【正文】 發(fā)展的要 求，避免了業(yè)務分散導致的業(yè)務風險，但是另一方面不可避免的導致了信息安全風險的集中。 1 銀行業(yè)務的 發(fā)展和信息安全范疇的變遷 隨著金融界向電子化、數(shù)字化、網(wǎng)絡化的發(fā)展，各金融機構(gòu)對計算機的重視程度越來越高，全球高新技術(shù)尤其是信息技術(shù)的發(fā)展，進一步提高了銀行計算機的應用水平。第一百四十八條本辦法自發(fā)布之日起執(zhí)行。第十五章附則 第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。第一百四十四條應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應完整保留相關日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務系統(tǒng)日志應根據(jù)需要確定保留時間。第一百四十二條應妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。 第一百四十一條如聘請第三方機構(gòu)進行安全 評估，應報本行主管部門批準，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。評估開始前，應制定評估方案并進行必要的培訓。所有檢查報告和資料應作為本行內(nèi)部材料妥善保管，不得向外界泄漏。要求限期整改的，需要對相關整改情況進行后續(xù)跟蹤。第一百三十七條開展安全檢查前，應以已經(jīng)發(fā)布的相關安全管理制度為依據(jù)，制定詳細的檢查方案、提綱和計劃等，確保檢查工作的可操作性和規(guī)范性。第二節(jié)安全檢查 第一百三十六條本行安全檢查包括對本行本級的安全檢查和對下安全檢查。第一節(jié)安全監(jiān)測 第一百三十四條本行信息中心負責整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第十四章安全監(jiān)測、檢查、評估與審計 第一百三十二條本行信息科技部負責每年至少進行一次本行范圍內(nèi)的內(nèi)部信息安全相關的檢查或評估工作。 第一百三十條在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略，同步實施備份方案。 第一百二十八條本行計算機信息系統(tǒng)應急領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮，決策重大事宜（決定應急預案的啟動、災難宣告、預警相關單位等）和調(diào)動應急資源。 （六）事后處理流程。 （四）各類危機處臵流程。 （二）應急組織機構(gòu)。第三節(jié)應急管理 第一百二十七條本行信息科技部負責 制定和持續(xù)完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。 第一百二十六條本行業(yè)務部室和本行協(xié)同建立健全災難恢復計劃，定期開展災難恢復培訓。 第一百二十五條本行業(yè)務部室負責提出業(yè)務系統(tǒng)災難備份需求，明確可容忍的業(yè)務中斷時間和數(shù)據(jù)丟失量。第二節(jié)災難備份管理 第一百二十三條災難備份是指利用技術(shù)、管理手段以及相關資源，確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件（以下稱“災難”）發(fā)生后在規(guī)定 的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百二十二條重大信息安全事件發(fā)生后，相關人員應注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告主管領導及計算機安全領導小組。 第一百二十條外包服務管理詳見《 XX銀行 IT 外包管理暫行辦法》。第一百一十九條計算機設備確需送外單位維修時，本行應徹底清除所存工作信息，必要時應與設備維修廠商簽訂保密協(xié)議。 第一百一十八條外包服務提供商提供上門維護服務的，經(jīng)信息科技部批準后，由本行內(nèi)部人員現(xiàn)場陪同實施。 第二節(jié)外包服務管理 第一百一十七條本規(guī)定所稱外包服務，是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百零五條敏感信息系統(tǒng)和設備的口令密碼設臵應在安全的環(huán)境下進行，必要時應將口令密碼筆錄，密封交相關部室保管。 第一百零四條系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、業(yè)務操作人員的用戶均須設臵口令密碼，至少每三個月更換一次。 第一百零二條生產(chǎn)數(shù)據(jù)的調(diào)用提取應遵守《 XX 銀行計算機系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護操作規(guī)程》。第一百零一條所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放。日志文件應至少保留一年，妥善保管。 第九十八條嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作，進行業(yè)務數(shù)據(jù)有效性檢查，按 照既定備份策略執(zhí)行數(shù)據(jù)備份任務，并定期測試備份數(shù)據(jù)的有效性。第三節(jié)數(shù)據(jù)安全 第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。 第九十四條建立存儲介質(zhì)銷毀機制，對載有敏感信息的存儲介質(zhì)應按照 其安全等級，采用安全格式化、消磁等不可復原的方式進行處臵并做好記錄。 第九十三條加強對移動存儲設備（Ｕ盤、軟盤、移動硬盤等）的使用管理。 第九十二條做好存儲介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。所有存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識。未經(jīng)本行領導批準，任何人不得將技術(shù)文檔轉(zhuǎn)借、復制和對外公布。 第十一章文檔、數(shù)據(jù)與密碼應用安全管理第一節(jié)技術(shù)文檔 第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。第二節(jié)使用管理 第八十六條掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。 第八十四條安全專用產(chǎn)品在準入審核時，供應商應提出申請并提供下列資料： （一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料； （二）產(chǎn)品型號、產(chǎn)地、功能及報價； （三）產(chǎn)品采用的技術(shù)標準，產(chǎn)品功能及性能的說明書； （四）生產(chǎn)企業(yè)概況（包括人員、設備、生產(chǎn)條件、隸屬關系等）； （五）供應商的質(zhì)量保證體系、售后服務措施等情況的說明。 第七十六條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務規(guī)定 在一定期限內(nèi)妥善保存。 第七十四條在信息系統(tǒng)運行維護過程中，系統(tǒng)管理人員應遵守但不限于以下要求： （一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應安全等級標準； （二）屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止 非法用戶的侵入； （三）及時、合理安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞； （四）啟用系統(tǒng)提供的審計功能，或使用第三方手段實現(xiàn)審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況； （五）按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設臵設備的 IP 地址及網(wǎng)絡參數(shù)，非系統(tǒng)管理人員不得修改。系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的，應征得業(yè)務系統(tǒng)歸口責任業(yè)務處室同意并在業(yè)務操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。重要業(yè)務系統(tǒng)的系統(tǒng)操作要求雙人在場。 第七十條信息系統(tǒng)投入使用前信息中心應當建立相應的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。 （三）信息科技部應提出明確的測試方案和測試報告審查意見。具體要求如下： （一）項目承建單位（部室）應組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。 第六十八條系統(tǒng)上線前應開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。 第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進行。外部開發(fā)單位還應與本行簽署相關知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關鍵安全技術(shù)措施和核心安全功能設計對外公開。第二節(jié)信息系統(tǒng)開發(fā)與集成 第六十三條信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整實現(xiàn)。 （三）運行平臺的安全策略與設計。項目技術(shù)方案應包括以下基本安全內(nèi)容： （一）業(yè)務需求部室提出的安全需求。 第六十條信息系統(tǒng)安全管理實施細則 詳見《 XX 銀行計算機信息系統(tǒng)安全管理規(guī)定》。 第五十八條訪問控制實施細則詳見《 XX 銀行信息系統(tǒng)訪問控制管理規(guī)定》。 第五十七條對應用系統(tǒng)和信息的邏輯訪問應只限于已授權(quán)的用戶。未經(jīng)主管領導 批準，不得代崗、兼崗。重要信息系統(tǒng)操作人員的密碼應由系統(tǒng)管理員和業(yè)務部門負責人分段設立。 第五十三條信息資產(chǎn)的責任人負責確定信息資產(chǎn)和服務的訪問權(quán)限，運行維護科根據(jù)授權(quán)進行相關設定操作。 第五十一條使用國際互聯(lián)網(wǎng)的所有用戶應 遵守國家有關法律法規(guī)和本行相關管理規(guī)定，不得從事任何違法違規(guī)活動。 第五十條曾接入國際互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡，確有必要接入內(nèi)部網(wǎng)絡的應通過安全工作小組審核并上報相關領導審批，經(jīng)安全檢測后方能接入。 第四十九條內(nèi)部網(wǎng)絡計 算機嚴禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應通過信息安全工作小組審核并上報相關領導審批，確保安裝有指定的防病毒軟件和最新補丁程序。 第四十八條本行內(nèi)部業(yè)務網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實行安全隔離。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡。 第四十六條信息安全管理人員負責定期對網(wǎng)絡進行安全檢測、掃描和評估。第四十五條嚴格遠程訪問控制。網(wǎng)絡管理員調(diào)整網(wǎng)絡重要參數(shù)配臵和服務端口時，應嚴格遵循變更管理流程。任何設備接入網(wǎng)絡前，接入方案、設備的安全性等應經(jīng)過網(wǎng)絡管理人員的審核與檢測，審核（檢測）通過后方可接入并分配相應的網(wǎng)絡資源。 第四十二條網(wǎng)絡管理員應定期參加網(wǎng)絡安全技術(shù)培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全 威脅的應對技能。第二節(jié)網(wǎng)絡運行安全管理 第四十一條信息科技部應建立健全網(wǎng)絡安全運行方面的制度，配備專職網(wǎng)絡管理員。 （三）針對不同的網(wǎng)絡安全域，采取必要的安全隔離措施。 第四十條本行網(wǎng)絡建設和改造應符合如下基本安全要求： （一）網(wǎng)絡規(guī)劃應有完整的安全策略，保障網(wǎng)絡傳輸與應用安 全。第六章網(wǎng)絡安全管理 第一節(jié)網(wǎng)絡規(guī)劃、建設中的安全管理 第三十八條本行網(wǎng)絡信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配臵和網(wǎng)絡資源（網(wǎng)絡設備、通訊線路、 IP 地址和域名等）分配。 第三十六條本行信息中心員工應在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。第三節(jié)辦公環(huán)境安全管理 第三十四條在本行大樓入口應設臵門衛(wèi)或接待員，負責出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。 第三十二條重要區(qū)域應嚴格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配臵自動監(jiān)控報警功能。第二節(jié)重要區(qū)域安全管理 第三十一條本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。 第二十九條依據(jù)《浙江省農(nóng)村合作金融機構(gòu)機房管理指引》進一步規(guī)范機房建設、改造和驗收過程，落實機房管理。 第二十八條建立機房定期維修保養(yǎng)制度。機房管理員應經(jīng)過相關專業(yè)培訓，熟知機房各類設備的分布和操作要領，定期巡查機房，發(fā)現(xiàn)問題及時報告。 第二十六條建立機房設施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ UPS）、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控。 第五章物理環(huán)境安全管理第一節(jié)機房安全管理 第二十四條本規(guī)定所稱機房是指信息系統(tǒng)主要設備放臵、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。第二十二條依照信息資產(chǎn)的分類分級采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。細則參見《 XX 銀行信息資產(chǎn)分類分級管理規(guī)定》。 （四）未經(jīng)信息安全管理人員檢測和授權(quán)，不得將內(nèi)部網(wǎng)絡的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡或私自拷貝任何信息。 （二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡配臵以屏蔽信息安全防護。第三節(jié)一般計算機用戶 第十八條本規(guī)定所稱一般計算機用戶是指使用計算機設備的所有人員。提供技術(shù)服務期間，嚴格遵守本行相關安全規(guī)定與操作規(guī)程。 （四）嚴格操作管理、測試管理、應急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 （二）嚴格權(quán)限訪問，未經(jīng)業(yè)務主管部室授權(quán)不得擅自改變系統(tǒng)設臵或修改系統(tǒng)生成的任何數(shù)據(jù)。第二節(jié)技術(shù)支持人員 第十五條本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術(shù)支持人員和外包服務人員。 （二）負責提出本行信息安全保障需求。 （五）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。 （三）定期監(jiān)督網(wǎng)絡和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改 意見。 第十三條安全工作小組在如下職責范圍內(nèi)開展信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領導小組成員工作，監(jiān)督檢查信