【正文】 要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。 （二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門。 第三節(jié)信息系統(tǒng)運(yùn)行 第六十九條信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。 第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。 第六十五條信息系統(tǒng)的開發(fā)人員不能兼 任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程 第 12 頁 共 22 頁 序。 第六十四條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。 第六十二 條信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。 （二）安全需求分析和實(shí)現(xiàn)。第一節(jié)信息系統(tǒng)規(guī)劃與立項(xiàng) 第六十一條信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。 第八章信息系統(tǒng)安全管理 第五十九條本規(guī)定 所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管 第 11 頁 共 22 頁 理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。對(duì)應(yīng)用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實(shí)用程序、系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問； （三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。 第五十六條應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問，包括但不限于： （一）按照已定義的訪問控制策略鑒別授權(quán)用戶； （二）記錄成功和失敗的系統(tǒng)訪問企圖； （三）記錄專用系統(tǒng)特殊權(quán)限的使用情況； （四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)； （五）提供合適的身份鑒別手段； （ 六）限制用戶的連接時(shí)間。 第五十五條凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作 第 10 頁 共 22 頁 人員不得一人兼錄入、復(fù)核兩職。第五十四條信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對(duì)其訪問控制權(quán)限負(fù)責(zé)。第七章訪問控制 第五十二條本行負(fù)責(zé)建立訪問控制制度，對(duì)信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進(jìn)行控制。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。經(jīng)審批后連接國際互聯(lián)網(wǎng)的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。所有接入內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國際互聯(lián)網(wǎng)。 第三節(jié)接入國際互聯(lián)網(wǎng)管理 第四十七條信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對(duì)互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來自互聯(lián)網(wǎng)的威脅。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外界提供。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡(jiǎn)科技部提出書面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行，同時(shí) 做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。第四十四條嚴(yán)格網(wǎng)絡(luò)變更管理。 第四十三條嚴(yán)格網(wǎng)絡(luò)接入管理。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔 案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。 （四）能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。 第三十九條按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過安全測(cè)試與評(píng)估。第三十七條未經(jīng)允許，嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動(dòng)。第三十五條本行信息中心樓層設(shè)立門禁，加強(qiáng)人員進(jìn)出管理。 第三十三條所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個(gè)月。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。第二節(jié)重要區(qū)域安全管理 第三十一條本章節(jié)所指重要區(qū) 域?yàn)椤? 第二十九條依據(jù)《 XX 省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過程，落實(shí)機(jī)房管理。 第二十八條建立機(jī)房定期維修保養(yǎng)制度。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培 第 6 頁 共 22 頁 訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房， 發(fā)現(xiàn)問題及時(shí)報(bào)告。 第二十六條建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（ ups）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。 第五章物理環(huán)境安全管理第一 節(jié)機(jī)房安全管理 第二十四條本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第二十二條依照信息資產(chǎn)的分類分級(jí)采取不同的安全保護(hù)措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。細(xì)則參見《 xx 銀行信息資產(chǎn)分類分級(jí)管理規(guī)定》。 （四）未經(jīng)信息安全管理人員檢測(cè)和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或 第 5 頁 共 22 頁 私自拷貝任何信息。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信