【正文】 信息中心負(fù)責(zé)，按照數(shù)據(jù)重要性的分類應(yīng)采用不同的備份和管理的策略。第十二條 應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫的自動(dòng)日志記錄應(yīng)完整保留，以便對(duì)其使用情況進(jìn)行檢查和審計(jì)。HYW3111XZ15第五章 安全檢查和審計(jì)第十一條 信息中心安全管理員對(duì)防火墻進(jìn)行管理，按照電廠有關(guān)技術(shù)規(guī)范的要求和本單位的實(shí)際情況配置相應(yīng)的安全策略。信息中心負(fù)責(zé)人每季度對(duì)《操作日志》進(jìn)行審核。特權(quán)帳號(hào)使用人長期離開時(shí)，應(yīng)將特權(quán)帳號(hào)交給信息中心負(fù)責(zé)人。第八條 特權(quán)帳號(hào)應(yīng)由專人管理和使用，責(zé)任到人。（四）更換策略：新口令至少與前3次的口令不能相同。（二）復(fù)雜度：可以由大小寫字母、數(shù)字和普通符號(hào)組成。必要時(shí)，還需要檢查此員工管理的信息系統(tǒng)，以確認(rèn)系統(tǒng)安全、正常，沒有遭受蓄意破壞。信息中心應(yīng)在接到人力資源部門的員工職位變動(dòng)或離職的通知后，根據(jù)具體情況及時(shí)調(diào)整相應(yīng)的帳戶信息。第二章 人員與帳戶第三條 電廠的所有員工都必須接受信息安全培訓(xùn)，培訓(xùn)由電廠人力資源部組織，信息中心協(xié)助?！?—24第二篇：信息安全管理辦法HYW3111XZ15XXXXZDXXXXXXXX電廠管理制度Net信息安全管理辦法2015910發(fā)布 2015910實(shí)施XXXXXXXX電廠 發(fā) 布 HYW3111XZ15XXXXXXXX電廠 信息安全管理辦法第一章 總 則第一條 為了加強(qiáng)XXXXXXXX電廠（以下簡稱“電廠”）信息的安全管理，確保公司信息系統(tǒng)安全、穩(wěn)定運(yùn)行，特制定本辦法。第一百四十七條 本辦法由本行負(fù)責(zé)制定，解釋。第一百四十五條 本行各部室及人員應(yīng)積極支持與配合上級(jí)審計(jì)部門或外部審計(jì)機(jī)構(gòu)開展的信息安全審計(jì)。第四節(jié) 安全審計(jì)第一百四十三條 適時(shí)開展信息系統(tǒng)日常運(yùn)行管理和信息安全事件的技術(shù)審計(jì)，發(fā)現(xiàn)問題按照相關(guān)規(guī)定及時(shí)上報(bào)主管領(lǐng)導(dǎo)。本行信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見報(bào)主管領(lǐng)導(dǎo)。第三節(jié) 安全評(píng)估第一百四十條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。第一百三十九條 參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。第一百三十八條 安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查部門。安全檢查方式可以是自查、檢查、抽查或上級(jí)檢查多種方式。第一百三十五條 本行各部室要及時(shí)預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)相關(guān)部門。第一百三十三條 本行負(fù)責(zé)每年組織對(duì)各部室、各分支機(jī)構(gòu)的計(jì)算機(jī)安全運(yùn)行情況進(jìn)行檢查（以下簡稱“對(duì)下安全檢查”）。第一百三十一條 應(yīng)急管理實(shí)施細(xì)則詳見《XX銀行計(jì)算機(jī)信息系統(tǒng)應(yīng)急管理制度》。第一百二十九條 本行定期組織應(yīng)急預(yù)案演練，指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及 演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。（七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。（五）應(yīng)急資源保障。—21—（三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。在條件許可的情況下，每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。本行據(jù)此確定災(zāi)難備份等級(jí)和備份方案。第一百二十四條 本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。必要時(shí)啟動(dòng)相關(guān)應(yīng)急預(yù)案。第十三章 事件報(bào)告、災(zāi)難備份與應(yīng)急管理第一節(jié) 事件報(bào)告第一百二十一條 信息安全事件按照信息安全事件報(bào)告流程進(jìn)行報(bào)告，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件，應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。外包服務(wù)提供商不得查看、復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。第一百一十六條 第三方訪問控制實(shí)施細(xì)則詳見《XX銀行第三方安全管理規(guī)定》。第一百一十四條 允許被第三方訪問的本行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動(dòng)。本行內(nèi)部信息系統(tǒng)和相關(guān)網(wǎng)絡(luò)的第三方訪問授權(quán)需經(jīng)本行領(lǐng)導(dǎo)的審批授權(quán)。第十二章 第三方訪問和外包服務(wù)安全管理第一節(jié) 第三方訪問控制第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單位和個(gè)人物理訪問本行計(jì)算機(jī)房，或者通過網(wǎng)絡(luò)連 接邏輯訪問本行數(shù)據(jù)庫和信息系統(tǒng)等活動(dòng)?！?—18 第一百一十條 應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并設(shè)臵遇緊急情況下密鑰報(bào)廢、銷毀機(jī)制。第一百零八條 密碼產(chǎn)品和加密算法的選擇應(yīng)符合國家 相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合本行的相關(guān)安全要求。第五節(jié) 密碼技術(shù)應(yīng)用管理第一百零七條 本行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格 按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。第一百零四條 系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個(gè)月更換一次。第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《XX銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》。第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。日志文件應(yīng)至少保留一年，妥善保管。第九十八條 嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備 份任務(wù)，并定期測試備份數(shù)據(jù)的有效性。第三節(jié) 數(shù)據(jù)安全第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。第九十四條 建立存儲(chǔ)介質(zhì)銷毀機(jī)制，對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)按照其安全等級(jí)，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。第九十三條 加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備（Ｕ盤、軟盤、移動(dòng)硬盤等）的使用管理。第九十二條 做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。第十一章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié) 技術(shù)文檔第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。第二節(jié) 使用管理第八十六條 掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。第八十四條 安全專用產(chǎn)品在準(zhǔn)入審核時(shí)，供應(yīng)商應(yīng)提出申 — —14請(qǐng)并提供下列資料：（一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料；（二）產(chǎn)品型號(hào)、產(chǎn)地、功能及報(bào)價(jià)；（三）產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn)，產(chǎn)品功能及性能的說明書；（四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）；（五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。本規(guī)定所稱信息安全服 務(wù)，是指本行向社會(huì)購買的專業(yè)化安全服務(wù)。第八十一條 規(guī)范存儲(chǔ)本單位商密信息的計(jì)算機(jī)設(shè)備的安全管理，包括：開發(fā)用終端、生產(chǎn)主機(jī)及其他計(jì)算機(jī)設(shè)備。第七十九條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)臵用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施，確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序?！?3—第九章 客戶端安全管理第七十七條 本辦法所稱客戶端是指本行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終端、柜面 終端、單機(jī)運(yùn)行（啞）終端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)設(shè)備等。第七十六條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。第七十四條 在信息系統(tǒng)運(yùn)行維護(hù)過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求：（一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)；（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入；（三）及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞；（四）啟用系統(tǒng)提供的審計(jì)功能，或使用第三方手段實(shí)現(xiàn)審計(jì)功能，監(jiān)測系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況；（五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任— —12業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。（三）信息科技部應(yīng)提出明確的測試方案和測試報(bào)告審查意見。具體要求如下：（一）項(xiàng)目承建單位（部室）應(yīng)組織制定安全測試方案，進(jìn)行系統(tǒng)上線前的自測試并形成測試報(bào)告，報(bào)信息科技部審查。第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，避免引發(fā)安全漏洞。第六十六條 信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)—11— 境中進(jìn)行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。第二節(jié) 信息系統(tǒng)開發(fā)與集成第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。（三）運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部室提出的安全需求?！?—10第六十條 信息系統(tǒng)安全管理實(shí)施細(xì)則詳見《XX銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。第五十八條 訪問控制實(shí)施細(xì)則詳見《XX銀行信息系統(tǒng)訪問控制管理規(guī)定》。第五十七條 對(duì)應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代—9— 崗、兼崗。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。第五十三條 信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。第五