【正文】 十一條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。第五十條 曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過(guò)安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，經(jīng)安全檢測(cè)后方能接入?！? — 第四十九條 內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國(guó)際互聯(lián)網(wǎng)，確有必要接入國(guó)際互聯(lián)網(wǎng)的應(yīng)通過(guò)信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。第四十八條 本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。未經(jīng)授權(quán)，任何外部單位與人員不得檢測(cè)、掃描本行網(wǎng)絡(luò)。第四十六條 信息安全管理人員負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。第四十五條 嚴(yán)格遠(yuǎn)程訪問(wèn)控制。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時(shí)，應(yīng)嚴(yán)格遵循變更管理流程。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)網(wǎng)絡(luò)管理人員的審核與檢測(cè)，審 核（檢測(cè)）通過(guò)后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。—7— 第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能。第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理第四十一條 信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度，配備專職網(wǎng)絡(luò)管理員。（三）針對(duì)不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：（一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。第六章 網(wǎng)絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理第三十八條 本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、IP 地址和域名等）分配。第三十六條 本行信息中心員工應(yīng)在公共接待區(qū)接待外來(lái)人—6 — 員，未經(jīng)允許，不得私自將外來(lái)人員帶入辦公區(qū)域內(nèi)。第三節(jié) 辦公環(huán)境安全管理第三十四條 在本行大樓入口應(yīng)設(shè)臵門衛(wèi)或接待員，負(fù)責(zé)出入或公共訪問(wèn)區(qū)域的物理安全管理和外來(lái)人員的出入登記。第三十二條 重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配臵自動(dòng)監(jiān)控報(bào)警功能。第二節(jié) 重要區(qū)域安全管理第三十一條 本章節(jié)所指重要區(qū)域?yàn)椋罕拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。第二十九條 依據(jù)《浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過(guò)程，落實(shí)機(jī)房管理。第二十八條 建立機(jī)房定期維修保養(yǎng)制度。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。第二十六條 建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。第五章 物理環(huán)境安全管理 第一節(jié) 機(jī)房安全管理第二十四條 本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第二十二條 依照信息資產(chǎn)的分類分級(jí)采取不同的安全保護(hù)措施，制定完善的訪問(wèn)控制策略，防止未經(jīng)授權(quán)的使用。細(xì)則參見(jiàn)《XX銀行信息資產(chǎn)分類分級(jí)管理規(guī)定》。（四）未經(jīng)信息安全管理人員檢測(cè)和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)；不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。（二）不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護(hù)。第三節(jié) 一般計(jì)算機(jī)用戶第十八條 本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。（四）嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。（二）嚴(yán)格權(quán)限訪問(wèn)，未經(jīng)業(yè)務(wù)主管部室授權(quán) 不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。第二節(jié) 技術(shù)支持人員第十五條 本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。（二）負(fù)責(zé)提出本行信息安全保障需求。（五）定期組織信息安全宣傳教育活動(dòng)，開(kāi)展信息安全檢查、評(píng)估與培訓(xùn)工作。（三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問(wèn)題，及時(shí)通報(bào)和預(yù)警，并提出整改意見(jiàn)。第十三條 安全工作小組在如下職責(zé)范圍內(nèi)開(kāi)展信息安全管理工作：（一）組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和本行有關(guān)規(guī)定受到過(guò)處罰或處分的人員，不得從事此項(xiàng)工作。第一節(jié) 信息安全管理人員第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。第三章 人員管理第九條 本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。第七條 本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系，及時(shí)報(bào)告各類信息安全事件并獲取專業(yè)支持。第二章 組織保障第五條 常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。第四條 本辦法適用于本行。第三條 本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。第一篇：商業(yè)銀行信息安全管理辦法XX銀行信息安全管理辦法第一章 總 則第一條 為加強(qiáng)XX銀行（下稱 “本行”）信息安全管理，防范信息技術(shù)風(fēng)險(xiǎn)，保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù) 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。第二條 本辦法所稱信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用 誰(shuí)負(fù)責(zé)”的原則，逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法。第六條 各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員，配合信息安全領(lǐng)導(dǎo)小組開(kāi)展信息安全管理工作，具體負(fù)責(zé)信息安—1— 全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí)。第八條 本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系，及時(shí)跟蹤行業(yè)趨勢(shì)，學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法。日常員工信息安全行為準(zhǔn)則參見(jiàn)《XX銀行員工信息安全手冊(cè)》。第十一條 應(yīng)選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。第十二條 信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)?！? —（二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)。（四）統(tǒng)計(jì)分析和協(xié)調(diào)處臵信息安全事件。第十四條 信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開(kāi)展工作：（一）負(fù)責(zé)本行信息安全管理體系的落實(shí)。（三）負(fù)責(zé)組織開(kāi)展本行信息安全檢查工作。第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中，應(yīng)承擔(dān)如下安全義務(wù)：（一）不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。（三）主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全—3— 隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處臵。第十七條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾，簽署保密協(xié)議。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對(duì)外泄漏或引用任何工作信息。第十九條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)：（一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺(jué)接受本部室信息安全員的指導(dǎo)與管理。（三）不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件。第四章 資產(chǎn)管理第二十條 本行對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、評(píng)估相對(duì)價(jià)值及重要性，建立資產(chǎn)清單并說(shuō)明使用規(guī)則，明確定義信息資產(chǎn)責(zé)任—4 — 人及其職責(zé)。第二十一條 按照信息資產(chǎn)的價(jià)值、法律要求及敏感程度和對(duì)業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機(jī)密性、完整性、可用性三個(gè)屬性對(duì)信息資產(chǎn)進(jìn)行分類分級(jí)，并建立相應(yīng)的標(biāo)識(shí)和處理制度。第二十三條 依據(jù)《XX銀行介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。第二十五條 本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體實(shí)施和落實(shí)。第二十七條 建立健全機(jī)房管理制度，并指派專人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文—5— 檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料，并隨時(shí)提供調(diào)閱。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。第三十條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落實(shí)情況，并保留相應(yīng)的審核記錄和審核結(jié)果。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。第三十三條 所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個(gè)月。第三十五條 本行信息中心樓層設(shè)立門禁，加強(qiáng)人員進(jìn)出管理。第三十七條 未經(jīng)允許，嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動(dòng)。第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過(guò)安全測(cè)試與評(píng)估。（二）具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。（四）能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò) 安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第四十三條 嚴(yán)格網(wǎng)絡(luò)接入管理。第四十四條 嚴(yán)格網(wǎng)絡(luò)變更管理。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行，同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。確因工作需要進(jìn)行遠(yuǎn)程訪問(wèn)的人員應(yīng)向信息簡(jiǎn)科技部提出書面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外 界提供。第三節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理第四十七條 信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對(duì)互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來(lái)自互聯(lián)網(wǎng)的威脅。所有接入內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。經(jīng)審批后連接國(guó)際互聯(lián)網(wǎng) 的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。第七章 訪問(wèn)控制第五十二條 本行負(fù)責(zé)建立訪問(wèn)控制制度，對(duì)信息資產(chǎn)和服務(wù)的訪問(wèn)和權(quán)限分配進(jìn)行控制。第五十四條 信息系統(tǒng)用戶設(shè)臵