【正文】 本人的用戶和密碼，并對(duì)其訪問(wèn)控制權(quán)限負(fù)責(zé)。第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問(wèn)，包括但不限于：（一）按照已定義的訪問(wèn)控制策略鑒別授權(quán)用戶；（二）記錄成功和失敗的系統(tǒng)訪問(wèn)企圖；（三）記錄專用系統(tǒng)特殊權(quán)限的使用情況；（四）當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)；（五）提供合適的身份鑒別手段；（六）限制用戶的連接時(shí)間。對(duì)應(yīng)用系統(tǒng)的訪問(wèn)控制措施包括但不限于：（一）按照定義的訪問(wèn)控制策略，控制用戶訪問(wèn)信息和應(yīng)用系統(tǒng)的特定功能；（二）防止能夠繞過(guò)系統(tǒng)控制或應(yīng)用控制的任 何實(shí)用程序、系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問(wèn)；（三）為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。第八章 信息系統(tǒng)安全管理第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問(wèn)題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。（二）安全需求分析和實(shí)現(xiàn)。第六十二條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員，不得在程序代碼中植入后門和惡意代碼程序。第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。第三節(jié) 信息系統(tǒng)運(yùn)行第六十九條 信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過(guò)安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。（二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門。必要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。第七十一條 系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過(guò)程。第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。第七十三條 嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限。第四節(jié) 信息系統(tǒng)廢止第七十五條 廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前，應(yīng)根據(jù)其安全級(jí)別，進(jìn)行消磁或安全格式化，以避免信息泄露。超過(guò)保存期限后需要銷毀的，應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀。第七十八條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無(wú)關(guān)的軟件。第八十條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第十章 信息安全專用產(chǎn)品、服務(wù)管理第一節(jié) 資質(zhì)審查與選型購(gòu)臵第八十二條 本規(guī)定所稱信息安全專用產(chǎn)品，是指本行安裝使用的專用安全軟件、硬件產(chǎn)品。第八十三條 本行負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，由采購(gòu)科室按照采購(gòu)程序選購(gòu)。第八十五條 安全專用產(chǎn)品有下列情形之一的，取消其準(zhǔn)入資格：（一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過(guò)檢測(cè)的；（二）經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問(wèn)題的；（三）不能提供良好售后服務(wù)的；（四）國(guó)家有關(guān)部門取消其銷售資格的。第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。第八十八條 信息科技部應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后，按照固定資產(chǎn)報(bào)廢審批程序處—15— 理。第九十條 各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。第二節(jié) 存儲(chǔ)介質(zhì)第九十一條 建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。重要信息的存取需要授權(quán)和記錄。對(duì)系統(tǒng)升級(jí)專用的移動(dòng)存儲(chǔ)設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負(fù)責(zé)管理?！?—16 第九十五條 介質(zhì)管理實(shí)施細(xì)則詳見《XX銀行介質(zhì)管理規(guī)范》。第九十七條 數(shù)據(jù)的所有者（部室）負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。第九十九條 系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。第一百條 本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的備份數(shù)據(jù)的保 存時(shí)限和密級(jí)，并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷毀處理?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管?！?7—第四節(jié) 口令密碼第一百零三條 信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度，嚴(yán)格執(zhí)行密碼安全管理策略?？诹蠲艽a的強(qiáng)度應(yīng)滿足必要的安全性要求。未經(jīng)本行分管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。第一百零六條 應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。非涉密網(wǎng)絡(luò)和信息 系統(tǒng)應(yīng)依據(jù)本行實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。第一百零九條 本行信息科技部負(fù)責(zé)建立和執(zhí)行密鑰管理方面的制度，選擇密碼管理人員必須是本單位在編的正式員工，并逐級(jí)進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過(guò)程。第一百一十一條 各類密鑰應(yīng)定期更換，對(duì)已泄漏或懷疑泄漏的密鑰應(yīng)及時(shí)廢除，過(guò)期密鑰應(yīng)安全歸檔或定期銷毀。第一百一十三條 信息科技部負(fù)責(zé)在第三方與本行合作前對(duì)其資質(zhì)進(jìn)行調(diào)查。未經(jīng)授權(quán)的任何第三方訪問(wèn)均視為非法入侵行為。第一百一十五條 獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與本行簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄漏本行任何信息。第二節(jié) 外包服務(wù)管理—19— 第一百一十七條 本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會(huì)廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提 供全面或部分的技術(shù)支持、咨詢等服務(wù)。第一百一十八條 外包服務(wù)提供商提供上門維護(hù)服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場(chǎng)陪同實(shí)施。第一百一十九條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，本行應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。第一百二十條 外包服務(wù)管理詳見《XX銀行IT外包管理暫行辦法》。第一百二十二條 重大信息安全事件發(fā)生后，相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)，采取必要的控制措施，調(diào)查事件原因，并及時(shí) — —20報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。第二節(jié) 災(zāi)難備份管理第一百二十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn) 爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。第一百二十五條 本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。第一百二十六條 本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。第三節(jié) 應(yīng)急管理第一百二十七條 本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。（二）應(yīng)急組織機(jī)構(gòu)。（四）各類危機(jī)處臵流程。（六）事后處理流程。第一百二十八條 本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟 動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第一百三十條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。第十四章 安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)第一百三十二條 本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評(píng)估工作。第一節(jié) 安全監(jiān)測(cè)第一百三十四條 本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管 — —22理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。第二節(jié) 安全檢查第一百三十六條 本行安全檢查包括對(duì)本行本級(jí)的安全檢查和對(duì)下安全檢查。第一百三十七條 開展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計(jì)劃等，確保檢查工作的可操作性和規(guī)范性。要求限期整改的，需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。評(píng)估開始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。第一百四十一條 如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)報(bào)本—23— 行主管部門批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議 后方可進(jìn)行。第一百四十二條 應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第一百四十四條 應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第十五章 附 則第一百四十六條 本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。第一百四十八條 本辦法自發(fā)布之日起執(zhí)行。第二條 本辦法規(guī)定了信息安全管理的職責(zé)、內(nèi)容和方法，本辦法適用于電廠各部門。第四條 信息中心統(tǒng)一管理各應(yīng)用系統(tǒng)中的帳戶信息，包括用戶基本信息、用戶帳號(hào)、權(quán)限等。第五條 員工離職時(shí)必須將其掌管的信息資產(chǎn)（如電腦、打印機(jī)等）移交信息中心，信息中心進(jìn)行清點(diǎn)和核查。第三章 口令策略第六條 信息系統(tǒng)中所需要的所有口令應(yīng)至少滿足以下要求：（一）長(zhǎng)度：至少6位，建議在16位以下。（三）有效期：口令應(yīng)每季度更換。第四章 特權(quán)帳號(hào)的控制第七條 特權(quán)帳號(hào)是指具有特殊管理功能和權(quán)限的專用賬號(hào)，如：具有應(yīng)用系統(tǒng)管理權(quán)、數(shù)據(jù)庫(kù)管理權(quán)、操作系統(tǒng)管理權(quán)的帳號(hào)，還包括網(wǎng)絡(luò)設(shè)備特權(quán)帳號(hào)等。特權(quán)帳號(hào)使用人在出差、請(qǐng)假期間，應(yīng)將特權(quán)帳號(hào)轉(zhuǎn)交給信息中心負(fù)責(zé)人指定的人員。第九條 使用特權(quán)帳號(hào)后，特權(quán)帳號(hào)使用人應(yīng)將其操作情況記錄在《操作日志》中。第十條 特權(quán)帳號(hào)使用人在進(jìn)行操作時(shí)，不得擅自離開；操作完成后，應(yīng)立即退出登錄，以防賬號(hào)被竊用。防火墻必須保留完整的日志記錄，安全管理員對(duì)其每月進(jìn)行檢查、分析和審計(jì)。第六章 病毒防護(hù)第十三條 電廠內(nèi)部網(wǎng)絡(luò)內(nèi)所有采用windows操作系統(tǒng)的計(jì)算機(jī)（包括服務(wù)器、臺(tái)式機(jī)和筆記本