【正文】 （四）生產(chǎn)企業(yè)概 況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）； （五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。第二節(jié)使用管理 第八十六條掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第十一章文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié)技術(shù)文檔 第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。所有存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識。 第九十二條做好存儲介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。 第九十三條加強(qiáng)對移動存儲設(shè)備（Ｕ盤、軟盤、移動硬盤等）的使用管理。 第九十四條建立存儲介質(zhì)銷毀機(jī)制，對載有敏感信息的存儲介質(zhì)應(yīng)按照其安全等級，采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。第三節(jié)數(shù)據(jù)安全 第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護(hù)日志以及其他內(nèi)部資料。 第九十八條嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性。日志文件應(yīng)至少保留一年，妥善保管。第一百零一 第 17 頁 共 22 頁 條所有數(shù)據(jù)備份介質(zhì)應(yīng)注 意防磁、防潮、防塵、防高溫、防擠壓存放。 第一百零二條生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《 xx 銀行計算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》。 第一百零四條系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個月更換一次。 第一百零五條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第二節(jié)外包服務(wù)管理 第一百一十七條本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。 第一百一十八條外包服務(wù)提供商提供上門維護(hù)服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場陪同實施。第一百一十九條計算機(jī)設(shè)備確需送外單位維修時，本行應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。 第一百二十條外包服務(wù)管理詳見《 xx 銀行 it 外包管理暫行辦法》。 第一百二十二條重大信息安全事件發(fā)生后，相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告主管領(lǐng)導(dǎo)及計算機(jī)安全領(lǐng)導(dǎo)小組。第二節(jié)災(zāi)難備份管理 第一百二十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源， 確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、 第 19 頁 共 22 頁 恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱 “ 災(zāi)難 ” ）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。 第一百二十五條本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量。 第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi) 難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。第三節(jié)應(yīng)急管理 第一百二十七條本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。 （二）應(yīng)急組織機(jī)構(gòu)。 （四）各類危機(jī)處臵流程。 （六）事后處理流程。 第 20 頁 共 22 頁 第一百二十八條本行計算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。 第一百三十條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。 第十四章安全監(jiān)測、檢查、評估與審計 第一百三十二條本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。第一節(jié)安全監(jiān)測 第一百三十四條本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運 行監(jiān)測。第二節(jié)安全檢查 第一百三十六條本行安全檢查包括對本行本級的安全檢查和對下安全檢查。第一百三十七條開展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計劃等，確保檢查工作的可操作性和規(guī)范性。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。所有檢查報告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。評估開始前，應(yīng)制定評估方案并進(jìn)行必要的培訓(xùn)。 第一百四十一條如聘請第三方機(jī)構(gòu)進(jìn)行安全評估，應(yīng)報本行主管部門批準(zhǔn)，并與第三方評估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。第一百四十二條應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。第一百四十四條應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。第十五章附則 第一百四十六條本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。第一百四十八條本辦法自發(fā)布之