銀行信息安全管理

1、銀行信息安全管理篇一：XX銀行員工信息安全行為規(guī)范 XX銀行科技開發(fā)部員工信息安全行為規(guī)范V1.0 第一章 總則 第一條 為提高總行科技開發(fā)部員工(包括行內(nèi)員工、在我行工作的外部員 工)的信息安全意識，規(guī)范員工的行為，指導(dǎo)員工合理、安全地使用信息資產(chǎn)，防止有意或無意的破壞信息安全行為的發(fā)生，保護我行信息資產(chǎn)安全，制定本規(guī)范。 第二條 員工應(yīng)主動了解本我行信息安全管理相關(guān)規(guī)定，積極參與我行組織 的信息安全培訓，提升信息安全意識和技能，并嚴格遵守我行信息安全要求。 第二章 資產(chǎn)管理聲明 第三條 禁止利用我行資產(chǎn)（包括我行配發(fā)的計算機、手機等個人終端設(shè)備） 處理個人事務(wù)，以避免我行在信息安全管理中觸

2、及個人隱私。 第四條 員工利用我行的資產(chǎn)所產(chǎn)生、處理和存儲的一切信息，其所有權(quán)歸 我行擁有。 第五條 我行出于對運營管理、安全管理和司法調(diào)查取證等需要，保留在任 何時候?qū)ξ倚腥我赓Y產(chǎn)進行監(jiān)控、復(fù)制、披露、使用和刪除的權(quán)利。 第三章 工作環(huán)境安全要求 第六條 進入我行工作區(qū)域時，應(yīng)規(guī)范佩戴我行認可的身份識別證件或按照 我行相關(guān)管理規(guī)定登記并獲得許可后方可進入。第七條 應(yīng)遵守安全區(qū)域訪問規(guī)定，進出非授權(quán)區(qū)域時，需按照我行相關(guān)規(guī) 定經(jīng)相關(guān)責任人批準。 第八條 員工應(yīng)安全保管身份識別證件，丟失后及時向發(fā)證部門報告，禁止 將身份識別證件借與他人使用；調(diào)離我行時，應(yīng)主動交還我行配發(fā)的身份識別證件。 第九條

3、 我行內(nèi)調(diào)動或更換工作區(qū)域時應(yīng)主動申請門禁權(quán)限變更。 第十條 若發(fā)現(xiàn)任何可疑人員進入我行或進行非授權(quán)活動，要立即制止，并 報告相關(guān)部門。 第十一條 啟用門禁的區(qū)域進出時要防止人員尾隨，進出后應(yīng)及時關(guān)閉。 第四章 用戶賬號安全 第十二條 任何賬號僅限申請賬號時批準的所有者在授權(quán)范圍內(nèi)使用，嚴禁 使用賬號訪問未授權(quán)的資源，賬號所有者承擔使用該賬號所產(chǎn)生的一切責任和后果。 第十三條 賬號正式啟用前，必須為賬號添加密碼或修改缺省密碼，密碼應(yīng) 具有足夠的安全強度；對于重要核心系統(tǒng)的密碼，應(yīng)加強密碼復(fù)雜度和密碼長度。 第十四條 具有足夠強度密碼設(shè)置要求如下： (一) 口令最小長度：8位 (二) 口令字符組

4、成復(fù)雜度：口令由數(shù)字、大小寫字母及特殊字符，且至少包含其中兩種字符（動態(tài)口令除外）； (三) 口令歷史：修改后的口令至少與前4次口令不同； (四) 口令最大連續(xù)嘗試次數(shù)：10次；口令錯誤次數(shù)超過最大連續(xù)嘗試次數(shù)后，應(yīng)具有限制用戶登錄的機制。 (五) 口令最長有效期限： 180 天，可根據(jù)系統(tǒng)重要性和用戶權(quán)限采取不同的有效期；口令使用期限即將達到口令最長有效期限時，應(yīng)具有提示用戶修改口令的機制。 (六) 主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等超級用戶口令最長有效期應(yīng)為90天，其它用戶口令最長有效期應(yīng)符合本章口令基本要求。 第十五條 應(yīng)安全保管或者隨身攜帶實物密鑰，如USBkey等，禁止隨意放 置在桌面上

5、。如發(fā)現(xiàn)實物密鑰遺失或懷疑密碼被竊取，應(yīng)立即通知信息技術(shù)部門進行處理。 第十六條 應(yīng)安全保管密碼，如沒有可靠的物理控制措施，不要將密碼寫在 紙上，或記錄于電子文件中；禁止將密碼在終端軟件（如IE瀏覽器）上自動保存；禁止公開本人或他人的密碼信息，不得猜測竊取他人賬號密碼。 第十七條 工作職責發(fā)生變動時，應(yīng)主動申請帳號或者實物密鑰權(quán)限的變更； 當不再需要某系統(tǒng)的訪問權(quán)限時，應(yīng)主動申請注銷賬號或者權(quán)限；對不能關(guān)閉的賬號或者實物密鑰，應(yīng)及時移交給本部門指定責任人；在離職時，應(yīng)主動移交全部賬號和實物密鑰。第五章 信息設(shè)備使用 第十八條 終端計算機在配發(fā)時按照我行規(guī)范統(tǒng)一進行命名，使用人不得擅 自修改計算

6、機名。 第十九條 所有終端計算機應(yīng)安裝我行要求的桌面管理軟件、防病毒軟件等， 員工不得自行刪除或修改。 第二十條 終端計算機應(yīng)設(shè)定統(tǒng)一的屏幕保護程序，屏幕保護程序等待時間 設(shè)在10分鐘以內(nèi)。 第二十一條 自己使用的設(shè)備和系統(tǒng)應(yīng)設(shè)置密碼保護，如開機密碼、登錄密 碼、屏幕保護密碼。 第二十二條 離開座位時，應(yīng)鎖定或關(guān)閉計算機；應(yīng)安全保管終端信息設(shè)備， 周末或者節(jié)假日期間禁止將便攜信息設(shè)備放在桌面上。 第二十三條 原則上不要將我行配發(fā)的設(shè)備用于工作以外用途或接入辦公 以外的環(huán)境，如因工作需要需與外部環(huán)境對接，再次接入辦公環(huán)境時應(yīng)先進行病毒的查殺。 第二十四條 未經(jīng)授權(quán)不得使用移動介質(zhì)，使用移動介質(zhì)前

7、，應(yīng)進行病毒檢 測，確認安全后方可使用。 第二十五條 使用公同終端后，應(yīng)及時退出登錄并關(guān)機或鎖屏。 第二十六條 未經(jīng)授權(quán)不得將終端設(shè)備、移動介質(zhì)、實體信息和軟件等帶離 辦公區(qū)。第二十七條 未經(jīng)授權(quán)任何人不得私自調(diào)換信息設(shè)備，禁止私自拆卸、維修 或者更換計算機硬件。 第二十八條 設(shè)備及存儲介質(zhì)提交維修、回收、報廢前，應(yīng)對設(shè)備上的重要 數(shù)據(jù)進行備份和安全銷毀。 第二十九條 應(yīng)保管好個人使用的信息設(shè)備，一旦丟失，應(yīng)立即向本部門報 告，特別對于綁定用戶賬號的個人終端設(shè)備，還應(yīng)立即報告信息技術(shù)部門，以及時鎖定相應(yīng)賬號，以防止被冒用。 第六章 軟件使用 第三十條 終端設(shè)備初裝或重裝操作系統(tǒng)，必須使用我行提

8、供的操作系統(tǒng)， 不得隨意使用其它操作系統(tǒng)安裝包進行安裝。 第三十一條 應(yīng)使用我行許可的軟件，禁止安裝與工作無關(guān)的軟件和盜版軟 件，不要隨意安裝從互聯(lián)網(wǎng)下載的軟件，禁止私自更改、禁用、卸載我行要求使用的軟件。 第三十二條 嚴禁使用黑客工具等影響或破壞我行信息安全的軟件。 第三十三條 嚴禁擅自復(fù)制、傳播和銷售我行的計算機軟件產(chǎn)品。 第三十四條 不得使用掃描軟件、壓力測試軟件或自編軟件對我行內(nèi)網(wǎng)及系 統(tǒng)進行掃描、攻擊測試和干擾。 第七章 計算機網(wǎng)絡(luò)使用 第三十五條 禁止將未經(jīng)許可的計算機設(shè)備接入我行網(wǎng)絡(luò)。篇二：銀行信息安全管理辦法 XX銀行 信息安全管理辦法 第一章 總 則 第一條 為加強XX銀行

9、（下稱 “本行” ）信息安全管理，防范信息技術(shù)風險，保障本行計算機網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運行， 根據(jù) 中華人民共和國計算機信息系統(tǒng)安全保護條例 、 金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定等，特制定本辦法 。 第二條 本辦法所稱信息安全管理， 是指在本行信息化項目立項、 建設(shè)、 運行、 維護及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動。 第三條 本行信息安全工作實行統(tǒng)一領(lǐng)導(dǎo)和分級管理， 由分管領(lǐng)導(dǎo)負責。 按照“誰主管誰負責，誰運行誰負責，誰使用 誰負責”的原則，逐級落實部門與個人信息安全責任。第四條 本辦法適用于本行。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個

10、人均應(yīng)遵守本辦法。 第二章 組織保障 第五條 常設(shè)由本行領(lǐng)導(dǎo)、各部室負責人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負責本行信息安全管理工作 ，決策信息安全重大事宜。 第六條 各部室、各分支機構(gòu)應(yīng)指定至少一名信息安全員， 配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作，具體負責信息安全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實。第七條 本行應(yīng)建立與信息安全監(jiān)管機構(gòu)的聯(lián)系，及時報告各類信息安全事件并獲取專業(yè)支持。 第八條 本行應(yīng)建立與外部信息安全專業(yè)機構(gòu)、專家的聯(lián)系，及時跟蹤行業(yè)趨勢，學習各類先進的標準和評估方法。 第三章 人員管理 第九條 本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保

11、障職責。日常員工信息安全行為準則參見XX銀行員工信息安全手冊 。 第一節(jié) 信息安全管理人員 第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。 第十一條 應(yīng)選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。第十二條 信息安全管理人員每年至少參加一次信息安全相關(guān)培訓。 第十三條 安全工作小組在如下職責范圍內(nèi)開展信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。 （二）審核信息化建設(shè)項目中的安

12、全方案，組織實施信息安全保障項目建設(shè)。 （三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改意見。 （四）統(tǒng)計分析和協(xié)調(diào)處臵信息安全事件。 （五） 定期組織信息安全宣傳教育活動， 開展信息安全檢查、 評估與培訓工作。 第十四條 信息安全領(lǐng)導(dǎo)小組成員在如下職責范圍內(nèi)開展工作： （一）負責本行信息安全管理體系的落實。（二）負責提出本行信息安全保障需求。（三）負責組織開展本行信息安全檢查工作。 第二節(jié) 技術(shù)支持人員 第十五條 本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、 機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員

13、和外包服務(wù)人員。 第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責過程中，應(yīng)承擔如下安全義務(wù)： （一）不得對外泄漏或引用工作中觸及的任何敏感信息。 （二）嚴格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán) 不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 4 （三）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況 ，發(fā)現(xiàn)安全隱患或故障及時報告本部室主管領(lǐng)導(dǎo)，并及時響應(yīng)、處臵。 （四）嚴格操作管理、測試管理、應(yīng)急管理、 配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 第十七條 外部技術(shù)支持人員應(yīng)嚴格履行外包服務(wù)合同（協(xié)議）的各項安全承諾，簽署保密協(xié)議。提供技術(shù)服務(wù)期間，嚴格遵守本行相關(guān)安全規(guī)

14、定與操作規(guī)程。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。 第三節(jié) 一般計算機用戶 第十八條 本規(guī)定所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。 第十九條 一般計算機用戶應(yīng)承擔如下安全義務(wù)： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部室信息安全員的指導(dǎo)與管理。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護。 （三） 不得在辦公用計算機上安裝任何盜版或非授權(quán)軟件。 （四） 未經(jīng)信息安全管理人員檢測和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何

15、信息。 第四章 資產(chǎn)管理 第二十條 本行對所有信息資產(chǎn)進行識別、評估相對價值及重要性，建立資產(chǎn)清單并說明使用規(guī)則，明確定義信息資產(chǎn)責任人及其職責。細則參見XX銀行信息資產(chǎn)分類分級管理規(guī)定。 第二十一條 按照信息資產(chǎn)的價值、法律要求及敏感程度和對業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機密性、完整性、可用性三個屬性對信息資產(chǎn)進行分類分級，并建立相應(yīng)的標識和處理制度。 第二十二條 依照信息資產(chǎn)的分類分級采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。 第二十三條 依據(jù)XX銀行介質(zhì)管理規(guī)范加強介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。 第五章 物理環(huán)境安全管理 第一節(jié) 機房安全

16、管理 第二十四條 本規(guī)定所稱機房是指信息系統(tǒng)主要設(shè)備放臵、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第二十五條 本行機房的信息安全管理由本行本行信息科技部門負責具體實施和落實。 第二十六條 建立機房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（UPS） 、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控。第二十七條 建立健全機房管理制度，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓 ，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。機房管理員負責保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。 第二

17、十八條 建立機房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點。 第二十九條 依據(jù)浙江省農(nóng)村合作金融機構(gòu)機房管理指引進一步規(guī)范機房建設(shè)、改造和驗收過程，落實機房管理。第三十條 信息安全領(lǐng)導(dǎo)小組負責定期審核機房安全管理落實情況，并保留相應(yīng)的審核記錄和審核結(jié)果。 第二節(jié) 重要區(qū)域安全管理 第三十一條 本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。本行信息中心負責制定和執(zhí)行運維監(jiān)控方面的安全管理制度。 第三十二條 重要區(qū)域應(yīng)嚴格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配臵自動監(jiān)控報警功能。 第三十三

18、條 所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。 第三節(jié) 辦公環(huán)境安全管理 第三十四條 在本行大樓入口應(yīng)設(shè)臵門衛(wèi)或接待員，負責出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。第三十五條 本行信息中心樓層設(shè)立門禁，加強人員進出管理。 第三十六條 本行信息中心員工應(yīng)在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。第三十七條 未經(jīng)允許，嚴禁在信息中心辦公區(qū)域內(nèi)進行攝影、攝像、錄音等記錄日常辦公行為的活動。 第六章 網(wǎng)絡(luò)安全管理 第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理 第三十八條 本行網(wǎng)絡(luò)信息科技部負責網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通

19、訊線路、IP 地址和域名等）分配。 第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則， 由信息科技部組織實施網(wǎng)絡(luò)建設(shè)、 改造工程，工程投產(chǎn)前應(yīng)通過安全測試與評估。 第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。 （三）針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。 （四）能有效防止計算機病毒對網(wǎng)絡(luò)系統(tǒng)的侵擾和破壞。 第二節(jié) 網(wǎng)絡(luò)運行安全管理 第四十一條 信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運行方面的制度，配備專職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責日常監(jiān)測和檢查網(wǎng)絡(luò) 安全運行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，

20、建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。 第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓， 具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能。 第四十三條 嚴格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測，審 核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第四十四條 嚴格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時，應(yīng)嚴格遵循變更管理流程。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時間或交易較少時間進行，同時做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準備。第四十五條 嚴格遠程訪問控制。確因工作需

21、要進行遠程訪問的人員應(yīng)向信息簡科技部提出書面申請，并采取相應(yīng)的安全防護措施。 第四十六條 信息安全管理人員負責定期對網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外 界提供。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。 第三節(jié) 接入國際互聯(lián)網(wǎng)管理 第四十七條 信息科技部負責制定本行互聯(lián)網(wǎng)方面管理制度，對互聯(lián)網(wǎng)接入進行嚴格的控制，防范來自互聯(lián)網(wǎng)的威脅。 第四十八條 本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實行安全隔離。所有接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 第四十九條 內(nèi)部網(wǎng)絡(luò)計算機嚴禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信

22、息安全工作小組審核并上報相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補丁程序。經(jīng)審批后連接國際互聯(lián)網(wǎng) 的計算機，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國際互聯(lián)網(wǎng)的計算機上使用。 第五十條 曾接入國際互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報相關(guān)領(lǐng)導(dǎo)審批， 經(jīng)安全檢測后方能接入。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第五十一條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。 第七章 訪問控制 第五十二條 本行負責建立訪問控制制度，對信息資產(chǎn)和服務(wù)的訪問和權(quán)限

23、分配進行控制。 第五十三條 信息資產(chǎn)的責任人負責確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運行維護科根據(jù)授權(quán)進行相關(guān)設(shè)定操作。第五十四條 信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼， 并對其訪問控制權(quán)限負責。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負責人分段設(shè)立。 第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操 作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準，不得代崗、兼崗。 第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問， 包括但不限于： （一）按照已定義的訪問控制策略鑒別授權(quán)用戶； （二）記錄成功和失敗的系統(tǒng)訪問企圖； （三）記錄專用系統(tǒng)特殊權(quán)限的使用情況； （四）當違反系統(tǒng)安全策略時

24、發(fā)布警報； （五）提供合適的身份鑒別手段； （六）限制用戶的連接時間。 第五十七條 對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于： （一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能； （二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任 何實用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進行未授權(quán)訪問； （三）為重要的敏感系統(tǒng)設(shè)立隔離的運行環(huán)境。 第五十八條 訪問控制實施細則詳見XX銀行信息系統(tǒng)訪問控制管理規(guī)定。 第八章 信息系統(tǒng)安全管理 第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

25、第六十條 信息系統(tǒng)安全管理實施細則詳見XX銀行計算機信息系統(tǒng)安全管理規(guī)定。 第一節(jié) 信息系統(tǒng)規(guī)劃與立項 第六十一條 信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部室提出的安全需求。（二）安全需求分析和實現(xiàn)。（三）運行平臺的安全策略與設(shè)計。 第六十二條 信息安全領(lǐng)導(dǎo)小組負責派遣相關(guān)部室安全員對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。 第二節(jié) 信息系統(tǒng)開發(fā)與集成 第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整實現(xiàn)。 第六十

26、四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員，不得在程序代碼中植入后門和惡意代碼程序。 第六十六條 信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進行。 第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。 第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。 第三節(jié) 信息

27、系統(tǒng)運行 第六十九條 信息系統(tǒng)上線運行實行安全審查機制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承建單位（部室）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。 （二）信息系統(tǒng)歸口責任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報信息科技部門。 （三）信息科技部應(yīng)提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。 第七十一條 系統(tǒng)管理員負責信息系統(tǒng)的日常運行管理，并建立重要信

28、息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。 第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責任 業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。 第七十三條 嚴格用戶和密碼（口令）的管理，嚴格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。 第七十四條 在信息系統(tǒng)運行維護過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求： （一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計功能，以達到相應(yīng)安全等級標準； （二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入； （三）及時、合

29、理安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞；篇三：金融機構(gòu)信息安全管理指引 附件 四川省銀行業(yè)金融機構(gòu)信息安全管理指引（試行） 第一章 總 則 第一條 為切實加強四川省銀行業(yè)金融機構(gòu)（以下簡稱銀行機構(gòu)）信息安全工作的管理和指導(dǎo)，進一步增強銀行機構(gòu)信息安全保障能力，保障國家經(jīng)濟金融運行安全，保護金融消費權(quán)益和維護.穩(wěn)定，根據(jù)國家和人民銀行總行有關(guān)規(guī)定和要求，特制訂本指引。 第二條 本指引所稱信息安全管理，是指在銀行機構(gòu)計算機系統(tǒng)建設(shè)、運行、維護、使用及廢止等過程中，保障計算機數(shù)據(jù)信息、計算機系統(tǒng)、網(wǎng)絡(luò)、機房基礎(chǔ)設(shè)施等安全的一系列活動。 第三條 四川省內(nèi)人民銀行分支機構(gòu)按屬地管理原則對轄內(nèi)銀

30、行機構(gòu)信息安全工作進行管理、指導(dǎo)和協(xié)調(diào)。各銀行機構(gòu)負責本系統(tǒng)（單位）的信息安全管理，完成人民銀行交辦的信息安全管理任務(wù)、接受人民銀行的監(jiān)督和檢查。 第四條 各銀行機構(gòu)信息安全管理工作的目標是：建立和完善與金融機構(gòu)信息化發(fā)展相適應(yīng)的信息安全保障體系，滿足金融機構(gòu)業(yè)務(wù)發(fā)展的安全性要求，保證信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施功能的正常發(fā)揮，有效防范、控制和化解信息技術(shù)風險，增強信息系統(tǒng)安全預(yù)警、應(yīng)急處臵和災(zāi)難恢復(fù)能力，保障數(shù)據(jù)安全，顯著提高金融機構(gòu)業(yè)務(wù)持續(xù)運行保障水平。 第五條 各銀行機構(gòu)信息安全管理工作的主要任務(wù)是： （一）加強組織領(lǐng)導(dǎo)，健全信息安全管理體制,建立跨部門、 3 跨行業(yè)協(xié)調(diào)機制； （二）加強信息

31、安全隊伍建設(shè)，落實崗位職責制，不斷提高信息安全隊伍業(yè)務(wù)技能； （三）保證信息安全建設(shè)資金的投入，將信息安全納入“五年”發(fā)展規(guī)劃和年度工作計劃，不斷完善信息安全基礎(chǔ)設(shè)施建設(shè)； （四）進一步加強信息安全制度和標準規(guī)范體系建設(shè)； （五）加大信息安全監(jiān)督檢查力度；加快以密碼技術(shù)應(yīng)用為基礎(chǔ)的網(wǎng)絡(luò)信任體系建設(shè)； （六）加強安全運行監(jiān)控體系建設(shè)； （七）大力開展信息安全風險評估，實施等級保護； （八）加快災(zāi)難恢復(fù)系統(tǒng)建設(shè)，建立和完善信息安全應(yīng)急響應(yīng)和信息通報機制； （九）廣泛、深入開展信息安全宣傳教育活動，增強全員安全意識。 第六條 本指引適用于在四川省內(nèi)設(shè)立的各政策性銀行、國有商業(yè)銀行、股份制銀行、郵政儲

32、蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、城市信用合作社、農(nóng)村信用合作社、村鎮(zhèn)銀行的總部和分支機構(gòu)。非銀行機構(gòu)參照執(zhí)行。 第二章 組織機構(gòu) 第七條 各銀行機構(gòu)應(yīng)建立健全信息安全管理機構(gòu)。應(yīng)建立由行領(lǐng)導(dǎo)負責、相關(guān)部門負責人及內(nèi)部專家組成的信息安全領(lǐng)導(dǎo)機構(gòu)，負責本系統(tǒng)（單位）信息安全管理工作，決策本系統(tǒng)（單位）信息安全重大事宜。 4 第八條 各銀行機構(gòu)應(yīng)設(shè)立或指定專門負責信息安全工作的部門，配備專門負責信息安全工作的人員，實行A、B崗制度。 第九條 各銀行機構(gòu)應(yīng)建立和完善統(tǒng)一的信息安全協(xié)調(diào)機制。應(yīng)建立內(nèi)外部協(xié)調(diào)機制，加強信息安全的交流、溝通和協(xié)作，充分發(fā)揮縱向、橫向協(xié)調(diào)的組織保障作用，有效提升信息安全保

33、障能力。 第十條 各銀行機構(gòu)應(yīng)明確信息安全管理部門、運營部門和應(yīng)用部門的信息安全管理職責分工，科學制定安全規(guī)劃，有效組織實施安全策略。 第十一條 各銀行機構(gòu)應(yīng)建立完善的信息安全制度管理體系。 第十二條 各銀行機構(gòu)信息安全分管行領(lǐng)導(dǎo)、信息安全主管部門及部門負責人變更后，應(yīng)報當?shù)厝嗣胥y行備案。 第三章 人員管理 第十三條 各銀行機構(gòu)的工作人員應(yīng)根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全管理職責。 第十四條 各銀行機構(gòu)應(yīng)選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。 第十五條 各銀行機構(gòu)應(yīng)加大人才培養(yǎng)力度，每年至少對信息安全管理人員進行一次信息安全培訓，適時對工作人員進行信息安全知識培訓。 第十六條 各銀行機構(gòu)信息安全管理人員應(yīng)認真履行職責： （一）組織落實信息安全管理規(guī)定和本單位及分支機構(gòu)信息安全保障工作，制定信息安全管理制度。 5