第一篇:信息安全管理辦法
HYW3-111-XZ15
XXXXZDXXXXXXXX電廠管理制度
Net
信息安全管理辦法
2015-9-10發布 2015-9-10實施
XXXXXXXX電廠 發 布 HYW3-111-XZ15
XXXXXXXX電廠 信息安全管理辦法
第一章 總 則
第一條 為了加強XXXXXXXX電廠(以下簡稱“電廠”)信息的安全管理,確保公司信息系統安全、穩定運行,特制定本辦法。
第二條 本辦法規定了信息安全管理的職責、內容和方法,本辦法適用于電廠各部門。
第二章 人員與帳戶
第三條 電廠的所有員工都必須接受信息安全培訓,培訓由電廠人力資源部組織,信息中心協助。
第四條 信息中心統一管理各應用系統中的帳戶信息,包括用戶基本信息、用戶帳號、權限等。信息中心應在接到人力資源部門的員工職位變動或離職的通知后,根據具體情況及時調整相應的帳戶信息。
第五條 員工離職時必須將其掌管的信息資產(如電腦、打印機等)移交信息中心,信息中心進行清點和核查。必要時,還需要檢查此員工管理的信息系統,以確認系統安全、正常,沒有遭受蓄意破壞。
第三章 口令策略
第六條 信息系統中所需要的所有口令應至少滿足以下要求:
(一)長度:至少6位,建議在16位以下。
(二)復雜度:可以由大小寫字母、數字和普通符號組成。
(三)有效期:口令應每季度更換。
(四)更換策略:新口令至少與前3次的口令不能相同。
第四章 特權帳號的控制
第七條 特權帳號是指具有特殊管理功能和權限的專用賬號,如:具有應用系統管理權、數據庫管理權、操作系統管理權的帳號,還包括網絡設備特權帳號等。
第八條 特權帳號應由專人管理和使用,責任到人。特權帳號使用人在出差、請假期間,應將特權帳號轉交給信息中心負責人指定的人員。特權帳號使用人長期離開時,應將特權帳號交給信息中心負責人。
第九條 使用特權帳號后,特權帳號使用人應將其操作情況記錄在《操作日志》中。信息中心負責人每季度對《操作日志》進行審核。
第十條 特權帳號使用人在進行操作時,不得擅自離開;操作完成后,應立即退出登錄,以防賬號被竊用。
HYW3-111-XZ15
第五章 安全檢查和審計
第十一條 信息中心安全管理員對防火墻進行管理,按照電廠有關技術規范的要求和本單位的實際情況配置相應的安全策略。防火墻必須保留完整的日志記錄,安全管理員對其每月進行檢查、分析和審計。
第十二條 應用系統、操作系統和數據庫的自動日志記錄應完整保留,以便對其使用情況進行檢查和審計。
第六章 病毒防護
第十三條 電廠內部網絡內所有采用windows操作系統的計算機(包括服務器、臺式機和筆記本)都必須安裝電廠統一的防病毒軟件,防病毒軟件的安裝、升級、更新和策略設置由信息中心負責,電腦終端用戶不得擅自卸載殺毒軟件或更改其設置。
第七章 數據安全與保護
第十四條 重要數據的安全保護工作由電廠信息中心負責,按照數據重要性的分類應采用不同的備份和管理的策略。
第十五條 重要數據進行銷毀或存儲介質報廢時,應確保對數據存儲介質的物理銷毀或清除。
第十六條 信息中心的技術資料、軟件安裝介質、軟件授權以及設備保修卡等重要資料應指定專人分類妥善保管。上述資料應存放在防火、防潮并且上鎖的資料柜中,借出時應登記,避免遺失。
第八章 安全應急處理
第十七條 信息系統受到惡意攻擊或發生重大事故時,信息中心負責應急和恢復工作。信息中心應對主要事故和攻擊的情況做出預案,以確保能迅速恢復系統的正常運行。
第十八條 信息系統受到非法攻擊或發生重大事故后,信息中心應對系統的安全性重新進行全面的評估,制訂相應的整改措施并落實執行。
第十九條 建立信息系統問題匯報機制,信息中心根據問題的性質、影響大小和發生頻度對電廠的信息系統進行分類匯總,信息化領導小組每季度審閱相應的報告,對其中特別重大的事件(例如;重大安全事件〈黑客攻擊〉、主要系統的設備損毀、病毒造成的電廠范圍的網絡癱瘓)應及時上報,同時向上級公司信息中心匯報。
第九章 附 則
第二十條 本辦法由電廠行政部信息中心負責解釋。
第二十一條
本辦法自發布施行。
第二篇:商業銀行信息安全管理辦法
XX銀行
信息安全管理辦法
第一章 總 則
第一條 為加強XX銀行(下稱 “本行”)信息安全管理,防范信息技術風險,保障本行計算機網絡與信息系統安全和穩定運行,根據 《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等,特制定本辦法。
第二條 本辦法所稱信息安全管理,是指在本行信息化項目立項、建設、運行、維護及廢止等過程中保障信息及其相關系統、環境、網絡和操作安全的一系列管理活動。
第三條 本行信息安全工作實行統一領導和分級管理,由分管領導負責。按照“誰主管誰負責,誰運行誰負責,誰使用 誰負責”的原則,逐級落實部門與個人信息安全責任。
第四條 本辦法適用于本行。所有使用本行網絡或信息資源的其他外部機構和個人均應遵守本辦法。
第二章 組織保障
第五條 常設由本行領導、各部室負責人及信息安全員組成的信息安全領導小組,負責本行信息安全管理工作,決策信息安全重大事宜。
第六條 各部室、各分支機構應指定至少一名信息安全員,配合信息安全領導小組開展信息安全管理工作,具體負責信息安
—1— 全領導小組頒布的相關管理制度及要求在本部室的落實。
第七條 本行應建立與信息安全監管機構的聯系,及時報告各類信息安全事件并獲取專業支持。
第八條 本行應建立與外部信息安全專業機構、專家的聯系,及時跟蹤行業趨勢,學習各類先進的標準和評估方法。
第三章 人員管理
第九條 本行所有工作人員根據不同的崗位或工作范圍,履行相應的信息安全保障職責。日常員工信息安全行為準則參見《XX銀行員工信息安全手冊》。
第一節 信息安全管理人員
第十條 本辦法所指信息安全管理人員包括本行信息安全領導小組和信息安全工作小組成員。
第十一條 應選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和本行有關規定受到過處罰或處分的人員,不得從事此項工作。
第十二條 信息安全管理人員每年至少參加一次信息安全相關培訓。
第十三條 安全工作小組在如下職責范圍內開展信息安全管理工作:
(一)組織落實上級信息安全管理規定,制定信息安全管理制度,協調信息安全領導小組成員工作,監督檢查信息安全管理工作。
—2 —
(二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設。
(三)定期監督網絡和信息系統的安全運行狀況,檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見。
(四)統計分析和協調處臵信息安全事件。
(五)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。
第十四條 信息安全領導小組成員在如下職責范圍內開展工作:
(一)負責本行信息安全管理體系的落實。
(二)負責提出本行信息安全保障需求。
(三)負責組織開展本行信息安全檢查工作。
第二節 技術支持人員
第十五條 本辦法所稱技術支持人員,是指參與本行網絡、信息系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。
第十六條 本行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中,應承擔如下安全義務:
(一)不得對外泄漏或引用工作中觸及的任何敏感信息。
(二)嚴格權限訪問,未經業務主管部室授權 不得擅自改變系統設臵或修改系統生成的任何數據。
(三)主動檢查和監控生產系統安全運行狀況,發現安全
—3— 隱患或故障及時報告本部室主管領導,并及時響應、處臵。
(四)嚴格操作管理、測試管理、應急管理、配臵管理、變更管理、檔案管理等工作制度,做好數據備份工作。
第十七條 外部技術支持人員應嚴格履行外包服務合同(協議)的各項安全承諾,簽署保密協議。提供技術服務期間,嚴格遵守本行相關安全規定與操作規程。不得拷貝或帶走任何配臵參數信息或業務數據,不得對外泄漏或引用任何工作信息。
第三節 一般計算機用戶
第十八條 本規定所稱一般計算機用戶是指使用計算機設備的所有人員。
第十九條 一般計算機用戶應承擔如下安全義務:
(一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部室信息安全員的指導與管理。
(二)不得安裝與辦公和業務處理無關的其他計算機軟件和硬件,不得修改系統和網絡配臵以屏蔽信息安全防護。
(三)不得在辦公用計算機上安裝任何盜版或非授權軟件。
(四)未經信息安全管理人員檢測和授權,不得將內部網絡的計算機轉接入國際互聯網;不得將個人計算機接入內部網絡或私自拷貝任何信息。
第四章 資產管理
第二十條 本行對所有信息資產進行識別、評估相對價值及重要性,建立資產清單并說明使用規則,明確定義信息資產責任—4 — 人及其職責。細則參見《XX銀行信息資產分類分級管理規定》。
第二十一條 按照信息資產的價值、法律要求及敏感程度和對業務關鍵程度,分別依據機密性、完整性、可用性三個屬性對信息資產進行分類分級,并建立相應的標識和處理制度。
第二十二條 依照信息資產的分類分級采取不同的安全保護措施,制定完善的訪問控制策略,防止未經授權的使用。
第二十三條 依據《XX銀行介質管理規范》加強介質管理與銷毀操作管理,確保本行數據的可用性、保密性、完整性。
第五章 物理環境安全管理 第一節 機房安全管理
第二十四條 本規定所稱機房是指信息系統主要設備放臵、運行的場所以及供配電、通信、空調、消防、監控等配套環境設施。
第二十五條 本行機房的信息安全管理由本行本行信息科技部門負責具體實施和落實。
第二十六條 建立機房設施與場地環境監控系統,對機房空調、消防、不間斷電源(UPS)、供配電、門禁系統等重要設施實行全面監控。
第二十七條 建立健全機房管理制度,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經過相關專業培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發現問題及時報告。機房管理員負責保管機房建設或改造的所有文
—5— 檔、圖紙以及機房運行記錄等有關資料,并隨時提供調閱。
第二十八條 建立機房定期維修保養制度。易受季節、溫度等環境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養的重點。
第二十九條 依據《浙江省農村合作金融機構機房管理指引》進一步規范機房建設、改造和驗收過程,落實機房管理。
第三十條 信息安全領導小組負責定期審核機房安全管理落實情況,并保留相應的審核記錄和審核結果。
第二節 重要區域安全管理
第三十一條 本章節所指重要區域為:本行信息中心主備機房和運維監控室等區域。本行信息中心負責制定和執行運維監控方面的安全管理制度。
第三十二條 重要區域應嚴格出入安全管理,安裝門禁、視頻監視錄像系統,實行定時錄像監控,并適當配臵自動監控報警功能。
第三十三條 所有門禁、視頻監視錄像系統的信息資料至少保存三個月。
第三節 辦公環境安全管理
第三十四條 在本行大樓入口應設臵門衛或接待員,負責出入或公共訪問區域的物理安全管理和外來人員的出入登記。
第三十五條 本行信息中心樓層設立門禁,加強人員進出管理。
第三十六條 本行信息中心員工應在公共接待區接待外來人—6 — 員,未經允許,不得私自將外來人員帶入辦公區域內。
第三十七條 未經允許,嚴禁在信息中心辦公區域內進行攝影、攝像、錄音等記錄日常辦公行為的活動。
第六章 網絡安全管理
第一節 網絡規劃、建設中的安全管理
第三十八條 本行網絡信息科技部負責網絡和網絡安全的統一規劃、建設部署、策略配臵和網絡資源(網絡設備、通訊線路、IP 地址和域名等)分配。
第三十九條 按照統一規劃和總體部署原則,由信息科技部組織實施網絡建設、改造工程,工程投產前應通過安全測試與評估。
第四十條 本行網絡建設和改造應符合如下基本安全要求:
(一)網絡規劃應有完整的安全策略,保障網絡傳輸與應用安全。
(二)具備必要的網絡監測、跟蹤和審計等管理功能。
(三)針對不同的網絡安全域,采取必要的安全隔離措施。
(四)能有效防止計算機病毒對網絡系統的侵擾和破壞。
第二節 網絡運行安全管理
第四十一條 信息科技部應建立健全網絡安全運行方面的制度,配備專職網絡管理員。網絡管理員負責日常監測和檢查網絡 安全運行狀況,管理網絡資源及其配臵信息,建立健全網絡運行維護檔案,及時發現和解決網絡異常情況。
—7— 第四十二條 網絡管理員應定期參加網絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能。
第四十三條 嚴格網絡接入管理。任何設備接入網絡前,接入方案、設備的安全性等應經過網絡管理人員的審核與檢測,審 核(檢測)通過后方可接入并分配相應的網絡資源。
第四十四條 嚴格網絡變更管理。網絡管理員調整網絡重要參數配臵和服務端口時,應嚴格遵循變更管理流程。實施有可能影響網絡正常運行的重大網絡變更,應提前通知相關業務部門并安排在非交易時間或交易較少時間進行,同時做好配臵參數的備份和應急恢復準備。
第四十五條 嚴格遠程訪問控制。確因工作需要進行遠程訪問的人員應向信息簡科技部提出書面申請,并采取相應的安全防護措施。
第四十六條 信息安全管理人員負責定期對網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外 界提供。未經授權,任何外部單位與人員不得檢測、掃描本行網絡。
第三節 接入國際互聯網管理
第四十七條 信息科技部負責制定本行互聯網方面管理制度,對互聯網接入進行嚴格的控制,防范來自互聯網的威脅。
第四十八條 本行內部業務網、辦公網與國際互聯網實行安全隔離。所有接入內部網絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯網。
—8 — 第四十九條 內部網絡計算機嚴禁接入國際互聯網,確有必要接入國際互聯網的應通過信息安全工作小組審核并上報相關領導審批,確保安裝有指定的防病毒軟件和最新補丁程序。經審批后連接國際互聯網 的計算機,不得存留涉密金融數據信息;存有涉密金融數據信息的介質,不得在接入國際互聯網的計算機上使用。
第五十條 曾接入國際互聯網的計算機嚴禁接入內部網絡,確有必要接入內部網絡的應通過安全工作小組審核并上報相關領導審批,經安全檢測后方能接入。從國際互聯網下載的任何信息,未經病毒檢測不得在內部網絡上使用。
第五十一條 使用國際互聯網的所有用戶應遵守國家有關法律法規和本行相關管理規定,不得從事任何違法違規活動。
第七章 訪問控制
第五十二條 本行負責建立訪問控制制度,對信息資產和服務的訪問和權限分配進行控制。
第五十三條 信息資產的責任人負責確定信息資產和服務的訪問權限,運行維護科根據授權進行相關設定操作。
第五十四條 信息系統用戶設臵本人的用戶和密碼,并對其訪問控制權限負責。重要信息系統操作人員的密碼應由系統管理員和業務部門負責人分段設立。
第五十五條 凡是能夠執行錄入、復核制度的信息系統,操作人員不得一人兼錄入、復核兩職。未經主管領導批準,不得代
—9— 崗、兼崗。
第五十六條 應啟用安全措施限制授權用戶對操作系統的訪問,包括但不限于:
(一)按照已定義的訪問控制策略鑒別授權用戶;
(二)記錄成功和失敗的系統訪問企圖;
(三)記錄專用系統特殊權限的使用情況;
(四)當違反系統安全策略時發布警報;
(五)提供合適的身份鑒別手段;
(六)限制用戶的連接時間。
第五十七條 對應用系統和信息的邏輯訪問應只限于已授權的用戶。對應用系統的訪問控制措施包括但不限于:
(一)按照定義的訪問控制策略,控制用戶訪問信息和應用系統的特定功能;
(二)防止能夠繞過系統控制或應用控制的任 何實用程序、系統軟件和惡意軟件對系統進行未授權訪問;
(三)為重要的敏感系統設立隔離的運行環境。
第五十八條 訪問控制實施細則詳見《XX銀行信息系統訪問控制管理規定》。
第八章 信息系統安全管理
第五十九條 本規定所指的信息系統是本行業務處理系統、管理信息系統和日常辦公自動化系統等,包括數據庫、軟件和硬件支撐環境等。
— —10
第六十條 信息系統安全管理實施細則詳見《XX銀行計算機信息系統安全管理規定》。
第一節 信息系統規劃與立項
第六十一條 信息系統建設項目應在規劃與立項階段同步考慮安全問題,建設方案應滿足信息安全管理的相關要求。項目技術方案應包括以下基本安全內容:
(一)業務需求部室提出的安全需求。
(二)安全需求分析和實現。
(三)運行平臺的安全策略與設計。
第六十二條 信息安全領導小組負責派遣相關部室安全員對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節 信息系統開發與集成
第六十三條 信息系統開發應符合軟件工程規范,依據安全需求進行安全設計,保證安全功能的完整實現。
第六十四條 信息系統開發單位應在完成開發任務后將程序源代碼及相關技術資料全部移交本行。外部開發單位還應與本行簽署相關知識產權保護協議和保密協議,不得將信息系統采用的關鍵安全技術措施和核心安全功能設計對外公開。
第六十五條 信息系統的開發人員不能兼任信息系統管理員或業務系統操作人 員,不得在程序代碼中植入后門和惡意代碼程序。
第六十六條 信息系統開發、測試、修改工作不得在生產環
—11— 境中進行。
第六十七條 涉密信息系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業,并簽訂嚴格的保密協議。
第六十八條 系統上線前應開展代碼審計過程檢查源代碼中的缺點和錯誤信息,避免引發安全漏洞。
第三節 信息系統運行
第六十九條 信息系統上線運行實行安全審查機制,未通過安全審查的任何新建或改造信息系統不得投產運行。具體要求如下:
(一)項目承建單位(部室)應組織制定安全測試方案,進行系統上線前的自測試并形成測試報告,報信息科技部審查。
(二)信息系統歸口責任業務部室應在信息系統投產運行前同步制定相關安全操作規定,報信息科技部門。
(三)信息科技部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或實施信息系統漏洞掃描檢測。
第七十條 信息系統投入使用前信息中心應當建立相應的操作規程和安全管理制度,以防止各類安全事故的發生。
第七十一條 系統管理員負責信息系統的日常運行管理,并建立重要信息系統運行維護檔案,詳細記錄系統變更及操作過程。重要業務系統的系統操作要求雙人在場。
第七十二條 系統管理員不得兼任業務操作人員。系統管理員確需對業務系統進行維護性操作的,應征得業務系統歸口責任
— —12業務處室同意并在業務操作人員在場的情況下進行,并詳細記錄維護內容、人員、時間等信息。
第七十三條 嚴格用戶和密碼(口令)的管理,嚴格控制各級用戶對數據的訪問權限。
第七十四條 在信息系統運行維護過程中,系統管理人員應遵守但不限于以下要求:
(一)合理配臵操作系統、數據庫管理系統所 提供的安全審計功能,以達到相應安全等級標準;
(二)屏蔽與應用系統無關的所有網絡功能,防止非法用戶的侵入;
(三)及時、合理安裝正式發布的系統補丁,修補系統存在的安全漏洞;
(四)啟用系統提供的審計功能,或使用第三方手段實現審計功能,監測系統運行日志,掌握系統運行狀況;
(五)按照網絡管理規范及其業務應用范圍設臵設備的 IP 地址及網絡參數,非系統管理人員不得修改。
第四節 信息系統廢止
第七十五條 廢止信息系統及其存儲介質在報廢或重用前,應根據其安全級別,進行消磁或安全格式化,以避免信息泄露。
第七十六條 對已經廢止的信息系統軟件和數據備份介質,按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的,應在信息安全領導小組監督下予以不可恢復性銷毀。
—13—
第九章 客戶端安全管理
第七十七條 本辦法所稱客戶端是指本行計算機用戶、網絡與信息系統所使用的終端設備,包括聯網桌面終端、柜面 終端、單機運行(啞)終端、遠程接入終端、便攜式計算機設備等。
第七十八條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。
第七十九條 客戶端應統一安裝病毒防治軟件,設臵用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。
第八十條 確因工作需要經授權可遠程接入內部網絡的用戶,應嚴格保存其身份認證介質及口令密碼,不得轉借其他人使用。
第八十一條 規范存儲本單位商密信息的計算機設備的安全管理,包括:開發用終端、生產主機及其他計算機設備。
第十章 信息安全專用產品、服務管理
第一節 資質審查與選型購臵
第八十二條 本規定所稱信息安全專用產品,是指本行安裝使用的專用安全軟件、硬件產品。本規定所稱信息安全服 務,是指本行向社會購買的專業化安全服務。
第八十三條 本行負責信息安全服務提供商的資質審查和信息安全專用產品的選型,由采購科室按照采購程序選購。
第八十四條 安全專用產品在準入審核時,供應商應提出申 — —14請并提供下列資料:
(一)公安部頒發的安全專用產品銷售許可證和其他必須的證明材料;
(二)產品型號、產地、功能及報價;
(三)產品采用的技術標準,產品功能及性能的說明書;
(四)生產企業概況(包括人員、設備、生產條件、隸屬關系等);
(五)供應商的質量保證體系、售后服務措施等情況的說明。
第八十五條 安全專用產品有下列情形之一的,取消其準入資格:
(一)安全專用產品的功能已發生變化,但未通過檢測的;
(二)經使用發現有嚴重問題的;
(三)不能提供良好售后服務的;
(四)國家有關部門取消其銷售資格的。
第二節 使用管理
第八十六條 掃描、檢測類信息安全專用產品僅限于信息安全管理人員使用。
第八十七條 信息科技部定期檢查各類信息安全專用產品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發現重大問題,立即采取控制措施并按規定程序報告。
第八十八條 信息科技部應及時升級維護信息安全專用產品,凡因超過使用期限的或不能繼續使用的信息安全專用產品,應報信息安全領導小組批準后,按照固定資產報廢審批程序處
—15— 理。
第十一章 文檔、數據與密碼應用安全管理
第一節 技術文檔
第八十九條 本規定所稱技術文檔是指本行網絡、信息系統和機房環境等建設與運行維護過程中形成的各種技術資料,包括紙質文檔、電子文檔、視頻和音頻文件等。
第九十條 各部室負責將技術文檔統一歸檔。未經本行領導批準,任何人不得將技術文檔轉借、復制和對外公布。
第二節 存儲介質
第九十一條 建立健全磁帶、光盤、移動存儲介質、縮微膠片、已打印文檔等存儲介質管理流程。所有存儲介質應保存在安全的物理環境中并有明晰的標識。重要信息系統備份介質應按規定異地存放。
第九十二條 做好存儲介質在物理傳輸過程中的安全控制,選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。
第九十三條 加強對移動存儲設備(U盤、軟盤、移動硬盤等)的使用管理。對系統升級專用的移動存儲設備應按照相關規定由專人負責管理。
第九十四條 建立存儲介質銷毀機制,對載有敏感信息的存儲介質應按照其安全等級,采用安全格式化、消磁等不可復原的方式進行處臵并做好記錄。
— —16 第九十五條 介質管理實施細則詳見《XX銀行介質管理規范》。
第三節 數據安全
第九十六條 本規定中所稱的數據是指以電子形式存儲的本行業務數據、辦公信息、系統運行日志、故障維護日志以及其他內部資料。
第九十七條 數據的所有者(部室)負責提出數據在輸入、處理、輸出等不同狀態下的安全需求,信息科技部負責審核安全需求并提供一定的技術實現手段。
第九十八條 嚴格管理業務數據的增加、修改、刪除等變更操作,進行業務數據有效性檢查,按照既定備份策略執行數據備 份任務,并定期測試備份數據的有效性。
第九十九條 系統管理員負責定期導出網絡和重要信息系統日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年,妥善保管。
第一百條 本行信息科技部負責建立備份數據銷毀方面的管理制度,根據數據重要性級別分類采取相應的備份數據的保 存時限和密級,并根據介質處臵相關要求進行銷毀處理。
第一百零一條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的,應把口令密碼密封后與數據備份介質一并妥善保管。
第一百零二條 生產數據的調用提取應遵守《XX銀行計算機系統生產數據調用及維護操作規程》。
—17—
第四節 口令密碼
第一百零三條 信息科技部負責制定和維護密碼管理方面的制度,嚴格執行密碼安全管理策略。
第一百零四條 系統管理員、數據庫管理員、網絡管理員、業務操作人員的用戶均須設臵口令密碼,至少每三個月更換一次。口令密碼的強度應滿足必要的安全性要求。
第一百零五條 敏感信息系統和設備的口令密碼設臵應在安全的環境下進行,必要時應將口令密碼筆錄,密封交相關部室保管。未經本行分管領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。
第一百零六條 應根據實際情況在一定時限內妥善保存重要信息系統升級改造前的口令密碼。
第五節 密碼技術應用管理
第一百零七條 本行涉密網絡和信息系統應嚴格 按照國家密碼政策規定,采用相應的加密措施。非涉密網絡和信息 系統應依據本行實際需求和統一安全策略,合理選擇加密措施。
第一百零八條 密碼產品和加密算法的選擇應符合國家 相關密碼管理政策規定,密碼產品自身的物理和邏輯安全性應符合本行的相關安全要求。
第一百零九條 本行信息科技部負責建立和執行密鑰管理方面的制度,選擇密碼管理人員必須是本單位在編的正式員工,并逐級進行備案,規范管理密鑰產生、存儲、分發、使用、廢除、歸檔、銷毀等過程。
— —18 第一百一十條 應在安全環境中進行關鍵密鑰的備份工作,并設臵遇緊急情況下密鑰報廢、銷毀機制。
第一百一十一條 各類密鑰應定期更換,對已泄漏或懷疑泄漏的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十二章 第三方訪問和外包服務安全管理
第一節 第三方訪問控制
第一百一十二條 本規定所稱第三方訪問是指本行之外的單位和個人物理訪問本行計算機房,或者通過網絡連 接邏輯訪問本行數據庫和信息系統等活動。
第一百一十三條 信息科技部負責在第三方與本行合作前對其資質進行調查。本行內部信息系統和相關網絡的第三方訪問授權需經本行領導的審批授權。未經授權的任何第三方訪問均視為非法入侵行為。
第一百一十四條 允許被第三方訪問的本行信息系統和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監督第三方訪問活動。
第一百一十五條 獲得第三方訪問授權的所有單位和個人應與本行簽訂安全保密協議,不得進行未授權的修改、增加、刪除數據操作,不得復制和泄漏本行任何信息。
第一百一十六條 第三方訪問控制實施細則詳見《XX銀行第三方安全管理規定》。
第二節 外包服務管理
—19— 第一百一十七條 本規定所稱外包服務,是指由本行之外的其他社會廠商為本行信息系統、網絡或桌面環境提 供全面或部分的技術支持、咨詢等服務。外包服務應簽訂正式的外包服務協議,明確約定雙方義務。
第一百一十八條 外包服務提供商提供上門維護服務的,經信息科技部批準后,由本行內部人員現場陪同實施。外包服務提供商不得查看、復制本行內部信息或將內部介質帶離。
第一百一十九條 計算機設備確需送外單位維修時,本行應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第一百二十條 外包服務管理詳見《XX銀行IT外包管理暫行辦法》。
第十三章 事件報告、災難備份與應急管理
第一節 事件報告
第一百二十一條 信息安全事件按照信息安全事件報告流程進行報告,一般信息安全事件應逐級通報,發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的重大信息安全事件,應上報告計算機安全領導小組。
第一百二十二條 重大信息安全事件發生后,相關人員應注意保護事件現場,采取必要的控制措施,調查事件原因,并及時 — —20報告主管領導及計算機安全領導小組。必要時啟動相關應急預案。
第二節 災難備份管理
第一百二十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業務數據和信息系統在地震、水災、火災、戰 爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件(以下稱“災難”)發生后在規定的時間內可以恢復和繼續運營的有序管理過程。
第一百二十四條 本行在本行計算機信息系統應急領導小組統一領導下,組織開展重要信息系統災難備份的統一規劃、實施和管理。
第一百二十五條 本行業務部室負責提出業務系統災難備份需求,明確可容忍的業務中斷時間和數據丟失量。本行據此確定災難備份等級和備份方案。
第一百二十六條 本行業務部室和本行協同建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,每年進行一次重要信息系統的災難恢復演練。
第三節 應急管理
第一百二十七條 本行信息科技部負責制定和持續完善網絡、信息系統和機房環境等應急預案。應急預案應包括以下基本內容:
(一)總則(目標、原則、適用范圍、預案調用關系等)。
(二)應急組織機構。
—21—
(三)預警響應機制(報告、評估、預案啟動等)。
(四)各類危機處臵流程。
(五)應急資源保障。
(六)事后處理流程。
(七)預案管理與維護(生效、演練、維護等)。
第一百二十八條 本行計算機信息系統應急領導小組統一負責各業務系統的應急協調與指揮,決策重大事宜(決定應急預案的啟 動、災難宣告、預警相關單位等)和調動應急資源。
第一百二十九條 本行定期組織應急預案演練,指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及 演練情況適時予以更新和完善,確保應急預案的有效性和災難發生時的可獲取性。
第一百三十條 在信息系統推廣應用方案中應同時設計應急備份策略,同步實施備份方案。
第一百三十一條 應急管理實施細則詳見《XX銀行計算機信息系統應急管理制度》。
第十四章 安全監測、檢查、評估與審計
第一百三十二條 本行信息科技部負責每年至少進行一次本行范圍內的內部信息安全相關的檢查或評估工作。
第一百三十三條 本行負責每年組織對各部室、各分支機構的計算機安全運行情況進行檢查(以下簡稱“對下安全檢查”)。
第一節 安全監測
第一百三十四條 本行信息中心負責整合和利用現有網絡管 — —22理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要信息系統和機房環境等設施的安全運行監測。
第一百三十五條 本行各部室要及時預警、響應和處臵運行監測中發現的問題,發現重大隱患和運行事故應及時協調解決,并報上一級相關部門。
第二節 安全檢查
第一百三十六條 本行安全檢查包括對本行本級的安全檢查和對下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。
第一百三十七條 開展安全檢查前,應以已經發布的相關安全管理制度為依據,制定詳細的檢查方案、提綱和計劃等,確保檢查工作的可操作性和規范性。
第一百三十八條 安全檢查完成后應及時形成檢查報告,經主管領導批準后將檢查整改報告盡快送達被檢查部門。要求限期整改的,需要對相關整改情況進行后續跟蹤。
第一百三十九條 參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為本行內部材料妥善保管,不得向外界泄漏。
第三節 安全評估
第一百四十條 安全評估應在不影響信息系統正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報主管領導。
第一百四十一條 如聘請第三方機構進行安全評估,應報本
—23— 行主管部門批準,并與第三方評估機構簽訂安全保密協議 后方可進行。本行信息安全管理人員全程參與評估過程并實施監督。
第一百四十二條 應妥善保管信息安全評估報告,未經授權不得對外透露評估信息。
第四節 安全審計
第一百四十三條 適時開展信息系統日常運行管理和信息安全事件的技術審計,發現問題按照相關規定及時上報主管領導。
第一百四十四條 應做好操作系統、數據庫管理系統等審計功能配臵管理,應完整保留相關日志記錄,一般保留至少一個月,涉及資金交易的業務系統日志應根據需要確定保留時間。
第一百四十五條 本行各部室及人員應積極支持與配合上級審計部門或外部審計機構開展的信息安全審計。
第十五章 附 則
第一百四十六條 本行之前發布的其他信息安全管理辦法如與本辦法不一致的,按本辦法執行。
第一百四十七條 本辦法由本行負責制定,解釋。
第一百四十八條 本辦法自發布之日起執行。
— —24
第三篇:項目信息安全管理辦法
關于**項目信息安全管理辦法
為了規范及加強**項目的信息安全管理工作,特制定<<**項目信息安全管理辦法>>,并嚴格按要求執行,具體如下:
一、硬件設備及軟件信息安全管理
1、按照**客服供應商硬件及軟件設備要求標準進行配置,確保符合標準。并定期維護。
要求:技術員定期維護,對于損壞、無法修復、多次修復仍然存在問題的電腦及時進行更換。
對象:**項目組座席、管理使用的電腦 實施時間:隨時檢查,每月排查登記一次
違規處罰:未按規定時間完成的考核技術負責人500元/次。
2、招募第三方安全公司,按**客服供應商對第三方安全公司的安全測評要求來進行招標,定期上報安全測評報告,并對存在的信息安全、網絡安全等隱患或漏洞進行排查整改。對象:**項目組所使用設備、軟件等 實施時間:每季度測評一次
違規處罰:未按規定時間完成的考核技術負責人500元/次。
3、外網訪問、系統更新補丁、防火墻檢查、機房電腦USB端口的禁用等檢查工作
要求:對海口職場電腦外網訪問進行嚴格審查,無關于工作的外網一律禁止訪問,對于網盤、視頻、音樂、非工作用的在線聊天軟
件等進行屏蔽。每周定期打系統更新補丁,每周定期對防火墻進行檢查、打補丁,每周定期對機房電腦USB端口禁用進行檢查
對像:機房座席電腦、管理人員使用的電腦、服務器。
實施時間:每周定期檢查,并做好技術維護日志登記工作。以便可追溯。
違規處罰:未按規定時間完成的考核技術負責人500元/次。如有出現擅自開通外網、解禁USB端口等出現危害信息安全等行為的,一律按500元/次進行考核,嚴重的做辭退處理。并承擔由此造成的經濟損失。
4、硬件設備、軟件等信息安全檢查要求
要求:
1、對**項目所有電腦按區域進行劃分,共5個區域。
2、專人負責,每個區域由團隊長進行管理。
3、每周各區域負責人對管轄區域信息安全進行檢查及檢查。
4、檢查完畢后團隊長填寫《信息安全檢查表》,并簽名。
5、中心經理每日對團隊長信息安全工作及簽名進行檢查,一旦出現未按要求完成工作則納入考核。
實施時間:每周日前完成
違規處罰:不按時完成工作及簽名者,考核200元/次。
二、座席入職及職場信息安全管理
1、座席信息安全保密工作
要求:座席上崗前100%簽訂保密協議,并通過信息安全制度考試后
方可上崗。對信息安全相關考核及連帶責任條例進行簽字確認認同并無異議。每月業務考試中加入信息安全考核內容,定期考核。在崗期間不得將工作資料、客戶信息等紙質文件、電子文檔等在未經項目經理允許的情況下帶離公司,不得將涉及公司及客戶信息安全的資料發到自己的社交媒體如QQ群、QQ空間、微信群、微信朋友圈、電子郵箱等。在崗期間不得在非工作群內談論客戶信息、發布客戶信息等行為。
實施時間:新員工入崗前完成,崗中每月業務考試中進行考核,項目主管、團隊長不定期檢查座席的空間、朋友圈等。
違規處罰:如有違例扣罰當事人500元/次,并承擔由此造成的經濟損失,如涉及法律相關問題,應配合公司應訴并承擔相應法律責任。
2、機房現場信息安全防范工作
要求:非**項目組員工不得進入**機房內,進出機房需使用門禁系統,進入機房不得攜帶手機、數碼相機、U盤、筆記本電腦、錄音筆等非工作設備。
實施時間:每日班前會進行檢查,每日執行
違規處罰:如有違例扣罰當事人500元/次,并承擔由此造成的經濟損失,如涉及法律相關問題,應配合公司應訴并承擔相應法律責任。
**項目組信息安全條例根據**總部相關條例及時進行調整。員工保密協議、信息安全考試、技術維護日志等均納入運營管理績效考核中。如未按要求執行則承擔相應考核。
第四篇:銀行信息安全管理辦法
XX銀行
信息安全管理辦法
第一章 總 則
第一條 為加強XX銀行(下稱 “本行”)信息安全管理,防范信息技術風險,保障本行計算機網絡與信息系統安全和穩定運行,根據 《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等,特制定本辦法。
第二條 本辦法所稱信息安全管理,是指在本行信息化項目立項、建設、運行、維護及廢止等過程中保障信息及其相關系統、環境、網絡和操作安全的一系列管理活動。
第三條 本行信息安全工作實行統一領導和分級管理,由分管領導負責。按照“誰主管誰負責,誰運行誰負責,誰使用 誰負責”的原則,逐級落實部門與個人信息安全責任。第四條 本辦法適用于本行。所有使用本行網絡或信息資源的其他外部機構和個人均應遵守本辦法。
第二章 組織保障
第五條 常設由本行領導、各部室負責人及信息安全員組成的信息安全領導小組,負責本行信息安全管理工作,決策信息安全重大事宜。
第六條 各部室、各分支機構應指定至少一名信息安全員,配合信息安全領導小組開展信息安全管理工作,具體負責信息安全領導小組頒布的相關管理制度及要求在本部室的落實。第七條 本行應建立與信息安全監管機構的聯系,及時報告各類信息安全事件并獲取專業支持。
第八條 本行應建立與外部信息安全專業機構、專家的聯系,及時跟蹤行業趨勢,學習各類先進的標準和評估方法。第三章 人員管理
第九條 本行所有工作人員根據不同的崗位或工作范圍,履行相應的信息安全保障職責。日常員工信息安全行為準則參見《XX銀行員工信息安全手冊》。第一節 信息安全管理人員
第十條 本辦法所指信息安全管理人員包括本行信息安全領導小組和信息安全工作小組成員。
第十一條 應選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和本行有關規定受到過處罰或處分的人員,不得從事此項工作。第十二條 信息安全管理人員每年至少參加一次信息安全相關培訓。
第十三條 安全工作小組在如下職責范圍內開展信息安全管理工作:
(一)組織落實上級信息安全管理規定,制定信息安全管理制度,協調信息安全領導小組成員工作,監督檢查信息安全管理工作。
(二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設。
(三)定期監督網絡和信息系統的安全運行狀況,檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見。
(四)統計分析和協調處臵信息安全事件。
(五)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。
第十四條 信息安全領導小組成員在如下職責范圍內開展工作:
(一)負責本行信息安全管理體系的落實。
(二)負責提出本行信息安全保障需求。
(三)負責組織開展本行信息安全檢查工作。第二節 技術支持人員
第十五條 本辦法所稱技術支持人員,是指參與本行網絡、信息系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。
第十六條 本行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中,應承擔如下安全義務:
(一)不得對外泄漏或引用工作中觸及的任何敏感信息。
(二)嚴格權限訪問,未經業務主管部室授權 不得擅自改變系統設臵或修改系統生成的任何數據。
—4—
(三)主動檢查和監控生產系統安全運行狀況,發現安全隱患或故障及時報告本部室主管領導,并及時響應、處臵。
(四)嚴格操作管理、測試管理、應急管理、配臵管理、變更管理、檔案管理等工作制度,做好數據備份工作。
第十七條 外部技術支持人員應嚴格履行外包服務合同(協議)的各項安全承諾,簽署保密協議。提供技術服務期間,嚴格遵守本行相關安全規定與操作規程。不得拷貝或帶走任何配臵參數信息或業務數據,不得對外泄漏或引用任何工作信息。第三節 一般計算機用戶
第十八條 本規定所稱一般計算機用戶是指使用計算機設備的所有人員。第十九條 一般計算機用戶應承擔如下安全義務:
(一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部室信息安全員的指導與管理。
(二)不得安裝與辦公和業務處理無關的其他計算機軟件和硬件,不得修改系統和網絡配臵以屏蔽信息安全防護。
(三)不得在辦公用計算機上安裝任何盜版或非授權軟件。
(四)未經信息安全管理人員檢測和授權,不得將內部網絡的計算機轉接入國際互聯網;不得將個人計算機接入內部網絡或私自拷貝任何信息。
第四章 資產管理
第二十條 本行對所有信息資產進行識別、評估相對價值及重要性,建立資產清單并說明使用規則,明確定義信息資產責任人及其職責。細則參見《XX銀行信息資產分類分級管理規定》。
第二十一條 按照信息資產的價值、法律要求及敏感程度和對業務關鍵程度,分別依據機密性、完整性、可用性三個屬性對信息資產進行分類分級,并建立相應的標識和處理制度。第二十二條 依照信息資產的分類分級采取不同的安全保護措施,制定完善的訪問控制策略,防止未經授權的使用。
第二十三條 依據《XX銀行介質管理規范》加強介質管理與銷毀操作管理,確保本行數據的可用性、保密性、完整性。
第五章 物理環境安全管理 第一節 機房安全管理
第二十四條 本規定所稱機房是指信息系統主要設備放臵、運行的場所以及供配電、通信、空調、消防、監控等配套環境設施。
第二十五條 本行機房的信息安全管理由本行本行信息科技部門負責具體實施和落實。
第二十六條 建立機房設施與場地環境監控系統,對機房空調、消防、不間斷電源(UPS)、供配電、門禁系統等重要設施實行全面監控。第二十七條 建立健全機房管理制度,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經過相關專業培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發現問題及時報告。機房管理員負責保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調閱。
第二十八條 建立機房定期維修保養制度。易受季節、溫度等環境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養的重點。
第二十九條 依據《浙江省農村合作金融機構機房管理指引》進一步規范機房建設、改造和驗收過程,落實機房管理。第三十條 信息安全領導小組負責定期審核機房安全管理落實情況,并保留相應的審核記錄和審核結果。第二節 重要區域安全管理
第三十一條 本章節所指重要區域為:本行信息中心主備機房和運維監控室等區域。本行信息中心負責制定和執行運維監控方面的安全管理制度。
第三十二條 重要區域應嚴格出入安全管理,安裝門禁、視頻監視錄像系統,實行定時錄像監控,并適當配臵自動監控報警功能。
第三十三條 所有門禁、視頻監視錄像系統的信息資料至少保存三個月。第三節 辦公環境安全管理
第三十四條 在本行大樓入口應設臵門衛或接待員,負責出入或公共訪問區域的物理安全管理和外來人員的出入登記。第三十五條 本行信息中心樓層設立門禁,加強人員進出管理。
第三十六條 本行信息中心員工應在公共接待區接待外來人員,未經允許,不得私自將外來人員帶入辦公區域內。第三十七條 未經允許,嚴禁在信息中心辦公區域內進行攝影、攝像、錄音等記錄日常辦公行為的活動。第六章 網絡安全管理
第一節 網絡規劃、建設中的安全管理
第三十八條 本行網絡信息科技部負責網絡和網絡安全的統一規劃、建設部署、策略配臵和網絡資源(網絡設備、通訊線路、IP 地址和域名等)分配。
第三十九條 按照統一規劃和總體部署原則,由信息科技部組織實施網絡建設、改造工程,工程投產前應通過安全測試與評估。
第四十條 本行網絡建設和改造應符合如下基本安全要求:
(一)網絡規劃應有完整的安全策略,保障網絡傳輸與應用安全。
(二)具備必要的網絡監測、跟蹤和審計等管理功能。
(三)針對不同的網絡安全域,采取必要的安全隔離措施。
(四)能有效防止計算機病毒對網絡系統的侵擾和破壞。第二節 網絡運行安全管理
第四十一條 信息科技部應建立健全網絡安全運行方面的制度,配備專職網絡管理員。網絡管理員負責日常監測和檢查網絡 安全運行狀況,管理網絡資源及其配臵信息,建立健全網絡運行維護檔案,及時發現和解決網絡異常情況。
第四十二條 網絡管理員應定期參加網絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能。
第四十三條 嚴格網絡接入管理。任何設備接入網絡前,接入方案、設備的安全性等應經過網絡管理人員的審核與檢測,審 核(檢測)通過后方可接入并分配相應的網絡資源。第四十四條 嚴格網絡變更管理。網絡管理員調整網絡重要參數配臵和服務端口時,應嚴格遵循變更管理流程。實施有可能影響網絡正常運行的重大網絡變更,應提前通知相關業務部門并安排在非交易時間或交易較少時間進行,同時做好配臵參數的備份和應急恢復準備。第四十五條 嚴格遠程訪問控制。確因工作需要進行遠程訪問的人員應向信息簡科技部提出書面申請,并采取相應的安全防護措施。
第四十六條 信息安全管理人員負責定期對網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外 界提供。未經授權,任何外部單位與人員不得檢測、掃描本行網絡。
第三節 接入國際互聯網管理
第四十七條 信息科技部負責制定本行互聯網方面管理制度,對互聯網接入進行嚴格的控制,防范來自互聯網的威脅。
第四十八條 本行內部業務網、辦公網與國際互聯網實行安全隔離。所有接入內部網絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯網。
第四十九條 內部網絡計算機嚴禁接入國際互聯網,確有必要接入國際互聯網的應通過信息安全工作小組審核并上報相關領導審批,確保安裝有指定的防病毒軟件和最新補丁程序。經審批后連接國際互聯網 的計算機,不得存留涉密金融數據信息;存有涉密金融數據信息的介質,不得在接入國際互聯網的計算機上使用。
第五十條 曾接入國際互聯網的計算機嚴禁接入內部網絡,確有必要接入內部網絡的應通過安全工作小組審核并上報相關領導審批,經安全檢測后方能接入。從國際互聯網下載的任何信息,未經病毒檢測不得在內部網絡上使用。
第五十一條 使用國際互聯網的所有用戶應遵守國家有關法律法規和本行相關管理規定,不得從事任何違法違規活動。第七章 訪問控制
第五十二條 本行負責建立訪問控制制度,對信息資產和服務的訪問和權限分配進行控制。
第五十三條 信息資產的責任人負責確定信息資產和服務的訪問權限,運行維護科根據授權進行相關設定操作。第五十四條 信息系統用戶設臵本人的用戶和密碼,并對其訪問控制權限負責。重要信息系統操作人員的密碼應由系統管理員和業務部門負責人分段設立。
第五十五條 凡是能夠執行錄入、復核制度的信息系統,操 作人員不得一人兼錄入、復核兩職。未經主管領導批準,不得代崗、兼崗。
第五十六條 應啟用安全措施限制授權用戶對操作系統的訪問,包括但不限于:
(一)按照已定義的訪問控制策略鑒別授權用戶;
(二)記錄成功和失敗的系統訪問企圖;
(三)記錄專用系統特殊權限的使用情況;
(四)當違反系統安全策略時發布警報;
(五)提供合適的身份鑒別手段;
(六)限制用戶的連接時間。
第五十七條 對應用系統和信息的邏輯訪問應只限于已授權的用戶。對應用系統的訪問控制措施包括但不限于:
(一)按照定義的訪問控制策略,控制用戶訪問信息和應用系統的特定功能;
(二)防止能夠繞過系統控制或應用控制的任 何實用程序、系統軟件和惡意軟件對系統進行未授權訪問;
(三)為重要的敏感系統設立隔離的運行環境。
第五十八條 訪問控制實施細則詳見《XX銀行信息系統訪問控制管理規定》。
第八章 信息系統安全管理
第五十九條 本規定所指的信息系統是本行業務處理系統、管理信息系統和日常辦公自動化系統等,包括數據庫、軟件和硬件支撐環境等。
第六十條 信息系統安全管理實施細則詳見《XX銀行計算機信息系統安全管理規定》。第一節 信息系統規劃與立項
第六十一條 信息系統建設項目應在規劃與立項階段同步考慮安全問題,建設方案應滿足信息安全管理的相關要求。項目技術方案應包括以下基本安全內容:
(一)業務需求部室提出的安全需求。
(二)安全需求分析和實現。
(三)運行平臺的安全策略與設計。
第六十二條 信息安全領導小組負責派遣相關部室安全員對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。第二節 信息系統開發與集成
第六十三條 信息系統開發應符合軟件工程規范,依據安全需求進行安全設計,保證安全功能的完整實現。
第六十四條 信息系統開發單位應在完成開發任務后將程序源代碼及相關技術資料全部移交本行。外部開發單位還應與本行簽署相關知識產權保護協議和保密協議,不得將信息系統采用的關鍵安全技術措施和核心安全功能設計對外公開。
第六十五條 信息系統的開發人員不能兼任信息系統管理員或業務系統操作人 員,不得在程序代碼中植入后門和惡意代碼程序。
第六十六條 信息系統開發、測試、修改工作不得在生產環境中進行。
第六十七條 涉密信息系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業,并簽訂嚴格的保密協議。
第六十八條 系統上線前應開展代碼審計過程檢查源代碼中的缺點和錯誤信息,避免引發安全漏洞。
第三節 信息系統運行
第六十九條 信息系統上線運行實行安全審查機制,未通過安全審查的任何新建或改造信息系統不得投產運行。具體要求如下:
(一)項目承建單位(部室)應組織制定安全測試方案,進行系統上線前的自測試并形成測試報告,報信息科技部審查。
(二)信息系統歸口責任業務部室應在信息系統投產運行前同步制定相關安全操作規定,報信息科技部門。
(三)信息科技部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或實施信息系統漏洞掃描檢測。
第七十條 信息系統投入使用前信息中心應當建立相應的操作規程和安全管理制度,以防止各類安全事故的發生。
第七十一條 系統管理員負責信息系統的日常運行管理,并建立重要信息系統運行維護檔案,詳細記錄系統變更及操作過程。重要業務系統的系統操作要求雙人在場。
第七十二條 系統管理員不得兼任業務操作人員。系統管理員確需對業務系統進行維護性操作的,應征得業務系統歸口責任 業務處室同意并在業務操作人員在場的情況下進行,并詳細記錄維護內容、人員、時間等信息。
第七十三條 嚴格用戶和密碼(口令)的管理,嚴格控制各級用戶對數據的訪問權限。
第七十四條 在信息系統運行維護過程中,系統管理人員應遵守但不限于以下要求:
(一)合理配臵操作系統、數據庫管理系統所 提供的安全審計功能,以達到相應安全等級標準;
(二)屏蔽與應用系統無關的所有網絡功能,防止非法用戶的侵入;
(三)及時、合理安裝正式發布的系統補丁,修補系統存在的安全漏洞;
(四)啟用系統提供的審計功能,或使用第三方手段實現審計功能,監測系統運行日志,掌握系統運行狀況;
(五)按照網絡管理規范及其業務應用范圍設臵設備的 IP 地址及網絡參數,非系統管理人員不得修改。
第四節 信息系統廢止
第七十五條 廢止信息系統及其存儲介質在報廢或重用前,應根據其安全級別,進行消磁或安全格式化,以避免信息泄露。
第七十六條 對已經廢止的信息系統軟件和數據備份介質,按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的,應在信息安全領導小組監督下予以不可恢復性銷毀。
第八十四條 安全專用產品在準入審核時,供應商應提出申請并提供下列資料:
(一)公安部頒發的安全專用產品銷售許可證和其他必須的證明材料;
(二)產品型號、產地、功能及報價;
(三)產品采用的技術標準,產品功能及性能的說明書;
(四)生產企業概況(包括人員、設備、生產條件、隸屬關系等);
(五)供應商的質量保證體系、售后服務措施等情況的說明。第八十五條 安全專用產品有下列情形之一的,取消其準入資格:
(一)安全專用產品的功能已發生變化,但未通過檢測的;
(二)經使用發現有嚴重問題的;
(三)不能提供良好售后服務的;
(四)國家有關部門取消其銷售資格的。第二節 使用管理
第八十六條 掃描、檢測類信息安全專用產品僅限于信息安全管理人員使用。
第八十七條 信息科技部定期檢查各類信息安全專用產品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發現重大問題,立即采取控制措施并按規定程序報告。第八十八條 信息科技部應及時升級維護信息安全專用產品,凡因超過使用期限的或不能繼續使用的信息安全專用產品,應報信息安全領導小組批準后,按照固定資產報廢審批程序處理。
第十一章 文檔、數據與密碼應用安全管理 第一節 技術文檔
第八十九條 本規定所稱技術文檔是指本行網絡、信息系統和機房環境等建設與運行維護過程中形成的各種技術資料,包括紙質文檔、電子文檔、視頻和音頻文件等。
第九十條 各部室負責將技術文檔統一歸檔。未經本行領導批準,任何人不得將技術文檔轉借、復制和對外公布。第二節 存儲介質
第九十一條 建立健全磁帶、光盤、移動存儲介質、縮微膠片、已打印文檔等存儲介質管理流程。所有存儲介質應保存在安全的物理環境中并有明晰的標識。重要信息系統備份介質應按規定異地存放。
第九十二條 做好存儲介質在物理傳輸過程中的安全控制,選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。
第九十三條 加強對移動存儲設備(U盤、軟盤、移動硬盤等)的使用管理。對系統升級專用的移動存儲設備應按照相關規定由專人負責管理。
第九十四條 建立存儲介質銷毀機制,對載有敏感信息的存儲介質應按照其安全等級,采用安全格式化、消磁等不可復原的方式進行處臵并做好記錄。
第九十五條 介質管理實施細則詳見《XX銀行介質管理規范》。第三節 數據安全
第九十六條 本規定中所稱的數據是指以電子形式存儲的本行業務數據、辦公信息、系統運行日志、故障維護日志以及其他內部資料。
第九十七條 數據的所有者(部室)負責提出數據在輸入、處理、輸出等不同狀態下的安全需求,信息科技部負責審核安全需求并提供一定的技術實現手段。
第九十八條 嚴格管理業務數據的增加、修改、刪除等變更操作,進行業務數據有效性檢查,按照既定備份策略執行數據備 份任務,并定期測試備份數據的有效性。
第九十九條 系統管理員負責定期導出網絡和重要信息系統日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年,妥善保管。
第一百條 本行信息科技部負責建立備份數據銷毀方面的管理制度,根據數據重要性級別分類采取相應的備份數據的保 存時限和密級,并根據介質處臵相關要求進行銷毀處理。第一百零一條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的,應把口令密碼密封后與數據備份介質一并妥善保管。
第一百零二條 生產數據的調用提取應遵守《XX銀行計算機系統生產數據調用及維護操作規程》。
第四節 口令密碼
第一百零三條 信息科技部負責制定和維護密碼管理方面的制度,嚴格執行密碼安全管理策略。
第一百零四條 系統管理員、數據庫管理員、網絡管理員、業務操作人員的用戶均須設臵口令密碼,至少每三個月更換一次。口令密碼的強度應滿足必要的安全性要求。
第一百零五條 敏感信息系統和設備的口令密碼設臵應在安全的環境下進行,必要時應將口令密碼筆錄,密封交相關部室保管。未經本行分管領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。
第一百零六條 應根據實際情況在一定時限內妥善保存重要信息系統升級改造前的口令密碼。
第二節 外包服務管理
第一百一十七條 本規定所稱外包服務,是指由本行之外的其他社會廠商為本行信息系統、網絡或桌面環境提 供全面或部分的技術支持、咨詢等服務。外包服務應簽訂正式的外包服務協議,明確約定雙方義務。
第一百一十八條 外包服務提供商提供上門維護服務的,經信息科技部批準后,由本行內部人員現場陪同實施。外包服務提供商不得查看、復制本行內部信息或將內部介質帶離。第一百一十九條 計算機設備確需送外單位維修時,本行應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第一百二十條 外包服務管理詳見《XX銀行IT外包管理暫行辦法》。第十三章 事件報告、災難備份與應急管理 第一節 事件報告
第一百二十一條 信息安全事件按照信息安全事件報告流程進行報告,一般信息安全事件應逐級通報,發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的重大信息安全事件,應上報告計算機安全領導小組。
第一百二十二條 重大信息安全事件發生后,相關人員應注意保護事件現場,采取必要的控制措施,調查事件原因,并及時報告主管領導及計算機安全領導小組。必要時啟動相關應急預案。第二節 災難備份管理
第一百二十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業務數據和信息系統在地震、水災、火災、戰 爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件(以下稱“災難”)發生后在規定的時間內可以恢復和繼續運營的有序管理過程。
第一百二十四條 本行在本行計算機信息系統應急領導小組統一領導下,組織開展重要信息系統災難備份的統一規劃、實施和管理。
第一百二十五條 本行業務部室負責提出業務系統災難備份需求,明確可容忍的業務中斷時間和數據丟失量。本行據此確定災難備份等級和備份方案。
第一百二十六條 本行業務部室和本行協同建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,每年進行一次重要信息系統的災難恢復演練。第三節 應急管理
第一百二十七條 本行信息科技部負責制定和持續完善網絡、信息系統和機房環境等應急預案。應急預案應包括以下基本內容:
(一)總則(目標、原則、適用范圍、預案調用關系等)。
(二)應急組織機構。
(三)預警響應機制(報告、評估、預案啟動等)。
(四)各類危機處臵流程。
(五)應急資源保障。
(六)事后處理流程。
(七)預案管理與維護(生效、演練、維護等)。
第一百二十八條 本行計算機信息系統應急領導小組統一負責各業務系統的應急協調與指揮,決策重大事宜(決定應急預案的啟 動、災難宣告、預警相關單位等)和調動應急資源。第一百二十九條 本行定期組織應急預案演練,指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及 演練情況適時予以更新和完善,確保應急預案的有效性和災難發生時的可獲取性。
第一百三十條 在信息系統推廣應用方案中應同時設計應急備份策略,同步實施備份方案。
第一百三十一條 應急管理實施細則詳見《XX銀行計算機信息系統應急管理制度》。
第十四章 安全監測、檢查、評估與審計
第一百三十二條 本行信息科技部負責每年至少進行一次本行范圍內的內部信息安全相關的檢查或評估工作。
第一百三十三條 本行負責每年組織對各部室、各分支機構的計算機安全運行情況進行檢查(以下簡稱“對下安全檢查”)。第一節 安全監測
第一百三十四條 本行信息中心負責整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要信息系統和機房環境等設施的安全運行監測。
第一百三十五條 本行各部室要及時預警、響應和處臵運行監測中發現的問題,發現重大隱患和運行事故應及時協調解決,并報上一級相關部門。第二節 安全檢查
第一百三十六條 本行安全檢查包括對本行本級的安全檢查和對下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。第一百三十七條 開展安全檢查前,應以已經發布的相關安全管理制度為依據,制定詳細的檢查方案、提綱和計劃等,確保檢查工作的可操作性和規范性。
第一百三十八條 安全檢查完成后應及時形成檢查報告,經主管領導批準后將檢查整改報告盡快送達被檢查部門。要求限期整改的,需要對相關整改情況進行后續跟蹤。
第一百三十九條 參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為本行內部材料妥善保管,不得向外界泄漏。第三節 安全評估
第一百四十條 安全評估應在不影響信息系統正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報主管領導。
第一百四十一條 如聘請第三方機構進行安全評估,應報本行主管部門批準,并與第三方評估機構簽訂安全保密協議 后方可進行。本行信息安全管理人員全程參與評估過程并實施監督。第一百四十二條 應妥善保管信息安全評估報告,未經授權不得對外透露評估信息。第四節 安全審計
第一百四十三條 適時開展信息系統日常運行管理和信息安全事件的技術審計,發現問題按照相關規定及時上報主管領導。第一百四十四條 應做好操作系統、數據庫管理系統等審計功能配臵管理,應完整保留相關日志記錄,一般保留至少一個月,涉及資金交易的業務系統日志應根據需要確定保留時間。第一百四十五條 本行各部室及人員應積極支持與配合上級審計部門或外部審計機構開展的信息安全審計。第十五章 附 則
第一百四十六條 本行之前發布的其他信息安全管理辦法如與本辦法不一致的,按本辦法執行。
第一百四十七條 本辦法由本行負責制定,解釋。第一百四十八條 本辦法自發布之日起執行。
第五篇:6-信息安全檢查管理辦法
信息安全檢查管理辦法
第一章 總 則
第一條 為更好地保障計算機信息系統的安全、穩定運行,及時發現計算機信息系統存在的漏洞和隱患,防范潛在的信息安全風險,并規范計算機信息系統的安全檢查工作,制定本辦法。
第二條 本辦法屬于“管理辦法”,適用于北京三得電子技術有限公司。第三條 計算機信息安全檢查工作由計算機安全領導小組統一領導,并授權技術部負責組織實施,相關業務部門配合。技術部牽頭組織對各部門和各機構進行信息安全檢查,各部門和各機構負責組織本公司內部的信息安全自查工作。
第四條 根據信息安全狀況,每年至少組織一次信息安全檢查,發現安全隱患,要及時向被檢查公司發出信息系統安全隱患整改通知書,并提出改進意見,指導、督促被檢查公司限期整改,消除安全隱患。
第五條 公司負責人要高度重視本公司信息安全防范工作,按要求組織對本公司計算機信息系統進行安全自查,發現問題,采取有效措施防范
化解各類信息安全風險。
第六條 公安廳、市公安局等公司進行信息安全檢查時,被檢查公司應積極配合做好本公司的信息安全檢查工作。
第二章 信息安全檢查的范圍和內容
第七條 信息安全檢查包括兩部分:對技術部的信息安全檢查,對各機構和各部門(以下簡稱“各公司”)的信息安全檢查,檢查方式分為自行自查和上級部門現場檢查兩種方式。
第八條 對各公司的信息安全檢查主要包括以下內容:
(一)操作系統、應用系統軟件的安全補丁安裝情況。
(二)非授權軟件和盜版軟件的檢查和清除情況。
(三)計算機防病毒軟件的安裝、升級,計算機病毒的查殺情況。
(四)操作系統用戶管理、密碼設置與文件共享情況。
(五)各公司涉密信息處理計算機的安全管理情況。
(六)計算機網絡環境。
第九條 對技術部的信息安全檢查主要包括以下內容:
(一)信息安全規章制度的完善和執行情況。
(二)計算機信息網絡安全。
(三)運行管理安全。
(四)應急計劃和應急演練情況。
(五)計算機病毒防治情況。
(六)計算機應用軟件研發情況。
(七)系統日常運行、系統漏洞。
(八)數據備份情況。
第十條 對技術部的信息安全檢查主要依靠技術部內部自查,由上級或外部公司對技術部的自查情況進行核實確認。技術部每次自查后必須按要求進行整改。
第三章 信息安全檢查的實施和反饋
第十一條 各公司應按要求進行信息系統安全自查工作,并做好檢查
記錄;發現各類安全隱患要及時整改,填寫整改情況表,并妥善保存以備查。自查結束后,應將自查結果形成書面材料,上報技術部。
第十二條 信息安全檢查部門應根據國家、上級部門以及各項信息安全規章制度的相關要求對計算機信息系統進行全面安全檢查,并行使以下職權:
(一)對被檢查公司進行檢查時,可采取調閱有關材料、訪談和現場檢查等形式。
(二)在檢查過程中進行現場指導,對安全檢查發現的問題提出改進意見,對檢查中發現的違規行為,當場予以糾正或要求限期改正,并做好詳細記錄,存檔備查。
(三)對檢查中發現的安全隱患,要求被檢查公司及時排除;可以現場解決的,配合被檢查公司進行現場整改。
第十三條 信息安全檢查人員在進行信息安全檢查時,不得影響被檢查公司的正常生產工作。
第十四條 信息安全檢查人員應忠于職守,堅持原則,秉公處理。第十五條 被檢查公司應積極配合信息安全檢查人員做好本公司計算機信息系統的安全檢查工作,提供檢查所需的相關材料,不得拒絕、阻撓。
第十六條 信息安全檢查人員應將檢查的時間、地點、內容、發現的問題及其處理情況,做出詳細的書面記錄,并由檢查人員和被檢查計算機使用者或被檢查公司指定人員簽字;被檢查公司人員拒絕簽字的,檢查人員應將情況記錄在案,并向計算機安全領導小組報告。
第十七條 信息安全檢查結束后,檢查人員應將檢查情況進行總結或評比,將檢查結果上報計算機安全領導小組,并及時將檢查中發現的問題反饋被檢查 公司,要求其限期整改。
第十八條 被檢查公司應充分重視信息安全檢查工作,對檢查中發現的問題及時進行整改,并根據信息安全檢查的要求將整改結果同時上報計算機安全領導小組和技術部。
第十九條 技術部應跟蹤被檢查公司的安全整改情況,對整改不積極
或整改結果不到位的,公司將予以通報批評。
第二十條 實施信息安全檢查產生的相關報告,包括各公司的自查報告、檢查總結報告、檢查通報與匯報材料等,由技術部作為技術部技檔案妥善保存備查。
點擊咨詢 