欧美色欧美亚洲高清在线观看,国产特黄特色a级在线视频,国产一区视频一区欧美,亚洲成a 人在线观看中文

  1. <ul id="fwlom"></ul>

    <object id="fwlom"></object>

    <span id="fwlom"></span><dfn id="fwlom"></dfn>

      <object id="fwlom"></object>

      商業(yè)銀行信息安全管理辦法

      時(shí)間:2019-05-14 10:05:43下載本文作者:會員上傳
      簡介:寫寫幫文庫小編為你整理了多篇相關(guān)的《商業(yè)銀行信息安全管理辦法》,但愿對你工作學(xué)習(xí)有幫助,當(dāng)然你在寫寫幫文庫還可以找到更多《商業(yè)銀行信息安全管理辦法》。

      第一篇:商業(yè)銀行信息安全管理辦法

      XX銀行

      信息安全管理辦法

      第一章 總 則

      第一條 為加強(qiáng)XX銀行(下稱 “本行”)信息安全管理,防范信息技術(shù)風(fēng)險(xiǎn),保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行,根據(jù) 《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等,特制定本辦法。

      第二條 本辦法所稱信息安全管理,是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動。

      第三條 本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級管理,由分管領(lǐng)導(dǎo)負(fù)責(zé)。按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用 誰負(fù)責(zé)”的原則,逐級落實(shí)部門與個人信息安全責(zé)任。

      第四條 本辦法適用于本行。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個人均應(yīng)遵守本辦法。

      第二章 組織保障

      第五條 常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)本行信息安全管理工作,決策信息安全重大事宜。

      第六條 各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員,配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作,具體負(fù)責(zé)信息安

      —1— 全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí)。

      第七條 本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系,及時(shí)報(bào)告各類信息安全事件并獲取專業(yè)支持。

      第八條 本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系,及時(shí)跟蹤行業(yè)趨勢,學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評估方法。

      第三章 人員管理

      第九條 本行所有工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)。日常員工信息安全行為準(zhǔn)則參見《XX銀行員工信息安全手冊》。

      第一節(jié) 信息安全管理人員

      第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。

      第十一條 應(yīng)選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項(xiàng)工作。

      第十二條 信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)。

      第十三條 安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作:

      (一)組織落實(shí)上級信息安全管理規(guī)定,制定信息安全管理制度,協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作,監(jiān)督檢查信息安全管理工作。

      —2 —

      (二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè)。

      (三)定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時(shí)通報(bào)和預(yù)警,并提出整改意見。

      (四)統(tǒng)計(jì)分析和協(xié)調(diào)處臵信息安全事件。

      (五)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓(xùn)工作。

      第十四條 信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開展工作:

      (一)負(fù)責(zé)本行信息安全管理體系的落實(shí)。

      (二)負(fù)責(zé)提出本行信息安全保障需求。

      (三)負(fù)責(zé)組織開展本行信息安全檢查工作。

      第二節(jié) 技術(shù)支持人員

      第十五條 本辦法所稱技術(shù)支持人員,是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。

      第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中,應(yīng)承擔(dān)如下安全義務(wù):

      (一)不得對外泄漏或引用工作中觸及的任何敏感信息。

      (二)嚴(yán)格權(quán)限訪問,未經(jīng)業(yè)務(wù)主管部室授權(quán) 不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。

      (三)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全

      —3— 隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處臵。

      (四)嚴(yán)格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度,做好數(shù)據(jù)備份工作。

      第十七條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾,簽署保密協(xié)議。提供技術(shù)服務(wù)期間,嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對外泄漏或引用任何工作信息。

      第三節(jié) 一般計(jì)算機(jī)用戶

      第十八條 本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。

      第十九條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù):

      (一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺接受本部室信息安全員的指導(dǎo)與管理。

      (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護(hù)。

      (三)不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件。

      (四)未經(jīng)信息安全管理人員檢測和授權(quán),不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將個人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。

      第四章 資產(chǎn)管理

      第二十條 本行對所有信息資產(chǎn)進(jìn)行識別、評估相對價(jià)值及重要性,建立資產(chǎn)清單并說明使用規(guī)則,明確定義信息資產(chǎn)責(zé)任—4 — 人及其職責(zé)。細(xì)則參見《XX銀行信息資產(chǎn)分類分級管理規(guī)定》。

      第二十一條 按照信息資產(chǎn)的價(jià)值、法律要求及敏感程度和對業(yè)務(wù)關(guān)鍵程度,分別依據(jù)機(jī)密性、完整性、可用性三個屬性對信息資產(chǎn)進(jìn)行分類分級,并建立相應(yīng)的標(biāo)識和處理制度。

      第二十二條 依照信息資產(chǎn)的分類分級采取不同的安全保護(hù)措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)的使用。

      第二十三條 依據(jù)《XX銀行介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷毀操作管理,確保本行數(shù)據(jù)的可用性、保密性、完整性。

      第五章 物理環(huán)境安全管理 第一節(jié) 機(jī)房安全管理

      第二十四條 本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。

      第二十五條 本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體實(shí)施和落實(shí)。

      第二十六條 建立機(jī)房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng),對機(jī)房空調(diào)、消防、不間斷電源(UPS)、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。

      第二十七條 建立健全機(jī)房管理制度,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問題及時(shí)報(bào)告。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文

      —5— 檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。

      第二十八條 建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。

      第二十九條 依據(jù)《浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過程,落實(shí)機(jī)房管理。

      第三十條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落實(shí)情況,并保留相應(yīng)的審核記錄和審核結(jié)果。

      第二節(jié) 重要區(qū)域安全管理

      第三十一條 本章節(jié)所指重要區(qū)域?yàn)椋罕拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。

      第三十二條 重要區(qū)域應(yīng)嚴(yán)格出入安全管理,安裝門禁、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配臵自動監(jiān)控報(bào)警功能。

      第三十三條 所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。

      第三節(jié) 辦公環(huán)境安全管理

      第三十四條 在本行大樓入口應(yīng)設(shè)臵門衛(wèi)或接待員,負(fù)責(zé)出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。

      第三十五條 本行信息中心樓層設(shè)立門禁,加強(qiáng)人員進(jìn)出管理。

      第三十六條 本行信息中心員工應(yīng)在公共接待區(qū)接待外來人—6 — 員,未經(jīng)允許,不得私自將外來人員帶入辦公區(qū)域內(nèi)。

      第三十七條 未經(jīng)允許,嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動。

      第六章 網(wǎng)絡(luò)安全管理

      第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理

      第三十八條 本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、IP 地址和域名等)分配。

      第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則,由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程,工程投產(chǎn)前應(yīng)通過安全測試與評估。

      第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求:

      (一)網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略,保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。

      (二)具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計(jì)等管理功能。

      (三)針對不同的網(wǎng)絡(luò)安全域,采取必要的安全隔離措施。

      (四)能有效防止計(jì)算機(jī)病毒對網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。

      第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理

      第四十一條 信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度,配備專職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò) 安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配臵信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

      —7— 第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能。

      第四十三條 嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測,審 核(檢測)通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。

      第四十四條 嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時(shí),應(yīng)嚴(yán)格遵循變更管理流程。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行,同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。

      第四十五條 嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡科技部提出書面申請,并采取相應(yīng)的安全防護(hù)措施。

      第四十六條 信息安全管理人員負(fù)責(zé)定期對網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外 界提供。未經(jīng)授權(quán),任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。

      第三節(jié) 接入國際互聯(lián)網(wǎng)管理

      第四十七條 信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度,對互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制,防范來自互聯(lián)網(wǎng)的威脅。

      第四十八條 本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實(shí)行安全隔離。所有接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國際互聯(lián)網(wǎng)。

      —8 — 第四十九條 內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國際互聯(lián)網(wǎng),確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批,確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。經(jīng)審批后連接國際互聯(lián)網(wǎng) 的計(jì)算機(jī),不得存留涉密金融數(shù)據(jù)信息;存有涉密金融數(shù)據(jù)信息的介質(zhì),不得在接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。

      第五十條 曾接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò),確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批,經(jīng)安全檢測后方能接入。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。

      第五十一條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動。

      第七章 訪問控制

      第五十二條 本行負(fù)責(zé)建立訪問控制制度,對信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進(jìn)行控制。

      第五十三條 信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問權(quán)限,運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。

      第五十四條 信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼,并對其訪問控制權(quán)限負(fù)責(zé)。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。

      第五十五條 凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng),操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn),不得代

      —9— 崗、兼崗。

      第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問,包括但不限于:

      (一)按照已定義的訪問控制策略鑒別授權(quán)用戶;

      (二)記錄成功和失敗的系統(tǒng)訪問企圖;

      (三)記錄專用系統(tǒng)特殊權(quán)限的使用情況;

      (四)當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào);

      (五)提供合適的身份鑒別手段;

      (六)限制用戶的連接時(shí)間。

      第五十七條 對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于:

      (一)按照定義的訪問控制策略,控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能;

      (二)防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任 何實(shí)用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進(jìn)行未授權(quán)訪問;

      (三)為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。

      第五十八條 訪問控制實(shí)施細(xì)則詳見《XX銀行信息系統(tǒng)訪問控制管理規(guī)定》。

      第八章 信息系統(tǒng)安全管理

      第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

      — —10

      第六十條 信息系統(tǒng)安全管理實(shí)施細(xì)則詳見《XX銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。

      第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)

      第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題,建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容:

      (一)業(yè)務(wù)需求部室提出的安全需求。

      (二)安全需求分析和實(shí)現(xiàn)。

      (三)運(yùn)行平臺的安全策略與設(shè)計(jì)。

      第六十二條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見,未通過安全審核的項(xiàng)目不得予以立項(xiàng)。

      第二節(jié) 信息系統(tǒng)開發(fā)與集成

      第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整實(shí)現(xiàn)。

      第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。

      第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員,不得在程序代碼中植入后門和惡意代碼程序。

      第六十六條 信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)

      —11— 境中進(jìn)行。

      第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。

      第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯誤信息,避免引發(fā)安全漏洞。

      第三節(jié) 信息系統(tǒng)運(yùn)行

      第六十九條 信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下:

      (一)項(xiàng)目承建單位(部室)應(yīng)組織制定安全測試方案,進(jìn)行系統(tǒng)上線前的自測試并形成測試報(bào)告,報(bào)信息科技部審查。

      (二)信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)信息科技部門。

      (三)信息科技部應(yīng)提出明確的測試方案和測試報(bào)告審查意見。必要時(shí),可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

      第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度,以防止各類安全事故的發(fā)生。

      第七十一條 系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。

      第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任

      — —12業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。

      第七十三條 嚴(yán)格用戶和密碼(口令)的管理,嚴(yán)格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。

      第七十四條 在信息系統(tǒng)運(yùn)行維護(hù)過程中,系統(tǒng)管理人員應(yīng)遵守但不限于以下要求:

      (一)合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計(jì)功能,以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn);

      (二)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入;

      (三)及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁,修補(bǔ)系統(tǒng)存在的安全漏洞;

      (四)啟用系統(tǒng)提供的審計(jì)功能,或使用第三方手段實(shí)現(xiàn)審計(jì)功能,監(jiān)測系統(tǒng)運(yùn)行日志,掌握系統(tǒng)運(yùn)行狀況;

      (五)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù),非系統(tǒng)管理人員不得修改。

      第四節(jié) 信息系統(tǒng)廢止

      第七十五條 廢止信息系統(tǒng)及其存儲介質(zhì)在報(bào)廢或重用前,應(yīng)根據(jù)其安全級別,進(jìn)行消磁或安全格式化,以避免信息泄露。

      第七十六條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀。

      —13—

      第九章 客戶端安全管理

      第七十七條 本辦法所稱客戶端是指本行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括聯(lián)網(wǎng)桌面終端、柜面 終端、單機(jī)運(yùn)行(?。┙K端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)設(shè)備等。

      第七十八條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關(guān)的軟件。

      第七十九條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)臵用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。

      第八十條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。

      第八十一條 規(guī)范存儲本單位商密信息的計(jì)算機(jī)設(shè)備的安全管理,包括:開發(fā)用終端、生產(chǎn)主機(jī)及其他計(jì)算機(jī)設(shè)備。

      第十章 信息安全專用產(chǎn)品、服務(wù)管理

      第一節(jié) 資質(zhì)審查與選型購臵

      第八十二條 本規(guī)定所稱信息安全專用產(chǎn)品,是指本行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服 務(wù),是指本行向社會購買的專業(yè)化安全服務(wù)。

      第八十三條 本行負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,由采購科室按照采購程序選購。

      第八十四條 安全專用產(chǎn)品在準(zhǔn)入審核時(shí),供應(yīng)商應(yīng)提出申 — —14請并提供下列資料:

      (一)公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料;

      (二)產(chǎn)品型號、產(chǎn)地、功能及報(bào)價(jià);

      (三)產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn),產(chǎn)品功能及性能的說明書;

      (四)生產(chǎn)企業(yè)概況(包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等);

      (五)供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。

      第八十五條 安全專用產(chǎn)品有下列情形之一的,取消其準(zhǔn)入資格:

      (一)安全專用產(chǎn)品的功能已發(fā)生變化,但未通過檢測的;

      (二)經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的;

      (三)不能提供良好售后服務(wù)的;

      (四)國家有關(guān)部門取消其銷售資格的。

      第二節(jié) 使用管理

      第八十六條 掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。

      第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報(bào)告。

      第八十八條 信息科技部應(yīng)及時(shí)升級維護(hù)信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,應(yīng)報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后,按照固定資產(chǎn)報(bào)廢審批程序處

      —15— 理。

      第十一章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理

      第一節(jié) 技術(shù)文檔

      第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料,包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。

      第九十條 各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。

      第二節(jié) 存儲介質(zhì)

      第九十一條 建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。所有存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。

      第九十二條 做好存儲介質(zhì)在物理傳輸過程中的安全控制,選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。

      第九十三條 加強(qiáng)對移動存儲設(shè)備(U盤、軟盤、移動硬盤等)的使用管理。對系統(tǒng)升級專用的移動存儲設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負(fù)責(zé)管理。

      第九十四條 建立存儲介質(zhì)銷毀機(jī)制,對載有敏感信息的存儲介質(zhì)應(yīng)按照其安全等級,采用安全格式化、消磁等不可復(fù)原的方式進(jìn)行處臵并做好記錄。

      — —16 第九十五條 介質(zhì)管理實(shí)施細(xì)則詳見《XX銀行介質(zhì)管理規(guī)范》。

      第三節(jié) 數(shù)據(jù)安全

      第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。

      第九十七條 數(shù)據(jù)的所有者(部室)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。

      第九十八條 嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備 份任務(wù),并定期測試備份數(shù)據(jù)的有效性。

      第九十九條 系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標(biāo)識存儲內(nèi)容、時(shí)間、密級等信息。日志文件應(yīng)至少保留一年,妥善保管。

      第一百條 本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管理制度,根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的備份數(shù)據(jù)的保 存時(shí)限和密級,并根據(jù)介質(zhì)處臵相關(guān)要求進(jìn)行銷毀處理。

      第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

      第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《XX銀行計(jì)算機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程》。

      —17—

      第四節(jié) 口令密碼

      第一百零三條 信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的制度,嚴(yán)格執(zhí)行密碼安全管理策略。

      第一百零四條 系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼,至少每三個月更換一次。口令密碼的強(qiáng)度應(yīng)滿足必要的安全性要求。

      第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄,密封交相關(guān)部室保管。未經(jīng)本行分管領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。

      第一百零六條 應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

      第五節(jié) 密碼技術(shù)應(yīng)用管理

      第一百零七條 本行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格 按照國家密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息 系統(tǒng)應(yīng)依據(jù)本行實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。

      第一百零八條 密碼產(chǎn)品和加密算法的選擇應(yīng)符合國家 相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合本行的相關(guān)安全要求。

      第一百零九條 本行信息科技部負(fù)責(zé)建立和執(zhí)行密鑰管理方面的制度,選擇密碼管理人員必須是本單位在編的正式員工,并逐級進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。

      — —18 第一百一十條 應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作,并設(shè)臵遇緊急情況下密鑰報(bào)廢、銷毀機(jī)制。

      第一百一十一條 各類密鑰應(yīng)定期更換,對已泄漏或懷疑泄漏的密鑰應(yīng)及時(shí)廢除,過期密鑰應(yīng)安全歸檔或定期銷毀。

      第十二章 第三方訪問和外包服務(wù)安全管理

      第一節(jié) 第三方訪問控制

      第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單位和個人物理訪問本行計(jì)算機(jī)房,或者通過網(wǎng)絡(luò)連 接邏輯訪問本行數(shù)據(jù)庫和信息系統(tǒng)等活動。

      第一百一十三條 信息科技部負(fù)責(zé)在第三方與本行合作前對其資質(zhì)進(jìn)行調(diào)查。本行內(nèi)部信息系統(tǒng)和相關(guān)網(wǎng)絡(luò)的第三方訪問授權(quán)需經(jīng)本行領(lǐng)導(dǎo)的審批授權(quán)。未經(jīng)授權(quán)的任何第三方訪問均視為非法入侵行為。

      第一百一十四條 允許被第三方訪問的本行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問活動。

      第一百一十五條 獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與本行簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄漏本行任何信息。

      第一百一十六條 第三方訪問控制實(shí)施細(xì)則詳見《XX銀行第三方安全管理規(guī)定》。

      第二節(jié) 外包服務(wù)管理

      —19— 第一百一十七條 本規(guī)定所稱外包服務(wù),是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提 供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議,明確約定雙方義務(wù)。

      第一百一十八條 外包服務(wù)提供商提供上門維護(hù)服務(wù)的,經(jīng)信息科技部批準(zhǔn)后,由本行內(nèi)部人員現(xiàn)場陪同實(shí)施。外包服務(wù)提供商不得查看、復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。

      第一百一十九條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),本行應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。

      第一百二十條 外包服務(wù)管理詳見《XX銀行IT外包管理暫行辦法》。

      第十三章 事件報(bào)告、災(zāi)難備份與應(yīng)急管理

      第一節(jié) 事件報(bào)告

      第一百二十一條 信息安全事件按照信息安全事件報(bào)告流程進(jìn)行報(bào)告,一般信息安全事件應(yīng)逐級通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的重大信息安全事件,應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。

      第一百二十二條 重大信息安全事件發(fā)生后,相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時(shí) — —20報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組。必要時(shí)啟動相關(guān)應(yīng)急預(yù)案。

      第二節(jié) 災(zāi)難備份管理

      第一百二十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn) 爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程。

      第一百二十四條 本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下,組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。

      第一百二十五條 本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。本行據(jù)此確定災(zāi)難備份等級和備份方案。

      第一百二十六條 本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復(fù)計(jì)劃,定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,每年進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練。

      第三節(jié) 應(yīng)急管理

      第一百二十七條 本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容:

      (一)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。

      (二)應(yīng)急組織機(jī)構(gòu)。

      —21—

      (三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評估、預(yù)案啟動等)。

      (四)各類危機(jī)處臵流程。

      (五)應(yīng)急資源保障。

      (六)事后處理流程。

      (七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。

      第一百二十八條 本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決策重大事宜(決定應(yīng)急預(yù)案的啟 動、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動應(yīng)急資源。

      第一百二十九條 本行定期組織應(yīng)急預(yù)案演練,指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動情況以及 演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。

      第一百三十條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。

      第一百三十一條 應(yīng)急管理實(shí)施細(xì)則詳見《XX銀行計(jì)算機(jī)信息系統(tǒng)應(yīng)急管理制度》。

      第十四章 安全監(jiān)測、檢查、評估與審計(jì)

      第一百三十二條 本行信息科技部負(fù)責(zé)每年至少進(jìn)行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。

      第一百三十三條 本行負(fù)責(zé)每年組織對各部室、各分支機(jī)構(gòu)的計(jì)算機(jī)安全運(yùn)行情況進(jìn)行檢查(以下簡稱“對下安全檢查”)。

      第一節(jié) 安全監(jiān)測

      第一百三十四條 本行信息中心負(fù)責(zé)整合和利用現(xiàn)有網(wǎng)絡(luò)管 — —22理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。

      第一百三十五條 本行各部室要及時(shí)預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級相關(guān)部門。

      第二節(jié) 安全檢查

      第一百三十六條 本行安全檢查包括對本行本級的安全檢查和對下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。

      第一百三十七條 開展安全檢查前,應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù),制定詳細(xì)的檢查方案、提綱和計(jì)劃等,確保檢查工作的可操作性和規(guī)范性。

      第一百三十八條 安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查部門。要求限期整改的,需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。

      第一百三十九條 參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為本行內(nèi)部材料妥善保管,不得向外界泄漏。

      第三節(jié) 安全評估

      第一百四十條 安全評估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評估開始前,應(yīng)制定評估方案并進(jìn)行必要的培訓(xùn)。評估結(jié)束后,形成評估報(bào)告,提出整改意見報(bào)主管領(lǐng)導(dǎo)。

      第一百四十一條 如聘請第三方機(jī)構(gòu)進(jìn)行安全評估,應(yīng)報(bào)本

      —23— 行主管部門批準(zhǔn),并與第三方評估機(jī)構(gòu)簽訂安全保密協(xié)議 后方可進(jìn)行。本行信息安全管理人員全程參與評估過程并實(shí)施監(jiān)督。

      第一百四十二條 應(yīng)妥善保管信息安全評估報(bào)告,未經(jīng)授權(quán)不得對外透露評估信息。

      第四節(jié) 安全審計(jì)

      第一百四十三條 適時(shí)開展信息系統(tǒng)日常運(yùn)行管理和信息安全事件的技術(shù)審計(jì),發(fā)現(xiàn)問題按照相關(guān)規(guī)定及時(shí)上報(bào)主管領(lǐng)導(dǎo)。

      第一百四十四條 應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配臵管理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個月,涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。

      第一百四十五條 本行各部室及人員應(yīng)積極支持與配合上級審計(jì)部門或外部審計(jì)機(jī)構(gòu)開展的信息安全審計(jì)。

      第十五章 附 則

      第一百四十六條 本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的,按本辦法執(zhí)行。

      第一百四十七條 本辦法由本行負(fù)責(zé)制定,解釋。

      第一百四十八條 本辦法自發(fā)布之日起執(zhí)行。

      — —24

      第二篇:信息安全管理辦法

      HYW3-111-XZ15

      XXXXZDXXXXXXXX電廠管理制度

      Net

      信息安全管理辦法

      2015-9-10發(fā)布 2015-9-10實(shí)施

      XXXXXXXX電廠 發(fā) 布 HYW3-111-XZ15

      XXXXXXXX電廠 信息安全管理辦法

      第一章 總 則

      第一條 為了加強(qiáng)XXXXXXXX電廠(以下簡稱“電廠”)信息的安全管理,確保公司信息系統(tǒng)安全、穩(wěn)定運(yùn)行,特制定本辦法。

      第二條 本辦法規(guī)定了信息安全管理的職責(zé)、內(nèi)容和方法,本辦法適用于電廠各部門。

      第二章 人員與帳戶

      第三條 電廠的所有員工都必須接受信息安全培訓(xùn),培訓(xùn)由電廠人力資源部組織,信息中心協(xié)助。

      第四條 信息中心統(tǒng)一管理各應(yīng)用系統(tǒng)中的帳戶信息,包括用戶基本信息、用戶帳號、權(quán)限等。信息中心應(yīng)在接到人力資源部門的員工職位變動或離職的通知后,根據(jù)具體情況及時(shí)調(diào)整相應(yīng)的帳戶信息。

      第五條 員工離職時(shí)必須將其掌管的信息資產(chǎn)(如電腦、打印機(jī)等)移交信息中心,信息中心進(jìn)行清點(diǎn)和核查。必要時(shí),還需要檢查此員工管理的信息系統(tǒng),以確認(rèn)系統(tǒng)安全、正常,沒有遭受蓄意破壞。

      第三章 口令策略

      第六條 信息系統(tǒng)中所需要的所有口令應(yīng)至少滿足以下要求:

      (一)長度:至少6位,建議在16位以下。

      (二)復(fù)雜度:可以由大小寫字母、數(shù)字和普通符號組成。

      (三)有效期:口令應(yīng)每季度更換。

      (四)更換策略:新口令至少與前3次的口令不能相同。

      第四章 特權(quán)帳號的控制

      第七條 特權(quán)帳號是指具有特殊管理功能和權(quán)限的專用賬號,如:具有應(yīng)用系統(tǒng)管理權(quán)、數(shù)據(jù)庫管理權(quán)、操作系統(tǒng)管理權(quán)的帳號,還包括網(wǎng)絡(luò)設(shè)備特權(quán)帳號等。

      第八條 特權(quán)帳號應(yīng)由專人管理和使用,責(zé)任到人。特權(quán)帳號使用人在出差、請假期間,應(yīng)將特權(quán)帳號轉(zhuǎn)交給信息中心負(fù)責(zé)人指定的人員。特權(quán)帳號使用人長期離開時(shí),應(yīng)將特權(quán)帳號交給信息中心負(fù)責(zé)人。

      第九條 使用特權(quán)帳號后,特權(quán)帳號使用人應(yīng)將其操作情況記錄在《操作日志》中。信息中心負(fù)責(zé)人每季度對《操作日志》進(jìn)行審核。

      第十條 特權(quán)帳號使用人在進(jìn)行操作時(shí),不得擅自離開;操作完成后,應(yīng)立即退出登錄,以防賬號被竊用。

      HYW3-111-XZ15

      第五章 安全檢查和審計(jì)

      第十一條 信息中心安全管理員對防火墻進(jìn)行管理,按照電廠有關(guān)技術(shù)規(guī)范的要求和本單位的實(shí)際情況配置相應(yīng)的安全策略。防火墻必須保留完整的日志記錄,安全管理員對其每月進(jìn)行檢查、分析和審計(jì)。

      第十二條 應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫的自動日志記錄應(yīng)完整保留,以便對其使用情況進(jìn)行檢查和審計(jì)。

      第六章 病毒防護(hù)

      第十三條 電廠內(nèi)部網(wǎng)絡(luò)內(nèi)所有采用windows操作系統(tǒng)的計(jì)算機(jī)(包括服務(wù)器、臺式機(jī)和筆記本)都必須安裝電廠統(tǒng)一的防病毒軟件,防病毒軟件的安裝、升級、更新和策略設(shè)置由信息中心負(fù)責(zé),電腦終端用戶不得擅自卸載殺毒軟件或更改其設(shè)置。

      第七章 數(shù)據(jù)安全與保護(hù)

      第十四條 重要數(shù)據(jù)的安全保護(hù)工作由電廠信息中心負(fù)責(zé),按照數(shù)據(jù)重要性的分類應(yīng)采用不同的備份和管理的策略。

      第十五條 重要數(shù)據(jù)進(jìn)行銷毀或存儲介質(zhì)報(bào)廢時(shí),應(yīng)確保對數(shù)據(jù)存儲介質(zhì)的物理銷毀或清除。

      第十六條 信息中心的技術(shù)資料、軟件安裝介質(zhì)、軟件授權(quán)以及設(shè)備保修卡等重要資料應(yīng)指定專人分類妥善保管。上述資料應(yīng)存放在防火、防潮并且上鎖的資料柜中,借出時(shí)應(yīng)登記,避免遺失。

      第八章 安全應(yīng)急處理

      第十七條 信息系統(tǒng)受到惡意攻擊或發(fā)生重大事故時(shí),信息中心負(fù)責(zé)應(yīng)急和恢復(fù)工作。信息中心應(yīng)對主要事故和攻擊的情況做出預(yù)案,以確保能迅速恢復(fù)系統(tǒng)的正常運(yùn)行。

      第十八條 信息系統(tǒng)受到非法攻擊或發(fā)生重大事故后,信息中心應(yīng)對系統(tǒng)的安全性重新進(jìn)行全面的評估,制訂相應(yīng)的整改措施并落實(shí)執(zhí)行。

      第十九條 建立信息系統(tǒng)問題匯報(bào)機(jī)制,信息中心根據(jù)問題的性質(zhì)、影響大小和發(fā)生頻度對電廠的信息系統(tǒng)進(jìn)行分類匯總,信息化領(lǐng)導(dǎo)小組每季度審閱相應(yīng)的報(bào)告,對其中特別重大的事件(例如;重大安全事件〈黑客攻擊〉、主要系統(tǒng)的設(shè)備損毀、病毒造成的電廠范圍的網(wǎng)絡(luò)癱瘓)應(yīng)及時(shí)上報(bào),同時(shí)向上級公司信息中心匯報(bào)。

      第九章 附 則

      第二十條 本辦法由電廠行政部信息中心負(fù)責(zé)解釋。

      第二十一條

      本辦法自發(fā)布施行。

      第三篇:農(nóng)村商業(yè)銀行安全保衛(wèi)管理辦法

      ⅩⅩ農(nóng)村商業(yè)銀行安全保衛(wèi)管理辦法

      第一章 總則

      第一條 為了加強(qiáng)ⅩⅩ農(nóng)村商業(yè)銀行(以下簡稱本行)安全保衛(wèi)工作,確保員工人身和資產(chǎn)安全,依據(jù)國家有關(guān)法律、法規(guī)和規(guī)章制度,結(jié)合本行實(shí)際,制定本制度。

      第二條 本行安全保衛(wèi)工作,實(shí)行“誰主管、誰負(fù)責(zé)”、“預(yù)防為主,群防群治、綜合治理,人員防范與技術(shù)防范相結(jié)合”的原則。

      第三條 本行安全保衛(wèi)工作的基本任務(wù)是:防盜竊、防搶劫、防破壞、防治安災(zāi)害事故,維護(hù)正常的工作秩序,指導(dǎo)檢查安全生產(chǎn)情況,防范安全事故,保障員工人身和資產(chǎn)安全。

      第四條 本行按規(guī)定建立安全保衛(wèi)機(jī)構(gòu),配備安全保衛(wèi)人員,為安全保衛(wèi)工作開展創(chuàng)造必要的工作條件。

      第五條 各支行安全保衛(wèi)工作在行長領(lǐng)導(dǎo)下工作,接受本行安全保衛(wèi)部門及監(jiān)管部門、公安機(jī)關(guān)指導(dǎo),對行長負(fù)責(zé)。

      第二章 安全保衛(wèi)工作責(zé)任制

      第六條 本行及各支行應(yīng)當(dāng)逐級建立安全保衛(wèi)工作責(zé)任制,本行與各支行簽定“安全保衛(wèi)工作責(zé)任書”,實(shí)行科學(xué)化、規(guī)范化、制度化管理。

      第七條 本行行長及各支行行長為本行安全保衛(wèi)工作第一責(zé)任人,對本行安全保衛(wèi)工作負(fù)全面責(zé)任。具體職責(zé)是:

      (一)組織制定安全保衛(wèi)工作目標(biāo),對完成本目標(biāo)負(fù)責(zé);

      (二)定期聽取本行安全保衛(wèi)工作匯報(bào),研究解決安全保衛(wèi)工作

      中存在的問題和困難;

      (三)督促開展經(jīng)常性的安全檢查;

      (四)組織對員工進(jìn)行安全防范、職業(yè)道德和法制紀(jì)律教育,對要害崗位工作人員加強(qiáng)管理;

      第八條 本行分管安全保衛(wèi)工作的行領(lǐng)導(dǎo)是本行安全保衛(wèi)工作的直接領(lǐng)導(dǎo)者,主要職責(zé)是:

      (一)組織、制定、落實(shí)安全保衛(wèi)工作規(guī)章制度,督促檢查安全保衛(wèi)工作責(zé)任制的落實(shí);

      (二)領(lǐng)導(dǎo)安全保衛(wèi)部門貫徹、落實(shí)本行和當(dāng)?shù)卣?、公安機(jī)關(guān)對安全保衛(wèi)工作的要求和部署;

      (三)領(lǐng)導(dǎo)安全保衛(wèi)部門建立健全盜搶案件、治安災(zāi)害事故、安全生產(chǎn)事故防范體系,確保本行安全運(yùn)營;

      (四)組織有關(guān)部門開展綜合性的安全檢查,推動安全保衛(wèi)工作的開展;

      (五)深入實(shí)際調(diào)查研究,及時(shí)發(fā)現(xiàn)和解決安全保衛(wèi)工作中

      - 3 -

      出現(xiàn)的新情況、新問題;

      (六)隨時(shí)掌握安全保衛(wèi)人員的思想動態(tài),關(guān)心他們的工作和生活,充分調(diào)動其工作積極性。

      第九條 安全保衛(wèi)部是負(fù)責(zé)安全保衛(wèi)工作的職能部門,具體職責(zé)是:

      (一)編制安全保衛(wèi)工作計(jì)劃,對全行安全保衛(wèi)工作進(jìn)行考核,并進(jìn)行安全等級評估;

      (二)做好盜竊、搶劫、破壞等案件的防范工作,力保本行資金安全;

      (三)做好火災(zāi)、爆炸等治安災(zāi)害事故的防范工作,力保本行人員和資產(chǎn)安全;

      (四)負(fù)責(zé)治安災(zāi)害事故和安全生產(chǎn)事故管理,依法組織或參與案件偵破和事故調(diào)查工作;

      (五)指導(dǎo)本行和所轄分支機(jī)構(gòu)的安全保衛(wèi)工作,對所轄分支機(jī)構(gòu)防范盜搶案件、治安災(zāi)害事故以及安全生產(chǎn)情況進(jìn)行指導(dǎo)和經(jīng)常性監(jiān)督檢查;

      (六)負(fù)責(zé)安全防范設(shè)施建設(shè)和技術(shù)防范設(shè)備的選用、管理及安全防范工程審查、驗(yàn)收;

      (七)負(fù)責(zé)經(jīng)濟(jì)民警、安全保衛(wèi)人員的管理、訓(xùn)練工作;

      (八)負(fù)責(zé)對員工進(jìn)行安全防范教育,組織突發(fā)事件處置預(yù)案的制定和演練;

      - 4 -

      (九)負(fù)責(zé)制定落實(shí)安全保衛(wèi)工作的規(guī)章、制度、工作辦法及操作規(guī)程;

      (十)負(fù)責(zé)警用器材、設(shè)備的管理;

      (十一)依據(jù)有關(guān)規(guī)定,對違反安全保衛(wèi)工作規(guī)章制度的單位和個人提出經(jīng)濟(jì)處罰及行政處分的建議。對發(fā)生重大責(zé)任性刑事案件和重大治安災(zāi)害事故的單位,提出“一票否決”的意見。

      第十條 各部門負(fù)責(zé)人對本部門的安全防范工作負(fù)責(zé),具體職責(zé)是:

      (一)落實(shí)本部門安全保衛(wèi)工作責(zé)任,對本部門的安全負(fù)責(zé);

      (二)抓好安全防范教育,掌握員工思想動態(tài),發(fā)現(xiàn)不安全因素及時(shí)報(bào)告;

      (三)對本部門安全保衛(wèi)工作實(shí)施經(jīng)常性檢查。

      第十一條 各崗位工作人員對本崗位安全負(fù)責(zé)。工作人員應(yīng)當(dāng)嚴(yán)格履行崗位職責(zé),認(rèn)真執(zhí)行規(guī)章制度和操作規(guī)程,確保本崗位工作安全。

      第三章 安全防范工作及防范設(shè)施管理

      第十二條 各營業(yè)機(jī)構(gòu)均應(yīng)實(shí)行現(xiàn)金寄庫和委托運(yùn)送現(xiàn)金。

      第十三條 安全保衛(wèi)部應(yīng)按國家規(guī)定,審定要害部位,建立要害部位檔案,對要害部位的安全情況經(jīng)常進(jìn)行檢查,及時(shí)消除

      - 5 -

      隱患。

      第十四條 本行及各支行應(yīng)建立健全值班及午間庫值班守庫制度,節(jié)假日須有行級領(lǐng)導(dǎo)帶班。

      第十五條 各營業(yè)網(wǎng)點(diǎn)應(yīng)與相鄰單位建立治安(消防)聯(lián)防,簽訂聯(lián)防協(xié)議,適時(shí)進(jìn)行演習(xí)。

      第十六條 安全防范設(shè)施是保證本行員工人身和資產(chǎn)不受侵害的物質(zhì)設(shè)施和技術(shù)裝備。主要包括:

      (一)午間金庫、營業(yè)室、計(jì)算機(jī)房。圍墻等建筑防范設(shè)施及其

      相關(guān)的配套防護(hù)設(shè)施、設(shè)備,防彈玻璃、防尾隨聯(lián)動門等;

      (二)報(bào)警系統(tǒng),閉路電視監(jiān)控系統(tǒng),無線通訊系統(tǒng),GPS衛(wèi)星定位系統(tǒng)和防衛(wèi)防護(hù)器材等技術(shù)防范設(shè)施。

      第十七條 安全防范設(shè)施建設(shè)應(yīng)以防盜竊、防搶劫、防破壞、防治安災(zāi)害事故為目的。配置的原則是:因地制宜、布局合理、安全可靠、方便經(jīng)營、美觀實(shí)用。

      第十八條 各營業(yè)網(wǎng)點(diǎn)應(yīng)當(dāng)依據(jù)《銀行營業(yè)場所安全防范工程設(shè)計(jì)規(guī)范》和《安全防范工程技術(shù)規(guī)范》(GB 50348-2004)、《銀行營業(yè)場所風(fēng)險(xiǎn)等級和防護(hù)級別的規(guī)定》(GA38-2004)的標(biāo)準(zhǔn),以及其他有關(guān)規(guī)定,設(shè)計(jì)、建造、配置安全防范設(shè)施。

      第十九條 營業(yè)場所、金庫的安全防范設(shè)施,按照行業(yè)標(biāo)準(zhǔn)設(shè)計(jì)施工,嚴(yán)格履行審批程序,驗(yàn)收合格后方可營業(yè)或啟用。

      第二十條 安全保衛(wèi)部負(fù)責(zé)全行營業(yè)網(wǎng)點(diǎn)安全許可證、消防

      - 6 -

      證的申辦、換發(fā)、年檢及相關(guān)管理的協(xié)調(diào)工作。

      第二十一條 本行安全保衛(wèi)檔案管理分為綜合文書類、事故案件類、護(hù)衛(wèi)人員類、安全設(shè)施類四類檔案。

      第四章 監(jiān)督檢查

      第二十二條 安全保衛(wèi)部應(yīng)履行監(jiān)督檢查職能,工作重點(diǎn)放在易發(fā)生案件、事故的基層營業(yè)單位。安全保衛(wèi)部對所轄各支行檢查每年不少于12次;各支行應(yīng)堅(jiān)持經(jīng)常性的自查。

      第二十三條 檢查方式:安全保衛(wèi)檢查以普查與抽查、自查與互

      查、白天查與晚上查、實(shí)地查與電話查、定期查與不定期查相結(jié)合,采取聽(匯報(bào))、看(現(xiàn)狀)、問(情況)、查(實(shí)況)、評(反饋意見)等檢查方法。

      第二十四條 安全檢查的主要內(nèi)容:

      (一)貫徹落實(shí)安全保衛(wèi)工作制度情況;

      (二)崗位工作人員防范意識和執(zhí)行規(guī)章制度操作規(guī)程情況;

      (三)值班、警衛(wèi)制度執(zhí)行及值班、警衛(wèi)人員履行職責(zé)情況;

      (四)防火、防盜、防搶劫、防爆炸等各項(xiàng)安全生產(chǎn)措施落實(shí)的情況;

      (五)安全防范設(shè)施建設(shè)和管理情況;

      - 7 -

      (六)檢查計(jì)算機(jī)機(jī)房防火、防水、防侵入的安全管理制度及落實(shí)情況,對相關(guān)人員進(jìn)行安全培訓(xùn);

      (七)刑事案件和治安災(zāi)害事故查處情況;

      (八)存在問題的整改情況;

      (九)其他需要檢查的事項(xiàng)。

      第二十五條 安全檢查應(yīng)認(rèn)真負(fù)責(zé)不走過場,檢查人員和被檢查單位負(fù)責(zé)人應(yīng)當(dāng)在安全檢查登記簿上簽字,對檢查發(fā)現(xiàn)的問題應(yīng)當(dāng)提出整改意見或建議,對存在嚴(yán)重治安隱患的單位應(yīng)當(dāng)下達(dá)《隱患整改通知書》,責(zé)令限期改正。較大規(guī)模的安全檢查應(yīng)向總行寫出專題報(bào)告,檢查結(jié)果應(yīng)當(dāng)向全轄通報(bào)。

      第五章 案件和事故的管理

      第二十六條 安全保衛(wèi)部對涉及本行的搶劫、盜竊、爆炸、縱火、綁架等各類刑事案件和治安災(zāi)害事故、安全生產(chǎn)事故履行調(diào)查、協(xié)查及管理職責(zé)。

      第二十七條 發(fā)生刑事案件或治安災(zāi)害事故的營業(yè)網(wǎng)點(diǎn)及部門應(yīng)當(dāng)立即向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案,并在規(guī)定的時(shí)限內(nèi)向本行上報(bào)。接到報(bào)案后,安全保衛(wèi)部門應(yīng)立即趕到現(xiàn)場。

      第二十八條 安全保衛(wèi)部對所轄支行的報(bào)案和犯罪人的自首,應(yīng)當(dāng)認(rèn)真做好筆錄,并調(diào)查核實(shí)。對所受理的案件經(jīng)查證不

      - 8 -

      屬于安全保衛(wèi)部管轄的,應(yīng)及時(shí)移交相關(guān)部門。

      第二十九條 在案件事故的查處中涉及內(nèi)部其他部門協(xié)辦的,按照各自的職責(zé)范圍,分工協(xié)作,密切配合,積極查辦。

      第三十條 案件、事故管理實(shí)行一案一報(bào),一案一檔,專人負(fù)責(zé),領(lǐng)導(dǎo)簽發(fā)的報(bào)告制度。

      第三十一條 安全保衛(wèi)部應(yīng)當(dāng)安排專人負(fù)責(zé)案件管理工作,做到登記清楚、統(tǒng)計(jì)準(zhǔn)確、上報(bào)及時(shí)。

      第六章 安全保衛(wèi)工作的考核

      第三十二條 安全保衛(wèi)部負(fù)責(zé)本行安全保衛(wèi)工作的檢查、自查的考核;安全保衛(wèi)工作實(shí)行季度量化指標(biāo)百分制考核,年終匯總評比。

      (一)本行、各支行成立安全保衛(wèi)領(lǐng)導(dǎo)小組負(fù)責(zé)本行安全保衛(wèi)工作的檢查、自查的考核;

      (二)安全保衛(wèi)工作實(shí)行季度量化指標(biāo)百分制考核,年終平均結(jié)

      果,由本行統(tǒng)一標(biāo)準(zhǔn);

      (三)各支行在安全保衛(wèi)工作中有突出貢獻(xiàn)的,由安全保衛(wèi)部門提出申請,報(bào)安全保衛(wèi)領(lǐng)導(dǎo)小組審批,在安全保衛(wèi)工作考核結(jié)果中追加分?jǐn)?shù);

      (四)安全保衛(wèi)工作考核結(jié)果與各支行行長績效工資掛鉤。

      - 9 -

      根據(jù)年終安全保衛(wèi)工作考核得分,發(fā)放績效工資;

      (五)各支行安全保衛(wèi)工作考核成績優(yōu)秀的,按程序報(bào)經(jīng)安全保衛(wèi)領(lǐng)導(dǎo)小組審查批準(zhǔn)后,予以獎勵。

      第七章 安全保衛(wèi)工作獎懲及責(zé)任追究

      第三十三條 安全保衛(wèi)工作獎勵辦法

      (一)設(shè)置安全獎勵。安全獎勵的管理機(jī)構(gòu):安全保衛(wèi)領(lǐng)導(dǎo)小組。

      (二)獎勵的對象:

      1、在安全保衛(wèi)工作中,成績優(yōu)異的支行;

      2、忠于職守,認(rèn)真履行安全保衛(wèi)崗位職責(zé),嚴(yán)格按照規(guī)章制度辦事,為本單位或集體安全保衛(wèi)工作取得優(yōu)異成績貢獻(xiàn)突出的個人;

      3、及時(shí)發(fā)現(xiàn)和制止違法犯罪行為或防止治安災(zāi)害事故發(fā)生,使國家、集體財(cái)產(chǎn)和員工生命安全免受損失或減少損失的單位、集體或個人;

      4、檢舉、揭發(fā)違法犯罪行為,敢于善于同犯罪分子作斗爭或協(xié)助偵破案件有功的單位、集體或個人;

      5、其它安全保衛(wèi)工作中有突出表現(xiàn)和貢獻(xiàn)的單位、集體或個人。

      - 10 -

      (三)獎勵的方式:表揚(yáng)、物質(zhì)獎勵。

      (四)獎勵的管理。獎勵、表揚(yáng)、物質(zhì)獎勵的,由安全保衛(wèi)部門提出申請,報(bào)安全保衛(wèi)領(lǐng)導(dǎo)小組審議后交行長辦公會議決定。

      第三十四條 安全保衛(wèi)工作處罰辦法

      (一)處罰的對象

      1、忽視安全保衛(wèi)工作,不履行安全保衛(wèi)職責(zé),按照安全保衛(wèi)責(zé)任書內(nèi)容應(yīng)當(dāng)受到處罰的各級責(zé)任人;

      2、安全保衛(wèi)工作考核成績較差,排名落后的支行;

      3、在安全檢查中發(fā)現(xiàn)的違章違紀(jì)的相關(guān)責(zé)任人員;

      4、對安全隱患熟視無睹,漠不關(guān)心,對違章違紀(jì)現(xiàn)象聽之任之,不聞不問的相關(guān)責(zé)任人員;

      5、其它應(yīng)當(dāng)追究責(zé)任予以處罰的人員。

      (二)處罰的方式

      處罰的方式分為批評教育、經(jīng)濟(jì)處罰、行政處罰。

      (三)處罰的管理

      1、處罰方式為批評教育的由安全保衛(wèi)部作出決定并執(zhí)行;

      2、處罰方式為經(jīng)濟(jì)處罰且罰款金額在1000元(含1000元)以下的,由檢查人員提出建議,安全保衛(wèi)部決定執(zhí)行。罰款金額在1000元以上的,由安全保衛(wèi)部提出建議,報(bào)安全保衛(wèi)領(lǐng)導(dǎo)小組審查;

      - 11 -

      3、處罰方式為行政處罰的由安全保衛(wèi)部提出建議,報(bào)安全保衛(wèi)

      領(lǐng)導(dǎo)小組審議,交本行行長辦公會議決定;

      4、任何支行和員工不得干預(yù)或拒絕執(zhí)行處罰決定。如對處罰有疑問的,支行、員工可在15日內(nèi)向安全保衛(wèi)領(lǐng)導(dǎo)小組申請復(fù)議,安全保衛(wèi)領(lǐng)導(dǎo)小組應(yīng)在接到申請復(fù)議報(bào)告的30日內(nèi)作出答復(fù),復(fù)議期間仍按原處罰決定執(zhí)行。

      第三十五條 本行及各支行主要領(lǐng)導(dǎo)人和有關(guān)部門負(fù)責(zé)人對以下金融案件、重大安全事故的防范、發(fā)生,依據(jù)法律、行政法規(guī)和本制度的條款有失職、瀆職情形或者負(fù)有領(lǐng)導(dǎo)責(zé)任的,依照本規(guī)定給予行政處分;構(gòu)成犯罪的,依照有關(guān)規(guī)定,移交司法部門追究刑事責(zé)任:

      (一)重大火災(zāi)事故造成人員傷殘死亡或國家財(cái)產(chǎn)損失嚴(yán)重的;

      (二)重大交通安全事故造成人員傷殘死亡或財(cái)產(chǎn)損失嚴(yán)重的;

      (三)由于本行責(zé)任人原因?qū)е轮卮蠼ㄖ|(zhì)量安全事故;

      (四)由于辦公、營業(yè)場所未按規(guī)定安裝安全防衛(wèi)設(shè)施,值守人員不到位造成國家財(cái)產(chǎn)損失或人員傷殘死亡的;

      (五)由于未按規(guī)定使用專用設(shè)備和違反規(guī)定造成職工傷殘死亡或資金損失嚴(yán)重的;

      (六)其他重大安全事故。

      各支行和有關(guān)部門對安全事故的防范、發(fā)生直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員,比照本制度給予行政處分;構(gòu)成犯罪 的,依照有關(guān)規(guī)定移送司法機(jī)關(guān)追究刑事責(zé)任。

      對重大安全事故肇事單位和個人的行政處罰,依照有關(guān)法律、法規(guī)和規(guī)章的規(guī)定執(zhí)行。構(gòu)成犯罪的依照有關(guān)規(guī)定移送司法機(jī)關(guān)追究刑

      事責(zé)任。

      第三十六條 凡發(fā)生本規(guī)定第三十五條所列金融案件、安全事故及其他傷殘死亡事故應(yīng)及時(shí)上報(bào),凡隱瞞不報(bào)的,一經(jīng)發(fā)現(xiàn),給予負(fù)責(zé)人相應(yīng)的行政處分。

      第三十七條 發(fā)生重大安全事故或案件,社會影響特別惡劣或者性質(zhì)特別嚴(yán)重的,由本行對負(fù)有領(lǐng)導(dǎo)責(zé)任的責(zé)任人給予處分。

      第八章 附則

      第三十八條 本制度由本行負(fù)責(zé)解釋、修訂。

      第三十九條 本制度自發(fā)布之日起施行。

      第四篇:項(xiàng)目信息安全管理辦法

      關(guān)于**項(xiàng)目信息安全管理辦法

      為了規(guī)范及加強(qiáng)**項(xiàng)目的信息安全管理工作,特制定<<**項(xiàng)目信息安全管理辦法>>,并嚴(yán)格按要求執(zhí)行,具體如下:

      一、硬件設(shè)備及軟件信息安全管理

      1、按照**客服供應(yīng)商硬件及軟件設(shè)備要求標(biāo)準(zhǔn)進(jìn)行配置,確保符合標(biāo)準(zhǔn)。并定期維護(hù)。

      要求:技術(shù)員定期維護(hù),對于損壞、無法修復(fù)、多次修復(fù)仍然存在問題的電腦及時(shí)進(jìn)行更換。

      對象:**項(xiàng)目組座席、管理使用的電腦 實(shí)施時(shí)間:隨時(shí)檢查,每月排查登記一次

      違規(guī)處罰:未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。

      2、招募第三方安全公司,按**客服供應(yīng)商對第三方安全公司的安全測評要求來進(jìn)行招標(biāo),定期上報(bào)安全測評報(bào)告,并對存在的信息安全、網(wǎng)絡(luò)安全等隱患或漏洞進(jìn)行排查整改。對象:**項(xiàng)目組所使用設(shè)備、軟件等 實(shí)施時(shí)間:每季度測評一次

      違規(guī)處罰:未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。

      3、外網(wǎng)訪問、系統(tǒng)更新補(bǔ)丁、防火墻檢查、機(jī)房電腦USB端口的禁用等檢查工作

      要求:對海口職場電腦外網(wǎng)訪問進(jìn)行嚴(yán)格審查,無關(guān)于工作的外網(wǎng)一律禁止訪問,對于網(wǎng)盤、視頻、音樂、非工作用的在線聊天軟

      件等進(jìn)行屏蔽。每周定期打系統(tǒng)更新補(bǔ)丁,每周定期對防火墻進(jìn)行檢查、打補(bǔ)丁,每周定期對機(jī)房電腦USB端口禁用進(jìn)行檢查

      對像:機(jī)房座席電腦、管理人員使用的電腦、服務(wù)器。

      實(shí)施時(shí)間:每周定期檢查,并做好技術(shù)維護(hù)日志登記工作。以便可追溯。

      違規(guī)處罰:未按規(guī)定時(shí)間完成的考核技術(shù)負(fù)責(zé)人500元/次。如有出現(xiàn)擅自開通外網(wǎng)、解禁USB端口等出現(xiàn)危害信息安全等行為的,一律按500元/次進(jìn)行考核,嚴(yán)重的做辭退處理。并承擔(dān)由此造成的經(jīng)濟(jì)損失。

      4、硬件設(shè)備、軟件等信息安全檢查要求

      要求:

      1、對**項(xiàng)目所有電腦按區(qū)域進(jìn)行劃分,共5個區(qū)域。

      2、專人負(fù)責(zé),每個區(qū)域由團(tuán)隊(duì)長進(jìn)行管理。

      3、每周各區(qū)域負(fù)責(zé)人對管轄區(qū)域信息安全進(jìn)行檢查及檢查。

      4、檢查完畢后團(tuán)隊(duì)長填寫《信息安全檢查表》,并簽名。

      5、中心經(jīng)理每日對團(tuán)隊(duì)長信息安全工作及簽名進(jìn)行檢查,一旦出現(xiàn)未按要求完成工作則納入考核。

      實(shí)施時(shí)間:每周日前完成

      違規(guī)處罰:不按時(shí)完成工作及簽名者,考核200元/次。

      二、座席入職及職場信息安全管理

      1、座席信息安全保密工作

      要求:座席上崗前100%簽訂保密協(xié)議,并通過信息安全制度考試后

      方可上崗。對信息安全相關(guān)考核及連帶責(zé)任條例進(jìn)行簽字確認(rèn)認(rèn)同并無異議。每月業(yè)務(wù)考試中加入信息安全考核內(nèi)容,定期考核。在崗期間不得將工作資料、客戶信息等紙質(zhì)文件、電子文檔等在未經(jīng)項(xiàng)目經(jīng)理允許的情況下帶離公司,不得將涉及公司及客戶信息安全的資料發(fā)到自己的社交媒體如QQ群、QQ空間、微信群、微信朋友圈、電子郵箱等。在崗期間不得在非工作群內(nèi)談?wù)摽蛻粜畔?、發(fā)布客戶信息等行為。

      實(shí)施時(shí)間:新員工入崗前完成,崗中每月業(yè)務(wù)考試中進(jìn)行考核,項(xiàng)目主管、團(tuán)隊(duì)長不定期檢查座席的空間、朋友圈等。

      違規(guī)處罰:如有違例扣罰當(dāng)事人500元/次,并承擔(dān)由此造成的經(jīng)濟(jì)損失,如涉及法律相關(guān)問題,應(yīng)配合公司應(yīng)訴并承擔(dān)相應(yīng)法律責(zé)任。

      2、機(jī)房現(xiàn)場信息安全防范工作

      要求:非**項(xiàng)目組員工不得進(jìn)入**機(jī)房內(nèi),進(jìn)出機(jī)房需使用門禁系統(tǒng),進(jìn)入機(jī)房不得攜帶手機(jī)、數(shù)碼相機(jī)、U盤、筆記本電腦、錄音筆等非工作設(shè)備。

      實(shí)施時(shí)間:每日班前會進(jìn)行檢查,每日執(zhí)行

      違規(guī)處罰:如有違例扣罰當(dāng)事人500元/次,并承擔(dān)由此造成的經(jīng)濟(jì)損失,如涉及法律相關(guān)問題,應(yīng)配合公司應(yīng)訴并承擔(dān)相應(yīng)法律責(zé)任。

      **項(xiàng)目組信息安全條例根據(jù)**總部相關(guān)條例及時(shí)進(jìn)行調(diào)整。員工保密協(xié)議、信息安全考試、技術(shù)維護(hù)日志等均納入運(yùn)營管理績效考核中。如未按要求執(zhí)行則承擔(dān)相應(yīng)考核。

      第五篇:信息和技術(shù)安全管理辦法

      為了防止信息和技術(shù)的泄密,導(dǎo)致嚴(yán)重災(zāi)難的發(fā)生,公司員工嚴(yán)格遵守以下安全規(guī)定:

      一、公司秘密具體范圍包括:

      1.1 公司股東、董事會資料,會議記錄,保密期限內(nèi)的重要決定事項(xiàng) 1.2 公司的工作總結(jié),財(cái)務(wù)預(yù)算決算報(bào)告,繳納稅款、營銷報(bào)表和各種綜合統(tǒng)計(jì)報(bào)表 1.3 公司有關(guān)銷售業(yè)務(wù)資料,貨源情報(bào)和對供應(yīng)商調(diào)研資料 1.4 公司開發(fā)設(shè)計(jì)資料,技術(shù)資料和生產(chǎn)情況 1.5 客戶提供的一切文件、樣板等 1.6 公司各部門人員編制.調(diào)整,未公布的計(jì)劃,員工福利待遇資料及員工手冊 1.7 公司的安全防范狀況及存在的問題 1.8 公司員工違法違紀(jì)的檢舉.投訴.調(diào)查材料,發(fā)生案件、事故的調(diào)查登記資料 1.9 公司、法人代表的印章、營業(yè)執(zhí)照、財(cái)務(wù)印章合同協(xié)議。

      二、公司的保密制度 2.1 文件、傳真郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理 2.2 凡涉及公司內(nèi)部秘密的文件資料的報(bào)廢處理,必須首先碎紙,不準(zhǔn)未經(jīng)碎紙丟棄處理 2.3 公司員工持有的各種文件、資料、電子文檔(磁碟,光盤等),當(dāng)離開辦公室外出時(shí),須存放入文件柜或抽屜上鎖,不準(zhǔn)隨意亂放,未經(jīng)批準(zhǔn),不能復(fù)制抄錄或攜帶外出 2.4 未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供公司的任何保密資料 2.5 未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向提供客戶的任何資料

      2.6 妥善保管好各種財(cái)務(wù)賬冊、公司證照、印章 三、電腦保密措施 3.1 不要將機(jī)密文件及可能是受保護(hù)文件隨意存放,文件的存放在分類分目錄存放于指定位置。

      3.2 未經(jīng)領(lǐng)導(dǎo)批準(zhǔn),不得隨意打開他人文件,以避免泄密或文件的損壞。

      3.3 對來歷不明的郵件或文件不要查看或嘗試打開,以避免計(jì)算機(jī)中病毒或感染木馬程序,并盡快請公司網(wǎng)絡(luò)管理人員來檢查。

      3.4 在一些郵件中的附件中,如果有出現(xiàn)一些附加名是:EXE,COM 等可執(zhí)行的附件或其它可疑附件時(shí),請先用殺毒軟件詳細(xì)查殺后再使用,或請網(wǎng)絡(luò)管理人員處理。

      3.5 不要隨便嘗試不明的或不熟悉的計(jì)算機(jī)操作步驟。遇到計(jì)算機(jī)發(fā)生異常而自己無法解決時(shí),就立即通知網(wǎng)絡(luò)管理人員解決。

      3.6 不要隨便安裝或使用不明來源的軟件或程序。不要隨便運(yùn)行或刪除電腦上的文件或程序。不要隨意更改計(jì)算機(jī)參數(shù)等。

      3.7 收到無意義的郵件后,應(yīng)及時(shí)清除,不要蓄意或惡意地回寄這些郵件。

      3.8 不向他人泄露使用密碼,防止他人接觸計(jì)算機(jī)系統(tǒng)造成意外。

      3.9 需要至少每個季度進(jìn)行密碼更換,并由 IT 負(fù)責(zé)人進(jìn)行監(jiān)督實(shí)施,做好《密碼更新記錄》表,如發(fā)現(xiàn)密碼已泄漏,就盡快更換。預(yù)設(shè)的密碼及由別人提供的密碼應(yīng)不能采用。定期用殺毒程序掃描計(jì)算機(jī)系統(tǒng)。對于新的軟件、檔案或電子郵件,應(yīng)選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進(jìn)行適當(dāng)?shù)奶幚砗蟛趴砷_啟使用。

      3.10 先以加密技術(shù)保護(hù)敏感的數(shù)據(jù)文件,然后才通過公司網(wǎng)絡(luò)及互聯(lián)網(wǎng)進(jìn)行傳送。在適當(dāng)?shù)那闆r下,利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名。

      3.11 關(guān)閉電子郵件所備有自動處理電子郵件附件功能,關(guān)閉電子郵件應(yīng)用系統(tǒng)或其它應(yīng)用軟件中可自動處理的功能,以防電腦病毒入侵。

      3.12 未經(jīng)主管人員許可,不要讓他人隨意使用你的計(jì)算機(jī)。不要隨意將公司或個人的文件發(fā)送給他人,或給他人查看或使用。

      3.13 計(jì)算機(jī)使用或管理過程中如有任何疑問,請?jiān)儐柟揪W(wǎng)絡(luò)管理人員。

      四、公司的保密措施 1.公司中層以上領(lǐng)導(dǎo),要自覺帶頭遵守保密制度。

      2.公司各部門要運(yùn)用各種形式經(jīng)常對所屬員工進(jìn)行保密教育,增強(qiáng)保密觀念。

      3.全體員工應(yīng)自覺遵守保密基本準(zhǔn)則,做到:不該說的機(jī)密,絕對不說,不該看的機(jī)密,絕對不看(含超越自己職責(zé)、業(yè)務(wù)范圍的文件、資料、電子文檔)。

      4..對員工依照公司規(guī)定,保守公司秘密,發(fā)現(xiàn)他人泄密,立即采取補(bǔ)救措施,避免或減輕損害后果;對泄密或者非法獲取公司秘密的行為及時(shí)檢舉投訴的,按照規(guī)定給予獎勵。

      5..對員工不遵守公司規(guī)定,造成泄密事件,依照有關(guān)法規(guī)及公司的警告規(guī)定給予處理,嚴(yán)重者直至追究刑事責(zé)任。

      五、數(shù)據(jù)的備份機(jī)制 5.1 數(shù)據(jù)每月需要進(jìn)行備份,如在重要數(shù)據(jù)更新時(shí),需要及時(shí)進(jìn)行備份 5.2 數(shù)據(jù)備份后可刻錄成光盤,或存于移動硬盤中,并存放于檔案室 六、記錄表單

      《密碼更新記錄》

      下載商業(yè)銀行信息安全管理辦法word格式文檔
      下載商業(yè)銀行信息安全管理辦法.doc
      將本文檔下載到自己電腦,方便修改和收藏,請勿使用迅雷等下載。
      點(diǎn)此處下載文檔

      文檔為doc格式


      聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),未作人工編輯處理,也不承擔(dān)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)有涉嫌版權(quán)的內(nèi)容,歡迎發(fā)送郵件至:645879355@qq.com 進(jìn)行舉報(bào),并提供相關(guān)證據(jù),工作人員會在5個工作日內(nèi)聯(lián)系你,一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

      相關(guān)范文推薦

        銀行信息安全管理辦法

        XX銀行 信息安全管理辦法 第一章 總 則 第一條 為加強(qiáng)XX銀行 (下稱 “本行” )信息安全管理,防范信息技術(shù)風(fēng)險(xiǎn),保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行, 根據(jù) 《中華人民共......

        市商業(yè)銀行管理辦法(精選合集)

        市商業(yè)銀行查庫管理辦法 第一章 總則 第一條 為加強(qiáng)市商業(yè)銀行查庫工作的管理,規(guī)范查庫工作行為,有效指導(dǎo)業(yè)務(wù)管理部門人員進(jìn)行查庫工作,提高查庫工作效率和工作質(zhì)量,防范現(xiàn)金......

        商業(yè)銀行保密管理辦法

        ****銀行 股份有限公司保密管理辦法 (試行) 第一章 總 則 第一條 為保守國家秘密和***(以下簡稱“本行”)商業(yè)秘密,維護(hù)國家、本行及客戶的安全和利益,保障本行各項(xiàng)業(yè)務(wù)健康發(fā)展,根......

        商業(yè)銀行固定資產(chǎn)管理辦法

        **商業(yè)銀行固定資產(chǎn)管理辦法 第一章總 則 第一條為適應(yīng)**商業(yè)銀行(以下簡稱本行)業(yè)務(wù)發(fā)展需要,加大固定資產(chǎn)管理力度,發(fā)揮固定資產(chǎn)投資效益,根據(jù)《金融企業(yè)財(cái)務(wù)規(guī)則》等相關(guān)制度,......

        商業(yè)銀行對賬管理辦法

        XXXX銀行股份有限公司 對賬管理辦法 第一章總則 第一條為加強(qiáng)本行對賬工作的管理,有效防范會計(jì)風(fēng)險(xiǎn),保障客戶與銀行的資金安全,確保對賬工作的有效開展,特制定本辦法。 第二條本......

        商業(yè)銀行薪酬管理辦法

        農(nóng)村商業(yè)銀行薪酬管理暫行辦法 第一章 總則 第一條 為發(fā)揮薪酬分配的正向激勵作用,切實(shí)轉(zhuǎn)換經(jīng)營機(jī)制,充分調(diào)動廣大員工工作積極性、主動性和創(chuàng)造性,促進(jìn)各項(xiàng)業(yè)務(wù)持續(xù)健康發(fā)展,根......

        商業(yè)銀行貼現(xiàn)管理辦法

        XX農(nóng)村商業(yè)銀行股份有限公司 貼現(xiàn)業(yè)務(wù)管理辦法 第一章 總則 第一條 為規(guī)范XX農(nóng)村商業(yè)銀行股份有限公司(以下簡稱“本行”)商業(yè)匯票貼現(xiàn)業(yè)務(wù)持續(xù)、健康、平穩(wěn)發(fā)展,規(guī)范票據(jù)貼現(xiàn)......

        商業(yè)銀行營業(yè)網(wǎng)點(diǎn)管理辦法

        ⅩⅩ市商業(yè)銀行營業(yè)網(wǎng)點(diǎn)管理辦法(試行) 第一章 總則 第一條 為使ⅩⅩ市商業(yè)銀行(以下簡稱“本行”)營業(yè)網(wǎng)點(diǎn)積極穩(wěn)妥的發(fā)展,實(shí)現(xiàn)管理系統(tǒng)化、規(guī)范化和標(biāo)準(zhǔn)化,確保營業(yè)網(wǎng)點(diǎn)能夠準(zhǔn)確......