第一篇：信息安全管理辦法_百度

XX金融公司信息安全管理辦法

第一章 總則

第一條 根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)，制定本管理辦法。

第二條 信息安全是指通過各種計算機、網(wǎng)絡(luò)（內(nèi)部信息平臺）和密碼技術(shù)，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。

（一）信息處理和傳輸系統(tǒng)的安全。系統(tǒng)管理員應(yīng)對處理信息的系統(tǒng)進行詳細的安全檢查和定期維護，避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。

（二）信息內(nèi)容的安全。側(cè)重于保護信息的機密性、完整性和真實性。系統(tǒng)管理員應(yīng)對所負責系統(tǒng)的安全性進行評測，采取技術(shù)措施對所發(fā)現(xiàn)的漏洞進行補救，防止竊取、冒充信息等。

（三）信息傳播安全。要加強對信息的審查，防止和控制非法、有害的信息通過本公司的信息網(wǎng)絡(luò)（內(nèi)部信息平臺）系統(tǒng)傳播，避免對國家利益、公司利益以及個人利益造成損害。

第二章 職責權(quán)限

第三條 信息安全管理實施工作責任制和責任追究制，由XX金融公司（以下簡稱“公司”）成立信息安全領(lǐng)導小組，由CIO擔任領(lǐng)導小組組長，負責本公司信息安全工作的策略，重點，制度和措施，對本單位的信息安全工作負領(lǐng)導責任；由信息技術(shù)部負責人擔任信息安全實施小組組長，成員包括部門信息安全管理員，負責信息安全保護工作的具體實施，對本單位的信息安全負直接管理責任。

第四條 信息安全實施小組對本公司的服務(wù)器，網(wǎng)絡(luò)，信息系統(tǒng)具有審核和管理權(quán)，負責本公司信息系統(tǒng)的規(guī)劃，建設(shè)，應(yīng)用開發(fā)，運行維護與用戶管理。

第三章 主要風險

第五條 公司存在如下風險：

（一）來自公司外的風險

1.病毒和木馬風險。互聯(lián)網(wǎng)上不同類型的病毒和木馬，在感染公司用戶電腦后，會篡改電腦系統(tǒng)文件，使系統(tǒng)文件損壞，導致用戶電腦最終徹底崩潰，嚴重影響員工的工作效率；有些木馬在用戶訪問網(wǎng)絡(luò)的時候，不小心被植入電腦中，輕則丟失工作文件，重則泄露機密信息。

2.不法分子等黑客風險。計算機網(wǎng)絡(luò)的飛速發(fā)展也導致一些不法分子利用網(wǎng)絡(luò)行竊、行騙等，如果是信息技術(shù)部、結(jié)算部和財務(wù)部電腦若被黑客植入后門，留下監(jiān)視類木馬查件，將有可能 2 造成重要數(shù)據(jù)被拷貝泄露、財務(wù)網(wǎng)銀密碼被竊取。還可能使服務(wù)器資源耗盡，最終徹底崩潰，同時整個網(wǎng)絡(luò)徹底癱瘓。

（二）來自公司內(nèi)的風險

1.文件的傳輸風險。員工將公司重要文件以QQ、MSN發(fā)送出去，造成公司信息資源的外泄，危害公司生存發(fā)展。2.文件的打印風險。員工將公司技術(shù)資料或商業(yè)信息打印到紙張帶出公司，公司信息資料外泄。

3.文件的傳真風險。員工將紙質(zhì)重要資料或技術(shù)圖紙傳真出去，以及將其他單位傳真給公司的技術(shù)文件和重要資料帶走，造成公司信息外泄。

4.存儲設(shè)備的風險。員工通過光盤或移動硬盤等存儲介質(zhì)將文件資料拷貝出公司，或員工私自拆開電腦機箱，將硬盤偷偷帶出公司，造成公司信息泄露。

5.上網(wǎng)行為風險。員工在電腦上訪問不良網(wǎng)站，造成電腦及公司網(wǎng)絡(luò)的破壞，導致電腦系統(tǒng)崩潰。

6.用戶密碼風險。主要包括用戶密碼和管理員密碼。用戶的開機密碼、業(yè)務(wù)系統(tǒng)登陸密碼被他人掌握，此用戶權(quán)限內(nèi)的信息資料和業(yè)務(wù)數(shù)據(jù)被竊?。还芾韱T密碼被不法分子竊取，破壞應(yīng)用系統(tǒng)的正常運行。

7.機房設(shè)備風險。主要包括服務(wù)器、UPS電源、網(wǎng)絡(luò)交換機、電話交換機、光端機等。這些風險來自自然災(zāi)害導致的機房設(shè)施損壞及業(yè)務(wù)中斷。

8.辦公/區(qū)域風險。主要包括辦公區(qū)域敏感信息的安全。員工在辦公區(qū)域隨意堆放本部門的重要文件或是在辦公區(qū)域毫不避嫌談?wù)摴ぷ鲀?nèi)容，可能會泄露部門工作機密，甚至是公司機密。

為了保證公司信息的安全保密，公司所有人員必須嚴格遵守公司信息安全管理辦法，以此為基礎(chǔ)，從各個層面杜絕信息安全隱患。

第四章 風險防范措施

第六條 信息安全防范措施

（一）計算機設(shè)備安全管理。

1.公司所有人員應(yīng)保持清潔、安全、良好的計算機設(shè)備工作環(huán)境，禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。

2.嚴格遵守計算機設(shè)備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機組件，計算機出現(xiàn)故障時應(yīng)及時向信息管理部報告，不允許私自處理和維修。3.發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或丟失的，其損失由當事人如數(shù)賠償：違章作業(yè)；保管不當；擅自安裝、使用硬件和電氣裝置。公司每位員工對自己的工作電腦既有使用的權(quán)利又有保護的義務(wù)。任何的硬件損壞必須給出損壞報告，說明損壞原因，不得擅自更換。公司會視實際情況進行處理。

4.下班后所有不再使用的計算機，應(yīng)關(guān)閉主機電源，以防止意外，對于共同使用的計算機，原則上由最后一個退出系統(tǒng)的使用人員關(guān)機，并關(guān)閉電源。外人未經(jīng)公司領(lǐng)導批準不得操作公司計算機設(shè)備。

（二）部門資料安全管理 1.外接存儲設(shè)備安全管理

信息技術(shù)部使用技術(shù)手段禁止所有人員以個人介質(zhì)光盤、U盤、移動硬盤等存儲設(shè)備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設(shè)備中，需要經(jīng)過加密機來進行拷貝。為確保硬盤的安全，嚴禁任何人私自拆開電腦機箱，將用戶主機貼上封條標簽，除信息技術(shù)部人員外，任何人不得私自拆開機箱，若信息技術(shù)部進行電腦硬件故障排查時，拆除封條標簽后，在故障排查結(jié)束及時更換新的封條標簽。信息技術(shù)部將定期檢查，若發(fā)現(xiàn)有封條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關(guān)人責任。

2.文件傳真安全管理。

人員對外發(fā)送涉密傳真，必須經(jīng)上級核實后，統(tǒng)一在規(guī)定部門登記，由規(guī)定部門通過加密機發(fā)送，禁止個人在未經(jīng)許可的情況下對外發(fā)送涉密傳真文件，一經(jīng)發(fā)現(xiàn)，所有后果將由個人承擔。在對內(nèi)傳真文件時，應(yīng)即刻通知傳真接收人接收并取走傳真件，在傳真結(jié)束時，應(yīng)馬上取走傳真原件。若因傳真時沒有取走傳真件，導致傳真件丟失，造成本部門信息外泄，則由本人承擔一切 5 后果。

3.文件打印安全管理。

所有人員不得私自將公司文件打印帶出公司，一經(jīng)發(fā)現(xiàn)，嚴肅處理。若在上班時間，打印工作文件時，需要即刻在打印機處等候文件的打印，文件打印完成后馬上取走，若因文件打印時有其他緊急事件，應(yīng)該通知本部門人員代為領(lǐng)取打印文件。禁止一切打印后未及時取走打印文件的行為，一經(jīng)發(fā)現(xiàn)，將對本人警告，若因打印后，文件丟失，造成信息資料外泄，則由本人承擔相關(guān)責任。

4.文件的存儲安全管理。

所有部門人員應(yīng)定時清理計算機中的文件，清除不需要的垃圾文件，將重要的文件和工作資料保存在特定的文件夾里，每月末應(yīng)將電腦中的文件資料做一次備份，將文件資料備份到部門專用U盤或移動硬盤上，確保個人工作資料的文件歸檔，在電腦突發(fā)性故障或硬盤損壞時，能夠及時恢復最近的工作資料；電腦桌面上的文件應(yīng)每周末拷貝到非系統(tǒng)盤符中或不要在桌面存放任何工作性文件資料。若因個人原因未執(zhí)行備份，造成數(shù)據(jù)資料丟失時，將由本人承擔相關(guān)后果。若員工離職，在辦完離職手續(xù)后，所在部門負責人應(yīng)聯(lián)系信息技術(shù)部協(xié)助將此員工工作資料拷貝到部門U盤或移動硬盤上，若沒有執(zhí)行此安全過程，離職員工損失的文件資料由該部門承擔。5.辦公區(qū)域的安全管理。

所有部門人員每天下班時應(yīng)保證辦公桌的整潔，將部門重要文件資料存放在個人抽屜柜中，并檢查確保辦公桌上沒有存放重要文件或其他有可能泄露本部門工作內(nèi)容的信息源。若因資料沒有存放好，被他人取走，造成的后果將由本人承擔。

（三）帳號密碼安全管理

使用者須妥善保管好自己的帳戶和密碼。嚴防被竊取而導致泄密。核心業(yè)務(wù)系統(tǒng)及OA帳戶及密碼由經(jīng)營辦管理員設(shè)置后通知員工，員工及時修改密碼后牢記。所有員工必須在所使用的計算機中設(shè)置開機密碼和屏幕保護密碼。為了保護公司的信息資產(chǎn)，設(shè)置密碼時應(yīng)注意：密碼至少有8個字符長；密碼必須包含以下任一部分：字母A-Z或a-z，數(shù)字0-9，特殊字符，例如 $，-等。

1.電腦密碼管理：每個員工管理自己電腦的登錄密碼,周期性的及時更改自己的電腦登錄密碼。

2.應(yīng)用系統(tǒng)密碼管理：所有核心業(yè)務(wù)系統(tǒng)用戶及OA用戶都將分配到一個帳號密碼，帳號是不變的，用戶可以更改自己的系統(tǒng)密碼，密碼盡可能設(shè)置為高安全性的復雜密碼，嚴禁用戶將密碼設(shè)置為如123456等傻瓜式密碼，若密碼設(shè)置過于簡單，被其他用戶非法登陸后，在核心業(yè)務(wù)系統(tǒng)中將會非法編制篡改單據(jù)，在OA中非法冒用流程管理權(quán)限，若產(chǎn)生此情況，將會導致嚴重的后果；嚴禁將核心業(yè)務(wù)系統(tǒng)帳號或OA帳號密碼透露給他人，讓他人代己做核心業(yè)務(wù)系統(tǒng)單據(jù)或辦理OA流程；員工調(diào)離崗位或 7 離職，所在部門負責人應(yīng)及時通知信管部注銷該員工的應(yīng)用系統(tǒng)帳戶。若因以上原因造成的信息安全后果將由本人承擔。3.采用用戶身份認證系統(tǒng)：

對核心業(yè)務(wù)系統(tǒng)采取USB KEY認證技術(shù)，并選擇其中一種技術(shù)與公司現(xiàn)有的靜態(tài)密碼技術(shù)相結(jié)合，USB KEY采用USB密鑰，存儲特定的加密算法，只有將USB鑰匙接上電腦，與電腦中存儲的認證軟件驗證通過后，才能進入。我們通過（動態(tài)+靜態(tài)）混合身份認證，或（硬件+軟件）混合身份認證，保證服務(wù)器的登陸基于網(wǎng)內(nèi)的行為、網(wǎng)外的行為都是安全的。

（四）殺毒軟件安全管理

用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動調(diào)度更新和病毒庫升級，每日定時殺毒，使用者也應(yīng)經(jīng)常手動掃描殺毒。

（五）各類軟件安全管理

軟件原始盤片應(yīng)交信息技術(shù)部保管，軟、硬件設(shè)備的原始資料（軟盤、光盤、說明書及保修卡、許可證協(xié)議等）交信息技術(shù)部保管。保管應(yīng)做到防水、防磁、防火、防盜。使用者必需的操作守冊由使用者長借、保管。

（六）郵件安全管理

所有因公對外聯(lián)系的電子郵件一律通過公司郵箱在自己的辦公電腦上進行收發(fā)。

（七）日常工作信息安全

1.員工應(yīng)對在自己公司電腦內(nèi)公司機密信息的安全負責，當 8 需暫時離開座位時必須立即啟動屏幕保護程序并帶有密碼。2.員工有責任正確地保護分配給本人的所有計算機帳戶。3.各部門經(jīng)理及人事部應(yīng)及時向信息技術(shù)部提供本部門及公司員工的人事及職位變動信息。

4.每臺公司電腦內(nèi)必須安裝反病毒軟件并啟動實時掃描程序。信息技術(shù)部可以提供最新殺毒軟件。

5.不得安裝有可能危及公司計算機網(wǎng)絡(luò)的任何軟件，若實在有需要進行軟件測試的必須將計算機脫離公司計算機網(wǎng)絡(luò)進行單機操作。

6.任何對公司內(nèi)部計算機網(wǎng)絡(luò)的黑客行為是絕對禁止的，一經(jīng)查實將按公司有關(guān)規(guī)定嚴肅處理。

第七條 信息技術(shù)部的安全措施如下：

（一）計算機網(wǎng)絡(luò)設(shè)備安全管理

公司所有計算機及網(wǎng)絡(luò)設(shè)備統(tǒng)一歸信息技術(shù)部管理。本辦法所涉及產(chǎn)品的界定：

1.計算機是指為公司內(nèi)部員工使用的PC機（包括CPU、硬盤、內(nèi)存、機箱、顯示器、主板、網(wǎng)卡、顯卡、顯示器、光驅(qū)、鍵盤和鼠標。

2.網(wǎng)絡(luò)設(shè)備是指公司內(nèi)部使用的服務(wù)器、網(wǎng)絡(luò)交換機、路由器、集線器、以及網(wǎng)絡(luò)接入設(shè)備等。

3.計算機其他配件是指公司備用的光驅(qū)、軟驅(qū)等。

4.附帶軟件包括計算機驅(qū)動盤、系統(tǒng)安裝盤、程序安裝盤等。5.包括計算機及耗材的采購計劃、故障維修等項工作。在員工電腦各組件老化或損壞，嚴重影響工作效率時，所在部門可申請以舊換新或報廢處理。若需要報廢，按照規(guī)定辦法執(zhí)行，各部門不得擅自處理破舊的電腦或電子設(shè)備。報廢的電腦硬盤必須消磁處理。

（二）公司所有輸入輸出設(shè)備統(tǒng)一歸信息技術(shù)部管理 輸入輸出設(shè)備包括掃描儀，傳真機，打印機。使用者在使用此相關(guān)設(shè)備遇到問題可尋信息技術(shù)部幫助。在使用設(shè)備過程中遇到故障要及時向信息技術(shù)部反映，以便信息技術(shù)部及時查找原因，解決故障。

（三）公司視頻會議設(shè)備和視頻監(jiān)控設(shè)備統(tǒng)一由信息技術(shù)部管理

1.視頻會議設(shè)備包括視頻會議服務(wù)器、視頻會議終端、SONY攝像頭、會議話筒、電視、投影儀以及鍵盤、接收器、遙控器和線材部分。信息管理部負責以上設(shè)備的維護管理工作包括視頻會議的搭建。

2.視頻監(jiān)控設(shè)備包括監(jiān)控服務(wù)器、監(jiān)控系統(tǒng)以及各路視頻采集器。信息管理部負責各路視頻的監(jiān)控以及備份和維護工作。

（四）核心業(yè)務(wù)系統(tǒng)、OA帳戶安全管理 系統(tǒng)管理帳號的設(shè)置與管理

1.核心業(yè)務(wù)系統(tǒng)、OA系統(tǒng)管理帳號必須經(jīng)過主管領(lǐng)導授權(quán) 10 取得。

2.核心業(yè)務(wù)系統(tǒng)管理員負責核心業(yè)務(wù)系統(tǒng)帳套環(huán)境生成、維護，負責一般操作帳號的生成和維護，負責故障恢復等管理及維護；OA系統(tǒng)由集團數(shù)據(jù)中心統(tǒng)一管理、流程的建設(shè)和優(yōu)化。3.核心業(yè)務(wù)系統(tǒng)、OA系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)整理、故障恢復等操作，必須有相關(guān)部門的簽字和領(lǐng)導的審批授權(quán)。4.核心業(yè)務(wù)系統(tǒng)、OA操作用戶需要增加或修改權(quán)限需要填寫核心業(yè)務(wù)系統(tǒng)/OA用戶權(quán)限申請表，并經(jīng)過本部門負責人簽字后交由信息技術(shù)部作權(quán)限相關(guān)處理。

5.系統(tǒng)管理員不得使用他人帳號進行業(yè)務(wù)操作。

6.系統(tǒng)管理員調(diào)離崗位或離職，信息技術(shù)部負責人應(yīng)及時注銷其帳號并生成新的系統(tǒng)管理員帳號。

（五）密碼安全管理

1.終端計算機密碼安全管理：電腦終端密碼由用戶自行管理，在用戶人員變動或電腦更換時，系統(tǒng)管理員及時收回并更換密碼。2.應(yīng)用服務(wù)器密碼安全管理：包括核心業(yè)務(wù)系統(tǒng)服務(wù)器、OA服務(wù)器、域服務(wù)器、郵箱服務(wù)器。信息技術(shù)部為確保服務(wù)器置于外網(wǎng)相對安全，針對每個服務(wù)器創(chuàng)建一個復雜的、不同的密碼，并每年更換一次新密碼。制成密碼登記文件，并提交給部門負責人。

3.防火墻/路由器密碼安全管理: 防火墻和路由器的密碼和服務(wù)器管理方法一樣，設(shè)置成不同的、復雜的密碼，并每年更換一 11 次，將密碼登記到《網(wǎng)絡(luò)設(shè)備密碼登記文件》中，并提交給部門負責人。

4.核心業(yè)務(wù)系統(tǒng)/OA系統(tǒng)密碼安全管理: 核心業(yè)務(wù)系統(tǒng)/OA系統(tǒng)密碼分為管理員密碼和操作用戶密碼。系統(tǒng)管理員登錄密碼由核心業(yè)務(wù)系統(tǒng)/OA管理員掌管，為保證系統(tǒng)安全需要定期更改時，及時上報部門負責人。操作用戶密碼由核心業(yè)務(wù)系統(tǒng)/OA管理員在創(chuàng)建帳戶時初始生成，信息技術(shù)部發(fā)放帳號密碼后，由用戶本人修改密碼，并自行保管好自己的密碼，如特殊原因忘記密碼時，由核心業(yè)務(wù)系統(tǒng)/OA管理員幫其初始化密碼。

信息技術(shù)部應(yīng)將所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備設(shè)置不同的密碼，所有的密碼僅限于信息技術(shù)部內(nèi)部人員掌握，不得向其他部門人員透露，在特殊情況下，需要供應(yīng)商做遠程調(diào)試時，方可透漏相關(guān)設(shè)備密碼，在調(diào)試結(jié)束后，應(yīng)盡快更改密碼。并通知部門內(nèi)其他人員。由于服務(wù)器及網(wǎng)絡(luò)設(shè)備均置于公網(wǎng)上，容易受到不法分子攻擊，因此，需要定期更改密碼，且密碼復雜性盡可能設(shè)置高。

（六）數(shù)據(jù)備份安全管理

定期備份核心業(yè)務(wù)系統(tǒng)服務(wù)器、OA服務(wù)器、郵箱服務(wù)器。數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存，并確保可以隨時使用。數(shù)據(jù)清理的實施應(yīng)避開公司網(wǎng)絡(luò)應(yīng)用高峰，避免對各部門工作造成影響。

（七）信息資料安全管理，在條件允許的范圍內(nèi)要求使用如下系統(tǒng)管理

1.加密系統(tǒng)管理；使用的是文檔加密系統(tǒng)，對常用辦公軟件office、pdf、AutoCAD文件加密，公司內(nèi)部的此類文件被帶出公司后，顯示在其他的電腦上均為亂碼，保證了各個部門在未授權(quán)的情況無法將公司的文件資料泄露出去。

2.監(jiān)控軟件管理：監(jiān)控軟件在很大程度上起到威懾作用，監(jiān)控軟件能夠記錄所有用戶在個人電腦上的一舉一動，通過實時屏幕監(jiān)控、屏幕錄象、插入存儲設(shè)備報警、網(wǎng)頁及程序過濾等功能及時抓出威脅公司信息安全的元兇。

3.打印控制軟件管理：打印控制軟件應(yīng)用后，員工的打印需要在管理員審核通過后方能打印，若管理員審核到某員工的打印內(nèi)容涉及本公司信息安全，拒絕員工的打印。在審核通過、打印完成后，管理員可隨時調(diào)出以前的打印記錄，保證了及時信息安全責任追究。

4.設(shè)備送外維修，須經(jīng)設(shè)備管理部門負責人批準。送修前，需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)備份后刪除，并進行登記。對修復的設(shè)備，設(shè)備維修人員應(yīng)對設(shè)備進行驗收、病毒檢測和登記。

5.信息技術(shù)部對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。6.信息技術(shù)部負責計算機病毒的防治工作，建立公司的計算 13 機病毒防治管理制度，經(jīng)常進行計算機病毒檢查，發(fā)現(xiàn)病毒及時清除。

7.用戶計算機未經(jīng)信息技術(shù)部允許不準安裝其它軟件、不準使用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。

（八）機房安全管理

嚴格按照《計算機機房管理制度》執(zhí)行。

第八條 構(gòu)建信息安全，必須做到管理、技術(shù)兩者雙管齊下

（一）加強管理，綜合防范。安全體系是一個整體的、系統(tǒng)的工程，不是簡單的“技術(shù)積木”。它是技術(shù)、管理的有機結(jié)合體。管理者必須以預防為主、綜合管理、人員防范和技術(shù)防范相結(jié)合，逐級建立多層次的安全防護體系，綜全防范實現(xiàn)分級阻止違規(guī)行為，實現(xiàn)一體化的安全系統(tǒng)。

（二）完善制度，強化培訓。完善的信息安全管理制度是行業(yè)信息系統(tǒng)安全運行的基礎(chǔ)保證。為系統(tǒng)資源規(guī)定明確使用的權(quán)限，對員工按其職責劃定必要的最小授權(quán)范圍，明確安全責任。確保安全措施落實、有效，加強員工的信息安全教育和培訓，強化安全意識和法治觀念。提高員工的職業(yè)道德和信息化應(yīng)用水平。

第五章 附則

第九條 本辦法由公司信息技術(shù)部解釋。第十條 本辦法自發(fā)文之日起實施。

第二篇：信息安全管理辦法

HYW3-111-XZ15

XXXXZDXXXXXXXX電廠管理制度

Net

信息安全管理辦法

2015-9-10發(fā)布 2015-9-10實施

XXXXXXXX電廠 發(fā) 布 HYW3-111-XZ15

XXXXXXXX電廠 信息安全管理辦法

第一章 總 則

第一條 為了加強XXXXXXXX電廠（以下簡稱“電廠”）信息的安全管理，確保公司信息系統(tǒng)安全、穩(wěn)定運行，特制定本辦法。

第二條 本辦法規(guī)定了信息安全管理的職責、內(nèi)容和方法，本辦法適用于電廠各部門。

第二章 人員與帳戶

第三條 電廠的所有員工都必須接受信息安全培訓，培訓由電廠人力資源部組織，信息中心協(xié)助。

第四條 信息中心統(tǒng)一管理各應(yīng)用系統(tǒng)中的帳戶信息，包括用戶基本信息、用戶帳號、權(quán)限等。信息中心應(yīng)在接到人力資源部門的員工職位變動或離職的通知后，根據(jù)具體情況及時調(diào)整相應(yīng)的帳戶信息。

第五條 員工離職時必須將其掌管的信息資產(chǎn)（如電腦、打印機等）移交信息中心，信息中心進行清點和核查。必要時，還需要檢查此員工管理的信息系統(tǒng)，以確認系統(tǒng)安全、正常，沒有遭受蓄意破壞。

第三章 口令策略

第六條 信息系統(tǒng)中所需要的所有口令應(yīng)至少滿足以下要求：

（一）長度：至少6位，建議在16位以下。

（二）復雜度：可以由大小寫字母、數(shù)字和普通符號組成。

（三）有效期：口令應(yīng)每季度更換。

（四）更換策略：新口令至少與前3次的口令不能相同。

第四章 特權(quán)帳號的控制

第七條 特權(quán)帳號是指具有特殊管理功能和權(quán)限的專用賬號，如：具有應(yīng)用系統(tǒng)管理權(quán)、數(shù)據(jù)庫管理權(quán)、操作系統(tǒng)管理權(quán)的帳號，還包括網(wǎng)絡(luò)設(shè)備特權(quán)帳號等。

第八條 特權(quán)帳號應(yīng)由專人管理和使用，責任到人。特權(quán)帳號使用人在出差、請假期間，應(yīng)將特權(quán)帳號轉(zhuǎn)交給信息中心負責人指定的人員。特權(quán)帳號使用人長期離開時，應(yīng)將特權(quán)帳號交給信息中心負責人。

第九條 使用特權(quán)帳號后，特權(quán)帳號使用人應(yīng)將其操作情況記錄在《操作日志》中。信息中心負責人每季度對《操作日志》進行審核。

第十條 特權(quán)帳號使用人在進行操作時，不得擅自離開；操作完成后，應(yīng)立即退出登錄，以防賬號被竊用。

HYW3-111-XZ15

第五章 安全檢查和審計

第十一條 信息中心安全管理員對防火墻進行管理，按照電廠有關(guān)技術(shù)規(guī)范的要求和本單位的實際情況配置相應(yīng)的安全策略。防火墻必須保留完整的日志記錄，安全管理員對其每月進行檢查、分析和審計。

第十二條 應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫的自動日志記錄應(yīng)完整保留，以便對其使用情況進行檢查和審計。

第六章 病毒防護

第十三條 電廠內(nèi)部網(wǎng)絡(luò)內(nèi)所有采用windows操作系統(tǒng)的計算機（包括服務(wù)器、臺式機和筆記本）都必須安裝電廠統(tǒng)一的防病毒軟件，防病毒軟件的安裝、升級、更新和策略設(shè)置由信息中心負責，電腦終端用戶不得擅自卸載殺毒軟件或更改其設(shè)置。

第七章 數(shù)據(jù)安全與保護

第十四條 重要數(shù)據(jù)的安全保護工作由電廠信息中心負責，按照數(shù)據(jù)重要性的分類應(yīng)采用不同的備份和管理的策略。

第十五條 重要數(shù)據(jù)進行銷毀或存儲介質(zhì)報廢時，應(yīng)確保對數(shù)據(jù)存儲介質(zhì)的物理銷毀或清除。

第十六條 信息中心的技術(shù)資料、軟件安裝介質(zhì)、軟件授權(quán)以及設(shè)備保修卡等重要資料應(yīng)指定專人分類妥善保管。上述資料應(yīng)存放在防火、防潮并且上鎖的資料柜中，借出時應(yīng)登記，避免遺失。

第八章 安全應(yīng)急處理

第十七條 信息系統(tǒng)受到惡意攻擊或發(fā)生重大事故時，信息中心負責應(yīng)急和恢復工作。信息中心應(yīng)對主要事故和攻擊的情況做出預案，以確保能迅速恢復系統(tǒng)的正常運行。

第十八條 信息系統(tǒng)受到非法攻擊或發(fā)生重大事故后，信息中心應(yīng)對系統(tǒng)的安全性重新進行全面的評估，制訂相應(yīng)的整改措施并落實執(zhí)行。

第十九條 建立信息系統(tǒng)問題匯報機制，信息中心根據(jù)問題的性質(zhì)、影響大小和發(fā)生頻度對電廠的信息系統(tǒng)進行分類匯總，信息化領(lǐng)導小組每季度審閱相應(yīng)的報告，對其中特別重大的事件（例如；重大安全事件〈黑客攻擊〉、主要系統(tǒng)的設(shè)備損毀、病毒造成的電廠范圍的網(wǎng)絡(luò)癱瘓）應(yīng)及時上報，同時向上級公司信息中心匯報。

第九章 附 則

第二十條 本辦法由電廠行政部信息中心負責解釋。

第二十一條

本辦法自發(fā)布施行。

第三篇：重慶機床廠有限公司特種設(shè)備安全管理辦法(百度)

重慶機床廠集團有限公司特種設(shè)備

安全管理辦法（試行）

1、主要內(nèi)容與適用范圍

本辦法明確了特種設(shè)備安全管理機構(gòu)和職責、監(jiān)督檢查、人員資質(zhì)、事故預防與調(diào)查處理等，適用于重慶機床廠集團有限公司特種設(shè)備管理、使用單位。

2、依據(jù)

2.1《特種設(shè)備安全監(jiān)察條例》（國務(wù)院令第549號）2.2《重慶市特種設(shè)備安全監(jiān)察條例》(重慶市人民代表大會常務(wù)委員會公告【2008】23號)

3、術(shù)語

特種設(shè)備是指涉及生命安全、危險性較大的鍋爐、壓力容器（氣瓶）、壓力管道、電梯、起重機械、客運索道、大型游樂設(shè)施和場內(nèi)專用機動車輛等（民用機場專用設(shè)備除外）。

4、職責

4.1 特種設(shè)備安全領(lǐng)導小組職責

4.1.1分管安全的領(lǐng)導是特種設(shè)備安全管理的第一責任人 全面負責特種設(shè)備的安全和節(jié)能工作；

4.1.2嚴格執(zhí)行國家和重慶市有關(guān)特種設(shè)備安全管理的有關(guān)法規(guī)、規(guī)范及標準的要求；

4.1.3審批、發(fā)布特種設(shè)備安全管理的各項制度； 4.1.4負責審核特種設(shè)備安全和節(jié)能資金投入； 4.1.5負責重大特種設(shè)備安全事故調(diào)查處理。

4.2特種設(shè)備安全領(lǐng)導小組辦公室職責（設(shè)在安全質(zhì)量部）4.2.1組織擬定各項特種設(shè)備安全管理制度；

4.2.2監(jiān)督檢查特種設(shè)備使用單位制度建設(shè)、人員資質(zhì)、臺賬建設(shè)、檢驗檢測等情況；

4.2.3負責特種設(shè)備事故的調(diào)查、處理、統(tǒng)計、上報等工作； 4.2.4負責特種設(shè)備安全措施的跟蹤落實工作； 4.2.5負責特種設(shè)備安全管理其他工作。4.3人力資源部

4.3.1負責特種設(shè)備安全管理機構(gòu)和崗位設(shè)置及資質(zhì)管理； 4.3.2負責特種設(shè)備作業(yè)人員專業(yè)技術(shù)資格的管理。4.4財務(wù)部

4.4.1負責特種設(shè)備安全資金管理工作； 4.4.2負責特種設(shè)備資產(chǎn)管理工作； 4.4.3負責特種設(shè)備各類保險的辦理工作； 4.5建設(shè)部

4.5.1負責特種設(shè)備招投標及采購工作。4.5.2負責特種設(shè)備生產(chǎn)廠商資格審查工作。4.6應(yīng)急救援辦公室

4.6.1負責編寫特種設(shè)備應(yīng)急救援預案，并組織演練； 4.6.2負責特種設(shè)備應(yīng)急救援工作的監(jiān)督管理工作。4.7特種設(shè)備使用單位

4.7.1使用單位負責人為本單位特種設(shè)備安全管理第一責任人，對本單位特種設(shè)備的安全和節(jié)能工作全面負責；

4.7.2負責建立本單位特種設(shè)備安全管理制度、操作規(guī)程和臺賬；

4.7.3負責特種設(shè)備使用登記和登記標志管理； 4.7.4負責特種設(shè)備日常維護保養(yǎng)和定期檢查； 4.7.5負責特種設(shè)備定期檢驗檢測； 4.7.6負責建立特種設(shè)備檔案制度、臺賬；

4.7.7負責特種設(shè)備作業(yè)人員資質(zhì)、證書、培訓管理； 4.7.8負責本單位特種設(shè)備應(yīng)急預案編寫和演練； 4.7.9負責本單位特種設(shè)備隱患排查和整治工作；

4.7.10負責本單位特種設(shè)備報廢申報工作。4.8特種設(shè)備安全管理員

4.8.1負責本單位特種設(shè)備操作規(guī)范的制定和培訓工作； 4.8.2負責本單位特種設(shè)備日常維護、保養(yǎng)、檢驗檢測的監(jiān)督、檢查；

4.8.3負責對特種設(shè)備購買、安裝、改造、維修、停用、報廢進行技術(shù)把關(guān)，確認特種設(shè)備的安全狀態(tài)； 4.8.4負責本單位特種設(shè)備安全隱患排查工作；

4.8.5負責本單位特種設(shè)備故障、異常情況的報送工作； 4.8.6負責本單位特種設(shè)備檔案管理工作。4.9特種設(shè)備作業(yè)人員

4.9.1持證上崗，嚴格按照特種設(shè)備操作規(guī)程操作有關(guān)設(shè)備，不違章作業(yè)；

4.9.2按規(guī)定做好特種設(shè)備的巡查、維護保養(yǎng)工作； 4.9.3準確分析、判斷和處理特種設(shè)備的運行中的異常情況，3 出現(xiàn)緊急異常情況立即采取措施，啟動應(yīng)急預案并向上通報。

5、特種設(shè)備的購置、安裝管理 5.1特種設(shè)備購置

5.1.1特種設(shè)備按照《采購管理規(guī)定》規(guī)定程序和要求進行購置，建設(shè)部組織特種設(shè)備采購的招投標，負責特種設(shè)備生產(chǎn)單位資質(zhì)的審查，采購持有國家相應(yīng)制造許可證的生產(chǎn)單位制造的符合安全技術(shù)規(guī)范、節(jié)能要求的特種設(shè)備。5.1.2特種設(shè)備采購時，應(yīng)審查：安全技術(shù)規(guī)范要求的設(shè)計文件、產(chǎn)品質(zhì)量合格證明、安裝及使用維修說明、監(jiān)督檢驗證明等文件。5.2特種設(shè)備安裝

5.2.1特種設(shè)備安裝前，特種設(shè)備使用單位先確定具有國家相應(yīng)安裝許可的單位負責安裝工作，特種設(shè)備安裝單位應(yīng)在施工前將擬進行的特種設(shè)備安裝情況書面告知特種設(shè)備安全監(jiān)督管理部門，辦理開工告知手續(xù)。

5.2.2特種設(shè)備安裝施工過程中，安裝單位應(yīng)當遵守施工現(xiàn)場的安全生產(chǎn)要求，落實現(xiàn)場安全防護措施。特種設(shè)備使用單位負責施工現(xiàn)場的安全監(jiān)督。特種設(shè)備使用單位應(yīng)與安裝方簽訂安全協(xié)議，明確各自的安全責任。

5.2.3安裝完成后，特種設(shè)備使用單位（或者應(yīng)督促安裝單位）向有關(guān)特種設(shè)備檢驗檢測機構(gòu)申報驗收檢驗。

6、特種設(shè)備使用登記管理

6.1特種設(shè)備在投入使用前或者投入使用后30日內(nèi)，由特種 4 設(shè)備使用單位負責向重慶市或者渝北區(qū)質(zhì)量技術(shù)監(jiān)督管理部門辦理注冊登記。登記標志以及檢驗合格標志應(yīng)當置于或者附著于該特種設(shè)備的顯著位置。

6.2特種設(shè)備使用單位安全管理員應(yīng)明確所有設(shè)備的安裝位置、使用情況、操作人員、管理人員及安全狀況，并負責制定相關(guān)的設(shè)備管理制度和安全技術(shù)操作規(guī)程。

7、特種設(shè)備檔案管理

7.1特種設(shè)備使用單位安全管理員負責特種設(shè)備安全技術(shù)檔案的建立。

7.2特種設(shè)備檔案（按臺建立特種設(shè)備檔案），包括： 7.2.1《特種設(shè)備登記卡》； 7.2.2《特種設(shè)備使用登記證》；

7.2.3安全技術(shù)規(guī)范要求的涉及制造文件； 7.2.4安裝技術(shù)文件和資料； 7.2.5安裝監(jiān)檢證書； 7.2.6定期檢驗報告； 7.2.7定期自查記錄； 7.2.8日常使用狀況記錄；

7.2.9安全附件、安全保護裝置、測溫調(diào)控裝置及有關(guān)儀表日常維護保養(yǎng)記錄；

7.2.10各種設(shè)備修理、改造記錄及相應(yīng)檢定證書； 7.2.11運行故障和事故記錄；

7.2.12其他如停用、延期檢驗申報批準等資料。

7.3特種設(shè)備使用單位指定專人負責特種設(shè)備安全技術(shù)檔案 5 的建立及日常管理工作，做好檔案的編目、整理，及時更新檔案內(nèi)容。

8、特種設(shè)備使用管理 8.1特種設(shè)備管理要求

特種設(shè)備使用部門的各級管理人員，應(yīng)具有安全生產(chǎn)意識和特種設(shè)備使用管理相關(guān)知識，加強特種設(shè)備使用環(huán)節(jié)的安全管理工作。8.2特種設(shè)備場所要求

特種設(shè)備使用地點、場所（如：鍋爐房、電梯等）應(yīng)設(shè)置安全注意事項和警示標志于易于乘客、工作人員注意的顯著位置。特種設(shè)備作業(yè)場所嚴禁閑雜人員進出。8.3特種設(shè)備作業(yè)人員

8.3.1特種設(shè)備的作業(yè)人員和安全管理人員應(yīng)經(jīng)特種設(shè)備安全監(jiān)察部門考核合格后，方可從事相應(yīng)特種設(shè)備的作業(yè)或管理工作。

8.3.2特種設(shè)備使用部門應(yīng)當對特種設(shè)備作業(yè)人員進行條件審核，保證作業(yè)人員的文化程度、身體條件等符合有關(guān)安全技術(shù)規(guī)范的要求；

8.3.3特種設(shè)備使用單位要進行特種設(shè)備安全教育和培訓，保證特種設(shè)備作業(yè)人員具備必要的特種設(shè)備安全作業(yè)知識，并建立培訓臺賬記錄。

8.3.4特種設(shè)備作業(yè)人員的資格證書到期前三個月，應(yīng)提出復審申請，復審不合格人員不得繼續(xù)從事特種設(shè)備的作業(yè)。8.3.5特種設(shè)備操作人員在作業(yè)過程中發(fā)現(xiàn)設(shè)備事故隱患或 6 者其他不安全因素，應(yīng)當立即向本單位安全管理人員和安全負責人報告。

8.3.6特種設(shè)備作業(yè)人員應(yīng)當嚴格執(zhí)行特種設(shè)備的操作規(guī)程（操作規(guī)程可根據(jù)法規(guī)、規(guī)范、標準要求，以及設(shè)備使用說明書、運行工作原理、安全操作要求、注意事項等內(nèi)容制定。8.4特種設(shè)備日常維護、檢查

8.4.1特種設(shè)備使用單位對設(shè)備進行經(jīng)常性日常維護保養(yǎng)，并建立臺賬記錄；

8.4.2特種設(shè)備使用單位對特種設(shè)備的安全附件、安全保護裝置、測量調(diào)控裝置及相關(guān)儀器儀表進行定期檢修，并建立臺賬記錄；

8.4.3特種設(shè)備使用單位對在用特種設(shè)備應(yīng)當至少每月進行一次自行檢查，并建立臺賬記錄；

8.4.4特種設(shè)備安全管理部門應(yīng)當至少每季度進行一次特種設(shè)備檢查，并建立臺賬記錄；

8.4.5特種設(shè)備在對在用特種設(shè)備進行檢查和日常維護保養(yǎng)時發(fā)現(xiàn)異常情況的，應(yīng)當及時處理。8.5特種設(shè)備檢驗

8.5.1特種設(shè)備使用單位應(yīng)按照特種設(shè)備安全技術(shù)規(guī)范的定期檢驗要求，在安全檢驗合格有效期滿前1個月，向特種設(shè)備檢驗檢測機構(gòu)提出定期檢驗要求；

8.5.2特種設(shè)備使用單位根據(jù)特種設(shè)備檢驗結(jié)論，通知各相關(guān)單位做好設(shè)備及安全附件的維修、維護工作，以保證特種設(shè)備的安全狀況等級和使用要求；

8.5.3特種設(shè)備使用單位對設(shè)備進行的安全檢驗檢測報告以及整改記錄，應(yīng)建立臺賬記錄；

8.5.4重新啟用封存的特種設(shè)備應(yīng)當經(jīng)法定程序檢驗，檢驗合格后持檢驗報告向原登記機關(guān)申請啟用；停用一年以內(nèi)重新啟用的，仍按原檢驗周期申請檢驗。8.6特種設(shè)備修理改造和報廢管理

8.6.1特種設(shè)備使用單位應(yīng)委托具有相應(yīng)資質(zhì)的單位進行改造、維修；

8.6.2特種設(shè)備在達不到安全技術(shù)規(guī)范要求（或超過安全技術(shù)規(guī)范規(guī)定的使用期限的），存在嚴重事故隱患，無改造、維修價值的，特種設(shè)備使用單位報財務(wù)部進行報廢處理，并要向原登記機關(guān)辦理注銷手續(xù)。

9、特種設(shè)備應(yīng)急救援管理

9.1公司層面特種設(shè)備應(yīng)急救援管理工作由應(yīng)急救援辦公室歸口管理，負責特種設(shè)備應(yīng)急救援預案的制定和組織應(yīng)急救援演練；負責監(jiān)督檢查特種設(shè)備使用單位應(yīng)急救援預案的編制和演練情況。

9.2特種設(shè)備使用單位應(yīng)制定本單位特種設(shè)備救援預案，每年至少組織一次應(yīng)急救援演練，并建立臺賬記錄；

10、特種設(shè)備事故信息報告管理

10.1特種設(shè)備發(fā)生事故時，特種設(shè)備使用單位按照《安全信息管理制度》進行上報

10.2事故報告應(yīng)包括以下內(nèi)容：

10.2.1 事故發(fā)生單位、聯(lián)系人、聯(lián)系電話。

10.2.2事故發(fā)生地點、時間。10.2.3事故發(fā)生原因分析。10.2.4 事故設(shè)備名稱。10.2.5事故類別。

10.2.6人員傷亡、經(jīng)濟損失以及事故概況。

10.3發(fā)生特種設(shè)備事故后，嚴格保護事故現(xiàn)場，并按《特種設(shè)備事故應(yīng)急救援預案》開展救援，采取措施搶救傷員和防止事故擴大。

11、特種設(shè)備隱患排查整治管理

11.1特種設(shè)備使用單位負責本單位特種設(shè)備定期自查管理工作，定期檢查包括單位每月檢查和操作人員每日檢查，要層層落實到位，并建立臺賬記錄；

11.2對檢查中發(fā)現(xiàn)的特種設(shè)備安全隱患要列入風險管理庫，進行風險評估，并制定整改措施，并落實整改時間、整改責任人。

11.3對檢查中發(fā)現(xiàn)的重大安全隱患應(yīng)及時報安全質(zhì)量部，立即制定整改措施，在規(guī)定期限內(nèi)完成事故隱患的整改，并將整改情況報告安全質(zhì)量部。安全質(zhì)量部對整改情況進行跟蹤、復查、驗收。

12、特種設(shè)備安全獎懲管理

特種設(shè)備安全管理工作納入公司績效考核，特種設(shè)備安全管理領(lǐng)導小組辦公室負責對特種設(shè)備使用單位進行考核，并按照《安全管理獎懲辦法》實施獎懲。

13、接受監(jiān)督制度

13.1特種設(shè)備使用單位應(yīng)接受上級主管部門的監(jiān)督，對投訴、舉報的事故隱患進行處理；

13.2特種設(shè)備使用單位應(yīng)接受各級特種設(shè)備安全監(jiān)督管理部門的安全監(jiān)察，對安全監(jiān)察提出的問題及時進行整改； 13.3特種設(shè)備使用單位應(yīng)對特種設(shè)備檢驗檢測機構(gòu)提出的事故隱患進行整改；

13.4特種設(shè)備使用單位應(yīng)對各類監(jiān)督所提出的事故隱患整改情況按時回復和報告。

13、附則

13.1本辦法自下發(fā)之日起執(zhí)行。

13.2安全質(zhì)量部負責本辦法的解釋工作。

第四篇：商業(yè)銀行信息安全管理辦法

XX銀行

信息安全管理辦法

第一章 總 則

第一條 為加強XX銀行（下稱 “本行”）信息安全管理，防范信息技術(shù)風險，保障本行計算機網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運行，根據(jù) 《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等，特制定本辦法。

第二條 本辦法所稱信息安全管理，是指在本行信息化項目立項、建設(shè)、運行、維護及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動。

第三條 本行信息安全工作實行統(tǒng)一領(lǐng)導和分級管理，由分管領(lǐng)導負責。按照“誰主管誰負責，誰運行誰負責，誰使用 誰負責”的原則，逐級落實部門與個人信息安全責任。

第四條 本辦法適用于本行。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人均應(yīng)遵守本辦法。

第二章 組織保障

第五條 常設(shè)由本行領(lǐng)導、各部室負責人及信息安全員組成的信息安全領(lǐng)導小組，負責本行信息安全管理工作，決策信息安全重大事宜。

第六條 各部室、各分支機構(gòu)應(yīng)指定至少一名信息安全員，配合信息安全領(lǐng)導小組開展信息安全管理工作，具體負責信息安

—1— 全領(lǐng)導小組頒布的相關(guān)管理制度及要求在本部室的落實。

第七條 本行應(yīng)建立與信息安全監(jiān)管機構(gòu)的聯(lián)系，及時報告各類信息安全事件并獲取專業(yè)支持。

第八條 本行應(yīng)建立與外部信息安全專業(yè)機構(gòu)、專家的聯(lián)系，及時跟蹤行業(yè)趨勢，學習各類先進的標準和評估方法。

第三章 人員管理

第九條 本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責。日常員工信息安全行為準則參見《XX銀行員工信息安全手冊》。

第一節(jié) 信息安全管理人員

第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導小組和信息安全工作小組成員。

第十一條 應(yīng)選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十二條 信息安全管理人員每年至少參加一次信息安全相關(guān)培訓。

第十三條 安全工作小組在如下職責范圍內(nèi)開展信息安全管理工作：

（一）組織落實上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導小組成員工作，監(jiān)督檢查信息安全管理工作。

—2 —

（二）審核信息化建設(shè)項目中的安全方案，組織實施信息安全保障項目建設(shè)。

（三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改意見。

（四）統(tǒng)計分析和協(xié)調(diào)處臵信息安全事件。

（五）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。

第十四條 信息安全領(lǐng)導小組成員在如下職責范圍內(nèi)開展工作：

（一）負責本行信息安全管理體系的落實。

（二）負責提出本行信息安全保障需求。

（三）負責組織開展本行信息安全檢查工作。

第二節(jié) 技術(shù)支持人員

第十五條 本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。

第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責過程中，應(yīng)承擔如下安全義務(wù)：

（一）不得對外泄漏或引用工作中觸及的任何敏感信息。

（二）嚴格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán) 不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。

（三）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全

—3— 隱患或故障及時報告本部室主管領(lǐng)導，并及時響應(yīng)、處臵。

（四）嚴格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。

第十七條 外部技術(shù)支持人員應(yīng)嚴格履行外包服務(wù)合同（協(xié)議）的各項安全承諾，簽署保密協(xié)議。提供技術(shù)服務(wù)期間，嚴格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。不得拷貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。

第三節(jié) 一般計算機用戶

第十八條 本規(guī)定所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。

第十九條 一般計算機用戶應(yīng)承擔如下安全義務(wù)：

（一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部室信息安全員的指導與管理。

（二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護。

（三）不得在辦公用計算機上安裝任何盜版或非授權(quán)軟件。

（四）未經(jīng)信息安全管理人員檢測和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將個人計算機接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。

第四章 資產(chǎn)管理

第二十條 本行對所有信息資產(chǎn)進行識別、評估相對價值及重要性，建立資產(chǎn)清單并說明使用規(guī)則，明確定義信息資產(chǎn)責任—4 — 人及其職責。細則參見《XX銀行信息資產(chǎn)分類分級管理規(guī)定》。

第二十一條 按照信息資產(chǎn)的價值、法律要求及敏感程度和對業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機密性、完整性、可用性三個屬性對信息資產(chǎn)進行分類分級，并建立相應(yīng)的標識和處理制度。

第二十二條 依照信息資產(chǎn)的分類分級采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。

第二十三條 依據(jù)《XX銀行介質(zhì)管理規(guī)范》加強介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。

第五章 物理環(huán)境安全管理 第一節(jié) 機房安全管理

第二十四條 本規(guī)定所稱機房是指信息系統(tǒng)主要設(shè)備放臵、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。

第二十五條 本行機房的信息安全管理由本行本行信息科技部門負責具體實施和落實。

第二十六條 建立機房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控。

第二十七條 建立健全機房管理制度，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。機房管理員負責保管機房建設(shè)或改造的所有文

—5— 檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。

第二十八條 建立機房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點。

第二十九條 依據(jù)《浙江省農(nóng)村合作金融機構(gòu)機房管理指引》進一步規(guī)范機房建設(shè)、改造和驗收過程，落實機房管理。

第三十條 信息安全領(lǐng)導小組負責定期審核機房安全管理落實情況，并保留相應(yīng)的審核記錄和審核結(jié)果。

第二節(jié) 重要區(qū)域安全管理

第三十一條 本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。本行信息中心負責制定和執(zhí)行運維監(jiān)控方面的安全管理制度。

第三十二條 重要區(qū)域應(yīng)嚴格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配臵自動監(jiān)控報警功能。

第三十三條 所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。

第三節(jié) 辦公環(huán)境安全管理

第三十四條 在本行大樓入口應(yīng)設(shè)臵門衛(wèi)或接待員，負責出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。

第三十五條 本行信息中心樓層設(shè)立門禁，加強人員進出管理。

第三十六條 本行信息中心員工應(yīng)在公共接待區(qū)接待外來人—6 — 員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。

第三十七條 未經(jīng)允許，嚴禁在信息中心辦公區(qū)域內(nèi)進行攝影、攝像、錄音等記錄日常辦公行為的活動。

第六章 網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理

第三十八條 本行網(wǎng)絡(luò)信息科技部負責網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、IP 地址和域名等）分配。

第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過安全測試與評估。

第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：

（一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。

（二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。

（三）針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。

（四）能有效防止計算機病毒對網(wǎng)絡(luò)系統(tǒng)的侵擾和破壞。

第二節(jié) 網(wǎng)絡(luò)運行安全管理

第四十一條 信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運行方面的制度，配備專職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責日常監(jiān)測和檢查網(wǎng)絡(luò) 安全運行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

—7— 第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能。

第四十三條 嚴格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測，審 核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。

第四十四條 嚴格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時，應(yīng)嚴格遵循變更管理流程。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時間或交易較少時間進行，同時做好配臵參數(shù)的備份和應(yīng)急恢復準備。

第四十五條 嚴格遠程訪問控制。確因工作需要進行遠程訪問的人員應(yīng)向信息簡科技部提出書面申請，并采取相應(yīng)的安全防護措施。

第四十六條 信息安全管理人員負責定期對網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外 界提供。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。

第三節(jié) 接入國際互聯(lián)網(wǎng)管理

第四十七條 信息科技部負責制定本行互聯(lián)網(wǎng)方面管理制度，對互聯(lián)網(wǎng)接入進行嚴格的控制，防范來自互聯(lián)網(wǎng)的威脅。

第四十八條 本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實行安全隔離。所有接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。

—8 — 第四十九條 內(nèi)部網(wǎng)絡(luò)計算機嚴禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報相關(guān)領(lǐng)導審批，確保安裝有指定的防病毒軟件和最新補丁程序。經(jīng)審批后連接國際互聯(lián)網(wǎng) 的計算機，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國際互聯(lián)網(wǎng)的計算機上使用。

第五十條 曾接入國際互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報相關(guān)領(lǐng)導審批，經(jīng)安全檢測后方能接入。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。

第五十一條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

第七章 訪問控制

第五十二條 本行負責建立訪問控制制度，對信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進行控制。

第五十三條 信息資產(chǎn)的責任人負責確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運行維護科根據(jù)授權(quán)進行相關(guān)設(shè)定操作。

第五十四條 信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對其訪問控制權(quán)限負責。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負責人分段設(shè)立。

第五十五條 凡是能夠執(zhí)行錄入、復核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復核兩職。未經(jīng)主管領(lǐng)導批準，不得代

—9— 崗、兼崗。

第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問，包括但不限于：

（一）按照已定義的訪問控制策略鑒別授權(quán)用戶；

（二）記錄成功和失敗的系統(tǒng)訪問企圖；

（三）記錄專用系統(tǒng)特殊權(quán)限的使用情況；

（四）當違反系統(tǒng)安全策略時發(fā)布警報；

（五）提供合適的身份鑒別手段；

（六）限制用戶的連接時間。

第五十七條 對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對應(yīng)用系統(tǒng)的訪問控制措施包括但不限于：

（一）按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能；

（二）防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任 何實用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進行未授權(quán)訪問；

（三）為重要的敏感系統(tǒng)設(shè)立隔離的運行環(huán)境。

第五十八條 訪問控制實施細則詳見《XX銀行信息系統(tǒng)訪問控制管理規(guī)定》。

第八章 信息系統(tǒng)安全管理

第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

— —10

第六十條 信息系統(tǒng)安全管理實施細則詳見《XX銀行計算機信息系統(tǒng)安全管理規(guī)定》。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第六十一條 信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：

（一）業(yè)務(wù)需求部室提出的安全需求。

（二）安全需求分析和實現(xiàn)。

（三）運行平臺的安全策略與設(shè)計。

第六十二條 信息安全領(lǐng)導小組負責派遣相關(guān)部室安全員對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整實現(xiàn)。

第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。

第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人 員，不得在程序代碼中植入后門和惡意代碼程序。

第六十六條 信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)

—11— 境中進行。

第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。

第三節(jié) 信息系統(tǒng)運行

第六十九條 信息系統(tǒng)上線運行實行安全審查機制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下：

（一）項目承建單位（部室）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。

（二）信息系統(tǒng)歸口責任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報信息科技部門。

（三）信息科技部應(yīng)提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。

第七十一條 系統(tǒng)管理員負責信息系統(tǒng)的日常運行管理，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。

第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責任

— —12業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第七十三條 嚴格用戶和密碼（口令）的管理，嚴格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。

第七十四條 在信息系統(tǒng)運行維護過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求：

（一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所 提供的安全審計功能，以達到相應(yīng)安全等級標準；

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入；

（三）及時、合理安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞；

（四）啟用系統(tǒng)提供的審計功能，或使用第三方手段實現(xiàn)審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況；

（五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。

第四節(jié) 信息系統(tǒng)廢止

第七十五條 廢止信息系統(tǒng)及其存儲介質(zhì)在報廢或重用前，應(yīng)根據(jù)其安全級別，進行消磁或安全格式化，以避免信息泄露。

第七十六條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在信息安全領(lǐng)導小組監(jiān)督下予以不可恢復性銷毀。

—13—

第九章 客戶端安全管理

第七十七條 本辦法所稱客戶端是指本行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終端、柜面 終端、單機運行（?。┙K端、遠程接入終端、便攜式計算機設(shè)備等。

第七十八條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。

第七十九條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)臵用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。

第八十條 確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴格保存其身份認證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八十一條 規(guī)范存儲本單位商密信息的計算機設(shè)備的安全管理，包括：開發(fā)用終端、生產(chǎn)主機及其他計算機設(shè)備。

第十章 信息安全專用產(chǎn)品、服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購臵

第八十二條 本規(guī)定所稱信息安全專用產(chǎn)品，是指本行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服 務(wù)，是指本行向社會購買的專業(yè)化安全服務(wù)。

第八十三條 本行負責信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，由采購科室按照采購程序選購。

第八十四條 安全專用產(chǎn)品在準入審核時，供應(yīng)商應(yīng)提出申 — —14請并提供下列資料：

（一）公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須的證明材料；

（二）產(chǎn)品型號、產(chǎn)地、功能及報價；

（三）產(chǎn)品采用的技術(shù)標準，產(chǎn)品功能及性能的說明書；

（四）生產(chǎn)企業(yè)概況（包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等）；

（五）供應(yīng)商的質(zhì)量保證體系、售后服務(wù)措施等情況的說明。

第八十五條 安全專用產(chǎn)品有下列情形之一的，取消其準入資格：

（一）安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測的；

（二）經(jīng)使用發(fā)現(xiàn)有嚴重問題的；

（三）不能提供良好售后服務(wù)的；

（四）國家有關(guān)部門取消其銷售資格的。

第二節(jié) 使用管理

第八十六條 掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全管理人員使用。

第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。

第八十八條 信息科技部應(yīng)及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，應(yīng)報信息安全領(lǐng)導小組批準后，按照固定資產(chǎn)報廢審批程序處

—15— 理。

第十一章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理

第一節(jié) 技術(shù)文檔

第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。

第九十條 各部室負責將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導批準，任何人不得將技術(shù)文檔轉(zhuǎn)借、復制和對外公布。

第二節(jié) 存儲介質(zhì)

第九十一條 建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。所有存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標識。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。

第九十二條 做好存儲介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。

第九十三條 加強對移動存儲設(shè)備（Ｕ盤、軟盤、移動硬盤等）的使用管理。對系統(tǒng)升級專用的移動存儲設(shè)備應(yīng)按照相關(guān)規(guī)定由專人負責管理。

第九十四條 建立存儲介質(zhì)銷毀機制，對載有敏感信息的存儲介質(zhì)應(yīng)按照其安全等級，采用安全格式化、消磁等不可復原的方式進行處臵并做好記錄。

— —16 第九十五條 介質(zhì)管理實施細則詳見《XX銀行介質(zhì)管理規(guī)范》。

第三節(jié) 數(shù)據(jù)安全

第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第九十七條 數(shù)據(jù)的所有者（部室）負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負責審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第九十八條 嚴格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備 份任務(wù)，并定期測試備份數(shù)據(jù)的有效性。

第九十九條 系統(tǒng)管理員負責定期導出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。

第一百條 本行信息科技部負責建立備份數(shù)據(jù)銷毀方面的管理制度，根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的備份數(shù)據(jù)的保 存時限和密級，并根據(jù)介質(zhì)處臵相關(guān)要求進行銷毀處理。

第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守《XX銀行計算機系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護操作規(guī)程》。

—17—

第四節(jié) 口令密碼

第一百零三條 信息科技部負責制定和維護密碼管理方面的制度，嚴格執(zhí)行密碼安全管理策略。

第一百零四條 系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個月更換一次?？诹蠲艽a的強度應(yīng)滿足必要的安全性要求。

第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。未經(jīng)本行分管領(lǐng)導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。

第一百零六條 應(yīng)根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術(shù)應(yīng)用管理

第一百零七條 本行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴格 按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息 系統(tǒng)應(yīng)依據(jù)本行實際需求和統(tǒng)一安全策略，合理選擇加密措施。

第一百零八條 密碼產(chǎn)品和加密算法的選擇應(yīng)符合國家 相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合本行的相關(guān)安全要求。

第一百零九條 本行信息科技部負責建立和執(zhí)行密鑰管理方面的制度，選擇密碼管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。

— —18 第一百一十條 應(yīng)在安全環(huán)境中進行關(guān)鍵密鑰的備份工作，并設(shè)臵遇緊急情況下密鑰報廢、銷毀機制。

第一百一十一條 各類密鑰應(yīng)定期更換，對已泄漏或懷疑泄漏的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。

第十二章 第三方訪問和外包服務(wù)安全管理

第一節(jié) 第三方訪問控制

第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單位和個人物理訪問本行計算機房，或者通過網(wǎng)絡(luò)連 接邏輯訪問本行數(shù)據(jù)庫和信息系統(tǒng)等活動。

第一百一十三條 信息科技部負責在第三方與本行合作前對其資質(zhì)進行調(diào)查。本行內(nèi)部信息系統(tǒng)和相關(guān)網(wǎng)絡(luò)的第三方訪問授權(quán)需經(jīng)本行領(lǐng)導的審批授權(quán)。未經(jīng)授權(quán)的任何第三方訪問均視為非法入侵行為。

第一百一十四條 允許被第三方訪問的本行信息系統(tǒng)和資源應(yīng)建立存取控制機制、認證機制，列明所有用戶名單及其權(quán)限，嚴格監(jiān)督第三方訪問活動。

第一百一十五條 獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與本行簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復制和泄漏本行任何信息。

第一百一十六條 第三方訪問控制實施細則詳見《XX銀行第三方安全管理規(guī)定》。

第二節(jié) 外包服務(wù)管理

—19— 第一百一十七條 本規(guī)定所稱外包服務(wù)，是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提 供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。

第一百一十八條 外包服務(wù)提供商提供上門維護服務(wù)的，經(jīng)信息科技部批準后，由本行內(nèi)部人員現(xiàn)場陪同實施。外包服務(wù)提供商不得查看、復制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離。

第一百一十九條 計算機設(shè)備確需送外單位維修時，本行應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第一百二十條 外包服務(wù)管理詳見《XX銀行IT外包管理暫行辦法》。

第十三章 事件報告、災(zāi)難備份與應(yīng)急管理

第一節(jié) 事件報告

第一百二十一條 信息安全事件按照信息安全事件報告流程進行報告，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的重大信息安全事件，應(yīng)上報告計算機安全領(lǐng)導小組。

第一百二十二條 重大信息安全事件發(fā)生后，相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時 — —20報告主管領(lǐng)導及計算機安全領(lǐng)導小組。必要時啟動相關(guān)應(yīng)急預案。

第二節(jié) 災(zāi)難備份管理

第一百二十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn) 爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。

第一百二十四條 本行在本行計算機信息系統(tǒng)應(yīng)急領(lǐng)導小組統(tǒng)一領(lǐng)導下，組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。

第一百二十五條 本行業(yè)務(wù)部室負責提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量。本行據(jù)此確定災(zāi)難備份等級和備份方案。

第一百二十六條 本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢復計劃，定期開展災(zāi)難恢復培訓。在條件許可的情況下，每年進行一次重要信息系統(tǒng)的災(zāi)難恢復演練。

第三節(jié) 應(yīng)急管理

第一百二十七條 本行信息科技部負責制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應(yīng)急預案。應(yīng)急預案應(yīng)包括以下基本內(nèi)容：

（一）總則（目標、原則、適用范圍、預案調(diào)用關(guān)系等）。

（二）應(yīng)急組織機構(gòu)。

—21—

（三）預警響應(yīng)機制（報告、評估、預案啟動等）。

（四）各類危機處臵流程。

（五）應(yīng)急資源保障。

（六）事后處理流程。

（七）預案管理與維護（生效、演練、維護等）。

第一百二十八條 本行計算機信息系統(tǒng)應(yīng)急領(lǐng)導小組統(tǒng)一負責各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預案的啟 動、災(zāi)難宣告、預警相關(guān)單位等）和調(diào)動應(yīng)急資源。

第一百二十九條 本行定期組織應(yīng)急預案演練，指定專人管理和維護應(yīng)急預案，根據(jù)人員、信息資源等變動情況以及 演練情況適時予以更新和完善，確保應(yīng)急預案的有效性和災(zāi)難發(fā)生時的可獲取性。

第一百三十條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。

第一百三十一條 應(yīng)急管理實施細則詳見《XX銀行計算機信息系統(tǒng)應(yīng)急管理制度》。

第十四章 安全監(jiān)測、檢查、評估與審計

第一百三十二條 本行信息科技部負責每年至少進行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。

第一百三十三條 本行負責每年組織對各部室、各分支機構(gòu)的計算機安全運行情況進行檢查（以下簡稱“對下安全檢查”）。

第一節(jié) 安全監(jiān)測

第一百三十四條 本行信息中心負責整合和利用現(xiàn)有網(wǎng)絡(luò)管 — —22理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。

第一百三十五條 本行各部室要及時預警、響應(yīng)和處臵運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級相關(guān)部門。

第二節(jié) 安全檢查

第一百三十六條 本行安全檢查包括對本行本級的安全檢查和對下安全檢查。安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。

第一百三十七條 開展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細的檢查方案、提綱和計劃等，確保檢查工作的可操作性和規(guī)范性。

第一百三十八條 安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查部門。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。

第一百三十九條 參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應(yīng)作為本行內(nèi)部材料妥善保管，不得向外界泄漏。

第三節(jié) 安全評估

第一百四十條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應(yīng)制定評估方案并進行必要的培訓。評估結(jié)束后，形成評估報告，提出整改意見報主管領(lǐng)導。

第一百四十一條 如聘請第三方機構(gòu)進行安全評估，應(yīng)報本

—23— 行主管部門批準，并與第三方評估機構(gòu)簽訂安全保密協(xié)議 后方可進行。本行信息安全管理人員全程參與評估過程并實施監(jiān)督。

第一百四十二條 應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。

第四節(jié) 安全審計

第一百四十三條 適時開展信息系統(tǒng)日常運行管理和信息安全事件的技術(shù)審計，發(fā)現(xiàn)問題按照相關(guān)規(guī)定及時上報主管領(lǐng)導。

第一百四十四條 應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。

第一百四十五條 本行各部室及人員應(yīng)積極支持與配合上級審計部門或外部審計機構(gòu)開展的信息安全審計。

第十五章 附 則

第一百四十六條 本行之前發(fā)布的其他信息安全管理辦法如與本辦法不一致的，按本辦法執(zhí)行。

第一百四十七條 本辦法由本行負責制定，解釋。

第一百四十八條 本辦法自發(fā)布之日起執(zhí)行。

— —24

第五篇：項目信息安全管理辦法

關(guān)于**項目信息安全管理辦法

為了規(guī)范及加強**項目的信息安全管理工作，特制定<<**項目信息安全管理辦法>>,并嚴格按要求執(zhí)行,具體如下:

一、硬件設(shè)備及軟件信息安全管理

1、按照**客服供應(yīng)商硬件及軟件設(shè)備要求標準進行配置，確保符合標準。并定期維護。

要求：技術(shù)員定期維護，對于損壞、無法修復、多次修復仍然存在問題的電腦及時進行更換。

對象：**項目組座席、管理使用的電腦 實施時間：隨時檢查，每月排查登記一次

違規(guī)處罰：未按規(guī)定時間完成的考核技術(shù)負責人500元/次。

2、招募第三方安全公司，按**客服供應(yīng)商對第三方安全公司的安全測評要求來進行招標，定期上報安全測評報告，并對存在的信息安全、網(wǎng)絡(luò)安全等隱患或漏洞進行排查整改。對象：**項目組所使用設(shè)備、軟件等 實施時間：每季度測評一次

違規(guī)處罰：未按規(guī)定時間完成的考核技術(shù)負責人500元/次。

3、外網(wǎng)訪問、系統(tǒng)更新補丁、防火墻檢查、機房電腦USB端口的禁用等檢查工作

要求：對?？诼殘鲭娔X外網(wǎng)訪問進行嚴格審查，無關(guān)于工作的外網(wǎng)一律禁止訪問，對于網(wǎng)盤、視頻、音樂、非工作用的在線聊天軟

件等進行屏蔽。每周定期打系統(tǒng)更新補丁，每周定期對防火墻進行檢查、打補丁，每周定期對機房電腦USB端口禁用進行檢查

對像：機房座席電腦、管理人員使用的電腦、服務(wù)器。

實施時間：每周定期檢查，并做好技術(shù)維護日志登記工作。以便可追溯。

違規(guī)處罰：未按規(guī)定時間完成的考核技術(shù)負責人500元/次。如有出現(xiàn)擅自開通外網(wǎng)、解禁USB端口等出現(xiàn)危害信息安全等行為的，一律按500元/次進行考核，嚴重的做辭退處理。并承擔由此造成的經(jīng)濟損失。

4、硬件設(shè)備、軟件等信息安全檢查要求

要求：

1、對**項目所有電腦按區(qū)域進行劃分，共5個區(qū)域。

2、專人負責，每個區(qū)域由團隊長進行管理。

3、每周各區(qū)域負責人對管轄區(qū)域信息安全進行檢查及檢查。

4、檢查完畢后團隊長填寫《信息安全檢查表》，并簽名。

5、中心經(jīng)理每日對團隊長信息安全工作及簽名進行檢查，一旦出現(xiàn)未按要求完成工作則納入考核。

實施時間：每周日前完成

違規(guī)處罰：不按時完成工作及簽名者，考核200元/次。

二、座席入職及職場信息安全管理

1、座席信息安全保密工作

要求：座席上崗前100%簽訂保密協(xié)議，并通過信息安全制度考試后

方可上崗。對信息安全相關(guān)考核及連帶責任條例進行簽字確認認同并無異議。每月業(yè)務(wù)考試中加入信息安全考核內(nèi)容，定期考核。在崗期間不得將工作資料、客戶信息等紙質(zhì)文件、電子文檔等在未經(jīng)項目經(jīng)理允許的情況下帶離公司，不得將涉及公司及客戶信息安全的資料發(fā)到自己的社交媒體如QQ群、QQ空間、微信群、微信朋友圈、電子郵箱等。在崗期間不得在非工作群內(nèi)談?wù)摽蛻粜畔?、發(fā)布客戶信息等行為。

實施時間：新員工入崗前完成，崗中每月業(yè)務(wù)考試中進行考核，項目主管、團隊長不定期檢查座席的空間、朋友圈等。

違規(guī)處罰：如有違例扣罰當事人500元/次，并承擔由此造成的經(jīng)濟損失，如涉及法律相關(guān)問題，應(yīng)配合公司應(yīng)訴并承擔相應(yīng)法律責任。

2、機房現(xiàn)場信息安全防范工作

要求：非**項目組員工不得進入**機房內(nèi)，進出機房需使用門禁系統(tǒng)，進入機房不得攜帶手機、數(shù)碼相機、U盤、筆記本電腦、錄音筆等非工作設(shè)備。

實施時間：每日班前會進行檢查，每日執(zhí)行

違規(guī)處罰：如有違例扣罰當事人500元/次，并承擔由此造成的經(jīng)濟損失，如涉及法律相關(guān)問題，應(yīng)配合公司應(yīng)訴并承擔相應(yīng)法律責任。

**項目組信息安全條例根據(jù)**總部相關(guān)條例及時進行調(diào)整。員工保密協(xié)議、信息安全考試、技術(shù)維護日志等均納入運營管理績效考核中。如未按要求執(zhí)行則承擔相應(yīng)考核。