版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、XX银行信息安全管理办法第一章 总 则第一条 为加强 XX 银行 (下称 “本行” )信息安全管理, 防范信息技术风险, 保障本行计算机网络与信息系统安全和稳定 运行, 根据 中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定 等,特制定 本办法 。第二条 本办法所称信息安全管理, 是指在本行信息化项目 立项、 建设、 运行、 维护及废止等过程中保障信息及其相关 系统、环境、网络和操作安全的一系列管理活动。第三条 本行信息安全工作实行统一领导和分级管理, 由分 管领导负责。 按照“谁主管谁负责,谁运行谁负责,谁使用 谁 负责”的原则,逐级落实部门与个人信息安全
2、责任。第四条 本办法适用于本行。所有使用本行网络或信息资源 的其他外部机构和个人均应遵守本办法。第二章 组织保障第五条 常设由本行领导、各部室负责人及信息安全员组成 的信息安全领导小组,负责本行信息安全管理工作 ,决策信息 安全重大事宜。第六条 各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作, 具体负责信息安 全领导小组颁布的相关管理制度及要求在本部室的落实。 。 第七条 本行应建立与信息安全监管机构的联系,及时报告 各类信息安全事件并获取专业支持。第八条 本行应建立与外部信息安全专业机构、 专家的联系, 及时跟踪行业趋势,学习各类先进的标准和评估方法。
3、第三章 人员管理 第九条 本行所有工作人员根据不同的岗位或工作范围,履 行相应的信息安全保障职责。日常员工信息安全行为准则参见 XX银行员工信息安全手册 。第一节 信息安全管理人员第十条 本办法所指信息安全管理人员包括本行信息安全领 导小组和信息安全工作小组成员。第十一条 应选派政治思想过硬、具有较高计算机水平的人 员从事信息安全管理工作。 凡是因违反国家法律法规和本行有关 规定受到过处罚或处分的人员,不得从事此项工作。第十二条 信息安全管理人员每年至少参加一次信息安全相 关培训。第十三条 安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定, 制定信息安全管理
4、制度, 协调信息安全领导小组成员工作, 监督检查信息安全管理 工作。(二)审核信息化建设项目中的安全方案, 组织实施信息安 全保障项目建设。(三)定期监督网络和信息系统的安全运行状况, 检查运行 操作、备份、机房环境与文档等安全管理情况,发现问题,及时 通报和预警,并提出整改意见。(四)统计分析和协调处置信息安全事件。(五)定期组织信息安全宣传教育活动, 开展信息安全检 查、 评估与培训工作。第十四条 信息安全领导小组成员在如下职责范围内开展工 作:(一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)负责组织开展本行信息安全检查工作。第二节 技术支持人员第十五条 本
5、办法所称技术支持人员,是指参与本行网络、 信息系统、 机房环境等建设、运行、维护的内部技术支持人员 和外包服务人员。第十六条 本行内部技术支持人员在履行网络和信息系统建 设和日常运行维护职责过程中,应承担如下安全义务:(一)不得对外泄漏或引用工作中触及的任何敏感信息。(二)严格权限访问,未经业务主管部室授权 不得擅自改 变系统设置或修改系统生成的任何数据。(三)主动检查和监控生产系统安全运行状况 ,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处置。(四)严格操作管理、测试管理、应急管理、 配置管理、 变更管理、档案管理等工作制度,做好数据备份工作。第十七条 外部技术支持人员应严格履行
6、外包服务合同(协 议)的各项安全承诺,签署保密协议。提供技术服务期间,严格 遵守本行相关安全规定与操作规程。 不得拷贝或带走任何配置参 数信息或业务数据,不得对外泄漏或引用任何工作信息。第三节 一般计算机用户第十八条 本规定所称一般计算机用户是指使用计算机设备 的所有人员。第十九条 一般计算机用户应承担如下安全义务:(一)及时更新所用计算机的病毒防治软件和安装补丁程 序,自觉接受本部室信息安全员的指导与管理。(二)不得安装与办公和业务处理无关的其他计算机软件和 硬件,不得修改系统和网络配置以屏蔽信息安全防护。(三)不得在办公用计算机上安装任何盗版或非授权软件。(四)未经信息安全管理人员检测和授
7、权,不得将内部网 络的计算机转接入国际互联网; 不得将个人计算机接入内部网络 或私自拷贝任何信息。第四章 资产管理第二十条 本行对所有信息资产进行识别、评估相对价值及 重要性, 建立资产清单并说明使用规则, 明确定义信息资产责任 不得用于商业用途人及其职责。细则参见 XX 银行信息资产分类分级管理规定第二十一条 按照信息资产的价值、法律要求及敏感程度和 对业务关键程度,分别依据机密性、 完整性、 可用性三个属性对 信息资产进行分类分级,并建立相应的标识和处理制度。第二十二条 依照信息资产的分类分级采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权的使用。第二十三条 依据 XX银行介质
8、管理规范加强介质管理与销毁操作管理,确保本行数据的可用性、保密性、完整性。第五章 物理环境安全管理第一节 机房安全管理第二十四条 本规定所称机房是指信息系统主要设备放置、 运行的场所以及供配电、通信、空调、消防、监控等配套环境设 施。第二十五条 本行机房的信息安全管理由本行本行信息科技 部门负责具体实施和落实。第二十六条 建立机房设施与场地环境监控系统,对机房空 调、消防、不间断电源( UPS) 、供配电、门禁系统等重要设施 实行全面监控。第二十七条 建立健全机房管理制度,并指派专人担任机房 管理员,落实机房安全责任制。机房管理员应经过相关专业培 训 ,熟知机房各类设备的分布和操作要领,定期巡
9、查机房,发 现问题及时报告。 机房管理员负责保管机房建设或改造的所有文 不得用于商业用途档、图纸以及机房运行记录等有关资料,并随时提供调阅。 第二十八条 建立机房定期维修保养制度。易受季节、温度 等环境因素影响的设备、 已逾保修期的设备、 近期维修过的设备 等应成为保养的重点。第二十九条 依据浙江省农村合作金融机构机房管理指引 进一步规范机房建设、改造和验收过程,落实机房管理。第三十条 信息安全领导小组负责定期审核机房安全管理落 实情况,并保留相应的审核记录和审核结果。第二节 重要区域安全管理第三十一条 本章节所指重要区域为:本行信息中心主备机房和运维监控室等区域。 本行信息中心负责制定和执行
10、运维监控 方面的安全管理制度。第三十二条 重要区域应严格出入安全管理,安装门禁、视 频监视录像系统, 实行定时录像监控, 并适当配置自动监控报警 功能。第三十三条 所有门禁、视频监视录像系统的信息资料至少 保存三个月。第三节 办公环境安全管理第三十四条 在本行大楼入口应设置门卫或接待员,负责出入或公共访问区域的物理安全管理和外来人员的出入登记第三十五条 本行信息中心楼层设立门禁,加强人员进出管 理。第三十六条 本行信息中心员工应在公共接待区接待外来人 员,未经允许,不得私自将外来人员带入办公区域内。第三十七条 未经允许,严禁在信息中心办公区域内进行摄 影、摄像、录音等记录日常办公行为的活动。第
11、六章 网络安全管理 第一节 网络规划、建设中的安全管理 第三十八条 本行网络信息科技部负责网络和网络安全的统 一规划、建设部署、 策略配置和网络资源 (网络设备、 通讯线路、 IP 地址和域名等)分配。第三十九条 按照统一规划和总体部署原则, 由信息科技部 组织实施网络建设、 改造工程,工程投产前应通过安全测试与 评估。第四十条 本行网络建设和改造应符合如下基本安全要求:(一)网络规划应有完整的安全策略, 保障网络传输与应用 安全。(二)具备必要的网络监测、跟踪和审计等管理功能。(三)针对不同的网络安全域,采取必要的安全隔离措施。(四)能有效防止计算机病毒对网络系统的侵扰和破坏。第二节 网络运
12、行安全管理第四十一条 信息科技部应建立健全网络安全运行方面的制 度,配备专职网络管理员。 网络管理员负责日常监测和检查网络 安全运行状况, 管理网络资源及其配置信息, 建立健全网络运行 维护档案,及时发现和解决网络异常情况。第四十二条 网络管理员应定期参加网络安全技术培训, 具 备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。第四十三条 严格网络接入管理。任何设备接入网络前,接 入方案、 设备的安全性等应经过网络管理人员的审核与检测, 审 核(检测)通过后方可接入并分配相应的网络资源。第四十四条 严格网络变更管理。网络管理员调整网络重要 参数配置和服务端口时, 应严格遵循变更管理流程。 实
13、施有可能 影响网络正常运行的重大网络变更, 应提前通知相关业务部门并 安排在非交易时间或交易较少时间进行, 同时做好配置参数的备 份和应急恢复准备。第四十五条 严格远程访问控制。确因工作需要进行远程访 问的人员应向信息简科技部提出书面申请, 并采取相应的安全防 护措施。第四十六条 信息安全管理人员负责定期对网络进行安全检 测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外 界提供。未经授权,任何外部单位与人员不得检测、 扫描本行网 络。第三节 接入国际互联网管理第四十七条 信息科技部负责制定本行互联网方面管理制 度,对互联网接入进行严格的控制,防范来自互联网的威胁。第四十八条 本行内部业
14、务网、办公网与国际互联网实行安 全隔离。 所有接入内部网络或存储有敏感工作信息的计算机, 不 得直接或间接接入国际互联网。第四十九条 内部网络计算机严禁接入国际互联网,确有必 要接入国际互联网的应通过信息安全工作小组审核并上报相关 领导审批, 确保安装有指定的防病毒软件和最新补丁程序。 经审 批后连接国际互联网 的计算机,不得存留涉密金融数据信息; 存有涉密金融数据信息的介质, 不得在接入国际互联网的计算机 上使用。第五十条 曾接入国际互联网的计算机严禁接入内部网络, 确有必要接入内部网络的应通过安全工作小组审核并上报相关 领导审批, 经安全检测后方能接入。从国际互联网下载的任何 信息,未经病
15、毒检测不得在内部网络上使用。第五十一条 使用国际互联网的所有用户应遵守国家有关法 律法规和本行相关管理规定,不得从事任何违法违规活动。第七章 访问控制第五十二条 本行负责建立访问控制制度,对信息资产和服 务的访问和权限分配进行控制。第五十三条 信息资产的责任人负责确定信息资产和服务的 访问权限,运行维护科根据授权进行相关设定操作。第五十四条 信息系统用户设置本人的用户和密码, 并对其 访问控制权限负责。 重要信息系统操作人员的密码应由系统管理 员和业务部门负责人分段设立。第五十五条 凡是能够执行录入、复核制度的信息系统,操 作人员不得一人兼录入、复核两职。 未经主管领导批准,不得代 不得用于商
16、业用途岗、兼岗。第五十六条 应启用安全措施限制授权用户对操作系统的访 问, 包括但不限于:(一)按照已定义的访问控制策略鉴别授权用户;(二)记录成功和失败的系统访问企图;(三)记录专用系统特殊权限的使用情况;(四)当违反系统安全策略时发布警报;(五)提供合适的身份鉴别手段;(六)限制用户的连接时间。第五十七条 对应用系统和信息的逻辑访问应只限于已授权 的用户。对应用系统的访问控制措施包括但不限于:(一)按照定义的访问控制策略, 控制用户访问信息和应用 系统的特定功能;(二)防止能够绕过系统控制或应用控制的任 何实用程序、 系统软件和恶意软件对系统进行未授权访问;(三)为重要的敏感系统设立隔离的
17、运行环境。 第五十八条 访问控制实施细则详见 XX银行信息系统访问 控制管理规定 。第八章 信息系统安全管理第五十九条 本规定所指的信息系统是本行业务处理系统、 管理信息系统和日常办公自动化系统等, 包括数据库、 软件和硬 件支撑环境等。第六十条 信息系统安全管理实施细则详见 XX银行计算机 信息系统安全管理规定 。第一节 信息系统规划与立项第六十一条 信息系统建设项目应在规划与立项阶段同步考 虑安全问题, 建设方案应满足信息安全管理的相关要求。 项目技 术方案应包括以下基本安全内容:(一)业务需求部室提出的安全需求。(二)安全需求分析和实现。(三)运行平台的安全策略与设计。第六十二条 信息安
18、全领导小组负责派遣相关部室安全员对 项目技术方案进行安全专项审查并提出审查意见, 未通过安全审 核的项目不得予以立项。第二节 信息系统开发与集成第六十三条 信息系统开发应符合软件工程规范,依据安全 需求进行安全设计,保证安全功能的完整实现。第六十四条 信息系统开发单位应在完成开发任务后将程序 源代码及相关技术资料全部移交本行。 外部开发单位还应与本行 签署相关知识产权保护协议和保密协议, 不得将信息系统采用的 关键安全技术措施和核心安全功能设计对外公开。第六十五条 信息系统的开发人员不能兼任信息系统管理员 或业务系统操作人 员,不得在程序代码中植入后门和恶意代码 程序。第六十六条 信息系统开发
19、、测试、修改工作不得在生产环境中进行。第六十七条 涉密信息系统集成应选择具有国家相关部门颁 发的涉密系统集成资质证书的单位或企业, 并签订严格的保密协 议。第六十八条 系统上线前应开展代码审计过程检查源代码中 的缺点和错误信息,避免引发安全漏洞。第三节 信息系统运行第六十九条 信息系统上线运行实行安全审查机制,未通过 安全审查的任何新建或改造信息系统不得投产运行。 具体要求如 下:(一)项目承建单位(部室)应组织制定安全测试方案,进 行系统上线前的自测试并形成测试报告,报信息科技部审查。(二)信息系统归口责任业务部室应在信息系统投产运行前 同步制定相关安全操作规定,报信息科技部门。(三)信息科
20、技部应提出明确的测试方案和测试报告审查意 见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。第七十条 信息系统投入使用前信息中心应当建立相应的操 作规程和安全管理制度,以防止各类安全事故的发生。第七十一条 系统管理员负责信息系统的日常运行管理,并 建立重要信息系统运行维护档案,详细记录系统变更及操作过 程。重要业务系统的系统操作要求双人在场。第七十二条 系统管理员不得兼任业务操作人员。系统管理 员确需对业务系统进行维护性操作的, 应征得业务系统归口责任 业务处室同意并在业务操作人员在场的情况下进行, 并详细记录 维护内容、人员、时间等信息。第七十三条 严格用户和密码(口令)的管理,严格控制
21、各 级用户对数据的访问权限。第七十四条 在信息系统运行维护过程中,系统管理人员应 遵守但不限于以下要求:(一)合理配置操作系统、数据库管理系统所 提供的安全 审计功能,以达到相应安全等级标准;(二)屏蔽与应用系统无关的所有网络功能, 防止非法用户 的侵入;(三)及时、合理安装正式发布的系统补丁,修补系统存在 的安全漏洞;(四)启用系统提供的审计功能, 或使用第三方手段实现审 计功能,监测系统运行日志,掌握系统运行状况;(五)按照网络管理规范及其业务应用范围设置设备的 IP 地址及网络参数, 非系统管理人员不得修改。第四节 信息系统废止第七十五条 废止信息系统及其存储介质在报废或重用前, 应根据
22、其安全级别, 进行消磁或安全格式化, 以避免信息泄露。第七十六条 对已经废止的信息系统软件和数据备份介质, 按业务规定在一定期限内妥善保存。超过保存期限后需要销毁 的 ,应在信息安全领导小组监督下予以不可恢复性销毁。第九章客户端安全管理第七十七条 本办法所称客户端是指本行计算机用户、网络 与信息系统所使用的终端设备,包括联网桌面终端、 柜面 终端、单机运行(哑)终端、远程接入终端、便携式计算机设备等。第七十八条 客户端应安装和使用正版软件,不得安装和使 用盗版软件,不得安装和使用与工作无关的软件。第七十九条 客户端应统一安装病毒防治软件,设置用户密 码和屏幕保护口令等安全防护措施, 确保安装最
23、新的病毒特征码 和必要的补丁程序。第八十条 确因工作需要经授权可远程接入内部网络的用 户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。第八十一条规范存储本单位商密信息的计算机设备的安全 管理,包括:开发用终端、生产主机及其他计算机设备。第十章 信息安全专用产品、服务管理第一节资质审查与选型购置第八十二条 本规定所称信息安全专用产品,是指本行安装 使用的专用安全软件、硬件产品。本规定所称信息安全服务,是指本行向社会购买的专业化安全服务。第八十三条本行负责信息安全服务提供商的资质审查和信 息安全专用产品的选型,由采购科室按照采购程序选购。第八十四条 安全专用产品在准入审核时,供应商应提
24、出申请并提供下列资料:(一)公安部颁发的安全专用产品销售许可证和其他必须的 证明材料;(二)产品型号、产地、功能及报价;(三)产品采用的技术标准,产品功能及性能的说明书;(四)生产企业概况(包括人员、设备、生产条件、隶属关 系等);(五)供应商的质量保证体系、 售后服务措施等情况的说明。 第八十五条安全专用产品有下列情形之一的,取消其准入资格:(一)安全专用产品的功能已发生变化,但未通过检测的;(二)经使用发现有严重问题的;(三)不能提供良好售后服务的;(四)国家有关部门取消其销售资格的。第二节使用管理第八十六条扫描、检测类信息安全专用产品仅限于信息安 全管理人员使用。第八十七条信息科技部定期
25、检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。第八十八条信息科技部应及时升级维护信息安全专用产 品,凡因超过使用期限的或不能继续使用的信息安全专用产品, 应报信息安全领导小组批准后,按照固定资产报废审批程序处理。第十一章 文档、数据与密码应用安全管理第一节 技术文档第八十九条 本规定所称技术文档是指本行网络、信息系统 和机房环境等建设与运行维护过程中形成的各种技术资料 ,包 括纸质文档、电子文档、视频和音频文件等。第九十条 各部室负责将技术文档统一归档。未经本行领导 批准,任何人不得将技术文档转借、复制和对外公布。
26、第二节 存储介质 第九十一条 建立健全磁带、光盘、移动存储介质、缩微胶 片、已打印文档等存储介质管理流程。 所有存储介质应保存在安 全的物理环境中并有明晰的标识。 重要信息系统备份介质应按规 定异地存放。第九十二条 做好存储介质在物理传输过程中的安全控制, 选择可靠的传递方式和防盗控制措施。 重要信息的存取需要授权 和记录。第九十三条 加强对移动存储设备(盘、软盘、移动硬盘 等)的使用管理。 对系统升级专用的移动存储设备应按照相关规 定由专人负责管理。第九十四条 建立存储介质销毁机制,对载有敏感信息的存 储介质应按照其安全等级, 采用安全格式化、 消磁等不可复原的 方式进行处置并做好记录。第九
27、十五条 介质管理实施细则详见 XX 银行介质管理规 范。第三节 数据安全第九十六条 本规定中所称的数据是指以电子形式存储的本 行业务数据、办公信息、系统运行日志、故障维护日志以及其他 内部资料。第九十七条 数据的所有者(部室)负责提出数据在输入、 处理、 输出等不同状态下的安全需求, 信息科技部负责审核安全 需求并提供一定的技术实现手段。第九十八条 严格管理业务数据的增加、修改、删除等变更 操作, 进行业务数据有效性检查, 按照既定备份策略执行数据备 份任务,并定期测试备份数据的有效性。第九十九条 系统管理员负责定期导出网络和重要信息系统 日志文件并明确标识存储内容、 时间、 密级等信息。 日
28、志文件应 至少保留一年,妥善保管。第一百条 本行信息科技部负责建立备份数据销毁方面的管 理制度,根据数据重要性级别分类采取相应的备份数据的保 存 时限和密级,并根据介质处置相关要求进行销毁处理。第一百零一条 所有数据备份介质应注意防磁、 防潮、 防尘、 防高温、 防挤压存放。 恢复及使用备份数据时需要提供相关口令 密码的,应把口令密码密封后与数据备份介质一并妥善保管。第一百零二条 生产数据的调用提取应遵守 XX银行计算机 系统生产数据调用及维护操作规程 。第四节 口令密码第一百零三条 信息科技部负责制定和维护密码管理方面的 制度,严格执行密码安全管理策略。第一百零四条 系统管理员、数据库管理员
29、、网络管理员、 业务操作人员的用户均须设置口令密码,至少每三个月更换一 次。口令密码的强度应满足必要的安全性要求。第一百零五条 敏感信息系统和设备的口令密码设置应在安 全的环境下进行, 必要时应将口令密码笔录, 密封交相关部室保 管。未经本行分管领导许可, 任何人不得擅自拆阅密封的口令密 码。拆阅后的口令密码使用后应立即更改并再次密封存放。第一百零六条 应根据实际情况在一定时限内妥善保存重要 信息系统升级改造前的口令密码。第五节 密码技术应用管理第一百零七条 本行涉密网络和信息系统应严格 按照国家 密码政策规定,采用相应的加密措施。非涉密网络和信息 系统 应依据本行实际需求和统一安全策略,合理
30、选择加密措施。第一百零八条 密码产品和加密算法的选择应符合国家 相 关密码管理政策规定, 密码产品自身的物理和逻辑安全性应符合 本行的相关安全要求。第一百零九条 本行信息科技部负责建立和执行密钥管理方 面的制度, 选择密码管理人员必须是本单位在编的正式员工, 并 逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、 归档、销毁等过程。第一百一十条 应在安全环境中进行关键密钥的备份工作, 并设置遇紧急情况下密钥报废、销毁机制。第一百一十一条 各类密钥应定期更换,对已泄漏或怀疑泄 漏的密钥应及时废除,过期密钥应安全归档或定期销毁。第十二章 第三方访问和外包服务安全管理第一节 第三方访问控制第一
31、百一十二条 本规定所称第三方访问是指本行之外的单 位和个人物理访问本行计算机房,或者通过网络连 接逻辑访问 本行数据库和信息系统等活动。第一百一十三条 信息科技部负责在第三方与本行合作前对 其资质进行调查。 本行内部信息系统和相关网络的第三方访问授 权需经本行领导的审批授权。 未经授权的任何第三方访问均视为 非法入侵行为。第一百一十四条 允许被第三方访问的本行信息系统和资源 应建立存取控制机制、认证机制,列明所有用户名单及其权限, 严格监督第三方访问活动。第一百一十五条 获得第三方访问授权的所有单位和个人应 与本行签订安全保密协议,不得进行未授权的修改、增加 、删 除数据操作,不得复制和泄漏本
32、行任何信息。第一百一十六条 第三方访问控制实施细则详见 XX银行第 三方安全管理规定 。第二节 外包服务管理第一百一十七条 本规定所称外包服务,是指由本行之外的 其他社会厂商为本行信息系统、网络或桌面环境提 供全面或部 分的技术支持、 咨询等服务。 外包服务应签订正式的外包服务协 议,明确约定双方义务。第一百一十八条 外包服务提供商提供上门维护服务的,经 信息科技部批准后,由本行内部人员现场陪同实施。 外包服务 提供商不得查看、复制本行内部信息或将内部介质带离。第一百一十九条 计算机设备确需送外单位维修时,本行应 彻底清除所存工作信息,必要时应与设备维修厂商签订保密协 议。与密码设备配套使用的
33、计算机设备送修前必须请生产设备的 科研单位拆除与密码有关的硬件, 并彻底清除与密码有关的软件 和信息。第一百二十条 外包服务管理详见 XX 银行 IT 外包管理暂 行办法。第十三章 事件报告、灾难备份与应急管理第一节 事件报告第一百二十一条 信息安全事件按照信息安全事件报告流程 进行报告,一般信息安全事件应逐级通报, 发生因人为、自然原 因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较 大的重大信息安全事件,应上报告计算机安全领导小组。第一百二十二条 重大信息安全事件发生后,相关人员应注 意保护事件现场,采取必要的控制措施,调查事件原因,并及时 不得用于商业用途报告主管领导及计算机安全领
34、导小组。必要时启动相关应急预 案。第二节 灾难备份管理第一百二十三条 灾难备份是指利用技术、管理手段以及相 关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战 争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料 的突发事件(以下称“灾难” )发生后在规定的时间内可以恢复 和继续运营的有序管理过程。第一百二十四条 本行在本行计算机信息系统应急领导小组 统一领导下, 组织开展重要信息系统灾难备份的统一规划、 实施 和管理。第一百二十五条 本行业务部室负责提出业务系统灾难备份 需求, 明确可容忍的业务中断时间和数据丢失量。 本行据此确定 灾难备份等级和备份方案。第一百二十六条 本行业务部
35、室和本行协同建立健全灾难恢 复计划,定期开展灾难恢复培训。在条件许可的情况下,每年进 行一次重要信息系统的灾难恢复演练。第三节 应急管理第一百二十七条 本行信息科技部负责制定和持续完善网 络、信息系统和机房环境等应急预案。 应急预案应包括以下基本 内容:(一)总则 (目标、原则、适用范围、预案调用关系等) 。(二)应急组织机构。(三)预警响应机制(报告、评估、预案启动等) 。(四)各类危机处置流程。(五)应急资源保障。(六)事后处理流程。(七)预案管理与维护(生效、演练、维护等) 。 第一百二十八条 本行计算机信息系统应急领导小组统一负 责各业务系统的应急协调与指挥, 决策重大事宜 (决定应急
36、预案 的启 动、灾难宣告、预警相关单位等)和调动应急资源。第一百二十九条 本行定期组织应急预案演练,指定专人管 理和维护应急预案,根据人员、信息资源等变动情况以及 演练 情况适时予以更新和完善, 确保应急预案的有效性和灾难发生时 的可获取性。第一百三十条 在信息系统推广应用方案中应同时设计应急 备份策略,同步实施备份方案。第一百三十一条 应急管理实施细则详见 XX银行计算机信 息系统应急管理制度 。第十四章 安全监测、检查、评估与审计 第一百三十二条 本行信息科技部负责每年至少进行一次本 行范围内的内部信息安全相关的检查或评估工作。第一百三十三条 本行负责每年组织对各部室、各分支机构 的计算机安全运行情况进行检查(以下简称“对下安全检查” )。 第一节 安全监测第一百三十四条 本行信息中心负责整合和利用现有网络管 理系统、 计算机资源监控系统、 专用安全监控系统以及相关设备
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 兴趣定向广告行业相关项目经营管理报告
- 电动扳手项目营销计划书
- 单板滑雪训练行业经营分析报告
- 体操鞋产品供应链分析
- 可重复使用的医疗器械行业市场调研分析报告
- 对体育运动参与者的药物测试行业相关项目经营管理报告
- 农用化学品研究服务行业营销策略方案
- 健康保险行业相关项目经营管理报告
- 医疗设备再处理行业相关项目经营管理报告
- 压缩抽吸和运送谷物用鼓风机产业链招商引资的调研报告
- 研学安全主题班会课件
- 留坝至凤县天然气输气管道工程环评报告
- 学校德育活动记录
- 《静女》公开课教案优秀3篇
- SB/T 10795-2012强制通风与自然对流空气冷却器的试验方法
- GB/T 16476-1996金属钪
- GB/T 11181-2016子午线轮胎用钢帘线
- 足球比赛运动活动邀请函Word模板
- 文莱介绍课件
- Pearson相关系数简介分析课件
- HSK四级听力答题技巧课件
评论
0/150
提交评论