某商业银行信息安全管理办法

1、XX银行信息安全管理办法第一章总则第一条为加强XX银行（下称本行”）信息安全管理， 防范信息技术风险，保障本行计算机网络与信息系统安全和稳 定运行，根据中华人民共和国计算机信息系统安全保护条 例、金融机构计算机信息系统安全保护工作暂行规定等,特制定本办法。第二条本办法所称信息安全管理,是指在本行信息化项 目立项、建设、运行、维护及废止等过程中保障信息及其相 关系统、环境、网络和操作安全的一系列管理活动。第三条本行信息安全工作实行统一领导和分级管理 ，由 分管领导负责。按照 谁主管谁负责,谁运行谁负责,谁使用 谁负责”的原则，逐级落实部门与个人信息安全责任 。第四条 本办法适用于本行。所有使用本

2、行网络或信息资源 的其他外部机构和个人均应遵守本办法。第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成 的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。第三章人员管理第九条 本行所有工作人员根据不同的岗位或工作范围，履行相应的

3、信息安全保障职责。日常员工信息安全行为准则参见XX银行员工信息安全手册。第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领 导小组和信息安全工作小组成员。第十一条应选派政治思想过硬、具有较高计算机水平的人 员从事信息安全管理工作。凡是因违反国家法律法规和本行有 关规定受到过处罚或处分的人员，不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相 关培训。第十三条安全工作小组在如下职责范围内开展信息安全管 理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。（二）审核信息化建设项目中的安全方

4、案,组织实施信息安全保障项目建设。（三） 定期监督网络和信息系统的安全运行状况 ，检查运 行操作、备份、机房环境与文档等安全管理情况 ，发现问题， 及时通报和预警，并提出整改意见。（四）统计分析和协调处置信息安全事件 。（五）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第十四条信息安全领导小组成员在如下职责范围内开展工作：（一）负责本行信息安全管理体系的落实 。（二）负责提出本行信息安全保障需求 。（三）负责组织开展本行信息安全检查工作 。第二节技术支持人员第十五条 本办法所称技术支持人员，是指参与本行网络、 信息系统、机房环境等建设、运行、维护的内部技术支持人员 和外包服

5、务人员。第十六条 本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一） 不得对外泄漏或引用工作中触及的任何敏感信息。（二）严格权限访问，未经业务主管部室授权 不得擅自改 变系统设置或修改系统生成的任何数据 。（三）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部室主管领导，并及时响应、处置。（四）严格操作管理、测试管理、应急管理、配置管理、 变更管理、档案管理等工作制度，做好数据备份工作。第十七条 外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺，签署保密协议。提供技术服务期间，严 格遵守本行相关安全规定与操作规程。不得

6、拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息 。第三节一般计算机用户第十八条 本规定所称一般计算机用户是指使用计算机设备 的所有人员。第十九条一般计算机用户应承担如下安全义务 ：（一）及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部室信息安全员的指导与管理。（二）不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置以屏蔽信息安全防护。（三）不得在办公用计算机上安装任何盗版或非授权软 件。（四）未经信息安全管理人员检测和授权 ，不得将内部网 络的计算机转接入国际互联网 ；不得将个人计算机接入内部网 络或私自拷贝任何信息。第四章资产管理第二

7、十条本行对所有信息资产进行识别、评估相对价值及 重要性，建立资产清单并说明使用规则，明确定义信息资产责任人及其职责。细则参见XX银行信息资产分类分级管理规 定。第二十一条按照信息资产的价值、法律要求及敏感程度和 对业务关键程度,分别依据机密性、完整性、可用性三个属性 对信息资产进行分类分级，并建立相应的标识和处理制度 。第二十二条依照信息资产的分类分级采取不同的安全保护 措施,制定完善的访问控制策略,防止未经授权的使用。第二十三条依据XX银行介质管理规范加强介质管理与 销毁操作管理,确保本行数据的可用性、保密性、完整性。第五章物理环境安全管理第一节机房安全管理第二十四条本规定所称机房是指信息系

8、统主要设备放置 、 运行的场所以及供配电、通信、空调、消防、监控等配套环境 设施。第二十五条 本行机房的信息安全管理由本行本行信息科技 部门负责具体实施和落实。第二十六条建立机房设施与场地环境监控系统,对机房空 调、消防、不间断电源（UPS）、供配电、门禁系统等重要设 施实行全面监控。第二十七条建立健全机房管理制度，并指派专人担任机房 管理员，落实机房安全责任制。机房管理员应经过相关专业培 训，熟知机房各类设备的分布和操作要领，定期巡查机房，发 现问题及时报告。机房管理员负责保管机房建设或改造的所有 文档、图纸以及机房运行记录等有关资料，并随时提供调阅。第二十八条建立机房定期维修保养制度。易受

9、季节、温度 等环境因素影响的设备 、已逾保修期的设备、近期维修过的设 备等应成为保养的重点。第二十九条依据浙江省农村合作金融机构机房管理指 引进一步规范机房建设、改造和验收过程，落实机房管理。第三十条信息安全领导小组负责定期审核机房安全管理落 实情况，并保留相应的审核记录和审核结果。第二节重要区域安全管理第三十一条 本章节所指重要区域为：本行信息中心主备机 房和运维监控室等区域。本行信息中心负责制定和执行运维监 控方面的安全管理制度。第三十二条 重要区域应严格出入安全管理，安装门禁、视频监视录像系统，实行定时录像监控，并适当配置自动监控报 警功能。第三十三条所有门禁、视频监视录像系统的信息资料

10、至少 保存三个月。第三节办公环境安全管理第三十四条 在本行大楼入口应设置门卫或接待员，负责出入或公共访问区域的物理安全管理和外来人员的出入登记第三十五条 本行信息中心楼层设立门禁,加强人员进出管理。第三十六条 本行信息中心员工应在公共接待区接待外来人 员，未经允许，不得私自将外来人员带入办公区域内。第三十七条 未经允许，严禁在信息中心办公区域内进行摄 影、摄像、录音等记录日常办公行为的活动 。第六章网络安全管理第一节 网络规划、建设中的安全管理第三十八条 本行网络信息科技部负责网络和网络安全的统 一规划、建设部署、策略配置和网络资源（网络设备、通讯线 路、IP地址和域名等）分配。第三十九条按照

11、统一规划和总体部署原则，由信息科技 部组织实施网络建设、改造工程，工程投产前应通过安全测试 与评估。第四十条 本行网络建设和改造应符合如下基本安全要求：（一）网络规划应有完整的安全策略，保障网络传输与应用安全。（二）具备必要的网络监测、跟踪和审计等管理功能。（三）针对不同的网络安全域，采取必要的安全隔离措施。（四） 能有效防止计算机病毒对网络系统的侵扰和破坏。第二节网络运行安全管理第四十一条 信息科技部应建立健全网络安全运行方面的制 度，配备专职网络管理员。网络管理员负责日常监测和检查网 络 安全运行状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时发现和解决网络异常情况 。第四十

12、二条网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。第四十三条 严格网络接入管理。任何设备接入网络前，接 入方案、设备的安全性等应经过网络管理人员的审核与检测，审 核（检测）通过后方可接入并分配相应的网络资源。第四十四条 严格网络变更管理。网络管理员调整网络重要 参数配置和服务端口时，应严格遵循变更管理流程。实施有可 能影响网络正常运行的重大网络变更，应提前通知相关业务部门并安排在非交易时间或交易较少时间进行，同时做好配置参数的备份和应急恢复准备。第四十五条 严格远程访问控制。确因工作需要进行远程访 问的人员应向信息简科技部提出书面申请，并采取相应的

13、安全防护措施。第四十六条 信息安全管理人员负责定期对网络进行安全检 测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向 外界提供。未经授权，任何外部单位与人员不得检测、扫描本 行网络。第三节接入国际互联网管理第四十七条 信息科技部负责制定本行互联网方面管理制度，对互联网接入进行严格的控制，防范来自互联网的威胁。第四十八条 本行内部业务网、办公网与国际互联网实行安 全隔离。所有接入内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第四十九条 内部网络计算机严禁接入国际互联网，确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关 领导审批，确保安装有指定的防病毒软件和

14、最新补丁程序。经审批后连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。第五十条 曾接入国际互联网的计算机严禁接入内部网络，确有必要接入内部网络的应通过安全工作小组审核并上报相关 领导审批，经安全检测后方能接入。从国际互联网下载的任何 信息，未经病毒检测不得在内部网络上使用。第五十一条 使用国际互联网的所有用户应遵守国家有关法 律法规和本行相关管理规定，不得从事任何违法违规活动。第七章访问控制第五十二条 本行负责建立访问控制制度 ，对信息资产和服 务的访问和权限分配进行控制 。第五十三条信息资产的责任人负责确定信息资产和服务的 访

15、问权限，运行维护科根据授权进行相关设定操作。第五十四条 信息系统用户设置本人的用户和密码，并对其访问控制权限负责。重要信息系统操作人员的密码应由系统 管理员和业务部门负责人分段设立。第五十五条凡是能够执行录入、复核制度的信息系统，操 作人员不得一人兼录入、复核两职。未经主管领导批准，不得 代岗、兼岗。第五十六条应启用安全措施限制授权用户对操作系统的访 问，包括但不限于：（一）按照已定义的访问控制策略鉴别授权用户；（二） 记录成功和失败的系统访问企图；（三）记录专用系统特殊权限的使用情况；（四） 当违反系统安全策略时发布警报；（五）提供合适的身份鉴别手段；（六）限制用户的连接时间。第五十七条 对

16、应用系统和信息的逻辑访问应只限于已授权 的用户。对应用系统的访问控制措施包括但不限于：（一）按照定义的访问控制策略，控制用户访问信息和应用系统的特定功能；（二） 防止能够绕过系统控制或应用控制的任何实用程序、系统软件和恶意软件对系统进行未授权访问；（三）为重要的敏感系统设立隔离的运行环境。第五十八条访问控制实施细则详见X银行信息系统访问 控制管理规定。第八章信息系统安全管理第五十九条本规定所指的信息系统是本行业务处理系统 、 管理信息系统和日常办公自动化系统等 ，包括数据库、软件和 硬件支撑环境等。第六十条信息系统安全管理实施细则详见x银行计算机信息系统安全管理规定。第一节信息系统规划与立项第

17、六十一条 信息系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容：（一）业务需求部室提出的安全需求 。（二）安全需求分析和实现。（三）运行平台的安全策略与设计 。第六十二条信息安全领导小组负责派遣相关部室安全员对 项目技术方案进行安全专项审查并提出审查意见，未通过安全审核的项目不得予以立项 。第二节信息系统开发与集成第六十三条信息系统开发应符合软件工程规范，依据安全 需求进行安全设计，保证安全功能的完整实现。第六十四条信息系统开发单位应在完成开发任务后将程序 源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知

18、识产权保护协议和保密协议，不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。第六十五条信息系统的开发人员不能兼任信息系统管理员 或业务系统操作人 员，不得在程序代码中植入后门和恶意代码 程序。第六十六条信息系统开发、测试、修改工作不得在生产环 境中进行。第六十七条 涉密信息系统集成应选择具有国家相关部门颁 发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。第六十八条系统上线前应开展代码审计过程检查源代码中 的缺点和错误信息，避免引发安全漏洞。第三节信息系统运行第六十九条信息系统上线运行实行安全审查机制 ，未通过 安全审查的任何新建或改造信息系统不得投产运行 。具体要求

19、如下：（一）项目承建单位 （部室）应组织制定安全测试方案 ，进行系统上线前的自测试并形成测试报告，报信息科技部审查。（二）信息系统归口责任业务部室应在信息系统投产运行 前同步制定相关安全操作规定，报信息科技部门。（三）信息科技部应提出明确的测试方案和测试报告审查 意见。必要时，可组织专家评审或实施信息系统漏洞扫描检 测。第七十条 信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。第七十一条系统管理员负责信息系统的日常运行管理，并建立重要信息系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。第七十二条系统管理员不得兼任业务操

20、作人员。系统管理 员确需对业务系统进行维护性操作的，应征得业务系统归口责任业务处室同意并在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。第七十三条 严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。第七十四条在信息系统运行维护过程中，系统管理人员应 遵守但不限于以下要求：（一）合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准；（二）屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入；（三）及时、合理安装正式发布的系统补丁，修补系统存在的安全漏洞；（四）启用系统提供的审计功能，或使用第三方手段实现审计功能，监测系统运行日志，掌握系

21、统运行状况；（五）按照网络管理规范及其业务应用范围设置设备的IP地址及网络参数，非系统管理人员不得修改。第四节信息系统废止第七十五条废止信息系统及其存储介质在报废或重用前 ， 应根据其安全级别，进行消磁或安全格式化，以避免信息泄 ，二匸户露。第七十六条对已经废止的信息系统软件和数据备份介质，按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的，应在信息安全领导小组监督下予以不可恢复性销毁。第九章客户端安全管理第七十七条 本办法所称客户端是指本行计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面 终端、单机运行（哑）终端、远程接入终端、便携式计算机设备 等。第七十八条 客户端

22、应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。第七十九条 客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护措施，确保安装最新的病毒特征码和必要的补丁程序。第八十条 确因工作需要经授权可远程接入内部网络的用 户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。第八十一条规范存储本单位商密信息的计算机设备的安全 管理，包括：开发用终端、生产主机及其他计算机设备 。第十章 信息安全专用产品、服务管理第一节资质审查与选型购置第八十二条本规定所称信息安全专用产品，是指本行安装 使用的专用安全软件、硬件产品。本规定所称信息安全服 务， 是指本行向社

23、会购买的专业化安全服务 。第八十三条本行负责信息安全服务提供商的资质审查和信 息安全专用产品的选型，由采购科室按照采购程序选购 。第八十四条 安全专用产品在准入审核时 ，供应商应提出 申请并提供下列资料：（一）公安部颁发的安全专用产品销售许可证和其他必须 的证明材料；（二）产品型号、产地、功能及报价；（三）产品采用的技术标准，产品功能及性能的说明书；（四）生产企业概况（包括人员、设备、生产条件、隶属 关系等）；（五）供应商的质量保证体系、售后服务措施等情况的说 明。第八十五条 安全专用产品有下列情形之一的 ，取消其准入 资格：（一）安全专用产品的功能已发生变化，但未通过检测的；（二）经使用发现

24、有严重问题的；（三）不能提供良好售后服务的；（四）国家有关部门取消其销售资格的。第二节使用管理第八十六条扫描、检测类信息安全专用产品仅限于信息安 全管理人员使用。第八十七条信息科技部定期检查各类信息安全专用产品使用情况，认真查看相关日志和报表信息并定期汇总分析。如发现重大问题，立即采取控制措施并按规定程序报告。第八十八条信息科技部应及时升级维护信息安全专用产 品，凡因超过使用期限的或不能继续使用的信息安全专用产 品，应报信息安全领导小组批准后，按照固定资产报废审批程 序处理。第十一章文档、数据与密码应用安全管理第一节技术文档第八十九条 本规定所称技术文档是指本行网络 、信息系统 和机房环境等建

25、设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。第九十条各部室负责将技术文档统一归档。未经本行领导 批准，任何人不得将技术文档转借、复制和对外公布。第二节存储介质第九十一条建立健全磁带、光盘、移动存储介质、缩微胶 片、已打印文档等存储介质管理流程。所有存储介质应保存在 安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。第九十二条做好存储介质在物理传输过程中的安全控制，选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。第九十三条 加强对移动存储设备 （U盘、软盘、移动硬盘 等）的使用管理。对系统升级专用的移动存储设备应按照相关 规

26、定由专人负责管理。第九十四条 建立存储介质销毁机制，对载有敏感信息的存 储介质应按照其安全等级 ，采用安全格式化、消磁等不可复原 的方式进行处置并做好记录 。第九十五条介质管理实施细则详见XX银行介质管理规范。第三节数据安全第九十六条 本规定中所称的数据是指以电子形式存储的本 行业务数据、办公信息、系统运行日志、故障维护日志以及其 他内部资料。第九十七条 数据的所有者（部室）负责提出数据在输入、 处理、输出等不同状态下的安全需求,信息科技部负责审核安全需求并提供一定的技术实现手段 。第九十八条 严格管理业务数据的增加、修改、删除等变更 操作，进行业务数据有效性检查，按照既定备份策略执行数据 备

27、份任务，并定期测试备份数据的有效性 。第九十九条系统管理员负责定期导出网络和重要信息系统 日志文件并明确标识存储内容 、时间、密级等信息。日志文件 应至少保留一年，妥善保管。第一百条 本行信息科技部负责建立备份数据销毁方面的管 理制度，根据数据重要性级别分类采取相应的备份数据的保存时限和密级，并根据介质处置相关要求进行销毁处理 。第一百零一条所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相 关口令密码的，应把口令密码密封后与数据备份介质一并妥善 保管。第一百零二条生产数据的调用提取应遵守 X银行计算机 系统生产数据调用及维护操作规程 。第四节口令密码第

28、一百零三条信息科技部负责制定和维护密码管理方面的 制度，严格执行密码安全管理策略 。第一百零四条 系统管理员、数据库管理员、网络管理员、 业务操作人员的用户均须设置口令密码 ，至少每三个月更换一 次。口令密码的强度应满足必要的安全性要求 。第一百零五条敏感信息系统和设备的口令密码设置应在安 全的环境下进行，必要时应将口令密码笔录 ，密圭寸交相关部室 保管。未经本行分管领导许可 ,任何人不得擅自拆阅密封的口 令密码。拆阅后的口令密码使用后应立即更改并再次密封存 放。第一百零六条 应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码 。第五节密码技术应用管理第一百零七条本行涉密网络和

29、信息系统应严格 按照国家 密码政策规定，采用相应的加密措施。非涉密网络和信息 系统 应依据本行实际需求和统一安全策略，合理选择加密措施。第一百零八条 密码产品和加密算法的选择应符合国家相关密码管理政策规定，密码产品自身的物理和逻辑安全性应符 合本行的相关安全要求。第一百零九条本行信息科技部负责建立和执行密钥管理方 面的制度，选择密码管理人员必须是本单位在编的正式员工，并逐级进行备案，规范管理密钥产生、存储、分发、使用、废 除、归档、销毁等过程。第一百一条 应在安全环境中进行关键密钥的备份工作，并设置遇紧急情况下密钥报废、销毁机制。第一百一十一条各类密钥应定期更换，对已泄漏或怀疑泄 漏的密钥应及

30、时废除，过期密钥应安全归档或定期销毁 。第十二章第三方访问和外包服务安全管理第一节第三方访问控制第一百一二条本规定所称第三方访问是指本行之外的单 位和个人物理访问本行计算机房，或者通过网络连接逻辑访问 本行数据库和信息系统等活动 。第一百一十三条信息科技部负责在第三方与本行合作前对其资质进行调查。本行内部信息系统和相关网络的第三方访问 授权需经本行领导的审批授权。未经授权的任何第三方访问均视为非法入侵行为。第一百一四条 允许被第三方访问的本行信息系统和资源 应建立存取控制机制 、认证机制，列明所有用户名单及其权 限，严格监督第三方访问活动。第一百一五条获得第三方访问授权的所有单位和个人应 与本

31、行签订安全保密协议，不得进行未授权的修改、增加、删 除数据操作，不得复制和泄漏本行任何信息。第一百一十六条第三方访问控制实施细则详见x银行第三方安全管理规定。第二节外包服务管理第一百一七条 本规定所称外包服务，是指由本行之外的 其他社会厂商为本行信息系统、网络或桌面环境提供全面或部 分的技术支持、咨询等服务。外包服务应签订正式的外包服务 协议，明确约定双方义务。第一百一十八条 外包服务提供商提供上门维护服务的 ，经 信息科技部批准后，由本行内部人员现场陪同实施 。外包服务 提供商不得查看、复制本行内部信息或将内部介质带离 。第一百一九条计算机设备确需送外单位维修时，本行应 彻底清除所存工作信息

32、，必要时应与设备维修厂商签订保密协 议。与密码设备配套使用的计算机设备送修前必须请生产设备 的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。第一百二十条外包服务管理详见X银行IT外包管理暂行 办法。第十三章事件报告、灾难备份与应急管理第一节事件报告第一百二十一条信息安全事件按照信息安全事件报告流程进行报告，一般信息安全事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失 较大的重大信息安全事件，应上报告计算机安全领导小组。第一百二十二条重大信息安全事件发生后，相关人员应注 意保护事件现场，采取必要的控制措施，调查事件原因，并及 时报告主管领导

33、及计算机安全领导小组。必要时启动相关应急预案。第二节灾难备份管理第一百二十三条灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法 预料的突发事件（以下称 灾难”）发生后在规定的时间内可以恢复和继续运营的有序管理过程。第一百二十四条本行在本行计算机信息系统应急领导小组统一领导下，组织开展重要信息系统灾难备份的统一规划、实施和管理。第一百二十五条 本行业务部室负责提出业务系统灾难备份 需求，明确可容忍的业务中断时间和数据丢失量。本行据此确定灾难备份等级和备份方案。第一百二十六条本行业务部室和本行协同建立健

34、全灾难恢 复计划，定期开展灾难恢复培训。在条件许可的情况下，每年 进行一次重要信息系统的灾难恢复演练 。第三节应急管理第一百二十七条 本行信息科技部负责制定和持续完善网 络、信息系统和机房环境等应急预案 。应急预案应包括以下基 本内容：（一）总则（目标、原则、适用范围、预案调用关系 等）。（二）应急组织机构。（三）预警响应机制（报告、评估、预案启动等）。（四）各类危机处置流程。（五）应急资源保障。（六）事后处理流程。（七）预案管理与维护（生效、演练、维护等）。第一百二十八条本行计算机信息系统应急领导小组统一负 责各业务系统的应急协调与指挥，决策重大事宜 （决定应急预案的启动、灾难宣告、预警相关单位等）和调动应急资源。第一百二十九条本行定期组织应急预案演练，指定专人管 理和维护应急预案，根据人员、信息资源等变动情况以及 演练 情况适时予以更新和完善 ，确保应急预案的有效性和灾