银行信息安全管理办法

XX银行信息安全治理方法第一章总则第一条为加强XX银行〔下称“本行”〕信息安全治理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，依据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本方法。其次条本方法所称信息安全治理，是指在本行信息化工程立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列治理活动。第三条本行信息安全工作实行统一领导和分级治理，由分管领导负责。依据“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。第四条本方法适用于本行。全部使用本行网络或信息资源的其他外部机构和个人均应遵守本方法。其次章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全治理工作，决策信息安全重大事宜。第六条各部室、各分支机构应指定至少一名信息安全员，协作信息安全领导小组开展信息安全治理工作告各类信息安全大事并猎取专业支持。第八条本行应建立与外部信息安全专业机构、专家的联系，准时跟踪行业趋势，学习各类先进的标准和评估方法。第三章人员治理第九条本行全部工作人员依据不同的岗位或工作范围，履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。第一节信息安全治理人员第十条本方法所指信息安全治理人员包括本行信息安全领导小组和信息安全工作小组成员。第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全治理工作。但凡因违反国家法律法规和本行有关规定受到过惩罚或处分的人员，不得从事此项工作。第十二条信息安全治理人员每年至少参与一次信息安全相关培训。第十三条安全工作小组在如下职责范围内开展信息安全治理工作：〔一〕组织落实上级信息安全治理规定，制定信息安全治理制度，协调信息安全领导小组成员工作，监视检查信息安全治理工作。〔二〕审核信息化建设工程中的安全方案，组织实施信息安全保障工程建设。〔三〕定期监视网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全治理状况，觉察问题，准时通报和预警，并提出整改意见。〔四〕统计分析和协调处臵信息安全大事。〔五〕第十四条信息安全领导小组成员在如下职责范围内开展工作：〔一负责本行信息安全治理体系的落实。〔二负责提出本行信息安全保障需求。〔三〕负责组织开展本行信息安全检查工作。其次节技术支持人员第十五条本方法所称技术支持人员，是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包效劳人员。第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应担当如下安全义务：〔一〕不得对外泄漏或引用工作中触及的任何敏感信息。〔二〕严格权限访问，未经业务主管部室授权不得擅自转变系统设臵或修改系统生成的任何数据。—4—〔三〕主动检查和监控生产系统安全运行状况，觉察安全隐患或故障准时报告本部室主管领导，并准时响应、处臵。〔四〕严格操作治理、测试治理、应急治理、配臵治理、变更治理、档案治理等工作制度，做好数据备份工作。第十七条外部技术支持人员应严格履行外包效劳合同〔协议〕的各项安全承诺，签署保配臵参数信息或业务数据，不得对外泄漏或引用任何工作信息。第三节一般计算机用户第十八条本规定所称一般计算机用户是指使用计算机设备的全部人员。第十九条一般计算机用户应担当如下安全义务：〔一的指导与治理。〔二臵以屏蔽信息安全防护。〔三〕〔四〕不得将个人计算机接入内部网络或私自拷贝任何信息。第四章资产治理其次十条本行对全部信息资产进展识别、评估相对价值及重要性，建立资产清单并说明使用规章，明确定义信息资产责任人及其职责。细则参见《XX银行信息资产分类分级治理其次十一条依据信息资产的价值、法律要求及敏感程度和对业务关键程度，分别依据机其次十二条依照信息资产的分类分级实行不同的安全保护措施，制定完善的访问掌握策略，防止未经授权的使用。其次十三条依据《XX银行介质治理标准》加强介质治理与销毁操作治理，确保本行数据的可用性、保密性、完整性。第五章物理环境安全治理第一节机房安全治理空调、消防、监控等配套环境设施。其次十五条本行机房的信息安全治理由本行本行信息科技部门负责具体实施和落实。〔UPS〕、供配电、门禁系统等重要设施实行全面监控。机房治理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，录等有关资料，并随时供给调阅。其次十八条建立机房定期修理保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期修理过的设备等应成为保养的重点。其次十九条依据《浙江省农村合作金融机构机房治理指引》进一步标准机房建设、改造和验收过程，落实机房治理。第三十条信息安全领导小组负责定期审核机房安全治理落实状况，并保存相应的审核记录和审核结果。其次节重要区域安全治理第三十一条本章节所指重要区域为：本行信息中心主备机房和运维监控室等区域。本行信息中心负责制定和执行运维监控方面的安全治理制度。第三十二条重要区域应严格出入安全治理，安装门禁、视频监视录像系统，实行定时录像监控，并适当配臵自动监控报警功能。第三十三条全部门禁、视频监视录像系统的信息资料至少保存三个月。第三节办公环境安全治理第三十四条在本行大楼入口应设臵门卫或接待员，负责出入或公共访问区域的物理安全治理和外来人员的出入登记。第三十五条本行信息中心楼层设立门禁，加强人员进出治理。第三十六条本行信息中心员工应在公共接待区接待外来人员，未经允许，不得私自将外来人员带入办公区域内。 第三十七条未经允许，严禁在信息中心办公区域内进展摄影、摄像、录音等记录日常办公行为的活动。第六章网络安全治理第一节网络规划、建设中的安全治理第三十八条本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配臵和网络资源〔网络设备、通讯线路、IP地址和域名等〕安排。第三十九条依据统一规划和总体部署原则，由信息科技部组织实施网络建设、改造工程，工程投产前应通过安全测试与评估。第四十条本行网络建设和改造应符合如下根本安全要求：〔一〕网络规划应有完整的安全策略，保障网络传输与应用安全。〔二〕具备必要的网络监测、跟踪和审计等治理功能。〔三〕针对不同的网络安全域，实行必要的安全隔离措施。〔四〕能有效防止计算机病毒对网络系统的侵扰和破坏。其次节网络运行安全治理第四十一条信息科技部应建立健全网络安全运行方面的制度，配备专职网络治理员。网络治理员负责日常监测和检查网络安全运行状况，治理网络资源及其配臵信息，建立健全网络运行维护档案，准时觉察和解决网络特别状况。第四十二条网络治理员应定期参与网络安全技术培训，具备肯定的非法入侵、病毒集中等网络安全威逼的应对技能。第四十三条严格网络接入治理。任何设备接入网络前，接入方案、设备的安全性等应经过网络治理人员的审核与检测，审核〔检测〕通过前方可接入并安排相应的网络资源。第四十四条严格网络变更治理。网络治理员调整网络重要参数配臵和效劳端口时，应严部门并安排在非交易时间或交易较少时间进展第四十五条严格远程访问掌握。确因工作需要进展远程访问的人员应向信息简科技部提出书面申请，并实行相应的安全防护措施。第四十六条信息安全治理人员负责定期对网络进展安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界供给。未经授权，任何外部单位与人员不得检测、扫描本行网络。第三节接入国际互联网治理第四十七条信息科技部负责制定本行互联网方面治理制度，对互联网接入进展严格的掌握，防范来自互联网的威逼。第四十八条本行内部业务网、办公网与国际互联网实行安全隔离。全部接入内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第四十九条内部网络计算机严禁接入国际互联网，确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批，确保安装有指定的防病毒软件和最补丁程序。经审批后连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。第五十条曾接入国际互联网的计算机严禁接入内部网络，确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批，经安全检测前方能接入。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。第五十一条使用国际互联网的全部用户应遵守国家有关法律法规和本行相关治理规定，不得从事任何违法违规活动。第七章访问掌握第五十二条本行负责建立访问掌握制度，对信息资产和效劳的访问和权限安排进展掌握。第五十三条信息资产的责任人负责确定信息资产和效劳的访问权限，运行维护科依据授权进展相关设定操作。第五十四条信息系统用户设臵本人的用户和密码，并对其访问掌握权限负责。重要信息系统操作人员的密码应由系统治理员和业务部门负责人分段设立。第五十五条但凡能够执行录入、复核制度的信息系统，操作人员不得一人兼录入、复核两职。未经主管领导批准，不得代岗、兼岗。第五十六条应启用安全措施限制授权用户对操作系统的访问，包括但不限于：〔一〕依据已定义的访问掌握策略鉴别授权用户；〔二〕记录成功和失败的系统访问企图；〔三〕记录专用系统特别权限的使用状况；〔四〕当违反系统安全策略时公布警报；〔五〕供给适宜的身份鉴别手段；〔六〕限制用户的连接时间。第五十七条对应用系统和信息的规律访问应只限于已授权的用户。对应用系统的访问掌握措施包括但不限于：〔一〕依据定义的访问掌握策略，掌握用户访问信息和应用系统的特定功能；〔二〕防止能够绕过系统掌握或应用掌握的任何有用程序、系统软件和恶意软件对系统进展未授权访问；〔三〕为重要的敏感系统设立隔离的运行环境。第五十八条访问掌握实施细则详见《XX银行信息系统访问掌握治理规定第八章信息系统安全治理第五十九条本规定所指的信息系统是本行业务处理系统、治理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第六十条信息系统安全治理实施细则详见《XX银行计算机信息系统安全治理规定第一节信息系统规划与立项第六十一条信息系统建设工程应在规划与立项阶段同步考虑安全问题，建设方案应满足信息安全治理的相关要求。工程技术方案应包括以下根本安全内容：〔一〕业务需求部室提出的安全需求。 〔二〕安全需求分析和实现。 〔三〕运行平台的安全策略与设计。第六十二条信息安全领导小组负责派遣相关部室安全员对工程技术方案进展安全专项审查并提出审查意见，未通过安全审核的工程不得予以立项。其次节信息系统开发与集成第六十三条信息系统开发应符合软件工程标准，依据安全需求进展安全设计，保证安全功能的完整实现。第六十四条信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移承受的关键安全技术措施和核心安全功能设计对外公开。第六十五条信息系统的开发人员不能兼任信息系统治理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第六十六条信息系统开发、测试、修改工作不得在生产环境中进展。第六十七条涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。第六十八条系统上线前应开展代码审计过程检查源代码中的缺点和错误信息，避开引发安全漏洞。第三节信息系统运行第六十九条信息系统上线运行实行安全审查机制，未通过安全审查的任何建或改造信息系统不得投产运行。具体要求如下：〔一〕工程承建单位〔部室〕测试报告，报信息科技部审查。〔二〕信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定，报信息科技部门。〔三或实施信息系统漏洞扫描检测。第七十条信息系统投入使用前信息中心应当建立相应的操作规程和安全治理制度，以防止各类安全事故的发生。第七十一条系统治理员负责信息系统的日常运行治理，并建立重要信息系统运行维护档案，具体记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。第七十二条系统治理员不得兼任业务操作人员。系统治理员确需对业务系统进展维护性操作的，应征得业务系统归口责任业务处室同意并在业务操作人员在场的状况下进展，并具体记录维护内容、人员、时间等信息。第七十三条严格用户和密码〔口令〕的治理，严格掌握各级用户对数据的访问权限。第七十四条在信息系统运行维护过程中，系统治理人员应遵守但不限于以下要求：〔一〕合理配臵操作系统、数据库治理系统所供给的安全审计功能，以到达相应安全等级标准；〔二〕屏蔽与应用系统无关的全部网络功能，防止非法用户的侵入；〔三〕准时、合理安装正式公布的系统补丁，修补系统存在的安全漏洞；〔四〕启用系统供给的审计功能，或使用第三方手段实现审计功能，监测系统运行日志，把握系统运行状况；〔五〕IP人员不得修改。第四节信息系统废止第七十五条废止信息系统及其存储介质在报废或重用前，应依据其安全级别，进展消磁或安全格式化，以避开信息泄露。第七十六条对已经废止的信息系统软件和数据备份介质，按业务规定在肯定期限内妥当保存。超过保存期限后需要销毁的，应在信息安全领导小组监视下予以不行恢复性销毁。第八十四条安全专用产品在准入审核时，供给商应提出申请并供给以下资料：〔一〕公安部颁发的安全专用产品销售许可证和其他必需的证明材料；〔二〕产品型号、产地、功能及报价；〔三〕产品承受的技术标准，产品功能及性能的说明书；〔四〕生产企业概况〔包括人员、设备、生产条件、隶属关系等；〔五〕供给商的质量保证体系、售后效劳措施等状况的说明。第八十五条安全专用产品有以下情形之一的，取消其准入资格：〔一〕安全专用产品的功能已发生变化，但未通过检测的；〔二〕经使用觉察有严峻问题的；〔三〕不能供给良好售后效劳的；〔四〕国家有关部门取消其销售资格的。其次节使用治理第八十六条扫描、检测类信息安全专用产品仅限于信息安全治理人员使用。第八十七条信息科技部定期检查各类信息安全专用产品使用状况，认真查看相关日志和报表信息并定期汇总分析。如觉察重大问题，马上实行掌握措施并按规定程序报告。第八十八条信息科技部应准时升级维护信息安全专用产品，凡因超过使用期限的或不能处理。第十一章文档、数据与密码应用安全治理第一节技术文档第八十九条本规定所称技术文档是指本行网络、信息系统和机房环境等建设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。第九十条各部室负责将技术文档统一归档。未经本行领导批准，任何人不得将技术文档转借、复制和对外公布。其次节存储介质第九十一条建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质治理应按规定异地存放。第九十二条做好存储介质在物理传输过程中的安全掌握，选择牢靠的传递方式和防盗掌握措施。重要信息的存取需要授权和记录。第九十三条加强对移动存储设备〔Ｕ盘、软盘、移动硬盘等〕的使用治理。对系统升级专用的移动存储设备应依据相关规定由专人负责治理。第九十四条建立存储介质销毁机制，对载有敏感信息的存储介质应依据其安全等级，承受安全格式化、消磁等不行复原的方式进展处臵并做好记录。第九十五条介质治理实施细则详见《XX第三节数据安全第九十六条本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。第九十七条数据的全部者〔部室〕负责提出数据在输入、处理、输出等不同状态下的安全需求，信息科技部负责审核安全需求并供给肯定的技术实现手段。第九十八条严格治理业务数据的增加、修改、删除等变更操作，进展业务数据有效性检查，依据既定备份策略执行数据备份任务，并定期测试备份数据的有效性。第九十九条系统治理员负责定期导出网络和重要信息系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保存一年，妥当保管。第一百条本行信息科技部负责建立备份数据销毁方面的治理制度，依据数据重要性级别分类实行相应的备份数据的保存时限和密级，并依据介质处臵相关要求进展销毁处理。第一百零一条全部数据备份介质应留意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要供给相关口令密码的保管。第一百零二条生产数据的调用提取应遵守《XX银行计算机系统生产数据调用及维护操作第四节口令密码第一百零三条信息科技部负责制定和维护密码治理方面的制度，严格执行密码安全治理策略。第一百零四条系统治理员、数据库治理员、网络治理员、业务操作人员的用户均须设臵口令密码，至少每三个月更换一次。口令密码的强度应满足必要的安全性要求。第一百零五条敏感信息系统和设备的口令密码设臵应在安全的环境下进展，必要时应的口令密码。拆阅后的口令密码使用后应马上更改并再次密封存放。第一百零六条应依据实际状况在肯定时限内妥当保存重要信息系统升级改造前的口令密码。其次节外包效劳治理第一百一十七条本规定所称外包效劳，是指由本行之外的其他社会厂商为本行信息系统、网络或桌面环境提供全面或局部的技术支持、询问等效劳。外包效劳应签订正式的外包效劳协议，明确商定双方义务。第一百一十八条外包效劳供给商供给上门维护效劳的，经信息科技部批准后，由本行内部人员现场伴随实施。外包效劳供给商不得查看、复制本行内部信息或将内部介质带必要时应与设备修理厂商签订保密协议产设备的科研单位撤除与密码有关的硬件，并彻底去除与密码有关的软件和信息。第一百二十条外包效劳治理详见《XXIT第十三章大事报告、灾难备份与应急治理第一节大事报告第一百二十一条信息安全大事依据信息安全大事报告流程进展报告，一般信息安全大事失较大的重大信息安全大事，应上报告计算机安全领导小组。第一百二十二条重大信息安全大事发生后，相关人员应留意保护大事现场，实行必要的急预案。其次节灾难备份治理第一百二十三条灾难备份是指利用技术、治理手段以及相关资源，确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐惧攻击、网络攻击、设备系统故障、人为破坏等无法预料的突发大事〔〕治理过程。第一百二十四条本行在本行计算机信息系统应急领导小组统一领导下，组织开展重要信息系统灾难备份的统一规划、实施和治理。第一百二十五条本行业务部室负责提出业务系统灾难备份需求，明确可容忍的业务中断时间和数据丧失量。本行据此确定灾难备份等级和备份方案。第一百二十六条本行业务部室和本行协同建立健全灾难恢复打算，定期开展灾难恢复培训。在条件许可的状况下，每年进展一次重要信息系统的灾难恢复演练。第三节应急治理第一百二十七条本行信息科技部负责制定和持续完善网络、信息系统和机房环境等应急预案。应急预案应包括以下根本内容：〔一〕总则〔目标、原则、适用范围、预案调用关系等。〔二〕〔三〕预警响应机制〔报告、评估、预案启动等。〔四〕各类危机处臵流程。〔五〕应急资源保障。〔六〕事后处理流程。〔七〕预案治理与维护〔生效、演练、维护等。第一百二十八条本行计算机信息系统应急领导小组统一负责各业务系统的应急协调与指〔和调动应急资源。信息资源等变动状况以及演练状况适时予以更和完善，确保应急预案的有效性和灾难发生时的可猎取性。第一百三十条在信息系统推广应用方案中应同时设计应急备份策略，同步实施备份方案。第一百三十一条应急治理实施细则详见《XX银行计算机信息系统应急治理制度第十四章安全监测、检查、评估与审计第一百三十二条本行信息科技部负责每年至少进展一次本行范围内的内部信息安全相关