某商业银行信息安全管理办法

XX银行信息安全管理办法第一章总则第一条为加强乂乂银行（下称“本行"）信息安全管理，防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责"的原则，逐级落实部门与个人信息安全责任。第四条本办法适用于本行.所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作，决策信息安全重大事宜.第六条各部室、各分支机构应指定至少一名信息安全员，——#—报告主管领导及计算机安全领导小组。必要时启动相关应急预案。第二节灾难备份管理第一百二十三条灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件（以下称“灾难”）发生后在规定的时间内可以恢复和继续运营的有序管理过程.第一百二十四条本行在本行计算机信息系统应急领导小组统一领导下，组织开展重要信息系统灾难备份的统一规划、实施和管理。第一百二十五条本行业务部室负责提出业务系统灾难备份需求，明确可容忍的业务中断时间和数据丢失量.本行据此确定灾难备份等级和备份方案。第一百二十六条本行业务部室和本行协同建立健全灾难恢复计划，定期开展灾难恢复培训。在条件许可的情况下，每年进行一次重要信息系统的灾难恢复演练。第三节应急管理第一百二十七条本行信息科技部负责制定和持续完善网络、信息系统和机房环境等应急预案。应急预案应包括以下基本内容：总则（目标、原则、适用范围、预案调用关系等）。应急组织机构。（三）预警响应机制（报告、评估、预案启动等）。（四）各类危机处置流程。（五）应急资源保障.（六）事后处理流程。（七）预案管理与维护（生效、演练、维护等）。第一百二十八条本行计算机信息系统应急领导小组统一负责各业务系统的应急协调与指挥，决策重大事宜（决定应急预案的启动、灾难宣告、预警相关单位等）和调动应急资源。第一百二十九条本行定期组织应急预案演练，指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性和灾难发生时的可获取性.第一百三十条在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。第一百三十一条应急管理实施细则详见《XX银行计算机信息系统应急管理制度》。第十四章安全监测、检查、评估与审计第一百三十二条本行信息科技部负责每年至少进行一次本行范围内的内部信息安全相关的检查或评估工作。第一百三十三条本行负责每年组织对各部室、各分支机构的计算机安全运行情况进行检查（以下简称“对下安全检查”）.第一节安全监测第一百三十四条本行信息中心负责整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测.第一百三十五条本行各部室要及时预警、响应和处置运行监测中发现的问题，发现重大隐患和运行事故应及时协调解决，并报上一级相关部门。第二节安全检查第一百三十六条本行安全检查包括对本行本级的安全检查和对下安全检查.安全检查方式可以是自查、检查、抽查或上级检查多种方式。第一百三十七条开展安全检查前，应以已经发布的相关安全管理制度为依据，制定详细的检查方案、提纲和计划等，确保检查工作的可操作性和规范性。第一百三十八条安全检查完成后应及时形成检查报告，经主管领导批准后将检查整改报告尽快送达被检查部门。要求限期整改的，需要对相关整改情况进行后续跟踪。第一百三十九条参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为本行内部材料妥善保管，不得向外界泄漏。第三节安全评估第一百四十条安全评估应在不影响信息系统正常运行的情况下进行。评估开始前，应制定评估方案并进行必要的培训。评估结束后，形成评估报告，提出整改意见报主管领导.第一百四十一条如聘请第三方机构进行安全评估，应报本行主管部门批准,并与第三方评估机构签订安全保密协议后方可进行.本行信息安全管理人员全程参与评估过程并实施监督。第一百四十二条应妥善保管信息安全评估报告，未经授权不得对外透露评估信息。第四节安全审计第一百四十三条适时开展信息系统日常运行管理和信息安全事件的技术审计，发现问题按照相关规定及时上报主管领导。第一百四十四条应做好操作系统、数据库管理系统等审计功能配置管理,应完整保留相关日志记录，一般保留至少一个月，涉及资金交易的业务系统日志应根据需要确定保留时间。第一百四十五条本行各部室及人员应积极支持与配合上级