金融行业信息内网安全管理规定参考

金融行业信息(内网) 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 规定ViaControl信息安全管理规定(参考)第1章总则第1条为了强化XX银行的信息安全管理，防范计算机信息技术风险，保障我行的电子文档安全，保障员工规范利用公司网络资源，保障网络及终端的软硬件资产安全，提高网络系统维护的响应能力和速度，保障公司计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，结合本公司的实际，特制定本规定。第2条本规定所称信息安全管理，是指在XX银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。第3条XX银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。第4条XX银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。第5条本规定适用于XX银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。所有使用XX银行网络或信息资源的其他外部机构和个人均应遵守本规定。第6条信息安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 辅助实施工具采用上海互普信息技术有限公司生产的ViaControl威盾网络保安系统。第7条任何单位和个人不得以任何理由逃避该安全制度的管理，不得利用联网计算机从事危害本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CERNET或其它互联网在内的）服务器、工作站。不得从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息网络系统的全面安全。第8条ViaControl控制台权限划分： 功能权限大类 功能权限子类 用户权限设置分类(打√为建议分配的权限) 管理员 参数设置 控制台 远程控制 审计查看 文件 添加计算机组 √ √ 删除计算机组 √ √ 修改计算机名称 √ √ 移动计算机组 √ √ 添加用户组 √ √ 删除用户组 √ √ 修改用户组名称 √ √ 移动用户组 √ √ 删除计算机 √ √ 修改计算机名称 √ √ 移动计算机 √ √ 删除用户 √ √ 修改用户名称 √ √ 移动用户 √ √ 导出数据 √ √ √ 打印 √ √ √ 控制 发送通知消息 √ √ √ 锁定/解锁 √ √ √ 注销用户 √ √ 关机/重新启动 √ √ 卸载客户端 √ √ √ 统计 应用程序统计 √ √ 网页浏览统计 √ √ 网络流量统计 √ √ 日志 基本事件日志 √ √ 应用程序日志 √ √ 网页浏览日志 √ √ 文档操作日志 √ √ 打印日志 √ √ 资产变更日志 √ √ 策略日志 √ √ 系统事件 √ √ 备份文档 √ √ 共享文档 √ √ 移动存储日志 √ √ 策略 基本策略 √ √ 应用程序策略 √ √ 网页浏览策略 √ √ 设备控制策略 √ √ 打印控制策略 √ √ 屏幕记录策略 √ √ 日志记录策略 √ √ 远程控制策略 √ √ 流量控制策略 √ √ 网络控制策略 √ √ 邮件控制策略 √ √ 即时通讯文件传送策略 √ √ 文件上传下载策略 √ √ 文档控制策略 √ √ 系统报警策略 √ √ 移动存储授权策略 √ √ 监控 实时屏幕快照 √ √ √ 即时通讯 √ √ 邮件 √ √ 查看屏幕历史 √ √ √ 导出屏幕历史 √ √ √ 维护 查看远程信息 √ √ √ √ 远程操作 √ √ √ 远程控制 √ √ √ 远程文件传送 √ √ √ 资产管理 资产查询 √ √ √ 定义资产类别属性 √ √ 修改资产属性 √ √ 补丁管理 查询补丁情况 √ √ 设置补丁管理参数 √ √ 执行补丁操作 √ 查询补丁情况 √ √ 漏洞管理 查询漏洞检查情况 √ √ 设置漏洞检查参数 √ √ 软件分发 查询软件分发包信息 √ √ 设置软件分发包 √ √ 查询分发任务及安装情况信息 √ √ 设置分发任务 √ √ 执行分发任务 √ 网络接入检测 查看接入检测 √ √ 设置接入检测 √ √ 设置策略 √ √ 所有分类管理 应用程序类别 √ √ 网站类别 √ √ 时间类别 √ √ 网络地址类别 √ √ 网络端口类别 √ √ 移动存储库 √ √ 删除 删除日志数据 √ 删除即时通讯信息 √ 删除邮件 √ 备份数据 备份日志 √ √ 备份数据 √ √ 参数设置 设置客户端的搜索范围 √ √ 设置客户端的排除反问 √ √ 生成客户端确认码 √ √ √ 管理加密盘 √ √ 格式化成加密盘 √ √ 第9条项目参与人员：（1）安全委员会（2）总经理层（3）网管中心（4）相关部门经理第2章组织保障第10条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。第11条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。第12条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。第3章人员管理第13条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。第一节信息安全管理人员第14条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和XX银行有关规定受到过处罚或处分的人员，不得从事此项工作。第15条各单位信息安全管理人员应经过总行或分行、营业管理部、省会（首府）城市中心支行组织的专业培训与审核，培训与审核合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。第16条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作：（1）组织落实上级信息安全管理规定，制定信息安全管理制度，协调部门计算机安全员工作，监督检查信息安全保障工作。（2）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设，维护、管理信息安全专用设施。（3）检测网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。（4）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第17条信息安全管理人员在履行职责时，确因工作需要查询相关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申请，获得批准后方可查询。第18条信息安全管理人员实行备案管理制度。信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。信息安全管理人员调离原岗位时应办理交接手续，并履行其调离后的保密义务。第二节部门计算机安全员第19条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员，并报本单位科技部门备案。如有变更应做好交接工作，并及时通报科技部门。第20条部门计算机安全员配合信息安全管理人员工作，并参加各项信息安全技能培训。第21条部门计算机安全员在如下职责范围内开展工作：（1）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。（2）负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。（3）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。第三节技术支持人员第22条本规定所称技术支持人员，是指参与XX银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。第23条XX银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（1）不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。（2）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。（3）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。第24条外部技术支持人员应严格履行外包服务 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 （协议）的各项安全承诺。提供技术服务期间，严格遵守XX银行相关安全规定与操作规程，关键操作应经授权，并有XX银行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。第四节业务系统操作人员第25条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。第26条业务系统操作人员应承担如下安全义务：（1）严格规程操作，防止误操作。定期修改操作密码并妥善保管，按需、适时进行必要的数据备份。（2）发现业务系统出现异常及时报告科技部门。（3）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。第27条业务系统操作应按照“权限分散、不得交叉任职”原则，严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。第五节一般计算机用户第28条本规定所称一般计算机用户是指使用计算机设备的所有人员。第29条一般计算机用户应承担如下安全义务：（1）及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部门计算机安全员的指导与管理。（2）不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。（3）未经科技部门检测和授权，不得将接入XX银行内部网络的所用计算机转接入国际互联网；不得将便携式计算机接入XX银行内部网络；不得随意将个人计算机带入机房或私自拷贝任何信息。第4章网络安全管理第1节网络规划、建设中的安全管理第30条总行科技司负责网络和网络安全的统一规划、建设部署、策略配置和网络资源（网络设备、通讯线路、IP地址和域名等）分配。第31条各单位科技部门按照总行科技司的统一规划和总体部署，组织实施网络建设、改造工程。各单位局域网的建设与改造方案应报上一级科技部门审核、备案，投产前应通过本单位组织的安全测试。第32条各单位的网络建设和改造应符合如下基本安全要求：(1)符合XX银行网络安全管理要求，保障网络传输与应用安全。(2)具备必要的网络监测、跟踪和审计等管理功能。(3)针对不同的网络安全域，采取必要的安全隔离措施。第2节网络运行安全管理第33条各单位科技部门应建立健全网络安全运行制度，配备专（兼）职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。第34条网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能，紧急情况下，经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。第35条各单位科技部门应严格网络接入管理。任何设备接入网络前，接入方案、设备的安全性等应经过审核与必要的检测，审核（检测）通过后方可接入并分配相应的网络资源。第36条各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在节假日进行，同时做好配置参数的备份和应急恢复准备。第37条各单位应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技部门提出书面申请，并采取相应的安全防护措施。第38条信息安全管理人员经本部门主管领导批准，有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经总行科技司授权，任何外部单位与人员不得检测、扫描XX银行内部网络。第39条各单位以不影响业务的正常网络传输为原则，合理控制多媒体网络应用规模和范围。未经总行科技司批准，不得在XX银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。第3节网间互联安全管理第40条本规定所称网间互联是指为满足XX银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。第41条网间互联由总行科技司统一规划，按照相关 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 组织实施。未经总行科技司核准，任何单位不得自行与外部机构实施网间互联。第4节接入国际互联网管理第42条XX银行内部网络与国际互联网实行安全隔离。所有接入XX银行内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第43条计算机接入国际互联网应通过本单位保密工作委员会办公室批准，并确保安装有XX银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网，并做好备案。曾接入XX银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续，科技部门确保该计算机已删除敏感工作信息后方可实施接入。第44条未经科技部门安全检测，曾接入国际互联网的计算机不得直接接入XX银行内部网络。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。第45条使用国际互联网的所有用户应遵守国家有关法律法规和XX银行相关管理规定，不得从事任何违法违规活动。第5章计算机系统安全管理第46条本规定所指的计算机系统是XX银行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第1节计算机系统规划与立项第47条计算机系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案应满足XX银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容：（一）业务需求部门提出的安全需求。（二）安全需求分析和实现。（三）运行平台的安全策略与设计。第48条各单位科技部门负责对项目技术方案进行安全专项审查并提出审查意见，未通过安全审核的项目不得予以立项。第2节计算机系统开发与集成第49条计算机系统开发应符合软件工程规范，依据安全需求进行安全设计，保证安全功能的完整实现。第50条计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交XX银行科技部门。外部开发单位还应与XX银行签署相关知识产权保护协议和保密协议，不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。第51条计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第52条计算机系统开发、测试、修改工作不得在生产环境中进行。第53条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。第3节计算机系统运行第54条各单位计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下：（1）项目承担单位（部门）应组织制定安全测试方案，进行系统上线前的自测试并形成测试报告，报科技部门审查。（2）计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定，报科技部门备案。（3）科技部门应提出明确的测试方案和测试报告审查意见。必要时，可组织专家评审或实施计算机系统漏洞扫描检测。第55条各单位科技部门应明确系统管理员，具体负责计算机系统的日常运行管理，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。第56条系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的，应征得业务部门同意并在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。第57条未经业务主管部门领导书面批准，其他任何人不得擅自使用业务操作人员用机，不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据，不得擅自改变用户权限。第4节业务操作第58条业务部门负责计算机系统用户和权限设定，科技部门根据授权进行相关设定操作。第59条业务操作人员严格按照安全操作规程进行业务操作、数据备份，并配合科技部门保障信息安全。一旦发现计算机系统运行异常及时向本部门领导和科技部门报告。第60条业务操作人员设置本人口令密码。重要计算机系统业务操作人员的密码应由业务部门领导和系统管理员分段设立。第61条凡是能够执行录入、复核制度的计算机系统，业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准，不得代岗、兼岗。第62条业务操作人员离开操作用机时，应按序退出计算机系统，回到操作系统初始状态，防止业务数据被复制、修改、删除以及误操作。第5节计算机系统废止第63条实行计算机系统废止申报、备案制度。使用计算机系统的业务部门根据需要向科技部门提出废止申请，由科技部门组织进行安全检查后予以废止，同时备案。第64条对已经废止的计算机系统软件和数据备份介质，科技部门按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的，应在本单位保密工作委员会监督下予以不可恢复性销毁。第6章客户端安全管理第65条本规定所称客户端是指XX银行计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面终端、单机运行（哑）终端、远程接入终端、便携式计算机等。第66条各单位应建立完善的客户端管理制度，记录所有客户端设备信息和软件配置信息。第67条客户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。第68条客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护措施，确保安装最新的病毒特征码和必要的补丁程序。第69条确因工作需要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。第7章信息安全专用产品、服务管理第1节资质审查与选型购置第70条本规定所称信息安全专用产品，是指XX银行安装使用的专用安全软件、硬件产品。本规定所称信息安全服务，是指XX银行向社会购买的专业化安全服务。第71条总行科技司负责信息安全服务提供商的资质审查和信息安全专用产品的选型，由集中采购部门按照政府集中采购程序选购。第72条各单位购置扫描、检测类信息安全专用产品应报总行科技司批准、备案。第2节使用管理第73条各单位科技部门应建立信息安全专用产品登记使用制度，建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。第74条各单位科技部门随时检查各类信息安全专用产品使用情况，认真查看相关日志和报表信息并定期汇总分析。如发现重大问题，立即采取控制措施并按规定程序报告。第75条各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料，应备份存档至少三个月。第76条各单位科技部门应及时升级维护信息安全专用产品，凡因超过使用期限的或不能继续使用的信息安全专用产品，按照固定资产报废审批程序处理。第77条防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置，由科技部门或经科技部门授权在可信网络内并采取了必要的安全控制措施后进行操作。第8章文档、数据与密码应用安全管理第1节技术文档第78条本规定所称技术文档是指XX银行网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。第79条各单位科技部门负责将技术文档统一归档，实行借阅登记制度。未经科技部门领导批准，任何人不得将技术文档转借、复制和对外公布。第2节存储介质第80条各单位应建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。第81条各单位应做好存储介质在物理传输过程中的安全控制，应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。第82条各单位所有部门和个人应加强对移动存储设备（Ｕ盘、软盘、移动硬盘）的管理。第83条各单位应建立存储介质销毁制度，对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。第3节数据安全第84条本规定中所称的数据是指以电子形式存储的XX银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。第85条各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求，科技部门负责审核安全需求并提供一定的技术实现手段。第86条各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作，适时进行业务数据有效性检查，按照既定备份策略执行数据备份任务，并定期测试备份数据的有效性和预演数据恢复流程。第87条各单位科技部门系统管理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年，妥善保管。第88条各单位业务部门应明确规定备份数据的保存时限和密级，建立备份数据销毁审批登记制度，并根据数据重要性级别分类采取相应的安全销毁措施。第89条所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。第4节口令密码第90条各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码，至少每三个月更换一次。口令密码的强度应满足不同安全性要求。第91条敏感计算机系统和设备的口令密码设置应在安全的环境下进行，必要时应将口令密码笔录、密封交相关部门保管。未经科技部门主管领导许可，任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。第92条各单位应根据实际情况在一定时限内妥善保存重要计算机系统升级改造前的口令密码。第5节密码技术应用管理第93条XX银行涉密网络和计算机系统应严格按照国家密码政策规定，采用相应的加密措施。非涉密网络和信息系统应依据XX银行实际需求和统一安全策略，合理选择加密措施。第94条各单位选用的密码产品和加密算法应符合国家相关密码管理政策规定，密码产品自身的物理和逻辑安全性应符合XX银行的相关安全要求。第95条各单位应建立严格的密钥管理体制，选择密码管理人员必须十本单位在编的正式员工，并逐级进行备案，规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。第96条各单位应在安全环境中进行关键密钥的备份工作，并设置遇紧急情况下密钥自动销毁功能。第97条各类密钥应定期更换，对已泄漏或怀疑泄漏的密钥应及时废除，过期密钥应安全归档或定期销毁。第9章第三方访问和外包服务安全管理第1节第三方访问控制第98条本规定所称第三方访问是指XX银行之外的单位和个人物理访问XX银行计算机房或者通过网络连接逻辑访问XX银行数据库和计算机系统等活动。第99条各单位保密工作委员会负责涉密计算机系统和网络相关的第三方访问授权审批，各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经XX银行授权的任何第三方访问均视为非法入侵行为。第100条允许被第三方访问的XX银行计算机系统和资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监督第三方访问活动。第101条获得第三方访问授权的所有单位和个人应与XX银行签订安全保密协议，不得进行未授权的修改、增加、删除数据操作，不得复制和泄漏XX银行任何信息。第2节外包服务管理第102条本规定所称外包服务是指由XX银行之外的其他社会厂商为XX银行计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。第103条经本单位科技部门领导批准，外包服务提供商可提供上门维护服务并由XX银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离XX银行。第104条计算机设备确需送外单位维修时，各单位科技部门应彻底清除所存工作信息，必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。第10章信息通报、灾难备份与应急管理第1节信息通报第105条各单位应按照XX银行信息安全事件报告制度进行信息通报，一般信息安全事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件（下称“重大信息安全事件”）应直接报总行科技司。第106条重大信息安全事件发生后，各单位相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及时报告本单位主管领导。第107条各单位应在重大信息安全事件发生后的两小时内按规定程序报上一级科技部门，由上级科技部门决定是否发布预警信息或启动辖内应急预案。第2节灾难备份管理第108条灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件（以下称“灾难”）发生后在规定的时间内可以恢复和继续运营的有序管理过程。第109条总行科技司将按照“统筹安排、资源共享、平战结合”的原则，负责XX银行重要信息系统灾难备份的统一规划、实施和管理。第110条总行业务司局负责提出业务系统灾难备份需求，明确可容忍的业务中断时间和数据丢失量。总行科技司据此确定灾难备份等级和备份方案。第111条各单位应建立健全灾难恢复 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ，定期开展灾难恢复培训。在条件许可的情况下，由总行相关部门统一部署，重要信息系统至少每年进行一次灾难恢复演练，包括异地备份站点切换演练和本地系统灾难恢复演练。第3节应急管理第112条应急预案是针对可能发生的意外事件并可能导致业务差错和停顿，甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。第113条在计算机系统推广应用方案中应同时设计应急备份策略，同步实施备份方案。第114条各单位应制定和不断完善网络、计算机系统和机房环境等应急预案。预案的编制工作由相关业务部门和科技部门共同完成。第115条应急预案应包括以下基本内容：（1）总则（目标、原则、适用范围、预案调用关系等）。（2）应急组织机构。（3）预警响应机制（报告、评估、预案启动等）。（4）各类危机处置流程。（5）应急资源保障。（6）事后处理流程。（7）预案管理与维护（生效、演练、维护等）。第116条各单位定期组织应急预案的演练，并指定专人管理和维护应急预案，根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性和灾难发生时的可获取性。第117条各单位计算机安全工作领导小组统一负责各业务系统的应急协调与指挥，决策重大事宜（决定应急预案的启动、灾难宣告、预警相关单位等）和调动应急资源。第118条总行办公厅负责统一向社会发布应急事件公告，其他任何单位或个人不得向社会发布应急事件公告。第11章安全监测、检查、评估与审计第1节安全监测第119条各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源，加强对网络、重要计算机系统和机房环境等设施的安全运行监测。第120条各单位科技部门应建立运行监测周报、月报或季报制度，报送本单位计算机安全工作领导小组和上一级科技部门，抄送相关业务部门。第121条各单位要及时预警、响应和处置运行监测中发现的问题，发现重大隐患和运行事故应及时协调解决，并报上一级单位相关部门。第2节安全检查第122条各单位科技部门应至少每年组织一次本单位或辖内的信息安全专项检查，安全检查方式可以是自查、互查或上级检查多种方式。第123条各单位在开展安全检查前应以安全管理制度为依据制定详细的检查方案和计划，确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告，经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的，需要对相关整改情况进行后续跟踪。第124条各单位参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为XX银行内部材料妥善保管，不得向外界泄漏。第125条各单位应将每次安全检查报告和整改落实情况整理汇总后报上一级科技部门备案。第3节安全评估第126条各单位科技部门可采用自评估、检查评估和委托评估等方式，每年至少组织一次对本单位或辖内信息系统的安全评估。第127条安全评估应在不影响信息系统正常运行的情况下进行。评估开始前，应制定评估方案并进行必要的培训。评估结束后，形成评估报告，提出整改意见报本单位科技部门主管领导。第128条各单位如聘请第三方机构进行安全评估，应报总行科技司批准，并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。第129条各单位应妥善保管信息安全评估报告，未经授权不得对外透露评估信息。第4节安全审计第130条各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时，应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计，发现问题及时报本单位或上一级单位主管领导。第131条各单位应做好操作系统、数据库管理系统等审计功能配置管理，应完整保留相关日志记录，一般保留至少一个月，涉及资金交易的业务系统日志应根据需要确定保留时间。第12章ViaControl服务器管理制度第132条ViaControl的服务器管理平台日常管理工作由造机所网络管理人员负责。网络管理人员应认真履行以下职责：　　（1）负责ViaControl服务器的日常维护、技术支持，并对ViaControl服务器的功能提出意见、建议和方案等。　　（2）严格执行岗位责任制。实行“谁主管、谁负责”制度。管理人员要坚守岗位，有事外出要向领导或接班工作人员交接清楚。要妥善保管好服务器登录密码，不得告诉他人，有事外出或下班时，要及时退出设置项界面。　　（3）加强ViaControl服务器检查。定期对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储空间、CPU异常、内存异常等问题要及时处理，不能及时处理时应向领导报告，并积极采取措施尽快解决。　　（4）加强ViaControl服务器的病毒防范。要经常了解和掌握网络病毒的流行情况及其解决方案，并积极采取应对措施，避免对ViaControl服务器及网络内其它终端的感染。一旦被感染，要及时提出杀毒方案，控制传播范围。定期对各ViaControl服务器进行查毒、杀毒。　　（5）保障本系统的实时安全运行，负责每天的信息数据备份。　　（6）负责对ViaControl服务器用户的增加、删除及权限变更工作，严禁无关人员登录ViaControl服务器。第13章ViaControl控制台管理制度第133条管理员（admin）角色权限管理制度（1）管理员权限范围：包括所有权限。（2）管理员权限在项目实施完成后，交由安全委员会指定成员管理。　　（3）若网管中心系统工程师因管理需要，需向安全委员会申请打开管理员（admin）权限做相应的设置，设置完成，系统维护工程师立即退出管理员（admin）权限帐户。（4）若系统维护工程师接触到管理员权限密码，应在维护完成后，提醒管理员修改密码，管理员（admin）应该经常性修改密码，避免密码丢失造成控制台管理权限泄密。（5）管理员定期到控制台的“工具”栏下的“系统日志”中查询管理员登录信息，发现异常登录，及时更新密码，并严格追查管理员控制台权限遗失原因。第九条　系统维护员角色权限管理制度　　（1）系统维护员权限范围：针对所有用户的参数设置、备份、访问所有组权限。　　（2）系统维护员根据监控的实际需要制定监控参数设置策略，经过安全管理委员会审核后进行实施。　　（3）系统维护员根据硬盘容量和监控数据增长情况制定数据备份策略，经过安全管理委员会审核后进行实施。　　（4）系统维护员不得利用职务之便，在未经安全委员会认可的情况下，私下进行个别监控电脑的参数设置，若造成损失，公司将追究相应责任。　　（5）严禁更改服务器操作系统的相关设置，严禁在ViaControl服务器上进行互联网浏览、不相关应用程序安装。（6）严守系统信息保密制度。不得随意将系统信息、数据泄露于外界。第134条经理角色权限管理制度　　（1）经理权限范围：针对职权管理范围内用户的控制台、审计查看、获取邮件报告权限。　　（2）经理根据工作的需要对属下的员工的电子文档安全、网络行为规范的执行情况进行审计查看，发现异常情况，及时报告安全委员会，由安全管理委员会进行相应的处罚。（3）经理严守公司机密，不得将获知信息进行不当的处理，若导出数据，要进行妥善保管，不得随意存放和传输，若需要传输，需征求安全管理委员会的认同，按照安全管理委员会的建议进行数据的传输。第14章客户端管理制度第135条用户机实行专人专机，谁使用、谁管理、谁负责制度。各用户应严格遵守以下规定：　　（1）要自觉遵守《中华人民共和国计算机信息系统安全保护条例》和其他有关计算机和网络方面的法律、法规，严格遵守计算机操作规程，爱护计算机和网络设备，及时反映和举报违反网络行为规范的人和事。（2）不得随意更改网络设置。如确需更改须经网络管理人员同意，并在网络管理人员的指导下操作。（3）不得未经公司同意，拆卸电脑主机箱，更换、添加电脑配件。　　（4）不得未经公司同意，使用未经杀毒的硬盘、软盘、光盘、Ｕ盘，不准打开来历不明的电子邮件，以免带进病毒。若发现来历不明的电子邮件应及时删除。要经常检查计算机有无感染病毒，若发现计算机被病毒感染，应及时杀毒或报告网络管理人员。不得在未经过公司同意安装来历不明的系统、应用、游戏等软件。　　（5）不得恶意访问和攻击网络服务器和他人计算机；未经允许不得阅读他人文件、文档、电子邮件；不得滥用网络资源；不得制造和传播计算机病毒；禁止破坏网络数据、网络资源，或在网络上进行恶作剧行为。　　（6）要自觉遵守国家保密法律、法规，不得在网上发布、传送携带国家秘密的信息。　　（7）不得在网上发布或传送有损国格、人格或具有威胁性、不友好的信息；不得利用网络接收和散布思想内容反动、不健康或色情的信息，如收到“法轮功”等内容反动的电子邮件，应及时删除，不得散发。严禁在网上玩游戏或利用网络炒股。严禁职工家属到公司玩电脑。　　（8）不得利用网络窃取公司的研究成果或受法律保护的资源。（9）要妥善保护好自己的上网口令，必要时及时更改。不得擅自转让用户帐号，或将口令随意告诉他人。不得冒用他人帐号、口令上网。（10）工作人员工作时使用的光盘、软盘、硬盘、Ｕ盘等存储介质，不得随意给外人使用，不得带出办公场所。（11）对已损坏的光盘、软盘、硬盘、Ｕ盘等存储介质，不得随意丢弃，应交安全管理委员会统一处理。（12）不得使用公司明文禁止的相关程序和网站，不得对公司明文禁止的文件做相应的操作。（13）同时触犯其他有关法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。第15章奖励与处罚第136条各单位每年应组织一次本单位和辖内信息安全管理工作评比活动，对达标单位的相关人员应给予一定的奖励，对表现突出的单位和个人进行通报表彰并给予一定形式的奖励。第137条对于违反本规定，造成重大信息安全事件的单位及个人，要给予通报批评；情节严重的，依据相关法律法规，追究其主管领导、相关部门负责人及直接责任人的责任；构成犯罪的，依法追究刑事责任。第16章附则第138条XX银行之前发布的其他信息安全管理制度有关规定条款如与本规定不一致的，按本规定执行。第139条本规定由总行负责解释。第140条本规定自发布之日起执行。XX银行信息安全管理委员会二〇〇九年八月二十一日