信息安全管理辦法

1、*有限責(zé)任公司信息安全管理辦法第一章總則第一條 為了加強(qiáng)*有限責(zé)任公司（以下簡(jiǎn)稱(chēng)：我行）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作，確保我行計(jì)算機(jī)信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定等有關(guān)法律、法規(guī)，結(jié)合自身實(shí)際制定本辦法。第二條 *有限責(zé)任公司計(jì)算機(jī)信息系統(tǒng)安全管理工作的指導(dǎo)方針是“預(yù)防為主，安全第一，依法辦事，綜合治理”。其中“預(yù)防為主”是計(jì)算機(jī)安全管理工作的基本方針。第三條 *有限責(zé)任公司計(jì)算機(jī)信息系統(tǒng)安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。第四

2、條 成立計(jì)算機(jī)信息安全管理工作領(lǐng)導(dǎo)小組，由科技、財(cái)會(huì)、保衛(wèi)、稽核、辦公室、電子銀行等部門(mén)組成，實(shí)行一把手負(fù)責(zé)制，計(jì)算機(jī)信息安全管理工作領(lǐng)導(dǎo)小組負(fù)責(zé)組織、協(xié)調(diào)、監(jiān)督和檢查我行計(jì)算機(jī)安全管理工作。第五條 權(quán)限說(shuō)明：*有限責(zé)任公司作為吉林省農(nóng)村信用聯(lián)合社（以下簡(jiǎn)稱(chēng):省聯(lián)社）信息系統(tǒng)平臺(tái)的終端使用者，享有使用其系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)等其他IT資源的權(quán)利，吉林省農(nóng)村信用聯(lián)合社享有開(kāi)發(fā)、管理、控制其系統(tǒng)、數(shù)據(jù)庫(kù)的權(quán)利，當(dāng)出現(xiàn)各種事故時(shí)由*向吉林省農(nóng)村信用聯(lián)合社進(jìn)行通知報(bào)告，系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)等故障根據(jù)事故級(jí)別情況由吉林省農(nóng)村信用聯(lián)合社進(jìn)行處理解決。本辦法適用于*計(jì)算機(jī)設(shè)備、系統(tǒng)的使用部門(mén)和各分支機(jī)構(gòu)。本辦法與

3、相關(guān)制度對(duì)應(yīng)關(guān)系如下第四章對(duì)應(yīng)*有限責(zé)任公司系統(tǒng)運(yùn)行維護(hù)實(shí)施細(xì)則須結(jié)合上述制度開(kāi)展工作。第五章對(duì)應(yīng)*有限責(zé)任公司網(wǎng)絡(luò)運(yùn)行維護(hù)實(shí)施細(xì)則須結(jié)合上述制度開(kāi)展工作。第六章對(duì)應(yīng)*有限責(zé)任公司辦公設(shè)備日常操作管理辦法、*計(jì)算機(jī)物品管理指導(dǎo)意見(jiàn)（試行）須結(jié)合上述制度開(kāi)展工作。第八章對(duì)應(yīng)*數(shù)據(jù)備份管理規(guī)定結(jié)合該制度開(kāi)展工作。第二章人員與崗位管理第一節(jié)人員基本要求與安全教育第六條 本辦法所稱(chēng)計(jì)算機(jī)安全人員，是指各級(jí)機(jī)構(gòu)專(zhuān)（兼）職計(jì)算機(jī)安全管理人員。第七條 計(jì)算機(jī)安全人員應(yīng)當(dāng)遵紀(jì)守法、政治過(guò)硬、業(yè)務(wù)精通、恪盡職守。違反國(guó)家法律、法規(guī)和受到行政處分的人員，不得從事計(jì)算機(jī)安全管理工作。第八條 計(jì)算機(jī)安全人員變動(dòng)，應(yīng)向

4、上級(jí)科技管理部門(mén)備案。第九條 營(yíng)業(yè)機(jī)構(gòu)對(duì)全體員工應(yīng)進(jìn)行計(jì)算機(jī)安全法律法規(guī)及相關(guān)規(guī)章制度的培訓(xùn)。第十條 計(jì)算機(jī)安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育、安全保密教育。第十一條 計(jì)算機(jī)安全教育由科技信息部負(fù)責(zé)實(shí)施。第二節(jié)計(jì)算機(jī)關(guān)鍵崗位人員安全管理第十二條 本辦法所稱(chēng)計(jì)算機(jī)信息系統(tǒng)關(guān)鍵崗位人員（簡(jiǎn)稱(chēng)關(guān)鍵崗位人員），是指與重要計(jì)算機(jī)信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開(kāi)發(fā)員、系統(tǒng)維護(hù)員、操作運(yùn)營(yíng)等崗位人員。第十三條 關(guān)鍵崗位人員上崗前，必須經(jīng)過(guò)人事部門(mén)的政治素質(zhì)審查，科技信息部的信息安全教育、業(yè)務(wù)操作技能考核，合格者方可上崗。第十四條 關(guān)鍵崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的

5、原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員不得操作任何業(yè)務(wù)；系統(tǒng)開(kāi)發(fā)人員不得兼任系統(tǒng)管理員。第十五條 崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及基層業(yè)務(wù)保密信息的關(guān)鍵崗位人員調(diào)離單位時(shí)，必須進(jìn)行離崗稽核，關(guān)鍵崗位人員在調(diào)離后應(yīng)繼續(xù)履行保密義務(wù)。第十六條 關(guān)鍵崗位人員離崗后，必須及時(shí)注銷(xiāo)其用戶(hù)，并更換相關(guān)密碼。第三節(jié)計(jì)算機(jī)崗位人員的安全責(zé)任第十七條 系統(tǒng)管理員安全責(zé)任1負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則。2嚴(yán)格用戶(hù)權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行。3認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向科技信息部負(fù)責(zé)人報(bào)告安全事件。4對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。第

6、十八條 網(wǎng)絡(luò)管理員安全責(zé)任1負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，檢測(cè)網(wǎng)絡(luò)運(yùn)行狀況，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則。2合理配置網(wǎng)絡(luò)應(yīng)用，嚴(yán)格控制網(wǎng)絡(luò)用戶(hù)訪問(wèn)權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行。3監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理鏈路，防范黑客入侵，及時(shí)向部門(mén)負(fù)責(zé)人報(bào)告安全事件。4對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。第十九條 開(kāi)發(fā)人員安全責(zé)任1系統(tǒng)開(kāi)發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)。2系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。3不得對(duì)系統(tǒng)設(shè)置“后門(mén)”。4對(duì)系統(tǒng)核心技術(shù)保密。第二十條 應(yīng)用系統(tǒng)、操作系統(tǒng)維護(hù)員安全責(zé)任1負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行。2不得擅自

7、改變系統(tǒng)功能及相關(guān)參數(shù)。3不得安裝與系統(tǒng)無(wú)關(guān)的其它計(jì)算機(jī)程序。4維護(hù)過(guò)程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告部門(mén)負(fù)責(zé)人。第二十一條 業(yè)務(wù)操作員安全責(zé)任1嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度。2不得向他人提供自己的操作密碼，柜員卡不得借給他人。3及時(shí)向科技信息部報(bào)告系統(tǒng)各種異常事件。第二十二條 各部門(mén)、營(yíng)業(yè)機(jī)構(gòu)計(jì)算機(jī)管理員責(zé)任1各部門(mén)、營(yíng)業(yè)機(jī)構(gòu)應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任本單位的計(jì)算機(jī)管理員或科技協(xié)管員，并報(bào)科技信息部備案。如有變更應(yīng)做好交接工作，并及時(shí)通知科技信息部。2各部門(mén)、營(yíng)業(yè)機(jī)構(gòu)計(jì)算機(jī)管理員或科技協(xié)管員要配合科技人員工作，并參加各項(xiàng)信息安全技能培訓(xùn)。3各部門(mén)、營(yíng)業(yè)機(jī)構(gòu)計(jì)算機(jī)管理員或科

8、技協(xié)管員負(fù)責(zé)本部門(mén)、本網(wǎng)點(diǎn)計(jì)算機(jī)病毒防治工作，監(jiān)督檢查本部門(mén)客戶(hù)端安全管理情況；負(fù)責(zé)提出本部門(mén)信息安全保障需求，及時(shí)與科技信息部溝通信息安全監(jiān)測(cè)情況；協(xié)助科技信息部完成對(duì)本部門(mén)的信息安全檢查工作。第四節(jié)一般計(jì)算機(jī)用戶(hù)的安全管理責(zé)任第二十三條 本辦法所稱(chēng)一般計(jì)算機(jī)用戶(hù)是指使用計(jì)算機(jī)設(shè)備的我行所有工作人員。第二十四條 一般計(jì)算機(jī)用戶(hù)應(yīng)承擔(dān)如下安全義務(wù)：1不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。2未經(jīng)科技信息部檢測(cè)和授權(quán)，不得將接入系統(tǒng)內(nèi)部網(wǎng)絡(luò)所用計(jì)算機(jī)轉(zhuǎn)接國(guó)際互聯(lián)網(wǎng)，不得將便攜式計(jì)算機(jī)接入總行內(nèi)部網(wǎng)絡(luò)，不得隨意將私人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。所造成的

9、后果和相關(guān)經(jīng)濟(jì)損失由本人承擔(dān)。第五節(jié)外來(lái)人員的安全管理第二十五條 各單位要針對(duì)不同的外來(lái)人員，制定相應(yīng)的安全策略，嚴(yán)格控制外來(lái)人員對(duì)我行信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、辦公主機(jī)、主機(jī)服務(wù)器的訪問(wèn)，外來(lái)人員對(duì)敏感的信息資產(chǎn)進(jìn)行訪問(wèn)時(shí)，應(yīng)與其簽訂安全保密協(xié)議，明確安全責(zé)任和義務(wù)。第二十六條 各單位必須做好外來(lái)人員的出入管理和陪同工作。第二十七條 嚴(yán)禁外來(lái)人員在未經(jīng)科技信息部允許的情況情況下通過(guò)辦公用戶(hù)網(wǎng)訪問(wèn)生產(chǎn)網(wǎng)絡(luò)。第二十八條 對(duì)需要長(zhǎng)期進(jìn)入各級(jí)單位工作的外公司人員，必須報(bào)外來(lái)人員管理部門(mén)審批，做好其工作區(qū)域的隔離和訪問(wèn)控制，并對(duì)訪問(wèn)過(guò)程進(jìn)行全程監(jiān)控、詳細(xì)記錄和及時(shí)審計(jì)。 第三章設(shè)備的安全管理第二十

10、九條 設(shè)備安全管理是指對(duì)所有保證系統(tǒng)正常運(yùn)行的主機(jī)設(shè)備、網(wǎng)絡(luò)通信設(shè)備及外圍設(shè)備的安全管理。第三十條 生產(chǎn)環(huán)境、測(cè)試環(huán)境、開(kāi)發(fā)環(huán)境的相關(guān)設(shè)備相互之間必須有明確的物理安全邊界，物理安全區(qū)必須有明確的標(biāo)志。 第三十一條 設(shè)備所在的物理安全區(qū)應(yīng)具備符合國(guó)家相關(guān)標(biāo)準(zhǔn)與規(guī)范的配電、照明、濕度、防水、防火、防雷及防盜等基本環(huán)境條件。第三十二條 對(duì)路由器、交換機(jī)、防火墻和主機(jī)服務(wù)器等設(shè)備必須采取嚴(yán)格的管理措施，未經(jīng)批準(zhǔn)不得隨意移動(dòng)和接入。第三十三條 設(shè)備安裝時(shí)，應(yīng)由相關(guān)技術(shù)人員制定詳細(xì)可行的操作步驟，其中關(guān)鍵設(shè)備的安裝必須請(qǐng)供貨廠商（代理商）技術(shù)人員現(xiàn)場(chǎng)支持。第三十四條 主機(jī)和網(wǎng)絡(luò)通信關(guān)鍵設(shè)備必須有備份，并處

11、于實(shí)時(shí)備用狀態(tài)。第三十五條 重要設(shè)備使用單位應(yīng)做好設(shè)備日常運(yùn)行維護(hù)工作：1做好設(shè)備的日常檢測(cè)、檢查、記錄，及時(shí)掌握設(shè)備的運(yùn)行狀況。2設(shè)備發(fā)生故障時(shí)應(yīng)及時(shí)維修，必要時(shí)，通知設(shè)備維護(hù)商的技術(shù)人員到場(chǎng)解決。3制定設(shè)備維護(hù)計(jì)劃，為維護(hù)的項(xiàng)目、步驟、周期、責(zé)任人等做出明確規(guī)定，并嚴(yán)格按照設(shè)備維護(hù)計(jì)劃定期進(jìn)行設(shè)備的保養(yǎng)和維護(hù)，做好設(shè)備維護(hù)記錄。第四章系統(tǒng)的安全管理第三十六條 本辦法所指的計(jì)算機(jī)系統(tǒng)是指*業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。第三十七條 系統(tǒng)規(guī)劃與立項(xiàng)要充分考慮系統(tǒng)的安全需求，系統(tǒng)建設(shè)要充分考慮實(shí)現(xiàn)安全功能，計(jì)算機(jī)安全管理部門(mén)應(yīng)對(duì)重要系統(tǒng)的立項(xiàng)進(jìn)

12、行安全性專(zhuān)項(xiàng)審查。第三十八條 系統(tǒng)選用的操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件等必須具備與系統(tǒng)相適應(yīng)的安全性。第三十九條 系統(tǒng)投入運(yùn)行前，必須進(jìn)行系統(tǒng)的安全評(píng)估與審批；對(duì)已投入運(yùn)行的系統(tǒng)需跟蹤進(jìn)行評(píng)估并根據(jù)評(píng)估結(jié)果不斷改進(jìn)和提高系統(tǒng)安全性。第四十條 系統(tǒng)運(yùn)行安全管理1嚴(yán)禁在生產(chǎn)系統(tǒng)上安裝編譯工具、應(yīng)用系統(tǒng)源程序及其他與系統(tǒng)業(yè)務(wù)無(wú)關(guān)的軟件。2備份系統(tǒng)與生產(chǎn)系統(tǒng)的系統(tǒng)構(gòu)成與配置應(yīng)保持一致，以保證生產(chǎn)系統(tǒng)出現(xiàn)故障時(shí)能順利切換。3嚴(yán)禁擅自修改系統(tǒng)參數(shù)，確需修改應(yīng)嚴(yán)格履行審批手續(xù)，由維護(hù)崗位人員實(shí)施，實(shí)施時(shí)應(yīng)有監(jiān)督，修改后的參數(shù)應(yīng)記錄在案。4嚴(yán)禁擅自對(duì)業(yè)務(wù)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行修改或恢復(fù)操作，確需操作時(shí)應(yīng)嚴(yán)格履行審

13、批手續(xù)，由相關(guān)崗位人員實(shí)施，并由有關(guān)人員監(jiān)督執(zhí)行。5對(duì)于系統(tǒng)軟件升級(jí)、應(yīng)用軟件升級(jí)或更新、系統(tǒng)切換、年終結(jié)轉(zhuǎn)、結(jié)息等重大事件操作，按*有限責(zé)任公司系統(tǒng)升級(jí)管理辦法由科技信息部從安全角度出發(fā)與業(yè)務(wù)部門(mén)密切配合，共同制定詳細(xì)的計(jì)劃和方案。第四十一條 做好系統(tǒng)的日常安全運(yùn)行維護(hù)工作，不斷完善系統(tǒng)運(yùn)行制度、日志管理制度、密碼密鑰管理制度、操作規(guī)程的安全管理制度等。定期對(duì)系統(tǒng)進(jìn)行備份，并對(duì)備份媒體按有關(guān)規(guī)定指定專(zhuān)人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份媒體必須異地保存。重要業(yè)務(wù)系統(tǒng)應(yīng)由業(yè)務(wù)部門(mén)制定計(jì)算機(jī)安全保護(hù)的應(yīng)急計(jì)劃，保證業(yè)務(wù)的不間斷運(yùn)行，并不斷完善應(yīng)急計(jì)劃。對(duì)涉密的應(yīng)用系統(tǒng)，應(yīng)嚴(yán)格執(zhí)行保密管理的有關(guān)規(guī)定。第

14、四十二條 各級(jí)運(yùn)行機(jī)構(gòu)必須做好對(duì)系統(tǒng)的安全監(jiān)測(cè)工作。非營(yíng)業(yè)機(jī)構(gòu)接入生產(chǎn)網(wǎng)，須向科技信息部申請(qǐng)，連接單獨(dú)設(shè)立的服務(wù)器。第四十三條 嚴(yán)格執(zhí)行系統(tǒng)廢止和銷(xiāo)毀的有關(guān)安全管理規(guī)定。第五章網(wǎng)絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)管理第四十四條 科技信息部應(yīng)持續(xù)建立健全網(wǎng)絡(luò)安全運(yùn)行制度，不斷健全*網(wǎng)絡(luò)運(yùn)行維護(hù)實(shí)施細(xì)則、*系統(tǒng)運(yùn)行維護(hù)實(shí)施細(xì)則、*計(jì)算機(jī)系統(tǒng)應(yīng)急預(yù)案等涉及到網(wǎng)絡(luò)方面的制度，并按制度開(kāi)展日常工作。第四十五條 應(yīng)配備專(zhuān)職網(wǎng)絡(luò)管理員。重要網(wǎng)絡(luò)設(shè)備應(yīng)放置在機(jī)房?jī)?nèi)，由網(wǎng)絡(luò)管理員負(fù)責(zé)管理。其他人員不得對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行任何操作。網(wǎng)管設(shè)備屬專(zhuān)管設(shè)備，必須嚴(yán)格控制其管理員密碼。第四十六條 重要網(wǎng)絡(luò)通信硬件設(shè)施、網(wǎng)管應(yīng)用軟件設(shè)施及網(wǎng)

15、絡(luò)參數(shù)配置應(yīng)有備份，按*數(shù)據(jù)備份管理規(guī)定執(zhí)行備份有關(guān)工作。 第四十七條 新建網(wǎng)絡(luò)、網(wǎng)絡(luò)改造或變更在投入使用前，科技信息部應(yīng)制訂相應(yīng)的網(wǎng)絡(luò)安全防范措施，組織對(duì)新建網(wǎng)絡(luò)或改造后網(wǎng)絡(luò)實(shí)施安全檢驗(yàn)，未通過(guò)檢驗(yàn)不允許投產(chǎn)使用。第四十八條 網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書(shū)面請(qǐng)示本部門(mén)主管領(lǐng)導(dǎo)，改變網(wǎng)絡(luò)路由配置和通信地址等參數(shù)的操作，必須具有包括時(shí)間、目的、內(nèi)容及維護(hù)人員等要素的書(shū)面記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門(mén)并安排在節(jié)假日進(jìn)行，同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第四十九條 網(wǎng)絡(luò)管理員應(yīng)按照省聯(lián)社統(tǒng)一發(fā)布安全規(guī)范實(shí)施所負(fù)責(zé)網(wǎng)絡(luò)的安全配置，并定期

16、檢查與規(guī)范的符合性。對(duì)網(wǎng)絡(luò)設(shè)備配置命令和響應(yīng)信息的完整性、合理性及保密性必須進(jìn)行驗(yàn)證。第五十條 與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護(hù)措施，提出具體實(shí)施方案，并得到充分論證，經(jīng)過(guò)科技信息部審核通過(guò)方可實(shí)施。第五十一條 網(wǎng)絡(luò)管理人員應(yīng)隨時(shí)掌握監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀況，定期檢查網(wǎng)絡(luò)狀況，雙機(jī)熱備對(duì)獲得的信息進(jìn)行分析，發(fā)現(xiàn)安全隱患應(yīng)報(bào)告部門(mén)負(fù)責(zé)人。第五十二條 網(wǎng)絡(luò)掃描、監(jiān)測(cè)結(jié)果和網(wǎng)絡(luò)運(yùn)行日志等重要信息應(yīng)備份存儲(chǔ)。第五十三條 聯(lián)網(wǎng)計(jì)算機(jī)應(yīng)定期進(jìn)行查、殺病毒操作，發(fā)現(xiàn)計(jì)算機(jī)病毒，應(yīng)及時(shí)處理。第五十四條 科技信息部人員嚴(yán)禁超越網(wǎng)絡(luò)管理權(quán)限，非法操作業(yè)務(wù)數(shù)據(jù)信息，不得擅自設(shè)置路由與非相關(guān)網(wǎng)絡(luò)進(jìn)行連接

17、。第五十五條 按照我行制定的相關(guān)網(wǎng)絡(luò)安全技術(shù)規(guī)范要求，對(duì)辦公用戶(hù)網(wǎng)、測(cè)試網(wǎng)與生產(chǎn)網(wǎng)絡(luò)實(shí)施嚴(yán)格的物理、邏輯隔離措施。第五十六條 對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)通信設(shè)備的停用、維修、重用和作廢環(huán)節(jié)，應(yīng)建立安全機(jī)制有效清除或銷(xiāo)毀敏感信息，防止泄露。第二節(jié)內(nèi)網(wǎng)的使用管理第五十七條 由總行辦公室(黨辦)統(tǒng)一為各級(jí)機(jī)構(gòu)、各專(zhuān)業(yè)分配內(nèi)部網(wǎng)絡(luò)電子郵箱和即時(shí)通訊軟件工具賬號(hào)，用于日常信息傳遞。第五十八條 由總行辦公室(黨辦)統(tǒng)一為各機(jī)構(gòu)、各部門(mén)分配內(nèi)部相關(guān)群組，用于實(shí)時(shí)信息傳遞。第五十九條 加強(qiáng)內(nèi)網(wǎng)操作人員權(quán)限管理，嚴(yán)格按照權(quán)限規(guī)定辦理業(yè)務(wù)，無(wú)關(guān)人員禁止使用內(nèi)網(wǎng)。第六十條 接入內(nèi)網(wǎng)的計(jì)算機(jī)未經(jīng)科技信息部允許不準(zhǔn)安裝其它軟件

18、。第六十一條 接入內(nèi)網(wǎng)的計(jì)算機(jī)禁止使用各種游戲、娛樂(lè)軟件。第六十二條 嚴(yán)禁擅自將我行內(nèi)網(wǎng)與外網(wǎng)直接連接。（一）我行內(nèi)網(wǎng)與企業(yè)外單位網(wǎng)絡(luò)利用專(zhuān)線進(jìn)行互連的方案，必須報(bào)我行總行科技信息部審批，經(jīng)省聯(lián)社相關(guān)部門(mén)同意后方可實(shí)施；（二）我行專(zhuān)用網(wǎng)絡(luò)與INTERNET互聯(lián)網(wǎng)連接的方案，必須報(bào)總行科技信息部審批。不得同一臺(tái)主機(jī)進(jìn)行內(nèi)外網(wǎng)切換，嚴(yán)格保持內(nèi)、外網(wǎng)物理隔離。 第六十三條 內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備用戶(hù)訪問(wèn)內(nèi)網(wǎng)網(wǎng)絡(luò)資源應(yīng)經(jīng)過(guò)安全認(rèn)證、合理授權(quán)。認(rèn)證應(yīng)采用高安全強(qiáng)度的認(rèn)證方式，對(duì)用戶(hù)的權(quán)限應(yīng)合理規(guī)劃，實(shí)現(xiàn)角色的分離和相互制約，限制用戶(hù)權(quán)限尤其是超級(jí)用戶(hù)權(quán)限的濫用和誤用。 第六十四條 防火墻策略的制定要嚴(yán)格按照相關(guān)

19、網(wǎng)絡(luò)技術(shù)規(guī)范進(jìn)行，防火墻策略的變更應(yīng)經(jīng)過(guò)科技部部門(mén)審批。利用防火墻、防病毒、安全漏洞掃描、網(wǎng)絡(luò)非法外聯(lián)、網(wǎng)絡(luò)入侵檢測(cè)等軟件和工具對(duì)獲得的信息進(jìn)行分析時(shí)，如發(fā)現(xiàn)安全事件，必須按照規(guī)定及時(shí)處理和報(bào)告，并對(duì)其日志進(jìn)行保存和審計(jì)。 第六十五條 嚴(yán)禁外單位（包括供應(yīng)商和服務(wù)商等）通過(guò)專(zhuān)線或撥號(hào)方式對(duì)我行信息系統(tǒng)進(jìn)行遠(yuǎn)程維護(hù)和技術(shù)支持。第三節(jié)接入國(guó)際互聯(lián)網(wǎng)管理第六十六條 各級(jí)機(jī)構(gòu)辦公場(chǎng)所禁止私自用各種方式接入互聯(lián)網(wǎng)。確有特殊需要接入互聯(lián)網(wǎng)的部門(mén)，必須由部門(mén)負(fù)責(zé)人提出書(shū)面申請(qǐng)，經(jīng)主管領(lǐng)導(dǎo)審批，報(bào)科技信息部備案，方可接入。并嚴(yán)格保持內(nèi)、外網(wǎng)物理隔離。第六十七條 使用國(guó)際互聯(lián)網(wǎng)的安全管理1 接入國(guó)際互聯(lián)網(wǎng)的機(jī)器

20、不得存有涉密金融數(shù)據(jù)信息，接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上不得使用存有涉密金融數(shù)據(jù)信息的媒體。2從國(guó)際互聯(lián)網(wǎng)下載的任何信息資源，未經(jīng)檢測(cè)并得到許可，不得在本行系統(tǒng)內(nèi)網(wǎng)上使用。禁止訪問(wèn)或下載與工作無(wú)關(guān)的信息，禁止訪問(wèn)高風(fēng)險(xiǎn)網(wǎng)站，禁止安裝、使用各類(lèi)游戲、娛樂(lè)軟件。3接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)須安裝防病毒系統(tǒng)，并定期升級(jí)。嚴(yán)禁利用互聯(lián)網(wǎng)絡(luò)傳播病毒、散播非法信息、泄露國(guó)家和機(jī)構(gòu)的機(jī)密。5本單位所屬的國(guó)際互聯(lián)網(wǎng)賬號(hào)不得在本單位之外的其它場(chǎng)所使用。6國(guó)際互聯(lián)網(wǎng)接入賬戶(hù)和密碼必須實(shí)行專(zhuān)人管理，并不定期更換密碼。7確有需要接入國(guó)際互聯(lián)網(wǎng)的部門(mén)必須由負(fù)責(zé)人提出書(shū)面申請(qǐng)，送科技信息部初審，報(bào)分管行領(lǐng)導(dǎo)簽批同意后方可接入。8使

21、用國(guó)際互聯(lián)網(wǎng)的所有用戶(hù)應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。9. 無(wú)線網(wǎng)絡(luò)只允許訪問(wèn)國(guó)際互聯(lián)網(wǎng)，嚴(yán)禁通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)業(yè)務(wù)運(yùn)行類(lèi)系統(tǒng)，無(wú)線網(wǎng)絡(luò)的應(yīng)用開(kāi)通范圍需由本單位安全管理崗審核。第六十八條 各使用部門(mén)應(yīng)自覺(jué)接受總行信息安全工作領(lǐng)導(dǎo)小組的監(jiān)督檢查。第六章 計(jì)算機(jī)安全保密管理第一節(jié)計(jì)算機(jī)及相關(guān)產(chǎn)品安全管理第六十九條 涉密計(jì)算機(jī)要與公用網(wǎng)絡(luò)實(shí)行物理隔離，不得與因特網(wǎng)、非保密的局域網(wǎng)、非涉密的單機(jī)等有任何形式的物理連接。 第七十條 涉密計(jì)算機(jī)的使用要由專(zhuān)人負(fù)責(zé)管理，建立專(zhuān)門(mén)用戶(hù)，并設(shè)立密碼。第七十一條 計(jì)算機(jī)須安裝具有實(shí)時(shí)監(jiān)控病毒功能的防毒軟件和防火墻產(chǎn)品，并及時(shí)升級(jí)。利用

22、防毒軟件，對(duì)需要在計(jì)算機(jī)使用的外來(lái)軟盤(pán)、光盤(pán)等存儲(chǔ)介質(zhì)、下載的網(wǎng)絡(luò)文件、電子郵件及其附件等進(jìn)行病毒檢查、清除。 第七十二條 任何單位或個(gè)人不得在連接互聯(lián)網(wǎng)的計(jì)算機(jī)或網(wǎng)絡(luò)中存儲(chǔ)、處理、傳遞、發(fā)布涉及國(guó)家秘密以及*內(nèi)部商業(yè)秘密的信息，當(dāng)發(fā)現(xiàn)信息泄漏，應(yīng)立即向有關(guān)部門(mén)報(bào)告。第七十三條 進(jìn)行互聯(lián)網(wǎng)連接的單位和個(gè)人，應(yīng)遵守國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用計(jì)算機(jī)國(guó)際互聯(lián)網(wǎng)從事危害國(guó)家安全、泄漏國(guó)家秘密等違法犯罪活動(dòng)；不得利用計(jì)算機(jī)國(guó)際互聯(lián)網(wǎng)進(jìn)行搜集、整理、竊取國(guó)家秘密的活動(dòng)。第七十四條 各級(jí)單位和用戶(hù)原則上不準(zhǔn)開(kāi)設(shè)電子公告系統(tǒng)、聊天室等，如確有需要必須上報(bào)有關(guān)部門(mén)審批、備案。第七十五條

23、用戶(hù)使用電子郵件進(jìn)行網(wǎng)上信息交流應(yīng)遵守國(guó)家有關(guān)保密規(guī)定，不得利用電子郵件傳遞、轉(zhuǎn)發(fā)或抄送涉密信息。互聯(lián)單位、接入單位如有郵件服務(wù)器，對(duì)其管理的郵件服務(wù)器用戶(hù)應(yīng)當(dāng)明確保守國(guó)家秘密的要求。第七十六條 對(duì)于建立主頁(yè)的單位，應(yīng)與保密部門(mén)簽訂保密責(zé)任協(xié)議，并協(xié)助保密部門(mén)對(duì)其主頁(yè)內(nèi)容進(jìn)行保密監(jiān)督、檢查，指定專(zhuān)人負(fù)責(zé)對(duì)信息內(nèi)容的監(jiān)督審查。第七十七條 由省計(jì)算機(jī)中心負(fù)責(zé)開(kāi)發(fā)的軟件產(chǎn)品、密鑰及技術(shù)資料等要進(jìn)行登記并妥善保管，嚴(yán)防泄漏，指定專(zhuān)人管理已開(kāi)發(fā)的全部程序源碼和技術(shù)資料，未經(jīng)科技信息部主管領(lǐng)導(dǎo)批準(zhǔn)，不得向外復(fù)制、銷(xiāo)售、轉(zhuǎn)讓軟件產(chǎn)品。第七十八條 對(duì)于操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)通訊及安全設(shè)備等重要區(qū)域均應(yīng)設(shè)置口令

24、，對(duì)記錄密碼的載體應(yīng)嚴(yán)格管理，確保安全。第二節(jié) 數(shù)據(jù)信息的管理第七十九條 計(jì)算機(jī)的存儲(chǔ)媒體要依據(jù)文件內(nèi)容準(zhǔn)確界定并標(biāo)注涉密介質(zhì)的密級(jí)和保密期限，按照所標(biāo)密級(jí)和保密期限嚴(yán)格管理。密級(jí)和保密期限的界定標(biāo)注方法等同于同內(nèi)容的紙質(zhì)文件。第八十條 必須加強(qiáng)數(shù)據(jù)信息處理全過(guò)程的安全管理，保證數(shù)據(jù)信息的保密性、完整性、可用性、可控性。數(shù)據(jù)信息的安全管理應(yīng)做到：1嚴(yán)把數(shù)據(jù)信息采集關(guān)，確保真實(shí)、可靠、合法。2據(jù)實(shí)錄入數(shù)據(jù)信息，嚴(yán)禁憑空輸入，對(duì)數(shù)據(jù)信息的修改，必須得到有關(guān)部門(mén)的批準(zhǔn)，并記錄備案。3必須采用必要的技術(shù)措施保證數(shù)據(jù)信息傳輸過(guò)程的安全，應(yīng)使用加密技術(shù)對(duì)涉密或重要的數(shù)據(jù)信息實(shí)施加密處理。4使用部門(mén)應(yīng)按規(guī)定

25、進(jìn)行數(shù)據(jù)備份，并檢查備份媒體的有效性，送往異地的重要數(shù)據(jù)磁盤(pán)、磁帶必須有加密措施，嚴(yán)防泄漏。5在設(shè)備維修、報(bào)廢過(guò)程中，要確保其中的數(shù)據(jù)信息的保密性、完整性。第八十一條 涉密媒體包括記錄檔案資料、軟件、數(shù)據(jù)等的各種載體。保證涉密媒體信息的安全應(yīng)做到：1各種媒體的收集、保管、使用須按科技檔案管理辦法執(zhí)行。2嚴(yán)格分級(jí)管理，在媒體使用上，根據(jù)媒體的密級(jí)，要做到分級(jí)使用、定人操作，保留在現(xiàn)場(chǎng)的媒體數(shù)量應(yīng)是系統(tǒng)有效運(yùn)行所需要的最小數(shù)量。3涉密數(shù)據(jù)在系統(tǒng)進(jìn)行下載存貯過(guò)程中必須采取相應(yīng)的加密技術(shù)措施。4涉密媒體的保管要防磁、防潮、防腐、防霉變，重要磁介質(zhì)每年要進(jìn)行翻錄或復(fù)制，實(shí)行異地保管，時(shí)限四年。5涉密媒體

26、的傳遞與外借，應(yīng)有審批手續(xù)和傳遞記錄，涉密媒體傳遞過(guò)程中，要采取必要的防復(fù)制及加密等安全措施。6涉密媒體必須按照有關(guān)保密管理規(guī)定進(jìn)行管理，嚴(yán)格錄入、查詢(xún)、復(fù)制、傳遞、保管、歸檔、銷(xiāo)毀等各環(huán)節(jié)的手續(xù)；同一媒體上不得混錄密和非密信息，如果必須同時(shí)錄用不同密級(jí)的信息，應(yīng)按存儲(chǔ)信息的較高密級(jí)進(jìn)行管理并標(biāo)明密級(jí)。7媒體要根據(jù)需要與存儲(chǔ)環(huán)境定期進(jìn)行循環(huán)復(fù)制備份，并進(jìn)行登記；全部涉密媒體信息的轉(zhuǎn)交、挪動(dòng)和銷(xiāo)毀，相關(guān)人員均須在場(chǎng)。8廢棄媒體，相關(guān)部門(mén)應(yīng)詳細(xì)登記，妥善保管，每年底報(bào)請(qǐng)分管領(lǐng)導(dǎo)批準(zhǔn)后，集中統(tǒng)一在保密管理人員監(jiān)督下進(jìn)行不可恢復(fù)性銷(xiāo)毀。第八十二條 金融電子化系統(tǒng)中的信息應(yīng)根據(jù)其重要性、密級(jí)、應(yīng)用需求等

27、分別實(shí)行相應(yīng)的加密措施。對(duì)絕密級(jí)(金融電子化設(shè)計(jì)方案、金融主要業(yè)務(wù)的源代碼、聯(lián)行或電子匯兌密押、密鑰的文字說(shuō)明等),機(jī)密級(jí)（計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)方案、數(shù)據(jù)庫(kù)設(shè)計(jì)說(shuō)明、有關(guān)電子帳務(wù)數(shù)據(jù)文件、主要業(yè)務(wù)的目標(biāo)程序等）,秘密級(jí)（省市級(jí)項(xiàng)目電報(bào)、會(huì)計(jì)報(bào)表、銀行重要憑證及帳務(wù)等）等信息不得通過(guò)互聯(lián)網(wǎng)傳送，機(jī)密信息不得以明文形式傳送。第三節(jié)數(shù)據(jù)備份與恢復(fù)第八十三條 省計(jì)算機(jī)中心負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)方面的備份及恢復(fù)。各業(yè)務(wù)部門(mén)負(fù)責(zé)本部門(mén)重要業(yè)務(wù)數(shù)據(jù)和資料方面的備份和恢復(fù)。第八十四條 要確認(rèn)備份操作準(zhǔn)確無(wú)誤后進(jìn)行備份操作。各業(yè)務(wù)部門(mén)應(yīng)將計(jì)算機(jī)信息數(shù)據(jù)備份媒體視同重要空白憑證，指定專(zhuān)人負(fù)責(zé)備份數(shù)據(jù)媒體的管理。備份數(shù)據(jù)媒體

28、應(yīng)按要求寫(xiě)明標(biāo)識(shí)，要確保存放地的安全，并定期進(jìn)行檢查，確保數(shù)據(jù)的完整性、可用性。第七章第三方訪問(wèn)和外包服務(wù)安全管理第一節(jié)第三方訪問(wèn)控制第八十五條 本辦法所稱(chēng)第三方訪問(wèn)是指*之外的單位和個(gè)人物理訪問(wèn)省計(jì)算機(jī)中心機(jī)房或者通過(guò)網(wǎng)絡(luò)連接邏輯訪問(wèn)省計(jì)算機(jī)中心數(shù)據(jù)庫(kù)和計(jì)算機(jī)系統(tǒng)等活動(dòng)。第八十六條 省計(jì)算機(jī)中心負(fù)責(zé)涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批，科技信息部負(fù)責(zé)非涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批。未經(jīng)*授權(quán)的任何第三方訪問(wèn)均視為非法入侵行為。第八十七條 允許被第三方訪問(wèn)的計(jì)算機(jī)系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶(hù)名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。第八十八條 獲得第

29、三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與省計(jì)算機(jī)中心簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露*的任何信息。第二節(jié)外包服務(wù)管理第八十九條 本辦法所稱(chēng)外包服務(wù)是指由*之外的其他社會(huì)廠商為*計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢(xún)等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。第九十條 經(jīng)科技信息部主管領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門(mén)維修服務(wù)并由*科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離*。第九十一條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，應(yīng)徹底清除所存工作信息，與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前

30、必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。第八章計(jì)算機(jī)病毒防范的安全管理第九十二條 必須指定專(zhuān)人定期用防病毒軟件查殺本單位計(jì)算機(jī)信息系統(tǒng)，并做檢測(cè)、清除的記錄；必須按有關(guān)操作規(guī)定定期更新防病毒產(chǎn)品版本。從計(jì)算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或購(gòu)置、維修、接入計(jì)算機(jī)設(shè)備時(shí)，應(yīng)當(dāng)進(jìn)行計(jì)算機(jī)病毒檢測(cè)。第九十三條 必須采用有公安部“銷(xiāo)售許可”標(biāo)志的防病毒產(chǎn)品，對(duì)本單位的病毒防治產(chǎn)品或系統(tǒng)必須有專(zhuān)人管理，并由科技檔案管理人員妥善保存產(chǎn)品媒體及其備份。 第九十四條 對(duì)于生產(chǎn)網(wǎng)使用的計(jì)算機(jī)，各級(jí)單位必須根據(jù)總行科技信息部的部署，安裝統(tǒng)一的防火墻、防病毒、入侵監(jiān)測(cè)、安全漏洞掃描

31、等安全產(chǎn)品。第九十五條 不得制作、傳播計(jì)算機(jī)病毒。對(duì)因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故要逐級(jí)向計(jì)算機(jī)管理部門(mén)報(bào)告。第九章 信息通報(bào)與災(zāi)難備份第一節(jié)信息通報(bào)第九十六條 各支行應(yīng)對(duì)網(wǎng)點(diǎn)信息安全事件實(shí)行報(bào)告制度。一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱(chēng)“重大信息安全事件”）發(fā)生后的20分鐘內(nèi)逐級(jí)報(bào)省計(jì)算機(jī)中心及相關(guān)部門(mén)，省計(jì)算機(jī)中心主管領(lǐng)導(dǎo)決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。第九十七條 重大信息安全事件發(fā)生后，各機(jī)構(gòu)相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)，采取必要的控制措施，調(diào)查事件原因，并及時(shí)

32、報(bào)告本單位主管領(lǐng)導(dǎo)。第二節(jié)災(zāi)難備份管理第九十八條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱(chēng)“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。第九十九條 由省計(jì)算機(jī)中心按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。第一百條 應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃，定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由相關(guān)部門(mén)統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。第十章 安全監(jiān)

33、測(cè)、檢查、評(píng)估與審計(jì)第一節(jié)安全監(jiān)測(cè)第一百零一條 科技信息部要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并逐級(jí)上報(bào)省計(jì)算機(jī)中心。第二節(jié)安全檢查第一百零二條 科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專(zhuān)項(xiàng)檢查，檢查方式可以是自查、互查或上級(jí)檢查等多種方式。第一百零三條 在開(kāi)展安全檢查前應(yīng)以安全管理制度為依據(jù)，制定詳細(xì)的檢查方案和計(jì)劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位，要求限期整改的，需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。第一百零四條 參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任

34、。所有檢查報(bào)告和資料應(yīng)作為我行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié)安全評(píng)估第一百零五條 科技信息部可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式對(duì)轄內(nèi)信息系統(tǒng)進(jìn)行安全評(píng)估。第一百零六條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)科技信息部主管領(lǐng)導(dǎo)。第一百零七條 如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)報(bào)省計(jì)算機(jī)中心批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。第一百零八條 應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第四節(jié)安全審計(jì)第一百零九條 科技信

35、息部在支持與配合內(nèi)審部門(mén)開(kāi)展審計(jì)信息安全工作的同時(shí)，應(yīng)適時(shí)開(kāi)展轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì)。第十一章 訪問(wèn)控制策略第一節(jié) 對(duì)系統(tǒng)的訪問(wèn)驗(yàn)證策略第一百一十條 操作員管理，操作員在不同的系統(tǒng)中定義可能會(huì)有區(qū)別，比如在柜臺(tái)交易系統(tǒng)的主要操作員為營(yíng)業(yè)部的柜員。1、應(yīng)用系統(tǒng)有操作員管理模塊，單獨(dú)對(duì)操作員的信息、密碼、權(quán)限等進(jìn)行管理。2、操作員進(jìn)入任何應(yīng)用系統(tǒng)模塊之前，先經(jīng)過(guò)用戶(hù)身份認(rèn)證。3、應(yīng)用系統(tǒng)檢測(cè)身份認(rèn)證不成功的次數(shù)，當(dāng)達(dá)到或超過(guò)定義的不成功次數(shù)時(shí)，系統(tǒng)拒絕用戶(hù)進(jìn)入系統(tǒng)并進(jìn)行記錄。4、操作員對(duì)系統(tǒng)的操作對(duì)象有單獨(dú)的權(quán)限控制。5、操作員對(duì)系統(tǒng)的功能（通常體現(xiàn)為菜單），應(yīng)該

36、有單獨(dú)的權(quán)限控制。第一百一十一條 管理員操作系統(tǒng)的訪問(wèn) 1、UNIX系統(tǒng)使用SSH登錄系統(tǒng)。2、進(jìn)入操作系統(tǒng)必須執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定為自動(dòng)登錄。3、記錄登錄成功與失敗的日志。4、登錄后5分鐘內(nèi)未有任何操作，系統(tǒng)將自動(dòng)斷開(kāi)（遠(yuǎn)程登錄）、退出（本地登錄）或鎖定。5、日常非系統(tǒng)管理操作時(shí)，只能以普通用戶(hù)登錄。6、啟用操作系統(tǒng)的密碼管理策略（如密碼至少8位，字母數(shù)字組合等），保證用戶(hù)密碼的安全性。7、針對(duì)系統(tǒng)需要，啟用相應(yīng)的日志記錄包括：登錄、登出，系統(tǒng)報(bào)警，安全日志，重要應(yīng)用程序日志，重要文件訪問(wèn)日志。為保證日志的準(zhǔn)確性，應(yīng)正確設(shè)置計(jì)算機(jī)時(shí)鐘。8、對(duì)于系統(tǒng)管理的程序或工具必須設(shè)置日志，記錄使

37、用情況，包括：用戶(hù)、時(shí)間、操作等。9、發(fā)現(xiàn)違反安全訪問(wèn)策略的情況，及時(shí)處理，并通知當(dāng)事人，必要時(shí)進(jìn)行懲罰。第一百一十二條 無(wú)人值守的用戶(hù)設(shè)備驗(yàn)證策略對(duì)于無(wú)人值守的用戶(hù)設(shè)備必須設(shè)置自動(dòng)屏保程序，同時(shí)要求用戶(hù)在離開(kāi)時(shí)將屏幕鎖住。當(dāng)?shù)卿浀揭粋€(gè)系統(tǒng)完成任務(wù)，或長(zhǎng)時(shí)間不使用時(shí)要從系統(tǒng)注銷(xiāo)。終端暫時(shí)不用時(shí)，應(yīng)使用密碼屏幕保護(hù)安全，長(zhǎng)時(shí)間不用時(shí)要關(guān)閉計(jì)算機(jī)。第2節(jié) 對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制策略 第一百一十三條 本行網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)和部署必須嚴(yán)格遵守網(wǎng)絡(luò)訪問(wèn)控制的相關(guān)要求。所有訪問(wèn)或接入本行生產(chǎn)網(wǎng)絡(luò)的各類(lèi)設(shè)備必須滿(mǎn)足科技信息部門(mén)頒布的技術(shù)標(biāo)準(zhǔn)，根據(jù)省聯(lián)社統(tǒng)一制度的技術(shù)標(biāo)準(zhǔn)采取必要的網(wǎng)絡(luò)接入控制措施，禁止非授權(quán)終端的

38、網(wǎng)絡(luò)接入，并受科技信息部門(mén)的統(tǒng)一管理。 第一百一十四條 所有網(wǎng)絡(luò)設(shè)備的登陸密碼以及各類(lèi)網(wǎng)絡(luò)服務(wù)密碼均應(yīng)被嚴(yán)格保護(hù)，禁止任何形式的“設(shè)備原始通用密碼”或啟用自動(dòng)登陸程序，并不得違規(guī)向未授權(quán)機(jī)構(gòu)及個(gè)人披露。 第二節(jié) 賬號(hào)密碼驗(yàn)證策略第一百一十五條 *各系統(tǒng)賬號(hào)和密碼由各業(yè)務(wù)部門(mén)管理和設(shè)定，包括核算中心管理綜合業(yè)務(wù)系統(tǒng)、風(fēng)險(xiǎn)管理部管理信貸管理系統(tǒng)、辦公室管理OA辦公自動(dòng)化系統(tǒng)、電子銀行部管理網(wǎng)上銀行內(nèi)管系統(tǒng)，為各系統(tǒng)用戶(hù)設(shè)置初始密碼。總行科技信息部系統(tǒng)管理員負(fù)責(zé)監(jiān)督和保密管理?？傂锌萍夹畔⒉控?fù)責(zé)解釋*辦公、生產(chǎn)網(wǎng)絡(luò)上賬號(hào)規(guī)則和標(biāo)準(zhǔn)。第一百一十六條 作為用于臨時(shí)性、數(shù)據(jù)測(cè)試賬號(hào)，要與正式賬號(hào)區(qū)分開(kāi)，并

39、保證不能登錄運(yùn)行中的辦公、業(yè)務(wù)生產(chǎn)網(wǎng)絡(luò)，在到期或測(cè)試結(jié)束時(shí)應(yīng)及時(shí)將該賬號(hào)刪除。第一百一十七條 *系統(tǒng)管理員密碼須定期更換，更換后的密碼留存紙質(zhì)記錄，由專(zhuān)人按絕密數(shù)據(jù)保管。第一百一十八條 賬號(hào)驗(yàn)證管理（一）賬號(hào)命名規(guī)則。1、*密碼由大小寫(xiě)字母、數(shù)字和特殊符號(hào)組成，要求8位以上，并且有一定的復(fù)雜性。所有用戶(hù)最少要有8個(gè)字符，必須由字母、數(shù)字以及特殊字符組成。2、普通用戶(hù)至少每三個(gè)月更改一次密碼，免再次使用舊密碼或循環(huán)使用舊密碼。3、首次登錄時(shí)應(yīng)更改初始密碼。（二）賬號(hào)申領(lǐng)1、只有授權(quán)用戶(hù)才可以申請(qǐng)系統(tǒng)賬號(hào)，賬號(hào)相應(yīng)的權(quán)限應(yīng)該以滿(mǎn)足用戶(hù)需要為原則，不得有與用戶(hù)職責(zé)無(wú)關(guān)的權(quán)限。2、一人一賬號(hào)，以便將用

40、戶(hù)與其操作聯(lián)系起來(lái)，使用戶(hù)對(duì)其操作負(fù)責(zé)。3、管理員必須維護(hù)對(duì)注冊(cè)使用服務(wù)的所有用戶(hù)的正式記錄。4、用戶(hù)因工作變更或離開(kāi)公司時(shí)，管理員要及時(shí)取消或者鎖定其所有賬號(hào)，對(duì)于無(wú)法鎖定或者刪除的用戶(hù)賬號(hào)采用更改密碼等相應(yīng)的措施規(guī)避該風(fēng)險(xiǎn)。（三）賬號(hào)管理規(guī)范不允許將個(gè)人使用的賬號(hào)告知他人。個(gè)人計(jì)算機(jī)系統(tǒng)中不允許有不明用途的賬號(hào)存在。員工在暫時(shí)離開(kāi)自己的計(jì)算機(jī)時(shí)，必須將自己的計(jì)算機(jī)鎖定。第一百一十九條 密碼驗(yàn)證管理（一）密碼選取用戶(hù)應(yīng)該有意識(shí)地選擇強(qiáng)壯的密碼（即難以破解和猜測(cè)的密碼），不要使用弱密碼。1、弱密碼有以下特征：密碼長(zhǎng)度少于6個(gè)字符；密碼是可以在字典中直接發(fā)現(xiàn)的單詞密碼比較常見(jiàn)，例如：家人名字、朋友名字、同事名字等等；計(jì)算機(jī)名字、術(shù)語(yǔ)、公司名字、地名、硬件或軟件名稱(chēng)：生日、個(gè)人信息、家庭地址、電話：某種模式的，例如aaabbb、asdfgh、123456、123321等等：任何上面一種方式倒過(guò)來(lái)寫(xiě)；任何上面一種方式帶了一個(gè)數(shù)字。2、強(qiáng)壯的密碼具備以下特征： 同時(shí)具備大寫(xiě)和小寫(xiě)字符 ；8個(gè)字符或者以上 ；不是字典上的單詞或者漢語(yǔ)拼音 ；不基于個(gè)