信息安全管理辦法

1、*有限責任公司信息安全管理辦法第一章總則第一條 為了加強*有限責任公司（以下簡稱：我行）計算機信息系統(tǒng)安全保護工作，確保我行計算機信息系統(tǒng)安全、穩(wěn)定、高效運行，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、金融機構(gòu)計算機信息安全保護工作暫行規(guī)定等有關(guān)法律、法規(guī)，結(jié)合自身實際制定本辦法。第二條 *有限責任公司計算機信息系統(tǒng)安全管理工作的指導方針是“預(yù)防為主，安全第一，依法辦事，綜合治理”。其中“預(yù)防為主”是計算機安全管理工作的基本方針。第三條 *有限責任公司計算機信息系統(tǒng)安全工作實行統(tǒng)一領(lǐng)導和分級管理。按照“誰主管誰負責、誰運行誰負責，誰使用誰負責”的原則，逐級落實單位與個人信息安全責任制。第四

2、條 成立計算機信息安全管理工作領(lǐng)導小組，由科技、財會、保衛(wèi)、稽核、辦公室、電子銀行等部門組成，實行一把手負責制，計算機信息安全管理工作領(lǐng)導小組負責組織、協(xié)調(diào)、監(jiān)督和檢查我行計算機安全管理工作。第五條 權(quán)限說明：*有限責任公司作為吉林省農(nóng)村信用聯(lián)合社（以下簡稱:省聯(lián)社）信息系統(tǒng)平臺的終端使用者，享有使用其系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)等其他IT資源的權(quán)利，吉林省農(nóng)村信用聯(lián)合社享有開發(fā)、管理、控制其系統(tǒng)、數(shù)據(jù)庫的權(quán)利，當出現(xiàn)各種事故時由*向吉林省農(nóng)村信用聯(lián)合社進行通知報告，系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)等故障根據(jù)事故級別情況由吉林省農(nóng)村信用聯(lián)合社進行處理解決。本辦法適用于*計算機設(shè)備、系統(tǒng)的使用部門和各分支機構(gòu)。本辦法與

3、相關(guān)制度對應(yīng)關(guān)系如下第四章對應(yīng)*有限責任公司系統(tǒng)運行維護實施細則須結(jié)合上述制度開展工作。第五章對應(yīng)*有限責任公司網(wǎng)絡(luò)運行維護實施細則須結(jié)合上述制度開展工作。第六章對應(yīng)*有限責任公司辦公設(shè)備日常操作管理辦法、*計算機物品管理指導意見（試行）須結(jié)合上述制度開展工作。第八章對應(yīng)*數(shù)據(jù)備份管理規(guī)定結(jié)合該制度開展工作。第二章人員與崗位管理第一節(jié)人員基本要求與安全教育第六條 本辦法所稱計算機安全人員，是指各級機構(gòu)專（兼）職計算機安全管理人員。第七條 計算機安全人員應(yīng)當遵紀守法、政治過硬、業(yè)務(wù)精通、恪盡職守。違反國家法律、法規(guī)和受到行政處分的人員，不得從事計算機安全管理工作。第八條 計算機安全人員變動，應(yīng)向

4、上級科技管理部門備案。第九條 營業(yè)機構(gòu)對全體員工應(yīng)進行計算機安全法律法規(guī)及相關(guān)規(guī)章制度的培訓。第十條 計算機安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育、安全保密教育。第十一條 計算機安全教育由科技信息部負責實施。第二節(jié)計算機關(guān)鍵崗位人員安全管理第十二條 本辦法所稱計算機信息系統(tǒng)關(guān)鍵崗位人員（簡稱關(guān)鍵崗位人員），是指與重要計算機信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)員、系統(tǒng)維護員、操作運營等崗位人員。第十三條 關(guān)鍵崗位人員上崗前，必須經(jīng)過人事部門的政治素質(zhì)審查，科技信息部的信息安全教育、業(yè)務(wù)操作技能考核，合格者方可上崗。第十四條 關(guān)鍵崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的

5、原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員不得操作任何業(yè)務(wù)；系統(tǒng)開發(fā)人員不得兼任系統(tǒng)管理員。第十五條 崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及基層業(yè)務(wù)保密信息的關(guān)鍵崗位人員調(diào)離單位時，必須進行離崗稽核，關(guān)鍵崗位人員在調(diào)離后應(yīng)繼續(xù)履行保密義務(wù)。第十六條 關(guān)鍵崗位人員離崗后，必須及時注銷其用戶，并更換相關(guān)密碼。第三節(jié)計算機崗位人員的安全責任第十七條 系統(tǒng)管理員安全責任1負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則。2嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行。3認真記錄系統(tǒng)安全事項，及時向科技信息部負責人報告安全事件。4對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。第

6、十八條 網(wǎng)絡(luò)管理員安全責任1負責網(wǎng)絡(luò)的運行管理，檢測網(wǎng)絡(luò)運行狀況，實施網(wǎng)絡(luò)安全策略和安全運行細則。2合理配置網(wǎng)絡(luò)應(yīng)用，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行。3監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理鏈路，防范黑客入侵，及時向部門負責人報告安全事件。4對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。第十九條 開發(fā)人員安全責任1系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)。2系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。3不得對系統(tǒng)設(shè)置“后門”。4對系統(tǒng)核心技術(shù)保密。第二十條 應(yīng)用系統(tǒng)、操作系統(tǒng)維護員安全責任1負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行。2不得擅自

7、改變系統(tǒng)功能及相關(guān)參數(shù)。3不得安裝與系統(tǒng)無關(guān)的其它計算機程序。4維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告部門負責人。第二十一條 業(yè)務(wù)操作員安全責任1嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度。2不得向他人提供自己的操作密碼，柜員卡不得借給他人。3及時向科技信息部報告系統(tǒng)各種異常事件。第二十二條 各部門、營業(yè)機構(gòu)計算機管理員責任1各部門、營業(yè)機構(gòu)應(yīng)指派素質(zhì)好、較熟悉計算機知識的人員擔任本單位的計算機管理員或科技協(xié)管員，并報科技信息部備案。如有變更應(yīng)做好交接工作，并及時通知科技信息部。2各部門、營業(yè)機構(gòu)計算機管理員或科技協(xié)管員要配合科技人員工作，并參加各項信息安全技能培訓。3各部門、營業(yè)機構(gòu)計算機管理員或科

8、技協(xié)管員負責本部門、本網(wǎng)點計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況；負責提出本部門信息安全保障需求，及時與科技信息部溝通信息安全監(jiān)測情況；協(xié)助科技信息部完成對本部門的信息安全檢查工作。第四節(jié)一般計算機用戶的安全管理責任第二十三條 本辦法所稱一般計算機用戶是指使用計算機設(shè)備的我行所有工作人員。第二十四條 一般計算機用戶應(yīng)承擔如下安全義務(wù)：1不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。2未經(jīng)科技信息部檢測和授權(quán)，不得將接入系統(tǒng)內(nèi)部網(wǎng)絡(luò)所用計算機轉(zhuǎn)接國際互聯(lián)網(wǎng)，不得將便攜式計算機接入總行內(nèi)部網(wǎng)絡(luò)，不得隨意將私人計算機帶入機房或私自拷貝任何信息。所造成的

9、后果和相關(guān)經(jīng)濟損失由本人承擔。第五節(jié)外來人員的安全管理第二十五條 各單位要針對不同的外來人員，制定相應(yīng)的安全策略，嚴格控制外來人員對我行信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、辦公主機、主機服務(wù)器的訪問，外來人員對敏感的信息資產(chǎn)進行訪問時，應(yīng)與其簽訂安全保密協(xié)議，明確安全責任和義務(wù)。第二十六條 各單位必須做好外來人員的出入管理和陪同工作。第二十七條 嚴禁外來人員在未經(jīng)科技信息部允許的情況情況下通過辦公用戶網(wǎng)訪問生產(chǎn)網(wǎng)絡(luò)。第二十八條 對需要長期進入各級單位工作的外公司人員，必須報外來人員管理部門審批，做好其工作區(qū)域的隔離和訪問控制，并對訪問過程進行全程監(jiān)控、詳細記錄和及時審計。 第三章設(shè)備的安全管理第二十

10、九條 設(shè)備安全管理是指對所有保證系統(tǒng)正常運行的主機設(shè)備、網(wǎng)絡(luò)通信設(shè)備及外圍設(shè)備的安全管理。第三十條 生產(chǎn)環(huán)境、測試環(huán)境、開發(fā)環(huán)境的相關(guān)設(shè)備相互之間必須有明確的物理安全邊界，物理安全區(qū)必須有明確的標志。 第三十一條 設(shè)備所在的物理安全區(qū)應(yīng)具備符合國家相關(guān)標準與規(guī)范的配電、照明、濕度、防水、防火、防雷及防盜等基本環(huán)境條件。第三十二條 對路由器、交換機、防火墻和主機服務(wù)器等設(shè)備必須采取嚴格的管理措施，未經(jīng)批準不得隨意移動和接入。第三十三條 設(shè)備安裝時，應(yīng)由相關(guān)技術(shù)人員制定詳細可行的操作步驟，其中關(guān)鍵設(shè)備的安裝必須請供貨廠商（代理商）技術(shù)人員現(xiàn)場支持。第三十四條 主機和網(wǎng)絡(luò)通信關(guān)鍵設(shè)備必須有備份，并處

11、于實時備用狀態(tài)。第三十五條 重要設(shè)備使用單位應(yīng)做好設(shè)備日常運行維護工作：1做好設(shè)備的日常檢測、檢查、記錄，及時掌握設(shè)備的運行狀況。2設(shè)備發(fā)生故障時應(yīng)及時維修，必要時，通知設(shè)備維護商的技術(shù)人員到場解決。3制定設(shè)備維護計劃，為維護的項目、步驟、周期、責任人等做出明確規(guī)定，并嚴格按照設(shè)備維護計劃定期進行設(shè)備的保養(yǎng)和維護，做好設(shè)備維護記錄。第四章系統(tǒng)的安全管理第三十六條 本辦法所指的計算機系統(tǒng)是指*業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。第三十七條 系統(tǒng)規(guī)劃與立項要充分考慮系統(tǒng)的安全需求，系統(tǒng)建設(shè)要充分考慮實現(xiàn)安全功能，計算機安全管理部門應(yīng)對重要系統(tǒng)的立項進

12、行安全性專項審查。第三十八條 系統(tǒng)選用的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件等必須具備與系統(tǒng)相適應(yīng)的安全性。第三十九條 系統(tǒng)投入運行前，必須進行系統(tǒng)的安全評估與審批；對已投入運行的系統(tǒng)需跟蹤進行評估并根據(jù)評估結(jié)果不斷改進和提高系統(tǒng)安全性。第四十條 系統(tǒng)運行安全管理1嚴禁在生產(chǎn)系統(tǒng)上安裝編譯工具、應(yīng)用系統(tǒng)源程序及其他與系統(tǒng)業(yè)務(wù)無關(guān)的軟件。2備份系統(tǒng)與生產(chǎn)系統(tǒng)的系統(tǒng)構(gòu)成與配置應(yīng)保持一致，以保證生產(chǎn)系統(tǒng)出現(xiàn)故障時能順利切換。3嚴禁擅自修改系統(tǒng)參數(shù)，確需修改應(yīng)嚴格履行審批手續(xù)，由維護崗位人員實施，實施時應(yīng)有監(jiān)督，修改后的參數(shù)應(yīng)記錄在案。4嚴禁擅自對業(yè)務(wù)數(shù)據(jù)庫的數(shù)據(jù)進行修改或恢復操作，確需操作時應(yīng)嚴格履行審

13、批手續(xù)，由相關(guān)崗位人員實施，并由有關(guān)人員監(jiān)督執(zhí)行。5對于系統(tǒng)軟件升級、應(yīng)用軟件升級或更新、系統(tǒng)切換、年終結(jié)轉(zhuǎn)、結(jié)息等重大事件操作，按*有限責任公司系統(tǒng)升級管理辦法由科技信息部從安全角度出發(fā)與業(yè)務(wù)部門密切配合，共同制定詳細的計劃和方案。第四十一條 做好系統(tǒng)的日常安全運行維護工作，不斷完善系統(tǒng)運行制度、日志管理制度、密碼密鑰管理制度、操作規(guī)程的安全管理制度等。定期對系統(tǒng)進行備份，并對備份媒體按有關(guān)規(guī)定指定專人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份媒體必須異地保存。重要業(yè)務(wù)系統(tǒng)應(yīng)由業(yè)務(wù)部門制定計算機安全保護的應(yīng)急計劃，保證業(yè)務(wù)的不間斷運行，并不斷完善應(yīng)急計劃。對涉密的應(yīng)用系統(tǒng)，應(yīng)嚴格執(zhí)行保密管理的有關(guān)規(guī)定。第

14、四十二條 各級運行機構(gòu)必須做好對系統(tǒng)的安全監(jiān)測工作。非營業(yè)機構(gòu)接入生產(chǎn)網(wǎng)，須向科技信息部申請，連接單獨設(shè)立的服務(wù)器。第四十三條 嚴格執(zhí)行系統(tǒng)廢止和銷毀的有關(guān)安全管理規(guī)定。第五章網(wǎng)絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)管理第四十四條 科技信息部應(yīng)持續(xù)建立健全網(wǎng)絡(luò)安全運行制度，不斷健全*網(wǎng)絡(luò)運行維護實施細則、*系統(tǒng)運行維護實施細則、*計算機系統(tǒng)應(yīng)急預(yù)案等涉及到網(wǎng)絡(luò)方面的制度，并按制度開展日常工作。第四十五條 應(yīng)配備專職網(wǎng)絡(luò)管理員。重要網(wǎng)絡(luò)設(shè)備應(yīng)放置在機房內(nèi)，由網(wǎng)絡(luò)管理員負責管理。其他人員不得對網(wǎng)絡(luò)設(shè)備進行任何操作。網(wǎng)管設(shè)備屬專管設(shè)備，必須嚴格控制其管理員密碼。第四十六條 重要網(wǎng)絡(luò)通信硬件設(shè)施、網(wǎng)管應(yīng)用軟件設(shè)施及網(wǎng)

15、絡(luò)參數(shù)配置應(yīng)有備份，按*數(shù)據(jù)備份管理規(guī)定執(zhí)行備份有關(guān)工作。 第四十七條 新建網(wǎng)絡(luò)、網(wǎng)絡(luò)改造或變更在投入使用前，科技信息部應(yīng)制訂相應(yīng)的網(wǎng)絡(luò)安全防范措施，組織對新建網(wǎng)絡(luò)或改造后網(wǎng)絡(luò)實施安全檢驗，未通過檢驗不允許投產(chǎn)使用。第四十八條 網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導，改變網(wǎng)絡(luò)路由配置和通信地址等參數(shù)的操作，必須具有包括時間、目的、內(nèi)容及維護人員等要素的書面記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應(yīng)急恢復準備。 第四十九條 網(wǎng)絡(luò)管理員應(yīng)按照省聯(lián)社統(tǒng)一發(fā)布安全規(guī)范實施所負責網(wǎng)絡(luò)的安全配置，并定期

16、檢查與規(guī)范的符合性。對網(wǎng)絡(luò)設(shè)備配置命令和響應(yīng)信息的完整性、合理性及保密性必須進行驗證。第五十條 與其他業(yè)務(wù)相關(guān)機構(gòu)的網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護措施，提出具體實施方案，并得到充分論證，經(jīng)過科技信息部審核通過方可實施。第五十一條 網(wǎng)絡(luò)管理人員應(yīng)隨時掌握監(jiān)測網(wǎng)絡(luò)運行狀況，定期檢查網(wǎng)絡(luò)狀況，雙機熱備對獲得的信息進行分析，發(fā)現(xiàn)安全隱患應(yīng)報告部門負責人。第五十二條 網(wǎng)絡(luò)掃描、監(jiān)測結(jié)果和網(wǎng)絡(luò)運行日志等重要信息應(yīng)備份存儲。第五十三條 聯(lián)網(wǎng)計算機應(yīng)定期進行查、殺病毒操作，發(fā)現(xiàn)計算機病毒，應(yīng)及時處理。第五十四條 科技信息部人員嚴禁超越網(wǎng)絡(luò)管理權(quán)限，非法操作業(yè)務(wù)數(shù)據(jù)信息，不得擅自設(shè)置路由與非相關(guān)網(wǎng)絡(luò)進行連接

17、。第五十五條 按照我行制定的相關(guān)網(wǎng)絡(luò)安全技術(shù)規(guī)范要求，對辦公用戶網(wǎng)、測試網(wǎng)與生產(chǎn)網(wǎng)絡(luò)實施嚴格的物理、邏輯隔離措施。第五十六條 對計算機網(wǎng)絡(luò)和數(shù)據(jù)通信設(shè)備的停用、維修、重用和作廢環(huán)節(jié)，應(yīng)建立安全機制有效清除或銷毀敏感信息，防止泄露。第二節(jié)內(nèi)網(wǎng)的使用管理第五十七條 由總行辦公室(黨辦)統(tǒng)一為各級機構(gòu)、各專業(yè)分配內(nèi)部網(wǎng)絡(luò)電子郵箱和即時通訊軟件工具賬號，用于日常信息傳遞。第五十八條 由總行辦公室(黨辦)統(tǒng)一為各機構(gòu)、各部門分配內(nèi)部相關(guān)群組，用于實時信息傳遞。第五十九條 加強內(nèi)網(wǎng)操作人員權(quán)限管理，嚴格按照權(quán)限規(guī)定辦理業(yè)務(wù)，無關(guān)人員禁止使用內(nèi)網(wǎng)。第六十條 接入內(nèi)網(wǎng)的計算機未經(jīng)科技信息部允許不準安裝其它軟件

18、。第六十一條 接入內(nèi)網(wǎng)的計算機禁止使用各種游戲、娛樂軟件。第六十二條 嚴禁擅自將我行內(nèi)網(wǎng)與外網(wǎng)直接連接。（一）我行內(nèi)網(wǎng)與企業(yè)外單位網(wǎng)絡(luò)利用專線進行互連的方案，必須報我行總行科技信息部審批，經(jīng)省聯(lián)社相關(guān)部門同意后方可實施；（二）我行專用網(wǎng)絡(luò)與INTERNET互聯(lián)網(wǎng)連接的方案，必須報總行科技信息部審批。不得同一臺主機進行內(nèi)外網(wǎng)切換，嚴格保持內(nèi)、外網(wǎng)物理隔離。 第六十三條 內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備用戶訪問內(nèi)網(wǎng)網(wǎng)絡(luò)資源應(yīng)經(jīng)過安全認證、合理授權(quán)。認證應(yīng)采用高安全強度的認證方式，對用戶的權(quán)限應(yīng)合理規(guī)劃，實現(xiàn)角色的分離和相互制約，限制用戶權(quán)限尤其是超級用戶權(quán)限的濫用和誤用。 第六十四條 防火墻策略的制定要嚴格按照相關(guān)

19、網(wǎng)絡(luò)技術(shù)規(guī)范進行，防火墻策略的變更應(yīng)經(jīng)過科技部部門審批。利用防火墻、防病毒、安全漏洞掃描、網(wǎng)絡(luò)非法外聯(lián)、網(wǎng)絡(luò)入侵檢測等軟件和工具對獲得的信息進行分析時，如發(fā)現(xiàn)安全事件，必須按照規(guī)定及時處理和報告，并對其日志進行保存和審計。 第六十五條 嚴禁外單位（包括供應(yīng)商和服務(wù)商等）通過專線或撥號方式對我行信息系統(tǒng)進行遠程維護和技術(shù)支持。第三節(jié)接入國際互聯(lián)網(wǎng)管理第六十六條 各級機構(gòu)辦公場所禁止私自用各種方式接入互聯(lián)網(wǎng)。確有特殊需要接入互聯(lián)網(wǎng)的部門，必須由部門負責人提出書面申請，經(jīng)主管領(lǐng)導審批，報科技信息部備案，方可接入。并嚴格保持內(nèi)、外網(wǎng)物理隔離。第六十七條 使用國際互聯(lián)網(wǎng)的安全管理1 接入國際互聯(lián)網(wǎng)的機器

20、不得存有涉密金融數(shù)據(jù)信息，接入國際互聯(lián)網(wǎng)的計算機上不得使用存有涉密金融數(shù)據(jù)信息的媒體。2從國際互聯(lián)網(wǎng)下載的任何信息資源，未經(jīng)檢測并得到許可，不得在本行系統(tǒng)內(nèi)網(wǎng)上使用。禁止訪問或下載與工作無關(guān)的信息，禁止訪問高風險網(wǎng)站，禁止安裝、使用各類游戲、娛樂軟件。3接入國際互聯(lián)網(wǎng)的計算機須安裝防病毒系統(tǒng)，并定期升級。嚴禁利用互聯(lián)網(wǎng)絡(luò)傳播病毒、散播非法信息、泄露國家和機構(gòu)的機密。5本單位所屬的國際互聯(lián)網(wǎng)賬號不得在本單位之外的其它場所使用。6國際互聯(lián)網(wǎng)接入賬戶和密碼必須實行專人管理，并不定期更換密碼。7確有需要接入國際互聯(lián)網(wǎng)的部門必須由負責人提出書面申請，送科技信息部初審，報分管行領(lǐng)導簽批同意后方可接入。8使

21、用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。9. 無線網(wǎng)絡(luò)只允許訪問國際互聯(lián)網(wǎng)，嚴禁通過無線網(wǎng)絡(luò)訪問業(yè)務(wù)運行類系統(tǒng)，無線網(wǎng)絡(luò)的應(yīng)用開通范圍需由本單位安全管理崗審核。第六十八條 各使用部門應(yīng)自覺接受總行信息安全工作領(lǐng)導小組的監(jiān)督檢查。第六章 計算機安全保密管理第一節(jié)計算機及相關(guān)產(chǎn)品安全管理第六十九條 涉密計算機要與公用網(wǎng)絡(luò)實行物理隔離，不得與因特網(wǎng)、非保密的局域網(wǎng)、非涉密的單機等有任何形式的物理連接。 第七十條 涉密計算機的使用要由專人負責管理，建立專門用戶，并設(shè)立密碼。第七十一條 計算機須安裝具有實時監(jiān)控病毒功能的防毒軟件和防火墻產(chǎn)品，并及時升級。利用

22、防毒軟件，對需要在計算機使用的外來軟盤、光盤等存儲介質(zhì)、下載的網(wǎng)絡(luò)文件、電子郵件及其附件等進行病毒檢查、清除。 第七十二條 任何單位或個人不得在連接互聯(lián)網(wǎng)的計算機或網(wǎng)絡(luò)中存儲、處理、傳遞、發(fā)布涉及國家秘密以及*內(nèi)部商業(yè)秘密的信息，當發(fā)現(xiàn)信息泄漏，應(yīng)立即向有關(guān)部門報告。第七十三條 進行互聯(lián)網(wǎng)連接的單位和個人，應(yīng)遵守國家有關(guān)法律、法規(guī)，嚴格執(zhí)行安全保密制度，不得利用計算機國際互聯(lián)網(wǎng)從事危害國家安全、泄漏國家秘密等違法犯罪活動；不得利用計算機國際互聯(lián)網(wǎng)進行搜集、整理、竊取國家秘密的活動。第七十四條 各級單位和用戶原則上不準開設(shè)電子公告系統(tǒng)、聊天室等，如確有需要必須上報有關(guān)部門審批、備案。第七十五條

23、用戶使用電子郵件進行網(wǎng)上信息交流應(yīng)遵守國家有關(guān)保密規(guī)定，不得利用電子郵件傳遞、轉(zhuǎn)發(fā)或抄送涉密信息。互聯(lián)單位、接入單位如有郵件服務(wù)器，對其管理的郵件服務(wù)器用戶應(yīng)當明確保守國家秘密的要求。第七十六條 對于建立主頁的單位，應(yīng)與保密部門簽訂保密責任協(xié)議，并協(xié)助保密部門對其主頁內(nèi)容進行保密監(jiān)督、檢查，指定專人負責對信息內(nèi)容的監(jiān)督審查。第七十七條 由省計算機中心負責開發(fā)的軟件產(chǎn)品、密鑰及技術(shù)資料等要進行登記并妥善保管，嚴防泄漏，指定專人管理已開發(fā)的全部程序源碼和技術(shù)資料，未經(jīng)科技信息部主管領(lǐng)導批準，不得向外復制、銷售、轉(zhuǎn)讓軟件產(chǎn)品。第七十八條 對于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)通訊及安全設(shè)備等重要區(qū)域均應(yīng)設(shè)置口令

24、，對記錄密碼的載體應(yīng)嚴格管理，確保安全。第二節(jié) 數(shù)據(jù)信息的管理第七十九條 計算機的存儲媒體要依據(jù)文件內(nèi)容準確界定并標注涉密介質(zhì)的密級和保密期限，按照所標密級和保密期限嚴格管理。密級和保密期限的界定標注方法等同于同內(nèi)容的紙質(zhì)文件。第八十條 必須加強數(shù)據(jù)信息處理全過程的安全管理，保證數(shù)據(jù)信息的保密性、完整性、可用性、可控性。數(shù)據(jù)信息的安全管理應(yīng)做到：1嚴把數(shù)據(jù)信息采集關(guān)，確保真實、可靠、合法。2據(jù)實錄入數(shù)據(jù)信息，嚴禁憑空輸入，對數(shù)據(jù)信息的修改，必須得到有關(guān)部門的批準，并記錄備案。3必須采用必要的技術(shù)措施保證數(shù)據(jù)信息傳輸過程的安全，應(yīng)使用加密技術(shù)對涉密或重要的數(shù)據(jù)信息實施加密處理。4使用部門應(yīng)按規(guī)定

25、進行數(shù)據(jù)備份，并檢查備份媒體的有效性，送往異地的重要數(shù)據(jù)磁盤、磁帶必須有加密措施，嚴防泄漏。5在設(shè)備維修、報廢過程中，要確保其中的數(shù)據(jù)信息的保密性、完整性。第八十一條 涉密媒體包括記錄檔案資料、軟件、數(shù)據(jù)等的各種載體。保證涉密媒體信息的安全應(yīng)做到：1各種媒體的收集、保管、使用須按科技檔案管理辦法執(zhí)行。2嚴格分級管理，在媒體使用上，根據(jù)媒體的密級，要做到分級使用、定人操作，保留在現(xiàn)場的媒體數(shù)量應(yīng)是系統(tǒng)有效運行所需要的最小數(shù)量。3涉密數(shù)據(jù)在系統(tǒng)進行下載存貯過程中必須采取相應(yīng)的加密技術(shù)措施。4涉密媒體的保管要防磁、防潮、防腐、防霉變，重要磁介質(zhì)每年要進行翻錄或復制，實行異地保管，時限四年。5涉密媒體

26、的傳遞與外借，應(yīng)有審批手續(xù)和傳遞記錄，涉密媒體傳遞過程中，要采取必要的防復制及加密等安全措施。6涉密媒體必須按照有關(guān)保密管理規(guī)定進行管理，嚴格錄入、查詢、復制、傳遞、保管、歸檔、銷毀等各環(huán)節(jié)的手續(xù)；同一媒體上不得混錄密和非密信息，如果必須同時錄用不同密級的信息，應(yīng)按存儲信息的較高密級進行管理并標明密級。7媒體要根據(jù)需要與存儲環(huán)境定期進行循環(huán)復制備份，并進行登記；全部涉密媒體信息的轉(zhuǎn)交、挪動和銷毀，相關(guān)人員均須在場。8廢棄媒體，相關(guān)部門應(yīng)詳細登記，妥善保管，每年底報請分管領(lǐng)導批準后，集中統(tǒng)一在保密管理人員監(jiān)督下進行不可恢復性銷毀。第八十二條 金融電子化系統(tǒng)中的信息應(yīng)根據(jù)其重要性、密級、應(yīng)用需求等

27、分別實行相應(yīng)的加密措施。對絕密級(金融電子化設(shè)計方案、金融主要業(yè)務(wù)的源代碼、聯(lián)行或電子匯兌密押、密鑰的文字說明等),機密級（計算機網(wǎng)絡(luò)設(shè)計方案、數(shù)據(jù)庫設(shè)計說明、有關(guān)電子帳務(wù)數(shù)據(jù)文件、主要業(yè)務(wù)的目標程序等）,秘密級（省市級項目電報、會計報表、銀行重要憑證及帳務(wù)等）等信息不得通過互聯(lián)網(wǎng)傳送，機密信息不得以明文形式傳送。第三節(jié)數(shù)據(jù)備份與恢復第八十三條 省計算機中心負責業(yè)務(wù)數(shù)據(jù)和系統(tǒng)方面的備份及恢復。各業(yè)務(wù)部門負責本部門重要業(yè)務(wù)數(shù)據(jù)和資料方面的備份和恢復。第八十四條 要確認備份操作準確無誤后進行備份操作。各業(yè)務(wù)部門應(yīng)將計算機信息數(shù)據(jù)備份媒體視同重要空白憑證，指定專人負責備份數(shù)據(jù)媒體的管理。備份數(shù)據(jù)媒體

28、應(yīng)按要求寫明標識，要確保存放地的安全，并定期進行檢查，確保數(shù)據(jù)的完整性、可用性。第七章第三方訪問和外包服務(wù)安全管理第一節(jié)第三方訪問控制第八十五條 本辦法所稱第三方訪問是指*之外的單位和個人物理訪問省計算機中心機房或者通過網(wǎng)絡(luò)連接邏輯訪問省計算機中心數(shù)據(jù)庫和計算機系統(tǒng)等活動。第八十六條 省計算機中心負責涉密計算機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，科技信息部負責非涉密計算機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)*授權(quán)的任何第三方訪問均視為非法入侵行為。第八十七條 允許被第三方訪問的計算機系統(tǒng)和資源應(yīng)建立存取控制機制、認證機制，列明所有用戶名單及其權(quán)限，嚴格監(jiān)督第三方訪問活動。第八十八條 獲得第

29、三方訪問授權(quán)的所有單位和個人應(yīng)與省計算機中心簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復制和泄露*的任何信息。第二節(jié)外包服務(wù)管理第八十九條 本辦法所稱外包服務(wù)是指由*之外的其他社會廠商為*計算機系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。第九十條 經(jīng)科技信息部主管領(lǐng)導批準，外包服務(wù)提供商可提供上門維修服務(wù)并由*科技人員在場準確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離*。第九十一條 計算機設(shè)備確需送外單位維修時，應(yīng)徹底清除所存工作信息，與密碼設(shè)備配套使用的計算機設(shè)備送修前

30、必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。第八章計算機病毒防范的安全管理第九十二條 必須指定專人定期用防病毒軟件查殺本單位計算機信息系統(tǒng)，并做檢測、清除的記錄；必須按有關(guān)操作規(guī)定定期更新防病毒產(chǎn)品版本。從計算機信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或購置、維修、接入計算機設(shè)備時，應(yīng)當進行計算機病毒檢測。第九十三條 必須采用有公安部“銷售許可”標志的防病毒產(chǎn)品，對本單位的病毒防治產(chǎn)品或系統(tǒng)必須有專人管理，并由科技檔案管理人員妥善保存產(chǎn)品媒體及其備份。 第九十四條 對于生產(chǎn)網(wǎng)使用的計算機，各級單位必須根據(jù)總行科技信息部的部署，安裝統(tǒng)一的防火墻、防病毒、入侵監(jiān)測、安全漏洞掃描

31、等安全產(chǎn)品。第九十五條 不得制作、傳播計算機病毒。對因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故要逐級向計算機管理部門報告。第九章 信息通報與災(zāi)難備份第一節(jié)信息通報第九十六條 各支行應(yīng)對網(wǎng)點信息安全事件實行報告制度。一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）發(fā)生后的20分鐘內(nèi)逐級報省計算機中心及相關(guān)部門，省計算機中心主管領(lǐng)導決定是否發(fā)布預(yù)警信息或啟動轄內(nèi)應(yīng)急預(yù)案。第九十七條 重大信息安全事件發(fā)生后，各機構(gòu)相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時

32、報告本單位主管領(lǐng)導。第二節(jié)災(zāi)難備份管理第九十八條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計算機系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。第九十九條 由省計算機中心按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。第一百條 應(yīng)建立健全災(zāi)難恢復計劃，定期開展災(zāi)難恢復培訓。在條件許可的情況下，由相關(guān)部門統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復演練。第十章 安全監(jiān)

33、測、檢查、評估與審計第一節(jié)安全監(jiān)測第一百零一條 科技信息部要及時預(yù)警、響應(yīng)和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并逐級上報省計算機中心。第二節(jié)安全檢查第一百零二條 科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，檢查方式可以是自查、互查或上級檢查等多種方式。第一百零三條 在開展安全檢查前應(yīng)以安全管理制度為依據(jù)，制定詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查單位，要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。第一百零四條 參加檢查的人員對檢查中的涉密信息負有保密責任

34、。所有檢查報告和資料應(yīng)作為我行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié)安全評估第一百零五條 科技信息部可采用自評估、檢查評估和委托評估等方式對轄內(nèi)信息系統(tǒng)進行安全評估。第一百零六條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前應(yīng)制定評估方案并進行必要的培訓。評估結(jié)束后，形成評估報告，提出整改意見報科技信息部主管領(lǐng)導。第一百零七條 如聘請第三方機構(gòu)進行安全評估，應(yīng)報省計算機中心批準，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。第一百零八條 應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。第四節(jié)安全審計第一百零九條 科技信

35、息部在支持與配合內(nèi)審部門開展審計信息安全工作的同時，應(yīng)適時開展轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計。第十一章 訪問控制策略第一節(jié) 對系統(tǒng)的訪問驗證策略第一百一十條 操作員管理，操作員在不同的系統(tǒng)中定義可能會有區(qū)別，比如在柜臺交易系統(tǒng)的主要操作員為營業(yè)部的柜員。1、應(yīng)用系統(tǒng)有操作員管理模塊，單獨對操作員的信息、密碼、權(quán)限等進行管理。2、操作員進入任何應(yīng)用系統(tǒng)模塊之前，先經(jīng)過用戶身份認證。3、應(yīng)用系統(tǒng)檢測身份認證不成功的次數(shù)，當達到或超過定義的不成功次數(shù)時，系統(tǒng)拒絕用戶進入系統(tǒng)并進行記錄。4、操作員對系統(tǒng)的操作對象有單獨的權(quán)限控制。5、操作員對系統(tǒng)的功能（通常體現(xiàn)為菜單），應(yīng)該

36、有單獨的權(quán)限控制。第一百一十一條 管理員操作系統(tǒng)的訪問 1、UNIX系統(tǒng)使用SSH登錄系統(tǒng)。2、進入操作系統(tǒng)必須執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定為自動登錄。3、記錄登錄成功與失敗的日志。4、登錄后5分鐘內(nèi)未有任何操作，系統(tǒng)將自動斷開（遠程登錄）、退出（本地登錄）或鎖定。5、日常非系統(tǒng)管理操作時，只能以普通用戶登錄。6、啟用操作系統(tǒng)的密碼管理策略（如密碼至少8位，字母數(shù)字組合等），保證用戶密碼的安全性。7、針對系統(tǒng)需要，啟用相應(yīng)的日志記錄包括：登錄、登出，系統(tǒng)報警，安全日志，重要應(yīng)用程序日志，重要文件訪問日志。為保證日志的準確性，應(yīng)正確設(shè)置計算機時鐘。8、對于系統(tǒng)管理的程序或工具必須設(shè)置日志，記錄使

37、用情況，包括：用戶、時間、操作等。9、發(fā)現(xiàn)違反安全訪問策略的情況，及時處理，并通知當事人，必要時進行懲罰。第一百一十二條 無人值守的用戶設(shè)備驗證策略對于無人值守的用戶設(shè)備必須設(shè)置自動屏保程序，同時要求用戶在離開時將屏幕鎖住。當?shù)卿浀揭粋€系統(tǒng)完成任務(wù)，或長時間不使用時要從系統(tǒng)注銷。終端暫時不用時，應(yīng)使用密碼屏幕保護安全，長時間不用時要關(guān)閉計算機。第2節(jié) 對網(wǎng)絡(luò)設(shè)備的訪問控制策略 第一百一十三條 本行網(wǎng)絡(luò)架構(gòu)的設(shè)計和部署必須嚴格遵守網(wǎng)絡(luò)訪問控制的相關(guān)要求。所有訪問或接入本行生產(chǎn)網(wǎng)絡(luò)的各類設(shè)備必須滿足科技信息部門頒布的技術(shù)標準，根據(jù)省聯(lián)社統(tǒng)一制度的技術(shù)標準采取必要的網(wǎng)絡(luò)接入控制措施，禁止非授權(quán)終端的

38、網(wǎng)絡(luò)接入，并受科技信息部門的統(tǒng)一管理。 第一百一十四條 所有網(wǎng)絡(luò)設(shè)備的登陸密碼以及各類網(wǎng)絡(luò)服務(wù)密碼均應(yīng)被嚴格保護，禁止任何形式的“設(shè)備原始通用密碼”或啟用自動登陸程序，并不得違規(guī)向未授權(quán)機構(gòu)及個人披露。 第二節(jié) 賬號密碼驗證策略第一百一十五條 *各系統(tǒng)賬號和密碼由各業(yè)務(wù)部門管理和設(shè)定，包括核算中心管理綜合業(yè)務(wù)系統(tǒng)、風險管理部管理信貸管理系統(tǒng)、辦公室管理OA辦公自動化系統(tǒng)、電子銀行部管理網(wǎng)上銀行內(nèi)管系統(tǒng)，為各系統(tǒng)用戶設(shè)置初始密碼。總行科技信息部系統(tǒng)管理員負責監(jiān)督和保密管理?？傂锌萍夹畔⒉控撠熃忉?辦公、生產(chǎn)網(wǎng)絡(luò)上賬號規(guī)則和標準。第一百一十六條 作為用于臨時性、數(shù)據(jù)測試賬號，要與正式賬號區(qū)分開，并

39、保證不能登錄運行中的辦公、業(yè)務(wù)生產(chǎn)網(wǎng)絡(luò)，在到期或測試結(jié)束時應(yīng)及時將該賬號刪除。第一百一十七條 *系統(tǒng)管理員密碼須定期更換，更換后的密碼留存紙質(zhì)記錄，由專人按絕密數(shù)據(jù)保管。第一百一十八條 賬號驗證管理（一）賬號命名規(guī)則。1、*密碼由大小寫字母、數(shù)字和特殊符號組成，要求8位以上，并且有一定的復雜性。所有用戶最少要有8個字符，必須由字母、數(shù)字以及特殊字符組成。2、普通用戶至少每三個月更改一次密碼，免再次使用舊密碼或循環(huán)使用舊密碼。3、首次登錄時應(yīng)更改初始密碼。（二）賬號申領(lǐng)1、只有授權(quán)用戶才可以申請系統(tǒng)賬號，賬號相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則，不得有與用戶職責無關(guān)的權(quán)限。2、一人一賬號，以便將用

40、戶與其操作聯(lián)系起來，使用戶對其操作負責。3、管理員必須維護對注冊使用服務(wù)的所有用戶的正式記錄。4、用戶因工作變更或離開公司時，管理員要及時取消或者鎖定其所有賬號，對于無法鎖定或者刪除的用戶賬號采用更改密碼等相應(yīng)的措施規(guī)避該風險。（三）賬號管理規(guī)范不允許將個人使用的賬號告知他人。個人計算機系統(tǒng)中不允許有不明用途的賬號存在。員工在暫時離開自己的計算機時，必須將自己的計算機鎖定。第一百一十九條 密碼驗證管理（一）密碼選取用戶應(yīng)該有意識地選擇強壯的密碼（即難以破解和猜測的密碼），不要使用弱密碼。1、弱密碼有以下特征：密碼長度少于6個字符；密碼是可以在字典中直接發(fā)現(xiàn)的單詞密碼比較常見，例如：家人名字、朋友名字、同事名字等等；計算機名字、術(shù)語、公司名字、地名、硬件或軟件名稱：生日、個人信息、家庭地址、電話：某種模式的，例如aaabbb、asdfgh、123456、123321等等：任何上面一種方式倒過來寫；任何上面一種方式帶了一個數(shù)字。2、強壯的密碼具備以下特征： 同時具備大寫和小寫字符 ；8個字符或者以上 ；不是字典上的單詞或者漢語拼音 ；不基于個