信息安全管理计划办法.doc-淘文阁

资源描述

《信息安全管理计划办法.doc》由会员分享，可在线阅读，更多相关《信息安全管理计划办法.doc（34页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、/*有限责任公司信息安全管理办法第一章总则第一条为了加强*有限责任公司（以下简称：我行）计算机信息系统安全保护工作，确保我行计算机信息系统安全、稳定、高效运行，根据中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息安全保护工作暂行规定等有关法律、法规，结合自身实际制定本办法。第二条 *有限责任公司计算机信息系统安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。其中“预防为主”是计算机安全管理工作的基本方针。第三条 *有限责任公司计算机信息系统安全工作实行统一领导和分级管理。按照“谁主管谁负责、谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。第

2、四条成立计算机信息安全管理工作领导小组，由科技、财会、保卫、稽核、办公室、电子银行等部门组成，实行一把手负责制，计算机信息安全管理工作领导小组负责组织、协调、监督和检查我行计算机安全管理工作。第五条权限说明：*有限责任公司作为吉林省农村信用联合社（以下简称:省联社）信息系统平台的终端使用者，享有使用其系统、数据库、网络等其他IT资源的权利，吉林省农村信用联合社享有开发、管理、控制其系统、数据库的权利，当出现各种事故时由*向吉林省农村信用联合社进行通知报告，系统、数据库、网络等故障根据事故级别情况由吉林省农村信用联合社进行处理解决。本办法适用于*计算机设备、系统的使用部门和各分支机构。本办法

3、与相关制度对应关系如下第四章对应*有限责任公司系统运行维护实施细则须结合上述制度开展工作。第五章对应*有限责任公司网络运行维护实施细则须结合上述制度开展工作。第六章对应*有限责任公司办公设备日常操作管理办法、*计算机物品管理指导意见（试行）须结合上述制度开展工作。第八章对应*数据备份管理规定结合该制度开展工作。第二章人员与岗位管理第一节人员基本要求与安全教育第六条本办法所称计算机安全人员，是指各级机构专（兼）职计算机安全管理人员。第七条计算机安全人员应当遵纪守法、政治过硬、业务精通、恪尽职守。违反国家法律、法规和受到行政处分的人员，不得从事计算机安全管理工作。第八条计算机安全人员变动，应

4、向上级科技管理部门备案。第九条营业机构对全体员工应进行计算机安全法律法规及相关规章制度的培训。第十条计算机安全人员应定期接受政治思想教育、职业道德教育、安全保密教育。第十一条计算机安全教育由科技信息部负责实施。第二节计算机关键岗位人员安全管理第十二条本办法所称计算机信息系统关键岗位人员（简称关键岗位人员），是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、操作运营等岗位人员。第十三条关键岗位人员上岗前，必须经过人事部门的政治素质审查，科技信息部的信息安全教育、业务操作技能考核，合格者方可上岗。第十四条关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”

5、的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务；系统开发人员不得兼任系统管理员。第十五条岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及基层业务保密信息的关键岗位人员调离单位时，必须进行离岗稽核，关键岗位人员在调离后应继续履行保密义务。第十六条关键岗位人员离岗后，必须及时注销其用户，并更换相关密码。第三节计算机岗位人员的安全责任第十七条系统管理员安全责任1负责系统的运行管理，实施系统安全运行细则。2严格用户权限管理，维护系统安全正常运行。3认真记录系统安全事项，及时向科技信息部负责人报告安全事件。4对进行系统操作的其他人员予以安全监督。

6、第十八条网络管理员安全责任1负责网络的运行管理，检测网络运行状况，实施网络安全策略和安全运行细则。2合理配置网络应用，严格控制网络用户访问权限，维护网络安全正常运行。3监控网络关键设备、网络端口、网络物理链路，防范黑客入侵，及时向部门负责人报告安全事件。4对操作网络管理功能的其他人员进行安全监督。第十九条开发人员安全责任1系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。2系统投产运行前，应完整移交系统源代码和相关涉密资料。3不得对系统设置“后门”。4对系统核心技术保密。第二十条应用系统、操作系统维护员安全责任1负责系统维护，及时解除系统故障，确保系统正常运行。2不得擅

7、自改变系统功能及相关参数。3不得安装与系统无关的其它计算机程序。4维护过程中，发现安全漏洞应及时报告部门负责人。第二十一条业务操作员安全责任1严格执行系统操作规程和运行安全管理制度。2不得向他人提供自己的操作密码，柜员卡不得借给他人。3及时向科技信息部报告系统各种异常事件。第二十二条各部门、营业机构计算机管理员责任1各部门、营业机构应指派素质好、较熟悉计算机知识的人员担任本单位的计算机管理员或科技协管员，并报科技信息部备案。如有变更应做好交接工作，并及时通知科技信息部。2各部门、营业机构计算机管理员或科技协管员要配合科技人员工作，并参加各项信息安全技能培训。3各部门、营业机构计算机管理员或

8、科技协管员负责本部门、本网点计算机病毒防治工作，监督检查本部门客户端安全管理情况；负责提出本部门信息安全保障需求，及时与科技信息部沟通信息安全监测情况；协助科技信息部完成对本部门的信息安全检查工作。第四节一般计算机用户的安全管理责任第二十三条本办法所称一般计算机用户是指使用计算机设备的我行所有工作人员。第二十四条一般计算机用户应承担如下安全义务：1不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。2未经科技信息部检测和授权，不得将接入系统内部网络所用计算机转接国际互联网，不得将便携式计算机接入总行内部网络，不得随意将私人计算机带入机房或私自拷贝任何信息。所造成

9、的后果和相关经济损失由本人承担。第五节外来人员的安全管理第二十五条各单位要针对不同的外来人员，制定相应的安全策略，严格控制外来人员对我行信息系统、网络设备、安全设备、办公主机、主机服务器的访问，外来人员对敏感的信息资产进行访问时，应与其签订安全保密协议，明确安全责任和义务。第二十六条各单位必须做好外来人员的出入管理和陪同工作。第二十七条严禁外来人员在未经科技信息部允许的情况情况下通过办公用户网访问生产网络。第二十八条对需要长期进入各级单位工作的外公司人员，必须报外来人员管理部门审批，做好其工作区域的隔离和访问控制，并对访问过程进行全程监控、详细记录和及时审计。第三章设备的安全管理第二

10、十九条设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。第三十条生产环境、测试环境、开发环境的相关设备相互之间必须有明确的物理安全边界，物理安全区必须有明确的标志。第三十一条设备所在的物理安全区应具备符合国家相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等基本环境条件。第三十二条对路由器、交换机、防火墙和主机服务器等设备必须采取严格的管理措施，未经批准不得随意移动和接入。第三十三条设备安装时，应由相关技术人员制定详细可行的操作步骤，其中关键设备的安装必须请供货厂商（代理商）技术人员现场支持。第三十四条主机和网络通信关键设备必须有备份，并

11、处于实时备用状态。第三十五条重要设备使用单位应做好设备日常运行维护工作：1做好设备的日常检测、检查、记录，及时掌握设备的运行状况。2设备发生故障时应及时维修，必要时，通知设备维护商的技术人员到场解决。3制定设备维护计划，为维护的项目、步骤、周期、责任人等做出明确规定，并严格按照设备维护计划定期进行设备的保养和维护，做好设备维护记录。第四章系统的安全管理第三十六条本办法所指的计算机系统是指*业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第三十七条系统规划与立项要充分考虑系统的安全需求，系统建设要充分考虑实现安全功能，计算机安全管理部门应对重要系统的立项

12、进行安全性专项审查。第三十八条系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。第三十九条系统投入运行前，必须进行系统的安全评估与审批；对已投入运行的系统需跟踪进行评估并根据评估结果不断改进和提高系统安全性。第四十条系统运行安全管理1严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。2备份系统与生产系统的系统构成与配置应保持一致，以保证生产系统出现故障时能顺利切换。3严禁擅自修改系统参数，确需修改应严格履行审批手续，由维护岗位人员实施，实施时应有监督，修改后的参数应记录在案。4严禁擅自对业务数据库的数据进行修改或恢复操作，确需操作时应严格履行

13、审批手续，由相关岗位人员实施，并由有关人员监督执行。5对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大事件操作，按*有限责任公司系统升级管理办法由科技信息部从安全角度出发与业务部门密切配合，共同制定详细的计划和方案。第四十一条做好系统的日常安全运行维护工作，不断完善系统运行制度、日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。定期对系统进行备份，并对备份媒体按有关规定指定专人妥善保管，重要业务系统的备份媒体必须异地保存。重要业务系统应由业务部门制定计算机安全保护的应急计划，保证业务的不间断运行，并不断完善应急计划。对涉密的应用系统，应严格执行保密管理的有关规定。

14、第四十二条各级运行机构必须做好对系统的安全监测工作。非营业机构接入生产网，须向科技信息部申请，连接单独设立的服务器。第四十三条严格执行系统废止和销毁的有关安全管理规定。第五章网络安全管理第一节网络管理第四十四条科技信息部应持续建立健全网络安全运行制度，不断健全*网络运行维护实施细则、*系统运行维护实施细则、*计算机系统应急预案等涉及到网络方面的制度，并按制度开展日常工作。第四十五条应配备专职网络管理员。重要网络设备应放置在机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。网管设备属专管设备，必须严格控制其管理员密码。第四十六条重要网络通信硬件设施、网管应用软件设施及

15、网络参数配置应有备份，按*数据备份管理规定执行备份有关工作。第四十七条新建网络、网络改造或变更在投入使用前，科技信息部应制订相应的网络安全防范措施，组织对新建网络或改造后网络实施安全检验，未通过检验不允许投产使用。第四十八条网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在节假日进行，同时做好配置参数的备份和应急恢复准备。第四十九条网络管理员应按照省联社统一发布安全规范实施所负责网络的安全配置，并定

16、期检查与规范的符合性。对网络设备配置命令和响应信息的完整性、合理性及保密性必须进行验证。第五十条与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，提出具体实施方案，并得到充分论证，经过科技信息部审核通过方可实施。第五十一条网络管理人员应随时掌握监测网络运行状况，定期检查网络状况，双机热备对获得的信息进行分析，发现安全隐患应报告部门负责人。第五十二条网络扫描、监测结果和网络运行日志等重要信息应备份存储。第五十三条联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应及时处理。第五十四条科技信息部人员严禁超越网络管理权限，非法操作业务数据信息，不得擅自设置路由与非相关网络进行连

17、接。第五十五条按照我行制定的相关网络安全技术规范要求，对办公用户网、测试网与生产网络实施严格的物理、逻辑隔离措施。第五十六条对计算机网络和数据通信设备的停用、维修、重用和作废环节，应建立安全机制有效清除或销毁敏感信息，防止泄露。第二节内网的使用管理第五十七条由总行办公室(党办)统一为各级机构、各专业分配内部网络电子邮箱和即时通讯软件工具账号，用于日常信息传递。第五十八条由总行办公室(党办)统一为各机构、各部门分配内部相关群组，用于实时信息传递。第五十九条加强内网操作人员权限管理，严格按照权限规定办理业务，无关人员禁止使用内网。第六十条接入内网的计算机未经科技信息部允许不准安装其它软

18、件。第六十一条接入内网的计算机禁止使用各种游戏、娱乐软件。第六十二条严禁擅自将我行内网与外网直接连接。（一）我行内网与企业外单位网络利用专线进行互连的方案，必须报我行总行科技信息部审批，经省联社相关部门同意后方可实施；（二）我行专用网络与INTERNET互联网连接的方案，必须报总行科技信息部审批。不得同一台主机进行内外网切换，严格保持内、外网物理隔离。第六十三条内网的网络设备用户访问内网网络资源应经过安全认证、合理授权。认证应采用高安全强度的认证方式，对用户的权限应合理规划，实现角色的分离和相互制约，限制用户权限尤其是超级用户权限的滥用和误用。第六十四条防火墙策略的制定要严格按照相

19、关网络技术规范进行，防火墙策略的变更应经过科技部部门审批。利用防火墙、防病毒、安全漏洞扫描、网络非法外联、网络入侵检测等软件和工具对获得的信息进行分析时，如发现安全事件，必须按照规定及时处理和报告，并对其日志进行保存和审计。第六十五条严禁外单位（包括供应商和服务商等）通过专线或拨号方式对我行信息系统进行远程维护和技术支持。第三节接入国际互联网管理第六十六条各级机构办公场所禁止私自用各种方式接入互联网。确有特殊需要接入互联网的部门，必须由部门负责人提出书面申请，经主管领导审批，报科技信息部备案，方可接入。并严格保持内、外网物理隔离。第六十七条使用国际互联网的安全管理1 接入国际互联网的机

20、器不得存有涉密金融数据信息，接入国际互联网的计算机上不得使用存有涉密金融数据信息的媒体。2从国际互联网下载的任何信息资源，未经检测并得到许可，不得在本行系统内网上使用。禁止访问或下载与工作无关的信息，禁止访问高风险网站，禁止安装、使用各类游戏、娱乐软件。3接入国际互联网的计算机须安装防病毒系统，并定期升级。严禁利用互联网络传播病毒、散播非法信息、泄露国家和机构的机密。5本单位所属的国际互联网账号不得在本单位之外的其它场所使用。6国际互联网接入账户和密码必须实行专人管理，并不定期更换密码。7确有需要接入国际互联网的部门必须由负责人提出书面申请，送科技信息部初审，报分管行领导签批同意后方可接入。8

21、使用国际互联网的所有用户应遵守国家有关法律法规和相关管理规定，不得从事任何违法违规活动。9. 无线网络只允许访问国际互联网，严禁通过无线网络访问业务运行类系统，无线网络的应用开通范围需由本单位安全管理岗审核。第六十八条各使用部门应自觉接受总行信息安全工作领导小组的监督检查。第六章计算机安全保密管理第一节计算机及相关产品安全管理第六十九条涉密计算机要与公用网络实行物理隔离，不得与因特网、非保密的局域网、非涉密的单机等有任何形式的物理连接。第七十条涉密计算机的使用要由专人负责管理，建立专门用户，并设立密码。第七十一条计算机须安装具有实时监控病毒功能的防毒软件和防火墙产品，并及时升级。利

22、用防毒软件，对需要在计算机使用的外来软盘、光盘等存储介质、下载的网络文件、电子邮件及其附件等进行病毒检查、清除。第七十二条任何单位或个人不得在连接互联网的计算机或网络中存储、处理、传递、发布涉及国家秘密以及*内部商业秘密的信息，当发现信息泄漏，应立即向有关部门报告。第七十三条进行互联网连接的单位和个人，应遵守国家有关法律、法规，严格执行安全保密制度，不得利用计算机国际互联网从事危害国家安全、泄漏国家秘密等违法犯罪活动；不得利用计算机国际互联网进行搜集、整理、窃取国家秘密的活动。第七十四条各级单位和用户原则上不准开设电子公告系统、聊天室等，如确有需要必须上报有关部门审批、备案。第七十五条

23、用户使用电子邮件进行网上信息交流应遵守国家有关保密规定，不得利用电子邮件传递、转发或抄送涉密信息。互联单位、接入单位如有邮件服务器，对其管理的邮件服务器用户应当明确保守国家秘密的要求。第七十六条对于建立主页的单位，应与保密部门签订保密责任协议，并协助保密部门对其主页内容进行保密监督、检查，指定专人负责对信息内容的监督审查。第七十七条由省计算机中心负责开发的软件产品、密钥及技术资料等要进行登记并妥善保管，严防泄漏，指定专人管理已开发的全部程序源码和技术资料，未经科技信息部主管领导批准，不得向外复制、销售、转让软件产品。第七十八条对于操作系统、数据库、网络通讯及安全设备等重要区域均应设置口

24、令，对记录密码的载体应严格管理，确保安全。第二节数据信息的管理第七十九条计算机的存储媒体要依据文件内容准确界定并标注涉密介质的密级和保密期限，按照所标密级和保密期限严格管理。密级和保密期限的界定标注方法等同于同内容的纸质文件。第八十条必须加强数据信息处理全过程的安全管理，保证数据信息的保密性、完整性、可用性、可控性。数据信息的安全管理应做到：1严把数据信息采集关，确保真实、可靠、合法。2据实录入数据信息，严禁凭空输入，对数据信息的修改，必须得到有关部门的批准，并记录备案。3必须采用必要的技术措施保证数据信息传输过程的安全，应使用加密技术对涉密或重要的数据信息实施加密处理。4使用部门应按规

25、定进行数据备份，并检查备份媒体的有效性，送往异地的重要数据磁盘、磁带必须有加密措施，严防泄漏。5在设备维修、报废过程中，要确保其中的数据信息的保密性、完整性。第八十一条涉密媒体包括记录档案资料、软件、数据等的各种载体。保证涉密媒体信息的安全应做到：1各种媒体的收集、保管、使用须按科技档案管理办法执行。2严格分级管理，在媒体使用上，根据媒体的密级，要做到分级使用、定人操作，保留在现场的媒体数量应是系统有效运行所需要的最小数量。3涉密数据在系统进行下载存贮过程中必须采取相应的加密技术措施。4涉密媒体的保管要防磁、防潮、防腐、防霉变，重要磁介质每年要进行翻录或复制，实行异地保管，时限四年。5涉密媒

26、体的传递与外借，应有审批手续和传递记录，涉密媒体传递过程中，要采取必要的防复制及加密等安全措施。6涉密媒体必须按照有关保密管理规定进行管理，严格录入、查询、复制、传递、保管、归档、销毁等各环节的手续；同一媒体上不得混录密和非密信息，如果必须同时录用不同密级的信息，应按存储信息的较高密级进行管理并标明密级。7媒体要根据需要与存储环境定期进行循环复制备份，并进行登记；全部涉密媒体信息的转交、挪动和销毁，相关人员均须在场。8废弃媒体，相关部门应详细登记，妥善保管，每年底报请分管领导批准后，集中统一在保密管理人员监督下进行不可恢复性销毁。第八十二条金融电子化系统中的信息应根据其重要性、密级、应用需求

27、等分别实行相应的加密措施。对绝密级(金融电子化设计方案、金融主要业务的源代码、联行或电子汇兑密押、密钥的文字说明等),机密级（计算机网络设计方案、数据库设计说明、有关电子帐务数据文件、主要业务的目标程序等）,秘密级（省市级项目电报、会计报表、银行重要凭证及帐务等）等信息不得通过互联网传送，机密信息不得以明文形式传送。第三节数据备份与恢复第八十三条省计算机中心负责业务数据和系统方面的备份及恢复。各业务部门负责本部门重要业务数据和资料方面的备份和恢复。第八十四条要确认备份操作准确无误后进行备份操作。各业务部门应将计算机信息数据备份媒体视同重要空白凭证，指定专人负责备份数据媒体的管理。备份数据媒

28、体应按要求写明标识，要确保存放地的安全，并定期进行检查，确保数据的完整性、可用性。第七章第三方访问和外包服务安全管理第一节第三方访问控制第八十五条本办法所称第三方访问是指*之外的单位和个人物理访问省计算机中心机房或者通过网络连接逻辑访问省计算机中心数据库和计算机系统等活动。第八十六条省计算机中心负责涉密计算机系统和网络相关的第三方访问授权审批，科技信息部负责非涉密计算机系统和网络相关的第三方访问授权审批。未经*授权的任何第三方访问均视为非法入侵行为。第八十七条允许被第三方访问的计算机系统和资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监督第三方访问活动。第八十八条获得

29、第三方访问授权的所有单位和个人应与省计算机中心签订安全保密协议，不得进行未授权的修改、增加、删除数据操作，不得复制和泄露*的任何信息。第二节外包服务管理第八十九条本办法所称外包服务是指由*之外的其他社会厂商为*计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。第九十条经科技信息部主管领导批准，外包服务提供商可提供上门维修服务并由*科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离*。第九十一条计算机设备确需送外单位维修时，应彻底清除所存工作信息，与密码设备配套使用的计算机设备送修

30、前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。第八章计算机病毒防范的安全管理第九十二条必须指定专人定期用防病毒软件查杀本单位计算机信息系统，并做检测、清除的记录；必须按有关操作规定定期更新防病毒产品版本。从计算机信息网络上下载程序、数据或购置、维修、接入计算机设备时，应当进行计算机病毒检测。第九十三条必须采用有公安部“销售许可”标志的防病毒产品，对本单位的病毒防治产品或系统必须有专人管理，并由科技档案管理人员妥善保存产品媒体及其备份。第九十四条对于生产网使用的计算机，各级单位必须根据总行科技信息部的部署，安装统一的防火墙、防病毒、入侵监测、安全漏洞扫

31、描等安全产品。第九十五条不得制作、传播计算机病毒。对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故要逐级向计算机管理部门报告。第九章信息通报与灾难备份第一节信息通报第九十六条各支行应对网点信息安全事件实行报告制度。一般信息安全事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件（下称“重大信息安全事件”）发生后的20分钟内逐级报省计算机中心及相关部门，省计算机中心主管领导决定是否发布预警信息或启动辖内应急预案。第九十七条重大信息安全事件发生后，各机构相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及

32、时报告本单位主管领导。第二节灾难备份管理第九十八条灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件（以下称“灾难”）发生后在规定的时间内可以恢复和继续运营的有序管理过程。第九十九条由省计算机中心按照“统筹安排、资源共享、平战结合”的原则，负责重要信息系统灾难备份的统一规划、实施和管理。第一百条应建立健全灾难恢复计划，定期开展灾难恢复培训。在条件许可的情况下，由相关部门统一部署，重要信息系统至少每年进行一次灾难恢复演练，包括异地备份站点切换演练和本地系统灾难恢复演练。第十章安全

33、监测、检查、评估与审计第一节安全监测第一百零一条科技信息部要及时预警、响应和处置运行监测中发现的问题，发现重大隐患和运行事故应及时协调解决，并逐级上报省计算机中心。第二节安全检查第一百零二条科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查，检查方式可以是自查、互查或上级检查等多种方式。第一百零三条在开展安全检查前应以安全管理制度为依据，制定详细的检查方案和计划，确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告，经主管领导批准后将检查整改报告尽快送达被检查单位，要求限期整改的，需要对相关整改情况进行后续跟踪。第一百零四条参加检查的人员对检查中的涉密信息负有保密责

34、任。所有检查报告和资料应作为我行内部材料妥善保管，不得向外界泄漏。第三节安全评估第一百零五条科技信息部可采用自评估、检查评估和委托评估等方式对辖内信息系统进行安全评估。第一百零六条安全评估应在不影响信息系统正常运行的情况下进行。评估开始前应制定评估方案并进行必要的培训。评估结束后，形成评估报告，提出整改意见报科技信息部主管领导。第一百零七条如聘请第三方机构进行安全评估，应报省计算机中心批准，并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。第一百零八条应妥善保管信息安全评估报告，未经授权不得对外透露评估信息。第四节安全审计第一百零九条科技

35、信息部在支持与配合内审部门开展审计信息安全工作的同时，应适时开展辖内的信息系统日常运行管理和信息安全事件全过程的技术审计。第十一章访问控制策略第一节对系统的访问验证策略第一百一十条操作员管理，操作员在不同的系统中定义可能会有区别，比如在柜台交易系统的主要操作员为营业部的柜员。1、应用系统有操作员管理模块，单独对操作员的信息、密码、权限等进行管理。2、操作员进入任何应用系统模块之前，先经过用户身份认证。3、应用系统检测身份认证不成功的次数，当达到或超过定义的不成功次数时，系统拒绝用户进入系统并进行记录。4、操作员对系统的操作对象有单独的权限控制。5、操作员对系统的功能（通常体现为菜单），应

36、该有单独的权限控制。第一百一十一条管理员操作系统的访问 1、UNIX系统使用SSH登录系统。2、进入操作系统必须执行登录操作，禁止将系统设定为自动登录。3、记录登录成功与失败的日志。4、登录后5分钟内未有任何操作，系统将自动断开（远程登录）、退出（本地登录）或锁定。5、日常非系统管理操作时，只能以普通用户登录。6、启用操作系统的密码管理策略（如密码至少8位，字母数字组合等），保证用户密码的安全性。7、针对系统需要，启用相应的日志记录包括：登录、登出，系统报警，安全日志，重要应用程序日志，重要文件访问日志。为保证日志的准确性，应正确设置计算机时钟。8、对于系统管理的程序或工具必须设置日志，记录

37、使用情况，包括：用户、时间、操作等。9、发现违反安全访问策略的情况，及时处理，并通知当事人，必要时进行惩罚。第一百一十二条无人值守的用户设备验证策略对于无人值守的用户设备必须设置自动屏保程序，同时要求用户在离开时将屏幕锁住。当登录到一个系统完成任务，或长时间不使用时要从系统注销。终端暂时不用时，应使用密码屏幕保护安全，长时间不用时要关闭计算机。第2节对网络设备的访问控制策略第一百一十三条本行网络架构的设计和部署必须严格遵守网络访问控制的相关要求。所有访问或接入本行生产网络的各类设备必须满足科技信息部门颁布的技术标准，根据省联社统一制度的技术标准采取必要的网络接入控制措施，禁止非授权终端

38、的网络接入，并受科技信息部门的统一管理。第一百一十四条所有网络设备的登陆密码以及各类网络服务密码均应被严格保护，禁止任何形式的“设备原始通用密码”或启用自动登陆程序，并不得违规向未授权机构及个人披露。第二节账号密码验证策略第一百一十五条 *各系统账号和密码由各业务部门管理和设定，包括核算中心管理综合业务系统、风险管理部管理信贷管理系统、办公室管理OA办公自动化系统、电子银行部管理网上银行内管系统，为各系统用户设置初始密码。总行科技信息部系统管理员负责监督和保密管理。总行科技信息部负责解释*办公、生产网络上账号规则和标准。第一百一十六条作为用于临时性、数据测试账号，要与正式账号区分开，

39、并保证不能登录运行中的办公、业务生产网络，在到期或测试结束时应及时将该账号删除。第一百一十七条 *系统管理员密码须定期更换，更换后的密码留存纸质记录，由专人按绝密数据保管。第一百一十八条账号验证管理（一）账号命名规则。1、*密码由大小写字母、数字和特殊符号组成，要求8位以上，并且有一定的复杂性。所有用户最少要有8个字符，必须由字母、数字以及特殊字符组成。2、普通用户至少每三个月更改一次密码，免再次使用旧密码或循环使用旧密码。3、首次登录时应更改初始密码。（二）账号申领1、只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。2、一人一账号，以便将

40、用户与其操作联系起来，使用户对其操作负责。3、管理员必须维护对注册使用服务的所有用户的正式记录。4、用户因工作变更或离开公司时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改密码等相应的措施规避该风险。（三）账号管理规范不允许将个人使用的账号告知他人。个人计算机系统中不允许有不明用途的账号存在。员工在暂时离开自己的计算机时，必须将自己的计算机锁定。第一百一十九条密码验证管理（一）密码选取用户应该有意识地选择强壮的密码（即难以破解和猜测的密码），不要使用弱密码。1、弱密码有以下特征：密码长度少于6个字符；密码是可以在字典中直接发现的单词密码比较常见，例如：家人名字、

41、朋友名字、同事名字等等；计算机名字、术语、公司名字、地名、硬件或软件名称：生日、个人信息、家庭地址、电话：某种模式的，例如aaabbb、asdfgh、123456、123321等等：任何上面一种方式倒过来写；任何上面一种方式带了一个数字。2、强壮的密码具备以下特征：同时具备大写和小写字符；8个字符或者以上；不是字典上的单词或者汉语拼音；不基于个人信息、名字和家庭信息。（二）密码申领1、初始密码在创建用户时设定，初次登录时操作系统或者管理员必须强制修改密码，不能使用缺省设置的密码。2、用户忘记密码时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时密码。3、在向用户提供临时密码时

42、，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。4、测试环境的账号与生产环境的账号使用不同的密码。5、前置系统、生产系统密码由科技信息部安排专人负责，确保密码的安全。6、各支行密码如丢失，应及时向总行科技信息部报备书面材料，及时申请新的密码。7、如发生密码泄密现象，系统管理员要立刻报告本单位负责人，同时及时更换密码，确保系统安全。（三）密码管理规范1、不要把自己密码共享给他人。用户应保证密码安全，不得向其他任何人泄漏。2、密码不能在电子邮件或者其他电子方式下以明文方式传输，不要以明文的方式记录在纸上，不能以明文方式记录计算机内。在别人面前谈论不要提到密码。不要暗示自己密码的格式

43、。不要在调查中给出密码。3、不要使用非授权和许可的密码记忆软件。不要在任何自动登录程序中使用密码，如在宏或功能键中存储。4、如果密码可能被破解了，应立即更改密码。5、不要使用别人通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的密码不要连续使用同一字符，不要全部使用数字，也不要全部使用字母，不要用英文单词或重要记念日。6、员工每天工作完成后，必须将自己的计算机注销或关闭后才可以离开。第十二章安全方式处理保密信息的输入和输出第一百二十条金融电子化系统中的信息应根据其重要性、密级、应用需求等分别实行相应的加密措施。对绝密级(金融电子化设计方案、金融主要业务的源代码、联行或电子汇兑密

44、押、密钥的文字说明等),机密级（计算机网络设计方案、数据库设计说明、有关电子帐务数据文件、主要业务的目标程序等）,秘密级（省市级项目电报、会计报表、银行重要凭证及帐务等）等信息未经加密处理不得通过互联网传送，机密以上信息（含机密）不得以明文形式传送。第一百二十一条必须加强数据信息处理全过程的安全管理，保证数据信息的保密性、完整性、可用性、可控性。数据信息的安全管理应做到：1、严把数据信息采集关，确保真实、可靠、合法。2、据实录入数据信息，严禁凭空输入，对数据信息的修改，必须得到科技信息部的批准，并记录备案。3、必须采用必要的技术措施保证数据信息传输过程的安全，应使用加密技术对涉密或重要的数据

45、信息实施加密处理。4、使用部门应按规定进行数据备份，并检查备份媒体的有效性，送往异地的重要数据磁盘、磁带必须有加密措施，严防泄漏。5、在设备维修、报废过程中，要确保其中的数据信息的保密性、完整性。第一百二十二条对于远程接入程序，数据必须经过加密传输；对于柜员和客户密码必须经过加密存储。加密算法要采取国际上流行的算法。1、数据传输过程，均需加密后传送；2、数据传输过程除对数据包有加密方式外，应对合法性有相应的验证；3、应支持客户自定义的加密与校验算法；4、数据传输要具有强壮性，异常发生后能够自动恢复正常状态，同时控制同一请求不会被重复处。第十三章附则第一百二十三条本办法由*有限责任公司负责制定、解释和修改。第一百二十四条本办法自下发之日起执行。

展开阅读全文