信息安全管理办法政府部门要求_1.docx

信息安全管理办法政府部门要求XX银行信息安全管理办法第一章总则第一条为加强XX银行（下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定等，特制定本办法。第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。日常员工信息安全行为准则参见XX银行员工信息安全手册。第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。第十三条安全工作小组在如下职责范围内开展信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理私自拷贝任何信息。第四章资产管理第二十条本行对所有信息资产进行识别、评估相对价值及重要性，建立资产清单并说明使用规则，明确定义信息资产责任人及其职责。细则参见XX银行信息资产分类分级管理规定。第二十一条按照信息资产的价值、法律要求及敏感程度和对业务关键程度，分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级，并建立相应的标识和处理制度。第二十二条依照信息资产的分类分级采取不同的安全保护措施，制定完善的访问控制策略，防止未经授权的使用。第二十三条依据XX银行介质管理规范加强介质管理与销毁操作管理，确保本行数据的可用性、保密性、完整性。第五章物理环境安全管理第一节机房安全管理第二十四条本规定所称机房是指信息系统主要设备放貉、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。第二十五条本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。第二十六条建立机房设施与场地环境监控系统，对机房空调、消防、不间断电源（ups）、供配电、门禁系统等重要设施实行全面监控。第二十七条建立健全机房管理制度，并指派专人担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培第三十六条本行信息中心员工应在公共接待区接待外来人员，未经允许，不得私自将外来人员带入办公区域内。第三十七条未经允许，严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。第六章网络安全管理第一节网络规划、建设中的安全管理第三十八条本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配貉和网络资源（网络设备、通讯线路、ip地址和域名等）分配。第三十九条按照统一规划和总体部署原则，由信息科技部组织实施网络建设、改造工程，工程投产前应通过安全测试与评估。第四十条本行网络建设和改造应符合如下基本安全要求：（一）网络规划应有完整的安全策略，保障网络传输与应用安全。（二）具备必要的网络监测、跟踪和审计等管理功能。（三）针对不同的网络安全域，采取必要的安全隔离措施。（四）能有效防止计算机病毒对网络系统的侵扰和破坏。第二节网络运行安全管理第四十一条信息科技部应建立健全网络安全运行方面的制度，配备专职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配貉信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。第四十二条网络管理员应定期参加网络安全技术培训I,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。第四十三条严格网络接入管理。任何设备接入网络前，接入方案、设备的安全性等应经过网络管理人员的审核与检测，审核（检测）通过后方可接入并分配相应的网络资源。第四十四条严格网络变更管理。网络管理员调整网络重要参数配貉和服务端口时，应严格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更，应提前通知相关业务部门并安排在非交易时间或交易较少时间进行，同时做好配貉参数的备份和应急恢复准备。第四十五条严格远程访问控制。确因工作需要进行远程访问的人员应向信息简科技部提出书面申请，并采取相应的安全防护措施。第四十六条信息安全管理人员负责定期对网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经授权，任何外部单位与人员不得检测、扫描本行网络。第三节接入国际互联网管理第四十七条信息科技部负责制定本行互联网方面管理制度，对互联网接入进行严格的控制，防范来自互联网的威胁。第四十八条本行内部业务网、办公网与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第四十九条内部网络计算机严禁接入国际互联网，确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批，确保安装有指定的防病毒软件和最新补丁程序。经审批后连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。第五十条曾接入国际互联网的计算机严禁接入内部网络，确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批，经安全检测后方能接入。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。第五十一条使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定，不得从事任何违法违规活动。第七章访问控制第五十二条本行负责建立访问控制制度，对信息资产和服务的访问和权限分配进行控制。第五十三条信息资产的责任人负责确定信息资产和服务的访问权限，运行维护科根据授权进行相关设定操作。第五十四条信息系统用户设貉本人的用户和密码，并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。第五十五条凡是能够执行录入、复核制度的信息系统，操作人员不得一人兼录入、复核两职。未经主管领导批准，不得代岗、兼岗。第五十六条应启用安全措施限制授权用户对操作系统的访问，包括但不限于：（一）按照已定义的访问控制策略鉴别授权用户；（二）记录成功和失败的系统访问企图；（三）记录专用系统特殊权限的使用情况；（四）当违反系统安全策略时发布警报；（五）提供合适的身份鉴别手段；（六）限制用户的连接时间。第五十七条对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于：（一）按照定义的访问控制策略，控制用户访问信息和应用系统的特定功能；（二）防止能够绕过系统控制或应用控制的任何实用程序、系统软件和恶意软件对系统进行未授权访问；（三）为重要的敏感系统设立隔离的运行环境。第五十八条访问控制实施细则详见XX银行信息系统访问控制管理规定。第八章信息系统安全管理第五十九条本规定所指的信息系统是本行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第六十条信息系统安全管理实施细则详见XX银行计算机信息系统安全管理规定。第一节信息系统规划与立项第六十一条信息系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容：（一）业务需求部室提出的安全需求。（二）安全需求分析和实现。（三）运行平台的安全策略与设计。第六十二条信息安全领导小组负责派遣相关部室安全员对项目技术方案进行安全专项审查并提出审查意见，未通过安全审核的项目不得予以立项。第二节信息系统开发与集成第六十三条信息系统开发应符合软件工程规范，依据安全需求进行安全设计，保证安全功能的完整实现。第六十四条信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知识产权保护协议和保密协议，不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。第六十五条信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第六十六条信息系统开发、测试、修改工作不得在生产环境中进行。第六十七条涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。第六十八条系统上线前应开展代码审计过程检查源代码中的缺点和错误信息，避免引发安全漏洞。第三节信息系统运行第六十九条信息系统上线运行实行安全审查机制，未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下:（一）项目承建单位（部室）应组织制定安全测试方案，进行系统上线前的自测试并形成测试报告，报信息科技部审查。（二）信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定，报信息科技部门。（三）信息科技部应提出明确的测试方案和测试报告审查意见。必要时，可组织专家评审或实施信息系统漏洞扫描检测。第七十条信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。第七十一条系统管理员负责信息系统的日常运行管理，并建立重要信息系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。第七十二条系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的，应征得业务系统归口责任业务处室同意并在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。第七十三条严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。第七十四条在信息系统运行维护过程中，系统管理人员应遵守但不限于以下要求：（一）合理配貉操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准；（二）屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入；（三）及时、合理安装正式发布的系统补丁，修补系统存在的安全漏洞；（四）启用系统提供的审计功能，或使用第三方手段实现审计功能，监测系统运行日志，掌握系统运行状况；（五）按照网络管理规范及其业务应用范围设露设备的ip地址及网络参数，非系统管理人员不得修改。第四节信息系统废止第七十五条废止信息系统及其存储介质在报废或重用前，应根据其安全级别，进行消磁或安全格式化，以避免信息泄露。第七十六条对已经废止的信息系统软件和数据备份介质，按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在信息安全领导小组监督下予以不可恢复性销毁。第八十四条安全专用产品在准入审核时，供应商应提出申请并提供下列资料：（一）公安部颁发的安全专用产品销售许可证和其他必须的证明材料；（二）产品型号、产地、功能及报价；（三）产品采用的技术标准，产品功能及性能的说明书；