XX商业银行信息安全管理办法
农商行信息系统安全管理办法模版
农商行信息系统安全管理办法第一章总则第一条为了有效防范和控制农商行(以下简称“信用社”)信息系统安全风险,保障系统稳定运行,为业务发展提供有效的科技安全保障。
根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合实际,制定本办法。
第二条本办法适用于全省农商行(含农村合作银行、农村商业银行)。
第三条信息系统安全管理工作的指导方针是“预防为主,安全第一,合规管理,综合治理”。
第四条信息系统安全投入的策略是“重点保护,同步建设”,集中资源优先保护涉及核心业务或关键信息资产的信息系统,信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
第五条信息系统安全管理主要包括人员管理、第三方访问和外包服务安全管理、机房环境和设备管理、网络安全管理、软件安全管理、系统规划、开发、运行和变更安全管理、数据与文档安全管理、容灾备份与应急管理等内容。
第六条信用社员工不得利用计算机信息系统从事危害国家利益、信用社利益、客户和员工合法利益的活动,不得损害计算机信息系统的安全。
第七条信用社员工发现危害计算机信息系统安全的行为,有权利制止并向各级科技部门举报。
第二章组织机构和职责第八条各级农商行应当成立信息安全领导小组(以下简称“安全领导小组”)。
组长由分管科技的领导担任,成员由科技及相关业务部门负责人组成。
安全领导小组下设办公室(以下简称“安全办公室”),安全办公室设在各级科技部门。
省联社科技部门设置专职信息系统安全管理员,市级科技部门和县级科技部门设置专(兼)职信息系统安全管理员。
信息系统安全管理员的数量根据信息系统数量、复杂程度和监管要求确定。
第九条安全领导小组主要职责:(一)负责辖内重大信息安全事项的决策和审批;(二)负责确定信息系统安全管理组织和职责划分,授权有关部门和人员组织开展信息安全工作;(三)监督检查信息系统安全管理相关规章制度的执行情况。
商业银行信息安全管理办法
商业银行信息安全管理办法随着互联网与数字化时代的来临,商业银行在日常运营中积累了大量的客户信息,包括但不限于个人身份信息、财产状况以及交易记录等。
这些信息的安全性和保密性对于商业银行来说至关重要。
为了保护银行及客户的利益,商业银行制定并实施了信息安全管理办法。
一、信息安全管理目标商业银行信息安全管理的目标是确保客户信息及交易数据的保密性、完整性和可用性。
具体包括以下几个方面:1. 保密性:商业银行应采取各种安全措施,确保客户个人信息不被未经授权的人员获取。
2. 完整性:商业银行应确保客户信息和交易数据的完整性,防止数据在传输和存储过程中被篡改。
3. 可用性:商业银行应保证客户信息和交易数据的及时可用,以满足客户的需求。
二、信息安全管理措施为了实现上述目标,商业银行应采取以下管理措施:1. 风险评估和管理:商业银行应定期进行信息安全风险评估,发现潜在的安全风险,并采取相应的管理措施进行控制和预防。
2. 信息保密措施:商业银行应建立信息保密制度,对客户信息的获取、存储和传输进行严格的控制和保护,确保信息的保密性。
包括但不限于加密通信、访问控制、密码保护等。
3. 信息完整性保护:商业银行应建立完整性保护机制,防止信息在传输和存储过程中被篡改。
采用数字签名、数据备份、传输完整性校验等技术手段,确保信息不被篡改。
4. 系统安全管理:商业银行应建立并持续更新技术设备和系统,确保其安全性和稳定性。
包括但不限于系统漏洞修复、威胁检测和入侵防护等。
5. 员工培训和管理:商业银行应对员工进行信息安全培训,提高员工对信息安全的认识和意识,并建立相应的管理制度,包括员工职责和权限分配、内部审核等。
6. 事件应对和恢复:商业银行应建立信息安全事件应对和恢复机制,及时应对和处理各类安全事件,并尽快恢复受影响的系统和数据。
三、合规与违规处理商业银行应依法合规,并根据相关法律法规制定相应的信息安全管理制度。
对于发现的违规行为,商业银行应及时采取纠正措施,并对相关责任人进行相应的违规处理。
XX商业银行信息安全管理办法
XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。
第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。
第四条本办法适用于本行。
所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。
第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。
第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。
第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。
第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。
第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
日常员工信息安全行为准则参见《XX银行员工信息安全手册》。
第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。
第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十二条信息安全管理人员每年至少参加一次信息安全相关培训。
第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。
XX农商银行储蓄客户信息安全管理细则
XX农商银行储蓄客户信息安全管理细则一、总则信息安全是XX农商银行的重要任务,是保护客户隐私的法律义务。
为了加强储蓄客户信息的安全管理工作,确保客户个人信息的保密性、完整性和可用性,特制定本细则。
二、储蓄客户信息的收集、使用和保存1.储蓄客户的个人信息应当通过合法、正当的方式进行收集。
未经客户同意,不得收集客户的隐私信息。
2.储蓄客户的个人信息只能被用于与客户业务相关的合法用途,禁止将客户个人信息用于商业推销等其他目的。
3.储蓄客户的个人信息应当妥善保存,并采取合理的安全措施加以保护,防止信息泄露、篡改和丢失。
4.储蓄客户的个人信息保存期限按照法律规定执行。
客户要求删除或更正个人信息时,应及时响应并予以执行。
三、储蓄客户信息的访问权限管理1.XX农商银行应当建立储蓄客户信息访问权限管理制度,确保只有授权人员能够访问客户的个人信息。
2.对于需要访问储蓄客户信息的员工,应当进行严格的审核,确保其具备相应的资质和专业能力,并签署保密承诺书。
3.储蓄客户信息的访问记录应当完整保存,并定期审计。
如有异常访问行为,应及时发现并采取相应措施。
四、储蓄客户信息的传输与共享1.在储蓄客户信息传输过程中,应当采取加密等合理的安全措施,确保信息不被非法截获和篡改。
2.XX农商银行仅在获得客户明确同意的情况下与第三方共享客户信息,并与第三方签订保密协议或合作协议,明确双方的权责和保密义务。
3.XX农商银行严禁将储蓄客户信息提供给没有合法资质和授权的机构或个人。
五、储蓄客户信息安全事件的应急处理1.XX农商银行应当建立完善的信息安全事件应急处理机制,确保储蓄客户信息泄露、篡改等安全事件的及时处理和报告。
2.一旦发生储蓄客户信息安全事件,应当立即启动应急预案,迅速定位问题,采取紧急措施并进行相应整改。
3.储蓄客户信息安全事件应当及时向客户进行通报,并积极配合客户进行信息恢复和损失降低。
六、储蓄客户信息安全培训与宣传1.XX农商银行应当定期对员工进行信息安全培训,提高员工的信息安全意识和技能,加强垃圾邮件、网络钓鱼等安全防范能力。
商业银行客户信息保护管理办法
商业银行客户信息保护管理办法第一章总则第一条为加强银行客户信息保护管理,确保客户信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国消费者权益保护法》、《中华人民共和国个人信息保护法》、《人民银行金融消费者权益保护实施办法》等法律法规以及相关监管要求,制定本办法。
第二条本办法所称客户信息,是指本行在开展业务或者提供服务过程中,获取的与客户有关的信息。
客户信息中,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息(不包括匿名化处理后的信息)属于个人信息。
第三条客户信息保护涉及各部门、各领域的客户信息的收集、传输、加工、使用、保存、查询、报送、公开、删除和供第三方使用等全过程。
第四条本行客户信息实行分级授权管理,根据客户信息的重要性、敏感度及业务开展需要,在不影响履行反洗钱等法定义务的前提下,采取相应的安全技术措施,合理确定各级员工处理信息的范围、权限及程序。
第五条客户信息中涉及国家秘密事项,国家主管部门有保密管理规定的,应严格依照相关规定办理。
如无相关规定,依照本办法办理。
第六条本办法适用于本行境内各级机构。
第二章部门职责第七条本行客户信息保护遵循“谁主管,谁负责;谁研发,谁负责;谁使用,谁负责”的基本原则。
各部门对本条线客户信息保护工作负责,各级行对辖内客户信息保护工作负责。
第八条总行相关部门的职责为:(一)运营管理部负责牵头制定全行客户信息保护管理办法,负责运营条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。
(二)个人金融部牵头,远程银行中心、个人信贷部、私人银行部、农户金融部、网络金融部、信用卡中心等部门配合制定个人客户信息保护管理制度,负责本条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。
XXX银行信息科技安全管理制度
XXXX银行股份有限公司信息科技安全管理制度第一章总则为加强XXXX银行(以下简称“本行”)信息科技安全管理,确保信息科技系统的安全、稳定运行,参照有关信息科技安全管理规定,结合本行实际,特制定本管理规定。
第一条信息化建设基本规则(一)统一发展规划。
根据本行的的总体信息规划,结合本行实际,制定信息化建设工作计划。
(二)统一规范标准。
认真做好信息科技工作的组织建设、岗位落实、安全管理等方面工作,不断加强关键环节的内部控制和风险防范。
(三)统一设备选型。
购置同一型号电子设备、安全配套设施。
(四)统一应用软件。
为保证信息系统的应用安全,本行使用统一开发和推广的应用软件。
第二条机构设置。
本行信息科技工作由综合管理部负责管理。
第三条信息科技工作职责(一)研究制定信息科技发展计划并组织实施,负责提出信息科技需求,指导和协调全行信息科技工作的稳步发展;(二)负责配合做好各类应用系统的应用推广工作,并负责日常的管理维护、技术服务等工作,保障各应用系统安全稳定运行;(三)负责电子设备及耗材的采购与管理;(四)负责自助设备的安装、管理与维护;(五)负责协助有关部门做好业务拓展相关的技术支持服务;(六)负责信息科技安全检查、监督,定期对信息科技风险进行研究分析,及时发现工作中存在的问题,并进行整改;(七)负责信息系统突发事件应急管理,制定应急预案并组织定期演练;(八)负责信息科技工作进行评价、考核、奖惩;(九)负责组织实施信息科技相关的技能培训和安全培训;(十)完成信息科技工作相关的其他工作。
第二章安全管理第一节组织管理第三条信息科技安全管理实行“预防为主、综合治理、人员防范与技术防范相结合”的原则,建立安全管理责任制,逐步实现科学化、规范化管理。
第四条安全组织(一)本行设立以董事长为组长、行长为副组长、相关负责人为成员的信息科技安全管理领导小组,负责本行信息科技安全管理工作。
各支行也要相应成立以支行行长为组长,相关人员为成员的信息科技安全领导小组。
商业银行信息系统安全等级保护管理办法(最新版)
商业银行信息系统安全等级保护管理办法(最新版)目录第一章总则 (1)第二章职责分工 (1)第三章定级 (3)第四章备案 (4)第五章测评 (4)第六章常规管理 (5)第七章附则 (6)第一章总则第一条为规范银行信息系统安全等级保护管理工作,落实金融行业信息系统安全等级保护工作监管要求,切实提高信息安全保障能力和安全防护水平,结合邮储银行实际情况,特制定本办法。
第二条银行信息系统安全等级保护是根据我行信息系统在国家安全、社会稳定、经济秩序、公共利益等方面的重要程度,以及风险威胁、安全需求、安全成本等因素,对信息系统进行安全保护等级定级、备案、测评,并采取相应等级的安全保护技术和管理措施,以保障我行信息系统安全和金融信息安全。
第三条本办法适用于银行总行及各级分支机构信息系统安全等级保护管理工作,也可作为各级机构进行信息安全等级保护工作监督、检查、指导的依据。
第二章职责分工第四条信息系统安全等级保护管理工作实行统一领导、分级管理的原则,总行统一领导全行的信息系统安全等级保护定级管理,具体工作由总行运行管理部和信息科技建设部共同承担。
各分支机构负责本分支机构辖内的信息系统安全等级保护定级管理。
第五条银行信息化委员会为我行信息系统安全等级保护工作的领导机构,其主要职责包括:(一)总体掌握和制定银行信息系统安全等级保护的安全目标和安全策略;(二)决策信息安全重大事宜;(三)协调信息系统等级保护定级管理相关机构的工作;(四)审定信息系统的安全等级保护级别;(五)监督、审核各级机构信息系统安全等级保护管理工作。
第六条总行运行管理部在信息系统安全等级保护管理工作中的主要职责包括:(一)组织开展已运行信息系统等级保护定级备案工作;(二)组织开展三级以上(含三级)重要信息系统的第三方安全测评工作;(三)向信息化委员会汇报信息系统安全测评报告,追踪安全测评整改结果;(四)按照相应等级安全要求,对已通过等级保护测评的上线运行信息系统进行物理环境、网络、主机、应用、数据等方面的信息安全保障工作;(五)定期组织对已通过等级保护测评的上线运行信息系统的安全检查,对存在的问题提出整改意见,并对检查情况进行通报;(六)指导各一级分行开展信息系统安全等级保护工作,并对相关工作进行监督和审查。
商业银行信息安全管理办法
商业银行信息安全管理办法商业银行信息安全管理办法第一章绪论一、为了保障商业银行信息系统及其信息安全,规范信息安全管理,提升信息安全保障能力,制定本办法。
二、本办法合用于商业银行信息系统及其信息安全管理。
其中,信息系统包括硬件设施、软件系统、数据资源及信息流程;信息安全包括机密性、完整性和可用性。
第二章基本原则一、依据法律法规,建立信息安全管理制度。
二、对信息安全事件及时响应,采取应急处置措施。
三、开展内部安全演练和测试,提升信息安全保障能力。
四、加强对员工信息安全意识和技能的培训。
第三章责任分工一、商业银行领导层负责信息安全工作的规划、指导、监督和检查。
二、信息安全管理部门负责信息安全管理的日常工作,制定安全策略、安全标准和安全管理流程,进行安全风险评估和漏洞扫描,提供安全加固方案和技术支持。
三、各部门应按照安全管理制度执行信息安全工作,并配合信息安全管理部门的工作。
四、员工应按照安全管理制度执行信息安全工作,增强信息安全意识,妥善保管自己的账号和密码。
第四章安全防范措施一、外部安全防范(一)物理安全:建立信息系统进出管理制度,采取门禁、巡逻、监控等措施;安装防盗报警设备;保护电力、通讯路线等。
(二)网络安全:采取防火墙、入侵检测、加密传输等技术手段;对外网址进行封堵;禁止员工安装未经授权的软件。
(三)应用安全:对系统和应用程序进行定期升级和修补;使用安全加固软件;规定开辟和测试规范,并对其进行审计。
二、内部安全防范(一)设备安全:规定使用设备安全制度;规定信息系统运行环境和物理安全规范;监控设备内部操作。
(二)数据安全:加密存储重要数据资料;完善备份计划;规定数据访问权限;监控数据修改和删除。
(三)应用安全:进行代码审计,避免漏洞;建立应用安全测试流程,确保代码的质量;建立应用安全问题处置流程,及时解决问题。
(四)员工安全:规定员工离职、变更部门等手续;对员工进行信息安全培训;规定员工对信息安全责任的承担。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。
第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。
第四条本办法适用于本行。
所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。
第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。
第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。
第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。
第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。
第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
日常员工信息安全行为准则参见《XX银行员工信息安全手册》。
第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。
第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十二条信息安全管理人员每年至少参加一次信息安全相关培训。
第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。
(三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
(四)统计分析和协调处置信息安全事件。
(五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十四条信息安全领导小组成员在如下职责范围内开展工作:(一)负责本行信息安全管理体系的落实。
(二)负责提出本行信息安全保障需求。
(三)负责组织开展本行信息安全检查工作。
第二节技术支持人员第十五条本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:(一)不得对外泄漏或引用工作中触及的任何敏感信息。
(二)严格权限访问,未经业务主管部室授权不得擅自改变系统设置或修改系统生成的任何数据。
(三)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处置。
(四)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第十七条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺,签署保密协议。
提供技术服务期间,严格遵守本行相关安全规定与操作规程。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第三节一般计算机用户第十八条本规定所称一般计算机用户是指使用计算机设备的所有人员。
第十九条一般计算机用户应承担如下安全义务:(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部室信息安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置以屏蔽信息安全防护。
(三)不得在办公用计算机上安装任何盗版或非授权软件。
(四)未经信息安全管理人员检测和授权,不得将内部网络的计算机转接入国际互联网;不得将个人计算机接入内部网络或私自拷贝任何信息。
第四章资产管理第二十条本行对所有信息资产进行识别、评估相对价值及重要性,建立资产清单并说明使用规则,明确定义信息资产责任人及其职责。
细则参见《XX银行信息资产分类分级管理规定》。
第二十一条按照信息资产的价值、法律要求及敏感程度和对业务关键程度,分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级,并建立相应的标识和处理制度。
第二十二条依照信息资产的分类分级采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权的使用。
第二十三条依据《XX银行介质管理规范》加强介质管理与销毁操作管理,确保本行数据的可用性、保密性、完整性。
第五章物理环境安全管理第一节机房安全管理第二十四条本规定所称机房是指信息系统主要设备放置、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十五条本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。
第二十六条建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第二十七条建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。
机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第二十八条建立机房定期维修保养制度。
易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二十九条依据《浙江省农村合作金融机构机房管理指引》进一步规范机房建设、改造和验收过程,落实机房管理。
第三十条信息安全领导小组负责定期审核机房安全管理落实情况,并保留相应的审核记录和审核结果。
第二节重要区域安全管理第三十一条本章节所指重要区域为:本行信息中心主备机房和运维监控室等区域。
本行信息中心负责制定和执行运维监控方面的安全管理制度。
第三十二条重要区域应严格出入安全管理,安装门禁、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。
第三十三条所有门禁、视频监视录像系统的信息资料至少保存三个月。
第三节办公环境安全管理第三十四条在本行大楼入口应设置门卫或接待员,负责出入或公共访问区域的物理安全管理和外来人员的出入登记。
第三十五条本行信息中心楼层设立门禁,加强人员进出管理。
第三十六条本行信息中心员工应在公共接待区接待外来人员,未经允许,不得私自将外来人员带入办公区域内。
第三十七条未经允许,严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。
第六章网络安全管理第一节网络规划、建设中的安全管理第三十八条本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP 地址和域名等)分配。
第三十九条按照统一规划和总体部署原则,由信息科技部组织实施网络建设、改造工程,工程投产前应通过安全测试与评估。
第四十条本行网络建设和改造应符合如下基本安全要求:(一)网络规划应有完整的安全策略,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪和审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
(四)能有效防止计算机病毒对网络系统的侵扰和破坏。
第二节网络运行安全管理第四十一条信息科技部应建立健全网络安全运行方面的制度,配备专职网络管理员。
网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
第四十二条网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。
第四十三条严格网络接入管理。
任何设备接入网络前,接入方案、设备的安全性等应经过网络管理人员的审核与检测,审核(检测)通过后方可接入并分配相应的网络资源。
第四十四条严格网络变更管理。
网络管理员调整网络重要参数配置和服务端口时,应严格遵循变更管理流程。
实施有可能影响网络正常运行的重大网络变更,应提前通知相关业务部门并安排在非交易时间或交易较少时间进行,同时做好配置参数的备份和应急恢复准备。
第四十五条严格远程访问控制。
确因工作需要进行远程访问的人员应向信息简科技部提出书面申请,并采取相应的安全防护措施。
第四十六条信息安全管理人员负责定期对网络进行安全检测、扫描和评估。
检测、扫描和评估结果属敏感信息,不得向外界提供。
未经授权,任何外部单位与人员不得检测、扫描本行网络。
第三节接入国际互联网管理第四十七条信息科技部负责制定本行互联网方面管理制度,对互联网接入进行严格的控制,防范来自互联网的威胁。
第四十八条本行内部业务网、办公网与国际互联网实行安全隔离。
所有接入内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
第四十九条内部网络计算机严禁接入国际互联网,确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批,确保安装有指定的防病毒软件和最新补丁程序。
经审批后连接国际互联网的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。
第五十条曾接入国际互联网的计算机严禁接入内部网络,确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批,经安全检测后方能接入。
从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
第五十一条使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定,不得从事任何违法违规活动。
第七章访问控制第五十二条本行负责建立访问控制制度,对信息资产和服务的访问和权限分配进行控制。
第五十三条信息资产的责任人负责确定信息资产和服务的访问权限,运行维护科根据授权进行相关设定操作。
第五十四条信息系统用户设置本人的用户和密码,并对其访问控制权限负责。
重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。
第五十五条凡是能够执行录入、复核制度的信息系统,操作人员不得一人兼录入、复核两职。
未经主管领导批准,不得代岗、兼岗。
第五十六条应启用安全措施限制授权用户对操作系统的访问,包括但不限于:(一)按照已定义的访问控制策略鉴别授权用户;(二)记录成功和失败的系统访问企图;(三)记录专用系统特殊权限的使用情况;(四)当违反系统安全策略时发布警报;(五)提供合适的身份鉴别手段;(六)限制用户的连接时间。
第五十七条对应用系统和信息的逻辑访问应只限于已授权的用户。