XX商业银行信息安全管理办法

合集下载

农商行信息系统安全管理办法模版

农商行信息系统安全管理办法模版

农商行信息系统安全管理办法第一章总则第一条为了有效防范和控制农商行(以下简称“信用社”)信息系统安全风险,保障系统稳定运行,为业务发展提供有效的科技安全保障。

根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合实际,制定本办法。

第二条本办法适用于全省农商行(含农村合作银行、农村商业银行)。

第三条信息系统安全管理工作的指导方针是“预防为主,安全第一,合规管理,综合治理”。

第四条信息系统安全投入的策略是“重点保护,同步建设”,集中资源优先保护涉及核心业务或关键信息资产的信息系统,信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。

第五条信息系统安全管理主要包括人员管理、第三方访问和外包服务安全管理、机房环境和设备管理、网络安全管理、软件安全管理、系统规划、开发、运行和变更安全管理、数据与文档安全管理、容灾备份与应急管理等内容。

第六条信用社员工不得利用计算机信息系统从事危害国家利益、信用社利益、客户和员工合法利益的活动,不得损害计算机信息系统的安全。

第七条信用社员工发现危害计算机信息系统安全的行为,有权利制止并向各级科技部门举报。

第二章组织机构和职责第八条各级农商行应当成立信息安全领导小组(以下简称“安全领导小组”)。

组长由分管科技的领导担任,成员由科技及相关业务部门负责人组成。

安全领导小组下设办公室(以下简称“安全办公室”),安全办公室设在各级科技部门。

省联社科技部门设置专职信息系统安全管理员,市级科技部门和县级科技部门设置专(兼)职信息系统安全管理员。

信息系统安全管理员的数量根据信息系统数量、复杂程度和监管要求确定。

第九条安全领导小组主要职责:(一)负责辖内重大信息安全事项的决策和审批;(二)负责确定信息系统安全管理组织和职责划分,授权有关部门和人员组织开展信息安全工作;(三)监督检查信息系统安全管理相关规章制度的执行情况。

商业银行信息安全管理办法

商业银行信息安全管理办法

商业银行信息安全管理办法随着互联网与数字化时代的来临,商业银行在日常运营中积累了大量的客户信息,包括但不限于个人身份信息、财产状况以及交易记录等。

这些信息的安全性和保密性对于商业银行来说至关重要。

为了保护银行及客户的利益,商业银行制定并实施了信息安全管理办法。

一、信息安全管理目标商业银行信息安全管理的目标是确保客户信息及交易数据的保密性、完整性和可用性。

具体包括以下几个方面:1. 保密性:商业银行应采取各种安全措施,确保客户个人信息不被未经授权的人员获取。

2. 完整性:商业银行应确保客户信息和交易数据的完整性,防止数据在传输和存储过程中被篡改。

3. 可用性:商业银行应保证客户信息和交易数据的及时可用,以满足客户的需求。

二、信息安全管理措施为了实现上述目标,商业银行应采取以下管理措施:1. 风险评估和管理:商业银行应定期进行信息安全风险评估,发现潜在的安全风险,并采取相应的管理措施进行控制和预防。

2. 信息保密措施:商业银行应建立信息保密制度,对客户信息的获取、存储和传输进行严格的控制和保护,确保信息的保密性。

包括但不限于加密通信、访问控制、密码保护等。

3. 信息完整性保护:商业银行应建立完整性保护机制,防止信息在传输和存储过程中被篡改。

采用数字签名、数据备份、传输完整性校验等技术手段,确保信息不被篡改。

4. 系统安全管理:商业银行应建立并持续更新技术设备和系统,确保其安全性和稳定性。

包括但不限于系统漏洞修复、威胁检测和入侵防护等。

5. 员工培训和管理:商业银行应对员工进行信息安全培训,提高员工对信息安全的认识和意识,并建立相应的管理制度,包括员工职责和权限分配、内部审核等。

6. 事件应对和恢复:商业银行应建立信息安全事件应对和恢复机制,及时应对和处理各类安全事件,并尽快恢复受影响的系统和数据。

三、合规与违规处理商业银行应依法合规,并根据相关法律法规制定相应的信息安全管理制度。

对于发现的违规行为,商业银行应及时采取纠正措施,并对相关责任人进行相应的违规处理。

XX商业银行信息安全管理办法

XX商业银行信息安全管理办法

XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。

第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。

日常员工信息安全行为准则参见《XX银行员工信息安全手册》。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。

XX农商银行储蓄客户信息安全管理细则

XX农商银行储蓄客户信息安全管理细则

XX农商银行储蓄客户信息安全管理细则一、总则信息安全是XX农商银行的重要任务,是保护客户隐私的法律义务。

为了加强储蓄客户信息的安全管理工作,确保客户个人信息的保密性、完整性和可用性,特制定本细则。

二、储蓄客户信息的收集、使用和保存1.储蓄客户的个人信息应当通过合法、正当的方式进行收集。

未经客户同意,不得收集客户的隐私信息。

2.储蓄客户的个人信息只能被用于与客户业务相关的合法用途,禁止将客户个人信息用于商业推销等其他目的。

3.储蓄客户的个人信息应当妥善保存,并采取合理的安全措施加以保护,防止信息泄露、篡改和丢失。

4.储蓄客户的个人信息保存期限按照法律规定执行。

客户要求删除或更正个人信息时,应及时响应并予以执行。

三、储蓄客户信息的访问权限管理1.XX农商银行应当建立储蓄客户信息访问权限管理制度,确保只有授权人员能够访问客户的个人信息。

2.对于需要访问储蓄客户信息的员工,应当进行严格的审核,确保其具备相应的资质和专业能力,并签署保密承诺书。

3.储蓄客户信息的访问记录应当完整保存,并定期审计。

如有异常访问行为,应及时发现并采取相应措施。

四、储蓄客户信息的传输与共享1.在储蓄客户信息传输过程中,应当采取加密等合理的安全措施,确保信息不被非法截获和篡改。

2.XX农商银行仅在获得客户明确同意的情况下与第三方共享客户信息,并与第三方签订保密协议或合作协议,明确双方的权责和保密义务。

3.XX农商银行严禁将储蓄客户信息提供给没有合法资质和授权的机构或个人。

五、储蓄客户信息安全事件的应急处理1.XX农商银行应当建立完善的信息安全事件应急处理机制,确保储蓄客户信息泄露、篡改等安全事件的及时处理和报告。

2.一旦发生储蓄客户信息安全事件,应当立即启动应急预案,迅速定位问题,采取紧急措施并进行相应整改。

3.储蓄客户信息安全事件应当及时向客户进行通报,并积极配合客户进行信息恢复和损失降低。

六、储蓄客户信息安全培训与宣传1.XX农商银行应当定期对员工进行信息安全培训,提高员工的信息安全意识和技能,加强垃圾邮件、网络钓鱼等安全防范能力。

商业银行客户信息保护管理办法

商业银行客户信息保护管理办法

商业银行客户信息保护管理办法第一章总则第一条为加强银行客户信息保护管理,确保客户信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国消费者权益保护法》、《中华人民共和国个人信息保护法》、《人民银行金融消费者权益保护实施办法》等法律法规以及相关监管要求,制定本办法。

第二条本办法所称客户信息,是指本行在开展业务或者提供服务过程中,获取的与客户有关的信息。

客户信息中,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息(不包括匿名化处理后的信息)属于个人信息。

第三条客户信息保护涉及各部门、各领域的客户信息的收集、传输、加工、使用、保存、查询、报送、公开、删除和供第三方使用等全过程。

第四条本行客户信息实行分级授权管理,根据客户信息的重要性、敏感度及业务开展需要,在不影响履行反洗钱等法定义务的前提下,采取相应的安全技术措施,合理确定各级员工处理信息的范围、权限及程序。

第五条客户信息中涉及国家秘密事项,国家主管部门有保密管理规定的,应严格依照相关规定办理。

如无相关规定,依照本办法办理。

第六条本办法适用于本行境内各级机构。

第二章部门职责第七条本行客户信息保护遵循“谁主管,谁负责;谁研发,谁负责;谁使用,谁负责”的基本原则。

各部门对本条线客户信息保护工作负责,各级行对辖内客户信息保护工作负责。

第八条总行相关部门的职责为:(一)运营管理部负责牵头制定全行客户信息保护管理办法,负责运营条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。

(二)个人金融部牵头,远程银行中心、个人信贷部、私人银行部、农户金融部、网络金融部、信用卡中心等部门配合制定个人客户信息保护管理制度,负责本条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。

XXX银行信息科技安全管理制度

XXX银行信息科技安全管理制度

XXXX银行股份有限公司信息科技安全管理制度第一章总则为加强XXXX银行(以下简称“本行”)信息科技安全管理,确保信息科技系统的安全、稳定运行,参照有关信息科技安全管理规定,结合本行实际,特制定本管理规定。

第一条信息化建设基本规则(一)统一发展规划。

根据本行的的总体信息规划,结合本行实际,制定信息化建设工作计划。

(二)统一规范标准。

认真做好信息科技工作的组织建设、岗位落实、安全管理等方面工作,不断加强关键环节的内部控制和风险防范。

(三)统一设备选型。

购置同一型号电子设备、安全配套设施。

(四)统一应用软件。

为保证信息系统的应用安全,本行使用统一开发和推广的应用软件。

第二条机构设置。

本行信息科技工作由综合管理部负责管理。

第三条信息科技工作职责(一)研究制定信息科技发展计划并组织实施,负责提出信息科技需求,指导和协调全行信息科技工作的稳步发展;(二)负责配合做好各类应用系统的应用推广工作,并负责日常的管理维护、技术服务等工作,保障各应用系统安全稳定运行;(三)负责电子设备及耗材的采购与管理;(四)负责自助设备的安装、管理与维护;(五)负责协助有关部门做好业务拓展相关的技术支持服务;(六)负责信息科技安全检查、监督,定期对信息科技风险进行研究分析,及时发现工作中存在的问题,并进行整改;(七)负责信息系统突发事件应急管理,制定应急预案并组织定期演练;(八)负责信息科技工作进行评价、考核、奖惩;(九)负责组织实施信息科技相关的技能培训和安全培训;(十)完成信息科技工作相关的其他工作。

第二章安全管理第一节组织管理第三条信息科技安全管理实行“预防为主、综合治理、人员防范与技术防范相结合”的原则,建立安全管理责任制,逐步实现科学化、规范化管理。

第四条安全组织(一)本行设立以董事长为组长、行长为副组长、相关负责人为成员的信息科技安全管理领导小组,负责本行信息科技安全管理工作。

各支行也要相应成立以支行行长为组长,相关人员为成员的信息科技安全领导小组。

商业银行信息系统安全等级保护管理办法(最新版)

商业银行信息系统安全等级保护管理办法(最新版)

商业银行信息系统安全等级保护管理办法(最新版)目录第一章总则 (1)第二章职责分工 (1)第三章定级 (3)第四章备案 (4)第五章测评 (4)第六章常规管理 (5)第七章附则 (6)第一章总则第一条为规范银行信息系统安全等级保护管理工作,落实金融行业信息系统安全等级保护工作监管要求,切实提高信息安全保障能力和安全防护水平,结合邮储银行实际情况,特制定本办法。

第二条银行信息系统安全等级保护是根据我行信息系统在国家安全、社会稳定、经济秩序、公共利益等方面的重要程度,以及风险威胁、安全需求、安全成本等因素,对信息系统进行安全保护等级定级、备案、测评,并采取相应等级的安全保护技术和管理措施,以保障我行信息系统安全和金融信息安全。

第三条本办法适用于银行总行及各级分支机构信息系统安全等级保护管理工作,也可作为各级机构进行信息安全等级保护工作监督、检查、指导的依据。

第二章职责分工第四条信息系统安全等级保护管理工作实行统一领导、分级管理的原则,总行统一领导全行的信息系统安全等级保护定级管理,具体工作由总行运行管理部和信息科技建设部共同承担。

各分支机构负责本分支机构辖内的信息系统安全等级保护定级管理。

第五条银行信息化委员会为我行信息系统安全等级保护工作的领导机构,其主要职责包括:(一)总体掌握和制定银行信息系统安全等级保护的安全目标和安全策略;(二)决策信息安全重大事宜;(三)协调信息系统等级保护定级管理相关机构的工作;(四)审定信息系统的安全等级保护级别;(五)监督、审核各级机构信息系统安全等级保护管理工作。

第六条总行运行管理部在信息系统安全等级保护管理工作中的主要职责包括:(一)组织开展已运行信息系统等级保护定级备案工作;(二)组织开展三级以上(含三级)重要信息系统的第三方安全测评工作;(三)向信息化委员会汇报信息系统安全测评报告,追踪安全测评整改结果;(四)按照相应等级安全要求,对已通过等级保护测评的上线运行信息系统进行物理环境、网络、主机、应用、数据等方面的信息安全保障工作;(五)定期组织对已通过等级保护测评的上线运行信息系统的安全检查,对存在的问题提出整改意见,并对检查情况进行通报;(六)指导各一级分行开展信息系统安全等级保护工作,并对相关工作进行监督和审查。

商业银行信息安全管理办法

商业银行信息安全管理办法

商业银行信息安全管理办法商业银行信息安全管理办法第一章绪论一、为了保障商业银行信息系统及其信息安全,规范信息安全管理,提升信息安全保障能力,制定本办法。

二、本办法合用于商业银行信息系统及其信息安全管理。

其中,信息系统包括硬件设施、软件系统、数据资源及信息流程;信息安全包括机密性、完整性和可用性。

第二章基本原则一、依据法律法规,建立信息安全管理制度。

二、对信息安全事件及时响应,采取应急处置措施。

三、开展内部安全演练和测试,提升信息安全保障能力。

四、加强对员工信息安全意识和技能的培训。

第三章责任分工一、商业银行领导层负责信息安全工作的规划、指导、监督和检查。

二、信息安全管理部门负责信息安全管理的日常工作,制定安全策略、安全标准和安全管理流程,进行安全风险评估和漏洞扫描,提供安全加固方案和技术支持。

三、各部门应按照安全管理制度执行信息安全工作,并配合信息安全管理部门的工作。

四、员工应按照安全管理制度执行信息安全工作,增强信息安全意识,妥善保管自己的账号和密码。

第四章安全防范措施一、外部安全防范(一)物理安全:建立信息系统进出管理制度,采取门禁、巡逻、监控等措施;安装防盗报警设备;保护电力、通讯路线等。

(二)网络安全:采取防火墙、入侵检测、加密传输等技术手段;对外网址进行封堵;禁止员工安装未经授权的软件。

(三)应用安全:对系统和应用程序进行定期升级和修补;使用安全加固软件;规定开辟和测试规范,并对其进行审计。

二、内部安全防范(一)设备安全:规定使用设备安全制度;规定信息系统运行环境和物理安全规范;监控设备内部操作。

(二)数据安全:加密存储重要数据资料;完善备份计划;规定数据访问权限;监控数据修改和删除。

(三)应用安全:进行代码审计,避免漏洞;建立应用安全测试流程,确保代码的质量;建立应用安全问题处置流程,及时解决问题。

(四)员工安全:规定员工离职、变更部门等手续;对员工进行信息安全培训;规定员工对信息安全责任的承担。

XX银行信息科技安全管理办法

XX银行信息科技安全管理办法

XX银行信息科技安全管理办法一、引言信息科技在银行行业的发展中起着至关重要的作用。

然而,随之而来的信息安全威胁也日益增加,使得银行面临着保护客户数据和自身利益的挑战。

为了确保信息安全并提高银行的竞争力,XX银行制定了信息科技安全管理办法。

本文将介绍该办法并探讨其重要性和应用。

二、背景XX银行旨在建立一套完善的信息科技安全体系,以确保客户数据的保密性、完整性和可用性。

因此,该银行制定了信息科技安全管理办法,以规范银行员工在信息处理和交换过程中的行为。

该办法旨在提供准确、可靠和及时的信息服务,同时保护银行系统免受任何未经授权的访问、破坏和滥用。

三、信息科技安全管理原则1. 安全意识XX银行要求所有员工具备良好的信息安全意识,加强对信息安全风险的认识,并积极参与信息安全培训和学习活动。

2. 风险评估XX银行将进行定期的风险评估,以识别和评估系统中的安全风险,并采取适当的措施进行防范和管理。

3. 授权和访问控制银行员工必须在严格的访问控制下操作系统和应用程序,并且只能访问其工作职责所需的信息和权限。

4. 安全监控XX银行将投入资源以实施监控措施,包括实时监控、日志管理和异常行为检测等。

任何异常行为都应及时发现和处理。

5. 安全防护为保护系统不受恶意软件、网络攻击和数据泄露等威胁的侵害,XX银行将部署适当的防护措施,包括防火墙、入侵检测和防病毒软件等。

6. 事件响应XX银行将建立完善的事件响应机制,及时处理和应对任何信息安全事件,并进行事后分析和改进。

四、信息科技安全管理流程1. 安全策略制定XX银行将制定全面的信息科技安全策略,明确各种安全措施的要求和指导。

2. 风险管理通过风险评估,银行可以识别系统中存在的潜在威胁和漏洞,并采取相应的防范和纠正措施。

3. 安全控制XX银行将对各类系统和应用程序实施严格的访问控制和安全措施,并应用加密技术保护敏感数据。

4. 安全培训为了提高员工对信息安全的认识和理解,银行将定期开展信息安全培训和教育活动。

银行信息安全管理

银行信息安全管理

银行信息安全管理篇一:XX银行员工信息安全行为规范XX银行科技开发部员工信息安全行为规范V1.0第一章总则第一条为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识,规范员工的行为,指导员工合理、安全地使用信息资产,防止有意或无意的破坏信息安全行为的发生,保护我行信息资产安全,制定本规范。

第二条员工应主动了解本我行信息安全管理相关规定,积极参与我行组织的信息安全培训,提升信息安全意识和技能,并严格遵守我行信息安全要求。

第二章资产管理声明第三条禁止利用我行资产(包括我行配发的计算机、手机等个人终端设备)处理个人事务,以避免我行在信息安全管理中触及个人隐私。

第四条员工利用我行的资产所产生、处理和存储的一切信息,其所有权归我行拥有。

第五条我行出于对运营管理、安全管理和司法调查取证等需要,保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。

第三章工作环境安全要求第六条进入我行工作区域时,应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。

第七条应遵守安全区域访问规定,进出非授权区域时,需按照我行相关规定经相关责任人批准。

第八条员工应安全保管身份识别证件,丢失后及时向发证部门报告,禁止将身份识别证件借与他人使用;调离我行时,应主动交还我行配发的身份识别证件。

第九条我行内调动或更换工作区域时应主动申请门禁权限变更。

第十条若发现任何可疑人员进入我行或进行非授权活动,要立即制止,并报告相关部门。

第十一条启用门禁的区域进出时要防止人员尾随,进出后应及时关闭。

第四章用户账号安全第十二条任何账号仅限申请账号时批准的所有者在授权范围内使用,严禁使用账号访问未授权的资源,账号所有者承担使用该账号所产生的一切责任和后果。

第十三条账号正式启用前,必须为账号添加密码或修改缺省密码,密码应具有足够的安全强度;对于重要核心系统的密码,应加强密码复杂度和密码长度。

第十四条具有足够强度密码设置要求如下:(一) 口令最小长度:8位(二) 口令字符组成复杂度:口令由数字、大小写字母及特殊字符,且至少包含其中两种字符(动态口令除外);(三) 口令历史:修改后的口令至少与前4次口令不同;(四) 口令最大连续尝试次数:10次;口令错误次数超过最大连续尝试次数后,应具有限制用户登录的机制。

XX银行信息科技安全管理办法

XX银行信息科技安全管理办法

XX银行信息科技安全管理办法XX银行信息科技安全管理办法第一章总则第一条为加强信息科技安全管理,防范信息科技风险, 确保本行信息科技系统安全、稳定运行,根据《中华人民共和国突发事件应对法》、《中华人民共和国银行业监督管理法》、中国银监会《商业银行信息科技风险管理指引》和《银行业重要信息系统突发事件应急管理规范》以及相关法律法规,结合本行实际,制定本办法。

第二章组织管理第二条本行信息科技安全管理实行“预防为主、综合治理、人员防范与技术防范相结合”的原则,建立安全管理责任制,逐步实现科学化、规范化管理。

第三条本行信息科技部是信息科技安全管理的牵头部门,信息科技部安全与综合管理室配备专职安全管理员,总行信息科技部各室、各分行信息科技部门配备专(兼)职安全管理员。

第四条安全管理员负责执行信息安全工作的日常协调、管理工作;负责协调处理各类安全事件;负责系统、网络和应用安全管理的技术指导;负责安全管理平台安全策略拟定,访问控制策略审核。

第五条总行信息科技部各室安全管理员负责监控本室各类信息科技安全事件,包括实体安全、系统运行安全和数据安全,参与本室牵头的各类信息系统的安全分析与安全评估,及时报送发现的安全事件。

第六条分行信息科技安全管理员负责监控分行内各类安全事件,包括计算机系统、设备和网络安全运行等,及时报送发现的安全事件。

第三章信息科技人员安全管理第七条加强对信息科技主要岗位工作人员的管理和考核。

对主要岗位工作人员应考核其工作表现、业务能力和职业道德等方面,择优选用。

要害岗位人员必须配备双岗,不能同时外出。

对不适宜从事信息科技工作的人员,由人力资源部门及时予以调整。

第八条信息科技人员调离时,必须归还全部技术资料、软件、硬件,并及时更换信息系统的相关密钥、口令。

第九条信息系统开发岗和信息系统维护岗分离,不得混岗。

系统管理员岗和网络管理员岗不得兼岗。

第十条关键岗位须配置双人岗,分A、B角,并定期轮换。

第三章计算机病毒管理第十一条接入本行网络的计算机必须安装全行统一的防病毒软件,并纳入全行统一的防病毒管理体系。

商业银行征信合规和信息安全管理办法

商业银行征信合规和信息安全管理办法

商业银行征信合规和信息安全管理办法第一章总则第一条为加强本行征信合规管理,保障征信信息安全,防范征信业务风险,有效地减少违规行为,并对发现的违规问题能及时处理,从而保障本行征信业务的有序开展,根据人民银行《征信业管理条例》、《中国人民银行关于进一步加强征信信息安全管理的通知》等相关规定,结合本行实际,特制定本办法。

第二条征信合规和信息安全是指本行开展征信业务过程中内控机制的建设和运行情况,主要包括人员管理、合规操作、技术保障以及落实相关征信管理要求。

第二章征信合规和信息安全原则第三条征信合规和信息安全应遵循以下原则:1.坚持“注重合规、保障安全”的原则;2.坚持定性和定量相结合的原则;3.坚持报告原则。

第三章征信合规和信息安全内容第四条本办法中征信合规和信息安全的内容主要包括以下几个情形:1.异常和违规查询情况;2.非法对外提供和违规使用的情况;3.账号和信用报告泄露的情况;4.其他可能引发本行征信业务风险或对本行声誉造成重大影响的,严重影响金融和社会稳定的情况。

第四章组织和领导第五条为加强征信合规和信息安全工作顺利开展,本行成立征信合规和信息安全领导小组及办公室。

领导小组组长由本行行长担任,副组长由本行分管行长担任,成员由各分支机构人员组成,其办公室设在合规风险部,负责人由合规风险部负责人担任。

第六条为明确相关岗位责任,保证各部门间能合理分工、协同合作,实现征信工作的规范有序开展。

本行征信合规和信息安全的工作由领导小组进行统筹安排,各业务部门成员主要负责相应的征信信息查询、使用以及数据采集工作,并对录入的征信信息的真实性、完整性和有效性负责;合规风险部成员主要负责查询操作人员和查询用户的管理、数据报送、异议处理、检查培训以及相关规章制度和档案整理等工作。

第五章问责和报告机制第七条本行实行有效的违规问责约束机制,从批评、限制、纠正和惩处违规违纪的员工,杜绝违规恶习,并加强相应规章制度和案例分析培训,强化员工征信合规和信息安全理念。

XX银行消息安全管理办法1.doc

XX银行消息安全管理办法1.doc

XX银行信息安全管理办法1 XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。

第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。

银行客户信息安全管理办法(试 行)模版

银行客户信息安全管理办法(试  行)模版

xx银行客户信息安全管理办法(试行)xx总发〔2010〕144号,2010年11月30日印发第一章总则第一条为规范本行客户信息安全管理,防范客户信息泄露风险,维护客户合法权益,根据《储蓄管理条例》和《人民银行结算账户管理办法》等相关规定,特制订本办法。

第二条本办法中所指的客户包括但不限于本行对公、对私业务的存款和贷款客户。

第三条本办法中所指的客户信息包括客户姓名、账号、金额、联系方式、证件号码等。

第四条本办法适用于本行辖属各级分(支)行(以下简称各级机构)。

第二章客户信息的建立第五条各级机构应当勤勉尽责,建立健全和执行客户身份识别制度,遵循“了解你的客户”的原则,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易,采取相应的措施,了解客户及其交易目的和交易性质,了解实际控制客户的自然人和交易的实际受益人。

第六条各级机构应当建立健全客户身份资料信息,开立人民币账户时,单位客户应出示《人民币银行结算账户管理办法》等账户管理制度规定的文件证明,个人客户应出示本人有效身份证件,代理开办的还应出示代理人有效身份证件,原则上一名代理人代理他人开户不应超过五个账户(兰花卡不超过3张),明显超出代理范围的,不予以办理,确有需要一人代理多人开户的须营业场负责人进行审核其合理性。

客户开立外汇账户时,还需提供外汇管理制度规定的其他文件证明。

第七条出现以下情况时,各级机构应当重新识别客户:(一)客户要求变更姓名或者名称、身份证件或者身份证明文件种类、身份证件号码、注册资本、经营范围、法定代表人或者负责人的。

(二)客户行为或者交易情况出现异常的。

(三)客户姓名或者名称与国务院有关部门、机构和司法机关依法要求金融机构协查或者关注的犯罪嫌疑人、洗钱和恐怖融资分子的姓名或者名称相同的。

(四)客户有洗钱、恐怖融资活动嫌疑的。

(五)获得的客户信息与先前已经掌握的相关信息存在不一致或者相互矛盾的。

(六)先前获得的客户身份资料的真实性、有效性、完整性存在疑点的。

商业银行信息安全组织管理规定(最新版)

商业银行信息安全组织管理规定(最新版)

商业银行信息安全组织管理规定(最新版)目录第一章总则 (1)第二章信息安全组织设计原则 (1)第三章组织架构与职责 (1)第四章信息安全沟通与汇报机制 (5)第五章附则 (7)第一章总则第一条为明确银行省分行(以下简称我行)在信息安全管理工作中的工作职责和沟通机制,确保信息安全管理分工明确、职责清晰,根据《商业银行信息科技风险管理指引》、《银行信息安全组织管理规定(2015年版)》,特制定本规定。

第二条本规定适用于省分行及各市分行。

第二章信息安全组织设计原则第三条我行应依据自身业务范围、应用服务、系统规模的特点,建立合理的信息安全管理组织架构,配备相应人员负责信息安全工作,以保障、协调、监控安全目标的实现。

第四条我行信息安全管理组织应与银监局、人民银行济南分行、省公安厅等机构建立畅通的沟通和联系机制,以随时获取监管政策与动态。

我行应与外部组织及安全机构建立合作和联动机制,快速响应我行发生的安全事件。

第五条信息安全管理组织应配备与业务和系统规模相匹配的人员和资源,保证信息安全工作的顺利开展。

第三章组织架构与职责第六条我行应建立覆盖全行的信息安全管理组织架构,明确安全活动中的工作职责,确保被访问和处理的信息及信息处理设备的安全。

我行信息安全管理组织架构由信息安全决策组织、信息安全管理组织、信息安全执行组织和信息安全监督组织构成。

第七条信息安全决策组织省分行层面应设立信息安全决策组织,作为我行信息安全管理的最高决策机构。

省分行信息安全决策组织由产品创新与科技管理委员会承担,按照委员会职能和总行相关要求,负责对安全建设目标、安全运行等重大问题进行决策,支持和推动信息安全工作在省分行层面的实施,协调省分行各部门间的安全工作开展。

第八条信息安全管理组织(一)省分行信息科技部作为全行信息安全管理组织的统筹部门,主要管理职责包括:1.根据总行要求,统筹组织全行信息安全管理体系建设,开展信息安全合规检查工作。

2.组织制定、更新和落实信息安全策略、制度和标准,推动全行信息安全制度体系建设,监督检查全行信息安全制度落实情况。

某银行信息科技数据安全管理办法

某银行信息科技数据安全管理办法

某银行信息科技数据安全管理办法XXX信息科技数据安全管理办法第一章总则第一条为提高XXX(以下简称“我行”)信息科技安全管理水平,实现数据安全规范化管理,确保信息系统安全、可靠、稳定运行,根据《商业银行信息科技风险管理指引》、《信息安全技术网络安全等级保护基本要求》等制度,结合我行数据管理的实际情况,制定本办法。

第三条本办法所称数据是指支持我行信息系统正常运行所需的数据,包括系统的数据库数据、配置数据、日志数据、项目文档、合同等数据。

第二条本办法适用于我行信息科技数据安全管理相关的所有工作。

第二章部门及职责第三条信息科技分管行长或首席信息官是我行数据安全的第一责任人,履行第一责任人职责。

第四条总行信息科技部是我行数据安全管理的主管部门,负责本办法的制定、修订和审议,负责对我行重要或敏感数据的定义、分类、分级标准和访问控制、数据备份和恢复、生产数据安全防护等数据防护策略进行统一规划,负责本办法的落地和实施。

第五条信息科技部平安管理岗是数据平安管理的主管岗位,其主要职责为:(一)负责我行数据平安管理举措的起草;(二)负责制定、修订和完善数据平安管理策略;(三)负责协助其他岗位落实数据安全管理策略。

XXX其他岗位负责涉及本岗位数据安全策略的执行,负责协助安全管理岗完善数据安全管理策略。

第三章数据分类分级第六条数据分类。

我行信息科技类数据按其内容和用途不同分为业务类数据、技术类数据、行政管理类数据,具体分类如下:(一)业务类数据是指支撑我行各类业务正常开展的数据,包括账户、姓名、身份证号、联系方式、余额、发生额、期限、利率、账户状态等要素的客户数据;(二)技术类数据是指保障我行各类系统正常运行的数据,包括系统日志、需求设计、开发规范、上线手册、运维手册、安全策略、安全配置等;(三)行政管理类数据是指支持科技部门内部管理正常运行的数据,包括部门制度、合同、员工数据等。

第七条数据分级。

我行数据按其敏感程度分歧分为敏感I类数据、敏感II类和非敏感类数据,敏感I类数据是指该类数据泄露、丢失会给我行带来不良社会影响,遭受经济损失,承担法律责任或系统平安受到威胁等潜在风险的数据;敏感II类是指该类数据泄露、丢失会给我行带来较弱社会影响,遭受较小的经济损失,但系统平安基本不受到威胁等风险的数据;非敏感类数据是指该数据泄露、丢失可能影响日常办公,但不会带来上述风险的数据。

商业银行计算机信息系统安全管理工作规定

商业银行计算机信息系统安全管理工作规定

**商业银行计算机信息系统安全管理工作规定第一章总则第一条为了加强**商业银行股份有限公司计算机信息系统的安全管理工作,防范计算机犯罪,保证计算机系统安全、稳定地运行,根据《金融机构计算机信息系统安全保护工作暂行规定》等有关法律、法规,特制定本规定。

第二条本规定适用于我行各级机构,包括总行各部门及办事处(以下简称各单位)。

第三条**商业银行股份有限公司计算机信息系统安全保护工作实行谁主管、谁负责,预防为主、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。

第四条**商业银行股份有限公司各单位的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。

各级计算机安全保护领导小组、专职部门和专(兼)职计算机安全管理人员协助第一责任人落实有关规定。

第二章计算机机房安全防范设施及安全管理第五条本规定所称计算机信息系统安全防范设施包括计算机中心机房的构筑防护设施和计算机信息系统及其相关配套设备的技术防护设施。

第六条**商业银行股份有限公司的计算机中心机房应当符合下列基本要求:(一)中心机房在建筑内应为独立区域;(二)中心机房周围100米内不得有危险建筑,如加油站、煤气站等;(三)中心机房必须按照有关标准配置防火、防水、防盗设施;(四)中心机房必须采用双回路供电,或者配备发电机、UPS等设施。

第七条重要的通讯控制装置及通讯线路必须有备份。

网络通讯设施要有安全技术措施。

第八条中心机房其它安全设施及管理按照《**商业银行股份有限公司计算机中心机房管理制度》、**商业银行股份有限公司安全保卫部门有关规定执行。

第三章计算机用户安全管理第九条计算机用户安全管理包括各类操作系统、数据库系统、应用系统、网络设备、其他计算机设备的用户管理。

第十条所有计算机使用者负责维护和妥善保管自己的计算机用户密码。

对于可疑情况,必须向信息技术部报告备案。

第十一条各类用户应坚持一人一用户原则,严禁使用他人的计算机用户登录计算机系统;严禁将自己的计算机用户给其他人使用。

银行信息安全管理办法

银行信息安全管理办法

—XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。

第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障【第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。

日常员工信息安全行为准则参见《XX银行员工信息安全手册》。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

{第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。

XX商业银行信息安全管理办法

XX商业银行信息安全管理办法

XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理, 防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。

第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实“第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系, 及时跟踪行业趋势,学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。

日常员工信息安全行为准则参见《XX 银行员工信息安全手册》°第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XX银行信息安全管理办法第一章总则第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。

第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。

日常员工信息安全行为准则参见《XX银行员工信息安全手册》。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。

(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。

(三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。

(四)统计分析和协调处置信息安全事件。

(五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。

第十四条信息安全领导小组成员在如下职责范围内开展工作:(一)负责本行信息安全管理体系的落实。

(二)负责提出本行信息安全保障需求。

(三)负责组织开展本行信息安全检查工作。

第二节技术支持人员第十五条本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。

第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:(一)不得对外泄漏或引用工作中触及的任何敏感信息。

(二)严格权限访问,未经业务主管部室授权不得擅自改变系统设置或修改系统生成的任何数据。

(三)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处置。

(四)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。

第十七条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺,签署保密协议。

提供技术服务期间,严格遵守本行相关安全规定与操作规程。

不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。

第三节一般计算机用户第十八条本规定所称一般计算机用户是指使用计算机设备的所有人员。

第十九条一般计算机用户应承担如下安全义务:(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部室信息安全员的指导与管理。

(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置以屏蔽信息安全防护。

(三)不得在办公用计算机上安装任何盗版或非授权软件。

(四)未经信息安全管理人员检测和授权,不得将内部网络的计算机转接入国际互联网;不得将个人计算机接入内部网络或私自拷贝任何信息。

第四章资产管理第二十条本行对所有信息资产进行识别、评估相对价值及重要性,建立资产清单并说明使用规则,明确定义信息资产责任人及其职责。

细则参见《XX银行信息资产分类分级管理规定》。

第二十一条按照信息资产的价值、法律要求及敏感程度和对业务关键程度,分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级,并建立相应的标识和处理制度。

第二十二条依照信息资产的分类分级采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权的使用。

第二十三条依据《XX银行介质管理规范》加强介质管理与销毁操作管理,确保本行数据的可用性、保密性、完整性。

第五章物理环境安全管理第一节机房安全管理第二十四条本规定所称机房是指信息系统主要设备放置、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。

第二十五条本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。

第二十六条建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。

第二十七条建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。

机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。

机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。

第二十八条建立机房定期维修保养制度。

易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。

第二十九条依据《浙江省农村合作金融机构机房管理指引》进一步规范机房建设、改造和验收过程,落实机房管理。

第三十条信息安全领导小组负责定期审核机房安全管理落实情况,并保留相应的审核记录和审核结果。

第二节重要区域安全管理第三十一条本章节所指重要区域为:本行信息中心主备机房和运维监控室等区域。

本行信息中心负责制定和执行运维监控方面的安全管理制度。

第三十二条重要区域应严格出入安全管理,安装门禁、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。

第三十三条所有门禁、视频监视录像系统的信息资料至少保存三个月。

第三节办公环境安全管理第三十四条在本行大楼入口应设置门卫或接待员,负责出入或公共访问区域的物理安全管理和外来人员的出入登记。

第三十五条本行信息中心楼层设立门禁,加强人员进出管理。

第三十六条本行信息中心员工应在公共接待区接待外来人员,未经允许,不得私自将外来人员带入办公区域内。

第三十七条未经允许,严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。

第六章网络安全管理第一节网络规划、建设中的安全管理第三十八条本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP 地址和域名等)分配。

第三十九条按照统一规划和总体部署原则,由信息科技部组织实施网络建设、改造工程,工程投产前应通过安全测试与评估。

第四十条本行网络建设和改造应符合如下基本安全要求:(一)网络规划应有完整的安全策略,保障网络传输与应用安全。

(二)具备必要的网络监测、跟踪和审计等管理功能。

(三)针对不同的网络安全域,采取必要的安全隔离措施。

(四)能有效防止计算机病毒对网络系统的侵扰和破坏。

第二节网络运行安全管理第四十一条信息科技部应建立健全网络安全运行方面的制度,配备专职网络管理员。

网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。

第四十二条网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。

第四十三条严格网络接入管理。

任何设备接入网络前,接入方案、设备的安全性等应经过网络管理人员的审核与检测,审核(检测)通过后方可接入并分配相应的网络资源。

第四十四条严格网络变更管理。

网络管理员调整网络重要参数配置和服务端口时,应严格遵循变更管理流程。

实施有可能影响网络正常运行的重大网络变更,应提前通知相关业务部门并安排在非交易时间或交易较少时间进行,同时做好配置参数的备份和应急恢复准备。

第四十五条严格远程访问控制。

确因工作需要进行远程访问的人员应向信息简科技部提出书面申请,并采取相应的安全防护措施。

第四十六条信息安全管理人员负责定期对网络进行安全检测、扫描和评估。

检测、扫描和评估结果属敏感信息,不得向外界提供。

未经授权,任何外部单位与人员不得检测、扫描本行网络。

第三节接入国际互联网管理第四十七条信息科技部负责制定本行互联网方面管理制度,对互联网接入进行严格的控制,防范来自互联网的威胁。

第四十八条本行内部业务网、办公网与国际互联网实行安全隔离。

所有接入内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。

第四十九条内部网络计算机严禁接入国际互联网,确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批,确保安装有指定的防病毒软件和最新补丁程序。

经审批后连接国际互联网的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。

第五十条曾接入国际互联网的计算机严禁接入内部网络,确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批,经安全检测后方能接入。

从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。

第五十一条使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定,不得从事任何违法违规活动。

第七章访问控制第五十二条本行负责建立访问控制制度,对信息资产和服务的访问和权限分配进行控制。

第五十三条信息资产的责任人负责确定信息资产和服务的访问权限,运行维护科根据授权进行相关设定操作。

第五十四条信息系统用户设置本人的用户和密码,并对其访问控制权限负责。

重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。

第五十五条凡是能够执行录入、复核制度的信息系统,操作人员不得一人兼录入、复核两职。

未经主管领导批准,不得代岗、兼岗。

第五十六条应启用安全措施限制授权用户对操作系统的访问,包括但不限于:(一)按照已定义的访问控制策略鉴别授权用户;(二)记录成功和失败的系统访问企图;(三)记录专用系统特殊权限的使用情况;(四)当违反系统安全策略时发布警报;(五)提供合适的身份鉴别手段;(六)限制用户的连接时间。

第五十七条对应用系统和信息的逻辑访问应只限于已授权的用户。

相关文档
最新文档