XXXX银行信息安全策略

XXXX银行信息安全策略

第一章总体目标及原则

第二章组织管理体系

第三章人员安全管理

第四章标准化和规范化管理

第五章设备与物理环境安全

第六章应用系统安全

第七章通信网络安全

第八章运行安全

第九章应急预案

第十章信息保密安全

第十一章安全责任

第十二章附则

第一章总体目标及原则

第一条XXXXXXXX银行股份有限公司（以下简称XXXX银行）信息系统安全总体目标是保护信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，合法、合规发展我行各类信息系统，为社会各界提供安全高效稳定的金融服务。

第二条实现XXXX银行信息系统安全总体目标应本着“安全第一、预防为主、职责明确、综合治理”的基本原

则。建立信息资产所有人机制，明确信息资产所有人及安全管理人的权责并对信息资产进行分类。

第二章组织管理体系

第三条组织管理体系建立的目标是建立XXXX银行自上而下的信息安全领导小组，确立安全管理组织机构的职责，统筹规划、专家决策，以推动XXXX银行全辖信息安全工作的开展。

第四条XXXX银行成立网络安全和信息化领导组，领导组下设办公室。办公室设在科技信息部。

第五条科技信息部设置信息系统安全管理员。信息系统安全管理员的数量根据信息系统数量、复杂程度和监管要求确定。

第三章人员安全管理

第六条人员安全管理的目标是通过设立安全管理制度及岗位责任制，为保证最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险。

第七条人员是信息系统安全的决定性因素，与信息安全相关的岗位职责分配的基本原则为：

（一）职责分离原则：在人员岗位建立时，相关的信息系统访问的安全责任应该确定，不相容的职责应分离。

接触信息系统的人员应承担与其工作性质相应的安全责任，各类人员不得从事超越自己职责以外的任何工作。

（二）有限授权原则：任何人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。

（三）相互制约原则：安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。

（四）任期审计原则：应记录并监控员工在任职期内的信息资源访问活动。

第八条对各类计算机系统的相关人员应实施有针对性、有计划的计算机安全教育和培训。员工通过培训应明确与本职工作有关的计算机安全知识和责任。

第九条定期考核员工的工作表现，调整与其岗位不符的安全职责权限或调离违反岗位安全规则的员工。

第十条员工离职前，应交还手中持有的与信息系统相关的文档、物品，应交接其负责的工作。一经离职，相应的信息系统合法身份及权限应立即注销，视调离保密岗位人员的重要程度，及时调整系统的安全保密措施。

第十一条所有员工必须定期签订信息安全及保密承诺。并进行相关安全教育培训。

第四章标准化和规范化管理

第十二条标准化和规范化的目标是通过建立XXXX银行内部业务处理、操作流程、信息系统管理和技术等一系列标准化和规范化的过程，奠定信息系统安全的基础。

第十三条各业务部门应该根据业务的需要，以及上级管理部门的要求，建立我行各项业务的标准、规范化处理流程和业务数据标准，确定各级员工对信息资源访问的权限标准。

第十四条应该依照国家或银行业的安全管理政策和标准、上级监管部门的监管要求，规范基础设施建设、系统和网络平台建立、应用系统开发、运行管理等重要环节，创建信息系统安全的基础。

第五章设备与物理环境安全

第十五条设备与物理环境安全的目标是保护XXXX银行计算机设备、设施（含网络）以及信息系统的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。

第十六条安全管理必须实施于信息系统基础设施建设的需求计划、部署实现、安装启用、终止结束等完整工程生命周期的各个阶段。

第十七条信息系统有关物理环境的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准，配备防火、防雷、防水、防静电、防鼠等机房安全设施，有效防止数据泄密，维持系统不间断的运行能力，确保信息系统运行的安全可靠。

第十八条应对突发事故，建立应急预案，配备应急电源，实施系统主机及重要设备的备份、冗余技术保护措施；对数据应做到异地备份或做到异地存放。

第十九条限制和规定重要信息设备所在地的人员进出活动。

第二十条对重要安全设备产品的选择，必须符合国家有关技术规范或经过专业测评机构检测不低于本行业计算机安全管理技术规范中的最低安全要求，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。

第二十一条严格确定信息设备的使用人。建立故障维修记录，实施定期的设备维护、保养操作。

第六章应用系统安全

第二十二条应用系统安全的目标是保证XXXX银行各业务应用系统的安全性，安全建设必须与应用系统建设同步进行。

第二十三条质量管理和安全监控必须实施于应用系统从计划到运行全周期的各阶段（即需求计划阶段、系统设计阶段、技术实现阶段、安装测试以及投产运行阶段）。

第二十四条应用系统的总体需求计划阶段，应全面评估系统的安全风险，分析系统的潜在威胁，根据银行信息资源的保护等级策略，确立系统的访问控制、身份认证、信息加密、审计跟踪、稽核检查等安全需求，并征求安全保卫部、纪检监察部、稽核审计部意见，确立应用系统的安全策略。

第二十五条在应用系统的总体架构设计的过程中，应实施安全需求设计，并确立安全服务机制、项目开发人员安全技术要求和操作规程。

第二十六条应用系统的实现阶段，应根据安全需求设计实施安全技术，对应用系统技术实现过程进行质量管理，防止技术开发人员故意保留“后门”，保证系统最终产品的安全性质量。

第二十七条在应用系统建设的各阶段，必须保证应用软件的完整性，即确保软件的变更是经过授权及合法性的