商業(yè)銀行信息安全管理辦法

1 XX 銀行 信息安全管理辦法 第一章第一章 總總 則則 第一條第一條 為加強(qiáng) XX 銀行 下稱 本行 信息安全管理 防范信息技術(shù)風(fēng)險(xiǎn) 保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn) 定運(yùn)行 根據(jù) 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條 例 金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定 等 特制定本辦法 第二條第二條 本辦法所稱信息安全管理 是指在本行信息化項(xiàng) 目立項(xiàng) 建設(shè) 運(yùn)行 維護(hù)及廢止等過程中保障信息及其相 關(guān)系統(tǒng) 環(huán)境 網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng) 第三條第三條 本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理 由 分管領(lǐng)導(dǎo)負(fù)責(zé) 按照 誰主管誰負(fù)責(zé) 誰運(yùn)行誰負(fù)責(zé) 誰使用 誰負(fù)責(zé) 的原則 逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任 第四條第四條 本辦法適用于本行 所有使用本行網(wǎng)絡(luò)或信息資源 的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法 第二章第二章 組織保障組織保障 第五條第五條 常設(shè)由本行領(lǐng)導(dǎo) 各部室負(fù)責(zé)人及信息安全員組成 的信息安全領(lǐng)導(dǎo)小組 負(fù)責(zé)本行信息安全管理工作 決策信息 安全重大事宜 第六條第六條 各部室 各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員 配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作 具體負(fù)責(zé)信息 2 安全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí) 第七條第七條 本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系 及時(shí)報(bào)告 各類信息安全事件并獲取專業(yè)支持 第八條第八條 本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu) 專家的聯(lián)系 及時(shí)跟蹤行業(yè)趨勢 學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法 第三章第三章 人員管理人員管理 第九條第九條 本行所有工作人員根據(jù)不同的崗位或工作范圍 履 行相應(yīng)的信息安全保障職責(zé) 日常員工信息安全行為準(zhǔn)則參見 XX 銀行員工信息安全手冊(cè) 第一節(jié)第一節(jié) 信息安全管理人員信息安全管理人員 第十條第十條 本辦法所指信息安全管理人員包括本行信息安全領(lǐng) 導(dǎo)小組和信息安全工作小組成員 第十一條第十一條 應(yīng)選派政治思想過硬 具有較高計(jì)算機(jī)水平的人 員從事信息安全管理工作 凡是因違反國家法律法規(guī)和本行有 關(guān)規(guī)定受到過處罰或處分的人員 不得從事此項(xiàng)工作 第十二條第十二條 信息安全管理人員每年至少參加一次信息安全相 關(guān)培訓(xùn) 第十三條第十三條 安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管 理工作 一 組織落實(shí)上級(jí)信息安全管理規(guī)定 制定信息安全管 理制度 協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作 監(jiān)督檢查信息安全 管理工作 3 二 審核信息化建設(shè)項(xiàng)目中的安全方案 組織實(shí)施信息 安全保障項(xiàng)目建設(shè) 三 定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況 檢查運(yùn) 行操作 備份 機(jī)房環(huán)境與文檔等安全管理情況 發(fā)現(xiàn)問題 及時(shí)通報(bào)和預(yù)警 并提出整改意見 四 統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件 五 定期組織信息安全宣傳教育活動(dòng) 開展信息安全 檢查 評(píng)估與培訓(xùn)工作 第十四條第十四條 信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開展工 作 一 負(fù)責(zé)本行信息安全管理體系的落實(shí) 二 負(fù)責(zé)提出本行信息安全保障需求 三 負(fù)責(zé)組織開展本行信息安全檢查工作 第二節(jié)第二節(jié) 技術(shù)支持人員技術(shù)支持人員 第十五條第十五條 本辦法所稱技術(shù)支持人員 是指參與本行網(wǎng)絡(luò) 信息系統(tǒng) 機(jī)房環(huán)境等建設(shè) 運(yùn)行 維護(hù)的內(nèi)部技術(shù)支持人員 和外包服務(wù)人員 第十六條第十六條 本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建 設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中 應(yīng)承擔(dān)如下安全義務(wù) 一 不得對(duì)外泄漏或引用工作中觸及的任何敏感信息 二 嚴(yán)格權(quán)限訪問 未經(jīng)業(yè)務(wù)主管部室授權(quán) 不得擅自改 變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何數(shù)據(jù) 三 主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況 發(fā)現(xiàn)安全 4 隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo) 并及時(shí)響應(yīng) 處置 四 嚴(yán)格操作管理 測試管理 應(yīng)急管理 配置管理 變更管理 檔案管理等工作制度 做好數(shù)據(jù)備份工作 第十七條第十七條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同 協(xié) 議 的各項(xiàng)安全承諾 簽署保密協(xié)議 提供技術(shù)服務(wù)期間 嚴(yán) 格遵守本行相關(guān)安全規(guī)定與操作規(guī)程 不得拷貝或帶走任何配 置參數(shù)信息或業(yè)務(wù)數(shù)據(jù) 不得對(duì)外泄漏或引用任何工作信息 第三節(jié)第三節(jié) 一般計(jì)算機(jī)用戶一般計(jì)算機(jī)用戶 第十八條第十八條 本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備 的所有人員 第十九條第十九條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù) 一 及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程 序 自覺接受本部室信息安全員的指導(dǎo)與管理 二 不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件 和硬件 不得修改系統(tǒng)和網(wǎng)絡(luò)配置以屏蔽信息安全防護(hù) 三 不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件 四 未經(jīng)信息安全管理人員檢測和授權(quán) 不得將內(nèi)部網(wǎng) 絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng) 不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng) 絡(luò)或私自拷貝任何信息 第四章第四章 資產(chǎn)管理資產(chǎn)管理 第二十條第二十條 本行對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別 評(píng)估相對(duì)價(jià)值及 5 重要性 建立資產(chǎn)清單并說明使用規(guī)則 明確定義信息資產(chǎn)責(zé) 任人及其職責(zé) 細(xì)則參見 XX 銀行信息資產(chǎn)分類分級(jí)管理規(guī)定 第二十一條第二十一條 按照信息資產(chǎn)的價(jià)值 法律要求及敏感程度和 對(duì)業(yè)務(wù)關(guān)鍵程度 分別依據(jù)機(jī)密性 完整性 可用性三個(gè)屬性 對(duì)信息資產(chǎn)進(jìn)行分類分級(jí) 并建立相應(yīng)的標(biāo)識(shí)和處理制度 第二十二條第二十二條 依照信息資產(chǎn)的分類分級(jí)采取不同的安全保護(hù) 措施 制定完善的訪問控制策略 防止未經(jīng)授權(quán)的使用 第二十三條第二十三條 依據(jù) XX 銀行介質(zhì)管理規(guī)范 加強(qiáng)介質(zhì)管理 與銷毀操作管理 確保本行數(shù)據(jù)的可用性 保密性 完整性 第五章第五章 物理環(huán)境安全管理物理環(huán)境安全管理 第一節(jié)第一節(jié) 機(jī)房安全管理機(jī)房安全管理 第二十四條第二十四條 本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放置 運(yùn)行的場所以及供配電 通信 空調(diào) 消防 監(jiān)控等配套環(huán)境 設(shè)施 第二十五條第二十五條 本行機(jī)房的信息安全管理由本行本行信息科技 部門負(fù)責(zé)具體實(shí)施和落實(shí) 第二十六條第二十六條 建立機(jī)房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng) 對(duì)機(jī)房空 調(diào) 消防 不間斷電源 UPS 供配電 門禁系統(tǒng)等重要設(shè) 施實(shí)行全面監(jiān)控 第二十七條第二十七條 建立健全機(jī)房管理制度 并指派專人擔(dān)任機(jī)房 管理員 落實(shí)機(jī)房安全責(zé)任制 機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培 6 訓(xùn) 熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng) 定期巡查機(jī)房 發(fā) 現(xiàn)問題及時(shí)報(bào)告 機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有 文檔 圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料 并隨時(shí)提供調(diào)閱 第二十八條第二十八條 建立機(jī)房定期維修保養(yǎng)制度 易受季節(jié) 溫度 等環(huán)境因素影響的設(shè)備 已逾保修期的設(shè)備 近期維修過的設(shè) 備等應(yīng)成為保養(yǎng)的重點(diǎn) 第二十九條第二十九條 依據(jù) 浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引 進(jìn)一步規(guī)范機(jī)房建設(shè) 改造和驗(yàn)收過程 落實(shí)機(jī)房管理 第三十條第三十條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落 實(shí)情況 并保留相應(yīng)的審核記錄和審核結(jié)果 第二節(jié)第二節(jié) 重要區(qū)域安全管理重要區(qū)域安全管理 第三十一條第三十一條 本章節(jié)所指重要區(qū)域?yàn)?本行信息中心主備機(jī) 房和運(yùn)維監(jiān)控室等區(qū)域 本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān) 控方面的安全管理制度 第三十二條第三十二條 重要區(qū)域應(yīng)嚴(yán)格出入安全管理 安裝門禁 視 頻監(jiān)視錄像系統(tǒng) 實(shí)行定時(shí)錄像監(jiān)控 并適當(dāng)配置自動(dòng)監(jiān)控報(bào) 警功能 第三十三條第三十三條 所有門禁 視頻監(jiān)視錄像系統(tǒng)的信息資料至少 保存三個(gè)月 第三節(jié)第三節(jié) 辦公環(huán)境安全管理辦公環(huán)境安全管理 第三十四條第三十四條 在本行大樓入口應(yīng)設(shè)置門衛(wèi)或接待員 負(fù)責(zé)出 入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記 第三十五條第三十五條 本行信息中心樓層設(shè)立門禁 加強(qiáng)人員進(jìn)出管 7 理 第三十六條第三十六條 本行信息中心員工應(yīng)在公共接待區(qū)接待外來人 員 未經(jīng)允許 不得私自將外來人員帶入辦公區(qū)域內(nèi) 第三十七條第三十七條 未經(jīng)允許 嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝 影 攝像 錄音等記錄日常辦公行為的活動(dòng) 第六章第六章 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理 第一節(jié)第一節(jié) 網(wǎng)絡(luò)規(guī)劃 建設(shè)中的安全管理網(wǎng)絡(luò)規(guī)劃 建設(shè)中的安全管理 第三十八條第三十八條 本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng) 一規(guī)劃 建設(shè)部署 策略配置和網(wǎng)絡(luò)資源 網(wǎng)絡(luò)設(shè)備 通訊線 路 IP 地址和域名等 分配 第三十九條第三十九條 按照統(tǒng)一規(guī)劃和總體部署原則 由信息科技 部組織實(shí)施網(wǎng)絡(luò)建設(shè) 改造工程 工程投產(chǎn)前應(yīng)通過安全測試 與評(píng)估 第四十條第四十條 本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求 一 網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略 保障網(wǎng)絡(luò)傳輸與應(yīng) 用安全 二 具備必要的網(wǎng)絡(luò)監(jiān)測 跟蹤和審計(jì)等管理功能 三 針對(duì)不同的網(wǎng)絡(luò)安全域 采取必要的安全隔離措施 四 能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞 第二節(jié)第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理網(wǎng)絡(luò)運(yùn)行安全管理 第四十一條第四十一條 信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制 8 度 配備專職網(wǎng)絡(luò)管理員 網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng) 絡(luò) 安全運(yùn)行狀況 管理網(wǎng)絡(luò)資源及其配置信息 建立健全網(wǎng)絡(luò) 運(yùn)行維護(hù)檔案 及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況 第四十二條第四十二條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn) 具備一定的非法入侵 病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能 第四十三條第四十三條 嚴(yán)格網(wǎng)絡(luò)接入管理 任何設(shè)備接入網(wǎng)絡(luò)前 接 入方案 設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測 審 核 檢測 通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源 第四十四條第四十四條 嚴(yán)格網(wǎng)絡(luò)變更管理 網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要 參數(shù)配置和服務(wù)端口時(shí) 應(yīng)嚴(yán)格遵循變更管理流程 實(shí)施有可 能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更 應(yīng)提前通知相關(guān)業(yè)務(wù)部 門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行 同時(shí)做好配置參 數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備 第四十五條第四十五條 嚴(yán)格遠(yuǎn)程訪問控制 確因工作需要進(jìn)行遠(yuǎn)程訪 問的人員應(yīng)向信息簡科技部提出書面申請(qǐng) 并采取相應(yīng)的安全 防護(hù)措施 第四十六條第四十六條 信息安全管理人員負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢 測 掃描和評(píng)估 檢測 掃描和評(píng)估結(jié)果屬敏感信息 不得向 外 界提供 未經(jīng)授權(quán) 任何外部單位與人員不得檢測 掃描本 行網(wǎng)絡(luò) 第三節(jié)第三節(jié) 接入國際互聯(lián)網(wǎng)管理接入國際互聯(lián)網(wǎng)管理 第四十七條第四十七條 信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度 對(duì)互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制 防范來自互聯(lián)網(wǎng)的威脅 9 第四十八條第四十八條 本行內(nèi)部業(yè)務(wù)網(wǎng) 辦公網(wǎng)與國際互聯(lián)網(wǎng)實(shí)行安 全隔離 所有接入內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī) 不得直接或間接接入國際互聯(lián)網(wǎng) 第四十九條第四十九條 內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國際互聯(lián)網(wǎng) 確有必 要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報(bào)相關(guān) 領(lǐng)導(dǎo)審批 確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序 經(jīng) 審批后連接國際互聯(lián)網(wǎng) 的計(jì)算機(jī) 不得存留涉密金融數(shù)據(jù)信息 存有涉密金融數(shù)據(jù)信息的介質(zhì) 不得在接入國際互聯(lián)網(wǎng)的計(jì)算 機(jī)上使用 第五十條第五十條 曾接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò) 確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報(bào)相關(guān) 領(lǐng)導(dǎo)審批 經(jīng)安全檢測后方能接入 從國際互聯(lián)網(wǎng)下載的任何 信息 未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用 第五十一條第五十一條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法 律法規(guī)和本行相關(guān)管理規(guī)定 不得從事任何違法違規(guī)活動(dòng) 第七章第七章 訪問控制訪問控制 第五十二條第五十二條 本行負(fù)責(zé)建立訪問控制制度 對(duì)信息資產(chǎn)和服 務(wù)的訪問和權(quán)限分配進(jìn)行控制 第五十三條第五十三條 信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的 訪問權(quán)限 運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作 第五十四條第五十四條 信息系統(tǒng)用戶設(shè)置本人的用戶和密碼 并對(duì) 其訪問控制權(quán)限負(fù)責(zé) 重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng) 10 管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立 第五十五條第五十五條 凡是能夠執(zhí)行錄入 復(fù)核制度的信息系統(tǒng) 操 作人員不得一人兼錄入 復(fù)核兩職 未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn) 不得 代崗 兼崗 第五十六條第五十六條 應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪 問 包括但不限于 一 按照已定義的訪問控制策略鑒別授權(quán)用戶 二 記錄成功和失敗的系統(tǒng)訪問企圖 三 記錄專用系統(tǒng)特殊權(quán)限的使用情況 四 當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào) 五 提供合適的身份鑒別手段 六 限制用戶的連接時(shí)間 第五十七條第五十七條 對(duì)應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán) 的用戶 對(duì)應(yīng)用系統(tǒng)的訪問控制措施包括但不限于 一 按照定義的訪問控制策略 控制用戶訪問信息和應(yīng) 用系統(tǒng)的特定功能 二 防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任 何實(shí)用程序 系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問 三 為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境 第五十八條第五十八條 訪問控制實(shí)施細(xì)則詳見 XX 銀行信息系統(tǒng)訪 問控制管理規(guī)定 第八章第八章 信息系統(tǒng)安全管理信息系統(tǒng)安全管理 11 第五十九條第五十九條 本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng) 管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等 包括數(shù)據(jù)庫 軟件和 硬件支撐環(huán)境等 第六十條第六十條 信息系統(tǒng)安全管理實(shí)施細(xì)則詳見 XX 銀行計(jì)算 機(jī)信息系統(tǒng)安全管理規(guī)定 第一節(jié)第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)信息系統(tǒng)規(guī)劃與立項(xiàng) 第六十一條第六十一條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考 慮安全問題 建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求 項(xiàng)目 技術(shù)方案應(yīng)包括以下基本安全內(nèi)容 一 業(yè)務(wù)需求部室提出的安全需求 二 安全需求分析和實(shí)現(xiàn) 三 運(yùn)行平臺(tái)的安全策略與設(shè)計(jì) 第六十二條第六十二條 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì) 項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見 未通過安全 審核的項(xiàng)目不得予以立項(xiàng) 第二節(jié)第二節(jié) 信息系統(tǒng)開發(fā)與集成信息系統(tǒng)開發(fā)與集成 第六十三條第六十三條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范 依據(jù)安全 需求進(jìn)行安全設(shè)計(jì) 保證安全功能的完整實(shí)現(xiàn) 第六十四條第六十四條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序 源代碼及相關(guān)技術(shù)資料全部移交本行 外部開發(fā)單位還應(yīng)與本 行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議 不得將信息系統(tǒng)采 用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開 第六十五條第六十五條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員 12 或業(yè)務(wù)系統(tǒng)操作人 員 不得在程序代碼中植入后門和惡意代碼 程序 第六十六條第六十六條 信息系統(tǒng)開發(fā) 測試 修改工作不得在生產(chǎn)環(huán) 境中進(jìn)行 第六十七條第六十七條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒 發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè) 并簽訂嚴(yán)格的保密 協(xié)議 第六十八條第六十八條 系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中 的缺點(diǎn)和錯(cuò)誤信息 避免引發(fā)安全漏洞 第三節(jié)第三節(jié) 信息系統(tǒng)運(yùn)行信息系統(tǒng)運(yùn)行 第六十九條第六十九條 信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制 未通過 安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行 具體要求 如下 一 項(xiàng)目承建單位 部室 應(yīng)組織制定安全測試方案 進(jìn)行系統(tǒng)上線前的自測試并形成測試報(bào)告 報(bào)信息科技部審查 二 信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行 前同步制定相關(guān)安全操作規(guī)定 報(bào)信息科技部門 三 信息科技部應(yīng)提出明確的測試方案和測試報(bào)告審查 意見 必要時(shí) 可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測 第七十條第七十條 信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操 作規(guī)程和安全管理制度 以防止各類安全事故的發(fā)生 13 第七十一條第七十一條 系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理 并 建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案 詳細(xì)記錄系統(tǒng)變更及操作過 程 重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場 第七十二條第七十二條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員 系統(tǒng)管理 員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的 應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé) 任 業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行 并詳細(xì) 記錄維護(hù)內(nèi)容 人員 時(shí)間等信息 第七十三條第七十三條 嚴(yán)格用戶和密碼 口令 的管理 嚴(yán)格控制各 級(jí)用戶對(duì)數(shù)據(jù)的訪問權(quán)限 第七十四條第七十四條 在信息系統(tǒng)運(yùn)行維護(hù)過程中 系統(tǒng)管理人員應(yīng) 遵守但不限于以下要求 一 合理配置操作系統(tǒng) 數(shù)據(jù)庫管理系統(tǒng)所 提供的安全 審計(jì)功能 以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn) 二 屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能 防止非法用 戶的侵入 三 及時(shí) 合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁 修補(bǔ)系統(tǒng)存 在的安全漏洞 四 啟用系統(tǒng)提供的審計(jì)功能 或使用第三方手段實(shí)現(xiàn) 審計(jì)功能 監(jiān)測系統(tǒng)運(yùn)行日志 掌握系統(tǒng)運(yùn)行狀況 五 按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù) 非系統(tǒng)管理人員不得修改 第四節(jié)第四節(jié) 信息系統(tǒng)廢止信息系統(tǒng)廢止 第七十五條第七十五條 廢止信息系統(tǒng)及其存儲(chǔ)介質(zhì)在報(bào)廢或重用前 14 應(yīng)根據(jù)其安全級(jí)別 進(jìn)行消磁或安全格式化 以避免信息泄露 第七十六條第七十六條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì) 按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存 超過保存期限后需要銷毀 的 應(yīng)在信息安全領(lǐng)導(dǎo)小組監(jiān)督下予以不可恢復(fù)性銷毀 第九章第九章 客戶端安全管理客戶端安全管理 第七十七條第七十七條 本辦法所稱客戶端是指本行計(jì)算機(jī)用戶 網(wǎng)絡(luò) 與信息系統(tǒng)所使用的終端設(shè)備 包括聯(lián)網(wǎng)桌面終端 柜面 終端 單機(jī)運(yùn)行 啞 終端 遠(yuǎn)程接入終端 便攜式計(jì)算機(jī)設(shè)備等 第七十八條第七十八條 客戶端應(yīng)安裝和使用正版軟件 不得安裝和使 用盜版軟件 不得安裝和使用與工作無關(guān)的軟件 第七十九條第七十九條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件 設(shè)置用戶密 碼和屏幕保護(hù)口令等安全防護(hù)措施 確保安裝最新的病毒特征 碼和必要的補(bǔ)丁程序 第八十條第八十條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶 應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼 不得轉(zhuǎn)借其他人使用 第八十一條第八十一條 規(guī)范存儲(chǔ)本單位商密信息的計(jì)算機(jī)設(shè)備的安全 管理 包括 開發(fā)用終端 生產(chǎn)主機(jī)及其他計(jì)算機(jī)設(shè)備 第十章第十章 信息安全專用產(chǎn)品 服務(wù)管理信息安全專用產(chǎn)品 服務(wù)管理 第一節(jié)第一節(jié) 資質(zhì)審查與選型購置資質(zhì)審查與選型購置 15 第八十二條第八十二條 本規(guī)定所稱信息安全專用產(chǎn)品 是指本行安裝 使用的專用安全軟件 硬件產(chǎn)品 本規(guī)定所稱信息安全服 務(wù) 是指本行向社會(huì)購買的專業(yè)化安全服務(wù) 第八十三條第八十三條 本行負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信 息安全專用產(chǎn)品的選型 由采購科室按照采購程序選購 第八十四條第八十四條 安全專用產(chǎn)品在準(zhǔn)入審核時(shí) 供應(yīng)商應(yīng)提出 申請(qǐng)并提供下列資料 一 公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必須 的證明材料 二 產(chǎn)品型號(hào) 產(chǎn)地 功能及報(bào)價(jià) 三 產(chǎn)品采用的技術(shù)標(biāo)準(zhǔn) 產(chǎn)品功能及性能的說明書 四 生產(chǎn)企業(yè)概況 包括人員 設(shè)備 生產(chǎn)條件 隸屬 關(guān)系等 五 供應(yīng)商的質(zhì)量保證體系 售后服務(wù)措施等情況的說 明 第八十五條第八十五條 安全專用產(chǎn)品有下列情形之一的 取消其準(zhǔn)入 資格 一 安全專用產(chǎn)品的功能已發(fā)生變化 但未通過檢測的 二 經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的 三 不能提供良好售后服務(wù)的 四 國家有關(guān)部門取消其銷售資格的 第二節(jié)第二節(jié) 使用管理使用管理 16 第八十六條第八十六條 掃描 檢測類信息安全專用產(chǎn)品僅限于信息安 全管理人員使用 第八十七條第八十七條 信息科技部定期檢查各類信息安全專用產(chǎn)品使 用情況 認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析 如發(fā) 現(xiàn)重大問題 立即采取控制措施并按規(guī)定程序報(bào)告 第八十八條第八十八條 信息科技部應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品 凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品 應(yīng) 報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后 按照固定資產(chǎn)報(bào)廢審批程序處理 第十一章第十一章 文檔 數(shù)據(jù)與密碼應(yīng)用安全管理文檔 數(shù)據(jù)與密碼應(yīng)用安全管理 第一節(jié)第一節(jié) 技術(shù)文檔技術(shù)文檔 第八十九條第八十九條 本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò) 信息系統(tǒng) 和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料 包 括紙質(zhì)文檔 電子文檔 視頻和音頻文件等 第九十條第九十條 各部室負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔 未經(jīng)本行領(lǐng)導(dǎo) 批準(zhǔn) 任何人不得將技術(shù)文檔轉(zhuǎn)借 復(fù)制和對(duì)外公布 第二節(jié)第二節(jié) 存儲(chǔ)介質(zhì)存儲(chǔ)介質(zhì) 第九十一條第九十一條 建立健全磁帶 光盤 移動(dòng)存儲(chǔ)介質(zhì) 縮微膠 片 已打印文檔等存儲(chǔ)介質(zhì)管理流程 所有存儲(chǔ)介質(zhì)應(yīng)保存在 安全的物理環(huán)境中并有明晰的標(biāo)識(shí) 重要信息系統(tǒng)備份介質(zhì)應(yīng) 按規(guī)定異地存放 第九十二條第九十二條 做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制 17 選擇可靠的傳遞方式和防盜控制措施 重要信息的存取需要授 權(quán)和記錄 第九十三條第九十三條 加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備 盤 軟盤 移動(dòng)硬盤 等 的使用管理 對(duì)系統(tǒng)升級(jí)專用的移動(dòng)存儲(chǔ)設(shè)備應(yīng)按照相關(guān) 規(guī)定由專人負(fù)責(zé)管理 第九十四條第九十四條 建立存儲(chǔ)介質(zhì)銷毀機(jī)制 對(duì)載有敏感信息的存 儲(chǔ)介質(zhì)應(yīng)按照其安全等級(jí) 采用安全格式化 消磁等不可復(fù)原 的方式進(jìn)行處置并做好記錄 第九十五條第九十五條 介質(zhì)管理實(shí)施細(xì)則詳見 XX 銀行介質(zhì)管理規(guī) 范 第三節(jié)第三節(jié) 數(shù)據(jù)安全數(shù)據(jù)安全 第九十六條第九十六條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的本 行業(yè)務(wù)數(shù)據(jù) 辦公信息 系統(tǒng)運(yùn)行日志 故障維護(hù)日志以及其 他內(nèi)部資料 第九十七條第九十七條 數(shù)據(jù)的所有者 部室 負(fù)責(zé)提出數(shù)據(jù)在輸入 處理 輸出等不同狀態(tài)下的安全需求 信息科技部負(fù)責(zé)審核安 全需求并提供一定的技術(shù)實(shí)現(xiàn)手段 第九十八條第九十八條 嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加 修改 刪除等變更 操作 進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查 按照既定備份策略執(zhí)行數(shù)據(jù) 備 份任務(wù) 并定期測試備份數(shù)據(jù)的有效性 第九十九條第九十九條 系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要信息系統(tǒng) 日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容 時(shí)間 密級(jí)等信息 日志文件 應(yīng)至少保留一年 妥善保管 18 第一百條第一百條 本行信息科技部負(fù)責(zé)建立備份數(shù)據(jù)銷毀方面的管 理制度 根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的備份數(shù)據(jù)的保 存 時(shí)限和密級(jí) 并根據(jù)介質(zhì)處置相關(guān)要求進(jìn)行銷毀處理 第一百零一條第一百零一條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁 防潮 防塵 防高溫 防擠壓存放 恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口 令密碼的 應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管 第一百零二條第一百零二條 生產(chǎn)數(shù)據(jù)的調(diào)用提取應(yīng)遵守 XX 銀行計(jì)算 機(jī)系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護(hù)操作規(guī)程 第四節(jié)第四節(jié) 口令密碼口令密碼 第一百零三條第一百零三條 信息科技部負(fù)責(zé)制定和維護(hù)密碼管理方面的 制度 嚴(yán)格執(zhí)行密碼安全管理策略 第一百零四條第一百零四條 系統(tǒng)管理員 數(shù)據(jù)庫管理員 網(wǎng)絡(luò)管理員 業(yè)務(wù)操作人員的用戶均須設(shè)置口令密碼 至少每三個(gè)月更換一 次 口令密碼的強(qiáng)度應(yīng)滿足必要的安全性要求 第一百零五條第一百零五條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安 全的環(huán)境下進(jìn)行 必要時(shí)應(yīng)將口令密碼筆錄 密封交相關(guān)部室 保管 未經(jīng)本行分管領(lǐng)導(dǎo)許可 任何人不得擅自拆閱密封的口 令密碼 拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放 第一百零六條第一百零六條 應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要 信息系統(tǒng)升級(jí)改造前的口令密碼 第五節(jié)第五節(jié) 密碼技術(shù)應(yīng)用管理密碼技術(shù)應(yīng)用管理 19 第一百零七條第一百零七條 本行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格 按照國家 密碼政策規(guī)定 采用相應(yīng)的加密措施 非涉密網(wǎng)絡(luò)和信息 系統(tǒng) 應(yīng)依據(jù)本行實(shí)際需求和統(tǒng)一安全策略 合理選擇加密措施 第一百零八條第一百零八條 密碼產(chǎn)品和加密算法的選擇應(yīng)符合國家 相 關(guān)密碼管理政策規(guī)定 密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符 合本行的相關(guān)安全要求 第一百零九條第一百零九條 本行信息科技部負(fù)責(zé)建立和執(zhí)行密鑰管理方 面的制度 選擇密碼管理人員必須是本單位在編的正式員工 并逐級(jí)進(jìn)行備案 規(guī)范管理密鑰產(chǎn)生 存儲(chǔ) 分發(fā) 使用 廢 除 歸檔 銷毀等過程 第一百一十條第一百一十條 應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作 并設(shè)置遇緊急情況下密鑰報(bào)廢 銷毀機(jī)制 第一百一十一條第一百一十一條 各類密鑰應(yīng)定期更換 對(duì)已泄漏或懷疑泄 漏的密鑰應(yīng)及時(shí)廢除 過期密鑰應(yīng)安全歸檔或定期銷毀 第十二章第十二章 第三方訪問和外包服務(wù)安全管理第三方訪問和外包服務(wù)安全管理 第一節(jié)第一節(jié) 第三方訪問控制第三方訪問控制 第一百一十二條第一百一十二條 本規(guī)定所稱第三方訪問是指本行之外的單 位和個(gè)人物理訪問本行計(jì)算機(jī)房 或者通過網(wǎng)絡(luò)連 接邏輯訪問 本行數(shù)據(jù)庫和信息系統(tǒng)等活動(dòng) 第一百一十三條第一百一十三條 信息科技部負(fù)責(zé)在第三方與本行合作前對(duì) 其資質(zhì)進(jìn)行調(diào)查 本行內(nèi)部信息系統(tǒng)和相關(guān)網(wǎng)絡(luò)的第三方訪問 授權(quán)需經(jīng)本行領(lǐng)導(dǎo)的審批授權(quán) 未經(jīng)授權(quán)的任何第三方訪問均 20 視為非法入侵行為 第一百一十四條第一百一十四條 允許被第三方訪問的本行信息系統(tǒng)和資源 應(yīng)建立存取控制機(jī)制 認(rèn)證機(jī)制 列明所有用戶名單及其權(quán)限 嚴(yán)格監(jiān)督第三方訪問活動(dòng) 第一百一十五條第一百一十五條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng) 與本行簽訂安全保密協(xié)議 不得進(jìn)行未授權(quán)的修改 增加 刪 除數(shù)據(jù)操作 不得復(fù)制和泄漏本行任何信息 第一百一十六條第一百一十六條 第三方訪問控制實(shí)施細(xì)則詳見 XX 銀行 第三方安全管理規(guī)定 第二節(jié)第二節(jié) 外包服務(wù)管理外包服務(wù)管理 第一百一十七條第一百一十七條 本規(guī)定所稱外包服務(wù) 是指由本行之外的 其他社會(huì)廠商為本行信息系統(tǒng) 網(wǎng)絡(luò)或桌面環(huán)境提 供全面或部 分的技術(shù)支持 咨詢等服務(wù) 外包服務(wù)應(yīng)簽訂正式的外包服務(wù) 協(xié)議 明確約定雙方義務(wù) 第一百一十八條第一百一十八條 外包服務(wù)提供商提供上門維護(hù)服務(wù)的 經(jīng) 信息科技部批準(zhǔn)后 由本行內(nèi)部人員現(xiàn)場陪同實(shí)施 外包服務(wù) 提供商不得查看 復(fù)制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶離 第一百一十九條第一百一十九條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí) 本行應(yīng) 徹底清除所存工作信息 必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié) 議 與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備 的科研單位拆除與密碼有關(guān)的硬件 并徹底清除與密碼有關(guān)的 軟件和信息 第一百二十條第一百二十條 外包服務(wù)管理詳見 XX 銀行 IT 外包管理暫 21 行辦法 第十三章第十三章 事件報(bào)告 災(zāi)難備份與應(yīng)急管理事件報(bào)告 災(zāi)難備份與應(yīng)急管理 第一節(jié)第一節(jié) 事件報(bào)告事件報(bào)告 第一百二十一條第一百二十一條 信息安全事件按照信息安全事件報(bào)告流程 進(jìn)行報(bào)告 一般信息安全事件應(yīng)逐級(jí)通報(bào) 發(fā)生因人為 自然 原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失 較大的重大信息安全事件 應(yīng)上報(bào)告計(jì)算機(jī)安全領(lǐng)導(dǎo)小組 第一百二十二條第一百二十二條 重大信息安全事件發(fā)生后 相關(guān)人員應(yīng)注 意保護(hù)事件現(xiàn)場 采取必要的控制措施 調(diào)查事件原因 并及 時(shí)報(bào)告主管領(lǐng)導(dǎo)及計(jì)算機(jī)安全領(lǐng)導(dǎo)小組 必要時(shí)啟動(dòng)相關(guān)應(yīng)急 預(yù)案 第二節(jié)第二節(jié) 災(zāi)難備份管理災(zāi)難備份管理 第一百二十三條第一百二十三條 災(zāi)難備份是指利用技術(shù) 管理手段以及相 關(guān)資源 確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震 水災(zāi) 火災(zāi) 戰(zhàn) 爭 恐怖襲擊 網(wǎng)絡(luò)攻擊 設(shè)備系統(tǒng)故障 人為破壞等無法 預(yù)料的突發(fā)事件 以下稱 災(zāi)難 發(fā)生后在規(guī)定的時(shí)間內(nèi)可以 恢復(fù)和繼續(xù)運(yùn)營的有序管理過程 第一百二十四條第一百二十四條 本行在本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組 統(tǒng)一領(lǐng)導(dǎo)下 組織開展重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃 實(shí) 施和管理 第一百二十五條第一百二十五條 本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份 需求 明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量 本行據(jù)此確 22 定災(zāi)難備份等級(jí)和備份方案 第一百二十六條第一百二十六條 本行業(yè)務(wù)部室和本行協(xié)同建立健全災(zāi)難恢 復(fù)計(jì)劃 定期開展災(zāi)難恢復(fù)培訓(xùn) 在條件許可的情況下 每年 進(jìn)行一次重要信息系統(tǒng)的災(zāi)難恢復(fù)演練 第三節(jié)第三節(jié) 應(yīng)急管理應(yīng)急管理 第一百二十七條第一百二十七條 本行信息科技部負(fù)責(zé)制定和持續(xù)完善網(wǎng)絡(luò) 信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi) 容 一 總則 目標(biāo) 原則 適用范圍 預(yù)案調(diào)用關(guān)系等 二 應(yīng)急組織機(jī)構(gòu) 三 預(yù)警響應(yīng)機(jī)制 報(bào)告 評(píng)估 預(yù)案啟動(dòng)等 四 各類危機(jī)處置流程 五 應(yīng)急資源保障 六 事后處理流程 七 預(yù)案管理與維護(hù) 生效 演練 維護(hù)等 第一百二十八條第一百二十八條 本行計(jì)算機(jī)信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組統(tǒng)一負(fù) 責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮 決策重大事宜 決定應(yīng)急預(yù) 案的啟 動(dòng) 災(zāi)難宣告 預(yù)警相關(guān)單位等 和調(diào)動(dòng)應(yīng)急資源 第一百二十九條第一百二十九條 本行定期組織應(yīng)急預(yù)案演練 指定專人管 理和維護(hù)應(yīng)急預(yù)案 根據(jù)人員 信息資源等變動(dòng)情況以及 演練 情況適時(shí)予以更新和完善 確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生 時(shí)的可獲取性 第一百三十條第一百三十條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急 23 備份策略 同步實(shí)施備份方案 第一百三十一條第