篇一：XX銀行員工信息安全行為規(guī)范XX銀行科技開發(fā)部員工信息安全行為規(guī)范V1.0第一章總則第一條為提高總行科技開發(fā)部員工（包括行內(nèi)員工、在我行工作的外部員工）的信息安全意識(shí)，規(guī)范員工的行為，指導(dǎo)員工合理、安全地使用信息資產(chǎn)，防止有意或無(wú)意的破壞信息安全行為的發(fā)生，保護(hù)我行信息資產(chǎn)安全，制定本規(guī)范。第二條員工應(yīng)主動(dòng)了解本我行信息安全管理相關(guān)規(guī)定，積極參與我行組織的信息安全培訓(xùn)，提升信息安全意識(shí)和技能，并嚴(yán)格遵守我行信息安全要求。第二章資產(chǎn)管理聲明第三條禁止利用我行資產(chǎn)（包括我行配發(fā)的計(jì)算機(jī)、手機(jī)等個(gè)人終端設(shè)備）處理個(gè)人事務(wù)，以避免我行在信息安全管理中觸及個(gè)人隱私。第四條員工利用我行的資產(chǎn)所產(chǎn)生、處理和存儲(chǔ)的一切信息，其所有權(quán)歸我行擁有。第五條我行出于對(duì)運(yùn)營(yíng)管理、安全管理和司法調(diào)查取證等需要，保留在任何時(shí)候?qū)ξ倚腥我赓Y產(chǎn)進(jìn)行監(jiān)控、復(fù)制、披露、使用和刪除的權(quán)利。第三章工作環(huán)境安全要求第六條進(jìn)入我行工作區(qū)域時(shí)，應(yīng)規(guī)范佩戴我行認(rèn)可的身份識(shí)別證件或按照我行相關(guān)管理規(guī)定登記并獲得許可后方可進(jìn)入。第七條應(yīng)遵守安全區(qū)域訪問規(guī)定，進(jìn)出非授權(quán)區(qū)域時(shí)，需按照我行相關(guān)規(guī)定經(jīng)相關(guān)責(zé)任人批準(zhǔn)。第八條員工應(yīng)安全保管身份識(shí)別證件，丟失后及時(shí)向發(fā)證部門報(bào)告，禁止將身份識(shí)別證件借與他人使用；調(diào)離我行時(shí)，應(yīng)主動(dòng)交還我行配發(fā)的身份識(shí)別證件。第九條我行內(nèi)調(diào)動(dòng)或更換工作區(qū)域時(shí)應(yīng)主動(dòng)申請(qǐng)門禁權(quán)限變更。第十條若發(fā)現(xiàn)任何可疑人員進(jìn)入我行或進(jìn)行非授權(quán)活動(dòng)，要立即制止，并報(bào)告相關(guān)部門。第十一條啟用門禁的區(qū)域進(jìn)出時(shí)要防止人員尾隨，進(jìn)出后應(yīng)及時(shí)關(guān)閉。第四章用戶賬號(hào)安全第十二條任何賬號(hào)僅限申請(qǐng)賬號(hào)時(shí)批準(zhǔn)的所有者在授權(quán)范圍內(nèi)使用，嚴(yán)禁使用賬號(hào)訪問未授權(quán)的資源，賬號(hào)所有者承擔(dān)使用該賬號(hào)所產(chǎn)生的一切責(zé)任和后果。第十三條賬號(hào)正式啟用前，必須為賬號(hào)添加密碼或修改缺省密碼，密碼應(yīng)具有足夠的安全強(qiáng)度；對(duì)于重要核心系統(tǒng)的密碼，應(yīng)加強(qiáng)密碼復(fù)雜度和密碼長(zhǎng)度。第十四條具有足夠強(qiáng)度密碼設(shè)置要求如下：（一） 口令最小長(zhǎng)度：8位（二） 口令字符組成復(fù)雜度：口令由數(shù)字、大小寫字母及特殊字符，且至少包含其中兩種字符（動(dòng)態(tài)口令除外）；（三） 口令歷史：修改后的口令至少與前4次口令不同；（四） 口令最大連續(xù)嘗試次數(shù)：10次；口令錯(cuò)誤次數(shù)超過最大連續(xù)嘗試次數(shù)后，應(yīng)具有限制用戶登錄的機(jī)制。（五） 口令最長(zhǎng)有效期限：180天，可根據(jù)系統(tǒng)重要性和用戶權(quán)限采取不同的有效期；口令使用期限即將達(dá)到口令最長(zhǎng)有效期限時(shí)，應(yīng)具有提示用戶修改口令的機(jī)制。（六） 主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等超級(jí)用戶口令最長(zhǎng)有效期應(yīng)為90天，其它用戶口令最長(zhǎng)有效期應(yīng)符合本章口令基本要求。第十五條應(yīng)安全保管或者隨身攜帶實(shí)物密鑰，如USBkey等，禁止隨意放置在桌面上。如發(fā)現(xiàn)實(shí)物密鑰遺失或懷疑密碼被竊取，應(yīng)立即通知信息技術(shù)部門進(jìn)行處理。第十六條應(yīng)安全保管密碼，如沒有可靠的物理控制措施，不要將密碼寫在紙上，或記錄于電子文件中；禁止將密碼在終端軟件（如IE瀏覽器）上自動(dòng)保存；禁止公開本人或他人的密碼信息，不得猜測(cè)竊取他人賬號(hào)密碼。第十七條工作職責(zé)發(fā)生變動(dòng)時(shí)，應(yīng)主動(dòng)申請(qǐng)帳號(hào)或者實(shí)物密鑰權(quán)限的變更;當(dāng)不再需要某系統(tǒng)的訪問權(quán)限時(shí)，應(yīng)主動(dòng)申請(qǐng)注銷賬號(hào)或者權(quán)限；對(duì)不能關(guān)閉的賬號(hào)或者實(shí)物密鑰，應(yīng)及時(shí)移交給本部門指定責(zé)任人；在離職時(shí)，應(yīng)主動(dòng)移交全部賬號(hào)和實(shí)物密鑰。第五章信息設(shè)備使用第十八條終端計(jì)算機(jī)在配發(fā)時(shí)按照我行規(guī)范統(tǒng)一進(jìn)行命名，使用人不得擅自修改計(jì)算機(jī)名。第十九條所有終端計(jì)算機(jī)應(yīng)安裝我行要求的桌面管理軟件、防病毒軟件等，員工不得自行刪除或修改。第二十條終端計(jì)算機(jī)應(yīng)設(shè)定統(tǒng)一的屏幕保護(hù)程序，屏幕保護(hù)程序等待時(shí)間設(shè)在10分鐘以內(nèi)。第二十一條自己使用的設(shè)備和系統(tǒng)應(yīng)設(shè)置密碼保護(hù)，如開機(jī)密碼、登錄密碼、屏幕保護(hù)密碼。第二十二條離開座位時(shí)，應(yīng)鎖定或關(guān)閉計(jì)算機(jī)；應(yīng)安全保管終端信息設(shè)備，周末或者節(jié)假日期間禁止將便攜信息設(shè)備放在桌面上。第二十三條原則上不要將我行配發(fā)的設(shè)備用于工作以外用途或接入辦公以外的環(huán)境，如因工作需要需與外部環(huán)境對(duì)接，再次接入辦公環(huán)境時(shí)應(yīng)先進(jìn)行病毒的查殺。第二十四條未經(jīng)授權(quán)不得使用移動(dòng)介質(zhì)，使用移動(dòng)介質(zhì)前，應(yīng)進(jìn)行病毒檢測(cè)，確認(rèn)安全后方可使用。第二十五條使用公同終端后，應(yīng)及時(shí)退出登錄并關(guān)機(jī)或鎖屏。第二十六條未經(jīng)授權(quán)不得將終端設(shè)備、移動(dòng)介質(zhì)、實(shí)體信息和軟件等帶離辦公區(qū)。第二十七條未經(jīng)授權(quán)任何人不得私自調(diào)換信息設(shè)備，禁止私自拆卸、維修或者更換計(jì)算機(jī)硬件。第二十八條設(shè)備及存儲(chǔ)介質(zhì)提交維修、回收、報(bào)廢前，應(yīng)對(duì)設(shè)備上的重要數(shù)據(jù)進(jìn)行備份和安全銷毀。第二十九條應(yīng)保管好個(gè)人使用的信息設(shè)備，一旦丟失，應(yīng)立即向本部門報(bào)告，特別對(duì)于綁定用戶賬號(hào)的個(gè)人終端設(shè)備，還應(yīng)立即報(bào)告信息技術(shù)部門，以及時(shí)鎖定相應(yīng)賬號(hào)，以防止被冒用。第六章軟件使用第三十條終端設(shè)備初裝或重裝操作系統(tǒng)，必須使用我行提供的操作系統(tǒng)，不得隨意使用其它操作系統(tǒng)安裝包進(jìn)行安裝。第三十一條應(yīng)使用我行許可的軟件，禁止安裝與工作無(wú)關(guān)的軟件和盜版軟件，不要隨意安裝從互聯(lián)網(wǎng)下載的軟件，禁止私自更改、禁用、卸載我行要求使用的軟件。第三十二條嚴(yán)禁使用黑客工具等影響或破壞我行信息安全的軟件。第三十三條嚴(yán)禁擅自復(fù)制、傳播和銷售我行的計(jì)算機(jī)軟件產(chǎn)品。第三十四條不得使用掃描軟件、壓力測(cè)試軟件或自編軟件對(duì)我行內(nèi)網(wǎng)及系統(tǒng)進(jìn)行掃描、攻擊測(cè)試和干擾。第七章計(jì)算機(jī)網(wǎng)絡(luò)使用第三十五條禁止將未經(jīng)許可的計(jì)算機(jī)設(shè)備接入我行網(wǎng)絡(luò)。篇二：銀行信息安全管理辦法XX銀行信息安全管理辦法第一章總則第一條為加強(qiáng)XX銀行（下稱“本行”）信息安全管理，防范信息技術(shù)風(fēng)險(xiǎn)，保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。第二條本辦法所稱信息安全管理，是指在本行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。第三條本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任。第四條本辦法適用于本行。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本辦法。第二章組織保障第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。第六條各部室、各分支機(jī)構(gòu)應(yīng)指定至少一名信息安全員，配合信息安全領(lǐng)導(dǎo)小組開展信息安全管理工作，具體負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組頒布的相關(guān)管理制度及要求在本部室的落實(shí)。。第七條本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系，及時(shí)報(bào)告各類信息安全事件并獲取專業(yè)支持。第八條本行應(yīng)建立與外部信息安全專業(yè)機(jī)構(gòu)、專家的聯(lián)系，及時(shí)跟蹤行業(yè)趨勢(shì)，學(xué)習(xí)各類先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法。第三章人員管理第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。日常員工信息安全行為準(zhǔn)則參見《XX銀行員工信息安全手冊(cè)》。第一節(jié)信息安全管理人員第十條本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。第十一條應(yīng)選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。第十二條信息安全管理人員每年至少參加一次信息安全相關(guān)培訓(xùn)。第十三條安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作：（一） 組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。（二） 審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)。（三） 定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時(shí)通報(bào)和預(yù)警，并提出整改意見。（四） 統(tǒng)計(jì)分析和協(xié)調(diào)處銘信息安全事件。（五） 定期組織信息安全宣傳教育活動(dòng)，開展信息安全檢查、評(píng)估與培訓(xùn)工作。第十四條信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開展工作：（一）負(fù)責(zé)本行信息安全管理體系的落實(shí)。（二）負(fù)責(zé)提出本行信息安全保障需求。（三）負(fù)責(zé)組織開展本行信息安全檢查工作。第二節(jié)技術(shù)支持人員第十五條本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。第十六條本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：（一） 不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。（二） 嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)銘或修改系統(tǒng)生成的任何數(shù)據(jù)?！?—（三） 主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部室主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處銘。（四） 嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配銘管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。第十七條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾，簽署保密協(xié)議。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。不得拷貝或帶走任何配銘參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對(duì)外泄漏或引用任何工作信息。第三節(jié)一般計(jì)算機(jī)用戶第十八條本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。第十九條一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)：（一） 及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺接受本部室信息安全員的指導(dǎo)與管理。（二） 不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配銘以屏蔽信息安全防護(hù)。（三） 不得在辦公用計(jì)算機(jī)上安裝任何盜版或非授權(quán)軟件。（四） 未經(jīng)信息安全管理人員檢測(cè)和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)；不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。第四章資產(chǎn)管理第二十條本行對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、評(píng)估相對(duì)價(jià)值及重要性，建立資產(chǎn)清單并說明使用規(guī)則，明確定義信息資產(chǎn)責(zé)任人及其職責(zé)。細(xì)則參見《XX銀行信息資產(chǎn)分類分級(jí)管理規(guī)定》。第二十一條按照信息資產(chǎn)的價(jià)值、法律要求及敏感程度和對(duì)業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機(jī)密性、完整性、可用性三個(gè)屬性對(duì)信息資產(chǎn)進(jìn)行分類分級(jí)，并建立相應(yīng)的標(biāo)識(shí)和處理制度。第二十二條依照信息資產(chǎn)的分類分級(jí)采取不同的安全保護(hù)措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。第二十三條依據(jù)《XX銀行介質(zhì)管理規(guī)范》加強(qiáng)介質(zhì)管理與銷毀操作管理，確保本行數(shù)據(jù)的可用性、保密性、完整性。第五章物理環(huán)境安全管理第一節(jié)機(jī)房安全管理第二十四條本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放銘、運(yùn)行的場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第二十五條本行機(jī)房的信息安全管理由本行本行信息科技部門負(fù)責(zé)具體實(shí)施和落實(shí)。第二十六條建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。第二十七條建立健全機(jī)房管理制度，并指派專人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料，并隨時(shí)提供調(diào)閱。第二十八條建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。第二十九條依據(jù)《浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過程，落實(shí)機(jī)房管理。第三十條信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期審核機(jī)房安全管理落實(shí)情況，并保留相應(yīng)的審核記錄和審核結(jié)果。第二節(jié)重要區(qū)域安全管理第三十一條本章節(jié)所指重要區(qū)域?yàn)椋罕拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。本行信息中心負(fù)責(zé)制定和執(zhí)行運(yùn)維監(jiān)控方面的安全管理制度。第三十二條重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配銘自動(dòng)監(jiān)控報(bào)警功能。第三十三條所有門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個(gè)月。第三節(jié)辦公環(huán)境安全管理第三十四條在本行大樓入口應(yīng)設(shè)銘門衛(wèi)或接待員，負(fù)責(zé)出入或公共訪問區(qū)域的物理安全管理和外來(lái)人員的出入登記。第三十五條本行信息中心樓層設(shè)立門禁，加強(qiáng)人員進(jìn)出管理。第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來(lái)人員，未經(jīng)允許，不得私自將外來(lái)人員帶入辦公區(qū)域內(nèi)。第三十七條未經(jīng)允許，嚴(yán)禁在信息中心辦公區(qū)域內(nèi)進(jìn)行攝影、攝像、錄音等記錄日常辦公行為的活動(dòng)。第六章網(wǎng)絡(luò)安全管理第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理第三十八條本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配銘和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、IP地址和域名等）分配。第三十九條按照統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應(yīng)通過安全測(cè)試與評(píng)估。第四十條本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：（一） 網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。（二） 具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。（三） 針對(duì)不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。（四） 能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理第四十一條信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度，配備專職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配銘信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第四十二條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能。第四十三條嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測(cè)，審核（檢測(cè)）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第四十四條嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配銘和服務(wù)端口時(shí)，應(yīng)嚴(yán)格遵循變更管理流程。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時(shí)間或交易較少時(shí)間進(jìn)行，同時(shí)做好配銘參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。第四十五條嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的人員應(yīng)向信息簡(jiǎn)科技部提出書面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。

第四十六條信息安全管理人員負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)授權(quán)，任何外部單位與人員不得檢測(cè)、掃描本行網(wǎng)絡(luò)。第三節(jié)接入國(guó)際互聯(lián)網(wǎng)管理第四十七條信息科技部負(fù)責(zé)制定本行互聯(lián)網(wǎng)方面管理制度，對(duì)互聯(lián)網(wǎng)接入進(jìn)行嚴(yán)格的控制，防范來(lái)自互聯(lián)網(wǎng)的威脅。第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。所有接入內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。第四十九條內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國(guó)際互聯(lián)網(wǎng)，確有必要接入國(guó)際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。經(jīng)審批后連接國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。第五十條曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，經(jīng)安全檢測(cè)后方能接入。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。第五十一條使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。第七章訪問控制第五十二條本行負(fù)責(zé)建立訪問控制制度，對(duì)信息資產(chǎn)和服務(wù)的訪問和權(quán)限分配進(jìn)行控制。第五十三條信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。第五十四條信息系統(tǒng)用戶設(shè)銘本人的用戶和密碼，并對(duì)其訪問控制權(quán)限負(fù)責(zé)。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。第五十五條凡是能夠執(zhí)行錄入、復(fù)核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代山岡、山岡、兼崗。第五十六條應(yīng)啟用安全措施限制授權(quán)用戶對(duì)操作系統(tǒng)的訪問，包括但不限于:（一） 按照已定義的訪問控制策略鑒別授權(quán)用戶；（二） 記錄成功和失敗的系統(tǒng)訪問企圖；（三） 記錄專用系統(tǒng)特殊權(quán)限的使用情況；（四） 當(dāng)違反系統(tǒng)安全策略時(shí)發(fā)布警報(bào)；（五） 提供合適的身份鑒別手段；（六） 限制用戶的連接時(shí)間。第五十七條對(duì)應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。對(duì)應(yīng)用系統(tǒng)的訪問控制措施包括但不限于：（一） 按照定義的訪問控制策略，控制用戶訪問信息和應(yīng)用系統(tǒng)的特定功能；（二） 防止能夠繞過系統(tǒng)控制或應(yīng)用控制的任何實(shí)用程序、系統(tǒng)軟件和惡意軟件對(duì)系統(tǒng)進(jìn)行未授權(quán)訪問；（三） 為重要的敏感系統(tǒng)設(shè)立隔離的運(yùn)行環(huán)境。第五十八條訪問控制實(shí)施細(xì)則詳見《XX銀行信息系統(tǒng)訪問控制管理規(guī)定》。第八章信息系統(tǒng)安全管理第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等，包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。第六十條信息系統(tǒng)安全管理實(shí)施細(xì)則詳見《XX銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。第一節(jié)信息系統(tǒng)規(guī)劃與立項(xiàng)第六十一條信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足信息安全管理的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部室提出的安全需求。（二）安全需求分析和實(shí)現(xiàn)。（三）運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。第六十二條信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)派遣相關(guān)部室安全員對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。第二節(jié)信息系統(tǒng)開發(fā)與集成第六十三條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。第六十四條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。第六十六條信息系統(tǒng)開發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。第六十七條涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。第六十八條系統(tǒng)上線前應(yīng)開展代碼審計(jì)過程檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，避免引發(fā)安全漏洞。第三節(jié)信息系統(tǒng)運(yùn)行第六十九條信息系統(tǒng)上線運(yùn)行實(shí)行安全審查機(jī)制，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下：（一） 項(xiàng)目承建單位（部室）應(yīng)組織制定安全測(cè)試方案，進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告，報(bào)信息科技部審查。（二） 信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)信息科技部門。（三） 信息科技部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見。必要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。第七十條信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。第七十一條系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場(chǎng)。第七十二條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)系統(tǒng)歸口責(zé)任業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。第七十三條嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶對(duì)數(shù)據(jù)的訪問權(quán)限。第七十四條在信息系統(tǒng)運(yùn)行維護(hù)過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求：（一） 合理配銘操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)；（二） 屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入；（三） 及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞；篇三：金融機(jī)構(gòu)信息安全管理指引附件四川省銀行業(yè)金融機(jī)構(gòu)信息安全管理指引（試行）第一章總則第一條為切實(shí)加強(qiáng)四川省銀行業(yè)金融機(jī)構(gòu)（以下簡(jiǎn)稱銀行機(jī)構(gòu)）信息安全工作的管理和指導(dǎo)，進(jìn)一步增強(qiáng)銀行機(jī)構(gòu)信息安全保障能力，保障國(guó)家經(jīng)濟(jì)金融運(yùn)行安全，保護(hù)金融消費(fèi)權(quán)益和維護(hù)社會(huì)穩(wěn)定，根據(jù)國(guó)家和人民銀行總行有關(guān)規(guī)定和要求，特制訂本指引。第二條本指引所稱信息安全管理，是指在銀行機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、使用及廢止等過程中，保障計(jì)算機(jī)數(shù)據(jù)信息、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、機(jī)房基礎(chǔ)設(shè)施等安全的一系列活動(dòng)。第三條四川省內(nèi)人民銀行分支機(jī)構(gòu)按屬地管理原則對(duì)轄內(nèi)銀行機(jī)構(gòu)信息安全工作進(jìn)行管理、指導(dǎo)和協(xié)調(diào)。各銀行機(jī)構(gòu)負(fù)責(zé)本系統(tǒng)（單位）的信息安全管理，完成人民銀行交辦的信息安全管理任務(wù)、接受人民銀行的監(jiān)督和檢查。第四條各銀行機(jī)構(gòu)信息安全管理工作的目標(biāo)是：建立和完善與金融機(jī)構(gòu)信息化發(fā)展相適應(yīng)的信息安全保障體系，滿足金融機(jī)構(gòu)業(yè)務(wù)發(fā)展的安全性要求，保證信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施功能的正常發(fā)揮，有效防范、控制和化解信息技術(shù)風(fēng)險(xiǎn)，增強(qiáng)信息系統(tǒng)安全預(yù)警、應(yīng)急處銘和災(zāi)難恢復(fù)能力，保障數(shù)據(jù)安全，顯著提高金融機(jī)構(gòu)業(yè)務(wù)持續(xù)運(yùn)行保障水平。第五條各銀行機(jī)構(gòu)信息安全管理工作的主要任務(wù)是：（一）加強(qiáng)組織領(lǐng)導(dǎo)，健全信息安全管理體制,建立跨部門、一3一跨行業(yè)協(xié)調(diào)機(jī)制；（二） 加強(qiáng)信息安全隊(duì)伍建設(shè)，落實(shí)崗位職責(zé)制，不斷提高信息安全隊(duì)伍業(yè)務(wù)技能；（三） 保證信息安全建設(shè)資金的投入，將信息安全納入“五年”發(fā)展規(guī)劃和年度工作計(jì)劃，不斷完善信息安全基礎(chǔ)設(shè)施建設(shè)；（四） 進(jìn)一步加強(qiáng)信息安全制度和標(biāo)準(zhǔn)規(guī)范體系建設(shè)；（五） 加大信息安全監(jiān)督檢查力度；加快以密碼技術(shù)應(yīng)用為基礎(chǔ)的網(wǎng)絡(luò)信任體系建設(shè)；（六） 加強(qiáng)安全運(yùn)行監(jiān)控體系建設(shè)；（七） 大力開展信息安全風(fēng)險(xiǎn)評(píng)估，實(shí)施等級(jí)保護(hù)；（八） 加快災(zāi)難恢復(fù)系統(tǒng)建設(shè)，建立和完善信息安全應(yīng)急響應(yīng)和信息通報(bào)機(jī)制；（九） 廣泛、深入開展信息安全宣傳教育活動(dòng)，增強(qiáng)全員安全意識(shí)。第六條本指引適用于在四川省內(nèi)設(shè)立的各政策性銀行、國(guó)有商業(yè)銀行、股份制銀行、郵政儲(chǔ)蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、城市信用合作社、農(nóng)村信用合作社、村鎮(zhèn)銀行的總部和分支機(jī)構(gòu)。非銀行機(jī)構(gòu)參照?qǐng)?zhí)行。第二章組織機(jī)構(gòu)第七條各銀行機(jī)構(gòu)應(yīng)建立健全信息安全管理機(jī)構(gòu)。應(yīng)建立由行領(lǐng)導(dǎo)負(fù)責(zé)、相關(guān)部門負(fù)責(zé)人及內(nèi)部專家組成的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)本系統(tǒng)（單位）信息安全管理工作，決策本系統(tǒng)（單位）信息安全重大事宜?！?—第八條各銀行機(jī)構(gòu)應(yīng)設(shè)立或指定專門負(fù)責(zé)信息安全工作的部門，配備專門負(fù)責(zé)信息安全工作的人員，實(shí)行A、B崗制度。第九條各銀行機(jī)構(gòu)應(yīng)建立和完善統(tǒng)一的信息安全協(xié)調(diào)機(jī)制。應(yīng)建立內(nèi)外部協(xié)調(diào)機(jī)制，加強(qiáng)信息安全的交流、溝通和協(xié)作，充分發(fā)揮縱向、橫向協(xié)調(diào)的組織保障作用，有效提升信息安全保障能力。第十條各銀行機(jī)構(gòu)應(yīng)明確信息安全管理部門、運(yùn)營(yíng)部門和應(yīng)用部門的信息安全管理職責(zé)分工，科學(xué)制定安全規(guī)劃，有效組織實(shí)施安全策略。第十一條各銀行機(jī)構(gòu)應(yīng)建立完善的信息安全制度管理體系。第十二條各銀行機(jī)構(gòu)信息安全分管行領(lǐng)導(dǎo)、信息安全主管部門及部門負(fù)責(zé)人變更后，應(yīng)報(bào)當(dāng)?shù)厝嗣胥y行備案。第三章人員管理第十三條各銀行機(jī)構(gòu)的工作人員應(yīng)根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全管理職責(zé)。第十四條各銀行機(jī)構(gòu)應(yīng)選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。第十五條各銀行機(jī)構(gòu)應(yīng)加大人才培養(yǎng)力度，每年至少對(duì)信息安全管理人員進(jìn)行一次信息安全培訓(xùn)，適時(shí)對(duì)工作人員進(jìn)行信息安全知識(shí)培訓(xùn)。第十六條各銀行機(jī)構(gòu)信息安全管理人員應(yīng)認(rèn)真履行職責(zé)：（一） 組織落實(shí)信息安全管理規(guī)定和本單位及分支機(jī)構(gòu)信息安全保障工作，制定信息安全管理制度?！?—（二）