XX銀行信息安全管理辦法第一章總則第一條為加強乂乂銀行（下稱“本行"）信息安全管理，防范信息技術風險,保障本行計算機網絡與信息系統安全和穩定運行,根據《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等，特制定本辦法。第二條本辦法所稱信息安全管理，是指在本行信息化項目立項、建設、運行、維護及廢止等過程中保障信息及其相關系統、環境、網絡和操作安全的一系列管理活動。第三條本行信息安全工作實行統一領導和分級管理，由分管領導負責。按照“誰主管誰負責，誰運行誰負責，誰使用誰負責"的原則，逐級落實部門與個人信息安全責任。第四條本辦法適用于本行.所有使用本行網絡或信息資源的其他外部機構和個人均應遵守本辦法。第二章組織保障第五條常設由本行領導、各部室負責人及信息安全員組成的信息安全領導小組,負責本行信息安全管理工作，決策信息安全重大事宜.第六條各部室、各分支機構應指定至少一名信息安全員，——#—報告主管領導及計算機安全領導小組。必要時啟動相關應急預案。第二節災難備份管理第一百二十三條災難備份是指利用技術、管理手段以及相關資源，確保已有業務數據和信息系統在地震、水災、火災、戰爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件（以下稱“災難”）發生后在規定的時間內可以恢復和繼續運營的有序管理過程.第一百二十四條本行在本行計算機信息系統應急領導小組統一領導下，組織開展重要信息系統災難備份的統一規劃、實施和管理。第一百二十五條本行業務部室負責提出業務系統災難備份需求，明確可容忍的業務中斷時間和數據丟失量.本行據此確定災難備份等級和備份方案。第一百二十六條本行業務部室和本行協同建立健全災難恢復計劃，定期開展災難恢復培訓。在條件許可的情況下，每年進行一次重要信息系統的災難恢復演練。第三節應急管理第一百二十七條本行信息科技部負責制定和持續完善網絡、信息系統和機房環境等應急預案。應急預案應包括以下基本內容：總則（目標、原則、適用范圍、預案調用關系等）。應急組織機構。（三）預警響應機制（報告、評估、預案啟動等）。（四）各類危機處置流程。（五）應急資源保障.（六）事后處理流程。（七）預案管理與維護（生效、演練、維護等）。第一百二十八條本行計算機信息系統應急領導小組統一負責各業務系統的應急協調與指揮，決策重大事宜（決定應急預案的啟動、災難宣告、預警相關單位等）和調動應急資源。第一百二十九條本行定期組織應急預案演練，指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應急預案的有效性和災難發生時的可獲取性.第一百三十條在信息系統推廣應用方案中應同時設計應急備份策略,同步實施備份方案。第一百三十一條應急管理實施細則詳見《XX銀行計算機信息系統應急管理制度》。第十四章安全監測、檢查、評估與審計第一百三十二條本行信息科技部負責每年至少進行一次本行范圍內的內部信息安全相關的檢查或評估工作。第一百三十三條本行負責每年組織對各部室、各分支機構的計算機安全運行情況進行檢查（以下簡稱“對下安全檢查”）.第一節安全監測第一百三十四條本行信息中心負責整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要信息系統和機房環境等設施的安全運行監測.第一百三十五條本行各部室要及時預警、響應和處置運行監測中發現的問題，發現重大隱患和運行事故應及時協調解決，并報上一級相關部門。第二節安全檢查第一百三十六條本行安全檢查包括對本行本級的安全檢查和對下安全檢查.安全檢查方式可以是自查、檢查、抽查或上級檢查多種方式。第一百三十七條開展安全檢查前，應以已經發布的相關安全管理制度為依據，制定詳細的檢查方案、提綱和計劃等，確保檢查工作的可操作性和規范性。第一百三十八條安全檢查完成后應及時形成檢查報告，經主管領導批準后將檢查整改報告盡快送達被檢查部門。要求限期整改的，需要對相關整改情況進行后續跟蹤。第一百三十九條參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為本行內部材料妥善保管，不得向外界泄漏。第三節安全評估第一百四十條安全評估應在不影響信息系統正常運行的情況下進行。評估開始前，應制定評估方案并進行必要的培訓。評估結束后，形成評估報告，提出整改意見報主管領導.第一百四十一條如聘請第三方機構進行安全評估，應報本行主管部門批準,并與第三方評估機構簽訂安全保密協議后方可進行.本行信息安全管理人員全程參與評估過程并實施監督。第一百四十二條應妥善保管信息安全評估報告，未經授權不得對外透露評估信息。第四節安全審計第一百四十三條適時開展信息系統日常運行管理和信息安全事件的技術審計，發現問題按照相關規定及時上報主管領導。第一百四十四條應做好操作系統、數據庫管理系統等審計功能配置管理,應完整保留相關日志記錄，一般保留至少一個月，涉及資金交易的業務系統日志應根據需要確定保留時間。第一百四十五條本行各部室及人員應積極支持與配合上級