XX银行信息科技安全管理办法
第一章 总 则
第一条 为加强信息科技安全管理,防范信息科技风险, 确保本行信息科技系统安全、稳定运行,根据《中华人民共和国突发事件应对法》、《中华人民共和国银行业监督管理法》、中国银监会《商业银行信息科技风险管理指引》和《银行业重要信息系统突发事件应急管理规范》以及相关法律法规,结合本行实际,制定本办法。
第二章 组织管理
第二条 本行信息科技安全管理实行“预防为主、综合治理、人员防范与技术防范相结合”的原则,建立安全管理责任制,逐步实现科学化、规范化管理。
第三条 本行信息科技部是信息科技安全管理的牵头部门,信息科技部安全与综合管理室配备专职安全管理员,总行信息科技部各室、各分行信息科技部门配备专(兼)职安全管理员。
第四条 安全管理员负责执行信息安全工作的日常协调、管理工作;负责协调处理各类安全事件;负责系统、网络和应用安全管理的技术指导;负责安全管理平台安全策略拟定,访问控制策略审核。
第五条 总行信息科技部各室安全管理员负责监控本室各类信息科技安全事件,包括实体安全、系统运行安全和数据安全,参与本室牵头的各类信息系统的安全分析与安全评估,及时报送发现的安全事件。
第六条 分行信息科技安全管理员负责监控分行内各类安全事件,包括计算机系统、设备和网络安全运行等,及时报送发现的安全事件。
第三章 信息科技人员安全管理
第七条 加强对信息科技主要岗位工作人员的管理和考核。对主要岗位工作人员应考核其工作表现、业务能力和职业道德等方面,择优选用。要害岗位人员必须配备双岗,不能同时外出。对不适宜从事信息科技工作的人员,由人力资源部门及时予以调整。
第八条 信息科技人员调离时,必须归还全部技术资料、软件、硬件,并及时更换信息系统的相关密钥、口令。
第九条 信息系统开发岗和信息系统维护岗分离,不得混岗。系统管理员岗和网络管理员岗不得兼岗。
第十条 关键岗位须配置双人岗,分A、B角,并定期轮换。
第三章 计算机病毒管理
第十一条 接入本行网络的计算机必须安装全行统一的防病毒软件,并纳入全行统一的防病毒管理体系。按照“谁使用、谁负责,谁主管、谁负责”的原则,任何部门和个人均不得擅自安装、使用其它防病毒产品,不得擅自卸载防病毒软件或关闭防病毒软件的实时监控功能。
第十二条 发现计算机受到病毒入侵,或发现计算机病毒无法有效清除的,要立即采取网络隔离措施,并及时报告。 第十三条 根据发布的防病毒预警要求,及时更新个人计算机的系统补丁程序、防病毒软件引擎和病毒码。 第十四条 非本行人员确因工作需要必须接入本行网络的,应安装统一的防病毒软件方可接入。
第十五条 在读取移动存储设备上的数据之前,应在脱网情况下进行病毒扫描。外来计算机接入本行网络前须进行全面病毒检查。
第十六条 严禁在本行计算机信息系统内故意制造、复制、传播计算机病毒。
第四章 重要数据、介质、加密设备管理 第十七条 数据是银行所有信息系统的核心。本行应切实加强对重要数据、介质、加密设备的管理,有效防范风险。 第十八条 数据备份管理
XX银行信息科技安全管理办法
