商业银行信息安全管理办法.pdfVIP

XX 银行 信息安全管理办法 第一章 总 则 第一条 为加强 XX 银行 (下称 “本行” )信息安全管理，防范 信息技术风险，保障本行计算机网络与信息系统安全和稳定运 行， 根据 《中华人民共和国计算机信息系统安全保护条例》、 《金融机构计算机信息系统安全保护工作暂行规定》等,特制定 本办法 . 第二条 本办法所称信息安全管理，是指在本行信息化项目立 项、 建设、 运行、 维护及废止等过程中保障信息及其相关系 统、环境、网络和操作安全的一系列管理活动。 第三条 本行信息安全工作实行统一领导和分级管理， 由分管领 导负责. 按照“谁主管谁负责，谁运行谁负责，谁使用 谁负责” 的原则,逐级落实部门与个人信息安全责任。 第四条 本办法适用于本行。所有使用本行网络或信息资源的其 他外部机构和个人均应遵守本办法。 第二章 组织保障 第五条 常设由本行领导、各部室负责人及信息安全员组成的信 息安全领导小组，负责本行信息安全管理工作 ,决策信息安全重 大事宜。 第六条 各部室、各分支机构应指定至少一名信息安全员，配合 信息安全领导小组开展信息安全管理工作 ,具体负责信息安全领 —1 — 导小组颁布的相关管理制度及要求在本部室的落实.。 第七条 本行应建立与信息安全监管机构的联系,及时报告各类 信息安全事件并获取专业支持。 第八条 本行应建立与外部信息安全专业机构、专家的联系 ,及 时跟踪行业趋势，学习各类先进的标准和评估方法。 第三章 人员管理 第九条 本行所有工作人员根据不同的岗位或工作范围，履行相 应的信息安全保障职责.日常员工信息安全行为准则参见《XX 银 行员工信息安全手册》 。 第一节 信息安全管理人员 第十条 本办法所指信息安全管理人员包括本行信息安全领导小 组和信息安全工作小组成员. 第十一条 应选派政治思想过硬、具有较高计算机水平的人员从 事信息安全管理工作。凡是因违反国家法律法规和本行有关规定 受到过处罚或处分的人员，不得从事此项工作。 第十二条 信息安全管理人员每年至少参加一次信息安全相关 培训。 第十三条 安全工作小组在如下职责范围内开展信息安全管理工 作： （一）组织落实上级信息安全管理规定,制定信息安全管理 制度,协调信息安全领导小组成员工作，监督检查信息安全管理 工作。 —2 — (二）审核信息化建设项目中的安全方案，组织实施信息安 全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况，检查运行操 作、备份、机房环境与文档等安全管理情况 ,发现问题，及时通 报和预警，并提出整改意见。 （四)统计分析和协调处置信息安全事件。 (五） 定期组织信息安全宣传教育活动， 开展信息安全检 查、 评估与培训工作。 第十四条 信息安全领导小组成员在如下职责范围内开展工作： (一）负责本行信息安全管理体系的落实. (二）负责提出本行信息安全保障需求。 （三)负责组织开展本行信息安全检查工作。 第二节 技术支持人员 第十五条 本办法所称技术支持人员，是指参与本行网络、信 息系统、 机房环境等建设、运行、维护的内部技术支持人员和 外包服务人员。 第十六条 本行内部技术支持人员在履行网络和信息系统建设 和日常运行维护职责过程中，应承担如下安全义务 : （一)不得对外泄漏或引用工作中触及的任何敏感信息. （二）严格权限访问，未经业务主管部室授权不得擅自改 变系统设置或修改系统生成的任何数据。 (三）主动检查和监控生产系统安全运行状况 ，发现安全隐 患或故障及时报告本部室主管领导，并及时响应、处置。 —3 — （四）严格操作管理、测试管理、应急管理、配置管理、 变更