IT業務審計基礎知識隨著計算機技術的高速發展，銀行計算機應用也日新月異。目前我行計算機應用幾乎涵蓋了所有的銀行業務，并依靠計算機技術的支持，不斷創新銀行業務。計算機應用的方式也從過去的單點單機處理方式逐步提高為全國大集中、24小時自助銀行、核心業務系統處理的方式。因各種原因造成計算機應用系統不能正常運行從而導致銀行業務停頓和資金損失的風險已經成為最重大的金融風險之一，因此確保銀行計算機應用系統的安全可靠運行已顯得尤為重要，加強對IT審計也就勢在必行。第一章IT業務審計的職責、審計范圍和審計流程1.1IT審計職責總行IT審計職責總行現場審計五部負責全行IT審計管理工作，其主要職責：（1）負責制訂信息系統安全和電子渠道業務審計制度、手冊和工作計劃；（2）負責對全行信息系統安全和電子渠道業務的審計，包括對總行信息技術管理部、電子銀行部、軟件開發中心和數據處理中心內控管理及業務部門計算機安全應用方面的審計；（3）參與總行業務應用軟件的開發審核，重點是軟件程序風險控制的審核，軟件投入應用前的測試、驗收等；（4）對全行信息系統安全和電子渠道業務進行審計并作出評價；評估各計算機業務處理系統在實現內部控制制度各個環節方面的控制能力及可審計性，發現薄弱環節及時向有關部門提出建議。（5）對地區和省直分行所在地城市審計部，信息系統安全審計工作進行指導，并對其報送的信息系統專項審計報告進行審閱，提出意見；（6）組織和實施全行性的信息系統和電子渠道業務審計；（7）負責省直分行及部分省轄行IT業務及電子渠道業務現場審計；（8）收集、分析、歸納、匯總IT業務和電子渠道業務審計信息，撰寫IT業務和電子渠道業務審計分析報告和工作總結等。閣（9）負責資審計支持系全統管理、運泥行維護工作席。嫌伙地區審莊計部IT審坡計職責麥地區審計部絹分為華北、棕華東、華南號、華西和東垂北審計部，遍作為總行審黑計部在各地勢區的延伸機蔑構，接受總寺行審計部的晉領導和管理姑，對地區審怪計部監管范當圍城市審計關部實行領導盈和管理。其嘴IT審計主分要職責如下海：匹（1）地區才審計部按照戶總行審計部兇的要求開展爺IT審計工激作，代表總比行審計部對區所監管機構欲開展IT審嫩計監督活動腰；證（2）按照脾總行審計部麗制定的IT令審計工作制裂度和工作安拒排，研究制沃訂地區審計恥部的具體實槽施細則和工老作計劃,并港組織實施；蜓（3）負責振對轄內行I渣T審計工作惹的領導和管橋理，進行I兼T審計工作搬的考核和評欄價；膜（4）對監熟管范圍內省卵轄行的IT薯業務和電子濤渠道業務風率險控制狀況壘進行審計；偵（5）收集賞、分析、歸沉納、匯總I陡T業務和電弦子渠道業務典審計信息以冊及各類分析之報告和工作換總結等，并嫩上報總行審習計部。竹1.2嬌IT審計范卻圍杰按照商業銀約行風險導向某審計原則，命IT審計包鑒含科技應用響和電子渠道柴業務相關風念險控制內容撓，其審計菌范圍良如下：鉗（1）炒信息安全策輝略與制度。昂檢查阻網絡、系統岡、應用熄、環境設施腳和電子渠道護業務等方面疫的管理制度登制訂及執行訪情況。檢查固安全策略合秧理性、完整桑性，檢查是肉否根據總行充相關規定制究定相應的實墊施細則，是秀否覆蓋所有虹相關工作。候（2）絹安全組織。委檢查種信息安全機疾構和人員配引置、職責及咳工作情況。繼檢查安全機根構工作的有運效性。檢查公人員安全保近密職責、安拳全培訓等內之容。肌（3）擠信息資產的箭分類與控制孫。秧檢查票信息資產的資使用與管理訓。檢查相應體的管理辦法辯和管理流程立。園（4）產物理與環境秤安全。砌檢查湊放置設備的賭物理環境建涌設，包含機元房門禁、供蠶電、空調、按消防、監控宴等方面安全悅管理和維護孝情況。。討（5）祖通信與運營嶼管理。果檢查賀系統運行、遲監控、故障過處理以及數魔據備份等方蠶面的安全管顛理。授（6）儲訪問控制。蹲檢查野生產系統、剛網絡通訊、吹操作系統、從應用程序等戶方面的訪問滑控制情況。偉（7）撐系統的開發撈與維護。憤檢查筆應用系統開適發的立項、內安全需求、女測試、系統貌文件安全、覆開發控制等跟方面的安全街情況。夫（8）儀業務連續性泄計劃。煎檢查咬業務連續性襲計劃管理程平序，包含計灰劃組織、管義理、計劃演遺練和更新等怎方面情況。巖（9）貌符合性。拳檢查族信息系統的冊設計、運行劍、使用和管攪理等方面是親否符合現行忽的法律規定就以及合同約險定的安全要陷求。瘡（10）譜電子渠道業鵝務風險管理叢。檢查電子澡銀行風險管疼理體系和內燃部控制體系物。象（11）況網上銀行業蜘務風險管理獄。檢查企業上網上銀行、占個人網上銀皮行和網上支比付業務操作兵流程、崗位廁制約櫻等鴨風險控制情真況。遠（12）削自助渠道業蘋務風險管理裕。檢查自助顛銀行、PO拳S和電話銀許行業務操作貨流程、風險擔防范等方面攜控制情況。偉（13）太料平洋卡制作毒和使用管理統情況狡。周1.3偶IT審計流珍程害缸IT審計工存作程序可劃咳分四個階段哨：審計準備布階段、審計政實施階段、捐審計總結階耐段和審計追嘆蹤階段。棒審計準備階垮段狐工作主要包尼含：收集分湯析與現場審務計范圍相關愧的各類資料甚和數據，查雄找審計的可住疑點，確定宰審計重點，蝕制定審計方漿案，召開審遞計前準備會船議，審計方劫案審批，發儀出審計通知始書等。奉審計實施階常段工作主要華包含：進入推現場，采取若與分行相關肺人員會談溝購通、問卷調員查、數據分察析、資料查鮮證、現場檢各查等多種方重式進行在審計，審計賭完畢，根據聚發現的問題殖撰寫審計問戴題底稿，與彼相關部門人慎員溝通發現問的問題，咬整理、匯總狠檢查發現的蛇問題，斯并請相關人園員簽字確認怕問題底稿，舌審計結束后筒，憤向分行領導老和相關部門溝人員涼反饋審計中墨發現的主要肢問題艇。陰審計總結階上段租工作主要包絕含：根據審史計標準程式揭，對審計對某象進行評分哥，并作總體閉評價；固召開審計分鴉析會，對發砍現的問題進針行剖析女，并對確定零問題的風險酒級別；撰寫泊審計報告，減經二級部高弟級經理審核遭，并果經審計部領漫導審批后發叮送分行。卸對于風險級襯別較高的問饑題，形成專品項報告，憤以審計情況鼠等專報形式匯提交給總行鑄高管層,同確時抄送總行虛相關管理部半門。才審計追蹤階緞段培工作主要包占含：對于各比級部門審計抵發現的問題北整改情況進灘行跟蹤，定錯期跟蹤被審挽計對象的內孕控管理，形嘩成持續的監徑控。饑1.4I挪T審計準備糧工作朵現場饑審計進場前泛的準備工作罰是現場審計諒的前提和基于礎，隨著我萍行大集中系交統建成和推獨廣，現場審森計前需不斷朋地與被審計坊單位溝通，梅調閱審計期紫間的相關資懼料，進行分煉析；同時，偉通過審計分爺析工具對數幫據進行篩選默、歸類、分蓋析。現場審軋計準備工作遣主要包含：搞收集分析與衛現場審計范崇圍相關的各服類資料和數層據，查找審蜻計的可疑點掙，確定審計拖重點，制定辰審計方案，緣召開審計前初準備會議，渡審計方案審獄批，發出審飯計通知書等曬。墨再現場量審計進場前呆準備工作主潔要由主審人譽負責著恩坊弓資料收積集裳審計前需收皂集被審計單摟位相關資料毯如下：暈（1）收集僅被審計單位綿的信息科技婆和電子渠道挺業務相關的裹管理制度、丸規定；福（2惹）信息系統捕安全管理和洞電子渠道業幣務股組織架構及鉆其人員名單淋。填寫人員精崗位及職責惱分工表魂（見附表）脂；鹽木（3）年度貨計劃和工作論總結，安全指領導小組會溉議記錄；嘴（4）對內似日常監督檢壽查報告，外田審審計報告蘭以及整改落同實情況；枕（5）填寫宣應用系統調仇查表率（見附表）糟，對使用的擱應用系統環模境進行調查望；起（6）網絡局拓撲結構圖壤，貢IP導地址分配規利則表，變VLAN粱劃分控制表忌和網絡安全朽設計說明；沖（7）誠分行自行開怒發的循特色業務系畏統及其運行姓環境，與第雹三方網絡通切訊和訪問控涂制的安全策咬略；蠶（8）掠中心機房內居主要物理設庭備及附屬設蜜施的維修保筍養資料；阻（9）刻主要業務系渡統應急方案童和演練記錄陽。附表1區應用系統調矩查表般被調查單位闖：合診鋼雹蜜怨盒填表日期怨：喉200豈年果月道日扛跑填竊表人：派散型顧序號些應用系統貢運行環境還應用系統旗維護人員定備注丑名稱裝使用單位培開發單位劇操作系統促數據庫系統團中間件橋名稱怠版本暢名稱五版本鄉名稱卵版本灌填表說明：萌填表內容包唱含主機系統雖、各類業務棉前置機和監忙控系統上運盒行的所有應敗用系統。附表2傷人員崗位及服職責分工表哥被調查單位春：夫瘦意填表日期：瓜200斃年般月鷹日役灘填表人：涂序號戒姓名太崗位揮管理的內容刺備注朵主管內容六兼管內容危填表說明：聾該表包含電上腦部門所有邪人員，每人耐信息填寫一釋行。恢臥擇審計途準備會穿在現場審牛計方案草擬情后，分管總團經理組織審凱計小組成員烈，召開審計散準備會。會態議重點是聽像取現場審計館方案的匯報郵，研究被審滔計對象的信臂息系統管理糊、安全和電湖子渠道業務線等方面內部仗控制、風險玉管理情況，惕并對問題疑逗點、線索及移異常情況進讀行分析，討碑論審計方案考，確定具體桿審計內容。棒敬月審計通但知書考根據審計準闊備會議的討偵論情況和會央議決定，組各織現場審計滲組落實審計院準備會議決這定的事項，燦并對現場審懂計方案進行頸修改和完善連。擬寫審計星通知書，審搞計通知書包敢括：審計小與組人員、審瘦計時間、審督計范圍和審早計主要內容敘，以及需被錦審計單位提箱供的資料清亞單。完成審早計方案和審屑計通知后，徒按照發文程倉序報總經理懇批準，并發末送審計通知濃。顛1.5舉IT審計藥方案所現場審計組索成員根據收旬集的資料和顏數據，分析限資料和數據富，了解被審尿計單位的管煮理和系統安哥全運行狀況薦，對其進行局初步評估，母根據風險導棉向原則，判別斷被審計對筑象可能存在叉的風險領域毯、重點和可棚疑點，主審掘人根據可能忘存在的風險淹制定審計方扯案。IT現復場審計方案甚的內容一般腸包括：審計面依據、審計僚目的、審計啊范圍、審計蘭時間、審計蒼內容、審計知重點、審計酸方法、審計價標準，以及釣審計人員分院工和職責等閑。丸1.5.必1漂IT審轎計離依據基審計依據包汁括：滑年纏度系審計部工作附計劃，《交牛通銀行內部四控制評價辦阿法》，《交英通銀行審計涼標準程式》酷的附件7《傾信息系統安斤全》，框電子渠道業局務審計要點省，震國家相關部館門制訂的有展關信息系統經和電子渠道祖業務的法規貍、管理制度睛、規定、辦堵法和指引，即交通銀行制冶訂的信息系堡統和電子渠典道業務的各購項規章制度燙。揮1.5.羅2景IT桑審計驚方式軍審計押方式有多重陡形式，根據尺現場審計情且況的不同，矛采取不同的抗審計方式，束一般IT審屠計方式包括法：禍與分行相關邁人員會談溝敏通、問卷調插查、數據分士析、資料查滋證、現場檢潮查等多種方新式進行。落1.5.免3勸IT拉審計侍內容教IT鵲審計內容主逆要由信息系見統安全和電擱子渠道業務元兩大部分組雕成。古信息系統安冶全審計內容排包括：制度既制定與執行論、安全組織舞管理、信息吃資產管理、筍機房環境設進施、通訊與透運營維護管油理、訪問控無制、系統開辱發、業務連竭續性管理和顫符合性。得電子渠煌道業務審計積內容包括：堵組織與制度籍建設辨、電子渠道墓風險管理宇、企業網上躬銀行、個人肢網上銀行、手自助銀行、降POS系統賤、電話銀行組、第三方服成務管理、業今務應急管理謎、數據備份悲管理等方面憶。瞇根據每次審賣計要求與被拴審計對象情弱況，可以選叢擇全部或部狼分內容作為改本次審計內繩容。順第唇二章急有按IT審計僅的基本內容懂2.1安纏全策略審計晶其目標是確恩保我行擁有田明確的信息副安全方針以弦及配套的策堤略和制度，親以實現對信稿息安全工作消的支持和承荷諾。同時，園保證信息安帆全的資金投癥入。信息安叔全的方針策陜略是在交通惠銀行策略下癥，由交通銀孩行業務策略胞、交通銀行勉安全策略、財交通銀行I售T策略衍生咱出來交通銀忘行IT安全激策略。辯趙安全策略脫的制定劃IT安全策邀略制定：制臟定全面、詳獻細、完整的姥信息安全策觀略和規范；新信息安全策撲略應涉及以翻下領域：安女全制度管理傻、信息安全相組織管理、目資產管理、暑人員安全管崗理、物理與點環境安全管莊理、通信與協運營管理、郊訪問控制管衛理、系統開凡發與維護管橡理、信息安菊全事故管理切、業務連續盟性管理、合辟規性管理。斑信息安全策料略的下發：炸信息安全策扒略和安全職類能要求應以舞適當的方式罪傳達給所屬如所有機構、判部門和分支語行。刻康安全策略的窯執行宴信息安全策賠略的執行：校銀行所有員異工應充分理步解信息科技奇風險管理制默度和流程，含熟悉了解信選息安全策略星目標和各自革崗位的信息嫂安全要求，有并參照執行爹。燈按期完成信騾息安全策略財中制訂的安別全目標或承階諾（如提供癢人、財、物輕以及管理等稅方面的支持笛）；安全管炊理人員是否么能闡明實現虜信息安全的葬途徑和辦法墾。騎各機構和各撓崗位人員應殊嚴格遵從信判息安全策略頁、規范、操械作流程等各紹項規章制度近。逗目標的總結刃和評價：安非全管理人員慣應清晰闡明啟實現信息安宿全目標的途瘋徑辦法及措碑施。相關職扣能部門應定啟期核實并評下價全行，信斤息技術部門婦及安全員等向不同層面的蛇年度工作計夾劃中應包含腫信息安全目頭標的預期和昆完成情況。遞閘日常檢查工延作投監督管理：扶總行信息技局術管理部應勸對各分行、誘省分行對轄摧內省轄分行唯、以及各網史點支行應行退使有效監督抖管理的職能陽。與信息安全檢役查：信息技棕術部門及安熊全員應定期邁進行安全檢急查（包含省袍轄行，分行舊技術部，各壓網點），應囑有詳細的檢尋查報告；對勒安全檢查的希結果應進行益后續風險評山估，建立問佛題跟蹤和后爹評估機制，困相關文檔資錄料應齊全詳確細。誓對審計問題警的評估和整熊改：根據外順部獨立機構懷檢查、審計標信息系統安艙全的報告，唇應對第三方自信息安全的疊評價情況和啦提出的問題詠建議進行風辛險評估。嘗針對各類信仙息系統安全連的審計和檢枯查情況，結圈合自身實際痰情況的評估嫩，制定相應及的整改措施叼進行有效整地改。對可接今受的風險應蘋進行進一步減評估和說明粉。峰2.煮2陽組織與衫人員審計受組織與人員通審計其目標磚就是保證安事全工作的人符力資源要求姑。避免由于慢人員和組織約上的錯誤產貝生的信息安凍全風險。磨許組織架構弄交通銀行信式息安全保障龍領導小組是誰交通銀行信吹息系統安全遞管理的領導服機構。信息刊技術管理部告是信息安全雪保障主管部傍門，承擔信乎息安全領導妄小組辦公室旗職能，同時織下設信息安墳全管理部，膝負責信息安吼全保障日常農事務工作。葡信息安全保陡障領導小組此的工作職責棋是：領導全壺行信息安全廈保障工作，驗研究信息安弓全保障的形咳勢和策略，氣部署信息安齡全保障任務系，審查信息纖安全保障規疫劃和信息安模全保障重大驚項目方案，脆檢查重要業泥務應用系統案、核心網絡啦系統的應急筍預案及落實阻情況，處理距重大信息安距全事件，定墨期召開工作袍例會，聽取痰關于信息安庭全方面的情體況報告。頑各省直分行膠和省轄分行領均應成立信蝕息安全保障小領導小組，樣并向總行信層息技術管理樹部報備。分辣行信息安全沖保障領導小盈組是本行信服息系統安全陪管理的領導殘機構。啞分行信息科玩技部門安全爹管理職能機憂構（信息安遷全科）的主服要職責：前（偉1素）在本行信冰息安全保障丘領導小組的它領導與指導窗下，貫徹執助行上級行信盒息安全保障葉領導小組的纖決議，承擔狗信息安全管今理的日常事再務工作；塌（奉2暢）定期向領肝導小組及上倘級行報告本投行的信息安標全狀況，對焦存在的問題茶進行分析以攜及提出解決島問題的建議比，供領導決帆策參考；汁（載3聰）在遵從總糞行的安全管順理規定和安尋全策略的情倡況下，制定蘿本行的安全蕩管理制度和趴實施細則，關檢查、指導冶和監督各項該安全制度的烘執行；貫徹占執行上級行闊制定的計算舌機安全保護泛規范及實施逢方案，確保憂本行信息系革統安全；暑（鑒4趨）定期向上登級行提交信托息安全檢查姐報告，對存摧在的問題進飛行匯總分析倆，提出整改多措施，落實春整改意見，錘跟蹤整改工昌作的完成情房況；芒（灌5征）參與本行代計算機信息驚系統工程建猛設中的安全罩規劃和方案旦研究，監督率安全措施的天執行，確保喉應用開發環冒節中的信息眉安全；混（泡6城）組織本行扣信息安全技五術培訓和宣憤傳工作。竭互惕角色和責任售扔明確信息安煤全相關崗位檔的角色和職唱責，其目標松是降低由于延信息安全的鐮角色和責任族混亂導致的孔人為錯誤、苗盜竊、詐騙糕或設備誤用摸等產生的風慘險。盒總行機構設傾立主管信息繩安全的管理吉部門和相應無人員；省直項分行成立信掉息安全科并忍設置專職信簡息安全員；閉省轄行設置和專職或兼職壯信息安全員尺，負責分行紫信息安全的錢日常管理工探作；同時應塊有安全工作矩計劃，定期扶開展工作，鋒并有相應的梳文檔資料。防各機構對全戀行信息系統降確定一個總妨的安全責任堤人，對全行蘇信息系統的宜安全負主要誼責任；對全密行每一個信夏息系統（軟率件、硬件）尖確定一個責鄉任人，對該淚信息系統的仍安全運行負橫主要責任。撥專（兼）職壟信息安全員類應履行以下釘職責：遣（篇1鑄）負責信息量安全管理的稻日常工作；帶（夸2研）開展信息控安全檢查工漠作，對要害蝦崗位人員安接全工作進行摸指導；叮（豎3賠）開展信息款安全知識的淡培訓和宣傳躁工作；憐（劃4績）監控信息服系統安全總手體狀況，提己出安全分析蕉報告；替（快5宗）了解行業斃動態，為改喜進和完善信步息安全管理月工作，提出鑼安全防范建蓮議；戴（搞6奶）及時向本文行信息安全宏保障領導小光組和有關部墊門、單位報殲告信息安全遷事件；沾（蜻7紡）參與本行廢計算機信息指系統工程建棉設中的安全府規劃和方案輸研究，監督描安全措施的綱執行，確保拔應用開發環用節中的信息影安全；艱（銷8角）負責在授砌權范圍內的臘其它管理、爪維護工作。肝科技人員配樂置：加強信反息科技專業銷隊伍的建設淺。各機構的闖信息科技人塞員配置應合塑理有效，符雅合內部控制招要求。重要典崗位應有Ａ送／Ｂ角設置礎，關鍵業務村操作（如：任重要密碼的停輸入、重要碗參數的修改遭等）應采用悄雙人進行。霞屢交安全教育和她培訓推其目標是困確保全體安刃全參與者都域意識到信息躬安全的威脅盡和利害關系慚，并具有在謝日常工作過凝程中支持組飛織安全方針回的能力。占各級行應定乓期組織對本僑行信息安全禾員的技術培正訓、管理培收訓和考核。若組織本機構裙信息系統人魚員進行有關問業務、技術常和安全培訓第。定期對技遮術人員進行篩信息安全的吹教育培訓，峰如防病毒、土網絡攻擊等垂培訓。所有葡與信息系統殲相關的員工士應定期接受蓋適當的安全泡培訓,包括鬼法規教育，流安全知識教柏育和職業道牛德教育等信奔息安全培訓仗。裁益章人員安全做人員安全包述含安全責任霞、人員錄用抗、保密協議燒等方面內容畜員工工作職己責：對信息奉技術人員應強有明確的工踩作職責和崗婆位操作規程匯；應將有關趕重要工作進亭行職責分離倆（如：開發逆人員與生產銹維護人員分滋開，系統管民理人員與網設絡管理人員慢分開），相剝互制約。據員工安全責鏡任：工作職陶責中應包含使員工的安全頁角色定義和貧相關安全責終任說明。沫人員錄用：小在招聘新員寶工時應要求秋技術人員具稍備良好的職始業道德，并必掌握履行信聞息系統相關朗崗位職責所謊需的專業知忙識和技能。鼓對員工的資辭質、教育背筐景、專業能忌力都應有嚴門格的審查機郵制。茄保腿密協議：重憑要崗位人員印應與銀行簽沙訂保密協議秧，或在合同汗中注明保密投條款。酬崗位要求：逃技術人員未艘經崗前培訓嚷或培訓不合奮格者不得上纖崗；經考核暈不合格的技殖術人員應及丈時進行調整屠。第須外協單位安釋全管理回外協單位是馳指為交行提簡供硬件設備商、系統軟件紹、產品的廠史商、服務商叔或參與交行斧應用項目開請發的外協公稱司等。樹開發計算機朱應用項目需育與外協單位緩合作的，應芒由科技部門蟻負責總體結潑構設計。對離需要外協單則位提供技術鄭支持的部分帖，原則上應鐘該抽象為相肉對獨立的產猛品，由外協征單位提供產也品服務。煮開發搬計算機應用費項目需與外某協單位合作舌時，必須事蜜先簽訂技術么合作協議，熔明確產品的桿知識產權歸閥屬；對于知鉗識產權屬于著交行所有或侵雙方共有的顧，必須要求胸外協單位提阻交該產品的耐詳細源代碼尼和相關技術莊資料。拿外協單位提秀供的產品中徐所涉及的操陽作密碼和加避解密密鑰必箏須與產品相鐘對獨立，并否由交行獨立乎決定和掌握問。在產品交銀接時，科技穴部門應根據哨規定及時更狡改操作密碼諷和系統密鑰冒，并嚴格保殼密。攀確需外協單恐位人員參與匹產品開發工私作的，必須襲有交行工作邪人員全程陪耍同，并限定西外協單位人膝員的訪問權神限，嚴禁外化協單位開發路人員在無人弦陪同的情況帝下進入開發粱或生產環境詳。教簽訂計算機脅軟、硬件產蓋品采購合同串時，必須要蛇求產品供應扛商承擔計算草機軟、硬件沿產品保修期潑內的維修和歌升級責任；奸在條件允許樓的情況下，晃還應要求產霜品供應商承瞧擔產品使用裹的培訓責任脂。犬協調與溝通煉機制：嘉建立溝通機進制提高事故慌處理能力，哪應建立信息損系統相關部資門之間、與省外部監管部誤門、第三方兼服務提供商終和電信運營轟商的合理聯頃系方式，以莖提高事故處燒理能力。具信息資產管舒理審計禿信息資產是降指對交行業破務和管理具背有價值的信廣息及其載體峰，包括對其匙進行生成、柔獲取、處理支、傳遞、存狂儲的設施、疼服務和崗位希人員。慘總行信息技眨術管理部是意全行信息資像產的信息安運全歸口管理吳部門，負責埋制定信息資膜產的安全保碼護策略，監絨控信息資產飼安全管理的方有效性；定杰期匯總分析姥全行信息資橋產保護情況棄，向總行信宵息安全保障膊領導小組、士總行風險管猜理委員會和尸上級監管部慘門報告交行腳信息安全管辭理狀況。獵趟削追信息資產分治類脾交行信息資蔑產按形式分哥為五類，即宋數據資產、坑軟件資產、裕實物資產、罪人員資產和林服務資產。針數據資產指糟經計算機采刮集、處理、攻傳輸和存儲輪的信息數據慈，包括存儲叼在計算機、低存儲設備和早存儲介質上自的業務數據嘴、客戶信息端、配置文件叼、記錄數據推、日志文件右、管理文件任、商務文件壁，及相應打巡印件、紙質必文件、報表點和膠片等。姿軟件資產指閱負責對信息鍋進行采集、綢處理、傳輸矛和存儲的各銅類軟件及相懸應文檔資料撤，如系統軟豪件、應用軟繳件、工具軟澆件，及相應芽功能說明書恩、使用說明露書等。爛實物資產指蟻與信息處理袖相關的各類雄固定資產，釋如計算機、臉網絡通信設蒼備、存儲設水備、機房及砌機房設施等欄。蠅人員資產指丈在信息及相種關系統建設避、運行、維聽護和管理過皆程中承擔相喉應職責的崗努位人員。信服務資產指典在信息運用撫過程中所需焦的各種服務侄支持，如合凝作開發、咨場詢、審計、勞設備維護、蠢數據錄入、通印刷、分發鋸、通信線路碎租用、安全脾保衛、衛生賓保潔、供水曬供電等。駝途信息資產保清護嚴根據信息資岸產在保密性真、完整性和殊可用性三個副方面所表現戴出的不同重形要程度，將窩信息資產按奶“均三性船”票分別劃分為面1到5五個妄安全級別（報分級標準見副附件1）（掃1、2級屬枝一般資產，面3、4級屬全重要資產，競5級屬關鍵糟資產）驢。梯信息資產分修級標準仔級別旋取值參考標離準描述供保密性興Confi示denti豬ality沉完整性崗Integ鋤rity臂可用性雜Avail臥abili坑ty遞一般資產憲人員/服務若一般資產說人員/服務蝦一般資產午人員/服務巷5爪核心商密：勺包含組織最曲重要的秘密露，關系組織帳未來發展和陰前途命運，胸對組織根本析利益有著決撤定性的影響千，如果泄露東會造成災難緊性的損害者可以接觸/葬存取核心商裙密的人員或州服務課完整性價值下極高，未經灶授權的修改緞或破壞會對接組織造成重夸大的或無法含接受的影響英，對業務沖臥擊重大，并共可能造成嚴咳重的業務中臭斷，難以彌匆補復該人員或服啊務所擁有的而知識、能力概或經驗對我溜行運營及發票展特別重要識可用性價值技非常高，合尖法使用者對崗信息及信息娃系統的可用負度達到年度繞99.93夠%以上，或森系統一次中獵斷時間小于耗10分鐘管該類人員或極服務的響應抗要求特別高盟（要求7*吊24現場工螺作）瓣4鑰重要商密：低包含組織的愚重要秘密，銳其泄露會使役組織的安全記和利益受到摧嚴重損害際可以接觸/樣存取重要商迅密的人員或奇服務新完整性價值青較高，未經套授權的修改批或破壞會對轉組織造成重桂大影響，對嘉業務沖擊嚴同重，較難彌呀補舞該人員或服場務所擁有的旦知識、能力硬或經驗對我瞞行運營及發鍛展非常重要蘆可用性價值科較高，合法塊使用者對信霧息及信息系贈統的可用度面達到年度9拼9.9%以再上，或系統列一次中斷時想間小于30昏分鐘槽該類人員或潛服務的響應辨要求非常高抄（要求7*堅24電話待親命，并能在勤10分鐘內屠趕到現場）煌3酸一般商密：胸包含組織的宵一般性秘密蜓，其泄露會沫使組織的安腫全和利益受未到損害擁可以接觸/囑存取一般商術密的人員或互服務邁完整性價值示中等，未經形授權的修改拿或破壞會對鄙組織造成影鞋響，對業務掉沖擊明顯，污但可以彌補式該人員或服禾務所擁有的探知識、能力床或經驗對我免行運營及發慨展比較重要蒙可用性價值芳中等，合法過使用者對信循息及信息系默統的可用度唱達到99%涂以上，或系量統一次中斷鹿時間小于6查0分鐘踐該類人員或翠服務的響應神要求比較高傍（要求7*削24電話待構命，并能在查1小時內趕寸到現場）余2遼內部使用：闊僅包含能在蔑組織內部或山在組織內某透一部門內公燭開的信息，璃向外擴散有布可能對組織仍的利益造成朵輕微損害規可以接觸/雪存取內部信廚息的人員或途服務認完整性價值追較低，未經繳授權的修改帖或破壞會對彼組織造成輕擴微影響，對韻業務沖擊輕歡微，容易彌掩補顧該人員或服齡務所擁有的兆知識、能力霧或經驗對我丘行運營及發故展作用一般災可用性價值拆一般曲該類人員或蠻服務的響應貪要求一般（卡要求7*2歌4電話支持該，要求2天罵內趕到現場苦）氣1石公開：可對喚社會公開的飛信息，公用翻的信息處理辦設備和系統雀資源等谷不能接觸/燙存取任何涉此密信息的人陳員或服務循完整性價值俯非常低，未蹈經授權的修誼改或破壞會悶對組織造成春的影響可以統忽略，對業隸務沖擊可以鍬忽略街該人員或服劍務所擁有的拍知識、能力死或經驗對我掙行運營及發葵展可以忽略妖可用性價值識可以忽略圓該類人員或育服務的響應冷要求較低賓交行常用信窮息資產涉密稅分級參考：子（產1屋）公開信息徐：交行宣傳腳材料、公開局的行務信息鞋、公開的財押務報告；塔（傍2巷）內部信息州：工作動態獸、行務信息卸、操作信息陽、一般工作細人員聯系方這法；互（反3度）一般商密回：交行規劃季、計劃、系野統維護文檔丟、應急預案利、審計報告姓；龍（率4鑼）重要商密狀：開發文檔欣資料、客戶砌個人信息、仇客戶帳務信海息、交易流嘗水、訪問口吐令、網絡配績置信息、系橡統日志、維摸護日志；境（底5摸）核心商密遠：交行經營廚策略、信息惹安全方案、繪網絡拓撲、印加解密算法毛及程序、密旨鑰。谷毫信息標識和波處理床建立了一套拼流程來對信語息（如：程稼序、變量、夸數據庫、參每數表、密碼克、密鑰、加票密機、柜員破號、文檔資排料等）進行棍標識、處理跌。信息的標蔬識在信息系踩統范圍內應夾清晰、明確架、唯一。漫旨涉密信息銳管理輪統計并有效升管理存儲機枯密、秘密資產源的設備、滋終端和介質湊等。涉及機憑密資源的設稍備、介質等特應統一編號對，并標明備田份日期、密具級以及保密太期限。呈應采取切實沸可行的措施隔（如網絡隔文離，防病毒屈軟件等）杜劃絕信息泄密轟的隱患。涉天秘設備在維顯修、更換或慕報廢時應刪眼除數據、拆冒除涉密部件著以及有記錄配等要求。對都介質應加以綢管理和基于時物理上的保牌護。應建立孟合適的操作割流程來保護毯計算機介質畏（磁帶、軟咬盤、盒式磁認帶）、輸入匆/輸出數據螞和系統文件駕免受損壞、勝盜用和未授福權的訪問。冊涉秘介質應買定期檢查和性轉存。盤碧信息資產報軍廢與銷毀碌各類硬件設鉆備、數據介石質等資產的缸報廢應制定綁明確的審批膚流程，對設搜備中涉及的勁業務數據、鉆文檔資料或睡敏感信息等薄數據應采用窩技術措施或夢物理手段確爬保不可恢復搜性刪除。整穿個過程應有挖審批手續和蛋登記記錄。憂2.4唱機房物理照環境安全審遲計投計算機機房喇包括：總行巴數據中心機常房、總行各裹類生產設備傾機房、省分李行、直屬分厲行、省轄行壇中心機房。反按照工作性計質和重要程懷度對機房進傷行分級分類錦管理，具體艙分為四類：仍A類機房廊──槳總行數據中介心機房、總扶行災備中心黑機房；耗B類機房礙──謎總行開發中熱心、省分行笛和直屬分行碰中心機房；騰C類機房僑──鑄省轄分行中摟心機房；背D類機房門──日其它機房。軍機房建設安染全管理的各格項內容應符后合相關國家隱標準。分行郵新中心計算鏡機機房建造旱設計方案應利通過上級行涌技術管理部黑門的審批。鼓分行中心計營算機機房建俘造完工后，堆應通過有資窩質的質檢部黃門和消防部侄門以及上級蛙行的科技部緒門、遇審計疾部門、保衛仗部門等有關犧部門的檢查賓，并出具檢臘查報告。含封機房區域安罵全里機房和辦公蹄場地應選擇愧在具有防震淚、防風和防吉雨等能力的訪建筑內；機絨房場地應避蹄免設在建筑礎物的高層或著地下室，以慈及用水設備脫的下層或隔幕壁。撕各機構中心躺機房應依據餅要求實現物潔理功能分區拆（總行A類現分區、省直挖分行B類分嬌區、省轄行藝C類分區）段；各分區入末口應獨立設坑置；不同分氣區之間間隔晴體、窗戶、高中心機房大償門、各分區三門的強度和需牢固性應符睛合相關要求購；不同分區左間(如天花章板上方和地五板下方）應種有效隔離。厘中心機房所騙在樓層和位邁置不應存在近被外部識別才的情況，應士采取有效的炕隱蔽措施；緩機房周邊（洲100米造內）嚴禁存評在如加油站您，變電站等璃潛在的安全攀隱患。瘋犧物理訪問控蠻制聞機房出入應稿安排專人負蠶責，控制、兆鑒別和記錄刊進入的人員墻；需進入機和房的來訪人濤員應經過申半請和審批流他程，并限制至和監控其活含動范圍；賠應對機房劃啦分區域進行倦管理，區域仔和區域之間壯設置物理隔昆離裝置，在蛛重要區域前搶設置交付或午安裝等過渡魚區域；重要廚區域應配置問電子門禁系兔統，控制、般鑒別和記錄剛進入的人員柄；機房出入歸口應配置電輝子門禁系統刊，重要區域辨應配置第二犁道電子門禁涉系統。嗓各分區應具意有獨立的門柿禁控制器進季行控制；門念禁系統中各引人員可進出北區域應與崗汽位指責相匹懷配，采用最叔小授權原則錦對機房分區愈進行物理訪燕問；門禁卡趙應實行實名桿記錄和管理程，并定期更舉新；門禁系廁統是否由保裕衛部門管理鑒以實現部門側和崗位的制你約。甜妨設備定位和鎮保護據機房內設備脈必須嚴格定漠位和保護，拒應將主要設蕉備放置在機京房內；將設事備或主要部歌件進行固定鹿，并設置明槽顯的不易除訪去的標記；峰機架之間、荒設備之間應緩留有合理空集間，保證不或會碰撞和今映后維護方便翻。應將通信累線纜鋪設在永隱蔽處，可則鋪設在地下秩或管道中。饒鮮供電系統俗中心機房配睬電系統應為涼雙路供電，炸并設置防雷大擊保護裝置釋。中心機房胳應備有應急守照明，攝像去區域應備有賽值班照明。起主機系統、禾網絡通訊、趁重要業務系照統前置機等艱重要計算機慮設備應通過殼專用不間斷僚電源UPS纖供電，此類沿UPS電源淡不準接入其疑它電子設備信。UPS應幼定期進行放榮電檢測，其遞負載應不超訓過有效輸出辭功率的80排%，并應均愧勻分配在三鬼相線路上。末各類監控報既警設備、消便防設備、值革班照明、應閥急照明等應輔與機房設備肥采用不同U館PS供電。樸A類機房U泰PS配備必定須符合2（貪N＋1）并璃聯冗余方式足，B類機房吧UPS配備略應符合2N絲并聯冗余方庫式。鋪應配備發電穩機或與供電傳單位簽供電剝協議以對中胡心機房進行泡應急供電；樸發電機的功跌率及油量應丑滿足機房功凡率和發電要廟求，同時確港保油庫的安白全性；發電州機應定期保指養和演練，軟并進行文檔敏記錄。種應按UPS揭維保合同條絕款進行定期復巡檢；每次威維保應全面貓到位，進行撿定期放電檢斥測并檢查電汁池接頭的牢似固性。汽釘空調系統舞總行、省直落分行中心機津房、電池室幟應配備機房婦專用精密空煤調，省轄行哄應配備精密瘋機房專用空透調，或能2灑4運行、自赴啟動的商用宋空調；機房蛇空調四周應概設置防水隔日離壩，并采搭取足夠的防協護措施以保剪證防空調漏績水的發生和孔及時報警；友A類、B類練機房精密空胸調控制模塊虹配置應為N穩+1冗余方粉式。微繁消防系統擠機房應設置昏滅火設備；棋設置火災自器動報警系統竹和火災自動巨消防系統，六能夠自動檢爺測火情、自井動報警，并圈自動滅火；巴機房及相關杰的工作房間中和輔助房應刊采用具有耐似火等級的建冊筑材料；機涼房應采取區專域隔離防火辜措施，將重酒要設備與其盟他設備隔離怖開。中心機欲房的地板、師隔墻、天花枕吊頂等室內擁裝飾材料必徐須采用阻燃櫻材料。寇機房應設置輩應急通道，襯應急逃生通初道應通暢，邪嚴謹堆放雜醬物；走廊、妹安全出口、智樓梯間應有母明顯的疏散剩指示標志；創逃生門應有幣效啟用，處逃于外部關閉緣、內部應急察可開啟狀態駱。跡機房消防系饅統的滅火介崇質應符合機紡房要求，定遵期檢測消防柜報警系統各詠檢測點和噴購淋介質（如殺鋼瓶壓力等烈）的有效性煌；消防開關償應設置為手顏動狀態；火找災報警系統偏和自動滅火奸系統應與門抬禁系統聯動灰；中心機房減應配備專用貨空氣呼吸器置或氧氣呼吸礎器。腳相關值班人捆員應熟知緊行急情況的應誓急啟動流程花，定期對相播關人員進行國消防演練和僚培訓并保存曬相關記錄。應位防窯雷設置勸機房建筑應資設置避雷裝姜置；機房應摘設置交流電蕩源地線；設北置防雷保安災器，防止感權應雷。防雷獸擊系統應出極具專業機構綱的驗收檢測悄報告；防雷泄接地電阻應甩小于2歐姆泰。鑄濁防漏水系統姻中心機房、溝電池室等空立調區域應配安備防漏水裝貨置并確保漏革水報警裝置這的有效性；右機房內地面番、天花板和旦墻面應杜絕它滲漏水隱患抬。羊對穿過機房烤墻壁和樓板廢的水管增加揭必要的保護漿措施；應采緣取措施防止根雨水通過機錄房窗戶、屋拾頂和墻壁滲冒透；水管安聞裝，不得穿把過機房屋頂喂和活動地板劈下；應采取且措施防止機悄房內水蒸氣驗結露和地下影積水的轉移肝與滲透；應唉安裝對水敏玩感的檢測儀衰表或元件，顏對機房進行步防水檢測和涼報警。選柳錄像監控藥奶計算機中心塘機房區域配茶置攝像機的坦監視范圍包謝括：中心機鄙房區域與外弊界相通的走掛廊及進出口獎，主機房、博前置機房、遮網絡通信機鏡房、UPS婚機房、空調緞機房、EC王C室等機房永內的重要設不備及進出口展，監控值班耳室內及進出壺口。回放圖敞像應全視角見顯示區域內壇安裝的重要畝設備情況；鐘清晰顯示區憤域內人員進浩出及操作重撿要設備情況故，但不應看西到鍵盤操作刑。錄像記錄冶方式為24蝶小時實時錄傲像。舞A、B、C昆類機房必須蠻配備24小合時監控錄攀像棒裝置和報警潤按鈕，監控已攝像頭應安債裝在機房外肯門、主機室叔、通訊室、懶電源室等處心，機房錄像旅監控應能看型清進入機房石人員臉部，俯監控關鍵設脫備操作位置旁，屏蔽鍵盤尺輸入區。監引控錄像的保屋存時間應不壇少于三個月行。攝像機電繁源應專線集接中供電，配捆備不間斷電卻源。A、B哀、C類機房增的監控信息惱必須到達保廟衛部門的監魔控室。壓餡0恭環境集中監槍控系統英對機房環境宇設施（UP從S、消防、衛漏水、空調凈等）應采用覽集中監控系話統；集中監征控系統中采聾集的各類數圣據應確保其勞真實性，不榆存在誤差，所并合理設置毅報警閥值（壘如溫度、濕塔度）；對贏聲音、短信厲和電話等報系警模式的設晶置應有效、轎切實、可行旦。萍敞1鹽設備維護與信保養藏及時與第三牧方簽署對各競類中心機房螞硬件設備的室維保合同；斃合同中應對摘維保期限、螞維保內容、假違約條款和航責任界定等塘條款進行明臥確約定街。漆按照維保合某同約定的維覽保頻率定期嗓對各類設備孩實施維修保賞養；維保過座程應全面到遞位，維修保賞養記錄應真桃實詳細，內警容規范。貪建立害設備維修授刺權表，只有常得到授權的陜維護人員才企能夠對設備舍進行維修和炭保養。有外把公司人員來叢分行進行維滲護時，縮應掠有駱本寨行同事陪同標。濾伍2親網點機房環攏境爺愿應確實保證解網點機房的非物理安全，答溫度、濕度堅、環境設施敬配置等控制酬措施應由專掉人管理；網府絡通信設備歪等應采用機專柜上鎖管理怕，避免掉電閃和人為故障葬等隱患。注對營業網點膨的公共設備紗（如客戶操仙作、查詢終優端等）應確猾保其網絡安罷全，杜絕存稠在入侵內部襯局域網的可肺能；營業網晴點公共區域消應避免存在芬裸露的網口酷非法介入局森域網。說網點錄像監扭控設備的日恢常管理和調類閱應由專人尚負責和授權件，應覆蓋重屋要區域，監紋控數據應保昂存達到一個楊月以上。挖克3打值班管理際信息科技部如制定相關人剩員應急處置孝的規范流程忠，蝕以及制定日購常值班的操霧作規程。代并輕在中心機房蛾供電、空調肌溫度、濕度棵、漏水檢測活等環境設施御報警后，頑按照此流程縣執行。內應安排專責撞運行人員對拜機房24小早時運行值班凳；A類、包B類機房運成行值班人員勁應航與系統網絡大、開發、維牛護人員分離資；對機房環薄境監控發現遷的問題應及夠時跟蹤確認寧，及時通知下相關人員進彼行解決。值秀班人員應把集所有可疑故嬸障和實際發礦生的事故記手錄下來，并棟同時記錄處口理過程、處和理人、處理傻時間、影響偵業務時間。妖第2.5頁運行維護管喘理審計四運行維護管健理目標就是具確保應用系扎統在上線、講運行和維護森的整個過程司都能安全地醫、穩定地、業不間斷地支礦持業務運作萍。呈運行維護管嗽理應有如下枕控制措施：恭（1）對每服個生產系統典，必須制定病應急處理流斑程和應急處另理方案。硬（3）故障豆一旦發現，灌必須保證及繡時快速的定盡位和提出解裁決方案。覺（4）對生掉產系統進行囑維護之前，勁必須有詳細白的維護操作遵方案、步驟槐和維護目標妹。炕（5）故障韻排除和系統筑維護時應該內盡可能做到樓不影響生產由系統正常和片穩定運行。丑（6）對生搞產系統進行思維護時，維棍護人員必須閑在我行工作貫人員至少雙殼人監督下進貌行。性（7）必須驗嚴格做好系納統維護日志腳。賀（8）必須棟做好系統數縣據和業務數里據的常規清光理方案，并撕按方案嚴格盈執行。劣憑崗位職責和浙操作流程哨各級分行應滾設立生產運才行崗，負責兇本行的生產申運行管理。陵運行崗應與撲應用開發崗愁分離，不得蘿兼崗。鵝運行維護管凈理崗位職責民：根據業務貢發展需要，眉制定符合每測個生產系統棚特點的維護尤管理流程和里辦法，并貫私徹執行各項莫管理制度，候建立問題管寒理和跟蹤機煌制。做好生柴產系統的運耳行和維護工扁作，確保系胳統的正常運椅行。組織實旱施生產運行鋪系統故障的埋維護工作；純承擔電腦設茫備的維護管符理工作，報吳障硬件設備餐的正常運轉屢。分行配合爭總行做好I重T服務臺的神管理。虧問題管理流肌程內容包括包：故障報告金、故障分析愿定位、故障壓解決方案、略故障排除和饞生產測試的訂環節。且男下生產運行監逆控偽其目標是在帆系統運行過賤程中，通過誤系統監控，閥及時發現可告能存在的問纏題，確保生灘產系統的穩鹽定和安全。沉系統運行安夫全的內容包辛括：慚（1）綠必須做好故摧障的預測和刺防范措施，信制定人員責菊任范圍，定城期進行生產辦系統的檢查團和運行分析嗚報告。脖（2）便確保系統硬淘件配置、系途統參數和整修體性能滿足滅業務發展的定需要。聚（3）珠系統運行過械程中，必須訴做好系統硬般件各部件狀矮態的監控、柱軟件運行狀向態的監控、個數據庫系統換狀態的監控仔、網絡狀態愉的監控。語解變更維護管寬理燥生產系統的幅變更是指各煤類生產系統蛋、生產環境溫的各種變動鈔，包括生產禽系統、生產表環境涉及到槍的所有的硬請件設備、系太統軟件、應駁用軟件（包湊括應用執行什程序）、工更具軟件、網冤絡設備、安謠全設備和機接房設備等。惹生產變更的鋒執行人員應夜為生產運行傲管理人員或慶運行操作員職，嚴禁應用另開發維護人應員直接負責挖生產變更，宅確保開發與幸生產的相對刷分離。總生產變更實瓣施前必須經枯過嚴格的測獅試和驗證，蝴同時應做好流系統、數據周、應用執行睬程序等備份勤并制定相應汁的回退方案嚷。榨生產變更必榆須嚴格履行誘變更手續，檔填寫變更申耗請表，說明殲變更的原因味、緩急程度素以及變更需麗求等內容，鍬并由部門主琴管領導簽字喊認可。涉及舉系統升級等敞比較復雜的府生產變更必脊須制定詳細編的變更方案陵和操作流程摔，確保系統未安全。跑總行數據中姓心的生產變活更應嚴格執牢行《生產變寨更管理辦法蘭》。各級分拾支機構科技筆部門應根據熟本行情況制找定相應的生或產變更管理催細則及詳細墳的生產變更蔑流程。洽掃勻醫數據備份管鐵理魚數據備份策盼略勤：識別需要毒定期備份的輪重要業務信植息、系統數弱據及軟件系準統等；制定直完整、全面五的數據備份屢策略和異地稱備份策略，且明確備份內烈容、頻率、僻介質、保存僑期限、存放儀要求等各環歲節。亮備份策略指宏明備份數據碌的放置場所龍、文件命名亡規則、介質久替換頻率和塘數據離站運無輸方法植。壟備份數據的役全面性歇：運數據備份策巴略應有效執廉行；主機系叮統、系統配倆置、系統軟歐件、網絡參踩數、應用數懸據、重要技蘇術文檔應及提時有效備份智。匠備份數據的墊有效性沃：差應定期執行巴恢復程序，教檢查和測試宮備份介質的朱有效性，確誕保可以在恢通復程序規定三的時間內完彼成備份的恢蚊復；迎應每季度對胖備份介質的這可用性和有米效性進行檢到查或抽查，蜜確保在緊急抬突發事件發珠生時能夠較及快地恢復生證產；應有介外質有效性檢娛查的記錄。劣備份數據的窮物理安全陜：斗備份信息和授介質應進行籍嚴格的物理憂訪問控制（扒門肉禁和上鎖等衰措施）；存怒儲介質保應污保存在防潮狠、防火、防鴉磁等安全位尤置。泛備份數據的框邏輯安全范：戶備份數據應唐確保邏輯網孝絡訪問安全叮；禁止權限矛不明和未授漁權的訪問、排拷貝、篡改陣和刪除；應槽建立明確的桐網絡訪問控柿制和賬戶控革制策略。紋備份數據管形理流程暢：粉建立切實有臟效的備份數伙據的管理流參程，明確數楚據備份的管洋理部門和實跟施部門，明緩確數據交接筐和相關人員回職責等環節隨屋巡愚應根據信息登系統的備份工技術要求，賤制定相應的循災難恢復計耽劃，并對其榴進行測試以潛確保各個恢線復規程的正肯確性和計劃燦整體的有效故性，測試內串容包括運行松系統恢復、蜜人員協調、晃備用系統性更能測試、通凈信連接等，禁根據測試結警果，對不適俯用的規定進抹行修改或更命新。社鄉惡意軟件防冶護吧提高所有用屆戶的防病毒鴨意識，告知星及時升級防扶病毒軟件，掘在讀取移動頃存儲設備上端的數據以及導網絡上接收益文件或郵件曬之前，先進堪行病毒檢查盜，對外來計駐算機或存儲映設備接入網窩絡系統之前附也應進行病題毒檢查；泡對生產系統比上所使用的繁一切程序應阻都經過檢查走，不存在使臺用非法或可頭能有破壞性挑作用的軟件憐的情況；應指用生產系統派中不存在編綱譯環境和源盤程序；操作渾終端、辦公扒終端等在未笨經授權的情異況下不得安蠢裝不必要的獄軟件。鉗指定專人對廢網絡和主機疾進行惡意代青碼檢測并保夾存檢測記錄舅；應對防惡受意代碼軟件鄰的授權使用刮、惡意代碼袖庫升級、定笑期匯報等作摸出明確規定糖；乳應定期檢查在信息系統內儲各種產品的儀惡意代碼庫觀的升級情況燈并進行記錄拖，對主機防媽病毒產品、圾防病毒網關寄和郵件防病陳毒網關上截辰獲的危險病殲毒或惡意代包碼進行及時王分析處理，煮并形成書面逃的報表和總共結匯報。刻拴軍挺志防病毒管理芬機構所有設寧備和終端使噴用總行統一惜下發的Mc級aFee防訪病毒產品并歐自動及時升曬級防病毒代拔碼庫；應指銳定專人每天乏定時監控防慈病毒情況，顫每月生成防桃病毒月報，澇針對發現病掏毒爆發的情掙況應制定相痛應的處理跟莖蹤和預警流塑程。態憐入侵檢測管猜理種IDS系統簽管理質：刪使用總行統妙一下發的I機DS入侵檢殺測系統；按海要求對OA院網段進行監晴控；每2周刪升級IDS掘策略庫并進跨行策略調整寫優化；指定掀專人每天定宗時監控，每影月生成系統學報表進行分膏析；針對發萬現的攻擊事扔件應制定相牢應的處理跟撲蹤和預警流關程。交慢操作系統補眨丁管理曉采用域管理辦或補丁更新茫服務器等技時術手段統一影對各終端設膏備和生產系食統進行升級嘗（Wind適ows系統漿）；對系統飾漏洞補丁應他事前進行測咱試或篩選以玉保證與應用恭系統的兼容檔性；當安裝飽新操作系統爬或補丁程序旅后，應測試糟應用程序控哈制措施和完展整性，以確貢保它們沒有叨受到操作系煩統改變而受星到損害。左訊蛙閉用戶和密碼銹管理侄用戶管理可：喬應按照一人漿一號，按需泄設置的原則姿合理開立用困戶和設置用駐戶權限，虧即設立用戶虧需要的最小嗚權限，霞并定期核實決和更新；腔不存在無主巧和無用用戶翅，節同時嚴格限件制特權用戶學的分配和使臟用。制定針襲對使用最高飾權限系統賬珍戶的背審批、驗證取和監控流程忍，并確保最察高權限用戶宿的操作日志撲被記錄和監致察。習密碼管理販：紡生產系統的梳超級滾用戶、數據詳庫SA用戶須、重要應用槳系統系統用較戶等重要用踐戶密碼必須豪雙人分段管釋理，口令密觸碼編制應具汪有一定的復活雜性（至少削含有六個字爸符，是數字號和字母的無宣序組合）。張用戶密碼更鋒改周期應不歸超過3個月計，相同密碼舟至少要相隔玉6逼代。憲建立用戶時紛的初始密碼貿應及時更改繁，初始密碼轎需安全送達陽用戶，用戶憤應當確認接榨收到密碼。恢重要生產系培統、網絡設別備的超級用勢戶應制作密糖碼信封交由撐專人管理，拿進行交接和蜘封存登記，趟密碼信封應央加蓋騎縫章蠟；各類生產店系統密碼信冶封應按系統敢按用戶分類業封存；確保由密碼信封的蠶物理安全；抓在使用時應晴有明確的授棵權機制。扎失景役0之日志管理嫂日志完整性滔：貸所有的變更下應有記錄所葡有相關信息變的系統日志即以供審計；亭日志文件應抵包含操作系胖統日志、數專據庫日志、辦中間件日志菜、應用日志搬、系統重要物管理軟件日簡志、賬戶登考錄和操作日鋤志，故障等嗓安全事件的飽日志。姻日志的管理獅：件日志本身應槽有保護，應奸采取嚴格的菌控制措施限喜制對日志的醉篡改和刪除落；日志應異嬸機或異地備豪份保存，備就份周期不超愛過一個月，拴保留期限為挨2個月以上撓；對日志的結管理和控制千人員應與系弱統操作人員摸相分離。驅日志的捷審計：郵安全人員應鑒加強對重要假事項的審核趣，如：不成視功的登錄，發重要系統文總件的訪問，只對用戶賬戶續的修改等，牢手動或自動瞞監控系統出銳現的任何異涌常事件，定掛期匯報監控哭情況；日志樓檢查必須建我立登記制度勞。棍系統日志考：泄各類生產系毯統應有記錄監異常現象和倒有關安全事歐件的審查日穗志，日志應屬當包含：用闊戶ID、登那錄和注銷的缺時間、登錄滲的終端IP佳地址、對系貓統或數據資徹源成功和拒樸絕訪問等記感錄；日志信蒼息應定期查舞看和分析。巧杯1矩第三方外包揪服務管理摘在將小型機轉、安全設備喝（如：ID喜S、加密機室等）、網絡連設備（路由腐器、防火墻犯等）等維護奮外包給第三辦方前應進行沙風險評估，蛇或采取嚴格槍的安全措施庸；服務合同魚應體現有關虧安全責任、臟保密協定、羽安全控制等螞細則，并定晨期進行檢查其；應有完整劈詳細的巡檢猾報告，并對派其中提出的讀問題和建議桿采取相應的登跟進措施。滿2.6揚訪問控制審耍計符網絡訪問控棕制目標就是販控制和保護地我行的網絡碑和通信系統效，防止網絡賺和通信系統惰受到破壞和打濫用，避免中和降低由于序網絡和通信遺系統的問題廉對我行業務經系統的損害恢。去平麥訪問控制策借略異總體策略：讀應制定全面框的網絡安全恥訪問控制策賴略和原則，尺策略應包含貴：網段劃分廊、防火墻控糧制策略、路萌由策略、I鈴P地址的規百劃、網絡設辰備備份、線蟲路備份、信崖息傳輸及訪保問安全控制怕等。短將網絡劃分材為不同的邏啦輯安全域；列對下列安全革因素進行評旁估，并根據際安全級別定故義分別實施原有效的安全議控制。并（1）域內火應用程序和彈用戶組的重跳要程度；愉（2）域的畢性質，鏟（3）域的底可信程度。陷（4）域內襪配置的網絡浸設備和應用沈程序使用的善網絡協議和育端口；汁（5）不同創域之間的連奮通性。虧真網段和IP挖地址管理竭癢網段管理拌：應根據與不同的功能城劃分不同的損獨立邏輯網氏段，例如核搜心生產網段越、前置機生倦產網段、開債發網段、辦胞公網段、網姿絡設備網段吉、網點網段棵、對外網段誘等。掃不蘿同網段之間歐應切實按照眨業務需求進囑行嚴格控制棒和按需開通僚，對開通的榮訪問控制應縫嚴格限制I憤P地址和應閉用端口，做碑到點對點訪背問。并有完投整的授權、板開通和變更晝操作的流程遍記錄。司姨取IP地址管潑理：根據安察全級別和功喪能進行安全浙區域劃分并緩規劃和分配我IP地址；齒IP地址資嫩源分配應遵膠循《交通銀折行網絡資源姜分配規范》預；建立完派整的IP地席址分配表并仔定期更新。伶桿排派網絡訪問控巖制靈網絡訪問控智制目標就是竄保護我行各黃級網絡化服斗務，控制對秩內部網絡和燦外部網絡服暈務的訪問。辭完成如下訪晨問控制：雞（1）君應在網絡邊涼界部署訪問擊控制設備，期啟用訪問控表制功能；窩（2）哥應根據訪問賠控制列表對巴源地址、目真的地址、源焰端口、目的舞端口和協議愧等進行檢查土，以允許/等拒絕數據包歇出入；齒（3）選應通過訪問莫控制列表對副系統資源實綢現允許或拒荷絕用戶訪問輝，控制粒度尖至少為用戶誤組；測（4）使應能根據會烘話狀態信息旅為數據流提釋供明確的允質許/拒絕訪游問的能力，健控制粒度為嗽網段級；插（5）蛋按用戶和系桶統之間的允忠許訪問規則靈，決定允許描或拒絕用戶夫對受控系統加進行資源訪尿問，控制粒島度為單個用跪戶；霸（6）閃限制具有撥別號訪問權限姻的用戶數量晨；增（7）帆根據會話狀貼態信息為數舊據流提供明姥確的允許/陸拒絕訪問的境能力，控制偉粒度為端口你級；紹（8）室對進出網絡紐的信息內容魄進行過濾，類實現對應用運層HTTP并、FTP、辛TELNE己T、SMT途P、POP膨3等協議命帳令級的控制脹；禽（9）于在會話處于炎非活躍一定棄時間或會話遼結束后終止寺網絡連接；癢（10）和限制網絡最知大流量數及烘網絡連接數得；甘(11)竟重要網段應鋼采取技術手驕段防止地址欣欺騙；歲(12)裂不允許數據跑帶通用協議糖通過；廊(13)頂根據數據的姐敏感標記允準許或拒絕數似據通過；科(14)根不開放遠程胃撥號訪問功域能。困防火墻管理呆：業務、辦辭公和核心防馬火墻應有有尿效的安全控姓制；與第三諸方連接應經占過防火墻控帆制；與第三開方連接機器蜓IP地址應貝進行NAT善地址轉換；柱防火墻控制暫應只開放必拉要的主機和歷端口。述路由管理：先路由器，交匠換器應按照壟按需訪問，拖授權開通的剝原則設置路黎由鏈路，局掏域網內應采峽用靜態路由妥和經安全評忽估的動態路美由協議；應權關閉高風險誤的路由通路至，如網點之揮間、辦公網最與生產網等柄。需縮生產系統訪反問控制隨應用系統遠品程訪問控制雙：嚴格限制圣辦公網絡、眉城域網絡中繪操作終端對功生產系統的徹遠程登陸；導嚴格禁止在響局域網外通尚過撥號等方邪式遠程登陸掉生產系統進把行維護；對骨授權的具有業遠程登陸權扁限的操作終債端（一般應碑在中心機房銜使用固定P揚C或終端）假應采用技術尊措施進行有乏效監控（如漆錄像監控、茶系統日志等減措施）。霧網絡設備遠炒程訪問控制談：應有效采刻用ACS等泡網絡設備認敏證系統對核瓜心網絡設備獄進行集中管賣理，合理設悉置和開通對抬網絡設備本局身進行遠程割登陸的用戶排和權限，加團強網絡設備良的安全等級拔。銳生產系統的膝訪問控制：叔不同生產網瞧段之間應建舒立訪問控制滾策略，對訪朵問重要生產摸系統的終端繼啟用IP地騙址或MAC攤地址綁定等喂措施，同時耀禁止終端以諸生產系統或樂操作終端為關跳板進行非矮授權訪問的畢現象。旗您共享資源控駕制歐共享資源控詞制策略：制浴定共享網絡賓資源的訪問社控制策略，次禁止無限制贊的共享訪問堆方式，如電休子郵件、文放件傳輸、交碰互式訪問、硬共享數據。塔對共享的信作息資源和數脆據應采用權畫限、用戶、信目錄控制等休手段限制不葬必要的訪問晚。徒臂網絡備份管裝理它備份設備管經理：通訊控端制器、網絡推交換機、路步由器等網絡原關鍵設備要指有備份，網知絡管理部門訓必須對所有蘿備份資源做趙定期檢查、娃測試，確保貴隨時可用。敏備份線路管議理：網絡重側要線路應實壓現雙線互備先（如總行骨陸干線路、總為行與分行、鋤分行與網點疏，與重要外搶聯單位），門備份線路帶榮寬應滿足要筐求；主備線雙路應由兩家們服務運營商室提供；定期物檢查或切換抱備份通訊線致路，以確保廳其有效性。增掩網絡監控和先設備管理盜網絡運行監銷控：有效利鮮用網管軟件苦和工具對網擊絡設備、通岔信線路的運布行情況進行宮數據采集，惜實現一體化昨的實時網絡伏監控，及時飯發現發生的礦故障信息；放并指定專人肉進行定期巡演檢和日志檢漠查。毫網絡監控就附是檢測網絡豎中發生的未惱授權的行為評，檢測網絡濃配置和管理您中存在的漏菊洞，以確保脅對網絡信息線的及時跟蹤降和審計。根燒據我行各級歐網絡的具體震要求，實時悠監控網絡中饞的數據和操納作信息，記議錄和統計監掛控事件，分貞析網絡中異驢常以及不符忌合訪問控制屢策略的事件扭信息，為安恨全事故的發專生提供有利筐的證據和線貌索。雨監控和審計裂是驗證控制偵措施的有效振性，并證實觀與訪問策略猾的一致性。勵具體內容包惠括謹（1）誠日志管理：鍬包括各種網考絡設備（路腔由器、交換賺機等）、安后全設備（防欠火墻、入侵惰檢測等）以媽及操作系統叨、應用程序瑞的日志。按乎照國家規定通，日志存放沿至少60天涌。寇（2）步入侵檢測與勒管理系統：造入侵檢測引膀擎采取旁路荒監聽的模式粒檢測網絡環嫁境的異常入稱侵突發事件謹和病毒蠕蟲逆事件，由統起一的控制中覺心管理和顯謀示，并統計于生成報表。貓針對我行的迎多級結構，進采取分級部僅署、統一管房理的部署方儉式。舒（3）想漏洞掃描與乘管理系統：嘩定期或隨時誘對網絡、主版機、應用以曠及數據庫系盛統的脆弱性庭進行掃描，賊是我行風險恰評估的重要松工具之一。姥（4）嗽網絡安全審泊計產品：對貌發生的網絡扒安全事件進惡行存儲和查茂詢，做到安網全事件發生晨之后的審計顆和取證。降（5）劣滲透性測試塊：主動地了詞解網絡中的結深層安全隱這患。撤立網絡設備管趴理：機房之抗外的MOD兇EM、路由體器、交換機棵和線路加密道器等通訊設濕備必須由專繩人管理。未客經許可不得斬拆卸、安裝扣、改造、挪速用網絡通訊紅設備，不得營變更網絡通由訊設備的物袍理連接方式稻和軟硬件配孔置壽。網絡設備翁用戶的標峽識換應唯一，對萌登錄網絡設掛備的用戶進嗓行身份鑒別仰；對網絡設肉備的管理員冰登錄地址進更行限制；應獄實現設備特糧權用戶的權是限分離。務索網絡故障管東理誤對于巡檢維叔保或日常監慨控中發現的賽網路設備、灑通信線路等走故障，應采廉取及時有效者的跟進措施復，確保網絡笨的通暢運行葵；消除核心括網絡設備存秒在單點故障腿的可能；詳痰細記錄故障迎的描述、解宣決和預防措博施等各環節閱的文檔記錄愛。啞懂互聯網接入奉因特網應與請生產、辦公舞網嚴格隔離項，杜絕存在氣遭受病毒攻蓄擊、重要數哄據泄密等風協險隱患；未域經批準生產受網絡不得以鳥任何形式實覽現與互聯網狗連接，所有俯與互聯網的徑連接必須采拆用防火墻做奇訪問控制。先應采取We壓b站點限制什、流量控制腳、端口控制訊、時間控制份、系統安全趣級別設置、小軟件和應用朱控制等措施漫加強互聯網沉的接入管理圣；對申請接文入互聯網的揀設備應得到勻審批授權并查處于受控狀嚴態。聯網站管理：搬對建立（內研部和外部）夫網站應采取橋足夠的安全務控制措施，辦對進行發布飽的信息應保隸證信息的完鬼整性和不可潤否認性；發傷布的信息應挖經過審批，尿授權。扣送0狀網絡文檔管鉆理悔保存網絡技侵術文檔如下虹：網絡結構劃拓撲圖，設毀備清單，詳象細的IP地終址資源分配淺，vlan捏劃分規則，坊安全策略，舌網絡應急方厚案和具體操否作步驟。技堆術文檔應注們意保密，備壽案存檔并統牢一管理，同遷時根據實際遭情況進行不付斷更新。估悔2.7貝系統開發象與維護審計簡其目標是保述護我行信息杠系統項目實即施全過程的畏安全，確保余項目的成果澆是可靠的安霉全系統。康項目的生命唇周期過程包交括炸項目立項割、還項目安全需靠求分析伴、醒方案設計節、堅項目方案審乞核魔、走項目建設和飄實施峰和項目測試橋與驗收絹對重要信息腎系統項目立承項的安全管詢理實行審批詢制度。總行占成立信息安面全評審委員控會，負責全駛行重要信息醫系統的安全西評審。對項傻目管理部門饒初審合格的嘩項目申報材喝料，信息安辮全管理部門松應組織信息牌安全評審委材員會進行安慢全性專項審麥查，提出審猾查意見后由通項目管理部枕門最后審批煌。分行重大但項目的立項方必須經過信京息安全評審碌委員會的安欺全性評審，權并報總行信座息技術管理慰部備案。追需經過安全居評審的項目脫申報材料應抱包含以下與搭信息系統安噸全有關的內素容：業務需誼求部門對保主證業務正常踏開展的安全滿需求；系統撫采取的安全敏策略、安全永保護措施及遠其安全功能斃設計；項目苦開發的安全清保障措施。爬室坑議需求與設計蔑目標是確保蝦把安全需求富和屬性置于衡我行信息系饅統建設考慮充之中。在需廁求分析階段痰將系統失效須的風險降到電最低。縣項目需求說謎明書：項目息需求說明書臺應由業務需顆求部門提出序，全面撰寫洋各業務的背趁景分析、業表務需求等環仙節；應提出困風險控制要親求及體現管捕理控制措施器。目需求說愁明書遭包含嚷對項目開發非背景的描述邁；開發系統嗽與其它系統汗關系的描述劇；對每個聯磚機交易的功廚能、交易流柔程、控制方株式、輸入畫辱面格式、輸龜出格式、有芹詳細描述；鐵對批量處理癥產生報表的特格式有詳細殘的描述吃。擁孟設計說明書臭：設計說明四書應針對用姐戶提出的安躍全性要求提伙供技術解決政方案（如在案網絡、操作納系統、硬件章、通信加密咸、應用數據宏接口等方面誤做安全性設岸計）；提供趣完整的數據莫備份和恢復輪功能；對不牙同級別的用給戶進行有限褲授權。重要愛計算機信息輩系統應設置伯審計監控程休序，具有身坊份識別和實仍體認證功能社。能夠自動諸記錄操作人叛員的重要操雄作，具有防肝止抵賴機制飲；涉密信息傲系統的安全仙設計應符合籠涉密信息保尿密管理的有處關規定。秘競安全問控制伸需求箏項目管理方養面應應認識冠到與信息科尚技項目有關果的風險，包疫括潛在的各糧種操作風險鴿、財務損失雙風險和因無島效項目規劃證或不適當的怎項目管理控飲制產生的機缺會成本，從用而采取適當乏的項目管理震方法，控制勤與信息科技僅項目相關的米風險。符計算機信息丙系統應采取希與業務安全栽等級要求相測應的安全機戴制，應建立立加密控制策舟略（策略中刮應考慮使用街密碼技術的咸管理流程、填密鑰管理途陣徑（包含防儉止密鑰丟失瀉、受損以及禾恢復）、管洲理角色）或自依據上級行誠策略，本機愿構應落實相家關部門、責牧任清晰、實圖施到位；自效行編制的加本密算法是應暑采用二次加析密并由不同厭人員分別編殼程實現；涉槐及的加密算品法應由我行洽獨立掌握。目2.7.童3悅加密控制構計算機信息仔系統應采取虧與業務安全涉等級要求相啟應的安全機使制，應建立俊加密控制策傭略（策略中腎應考慮使用巨密碼技術的戶管理秋流程、密鑰窄管理途徑（布包含防止密僻鑰丟失、受披損以及恢復反）、管理角撕色余或依據上級戴行策略，本館機構應落實忍相關部門、劣責任清晰、筆實施到位；僚自行編制的地加密算法是座應采用二次恰加密并由不局同人員分別銅編程實現；循涉及的加密漿算法應由我決行獨立掌握眼。格數據信息在幅處理、存儲桑和傳輸過程鎮中應充分考險慮其保密性挺、完整性、夢可用性和不猾可抵賴性。環加密密度應塑根據產品安確全等級的不翅同進行評估胡和昆使樹用。煙建立駛密碼設備管每理制度味，確保筑使用符合國脆家要求的加免密技術和加劈密設備勻，稱管理、使用迎密碼設備的焰員工經過專佛業培訓和嚴貝格審查仁，咐加密強度滿暫足信息機密耽性的要求掘，仍制定并落實上有效的管理感流程，尤其苗是密鑰和證劇書生命周期亞管理于。供加密和認證酸在使用過程欄中的安全問預題主要集中左在密鑰的管律理方面。密勻鑰管理需要潮考慮以下過吩程：燃密鑰的產生舟；芬密鑰的分配剝；房密鑰的注入苗；跪密鑰的存儲調；姓密鑰的更換蜓；床密鑰的銷毀攤。啟所有密鑰的讀領用、激活廉、修改、銷母毀晉應掀有約束和授袋權，龍并脊對密鑰管理軋的相關活動彈進行記錄；貢同時溪采取有效措怪施從物理上擱保護生成密興鑰、存儲密蹤鑰和將其存洪檔的設備。距應落實相關縫部門慢，殺責任清晰榆，驕實施到位。魯縮搖疼系統測試牙測試環境刺管理：撿制定建立、丸管理和清理揪測試環境的頑規程（包括店硬件設備、并網絡環境、篇測試數據、膊測試程序等慰），落實相向關部門、責班任清晰、實辭施到位；寧開發、測試萌與生產環境佳應嚴格獨立換區分；開發糞、測試環境架應只針對必漆要人員開放稼。移測試數據管院理脈：謊測試數據如薯果使用生產正數據應經管強理層及相關垃業務部門審格批，并須經折專用的處理吼程序將生產耀數據的某些預要素（如身甘份證號、用只戶姓名、卡爆號、密碼、歇地址等）做陰相應的變形課處理，屏蔽任敏感信息，飲杜絕在測試淘和開發過程田中的泄密隱幅患。億測試完整性疊：無編寫詳細的撫測試案例，尾對正常、非兄正常的交易顯和功能進行匠完整測試；鮮測試應包括蝕功能測試、玉安全性測試等、壓力測試負、驗收測試夠、適應性測肝試；測試時患間、案例、偉周期數應充消分。全測試有效性掙：懶測試應由需亦求部門參與遮；應根據測顏試結果修補帳系統的功能溜和缺陷，提申高系統的整起體質量。畝侍變更控制管胖理信變更控制：漸變更實施應臺有嚴格的變撲更管理程序華，對變更需上求的提交、狂審批、開發釋、測試、投曲產進行規范膀；開發過囑程中應實現丈版本控制；徒變更控制管巨理人員應與剃開發人員職災責分離。瓶審批流程：夠開發過程中深所涉及的各仔環節關鍵性董文檔資料（講業務需求說育明書、功能答說明書、概是要設計說明慢書、驗收測漁試報告、投刊產計劃）應斤經相關部門衰、人員簽字云確認。意生產系統庫剩管理：生產惜系統程序庫樓更新應由指磨定的程序庫打管理員根據馳適當的管理繡層授權來執火行；生產系騾統程序庫更裙新應獲得測消試成功和用塵戶被接受的嬌確認。島程序庫的訪寶問控制：建馬立獨立、統繭一的源程序愛資源庫，包乎括現使用及閘已下線不使慌用系統的歷產史版本源代筋碼及相應的塊系統環境資赤料，未分散巴保管于個人旺電腦內；應測建立規范、雞統一的源程耍序資源庫管測理，對其中肅程序的變更嘩、存放、訪經問采取有效牌控制措施，濾并記錄在案們。駕2.7.頃6挖外包外協管喘理鍵叫軟件外包原磨則：容核心部分不軍適宜外包納外包部分要需加強驗收憲外包軟件開炭發要求：一術是應根據開拴發要求檢測問軟件質量，流二是確保提砌供軟件設計此的相關文檔毀和使用指南狗；三是要求故開發單位提愧供軟件源代籌碼，并審查卸軟件中可能刑存在的后門游；四是要求代開發單位提奶供軟件源代勁碼，并審查近軟件中可能悔存在的后門箭和隱蔽信道牢。秧喚外購軟件管千理杏：克應建立采購藝的授權審批詢流程，應落短實相關部門否、責任清晰胃、實施到位雖；應盡量從渾有聲譽或影話響的公司購撕買軟件或盡斥量購買經權午威機構推薦新或評價過的氧軟件產品；歌有外購軟件逼的測試報告社，在購買前燈對軟件功能呢的完整性、彎真實性、有廈用性進行測匠試；應提供齊外購軟件安均裝報告及相閥關資料；如模果需要修改診外購軟件包劑，應得到供仿應商的許可澇；保留對原護始軟件包的鋼拷貝；對所頭有的改動進龍行充分的測中試并記錄在餓案。殿外包外協開丟發前管理蛛：笨應建立外包絹外協方評估舒機制，充分酷審查、評估愛承包方的經村營狀況、財況務實力、誠享信歷史、安撲全資質、技產術服務能力降和實際風險第控制與責任屠承擔水平，興并進行必要舅的盡職調查號；應與外包調外協方簽訂雷書面合同，擇明確雙方的躺權利、義務被；并規定承輸包方在安全惱、保密、知宣識產權方面鑰的義務和責攔任，以及賠戰償約定。筐外包外協開諒發中管理仙：壁應將參與項限目的工作人合員（包括行味內人員與行去外人員）向參信息科技部威門和保衛部童門作登記備捉案；對外包婚外協公司只盆提供必要的姻文檔。饑外包外協投粥產后管理奪：用外包外協項垃目，在系統姑投入使用前它，應向本行墨移交完整齊塵全的程序源社代碼、開發懂文檔（功能源說明書、概裝要設計說明易書、詳細設沃計說明書等初）、系統使詠用說明書（玩安裝、維護抱、操作說明傷書等）資料玩；與公應應刷使用本行設智備，并由本碌行相關技術舌人員陪同，想以防止公司售人員將我行起有關信息、爽數據等資料兩拷貝副本帶杯離本行。戒外購軟件文嫩檔應包含軟勾件安裝盤、鋪使用（安裝紗、操作及維諸護）手冊、俯測試報告、腎采購申請審京批單。辰2.7.費7班項目文檔管侵理開資料完整性保：文檔資料階管理應包括駁自主軟件開閥發項目、外飯包外協軟件浴開發項目、腔后續變更維超護項目、外滋購軟件產品汪等范疇；軟易件開發項目標文檔應涵蓋喚了啟動（可昨行性報告）托、立項（立注項報告）、簽需求（業務直需求說明書川）、采購（姐采購申請審洗批單）、計喜劃（項目計北劃、人員安揉排）、分析致（功能說明等書/需求規抵格說明書）德、設計（概減要設計、詳辦細設計說明恒書、數據字災典、數據庫面設計說明書斷）、開發（乎