银行计算机信息系统安全管理办法.doc

《银行计算机信息系统安全管理办法.doc》由会员分享，可在线阅读，更多相关《银行计算机信息系统安全管理办法.doc（31页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、xx银行计算机信息系统安全管理办法xx总发xx6号附件5，xx年1月12日印发第一章 总则第一条 为加强全行计算机信息系统安全保护工作，保障计算机信息系统安全、稳定运行，根据中华人民共和国计算机信息系统安全保护条例、商业银行信息科技风险管理指引和金融机构计算机信息安全保护工作暂行规定等有关法律、法规，特制定本办法。第二条 本办法适用于总行、各分支机构及所有使用xx银行网络或信息资源的其他外部机构和个人,各分支机构可根据本地情况制定实施细则。第三条 本办法适用于以下信息安全管理活动：(一) 数据处理活动；(二) 数据处理活动的业务流程所涉及的部门和员工；(三) 与上述活动相关的应用系统及支持信息

2、管理系统包含的全部资产；(四) 我行连接互联网及相关数据传输的活动；(五) 其它信息安全管理活动。第四条 本办法所涉及的名词解释：(一) 信息系统是指由计算机及相关配套设备、设施(含网络)构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统(含单机系统)；(二) 信息资产包括业务系统、硬件资产、软件资产、业务数据、物理设备和IT环境设施；(三) 数据是指全行业务、客户、核算的流程数据、交易数据、信息数据、加工数据及其他；(四) 数据处理活动是指对信息系统数据进行查询、修改、删除、插入等的操作活动；(五) 计算机病毒，除包括传统意义上的计算机病毒（指编制或者在计

3、算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码），还包括木马、蠕虫、流氓软件等恶意代码；(六) 计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报；(七) 本办法所称媒体，是指计算机软盘、硬盘、磁带、光盘、移动闪存卡（盘）等。(八) 本办法所称信息安全管理，是指对xx银行信息系统的物理、软件、数据等资产的使用、运行、维护及废止等所实施的保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。第五条 本行计算机安全管理工作的指导方针是“预防为主，安全第一，职责明确，综合治理”。“预防为主

4、”是计算机安全管理工作的基本方针。 第六条 计算机安全管理工作应严格遵循国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，实行信息安全等级保护。第七条 本行计算机安全管理部门应对信息化实施过程中的各环节进行有效的安全监管和控制。第八条 本行计算机安全工作实行统一领导和分级管理。总行负责组织、协调、监督和检查全行计算机安全管理工作，各分支机构负责本部门计算机安全管理工作。 第二章 组织与职责第九条 本行安全管理组织机构由总行计算机安全管理领导小组（以下简称安全领导小组）及下设的计算机安全管理办公室、各分支机构安全管理小组共同组成。第十条 总行计算机安全领导小组成员，由总行行长、相关

5、行领导及计算机信息安全主要相关部门负责人组成。总行计算机安全管理领导小组根据授权审议、批准全行信息安全管理体系建设方案和信息安全管理制度。第十一条 总行计算机安全领导小组在总行科技部常设计算机安全管理办公室，由分管科技的行领导和科技部总经理担任办公室主任、副主任，各相关部门人员参与。计算机安全管理办公室负责全行计算机安全管理工作，建立全行信息安全管理体系，防范和控制计算机风险，实施计算机安全运行管理规章制度检查，拟定全行信息安全管理体系规划并组织建设。第十二条 各分支机构应根据辖内安全工作要求成立安全管理小组，由主管领导及本单位兼职计算机安全管理人员等相关人员组成，在总行计算机安全领导小组的统

6、一领导下开展本辖区的计算机安全管理工作。 第十三条 总行及各分支机构主要负责人为本部门计算机安全管理工作的第一责任人，承担着领导、管理、监督、检查的职责。第十四条 计算机安全管理职能部门的职责是：(一) 贯彻执行总行计算机安全管理领导小组的决议，指导、监督、协调和规范全行信息系统计算机安全工作；(二) 拟订计算机安全总体规划和计算机安全管理制度，并监督执行；(三) 跟踪先进的计算机安全技术，提出计算机安全防范策略；(四) 参与计算机系统工程建设中的安全规划，监督安全措施的执行；(五) 负责计算机安全专用产品的选型，组织计算机信息系统安全的评估和审批；(六) 组织辖内计算机安全检查，分析辖内计算

7、机安全总体状况，提出安全分析报告和安全防范建议；(七) 组织辖内计算机安全知识的培训和宣传工作；(八) 配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查，打击金融计算机犯罪；(九) 加强与银行监管部门、公安机关计算机安全管理职能部门、政府信息安全保密职能部门联系，并接受指导；(十) 及时向总行计算机安全管理领导小组、监管部门和有关单位报告计算机安全事件。第三章 计算机安全人员管理 第一节 人员基本要求第十五条 本办法所称计算机安全管理人员，是指总行科技部计算机安全专职管理人员、总行各部门及各分支机构专（兼）职计算机安全管理人员。计算机安全管理人员归属要害岗位人员管理。第十六条 计算机

8、安全管理人员应当品德优良、技术过硬、遵纪守法、恪尽职守。第十七条 在总行计算机安全管理职能部门从事计算机审计、风险等管理岗位工作的人员，以及在总行科技部专职从事计算机安全管理岗位工作的人员应具有银行三年以上计算机工作经历，且具备本科以上学历。其他兼职从事计算机安全管理岗位工作的人员应具有本行三年以上业务工作经历，具备一定计算机基础或专职从事计算机维护管理工作两年以上经历，具备专科以上学历。第十八条 计算机安全管理人员由总行科技部、人事保卫部统一管理，实行报批、审查；经总行科技部、人事保卫部审查通过后，报人事保卫部备案。第十九条 因违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管

9、理工作。第二十条 计算机安全管理人员应接受银行监管部门和公安部门的计算机安全专项培训，并积极参加总行组织的各种安全教育学习和培训，不断提高安全防范技能。 第二节 人员配备与管理第二十一条 总行科技部应配备专职计算机安全管理岗位人员；其他部门应配备兼职计算机安全管理员；分行应配备专职计算机安全管理人员，其余各分支机构应配备兼职计算机安全管理员。第二十二条 计算机安全管理人员的配备和变更情况，应及时向总行科技部报告，并报计算机安全管理办公室备案。第二十三条 计算机安全管理人员应完善准入机制，逐步实施持证上岗制度。第二十四条 计算机安全管理人员调离岗位，应按重要岗位人员调离流程办理调离手续，明确其调

10、离后的保密义务。涉及本行业务核心技术的计算机安全管理人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。 第三节 职责范围第二十五条 专（兼）职计算机安全管理员应履行以下职责：(一) 负责计算机安全管理的日常工作；(二) 开展计算机安全检查工作，对相关人员的安全工作进行指导；(三) 负责督促计算机安全建设，把各种计算机管理制度、办法、规定落实到位。把检查中发现的问题在期限内整改到位。(四) 开展计算机安全知识的培训和宣传工作；(五) 监控计算机安全总体状况，提出安全分析报告；(六) 了解行业动态，为改进和完善计算机安全管理工作，提出安全防范建议；(七) 及时向本级计算机安全管理小组和

11、总行相关职能部门报告计算机安全事件。第二十六条 各级计算机安全管理人员发现本部门重大安全隐患，有权向上一级计算机安全管理领导小组或总行相关职能部门报告。第二十七条 各级计算机安全管理人员发现计算机信息系统要害岗位人员使用不当，应及时向本级计算机安全管理负责人或总行相关职能部门提出建议，进行人员调整。第二十八条 计算机安全管理人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位秘密。 第四节 培训与教育第二十九条 计算机安全培训和教育工作由总行人事保卫部、科技部共同负责。总行相关职能部门和各分行应按照计算机安全管理要求，制定相应的培训计划。第三十条 全行员工应积极参加计算机安全培训

12、和教育，增强安全意识，提高防范能力。总行人事保卫部应对年度安全培训与学习情况进行检查。第三十一条 计算机安全管理人员应定期参加下列计算机安全知识和技能的培训：(一) 计算机安全法律法规及行业规章制度的培训；(二) 计算机安全基本知识的培训；(三) 计算机安全专门技能的培训。第三十二条 计算机安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。第四章 外包服务安全管理第三十三条 本规定所称外包服务是指由xx银行之外的其他社会厂商为信息系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。第三十四条 经信息系统安全管理部门领导批准

13、，外包服务提供商可提供上门维护服务并由信息系统安全管理人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离xx银行系统。第三十五条 信息系统设备确需送外单位维修时，科技部门应彻底清除所存储工作信息，必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设 备送修前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。第五章 计算机信息系统要害岗位人员管理第一节 人员管理第三十六条 本办法所称计算机信息系统要害岗位人员，是指与重要计算机信息系统直接相关的系统管理员、数据库管理员、网络管理员、软件开发员、应用维护员、值班运行人

14、员，以及其他从事信息系统业务处理及后台管理的关键岗位人员等。第三十七条 本办法所称重要计算机信息系统，是指涉及银行资金和金融秘密信息的计算机信息系统。第三十八条 要害岗位人员必须是我行正式签订劳动合同的员工，上岗前必须接受总行科技部、人事保卫部的审查，并报人事保卫部备案，并与本行签订保密协议。分行可参照本办法自行进行审查，并将确认名单上报总行相关职能部门备案。第三十九条 要害岗位人员上岗前要对其进行培训，并使其充分了解信息系统安全的至关重要性。对各类计算机系统的相关人员应实施有针对性、有计划的计算机安全教育和培训。员工通过培训应明确与本职工作有关的计算机安全知识和责任。第四十条 要害岗位人员上

15、岗必须按照岗位职责分配的基本原则：(一) 职责分离原则：实行运行与维护人员的职责分离，运行人员应实行专职，不得由其他人员兼任。系统管理人员、数据库管理人员、软件开发人员等不得相互兼职，也不得兼任柜面及事后监督工作。(二) 有限授权原则：要害岗位人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。(三) 相互制约原则：安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。(四) 任期审计原则：应记录并监控要害岗位人员在任职期内的信息资源访问活动。第四十一条 对从事关键岗位人员应建立A、B岗位机制，做好人员备份；规范和完善强制休假和轮岗机制；对要害岗位人员应建立定期

16、考查制度，调整与其岗位不符的安全职责权限或条例违反岗位安全规则的员工，每年应安排必要的安全教育和培训。第四十二条 要害岗位人员调离岗位，应严格办理调离手续，做好移交工作，明确其调离后的保密义务。一经离职，人事保卫部要立即通知科技部，相应的信息系统合法身份及权限应立即注销。涉及本行业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。第四十三条 要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第二节 安全责任第四十四条 系统管理员安全责任：(一) 负责系统的运行管理，实施系统安全策略和运行细则；(二) 负责系统安装和参数配置，严格用户权限管理，维护系统安全正常运行

17、；(三) 认真记录系统安全事项，及时向计算机安全管理人员报告安全事件；(四) 对进行系统操作的其他人员予以安全监督； (五) 确保系统变更操作的安全性和可靠性；(六) 监控关键系统运行状态，防范黑客入侵，及时向计算机安全管理人员报告安全事件(七) 确保系统运行日志的备份。(八) 定期对系统安全漏洞进行检查，并制定相应的漏洞修复方案第四十五条 数据库管理员安全责任：(一)负责数据库运行管理，实施数据库安全策略和运行细则；(二)安全配置数据库运行参数，严格控制数据库的访问权限，确保数据库的安全运行；(三)制定数据库备份策略，确保数据的存放安全，定期恢复;(四)严禁直接打开数据库进行数据变更操作；(

18、五)确保数据库日志备份。第四十六条 网络管理员安全责任(一)负责网络的运行管理，实施网络安全策略和安全运行细则；(二)安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；(三)监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全管理人员报告安全事件；(四)对操作网络管理功能的其他人员进行安全监督; (五)确保网络运行日志和配置的及时备份。第四十七条 软件开发人员安全责任:(一)软件开发过程中，应严格执行软件安全策略，保证软件安全功能的准确实现；(二)软件投产运行前，应完整移交软件源代码和相关涉密资料；(三)不得对软件设置“后门”；(四)对软件核心技术保密。第四

19、十八条 应用维护员安全责任:(一)负责应用维护和变更，及时排除应用故障，确保应用程序正常运行；(二)不得擅自改变应用功能；(三)不得安装与系统无关的其他计算机应用程序；(四)维护过程中，发现安全漏洞应及时报告计算机安全管理人员。第四十九条 值班运行人员安全责任:(一)负责中心机房的运行监控，及时报告各种运行情况；(二)严格执行系统操作规程和运行安全管理制度；(三)不得向他人提供自己的操作密码；(四)及时向相关管理人员报告系统各种异常事件。第五十条 各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定，应与本级人事保卫部签定保密协议。 第六章 计算机机房安全管理第一节 机房建设安全管理第五

20、十一条 机房应按重要性进行分类建设，分类标准按国家有关规定执行。第五十二条 机房应按相应级别合理分区，保障生产环境与运行监控、开发、测试等环境有效的安全空间隔离。第五十三条 机房安全建设和改造应符合当地建筑质监部门的要求。第五十四条 机房安全建设应符合当地公安消防等部门的安全要求。第五十五条 总行信息中心机房建设应当符合下列基本安全要求； (一) 机房建设标准应按照国家A类机房建设标准;(二) 机房周围米内不得存在危险建筑物，如加油站、煤气站等；(三) 机房应配备防静电、防水、防盗、防鼠害等设施;(四) 机房应安装门禁系统、防雷系统、接地系统、监视系统、消防系统、报警系统等;(五) 机房应设计

21、双路市电供电系统，配备冗余的和恒温恒湿空调系统; (六) 机房应根据功能需求划分不同的区域，对重要区域应采用集中监控系统;(七) 信息中心大门和各主要出入口应设立监控摄像，配备安防人员和报警系统。第五十六条 各分支机构机房建设应按照重要性和承担的任务，实施分类建设。分行中心机房应参照总行信息中心机房建设基本要求，并结合当地监管部门规定，进行设计建设。机房应设立独立的区域，按功能进行区域划分，并配备UPS和空调，有良好的接地系统。第二节 机房运行安全管理第五十七条 机房是重点保护的要害部位，机房主管部门应依照“安全第一”的原则，建立、健全严格的机房安全管理制度，如值班运行制度、安全应急制度、机房

22、安全巡检制度等，并定期检查制度执行情况。第五十八条 总行信息中心机房核心区域实行小时连续监控，如：主机区、网络区、监控室、辅助设备区、机房进出大门等实施联动监控。第五十九条 机房的区域管理。应对机房划分区域进行管理，确保网络区域、主机工作区域、设备电源间等采取有效隔离措施。第六十条 应加强机房出入管理，严格控制机房入口数量，进出机房严格执行授权审批和出入审核制度。第六十一条 各分支机构机房管理应参照总行机房管理制度要求，制定相应的管理制度。第六十二条 总行信息中心机房环境实行集中监控管理。监控设备的安装应符合安全保密原则，确保监控的安全规范运作，防止监控信息的泄密。第六十三条 机房工作人员必须

23、按时上下班，不得无故迟到、早退，遇特殊情况需向科技部负责人递交书面请假手续；上班时间严禁做与工作无关的事，如有发现按人事保卫部制定的违反劳动纪律相关条款处理。第六十四条 注意机房卫生，严禁将杂物堆放在机房内；机房操作台面要整洁，严禁放置水杯、大头针等物品，以免引起故障。第六十五条 中心机房实施专职值班制度，值班人员应严格遵守以下规定：(一) 中心机房内设备的操作应严格按照设备的使用管理办法进行巡检和操作，不得擅自操作，以免损坏设备；(二) 为保证中心机房、网络系统安全可靠地运行，值班人员应严格遵守相关制度，不得泄露有关口令；(三) 阻止非授权人员进入机房对主机系统硬件及通过控制台对操作系统、数

24、据库、网络系统进行非法操作；(四) 值班期间要认真接听网点故障报警电话，按规定进行处理，接听时要态度和蔼、耐心解答、快速处理，并做好故障情况登记工作；(五) 值班期间要认真填写机房运行日志，做到定时巡查，定时维护，定时填写，值班结束时，要签名，并做好交接班工作；(六) 值班期间若发现主机出现异常情况，应及时与科技部相关负责人联系解决。(七) 值班人员应根据业务要求打印各种资料，需移交的要做好移交登记，自己保管的资料要专人负责装订、归档。第六十六条 应加强外来人员管理，严格控制进出机房人员，严禁未经批准的非运行人员进入机房。外来人员进出机房须经总行科技部负责人批准，并办理登记手续，由专人陪同。第

25、六十七条 UPS不间断电源为计算机专用电源，任何人不得擅自接入非计算机设备，以免损坏UPS。第六十八条 电源与机房空调的日常管理与维护按照要求执行。第六十九条 中心机房严禁带入易燃、易爆、易污染、强磁性物质及各种杂物，严禁吸烟。第七十条 加强防火意识，不得在机房内使用大功率电热器具，以免引起火灾。第七十一条 机房必须配备一定数量的报警及灭火设备，做到每个值班人员都会正确使用，并定期检查维护使用情况。第七十二条 值班人员在生产用机上进行数据修改时要实行双人监督修改，并做好详细登记。第七十三条 中心机房所有电脑设备均为生产用机，任何人不得以任何借口操作与工作无关的程序，更不能玩游戏。第七十四条 非

26、营业时间加班，需经有关领导批准，并将加班内容、时间、人员等情况记录在案，不允许单人加班。第七十五条 严禁下列各种违反计算机安全管理的行为发生：(一)非法窃取各种计算机重要信息的行为。如重要的文件资料、密码、数据、网络地址、网络配置参数、通信电话号码等；(二)未经许可非法登录业务主机进行操作的行为；(三)将非业务使用的程序装入业务主机中使用的行为；(四)故意编制病毒软件或其它破坏性软件的行为；(五)有意传播计算机病毒的行为；(六)业务用计算机上英特网。第七十六条 发生机房重大事故和案件，总行科技部应立即向总行安全管理办公室报告，并保护好现场。各分支机构发生机房重大事故和案件应及时向本级计算机安全

27、管理小组及总行安全管理办公室报告。第七章 计算机网络安全管理第一节 网络建设安全管理第七十七条 网络建设由总行科技部统一规划和实施，包括方案论证、设备选型以及组织实施等。第七十八条 网络投入使用前应通过必要的安全测试和验收。第七十九条 网络建设应配备必要的安全专用产品。第八十条 网络建设中涉及网络安全的资料，应备案建档，统一管理。第八十一条 网络建设应符合下列基本安全要求：(一) 网络规划应有完整的安全策略； (二) 网络设备应兼备技术先进性和产品成熟性；(三) 对重要的网络设备和线路应有冗余备份；(四) 能够保证网络传输信道的安全，信息在传输过程中不会被非法获取；(五) 应具有防止非法用户进

28、入网络系统盗用信息和进行恶意破坏的技术手段；(六) 应具备必要的网络监测、跟踪和审计的功能；(七) 应根据需要对网络采取必要的技术隔离措施；(八) 能有效防止计算机病毒对网络系统的侵扰和破坏；(九) 应具有应付突发情况的应急措施。第二节 网络运行安全管理第八十二条 重要网络设备应放置在主机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第八十三条 网管设备属专管设备，必须严格控制其管理员密码。第八十四条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第八十五条 生产、开发、测试网络和互联网等应实施有效隔离，并采取必要的保护措施。同时应加强互联网接入控制，严格控制

29、无线局域网的接入方式和使用范围，应在确保安全的前提下谨慎使用。第八十六条 变更网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。第八十七条 所有业务用计算机的IP地址一律由信息科技部统一分配和管理，任何人不得私自修改业务用机及网络连接设备的IP地址。第八十八条 网络的IP地址、主机名等参数应按规定的标准进行统一编码和分配。第八十九条 与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施（如防火墙、NAT地址转换、身份识别等），对联网使用的用户必须采用有效的访问控制。 第九十条 对网上银行业务系统网络必须建立安全的防护体系，配备必要的安全设备（防火

30、墙、入侵检测、防病毒、漏洞扫描等）。第九十一条 运行机构应做好网络通信系统的日常运行维护工作(一) 密切监视网络运行状况，及时排除网络出现的故障，做好网络运行及维护记录。(二) 定期分析网络运行状况，形成网络性能优化方案，实施须报科技部门领导审批。(三) 严格控制网络通信连接，采取诸如防火墙等项防范措施，对内部网与外部网进行网络隔离。(四) 采取切实可行的措施对内部网络各节点的通信进行控制，防止各种非法访问。(五) 网络的通信线路应有备份，并对备份线路按月进行检测。第九十二条 银行监管部门、外部测评和审计机构以及总行有权部门使用专用设备对我行网络进行检测时，须征得总行科技部负责人同意，网络管理

31、人员应给予必要的协助和监督。第九十三条 网络扫描、监测结果和网络运行日志等重要信息应备份存储。检测、扫描和评估结果属敏感信息，不得向外界提供。第九十四条 联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。第九十五条 严禁超越网络管理权限，严禁非法操作业务数据信息，严禁擅自设置路由与非相关网络进行连接。第九十六条 严禁以远程终端的方式登陆生产网络进行任何操作。所有接入生产网络的电脑，须报总行科技部备案，未经允许不得擅自接入电脑等设备。第九十七条 禁止未经授权在外网部署无线AP设备，根据业务需要申请的AP必须加强网络接入的身份认证、访问控制、加密、IP/MAC限制等措施，禁止

32、内网接入无线AP设备。禁止外部终端未经授权私自接入内网和外网。第九十八条 网络边界访问控制应在保证正常应用连通性的前提下，根据业务通信情况设置应严格的访问控制策略，并定期进行检查和必要的调整。第九十九条 网络管理员及时将网络拓扑结构图、网络通信设备的配置参数、网络地址等资料归档保管，并严格保密。第一百条 网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。第三节 接入国际互联网管理第一百一条 内联网上的所有计算机设备，未经允许不得直接或间接地与国际互联网相联接。第一百二条 凡申请接入国际互联网的计算机，应由使用部门提出申请，报总行领导审批，并由总行计算机

33、安全管理办公室留档。第一百三条 经批准接入国际互联网的计算机，实行专机专用和专人管理，使用部门应切实加强管理，确保信息安全。严禁传播、下载、发布、拷贝违反国家法律、法规的有害信息。第一百四条 经批准接入国际互联网的计算机，应做好涉密信息保护工作，不得存留涉密金融数据信息；存有涉密金融数据信息的移动存储介质，不得在国际互联网计算机上使用。第一百五条 从国际互联网上下载、复制的任何数据信息，未经审阅和病毒检查不得在本行内联网上直接使用。第一百六条 各使用部门应自觉接受总行负责保密相关部门和计算机安全管理办公室的监督检查。 第八章 计算机信息系统建设安全管理 第一节 系统规划与立项的安全管理第一百七

34、条 计算机信息系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。第一百八条 计算机信息系统应采取与业务安全等级要求相应的安全机制，在安全防护方面应符合下列基本安全要求：(一) 采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制；(二) 提供完整的数据备份和恢复功能，能方便地根据系统和数据的备份介质进行灾难恢复；(三) 具有严格的用户和密码管理，能对不同级别的用户进行有限授权，特别应严格限制和分流特权用户的权限，防止非法用户的侵入和破坏；(四) 重要计算机信息系统应设置审计监控程序，具有身份

35、识别和实体认证功能。能够自动记录操作人员的重要操作，具有防止抵赖机制；(五) 涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。第一百九条 重要计算机信息系统立项的安全管理实行审查制度，重大立项项目应由风险管理部门参与进行安全性专项审查。第一百一十条 项目安全性内容：(一) 业务部门对保证业务正常开展的安全需求；(二) 安全需求分析和实现。(三) 系统的安全性指标；(四) 系统运行平台的安全性要求；(五) 系统采取的安全策略、安全保护措施及其安全功能设计；(六) 涉密信息系统的安全保护措施。第二节 软件开发的安全管理第一百一十一条 计算机信息系统软件开发必须符合软件工程规范，并在软件开发

36、的各阶段按照安全管理目标进行管理和实施。第一百一十二条 计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查，并签订保密协议书，明确其负有的安全保密责任和义务。计算机开发人员实行职责分离，不得与系统、数据库、维护等要害岗位的人员兼职。第一百一十三条 计算机信息系统的开发环境应当与生产环境隔离。项目测试环境与生产环境分离，测试数据不得直接使用生产环境数据。第一百一十四条 计算机信息系统开发完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。第一百一十五条 计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。 第一百一十六条 计算机信息

37、系统软件开发完成后，须提交业务部门进行整体功能性测试；测试通过后，应提交总行风险管理部门进行安全审计。第一百一十七条 对计算机信息系统实行外包开发的，除了明确知识产权、保密、服务等责任外，还应对软件程序进行必要的代码检查和安全审计。第一百一十八条 应提高软件项目的知识产权保护意识，积极而稳妥地推进自主开发项目的专利申请和著作权登记工作，确保软件版权。第三节 系统使用与废止的安全管理第一百一十九条 计算机信息系统应用软件投入使用时，各业务部门应当建立相应的操作规程和访问控制机制，明确授权操作，以防止各类安全事故的发生。应加强对磁卡、U盾、指纹、密钥和密码等重要身份识别载体的管理，注意对访问控制软

38、件的应用研究和推广。第一百二十条 计算机信息系统使用人员应严格按照操作规程和有关授权管理制度进行授权操作，保证系统安全运行。第一百二十一条 对计算机信息系统在运行过程中出现的异常现象，以及有关安全制度在执行过程中出现的问题，各级操作人员有责任向本部门负责人和本级计算机安全管理员报告。第一百二十二条 计算机信息系统的使用部门应当加强对计算机系统运行环境和设备的管理，加强对计算机病毒的防治，保证系统安全运行。第一百二十三条 计算机信息系统的使用部门应当严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。第一百二十四条 计算机信息系统应定期进行数据备份，对备份介质应按有关规定指定专人妥善

39、保管，重要业务系统的数据备份介质应做到异地保存和定期恢复测试。第一百二十五条 重要计算机信息系统应当制定计算机安全保护的应急计划，保证业务的不间断运行。同时应定期实施主备机的切换和应急方案的演练。第一百二十六条 重要计算机信息系统应严格执行保密管理的有关规定，确保国家秘密的安全。第一百二十七条 对计算机信息系统使用部门及有关操作人员报告的安全问题，计算机安全管理职能部门应当认真受理并及时反馈处理意见。第一百二十八条 计算机信息系统的废止实行备案制度，退出使用应向计算机安全管理职能部门报告并备案。第一百二十九条 对废止的计算机信息系统，在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管

40、。超过保存期限后需要销毁的，应在计算机安全管理职能部门的监督下予以不可恢复性销毁。第九章 计算机信息系统运行安全管理第一节 系统安全运行基本要求第一百三十条 计算机信息系统的使用部门应建立相应安全操作规程与规章制度；生产系统变更严格实行审批管理制度。第一百三十一条 计算机信息系统的运行场所应满足相应的安全等级要求。第一百三十二条 计算机信息系统应配备必要的计算机病毒防范工具。第一百三十三条 计算机信息系统应配备必要的备份设备和设施。第一百三十四条 计算机信息系统应制定业务连续性策略，建立同城及异地灾备中心。第一百三十五条 电子银行业务系统应采用完善的交易控制机制和网络安全机制。第二节 系统数据

41、的安全管理第一百三十六条 本办法中所称的数据是指以电子形式存储的xx银行系统业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。第一百三十七条 计算机信息系统的数据备份应根据业务的重要性制定相应的备份策略；使用部门应按规定进行数据备份，并检查备份介质的有效性。第一百三十八条 使用部门应对备份介质（磁带、磁盘、光盘、移动存储设备、纸介质等）统一编号，并标明备份日期、密级及保密期限，并根据数据重要性级别分类采取相应的安全销毁措施。第一百三十九条 使用部门应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查；对数据的采集、存储、传输、使用、备份、恢复、抽检、清理应建立登记制度，确保

42、数据的完整性、安全性。第一百四十条 使用部门应建立备份介质的销毁审批登记制度，明确领导授权和双人操作原则，并采取相应的安全销毁措施。第一百四十一条 保留在机房内的介质（资料），应为系统有效运行所必需的最少数量，除此之外，不应保留在机房内。第一百四十二条 存放机房内的介质（资料）应该存放于防火、防高温、防震、防电磁场、防静电及防盗的房间或保险柜中。第一百四十三条 应定期检查，要考虑介质的安全保存期限，及时更新复制。损坏、废弃或过时的介质（资料）应由专人负责处理，秘密级以上的介质（资料）在过保密期或废弃不用时，要及时销毁。第一百四十四条 重要计算机信息系统所用计算机设备的维修，应保证金融数据信息的

43、完整性和安全性。在维修过程中应全程监督不得泄露涉密金融数据信息。第一百四十五条 重要计算机信息系统使用的计算机设备更换或报废时，应彻底清除相关业务信息，并拆除所有相关的涉密选配件，由使用部门登记封存。第三节 系统运行平台的安全管理第一百四十六条 系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。第一百四十七条 系统管理人员应屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入。第一百四十八条 系统管理人员应及时测试并安装正式发布的系统补丁，修补系统存在的安全漏洞，并做好登记。第一百四十九条 系统管理人员应及时升级杀毒软件病毒库，了解最新计算机病毒情况及

44、相关应对措施。第一百五十条 系统管理人员应启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。第一百五十一条 系统管理人员不得泄露操作系统、数据库的系统管理员账号、密码。第一百五十二条 联网设备的地址及网络参数，必须按照网络管理规范及其业务应用范围进行设置，非系统管理人员不得修改。第四节 口令密码、密钥及加密设备的安全管理第一百五十三条 计算机信息系统要害岗位人员的口令密码编制应具有一定的复杂性，对记录密码的载体应严格管理，确保其物理安全。第一百五十四条 计算机信息系统要害岗位人员的口令密码，应定期或不定期进行更换，独享使用，不得泄露。第一百五十五条 应用密钥保障信息安全时，对所用密钥

45、生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）应实施严格的安全保密管理。第一百五十六条 密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。第一百五十七条 密钥必须定期更换，对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档，并在安全管理负责人的严格监督下，由管理责任人定期销毁。第一百五十八条 密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。第一百五十九条 对加密机、加密卡等加密设备严格实行专人管理，并做好登记；对密钥保管实行专人管理，确

46、保密钥安全。第五节 系统文档安全管理第一百六十条 技术档案管理是指对运行设备的随机资料、软件介质、软件文档、数据备份介质及与运行有关的各类技术规范、制度、计划、档案、日志等的管理。第一百六十一条 各类技术档案由运行相关岗位人员按规定及时整理归档。第一百六十二条 运行相关岗位人员应对技术档案登记入册，标明内容、日期、密级、保存期限等信息，分类保管。第一百六十三条 技术档案保管须满足防盗、防潮、防火、防水、防鼠、防虫、防磁、防震等要求。重要技术档案应有冗余保护措施。第一百六十四条 备份介质要存放在专用介质库内，系统软件、应用软件及业务数据备份介质还须异地(不同建筑物内)保存。第一百六十五条 运行相

47、关岗位人员应定期检查技术档案的完整性和有效性，对受损档案要及时整理和修复；对介质档案还应定期采取重绕、重写、复制等维护措施。第一百六十六条 网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档，由总行科技部负责管理，应做好备份保管登记工作。第一百六十七条 系统核心技术文档资料的外借应有审批手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体内容。对有权单位需调阅核心技术文档的，必须报经总行科技部负责人同意，在确保信息不会泄露的情况下，方可予以借阅，并做好登记。 第一百六十八条 及保密内容的技术档案，任何人不得以介绍、复印(拷贝)、发表文稿等方式外泄。第一百六十九条 对过期和报废的技术档案的销毁，运行机构应履行审批手续，并采取严格的监销措施。 第六节 软件的使用和变更安全管理第一百七十条 计算机信息信息系统的软件使用实行归口管理，所有投入