银行计算机信息系统安全管理工作规定模版.docx

1、银行计算机信息系统安全管理工作规定（暂行）第一章 总则第一条 为了加强银行计算机信息系统的安全管理工作，防范计算机犯罪，保证计算机系统安全、稳定地运行，根据商业银行信息科技风险管理指引等有关法律、法规，特制定本规定。第二条 本规定适用于我行各级机构，包括总行各部门及各分支行。第三条 我行计算机信息系统安全保护工作实行谁主管、谁负责，预防为主、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。第四条 我行各部门的分支行负责人为本部门和分支行计算机信息系统安全保护工作的第一责任人。第五条 本规定所称计算机信息系统安全防范设施包括计算机中心机房的构筑防护设施和计算机信息系统及其相关配套设备的技

2、术防护设施。第二章 计算机机房安全防范设施及安全管理第六条 我行的计算机中心机房应当符合下列基本要求：（一）中心机房在建筑内应为独立区域。（二）中心机房周围100米内不得有危险建筑，如加油站、煤气站等。（三）中心机房必须按照有关标准配置防火、防水、防盗设施。（四）中心机房必须采用双回路供电，配备发电机、UPS等设施。第七条 重要的通讯控制装置及通讯线路必须有备份。网络通讯设施要有安全技术措施。第八条 中心机房其他安全设施及管理按照银行中心机房管理制度和其他相关规定执行。第三章 计算机普通用户安全管理第九条 计算机普通用户安全管理包括各类操作系统、数据库系统、应用系统、网络设备、其他计算机设备的

3、用户管理。第十条 所有计算机使用者负责维护和妥善保管自己的计算机用户密码。对于可疑情况，必须向信息技术部报告备案。第十一条 各类用户应坚持一人一用户原则，严禁使用他人的计算机用户登录计算机系统；严禁将自己的计算机用户给他人使用。计算机用户的使用者在用户登录期间因故离开或使用结束后必须及时退出系统。第十二条 严格控制各类用户密码长度（至少6位）；密码不能和用户名相同，也不能使用本人姓名、生日、身份证号码、电话号码等容易被猜出的数字或字母。第十三条 计算机使用者每三个月必须更改用户密码一次。第十四条 各部门在申请增加各类用户时，要提前提出申请。 信息技术部系统管理人员在创建用户时应严格根据相关规定

4、，给予用户合理权限。第十五条 对于员工调离或岗位变动，员工所属部门应向相关部门申请调整或注销员工所使用的用户信息。第四章 计算机超级用户安全管理第十六条 由于工作需要，需申请超级用户权限的，由申请单位填写信息系统超级用户变更申请表，单位负责人签字并加盖单位公章，经系统业务主管部门审批，信息技术部负责人签字批准后，交于信息技术部经办人处理，处理完毕后，将信息系统超级用户变更申请表交信息技术部档案管理人员保存。第十七条 对于需终止超级用户权限的，由申请单位填写信息系统超级用户变更申请表，单位负责人签字并加盖单位公章，经系统业务主管部门审批，信息技术部负责人签字批准后，交信息技术部经办人处理，处理完

5、毕后，将信息系统超级用户变更申请表交信息技术部档案管理人员保存。第十八条 对于离职的员工，由原所在单位填写信息系统超级用户变更申请表，申请单位负责人签字并加盖单位公章，经系统业务主管部门审批，信息技术部负责人签字批准后，交信息技术部经办人处理，处理完毕后，将信息系统超级用户变更申请表交信息技术部档案管理人员保存。第十九条 超级用户适用的权限有：系统参数的设置、系统用户及用户权限管理、特殊业务的处理等。第二十条 进行系统参数设置时，由申请单位填写系统特殊操作申请表，单位负责人签字并加盖单位公章，经系统业务主管部门审批后交超级用户进行处理，超级用户需在系统特殊操作申请表上注明所修改参数名称、修改前

6、后的变化情况等详细信息。处理完毕后，将系统特殊操作申请表归档保存。第二十一条 进行特殊业务处理时，由申请单位填写系统特殊操作申请表，单位负责人签字并加盖单位公章，经系统业务主管部门审批后交超级用户进行处理，超级用户需在系统特殊操作申请表上注明处理原因、处理情况及处理结果等详细信息。处理完毕后，将系统特殊操作申请表归档保存。第二十二条 进行用户及用户权限管理时，由申请单位填写系统用户维护申请表，单位负责人签字并加盖单位公章，经人力资源部及系统业务主管部门审批后交超级用户进行处理。处理完毕将系统用户维护申请表归档保存。第二十三条 信息系统超级用户变更申请表及超级用户特殊维护申请表由信息技术部留档，

7、永久保存。第二十四条 系统特殊操作申请表及系统用户维护申请表由超级用户所在部门留档，永久保存。第二十五条 信息技术部、风险管理部每年对所需留存的资料至少进行一次检查和梳理，确保资料的完整性。第五章 计算机系统设备的安全管理第二十六条 未经信息技术部同意，计算机使用人员不得私自安装计算机设备（尤其是MODEM、无线通讯设备等），不得私自配置网络参数，不得私自安装与工作无关的软件，严禁私自连接本系统外的任何网络。第二十七条 各单位系统管理员负责本部门计算机设备的常规维护，每月检查本部门计算机设备的使用情况，并做好相关记录，定期上报信息技术部。第二十八条 信息技术部应定期抽查各部门、分支行的设备使用

8、情况，对于私自安装网络设备、连接外部网络的，一经发现，严肃查处。第六章 网络系统安全管理第二十九条 对于所有生产环境的网络设备，系统管理人员负责每周检查配置信息一次；对配置信息进行修改的，修改前后必须做备份。第三十条 信息技术部应严格管理所有的拨号端口，采取设置密码和电话回拨等措施，保证拨号端口的安全。第三十一条 凡与其他单位有联网需求的，必须通知信息技术部。上报内容包括联网的单位名称、业务需求、联网方案等。第三十二条 生产环境的网络设备具有设置用户和口令功能的，必须严格设置用户和口令。第三十三条 如果与本系统外的网络连接，必须经过我行防火墙或通信协议网关等隔离措施；或者与我行网络从物理上隔离

9、开来。不允许以任何途径对外泄露我行的网络配置和路由信息。第三十四条 未经信息技术部书面批准，严禁私自安装网络管理软件、网络监测和其它黑客软件。禁止在办公环境中安装、使用网络管理或监控软件。第七章 计算机防病毒的管理第三十五条 各单位计算机安全管理工作人员负责本单位计算机用户、机房的防病毒日常管理工作，包括安装系统安全补丁，安装、维护网络防病毒软件客户端，提供本单位计算机用户防病毒技术支持等。 第三十六条 联网计算机用户一旦影响到全行网络安全，信息技术部有权封闭该用户端口。 第三十七条 各单位使用计算机网络，未经信息技术部允许，不得私自更改分配的地址及相关网络设置，不得私自接线，不得向非本单位人

10、员提供网络的有关技术配置等信息（如IP地址、网络安全配置等）。任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器、交换机配置和网络参数。 第三十八条 各单位业务用机禁止联入互联网，特别严禁安装双网卡将内外网同时连接。第三十九条 各单位计算机必须按规定对所有计算机安装统一的杀毒软件，并定期对杀毒软件进行升级，在使用过程中不得擅自强行卸载。第四十条 加强对外来数据的安全检查，未经计算机安全管理工作人员许可，严禁私自在联网计算机上使用U盘、软盘、光盘等外来介质，如工作需要应先查毒后使用。第四十一条 禁止安装与业务系统无关的应用软件，如输入法、虚拟光驱，防火墙等。第四十二条 未经计算机安全管理工

11、作人员许可，严禁将硬盘、目录共享。第四十三条 严禁在计算机上玩游戏，播放VCD、DVD及MP3音乐等。第四十四条 禁止任何人利用我行计算机网络侵占用户合法利益，不得制作、复制和传播妨害我行稳定的有关信息。严禁通过电子邮件、BBS等方式在内网发布不健康的、反动的、黄色的信息。第四十五条 严禁通过我行网络端口攻击内部或者外部的任何机器。第四十六条 任何人不得进入未经许可的计算机系统更改系统信息和用户数据。第四十七条 各单位定期对本部门计算机系统和网络数据进行备份，以防发生故障时进行恢复。第八章 密码授权相关规定第四十八条 密码授权是指原密码管理人将系统的密码使用和管理权限授予第二人管理或者多人共同

12、管理的行为，当密码持有人出差、请假等无法履行职责时使用该规定。第四十九条 各支行、部门负责人为本单位所有重要系统的初始密码管理人，具有授权权力。第五十条 被授权人在接受授权的同时具有该密码的管理权限，开始履行密码管理员岗位职责并对密码涉及的重要系统负管理责任。第五十一条 被授权人在接受授权时必须更改原密码管理人的密码。第五十二条 密码授权交接事项必须做好登记，授权双方必须在密码管理授权书上签字，授权时间记录要精确并归入重要系统档案管理。第五十三条 密码被授权人必须符合以下条件：（一）是我行正式在职员工；（二）没有受过处分、无违法、违纪等不良记录；（三）有事业心和责任心，熟悉保密条例以及我行的密

13、码管理制度；（四）能够担任该项密码的管理和服务工作；第五十四条 密码授权分对单人授权和对多人同时授权。一般系统可以对单人授权，操作系统和数据库等重要系统不得对单人授权。对多人授权时密码要实行分段管理。第五十五条 被授权人不得对其单独管理密码的重要系统做任何独立操作。第五十六条 被授权人未经授权人同意不得将密码转授权于他人。第九章 计算机安全保密相关规定第五十七条 我行计算机安全保密的总体要求是：既要保证计算机开发应用等工作的安全、可靠，又要保证业务工作的正常进行。第五十八条 计算机数据、软件、文档等资料是银行重要保密内容，计算机安全保密工作是银行安全保密工作的重要组成部分。第五十九条 信息技术

14、部人员一律要签署银行计算机岗位安全保密协议，自觉遵守其内容，未签协议者不得上岗。第六十条 计算机保密安全员不得由软件开发维护人员兼任。第六十一条 计算机安全保密工作的指导思想以预防为主，各单位要加强对有关人员的思想教育，防患于未然。第六十二条 各单位负责人要经常性地检查计算机数据资料及各岗位人员的工作，及早发现问题，避免损失。第十章 其 他第六十三条 各单位如果必须请外单位安装、维护软件或硬件，应经信息技术部同意，并严格控制计算机安全。第六十四条 各单位发现有关计算机信息系统案件或事故的，必须逐级上报主管领导。第十一章附则第六十五条对违反本规定的行为，信息技术部将根据总行的有关规定进行处理。第六十六条本办法由总行信息技术部负责解释。第六十七条本办法自印发之日起执行。