计算机安全管理工作规定.docx

计算机安全管理工作规定（试行）第一章总则 第一条为加强计算机信息系统安全保护工作，保障计算机信息系统安全、稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》和《商业银行信息科技风险管理指引》等有关法律、法规,制定本规定。 第二条 本规定适用于及其分支机构。 第三条 计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。 第四条计算机信息系统安全管理工作，实行各级计算机信息系统安全工作领导小组组长责任制。各级管理部门和业务部门按各自业务性质和管辖范围，各负其责。采取预防为主、人员防范与技术防范相结合的原则，逐级建立安全保护责任体系。 第二章组织机构及其职责 第五条 计算机信息系统安全问题涉及到我行的各个部门，必须引起全行的高度重视。总行（分行）和各支行分别成立计算机信息系统安全工作领导小组（以下简称领导小组）。总行（分行）计算机信息系统安全工作领导小组，组长由总行（分行）分管科技工作的行领导担任;副组长由科技开发部负责人担任;成员由总行（分行）计算机信息系统安全相关业务主管部门的负责人组成。支行计算机信息系统安全工作领导小组,组长由支行行长担任，成员由支行各部室负责人以上干部及计算机协管员组成。 第六条信息安全领导小组的职责是： （一）研究审议本行计算机信息系统安全工作的重大事项； （二）组织制定本行计算机信息系统安全工作的规章、制度; （三）领导本行计算机信息系统安全工作、组织本行计算机安全检查； （四）制定本行计算机信息系统安全工作的实施细则。 第七条科技开发部在计算机信息系统安全工作方面的主要职责是： （一）贯彻执行信息安全领导小组的决议，制定并落实计算机信息系统安全的 规章制度,负责我行计算机安全体系建设与安全管理工作； （二）注意跟踪国际、国内先进的计算机安全技术，研究制定计算机安全防范策略并组织实施； （三）监督在电子化项目建设中计算机信息系统安全工作的落实情况，组织计算机信息系统的安全评审，监督安全措施的执行,保证项目的安全性； （四）加强与计算机安全相关职能管理部门联系，配合有关单位进行计算机审计和金融计算机犯罪案件调查，打击金融计算机犯罪； （五）负责计算机安全专用产品的选型,组织对选用的计算机安全产品的评估、认证工作。 第八条 风险管理部在计算机信息系统安全工作方面的主要职责是： （一）进行执法风险管理部和其他检查活动。通过开展计算机信息系统查找业务风险和管理隐患，督促消除风险隐患、堵塞管理漏洞； （二）通过组织查处违法违纪案件，提出防范风险及遏制案件的指导意见； （三）负责对计算机信息系统相关的安全问题的统计、检查和处理工作； （四）与保卫部门协调研究计算机犯罪动向，提出防范措施。 第九条 保卫部在计算机信息系统安全工作方面的主要职责是： （一）负责或协助公安部门解决计算机犯罪案件的侦破工作； （二）统计分析计算机犯罪案件，研究计算机犯罪动向和作案手段，提出防范措施和建议； （三）负责计算机机房、营业网点等要害部门的监控、防盗、消防、报警、门禁等系统建设和管理； （四）定期对计算机机房、营业网点等要害部门的安全设施进行检查，及时发现和消除隐患。 第十条 其它相关部门在计算机信息系统每项安全工作方面的主要职责是： （一）在信息安全领导小组的统一领导下，主动协调，配合工作,充分发挥其职能作用； （二）负责提出业务应用系统的安全需求及风险控制措施，并对实现情况进行检查验收，制定相配套的安全管理制度； （三）加强本部门相关系统的运行管理，检查、监督相关安全管理制度的落实，防范事故发生，确保系统安全。 第三章计算机安全人员管理 第十一条 本规定所称计算机安全人员是指总行及分行科技部门计算机安全管理人员和各支行计算机协管员。 第十二条 计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。 第十三条 违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。 第十四条 计算机安全人员的配备和变更情况，应向上一级行报告、备案。 第十五条 计算机安全人员调离岗位，必须严格办理调离手续,承诺其调离后的保密义务。涉及我行核心技术的计算机安全人员调离单位,必须进行离岗审计，并在规定的脱密期后，方可调离。 第十六条 总行和分行计算机安全管理人员职责如下： （一）负责全辖所有机构的计算机信息系统安全管理工作，包括:对所属机构相关人员的计算机安全操作进行指导和知识培训，计算机和网络的安全技术措施的设计和实施，计算机和网络的安全检查和审计，计算机和网络安全问题必要的技术处理等。 （二）根据上级单位的要求，及时加强本单位所属机构的计算机信息系统安全策略实施和安全技术教育。负责落实上级单位要求的计算机信息系统安全检查工作。 （三）认真做好计算机运行安全管理，保证我行所有计算机程序不被他人违章下载、安装、删除、改动、拷贝或发送。 （四）确保我行各种密钥、密码、数据、系统资料、操作手册、信息载体等按规定保管、使用和销毁。 （五）严禁通过我行未经授权计算机从Internet网下载软件资料。严禁使用未经我行授权的移动介质拷贝软件资料。 （六）协助我行风险管理部、保卫部门组织全行的计算机安全教育培训和计算机信息系统安全检查工作。 （七）安全管理员的权利和义务:1、代表安全办公室行使检查职责，并提出处理（罚）、整改意见。2、重大安全隐患及时向上级领导汇报。 第十七条支行计算机安全管理员（计算机协管员）职责参照《计算机协管员制度》。 第十八条 计算机安全人员在行使职责时，确因工作需要,经批准，可了解涉及银行计算机信息系统的机密信息。 第十九条计算机安全人员发现本单位重大安全隐患,有权向上级机构计算机安全管理主管部门报告。 第二十条 计算机安全人员发现计算机信息系统要害岗位人员使用不当，应及时建议有关单位、部门进行调整。 第二十一条计算机安全人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位秘密。 第二十二条计算机安全人员应定期参加下列计算机安全知识和技能的培训： （一）计算机安全法律法规及行业规章制度的培训； （二）计算机安全基本知识的培训； （三）计算机安全专门技能的培训。 第二十三条计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。 第四章 计算机信息系统要害岗位人员管理 第二十四条 本规定所称计算机信息系统要害岗位人员，是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。 第二十五条本规定所称重要计算机信息系统，是指涉及银行资金和金融秘密信息的计算机信息系统。 第二十六条要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，合格者方可上岗。 第二十七条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员不得兼任系统管理员；系统管理人员不得兼任柜面及事后稽核工作。 第二十八条 对要害岗位人员应实行年度强制休假制度或定期考查制度，并进行必要的安全教育和培训。 第二十九条 要害岗位人员调离岗位，必须严格办理调离手续,承诺其调离后的保密义务。涉及人民银行业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。 第三十条 要害岗位人员离岗后，必须即刻更换操作密码或注销用户。 第三十一条 系统管理员安全责任 （一）负责系统的运行管理，实施系统安全运行细则； （二）严格用户权限管理，维护系统安全正常运行； （三）认真记录系统安全事项，及时向计算机安全人员报告安全事件； （四）对进行系统操作的其他人员予以安全监督。 第三十二条网络管理员安全责任 （一）负责网络的运行管理，实施网络安全策略和安全运行细则； （二）安全配置网络参数，严格控制网络用户访问权限,维护网络安全正常运行； （三）监控网络关键设备、网络端、网络物理线路，防范黑客入侵,及时向计算机安全人员报告安全事件； （四）对操作网络管理功能的其他人员进行安全监督。 第三十三条系统开发员安全责任 （一）系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现； （二）系统投产运行前,应完整移交系统源代码和相关涉密资料； （三）不得对系统设置“后门”； （四）对系统核心技术保密。 第三十四条 系统维护员安全责任 （一）负责系统维护，及时解除系统故障，确保系统正常运行； （二）不得擅自改变系统功能； （三）不得安装与系统无关的其他计算机程序； （四）维护过程中，发现安全漏洞应及时报告计算机安全人员。 第三十五条 业务操作员安全责任 （一）严格执行系统操作规程和运行安全管理制度； （二）不得向他人提供自己的操作密码； （三）及时向系统管理员报告系统各种异常事件。 第三十六条 各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。 第四章 计算机机房安全管理 第三十七条我行计算机机房的建设必须符合国家有关规定。施工完毕后，工程主管部门应将完整、准确、详细、符合档案管理规定的全套设计和施工技术档案交本行档案室存档。施工中如需要对原设计进行改动，必须提出书面申请，在得到科技开发部批准后方可实施，施工人员应详细记录所做改动，施工完毕后及时交本行档案室归档。各级机房建立，应事先将装修方案提前提交总行科技开发部、保卫部和办公室审定,并经总行科技开发部、保卫部、办公室共同验收后方可投入使用。 第三十八条 我行计算机机房的建设应符合国家有关计算机场地、环境、供电等技术标准。总行中心机房应达到国家A类机房标准，支行机房达到国家C类标准 A级:总行中心机房。I级机房应设置安装门禁系统和视频监视录像系统等技术防范设施;建设具有综合防范能力的安全监控中心;录像资料保存三个月；配备24小时值班人员。 C级:分行和支行营业网点机房。安装有路由器、通讯传输设备和主机（服务器）的小型机房。应具有基本的防火、防水、防雷、防静电、防鼠害、防腐蚀、供电保护、防盗设施等安全措施。 第三十九条计算机机房是我行的机要重地，为保证计算机系统安全稳定地运行，机房只允许安全管理员、网络管理员、系统操作员、系统管理员和硬件维护人员进入，其他任何人未经批准，不得擅自入内。 第四十条I级机房值班人员要自觉遵守各项机房运行操作以及安全保密等制度，并督促机房工作人员和维护人员遵守各项管理制度，对违章操作者及在机房进行与系统运行无关活动者，值班人员有责任和权力加以制止，并责令其立即离开机房，情况严重的应及时向科技部门负责人汇报并对发生事件记录在案。 第四十一条I级机房值班人员交接班手续按照《计算机运行中心机房场地管理规定》的有关规定严格执行。 第四十二条重要的通讯设备及通讯线路必须有备份，并且必须定期检查备份设备。 第四十三条 其它II级机房由相关主管部门参照本规定制定具体的管理办法。 第五章计算机网络安全管理 第四十四条 网络建设方案应通过总行科技开发部的安全审批。 第四十五条 网络投入使用前应通过科技开发部组织的安全测试和验收。 第四十六条网络建设应配备必要的安全专用产品。 第四十七条 网络建设中涉及网络安全的资料，应备案建档，统一管理。 第四十八条 网络建设应符合下列基本安全要求： （一）网络规划应有完整的安全策略； （二）能够保证网络传输信道的安全，信息在传输过程中不会被非法获取； （三）应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段； （四）应具备必要的网络监测、跟踪和审计的功能； （五）应根据需要对网络采取必要的技术隔离措施； （六）能有效防止计算机病毒对网络系统的侵扰和破坏； （七）应具有应付突发情况的应急措施。 第四十九条 重要网络设备应放置在主机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。 第五十条 网管设备属专管设备，必须严格控制其管理员密码。 第五十一条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。 第五十二条改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。 第五十三条 与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必须采用一人一账户的访问控制。 第五十四条 网络管理人员应随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告计算机安全人员。 第五十五条 有权单位使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。 第五十六条网络扫描、监测结果和网络运行日志等重要信息应备份存储。 第五十七条 联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。 第五十八条 严禁超越网络管理权限，非法操作业务数据信息，擅自设置路由与非相关网络进行连接。 第五十九条 禁止将网络测试环境与生产环境连接。生产环境的IP地址分配要严格按照总行的有关规定执行。如有特殊需求，应提出申请，说明原因及测试计划，经总行科技开发部负责人审批后方可进行。 第六十条 禁止从测试系统直接访问我行的生产系统。如有特殊需要，必须经总行科技开发部有关领导审批。申请必须明确使用的地址范围、网络服务、使用时间范围及责任人等，由网络管理员根据审批情况进行处理。 第六十一条 应有专人负责严格管理所有的拨号端（包括拨号备份和拨号网点），采取尽可能强的安全认证/鉴别措施，保证拨号端的安全。 第六十二条 生产环境的网络设备具有设置用户和令功能的，必须严格设置用户和令并尽可能采用强的安全认证/鉴别措施。 第六十三条如与我行以外的网络连接,必须经过我行外联防火墙等隔离措施;或者与我行网络从物理连接上隔离。相关路由器使用应具有基本的“防火墙”功能。不允许以任何途径对外泄露我行的网络配置和路由信息。 第六十四条未经总行科技开发部书面批准，严禁安装网络管理软件、网络监测和其它黑客软件。禁止在办公环境中安装、使用网络管理或监控软件。 第六十五条 未经总行科技开发部同意不允许各支行更改我行骨干网设备的任何配置信息。 第六十六条 对于所有计算机机房内的网络设备，网络管理员负责定期对配置信息检查;对配置信息进行修改的，修改前后必须做备份。 第六十七条为了加强内部网的安全，各营业网点与总行的网络通讯必须经过防火墙系统，以加强各营业网点到总行的访问控制。 第六十八条建立完善网络加密体系，保证我行业务数据在网络上传输时的传输安全，通讯实体之间必须同时进行尽可能强的加密和认证。 第六十九条 网络核心层和与Internet相连的防火墙、入侵监测、安全审计系统的配置管理由总行网络管理员负责，并及时对软件进行升级、安全策略修改。总行网络管理员必须每天对网络核心层和Internet相连的防火墙、入侵监测、安全审计系统进行监控，发现问题及时处理，确保网络系统正常运行。 第七十条 内联网上的所有计算机设备，不得直接或间接地与Internet相联接，必须实现与Internet的物理隔离。 第七十一条 凡要求接入Internet的计算机，须由使用部门提出申请,报本行信息安全领导小组审批、备案。 第七十二条 经许可连接Internet的计算机,使用部门应报科技开发部备案。 第七十三条 经许可连接Internet的计算机，不得存留涉密金融数据信息;存有涉密金融数据信息的介质，不得在接入Internet的计算机上使用。 第七十四条访问Internet必须遵守国家有关的法律、法规;不允许泄露国家秘密和其他非法活动;不允许从事有损我行利益的任何事情;不允许散布任何虚假信息；我行外网门户信息发布必须经办公室审核。 第六章计算机信息系统安全管理 第七十五条 我行信息系统项目开发的立项，必须有相关的安全需求分析和安全策略考虑，在项目需求、立项、建设、测试及运行等环节都要把计算机安全作为项目建设的重要内容。信息系统项目的设计方案需经总行信息科技委员会审核后由风险管理部门进行风险评估后,方可进行立项开发。 第七十六条应用软件的开发与维护的要求： （一）程序员只能在开发环境上进行开发、调试。 （二）软件开发过程中必须采取双人工作制，原代码共同保存,开发代码集中存放，项目负责人对核心程序进行解读和审查，对原程序采取与运行数据同样的安全保护规定和措施。 （三）开发过程中的任何资料未经总行科技开发部研发中心批准不得擅自复制，也不得以任何方式带离工作场所。对违反本规定者不论是否造成损失,都将严肃查处。 （四）设计需求和开发文档等与软件开发有关的技术资料，必须有明确的使用范围，并统一由管理中心保管。 （六）应用软件一经投入运行,就受到运行环境的安全管理，除软件维护人员外任何人均无权修改。 第七十七条总行中心机房配备的运行主机，全面规范主机系统管理工作，包括系统的各类参数设置、权限设置和日常维护、系统日志检查等。 第七十八条如果请外单位安装、维护系统软件或硬件,我行相关单位应严格控制计算机安全问题，遵守本行规定，并对由此产生的计算机安全问题负责。 第七十九条任何运行系统上不允许启动与业务无关的网络服务。 第八十条 主机系统的安全管理工作的要求： （一）该项工作由系统管理员负责，系统管理员要不断探讨、修订、优化系统各项参数指标，但不得私自更改系统运行参数。 （二）任何人不得随意修改、删除系统库中的目标。 （三）系统升级须报分管行领导及科技开发部负责人审批后，由系统管理员负责进行。 第八十一条 计算机信息系统使用部门应按规定进行数据备份，并检查备份介质的有效性。 第八十二条 使用部门应对备份介质（磁带、磁盘、光盘、纸介质等）统一编号，并标明备份日期、密级及保密期限。 第八十三条 使用部门应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性。 第八十四条 使用部门应建立备份介质的销毁审批登记制度，并采取相应的安全销毁措施。 第八十五条重要计算机信息系统所用计算机设备的维修，应保证金融数据信息的完整性和安全性。在维修过程中不得泄露涉密金融数据信息。 第八十六条 重要计算机信息系统使用的计算机设备更换或报废时，应彻底清除相关业务信息，并拆除所有相关的涉密选配件，由使用部门登记封存。 第八十七条本规定未涉及的计算机信息系统管理按照本行其他制度执行。 第七章 密码、密钥安全管理 第八十八条 计算机信息系统要害人员的令密码编制应具有一定的复杂性,对记录密码的载体应严格管理，确保其物理安全。 第八十九条 计算机信息系统要害岗位人员的令密码，应定期或不定期进行更换，独享使用，不得泄露。 第九十条 应用密钥保障信息安全时，对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）应实施严格的安全保密管理。 第九十一条 密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。 第九十二条密钥必须定期更换，对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档，并在安全管理负责人的严格监督下，由管理责任人定期销毁。 第九十三条 密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。 第八章办公自动化系统的安全管理 第九十四条 办公自动化系统（以下简称OA系统）由总行办公室、总行党群人事部、总行科技开发部各司其职分工负责。 总行办公室负责根据管理需要，提出修改和完善OA系统的业务需求。 总行党群人事部负责各部门、支行用户的变更管理。 总行科技开发部负责OA系统的技术开发、需求实施、安全控制、运行管理。 第九十五条总行科技开发部设OA系统管理员，分AB角。负责全行OA系统的需求实施、运行管理、日常维护,OA系统管理员在工作中必须严格遵守相关规定，不得越权修改系统参数和配置，维护全行OA系统的安全。 第九十六条 分行系统管理员要做好。入的日常维护，发现异常现象立即向总行科技开发部报告。 第九十七条 所有用户一律由总行党群人事部统一管理，各部门、支行新增、更改、删除用户必须向总行党群人事部提出变更申请，经党群人事部批准后由OA系统管理员执行变更操作。 第九十八条OA系统管理员应当妥善保管自己的管理员用户名和密码，并将自己的用户名和密码交科技开发部安全管理员存档保管。 第九十九条OA系统管理员本人应当另外注册一个普通用户作为日常办公用户，不得将OA系统管理员用户用于日常办公，不得将本人的普通用户授权成系统管理员权限,不得以本人普通用户执行系统管理任务。 第一百条OA系统管理员必须妥善保管我行的所有OA验证公文，如需进行OA验证公文变更，必须向总行办公室提出变更申请，经总行办公室批准后由OA系统管理员提取相关变更公文。 第一百零一条 我行办公自动化系统目前不与其他单位的办公自动化系统进行交叉验证用户。 第一百零二条 用户离开工作站时应当退出办公自动化服务器或者锁定标示符,避免他人登录系统。 第一百零三条 禁止使用他人的用户名登录办公系统，除OA系统管理员以及采用此系统平台的业务系统用户外，禁止一人拥有多个用户，特殊情况可以向总行党群人事部提交申请,经总行党群人事部同意后由OA系统管理员执行。 第一百零四条 未经总行科技开发部许可，严禁各支行（部门）以任何方式将办公自动化系统连入Internet。 第一百零五条科技开发部应根据服务器硬盘空间的使用情况统一限制用户邮箱的大小。因工作需要必须使用较大的邮箱的，需提出书面申请，经部门负责人签批后，报科技开发部审核，由科技开发部根据硬盘资源使用情况予以分配。 第一百零六条 用户需及时清理自己的邮箱，禁止将邮件系统作为存储服务器使用，以免影响邮件系统的正常使用。 第九章派出柜和离行开卡的安全管理 第一百零七条 派出柜和离行开卡在技术允许的情况下,通讯必须采取尽可能强的加密技术。使用无线通讯技术时禁止明码传输。 第一百零八条 派出柜和离行开卡使用MODEM实现业务远程通讯,必须将 MODEM设置为加密状态或采取更强的加密技术和路由器方式，若拨号使用PPP协议的，必须采用集中认证和CHAP验证或者其他更安全的技术措施。 第一百零九条 派出柜应严格与其他单位的计算机网络系统隔离，并每月由相关电脑人员对计算机系统配置检查一次。对于派出柜和离行开卡的设备，系统管理员/安全管理员也必须定期检查。 第一百一十条离行开卡的计算机设备（终端、键盘、MODEM、打印机、磁卡读卡器等）统一由专人准备和保管。 第一百一十一条总行科技开发部根据总行零售业务部和保卫部的具体规定审查离行开卡申请手续。离行开卡的设备领用必须填写领用登记表。 第一百一十二条离行开卡的申请必须写明离行开卡的开始和结束时间、联系人和联系电话，总行机房据此严格控制对主机的访问时间。如需要延时,总行机房应做好相关记录。 第一百一十三条离行开卡的设备必须及时送回，并填写相关登记表。 第十章计算机防病毒的管理 第一百一十四条 各单位安全管理员负责所在单位内计算机系统的防病毒工作。所有运行的计算机必须安装杀毒软件,并对计算机系统定期杀毒。 第一百一十五条防病毒软件升级、病毒码更新、安装系统补丁需及时，同时应经过试用后，才能推广应用，以免影响网络运行和系统的正常运作。 第一百一十六条数据备份实行专盘专用,严格控制外来盘在业务系统上的使用，外来盘使用必须经过严格防病毒扫描，外来盘应设立专人管理，他人不得在计算机上使用外来盘。 第一百一十七条 严禁在单位计算机上安装或使用非授权软件,以防止各种病毒侵入。 第一百一十八条各单位如果遇到重大的计算机病毒发作事件,应如实上报计算机安全领导小组。 第一百一十九条 凡违反规定造成一定后果的，必须按照我行有关规定严肃处理。 第十一章计算机信息系统的安全检查管理 第一百二十条 对I级机房内的生产设备每天进行检查。其他生产设备由总行科技开发部定期对审计结果进行抽查，并做好抽查记录。 第一百二十一条 通过总行科技开发部指定的安全检查工具，定期检查有关系统的安全漏洞，并及时更新系统的补丁或修复程序。在运行环境正式安装新版系统前，要求先经过检测。 第一百二是二条 总行科技开发部统一负责实时监控安全危险性较大的关键服务器（主机）。经检查发现任何可疑现象需要支行协助调查的，支行协管员必须在五个工作日内给予答复。 第一百二十三条 由总行科技开发部牵头,会同风险管理部、保卫部门定期检查计算机系统安全工作的实施情况。各支行每半年要按照有关安全管理规定对各自的计算机系统安全情况进行自查，并将自查情况书面报告总行科技开发部和风险管理部、保卫部门。总行风险管理部、保卫部门和科技开发部每年组织一次对各支行计算机系统安全情况抽查。 第十二章 应急处理 第一百二十四条由安全工作领导小组组织全行加强计算机安全防范意识，建立应急处理指挥体系，指挥协调各职能部门能迅速进入应急处理程序。 第一百二十五条全行应优化组合和配置应急技术人员及应急资源,集中使用，统一调度，以保证应急处理的高效性。 第一百二十六条 科技部门应制定重要计算机信息系统应急方案，明确岗位职责、人员分工以及应急处理程序。 第一百二十七条安全工作领导小组应组织全行加强应急处理技能的培训和应急处理方案的演练。提高各岗位人员判断、处理问题的能力，验证应急处理程序的有效性。 第十三章重大安全事件处理 第一百二十八条非法侵入、破坏计算机信息系统或利用计算机实施金融诈骗、盗窃、贪污、挪用公款的计算机犯罪案件以及造成不良社会影响的计算机安全事故，属重大安全事件。 第一百二十九条 确认计算机信息系统出现重大安全事件，必须果断采取控制措施，立即报告计算机安全工作领导小组并逐级如实上报。 第一百三十条 重大安全事件发生后，有关人员应保护事件现场，积极协助计算机安全事件的调查，做好善后处理工作。 第一百三十一条 重大安全事件的处理情况，计算机安全管理机构必须写具书面材料，报告上级主管部门。 第十四章计算机信息系统安全专用产品管理 第一百三十二条 本规定所称安全专用产品，是指用于保护计算机信息系统安全的专用软件、硬件产品。 第一百三十三条 安全专用产品准入工作由总行科技开发部组织实施。 第一百三十四条 安全专用产品在准入审核时，供应商应提出申请并提供下列资料： （一）公安部颁发的安全专用产品销售许可证和其他必须的证明材料; （二）产品型号、产地、功能及报价； （三）产品采用的技术标准，产品功能及性能的说明书； （四）生产企业概况（包括人员、设备、生产条件、隶属关系等）； （五）供应商的质量保证体系、售后服务措施等情况的说明。 第一百三十五条 安全专用产品有下列情形之一的，取消其准入资格： （一）安全专用产品的功能已发生变化，但未通过检测的； （二）经使用发现有严重问题的； （三）不能提供良好售后服务的； （四）国家有关部门取消其销售资格的。 第一百三十六条 安全专用产品由总行组织选型，并选择准入范围内的产品。 第一百三十七条 安全专用产品的购置应统一规划，在总行选型范围内购置并逐级上报备案。 第一百三十八条 安全专用产品中的扫描、检测产品购置应经总行审批。 第一百三十九条 安全专用产品购置后，应按照电子化设备管理办法管理。 第一百四十条 扫描、检测产品应专人专管，使用实行审批登记制度。 第一百四十一条 安全专用产品在使用中，应监测生成的信息，对生成的信息应及时分析并做出分析报告。 第一百四十二条 在监测中如发现重大问题，应立即采取相应控制措施并将有关情况逐级上报。 第一百四十三条 安全专用产品使用中产生的重要报告应备份存档，并按密级资料管理方式履行有关手续。 第一百四十四条 安全专用产品应及时进行升级和维护并登记备案。 第一百四十五条 安全专用产品报废后，应报有关部门审批方可封存或销毁。 第一百四十六条总行科技部门必须对安全专用产品的使用情况进行定期检查。 第十五章附则 第一百四十七条本规定由总行计算机安全领导小组负责制定、修改和解释。 第一百四十八条 本规定自发文之日起施行。