商业银行计算机信息系统安全管理制度 .pdf

《商业银行计算机信息系统安全管理制度 .pdf》由会员分享，可在线阅读，更多相关《商业银行计算机信息系统安全管理制度 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、商业银行计算机信息系统安全管理制度第一章第一章 总则总则第一条 为加强我行网络管理，明确岗位职责，规范操作流程，维护内外网正常运行，确保计算机信息系统安全，现根据 中华人民共和国计算机信息系统安全保护条例、商业银行信息科技风险管理指引 等有关规定，结合本行实际，特制定本制度。第二条 本制度适用于总行各部门、一级支行、二级支行。第三条 本制度的管理对象是商业银行股份有限公司外网（互联网），内网（业务网）接入及应用中发生的各项事件。第四条 计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第二章第

2、二章岗位与职责岗位与职责第五条 总行科技信息部下设安全管理岗位、软件管理岗位、网络管理岗位、系统管理岗位、硬件管理岗位、库房档案管理岗位、运行值班岗位，实行A、B 角搭配制，并定期进行培训。第六条 安全管理岗位全面负责计算机系统运行的安全管理工作，负责定期检查和抽查各运行环境的安全情况，责成责任人-1-对不安全隐患进行整改，指导并监督系统运行各环节安全技术规范的制定与实施。第七条 软件管理岗位负责行内线上软件的管理及维护，组织并协助行内软件需求的建设和开发，遵从软件管理的各项制度要求，负责软件源代码的接收及验收，严格做好软件项目的立项登记和版本控制，并定期对软件源代码及相关资料进行整理、刻录、

3、备份。第八条 网络管理岗位负责计算机网络通讯的建立，规划全行网络结构拓扑，配发各节点和用户的IP 及端口，并按规定建立资料，做好登记。根据有关管理制度对网络通讯系统进行管理和维护，定期对网络通讯系统进行检查、维护，确保物理及信息的双重安全。第九条 系统管理岗位负责我行各应用系统的管理及维护工作，根据各自的分工确保各应用系统的正常运作，按照各管理制度的要求对应用系统进行检查、维护。指导前台业务人员正确操作计算机。第十条 硬件管理岗位负责全行主机、外设、辅助设备，低值易耗品的选型、下发及日常管理，负责各种设备在全行内的合理调配。指导各使用设备的单位及操作员正确使用计算机设备。第十一条 库房档案管理

4、岗位负责各种技术档案的归档、管理，按制度要求办理各种手续，设备、耗材的出入库及日常管理。第十二条 运行值班岗位负责整个综合系统网运行的监控，-2-根据业务规范要求，正确操作计算机。做好各种运行记录和电话记录，按规定保管好各种运行文档。第十三条 人员离岗/变动管理。当各岗位人员有离岗/变动时，需要提前一个月对相应的工作进行交接，并且交接人需遵守岗位不相容原则，交接人需要立即取消离岗/变动人员机房内所有相关的访问权限、账户密码等信息，需做好交接登记记录，对持有或保管的一切记录本行秘密信息的文件、资料、图标、笔记、报告、信件、磁盘、仪器以及其他任何形式的载体，均归属我行所有，不得在离岗/变动后以任何

5、形式带走相关信息。第三章第三章 网络管理网络管理第一部分第一部分 外网接入管理外网接入管理第十四条 遵守国家有关法律、法规，严格执行计算机信息安全保密制度及本行内部信息保密制度。由于工作的需要，本行各部门的部分电脑开通了外网，上网时不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网上发布反动、非法和虚假信息，不得在网落上谩骂攻击他人，不得泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的入侵。不要随便下载网页信息，特别是不要随便打开不明来历的邮件及下载邮件的附件，以致病毒对计算机造成破坏及其他严重

6、后果。第十五条 外网不部署任何办公及业务系统，银监专网通过-3-外网连接。外网必须与内网物理隔离，严禁采用任何方式同时接入外网与内网，以保障生产系统安全。第十六条 总行各部门统计登录外网的办公用机数量，统一填写外网接入申请表，并报科技信息部审批，批准后开通外网，原则上一个部门最多有两台计算机可以登录外网，特殊情况需经分管行领导批准并由科技信息部核实后，方可放开外网权限。总行行级领导每人有一个外网出口。第十七条 一级支行、直管二级支行自行申请外网线路，统计登录外网的办公用机数量，统一填写外网接入备案表，并报科技信息部备案登记。分行登录外网的机器数量参照总行标准，一级支行、直管二级支行原则上一个部

7、门最多有一台计算机可以登录外网。特殊情况需经分管行领导批准并由科技信息部核实后，方可放开外网权限。总行、支行级的领导每人有一个外网出口。总行、支行的外网网络地址由科技协管员进行分配。第十八条 接入外网计算机应安装杀毒软件及相关防范软件。全行做好病毒防治工作，如发现病毒侵袭、黑客攻击以及其它危害网络安全的异常现象要及时报告网络安全管理人员进行处理，科技协管人员积极配合，隐瞒不报造成事故和损失的，按有关制度规定追究有关当事人责任。第十九条 各部门接入外网的计算机应定期对计算机系统、杀毒软件等进行升级更新，并定期进行病毒全面查杀，不要下载和使用未经测试和来历不明的软件、以及不要随意使用带毒 U-4-

8、盘、移动硬盘等移动存储介质进行资料的复制拷贝。通过外网传输文件时，在收到文件之后需进行杀毒扫描之后方能打开第二十条 科技部统一对网络流量、上网行为等进行控制和管理。办公时间不允许进行视频点播、视频下载等影响网络流量的操作；第二部分第二部分 内网接入管理内网接入管理第二十一条 办公自动化系统、各业务系统（包括综合业务系统、信贷管理系统等）、人行网间互联平台部署在内网中。内网上不能有业务无关的设备连接，所有设备接入必须由网络维护人员审核检验后方可连接。第二十二条 总行各部门、各支行需统计登录内网的办公用机，统一填写内网接入申请表，并报科技信息部审批，批准后统一分配内网网络地址，并登记备案。科技信息

9、部严格检查办公用机的安全情况后，方可开放内网权限。第二十三条 业务系统、信贷管理系统各岗位账号由总行科技部统一设置，各账号所有者应保管好自己的账号密码，严禁交由他人使用，并且定期进行密码更改。各部门如要新增系统操作员账号，需填写账号开通申请表，交由相关部门负责人审批通过之后，经总行科技部在系统中增加开通，在第一次使用时，需更改为个人秘密，并妥善保管。如账号所有者离职或岗位发生变动需提交账号变更、注销申请表，由分管领导审核后交总行科技部在系统内进行账号的变更、注销操作。-5-第二十四条 总行科技部对内网IP 地址统一分配、登记、管理，严禁盗用、修改IP 地址，造成后果由个人承担。第四章第四章 网

10、络安全管理网络安全管理第二十五条 接入外网或内网的办公用机必须做到专机专网，不得擅自更改网络用途、网络地址等，如确有必要调整须填写网络应用变更申请表，报科技信息部审批，批准后方可由科技部人员施行。第二十六条 各部门新增电脑终端，如需进行网络接入，必须填写网络开通申请表交由部门负责人及分管信息安全的行领导审批确认，由总行科技部核实后开通。如办公电脑网络接入发生变更，同样需要填写变更申请表。第二十七条 任何人员不得制造、故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击、禁止非法侵入服务器系统及他

11、人计算机，禁止利用计算机和网络干扰他人正常的工作。第二十八条 电脑病毒防范管理。外来U 盘拷贝资料，需要经过杀毒软件扫描之后，方可进行资料拷贝。外出拷贝资料的 U盘，拿回本行之后同样需杀毒软件扫描后，方可将资料拷贝到电脑中。第二十九条 自觉遵守本行的有关保密法规，不得利用网络有意或无意泄漏我行的涉密文件、资料和数据；不得非法复制、-6-转移和破坏我行的文件、资料和数据。第五章第五章 电脑操作规范管理电脑操作规范管理第三十条 本行员工应对所负责的计算机终端设置密码，并保管好自己的账号密码。本机保存的重要资料务必将其存储在除操作系统外的硬盘空间，严禁将重要文件放置在电脑桌面上及我的文档中。第三十一

12、条 电脑开机：遵循先开电源插座、显示器、打印机、外设、主机的顺序；每次的关、开机操作至少间隔 1 分钟，严禁连续进行多次的开关机操作。电脑关机：遵循先关主机、显示器、外设、电源插座的顺序；下班时，务必要将电源插座的开关关上，节假日应将插座拔下，彻底切断电源，以防止火灾隐患。第三十二条 打印机、复印机、传真扫描复印一体机及其他外围设备的使用：在使用时要注意电源线和设备是否连接有效，需要连接电脑的数据线是否有效连接，当出现故障时注意检查有无卡纸；硒鼓有无碳粉，喷墨水是否干涸，针式打印机看是否有断针；当打印机工作时，不要强行阻止，否则更容易损坏打印机。扫描仪、复印机、传真机在工作时千万不可强行拔出电

13、源插头，以免设备因短路造成损毁。第三十三条 停电时，应尽快关闭电源插座或将插座拔下，以免引起短路和火灾。来电时，应等待510 分钟待电路稳定后方可开机，开机时应遵循开机流程操作。第三十四条 电脑操作人员必须爱护电脑设备，保持电脑设-7-备的清洁卫生。禁止在开机状态下使用湿物（湿毛巾、溶剂等）擦拭显示屏幕。电脑发生故障应尽快通知各支行的科技协管员或科技部工作人员，不允许私自打开电脑主机箱操作。第三十五条 禁止工作时间内玩游戏和做与工作无关的事宜。严禁利用计算机系统上网炒股、发布、浏览、下载、传送反动、色情及暴力的信息。严禁上班时间使用任何BT 软件下载与公司无关的资料、程序等。禁止在使用电脑设备

14、时，关闭、删除杀毒软件。第三十六条 严禁公司职员未经网络管理员许可进入 IT 机房。第六章第六章 变更管理变更管理第三十七条 变更管理是指对管理、技术、设备、操作方法等永久性或暂时先的变化进行有计划的控制和管理,以避免由于变更造成的对安全生产的影响。第三十八条 实施变更前变更申请人应写出变更申请报告，明确说明变更的内容、方法和范围。第三十九条 对变更内容必须进行必要的风险分析（评估），确定变更产生的风险，制定出行之有效的控制防范措施。第四十条 变更申请报告应逐级上报并得到批准，形成受控文件。第四十一条 变更实施过程应由实施部门监督管理，实施过程要严格控制，严禁超越审批的范围。-8-第四十二条 变更实施后申请变更部门应对变更情况进行考查验收，确保达到变更计划的要求。第七章第七章违规处罚违规处罚第四十三条 对违反外网、内网接入管理和网络安全管理规定的违规行为，一经查实，将追究当事人全部责任及部门领导或分、支行领导部分责任，并根据相关规定中违反有关计算机应用与管理规章制度的行为及处理办法，进行处罚。第四十四条 各支行的计算机网络管理情况作为经营单位分级考核计算机管理状况的评分内容。详细标准见相关办法。-9-