镇银行计算机安全管理制度.doc

《镇银行计算机安全管理制度.doc》由会员分享，可在线阅读，更多相关《镇银行计算机安全管理制度.doc（20页珍藏版）》请在沃文网上搜索。

1、附件1农*银行计算机安全管理制度第一章 总则第一条、为加强*银行计算机信息系统安全保护工作，保障*银行计算机信息系统安全、稳定运行，根据中华人民共和国计算机信息系统安全保护条例和金融机构计算机信息安全保护工作暂行规定等有关法律、法规，制定本制度。第二条、本制度适用于开鲁蒙银村镇银行及其分支机构。第三条、*银行计算机安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。“预防为主”是计算机安全管理工作的基本方针。第四条、*银行计算机安全管理部门应对电子化项目建设的规划、开发、验收、运行及废止各环节进行安全监管。第五条、*银行计算机安全工作实行统一领导和分级管理。开鲁蒙银村镇银行负责

2、组织、协调、监督和检查全行计算机安全管理工作。计算机安全管理办事机构设在行内科技部。第二章 计算机安全人员管理第一节 人员基本要求第六条、本制度所称计算机安全人员，是指*银行科技部门专（兼）职计算机安全管理人员。第七条、计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第八条、专职计算机安全管理员应有银行计算机工作三年以上经历，具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历，具备专科以上学历。第九条、违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。第十条、计算机安全人员应具有公安部门颁发的计算机安全培训合格证

3、书。第二节 人员配备与管理第十一条、*银行配备必要的计算机安全管理人员，各支行应配备兼职计算机安全管理员。第十二条、计算机安全人员的配备和变更情况，应向行内报告、备案。第十三条、计算机安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及本行业务核心技术的计算机安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。第三节 职责范围第十四条、计算机安全管理办事机构职责是：（一）贯彻执行计算机安全工作领导小组的决定，指导、监督、协调和规范本行计算机安全工作；（二）拟订计算机安全总体规划和计算机安全管理制度，并监督执行；（三）跟踪先进的计算机安全技术，提出计算机安全防范策略

4、；（四）参与计算机系统工种建设中的安全规划，监督安全措施的执行；（五）负责计算机安全专用产品的选型，组织计算机信息系统安全的评估和审批；（六）组织全行计算机安全检查，分析本行计算机安全总体状况，提出安全分析报告和安全防范建议；（七）组织全行计算机安全知识的培训和宣传工作；（八）配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查，打击金融计算机犯罪；（九）加强与公安机关计算机安全职能部门、政府安全保密职能部门联系，并接受指导；（十）及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十五条、专（兼）职计算机安全管理员应履行以下职责：（一）负责计算机安全管理的日常工作；（二）

5、开展计算机安全检查工作，对要害岗位人员安全工作进行指导；（三）开展计算机安全知识的培训和宣传工作；（四）监控计算机安全总体状况，提出安全分析报告；（五）了解行业动态，为改进和完善计算机安全管理工作，提出安全防范建议；（六）及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十六条、计算机安全人员在行使职责时，确因工作需要，经批准，可了解涉及银行计算机信息系统的机密信息。第十七条、计算机安全人员发现本单位重大安全隐患，有权向有关计算机安全管理主管部门报告。第十八条、计算机安全人员发现计算机信息系统要害岗位人员使用不当，应及时建议有关单位、部门进行调整。第十九条、计算机安全人员必须严

6、格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位秘密。第四节 培训与教育第二十条、计算机安全人员应定期参加下列计算机安全知识和技能的培训：（一）计算机安全法律法规及行业规章制度的培训；（二）计算机安全基本知识的培训；（三）计算机安全专门技能的培训；第二十一条、计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三章 计算机信息系统要害岗位人员管理第一节 人员管理第二十二条、本制度所称计算机信息系统要害岗位人员，是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。第二十三条、本制度所称重要计算机信息系统，是指涉及银行资金

7、和金融秘密信息的计算机信息系统。第二十四条、要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，合格者方可上岗。第二十五条、要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则，系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员不得兼任系统管理员；系统管理人员不得兼任柜面及事后稽核工作。第二十六条、对要害岗位人员应实行定期考查制度，并进行必要的安全教育和培训。第二十七条、要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及本行业务保密信息的要害岗位人员离调单位，必须进行离岗审计，在规定的脱密期后，方可调离。

8、第二十八条、要害岗位人员离岗后，必须即刻更换操作密或注销用户。第二节 安全责任第二十九条、系统管理员安全责任（一）负责系统的运行管理，实施系统安全运行细则；（二）严格用户权限管理，维护系统安全正常运行；（三）认真记录系统安全事项，及时向计算机安全人员报告安全事件；（四）对进行系统操作的其他人员予以安全监督。第三十条、网络管理员安全责任（一）负责网络的运行管理，实施网络安全策略和安全运行细则；（二）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；（三）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全人员报告安全事件。（四）对操作网络管理功能的其他人员进行

9、安全监督。第三十一条、系统开发员安全责任（一）系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现；（二）系统投产运行前，应完整移交系统源代码和相关涉密资料；（三）不得对系统设置“后门”；（四）对系统核心技术保密。第三十二条、系统维护员安全责任（一）负责系统维护，及时解除系统故障，确保系统正常运行；（二）不得擅自改变系统功能；（三）不得安装与系统无关的其他计算机程序；（四）维护过程中，发现安全漏洞应及时报告计算机安全人员；第三十三条、业务操作员安全责任（一）严格执行系统操作规程和运行安全管理制度；（二）不得向他人提供自己的操作密码；（三）及时向系统管理员报告系统各种异常事件。第三

10、十四条、各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。第四章计算机机房安全管理第一节 机房建设安全管理第三十五条、机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离。第三十六条、机房建设应当符合下列基本安全要求：（一）机房周围100米内不得存在危险建筑物，如加油站、煤气站等。（二）机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。（三）机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。（四）机房应设专用的供电系统，配备必要的UPS和发电机。第二节 机房运行安全管理第三十七条、机房是重点保护的要害部门，机房主管部门应依照安全第一的原则，建

11、立、健全严格的机房安全管理制度，如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等，并定期检查制度执行情况。第三十八条、计算机机房实行分区管理原则。核心区实行24小时连续监控，生产区实行工作时间连续监控，辅助区实施联动监控。第三十九、条监控设备的安装应符合安全保密原则，确保监控的安全规范运行，防止监控信息的泄密。第四十条、加强进出机房要员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准，外来人员进出机房还须办理登记手续，并由专人陪同。第四十一条、发生机房重大事故或案件，机房主管部门应立即向有关单位报告，并保护现场。第

12、五章计算机网络安全管理第一节 网络建设安全管理第四十二条、网络建设方案应通过计算机安全主管部门的安全审批。第四十二条、网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。第四十三条、网络建设应配备必要的安全专门产品。第四十四条、网络建设中涉及网络安全的资料，应备案建档，统一管理。第四十五条、网络建设应符合下列基本安全要求：（一）网络规划应有完整的安全策略；（二）能够保证网络传输信道安全，信息在传输过程中不会被非法获取；（三）应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段；（四）应具备必要的网络监测、跟踪和审计的功能；（五）应根据需要对网络采取必要的技术隔离措施；（六）能

13、有效防止计算机病毒对网络系统的侵扰和破坏；（七）应具有应付突发情况的应急措施。第二节 网络运行安全管理第四十六条、重要网络设备应放置在主机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第四十七条、网管设备属专管设备，必须严格控制其管理员密码。第四十八条、重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第四十九条、改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。第五十条、与其他业务机关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必须采用一人一帐户的访问控制。第五十一条、网络管理人员应随时监测和定期检

14、查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告计算机安全人员。第五十二条、有权单位使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。第五十三条、网络扫描、监测结果和网络运行日志等重要信息应备份存储。第五十四条、联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。第五十五条、严禁超越网络管理权限，非法操作业务数据信息，擅自设置路由与非相关网络进行连接。第三节 接入国际互联网管理第五十六条、凡要求接入国际互联网的计算机，须由使用部门提出申请，报本行计算机安全工作领导小组审批、备案。第五十七条、经许可连接国际互联网的计算机，使用部门应报计算机安全管理部

15、门备案。第五十八条、经许可连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。第五十九条、国际互联网接入帐户和密码必须实行专。人管理，并不定期更换密码。第六十条、从国际互联网上下载的任何信息资源，未经检测不得在本行使用。第六十一条、各使用部门应自觉接受本行计算机安全工作领导小组的监督检查。第六章计算机信息系统建设安全管理第一节 系统规划与立项的安全管理第六十二条、计算机信息系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。第六十三条、计算机信息系统应采取与业务安全等级要求相应的安全机制，在安全防护方面应符合下列基

16、本安全要求：（一）采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性、防止数据信息被非法使用、修改和复制。（二）提供完整的数据备份和恢复功能，能方便地根据系统和数据的备份介质进行灾难恢复。（三）具有严格的用户和密码管理，能对不同级别的用户进行有限授权，特别应严格限制和分流特权用户的权限，防止非法用户的侵入和破坏；（四）重要计算机信息系统应设置审计监控程序，具有身份识别和实体认证功能。能够自动记录操作人员的重要操作，具有防止抵赖机制；（五）涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。第六十四条、重要计算机信息系统立项的安全管理实行审批

17、制度。对项目管理部门初审合格的项目申报材料，计算机安全管理部门应进行安全性专项审查，提出审查意见后项目管理部门最后审批。第六十五条、项目申报材料在符合电子化项目管理规定有关要求的同时，还应包括以下与住处系统安全有关内容：（一）业务主管部门对保证业务正常开展的安全需求；（二）系统的安全性指标；（三）系统运行平台的安全性要求；（四）系统采取的安全策略、安全保护措施及其安全功能设计；（五）涉密信息系统的申报还应取得同级或上级保密部门的同意。第六十六条、对没有通过计算机安全管理部门审查的项目，项目管理部门不得予以立项。第二节 系统开发的安全管理第六十七条、计算机信息系统的开发必须符合软件工程规范，并在

18、软件开发的各阶段按照安全管理目标进行管理和实施。第六十八条、计算机信息系统的开发人员或参加开发的协作单位经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务。第六十九条、计算机信息系统的开发环境和现场应当与生产环境和现场隔离。第七十条、计算机信息系统开发完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。第七十一条、计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。第三节 系统安全的评估与审批第七十二条、计算机信息系统投入运行前，应向计算机安全管理部门提出安全评估和审批申请，并报送下列材料：（一）系统的用途、总体结构及软硬件配

19、置等基本情况；（二）关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明；（三）系统安全性测试提纲和测试报告；第七十三条、计算机安全管理部门应当对计算机信息系统主管部门（单位）报送的书面材料进行初步审查。初审合格后，委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组，对信息系统进行安全性测试、认证。第七十四条、对信息系统的安全评估应当包括以下内容：（一）系统的安全策略；（二）系统的安全措施；（三）系统安全功能的实现程度；（四）系统运行的稳定性、可靠性；（五）系统运行平台的安全可靠性。第七十五条、安全评估委员会或安全评估专家组应对测试、认证的

20、信息系统提出安全评估报告。第七十六条、计算机安全管理部门应对系统安全评估报告进行审查。符合安全运行要求的的方可投入运行。对不能保证安全运行的，经修改完善后另行申报评估。第七十七条、对尚未经过安全审批但已经投入使用的计算机信息系统，计算机安全管理部门应要求其主管部门（单位）报送系统安全建设情况书面材料，并按照上述程序进行安全评估和审批。第四节 系统使用与废止的安全管理第七十八条、计算机信息系统投入使用时业务部门应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。第七十九条、计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作，保证系统安全运行。第八十条、对计算机信息系统

21、在运行过程中出现的异常现象，以及有关安全制度在执行过程中出现的问题，操作人员有责任向部门领导和计算机安全管理部门报告。第八十一条、计算机信息系统的使用部门应当加强对计算机系统运行环境的管理，加强对计算机病毒的防冶，保证系统安全运行。第八十二条、计算机信息系统的使用部门应当严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。第八十三条、计算机信息系统应定期进行数据备份，对备份介质应按有关规定指定专人妥善保管，重要业务系统的备份介质必须异地保存。第八十四条、重要计算机信息系统应当制定计算机安全保护的应急计划，保证业务的不间断运行。第八十五条、重要计算机信息系统应严格执行保密管理的有关规

22、定，确保国家秘密的安全。第八十六条、对计算机信息系统使用部门及有关操作人员报告的安全问题，计算机安全管理部门应当认真受理并及时反馈处理意见。第八十七条、计算机信息系统的废止实行备案制度，退出使用应向计算机安全管理部门报告并备案。第八十八条、对废止的计算机信息系统，在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管。超过保存期限后需要销毁的，应在计算机安全管理部门的监督下予以不可恢复性销毁。第七章计算机信息系统运行安全管理第一节 系统安全运行基本要求第八十九条、计算机信息系统的部门应建立相应安全操作规程与规章制度。第九十条、计算机信息系统的运行场所应满足相应的安全等级要求。第九十一条、

23、计算机信息系统应配备必要的计算机病毒防范工具。第九十二条、重要计算机信息系统应配备必要的备份设备和设施。第二节 系统数据的安全管理第九十三条、计算机信息系统使用部门应按规定进行数据备份，并检查备份介质的有效性。第九十四条、使用部门对备份介质（磁带、磁盘、光盘、纸介质等）统一编号，并标明备份日期、密级及保密期限。第九十五条、使用部门应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性。第九十六条、使用部门应建立备份介质的销毁审批登记制度，并采取相应的安全销毁措施。第九十七条、重要计算机信息系统所用计算机设备的维修，应保证金融数据信息的完整性和安全性。在维修过程中不

24、得泄露金融数据信息。第三节 系统运行平台的安全管理第九十八条、系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。第九十九条、系统管理人员应屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入。第一百条、系统管理人员应及时安装正式发布的系统补丁，修补系统存在的安全漏洞。第一百零一条、系统管理人员应启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。第一百零二条、系统管理人员不得泄露操作系统、数据库的系统管理员帐号、密码。第一百零三条、联网设备的IP地址及网络参数，必须按照网络管理规范及其业务应用范围进行设置，非系统管理人员不得修改。第四节 口令密

25、码、密钥安全管理第一百零四条、计算机信息系统要害人员的口令密码编制应具有一定的复杂性，对记录密码的载体应严格管理，确保其物理安全。第一百零五条、计算机信息系统要害岗位人员的口令密码，应定期或不定期的进行更换，独享使用，不得泄露。第一百零六条、应用密钥保障信息安全时，对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）应实施严格的安全保密管理。第一百零七条、密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。第一百零八条、密钥必须定期更换，对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档，并在安全管理负责人的严格监督下，由管理责任人定期销

26、毁。第一百零九条、密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。第五节 系统文档安全管理第一百一十条、网络参数配置文档、重要计算机信息系统详细开发资料及春源程序等核心技术文档，由科技部门严格管理。第一百一十一条、系统核心技术文档资料的外借应有审批手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体内容。第六节 系统的安全监测第一百一十二条、安全人员要经常监测、分析计算机信息系统运行状况，发现异常情况应立即采取应对措施。第一百一十三条、业务操作人员应审查业务处理结果，发现问题应及时查

27、明原因。对不能确认的异常现象，必须向计算机安全管理部门报告。第一百一十四条、对计算机信息系统安全运行的监测记录及其分析结果应严格管理，未经计算机安全工作领导小组许可不得对外发布或引用。第七节 应急处理第一百一十五条、*银行及其分支机构应加强计算机安全防范意识，建立应急处理指挥体系，以指挥协调各职能部门能迅速进入应急处理程序。第一百一十六条、*银行及其分支机构应制定重要计算机信息系统应急方案，明确岗位职责、人员分工以及应急处理程序。第一百一十七条、*银行及其分支机构应加强应急处理技能的培训和应急处理方案的演练。提高各岗位人员判断、处理问题的能力，验证应急处理程序的有效性。第八节 重大安全事件处理

28、第一百一十八条、非法侵入、破坏计算机信息或利用计算机实施金融诈骗、盗窃、贪污、挪用公款的计算机犯罪案件以及造成不良社会影响的计算机安全事故，属重大安全事件。第一百一十九条、确认计算机信息系统出现重大安全事件，必须果断采取控制措施，立即报告计算机安全工作领导小组并如实上报计算机安全主管部门。第一百二十条、重大安全事件发生后，有关人员应保护事件现场，积极协助计算机安全事件的调查，做好善后处理工作。第一百二十一条、重大安全事件的处理情况，计算机安全管理部门必须出具书面材料，报告计算机安全主管部门。第八章计算机信息系统安全专用产品管理第一百二十二条、本制度所称安全专用产品，是指用于保护计算机信息系统安

29、全的专用软件、硬件产品。第一百二十三条、安全专用产品的购置应统一规划，在国家认可的选型范围内购置并报告计算机安全工作领导小组备案。第一百二十四条、安全专用产品购置后，应按照电子化设备管理办法管理。第一百二十五条、扫描、检测产品专人专管，使用实行审批登记制度。第一百二十六条、安全专用产品在使用中，应监测生成的信息，对生成的信息应及时分析并作出分析报告。第一百二十七条、在监测中如发现重大问题，应立即采取相应控制措施并将有关情况报告计算机安全工作领导小组。第一百二十八条、安全专用产品使用中产生的重要报告应备份存档，并按资料管理方式履行有关手续。第一百二十九条、安全专用产品应及时进行升级和维护并登记备案。第一百三十条、安全专用产品报废后，应报有关部门审批方可封存或销毁。第一百三十一条、*银行计算机安全管理部门必须对安全专用产品的使用情况进行定期检查。第九章奖励与处罚第一百三十二条、执行本制度，计算机安全管理工作成绩突出的单位与个人，由行对其进行通报表彰，并给予一定形式的奖励。第一百三十三条、违反本制度，造成重大安全事故或计算机犯罪的，根据有关法律法规，追究其主管领导、相关部门及其他直接责任人的责任。第一百三十五条、违反本制度的单位与个人，由计算机安全管理部门通报批评。