商业银行计算机信息系统安全管理工作规定

XX银行计算机网络管理办法第一章总则第一条为加强全行计算机网络的运行管理，保障整个网络系统安全稳定运行，规范我行系统和设备接入内网的行为，为我行员工提供良好的网络服务，根据《XX银行计算机信息系统安全管理办法》，制定本办法。

第二章网络管理原则及范围第二条管理原则。

网络管理实行“统一规划、统一建设、统一监控、统一维护”的原则。

1.统一规划，即总行与支行的主干网、总行局域网、支行局域网、总行与外联单位网络的拓扑结构、IP地址及所有网络节点设备方案，由总行科技部统一规划。

2.统一建设，即全行网络设备(含备份设备)的选型、配置、购置、安装、调试、投产及拓扑结构制定、通讯线路租用，由总行科技部统一实施。

3.统一监控，即由总行科技部对全行网络运行状况实施监控、技术管理；4.统一维护，即由总行科技部对全行网络运行实行统一管理和维护。

第三条管理范围。

1.人员管理。

总行科技部需设立两名网络管理人员，负责全1行网络管理的技术工作。

两名管理员具有相近的业务能力，互为A、B角，可以根据需要进行轮岗。

2.资源管理。

总行科技部对全行网络IP地址、通讯带宽进行规划、分配和管理。

3.设备管理。

网络设备包括：路由器、交换机、防火墙产品、HUB、DTU、Modem、NAC、协议转换器、光端机及其它连接在全行网上的通讯设备。

4.口令管理。

总行科技部网络管理人员对所有网络设备的登录口令和特权用户口令实行统一管理定期更换，各类口令不准重复，不准有规律性。

口令要严格保密，网络管理人员变动或发现口令泄密必须立即更换。

口令设置或更换后必须交由本部门负责人封存，以备应急。

5.配置管理。

总行科技部负责保存全行所有网络系统参数、设备配置档案，负责及时下载全行网络配置参数，并作为重要技术文档存档管理。

第三章网络运维管理第四条运维流程。

支行发现问题后由信息安全员进行初步故障排查，科技部给予电话指导，若无法解决则由科技部进行处理。

总行网络运维由科技部负责管理，排查原因并进行处理，若是运营商专线问题则通知运营商现场处理，若是设备问题则考虑更换备件，若是其他配套故障则由签约维保人员进行处理。

中国人民银行关于实施《银行计算机信息系统安全技术规范》的通知文章属性•【制定机关】中国人民银行•【公布日期】2001.02.02•【文号】银发[2001]21号•【施行日期】2001.02.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理,公共信息网络安全监察正文中国人民银行关于实施《银行计算机信息系统安全技术规范》的通知（银发[2001]21号2001年2月2日）中国人民银行各分行、营业管理部、省会(首府)城市中心支行，各政策性银行、国有独资商业银行、股份制商业银行、烟台住房储蓄银行：为进一步加强银行系统计算机安全管理，现公布实施《银行计算机信息系统安全技术规范》(以下简称《规范》)，请各单位认真组织落实。

现将实施《规范》有关事宜通知如下：一、《规范》原名《国家金融信息系统安全总体纲要》(征求意见稿)，经广泛征求意见，并在部分商业银行试点取得成功经验后修改完善，现更名为《银行计算机信息系统安全技术规范》。

二、《规范》针对金融信息系统提出基于时间要求的集防护、检测、反应为一体的动态安全模型(PDR)，系统描述了构建信息系统安全过程各环节的技术要求和技术细节，对于规范银行信息系统安全建设，提高银行计算机安全管理水平，建立和健全银行计算机安全管理体制具有重要的指导意义。

三、《规范》的实施范围为人民银行、国有独资商业银行、股份制商业银行、住房储蓄银行和城市商业银行。

四、鉴于《规范》内容较多，为便于各单位组织实施，我们已将《规范》正式文本交由电子工业出版社印制，并负责发行，现附一份。

《规范》的正式文本发至各银行县级机构。

请各单位组织好《规范》的征订工作。

五、本通知由人民银行各分行、营业管理部和省会(首府)城市中心支行转发辖内城市商业银行。

附：银行计算机信息系统安全技术规范(略)。

商业银行计算机信息系统安全管理制度第一章总则第一条为加强我行网络管理，明确岗位职责，规范操作流程，维护内外网正常运行，确保计算机信息系统安全，现根据《中华人民共和国计算机信息系统安全保护条例》、《商业银行信息科技风险管理指引》等有关规定，结合本行实际，特制定本制度。

第二条本制度适用于总行各部门、一级支行、二级支行。

第三条本制度的管理对象是商业银行股份有限公司外网（互联网），内网（业务网）接入及应用中发生的各项事件。

第四条计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第二章岗位与职责第五条总行科技信息部下设安全管理岗位、软件管理岗位、网络管理岗位、系统管理岗位、硬件管理岗位、库房档案管理岗位、运行值班岗位，实行A、B角搭配制，并定期进行培训。

第六条安全管理岗位全面负责计算机系统运行的安全管理工作，负责定期检查和抽查各运行环境的安全情况，责成责任人对不安全隐患进行整改，指导并监督系统运行各环节安全技术规范的制定与实施。

第七条软件管理岗位负责行内线上软件的管理及维护，组织并协助行内软件需求的建设和开发，遵从软件管理的各项制度要求，负责软件源代码的接收及验收，严格做好软件项目的立项登记和版本控制，并定期对软件源代码及相关资料进行整理、刻录、备份。

第八条网络管理岗位负责计算机网络通讯的建立，规划全行网络结构拓扑，配发各节点和用户的IP及端口，并按规定建立资料，做好登记。

根据有关管理制度对网络通讯系统进行管理和维护，定期对网络通讯系统进行检查、维护，确保物理及信息的双重安全。

第九条系统管理岗位负责我行各应用系统的管理及维护工作，根据各自的分工确保各应用系统的正常运作，按照各管理制度的要求对应用系统进行检查、维护。

指导前台业务人员正确操作计算机。

第十条硬件管理岗位负责全行主机、外设、辅助设备，低值易耗品的选型、下发及日常管理，负责各种设备在全行内的合理调配。

商业银行计算机终端安全管理办法第一章目的第一条为规范银行终端的使用和维护，保障系统及内部网络的安全稳定运行，并逐步实现终端系统的标准化管理，结合银行实际情况，特制定本管理办法。

第二章适用范围第二条本管理办法适用于银行总行各部门和所属各分支行的终端安全管理。

第三章职责定义第三条本办法涉及的角色包括：服务管理岗、IT资产管— 1 —第四章术语定义第四条本办法中的计算机终端一般可分为运维终端、业务终端、办公终端。

具体定义如下：（一）运维终端：用于生产系统维护操作的终端，包含操作终端、监控终端、批处理终端等；（二）业务终端：运行柜面终端系统等业务应用系统的桌面终端；（三）办公终端：银行员工日常使用的桌面终端。

第五章管理流程第一节终端安全管理原则第五条终端应该服务于银行的业务需要，任何桌面资源不能被滥用。

第六条终端的安全应用必须符合监管部门的要求和规定。

第七条终端系统的安全管理应该兼顾安全性、可操作性、易用性。

第八条确定访问权限控制，确保合法用户的服务，同时限制非授权用户的使用。

第二节终端设备使用第九条终端设备应该放置在合理位置，并保持清洁、整齐。

第十条运维终端和业务终端应该接入专用电源插座，并— 2 —尽可能通过UPS（不间断电源）接入。

第十一条禁止业务人员在桌面终端上放置与工作无关的数据。

第十二条终端设备禁止以任何形式保存与系统、应用、设备登录相关的帐号口令信息。

第十三条终端设备应远离强磁性物质，以保证桌面终端及用户数据安全。

第十四条终端设备接入内网应参照《网络安全管理办法》（JNYH-IT-IS-02）中的流程执行，严格控制桌面终端的接入，阻止可能的内外部侵入。

第十五条终端设备的维修须参照《设备管理办法》(JNYH-IT-IS-04)中的流程执行。

第三节终端软件管理第十六条终端的软件安装采用标准化安装和最小安装原则，只安装办公管理和业务处理必须的软件。

由科技部安装配置统一授权的操作系统和应用软件。

确因工作需要的个性化需求，必须经批准并备案后方可实施。

公安部、中国人民银行关于发布金融机构计算机信息系统安全保护工作暂行规定文章属性•【制定机关】公安部,中国人民银行•【公布日期】1998.08.31•【文号】公通字〔1998〕63号•【施行日期】1998.08.31•【效力等级】部门规章•【时效性】失效•【主题分类】公共信息网络安全监察正文金融机构计算机信息系统安全保护工作暂行规定（公安部、中国人民银行１９９８年８月３１日发布）第一章总则第一条为加强金融机构计算机信息系统安全保护工作，保障国家财产的安全，保证金融事业的顺利发展，根据《中华人民共和国中国人民银行法》《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规制定本暂行规定。

第二条金融机构计算机信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范和技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现科学化、规范化管理。

第三条金融机构计算机信息系统安全保护工作的基本任务是：预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动，预防、处理各种安全事故，提高金融机构计算机信息系统的整体安全水平，保障国家集体和个人财产的安全。

第四条金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。

金融机构的计算机信息系统安全保护领导小组、专职部门和专（兼）职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。

第五条金融机构应当建立同公安机关计算机管理监察部门的通报联系制度，及时通报有关计算机信息系统案件和事故情况，协助公安机关查处与本单位有关的案件和事故。

第六条公安机关计算机管理监察部门应当加强对金融机构计算机信息系统安全保护工作实施的指导和监督，及时查处金融机构计算机信息系统发生的案件和事故。

第二章安全防范设施第七条本暂行规定所称金融机构计算机信息系统安全防范设施包括计算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的技术防护设施。

商业银行信息安全管理办法商业银行信息安全管理办法第一章绪论一、为了保障商业银行信息系统及其信息安全，规范信息安全管理，提升信息安全保障能力，制定本办法。

二、本办法合用于商业银行信息系统及其信息安全管理。

其中，信息系统包括硬件设施、软件系统、数据资源及信息流程；信息安全包括机密性、完整性和可用性。

第二章基本原则一、依据法律法规，建立信息安全管理制度。

二、对信息安全事件及时响应，采取应急处置措施。

三、开展内部安全演练和测试，提升信息安全保障能力。

四、加强对员工信息安全意识和技能的培训。

第三章责任分工一、商业银行领导层负责信息安全工作的规划、指导、监督和检查。

二、信息安全管理部门负责信息安全管理的日常工作，制定安全策略、安全标准和安全管理流程，进行安全风险评估和漏洞扫描，提供安全加固方案和技术支持。

三、各部门应按照安全管理制度执行信息安全工作，并配合信息安全管理部门的工作。

四、员工应按照安全管理制度执行信息安全工作，增强信息安全意识，妥善保管自己的账号和密码。

第四章安全防范措施一、外部安全防范（一）物理安全：建立信息系统进出管理制度，采取门禁、巡逻、监控等措施；安装防盗报警设备；保护电力、通讯路线等。

（二）网络安全：采取防火墙、入侵检测、加密传输等技术手段；对外网址进行封堵；禁止员工安装未经授权的软件。

（三）应用安全：对系统和应用程序进行定期升级和修补；使用安全加固软件；规定开辟和测试规范，并对其进行审计。

二、内部安全防范（一）设备安全：规定使用设备安全制度；规定信息系统运行环境和物理安全规范；监控设备内部操作。

（二）数据安全：加密存储重要数据资料；完善备份计划；规定数据访问权限；监控数据修改和删除。

（三）应用安全：进行代码审计，避免漏洞；建立应用安全测试流程，确保代码的质量；建立应用安全问题处置流程，及时解决问题。

（四）员工安全：规定员工离职、变更部门等手续；对员工进行信息安全培训；规定员工对信息安全责任的承担。

商业银行数据安全管理规范一、引言数据安全是商业银行信息系统建设和运营中的重要组成部分，对于保障客户资金安全、维护商业银行声誉具有重要意义。

为了加强商业银行数据安全管理，制定本规范，明确数据安全管理的要求和措施。

二、数据分类与保密级别1. 商业银行数据按照机密程度分为三个级别：机密级、秘密级和一般级。

2. 机密级数据：包括客户隐私信息、商业银行内部决策信息等，需要严格保密。

3. 秘密级数据：包括商业银行的业务流程、技术方案等，需要较高级别的保密。

4. 一般级数据：包括公开信息、一般业务数据等，需要基本的保密措施。

三、数据安全管理要求1. 数据访问控制- 商业银行应建立完善的权限管理制度，确保用户仅能访问其职责范围内的数据。

- 数据库应实施访问控制策略，限制非授权人员对敏感数据的访问。

- 对于机密级数据，应采用加密技术进行存储和传输，确保数据的机密性和完整性。

2. 数据备份与恢复- 商业银行应定期进行数据备份，并将备份数据存储在安全可靠的地方。

- 定期测试数据恢复过程，确保数据备份的有效性。

- 对于重要数据，应采用冗余存储技术，提高数据的可用性和可靠性。

3. 数据传输安全- 商业银行应使用加密协议和安全通信通道，保护数据在传输过程中的安全性。

- 对于外部合作伙伴的数据传输，应建立安全的数据传输通道，并对传输的数据进行加密。

4. 数据存储安全- 商业银行应建立安全的数据存储区域，限制非授权人员的物理访问。

- 对于存储设备，应定期进行安全漏洞扫描和修复，确保存储设备的安全性。

- 对于废弃的存储设备，应进行安全擦除或物理销毁，防止数据泄露。

5. 数据安全审计与监控- 商业银行应建立数据安全审计制度，对数据访问、修改和传输进行监控和审计。

- 对于异常操作和安全事件，应及时报告和处理，防止数据泄露和损害。

6. 数据安全培训与意识- 商业银行应定期组织数据安全培训，提高员工对数据安全的认识和意识。

- 员工应签署保密协议，并接受数据安全管理规范的相关培训。

一、总则为保障商业银行信息系统安全稳定运行，维护客户合法权益，防范金融风险，根据《中华人民共和国网络安全法》、《中华人民共和国商业银行法》等相关法律法规，结合本行实际情况，制定本制度。

二、适用范围本制度适用于本行所有信息系统、网络设施、数据及用户。

三、组织架构（一）成立网络安全领导小组，负责全行网络安全工作的统筹规划、组织协调和监督管理。

（二）设立网络安全办公室，负责网络安全日常管理工作。

（三）各部门、分支机构应明确网络安全责任人，负责本部门、本分支机构网络安全工作。

四、网络安全管理制度（一）信息系统安全管理制度1. 严格执行信息系统安全等级保护制度，确保信息系统安全防护等级符合国家规定。

2. 定期对信息系统进行安全评估，发现安全隐患及时整改。

3. 加强信息系统访问控制，严格控制用户权限，确保信息系统访问安全。

4. 定期对信息系统进行安全漏洞扫描和修复，防止恶意攻击。

5. 采取加密措施，确保信息系统数据传输安全。

（二）网络安全管理制度1. 加强网络安全防护，确保网络设备安全稳定运行。

2. 定期对网络设备进行安全检查和维护，及时更新安全补丁。

3. 严格控制外部网络访问，防止非法入侵。

4. 加强网络设备安全管理，确保网络设备配置合理、安全。

（三）数据安全管理制度1. 建立数据安全管理制度，确保数据安全、完整、可靠。

2. 采取数据加密、脱敏等措施，保护客户隐私。

3. 定期对数据备份，确保数据恢复能力。

4. 加强数据访问控制，防止非法访问和篡改。

（四）用户安全管理制度1. 加强用户安全管理，确保用户身份真实、合法。

2. 严格执行用户密码策略，定期更换密码。

3. 对用户进行网络安全培训，提高用户安全意识。

4. 及时发现和处理用户异常行为，防范恶意攻击。

五、应急处理（一）制定网络安全应急预案，明确应急响应流程。

（二）定期组织应急演练，提高应急响应能力。

（三）发生网络安全事件时，立即启动应急预案，采取有效措施，防止事件扩大。