农村商业银行计算机安全管理办法Word下载.docx

1、1.本办法所称计算机安全人员，是指我行各部门专（兼）职计算机安全管理人员。2.各部门、支行应配备专职（兼职）计算机安全管理员。计算机安全人员的配备和变更情况，应报科技部备案。第八条 科技部应对全体人员进行下列计算机安全知识和技能的培训：1.计算机安全法律法规及行业规章制度的培训。2.计算机安全基本知识的培训。3.计算机安全专门技能的培训。4.计算机安全所必须的其他培训。第九条 科技部还应定期对计算机安全人员进行政治思想教育、职业道德教育和安全保密教育。第十条 计算机安全教育由科技部制订计划并负责实施。第三节 计算机要害岗位人员安全管理第十一条 本办法所称计算机信息系统要害岗位人员（简称要害岗位

2、人员），是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。第十二条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查，科技部进行业务技能考核，合格者方可上岗。第十三条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务；系统开发人员不得兼任系统管理员。第十四条 对要害岗位人员应实行年度强制休假制度和定期考查制度，并进行必要的安全教育和培训。第十五条 要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及基层业务保密信息的要害岗位人员调离单位时

3、，必须进行离岗审计，在规定的脱密期后，方可调离。第十六条 要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第四节 计算机要害岗位人员的安全责任第十七条 系统管理员安全责任 1.负责系统的运行管理，实施系统安全运行细则。2.严格用户权限管理，维护系统安全正常运行。3.认真记录系统安全事项，及时向计算机安全负责人员报告安全事件。4.对进行系统操作的其他人员予以安全监督。第十八条 网络管理员安全责任 1.负责网络的运行管理，实施网络安全策略和安全运行细则。2.安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行。3.监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机

4、安全负责人员报告安全事件。4.对操作网络管理功能的其他人员进行安全监督。第十九条 系统开发员安全责任 1.系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。2.系统投产运行前，应完整移交系统源代码和相关涉密资料。3.不得对系统设置“后门”。4.对系统核心技术保密。第二十条 系统维护员安全责任 1.负责系统维护，及时解除系统故障，确保系统正常运行。2.不得擅自改变系统功能。3.不得安装与系统无关的其他计算机程序。4.维护过程中，发现安全漏洞应及时报告计算机安全负责人员。第二十一条 业务操作员安全责任 1.严格执行系统操作规程和运行安全管理制度。2.不得向他人提供自己的操作密码。

5、3.及时向科技部门报告系统各种异常事件。第三章 软件的安全管理第二十二条 软件开发的安全管理 1.软件项目开发必须符合软件工程规范，并在开发的各阶段 按照安全管理目标进行管理和实施。2.软件开发过程中，应从技术上充分考虑软件的容错性、安全控制、抗攻击能力和安全保密设计。3.软件的开发环境应当与生产环境隔离，软件设计方案、数据结构、数据加密方式、源代码等严禁流入应用环境，严禁散失和外泄。4.软件开发完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档，并对其负有安全保密责任和义务。5.软件开发采用的关键技术措施和安全功能设计不得进行公开学术交流或发表。第二十三条 软件测试的安

6、全管理 1.软件的技术开发完成后，开发部门应会同相关部门完成综合测试方案和测试案例，并提出综合测试申请。2.综合测试通过后，由相关部门共同组织软件的试运行。试运行稳定后，由试运行部门出具试运行报告。第二十四条 软件的安全管理 1.所有软件，应根据其功能划定使用范围和使用权限，建立软件复制及领用登记簿，建立健全相应的监督管理制度。2.引进、推广的软件要做好版本的管理和媒体的安全备份工作。3.转让的软件要明晰转让各方的版权、升级、维护、服务等责权利的关系。4.凡是业务部门引进、推广、转让、升级的各种软件媒体均须事前在科技部门登记备案，以便于管理及维护。第四章 设备的安全管理第二十五条 设备安全管理

7、是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。第二十六条 设备安装时，应由相关技术人员制定详细可行的操作步骤，其中关键设备的安装必须请供货厂商（代理商）技术人员现场支持。第二十七条 设备在投入正式使用前，应依据供货厂商提供的项目和相关指标，由相关技术人员进行严格的测试，写出测试报告，经批准后使用。第二十八条 设备升档要经过充分的技术论证和审批，并由运行相关岗位人员制定详细可行的实施方案，升档过程中应保证现有生产系统的正常运行。第二十九条 主机和网络通信关键设备必须有备份，并处于实时备用状态。第三十条 各级运行机构应做好设备日常运行维护工作：1.做好设备的日常监测、检查

8、、记录，及时掌握设备的运行状况。2.设备发生故障时应及时维修，必要时，通知设备维保商的技术人员到场解决。3.制定设备维护计划，对维护的项目、步骤、周期、责任人等作出明确规定，并严格按照设备维护计划定期进行设备的保养和维护，做好设备维护记录。4.建立设备档案，详细记录设备的基本情况（包括升级、更新情况等）、故障现象、故障分析、维修过程、处理结果等内容。第五章 系统的安全管理第三十一条 系统规划和立项的安全管理 1.系统规划与立项要充分考虑系统的安全需求。2.系统建设要充分考虑系统的安全功能的实现。3.计算机安全管理部门应对重要系统的立项进行安全性专项审查。第三十二条 系统选用的操作系统、数据库管

9、理系统、中间件等必须具备与系统相适应的安全性。第三十三条 系统投入运行前，必须进行系统的安全评估与审批；对已投入运行的系统需跟踪进行安全评估并根据评估结果不断改进和提高系统安全性。第三十四条 系统运行安全管理 1.严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。2.备份系统与生产系统的系统构成与配置应保持一致，以保证生产系统出现故障时能顺利切换。3.严禁擅自修改系统参数，确需修改应严格履行审批手续，由运行相关岗位人员实施，实施时应有监督，修改后的参数应记录备案。4.严禁擅自对业务数据库的数据进行修改或恢复操作，确需操作时应严格履行审批手续，由运行相关岗位人员实施，并由有

10、关人员监督执行。5.对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大操作，由科技部门从安全角度出发与业务部门密切配合，共同制定详细的计划和方案。第三十五条 各级运行机构应做好系统的日常安全运行维护工作 1、.建立健全系统运行日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。2.定期对系统进行数据备份，并对备份媒体按有关规定指定专人妥善保管，重要业务系统的备份媒体必须异地保存。3.重要业务系统应由业务部门制定计算机安全保护的应急计划，保证业务的不间断运行，对涉密的应用系统，应严格执行保密管理的有关规定。第三十六条 系统运行中必须做好系统的安全监测工作。第三十七条 严格

11、执行系统废止和销毁的有关安全管理规定。第六章 机房的安全管理第一节 机房建设安全管理 第三十八条 机房建设和改造安全方案应通过上级保卫部门的安全审批。第三十九条 机房安全建设应通过上级保卫部门组织的安全验收。第四十条 机房应按重要性进行分级管理，分级标准按有关规定执行。第四十一条 机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离。第四十二条 机房建设应当符合下列基本安全要求：1.机房周围100米内不得存在危险建筑物，如加油站、煤气站等。2.机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。3.机房应安装门禁系统、防雷系统、监控系统、消防系统、报警系统，并与当

12、地公安机关110联网。4.机房应设专用的供电系统，配备必要的UPS和发电机。第二节 机房运行安全管理第四十三条 机房是重点保护的要害部位，机房主管部门应依照安全第一的原则，建立、健全严格的机房安全管理制度，并定期检查制度执行情况。第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控，生产区实行工作时间连续监控，辅助区实施联动监控。第四十五条 监控设备的安装应符合安全保密原则，确保监控的安全规范运作，防止监控信息的泄密。第四十六条 加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准，外来人员进出机房还须办理登记手续，并由专人陪同。第

13、四十七条 发生机房重大事故或案件，机房主管部门应立即向有关单位报告，并保护现场。第七章 网络安全管理第一节 网络建设安全管理第四十八条 网络建设方案应通过上级计算机安全主管部门的安全审批。第四十九条 网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。第五十条 网络建设应配备必要的安全专用产品。第五十一条 网络建设中涉及网络安全的资料，应备案建档，统一管理。第五十二条 网络建设应符合下列基本安全要求：1.网络规划应有完整的安全策略。2.能够保证网络传输信道的安全，信息在传输过程中不会被非法获取。3.应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。4.应具备必要的网络监测

14、、跟踪和审计的功能。5.应根据需要对网络采取必要的技术隔离措施。6.能有效防止计算机病毒对网络系统的侵扰和破坏。7.应具有应付突发情况的应急措施。第二节 网络运行安全管理第五十三条 重要网络设备应放置在主机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第五十四条 网管设备属专管设备，必须严格控制其管理员密码。第五十五条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第五十六条 改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。第五十七条 与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必

15、须采用一人一账户的访问制。第五十八条 网络管理人员应随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告计算机安全人员。第五十九条 有权单位使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。第六十条 网络扫描、监测结果和网络运行日志等重要信息应备份存储。第六十一条 联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。第六十二条 严禁超越网络管理权限，非法操作业务数据信息，不得擅自设置路由与非相关网络进行连接。第三节 接入国际互联网管理第六十三条 使用国际互联网的安全管理规定 1.内联网上的所有计算机设备，不得直接或间接地接入国际互联网，

16、必须实现与国际互联网的物理隔离。2.存有涉密金融数据信息的计算机不得接入国际互联网，存有涉密金融数据信息的媒体不得在接入国际互联网的计算机上使用。3.从国际互联网上下载的任何信息资源，未经检测并得到许可，不得在本系统内联网上使用。4.接入国际互联网的计算机须安装防病毒系统，并定期升级。5.本行所属的国际互联网账号不得在本行之外的其它场所使用。6.国际互联网接入账户和密码必须实行专人管理，并不定期更换密码。7.确有需要接入国际互联网的部门必须提出书面申请，送科技部初审，经分管领导批准，并报安全管理部门审批、备案。第六十四条 各使用部门应自觉接受本行计算机安全检查及管理工作领导小组的监督检查。第八

17、章 用户标识（）、密码与密钥的安全管理第六十五条 用户标识（）和密码的管理 1.用户ID与密码是计算机系统验证用户合法性的唯一标识，坚持一人一户一码的原则。2.用户的增加、注销与调整 （1）增加用户：初次入网或增加用户注册由业务部门提出书面申请，提供注册人员姓名、职务、事由，加盖公章，根据有关规定给予注册。（2）调整和注销用户：如出现业务人员调动，该人员原所在业务部门须提出申请，方可调整或注销用户。3.密码的编制应具有一定的复杂性，应定期或不定期更换密码，对记录密码的载体应严格管理，确保其物理安全；用户自设密码时应注意要有一定的强度，密码长度不得小于6个字符，不得用姓名、电话号码、生日等其它易

18、猜的信息作为密码。4.密码坚持自设自用或集中产生、高度保密的原则；用户对本人授权及密码下的操作行为及结果负全权责任；计算机信息系统各要害岗位人员的密码，必须严格管理，独享使用，不得泄露。第六十六条 密钥管理 1.使用密钥保障信息安全时，对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）应实施严格的安全保密管理。2.密钥作为绝密数据必须通过机要渠道传递或采用加密通信方式网内分配。3.密钥必须定期更换，对已泄漏或怀疑泄漏的密钥必须及时废除；旧密钥必须安全归档，并在安全管理负责人的严格监督下，由管理责任人定期销毁。第六十七条 ID文件、密码和密钥要指定专人管理，一旦丢失，要及时报

19、告。第九章 数据信息的安全管理第一节 数据信息的管理第六十八条 必须加强数据信息处理全过程的安全管理，保证数据信息的保密性、完整性、可用性、可控性。数据信息的安全管理应做到：1.严把数据信息采集关，确保其真实性、可靠性、合法性。2.据实录入数据信息，严禁凭空输入，对数据信息的修改，必须得到有关部门的批准，并记录备案。3.必须采用必要的技术措施保证数据信息传输过程的安全，应使用加密技术对涉密或重要的数据信息实施加密处理。4.使用部门应按规定进行数据备份，并检查备份媒体的有效性。5.在设备维修、报废过程中，要确保其中的数据信息的保密性、完整性。第六十九条 涉密媒体包括记录档案资料、软件、数据等的各

20、种载体。保证涉密媒体信息的安全应做到：1.各种媒体的收集、保管、使用须按科技档案管理办法执行。2.严格分级管理，在媒体使用上，根据媒体的密与非密级别，要做到分级使用、定人操作，保留在现场的媒体数量应是系统有效运行所需要的最小数量。3.涉密数据在系统进行下载存贮过程中必须采取相应的加密技术措施。4.涉密媒体的传递与外借应有审批手续和传递记录，涉密媒体传递过程中，要采取必要的防复制及加密等安全措施。5.涉密媒体必须按照有关保密管理规定进行管理，严格录入、查询、复制、传递、保管、归档、销毁等各环节的手续；同一媒体上不得混录密和非密信息，如果必须同时录用不同密级的信息，应按存储信息的最高密级进行管理并

21、标明密级。6.媒体要根据需要与存储环境定期进行循环复制备份，并进行登记；全部涉密媒体信息的转交、挪动和销毁，保密管理人员和库管理人员均须在场。7.废弃媒体，业务部门应详细登记，妥善保管，每年底报请分管领导批准后，集中统一在保密管理人员监督下予以不可恢复性销毁。第二节 数据备份与恢复第七十条 系统的使用部门负责业务数据的备份与恢复，科技部门负责系统级方面的备份与恢复，特别是系统的灾难性备份与恢复。第七十一条 数据备份 1.要确认备份操作步骤准确无误后进行备份操作。2.各业务部门应将计算机信息数据备份媒体视同重要空白凭证，指定专人负责备份数据媒体的签收和入库管理。3.备份数据媒体应按要求写明标识，

22、交科技档案管理员异地存放，要确保存放地的安全，并定期进行检查，确保数据的完整性、可用性。4.涉密信息媒体的备份媒体（磁带、磁盘、光盘、纸媒体等）应有密级及保密期限标志，统一编号，各单位保密机构负责涉密信息媒体的界定和销毁。5.建立备份媒体的销毁审批登记制度，并采取安全销毁措施。第七十二条 数据恢复必须坚持审批登记制。需要恢复数据时，报批准后方可进行；恢复数据必须坚持双人制，一人操作，一人监督，并详细登记；恢复过程中若有异常情况，应及时与有关技术人员联系，不得任意处理。第十章 计算机病毒防范的安全管理第七十三条 加强计算机病毒防范的安全管理 1.不得制作、传播计算机病毒。2.必须指定专人定期用防

23、病毒软件查杀本单位计算机信息系统，并做检测、清除的记录；必须按有关操作规定定期更新防病毒产品版本。3.从计算机信息网络上下载程序、数据或购置、维修、借入计算机设备时，应当进行计算机病毒检测。4.必须采用有公安部“销售许可”标志和省联社选型范围内的防病毒产品，对本单位的病毒防治产品或系统必须有专人管理，并由科技档案管理人员妥善保存产品媒体及其备份。5.对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故要及时向本单位计算机安全管理部门报告。第十一章 应急处理的安全管理第七十四条 应急处理原则 1.加强计算机安全防范意识，建立应急处理组织体系，以指挥协调各职能部门迅速进入应急处理程

24、序。2.优化配置应急处理人力、物力资源，集中使用，统一调度。3.制定重要计算机信息系统应急处理方案，明确岗位职责、人员分工以及应急处理程序。4.业务部门制定业务应急处理方案，科技部门制定技术应急处理方案。5.加强应急处理技能的培训和应急处理方案的演练，提高各岗位人员判断、处理问题的能力，验证应急处理程序的有效性。第七十五条 应急处理组织体系 1.各级机构应成立计算机信息系统应急处理小组，应急处理小组应由业务部门负责人、科技部门负责人及有关业务和技术人员组成。2.应制定事件应急反应联系机制，将有关人员的联系电话、手机等登记备查，将系统的集成商、开发商的二十四小时联系电话、售后服务措施等登记备案。

25、3.对系统的各种软件、资料、工具、备份数据等必须专人保管，做到一旦事件发生，能够马上启用。第七十六条 当遇到危及计算机信息系统的正常运行，影响计算机功能正常发挥的下列事件时，必须立即报告处置：1.非法侵入计算机系统访问的。2.故意进行系统的配置调整、参数修改、干预操作系统的正常运行，影响业务工作的。3.故意泄露系统资源、密码及代码的。4.侵入计算机系统获取银行和客户信息，劫取他人资金的。5.故意损坏计算机硬件及数据信息存储媒体的。6.将计算机系统程序和应用程序及其数据信息拷出泄露、删除、修改、转让、传播的。7.使用病毒软件侵害系统的。8.严重违反金融科技工作基本管理制度，违章操作，造成严重后果

26、发生经济案件的。9.违反安全保密守则，造成软件泄密、流失以及网络系统被入侵造成损失的。10.其他非人为因素造成计算机信息系统不能正常运行的。第七十七条 计算机系统发生紧急情况应按应急处置管理规定及时处理，尽力避免发生重大安全事件，严格执行重大安全事件报告制度，妥善处理重大安全事件。第七十八条 由计算机安全部门负责确定事故分类，制定实施事故的调查处理流程。第十二章 技术资料的安全管理第七十九条 技术资料指与信息系统有关的技术文件、图表、程序与数据，包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。第八十条 网络参数配置文档、重要计算机信

27、息系统详细开发资料及其源程序等核心技术文档，由科技部门严格管理。第八十一条 系统核心技术文档资料的借用应有审批手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体内容。第八十二条 重要技术资料应有副本并异地存放。第八十三条 技术资料应实施密期管理办法。第八十四条 报废的技术资料应有严格的销毁和监销制度。第十三章 计算机安全运行登记制度第八十五条 必须建立健全计算机安全运行登记制度 1.计算机安全管理、计算机网络运行、系统维护、科技文档资料管理等方面必须履行登记制度。2.各类登记必须指定专人负责。3.必须使用专用的、具有一定格式的纸质登记簿。第八十六条 登记簿格式应具有以下基本要素：名称、

28、页码、序号、登记内容、登记人、登记时间等。第八十七条 根据本章所规定的登记事项，一般应有以下各项登记簿（制定可参考括号中内容）：1.软件、文档资料登记簿（系统类、应用类、媒体类别、涉密否、传递情况、外借情况等）。2.系统和网络运行登记簿（运行情况、维护情况、日志查看情况、故障及其处理情况等）。3.重要系统的媒体（包括备份媒体）销毁和审批登记簿（系统类别、备份媒体、销毁原因、审批情况等）。4.用户ID、密码（口令）和密钥的密封件登记簿（用户 ID、密码事项、密钥事项，存放地点，管理人员等）。5.重要系统应急处理登记簿（计算机信息系统的系统管理人员、开发人员、维护人员及其他支持人员信息，系统软、硬资源信息，事件发生及解决情况等）。6.病毒防护和查杀登记簿（系统类别、统一机器编号、查杀情况等）。7.安全检查登记簿（检查时间、内容、主要问题、整改情况、检查材料、总结材料等）。8.机房安全检查登记簿（水、电、空调、接地、防雷、湿度、温度、设备工作情况等）。9.机房出入人员登记簿（出入原因、出入人员