银行信息科技信息安全管理制度

银行信息科技信息安全管理制度第一章总则

第一条为加强我行计算机信息系统的信息和安全管理，规范中心机房的各项操作，保证计算机系统正常、安全、稳定地运行，根据《中华人民共和国计算机系统安全保护条例》及国家有关法律、法规和政策，结合中心机房的实际情况，特制订此制度。

第二章信息安全人员职责

第二条信息安全人员要奉公守法，严格遵守银行的各种规章制度。

第三条认真履行各岗位工作职责，严格按照操作规范进行工作，确保各项工作的正常开展。在岗期间必须坚守工作岗位，不得善离职守，认真填写各系统要求的有关巡检记录。

第四条保证我行数据的机密性，严禁将业务软件、数据报表及技术资料提供或泄露给外部无关人员；保护客户资料的机密数据，严禁向外部无关人员泄露任何存款人或单位的资料。

第五条离岗前须做好各项工作及相关资料文档的顺利交接，未进行交接，不得离岗。

第三章信息安全管理

第六条由科技开发部经理、业务部门经理、系统管理员、网络管理员组成计算机网络安全管理小组，具体负责银行计算机系统信息的安全与管理。

第七条与业务系统有关的计算机软件、数据、手艺文档、口令等严格把握在一定规模内，未经信息科技部门司理与主管司理批准不得被无关人员使用或查看，更不能外借，保证我行机密的安全。第八条系统密钥应分开由双人保管，并登记详细的记实，说明系统称号及使用方法，保证所把握密钥的安全管理。

第九条业务主机的超级用户口令由主管经理掌握；主机各操作用户由系统管理员按规定分配并控制权限，确实因工作需要增加权限时，应做好登记，工作完成后应及时收回。

第十条开发机、综合业务主机、数据库、营业网点前置机及网络

1

系统等各级密钥口令必须进行严格管理，责任到人，层层负责，人人保密。

第十一条各系统口令必须定期进行一次更换，并作好详细记实。第十二条出产机、开发机及各业务系统前置机由各负责人员严格按照操作规程进行开关机，不得擅自删除和修改他人

文件，不得装载任何与业务无关的软件和设备，不得使用任何与业务无关的储备介质和数据，严禁交给无关人员进行操作。

第十三条计算机主机及附属网络设备须定期进行网络漏洞扫描，防范网络风险。

第十四条禁止将业务网络同任何外部通讯网直接相连；外部拨号访问应进行严格控制，并详细做好访问记录。

第十五条网络管理员须定期查看、备份网络日志，确保网络系统的安全运行。

第十六条我行的网络拓扑机构图、网络通信设备的配置参数、网络地址等资料须严格保密，归档专人保管；严禁向其它单位及无关人员泄露，一经发现严肃处理。

第十七条网络管理人员对所管理的网络设备制定监测计划，定期检查网络配置，定期测试备份设备和线路，利用相应网关技术统计网络流量，检测网络设备负载，按月生成统计报告，对潜在问题提出解决建议。

第四章信息系统安全等级

第十八条信息系统按照交易实效与业务影响，其安全等级分为三级，一级安全等级最高，二级次之，三级最底。

第十九条信息系统安全等级分别标准，按照国度信息系统等级保护保准结合我行信息系统应用实际情况分别等级。交易

类系统及交易渠道类系统为一级，交易系统辅佐类、数据类及监管报送类为二级，经营管理类及办公类为三级。

第五章信息系统数据安全管理

第二十条数据备份策略，信息系统数据备份分为系统变换备份、日终批量备份、数据清理前备份、枢纽业务日备份。

系统变换备份，信息系统每进行一次变换或升级改造，都要对系统

2

环境参数、应用程序及数据库表进行备份。

日终备份在每日营业结束，对当天的业务数据备份进行时点备份。数据清理前备份在信息系统数据清理前应做备份，永久保存。枢纽业务日备份在月末日、结息日、年终日、重大系统变换日等枢纽日做好业务数据备份，永久保存。为便于今后系统测试，做好枢纽日前一日批量后数据备份。

第二十一条数据备份管理超过一年（不含一年）的数据备份应每年指定专人在开发机检查。所有备份必须存放在指定位置，由专人负责保管。备份介质须有明显标签，表明备份内容、时间等信息，杜绝差错、混用等混乱现象。废弃的备份介质不得随意丢放，需经主管人员批准后统一销毁。备份介质应采用光盘介质，短期备份可采用硬盘备份。

第二十九条数据查询打印管理，不直接受理支行及客户电话查询、修改客户资料等业务；支行、总行各部室数据查询需经总行行长签字；公、检、法等执法构造数据查询必须符合群众银行下达的有关文件要求。对打印的数据、报表、帐页等要进行交接签字确认，方可交给业务部门使用。对作废的报表、数据，要及时销毁，杜绝泄露信息等变乱的发生。

第三十条数据清理，定期清理垃圾数据，数据的清理工作必须由两个以上的操作人员共同完成。数据清理前必须填写《数据清理记录单》，经主管人员批准后方可实施。数据清理前必须按有关规定做好备份。

第三十一条数据维护管理，应用软件一经建立，未经技术保障部主管人员或业务部门批准，不得擅自更改程序和档案。应用程序变更，必须经主管人员批准，并填写应用程序维护日志。涉及到业务系统数据的修改及维护，必须填写《数据维护审批表》，经主管行长、主管经理签字允许后才可操作。并作好详细的记录。

第六章病毒防治管理

第三十二条必须准备一种以上的杀毒软件，并定期对所使用的计算机进行查毒。挪动介质《如磁盘、光盘、磁带、U盘》上的数据必须进行病毒检测后，方可以使用。

3

第三十三条发现新的计算机病毒，应立即通报进行防范，防止病毒进一步扩散；应停止该软件的运行，将软件进行备份，然后使用相应杀毒软件进行清除。现有杀毒软件无效，应立即汇报有关主管并联系有关公司，以寻求技术援助。

第三十九条使用的杀毒软件应定期到经销商处进行病毒库的升级。应与软件供应商保持联系，以便及时得到技术服务。

第七章附则

第四十条本制度科技开发部负责解释，订正。

第四十一条本制度自公布之日起施行。