银行电子信息安全管理制度

第一章总则
第一条为加强银行电子信息系统安全管理，保障银行电子信息系统安全稳定运行，防范各类安全风险，依据《中华人民共和国网络安全法》等相关法律法规，结合我行实际情况，制定本制度。

第二条本制度适用于我行所有电子信息系统及其相关设备、网络、数据、应用软
件等。

第三条银行电子信息系统安全管理工作遵循以下原则：
1. 预防为主、防治结合；
2. 安全责任到人、责任追究；
3. 技术保障、管理保障；
4. 依法合规、持续改进。

第二章安全管理职责
第四条银行电子信息系统安全管理实行分级管理，各级人员应按照职责分工，共
同做好电子信息系统安全管理工作。

第五条银行信息科技部门负责全行电子信息系统安全管理工作，主要职责包括：
1. 制定、修订电子信息系统安全管理制度；
2. 负责电子信息系统安全策略、安全配置和安全检测；
3. 组织开展电子信息系统安全培训；
4. 监督、检查电子信息系统安全运行情况；
5. 应急处置电子信息系统安全事件。

第六条银行业务部门负责所辖电子信息系统安全管理工作，主要职责包括：
1. 落实电子信息系统安全管理制度；
2. 配合信息科技部门开展电子信息系统安全检查；
3. 负责所辖电子信息系统安全事件处置；
4. 加强员工信息安全意识教育。

第七条银行员工应严格遵守电子信息系统安全管理制度，自觉履行安全职责，主要职责包括：
1. 保守银行秘密，不得泄露或非法使用银行信息；
2. 按规定使用电子信息系统，不得随意更改系统设置；
3. 及时报告发现的安全隐患和异常情况；
4. 接受电子信息系统安全培训，提高安全防范意识。

第三章安全管理制度
第八条电子信息系统安全策略管理
1. 银行信息科技部门应制定电子信息系统安全策略，包括访问控制、安全审计、安全漏洞管理等；
2. 各部门应按照安全策略要求，合理设置用户权限和操作权限；
3. 定期对电子信息系统安全策略进行审查和更新。

第九条电子信息系统安全检测与防护
1. 银行信息科技部门应定期对电子信息系统进行安全检测，包括漏洞扫描、入侵检测等；
2. 及时修复发现的安全漏洞，防止安全事件发生；
3. 对重要电子信息系统实施物理隔离，确保安全稳定运行。

第十条电子信息系统安全事件处置
1. 银行信息科技部门应制定电子信息系统安全事件应急预案，明确事件分类、报告流程、处置措施等；
2. 发生安全事件时，及时启动应急预案，开展应急响应和处置工作；
3. 对安全事件进行调查分析，总结经验教训，完善安全管理制度。

第四章奖励与处罚
第十一条对在电子信息系统安全管理工作中表现突出的单位和个人，给予表彰和奖励。

第十二条对违反电子信息系统安全管理制度，造成安全事件或严重后果的，依照相关法律法规和银行内部规定追究责任。

第五章附则
第十三条本制度由银行信息科技部门负责解释。

第十四条本制度自发布之日起施行。