商业银行计算机信息系统安全管理工作规定

XX银行计算机网络管理办法第一章总则第一条为加强全行计算机网络的运行管理，保障整个网络系统安全稳定运行，规范我行系统和设备接入内网的行为，为我行员工提供良好的网络服务，根据《XX银行计算机信息系统安全管理办法》，制定本办法。

第二章网络管理原则及范围第二条管理原则。

网络管理实行“统一规划、统一建设、统一监控、统一维护”的原则。

1.统一规划，即总行与支行的主干网、总行局域网、支行局域网、总行与外联单位网络的拓扑结构、IP地址及所有网络节点设备方案，由总行科技部统一规划。

2.统一建设，即全行网络设备(含备份设备)的选型、配置、购置、安装、调试、投产及拓扑结构制定、通讯线路租用，由总行科技部统一实施。

3.统一监控，即由总行科技部对全行网络运行状况实施监控、技术管理；4.统一维护，即由总行科技部对全行网络运行实行统一管理和维护。

第三条管理范围。

1.人员管理。

总行科技部需设立两名网络管理人员，负责全1行网络管理的技术工作。

两名管理员具有相近的业务能力，互为A、B角，可以根据需要进行轮岗。

2.资源管理。

总行科技部对全行网络IP地址、通讯带宽进行规划、分配和管理。

3.设备管理。

网络设备包括：路由器、交换机、防火墙产品、HUB、DTU、Modem、NAC、协议转换器、光端机及其它连接在全行网上的通讯设备。

4.口令管理。

总行科技部网络管理人员对所有网络设备的登录口令和特权用户口令实行统一管理定期更换，各类口令不准重复，不准有规律性。

口令要严格保密，网络管理人员变动或发现口令泄密必须立即更换。

口令设置或更换后必须交由本部门负责人封存，以备应急。

5.配置管理。

总行科技部负责保存全行所有网络系统参数、设备配置档案，负责及时下载全行网络配置参数，并作为重要技术文档存档管理。

第三章网络运维管理第四条运维流程。

支行发现问题后由信息安全员进行初步故障排查，科技部给予电话指导，若无法解决则由科技部进行处理。

总行网络运维由科技部负责管理，排查原因并进行处理，若是运营商专线问题则通知运营商现场处理，若是设备问题则考虑更换备件，若是其他配套故障则由签约维保人员进行处理。

中国人民银行关于实施《银行计算机信息系统安全技术规范》的通知文章属性•【制定机关】中国人民银行•【公布日期】2001.02.02•【文号】银发[2001]21号•【施行日期】2001.02.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理,公共信息网络安全监察正文中国人民银行关于实施《银行计算机信息系统安全技术规范》的通知（银发[2001]21号2001年2月2日）中国人民银行各分行、营业管理部、省会(首府)城市中心支行，各政策性银行、国有独资商业银行、股份制商业银行、烟台住房储蓄银行：为进一步加强银行系统计算机安全管理，现公布实施《银行计算机信息系统安全技术规范》(以下简称《规范》)，请各单位认真组织落实。

现将实施《规范》有关事宜通知如下：一、《规范》原名《国家金融信息系统安全总体纲要》(征求意见稿)，经广泛征求意见，并在部分商业银行试点取得成功经验后修改完善，现更名为《银行计算机信息系统安全技术规范》。

二、《规范》针对金融信息系统提出基于时间要求的集防护、检测、反应为一体的动态安全模型(PDR)，系统描述了构建信息系统安全过程各环节的技术要求和技术细节，对于规范银行信息系统安全建设，提高银行计算机安全管理水平，建立和健全银行计算机安全管理体制具有重要的指导意义。

三、《规范》的实施范围为人民银行、国有独资商业银行、股份制商业银行、住房储蓄银行和城市商业银行。

四、鉴于《规范》内容较多，为便于各单位组织实施，我们已将《规范》正式文本交由电子工业出版社印制，并负责发行，现附一份。

《规范》的正式文本发至各银行县级机构。

请各单位组织好《规范》的征订工作。

五、本通知由人民银行各分行、营业管理部和省会(首府)城市中心支行转发辖内城市商业银行。

附：银行计算机信息系统安全技术规范(略)。

商业银行计算机信息系统安全管理制度第一章总则第一条为加强我行网络管理，明确岗位职责，规范操作流程，维护内外网正常运行，确保计算机信息系统安全，现根据《中华人民共和国计算机信息系统安全保护条例》、《商业银行信息科技风险管理指引》等有关规定，结合本行实际，特制定本制度。

第二条本制度适用于总行各部门、一级支行、二级支行。

第三条本制度的管理对象是商业银行股份有限公司外网（互联网），内网（业务网）接入及应用中发生的各项事件。

第四条计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第二章岗位与职责第五条总行科技信息部下设安全管理岗位、软件管理岗位、网络管理岗位、系统管理岗位、硬件管理岗位、库房档案管理岗位、运行值班岗位，实行A、B角搭配制，并定期进行培训。

第六条安全管理岗位全面负责计算机系统运行的安全管理工作，负责定期检查和抽查各运行环境的安全情况，责成责任人对不安全隐患进行整改，指导并监督系统运行各环节安全技术规范的制定与实施。

第七条软件管理岗位负责行内线上软件的管理及维护，组织并协助行内软件需求的建设和开发，遵从软件管理的各项制度要求，负责软件源代码的接收及验收，严格做好软件项目的立项登记和版本控制，并定期对软件源代码及相关资料进行整理、刻录、备份。

第八条网络管理岗位负责计算机网络通讯的建立，规划全行网络结构拓扑，配发各节点和用户的IP及端口，并按规定建立资料，做好登记。

根据有关管理制度对网络通讯系统进行管理和维护，定期对网络通讯系统进行检查、维护，确保物理及信息的双重安全。

第九条系统管理岗位负责我行各应用系统的管理及维护工作，根据各自的分工确保各应用系统的正常运作，按照各管理制度的要求对应用系统进行检查、维护。

指导前台业务人员正确操作计算机。

第十条硬件管理岗位负责全行主机、外设、辅助设备，低值易耗品的选型、下发及日常管理，负责各种设备在全行内的合理调配。

商业银行计算机终端安全管理办法第一章目的第一条为规范银行终端的使用和维护，保障系统及内部网络的安全稳定运行，并逐步实现终端系统的标准化管理，结合银行实际情况，特制定本管理办法。

第二章适用范围第二条本管理办法适用于银行总行各部门和所属各分支行的终端安全管理。

第三章职责定义第三条本办法涉及的角色包括：服务管理岗、IT资产管— 1 —第四章术语定义第四条本办法中的计算机终端一般可分为运维终端、业务终端、办公终端。

具体定义如下：（一）运维终端：用于生产系统维护操作的终端，包含操作终端、监控终端、批处理终端等；（二）业务终端：运行柜面终端系统等业务应用系统的桌面终端；（三）办公终端：银行员工日常使用的桌面终端。

第五章管理流程第一节终端安全管理原则第五条终端应该服务于银行的业务需要，任何桌面资源不能被滥用。

第六条终端的安全应用必须符合监管部门的要求和规定。

第七条终端系统的安全管理应该兼顾安全性、可操作性、易用性。

第八条确定访问权限控制，确保合法用户的服务，同时限制非授权用户的使用。

第二节终端设备使用第九条终端设备应该放置在合理位置，并保持清洁、整齐。

第十条运维终端和业务终端应该接入专用电源插座，并— 2 —尽可能通过UPS（不间断电源）接入。

第十一条禁止业务人员在桌面终端上放置与工作无关的数据。

第十二条终端设备禁止以任何形式保存与系统、应用、设备登录相关的帐号口令信息。

第十三条终端设备应远离强磁性物质，以保证桌面终端及用户数据安全。

第十四条终端设备接入内网应参照《网络安全管理办法》（JNYH-IT-IS-02）中的流程执行，严格控制桌面终端的接入，阻止可能的内外部侵入。

第十五条终端设备的维修须参照《设备管理办法》(JNYH-IT-IS-04)中的流程执行。

第三节终端软件管理第十六条终端的软件安装采用标准化安装和最小安装原则，只安装办公管理和业务处理必须的软件。

由科技部安装配置统一授权的操作系统和应用软件。

确因工作需要的个性化需求，必须经批准并备案后方可实施。

公安部、中国人民银行关于发布金融机构计算机信息系统安全保护工作暂行规定文章属性•【制定机关】公安部,中国人民银行•【公布日期】1998.08.31•【文号】公通字〔1998〕63号•【施行日期】1998.08.31•【效力等级】部门规章•【时效性】失效•【主题分类】公共信息网络安全监察正文金融机构计算机信息系统安全保护工作暂行规定（公安部、中国人民银行１９９８年８月３１日发布）第一章总则第一条为加强金融机构计算机信息系统安全保护工作，保障国家财产的安全，保证金融事业的顺利发展，根据《中华人民共和国中国人民银行法》《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规制定本暂行规定。

第二条金融机构计算机信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范和技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现科学化、规范化管理。

第三条金融机构计算机信息系统安全保护工作的基本任务是：预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动，预防、处理各种安全事故，提高金融机构计算机信息系统的整体安全水平，保障国家集体和个人财产的安全。

第四条金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。

金融机构的计算机信息系统安全保护领导小组、专职部门和专（兼）职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。

第五条金融机构应当建立同公安机关计算机管理监察部门的通报联系制度，及时通报有关计算机信息系统案件和事故情况，协助公安机关查处与本单位有关的案件和事故。

第六条公安机关计算机管理监察部门应当加强对金融机构计算机信息系统安全保护工作实施的指导和监督，及时查处金融机构计算机信息系统发生的案件和事故。

第二章安全防范设施第七条本暂行规定所称金融机构计算机信息系统安全防范设施包括计算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的技术防护设施。

商业银行信息安全管理办法商业银行信息安全管理办法第一章绪论一、为了保障商业银行信息系统及其信息安全，规范信息安全管理，提升信息安全保障能力，制定本办法。

二、本办法合用于商业银行信息系统及其信息安全管理。

其中，信息系统包括硬件设施、软件系统、数据资源及信息流程；信息安全包括机密性、完整性和可用性。

第二章基本原则一、依据法律法规，建立信息安全管理制度。

二、对信息安全事件及时响应，采取应急处置措施。

三、开展内部安全演练和测试，提升信息安全保障能力。

四、加强对员工信息安全意识和技能的培训。

第三章责任分工一、商业银行领导层负责信息安全工作的规划、指导、监督和检查。

二、信息安全管理部门负责信息安全管理的日常工作，制定安全策略、安全标准和安全管理流程，进行安全风险评估和漏洞扫描，提供安全加固方案和技术支持。

三、各部门应按照安全管理制度执行信息安全工作，并配合信息安全管理部门的工作。

四、员工应按照安全管理制度执行信息安全工作，增强信息安全意识，妥善保管自己的账号和密码。

第四章安全防范措施一、外部安全防范（一）物理安全：建立信息系统进出管理制度，采取门禁、巡逻、监控等措施；安装防盗报警设备；保护电力、通讯路线等。

（二）网络安全：采取防火墙、入侵检测、加密传输等技术手段；对外网址进行封堵；禁止员工安装未经授权的软件。

（三）应用安全：对系统和应用程序进行定期升级和修补；使用安全加固软件；规定开辟和测试规范，并对其进行审计。

二、内部安全防范（一）设备安全：规定使用设备安全制度；规定信息系统运行环境和物理安全规范；监控设备内部操作。

（二）数据安全：加密存储重要数据资料；完善备份计划；规定数据访问权限；监控数据修改和删除。

（三）应用安全：进行代码审计，避免漏洞；建立应用安全测试流程，确保代码的质量；建立应用安全问题处置流程，及时解决问题。

（四）员工安全：规定员工离职、变更部门等手续；对员工进行信息安全培训；规定员工对信息安全责任的承担。

商业银行数据安全管理规范一、引言数据安全是商业银行信息系统建设和运营中的重要组成部分，对于保障客户资金安全、维护商业银行声誉具有重要意义。

为了加强商业银行数据安全管理，制定本规范，明确数据安全管理的要求和措施。

二、数据分类与保密级别1. 商业银行数据按照机密程度分为三个级别：机密级、秘密级和一般级。

2. 机密级数据：包括客户隐私信息、商业银行内部决策信息等，需要严格保密。

3. 秘密级数据：包括商业银行的业务流程、技术方案等，需要较高级别的保密。

4. 一般级数据：包括公开信息、一般业务数据等，需要基本的保密措施。

三、数据安全管理要求1. 数据访问控制- 商业银行应建立完善的权限管理制度，确保用户仅能访问其职责范围内的数据。

- 数据库应实施访问控制策略，限制非授权人员对敏感数据的访问。

- 对于机密级数据，应采用加密技术进行存储和传输，确保数据的机密性和完整性。

2. 数据备份与恢复- 商业银行应定期进行数据备份，并将备份数据存储在安全可靠的地方。

- 定期测试数据恢复过程，确保数据备份的有效性。

- 对于重要数据，应采用冗余存储技术，提高数据的可用性和可靠性。

3. 数据传输安全- 商业银行应使用加密协议和安全通信通道，保护数据在传输过程中的安全性。

- 对于外部合作伙伴的数据传输，应建立安全的数据传输通道，并对传输的数据进行加密。

4. 数据存储安全- 商业银行应建立安全的数据存储区域，限制非授权人员的物理访问。

- 对于存储设备，应定期进行安全漏洞扫描和修复，确保存储设备的安全性。

- 对于废弃的存储设备，应进行安全擦除或物理销毁，防止数据泄露。

5. 数据安全审计与监控- 商业银行应建立数据安全审计制度，对数据访问、修改和传输进行监控和审计。

- 对于异常操作和安全事件，应及时报告和处理，防止数据泄露和损害。

6. 数据安全培训与意识- 商业银行应定期组织数据安全培训，提高员工对数据安全的认识和意识。

- 员工应签署保密协议，并接受数据安全管理规范的相关培训。

一、总则为保障商业银行信息系统安全稳定运行，维护客户合法权益，防范金融风险，根据《中华人民共和国网络安全法》、《中华人民共和国商业银行法》等相关法律法规，结合本行实际情况，制定本制度。

二、适用范围本制度适用于本行所有信息系统、网络设施、数据及用户。

三、组织架构（一）成立网络安全领导小组，负责全行网络安全工作的统筹规划、组织协调和监督管理。

（二）设立网络安全办公室，负责网络安全日常管理工作。

（三）各部门、分支机构应明确网络安全责任人，负责本部门、本分支机构网络安全工作。

四、网络安全管理制度（一）信息系统安全管理制度1. 严格执行信息系统安全等级保护制度，确保信息系统安全防护等级符合国家规定。

2. 定期对信息系统进行安全评估，发现安全隐患及时整改。

3. 加强信息系统访问控制，严格控制用户权限，确保信息系统访问安全。

4. 定期对信息系统进行安全漏洞扫描和修复，防止恶意攻击。

5. 采取加密措施，确保信息系统数据传输安全。

（二）网络安全管理制度1. 加强网络安全防护，确保网络设备安全稳定运行。

2. 定期对网络设备进行安全检查和维护，及时更新安全补丁。

3. 严格控制外部网络访问，防止非法入侵。

4. 加强网络设备安全管理，确保网络设备配置合理、安全。

（三）数据安全管理制度1. 建立数据安全管理制度，确保数据安全、完整、可靠。

2. 采取数据加密、脱敏等措施，保护客户隐私。

3. 定期对数据备份，确保数据恢复能力。

4. 加强数据访问控制，防止非法访问和篡改。

（四）用户安全管理制度1. 加强用户安全管理，确保用户身份真实、合法。

2. 严格执行用户密码策略，定期更换密码。

3. 对用户进行网络安全培训，提高用户安全意识。

4. 及时发现和处理用户异常行为，防范恶意攻击。

五、应急处理（一）制定网络安全应急预案，明确应急响应流程。

（二）定期组织应急演练，提高应急响应能力。

（三）发生网络安全事件时，立即启动应急预案，采取有效措施，防止事件扩大。

XX银行信息安全管理办法第一章总则第一条为加强XX银行（下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。

第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。

按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

日常员工信息安全行为准则参见《XX银行员工信息安全手册》。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。

中国人民银行关于进一步加强银行计算机网络安全管理的通知文章属性•【制定机关】中国人民银行•【公布日期】2001.07.31•【文号】银发〔2001〕246号•【施行日期】2001.07.31•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行关于进一步加强银行计算机网络安全管理的通知银发〔2001〕246号中国人民银行各分行、营业管理部、省会（首府）城市中心支行，各政策性银行、国有独资商业银行、股份制商界业银行：为进一步加强银行计算机网络安全管理，现就有关事项通知如下：一、银行计算机网络安全是现代银行稳定运行的技术基础。

各银行要进一步提高对银行计算机网络安全重要性的认识，加强网络安全建设，完善网络运行制度，强化运行安金管理和重要岗位人员培训。

二、建立银行计算机网络安全检查制度。

中国人民银行各分支行要根据当地实际情况，定期对辖内银行的计算机网络安全情况进行检查，对发现的安全隐患和安全问题要出具书面整改通知，限期整改。

三、近期开展一次全国银行系统计算机网络安全专项检查，由中国人民银行各分行、营业管理部、省会（首府）城市中心支行牵头，组成网络安全检查工作组，对辖内各银行的网络安全进行检查。

中国人民银行科技司负责在京银行总行的网络安全检查。

各银行要对本系统的网络安全开展自查，并配合网络安全检查工作组的工作，对网络安全的薄弱环节和安全隐患，要采取切实措施，认真整改。

安全检查和整改情况由中国人民银行各分支行负责汇总， 9月底前报告中国人民银行。

四、迸一步加强银行计算机信息系统安全管理，防范技术风险，要建立银行计算机安全重大事件报告制度。

凡严重威胁银行计算机信息系统安全的非法入侵、计算机病毒、失窃密、故意毁坏业务数据、主机故障、火灾、水灾、雷击等安全事件要即时报告中国人民银行当地分支行，影响范围广、损失严重的安全事件由中国人民银行当地分支行报告中国人民银行总行。

2001年7月31日。

商业银行数据安全管理规定第一章总则第一条为落实《中华人民共和国网络安全法》，加强数据安全管理，结合《银行业金融机构数据治理指引》（银保监发〔2018〕22号）、《银行集团信息安全管理策略》等内外部有关规定和本行实际情况，制定本规定。

第二条术语及定义（一）信息：关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意义。

（二）电子数据：信息的可再解释的电子形式化表示，以适用于通信、解释或处理，在本办法中简称为“数据”。

（三）个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

本规定中的自然人包含本行零售个人客户、机构客户中的个人主体、以及本行员工、关联企业涉及的员工等各类个人信息主体。

（四）数据所有者：本行采集、创建数据的单位和岗位，决定处理数据的目的和方式，对数据安全承担最终责任。

信息系统主办单位为信息系统数据的所有者。

（五）数据处理者：受数据所有者委托，进行数据采集、存储或处理活动的单位和岗位。

（六）数据使用者：利用数据开展经营管理、业务活动的单位和岗位。

（七）数据控制者：有能力决定数据处理目的、方式等的单位和岗位。

（八）数据主体：数据主体拥有对数据的最终权利。

个人信息主体为所标识的自然人，机构客户信息主体为所标识的政企机构，监管信息主体为发文监管机构，本行经营管理信息主体为对应的数据所有者。

（九）汇聚融合：大量数据集中进行一定的清洗、重组、关联分析后形成的新的数据。

（十）共享：数据控制者向其他控制者提供数据，且双方分别对数据拥有独立控制权的过程。

（十一）转让：将数据控制权由一个控制者向另一个控制者转移的过程。

（十二）公开披露：向社会或不特定群体发布信息的行为。

（十三）委托处理：将本行数据委托给合作机构（包含外包服务机构与外部合作机构）进行处理操作的行为。

（十四）明示同意：个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作（包括主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等），对其个人信息进行特定处理作出明确授权的行为。

银行计算机安全事件报告管理规定Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998银行计算机安全事件报告制度第一条为加强银行计算机安全管理，防范信息系统的技术风险，保障银行信息系统安全运行，根据《中华人民共和国计算机信息系统安全保护条例》，制定本制度。

关联法规：第二条本制度适用于人民银行、政策性银行、中资商业银行、在中华人民共和国境内的外资商业银行、城乡信用社。

第三条银行计算机安全事件的报告必须做到快速及时、客观真实，并实行归口管理、分别报告的原则。

第四条人民银行总行计算机安全主管部门，负责全国银行系统计算机安全事件的接报、汇总、通报和处置工作。

第五条人民银行当地分支机构计算机安全主管部门，负责辖区内银行系统计算机安全事件的报告、接报和处理工作。

第六条政策性银行、中资商业银行、外资商业银行、城乡信用社的计算机安全主管部门，负责本系统内计算机安全事件的报告、接报和处理工作。

第七条发生计算机犯罪案件的银行应当按照有关规定向人民银行当地监管行保卫部门报告，并同时抄报计算机安全主管部门。

第八条银行计算机安全事件具体包括：(一)信息系统软硬件故障；(二)网络通信系统故障；(三)供电系统故障；(四)系统感染计算机病毒；(五)数据处理中心遭水灾、火灾、雷击；(六)银行网络遭遇入侵或攻击；(七)信息系统敏感数据泄露；(八)信息系统数据失窃；(九)银行数据处理设备失窃。

第九条符合以下条件之一的计算机安全事件必须报告：(一)计算机信息系统中断或运行不正常超过4小时；(二)造成直接经济损失超过100万元；(三)严重威胁银行资金安全；(四)因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域。

第十条计算机安全事件报告包括以下内容：(一)计算机安全事件发生的时间、地点、单位、单位负责人和联系方式；(二)计算机安全事件的类别、涉及软硬件系统的情况和事件发生的过程；(三)计算机安全事件造成的后果和影响范围；(四)计算机安全事件发生的原因；(五)责任人或涉案人员；(六)计算机安全事件发生后采取的应急措施。

银行信息安全管理体系参考标准和规范一、银行业信息科技风险管理指引2006年9月，为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，银监会印发了银监发[2006]第63号文，即《银行业金融机构信息系统风险管理指引》。

2009年6月，为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国外资银行管理条例》及国家信息安全相关要求和有关法律法规，银监会印发了银监发[2009]第19号文，即《商业银行信息科技风险管理指引》，以替代旧的《银行业金融机构信息系统风险管理指引》。

新《指引》针对银行业信息科技风险特点，提出了“三道防线”的思路。

“三道防线”是按照目前普遍的一种安全模式进行的设计：第一道防线——事先监控，即银行信息科技部门的自我管理；第二道防线——事中管理，即风险管理部门如何督促科技部门进行管理，风险管理部门会提供一些管理工具、思路和框架；第三道防线——事后审计，审计部门独立于上述两个部门之外，对两部门执行情况进行评价。

因此三道防线其实是将信息科技管理、信息科技风险管理、信息科技风险审计统一纳入风险管控。

通过这样的思想，可以很好地解决银行重建设、轻管理、重开发、轻运维的不足。

二、等级保护1.等级保护概述信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。

国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。

信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。

开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。

农村商业银行计算机安全管理办法农村商业银行计算机安全管理办法75号（4月1日）第一章总则第一条为了加强计算机信息系统安全保护工作，确保江苏农村商业银行股份有限公司（以下简称本行）计算机信息系统安全、稳定、高效运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，结合自身实际制定本办法。

第二条本行计算机信息系统安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。

“预防为主”是计算机安全管理工作的基本方针。

第三条本行计算机信息系统安全工作实行统一领导和分级管理。

第四条总行计算机安全管理及检查工作领导小组负责组织、协调、监督和检查全行计算机安全管理工作，每半年召开一次信息科技安全方面的会议，审议科技部提交的信息科技安全管理及检查等情况的汇报。

各支行必须成立的计算机安全管理工作领导小组，负责本支行计算机安全管理工作，实行支行行长负责制。

第二章组织架构、人员及岗位管理第一节组织架构第五条计算机安全管理及检查工作领导小组1.总行计算机安全管理及检查工作领导小组组长：行长副组长：分管行长成员：风险管理、合规管理、稽核等部门相关人员、科技部全体人员2.支行计算机安全管理及检查工作领导小组组长：支行行长成员：会计主管、信息安全员、客户经理、内勤第六条科技部具体负责信息科技安全管理及检查工作，每半年一次完成所有分支机构全面检查，并向领导小组汇报；各支行每月一次对本机构进行自查，并形成书面报告送科技部。

第二节人员基本要求与安全教育第七条计算机安全管理人员应当遵纪守法、政治过硬、业务精通、恪尽职守。

违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。

1.本办法所称计算机安全人员，是指我行各部门专（兼）职计算机安全管理人员。

2.各部门、支行应配备专职（兼职）计算机安全管理员。

计算机安全人员的配备和变更情况，应报科技部备案。

第八条科技部应对全体人员进行下列计算机安全知识和技能的培训：1.计算机安全法律法规及行业规章制度的培训。

商业银行数据安全管理规范一、背景介绍随着信息技术的快速发展，商业银行的数据安全管理变得尤为重要。

数据安全管理规范是为了保护商业银行的数据资产，防止数据泄露、篡改、丢失等安全事件的发生，确保商业银行的信息系统和数据安全可靠，维护客户信息的机密性、完整性和可用性。

二、数据分类与等级商业银行的数据按照敏感程度和重要程度进行分类和等级划分。

根据业务需求和法律法规的要求，商业银行应将数据划分为公开数据、内部数据、机密数据和核心数据等级。

不同等级的数据应采取不同的安全措施和管理要求。

三、数据安全管理责任1. 商业银行应设立专门的数据安全管理部门，明确数据安全管理的组织架构和职责分工，确保数据安全管理的有效实施。

2. 数据安全管理部门应制定数据安全管理制度、规范和流程，并定期进行评估和更新，确保其与业务需求和技术发展的一致性。

3. 商业银行的领导层应确保数据安全管理工作的重要性和紧迫性，提供必要的资源和支持，推动数据安全管理制度的落实。

四、数据安全管理措施1. 访问控制：商业银行应建立完善的访问控制机制，包括身份认证、权限管理、访问审计等，确保只有授权人员能够访问和操作相应的数据。

2. 数据备份与恢复：商业银行应定期对数据进行备份，并建立完善的数据恢复机制，以应对数据丢失或灾难性事件的发生。

3. 加密技术：商业银行应对敏感数据进行加密，确保数据在传输和存储过程中的安全性。

4. 安全审计与监控：商业银行应建立安全审计和监控系统，对数据访问、操作和传输进行实时监控和记录，及时发现异常行为并采取相应的应对措施。

5. 安全培训与意识提升：商业银行应定期开展数据安全培训，提高员工对数据安全的认识和意识，增强其数据安全管理的能力。

五、数据安全事件应急响应商业银行应建立完善的数据安全事件应急响应机制，包括事件的报告、调查、处置和恢复等流程。

在发生数据安全事件时，商业银行应迅速采取措施，阻止事件扩大，尽快恢复数据和系统的正常运行，并及时向相关部门和客户通报。

商业银行信息安全管理规定The document was finally revised on 2021XX银行信息安全管理办法第一章总则第一条为加强XX银行（下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。

第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。

按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

日常员工信息安全行为准则参见《XX银行员工信息安全手册》。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。