银行信息安全管理办法(试行)[2020年最新]

目录

总则 (2)

第一章组织保障 (2)

第一节信息安全管理人员 (3)

第二节网络管理员 (4)

第三节系统管理员 (4)

第四节一般计算机用户 (5)

第二章机房环境和设备资产管理 (6)

第一节机房安全管理 (6)

第二节柜面和核心业务处理环境安全管理 (7)

第三节设备资产管理 (7)

第三章网络安全管理 (8)

第一节网络规划、建设中的安全管理 (8)

第二节网络运行安全管理 (8)

第三节网间互联安全管理 (10)

第四节接入国际互联网管理 (10)

第四章计算机系统安全管理 (10)

第一节计算机系统开发与集成 (11)

第二节计算机系统运行 (11)

第三节业务操作 (12)

第四节计算机系统废止 (13)

第五章客户端安全管理 (13)

第六章信息安全保护 (14)

第一节使用管理 (14)

第七章文档、数据与密码应用安全管理 (14)

第一节技术文档 (14)

第二节存储介质 (15)

第三节数据安全 (15)

第四节口令密码 (16)

第五节密码技术应用管理 (16)

第八章信息通报、灾难备份与应急管理 (18)

第一节信息通报 (18)

第二节灾难备份管理 (18)

第三节应急管理 (19)

第九章安全监测、检查、评估与审计 (20)

第一节安全监测 (20)

第二节安全检查 (20)

第三节安全评估 (21)

第四节安全审计 (21)

第十章奖励与处罚 (22)

第十一章附则 (22)

银行信息安全管理办法（试行）

总则

为强化我行信息安全管理，防范计算机信息技术风险，保障（以

下简称我行）计算机网络与信息系统安全和稳定运行，根据《中华人

民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本办法。

第一条本规定所称信息安全管理，是指在我行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第二条我行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人

信息安全责任制。

第三条本规定适用于我行各部门、员工宿舍所有使用我行网络或

信息资源的个人均应遵守本办法。

第一章组织保障

第四条综合部下设信息安全保卫管理部，成立信息安全领导小组,全权负责协调本单位信息安全管理工作，决定本单位信息安全重大事宜。

组长:史亚萍

副组长：陆晓

成员：李佩阳、范亚星、赵启龙

第五条信息安全管理部实行A、B岗制度。下设信息安全员、网

络管理员和系统管理员。

第一节信息安全管理人员

第六条应选派政治思想过硬、具有较高计算机水平的人员从事

信息安全管理工作。凡是因违反国家法律法规和我行有关规定受到过

处罚或处分的人员，不得从事此项工作。

第七条信息安全管理人员应具有计算机管理经验，培训合格后

方可上岗。上岗后，每年至少参加一次信息安全专业培训。

第八条信息安全管理人员在如下职责范围内开展本单位信息安

全管理工作：

(一)组织落实我行信息安全管理规定，制定信息安全管理制度，

协调部门工作，监督检查信息安全保障工作。

(二)审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设，维护、管理信息安全专用设施。

(三)检测网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提

出整改意见。统计分析和协调处置信息安全事件。

(四)定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第九条信息安全管理人员在履行职责时，确因工作需要查询相

关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申请，获得批准后方可查询。

第十条信息安全管理人员实行备案管理制度。信息安全管理人

员的配备和变更情况应及时报行长办公室备案。信息安全管理人员调离原岗位时应办理交接手续，并履行其调离后的保密义务。

第二节网络管理员

第十一条应指派素质好、较熟悉计算机知识的人员担任网络管

理员。如有变更应做好交接工作，并及时通报。

第十二条网络管理员配合信息安全管理人员工作，并参加各项

信息安全技能培训。

第十三条网络管理员在如下职责范围内开展工作：

(一)负责我行计算机病毒防治工作，监督检查本部门客户端安全管理情况。

(二)负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。

(三)负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。

第三节系统管理员

第十四条系统管理员称技术支持人员，是指参与我行网终、计

算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包

服务人员。

第十五条我行内部技术支持人员在履行网络和信息系统建设和

日常运行维护职责过程中，应承担如下安全义务：

(一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问。

(二)主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。

(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。

(四)外部技术支持人员应严格履行外包服务合同（协议）的各

项安全承诺。提供技术服务期间，严格遵守我行相关安全规定与操作规程，关键操作应经授权，并有我行内部员工在场。不得拷贝或带走

任何配置参数信息或业务数据，不得对外泄露或引用任何工作信息。

第四节一般计算机用户

第十六条本规定所称一般计算机用户是指使用计算机设备的所

有人员。

第十七条一般计算机用户应承担如下安全义务：

(一)及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部门计算机安全员的指导与管理。

(二)不得安装与办公和业务处理无关的其他计算机软件和硬件，

不得修改系统和网络配置参数。