农村商业银行计算机安全管理办法

农村商业银行计算机安全管理办法

75号（4月1日）

第一章总则

第一条为了加强计算机信息系统安全保护工作，确保江苏农村商业银行股份有限公司（以下简称本行）计算机信息系统安全、稳定、高效运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，结合自身实际制定本办法。

第二条本行计算机信息系统安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。“预防为主”是计算机安全管理工作的基本方针。

第三条本行计算机信息系统安全工作实行统一领导和分级管理。

第四条总行计算机安全管理及检查工作领导小组负责组织、协调、监督和检查全行计算机安全管理工作，每半年召开一次信息科技安全方面的会议，审议科技部提交的信息科技安全管理及检查等情况的汇报。各支行必须成立的计算机安全管理工作领导小组，负责本支行计算机安全管理工作，实行支行行长负责制。

第二章组织架构、人员及岗位管理

第一节组织架构

第五条计算机安全管理及检查工作领导小组

1.总行计算机安全管理及检查工作领导小组

组长：行长

副组长：分管行长

成员：风险管理、合规管理、稽核等部门相关人员、科技部全体人员

2.支行计算机安全管理及检查工作领导小组

组长：支行行长

成员：会计主管、信息安全员、客户经理、内勤

第六条科技部具体负责信息科技安全管理及检查工作，每半年一次完成所有分支机构全面检查，并向领导小组汇报；各支行每月一次对本机构进行自查，并形成书面报告送科技部。

第二节人员基本要求与安全教育

第七条计算机安全管理人员应当遵纪守法、政治过硬、业务精通、恪尽职守。违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。

1.本办法所称计算机安全人员，是指我行各部门专（兼）职计算机安全管理人员。

2.各部门、支行应配备专职（兼职）计算机安全管理

员。计算机安全人员的配备和变更情况，应报科技部备案。

第八条科技部应对全体人员进行下列计算机安全知识和技能的培训：

1.计算机安全法律法规及行业规章制度的培训。

2.计算机安全基本知识的培训。

3.计算机安全专门技能的培训。

4.计算机安全所必须的其他培训。

第九条科技部还应定期对计算机安全人员进行政治思想教育、职业道德教育和安全保密教育。

第十条计算机安全教育由科技部制订计划并负责实施。

第三节计算机要害岗位人员安全管理

第十一条本办法所称计算机信息系统要害岗位人员（简称要害岗位人员），是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。

第十二条要害岗位人员上岗前必须经单位人事部门进行政治素质审查，科技部进行业务技能考核，合格者方可上岗。

第十三条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务；系统开发人员不得兼任系统管理员。

第十四条对要害岗位人员应实行年度强制休假制度和定期考查制度，并进行必要的安全教育和培训。

第十五条要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及基层业务保密信息的要害岗位人员调离单位时，必须进行离岗审计，在规定的脱密期后，方可调离。

第十六条要害岗位人员离岗后，必须即刻更换操作密码或注销用户。

第四节计算机要害岗位人员的安全责任

第十七条系统管理员安全责任

1.负责系统的运行管理，实施系统安全运行细则。

2.严格用户权限管理，维护系统安全正常运行。

3.认真记录系统安全事项，及时向计算机安全负责人员报告安全事件。

4.对进行系统操作的其他人员予以安全监督。

第十八条网络管理员安全责任

1.负责网络的运行管理，实施网络安全策略和安全运行细则。

2.安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行。

3.监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全负责人员报告安全事件。

4.对操作网络管理功能的其他人员进行安全监督。

第十九条系统开发员安全责任

1.系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。

2.系统投产运行前，应完整移交系统源代码和相关涉密资料。

3.不得对系统设置“后门”。

4.对系统核心技术保密。

第二十条系统维护员安全责任

1.负责系统维护，及时解除系统故障，确保系统正常运行。

2.不得擅自改变系统功能。

3.不得安装与系统无关的其他计算机程序。

4.维护过程中，发现安全漏洞应及时报告计算机安全负责人员。

第二十一条业务操作员安全责任

1.严格执行系统操作规程和运行安全管理制度。

2.不得向他人提供自己的操作密码。

3.及时向科技部门报告系统各种异常事件。

第三章软件的安全管理

第二十二条软件开发的安全管理

1.软件项目开发必须符合软件工程规范，并在开发的各阶段按照安全管理目标进行管理和实施。

2.软件开发过程中，应从技术上充分考虑软件的容错性、安全控制、抗攻击能力和安全保密设计。

3.软件的开发环境应当与生产环境隔离，软件设计方案、数据结构、数据加密方式、源代码等严禁流入应用环境，严禁散失和外泄。

4.软件开发完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档，并对其负有安全保密责任和义务。

5.软件开发采用的关键技术措施和安全功能设计不得进行公开学术交流或发表。

第二十三条软件测试的安全管理

1.软件的技术开发完成后，开发部门应会同相关部门完成综合测试方案和测试案例，并提出综合测试申请。

2.综合测试通过后，由相关部门共同组织软件的试运行。试