銀行信息科技信息安全管理制度

#銀行信息科技信息安全管理制度第一章總則第一條為加強我行計算機信息系統(tǒng)的信息和安全管理，規(guī)范中心機房的各項操作，保證計算機系統(tǒng)正常、安全、穩(wěn)定地運行，根據(jù)《中華人民共和國計算機系統(tǒng)安全保護條例》及國家有關(guān)法律、法規(guī)和政策，結(jié)合中心機房的實際情況，特制訂此制度。第二章信息安全人員職責第二條信息安全人員要奉公守法，嚴格遵守銀行的各種規(guī)章制度。第三條認真履行各崗位工作職責，嚴格按照操作規(guī)范進行工作，確保各項工作的正常開展。在崗期間必須堅守工作崗位，不得善離職守，認真填寫各系統(tǒng)要求的有關(guān)巡檢記錄。第四條保證我行數(shù)據(jù)的機密性，嚴禁將業(yè)務(wù)軟件、數(shù)據(jù)報表及技術(shù)資料提供或泄露給外部無關(guān)人員；保護客戶資料的機密數(shù)據(jù)，嚴禁向外部無關(guān)人員泄露任何存款人或單位的資料。第五條離崗前須做好各項工作及相關(guān)資料文檔的順利交接，未進行交接，不得離崗。第三章信息安全管理第六條由科技開發(fā)部經(jīng)理、業(yè)務(wù)部門經(jīng)理、系統(tǒng)管理員、網(wǎng)絡(luò)管理員組成計算機網(wǎng)絡(luò)安全管理小組，具體負責銀行計算機系統(tǒng)信息的安全與管理。第七條與業(yè)務(wù)系統(tǒng)有關(guān)的計算機軟件、數(shù)據(jù)、技術(shù)文檔、口令等嚴格控制在一定范圍內(nèi)，未經(jīng)信息科技部門經(jīng)理與主管經(jīng)理批準不得被無關(guān)人員使用或查看，更不能外借，保證我行機密的安全。第八條系統(tǒng)密鑰應(yīng)分開由雙人保管，并登記詳細的記錄，說明系統(tǒng)名稱及使用方法，保證所掌握密鑰的安全管理。第九條業(yè)務(wù)主機的超級用戶口令由主管經(jīng)理掌握；主機各操作用戶由系統(tǒng)管理員按規(guī)定分配并控制權(quán)限，確實因工作需要增加權(quán)限時，應(yīng)做好登記，工作完成后應(yīng)及時收回。第十條開發(fā)機、綜合業(yè)務(wù)主機、數(shù)據(jù)庫、營業(yè)網(wǎng)點前置機及網(wǎng)絡(luò)系統(tǒng)等各級密鑰口令必須進行嚴格管理，責任到人，層層負責，人人保密。第十一條各系統(tǒng)口令必須定期進行一次更換，并作好詳細記錄。第十二條生產(chǎn)機、開發(fā)機及各業(yè)務(wù)系統(tǒng)前置機由各負責人員嚴格按照操作規(guī)程進行開關(guān)機，不得擅自刪除和修改他人文件，不得裝載任何與業(yè)務(wù)無關(guān)的軟件和設(shè)備，不得使用任何與業(yè)務(wù)無關(guān)的存儲介質(zhì)和數(shù)據(jù)，嚴禁交給無關(guān)人員進行操作。第十三條計算機主機及附屬網(wǎng)絡(luò)設(shè)備須定期進行網(wǎng)絡(luò)漏洞掃描，防范網(wǎng)絡(luò)風險。第十四條禁止將業(yè)務(wù)網(wǎng)絡(luò)同任何外部通訊網(wǎng)直接相連；外部撥號訪問應(yīng)進行嚴格控制，并詳細做好訪問記錄。第十五條網(wǎng)絡(luò)管理員須定期查看、備份網(wǎng)絡(luò)日志，確保網(wǎng)絡(luò)系統(tǒng)的安全運行。第十六條我行的網(wǎng)絡(luò)拓撲機構(gòu)圖、網(wǎng)絡(luò)通信設(shè)備的配置參數(shù)、網(wǎng)絡(luò)地址等資料須嚴格保密，歸檔專人保管；嚴禁向其它單位及無關(guān)人員泄露，一經(jīng)發(fā)現(xiàn)嚴肅處理。第十七條網(wǎng)絡(luò)管理人員對所管理的網(wǎng)絡(luò)設(shè)備制定監(jiān)測計劃，定期檢查網(wǎng)絡(luò)配置，定期測試備份設(shè)備和線路，利用相應(yīng)網(wǎng)關(guān)技術(shù)統(tǒng)計網(wǎng)絡(luò)流量，檢測網(wǎng)絡(luò)設(shè)備負載，按月生成統(tǒng)計報告，對潛在問題提出解決建議。第四章信息系統(tǒng)安全等級第十八條信息系統(tǒng)按照交易實效與業(yè)務(wù)影響，其安全等級分為三級，一級安全等級最高，二級次之，三級最底。第十九條信息系統(tǒng)安全等級劃分標準，按照國家信息系統(tǒng)等級保護保準結(jié)合我行信息系統(tǒng)應(yīng)用實際情況劃分等級。交易類系統(tǒng)及交易渠道類系統(tǒng)為一級，交易系統(tǒng)輔助類、數(shù)據(jù)類及監(jiān)管報送類為二級，經(jīng)營管理類及辦公類為三級。第五章信息系統(tǒng)數(shù)據(jù)安全管理第二十條數(shù)據(jù)備份策略，信息系統(tǒng)數(shù)據(jù)備份分為系統(tǒng)變更備份、日終批量備份、數(shù)據(jù)清理前備份、關(guān)鍵業(yè)務(wù)日備份。系統(tǒng)變更備份，信息系統(tǒng)每進行一次變更或升級改造，都要對系統(tǒng)環(huán)境參數(shù)、應(yīng)用程序及數(shù)據(jù)庫表進行備份。日終備份在每日營業(yè)終了，對當天的業(yè)務(wù)數(shù)據(jù)備份進行時點備份。數(shù)據(jù)清理前備份在信息系統(tǒng)數(shù)據(jù)清理前應(yīng)做備份，永久保存。關(guān)鍵業(yè)務(wù)日備份在月末日、結(jié)息日、年終日、重大系統(tǒng)變更日等關(guān)鍵日做好業(yè)務(wù)數(shù)據(jù)備份，永久保存。為便于今后系統(tǒng)測試，做好關(guān)鍵日前一日批量后數(shù)據(jù)備份。第二十一條數(shù)據(jù)備份管理超過一年（不含一年）的數(shù)據(jù)備份應(yīng)每年指定專人在開發(fā)機檢查。所有備份必須存放在指定位置，由專人負責保管。備份介質(zhì)須有明顯標簽，表明備份內(nèi)容、時間等信息，杜絕差錯、混用等混亂現(xiàn)象。廢棄的備份介質(zhì)不得隨意丟放，需經(jīng)主管人員批準后統(tǒng)一銷毀。備份介質(zhì)應(yīng)采用光盤介質(zhì)，短期備份可采用硬盤備份。第二十九條數(shù)據(jù)查詢打印管理，不直接受理支行及客戶電話查詢、修改客戶資料等業(yè)務(wù)；支行、總行各部室數(shù)據(jù)查詢需經(jīng)總行行長簽字；公、檢、法等執(zhí)法機關(guān)數(shù)據(jù)查詢必須符合人民銀行下達的有關(guān)文件要求。對打印的數(shù)據(jù)、報表、帳頁等要進行交接簽字確認，方可交給業(yè)務(wù)部門使用。對作廢的報表、數(shù)據(jù)，要及時銷毀，杜絕泄露信息等事故的發(fā)生。第三十條數(shù)據(jù)清理，定期清理垃圾數(shù)據(jù)，數(shù)據(jù)的清理工作必須由兩個以上的操作人員共同完成。數(shù)據(jù)清理前必須填寫《數(shù)據(jù)清理記錄單》，經(jīng)主管人員批準后方可實施。數(shù)據(jù)清理前必須按有關(guān)規(guī)定做好備份。第三十一條數(shù)據(jù)維護管理，應(yīng)用軟件一經(jīng)建立，未經(jīng)技術(shù)保障部主管人員或業(yè)務(wù)部門批準，不得擅自更改程序和檔案。應(yīng)用程序變更，必須經(jīng)主管人員批準，并填寫應(yīng)用程序維護日志。涉及到業(yè)務(wù)系統(tǒng)數(shù)據(jù)的修改及維護，必須填寫《數(shù)據(jù)維護審批表》，經(jīng)主管行長、主管經(jīng)理簽字允許后才可操作。并作好詳細的記錄。第六章病毒防治管理第三十二條必須準備一種以上的殺毒軟件，并定期對所使用的計算機進行查毒。移動介質(zhì)《如磁盤、光盤、磁帶、U盤》上的數(shù)據(jù)必須進行病毒檢測后，方可使用。第三十三條發(fā)現(xiàn)新的計算機病毒，應(yīng)立即通報進行防范，防止病毒進一步擴散；應(yīng)停止該軟件的運行，將軟件進行備份，然后使用相應(yīng)殺毒軟件進行清除?，F(xiàn)有殺毒軟件無效，應(yīng)立即