第1篇第一章總則第一條為加強(qiáng)金融行業(yè)密碼管理工作，保障金融信息安全，根據(jù)《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，結(jié)合金融行業(yè)特點(diǎn)，制定本制度。第二條本制度適用于我國境內(nèi)所有金融機(jī)構(gòu)及其分支機(jī)構(gòu)，包括但不限于銀行、證券、保險(xiǎn)、基金、信托、金融科技等。第三條本制度遵循以下原則：（一）依法管理原則：嚴(yán)格遵守國家法律法規(guī)，確保密碼管理工作的合法性、合規(guī)性。（二）安全可靠原則：確保密碼系統(tǒng)的安全性、可靠性，防止密碼信息泄露和濫用。（三）分級(jí)保護(hù)原則：根據(jù)金融信息系統(tǒng)的安全等級(jí)，實(shí)施分級(jí)保護(hù)，確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全。（四）技術(shù)保障原則：采用先進(jìn)的技術(shù)手段，提高密碼系統(tǒng)的安全性能。（五）責(zé)任到人原則：明確密碼管理責(zé)任，確保各項(xiàng)措施落實(shí)到位。第二章組織機(jī)構(gòu)與職責(zé)第四條成立金融行業(yè)密碼管理工作領(lǐng)導(dǎo)小組，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)金融行業(yè)密碼管理工作。第五條金融行業(yè)密碼管理工作領(lǐng)導(dǎo)小組下設(shè)辦公室，負(fù)責(zé)日常管理工作。第六條各金融機(jī)構(gòu)應(yīng)設(shè)立密碼管理部門，負(fù)責(zé)本單位的密碼管理工作。第七條密碼管理部門的主要職責(zé)：（一）貫徹落實(shí)國家密碼管理的法律法規(guī)和政策，制定本單位的密碼管理制度。（二）組織開展密碼安全教育和培訓(xùn)，提高員工密碼安全意識(shí)。（三）負(fù)責(zé)密碼系統(tǒng)的建設(shè)、運(yùn)維和管理工作。（四）組織開展密碼安全檢查和風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)和整改安全隱患。（五）配合相關(guān)部門開展密碼安全監(jiān)督檢查和事故調(diào)查。第三章密碼系統(tǒng)建設(shè)與管理第八條金融機(jī)構(gòu)應(yīng)按照國家密碼管理部門的要求，建立健全密碼系統(tǒng)。第九條密碼系統(tǒng)應(yīng)具備以下功能：（一）身份認(rèn)證：實(shí)現(xiàn)用戶身份的識(shí)別和驗(yàn)證。（二）訪問控制：根據(jù)用戶權(quán)限，控制對(duì)信息系統(tǒng)的訪問。（三）數(shù)據(jù)加密：對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸。（四）安全審計(jì)：記錄和審計(jì)用戶操作行為，確保系統(tǒng)安全。第十條金融機(jī)構(gòu)應(yīng)選用符合國家密碼管理部門認(rèn)證的密碼產(chǎn)品和服務(wù)。第十一條密碼系統(tǒng)應(yīng)定期進(jìn)行安全評(píng)估，確保系統(tǒng)安全穩(wěn)定運(yùn)行。第十二條金融機(jī)構(gòu)應(yīng)建立密碼系統(tǒng)運(yùn)維管理制度，明確運(yùn)維人員職責(zé)，確保密碼系統(tǒng)安全可靠。第四章密碼使用與管理第十三條金融機(jī)構(gòu)應(yīng)建立健全密碼使用管理制度，明確密碼使用范圍、權(quán)限和流程。第十四條用戶密碼應(yīng)具備以下要求：（一）復(fù)雜性強(qiáng)：密碼應(yīng)包含字母、數(shù)字、符號(hào)等多種字符，提高破解難度。（二）唯一性：每個(gè)用戶應(yīng)擁有唯一的密碼。（三）定期更換：用戶密碼應(yīng)定期更換，確保密碼安全。（四）保密性：用戶應(yīng)妥善保管密碼，不得泄露給他人。第十五條金融機(jī)構(gòu)應(yīng)建立密碼找回、重置和修改機(jī)制，確保用戶在密碼丟失或遺忘時(shí)，能夠及時(shí)找回或修改密碼。第十六條金融機(jī)構(gòu)應(yīng)定期對(duì)密碼使用情況進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)和糾正密碼使用不規(guī)范行為。第五章密碼安全教育與培訓(xùn)第十七條金融機(jī)構(gòu)應(yīng)定期開展密碼安全教育和培訓(xùn)，提高員工密碼安全意識(shí)。第十八條培訓(xùn)內(nèi)容應(yīng)包括：（一）密碼安全法律法規(guī)和標(biāo)準(zhǔn)規(guī)范。（二）密碼系統(tǒng)安全防護(hù)措施。（三）密碼使用規(guī)范和操作流程。（四）密碼安全事件應(yīng)急處理。第十九條金融機(jī)構(gòu)應(yīng)將密碼安全教育與培訓(xùn)納入員工績效考核體系，確保培訓(xùn)效果。第六章密碼安全檢查與評(píng)估第二十條金融機(jī)構(gòu)應(yīng)定期開展密碼安全檢查，及時(shí)發(fā)現(xiàn)和整改安全隱患。第二十一條密碼安全檢查應(yīng)包括以下內(nèi)容：（一）密碼系統(tǒng)建設(shè)是否符合國家法律法規(guī)和標(biāo)準(zhǔn)規(guī)范。（二）密碼產(chǎn)品和服務(wù)是否通過國家密碼管理部門認(rèn)證。（三）密碼使用和管理是否符合規(guī)定。（四）密碼安全事件應(yīng)急處理能力。第二十二條金融機(jī)構(gòu)應(yīng)定期開展密碼安全風(fēng)險(xiǎn)評(píng)估，評(píng)估結(jié)果應(yīng)作為改進(jìn)密碼管理工作的依據(jù)。第七章應(yīng)急管理與事故處理第二十三條金融機(jī)構(gòu)應(yīng)建立健全密碼安全事件應(yīng)急預(yù)案，明確應(yīng)急響應(yīng)流程和責(zé)任分工。第二十四條發(fā)生密碼安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取應(yīng)急措施，防止事件擴(kuò)大。第二十五條金融機(jī)構(gòu)應(yīng)配合相關(guān)部門開展密碼安全事件調(diào)查和處理。第二十六條金融機(jī)構(gòu)應(yīng)定期總結(jié)密碼安全事件教訓(xùn)，完善應(yīng)急預(yù)案和密碼管理工作。第八章附則第二十七條本制度由金融行業(yè)密碼管理工作領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。第二十八條本制度自發(fā)布之日起施行。第九章附則第二十九條本制度未盡事宜，按照國家法律法規(guī)和相關(guān)規(guī)定執(zhí)行。第三十條各金融機(jī)構(gòu)應(yīng)根據(jù)本制度制定具體實(shí)施方案，并報(bào)金融行業(yè)密碼管理工作領(lǐng)導(dǎo)小組備案。第三十一條本制度如有修改，由金融行業(yè)密碼管理工作領(lǐng)導(dǎo)小組負(fù)責(zé)修訂。第三十二條本制度自發(fā)布之日起施行。第2篇第一章總則第一條為加強(qiáng)金融行業(yè)密碼管理，保障金融信息安全，根據(jù)《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，結(jié)合金融行業(yè)特點(diǎn)，制定本制度。第二條本制度適用于我國境內(nèi)所有金融機(jī)構(gòu)及其分支機(jī)構(gòu)，包括銀行、證券、保險(xiǎn)、基金、信托、資產(chǎn)管理、支付機(jī)構(gòu)等。第三條金融行業(yè)密碼管理應(yīng)遵循以下原則：（一）依法管理：遵守國家法律法規(guī)，嚴(yán)格執(zhí)行密碼管理政策；（二）安全可靠：確保密碼技術(shù)、產(chǎn)品和服務(wù)安全可靠，防止密碼泄露和濫用；（三）統(tǒng)一規(guī)范：建立健全密碼管理制度，實(shí)現(xiàn)密碼管理的規(guī)范化、標(biāo)準(zhǔn)化；（四）技術(shù)創(chuàng)新：鼓勵(lì)密碼技術(shù)創(chuàng)新，提高密碼管理的科學(xué)性和有效性；（五）協(xié)同合作：加強(qiáng)行業(yè)內(nèi)部、行業(yè)之間以及與國家密碼管理部門的協(xié)同合作。第二章密碼分類與分級(jí)第四條金融行業(yè)密碼分為以下類別：（一）加密密碼：用于保護(hù)信息在傳輸、存儲(chǔ)和存儲(chǔ)介質(zhì)上的安全；（二）認(rèn)證密碼：用于驗(yàn)證用戶身份，確保系統(tǒng)訪問的安全性；（三）數(shù)字簽名密碼：用于實(shí)現(xiàn)電子簽名，保證電子文檔的完整性和真實(shí)性；（四）隨機(jī)數(shù)密碼：用于密碼生成、加密解密等場景。第五條金融行業(yè)密碼根據(jù)安全等級(jí)分為以下級(jí)別：（一）一級(jí)密碼：適用于最高安全級(jí)別的信息系統(tǒng)，如銀行核心業(yè)務(wù)系統(tǒng)、證券交易系統(tǒng)等；（二）二級(jí)密碼：適用于較高安全級(jí)別的信息系統(tǒng)，如銀行網(wǎng)上銀行系統(tǒng)、證券客戶管理系統(tǒng)等；（三）三級(jí)密碼：適用于一般安全級(jí)別的信息系統(tǒng)，如銀行網(wǎng)點(diǎn)業(yè)務(wù)系統(tǒng)、證券營業(yè)部系統(tǒng)等；（四）四級(jí)密碼：適用于較低安全級(jí)別的信息系統(tǒng)，如銀行自助設(shè)備系統(tǒng)、證券自助終端系統(tǒng)等。第三章密碼技術(shù)與管理第六條金融行業(yè)密碼技術(shù)應(yīng)滿足以下要求：（一）符合國家密碼政策和標(biāo)準(zhǔn)；（二）具有高強(qiáng)度、高安全性；（三）具有良好的兼容性和可擴(kuò)展性；（四）易于維護(hù)和升級(jí)。第七條金融行業(yè)密碼管理應(yīng)包括以下內(nèi)容：（一）密碼技術(shù)選型：根據(jù)信息系統(tǒng)安全需求，選擇合適的密碼技術(shù)；（二）密碼算法管理：制定密碼算法使用規(guī)范，確保密碼算法的安全性；（三）密碼產(chǎn)品管理：對(duì)密碼產(chǎn)品進(jìn)行質(zhì)量檢測(cè)和認(rèn)證，確保密碼產(chǎn)品的安全性；（四）密碼密鑰管理：建立健全密鑰管理體系，確保密鑰的安全性和完整性；（五）密碼使用管理：制定密碼使用規(guī)范，確保密碼的正確使用和有效防護(hù)；（六）密碼事件管理：建立健全密碼事件報(bào)告、調(diào)查和處理機(jī)制，及時(shí)應(yīng)對(duì)密碼安全事件。第八條金融行業(yè)密碼密鑰管理應(yīng)遵循以下原則：（一）密鑰分類管理：根據(jù)密鑰用途和重要性，對(duì)密鑰進(jìn)行分類管理；（二）密鑰生成與存儲(chǔ)：采用安全的密鑰生成方法，確保密鑰的安全性；（三）密鑰分發(fā)與使用：建立健全密鑰分發(fā)和使用規(guī)范，確保密鑰的正確使用和有效防護(hù)；（四）密鑰更新與撤銷：定期更新密鑰，及時(shí)撤銷過期或失效的密鑰；（五）密鑰備份與恢復(fù)：建立健全密鑰備份和恢復(fù)機(jī)制，確保密鑰的可用性。第四章密碼安全事件處理第九條金融行業(yè)密碼安全事件處理應(yīng)遵循以下原則：（一）及時(shí)報(bào)告：發(fā)現(xiàn)密碼安全事件后，應(yīng)及時(shí)向相關(guān)部門報(bào)告；（二）快速響應(yīng)：啟動(dòng)應(yīng)急預(yù)案，迅速采取應(yīng)對(duì)措施；（三）調(diào)查分析：對(duì)密碼安全事件進(jìn)行調(diào)查分析，找出原因和責(zé)任；（四）整改措施：針對(duì)密碼安全事件，制定整改措施，防止類似事件再次發(fā)生；（五）信息通報(bào)：及時(shí)向相關(guān)部門和公眾通報(bào)密碼安全事件的處理情況。第十條金融行業(yè)密碼安全事件處理流程：（一）事件報(bào)告：發(fā)現(xiàn)密碼安全事件后，立即向相關(guān)部門報(bào)告；（二）事件確認(rèn)：相關(guān)部門對(duì)事件進(jìn)行確認(rèn)，并啟動(dòng)應(yīng)急預(yù)案；（三）應(yīng)急響應(yīng)：采取應(yīng)急措施，防止事件擴(kuò)大；（四）調(diào)查分析：對(duì)事件進(jìn)行調(diào)查分析，找出原因和責(zé)任；（五）整改措施：制定整改措施，防止類似事件再次發(fā)生；（六）信息通報(bào)：向相關(guān)部門和公眾通報(bào)事件處理情況。第五章監(jiān)督與檢查第十一條國家密碼管理部門對(duì)金融行業(yè)密碼管理進(jìn)行監(jiān)督和檢查，確保本制度的有效實(shí)施。第十二條金融行業(yè)內(nèi)部應(yīng)定期開展密碼管理自查，發(fā)現(xiàn)問題及時(shí)整改。第十三條對(duì)違反本制度的金融機(jī)構(gòu)，國家密碼管理部門將依法予以處罰。第六章附則第十四條本制度由中國人民銀行負(fù)責(zé)解釋。第十五條本制度自發(fā)布之日起施行。注：本制度僅供參考，具體內(nèi)容應(yīng)根據(jù)實(shí)際情況進(jìn)行調(diào)整和完善。第3篇第一章總則第一條為加強(qiáng)金融行業(yè)密碼管理，保障金融信息安全，依據(jù)《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，結(jié)合金融行業(yè)特點(diǎn)，制定本制度。第二條本制度適用于我國境內(nèi)所有金融機(jī)構(gòu)及其分支機(jī)構(gòu)，包括銀行、證券、保險(xiǎn)、基金、信托、資產(chǎn)管理等金融機(jī)構(gòu)。第三條金融行業(yè)密碼管理應(yīng)遵循以下原則：（一）依法管理，確保合規(guī)；（二）安全第一，防范風(fēng)險(xiǎn)；（三）技術(shù)保障，持續(xù)改進(jìn)；（四）分級(jí)分類，分步實(shí)施。第四條金融機(jī)構(gòu)應(yīng)建立健全密碼管理制度，明確密碼管理職責(zé)，加強(qiáng)密碼技術(shù)研發(fā)和應(yīng)用，提高密碼管理水平和信息安全防護(hù)能力。第二章組織機(jī)構(gòu)與職責(zé)第五條金融機(jī)構(gòu)應(yīng)設(shè)立密碼管理部門，負(fù)責(zé)全行（公司）密碼管理工作，其主要職責(zé)包括：（一）貫徹執(zhí)行國家密碼法律法規(guī)和金融行業(yè)密碼管理制度；（二）制定本機(jī)構(gòu)密碼管理制度，并組織實(shí)施；（三）組織開展密碼技術(shù)研究和應(yīng)用，提高密碼管理水平；（四）監(jiān)督、檢查和評(píng)估全行（公司）密碼管理工作；（五）組織開展密碼培訓(xùn)和宣傳教育；（六）處理密碼安全事件。第六條金融機(jī)構(gòu)各部門應(yīng)按照職責(zé)分工，落實(shí)密碼管理工作，確保密碼安全。第三章密碼分類與分級(jí)第七條金融機(jī)構(gòu)應(yīng)按照國家密碼管理部門的分類分級(jí)要求，對(duì)密碼進(jìn)行分類分級(jí)管理。第八條密碼分類分為以下類別：（一）核心密碼；（二）重要密碼；（三）一般密碼。第九條密碼分級(jí)分為以下級(jí)別：（一）一級(jí)密碼；（二）二級(jí)密碼；（三）三級(jí)密碼。第十條金融機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、敏感程度和風(fēng)險(xiǎn)等級(jí)，確定密碼的類別和級(jí)別。第四章密碼技術(shù)與應(yīng)用第十一條金融機(jī)構(gòu)應(yīng)采用符合國家密碼管理要求的密碼技術(shù)，包括但不限于以下方面：（一）加密技術(shù)；（二）數(shù)字簽名技術(shù)；（三）認(rèn)證技術(shù)；（四）安全審計(jì)技術(shù)。第十二條金融機(jī)構(gòu)應(yīng)建立健全密碼技術(shù)管理體系，包括：（一）密碼技術(shù)選型；（二）密碼技術(shù)評(píng)估；（三）密碼技術(shù)培訓(xùn)；（四）密碼技術(shù)更新。第十三條金融機(jī)構(gòu)應(yīng)采用符合國家密碼管理要求的密碼產(chǎn)品，包括但不限于以下方面：（一）加密設(shè)備；（二）安全認(rèn)證設(shè)備；（三）安全審計(jì)設(shè)備。第五章密碼管理流程第十四條金融機(jī)構(gòu)應(yīng)建立健全密碼管理流程，包括以下環(huán)節(jié)：（一）密碼需求分析；（二）密碼選型與采購；（三）密碼安裝與配置；（四）密碼使用與維護(hù)；（五）密碼升級(jí)與報(bào)廢；（六）密碼安全事件處理。第十五條金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)密碼密鑰的管理，包括：（一）密鑰生成與分發(fā)；（二）密鑰存儲(chǔ)與備份；（三）密鑰使用與監(jiān)控；（四）密鑰更換與銷毀。第六章密碼安全事件處理第十六條金融機(jī)構(gòu)應(yīng)建立健全密碼安全事件處理機(jī)制，包括：（一）密碼安全事件報(bào)告；（二）密碼安全事件調(diào)查；（三）密碼安全事件處理；（四）密碼安全事件總結(jié)。第十七條金融機(jī)構(gòu)應(yīng)按照國家密碼管理部門的要求，及時(shí)報(bào)告密碼安全事件，并采取有效措施，防止事件擴(kuò)大。第七章監(jiān)督與檢查