*********有限責(zé)任公司

信息安全管理辦法

第一章總則

第一條為了加強************有限責(zé)任公司（以下簡

稱：我行）計算機信息系統(tǒng)安全保護工作，確保我行計算機

信息系統(tǒng)安全、穩(wěn)定、高效運行，根據(jù)《中華人民共和國計

算機信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息安全保

護工作暫行規(guī)定》等有關(guān)法律、法規(guī)，結(jié)合自身實際制定本

辦法。

第二條************有限責(zé)任公司計算機信息系統(tǒng)

安全管理工作的指導(dǎo)方針是“預(yù)防為主，安全第一，依法辦

事，綜合治理:其中“預(yù)防為主”是計算機安全管理工作

的基本方針。

第三條************有限責(zé)任公司計算機信息系統(tǒng)

安全工作實行統(tǒng)一領(lǐng)導(dǎo)和分級管理。按照“誰主管誰負責(zé)、

誰運行誰負責(zé)，誰使用誰負責(zé)”的原則，逐級落實單位與個

人信息安全責(zé)任制。

第四條成立計算機信息安全管理工作領(lǐng)導(dǎo)小組，由科

技、財會、保衛(wèi)、稽核、辦公室、電子銀行等部門組成，實

行一把手負責(zé)制，計算機信息安全管理工作領(lǐng)導(dǎo)小組負責(zé)組

織、協(xié)調(diào)、監(jiān)督和檢查我行計算機安全管理工作。

第五條權(quán)限說明：************有限責(zé)任公司作為吉

林省農(nóng)村信用聯(lián)合社（以下簡稱:省聯(lián)社）信息系統(tǒng)平臺的終

端使用者，享有使用其系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)等其他IT資源的

權(quán)利，吉林省農(nóng)村信用聯(lián)合社享有開發(fā)、管理、控制其系統(tǒng)、

數(shù)據(jù)庫的權(quán)利，當出現(xiàn)各種事故時由************向吉林省

農(nóng)村信用聯(lián)合社進行通知報告，系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)等故障

根據(jù)事故級別情況由吉林省農(nóng)村信用聯(lián)合社進行處理解決。

本辦法適用于************計算機設(shè)備、系統(tǒng)的使用部

門和各分支機構(gòu)。本辦法與相關(guān)制度對應(yīng)關(guān)系如下

第四章對應(yīng)《************有限責(zé)任公司系統(tǒng)運行維護

實施細則》須結(jié)合上述制度開展工作。

第五章對應(yīng)《************有限責(zé)任公司網(wǎng)絡(luò)運行維護

實施細則》須結(jié)合上述制度開展工作。

第六章對應(yīng)《************有限責(zé)任公司辦公設(shè)備日常

操作管理辦法》、《************計算機物品管理指導(dǎo)意見

（試行）》須結(jié)合上述制度開展工作。

第八章對應(yīng)《************數(shù)據(jù)備份管理規(guī)定》結(jié)合該

制度開展工作。

第二章人員與崗位管理

第一節(jié)人員基本要求與安全教育

第六條本辦法所稱計算機安全人員，是指各級機構(gòu)專

（兼）職計算機安全管理人員。

第七條計算機安全人員應(yīng)當遵紀守法、政治過硬、業(yè)

務(wù)精通、恪盡職守。違反國家法律、法規(guī)和受到行政處分的

人員，不得從事計算機安全管理工作。

第八條計算機安全人員變動，應(yīng)向上級科技管理部門

備案。

第九條營業(yè)機構(gòu)對全體員工應(yīng)進行計算機安全法律

法規(guī)及相關(guān)規(guī)章制度的培訓(xùn)。

第十條計算機安全人員應(yīng)定期接受政治思想教育、職

業(yè)道德教育、安全保密教育。

第十一條計算機安全教育由科技信息部負責(zé)實施。

第二節(jié)計算機關(guān)鍵崗位人員安全管理

第十二條本辦法所稱計算機信息系統(tǒng)關(guān)鍵崗位人員

（簡稱關(guān)鍵崗位人員），是指與重要計算機信息系統(tǒng)直接相

關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)員、系統(tǒng)維護員、

操作運營等崗位人員。

第十三條關(guān)鍵崗位人員上崗前，必須經(jīng)過人事部門的

政治素質(zhì)審查，科技信息部的信息安全教育、業(yè)務(wù)操作技能

考核，合格者方可上崗。

第十四條關(guān)鍵崗位人員上崗必須實行“權(quán)限分散、不

得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)

開發(fā)人員、系統(tǒng)維護人員不得操作任何業(yè)務(wù)；系統(tǒng)開發(fā)人員

不得兼任系統(tǒng)管理員。

第十五條崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù),

承諾其調(diào)離后的保密義務(wù)。涉及基層業(yè)務(wù)保密信息的關(guān)鍵崗

位人員調(diào)離單位時，必須進行離崗稽核，關(guān)鍵崗位人員在調(diào)

離后應(yīng)繼續(xù)履行保密義務(wù)。

第十六條關(guān)鍵崗位人員離崗后，必須及時注銷其用戶,

并更換相關(guān)密碼。

第三節(jié)計算機崗位人員的安全責(zé)任

第十七條系統(tǒng)管理員安全責(zé)任

1.負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則。

2.嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行。

3.認真記錄系統(tǒng)安全事項，及H向科技信息部負責(zé)人

報告安全事件。

4.對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第十八條網(wǎng)絡(luò)管理員安全責(zé)任

1.負責(zé)網(wǎng)絡(luò)的運行管理，檢測網(wǎng)絡(luò)運行狀況，實施網(wǎng)

絡(luò)安全策略和安全運行細則。

2.合理配置網(wǎng)絡(luò)應(yīng)用，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限,

維護網(wǎng)絡(luò)安全正常運行。

3.監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理鏈路，防

范黑客入侵，及時向部門負責(zé)人報告安全事件。

4.對操作區(qū)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第十九條開發(fā)人員安全責(zé)任

1.系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證

系統(tǒng)安全功能的準確實現(xiàn)。

2.系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉

密資料。

3.不得對系統(tǒng)設(shè)置“后門

4.對系統(tǒng)核心技術(shù)保密。

第二十條應(yīng)用系統(tǒng)、操作系統(tǒng)維護員安全責(zé)任

1.負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常

運行。

2.不得擅自改變系統(tǒng)功能及相關(guān)參數(shù)。

3.不得安裝與系統(tǒng)無關(guān)的其它計算機程序。

4.維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告部門負責(zé)人。

第二十一條業(yè)務(wù)操作員安全責(zé)任

1.嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度。

2.不得向他人提供自己的操作密碼，柜員卡不得借給

他人。

3.及時向科技信息部報告系統(tǒng)各種異常事件。

第二十二條各部門、營業(yè)機構(gòu)計算機管理員責(zé)任

1.各部門、營業(yè)機構(gòu)應(yīng)指派素質(zhì)好、較熟悉計算機知

識的人員擔(dān)任本單位的計算機管理員或科技協(xié)管員，并報科

技信息部備案。如有變更應(yīng)做好交接工作，并及時通知科技

信息部。

2.各部門、營業(yè)機構(gòu)計算機管理員或科技協(xié)管員要配

合科技人員工作，并參加各項信息安全技能培訓(xùn)。

3.各部門、營業(yè)機構(gòu)計算機管理員或科技協(xié)管員負責(zé)

本部門、本網(wǎng)點計算機病毒防治工作，監(jiān)督檢查本部門客戶

端安全管理情況；負責(zé)提出本部門信息安全保障需求，及時

與科技信息部溝通信息安全監(jiān)測情況；協(xié)助科技信息部完成

對本部門的信息安全檢查工作。

第四節(jié)一般計算機用戶的安全管理責(zé)任

第二十三條本辦法所稱一般計算機用戶是指使用計

算機設(shè)備的我行所有工作人員。

第二十四條一般計算機用戶應(yīng)承擔(dān)如下安全義務(wù)：

1.不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件

和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。

2.未經(jīng)科技信息部檢測和授權(quán)，不得將接入系統(tǒng)內(nèi)部

網(wǎng)絡(luò)所用計算機轉(zhuǎn)接國際互聯(lián)網(wǎng)，不得將便攜式計算機接入

總行內(nèi)部網(wǎng)絡(luò)，不得隨意將私人計算機帶入機房或私自拷貝

任何信息。所造成的后果和相關(guān)經(jīng)濟損失由本人承擔(dān)。

第五節(jié)外來人員的安全管理

第二十五條各單位要針對不同的外來人員，制定相應(yīng)

的安全策略，嚴格控制外來人員對我行信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、

安全設(shè)備、辦公主機、主機服務(wù)器的訪問，外來人員對敏感

的信息資產(chǎn)進行訪問時，應(yīng)與其簽訂安全保密協(xié)議，明確安

全責(zé)任和義務(wù)。

第二十六條各單位必須做好外來人員的出入管理和

陪同工作。

第二十七條嚴禁外來人員在未經(jīng)科技信息部允許的

情況情況下通過辦公用戶網(wǎng)訪問生產(chǎn)網(wǎng)絡(luò)。

第二十八條對需要長期進入各級單位工作的外公司

人員，必須報外來人員管理部門審批，做好其工作區(qū)域的隔

離和訪問控制，并對訪問過程進行全程監(jiān)控、詳細記錄和及

時審計。

第三章設(shè)備的安全管理

第二十九條設(shè)備安全管理是指對所有保證系統(tǒng)正常

運行的主機設(shè)備、網(wǎng)絡(luò)通信設(shè)備及外圍設(shè)備的安全管理。

第三十條生產(chǎn)環(huán)境、測試環(huán)境、開發(fā)環(huán)境的相關(guān)設(shè)備

相互之間必須有明確的物理安全邊界，物理安全區(qū)必須有明

確的標志。

第三十一條設(shè)備所在的物理安全區(qū)應(yīng)具備符合國家

相關(guān)標準與規(guī)范的配電、照明、濕度、防水、防火、防雷及

防盜等基本環(huán)境條件。

第三十二條對路由器、交換機、防火墻和主機服務(wù)器

等設(shè)備必須采取嚴格的管理措施，未經(jīng)批準不得隨意移動和

接入。

第三十三條設(shè)備安裝時，應(yīng)由相關(guān)技術(shù)人員制定在細

可行的操作步驟，其中關(guān)鍵設(shè)備的安裝必須請供貨廠商（代

理商）技術(shù)人員現(xiàn)場支持。

第三十四條主機和網(wǎng)絡(luò)通信關(guān)鍵設(shè)備必須有備份，并

處于實時備用狀態(tài)。

第三十五條重要設(shè)備使用單位應(yīng)做好設(shè)備日常運行

維護工作：

1.做好設(shè)備的日常檢測、檢查、記錄，及時掌握設(shè)備

的運行狀況。

2.設(shè)備發(fā)生故障時應(yīng)及時維修，必要時，通知設(shè)備維

護商的技術(shù)人員到場解決。

3.制定設(shè)備維護計劃，為維護的項目、步驟、周期、

責(zé)任人等做出明確規(guī)定，并嚴格按照設(shè)備維護計劃定期進行

設(shè)備的保養(yǎng)和維護，做好設(shè)備維護記錄。

第四章系統(tǒng)的安全管理

第三十六條本辦法所指的計算機系統(tǒng)是指

************業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動

化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第三十七條系統(tǒng)規(guī)劃與立項要充分考慮系統(tǒng)的安全

需求，系統(tǒng)建設(shè)要充分考慮實現(xiàn)安全功能，計算機安全管理

部門應(yīng)對重要系統(tǒng)的立項進行安全性專項審查。

第三十八條系統(tǒng)選用的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、

中間件等必須具備與系統(tǒng)相適應(yīng)的安全性。

第三十九條系統(tǒng)投入運行前，必須進行系統(tǒng)的安全評

估與審批；對已投入運行的系統(tǒng)需跟蹤進行評估并根據(jù)評估

結(jié)果不斷改進和提高系統(tǒng)安全性。

第四十條系統(tǒng)運行安全管理

1.嚴禁在生產(chǎn)系統(tǒng)上安裝編譯工具、應(yīng)用系統(tǒng)源程序

及其他與系統(tǒng)業(yè)務(wù)無關(guān)的軟件。

2.備份系統(tǒng)與生產(chǎn)系統(tǒng)的系統(tǒng)構(gòu)成與配置應(yīng)保持一致,

以保證生產(chǎn)系統(tǒng)出現(xiàn)故障時能順利切換。

3.嚴禁擅自修改系統(tǒng)參數(shù)，確需修改應(yīng)嚴格履行審批

手續(xù)，由維護崗位人員實施，實施時應(yīng)有監(jiān)督，修改后的參

數(shù)應(yīng)記錄在案。

4.嚴禁擅自對業(yè)務(wù)數(shù)據(jù)庫的數(shù)據(jù)進行修改或恢復(fù)操作,

確需操作時應(yīng)嚴格履行審批手續(xù)，由相關(guān)崗位人員實施，并

由有關(guān)人員監(jiān)督執(zhí)行。

5.對于系統(tǒng)軟件升級、應(yīng)用軟件升級或更新、系統(tǒng)切

換、年終結(jié)轉(zhuǎn)、結(jié)息等重大事件操作，按《************有

限責(zé)任公司系統(tǒng)升級管理辦法》由科技信息部從安全角度出

發(fā)與業(yè)務(wù)部門密切配合，共同制定詳細的計劃和方案。

第四十一條做好系統(tǒng)的日常安全運行維護工作，不斷

完善系統(tǒng)運行制度、日志管理制度、密碼密鑰管理制度、操

作規(guī)程的安全管理制度等。定期對系統(tǒng)進行備份，并對備份

媒體按有關(guān)規(guī)定指定專人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份媒

體必須異地保存。重要業(yè)務(wù)系統(tǒng)應(yīng)由業(yè)務(wù)部門制定計算機安

全保護的應(yīng)急計劃，保證業(yè)務(wù)的不間斷運行，并不斷完善應(yīng)

急計劃。對涉密的應(yīng)用系統(tǒng)，應(yīng)嚴格執(zhí)行保密管理的有關(guān)規(guī)

定。

第四十二條各級運行機構(gòu)必須做好對系統(tǒng)的安全監(jiān)

測工作。非營業(yè)機構(gòu)接入生產(chǎn)網(wǎng)，須向科技信息部申請，連

接單獨設(shè)立的服務(wù)器。

第四十三條嚴格執(zhí)行系統(tǒng)廢止和銷毀的有關(guān)安全管

理規(guī)定。

第五章網(wǎng)絡(luò)安全管理

第一節(jié)網(wǎng)絡(luò)管理

第四十四條科技信息部應(yīng)持續(xù)建立健全網(wǎng)絡(luò)安全運

行制度，不斷健全《************網(wǎng)絡(luò)運行維護實施細則》、

*T**T**T**T**T**T**T?系統(tǒng)運行維護實施細則》、《************計

算機系統(tǒng)應(yīng)急預(yù)案》等涉及到網(wǎng)絡(luò)方面的制度，并按制度開

展日常工作。

第四十五條應(yīng)配備專職網(wǎng)絡(luò)管理員。重要網(wǎng)絡(luò)設(shè)備應(yīng)

放置在機房內(nèi)，由網(wǎng)絡(luò)管理員負責(zé)管理。其他人員不得對網(wǎng)

絡(luò)設(shè)備進行任何操作。網(wǎng)管設(shè)備屬專管設(shè)備，必須嚴格控制

其管理員密碼。

第四十六條重要網(wǎng)絡(luò)通信硬件設(shè)施、網(wǎng)管應(yīng)用軟件設(shè)

施及網(wǎng)絡(luò)參數(shù)配置應(yīng)有備份，按《************數(shù)據(jù)備份管

理規(guī)定》執(zhí)行備份有關(guān)工作。

.第四十七條新建網(wǎng)絡(luò)、網(wǎng)絡(luò)改造或變更在投入使用前,

科技信息部應(yīng)制訂相應(yīng)的網(wǎng)絡(luò)安全防范措施，組織對新建網(wǎng)

絡(luò)或改造后網(wǎng)絡(luò)實施安全檢驗，未通過檢驗不允許投產(chǎn)使用。

第四十八條網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服

務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，改變網(wǎng)絡(luò)路由配置

和通信地址等參數(shù)的操作，必須具有包括時間、目的、內(nèi)容

及維護人員等要素的書面記錄。實施有可能影響網(wǎng)絡(luò)正常運

行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假

日進行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準備。

第四十九條網(wǎng)絡(luò)管理員應(yīng)按照省聯(lián)社統(tǒng)一發(fā)布安全

規(guī)范實施所負責(zé)網(wǎng)絡(luò)的安全配置，并定期檢查與規(guī)范的符合

性。對網(wǎng)絡(luò)設(shè)備配置命令和響應(yīng)信息的完整性、合理性及保

密性必須進行驗證。

第五十條與其他業(yè)務(wù)相關(guān)機構(gòu)的網(wǎng)絡(luò)連接，應(yīng)采用必

要的技術(shù)隔離保護措施，提出具體實施方案，并得到充分論

證，經(jīng)過科技信息部審核通過方可實施。

第五十一條網(wǎng)絡(luò)管理人員應(yīng)隨時掌握監(jiān)測網(wǎng)絡(luò)運行

狀況，定期檢查網(wǎng)絡(luò)狀況，雙機熱備對獲得的信息進行分析,

發(fā)現(xiàn)安全隱患應(yīng)報告部門負責(zé)人。

第五十二條網(wǎng)絡(luò)掃描、監(jiān)測結(jié)果和網(wǎng)絡(luò)運行日志等重

要信息應(yīng)備份存儲。

第五十三條聯(lián)網(wǎng)計算機應(yīng)定期進行查、殺病毒操作,

發(fā)現(xiàn)計算機病毒，應(yīng)及時處理。

第五十四條科技信息部人員嚴禁超越網(wǎng)絡(luò)管理權(quán)限,

非法操作業(yè)務(wù)數(shù)據(jù)信息，不得擅自設(shè)置路由與非相關(guān)網(wǎng)絡(luò)進

行連接。

第五十五條按照我行制定的相關(guān)網(wǎng)絡(luò)安全技術(shù)規(guī)范

要求，對辦公用戶網(wǎng)、測試網(wǎng)與生產(chǎn)網(wǎng)絡(luò)實施嚴格的物理、

邏輯隔離措施。

第五十六條對計算機網(wǎng)絡(luò)和數(shù)據(jù)通信設(shè)備的停用、維

修、重用和作廢環(huán)節(jié)，應(yīng)建立安全機制有效清除或銷毀敏感

信息，防止泄露。

第二節(jié)內(nèi)網(wǎng)的使用管理

第五十七條由總行辦公室（黨辦）統(tǒng)一為各級機構(gòu)、各

專業(yè)分配內(nèi)部網(wǎng)絡(luò)電子郵箱和即時通訊軟件工具賬號，用于

日常信息傳遞。

第五十八條由總行辦公室（黨力、）統(tǒng)一為各機構(gòu)、各部

門分配內(nèi)部相關(guān)群組，用于實時信息傳遞。

第五十九條加強內(nèi)網(wǎng)操作人員權(quán)限管理，嚴格按照權(quán)

限規(guī)定辦理業(yè)務(wù)，無關(guān)人員禁止使用內(nèi)網(wǎng)。

第六十條接入內(nèi)網(wǎng)的計算機未經(jīng)科技信息部允許不

準安裝其它軟件。

第六十一條接入內(nèi)網(wǎng)的計算機禁止使用各種游戲、娛

樂軟件。

第六十二條嚴禁擅自將我行內(nèi)網(wǎng)與外網(wǎng)直接連接。

（一）我行內(nèi)網(wǎng)與企業(yè)外單位網(wǎng)絡(luò)利用專線進行互連的

方案，必須報我行總行科技信息部審批，經(jīng)省聯(lián)社相關(guān)部門

同意后方可實施；

（二）我行專用網(wǎng)絡(luò)與INTERNET互聯(lián)網(wǎng)連接的方案,

必須報總行科技信息部審批。不得同一臺主機進行內(nèi)外網(wǎng)切

換，嚴格保持內(nèi)、外網(wǎng)物理隔離.

第六十三條內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備用戶訪問內(nèi)網(wǎng)網(wǎng)絡(luò)資源

應(yīng)經(jīng)過安全認證、合理授權(quán)。認證應(yīng)采用高安全強度的認證

方式，對用戶的權(quán)限應(yīng)合理規(guī)劃，實現(xiàn)角色的分離和相互制

約，限制用戶權(quán)限尤其是超級用戶權(quán)限的濫用和誤用。

第六十四條防火墻策略的制定要嚴格按照相關(guān)網(wǎng)絡(luò)技

術(shù)規(guī)范進行，防火墻策略的變更應(yīng)經(jīng)過科技部部門審批。利

用防火墻、防病毒、安全漏洞掃描、網(wǎng)絡(luò)非法外聯(lián)、網(wǎng)絡(luò)入

侵檢測等軟件和工具對獲得的信息進行分析時，如發(fā)現(xiàn)安全

事件，必須按照規(guī)定及時處埋和報告，并對其日志進行保存

和審計。

第六十五條嚴禁外單位（包括供應(yīng)商和服務(wù)商等）通

過專線或撥號方式對我行信息系統(tǒng)進行遠程維護和技術(shù)支

持。

第三節(jié)接入國際互聯(lián)網(wǎng)管理

第六十六條各級機構(gòu)辦公場所禁止私自用各種方式

接入互聯(lián)網(wǎng)。確有特殊需要接入互聯(lián)網(wǎng)的部門，必須由部門

負責(zé)人提出書面申請，經(jīng)主管領(lǐng)導(dǎo)審批，報科技信息部備案，

方可接入。并嚴格保持內(nèi)、外網(wǎng)物理隔離。

第六十七條使用國際互聯(lián)網(wǎng)的安全管理

1.接入國際互聯(lián)網(wǎng)的機器不得存有涉密金融數(shù)據(jù)信息,

接入國際互聯(lián)網(wǎng)的計算機上不得使用存有涉密金融數(shù)據(jù)信

息的媒體。

2.從國際互聯(lián)網(wǎng)下載的任何信息資源，未經(jīng)檢測并得

到許可，不得在本行系統(tǒng)內(nèi)網(wǎng)上使用。禁止訪問或下載與工

作無關(guān)的信息，禁止訪問高風(fēng)險網(wǎng)站，禁止安裝、使用各類

游戲、娛樂軟件。

3.接入國際互聯(lián)網(wǎng)的計算機須安裝防病毒系統(tǒng)，并定

期升級。嚴禁利用互聯(lián)網(wǎng)絡(luò)傳播病毒、散播非法信息、泄露

國家和機構(gòu)的機密。

5.本單位所屬的國際互聯(lián)網(wǎng)賬號不得在本單位之外的

其它場所使用。

6.國際互聯(lián)網(wǎng)接入賬戶和密碼必須實行專人管理，并

不定期更換密碼。

7.確有需要接入國際互聯(lián)網(wǎng)的部門必須由負責(zé)人提出

書面申請，送科技信息部初審，報分管行領(lǐng)導(dǎo)簽批同意后方

可接入。

8.使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法

規(guī)和相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

9.無線網(wǎng)絡(luò)只允許訪問國際互聯(lián)網(wǎng)，嚴禁通過無線網(wǎng)絡(luò)

訪問業(yè)務(wù)運行類系統(tǒng)，無線網(wǎng)絡(luò)的應(yīng)用開通范圍需由本單位

安全管理崗審核。

第六十八條各使用部門應(yīng)自覺接受總行信息安全工

作領(lǐng)導(dǎo)小組的監(jiān)督檢查。

第六章計算機安全保密管理

第一節(jié)計算機及相關(guān)產(chǎn)品安全管理

第六十九條涉密計算機要與公用網(wǎng)絡(luò)實行物理隔離，

不得與因特網(wǎng)、非保密的局域網(wǎng)、非涉密的單機等有任何形

式的物理連接。

第七十條涉密計算機的使用要由專人負責(zé)管理，建立

專門用戶，并設(shè)立密碼。

第七十一條計算機須安裝具有實時監(jiān)控病毒功能的

防毒軟件和防火墻產(chǎn)品，并及時升級。利用防毒軟件，對需

要在計算機使用的外來軟盤、光盤等存儲介質(zhì)、下載的網(wǎng)絡(luò)

文件、電子郵件及其附件等進行病毒檢查、清除。

第七十二條任何單位或個人不得在連接互聯(lián)網(wǎng)的計

算機或網(wǎng)絡(luò)中存儲、處理、傳遞、發(fā)布涉及國家秘密以及

************內(nèi)部商業(yè)秘密的信息，當發(fā)現(xiàn)信息泄漏，應(yīng)立

即向有關(guān)部門報告。

第七十三條進行互聯(lián)網(wǎng)連接的單位和個人，應(yīng)遵守國

家有關(guān)法律、法規(guī)，嚴格執(zhí)行安全保密制度，不得利用計算

機國際互聯(lián)網(wǎng)從事危害國家安全、泄漏國家秘密等違法犯罪

活動；不得利用計算機國際互聯(lián)網(wǎng)進行搜集、整理、竊取國

家秘密的活動。

第七十四條各級單位和用戶原則上不準開設(shè)電子公

告系統(tǒng)、聊天室等，如確有需要必須上報有關(guān)部門審批、備

案。

第七十五條用戶使用電子郵件進行網(wǎng)上信息交流應(yīng)

遵守國家有關(guān)保密規(guī)定，不得利用電子郵件傳遞、轉(zhuǎn)發(fā)或抄

送涉密信息?；ヂ?lián)單位、接入單位如有郵件服務(wù)器，對其管

理的郵件服務(wù)器用戶應(yīng)當明確保守國家秘密的要求。

第七十六條對于建立主頁的單位，應(yīng)與保密部門簽訂

保密責(zé)任協(xié)議，并協(xié)助保密部門對其主頁內(nèi)容進行保密監(jiān)督、

檢查，指定專人負責(zé)對信息內(nèi)容的監(jiān)督審查。

第七十七條由省計算機中心負責(zé)開發(fā)的軟件產(chǎn)品、密

鑰及技術(shù)資料等要進行登記并妥善保管，嚴防泄漏，指定專

人管理已開發(fā)的全部程序源碼和技術(shù)資料，未經(jīng)科技信息部

主管領(lǐng)導(dǎo)批準，不得向外復(fù)制、銷售、轉(zhuǎn)讓軟件產(chǎn)品。

第七十八條對于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)通訊及安全

設(shè)備等重要區(qū)域均應(yīng)設(shè)置口令，對記錄密碼的載體應(yīng)嚴格管

理，確保安全。

第二節(jié)數(shù)據(jù)信息的管理

第七十九條計算機的存儲媒體要依據(jù)文件內(nèi)容準確

界定并標注涉密介質(zhì)的密級和保密期限，按照所標密級和保

密期限嚴格管理。密級和保密期限的界定標注方法等同于同

內(nèi)容的紙質(zhì)文件。

第八十條必須加強數(shù)據(jù)信息處理全過程的安全管理，

保證數(shù)據(jù)信息的保密性、完整性、可用性、可控性。數(shù)據(jù)信

息的安全管理應(yīng)做到：

1.嚴把數(shù)據(jù)信息采集關(guān)，確保真實、可靠、合法。

2.據(jù)實錄入數(shù)據(jù)信息，嚴禁憑空輸入，對數(shù)據(jù)信息的

修改，必須得到有關(guān)部門的批準，并記錄備案。

3.必須采用必要的技術(shù)措施保證數(shù)據(jù)信息傳輸過程的

安全，應(yīng)使用加密技術(shù)對涉密或重要的數(shù)據(jù)信息實施加密處

理。

4,使用部門應(yīng)按規(guī)定進行數(shù)據(jù)備份，并檢查備份媒體

的有效性，送往異地的重要數(shù)據(jù)磁盤、磁帶必須有加密措施,

嚴防泄漏。

5.在設(shè)備維修、報廢過程中，要確保其中的數(shù)據(jù)信息

的保密性、完整性。

第八十一條涉密媒體包括記錄檔案資料、軟件、數(shù)據(jù)

等的各種載體。保證涉密媒體信息的安全應(yīng)做到：

1.各種媒體的收集、保管、使用須按科技檔案管理辦

法執(zhí)行。

2.嚴格分級管理，在媒體使用上，根據(jù)媒體的密級，

要做到分級使用、定人操作，保留在現(xiàn)場的媒體數(shù)量應(yīng)是系

統(tǒng)有效運行所需要的最小數(shù)量。

3.涉密數(shù)據(jù)在系統(tǒng)進行下載存貯過程中必須采取相應(yīng)

的加密技術(shù)措施。

4.涉密媒體的保管要防磁、防潮、防腐、防霉變，重

要磁介質(zhì)每年要進行翻錄或復(fù)制，實行異地保管，時限四年。

5.涉密媒體的傳遞與外借，應(yīng)有審批手續(xù)和傳遞記錄，

涉密媒體傳遞過程中，要采取必要的防復(fù)制及加密等安全措

施。

6.涉密媒體必須按照有關(guān)保密管理規(guī)定進行管理，嚴

格錄入、查詢、復(fù)制、傳遞、保管、歸檔、銷毀等各環(huán)節(jié)的

手續(xù)；同一媒體上不得混錄密和非密信息，如果必須同時錄

用不同密級的信息，應(yīng)按存儲信息的較高密級進行管理并標

明密級。

7.媒體要根據(jù)需要與存儲環(huán)境定期進行循環(huán)復(fù)制備份,

并進行登記；全部涉密媒體信息的轉(zhuǎn)交、挪動和銷毀，相關(guān)

人員均須在場。

8.廢棄媒體，相關(guān)部門應(yīng)詳細登記，妥善保管，每年

底報請分管領(lǐng)導(dǎo)批準后，集中統(tǒng)一在保密管理人員監(jiān)督下進

行不可恢復(fù)性銷毀。

第八十二條金融電子化系統(tǒng)中的信息應(yīng)根據(jù)其重要

性、密級、應(yīng)用需求等分別實行相應(yīng)的加密措施。對絕密級

（金融電子化設(shè)計方案、金融主要業(yè)務(wù)的源代碼、聯(lián)行或電子

匯兌密押、密鑰的文字說明等），機密級（計算機網(wǎng)絡(luò)設(shè)計方

案、數(shù)據(jù)庫設(shè)計說明、有關(guān)電子帳務(wù)數(shù)據(jù)文件、主要業(yè)務(wù)的

目標程序等），秘密級（省市級項目電報、會計報表、銀行重

要憑證及帳務(wù)等）等信息不得通過互聯(lián)網(wǎng)傳送，機密信息不

得以明文形式傳送。

第三節(jié)數(shù)據(jù)備份與恢復(fù)

第八十三條省計算機中心負責(zé)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)方面

的備份及恢復(fù)。各業(yè)務(wù)部門負責(zé)本部門重要業(yè)務(wù)數(shù)據(jù)和資料

方面的備份和恢復(fù)。

第八十四條要確認備份操作準確無誤后進行備份操

作。各業(yè)務(wù)部門應(yīng)將計算機信息數(shù)據(jù)備份媒體視同重要空白

憑證，指定專人負責(zé)備份數(shù)據(jù)媒體的管理。備份數(shù)據(jù)媒體應(yīng)

按要求寫明標識，要確保存放地的安全，并定期進行檢查,

確保數(shù)據(jù)的完整性、可用性。

第七章第三方訪問和外包服務(wù)安全管理

第一節(jié)第三方訪問控制

第八十五條本辦法所稱第三方訪問是指

************之外的單位和個人物理訪問省計算機中心機

房或者通過網(wǎng)絡(luò)連接邏輯訪問省計算機中心數(shù)據(jù)庫和計算

機系統(tǒng)等活動。

第八十六條省計算機中心負責(zé)涉密計算機系統(tǒng)和網(wǎng)

絡(luò)相關(guān)的第三方訪問授權(quán)審批，科技信息部負責(zé)非涉密計算

機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)

************授權(quán)的任何第三方訪問均視為非法入侵行為。

第八十七條允許被第三方訪問的計算機系統(tǒng)和資源

應(yīng)建立存取控制機制、認證機制，列明所有用戶名單及其權(quán)

限，嚴格監(jiān)督第三方訪問活動。

第八十八條獲得第三方訪問授權(quán)的所有單位和個人

應(yīng)與省計算機中心簽訂安全保密協(xié)議，不得進行未授權(quán)的修

改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露************的

任何信息。

第二節(jié)外包服務(wù)管理

第八十九條本辦法所稱外包服務(wù)是指由

************之外的其他社會廠商為************計算機

系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等

服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方

義務(wù)。

第九十條經(jīng)科技信息部主管領(lǐng)導(dǎo)批準，外包服務(wù)提供

商可提供上門維修服務(wù)并由************科技人員在場準

確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、

復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離************。

第九十一條計算機設(shè)備確需送外單位維修時，應(yīng)徹底

清除所存工作信息，與密碼設(shè)備配套使用的計算機設(shè)備送修

前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹

底清除與密碼有關(guān)的軟件和信息。

第八章計算機病毒防范的安全管理

第九十二條必須指定專人定期用防病毒軟件查殺本

單位計算機信息系統(tǒng)，并做檢測、清除的記錄；必須按有關(guān)

操作規(guī)定定期更新防病毒產(chǎn)品版本。從計算機信息網(wǎng)絡(luò)上下

載程序、數(shù)據(jù)或購置、維修、接入計算機設(shè)備時，應(yīng)當進行

計算機病毒檢測。

第九十三條必須采用有公安部“銷售許可”標志的防

病毒產(chǎn)品，對本單位的病毒防治產(chǎn)品或系統(tǒng)必須有專人管理,

并由科技檔案管理人員妥善保存產(chǎn)品媒體及其備份。

第九十四條對于生產(chǎn)網(wǎng)使用的計算機，各級單位必須

根據(jù)總行科技信息部的部署，安裝統(tǒng)一的防火墻、防病毒、

入侵監(jiān)測、安全漏洞掃描等安全產(chǎn)品。

第九十五條不得制作、傳播計算機病毒。對因計算機

病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重

大事故要逐級向計算機管理部門報告。

第九章信息通報與災(zāi)難備份

第一節(jié)信息通報

第九十六條各支行應(yīng)對網(wǎng)點信息安全事件實行報告

制度。一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原

因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損

失較大的信息安全事件（下稱“重大信息安全事件”）發(fā)生

后的20分鐘內(nèi)逐級報省計算機中心及相關(guān)部門，省計算機

中心主管領(lǐng)導(dǎo)決定是否發(fā)布預(yù)警信息或啟動轄內(nèi)應(yīng)急預(yù)案。

第九十七條重大信息安全事件發(fā)生后，各機構(gòu)相關(guān)人

員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原

因，并及時報告本單位主管領(lǐng)導(dǎo)。

第二節(jié)災(zāi)難備份管理

第九十八條災(zāi)難備份是指利用技術(shù)、管理手段以及相

關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計算機系統(tǒng)在地震、水災(zāi)、火

災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞

等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的

時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。

第九十九條由省計算機中心按照“統(tǒng)籌安排、資源共

享、平戰(zhàn)結(jié)合”的原則，負責(zé)重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一

規(guī)劃、實施和管理。

第一百條應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢

復(fù)培訓(xùn)。在條件許可的情況下，由相關(guān)部門統(tǒng)一部署，重要

信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站

點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。

第十章安全監(jiān)測、檢查、評估與審計

第一節(jié)安全監(jiān)測

第一百零一條科技信息部要及時預(yù)警、響應(yīng)和處置運

行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)

解決，并逐級上報省計算機中心。

第二節(jié)安全檢查

第一百零二條科技信息部應(yīng)至少每年組織一次本單

位或轄內(nèi)的信息安全專項檢查，檢查方式可以是自查、互查

或上級檢查等多種方式。

第一百零三條在開展安全檢查前應(yīng)以安全管理制度

為依據(jù)，制定詳細的檢查方案和計劃，確保檢查工作的可操

作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)主

管領(lǐng)導(dǎo)批準后將檢查整改報告盡快送達被檢查單位，要求限

期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。

第一百零四條參加檢查的人員對檢查中的涉密信息

負有保密責(zé)任。所有檢查報告和資料應(yīng)作為我行內(nèi)部材料妥

善保管，不得向外界泄漏。

第三節(jié)安全評估

第一百零五條科技信息部可采用自評估、檢查評仁和

委托評估等方式對轄內(nèi)信息系統(tǒng)進行安全評估。

第一百零六條安全評估應(yīng)在不影響信息系統(tǒng)正常運

行的情況下進行。評估開始前應(yīng)制定評估方案并進行必要的

培訓(xùn)。評估結(jié)束后，形成評估報告，提出整改意見報科技信

息部主管領(lǐng)導(dǎo)。

第一百零七條如聘請第三方機構(gòu)進行安全評估，應(yīng)報

省計算機中心批準，并與第三方評估機構(gòu)簽訂安全保密協(xié)議

后方可進行。本單位信息安全管理人員全程參與評估過程并

實施監(jiān)督。

第一百零八條應(yīng)妥善保管信息安全評估報告，未經(jīng)授

權(quán)不得對外透露評估信息。

第四節(jié)安全審計

第一百零九條科技信息部在支持與配合內(nèi)審部門開

展審計信息安全工作的同時，應(yīng)適時開展轄內(nèi)的信息系統(tǒng)日

常運行管理和信息安全事件全過程的技術(shù)審計。

第十一章訪問控制策略

第一節(jié)對系統(tǒng)的訪問驗證策略

第一百一十條操作員管理，操作員在不同的系統(tǒng)中定

義可能會有區(qū)別，比如在柜臺交易系統(tǒng)的主要操作員為營業(yè)

部的柜員。

1、應(yīng)用系統(tǒng)有操作員管理模塊，單獨對操作員的信息、

密碼、權(quán)限等進行管理。

2、操作員進入任何應(yīng)用系統(tǒng)模塊之前，先經(jīng)過用戶身

份認證。

3、應(yīng)用系統(tǒng)檢測身份認證不成功的次數(shù)，當達到或超

過定義的不成功次數(shù)時，系統(tǒng)拒絕用戶進入系統(tǒng)并進行記錄。

4、操作員對系統(tǒng)的操作對象有單獨的權(quán)限控制。

5、操作員對系統(tǒng)的功能（通常體現(xiàn)為菜單），應(yīng)該有單

獨的權(quán)限控制。

第一百一十一條管理員操作系統(tǒng)的訪問

1、UNIX系統(tǒng)使用SSH登錄系統(tǒng)。

2、進入操作系統(tǒng)必須執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定

為自動登錄。

3、記錄登錄成功與失敗的日志。

4、登錄后5分鐘內(nèi)未有任何操作，系統(tǒng)將自動斷開（遠

程登錄）、退出（本地登錄）或鎖定。

5、日常非系統(tǒng)管理操作時，只能以普通用戶登錄。

6、啟用操作系統(tǒng)的密碼管理策略（如密碼至少8位，

字母數(shù)字組合等），保證用戶密碼的安全性。

7、針對系統(tǒng)需要，啟用相應(yīng)的日志記錄包括：登錄、

登出，系統(tǒng)報警，安全日志，重要應(yīng)用程序日志，重要文件

訪問日志。為保證日志的準確性，應(yīng)正確設(shè)置計算機時鐘。

8、對于系統(tǒng)管理的程序或工具必須設(shè)置日志，記錄使

用情況，包括：用戶、時間、操作等。

9、發(fā)現(xiàn)違反安全訪問策略的情況，及時處理，并通知

當事人，必要時進行懲罰。

第一百一十二條無人值守的用戶設(shè)備驗證策略

對于無人值守的用戶設(shè)備必須設(shè)置自動屏保程序，同時

要求用戶在離開時將屏幕鎖住。

當?shù)卿浀揭粋€系統(tǒng)完成任務(wù)，或長時間不使用時要從系

統(tǒng)注銷。

終端暫時不用時，應(yīng)使用密碼屏幕保護安全，長時間不

用時要關(guān)閉計算機。

第二節(jié)對網(wǎng)絡(luò)設(shè)備的訪問控制策略

第一百一十三條本行網(wǎng)絡(luò)架構(gòu)的設(shè)計和部署必須嚴

格遵守網(wǎng)絡(luò)訪問控制的相關(guān)要求。所有訪問或接入本行生產(chǎn)

網(wǎng)絡(luò)的各類設(shè)備必須滿足科技信息部門頒布的技術(shù)標準，根

據(jù)省聯(lián)社統(tǒng)一制度的技術(shù)標準采取必要的網(wǎng)絡(luò)接入控制措

施，禁止非授權(quán)終端的網(wǎng)絡(luò)接入，并受科技信息部門的統(tǒng)一

管理。

第一百一十四條所有網(wǎng)絡(luò)設(shè)備的登陸密碼以及各類

網(wǎng)絡(luò)服務(wù)密碼均應(yīng)被嚴格保護，禁止任何形式的“設(shè)備原始

通用密碼”或啟用自動登陸程序，并不得違規(guī)向未授權(quán)機構(gòu)

及個人披露。

第二節(jié)賬號密碼驗證策略

************各系統(tǒng)賬號和密碼由

各業(yè)務(wù)部門管理和設(shè)定，包括核算中心管理綜合業(yè)務(wù)系統(tǒng)、

風(fēng)險管理部管理信貸管理系統(tǒng)、辦公室管理0A辦公自動化

系統(tǒng)、電子銀行部管理網(wǎng)上銀行內(nèi)管系統(tǒng)，為各系統(tǒng)用戶設(shè)

置初始密碼?？傂锌萍夹畔⒉肯到y(tǒng)管理員負責(zé)監(jiān)督和保密管

理。

總行科技信息部負責(zé)解釋************辦公、生產(chǎn)網(wǎng)絡(luò)

上賬號規(guī)則和標準。

第一百一十六條作為用于臨時性、數(shù)據(jù)測試賬號，要

與正式賬號區(qū)分開，并保證不能登錄運行中的辦公、業(yè)務(wù)生

產(chǎn)網(wǎng)絡(luò)，在到期或測試結(jié)束時應(yīng)及時將該賬號刪除。

第一1百一1十七條************系統(tǒng)管理員密碼須定

期更換，更換后的密碼留存紙質(zhì)記錄，由專人按絕密數(shù)據(jù)保

管。

第一百一十八條賬號驗證管理

（一）賬號命名規(guī)則。

［、************密碼由大小寫字母、數(shù)字和特殊符號

組成，要求8位以上，并且有一定的復(fù)雜性。所有用戶最少

要有8個字符，必須由字母、數(shù)字以及特殊字符組成。

2、普通用戶至少每三個月更改一次密碼，免再次使用

舊密碼或循環(huán)使用舊密碼。

3、首次登錄時應(yīng)更改初始密碼。

（二）賬號申領(lǐng)

1、只有授權(quán)用戶才可以申請系統(tǒng)賬號，賬號相應(yīng)的權(quán)

限應(yīng)該以滿足用戶需要為原則，不得有與用戶職責(zé)無關(guān)的權(quán)

限。

2、一人一賬號，以便將用戶與其操作聯(lián)系起來，使用

戶對其操作負責(zé)。

3、管理員必須維護對注冊使用服務(wù)的所有用戶的正式

記錄。

4、用戶因工作變更或離開公司時，管理員要及時取消

或者鎖定其所有賬號，對于無法鎖定或者刪除的用戶賬號采

用更改密碼等相應(yīng)的措施規(guī)避該風(fēng)險。

（三）賬號管理規(guī)范

不允許將個人使用的賬號告知他人。個人計算機系統(tǒng)中

不允許有不明用途的賬號存在。員工在暫時離開自己的計算

機時，必須將自己的計算機鎖定。

第一百一十九條密碼驗證管理

（一）密碼選取

用戶應(yīng)該有意識地選擇強壯的密碼（即難以破解和猜測

的密碼），不要使用弱密碼。

1、弱密碼有以下特征：密碼長度少于6個字符；密碼

是可以在字典中直接發(fā)現(xiàn)的單詞密碼比較常見，例如：家人

名字、朋友名字、同事名字等等；計算機名字、術(shù)語、公司

名字、地名、硬件或軟件名稱：生日、個人信息、家庭地址、

電話：某種模式的，例如aaabbb、asdfgh.12