**商业银行计算机信息系统安全管理工作
规定
第一章总则
第一条为了加强**商业银行股份有限公司计算机信息系统的安全管理工作，防范计算机犯罪，保证计算机系统安全、稳定地运行，根据《金融机构计算机信息系统安全保护工作暂行规定》等有关法律、法规，特制定本规定。

第二条本规定适用于我行各级机构，包括总行各部门及办事处（以下简称各单位）。

第三条**商业银行股份有限公司计算机信息系统安全保护工作实行谁主管、谁负责，预防为主、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。

第四条**商业银行股份有限公司各单位的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。

各级计算机安全保护领导小组、专职部门和专（兼）职计算机安全管理人员协助第一责任人落实有关规定。

第二章计算机机房安全防范设施及安全管理
第五条本规定所称计算机信息系统安全防范设施包括计算机中心机房的构筑防护设施和计算机信息系统及其相关配套设备的技术防护设施。

第六条**商业银行股份有限公司的计算机中心机房应当
符合下列基本要求：
（一）中心机房在建筑内应为独立区域；
（二）中心机房周围100米内不得有危险建筑，如加油站、煤气站等；
（三）中心机房必须按照有关标准配置防火、防水、防盗设施；
（四）中心机房必须采用双回路供电，或者配备发电机、UPS等设施。

第七条重要的通讯控制装置及通讯线路必须有备份。

网络通讯设施要有安全技术措施。

第八条中心机房其它安全设施及管理按照《**商业银行股份有限公司计算机中心机房管理制度》、**商业银行股份有限公司安全保卫部门有关规定执行。

第三章计算机用户安全管理
第九条计算机用户安全管理包括各类操作系统、数据库系统、应用系统、网络设备、其他计算机设备的用户管理。

第十条所有计算机使用者负责维护和妥善保管自己的计算机用户密码。

对于可疑情况，必须向信息技术部报告备案。

第十一条各类用户应坚持一人一用户原则，严禁使用他人的计算机用户登录计算机系统；严禁将自己的计算机用户给其他人使用。

计算机用户的使用者在用户登录期间因故离开或者使用结束后必须及时退出系统。

第十二条严格控制各类用户密码长度（至少6位）；密码不能和用户名相同，也不能使用本人姓名、生日、身份证号码、
电话号码等容易被猜出的数字或字母。

第十三条计算机使用者每三个月必须更改用户密码一次。

第十四条各单位在申请增加各类用户时，要求提前提出申请。

信息技术部运行组在创建用户时应严格根据各业务系统的要求，给予用户最小的合理权限。

第十五条对于员工调离或岗位变动，员工原所属单位负责人应向信息技术部申请注销该员工使用的所有用户，并填写《**商业银行股份有限公司中心机房维护申请表》，由信息技术部运行组对该员工的相关用户做适当处理。

第十六条信息技术部应定期进行检查，对于人员调动未向信息技术部提出注销用户、私自交接用户和密码的，应对单位负责人及直接责任人予以严肃处理。

第十七条各单位每半年应将本单位所有用户及使用者姓名上报信息技术部登记备案，据此信息技术部对各单位用户使用情况进行清查。

第四章计算机系统设备的安全管理
第十八条未经信息技术部同意，计算机使用人员不得私自安装计算机设备（尤其是MODEM、网卡、无线通讯设备等），不得私自配置网络参数，不得私自安装与工作无关的软件，严禁私自连接本系统外的任何网络。

第十九条各单位计算机联络员负责本机构计算机设备常规维护，定期检查本单位计算机设备的使用情况，并做好相关记录，每季上报信息技术部。

第二十条信息技术部应定期抽查各单位的设备使用情况，
对于私自安装网络设备、连接外部网络的，一经发现，必须报安全保卫部门严肃查处。

第五章网络系统安全管理
第二十一条对于所有生产环境的网络设备，系统管理组负责每周检查配置信息一次；对配置信息进行修改的，修改前后必须做备份。

第二十二条禁止将网络测试环境与生产环境连接。

生产环境的IP地址分配要严格按照有关规定执行。

第二十三条信息技术部应严格管理所有的拨号端口，采取设置密码和电话回拨等措施，保证拨号端口的安全。

第二十四条凡与其他单位有联网需求的，必须通知信息技术部。

上报内容包括联网的单位、业务需求、联网方案等。

第二十五条生产环境的网络设备具有设置用户和口令功能的，必须严格设置用户和口令。

第二十六条如果与本系统外的网络连接，必须经过我行防火墙或通信协议网关等隔离措施；或者与我行网络从物理上隔离开来。

不允许以任何途径对外泄露我行的网络配置和路由信息。

第二十七条未经信息技术部书面批准，严禁私自安装网络管理软件、网络监测和其它黑客软件。

禁止在办公环境中安装、使用网络管理或监控软件。

第二十八条违反上述规定的，将追究有关当事人及负责人的责任。

第六章计算机防病毒的管理
第二十九条各单位计算机联络员负责所在单位内计算机系统的防病毒工作。

所有的计算机系统必须定期查杀计算机病毒（至少每月一次）。

第三十条各单位如果遇到计算机病毒发作事件，应及时上报信息技术部。

第七章其他
第三十一条计算机系统的磁带备份必须定期进行磁带内容有效性的确认。

第三十二条如果必须请外单位安装、维护软件或硬件，各单位应严格控制计算机安全问题并对由此产生的安全问题负责。

第三十三条各单位应根据本规定制定严格的计算机信息资料管理办法，对作废的报表、送外单位维修的硬盘等的处理做明确的规定。

第三十四条各单位发现有关计算机信息系统案件或事故的，必须逐级上报主管部门，并严格按照我行安全保卫相关规定向安全保卫部门报告。

第八章附则
第三十五条本制度的解释权归**部门。

第三十六条本制度从下发之日起实施执行。