信息安全管理办法

*********有限责任公司

信息安全管理办法

第一章总则

第一条为了加强************有限责任公司（以下简

称：我行）计算机信息系统安全保护工作，确保我行计算机

信息系统安全、稳定、高效运行，根据《中华人民共和国计

算机信息系统安全保护条例》、《金融机构计算机信息安全保

护工作暂行规定》等有关法律、法规，结合自身实际制定本

办法。

第二条************有限责任公司计算机信息系统

安全管理工作的指导方针是“预防为主，安全第一，依法办

事，综合治理:其中“预防为主”是计算机安全管理工作

的基本方针。

第三条************有限责任公司计算机信息系统

安全工作实行统一领导和分级管理。按照“谁主管谁负责、

谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个

人信息安全责任制。

第四条成立计算机信息安全管理工作领导小组，由科

技、财会、保卫、稽核、办公室、电子银行等部门组成，实

行一把手负责制，计算机信息安全管理工作领导小组负责组

织、协调、监督和检查我行计算机安全管理工作。

第五条权限说明：************有限责任公司作为吉

林省农村信用联合社（以下简称:省联社）信息系统平台的终

端使用者，享有使用其系统、数据库、网络等其他IT资源的

权利，吉林省农村信用联合社享有开发、管理、控制其系统、

数据库的权利，当出现各种事故时由************向吉林省

农村信用联合社进行通知报告，系统、数据库、网络等故障

根据事故级别情况由吉林省农村信用联合社进行处理解决。

本办法适用于************计算机设备、系统的使用部

门和各分支机构。本办法与相关制度对应关系如下

第四章对应《************有限责任公司系统运行维护

实施细则》须结合上述制度开展工作。

第五章对应《************有限责任公司网络运行维护

实施细则》须结合上述制度开展工作。

第六章对应《************有限责任公司办公设备日常

操作管理办法》、《************计算机物品管理指导意见

（试行）》须结合上述制度开展工作。

第八章对应《************数据备份管理规定》结合该

制度开展工作。

第二章人员与岗位管理

第一节人员基本要求与安全教育

第六条本办法所称计算机安全人员，是指各级机构专

（兼）职计算机安全管理人员。

第七条计算机安全人员应当遵纪守法、政治过硬、业

务精通、恪尽职守。违反国家法律、法规和受到行政处分的

人员，不得从事计算机安全管理工作。

第八条计算机安全人员变动，应向上级科技管理部门

备案。

第九条营业机构对全体员工应进行计算机安全法律

法规及相关规章制度的培训。

第十条计算机安全人员应定期接受政治思想教育、职

业道德教育、安全保密教育。

第十一条计算机安全教育由科技信息部负责实施。

第二节计算机关键岗位人员安全管理

第十二条本办法所称计算机信息系统关键岗位人员

（简称关键岗位人员），是指与重要计算机信息系统直接相

关的系统管理员、网络管理员、系统开发员、系统维护员、

操作运营等岗位人员。

第十三条关键岗位人员上岗前，必须经过人事部门的

政治素质审查，科技信息部的信息安全教育、业务操作技能

考核，合格者方可上岗。

第十四条关键岗位人员上岗必须实行“权限分散、不

得交叉覆盖”的原则。系统管理人员、网络管理人员、系统

开发人员、系统维护人员不得操作任何业务；系统开发人员

不得兼任系统管理员。

第十五条岗位人员调离岗位，必须严格办理调离手续,

承诺其调离后的保密义务。涉及基层业务保密信息的关键岗

位人员调离单位时，必须进行离岗稽核，关键岗位人员在调

离后应继续履行保密义务。

第十六条关键岗位人员离岗后，必须及时注销其用户,

并更换相关密码。

第三节计算机岗位人员的安全责任

第十七条系统管理员安全责任

1.负责系统的运行管理，实施系统安全运行细则。

2.严格用户权限管理，维护系统安全正常运行。

3.认真记录系统安全事项，及H向科技信息部负责人

报告安全事件。

4.对进行系统操作的其他人员予以安全监督。

第十八条网络管理员安全责任

1.负责网络的运行管理，检测网络运行状况，实施网

络安全策略和安全运行细则。

2.合理配置网络应用，严格控制网络用户访问权限,

维护网络安全正常运行。

3.监控网络关键设备、网络端口、网络物理链路，防

范黑客入侵，及时向部门负责人报告安全事件。

4.对操作区络管理功能的其他人员进行安全监督。

第十九条开发人员安全责任

1.系统开发建设中，应严格执行系统安全策略，保证

系统安全功能的准确实现。

2.系统投产运行前，应完整移交系统源代码和相关涉

密资料。

3.不得对系统设置“后门

4.对系统核心技术保密。

第二十条应用系统、操作系统维护员安全责任

1.负责系统维护，及时解除系统故障，确保系统正常

运行。

2.不得擅自改变系统功能及相关参数。

3.不得安装与系统无关的其它计算机程序。

4.维护过程中，发现安全漏洞应及时报告部门负责人。

第二十一条业务操作员安全责任

1.严格执行系统操作规程和运行安全管理制度。

2.不得向他人提供自己的操作密码，柜员卡不得借给

他人。

3.及时向科技信息部报告系统各种异常事件。

第二十二条各部门、营业机构计算机管理员责任

1.各部门、营业机构应指派素质好、较熟悉计算机知

识的人员担任本单位的计算机管理员或科技协管员，并报科

技信息部备案。如有变更应做好交接工作，并及时通知科技

信息部。

2.各部门、营业机构计算机管理员或科技协管员要配

合科技人员工作，并参加各项信息安全技能培训。

3.各部门、营业机构计算机管理员或科技协管员负责

本部门、本网点计算机病毒防治工作，监督检查本部门客户

端安全管理情况；负责提出本部门信息安全保障需求，及时

与科技信息部沟通信息安全监测情况；协助科技信息部完成

对本部门的信息安全检查工作。

第四节一般计算机用户的安全管理责任

第二十三条本办法所称一般计算机用户是指使用计

算机设备的我行所有工作人员。

第二十四条一般计算机用户应承担如下安全义务：

1.不得安装与办公和业务处理无关的其他计算机软件

和硬件，不得修改系统和网络配置参数。

2.未经科技信息部检测和授权，不得将接入系统内部

网络所用计算机转接国际互联网，不得将便携式计算机接入

总行内部网络，不得随意将私人计算机带入机房或私自拷贝

任何信息。所造成的后果和相关经济损失由本人承担。

第五节外来人员的安全管理

第二十五条各单位要针对不同的外来人员，制定相应

的安全策略，严格控制外来人员对我行信息系统、网络设备、

安全设备、办公主机、主机服务器的访问，外来人员对敏感

的信息资产进行访问时，应与其签订安全保密协议，明确安

全责任和义务。

第二十六条各单位必须做好外来人员的出入管理和

陪同工作。

第二十七条严禁外来人员在未经科技信息部允许的

情况情况下通过办公用户网访问生产网络。

第二十八条对需要长期进入各级单位工作的外公司

人员，必须报外来人员管理部门审批，做好其工作区域的隔

离和访问控制，并对访问过程进行全程监控、详细记录和及

时审计。

第三章设备的安全管理

第二十九条设备安全管理是指对所有保证系统正常

运行的主机设备、网络通信设备及外围设备的安全管理。

第三十条生产环境、测试环境、开发环境的相关设备

相互之间必须有明确的物理安全边界，物理安全区必须有明

确的标志。

第三十一条设备所在的物理安全区应具备符合国家

相关标准与规范的配电、照明、湿度、防水、防火、防雷及

防盗等基本环境条件。

第三十二条对路由器、交换机、防火墙和主机服务器

等设备必须采取严格的管理措施，未经批准不得随意移动和

接入。

第三十三条设备安装时，应由相关技术人员制定在细

可行的操作步骤，其中关键设备的安装必须请供货厂商（代

理商）技术人员现场支持。

第三十四条主机和网络通信关键设备必须有备份，并

处于实时备用状态。

第三十五条重要设备使用单位应做好设备日常运行

维护工作：

1.做好设备的日常检测、检查、记录，及时掌握设备

的运行状况。

2.设备发生故障时应及时维修，必要时，通知设备维

护商的技术人员到场解决。

3.制定设备维护计划，为维护的项目、步骤、周期、

责任人等做出明确规定，并严格按照设备维护计划定期进行

设备的保养和维护，做好设备维护记录。

第四章系统的安全管理

第三十六条本办法所指的计算机系统是指

************业务处理系统、管理信息系统和日常办公自动

化系统等，包括数据库、软件和硬件支撑环境等。

第三十七条系统规划与立项要充分考虑系统的安全

需求，系统建设要充分考虑实现安全功能，计算机安全管理

部门应对重要系统的立项进行安全性专项审查。

第三十八条系统选用的操作系统、数据库管理系统、

中间件等必须具备与系统相适应的安全性。

第三十九条系统投入运行前，必须进行系统的安全评

估与审批；对已投入运行的系统需跟踪进行评估并根据评估

结果不断改进和提高系统安全性。

第四十条系统运行安全管理

1.严禁在生产系统上安装编译工具、应用系统源程序

及其他与系统业务无关的软件。

2.备份系统与生产系统的系统构成与配置应保持一致,

以保证生产系统出现故障时能顺利切换。

3.严禁擅自修改系统参数，确需修改应严格履行审批

手续，由维护岗位人员实施，实施时应有监督，修改后的参

数应记录在案。

4.严禁擅自对业务数据库的数据进行修改或恢复操作,

确需操作时应严格履行审批手续，由相关岗位人员实施，并

由有关人员监督执行。

5.对于系统软件升级、应用软件升级或更新、系统切

换、年终结转、结息等重大事件操作，按《************有

限责任公司系统升级管理办法》由科技信息部从安全角度出

发与业务部门密切配合，共同制定详细的计划和方案。

第四十一条做好系统的日常安全运行维护工作，不断

完善系统运行制度、日志管理制度、密码密钥管理制度、操

作规程的安全管理制度等。定期对系统进行备份，并对备份

媒体按有关规定指定专人妥善保管，重要业务系统的备份媒

体必须异地保存。重要业务系统应由业务部门制定计算机安

全保护的应急计划，保证业务的不间断运行，并不断完善应

急计划。对涉密的应用系统，应严格执行保密管理的有关规

定。

第四十二条各级运行机构必须做好对系统的安全监

测工作。非营业机构接入生产网，须向科技信息部申请，连

接单独设立的服务器。

第四十三条严格执行系统废止和销毁的有关安全管

理规定。

第五章网络安全管理

第一节网络管理

第四十四条科技信息部应持续建立健全网络安全运

行制度，不断健全《************网络运行维护实施细则》、

*T**T**T**T**T**T**T»系统运行维护实施细则》、《************计

算机系统应急预案》等涉及到网络方面的制度，并按制度开

展日常工作。

第四十五条应配备专职网络管理员。重要网络设备应

放置在机房内，由网络管理员负责管理。其他人员不得对网

络设备进行任何操作。网管设备属专管设备，必须严格控制

其管理员密码。

第四十六条重要网络通信硬件设施、网管应用软件设

施及网络参数配置应有备份，按《************数据备份管

理规定》执行备份有关工作。

.第四十七条新建网络、网络改造或变更在投入使用前,

科技信息部应制订相应的网络安全防范措施，组织对新建网

络或改造后网络实施安全检验，未通过检验不允许投产使用。

第四十八条网络管理员调整网络重要参数配置和服

务端口前，应书面请示本部门主管领导，改变网络路由配置

和通信地址等参数的操作，必须具有包括时间、目的、内容

及维护人员等要素的书面记录。实施有可能影响网络正常运

行的重大网络变更，应提前通知所有使用部门并安排在节假

日进行，同时做好配置参数的备份和应急恢复准备。

第四十九条网络管理员应按照省联社统一发布安全

规范实施所负责网络的安全配置，并定期检查与规范的符合

性。对网络设备配置命令和响应信息的完整性、合理性及保

密性必须进行验证。

第五十条与其他业务相关机构的网络连接，应采用必

要的技术隔离保护措施，提出具体实施方案，并得到充分论

证，经过科技信息部审核通过方可实施。

第五十一条网络管理人员应随时掌握监测网络运行

状况，定期检查网络状况，双机热备对获得的信息进行分析,

发现安全隐患应报告部门负责人。

第五十二条网络扫描、监测结果和网络运行日志等重

要信息应备份存储。

第五十三条联网计算机应定期进行查、杀病毒操作,

发现计算机病毒，应及时处理。

第五十四条科技信息部人员严禁超越网络管理权限,

非法操作业务数据信息，不得擅自设置路由与非相关网络进

行连接。

第五十五条按照我行制定的相关网络安全技术规范

要求，对办公用户网、测试网与生产网络实施严格的物理、

逻辑隔离措施。

第五十六条对计算机网络和数据通信设备的停用、维

修、重用和作废环节，应建立安全机制有效清除或销毁敏感

信息，防止泄露。

第二节内网的使用管理

第五十七条由总行办公室（党办）统一为各级机构、各

专业分配内部网络电子邮箱和即时通讯软件工具账号，用于

日常信息传递。

第五十八条由总行办公室（党力、）统一为各机构、各部

门分配内部相关群组，用于实时信息传递。

第五十九条加强内网操作人员权限管理，严格按照权

限规定办理业务，无关人员禁止使用内网。

第六十条接入内网的计算机未经科技信息部允许不

准安装其它软件。

第六十一条接入内网的计算机禁止使用各种游戏、娱

乐软件。

第六十二条严禁擅自将我行内网与外网直接连接。

（一）我行内网与企业外单位网络利用专线进行互连的

方案，必须报我行总行科技信息部审批，经省联社相关部门

同意后方可实施；

（二）我行专用网络与INTERNET互联网连接的方案,

必须报总行科技信息部审批。不得同一台主机进行内外网切

换，严格保持内、外网物理隔离.

第六十三条内网的网络设备用户访问内网网络资源

应经过安全认证、合理授权。认证应采用高安全强度的认证

方式，对用户的权限应合理规划，实现角色的分离和相互制

约，限制用户权限尤其是超级用户权限的滥用和误用。

第六十四条防火墙策略的制定要严格按照相关网络技

术规范进行，防火墙策略的变更应经过科技部部门审批。利

用防火墙、防病毒、安全漏洞扫描、网络非法外联、网络入

侵检测等软件和工具对获得的信息进行分析时，如发现安全

事件，必须按照规定及时处埋和报告，并对其日志进行保存

和审计。

第六十五条严禁外单位（包括供应商和服务商等）通

过专线或拨号方式对我行信息系统进行远程维护和技术支

持。

第三节接入国际互联网管理

第六十六条各级机构办公场所禁止私自用各种方式

接入互联网。确有特殊需要接入互联网的部门，必须由部门

负责人提出书面申请，经主管领导审批，报科技信息部备案，

方可接入。并严格保持内、外网物理隔离。

第六十七条使用国际互联网的安全管理

1.接入国际互联网的机器不得存有涉密金融数据信息,

接入国际互联网的计算机上不得使用存有涉密金融数据信

息的媒体。

2.从国际互联网下载的任何信息资源，未经检测并得

到许可，不得在本行系统内网上使用。禁止访问或下载与工

作无关的信息，禁止访问高风险网站，禁止安装、使用各类

游戏、娱乐软件。

3.接入国际互联网的计算机须安装防病毒系统，并定

期升级。严禁利用互联网络传播病毒、散播非法信息、泄露

国家和机构的机密。

5.本单位所属的国际互联网账号不得在本单位之外的

其它场所使用。

6.国际互联网接入账户和密码必须实行专人管理，并

不定期更换密码。

7.确有需要接入国际互联网的部门必须由负责人提出

书面申请，送科技信息部初审，报分管行领导签批同意后方

可接入。

8.使用国际互联网的所有用户应遵守国家有关法律法

规和相关管理规定，不得从事任何违法违规活动。

9.无线网络只允许访问国际互联网，严禁通过无线网络

访问业务运行类系统，无线网络的应用开通范围需由本单位

安全管理岗审核。

第六十八条各使用部门应自觉接受总行信息安全工

作领导小组的监督检查。

第六章计算机安全保密管理

第一节计算机及相关产品安全管理

第六十九条涉密计算机要与公用网络实行物理隔离，

不得与因特网、非保密的局域网、非涉密的单机等有任何形

式的物理连接。

第七十条涉密计算机的使用要由专人负责管理，建立

专门用户，并设立密码。

第七十一条计算机须安装具有实时监控病毒功能的

防毒软件和防火墙产品，并及时升级。利用防毒软件，对需

要在计算机使用的外来软盘、光盘等存储介质、下载的网络

文件、电子邮件及其附件等进行病毒检查、清除。

第七十二条任何单位或个人不得在连接互联网的计

算机或网络中存储、处理、传递、发布涉及国家秘密以及

************内部商业秘密的信息，当发现信息泄漏，应立

即向有关部门报告。

第七十三条进行互联网连接的单位和个人，应遵守国

家有关法律、法规，严格执行安全保密制度，不得利用计算

机国际互联网从事危害国家安全、泄漏国家秘密等违法犯罪

活动；不得利用计算机国际互联网进行搜集、整理、窃取国

家秘密的活动。

第七十四条各级单位和用户原则上不准开设电子公

告系统、聊天室等，如确有需要必须上报有关部门审批、备

案。

第七十五条用户使用电子邮件进行网上信息交流应

遵守国家有关保密规定，不得利用电子邮件传递、转发或抄

送涉密信息。互联单位、接入单位如有邮件服务器，对其管

理的邮件服务器用户应当明确保守国家秘密的要求。

第七十六条对于建立主页的单位，应与保密部门签订

保密责任协议，并协助保密部门对其主页内容进行保密监督、

检查，指定专人负责对信息内容的监督审查。

第七十七条由省计算机中心负责开发的软件产品、密

钥及技术资料等要进行登记并妥善保管，严防泄漏，指定专

人管理已开发的全部程序源码和技术资料，未经科技信息部

主管领导批准，不得向外复制、销售、转让软件产品。

第七十八条对于操作系统、数据库、网络通讯及安全

设备等重要区域均应设置口令，对记录密码的载体应严格管

理，确保安全。

第二节数据信息的管理

第七十九条计算机的存储媒体要依据文件内容准确

界定并标注涉密介质的密级和保密期限，按照所标密级和保

密期限严格管理。密级和保密期限的界定标注方法等同于同

内容的纸质文件。

第八十条必须加强数据信息处理全过程的安全管理，

保证数据信息的保密性、完整性、可用性、可控性。数据信

息的安全管理应做到：

1.严把数据信息采集关，确保真实、可靠、合法。

2.据实录入数据信息，严禁凭空输入，对数据信息的

修改，必须得到有关部门的批准，并记录备案。

3.必须采用必要的技术措施保证数据信息传输过程的

安全，应使用加密技术对涉密或重要的数据信息实施加密处

理。

4,使用部门应按规定进行数据备份，并检查备份媒体

的有效性，送往异地的重要数据磁盘、磁带必须有加密措施,

严防泄漏。

5.在设备维修、报废过程中，要确保其中的数据信息

的保密性、完整性。

第八十一条涉密媒体包括记录档案资料、软件、数据

等的各种载体。保证涉密媒体信息的安全应做到：

1.各种媒体的收集、保管、使用须按科技档案管理办

法执行。

2.严格分级管理，在媒体使用上，根据媒体的密级，

要做到分级使用、定人操作，保留在现场的媒体数量应是系

统有效运行所需要的最小数量。

3.涉密数据在系统进行下载存贮过程中必须采取相应

的加密技术措施。

4.涉密媒体的保管要防磁、防潮、防腐、防霉变，重

要磁介质每年要进行翻录或复制，实行异地保管，时限四年。

5.涉密媒体的传递与外借，应有审批手续和传递记录，

涉密媒体传递过程中，要采取必要的防复制及加密等安全措

施。

6.涉密媒体必须按照有关保密管理规定进行管理，严

格录入、查询、复制、传递、保管、归档、销毁等各环节的

手续；同一媒体上不得混录密和非密信息，如果必须同时录

用不同密级的信息，应按存储信息的较高密级进行管理并标

明密级。

7.媒体要根据需要与存储环境定期进行循环复制备份,

并进行登记；全部涉密媒体信息的转交、挪动和销毁，相关

人员均须在场。

8.废弃媒体，相关部门应详细登记，妥善保管，每年

底报请分管领导批准后，集中统一在保密管理人员监督下进

行不可恢复性销毁。

第八十二条金融电子化系统中的信息应根据其重要

性、密级、应用需求等分别实行相应的加密措施。对绝密级

（金融电子化设计方案、金融主要业务的源代码、联行或电子

汇兑密押、密钥的文字说明等），机密级（计算机网络设计方

案、数据库设计说明、有关电子帐务数据文件、主要业务的

目标程序等），秘密级（省市级项目电报、会计报表、银行重

要凭证及帐务等）等信息不得通过互联网传送，机密信息不

得以明文形式传送。

第三节数据备份与恢复

第八十三条省计算机中心负责业务数据和系统方面

的备份及恢复。各业务部门负责本部门重要业务数据和资料

方面的备份和恢复。

第八十四条要确认备份操作准确无误后进行备份操

作。各业务部门应将计算机信息数据备份媒体视同重要空白

凭证，指定专人负责备份数据媒体的管理。备份数据媒体应

按要求写明标识，要确保存放地的安全，并定期进行检查,

确保数据的完整性、可用性。

第七章第三方访问和外包服务安全管理

第一节第三方访问控制

第八十五条本办法所称第三方访问是指

************之外的单位和个人物理访问省计算机中心机

房或者通过网络连接逻辑访问省计算机中心数据库和计算

机系统等活动。

第八十六条省计算机中心负责涉密计算机系统和网

络相关的第三方访问授权审批，科技信息部负责非涉密计算

机系统和网络相关的第三方访问授权审批。未经

************授权的任何第三方访问均视为非法入侵行为。

第八十七条允许被第三方访问的计算机系统和资源

应建立存取控制机制、认证机制，列明所有用户名单及其权

限，严格监督第三方访问活动。

第八十八条获得第三方访问授权的所有单位和个人

应与省计算机中心签订安全保密协议，不得进行未授权的修

改、增加、删除数据操作，不得复制和泄露************的

任何信息。

第二节外包服务管理

第八十九条本办法所称外包服务是指由

************之外的其他社会厂商为************计算机

系统、网络或桌面环境提供全面或部分的技术支持、咨询等

服务。外包服务应签订正式的外包服务协议，明确约定双方

义务。

第九十条经科技信息部主管领导批准，外包服务提供

商可提供上门维修服务并由************科技人员在场准

确记录所有技术配置变更信息。外包服务提供商不得查看、

复制涉密信息或将涉密介质带离************。

第九十一条计算机设备确需送外单位维修时，应彻底

清除所存工作信息，与密码设备配套使用的计算机设备送修

前必须请生产设备的科研单位拆除与密码有关的硬件，并彻

底清除与密码有关的软件和信息。

第八章计算机病毒防范的安全管理

第九十二条必须指定专人定期用防病毒软件查杀本

单位计算机信息系统，并做检测、清除的记录；必须按有关

操作规定定期更新防病毒产品版本。从计算机信息网络上下

载程序、数据或购置、维修、接入计算机设备时，应当进行

计算机病毒检测。

第九十三条必须采用有公安部“销售许可”标志的防

病毒产品，对本单位的病毒防治产品或系统必须有专人管理,

并由科技档案管理人员妥善保存产品媒体及其备份。

第九十四条对于生产网使用的计算机，各级单位必须

根据总行科技信息部的部署，安装统一的防火墙、防病毒、

入侵监测、安全漏洞扫描等安全产品。

第九十五条不得制作、传播计算机病毒。对因计算机

病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重

大事故要逐级向计算机管理部门报告。

第九章信息通报与灾难备份

第一节信息通报

第九十六条各支行应对网点信息安全事件实行报告

制度。一般信息安全事件应逐级通报，发生因人为、自然原

因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损

失较大的信息安全事件（下称“重大信息安全事件”）发生

后的20分钟内逐级报省计算机中心及相关部门，省计算机

中心主管领导决定是否发布预警信息或启动辖内应急预案。

第九十七条重大信息安全事件发生后，各机构相关人

员应注意保护事件现场，采取必要的控制措施，调查事件原

因，并及时报告本单位主管领导。

第二节灾难备份管理

第九十八条灾难备份是指利用技术、管理手段以及相

关资源，确保已有业务数据和计算机系统在地震、水灾、火

灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏

等无法预料的突发事件（以下称“灾难”）发生后在规定的

时间内可以恢复和继续运营的有序管理过程。

第九十九条由省计算机中心按照“统筹安排、资源共

享、平战结合”的原则，负责重要信息系统灾难备份的统一

规划、实施和管理。

第一百条应建立健全灾难恢复计划，定期开展灾难恢

复培训。在条件许可的情况下，由相关部门统一部署，重要

信息系统至少每年进行一次灾难恢复演练，包括异地备份站

点切换演练和本地系统灾难恢复演练。

第十章安全监测、检查、评估与审计

第一节安全监测

第一百零一条科技信息部要及时预警、响应和处置运

行监测中发现的问题，发现重大隐患和运行事故应及时协调

解决，并逐级上报省计算机中心。

第二节安全检查

第一百零二条科技信息部应至少每年组织一次本单

位或辖内的信息安全专项检查，检查方式可以是自查、互查

或上级检查等多种方式。

第一百零三条在开展安全检查前应以安全管理制度

为依据，制定详细的检查方案和计划，确保检查工作的可操

作性和规范性。安全检查完成后应及时形成检查报告，经主

管领导批准后将检查整改报告尽快送达被检查单位，要求限

期整改的，需要对相关整改情况进行后续跟踪。

第一百零四条参加检查的人员对检查中的涉密信息

负有保密责任。所有检查报告和资料应作为我行内部材料妥

善保管，不得向外界泄漏。

第三节安全评估

第一百零五条科技信息部可采用自评估、检查评仁和

委托评估等方式对辖内信息系统进行安全评估。

第一百零六条安全评估应在不影响信息系统正常运

行的情况下进行。评估开始前应制定评估方案并进行必要的

培训。评估结束后，形成评估报告，提出整改意见报科技信

息部主管领导。

第一百零七条如聘请第三方机构进行安全评估，应报

省计算机中心批准，并与第三方评估机构签订安全保密协议

后方可进行。本单位信息安全管理人员全程参与评估过程并

实施监督。

第一百零八条应妥善保管信息安全评估报告，未经授

权不得对外透露评估信息。

第四节安全审计

第一百零九条科技信息部在支持与配合内审部门开

展审计信息安全工作的同时，应适时开展辖内的信息系统日

常运行管理和信息安全事件全过程的技术审计。

第十一章访问控制策略

第一节对系统的访问验证策略

第一百一十条操作员管理，操作员在不同的系统中定

义可能会有区别，比如在柜台交易系统的主要操作员为营业

部的柜员。

1、应用系统有操作员管理模块，单独对操作员的信息、

密码、权限等进行管理。

2、操作员进入任何应用系统模块之前，先经过用户身

份认证。

3、应用系统检测身份认证不成功的次数，当达到或超

过定义的不成功次数时，系统拒绝用户进入系统并进行记录。

4、操作员对系统的操作对象有单独的权限控制。

5、操作员对系统的功能（通常体现为菜单），应该有单

独的权限控制。

第一百一十一条管理员操作系统的访问

1、UNIX系统使用SSH登录系统。

2、进入操作系统必须执行登录操作，禁止将系统设定

为自动登录。

3、记录登录成功与失败的日志。

4、登录后5分钟内未有任何操作，系统将自动断开（远

程登录）、退出（本地登录）或锁定。

5、日常非系统管理操作时，只能以普通用户登录。

6、启用操作系统的密码管理策略（如密码至少8位，

字母数字组合等），保证用户密码的安全性。

7、针对系统需要，启用相应的日志记录包括：登录、

登出，系统报警，安全日志，重要应用程序日志，重要文件

访问日志。为保证日志的准确性，应正确设置计算机时钟。

8、对于系统管理的程序或工具必须设置日志，记录使

用情况，包括：用户、时间、操作等。

9、发现违反安全访问策略的情况，及时处理，并通知

当事人，必要时进行惩罚。

第一百一十二条无人值守的用户设备验证策略

对于无人值守的用户设备必须设置自动屏保程序，同时

要求用户在离开时将屏幕锁住。

当登录到一个系统完成任务，或长时间不使用时要从系

统注销。

终端暂时不用时，应使用密码屏幕保护安全，长时间不

用时要关闭计算机。

第二节对网络设备的访问控制策略

第一百一十三条本行网络架构的设计和部署必须严

格遵守网络访问控制的相关要求。所有访问或接入本行生产

网络的各类设备必须满足科技信息部门颁布的技术标准，根

据省联社统一制度的技术标准采取必要的网络接入控制措

施，禁止非授权终端的网络接入，并受科技信息部门的统一

管理。

第一百一十四条所有网络设备的登陆密码以及各类

网络服务密码均应被严格保护，禁止任何形式的“设备原始

通用密码”或启用自动登陆程序，并不得违规向未授权机构

及个人披露。

第二节账号密码验证策略

************各系统账号和密码由

各业务部门管理和设定，包括核算中心管理综合业务系统、

风险管理部管理信贷管理系统、办公室管理0A办公自动化

系统、电子银行部管理网上银行内管系统，为各系统用户设

置初始密码。总行科技信息部系统管理员负责监督和保密管

理。

总行科技信息部负责解释************办公、生产网络

上账号规则和标准。

第一百一十六条作为用于临时性、数据测试账号，要

与正式账号区分开，并保证不能登录运行中的办公、业务生

产网络，在到期或测试结束时应及时将该账号删除。

第一1百一1十七条************系统管理员密码须定

期更换，更换后的密码留存纸质记录，由专人按绝密数据保

管。

第一百一十八条账号验证管理

（一）账号命名规则。

［、************密码由大小写字母、数字和特殊符号

组成，要求8位以上，并且有一定的复杂性。所有用户最少

要有8个字符，必须由字母、数字以及特殊字符组成。

2、普通用户至少每三个月更改一次密码，免再次使用

旧密码或循环使用旧密码。

3、首次登录时应更改初始密码。

（二）账号申领

1、只有授权用户才可以申请系统账号，账号相应的权

限应该以满足用户需要为原则，不得有与用户职责无关的权

限。

2、一人一账号，以便将用户与其操作联系起来，使用

户对其操作负责。

3、管理员必须维护对注册使用服务的所有用户的正式

记录。

4、用户因工作变更或离开公司时，管理员要及时取消

或者锁定其所有账号，对于无法锁定或者删除的用户账号采

用更改密码等相应的措施规避该风险。

（三）账号管理规范

不允许将个人使用的账号告知他人。个人计算机系统中

不允许有不明用途的账号存在。员工在暂时离开自己的计算

机时，必须将自己的计算机锁定。

第一百一十九条密码验证管理

（一）密码选取

用户应该有意识地选择强壮的密码（即难以破解和猜测

的密码），不要使用弱密码。

1、弱密码有以下特征：密码长度少于6个字符；密码

是可以在字典中直接发现的单词密码比较常见，例如：家人

名字、朋友名字、同事名字等等；计算机名字、术语、公司

名字、地名、硬件或软件名称：生日、个人信息、家庭地址、

电话：某种模式的，例如aaabbb、asdfgh.12