金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作暫行規(guī)定

1、.天馬行空官方博客： ；QQ:1318241189；QQ群：175569632金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作暫行規(guī)定2003-09-27金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作暫行規(guī)定（公安部、中國人民中國人民銀行1998年8月31日發(fā)布）第一章總則第一條為加強金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作，保障國家財產(chǎn)的安全，保證金融事業(yè)的順利發(fā)展，根據(jù)中華人民共和國中國人民銀行法中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例等有關(guān)法律、法規(guī)制定本暫行規(guī)定。第二條金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作實行誰主管、誰負(fù)責(zé)、預(yù)防為主、綜合治理、人員防范和技術(shù)防范相結(jié)合的原則，逐級建立安全保護(hù)責(zé)任制，加強制度建設(shè)，逐步實

2、現(xiàn)科學(xué)化、規(guī)范化管理。第三條金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作的基本任務(wù)是：預(yù)防、打擊利用或者針對金融機構(gòu)計算機信息系統(tǒng)進(jìn)行的違法犯罪活動，預(yù)防、處理各種安全事故，提高金融機構(gòu)計算機信息系統(tǒng)的整體安全水平，保障國家、集體和個人財產(chǎn)的安全。第四條金融機構(gòu)的主要負(fù)責(zé)人為本單位計算機信息系統(tǒng)安全保護(hù)工作的第一責(zé)任人。金融機構(gòu)的計算機信息系統(tǒng)安全保護(hù)領(lǐng)導(dǎo)小組、專職部門和專（兼）職安全管理人員以及其他有關(guān)人員應(yīng)當(dāng)協(xié)助第一責(zé)任人組織落實有關(guān)規(guī)定。第五條金融機構(gòu)應(yīng)當(dāng)建立同公安機關(guān)計算機管理監(jiān)察部門的通報聯(lián)系制度，及時通報有關(guān)計算機信息系統(tǒng)案件和事故情況，協(xié)助公安機關(guān)查處與本單位有關(guān)的案件和事故。第六條公安機

3、關(guān)計算機管理監(jiān)察部門應(yīng)當(dāng)加強對金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作實施的指導(dǎo)和監(jiān)督，及時查處金融機構(gòu)計算機信息系統(tǒng)發(fā)生的案件和事故。第二章安全防范設(shè)施第七條本暫行規(guī)定所稱金融機構(gòu)計算機信息系統(tǒng)安全防范設(shè)施包括計算機主機房的構(gòu)筑防護(hù)設(shè)施和計算機信息系統(tǒng)及其相關(guān)的配套設(shè)備的技術(shù)防護(hù)設(shè)施。第八條金融機構(gòu)的數(shù)據(jù)處理中心計算機主機房應(yīng)當(dāng)符合下列基本要求：（一）主機房在建筑內(nèi)應(yīng)為獨立區(qū)域。（二）主機房周圍100米內(nèi)不得有危險建筑，如：加油站、煤氣站等。（三）主機房必須按照有關(guān)標(biāo)準(zhǔn)配置防火、防水、防盜設(shè)施并和當(dāng)?shù)毓矙C關(guān)110聯(lián)網(wǎng)，以便報警。（四）對不能停機的主機房必須采用雙回路供電，或者配置發(fā)電機、持續(xù)工作

4、八小時以上的UPS等設(shè)施。第九條計算機設(shè)備必須有可靠接地，接地電阻不大于相應(yīng)設(shè)備的技術(shù)要求，并裝置必要的防雷電設(shè)施。第十條金融機構(gòu)應(yīng)當(dāng)在主機房、柜面等要害部位安裝監(jiān)控設(shè)備，落實值班監(jiān)視制度。第十一條對不能停機的計算機信息系統(tǒng)，金融機構(gòu)應(yīng)當(dāng)配置必要的備份機，以便故障時切換使用。第十二條重要的通訊控制裝置及通訊線必須要有備份。第十三條網(wǎng)絡(luò)通訊設(shè)施要有安全技術(shù)措施。第三章安全防范管理第十四條中國人民銀行和各政策性銀行、商業(yè)銀行應(yīng)當(dāng)加強信息科技管理部門，并設(shè)立專職的計算機信息系統(tǒng)安全管理人員。第十五條縣級以上金融機構(gòu)必須成立計算機信息系統(tǒng)安全保護(hù)領(lǐng)導(dǎo)小組，由分管領(lǐng)導(dǎo)任組長，并確定專職部門負(fù)責(zé)日常的計算

5、機信息系統(tǒng)安全保護(hù)工作。領(lǐng)導(dǎo)小組名單應(yīng)當(dāng)報同級人民銀行計算機信息系統(tǒng)安全保護(hù)領(lǐng)導(dǎo)小組和公安機關(guān)計算機管理監(jiān)察部門備案。其專職部門應(yīng)當(dāng)接受公安機關(guān)計算機管理監(jiān)察部門的工作指導(dǎo)和監(jiān)督。第十六條金融基層單位應(yīng)當(dāng)設(shè)立專職或者兼職計算機信息系統(tǒng)安全管理人員。第十七條各級金融機構(gòu)應(yīng)當(dāng)將計算機信息系統(tǒng)安全防范工作納入職工的崗位責(zé)任制，并與其他工作同時進(jìn)行檢查考核。定期對職工進(jìn)行法制教育、安全意識教育和防范技能訓(xùn)練。第十八條計算機信息系統(tǒng)安全保護(hù)領(lǐng)導(dǎo)小組負(fù)責(zé)本單位內(nèi)各部門計算機信息系統(tǒng)安全管理和檢查，并積極配合和支持公安機關(guān)計算機管理監(jiān)察部門開展安全監(jiān)察和查處案件。第十九條計算機信息系統(tǒng)安全保護(hù)專職部門或者安

6、全管理人員應(yīng)當(dāng)對本單位的主要計算機信息系統(tǒng)資源配置、技術(shù)人員構(gòu)成進(jìn)行登記，報同級公安機關(guān)計算機管理監(jiān)察部門備案。第二十條金融機構(gòu)應(yīng)當(dāng)加強主要崗位工作人員的錄用、考核制度，不適宜的人員必須及時調(diào)離。對重要崗位計算機信息系統(tǒng)的安全情況經(jīng)常進(jìn)行檢查，及時整改不安全隱患。第二十一條計算機工作人員調(diào)離時，必須移交全部技術(shù)手冊及有關(guān)資料，并更換計算機的有關(guān)口令和密鑰。涉及銀行業(yè)務(wù)核心部分開發(fā)的技術(shù)人員調(diào)離本系統(tǒng)時，應(yīng)當(dāng)確認(rèn)對本系統(tǒng)安全不會造成危害后方可調(diào)離。第二十二條金融機構(gòu)應(yīng)當(dāng)對與計算機有關(guān)的衛(wèi)星天線、電源接口、通信接口等設(shè)備進(jìn)行定期檢查維護(hù)。第二十三條金融機構(gòu)應(yīng)當(dāng)建立計算機主機房的值班及人員出入管理登

7、記等制度。第二十四條金融機構(gòu)應(yīng)當(dāng)建立操作人員密碼制度，分清各自責(zé)任。密碼修改要有記錄。第二十五條金融機構(gòu)應(yīng)當(dāng)實行權(quán)限分散原則。明確系統(tǒng)管理員、系統(tǒng)操作員、終端操作員、程序員的權(quán)限和操作范圍。建立系統(tǒng)運行日志，每天打印重要的操作清單。日志信息長期保存，以備稽查。第二十六條金融機構(gòu)應(yīng)當(dāng)對易受病毒攻擊的計算機信息系統(tǒng)，定期進(jìn)行病毒檢查。用介質(zhì)交換信息要按規(guī)定手續(xù)管理，并進(jìn)行病毒預(yù)檢，防止病毒對系統(tǒng)和數(shù)據(jù)的破壞。第二十七條金融機構(gòu)對證券交易、儲蓄、會計等業(yè)務(wù)的計算機數(shù)據(jù)處理，應(yīng)當(dāng)建立嚴(yán)格的管理措施，以防止各類事故的發(fā)生。第二十八條金融機構(gòu)應(yīng)當(dāng)用軟、硬件技術(shù)嚴(yán)格控制各級用戶對數(shù)據(jù)信息的訪問權(quán)限，包括訪問

8、的方式和內(nèi)容。第二十九條金融機構(gòu)應(yīng)當(dāng)對重要的數(shù)據(jù)建立數(shù)據(jù)備份制度，并做到異地保存。第三十條金融機構(gòu)應(yīng)當(dāng)對貯有重要數(shù)據(jù)的故障設(shè)備，交外單位人員修理時，本單位必須派專人在場監(jiān)督。第三十一條金融機構(gòu)應(yīng)當(dāng)建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第三十二條金融機構(gòu)修改金融業(yè)務(wù)程序和系統(tǒng)參數(shù)，必須履行一定的審批手續(xù)，并做好文檔資料的相應(yīng)修改。第三十三條金融機構(gòu)的開發(fā)系統(tǒng)應(yīng)當(dāng)和業(yè)務(wù)系統(tǒng)分離，程序員只能在開發(fā)系統(tǒng)上工作。業(yè)務(wù)用機不得用于項目開發(fā)，不得含有源程序、編譯工具、連接工具等工具軟件，不使用與業(yè)務(wù)無關(guān)的任何存貯介質(zhì)。第三十四條系統(tǒng)管理員不能兼任柜面及事后稽核等工作，不得參與相關(guān)軟件開發(fā)。參加過應(yīng)用系統(tǒng)開發(fā)的人員，

9、不得擔(dān)任相應(yīng)系統(tǒng)的管理員。第三十五條金融機構(gòu)啟用新的應(yīng)用軟件，應(yīng)當(dāng)按規(guī)定手續(xù)交系統(tǒng)維護(hù)人員安裝到業(yè)務(wù)系統(tǒng)，并做好日志記錄。第三十六條重要系統(tǒng)應(yīng)用軟件運行過程中出現(xiàn)異?，F(xiàn)象，金融機構(gòu)應(yīng)當(dāng)立即報告本級銀行安全管理職能部門，做好詳細(xì)記錄，經(jīng)領(lǐng)導(dǎo)同意后，由系統(tǒng)管理人員進(jìn)行檢查、修改、維護(hù)。第三十七條金融機構(gòu)應(yīng)當(dāng)建立定期的系統(tǒng)和程序備份制度，異地保存兩個以上最新的版本及其目錄打印清單，以備系統(tǒng)和程序的恢復(fù)。第三十八條金融機構(gòu)對重要的業(yè)務(wù)系統(tǒng)及設(shè)備，必須制定應(yīng)急情況處理方案。第三十九條金融機構(gòu)對聯(lián)網(wǎng)的計算機及其網(wǎng)絡(luò)設(shè)備和通訊設(shè)備的安裝、使用，應(yīng)當(dāng)建立嚴(yán)格的管理措施，以防“黑客”的侵襲。第四十條金融機構(gòu)對重

10、要通信應(yīng)當(dāng)采用加密措施，并定期更換通訊密鑰。重要線路應(yīng)當(dāng)采用專線聯(lián)接方式或者虛擬專線聯(lián)接方式。第四十一條金融機構(gòu)應(yīng)當(dāng)建立嚴(yán)格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。第四十二條金融機構(gòu)對與國際聯(lián)網(wǎng)的計算機信息系統(tǒng)，要按有關(guān)規(guī)定向公安機關(guān)登記備案。對生產(chǎn)機以及存放重要數(shù)據(jù)的計算機不得以任何方式與國際互聯(lián)網(wǎng)聯(lián)網(wǎng)。第四十三條公安機關(guān)應(yīng)當(dāng)定期對金融機構(gòu)的計算機信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)有影響計算機信息系統(tǒng)安全的隱患時，應(yīng)當(dāng)及時通知該金融機構(gòu)。第四十四條公安機關(guān)應(yīng)當(dāng)對金融機構(gòu)的計算機信息系統(tǒng)安全管理人員進(jìn)行安全知識培訓(xùn)，并頒發(fā)計算機安全員上崗證，并協(xié)助金融機構(gòu)建立、完善計算機信息系

11、統(tǒng)安全保護(hù)制度。第四章事故與案件的處理第四十五條金融機構(gòu)計算機信息系統(tǒng)發(fā)生重大事故，應(yīng)當(dāng)立即報告本單位計算機信息系統(tǒng)安全保護(hù)領(lǐng)導(dǎo)小組和專職部門，并填寫計算機事故申報表，報同級公安機關(guān)計算機管理監(jiān)察部門和人民銀行計算機信息系統(tǒng)安全保護(hù)領(lǐng)導(dǎo)小組。第四十六條金融機構(gòu)發(fā)現(xiàn)計算機犯罪案件，應(yīng)當(dāng)立即向當(dāng)?shù)毓矙C關(guān)報案，并保護(hù)好發(fā)案現(xiàn)場。發(fā)現(xiàn)其他不屬公安機關(guān)管轄的案件，要將主要案情通報當(dāng)?shù)毓矙C關(guān)。第四十七條公安機關(guān)接到金融單位報案后，應(yīng)當(dāng)立即派人趕赴現(xiàn)場，查處案件。第五章獎勵與處罰第四十八條執(zhí)行本暫行規(guī)定，在金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作中成績顯著的單位和個人，由上級金融主管部門、本單位或者公安機關(guān)給予表彰、獎勵。第四十九條違反本暫行規(guī)定，存在計算機信息系統(tǒng)安全隱患的