商业银行保密管理办法.doc

1、- 1 -*银行股份有限公司保密管理办法（试行）第一章 总 则第一条 为保守国家秘密和*（以下简称“本行” ）商业秘密，维护国家、本行及客户的安全和利益，保障本行各项业务健康发展，根据中华人民共和国保守国家秘密法等法律法规，特制定本办法。第二条 本办法所称保密管理包括制定保密标准和操作规范，查处失泄密事件，以及保密宣传教育、培训、 检查 、监测与考核等一系列工作。第三条 本行各级机构及所有员工都应履行本办法规定的保密义务。第四条 总行保密委员会主管全行保密工作，下设办公室，负责日常事务。第五条 各支行、分理处应指定专人负责保密管理工作。第六条 保密工作实行“统一领导、分级负责 、积极防范、突出

2、重点” 的原则。第七条 各支行、分理 处应高度重视保密管理工作，认真贯彻落实国家保密法律法规和本办法的各项要求，建立并落实保密工作责任制，加强保密宣传教育、检查指导和培训。- 2 -第二章 保密信息第八条 本办法所称保密信息包括国家秘密、本行商业秘密。第九条 国家秘密是关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。国家秘密的密级分为“绝密” 、“机密”和“秘密”三级。本行国家秘密的范围依据中华人民共和国保守国家秘密法和银行业国家秘密及其密级具体范围的规定确定。第十条 本行商业秘密，是由本行 产生、依法所有或者占有的，不为公众所知悉，能为本行带来经济利益，如果

3、泄露将直接或间接影响本行商业利益，经本行采取一定保密措施的所有技术信息、经营信息和管理信息。本行商业秘密分为“本行 绝密” 、“本行机密”和“本行秘密”三级。本行商业秘密的范围根据中华人民共和国反不正当竞争法和本行的其他有关规定确定。第十一条 保密信息由产生该信息或分管该业务的部门（机构）定密责任人提出确定。定密责任人由本部门（机构）负责人或其指定的人员担任，并 报所在机构保密工作部门（总行为办公室，下同）备案。定密责任人对定密的准确性负责。对是否属于国家秘密、本行商业秘密或属于何种密级不明确的，由总行保密工作部门确定。第十二条 确定为保密信息的文件、 资料， 应当立即作出明显的- 3 -专有

4、标识，书面形式的密件应标明密级及保密期限。国家秘密的标识为“ ”，“”前标密级， “”后标保密期限。本行商业秘密的标识为“” ，“” 前标密级， “”后标 保密期限。国家秘密的保密期限，除有特殊规定外，一般按照绝密级事项三十年，机密级事项二十年，秘密级事项十年认定。本行商业秘密的保密期限应根据该商业秘密不得向外泄露的最长时间确定，必要时保密期限可以是长期。保密信息的保密期限届满的，自行解密。第十三条 保密信息的密级和保密期限，应当根据情况变化及时变更。密级 和保密期限的变更，由原确定密级和保密期限的部门（机构）提出。密级确定以后，保密工作部门发现不符合保密范围规定的，应当及时通知确定密级的部门

5、（机构）纠正。第十四条 总行保密工作部门应定期制定并在行内发布国家秘密和商业秘密事项目录。第三章 文秘工作保密管理第十五条 涉密文件（资料）（绝密、机密、秘密、本行绝密、本行机密、本行秘密）的制作（一）涉密文件（资料）的拟稿人应拟定文件的密级和保密期限，经该部门（机构）定密责任人核批后正式生效；（二）涉密文件（资料）应严格限定发放范围；（三）坚持密来密往、明来明复原则；- 4 -（四）转发涉密文件（资料）应按照原件密级定密，不得随意改变；（五）不准复制或阅后需退回制发部门（机构）的，应当明确标注。第十六条 涉密文件（资料）的印制和复制（一）涉密文件（资料）应在行内文印室或国家保密工作部门审查批

6、准的定点单位印制。（二）复制涉密文件（资料）必须严格按照有关规定履行审批、登记手续。（三）复制涉密文件（资料），不得改变其密级、保密期限和知悉范围。（四）严禁复制绝密级文件（资料）、密码电报和制发机关规定不准复制的其他密级文件。第十七条 涉密文件（资料）的汇编（一）汇编涉密文件（资料）应当经原制发机构批准，未经批准不得汇编。（二）经批准汇编涉密文件（资料）时，不得改变原件的密级、保密期限和知悉范围。（三）涉密文件（资料）汇编应当按其中的最高密级和最长保密期限标注和管理。第十八条 摘录、引用保密信息的内容形成的涉密文件（资料），应当按原件的密级、保密期限和知悉范围管理。第十九条 涉密文件（资料）

7、的收发与传递（一）收发涉密文件（资料），应当履行清点、登记、编号、签收等手- 5 -续。（二）传递涉密文件（资料），应严格按照有关规定进行封装，并通过机要交通（通信）或指派专人负责，不得通过普通邮政邮递。第二十条 涉密文件（资料）的使用和保管（一）各部门（机构）收到涉密文件（资料）后，由主管领导根据密级和制发单位的要求及工作的实际需要，确定本部门（机构）知悉该保密信息人员的范围。任何部门（机构）和个人不得擅自扩大保密信息的知悉范围。（二）涉密文件（资料）应在安全可靠的办公室保密柜中保存。人员离开办公场所应将涉密文件（资料）及时存入保密柜。各部门（机构）对当年所存涉密文件（资料）进行清查、核对，

8、发现问题及时向本级行保密工作部门报告。（三）对于应归档的涉密文件（资料），应按照有关档案管理的规定整理立卷，移交档案部门保管。第二十一条 涉密文件（资料）的销毁应由总行统一组织，在当地国家保密工作部门指定的销毁单位进行，严禁个人私自销毁。第四章 业务保密管理第二十二条 本章所称业务分为涉及国家秘密事项业务和一般业务。一般 业务是指除涉及国家秘密事项业务以外的其他业务。第二十三条 对涉及国家秘密事项业务国家主管部门有保密管理规定的， 应严格依照相关规定办理。- 6 -第二十四条 在营销或业务活动中， 应当遵守保密规定，不得擅自提供或披露保密信息。确因工作需要对外提供保密信息的，应呈报总行保密工作

9、部门审查批准，并要求对方签订保密协议。第二十五条 对外开展业务合作时，相关合作合同应包含保密协议或条款，明确合作方保密义务。需要向合作方提供保密信息的，应呈报总行保密工作部门批准。涉及国家秘密信息禁止对外提供。第二十六条 部门（机构）将某些业务外包给外部公司时，外部公司应具备良好的保密管理能力，落实严格的安全保密措施。签订的外包合同应包含保密协议或条款，以确保外包服务的保密性。开展外包活动应报本行保密工作部门备案。对外包业务应加强日常管理和监控，发现失泄密隐患及时报告。第二十七条 聘请投资银行、 审计、会计和律师事务所等社会中介机构，应签 署保密协议或保密条款。行内经办部门（机构）应明确社会中

10、介机构接触本行保密信息的范围，并制定 严格的内部保密措施。未经批准，任何部门（机构）不得向中介机构提供查阅范围以外的信息。严禁向社会中介机构提供涉及国家秘密的信息。中介机构需审阅涉及本行重要商业秘密信息且确属必要的，应由牵头或主办部门派员现场监督，在 审阅完毕后及时收回有关材料，不允许记录或复印。第二十八条 应监管部门要求报送本行重要经营管理信息或客户信息等保密信息时，应采取符合保密规定的程序和方式提供。- 7 -第二十九条 司法机关或国家有关部门依据法律法规规定，要求本行协助提供有关业务信息的，必须出具有效证明文件并办理相关手续后予以提供。第五章 涉密会议保密管理第三十条 举办涉及保密信息的

11、会议，主办机构应当采取下列保密措施：（一）选择具备保密条件的会议场所；（二）根据工作需要，限定参加会议人员的范围或对参加会议的人员予以指定；（三）依照保密规定使用会议设备，严禁使用无线扩音设备；（四）严格管理会议文件、资料。涉密文件资料一律标明密级、统一编号、登 记分发、妥善保管，会 议结束时应 收回，统一销毁，严禁复印或传真。第六章 通信、办公自动化及计算机信息系统保密管理第三十一条 通过电话、 传真、计算机网络等现代化通信设施传输保密信息的，必须采用国家密码管理部门审查批准的密码进行加密，禁止通过无加密设施的普通电话、传真、计算机网络等传输保密信息。配备加密电话、传真、计算机通信的机构要加

12、强对密码设备的保密管理，指定专人负责，按规定使用管理。- 8 -第三十二条 本行各类业务和办公信息系统，作为本行商业秘密的载体，应 当依据国家有关信息安全管理规范、技术标准进行保护，确保本行商业秘密信息存储、处理、传输的安全。第三十三条 计算机的使用管理应当符合下列保密要求：（一）对计算机及软件安装情况进行登记备案，定期核查；（二）设置开机口令，长度不得少于 6 个字符，并定期更换，防止口令被盗；（三）安装防病毒等安全防护软件，并及时进行升级。及时更新操作系统补丁程序；（四）不得安装、运行、使用与工作无关的软件；（五）严禁同一计算机既上互联网又处理国家秘密和本行商业秘密信息；（六）严禁使用含有

13、无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理国家秘密和本行商业秘密信息；（七）严禁违规接入互联网；（八）员工私人计算机禁止接入本行内网。第三十四条 涉密计算机的装备、使用和管理（一）涉密计算机专指用于存储处理国家秘密信息的计算机，不包括存储处理本行商业秘密信息的计算机。（二）涉及国家秘密信息应当在涉密计算机中存储处理，非涉密计算机不得存储处理国家秘密信息。（三）需装备涉密计算机的部门应向本级行保密工作部门提出申- 9 -请，经审核批准后装备。（四）涉密计算机应指定专人负责管理，选择在安全保密的场所、部位保存，并配备必要的保密设备。（五）涉密计算机不得接入互联网及本行内网，必须实行物

14、理隔离。（六）涉密计算机维修，应当在行内现场进行，并指定专人全程监督，严禁维 修人员读取和复制保密信息。确需送修的，应当拆除保密信息存储部件。（七）严禁将涉密计算机带离办公场所。第三十五条 互联网接入管理应当符合下列保密要求：（一）互联网计算机仅用于访问互联网，应与办公计算机严格分离；（二）严禁使用互联网计算机处理国家秘密和本行商业秘密；（三）严格限制互联网计算机访问本行内网；（四）各部门（机构）应指定专人负责本部门（机构）互联网计算机的日常管理。第三十六条 移动存储介质的使用管理应当符合下列保密要求：（一）移动存储介质应按照从紧控制、确属必需、定期收回的原则，由信息科技部门统一配发，实行编号

15、管理，逐一登记。（二）员工私人移动存储介质及其他未经登记备案的移动存储介质禁止接入本行内网；（三）应每月对移动存储介质查杀病毒、木马等恶意代码；- 10 -（四）同一移动存储介质不得在涉密计算机和非涉密计算机间交叉使用；（五）存储本行商业秘密信息的移动存储介质不得在连接互联网的计算机上使用。第三十七条 涉密移动存储介质的装备、使用和管理：（一）涉密移动存储介质专用于存储国家秘密信息（不包括商业秘密信息），只能在涉密计算机中使用，不得在非涉密计算机中使用；（二）需装备涉密移动存储介质的部门应向本行保密工作部门提出申请，经审 核批准后装备；（三）应每月对涉密移动存储介质查杀病毒、木马等恶意代码；（四）严禁将涉密移动存储介质带离办公场所。第三十八条 处理保密信息的计算机（移动存储介质）不再使用时， 应当将信息存储部件拆除或及时销毁。信息存储部件的销毁依照本办法第二十一条规定执行。第三十九条 严禁外部公司（机构）接入本行内网。确须接入的，应报本行保密工作部门会同信息科技部门批准，并采取有效的安全防护措施。第七章 新闻宣传和信息发布（披露）保密管理第四十条 新闻宣传和信息发布（披露）必须严格依照本行相关规定，任何人员未经授权不得擅自在大众媒体（报纸、书刊、广播、电视、互联网等） 发布、披露本行保密信息。