信用社計(jì)算機(jī)信息系統(tǒng)安全管理辦法

1、信用社計(jì)算機(jī)信息系統(tǒng)安全管理辦法第一章總則第一條為了加強(qiáng)全省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作，確保全省計(jì)算機(jī)信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定等有關(guān)法律、法規(guī)，結(jié)合自身實(shí)際制定本規(guī)定。第二條信用社計(jì)算機(jī)信息系統(tǒng)安全管理工作的指導(dǎo)方針是“預(yù)防為主，安全第一，依法辦事，綜合治理”?！邦A(yù)防為主”是計(jì)算機(jī)安全管理工作的基本方針。第三條信用社計(jì)算機(jī)信息系統(tǒng)安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級管理。第二章組織機(jī)構(gòu)及職責(zé)第四條各級單位必須成立由科技、財(cái)務(wù)會計(jì)、保衛(wèi)、稽核、人力資源等相關(guān)部門組成的計(jì)算機(jī)信息系統(tǒng)安全管理工作領(lǐng)導(dǎo)小組，實(shí)行一把手負(fù)責(zé)

2、制。領(lǐng)導(dǎo)小組辦公室設(shè)在科技信息部門，負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全的日常工作。第五條計(jì)算機(jī)信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組的職責(zé)：1. 貫徹落實(shí)上級單位關(guān)于計(jì)算機(jī)安全工作的方針政策、規(guī)章制度；2. 研究審議轄內(nèi)計(jì)算機(jī)安全工作的重大事項(xiàng)；3. 制定轄內(nèi)計(jì)算機(jī)安全工作的實(shí)施細(xì)則；4. 負(fù)責(zé)轄內(nèi)計(jì)算機(jī)安全工作、組織轄內(nèi)計(jì)算機(jī)安全檢查。第六條科技部門在計(jì)算機(jī)安全工作方面的主要職責(zé)：1. 貫徹執(zhí)行計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組的決議，制定并落實(shí)計(jì)算機(jī)安全的規(guī)章制度，負(fù)責(zé)轄內(nèi)計(jì)算機(jī)安全體系建設(shè)與安全管理工作；2. 注意跟蹤國際、國內(nèi)先進(jìn)的計(jì)算機(jī)安全技術(shù)，研究制定計(jì)算機(jī)安全防范策略并組織實(shí)施；3. 監(jiān)督在信息化建設(shè)項(xiàng)目中計(jì)算機(jī)安全

3、工作的落實(shí)情況，組織計(jì)算機(jī)信息系統(tǒng)的安全評審，監(jiān)督安全措施的執(zhí)行，保證項(xiàng)目的安全性；4. 加強(qiáng)與計(jì)算機(jī)安全相關(guān)職能管理部門聯(lián)系，配合有關(guān)單位進(jìn)行計(jì)算機(jī)審計(jì)和金融計(jì)算機(jī)犯罪案件調(diào)查，打擊金融計(jì)算機(jī)犯罪；5. 省聯(lián)社負(fù)責(zé)計(jì)算機(jī)安全專用產(chǎn)品的選型，組織對選用的計(jì)算機(jī)安全產(chǎn)品的評估、認(rèn)證工作。各級單位在省聯(lián)社選型范圍內(nèi)，根據(jù)轄內(nèi)具體情況選定相關(guān)安全產(chǎn)品。第七條保衛(wèi)部門在計(jì)算機(jī)安全工作方面的主要職責(zé)：負(fù)責(zé)或協(xié)助公安部門解決計(jì)算機(jī)犯罪案件的偵破工作；1. 統(tǒng)計(jì)分析計(jì)算機(jī)犯罪案件，研究計(jì)算機(jī)犯罪動向和作案手段，提出防范措施和建議；負(fù)責(zé)計(jì)算機(jī)機(jī)房、營業(yè)網(wǎng)點(diǎn)等要害部門的監(jiān)控、防盜、消防、報警、門禁等系統(tǒng)建設(shè)和管

4、理；2. 定期對計(jì)算機(jī)機(jī)房、營業(yè)網(wǎng)點(diǎn)等要害部門的安全設(shè)施進(jìn)行檢查，及時發(fā)現(xiàn)和消除隱患。第八條其它相關(guān)部門在計(jì)算機(jī)安全工作方面的主要職責(zé)：1. 在計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，主動協(xié)調(diào)，配合工作，充分發(fā)揮其職能作用；負(fù)責(zé)提出業(yè)務(wù)應(yīng)用系統(tǒng)的安全需求及風(fēng)險控制措施，并對實(shí)現(xiàn)情況進(jìn)行檢查驗(yàn)收，制定相配套的安全管理制度；加強(qiáng)本部門相關(guān)系統(tǒng)的運(yùn)行管理，檢查、監(jiān)督相關(guān)安全管理制度的落實(shí)，防范事故發(fā)生，確保系統(tǒng)安全。第三章人員與崗位管理第一節(jié)人員基本要求與安全教育第九條本規(guī)定所稱計(jì)算機(jī)安全人員，是指各單位專（兼）職計(jì)算機(jī)安全管理人員。第十條計(jì)算機(jī)安全管理人員應(yīng)當(dāng)遵紀(jì)守法、政治過硬、業(yè)務(wù)精通、恪盡職守。違

5、反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事計(jì)算機(jī)安全管理工作。第十一條各單位應(yīng)配備專職（兼職）計(jì)算機(jī)安全管理員。計(jì)算機(jī)安全管理員必須持證上崗。計(jì)算機(jī)安全人員的配備和變更情況，應(yīng)向上級科技管理部門備案。第十二條專（兼）職計(jì)算機(jī)安全管理員的主要職責(zé)是：1. 落實(shí)上級部門各項(xiàng)制度和要求，負(fù)責(zé)轄內(nèi)計(jì)算機(jī)安全管理的日常工作。2. 分析計(jì)算機(jī)安全現(xiàn)狀和問題，提出安全分析報告和安全防范建議，上報計(jì)算機(jī)安全事件。3. 開展計(jì)算機(jī)安全知識的培訓(xùn)和宣傳工作。第十三條各單位對全體人員應(yīng)進(jìn)行下列計(jì)算機(jī)安全知識和技能的培訓(xùn)：1. 計(jì)算機(jī)安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)。2. 計(jì)算機(jī)安全基本知識的培訓(xùn)。3. 計(jì)算

6、機(jī)安全專門技能的培訓(xùn)。4. 計(jì)算機(jī)安全所必須的其他培訓(xùn)。第十四條計(jì)算機(jī)安全人員應(yīng)定期參加計(jì)算機(jī)安全知識和技能的培訓(xùn)，并接受政治思想、職業(yè)道德和安全保密教育。第二節(jié)計(jì)算機(jī)要職人員安全管理第十五條本規(guī)定所稱計(jì)算機(jī)信息系統(tǒng)要職人員（簡稱要職人員），是指與重要計(jì)算機(jī)信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開發(fā)員、系統(tǒng)維護(hù)員等崗位人員。第十六條要職人員上崗前必須經(jīng)單位人事部門進(jìn)行政治素質(zhì)審查，科技部門進(jìn)行業(yè)務(wù)技能考核，合格者簽訂保密協(xié)議后方可上崗。第十七條要職人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員不得操作任何業(yè)務(wù)；系統(tǒng)開發(fā)人員不得兼

7、任系統(tǒng)管理員。第十八條對要職人員應(yīng)實(shí)行年度強(qiáng)制休假制度和定期考查制度，并進(jìn)行必要的安全教育和培訓(xùn)。第十九條要職人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及保密信息的要職人員調(diào)離單位時，必須進(jìn)行離崗審計(jì)，在達(dá)到規(guī)定的脫密期后，方可調(diào)離。第二十條要職人員離崗后，必須即刻更換操作密碼或注銷用戶第三節(jié)計(jì)算機(jī)要職人員的安全責(zé)任1. 第二十一條系統(tǒng)管理員安全責(zé)任負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則。2. 嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行。3. 認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時向計(jì)算機(jī)安全負(fù)責(zé)人員報告安全事件。4. 對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。第二十二條網(wǎng)絡(luò)管理員安全責(zé)任1

8、. 負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則。2. 安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行。3. 監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向計(jì)算機(jī)安全負(fù)責(zé)人員報告安全事件。4. 對操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。第二十三條應(yīng)用開發(fā)員安全責(zé)任1. 系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)。2. 系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料不得對系統(tǒng)設(shè)置“后門”。3. 對系統(tǒng)核心技術(shù)保密。第二十四條系統(tǒng)維護(hù)員安全責(zé)任1. 負(fù)責(zé)系統(tǒng)維護(hù)，及時解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行。2. 不得擅自改變系統(tǒng)功能。3.

9、 不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序。4. 維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計(jì)算機(jī)安全負(fù)責(zé)人員。1. 第二十五條業(yè)務(wù)操作員安全責(zé)任嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度。2. 不得向他人提供自己的操作密碼。3. 及時向科技部門報告系統(tǒng)各種異常事件。第四章軟件的安全管理第二十六條軟件開發(fā)的安全管理軟件項(xiàng)目開發(fā)必須符合軟件工程規(guī)范，并在開發(fā)的各階段按照安全管理目標(biāo)進(jìn)行管理和實(shí)施。1. 軟件開發(fā)過程中，應(yīng)從技術(shù)上充分考慮軟件的容錯性、安全控制、抗攻擊能力和安全保密設(shè)計(jì)。2. 軟件的開發(fā)環(huán)境應(yīng)當(dāng)與生產(chǎn)環(huán)境隔離，軟件設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)加密方式、源代碼等嚴(yán)禁流入應(yīng)用環(huán)境，嚴(yán)禁散失和外泄。3. 軟件

10、開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應(yīng)及時移交程序源代碼及其相關(guān)技術(shù)文檔，并對其負(fù)有安全保密責(zé)任和義務(wù)。4. 軟件開發(fā)采用的關(guān)鍵技術(shù)措施和安全功能設(shè)計(jì)不得進(jìn)行公開學(xué)術(shù)交流或發(fā)表。第二十七條軟件測試的安全管理1. 軟件的技術(shù)開發(fā)完成后，開發(fā)部門應(yīng)會同相關(guān)部門完成綜合測試方案和測試案例，并提出綜合測試申請。2. 綜合測試通過后，由相關(guān)部門共同組織軟件的試運(yùn)行。試運(yùn)行穩(wěn)定后，由試運(yùn)行部門出具試運(yùn)行報告。第二十八條軟件的安全管理1. 所有軟件，應(yīng)根據(jù)其功能劃定使用范圍和使用權(quán)限，建立軟件復(fù)制及領(lǐng)用登記簿，建立健全相應(yīng)的監(jiān)督管理制度。引進(jìn)、推廣的軟件要做好版本的管理和媒體的安全備份工作2. 轉(zhuǎn)讓的軟

11、件要明晰轉(zhuǎn)讓各方的版權(quán)、升級、維護(hù)、服務(wù)等責(zé)權(quán)利的關(guān)系。3. 凡是業(yè)務(wù)部門引進(jìn)、推廣、轉(zhuǎn)讓、升級的各種軟件媒體均須事前在科技部門登記備案，以便于管理及維護(hù)。第五章設(shè)備的安全管理第二十九條設(shè)備安全管理是指對所有保證系統(tǒng)正常運(yùn)行的主機(jī)設(shè)備、網(wǎng)絡(luò)通信設(shè)備及外圍設(shè)備的安全管理。第三十條設(shè)備安裝時，應(yīng)由相關(guān)技術(shù)人員制定詳細(xì)可行的操作步驟，其中關(guān)鍵設(shè)備的安裝必須請供貨廠商（代理商）技術(shù)人員現(xiàn)場支持。第三十一條設(shè)備在投入正式使用前，應(yīng)依據(jù)供貨廠商提供的項(xiàng)目和相關(guān)指標(biāo)，由相關(guān)技術(shù)人員進(jìn)行嚴(yán)格的測試，寫出測試報告，經(jīng)批準(zhǔn)后使用。第三十二條設(shè)備升檔要經(jīng)過充分的技術(shù)論證和審批，并由運(yùn)行相關(guān)崗位人員制定詳細(xì)可行的實(shí)施

12、方案，升檔過程中應(yīng)保證現(xiàn)有生產(chǎn)系統(tǒng)的正常運(yùn)行。第三十三條主機(jī)和網(wǎng)絡(luò)通信關(guān)鍵設(shè)備必須有備份，并處于實(shí)時備用狀態(tài)。第三十四條各級運(yùn)行機(jī)構(gòu)應(yīng)做好設(shè)備日常運(yùn)行維護(hù)工作：1. 做好設(shè)備的日常監(jiān)測、檢查、記錄，及時掌握設(shè)備的運(yùn)行狀況。2. 設(shè)備發(fā)生故障時應(yīng)及時維修，必要時，通知設(shè)備維保商的技術(shù)人員到場解決。3. 制定設(shè)備維護(hù)計(jì)劃，對維護(hù)的項(xiàng)目、步驟、周期、責(zé)任人等作出明確規(guī)定，并嚴(yán)格按照設(shè)備維護(hù)計(jì)劃定期進(jìn)行設(shè)備的保養(yǎng)和維護(hù)，做好設(shè)備維護(hù)記錄。4. 建立設(shè)備檔案，詳細(xì)記錄設(shè)備的基本情況（包括升級、更新情況等）、故障現(xiàn)象、故障分析、維修過程、處理結(jié)果等內(nèi)容。1. 第六章系統(tǒng)的安全管理第三十五條系統(tǒng)規(guī)劃和立項(xiàng)的

13、安全管理系統(tǒng)規(guī)劃與立項(xiàng)要充分考慮系統(tǒng)的安全需求。2. 系統(tǒng)建設(shè)要充分考慮系統(tǒng)的安全功能的實(shí)現(xiàn)。3. 計(jì)算機(jī)安全管理部門應(yīng)對重要系統(tǒng)的立項(xiàng)進(jìn)行安全性專項(xiàng)審查。第三十六條系統(tǒng)選用的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件等必須具備與系統(tǒng)相適應(yīng)的安全性。第三十七條系統(tǒng)投入運(yùn)行前，必須進(jìn)行系統(tǒng)的安全評估與審批；對已投入運(yùn)行的系統(tǒng)需跟蹤進(jìn)行安全評估并根據(jù)評估結(jié)果不斷改進(jìn)和提高系統(tǒng)安全性。第三十八條系統(tǒng)運(yùn)行安全管理1. 嚴(yán)禁在生產(chǎn)系統(tǒng)上安裝編譯工具、應(yīng)用系統(tǒng)源程序及其他與系統(tǒng)業(yè)務(wù)無關(guān)的軟件。2. 備份系統(tǒng)與生產(chǎn)系統(tǒng)的系統(tǒng)構(gòu)成與配置應(yīng)保持一致，以保證生產(chǎn)系統(tǒng)出現(xiàn)故障時能順利切換。3. 嚴(yán)禁擅自修改系統(tǒng)參數(shù)，確需修改

14、應(yīng)嚴(yán)格履行審批手續(xù)，由運(yùn)行相關(guān)崗位人員實(shí)施，實(shí)施時應(yīng)有監(jiān)督，修改后的參數(shù)應(yīng)記錄備案。4. 嚴(yán)禁擅自對業(yè)務(wù)數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行修改或恢復(fù)操作，確需操作時應(yīng)嚴(yán)格履行審批手續(xù)，由運(yùn)行相關(guān)崗位人員實(shí)施，并由有關(guān)人員監(jiān)督執(zhí)行。5. 對于系統(tǒng)軟件升級、應(yīng)用軟件升級或更新、系統(tǒng)切換、年終結(jié)轉(zhuǎn)、結(jié)息等重大操作，由科技部門從安全角度出發(fā)與業(yè)務(wù)部門密切配合，共同制定詳細(xì)的計(jì)劃和方案。1. 第三十九條各級運(yùn)行機(jī)構(gòu)應(yīng)做好系統(tǒng)的日常安全運(yùn)行維護(hù)工作建立健全系統(tǒng)運(yùn)行日志管理制度、密碼密鑰管理制度、操作規(guī)程的安全管理制度等。2. 定期對系統(tǒng)進(jìn)行數(shù)據(jù)備份，并對備份媒體按有關(guān)規(guī)定指定專人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份媒體必須異地保存

15、。3. 重要業(yè)務(wù)系統(tǒng)應(yīng)由業(yè)務(wù)部門制定計(jì)算機(jī)安全保護(hù)的應(yīng)急計(jì)劃，保證業(yè)務(wù)的不間斷運(yùn)行，對涉密的應(yīng)用系統(tǒng)，應(yīng)嚴(yán)格執(zhí)行保密管理的有關(guān)規(guī)定。第四十條系統(tǒng)運(yùn)行中必須做好系統(tǒng)的安全監(jiān)測工作。第四十一條嚴(yán)格執(zhí)行系統(tǒng)廢止和銷毀的有關(guān)安全管理規(guī)定。第七章機(jī)房的安全管理第一節(jié)機(jī)房建設(shè)安全管理第四十二條機(jī)房建設(shè)和改造安全方案應(yīng)通過上級保衛(wèi)部門的安全審批。第四十三條機(jī)房安全建設(shè)應(yīng)通過上級保衛(wèi)部門組織的安全驗(yàn)收。第四十四條機(jī)房應(yīng)按重要性進(jìn)行分級管理，分級標(biāo)準(zhǔn)按有關(guān)規(guī)定執(zhí)行。第四十五條機(jī)房應(yīng)按相應(yīng)級別合理分區(qū)，保障生產(chǎn)環(huán)境與運(yùn)行環(huán)境有效的安全空間隔離第四十六條機(jī)房建設(shè)應(yīng)當(dāng)符合下列基本安全要求：1. 機(jī)房周圍100米內(nèi)不得

16、存在危險建筑物，如加油站、煤氣站等。2. 機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。3. 機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)控系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)，并與當(dāng)?shù)毓矙C(jī)關(guān)110聯(lián)網(wǎng)。機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的UPS和發(fā)電機(jī)。第二節(jié)機(jī)房運(yùn)行安全管理第四十七條機(jī)房是重點(diǎn)保護(hù)的要害部位，機(jī)房主管部門應(yīng)依照安全第一的原則，建立、健全嚴(yán)格的機(jī)房安全管理制度，并定期檢查制度執(zhí)行情況。第四十八條計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實(shí)行工作時間連續(xù)監(jiān)控，輔助區(qū)實(shí)施聯(lián)動監(jiān)控。第四十九條監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運(yùn)作，防止監(jiān)控信息的

17、泄密。第五十條加強(qiáng)進(jìn)出機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)機(jī)房主管部門領(lǐng)導(dǎo)批準(zhǔn)，外來人員進(jìn)出機(jī)房還須辦理登記手續(xù)，并由專人陪同。第五十一條發(fā)生機(jī)房重大事故或案件，機(jī)房主管部門應(yīng)立即向有關(guān)單位報告，并保護(hù)現(xiàn)場。第八章網(wǎng)絡(luò)安全管理第一節(jié)網(wǎng)絡(luò)建設(shè)安全管理第五十二條網(wǎng)絡(luò)建設(shè)方案應(yīng)通過上級計(jì)算機(jī)安全主管部門的安全審批。第五十三條網(wǎng)絡(luò)投入使用前應(yīng)通過計(jì)算機(jī)安全主管部門組織的安全測試和驗(yàn)收。第五十四條網(wǎng)絡(luò)建設(shè)應(yīng)配備必要的安全專用產(chǎn)品。第五十五條網(wǎng)絡(luò)建設(shè)中涉及網(wǎng)絡(luò)安全的資料，應(yīng)備案建檔，統(tǒng)一管理。第五十六條網(wǎng)絡(luò)建設(shè)應(yīng)符合下列基本安全要求：1. 網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略。2

18、. 能夠保證網(wǎng)絡(luò)傳輸信道的安全，信息在傳輸過程中不會被非法獲取。應(yīng)具有防止非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)盜用信息和進(jìn)行惡意破壞的技術(shù)手段。3. 應(yīng)具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計(jì)的功能應(yīng)根據(jù)需要對網(wǎng)絡(luò)采取必要的技術(shù)隔離措施。4. 能有效防止計(jì)算機(jī)病毒對網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。5. 應(yīng)具有應(yīng)付突發(fā)情況的應(yīng)急措施。第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理第五十七條重要網(wǎng)絡(luò)設(shè)備應(yīng)放置在主機(jī)房內(nèi)，由網(wǎng)絡(luò)管理員負(fù)責(zé)管理。其他人員不得對網(wǎng)絡(luò)設(shè)備進(jìn)行任何操作。第五十八條網(wǎng)管設(shè)備屬專管設(shè)備，必須嚴(yán)格控制其管理員密碼。第五十九條重要網(wǎng)絡(luò)通信硬件設(shè)施、網(wǎng)管應(yīng)用軟件設(shè)施及網(wǎng)絡(luò)參數(shù)配置應(yīng)有備份。第六十條改變網(wǎng)絡(luò)路由配置和通信地址等參數(shù)的操作，必須具

19、有包括時間、目的、內(nèi)容及維護(hù)人員等要素的書面記錄。第六十一條與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護(hù)措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一賬戶的訪問制。第六十二條網(wǎng)絡(luò)管理人員應(yīng)隨時監(jiān)測和定期檢查網(wǎng)絡(luò)運(yùn)行狀況，對獲得的信息應(yīng)進(jìn)行分析，發(fā)現(xiàn)安全隱患應(yīng)報告計(jì)算機(jī)安全人員。第六十三條有權(quán)單位使用專用設(shè)備對網(wǎng)絡(luò)進(jìn)行檢測時，網(wǎng)絡(luò)管理人員應(yīng)給予必要的協(xié)助和監(jiān)督。第六十四條網(wǎng)絡(luò)掃描、監(jiān)測結(jié)果和網(wǎng)絡(luò)運(yùn)行日志等重要信息應(yīng)備份存儲。第六十五條聯(lián)網(wǎng)計(jì)算機(jī)應(yīng)定期進(jìn)行查、殺病毒操作，發(fā)現(xiàn)計(jì)算機(jī)病毒，應(yīng)按照規(guī)定及時處理。第六十六條嚴(yán)禁超越網(wǎng)絡(luò)管理權(quán)限，非法操作業(yè)務(wù)數(shù)據(jù)信息，不得擅自設(shè)置路由與非相關(guān)網(wǎng)絡(luò)進(jìn)行連接。

20、第三節(jié)接入國際互聯(lián)網(wǎng)管理第六十七條使用國際互聯(lián)網(wǎng)的安全管理規(guī)定1. 內(nèi)聯(lián)網(wǎng)上的所有計(jì)算機(jī)設(shè)備，不得直接或間接地接入國際互聯(lián)網(wǎng)，必須實(shí)現(xiàn)與國際互聯(lián)網(wǎng)的物理隔離。2. 存有涉密金融數(shù)據(jù)信息的計(jì)算機(jī)不得接入國際互聯(lián)網(wǎng)，存有涉密金融數(shù)據(jù)信息的媒體不得在接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。3. 從國際互聯(lián)網(wǎng)上下載的任何信息資源，未經(jīng)檢測并得到許可，不得在本系統(tǒng)內(nèi)聯(lián)網(wǎng)上使用。4. 接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)須安裝防病毒系統(tǒng)，并定期升級。5. 本單位所屬的國際互聯(lián)網(wǎng)賬號不得在本單位之外的其它場所使用。6. 國際互聯(lián)網(wǎng)接入賬戶和密碼必須實(shí)行專人管理，并不定期更換密碼。7. 確有需要接入國際互聯(lián)網(wǎng)的部門必須提出書面申請，

21、送科技部門初審，經(jīng)分管領(lǐng)導(dǎo)批準(zhǔn)，并報各級安全管理部門審批、備案。第六十八條各使用部門應(yīng)自覺接受本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組的監(jiān)督檢查。第九章用戶標(biāo)識(ID)、密碼與密鑰的安全管理第六十九條用戶標(biāo)識(ID)和密碼的管理1. 用戶ID與密碼是計(jì)算機(jī)系統(tǒng)驗(yàn)證用戶合法性的唯一標(biāo)識，堅(jiān)持一人一戶一碼的原則。2. 用戶的增加、注銷與調(diào)整(1)增加用戶：初次入網(wǎng)或增加用戶注冊由業(yè)務(wù)部門提出書面申請，提供注冊人員姓名、職務(wù)、事由，加蓋公章，根據(jù)有關(guān)規(guī)定給予注冊。(2)調(diào)整和注銷用戶：如出現(xiàn)業(yè)務(wù)人員調(diào)動，該人員原所在業(yè)務(wù)部門須提出申請，方可調(diào)整或注銷用戶。密碼的編制應(yīng)具有一定的復(fù)雜性，應(yīng)定期或不定期更換密碼，對

22、記錄密碼的載體應(yīng)嚴(yán)格管理，確保其物理安全；用戶自設(shè)密碼時應(yīng)注意要有一定的強(qiáng)度，密碼長度不得小于6個字符，不得用姓名、電話號碼、生日等其它易猜的信息作為密碼。3. 密碼堅(jiān)持自設(shè)自用或集中產(chǎn)生、高度保密的原則；用戶對本人授權(quán)及密碼下的操作行為及結(jié)果負(fù)全權(quán)責(zé)任；計(jì)算機(jī)信息系統(tǒng)各要職人員的密碼，必須嚴(yán)格管理，獨(dú)享使用，不得泄露。第七十條密鑰管理1. 使用密鑰保障信息安全時，對所用密鑰生命周期的全過程（產(chǎn)生、存儲、分配、使用、廢除、歸檔、銷毀）應(yīng)實(shí)施嚴(yán)格的安全保密管理。2. 密鑰作為絕密數(shù)據(jù)必須通過機(jī)要渠道傳遞或采用加密通信方式網(wǎng)內(nèi)分配。3. 密鑰必須定期更換，對已泄漏或懷疑泄漏的密鑰必須及時廢除；舊密

23、鑰必須安全歸檔，并在安全管理負(fù)責(zé)人的嚴(yán)格監(jiān)督下，由管理責(zé)任人定期銷毀。第七十一條ID文件、密碼和密鑰要指定專人管理，一旦丟失，要及時報告。第十章數(shù)據(jù)信息的安全管理第一節(jié)數(shù)據(jù)信息的管理第七十二條必須加強(qiáng)數(shù)據(jù)信息處理全過程的安全管理，保證數(shù)據(jù)信息的保密性、完整性、可用性、可控性。數(shù)據(jù)信息的安全管理應(yīng)做到：1. 嚴(yán)把數(shù)據(jù)信息采集關(guān)，確保其真實(shí)性、可靠性、合法性。2. 據(jù)實(shí)錄入數(shù)據(jù)信息，嚴(yán)禁憑空輸入，對數(shù)據(jù)信息的修改，必須得到有關(guān)部門的批準(zhǔn)，并記錄備案。3. 必須采用必要的技術(shù)措施保證數(shù)據(jù)信息傳輸過程的安全，應(yīng)使用加密技術(shù)對涉密或重要的數(shù)據(jù)信息實(shí)施加密處理。4. 使用部門應(yīng)按規(guī)定進(jìn)行數(shù)據(jù)備份，并檢查備

24、份媒體的有效性。5. 在設(shè)備維修、報廢過程中，要確保其中的數(shù)據(jù)信息的保密性、完整性。第七十三條涉密媒體包括記錄檔案資料、軟件、數(shù)據(jù)等的各種載體。保證涉密媒體信息的安全應(yīng)做到：1. 各種媒體的收集、保管、使用須按科技檔案管理辦法執(zhí)行。2. 嚴(yán)格分級管理，在媒體使用上，根據(jù)媒體的密與非密級別，要做到分級使用、定人操作，保留在現(xiàn)場的媒體數(shù)量應(yīng)是系統(tǒng)有效運(yùn)行所需要的最小數(shù)量。3. 涉密數(shù)據(jù)在系統(tǒng)進(jìn)行下載存貯過程中必須采取相應(yīng)的加密技術(shù)措施。4. 涉密媒體的傳遞與外借應(yīng)有審批手續(xù)和傳遞記錄，涉密媒體傳遞過程中，要采取必要的防復(fù)制及加密等安全措施。5. 涉密媒體必須按照有關(guān)保密管理規(guī)定進(jìn)行管理，嚴(yán)格錄入、

25、查詢、復(fù)制、傳遞、保管、歸檔、銷毀等各環(huán)節(jié)的手續(xù)；同一媒體上不得混錄密和非密信息，如果必須同時錄用不同密級的信息，應(yīng)按存儲信息的最高密級進(jìn)行管理并標(biāo)明密級。6. 媒體要根據(jù)需要與存儲環(huán)境定期進(jìn)行循環(huán)復(fù)制備份，并進(jìn)行登記；全部涉密媒體信息的轉(zhuǎn)交、挪動和銷毀，保密管理人員和庫管理人員均須在場。7. 廢棄媒體，業(yè)務(wù)部門應(yīng)詳細(xì)登記，妥善保管，每年底報請分管領(lǐng)導(dǎo)批準(zhǔn)后，集中統(tǒng)一在保密管理人員監(jiān)督下予以不可恢復(fù)性銷毀。第二節(jié)數(shù)據(jù)備份與恢復(fù)第七十四條系統(tǒng)的使用部門負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)，科技部門負(fù)責(zé)系統(tǒng)級方面的備份與恢復(fù)，特別是系統(tǒng)的災(zāi)難性備份與恢復(fù)。1. 第七十五條數(shù)據(jù)備份要確認(rèn)備份操作步驟準(zhǔn)確無誤后進(jìn)

26、行備份操作。2. 各業(yè)務(wù)部門應(yīng)將計(jì)算機(jī)信息數(shù)據(jù)備份媒體視同重要空白憑證，指定專人負(fù)責(zé)備份數(shù)據(jù)媒體的簽收和入庫管理。3. 備份數(shù)據(jù)媒體應(yīng)按要求寫明標(biāo)識，交科技檔案管理員異地存放，要確保存放地的安全，并定期進(jìn)行檢查，確保數(shù)據(jù)的完整性、可用性。4. 涉密信息媒體的備份媒體（磁帶、磁盤、光盤、紙媒體等）應(yīng)有密級及保密期限標(biāo)志，統(tǒng)一編號，各單位保密機(jī)構(gòu)負(fù)責(zé)涉密信息媒體的界定和銷毀。5. 建立備份媒體的銷毀審批登記制度，并采取安全銷毀措施。第七十六條數(shù)據(jù)恢復(fù)必須堅(jiān)持審批登記制。需要恢復(fù)數(shù)據(jù)時，報批準(zhǔn)后方可進(jìn)行；恢復(fù)數(shù)據(jù)必須堅(jiān)持雙人制，一人操作，一人監(jiān)督，并詳細(xì)登記；恢復(fù)過程中若有異常情況，應(yīng)及時與有關(guān)技術(shù)

27、人員聯(lián)系，不得任意處理。第十一章計(jì)算機(jī)病毒防范的安全管理第七十七條加強(qiáng)計(jì)算機(jī)病毒防范的安全管理1. 不得制作、傳播計(jì)算機(jī)病毒。2. 必須指定專人定期用防病毒軟件查殺本單位計(jì)算機(jī)信息系統(tǒng)，并做檢測、清除的記錄；必須按有關(guān)操作規(guī)定定期更新防病毒產(chǎn)品版本。3. 從計(jì)算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或購置、維修、借入計(jì)算機(jī)設(shè)備時，應(yīng)當(dāng)進(jìn)行計(jì)算機(jī)病毒檢測。4. 必須采用有公安部“銷售許可”標(biāo)志和省聯(lián)社選型范圍內(nèi)的防病毒產(chǎn)品，對本單位的病毒防治產(chǎn)品或系統(tǒng)必須有專人管理，并由科技檔案管理人員妥善保存產(chǎn)品媒體及其備份。5. 對因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故要及時向本單位計(jì)算機(jī)安

28、全管理部門報告。第十二章應(yīng)急處理的安全管理第七十八條應(yīng)急處理原則1. 加強(qiáng)計(jì)算機(jī)安全防范意識，建立應(yīng)急處理組織體系，以指揮協(xié)調(diào)各職能部門迅速進(jìn)入應(yīng)急處理程序。優(yōu)化配置應(yīng)急處理人力、物力資源，集中使用，統(tǒng)一調(diào)度。2. 制定重要計(jì)算機(jī)信息系統(tǒng)應(yīng)急處理方案，明確崗位職責(zé)、人員分工以及應(yīng)急處理程序。3. 業(yè)務(wù)部門制定業(yè)務(wù)應(yīng)急處理方案，科技部門制定技術(shù)應(yīng)急處理方案。4. 加強(qiáng)應(yīng)急處理技能的培訓(xùn)和應(yīng)急處理方案的演練，提高各崗位人員判斷、處理問題的能力，驗(yàn)證應(yīng)急處理程序的有效性。第七十九條應(yīng)急處理組織體系1. 各級機(jī)構(gòu)應(yīng)成立計(jì)算機(jī)信息系統(tǒng)應(yīng)急處理小組，應(yīng)急處理小組應(yīng)由業(yè)務(wù)部門負(fù)責(zé)人、科技部門負(fù)責(zé)人及有關(guān)業(yè)務(wù)

29、和技術(shù)人員組成。2. 應(yīng)制定事件應(yīng)急反應(yīng)聯(lián)系機(jī)制，將有關(guān)人員的聯(lián)系電話、手機(jī)等登記備查，將系統(tǒng)的集成商、開發(fā)商的二十四小時聯(lián)系電話、售后服務(wù)措施等登記備案。3. 對系統(tǒng)的各種軟件、資料、工具、備份數(shù)據(jù)等必須專人保管，做到一旦事件發(fā)生，能夠馬上啟用。第八十條當(dāng)遇到危及計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行，影響計(jì)算機(jī)功能正常發(fā)揮的下列事件時，必須立即報告處置：非法侵入計(jì)算機(jī)系統(tǒng)訪問的故意進(jìn)行系統(tǒng)的配置調(diào)整、參數(shù)修改、干預(yù)操作系統(tǒng)的正常運(yùn)行，影響業(yè)務(wù)工作的。1. 故意泄露系統(tǒng)資源、密碼及代碼的。2. 侵入計(jì)算機(jī)系統(tǒng)獲取銀行和客戶信息，劫取他人資金的。3. 故意損壞計(jì)算機(jī)硬件及數(shù)據(jù)信息存儲媒體的。4. 將計(jì)算機(jī)系

30、統(tǒng)程序和應(yīng)用程序及其數(shù)據(jù)信息拷出泄露、刪除、修改、轉(zhuǎn)讓、傳播的。5. 使用病毒軟件侵害系統(tǒng)的。6. 嚴(yán)重違反金融科技工作基本管理制度，違章操作，造成嚴(yán)重后果發(fā)生經(jīng)濟(jì)案件的。7. 違反安全保密守則，造成軟件泄密、流失以及網(wǎng)絡(luò)系統(tǒng)被入侵造成損失的。8. 其他非人為因素造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的。第八十一條計(jì)算機(jī)系統(tǒng)發(fā)生緊急情況應(yīng)按應(yīng)急處置管理規(guī)定及時處理，盡力避免發(fā)生重大安全事件，嚴(yán)格執(zhí)行重大安全事件報告制度，妥善處理重大安全事件。第八十二條由計(jì)算機(jī)安全部門負(fù)責(zé)確定事故分類，制定實(shí)施事故的調(diào)查處理流程。第十三章技術(shù)資料的安全管理第八十三條技術(shù)資料指與信息系統(tǒng)有關(guān)的技術(shù)文件、圖表、程序與數(shù)據(jù)，

31、包括信息系統(tǒng)建設(shè)規(guī)劃、網(wǎng)絡(luò)設(shè)計(jì)方案、軟件設(shè)計(jì)方案、安全設(shè)計(jì)方案、源代碼、系統(tǒng)配置參數(shù)、技術(shù)數(shù)據(jù)及相關(guān)技術(shù)資料。第八十四條網(wǎng)絡(luò)參數(shù)配置文檔、重要計(jì)算機(jī)信息系統(tǒng)詳細(xì)開發(fā)資料及其源程序等核心技術(shù)文檔，由科技部門嚴(yán)格管理。第八十五條系統(tǒng)核心技術(shù)文檔資料的借用應(yīng)有審批手續(xù)和記錄，借閱人不得轉(zhuǎn)借給他人，不得復(fù)制、泄露和引用具體內(nèi)容。第八十六條重要技術(shù)資料應(yīng)有副本并異地存放。第八十七條技術(shù)資料應(yīng)實(shí)施密期管理辦法。第八十八條報廢的技術(shù)資料應(yīng)有嚴(yán)格的銷毀和監(jiān)銷制度。第十四章計(jì)算機(jī)安全運(yùn)行登記制度第八十九條必須建立健全計(jì)算機(jī)安全運(yùn)行登記制度1. 計(jì)算機(jī)安全管理、計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行、系統(tǒng)維護(hù)、科技文檔資料管理等方面必須履行登記制度。2. 各類登記必須指定專人負(fù)責(zé)。3. 必須使用專用的、具有一定格式的紙質(zhì)登記簿。第九十條登記簿格式應(yīng)具有以下基本要素：名稱、頁碼、序號、登記內(nèi)容、登記人、登記時間等。第九十一條根據(jù)本章所規(guī)定的登記事項(xiàng)，一般應(yīng)有以下各項(xiàng)登記簿（制定可參考括號中內(nèi)容）：1.軟件、文檔資料登記簿（系統(tǒng)類、應(yīng)用類、媒體類別、涉密否、傳遞情況、外借情況等）。2.系統(tǒng)和網(wǎng)絡(luò)運(yùn)行登記簿（運(yùn)行情況、維護(hù)情況、日志查看情況、故障及其處理情況等）。3. 重要系統(tǒng)的媒體（包括備份媒體）銷毀和審