第一篇:中國(guó)人民銀行信息安全管理規(guī)定
中國(guó)人民銀行信息安全管理規(guī)定
第一條 為強(qiáng)化人民銀行信息安全管理,防范計(jì)算機(jī)信息技術(shù)風(fēng)險(xiǎn),保障人民銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等規(guī)定,特制定本規(guī)定。
第一章 總則
第二條 本規(guī)定所稱信息安全管理,是指在人民銀行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障計(jì)算機(jī)信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。
第三條 人民銀行信息安全管理工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理。總行統(tǒng)一領(lǐng)導(dǎo)分支機(jī)構(gòu)和直屬企事業(yè)單位的信息安全管理,負(fù)責(zé)總行機(jī)關(guān)的信息安全管理。分支機(jī)構(gòu)負(fù)責(zé)本單位和轄內(nèi)的信息安全管理,各直屬企事業(yè)單位負(fù)責(zé)本單位的信息安全管理。
第四條 人民銀行信息安全管理實(shí)行分管領(lǐng)導(dǎo)負(fù)責(zé)制,按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第五條 本規(guī)定適用于人民銀行總行機(jī)關(guān)、各分支機(jī)構(gòu)和直屬企事業(yè)單位(以下統(tǒng)稱“各單位”)。所有使用人民銀行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本規(guī)定。
第二章 組織保障
第六條 各單位應(yīng)設(shè)立由本單位領(lǐng)導(dǎo)和相關(guān)部門(mén)主要負(fù)責(zé)人組成的計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組,辦公室設(shè)在本單位科技部門(mén),負(fù)責(zé)協(xié)調(diào)本單位及轄內(nèi)信息安全管理工作,決策本單位及轄內(nèi)信息安全重大事宜。
第七條 各單位科技部門(mén)應(yīng)設(shè)立信息安全管理部門(mén)或崗位。總行機(jī)關(guān)、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行、副省級(jí)城市中心支行科技部門(mén)配備專職信息安全管理人員,實(shí)行A、B崗制度;地(市)中心支行和縣(市)支行設(shè)立信息安全管理崗位。
人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技部門(mén)備案。信息安全管理人員調(diào)離原崗位時(shí)應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。
第二節(jié) 部門(mén)計(jì)算機(jī)安全員
第十五條 各部門(mén)應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門(mén)計(jì)算機(jī)安全員,并報(bào)本單位科技部門(mén)備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技部門(mén)。
第十六條 部門(mén)計(jì)算機(jī)安全員配合信息安全管理人員工作,并參加各項(xiàng)信息安全技能培訓(xùn)。
第十七條 部門(mén)計(jì)算機(jī)安全員在如下職責(zé)范圍內(nèi)開(kāi)展工作:
(一)負(fù)責(zé)本部門(mén)計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門(mén)客戶端安全管理情況。
(二)負(fù)責(zé)提出本部門(mén)信息安全保障需求,及時(shí)與信息安全管理人員溝通信息安全信息。
(三)負(fù)責(zé)本部門(mén)國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開(kāi)展本部門(mén)信息安全自查,協(xié)助科技部門(mén)完成對(duì)本部門(mén)的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第十八條 本規(guī)定所稱技術(shù)支持人員,是指參與人民銀行網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。
第十九條 人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中,應(yīng)承擔(dān)如下安全義務(wù):
(一)不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問(wèn),未經(jīng)業(yè)務(wù)主管部門(mén)授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。
(二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門(mén)主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處臵。
(三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度,做好數(shù)據(jù)備份工作。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房安全管理
第二十六條 本規(guī)定所稱機(jī)房是指計(jì)算機(jī)系統(tǒng)等主要設(shè)備放臵、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。
第二十七條 各單位機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技部門(mén)負(fù)責(zé),相關(guān)設(shè)備采購(gòu)納入政府集中采購(gòu)。機(jī)房的消防、視頻監(jiān)視錄像、防雷、門(mén)禁等子系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)由科技部門(mén)和保衛(wèi)部門(mén)協(xié)商確定。
第二十八條 各單位原則上只建設(shè)一個(gè)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)和人民銀行相關(guān)規(guī)定的計(jì)算機(jī)機(jī)房,為所有業(yè)務(wù)部門(mén)提供機(jī)房基礎(chǔ)設(shè)施服務(wù)。
第二十九條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上一級(jí)科技部門(mén)備案。必要時(shí),由上一級(jí)機(jī)構(gòu)科技部門(mén)會(huì)同會(huì)計(jì)、保衛(wèi)等部門(mén)進(jìn)行審核。
第三十條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司,其中總行、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行、計(jì)劃單列市中心支行的機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家貳級(jí)或貳級(jí)以上資質(zhì)同時(shí)具有三年以上專業(yè)從事計(jì)算機(jī)機(jī)房裝修裝飾經(jīng)驗(yàn)的專業(yè)公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理制度。
第三十一條 總行、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(UPS)、供配電、門(mén)禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。
第三十二條 各單位機(jī)房投入使用前,應(yīng)經(jīng)過(guò)當(dāng)?shù)毓蚕啦块T(mén)的消防驗(yàn)收和本單位科技、保衛(wèi)與會(huì)計(jì)部門(mén)組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。
第三十三條 各單位應(yīng)建立健全機(jī)房管理制度,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。
(二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。(三)針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要的安全隔離措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第四十二條 各單位科技部門(mén)應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行制度,配備專(兼)職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配臵信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
第四十三條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門(mén)主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第四十四條 各單位科技部門(mén)應(yīng)嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)審核與必要的檢測(cè),審核(檢測(cè))通過(guò)后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。
第四十五條 各單位科技部門(mén)應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口前,應(yīng)書(shū)面請(qǐng)示本部門(mén)主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門(mén)并安排在節(jié)假日進(jìn)行,同時(shí)做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。
第四十六條 各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問(wèn)控制。確因工作需要進(jìn)行遠(yuǎn)程訪問(wèn)的部門(mén)和人員應(yīng)向科技部門(mén)提出書(shū)面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。
第四十七條 信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)總行科技司授權(quán),任何外部單位與人員不得檢測(cè)、掃描人民銀行內(nèi)部網(wǎng)絡(luò)。
第四十八條 各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)總行科技司批準(zhǔn),不得在人民銀行內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)
項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容:
(一)業(yè)務(wù)需求部門(mén)提出的安全需求。
(二)安全需求分析和實(shí)現(xiàn)。
(三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第五十七條 各單位科技部門(mén)負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見(jiàn),未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)與集成
第五十八條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整實(shí)現(xiàn)。
第五十九條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門(mén)。外部開(kāi)發(fā)單位還應(yīng)與人民銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將計(jì)算機(jī)系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。
第六十條 計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)人員不能兼任計(jì)算機(jī)系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門(mén)和惡意代碼程序。
第六十一條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。
第六十二條 涉密計(jì)算機(jī)系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié) 計(jì)算機(jī)系統(tǒng)運(yùn)行
第六十三條 各單位計(jì)算機(jī)系統(tǒng)上線運(yùn)行實(shí)行安全審查制度,未通過(guò)安全審查的任何新建或改造計(jì)算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下:
(一)項(xiàng)目承擔(dān)單位(部門(mén))應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技部門(mén)審查。
(二)計(jì)算機(jī)系統(tǒng)應(yīng)用部門(mén)應(yīng)在計(jì)算機(jī)系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技部門(mén)備案。
(三)科技部門(mén)應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見(jiàn)。必
第七十三條 對(duì)已經(jīng)廢止的計(jì)算機(jī)系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技部門(mén)按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過(guò)保存期限后需要銷毀的,應(yīng)在本單位保密工作委員會(huì)監(jiān)督下予以不可恢復(fù)性銷毀。
第七章 客戶端安全管理
第七十四條 本規(guī)定所稱客戶端是指人民銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括聯(lián)網(wǎng)桌面終端、柜面終端、單機(jī)運(yùn)行(啞)終端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)等。
第七十五條 各單位應(yīng)建立完善的客戶端管理制度,記錄所有客戶端設(shè)備信息和軟件配臵信息。
第七十六條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無(wú)關(guān)的軟件。
第七十七條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)臵用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。
第七十八條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品、服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購(gòu)臵
第七十九條 本規(guī)定所稱信息安全專用產(chǎn)品,是指人民銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服務(wù),是指人民銀行向社會(huì)購(gòu)買(mǎi)的專業(yè)化安全服務(wù)。
第八十條 總行科技司負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,由集中采購(gòu)部門(mén)按照政府集中采購(gòu)程序選購(gòu)。
第八十一條 各單位購(gòu)臵掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)總行科技司批準(zhǔn)、備案。
第二節(jié) 使用管理
第八十二條
各單位科技部門(mén)應(yīng)建立信息安全專用產(chǎn)品登記使用制度,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、1第九十一條 各單位所有部門(mén)和個(gè)人應(yīng)加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備(U盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán))的管理。
第九十二條 各單位應(yīng)建立存儲(chǔ)介質(zhì)銷毀制度,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處臵并做好記錄。
第三節(jié)
數(shù)據(jù)安全
第九十三條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的人民銀行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第九十四條 各單位業(yè)務(wù)部門(mén)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技部門(mén)負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第九十五條 各單位業(yè)務(wù)部門(mén)應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。
第九十六條 各單位科技部門(mén)系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。
第九十七條 各單位業(yè)務(wù)部門(mén)應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)銷毀審批登記制度,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。
第九十八條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第四節(jié)
口令密碼
第九十九條
各單位系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員均須設(shè)臵口令密碼,至少每三個(gè)月更換一次。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求。
第一百條
敏感計(jì)算機(jī)系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交相關(guān)部門(mén)保管。未經(jīng)科
3應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。
第一百一十條 獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與人民銀行簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄漏人民銀行任何信息。
第二節(jié)
外包服務(wù)管理
第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其他社會(huì)廠商為人民銀行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議,明確約定雙方義務(wù)。
第一百一十二條 經(jīng)本單位科技部門(mén)領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商可提供上門(mén)維護(hù)服務(wù)并由人民銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配臵變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。
第一百一十三條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),各單位科技部門(mén)應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 信息通報(bào)、災(zāi)難備份與應(yīng)急管理
第一節(jié) 信息通報(bào)
第一百一十四條
各單位應(yīng)按照人民銀行信息安全事件報(bào)告制度進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)總行科技司。
第一百一十五條 重大信息安全事件發(fā)生后,各單位相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)
(一)(二)
(三)(四)
(五)(六)
(七)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。應(yīng)急組織機(jī)構(gòu)。
預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。各類危機(jī)處臵流程。應(yīng)急資源保障。事后處理流程。
預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。
第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練,并指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。
第一百二十六條 各單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決策重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。
第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章 安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)
第一節(jié) 安全監(jiān)測(cè)
第一百二十八條 各單位科技部門(mén)應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。
第一百二十九條 各單位科技部門(mén)應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)制度,報(bào)送本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技部門(mén),抄送相關(guān)業(yè)務(wù)部門(mén)。
第一百三十條 各單位要及時(shí)預(yù)警、響應(yīng)和處臵運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門(mén)。
第二節(jié) 安全檢查
7管理和信息安全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。
第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配臵管理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個(gè)月,涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。
第十三章
獎(jiǎng)勵(lì)與處罰
第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評(píng)比活動(dòng),對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì),對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。
第一百四十二條 對(duì)于違反本規(guī)定,造成重大信息安全事件的單位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門(mén)負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章
附 則
第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的,按本規(guī)定執(zhí)行。
第一百四十四條 本規(guī)定由總行負(fù)責(zé)解釋。第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。
第二篇:中國(guó)人民銀行信息安全管理規(guī)定
中國(guó)人民銀行關(guān)于印發(fā)《中國(guó)人民銀行信息安全管理規(guī)定》的通知
銀發(fā)[2005]第211號(hào) 2005年8月19日
人民銀行各分行、營(yíng)業(yè)管理部,省會(huì)(首府)城市中心支行:
現(xiàn)將修訂后的《中國(guó)人民銀行信息安全管理規(guī)定》印發(fā)你們,請(qǐng)遵照?qǐng)?zhí)行。執(zhí)行中存在的問(wèn)題,請(qǐng)及時(shí)向總行反饋。
《中國(guó)人民銀行辦公廳關(guān)于印發(fā)(中國(guó)人民銀行計(jì)算機(jī)安全管理暫行規(guī)定)的通知》(試行)(銀辦發(fā)[2000]338號(hào))同時(shí)廢止。
附件:
中國(guó)人民銀行信息安全管理規(guī)定
第一章 總 則
第一條 為強(qiáng)化人民銀行信息安全管理,防范計(jì)算機(jī)信息技術(shù)風(fēng)險(xiǎn),保障人民銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等規(guī)定,特制定本規(guī)定。
第二條 本規(guī)定所稱信息安全管理,是指在人民銀行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障計(jì)算機(jī)信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。
第三條 人民銀行信息安全管理工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理。總行統(tǒng)一領(lǐng)導(dǎo)分支機(jī)構(gòu)和直屬企事業(yè)單位的信息安全管理,負(fù)責(zé)總行機(jī)關(guān)的信息安全管理。分支機(jī)構(gòu)負(fù)責(zé)本單位和轄內(nèi)的信息安全管理,各直屬企事業(yè)單位負(fù)責(zé)本單位的信息安全管理。
第四條 人民銀行信息安全管理實(shí)行分管領(lǐng)導(dǎo)負(fù)責(zé)制,按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第五條 本規(guī)定適用于人民銀行總行機(jī)關(guān)、各分支機(jī)構(gòu)和直屬企事業(yè)單位(以下統(tǒng)稱“各單位”)。所有使用人民銀行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本規(guī)定。
第二章 組織保障
第六條 各單位應(yīng)設(shè)立由本單位領(lǐng)導(dǎo)和相關(guān)部門(mén)主要負(fù)責(zé)人組成的計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組,辦公室設(shè)在本單位科技部門(mén),負(fù)責(zé)協(xié)調(diào)本單位及轄內(nèi)信息安全管理工作,決定本單位及轄內(nèi)信息安全重大事宜。
第七條 各單位科技部門(mén)應(yīng)設(shè)立信息安全管理部門(mén)或崗位。總行機(jī)關(guān)、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行、副省級(jí)城市中心支行科技部門(mén)配備專職信息安全管理人員,實(shí)行A、B崗制度;地(市)中心支行和縣(市)支行設(shè)立信息安全管理崗位。
第八條 除科技部門(mén)外,各單位其他部門(mén)均應(yīng)指定至少一名部門(mén)計(jì)算機(jī)安全員,具體負(fù)責(zé)本部門(mén)的信息安全管理,協(xié)同科技部門(mén)開(kāi)展信息安全管理工作。
第三章 人員管理
第九條 各單位工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)。
第一節(jié) 信息安全管理人員
第十條 各單位應(yīng)選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和人民銀行有關(guān)規(guī)定受到過(guò)處罰或處分的人員,不得從事此項(xiàng)工作。
第十一條 各單位信息安全管理人員應(yīng)經(jīng)過(guò)總行或分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行組織的專業(yè)培訓(xùn)與審核,培訓(xùn)與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓(xùn)。
第十二條 各單位信息安全管理人員在如下職責(zé)范圍內(nèi)開(kāi)展本單位信息安全管理工作:
(一)組織落實(shí)上級(jí)信息安全管理規(guī)定,制定信息安全管理制度,協(xié)調(diào)部門(mén)計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作。
(二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專用設(shè)施。
(三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問(wèn)題,及時(shí)通報(bào)和預(yù)警,并提出整改意見(jiàn)。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。
(四)定期組織信息安全宣傳教育活動(dòng),開(kāi)展信息安全檢查、評(píng)估與培訓(xùn)工作。
第十三條 信息安全管理人員在履行職責(zé)時(shí),確因工作需要查詢相關(guān)涉密信息,須經(jīng)本單位主管同意后向保密工作委員會(huì)辦公室提交申請(qǐng),獲得批準(zhǔn)后方可查詢。
第十四條 信息安全管理人員實(shí)行備案管理制度。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技部門(mén)備案。信息安全管理人員調(diào)離原崗位時(shí)應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。
第二節(jié) 部門(mén)計(jì)算機(jī)安全員
第十五條 各部門(mén)應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門(mén)計(jì)算機(jī)安全員,并報(bào)本單位科技部門(mén)備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技部門(mén)。
第十六條 部門(mén)計(jì)算機(jī)安全員配合信息安全管理人員工作,并參加各項(xiàng)信息安全技能培訓(xùn)。
第十七條 部門(mén)計(jì)算機(jī)安全員在如下職責(zé)范圍內(nèi)開(kāi)展工作:
(一)負(fù)責(zé)本部門(mén)計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門(mén)客戶端安全管理情況。
(二)負(fù)責(zé)提出本部門(mén)信息安全保障需求,及時(shí)與信息安全管理人員溝通信息安全信息。
(三)負(fù)責(zé)本部門(mén)國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開(kāi)展本部門(mén)信息安全自查,協(xié)助科技部門(mén)完成對(duì)本部門(mén)的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第十八條 本規(guī)定所稱技術(shù)支持人員,是指參與人民銀行網(wǎng)終、計(jì)算機(jī)系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。
第十九條 人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中,應(yīng)承擔(dān)如下安全義務(wù):
(一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問(wèn),未經(jīng)業(yè)務(wù)主管部門(mén)授權(quán)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何數(shù)據(jù)。
(二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門(mén)主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處置。
(三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作制度,做好數(shù)據(jù)備份工作。
第二十條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間,嚴(yán)格遵守人民銀行相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán),并有人民銀行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十一條 本規(guī)定所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)部門(mén)工作人員。
第二十二條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù):
(一)嚴(yán)格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。
(二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技部門(mén)。
(三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無(wú)關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。
第二十三條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十四條 本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。
第二十五條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù):
(一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺(jué)接受本部門(mén)計(jì)算機(jī)安全員的指導(dǎo)與管理。
(二)不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。
(三)未經(jīng)科技部門(mén)檢測(cè)和授權(quán),不得將接入人民銀行內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng);不得將便攜式計(jì)算機(jī)接入人民銀行內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房安全管理
第二十六條 本規(guī)定所稱機(jī)房是指計(jì)算機(jī)系統(tǒng)等主要設(shè)備放置、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。
第二十七條 各單位機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技部門(mén)負(fù)責(zé),相關(guān)設(shè)備采購(gòu)納入政府集中采購(gòu)。機(jī)房的消防、視頻監(jiān)視錄像、防雷、門(mén)禁等子系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)由科技部門(mén)和保衛(wèi)部門(mén)協(xié)商確定。
第二十八條 各單位原則上只建設(shè)一個(gè)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)和人民銀行相關(guān)規(guī)定的計(jì)算機(jī)機(jī)房,為所有業(yè)務(wù)部門(mén)提供機(jī)房基礎(chǔ)設(shè)施服務(wù)。
第二十九條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上一級(jí)科技部門(mén)備案。必要時(shí),由上一級(jí)機(jī)構(gòu)科技部門(mén)會(huì)同會(huì)計(jì)、保衛(wèi)等部門(mén)進(jìn)行審核。
第三十條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司,其中總行、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行、計(jì)劃單列市中心支行的機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家貳級(jí)或貳級(jí)以上的資質(zhì)同時(shí)具有三年以上專業(yè)從事計(jì)算機(jī)機(jī)房裝修裝飾經(jīng)驗(yàn)的專業(yè)公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理制度。
第三十一條 總行、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(UPS)、供配電、門(mén)禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。
第三十二條 各單位機(jī)房投入使用前,應(yīng)經(jīng)過(guò)當(dāng)?shù)毓蚕啦块T(mén)的消防驗(yàn)收和本單位科技、保衛(wèi)與會(huì)計(jì)部門(mén)組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。
第三十三條 各單位應(yīng)建立健全機(jī)房管理制度,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
第三十四條 建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。第二節(jié) 柜面和核心業(yè)務(wù)處理環(huán)境安全管理
第三十五條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理,應(yīng)安裝門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能。
第三十六條 所有門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保存至少三個(gè)月。
第三節(jié) 設(shè)備資產(chǎn)管理
第三十七條 各單位科技部門(mén)應(yīng)建立完備的計(jì)算機(jī)設(shè)備登記制度,嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。
第三十八條 各單位科技部門(mén)應(yīng)根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施,制定完善的訪問(wèn)控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū),必要時(shí),單獨(dú)建立門(mén)禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理
第三十九條 總行科技司負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、IP地址和域名等)分配。
第四十條 各單位科技部門(mén)按照總行科技司的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。各單位局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技部門(mén)審核、備案,投產(chǎn)前應(yīng)通過(guò)本單位組織的安全測(cè)試。
第四十一條 各單位的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求:
(一)符合人民銀行網(wǎng)絡(luò)安全管理要求,保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。
(二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。
(三)針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要的安全隔離措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第四十二條 各單位科技部門(mén)應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行制度,配備專(兼)職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
第四十三條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門(mén)主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第四十四條 各單位科技部門(mén)應(yīng)嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)審核與必要的檢測(cè),審核(檢測(cè))通過(guò)后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。
第四十五條 各單位科技部門(mén)應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書(shū)面請(qǐng)示本部門(mén)主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門(mén)并安排在節(jié)假日進(jìn)行,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。
第四十六條 各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問(wèn)控制。確因工作需要進(jìn)行遠(yuǎn)程訪問(wèn)的部門(mén)和人員應(yīng)向科技部門(mén)提出書(shū)面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。
第四十七條 信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)總行科技司授權(quán),任何外部單位與人員不得檢測(cè)、掃描人民銀行內(nèi)部網(wǎng)絡(luò)。
第四十八條 各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)總行科技司批準(zhǔn),不得在人民銀行內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第四十九條 本規(guī)定所稱網(wǎng)間互聯(lián)是指為滿足人民銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。
第五十條 網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)總行科技司核準(zhǔn),任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第五十一條 人民銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。所有接入人民銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。
第五十二條 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過(guò)本單位保密工作委員會(huì)辦公室批準(zhǔn),并確保安裝有人民銀行選定的防病毒軟件和最新補(bǔ)丁程序。科技部門(mén)憑相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng),并做好備案。曾接入人民銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù),科技部門(mén)確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。
第五十三條 未經(jīng)科技部門(mén)安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入人民銀行內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。
第五十四條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和人民銀行相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動(dòng)。
第六章 計(jì)算機(jī)系統(tǒng)安全管理
第五十五條 本規(guī)定所指的計(jì)算機(jī)系統(tǒng)是人民銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等,包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。
第一節(jié) 計(jì)算機(jī)系統(tǒng)規(guī)劃與立項(xiàng)
第五十六條 計(jì)算機(jī)系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問(wèn)題,建設(shè)方案應(yīng)滿足人民銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容:
(一)業(yè)務(wù)需求部門(mén)提出的安全需求。
(二)安全需求分析和實(shí)現(xiàn)。
(三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第五十七條 各單位科技部門(mén)負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見(jiàn),未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)與集成
第五十八條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整實(shí)現(xiàn)。
第五十九條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門(mén)。外部開(kāi)發(fā)單位還應(yīng)與人民銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將計(jì)算機(jī)系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。
第六十條 計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)人員不能兼任計(jì)算機(jī)系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門(mén)和惡意代碼程序。
第六十一條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。
第六十二條 涉密計(jì)算機(jī)系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié) 計(jì)算機(jī)系統(tǒng)運(yùn)行
第六十三條 各單位計(jì)算機(jī)系統(tǒng)上線運(yùn)行實(shí)行安全審查制度,未通過(guò)安全審查的任何新建或改造計(jì)算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下:
(一)項(xiàng)目承擔(dān)單位(部門(mén))應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技部門(mén)審查。
(二)計(jì)算機(jī)系統(tǒng)應(yīng)用部門(mén)應(yīng)在計(jì)算機(jī)系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技部門(mén)備案。
(三)科技部門(mén)應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見(jiàn)。必要時(shí),可組織專家評(píng)審或?qū)嵤┯?jì)算機(jī)系統(tǒng)漏洞掃描檢測(cè)。
第六十四條 各單位科技部門(mén)應(yīng)明確系統(tǒng)管理員,具體負(fù)責(zé)計(jì)算機(jī)系統(tǒng)的日常運(yùn)行管理,并建立重要計(jì)算機(jī)系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過(guò)程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)。
第六十五條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門(mén)同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。
第六十六條 未經(jīng)業(yè)務(wù)主管部門(mén)領(lǐng)導(dǎo)書(shū)面批準(zhǔn),其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī),不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第六十七條 業(yè)務(wù)部門(mén)負(fù)責(zé)計(jì)算機(jī)系統(tǒng)用戶和權(quán)限設(shè)定,科技部門(mén)根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。
第六十八條 業(yè)務(wù)操作人員嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作、數(shù)據(jù)備份,并配合科技部門(mén)保障信息安全。一旦發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異常及時(shí)向本部門(mén)領(lǐng)導(dǎo)和科技部門(mén)報(bào)告。
第六十九條 業(yè)務(wù)操作人員設(shè)置本人口令密碼。重要計(jì)算機(jī)系統(tǒng)業(yè)務(wù)操作人員的密碼應(yīng)由業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)和系統(tǒng)管理員分段設(shè)立。
第七十條 凡是能夠執(zhí)行錄入、復(fù)核制度的計(jì)算機(jī)系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗、兼崗。
第七十一條 業(yè)務(wù)操作人員離開(kāi)操作用機(jī)時(shí),應(yīng)按序退出計(jì)算機(jī)系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。
第五節(jié) 計(jì)算機(jī)系統(tǒng)廢止
第七十二條 實(shí)行計(jì)算機(jī)系統(tǒng)廢止申報(bào)、備案制度。使用計(jì)算機(jī)系統(tǒng)的業(yè)務(wù)部門(mén)根據(jù)需要向科技部門(mén)提出廢止申請(qǐng),由科技部門(mén)組織進(jìn)行安全檢查后予以廢止,同時(shí)備案。
第七十三條 對(duì)已經(jīng)廢止的計(jì)算機(jī)系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技部門(mén)按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過(guò)保存期限后需要銷毀的,應(yīng)在本單位保密工作委員會(huì)監(jiān)督下予以不可恢復(fù)性銷毀。
第七章 客戶端安全管理
第七十四條 本規(guī)定所稱客戶端是指人民銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括聯(lián)網(wǎng)桌面終端、柜面終端、單機(jī)運(yùn)行(啞)終端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)等。
第七十五條 各單位應(yīng)建立完善的客戶端管理制度,記錄所有客戶端設(shè)備信息和軟件配置信息。
第七十六條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無(wú)關(guān)的軟件。
第七十七條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。
第七十八條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品、服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購(gòu)置
第七十九條 本規(guī)定所稱信息安全專用產(chǎn)品,是指人民銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服務(wù),是指人民銀行向社會(huì)購(gòu)買(mǎi)的專業(yè)化安全服務(wù)。
第八十條 總行科技司負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,由集中采購(gòu)部門(mén)按照政府集中采購(gòu)程序選購(gòu)。
第八十一條 各單位購(gòu)置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)總行科技司批準(zhǔn)、備案。
第二節(jié) 使用管理
第八十二條 各單位科技部門(mén)應(yīng)建立信息安全專用產(chǎn)品登記使用制度,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。
第八十三條 各單位科技部門(mén)隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問(wèn)題,立即采取控制措施并按規(guī)定程序報(bào)告。
第八十四條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月。
第八十五條 各單位科技部門(mén)應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品,凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報(bào)廢審批程序處理。
第八十六條 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置,由科技部門(mén)或經(jīng)科技部門(mén)授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。
第九章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理
第一節(jié) 技術(shù)文檔
第八十七條 本規(guī)定所稱技術(shù)文檔是指人民銀行網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過(guò)程中形成的各種技術(shù)資料,包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。
第八十八條 各單位科技部門(mén)負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,實(shí)行借閱登記制度。未經(jīng)科技部門(mén)領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。
第二節(jié) 存儲(chǔ)介質(zhì)
第八十九條 各單位應(yīng)建立健全磁帶、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。
第九十條 各單位應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過(guò)程中的安全控制,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。
第九十一條 各單位所有部門(mén)和個(gè)人應(yīng)加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備(U盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán))的管理。
第九十二條 各單位應(yīng)建立存儲(chǔ)介質(zhì)銷毀制度,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。
第三節(jié) 數(shù)據(jù)安全
第九十三條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的人民銀行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第九十四條 各單位業(yè)務(wù)部門(mén)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技部門(mén)負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第九十五條 各單位業(yè)務(wù)部門(mén)應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。
第九十六條 各單位科技部門(mén)系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。
第九十七條 各單位業(yè)務(wù)部門(mén)應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)銷毀審批登記制度,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。
第九十八條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第四節(jié) 口令密碼
第九十九條 各單位系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員均須設(shè)置口令密碼,至少每三個(gè)月更換一次。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求。
第一百條 敏感計(jì)算機(jī)系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交相關(guān)部門(mén)保管。未經(jīng)科技部門(mén)主管領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。
第一百零一條 各單位應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要計(jì)算機(jī)系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百零二條 人民銀行涉密網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人民銀行實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。
第一百零三條 各單位選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合人民銀行的相關(guān)安全要求。
第一百零四條 各單位應(yīng)建立嚴(yán)格的密鑰管理體制,選擇密碼管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過(guò)程。
第一百零五條 各單位應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作,并設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能。
第一百零六條 各類密鑰應(yīng)定期更換,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除,過(guò)期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問(wèn)和外包服務(wù)安全管理
第一節(jié) 第三方訪問(wèn)控制
第一百零七條 本規(guī)定所稱第三方訪問(wèn)是指人民銀行之外的單位和個(gè)人物理訪問(wèn)人民銀行計(jì)算機(jī)房或者通過(guò)網(wǎng)絡(luò)連接邏輯訪問(wèn)人民銀行數(shù)據(jù)庫(kù)和計(jì)算機(jī)系統(tǒng)等活動(dòng)。
第一百零八條 各單位保密工作委員會(huì)負(fù)責(zé)涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批,各單位科技部門(mén)負(fù)責(zé)非涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批。未經(jīng)人民銀行授權(quán)的任何第三方訪問(wèn)均視為非法入侵行為。
第一百零九條 允許被第三方訪問(wèn)的人民銀行計(jì)算機(jī)系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。
第一百一十條 獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與人民銀行簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄露人民銀行任何信息。
第二節(jié) 外包服務(wù)管理
第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其他社會(huì)廠商為人民銀行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議,明確約定雙方義務(wù)。
第一百一十二條 經(jīng)本單位科技部門(mén)領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商可提供上門(mén)維護(hù)服務(wù)并由人民銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。
第一百一十三條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),各單位科技部門(mén)應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 信息通報(bào)、災(zāi)難備份與應(yīng)急管理
第一節(jié) 信息通報(bào)
第一百一十四條 各單位應(yīng)按照人民銀行信息安全事件報(bào)告制度進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)總行科技司。
第一百一十五條 重大信息安全事件發(fā)生后,各單位相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門(mén),由上級(jí)科技部門(mén)決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。
第二節(jié) 災(zāi)難備份管理
第一百一十七條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。
第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。
第一百一十九條 總行業(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。總行科技司據(jù)此確定災(zāi)難備份等級(jí)和備份方案。
第一百二十條 各單位應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃,定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,由總行相關(guān)部門(mén)統(tǒng)一部署,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第三節(jié) 應(yīng)急管理
第一百二十一條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。
第一百二十二條 在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。
第一百二十三條 各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門(mén)和科技部門(mén)共同完成。
第一百二十四條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容:
(一)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。
(二)應(yīng)急組織機(jī)構(gòu)。
(三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。
(四)各類危機(jī)處置流程。
(五)應(yīng)急資源保障。
(六)事后處理流程。
(七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。
第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練,并指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。
第一百二十六條 各單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。
第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章 安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)
第一節(jié) 安全監(jiān)測(cè)
第一百二十八條 各單位科技部門(mén)應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。
第一百二十九條 各單位科技部門(mén)應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)制度,報(bào)送本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技部門(mén),抄送相關(guān)業(yè)務(wù)部門(mén)。
第一百三十條 各單位要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門(mén)。
第二節(jié) 安全檢查
第一百三十一條 各單位科技部門(mén)應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查,安全檢查方式可以是自查、互相或上級(jí)檢查多種方式。
第一百三十二條 各單位在開(kāi)展安全檢查前應(yīng)以安全管理制度為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。
第一百三十三條 各單位參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為人民銀行內(nèi)部材料妥善保管,不得向外界泄露。
第一百三十四條 各單位應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技部門(mén)備案。
第三節(jié) 安全評(píng)估
第一百三十五條 各單位科技部門(mén)可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式,每年至少組織一次對(duì)本單位或轄內(nèi)信息系統(tǒng)的安全評(píng)估。
第一百三十六條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后,形成評(píng)估報(bào)告,提出整改意見(jiàn)報(bào)本單位科技部門(mén)主管領(lǐng)導(dǎo)。
第一百三十七條 各單位如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,應(yīng)報(bào)總行科技司批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。
第一百三十八條 各單位應(yīng)妥善保管信息安全評(píng)估報(bào)告,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第四節(jié) 安全審計(jì)
第一百三十九條 各單位科技部門(mén)在支持與配合內(nèi)審部門(mén)開(kāi)展審計(jì)信息安全工作的同時(shí),應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。
第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個(gè)月,涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評(píng)比活動(dòng),對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì),對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。
第一百四十二條 對(duì)于違反本規(guī)定,造成重大信息安全事件的單位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門(mén)負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章 附 則
第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的,按本規(guī)定執(zhí)行。
第一百四十四條 本規(guī)定自發(fā)布之日起執(zhí)行。
第三篇:中國(guó)人民銀行貨幣押運(yùn)安全管理規(guī)定
中國(guó)人民銀行貨幣押運(yùn)安全管理規(guī)定
發(fā)布部門(mén): 中國(guó)人民銀行 發(fā)布文號(hào): 銀發(fā)[2000]368號(hào)
第一條 為規(guī)范中國(guó)人民銀行貨幣押運(yùn)安全管理工作,防范和制止危害貨幣押運(yùn)的違法犯罪行為,提高處置突發(fā)事件的應(yīng)變能力,確保發(fā)行基金和職工人身安全,根據(jù)有關(guān)法律法規(guī),制定本規(guī)定。本規(guī)定所稱貨幣押運(yùn)特指汽車運(yùn)輸。
第二條 中國(guó)人民銀行貨幣押運(yùn)的安全管理由各級(jí)保衛(wèi)部門(mén)負(fù)責(zé)。總行重點(diǎn)庫(kù)、分庫(kù)及副省級(jí)城市中心支庫(kù)、印鈔造幣廠武裝押運(yùn)人員由駐勤武警部隊(duì)擔(dān)任,安全管理由保衛(wèi)部門(mén)負(fù)責(zé)組織協(xié)調(diào)駐勤武警部隊(duì)、貨幣金銀、行政后勤服務(wù)部門(mén)共同實(shí)施;地(市)中心支行已建立運(yùn)鈔中心的由運(yùn)鈔中心負(fù)責(zé)運(yùn)鈔安全的組織協(xié)調(diào)工作。尚未建立運(yùn)鈔中心的,運(yùn)鈔安全管理由保衛(wèi)部門(mén)負(fù)責(zé)協(xié)調(diào)貨幣金銀、行政后勤服務(wù)部門(mén)共同組織,武裝押運(yùn)人員由人民銀行保衛(wèi)干部及專職押運(yùn)人員擔(dān)任。
第三條 貨幣押運(yùn)安全管理中各部門(mén)的主要職責(zé):
(一)保衛(wèi)部門(mén)負(fù)責(zé)發(fā)行基金、金銀、有價(jià)證券、銀行重要憑證、損傷券等免檢物品從出庫(kù)裝車到卸貨入庫(kù)、損傷券銷毀現(xiàn)場(chǎng)的安全警戒及運(yùn)輸全程的武裝押運(yùn),處置運(yùn)鈔途中突發(fā)事件。
(二)貨幣金銀部門(mén)負(fù)責(zé)辦理調(diào)撥出入庫(kù)手續(xù)和賬務(wù)核算,清點(diǎn)出入庫(kù)免檢物品,協(xié)助保衛(wèi)部門(mén)做好押運(yùn)安全工作。
(三)行政后勤服務(wù)部門(mén)負(fù)責(zé)押運(yùn)的后勤保障工作。
各部門(mén)要按照職責(zé)分工各負(fù)其責(zé),密切協(xié)作,統(tǒng)一行動(dòng)。
第四條 各級(jí)行根據(jù)上級(jí)行庫(kù)主任及本行庫(kù)主任簽發(fā)的調(diào)撥命令執(zhí)行貨幣押運(yùn)任務(wù)。非緊急情況下,本省區(qū)調(diào)撥命令應(yīng)于執(zhí)行押運(yùn)任務(wù)一日前下達(dá),跨省區(qū)調(diào)撥命令應(yīng)于執(zhí)行押運(yùn)任務(wù)三日前下達(dá)。
第五條 執(zhí)行押運(yùn)任務(wù),要成立押運(yùn)領(lǐng)導(dǎo)小組,由一名行領(lǐng)導(dǎo)(或由行領(lǐng)導(dǎo)指定的負(fù)責(zé)人)帶隊(duì),具體負(fù)責(zé)押運(yùn)工作的統(tǒng)一指揮。已建立運(yùn)鈔中心的地(市)中心支行,由運(yùn)鈔中心負(fù)責(zé)運(yùn)鈔途中的統(tǒng)一指揮。
第六條 各級(jí)行要制定押運(yùn)途中各種緊急情況的處置預(yù)案,平時(shí)要經(jīng)常組織演練。在較固定的運(yùn)鈔線路上,要與當(dāng)?shù)氐娜嗣胥y行或金融機(jī)構(gòu)、公安機(jī)關(guān)、治安聯(lián)防建立聯(lián)系,遇有突發(fā)情況時(shí)可及時(shí)救援。執(zhí)行臨時(shí)線路的運(yùn)鈔任務(wù)時(shí),要事先了解途經(jīng)地區(qū)的社會(huì)治安、道路交通情況,做好相應(yīng)的準(zhǔn)備工作。
第七條 由武警部隊(duì)承擔(dān)押運(yùn)任務(wù)時(shí),部隊(duì)與銀行保衛(wèi)人員的比例為2∶1;地市中心支行執(zhí)行押運(yùn)任務(wù),必須配備兩名以上的保衛(wèi)干部、專職押運(yùn)人員。
第八條 執(zhí)行押運(yùn)任務(wù)要使用性能良好、廂體封閉的運(yùn)鈔車,必須配備護(hù)衛(wèi)車。護(hù)衛(wèi)車日常管理由保衛(wèi)部門(mén)負(fù)責(zé)。
第九條 執(zhí)行押運(yùn)任務(wù)要配備有效的通訊器材,保證聯(lián)絡(luò)暢通。
第十條 執(zhí)行押運(yùn)任務(wù),武裝押運(yùn)人員按規(guī)定登記領(lǐng)取武器彈藥,押運(yùn)工作結(jié)束后,立即交回并注銷(見(jiàn)附表1)。
第十一條 運(yùn)鈔免檢通行證由保衛(wèi)部門(mén)負(fù)責(zé)管理。運(yùn)鈔免檢通行證要一車一證,車證相符,執(zhí)行任務(wù)時(shí)登記領(lǐng)取,運(yùn)鈔任務(wù)完成后立即交回并注銷(見(jiàn)附表2)。
第十二條 運(yùn)鈔車嚴(yán)禁攜帶非免檢物品,嚴(yán)禁搭乘無(wú)關(guān)人員。
第十三條 參加押運(yùn)的人員必須嚴(yán)格遵守下列押運(yùn)工作紀(jì)律。
(一)不得向無(wú)關(guān)人員泄露押運(yùn)工作的有關(guān)情況;
(二)不得在公開(kāi)場(chǎng)合和用外部電話談?wù)撗哼\(yùn)工作的有關(guān)情況;
(三)不得中途隨意下車或單人行動(dòng);
(四)不得在執(zhí)行任務(wù)時(shí)飲酒。
第十四條 運(yùn)鈔車必須按照事先確定的路線行駛,途中不準(zhǔn)隨意停車。遇有特殊情況要改變行車路線時(shí),需經(jīng)帶隊(duì)領(lǐng)導(dǎo)批準(zhǔn)后執(zhí)行。
第十五條 押運(yùn)途中因就餐等原因必須停車時(shí),要避開(kāi)繁華市區(qū)和社會(huì)治安復(fù)雜的地段,停車時(shí)要有武裝押運(yùn)人員警戒。
第十六條 執(zhí)行押運(yùn)任務(wù)的武器必須隨身攜帶,防止被盜、丟失、走火等案件、事故的發(fā)生。遇有緊急情況需使用槍支時(shí),按照中國(guó)人民銀行、公安部《關(guān)于銀行守庫(kù)、押運(yùn)人員在執(zhí)行任務(wù)中使用武器的規(guī)定》((85)銀發(fā)字369號(hào))執(zhí)行。
第十七條 參加押運(yùn)的人員在執(zhí)行押運(yùn)任務(wù)途中要自覺(jué)遵守交通法規(guī),遇公安等部門(mén)要求檢查時(shí),應(yīng)主動(dòng)出示運(yùn)鈔免檢通行證并說(shuō)明情況,防止發(fā)生沖突。
第十八條 對(duì)持有免檢通行證的運(yùn)鈔車內(nèi)物品確需檢查時(shí),由公安機(jī)關(guān)、人民銀行共同組織進(jìn)行,其他部門(mén)無(wú)權(quán)檢查。檢查程序按照中國(guó)人民銀行、公安部《關(guān)于做好銀行運(yùn)鈔安全管理的通知》(銀發(fā)(1999)439號(hào))執(zhí)行。
第十九條 執(zhí)行長(zhǎng)途運(yùn)鈔任務(wù),運(yùn)鈔車需在外過(guò)夜時(shí),要事先與人民銀行當(dāng)?shù)胤种新?lián)系存放事宜,接收存放的人民銀行分支行要積極協(xié)助做好安全保衛(wèi)工作,保證免檢物品、車輛和押運(yùn)武器的安全。
第二十條 押運(yùn)工作結(jié)束后,認(rèn)真做好押運(yùn)登記和小結(jié)(見(jiàn)附表3)。
第二十一條 對(duì)認(rèn)真執(zhí)行本規(guī)定,切實(shí)履行職責(zé),及時(shí)制止危害國(guó)家財(cái)產(chǎn)和職工生命安全的違法犯罪行為,使國(guó)家財(cái)產(chǎn)和職工生命安全免受損失的單位和個(gè)人,可以由本級(jí)或上級(jí)行予以表彰。
第二十二條 對(duì)違反本規(guī)定,導(dǎo)致發(fā)生事故和案件的,按規(guī)定給予有關(guān)責(zé)任人行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第二十三條 其他有關(guān)規(guī)定與本規(guī)定相抵觸的,以本規(guī)定為準(zhǔn)。
第二十四條 本規(guī)定由中國(guó)人民銀行負(fù)責(zé)解釋、修訂。
第二十五條 本規(guī)定自發(fā)布之日起施行。
第四篇:信息安全管理規(guī)定
信息安全管理規(guī)定
目 錄
1.1.1信息安全管理規(guī)定...................................................2
一、總則........................................................2
二、適用范圍....................................................2
三、職責(zé)........................................................2
四、管理規(guī)定....................................................2
五、信息安全風(fēng)險(xiǎn)評(píng)估............................................6
六、附則........................................................7 1.1.2.計(jì)算機(jī)病毒防范管理規(guī)定........................................8 1.1.3信息系統(tǒng)管理制度.................................................11
一、業(yè)務(wù)主管職責(zé)...............................................11
二、系統(tǒng)管理員具體職責(zé):.......................................12
三、系統(tǒng)管理員操作管理制度.....................................12
四、系統(tǒng)管理員備份管理制度.....................................13
五、軟件管理制度...............................................13
六、數(shù)據(jù)管理制度...............................................14
七、系統(tǒng)維護(hù)管理制度...........................................15
八、檔案及數(shù)據(jù)管理制度.........................................16 1.1.4中心機(jī)房管理規(guī)定.................................................18
一、機(jī)房人員日常行為準(zhǔn)則.......................................18
二、機(jī)房安全制度...............................................18
三、機(jī)房用電安全制度...........................................19
四、機(jī)房消防安全制度...........................................19
五、機(jī)房硬件設(shè)備安全使用制度...................................20
六、軟件安全使用制度...........................................21
七、機(jī)房資料、文檔和數(shù)據(jù)安全制度...............................22
八、機(jī)房財(cái)產(chǎn)登記和保護(hù)制度.....................................22
九、機(jī)房巡檢制度...............................................22
信息安全管理規(guī)定
1.1.1信息安全管理規(guī)定
一、總則
為加強(qiáng)公司管理處計(jì)算機(jī)信息體系資產(chǎn)安全的保護(hù),保障公司信息化體系連續(xù)可靠正常地運(yùn)行,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際網(wǎng)管理暫行規(guī)定》和相關(guān)行政法規(guī),結(jié)合公司管理處實(shí)際狀況,特制訂本規(guī)定。
二、適用范圍
本規(guī)定適用于公司管理處所有員工,所有公司電子信息設(shè)備、版權(quán)軟件、電子信息系統(tǒng)、電子信息文件、客戶和廠商及兄弟單位提供給公司的所有電子信息資料的安全管理。
三、職責(zé)
3.1技術(shù)保障部負(fù)責(zé)本規(guī)定的制訂和修訂。3.2各級(jí)部門(mén)主管負(fù)責(zé)本規(guī)定在本部門(mén)的落實(shí)。
3.3技術(shù)保障部負(fù)責(zé)對(duì)本規(guī)定的執(zhí)行情況開(kāi)展定期或不定期的檢查和指導(dǎo)。
四、管理規(guī)定 4.1電子產(chǎn)品資產(chǎn)管理
4.1.1公司所有辦公電腦(含筆記本電腦)與相關(guān)電子產(chǎn)品屬公司資產(chǎn),任何部門(mén)及個(gè)人無(wú)權(quán)侵占、挪為私用。4.1.2公司所有辦公電腦及相關(guān)電子產(chǎn)品由技術(shù)保障部統(tǒng)一做資產(chǎn)編號(hào)、建立臺(tái)帳、調(diào)度分配,并發(fā)放給對(duì)應(yīng)的使用人員,資產(chǎn)掛靠人有該資產(chǎn)使用權(quán),同時(shí)需承擔(dān)保管義務(wù),任何遺失、人為破壞行為,需按照資產(chǎn)折舊值賠償。4.1.3公司所有辦公電腦及相關(guān)電子產(chǎn)品是公司配備給部門(mén)或個(gè)人的工作工具,任何人無(wú)權(quán)利用其做個(gè)人經(jīng)營(yíng)或工作無(wú)關(guān)事宜,一經(jīng)發(fā)現(xiàn)提報(bào)人力資源部據(jù)公司相關(guān)規(guī)定處分。4.1.4未經(jīng)許可,不得擅自使用他人電腦,所有用戶需設(shè)置5分鐘密碼屏保,以確保離開(kāi)后電腦不被他人使用。4.1.5人員離職、調(diào)崗時(shí),請(qǐng)參照人事人員離職/換崗流程通知技術(shù)保障部協(xié)助所屬部門(mén)交接人員備份信息資料,接收、重新分配電腦。4.2賬號(hào)及密碼安全管理
4.2.1公司各自崗位管理員及用戶無(wú)條件對(duì)本人所負(fù)責(zé)的相關(guān)信息系統(tǒng)及軟硬件密碼負(fù)直接管理責(zé)任,未經(jīng)上級(jí)主管審批,不得將自己的賬號(hào)及密碼告訴其他人,造成損失者,對(duì)賬戶及密碼擁有人員酌情處分。
4.2.2機(jī)房設(shè)備及服務(wù)器、各信息系統(tǒng)管理員賬號(hào)統(tǒng)一由技術(shù)保障部對(duì)應(yīng)責(zé)任崗位負(fù)責(zé),并定期修改密碼;密碼需統(tǒng)一登記在冊(cè),并及時(shí)更新,由技術(shù)保障部經(jīng)理負(fù)責(zé),出現(xiàn)重大泄露事件,對(duì)部門(mén)經(jīng)理及相關(guān)責(zé)任人處分。4.2.3公司官網(wǎng)、微信、微博等與公司宣傳有關(guān)的賬號(hào)、密碼,統(tǒng)一由市場(chǎng)營(yíng)銷部門(mén)對(duì)應(yīng)崗位負(fù)責(zé)。
4.2.4因工作需要,在政府或第三方機(jī)構(gòu)等網(wǎng)站注冊(cè)的賬號(hào)、密碼,分別由各責(zé)任部門(mén)自行負(fù)責(zé)。
4.2.5具有信息系統(tǒng)權(quán)限的人員離職、調(diào)崗時(shí),必須由技術(shù)保障部會(huì)簽離職、調(diào)崗相關(guān)單據(jù),以及時(shí)處理相關(guān)權(quán)限。4.3計(jì)算機(jī)系統(tǒng)安全管理
4.3.1公司所有辦公電腦系統(tǒng)權(quán)限、安裝軟件、端口使用權(quán)限全部由技術(shù)保障部根據(jù)本規(guī)定統(tǒng)一設(shè)置、管控,特殊崗位因工作需要開(kāi)通權(quán)限,需經(jīng)申請(qǐng)批準(zhǔn)后由技術(shù)保障部執(zhí)行,任何未經(jīng)批準(zhǔn)擅自更改者視情節(jié)嚴(yán)重性進(jìn)行處分。4.3.2未經(jīng)技術(shù)保障部備案許可,嚴(yán)禁擅自安裝自帶軟件,私自安裝軟件造成的版權(quán)糾紛,將由個(gè)人承擔(dān)全部相關(guān)法律責(zé)任。
4.3.3公司所有辦公電腦嚴(yán)禁安裝游戲、工作無(wú)關(guān)軟件,技術(shù)保障部不定期檢查,對(duì)并違規(guī)行為做通報(bào)。4.4網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全管理
4.4.1任何部門(mén)和個(gè)人,不得利用計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)從事危害國(guó)家利益、集體利益和公民合法權(quán)益的活動(dòng),不得利用國(guó)際互聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播違法信息,任何利用公司網(wǎng)絡(luò)所作的違法行為屬個(gè)人行為,將全部由個(gè)人承擔(dān)相關(guān)法律責(zé)任,公司將配合相關(guān)部門(mén)嚴(yán)厲查處。4.4.1.1煽動(dòng)抗拒、違法亂紀(jì)、顛覆國(guó)家政權(quán)、分裂國(guó)家、破壞民族團(tuán)結(jié)的;
4.4.1.2捏造或者歪曲事實(shí),散布謠言,擾亂社會(huì)秩序的; 4.4.1.3宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事實(shí)誹謗他人的。4.4.2任何部門(mén)和個(gè)人不得從事下列危害公司或公共計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng),違者全部由個(gè)人承擔(dān)相關(guān)法律責(zé)任,并視情節(jié)嚴(yán)重性請(qǐng)相關(guān)部門(mén)追究法律責(zé)任。4.4.2.1故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的; 4.4.2.2故意攻擊公共網(wǎng)絡(luò)、公共服務(wù)器、公司網(wǎng)絡(luò)、公司服務(wù)器的;
4.4.2.3其他故意危害公共網(wǎng)絡(luò)、公司網(wǎng)絡(luò)安全的行為。4.4.3 電腦IP地址是公司網(wǎng)絡(luò)管理的最重要基礎(chǔ),公司所有辦公電腦(含筆記本電腦)由技術(shù)保障部統(tǒng)一分配IP地址,任何部門(mén)或個(gè)人無(wú)權(quán)擅自修改IP地址。
4.4.4不得利用公司網(wǎng)絡(luò)打游戲、看電影、下載工作無(wú)關(guān)資料。
4.4.5不得在公司內(nèi)部安裝、使用網(wǎng)絡(luò)代理軟件,以擾亂網(wǎng)絡(luò)管理機(jī)制。
4.4.6技術(shù)保障部需定期檢查、通報(bào)公司網(wǎng)絡(luò)使用狀況,并對(duì)違規(guī)者申請(qǐng)?zhí)幏帧?.5信息資料安全管理
4.5.1公司所有信息資料屬公司資產(chǎn),各部門(mén)與個(gè)人有義務(wù)承擔(dān)本部門(mén)或個(gè)人信息資料的保密責(zé)任,并對(duì)所轄機(jī)密資料的安全承擔(dān)連帶責(zé)任。
4.5.2各部門(mén)主管需逐級(jí)制訂本部門(mén)機(jī)密資料的內(nèi)容、受限范圍、發(fā)放審批機(jī)制,并定期檢查、更新。
4.5.3未經(jīng)批準(zhǔn),不得把本部門(mén)機(jī)密資料放置在公共網(wǎng)絡(luò)、內(nèi)部不受限共享夾、或以其他任何方式發(fā)送給受限范圍以外的人員;任何有意、無(wú)意的泄密行為都是公司嚴(yán)厲禁止的,直至追究法律責(zé)任。
4.5.4對(duì)于部分有備份安全需求的部門(mén),可申請(qǐng)由技術(shù)保障部統(tǒng)一安排部署備份服務(wù)器及備份機(jī)制。4.6中心機(jī)房安全管理
詳見(jiàn)《公司管理處中心機(jī)房管理規(guī)定》。4.7計(jì)算機(jī)病毒防范
詳見(jiàn)《公司管理處計(jì)算機(jī)病毒防范管理規(guī)定》 4.8監(jiān)控資料安全管理
4.8.1監(jiān)控資料調(diào)閱管理部門(mén)為技術(shù)保障部,安防監(jiān)控錄像調(diào)閱請(qǐng)參照綜合管理部相關(guān)規(guī)定。
五、信息安全風(fēng)險(xiǎn)評(píng)估 5.1隨著信息技術(shù)的不斷發(fā)展、重大信息系統(tǒng)環(huán)境的不斷改進(jìn)和改變,每年至少要進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估,對(duì)相關(guān)的制度進(jìn)行重新審核,并更新不適當(dāng)?shù)膬?nèi)容。
六、附則
6.1本規(guī)定由技術(shù)保障部負(fù)責(zé)解釋。
1.1.2.計(jì)算機(jī)病毒防范管理規(guī)定
為加強(qiáng)計(jì)算機(jī)的安全監(jiān)察工作,預(yù)防和控制計(jì)算機(jī)病毒,保障計(jì)算機(jī)系統(tǒng)的正常運(yùn)行,根據(jù)國(guó)家有關(guān)規(guī)定,結(jié)合實(shí)際情況,制定本制度。
一、凡在公司內(nèi)所轄計(jì)算機(jī)進(jìn)行操作、運(yùn)行、管理、維護(hù)、使用計(jì)算機(jī)系統(tǒng)以及購(gòu)置、維修計(jì)算機(jī)及其軟件的部門(mén),必須遵守本制度。
二、本辦法所稱計(jì)算機(jī)病毒,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)系統(tǒng)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
三、任何工作人員不得制作和傳播計(jì)算機(jī)病毒。
四、任何工作人員不得有下列傳播計(jì)算機(jī)病毒的行為: 故意輸入計(jì)算機(jī)病毒,危害計(jì)算機(jī)信息系統(tǒng)安全。向計(jì)算機(jī)應(yīng)用部門(mén)提供含有計(jì)算機(jī)病毒的文件、軟件、媒體。購(gòu)置和使用含有計(jì)算機(jī)病毒的媒體。
五、預(yù)防和控制計(jì)算機(jī)病毒的安全管理工作,由技術(shù)保障部負(fù)責(zé)實(shí)施管理。其主要職責(zé)是
制定計(jì)算機(jī)病毒防治管理制度和技術(shù)規(guī)程,并檢查執(zhí)行情況; 采取計(jì)算機(jī)病毒安全技術(shù)防治措施;
對(duì)計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育和培訓(xùn); 及時(shí)檢測(cè)、清除計(jì)算機(jī)系統(tǒng)中的計(jì)算機(jī)病毒,并做好檢測(cè)、清除的記錄;
購(gòu)置和使用具有計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品;
對(duì)因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時(shí)做好記錄,評(píng)估事故損失,保護(hù)現(xiàn)場(chǎng)并向公安機(jī)關(guān)報(bào)告。
六、計(jì)算機(jī)安全管理部門(mén)應(yīng)加強(qiáng)對(duì)計(jì)算機(jī)操作人員的審查,并定期進(jìn)行安全教育和培訓(xùn)。
七、計(jì)算機(jī)信息系統(tǒng)應(yīng)用部門(mén)應(yīng)建立計(jì)算機(jī)運(yùn)行記錄制度,未經(jīng)審定的任何程序、指令或數(shù)據(jù),不得輸入計(jì)算機(jī)系統(tǒng)運(yùn)行。
八、計(jì)算機(jī)安全管理部門(mén)應(yīng)對(duì)引起的計(jì)算機(jī)及其軟件進(jìn)行計(jì)算機(jī)病毒檢測(cè),發(fā)現(xiàn)染有計(jì)算機(jī)病毒的,應(yīng)采取措施加以消除,在未消除病毒之前不準(zhǔn)投入使用。
九、通過(guò)網(wǎng)絡(luò)進(jìn)行電子郵件或文件傳輸,應(yīng)及時(shí)對(duì)傳輸媒體進(jìn)行病毒檢測(cè),接收到郵件時(shí)也要及時(shí)進(jìn)行病毒檢測(cè),以防止計(jì)算機(jī)病毒的傳播。
十、積極接受公安機(jī)關(guān)對(duì)計(jì)算機(jī)病毒防治管理工作的監(jiān)督、檢查和指導(dǎo)。
十一 現(xiàn)對(duì)日常使用計(jì)算機(jī)做出如下建議 及時(shí)安裝系統(tǒng)補(bǔ)丁。建議使用系統(tǒng)自帶的更新程序進(jìn)行系統(tǒng)更新,不要使用諸如360安全衛(wèi)士或qq電腦管家進(jìn)行更新 安裝殺毒軟件。可以安裝360等免費(fèi)殺毒軟件。
定期掃描系統(tǒng)是否感染有病毒,3天左右一次,可以在下班前或中午吃飯的時(shí)候進(jìn)行全盤(pán)病毒查殺。定期更新防病毒軟件。
不要亂點(diǎn)擊鏈接和下載軟件,目前許多下載網(wǎng)站都帶有推廣鏈接,很容易造成誤操作.如需要下載軟件,請(qǐng)到正規(guī)官方網(wǎng)站上下載.不要訪問(wèn)無(wú)名和不熟悉的網(wǎng)站,防止受到惡意代碼攻擊或是惡意篡改注冊(cè)表和IE主頁(yè).不要陌生人和不熟悉的網(wǎng)友聊天,特別是那些QQ病毒攜帶者,因?yàn)樗麄儾粫r(shí)自動(dòng)發(fā)送消息,這也是其中毒的明顯特征.關(guān)閉無(wú)用的應(yīng)用程序,因?yàn)槟切┏绦驅(qū)ο到y(tǒng)往往會(huì)構(gòu)成威脅,同時(shí)還會(huì)占用內(nèi)存,降低系統(tǒng)運(yùn)行速度.安裝軟件時(shí),切記不要安裝其捆綁軟件,尤其是部分流氓軟件,一旦安裝,想要卸載十分麻煩,甚至于需要重裝系統(tǒng)才能清除.不要隨意執(zhí)行附件中的可執(zhí)行文件,一般以.com,.exe.bat作為后綴名 這些附件極有可能帶有計(jì)算機(jī)病毒或是黑客程序,輕易運(yùn)行,很可能帶來(lái)不可預(yù)測(cè)的結(jié)果。對(duì)于這些可執(zhí)行程序附件都必須檢查,確定無(wú)異后才可使用。不要隨意打開(kāi)附件中的文檔文件 對(duì)方發(fā)送過(guò)來(lái)的電子函件及相關(guān)附件的文檔,首先要用另存為命令(Save As)保存到本地硬盤(pán),待用病毒查殺軟件檢查無(wú)毒后才可以打開(kāi)使用。如果用鼠標(biāo)直接點(diǎn)擊兩下DOC、XLS等附件文檔,會(huì)自動(dòng)啟用Word或 Excel,如有附件中有病毒則會(huì)立刻傳染;如有是否啟用宏的提示,那絕對(duì)不要輕易打開(kāi),否則極有可能感染上郵件病毒。
不要直接運(yùn)行附件 對(duì)于文件擴(kuò)展名很怪的附件,或者是帶有腳本文件如*.VBS、*.SHS等的附件,千萬(wàn)不要直接打開(kāi),一般可以刪除包含這些附件的電子函件,以保證計(jì)算機(jī)系統(tǒng)不受計(jì)算機(jī)病毒的侵害,或經(jīng)過(guò)掃描之后打開(kāi)。
郵件設(shè)置如果是使用Outlook作為收發(fā)電子郵件軟件的話,應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。選擇工具菜單中的選項(xiàng)命令,在安全中設(shè)置附件的安全性為高;在其他中按高級(jí)選項(xiàng)按鈕,按加載項(xiàng)管理器按鈕,不選中服務(wù)器腳本運(yùn)行。最后按確定按鈕保存設(shè)置。
外來(lái)U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等最好在裝有殺毒軟件的電腦上查毒確認(rèn)無(wú)病毒后再打開(kāi)、執(zhí)行、拷貝。1.1.3信息系統(tǒng)管理制度
一、業(yè)務(wù)主管職責(zé)
財(cái)務(wù)、綜管、營(yíng)銷、運(yùn)營(yíng)等重點(diǎn)業(yè)務(wù)主管,負(fù)責(zé)協(xié)調(diào)本業(yè)務(wù)范圍內(nèi)信息系統(tǒng)的總體運(yùn)行工作。具體職責(zé)包括:
1、負(fù)責(zé)本部門(mén)信息化崗位的設(shè)定和分配,結(jié)合本部門(mén)情況確定每個(gè)崗位的職責(zé);
2、分配每一崗位人員操作權(quán)限,以書(shū)面形式通知系統(tǒng)管理員;
3、根據(jù)本單位的實(shí)際情況,總結(jié)系統(tǒng)存在的問(wèn)題,并提出改進(jìn)的建議;
4、研究本單位的需求,對(duì)信息系統(tǒng)提出新需求或升級(jí)的請(qǐng)求;
二、系統(tǒng)管理員具體職責(zé):
1、負(fù)責(zé)系統(tǒng)軟件、硬件及數(shù)據(jù)庫(kù)的安裝與升級(jí);
2、負(fù)責(zé)系統(tǒng)軟件、硬件及數(shù)據(jù)庫(kù)所有技術(shù)問(wèn)題,保障系統(tǒng)正常運(yùn)行;
3、負(fù)責(zé)服務(wù)器的硬軟件資源分配,監(jiān)控網(wǎng)絡(luò)的運(yùn)行;
4、負(fù)責(zé)數(shù)據(jù)的備份與備份的恢復(fù)工作;
5、負(fù)責(zé)公司用戶權(quán)限的分配管理工作,做好數(shù)據(jù)的保密工作;
6、負(fù)責(zé)組織信息系統(tǒng)的培訓(xùn)工作;
三、系統(tǒng)管理員操作管理制度
1、操作人員(包括專業(yè)維護(hù)人員)必須嚴(yán)格按照操作權(quán)限操作,不得越權(quán)操作。每次操作應(yīng)記錄相應(yīng)的操作日記,日記包括操作時(shí)間、執(zhí)行命令等。
2、操作人員離開(kāi)系統(tǒng)時(shí),應(yīng)退出系統(tǒng)或進(jìn)行系統(tǒng)封鎖。
3、管理員每周應(yīng)檢查數(shù)據(jù)備份情況,每月應(yīng)將其刻錄成光盤(pán)。
4、系統(tǒng)管理員變動(dòng)前必須辦理交接手續(xù),經(jīng)接管人員或監(jiān)交人員與系統(tǒng)管理員雙方簽字確認(rèn),作為檔案存檔。
四、系統(tǒng)管理員備份管理制度 具體內(nèi)容包括:
(1)管轄范圍內(nèi)的服務(wù)器地址分布;
(2)網(wǎng)絡(luò)服務(wù)器口令、數(shù)據(jù)庫(kù)超級(jí)口令、公司信息系統(tǒng)管理員口令;
(3)每年的歷史數(shù)據(jù)備份,本年的所有的數(shù)據(jù)備份;(4)系統(tǒng)培訓(xùn)資料;(5)系統(tǒng)維護(hù)記錄本;
(6)所有版本的公司信息系統(tǒng)軟件;(7)所有版本的數(shù)據(jù)庫(kù)管理系統(tǒng)軟件;(8)其他應(yīng)交接的內(nèi)容。
(9)對(duì)交接內(nèi)容應(yīng)進(jìn)行相應(yīng)的測(cè)試,以確保交接質(zhì)量。一旦交接,接替人員或監(jiān)交人員應(yīng)立即更換所有口令,并開(kāi)始承擔(dān)系統(tǒng)管理員的所有工作。
五、軟件管理制度
1、信息系統(tǒng)功能改動(dòng)時(shí),應(yīng)對(duì)其功能改動(dòng)部分進(jìn)行認(rèn)真測(cè)試研究,確定新增功能的用法,防止工作的盲目性。
2、公司在組織軟件的升級(jí)工作時(shí),一般應(yīng)在同一個(gè)會(huì)計(jì)期間內(nèi)一次性更換所有在用軟件,升級(jí)前應(yīng)通知各用戶,并對(duì)功能更動(dòng)部分加以說(shuō)明。
3、要嚴(yán)格保護(hù)所有在用軟件的版權(quán),包括網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、軟件等。嚴(yán)禁將軟件以任何形式出售、轉(zhuǎn)讓或贈(zèng)送給該范圍以外的任何單位或個(gè)人。
4、各單位要制定具體的防病毒措施。所有來(lái)歷不明的媒體介質(zhì)在使用前必須經(jīng)過(guò)病毒檢測(cè),對(duì)所有在用計(jì)算機(jī)尤其是 NT 服務(wù)器必須定期進(jìn)行病毒檢測(cè)。使用網(wǎng)絡(luò)的單位要嚴(yán)防病毒通過(guò)網(wǎng)絡(luò)傳播,辦公用計(jì)算機(jī)不能裝入各種游戲軟件。
六、數(shù)據(jù)管理制度
1、信息系統(tǒng)的數(shù)據(jù)管理是指數(shù)據(jù)不丟失、不損毀、不向無(wú)關(guān)人員泄露、不被非法修改,保障數(shù)據(jù)的安全要從技術(shù)和管理兩個(gè)方面著手,做好安全保密工作。
2、要經(jīng)常對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行備份,以便在計(jì)算機(jī)發(fā)生故障時(shí)可將數(shù)據(jù)恢復(fù)到最近狀態(tài)。數(shù)據(jù)備份的目標(biāo)是防止任何時(shí)間發(fā)生的硬、軟件故障以及人為失誤造成的數(shù)據(jù)損毀,因此原則上要求在發(fā)生業(yè)務(wù)的當(dāng)天都進(jìn)行備份。具體備份模式為:
(1)每天在服務(wù)器上作一數(shù)據(jù)備份,(2)每周作一個(gè)異地備份,每月制作一份數(shù)據(jù)光盤(pán);(3)每年年末制作雙備份, 存儲(chǔ)于不同的地點(diǎn)。
3、對(duì)備份的數(shù)據(jù)應(yīng)加強(qiáng)管理,防止被非法拷貝或毀壞。
4、采取各種措施來(lái)保障上網(wǎng)數(shù)據(jù)的安全性。要嚴(yán)密控制好數(shù)據(jù)庫(kù)及其服務(wù)器的口令,控制好各用戶的口令。
七、系統(tǒng)維護(hù)管理制度
1、系統(tǒng)維護(hù)管理是指為保障系統(tǒng)正常運(yùn)行而進(jìn)行的對(duì)硬件、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、軟件及相關(guān)辦公自動(dòng)化軟件進(jìn)行的安裝、修正、更新版本、擴(kuò)展、備份等操作以及對(duì)軟件應(yīng)用模式的設(shè)計(jì)及實(shí)施工作。系統(tǒng)的維護(hù)管理工作由系統(tǒng)管理員或由系統(tǒng)管理員授權(quán)的專業(yè)維護(hù)人員負(fù)責(zé)進(jìn)行。未經(jīng)系統(tǒng)管理員授權(quán)的人員不得進(jìn)行系統(tǒng)維護(hù)操作。
2、未經(jīng)系統(tǒng)管理員許可,不得在公司信息系統(tǒng)服務(wù)器上安裝其它硬、軟件,不得改變系統(tǒng)的運(yùn)行環(huán)境。
3、系統(tǒng)運(yùn)行時(shí),應(yīng)獲得充分的維護(hù)保障。系統(tǒng)發(fā)生影響正常運(yùn)行的故障時(shí),系統(tǒng)理員應(yīng)及時(shí)給予處理。屬于系統(tǒng)優(yōu)化或不影響正常業(yè)務(wù)流程的問(wèn)題,系統(tǒng)管理員應(yīng)進(jìn)行合理的預(yù)計(jì),提前規(guī)劃,制定實(shí)施方案以確保系統(tǒng)的平穩(wěn)運(yùn)行。
4、系統(tǒng)運(yùn)行中出現(xiàn)故障或出現(xiàn)不明意義的提示時(shí),操作人員應(yīng)保護(hù)現(xiàn)場(chǎng),及時(shí)與系統(tǒng)管理員聯(lián)系。由于操作人員擅自處理故障而引起的后果由操作人員自己負(fù)責(zé)。
5、系統(tǒng)管理員在不能直接排除故障并且沒(méi)有替代解決方案,應(yīng)請(qǐng)求上一級(jí)部門(mén)系統(tǒng)管理員或?qū)I(yè)維護(hù)人員的技術(shù)支持。
6、要建立系統(tǒng)管理維護(hù)記錄本實(shí)行系統(tǒng)維護(hù)記錄制度。對(duì)故障的發(fā)生時(shí)間、表現(xiàn)、解決辦法及結(jié)果等進(jìn)行詳細(xì)的記錄,并由維護(hù)人員或系統(tǒng)管理員簽字。系統(tǒng)管理維護(hù)記錄本的登記要條理清楚、時(shí)間準(zhǔn)確,字跡工整。
7、對(duì)于兩個(gè)以上的系統(tǒng)維護(hù)管理人員應(yīng)進(jìn)行合理的分工,充分發(fā)揮系統(tǒng)管理員的作用,不斷加強(qiáng)系統(tǒng)維護(hù)的技術(shù)保障,逐步形成一套有效的系統(tǒng)維護(hù)管理體制。
八、檔案及數(shù)據(jù)管理制度
1、公司信息系統(tǒng)檔案包括:(1)數(shù)據(jù)庫(kù)備份資料 ;(2)軟件升級(jí)前的數(shù)據(jù)庫(kù)備份;
(3)打印輸出的經(jīng)過(guò)蓋章簽字的會(huì)計(jì)資料;
(4)每年一次的經(jīng)系統(tǒng)管理員簽字的系統(tǒng)管理維護(hù)記錄本存檔;
(5)所有版本的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、軟件;(6)軟件的開(kāi)發(fā)文檔、源程序;(7)其他應(yīng)該存檔的資料或數(shù)據(jù)。
2、打印輸出的憑證、報(bào)表、帳簿等各種會(huì)計(jì)資料的保存按財(cái)政部《會(huì)計(jì)檔案管理辦法》 執(zhí)行。數(shù)據(jù)庫(kù)的備份要永久保留。以膠片、磁、光等介質(zhì)保存的數(shù)據(jù)的檔案應(yīng)按照有關(guān)規(guī)定保存在溫濕度適宜、陽(yáng)光不直射,并且不能被損害的場(chǎng)所。
3、以磁介質(zhì)存儲(chǔ)的數(shù)據(jù)應(yīng)定期更換新的介質(zhì)進(jìn)行再拷貝。
4、本章未及內(nèi)容按照財(cái)政部《會(huì)計(jì)檔案管理辦法》 執(zhí)行。附件:補(bǔ)丁更新記錄臺(tái)帳、數(shù)據(jù)備份登記臺(tái)帳、服務(wù)器等設(shè)備維護(hù)登記表、檔案移交登記表的樣本。
1.1.4中心機(jī)房管理規(guī)定
為進(jìn)一步做好公司信息化管理工作,提高精細(xì)化管理水平,降低辦公費(fèi)用消耗,確保公司網(wǎng)絡(luò)通訊系統(tǒng)的暢通,按照公司《信息安全管理規(guī)定》,特制訂中心機(jī)房管理規(guī)定。
本規(guī)定適用于中心機(jī)房的管理,機(jī)房工作人員要認(rèn)真遵守,并作為日常行為規(guī)范。
一、機(jī)房人員日常行為準(zhǔn)則
1.1必須注意環(huán)境衛(wèi)生。禁止在機(jī)房?jī)?nèi)抽煙、吃食物、隨地吐痰,保持機(jī)房無(wú)塵潔凈環(huán)境。
1.2機(jī)房用品要各歸其位,不能隨意亂放,不許堆放雜物。注意檢查機(jī)房的防曬、防水、防潮,維持機(jī)房環(huán)境通爽,保證機(jī)房的適當(dāng)溫度和適度。
1.3中心機(jī)房每周清掃一次,物品要擺放整齊,保持安靜清潔的工作環(huán)境。
二、機(jī)房安全制度
2.1禁止帶領(lǐng)與機(jī)房工作無(wú)關(guān)的人員進(jìn)出機(jī)房,建立機(jī)房準(zhǔn)入制度,凡進(jìn)入機(jī)房人員必須得到技術(shù)保障部經(jīng)理允許,并進(jìn)行登記(格式見(jiàn)《公司管理處機(jī)房出入登記表》),由技術(shù)保障部人員全程陪同。
2.2未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn),禁止將密碼、信息外借透露給其它人員,同時(shí)有責(zé)任對(duì)信息保密。對(duì)于泄露信息的情況要及時(shí)上報(bào),并積極主動(dòng)采取措施保證機(jī)房安全。2.3重點(diǎn)做好機(jī)房防火、防水、防潮濕、防干燥、防短路、防斷路、防老鼠、防盜、防高溫,出現(xiàn)機(jī)房盜竊、破門(mén)、火警、水浸、110報(bào)警等嚴(yán)重事件時(shí),網(wǎng)絡(luò)信息工作人員有義務(wù)以最快的速度和最短的時(shí)間到達(dá)現(xiàn)場(chǎng),協(xié)助處理相關(guān)的事件。
2.4工作人員離開(kāi)工作區(qū)域前,應(yīng)保證工作區(qū)域內(nèi)保存的重要文件、資料、設(shè)備、數(shù)據(jù)處于安全保護(hù)的狀態(tài)。
三、機(jī)房用電安全制度
3.1機(jī)房工作人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作知識(shí),了解機(jī)房?jī)?nèi)部的供電、用電設(shè)施的操作規(guī)程。掌握機(jī)房用電應(yīng)急處理步驟、措施、要領(lǐng)。定期檢查供電、用電設(shè)備、設(shè)施。
3.2機(jī)房不得亂拉亂接電線及用電設(shè)備。如發(fā)現(xiàn)用電安全隱患,應(yīng)及時(shí)采取措施解決,不能解決的必須及時(shí)向主管領(lǐng)導(dǎo)匯報(bào)。
3.3在危險(xiǎn)性高的位置應(yīng)張貼相應(yīng)的安全操作方法、警示以及指引,實(shí)際操作時(shí)應(yīng)嚴(yán)格執(zhí)行。
3.4在外部供電系統(tǒng)停電時(shí),機(jī)房工作人員應(yīng)全力配合完成停電應(yīng)急工作,啟動(dòng)應(yīng)急設(shè)備,或及時(shí)關(guān)閉計(jì)算機(jī)系統(tǒng)。
四、機(jī)房消防安全制度
4.1機(jī)房管理人員應(yīng)熟悉機(jī)房?jī)?nèi)部消防安全操作規(guī)則,了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。4.2工作人員要保護(hù)消防設(shè)備不被破壞。如發(fā)現(xiàn)消防安全隱患,應(yīng)及時(shí)采取措施解決,不能解決的應(yīng)及時(shí)向相關(guān)負(fù)責(zé)人員提出解決。
4.3最后離開(kāi)機(jī)房的工作人員,應(yīng)檢查消防設(shè)備的工作狀態(tài)消防器材的完好,關(guān)閉將會(huì)帶來(lái)消防隱患的設(shè)備,采取措施保證無(wú)人狀態(tài)下的消防安全。
五、機(jī)房硬件設(shè)備安全使用制度
5.1機(jī)房人員必須熟知機(jī)房?jī)?nèi)設(shè)備的基本安全操作規(guī)則。應(yīng)定期檢查、整理硬件物理連接線路,定期檢查硬件運(yùn)作狀態(tài)。
5.2禁止隨意在設(shè)備上進(jìn)行安裝、拆卸硬件、或隨意更改設(shè)備連線、禁止隨意進(jìn)行硬件復(fù)位。禁止在服務(wù)器上進(jìn)行試驗(yàn)性質(zhì)的配置操作,需要對(duì)服務(wù)器進(jìn)行配置,應(yīng)在其它可進(jìn)行試驗(yàn)的機(jī)器上調(diào)試通過(guò)并確認(rèn)可行后,才能對(duì)服務(wù)器進(jìn)行準(zhǔn)確的配置。
5.3對(duì)影響到全公司的硬件設(shè)備的更改、調(diào)試等操作應(yīng)預(yù)先發(fā)布通知,并且應(yīng)有充分的時(shí)間、方案、人員準(zhǔn)備,才能進(jìn)行硬件設(shè)備的更改。對(duì)重大設(shè)備設(shè)置的更改,必須首先形成方案文件,經(jīng)過(guò)討論確認(rèn)可行后,由具備資格的技術(shù)人員進(jìn)行更改和調(diào)整,并應(yīng)做好詳細(xì)的更改和操作記錄。對(duì)設(shè)備的更改、升級(jí)、配置等操作之前,應(yīng)對(duì)更改、升級(jí)、配置所帶來(lái)的負(fù)面后果做好充分的準(zhǔn)備,必要時(shí)需要先準(zhǔn)備好后備配件和應(yīng)急措施。
5.4不允許任何人在服務(wù)器、交換設(shè)備等核心設(shè)備上進(jìn)行與工作范圍無(wú)關(guān)的任何操作。不允許他人操作機(jī)房?jī)?nèi)部的設(shè)備,對(duì)于核心服務(wù)器和設(shè)備的調(diào)整配置,需要主管領(lǐng)導(dǎo)同意后才能進(jìn)行。
5.5要注意和落實(shí)硬件設(shè)備的維護(hù)保養(yǎng)措施。
六、軟件安全使用制度
6.1必須定期檢查軟件的運(yùn)行狀況、定期進(jìn)行數(shù)據(jù)和軟件日志備份。
6.2禁止在工作服務(wù)器上進(jìn)行試驗(yàn)性質(zhì)的軟件調(diào)試,禁止在服務(wù)器隨意安裝軟件。需要對(duì)服務(wù)器進(jìn)行配置,必須在其它可行試驗(yàn)的機(jī)器上調(diào)試通過(guò)并確認(rèn)可行后,才能對(duì)服務(wù)器進(jìn)行準(zhǔn)確的配置。
6.3對(duì)會(huì)影響到全局的軟件更改、調(diào)試等操作應(yīng)發(fā)布通知,并且應(yīng)有充分時(shí)間、方案、人員準(zhǔn)備,才能進(jìn)行軟件配置的更改。對(duì)重大軟件配置的更改,應(yīng)先形成方案文件,經(jīng)過(guò)討論確定可行后,由具備資格的技術(shù)人員進(jìn)行更改,并應(yīng)做好詳細(xì)的更改和操作記錄。對(duì)軟件的更改、升級(jí)、配置等操作之前,應(yīng)對(duì)更改、升級(jí)、配置所帶來(lái)的負(fù)面后果做好充分的準(zhǔn)備,必要時(shí)需要先備份原有軟件系統(tǒng)和落實(shí)好應(yīng)急措施。
七、機(jī)房資料、文檔和數(shù)據(jù)安全制度
7.1資料、文檔、數(shù)據(jù)等必須有效組織、整理和歸檔備案。禁止任何人員將機(jī)房?jī)?nèi)的資料、文檔、數(shù)據(jù)、配置參數(shù)等信息擅自以任何形式提供給其他無(wú)關(guān)人員或向外隨意傳播。
7.2對(duì)于牽涉到網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來(lái)工作人員的確需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的,應(yīng)由機(jī)房工作人員代為查閱,并只能向其提供與其當(dāng)前工作內(nèi)容相關(guān)的數(shù)據(jù)或資料。
7.3重要資料、文檔、數(shù)據(jù)應(yīng)采取對(duì)應(yīng)的技術(shù)手段進(jìn)行加密、存儲(chǔ)和備份。對(duì)于加密的數(shù)據(jù)應(yīng)保證其可還原性,防止遺失重要數(shù)據(jù)。
八、機(jī)房財(cái)產(chǎn)登記和保護(hù)制度
8.1機(jī)房的日常物品、設(shè)備、消耗品等必須有清晰的數(shù)量、型號(hào)登記記錄,對(duì)于公共使用的物品和重要設(shè)備,必須履行借取和歸還登記手續(xù)。
8.2機(jī)房工作人員應(yīng)有義務(wù)安全和小心使用機(jī)房的任何設(shè)備、儀器等物品,對(duì)于使用過(guò)程中損壞、消耗、遺失的物品應(yīng)匯報(bào)登記,并對(duì)責(zé)任人追究相關(guān)責(zé)任。
8.3未經(jīng)主管領(lǐng)導(dǎo)同意,不允許向他人外借提供機(jī)房設(shè)備和物品。
九、機(jī)房巡檢制度 9.1機(jī)房工作人員每日對(duì)中心機(jī)房按照《機(jī)房巡檢標(biāo)準(zhǔn)》進(jìn)行巡檢
第五篇:信息安全管理規(guī)定
信息安全管理規(guī)定
2010 年我公司建立并實(shí)行質(zhì)量、環(huán)境、職業(yè)健康“三標(biāo)”整合型管理體系的第一年。作為涵蓋研發(fā)和生產(chǎn)制造企業(yè),信息安全化建設(shè)同等重要,公司領(lǐng)導(dǎo)也高度重視。院四標(biāo)體系的建設(shè),特別是信息安全體系的建設(shè),是安全管理工作的重要組成部分。按公司的要求工作中信息安全要逐步做到制度化、常態(tài)化。在領(lǐng)導(dǎo)的統(tǒng)一指導(dǎo)和推進(jìn)下,邊學(xué)習(xí)邊實(shí)踐,將信息安全意識(shí)貫徹到每一個(gè)員工的工作中。一:通過(guò)開(kāi)展多種形式的信息安全宣傳,提高員工安全意識(shí) 安全意識(shí)是信息安全的第一道防線,信息安全管理要想做好,提高全體員工的安全意識(shí)是關(guān)鍵。為此,我認(rèn)為公司相關(guān)部門(mén)和責(zé)任人要認(rèn)真策劃,在公司內(nèi)部進(jìn)行了大量的信息安全相關(guān)的宣傳工作。這些宣傳要達(dá)到效果,就不能是枯燥的,喊口號(hào)式的宣傳,而應(yīng)該喜聞樂(lè)見(jiàn),生動(dòng)活潑,結(jié)合實(shí)際,便于操作。為此,我們可以制作了形象生動(dòng)的海報(bào)在公司內(nèi)部宣傳欄進(jìn)行張貼;針對(duì)廣大員工對(duì)信息安全應(yīng)該如何做的困惑,編寫(xiě) “信息安全實(shí)用操作手冊(cè)”的方式發(fā)給公司員工等,讓信息安全意識(shí)在全體員工中逐步形成。
二、通過(guò)組織各類檢查,督促員工把自身的信息安全工作做好 為確保切實(shí)增強(qiáng)全體員工的安全意識(shí)和安全行為習(xí)慣,光靠宣傳還不夠。公司成立信息安全的管理工作組,主要領(lǐng)導(dǎo)擔(dān)任管理者代表,設(shè)置專職安全員和各部門(mén)安全責(zé)任人和安全員,在公司內(nèi)部組織信息安全的內(nèi)部檢查工作,檢查不拘泥于形式,明確檢查的項(xiàng)目?jī)?nèi)容,比如:首先檢查公司內(nèi)所有內(nèi)網(wǎng)機(jī)。通過(guò)檢查一方面是摸清公司內(nèi)網(wǎng)機(jī)情況,另一方面就是通過(guò)檢查對(duì)公司所有內(nèi)網(wǎng)機(jī)進(jìn)行一次安全加固,確保內(nèi)網(wǎng)機(jī)的信息安全。通過(guò)檢查,所有內(nèi)網(wǎng)機(jī)在帳號(hào)、口令、機(jī)器補(bǔ)丁、網(wǎng)絡(luò)和服務(wù)、日志審核等方面進(jìn)行加固等。其次擴(kuò)大一些范圍 檢查包括公司所有的內(nèi)外網(wǎng)終端及服務(wù)器等。因?yàn)楦采w面廣,工作量大,檢查可以采取信息安全的檢查工具——漏洞掃描儀來(lái)進(jìn)行自動(dòng)檢查。檢查之前并未通知各部門(mén),可以說(shuō)這次檢查結(jié)果真實(shí)的反映了公司當(dāng)時(shí)內(nèi)外網(wǎng)機(jī)的信息安全情況。檢查結(jié)束后,檢查組根據(jù)檢查結(jié)果對(duì)問(wèn)題機(jī)器下發(fā)了整改通知,并給出具體的整改意見(jiàn)。整改結(jié)束后又進(jìn)行了一次掃描檢查,其三是采取自查和抽查相結(jié)合的方式。自查時(shí)間、自查內(nèi)容及加固方法通過(guò)郵件方式群發(fā)給公司員工。在自查期結(jié)束后,信息安全工作組再制定了抽查計(jì)劃,各部門(mén)按一定比例抽查內(nèi)外網(wǎng)機(jī),并對(duì)發(fā)現(xiàn)問(wèn)題的機(jī)器現(xiàn)場(chǎng)進(jìn)行加固整改工作。這樣通過(guò)一次次的檢查,讓公司的員工開(kāi)始養(yǎng)成了良好的工作習(xí)慣,如設(shè)置強(qiáng)登錄口令、禁用Guest 帳戶、及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、設(shè)置自動(dòng)屏保、關(guān)閉自定義共享等。
三、加強(qiáng)信息安全相關(guān)的設(shè)施管理 1)安全存儲(chǔ)介質(zhì)的統(tǒng)一管理
根據(jù)院移動(dòng)介質(zhì)使用管理規(guī)定的精神,我們制定了切實(shí)可行的安 全移動(dòng)介質(zhì)管理方案。安全移動(dòng)存儲(chǔ)介質(zhì)由信息中心統(tǒng)一制作好后,由公司負(fù)責(zé)統(tǒng)一編號(hào)并進(jìn)行登記發(fā)放工作。員工在申領(lǐng)安全存儲(chǔ)介 質(zhì)時(shí)需要進(jìn)行申請(qǐng)審批,公司安全員定期對(duì)安全存儲(chǔ)介質(zhì)做好查檢清點(diǎn)工作,確保每一個(gè)發(fā)放出去的安全移動(dòng)介質(zhì)能夠追溯到責(zé)任人。員工離職時(shí),安全員負(fù)責(zé)安全移動(dòng)介質(zhì)的收回工作。2)服務(wù)器的統(tǒng)一安全管理
整合后的公司設(shè)置了專門(mén)的服務(wù)器室,要求各部門(mén)的服務(wù)器進(jìn)行 統(tǒng)一集中存放管理。為加強(qiáng)管理,公司設(shè)置了服務(wù)器室管理員,編制 了服務(wù)器室管理規(guī)定,對(duì)出入和內(nèi)部日常環(huán)境安全進(jìn)行統(tǒng)一管理。建 立了服務(wù)器臺(tái)帳,每臺(tái)服務(wù)器都落實(shí)到部門(mén)和責(zé)任人。另外,對(duì)于有時(shí)發(fā)生的非計(jì)劃停電,對(duì)公司的服務(wù)器造成一定沖擊,可能造成服務(wù)器硬件損壞的情況可采取UPS電源的措施,即使短時(shí)間停電,服務(wù)器正常工作不受影響。3)內(nèi)外網(wǎng)機(jī)的統(tǒng)一接入管理
在內(nèi)外網(wǎng)機(jī)管理方面,公司設(shè)置了專人負(fù)責(zé)對(duì)內(nèi)外網(wǎng)機(jī)接入進(jìn)行 管理,包括內(nèi)外網(wǎng)機(jī)的申請(qǐng)、員工離職注銷、變更以及內(nèi)網(wǎng)機(jī)的桌面 安裝等。對(duì)公司的內(nèi)外網(wǎng)機(jī),建立了完整的內(nèi)外網(wǎng)機(jī)清單,在我們進(jìn) 行工具設(shè)備進(jìn)行內(nèi)外網(wǎng)機(jī)掃描檢查時(shí),能幫助我們很快定位到問(wèn)題機(jī) 器。
以上是我對(duì)公司在信息安全管理及體系建設(shè)方面開(kāi)展工作的一些建議,希望我們能摸著石頭過(guò)河,工作開(kāi)展具有可行性和實(shí)用性,把公司的信息安全防護(hù)工作做好。
點(diǎn)擊咨詢 