第一篇:中國人民銀行信息安全管理規定
中國人民銀行關于印發《中國人民銀行信息安全管理規定》的通知
銀發[2005]第211號 2005年8月19日
人民銀行各分行、營業管理部,省會(首府)城市中心支行:
現將修訂后的《中國人民銀行信息安全管理規定》印發你們,請遵照執行。執行中存在的問題,請及時向總行反饋。
《中國人民銀行辦公廳關于印發(中國人民銀行計算機安全管理暫行規定)的通知》(試行)(銀辦發[2000]338號)同時廢止。
附件:
中國人民銀行信息安全管理規定
第一章 總 則
第一條 為強化人民銀行信息安全管理,防范計算機信息技術風險,保障人民銀行計算機網絡與信息系統安全和穩定運行,根據《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等規定,特制定本規定。
第二條 本規定所稱信息安全管理,是指在人民銀行信息化項目立項、建設、運行、維護及廢止等過程中保障計算機信息及其相關系統、環境、網絡和操作安全的一系列管理活動。
第三條 人民銀行信息安全管理工作實行統一領導和分級管理。總行統一領導分支機構和直屬企事業單位的信息安全管理,負責總行機關的信息安全管理。分支機構負責本單位和轄內的信息安全管理,各直屬企事業單位負責本單位的信息安全管理。
第四條 人民銀行信息安全管理實行分管領導負責制,按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第五條 本規定適用于人民銀行總行機關、各分支機構和直屬企事業單位(以下統稱“各單位”)。所有使用人民銀行網絡或信息資源的其他外部機構和個人均應遵守本規定。
第二章 組織保障
第六條 各單位應設立由本單位領導和相關部門主要負責人組成的計算機安全工作領導小組,辦公室設在本單位科技部門,負責協調本單位及轄內信息安全管理工作,決定本單位及轄內信息安全重大事宜。
第七條 各單位科技部門應設立信息安全管理部門或崗位。總行機關、分行、營業管理部、省會(首府)城市中心支行、副省級城市中心支行科技部門配備專職信息安全管理人員,實行A、B崗制度;地(市)中心支行和縣(市)支行設立信息安全管理崗位。
第八條 除科技部門外,各單位其他部門均應指定至少一名部門計算機安全員,具體負責本部門的信息安全管理,協同科技部門開展信息安全管理工作。
第三章 人員管理
第九條 各單位工作人員根據不同的崗位或工作范圍,履行相應的信息安全保障職責。
第一節 信息安全管理人員
第十條 各單位應選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和人民銀行有關規定受到過處罰或處分的人員,不得從事此項工作。
第十一條 各單位信息安全管理人員應經過總行或分行、營業管理部、省會(首府)城市中心支行組織的專業培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業培訓。
第十二條 各單位信息安全管理人員在如下職責范圍內開展本單位信息安全管理工作:
(一)組織落實上級信息安全管理規定,制定信息安全管理制度,協調部門計算機安全員工作,監督檢查信息安全保障工作。
(二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。
(三)檢測網絡和信息系統的安全運行狀況,檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見。統計分析和協調處置信息安全事件。
(四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。
第十三條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經本單位主管同意后向保密工作委員會辦公室提交申請,獲得批準后方可查詢。
第十四條 信息安全管理人員實行備案管理制度。信息安全管理人員的配備和變更情況應及時報上一級科技部門備案。信息安全管理人員調離原崗位時應辦理交接手續,并履行其調離后的保密義務。
第二節 部門計算機安全員
第十五條 各部門應指派素質好、較熟悉計算機知識的人員擔任部門計算機安全員,并報本單位科技部門備案。如有變更應做好交接工作,并及時通報科技部門。
第十六條 部門計算機安全員配合信息安全管理人員工作,并參加各項信息安全技能培訓。
第十七條 部門計算機安全員在如下職責范圍內開展工作:
(一)負責本部門計算機病毒防治工作,監督檢查本部門客戶端安全管理情況。
(二)負責提出本部門信息安全保障需求,及時與信息安全管理人員溝通信息安全信息。
(三)負責本部門國際互聯網使用和接入安全管理,組織開展本部門信息安全自查,協助科技部門完成對本部門的信息安全檢查工作。
第三節 技術支持人員
第十八條 本規定所稱技術支持人員,是指參與人民銀行網終、計算機系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。
第十九條 人民銀行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中,應承擔如下安全義務:
(一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經業務主管部門授權不得擅自改變系統設置或修改系統生成的任何數據。
(二)主動檢查和監控生產系統安全運行狀況,發現安全隱患或故障及時報告本部門主管領導,并及時響應、處置。
(三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作制度,做好數據備份工作。
第二十條 外部技術支持人員應嚴格履行外包服務合同(協議)的各項安全承諾。提供技術服務期間,嚴格遵守人民銀行相關安全規定與操作規程,關鍵操作應經授權,并有人民銀行內部員工在場。不得拷貝或帶走任何配置參數信息或業務數據,不得對外泄露或引用任何工作信息。
第四節 業務系統操作人員
第二十一條 本規定所稱業務系統操作人員是指直接操作業務系統進行業務處理的業務部門工作人員。
第二十二條 業務系統操作人員應承擔如下安全義務:
(一)嚴格規程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數據備份。
(二)發現業務系統出現異常及時報告科技部門。
(三)不得在操作終端上安裝與業務系統無關的軟件和硬件,不得擅自修改業務系統及其運行環境參數設置。
第二十三條 業務系統操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業務系統操作人員。
第五節 一般計算機用戶
第二十四條 本規定所稱一般計算機用戶是指使用計算機設備的所有人員。
第二十五條 一般計算機用戶應承擔如下安全義務:
(一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門計算機安全員的指導與管理。
(二)不得安裝與辦公和業務處理無關的其他計算機軟件和硬件,不得修改系統和網絡配置參數。
(三)未經科技部門檢測和授權,不得將接入人民銀行內部網絡的所用計算機轉接入國際互聯網;不得將便攜式計算機接入人民銀行內部網絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第四章 機房環境和設備資產管理
第一節 機房安全管理
第二十六條 本規定所稱機房是指計算機系統等主要設備放置、運行場所以及供配電、通信、空調、消防、監控等配套環境設施。
第二十七條 各單位機房的規劃、建設、改造、運行、維護由科技部門負責,相關設備采購納入政府集中采購。機房的消防、視頻監視錄像、防雷、門禁等子系統的規劃、建設、運行和維護由科技部門和保衛部門協商確定。
第二十八條 各單位原則上只建設一個符合國家計算機機房有關標準和人民銀行相關規定的計算機機房,為所有業務部門提供機房基礎設施服務。
第二十九條 機房建設、改造的方案應報上一級科技部門備案。必要時,由上一級機構科技部門會同會計、保衛等部門進行審核。
第三十條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業承包資質、兩年以上從事計算機機房設計與施工經驗的專業化公司,其中總行、分行、營業管理部、省會(首府)城市中心支行、計劃單列市中心支行的機房建設或改造應選擇具有國家貳級或貳級以上的資質同時具有三年以上專業從事計算機機房裝修裝飾經驗的專業公司。重要機房建設或改造工程應引入監理制度。
第三十一條 總行、分行、營業管理部、省會(首府)城市中心支行應建立機房設施與場地環境監控系統,對機房空調、消防、不間斷電源(UPS)、供配電、門禁系統等重要設施實行全面監控。
第三十二條 各單位機房投入使用前,應經過當地公安消防部門的消防驗收和本單位科技、保衛與會計部門組織的驗收,并出具明確結論的驗收報告。未經驗收或驗收不合格的機房均不得投入使用。
第三十三條 各單位應建立健全機房管理制度,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經過相關專業培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發現問題及時報告。機房管理員負責保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調閱。
第三十四條 建立機房定期維修保養制度。易受季節、溫度等環境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養的重點。第二節 柜面和核心業務處理環境安全管理
第三十五條 向社會提供公眾服務的柜面和核心業務處理環境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監視錄像系統,實行定時錄像監控,并適當配置自動監控報警功能。
第三十六條 所有門禁、防入侵報警、視頻監視錄像系統的信息資料由專人保存至少三個月。
第三節 設備資產管理
第三十七條 各單位科技部門應建立完備的計算機設備登記制度,嚴格資產管理,明確計算機設備使用者或管理者及其安全責任。
第三十八條 各單位科技部門應根據計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區,必要時,單獨建立門禁與監控系統,或配備防電磁泄露的屏蔽裝置等。
第五章 網絡安全管理
第一節 網絡規劃、建設中的安全管理
第三十九條 總行科技司負責網絡和網絡安全的統一規劃、建設部署、策略配置和網絡資源(網絡設備、通訊線路、IP地址和域名等)分配。
第四十條 各單位科技部門按照總行科技司的統一規劃和總體部署,組織實施網絡建設、改造工程。各單位局域網的建設與改造方案應報上一級科技部門審核、備案,投產前應通過本單位組織的安全測試。
第四十一條 各單位的網絡建設和改造應符合如下基本安全要求:
(一)符合人民銀行網絡安全管理要求,保障網絡傳輸與應用安全。
(二)具備必要的網絡監測、跟蹤和審計等管理功能。
(三)針對不同的網絡安全域,采取必要的安全隔離措施。
第二節 網絡運行安全管理
第四十二條 各單位科技部門應建立健全網絡安全運行制度,配備專(兼)職網絡管理員。網絡管理員負責日常監測和檢查網絡安全運行狀況,管理網絡資源及其配置信息,建立健全網絡運行維護檔案,及時發現和解決網絡異常情況。
第四十三條 網絡管理員應定期參加網絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能,緊急情況下,經本部門主管領導授權后可采取“先斷網、后處理”的緊急應對措施。
第四十四條 各單位科技部門應嚴格網絡接入管理。任何設備接入網絡前,接入方案、設備的安全性等應經過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網絡資源。
第四十五條 各單位科技部門應嚴格網絡變更管理。網絡管理員在調整網絡重要參數配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網絡正常運行的重大網絡變更,應提前通知所有使用部門并安排在節假日進行,同時做好配置參數的備份和應急恢復準備。
第四十六條 各單位應嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技部門提出書面申請,并采取相應的安全防護措施。
第四十七條 信息安全管理人員經本部門主管領導批準,有權對本單位或轄內網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外界提供。未經總行科技司授權,任何外部單位與人員不得檢測、掃描人民銀行內部網絡。
第四十八條 各單位以不影響業務的正常網絡傳輸為原則,合理控制多媒體網絡應用規模和范圍。未經總行科技司批準,不得在人民銀行內部網絡上提供跨轄區視頻點播等嚴重占用網絡資源的多媒體網絡應用。
第三節 網間互聯安全管理
第四十九條 本規定所稱網間互聯是指為滿足人民銀行與其他外部機構信息交換或信息共享需求實施的機構間網絡互聯。
第五十條 網間互聯由總行科技司統一規劃,按照相關標準組織實施。未經總行科技司核準,任何單位不得自行與外部機構實施網間互聯。
第四節 接入國際互聯網管理
第五十一條 人民銀行內部網絡與國際互聯網實行安全隔離。所有接入人民銀行內部網絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯網。
第五十二條 計算機接入國際互聯網應通過本單位保密工作委員會辦公室批準,并確保安裝有人民銀行選定的防病毒軟件和最新補丁程序。科技部門憑相關批準證明實施聯網,并做好備案。曾接入人民銀行內部網絡的計算機需改接入國際互聯網前應重新辦理以上審批手續,科技部門確保該計算機已刪除敏感工作信息后方可實施接入。
第五十三條 未經科技部門安全檢測,曾接入國際互聯網的計算機不得直接接入人民銀行內部網絡。從國際互聯網下載的任何信息,未經病毒檢測不得在內部網絡上使用。
第五十四條 使用國際互聯網的所有用戶應遵守國家有關法律法規和人民銀行相關管理規定,不得從事任何違法違規活動。
第六章 計算機系統安全管理
第五十五條 本規定所指的計算機系統是人民銀行業務處理系統、管理信息系統和日常辦公自動化系統等,包括數據庫、軟件和硬件支撐環境等。
第一節 計算機系統規劃與立項
第五十六條 計算機系統建設項目應在規劃與立項階段同步考慮安全問題,建設方案應滿足人民銀行信息安全保障總體規劃的相關要求。項目技術方案應包括以下基本安全內容:
(一)業務需求部門提出的安全需求。
(二)安全需求分析和實現。
(三)運行平臺的安全策略與設計。
第五十七條 各單位科技部門負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節 計算機系統開發與集成
第五十八條 計算機系統開發應符合軟件工程規范,依據安需求進行安全設計,保證安全功能的完整實現。
第五十九條 計算機系統開發單位應在完成開發任務后將程序源代碼及其相關技術文檔全部移交人民銀行科技部門。外部開發單位還應與人民銀行簽署相關知識產權保護協議和保密協議,不得將計算機系統采用的關鍵安全技術措施和核心安全功能設計對外公開。
第六十條 計算機系統的開發人員不能兼任計算機系統管理員或業務系統操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第六十一條 計算機系統開發、測試、修改工作不得在生產環境中進行。
第六十二條 涉密計算機系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業,并簽訂嚴格的保密協議。
第三節 計算機系統運行
第六十三條 各單位計算機系統上線運行實行安全審查制度,未通過安全審查的任何新建或改造計算機系統不得投產運行。具體要求如下:
(一)項目承擔單位(部門)應組織制定安全測試方案,進行系統上線前的自測試并形成測試報告,報科技部門審查。
(二)計算機系統應用部門應在計算機系統投產運行前同步制定相關安全操作規定,報科技部門備案。
(三)科技部門應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或實施計算機系統漏洞掃描檢測。
第六十四條 各單位科技部門應明確系統管理員,具體負責計算機系統的日常運行管理,并建立重要計算機系統運行維護檔案,詳細記錄系統變更及操作過程。重要業務系統的系統設置要求雙人在場。
第六十五條 系統管理員不得兼任業務操作人員。系統管理員確需對業務系統進行維護性操作的,應征得業務部門同意并在業務操作人員在場的情況下進行,并詳細記錄維護內容、人員、時間等信息。
第六十六條 未經業務主管部門領導書面批準,其他任何人不得擅自使用業務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業務數據,不得擅自改變用戶權限。
第四節 業務操作
第六十七條 業務部門負責計算機系統用戶和權限設定,科技部門根據授權進行相關設定操作。
第六十八條 業務操作人員嚴格按照安全操作規程進行業務操作、數據備份,并配合科技部門保障信息安全。一旦發現計算機系統運行異常及時向本部門領導和科技部門報告。
第六十九條 業務操作人員設置本人口令密碼。重要計算機系統業務操作人員的密碼應由業務部門領導和系統管理員分段設立。
第七十條 凡是能夠執行錄入、復核制度的計算機系統,業務操作人員不得一人兼錄入、復核兩職。未經業務部門主管領導批準,不得代崗、兼崗。
第七十一條 業務操作人員離開操作用機時,應按序退出計算機系統,回到操作系統初始狀態,防止業務數據被復制、修改、刪除以及誤操作。
第五節 計算機系統廢止
第七十二條 實行計算機系統廢止申報、備案制度。使用計算機系統的業務部門根據需要向科技部門提出廢止申請,由科技部門組織進行安全檢查后予以廢止,同時備案。
第七十三條 對已經廢止的計算機系統軟件和數據備份介質,科技部門按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的,應在本單位保密工作委員會監督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第七十四條 本規定所稱客戶端是指人民銀行計算機用戶、網絡與信息系統所使用的終端設備,包括聯網桌面終端、柜面終端、單機運行(啞)終端、遠程接入終端、便攜式計算機等。
第七十五條 各單位應建立完善的客戶端管理制度,記錄所有客戶端設備信息和軟件配置信息。
第七十六條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。
第七十七條 客戶端應統一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。
第七十八條 確因工作需要經授權可遠程接入內部網絡的用戶,應嚴格保存其身份認證介質及口令密碼,不得轉借其他人使用。
第八章 信息安全專用產品、服務管理
第一節 資質審查與選型購置
第七十九條 本規定所稱信息安全專用產品,是指人民銀行安裝使用的專用安全軟件、硬件產品。本規定所稱信息安全服務,是指人民銀行向社會購買的專業化安全服務。
第八十條 總行科技司負責信息安全服務提供商的資質審查和信息安全專用產品的選型,由集中采購部門按照政府集中采購程序選購。
第八十一條 各單位購置掃描、檢測類信息安全專用產品應報總行科技司批準、備案。
第二節 使用管理
第八十二條 各單位科技部門應建立信息安全專用產品登記使用制度,建立信息安全類固定資產使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產品僅限于本單位信息安全管理人員使用。
第八十三條 各單位科技部門隨時檢查各類信息安全專用產品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發現重大問題,立即采取控制措施并按規定程序報告。
第八十四條 各類信息安全專用產品在使用中產生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。
第八十五條 各單位科技部門應及時升級維護信息安全專用產品,凡因超過使用期限的或不能繼續使用的信息安全專用產品,按照固定資產報廢審批程序處理。
第八十六條 防火墻、入侵檢測等安全專用產品原則上應在本地配置。如需要進行遠程配置,由科技部門或經科技部門授權在可信網絡內并采取了必要的安全控制措施后進行操作。
第九章 文檔、數據與密碼應用安全管理
第一節 技術文檔
第八十七條 本規定所稱技術文檔是指人民銀行網絡、計算機系統和機房環境等建設與運行維護過程中形成的各種技術資料,包括紙質文檔、電子文檔、視頻和音頻文件等。
第八十八條 各單位科技部門負責將技術文檔統一歸檔,實行借閱登記制度。未經科技部門領導批準,任何人不得將技術文檔轉借、復制和對外公布。
第二節 存儲介質
第八十九條 各單位應建立健全磁帶、光盤、移動存儲介質、縮微膠片、已打印文檔等存儲介質管理流程。所有存儲介質應保存在安全的物理環境中并有明晰的標識。重要信息系統備份介質應按規定異地存放。
第九十條 各單位應做好存儲介質在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。
第九十一條 各單位所有部門和個人應加強對移動存儲設備(U盤、軟盤、移動硬盤)的管理。
第九十二條 各單位應建立存儲介質銷毀制度,對載有敏感信息的存儲介質應采用焚燒或粉碎等方式進行處置并做好記錄。
第三節 數據安全
第九十三條 本規定中所稱的數據是指以電子形式存儲的人民銀行業務數據、辦公信息、系統運行日志、故障維護日志以及其他內部資料。
第九十四條 各單位業務部門負責提出數據在輸入、處理、輸出等不同狀態下的安全需求,科技部門負責審核安全需求并提供一定的技術實現手段。
第九十五條 各單位業務部門應嚴格管理業務數據的增加、修改、刪除等變更操作,適時進行業務數據有效性檢查,按照既定備份策略執行數據備份任務,并定期測試備份數據的有效性和預演數據恢復流程。
第九十六條 各單位科技部門系統管理員負責定期導出網絡和重要計算機系統日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年,妥善保管。
第九十七條 各單位業務部門應明確規定備份數據的保存時限和密級,建立備份數據銷毀審批登記制度,并根據數據重要性級別分類采取相應的安全銷毀措施。
第九十八條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的,應把口令密碼密封后與數據備份介質一并妥善保管。
第四節 口令密碼
第九十九條 各單位系統管理員、數據庫管理員、網絡管理員、業務操作人員均須設置口令密碼,至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求。
第一百條 敏感計算機系統和設備的口令密碼設置應在安全的環境下進行,必要時應將口令密碼筆錄、密封交相關部門保管。未經科技部門主管領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。
第一百零一條 各單位應根據實際情況在一定時限內妥善保存重要計算機系統升級改造前的口令密碼。
第五節 密碼技術應用管理
第一百零二條 人民銀行涉密網絡和計算機系統應嚴格按照國家密碼政策規定,采用相應的加密措施。非涉密網絡和信息系統應依據人民銀行實際需求和統一安全策略,合理選擇加密措施。
第一百零三條 各單位選用的密碼產品和加密算法應符合國家相關密碼管理政策規定,密碼產品自身的物理和邏輯安全性應符合人民銀行的相關安全要求。
第一百零四條 各單位應建立嚴格的密鑰管理體制,選擇密碼管理人員必須是本單位在編的正式員工,并逐級進行備案,規范管理密鑰產生、存儲、分發、使用、廢除、歸檔、銷毀等過程。
第一百零五條 各單位應在安全環境中進行關鍵密鑰的備份工作,并設置遇緊急情況下密鑰自動銷毀功能。
第一百零六條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包服務安全管理
第一節 第三方訪問控制
第一百零七條 本規定所稱第三方訪問是指人民銀行之外的單位和個人物理訪問人民銀行計算機房或者通過網絡連接邏輯訪問人民銀行數據庫和計算機系統等活動。
第一百零八條 各單位保密工作委員會負責涉密計算機系統和網絡相關的第三方訪問授權審批,各單位科技部門負責非涉密計算機系統和網絡相關的第三方訪問授權審批。未經人民銀行授權的任何第三方訪問均視為非法入侵行為。
第一百零九條 允許被第三方訪問的人民銀行計算機系統和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監督第三方訪問活動。
第一百一十條 獲得第三方訪問授權的所有單位和個人應與人民銀行簽訂安全保密協議,不得進行未授權的修改、增加、刪除數據操作,不得復制和泄露人民銀行任何信息。
第二節 外包服務管理
第一百一十一條 本規定所稱外包服務是指由人民銀行之外的其他社會廠商為人民銀行計算機系統、網絡或桌面環境提供全面或部分的技術支持、咨詢等服務。外包服務應簽訂正式的外包服務協議,明確約定雙方義務。
第一百一十二條 經本單位科技部門領導批準,外包服務提供商可提供上門維護服務并由人民銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或將涉密介質帶離人民銀行。
第一百一十三條 計算機設備確需送外單位維修時,各單位科技部門應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 信息通報、災難備份與應急管理
第一節 信息通報
第一百一十四條 各單位應按照人民銀行信息安全事件報告制度進行信息通報,一般信息安全事件應逐級通報,發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報總行科技司。
第一百一十五條 重大信息安全事件發生后,各單位相關人員應注意保護事件現場,采取必要的控制措施,調查事件原因,并及時報告本單位主管領導。
第一百一十六條 各單位應在重大信息安全事件發生后的兩小時內按規定程序報上一級科技部門,由上級科技部門決定是否發布預警信息或啟動轄內應急預案。
第二節 災難備份管理
第一百一十七條 災難備份是指利用技術、管理手段以及相關資源,確保已有業務數據和計算機系統在地震、水災、火災、戰爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件(以下稱“災難”)發生后在規定的時間內可以恢復和繼續運營的有序管理過程。
第一百一十八條 總行科技司將按照“統籌安排、資源共享、平戰結合”的原則,負責人民銀行重要信息系統災難備份的統一規劃、實施和管理。
第一百一十九條 總行業務司局負責提出業務系統災難備份需求,明確可容忍的業務中斷時間和數據丟失量。總行科技司據此確定災難備份等級和備份方案。
第一百二十條 各單位應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由總行相關部門統一部署,重要信息系統至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統災難恢復演練。
第三節 應急管理
第一百二十一條 應急預案是針對可能發生的意外事件并可能導致業務差錯和停頓,甚至系統混亂、崩潰等災難而采取的應對策略、措施的有機集合。
第一百二十二條 在計算機系統推廣應用方案中應同時設計應急備份策略,同步實施備份方案。
第一百二十三條 各單位應制定和不斷完善網絡、計算機系統和機房環境等應急預案。預案的編制工作由相關業務部門和科技部門共同完成。
第一百二十四條 應急預案應包括以下基本內容:
(一)總則(目標、原則、適用范圍、預案調用關系等)。
(二)應急組織機構。
(三)預警響應機制(報告、評估、預案啟動等)。
(四)各類危機處置流程。
(五)應急資源保障。
(六)事后處理流程。
(七)預案管理與維護(生效、演練、維護等)。
第一百二十五條 各單位定期組織應急預案的演練,并指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發生時的可獲取性。
第一百二十六條 各單位計算機安全工作領導小組統一負責各業務系統的應急協調與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調動應急資源。
第一百二十七條 總行辦公廳負責統一向社會發布應急事件公告,其他任何單位或個人不得向社會發布應急事件公告。
第十二章 安全監測、檢查、評估與審計
第一節 安全監測
第一百二十八條 各單位科技部門應整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要計算機系統和機房環境等設施的安全運行監測。
第一百二十九條 各單位科技部門應建立運行監測周報、月報或季報制度,報送本單位計算機安全工作領導小組和上一級科技部門,抄送相關業務部門。
第一百三十條 各單位要及時預警、響應和處置運行監測中發現的問題,發現重大隱患和運行事故應及時協調解決,并報上一級單位相關部門。
第二節 安全檢查
第一百三十一條 各單位科技部門應至少每年組織一次本單位或轄內的信息安全專項檢查,安全檢查方式可以是自查、互相或上級檢查多種方式。
第一百三十二條 各單位在開展安全檢查前應以安全管理制度為依據制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規范性。安全檢查完成后應及時形成檢查報告,經本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續跟蹤。
第一百三十三條 各單位參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為人民銀行內部材料妥善保管,不得向外界泄露。
第一百三十四條 各單位應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技部門備案。
第三節 安全評估
第一百三十五條 各單位科技部門可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內信息系統的安全評估。
第一百三十六條 安全評估應在不影響信息系統正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報本單位科技部門主管領導。
第一百三十七條 各單位如聘請第三方機構進行安全評估,應報總行科技司批準,并與第三方評估機構簽訂安全保密協議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監督。
第一百三十八條 各單位應妥善保管信息安全評估報告,未經授權不得對外透露評估信息。
第四節 安全審計
第一百三十九條 各單位科技部門在支持與配合內審部門開展審計信息安全工作的同時,應適時開展本單位和轄內的信息系統日常運行管理和信息安全事件全過程的技術審計,發現問題及時報本單位或上一級單位主管領導。
第一百四十條 各單位應做好操作系統、數據庫管理系統等審計功能配置管理,應完整保留相關日志記錄,一般保留至少一個月,涉及資金交易的業務系統日志應根據需要確定保留時間。
第十三章 獎勵與處罰
第一百四十一條 各單位每年應組織一次本單位和轄內信息安全管理工作評比活動,對達標單位的相關人員應給予一定的獎勵,對表現突出的單位和個人進行通報表彰并給予一定形式的獎勵。
第一百四十二條 對于違反本規定,造成重大信息安全事件的單位及個人,要給予通報批評;情節嚴重的,依據相關法律法規,追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百四十三條 人民銀行之前發布的其他信息安全管理制度有關規定條款如與本規定不一致的,按本規定執行。
第一百四十四條 本規定自發布之日起執行。
第二篇:中國人民銀行信息安全管理規定
中國人民銀行信息安全管理規定
第一條 為強化人民銀行信息安全管理,防范計算機信息技術風險,保障人民銀行計算機網絡與信息系統安全和穩定運行,根據《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等規定,特制定本規定。
第一章 總則
第二條 本規定所稱信息安全管理,是指在人民銀行信息化項目立項、建設、運行、維護及廢止等過程中保障計算機信息及其相關系統、環境、網絡和操作安全的一系列管理活動。
第三條 人民銀行信息安全管理工作實行統一領導和分級管理。總行統一領導分支機構和直屬企事業單位的信息安全管理,負責總行機關的信息安全管理。分支機構負責本單位和轄內的信息安全管理,各直屬企事業單位負責本單位的信息安全管理。
第四條 人民銀行信息安全管理實行分管領導負責制,按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第五條 本規定適用于人民銀行總行機關、各分支機構和直屬企事業單位(以下統稱“各單位”)。所有使用人民銀行網絡或信息資源的其他外部機構和個人均應遵守本規定。
第二章 組織保障
第六條 各單位應設立由本單位領導和相關部門主要負責人組成的計算機安全工作領導小組,辦公室設在本單位科技部門,負責協調本單位及轄內信息安全管理工作,決策本單位及轄內信息安全重大事宜。
第七條 各單位科技部門應設立信息安全管理部門或崗位。總行機關、分行、營業管理部、省會(首府)城市中心支行、副省級城市中心支行科技部門配備專職信息安全管理人員,實行A、B崗制度;地(市)中心支行和縣(市)支行設立信息安全管理崗位。
人員的配備和變更情況應及時報上一級科技部門備案。信息安全管理人員調離原崗位時應辦理交接手續,并履行其調離后的保密義務。
第二節 部門計算機安全員
第十五條 各部門應指派素質好、較熟悉計算機知識的人員擔任部門計算機安全員,并報本單位科技部門備案。如有變更應做好交接工作,并及時通報科技部門。
第十六條 部門計算機安全員配合信息安全管理人員工作,并參加各項信息安全技能培訓。
第十七條 部門計算機安全員在如下職責范圍內開展工作:
(一)負責本部門計算機病毒防治工作,監督檢查本部門客戶端安全管理情況。
(二)負責提出本部門信息安全保障需求,及時與信息安全管理人員溝通信息安全信息。
(三)負責本部門國際互聯網使用和接入安全管理,組織開展本部門信息安全自查,協助科技部門完成對本部門的信息安全檢查工作。
第三節 技術支持人員
第十八條 本規定所稱技術支持人員,是指參與人民銀行網絡、計算機系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。
第十九條 人民銀行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中,應承擔如下安全義務:
(一)不得對外泄漏或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經業務主管部門授權不得擅自改變系統設臵或修改系統生成的任何數據。
(二)主動檢查和監控生產系統安全運行狀況,發現安全隱患或故障及時報告本部門主管領導,并及時響應、處臵。
(三)嚴格操作管理、測試管理、應急管理、配臵管理、變更管理、檔案管理等工作制度,做好數據備份工作。
第四章 機房環境和設備資產管理
第一節 機房安全管理
第二十六條 本規定所稱機房是指計算機系統等主要設備放臵、運行場所以及供配電、通信、空調、消防、監控等配套環境設施。
第二十七條 各單位機房的規劃、建設、改造、運行、維護由科技部門負責,相關設備采購納入政府集中采購。機房的消防、視頻監視錄像、防雷、門禁等子系統的規劃、建設、運行和維護由科技部門和保衛部門協商確定。
第二十八條 各單位原則上只建設一個符合國家計算機機房有關標準和人民銀行相關規定的計算機機房,為所有業務部門提供機房基礎設施服務。
第二十九條 機房建設、改造的方案應報上一級科技部門備案。必要時,由上一級機構科技部門會同會計、保衛等部門進行審核。
第三十條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業承包資質、兩年以上從事計算機機房設計與施工經驗的專業化公司,其中總行、分行、營業管理部、省會(首府)城市中心支行、計劃單列市中心支行的機房建設或改造應選擇具有國家貳級或貳級以上資質同時具有三年以上專業從事計算機機房裝修裝飾經驗的專業公司。重要機房建設或改造工程應引入監理制度。
第三十一條 總行、分行、營業管理部、省會(首府)城市中心支行應建立機房設施與場地環境監控系統,對機房空調、消防、不間斷電源(UPS)、供配電、門禁系統等重要設施實行全面監控。
第三十二條 各單位機房投入使用前,應經過當地公安消防部門的消防驗收和本單位科技、保衛與會計部門組織的驗收,并出具明確結論的驗收報告。未經驗收或驗收不合格的機房均不得投入使用。
第三十三條 各單位應建立健全機房管理制度,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經過相關專業培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發現問題及時報告。
(二)具備必要的網絡監測、跟蹤和審計等管理功能。(三)針對不同的網絡安全域,采取必要的安全隔離措施。
第二節 網絡運行安全管理
第四十二條 各單位科技部門應建立健全網絡安全運行制度,配備專(兼)職網絡管理員。網絡管理員負責日常監測和檢查網絡安全運行狀況,管理網絡資源及其配臵信息,建立健全網絡運行維護檔案,及時發現和解決網絡異常情況。
第四十三條 網絡管理員應定期參加網絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能,緊急情況下,經本部門主管領導授權后可采取“先斷網、后處理”的緊急應對措施。
第四十四條 各單位科技部門應嚴格網絡接入管理。任何設備接入網絡前,接入方案、設備的安全性等應經過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網絡資源。
第四十五條 各單位科技部門應嚴格網絡變更管理。網絡管理員調整網絡重要參數配臵和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網絡正常運行的重大網絡變更,應提前通知所有使用部門并安排在節假日進行,同時做好配臵參數的備份和應急恢復準備。
第四十六條 各單位應嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技部門提出書面申請,并采取相應的安全防護措施。
第四十七條 信息安全管理人員經本部門主管領導批準,有權對本單位或轄內網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外界提供。未經總行科技司授權,任何外部單位與人員不得檢測、掃描人民銀行內部網絡。
第四十八條 各單位以不影響業務的正常網絡傳輸為原則,合理控制多媒體網絡應用規模和范圍。未經總行科技司批準,不得在人民銀行內部網絡上提供跨轄區視頻點播等嚴重占用網絡資源的多媒體網絡應
項目技術方案應包括以下基本安全內容:
(一)業務需求部門提出的安全需求。
(二)安全需求分析和實現。
(三)運行平臺的安全策略與設計。
第五十七條 各單位科技部門負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節 計算機系統開發與集成
第五十八條 計算機系統開發應符合軟件工程規范,依據安全需求進行安全設計,保證安全功能的完整實現。
第五十九條 計算機系統開發單位應在完成開發任務后將程序源代碼及其相關技術文檔全部移交人民銀行科技部門。外部開發單位還應與人民銀行簽署相關知識產權保護協議和保密協議,不得將計算機系統采用的關鍵安全技術措施和核心安全功能設計對外公開。
第六十條 計算機系統的開發人員不能兼任計算機系統管理員或業務系統操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第六十一條 計算機系統開發、測試、修改工作不得在生產環境中進行。
第六十二條 涉密計算機系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業,并簽訂嚴格的保密協議。
第三節 計算機系統運行
第六十三條 各單位計算機系統上線運行實行安全審查制度,未通過安全審查的任何新建或改造計算機系統不得投產運行。具體要求如下:
(一)項目承擔單位(部門)應組織制定安全測試方案,進行系統上線前的自測試并形成測試報告,報科技部門審查。
(二)計算機系統應用部門應在計算機系統投產運行前同步制定相關安全操作規定,報科技部門備案。
(三)科技部門應提出明確的測試方案和測試報告審查意見。必
第七十三條 對已經廢止的計算機系統軟件和數據備份介質,科技部門按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的,應在本單位保密工作委員會監督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第七十四條 本規定所稱客戶端是指人民銀行計算機用戶、網絡與信息系統所使用的終端設備,包括聯網桌面終端、柜面終端、單機運行(啞)終端、遠程接入終端、便攜式計算機等。
第七十五條 各單位應建立完善的客戶端管理制度,記錄所有客戶端設備信息和軟件配臵信息。
第七十六條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。
第七十七條 客戶端應統一安裝病毒防治軟件,設臵用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。
第七十八條 確因工作需要經授權可遠程接入內部網絡的用戶,應嚴格保存其身份認證介質及口令密碼,不得轉借其他人使用。
第八章 信息安全專用產品、服務管理
第一節 資質審查與選型購臵
第七十九條 本規定所稱信息安全專用產品,是指人民銀行安裝使用的專用安全軟件、硬件產品。本規定所稱信息安全服務,是指人民銀行向社會購買的專業化安全服務。
第八十條 總行科技司負責信息安全服務提供商的資質審查和信息安全專用產品的選型,由集中采購部門按照政府集中采購程序選購。
第八十一條 各單位購臵掃描、檢測類信息安全專用產品應報總行科技司批準、備案。
第二節 使用管理
第八十二條
各單位科技部門應建立信息安全專用產品登記使用制度,建立信息安全類固定資產使用登記簿并由專人負責管理。掃描、1第九十一條 各單位所有部門和個人應加強對移動存儲設備(U盤、軟盤、移動硬盤)的管理。
第九十二條 各單位應建立存儲介質銷毀制度,對載有敏感信息的存儲介質應采用焚燒或粉碎等方式進行處臵并做好記錄。
第三節
數據安全
第九十三條 本規定中所稱的數據是指以電子形式存儲的人民銀行業務數據、辦公信息、系統運行日志、故障維護日志以及其他內部資料。
第九十四條 各單位業務部門負責提出數據在輸入、處理、輸出等不同狀態下的安全需求,科技部門負責審核安全需求并提供一定的技術實現手段。
第九十五條 各單位業務部門應嚴格管理業務數據的增加、修改、刪除等變更操作,適時進行業務數據有效性檢查,按照既定備份策略執行數據備份任務,并定期測試備份數據的有效性和預演數據恢復流程。
第九十六條 各單位科技部門系統管理員負責定期導出網絡和重要計算機系統日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年,妥善保管。
第九十七條 各單位業務部門應明確規定備份數據的保存時限和密級,建立備份數據銷毀審批登記制度,并根據數據重要性級別分類采取相應的安全銷毀措施。
第九十八條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的,應把口令密碼密封后與數據備份介質一并妥善保管。
第四節
口令密碼
第九十九條
各單位系統管理員、數據庫管理員、網絡管理員、業務操作人員均須設臵口令密碼,至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求。
第一百條
敏感計算機系統和設備的口令密碼設臵應在安全的環境下進行,必要時應將口令密碼筆錄、密封交相關部門保管。未經科
3應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監督第三方訪問活動。
第一百一十條 獲得第三方訪問授權的所有單位和個人應與人民銀行簽訂安全保密協議,不得進行未授權的修改、增加、刪除數據操作,不得復制和泄漏人民銀行任何信息。
第二節
外包服務管理
第一百一十一條 本規定所稱外包服務是指由人民銀行之外的其他社會廠商為人民銀行計算機系統、網絡或桌面環境提供全面或部分的技術支持、咨詢等服務。外包服務應簽訂正式的外包服務協議,明確約定雙方義務。
第一百一十二條 經本單位科技部門領導批準,外包服務提供商可提供上門維護服務并由人民銀行科技人員在場準確記錄所有技術配臵變更信息。外包服務提供商不得查看、復制涉密信息或將涉密介質帶離人民銀行。
第一百一十三條 計算機設備確需送外單位維修時,各單位科技部門應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 信息通報、災難備份與應急管理
第一節 信息通報
第一百一十四條
各單位應按照人民銀行信息安全事件報告制度進行信息通報,一般信息安全事件應逐級通報,發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報總行科技司。
第一百一十五條 重大信息安全事件發生后,各單位相關人員應注意保護事件現場,采取必要的控制措施,調查事件原因,并及時報告本單位主管領導。
第一百一十六條 各單位應在重大信息安全事件發生后的兩小時
(一)(二)
(三)(四)
(五)(六)
(七)總則(目標、原則、適用范圍、預案調用關系等)。應急組織機構。
預警響應機制(報告、評估、預案啟動等)。各類危機處臵流程。應急資源保障。事后處理流程。
預案管理與維護(生效、演練、維護等)。
第一百二十五條 各單位定期組織應急預案的演練,并指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發生時的可獲取性。
第一百二十六條 各單位計算機安全工作領導小組統一負責各業務系統的應急協調與指揮,決策重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調動應急資源。
第一百二十七條 總行辦公廳負責統一向社會發布應急事件公告,其他任何單位或個人不得向社會發布應急事件公告。
第十二章 安全監測、檢查、評估與審計
第一節 安全監測
第一百二十八條 各單位科技部門應整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要計算機系統和機房環境等設施的安全運行監測。
第一百二十九條 各單位科技部門應建立運行監測周報、月報或季報制度,報送本單位計算機安全工作領導小組和上一級科技部門,抄送相關業務部門。
第一百三十條 各單位要及時預警、響應和處臵運行監測中發現的問題,發現重大隱患和運行事故應及時協調解決,并報上一級單位相關部門。
第二節 安全檢查
7管理和信息安全事件全過程的技術審計,發現問題及時報本單位或上一級單位主管領導。
第一百四十條 各單位應做好操作系統、數據庫管理系統等審計功能配臵管理,應完整保留相關日志記錄,一般保留至少一個月,涉及資金交易的業務系統日志應根據需要確定保留時間。
第十三章
獎勵與處罰
第一百四十一條 各單位每年應組織一次本單位和轄內信息安全管理工作評比活動,對達標單位的相關人員應給予一定的獎勵,對表現突出的單位和個人進行通報表彰并給予一定形式的獎勵。
第一百四十二條 對于違反本規定,造成重大信息安全事件的單位及個人,要給予通報批評;情節嚴重的,依據相關法律法規,追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章
附 則
第一百四十三條 人民銀行之前發布的其他信息安全管理制度有關規定條款如與本規定不一致的,按本規定執行。
第一百四十四條 本規定由總行負責解釋。第一百四十五條 本規定自發布之日起執行。
第三篇:中國人民銀行貨幣押運安全管理規定
中國人民銀行貨幣押運安全管理規定
發布部門: 中國人民銀行 發布文號: 銀發[2000]368號
第一條 為規范中國人民銀行貨幣押運安全管理工作,防范和制止危害貨幣押運的違法犯罪行為,提高處置突發事件的應變能力,確保發行基金和職工人身安全,根據有關法律法規,制定本規定。本規定所稱貨幣押運特指汽車運輸。
第二條 中國人民銀行貨幣押運的安全管理由各級保衛部門負責。總行重點庫、分庫及副省級城市中心支庫、印鈔造幣廠武裝押運人員由駐勤武警部隊擔任,安全管理由保衛部門負責組織協調駐勤武警部隊、貨幣金銀、行政后勤服務部門共同實施;地(市)中心支行已建立運鈔中心的由運鈔中心負責運鈔安全的組織協調工作。尚未建立運鈔中心的,運鈔安全管理由保衛部門負責協調貨幣金銀、行政后勤服務部門共同組織,武裝押運人員由人民銀行保衛干部及專職押運人員擔任。
第三條 貨幣押運安全管理中各部門的主要職責:
(一)保衛部門負責發行基金、金銀、有價證券、銀行重要憑證、損傷券等免檢物品從出庫裝車到卸貨入庫、損傷券銷毀現場的安全警戒及運輸全程的武裝押運,處置運鈔途中突發事件。
(二)貨幣金銀部門負責辦理調撥出入庫手續和賬務核算,清點出入庫免檢物品,協助保衛部門做好押運安全工作。
(三)行政后勤服務部門負責押運的后勤保障工作。
各部門要按照職責分工各負其責,密切協作,統一行動。
第四條 各級行根據上級行庫主任及本行庫主任簽發的調撥命令執行貨幣押運任務。非緊急情況下,本省區調撥命令應于執行押運任務一日前下達,跨省區調撥命令應于執行押運任務三日前下達。
第五條 執行押運任務,要成立押運領導小組,由一名行領導(或由行領導指定的負責人)帶隊,具體負責押運工作的統一指揮。已建立運鈔中心的地(市)中心支行,由運鈔中心負責運鈔途中的統一指揮。
第六條 各級行要制定押運途中各種緊急情況的處置預案,平時要經常組織演練。在較固定的運鈔線路上,要與當地的人民銀行或金融機構、公安機關、治安聯防建立聯系,遇有突發情況時可及時救援。執行臨時線路的運鈔任務時,要事先了解途經地區的社會治安、道路交通情況,做好相應的準備工作。
第七條 由武警部隊承擔押運任務時,部隊與銀行保衛人員的比例為2∶1;地市中心支行執行押運任務,必須配備兩名以上的保衛干部、專職押運人員。
第八條 執行押運任務要使用性能良好、廂體封閉的運鈔車,必須配備護衛車。護衛車日常管理由保衛部門負責。
第九條 執行押運任務要配備有效的通訊器材,保證聯絡暢通。
第十條 執行押運任務,武裝押運人員按規定登記領取武器彈藥,押運工作結束后,立即交回并注銷(見附表1)。
第十一條 運鈔免檢通行證由保衛部門負責管理。運鈔免檢通行證要一車一證,車證相符,執行任務時登記領取,運鈔任務完成后立即交回并注銷(見附表2)。
第十二條 運鈔車嚴禁攜帶非免檢物品,嚴禁搭乘無關人員。
第十三條 參加押運的人員必須嚴格遵守下列押運工作紀律。
(一)不得向無關人員泄露押運工作的有關情況;
(二)不得在公開場合和用外部電話談論押運工作的有關情況;
(三)不得中途隨意下車或單人行動;
(四)不得在執行任務時飲酒。
第十四條 運鈔車必須按照事先確定的路線行駛,途中不準隨意停車。遇有特殊情況要改變行車路線時,需經帶隊領導批準后執行。
第十五條 押運途中因就餐等原因必須停車時,要避開繁華市區和社會治安復雜的地段,停車時要有武裝押運人員警戒。
第十六條 執行押運任務的武器必須隨身攜帶,防止被盜、丟失、走火等案件、事故的發生。遇有緊急情況需使用槍支時,按照中國人民銀行、公安部《關于銀行守庫、押運人員在執行任務中使用武器的規定》((85)銀發字369號)執行。
第十七條 參加押運的人員在執行押運任務途中要自覺遵守交通法規,遇公安等部門要求檢查時,應主動出示運鈔免檢通行證并說明情況,防止發生沖突。
第十八條 對持有免檢通行證的運鈔車內物品確需檢查時,由公安機關、人民銀行共同組織進行,其他部門無權檢查。檢查程序按照中國人民銀行、公安部《關于做好銀行運鈔安全管理的通知》(銀發(1999)439號)執行。
第十九條 執行長途運鈔任務,運鈔車需在外過夜時,要事先與人民銀行當地分支行聯系存放事宜,接收存放的人民銀行分支行要積極協助做好安全保衛工作,保證免檢物品、車輛和押運武器的安全。
第二十條 押運工作結束后,認真做好押運登記和小結(見附表3)。
第二十一條 對認真執行本規定,切實履行職責,及時制止危害國家財產和職工生命安全的違法犯罪行為,使國家財產和職工生命安全免受損失的單位和個人,可以由本級或上級行予以表彰。
第二十二條 對違反本規定,導致發生事故和案件的,按規定給予有關責任人行政處分;構成犯罪的,依法追究刑事責任。
第二十三條 其他有關規定與本規定相抵觸的,以本規定為準。
第二十四條 本規定由中國人民銀行負責解釋、修訂。
第二十五條 本規定自發布之日起施行。
第四篇:信息安全管理規定
信息安全管理規定
目 錄
1.1.1信息安全管理規定...................................................2
一、總則........................................................2
二、適用范圍....................................................2
三、職責........................................................2
四、管理規定....................................................2
五、信息安全風險評估............................................6
六、附則........................................................7 1.1.2.計算機病毒防范管理規定........................................8 1.1.3信息系統管理制度.................................................11
一、業務主管職責...............................................11
二、系統管理員具體職責:.......................................12
三、系統管理員操作管理制度.....................................12
四、系統管理員備份管理制度.....................................13
五、軟件管理制度...............................................13
六、數據管理制度...............................................14
七、系統維護管理制度...........................................15
八、檔案及數據管理制度.........................................16 1.1.4中心機房管理規定.................................................18
一、機房人員日常行為準則.......................................18
二、機房安全制度...............................................18
三、機房用電安全制度...........................................19
四、機房消防安全制度...........................................19
五、機房硬件設備安全使用制度...................................20
六、軟件安全使用制度...........................................21
七、機房資料、文檔和數據安全制度...............................22
八、機房財產登記和保護制度.....................................22
九、機房巡檢制度...............................................22
信息安全管理規定
1.1.1信息安全管理規定
一、總則
為加強公司管理處計算機信息體系資產安全的保護,保障公司信息化體系連續可靠正常地運行,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際網管理暫行規定》和相關行政法規,結合公司管理處實際狀況,特制訂本規定。
二、適用范圍
本規定適用于公司管理處所有員工,所有公司電子信息設備、版權軟件、電子信息系統、電子信息文件、客戶和廠商及兄弟單位提供給公司的所有電子信息資料的安全管理。
三、職責
3.1技術保障部負責本規定的制訂和修訂。3.2各級部門主管負責本規定在本部門的落實。
3.3技術保障部負責對本規定的執行情況開展定期或不定期的檢查和指導。
四、管理規定 4.1電子產品資產管理
4.1.1公司所有辦公電腦(含筆記本電腦)與相關電子產品屬公司資產,任何部門及個人無權侵占、挪為私用。4.1.2公司所有辦公電腦及相關電子產品由技術保障部統一做資產編號、建立臺帳、調度分配,并發放給對應的使用人員,資產掛靠人有該資產使用權,同時需承擔保管義務,任何遺失、人為破壞行為,需按照資產折舊值賠償。4.1.3公司所有辦公電腦及相關電子產品是公司配備給部門或個人的工作工具,任何人無權利用其做個人經營或工作無關事宜,一經發現提報人力資源部據公司相關規定處分。4.1.4未經許可,不得擅自使用他人電腦,所有用戶需設置5分鐘密碼屏保,以確保離開后電腦不被他人使用。4.1.5人員離職、調崗時,請參照人事人員離職/換崗流程通知技術保障部協助所屬部門交接人員備份信息資料,接收、重新分配電腦。4.2賬號及密碼安全管理
4.2.1公司各自崗位管理員及用戶無條件對本人所負責的相關信息系統及軟硬件密碼負直接管理責任,未經上級主管審批,不得將自己的賬號及密碼告訴其他人,造成損失者,對賬戶及密碼擁有人員酌情處分。
4.2.2機房設備及服務器、各信息系統管理員賬號統一由技術保障部對應責任崗位負責,并定期修改密碼;密碼需統一登記在冊,并及時更新,由技術保障部經理負責,出現重大泄露事件,對部門經理及相關責任人處分。4.2.3公司官網、微信、微博等與公司宣傳有關的賬號、密碼,統一由市場營銷部門對應崗位負責。
4.2.4因工作需要,在政府或第三方機構等網站注冊的賬號、密碼,分別由各責任部門自行負責。
4.2.5具有信息系統權限的人員離職、調崗時,必須由技術保障部會簽離職、調崗相關單據,以及時處理相關權限。4.3計算機系統安全管理
4.3.1公司所有辦公電腦系統權限、安裝軟件、端口使用權限全部由技術保障部根據本規定統一設置、管控,特殊崗位因工作需要開通權限,需經申請批準后由技術保障部執行,任何未經批準擅自更改者視情節嚴重性進行處分。4.3.2未經技術保障部備案許可,嚴禁擅自安裝自帶軟件,私自安裝軟件造成的版權糾紛,將由個人承擔全部相關法律責任。
4.3.3公司所有辦公電腦嚴禁安裝游戲、工作無關軟件,技術保障部不定期檢查,對并違規行為做通報。4.4網絡及應用系統安全管理
4.4.1任何部門和個人,不得利用計算機信息系統和網絡系統從事危害國家利益、集體利益和公民合法權益的活動,不得利用國際互聯網制作、復制、查閱和傳播違法信息,任何利用公司網絡所作的違法行為屬個人行為,將全部由個人承擔相關法律責任,公司將配合相關部門嚴厲查處。4.4.1.1煽動抗拒、違法亂紀、顛覆國家政權、分裂國家、破壞民族團結的;
4.4.1.2捏造或者歪曲事實,散布謠言,擾亂社會秩序的; 4.4.1.3宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事實誹謗他人的。4.4.2任何部門和個人不得從事下列危害公司或公共計算機信息系統和網絡系統安全的活動,違者全部由個人承擔相關法律責任,并視情節嚴重性請相關部門追究法律責任。4.4.2.1故意制作、傳播計算機病毒等破壞性程序的; 4.4.2.2故意攻擊公共網絡、公共服務器、公司網絡、公司服務器的;
4.4.2.3其他故意危害公共網絡、公司網絡安全的行為。4.4.3 電腦IP地址是公司網絡管理的最重要基礎,公司所有辦公電腦(含筆記本電腦)由技術保障部統一分配IP地址,任何部門或個人無權擅自修改IP地址。
4.4.4不得利用公司網絡打游戲、看電影、下載工作無關資料。
4.4.5不得在公司內部安裝、使用網絡代理軟件,以擾亂網絡管理機制。
4.4.6技術保障部需定期檢查、通報公司網絡使用狀況,并對違規者申請處分。4.5信息資料安全管理
4.5.1公司所有信息資料屬公司資產,各部門與個人有義務承擔本部門或個人信息資料的保密責任,并對所轄機密資料的安全承擔連帶責任。
4.5.2各部門主管需逐級制訂本部門機密資料的內容、受限范圍、發放審批機制,并定期檢查、更新。
4.5.3未經批準,不得把本部門機密資料放置在公共網絡、內部不受限共享夾、或以其他任何方式發送給受限范圍以外的人員;任何有意、無意的泄密行為都是公司嚴厲禁止的,直至追究法律責任。
4.5.4對于部分有備份安全需求的部門,可申請由技術保障部統一安排部署備份服務器及備份機制。4.6中心機房安全管理
詳見《公司管理處中心機房管理規定》。4.7計算機病毒防范
詳見《公司管理處計算機病毒防范管理規定》 4.8監控資料安全管理
4.8.1監控資料調閱管理部門為技術保障部,安防監控錄像調閱請參照綜合管理部相關規定。
五、信息安全風險評估 5.1隨著信息技術的不斷發展、重大信息系統環境的不斷改進和改變,每年至少要進行一次信息安全風險評估,對相關的制度進行重新審核,并更新不適當的內容。
六、附則
6.1本規定由技術保障部負責解釋。
1.1.2.計算機病毒防范管理規定
為加強計算機的安全監察工作,預防和控制計算機病毒,保障計算機系統的正常運行,根據國家有關規定,結合實際情況,制定本制度。
一、凡在公司內所轄計算機進行操作、運行、管理、維護、使用計算機系統以及購置、維修計算機及其軟件的部門,必須遵守本制度。
二、本辦法所稱計算機病毒,是指編制或者在計算機程序中插入的破壞計算機系統功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。
三、任何工作人員不得制作和傳播計算機病毒。
四、任何工作人員不得有下列傳播計算機病毒的行為: 故意輸入計算機病毒,危害計算機信息系統安全。向計算機應用部門提供含有計算機病毒的文件、軟件、媒體。購置和使用含有計算機病毒的媒體。
五、預防和控制計算機病毒的安全管理工作,由技術保障部負責實施管理。其主要職責是
制定計算機病毒防治管理制度和技術規程,并檢查執行情況; 采取計算機病毒安全技術防治措施;
對計算機信息系統使用人員進行計算機病毒防治教育和培訓; 及時檢測、清除計算機系統中的計算機病毒,并做好檢測、清除的記錄;
購置和使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品;
對因計算機病毒引起的計算機信息系統癱瘓、程序和數據嚴重破壞等重大事故及時做好記錄,評估事故損失,保護現場并向公安機關報告。
六、計算機安全管理部門應加強對計算機操作人員的審查,并定期進行安全教育和培訓。
七、計算機信息系統應用部門應建立計算機運行記錄制度,未經審定的任何程序、指令或數據,不得輸入計算機系統運行。
八、計算機安全管理部門應對引起的計算機及其軟件進行計算機病毒檢測,發現染有計算機病毒的,應采取措施加以消除,在未消除病毒之前不準投入使用。
九、通過網絡進行電子郵件或文件傳輸,應及時對傳輸媒體進行病毒檢測,接收到郵件時也要及時進行病毒檢測,以防止計算機病毒的傳播。
十、積極接受公安機關對計算機病毒防治管理工作的監督、檢查和指導。
十一 現對日常使用計算機做出如下建議 及時安裝系統補丁。建議使用系統自帶的更新程序進行系統更新,不要使用諸如360安全衛士或qq電腦管家進行更新 安裝殺毒軟件。可以安裝360等免費殺毒軟件。
定期掃描系統是否感染有病毒,3天左右一次,可以在下班前或中午吃飯的時候進行全盤病毒查殺。定期更新防病毒軟件。
不要亂點擊鏈接和下載軟件,目前許多下載網站都帶有推廣鏈接,很容易造成誤操作.如需要下載軟件,請到正規官方網站上下載.不要訪問無名和不熟悉的網站,防止受到惡意代碼攻擊或是惡意篡改注冊表和IE主頁.不要陌生人和不熟悉的網友聊天,特別是那些QQ病毒攜帶者,因為他們不時自動發送消息,這也是其中毒的明顯特征.關閉無用的應用程序,因為那些程序對系統往往會構成威脅,同時還會占用內存,降低系統運行速度.安裝軟件時,切記不要安裝其捆綁軟件,尤其是部分流氓軟件,一旦安裝,想要卸載十分麻煩,甚至于需要重裝系統才能清除.不要隨意執行附件中的可執行文件,一般以.com,.exe.bat作為后綴名 這些附件極有可能帶有計算機病毒或是黑客程序,輕易運行,很可能帶來不可預測的結果。對于這些可執行程序附件都必須檢查,確定無異后才可使用。不要隨意打開附件中的文檔文件 對方發送過來的電子函件及相關附件的文檔,首先要用另存為命令(Save As)保存到本地硬盤,待用病毒查殺軟件檢查無毒后才可以打開使用。如果用鼠標直接點擊兩下DOC、XLS等附件文檔,會自動啟用Word或 Excel,如有附件中有病毒則會立刻傳染;如有是否啟用宏的提示,那絕對不要輕易打開,否則極有可能感染上郵件病毒。
不要直接運行附件 對于文件擴展名很怪的附件,或者是帶有腳本文件如*.VBS、*.SHS等的附件,千萬不要直接打開,一般可以刪除包含這些附件的電子函件,以保證計算機系統不受計算機病毒的侵害,或經過掃描之后打開。
郵件設置如果是使用Outlook作為收發電子郵件軟件的話,應當進行一些必要的設置。選擇工具菜單中的選項命令,在安全中設置附件的安全性為高;在其他中按高級選項按鈕,按加載項管理器按鈕,不選中服務器腳本運行。最后按確定按鈕保存設置。
外來U盤、移動硬盤、光盤等最好在裝有殺毒軟件的電腦上查毒確認無病毒后再打開、執行、拷貝。1.1.3信息系統管理制度
一、業務主管職責
財務、綜管、營銷、運營等重點業務主管,負責協調本業務范圍內信息系統的總體運行工作。具體職責包括:
1、負責本部門信息化崗位的設定和分配,結合本部門情況確定每個崗位的職責;
2、分配每一崗位人員操作權限,以書面形式通知系統管理員;
3、根據本單位的實際情況,總結系統存在的問題,并提出改進的建議;
4、研究本單位的需求,對信息系統提出新需求或升級的請求;
二、系統管理員具體職責:
1、負責系統軟件、硬件及數據庫的安裝與升級;
2、負責系統軟件、硬件及數據庫所有技術問題,保障系統正常運行;
3、負責服務器的硬軟件資源分配,監控網絡的運行;
4、負責數據的備份與備份的恢復工作;
5、負責公司用戶權限的分配管理工作,做好數據的保密工作;
6、負責組織信息系統的培訓工作;
三、系統管理員操作管理制度
1、操作人員(包括專業維護人員)必須嚴格按照操作權限操作,不得越權操作。每次操作應記錄相應的操作日記,日記包括操作時間、執行命令等。
2、操作人員離開系統時,應退出系統或進行系統封鎖。
3、管理員每周應檢查數據備份情況,每月應將其刻錄成光盤。
4、系統管理員變動前必須辦理交接手續,經接管人員或監交人員與系統管理員雙方簽字確認,作為檔案存檔。
四、系統管理員備份管理制度 具體內容包括:
(1)管轄范圍內的服務器地址分布;
(2)網絡服務器口令、數據庫超級口令、公司信息系統管理員口令;
(3)每年的歷史數據備份,本年的所有的數據備份;(4)系統培訓資料;(5)系統維護記錄本;
(6)所有版本的公司信息系統軟件;(7)所有版本的數據庫管理系統軟件;(8)其他應交接的內容。
(9)對交接內容應進行相應的測試,以確保交接質量。一旦交接,接替人員或監交人員應立即更換所有口令,并開始承擔系統管理員的所有工作。
五、軟件管理制度
1、信息系統功能改動時,應對其功能改動部分進行認真測試研究,確定新增功能的用法,防止工作的盲目性。
2、公司在組織軟件的升級工作時,一般應在同一個會計期間內一次性更換所有在用軟件,升級前應通知各用戶,并對功能更動部分加以說明。
3、要嚴格保護所有在用軟件的版權,包括網絡、數據庫、操作系統、軟件等。嚴禁將軟件以任何形式出售、轉讓或贈送給該范圍以外的任何單位或個人。
4、各單位要制定具體的防病毒措施。所有來歷不明的媒體介質在使用前必須經過病毒檢測,對所有在用計算機尤其是 NT 服務器必須定期進行病毒檢測。使用網絡的單位要嚴防病毒通過網絡傳播,辦公用計算機不能裝入各種游戲軟件。
六、數據管理制度
1、信息系統的數據管理是指數據不丟失、不損毀、不向無關人員泄露、不被非法修改,保障數據的安全要從技術和管理兩個方面著手,做好安全保密工作。
2、要經常對系統中的數據進行備份,以便在計算機發生故障時可將數據恢復到最近狀態。數據備份的目標是防止任何時間發生的硬、軟件故障以及人為失誤造成的數據損毀,因此原則上要求在發生業務的當天都進行備份。具體備份模式為:
(1)每天在服務器上作一數據備份,(2)每周作一個異地備份,每月制作一份數據光盤;(3)每年年末制作雙備份, 存儲于不同的地點。
3、對備份的數據應加強管理,防止被非法拷貝或毀壞。
4、采取各種措施來保障上網數據的安全性。要嚴密控制好數據庫及其服務器的口令,控制好各用戶的口令。
七、系統維護管理制度
1、系統維護管理是指為保障系統正常運行而進行的對硬件、網絡、數據庫、操作系統、軟件及相關辦公自動化軟件進行的安裝、修正、更新版本、擴展、備份等操作以及對軟件應用模式的設計及實施工作。系統的維護管理工作由系統管理員或由系統管理員授權的專業維護人員負責進行。未經系統管理員授權的人員不得進行系統維護操作。
2、未經系統管理員許可,不得在公司信息系統服務器上安裝其它硬、軟件,不得改變系統的運行環境。
3、系統運行時,應獲得充分的維護保障。系統發生影響正常運行的故障時,系統理員應及時給予處理。屬于系統優化或不影響正常業務流程的問題,系統管理員應進行合理的預計,提前規劃,制定實施方案以確保系統的平穩運行。
4、系統運行中出現故障或出現不明意義的提示時,操作人員應保護現場,及時與系統管理員聯系。由于操作人員擅自處理故障而引起的后果由操作人員自己負責。
5、系統管理員在不能直接排除故障并且沒有替代解決方案,應請求上一級部門系統管理員或專業維護人員的技術支持。
6、要建立系統管理維護記錄本實行系統維護記錄制度。對故障的發生時間、表現、解決辦法及結果等進行詳細的記錄,并由維護人員或系統管理員簽字。系統管理維護記錄本的登記要條理清楚、時間準確,字跡工整。
7、對于兩個以上的系統維護管理人員應進行合理的分工,充分發揮系統管理員的作用,不斷加強系統維護的技術保障,逐步形成一套有效的系統維護管理體制。
八、檔案及數據管理制度
1、公司信息系統檔案包括:(1)數據庫備份資料 ;(2)軟件升級前的數據庫備份;
(3)打印輸出的經過蓋章簽字的會計資料;
(4)每年一次的經系統管理員簽字的系統管理維護記錄本存檔;
(5)所有版本的系統、網絡、數據庫、軟件;(6)軟件的開發文檔、源程序;(7)其他應該存檔的資料或數據。
2、打印輸出的憑證、報表、帳簿等各種會計資料的保存按財政部《會計檔案管理辦法》 執行。數據庫的備份要永久保留。以膠片、磁、光等介質保存的數據的檔案應按照有關規定保存在溫濕度適宜、陽光不直射,并且不能被損害的場所。
3、以磁介質存儲的數據應定期更換新的介質進行再拷貝。
4、本章未及內容按照財政部《會計檔案管理辦法》 執行。附件:補丁更新記錄臺帳、數據備份登記臺帳、服務器等設備維護登記表、檔案移交登記表的樣本。
1.1.4中心機房管理規定
為進一步做好公司信息化管理工作,提高精細化管理水平,降低辦公費用消耗,確保公司網絡通訊系統的暢通,按照公司《信息安全管理規定》,特制訂中心機房管理規定。
本規定適用于中心機房的管理,機房工作人員要認真遵守,并作為日常行為規范。
一、機房人員日常行為準則
1.1必須注意環境衛生。禁止在機房內抽煙、吃食物、隨地吐痰,保持機房無塵潔凈環境。
1.2機房用品要各歸其位,不能隨意亂放,不許堆放雜物。注意檢查機房的防曬、防水、防潮,維持機房環境通爽,保證機房的適當溫度和適度。
1.3中心機房每周清掃一次,物品要擺放整齊,保持安靜清潔的工作環境。
二、機房安全制度
2.1禁止帶領與機房工作無關的人員進出機房,建立機房準入制度,凡進入機房人員必須得到技術保障部經理允許,并進行登記(格式見《公司管理處機房出入登記表》),由技術保障部人員全程陪同。
2.2未經主管領導批準,禁止將密碼、信息外借透露給其它人員,同時有責任對信息保密。對于泄露信息的情況要及時上報,并積極主動采取措施保證機房安全。2.3重點做好機房防火、防水、防潮濕、防干燥、防短路、防斷路、防老鼠、防盜、防高溫,出現機房盜竊、破門、火警、水浸、110報警等嚴重事件時,網絡信息工作人員有義務以最快的速度和最短的時間到達現場,協助處理相關的事件。
2.4工作人員離開工作區域前,應保證工作區域內保存的重要文件、資料、設備、數據處于安全保護的狀態。
三、機房用電安全制度
3.1機房工作人員應學習常規的用電安全操作知識,了解機房內部的供電、用電設施的操作規程。掌握機房用電應急處理步驟、措施、要領。定期檢查供電、用電設備、設施。
3.2機房不得亂拉亂接電線及用電設備。如發現用電安全隱患,應及時采取措施解決,不能解決的必須及時向主管領導匯報。
3.3在危險性高的位置應張貼相應的安全操作方法、警示以及指引,實際操作時應嚴格執行。
3.4在外部供電系統停電時,機房工作人員應全力配合完成停電應急工作,啟動應急設備,或及時關閉計算機系統。
四、機房消防安全制度
4.1機房管理人員應熟悉機房內部消防安全操作規則,了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。4.2工作人員要保護消防設備不被破壞。如發現消防安全隱患,應及時采取措施解決,不能解決的應及時向相關負責人員提出解決。
4.3最后離開機房的工作人員,應檢查消防設備的工作狀態消防器材的完好,關閉將會帶來消防隱患的設備,采取措施保證無人狀態下的消防安全。
五、機房硬件設備安全使用制度
5.1機房人員必須熟知機房內設備的基本安全操作規則。應定期檢查、整理硬件物理連接線路,定期檢查硬件運作狀態。
5.2禁止隨意在設備上進行安裝、拆卸硬件、或隨意更改設備連線、禁止隨意進行硬件復位。禁止在服務器上進行試驗性質的配置操作,需要對服務器進行配置,應在其它可進行試驗的機器上調試通過并確認可行后,才能對服務器進行準確的配置。
5.3對影響到全公司的硬件設備的更改、調試等操作應預先發布通知,并且應有充分的時間、方案、人員準備,才能進行硬件設備的更改。對重大設備設置的更改,必須首先形成方案文件,經過討論確認可行后,由具備資格的技術人員進行更改和調整,并應做好詳細的更改和操作記錄。對設備的更改、升級、配置等操作之前,應對更改、升級、配置所帶來的負面后果做好充分的準備,必要時需要先準備好后備配件和應急措施。
5.4不允許任何人在服務器、交換設備等核心設備上進行與工作范圍無關的任何操作。不允許他人操作機房內部的設備,對于核心服務器和設備的調整配置,需要主管領導同意后才能進行。
5.5要注意和落實硬件設備的維護保養措施。
六、軟件安全使用制度
6.1必須定期檢查軟件的運行狀況、定期進行數據和軟件日志備份。
6.2禁止在工作服務器上進行試驗性質的軟件調試,禁止在服務器隨意安裝軟件。需要對服務器進行配置,必須在其它可行試驗的機器上調試通過并確認可行后,才能對服務器進行準確的配置。
6.3對會影響到全局的軟件更改、調試等操作應發布通知,并且應有充分時間、方案、人員準備,才能進行軟件配置的更改。對重大軟件配置的更改,應先形成方案文件,經過討論確定可行后,由具備資格的技術人員進行更改,并應做好詳細的更改和操作記錄。對軟件的更改、升級、配置等操作之前,應對更改、升級、配置所帶來的負面后果做好充分的準備,必要時需要先備份原有軟件系統和落實好應急措施。
七、機房資料、文檔和數據安全制度
7.1資料、文檔、數據等必須有效組織、整理和歸檔備案。禁止任何人員將機房內的資料、文檔、數據、配置參數等信息擅自以任何形式提供給其他無關人員或向外隨意傳播。
7.2對于牽涉到網絡安全、數據安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關數據的,應由機房工作人員代為查閱,并只能向其提供與其當前工作內容相關的數據或資料。
7.3重要資料、文檔、數據應采取對應的技術手段進行加密、存儲和備份。對于加密的數據應保證其可還原性,防止遺失重要數據。
八、機房財產登記和保護制度
8.1機房的日常物品、設備、消耗品等必須有清晰的數量、型號登記記錄,對于公共使用的物品和重要設備,必須履行借取和歸還登記手續。
8.2機房工作人員應有義務安全和小心使用機房的任何設備、儀器等物品,對于使用過程中損壞、消耗、遺失的物品應匯報登記,并對責任人追究相關責任。
8.3未經主管領導同意,不允許向他人外借提供機房設備和物品。
九、機房巡檢制度 9.1機房工作人員每日對中心機房按照《機房巡檢標準》進行巡檢
第五篇:信息安全管理規定
信息安全管理規定
2010 年我公司建立并實行質量、環境、職業健康“三標”整合型管理體系的第一年。作為涵蓋研發和生產制造企業,信息安全化建設同等重要,公司領導也高度重視。院四標體系的建設,特別是信息安全體系的建設,是安全管理工作的重要組成部分。按公司的要求工作中信息安全要逐步做到制度化、常態化。在領導的統一指導和推進下,邊學習邊實踐,將信息安全意識貫徹到每一個員工的工作中。一:通過開展多種形式的信息安全宣傳,提高員工安全意識 安全意識是信息安全的第一道防線,信息安全管理要想做好,提高全體員工的安全意識是關鍵。為此,我認為公司相關部門和責任人要認真策劃,在公司內部進行了大量的信息安全相關的宣傳工作。這些宣傳要達到效果,就不能是枯燥的,喊口號式的宣傳,而應該喜聞樂見,生動活潑,結合實際,便于操作。為此,我們可以制作了形象生動的海報在公司內部宣傳欄進行張貼;針對廣大員工對信息安全應該如何做的困惑,編寫 “信息安全實用操作手冊”的方式發給公司員工等,讓信息安全意識在全體員工中逐步形成。
二、通過組織各類檢查,督促員工把自身的信息安全工作做好 為確保切實增強全體員工的安全意識和安全行為習慣,光靠宣傳還不夠。公司成立信息安全的管理工作組,主要領導擔任管理者代表,設置專職安全員和各部門安全責任人和安全員,在公司內部組織信息安全的內部檢查工作,檢查不拘泥于形式,明確檢查的項目內容,比如:首先檢查公司內所有內網機。通過檢查一方面是摸清公司內網機情況,另一方面就是通過檢查對公司所有內網機進行一次安全加固,確保內網機的信息安全。通過檢查,所有內網機在帳號、口令、機器補丁、網絡和服務、日志審核等方面進行加固等。其次擴大一些范圍 檢查包括公司所有的內外網終端及服務器等。因為覆蓋面廣,工作量大,檢查可以采取信息安全的檢查工具——漏洞掃描儀來進行自動檢查。檢查之前并未通知各部門,可以說這次檢查結果真實的反映了公司當時內外網機的信息安全情況。檢查結束后,檢查組根據檢查結果對問題機器下發了整改通知,并給出具體的整改意見。整改結束后又進行了一次掃描檢查,其三是采取自查和抽查相結合的方式。自查時間、自查內容及加固方法通過郵件方式群發給公司員工。在自查期結束后,信息安全工作組再制定了抽查計劃,各部門按一定比例抽查內外網機,并對發現問題的機器現場進行加固整改工作。這樣通過一次次的檢查,讓公司的員工開始養成了良好的工作習慣,如設置強登錄口令、禁用Guest 帳戶、及時升級系統補丁、設置自動屏保、關閉自定義共享等。
三、加強信息安全相關的設施管理 1)安全存儲介質的統一管理
根據院移動介質使用管理規定的精神,我們制定了切實可行的安 全移動介質管理方案。安全移動存儲介質由信息中心統一制作好后,由公司負責統一編號并進行登記發放工作。員工在申領安全存儲介 質時需要進行申請審批,公司安全員定期對安全存儲介質做好查檢清點工作,確保每一個發放出去的安全移動介質能夠追溯到責任人。員工離職時,安全員負責安全移動介質的收回工作。2)服務器的統一安全管理
整合后的公司設置了專門的服務器室,要求各部門的服務器進行 統一集中存放管理。為加強管理,公司設置了服務器室管理員,編制 了服務器室管理規定,對出入和內部日常環境安全進行統一管理。建 立了服務器臺帳,每臺服務器都落實到部門和責任人。另外,對于有時發生的非計劃停電,對公司的服務器造成一定沖擊,可能造成服務器硬件損壞的情況可采取UPS電源的措施,即使短時間停電,服務器正常工作不受影響。3)內外網機的統一接入管理
在內外網機管理方面,公司設置了專人負責對內外網機接入進行 管理,包括內外網機的申請、員工離職注銷、變更以及內網機的桌面 安裝等。對公司的內外網機,建立了完整的內外網機清單,在我們進 行工具設備進行內外網機掃描檢查時,能幫助我們很快定位到問題機 器。
以上是我對公司在信息安全管理及體系建設方面開展工作的一些建議,希望我們能摸著石頭過河,工作開展具有可行性和實用性,把公司的信息安全防護工作做好。
點擊咨詢 