第一篇:中国人民银行计算机安全管理暂行规定
中国人民银行计算机安全管理暂行规定(试行)
第一章 总 则
第一条 为加强中国人民银行计算机信息系统安全保护工作,保障中国人民银行计算机信息系统安全、稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规,制定本规定。
第二条 本规定适用于中国人民银行及其分支机构。
第三条 中国人民银行计算机安全管理工作的指导方针“预防为主,安全第一,依法办事,综合治理”。“预防为主”是计算机安全管理工作的基本方针。
第四条 中国人民银行计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。
第五条 中国人民银行计算机安全工作实行统一领导和分级管理。中国人民银行总行负责组织、协调、监督和检查全国银行计算机安全管理工作,中国人民银行各级分支机构负责辖区银行计算机安全管理工作。
第二章 计算机安全人员管理 第一节 人员基本要求
第六条 本规定所称计算机安全人员,是指中国人民银行科技部门计算机安全管理机构人员和专(兼)职计算机安全管理人员。
第七条 计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第八条 计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历,具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历,具备专科以上学历。
第九条 违反国家法律、法规和行业规章受到处罚的人员,不得从事计算机安全管理工作。
第十条 计算机安全人员应具有公安部门颁发的计算机安全培训合格证书,并获得中国人民银行颁发的《银行计算机安全检查证》证书。
第二节 人员配备与管理
第十一条 中国人民银行分行、省会(首府)城市中心支行计算机安全管理机构应配备必要的计算机安全管理人员;城市中心支行应配备专职计算机安全管理员;县(市)支行应配备专职计算机安全管理员或兼职计算机安全管理员。
第十二条 计算机安全人员的配备和变更情况,应向上一级行报告、备案。第十三条 计算机安全人员必须实行持证上岗制度。
第十四条 计算机安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及人民银行业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第三节 职责范围
第十五条 计算机安全管理机构的职责是:
(一)贯彻执行银行计算机安全管理工作领导小组的决议,指导、监督、协调和规范银行系统计算机安全工作;
(二)拟订计算机安全总体规划和计算机安全管理制度,并监督执行;
(三)跟踪先进的计算机安全技术,提出计算机安全防范策略;
(四)参与计算机系统工程建设中的安全规划,监督安全措施的执行;
(五)负责计算机安全专用产品的选型,组织计算机信息系统安全的评估和审批;
(六)组织辖内计算机安全检查,分析辖内计算机安全总体状况,提出安全分析报告和安全防范建议;
(七)组织辖内计算机安全知识的培训和宣传工作;
(八)配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查,打击金融计算机犯罪;
(九)加强与公安机关计算机安全职能部门、政府安全保密职能部门联系,并接受指导;
(十)及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第十六条 专(兼)职计算机安全管理员应履行以下职责:
(一)负责计算机安全管理的日常工作;
(二)开展计算机安全检查工作,对要害岗位人员安全工作进行指导;
(三)开展计算机安全知识的培训和宣传工作;
(四)监控计算机安全总体状况,提出安全分析报告;
(五)了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;
(六)及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第十七条 计算机安全人员在行使职责时,确因工作需要,经批准,可了解涉及银行计算机信息系统的机密信息。
第十八条 计算机安全人员发现本单位重大安全隐患,有权向上级机构计算机安全管理主管部门报告。
第十九条 计算机安全人员发现计算机信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。
第二十条 计算机安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
第四节 培训与教育
第二十一条 计算机安全人员应定期参加下列计算机安全知识和技能的培训:
(一)计算机安全法律法规及行业规章制度的培训;
(二)计算机安全基本知识的培训;
(三)计算机安全专门技能的培训。
第二十二条 计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三章 计算机信息系统要害岗位人员管理
第一节 人员管理
第二十三条 本规定所称计算机信息系统要害岗位人员,是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。
第二十四条 本规定所称重要计算机信息系统,是指涉及银行资金和金融秘密信息的计算机信息系统。
第二十五条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第二十六条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员不得兼任系统管理员;系统管理人员不得兼任柜面及事后稽核工作。
第二十七条 对要害岗位人员应实行年度强制休假制度和定期考查制度,并进行必要的安全教育和培训。
第二十八条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及人民银行业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第二十九条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第二节 安全责任
第三十条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。第三十一条 网络管理员安全责任
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。第三十二条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置“后门”;
(四)对系统核心技术保密。第三十三条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统功能;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。第三十四条 业务操作员安全责任
(一)严格执行系统操作规程和运行安全管理制度;
(二)不得向他人提供自己的操作密码;
(三)及时向系统管理员报告系统各种异常事件。
第三十五条 各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。
第四章 计算机机房安全管理 第一节 机房建设安全管理
第三十六条 机房安全建设和改造方案应通过上级保卫部门的安全审批。第三十七条 机房安全建设应通过上级保卫部门组织的安全验收。第三十八条 机房应按重要性进行分级管理,分级标准按有关规定执行。第三十九条 机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。第四十条 机房建设应当符合下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。
(四)机房应设专用的供电系统,配备必要的UPS和发电机。
第二节 机房运行安全管理
第四十一条 机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。
第四十二条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十三条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十四条 加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。
第四十五条 发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。
第五章 计算机网络安全管理
第一节 网络建设安全管理
第四十六条 网络建设方案应通过上级计算机安全主管部门的安全审批。第四十七条 网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。
第四十八条 网络建设应配备必要的安全专用产品。
第四十九条 网络建设中涉及网络安全的资料,应备案建档,统一管理。第五十条 网络建设应符合下列基本安全要求:
(一)网络规划应有完整的安全策略;
(二)能够保证网络传输信道的安全,信息在传输过程中不会被非法获取;(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段;(四)应具备必要的网络监测、跟踪和审计的功能;(五)应根据需要对网络采取必要的技术隔离措施;(六)能有效防止计算机病毒对网络系统的侵扰和破坏;(七)应具有应付突发情况的应急措施。
第二节 网络运行安全管理
第五十一条 重要网络设备应放置在主机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。
第五十二条 网管设备属专管设备,必须严格控制其管理员密码。第五十三条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。
第五十四条 改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。
第五十五条 与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第五十六条 网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员
第五十七条 有权单位使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。
第五十八条 网络扫描、监测结果和网络运行日志等重要信息应备份存储。
第五十九条 联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。
第六十条 严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。
第三节 接入国际互联网管理
第六十一条 内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。
第六十二条 凡要求接入国际互联网的计算机,须由使用部门提出申请,报本行安全保密委员会审批、备案。
第六十三条 经许可连接国际互联网的计算机,使用部门应报计算机安全管理机构备案。
第六十四条 经许可连接国际互联网的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。
第六十五条 国际互联网接入帐户和密码必须实行专人管理,并不定期更换密码。
第六十六条 从国际互联网上下载的任何信息资源,未经检测不得在银行内联网上使用。
第六十七条 各使用部门应自觉接受本行保密委员会和计算机安全工作领导小组的监督检查。
第六章 计算机信息系统建设安全管理
第一节 系统规划与立项的安全管理
第六十八条 计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。
第六十九条 计算机信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要计算机信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十条 重要计算机信息系统立项的安全管理实行审批制度。对项目管理部门初审合格的项目申报材料,计算机安全管理部门应进行安全性专项审查,提出审查意见后由项目管理部门最后审批。
第七十一条 项目申报材料在符合电子化项目管理规定有关要求的同时,还应包括以下与信息系统安全有关的内容:
(一)业务主管部门对保证业务正常开展的安全需求;
(二)系统的安全性指标;
(三)系统运行平台的安全性要求;
(四)系统采取的安全策略、安全保护措施及其安全功能设计;
(五)涉密信息系统的申报还应取得同级或上级保密部门的同意。
第七十二条 对没有通过计算机安全管理部门审查的项目,项目管理部门不得予以立项。
第二节 系统开发的安全管理
第七十三条 计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。
第七十四条 计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。
第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场隔离。
第七十六条 计算机信息系统开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。
第七十七条 计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。
第三节 系统安全的评估与审批
第七十八条 计算机信息系统投入运行前,应向计算机安全管理部门提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)填制的《银行计算机应用系统安全评估和审批报告书》。
第七十九条 计算机安全管理部门应当对计算机信息系统主管部门(单位)报送的书面材料进行初步审查。初审合格后,委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统的安全措施:
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十一条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并填制《银行计算机应用系统安全评估和审批报告书》。
第八十二条 计算机安全管理部门应对系统安全评估报告进行审查。对符合安全运行要求的,颁发《中国人民银行计算机信息系统安全许可证》。
第八十三条 计算机信息系统获得《中国人民银行计算机信息系统安全许可证》后方可投入运行。对不能保证安全运行的,经修改完善后另行申报评估。
第八十四条 对尚未经过安全审批但已经投入使用的计算机信息系统,计算机安全管理部门应要求其主管部门(单位)报送系统安全建设情况书面材料,并按照上述程序进行安全评估和审批。
第四节 系统使用与废止的安全管理
第八十五条 计算机信息系统投入使用时业务部门应当建立相应的操作规程和安全管理制度,以防止各类安全事故的发生。
第八十六条 计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作,保证系统安全运行。
第八十七条 对计算机信息系统在运行过程中出现的异常现象,以及有关安全制度在执行过程中出现的问题,操作人员有责任向部门领导和计算机安全管理机构报告。
第八十八条 计算机信息系统的使用部门应当加强对计算机系统运行环境的管理,加强对计算机病毒的防治,保证系统安全运行。
第八十九条 计算机信息系统的使用部门应当严格用户和密码(口令)的管理,严格控制各级用户对数据的访问权限。
第九十条 计算机信息系统应定期进行数据备份,对备份介质应按有关规定指定专人妥善保管,重要业务系统的备份介质必须异地保存。
第九十一条 重要计算机信息系统应当制定计算机安全保护的应急计划,保证业务的不间断运行。
第九十二条 重要计算机信息系统应严格执行保密管理的有关规定,确保国家秘密的安全。
第九十三条 对计算机信息系统使用部门及有关操作人员报告的安全问题,计算机安全管理部门应当认真受理并及时反馈处理意见。
第九十四条 计算机信息系统的废止实行备案制度,退出使用应向计算机安全管理部门报告并备案。
第九十五条 对废止的计算机信息系统,在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管。超过保存期限后需要销毁的,应在计算机安全管理部门的监督下予以不可恢复性销毁。
第七章 计算机信息系统运行安全管理
第一节 系统安全运行基本要求
第九十六条 计算机信息系统的使用部门应建立相应安全操作规程与规章制度。
第九十七条 计算机信息系统的运行场所应满足相应的安全等级要求。第九十八条 计算机信息系统应配备必要的计算机病毒防范工具。第九十九条 重要计算机信息系统应配备必要的备份设备和设施。
第二节 系统数据的安全管理
第一百条 计算机信息系统使用部门应按规定进行数据备份,并检查备份介质的有效性。
第一百零一条 使用部门应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号,并标明备份日期、密级及保密期限。
第一百零二条 使用部门应对备份介质妥善保管,特别重要的应异地存放,并定期进行检查,确保数据的完整性、可用性。
第一百零三条 使用部门应建立备份介质的销毁审批登记制度,并采取相应的安全销毁措施。
第一百零四条 重要计算机信息系统所用计算机设备的维修,应保证金融数据信息的完整性和安全性。在维修过程中不得泄露涉密金融数据信息。
第一百零五条 重要计算机信息系统使用的计算机设备更换或报废时,应彻底清除相关业务信息,并拆除所有相关的涉密选配件,由使用部门登记封存。
第三节 系统运行平台的安全管理
第一百零六条 系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
第一百零七条 系统管理人员应屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
第一百零八条 系统管理人员应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第一百零九条 系统管理人员应启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
第一百一十条 系统管理人员不得泄露操作系统、数据库的系统管理员帐号、密码。
第一百一十一条 联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,非系统管理人员不得修改。
第四节 口令密码、密钥安全管理
第一百一十二条 计算机信息系统要害人员的口令密码编制应具有一定的复杂性,对记录密码的载体应严格管理,确保其物理安全。第一百一十三条 计算机信息系统要害岗位人员的口令密码,应定期或不定期进行更换,独享使用,不得泄露。
第一百一十四条 应用密钥保障信息安全时,对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)应实施严格的安全保密管理。
第一百一十五条 密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。
第一百一十六条 密钥必须定期更换,对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档,并在安全管理负责人的严格监督下,由管理责任人定期销毁。
第一百一十七条 密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施,密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施,以防密钥丢失。
第五节 系统文档安全管理
第一百一十八条 网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档,由科技部门严格管理。
第一百一十九条 系统核心技术文档资料的外借应有审批手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体内容。
第六节 系统的安全监测
第一百二十条 安全人员要经常监测、分析计算机信息系统运行状况,发现异常情况应立即采取应对措施。
第一百二十一条 业务操作人员应审查业务处理结果,发现问题应及时查明原因。对不能确认的异常现象,必须向计算机安全管理部门报告。
第一百二十二条 对计算机信息系统安全运行的监测记录及其分析结果应严格管理,未经计算机安全工作领导小组许可不得对外发布或引用。
第七节 应急处理
第一百二十三条 中国人民银行及其分支机构应加强计算机安全防范意识,建立应急处理指挥体系,以指挥协调各职能部门能迅速进入应急处理程序。
第一百二十四条 中国人民银行及其分支机构应优化组合和配置应急技术人员及应急资源,集中使用,统一调度,以保证应急处理的高效性。
第一百二十五条 中国人民银行及其分支机构应制定重要计算机信息系统应急方案,明确岗位职责、人员分工以及应急处理程序。
第一百二十六条 中国人民银行及其分支机构应加强应急处理技能的培训和应急处理方案的演练。提高各岗位人员判断、处理问题的能力,验证应急处理程序的有效性。
第八节 重大安全事件处理
第一百二十七条 非法侵入、破坏计算机信息系统或利用计算机实施金融诈骗、盗窃、贪污、挪用公款的计算机犯罪案件以及造成不良社会影响的计算机安全事故,属重大安全事件。
第一百二十八条 确认计算机信息系统出现重大安全事件,必须果断采取控制措施,立即报告计算机安全工作领导小组并逐级如实上报计算机安全主管部门。
第一百二十九条 重大安全事件发生后,有关人员应保护事件现场,积极协助计算机安全事件的调查,做好善后处理工作。
第一百三十条 重大安全事件的处理情况,计算机安全管理机构必须写具书面材料,报告上级计算机安全主管部门。
第八章 计算机信息系统安全专用产品管理
第一节 安全专用产品的准入
第一百三十一条 本规定所称安全专用产品,是指用于保护计算机信息系统安全的专用软件、硬件产品。
第一百三十二条 安全专用产品准入工作由中国人民银行总行计算机安全管理部门组织实施。第一百三十三条 经审核准入的安全专用产品信息,由中国人民银行总行计算机安全管理部门发布。
第一百三十四条 安全专用产品在准入审核时,供应商应提出申请并提供下列资料:
(一)公安部颁发的安全专用产品销售许可证和其他必须的证明材料;
(二)产品型号、产地、功能及报价;
(三)产品采用的技术标准,产品功能及性能的说明书;
(四)生产企业概况(包括人员、设备、生产条件、隶属关系等);
(五)供应商的质量保证体系、售后服务措施等情况的说明。
第一百三十五条 安全专用产品有下列情形之一的,取消其准入资格:
(一)安全专用产品的功能已发生变化,但未通过检测的;
(二)经使用发现有严重问题的;
(三)不能提供良好售后服务的;
(四)国家有关部门取消其销售资格的。
第二节 安全专用产品的选型与购置
第一百三十六条 安全专用产品由中国人民银行总行组织选型,并选择准入范围内的产品。
第一百三十七条 安全专用产品的购置应统一规划,在中国人民银行总行选型范围内购置并逐级上报备案。
第一百三十八条 安全专用产品中的扫描、检测产品购置应经中国人民银行总行审批。
第三节 安全专用产品的使用管理
第一百三十九条 安全专用产品购置后,应按照电子化设备管理办法管理。第一百四十条 扫描、检测产品应专人专管,使用实行审批登记制度。第一百四十一条 安全专用产品在使用中,应监测生成的信息,对生成的信息应及时分析并作出分析报告。第一百四十二条 在监测中如发现重大问题,应立即采取相应控制措施并将有关情况逐级上报。
第一百四十三条 安全专用产品使用中产生的重要报告应备份存档,并按密级资料管理方式履行有关手续。
第一百四十四条 安全专用产品应及时进行升级和维护并登记备案。第一百四十五条 安全专用产品报废后,应报有关部门审批方可封存或销毁。
第一百四十六条 中国人民银行计算机安全管理部门必须对安全专用产品的使用情况进行定期检查。
第九章 奖励与处罚
第一百四十七条 执行本规定,计算机安全管理工作成绩突出的单位与个人,由上级行对其进行通报表彰,并给予一定形式的奖励。
第一百四十八条 违反本规定,造成重大安全事故或计算机犯罪的,根据有关部门法律法规,追究其主管领导、相关部门及其他直接责任人的责任。
第一百四十九条 违反本规定的单位与个人,由计算机安全管理部门通报批评。
第十章 附 则
第一百五十条 本办法由中国人民银行负责解释。第一百五十一条 本办法自发布之日起执行。
第二篇:中国人民银行对农村信用合作社贷款管理暂行规定
中国人民银行关于印发《中国人民银行对农村信用合作社贷款管理暂行规定》的通知 发布部门: 中国人民银行
发布文号: 银发[1997]17号
中国人民银行各省、自治区、直辖市、深圳、重庆分行:
经国务院领导同意,中国人民银行总行制定了《中国人民银行对农村信用社贷款管理暂行规定》。现印发给你们,请遵照执行。执行中如遇重要问题,请及时向总行报告。
附:
中国人民银行对农村信用合作社贷款管理暂行规定
第一条
为适应农村金融管理体制改革的需要,保证农村信用合作社(以下简称农村信用社)与农业银行脱离行政隶属关系后稳定、健康地发展,依据《中国人民银行对金融机构贷款管理暂行办法》,制定本规定。
第二条
本规定所称中国人民银行对农村信用社贷款,是指中国人民银行对经营管理型农村信用合作社联社(以下简称县联社)或农村信用社发放的贷款。
第三条
中国人民银行对农村信用社贷款管理实行总量控制、限额管理、划分权限、余额监控的办法。
总量控制,系指中国人民银行总行(以下简称总行)根据内货币总量调控目标和信贷政策以及农村信用社的信贷收支情况,确定内对农村信用社贷款的总量。
限额管理,系指总行根据本规定的贷款用途确定中国人民银行各省、自治区、直辖市分行(以下简称省级分行)对农村信用社贷款限额,并将限额指标下达给省级分行。
划分权限,系指省级分行只能将贷款限额指标下达到地市级分行,人民银行县支行作为贷款行,不得掌握限额指标,只负责对农村信用社贷款的初审和办理贷款手续。
余额监控,系指总行下达给省级分行的贷款限额,在内可以周转使用,并对限额实行按月监控、按季考核。
第四条
中国人民银行仅对县联社或农村信用社(以下统称借款人)以下三种用途发放贷款:
(一)国务院和各省、自治区、直辖市政府确定的贫困地区农村信用社用于支持农业生产的资金需要;
(二)农村信用社用于解决农业生产季节性原因所出现的先支后收的短期资金需要;
(三)农村信用社用于支付清算中出现的临时头寸资金需要。
第五条
借款人向中国人民银行申请贷款必须具备以下条件:
(一)及时、足额缴存存款准备金;
(二)备付金比例低于5%;
(三)按时报送统计、会计报表及人民银行贷款行要求的其他有关资料。
借款人申请本规定第 四条第一种用途的贷款,除应具备本条前款规定的条件外,还必须具备:农业贷款比例达到核定的比例;资金拆借无净拆出;
借款人申请本规定第 四条第二种用途的贷款,除应具备本条前两款规定的条件外,还必须具备:存贷款比例不超过核定的比例。
第六条
借款人向中国人民银行申请贷款,必须填写《中国人民银行贷款申请书》,说明借款用途、原因、期限及资金运用状况,并加盖有效印鉴。经人民银行贷款行审核同意后,借款人应与中国人民银行贷款行订立借款合同,办理借款手续。
中国人民银行对农村信用社贷款,在“其他金融机构贷款”科目下设账户,按借款人、期限、利率分别核算。
《中国人民银行贷款申请书》和借款合同由省级分行统一印制和管理。
第七条
中国人民银行对农村信用社贷款实行期限管理,贷款到期收回。贷款到期归还确有困难的,可申请展期一次,展期期限不得超过原借款期限。到期不办理还款或展期手续的,中国人民银行应将其贷款转入逾期贷款户,并按有关规定予以处罚。
第八条
本规定第 四条第一种用途的贷款期限为6个月以内(含6个月),第二种用途的贷款期限为3个月以内(含3个月),第三种用途的贷款期限仅限20天以内(含20天)。
对同一借款人发放贷款要有一定的间隔期。具体间隔期由省级分行确定。
第九条
中国人民银行对农村信用社贷款利率执行中国人民银行对金融机构贷款利率。
由县联社统借统还的,县联社对农村信用社执行中国人民银行对金融机构贷款利率,不得赚取利差。
第十条
省级分行要按月向总行报告贷款限额执行情况。对未经总行批准,擅自突破限额的分行,除责令其限期纠正外,并给予通报批评;情节严重的,按有关规定予以处罚。
第十一条
人民银行贷款行应当按照本规定的条件发放贷款,并对借款人使用贷款的情况进行监督和定期检查。对不按照本规定的条件发放贷款的,上级行要责令其限期纠正,并按有关规定予以处罚。
第十二条
借款人有下列情形之一的,中国人民银行应提前收回贷款,并按有关规定予以处罚:
一、向中国人民银行提供虚假报表和资料;
二、贷款申请不实;
三、贷款使用不符合申请用途;
第十三条
省级分行应根据本规定制定实施细则并报总行备案。
第十四条
本规定由中国人民银行负责解释。
第十五条
本规定自发布之日起执行
第三篇:计算机信息系统保密管理暂行规定
《计算机信息系统保密管理暂行规定》
(1998年2月26日国家保密局发布 国保发〔1998〕1号)
第一章 总 则
第一条 为保护计算机信息系统处理的国家秘密安全,根据《中华人民共和国保守国家秘密法》,制定本规定。
第二条 本规定适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。
第三条 国家保密局主管全国计算机信息系统的保密工作。各级保密部门和中央、国家机关保密工作机构主管本地区、本部门的计算机信息系统的保密工作。
第二章 涉密系统
第四条 规划和建设计算机信息系统,应当同步规划落实相应的保密设施。
第五条 计算机信息系统的研制、安装和使用,必须符合保密要求。
第六条 计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。第七条 计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密
第八条 计算机信息系统的访问应当按照权限控制、不得进行越权操作。未采取技术安全保密措施的数据库不得联网。
第三章 涉密信息
第九条 涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。
第十条 计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。
第十一条 国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。
第四章 涉密媒体
第十二条 存储国家秘密的计算机媒体,应按所存储信息的最高密级标明密级,并按相应密级的文件进行管理。
存储在计算机信息系统内的国家秘密信息应当采取保护措施。第十三条 存储过国家秘密信息的计算机媒体不能降低密级使用。不再使用的媒体应及时销毁。
第十四条 存储过国家秘密信息的计算机媒体的维修应保证所存储的国家秘密信息不被泄露。
第十五条 计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
第五章 涉密场所
第十六条 涉密信息处理场所应当按照国家的有关规定,与境外机构驻地、人员住所保持相应的安全距离。
第十七条 涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经管理机关批准无关人员不得进入。
第十八条 涉密信息处理场所应当定期或者根据需要进行保密技术检查。
第十九条 计算机信息系统应采取相应的防电磁信息泄漏的保密措施。
第二十条 计算机信息系统的其它物理安全要求应符合国家有关保密标准。
第六章 系统管理
第二十一条 计算机信息系统的保密应实行领导负责制,由使用计算机信息系统的单位的主管领导负责本单位的计算机信息系统的保密工作,并指定有关机构和人员具体承办。
各单位的保密工作机构协助本单位的领导对计算机信息系统的保密工作进行指导、协调、监督和检查。
第二十二条 计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。
第二十三条 各级保密部门应依照有关法规和标准对本地区的计算机信息系统进行保密技术检查。第二十四条 计算机信息系统的系统安全保密管理人员应经过严格审查,定期进行考核,并保持相对稳定。
第二十五条 各单位保密工作机构应对计算机信息系统的工作人员进行上岗前的保密培训,并定期进行保密教育和检查。
第二十六条 任何单位和个人发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告。
第七章 奖 惩
第二十七条 对在计算机信息系统保密工作中做出显著成绩的单位和人员应给予奖励。
第二十八条 违反本规定,由保密部门和保密机构责令其停止使用,限期整改,经保密部门、机构审查、验收合格后,方可使用。
第二十九条 违反本规定泄露国家秘密,依据《中华人民共和国保守国家秘密法》及其实施办法进行处理,并追究单位领导的责任。
第八章 附 则
第三十条 军队的计算机信息系统保密工作按军队的有关规定执行。
第三十一条 本规定自发布之日起施行。
第四篇:中国人民银行关于印发《银行计算机机房及柜面设备安全防护暂行规定》的通知
中国人民银行关于印发《银行计算机机房及柜面设备安全防护暂行规定》的通知
发文单位:中国人民银行 文
号:银发[2002]42号
发布日期:2002-2-9 执行日期:2002-2-9
第一章 总则
第二章 安全防护
第三章 人员安全管理
第四章 工程安全管理
第五章 突发事件处置
第六章 附则
中国人民银行各分行、营业管理部、省会(首府)城市中心支行,各政策性银行、国有独资
商业银行、股份制商业银行:
为加强银行计算机机房及柜面设备的安全防护,保障银行电子支付系统正常运转,确保银行资金和信息的安全,中国人民银行制定了《银行计算机机房及柜面设备安全防护暂行规定》,现印发给你们,请遵照执行。
请人民银行各分行、营业管理部、省会(首府)城市中心支行将本通知转发至辖区内城市商业银行。
银行计算机机房及柜面设备安全防护暂行规定
第一章 总则
第一条 为加强银行计算机机房及柜面设备的安全防护,预防金融计算机犯罪,保护银行信息和资金安全,依据《中华人民共和国计算机信息系统安全保护条例》等法规,制定本暂行规定。
第二条 中国人民银行、政策性银行、国有独资商业银行、股份制商业银行、城市商业银行的计算机机房和柜面设备安全防护,适用本暂行规定。
第三条 本规定所称银行计算机机房,是指容纳并集中运行银行计算机业务处理、管理信息或网络通信系统等的专用物理场所(以下简称机房);所称柜面设备,是指银行营业部门处理银行业务的计算机物理设备(以下简称柜面设备)。
第四条 机房及柜面设备安全防护遵循预防为主,“人防、物防和技防”相结合的原则。
第五条 机房及柜面设备安全防护实行谁主管谁负责。科技部门为机房和柜面设备安全防护的主管部门,负责对机房进行安全防护;保卫部门负责对机房安全防护进行监督、检查。
第二章 安全防护
第六条 机房依据《计算机场地安全要求》、《计算站场地技术条件》等标准实行分级保护。中国人民银行系统的机房划分为A、B、C三类防护级别。
第七条 机房内部实行分区防护,分区采用物理隔离方式。
A级机房划分核心区、生产区、辅助区、维修区、开发区,设置独立的值班室,并配备安全值班人员。A级机房禁止媒体录像、摄影。
B级机房划分核心区、生产区、辅助区、维修区。
C级机房划分生产区、辅助区。
核心区是指装有主计算机、主通信机、网络控制、通讯保密和系统打印机等设备的要害区域。核心区禁止人员单独进出。
生产区是指放置小型计算机、网络服务器、终端机(工作站)等设备的业务运行区域。生产区禁止系统开发人员进入,维护人员进入须由业务操作人员陪同。每日工作完毕后,要关闭终端设备。业务操作人员加班时,凭加班证进入。
辅助区是指旋转供电、消防、空调等设备的区域。
维修区是指设备测试室、维修工作室、备件库等区域。
开发区是指用于系统开发的计算机及终端室、设计室、培训室等区域。开发区禁止业务操作人员进入,非工作时间禁止任何人员进入。
第八条 各区分别实行不同的防护措施:
核心区实行24小时连续双向、双人同时进出的出入口控制、入侵报警和电视监控等措施。记录进出核心区人员及在岗时间;
生产区实行出入口控制、入侵报警和电视监控等措施。记录工作人员使用机房设备情况;
维修区实行出入口控制、入侵报警和报警驱动的电视监控措施;
辅助区实行出入口控制,入侵报警和报警驱动的电视监控措施;
开发区实行出入口控制措施。对使用生产系统资源进行开发的机房,开发区应实行生产区的安全保护措施。
第九条 柜面设备安全防护实行生产区防护措施。对有现金交易的柜面设备,应采取实时监控交易全过程的措施。
第十条 非营业时间无人值守的营业网点(自动银行除外),应实行入侵报警和报警驱动电视监控措施。
第十一条 非营业时间营业场所终端设备应中断与计算机网络系统的连接。
第十二条 机房应具备必要的防电子干扰、防电磁泄漏和密码管理等其他安全措施,并执行国家有关部门的规定。
第十三条 机房应具有消防、防雷击、防静电、防鼠害、防腐蚀、供电保护、接地保护等保护措施,并按照国家有关计算机站场地的安全要求和技术条件等标准执行。
第十四条 独立的大型信息中心、清算中心、网络中心和应急中心等,应建设周边监视和巡更系统。
第十五条 中国人民银行总行机房为A级防护;分行、营业管理部、省会(首府)城市及副省级城市中心支行机房为B级防护;地市中心支行、县级支行机房为C级防护。特殊情况下,可提高机房防护级别。
其他银行机房的防护级别参照中国人民银行机房的防护级别确定。
第三章 人员安全管理
第十六条 机房人员列为要害岗位人员管理,须经安全培训后方可上岗工作。
第十七条 机房人员应在指定的工作区域内从事授权活动,禁止在机房内从事非授权活动。
第十八条 安全值班人员的职责是负责安全设备的运行、维护和管理,并处置报警和突发事件。
第十九条 安全值班人员须经过培训和考核,按照机房技术防范系统要求操作,并定期测量设备技术参数,维护设备正常运转。
第二十条 出入口控制、入侵报警和电视监控设备运行资料应妥善保管,保存期限不少于3个月。销毁录像等资料应经单位主管领导批准后实施。
第二十一条 机房设立单人出入口(消防通道除外)。机房人员进出机房必须使用主管部门制发的证件。
第二十二条 证件分为长期证件、临时证件和专用证件三种。
长期证件发给授权进出机房的正式工作人员,并注明允许进出的区域。
临时证件发给经批准临时进出机房的人员,有效期不超过3天,并注明允许进出的区域。
专用证件发给安全值班人员和主管领导,平时密封保存,紧急情况时使用,一次有效,使用后登记使用原因。
第二十三条 机房人员因工作需要加班时,应提前将加班通知书送保卫部门,经批准后方可加班。
第二十四条 银行内部的非机房工作人员进入机房,须经机房负责人批准;银行外部人员进入机房,须经单位主管领导批准,并由主管部门人员陪同。
第二十五条 非经机房负责人批准,不得将机房使用的数据资料(包括磁带、磁盘和光盘等)带出机房,并做好相关记录。
第四章 工程安全管理
第二十六条 机房安全防护主管部门应依照“实用可靠、有效适度、经济节省和技术先进”原则制定机房安全技术防范工程的规划,并负责技术防范工程的建设和管理。
第二十七条 技术防范工程设计、施工单位应具有国家有关部门审查合格的资质,设计、建设应按照公开招标、投标方法进行。技术防范工程禁止转包。
第二十八条 技术防范工程设计方案应经主管部门审查、批准,工程图纸应妥善保存,设计人员不得以任何方式泄露技术防范工程的秘密。
第二十九条 技术防范工程建设应符合国家有关技术标准,并注意安全防护,防止泄密。
第三十条 机房技术防范工程竣工并经3个月以上试运行后,由主管部门组织验收。
第五章 突发事件处置
第三十一条 各银行应制定机房突发事件的应急处置预案,并定期进行演练。
第三十二条 机房发生计算机犯罪案件,应由机房使用单位报告保卫部门,保卫部门按照金融案件报告制度的有关规定,向公安机关和中国人民银行报告。
第三十三条 机房人员应积极配合、协助公安机关侦查计算机案件,保护案发现场,如实提供情况。
第六章 附则
第三十四条 中国人民银行批准成立的邮政储蓄机构、合作金融机构和非银行金融机构(证券、保险类除外)的计算机机房安全管理可参照本规定执行。
第三十五条 本规定由中国人民银行负责解释。
第三十六条 本规定自发布之日起执行。以前规定与本规定相抵触的以本规定为准。
中国人民银行
第五篇:区人民法院计算机局域网管理暂行规定
区人民法院计算机局域网管理暂行规定
本院各部门:
为加强本院计算机管理,充分发挥局域网在审判等各项工作中的服务保障作用,切实维护计算机网络信息安全,特制定本规定。
一、职能分工
1、办公室是本院计算机网络管理的主管部门,负责全院计算机局域网的技术管理和日常维护工作。
2、其他各部门根据本部门的职能职责,按照计算机管理部门和审判流程管理的要求,及时、准确、完整地将本部门的信息输入计算机。
二、计算机机房管理
1、计算机机房(以下简称机房)的网络设备包括服务器、交换机等重要设备,院办公室负责机房的安全管理和网络设备的正常运行和管理。
2、除网管技术人员外,其他人员未经许可,不得进入机房;确因工作需要进入机房,必须由网管人员陪同。
3、机房内严禁带入和存放各种易燃、易爆、易腐蚀物品;严禁吸烟和吃喝食物。
三、计算机管理、维护和使用
1、办公室负责管理协调各部门计算机的设备维修、软件维护和局域网的正常运转。
2、各部门计算机由本部门指定专人管理,设定密码,并负责日常开关、设备维护及卫生清洁,确保设备安全完整、正常运转。
3、各部门计算机仅对本院内部人员上班时开放,外来人员不得上机操作。如有特殊情况,须经办公室或分管院领导同意后方可上机。
4、各部门不得擅自变更、接入、移动院网络设备;各部门负责人为本部门计算机网络信息安全保密工作的第一责任人;未经分管院长批准,任何单位或个人的计算机不得擅自接入本院局域网。除办公室专设一台外网计算机外,其他部门和领导严禁将登陆局域网的计算机接入互联网,做到专机专用。
5、各部门要爱护机器,正确使用,不得随意删除软件或更改计算机内已设定的工作软件,未经网络管理员同意,严禁更改计算机的名称,ip地址,启动程序,cmos设置,更不准自行安装软件。
6、院里鼓励和支持全院干警运用计算机开展工作,防止工作上不用而工作外乱用现象发生。电脑中严禁过多载入游戏,凡因过多载入游戏而引起死机、病毒侵入等事件,院里要追究第一使用者的失职责任。为防止病毒感染传播,一般不准使用软盘进行资料拷贝,如确需使用,先用杀毒软件检查一遍,以保安全。过失损坏要照价赔偿,故意破坏者视情况处理,并照价赔偿。
7、从2006年7月15日起,院打字室原则上不再编打除办公室外各部门的文书文件材料,只负责印刷任务,其他部门可通过局域网共享或用磁盘拷贝至打字室进行文件输出。如确实需打字室编打的,须通过主管办公室院长批准方能打印。
8、如发生技术故障,硬件设备的损失(不含软件自身使用问题)应及时报告部门负责人,再由各部门统一报院办公室,由院办公室联系硬件销售商进行相应的处理。
四、数据信息的录入
计算机局域网信息录入的内容为立案管理、审判流程管理、办公管理、政工管理以及公共信息等。各部门应根据职能职责,明确与本部门相关的计算机信息录入要求,指定专门人员及时、准确、客观地录入信息。
1、办公室
档案管理:要按照档案管理办法及时归档登记造册;
本院发文:文书管理员要严格按照发文权限批准发文,未在网络上申请的文件一律不予编号。
计算机管理、财务收支情况、固定资产相关信息及时输入。
2、纪检监察
来信来访情况、机构人员应及时录入并自动生成报表。
3、政治处
人事信息及时录入、修改。
4、司法行政科
枪支弹药、车辆管理、审判庭管理。
5、审判部门
所有案件的相关信息要同步录入计算机,当天的信息应及时输入。
(1)立案庭应输入的信息:所有案件的案件基本表、案件附加信息、立案案由、立案登记(审查)信息、诉讼参与人信息、其他诉讼参与人信息、诉讼费信息(立案标的等应填写齐全,无诉讼费的除外)、立案移交信息、执行基本信息(仅指执行案件)、相关法律文书(仅指执行案件)。
其中诉讼参与人中的当事人详细信息应按照审判庭法律文书的不同要求对当事人逐个具体填写(姓名、性别、出生年月、民族、职务、职级、工作单位、住址等),不允许把数个当事人信息和在一起填写。
(2)案件移送业务庭后,业务庭庭长应及时用电脑分案,并完整输入承办人或合议庭成员、书记员信息。
(3)对不同性质的案件,承办人员及时准确输入规定信息。
五、保密和安全原则
根据国务院《计算机信息系统保密管理暂行规定》,涉密文件、信息不准上互联网公开发布。凡违反计算机管理规则发生泄密问题,由院纪检监察部门根据《保密法》的有关规定追究相关人员的责任。
六、本规定由院党组负责解释,自2006年6月15日起施行。
二00六年六月十五日
点击咨询 