第一篇:中国人民银行信息安全管理规定
中国人民银行关于印发《中国人民银行信息安全管理规定》的通知
银发[2005]第211号 2005年8月19日
人民银行各分行、营业管理部,省会(首府)城市中心支行:
现将修订后的《中国人民银行信息安全管理规定》印发你们,请遵照执行。执行中存在的问题,请及时向总行反馈。
《中国人民银行办公厅关于印发(中国人民银行计算机安全管理暂行规定)的通知》(试行)(银办发[2000]338号)同时废止。
附件:
中国人民银行信息安全管理规定
第一章 总 则
第一条 为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条 本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条 人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条 人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条 本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章 组织保障
第六条 各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决定本单位及辖内信息安全重大事宜。
第七条 各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条 除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章 人员管理
第九条 各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节 信息安全管理人员
第十条 各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。
第十二条 各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:
(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
(三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十三条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
第十四条 信息安全管理人员实行备案管理制度。信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节 部门计算机安全员
第十五条 各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案。如有变更应做好交接工作,并及时通报科技部门。
第十六条 部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第十七条 部门计算机安全员在如下职责范围内开展工作:
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节 技术支持人员
第十八条 本规定所称技术支持人员,是指参与人民银行网终、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十九条 人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第二十条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守人民银行相关安全规定与操作规程,关键操作应经授权,并有人民银行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十一条 本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
第二十二条 业务系统操作人员应承担如下安全义务:
(一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告科技部门。
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
第二十三条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十四条 本规定所称一般计算机用户是指使用计算机设备的所有人员。
第二十五条 一般计算机用户应承担如下安全义务:
(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门计算机安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。
(三)未经科技部门检测和授权,不得将接入人民银行内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入人民银行内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第四章 机房环境和设备资产管理
第一节 机房安全管理
第二十六条 本规定所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十七条 各单位机房的规划、建设、改造、运行、维护由科技部门负责,相关设备采购纳入政府集中采购。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。
第二十八条 各单位原则上只建设一个符合国家计算机机房有关标准和人民银行相关规定的计算机机房,为所有业务部门提供机房基础设施服务。
第二十九条 机房建设、改造的方案应报上一级科技部门备案。必要时,由上一级机构科技部门会同会计、保卫等部门进行审核。
第三十条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司,其中总行、分行、营业管理部、省会(首府)城市中心支行、计划单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上的资质同时具有三年以上专业从事计算机机房装修装饰经验的专业公司。重要机房建设或改造工程应引入监理制度。
第三十一条 总行、分行、营业管理部、省会(首府)城市中心支行应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第三十二条 各单位机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫与会计部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。
第三十三条 各单位应建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第三十四条 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。第二节 柜面和核心业务处理环境安全管理
第三十五条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。
第三十六条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保存至少三个月。
第三节 设备资产管理
第三十七条 各单位科技部门应建立完备的计算机设备登记制度,严格资产管理,明确计算机设备使用者或管理者及其安全责任。
第三十八条 各单位科技部门应根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划、建设中的安全管理
第三十九条 总行科技司负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。
第四十条 各单位科技部门按照总行科技司的统一规划和总体部署,组织实施网络建设、改造工程。各单位局域网的建设与改造方案应报上一级科技部门审核、备案,投产前应通过本单位组织的安全测试。
第四十一条 各单位的网络建设和改造应符合如下基本安全要求:
(一)符合人民银行网络安全管理要求,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪和审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
第二节 网络运行安全管理
第四十二条 各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
第四十三条 网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第四十四条 各单位科技部门应严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。
第四十五条 各单位科技部门应严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。
第四十六条 各单位应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技部门提出书面申请,并采取相应的安全防护措施。
第四十七条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经总行科技司授权,任何外部单位与人员不得检测、扫描人民银行内部网络。
第四十八条 各单位以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经总行科技司批准,不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第四十九条 本规定所称网间互联是指为满足人民银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。
第五十条 网间互联由总行科技司统一规划,按照相关标准组织实施。未经总行科技司核准,任何单位不得自行与外部机构实施网间互联。
第四节 接入国际互联网管理
第五十一条 人民银行内部网络与国际互联网实行安全隔离。所有接入人民银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
第五十二条 计算机接入国际互联网应通过本单位保密工作委员会办公室批准,并确保安装有人民银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网,并做好备案。曾接入人民银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技部门确保该计算机已删除敏感工作信息后方可实施接入。
第五十三条 未经科技部门安全检测,曾接入国际互联网的计算机不得直接接入人民银行内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
第五十四条 使用国际互联网的所有用户应遵守国家有关法律法规和人民银行相关管理规定,不得从事任何违法违规活动。
第六章 计算机系统安全管理
第五十五条 本规定所指的计算机系统是人民银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 计算机系统规划与立项
第五十六条 计算机系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足人民银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容:
(一)业务需求部门提出的安全需求。
(二)安全需求分析和实现。
(三)运行平台的安全策略与设计。
第五十七条 各单位科技部门负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 计算机系统开发与集成
第五十八条 计算机系统开发应符合软件工程规范,依据安需求进行安全设计,保证安全功能的完整实现。
第五十九条 计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。外部开发单位还应与人民银行签署相关知识产权保护协议和保密协议,不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。
第六十条 计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第六十一条 计算机系统开发、测试、修改工作不得在生产环境中进行。
第六十二条 涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 计算机系统运行
第六十三条 各单位计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下:
(一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技部门审查。
(二)计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定,报科技部门备案。
(三)科技部门应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施计算机系统漏洞扫描检测。
第六十四条 各单位科技部门应明确系统管理员,具体负责计算机系统的日常运行管理,并建立重要计算机系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第六十五条 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第六十六条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第六十七条 业务部门负责计算机系统用户和权限设定,科技部门根据授权进行相关设定操作。
第六十八条 业务操作人员严格按照安全操作规程进行业务操作、数据备份,并配合科技部门保障信息安全。一旦发现计算机系统运行异常及时向本部门领导和科技部门报告。
第六十九条 业务操作人员设置本人口令密码。重要计算机系统业务操作人员的密码应由业务部门领导和系统管理员分段设立。
第七十条 凡是能够执行录入、复核制度的计算机系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。
第七十一条 业务操作人员离开操作用机时,应按序退出计算机系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 计算机系统废止
第七十二条 实行计算机系统废止申报、备案制度。使用计算机系统的业务部门根据需要向科技部门提出废止申请,由科技部门组织进行安全检查后予以废止,同时备案。
第七十三条 对已经废止的计算机系统软件和数据备份介质,科技部门按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密工作委员会监督下予以不可恢复性销毁。
第七章 客户端安全管理
第七十四条 本规定所称客户端是指人民银行计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面终端、单机运行(哑)终端、远程接入终端、便携式计算机等。
第七十五条 各单位应建立完善的客户端管理制度,记录所有客户端设备信息和软件配置信息。
第七十六条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。
第七十七条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
第七十八条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品、服务管理
第一节 资质审查与选型购置
第七十九条 本规定所称信息安全专用产品,是指人民银行安装使用的专用安全软件、硬件产品。本规定所称信息安全服务,是指人民银行向社会购买的专业化安全服务。
第八十条 总行科技司负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由集中采购部门按照政府集中采购程序选购。
第八十一条 各单位购置扫描、检测类信息安全专用产品应报总行科技司批准、备案。
第二节 使用管理
第八十二条 各单位科技部门应建立信息安全专用产品登记使用制度,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。
第八十三条 各单位科技部门随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。
第八十四条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。
第八十五条 各单位科技部门应及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。
第八十六条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技部门或经科技部门授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 文档、数据与密码应用安全管理
第一节 技术文档
第八十七条 本规定所称技术文档是指人民银行网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
第八十八条 各单位科技部门负责将技术文档统一归档,实行借阅登记制度。未经科技部门领导批准,任何人不得将技术文档转借、复制和对外公布。
第二节 存储介质
第八十九条 各单位应建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。
第九十条 各单位应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。
第九十一条 各单位所有部门和个人应加强对移动存储设备(U盘、软盘、移动硬盘)的管理。
第九十二条 各单位应建立存储介质销毁制度,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第三节 数据安全
第九十三条 本规定中所称的数据是指以电子形式存储的人民银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第九十四条 各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技部门负责审核安全需求并提供一定的技术实现手段。
第九十五条 各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。
第九十六条 各单位科技部门系统管理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。
第九十七条 各单位业务部门应明确规定备份数据的保存时限和密级,建立备份数据销毁审批登记制度,并根据数据重要性级别分类采取相应的安全销毁措施。
第九十八条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第四节 口令密码
第九十九条 各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码,至少每三个月更换一次。口令密码的强度应满足不同安全性要求。
第一百条 敏感计算机系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交相关部门保管。未经科技部门主管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。
第一百零一条 各单位应根据实际情况在一定时限内妥善保存重要计算机系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百零二条 人民银行涉密网络和计算机系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据人民银行实际需求和统一安全策略,合理选择加密措施。
第一百零三条 各单位选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。
第一百零四条 各单位应建立严格的密钥管理体制,选择密码管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
第一百零五条 各单位应在安全环境中进行关键密钥的备份工作,并设置遇紧急情况下密钥自动销毁功能。
第一百零六条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包服务安全管理
第一节 第三方访问控制
第一百零七条 本规定所称第三方访问是指人民银行之外的单位和个人物理访问人民银行计算机房或者通过网络连接逻辑访问人民银行数据库和计算机系统等活动。
第一百零八条 各单位保密工作委员会负责涉密计算机系统和网络相关的第三方访问授权审批,各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经人民银行授权的任何第三方访问均视为非法入侵行为。
第一百零九条 允许被第三方访问的人民银行计算机系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
第一百一十条 获得第三方访问授权的所有单位和个人应与人民银行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露人民银行任何信息。
第二节 外包服务管理
第一百一十一条 本规定所称外包服务是指由人民银行之外的其他社会厂商为人民银行计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
第一百一十二条 经本单位科技部门领导批准,外包服务提供商可提供上门维护服务并由人民银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离人民银行。
第一百一十三条 计算机设备确需送外单位维修时,各单位科技部门应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 信息通报、灾难备份与应急管理
第一节 信息通报
第一百一十四条 各单位应按照人民银行信息安全事件报告制度进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报总行科技司。
第一百一十五条 重大信息安全事件发生后,各单位相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百一十六条 各单位应在重大信息安全事件发生后的两小时内按规定程序报上一级科技部门,由上级科技部门决定是否发布预警信息或启动辖内应急预案。
第二节 灾难备份管理
第一百一十七条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。
第一百一十八条 总行科技司将按照“统筹安排、资源共享、平战结合”的原则,负责人民银行重要信息系统灾难备份的统一规划、实施和管理。
第一百一十九条 总行业务司局负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。总行科技司据此确定灾难备份等级和备份方案。
第一百二十条 各单位应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由总行相关部门统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第三节 应急管理
第一百二十一条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。
第一百二十二条 在计算机系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。
第一百二十三条 各单位应制定和不断完善网络、计算机系统和机房环境等应急预案。预案的编制工作由相关业务部门和科技部门共同完成。
第一百二十四条 应急预案应包括以下基本内容:
(一)总则(目标、原则、适用范围、预案调用关系等)。
(二)应急组织机构。
(三)预警响应机制(报告、评估、预案启动等)。
(四)各类危机处置流程。
(五)应急资源保障。
(六)事后处理流程。
(七)预案管理与维护(生效、演练、维护等)。
第一百二十五条 各单位定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
第一百二十六条 各单位计算机安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。
第一百二十七条 总行办公厅负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全监测、检查、评估与审计
第一节 安全监测
第一百二十八条 各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要计算机系统和机房环境等设施的安全运行监测。
第一百二十九条 各单位科技部门应建立运行监测周报、月报或季报制度,报送本单位计算机安全工作领导小组和上一级科技部门,抄送相关业务部门。
第一百三十条 各单位要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第二节 安全检查
第一百三十一条 各单位科技部门应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互相或上级检查多种方式。
第一百三十二条 各单位在开展安全检查前应以安全管理制度为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。
第一百三十三条 各单位参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为人民银行内部材料妥善保管,不得向外界泄露。
第一百三十四条 各单位应将每次安全检查报告和整改落实情况整理汇总后报上一级科技部门备案。
第三节 安全评估
第一百三十五条 各单位科技部门可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内信息系统的安全评估。
第一百三十六条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技部门主管领导。
第一百三十七条 各单位如聘请第三方机构进行安全评估,应报总行科技司批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。
第一百三十八条 各单位应妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第四节 安全审计
第一百三十九条 各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。
第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配置管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
第十三章 奖励与处罚
第一百四十一条 各单位每年应组织一次本单位和辖内信息安全管理工作评比活动,对达标单位的相关人员应给予一定的奖励,对表现突出的单位和个人进行通报表彰并给予一定形式的奖励。
第一百四十二条 对于违反本规定,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百四十三条 人民银行之前发布的其他信息安全管理制度有关规定条款如与本规定不一致的,按本规定执行。
第一百四十四条 本规定自发布之日起执行。
第二篇:中国人民银行信息安全管理规定
中国人民银行信息安全管理规定
第一条 为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第一章 总则
第二条 本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条 人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条 人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条 本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章 组织保障
第六条 各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条 各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
人员的配备和变更情况应及时报上一级科技部门备案。信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节 部门计算机安全员
第十五条 各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案。如有变更应做好交接工作,并及时通报科技部门。
第十六条 部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第十七条 部门计算机安全员在如下职责范围内开展工作:
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节 技术支持人员
第十八条 本规定所称技术支持人员,是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十九条 人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问,未经业务主管部门授权不得擅自改变系统设臵或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处臵。
(三)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度,做好数据备份工作。
第四章 机房环境和设备资产管理
第一节 机房安全管理
第二十六条 本规定所称机房是指计算机系统等主要设备放臵、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十七条 各单位机房的规划、建设、改造、运行、维护由科技部门负责,相关设备采购纳入政府集中采购。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。
第二十八条 各单位原则上只建设一个符合国家计算机机房有关标准和人民银行相关规定的计算机机房,为所有业务部门提供机房基础设施服务。
第二十九条 机房建设、改造的方案应报上一级科技部门备案。必要时,由上一级机构科技部门会同会计、保卫等部门进行审核。
第三十条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司,其中总行、分行、营业管理部、省会(首府)城市中心支行、计划单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同时具有三年以上专业从事计算机机房装修装饰经验的专业公司。重要机房建设或改造工程应引入监理制度。
第三十一条 总行、分行、营业管理部、省会(首府)城市中心支行应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第三十二条 各单位机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫与会计部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。
第三十三条 各单位应建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
(二)具备必要的网络监测、跟踪和审计等管理功能。(三)针对不同的网络安全域,采取必要的安全隔离措施。
第二节 网络运行安全管理
第四十二条 各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配臵信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
第四十三条 网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第四十四条 各单位科技部门应严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。
第四十五条 各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配臵和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配臵参数的备份和应急恢复准备。
第四十六条 各单位应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技部门提出书面申请,并采取相应的安全防护措施。
第四十七条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经总行科技司授权,任何外部单位与人员不得检测、扫描人民银行内部网络。
第四十八条 各单位以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经总行科技司批准,不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应
项目技术方案应包括以下基本安全内容:
(一)业务需求部门提出的安全需求。
(二)安全需求分析和实现。
(三)运行平台的安全策略与设计。
第五十七条 各单位科技部门负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 计算机系统开发与集成
第五十八条 计算机系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整实现。
第五十九条 计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。外部开发单位还应与人民银行签署相关知识产权保护协议和保密协议,不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。
第六十条 计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第六十一条 计算机系统开发、测试、修改工作不得在生产环境中进行。
第六十二条 涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 计算机系统运行
第六十三条 各单位计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下:
(一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技部门审查。
(二)计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定,报科技部门备案。
(三)科技部门应提出明确的测试方案和测试报告审查意见。必
第七十三条 对已经废止的计算机系统软件和数据备份介质,科技部门按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密工作委员会监督下予以不可恢复性销毁。
第七章 客户端安全管理
第七十四条 本规定所称客户端是指人民银行计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面终端、单机运行(哑)终端、远程接入终端、便携式计算机等。
第七十五条 各单位应建立完善的客户端管理制度,记录所有客户端设备信息和软件配臵信息。
第七十六条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。
第七十七条 客户端应统一安装病毒防治软件,设臵用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
第七十八条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品、服务管理
第一节 资质审查与选型购臵
第七十九条 本规定所称信息安全专用产品,是指人民银行安装使用的专用安全软件、硬件产品。本规定所称信息安全服务,是指人民银行向社会购买的专业化安全服务。
第八十条 总行科技司负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由集中采购部门按照政府集中采购程序选购。
第八十一条 各单位购臵扫描、检测类信息安全专用产品应报总行科技司批准、备案。
第二节 使用管理
第八十二条
各单位科技部门应建立信息安全专用产品登记使用制度,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、1第九十一条 各单位所有部门和个人应加强对移动存储设备(U盘、软盘、移动硬盘)的管理。
第九十二条 各单位应建立存储介质销毁制度,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处臵并做好记录。
第三节
数据安全
第九十三条 本规定中所称的数据是指以电子形式存储的人民银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第九十四条 各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技部门负责审核安全需求并提供一定的技术实现手段。
第九十五条 各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。
第九十六条 各单位科技部门系统管理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。
第九十七条 各单位业务部门应明确规定备份数据的保存时限和密级,建立备份数据销毁审批登记制度,并根据数据重要性级别分类采取相应的安全销毁措施。
第九十八条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第四节
口令密码
第九十九条
各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设臵口令密码,至少每三个月更换一次。口令密码的强度应满足不同安全性要求。
第一百条
敏感计算机系统和设备的口令密码设臵应在安全的环境下进行,必要时应将口令密码笔录、密封交相关部门保管。未经科
3应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
第一百一十条 获得第三方访问授权的所有单位和个人应与人民银行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄漏人民银行任何信息。
第二节
外包服务管理
第一百一十一条 本规定所称外包服务是指由人民银行之外的其他社会厂商为人民银行计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
第一百一十二条 经本单位科技部门领导批准,外包服务提供商可提供上门维护服务并由人民银行科技人员在场准确记录所有技术配臵变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离人民银行。
第一百一十三条 计算机设备确需送外单位维修时,各单位科技部门应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 信息通报、灾难备份与应急管理
第一节 信息通报
第一百一十四条
各单位应按照人民银行信息安全事件报告制度进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报总行科技司。
第一百一十五条 重大信息安全事件发生后,各单位相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百一十六条 各单位应在重大信息安全事件发生后的两小时
(一)(二)
(三)(四)
(五)(六)
(七)总则(目标、原则、适用范围、预案调用关系等)。应急组织机构。
预警响应机制(报告、评估、预案启动等)。各类危机处臵流程。应急资源保障。事后处理流程。
预案管理与维护(生效、演练、维护等)。
第一百二十五条 各单位定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
第一百二十六条 各单位计算机安全工作领导小组统一负责各业务系统的应急协调与指挥,决策重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。
第一百二十七条 总行办公厅负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全监测、检查、评估与审计
第一节 安全监测
第一百二十八条 各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要计算机系统和机房环境等设施的安全运行监测。
第一百二十九条 各单位科技部门应建立运行监测周报、月报或季报制度,报送本单位计算机安全工作领导小组和上一级科技部门,抄送相关业务部门。
第一百三十条 各单位要及时预警、响应和处臵运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第二节 安全检查
7管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。
第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配臵管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
第十三章
奖励与处罚
第一百四十一条 各单位每年应组织一次本单位和辖内信息安全管理工作评比活动,对达标单位的相关人员应给予一定的奖励,对表现突出的单位和个人进行通报表彰并给予一定形式的奖励。
第一百四十二条 对于违反本规定,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章
附 则
第一百四十三条 人民银行之前发布的其他信息安全管理制度有关规定条款如与本规定不一致的,按本规定执行。
第一百四十四条 本规定由总行负责解释。第一百四十五条 本规定自发布之日起执行。
第三篇:中国人民银行货币押运安全管理规定
中国人民银行货币押运安全管理规定
发布部门: 中国人民银行 发布文号: 银发[2000]368号
第一条 为规范中国人民银行货币押运安全管理工作,防范和制止危害货币押运的违法犯罪行为,提高处置突发事件的应变能力,确保发行基金和职工人身安全,根据有关法律法规,制定本规定。本规定所称货币押运特指汽车运输。
第二条 中国人民银行货币押运的安全管理由各级保卫部门负责。总行重点库、分库及副省级城市中心支库、印钞造币厂武装押运人员由驻勤武警部队担任,安全管理由保卫部门负责组织协调驻勤武警部队、货币金银、行政后勤服务部门共同实施;地(市)中心支行已建立运钞中心的由运钞中心负责运钞安全的组织协调工作。尚未建立运钞中心的,运钞安全管理由保卫部门负责协调货币金银、行政后勤服务部门共同组织,武装押运人员由人民银行保卫干部及专职押运人员担任。
第三条 货币押运安全管理中各部门的主要职责:
(一)保卫部门负责发行基金、金银、有价证券、银行重要凭证、损伤券等免检物品从出库装车到卸货入库、损伤券销毁现场的安全警戒及运输全程的武装押运,处置运钞途中突发事件。
(二)货币金银部门负责办理调拨出入库手续和账务核算,清点出入库免检物品,协助保卫部门做好押运安全工作。
(三)行政后勤服务部门负责押运的后勤保障工作。
各部门要按照职责分工各负其责,密切协作,统一行动。
第四条 各级行根据上级行库主任及本行库主任签发的调拨命令执行货币押运任务。非紧急情况下,本省区调拨命令应于执行押运任务一日前下达,跨省区调拨命令应于执行押运任务三日前下达。
第五条 执行押运任务,要成立押运领导小组,由一名行领导(或由行领导指定的负责人)带队,具体负责押运工作的统一指挥。已建立运钞中心的地(市)中心支行,由运钞中心负责运钞途中的统一指挥。
第六条 各级行要制定押运途中各种紧急情况的处置预案,平时要经常组织演练。在较固定的运钞线路上,要与当地的人民银行或金融机构、公安机关、治安联防建立联系,遇有突发情况时可及时救援。执行临时线路的运钞任务时,要事先了解途经地区的社会治安、道路交通情况,做好相应的准备工作。
第七条 由武警部队承担押运任务时,部队与银行保卫人员的比例为2∶1;地市中心支行执行押运任务,必须配备两名以上的保卫干部、专职押运人员。
第八条 执行押运任务要使用性能良好、厢体封闭的运钞车,必须配备护卫车。护卫车日常管理由保卫部门负责。
第九条 执行押运任务要配备有效的通讯器材,保证联络畅通。
第十条 执行押运任务,武装押运人员按规定登记领取武器弹药,押运工作结束后,立即交回并注销(见附表1)。
第十一条 运钞免检通行证由保卫部门负责管理。运钞免检通行证要一车一证,车证相符,执行任务时登记领取,运钞任务完成后立即交回并注销(见附表2)。
第十二条 运钞车严禁携带非免检物品,严禁搭乘无关人员。
第十三条 参加押运的人员必须严格遵守下列押运工作纪律。
(一)不得向无关人员泄露押运工作的有关情况;
(二)不得在公开场合和用外部电话谈论押运工作的有关情况;
(三)不得中途随意下车或单人行动;
(四)不得在执行任务时饮酒。
第十四条 运钞车必须按照事先确定的路线行驶,途中不准随意停车。遇有特殊情况要改变行车路线时,需经带队领导批准后执行。
第十五条 押运途中因就餐等原因必须停车时,要避开繁华市区和社会治安复杂的地段,停车时要有武装押运人员警戒。
第十六条 执行押运任务的武器必须随身携带,防止被盗、丢失、走火等案件、事故的发生。遇有紧急情况需使用枪支时,按照中国人民银行、公安部《关于银行守库、押运人员在执行任务中使用武器的规定》((85)银发字369号)执行。
第十七条 参加押运的人员在执行押运任务途中要自觉遵守交通法规,遇公安等部门要求检查时,应主动出示运钞免检通行证并说明情况,防止发生冲突。
第十八条 对持有免检通行证的运钞车内物品确需检查时,由公安机关、人民银行共同组织进行,其他部门无权检查。检查程序按照中国人民银行、公安部《关于做好银行运钞安全管理的通知》(银发(1999)439号)执行。
第十九条 执行长途运钞任务,运钞车需在外过夜时,要事先与人民银行当地分支行联系存放事宜,接收存放的人民银行分支行要积极协助做好安全保卫工作,保证免检物品、车辆和押运武器的安全。
第二十条 押运工作结束后,认真做好押运登记和小结(见附表3)。
第二十一条 对认真执行本规定,切实履行职责,及时制止危害国家财产和职工生命安全的违法犯罪行为,使国家财产和职工生命安全免受损失的单位和个人,可以由本级或上级行予以表彰。
第二十二条 对违反本规定,导致发生事故和案件的,按规定给予有关责任人行政处分;构成犯罪的,依法追究刑事责任。
第二十三条 其他有关规定与本规定相抵触的,以本规定为准。
第二十四条 本规定由中国人民银行负责解释、修订。
第二十五条 本规定自发布之日起施行。
第四篇:信息安全管理规定
信息安全管理规定
目 录
1.1.1信息安全管理规定...................................................2
一、总则........................................................2
二、适用范围....................................................2
三、职责........................................................2
四、管理规定....................................................2
五、信息安全风险评估............................................6
六、附则........................................................7 1.1.2.计算机病毒防范管理规定........................................8 1.1.3信息系统管理制度.................................................11
一、业务主管职责...............................................11
二、系统管理员具体职责:.......................................12
三、系统管理员操作管理制度.....................................12
四、系统管理员备份管理制度.....................................13
五、软件管理制度...............................................13
六、数据管理制度...............................................14
七、系统维护管理制度...........................................15
八、档案及数据管理制度.........................................16 1.1.4中心机房管理规定.................................................18
一、机房人员日常行为准则.......................................18
二、机房安全制度...............................................18
三、机房用电安全制度...........................................19
四、机房消防安全制度...........................................19
五、机房硬件设备安全使用制度...................................20
六、软件安全使用制度...........................................21
七、机房资料、文档和数据安全制度...............................22
八、机房财产登记和保护制度.....................................22
九、机房巡检制度...............................................22
信息安全管理规定
1.1.1信息安全管理规定
一、总则
为加强公司管理处计算机信息体系资产安全的保护,保障公司信息化体系连续可靠正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际网管理暂行规定》和相关行政法规,结合公司管理处实际状况,特制订本规定。
二、适用范围
本规定适用于公司管理处所有员工,所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。
三、职责
3.1技术保障部负责本规定的制订和修订。3.2各级部门主管负责本规定在本部门的落实。
3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。
四、管理规定 4.1电子产品资产管理
4.1.1公司所有办公电脑(含笔记本电脑)与相关电子产品属公司资产,任何部门及个人无权侵占、挪为私用。4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配,并发放给对应的使用人员,资产挂靠人有该资产使用权,同时需承担保管义务,任何遗失、人为破坏行为,需按照资产折旧值赔偿。4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具,任何人无权利用其做个人经营或工作无关事宜,一经发现提报人力资源部据公司相关规定处分。4.1.4未经许可,不得擅自使用他人电脑,所有用户需设置5分钟密码屏保,以确保离开后电脑不被他人使用。4.1.5人员离职、调岗时,请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料,接收、重新分配电脑。4.2账号及密码安全管理
4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任,未经上级主管审批,不得将自己的账号及密码告诉其他人,造成损失者,对账户及密码拥有人员酌情处分。
4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责,并定期修改密码;密码需统一登记在册,并及时更新,由技术保障部经理负责,出现重大泄露事件,对部门经理及相关责任人处分。4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码,统一由市场营销部门对应岗位负责。
4.2.4因工作需要,在政府或第三方机构等网站注册的账号、密码,分别由各责任部门自行负责。
4.2.5具有信息系统权限的人员离职、调岗时,必须由技术保障部会签离职、调岗相关单据,以及时处理相关权限。4.3计算机系统安全管理
4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控,特殊岗位因工作需要开通权限,需经申请批准后由技术保障部执行,任何未经批准擅自更改者视情节严重性进行处分。4.3.2未经技术保障部备案许可,严禁擅自安装自带软件,私自安装软件造成的版权纠纷,将由个人承担全部相关法律责任。
4.3.3公司所有办公电脑严禁安装游戏、工作无关软件,技术保障部不定期检查,对并违规行为做通报。4.4网络及应用系统安全管理
4.4.1任何部门和个人,不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动,不得利用国际互联网制作、复制、查阅和传播违法信息,任何利用公司网络所作的违法行为属个人行为,将全部由个人承担相关法律责任,公司将配合相关部门严厉查处。4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的;
4.4.1.2捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动,违者全部由个人承担相关法律责任,并视情节严重性请相关部门追究法律责任。4.4.2.1故意制作、传播计算机病毒等破坏性程序的; 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的;
4.4.2.3其他故意危害公共网络、公司网络安全的行为。4.4.3 电脑IP地址是公司网络管理的最重要基础,公司所有办公电脑(含笔记本电脑)由技术保障部统一分配IP地址,任何部门或个人无权擅自修改IP地址。
4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。
4.4.5不得在公司内部安装、使用网络代理软件,以扰乱网络管理机制。
4.4.6技术保障部需定期检查、通报公司网络使用状况,并对违规者申请处分。4.5信息资料安全管理
4.5.1公司所有信息资料属公司资产,各部门与个人有义务承担本部门或个人信息资料的保密责任,并对所辖机密资料的安全承担连带责任。
4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制,并定期检查、更新。
4.5.3未经批准,不得把本部门机密资料放置在公共网络、内部不受限共享夹、或以其他任何方式发送给受限范围以外的人员;任何有意、无意的泄密行为都是公司严厉禁止的,直至追究法律责任。
4.5.4对于部分有备份安全需求的部门,可申请由技术保障部统一安排部署备份服务器及备份机制。4.6中心机房安全管理
详见《公司管理处中心机房管理规定》。4.7计算机病毒防范
详见《公司管理处计算机病毒防范管理规定》 4.8监控资料安全管理
4.8.1监控资料调阅管理部门为技术保障部,安防监控录像调阅请参照综合管理部相关规定。
五、信息安全风险评估 5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当的内容。
六、附则
6.1本规定由技术保障部负责解释。
1.1.2.计算机病毒防范管理规定
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本制度。
二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
三、任何工作人员不得制作和传播计算机病毒。
四、任何工作人员不得有下列传播计算机病毒的行为: 故意输入计算机病毒,危害计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。
五、预防和控制计算机病毒的安全管理工作,由技术保障部负责实施管理。其主要职责是
制定计算机病毒防治管理制度和技术规程,并检查执行情况; 采取计算机病毒安全技术防治措施;
对计算机信息系统使用人员进行计算机病毒防治教育和培训; 及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录,评估事故损失,保护现场并向公安机关报告。
六、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。
七、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。
八、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
九、通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
十、积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。
十一 现对日常使用计算机做出如下建议 及时安装系统补丁。建议使用系统自带的更新程序进行系统更新,不要使用诸如360安全卫士或qq电脑管家进行更新 安装杀毒软件。可以安装360等免费杀毒软件。
定期扫描系统是否感染有病毒,3天左右一次,可以在下班前或中午吃饭的时候进行全盘病毒查杀。定期更新防病毒软件。
不要乱点击链接和下载软件,目前许多下载网站都带有推广链接,很容易造成误操作.如需要下载软件,请到正规官方网站上下载.不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页.不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征.关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度.安装软件时,切记不要安装其捆绑软件,尤其是部分流氓软件,一旦安装,想要卸载十分麻烦,甚至于需要重装系统才能清除.不要随意执行附件中的可执行文件,一般以.com,.exe.bat作为后缀名 这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于这些可执行程序附件都必须检查,确定无异后才可使用。不要随意打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档,首先要用另存为命令(Save As)保存到本地硬盘,待用病毒查杀软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或 Excel,如有附件中有病毒则会立刻传染;如有是否启用宏的提示,那绝对不要轻易打开,否则极有可能感染上邮件病毒。
不要直接运行附件 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害,或经过扫描之后打开。
邮件设置如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择工具菜单中的选项命令,在安全中设置附件的安全性为高;在其他中按高级选项按钮,按加载项管理器按钮,不选中服务器脚本运行。最后按确定按钮保存设置。
外来U盘、移动硬盘、光盘等最好在装有杀毒软件的电脑上查毒确认无病毒后再打开、执行、拷贝。1.1.3信息系统管理制度
一、业务主管职责
财务、综管、营销、运营等重点业务主管,负责协调本业务范围内信息系统的总体运行工作。具体职责包括:
1、负责本部门信息化岗位的设定和分配,结合本部门情况确定每个岗位的职责;
2、分配每一岗位人员操作权限,以书面形式通知系统管理员;
3、根据本单位的实际情况,总结系统存在的问题,并提出改进的建议;
4、研究本单位的需求,对信息系统提出新需求或升级的请求;
二、系统管理员具体职责:
1、负责系统软件、硬件及数据库的安装与升级;
2、负责系统软件、硬件及数据库所有技术问题,保障系统正常运行;
3、负责服务器的硬软件资源分配,监控网络的运行;
4、负责数据的备份与备份的恢复工作;
5、负责公司用户权限的分配管理工作,做好数据的保密工作;
6、负责组织信息系统的培训工作;
三、系统管理员操作管理制度
1、操作人员(包括专业维护人员)必须严格按照操作权限操作,不得越权操作。每次操作应记录相应的操作日记,日记包括操作时间、执行命令等。
2、操作人员离开系统时,应退出系统或进行系统封锁。
3、管理员每周应检查数据备份情况,每月应将其刻录成光盘。
4、系统管理员变动前必须办理交接手续,经接管人员或监交人员与系统管理员双方签字确认,作为档案存档。
四、系统管理员备份管理制度 具体内容包括:
(1)管辖范围内的服务器地址分布;
(2)网络服务器口令、数据库超级口令、公司信息系统管理员口令;
(3)每年的历史数据备份,本年的所有的数据备份;(4)系统培训资料;(5)系统维护记录本;
(6)所有版本的公司信息系统软件;(7)所有版本的数据库管理系统软件;(8)其他应交接的内容。
(9)对交接内容应进行相应的测试,以确保交接质量。一旦交接,接替人员或监交人员应立即更换所有口令,并开始承担系统管理员的所有工作。
五、软件管理制度
1、信息系统功能改动时,应对其功能改动部分进行认真测试研究,确定新增功能的用法,防止工作的盲目性。
2、公司在组织软件的升级工作时,一般应在同一个会计期间内一次性更换所有在用软件,升级前应通知各用户,并对功能更动部分加以说明。
3、要严格保护所有在用软件的版权,包括网络、数据库、操作系统、软件等。严禁将软件以任何形式出售、转让或赠送给该范围以外的任何单位或个人。
4、各单位要制定具体的防病毒措施。所有来历不明的媒体介质在使用前必须经过病毒检测,对所有在用计算机尤其是 NT 服务器必须定期进行病毒检测。使用网络的单位要严防病毒通过网络传播,办公用计算机不能装入各种游戏软件。
六、数据管理制度
1、信息系统的数据管理是指数据不丢失、不损毁、不向无关人员泄露、不被非法修改,保障数据的安全要从技术和管理两个方面着手,做好安全保密工作。
2、要经常对系统中的数据进行备份,以便在计算机发生故障时可将数据恢复到最近状态。数据备份的目标是防止任何时间发生的硬、软件故障以及人为失误造成的数据损毁,因此原则上要求在发生业务的当天都进行备份。具体备份模式为:
(1)每天在服务器上作一数据备份,(2)每周作一个异地备份,每月制作一份数据光盘;(3)每年年末制作双备份, 存储于不同的地点。
3、对备份的数据应加强管理,防止被非法拷贝或毁坏。
4、采取各种措施来保障上网数据的安全性。要严密控制好数据库及其服务器的口令,控制好各用户的口令。
七、系统维护管理制度
1、系统维护管理是指为保障系统正常运行而进行的对硬件、网络、数据库、操作系统、软件及相关办公自动化软件进行的安装、修正、更新版本、扩展、备份等操作以及对软件应用模式的设计及实施工作。系统的维护管理工作由系统管理员或由系统管理员授权的专业维护人员负责进行。未经系统管理员授权的人员不得进行系统维护操作。
2、未经系统管理员许可,不得在公司信息系统服务器上安装其它硬、软件,不得改变系统的运行环境。
3、系统运行时,应获得充分的维护保障。系统发生影响正常运行的故障时,系统理员应及时给予处理。属于系统优化或不影响正常业务流程的问题,系统管理员应进行合理的预计,提前规划,制定实施方案以确保系统的平稳运行。
4、系统运行中出现故障或出现不明意义的提示时,操作人员应保护现场,及时与系统管理员联系。由于操作人员擅自处理故障而引起的后果由操作人员自己负责。
5、系统管理员在不能直接排除故障并且没有替代解决方案,应请求上一级部门系统管理员或专业维护人员的技术支持。
6、要建立系统管理维护记录本实行系统维护记录制度。对故障的发生时间、表现、解决办法及结果等进行详细的记录,并由维护人员或系统管理员签字。系统管理维护记录本的登记要条理清楚、时间准确,字迹工整。
7、对于两个以上的系统维护管理人员应进行合理的分工,充分发挥系统管理员的作用,不断加强系统维护的技术保障,逐步形成一套有效的系统维护管理体制。
八、档案及数据管理制度
1、公司信息系统档案包括:(1)数据库备份资料 ;(2)软件升级前的数据库备份;
(3)打印输出的经过盖章签字的会计资料;
(4)每年一次的经系统管理员签字的系统管理维护记录本存档;
(5)所有版本的系统、网络、数据库、软件;(6)软件的开发文档、源程序;(7)其他应该存档的资料或数据。
2、打印输出的凭证、报表、帐簿等各种会计资料的保存按财政部《会计档案管理办法》 执行。数据库的备份要永久保留。以胶片、磁、光等介质保存的数据的档案应按照有关规定保存在温湿度适宜、阳光不直射,并且不能被损害的场所。
3、以磁介质存储的数据应定期更换新的介质进行再拷贝。
4、本章未及内容按照财政部《会计档案管理办法》 执行。附件:补丁更新记录台帐、数据备份登记台帐、服务器等设备维护登记表、档案移交登记表的样本。
1.1.4中心机房管理规定
为进一步做好公司信息化管理工作,提高精细化管理水平,降低办公费用消耗,确保公司网络通讯系统的畅通,按照公司《信息安全管理规定》,特制订中心机房管理规定。
本规定适用于中心机房的管理,机房工作人员要认真遵守,并作为日常行为规范。
一、机房人员日常行为准则
1.1必须注意环境卫生。禁止在机房内抽烟、吃食物、随地吐痰,保持机房无尘洁净环境。
1.2机房用品要各归其位,不能随意乱放,不许堆放杂物。注意检查机房的防晒、防水、防潮,维持机房环境通爽,保证机房的适当温度和适度。
1.3中心机房每周清扫一次,物品要摆放整齐,保持安静清洁的工作环境。
二、机房安全制度
2.1禁止带领与机房工作无关的人员进出机房,建立机房准入制度,凡进入机房人员必须得到技术保障部经理允许,并进行登记(格式见《公司管理处机房出入登记表》),由技术保障部人员全程陪同。
2.2未经主管领导批准,禁止将密码、信息外借透露给其它人员,同时有责任对信息保密。对于泄露信息的情况要及时上报,并积极主动采取措施保证机房安全。2.3重点做好机房防火、防水、防潮湿、防干燥、防短路、防断路、防老鼠、防盗、防高温,出现机房盗窃、破门、火警、水浸、110报警等严重事件时,网络信息工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
2.4工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护的状态。
三、机房用电安全制度
3.1机房工作人员应学习常规的用电安全操作知识,了解机房内部的供电、用电设施的操作规程。掌握机房用电应急处理步骤、措施、要领。定期检查供电、用电设备、设施。
3.2机房不得乱拉乱接电线及用电设备。如发现用电安全隐患,应及时采取措施解决,不能解决的必须及时向主管领导汇报。
3.3在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
3.4在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作,启动应急设备,或及时关闭计算机系统。
四、机房消防安全制度
4.1机房管理人员应熟悉机房内部消防安全操作规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。4.2工作人员要保护消防设备不被破坏。如发现消防安全隐患,应及时采取措施解决,不能解决的应及时向相关负责人员提出解决。
4.3最后离开机房的工作人员,应检查消防设备的工作状态消防器材的完好,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房硬件设备安全使用制度
5.1机房人员必须熟知机房内设备的基本安全操作规则。应定期检查、整理硬件物理连接线路,定期检查硬件运作状态。
5.2禁止随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5.3对影响到全公司的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。对重大设备设置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
5.4不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,需要主管领导同意后才能进行。
5.5要注意和落实硬件设备的维护保养措施。
六、软件安全使用制度
6.1必须定期检查软件的运行状况、定期进行数据和软件日志备份。
6.2禁止在工作服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
6.3对会影响到全局的软件更改、调试等操作应发布通知,并且应有充分时间、方案、人员准备,才能进行软件配置的更改。对重大软件配置的更改,应先形成方案文件,经过讨论确定可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
七、机房资料、文档和数据安全制度
7.1资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其他无关人员或向外随意传播。
7.2对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房工作人员代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
7.3重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
八、机房财产登记和保护制度
8.1机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须履行借取和归还登记手续。
8.2机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
8.3未经主管领导同意,不允许向他人外借提供机房设备和物品。
九、机房巡检制度 9.1机房工作人员每日对中心机房按照《机房巡检标准》进行巡检
第五篇:信息安全管理规定
信息安全管理规定
2010 年我公司建立并实行质量、环境、职业健康“三标”整合型管理体系的第一年。作为涵盖研发和生产制造企业,信息安全化建设同等重要,公司领导也高度重视。院四标体系的建设,特别是信息安全体系的建设,是安全管理工作的重要组成部分。按公司的要求工作中信息安全要逐步做到制度化、常态化。在领导的统一指导和推进下,边学习边实践,将信息安全意识贯彻到每一个员工的工作中。一:通过开展多种形式的信息安全宣传,提高员工安全意识 安全意识是信息安全的第一道防线,信息安全管理要想做好,提高全体员工的安全意识是关键。为此,我认为公司相关部门和责任人要认真策划,在公司内部进行了大量的信息安全相关的宣传工作。这些宣传要达到效果,就不能是枯燥的,喊口号式的宣传,而应该喜闻乐见,生动活泼,结合实际,便于操作。为此,我们可以制作了形象生动的海报在公司内部宣传栏进行张贴;针对广大员工对信息安全应该如何做的困惑,编写 “信息安全实用操作手册”的方式发给公司员工等,让信息安全意识在全体员工中逐步形成。
二、通过组织各类检查,督促员工把自身的信息安全工作做好 为确保切实增强全体员工的安全意识和安全行为习惯,光靠宣传还不够。公司成立信息安全的管理工作组,主要领导担任管理者代表,设置专职安全员和各部门安全责任人和安全员,在公司内部组织信息安全的内部检查工作,检查不拘泥于形式,明确检查的项目内容,比如:首先检查公司内所有内网机。通过检查一方面是摸清公司内网机情况,另一方面就是通过检查对公司所有内网机进行一次安全加固,确保内网机的信息安全。通过检查,所有内网机在帐号、口令、机器补丁、网络和服务、日志审核等方面进行加固等。其次扩大一些范围 检查包括公司所有的内外网终端及服务器等。因为覆盖面广,工作量大,检查可以采取信息安全的检查工具——漏洞扫描仪来进行自动检查。检查之前并未通知各部门,可以说这次检查结果真实的反映了公司当时内外网机的信息安全情况。检查结束后,检查组根据检查结果对问题机器下发了整改通知,并给出具体的整改意见。整改结束后又进行了一次扫描检查,其三是采取自查和抽查相结合的方式。自查时间、自查内容及加固方法通过邮件方式群发给公司员工。在自查期结束后,信息安全工作组再制定了抽查计划,各部门按一定比例抽查内外网机,并对发现问题的机器现场进行加固整改工作。这样通过一次次的检查,让公司的员工开始养成了良好的工作习惯,如设置强登录口令、禁用Guest 帐户、及时升级系统补丁、设置自动屏保、关闭自定义共享等。
三、加强信息安全相关的设施管理 1)安全存储介质的统一管理
根据院移动介质使用管理规定的精神,我们制定了切实可行的安 全移动介质管理方案。安全移动存储介质由信息中心统一制作好后,由公司负责统一编号并进行登记发放工作。员工在申领安全存储介 质时需要进行申请审批,公司安全员定期对安全存储介质做好查检清点工作,确保每一个发放出去的安全移动介质能够追溯到责任人。员工离职时,安全员负责安全移动介质的收回工作。2)服务器的统一安全管理
整合后的公司设置了专门的服务器室,要求各部门的服务器进行 统一集中存放管理。为加强管理,公司设置了服务器室管理员,编制 了服务器室管理规定,对出入和内部日常环境安全进行统一管理。建 立了服务器台帐,每台服务器都落实到部门和责任人。另外,对于有时发生的非计划停电,对公司的服务器造成一定冲击,可能造成服务器硬件损坏的情况可采取UPS电源的措施,即使短时间停电,服务器正常工作不受影响。3)内外网机的统一接入管理
在内外网机管理方面,公司设置了专人负责对内外网机接入进行 管理,包括内外网机的申请、员工离职注销、变更以及内网机的桌面 安装等。对公司的内外网机,建立了完整的内外网机清单,在我们进 行工具设备进行内外网机扫描检查时,能帮助我们很快定位到问题机 器。
以上是我对公司在信息安全管理及体系建设方面开展工作的一些建议,希望我们能摸着石头过河,工作开展具有可行性和实用性,把公司的信息安全防护工作做好。