各廳、局��、直屬單位����,武漢分行�、各代表處:
現(xiàn)將《國家開發(fā)銀行計算機信息系統(tǒng)安全保密暫行辦法》印發(fā)給你們�����,請認真組織學習���,并結(jié)合實際貫徹落實。
附:
國家開發(fā)銀行計算機信息系統(tǒng)安全保密暫行辦法
第一章 總則
第一條 國家開發(fā)銀行(以下簡稱本行)計算機應(yīng)用系統(tǒng)是本行信息和業(yè)務(wù)處理的核心技術(shù)手段���,為了保護本行計算機信息系統(tǒng)的安全�,特制定本辦法�。
第二條 本辦法所稱的計算機系統(tǒng),是指由計算機���、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)和配套的設(shè)備��、設(shè)施構(gòu)成的�。它是按照一定的應(yīng)用目標和規(guī)則對信息進行采集�����、加工��、存儲�����、傳輸、檢索等處理的人機系統(tǒng)���。
第三條 本辦法下列用語的含義:
計算機信息系統(tǒng)安全是指計算機信息系統(tǒng)的硬件、軟件�、網(wǎng)絡(luò)和數(shù)據(jù)的安全必須受到保護,不因自然的和人為的原因而遭到破壞�����、更改和丟失����,以保證計算機信息系統(tǒng)能連續(xù)正常運行。
計算機保密是指利用密碼技術(shù)對信息進行加密處理��,防止信息非法泄露�。
第四條 計算機信息系統(tǒng)的安全保密,應(yīng)當保障計算機��、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)的和配套的設(shè)備����、設(shè)施的安全�����,保障運行環(huán)境(機房)的安全�����,保障信息的安全���,保障計算機和網(wǎng)絡(luò)功能的正常發(fā)揮,防止和處理政治因素造成的失泄密����、人為或自然災害等造成的破壞,以及防止利用計算機犯罪等�。
第五條 在行電子化領(lǐng)導小組的領(lǐng)導下,電腦中心��、行保密辦主要負責行計算機信息系統(tǒng)安全保密工作�,辦公廳給予支持。
第六條 各有關(guān)廳局必須指定專人負責本單位有關(guān)信息系統(tǒng)的安全保密工作�����。其主要任務(wù)是:定期向電腦中心、行保密辦通報安全保密工作情況���;督促本單位安全保密措施的貫徹執(zhí)行���;組織安全保密檢查,進行安全保密教育��。
第七條 任何單位和個人����,不得利用我行信息系統(tǒng)從事危害我行利益的活動�����,不得危害我行信息系統(tǒng)的安全���。
第二章 計算機及網(wǎng)絡(luò)系統(tǒng)
第八條 購置設(shè)備要經(jīng)過周密調(diào)查����,慎重選型��;落實售后服務(wù)和軟�、硬件后援,嚴格驗收;對通信設(shè)備要特別考慮其保密性能�。
第九條 對引進的各種服務(wù)器,在應(yīng)用系統(tǒng)投入運行之前��,應(yīng)報請國家安全部門進行保密檢查�,系統(tǒng)運行期間,不得隨意更動系統(tǒng)配置����。
第十條 建立常規(guī)硬件系統(tǒng)維護管理制度,保持維護計算機和網(wǎng)絡(luò)�、設(shè)備、工具和資料處于良好狀態(tài)���,備件應(yīng)有庫存賬��,可隨時查閱�,并根據(jù)具體情況補充和更新�。防止重大事故,應(yīng)有應(yīng)急處理的措施��。
第十一條 操作人員必須進行必要的培訓���,并經(jīng)考試合格后方準持證上崗操作����。操作人員必須嚴格按規(guī)程進行操作。
第十二條 重要業(yè)務(wù)部門的實時應(yīng)用系統(tǒng)要求軟件�、數(shù)據(jù)有備份;有故障時的處理措施����;并應(yīng)對工作人員定期進行訓練和演習。根據(jù)具體情況�����,有計劃地安排配置備份機�。
第十三條 應(yīng)用系統(tǒng)在設(shè)計上嚴格控制涉密文件信息查詢檢索的人員范圍,嚴格管理用戶使用權(quán)限���。系統(tǒng)軟硬件一經(jīng)安裝、調(diào)試����、正式運行,未經(jīng)電腦中心許可�����,不得自行對其更改配置或移動位置。
第十四條 各廳局制定設(shè)備���、軟件管理細則�����,應(yīng)用軟件開發(fā)要嚴格按照我行有關(guān)規(guī)定執(zhí)行�,實現(xiàn)《國家經(jīng)濟信息系統(tǒng)設(shè)計與應(yīng)用系統(tǒng)標準規(guī)范》中的安全保密要求���。
第十五條 應(yīng)用系統(tǒng)版本的更改��、更新必須報電腦中心批準后由技術(shù)人員進行��。應(yīng)用系統(tǒng)的文檔資料���,無關(guān)人員一律不得查閱。
第十六條 傳輸秘密以上級別的信息時�����,通信兩端設(shè)備需在相應(yīng)安全環(huán)境中���,對所傳輸數(shù)據(jù)���,要采取加密措施���。
第三章 介質(zhì)(資料)的儲送
第十七條 對應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)或資料要按其重要性進行分類�����,對存放有關(guān)鍵或重要數(shù)據(jù)的介質(zhì)(資料)��,如會計賬���、計劃統(tǒng)計表格��,應(yīng)復制必要的份數(shù)����,并分別存放在不同的安全地方����,建立嚴格的保密保管制度��。
第十八條 保留在機房內(nèi)的介質(zhì)(資料)����,應(yīng)為系統(tǒng)有效運行所必需的最少數(shù)量��,除此之外����,不應(yīng)保留在機房內(nèi)��。
第十九條 存放機房內(nèi)的介質(zhì)(資料)應(yīng)該存放于防火���、防高溫�、防震��、防電磁場��、防靜電及防盜的房間或保險柜中�����。
第二十條 介質(zhì)(資料)庫��,應(yīng)設(shè)專人負責登記保管����,未經(jīng)批準�����,不得隨意提供介質(zhì)(資料)��。
第二十一條 在使用介質(zhì)(資料)期間��,應(yīng)嚴格按國家保密規(guī)定控制轉(zhuǎn)借或復制�����,需要使用或復制的須經(jīng)主管部門批準�。
第二十二條 對所有介質(zhì)(資料)應(yīng)定期檢查��,要考慮介質(zhì)的安全保存期限���,及時更新復制��。損壞����、廢棄或過時的介質(zhì)(資料)應(yīng)由專人負責處理���,秘密級以上的介質(zhì)(資料)在過保密期或廢棄不用時�,要及時銷毀�����。
第二十三條 機密數(shù)據(jù)處理作業(yè)結(jié)束時�����,應(yīng)及時清除存儲器����、聯(lián)機磁帶、磁盤及其他介質(zhì)上有關(guān)作業(yè)的程序和數(shù)據(jù)��,應(yīng)及時銷毀廢棄的打印紙�。
第四章 計算機及網(wǎng)絡(luò)系統(tǒng)的環(huán)境
第二十四條 機房環(huán)境的選擇,應(yīng)符合國家標準GB2887《計算機站場地技術(shù)要求》的有關(guān)規(guī)定���。機房主體結(jié)構(gòu)應(yīng)具有與其功能相適應(yīng)的抗震性�����、輻射屏蔽�、防水等級和耐火等級�。變形縫和伸縮縫等不應(yīng)穿過機房�����。機房應(yīng)設(shè)置齊全靈敏的水災��、滲漏水報警和足夠的滅火�����、排水系統(tǒng)��,應(yīng)設(shè)置靈敏的溫度���、濕度傳感器??照{(diào)的制冷能力需留有一定的余量并配有備用空調(diào)設(shè)備。中心機房應(yīng)配有獨立的供電��、變電設(shè)備���,供電功率需留有余量��。
第二十五條 機房選點盡量避開便于駐留無關(guān)人員的場所�����。
第二十六條 計算機系統(tǒng)設(shè)備場地��,應(yīng)具備應(yīng)急照明供電�����,應(yīng)急報警設(shè)施����,應(yīng)急安全斷電線路����。中心機房應(yīng)有若干設(shè)有明顯標志的疏散出口。
第二十七條 在計算機房���、辦公設(shè)施�、通訊及動力設(shè)施附近施工危害計算機信息系統(tǒng)安全的�,由電腦中心會同有關(guān)單位進行交涉。
第二十八條 制定機房出入管理制度���,對每個工作人員授予不同權(quán)限���,規(guī)定活動區(qū)域����。設(shè)立值班人員負責監(jiān)督制度的執(zhí)行和安全保衛(wèi)工作��。
第五章 安全保密制度
第二十九條 計算機信息系統(tǒng)的建設(shè)和應(yīng)用����,應(yīng)當遵守國家有關(guān)法律、行政法規(guī)和本行其他有關(guān)規(guī)定���。
第三十條 計算機信息系統(tǒng)實行安全等級保護�����。存儲國家秘密信息的計算機���,應(yīng)按所存儲信息的最高密級標明,并按相應(yīng)密級的文件進行管理�,采取相應(yīng)的保密措施。機密級及以上國家秘密信息不得進入計算機信息系統(tǒng)���。安全等級的劃分標準和安全等級保護的具體辦法由電腦中心����、辦公廳商國家有關(guān)部門制定。
第三十一條 計算機機房�����、辦公設(shè)施��、通訊及動力設(shè)施應(yīng)當符合國家標準和國家有關(guān)規(guī)定�。在上述設(shè)施附近施工�,不得危害我行信息系統(tǒng)的安全。因施工危害計算機信息系統(tǒng)安全的�����,由電腦中心會同有關(guān)單位進行交涉���。
第三十二條 未經(jīng)許可不得隨意使用調(diào)制解調(diào)器等設(shè)備與因特網(wǎng)聯(lián)網(wǎng)�,個別確因特殊工作需要的應(yīng)事先與電腦中心取得溝通并征得同意��。
第三十三條 攜帶或郵寄計算機介質(zhì)(資料)進出國家開發(fā)銀行的��,應(yīng)當如實向電腦中心申報���。
第三十四條 各廳局應(yīng)當自行建立健全安全管理制度�,負責本單位計算機信息系統(tǒng)安全保密工作。
第三十五條 對計算機信息系統(tǒng)中發(fā)生的案件�����,有關(guān)廳局應(yīng)在24小時內(nèi)向電腦中心��、行保密辦報告�。
第三十六條 對計算機病毒、我行電子信息系統(tǒng)的安全保密等方面研究工作���,由電腦中心和行保密辦歸口管理�����。
第六章 人員內(nèi)控管理
第三十七條 人員審查��。
人員的審查必須根據(jù)金融電子化系統(tǒng)所規(guī)定的安全等級來確定審查標準�。凡接觸系統(tǒng)安全三級以上信息系統(tǒng)的所有人員�����,必須按機要人員的條件進行審查��。
第三十八條 關(guān)鍵崗位人選。
對金融電子化系統(tǒng)的關(guān)鍵崗位人選��,如安全負責人��、系統(tǒng)管理員等����,不僅需要進行嚴格的政審,還要考核其業(yè)務(wù)能力����,以保證這部分人員可信可靠,勝任本職工作�。必要時要實行定期強制休假�����。
第三十九條 人員培訓���。
對在金融電子化系統(tǒng)上崗的所有工作人員��,均需由有關(guān)部門組織上崗培訓�����,包括計算機及網(wǎng)絡(luò)操作�、維護培訓,應(yīng)用軟件操作培訓�����,金融電子化系統(tǒng)安全課程及保密教育培訓�,經(jīng)培訓合格的人員持證上崗工作。對培訓不合格者或未參加培訓者���,嚴禁上崗工作���。
第四十條 人員考核。
人事部門要定期組織有關(guān)方面人員對金融電子化系統(tǒng)所有的工作人員從政治思想����、業(yè)務(wù)水平、工作表現(xiàn)���、遵守安全規(guī)程等方面進行考核���,對于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸金融電子化系統(tǒng)的人員要及時調(diào)離崗位,不應(yīng)讓其再接觸系統(tǒng)�����,對情節(jié)嚴重的應(yīng)追究其法律責任。
第四十一條 簽訂保密契約��。
對于所有進入金融電子化系統(tǒng)工作的人員�,均應(yīng)簽訂保密契約,承諾其對系統(tǒng)應(yīng)盡的安全保密義務(wù)��,保證在崗工作期間和離崗后均不得違反保密契約�����,泄漏系統(tǒng)秘密����。對違反保密契約的,應(yīng)有懲處條款����。對接觸機密信息的人員�����,應(yīng)規(guī)定在離崗后的多長時期內(nèi)不得離境���。
第四十二條 人員調(diào)離�。
對調(diào)離人員,特別是因不適合安全管理要求被調(diào)離的人員��,必須嚴格辦理調(diào)離手續(xù)�。進行調(diào)離談話,承諾其調(diào)離后的保密義務(wù)�,交回所有鑰匙及證件,退還全部技術(shù)手冊���、軟件及有關(guān)資料�����。更換系統(tǒng)口令和機要鎖���。自調(diào)離決定通知之日起,必須立即進行上述工作�,不得拖延。
第七章 操作安全管理
第四十三條 系統(tǒng)操作安全管理目標���。
系統(tǒng)操作是指金融電子化系統(tǒng)的人員開發(fā)��、操作���、維護���、管理電子化系統(tǒng)的行為或活動。金融電子化系統(tǒng)操作安全管理的目標是:
1.對系統(tǒng)管理及系統(tǒng)操作均應(yīng)進行有效的監(jiān)督或監(jiān)控�;
2.所有接觸系統(tǒng)的人員均應(yīng)承擔與其工作性質(zhì)相應(yīng)的安全責任。
第四十四條 操作人員分類���。
對金融電子化系統(tǒng)的操作人員����,應(yīng)根據(jù)確保金融電子化系統(tǒng)有限職責�����、有限使用授權(quán)原則進行分類�����。
1.一線生產(chǎn)系統(tǒng)操作�、管理人員��;
2.二線監(jiān)督系統(tǒng)操作�、管理人員�;
3.辦公自動化系統(tǒng)操作�、管理人員;
4.硬件維修人員���;
5.軟件開發(fā)����、維護人員�����;
6.系統(tǒng)分析人員�����;
7.系統(tǒng)稽核人員����、安全管理人員;
8.行政管理人員����。
系統(tǒng)開發(fā)人員與系統(tǒng)操作人員應(yīng)嚴格限定業(yè)務(wù)分工,不得交叉使用。
第四十五條 系統(tǒng)操作控制管理����。
1.應(yīng)按照分工負責、互相制約的原則制定各類系統(tǒng)操作人員的職責����,職責不允許交叉覆蓋。
2.各類人員在履行職責時要按規(guī)定行事��,不得從事超越自己職能以外的任何作業(yè)�,如操縱系統(tǒng)、更改數(shù)據(jù)等��。
3.一線生產(chǎn)系統(tǒng)和二線監(jiān)督系統(tǒng)進行系統(tǒng)維護����、復原、強行更改數(shù)據(jù)時���,至少應(yīng)有兩名操作人員在場�����,并進行詳細的登記及簽名�。
4.七類人員有權(quán)對一線生產(chǎn)系統(tǒng)和一類人員進行監(jiān)督與核查,但該過程必須履行必要的手續(xù)和按照一定的程序進行���。
5.應(yīng)為長期從事計算機工作的人員創(chuàng)造合適的人機工作環(huán)境。使他們享有相應(yīng)的勞動保護�����,定期進行專門體檢���,保持身心健康��。
第八章 安全保密監(jiān)督
第四十六條 電腦中心和行保密辦對計算機信息系統(tǒng)安全保密工作行使下列監(jiān)督職權(quán):
?��。ㄒ唬┍O(jiān)督、檢查�����、指導計算機信息系統(tǒng)安全保密工作�;
(二)檢查危害計算機信息系統(tǒng)安全的違規(guī)事件�;
(三)履行計算機信息系統(tǒng)安全保密工作的其他監(jiān)督職責����。
第四十七條 電腦中心和行保密辦發(fā)現(xiàn)影響計算機信息系統(tǒng)安全保密的隱患時�����,應(yīng)當及時通知使用單位采取安全保護措施�����,在緊急情況下��,有權(quán)直接先采取必要的措施���,然后再向領(lǐng)導報告,遇有重大問題���,可以要求召集行電子化領(lǐng)導小組成員會議商議對策����。
第九章 獎勵和懲處
第四十八條 違反本辦法的規(guī)定��,有下列行為之一的���,由行電子化領(lǐng)導小組處以警告或者停機整頓��,嚴重的應(yīng)依據(jù)《中華人民共和國保守國家秘密法》的有關(guān)條款進行處理并追究單位領(lǐng)導的責任���。
?���。ㄒ唬┻`反計算機信息系統(tǒng)安全等級制度�����,危害計算機信息系統(tǒng)安全的�;
?���。ǘ┎话凑毡巨k法規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的;
?����。ㄈ┙拥轿倚杏嘘P(guān)要求改進安全保密狀況的通知后��,在限期內(nèi)不予改進的���;
?。ㄋ模Ρ巨k法貫徹不力,造成事故隱患��,影響系統(tǒng)正常運行的���;
?����。ㄎ澹┻`反本辦法造成嚴重損失或造成重大失泄密的�。
第四十九條 對于引入計算機病毒以及其他有害數(shù)據(jù)危害計算機信息系統(tǒng)安全的�����,或者未經(jīng)許可使用計算機信息系統(tǒng)安全專用產(chǎn)品的單位和個人��,由電腦中心和行保密辦給予嚴肅處理����。
第五十條 凡是認真貫徹本規(guī)定要求,維護系統(tǒng)安全運行�,杜絕事故發(fā)生,防止失泄密成績顯著者�����,或迅速排除故障,恢復系統(tǒng)正常運行或減少損失者��,均應(yīng)視情況給予表揚或獎勵����。
第十章 附則
第五十一條 各廳局可以根據(jù)本辦法制定暫行細則,但應(yīng)報電腦中心和行保密辦備案��。
第五十二條 計算機病毒的防治工作屬本暫行辦法的重要內(nèi)容�����,具體按照《國家開發(fā)銀行防治計算機病毒規(guī)定》執(zhí)行�。
第五十三條 本辦法由電腦中心和行保密辦負責解釋���。
第五十四條 本辦法自發(fā)布之日起施行�����。
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
