單位信息安全保障制度及管理辦法

1、單位信息安全保障制度及管理辦法第一章  總 則第一條 *計算機(jī)信息系統(tǒng)是全縣農(nóng)村信用社發(fā)展各項(xiàng)業(yè)務(wù)的核心技術(shù)手段，為了保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，根據(jù)中華人民共和國保守國家秘密法、計算機(jī)信息系統(tǒng)保密暫行規(guī)定等法律、法規(guī)制訂本辦法。第二條 本辦法所稱的計算機(jī)信息系統(tǒng)，是指由計算機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)信息以及其相關(guān)配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對數(shù)據(jù)信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。第三條 本辦法下列用語的含義。計算機(jī)信息系統(tǒng)安全是指計算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)和數(shù)據(jù)的安全必須受到保護(hù)，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計算機(jī)信息系統(tǒng)

2、能連續(xù)正常運(yùn)行。計算機(jī)信息系統(tǒng)保密是指對涉及*商密的包括但不限于計算機(jī)信息系統(tǒng)的軟件、硬件、系統(tǒng)數(shù)據(jù)信息、技術(shù)開發(fā)文檔、管理及操作規(guī)定、自有知識產(chǎn)權(quán)產(chǎn)品等資料、信息保守秘密，包括利用密碼技術(shù)對信息進(jìn)行加密處理，防止信息非法泄露，保障*的利益。第四條  計算機(jī)信息系統(tǒng)的安全保密，指保障計算機(jī)、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)的和配套的設(shè)備、設(shè)施的安全，保障運(yùn)行環(huán)境（機(jī)房）的安全，保障信息的安全，保障計算機(jī)和網(wǎng)絡(luò)功能的正常發(fā)揮，防止工作或政治因素造成的失密、泄密，防止人為或自然災(zāi)害等造成的破壞，以及防止利用計算機(jī)犯罪等。第五條 *計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)導(dǎo)小組（以下簡稱“計算機(jī)安全領(lǐng)導(dǎo)小組”）的領(lǐng)導(dǎo)下，

3、科技部門按相關(guān)管理規(guī)定，負(fù)責(zé)計算機(jī)信息系統(tǒng)安全保密工作。第六條  *（以下簡稱“*”）各部室必須指定專人負(fù)責(zé)本部門有關(guān)信息系統(tǒng)的安全保密工作，其主要職責(zé)是：（一）定期向*保密委報告安全保密工作情況；（二）督促本部門安全保密措施的貫徹執(zhí)行；（三）組織安全保密檢查；（四）進(jìn)行安全保密教育。第七條 任何單位和個人，不得利用計算機(jī)網(wǎng)絡(luò)系統(tǒng)從事或危害農(nóng)村信用社利益的活動，不得危害計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。第二章 計算機(jī)及網(wǎng)絡(luò)系統(tǒng)第八條 設(shè)備選型、購置須經(jīng)充分論證，做好驗(yàn)收，對密鑰、密碼、參數(shù)等信息應(yīng)做好接交保管，網(wǎng)絡(luò)設(shè)備要特別關(guān)注其保密性能。第九條 購入的計算機(jī)網(wǎng)絡(luò)安全設(shè)備，必須經(jīng)國家有關(guān)部門進(jìn)行

4、安全、保密認(rèn)證，系統(tǒng)運(yùn)行期間，不得隨意更改其系統(tǒng)配置。第十條  建立常規(guī)硬件系統(tǒng)維護(hù)管理制度，保持維護(hù)計算機(jī)和網(wǎng)絡(luò)設(shè)備、工具和資料處于良好狀態(tài)，備件應(yīng)有庫存帳，可隨時查閱，并根據(jù)具體情況補(bǔ)充和更新。防止重大事故，應(yīng)有應(yīng)急處理的措施。第十一條 各級操作人員必須進(jìn)行必要的安全保密培訓(xùn)，在職責(zé)范圍內(nèi)嚴(yán)格按相關(guān)操作規(guī)程進(jìn)行操作。第十二條  應(yīng)用系統(tǒng)軟件、數(shù)據(jù)應(yīng)有備份；有故障時能及時采取措施進(jìn)行處理，并應(yīng)對工作人員定期進(jìn)行訓(xùn)練和演習(xí)。第十三條  應(yīng)用系統(tǒng)在設(shè)計上嚴(yán)格控制涉密文件信息查詢、檢索的人員范圍，嚴(yán)格管理用戶使用權(quán)限。系統(tǒng)軟硬件一經(jīng)安裝、調(diào)試、正式運(yùn)行，各部（室）、*

5、、*未經(jīng)*科技部門許可，不得自行對其更改配置。第十四條 制定設(shè)備、軟件管理細(xì)則，應(yīng)用軟件開發(fā)要嚴(yán)格按照有關(guān)規(guī)定執(zhí)行。第十五條 計算機(jī)操作（或應(yīng)用）系統(tǒng)版本的更新、升級須擬出方案，應(yīng)用系統(tǒng)須經(jīng)過嚴(yán)測試，憑更新、升級方案和測試報告，經(jīng)科技部門負(fù)責(zé)人批準(zhǔn)后由系統(tǒng)維護(hù)人員進(jìn)行，應(yīng)用系統(tǒng)的文檔資料，無關(guān)人員一律不得查閱。第十六條 傳輸秘密以上級別的信息時，通信兩端設(shè)備需在相應(yīng)安全環(huán)境中，對所傳輸數(shù)據(jù)，要采取加密措施。第三章 介質(zhì)、資料的管理第十七條  應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)（磁性存儲介質(zhì)、電子存儲介質(zhì)、光存儲介質(zhì)等）或資料（紙質(zhì)文檔、電子文檔、程序等）要按其重要性進(jìn)行分類，對存放有關(guān)鍵或重要

6、數(shù)據(jù)的介質(zhì)和資料，應(yīng)復(fù)制必要的份數(shù)，并分別存放在不同的安全地方，建立嚴(yán)格的保密保管制度。第十八條 保留在機(jī)房內(nèi)的介質(zhì)或資料，應(yīng)為系統(tǒng)有效運(yùn)行所必需的最少數(shù)量，除此之外，不應(yīng)保留在機(jī)房內(nèi)。第十九條 存放介質(zhì)、資料的庫房，必須設(shè)有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設(shè)施。第二十條  介質(zhì)（資料）庫，應(yīng)設(shè)專人負(fù)責(zé)登記保管，未經(jīng)批準(zhǔn)，不得向第三方提供。第二十一條 系統(tǒng)內(nèi)有關(guān)人員在使用介質(zhì)（資料）期間，應(yīng)嚴(yán)格按國家相關(guān)保密規(guī)定進(jìn)行控制，不得轉(zhuǎn)借或復(fù)制，需要使用或復(fù)制的須經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)。第二十二條 庫房保管人對所有介質(zhì)（資料）應(yīng)定期檢查，根據(jù)介質(zhì)的安全保存期限，及時更新復(fù)制。損壞

7、、廢棄或過期的介質(zhì)（資料）應(yīng)由專人負(fù)責(zé)處理，秘密級以上的介質(zhì)（資料）在超過保密期或廢棄不用時，要及時銷毀。第二十三條  機(jī)密數(shù)據(jù)處理作業(yè)結(jié)束時，應(yīng)及時清除存儲器、聯(lián)機(jī)磁帶、磁盤及其它介質(zhì)上有關(guān)作業(yè)的程序和數(shù)據(jù)，應(yīng)及時銷毀廢棄的打印紙。第四章  計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境第二十四條  機(jī)房環(huán)境的選擇，應(yīng)符合國家標(biāo)準(zhǔn)GB2887計算機(jī)站場地技術(shù)要求的有關(guān)規(guī)定。機(jī)房主體結(jié)構(gòu)應(yīng)具有與其功能相適應(yīng)的抗震性、輻射屏蔽、防水等級和耐火等級；變形縫和伸縮縫等不應(yīng)穿過機(jī)房；機(jī)房應(yīng)設(shè)置齊全靈敏的火災(zāi)、滲漏水報警和足夠的滅火、排水系統(tǒng)，應(yīng)設(shè)置靈敏的溫度、濕度傳感器；空調(diào)的制冷能力需留有一定

8、的余量并配有備用空調(diào)設(shè)備。中心機(jī)房應(yīng)配有獨(dú)立的供電、變電設(shè)備，供電功率需留有余量。第二十五條  機(jī)房選點(diǎn)盡量避開便于駐留無關(guān)人員的場所。第二十六條 計算機(jī)系統(tǒng)設(shè)備場地，應(yīng)具備應(yīng)急照明供電；應(yīng)急報警設(shè)施，應(yīng)急安全斷電線路。第二十七條  在計算機(jī)房、辦公設(shè)施、通訊及動力設(shè)施附近施工危害計算機(jī)信息系統(tǒng)安全的，由*會同有關(guān)單位進(jìn)行交涉。第二十八條 制定機(jī)房出入管理制度，對每個工作人員授予不同權(quán)限，規(guī)定活動區(qū)域。設(shè)立值班人員負(fù)責(zé)監(jiān)督制度的執(zhí)行和安全保衛(wèi)工作。第五章 安全保密制度第二十九條  計算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守國家有關(guān)法律、行政法規(guī)和*其它有關(guān)規(guī)定。第三十條

9、 計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。存儲國家秘密信息的計算機(jī)，應(yīng)按所存儲信息的最高密級標(biāo)明，并按相應(yīng)密級的文件進(jìn)行管理，采取相應(yīng)的保密措施。機(jī)密級及以上國家秘密信息不得進(jìn)入計算機(jī)信息系統(tǒng)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法由省清算中心制定。第三十一條 計算機(jī)機(jī)房、辦公、防雷、消防、通訊及供配電設(shè)施應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)和國家有關(guān)規(guī)定。在上述設(shè)施附近施工，不得危害計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。因施工危害計算機(jī)信息系統(tǒng)安全的，由相關(guān)部門與施工單位進(jìn)行交涉。第三十二條 要求接入國際互聯(lián)網(wǎng)的計算機(jī)，由使用部門提出申請，經(jīng)科技部門按規(guī)定審核后，報分管領(lǐng)導(dǎo)審批。第三十三條 攜帶或郵寄計算機(jī)介質(zhì)（資料）的，應(yīng)當(dāng)如實(shí)

10、向*計算機(jī)安全領(lǐng)導(dǎo)小組申報。第三十四條 對計算機(jī)信息系統(tǒng)中發(fā)生的案件，應(yīng)按規(guī)定及時向*及相關(guān)部門報告。第三十五條  聯(lián)網(wǎng)計算機(jī)應(yīng)定期進(jìn)行查、殺病毒操作，發(fā)現(xiàn)計算機(jī)新病毒，應(yīng)按照規(guī)定及時向*計算機(jī)病毒防治工作小組報告。第六章  人員內(nèi)控管理第三十六條  人員審查。人員的審查必須根據(jù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)所規(guī)定的安全等級來確定審查標(biāo)準(zhǔn)。凡接觸系統(tǒng)安全三級以上信息系統(tǒng)的所有人員，必須按機(jī)要人員的條件進(jìn)行審查。第三十七條 關(guān)鍵崗位人選。對計算機(jī)信息系統(tǒng)的關(guān)鍵崗位人選，如安全負(fù)責(zé)人、系統(tǒng)管理員等，不僅需要進(jìn)行嚴(yán)格的政審，還要考核其業(yè)務(wù)能力，以保證這部分人員可信可靠，能勝任本職工作。

11、關(guān)鍵崗位人員要實(shí)行定期強(qiáng)制休假制度。第三十八條  人員培訓(xùn)。計算機(jī)信息系統(tǒng)上崗的所有工作人員，均需由有關(guān)部門組織上崗培訓(xùn)，包括計算機(jī)及網(wǎng)絡(luò)操作、維護(hù)培訓(xùn)、應(yīng)用軟件操作培訓(xùn)、計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全課程及保密教育培訓(xùn)，經(jīng)培訓(xùn)合格的人員持證上崗。第三十九條 人員考核。人事部門要定期組織有關(guān)方面人員對計算機(jī)網(wǎng)絡(luò)系統(tǒng)所有的工作人員從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面進(jìn)行考核，對于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸計算機(jī)網(wǎng)絡(luò)系統(tǒng)的人員要及時調(diào)離崗位，不應(yīng)讓其再接觸系統(tǒng)，對情節(jié)嚴(yán)重的應(yīng)追究其法律責(zé)任。第四十條  簽訂保密協(xié)議。對于所有進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)工作的人員，

12、均應(yīng)簽訂保密契約，承諾其對系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統(tǒng)秘密。對違反保密契約的，應(yīng)有懲處條款。對接觸機(jī)密信息的人員，應(yīng)規(guī)定在離崗后的多長時期內(nèi)不得離境。第四十一條 人員調(diào)離。對調(diào)離人員，特別是因不適合安全管理要求被調(diào)離的人員，必須嚴(yán)格辦理調(diào)離手續(xù)。進(jìn)行調(diào)離談話，承諾其調(diào)離后的保密義務(wù)，交還所有鑰匙及證件，退還全部技術(shù)手冊、軟件及有關(guān)資料。更換系統(tǒng)口令和用戶名。自調(diào)離決定通知之日起，必須立即進(jìn)行上述工作，不得拖延。第七章 操作安全管理第四十二條  系統(tǒng)操作安全管理目標(biāo)。系統(tǒng)操作是指對計算機(jī)信息系統(tǒng)開發(fā)、操作、維護(hù)、系統(tǒng)管理等人員的行為或活動

13、。全縣農(nóng)村信用社計算機(jī)信息系統(tǒng)操作安全管理的目標(biāo)是：（一）對系統(tǒng)管理及系統(tǒng)操作均應(yīng)進(jìn)行有效的監(jiān)督或監(jiān)控；（二）所有接觸系統(tǒng)的人員均應(yīng)承擔(dān)與其工作性質(zhì)相應(yīng)的安全責(zé)任。第四十三條 計算機(jī)操作人員分類。對計算機(jī)信息系統(tǒng)的操作人員，應(yīng)根據(jù)計算機(jī)信息系統(tǒng)有限職責(zé)、有限使用授權(quán)原則進(jìn)行分類。（一）營業(yè)網(wǎng)點(diǎn)操作員、管理人員。（二）事后監(jiān)督系統(tǒng)操作員、管理人員。（三）辦公自動化系統(tǒng)操作、管理人員。（四）網(wǎng)絡(luò)及硬件維護(hù)人員。（五）系統(tǒng)運(yùn)行維護(hù)人員。（六）中心系統(tǒng)管理人員。（七）安全管理人員。第四十四條 系統(tǒng)操作控制管理。（一）應(yīng)按照分工負(fù)責(zé)、互相制約的原則制定各類系統(tǒng)操作人員的職責(zé)，職責(zé)不允許交叉覆蓋。（二）各

14、類人員在履行職責(zé)時要按規(guī)定行事，不得從事超越自己職責(zé)以外的任何操作。（三）在對生產(chǎn)系統(tǒng)和監(jiān)督系統(tǒng)進(jìn)行系統(tǒng)維護(hù)、恢復(fù)、強(qiáng)行更改數(shù)據(jù)時，至少應(yīng)有兩名操作人員在場、并進(jìn)行詳細(xì)的登記及簽名。（四）系統(tǒng)稽核人員、安全管理人員有權(quán)對生產(chǎn)系統(tǒng)進(jìn)行監(jiān)督與核查，但該過程必須履行必要的手續(xù)和按照一定的程序進(jìn)行。（五）應(yīng)為長期從事計算機(jī)工作的人員創(chuàng)造合適的人機(jī)工作環(huán)境。使他們享有相應(yīng)的勞動保護(hù)，定期進(jìn)行專門體檢，保持身心健康。第八章  安全保密監(jiān)督第四十五條 科技部門對計算機(jī)信息系統(tǒng)安全保密工作，行使下列監(jiān)督職權(quán)：（一）監(jiān)督、檢查、指導(dǎo)計算機(jī)信息系統(tǒng)安全保密工作；（二）檢查危害計算機(jī)信息系統(tǒng)安全的違規(guī)事件

15、；（三）履行計算機(jī)信息系統(tǒng)安全保密工作的其它監(jiān)督職責(zé)。第四十六條 科技部門發(fā)現(xiàn)影響計算機(jī)信息系統(tǒng)安全保密的隱患時，應(yīng)當(dāng)及時通知*安全領(lǐng)導(dǎo)小組采取安全保護(hù)措施，在緊急情況下，有權(quán)直接先采取必要的措施，然后再向領(lǐng)導(dǎo)報告，遇有重大問題，可以要求召集計算機(jī)安全領(lǐng)導(dǎo)小組成員會議商議對策。第九章  獎勵和懲處第四十七條  違反本辦法的規(guī)定，有下列行為之一的，由計算機(jī)安全領(lǐng)導(dǎo)小組處以警告或者停機(jī)整頓，嚴(yán)重的應(yīng)依據(jù)中華人民共和國保守國家秘密法的有關(guān)條款進(jìn)行處理并追究單位領(lǐng)導(dǎo)的責(zé)任。（一）違反計算機(jī)信息系統(tǒng)安全等級制度，危害計算機(jī)信息系統(tǒng)安全的；（二）不按照本辦法規(guī)定時間報告計算機(jī)信息系統(tǒng)中發(fā)生的案件的；（三）接到有關(guān)