信用社计算机信息系统安全管理办法.docx
《信用社计算机信息系统安全管理办法.docx》由会员分享,可在线阅读,更多相关《信用社计算机信息系统安全管理办法.docx(21页珍藏版)》请在冰点文库上搜索。
信用社计算机信息系统安全管理办法
信用社计算机信息系统安全管理办法
第一章总则
第一条为了加强全省计算机信息系统安全保护工作,确保全省计算机信息系统安全、稳定、高效运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规,结合自身实际制定本规定。
第二条信用社计算机信息系统安全管理工作的指导方针是“预防为主,安全第一,依法办事,综合治理”。
“预防为主”是计算机安全管理工作的基本方针。
第三条信用社计算机信息系统安全工作实行统一领导和分级管理。
第二章组织机构及职责
第四条各级单位必须成立由科技、财务会计、保卫、稽核、人力资源等相关部门组成的计算机信息系统安全管理工作领导小组,实行一把手负责制。
领导小组办公室设在科技信息部门,负责计算机信息系统安全的日常工作。
第五条计算机信息系统安全工作领导小组的职责:
1.贯彻落实上级单位关于计算机安全工作的方针政策、规章制度;
2.研究审议辖内计算机安全工作的重大事项;
3.制定辖内计算机安全工作的实施细则;
4.负责辖内计算机安全工作、组织辖内计算机安全检查。
第六条科技部门在计算机安全工作方面的主要职责:
1.贯彻执行计算机安全工作领导小组的决议,制定并落实计算机安全的规章制度,负责辖内计算机安全体系建设与安全管理工作;
2.注意跟踪国际、国内先进的计算机安全技术,研究制定计算机安全防范策略并组织实施;
3.监督在信息化建设项目中计算机安全工作的落实情况,组织计算机信息系统的安全评审,监督安全措施的执行,保证项目的安全性;
4.加强与计算机安全相关职能管理部门联系,配合有关单位进行计算机审计和金融计算机犯罪案件调查,打击金融计算机犯罪;
5.省联社负责计算机安全专用产品的选型,组织对选用的计算机安全产品的评估、认证工作。
各级单位在省联社选型范围内,根据辖内具体情况选定相关安全产品。
第七条保卫部门在计算机安全工作方面的主要职责:
1.负责或协助公安部门解决计算机犯罪案件的侦破工作;
2.统计分析计算机犯罪案件,研究计算机犯罪动向和作案手段,提出防范措施和建议;
3.负责计算机机房、营业网点等要害部门的监控、防盗、消防、报警、门禁等系统建设和管理;
4.定期对计算机机房、营业网点等要害部门的安全设施进行检查,及时发现和消除隐患。
第八条其它相关部门在计算机安全工作方面的主要职责:
1.在计算机安全工作领导小组的统一领导下,主动协调,配合工作,充分发挥其职能作用;
2.负责提出业务应用系统的安全需求及风险控制措施,并对实现情况进行检查验收,制定相配套的安全管理制度;
3.加强本部门相关系统的运行管理,检查、监督相关安全管理制度的落实,防范事故发生,确保系统安全。
第三章人员与岗位管理
第一节人员基本要求与安全教育
第九条本规定所称计算机安全人员,是指各单位专(兼)职计算机安全管理人员。
第一十条计算机安全管理人员应当遵纪守法、政治过硬、业务精通、恪尽职守。
违反国家法律、法规和行业规章受到处罚的人员,不得从事计算机安全管理工作。
第一十一条各单位应配备专职(兼职)计算机安全管理员。
计算机安全管理员必须持证上岗。
计算机安全人员的配备和变更情况,应向上级科技管理部门备案。
第一十二条专(兼)职计算机安全管理员的主要职责是:
1.落实上级部门各项制度和要求,负责辖内计算机安全管理的日常工作。
2.分析计算机安全现状和问题,提出安全分析报告和安全防范建议,上报计算机安全事件。
3.开展计算机安全知识的培训和宣传工作。
第一十三条各单位对全体人员应进行下列计算机安全知识和技能的培训:
1.计算机安全法律法规及行业规章制度的培训。
2.计算机安全基本知识的培训。
3.计算机安全专门技能的培训。
4.计算机安全所必须的其他培训。
第一十四条计算机安全人员应定期参加计算机安全知识和技能的培训,并接受政治思想、职业道德和安全保密教育。
第二节计算机要职人员安全管理
第一十五条本规定所称计算机信息系统要职人员(简称要职人员),是指与重要计算机信息系统直接相关的系统管理员、网络管理员、应用开发员、系统维护员等岗位人员。
第一十六条要职人员上岗前必须经单位人事部门进行政治素质审查,科技部门进行业务技能考核,合格者签订保密协议后方可上岗。
第一十七条要职人员上岗必须实行“权限分散、不得交叉覆盖”的原则。
系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务;系统开发人员不得兼任系统管理员。
第一十八条对要职人员应实行年度强制休假制度和定期考查制度,并进行必要的安全教育和培训。
第一十九条要职人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
涉及保密信息的要职人员调离单位时,必须进行离岗审计,在达到规定的脱密期后,方可调离。
第二十条要职人员离岗后,必须即刻更换操作密码或注销用户。
第三节计算机要职人员的安全责任
第二十一条系统管理员安全责任
1.负责系统的运行管理,实施系统安全运行细则。
2.严格用户权限管理,维护系统安全正常运行。
3.认真记录系统安全事项,及时向计算机安全负责人员报告安全事件。
4.对进行系统操作的其他人员予以安全监督。
第二十二条网络管理员安全责任
1.负责网络的运行管理,实施网络安全策略和安全运行细则。
2.安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。
3.监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全负责人员报告安全事件。
4.对操作网络管理功能的其他人员进行安全监督。
第二十三条应用开发员安全责任
1.系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现。
2.系统投产运行前,应完整移交系统源代码和相关涉密资料。
3.不得对系统设置“后门”。
4.对系统核心技术保密。
第二十四条系统维护员安全责任
1.负责系统维护,及时解除系统故障,确保系统正常运行。
2.不得擅自改变系统功能。
3.不得安装与系统无关的其他计算机程序。
4.维护过程中,发现安全漏洞应及时报告计算机安全负责人员。
第二十五条业务操作员安全责任
1.严格执行系统操作规程和运行安全管理制度。
2.不得向他人提供自己的操作密码。
3.及时向科技部门报告系统各种异常事件。
第四章软件的安全管理
第二十六条软件开发的安全管理
1.软件项目开发必须符合软件工程规范,并在开发的各阶段按照安全管理目标进行管理和实施。
2.软件开发过程中,应从技术上充分考虑软件的容错性、安全控制、抗攻击能力和安全保密设计。
3.软件的开发环境应当与生产环境隔离,软件设计方案、数据结构、数据加密方式、源代码等严禁流入应用环境,严禁散失和外泄。
4.软件开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档,并对其负有安全保密责任和义务。
5.软件开发采用的关键技术措施和安全功能设计不得进行公开学术交流或发表。
第二十七条软件测试的安全管理
1.软件的技术开发完成后,开发部门应会同相关部门完成综合测试方案和测试案例,并提出综合测试申请。
2.综合测试通过后,由相关部门共同组织软件的试运行。
试运行稳定后,由试运行部门出具《试运行报告》。
第二十八条 软件的安全管理
1.所有软件,应根据其功能划定使用范围和使用权限,建立软件复制及领用登记簿,建立健全相应的监督管理制度。
2.引进、推广的软件要做好版本的管理和媒体的安全备份工作。
3.转让的软件要明晰转让各方的版权、升级、维护、服务等责权利的关系。
4.凡是业务部门引进、推广、转让、升级的各种软件媒体均须事前在科技部门登记备案,以便于管理及维护。
第五章设备的安全管理
第二十九条设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。
第三十条设备安装时,应由相关技术人员制定详细可行的操作步骤,其中关键设备的安装必须请供货厂商(代理商)技术人员现场支持。
第三十一条设备在投入正式使用前,应依据供货厂商提供的项目和相关指标,由相关技术人员进行严格的测试,写出测试报告,经批准后使用。
第三十二条设备升档要经过充分的技术论证和审批,并由运行相关岗位人员制定详细可行的实施方案,升档过程中应保证现有生产系统的正常运行。
第三十三条主机和网络通信关键设备必须有备份,并处于实时备用状态。
第三十四条各级运行机构应做好设备日常运行维护工作:
1.做好设备的日常监测、检查、记录,及时掌握设备的运行状况。
2.设备发生故障时应及时维修,必要时,通知设备维保商的技术人员到场解决。
3.制定设备维护计划,对维护的项目、步骤、周期、责任人等作出明确规定,并严格按照设备维护计划定期进行设备的保养和维护,做好设备维护记录。
4.建立设备档案,详细记录设备的基本情况(包括升级、更新情况等)、故障现象、故障分析、维修过程、处理结果等内容。
第六章系统的安全管理
第三十五条系统规划和立项的安全管理
1.系统规划与立项要充分考虑系统的安全需求。
2.系统建设要充分考虑系统的安全功能的实现。
3.计算机安全管理部门应对重要系统的立项进行安全性专项审查。
第三十六条系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。
第三十七条系统投入运行前,必须进行系统的安全评估与审批;对已投入运行的系统需跟踪进行安全评估并根据评估结果不断改进和提高系统安全性。
第三十八条系统运行安全管理
1.严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。
2.备份系统与生产系统的系统构成与配置应保持一致,以保证生产系统出现故障时能顺利切换。
3.严禁擅自修改系统参数,确需修改应严格履行审批手续,由运行相关岗位人员实施,实施时应有监督,修改后的参数应记录备案。
4.严禁擅自对业务数据库的数据进行修改或恢复操作,确需操作时应严格履行审批手续,由运行相关岗位人员实施,并由有关人员监督执行。
5.对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大操作,由科技部门从安全角度出发与业务部门密切配合,共同制定详细的计划和方案。
第三十九条各级运行机构应做好系统的日常安全运行维护工作
1.建立健全系统运行日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。
2.定期对系统进行数据备份,并对备份媒体按有关规定指定专人妥善保管,重要业务系统的备份媒体必须异地保存。
3.重要业务系统应由业务部门制定计算机安全保护的应急计划,保证业务的不间断运行,对涉密的应用系统,应严格执行保密管理的有关规定。
第四十条系统运行中必须做好系统的安全监测工作。
第四十一条严格执行系统废止和销毁的有关安全管理规定。
第七章 机房的安全管理
第一节机房建设安全管理
第四十二条机房建设和改造安全方案应通过上级保卫部门的安全审批。
第四十三条机房安全建设应通过上级保卫部门组织的安全验收。
第四十四条机房应按重要性进行分级管理,分级标准按有关规定执行。
第四十五条机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。
第四十六条机房建设应当符合下列基本安全要求:
1. 机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
2. 机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
3. 机房应安装门禁系统、防雷系统、监控系统、消防系统、报警系统,并与当地公安机关110联网。
4. 机房应设专用的供电系统,配备必要的UPS和发电机。
第二节机房运行安全管理
第四十七条机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,并定期检查制度执行情况。
第四十八条计算机机房实行分区管理原则。
核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十九条监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第五十条加强进出机房人员管理。
禁止未经批准的外部人员进入机房。
非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。
第五十一条发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。
第八章 网络安全管理
第一节网络建设安全管理
第五十二条网络建设方案应通过上级计算机安全主管部门的安全审批。
第五十三条网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。
第五十四条网络建设应配备必要的安全专用产品。
第五十五条网络建设中涉及网络安全的资料,应备案建档,统一管理。
第五十六条网络建设应符合下列基本安全要求:
1.网络规划应有完整的安全策略。
2. 能够保证网络传输信道的安全,信息在传输过程中不会被非法获取。
3. 应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。
4. 应具备必要的网络监测、跟踪和审计的功能。
5. 应根据需要对网络采取必要的技术隔离措施。
6.能有效防止计算机病毒对网络系统的侵扰和破坏。
7. 应具有应付突发情况的应急措施。
第二节网络运行安全管理
第五十七条重要网络设备应放置在主机房内,由网络管理员负责管理。
其他人员不得对网络设备进行任何操作。
第五十八条网管设备属专管设备,必须严格控制其管理员密码。
第五十九条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。
第六十条改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。
第六十一条与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一账户的访问制。
第六十二条网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员。
第六十三条有权单位使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。
第六十四条网络扫描、监测结果和网络运行日志等重要信息应备份存储。
第六十五条联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。
第六十六条严禁超越网络管理权限,非法操作业务数据信息,不得擅自设置路由与非相关网络进行连接。
第三节接入国际互联网管理
第六十七条使用国际互联网的安全管理规定
1.内联网上的所有计算机设备,不得直接或间接地接入国际互联网,必须实现与国际互联网的物理隔离。
2.存有涉密金融数据信息的计算机不得接入国际互联网,存有涉密金融数据信息的媒体不得在接入国际互联网的计算机上使用。
3.从国际互联网上下载的任何信息资源,未经检测并得到许可,不得在本系统内联网上使用。
4.接入国际互联网的计算机须安装防病毒系统,并定期升级。
5.本单位所属的国际互联网账号不得在本单位之外的其它场所使用。
6.国际互联网接入账户和密码必须实行专人管理,并不定期更换密码。
7.确有需要接入国际互联网的部门必须提出书面申请,送科技部门初审,经分管领导批准,并报各级安全管理部门审批、备案。
第六十八条各使用部门应自觉接受本单位计算机安全工作领导小组的监督检查。
第九章用户标识(ID)、密码与密钥的安全管理
第六十九条用户标识(ID)和密码的管理
1.用户ID与密码是计算机系统验证用户合法性的唯一标识,坚持一人一户一码的原则。
2.用户的增加、注销与调整
(1)增加用户:
初次入网或增加用户注册由业务部门提出书面申请,提供注册人员姓名、职务、事由,加盖公章,根据有关规定给予注册。
(2)调整和注销用户:
如出现业务人员调动,该人员原所在业务部门须提出申请,方可调整或注销用户。
3.密码的编制应具有一定的复杂性,应定期或不定期更换密码,对记录密码的载体应严格管理,确保其物理安全;用户自设密码时应注意要有一定的强度,密码长度不得小于6个字符,不得用姓名、电话号码、生日等其它易猜的信息作为密码。
4.密码坚持自设自用或集中产生、高度保密的原则;用户对本人授权及密码下的操作行为及结果负全权责任;计算机信息系统各要职人员的密码,必须严格管理,独享使用,不得泄露。
第七十条密钥管理
1.使用密钥保障信息安全时,对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)应实施严格的安全保密管理。
2.密钥作为绝密数据必须通过机要渠道传递或采用加密通信方式网内分配。
3.密钥必须定期更换,对已泄漏或怀疑泄漏的密钥必须及时废除;旧密钥必须安全归档,并在安全管理负责人的严格监督下,由管理责任人定期销毁。
第七十一条ID文件、密码和密钥要指定专人管理,一旦丢失,要及时报告。
第一十章数据信息的安全管理
第一节数据信息的管理
第七十二条必须加强数据信息处理全过程的安全管理,保证数据信息的保密性、完整性、可用性、可控性。
数据信息的安全管理应做到:
1.严把数据信息采集关,确保其真实性、可靠性、合法性。
2.据实录入数据信息,严禁凭空输入,对数据信息的修改,必须得到有关部门的批准,并记录备案。
3.必须采用必要的技术措施保证数据信息传输过程的安全,应使用加密技术对涉密或重要的数据信息实施加密处理。
4.使用部门应按规定进行数据备份,并检查备份媒体的有效性。
5.在设备维修、报废过程中,要确保其中的数据信息的保密性、完整性。
第七十三条涉密媒体包括记录档案资料、软件、数据等的各种载体。
保证涉密媒体信息的安全应做到:
1.各种媒体的收集、保管、使用须按科技档案管理办法执行。
2.严格分级管理,在媒体使用上,根据媒体的密与非密级别,要做到分级使用、定人操作,保留在现场的媒体数量应是系统有效运行所需要的最小数量。
3.涉密数据在系统进行下载存贮过程中必须采取相应的加密技术措施。
4.涉密媒体的传递与外借应有审批手续和传递记录,涉密媒体传递过程中,要采取必要的防复制及加密等安全措施。
5.涉密媒体必须按照有关保密管理规定进行管理,严格录入、查询、复制、传递、保管、归档、销毁等各环节的手续;同一媒体上不得混录密和非密信息,如果必须同时录用不同密级的信息,应按存储信息的最高密级进行管理并标明密级。
6.媒体要根据需要与存储环境定期进行循环复制备份,并进行登记;全部涉密媒体信息的转交、挪动和销毁,保密管理人员和库管理人员均须在场。
7.废弃媒体,业务部门应详细登记,妥善保管,每年底报请分管领导批准后,集中统一在保密管理人员监督下予以不可恢复性销毁。
第二节数据备份与恢复
第七十四条系统的使用部门负责业务数据的备份与恢复,科技部门负责系统级方面的备份与恢复,特别是系统的灾难性备份与恢复。
第七十五条数据备份
1.要确认备份操作步骤准确无误后进行备份操作。
2.各业务部门应将计算机信息数据备份媒体视同重要空白凭证,指定专人负责备份数据媒体的签收和入库管理。
3.备份数据媒体应按要求写明标识,交科技档案管理员异地存放,要确保存放地的安全,并定期进行检查,确保数据的完整性、可用性。
4.涉密信息媒体的备份媒体(磁带、磁盘、光盘、纸媒体等)应有密级及保密期限标志,统一编号,各单位保密机构负责涉密信息媒体的界定和销毁。
5.建立备份媒体的销毁审批登记制度,并采取安全销毁措施。
第七十六条数据恢复必须坚持审批登记制。
需要恢复数据时,报批准后方可进行;恢复数据必须坚持双人制,一人操作,一人监督,并详细登记;恢复过程中若有异常情况,应及时与有关技术人员联系,不得任意处理。
第一十一章计算机病毒防范的安全管理
第七十七条加强计算机病毒防范的安全管理
1.不得制作、传播计算机病毒。
2.必须指定专人定期用防病毒软件查杀本单位计算机信息系统,并做检测、清除的记录;必须按有关操作规定定期更新防病毒产品版本。
3.从计算机信息网络上下载程序、数据或购置、维修、借入计算机设备时,应当进行计算机病毒检测。
4.必须采用有公安部“销售许可”标志和省联社选型范围内的防病毒产品,对本单位的病毒防治产品或系统必须有专人管理,并由科技档案管理人员妥善保存产品媒体及其备份。
5.对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故要及时向本单位计算机安全管理部门报告。
第一十二章应急处理的安全管理
第七十八条应急处理原则
1.加强计算机安全防范意识,建立应急处理组织体系,以指挥协调各职能部门迅速进入应急处理程序。
2.优化配置应急处理人力、物力资源,集中使用,统一调度。
3.制定重要计算机信息系统应急处理方案,明确岗位职责、人员分工以及应急处理程序。
4.业务部门制定业务应急处理方案,科技部门制定技术应急处理方案。
5.加强应急处理技能的培训和应急处理方案的演练,提高各岗位人员判断、处理问题的能力,验证应急处理程序的有效性。
第七十九条应急处理组织体系
1.各级机构应成立计算机信息系统应急处理小组,应急处理小组应由业务部门负责人、科技部门负责人及有关业务和技术人员组成。
2.应制定事件应急反应联系机制,将有关人员的联系电话、手机等登记备查,将系统的集成商、开发商的二十四小时联系电话、售后服务措施等登记备案。
3.对系统的各种软件、资料、工具、备份数据等必须专人保管,做到一旦事件发生,能够马上启用。
第八十条当遇到危及计算机信息系统的正常运行,影响计算机功能正常发挥的下列事件时,必须立即报告处置:
1.非法侵入计算机系统访问的。
2.故意进行系统的配置调整、参数修改、干预操作系统的正常运行,影响业务工作的。
3.故意泄露系统资源、密码及代码的。
4.侵入计算机系统获取银行和客户信息,劫取他人资金的。
5.故意损坏计算机硬件及数据信息存储媒体的。
6.将计算机系统程序和应用程序及其数据信息拷出泄露、删除、修改、转让、传播的。
7.使用病毒软件侵害系统的。
8.严重违反金融科技工作基本管理制度,违章操作,造成严重后果发生经济案件的。
9.违反安全保密守则,造成软件泄密、流失以及网络系统被入侵造成损失的。
10.其他非人为因素造成计算机信息系统不能正常运行的。
第八十一条计算机系统发生紧急情况应按应急处置管理规定及时处理,尽力避免发生重大安全事件,严格执行重大安全事件报告制度,妥善处理重大安全事件。
第八十二条由计算机安全部门负责确定事故分类,制定实施事故的调查处理流程。
第一十三章技术资料的安全管理
第八十三条技术资料指与信息系统有关的技术文件、图表、程序与数据,包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。
第八十四条网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档,由科技部门严格管理。
第八十五条系统核心技术文档资料的借用应有审批手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体内容。
第八十六条重要技术资料应有副本并异地存放。
第八十七条技术资料应实施密期管理办法。
第八十八条报废的技术资料应有严格的销毁和监销制度。
第一十四章计算机安全运行登记制度
第八十九条必须建立健全计算机安全运行登记制度
1.计算机安全管理、计算机网络运行、系统维护、科技文档资料管理等
升级会员 