欧洲免费无码视频在线,亚洲日韩av中文字幕高清一区二区,亚洲人成人77777网站,韩国特黄毛片一级毛片免费,精品国产欧美,成人午夜精选视频在线观看免费,五月情天丁香宗合成人网

薈聚奇文、博采眾長、見賢思齊
當前位置:公文素材庫 > 公文素材 > 范文素材 > 中國銀行網(wǎng)絡與中心機房安全管理制度

中國銀行網(wǎng)絡與中心機房安全管理制度

網(wǎng)站:公文素材庫 | 時間:2019-05-28 15:30:33 | 移動端:中國銀行網(wǎng)絡與中心機房安全管理制度

中國銀行網(wǎng)絡與中心機房安全管理制度

中國銀行網(wǎng)絡運行與中心機房安全管理制度

一、出入管理

1、嚴禁非機房工作人員進入機房,特殊情況需經(jīng)中心主管領導或網(wǎng)絡運行負責人和值班人員批準,并認真填寫登記表后方可進入。

2、進入機房人員應遵守機房管理制度,更換專用工作鞋套;機房工作人員必須穿著工作服。

3、進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設備正常運行構(gòu)成威脅的物品。

二、安全管理

1、操作人員隨時監(jiān)控中心設備運行狀況,發(fā)現(xiàn)異常情況應立即按照預案規(guī)程進行操作,并及時上報和詳細記錄。

2、非機房工作人員未經(jīng)許可不得擅自上機操作和對運行設備及各種配置進行更改。

3、嚴格執(zhí)行密碼管理規(guī)定,對操作密碼定期更改,超級用戶密碼由系統(tǒng)管理員掌握。

4、值班人員應恪守保密制度,不得擅自泄露中心各種信息資料與數(shù)據(jù)。5、中心機房內(nèi)嚴禁吸煙、喝水、吃食物、和進行劇烈運動,保持機房安靜。6、不定期對機房內(nèi)設置的消防器材、監(jiān)控設備進行檢查,以保證其有效性。7、值班人員嚴密檢測機房內(nèi)專用電源的運行狀態(tài),接停電通知后必須上報分管領導并嚴格按已制定的應急預案進行相應的處理。

8、值班人員負責值班期間機房安全保衛(wèi)工作,確保機房和設備安全。三、操作管理

1、中心機房的數(shù)據(jù)實行雙人作業(yè)制度;操作人員遵守值班制度,不得擅自脫崗。

2、值班人員必須認真、如實、詳細填寫《網(wǎng)絡運行值班日志》等各種登記簿,以備后查。

3、嚴格按照每日預制操作流程進行操作,對新上業(yè)務及特殊情況需要變更流程的應事先進行詳細安排并書面報負責人批準簽字后方可執(zhí)行;所有操作變更必須有存檔記錄。

4、每日對機房環(huán)境進行清潔,以保持機房整潔;每周進行一次大清掃,對機器設備吸塵清潔。

5、值班人員必須密切監(jiān)視中心設備運行狀況以及各網(wǎng)點運行情況,確保安全、高效運行。

6、嚴格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。中心服務器數(shù)據(jù)庫要定期進行雙備份,并嚴格實行異地存放、專人保管。所有重要文檔定期整理裝訂,專人保管,以備后查。

四、運行管理

1、中心機房和開發(fā)調(diào)試機房隔離分設。未經(jīng)負責人批準,不得在中心機房設備上編寫、修改、更換各類軟件系統(tǒng)及更改設備參數(shù)配置。

2、各類軟件系統(tǒng)的維護、增刪、配置的更改,各類硬件設備的添加、更換必需經(jīng)負責人書面批準后方可進行;必須按規(guī)定進行詳細登記和記錄,對各類軟件、現(xiàn)場資料、檔案整理存檔。

3、為確保數(shù)據(jù)的安全保密,對各業(yè)務單位、業(yè)務部門送交的數(shù)據(jù)及處理后的數(shù)據(jù)都必須按有關(guān)規(guī)定履行交接登記手續(xù)。4、部門負責人應定期與不定期對制度的執(zhí)行情況進行檢查,督促各項制度的落實,并作為人員考核之依據(jù)。

網(wǎng)絡中心201*-9-

擴展閱讀:中國人民銀行信息安全管理規(guī)定

中國人民銀行信息安全管理規(guī)定

第一條為強化人民銀行信息安全管理,防范計算機信息技術(shù)風

險,保障人民銀行計算機網(wǎng)絡與信息系統(tǒng)安全和穩(wěn)定運行,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等規(guī)定,特制定本規(guī)定。

第一章總則

第二條本規(guī)定所稱信息安全管理,是指在人民銀行信息化項目立

項、建設、運行、維護及廢止等過程中保障計算機信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡和操作安全的一系列管理活動。

第三條人民銀行信息安全管理工作實行統(tǒng)一領導和分級管理?

行統(tǒng)一領導分支機構(gòu)和直屬企事業(yè)單位的信息安全管理,負責總行機關(guān)的信息安全管理。分支機構(gòu)負責本單位和轄內(nèi)的信息安全管理,各直屬企事業(yè)單位負責本單位的信息安全管理。

第四條人民銀行信息安全管理實行分管領導負責制,按照“誰主

管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。

第五條本規(guī)定適用于人民銀行總行機關(guān)、各分支機構(gòu)和直屬企事

業(yè)單位(以下統(tǒng)稱“各單位”)。所有使用人民銀行網(wǎng)絡或信息資源的其他外部機構(gòu)和個人均應遵守本規(guī)定。

第二章組織保障

第六條各單位應設立由本單位領導和相關(guān)部門主要負責人組成

的計算機安全工作領導小組,辦公室設在本單位科技部門,負責協(xié)調(diào)本單位及轄內(nèi)信息安全管理工作,決策本單位及轄內(nèi)信息安全重大事宜。

第七條各單位科技部門應設立信息安全管理部門或崗位?傂袡C

關(guān)、分行、營業(yè)管理部、省會(首府)城市中心支行、副省級城市中心支行科技部門配備專職信息安全管理人員,實行A、B崗制度;地(市)中心支行和縣(市)支行設立信息安全管理崗位。

第八條除科技部門外,各單位其他部門均應指定至少一名部門計

算機安全員,具體負責本部門的信息安全管理,協(xié)同科技部門開展信息安全管理工作。

第三章人員管理

第九條各單位工作人員根據(jù)不同的崗位或工作范圍,履行相應的

信息安全保障職責。

第一節(jié)信息安全管理人員

第十條各單位應選派政治思想過硬、具有較高計算機水平的人員

從事信息安全管理工作。凡是因違反國家法律法規(guī)和人民銀行有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項工作。

第十一條各單位信息安全管理人員應經(jīng)過總行或分行、營業(yè)管

理部、省會(首府)城市中心支行組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。

第十二條各單位信息安全管理人員在如下職責范圍內(nèi)開展本單

位信息安全管理工作:

(一)組織落實上級信息安全管理規(guī)定,制定信息安全管理制度,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。

(二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。

(三)檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處信息安全事件。

(四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。

第十三條信息安全管理人員在履行職責時,確因工作需要查詢

相關(guān)涉密信息,須經(jīng)本單位主管同意后向保密工作委員會辦公室提交申請,獲得批準后方可查詢。

第十四條信息安全管理人員實行備案管理制度。信息安全管理

人員的配備和變更情況應及時報上一級科技部門備案。信息安全管理人員調(diào)離原崗位時應辦理交接手續(xù),并履行其調(diào)離后的保密義務。

第二節(jié)部門計算機安全員

第十五條各部門應指派素質(zhì)好、較熟悉計算機知識的人員擔任

部門計算機安全員,并報本單位科技部門備案。如有變更應做好交接工作,并及時通報科技部門。

第十六條部門計算機安全員配合信息安全管理人員工作,并參

加各項信息安全技能培訓。

第十七條部門計算機安全員在如下職責范圍內(nèi)開展工作:

(一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。

(二)負責提出本部門信息安全保障需求,及時與信息安全管理人員溝通信息安全信息。

(三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技部門完成對本部門的信息安全檢查工作。

第三節(jié)技術(shù)支持人員

第十八條本規(guī)定所稱技術(shù)支持人員,是指參與人民銀行網(wǎng)絡、

計算機系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術(shù)支持人員和外包服務人員。

第十九條人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡和信息系統(tǒng)建

設和日常運行維護職責過程中,應承擔如下安全義務:

(一)不得對外泄漏或引用工作中觸及的任何敏感信息。嚴格權(quán)限訪問,未經(jīng)業(yè)務主管部門授權(quán)不得擅自改變系統(tǒng)設或修改系統(tǒng)生成的任何數(shù)據(jù)。

(二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導,并及時響應、處。

(三)嚴格操作管理、測試管理、應急管理、配管理、變更管理、檔案管理等工作制度,做好數(shù)據(jù)備份工作。

第二十條外部技術(shù)支持人員應嚴格履行外包服務合同(協(xié)議)

的各項安全承諾。提供技術(shù)服務期間,嚴格遵守人民銀行相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應經(jīng)授權(quán),并有人民銀行內(nèi)部員工在場。不得拷貝或帶走任何配參數(shù)信息或業(yè)務數(shù)據(jù),不得對外泄漏或引用任何工作信息。

第四節(jié)業(yè)務系統(tǒng)操作人員

第二十一條本規(guī)定所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)

進行業(yè)務處理的業(yè)務部門工作人員。

第二十二條業(yè)務系統(tǒng)操作人員應承擔如下安全義務:

(一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。

(二)發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技部門。

(三)不得在操作終端上安裝與業(yè)務系統(tǒng)無關(guān)的軟件和硬件,不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設。

第二十三條業(yè)務系統(tǒng)操作應按照“權(quán)限分散、不得交叉任職”原

則,嚴格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務系統(tǒng)操作人員。

第五節(jié)一般計算機用戶

第二十四條本規(guī)定所稱一般計算機用戶是指使用計算機設備的所

有人員。

第二十五條一般計算機用戶應承擔如下安全義務:

(一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門計算機安全員的指導與管理。

(二)不得安裝與辦公和業(yè)務處理無關(guān)的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡配參數(shù)。

(三)未經(jīng)科技部門檢測和授權(quán),不得將接入人民銀行內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入人民銀行內(nèi)部網(wǎng)絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第四章機房環(huán)境和設備資產(chǎn)管理

第一節(jié)機房安全管理

第二十六條本規(guī)定所稱機房是指計算機系統(tǒng)等主要設備放、運

行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。

第二十七條各單位機房的規(guī)劃、建設、改造、運行、維護由科技

部門負責,相關(guān)設備采購納入政府集中采購。機房的消防、視頻監(jiān)視錄像、防雷、門禁等子系統(tǒng)的規(guī)劃、建設、運行和維護由科技部門和保衛(wèi)部門協(xié)商確定。

第二十八條各單位原則上只建設一個符合國家計算機機房有關(guān)標

準和人民銀行相關(guān)規(guī)定的計算機機房,為所有業(yè)務部門提供機房基礎設施服務。

第二十九條機房建設、改造的方案應報上一級科技部門備案。必

要時,由上一級機構(gòu)科技部門會同會計、保衛(wèi)等部門進行審核。

第三十條機房建設或改造應選擇具有國家建筑裝修裝飾工程專

業(yè)承包資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司,其中總行、分行、營業(yè)管理部、省會(首府)城市中心支行、計劃單列市中心支行的機房建設或改造應選擇具有國家貳級或貳級以上資質(zhì)同時具有三年以上專業(yè)從事計算機機房裝修裝飾經(jīng)驗的專業(yè)公司。重要機房建設或改造工程應引入監(jiān)理制度。

第三十一條總行、分行、營業(yè)管理部、省會(首府)城市中心支

行應建立機房設施與場地環(huán)境監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(UPS)、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控。

第三十二條各單位機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的

消防驗收和本單位科技、保衛(wèi)與會計部門組織的驗收,并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。

第三十三條各單位應建立健全機房管理制度,并指派專人擔任機

房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關(guān)專業(yè)培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發(fā)現(xiàn)問題及時報告。

機房管理員負責保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料,并隨時提供調(diào)閱。

第三十四條建立機房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境

因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。

第二節(jié)柜面和核心業(yè)務處理環(huán)境安全管理

第三十五條向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴

格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配自動監(jiān)控報警功能。

第三十六條所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資

料由專人保存至少三個月。

第三節(jié)設備資產(chǎn)管理

第三十七條各單位科技部門應建立完備的計算機設備登記制度,

嚴格資產(chǎn)管理,明確計算機設備使用者或管理者及其安全責任。

第三十八條各單位科技部門應根據(jù)計算機設備重要程度采取不同

的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設備或信息。有特殊安全要求的計算機設備應放在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄漏的屏蔽裝等。

第五章網(wǎng)絡安全管理

第一節(jié)網(wǎng)絡規(guī)劃、建設中的安全管理

第三十九條總行科技司負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部

署、策略配和網(wǎng)絡資源(網(wǎng)絡設備、通訊線路、IP地址和域名等)分配。

第四十條各單位科技部門按照總行科技司的統(tǒng)一規(guī)劃和總體部

署,組織實施網(wǎng)絡建設、改造工程。各單位局域網(wǎng)的建設與改造方案應報上一級科技部門審核、備案,投產(chǎn)前應通過本單位組織的安全測試。

第四十一條各單位的網(wǎng)絡建設和改造應符合如下基本安全要求:(一)符合人民銀行網(wǎng)絡安全管理要求,保障網(wǎng)絡傳輸與應用安全。

(二)具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。(三)針對不同的網(wǎng)絡安全域,采取必要的安全隔離措施。

第二節(jié)網(wǎng)絡運行安全管理

第四十二條各單位科技部門應建立健全網(wǎng)絡安全運行制度,配備

專(兼)職網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況,管理網(wǎng)絡資源及其配信息,建立健全網(wǎng)絡運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。

第四十三條網(wǎng)絡管理員應定期參加網(wǎng)絡安全技術(shù)培訓,具備一定

的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領導授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應對措施。

第四十四條各單位科技部門應嚴格網(wǎng)絡接入管理。任何設備接入

網(wǎng)絡前,接入方案、設備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡資源。

第四十五條各單位科技部門應嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員調(diào)

整網(wǎng)絡重要參數(shù)配和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配參數(shù)的備份和應急恢復準備。

第四十六條各單位應嚴格遠程訪問控制。確因工作需要進行遠程

訪問的部門和人員應向科技部門提出書面申請,并采取相應的安全防護措施。

第四十七條信息安全管理人員經(jīng)本部門主管領導批準,有權(quán)對本

單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)總行科技司授權(quán),任何外部單位與人員不得檢測、掃描人民銀行內(nèi)部網(wǎng)絡。

第四十八條各單位以不影響業(yè)務的正常網(wǎng)絡傳輸為原則,合理控

制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)總行科技司批準,不得在人民銀行內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應

用。

第三節(jié)網(wǎng)間互聯(lián)安全管理

第四十九條本規(guī)定所稱網(wǎng)間互聯(lián)是指為滿足人民銀行與其他外部

機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡互聯(lián)。

第五十條網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃,按照相關(guān)標準組織

實施。未經(jīng)總行科技司核準,任何單位不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。

第四節(jié)接入國際互聯(lián)網(wǎng)管理

第五十一條人民銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行安全隔離。所有

接入人民銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。

第五十二條計算機接入國際互聯(lián)網(wǎng)應通過本單位保密工作委員會

辦公室批準,并確保安裝有人民銀行選定的防病毒軟件和最新補丁程序?萍疾块T憑相關(guān)批準證明實施聯(lián)網(wǎng),并做好備案。曾接入人民銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技部門確保該計算機已刪除敏感工作信息后方可實施接入。

第五十三條未經(jīng)科技部門安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機

不得直接接入人民銀行內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。

第五十四條使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關(guān)法律法規(guī)

和人民銀行相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動。

第六章計算機系統(tǒng)安全管理

第五十五條本規(guī)定所指的計算機系統(tǒng)是人民銀行業(yè)務處理系統(tǒng)、

管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié)計算機系統(tǒng)規(guī)劃與立項

第五十六條計算機系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安

全問題,建設方案應滿足人民銀行信息安全保障總體規(guī)劃的相關(guān)要求。

項目技術(shù)方案應包括以下基本安全內(nèi)容:

(一)業(yè)務需求部門提出的安全需求。(二)安全需求分析和實現(xiàn)。(三)運行平臺的安全策略與設計。

第五十七條各單位科技部門負責對項目技術(shù)方案進行安全專項審

查并提出審查意見,未通過安全審核的項目不得予以立項。

第二節(jié)計算機系統(tǒng)開發(fā)與集成

第五十八條計算機系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求

進行安全設計,保證安全功能的完整實現(xiàn)。

第五十九條計算機系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代

碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門。外部開發(fā)單位還應與人民銀行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議,不得將計算機系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設計對外公開。

第六十條計算機系統(tǒng)的開發(fā)人員不能兼任計算機系統(tǒng)管理員或

業(yè)務系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。

第六十一條計算機系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中

進行。

第六十二條涉密計算機系統(tǒng)集成應選擇具有國家相關(guān)部門頒發(fā)的

涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。

第三節(jié)計算機系統(tǒng)運行

第六十三條各單位計算機系統(tǒng)上線運行實行安全審查制度,未通

過安全審查的任何新建或改造計算機系統(tǒng)不得投產(chǎn)運行。具體要求如下:

(一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技部門審查。

(二)計算機系統(tǒng)應用部門應在計算機系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定,報科技部門備案。

(三)科技部門應提出明確的測試方案和測試報告審查意見。必

要時,可組織專家評審或?qū)嵤┯嬎銠C系統(tǒng)漏洞掃描檢測。

第六十四條各單位科技部門應明確系統(tǒng)管理員,具體負責計算機

系統(tǒng)的日常運行管理,并建立重要計算機系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設要求雙人在場。

第六十五條系統(tǒng)管理員不得兼任業(yè)務操作人員。系統(tǒng)管理員確需

對業(yè)務系統(tǒng)進行維護性操作的,應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。

第六十六條未經(jīng)業(yè)務主管部門領導書面批準,其他任何人不得擅

自使用業(yè)務操作人員用機,不得擅自設、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù),不得擅自改變用戶權(quán)限。

第四節(jié)業(yè)務操作

第六十七條業(yè)務部門負責計算機系統(tǒng)用戶和權(quán)限設定,科技部門

根據(jù)授權(quán)進行相關(guān)設定操作。

第六十八條業(yè)務操作人員嚴格按照安全操作規(guī)程進行業(yè)務操作、

數(shù)據(jù)備份,并配合科技部門保障信息安全。一旦發(fā)現(xiàn)計算機系統(tǒng)運行異常及時向本部門領導和科技部門報告。

第六十九條業(yè)務操作人員設本人口令密碼。重要計算機系統(tǒng)業(yè)

務操作人員的密碼應由業(yè)務部門領導和系統(tǒng)管理員分段設立。

第七十條凡是能夠執(zhí)行錄入、復核制度的計算機系統(tǒng),業(yè)務操

作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準,不得代崗、兼崗。

第七十一條業(yè)務操作人員離開操作用機時,應按序退出計算機系

統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。

第五節(jié)計算機系統(tǒng)廢止

第七十二條實行計算機系統(tǒng)廢止申報、備案制度。使用計算機系

統(tǒng)的業(yè)務部門根據(jù)需要向科技部門提出廢止申請,由科技部門組織進行安全檢查后予以廢止,同時備案。

第七十三條對已經(jīng)廢止的計算機系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技

部門按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密工作委員會監(jiān)督下予以不可恢復性銷毀。

第七章客戶端安全管理

第七十四條本規(guī)定所稱客戶端是指人民銀行計算機用戶、網(wǎng)絡與

信息系統(tǒng)所使用的終端設備,包括聯(lián)網(wǎng)桌面終端、柜面終端、單機運行(。┙K端、遠程接入終端、便攜式計算機等。

第七十五條各單位應建立完善的客戶端管理制度,記錄所有客戶

端設備信息和軟件配信息。

第七十六條客戶端應安裝和使用正版軟件,不得安裝和使用盜版

軟件,不得安裝和使用與工作無關(guān)的軟件。

第七十七條客戶端應統(tǒng)一安裝病毒防治軟件,設用戶密碼和屏

幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。

第七十八條確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡的用戶,應

嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。

第八章信息安全專用產(chǎn)品、服務管理

第一節(jié)資質(zhì)審查與選型購

第七十九條本規(guī)定所稱信息安全專用產(chǎn)品,是指人民銀行安裝使

用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服務,是指人民銀行向社會購買的專業(yè)化安全服務。

第八十條總行科技司負責信息安全服務提供商的資質(zhì)審查和信

息安全專用產(chǎn)品的選型,由集中采購部門按照政府集中采購程序選購。

第八十一條各單位購掃描、檢測類信息安全專用產(chǎn)品應報總行

科技司批準、備案。

第二節(jié)使用管理

第八十二條各單位科技部門應建立信息安全專用產(chǎn)品登記使用

制度,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、

檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。

第八十三條各單位科技部門隨時檢查各類信息安全專用產(chǎn)品使

用情況,認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。

第八十四條各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信

息屬于重要技術(shù)資料,應備份存檔至少三個月。

第八十五條各單位科技部門應及時升級維護信息安全專用產(chǎn)品,

凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。

第八十六條防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配

。如需要進行遠程配,由科技部門或經(jīng)科技部門授權(quán)在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。

第九章文檔、數(shù)據(jù)與密碼應用安全管理

第一節(jié)

技術(shù)文檔

第八十七條本規(guī)定所稱技術(shù)文檔是指人民銀行網(wǎng)絡、計算機系統(tǒng)

和機房環(huán)境等建設與運行維護過程中形成的各種技術(shù)資料,包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。

第八十八條各單位科技部門負責將技術(shù)文檔統(tǒng)一歸檔,實行借閱

登記制度。未經(jīng)科技部門領導批準,任何人不得將技術(shù)文檔轉(zhuǎn)借、復制和對外公布。

第二節(jié)

存儲介質(zhì)

第八十九條各單位應建立健全磁帶、光盤、移動存儲介質(zhì)、縮微

膠片、已打印文檔等存儲介質(zhì)管理流程。所有存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。

第九十條各單位應做好存儲介質(zhì)在物理傳輸過程中的安全控

制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。

第九十一條各單位所有部門和個人應加強對移動存儲設備(U盤、

軟盤、移動硬盤)的管理。

第九十二條各單位應建立存儲介質(zhì)銷毀制度,對載有敏感信息的

存儲介質(zhì)應采用焚燒或粉碎等方式進行處并做好記錄。

第三節(jié)

數(shù)據(jù)安全

第九十三條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的人民銀行

業(yè)務數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第九十四條各單位業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等

不同狀態(tài)下的安全需求,科技部門負責審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第九十五條各單位業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、

刪除等變更操作,適時進行業(yè)務數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務,并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。

第九十六條各單位科技部門系統(tǒng)管理員負責定期導出網(wǎng)絡和重要

計算機系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。

第九十七條各單位業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密

級,建立備份數(shù)據(jù)銷毀審批登記制度,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。

第九十八條所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、

防擠壓存放;謴图笆褂脗浞輸(shù)據(jù)時需要提供相關(guān)口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第四節(jié)

口令密碼

第九十九條各單位系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、業(yè)

務操作人員均須設口令密碼,至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求。

第一百條敏感計算機系統(tǒng)和設備的口令密碼設應在安全的

環(huán)境下進行,必要時應將口令密碼筆錄、密封交相關(guān)部門保管。未經(jīng)科

技部門主管領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。

第一百零一條各單位應根據(jù)實際情況在一定時限內(nèi)妥善保存重

要計算機系統(tǒng)升級改造前的口令密碼。

第五節(jié)

密碼技術(shù)應用管理

第一百零二條人民銀行涉密網(wǎng)絡和計算機系統(tǒng)應嚴格按照國家

密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)人民銀行實際需求和統(tǒng)一安全策略,合理選擇加密措施。

第一百零三條各單位選用的密碼產(chǎn)品和加密算法應符合國家相

關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合人民銀行的相關(guān)安全要求。

第一百零四條各單位應建立嚴格的密鑰管理體制,選擇密碼管

理人員必須十本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。

第一百零五條各單位應在安全環(huán)境中進行關(guān)鍵密鑰的備份工

作,并設遇緊急情況下密鑰自動銷毀功能。

第一百零六條各類密鑰應定期更換,對已泄漏或懷疑泄漏的密

鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。

第十章第三方訪問和外包服務安全管理

第一節(jié)第三方訪問控制

第一百零七條本規(guī)定所稱第三方訪問是指人民銀行之外的單位

和個人物理訪問人民銀行計算機房或者通過網(wǎng)絡連接邏輯訪問人民銀行數(shù)據(jù)庫和計算機系統(tǒng)等活動。

第一百零八條各單位保密工作委員會負責涉密計算機系統(tǒng)和網(wǎng)

絡相關(guān)的第三方訪問授權(quán)審批,各單位科技部門負責非涉密計算機系統(tǒng)和網(wǎng)絡相關(guān)的第三方訪問授權(quán)審批。未經(jīng)人民銀行授權(quán)的任何第三方訪問均視為非法入侵行為。

第一百零九條允許被第三方訪問的人民銀行計算機系統(tǒng)和資源

應建立存取控制機制、認證機制,列明所有用戶名單及其權(quán)限,嚴格監(jiān)督第三方訪問活動。

第一百一十條獲得第三方訪問授權(quán)的所有單位和個人應與人民

銀行簽訂安全保密協(xié)議,不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄漏人民銀行任何信息。

第二節(jié)外包服務管理

第一百一十一條本規(guī)定所稱外包服務是指由人民銀行之外的其

他社會廠商為人民銀行計算機系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務。外包服務應簽訂正式的外包服務協(xié)議,明確約定雙方義務。

第一百一十二條經(jīng)本單位科技部門領導批準,外包服務提供商

可提供上門維護服務并由人民銀行科技人員在場準確記錄所有技術(shù)配變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。

第一百一十三條計算機設備確需送外單位維修時,各單位科技

部門應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。

第十一章信息通報、災難備份與應急管理

第一節(jié)信息通報

第一百一十四條各單位應按照人民銀行信息安全事件報告制

度進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報總行科技司。

第一百一十五條重大信息安全事件發(fā)生后,各單位相關(guān)人員應

注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領導。

第一百一十六條各單位應在重大信息安全事件發(fā)生后的兩小時

內(nèi)按規(guī)定程序報上一級科技部門,由上級科技部門決定是否發(fā)布預警信息或啟動轄內(nèi)應急預案。

第二節(jié)災難備份管理

第一百一十七條災難備份是指利用技術(shù)、管理手段以及相關(guān)資

源,確保已有業(yè)務數(shù)據(jù)和計算機系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。

第一百一十八條總行科技司將按照“統(tǒng)籌安排、資源共享、平

戰(zhàn)結(jié)合”的原則,負責人民銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。

第一百一十九條總行業(yè)務司局負責提出業(yè)務系統(tǒng)災難備份需

求,明確可容忍的業(yè)務中斷時間和數(shù)據(jù)丟失量。總行科技司據(jù)此確定災難備份等級和備份方案。

第一百二十條各單位應建立健全災難恢復計劃,定期開展災難恢

復培訓。在條件許可的情況下,由總行相關(guān)部門統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。

第三節(jié)應急管理

第一百二十一條應急預案是針對可能發(fā)生的意外事件并可能導

致業(yè)務差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。

第一百二十二條在計算機系統(tǒng)推廣應用方案中應同時設計應急

備份策略,同步實施備份方案。

第一百二十三條各單位應制定和不斷完善網(wǎng)絡、計算機系統(tǒng)和

機房環(huán)境等應急預案。預案的編制工作由相關(guān)業(yè)務部門和科技部門共同完成。

第一百二十四條應急預案應包括以下基本內(nèi)容:

(一)(二)(三)(四)(五)(六)(七)

總則(目標、原則、適用范圍、預案調(diào)用關(guān)系等)。應急組織機構(gòu)。

預警響應機制(報告、評估、預案啟動等)。各類危機處流程。應急資源保障。事后處理流程。

預案管理與維護(生效、演練、維護等)。

第一百二十五條各單位定期組織應急預案的演練,并指定專人

管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。

第一百二十六條各單位計算機安全工作領導小組統(tǒng)一負責各業(yè)

務系統(tǒng)的應急協(xié)調(diào)與指揮,決策重大事宜(決定應急預案的啟動、災難宣告、預警相關(guān)單位等)和調(diào)動應急資源。

第一百二十七條總行辦公廳負責統(tǒng)一向社會發(fā)布應急事件公

告,其他任何單位或個人不得向社會發(fā)布應急事件公告。

第十二章安全監(jiān)測、檢查、評估與審計

第一節(jié)安全監(jiān)測

第一百二十八條各單位科技部門應整合和利用現(xiàn)有網(wǎng)絡管理系

統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡、重要計算機系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。

第一百二十九條各單位科技部門應建立運行監(jiān)測周報、月報或

季報制度,報送本單位計算機安全工作領導小組和上一級科技部門,抄送相關(guān)業(yè)務部門。

第一百三十條各單位要及時預警、響應和處運行監(jiān)測中發(fā)現(xiàn)的

問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關(guān)部門。

第二節(jié)安全檢查

第一百三十一條各單位科技部門應至少每年組織一次本單位或

轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。

第一百三十二條各單位在開展安全檢查前應以安全管理制度為

依據(jù)制定詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關(guān)整改情況進行后續(xù)跟蹤。

第一百三十三條各單位參加檢查的人員對檢查中的涉密信息

負有保密責任。所有檢查報告和資料應作為人民銀行內(nèi)部材料妥善保管,不得向外界泄漏。

第一百三十四條各單位應將每次安全檢查報告和整改落實情況

整理匯總后報上一級科技部門備案。

第三節(jié)安全評估

第一百三十五條各單位科技部門可采用自評估、檢查評估和委

托評估等方式,每年至少組織一次對本單位或轄內(nèi)信息系統(tǒng)的安全評估。

第一百三十六條安全評估應在不影響信息系統(tǒng)正常運行的情況

下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結(jié)束后,形成評估報告,提出整改意見報本單位科技部門主管領導。

第一百三十七條各單位如聘請第三方機構(gòu)進行安全評估,應報

總行科技司批準,并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。

第一百三十八條各單位應妥善保管信息安全評估報告,未經(jīng)授

權(quán)不得對外透露評估信息。

第四節(jié)安全審計

第一百三十九條各單位科技部門在支持與配合內(nèi)審部門開展審

計信息安全工作的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行

管理和信息安全事件全過程的技術(shù)審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。

第一百四十條各單位應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功

能配管理,應完整保留相關(guān)日志記錄,一般保留至少一個月,涉及資金交易的業(yè)務系統(tǒng)日志應根據(jù)需要確定保留時間。

第十三章獎勵與處罰

第一百四十一條各單位每年應組織一次本單位和轄內(nèi)信息安全

管理工作評比活動,對達標單位的相關(guān)人員應給予一定的獎勵,對表現(xiàn)突出的單位和個人進行通報表彰并給予一定形式的獎勵。

第一百四十二條對于違反本規(guī)定,造成重大信息安全事件的單

位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關(guān)法律法規(guī),追究其主管領導、相關(guān)部門負責人及直接責任人的責任;構(gòu)成犯罪的,依法追究刑事責任。

第十四章附則

第一百四十三條人民銀行之前發(fā)布的其他信息安全管理制度有

關(guān)規(guī)定條款如與本規(guī)定不一致的,按本規(guī)定執(zhí)行。

第一百四十四條本規(guī)定由總行負責解釋。第一百四十五條本規(guī)定自發(fā)布之日起執(zhí)行。

友情提示:本文中關(guān)于《中國銀行網(wǎng)絡與中心機房安全管理制度》給出的范例僅供您參考拓展思維使用,中國銀行網(wǎng)絡與中心機房安全管理制度:該篇文章建議您自主創(chuàng)作。

來源:網(wǎng)絡整理 免責聲明:本文僅限學習分享,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除。


中國銀行網(wǎng)絡與中心機房安全管理制度》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://www.7334dd.com/gongwen/590724.html