第一篇：計算機信息系統(tǒng)管理辦法

濟南xxxxxxx有限公司

文 件

編號：受控號：

計算機信息系統(tǒng)管理辦法

為保障公司各部門計算機及信息網(wǎng)絡(luò)的安全高效使用,規(guī)范管理與維護，特制定以下管理辦法：

一、計算機及配套設(shè)備的購置、管理

1．購置：各部門根據(jù)工作需要提出申請，經(jīng)公司批準(zhǔn)后，由綜合部負(fù)責(zé)統(tǒng)一采購。

2．采購以“性價比最佳”為原則，同時需確保售后服務(wù)的質(zhì)量，兼顧外形的和諧統(tǒng)一。

3．各使用部門需在綜合部辦理計算機的登記手續(xù)，驅(qū)動盤、使用說明、保修卡及配置清單等原始資料由綜合部負(fù)責(zé)保管，同時登記固定資產(chǎn)臺帳。

4．將計算機管理納入部門經(jīng)理職責(zé)范圍，指定日常使用人為專管人員，負(fù)責(zé)計算機的日常維護清潔、查毒清毒等工作。

5．計算機發(fā)生故障時，專管人員應(yīng)及時向綜合部報告，需外聯(lián)技術(shù)員檢查、維修的，由綜合部負(fù)責(zé)聯(lián)系接洽。未經(jīng)綜合部許可任何人不得隨意拆裝硬件。

6．為保證計算機性能正常，各部門應(yīng)定期清潔與維護計算機（每周至少一次），具體流程由綜合部負(fù)責(zé)制訂并培訓(xùn)。

二、計算機安全規(guī)定

1．任何人不得利用計算機進行侵害國家、公司和個人利益與合法權(quán)益的活動。

2．需保密的部門應(yīng)設(shè)置開機密碼、屏保密碼以及重要文件的讀取密碼。密碼由專人負(fù)責(zé)保管，并視需要及時更改。

3．定期做好重要文件、數(shù)據(jù)的備份工作，防止文件丟失，確保數(shù)據(jù)安全。（詳見

六、數(shù)據(jù)保密和備份）

4．為防止計算機病毒傳播，使用任何外來文件需首先進行病毒清查，安裝有殺毒軟件的計算機須定期查毒（每周一次）。

三、計算機使用規(guī)定

1．按照“使用部門負(fù)責(zé)”原則，各部門所屬計算機的日常使用及清潔維護、查毒清毒、數(shù)據(jù)備份、磁盤整理等工作需落實到專管員。本管理辦法下發(fā)一周內(nèi)，各部門

將專管員報給綜合部，由綜合部統(tǒng)一安排培訓(xùn)。

2．專管人員應(yīng)經(jīng)常檢查所屬計算機及外設(shè)狀況，如發(fā)現(xiàn)異常應(yīng)立即報告，禁止因不規(guī)范操作等原因造成硬件損壞。

3．日常工作涉及計算機使用的員工應(yīng)注意相關(guān)知識的學(xué)習(xí)與積累，必要時綜合部組織專項培訓(xùn)。

4．使用中應(yīng)注意隨時存盤；為消除安全隱患，下班后應(yīng)關(guān)閉計算機及附屬設(shè)備并切斷電源。

5．任何部門或個人不得私自安裝、使用包括游戲軟件等一切與工作無關(guān)的軟件，不可利用計算機進行與工作無關(guān)的活動，不可在計算機存儲與工作無關(guān)的文件，否則按第七條進行處罰。

四、硬件設(shè)備管理

1．路由器、交換機和服務(wù)器是公司信息系統(tǒng)的關(guān)鍵設(shè)備，須放置在指定地點，由專職管理人員統(tǒng)一管理，其他人不得自行配置或更換。

2．每臺計算機外觀要保持清潔、衛(wèi)生，并由使用人負(fù)責(zé)管理和維護，無關(guān)人員未經(jīng)批準(zhǔn)嚴(yán)禁動用他人計算機。

3．嚴(yán)禁易燃易爆和強磁物品靠近計算機放置。

4．計算機及相關(guān)設(shè)備的報廢需經(jīng)過專職人員鑒定，確認(rèn)不能使用后方可申請報廢。

5．使用人員如發(fā)現(xiàn)計算機系統(tǒng)運行異常，及時與系統(tǒng)管理員聯(lián)系，非專業(yè)管理人員不得擅自拆開計算機調(diào)換設(shè)備配件。

五、計算機網(wǎng)絡(luò)管理

1．按照公司管理模式，在保證各部門內(nèi)部工作管理的同時，有關(guān)部門設(shè)立局域網(wǎng)（內(nèi)網(wǎng)），系統(tǒng)管理員統(tǒng)一分配局域系統(tǒng)IP地址和DNS域名服務(wù)，相關(guān)部門配合組織實施。

2．各部門應(yīng)嚴(yán)格遵守公司內(nèi)網(wǎng)保密制度，不隨意通過網(wǎng)絡(luò)獲取或?qū)ν庑孤段募?、報表等，否則按第七條規(guī)定處罰。

3．可以登陸互聯(lián)網(wǎng)的計算機由專人負(fù)責(zé)管理，定期上網(wǎng)升級殺毒軟件并查清本部門局域網(wǎng)內(nèi)連接的全部計算機。

4．公司使用企業(yè)郵箱以“保密性佳、滿足需要、費用最低”為原則，密碼由專人負(fù)責(zé)保管，并視情況更新，并做到“及時下載、定期清理”，謹(jǐn)慎對待不明郵件，避免病毒的傳播。

5．嚴(yán)格遵守《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)暫行規(guī)定》，嚴(yán)禁利用計算

機非法入侵他人或其他組織的計算機信息系統(tǒng)。

六、數(shù)據(jù)保密和備份

1．根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權(quán)限、存取方式和審批手續(xù)。

2．禁止泄露、外借和轉(zhuǎn)移專業(yè)數(shù)據(jù)信息。

3．涉密部門指定專管員對計算機內(nèi)的重要數(shù)據(jù)應(yīng)定期（兩周一次）制作數(shù)據(jù)的備份并異地存放，確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復(fù)。

4．備份數(shù)據(jù)不得更改。

5．操作人員必須注意保護自己的計算機信息系統(tǒng)，對部門登錄的口令要注意保密。

6．不得讓任何無關(guān)的人員使用自己的計算機，不要擅自或讓其他非專業(yè)技術(shù)人員修改自己計算機系統(tǒng)的重要設(shè)備。

七、罰則

有下列行為之一且不限于以下行為的，公司將視情節(jié)輕重給予處罰，部門經(jīng)理負(fù)管理不善責(zé)任：

1．擅自拷貝或外串公司數(shù)據(jù)的，給予當(dāng)事人最低200元/次的經(jīng)濟處罰；所拷貝或外串?dāng)?shù)據(jù)屬公司重要機密的，公司有權(quán)報警立案處理。

2．因違反本規(guī)定或進行不當(dāng)操作造成計算機損壞的，公司可根據(jù)情況，要求當(dāng)事人/部門負(fù)擔(dān)不低于30%或全部維修費用。

3．因不備份文件或數(shù)據(jù)導(dǎo)致丟失影響工作的，給予責(zé)任人警告并處以200元/次的經(jīng)濟處罰。

4．計算機出現(xiàn)問題不及時報告導(dǎo)致工作延誤的，給予責(zé)任人警告處分或最低50元/次的經(jīng)濟處罰。

5．因疏忽導(dǎo)致計算機病毒及其他危害計算機網(wǎng)絡(luò)安全的，給予當(dāng)事人警告處分或最低50元/次的經(jīng)濟處罰。

6．利用公司計算機或網(wǎng)絡(luò)進行與工作無關(guān)活動的（如玩游戲、聊天等），給予當(dāng)事人警告處分并最低50元/次的經(jīng)濟處罰。

7．違規(guī)行為給公司造成損失情節(jié)嚴(yán)重的，公司將另行議處。特別嚴(yán)重的公司保留向責(zé)任人追究法律責(zé)任的權(quán)利。

xxxx年xx月

起草：審批：共印份共3頁

第二篇：計算機信息系統(tǒng)涉密管理辦法

計算機信息系統(tǒng)涉密管理辦法

第一章 總 則

第一條 為保護農(nóng)村商業(yè)銀行股份有限公司（以下簡稱“本行”）計算機網(wǎng)絡(luò)系統(tǒng)的安全，根據(jù)《中華人民共和國保守國家秘密法》、《計算機信息系統(tǒng)保密暫行規(guī)定》等法律、法規(guī)制訂本辦法。

第二條 本辦法所稱的計算機信息系統(tǒng)，是指由計算機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)信息以及其相關(guān)配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對數(shù)據(jù)信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

第三條 概念釋義：

（一）計算機信息系統(tǒng)安全，是指計算機信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)和數(shù)據(jù)的安全必須受到保護，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計算機信息系統(tǒng)能連續(xù)正常運行。

（二）計算機信息系統(tǒng)保密，是指對涉及本行商密的包括但不限于計算機信息系統(tǒng)的軟件、硬件、系統(tǒng)數(shù)據(jù)信息、技術(shù)開發(fā)文檔、管理及操作規(guī)定。

（三）計算機信息系統(tǒng)的安全保密，是指保障計算機、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)的和配套的設(shè)備、設(shè)施的安全，保障運行環(huán)境（機房）的安全，保障信息的安全，保障計算機和網(wǎng)絡(luò)功能的正常發(fā)揮，防止工作或政治因素造成的失密、泄密，防止人為或自然災(zāi)害等造成的破壞，以及防止利用計算機犯罪等。

第四條

本辦法適用于支行（部）的業(yè)務(wù)網(wǎng)、辦公網(wǎng)、互連網(wǎng)等三大計算機網(wǎng)絡(luò)系統(tǒng)涉密工作的管理。

第二章 組織管理及職責(zé)

第五條 本行成立計算機網(wǎng)絡(luò)系統(tǒng)保密領(lǐng)導(dǎo)小組，由行長任組長，分管副行長為副組長、各支行（部）負(fù)責(zé)人為小組成員，信息科技部負(fù)責(zé)保密領(lǐng)導(dǎo)小組的日常檢查工作。

（一）保密領(lǐng)導(dǎo)領(lǐng)導(dǎo)小組定期向本行領(lǐng)導(dǎo)報告安全保密工作情況；

（二）保密領(lǐng)導(dǎo)領(lǐng)導(dǎo)小組督促本部門安全保密措施的貫徹執(zhí)行；

（三）小組成員負(fù)責(zé)本部門安全保密檢查；進行安全保密教育。第七條 對涉密信息需要經(jīng)計算機系統(tǒng)采集、加工、存儲、處理、輸出的，由信息的生成、擁有、管理、提供部門向總行保密領(lǐng)導(dǎo)小組進行申報，經(jīng)總行保密領(lǐng)導(dǎo)小組核定并簽署意見后書面通知相關(guān)部門執(zhí)行。

第八條

總行保密領(lǐng)導(dǎo)小組不定期組織開展本行涉密計算機信息安全檢查，對檢查中發(fā)現(xiàn)的問題將及時予以糾正，對嚴(yán)重違反涉密規(guī)定，造成后果的，要進行通報，并按有關(guān)規(guī)定，追究領(lǐng)導(dǎo)責(zé)任，嚴(yán)肅處理。

第三章 計算機及網(wǎng)絡(luò)系統(tǒng)

第九條 設(shè)備選型、購置須經(jīng)充分論證，做好驗收，對密鑰、密碼、參數(shù)等信息應(yīng)做好接交保管，網(wǎng)絡(luò)設(shè)備要特別關(guān)注其保密性能。

第十條

建立常規(guī)硬件系統(tǒng)維護管理制度，保持維護計算機和網(wǎng)絡(luò)設(shè)備、工具和資料處于良好狀態(tài)。

第十一條 各級操作人員必須進行必要的安全保密培訓(xùn)，在職責(zé)范圍內(nèi)嚴(yán)格按相關(guān)操作規(guī)程進行操作。

第十二條 應(yīng)用系統(tǒng)在設(shè)計上嚴(yán)格控制涉密文件信息查詢、檢索的人員范圍，嚴(yán)格管理用戶使用權(quán)限。系統(tǒng)軟硬件一經(jīng)安裝、調(diào)試、正式運行，各支行（部）未經(jīng)科技部門許可，不得自行對其更改配置。

第四章 介質(zhì)、資料的管理

第十三條

應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)（磁性存儲介質(zhì)、電子存儲介質(zhì)、光存儲介質(zhì)等）或資料（紙質(zhì)文檔、電子文檔、程序等）要按其重要性進行分類，對存放有關(guān)鍵或重要數(shù)據(jù)的介質(zhì)和資料，應(yīng)復(fù)制必要的份數(shù)，并分別存放在不同的安全地方，建立嚴(yán)格的保密保管制度。

第十四條 保留在機房內(nèi)的介質(zhì)或資料，應(yīng)為系統(tǒng)有效運行所必需的最少數(shù)量，除此之外，不應(yīng)保留在機房內(nèi)。

第十五條 存放介質(zhì)、資料的庫房，必須設(shè)有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設(shè)施。

第十六條 介質(zhì)（資料）庫，應(yīng)設(shè)專人負(fù)責(zé)登記保管，未經(jīng)批準(zhǔn)，不得向第三方提供。

第十七條 系統(tǒng)內(nèi)有關(guān)人員在使用介質(zhì)（資料）期間，應(yīng)嚴(yán)格按國家相關(guān)保密規(guī)定進行控制，不得轉(zhuǎn)借或復(fù)制，需要使用或復(fù)制的須經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)。

第十八條

庫房保管人對所有介質(zhì)（資料）應(yīng)定期檢查，根據(jù)介質(zhì)的安全保存期限，及時更新復(fù)制。損壞、廢棄或過期的介質(zhì)（資料）應(yīng)由專人負(fù)責(zé)處理，秘密級以上的介質(zhì)（資料）在超過保密期或廢棄不用時，要及時銷毀。

第五章 安全保密管理

第十九條

計算機信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守國家有關(guān)法律、行政法規(guī)和本行其它有關(guān)規(guī)定。

第二十條 計算機機房、辦公、防雷、消防、通訊及供配電設(shè)施應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)和國家有關(guān)規(guī)定。在上述設(shè)施附近施工，不得危害計算機網(wǎng)絡(luò)系統(tǒng)的安全。

第二十一條 嚴(yán)禁任何涉及支行（部）機密的涉密計算機信息系統(tǒng)直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實行內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)嚴(yán)格物理隔離。所有與互聯(lián)網(wǎng)連接的計算機必須使用專用的上網(wǎng)計算機或采用隔離措施的計算機，上網(wǎng)計算機中不得有涉及本機構(gòu)保密信息的內(nèi)容。

第二十二條 凡接入互聯(lián)網(wǎng)的單位，要實行保密領(lǐng)導(dǎo)責(zé)任制，各部門負(fù)責(zé)人是本部門保密工作的第一責(zé)任人，必須指定專人負(fù)責(zé)本部門上網(wǎng)信息的保密監(jiān)督檢查，確保涉密信息的安全。

第二十三條 要求接入國際互聯(lián)網(wǎng)的計算機，由使用部門提出申請，經(jīng)科技部門按規(guī)定審核后，報分管領(lǐng)導(dǎo)審批?；ヂ?lián)網(wǎng)實行專網(wǎng)管理，由信息科技部統(tǒng)一出口管理，并向通信運營商提出申請安裝，嚴(yán)格控制各支行（部）自行申請安裝?；ヂ?lián)網(wǎng)申請安裝必須報市公安局網(wǎng)絡(luò)監(jiān)察大隊備案。為控制源頭，加強管理，支行（部）大樓實行單一互聯(lián)網(wǎng)專線，由信息科技部負(fù)責(zé)安全措施落實，各部門不得自行通過電話或其他方式上互聯(lián)網(wǎng)，以防止通過互聯(lián)網(wǎng)發(fā)生泄密事件。

第二十四條 對計算機信息系統(tǒng)中發(fā)生的案件，按規(guī)定及時向本行相關(guān)部門報告。

第二十五條 上網(wǎng)信息的保密管理堅持“誰上網(wǎng)，誰負(fù)責(zé)”的原則。凡向互聯(lián)網(wǎng)發(fā)布涉密信息，必須經(jīng)過總行保密領(lǐng)導(dǎo)小組授權(quán)總行辦公室審查批準(zhǔn)。第二十六條

本行員工必須接受保密安全教育，嚴(yán)格遵守保密紀(jì)律。在開展技能培訓(xùn)的同時，必須把保密教育作為技能培訓(xùn)的重要內(nèi)容之一。

第二十七條 本行與外單位因業(yè)務(wù)關(guān)系進行網(wǎng)絡(luò)互聯(lián)時，必須在雙方設(shè)置硬件防火墻，并通過中間服務(wù)器訪問我行數(shù)據(jù)，與關(guān)聯(lián)單位簽定的協(xié)議中，必須含有保密條款。關(guān)聯(lián)單位必須遵守我行有關(guān)保密規(guī)定，不得泄露我行重要的保密信息。

第二十八條 總行保密領(lǐng)導(dǎo)小組不定期組織開展本行涉密計算機信息安全檢查，對檢查中發(fā)現(xiàn)的問題將及時予以糾正，對嚴(yán)重違反涉密規(guī)定，造成后果的，要進行通報，并按有關(guān)規(guī)定，追究領(lǐng)導(dǎo)責(zé)任，嚴(yán)肅處理。

第六章 人員內(nèi)控管理

第二十九條 人員管理。

本行員工一旦發(fā)現(xiàn)涉密信息泄露或可能發(fā)生泄露的情況時，應(yīng)立即向保密領(lǐng)導(dǎo)小組報告，并采取相應(yīng)的保護措施。

第三十條 任何人不得擅自處理或破壞發(fā)生事故的涉密計算機信息系統(tǒng)現(xiàn)場，必須及時通知總行保密領(lǐng)導(dǎo)小組，經(jīng)保密領(lǐng)導(dǎo)小組授權(quán)，信息科技部進行技術(shù)分析、取證，并及時做好相應(yīng)的登記備案工作。

第三十一條 泄密事故相關(guān)人員應(yīng)根據(jù)責(zé)任和損失大小承擔(dān)相關(guān)事故責(zé)任，給本行造成重大損失的將被依法追究責(zé)任，情節(jié)嚴(yán)重的將送交司法機關(guān)處理。

第三十二條

人員審查。

人員的審查必須根據(jù)計算機網(wǎng)絡(luò)系統(tǒng)所規(guī)定的安全等級來確定審查標(biāo)準(zhǔn)。凡接觸系統(tǒng)安全三級以上信息系統(tǒng)的所有人員，必須按機要人員的條件進行審查。

第三十三條

關(guān)鍵崗位人選。

對計算機信息系統(tǒng)的關(guān)鍵崗位人選，如安全負(fù)責(zé)人、系統(tǒng)管理員等，不僅需要進行嚴(yán)格的政審，還要考核其業(yè)務(wù)能力，以保證這部分人員可信可靠，能勝任本職工作。關(guān)鍵崗位人員要實行定期強制休假制度。

第三十四條

人員培訓(xùn)。

計算機信息系統(tǒng)上崗的所有工作人員，均需由有關(guān)部門組織上崗培訓(xùn)，包括計算機及網(wǎng)絡(luò)操作、維護培訓(xùn)、應(yīng)用軟件操作培訓(xùn)、計算機網(wǎng)絡(luò)系統(tǒng)安全課程及保密教育培訓(xùn)，經(jīng)培訓(xùn)合格的人員持證上崗。

第三十五條 人員考核。

人事部門要定期組織有關(guān)方面人員對計算機網(wǎng)絡(luò)系統(tǒng)所有的工作人員從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面進行考核，對于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸計算機網(wǎng)絡(luò)系統(tǒng)的人員要及時調(diào)離崗位，不應(yīng)讓其再接觸系統(tǒng)，對情節(jié)嚴(yán)重的應(yīng)追究其法律責(zé)任。

第三十六條

簽訂保密協(xié)議。

對于所有進入計算機網(wǎng)絡(luò)系統(tǒng)工作的人員，均應(yīng)簽訂保密契約，承諾其對系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統(tǒng)秘密。對違反保密契約的，應(yīng)有懲處條款。對接觸機密信息的人員，應(yīng)規(guī)定在離崗后的一段時期內(nèi)不得離境。

第三十七條 人員調(diào)離。

對調(diào)離人員，特別是因不適合安全管理要求被調(diào)離的人員，必須嚴(yán)格辦理調(diào)離手續(xù)。進行調(diào)離談話，承諾其調(diào)離后的保密義務(wù)，交還所有鑰匙及證件，退還全部技術(shù)手冊、軟件及有關(guān)資料。更換系統(tǒng)口令和用戶名。自調(diào)離決定通知之日起，必須立即進行上述工作，不得拖延。

第七章 操作安全管理

第三十八條 系統(tǒng)操作安全管理目標(biāo)。

系統(tǒng)操作是指對計算機信息系統(tǒng)開發(fā)、操作、維護、系統(tǒng)管理等人員的行為或活動。計算機信息系統(tǒng)操作安全管理的目標(biāo)是：

（一）對系統(tǒng)管理及系統(tǒng)操作均應(yīng)進行有效的監(jiān)督或監(jiān)控；

（二）所有接觸系統(tǒng)的人員均應(yīng)承擔(dān)與其工作性質(zhì)相應(yīng)的安全責(zé)任。

第三十九條 計算機操作人員分類。

對計算機信息系統(tǒng)的操作人員，應(yīng)根據(jù)計算機信息系統(tǒng)有限職責(zé)、有限使用授權(quán)原則進行分類。

（一）營業(yè)網(wǎng)點操作員、管理人員。

（二）事后監(jiān)督系統(tǒng)操作員、管理人員。

（三）辦公自動化系統(tǒng)操作、管理人員。

（四）網(wǎng)絡(luò)及硬件維護人員。

（五）系統(tǒng)運行維護人員。

（六）中心系統(tǒng)管理人員。

（七）安全管理人員。

第四十條 系統(tǒng)操作控制管理。

（一）應(yīng)按照分工負(fù)責(zé)、互相制約的原則制定各類系統(tǒng)操作人員的職責(zé)，職責(zé)不允許交叉覆蓋。

（二）各類人員在履行職責(zé)時要按規(guī)定行事，不得從事超越自己職責(zé)以外的任何操作。

（三）在對生產(chǎn)系統(tǒng)和監(jiān)督系統(tǒng)進行系統(tǒng)維護、恢復(fù)、強行更改數(shù)據(jù)時，至少應(yīng)有兩名操作人員在場、并進行詳細的登記及簽名。

（四）系統(tǒng)檢查人員、安全管理人員有權(quán)對生產(chǎn)系統(tǒng)進行監(jiān)督與核查，但該過程必須履行必要的手續(xù)和按照一定的程序進行。

第八章 安全保密監(jiān)督

第四十一條 科技部門對計算機信息系統(tǒng)安全保密工作，行使下列監(jiān)督職權(quán)：

（一）監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保密工作；

（二）檢查危害計算機信息系統(tǒng)安全的違規(guī)事件；

（三）履行計算機信息系統(tǒng)安全保密工作的其它監(jiān)督職責(zé)。

第四十二條 科技部門發(fā)現(xiàn)影響計算機信息系統(tǒng)安全保密的隱患時，應(yīng)當(dāng)及時通知本行保密領(lǐng)導(dǎo)小組采取保密保護措施，在緊急情況下，有權(quán)直接先采取必要的措施，然后再向領(lǐng)導(dǎo)報告，遇有重大問題，可以要求召集計算機保密領(lǐng)導(dǎo)小組成員會議商議對策。

第九章 泄密處理

第四十三條 如發(fā)生涉密計算機信息泄密事故，不得隱瞞，應(yīng)立即向保密領(lǐng)導(dǎo)小組報告，并請求信息科技部給予技術(shù)支持；信息科技部將根據(jù)保密領(lǐng)導(dǎo)小組的要求，采取有效的技術(shù)措施，避免泄密進一步擴大。

第四十四條 本行員工一旦發(fā)現(xiàn)涉密信息泄露或可能發(fā)生泄露的情況時，應(yīng)立即向保密領(lǐng)導(dǎo)小組報告，并采取相應(yīng)的保護措施。

第四十五條 任何人不得擅自處理或破壞發(fā)生事故的涉密計算機信息系統(tǒng)現(xiàn)場，必須及時通知總行保密領(lǐng)導(dǎo)小組，經(jīng)保密領(lǐng)導(dǎo)小組授權(quán)，信息科技部進行技術(shù)分析、取證，并及時做好相應(yīng)的登記備案工作。

第四十六條 泄密事故相關(guān)人員應(yīng)根據(jù)責(zé)任和損失大小承擔(dān)相關(guān)事故責(zé)任，給本行造成重大損失的將被依法追究責(zé)任，情節(jié)嚴(yán)重的將送交司法機關(guān)處理。

第四十七條 第四十八條

第十章 附則

本辦法由農(nóng)村商業(yè)銀行股份有限公司負(fù)責(zé)解釋。本辦法自發(fā)布之日起執(zhí)行。

第三篇：村鎮(zhèn)銀行計算機信息系統(tǒng)保密管理辦法

村鎮(zhèn)銀行計算機信息系統(tǒng)保密管理辦法

（征求意見稿）

第一章

總 則

第一條 為加強村鎮(zhèn)銀行計算機信息系統(tǒng)的保密管理，確保國家秘密的安全，根據(jù)《中華人民共和國保守國家秘密法》和國家保密局《計算機信息系統(tǒng)保密管理暫行規(guī)定》、《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》等有關(guān)法律、法規(guī)，制定本辦法。

第二條 本辦法適用于村鎮(zhèn)銀行系統(tǒng)采集、存儲、處理、傳遞、使用、輸出和銷毀涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)（以下簡稱“涉密計算機信息系統(tǒng)”）。

第二章 組織與職責(zé)

第三條 村鎮(zhèn)銀行科技部門負(fù)責(zé)對村鎮(zhèn)銀行計算機信息系統(tǒng)保密工作進行工作指導(dǎo)、協(xié)調(diào)?？萍疾块T牽頭成立計算機安全檢查小組負(fù)責(zé)具體計算機信息系統(tǒng)保密的檢查工作。

第四條 村鎮(zhèn)銀行計算機信息系統(tǒng)的保密管理堅持“業(yè)務(wù)誰主管，保密誰負(fù)責(zé)”的原則。即特定計算機信息系統(tǒng)的保密管理工作由村鎮(zhèn)銀行或支行主管該系統(tǒng)的部門或崗位承擔(dān)。

第五條 計算機信息系統(tǒng)的保密管理工作，應(yīng)主動接受國家有關(guān)保密部門的業(yè)務(wù)指導(dǎo)和監(jiān)督。

第六條 計算機信息系統(tǒng)的業(yè)務(wù)負(fù)責(zé)部門應(yīng)協(xié)助計算安全檢查小組，定期組織開展要害部門和重要崗位計算機信息系統(tǒng)的保密技術(shù)檢查，發(fā)現(xiàn)問題應(yīng)及時整改。第七條 涉密計算機信息系統(tǒng)的使用部門應(yīng)加強員工保密知識的學(xué)習(xí)教育，嚴(yán)格執(zhí)行有關(guān)保密管理規(guī)定，協(xié)助村鎮(zhèn)銀行科技部門做好涉密計算機信息系統(tǒng)的日常管理工作。

第八條 涉密計算機信息系統(tǒng)工作人員的職責(zé)要求：

（一）選配涉密計算機信息系統(tǒng)管理人員應(yīng)按國家有關(guān)規(guī)定進行嚴(yán)格審查，崗前保密培訓(xùn)，并保持相對穩(wěn)定；

（二）涉密計算機信息系統(tǒng)工作人員應(yīng)嚴(yán)格執(zhí)行有關(guān)保密管理規(guī)定和操作規(guī)程；

（三）涉密計算機信息系統(tǒng)工作人員應(yīng)自覺接受村鎮(zhèn)銀行保密部門的監(jiān)督檢查。第九條 各支行和員工發(fā)現(xiàn)下列問題應(yīng)及時采取補救措施，并報告保密部門。

（一）發(fā)現(xiàn)保密方面的漏洞和隱患；

（二）發(fā)現(xiàn)違反有關(guān)保密規(guī)定的行為；

（三）發(fā)現(xiàn)泄密事件。

第三章 系統(tǒng)規(guī)劃建設(shè)

第十條 涉密計算機信息系統(tǒng)在使用前，必須報村鎮(zhèn)銀行保密管理部門審批，審批辦法依照中保委《涉及 國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號）執(zhí)行；已投入使用而尚未經(jīng)過審批的涉密計算機信息系統(tǒng)，要按上述辦法補辦審批手續(xù)；未經(jīng)審批或?qū)徟缓细竦纳婷苡嬎?機信息系統(tǒng)不得投入使用。

第十一條 規(guī)劃和建設(shè)涉密計算機信息系統(tǒng)，應(yīng)同步規(guī)劃建設(shè)相應(yīng)的保密設(shè)施。第十二條 涉密計算機信息系統(tǒng)的規(guī)劃、研制、安裝和使用，均必須符合保密要求。

第十三條 安裝、使用涉密計算機信息系統(tǒng)的場所，應(yīng)按國家有關(guān)規(guī)定，與辦公駐地、人員住所保持相應(yīng)的安全距離，并根據(jù)處理信息的涉密程度設(shè)立必要控制區(qū)，無關(guān)人員不得進入。

第十四條 安裝、使用涉密計算機信息系統(tǒng)的場所應(yīng)采取有效的安全保密措施，有關(guān)設(shè)備的技術(shù)措施 應(yīng)得到國家保密部門或有關(guān)主管部門的認(rèn)可，其他物理安全要求均應(yīng)符合國家有關(guān)保密標(biāo)準(zhǔn)。

第十五條 保密部門應(yīng)定期組織對安裝、使用涉密計算機信息系統(tǒng)場所的保密技術(shù)檢查。

第十六條 保密部門應(yīng)依照有關(guān)法規(guī)和標(biāo)準(zhǔn)對建設(shè)中的涉密計算機信息系統(tǒng)進行保密監(jiān)督和技術(shù)檢 查。

第十七條 在采購計算機安全產(chǎn)品時，其產(chǎn)品必須有國家安全管理部門頒發(fā)的許可證，選購的密碼產(chǎn) 品應(yīng)符合國家有關(guān)主管部門對普密、商密管理規(guī)定。

第四章 涉密信息管理

第十八條 存儲涉密信息的計算機媒體介質(zhì)（包括軟盤、硬盤、光盤、U盤等），應(yīng)按所存儲信息的 最高密級標(biāo)明密級，并按相應(yīng)的密級進行管理；對不再使用的媒體介質(zhì)應(yīng)送交保密部門及時銷毀。

第十九條 涉及國家秘密和村鎮(zhèn)銀行商業(yè)秘密的信息，不得在與國際互聯(lián)網(wǎng)相聯(lián)的計算機信息系統(tǒng)中編 輯、存儲、運行、傳遞、發(fā)布，確保信息的機密性、完整性和可用性。

第二十條 上網(wǎng)信息的保密管理實行“誰上網(wǎng)誰負(fù)責(zé)”的辦法。各級行應(yīng)根據(jù)國家保密法規(guī)，實行上網(wǎng)信息保密審批領(lǐng)導(dǎo)責(zé)任制，提供主頁制作服務(wù)的單位，要對自己制作的主頁承擔(dān)具體保密責(zé)任。

第二十一條 涉密信息必須按照保密規(guī)定進行采集、存儲、處理、傳遞、使用和銷毀，應(yīng)當(dāng)符合下列 要求：

（一）計算機信息系統(tǒng)存儲、處理、傳輸、輸出的涉密信息要有相應(yīng)的密級標(biāo)識，密級標(biāo)識不能與正文分離；

（二）涉密信息在存儲、傳輸中，必須采取加密措施，防止信息非授權(quán)泄露；

（三）使用加密措施應(yīng)當(dāng)與涉密信息的密級相同，并得到有權(quán)部門認(rèn)證；

（四）涉密信息的復(fù)制、分發(fā)、輸出必須得到有效的控制，并按相應(yīng)密級的文件進行管理；

（五）涉密信息的銷毀必須有效且不可恢復(fù)。

第二十二條 凡使用電子郵件進行網(wǎng)上信息交流的，應(yīng)當(dāng)遵守國家和村鎮(zhèn)銀行有關(guān)的保密規(guī)定，不得轉(zhuǎn)發(fā)、傳遞或抄送國家秘密和村鎮(zhèn)銀行商業(yè)秘密信息。第二十三條 涉密信息的數(shù)據(jù)庫必須有與涉密信息密級相適應(yīng)的安全保密措施，確保涉密信息在建 庫、檢索、修改、輸出等環(huán)節(jié)的保密。

（一）用身份驗證方法對用戶注冊和鑒別；

（二）對不同用戶設(shè)置不同的用戶權(quán)限，控制用戶對數(shù)據(jù)的操作權(quán)限和訪問范圍；

（三）建立系統(tǒng)日志和數(shù)據(jù)備份。

第五章 系統(tǒng)管理

第二十四條 涉密計算機信息系統(tǒng)，不得直接或間接與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)聯(lián)接，必須實行物理隔離。

第二十五條 涉密計算機信息系統(tǒng)應(yīng)采取有效的防病毒、防黑客措施。外來文件在執(zhí)行或打開前，應(yīng)先進行病毒和黑客程序的檢測和清除。

第二十六條 涉密計算機信息系統(tǒng)中涉及國家秘密信息的各種程序，應(yīng)當(dāng)在建庫、檢索、修改、打印 等環(huán)節(jié)設(shè)置保密措施，其保密措施應(yīng)按處理秘密信息的最高密級進行管理。

第二十七條 涉密網(wǎng)絡(luò)內(nèi)部，應(yīng)當(dāng)采取身份認(rèn)證、數(shù)字簽名、訪問控制、監(jiān)控管理、信息加密、數(shù)據(jù) 保護、審計跟蹤等措施。

（一）涉密網(wǎng)絡(luò)的訪問應(yīng)按權(quán)限控制，不得越權(quán)操作。訪問、處理秘密級、機密級信息，應(yīng)按用戶類別控制；

（二）涉密計算機網(wǎng)絡(luò)系統(tǒng)的通信應(yīng)采用完整性校驗技術(shù)，以確保信息的完整性；

（三）涉密計算機網(wǎng)絡(luò)應(yīng)當(dāng)采取身份認(rèn)證技術(shù)，防止冒充和非法訪問；

（四）涉密計算機網(wǎng)絡(luò)應(yīng)采用加密措施，保證信息在處理、存儲、傳輸過程中的安全性。

第二十八條 涉密計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)符合《涉及國家秘密的計算機信息系統(tǒng)保密技術(shù)要求》所規(guī)定的其他安全保密措施。第二十九條 涉密計算機在進行維護檢修時，對涉密信息應(yīng)采取安全保密措施（將涉密信息轉(zhuǎn)儲后徹 底刪除）。無法采取上述措施時，安全保密人員和業(yè)務(wù)人員必須在維修現(xiàn)場，對維修人員、維修對象、維 修內(nèi)容進行監(jiān)督并詳細記錄。

第六章 考評及獎懲

第三十條 村鎮(zhèn)銀行要定期對涉密計算機信息系統(tǒng)的運行、維護、使用情況進行檢查和綜合考評，并對檢查和綜合考評結(jié)果予以通報；對在計算機信息系統(tǒng)保密工作中做出顯著成績的單位、部門和個人，應(yīng)給 予表彰。

第三十一條 違反本規(guī)定的使用單位、部門和個人，由村鎮(zhèn)銀行保密部門責(zé)令其停止使用，限期整改。對拒不執(zhí)行整改，又不停止使用，而造成泄密的，應(yīng)根據(jù)《村鎮(zhèn)銀行違規(guī)違紀(jì)行為處分管理辦法》，給予有關(guān)責(zé)任人相應(yīng)處罰。對違反本規(guī)定泄露國家秘密的，依據(jù)國家有關(guān)規(guī)定和法律，追究有關(guān)領(lǐng)導(dǎo)和直接責(zé)任人的責(zé)任，造成重大損失的，要從嚴(yán)處罰，直至追究刑事責(zé)任。

第七章 附 則

第三十二條 各支行可依據(jù)本辦法，結(jié)合實際情況，制定具體實施細則。第三十三條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)制定、解釋和修訂。

第三十四條 本辦法自發(fā)布之日起施行，原規(guī)定與本辦法相抵觸的，以本辦法為準(zhǔn)。

第四篇：計算機信息系統(tǒng)管理制度

計算機信息系統(tǒng)管理制度

一、目的

為加強對信息系統(tǒng)的管理,確保公司信息系統(tǒng)正常運行，防止各種因素對信息系統(tǒng)造成危害，嚴(yán)格信息系統(tǒng)授權(quán)管理，確保信息系統(tǒng)的高效、安全運行。

二、適用范圍

適用于公司所有信息系統(tǒng)的管理,包括單機和網(wǎng)絡(luò)系統(tǒng)。

三、職責(zé)

計算機管理員負(fù)責(zé)監(jiān)督本制度實施。

四、定義

IT設(shè)備指除PC外的信息系統(tǒng)設(shè)備。

五、內(nèi)容

1、硬件管理 1.1計算機設(shè)備購置

1.1.1各部門根據(jù)工作需要提出計算機設(shè)備購買申請，填寫《設(shè)備設(shè)施購置申請表》交辦公室、財務(wù)部簽署意見后報總經(jīng)理審批；

1.1.2計算機管理員根據(jù)總經(jīng)理的批復(fù)后實施。購買時至少挑選3家供應(yīng)商進行比較，考慮：價格、供應(yīng)商的合法性、質(zhì)量承諾和售后服務(wù)的信譽度、設(shè)備能否滿足使用部門的需要、設(shè)備是否易于調(diào)整且可靠性高；

1.1.3設(shè)備購置后，計算機管理員會同供應(yīng)商進行設(shè)備安裝，試運行正常，計算機管理員建立《計算機設(shè)備管理臺賬》，將設(shè)備編號后交與使用部門；

1.1.4計算機硬件設(shè)備的原始資料（光盤、說明書及保修卡、許可證協(xié)議等）根據(jù)檔案保管要求保管。使用者必需的操作手冊由使用者保管。

1.2計算機的使用

1.2.1各部門的計算機只能由計算機管理員授權(quán)及培訓(xùn)的員工操作使用； 1.2.2使用者應(yīng)保持設(shè)備及其所在環(huán)境的清潔。下班時，需關(guān)機切斷電源； 1.2.3使用者的業(yè)務(wù)數(shù)據(jù)，應(yīng)嚴(yán)格按照要求妥善存儲在網(wǎng)絡(luò)上相應(yīng)的位置上； 1.2.4未經(jīng)許可，使用者不可增刪硬盤上的應(yīng)用軟件和系統(tǒng)軟件； 1.2.5嚴(yán)禁使用計算機玩游戲。1.3計算機設(shè)備維護

1.3.1計算機設(shè)備不準(zhǔn)私自隨意拆裝,必須由計算機管理員對計算機設(shè)備進行維護，對

使用人員的報修及維修需填寫《硬件設(shè)備故障及維修記錄》；

1.3.2一切硬件設(shè)備不準(zhǔn)帶出機房及辦公場所(如必要時必須經(jīng)過公司相關(guān)部門領(lǐng)導(dǎo)同意)。

1.4計算機設(shè)備的報廢

1.4.1計算機設(shè)備需要報廢時，使用部門提出申請，填寫《設(shè)備報廢申請單》，交財務(wù)部審核后，報總經(jīng)理批準(zhǔn)；

1.4.2財務(wù)部根據(jù)總經(jīng)理批復(fù)，實施財務(wù)核銷；

1.4.3使用部門將已同意報廢的設(shè)備與《設(shè)備報廢申請單》一起計算機管理員；不得隨意亂放處置，應(yīng)按照清單辦理報廢銷毀手續(xù)，由計算機管理員統(tǒng)一處理；

1.4.4計算機管理員注銷《計算機設(shè)備管理臺帳》，并將已報廢的設(shè)備按照清單辦理銷毀手續(xù)。

1.5硬件安全管理 1.5.1 PC安全

◆任何個人未經(jīng)計算機管理員許可，不得擅自拆裝電腦機箱；

◆員工應(yīng)盡力防止任何液體進入機箱，顯示器，鍵盤、鼠標(biāo)及外部設(shè)備。一旦發(fā)生此類情況，須立即關(guān)閉相關(guān)設(shè)備電源，并報告計算機管理員。鍵盤進水請立即將鍵盤倒置以減輕損害程度；

◆計算機管理員應(yīng)建立《計算機設(shè)備管理臺帳》，詳細記錄每臺PC的編號，IP地址，使用人及所屬部門；發(fā)生變更時及時更改記錄。

1.5.2機房安全

◆無人值守時機房必須上鎖；

◆機房鑰匙由計算機管理員，備用鑰匙由辦公室保管；計算機管理員不得擅自將鑰匙交于他人使用，離開機房后應(yīng)鎖閉機房；

◆任何人不得攜帶飲料或其他液體、未包裝的食品進入機房，任何人不得在機房內(nèi)進食或打開食品包裝；

◆機房內(nèi)嚴(yán)禁吸煙；

◆機房溫度應(yīng)保持在18℃?25℃；計算機管理員應(yīng)經(jīng)常注意機房空調(diào)設(shè)備的運行狀況，一旦空調(diào)設(shè)備發(fā)生運行故障，須及時通知辦公室進行修理；

◆機房內(nèi)設(shè)備放置應(yīng)合理有序，線路連接應(yīng)保持整潔，相關(guān)標(biāo)簽清晰。1.5.3 IT設(shè)備安全

◆服務(wù)器的開機前，負(fù)責(zé)硬件安全檢查，作《計算機安全值班記錄》。必須由計算機管理員單獨負(fù)責(zé)并進行操作，并做《服務(wù)器使用記錄》；

◆計算機管理員應(yīng)建立《IT設(shè)備及供應(yīng)商、報修電話一覽表》，詳細記錄每種設(shè)備的型號，供貨商及維修電話，以在設(shè)備發(fā)生故障時可以第一時間聯(lián)系到供貨商或生產(chǎn)廠家。

2、軟件管理 2.1備份

2.1.1所有系統(tǒng)軟件和應(yīng)用軟件,由公司計算機管理員列表登記《軟件一覽表》，備制二份,一份使用,一份保存；

2.1.2所有信息數(shù)據(jù),應(yīng)當(dāng)按《服務(wù)備份管理細則》進行復(fù)制備份,并由計算機管理員負(fù)責(zé)保管。

2.2維護更新

軟件維護更新必須按規(guī)定的要求執(zhí)行。2.3文件病毒防治

2.3.1計算機管理員負(fù)責(zé)在服務(wù)器及個人微機上統(tǒng)一安裝防病毒軟件并將不定期檢查員工的計算機。任何個人未經(jīng)許可不得卸除或關(guān)閉防病毒程序，如發(fā)現(xiàn)有私自卸除或關(guān)閉防病毒程序的情況，將立即制止并上報該部門主管；

2.3.2計算機管理員負(fù)責(zé)定期發(fā)布更新的防病毒軟件及其病毒庫，并根據(jù)需要通知員工執(zhí)行必要的防范措施。員工應(yīng)積極配合信息系統(tǒng)管理員的工作；

2.3.3員工一旦發(fā)現(xiàn)或懷疑自己的計算機被病毒感染時，應(yīng)該立即停止一切操作，斷開網(wǎng)絡(luò)，并向計算機管理員報告；

2.3.4計算機管理員接到病毒報告后，應(yīng)立即檢查被感染情況，作必要的記錄，并清除病毒。同時，應(yīng)通知相關(guān)人員，以協(xié)助防止病毒的擴散。

2.4電子郵件病毒防治

2.4.1應(yīng)在電子郵件服務(wù)器上安裝郵件病毒掃描程序；

2.4.2計算機管理員應(yīng)確保郵件病毒掃描程序正常運行，并能有效攔截郵件病毒； 2.4.3因工作需要使用外部郵件系統(tǒng)，應(yīng)確認(rèn)防病毒程序正常工作。對可疑郵件應(yīng)先聯(lián)系計算機管理員再作處理。

2.5保密要求

2.5.1計算機存貯、傳輸?shù)男畔儆谄髽I(yè)商業(yè)機密,各部門的加密軟件盒必須妥善保管,如發(fā)生加密盒丟失、信息泄密及因其造成后果的,由計算機管理員負(fù)責(zé)。如因操作發(fā)生失

誤所致,其責(zé)任由操作員承擔(dān)；

2.5.2涉密信息的處理應(yīng)通過單機獨立工作,其信息介質(zhì)應(yīng)由專人負(fù)責(zé)保管,并按相應(yīng)密級的文件進行管理；

2.5.3各部門計算機因故障需要送外修理,必須由計算機管理員辦理,同時必須有效清除硬盤信息或卸下硬盤,不得泄密信息；

2.5.4建立賬號審批制度，加強對信息系統(tǒng)的訪問權(quán)限管理，系統(tǒng)訪問過程中不相容崗位（或職責(zé)）一般應(yīng)包括：申請、審批、操作、監(jiān)控；

2.5.5當(dāng)發(fā)生崗位變化或離崗的用戶，部門負(fù)責(zé)人應(yīng)通知計算機管理員，及時調(diào)整其在系統(tǒng)中的訪問權(quán)限；

2.5.6系統(tǒng)操作人員應(yīng)當(dāng)在權(quán)限范圍內(nèi)進行操作，不得利用他人的口令和密碼進入信息系統(tǒng)。更換操作人員或密碼泄密后，必須及時更改密碼。操作人員如果離開工作現(xiàn)場，必須在離開前鎖定或退出已經(jīng)運行的程序，防止其他人員越權(quán)操作或散發(fā)不當(dāng)信息；

2.5.7對于特權(quán)用戶，企業(yè)應(yīng)該對其在系統(tǒng)中的操作進行監(jiān)控，并定期審閱監(jiān)控日志； 2.5.8計算機管理員應(yīng)當(dāng)定期對系統(tǒng)中的賬號進行審閱，避免有授權(quán)不當(dāng)或冗余賬號存在。

3、網(wǎng)絡(luò)安全 3.1互聯(lián)網(wǎng)連接安全

3.1.1計算機管理員應(yīng)保證公司局域網(wǎng)與國際互聯(lián)網(wǎng)的網(wǎng)絡(luò)連接有效；出現(xiàn)故障應(yīng)及時與網(wǎng)絡(luò)接入運營商聯(lián)系，排除故障；

3.1.2計算機管理員應(yīng)經(jīng)常察看防火墻或網(wǎng)關(guān)設(shè)備狀態(tài)，確保其正常運行； 3.1.3計算機管理員在必要時可更改防火墻規(guī)則或網(wǎng)關(guān)設(shè)備的數(shù)據(jù)傳送規(guī)則，以阻止有害信息包的傳遞；

3.2賬號安全

3.2.1用戶應(yīng)使用自己的獨立賬號訪問公司郵件服務(wù)器或應(yīng)用系統(tǒng)，非特殊情況不得與他人共享賬號；

3.2.2計算機管理員為每位用戶設(shè)立初始密碼時，密碼長度至少為6位，必須包括英文字母、數(shù)字、及標(biāo)點符號三種字符中的至少兩種；

3.2.3對于電子郵件賬號，計算機管理員應(yīng)根據(jù)實際情況設(shè)置賬號鎖定策略。如登錄失敗3次則鎖定該用戶30分鐘；

3.2.4對于公司重要賬號的密碼管理，應(yīng)加強安全管理，定期檢查更新安全措施。

3.3服務(wù)器安全

3.3.1服務(wù)器管理員密碼嚴(yán)禁為空，設(shè)置高級密碼強度；

3.3.2服務(wù)器只安裝必要的服務(wù)及應(yīng)用程序；與公司業(yè)務(wù)無關(guān)的服務(wù)組件及應(yīng)用軟件不得安裝；

3.3.3除非公司關(guān)鍵業(yè)務(wù)服務(wù)器應(yīng)取消缺省的驅(qū)動器共享；

3.3.4必須針對每臺服務(wù)器提供相應(yīng)的備份策略，并記錄到信息系統(tǒng)備份計劃中； 3.3.5計算機管理員應(yīng)及時為服務(wù)器的操作系統(tǒng)及應(yīng)用軟件安裝補丁程序，避免因軟件漏洞造成黑客或病毒入侵；

3.3.6除非服務(wù)器本地登錄應(yīng)處于鎖定狀態(tài)或未登錄狀態(tài)； 3.4局域網(wǎng)安全

3.4.1公司網(wǎng)絡(luò)結(jié)構(gòu)由計算機管理員統(tǒng)一規(guī)劃建設(shè)并負(fù)責(zé)管理維護，任何部門和個人不得私自更改。個人電腦及實驗環(huán)境設(shè)備等所用IP地址必須按信息系統(tǒng)管理員指定的方式設(shè)置，不得擅自改動；

3.4.2嚴(yán)禁任何人以任何手段，蓄意破壞公司網(wǎng)絡(luò)的正常運行，或竊取公司網(wǎng)上的保密信息；

3.4.3公司網(wǎng)上服務(wù)如DNS、DHCP、WINS等由計算機管理員統(tǒng)一規(guī)則，任何部門和個人不得在網(wǎng)上擅自設(shè)置該類服務(wù)；

3.4.4除計算機管理員外，嚴(yán)禁任何人安裝、使用任何包捕獲程序、嗅探器及密碼破解程序；

3.4.5工作必需軟件由計算機管理員負(fù)責(zé)安裝，任何個人未經(jīng)許可不得擅自安裝任何軟件；

3.4.6計算機管理員應(yīng)及時提醒和幫助用戶對PC的操作系統(tǒng)及應(yīng)用軟件安裝補丁程序，避免因軟件漏洞造成黑客或病毒入侵；

4公司計算機信息系統(tǒng)權(quán)限管理

4.1公司所使用的計算機信息系統(tǒng)（以下簡稱CMS）權(quán)限管理采用人員控制、部門控制、功能授權(quán)、數(shù)據(jù)導(dǎo)出專項控制限制等功能模塊交叉管理，功能授權(quán)采用按職能定位設(shè)置工作小組，按工作小組分配人員，實現(xiàn)功能授權(quán)管理。確保系統(tǒng)和數(shù)據(jù)的安全；

4.2申請部門填寫《信息系統(tǒng)授權(quán)申請登記表》，計算機管理員對人員進行核定。4.3計算機管理員對使用授權(quán)進行核定。4.4報總經(jīng)理批準(zhǔn)。

4.5計算機管理員實施，建立用戶使用賬戶，并通知用戶。4.6計算機管理員存檔《信息系統(tǒng)授權(quán)申請登記表》。

第五篇：信息系統(tǒng)驗收管理辦法

7信息系統(tǒng)驗收管理辦法

第一章 總則

第一條 為保障******（局）公司信息系統(tǒng)升級（新建）改造項目(以下簡稱“項目”)的建設(shè)質(zhì)量和投資效益，規(guī)范和加強項目管理，按照《煙草行業(yè)計算機軟件投資項目管理辦法》等有關(guān)規(guī)定，結(jié)合本單位實際情況，制定本辦法。

第二條 本辦法適用于使用財政性資金的和******（局）公司自行調(diào)整資金的信息系統(tǒng)升級改造項目。

第三條 項目驗收包括系統(tǒng)初驗、系統(tǒng)試運行、竣工驗收三個環(huán)節(jié)。第四條 信息中心項目負(fù)責(zé)人負(fù)責(zé)信息化建設(shè)項目驗收的組織管理工作。

第二章 系統(tǒng)初驗

第五條 項目開發(fā)單位在項目完成后1個月內(nèi)，向信息中心提出項目竣工驗收申請，并填寫《信息化建設(shè)項目竣工驗收申請表》（詳見附表一），同時提交以下材料：

(一)軟件測試報告。

(二)信息安全測評報告。

(三)系統(tǒng)測試方案。

(四)系統(tǒng)測試用例。

(五)系統(tǒng)使用手冊。

(六)其他相關(guān)資料和文件。

原則上，滿足以下條件之一的項目，其軟件測試、信息安全測評以及其他需要的測試必須由具有資質(zhì)的第三方機構(gòu)實施并形成測評報告：

(一)信息安全等級保護在三級及以上的。

(二)納入國家局、省局、市公司重要信息系統(tǒng)目錄的。

(三)涉及核心業(yè)務(wù)、信息資源、基礎(chǔ)設(shè)施、跨部門業(yè)務(wù)協(xié)同、公眾利益的重大項目。

第六條 項目負(fù)責(zé)人經(jīng)過初步驗收征得主管領(lǐng)導(dǎo)同意后，方可開展項目初驗，并組織信息系統(tǒng)使用人員開展信息系統(tǒng)使用測評，財務(wù)人員啟動資金使用情況總結(jié)，項目負(fù)責(zé)人（監(jiān)理單位）開展初步總結(jié)。

第七條 項目負(fù)責(zé)人督促信息系統(tǒng)使用人員熟悉系統(tǒng)功能，經(jīng)過培訓(xùn)后按照系統(tǒng)測試用例并結(jié)合業(yè)務(wù)實際需求開展測試，形成系統(tǒng)使用測試意見并簽字。測試過程中，項目開發(fā)單位應(yīng)當(dāng)配合需求單位對信息系統(tǒng)使用人員進行測試指導(dǎo)。信息系統(tǒng)使用人員重點測試內(nèi)容包括：

(一)信息系統(tǒng)功能是否符合需求規(guī)格說明書的業(yè)務(wù)流程和業(yè)務(wù)需求。

(二)信息系統(tǒng)數(shù)據(jù)處理是否正確。

(三)信息系統(tǒng)性能是否滿足業(yè)務(wù)要求。

(四)信息系統(tǒng)是否易于操作，并具較好的容錯性。

第八條 項目開發(fā)單位按信息系統(tǒng)使用人員的測試意見對信息系統(tǒng)進行調(diào)整，并再次開展信息系統(tǒng)使用測試。對于有重大調(diào)整的項目，項目開發(fā)單位還應(yīng)當(dāng)再次組織軟件測試和信息安全測評。

第九條 在項目滿足項目合同約定、通過信息系統(tǒng)使用測試、經(jīng)費使用符合財務(wù)規(guī)定后，項目負(fù)責(zé)人應(yīng)當(dāng)組織主管領(lǐng)導(dǎo)、系統(tǒng)使用者代表、安全管理員、項目開發(fā)單位、（監(jiān)理單位）以及信息化專家召開項目初驗評審會，相關(guān)各方共同簽字確認(rèn)形成“項目初步驗收意見”。通過初驗后，對于初驗中遺留的問題，開發(fā)單位要做好遺留問題記錄并在試運行前完成系統(tǒng)調(diào)整。

第三章 系統(tǒng)試運行

第十條 項目通過初步驗收后進入系統(tǒng)試運行環(huán)節(jié)，項目負(fù)責(zé)人和項目需求單位應(yīng)當(dāng)確定試運行范圍、設(shè)定試運行目標(biāo)，制定各方協(xié)調(diào)機制和試運行計劃，組織相關(guān)的業(yè)務(wù)人員開展試運行。開發(fā)單位應(yīng)當(dāng)制定系統(tǒng)維護方案、培訓(xùn)計劃和培訓(xùn)教材。

第十一條 項目開發(fā)單位應(yīng)當(dāng)進行系統(tǒng)試運行環(huán)境準(zhǔn)備，部署信息系統(tǒng)，開展業(yè)務(wù)人員系統(tǒng)使用培訓(xùn)，在試運行期間提供技術(shù)支持并跟蹤系統(tǒng)試運行情況。（監(jiān)理單位對試運行情況開展監(jiān)理工作。）

第十二條 項目負(fù)責(zé)人協(xié)助系統(tǒng)試運行業(yè)務(wù)人員重點驗證在真實的業(yè)務(wù)環(huán)境中，系統(tǒng)的穩(wěn)定性和可用性，是否符合業(yè)務(wù)需求、業(yè)務(wù)流程要求、數(shù)據(jù)處理和存儲要求，對于試運行期間出現(xiàn)的各項問題予以記錄并提出系統(tǒng)改進意見，形成業(yè)務(wù)人員試運行反饋意見并簽字確認(rèn)。

第十三條 項目開發(fā)單位應(yīng)當(dāng)按照業(yè)務(wù)人員試運行反饋意見修改系統(tǒng)、完善系統(tǒng)功能、優(yōu)化系統(tǒng)性能。項目建設(shè)單位再次組織業(yè)務(wù)人員開展試運行評價。第十四條 項目達到試運行目標(biāo)后，項目負(fù)責(zé)人組織召開系統(tǒng)試運行總結(jié)會，項目需求單位、項目開發(fā)單位、監(jiān)理單位應(yīng)當(dāng)共同簽字確認(rèn)形成項目試運行評價意見。

第四章 竣工驗收

第十五條 信息系統(tǒng)通過試運行后，項目負(fù)責(zé)人應(yīng)當(dāng)組織項目各方準(zhǔn)備竣工驗收相關(guān)材料。包括：

(一)項目負(fù)責(zé)人整理、編寫的驗收材料：

1、立項批復(fù)。

2、招投標(biāo)文件。

3、項目合同。

4、系統(tǒng)使用測試意見。

5、項目初步驗收意見。

6、業(yè)務(wù)人員試運行反饋意見。

7、項目試運行評價意見。

8、其他和項目建設(shè)單位有關(guān)的材料。

(二)項目開發(fā)單位整理、編寫的驗收材料：

1、需求規(guī)格說明書。

2、項目驗收技術(shù)規(guī)范。

3、項目建設(shè)總結(jié)報告。

4、軟件測試報告。

5、信息安全測評報告。

6、項目建設(shè)技術(shù)方案。

7、其他和項目開發(fā)單位有關(guān)的材料。

(三)監(jiān)理單位整理、編寫的驗收材料：

1、項目監(jiān)理總結(jié)報告。

2、其他和監(jiān)理單位有關(guān)的材料。

(四)共同編寫的驗收材料：

1、項目總結(jié)報告和初步?jīng)Q算報告。

2、修改后的至少兩年的信息系統(tǒng)保修方案。保修方案應(yīng)當(dāng)界定保修的內(nèi)容，明確開發(fā)單位的保修責(zé)任、自工程竣工驗收合格之日起至少兩年的保修期限、保修方式、保修響應(yīng)時間以及保修費用的承擔(dān)方式。