第一篇：信息安全管理規(guī)定

信息安全管理規(guī)定

2010 年我公司建立并實行質(zhì)量、環(huán)境、職業(yè)健康“三標(biāo)”整合型管理體系的第一年。作為涵蓋研發(fā)和生產(chǎn)制造企業(yè),信息安全化建設(shè)同等重要，公司領(lǐng)導(dǎo)也高度重視。院四標(biāo)體系的建設(shè)，特別是信息安全體系的建設(shè)，是安全管理工作的重要組成部分。按公司的要求工作中信息安全要逐步做到制度化、常態(tài)化。在領(lǐng)導(dǎo)的統(tǒng)一指導(dǎo)和推進(jìn)下，邊學(xué)習(xí)邊實踐，將信息安全意識貫徹到每一個員工的工作中。一：通過開展多種形式的信息安全宣傳，提高員工安全意識 安全意識是信息安全的第一道防線，信息安全管理要想做好，提高全體員工的安全意識是關(guān)鍵。為此，我認(rèn)為公司相關(guān)部門和責(zé)任人要認(rèn)真策劃，在公司內(nèi)部進(jìn)行了大量的信息安全相關(guān)的宣傳工作。這些宣傳要達(dá)到效果，就不能是枯燥的，喊口號式的宣傳，而應(yīng)該喜聞樂見，生動活潑，結(jié)合實際，便于操作。為此，我們可以制作了形象生動的海報在公司內(nèi)部宣傳欄進(jìn)行張貼；針對廣大員工對信息安全應(yīng)該如何做的困惑，編寫 “信息安全實用操作手冊”的方式發(fā)給公司員工等，讓信息安全意識在全體員工中逐步形成。

二、通過組織各類檢查，督促員工把自身的信息安全工作做好 為確保切實增強全體員工的安全意識和安全行為習(xí)慣，光靠宣傳還不夠。公司成立信息安全的管理工作組，主要領(lǐng)導(dǎo)擔(dān)任管理者代表，設(shè)置專職安全員和各部門安全責(zé)任人和安全員，在公司內(nèi)部組織信息安全的內(nèi)部檢查工作，檢查不拘泥于形式，明確檢查的項目內(nèi)容，比如：首先檢查公司內(nèi)所有內(nèi)網(wǎng)機。通過檢查一方面是摸清公司內(nèi)網(wǎng)機情況，另一方面就是通過檢查對公司所有內(nèi)網(wǎng)機進(jìn)行一次安全加固，確保內(nèi)網(wǎng)機的信息安全。通過檢查，所有內(nèi)網(wǎng)機在帳號、口令、機器補丁、網(wǎng)絡(luò)和服務(wù)、日志審核等方面進(jìn)行加固等。其次擴(kuò)大一些范圍 檢查包括公司所有的內(nèi)外網(wǎng)終端及服務(wù)器等。因為覆蓋面廣，工作量大，檢查可以采取信息安全的檢查工具——漏洞掃描儀來進(jìn)行自動檢查。檢查之前并未通知各部門，可以說這次檢查結(jié)果真實的反映了公司當(dāng)時內(nèi)外網(wǎng)機的信息安全情況。檢查結(jié)束后，檢查組根據(jù)檢查結(jié)果對問題機器下發(fā)了整改通知，并給出具體的整改意見。整改結(jié)束后又進(jìn)行了一次掃描檢查，其三是采取自查和抽查相結(jié)合的方式。自查時間、自查內(nèi)容及加固方法通過郵件方式群發(fā)給公司員工。在自查期結(jié)束后，信息安全工作組再制定了抽查計劃，各部門按一定比例抽查內(nèi)外網(wǎng)機，并對發(fā)現(xiàn)問題的機器現(xiàn)場進(jìn)行加固整改工作。這樣通過一次次的檢查，讓公司的員工開始養(yǎng)成了良好的工作習(xí)慣，如設(shè)置強登錄口令、禁用Guest 帳戶、及時升級系統(tǒng)補丁、設(shè)置自動屏保、關(guān)閉自定義共享等。

三、加強信息安全相關(guān)的設(shè)施管理 1）安全存儲介質(zhì)的統(tǒng)一管理

根據(jù)院移動介質(zhì)使用管理規(guī)定的精神，我們制定了切實可行的安 全移動介質(zhì)管理方案。安全移動存儲介質(zhì)由信息中心統(tǒng)一制作好后，由公司負(fù)責(zé)統(tǒng)一編號并進(jìn)行登記發(fā)放工作。員工在申領(lǐng)安全存儲介 質(zhì)時需要進(jìn)行申請審批，公司安全員定期對安全存儲介質(zhì)做好查檢清點工作，確保每一個發(fā)放出去的安全移動介質(zhì)能夠追溯到責(zé)任人。員工離職時，安全員負(fù)責(zé)安全移動介質(zhì)的收回工作。2）服務(wù)器的統(tǒng)一安全管理

整合后的公司設(shè)置了專門的服務(wù)器室，要求各部門的服務(wù)器進(jìn)行 統(tǒng)一集中存放管理。為加強管理，公司設(shè)置了服務(wù)器室管理員，編制 了服務(wù)器室管理規(guī)定，對出入和內(nèi)部日常環(huán)境安全進(jìn)行統(tǒng)一管理。建 立了服務(wù)器臺帳，每臺服務(wù)器都落實到部門和責(zé)任人。另外，對于有時發(fā)生的非計劃停電，對公司的服務(wù)器造成一定沖擊，可能造成服務(wù)器硬件損壞的情況可采取UPS電源的措施，即使短時間停電，服務(wù)器正常工作不受影響。3）內(nèi)外網(wǎng)機的統(tǒng)一接入管理

在內(nèi)外網(wǎng)機管理方面，公司設(shè)置了專人負(fù)責(zé)對內(nèi)外網(wǎng)機接入進(jìn)行 管理，包括內(nèi)外網(wǎng)機的申請、員工離職注銷、變更以及內(nèi)網(wǎng)機的桌面 安裝等。對公司的內(nèi)外網(wǎng)機，建立了完整的內(nèi)外網(wǎng)機清單，在我們進(jìn) 行工具設(shè)備進(jìn)行內(nèi)外網(wǎng)機掃描檢查時，能幫助我們很快定位到問題機 器。

以上是我對公司在信息安全管理及體系建設(shè)方面開展工作的一些建議，希望我們能摸著石頭過河，工作開展具有可行性和實用性，把公司的信息安全防護(hù)工作做好。

第二篇：信息安全管理規(guī)定

信息安全管理規(guī)定

目 錄

1.1.1信息安全管理規(guī)定...................................................2

一、總則........................................................2

二、適用范圍....................................................2

三、職責(zé)........................................................2

四、管理規(guī)定....................................................2

五、信息安全風(fēng)險評估............................................6

六、附則........................................................7 1.1.2.計算機病毒防范管理規(guī)定........................................8 1.1.3信息系統(tǒng)管理制度.................................................11

一、業(yè)務(wù)主管職責(zé)...............................................11

二、系統(tǒng)管理員具體職責(zé)：.......................................12

三、系統(tǒng)管理員操作管理制度.....................................12

四、系統(tǒng)管理員備份管理制度.....................................13

五、軟件管理制度...............................................13

六、數(shù)據(jù)管理制度...............................................14

七、系統(tǒng)維護(hù)管理制度...........................................15

八、檔案及數(shù)據(jù)管理制度.........................................16 1.1.4中心機房管理規(guī)定.................................................18

一、機房人員日常行為準(zhǔn)則.......................................18

二、機房安全制度...............................................18

三、機房用電安全制度...........................................19

四、機房消防安全制度...........................................19

五、機房硬件設(shè)備安全使用制度...................................20

六、軟件安全使用制度...........................................21

七、機房資料、文檔和數(shù)據(jù)安全制度...............................22

八、機房財產(chǎn)登記和保護(hù)制度.....................................22

九、機房巡檢制度...............................................22

信息安全管理規(guī)定

1.1.1信息安全管理規(guī)定

一、總則

為加強公司管理處計算機信息體系資產(chǎn)安全的保護(hù)，保障公司信息化體系連續(xù)可靠正常地運行，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際網(wǎng)管理暫行規(guī)定》和相關(guān)行政法規(guī)，結(jié)合公司管理處實際狀況，特制訂本規(guī)定。

二、適用范圍

本規(guī)定適用于公司管理處所有員工，所有公司電子信息設(shè)備、版權(quán)軟件、電子信息系統(tǒng)、電子信息文件、客戶和廠商及兄弟單位提供給公司的所有電子信息資料的安全管理。

三、職責(zé)

3.1技術(shù)保障部負(fù)責(zé)本規(guī)定的制訂和修訂。3.2各級部門主管負(fù)責(zé)本規(guī)定在本部門的落實。

3.3技術(shù)保障部負(fù)責(zé)對本規(guī)定的執(zhí)行情況開展定期或不定期的檢查和指導(dǎo)。

四、管理規(guī)定 4.1電子產(chǎn)品資產(chǎn)管理

4.1.1公司所有辦公電腦（含筆記本電腦）與相關(guān)電子產(chǎn)品屬公司資產(chǎn)，任何部門及個人無權(quán)侵占、挪為私用。4.1.2公司所有辦公電腦及相關(guān)電子產(chǎn)品由技術(shù)保障部統(tǒng)一做資產(chǎn)編號、建立臺帳、調(diào)度分配，并發(fā)放給對應(yīng)的使用人員，資產(chǎn)掛靠人有該資產(chǎn)使用權(quán)，同時需承擔(dān)保管義務(wù)，任何遺失、人為破壞行為，需按照資產(chǎn)折舊值賠償。4.1.3公司所有辦公電腦及相關(guān)電子產(chǎn)品是公司配備給部門或個人的工作工具，任何人無權(quán)利用其做個人經(jīng)營或工作無關(guān)事宜，一經(jīng)發(fā)現(xiàn)提報人力資源部據(jù)公司相關(guān)規(guī)定處分。4.1.4未經(jīng)許可，不得擅自使用他人電腦，所有用戶需設(shè)置5分鐘密碼屏保，以確保離開后電腦不被他人使用。4.1.5人員離職、調(diào)崗時，請參照人事人員離職/換崗流程通知技術(shù)保障部協(xié)助所屬部門交接人員備份信息資料，接收、重新分配電腦。4.2賬號及密碼安全管理

4.2.1公司各自崗位管理員及用戶無條件對本人所負(fù)責(zé)的相關(guān)信息系統(tǒng)及軟硬件密碼負(fù)直接管理責(zé)任，未經(jīng)上級主管審批，不得將自己的賬號及密碼告訴其他人，造成損失者，對賬戶及密碼擁有人員酌情處分。

4.2.2機房設(shè)備及服務(wù)器、各信息系統(tǒng)管理員賬號統(tǒng)一由技術(shù)保障部對應(yīng)責(zé)任崗位負(fù)責(zé)，并定期修改密碼；密碼需統(tǒng)一登記在冊，并及時更新，由技術(shù)保障部經(jīng)理負(fù)責(zé)，出現(xiàn)重大泄露事件，對部門經(jīng)理及相關(guān)責(zé)任人處分。4.2.3公司官網(wǎng)、微信、微博等與公司宣傳有關(guān)的賬號、密碼，統(tǒng)一由市場營銷部門對應(yīng)崗位負(fù)責(zé)。

4.2.4因工作需要，在政府或第三方機構(gòu)等網(wǎng)站注冊的賬號、密碼，分別由各責(zé)任部門自行負(fù)責(zé)。

4.2.5具有信息系統(tǒng)權(quán)限的人員離職、調(diào)崗時，必須由技術(shù)保障部會簽離職、調(diào)崗相關(guān)單據(jù)，以及時處理相關(guān)權(quán)限。4.3計算機系統(tǒng)安全管理

4.3.1公司所有辦公電腦系統(tǒng)權(quán)限、安裝軟件、端口使用權(quán)限全部由技術(shù)保障部根據(jù)本規(guī)定統(tǒng)一設(shè)置、管控，特殊崗位因工作需要開通權(quán)限，需經(jīng)申請批準(zhǔn)后由技術(shù)保障部執(zhí)行，任何未經(jīng)批準(zhǔn)擅自更改者視情節(jié)嚴(yán)重性進(jìn)行處分。4.3.2未經(jīng)技術(shù)保障部備案許可，嚴(yán)禁擅自安裝自帶軟件，私自安裝軟件造成的版權(quán)糾紛，將由個人承擔(dān)全部相關(guān)法律責(zé)任。

4.3.3公司所有辦公電腦嚴(yán)禁安裝游戲、工作無關(guān)軟件，技術(shù)保障部不定期檢查，對并違規(guī)行為做通報。4.4網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全管理

4.4.1任何部門和個人，不得利用計算機信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)從事危害國家利益、集體利益和公民合法權(quán)益的活動，不得利用國際互聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播違法信息，任何利用公司網(wǎng)絡(luò)所作的違法行為屬個人行為，將全部由個人承擔(dān)相關(guān)法律責(zé)任，公司將配合相關(guān)部門嚴(yán)厲查處。4.4.1.1煽動抗拒、違法亂紀(jì)、顛覆國家政權(quán)、分裂國家、破壞民族團(tuán)結(jié)的；

4.4.1.2捏造或者歪曲事實，散布謠言，擾亂社會秩序的； 4.4.1.3宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；

4.4.1.4公然侮辱他人或者捏造事實誹謗他人的。4.4.2任何部門和個人不得從事下列危害公司或公共計算機信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)安全的活動，違者全部由個人承擔(dān)相關(guān)法律責(zé)任，并視情節(jié)嚴(yán)重性請相關(guān)部門追究法律責(zé)任。4.4.2.1故意制作、傳播計算機病毒等破壞性程序的； 4.4.2.2故意攻擊公共網(wǎng)絡(luò)、公共服務(wù)器、公司網(wǎng)絡(luò)、公司服務(wù)器的；

4.4.2.3其他故意危害公共網(wǎng)絡(luò)、公司網(wǎng)絡(luò)安全的行為。4.4.3 電腦IP地址是公司網(wǎng)絡(luò)管理的最重要基礎(chǔ)，公司所有辦公電腦（含筆記本電腦）由技術(shù)保障部統(tǒng)一分配IP地址，任何部門或個人無權(quán)擅自修改IP地址。

4.4.4不得利用公司網(wǎng)絡(luò)打游戲、看電影、下載工作無關(guān)資料。

4.4.5不得在公司內(nèi)部安裝、使用網(wǎng)絡(luò)代理軟件，以擾亂網(wǎng)絡(luò)管理機制。

4.4.6技術(shù)保障部需定期檢查、通報公司網(wǎng)絡(luò)使用狀況，并對違規(guī)者申請?zhí)幏帧?.5信息資料安全管理

4.5.1公司所有信息資料屬公司資產(chǎn)，各部門與個人有義務(wù)承擔(dān)本部門或個人信息資料的保密責(zé)任，并對所轄機密資料的安全承擔(dān)連帶責(zé)任。

4.5.2各部門主管需逐級制訂本部門機密資料的內(nèi)容、受限范圍、發(fā)放審批機制，并定期檢查、更新。

4.5.3未經(jīng)批準(zhǔn)，不得把本部門機密資料放置在公共網(wǎng)絡(luò)、內(nèi)部不受限共享夾、或以其他任何方式發(fā)送給受限范圍以外的人員；任何有意、無意的泄密行為都是公司嚴(yán)厲禁止的，直至追究法律責(zé)任。

4.5.4對于部分有備份安全需求的部門，可申請由技術(shù)保障部統(tǒng)一安排部署備份服務(wù)器及備份機制。4.6中心機房安全管理

詳見《公司管理處中心機房管理規(guī)定》。4.7計算機病毒防范

詳見《公司管理處計算機病毒防范管理規(guī)定》 4.8監(jiān)控資料安全管理

4.8.1監(jiān)控資料調(diào)閱管理部門為技術(shù)保障部，安防監(jiān)控錄像調(diào)閱請參照綜合管理部相關(guān)規(guī)定。

五、信息安全風(fēng)險評估 5.1隨著信息技術(shù)的不斷發(fā)展、重大信息系統(tǒng)環(huán)境的不斷改進(jìn)和改變，每年至少要進(jìn)行一次信息安全風(fēng)險評估，對相關(guān)的制度進(jìn)行重新審核，并更新不適當(dāng)?shù)膬?nèi)容。

六、附則

6.1本規(guī)定由技術(shù)保障部負(fù)責(zé)解釋。

1.1.2.計算機病毒防范管理規(guī)定

為加強計算機的安全監(jiān)察工作，預(yù)防和控制計算機病毒，保障計算機系統(tǒng)的正常運行，根據(jù)國家有關(guān)規(guī)定，結(jié)合實際情況，制定本制度。

一、凡在公司內(nèi)所轄計算機進(jìn)行操作、運行、管理、維護(hù)、使用計算機系統(tǒng)以及購置、維修計算機及其軟件的部門，必須遵守本制度。

二、本辦法所稱計算機病毒，是指編制或者在計算機程序中插入的破壞計算機系統(tǒng)功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

三、任何工作人員不得制作和傳播計算機病毒。

四、任何工作人員不得有下列傳播計算機病毒的行為： 故意輸入計算機病毒，危害計算機信息系統(tǒng)安全。向計算機應(yīng)用部門提供含有計算機病毒的文件、軟件、媒體。購置和使用含有計算機病毒的媒體。

五、預(yù)防和控制計算機病毒的安全管理工作，由技術(shù)保障部負(fù)責(zé)實施管理。其主要職責(zé)是

制定計算機病毒防治管理制度和技術(shù)規(guī)程，并檢查執(zhí)行情況； 采取計算機病毒安全技術(shù)防治措施；

對計算機信息系統(tǒng)使用人員進(jìn)行計算機病毒防治教育和培訓(xùn)； 及時檢測、清除計算機系統(tǒng)中的計算機病毒，并做好檢測、清除的記錄；

購置和使用具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品；

對因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時做好記錄，評估事故損失，保護(hù)現(xiàn)場并向公安機關(guān)報告。

六、計算機安全管理部門應(yīng)加強對計算機操作人員的審查，并定期進(jìn)行安全教育和培訓(xùn)。

七、計算機信息系統(tǒng)應(yīng)用部門應(yīng)建立計算機運行記錄制度，未經(jīng)審定的任何程序、指令或數(shù)據(jù)，不得輸入計算機系統(tǒng)運行。

八、計算機安全管理部門應(yīng)對引起的計算機及其軟件進(jìn)行計算機病毒檢測，發(fā)現(xiàn)染有計算機病毒的，應(yīng)采取措施加以消除，在未消除病毒之前不準(zhǔn)投入使用。

九、通過網(wǎng)絡(luò)進(jìn)行電子郵件或文件傳輸，應(yīng)及時對傳輸媒體進(jìn)行病毒檢測，接收到郵件時也要及時進(jìn)行病毒檢測，以防止計算機病毒的傳播。

十、積極接受公安機關(guān)對計算機病毒防治管理工作的監(jiān)督、檢查和指導(dǎo)。

十一 現(xiàn)對日常使用計算機做出如下建議 及時安裝系統(tǒng)補丁。建議使用系統(tǒng)自帶的更新程序進(jìn)行系統(tǒng)更新，不要使用諸如360安全衛(wèi)士或qq電腦管家進(jìn)行更新 安裝殺毒軟件?？梢园惭b360等免費殺毒軟件。

定期掃描系統(tǒng)是否感染有病毒，3天左右一次，可以在下班前或中午吃飯的時候進(jìn)行全盤病毒查殺。定期更新防病毒軟件。

不要亂點擊鏈接和下載軟件,目前許多下載網(wǎng)站都帶有推廣鏈接，很容易造成誤操作.如需要下載軟件,請到正規(guī)官方網(wǎng)站上下載.不要訪問無名和不熟悉的網(wǎng)站,防止受到惡意代碼攻擊或是惡意篡改注冊表和IE主頁.不要陌生人和不熟悉的網(wǎng)友聊天,特別是那些QQ病毒攜帶者,因為他們不時自動發(fā)送消息,這也是其中毒的明顯特征.關(guān)閉無用的應(yīng)用程序,因為那些程序?qū)ο到y(tǒng)往往會構(gòu)成威脅,同時還會占用內(nèi)存,降低系統(tǒng)運行速度.安裝軟件時,切記不要安裝其捆綁軟件,尤其是部分流氓軟件,一旦安裝，想要卸載十分麻煩,甚至于需要重裝系統(tǒng)才能清除.不要隨意執(zhí)行附件中的可執(zhí)行文件，一般以.com,.exe.bat作為后綴名 這些附件極有可能帶有計算機病毒或是黑客程序，輕易運行，很可能帶來不可預(yù)測的結(jié)果。對于這些可執(zhí)行程序附件都必須檢查，確定無異后才可使用。不要隨意打開附件中的文檔文件 對方發(fā)送過來的電子函件及相關(guān)附件的文檔，首先要用另存為命令(Save As)保存到本地硬盤，待用病毒查殺軟件檢查無毒后才可以打開使用。如果用鼠標(biāo)直接點擊兩下DOC、XLS等附件文檔，會自動啟用Word或 Excel，如有附件中有病毒則會立刻傳染;如有是否啟用宏的提示，那絕對不要輕易打開，否則極有可能感染上郵件病毒。

不要直接運行附件 對于文件擴(kuò)展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含這些附件的電子函件，以保證計算機系統(tǒng)不受計算機病毒的侵害，或經(jīng)過掃描之后打開。

郵件設(shè)置如果是使用Outlook作為收發(fā)電子郵件軟件的話，應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。選擇工具菜單中的選項命令，在安全中設(shè)置附件的安全性為高;在其他中按高級選項按鈕，按加載項管理器按鈕，不選中服務(wù)器腳本運行。最后按確定按鈕保存設(shè)置。

外來U盤、移動硬盤、光盤等最好在裝有殺毒軟件的電腦上查毒確認(rèn)無病毒后再打開、執(zhí)行、拷貝。1.1.3信息系統(tǒng)管理制度

一、業(yè)務(wù)主管職責(zé)

財務(wù)、綜管、營銷、運營等重點業(yè)務(wù)主管，負(fù)責(zé)協(xié)調(diào)本業(yè)務(wù)范圍內(nèi)信息系統(tǒng)的總體運行工作。具體職責(zé)包括：

1、負(fù)責(zé)本部門信息化崗位的設(shè)定和分配，結(jié)合本部門情況確定每個崗位的職責(zé)；

2、分配每一崗位人員操作權(quán)限，以書面形式通知系統(tǒng)管理員；

3、根據(jù)本單位的實際情況，總結(jié)系統(tǒng)存在的問題，并提出改進(jìn)的建議；

4、研究本單位的需求，對信息系統(tǒng)提出新需求或升級的請求；

二、系統(tǒng)管理員具體職責(zé)：

1、負(fù)責(zé)系統(tǒng)軟件、硬件及數(shù)據(jù)庫的安裝與升級；

2、負(fù)責(zé)系統(tǒng)軟件、硬件及數(shù)據(jù)庫所有技術(shù)問題，保障系統(tǒng)正常運行；

3、負(fù)責(zé)服務(wù)器的硬軟件資源分配，監(jiān)控網(wǎng)絡(luò)的運行；

4、負(fù)責(zé)數(shù)據(jù)的備份與備份的恢復(fù)工作；

5、負(fù)責(zé)公司用戶權(quán)限的分配管理工作，做好數(shù)據(jù)的保密工作；

6、負(fù)責(zé)組織信息系統(tǒng)的培訓(xùn)工作；

三、系統(tǒng)管理員操作管理制度

1、操作人員(包括專業(yè)維護(hù)人員)必須嚴(yán)格按照操作權(quán)限操作，不得越權(quán)操作。每次操作應(yīng)記錄相應(yīng)的操作日記，日記包括操作時間、執(zhí)行命令等。

2、操作人員離開系統(tǒng)時，應(yīng)退出系統(tǒng)或進(jìn)行系統(tǒng)封鎖。

3、管理員每周應(yīng)檢查數(shù)據(jù)備份情況，每月應(yīng)將其刻錄成光盤。

4、系統(tǒng)管理員變動前必須辦理交接手續(xù)，經(jīng)接管人員或監(jiān)交人員與系統(tǒng)管理員雙方簽字確認(rèn)，作為檔案存檔。

四、系統(tǒng)管理員備份管理制度 具體內(nèi)容包括：

（1）管轄范圍內(nèi)的服務(wù)器地址分布；

（2）網(wǎng)絡(luò)服務(wù)器口令、數(shù)據(jù)庫超級口令、公司信息系統(tǒng)管理員口令；

（3）每年的歷史數(shù)據(jù)備份，本年的所有的數(shù)據(jù)備份；（4）系統(tǒng)培訓(xùn)資料；（5）系統(tǒng)維護(hù)記錄本；

（6）所有版本的公司信息系統(tǒng)軟件；（7）所有版本的數(shù)據(jù)庫管理系統(tǒng)軟件；（8）其他應(yīng)交接的內(nèi)容。

（9）對交接內(nèi)容應(yīng)進(jìn)行相應(yīng)的測試，以確保交接質(zhì)量。一旦交接，接替人員或監(jiān)交人員應(yīng)立即更換所有口令，并開始承擔(dān)系統(tǒng)管理員的所有工作。

五、軟件管理制度

1、信息系統(tǒng)功能改動時，應(yīng)對其功能改動部分進(jìn)行認(rèn)真測試研究，確定新增功能的用法，防止工作的盲目性。

2、公司在組織軟件的升級工作時，一般應(yīng)在同一個會計期間內(nèi)一次性更換所有在用軟件，升級前應(yīng)通知各用戶，并對功能更動部分加以說明。

3、要嚴(yán)格保護(hù)所有在用軟件的版權(quán)，包括網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、軟件等。嚴(yán)禁將軟件以任何形式出售、轉(zhuǎn)讓或贈送給該范圍以外的任何單位或個人。

4、各單位要制定具體的防病毒措施。所有來歷不明的媒體介質(zhì)在使用前必須經(jīng)過病毒檢測，對所有在用計算機尤其是 NT 服務(wù)器必須定期進(jìn)行病毒檢測。使用網(wǎng)絡(luò)的單位要嚴(yán)防病毒通過網(wǎng)絡(luò)傳播，辦公用計算機不能裝入各種游戲軟件。

六、數(shù)據(jù)管理制度

1、信息系統(tǒng)的數(shù)據(jù)管理是指數(shù)據(jù)不丟失、不損毀、不向無關(guān)人員泄露、不被非法修改，保障數(shù)據(jù)的安全要從技術(shù)和管理兩個方面著手，做好安全保密工作。

2、要經(jīng)常對系統(tǒng)中的數(shù)據(jù)進(jìn)行備份，以便在計算機發(fā)生故障時可將數(shù)據(jù)恢復(fù)到最近狀態(tài)。數(shù)據(jù)備份的目標(biāo)是防止任何時間發(fā)生的硬、軟件故障以及人為失誤造成的數(shù)據(jù)損毀，因此原則上要求在發(fā)生業(yè)務(wù)的當(dāng)天都進(jìn)行備份。具體備份模式為：

（1）每天在服務(wù)器上作一數(shù)據(jù)備份，（2）每周作一個異地備份，每月制作一份數(shù)據(jù)光盤；（3）每年年末制作雙備份, 存儲于不同的地點。

3、對備份的數(shù)據(jù)應(yīng)加強管理，防止被非法拷貝或毀壞。

4、采取各種措施來保障上網(wǎng)數(shù)據(jù)的安全性。要嚴(yán)密控制好數(shù)據(jù)庫及其服務(wù)器的口令，控制好各用戶的口令。

七、系統(tǒng)維護(hù)管理制度

1、系統(tǒng)維護(hù)管理是指為保障系統(tǒng)正常運行而進(jìn)行的對硬件、網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、軟件及相關(guān)辦公自動化軟件進(jìn)行的安裝、修正、更新版本、擴(kuò)展、備份等操作以及對軟件應(yīng)用模式的設(shè)計及實施工作。系統(tǒng)的維護(hù)管理工作由系統(tǒng)管理員或由系統(tǒng)管理員授權(quán)的專業(yè)維護(hù)人員負(fù)責(zé)進(jìn)行。未經(jīng)系統(tǒng)管理員授權(quán)的人員不得進(jìn)行系統(tǒng)維護(hù)操作。

2、未經(jīng)系統(tǒng)管理員許可，不得在公司信息系統(tǒng)服務(wù)器上安裝其它硬、軟件，不得改變系統(tǒng)的運行環(huán)境。

3、系統(tǒng)運行時，應(yīng)獲得充分的維護(hù)保障。系統(tǒng)發(fā)生影響正常運行的故障時，系統(tǒng)理員應(yīng)及時給予處理。屬于系統(tǒng)優(yōu)化或不影響正常業(yè)務(wù)流程的問題，系統(tǒng)管理員應(yīng)進(jìn)行合理的預(yù)計，提前規(guī)劃，制定實施方案以確保系統(tǒng)的平穩(wěn)運行。

4、系統(tǒng)運行中出現(xiàn)故障或出現(xiàn)不明意義的提示時，操作人員應(yīng)保護(hù)現(xiàn)場，及時與系統(tǒng)管理員聯(lián)系。由于操作人員擅自處理故障而引起的后果由操作人員自己負(fù)責(zé)。

5、系統(tǒng)管理員在不能直接排除故障并且沒有替代解決方案，應(yīng)請求上一級部門系統(tǒng)管理員或?qū)I(yè)維護(hù)人員的技術(shù)支持。

6、要建立系統(tǒng)管理維護(hù)記錄本實行系統(tǒng)維護(hù)記錄制度。對故障的發(fā)生時間、表現(xiàn)、解決辦法及結(jié)果等進(jìn)行詳細(xì)的記錄，并由維護(hù)人員或系統(tǒng)管理員簽字。系統(tǒng)管理維護(hù)記錄本的登記要條理清楚、時間準(zhǔn)確，字跡工整。

7、對于兩個以上的系統(tǒng)維護(hù)管理人員應(yīng)進(jìn)行合理的分工，充分發(fā)揮系統(tǒng)管理員的作用，不斷加強系統(tǒng)維護(hù)的技術(shù)保障，逐步形成一套有效的系統(tǒng)維護(hù)管理體制。

八、檔案及數(shù)據(jù)管理制度

1、公司信息系統(tǒng)檔案包括：（1）數(shù)據(jù)庫備份資料 ；（2）軟件升級前的數(shù)據(jù)庫備份；

（3）打印輸出的經(jīng)過蓋章簽字的會計資料；

（4）每年一次的經(jīng)系統(tǒng)管理員簽字的系統(tǒng)管理維護(hù)記錄本存檔；

（5）所有版本的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫、軟件；（6）軟件的開發(fā)文檔、源程序；（7）其他應(yīng)該存檔的資料或數(shù)據(jù)。

2、打印輸出的憑證、報表、帳簿等各種會計資料的保存按財政部《會計檔案管理辦法》 執(zhí)行。數(shù)據(jù)庫的備份要永久保留。以膠片、磁、光等介質(zhì)保存的數(shù)據(jù)的檔案應(yīng)按照有關(guān)規(guī)定保存在溫濕度適宜、陽光不直射，并且不能被損害的場所。

3、以磁介質(zhì)存儲的數(shù)據(jù)應(yīng)定期更換新的介質(zhì)進(jìn)行再拷貝。

4、本章未及內(nèi)容按照財政部《會計檔案管理辦法》 執(zhí)行。附件：補丁更新記錄臺帳、數(shù)據(jù)備份登記臺帳、服務(wù)器等設(shè)備維護(hù)登記表、檔案移交登記表的樣本。

1.1.4中心機房管理規(guī)定

為進(jìn)一步做好公司信息化管理工作，提高精細(xì)化管理水平，降低辦公費用消耗，確保公司網(wǎng)絡(luò)通訊系統(tǒng)的暢通，按照公司《信息安全管理規(guī)定》，特制訂中心機房管理規(guī)定。

本規(guī)定適用于中心機房的管理，機房工作人員要認(rèn)真遵守，并作為日常行為規(guī)范。

一、機房人員日常行為準(zhǔn)則

1.1必須注意環(huán)境衛(wèi)生。禁止在機房內(nèi)抽煙、吃食物、隨地吐痰，保持機房無塵潔凈環(huán)境。

1.2機房用品要各歸其位，不能隨意亂放,不許堆放雜物。注意檢查機房的防曬、防水、防潮，維持機房環(huán)境通爽，保證機房的適當(dāng)溫度和適度。

1.3中心機房每周清掃一次，物品要擺放整齊，保持安靜清潔的工作環(huán)境。

二、機房安全制度

2.1禁止帶領(lǐng)與機房工作無關(guān)的人員進(jìn)出機房，建立機房準(zhǔn)入制度，凡進(jìn)入機房人員必須得到技術(shù)保障部經(jīng)理允許，并進(jìn)行登記（格式見《公司管理處機房出入登記表》），由技術(shù)保障部人員全程陪同。

2.2未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，禁止將密碼、信息外借透露給其它人員，同時有責(zé)任對信息保密。對于泄露信息的情況要及時上報，并積極主動采取措施保證機房安全。2.3重點做好機房防火、防水、防潮濕、防干燥、防短路、防斷路、防老鼠、防盜、防高溫，出現(xiàn)機房盜竊、破門、火警、水浸、110報警等嚴(yán)重事件時，網(wǎng)絡(luò)信息工作人員有義務(wù)以最快的速度和最短的時間到達(dá)現(xiàn)場，協(xié)助處理相關(guān)的事件。

2.4工作人員離開工作區(qū)域前，應(yīng)保證工作區(qū)域內(nèi)保存的重要文件、資料、設(shè)備、數(shù)據(jù)處于安全保護(hù)的狀態(tài)。

三、機房用電安全制度

3.1機房工作人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作知識，了解機房內(nèi)部的供電、用電設(shè)施的操作規(guī)程。掌握機房用電應(yīng)急處理步驟、措施、要領(lǐng)。定期檢查供電、用電設(shè)備、設(shè)施。

3.2機房不得亂拉亂接電線及用電設(shè)備。如發(fā)現(xiàn)用電安全隱患，應(yīng)及時采取措施解決，不能解決的必須及時向主管領(lǐng)導(dǎo)匯報。

3.3在危險性高的位置應(yīng)張貼相應(yīng)的安全操作方法、警示以及指引，實際操作時應(yīng)嚴(yán)格執(zhí)行。

3.4在外部供電系統(tǒng)停電時，機房工作人員應(yīng)全力配合完成停電應(yīng)急工作，啟動應(yīng)急設(shè)備，或及時關(guān)閉計算機系統(tǒng)。

四、機房消防安全制度

4.1機房管理人員應(yīng)熟悉機房內(nèi)部消防安全操作規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。4.2工作人員要保護(hù)消防設(shè)備不被破壞。如發(fā)現(xiàn)消防安全隱患，應(yīng)及時采取措施解決，不能解決的應(yīng)及時向相關(guān)負(fù)責(zé)人員提出解決。

4.3最后離開機房的工作人員，應(yīng)檢查消防設(shè)備的工作狀態(tài)消防器材的完好，關(guān)閉將會帶來消防隱患的設(shè)備，采取措施保證無人狀態(tài)下的消防安全。

五、機房硬件設(shè)備安全使用制度

5.1機房人員必須熟知機房內(nèi)設(shè)備的基本安全操作規(guī)則。應(yīng)定期檢查、整理硬件物理連接線路，定期檢查硬件運作狀態(tài)。

5.2禁止隨意在設(shè)備上進(jìn)行安裝、拆卸硬件、或隨意更改設(shè)備連線、禁止隨意進(jìn)行硬件復(fù)位。禁止在服務(wù)器上進(jìn)行試驗性質(zhì)的配置操作，需要對服務(wù)器進(jìn)行配置，應(yīng)在其它可進(jìn)行試驗的機器上調(diào)試通過并確認(rèn)可行后，才能對服務(wù)器進(jìn)行準(zhǔn)確的配置。

5.3對影響到全公司的硬件設(shè)備的更改、調(diào)試等操作應(yīng)預(yù)先發(fā)布通知，并且應(yīng)有充分的時間、方案、人員準(zhǔn)備，才能進(jìn)行硬件設(shè)備的更改。對重大設(shè)備設(shè)置的更改，必須首先形成方案文件，經(jīng)過討論確認(rèn)可行后，由具備資格的技術(shù)人員進(jìn)行更改和調(diào)整，并應(yīng)做好詳細(xì)的更改和操作記錄。對設(shè)備的更改、升級、配置等操作之前，應(yīng)對更改、升級、配置所帶來的負(fù)面后果做好充分的準(zhǔn)備，必要時需要先準(zhǔn)備好后備配件和應(yīng)急措施。

5.4不允許任何人在服務(wù)器、交換設(shè)備等核心設(shè)備上進(jìn)行與工作范圍無關(guān)的任何操作。不允許他人操作機房內(nèi)部的設(shè)備，對于核心服務(wù)器和設(shè)備的調(diào)整配置，需要主管領(lǐng)導(dǎo)同意后才能進(jìn)行。

5.5要注意和落實硬件設(shè)備的維護(hù)保養(yǎng)措施。

六、軟件安全使用制度

6.1必須定期檢查軟件的運行狀況、定期進(jìn)行數(shù)據(jù)和軟件日志備份。

6.2禁止在工作服務(wù)器上進(jìn)行試驗性質(zhì)的軟件調(diào)試，禁止在服務(wù)器隨意安裝軟件。需要對服務(wù)器進(jìn)行配置，必須在其它可行試驗的機器上調(diào)試通過并確認(rèn)可行后，才能對服務(wù)器進(jìn)行準(zhǔn)確的配置。

6.3對會影響到全局的軟件更改、調(diào)試等操作應(yīng)發(fā)布通知，并且應(yīng)有充分時間、方案、人員準(zhǔn)備，才能進(jìn)行軟件配置的更改。對重大軟件配置的更改，應(yīng)先形成方案文件，經(jīng)過討論確定可行后，由具備資格的技術(shù)人員進(jìn)行更改，并應(yīng)做好詳細(xì)的更改和操作記錄。對軟件的更改、升級、配置等操作之前，應(yīng)對更改、升級、配置所帶來的負(fù)面后果做好充分的準(zhǔn)備，必要時需要先備份原有軟件系統(tǒng)和落實好應(yīng)急措施。

七、機房資料、文檔和數(shù)據(jù)安全制度

7.1資料、文檔、數(shù)據(jù)等必須有效組織、整理和歸檔備案。禁止任何人員將機房內(nèi)的資料、文檔、數(shù)據(jù)、配置參數(shù)等信息擅自以任何形式提供給其他無關(guān)人員或向外隨意傳播。

7.2對于牽涉到網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的，應(yīng)由機房工作人員代為查閱，并只能向其提供與其當(dāng)前工作內(nèi)容相關(guān)的數(shù)據(jù)或資料。

7.3重要資料、文檔、數(shù)據(jù)應(yīng)采取對應(yīng)的技術(shù)手段進(jìn)行加密、存儲和備份。對于加密的數(shù)據(jù)應(yīng)保證其可還原性，防止遺失重要數(shù)據(jù)。

八、機房財產(chǎn)登記和保護(hù)制度

8.1機房的日常物品、設(shè)備、消耗品等必須有清晰的數(shù)量、型號登記記錄，對于公共使用的物品和重要設(shè)備，必須履行借取和歸還登記手續(xù)。

8.2機房工作人員應(yīng)有義務(wù)安全和小心使用機房的任何設(shè)備、儀器等物品，對于使用過程中損壞、消耗、遺失的物品應(yīng)匯報登記，并對責(zé)任人追究相關(guān)責(zé)任。

8.3未經(jīng)主管領(lǐng)導(dǎo)同意，不允許向他人外借提供機房設(shè)備和物品。

九、機房巡檢制度 9.1機房工作人員每日對中心機房按照《機房巡檢標(biāo)準(zhǔn)》進(jìn)行巡檢

第三篇：信息安全管理規(guī)定

一、總則

1、為維護(hù)本公司計算機信息及網(wǎng)絡(luò)系統(tǒng)安全，促進(jìn)計算機的高效應(yīng)用和良性發(fā)展，根據(jù)國家相關(guān)法律法規(guī)，結(jié)合本公司實際情況制定本制度。

2、本制度所稱的計算機信息及網(wǎng)絡(luò)系統(tǒng)，包括計算機及其相關(guān)的配套設(shè)備、設(shè)施（含網(wǎng)絡(luò)）和公司所有文件文檔信息等。

3、通過規(guī)范公司員工的計算機操作，對服務(wù)器及重要客戶端數(shù)據(jù)和操作系統(tǒng)及時備份還原，建立有效的病毒防范機制，保障計算機系統(tǒng)及網(wǎng)絡(luò)的正常運行，確保計算機信息及網(wǎng)絡(luò)的安全，嚴(yán)防公司機密通過計算機系統(tǒng)及網(wǎng)絡(luò)泄漏。

4、所有員工必須嚴(yán)格遵守本制度，不得利用計算機信息網(wǎng)絡(luò)系統(tǒng)從事危害國家利益、公司利益和公民合法利益的活動。

二、安全管理職責(zé)

1、信息中心職責(zé)：

1）信息中心成員負(fù)責(zé)對計算機系統(tǒng)、常用應(yīng)用軟件、計算機外設(shè)及網(wǎng)絡(luò)等進(jìn)行維護(hù)維修；配合做好信息及網(wǎng)絡(luò)監(jiān)控中心的工作；負(fù)責(zé)本制度的補充修正；負(fù)責(zé)對公司員工進(jìn)行信息及網(wǎng)絡(luò)安全的教育和培訓(xùn)，以提高全體計算機使用人員的信息安全意識。

2）信息及網(wǎng)絡(luò)監(jiān)控中心負(fù)責(zé)人應(yīng)嚴(yán)格保守公司機密，負(fù)責(zé)日常的信息及網(wǎng)絡(luò)監(jiān)督監(jiān)管，發(fā)現(xiàn)有違反本制度的行為應(yīng)及時予以警告和制止，不得包庇泄漏公司機密行為，情節(jié)嚴(yán)重的應(yīng)如實上報公司督察組，提供相關(guān)證據(jù)，協(xié)助公司督察組的調(diào)查工作。

2、各部門負(fù)責(zé)人職責(zé)：

各部門負(fù)責(zé)人應(yīng)根據(jù)本制度負(fù)責(zé)監(jiān)督本部門人員在計算機信息及網(wǎng)絡(luò)安全方面的相關(guān)行為，且應(yīng)以身作則。

3、計算機使用者職責(zé)：

各使用者應(yīng)當(dāng)接受信息及網(wǎng)絡(luò)監(jiān)控中心和信息管理員的監(jiān)督檢查，并配合管理員做好公司的信息及網(wǎng)絡(luò)安全工作。

三、安全防范措施

1、除信息管理員外任何人未經(jīng)批準(zhǔn)不得以任何方式進(jìn)行如下操作：

1）進(jìn)入公司服務(wù)器（包括威盾服務(wù)器、文件服務(wù)器等）進(jìn)行操作；

2）更改計算機網(wǎng)絡(luò)設(shè)置；拆裝計算機配件；更改網(wǎng)絡(luò)設(shè)備的設(shè)置及位置；

3）給他人計算機安裝網(wǎng)絡(luò)監(jiān)控，窺視他人電腦資料及信息。

2、信息、文件及文檔的管理

1）公司內(nèi)所有電腦原則上要求登陸公司域（csalp）以提高安全管理級別；各部門及個人原則上應(yīng)將所使用的重要和機密文件信息放置于公司文件服務(wù)器統(tǒng)一管理，不得隨意在客戶端電腦簡單共享，以確保數(shù)據(jù)安全。

2）未經(jīng)授權(quán)不得私閱、刪除、修改他人及公司文件、文檔、電子郵件等。

3）存有公司重要機密文件及信息的電腦，使用部門及個人應(yīng)高度重視，嚴(yán)防泄密。

4）個人購買的移動存儲介質(zhì)不得隨意拿到公司使用；公司移動存儲介質(zhì)不得隨意帶離公司。嚴(yán)禁通過移動存儲介質(zhì)以及郵件等其它方式向外拷貝公司機密信息。

5）遵守已建立的數(shù)據(jù)信息存取訪問控制機制，對數(shù)據(jù)信息的重要程度進(jìn)行分類，按劃分的訪問和存儲等級，設(shè)立訪問和存儲權(quán)限，不得越權(quán)存取閱讀更改數(shù)據(jù)信息。

6）任何人不得以任何形式泄漏公司機密信息、文件及文檔。

3、病毒防范

1）信息管理員應(yīng)高度關(guān)注相關(guān)網(wǎng)站的病毒預(yù)警，及時下載殺毒軟件升級包，有重要信息及時通知電腦使用人員；電腦使用者應(yīng)及時升級殺毒軟件及防火墻。

2）不得故意制作、傳播、安裝計算機病毒及木馬等破壞性程序以及其他危害公司信息及網(wǎng)絡(luò)安全的行為。

3）不得使用未經(jīng)殺毒的硬盤、軟盤、光盤、Ｕ盤；不得隨意打開來歷不明的電子郵件，不得隨意下載安裝來歷不明的系統(tǒng)、應(yīng)用軟件等；如發(fā)現(xiàn)所用電腦有中毒跡象，應(yīng)立即切斷與局域網(wǎng)的聯(lián)系，以防病毒在局域網(wǎng)內(nèi)傳播擴(kuò)散，并及時通知網(wǎng)管員處理。

4、用戶名及密碼管理

嚴(yán)肅域用戶管理制度，不得隨意將自己的域用戶密碼告知他人，如密碼被盜用應(yīng)及時通知網(wǎng)管員更改密碼。

5、監(jiān)控及網(wǎng)絡(luò)管理

1）信息及網(wǎng)絡(luò)監(jiān)控中心通過威盾及網(wǎng)絡(luò)哨兵等工具實時監(jiān)控局域網(wǎng)內(nèi)計算機使用者的行為和互聯(lián)網(wǎng)使用情況等。

2）信息及網(wǎng)絡(luò)監(jiān)控中心根據(jù)使用者工作內(nèi)容及性質(zhì)嚴(yán)格控制登陸互聯(lián)網(wǎng)的客戶端數(shù)量，并界定其上網(wǎng)的方式及時間。

3）所有使用者不得登陸與本職工作無關(guān)的網(wǎng)站；嚴(yán)禁登陸含有國家明令禁止內(nèi)容的網(wǎng)站；禁止翻閱散播制造有損國家、集體及公司形象的言論；自覺遵守國家相關(guān)保密法律、法規(guī)；嚴(yán)禁在公司內(nèi)玩電腦游戲；嚴(yán)禁利用電腦進(jìn)行與本職工作無關(guān)的活動。

四、對違反本制度的，視情節(jié)及性質(zhì)嚴(yán)重程度按公司相關(guān)規(guī)定予以處理。

第四篇：中國人民銀行信息安全管理規(guī)定

中國人民銀行信息安全管理規(guī)定

第一條 為強化人民銀行信息安全管理，防范計算機信息技術(shù)風(fēng)險，保障人民銀行計算機網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運行，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等規(guī)定，特制定本規(guī)定。

第一章 總則

第二條 本規(guī)定所稱信息安全管理，是指在人民銀行信息化項目立項、建設(shè)、運行、維護(hù)及廢止等過程中保障計算機信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動。

第三條 人民銀行信息安全管理工作實行統(tǒng)一領(lǐng)導(dǎo)和分級管理?？傂薪y(tǒng)一領(lǐng)導(dǎo)分支機構(gòu)和直屬企事業(yè)單位的信息安全管理，負(fù)責(zé)總行機關(guān)的信息安全管理。分支機構(gòu)負(fù)責(zé)本單位和轄內(nèi)的信息安全管理，各直屬企事業(yè)單位負(fù)責(zé)本單位的信息安全管理。

第四條 人民銀行信息安全管理實行分管領(lǐng)導(dǎo)負(fù)責(zé)制，按照“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級落實單位與個人信息安全責(zé)任制。

第五條 本規(guī)定適用于人民銀行總行機關(guān)、各分支機構(gòu)和直屬企事業(yè)單位（以下統(tǒng)稱“各單位”）。所有使用人民銀行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人均應(yīng)遵守本規(guī)定。

第二章 組織保障

第六條 各單位應(yīng)設(shè)立由本單位領(lǐng)導(dǎo)和相關(guān)部門主要負(fù)責(zé)人組成的計算機安全工作領(lǐng)導(dǎo)小組，辦公室設(shè)在本單位科技部門，負(fù)責(zé)協(xié)調(diào)本單位及轄內(nèi)信息安全管理工作，決策本單位及轄內(nèi)信息安全重大事宜。

第七條 各單位科技部門應(yīng)設(shè)立信息安全管理部門或崗位?？傂袡C關(guān)、分行、營業(yè)管理部、省會（首府）城市中心支行、副省級城市中心支行科技部門配備專職信息安全管理人員，實行A、B崗制度；地（市）中心支行和縣（市）支行設(shè)立信息安全管理崗位。

人員的配備和變更情況應(yīng)及時報上一級科技部門備案。信息安全管理人員調(diào)離原崗位時應(yīng)辦理交接手續(xù)，并履行其調(diào)離后的保密義務(wù)。

第二節(jié) 部門計算機安全員

第十五條 各部門應(yīng)指派素質(zhì)好、較熟悉計算機知識的人員擔(dān)任部門計算機安全員，并報本單位科技部門備案。如有變更應(yīng)做好交接工作，并及時通報科技部門。

第十六條 部門計算機安全員配合信息安全管理人員工作，并參加各項信息安全技能培訓(xùn)。

第十七條 部門計算機安全員在如下職責(zé)范圍內(nèi)開展工作：

（一）負(fù)責(zé)本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。

（二）負(fù)責(zé)提出本部門信息安全保障需求，及時與信息安全管理人員溝通信息安全信息。

（三）負(fù)責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技部門完成對本部門的信息安全檢查工作。

第三節(jié) 技術(shù)支持人員

第十八條 本規(guī)定所稱技術(shù)支持人員，是指參與人民銀行網(wǎng)絡(luò)、計算機系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。

第十九條 人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：

（一）不得對外泄漏或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部門授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。

（二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處臵。

（三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。

第四章 機房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機房安全管理

第二十六條 本規(guī)定所稱機房是指計算機系統(tǒng)等主要設(shè)備放臵、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。

第二十七條 各單位機房的規(guī)劃、建設(shè)、改造、運行、維護(hù)由科技部門負(fù)責(zé)，相關(guān)設(shè)備采購納入政府集中采購。機房的消防、視頻監(jiān)視錄像、防雷、門禁等子系統(tǒng)的規(guī)劃、建設(shè)、運行和維護(hù)由科技部門和保衛(wèi)部門協(xié)商確定。

第二十八條 各單位原則上只建設(shè)一個符合國家計算機機房有關(guān)標(biāo)準(zhǔn)和人民銀行相關(guān)規(guī)定的計算機機房，為所有業(yè)務(wù)部門提供機房基礎(chǔ)設(shè)施服務(wù)。

第二十九條 機房建設(shè)、改造的方案應(yīng)報上一級科技部門備案。必要時，由上一級機構(gòu)科技部門會同會計、保衛(wèi)等部門進(jìn)行審核。

第三十條 機房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專業(yè)承包資質(zhì)、兩年以上從事計算機機房設(shè)計與施工經(jīng)驗的專業(yè)化公司，其中總行、分行、營業(yè)管理部、省會（首府）城市中心支行、計劃單列市中心支行的機房建設(shè)或改造應(yīng)選擇具有國家貳級或貳級以上資質(zhì)同時具有三年以上專業(yè)從事計算機機房裝修裝飾經(jīng)驗的專業(yè)公司。重要機房建設(shè)或改造工程應(yīng)引入監(jiān)理制度。

第三十一條 總行、分行、營業(yè)管理部、省會（首府）城市中心支行應(yīng)建立機房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控。

第三十二條 各單位機房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)與會計部門組織的驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。

第三十三條 各單位應(yīng)建立健全機房管理制度，并指派專人擔(dān)任機房管理員，落實機房安全責(zé)任制。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。

(二)具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。(三)針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。

第二節(jié) 網(wǎng)絡(luò)運行安全管理

第四十二條 各單位科技部門應(yīng)建立健全網(wǎng)絡(luò)安全運行制度，配備專（兼）職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運行維護(hù)檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

第四十三條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。

第四十四條 各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。

第四十五條 各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行，同時做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。

第四十六條 各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技部門提出書面申請，并采取相應(yīng)的安全防護(hù)措施。

第四十七條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)總行科技司授權(quán)，任何外部單位與人員不得檢測、掃描人民銀行內(nèi)部網(wǎng)絡(luò)。

第四十八條 各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)總行科技司批準(zhǔn)，不得在人民銀行內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)

項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：

（一）業(yè)務(wù)需求部門提出的安全需求。

（二）安全需求分析和實現(xiàn)。

（三）運行平臺的安全策略與設(shè)計。

第五十七條 各單位科技部門負(fù)責(zé)對項目技術(shù)方案進(jìn)行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 計算機系統(tǒng)開發(fā)與集成

第五十八條 計算機系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計，保證安全功能的完整實現(xiàn)。

第五十九條 計算機系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門。外部開發(fā)單位還應(yīng)與人民銀行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將計算機系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。

第六十條 計算機系統(tǒng)的開發(fā)人員不能兼任計算機系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第六十一條 計算機系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。

第六十二條 涉密計算機系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

第三節(jié) 計算機系統(tǒng)運行

第六十三條 各單位計算機系統(tǒng)上線運行實行安全審查制度，未通過安全審查的任何新建或改造計算機系統(tǒng)不得投產(chǎn)運行。具體要求如下：

（一）項目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進(jìn)行系統(tǒng)上線前的自測試并形成測試報告，報科技部門審查。

（二）計算機系統(tǒng)應(yīng)用部門應(yīng)在計算機系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報科技部門備案。

（三）科技部門應(yīng)提出明確的測試方案和測試報告審查意見。必

第七十三條 對已經(jīng)廢止的計算機系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技部門按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密工作委員會監(jiān)督下予以不可恢復(fù)性銷毀。

第七章 客戶端安全管理

第七十四條 本規(guī)定所稱客戶端是指人民銀行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終端、柜面終端、單機運行（啞）終端、遠(yuǎn)程接入終端、便攜式計算機等。

第七十五條 各單位應(yīng)建立完善的客戶端管理制度，記錄所有客戶端設(shè)備信息和軟件配臵信息。

第七十六條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。

第七十七條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)臵用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施，確保安裝最新的病毒特征碼和必要的補丁程序。

第七十八條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品、服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購臵

第七十九條 本規(guī)定所稱信息安全專用產(chǎn)品，是指人民銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服務(wù)，是指人民銀行向社會購買的專業(yè)化安全服務(wù)。

第八十條 總行科技司負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，由集中采購部門按照政府集中采購程序選購。

第八十一條 各單位購臵掃描、檢測類信息安全專用產(chǎn)品應(yīng)報總行科技司批準(zhǔn)、備案。

第二節(jié) 使用管理

第八十二條

各單位科技部門應(yīng)建立信息安全專用產(chǎn)品登記使用制度，建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、1第九十一條 各單位所有部門和個人應(yīng)加強對移動存儲設(shè)備（Ｕ盤、軟盤、移動硬盤）的管理。

第九十二條 各單位應(yīng)建立存儲介質(zhì)銷毀制度，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處臵并做好記錄。

第三節(jié)

數(shù)據(jù)安全

第九十三條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的人民銀行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護(hù)日志以及其他內(nèi)部資料。

第九十四條 各單位業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技部門負(fù)責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第九十五條 各單位業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。

第九十六條 各單位科技部門系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計算機系統(tǒng)日志文件并明確標(biāo)識存儲內(nèi)容、時間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。

第九十七條 各單位業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)銷毀審批登記制度，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。

第九十八條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第四節(jié)

口令密碼

第九十九條

各單位系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員均須設(shè)臵口令密碼，至少每三個月更換一次?？诹蠲艽a的強度應(yīng)滿足不同安全性要求。

第一百條

敏感計算機系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進(jìn)行，必要時應(yīng)將口令密碼筆錄、密封交相關(guān)部門保管。未經(jīng)科

3應(yīng)建立存取控制機制、認(rèn)證機制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。

第一百一十條 獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與人民銀行簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄漏人民銀行任何信息。

第二節(jié)

外包服務(wù)管理

第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其他社會廠商為人民銀行計算機系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。

第一百一十二條 經(jīng)本單位科技部門領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由人民銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配臵變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。

第一百一十三條 計算機設(shè)備確需送外單位維修時，各單位科技部門應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章 信息通報、災(zāi)難備份與應(yīng)急管理

第一節(jié) 信息通報

第一百一十四條

各單位應(yīng)按照人民銀行信息安全事件報告制度進(jìn)行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報總行科技司。

第一百一十五條 重大信息安全事件發(fā)生后，各單位相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。

第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時

（一）（二）

（三）（四）

（五）（六）

（七）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。應(yīng)急組織機構(gòu)。

預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。各類危機處臵流程。應(yīng)急資源保障。事后處理流程。

預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。

第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。

第一百二十六條 各單位計算機安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。

第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。

第十二章 安全監(jiān)測、檢查、評估與審計

第一節(jié) 安全監(jiān)測

第一百二十八條 各單位科技部門應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要計算機系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。

第一百二十九條 各單位科技部門應(yīng)建立運行監(jiān)測周報、月報或季報制度，報送本單位計算機安全工作領(lǐng)導(dǎo)小組和上一級科技部門，抄送相關(guān)業(yè)務(wù)部門。

第一百三十條 各單位要及時預(yù)警、響應(yīng)和處臵運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。

第二節(jié) 安全檢查

7管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。

第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配臵管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。

第十三章

獎勵與處罰

第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評比活動，對達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎勵，對表現(xiàn)突出的單位和個人進(jìn)行通報表彰并給予一定形式的獎勵。

第一百四十二條 對于違反本規(guī)定，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十四章

附 則

第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。

第一百四十四條 本規(guī)定由總行負(fù)責(zé)解釋。第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。

第五篇：信息安全與保密管理規(guī)定

DEJIN

公司管理制度

信息安全與保密管理規(guī)定

總則

一、目的

為了保證我局各中心、各股、各部門人員充分合理利用網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)帶寬利用率，方便網(wǎng)絡(luò)流量控制和帶寬管理；為了保證財政系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全，保護(hù)內(nèi)部數(shù)據(jù)，防止機密信息泄露，消除企業(yè)潛在濫用互聯(lián)網(wǎng)的法律風(fēng)險；為了保證員工使用先進(jìn)的系統(tǒng)工具提高工作效率, 規(guī)范員工的網(wǎng)絡(luò)行為；結(jié)合各中心、各部門、各崗位工作實際需要，特制定本制度。

二、信息安全管理規(guī)定

（1）信息中心負(fù)責(zé)硬件及軟件的統(tǒng)一管理和安全運行，服務(wù)器上數(shù)據(jù)資料、信息資料的保密。

（2）各股室負(fù)責(zé)本部門硬件和軟件的安全運行，數(shù)據(jù)信息、資料的保密。（3）計算機操作人員負(fù)責(zé)本人使用的計算機的開機口令、網(wǎng)絡(luò)口令及用戶口令的保密。

（4）新購置的軟件(除設(shè)備帶的軟件)必須由信息中心登記，并將副本移交綜合檔案室。

（5）計算機操作人員負(fù)責(zé)對本機硬盤中的重要數(shù)據(jù)、資料、文件等及時做好備份工作。

（6）不得超越自己的權(quán)限范圍，修改他人或服務(wù)器內(nèi)的公用數(shù)據(jù)。（7）所有直接或間接接入財政內(nèi)網(wǎng)的信息終端的電腦，一律納入我局管理 DEJIN

公司管理制度 的范疇。

（8）所有納入我局管理范疇的信息終端統(tǒng)一由信息中心管理。（9）由信息中心負(fù)責(zé)制定信息安全管理策略，并負(fù)責(zé)實施。

（10）任何員工不得危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動。

（11）需要接入財政內(nèi)網(wǎng)的電腦必須安裝有效的殺毒軟件，我局所有的電腦由信息中心指定殺毒軟件并強制安裝，統(tǒng)一升級。信息中心有權(quán)針對特定病毒采取的必要措施，以達(dá)到有效預(yù)防、消除病毒影響的目的。

（12）我局所有的電腦上不得擅自安裝或運行修改操作系統(tǒng)運行參數(shù)的軟件。不得從事擾亂公司網(wǎng)絡(luò)正常運行的活動。

（13）所有員工必須保管好自己的網(wǎng)絡(luò)帳號信息，只準(zhǔn)本人使用，不得借與他人使用，不得以任何理由將自己的網(wǎng)絡(luò)帳號泄露給財政系統(tǒng)以外的人員。

（14）至少每月修改一次密碼。密碼被他人獲悉后，必須及時更改密碼。

（15）各部門存取必須建立訪問控制與審核機制，嚴(yán)格控制重要資料的存取。

（16）信息中心負(fù)責(zé)對所有電腦的操作系統(tǒng)做升級、補漏洞的工作，降低系統(tǒng)的運行風(fēng)險。

（17）信息中心負(fù)責(zé)設(shè)置安全可靠的防火墻，安裝防病毒軟件，定期進(jìn)行安全風(fēng)險分析與系統(tǒng)漏洞測試，適時對軟硬件進(jìn)行升級，確保系統(tǒng)安全、可靠、穩(wěn)定地運行。

（l8）由信息中心嚴(yán)格控制所有信息終端訪問Internet網(wǎng)的行為，并建立 2 DEJIN

公司管理制度

審核機制。

（19）所有信息終端所在場所必須有必要的防盜、消防設(shè)施，并嚴(yán)格控制相關(guān)人員進(jìn)出。

三、信息保密管理規(guī)定

（1）涉密信息定義范圍包括《保密管理規(guī)定》所定義的范圍但不僅限于該范圍，還包括我局信息網(wǎng)絡(luò)的架構(gòu)、設(shè)備資料等相關(guān)信息。

（2）涉密信息的密級參照《保密管理規(guī)定》。嚴(yán)格執(zhí)行訪問控制與審核機制。涉及財政系統(tǒng)機密和技術(shù)機密的資料必須實行，涉密資料原則上不允許上網(wǎng)。

（3）涉密場所必須嚴(yán)格控制人員的進(jìn)出。

（4）所有涉密介質(zhì)（軟盤、光盤、硬盤等）必須實行使用登記。使用完后必須作脫密處理。

（5）對外公布有關(guān)財政信息必須經(jīng)過有關(guān)部門審核、批準(zhǔn)后方可執(zhí)行。

四、執(zhí)行力度保障

（1）實行“領(lǐng)導(dǎo)責(zé)任制”。各部門主管負(fù)責(zé)本部門的安全工作。

（2）信息中心定期抽查各部門安全工作，并隨時進(jìn)行突擊檢查。