2022年2022年计算机信息系统涉密管理办法 .pdf

《2022年2022年计算机信息系统涉密管理办法 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机信息系统涉密管理办法 .pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机信息系统涉密管理办法第一章总 则第一条为保护农村商业银行股份有限公司（以下简称“本行”）计算机网络系统的安全， 根据中华人民共和国保守国家秘密法 、 计算机信息系统保密暂行规定等法律、法规制订本办法。第二条 本办法所称的计算机信息系统，是指由计算机、网络设备、数据信息以及其相关配套的设备、 设施构成的，按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条 概念释义：（一）计算机信息系统安全，是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护，不因自然的和人为的原因而遭到破坏、更改和丢失，以保证计算机信息系统能连续正常运行。（二）计算机信息系

2、统保密， 是指对涉及本行商密的包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定。（三）计算机信息系统的安全保密，是指保障计算机、 数据信息网络及其相关的和配套的设备、设施的安全，保障运行环境（机房）的安全，保障信息的安全，保障计算机和网络功能的正常发挥，防止工作或政治因素造成的失密、 泄密，防止人为或自然灾害等造成的破坏，以及防止利用计算机犯罪等。第四条本办法适用于支行（部）的业务网、办公网、互连网等三大计算机网络系统涉密工作的管理。第二章组织管理及职责第五条本行成立计算机网络系统保密领导小组，由行长任组长， 分管副行长为副组长、各支行（部）负责人为小组成员，

3、信息科技部负责保密领导小组的日常检查工作。（一）保密领导领导小组定期向本行领导报告安全保密工作情况；（二）保密领导领导小组督促本部门安全保密措施的贯彻执行；（三）小组成员负责本部门安全保密检查；进行安全保密教育。第七条对涉密信息需要经计算机系统采集、加工、存储、处理、输出的，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 7 页 - - - - - - - - - 由信息的生成、拥有、管理、提供部门向总行保密领导小组进行申报，经总行保密领导小组核定并签署意见后书面通知相关

4、部门执行。第八条总行保密领导小组不定期组织开展本行涉密计算机信息安全检查，对检查中发现的问题将及时予以纠正，对严重违反涉密规定， 造成后果的， 要进行通报，并按有关规定，追究领导责任，严肃处理。第三章计算机及网络系统第九条设备选型、购置须经充分论证，做好验收，对密钥、密码、参数等信息应做好接交保管，网络设备要特别关注其保密性能。第十条建立常规硬件系统维护管理制度，保持维护计算机和网络设备、 工具和资料处于良好状态。第十一条各级操作人员必须进行必要的安全保密培训，在职责范围内严格按相关操作规程进行操作。第十二条应用系统在设计上严格控制涉密文件信息查询、检索的人员范围，严格管理用户使用权限。 系统

5、软硬件一经安装、 调试、正式运行，各支行（部）未经科技部门许可，不得自行对其更改配置。第四章介质、资料的管理第十三条应用系统使用、产生的介质（磁性存储介质、电子存储介质、光存储介质等）或资料（纸质文档、电子文档、程序等）要按其重要性进行分类，对存放有关键或重要数据的介质和资料，应复制必要的份数， 并分别存放在不同的安全地方，建立严格的保密保管制度。第十四条保留在机房内的介质或资料，应为系统有效运行所必需的最少数量，除此之外，不应保留在机房内。第十五条存放介质、资料的库房，必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。第十六条介质（资料）库，应设专人负责登记保管，未经批准，不

6、得向第三方提供。第十七条系统内有关人员在使用介质（资料）期间，应严格按国家相关保名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 7 页 - - - - - - - - - 密规定进行控制，不得转借或复制，需要使用或复制的须经相关领导批准。第十八条库房保管人对所有介质 （资料）应定期检查， 根据介质的安全保存期限，及时更新复制。损坏、废弃或过期的介质（资料）应由专人负责处理，秘密级以上的介质（资料）在超过保密期或废弃不用时，要及时销毁。第五章 安全保密管理第十九条计算机信息

7、系统的建设和应用， 应当遵守国家有关法律、 行政法规和本行其它有关规定。第二十条计算机机房、办公、防雷、消防、通讯及供配电设施应当符合国家标准和国家有关规定。 在上述设施附近施工， 不得危害计算机网络系统的安全。第二十一条严禁任何涉及支行 （部）机密的涉密计算机信息系统直接或间接地与国际互联网或其他公共信息网络相连接，必须实行内联网与互联网严格物理隔离。所有与互联网连接的计算机必须使用专用的上网计算机或采用隔离措施的计算机，上网计算机中不得有涉及本机构保密信息的内容。第二十二条凡接入互联网的单位， 要实行保密领导责任制， 各部门负责人是本部门保密工作的第一责任人， 必须指定专人负责本部门上网信

8、息的保密监督检查，确保涉密信息的安全。第二十三条要求接入国际互联网的计算机， 由使用部门提出申请， 经科技部门按规定审核后， 报分管领导审批。 互联网实行专网管理， 由信息科技部统一出口管理，并向通信运营商提出申请安装， 严格控制各支行 （部）自行申请安装。互联网申请安装必须报市公安局网络监察大队备案。为控制源头， 加强管理，支行（部）大楼实行单一互联网专线，由信息科技部负责安全措施落实，各部门不得自行通过电话或其他方式上互联网，以防止通过互联网发生泄密事件。第二十四条对计算机信息系统中发生的案件， 按规定及时向本行相关部门报告。第二十五条上网信息的保密管理坚持“谁上网，谁负责”的原则。凡向互

9、联网发布涉密信息，必须经过总行保密领导小组授权总行办公室审查批准。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 7 页 - - - - - - - - - 第二十六条本行员工必须接受保密安全教育，严格遵守保密纪律。 在开展技能培训的同时，必须把保密教育作为技能培训的重要内容之一。第二十七条本行与外单位因业务关系进行网络互联时，必须在双方设置硬件防火墙， 并通过中间服务器访问我行数据，与关联单位签定的协议中， 必须含有保密条款。 关联单位必须遵守我行有关保密规定，不得泄露

10、我行重要的保密信息。第二十八条总行保密领导小组不定期组织开展本行涉密计算机信息安全检查，对检查中发现的问题将及时予以纠正，对严重违反涉密规定， 造成后果的，要进行通报，并按有关规定，追究领导责任，严肃处理。第六章人员内控管理第二十九条人员管理。本行员工一旦发现涉密信息泄露或可能发生泄露的情况时，应立即向保密领导小组报告，并采取相应的保护措施。第三十条任何人不得擅自处理或破坏发生事故的涉密计算机信息系统现场，必须及时通知总行保密领导小组，经保密领导小组授权， 信息科技部进行技术分析、取证，并及时做好相应的登记备案工作。第三十一条泄密事故相关人员应根据责任和损失大小承担相关事故责任，给本行造成重大

11、损失的将被依法追究责任，情节严重的将送交司法机关处理。第三十二条人员审查。人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员，必须按机要人员的条件进行审查。第三十三条关键岗位人选。对计算机信息系统的关键岗位人选，如安全负责人、 系统管理员等， 不仅需要进行严格的政审， 还要考核其业务能力， 以保证这部分人员可信可靠，能胜任本职工作。关键岗位人员要实行定期强制休假制度。第三十四条人员培训。计算机信息系统上岗的所有工作人员，均需由有关部门组织上岗培训， 包括计算机及网络操作、 维护培训、 应用软件操作培训、 计算机网络系统安全课程及保密教育培训

12、，经培训合格的人员持证上岗。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 7 页 - - - - - - - - - 第三十五条人员考核。人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核，对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位，不应让其再接触系统，对情节严重的应追究其法律责任。第三十六条签订保密协议。对于所有进入计算机网络系统工作的人员，均应签订保密契约

13、， 承诺其对系统应尽的安全保密义务， 保证在岗工作期间和离岗后均不得违反保密契约，泄漏系统秘密。对违反保密契约的，应有惩处条款。对接触机密信息的人员，应规定在离岗后的一段时期内不得离境。第三十七条人员调离。对调离人员， 特别是因不适合安全管理要求被调离的人员，必须严格办理调离手续。进行调离谈话，承诺其调离后的保密义务，交还所有钥匙及证件，退还全部技术手册、 软件及有关资料。 更换系统口令和用户名。 自调离决定通知之日起，必须立即进行上述工作，不得拖延。第七章操作安全管理第三十八条系统操作安全管理目标。系统操作是指对计算机信息系统开发、操作、维护、系统管理等人员的行为或活动。计算机信息系统操作安

14、全管理的目标是：（一）对系统管理及系统操作均应进行有效的监督或监控；（二）所有接触系统的人员均应承担与其工作性质相应的安全责任。第三十九条计算机操作人员分类。对计算机信息系统的操作人员， 应根据计算机信息系统有限职责、有限使用授权原则进行分类。（一）营业网点操作员、管理人员。（二）事后监督系统操作员、管理人员。（三）办公自动化系统操作、管理人员。（四）网络及硬件维护人员。（五）系统运行维护人员。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 7 页 - - - - - -

15、 - - - （六）中心系统管理人员。（七）安全管理人员。第四十条系统操作控制管理。（一）应按照分工负责、互相制约的原则制定各类系统操作人员的职责，职责不允许交叉覆盖。（二）各类人员在履行职责时要按规定行事，不得从事超越自己职责以外的任何操作。（三）在对生产系统和监督系统进行系统维护、恢复、强行更改数据时，至少应有两名操作人员在场、并进行详细的登记及签名。（四）系统检查人员、安全管理人员有权对生产系统进行监督与核查，但该过程必须履行必要的手续和按照一定的程序进行。第八章安全保密监督第四十一条科技部门对计算机信息系统安全保密工作，行使下列监督职权：（一）监督、检查、指导计算机信息系统安全保密工作

16、；（二）检查危害计算机信息系统安全的违规事件；（三）履行计算机信息系统安全保密工作的其它监督职责。第四十二条科技部门发现影响计算机信息系统安全保密的隐患时，应当及时通知本行保密领导小组采取保密保护措施，在紧急情况下， 有权直接先采取必要的措施， 然后再向领导报告， 遇有重大问题， 可以要求召集计算机保密领导小组成员会议商议对策。第九章泄密处理第四十三条如发生涉密计算机信息泄密事故，不得隐瞒，应立即向保密领导小组报告， 并请求信息科技部给予技术支持；信息科技部将根据保密领导小组的要求，采取有效的技术措施，避免泄密进一步扩大。第四十四条本行员工一旦发现涉密信息泄露或可能发生泄露的情况时，应立即向保

17、密领导小组报告，并采取相应的保护措施。第四十五条任何人不得擅自处理或破坏发生事故的涉密计算机信息系统名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 7 页 - - - - - - - - - 现场，必须及时通知总行保密领导小组，经保密领导小组授权， 信息科技部进行技术分析、取证，并及时做好相应的登记备案工作。第四十六条泄密事故相关人员应根据责任和损失大小承担相关事故责任， 给本行造成重大损失的将被依法追究责任，情节严重的将送交司法机关处理。第十章附则第四十七条本办法由农村商业银行股份有限公司负责解释。第四十八条本办法自发布之日起执行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 7 页 - - - - - - - - -