1、單位信息安全保障制度及管理辦法第一章  總 則第一條 *計算機信息系統是全縣農村信用社發展各項業務的核心技術手段，為了保護計算機網絡系統的安全，根據中華人民共和國保守國家秘密法、計算機信息系統保密暫行規定等法律、法規制訂本辦法。第二條 本辦法所稱的計算機信息系統，是指由計算機、網絡設備、數據信息以及其相關配套的設備、設施構成的，按照一定的應用目標和規則對數據信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。第三條 本辦法下列用語的含義。計算機信息系統安全是指計算機信息系統的硬件、軟件、網絡和數據的安全必須受到保護，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計算機信息系統

2、能連續正常運行。計算機信息系統保密是指對涉及*商密的包括但不限于計算機信息系統的軟件、硬件、系統數據信息、技術開發文檔、管理及操作規定、自有知識產權產品等資料、信息保守秘密，包括利用密碼技術對信息進行加密處理，防止信息非法泄露，保障*的利益。第四條  計算機信息系統的安全保密，指保障計算機、數據信息網絡及其相關的和配套的設備、設施的安全，保障運行環境（機房）的安全，保障信息的安全，保障計算機和網絡功能的正常發揮，防止工作或政治因素造成的失密、泄密，防止人為或自然災害等造成的破壞，以及防止利用計算機犯罪等。第五條 *計算機網絡系統安全領導小組（以下簡稱“計算機安全領導小組”）的領導下，

3、科技部門按相關管理規定，負責計算機信息系統安全保密工作。第六條  *（以下簡稱“*”）各部室必須指定專人負責本部門有關信息系統的安全保密工作，其主要職責是：（一）定期向*保密委報告安全保密工作情況；（二）督促本部門安全保密措施的貫徹執行；（三）組織安全保密檢查；（四）進行安全保密教育。第七條 任何單位和個人，不得利用計算機網絡系統從事或危害農村信用社利益的活動，不得危害計算機網絡系統的安全。第二章 計算機及網絡系統第八條 設備選型、購置須經充分論證，做好驗收，對密鑰、密碼、參數等信息應做好接交保管，網絡設備要特別關注其保密性能。第九條 購入的計算機網絡安全設備，必須經國家有關部門進行

4、安全、保密認證，系統運行期間，不得隨意更改其系統配置。第十條  建立常規硬件系統維護管理制度，保持維護計算機和網絡設備、工具和資料處于良好狀態，備件應有庫存帳，可隨時查閱，并根據具體情況補充和更新。防止重大事故，應有應急處理的措施。第十一條 各級操作人員必須進行必要的安全保密培訓，在職責范圍內嚴格按相關操作規程進行操作。第十二條  應用系統軟件、數據應有備份；有故障時能及時采取措施進行處理，并應對工作人員定期進行訓練和演習。第十三條  應用系統在設計上嚴格控制涉密文件信息查詢、檢索的人員范圍，嚴格管理用戶使用權限。系統軟硬件一經安裝、調試、正式運行，各部（室）、*

5、、*未經*科技部門許可，不得自行對其更改配置。第十四條 制定設備、軟件管理細則，應用軟件開發要嚴格按照有關規定執行。第十五條 計算機操作（或應用）系統版本的更新、升級須擬出方案，應用系統須經過嚴測試，憑更新、升級方案和測試報告，經科技部門負責人批準后由系統維護人員進行，應用系統的文檔資料，無關人員一律不得查閱。第十六條 傳輸秘密以上級別的信息時，通信兩端設備需在相應安全環境中，對所傳輸數據，要采取加密措施。第三章 介質、資料的管理第十七條  應用系統使用、產生的介質（磁性存儲介質、電子存儲介質、光存儲介質等）或資料（紙質文檔、電子文檔、程序等）要按其重要性進行分類，對存放有關鍵或重要

6、數據的介質和資料，應復制必要的份數，并分別存放在不同的安全地方，建立嚴格的保密保管制度。第十八條 保留在機房內的介質或資料，應為系統有效運行所必需的最少數量，除此之外，不應保留在機房內。第十九條 存放介質、資料的庫房，必須設有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設施。第二十條  介質（資料）庫，應設專人負責登記保管，未經批準，不得向第三方提供。第二十一條 系統內有關人員在使用介質（資料）期間，應嚴格按國家相關保密規定進行控制，不得轉借或復制，需要使用或復制的須經相關領導批準。第二十二條 庫房保管人對所有介質（資料）應定期檢查，根據介質的安全保存期限，及時更新復制。損壞

7、、廢棄或過期的介質（資料）應由專人負責處理，秘密級以上的介質（資料）在超過保密期或廢棄不用時，要及時銷毀。第二十三條  機密數據處理作業結束時，應及時清除存儲器、聯機磁帶、磁盤及其它介質上有關作業的程序和數據，應及時銷毀廢棄的打印紙。第四章  計算機及網絡系統的環境第二十四條  機房環境的選擇，應符合國家標準GB2887計算機站場地技術要求的有關規定。機房主體結構應具有與其功能相適應的抗震性、輻射屏蔽、防水等級和耐火等級；變形縫和伸縮縫等不應穿過機房；機房應設置齊全靈敏的火災、滲漏水報警和足夠的滅火、排水系統，應設置靈敏的溫度、濕度傳感器；空調的制冷能力需留有一定

8、的余量并配有備用空調設備。中心機房應配有獨立的供電、變電設備，供電功率需留有余量。第二十五條  機房選點盡量避開便于駐留無關人員的場所。第二十六條 計算機系統設備場地，應具備應急照明供電；應急報警設施，應急安全斷電線路。第二十七條  在計算機房、辦公設施、通訊及動力設施附近施工危害計算機信息系統安全的，由*會同有關單位進行交涉。第二十八條 制定機房出入管理制度，對每個工作人員授予不同權限，規定活動區域。設立值班人員負責監督制度的執行和安全保衛工作。第五章 安全保密制度第二十九條  計算機信息系統的建設和應用，應當遵守國家有關法律、行政法規和*其它有關規定。第三十條

9、 計算機信息系統實行安全等級保護。存儲國家秘密信息的計算機，應按所存儲信息的最高密級標明，并按相應密級的文件進行管理，采取相應的保密措施。機密級及以上國家秘密信息不得進入計算機信息系統。安全等級的劃分標準和安全等級保護的具體辦法由省清算中心制定。第三十一條 計算機機房、辦公、防雷、消防、通訊及供配電設施應當符合國家標準和國家有關規定。在上述設施附近施工，不得危害計算機網絡系統的安全。因施工危害計算機信息系統安全的，由相關部門與施工單位進行交涉。第三十二條 要求接入國際互聯網的計算機，由使用部門提出申請，經科技部門按規定審核后，報分管領導審批。第三十三條 攜帶或郵寄計算機介質（資料）的，應當如實

10、向*計算機安全領導小組申報。第三十四條 對計算機信息系統中發生的案件，應按規定及時向*及相關部門報告。第三十五條  聯網計算機應定期進行查、殺病毒操作，發現計算機新病毒，應按照規定及時向*計算機病毒防治工作小組報告。第六章  人員內控管理第三十六條  人員審查。人員的審查必須根據計算機網絡系統所規定的安全等級來確定審查標準。凡接觸系統安全三級以上信息系統的所有人員，必須按機要人員的條件進行審查。第三十七條 關鍵崗位人選。對計算機信息系統的關鍵崗位人選，如安全負責人、系統管理員等，不僅需要進行嚴格的政審，還要考核其業務能力，以保證這部分人員可信可靠，能勝任本職工作。

11、關鍵崗位人員要實行定期強制休假制度。第三十八條  人員培訓。計算機信息系統上崗的所有工作人員，均需由有關部門組織上崗培訓，包括計算機及網絡操作、維護培訓、應用軟件操作培訓、計算機網絡系統安全課程及保密教育培訓，經培訓合格的人員持證上崗。第三十九條 人員考核。人事部門要定期組織有關方面人員對計算機網絡系統所有的工作人員從政治思想、業務水平、工作表現、遵守安全規程等方面進行考核，對于考核發現有違反安全法規行為的人員或發現不適于接觸計算機網絡系統的人員要及時調離崗位，不應讓其再接觸系統，對情節嚴重的應追究其法律責任。第四十條  簽訂保密協議。對于所有進入計算機網絡系統工作的人員，

12、均應簽訂保密契約，承諾其對系統應盡的安全保密義務，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統秘密。對違反保密契約的，應有懲處條款。對接觸機密信息的人員，應規定在離崗后的多長時期內不得離境。第四十一條 人員調離。對調離人員，特別是因不適合安全管理要求被調離的人員，必須嚴格辦理調離手續。進行調離談話，承諾其調離后的保密義務，交還所有鑰匙及證件，退還全部技術手冊、軟件及有關資料。更換系統口令和用戶名。自調離決定通知之日起，必須立即進行上述工作，不得拖延。第七章 操作安全管理第四十二條  系統操作安全管理目標。系統操作是指對計算機信息系統開發、操作、維護、系統管理等人員的行為或活動

13、。全縣農村信用社計算機信息系統操作安全管理的目標是：（一）對系統管理及系統操作均應進行有效的監督或監控；（二）所有接觸系統的人員均應承擔與其工作性質相應的安全責任。第四十三條 計算機操作人員分類。對計算機信息系統的操作人員，應根據計算機信息系統有限職責、有限使用授權原則進行分類。（一）營業網點操作員、管理人員。（二）事后監督系統操作員、管理人員。（三）辦公自動化系統操作、管理人員。（四）網絡及硬件維護人員。（五）系統運行維護人員。（六）中心系統管理人員。（七）安全管理人員。第四十四條 系統操作控制管理。（一）應按照分工負責、互相制約的原則制定各類系統操作人員的職責，職責不允許交叉覆蓋。（二）各

14、類人員在履行職責時要按規定行事，不得從事超越自己職責以外的任何操作。（三）在對生產系統和監督系統進行系統維護、恢復、強行更改數據時，至少應有兩名操作人員在場、并進行詳細的登記及簽名。（四）系統稽核人員、安全管理人員有權對生產系統進行監督與核查，但該過程必須履行必要的手續和按照一定的程序進行。（五）應為長期從事計算機工作的人員創造合適的人機工作環境。使他們享有相應的勞動保護，定期進行專門體檢，保持身心健康。第八章  安全保密監督第四十五條 科技部門對計算機信息系統安全保密工作，行使下列監督職權：（一）監督、檢查、指導計算機信息系統安全保密工作；（二）檢查危害計算機信息系統安全的違規事件

15、；（三）履行計算機信息系統安全保密工作的其它監督職責。第四十六條 科技部門發現影響計算機信息系統安全保密的隱患時，應當及時通知*安全領導小組采取安全保護措施，在緊急情況下，有權直接先采取必要的措施，然后再向領導報告，遇有重大問題，可以要求召集計算機安全領導小組成員會議商議對策。第九章  獎勵和懲處第四十七條  違反本辦法的規定，有下列行為之一的，由計算機安全領導小組處以警告或者停機整頓，嚴重的應依據中華人民共和國保守國家秘密法的有關條款進行處理并追究單位領導的責任。（一）違反計算機信息系統安全等級制度，危害計算機信息系統安全的；（二）不按照本辦法規定時間報告計算機信息系統中發生的案件的；（三）接到有關