（１９９８年２月２４日　開行辦電腦〔１９９８〕９號） 　 各廳、局、直屬單位，武漢分行、各代表處： 　現(xiàn)將《國家開發(fā)銀行計算機信息系統(tǒng)安全保密暫行辦法》印發(fā)給你們，請認真組織學習，并結合實際貫徹落實。 附：　　　 國家開發(fā)銀行計算機信息系統(tǒng)安全保密暫行辦法 　 第一章　總則 　　第一條　國家開發(fā)銀行（以下簡稱本行）計算機應用系統(tǒng)是本行信息和業(yè)務處理的核心技術手段，為了保護本行計算機信息系統(tǒng)的安全，特制定本辦法。 　　第二條　本辦法所稱的計算機系統(tǒng)，是指由計算機、數(shù)據(jù)信息網(wǎng)絡及其相關和配套的設備、設施構成的。它是按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 　　第三條　本辦法下列用語的含義： 　　計算機信息系統(tǒng)安全是指計算機信息系統(tǒng)的硬件、軟件、網(wǎng)絡和數(shù)據(jù)的安全必須受到保護，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計算機信息系統(tǒng)能連續(xù)正常運行。 　　計算機保密是指利用密碼技術對信息進行加密處理，防止信息非法泄露。 　　第四條　計算機信息系統(tǒng)的安全保密，應當保障計算機、數(shù)據(jù)信息網(wǎng)絡及其相關的和配套的設備、設施的安全，保障運行環(huán)境（機房）的安全，保障信息的安全，保障計算機和網(wǎng)絡功能的正常發(fā)揮，防止和處理政治因素造成的失泄密、人為或自然災害等造成的破壞，以及防止利用計算機犯罪等。 　　第五條　在行電子化領導小組的領導下，電腦中心、行保密辦主要負責行計算機信息系統(tǒng)安全保密工作，辦公廳給予支持。 　　第六條　各有關廳局必須指定專人負責本單位有關信息系統(tǒng)的安全保密工作。其主要任務是：定期向電腦中心、行保密辦通報安全保密工作情況；督促本單位安全保密措施的貫徹執(zhí)行；組織安全保密檢查，進行安全保密教育。 　　第七條　任何單位和個人，不得利用我行信息系統(tǒng)從事危害我行利益的活動，不得危害我行信息系統(tǒng)的安全。 　 第二章　計算機及網(wǎng)絡系統(tǒng) 　　 　　第八條　購置設備要經(jīng)過周密調(diào)查，慎重選型；落實售后服務和軟、硬件后援，嚴格驗收；對通信設備要特別考慮其保密性能。 　　第九條　對引進的各種服務器，在應用系統(tǒng)投入運行之前，應報請國家安全部門進行保密檢查，系統(tǒng)運行期間，不得隨意更動系統(tǒng)配置。 　　第十條　建立常規(guī)硬件系統(tǒng)維護管理制度，保持維護計算機和網(wǎng)絡、設備、工具和資料處于良好狀態(tài)，備件應有庫存賬，可隨時查閱，并根據(jù)具體情況補充和更新。防止重大事故，應有應急處理的措施。 　　第十一條　操作人員必須進行必要的培訓，并經(jīng)考試合格后方準持證上崗操作。操作人員必須嚴格按規(guī)程進行操作。 　　第十二條　重要業(yè)務部門的實時應用系統(tǒng)要求軟件、數(shù)據(jù)有備份；有故障時的處理措施；并應對工作人員定期進行訓練和演習。根據(jù)具體情況，有計劃地安排配置備份機。 　　第十三條　應用系統(tǒng)在設計上嚴格控制涉密文件信息查詢檢索的人員范圍，嚴格管理用戶使用權限。系統(tǒng)軟硬件一經(jīng)安裝、調(diào)試、正式運行，未經(jīng)電腦中心許可，不得自行對其更改配置或移動位置。 　　第十四條　各廳局制定設備、軟件管理細則，應用軟件開發(fā)要嚴格按照我行有關規(guī)定執(zhí)行，實現(xiàn)《國家經(jīng)濟信息系統(tǒng)設計與應用系統(tǒng)標準規(guī)范》中的安全保密要求。 　　第十五條　應用系統(tǒng)版本的更改、更新必須報電腦中心批準后由技術人員進行。應用系統(tǒng)的文檔資料，無關人員一律不得查閱。 　　第十六條　傳輸秘密以上級別的信息時，通信兩端設備需在相應安全環(huán)境中，對所傳輸數(shù)據(jù)，要采取加密措施。 　 第三章　介質(zhì)（資料）的儲送 　　 　　第十七條　對應用系統(tǒng)使用、產(chǎn)生的介質(zhì)或資料要按其重要性進行分類，對存放有關鍵或重要數(shù)據(jù)的介質(zhì)（資料），如會計賬、計劃統(tǒng)計表格，應復制必要的份數(shù)，并分別存放在不同的安全地方，建立嚴格的保密保管制度。 　　第十八條　保留在機房內(nèi)的介質(zhì)（資料），應為系統(tǒng)有效運行所必需的最少數(shù)量，除此之外，不應保留在機房內(nèi)。 　　第十九條　存放機房內(nèi)的介質(zhì)（資料）應該存放于防火、防高溫、防震、防電磁場、防靜電及防盜的房間或保險柜中。 　　第二十條　介質(zhì)（資料）庫，應設專人負責登記保管，未經(jīng)批準，不得隨意提供介質(zhì)（資料）。 　　第二十一條　在使用介質(zhì)（資料）期間，應嚴格按國家保密規(guī)定控制轉(zhuǎn)借或復制，需要使用或復制的須經(jīng)主管部門批準。 　　第二十二條　對所有介質(zhì)（資料）應定期檢查，要考慮介質(zhì)的安全保存期限，及時更新復制。損壞、廢棄或過時的介質(zhì)（資料）應由專人負責處理，秘密級以上的介質(zhì)（資料）在過保密期或廢棄不用時，要及時銷毀。 　　第二十三條　機密數(shù)據(jù)處理作業(yè)結束時，應及時清除存儲器、聯(lián)機磁帶、磁盤及其他介質(zhì)上有關作業(yè)的程序和數(shù)據(jù)，應及時銷毀廢棄的打印紙。 　 第四章　計算機及網(wǎng)絡系統(tǒng)的環(huán)境 　　 　　第二十四條　機房環(huán)境的選擇，應符合國家標準ＧＢ２８８７《計算機站場地技術要求》的有關規(guī)定。機房主體結構應具有與其功能相適應的抗震性、輻射屏蔽、防水等級和耐火等級。變形縫和伸縮縫等不應穿過機房。機房應設置齊全靈敏的水災、滲漏水報警和足夠的滅火、排水系統(tǒng)，應設置靈敏的溫度、濕度傳感器。空調(diào)的制冷能力需留有一定的余量并配有備用空調(diào)設備。中心機房應配有獨立的供電、變電設備，供電功率需留有余量。 　　第二十五條　機房選點盡量避開便于駐留無關人員的場所。 　　第二十六條　計算機系統(tǒng)設備場地，應具備應急照明供電，應急報警設施，應急安全斷電線路。中心機房應有若干設有明顯標志的疏散出口。 　　第二十七條　在計算機房、辦公設施、通訊及動力設施附近施工危害計算機信息系統(tǒng)安全的，由電腦中心會同有關單位進行交涉。 　　第二十八條　制定機房出入管理制度，對每個工作人員授予不同權限，規(guī)定活動區(qū)域。設立值班人員負責監(jiān)督制度的執(zhí)行和安全保衛(wèi)工作。 　 第五章　安全保密制度 　　 　　第二十九條　計算機信息系統(tǒng)的建設和應用，應當遵守國家有關法律、行政法規(guī)和本行其他有關規(guī)定。 　　第三十條　計算機信息系統(tǒng)實行安全等級保護。存儲國家秘密信息的計算機，應按所存儲信息的最高密級標明，并按相應密級的文件進行管理，采取相應的保密措施。機密級及以上國家秘密信息不得進入計算機信息系統(tǒng)。安全等級的劃分標準和安全等級保護的具體辦法由電腦中心、辦公廳商國家有關部門制定。 　　第三十一條　計算機機房、辦公設施、通訊及動力設施應當符合國家標準和國家有關規(guī)定。在上述設施附近施工，不得危害我行信息系統(tǒng)的安全。因施工危害計算機信息系統(tǒng)安全的，由電腦中心會同有關單位進行交涉。 　　第三十二條　未經(jīng)許可不得隨意使用調(diào)制解調(diào)器等設備與因特網(wǎng)聯(lián)網(wǎng)，個別確因特殊工作需要的應事先與電腦中心取得溝通并征得同意。 　　第三十三條　攜帶或郵寄計算機介質(zhì)（資料）進出國家開發(fā)銀行的，應當如實向電腦中心申報。 　　第三十四條　各廳局應當自行建立健全安全管理制度，負責本單位計算機信息系統(tǒng)安全保密工作。 　　第三十五條　對計算機信息系統(tǒng)中發(fā)生的案件，有關廳局應在２４小時內(nèi)向電腦中心、行保密辦報告。 　　第三十六條　對計算機病毒、我行電子信息系統(tǒng)的安全保密等方面研究工作，由電腦中心和行保密辦歸口管理。 　 第六章　人員內(nèi)控管理 　　 　　第三十七條　人員審查。 　　人員的審查必須根據(jù)金融電子化系統(tǒng)所規(guī)定的安全等級來確定審查標準。凡接觸系統(tǒng)安全三級以上信息系統(tǒng)的所有人員，必須按機要人員的條件進行審查。 　　第三十八條　關鍵崗位人選。 　　對金融電子化系統(tǒng)的關鍵崗位人選，如安全負責人、系統(tǒng)管理員等，不僅需要進行嚴格的政審，還要考核其業(yè)務能力，以保證這部分人員可信可靠，勝任本職工作。必要時要實行定期強制休假。 　　第三十九條　人員培訓。 　　對在金融電子化系統(tǒng)上崗的所有工作人員，均需由有關部門組織上崗培訓，包括計算機及網(wǎng)絡操作、維護培訓，應用軟件操作培訓，金融電子化系統(tǒng)安全課程及保密教育培訓，經(jīng)培訓合格的人員持證上崗工作。對培訓不合格者或未參加培訓者，嚴禁上崗工作。 　　第四十條　人員考核。 　　人事部門要定期組織有關方面人員對金融電子化系統(tǒng)所有的工作人員從政治思想、業(yè)務水平、工作表現(xiàn)、遵守安全規(guī)程等方面進行考核，對于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸金融電子化系統(tǒng)的人員要及時調(diào)離崗位，不應讓其再接觸系統(tǒng)，對情節(jié)嚴重的應追究其法律責任。 　　第四十一條　簽訂保密契約。 　　對于所有進入金融電子化系統(tǒng)工作的人員，均應簽訂保密契約，承諾其對系統(tǒng)應盡的安全保密義務，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統(tǒng)秘密。對違反保密契約的，應有懲處條款。對接觸機密信息的人員，應規(guī)定在離崗后的多長時期內(nèi)不得離境。 　　第四十二條　人員調(diào)離。 　　對調(diào)離人員，特別是因不適合安全管理要求被調(diào)離的人員，必須嚴格辦理調(diào)離手續(xù)。進行調(diào)離談話，承諾其調(diào)離后的保密義務，交回所有鑰匙及證件，退還全部技術手冊、軟件及有關資料。更換系統(tǒng)口令和機要鎖。自調(diào)離決定通知之日起，必須立即進行上述工作，不得拖延。 　 第七章　操作安全管理 　　 　　第四十三條　系統(tǒng)操作安全管理目標。 　　系統(tǒng)操作是指金融電子化系統(tǒng)的人員開發(fā)、操作、維護、管理電子化系統(tǒng)的行為或活動。金融電子化系統(tǒng)操作安全管理的目標是： 　　１．對系統(tǒng)管理及系統(tǒng)操作均應進行有效的監(jiān)督或監(jiān)控； 　　２．所有接觸系統(tǒng)的人員均應承擔與其工作性質(zhì)相應的安全責任。 　　第四十四條　操作人員分類。 　　對金融電子化系統(tǒng)的操作人員，應根據(jù)確保金融電子化系統(tǒng)有限職責、有限使用授權原則進行分類。 　　１．一線生產(chǎn)系統(tǒng)操作、管理人員； 　　２．二線監(jiān)督系統(tǒng)操作、管理人員； 　　３．辦公自動化系統(tǒng)操作、管理人員； 　　４．硬件維修人員； 　　５．軟件開發(fā)、維護人員； 　　６．系統(tǒng)分析人員； 　　７．系統(tǒng)稽核人員、安全管理人員； 　　８．行政管理人員。 　　系統(tǒng)開發(fā)人員與系統(tǒng)操作人員應嚴格限定業(yè)務分工，不得交叉使用。 　　第四十五條　系統(tǒng)操作控制管理。 　　１．應按照分工負責、互相制約的原則制定各類系統(tǒng)操作人員的職責，職責不允許交叉覆蓋。 　　２．各類人員在履行職責時要按規(guī)定行事，不得從事超越自己職能以外的任何作業(yè)，如操縱系統(tǒng)、更改數(shù)據(jù)等。 　　３．一線生產(chǎn)系統(tǒng)和二線監(jiān)督系統(tǒng)進行系統(tǒng)維護、復原、強行更改數(shù)據(jù)時，至少應有兩名操作人員在場，并進行詳細的登記及簽名。 　　４．七類人員有權對一線生產(chǎn)系統(tǒng)和一類人員進行監(jiān)督與核查，但該過程必須履行必要的手續(xù)和按照一定的程序進行。 　　５．應為長期從事計算機工作的人員創(chuàng)造合適的人機工作環(huán)境。使他們享有相應的勞動保護，定期進行專門體檢，保持身心健康。 　 第八章　安全保密監(jiān)督 　　 　　第四十六條　電腦中心和行保密辦對計算機信息系統(tǒng)安全保密工作行使下列監(jiān)督職權： 　　（一）監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保密工作； 　　（二）檢查危害計算機信息系統(tǒng)安全的違規(guī)事件； 　　（三）履行計算機信息系統(tǒng)安全保密工作的其他監(jiān)督職責。 　　第四十七條　電腦中心和行保密辦發(fā)現(xiàn)影響計算機信息系統(tǒng)安全保密的隱患時，應當及時通知使用單位采取安全保護措施，在緊急情況下，有權直接先采取必要的措施，然后再向領導報告，遇有重大問題，可以要求召集行電子化領導小組成員會議商議對策。 　 第九章　獎勵和懲處 　　 　　第四十八條　違反本辦法的規(guī)定，有下列行為之一的，由行電子化領導小組處以警告或者停機整頓，嚴重的應依據(jù)《中華人民共和國保守國家秘密法》的有關條款進行處理并追究單位領導的責任。 　　（一）違反計算機信息系統(tǒng)安全等級制度，危害計算機信息系統(tǒng)安全的； 　　（二）不按照本辦法規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的； 　　（三）接到我行有關要求改進安全保密狀況的通知后，在限期內(nèi)不予改進的； 　　（四）對本辦法貫徹不力，造成事故隱患，影響系統(tǒng)正常運行的； 　　（五）違反本辦法造成嚴重損失或造成重大失泄密的。 　　第四十九條　對于引入計算機病毒以及其他有害數(shù)據(jù)危害計算機信息系統(tǒng)安全的，或者未經(jīng)許可使用計算機信息系統(tǒng)安全專用產(chǎn)品的單位和個人，由電腦中心和行保密辦給予嚴肅處理。 　　第五十條　凡是認真貫徹本規(guī)定要求，維護系統(tǒng)安全運行，杜絕事故發(fā)生，防止失泄密成績顯著者，或迅速排除故障，恢復系統(tǒng)正常運行或減少損失者，均應視情況給予表揚或獎勵。 　 第十章　附則 　　 　　第五十一條　各廳局可以根據(jù)本辦法制定暫行細則，但應報電腦中心和行保密辦備案。 　　第五十二條　計算機病毒的防治工作屬本暫行辦法的重要內(nèi)容，具體按照《國家開發(fā)銀行防治計算機病毒規(guī)定》執(zhí)行。 　　第五十三條　本辦法由電腦中心和行保密辦負責解釋。 　　第五十四條　本辦法自發(fā)布之日起施行。