最新资料欢迎阅读 (一)主机房在建筑内应为独立区域。
(二)主机房周围100米内不得有危险建筑,如:加油站、煤气站等。
(三)主机房必须按照有关标准配置防火、防水、防盗设施并和当地公安机关110联网,以便报警。
(四)对不能停机的主机房必须采用双回路供电,或者配置发电机、持续工作八小时以上的UPS等设施。 第九条
计算机设备必须有可靠接地,接地电阻不大于相应设备的技术要
求,并装置必要的防雷电设施。 第条监视制度。 第一条
对不能停机的计算机信息系统,金融机构应当配置必要的备份金融机构应当在主机房、柜面等要害部位安装监控设备,落实值班
机,以便故障时切换使用。 第二条 第三条
安全防范管理 第四条
重要的通讯控制装置及通讯线必须要有备份。 网络通讯设施要有安全技术措施。
第三章
中国人民银行和各政策性银行、商业银行应当加强信息科技管理
部门,并设立专职的计算机信息系统安全管理人员。 第五条
县级以上金融机构必须成立计算机信息系统安全保护领导小组,
由分管领导任组长,并确定专职部门负责日常的计算机信息系统安全保护工作。领导小组名单应当报同级人民银行计算机信息系统安全保护领导小组和公安机关计算机管理监察部门备案。其专职部门应当接受公安机关计算机管理监察部门的工作指导和监督。 第六条人员。 第七条
各级金融机构应当将计算机信息系统安全防范工作纳入职工的
1
金融基层单位应当设立专职或者兼职计算机信息系统安全管理
最新资料欢迎阅读 岗位责任制,并与其他工作同时进行检查考核。定期对职工进行法制教育、安全意识教育和防范技能训练。 第八条
计算机信息系统安全保护领导小组负责本单位内各部门计算机
信息系统安全管理和检查,并积极配合和支持公安机关计算机管理监察部门开展安全监察和查处案件。 第九条
计算机信息系统安全保护专职部门或者安全管理人员应当对本
单位的主要计算机信息系统资源配置、技术人员构成进行登记,报同级公安机关计算机管理监察部门备案。 第二条
金融机构应当加强主要岗位工作人员的录用、考核制度,不适宜
的人员必须及时调离。对重要岗位计算机信息系统的安全情况经常进行检查,及时整改不安全隐患。 第二一条
计算机工作人员调离时,必须移交全部技术手册及有关资料,
并更换计算机的有关口令和密钥。涉及银行业务核心部分开发的技术人员调离本系统时,应当确认对本系统安全不会造成危害后方可调离。 第二二条
金融机构应当对与计算机有关的卫星天线、电源接口、通信接
口等设备进行定期检查维护。 第二三条等制度。 第二四条改要有记录。 第二五条
金融机构应当实行权限分散原则。明确系统管理员、系统操作金融机构应当建立操作人员密码制度,分清各自责任。密码修金融机构应当建立计算机主机房的值班及人员出入管理登记
员、终端操作员、程序员的权限和操作范围。建立系统运行日志,每天打印重要的操作清单。日志信息长期保存,以备稽查。 第二六条
金融机构应当对易受病毒攻击的计算机信息系统,定期进行病
毒检查。用介质交换信息要按规定手续管理,并进行病毒预检,防止病毒对系统和数据的破坏。 第二七条
金融机构对证券交易、储蓄、会计等业务的计算机数据处理,
应当建立严格的管理措施,以防止各类事故的发生。 第二八条
金融机构应当用软、硬件技术严格控制各级用户对数据信息的
1
最新资料欢迎阅读 访问权限,包括访问的方式和内容。 第二九条存。 第三条
金融机构应当对贮有重要数据的故障设备,交外单位人员修理金融机构应当对重要的数据建立数据备份制度,并做到异地保
时,本单位必须派专人在场监督。 第三一条 第三二条
金融机构应当建立废弃数据、介质的处理制度。
金融机构修改金融业务程序和系统参数,必须履行一定的审批
手续,并做好文档资料的相应修改。 第三三条
金融机构的开发系统应当和业务系统分离,程序员只能在开发
系统上工作。业务用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。 第三四条
系统管理员不能兼任柜面及事后稽核等工作,不得参与相关软
件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。 第三五条
金融机构启用新的应用软件,应当按规定手续交系统维护人员
安装到业务系统,并做好日志记录。 第三六条
重要系统应用软件运行过程中出现异常现象,金融机构应当立
即报告本级银行安全管理职能部门,做好详细记录,经领导同意后,由系统管理人员进行检查、修改、维护。 第三七条
金融机构应当建立定期的系统和程序备份制度,异地保存两个
以上最新的版本及其目录打印清单,以备系统和程序的恢复。 第三八条案。 第三九条
金融机构对联网的计算机及其网络设备和通讯设备的安装、使金融机构对重要的业务系统及设备,必须制定应急情况处理方
用,应当建立严格的管理措施,以防“黑客”的侵袭。 第四条
金融机构对重要通信应当采用加密措施,并定期更换通讯密钥。
重要线路应当采用专线联接方式或者虚拟专线联接方式。 第四一条
金融机构应当建立严格的密钥管理制度和在紧急情况下销毁
密钥的手段和措施,以防止密钥的失密。 第四二条
金融机构对与国际联网的计算机信息系统,要按有关规定向公
1
最新资料欢迎阅读 安机关登记备案。对生产机以及存放重要数据的计算机不得以任何方式与国际互联网联网。 第四三条
公安机关应当定期对金融机构的计算机信息系统进行检查,发
现有影响计算机信息系统安全的隐患时,应当及时通知该金融机构。 第四四条
公安机关应当对金融机构的计算机信息系统安全管理人员进
行安全知识培训,并颁发《计算机安全员上岗证》,并协助金融机构建立、完善计算机信息系统安全保护制度。
第四章 第四五条
事故与案件的处理
金融机构计算机信息系统发生重大事故,应当立即报告本单位
计算机信息系统安全保护领导小组和专职部门,并填写《计算机事故申报表》,报同级公安机关计算机管理监察部门和人民银行计算机信息系统安全保护领导小组。 第四六条
金融机构发现计算机犯罪案件,应当立即向当地公安机关报
案,并保护好发案现场。发现其他不属公安机关管辖的案件,要将主要案情通报当地公安机关。 第四七条案件。
奖励与处罚 第四八条
执行本暂行规定,在金融机构计算机信息系统安全保护工作中
第五章
公安机关接到金融单位报案后,应当立即派人赶赴现场,查处
成绩显著的单位和个人,由上级金融主管部门、本单位或者公安机关给予表彰、奖励。 第四九条
违反本暂行规定,存在计算机信息系统安全隐患的金融机构,
由公安机关发出整改通知,限期整改。因不及时整改而发生重大案件和事故的,由上级金融主管部门对该单位的主管负责人和直接责任人予以行政处分;构成违反治安管理或者计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司法机关依法追究刑事责任。 第六章
附
则
1
最新资料欢迎阅读 第五条 第五一条
本暂行规定由公安部和中国人民银行负责解释。 本暂行规定自发布之日起施行。
1
计算机信息系统安全的基本要求
