（１９９８年２月２４日　開(kāi)行辦電腦〔１９９８〕９號(hào)） 　 各廳、局、直屬單位，武漢分行、各代表處： 　現(xiàn)將《國(guó)家開(kāi)發(fā)銀行計(jì)算機(jī)信息系統(tǒng)安全保密暫行辦法》印發(fā)給你們，請(qǐng)認(rèn)真組織學(xué)習(xí)，并結(jié)合實(shí)際貫徹落實(shí)。 附：　　　 國(guó)家開(kāi)發(fā)銀行計(jì)算機(jī)信息系統(tǒng)安全保密暫行辦法 　 第一章　總則 　　第一條　國(guó)家開(kāi)發(fā)銀行（以下簡(jiǎn)稱本行）計(jì)算機(jī)應(yīng)用系統(tǒng)是本行信息和業(yè)務(wù)處理的核心技術(shù)手段，為了保護(hù)本行計(jì)算機(jī)信息系統(tǒng)的安全，特制定本辦法。 　　第二條　本辦法所稱的計(jì)算機(jī)系統(tǒng)，是指由計(jì)算機(jī)、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的。它是按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。 　　第三條　本辦法下列用語(yǔ)的含義： 　　計(jì)算機(jī)信息系統(tǒng)安全是指計(jì)算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)和數(shù)據(jù)的安全必須受到保護(hù)，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計(jì)算機(jī)信息系統(tǒng)能連續(xù)正常運(yùn)行。 　　計(jì)算機(jī)保密是指利用密碼技術(shù)對(duì)信息進(jìn)行加密處理，防止信息非法泄露。 　　第四條　計(jì)算機(jī)信息系統(tǒng)的安全保密，應(yīng)當(dāng)保障計(jì)算機(jī)、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)的和配套的設(shè)備、設(shè)施的安全，保障運(yùn)行環(huán)境（機(jī)房）的安全，保障信息的安全，保障計(jì)算機(jī)和網(wǎng)絡(luò)功能的正常發(fā)揮，防止和處理政治因素造成的失泄密、人為或自然災(zāi)害等造成的破壞，以及防止利用計(jì)算機(jī)犯罪等。 　　第五條　在行電子化領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，電腦中心、行保密辦主要負(fù)責(zé)行計(jì)算機(jī)信息系統(tǒng)安全保密工作，辦公廳給予支持。 　　第六條　各有關(guān)廳局必須指定專人負(fù)責(zé)本單位有關(guān)信息系統(tǒng)的安全保密工作。其主要任務(wù)是：定期向電腦中心、行保密辦通報(bào)安全保密工作情況；督促本單位安全保密措施的貫徹執(zhí)行；組織安全保密檢查，進(jìn)行安全保密教育。 　　第七條　任何單位和個(gè)人，不得利用我行信息系統(tǒng)從事危害我行利益的活動(dòng)，不得危害我行信息系統(tǒng)的安全。 　 第二章　計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng) 　　 　　第八條　購(gòu)置設(shè)備要經(jīng)過(guò)周密調(diào)查，慎重選型；落實(shí)售后服務(wù)和軟、硬件后援，嚴(yán)格驗(yàn)收；對(duì)通信設(shè)備要特別考慮其保密性能。 　　第九條　對(duì)引進(jìn)的各種服務(wù)器，在應(yīng)用系統(tǒng)投入運(yùn)行之前，應(yīng)報(bào)請(qǐng)國(guó)家安全部門進(jìn)行保密檢查，系統(tǒng)運(yùn)行期間，不得隨意更動(dòng)系統(tǒng)配置。 　　第十條　建立常規(guī)硬件系統(tǒng)維護(hù)管理制度，保持維護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)、設(shè)備、工具和資料處于良好狀態(tài)，備件應(yīng)有庫(kù)存賬，可隨時(shí)查閱，并根據(jù)具體情況補(bǔ)充和更新。防止重大事故，應(yīng)有應(yīng)急處理的措施。 　　第十一條　操作人員必須進(jìn)行必要的培訓(xùn)，并經(jīng)考試合格后方準(zhǔn)持證上崗操作。操作人員必須嚴(yán)格按規(guī)程進(jìn)行操作。 　　第十二條　重要業(yè)務(wù)部門的實(shí)時(shí)應(yīng)用系統(tǒng)要求軟件、數(shù)據(jù)有備份；有故障時(shí)的處理措施；并應(yīng)對(duì)工作人員定期進(jìn)行訓(xùn)練和演習(xí)。根據(jù)具體情況，有計(jì)劃地安排配置備份機(jī)。 　　第十三條　應(yīng)用系統(tǒng)在設(shè)計(jì)上嚴(yán)格控制涉密文件信息查詢檢索的人員范圍，嚴(yán)格管理用戶使用權(quán)限。系統(tǒng)軟硬件一經(jīng)安裝、調(diào)試、正式運(yùn)行，未經(jīng)電腦中心許可，不得自行對(duì)其更改配置或移動(dòng)位置。 　　第十四條　各廳局制定設(shè)備、軟件管理細(xì)則，應(yīng)用軟件開(kāi)發(fā)要嚴(yán)格按照我行有關(guān)規(guī)定執(zhí)行，實(shí)現(xiàn)《國(guó)家經(jīng)濟(jì)信息系統(tǒng)設(shè)計(jì)與應(yīng)用系統(tǒng)標(biāo)準(zhǔn)規(guī)范》中的安全保密要求。 　　第十五條　應(yīng)用系統(tǒng)版本的更改、更新必須報(bào)電腦中心批準(zhǔn)后由技術(shù)人員進(jìn)行。應(yīng)用系統(tǒng)的文檔資料，無(wú)關(guān)人員一律不得查閱。 　　第十六條　傳輸秘密以上級(jí)別的信息時(shí)，通信兩端設(shè)備需在相應(yīng)安全環(huán)境中，對(duì)所傳輸數(shù)據(jù)，要采取加密措施。 　 第三章　介質(zhì)（資料）的儲(chǔ)送 　　 　　第十七條　對(duì)應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)或資料要按其重要性進(jìn)行分類，對(duì)存放有關(guān)鍵或重要數(shù)據(jù)的介質(zhì)（資料），如會(huì)計(jì)賬、計(jì)劃統(tǒng)計(jì)表格，應(yīng)復(fù)制必要的份數(shù)，并分別存放在不同的安全地方，建立嚴(yán)格的保密保管制度。 　　第十八條　保留在機(jī)房?jī)?nèi)的介質(zhì)（資料），應(yīng)為系統(tǒng)有效運(yùn)行所必需的最少數(shù)量，除此之外，不應(yīng)保留在機(jī)房?jī)?nèi)。 　　第十九條　存放機(jī)房?jī)?nèi)的介質(zhì)（資料）應(yīng)該存放于防火、防高溫、防震、防電磁場(chǎng)、防靜電及防盜的房間或保險(xiǎn)柜中。 　　第二十條　介質(zhì)（資料）庫(kù)，應(yīng)設(shè)專人負(fù)責(zé)登記保管，未經(jīng)批準(zhǔn)，不得隨意提供介質(zhì)（資料）。 　　第二十一條　在使用介質(zhì)（資料）期間，應(yīng)嚴(yán)格按國(guó)家保密規(guī)定控制轉(zhuǎn)借或復(fù)制，需要使用或復(fù)制的須經(jīng)主管部門批準(zhǔn)。 　　第二十二條　對(duì)所有介質(zhì)（資料）應(yīng)定期檢查，要考慮介質(zhì)的安全保存期限，及時(shí)更新復(fù)制。損壞、廢棄或過(guò)時(shí)的介質(zhì)（資料）應(yīng)由專人負(fù)責(zé)處理，秘密級(jí)以上的介質(zhì)（資料）在過(guò)保密期或廢棄不用時(shí)，要及時(shí)銷毀。 　　第二十三條　機(jī)密數(shù)據(jù)處理作業(yè)結(jié)束時(shí)，應(yīng)及時(shí)清除存儲(chǔ)器、聯(lián)機(jī)磁帶、磁盤及其他介質(zhì)上有關(guān)作業(yè)的程序和數(shù)據(jù)，應(yīng)及時(shí)銷毀廢棄的打印紙。 　 第四章　計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境 　　 　　第二十四條　機(jī)房環(huán)境的選擇，應(yīng)符合國(guó)家標(biāo)準(zhǔn)ＧＢ２８８７《計(jì)算機(jī)站場(chǎng)地技術(shù)要求》的有關(guān)規(guī)定。機(jī)房主體結(jié)構(gòu)應(yīng)具有與其功能相適應(yīng)的抗震性、輻射屏蔽、防水等級(jí)和耐火等級(jí)。變形縫和伸縮縫等不應(yīng)穿過(guò)機(jī)房。機(jī)房應(yīng)設(shè)置齊全靈敏的水災(zāi)、滲漏水報(bào)警和足夠的滅火、排水系統(tǒng)，應(yīng)設(shè)置靈敏的溫度、濕度傳感器。空調(diào)的制冷能力需留有一定的余量并配有備用空調(diào)設(shè)備。中心機(jī)房應(yīng)配有獨(dú)立的供電、變電設(shè)備，供電功率需留有余量。 　　第二十五條　機(jī)房選點(diǎn)盡量避開(kāi)便于駐留無(wú)關(guān)人員的場(chǎng)所。 　　第二十六條　計(jì)算機(jī)系統(tǒng)設(shè)備場(chǎng)地，應(yīng)具備應(yīng)急照明供電，應(yīng)急報(bào)警設(shè)施，應(yīng)急安全斷電線路。中心機(jī)房應(yīng)有若干設(shè)有明顯標(biāo)志的疏散出口。 　　第二十七條　在計(jì)算機(jī)房、辦公設(shè)施、通訊及動(dòng)力設(shè)施附近施工危害計(jì)算機(jī)信息系統(tǒng)安全的，由電腦中心會(huì)同有關(guān)單位進(jìn)行交涉。 　　第二十八條　制定機(jī)房出入管理制度，對(duì)每個(gè)工作人員授予不同權(quán)限，規(guī)定活動(dòng)區(qū)域。設(shè)立值班人員負(fù)責(zé)監(jiān)督制度的執(zhí)行和安全保衛(wèi)工作。 　 第五章　安全保密制度 　　 　　第二十九條　計(jì)算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、行政法規(guī)和本行其他有關(guān)規(guī)定。 　　第三十條　計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。存儲(chǔ)國(guó)家秘密信息的計(jì)算機(jī)，應(yīng)按所存儲(chǔ)信息的最高密級(jí)標(biāo)明，并按相應(yīng)密級(jí)的文件進(jìn)行管理，采取相應(yīng)的保密措施。機(jī)密級(jí)及以上國(guó)家秘密信息不得進(jìn)入計(jì)算機(jī)信息系統(tǒng)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法由電腦中心、辦公廳商國(guó)家有關(guān)部門制定。 　　第三十一條　計(jì)算機(jī)機(jī)房、辦公設(shè)施、通訊及動(dòng)力設(shè)施應(yīng)當(dāng)符合國(guó)家標(biāo)準(zhǔn)和國(guó)家有關(guān)規(guī)定。在上述設(shè)施附近施工，不得危害我行信息系統(tǒng)的安全。因施工危害計(jì)算機(jī)信息系統(tǒng)安全的，由電腦中心會(huì)同有關(guān)單位進(jìn)行交涉。 　　第三十二條　未經(jīng)許可不得隨意使用調(diào)制解調(diào)器等設(shè)備與因特網(wǎng)聯(lián)網(wǎng)，個(gè)別確因特殊工作需要的應(yīng)事先與電腦中心取得溝通并征得同意。 　　第三十三條　攜帶或郵寄計(jì)算機(jī)介質(zhì)（資料）進(jìn)出國(guó)家開(kāi)發(fā)銀行的，應(yīng)當(dāng)如實(shí)向電腦中心申報(bào)。 　　第三十四條　各廳局應(yīng)當(dāng)自行建立健全安全管理制度，負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)安全保密工作。 　　第三十五條　對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)廳局應(yīng)在２４小時(shí)內(nèi)向電腦中心、行保密辦報(bào)告。 　　第三十六條　對(duì)計(jì)算機(jī)病毒、我行電子信息系統(tǒng)的安全保密等方面研究工作，由電腦中心和行保密辦歸口管理。 　 第六章　人員內(nèi)控管理 　　 　　第三十七條　人員審查。 　　人員的審查必須根據(jù)金融電子化系統(tǒng)所規(guī)定的安全等級(jí)來(lái)確定審查標(biāo)準(zhǔn)。凡接觸系統(tǒng)安全三級(jí)以上信息系統(tǒng)的所有人員，必須按機(jī)要人員的條件進(jìn)行審查。 　　第三十八條　關(guān)鍵崗位人選。 　　對(duì)金融電子化系統(tǒng)的關(guān)鍵崗位人選，如安全負(fù)責(zé)人、系統(tǒng)管理員等，不僅需要進(jìn)行嚴(yán)格的政審，還要考核其業(yè)務(wù)能力，以保證這部分人員可信可靠，勝任本職工作。必要時(shí)要實(shí)行定期強(qiáng)制休假。 　　第三十九條　人員培訓(xùn)。 　　對(duì)在金融電子化系統(tǒng)上崗的所有工作人員，均需由有關(guān)部門組織上崗培訓(xùn)，包括計(jì)算機(jī)及網(wǎng)絡(luò)操作、維護(hù)培訓(xùn)，應(yīng)用軟件操作培訓(xùn)，金融電子化系統(tǒng)安全課程及保密教育培訓(xùn)，經(jīng)培訓(xùn)合格的人員持證上崗工作。對(duì)培訓(xùn)不合格者或未參加培訓(xùn)者，嚴(yán)禁上崗工作。 　　第四十條　人員考核。 　　人事部門要定期組織有關(guān)方面人員對(duì)金融電子化系統(tǒng)所有的工作人員從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面進(jìn)行考核，對(duì)于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸金融電子化系統(tǒng)的人員要及時(shí)調(diào)離崗位，不應(yīng)讓其再接觸系統(tǒng)，對(duì)情節(jié)嚴(yán)重的應(yīng)追究其法律責(zé)任。 　　第四十一條　簽訂保密契約。 　　對(duì)于所有進(jìn)入金融電子化系統(tǒng)工作的人員，均應(yīng)簽訂保密契約，承諾其對(duì)系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統(tǒng)秘密。對(duì)違反保密契約的，應(yīng)有懲處條款。對(duì)接觸機(jī)密信息的人員，應(yīng)規(guī)定在離崗后的多長(zhǎng)時(shí)期內(nèi)不得離境。 　　第四十二條　人員調(diào)離。 　　對(duì)調(diào)離人員，特別是因不適合安全管理要求被調(diào)離的人員，必須嚴(yán)格辦理調(diào)離手續(xù)。進(jìn)行調(diào)離談話，承諾其調(diào)離后的保密義務(wù)，交回所有鑰匙及證件，退還全部技術(shù)手冊(cè)、軟件及有關(guān)資料。更換系統(tǒng)口令和機(jī)要鎖。自調(diào)離決定通知之日起，必須立即進(jìn)行上述工作，不得拖延。 　 第七章　操作安全管理 　　 　　第四十三條　系統(tǒng)操作安全管理目標(biāo)。 　　系統(tǒng)操作是指金融電子化系統(tǒng)的人員開(kāi)發(fā)、操作、維護(hù)、管理電子化系統(tǒng)的行為或活動(dòng)。金融電子化系統(tǒng)操作安全管理的目標(biāo)是： 　?。保畬?duì)系統(tǒng)管理及系統(tǒng)操作均應(yīng)進(jìn)行有效的監(jiān)督或監(jiān)控； 　?。玻薪佑|系統(tǒng)的人員均應(yīng)承擔(dān)與其工作性質(zhì)相應(yīng)的安全責(zé)任。 　　第四十四條　操作人員分類。 　　對(duì)金融電子化系統(tǒng)的操作人員，應(yīng)根據(jù)確保金融電子化系統(tǒng)有限職責(zé)、有限使用授權(quán)原則進(jìn)行分類。 　　１．一線生產(chǎn)系統(tǒng)操作、管理人員； 　?。玻€監(jiān)督系統(tǒng)操作、管理人員； 　?。常k公自動(dòng)化系統(tǒng)操作、管理人員； 　　４．硬件維修人員； 　　５．軟件開(kāi)發(fā)、維護(hù)人員； 　　６．系統(tǒng)分析人員； 　　７．系統(tǒng)稽核人員、安全管理人員； 　　８．行政管理人員。 　　系統(tǒng)開(kāi)發(fā)人員與系統(tǒng)操作人員應(yīng)嚴(yán)格限定業(yè)務(wù)分工，不得交叉使用。 　　第四十五條　系統(tǒng)操作控制管理。 　?。保畱?yīng)按照分工負(fù)責(zé)、互相制約的原則制定各類系統(tǒng)操作人員的職責(zé)，職責(zé)不允許交叉覆蓋。 　?。玻黝惾藛T在履行職責(zé)時(shí)要按規(guī)定行事，不得從事超越自己職能以外的任何作業(yè)，如操縱系統(tǒng)、更改數(shù)據(jù)等。 　?。常痪€生產(chǎn)系統(tǒng)和二線監(jiān)督系統(tǒng)進(jìn)行系統(tǒng)維護(hù)、復(fù)原、強(qiáng)行更改數(shù)據(jù)時(shí)，至少應(yīng)有兩名操作人員在場(chǎng)，并進(jìn)行詳細(xì)的登記及簽名。 　?。矗哳惾藛T有權(quán)對(duì)一線生產(chǎn)系統(tǒng)和一類人員進(jìn)行監(jiān)督與核查，但該過(guò)程必須履行必要的手續(xù)和按照一定的程序進(jìn)行。 　?。担畱?yīng)為長(zhǎng)期從事計(jì)算機(jī)工作的人員創(chuàng)造合適的人機(jī)工作環(huán)境。使他們享有相應(yīng)的勞動(dòng)保護(hù)，定期進(jìn)行專門體檢，保持身心健康。 　 第八章　安全保密監(jiān)督 　　 　　第四十六條　電腦中心和行保密辦對(duì)計(jì)算機(jī)信息系統(tǒng)安全保密工作行使下列監(jiān)督職權(quán)： 　　（一）監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保密工作； 　?。ǘz查危害計(jì)算機(jī)信息系統(tǒng)安全的違規(guī)事件； 　　（三）履行計(jì)算機(jī)信息系統(tǒng)安全保密工作的其他監(jiān)督職責(zé)。 　　第四十七條　電腦中心和行保密辦發(fā)現(xiàn)影響計(jì)算機(jī)信息系統(tǒng)安全保密的隱患時(shí)，應(yīng)當(dāng)及時(shí)通知使用單位采取安全保護(hù)措施，在緊急情況下，有權(quán)直接先采取必要的措施，然后再向領(lǐng)導(dǎo)報(bào)告，遇有重大問(wèn)題，可以要求召集行電子化領(lǐng)導(dǎo)小組成員會(huì)議商議對(duì)策。 　 第九章　獎(jiǎng)勵(lì)和懲處 　　 　　第四十八條　違反本辦法的規(guī)定，有下列行為之一的，由行電子化領(lǐng)導(dǎo)小組處以警告或者停機(jī)整頓，嚴(yán)重的應(yīng)依據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》的有關(guān)條款進(jìn)行處理并追究單位領(lǐng)導(dǎo)的責(zé)任。 　　（一）違反計(jì)算機(jī)信息系統(tǒng)安全等級(jí)制度，危害計(jì)算機(jī)信息系統(tǒng)安全的； 　?。ǘ┎话凑毡巨k法規(guī)定時(shí)間報(bào)告計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件的； 　?。ㄈ┙拥轿倚杏嘘P(guān)要求改進(jìn)安全保密狀況的通知后，在限期內(nèi)不予改進(jìn)的； 　?。ㄋ模?duì)本辦法貫徹不力，造成事故隱患，影響系統(tǒng)正常運(yùn)行的； 　?。ㄎ澹┻`反本辦法造成嚴(yán)重?fù)p失或造成重大失泄密的。 　　第四十九條　對(duì)于引入計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)安全的，或者未經(jīng)許可使用計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的單位和個(gè)人，由電腦中心和行保密辦給予嚴(yán)肅處理。 　　第五十條　凡是認(rèn)真貫徹本規(guī)定要求，維護(hù)系統(tǒng)安全運(yùn)行，杜絕事故發(fā)生，防止失泄密成績(jī)顯著者，或迅速排除故障，恢復(fù)系統(tǒng)正常運(yùn)行或減少損失者，均應(yīng)視情況給予表?yè)P(yáng)或獎(jiǎng)勵(lì)。 　 第十章　附則 　　 　　第五十一條　各廳局可以根據(jù)本辦法制定暫行細(xì)則，但應(yīng)報(bào)電腦中心和行保密辦備案。 　　第五十二條　計(jì)算機(jī)病毒的防治工作屬本暫行辦法的重要內(nèi)容，具體按照《國(guó)家開(kāi)發(fā)銀行防治計(jì)算機(jī)病毒規(guī)定》執(zhí)行。 　　第五十三條　本辦法由電腦中心和行保密辦負(fù)責(zé)解釋。 　　第五十四條　本辦法自發(fā)布之日起施行。