信用社（银行）计算机信息系统保密管理暂行规定

信用社（银行）计算机信息系统保密管理暂行规定 信用社(银行)计算机信息系统保密管理暂行规定 第一章 总则 第一条 为保障全省信用社(银行)计算机信息系统在信息处理和交换过程中不泄露国家秘密或工作信息，根据《中华人民共和国保守国家秘密法》、《计算机信息系统保密管理暂行规定》、《电子政务保密管理指南》、《涉及国家秘密的信息系统分级保护管理规范》及有关法律法规，制定本规定。 第二条 本规定所称的计算机信息系统是指全省信用社(银行)各级各单位使用的计算机及其配套设备、设施(含网络)对各类信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条 全省信用社(银行)计算机信息系统的保密工作实行“归口管理、分级负责、控制源头、有利发展”的原则。 第四条 信用社(银行)联合社(以下简称省联社)保密委员会归口管理全省信用社(银行)计算机信息系统的保密管理工作;各级各单位保密工作领导小组是本单位及辖内计算机信息系统保密管理工作的归口管理部门。 第五条 各级各单位分管领导、主任或行长是本单位计算机信息系统保密管理工作的第一责任人，内设部门负责人对本部门信息保密管理工作负有直接责任。 第六条 各级各单位综合部门具体负责本单位计算机信息系统保密工作的日常管理;科技管理部门负责计算机信息系统保密工作的技术支持、技术培训和技术管理。 第二章 计算机信息系统分级分类 第七条 全省信用社(银行)各类计算机信息系统依据处理的信息是否涉及国家秘密、工作信息进行界定和划分，密级由高到低依次分为涉密计算机信息系统、内部计算机信息系统(包括内部办公计算机信息系统和内部业务计算机信息系统)和接入互联网计算机信息系统。 第八条 涉密计算机信息系统、内部计算机信息系统和接入互联网计算机信息系统之间必须实行严格的物理隔离，严禁任何形式的网络互联互通。 第九条 严格限制信息从低密级计算机信息系统向高密级计算机信息系统复制和传递，若确因工作需要，应当采取有效的保密管理和严格的技术防范措施，防止被植入恶意代码。 第十条 严禁信息从高密级计算机信息系统向低密级计算机信息系统复制和 传递，低密级计算机信息系统不得处理高密级计算机信息系统的信息，防范泄密发生。 第三章 涉密计算机信息系统管理 第十一条 涉密计算机信息系统的规划和建设须同步规划落实相应的保密措施，选择具有涉密集成资质的单位进行和施工，具有保密工程监理资质的单位进行工程监理，采用的安全保密产品必须经国家相关主管部门的测评认证，具有相应的认证证书。 第十二条 涉密计算机信息系统应按照国家保密法规和管理，并采取与处理信息密级要求相一致的访问控制、数据保护和保密监控管理等技术措施。绝密级信息的处理只能单机存储，且必须有防电磁泄漏措施，并不得联网传输。 第十三条 各级各单位应与涉密计算机信息系统操作人员签订安全保密责任书，明确保密责任。人员离岗离职，应即时取消其计算机信息系统的访问授权，收回计算机、存储设备等相关物品。 第十四条 加强涉密场所管理，对涉密机房、设备间和办公场所等部位应采取隔离控制，禁止未经授权的外部人员进入，对于进入系统现场进行维修、服务的外部人员应进行全程旁站陪同。 第十五条 涉密计算机信息系统存储介质应建立规范的借阅、使用和存档制度，移动存储介质只做临时存储介质使用，每次使用完毕，应及时进行信息消除处理。 第十六条 涉密设备必须在显著位置标明密级，外出携带、维修和报废，应履行相应的申报和审批手续，并采取信息消除、维修监控或报废销毁等保密措施。 第四章 内部计算机信息系统管理 第十七条 内部计算机信息系统是处理内部办公信息或业务信息的计算机系统，采用的安全保密产品必须经国家相关主管部门的测评认证，具有相应的认证证书。 第十八条 内部计算机信息系统使用人员要牢固树立“内外隔离”的观念，工作信息严禁在接入互联网的计算机信息系统中进行存储、加工、处理或传输，任何人不得让无关人员使用内部计算机信息系统或向无关人员泄露系统信息。 第十九条 内部计算机信息系统应安装内网外联监测系统，随时监控接入设备的状态，防止非法外联。 第二十条 内部业务计算机信息系统的生产数据、密码密钥、系统配置、软件源码及文档、网络配置、数据库信息、安全产品等重要技术资料，必须严格按照相关的规定管理和使用，任何人不得擅自查询、借阅、传播和销毁。 第二十一条 存储工作信息的设备在安装、调试和维修时，应采取相应的保密措施，并安排专人全程监督。设备需要送外维修前，应对送修设备存储的工作信息进行妥善处理。 第五章 接入互联网计算机信息系统管理 第二十二条 接入互联网计算机信息系统是处理非涉密或非工作信息的计算机系统，严禁存储、加工、处理和传输涉密信息或工作信息，严禁使用涉密计算机信息系统或内部计算机信息系统专用移动存储介质。 第二十三条 计算机接入互联网应履行严格的审批手续，明确保密要求和责任，禁止接入互联网的计算机以代理等方式为其他计算机提供共享接入互联网服务。 第二十四条 使用接入互联网计算机信息系统的人员不得私自启用FTP、TELNET、代理等服务程序，不得私自建立网站、聊天室、电子公告系统等对外提供访问的平台。 第二十五条 加强接入互联网计算机信息系统的管理,应采取有效措施，防止违规接入,防范外部攻击,并留存互联网访问日志。 第六章 设备管理 第二十六条 加强笔记本电脑、移动存储介质、复印机、多功能一体机等各类设备的管理，完善规章制度，建立台账，统一登记、统一编号、统一标识密级，明确使用人和保密责任。 第二十七条 各类计算机设备必须设置规范的登录口令，并安装规定的防病毒等安全防护软件，及时进行升级，不得安装、运行和使用与工作无关的软件。 第二十八条 严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息或工作信息，带记忆功能的复印机、多功能一体机等设备不得与公用电话网相连。 第二十九条 任何人未经批准不得将涉密计算机或存有涉密信息的移动存储设备带出规定场所，严禁将涉密计算机或存储有涉密信息的移动存储设备带到公共场所。 第三十条 涉密移动存储设备不得在非涉密信息系统中使用，外来移动存储设备在接入本单位计算机信息系统之前，应当查杀病毒、木马等恶意代码。 第三十一条 涉密计算机不再用于处理涉密信息或不再使用时，应当将涉密信息存储部件拆除或及时销毁。涉密信息存储部件的销毁，按照国家有关销毁涉密载体的要求进行。 第三十二条 处理工作信息的计算机及相关设备在变更用途时，应当使用能 够有效删除数据的工具删除存储部件中的信息。 第七章 信息发布及审批管理 第三十三条 在信息门户网站上发布信息，按照“谁上网、谁负责”的原则，明确责任，确保“涉密不上网，上网不涉密”。保密审批实行部门管理，各单位应建立健全上网信息保密审批领导责任制，超出部门主管审批权限，应及时上报。 第三十四条 凡以上网为目的采集的信息，除已在其他媒体上公开发表的以外，发布者在上网前，应征得信息提供者同意。若对信息进行了扩充或更新，应当认真执行保密审批制度。 第三十五条 在互联网或内部网上开设论坛、电子公告或网络新闻组的单位，必须按程序报省联社保密委员会审批，明确保密要求和责任，严禁任何单位和个人在论坛、电子公告或网络新闻组上发布、传播国家秘密和工作信息。 第三十六条 各级保密管理部门发现信息门户网站有泄密现象，应立即报告本单位保密工作领导小组，及时删除泄密信息，并采取有效措施，防止泄密信息扩散。 第八章 保密监督 第三十七条 各级各单位要加强信息保密宣传教育，普及信息保密防范知识，提高全体员工的保密防范意识，劳动中应有遵守国家保密法律、不泄露国家秘密或工作信息的相关条款。 第三十八条 各级各单位要建立健全各项保密，加强监督检查，发现有泄密或泄密可能时，应立即报告本单位保密工作领导小组，并督促有关部门及时采取补救措施。 第三十九条 各级各单位应定期对本单位涉密计算机信息系统和内部计算机信息系统的保密性能进行符合性检查，发现安全隐患，及时进行补救整改。 第四十条 对于保密管理责任不明、措施不力、管理混乱，存在泄密隐患的单位或部门，应对责任人及相关人员进行严肃处理，并责令限期整改。 第四十一条 对违反本规定造成泄密者，依据《信用社(银行)员工违规违纪行为处理办法(试行)》的有关规定，给予直接责任人和有关领导行政或者党纪处分;对违反有关法律法规的，将依法追究刑事责任。 第九章 附则 第四十二条 本规定由信用社(银行)联合社制定，解释、修改亦同。 第四十三条 本规定自发布之日起执行。