国家开发银行计算机信息系统安全保密暂行办法
国家开发银行办公厅
国家开发银行计算机信息系统安全保密暂行办法
国家开发银行办公厅
第一章 总则
第一条 国家开发银行(以下简称“本行”)计算机应用系统是本行信息和业务处理的核心技术手段,为了保护本行计算机信息系统的安全,特制订本办法。
第二条 本办法所称的计算机系统,是指由计算机、数据信息网络及其相关和配套的设备、设施构成的。它是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 本办法下列用语的含义:
计算机信息系统安全是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护,不因自然的和人为的原因而遭到破坏、更改和丢失,以保证计算机信息系统能连续正常运行。
计算机保密是指利用密码技术对信息进行加密处理,防止信息非法泄露。
第四条 计算机信息系统的安全保密,应当保障计算机、数据信息网络及其相关的和配套的设备、设施的安全,保障运行环境(机房)的安全,保障信息的安全,保障计算机和网络功能的正常发挥,防止和处理政治因素造成的失泄密、人为或自然灾害等造成的破坏,以及防止利用计算
机犯罪等。
第五条 在行电子化领导小组的领导下,电脑中心、行保密办主要负责行计算机信息系统安全保密工作,办公厅给予支持。
第六条 各有关厅局必须指定专人负责本单位有关信息系统的安全保密工作,其主要任务是:定期向电脑中心、行保密办通报安全保密工作情况;督促本单位安全保密措施的贯彻执行;组织安全保密检查、进行安全保密教育。
第七条 任何单位和个人,不得利用我行信息系统从事危害我行利益的活动,不得危害我行信息系统的安全。
第二章 计算机及网络系统
第八条 购置设备要经过周密调查,慎重选型;落实售后服务和软、硬件后援,严格验收;对通信设备要特别考虑其保密性能。
第九条 对引进的各种服务器,在应用系统投入运行之前,应报请国家安全部门进行保密检查,系统运行期间,不得随意更动系统配置。
第十条 建立常规硬件系统维护管理制度,保持维护计算机和网络、设备、工具和资料处于良好状态,备件应有库存帐,可随时查阅,并根据具体情况补充和更新。防止重大事故,应有应急处理的措施。
第十一条 操作人员必须进行必要的培训,并经考试合格后方准持证上岗操作。操作人员必须严格按规程进行操作。
第十二条 重要业务部门的实时应用系统要求软件、数据有备份;有故障时的处理措施,并应对工作人员定期进行训练和演习。根据具体情况,有计划地安排配置备份机。
第十三条 应用系统在设计上严格控制涉密文件信息查询检索的人员范围,严格管理用户使用权限。系统软硬件一经安装、调试、正式运行,未经电脑中心许可,不得自行对其更改配置或移动位置。
第十四条 各厅局制定设备、软件管理细则,应用软件开发要严格按照我行有关规定执行,实现《国家经济信息系统设计与应用系统标准规范》中的安全保密要求。
第十五条 应用系统版本的更改、更新必须报电脑中心批准后由技术人员进行。应用系统的文档资料,无关人员一律不得查阅。
第十六条 传输秘密以上级别的信息时,通信两端设备需在相应安全环境中,对所传输数据,要采取加密措施。
第三章 介质(资料)的储送
第十七条 对应用系统使用、产生的介质或资料要按其重要性进行分类,对存放有关键或重要数据的介质(资料),如会计帐、计划统计表格,应复制必要的份数,并分别存放在不同的安全地方,建立严格的保密保管制度。
第十八条 保留在机房内的介质(资料),应为系统有效运行所必需的最少数量,除此之外,不应保留在机房内。
第十九条 存放机房内的介质(资料)应该存放于防火、防高温、防震、防电磁场、防静电及防盗的房间或保险柜中。
第二十条 介质(资料)库,应设专人负责登记保管,未经批准,不得随意提供介质(资料)。
第二十一条 在使用介质(资料)期间,应严格按国家保密规定控制转借或复制,需要使用或复制的须经主管部门批准。
第二十二条 对所有介质(资料)应定期检查,要考虑介质的安全保存期限,及时更新复制。损坏、废弃或过时的介质(资料)应由专人负责处理,秘密级以上的介质(资料)在过保密期或废弃不用时,要及时销毁。
第二十三条 机密数据处理作业结束时,应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据,应及时销毁废弃的打印纸。
第四章 计算机及网络系统的环境
第二十四条 机房环境的选择,应符合国家标准GB2887《计算机站场地技术要求》的有关规定。机房主体结构应具有与其功能相适应的抗震性、辐射屏蔽、防水等级和耐火等级。变形缝和伸缩缝等不应穿过机房。机房应设置齐全灵敏的火灾、渗漏水报警和足够的灭火、排水系统
,应设置灵敏的温度、湿度传感器。空调的制冷能力需留有一定的余量并配有备用空调设备。中心机房应配有独立的供电、变电设备,供电功率需留有余量。
第二十五条 机房选点尽量避开便于驻留无关人员的场所。
第二十六条 计算机系统设备场地,应具备应急照明供电;应急报警设施,应急安全断电线路。中心机房应有若干设有明显标志的疏散出口。
第二十七条 在计算机房、办公设施、通讯及动力设施附近施工危害计算机信息系统安全的,由电脑中心会同有关单位进行交涉。
第二十八条 制定机房出入管理制度,对每个工作人员授予不同权限,规定活动区域。设立值班人员负责监督制度的执行和安全保卫工作。
第五章 安全保密制度
第二十九条 计算机信息系统的建设和应用,应当遵守国家有关法律、行政法规和本行其它有关规定。
第三十条 计算机信息系统实行安全等级保护。存储国家秘密信息的计算机,应按所存储信息的最高密级标明,并按相应密级的文件进行管理,并采取相应的保密措施。机密级及以上国家秘密信息不得进入计算机信息系统。安全等级的划分标准和安全等级保护的具体办法由电脑中心、
办公厅商国家有关部门制定。
第三十一条 计算机机房、办公设施、通讯及动力设施应当符合国家标准和国家有关规定。在上述设施附近施工,不得危害我行信息系统的安全。因施工危害计算机信息系统安全的,由电脑中心会同有关单位进行交涉。
第三十二条 未经许可不得随意使用调制解调器等设备与因特网联网,个别确因特殊工作需要的应事先与电脑中心取得沟通并征得同意。
第三十三条 携带或邮寄计算机介质(资料)进出国家开发银行的,应当如实向电脑中心申报。
第三十四条 各厅局应当自行建立健全安全管理制度,负责本单位计算机信息系统安全保密工作。
第三十五条 对计算机信息系统中发生的案件,有关厅局应在24小时内向电脑中心、行保密办报告。
第三十六条 对计算机病毒、我行电子信息系统的安全保密等方面研究工作,由电脑中心和行保密办归口管理。
第六章 人员内控管理
第三十七条 人员审查
人员的审查必须根据金融电子化系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员,必须按机要人员的条件进行审查。
第三十八条 关键岗位人选
对金融电子化系统的关键岗位人选,如安全负责人、系统管理员等,不仅需要进行严格的政审,还要考核其业务能力,以保证这部分人员可信可靠,胜任本职工作。必要时要实行定期强制休假。
第三十九条 人员培训
对在金融电子化系统上岗的所有工作人员,均需由有关部门组织上岗培训,包括计算机及网络操作、维护培训、应用软件操作培训、金融电子化系统安全课程及保密教育培训,经培训合格的人员持证上岗工作。对培训不合格者或未参加培训者,严禁上岗工作。
第四十条 人员考核
人事部门要定期组织有关方面人员对金融电子化系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对于考核发现有违反安全法规行为的人员或发现不适于接触金融电子化系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的应追究其法
律责任。
第四十一条 签订保密契约
对于所有进入金融电子化系统工作的人员,均应签订保密契约,承诺其对系统应尽的安全保密义务,保证在岗工作期间和离岗后均不得违反保密契约,泄漏系统秘密。对违反保密契约的,应有惩处条款。对接触机密信息的人员,应规定在离岗后的多长时期内不得离境。
第四十二条 人员调离
对调离人员,特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续。进行调离谈话,承诺其调离后的保密义务,交因所有钥匙及证件,退还全部技术手册、软件及有关资料。更换系统口令和机要锁。自调离决定通知之日起,必须立即进行上述工作,不得拖延。
第七章 操作安全管理
第四十三条 系统操作安全管理目标
系统操作是指金融电子化系统的人员开发、操作、维护、管理电子化系统的行为或活动。金融电子化系统操作安全管理的目标是:
1.对系统管理及系统操作均应进行有效的监督或监控;
2.所有接触系统的人员均应承担与其工作性质相应的安全责任。
第四十四条 操作人员分类
对金融电子化系统的操作人员,应根据确保金融电子化系统有限职责、有限使用授权原则进行分类。
1.一线生产系统操作、管理人员;
2.二线监督系统操作、管理人员;
3.办公自动化系统操作、管理人员;
4.硬件维修人员;
5.软件开发、维护人员;
6.系统分析人员;
7.系统稽核人员、安全管理人员;
8.行政管理人员。
系统开发人员与系统操作人员应严格限定业务分工,不得交叉使用。
第四十五条 系统操作控制管理
1.应按照分工负责、互相制约的原则制定各类系统操作人员的职责,职责不允许交叉覆盖。
2.各类人员在履行职责时要按规定行事,不得从事超越自己职能以外的任何作业,如操纵系统、更改数据等。
3.一线生产系统和二线监督系统进行系统维护、复原、强行更改数据时,至少应有两名操作人员在场、并进行详细的登记及签名。
4.七类人员有权对一线生产系统和一类人员进行监督与核查,但该过程必须履行必要的手续和按照一定的程序进行。
5.应为长期从事计算机工作的人员创造合适的人机工作环境。使他们享有相应的劳动保护,定期进行专门体检,保持身心健康。
第八章 安全保密监督
第四十六条 电脑中心和行保密办对计算机信息系统安全保密工作行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保密工作;
(二)检查危害计算机信息系统安全的违规事件;
(三)履行计算机信息系统安全保密工作的其它监督职责。
第四十七条 电脑中心和行保密办发现影响计算机信息系统安全保密的隐患时,应当及时通知使用单位采取安全保护措施,在紧急情况下,有权直接先采取必要的措施,然后再向领导报告,遇有重大问题,可以要求召集行电子化领导小组成员会议商议对策。
第九章 奖励和惩处
第四十八条 违反本办法的规定,有下列行为之一的,由行电子化领导小组处以警告或者停机整顿,严重的应依据《中华人民共和国保守国家秘密法》的有关条款进行处理并追究单位领导的责任。
(一)违反计算机信息系统安全等级制度,危害计算机信息系统安全的;
(二)不按照本办法规定时间报告计算机信息系统中发生的案件的;
(三)接到我行有关要求改进安全保密状况的通知后,在限期内不予改进的;
(四)对本办法贯彻不力,造成事故隐患,影响系统正常运行的;
(五)违反本办法造成严重损失或造成重大失泄密的。
第四十九条 对于引入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可使用计算机信息系统安全专用产品的单位和个人,由电脑中心和行保密办给予严肃处理。
第五十条 凡是认真贯彻本规定要求,维护系统安全运行,杜绝事故发生,防止失泄密成绩显著者,或迅速排除故障,恢复系统正常运行或减少损失者,均应视情况给予表扬或奖励。
第十章 附则
第五十一条 各厅局可以根据本办法制定暂行细则,但应报电脑中心和行保密办备案。
第五十二条 计算机病毒的防治工作属本暂行办法的重要内容,具体按照《国家开发银行防治计算机病毒规定》执行。
第五十三条 本办法由电脑中心和行保密办负责解释。
第五十四条 本办法自发布之日起施行。
1998年2月24日
财政部关于开展全国资产评估行业清理整顿工作的通知(已失效)
财政部
财政部关于开展全国资产评估行业清理整顿工作的通知
财政部
国土资源部,建设部,各省、自治区、直辖市、计划单列市财政厅(局)、国有资产管理局(办公室):
近年来,我国资产评估行业发展迅速,在保障社会主义市场经济秩序正常运行方面发挥了重要作用。但是由于资产评估在我国起步较晚,有关法规制度还不够成熟和完善,资产评估行业中也出现了一些与社会主义市场经济要求和当前经济体制改革不相适应的问题。根据国务院关于清理
整顿中介机构的要求,为促进我国资产评估行业的健康发展,财政部决定:自1998年9月起,至1999年12月底止,在全国范围内开展资产评估行业的清理整顿工作。现将有关事项通知如下:
一、清理整顿的对象及目的
全国各类从事资产评估业务的机构,包括资产评估事务所(公司)和具有资产评估资格的会计师事务所、审计事务所、财务咨询公司,具备证券评估资格的资产评估机构,中外合资、合作资产评估机构等(以下简称“资产评估机构”),以及在上述机构中工作的执业人员的执业资格及
其执业行为,均在本次清理整顿之列。
通过清理整顿,要达到规范资产评估执业秩序,严肃资产评估行业管理,严格资产评估机构的设立条件,规范资产评估从业人员的职业道德,提高执业质量,加强资产评估行业管理和资产评估机构内部管理的目的。
二、清理整顿的重点
本次清理整顿以资产评估机构的设立条件、人员结构及执业行为、执业质量、职业道德、机构内部管理为重点。
1.资产评估机构在人员结构(包括专职人员、职龄、职称等)、注册资金、办公场所、资产评估资格、下设分支机构等方面,均须达到国家规定的有关要求。
2.资产评估执业人员不得在党政机关、公检法、其他企事业单位任职;不得跨所执业,不得超龄执业,不得挂名不执业。资产评估机构执业人员与资产评估业务委托单位之间存在利害关系的,应事先声明并实行回避。
3.资产评估机构应严格内部质量控制制度,严格按照资产评估法定程序执业;资产评估机构执业时要按规定签订资产评估委托协议,编制评估方案,有完整的工作底稿,并建立规范的档案管理制度;资产评估机构要严格遵守有关资产评估行政管理的各项规定,出具资产评估报告要符
合操作规范,严禁出具虚假报告。资产评估机构执业人员要严格遵守职业道德,按规定接受后续教育。
4.资产评估机构应严格遵守国家有关财务制度,加强内部财务管理,健全会计制度,依法合理提取各项基金。要防止违反规定实行个人业务承包和收入分成以及收受回扣、佣金等行为。
5.禁止资产评估中的一切不正当竞争行为,不得利用行政权力指定或承揽资产评估业务;或由行政部门指定承揽业务;不得向政府有关部门和政府工作人员提供各种名目的费用和报酬。
三、清理整顿的组织领导和方法步骤
1.组织领导。为加强对清理整顿工作的领导,财政部成立清理整顿工作领导小组,统一领导全国的清理整顿工作;领导小组下设办公室,办公室设在中国资产评估协会,具体组织实施各项清理整顿工作;办公室工作人员由财政部财产评估司和中国资产评估协会共同组成。各省、自治
区、直辖市、计划单列市均须设立相应的办事机构,负责组织本地区的清理整顿工作。
2.基本方法。采取自查与检查、抽查相结合,清理整顿与建章建制相结合,教育帮助与依法处理相结合,表彰先进与惩治违纪相结合的方法。
3.工作步骤。全国清理整顿工作分为四个阶段进行:
第一,自查阶段。1998年9月至12月,各资产评估机构应组织学习动员,并按照财政部的统一要求,对照有关法律、法规、行业管理制度及清理整顿的要求,填写自查表,写出书面自查报告。
第二,检查阶段。1999年1月至6月,省级清理整顿办公室要切实组织力量对本地区的资产评估机构和注册资产评估师进行全面检查。重点检查评估机构自查中是否存在隐瞒、虚报的问题及有举报的问题。
第三,抽查阶段。1999年7月至1999年9月,财政部清理整顿领导小组组织重点检查组,对各地清理整顿情况进行抽查,同时对重点地区、重点机构和重点事件进行抽查。
第四,总结验收阶段。在组织检查和抽查的基础上,要认真进行总结和验收,要有针对性地建章建制,把行业建设纳入经常化、规范化、法制化的轨道。
对于已参加中国注册会计师协会组织清理整顿工作的从事资产评估业务的机构,可本着从简、不增加资产评估机构负担的原则,只对涉及到国家对资产评估机构的规定内容进行检查。
4.完成资产评估机构脱钩工作。
为保证资产评估机构独立、客观、公正地执业,进一步规范资产评估行业的管理秩序,各资产评估机构,在清理整顿的基础上,要与挂靠或主办单位实行彻底脱钩。脱钩的主要内容体现在人员、财务、职能、名称、机构性质等方面,具体标准和有关政策另行颁发。
5.统一制发执业证书。经验收合格并认定具有执业资格的注册资产评估师及相应的资产评估机构,由省以上资产评估行政主管部门颁发财政部统一制定的执业证书。
四、加强全国评估协会自身建设自身改革
各级资产评估协会是资产评估行业的自律性的组织和社会团体,在资产评估行业管理中有着十分重要的作用。在此次清理整顿资产评估行业的工作中,各级资产评估协会要具体提出加强自身建设和整顿改革的办法和措施,努力提高队伍建设,提高业务技能、增强服务意识,充分发挥行
业协会自我管理、自我约束、自我教育、自我发展和维护会员合法权益的作用,从而推动清理整顿工作深入而卓有成效地进行。
资产评估行业的清理整顿是一项政策性很强的工作,涉及面广,任务艰巨,各级资产评估机构行政管理部门和资产评估协会应在统一思想认识、统一工作部署、统一组织力量、统一检查标准的基础上,切实履行应尽的职责。要在清理整顿中保证资产评估机构管理的其他工作照常进行,
并推进资产评估机构体制改革,逐步形成自我约束、自我发展的新机制。
1998年8月18日