新生支付系统信息安全管理制度new1通用doc.docx

1、新生支付系统信息安全管理制度new1通用doc新生支付系统信息安全管理制度new1新生支付信息安全管理制度第一章总则第一条为强化新生支付信息安全管理，防范计算机信息技术风险，保障新生公司支付清算系统安全和稳定运行，根据中华人民共和国计算机信息系统安全保护条例、电子支付指引、金融机构及时机信息系统安全保护工作暂行规定等规定，特制定本规定。第二条本规定所称信息安全管理，是指在新生公司信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。第三条本规定适用于新生公司总部机关、各分支机构单位（以下统称“各单位”）。所有使用新生公司网络或信息资源的

2、其他外部机构和个人均应遵守本规定。第二章组织保障第四条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位运维部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。第五条各单位运维部门应设立信息安全管理部门或岗位。并配备专职信息安全管理人员，实行A、B岗制度。第六条除运维部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同运维部门开展信息安全管理工作。第三章人员管理第七条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。第一节信息安全管理人员第八条各单位应选派政治思想过硬、具有

3、较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和新生公司有关规定受到过处罚或处分的人员，不得从事此项工作。第九条各单位信息安全管理人员应经过总部组织的专业培训与审核，培训与审核合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。第十条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调部门计算机安全员工作，监督检查信息安全保障工作。（二）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设，维护、管理信息安全专用设施。（三）检测网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与

4、文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处臵信息安全事件。（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第十一条信息安全管理人员在履行职责时，确因工作需要查询相关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申请，获得批准后方可查询。第十二条信息安全管理人员实行备案管理制度。信息安全管理人员的配备和变更情况应及时报上一级运维部门备案。信息安全管理人员调离原岗位时应办理交接手续，并履行其调离后的保密义务。第二节部门计算机安全员第十三条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员，并报本单位运维部门备案。如有变

5、更应做好交接工作，并及时通报运维部门。第十四条部门计算机安全员配合信息安全管理人员工作，并参加各项信息安全技能培训。第十五条部门计算机安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。（二）负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。（三）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助运维部门完成对本部门的信息安全检查工作。第三节技术支持人员第十六条本规定所称技术支持人员，是指参与新生公司网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。第十七条新生公司内部技术

6、支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问，未经业务主管部门授权不得擅自改变系统设臵或修改系统生成的任何数据。（二）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处臵。（三）严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度，做好数据备份工作。第十八条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。提供技术服务期间，严格遵守新生公司相关安全规定与操作规程，关键操作应经授权，并有新生公司内部员工在场。不得拷贝或带走任何配

7、臵参数信息或业务数据，不得对外泄漏或引用任何工作信息。第四节业务系统操作人员第十九条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。第二十条业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。定期修改操作密码并妥善保管，按需、适时进行必要的数据备份。（二）发现业务系统出现异常及时报告运维部门。（三）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设臵。第二十一条业务系统操作应按照“权限分散、不得交叉任职”原则，严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。第四章机房环境和设备资产管理第二十

8、二条本规定所称机房是指计算机系统等主要设备放臵、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。第二十三条机房的规划、建设、改造、运行、维护由运维部门负责。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由运维部门和集团信息公司协商确定。第二十四条机房必须符合国家计算机机房有关标准和新生公司相关规定，为所有业务部门提供机房基础设施服务。第二十五条机房建设、改造的方案应报集团信息公司信息管理部门备案。必要时，由集团信息管理管理采购部会同会计、运维等部门进行审核。第二十六条机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验的

9、专业化公司，重要机房建设或改造工程应引入监理制度。第二十七条机房设施与场地环境监控系统，对机房空调、消防、不间断电源（UPS）、供配电、门禁系统等重要设施实行全面监控。机房投入使用前，应经过当地公安消防部门的消防验收。第二十八条应建立健全机房管理制度，并指派专人担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料，并随时提供调阅。第二十九条建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为

10、保养的重点。第五章网络安全管理第一节网络规划、建设中的安全管理第三十条总部运营部负责网络和网络安全的统一规划、建设部署、策略配臵和网络资源（网络设备、通讯线路、IP地址和域名等）分配。第三十一条各单位运维部门按照总部运营部的统一规划和总体部署，组织实施网络建设、改造工程。各单位局域网的建设与改造方案应报上一级运维部门审核、备案，投产前应通过本单位组织的安全测试。第三十二条各单位的网络建设和改造应符合如下基本安全要求：(一)符合新生公司网络安全管理要求，保障网络传输与应用安全。(二)具备必要的网络监测、跟踪和审计等管理功能。(三)针对不同的网络安全域，采取必要的安全隔离措施。第二节网络运行安全管

11、理第三十三条各单位运维部门应建立健全网络安全运行制度，配备专（兼）职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配臵信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。第三十四条网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能，紧急情况下，经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。第三十五条各单位运维部门应严格网络接入管理。任何设备接入网络前，接入方案、设备的安全性等应经过审核与必要的检测，审核（检测）通过后方可接入并分配相应的网络资源。新生支付系统信息安全管理制度new1第2页第三十六条各单位

12、运维部门应严格网络变更管理。网络管理员调整网络重要参数配臵和服务端口前，应书面请示本部门主管领导，变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在节假日进行，同时做好配臵参数的备份和应急恢复准备。第三十七条各单位应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向运维部门提出书面申请，并采取相应的安全防护措施。第三十八条信息安全管理人员经本部门主管领导批准，有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经公司授权，任何外部单位与人员不得检测、扫描新生公司内部网络。第三十九条各单位以不影响业务

13、的正常网络传输为原则，合理控制多媒体网络应用规模和范围。未经公司IT事业部批准，不得在新生公司内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。第三节网间互联安全管理第四十条本规定所称网间互联是指为满足新生公司与其他外部机构信息交换或信息共享需求实施的机构间网络互联。第四十一条网间互联由公司IT事业部统一规划，按照相关标准组织实施。未经公司IT事业部核准，任何单位不得自行与外部机构实施网间互联。第四节接入国际互联网管理第四十二条新生公司内部网络与国际互联网实行安全隔离。所有接入新生公司内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第四十三条计算机接入国际互联

14、网应通过本单位保密工作委员会办公室批准，并确保安装有新生公司选定的防病毒软件和最新补丁程序。运维部门凭相关批准证明实施联网，并做好备案。曾接入新生公司内部网络的计算机需改接入国际互联网前应重新办理以上审批手续，运维部门确保该计算机已删除敏感工作信息后方可实施接入。第四十四条未经运维部门安全检测，曾接入国际互联网的计算机不得直接接入新生公司内部网络。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。第四十五条使用国际互联网的所有用户应遵守国家有关法律法规和新生公司相关管理规定，不得从事任何违法违规活动。第六章计算机系统安全管理第四十六条本规定所指的计算机系统是新生公司业务处理系统、管

15、理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。第一节计算机系统规划与立项第四十七条计算机系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案应满足新生公司信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容：（一）业务需求部门提出的安全需求。（二）安全需求分析和实现。（三）运行平台的安全策略与设计。第四十八条各单位运维部门负责对项目技术方案进行安全专项审查并提出审查意见，未通过安全审核的项目不得予以立项。第二节计算机系统开发与集成第四十九条计算机系统开发应符合软件工程规范，依据安全需求进行安全设计，保证安全功能的完整实现。第五十条计算机系统开发单位应在完

16、成开发任务后将程序源代码及其相关技术文档全部移交新生公司运维部门。外部开发单位还应与新生公司签署相关知识产权保护协议和保密协议，不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。第五十一条计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第五十二条计算机系统开发、测试、修改工作不得在生产环境中进行。第五十三条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。第三节计算机系统运行第五十四条各单位计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投

17、产运行。具体要求如下：（一）项目承担单位（部门）应组织制定安全测试方案，进行系统上线前的自测试并形成测试报告，报运维部门审查。（二）计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定，报运维部门备案。（三）运维部门应提出明确的测试方案和测试报告审查意见。必要时，可组织专家评审或实施计算机系统漏洞扫描检测。第五十五条各单位运维部门应明确系统管理员，具体负责计算机系统的日常运行管理，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统设臵要求双人在场。第五十六条系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的，应征得业务部门同意并

18、在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。第五十七条未经业务主管部门领导书面批准，其他任何人不得擅自使用业务操作人员用机，不得擅自设臵、分配、使用、修改、删除操作员代码、口令和业务数据，不得擅自改变用户权限。第四节业务操作第五十八条业务部门负责计算机系统用户和权限设定，运维部门根据授权进行相关设定操作。第五十九条业务操作人员严格按照安全操作规程进行业务操作、数据备份，并配合运维部门保障信息安全。一旦发现计算机系统运行异常及时向本部门领导和运维部门报告。第六十条业务操作人员设臵本人口令密码。重要计算机系统业务操作人员的密码应由业务部门领导和系统管理员分段设立。第六十一

19、条凡是能够执行录入、复核制度的计算机系统，业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准，不得代岗、兼岗。第六十二条业务操作人员离开操作用机时，应按序退出计算机系统，回到操作系统初始状态，防止业务数据被复制、修改、删除以及误操作。第五节计算机系统废止第六十三条实行计算机系统废止申报、备案制度。使用计算机系统的业务部门根据需要向运维部门提出废止申请，由运维部门组织进行安全检查后予以废止，同时备案。第六十四条对已经废止的计算机系统软件和数据备份介质，运维部门按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的，应在本单位保密工作委员会监督下予以不可恢复性销毁。第七章客户端安全管

20、理第六十五条本规定所称客户端是指新生公司计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面终端、单机运行（哑）终端、远程接入终端、便携式计算机等。第六十六条各单位应建立完善的客户端管理制度，记录所有客户端设备信息和软件配臵信息。第六十七条客户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。第六十八条客户端应统一安装病毒防治软件，设臵用户密码和屏幕保护口令等安全防护措施，确保安装最新的病毒特征码和必要的补丁程序。第六十九条确因工作需要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。第八章信息安全专用产品、服务

21、管理第一节资质审查与选型购臵第七十条本规定所称信息安全专用产品，是指新生公司安装使用的专用安全软件、硬件产品。本规定所称信息安全服务，是指新生公司向社会购买的专业化安全服务。第七十一条公司IT事业部负责信息安全服务提供商的资质审查和信息安全专用产品的选型，由集中采购部门按照政府集中采购程序选购。第七十二条各单位购臵扫描、检测类信息安全专用产品应报公司IT事业部批准、备案。第二节使用管理第七十三条各单位运维部门应建立信息安全专用产品登记使用制度，建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。第七十四条各单位运维部门随时检查各类信息安全专用产品使用情况，认真查看相关日志和报表信息并定期汇总分析。如发现重大问题，立即采取控制措施并按规定程序报告。第七十五条各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料，应备份存档至少三个月。第七十六条各单位运维部门应及时升级维护信息安全专用产品，凡因超过使用期限的或不能继续使用的信息安全专用产品，按照固定资产报废审批程序处理。第七十七条防火墙、入侵检测等安全专用产品原则上应在本地配臵。如需要进行远程配臵，由运维部门或经运维部门授权在可信网络内并采取了必要的安全控制措施后进行操作。