计算机安全管理办法(定稿)

XXXX计算机安全管理暂行办法第一章 总则第一条 为了进一步加强计算机及信息网络安全，确保计算机信息系统安全运行，根据国家有关法规和甘肃银监局计算机安全暂行管理办法等制度，结合XXXX实际，制订本办法。第二条 本办法所称计算机信息系统，是指由计算机及其相关的配套设备、设施（含网络）构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条 XXXX机关各部门和监管办事处必须遵守有关计算机信息系统安全保护的法律、法规和本办法的规定，科学、合理、安全的使用计算机及其信息网络系统。第二章 管理部门及岗位职责 第四条 XXXX成立局长任组长，各部门负责人为成员的计算机信息安全管理领导小组，负责XXXX计算机信息安全管理工作。领导小组下设办公室，统计信息科科长任办公室主任，计算机网络管理人员任副主任，具体负责计算机信息安全的技术指导和日常检查工作。第五条 各部门负责人为本部门计算机安全第一责任人，具体负责本部门计算机安全管理的领导责任。各部门要按照“权限分散、不得交叉覆盖”的原则设立计算机安全管理员、系统管理员和业务操作员等具体管理岗位，确定一名熟悉计算机安全工作的同志兼任管理员，报XXXX计算机安全管理领导小组备案。 第六条 各部门计算机安全第一责任人和计算机安全管理人员应履行以下职责： （一）贯彻执行计算机安全管理工作领导小组的决定，指导、监督、协调和规范本部门计算机安全管理工作；（二）负责本部门计算机安全管理制度及重要业务系统安全管理职责的制定和修改，监督计算机安全管理有关制度的执行； （三）负责本部门计算机安全检查，了解计算机安全动态，分析部门计算机安全管理总体状况，提出计算机安全管理的意见和建议； （四）负责本部门计算机安全和计算机保密日常管理工作，对部门要害岗位计算机安全管理工作进行监督、指导和检查； （五）组织开展部门计算机安全知识的日常培训教育，不断提高部门职工的计算机安全意识；（六）对本部门计算机安全管理和计算机保密管理情况进行登记，及时向XXXX计算机安全领导小组报告。第七条 计算机信息系统按照“谁使用，谁负责”的原则，业务应用系统日常管理由使用部门负责人负责，机房、网络等公用设施、系统由统计信息科负责人负责。第三章 安全管理 第八条 计算机信息系统业务操作人员必须严格按照操作规程进行操作，保证系统安全运行。对计算机在运行中出现的异常现象，操作人员必须及时向部门负责人或者部门计算机安全管理人员报告。第九条 计算机使用过程中，严格禁止以下行为：（一）私自修改、删除、添加计算机的配置文件和网络配置（IP地址、网络协议等）；（二）私自对硬盘进行分区，安装盗版的操作系统及更换计算机操作系统，私自卸载办公自动化软件及公用交流平台等有关插件和软件；（三）安装办公和业务工作之外的软件；（四）私自拆卸计算机设备，更换或安装计算机零配件；（五）私自改动CMOS中除用户密码以外的设置；（六）未在批准情况下在互联网上发布或者传输业务相关数据和文档；（七）在互联网专用机上存储与业务有关的数据信息；（八）将存有涉密信息的存储介质在家庭计算机上或外界计算机上使用。第十条 接入内网的计算机必须安装XXXX指定的杀病毒软件，并按时开机升级病毒库，始终保持病毒库更新正常。第十一条 计算机使用人员定期对计算机进行全面查杀，发现新的病毒种类及时向部门计算机安全管理人员报告，部门计算机安全管理人员做好疫情登记。第十二条 对于存储外来软件或数据的移动存储设备必须坚持“先检疫，后使用”的原则，及时查杀外来存储设备。第十三条 计算机使用人员必须定期备份自己使用的相关数据（包括业务系统），做好对重要计算机信息系统备份数据的存放和登记工作。第十四条 计算机使用人员要严格遵守网络信息安全和保密管理的“五条禁令”。（一）禁止将涉密信息系统接入互联网及其他公共信息网络。（二）禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备。（三）禁止在没有防护措施的情况下将互联网等公共信息网络上的数据复制到涉密信息系统。（四）禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用。（五）禁止使用非涉密计算机和具有无线互联功能的设备处理涉密信息。第十五条 重要计算机信息系统的用户应定期更换密码，密码设置必须符合要求。第十六条 部门负责人应与本部门计算机涉密人员签订保密承诺书。部门计算机安全管理人员调整岗位，必须办理离岗手续，承诺其调离后的保密义务。第十七条 计算机信息系统中使用的各类存储介质损坏必须交计算机安全领导小组集中统一报废。涉密和重要计算机系统设备报废处理时，必须经XXXX计算机安全领导小组和保密委员会共同进行销毁处理。 第十八条 装有重要计算机信息系统的主机、网络设备，禁止无关人员上机操作。第十九条 计算机设备发生故障时，使用人员应迅速报告，由XXXX计算机管理人员负责处理，不得私自开机检修。第二十条 凡接入内联网的计算机不得以任何方式与国际互联网进行联接，内外网必须实行物理隔离。 第二十一条 计算机管理部门每年至少两次对全XXXX机房安全、网络安全、数据安全、病毒防治等方面进行检查，并做好安全检查登记。第四章 罚则第二十二条 对有下列情况的部门和使用人，计算机安全领导小组可无需事先警告，对该计算机用户或部门进行紧急断网（内外网均包含）处理，直至消除信息安全隐患为止：（一）造成计算机病毒、木马等大面积传播或可能引起严重后果的；（二）严重影响内外网网速和服务质量的；（三）可能导致其他计算机用户的重要信息泄漏，造成严重损失的；（四）可能导致XXXX的计算机被恶意控制或利用，造成损害的；（五）其他违反法律法规规定的情形的。第二十三条 对于违反本办法的部门和个人