計(jì)算機(jī)安全管理規(guī)定

1、省聯(lián)社一屆二次社員大會(huì)會(huì)議材料之十八遼寧省農(nóng)村信用社計(jì)算機(jī)安全管理規(guī)定（審議稿）第一章總則第一條 為提高計(jì)算機(jī)安全防范技術(shù)的水平，防范計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒，保證計(jì)算機(jī)安全使 用，特制定本規(guī)定。第二條計(jì)算機(jī)安全管理是指：（一）保證系統(tǒng)正常運(yùn)行，避免各種非故意的錯(cuò)誤與損壞；（二）從技術(shù)上防止系統(tǒng)及數(shù)據(jù)被非法利用和破壞。第三條本規(guī)范適用于遼寧省農(nóng)村信用社各類計(jì)算機(jī)系統(tǒng)。第四條計(jì)算機(jī)安全管理策略制定應(yīng)該遵循下面原則：（一）提高領(lǐng)導(dǎo)者的安全意識(shí)，制定完善的制度。沒(méi)有嚴(yán)格管理措施和管理制度,必然對(duì)計(jì)算機(jī) 信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅。（二）建立計(jì)算機(jī)安全檢查機(jī)制。成立計(jì)算機(jī)信息系統(tǒng)安全機(jī)構(gòu)，制定安全政策、系

2、統(tǒng)安全制度； 制定計(jì)算機(jī)信息系統(tǒng)安全標(biāo)準(zhǔn)，完善各項(xiàng)規(guī)范性文件，有計(jì)劃地開(kāi)展安全檢查，保證制度的約束力（三）制定計(jì)算機(jī)信息系統(tǒng)安全培訓(xùn)計(jì)劃，提高安全技術(shù)素質(zhì)。（四）建立學(xué)術(shù)平臺(tái)，開(kāi)展計(jì)算機(jī)安全研究，培訓(xùn)高層次技術(shù)人才。（五）針對(duì)現(xiàn)行系統(tǒng)采取有效的措施，建立突發(fā)事件應(yīng)急預(yù)案，并定期演練，提應(yīng)急能力。第五條 計(jì)算機(jī)安全管理實(shí)行誰(shuí)主管誰(shuí)負(fù)責(zé)，安全教育與規(guī)章制度約束相結(jié)合，積極預(yù)防事件發(fā) 生和有效地應(yīng)急處理相結(jié)合、安全管理和安全檢查相結(jié)合的原則。職能部門(mén)與職責(zé)第六條 省聯(lián)社負(fù)責(zé)全省農(nóng)村信用社計(jì)算機(jī)安全工作的管理、監(jiān)督、檢查。第七條 各級(jí)機(jī)構(gòu)要建立計(jì)算機(jī)安全領(lǐng)導(dǎo)小組，設(shè)組長(zhǎng)與副組長(zhǎng)，組長(zhǎng)由主管科技領(lǐng)導(dǎo)擔(dān)任

3、，副 組長(zhǎng)由各專業(yè)部門(mén)負(fù)責(zé)人擔(dān)任。負(fù)責(zé)其轄屬單位計(jì)算機(jī)安全工作和領(lǐng)導(dǎo)專業(yè)部門(mén)安全小組工作。第八條計(jì)算機(jī)安全領(lǐng)導(dǎo)小組組長(zhǎng)是本單位計(jì)算機(jī)安全工作負(fù)責(zé)人科技工作管理部門(mén)履行計(jì)算 機(jī)安全工作領(lǐng)導(dǎo)小組辦公室職能，負(fù)責(zé)計(jì)算機(jī)安全領(lǐng)導(dǎo)小組日常工作。各級(jí)計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組對(duì)上一級(jí)計(jì)算機(jī)安全領(lǐng)導(dǎo)小組負(fù)責(zé)，受上一級(jí)計(jì)算機(jī)安全領(lǐng)導(dǎo)小組監(jiān)督。第十條 計(jì)算機(jī)安全領(lǐng)導(dǎo)小組職責(zé)（一）對(duì)本單位的計(jì)算機(jī)信息系統(tǒng)安全負(fù)責(zé)；（二）組織制定、實(shí)施、監(jiān)督和計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)章制度；（3） 定期對(duì)轄區(qū)內(nèi)計(jì)算機(jī)系統(tǒng)安全進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題提出有效整改措施，督促落實(shí)，檢查執(zhí)行結(jié)果，編制報(bào)告，報(bào)送上一級(jí)計(jì)算機(jī)安全領(lǐng)導(dǎo)小組；（4） 審閱

4、違章報(bào)告，運(yùn)行日志和其它與計(jì)算機(jī)信息系統(tǒng)安全有關(guān)的材料，及時(shí)查處不安全因素；（五）協(xié)助公安機(jī)關(guān)偵破計(jì)算機(jī)犯罪案件；（六）加強(qiáng)科技管理人員安全意識(shí)教育，定期組織人員培訓(xùn)，（七）強(qiáng)化計(jì)算機(jī)安全管理；（八）其他與計(jì)算機(jī)信息系統(tǒng)安全相關(guān)的工作。第十一條安全負(fù)責(zé)人責(zé)任制（一）各級(jí)安全負(fù)責(zé)人對(duì)本單位的計(jì)算機(jī)安全負(fù)責(zé)；（二）只有安全負(fù)責(zé)人或其指定的部門(mén)或?qū)Ｈ?，才有?quán)存取和修改系統(tǒng)授權(quán)及系統(tǒng)特權(quán)口令；（3） 安全負(fù)責(zé)人要審閱每天的違章報(bào)告，控制臺(tái)操作記錄、系統(tǒng)日志、系統(tǒng)報(bào)警記錄、系統(tǒng)活動(dòng)統(tǒng)計(jì)、警衛(wèi)報(bào)告、加班報(bào)表及其他與安全有關(guān)的材料；（4） 若終端分布在不同地點(diǎn)，則各地都應(yīng)有地區(qū)安全負(fù)責(zé)人，可設(shè)在職，也可以兼

5、任，并接受省聯(lián)社的領(lǐng)導(dǎo)；（五）各部門(mén)發(fā)現(xiàn)違章行為，應(yīng)向省聯(lián)社安全組織報(bào)告;（六）計(jì)算機(jī)系統(tǒng)的建設(shè)應(yīng)與計(jì)算機(jī)安全工作同步進(jìn)行。第三章 人員管理第十二條人員須按照人力資源部門(mén)相關(guān)要求和遼寧省農(nóng)村信用社科技工作管理規(guī)定，進(jìn)行審查、教育、考核，并遵循如下原則：（一） 多人員負(fù)責(zé)原則。即從事每一項(xiàng)與計(jì)算機(jī)信息系統(tǒng)安全有關(guān)的工作必須有二人以上的人在場(chǎng)，并簽署工作情況記錄以證明安全工作已得到保障。（二）職責(zé)分離原則。1、程序員不得操作業(yè)務(wù)應(yīng)用系統(tǒng)；2、操作員既不能編寫(xiě)也不能修改程序；3、信息系統(tǒng)安全性能的實(shí)現(xiàn)和維護(hù)工作必須是分立的，互不相同的二項(xiàng)工作；4、質(zhì)量控制和審查工作應(yīng)該分立。第十三條人員審查必須根據(jù)

6、計(jì)算機(jī)系統(tǒng)所定的密級(jí)確定審查標(biāo)準(zhǔn)。如處理機(jī)要信息的系統(tǒng)，接觸系統(tǒng)的所有工作人員必須按機(jī)要人員的標(biāo)準(zhǔn)進(jìn)行審查。第十四條關(guān)鍵崗位的人選,不僅要有嚴(yán)格的政審，還要考慮其現(xiàn)實(shí)表現(xiàn)、工作態(tài)度、道德修養(yǎng)和業(yè)務(wù)能力等方面。盡可能保證這部分人員安全可靠。第十五條 所有工作人員除進(jìn)行業(yè)務(wù)培訓(xùn)I外，還必須進(jìn)行相應(yīng)的計(jì)算機(jī)安全課程培訓(xùn)，才能進(jìn)入 系統(tǒng)工作。第十六條人力資源管理部門(mén)將定期對(duì)系統(tǒng)所有工作人員從政治思想業(yè)務(wù)水平、工作表現(xiàn)等方 面進(jìn)行考核，對(duì)不適于接觸信息系統(tǒng)的人員要適時(shí)調(diào)離。第十七條 對(duì)調(diào)離人員，特別是在不情愿的情況下被調(diào)走的人員，必須認(rèn)真辦理手續(xù)。除人事手 續(xù)外，必須進(jìn)行調(diào)離談話，中明其調(diào)離后的保密義務(wù)

7、，收回所有鑰匙及證件，退還全部技術(shù)手冊(cè)及有 關(guān)材料。系統(tǒng)必須更換口令和機(jī)要鎖。在調(diào)離決定通知本人的同時(shí),必須立即進(jìn)行上述工作,不得拖 延。第十八條 計(jì)算機(jī)重要數(shù)據(jù)管理員親屬回避。計(jì)算機(jī)系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員的直系親屬不得 操作系統(tǒng)，參與業(yè)務(wù)處理工作。第四章檔案資料管理第十九條要制定嚴(yán)格的技術(shù)文件管理制度，計(jì)算機(jī)系統(tǒng)的技術(shù)文件如說(shuō)明書(shū)、手冊(cè)等應(yīng)妥善保 存，要有嚴(yán)格的借閱手續(xù)，不得損壞及丟失。技術(shù)文件和磁介質(zhì)備份保管期限按國(guó)家有關(guān)規(guī)定執(zhí)行.第二十條應(yīng)常備有關(guān)計(jì)算機(jī)系統(tǒng)操作手冊(cè)規(guī)定的文件應(yīng)常備計(jì)算機(jī)系統(tǒng)出現(xiàn)故障時(shí)的替代措 施及恢復(fù)順序所規(guī)定的文件。第五章機(jī)房管理第二十一條設(shè)計(jì)或改建計(jì)算機(jī)機(jī)房時(shí)必須

8、符合計(jì)算機(jī)場(chǎng)地技術(shù)要求和計(jì)算機(jī)場(chǎng)地安全要求國(guó) 家標(biāo)準(zhǔn)。第二十二條網(wǎng)絡(luò)中心機(jī)房建筑和結(jié)構(gòu)應(yīng)注意下列問(wèn)題：（一）機(jī)房最好為專用建筑；（二）機(jī)房最好設(shè)置在電梯或樓梯不能直接進(jìn)入的場(chǎng)所；（三）機(jī)房應(yīng)與外部人員頻繁出入的場(chǎng)所隔離；（四）機(jī)房周?chē)鷳?yīng)設(shè)有圍墻或柵欄等防止非法進(jìn)入的設(shè)施；（五）建筑物周?chē)鷳?yīng)有足夠亮度的照明設(shè)施，以防夜間非法侵入；（六）外部容易接近的窗口應(yīng)采取防范措施。如鋼化玻璃、嵌網(wǎng)玻璃及卷簾和鐵窗。無(wú)人值守時(shí) 應(yīng)有自動(dòng)報(bào)警設(shè)備；（七）應(yīng)在合適的位置上開(kāi)設(shè)應(yīng)急出口，作為避險(xiǎn)通道或應(yīng)急搬運(yùn)通道；（八）機(jī)房?jī)?nèi)部設(shè)計(jì)應(yīng)便于出入控制和分區(qū)控制；第二十三條 各級(jí)機(jī)構(gòu)應(yīng)制定嚴(yán)格的網(wǎng)絡(luò)中心出入管理制度，具體

9、包括：（一）網(wǎng)絡(luò)中心要實(shí)行分區(qū)控制，限制工作人員出入與已無(wú)關(guān)的區(qū)域；（二）科技部可向工作人員，包括來(lái)自外單位的人員，發(fā)行帶有照片的身份證件，并定期進(jìn)行檢 查或更換；（3） 安全等級(jí)較高的計(jì)算機(jī)系統(tǒng)，除采取身份證件進(jìn)行識(shí)別以外，還要考慮其他出入管理措施，如安裝自動(dòng)識(shí)別登記系統(tǒng)，實(shí)行門(mén)禁管理；（四）短期工作人員或維修人員的證件，應(yīng)注明有效日期，屆時(shí)收回；（五）參加人員必須由主管部門(mén)辦理參觀手續(xù)，參觀時(shí)必須有專人陪同；（六）因系統(tǒng)維修或其它原因需外國(guó)籍人進(jìn)入機(jī)房時(shí)，必須始終有人陪同；（七） 進(jìn)出口的鑰匙應(yīng)保存在約定的場(chǎng)所，由專人管理，并明確其責(zé)任。記錄最初入室者及最后離室者和鑰匙交換時(shí)間；（八）在無(wú)

10、警衛(wèi)的場(chǎng)合，必須保證室內(nèi)無(wú)人時(shí)，關(guān)鎖所有出入口；（九）禁止攜帶與上機(jī)工作無(wú)關(guān)的物品進(jìn)入機(jī)房；（十）對(duì)于帶進(jìn)和帶出的物品，如有疑問(wèn)，應(yīng)進(jìn)行查驗(yàn)。第二十四條計(jì)算機(jī)機(jī)房應(yīng)制定各種其他管理制度,具體包括：（一）計(jì)算機(jī)機(jī)房進(jìn)出管理制度；（二）計(jì)算機(jī)上機(jī)人員登記制度、計(jì)算機(jī)運(yùn)行日志和權(quán)限、密碼、口令管理制度；（三）計(jì)算機(jī)事故的報(bào)告制度；（四）計(jì)算機(jī)機(jī)房日常管理制度，其中包括危險(xiǎn)品管理制度、消耗品管理制度、清潔管理制度；（五）計(jì)算機(jī)機(jī)房磁介質(zhì)管理制度、數(shù)據(jù)備份及災(zāi)難恢復(fù)管理制度；（六）計(jì)算機(jī)機(jī)房設(shè)備維護(hù)制度；（七）計(jì)算機(jī)機(jī)房技術(shù)資料管理制度；（八）計(jì)算機(jī)機(jī)房數(shù)據(jù)查詢、調(diào)閱管理制度。第二十五條網(wǎng)絡(luò)中心外部不應(yīng)

11、設(shè)置標(biāo)明系統(tǒng)及有關(guān)設(shè)備所在位置的標(biāo)志，安全設(shè)備除符合計(jì)算機(jī)場(chǎng)地安全要求標(biāo)準(zhǔn)外，還要注意以下幾點(diǎn)：（一）機(jī)房進(jìn)出口應(yīng)設(shè)置應(yīng)急電話；（二）各房間應(yīng)設(shè)置報(bào)警嗽叭。以免由于隔音及空調(diào)的原因而聽(tīng)不到告警通知；（三）進(jìn)出口設(shè)置識(shí)別與記錄進(jìn)出人員的設(shè)備及防范設(shè)備；（4） 機(jī)房?jī)?nèi)用于動(dòng)力、照明的供電線路應(yīng)與計(jì)算機(jī)系統(tǒng)的供電線路分開(kāi)。實(shí)行雙回路供電，配備不間斷電源和發(fā)電機(jī)；（五）機(jī)房?jī)?nèi)不同電壓的供電系統(tǒng)應(yīng)安裝互不兼容的插座；（六）應(yīng)設(shè)置溫、濕度自動(dòng)記錄儀及溫、濕度報(bào)警設(shè)備；（七）主機(jī)及外設(shè)的電磁干擾輻射必須符合國(guó)家標(biāo)準(zhǔn)。第二十六條機(jī)要信息處理系統(tǒng)中要考慮防止電磁波信息輻射被非法截收，可采用以下方法：（一）可采取

12、區(qū)域控制的辦法，即將可能截獲輻射信息的區(qū)域控制起來(lái)，不許外部人員接近；（二）可采用機(jī)房屏蔽的方法，使得信息不能輻射出機(jī)房；（三）可采用低輻射設(shè)備；（四）可采取其他技術(shù)，使得難以從被截獲的輻射信號(hào)中分析出有效信息；（五）關(guān)于屏蔽技術(shù)的具體要求和技術(shù)指標(biāo)可向有關(guān)部門(mén)咨詢。第六章 數(shù)據(jù)管理第二十七條對(duì)那些必須保護(hù)的數(shù)據(jù)要提供足夠的保護(hù):（一）數(shù)據(jù)使用必須有嚴(yán)格的存取控制措施和權(quán)限；（二）數(shù)據(jù)應(yīng)有準(zhǔn)確性和完整性檢驗(yàn)方法；（三）數(shù)據(jù)應(yīng)有不同介質(zhì)的雙備份和數(shù)據(jù)恢復(fù)功能，實(shí)行異地備份。第二十八條安全等級(jí)可分為保密等級(jí)和可靠性等級(jí)兩種，系統(tǒng)的保密等級(jí)與可靠性等級(jí)可以不同，具體分類如下：（一）保密等級(jí)應(yīng)按有關(guān)規(guī)

13、定劃為絕密、機(jī)密、秘密；（二） 可靠性等級(jí)可分為三級(jí)。對(duì)可靠性要求最高的為A 級(jí)， 系統(tǒng)運(yùn)行所要求的最低限度可靠性為 C 級(jí)，介于中間的為B 級(jí)。第二十九條各級(jí)單位應(yīng)對(duì)數(shù)據(jù)按照密級(jí)進(jìn)行管理，同時(shí)制定相應(yīng)的規(guī)章制度。第七章 磁介質(zhì)管理第三十條磁介質(zhì)的存放（一）磁介質(zhì)存放必須有專門(mén)磁介質(zhì)庫(kù)，并設(shè)專人負(fù)責(zé)管理，必須有出入庫(kù)手續(xù)和記錄；（二）重要的數(shù)據(jù)文件必須備份，與機(jī)房分離異地存放；需長(zhǎng)期保存的磁介質(zhì)，應(yīng)定期翻錄轉(zhuǎn)儲(chǔ)；（三）存有機(jī)要信息的磁介質(zhì)，要保證信息不被非法重新復(fù)制。第三十一條系統(tǒng)安裝要建立完備的記錄，特別是重要系統(tǒng)軟件和應(yīng)用軟件的磁介質(zhì)的使用要有安裝記錄。第三十二條對(duì)重要應(yīng)用系統(tǒng)要嚴(yán)禁在同一

14、臺(tái)機(jī)器上安裝兩種操作系統(tǒng)，嚴(yán)禁在同一臺(tái)機(jī)器上安裝兩種重要應(yīng)用軟件。第三十三條磁媒體管理（一）磁盤(pán)、磁帶必須按照系統(tǒng)管理員及制造廠商確定的操作規(guī)程安裝；（二）傳遞過(guò)程的數(shù)據(jù)磁盤(pán)、磁帶應(yīng)裝在金屬盒中；（三）新磁帶在使用前應(yīng)在機(jī)房經(jīng)過(guò)二十四小時(shí)溫度適應(yīng)；（四）磁帶、磁盤(pán)應(yīng)放在距鋼筋房柱或類似結(jié)構(gòu)手 10CM以上處，以防雷電經(jīng)鋼筋傳播時(shí)產(chǎn)生的 磁場(chǎng)損壞媒體上的信息；（五）存有機(jī)要信息的磁帶清除時(shí)必須進(jìn)行消磁，不得只進(jìn)行磁帶初始化；（六）所有入庫(kù)的盤(pán)帶目錄清單必須具有統(tǒng)一格式，如文件所有者、系列號(hào)、文件名及其描述、作業(yè)或項(xiàng)目編號(hào)、建立日期及保存期限；（七）盤(pán)帶出入庫(kù)必須有核準(zhǔn)手續(xù)并有完備記錄；（八）長(zhǎng)期

15、保存的磁帶應(yīng)定期轉(zhuǎn)貯；（九） 存有記錄機(jī)要信息磁帶的庫(kù)房，必須符合相應(yīng)密級(jí)的文件保存和管理?xiàng)l例的要求，不得與般數(shù)據(jù)磁帶混合存放;（十）重要的數(shù)據(jù)文件必須多份拷貝異地存放；（十一）磁帶庫(kù)必須有專人負(fù)責(zé)管理。第八章軟件管理第三十四條 系統(tǒng)軟件應(yīng)具有以下安全措施（一）操作系統(tǒng)應(yīng)有較完善的存取控制功能，以防止用戶越權(quán)存取信息；（二）操作系統(tǒng)應(yīng)有良好的存貯保護(hù)功能，以防止用戶作業(yè)在指定范圍的存貯區(qū)域進(jìn)行讀寫(xiě)；（三）操作系統(tǒng)應(yīng)有較完善的管理功能，以記錄系統(tǒng)的運(yùn)行情況，監(jiān)測(cè)對(duì)數(shù)據(jù)文件的存?。唬ㄋ模┚S護(hù)人員進(jìn)行維護(hù)時(shí)，應(yīng)處于系統(tǒng)安全控制之下；（五）操作系統(tǒng)發(fā)生故障時(shí)，不應(yīng)暴露口令、授權(quán)表等重要信息；（六）操作

16、系統(tǒng)在作業(yè)正?；蚍钦＝Y(jié)束以后，應(yīng)該清除分配給該作業(yè)的全部臨時(shí)工作區(qū)域；（七）系統(tǒng)應(yīng)能像保護(hù)信息的原件一樣，精確地保護(hù)信息的拷貝。第三十五條應(yīng)用軟件（一）應(yīng)用程序必須考慮充分利用系統(tǒng)所提供的安全控制功能；（二）應(yīng)用程序在保證完成業(yè)務(wù)處理要求的同時(shí)，應(yīng)在設(shè)計(jì)時(shí)增加必要的安全控制功能；（三）程序員與操作員應(yīng)職責(zé)分離；（四）安全人員應(yīng)定期用存檔的應(yīng)用程序與現(xiàn)行運(yùn)行程序進(jìn)行對(duì)照以有效地防止對(duì)程序的非法 修改。第三十六條數(shù)據(jù)庫(kù)（一）數(shù)據(jù)庫(kù)必須有嚴(yán)格的存取控制措施，庫(kù)管理員可以采取層次、分區(qū)、表格等各種授權(quán)方式， 控制用戶來(lái)保護(hù)數(shù)據(jù)庫(kù)的存取權(quán)限；（二）通過(guò)實(shí)體安全、備份和恢復(fù)等多種技術(shù)手段來(lái)保護(hù)數(shù)據(jù)庫(kù)的完

17、整性；（三）應(yīng)對(duì)輸入數(shù)據(jù)進(jìn)行邏輯檢驗(yàn)，數(shù)據(jù)庫(kù)更新時(shí)應(yīng)保證數(shù)據(jù)的準(zhǔn)確性；（四）數(shù)據(jù)庫(kù)管理員應(yīng)實(shí)時(shí)檢查數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)、數(shù)據(jù)元素的關(guān)聯(lián)及數(shù)據(jù)內(nèi)容；（五）數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)具有檢查跟蹤能力，可以記錄數(shù)據(jù)庫(kù)查詢，密碼利用率、終端動(dòng)作、系 統(tǒng)利用率、錯(cuò)誤情況及重新啟動(dòng)和恢復(fù)等；（六）數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)能檢測(cè)出涉及事務(wù)處理內(nèi)容及處理格式方面的錯(cuò)誤，并予以記錄；（七）必須有可靠的日志記錄。對(duì)數(shù)據(jù)完整性要求較高的場(chǎng)合要建立雙副本日志分別存于磁盤(pán) 和磁帶上以保證意外的數(shù)據(jù)恢復(fù)；（八）應(yīng)建立定期轉(zhuǎn)貯制度，并根據(jù)交易量的大小決定轉(zhuǎn)貯頻度；（九）數(shù)據(jù)庫(kù)軟件應(yīng)具備從各種人為故障、軟件故障和硬件故障中進(jìn)行恢復(fù)的能力；（十）數(shù)

18、據(jù)庫(kù)管理軟件應(yīng)能確定是否由于系統(tǒng)故障而引起了文件或交易數(shù)據(jù)的丟失；（十一）重要的系統(tǒng)應(yīng)采取安全控制實(shí)時(shí)終端，專門(mén)處理各類報(bào)警信息；（十二）對(duì)于從日志或?qū)崟r(shí)終端上查獲的全部非法操作都應(yīng)加以分析，找出原因及對(duì)策。第三十七條軟件開(kāi)發(fā)（一）軟件開(kāi)發(fā)的一切過(guò)程應(yīng)按照國(guó)家有關(guān)標(biāo)準(zhǔn)要求進(jìn)行軟件需求，要相關(guān)的業(yè)務(wù)、技術(shù)人員 參與完成；（二）產(chǎn)品鑒定驗(yàn)收：鑒定驗(yàn)收是軟件產(chǎn)品化的關(guān)鍵環(huán)節(jié)，必須給予足夠的重視。提交鑒定的軟 件產(chǎn)品，應(yīng)具有上述標(biāo)準(zhǔn)中列出的各種產(chǎn)品文件。將鑒定會(huì)上提供的上述文件裝訂成冊(cè)，編好頁(yè)碼目 錄，作為技術(shù)檔案，妥善保存。未經(jīng)鑒定驗(yàn)收的軟件，不得投入運(yùn)行；（三）購(gòu)買(mǎi)的軟件應(yīng)附有完整的技術(shù)文件。第三

19、十八條軟件維護(hù)與管理（一）較重要的軟件產(chǎn)品，具技術(shù)檔案應(yīng)復(fù)制副本，正本存檔，不準(zhǔn)外借；（二）軟件產(chǎn)品除建立檔案文件外，其源文件應(yīng)記在磁盤(pán)或磁帶上，并編寫(xiě)詳細(xì)目錄，以便長(zhǎng)期 保存；（三）重要的軟件，均應(yīng)復(fù)制兩份，一份作為主拷貝存檔，一份作為備份；（四）對(duì)系統(tǒng)軟件的維護(hù)和二次開(kāi)發(fā)要慎重，必須事先對(duì)系統(tǒng)有足夠的了解；（五）對(duì)軟件進(jìn)行維護(hù)和二次開(kāi)發(fā)前，必須寫(xiě)出書(shū)面申請(qǐng)報(bào)告，經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，方可進(jìn)行；（六）在維護(hù)和二次開(kāi)發(fā)中，必須有詳細(xì)的規(guī)范化的書(shū)面記載，主要記載修補(bǔ)部位，修改內(nèi)容, 增加功能，修改人，修改日期等，以便查找或別人接替；（七）二次開(kāi)發(fā)只能在系統(tǒng)軟件的副本上進(jìn)行；（八）對(duì)軟件的任何修改都必須

20、有文字記載，并與修改前后的軟件副本一起并入軟件技術(shù)檔案, 妥善保存；（九）對(duì)軟件的修改必須保證不降低系統(tǒng)的安全性。第九章輸入輸出控制第三十九條 數(shù)據(jù)在投入使用前，必須確保其準(zhǔn)確可靠，可采用各種方法進(jìn)行檢查?？梢栽O(shè)置獨(dú) 立于用戶和數(shù)據(jù)處理部門(mén)兩者的管理小組，以監(jiān)督和指導(dǎo)進(jìn)入或離開(kāi)數(shù)據(jù)處理中心的數(shù)據(jù)。第四十條輸入控制（一）對(duì)操作人員制定明確而嚴(yán)格的輸入數(shù)據(jù)的操作制度和規(guī)程；（二）向操作人員提供完整的操作指南；（三）處理數(shù)據(jù)的前端設(shè)備應(yīng)有保密措施；（四）操作人員必須嚴(yán)格遵循口令使用規(guī)則；（五）應(yīng)建立一個(gè)整齊、清潔、安靜的操作環(huán)境。第四十一條輸出控制（一）輸出控制應(yīng)有專人負(fù)責(zé)；（二）輸出文件應(yīng)設(shè)有審批

21、制度；（三）輸出文件的使用應(yīng)有完備手續(xù)；（四）輸出文件必須有可讀的密級(jí)標(biāo)志，等級(jí)標(biāo)志必須與相應(yīng)文件在整個(gè)處理環(huán)節(jié)中同時(shí)生存;（五）輸出文件在發(fā)到用戶之前，應(yīng)由數(shù)據(jù)處理部門(mén)進(jìn)行審核；（六）計(jì)算機(jī)系統(tǒng)運(yùn)行日志應(yīng)有專人定期審核，打印的日志應(yīng)完整而連續(xù)，不得拼接。第四十二條 明確系統(tǒng)各環(huán)節(jié)工作人員的責(zé)任：（一）系統(tǒng)及程序設(shè)計(jì)人員與操作人員必須分離；（二）重要事務(wù)處理項(xiàng)目，必須規(guī)定由合法文件的法定人提交；（三）修改文件必須規(guī)定批準(zhǔn)和執(zhí)行的手續(xù)；（四）工作期間至少應(yīng)有二人在機(jī)房值班，以防止非法使用計(jì)算機(jī)；（五）保存控制臺(tái)打印記錄；（六）制定統(tǒng)一的數(shù)據(jù)格式并盡可能使用統(tǒng)一編碼。第四十三條操作控制對(duì)操作人員制

22、定有關(guān)處理輸入數(shù)據(jù)的操作制度的規(guī)程必須建立一個(gè)整齊、清潔、安靜符合生理 衛(wèi)生要求的操作環(huán)境，以減少操作失誤。嚴(yán)格規(guī)定媒體管理制度，以防止媒體中數(shù)據(jù)的破壞和損失。 向操作人員提供完整的操作指南。以便掌握有關(guān)作業(yè)安排，作業(yè)優(yōu)先級(jí)分配，建立和控制作業(yè)，規(guī)定 場(chǎng)所安全措施和作業(yè)運(yùn)行等的合理規(guī)程。需要保存的數(shù)據(jù)文件必須有完備的記錄，存入符合要求的媒 體庫(kù)中。充分利用作業(yè)統(tǒng)計(jì)功能提供的信息。處理機(jī)要數(shù)據(jù)的終端室各終端，可以考慮隔離，以防各 用戶互相偷看。第十章操作管理第四十四條 制定嚴(yán)格的操作規(guī)程系統(tǒng)操作人員應(yīng)為專職，操作時(shí)要有二名操作人員在場(chǎng)。嚴(yán)格執(zhí)行重要工作雙人監(jiān)督程序。第四十五條對(duì)系統(tǒng)開(kāi)發(fā)人員和系統(tǒng)

23、操作人員要進(jìn)行職責(zé)分離。第四十六條 制定系統(tǒng)運(yùn)行記錄編寫(xiě)制度，系統(tǒng)運(yùn)行記錄包括系統(tǒng)名稱、姓名、操作時(shí)間、處理 業(yè)務(wù)名稱、故障記錄及處理情況等。第四十七條制定完備的系統(tǒng)維護(hù)制度對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施。如數(shù)據(jù)翻錄、抹除、卸下磁盤(pán)磁帶，維護(hù)時(shí)安全人員 必須在場(chǎng)等。遠(yuǎn)程維護(hù)時(shí)，應(yīng)事先通知，且必須建立完整的維護(hù)記錄檔案。第四十八條 對(duì)系統(tǒng)進(jìn)行預(yù)防維修或故障維修時(shí)，必須記錄故障原因、維修對(duì)象、維修內(nèi)容和 維修前后狀況等。第十一章聯(lián)機(jī)處理管理第四十九條聯(lián)機(jī)系統(tǒng)應(yīng)該確定系統(tǒng)安全管理員，對(duì)系統(tǒng)安全負(fù)責(zé)。第五十條用戶識(shí)別（一）必須充分利用系統(tǒng)提供的技術(shù)手段；（二）必須對(duì)口令的產(chǎn)生、登記、更換期實(shí)行嚴(yán)

24、格管理，研究和采用多種口令密碼方式；（三）口令應(yīng)加密存貯；（四）系統(tǒng)能跟蹤各種非法請(qǐng)求并記錄某些文件的使用情況；（五）若錯(cuò)誤的口令被連續(xù)地使用若干次后，系統(tǒng)應(yīng)采取相應(yīng)措施；（六）教育用戶必須遵循口令的使用規(guī)則；（七）系統(tǒng)應(yīng)能識(shí)別終端，以查出非法用戶的位置。第五十一條 證件識(shí)別，可使用磁條、金屬結(jié)構(gòu)或微型芯片制成的卡式證件對(duì)用戶進(jìn)行識(shí)別。特征識(shí)別，采用專門(mén)設(shè)備檢驗(yàn)用戶具有的物理特征。如指紋。第五十二條 需要保護(hù)的數(shù)據(jù)和軟件必須加有標(biāo)志，在整個(gè)生存期，標(biāo)志應(yīng)和數(shù)據(jù)軟件結(jié)合在一 起，不能丟失。第五十三條 計(jì)算機(jī)通信線路安全問(wèn)題。通信線路應(yīng)遠(yuǎn)離強(qiáng)電磁場(chǎng)輻射源,最好埋于地下或采用 金屬套管。通信線路最好

25、鋪設(shè)或租用專線。定期測(cè)信號(hào)強(qiáng)度，以確定是否有非法裝置接入線路;定期 檢查接線盒及其他易被人接近的線路部位。第五十四條 傳輸需要保密的數(shù)據(jù)，應(yīng)該加密保護(hù)；需要長(zhǎng)期保存的機(jī)要文件，應(yīng)加密后保存; 系統(tǒng)應(yīng)建立完善的密鑰產(chǎn)生、管理和分配系統(tǒng)；所有數(shù)據(jù)應(yīng)由數(shù)據(jù)主管部門(mén)負(fù)責(zé)劃分密級(jí)，密級(jí)確定 后交數(shù)據(jù)處理部門(mén)進(jìn)行分類處理根據(jù)數(shù)據(jù)處理的密級(jí)和保密時(shí)效的長(zhǎng)短選擇相應(yīng)強(qiáng)度的密碼算法， 既不能強(qiáng)度太高，過(guò)多增加系統(tǒng)開(kāi)銷，又不要強(qiáng)度太低，起不到保密效果。不要擴(kuò)大加密的范圍。對(duì) 于可加密不可加密的數(shù)據(jù)，不要加密；對(duì)于密鑰管理人員要盡可能地縮小范圍,并嚴(yán)格審查；定期對(duì) 工作人員進(jìn)行保密教育。第五十五條 當(dāng)系統(tǒng)密級(jí)發(fā)生變

26、化，特別是密級(jí)降低時(shí)，應(yīng)用特定的方法清除全部磁存貯器，用 停電的方法清除非磁存貯器。第五十六條 計(jì)算機(jī)系統(tǒng)必須有完整的日志記錄，具體包括：每次成功的使用，記錄節(jié)點(diǎn)名、用 戶名、口令、終端名、上下機(jī)時(shí)間、操作的數(shù)據(jù)或程序名操作的類型、修改前后的數(shù)據(jù)值;用戶每 次越權(quán)存取的嘗試，記錄節(jié)點(diǎn)名、用戶名、終端名、時(shí)間、欲越權(quán)存取的數(shù)據(jù)及操作類型、存取失敗 的原因；每次不成功的用戶身份，記錄節(jié)點(diǎn)名、用戶名、終端名、時(shí)間。第五十七條還要注意以下幾點(diǎn)要求：（一）操作員對(duì)越權(quán)存取應(yīng)通過(guò)控制臺(tái)進(jìn)行干預(yù)；（二）打印出的日志應(yīng)完整而連續(xù)，不得拼接；（三）重要的日志應(yīng)由安全負(fù)責(zé)人簽名，規(guī)定保存期限；（四）對(duì)特定的終端設(shè)

27、備，應(yīng)限定操作人員。第十二章網(wǎng)絡(luò)安全管理第五十八條網(wǎng)絡(luò)安全比單系統(tǒng)或聯(lián)系統(tǒng)更為重要。如果沒(méi)有必要的安全措施，網(wǎng)絡(luò)不能正式投 入使用。第五十九條 重要部門(mén)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)設(shè)立全網(wǎng)管理中心，由專人實(shí)施對(duì)全網(wǎng)的統(tǒng)一管理、監(jiān)督 與控制，不經(jīng)網(wǎng)絡(luò)主管領(lǐng)導(dǎo)同意，任何人不得變更網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置及網(wǎng)絡(luò)參數(shù)。第六十條 網(wǎng)絡(luò)安全可從實(shí)際出發(fā)，分階段、分層次逐步完善。應(yīng)首先考慮采用存貯加密、傳輸 加密、存取控制、數(shù)字簽名及驗(yàn)證等安全措施。第六十一條以公用數(shù)據(jù)網(wǎng)作為通信子網(wǎng)的各重要部門(mén)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)設(shè)置閉合用戶組等限制 非法外來(lái)或外出訪問(wèn)措施，確保網(wǎng)絡(luò)安全。第十三章安全監(jiān)督檢查第六十二條安全監(jiān)督檢查應(yīng)貫徹落實(shí)在系統(tǒng)建設(shè)各個(gè)階段：（一）在系統(tǒng)設(shè)計(jì)階段就應(yīng)有安全人員參加，以評(píng)價(jià)系統(tǒng)設(shè)計(jì)是否滿足安全要求；（二）在系統(tǒng)設(shè)計(jì)中增加安全控制以后，要重新評(píng)價(jià)系統(tǒng)，以保證系統(tǒng)功能不退化。系統(tǒng)安全控 制包括：實(shí)體控制；系統(tǒng)控制；管理控制；（三）