新生支付系统信息安全管理制度new.docx

新生支付信息安全管理制度 第 一 章 总 则 第一条为强化新生支付信息安全管理，防范计算机信息技术风 险，保障新生公司支付清算系统安全和稳定运行，根据《中华人民共和 国计算机信息系统安全保护条例》、 《电子支付指引》、《金融机构及 时机信息系统安全保护工作暂行规定》等规定，特制定本规定。 第二条本规定所称信息安全管理，是指在新生公司信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条本规定适用于新生公司总部机关、各分支机构单位(以下 统称“各单位”)。所有使用新生公司网络或信息资源的其他外部机构 和个人均应遵守本规定。 第二章 组织保障 第四条各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组，办公室设在本单位运维部门，负责协调本 单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。 第五条各单位运维部门应设立信息安全管理部门或岗位。并配备 专职信息安全管理人员，实行A、B 岗制度。 第六条除运维部门外，各单位其他部门均应指定至少一名部门计 算机安全员，具体负责本部门的信息安全管理，协同运维部门开展信息 安全管理工作。 第三章 人员管理 第七条各单位工作人员根据不同的岗位或工作范围，履行相应的 信息安全保障职责。 第一节 信息安全管理人员 第八条各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和新生公司有关规定 — 1— 受到过处罚或处分的人员，不得从事此项工作。 第九条各单位信息安全管理人员应经过总部组织的专业培训与 审核，培训与审核合格后方可上岗。上岗后，每年至少参加一次信息安 全专业培训。 第十条各单位信息安全管理人员在如下职责范围内开展本单位 信息安全管理工作： ( 一 ) 组织落实上级信息安全管理规定，制定信息安全管理制 度，协调部门计算机安全员工作，监督检查信息安全保障工作。 ( 二 ) 审核信息化建设项目中的安全方案，组织实施信息安全保 障项目建设，维护、管理信息安全专用设施。 ( 三 ) 检测网络和信息系统的安全运行状况，检查运行操作、备 份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并 提出整改意见。统计分析和协调处置信息安全事件。 ( 四 ) 定期组织信息安全宣传教育活动，开展信息安全检查、评 估与培训工作。 第十 一 条 信息安全管理人员在履行职责时，确因工作需要查询 相关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申 请，获得批准后方可查询。 第十二条 信息安全管理人员实行备案管理制度。信息安全管理 人员的配备和变更情况应及时报上一级运维部门备案。信息安全管理人 员调离原岗位时应办理交接手续，并履行其调离后的保密义务。 第二节 部门计算机安全员 第十三条 各部门应指派素质好、较熟悉计算机知识的人员担任 部门计算机安全员，并报本单位运维部门备案。如有变更应做好交接工 作，并及时通报运维部门。 第十四条 部门计算机安全员配合信息安全管理人员工作，并参 加各项信息安全技能培训。 第十五条 部门计算机安全员在如下职责范围内开展工作： —2— ( 一 ) 负责本部门计算机病毒防治工作，监督检查本部门客户端 安全管理情况。 ( 二 ) 负责提出本部门信息安全保障需求，及时与信息安全管理 人员沟通信息安全信息。 ( 三 ) 负责本部门国际互联网使用和接入安全管理，组织开展本 部门信息安全自查，协助运维部门完成对本部门的信息安全检查工作。 第三节 技术支持人员 第十六条 本规定所称技术支持人员，是指参与新生公司网络、 计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包 服务人员。 第十七条 新生公司内部技术支持人员在履行网络和信息系统建 设和日常运行维护职责过程中，应承担如下安全义务： (一)不得对外泄漏或引用工作中触及的任何敏感信息。严格权 限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成 的任何数据。 (二)主动检查和监控生产系统安全运行状况，发现安全隐患或 故障及时报告本部门主管领导，并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管 理、档案管理等工作制度，做好数据备份工作。 第十八条 外部技术支持人员应严格履行外包服务合同(协议) 的各项安全承诺。提供技术服务期间，严格遵守新生公司相关安全规定 与操作规程，关键操作应经授权，并有新生公司内部员工在场。不得拷 贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作 信息。 第四节 业务系统操作人员 第十九条 本规定所称业务系统操作人员是指直接操作业务系统 进行业务处理的业务部门工作人员。 第二