铁路计算机信息系统安全保护办法
铁道部
铁路计算机信息系统安全保护办法
(2003年7月15日铁道部令第10号公布)
第一章 总则
第一条 为了保护铁路计算机信息系统安全,促进计算机的应用和发展,保障铁路运输和现代化建设顺利进行,根据《中华人民共和国计算机信息系统安全保护条例》的规定,制定本办法。
第二条 本办法适用于铁路系统的机关、企业、事业单位及铁路计算机信息系统的延伸点。
第三条 本办法所称的计算机信息系统,是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条 铁路计算机信息系统安全保护工作的主要任务是:提高铁路计算机信息系统的整体安全水平,保障铁路运输安全。
第五条 铁路计算机信息系统的安全保护工作,是铁路运输安全保护工作的组成部分,应贯彻“预防为主、综合治理、人员防范和技术防范相结合”的方针,逐级建立安全保护责任制,加强制度建设,逐步实现科学化、规范化管理。
第六条 铁道部公安局主管铁路计算机信息系统安全保护工作,各铁路(含铁路工程、铁道建筑)公安局、处应明确信息网络安全监察机构,负责计算机信息系统安全保护工作。
第二章 安全监督
第七条 铁路公安机关对铁路计算机信息系统安全保护工作行使下列监督职权:
(一)督促计算机信息系统的管理部门和使用单位执行国家有关计算机信息安全法律、法规和规定,依法对其安全保护工作进行监督、检查和指导;
(二)负责对新建、改建和扩建铁路计算机信息系统的安全保护措施进行备案;
(三)负责检查、指导铁路计算机信息系统的安全技术措施;
(四)负责计算机信息系统安全员的培训;
(五)负责计算机信息系统安全专用产品使用的审核;
(六)负责监督、检查计算机信息系统安全管理制度的落实;
(七)组织计算机病毒防治和通报疫情;
(八)查处和侦破危害铁路计算机信息系统安全的事故和案件;
(九)负责奖励和处罚;
(十)办理有关铁路计算机信息系统安全管理手续;
(十一)组织计算机信息系统安全检查、检测工作;
(十二)组织计算机信息系统安全知识的培训和宣传工作。
第八条 铁路公安机关负责辖区内的计算机网络国际联网安全保护监督管理工作。
第九条 铁路公安机关发现影响计算机信息系统安全隐患时,要及时通知使用单位采取安全措施,限期整改。
第十条 铁路公安机关信息网络安全监察人员必须持铁路计算机安全监察证方可上岗工作。监察证由铁道部公安局签发。
第十一条 铁路公安基层段、所队应当协助信息网络安全监察机构,做好计算机信息系统安全保护工作。在特殊情况下,经上级铁路公安机关批准,可行使有关计算机安全监察职权。
第三章 安全保护
第十二条 计算机信息系统安全保护工作实行“谁主管,谁负责,谁经营,谁负责”的原则。使用、管理计算机信息系统的单位(部门)要建立计算机信息系统安全管理组织并设立安全员,负责本单位(部门)的计算机信息系统安全保护工作,其职责是:
(一)确定本单位计算机信息系统的安全保护策略,建立健全安全管理制度;
(二)完善和落实计算机信息系统安全措施,实现内部网与外部网的物理隔离,严禁一机两用;
(三)配合公安机关办理有关计算机信息系统安全保护管理手续;
(四)严格管理计算机信息系统资源,建立计算机信息系统资源台帐;
(五)严格管理系统管理员;
(六)建立与公安机关的通报联系制度,定期向铁路公安信息网络安全监察部门报告计算机信息系统安全情况;
(七)对造成损失并影响运输安全、计算机信息系统安全的案件、事故及违法行为,在12小时内报告铁路公安机关,并保护现场及有关资料,协助开展调查,处理责任者。
第十三条 计算机信息系统安全员必须经过铁路公安机关培训,经考试取得培训合格证书后方可上岗。
第十四条 进行国际联网的个人、单位,必须严格执行国家、铁道部有关规定。
第十五条 计算机机房的建设应当符合国家和铁道部的有关规定。
第十六条 重要部门的计算机机房应当制定严格的出入制度,未经主管部门批准的人员,不得接触和使用信息处理设备和媒体。
第十七条 铁路各单位和部门在新建、改建、扩建计算机系统前应当将计算机系统安全保护方案报铁路公安机关备案。
第十八条 重要部门的计算机信息系统需要对外联网或提供服务时,在报上级主管部门批准的同时,应当报铁路公安机关备案。
第十九条 各单位和部门使用的计算机信息系统安全专用产品,必须是经国家有关部门许可的产品,未经许可的产品不得使用。
第二十条 联网的计算机必须配置防病毒工具进行实时监控和检测。
第二十一条 重要计算机信息系统应设置双路双机冗余,实行封闭运行,制定应急方案,确保系统在发生意外情况后能够迅速恢复正常。
第二十二条 所有的计算机信息系统资产要严格执行登记使用制度,并建立完整的设备台帐及设备档案,定期进行清查。
第二十三条 对信息处理的各个环节和流程要有安全保护和安全控制措施,防止被人非法利用、更改、损害和泄漏。
第二十四条 计算机设备使用和信息存取权,按工作需要原则授予,任何人不得越权使用。
第二十五条 连接重要计算机信息系统的计算机不得存储与工作无关的程序和数据。存储介质和文件资料要严格执行安全保密制度,并设专人、专柜妥善保管。未经主管领导批准,不得随意利用、修改、复制和外借。
第二十六条 使用、管理计算机的单位要做好日常数据和软件备份,对新引用的软件和外来数据必须进行安全检测,确认无误再投入正常运行。
第二十七条 重要计算机信息系统应当建立完善的计算机信息系统日志,根据信息的重要程度设定保存时间,最短不少于60天。
第四章 法律责任
第二十八条 违反本办法,有下列行为之一的,由公安机关处以警告:
(一)逾期不到公安机关办理有关计算机信息系统安全管理手续的;
(二)发生计算机信息系统案件、事故或违法行为,在12小时内不报告的;
(三)违反计算机信息系统国际联网备案制度的;
(四)接到整改通知书后,不按期进行整改的;
(五)拒绝、阻碍铁路公安机关依法实施计算机信息系统安全检查、监督的;
(六)有危害计算机信息系统安全的其他行为的。
第二十九条 计算机信息系统存有严重安全隐患或违法犯罪嫌疑证据,需要技术检验核实的或者发生重大计算机信息系统安全事故或违法犯罪案件,需要保护现场或取证的,由公安机关采取措施保全证据。
第三十条 故意制作、传播计算机病毒及其它有害数据的,由公安机关对个人处以5000元以下罚款、对单位处以15000元以下罚款。
第三十一条 违反本办法,应给予行政处罚的,由铁路公安机关依照《行政处罚法》规定的程序给予行政处罚。
第三十二条 铁路公安机关对违反本办法给予行政罚款处罚的,应当实行罚款决定与罚款收缴相分离的制度。铁路公安机关应当确定罚款代收机构,由公安机关出具处罚决定文书,被处罚人到代收银行自行缴纳罚款。
第三十三条 铁路公安机关实施行政处罚,使用公安部制发的《行政处罚决定书》。按照《行政处罚法》第四十八条规定,经当事人提出,由铁路公安机关当场收缴罚款的,铁路公安机关应当向当事人出具财政部指定的收据。
第三十四条 违反本办法、构成犯罪的,依照刑法的有关规定追究刑事责任。
第三十五条 对铁路公安机关依照本办法作出的行政处罚不服的,可以依法向上一级铁路公安机关申请复议或向人民法院提起行政诉讼。
第三十六条 因计算机信息系统安全保护工作不落实,导致发生危害后果的单位,除处罚直接责任者外,还要追究单位主要领导的责任。
第三十七条 铁路公安信息网络安全监察部门、人员违反本办法规定,由上一级铁路公安机关依法处罚。
第五章 附则
第三十八条 本办法所称“重要部门”、“重要计算机信息系统”、“计算机事故及违法行为”另行规定。
第三十九条 中国铁路工程总公司、中国铁道建筑总公司应当适用本办法。
第四十条 本办法由铁道部负责解释。
第四十一条 本办法自2003年9月1日起施行。铁道部《铁路计算机信息系统安全保护办法》(铁公安[1998]74号)同时废止。
中国人民银行关于地震灾区银行业金融机构办理支付结算有关事宜的紧急通知
中国人民银行
中国人民银行关于地震灾区银行业金融机构办理支付结算有关事宜的紧急通知
银发〔2008〕165号
中国人民银行成都、西安分行,重庆营业管理部,兰州、昆明中心支行;各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行;中国银联股份有限公司:
为贯彻落实《中国人民银行 中国银行业监督管理委员会关于全力做好地震灾区金融服务工作的紧急通知(第1号)》(银发〔2008〕152号)的精神,按照特事特办、控制风险、简化程序、便民优惠的原则,进一步做好灾区支付结算服务工作,满足灾区居民基本生活和灾后重建需要,现将地震灾区银行业金融机构(以下简称银行)办理支付结算的有关事宜通知如下:
一、个人客户办理支付结算业务
(一)客户与银行约定凭密码支取存款,本人持有效存款凭证(包括个人银行结算账户、储蓄账户、定期储蓄存款、通知存款对应的银行卡、存折、存单,下同)和提供密码办理有关支付结算业务的,银行应按正常业务处理手续为客户及时办理。
(二)客户有效存款凭证灭失,但能够提供本人有效身份证件的,银行在核实客户身份和账户信息后,可凭客户本人签名办理密码、账户挂失,并可立即为客户设置新密码和办理存款凭证的补领手续。
(三)客户无法提供有效身份证件的,银行可区别以下情况办理累计金额不超过5000元的现金支取或转账业务:
1.持有效存款凭证,但无法提供密码的,银行确认客户身份和核实账户信息后,可凭客户本人签名办理账户、密码挂失及存款的支取或转账。
2.有效存款凭证灭失,但客户能够提供密码的,银行确认客户身份和核实账户信息后,可凭客户本人签名办理账户、密码挂失及存款的支取或转账。
3. 有效存款凭证灭失,且无法提供密码的,银行可采取与客户核对账户、身份和其他信息等其他方式确认客户身份和权益,并合理确定存款的支取或转账限额。
4.银行确认客户身份的方式包括:通过公民身份信息联网核查系统核实包括客户本人照片在内的身份信息;公安部门出具身份证明文件;出具本人驾驶执照等。
(四)个人账户存款的支取或转账累计金额超过5000元的,银行应按现行支付结算管理规定办理。
二、单位客户办理支付结算业务
(一)已经恢复对外营业的银行网点,应及时恢复开办对公业务,并与单位客户主动联系,核对往来账务,确保准确无误。对尚未恢复对外营业的银行网点,可由其上级机构或临近的行内其他营业网点代理相关支付结算业务。
(二)单位客户无法提供预留银行签章的,在单位法定代表人或单位负责人出具本人签字的、要求采取应急措施并承担相应法律责任的书面声明后,银行可区别以下情况应急处理:
1.单位预留银行签章灭失的,可凭单位的法定代表人或单位负责人的身份证件和签章办理单位银行账户存款的支取和转账。
2.单位预留银行签章、法定代表人或单位负责人的身份证件均灭失的,银行比照对个人客户身份确认的方式,履行对法定代表人或单位负责人的身份确认手续后,凭法定代表人或单位负责人的签章办理单位银行账户存款的支取或转账。
3.银行应督促单位存款人,尽快补齐相关证明文件,按现行规定办理预留银行签章的挂失和变更。
三、单位应急结算账户的开立和使用
(一)参加抗震救灾的军队、武警部队凭团以上单位后勤部门出具的证明、财务部门的通知、部队领导和财务人员的有效证件等证明文件之一即可开立临时存款账户,并可即时启用。救灾任务结束后,要及时撤销该账户。开户银行对所开立或撤销的临时存款账户以书面方式报人民银行当地分支机构备案。
(二)经确认受灾单位开立的单位银行结算账户在受灾地(银行)无法正常使用的,单位存款人可申请在非受灾地(银行)开立1个临时存款账户。单位存款人无法提供开户证明文件的,可由开户银行对其开户信息进行核实后办理,并以书面方式报人民银行当地分支机构备案。存款人原有基本存款账户启用后,该临时存款账户应及时撤销。
(三)对于基本存款账户在受灾地(银行)无法使用的,但在非受灾地(银行)有其他性质的银行结算账户的,可将其作为基本存款账户使用,开户银行将有关信息报人民银行当地分支机构备案。存款人原有基本存款账户启用后,该账户按原有性质使用。
四、银行卡机具布放与银行卡的受理
人民银行当地分支机构应主动协调当地银行和中国银联股份有限公司分公司,根据需要,布放ATM机,在已经恢复营业的银行网点,以及在受灾群众集中安置区域内指定的银行营业网点布放特殊POS机,为客户免费办理银联卡的查询和现金支取等业务;在商户布放 POS 机。特殊POS机的商户类型均设置为公益类商户,手续费费率设置为零。
五、对死亡和失踪者个人结算账户的处理
(一)人民银行分支机构应与当地民政部门协调,尽快向银行提供已确认死亡和失踪者名单。银行应根据当地政府有关部门提供的已确认死亡和失踪者名单,将死亡和失踪者的个人银行账户单独存储或标记,该类账户只收不付。
(二)银行应根据公证部门或人民法院的继承权证明书,积极做好死亡和失踪者财产继承人对前述银行存款的继承工作。
六、赈灾款支付系统汇划费用的减免
减免各银行通过大额支付系统办理的赈灾款项汇划费用。因系统技术设置原因,汇划费用减免采取“先收后返”的方式。届时,人民银行将通知支付系统各直接参与者汇总上报通过大额支付系统办理的赈灾款汇划支付业务量,据此返还汇划费用。
七、其他
银行可根据本通知精神制定本行的应急服务措施,对本通知未尽的其他特殊情况,可在有效确认客户合法身份和权益的前提下,制定灵活、有效措施,积极办理有关业务。
本通知自发布之日起实施。具体实施期限由人民银行省级分支机构根据辖区内实际情况确定。
请人民银行分支机构将本通知迅速转发至辖区内地方性银行业金融机构贯彻执行。执行中遇到的问题,请及时报告人民银行总行。
中国人民银行
二〇〇八年五月二十六日
