信息安全管理制度汇编

　　内容简介：金融消费者信息安全制度浅议当前，金融业飞速发展，业务量和金融数据量大幅增长，市场化、信息化进程不断加快。金融机构为往往掌握了客户大量信息，若不妥善保管，很容及危机客户利益。如何保护金融消费者信息安全，既能促进金融业发展又能维护金融消费者权益，当前，金融业飞速发展，业务量和金融数据量大幅增长，市场化、信息化进程不断加快。金融机构为往往掌握了客户大量信息，若不妥善保管，很容及危机客户利益。如何保护金融消费者信息安全，既能促进金融业发展又能维护金融消费者权益，这个问题值得我们探讨。

　　一、金融消费者信息并不安全

　　如今信息时代，金融业客户信息与客户资金安全联系日益密切。金融行业掌握着大量的客户信息资源，对金融消费者信息保护十分必要。然而，由于种种原因，金融行业频繁出现由于客户信息丢失、泄漏等造成金融消费者重大损失的事件，实在是令人担忧。年涉及多家银行的储户失窃案，由于银行工作人员以一份十元到几十元的低廉价格非法出售客户的银行卡信息及个人征信报告，导致客户遭受巨大损失。年某报曾报道，在某市废品收购站，有人发现某银行、某通信公司的客户资料被作为废品变卖。其中有些资料还有客户的详细信息。分析这些消费者因信息泄漏而遭受损失的案例，我们可以出以下几个原因：

　　（一）金融业在进行金融服务时，为降低金融风险，尽职对客户基本资料、征信状况、交易记录等涉及金融风险评估的内容进行审查，但是对消费者信息保护关注度不高。检查发现，金融机构或多或少存在对客户信息保护不善等问题，这些问题很有可能导致客户因信息泄漏、丢失而遭受利益损失。来说，就是金融机构没有认识到自身在保护消费者信息权益方面的责任，管理不善。

　　（二）金融消费者信息的商业价值诱使部分金融工作人员为利益铤而走险。不论是非法查询还是高价出售，都说明金融工作人员对消费者信息权益的漠视，不仅损害了消费者的权益，同时也损害了金融机构的声誉和形象。

　　（三）交易渠道多样化。随着技术发展，电子商务普及，现在的金融行业与时俱进，经营模式多元化，这些变化不仅拓宽了银行的交易渠道，给消费者带来便利，同时也带来了巨大的风险。

　　二、我国金融消费者信息保护面临困难

　　（一）我过金融消费者信息保律不健全。目前世界上有50多个国家有关于个人信息保护的专门立法，而我国法律法规对于金融信息保护还处于初级阶段，有关金融机构对消费者信息保护的规定比较零散而且笼统，现在，对金融消费者信息保护主要还是依据《中华人民共和国商业银行法》第二十九条“为存款人保密的原则”，在这种宽泛的规定无法很好的督促金融机构保护消费者信息权益以及处理有关纠纷。

　　（二）金融消费者信息保护过程中存在风险环节。目前，我国金融业在收集、使用消费者信息时，涉及的一些核心技术，许多都是由海外的，这显然成为消费者信息泄漏的一大风险。

　　三、针对以上问题的对策和建议

　　（一）加快个人信息保护的法制建设

　　专业立法方面。首先，我国应根据社会需求指定专业的信息保，详尽规范个人信息的收集和使用行为。银行等金融机构对收集到的各类客户信息应当保密，除非经过客户本人授权或法律许可，金融机构无权对外公布、泄露客户的个人信息，更不能将这些信息用于牟取私利。其次，法律应明确侵害个人信息的赔偿标准，在诉讼程序偏向于保护处于弱势地位的受害者，通过提高违法成本，从而威慑、遏制侵害客户个人信息的行为。立法应明确若因机构造成客户的因信息泄漏获丢失而收到损失，机构应当承担责任。

　　监管法规方面。首先，监管机构应认真履行职责，尽快出台金融消费者信息保规，监督金融机构履行保护消费者信息的义务。其次，借鉴国际经验，认清我国基本国情，抓紧技术研发，建立具有特色的个人信息保护体系。最后，建立金融机构涉信人员管理机制，与涉信人员签订保密协议，强化监督和问责。监管机构要定期对金融机构的信息安全状况进行监督检查，以便及时发现和纠正工作中存在的隐患和漏洞。

　　（二）掌握信息保护核心技术，使风险可控

　　首先，我国可以加大对金融消费者信息保护技术研发的倾斜，加快研制我国自己在信息保护方面的技术专利。

　　其次，制定金融消费者信息保护的专业技术标准，确定个人信息在收集和使用等环节的安全技术手段。

　　再次，规范与金融机构合做的第三方机构。

　　（三）全面提高保护金融消费者信息的意识

　　首先，金融机构应当认清自身管理缺陷，开展自查整顿。

　　其次，金融机构可以通过管理技术，建立金融消费者信息保护标准体系和的行业制度，通过内部培训等方式引导员工行为。

　　再次，通过电子、纸面、现场宣传等方式，普及客户的金融知识，提高客户自我保护意识。

　　第四，加强与监管部门、门等职能部门的沟通和联系，及时冻结“被害账户”，加大对非法掌握、泄露客户信息行为的`打击力度，保护金融消费者权益。

　　最后，可以通过电视、报刊等形式，制作具有警示意义的主题栏目，在全社会营造保护金融信息的良好氛围。

信息安全管理制度汇编

　　一、计算机设备管理制度

　　1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

　　2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由公司相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。

　　3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拔计算机外部设备接口，计算机出现故障时应及时向IT部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。

　　二、操作员安全管理制度

　　（一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；

　　（二）系统管理操作代码的设置与管理

　　1、系统管理操作代码必须经过经营管理者授权取得；

　　2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；

　　3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权；

　　4、系统管理员不得使用他人操作代码进行业务操作；

　　5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；

　　（三）一般操作代码的设置与管理

　　1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。

　　2、操作员不得使用他人代码进行业务操作。

　　3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。

　　三、密码与权限管理制度

　　1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串；

　　2、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。

　　3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。

　　4、系统维护用户的密码应至少由两人共同设置、保管和使用。

　　5、有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。

信息安全管理制度汇编

　　为了加强学生管理，进一步做好学生安全信息登记工作，特制定以下制度。

　　1、学校对学生的家长姓名、家庭住址、联系方式等各方面情况逐一进行详细登记，做到学生家庭情况熟，底子说得清。

　　2、学校对患有先天性疾病和重大疾患的学生，建立档案，如实记载，并在教育教学活动和社会实践中进行重点监护，防止学生因参加不适宜的活动而造成意外伤害。

　　3、做好学生出勤信息情况登记，对学生因事因病不能到校，学生家长应及时填写书面假条主任处，由班主任及时上报学校，学校作出统计。

　　4、学校将学生到校和放学时间、非正常缺课或擅自离校、以及身体和心理异常情况等关系学生安全的信息，及时登记，并将处理信息做好记录。

　　5、学生在校发生食物中毒、传染病流行、安全事故后，学校应及时做好详实记录，做好事故现场及有关证据的保存工作。

　　6、做好学生安全信息登记工作的分析、存档工作。

信息安全管理制度汇编

　　第一章总则

　　第一条信息安全保密工作是公司运营与发展的基础，是保障客户利益的基础，为给信息安全工作提供清晰的指导方向，加强安全管理工作，保障各类系统的安全运行，特制定本管理制度。

　　第二条本制度适用于分、支公司的信息安全管理。

　　第二章计算机机房安全管理

　　第三条计算机机房的建设应符合相应的国家标准。

　　第四条为杜绝火灾隐患，任何人不许在机房内吸烟。严禁在机房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火装置的性能、特点，熟练使用机房配备的灭火器材。机房消防系统白天置手动，下班后置自动状态。一旦发生火灾应及时报警并采取应急措施。

　　第五条为防止水患，应对上下水道、暖气设施定期检查，及时发现并排除隐患。

　　第六条机房无人值班时，必须做到人走门锁;机房值班人员应对进入机房的人员进行登记，未经各级领导同意批准的人员不得擅自进入机房。

　　第七条为杜绝啮齿动物等对机房的破坏，机房内应采取必要的防范措施，任何人不许在机房内吃东西，不得将食品带入机房。

　　第系统管理员必须与业务系统的操作员分离，系统管理员不得操作业务系统。应用系统运行人员必须与应用系统开发人员分离，运行人员不得修改应用系统源代码。

　　第三章计算机网络安全保密管理

　　第九条采用入侵检测、访问控制、密钥管理、安全控制等手段，保证网络的安全。

　　第十条对涉及到安全性的网络操作事件进行记录，以进行安全追查等事后分析，并建立和维护“安全日志”，其内容包括:

　　1、记录所有访问控制定义的变更情况。

　　2、记录网络设备或设施的启动、关闭和重新启动情况。

　　3、记录所有对资源的物理毁坏和威胁事件。

　　4、在安全措施不完善的情况下，严禁公司业务网与互联网联接。

　　第十一条不得随意改变例如ip地址、主机名等一切系统信息。

　　第四章 应用软件安全保密管理

　　第十二条各级运行管理部门必须建立科学的、严格的软件运行管理制度。

　　第十三条建立软件复制及领用登记簿，建立健全相应的监督管理制度，防止软件的非法复制、流失及越权使用，保证计算机信息系统的安全;

　　第十四条定期更换系统和用户密码，前台(各应用部门)用户要进行动态管理，并定期更换密码。

　　第十五条定期对业务及办公用pc的操作系统及时进行系统补丁升级，堵塞安全漏洞。

　　第十六条不得擅自安装、拆卸或替换任何计算机软、硬件，严禁安装任何非法或盗版软件。

　　第十七条不得下载与工作无关的任何电子文件，严禁浏览黄色或高风险等非法网站。

　　第十注意防范计算机病毒，业务或办公用pc要每天更新病毒库。

信息安全管理制度汇编

　　第一章养老保险中心物理和环境安全管理制度说明

　　为了加强养老保险管理中心内部管理与监督，增强自我约束能力，规范社会保险管理服务工作，确保社会保险基金完整安全，根据《中华人民共和国劳动法》、《中华人民共和国会计法》、《社会保险费征缴暂行条例》、《社会保险稽核办法》、《社会保险审计暂行规定》、《某某省社会保险经办机构内部控制暂行办法》等法律法规和行政规定，制订信息安全责任制。本责任制为防范社会保险经办风险，保证法律法规和行政规章的贯彻执行，业务活动的规范有序、基金的安全完整等目标的实现而对内部职能部门和其工作人员完成社会保险管理服务工作及业务行为进行规范、监控和评价。

　　1、本责任制的目标：在中心内建立一个依法办事、运作规范、管理科学、监控有效、考评严格的内部控制体系。对本中心内各职能科（部）、各项业务、各个环节进行全过程的监督控制，准确地贯彻落实社会保险法规和各项规章制度，保证社会保险基金完整安全，全面完成各项社会保险目标任务。

　　2、中心坚持依法行政和依法经办。建立科学民主、公开透明的决策程序，高效严谨的业务规程，健全有效的监督体系，切实维护参保单位和参保人员的合法权益。

　　3、建立完善的组织决策控制制度和科学的人事管理制度。中心实行主任负责制，主任领导全面工作，副主任按照分工协助主任负责分管的工作，日常工作按职责处理，在职权范围内各司其职，各负其职，定期向主任报告，重大事项及时请示、汇报；各科（部）科长（部主任）对各科（部）实行科长（部主任）负责制度，并向主任、分管主任负责。中心对内部机构、岗位设置与职责、决策程序、法人授权、授权范围、权力监督、人员调配与使用、干部培训、定期轮岗、离任审计、考核与奖惩等作出有关规定。

　　4、中心对社会保险基金管理是承担第一责任，主任是第一责任人。对各项社保基金的管理的审批，主任对副主任实行授权审批，副主任对授权审批权限内的基金承担全部责任。

　　5、印鉴的管理。中心必须经中心领导同意方可使用，各业务科（部）的业务用章，一律不得以中心的名义对外使用。

　　6、严格划分中心内部的各个不相容岗位，确保不相容岗位人员相互分离。不相容岗位包括：授权与批准、批准与执行、执行与监督、审核与记录、记录与检查。

　　7、建立有效的内控考评制度，加强经办能力建设。对业务风险控制情况的评价、违反内控规定的处罚等内容作出规定，同时提高执行能力、管理服务能力和风险管理能力以及工作人员的政治、业务素质。

　　8、强化风险意识，实行政务公开。树立风险管理理念，落实风险管理责任，制定风险应急预案，建立社会保险披露信息制度，接受公民、法人和其他社会组织的监督。

　　第二章信息安全责任制及信息安全情况报告制度

　　社保登记管理包括参保登记、变更登记、注销登记和登记证件管理。按照属地管理原则，中心为依法申报参加社会保险的单位办理参加社会保险登记手续。并如实填写《社会保险登记表》；申报参加社会保险的单位按规定出具的证件、资料的完缺及真伪由稽核科业务经办人员验证并签署姓名，待无误后再填写《社会保险登记表》，并在经办人一栏署名，送科长（副科长）审核后办理。

　　办理社保变更登记的单位按规定出具的证件和资料的完缺及真伪由稽核科业务经办人员验证，待无误后填写《社会保险变更登记表》，并在经办人一栏署名，送交科长（副科长）审核后办理。

　　办理社保注销登记的单位按规定出具的证件和资料，中心财务科出具的应缴纳的保险费、滞纳金和罚款缴讫以及完缺或真伪由稽核科业务经办人员验证，待无误后署名送科长（副科长）审核。

　　稽核科对已核发的社会保险登记证件，实行定期验证和换证制度，按规定为参保单位办理验证或换证手续。办理社会保险登记验证的单位按规定出具的证件和资料由稽核科业务经办人员审核，待无误后署名送科长（副科长）签署意见后存档。

　　根据工作安排，稽核科对需要进行稽核的对象提出意见，报主任（分管副主任）审批同意后进行。稽核时应有两名以上稽核人员共同进行，向被稽核对象说明身份并出示执行公务的证明；对稽核情况应做好笔录，笔录应当由稽核人员和被稽核单位法定代表人（或法定代表人委托的代理人）签名或盖章，被稽核单位法定代表人拒不签名或盖章的。每一单位稽核结束后，应将稽核结果报告主任（分管副主任），需要进行整改的，稽核业务经办人员要在《社会保险稽核整改意见书》上署名，送科长（副科长）审核报主任（分管副主任）审批后送达整改单位。

　　对发现骗取养老保险待遇的.，稽核科和养老待遇支付科具体业务经办人员都应在调查取证的材料上署名，科长（副科长）签署意见后，报主任（分管副主任）批准后执行。

　　稽核科根据工作计划和有关规定，将内部审计内容报告主任（分管副主任）批准后实施，实施过程中要有2名以上人员共同参加并做好内审笔录，笔录由稽核人员和检查部门负责人签字。内部审计检查中出现的问题要写出内部审计报告，提出明确的处理意见和整改措施，送主任（分管副主任）审批后实施。

　　业务经办人员根据上月发放基数和当月增减变动情况，编制当月养老金发放计划并签署名送科长审核、主任（分管副主任）审批后转养老待遇支付科。业务经办人员对死亡退休人员的待遇进行初审，签署意见后送科长审核、主任（分管副主任）审批后予以支付。

　　第三章养老保险管理中心数据安全管理制度

　　办理机关事业单位养老、医疗、工伤和生育保险费征缴业务的经办人员，只能办理本险种业务，生活待遇办理其他险种业务。业务经办人员必须严格按照有关规定审核参保单位申报的资料（含苞欲放增、减变动资料），签署审核意见送科长稞后，分别编制养老、医疗、工伤、生育保险征缴计划。完成征缴计划送科长审核报主任（分管副主任）审批后执行。

　　每月末10个工作日内，各险种业务经办人员必须和财务科对口业务经办会计对帐，确认当期基金应收计划（含补收）执行情况和上帐情况，结转欠费记录并向欠费单位催收欠费。上述计划及执行情况均接受稽核的稽核和内部审计，并同时向主任（分管副主任）汇报。

　　养老、医疗保险业务经办人员对转移资料是否齐全、印章和个人基础信息完整进行初审并签注意见后，经科长审核，由经办谷为转入人员建立接续帐户。

　　业务经办人对转移申请提交的资料初核后，送科长复核后办理帐户转出手续。办理基金转出的须主任委员（分管副主任）审批，同时封存个人帐户。

　　养老、医疗保险业务经办人员对死亡参保人的资料的真实合法性和完整性进行初审、复审后，经主任委员（分管副主任委员）审批，同时注销个人帐户。

　　业务经办谷对缴费人员终止缴费前退费填报的申请表和有关材料进行初审，送科长审核报主任（分管副主任）审批，同时注销个人帐户。

　　第四章养老保险待遇审核支付及安全操作管理制度

　　养老保险待遇审核支付实行初审、复审和审批制度。

　　一、正常退休人员审批：参保人员符合正常退休条件时，业务经办人对参保职工提供的退休档案进行初审，送科长（副科长）复审报分管副主任审批。

　　二、离退休（职）人员待遇计算：养老保险待遇支付科业务经办人员按规定录入相关数据计算基本养老待遇，并打印、核对送科长（副科长）复核（同时需经过计算机系统复核通过），分管副主任审批。

　　三、离退休（职）人员待遇调整：由计算机程序管理员按国家调整养老待遇的规定编制程序由计算机系统统一调整，养老待遇业务经办人员核对、科长（副科长）复核后送分管副主任审批。

　　因各种原因需要对离退休（职）人员的基本养老金进行增减变动时，经业务经办人员初审，送科长（副科长）复核报分管副主任审批。

　　养老保险支付科业务经办人员对死亡人员资料审核并计算待遇，送科长（副科长）复核报分管副主任审批。养老待遇支付科业务经办人员对当月发放的支付计划（含代发）进行编制并复核，经科长（副科长）审核报主任、副主任审批。

信息安全管理制度汇编

　　一、总则

　　为了加强公司内所有信息安全的管理，让大家充分运用计算机来提高工作效率，特制定本制度。

　　二、计算机管理要求

　　1、IT管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报给IT管理员，IT管理员（填写《计算机IP地址分配表》）进行备案管理。如有变更，应在变更计算机负责人一周内向IT管理员申请备案。

　　2、公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机（不包括IT管理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由计算机负责人承担。

　　3、计算机设备未经IT管理员批准同意，任何人不得随意拆卸更换；如果计算机出现故障，计算机负责人应及时向IT管理员报告，IT管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。

　　4、日常保养内容：

　　A、计算机表面保持清洁

　　B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性；

　　C、下班不用时，应关闭主机电源。

　　5、计算机IP地址和密码由IT管理员指定发给各部门，不能擅自更换。计算机系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管，不得随意带出公司或个人存放。

　　6、禁止将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。

　　7、计算机的内部调用：

　　A、IT管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移或调换。

　　B、计算机在公司内调用，IT管理员应做好调用记录，《调用记录单》经副总经理签字认可后交IT管理员存档。

　　8、计算机报废：

　　A、计算机报废，由使用部门提出，IT管理员根据计算机的使用、升级情况，组织鉴定，同意报废处理的，报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。

　　B、报废的计算机残件由IT管理员回收，组织人员一次性处理。

　　C、计算机报废的条件：

　　1）主要部件严重损坏，无升级和维修价值；

　　2）修理或改装费用超过或接近同等效能价值的设备。

　　三、环境管理

　　1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。

　　2、应尽量保持计算机周围环境的整洁，不要将影响使用或清洁的用品放在计算机周围。

　　3、服务器机房内应做到干净、整洁、物品摆放整齐；非主管维护人员不得擅自进入。