第一条为了加强财务系统和数据的安全管理,根据《财政部关于全面推进我国会计信息化工作的指导意见》(财会[2009]6号)和《内部会计控制规范-基本规范》(财会[2001]41号)等规定,制定本办法。
第二条加强财务系统和财务数据安全重要性的宣传教育,树立良好的网络信息安全意识,在每个财务工作人员的思想上安装一道“防火墙”,共同维护财务网络的安全。
第三条完善岗位职责分工,积极开展岗前培训。对上岗人员要进行严格培训及考核,确保全部人员遵守操作规程。
第四条财务人员只能按照所授权限和岗位职责对系统进行操作,不得越权操作或操作与本岗位无关的业务。特权操作员进行的一些特权操作,要经过书面授权方能进行。
第五条按照国家标准GB50173-93、GB2887-89、GB9316-88等加强场地设防,做好财务网络的物理安全建设。对计算机网络的中心机房及其延伸点,要有完整的防雷电设施,严格的防电磁干扰设施, 电源要有完整的双回路备份机制。机房内要有防水防火的设施,确保信息处理设备、媒体介质存放安全。
第六条保障财务软件自身安全。加强与网络财务软件开发公司的联系,及时了解软件的动态信息。及时更新软件公司提供的补丁和升级程序,对于在使用软件过程中发现的问题及时记录并反馈给开发公司,便于开发公司生成补丁或升级程序,与之形成良好的互动。
第七条按照“积极预防、及时发现、快速反应、确保恢复”的要求,建立多级备份机制,实施异地备份制度。备份数据要保存在安全可靠的多个存储介质上,使用压缩软件、加密软件对备份数据压缩、加密。定期将必要的备份数据刻录到光盘中,重要的数据制作2个以上拷贝且存放在不同的安全地点,保证数据在损坏后可以及时恢复。
第八条加设防火墙。防火墙是建立在财务处内网和校园网接口处的访问控制系统,它对跨越网络边界的信息进行过滤,目的在于防止外部非法用户访问,为数据传输、转换设置了一道电子屏障。并可以配合使用加密技术、数字签名。
第九条财务系统计算机平时不得与外网连接。必要时,经授权的人员才能完成与外网连接操作,完成任务后及时断开与外网的连接。经常进行漏洞扫描,及时更新操作系统和应用软件的官方补丁。安装优秀的网络杀毒软件进行统一防范。不打开来历不明的电子邮件,禁止在网上下载软件。关闭服务器上不必要的服务端口,防止这些端口被病毒利用进而影响整个系统。
第十条外来的软盘、光盘、U盘等必须经过严格的病毒检测后方可使用。财务人员专用U盘必须格式化后,才能与财务系统计算机连接。
第十一条运用操作系统的本身安全策略、数据库治理系统软件的安全策略、财务会计软件的安全策略,制定合理的数据访问的用户账号、权限设置、密码。提醒用户不使用简单的密码,并定期修改密码,防止泄露账号及密码。
第十二条运用电子信息技术手段建立严格的内部控制系统,减少和消除人为操纵因素。建立严格的软件授权和使用相分离制度,明确网络维护员和软件使用人员的相关责任。确保不相容岗位软件使用的权限分离,以形成相互制衡机制。
第十三条本办法由财务部门负责解释,自公布之日起执行。