标准出版发行管理办法

作者:法律资料网 时间:2024-06-16 20:19:19   浏览:8320   来源:法律资料网
下载地址: 点击此处下载

标准出版发行管理办法

国家技术监督局


标准出版发行管理办法

1991年11月7日,国家技监局

第一条 为了加强标准的出版发行管理工作,根据《中华人民共和国标准化法》、《中华人民共和国标准化法实施条例》和国家有关出版发行工作的规定,制定本办法。
第二条 本办法中所称的标准,系指国家标准、行业标准和地方标准。上述标准的出版发行,必须遵守本办法。
第三条 标准必须由新闻出版行政管理部门批准的正式出版单位出版。
国务院标准化行政主管部门审批的国家标准由中国标准出版社出版;工程建设、药品、食品卫生、兽药和环境保护国家标准,由国务院工程建设、卫生、农业、环境保护主管部门根据出版管理的有关规定确定出版单位安排出版。
行业标准由国务院有关行政主管部门根据出版管理的有关规定确定出版单位安排出版。
地方标准由省、自治区、直辖市标准化行政主管部门根据出版管理的有关规定确定出版单位安排出版。
第四条 标准的正式说明或解释,由标准的审批部门或其委托的单位组织编写,并由有关的出版单位出版,其他任何单位或个人不得编写和出版。
第五条 根据上级主管部门的授权或同标准审批部门签订的合同,标准的出版单位享有标准的专有出版权。
第六条 标准的审批部门同出版单位签订的标准出版合同,应当符合国家出版管理规定。出版合同包括以下基本内容:
(一)标准的专有出版权;
(二)交稿要求;
(三)出版周期、质量要求;
(四)出版费用;
(五)双方义务与权限;
(六)违约责任。
第七条 出版单位出版标准汇编时,应当事先征得享有专有出版权单位的同意。
各有关部门和单位,因工作需要编印的标准,标准汇编或选编,仅供本单位内部使用,不得对外销售。
第八条 未经审批、发布的标准,其送审稿、报批稿,任何单位不得以公开、内部或其他形式出版发行。
第九条 经审批、发布的标准,其出版稿送交出版单位出版时,需附有标准审批部门的正式批文或发布文。出版稿的内容应当符合GB1《标准化工作导则》及其他有关标准的规定。
第十条 在标准出版的编辑中,如发现有疑点或错误,出版单位应当及时与交稿单位联系处理。当标准技术内容需要更改时,必须经标准的审批部门批准。
第十一条 标准、标准汇编的出版,应当符合GB1.2《标准化工作导则标准出版印刷的规定》和有关图书出版规定。
第十二条 送交出版的稿件,应当符合齐、清、定的要求。
标准出版周期不得超过六个月。
第十三条 标准出版后,有关出版单位应当及时向标准的提出部门和审批部门赠送样本。赠送样本的数量,由标准审批部门同出版单位商定。
第十四条 中国标准出版社每年出版一次截止上年度末已发布的现行国家标准、行业标准目录。该目录的出版,自收稿之日起六个月内完成。
第十五条 标准出版单位在确定标准印数时,除征订数外,还需考虑适当的储备数,以解决各方面对标准的需求。
第十六条 标准的征订、发行,一般通过新华书店进行。
为满足生产、科研单位的需要,弥补新华书店发行之不足,标准的出版单位要按照出版管理规定开展自办发行业务,建立标准的发行网络,扩大发行服务范围。
有关标准的发行办法,应当遵守新闻出版行政管理部门公布的规定。
第十七条 违反本办法第三条、第四条、第七条、第八条规定的,为非法出版物,按国家出版管理的有关规定处理。
第十八条 本办法由国家技术监督局负责解释。有关出版发行管理问题,由国家技术监督局会同国家新闻出版署解释。
第十九条 本办法自发布之日起施行。


下载地址: 点击此处下载

关于印发《保险公司信息系统安全管理指引(试行)》的通知

中国保险监督管理委员会


关于印发《保险公司信息系统安全管理指引(试行)》的通知

保监发〔2011〕68号


各保险公司、保险资产管理公司:

  为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。




                         中国保险监督管理委员会

                          二〇一一年十一月十六日

  保险公司信息系统安全管理指引(试行)

一、总 则 

  第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。

  第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

  第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。

  第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。

  实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。

  第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

  
二、安全管理总体要求  

  第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。

  第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。

  第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。

  第九条各公司应履行以下信息系统安全管理职责:

  (一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。

  (二)组织公司信息系统安全规划与建设工作,制订相关管理规定。

  (三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。

  (四)对信息系统安全事件进行管理、处置和上报。

  (五)组织公司员工信息系统安全教育与培训。

  (六)开展与信息系统安全相关的其他工作。

  第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。

  第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。

  第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。

  第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。

  第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。

  第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。

  第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。

  第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。

  第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。

  第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。

  鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。

  第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。

  第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。

  第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。

  
三、基础设施与网络设备环境  

  第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。

  第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。

  第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。

  第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。

  第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。

  第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。

  第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。

  第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。

  第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。

  第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。

  第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。

  第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。

  第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。  

四、应用系统与数据安全

  第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。

  第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。

  第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。

  第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。

  第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。

  第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。

  第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。

  在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。

  第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。

  第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。

  第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。

  第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。

  与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。

  第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。

  第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。

  第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。

  第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。

  建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。

 
五、信息化工作外包与采购服务  

  第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。

  不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。

  第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。

  第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。

  第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。

  第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。

  第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。

  第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。

  第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。

  
六、附则  

  第五十九条本指引由中国保监会负责解释、修订。

  第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)

  第六十一条本指引自发布之日起实施。

中国人民银行关于发布《城市信用合作社管理暂行规定》的通知

中国人民银行


中国人民银行关于发布《城市信用合作社管理暂行规定》的通知
中国人民银行




中国人民银行各省、自治区、直辖市分行,计划单列城市分行,深圳经济特区分行;各专业银行,中国人民保险公司:
根据《中华人民共和国银行管理暂行条例》的规定,为加强对城市信用合作社的管理,保证其健康发展,以适应有计划商品经济发展的需要,现发布《城市信用合作社管理暂行规定》,请遵照执行。并将有关问题通知如下:
一、本暂行规定发布前建立的城市信用合作社等集体金融组织,由原组建的银行或部门,按照《中华人民共和国银行管理暂行条例》和本规定负责进行整顿,当地人民银行负责组织验收。符合规定的报中国人民银行各省、自治区、直辖市分行或计划单列城市分行批准,发给《经营金融
业务许可证》;经过整顿仍不符合规定的,要撤销其机构。
二、本暂行规定发布前工商银行组建的城市信用合作社,其业务活动仍委托工商银行管理,继续在工商银行开户,并暂向工商银行交存存款准备金。本暂行规定公布之后组建的城市信用社,一律由人民银行领导和管理,并在当地人民银行开户。如果在人民银行开户有困难,也可以在当
地专业银行开户。有关专业银行要在汇兑、结算、现金供应等方面为城市信用合作社提供便利。
三、城市信用合作社交存存款准备金的比例,由中国人民银行各省、自治区、直辖市分行或计划单列城市分行在10—20%之间确定。
四、城市信用合作社与人民银行、专业银行的资金往来,其利率按联行利率规定办理。
五、鉴于全国绝大部分县城都已经设立了农村信用合作社。因此,县城一般不设城市信用合作社,过去已经在县城里设立的城市信用合作社,由人民银行省、自治区、直辖市分行或计划单列城市分行按本通知第一、二条规定精神确定。

附:城市信用合作社管理暂行规定(一九八六年七月十二日)
根据《中华人民共和国银行管理暂行条例》的规定,为加强对城市信用合作社的管理,保证其健康发展,特制定本规定。
一、城市集体金融组织,统一定名为城市信用合作社。它是群众性合作金融组织,必须办成自主经营、独立核算、自负盈亏、民主管理的经济实体。不得办成银行或其他任何部门的附属机构。
二、城市信用合作社是中国人民银行领导下的合作金融组织。中国人民银行各分行对城市信用合作社的业务活动进行领导和管理。
城市信用合作社在当地银行开立存、贷款帐户,并按中国人民银行信贷资金管理办法进行管理。城市信用合作社参加同城票据交换和资金清算。
三、城市信用合作社在大、中城市设立。县和县以下不得设立城市信用合作社。
四、申请建立城市信用合作社必须具备下列条件:
(一)确属经济发展需要,具有相当业务量;
(二)最少具有十万元人民币的自有资金;
(三)有懂得金融业务的合格管理人员;
(四)符合经济核算原则;
(五)具有组织章程;
(六)有固定的经营场所。
五、设立城市信用合作社必须由当地中国人民银行审核,报中国人民银行省、自治区、直辖市分行或计划单列城市分行批准,颁发《经营金融业务许可证》,并凭许可证向当地工商行政管理部门登记注册,领取营业执照。非经中国人民银行批准,不得开业,银行不得予以开户。
城市信用合作社的撤并必须经中国人民银行省、自治区、直辖市分行或计划单列城市分行批准。撤销的,要办理注销手续,在当地中国人民银行和开户银行监督下进行清理,缴回《经营金融业务许可证》;合并的,要重新报经批准,除缴回原《经营金融业务许可证》外,必须领取新的
《经营金融业务许可证》。
六、城市信用合作社可以经营下列业务:
(一)办理城市集体企业和个体工商户的存款、贷款、结算;
(二)办理城市个人储蓄存款业务;
(三)代办保险及其他代收代付业务;
(四)代理发行中国人民银行批准的证券业务;
(五)办理中国人民银行批准的其他业务。
七、城市信用合作社要面向城市集体企业、个体工商户和城市居民(党、政机关干部和公职人员除外)招收股金,作为自有资金。
八、城市信用合作社应依靠自己的股金和吸收的存款开展业务,要编制资金来源与运用的信贷计划,报当地中国人民银行批准。城市信用合作社应在中国人民银行批准的信贷规模内,以存定贷,多存多贷,资金自求平衡。
九、城市信用合作社必须认真贯彻执行国家的金融政策,定期向当地中国人民银行及开户银行报送信贷、现金计划执行情况、会计报表和财务报告,并接受当地中国人民银行或人民银行委托的专业银行的检查、稽核和监督。
十、城市信用合作社的存款利率按国家统一规定的利率执行,贷款利率可参照中国人民银行的贷款利率上下浮动。浮动幅度由当地中国人民银行审核,报中国人民银行省、自治区、直辖市分行批准。
十一、城市信用合作社要向其所在地的中国人民银行分行交存存款准备金,存款准备金由开户银行代收。存款准备金比例由中国人民银行各省、自治区、直辖市分行确定,报中国人民银行总行备案。城市信用合作社资金周转临时有困难时,可以进行资金拆借。拆借利率、期限由借贷双
方协商议定。所在地人民银行也可发放临时贷款给予支持。
十二、城市信用合作社实行民主管理。由股东代表大会选举理事会和监事会。城市信用合作社的主任由股东代表大会民主选举产生。
十三、城市信用合作社在盈余分配上,要正确处理国家、集体、个人三者利益的关系。税后利润的分配:公积金不低于50%,风险基金不低于10%,余下的作为福利基金、奖励基金和股金分红。公积金应主要用于充实信贷基金。股金分红不得超过股金的15%。
城市信用合作社职工的工资、福利待遇,应根据经营状况,比照国家对集体企业职工工资、福利待遇有关规定执行。
十四、城市信用合作社的合法权益和正当经营要受到保护,任何单位和个人都不准挪用和平调其财产、资金,不得收取管理费,不得强令其贷款和投资。
十五、本规定自下达之日起执行。过去各地制定的办法中凡与本规定相抵触的,一律废止。
十六、违反本规定者,中国人民银行应监督纠正,并根据情节轻重,给予必要的制裁。
十七、中国人民银行各省、自治区、直辖市分行、计划单列城市分行可依据本暂行规定,拟订城市信用合作社管理实施细则,并报中国人民银行总行备案。



1986年7月15日