还剩55页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全管理办法XXX部门编制20XX年XX月XX日房建设或改造应选择具备国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司重要机房建设或改造工程应引入监理办法第四十四条计算机机房实行分区管理原则核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控第四十五条监控设备的安装应当符合安全保密原则,确保监控的安全规范运作,谨防监控信息的泄密第四十六条农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全第四十七条农商行机房投入使用之前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告未经验收或验收不合格的机房均不得投入使用第四十八条农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡检机房,发现问题及时报告第四十九条机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运转记录等有关资料,并随时提供调阅第五十条农商行加强出入机房人员管理禁止未经批准的外部人员进入机房非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同第五十一条建立机房定期维修保养办法易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点第五十二条向社会提供公众服务的柜面和核心业务处理环境应当严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能第五十三条所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月第二节设备资产管理第五十四条农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任第五十五条农商行科技信息部依据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,谨防未经授权使用设备或信息有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等第五章网络安全管理第一节网络规划建设安全管理第五十六条省联社信息科技部负责网络和网络安全的统一规划、建设安排、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配第五十七条农商行科技信息部按照省联社信息科技部的统一规划和总体安排,组织实施网络建设、改造工程农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试第五十八条农商行的网络建设和改造应当符合如下基本安全要求
(一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全
(二)具备必要的网络监测、跟踪和审计等管理功能
(三)依据信息安全级别,将网络划分为不同的逻辑安全域针对不同的网络安全域,采取必要和有效的安全控制措施第二节网络运转安全管理第五十九条农商行科技信息部建立健全网络安全运转办法,配备网络管理员网络管理员负责日常监测和检查网络安全运转情况,管理网络资源及其配置信息,建立健全网络运转维护档案,及时发现和解决网络不正常情况
(一)负责网络的运转管理,实施网络安全策略和安全运转细贝h
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运转;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督第六十条网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管负责人授权后可采取“先断网、后处理”的紧急应对措施第六十一条农商行科技信息部严格网络接入管理任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源第六十二条农商行科技信息部严格网络变更管理网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管负责人,变更信息应该做好记录实施有可能影响网络正常运转的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备第六十三条农商行严格远程访问控制确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施第六十四条信息安全管理人员经本部门主管负责人批准,有权对本单位或辖内网络进行安全检测、扫描和评估检测、扫描和评估结果属敏感信息,不得向外界提供未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络第六十五条农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用第三节网间互联安全管理第六十六条本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联第六十七条网间互联由省联社信息科技部统一规划,按照相关标准组织实施未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联第六十八条经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制第四节接入国际互联网管理第六十九条邵阳市农村商业银行内部网络与国际互联网实行物理隔离所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网第七十条计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序科技信息部凭相关批准证明实施联网,并认真做好备案曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入第七十一条未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用第七十二条使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动第六章信息系统安全管理第七十三条本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等第一节信息系统规划与立项第七十四条信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求项目技术方案应包括以下基本安全内容
(一)业务需求部门提出的安全需求
(二)安全需求分析和实现
(三)运转平台的安全策略与设计第七十五条信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应当符合下列基本安全要求
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程当中的完整性和安全性,谨防数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地依据系统和数据的备份介质进行灾难恢复;
(三)具备严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应当严格限制和分流特权用户的权限,谨防非法用户的侵入和破坏;
(四)重要信息系统应当设置审计监控程序,具备身份识别和实体认证功能能够自动记录操作人员的重要操作,具备谨防抵赖机制;
(五)涉密信息系统的安全设计应当符合涉密信息保密管理的有关规定第七十六条农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项第二节信息系统开发与集成第七十七条信息系统开发应当符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现第七十八条信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部外部开发单位还应与邵阳市农村商业银行签署相关专业知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开第七十九条信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序第八十条信息系统开发、测试和程序的修改工作不得在生产环境中进行第八十一条涉密信息系统集成应选择具备国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议第三节信息系统上线与运转第八十二条农商行信息系统上线运转实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运转具体要求如下
(一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查
(二)科技信息部应当提出明确的测试方案和测试报告审查意见必要时,可组织专家评审或实施信息系统漏洞扫描检测
(三)信息系统建设牵头业务部门应在信息系统投产运转前同步制定相关安全操作规定,报科技信息部备案第八十三条信息系统投入运转前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书第八十四条科技信息部应当对报送的书面材料进行初步审查委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证第八十五条对信息系统的安全评估应当包括以下内容
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运转的稳定性、可靠性;
(五)系统运转平台的安全可靠性第八十六条安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书第八十七条信息系统运转平台应当符合以下安全管理要求
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准
(二)屏蔽与应用系统无关的所有网络功能,谨防非法用户的侵入
(三)按照网络管理规范及其业务应用范围设置联网设备的IP地址及网络参数
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞第八十八条农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运转管理,监测系统运转日志,掌握系统运转情况,并建立重要信息系统运转维护档案,详细记录系统变更及操作过程重要业务系统的系统设置要求双人在场第八十九条系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程当中,发现安全漏洞应当及时报告计算机安全人员第九十条系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息第九十一条未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限第四节业务操作第九十二条业务部门负责信息系统业务操作用户和权限设定,科技信息部依据-授权进行相关设定操作第九十三条业务操作人员应当严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全一旦发现信息系统运转不正常及时向本部门领导和科技信息部报告第九十四条业务操作人员应当设置本人口令密码,并严格保密,谨防口令密码泄漏严禁向其他任何人泄露本人口令密码第九十五条凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职未经业务部门主管负责人批准,不得代岗、兼岗第九十六条业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,谨防业务数据被复制、修改、删除以及误操作第五节信息系统废止第九十七条实行信息系统废止申报、备案办法使用信息系统的业务部门依据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案第九十八条对已经废止的信息信息安全管理办法第一章总则第一条为了进一步加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运转、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运转风险,杜绝各类事故和案件的发生,依据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法第二条本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工第三条信息系统信息安全工作坚持以预防为主、综合整治管理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运转谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制第四条信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运转环境的安全和信息的安全第五条任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全第二章组织保障系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁第七章客户端安全管理第九十九条本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机PC、便携式计算机、柜员终端、自动柜员机ATM、存折打印机、读卡器、销售终端POS和个人数字助理PDA等第一百条农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略第一百零一条客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件第一百零二条客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序第一百零三条确因工作需要经授权可远程接入内部网络的用户,应当严格保存其身份认证介质及口令密码,不得转借其他人使用第八章信息安全专用产品与服务管理第一节资质审查与选型购置第一百零四条本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务第一百零五条省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购第一百零六条农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案第二节使用管理第一百零七条农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用第一百零八条农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析如发现重大问题,立即采取控制措施并按规定程序报告第一百零九条各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月第一百一十条农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理第一百一十一条防火墙、入侵检测等安全专用产品原则上应在本地配置如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作第九章数据、文档与密码管理第一节数据安全第一百一十二条本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运转日志、故障维护日志以及其他内部资料第一百一十三条农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求第一百一十四条农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段第一百一十五条农商行应该制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理第一百一十六条农商行业务部门应当严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程第一百一十七条农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息日志文件应至少保留一年,妥善保管第一百一十八条农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并依据数据重要性级别分类采取相应的安全销毁措施第一百一十九条所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管第一百二十条农商行应该制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息禁止通过互联网传输客户资料和交易数据信息第二节技术文档第一百二十一条本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运转维护过程当中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等第一百二十二条农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布第三节存储介质第一百二十三条农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限重要信息系统备份介质应当按照规定异地存放第一百二十四条农商行应该做好存储介质在物理传输过程当中的安全控制,应选择可靠的传递方式和防盗控制措施重要信息的存取需要授权和记录第一百二十五条农商行应该制定移动存储设备(U盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用第一百二十六条农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并认真做好记录第四节口令密码第一百二十七条农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码第一百二十八条敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码拆阅后的口令密码使用后应当立即更改并再次密封存放第一百二十九条农商行应当依据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码第五节密码技术应用管理第一百三十条农商行涉密网络和信息系统应当严格按照国家密码政策规定,采用相应的加密措施非涉密网络和信息系统应当依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施第一百三十一条农商行选用的密码产品和加密算法应当符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应当符合湖南省农村信用社的相关安全要求第一百三十二条农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程第一百三十三条农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能第一百三十四条各类密钥应当定期更换,对已泄露或怀疑泄露的密钥应当及时废除,过期密钥应安全归档或定期销毁第十章第三方访问和外包安全管理第一节第三方访问控制第一百三十五条本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动第一百三十六条农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为第一百三十七条允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动第一百三十八条获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息第二节外包安全管理第一百三十九条本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务第一百四十条信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务第一百四十一条经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社第一百四十二条计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息第十一章灾难备份与应急管理第一节灾难备份管理第一百四十三条灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发状况(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程第一百四十四条科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理第一百四十五条农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标RTO)和数据丢失量(恢复点目标RPO)省联社信息科技部据此确定灾难备份等级和备份方案第一百四十六条农商行应建立健全灾难恢复计划,定期开展灾难恢复培训在条件许可的情况下,由省联社信息科技部统一安排,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练第二节应急管理第一百四十七条应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合第一百四十八条在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案第一百四十九条农商行应该制定和不断完善网络、信息系统和机房环境等应急预案预案的编制工作由科技信息部和相关业务部门共同完成第一百五十条应急预案应包括以下基本内容
(一)总则(目标、原则、适用范围、预案调用关系等)
(二)应急组织机构
(三)预警响应机制(报告、评估、预案启动等)
(四)各类危机处置流程
(五)应急资源保障
(六)事后处理流程
(七)预案管理与维护(生效、演练、维护等)第一百五十一条农商行应当定期组织应急预案的演练,并指定专人管理和维护应急预案,依据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性第一百五十二条农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源第一百五十三条农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部第一百五十四条重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管负责人第一百五十五条农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部第一百五十六条农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告第十二章安全检查评估与培训第一节监测检查第一百五十七条农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运转日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运转监测第一百五十八条农商行科技信息部应建立运转监测周报、月度报告或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门第一百五十九条农商行要及时预警、响应和处置运转监测中发现的问题,发现重大隐患和运转事故应当及时协调解决,并报上一级单位相关部门第一百六十条农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式第一百六十一条农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性安全检查完成后应当及时形成检查报告,经本单位主管负责人批准后将检查整改报告尽快送达被检查单位要求限期整改的,需要对相关整改情况进行后续跟踪第一百六十二条农商行参加检查的人员对检查中的涉密信息负有保密责任所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露第一百六十三条农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案第二节评估审计第一百六十四条农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估第一百六十五条安全评估应在不影响信息系统正常运转的情况下进行评估开始前,应该制定评估方案并进行必要的培训评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管负责人第一百六十六条农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行本单位信息安全管理人员全程参与评估过程并实施监督第一百六十七条农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息第一百六十八条农商行定期对重要信息系统进行安全等级保护测评开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全第一百六十九条农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运转管理和信息安全事件全过程的技术审计,发现问题及时报本单位或第六条农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责第七条依据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜第八条农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促第九条农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作第三章人员管理农商行工作人员依据不同的岗位或工作范围,履行相应的信息安全保障职责科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运转各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员第一节信息安全管理人员上一级单位主管负责人第一百七十条农商行应该做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录第三节安全培训第一百七十一条农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平第一百七十二条农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反相关规定的后果第十三章奖励与处罚第一百七十三条农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励第一百七十四条对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管负责人、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任第十四章附则第一百七十五条之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行第一百七十六条本办法由邵阳市农村商业银行负责解释第一章总则第一条为了进一步加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运转、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运转风险,杜绝各类事故和案件的发生,依据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法第二条本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工第三条信息系统信息安全工作坚持以预防为主、综合整治管理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运转谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制第四条信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运转环境的安全和信息的安全第五条任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全第二章组织保障第六条农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责第七条依据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜第八条农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促第九条农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作第三章人员管理农商行工作人员依据不同的岗位或工作范围,履行相应的信息安全保障职责科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运转各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员第一节信息安全管理人员第十条农商行选派政治思想过硬、具备较高计算机水平的人员从事信息安全管理工作凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作第十一条信息安全管理人员应具备从事金融机构计算机工作三年以上经历,具备本科以上学历第十二条信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格之后方可上岗上岗后,每年至少参加一次信息安全专业培训第十三条农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作
(一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施
(三)检测网络和信息系统的安全运转情况,检查运转操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见统计分析和协调处置信息安全事件
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作第十四条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询第十五条信息安全管理人员实行备案管理办法信息安全管理人员的配备和变更情况应当及时报上一级科技信息部备案第十六条信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离第二节部门信息安全员第十七条各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案如有变更应该做好交接工作,并及时通报科技信息部第十八条部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训第十九条部门信息安全员在如下职责范围内开展工作
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况
(二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作第三节技术支持人员第二十条本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运转、维护的内部技术支持人员和外包服务人员第二十一条农商行内部技术支持人员在履行网络和信息系统建设和日常运转维护职责过程当中,应承担如下安全义务
(一)不得对外泄露或引用工作中触及的任何敏感信息严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据
(二)主动检查和监控生产系统安全运转情况,发现安全隐患或故障及时报告本部门主管负责人,并及时响应、处置
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作第二十二条外部技术支持人员应当严格履行外包服务合同(协议)的各项安全承诺提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息第四节业务系统操作人员第二十三条本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员第二十四条业务系统操作人员应承担如下安全义务
(一)严格规程操作,谨防误操作定期修改操作密码并妥善保管,按需、适时进行必要的数据备份
(二)发现业务系统出现不正常及时报告科技信息部
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运转环境参数设置第二十五条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理技术支持人员不得兼任业务系统操作人员第五节一般计算机用户第二十六条本办法所称一般计算机用户是指使用计算机设备的所有人员第二十七条一般计算机用户应承担如下安全义务
(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数
(三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息第六节信息系统要害岗位人员第二十八条本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员第二十九条本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运转的机房和网络等基础设施第三十条要害岗位人员上岗之前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗第三十一条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限第三十二条对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训第三十三条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离第三十四条要害岗位人员离岗后,必须即刻更换操作密码或注销用户第三十五条系统管理员安全责任
(一)负责系统的运转管理,实施系统安全运转细则;
(二)严格用户权限管理,维护系统安全正常运转;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督第三十六条系统开发员安全责任
(一)系统开发建设中,应当严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运转前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密第三十七条系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运转;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程当中,发现安全漏洞应当及时报告计算机安全人员第三十八条各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定第四章机房环境和设备资产管理第一节机房环境安全管理第三十九条本办法所称机房是指信息系统等主要设备放置、运转场所以及供配电、通信、空调、消防、监控等配套环境设施第四十条农商行机房的规划、建设、改造、运转、维护由科技信息部负责第四十一条农商行机房应当符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统
(四)机房应设专用的供电系统,配备必要的UPS和发电机第四十二条机房建设、改造的方案应报上市网络中心备案必要时,由市网络中心会同财务、保卫等部门进行审核第四十三条机房建设或改造应选择具备国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司重要机房建设或改造工程应引入监理办法第四十四条计算机机房实行分区管理原则核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控第四十五条监控设备的安装应当符合安全保密原则,确保监控的安全规范运作,谨防监控信息的泄密第四十六条农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全第四十七条农商行机房投入使用之前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告未经验收或验收不合格的机房均不得投入使用第四十八条农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡检机房,发现问题及时报告第四十九条机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运转记录等有关资料,并随时提供调阅第五十条农商行加强出入机房人员管理禁止未经批准的外部人员进入机房非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同第十条农商行选派政治思想过硬、具备较高计算机水平的人员从事信息安全管理工作凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作第十一条信息安全管理人员应具备从事金融机构计算机工作三年以上经历,具备本科以上学历第十二条信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格之后方可上岗上岗后,每年至少参加一次信息安全专业培训第十三条农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作
(一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施
(三)检测网络和信息系统的安全运转情况,检查运转操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见统计分析和协调处置信息安全事件
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作第十四条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询第十五条信息安全管理人员实行备案管理办法信息安全管理人员的配备和变更情况应当及时报上一级科技信息部备案第十六条信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务涉及农村信用社业务核心技术的计算机安第五十一条建立机房定期维修保养办法易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点第五十二条向社会提供公众服务的柜面和核心业务处理环境应当严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能第五十三条所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月第二节设备资产管理第五十四条农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任第五十五条农商行科技信息部依据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,谨防未经授权使用设备或信息有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等第五章网络安全管理第一节网络规划建设安全管理第五十六条省联社信息科技部负责网络和网络安全的统一规划、建设安排、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配第五十七条农商行科技信息部按照省联社信息科技部的统一规划和总体安排,组织实施网络建设、改造工程农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试第五十八条农商行的网络建设和改造应当符合如下基本安全要求
(一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全
(二)具备必要的网络监测、跟踪和审计等管理功能
(三)依据信息安全级别,将网络划分为不同的逻辑安全域针对不同的网络安全域,采取必要和有效的安全控制措施第二节网络运转安全管理第五十九条农商行科技信息部建立健全网络安全运转办法,配备网络管理员网络管理员负责日常监测和检查网络安全运转情况,管理网络资源及其配置信息,建立健全网络运转维护档案,及时发现和解决网络不正常情况
(一)负责网络的运转管理,实施网络安全策略和安全运转细贝h
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运转;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督第六十条网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管负责人授权后可采取“先断网、后处理”的紧急应对措施第六十一条农商行科技信息部严格网络接入管理任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源第六十二条农商行科技信息部严格网络变更管理网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管负责人,变更信息应该做好记录实施有可能影响网络正常运转的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备第六十三条农商行严格远程访问控制确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施第六十四条信息安全管理人员经本部门主管负责人批准,有权对本单位或辖内网络进行安全检测、扫描和评估检测、扫描和评估结果属敏感信息,不得向外界提供未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络第六十五条农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用第三节网间互联安全管理第六十六条本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联第六十七条网间互联由省联社信息科技部统一规划,按照相关标准组织实施未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联第六十八条经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制第四节接入国际互联网管理第六十九条邵阳市农村商业银行内部网络与国际互联网实行物理隔离所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网第七十条计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序科技信息部凭相关批准证明实施联网,并认真做好备案曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入第七十一条未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用第七十二条使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动第六章信息系统安全管理第七十三条本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等第一节信息系统规划与立项第七十四条信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求项目技术方案应包括以下基本安全内容
(一)业务需求部门提出的安全需求
(二)安全需求分析和实现
(三)运转平台的安全策略与设计第七十五条信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应当符合下列基本安全要求
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程当中的完整性和安全性,谨防数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地依据系统和数据的备份介质进行灾难恢复;
(三)具备严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应当严格限制和分流特权用户的权限,谨防非法用户的侵入和破坏;
(四)重要信息系统应当设置审计监控程序,具备身份识别和实体认证功能能够自动记录操作人员的重要操作,具备谨防抵赖机制;
(五)涉密信息系统的安全设计应当符合涉密信息保密管理的有关规定第七十六条农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项第二节信息系统开发与集成第七十七条信息系统开发应当符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现第七十八条信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部外部开发单位还应与邵阳市农村商业银行签署相关专业知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开第七十九条信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序第八十条信息系统开发、测试和程序的修改工作不得在生产环境中进行第八十一条涉密信息系统集成应选择具备国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议第三节信息系统上线与运转第八十二条农商行信息系统上线运转实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运转具体要求如下
(一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查
(二)科技信息部应当提出明确的测试方案和测试报告审查意见必要时,可组织专家评审或实施信息系统漏洞扫描检测
(三)信息系统建设牵头业务部门应在信息系统投产运转前同步制定相关安全操作规定,报科技信息部备案第八十三条信息系统投入运转前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书第八十四条科技信息部应当对报送的书面材料进行初步审查委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证第八十五条对信息系统的安全评估应当包括以下内容
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运转的稳定性、可靠性;
(五)系统运转平台的安全可靠性第八十六条安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书第八十七条信息系统运转平台应当符合以下安全管理要求
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准
(二)屏蔽与应用系统无关的所有网络功能,谨防非法用户的侵入
(三)按照网络管理规范及其业务应用范围设置联网设备的IP地址及网络参数
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞第八十八条农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运转管理,监测系统运转日志,掌握系统运转情况,并建立重要信息系统运转维护档案,详细记录系统变更及操作过程重要业务系统的系统设置要求双人在场第八十九条系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程当中,发现安全漏洞应当及时报告计算机安全人员第九十条系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息第九十一条未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限第四节业务操作第九十二条业务部门负责信息系统业务操作用户和权限设定,科技信息部依据-授权进行相关设定操作第九十三条业务操作人员应当严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全一旦发现信息系统运转不正常及时向本部门领导和科技信息部报告第九十四条业务操作人员应当设置本人口令密码,并严格保密,谨防口令密码泄漏严禁向其他任何人泄露本人口令密码第九十五条凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职未经业务部门主管负责人批准,不得代岗、兼岗第九十六条业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,谨防业务数据被复制、修改、删除以及误操作第五节信息系统废止第九十七条实行信息系统废止申报、备案办法使用信息系统的业务部门依据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案第九十八条对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁第七章客户端安全管理第九十九条本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机PC、便携式计算机、柜员终端、自动柜员机ATM、存折打印机、读卡器、销售终端POS和个人数字助理PDA等第一百条农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略第一百零一条客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件第一百零二条客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序第一百零三条确因工作需要经授权可远程接入内部网络的用户,应当严格保存其身份认证介质及口令密码,不得转借其他人使用第八章信息安全专用产品与服务管理第一节资质审查与选型购置第一百零四条本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务第一百零五条省联社信息科技部负责信息安全服务提供商的资质审查和信息全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离第二节部门信息安全员第十七条各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案如有变更应该做好交接工作,并及时通报科技信息部第十八条部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训I第十九条部门信息安全员在如下职责范围内开展工作
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况
(二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作第三节技术支持人员第二十条本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运转、维护的内部技术支持人员和外包服务人员第二十一条农商行内部技术支持人员在履行网络和信息系统建设和日常运转维护职责过程当中,应承担如下安全义务
(一)不得对外泄露或引用工作中触及的任何敏感信息严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据
(二)主动检查和监控生产系统安全运转情况,发现安全隐患或故障及时报告本部门主管负责人,并及时响应、处置
(三)严格操作管理、测安全专用产品的选型,农商行在选型范围内按规定选购第一百零六条农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案第二节使用管理第一百零七条农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用第一百零八条农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析如发现重大问题,立即采取控制措施并按规定程序报告第一百零九条各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月第一百一十条农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理第一百一十一条防火墙、入侵检测等安全专用产品原则上应在本地配置如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作第九章数据、文档与密码管理第一节数据安全第一百一十二条本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运转日志、故障维护日志以及其他内部资料第一百一十三条农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求第一百一十四条农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段第一百一十五条农商行应该制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理第一百一十六条农商行业务部门应当严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程第一百一十七条农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息日志文件应至少保留一年,妥善保管第一百一十八条农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并依据数据重要性级别分类采取相应的安全销毁措施第一百一十九条所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管第一百二十条农商行应该制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息禁止通过互联网传输客户资料和交易数据信息第二节技术文档第一百二十一条本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运转维护过程当中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等第一百二十二条农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布第三节存储介质第一百二十三条农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限重要信息系统备份介质应当按照规定异地存放第一百二十四条农商行应该做好存储介质在物理传输过程当中的安全控制,应选择可靠的传递方式和防盗控制措施重要信息的存取需要授权和记录第一百二十五条农商行应该制定移动存储设备(U盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用°禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用第一百二十六条农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并认真做好记录第四节口令密码第一百二十七条农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码第一百二十八条敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码拆阅后的口令密码使用后应当立即更改并再次密封存放第一百二十九条农商行应当依据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码第五节密码技术应用管理第一百三十条农商行涉密网络和信息系统应当严格按照国家密码政策规定,采用相应的加密措施非涉密网络和信息系统应当依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施第一百三十一条农商行选用的密码产品和加密算法应当符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应当符合湖南省农村信用社的相关安全要求第一百三十二条农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程第一百三十三条农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能第一百三十四条各类密钥应当定期更换,对已泄露或怀疑泄露的密钥应当及时废除,过期密钥应安全归档或定期销毁第十章第三方访问和外包安全管理第一节第三方访问控制第一百三十五条本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动第一百三十六条农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为第一百三十七条允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动第一百三十八条获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息第二节外包安全管理第一百三十九条本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务第一百四十条信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务第一百四十一条经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社第一百四十二条计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息第十一章灾难备份与应急管理第一节灾难备份管理第一百四十三条灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发状况(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程第一百四十四条科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理第一百四十五条农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标RTO)和数据丢失量(恢复点目标RP0)o省联社信息科技部据此确定灾难备份等级和备份方案第一百四十六条农商行应建立健全灾难恢复计划,定期开展灾难恢复培训在条件许可的情况下,由省联社信息科技部统一安排,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练第二节应急管理第一百四十七条应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合第一百四十八条在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案第一百四十九条农商行应该制定和不断完善网络、信息系统和机房环境等应急预案预案的编制工作由科技信息部和相关业务部门共同完成第一百五十条应急预案应包括以下基本内容
(一)总则(目标、原则、适用范围、预案调用关系等)
(二)应急组织机构
(三)预警响应机制(报告、评估、预案启动等)
(四)各类危机处置流程
(五)应急资源保障
(六)事后处理流程
(七)预案管理与维护(生效、演练、维护等)第一百五十一条农商行应当定期组织应急预案的演练,并指定专人管理和维护应急预案,依据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性第一百五十二条农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源第一百五十三条农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部第一百五十四条重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管负责人第一百五十五条农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部第一百五十六条农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告第十二章安全检查评估与培训第一节监测检查第一百五十七条农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运转日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运转监测第一百五十八条农商行科技信息部应建立运转监测周报、月度报告或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门第一百五十九条农商行要及时预警、响应和处置运转监测中发现的问题,发现重大隐患和运转事故应当及时协调解决,并报上一级单位相关部门第一百六十条农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式第一百六十一条农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性安全检查完成后应当及时形成检查报告,经本单位主管负责人批准后将检查整改报告尽快送达被检查单位要求限期整改的,需要对相关整改情况进行后续跟踪第一百六十二条农商行参加检查的人员对检查中的涉密信息负有保密责任所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露第一百六十三条农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案第二节评估审计第一百六十四条农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估第一百六十五条安全评估应在不影响信息系统正常运转的情况下进行评估开始前,应该制定评估方案并进行必要的培训评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管负责人第一百六十六条农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行本单位信息安全管理人员全程参与评估过程并实施监督第一百六十七条农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息第一百六十八条农商行定期对重要信息系统进行安全等级保护测评开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全第一百六十九条农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运转管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管负责人第一百七十条农商行应该做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录第三节安全培训第一百七十一条农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平第一百七十二条农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反相关规定的后果第十三章奖励与处罚第一百七十三条农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励第一百七十四条对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管负责人、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任第十四章附则第一百七十五条之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行第一百七十六条本办法由邵阳市农村商业银行负责解释试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作第二十二条外部技术支持人员应当严格履行外包服务合同(协议)的各项安全承诺提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息第四节业务系统操作人员第二十三条本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员第二十四条业务系统操作人员应承担如下安全义务
(一)严格规程操作,谨防误操作定期修改操作密码并妥善保管,按需、适时进行必要的数据备份
(二)发现业务系统出现不正常及时报告科技信息部
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运转环境参数设置第二十五条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理技术支持人员不得兼任业务系统操作人员第五节一般计算机用户第二十六条本办法所称一般计算机用户是指使用计算机设备的所有人员第二十七条一般计算机用户应承担如下安全义务
(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数
(三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息第六节信息系统要害岗位人员第二十八条本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员第二十九条本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运转的机房和网络等基础设施第三十条要害岗位人员上岗之前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗第三十一条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限第三十二条对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训第三十三条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离第三十四条要害岗位人员离岗后,必须即刻更换操作密码或注销用户第三十五条系统管理员安全责任
(一)负责系统的运转管理,实施系统安全运转细则;
(二)严格用户权限管理,维护系统安全正常运转;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督第三十六条系统开发员安全责任
(一)系统开发建设中,应当严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运转前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密第三十七条系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运转;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程当中,发现安全漏洞应当及时报告计算机安全人员第三十八条各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定第四章机房环境和设备资产管理第一节机房环境安全管理第三十九条本办法所称机房是指信息系统等主要设备放置、运转场所以及供配电、通信、空调、消防、监控等配套环境设施第四十条农商行机房的规划、建设、改造、运转、维护由科技信息部负责第四十一条农商行机房应当符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统
(四)机房应设专用的供电系统,配备必要的UPS和发电机第四十二条机房建设、改造的方案应报上市网络中心备案必要时,由市网络中心会同财务、保卫等部门进行审核第四十三条机。