第一章??? 總則
第一條 為加強邵陽市農村商業銀行(以下簡稱農商行)信息系統信息安全、硬件設備、安全運行、故障申報、日常檢查、網絡安全等管理,防范和化解信息系統的運行風險,杜絕各類事故和案件的發生,根據《湖南省農村信用社信息安全管理辦法》、《中華人民共和國信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》、《商業銀行信息科技風險管理指引》等規定,結合我農商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農商行網絡或信息資源的其他外部機構和個人,包括農商行轄內網點所有員工,包括在編合同制員工、經批準在崗的短期合同制員工。
第三條 信息系統信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統系統信息安全管理員,應當保障信息系統及配套設備的安全、運行環境的安全和信息的安全。
第五條 任何個人不得利用信息系統從事危害國家利益和集體利益的活動、不得危害計算機信息系統的安全。
第二章 組織保障
第六條 農商行設立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據省聯社要求,農商行成立由農商行領導和各職能部門主要負責人組成信息安全工作領導小組,領導小組辦公室設農商行科技信息部,負責協調轄內信息安全管理工作,決定轄內信息安全重大事宜。 第八條 農商行科技信息部門設立信息安全崗位,配備專職信息安全管理人員。負責邵陽農商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農商行信息安全管理工作進行指導和檢查督促。
第九條 農商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農商行工作人員根據不同的崗位或工作范圍,履行相應的信息安全保障職責。科技信息部為農商行信息安全保護專職部門,設信息安全管理員、系統維護管理員、技術維護員等崗位負責全轄信息系統安全運行。各部門及支行要設立信息系統安全管理領導小組,設立部門信息安全員。
第一節 信息安全管理人員
第十條 農商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和湖南省農村信用社有關規定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經過省聯社組織的專業培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業培訓。 第十三條 農商行信息安全管理人員在如下職責范圍內開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規定,制定信息安全管理辦法,協調部門計算機安全員工作,監督檢查信息安全保障工作。 (二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。 (三)檢測網絡和信息系統的安全運行狀況,檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見。統計分析和協調處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及農村信用社業務核心技術的計算機安全人員調離單位,必須進行離崗審計,并在規定的脫密期后,方可調離。
第二節 部門信息安全員
第十七條 各部門和各級支行應指派素質好、較熟悉計算機知識的人員擔任部門信息安全員,并報農商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內開展工作: (一)負責本部門計算機病毒防治工作,監督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯網使用和接入安全管理,組織開展本部門信息安全自查,協助科技信息部完成對本部門的信息安全檢查工作。
第三節 技術支持人員
第二十條 本辦法所稱技術支持人員,是指參與邵陽農商行網絡、信息系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。 第二十一條 農商行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中,應承擔如下安全義務: (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經批準不得擅自改變系統設置或修改系統生成的任何業務數據。 (二)主動檢查和監控生產系統安全運行狀況,發現安全隱患或故障及時報告本部門主管領導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數據備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同(協議)的各項安全承諾。提供技術服務期間,嚴格遵守湖南省農村信用社相關安全規定與操作規程,關鍵操作應經授權,并有農商行內部員工在場。不得拷貝或帶走任何配置參數信息或業務數據,不得對外泄露或引用任何工作信息。
第四節 業務系統操作人員
第二十三條 本辦法所稱業務系統操作人員是指直接操作業務系統進行業務處理的業務工作人員。 第二十四條 業務系統操作人員應承擔如下安全義務: (一)嚴格規程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數據備份。 (二)發現業務系統出現異常及時報告科技信息部。 (三)不得在操作終端上安裝與業務系統無關的軟件和硬件,不得擅自修改業務系統及其運行環境參數設置。 第二十五條 業務系統操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業務系統操作人員。
第五節 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務: (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業務處理無關的其他計算機軟件和硬件,不得修改系統和網絡配置參數。 (三)未經科技信息部檢測和授權,不得將接入湖南省農村信用社內部網絡的所用計算機轉接入國際互聯網;不得將便攜式計算機接入湖南省農村信用社內部網絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節 信息系統要害崗位人員
第二十八條 本辦法所稱信息系統要害崗位人員,是指與重要信息系統直接相關的系統管理員、網絡管理員、系統開發人員、系統維護員等內部技術支持人員和重要業務操作等崗位人員。
第二十九條 本辦法所稱重要信息系統是指湖南省農村信用社面向客戶的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第三十條 要害崗位人員上崗前必須經農商行人事部門進行政治素質審查,技術部門進行業務技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權”原則,嚴格設定各用戶的操作權限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及信用社業務保密信息的要害崗位人員調離單位,必須進行離崗審計,在規定的脫密期后,方可調離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統管理員安全責任
(一)負責系統的運行管理,實施系統安全運行細則;
(二)嚴格用戶權限管理,維護系統安全正常運行;
(三)認真記錄系統安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統操作的其他人員予以安全監督。
第三十六條 系統開發員安全責任
(一)系統開發建設中,應嚴格執行系統安全策略,保證系統安全功能的準確實現;
(二)系統投產運行前,應完整移交系統源代碼和相關涉密資料;
(三)不得對系統設置后門;
(四)對系統核心技術保密。
第三十七條 系統維護員安全責任
(一)負責系統維護,及時解除系統故障,確保系統正常運行;
(二)不得擅自改變系統參數配置;
(三)不得安裝與系統無關的其他計算機程序;
(四)維護過程中,發現安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。
第四章 機房環境和設備資產管理
第一節 機房環境安全管理
第三十九條 本辦法所稱機房是指信息系統等主要設備放置、運行場所以及供配電、通信、空調、消防、監控等配套環境設施。 第四十條 農商行機房的規劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農商行機房應符合國家計算機機房有關標準、監管部門有關要求和省聯社有關規定,滿足下列基本安全要求:
(一)機房周圍100米內不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。
(三)機房應安裝門禁系統、防雷系統、監視系統、消防系統、報警系統。
(四)機房應設專用的供電系統,配備必要的UPS和發電機。
第四十二條 機房建設、改造的方案應報上市網絡中心備案。必要時,由市網絡中心會同財務、保衛等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業承包三級以上資質、兩年以上從事計算機機房設計與施工經驗的專業化公司。重要機房建設或改造工程應引入監理辦法。
第四十四條 計算機機房實行分區管理原則。核心區實行24小時連續監控,生產區實行工作時間連續監控,輔助區實施聯動監控。
第四十五條 監控設備的安裝應符合安全保密原則,確保監控的安全規范運作,防止監控信息的泄密。
第四十六條 農商行機房應建立機房設施與場地環境集中監控系統,對機房空調、消防、不間斷電源(UPS)、供配電、門禁系統等重要設施實行全面監控,通過技術和管理手段,確保計算機機房及配套設施安全。 第四十七條 農商行機房投入使用前,應經過當地公安消防部門的消防驗收和本單位科技、保衛部門組織的驗收,并出具明確結論的驗收報告。未經驗收或驗收不合格的機房均不得投入使用。 第四十八條 農商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經過相關專業培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發現問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調閱。
第五十條 農商行加強出入機房人員管理。禁止未經批準的外部人員進入機房。非機房工作人員進出機房須經主管部門領導批準,并辦理登記手續,由專人陪同。
第五十一條 建立機房定期維修保養辦法。易受季節、溫度等環境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養的重點。
第五十二條 向社會提供公眾服務的柜面和核心業務處理環境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監視錄像系統,實行定時錄像監控,并適當配置自動監控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監視錄像系統的信息資料由專人保管,至少保存三個月。
第二節 設備資產管理
第五十四條 農商行科技信息部建立完備的計算機設備登記辦法,嚴格資產管理,明確計算機設備使用者或管理者及其安全責任。 第五十五條 農商行科技信息部根據計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區,必要時,單獨建立門禁與監控系統,或配備防電磁泄露的屏蔽裝置等。
第五章 網絡安全管理
第一節 網絡規劃建設安全管理
第五十六條 省聯社信息科技部負責網絡和網絡安全的統一規劃、建設部署、策略配置和網絡資源(網絡設備、通訊線路、IP地址和域名等)分配。 第五十七條 農商行科技信息部按照省聯社信息科技部的統一規劃和總體部署,組織實施網絡建設、改造工程。農商行局域網的建設與改造方案應報上一級科技信息部審核、備案,投產前應通過本單位組織的安全測試。 第五十八條 農商行的網絡建設和改造應符合如下基本安全要求: (一)符合湖南省農村信用社網絡安全管理要求,使用內容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數據加密等技術手段,有效降低外部攻擊、信息泄漏等風險,保障網絡傳輸與應用安全。 (二)具備必要的網絡監測、跟蹤和審計等管理功能。 (三)根據信息安全級別,將網絡劃分為不同的邏輯安全域。針對不同的網絡安全域,采取必要和有效的安全控制措施。
第二節 網絡運行安全管理
第五十九條 農商行科技信息部建立健全網絡安全運行辦法,配備網絡管理員。網絡管理員負責日常監測和檢查網絡安全運行狀況,管理網絡資源及其配置信息,建立健全網絡運行維護檔案,及時發現和解決網絡異常情況。
(一)負責網絡的運行管理,實施網絡安全策略和安全運行細則;
(二)安全配置網絡參數,嚴格控制網絡用戶訪問權限,維護網絡安全正常運行;
(三)監控網絡關鍵設備、網絡端口、網絡物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網絡管理功能的其他人員進行安全監督。
第六十條 網絡管理員定期參加網絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能,緊急情況下,經本部門主管領導授權后可采取“先斷網、后處理”的緊急應對措施。
第六十一條 農商行科技信息部嚴格網絡接入管理。任何設備接入網絡前,接入方案、設備的安全性等應經過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網絡資源。 第六十二條 農商行科技信息部嚴格網絡變更管理。網絡管理員在調整網絡重要參數配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網絡正常運行的重大網絡變更,應提前通知所有使用部門并安排在節假日進行,同時做好配置參數的備份和應急恢復準備。 第六十三條 農商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經本部門主管領導批準,有權對本單位或轄內網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外界提供。未經省聯社信息科技部授權,任何外部單位與人員不得檢測、掃描湖南省農村信用社內部網絡。 第六十五條 農商行應以不影響業務的正常網絡傳輸為原則,合理控制多媒體網絡應用規模和范圍。未經省聯社信息科技部批準,不得在湖南省農村信用社內部網絡上提供跨轄區視頻點播等嚴重占用網絡資源的多媒體網絡應用。
第三節 網間互聯安全管理
第六十六條 本辦法所稱網間互聯是指為滿足邵陽市農村商業銀行與其他外部機構信息交換或信息共享需求實施的機構間網絡互聯。 第六十七條 網間互聯由省聯社信息科技部統一規劃,按照相關標準組織實施。未經省聯社信息科技部核準,任何單位不得自行與外部機構實施網間互聯。
第六十八條 經批準與其他業務相關機構進行網絡連接,應采用必要的技術隔離保護措施,對聯網使用的用戶必須采用一人一帳戶的訪問控制。
第四節 接入國際互聯網管理
第六十九條 邵陽市農村商業銀行內部網絡與國際互聯網實行物理隔離。所有接入邵陽市農村商業銀行內部網絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯網。 第七十條 計算機接入國際互聯網應通過本單位保密主管部門批準,并確保安裝有湖南省農村信用社選定的防病毒軟件和最新補丁程序。科技信息部憑相關批準證明實施聯網,并做好備案。曾接入邵陽市農村商業銀行內部網絡的計算機需改接入國際互聯網前應重新辦理以上審批手續,科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經科技信息部安全檢測,曾接入國際互聯網的計算機不得直接接入湖南省農村信用社內部網絡。從國際互聯網下載的任何信息,未經病毒檢測不得在內部網絡上使用。 第七十二條 使用國際互聯網的所有用戶應遵守國家有關法律法規和湖南省農村信用社相關管理規定,不得從事任何違法違規活動。
第六章 信息系統安全管理
第七十三條 本辦法所指的信息系統是邵陽市農村商業銀行業務處理系統、管理信息系統和日常辦公自動化系統等,包括數據庫、軟件和硬件支撐環境等。
第一節 信息系統規劃與立項
第七十四條 信息系統建設項目應在規劃與立項階段同步考慮安全問題,建設方案應滿足邵陽市農村商業銀行信息安全保障總體規劃的相關要求。項目技術方案應包括以下基本安全內容: (一)業務需求部門提出的安全需求。 (二)安全需求分析和實現。 (三)運行平臺的安全策略與設計。
第七十五條 信息系統應采取與業務安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術手段,建立嚴密的安全管理控制機制,保證數據信息在處理、存儲和傳輸過程中的完整性和安全性,防止數據信息被非法使用、修改和復制;
(二)提供完整的數據備份和恢復功能,能方便地根據系統和數據的備份介質進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權,特別應嚴格限制和分流特權用戶的權限,防止非法用戶的侵入和破壞;
(四)重要信息系統應設置審計監控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統的安全設計應符合涉密信息保密管理的有關規定。
第七十六條 農商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節 信息系統開發與集成
第七十七條 信息系統開發應符合軟件工程規范,依據安全需求進行安全設計,保證安全功能的完整、準確實現。
第七十八條 信息系統開發單位應在完成開發任務后將程序源代碼及其相關技術文檔全部移交邵陽市農村商業銀行科技信息部。外部開發單位還應與邵陽市農村商業銀行簽署相關知識產權保護協議和保密協議,不得將信息系統采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統的開發人員不能兼任信息系統管理員或業務系統操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統開發、測試和程序的修改工作不得在生產環境中進行。 第八十一條 涉密信息系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業,并簽訂嚴格的保密協議。
第三節 信息系統上線與運行
第八十二條 農商行信息系統上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統不得投產運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或實施信息系統漏洞掃描檢測。
(三)信息系統建設牽頭業務部門應在信息系統投產運行前同步制定相關安全操作規定,報科技信息部備案。
第八十三條 信息系統投入運行前,應向省聯社科技部和市網絡中心提出安全評估和審批申請,并報送下列材料:
(一)系統的用途、總體結構及軟硬件配置等基本情況;
(二)關于系統安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明;
(三)系統安全性測試提綱和測試報告;
(四)信息系統安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業務和技術專家組成的安全評估委員會或安全評估專家組,對信息系統進行安全性測試、認證。
第八十五條 對信息系統的安全評估應當包括以下內容:
(一)系統的安全策略;
(二)系統安全措施;
(三)系統安全功能的實現程度;
(四)系統運行的穩定性、可靠性;
(五)系統運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統提出安全評估報告,并出具信息系統安全評估和審批報告書。
第八十七條 信息系統運行平臺應符合以下安全管理要求:
(一)合理配置操作系統、數據庫管理系統所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統無關的所有網絡功能,防止非法用戶的侵入。
(三)按照網絡管理規范及其業務應用范圍設置聯網設備的IP地址及網絡參數。
(四)及時安裝正式發布的系統補丁,修補系統存在的安全漏洞。
第八十八條 農商行科技信息部明確系統管理員(系統維護員),具體負責信息系統的日常運行管理,監測系統運行日志,掌握系統運行狀況,并建立重要信息系統運行維護檔案,詳細記錄系統變更及操作過程。重要業務系統的系統設置要求雙人在場。
第八十九條 系統管理員不得兼任業務操作人員,不得安裝與系統無關的其他計算機程序;維護過程中,發現安全漏洞應及時報告計算機安全人員。
第九十條 系統管理員確需對業務系統進行維護性操作的,應征得業務部門同意并在業務操作人員在場的情況下進行,并詳細記錄維護內容、人員、時間等信息。
第九十一條 未經業務主管部門領導書面批準,其他任何人不得擅自使用業務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業務數據,不得擅自改變用戶權限。
第四節 業務操作
第九十二條 業務部門負責信息系統業務操作用戶和權限設定,科技信息部根據-授權進行相關設定操作。 第九十三條 業務操作人員應嚴格按照安全操作規程進行業務操作和必要的數據備份,并配合科技信息部保障信息安全。一旦發現信息系統運行異常及時向本部門領導和科技信息部報告。 第九十四條 業務操作人員應設置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執行錄入、復核辦法的信息系統,業務操作人員不得一人兼錄入、復核兩職。未經業務部門主管領導批準,不得代崗、兼崗。 第九十六條 業務操作人員離開操作用機時,應按序退出信息系統,回到操作系統初始狀態,防止業務數據被復制、修改、刪除以及誤操作。
第五節 信息系統廢止
第九十七條 實行信息系統廢止申報、備案辦法。使用信息系統的業務部門根據需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經廢止的信息系統軟件和數據備份介質,科技信息部按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農村商業銀行計算機用戶、網絡與信息系統所使用的終端設備,包括臺式個人計算機(PC)、便攜式計算機、柜員終端、自動柜員機(ATM)、存折打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)等。 第一百條 農商行應建立完善的客戶端管理辦法,記錄所有客戶端設備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經授權可遠程接入內部網絡的用戶,應嚴格保存其身份認證介質及口令密碼,不得轉借其他人使用。
第八章 信息安全專用產品與服務管理
第一節 資質審查與選型購置
第一百零四條 本辦法所稱信息安全專用產品,是指邵陽市農村商業銀行安裝使用的專用安全軟件、硬件產品。本辦法所稱信息安全服務,是指邵陽市農村商業銀行向社會購買的專業化安全服務。 第一百零五條 省聯社信息科技部負責信息安全服務提供商的資質審查和信息安全專用產品的選型,農商行在選型范圍內按規定選購。 第一百零六條 農商行購置掃描、檢測類信息安全專用產品應報省聯社信息科技部批準,省聯社信息科技部應進行登記備案。
第二節 使用管理
第一百零七條 農商行科技信息部建立信息安全專用產品登記使用辦法,建立信息安全類固定資產使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產品僅限于本單位信息安全管理人員使用。 第一百零八條 農商行科技信息部隨時檢查各類信息安全專用產品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發現重大問題,立即采取控制措施并按規定程序報告。 第一百零九條 各類信息安全專用產品在使用中產生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。 第一百一十條 農商行科技信息部及時升級維護信息安全專用產品,凡因超過使用期限的或不能繼續使用的信息安全專用產品,按照固定資產報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經科技信息部授權在可信網絡內并采取了必要的安全控制措施后進行操作。
第九章 數據、文檔與密碼管理
第一節 數據安全
第一百一十二條 本辦法中所稱的數據是指以電子形式存儲的邵陽市農村商業銀行業務數據、客戶信息、系統運行日志、故障維護日志以及其他內部資料。
第一百一十三條? 農商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調用、保管、運輸等方面的工作流程和管理要求。 第一百一十四條 農商行業務部門負責提出數據在輸入、處理、輸出等不同狀態下的安全需求,科技信息部負責審核安全需求并提供一定的技術實現手段。
第一百一十五條 農商行應制定數據管理辦法和數據處理的流程和審批手續,加強數據的保密管理。 第一百一十六條 農商行業務部門應嚴格管理業務數據的增加、修改、刪除等變更操作,適時進行業務數據有效性檢查,按照既定備份策略執行數據備份任務,并定期測試備份數據的有效性和預演數據恢復流程。 第一百一十七條 農商行科技信息部系統管理員(網絡管理員)負責定期導出重要信息系統和網絡日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農商行業務部門應明確規定備份數據的保存時限和密級,建立備份數據調閱、銷毀審批登記辦法,并根據數據重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的,應把口令密碼密封后與數據備份介質一并妥善保管。
第一百二十條 農商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業務信息。禁止通過互聯網傳輸客戶資料和交易數據信息。
第二節 技術文檔
第一百二十一條 本辦法所稱技術文檔是邵陽市農村商業銀行網絡、信息系統和機房環境等建設與運行維護過程中形成的各種紙質技術資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統與網絡設計文檔、參數配置文檔、軟件開發文檔及其源程序等。 第一百二十二條 農商行科技信息部負責將技術文檔統一歸檔,嚴格管理,并實行借閱登記辦法。未經科技信息部領導批準,任何人不得將技術文檔轉借、復制和對外公布。
第三節 存儲介質
第一百二十三條 農商行應建立健全磁帶、光盤、移動存儲介質、已打印文檔等存儲介質管理流程。已存儲信息的存儲介質應保存在安全的物理環境中并有明晰的標識,統一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統備份介質應按規定異地存放。 第一百二十四條 農商行應做好存儲介質在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農商行應制定移動存儲設備(U盤、移動硬盤等)管理辦法,加強移動存儲設備在生產環境中的管理和使用。禁止內網移動存儲設備在外網使用,禁止外網移動存儲設備在內網系統中使用。 第一百二十六條 農商行應建立存儲介質銷毀辦法,對載有敏感信息的存儲介質應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節 口令密碼
第一百二十七條 農商行信息系統要害崗位人員均須設置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求,不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統和設備的口令密碼設置應在安全的環境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經主管部門領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農商行應根據實際情況在一定時限內妥善保存重要信息系統升級改造前的口令密碼。
第五節 密碼技術應用管理
第一百三十條 農商行涉密網絡和信息系統應嚴格按照國家密碼政策規定,采用相應的加密措施。非涉密網絡和信息系統應依據湖南省農村信用社實際需求和統一安全策略,合理選擇加密措施。 第一百三十一條 農商行選用的密碼產品和加密算法應符合國家相關密碼管理政策規定,密碼產品自身的物理和邏輯安全性應符合湖南省農村信用社的相關安全要求。 第一百三十二條 農商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規范管理密鑰產生、存儲、分發、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農商行應在安全環境中進行關鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農村商業銀行之外的單位和個人物理訪問邵陽市農村商業銀行計算機房或者通過網絡連接邏輯訪問邵陽市農村商業銀行數據庫和信息系統等活動。 第一百三十六條 農商行保密工作委員會負責涉密信息系統和網絡相關的第三方訪問授權審批,農商行科技信息部負責非涉密信息系統和網絡相關的第三方訪問授權審批。未經邵陽市農村商業銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農村商業銀行信息系統和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農村信用社簽訂安全保密協議,不得進行未授權的修改、增加、刪除數據操作,不得復制和泄露湖南省農村信用社任何信息。
第二節 外包安全管理
第一百三十九條 本辦法所稱外包服務是指由邵陽市農村商業銀行之外的其他社會廠商為邵陽市農村商業銀行信息系統、網絡或桌面環境提供全面或部分的開發、維護技術支持、咨詢等服務。
第一百四十條 信息科技外包服務應按照《湖南省農村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協議,協議應明確約定外包服務商的安全義務。
第一百四十一條 經本單位科技信息部領導批準,外包服務提供商可提供上門維護服務并由邵陽市農村商業銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或將涉密介質帶離湖南省農村信用社。 第一百四十二條 計算機設備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 災難備份與應急管理
第一節 災難備份管理
第一百四十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業務數據和信息系統在地震、水災、火災、戰爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件(以下稱“災難”)發生后在規定的時間內可以恢復和繼續運營的有序管理過程。 第一百四十四條 科技信息部按照“統籌安排、資源共享、平戰結合”的原則,負責邵陽市農村商業銀行重要信息系統災難備份的統一規劃、實施和管理。 第一百四十五條 農商行相關業務部門負責提出業務系統災難備份需求,明確可容忍的業務中斷時間(恢復時間目標RTO)和數據丟失量(恢復點目標RPO)。省聯社信息科技部據此確定災難備份等級和備份方案。 第一百四十六條 農商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯社信息科技部統一部署,重要信息系統至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統災難恢復演練。
第二節 應急管理
第一百四十七條 應急預案是針對可能發生的意外事件并可能導致業務差錯和停頓,甚至系統混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統推廣應用方案中應同時設計應急備份策略,同步實施備份方案。 第一百四十九條 農商行應制定和不斷完善網絡、信息系統和機房環境等應急預案。預案的編制工作由科技信息部和相關業務部門共同完成。 第一百五十條 應急預案應包括以下基本內容: (一)總則(目標、原則、適用范圍、預案調用關系等)。 (二)應急組織機構。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發生時的可獲取性。 第一百五十二條 農商行信息安全工作領導小組統一負責各業務系統的應急協調與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調動應急資源。 第一百五十三條 農商行應按照湖南省農村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯社信息科技部。
第一百五十四條 重大信息安全事件發生后,農商行相關人員應注意保護事件現場,采取必要的控制措施,調查事件原因,并及時報告本單位主管領導。
第一百五十五條 農商行應在重大信息安全事件發生后的兩小時內按規定程序報上一級科技信息部。 ??? 第一百五十六條 農商行辦公室負責統一向社會發布應急事件公告,其他任何單位或個人不得向社會發布應急事件公告。
第十二章 安全檢查評估與培訓
第一節 監測檢查
第一百五十七條 農商行科技信息部應整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要信息系統和機房環境等設施的安全運行監測。 第一百五十八條 農商行科技信息部應建立運行監測周報、月報或季報辦法,報送本單位信息安全工作領導小組和上一級科技信息部,抄送相關業務部門。 第一百五十九條 農商行要及時預警、響應和處置運行監測中發現的問題,發現重大隱患和運行事故應及時協調解決,并報上一級單位相關部門。
第一百六十條 農商行科技信息部應至少每年組織一次本單位或轄內的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農商行在開展安全檢查前應以安全管理辦法為依據制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規范性。安全檢查完成后應及時形成檢查報告,經本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續跟蹤。 第一百六十二條 農商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農村信用社內部材料妥善保管,不得向外界泄露。 第一百六十三條 農商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節 評估審計
第一百六十四條 農商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內重要信息系統的安全評估。
第一百六十五條 安全評估應在不影響信息系統正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農商行如聘請第三方機構進行安全評估,報省聯社信息科技部批準,并與第三方評估機構簽訂安全保密協議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監督。 第一百六十七條 農商行妥善保管信息安全評估報告,未經授權不得對外透露評估信息。
第一百六十八條 農商行定期對重要信息系統進行安全等級保護測評。開展等保測評工作應遵循《金融行業信息系統信息安全等級保護測評指南》和《金融行業信息安全等級保護測評服務安全指引》的有關規定,確保測評有效和測評安全。
第一百六十九條 農商行科技信息部在支持與配合內審部門開展信息安全工作審計的同時,應適時開展本單位和轄內的信息系統日常運行管理和信息安全事件全過程的技術審計,發現問題及時報本單位或上一級單位主管領導。 第一百七十條 農商行應做好操作系統、數據庫管理系統等審計功能配置管理,并完整保留相關日志記錄。
第三節 安全培訓
第一百七十一條 農商行應至少每年對信息安全管理人員進行一次專業培訓,不斷提高信息安全管理人員專業技能和管理水平。
第一百七十二條 農商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內的信息保護流程及違反規定的后果。
第十三章 獎勵與處罰
第一百七十三條 農商行將本單位和轄內信息安全管理工作納入年度考評,對表現突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節嚴重的,依據相關法律法規,追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發布的其他信息安全管理辦法有關規定條款如與本辦法不一致的,按本辦法執行。
第一百七十六條 本辦法由邵陽市農村商業銀行負責解釋。
?
第一章??? 總則
第一條 為加強邵陽市農村商業銀行(以下簡稱農商行)信息系統信息安全、硬件設備、安全運行、故障申報、日常檢查、網絡安全等管理,防范和化解信息系統的運行風險,杜絕各類事故和案件的發生,根據《湖南省農村信用社信息安全管理辦法》、《中華人民共和國信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》、《商業銀行信息科技風險管理指引》等規定,結合我農商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農商行網絡或信息資源的其他外部機構和個人,包括農商行轄內網點所有員工,包括在編合同制員工、經批準在崗的短期合同制員工。
第三條 信息系統信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統系統信息安全管理員,應當保障信息系統及配套設備的安全、運行環境的安全和信息的安全。
第五條 任何個人不得利用信息系統從事危害國家利益和集體利益的活動、不得危害計算機信息系統的安全。
第二章 組織保障
第六條 農商行設立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據省聯社要求,農商行成立由農商行領導和各職能部門主要負責人組成信息安全工作領導小組,領導小組辦公室設農商行科技信息部,負責協調轄內信息安全管理工作,決定轄內信息安全重大事宜。 第八條 農商行科技信息部門設立信息安全崗位,配備專職信息安全管理人員。負責邵陽農商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農商行信息安全管理工作進行指導和檢查督促。
第九條 農商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農商行工作人員根據不同的崗位或工作范圍,履行相應的信息安全保障職責。科技信息部為農商行信息安全保護專職部門,設信息安全管理員、系統維護管理員、技術維護員等崗位負責全轄信息系統安全運行。各部門及支行要設立信息系統安全管理領導小組,設立部門信息安全員。
第一節 信息安全管理人員
第十條 農商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和湖南省農村信用社有關規定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經過省聯社組織的專業培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業培訓。 第十三條 農商行信息安全管理人員在如下職責范圍內開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規定,制定信息安全管理辦法,協調部門計算機安全員工作,監督檢查信息安全保障工作。 (二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。 (三)檢測網絡和信息系統的安全運行狀況,檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見。統計分析和協調處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及農村信用社業務核心技術的計算機安全人員調離單位,必須進行離崗審計,并在規定的脫密期后,方可調離。
第二節 部門信息安全員
第十七條 各部門和各級支行應指派素質好、較熟悉計算機知識的人員擔任部門信息安全員,并報農商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內開展工作: (一)負責本部門計算機病毒防治工作,監督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯網使用和接入安全管理,組織開展本部門信息安全自查,協助科技信息部完成對本部門的信息安全檢查工作。
第三節 技術支持人員
第二十條 本辦法所稱技術支持人員,是指參與邵陽農商行網絡、信息系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。 第二十一條 農商行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中,應承擔如下安全義務: (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經批準不得擅自改變系統設置或修改系統生成的任何業務數據。 (二)主動檢查和監控生產系統安全運行狀況,發現安全隱患或故障及時報告本部門主管領導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數據備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同(協議)的各項安全承諾。提供技術服務期間,嚴格遵守湖南省農村信用社相關安全規定與操作規程,關鍵操作應經授權,并有農商行內部員工在場。不得拷貝或帶走任何配置參數信息或業務數據,不得對外泄露或引用任何工作信息。
第四節 業務系統操作人員
第二十三條 本辦法所稱業務系統操作人員是指直接操作業務系統進行業務處理的業務工作人員。 第二十四條 業務系統操作人員應承擔如下安全義務: (一)嚴格規程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數據備份。 (二)發現業務系統出現異常及時報告科技信息部。 (三)不得在操作終端上安裝與業務系統無關的軟件和硬件,不得擅自修改業務系統及其運行環境參數設置。 第二十五條 業務系統操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業務系統操作人員。
第五節 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務: (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業務處理無關的其他計算機軟件和硬件,不得修改系統和網絡配置參數。 (三)未經科技信息部檢測和授權,不得將接入湖南省農村信用社內部網絡的所用計算機轉接入國際互聯網;不得將便攜式計算機接入湖南省農村信用社內部網絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節 信息系統要害崗位人員
第二十八條 本辦法所稱信息系統要害崗位人員,是指與重要信息系統直接相關的系統管理員、網絡管理員、系統開發人員、系統維護員等內部技術支持人員和重要業務操作等崗位人員。
第二十九條 本辦法所稱重要信息系統是指湖南省農村信用社面向客戶的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第三十條 要害崗位人員上崗前必須經農商行人事部門進行政治素質審查,技術部門進行業務技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權”原則,嚴格設定各用戶的操作權限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及信用社業務保密信息的要害崗位人員調離單位,必須進行離崗審計,在規定的脫密期后,方可調離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統管理員安全責任
(一)負責系統的運行管理,實施系統安全運行細則;
(二)嚴格用戶權限管理,維護系統安全正常運行;
(三)認真記錄系統安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統操作的其他人員予以安全監督。
第三十六條 系統開發員安全責任
(一)系統開發建設中,應嚴格執行系統安全策略,保證系統安全功能的準確實現;
(二)系統投產運行前,應完整移交系統源代碼和相關涉密資料;
(三)不得對系統設置后門;
(四)對系統核心技術保密。
第三十七條 系統維護員安全責任
(一)負責系統維護,及時解除系統故障,確保系統正常運行;
(二)不得擅自改變系統參數配置;
(三)不得安裝與系統無關的其他計算機程序;
(四)維護過程中,發現安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。
第四章 機房環境和設備資產管理
第一節 機房環境安全管理
第三十九條 本辦法所稱機房是指信息系統等主要設備放置、運行場所以及供配電、通信、空調、消防、監控等配套環境設施。 第四十條 農商行機房的規劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農商行機房應符合國家計算機機房有關標準、監管部門有關要求和省聯社有關規定,滿足下列基本安全要求:
(一)機房周圍100米內不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。
(三)機房應安裝門禁系統、防雷系統、監視系統、消防系統、報警系統。
(四)機房應設專用的供電系統,配備必要的UPS和發電機。
第四十二條 機房建設、改造的方案應報上市網絡中心備案。必要時,由市網絡中心會同財務、保衛等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業承包三級以上資質、兩年以上從事計算機機房設計與施工經驗的專業化公司。重要機房建設或改造工程應引入監理辦法。
第四十四條 計算機機房實行分區管理原則。核心區實行24小時連續監控,生產區實行工作時間連續監控,輔助區實施聯動監控。
第四十五條 監控設備的安裝應符合安全保密原則,確保監控的安全規范運作,防止監控信息的泄密。
第四十六條 農商行機房應建立機房設施與場地環境集中監控系統,對機房空調、消防、不間斷電源(UPS)、供配電、門禁系統等重要設施實行全面監控,通過技術和管理手段,確保計算機機房及配套設施安全。 第四十七條 農商行機房投入使用前,應經過當地公安消防部門的消防驗收和本單位科技、保衛部門組織的驗收,并出具明確結論的驗收報告。未經驗收或驗收不合格的機房均不得投入使用。 第四十八條 農商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經過相關專業培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發現問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調閱。
第五十條 農商行加強出入機房人員管理。禁止未經批準的外部人員進入機房。非機房工作人員進出機房須經主管部門領導批準,并辦理登記手續,由專人陪同。
第五十一條 建立機房定期維修保養辦法。易受季節、溫度等環境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養的重點。
第五十二條 向社會提供公眾服務的柜面和核心業務處理環境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監視錄像系統,實行定時錄像監控,并適當配置自動監控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監視錄像系統的信息資料由專人保管,至少保存三個月。
第二節 設備資產管理
第五十四條 農商行科技信息部建立完備的計算機設備登記辦法,嚴格資產管理,明確計算機設備使用者或管理者及其安全責任。 第五十五條 農商行科技信息部根據計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區,必要時,單獨建立門禁與監控系統,或配備防電磁泄露的屏蔽裝置等。
第五章 網絡安全管理
第一節 網絡規劃建設安全管理
第五十六條 省聯社信息科技部負責網絡和網絡安全的統一規劃、建設部署、策略配置和網絡資源(網絡設備、通訊線路、IP地址和域名等)分配。 第五十七條 農商行科技信息部按照省聯社信息科技部的統一規劃和總體部署,組織實施網絡建設、改造工程。農商行局域網的建設與改造方案應報上一級科技信息部審核、備案,投產前應通過本單位組織的安全測試。 第五十八條 農商行的網絡建設和改造應符合如下基本安全要求: (一)符合湖南省農村信用社網絡安全管理要求,使用內容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數據加密等技術手段,有效降低外部攻擊、信息泄漏等風險,保障網絡傳輸與應用安全。 (二)具備必要的網絡監測、跟蹤和審計等管理功能。 (三)根據信息安全級別,將網絡劃分為不同的邏輯安全域。針對不同的網絡安全域,采取必要和有效的安全控制措施。
第二節 網絡運行安全管理
第五十九條 農商行科技信息部建立健全網絡安全運行辦法,配備網絡管理員。網絡管理員負責日常監測和檢查網絡安全運行狀況,管理網絡資源及其配置信息,建立健全網絡運行維護檔案,及時發現和解決網絡異常情況。
(一)負責網絡的運行管理,實施網絡安全策略和安全運行細則;
(二)安全配置網絡參數,嚴格控制網絡用戶訪問權限,維護網絡安全正常運行;
(三)監控網絡關鍵設備、網絡端口、網絡物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網絡管理功能的其他人員進行安全監督。
第六十條 網絡管理員定期參加網絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能,緊急情況下,經本部門主管領導授權后可采取“先斷網、后處理”的緊急應對措施。
第六十一條 農商行科技信息部嚴格網絡接入管理。任何設備接入網絡前,接入方案、設備的安全性等應經過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網絡資源。 第六十二條 農商行科技信息部嚴格網絡變更管理。網絡管理員在調整網絡重要參數配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網絡正常運行的重大網絡變更,應提前通知所有使用部門并安排在節假日進行,同時做好配置參數的備份和應急恢復準備。 第六十三條 農商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經本部門主管領導批準,有權對本單位或轄內網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外界提供。未經省聯社信息科技部授權,任何外部單位與人員不得檢測、掃描湖南省農村信用社內部網絡。 第六十五條 農商行應以不影響業務的正常網絡傳輸為原則,合理控制多媒體網絡應用規模和范圍。未經省聯社信息科技部批準,不得在湖南省農村信用社內部網絡上提供跨轄區視頻點播等嚴重占用網絡資源的多媒體網絡應用。
第三節 網間互聯安全管理
第六十六條 本辦法所稱網間互聯是指為滿足邵陽市農村商業銀行與其他外部機構信息交換或信息共享需求實施的機構間網絡互聯。 第六十七條 網間互聯由省聯社信息科技部統一規劃,按照相關標準組織實施。未經省聯社信息科技部核準,任何單位不得自行與外部機構實施網間互聯。
第六十八條 經批準與其他業務相關機構進行網絡連接,應采用必要的技術隔離保護措施,對聯網使用的用戶必須采用一人一帳戶的訪問控制。
第四節 接入國際互聯網管理
第六十九條 邵陽市農村商業銀行內部網絡與國際互聯網實行物理隔離。所有接入邵陽市農村商業銀行內部網絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯網。 第七十條 計算機接入國際互聯網應通過本單位保密主管部門批準,并確保安裝有湖南省農村信用社選定的防病毒軟件和最新補丁程序。科技信息部憑相關批準證明實施聯網,并做好備案。曾接入邵陽市農村商業銀行內部網絡的計算機需改接入國際互聯網前應重新辦理以上審批手續,科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經科技信息部安全檢測,曾接入國際互聯網的計算機不得直接接入湖南省農村信用社內部網絡。從國際互聯網下載的任何信息,未經病毒檢測不得在內部網絡上使用。 第七十二條 使用國際互聯網的所有用戶應遵守國家有關法律法規和湖南省農村信用社相關管理規定,不得從事任何違法違規活動。
第六章 信息系統安全管理
第七十三條 本辦法所指的信息系統是邵陽市農村商業銀行業務處理系統、管理信息系統和日常辦公自動化系統等,包括數據庫、軟件和硬件支撐環境等。
第一節 信息系統規劃與立項
第七十四條 信息系統建設項目應在規劃與立項階段同步考慮安全問題,建設方案應滿足邵陽市農村商業銀行信息安全保障總體規劃的相關要求。項目技術方案應包括以下基本安全內容: (一)業務需求部門提出的安全需求。 (二)安全需求分析和實現。 (三)運行平臺的安全策略與設計。
第七十五條 信息系統應采取與業務安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術手段,建立嚴密的安全管理控制機制,保證數據信息在處理、存儲和傳輸過程中的完整性和安全性,防止數據信息被非法使用、修改和復制;
(二)提供完整的數據備份和恢復功能,能方便地根據系統和數據的備份介質進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權,特別應嚴格限制和分流特權用戶的權限,防止非法用戶的侵入和破壞;
(四)重要信息系統應設置審計監控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統的安全設計應符合涉密信息保密管理的有關規定。
第七十六條 農商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節 信息系統開發與集成
第七十七條 信息系統開發應符合軟件工程規范,依據安全需求進行安全設計,保證安全功能的完整、準確實現。
第七十八條 信息系統開發單位應在完成開發任務后將程序源代碼及其相關技術文檔全部移交邵陽市農村商業銀行科技信息部。外部開發單位還應與邵陽市農村商業銀行簽署相關知識產權保護協議和保密協議,不得將信息系統采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統的開發人員不能兼任信息系統管理員或業務系統操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統開發、測試和程序的修改工作不得在生產環境中進行。 第八十一條 涉密信息系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業,并簽訂嚴格的保密協議。
第三節 信息系統上線與運行
第八十二條 農商行信息系統上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統不得投產運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或實施信息系統漏洞掃描檢測。
(三)信息系統建設牽頭業務部門應在信息系統投產運行前同步制定相關安全操作規定,報科技信息部備案。
第八十三條 信息系統投入運行前,應向省聯社科技部和市網絡中心提出安全評估和審批申請,并報送下列材料:
(一)系統的用途、總體結構及軟硬件配置等基本情況;
(二)關于系統安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明;
(三)系統安全性測試提綱和測試報告;
(四)信息系統安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業務和技術專家組成的安全評估委員會或安全評估專家組,對信息系統進行安全性測試、認證。
第八十五條 對信息系統的安全評估應當包括以下內容:
(一)系統的安全策略;
(二)系統安全措施;
(三)系統安全功能的實現程度;
(四)系統運行的穩定性、可靠性;
(五)系統運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統提出安全評估報告,并出具信息系統安全評估和審批報告書。
第八十七條 信息系統運行平臺應符合以下安全管理要求:
(一)合理配置操作系統、數據庫管理系統所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統無關的所有網絡功能,防止非法用戶的侵入。
(三)按照網絡管理規范及其業務應用范圍設置聯網設備的IP地址及網絡參數。
(四)及時安裝正式發布的系統補丁,修補系統存在的安全漏洞。
第八十八條 農商行科技信息部明確系統管理員(系統維護員),具體負責信息系統的日常運行管理,監測系統運行日志,掌握系統運行狀況,并建立重要信息系統運行維護檔案,詳細記錄系統變更及操作過程。重要業務系統的系統設置要求雙人在場。
第八十九條 系統管理員不得兼任業務操作人員,不得安裝與系統無關的其他計算機程序;維護過程中,發現安全漏洞應及時報告計算機安全人員。
第九十條 系統管理員確需對業務系統進行維護性操作的,應征得業務部門同意并在業務操作人員在場的情況下進行,并詳細記錄維護內容、人員、時間等信息。
第九十一條 未經業務主管部門領導書面批準,其他任何人不得擅自使用業務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業務數據,不得擅自改變用戶權限。
第四節 業務操作
第九十二條 業務部門負責信息系統業務操作用戶和權限設定,科技信息部根據-授權進行相關設定操作。 第九十三條 業務操作人員應嚴格按照安全操作規程進行業務操作和必要的數據備份,并配合科技信息部保障信息安全。一旦發現信息系統運行異常及時向本部門領導和科技信息部報告。 第九十四條 業務操作人員應設置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執行錄入、復核辦法的信息系統,業務操作人員不得一人兼錄入、復核兩職。未經業務部門主管領導批準,不得代崗、兼崗。 第九十六條 業務操作人員離開操作用機時,應按序退出信息系統,回到操作系統初始狀態,防止業務數據被復制、修改、刪除以及誤操作。
第五節 信息系統廢止
第九十七條 實行信息系統廢止申報、備案辦法。使用信息系統的業務部門根據需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經廢止的信息系統軟件和數據備份介質,科技信息部按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農村商業銀行計算機用戶、網絡與信息系統所使用的終端設備,包括臺式個人計算機(PC)、便攜式計算機、柜員終端、自動柜員機(ATM)、存折打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)等。 第一百條 農商行應建立完善的客戶端管理辦法,記錄所有客戶端設備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經授權可遠程接入內部網絡的用戶,應嚴格保存其身份認證介質及口令密碼,不得轉借其他人使用。
第八章 信息安全專用產品與服務管理
第一節 資質審查與選型購置
第一百零四條 本辦法所稱信息安全專用產品,是指邵陽市農村商業銀行安裝使用的專用安全軟件、硬件產品。本辦法所稱信息安全服務,是指邵陽市農村商業銀行向社會購買的專業化安全服務。 第一百零五條 省聯社信息科技部負責信息安全服務提供商的資質審查和信息安全專用產品的選型,農商行在選型范圍內按規定選購。 第一百零六條 農商行購置掃描、檢測類信息安全專用產品應報省聯社信息科技部批準,省聯社信息科技部應進行登記備案。
第二節 使用管理
第一百零七條 農商行科技信息部建立信息安全專用產品登記使用辦法,建立信息安全類固定資產使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產品僅限于本單位信息安全管理人員使用。 第一百零八條 農商行科技信息部隨時檢查各類信息安全專用產品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發現重大問題,立即采取控制措施并按規定程序報告。 第一百零九條 各類信息安全專用產品在使用中產生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。 第一百一十條 農商行科技信息部及時升級維護信息安全專用產品,凡因超過使用期限的或不能繼續使用的信息安全專用產品,按照固定資產報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經科技信息部授權在可信網絡內并采取了必要的安全控制措施后進行操作。
第九章 數據、文檔與密碼管理
第一節 數據安全
第一百一十二條 本辦法中所稱的數據是指以電子形式存儲的邵陽市農村商業銀行業務數據、客戶信息、系統運行日志、故障維護日志以及其他內部資料。
第一百一十三條?農商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調用、保管、運輸等方面的工作流程和管理要求。 第一百一十四條 農商行業務部門負責提出數據在輸入、處理、輸出等不同狀態下的安全需求,科技信息部負責審核安全需求并提供一定的技術實現手段。
第一百一十五條 農商行應制定數據管理辦法和數據處理的流程和審批手續,加強數據的保密管理。 第一百一十六條 農商行業務部門應嚴格管理業務數據的增加、修改、刪除等變更操作,適時進行業務數據有效性檢查,按照既定備份策略執行數據備份任務,并定期測試備份數據的有效性和預演數據恢復流程。 第一百一十七條 農商行科技信息部系統管理員(網絡管理員)負責定期導出重要信息系統和網絡日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農商行業務部門應明確規定備份數據的保存時限和密級,建立備份數據調閱、銷毀審批登記辦法,并根據數據重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的,應把口令密碼密封后與數據備份介質一并妥善保管。
第一百二十條 農商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業務信息。禁止通過互聯網傳輸客戶資料和交易數據信息。
第二節 技術文檔
第一百二十一條 本辦法所稱技術文檔是邵陽市農村商業銀行網絡、信息系統和機房環境等建設與運行維護過程中形成的各種紙質技術資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統與網絡設計文檔、參數配置文檔、軟件開發文檔及其源程序等。 第一百二十二條 農商行科技信息部負責將技術文檔統一歸檔,嚴格管理,并實行借閱登記辦法。未經科技信息部領導批準,任何人不得將技術文檔轉借、復制和對外公布。
第三節 存儲介質
第一百二十三條 農商行應建立健全磁帶、光盤、移動存儲介質、已打印文檔等存儲介質管理流程。已存儲信息的存儲介質應保存在安全的物理環境中并有明晰的標識,統一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統備份介質應按規定異地存放。 第一百二十四條 農商行應做好存儲介質在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農商行應制定移動存儲設備(U盤、移動硬盤等)管理辦法,加強移動存儲設備在生產環境中的管理和使用。禁止內網移動存儲設備在外網使用,禁止外網移動存儲設備在內網系統中使用。 第一百二十六條 農商行應建立存儲介質銷毀辦法,對載有敏感信息的存儲介質應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節 口令密碼
第一百二十七條 農商行信息系統要害崗位人員均須設置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求,不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統和設備的口令密碼設置應在安全的環境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經主管部門領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農商行應根據實際情況在一定時限內妥善保存重要信息系統升級改造前的口令密碼。
第五節 密碼技術應用管理
第一百三十條 農商行涉密網絡和信息系統應嚴格按照國家密碼政策規定,采用相應的加密措施。非涉密網絡和信息系統應依據湖南省農村信用社實際需求和統一安全策略,合理選擇加密措施。 第一百三十一條 農商行選用的密碼產品和加密算法應符合國家相關密碼管理政策規定,密碼產品自身的物理和邏輯安全性應符合湖南省農村信用社的相關安全要求。 第一百三十二條 農商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規范管理密鑰產生、存儲、分發、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農商行應在安全環境中進行關鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農村商業銀行之外的單位和個人物理訪問邵陽市農村商業銀行計算機房或者通過網絡連接邏輯訪問邵陽市農村商業銀行數據庫和信息系統等活動。 第一百三十六條 農商行保密工作委員會負責涉密信息系統和網絡相關的第三方訪問授權審批,農商行科技信息部負責非涉密信息系統和網絡相關的第三方訪問授權審批。未經邵陽市農村商業銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農村商業銀行信息系統和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農村信用社簽訂安全保密協議,不得進行未授權的修改、增加、刪除數據操作,不得復制和泄露湖南省農村信用社任何信息。
第二節 外包安全管理
第一百三十九條 本辦法所稱外包服務是指由邵陽市農村商業銀行之外的其他社會廠商為邵陽市農村商業銀行信息系統、網絡或桌面環境提供全面或部分的開發、維護技術支持、咨詢等服務。
第一百四十條 信息科技外包服務應按照《湖南省農村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協議,協議應明確約定外包服務商的安全義務。
第一百四十一條 經本單位科技信息部領導批準,外包服務提供商可提供上門維護服務并由邵陽市農村商業銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或將涉密介質帶離湖南省農村信用社。 第一百四十二條 計算機設備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 災難備份與應急管理
第一節 災難備份管理
第一百四十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業務數據和信息系統在地震、水災、火災、戰爭、恐怖襲擊、網絡攻擊、設備系統故障、人為破壞等無法預料的突發事件(以下稱“災難”)發生后在規定的時間內可以恢復和繼續運營的有序管理過程。 第一百四十四條 科技信息部按照“統籌安排、資源共享、平戰結合”的原則,負責邵陽市農村商業銀行重要信息系統災難備份的統一規劃、實施和管理。 第一百四十五條 農商行相關業務部門負責提出業務系統災難備份需求,明確可容忍的業務中斷時間(恢復時間目標RTO)和數據丟失量(恢復點目標RPO)。省聯社信息科技部據此確定災難備份等級和備份方案。 第一百四十六條 農商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯社信息科技部統一部署,重要信息系統至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統災難恢復演練。
第二節 應急管理
第一百四十七條 應急預案是針對可能發生的意外事件并可能導致業務差錯和停頓,甚至系統混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統推廣應用方案中應同時設計應急備份策略,同步實施備份方案。 第一百四十九條 農商行應制定和不斷完善網絡、信息系統和機房環境等應急預案。預案的編制工作由科技信息部和相關業務部門共同完成。 第一百五十條 應急預案應包括以下基本內容: (一)總則(目標、原則、適用范圍、預案調用關系等)。 (二)應急組織機構。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發生時的可獲取性。 第一百五十二條 農商行信息安全工作領導小組統一負責各業務系統的應急協調與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調動應急資源。 第一百五十三條 農商行應按照湖南省農村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯社信息科技部。
第一百五十四條 重大信息安全事件發生后,農商行相關人員應注意保護事件現場,采取必要的控制措施,調查事件原因,并及時報告本單位主管領導。
第一百五十五條 農商行應在重大信息安全事件發生后的兩小時內按規定程序報上一級科技信息部。??? 第一百五十六條 農商行辦公室負責統一向社會發布應急事件公告,其他任何單位或個人不得向社會發布應急事件公告。
第十二章 安全檢查評估與培訓
第一節 監測檢查
第一百五十七條 農商行科技信息部應整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源,加強對網絡、重要信息系統和機房環境等設施的安全運行監測。 第一百五十八條 農商行科技信息部應建立運行監測周報、月報或季報辦法,報送本單位信息安全工作領導小組和上一級科技信息部,抄送相關業務部門。 第一百五十九條 農商行要及時預警、響應和處置運行監測中發現的問題,發現重大隱患和運行事故應及時協調解決,并報上一級單位相關部門。
第一百六十條 農商行科技信息部應至少每年組織一次本單位或轄內的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農商行在開展安全檢查前應以安全管理辦法為依據制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規范性。安全檢查完成后應及時形成檢查報告,經本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續跟蹤。 第一百六十二條 農商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農村信用社內部材料妥善保管,不得向外界泄露。 第一百六十三條 農商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節 評估審計
第一百六十四條 農商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內重要信息系統的安全評估。
第一百六十五條 安全評估應在不影響信息系統正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農商行如聘請第三方機構進行安全評估,報省聯社信息科技部批準,并與第三方評估機構簽訂安全保密協議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監督。 第一百六十七條 農商行妥善保管信息安全評估報告,未經授權不得對外透露評估信息。
第一百六十八條 農商行定期對重要信息系統進行安全等級保護測評。開展等保測評工作應遵循《金融行業信息系統信息安全等級保護測評指南》和《金融行業信息安全等級保護測評服務安全指引》的有關規定,確保測評有效和測評安全。
第一百六十九條 農商行科技信息部在支持與配合內審部門開展信息安全工作審計的同時,應適時開展本單位和轄內的信息系統日常運行管理和信息安全事件全過程的技術審計,發現問題及時報本單位或上一級單位主管領導。 第一百七十條 農商行應做好操作系統、數據庫管理系統等審計功能配置管理,并完整保留相關日志記錄。
第三節 安全培訓
第一百七十一條 農商行應至少每年對信息安全管理人員進行一次專業培訓,不斷提高信息安全管理人員專業技能和管理水平。
第一百七十二條 農商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內的信息保護流程及違反規定的后果。
第十三章 獎勵與處罰
第一百七十三條 農商行將本單位和轄內信息安全管理工作納入年度考評,對表現突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節嚴重的,依據相關法律法規,追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發布的其他信息安全管理辦法有關規定條款如與本辦法不一致的,按本辦法執行。
第一百七十六條 本辦法由邵陽市農村商業銀行負責解釋。
