第一章??? 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章??? 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的UPS和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的IP地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条? 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(U盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标RTO)和数据丢失量(恢复点目标RPO)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 ??? 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
?
第一章??? 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章??? 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的UPS和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的IP地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条?农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(U盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标RTO)和数据丢失量(恢复点目标RPO)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。??? 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
上一篇: 安全生产专项督查制度
下一篇: 员工人身安全管理制度