第一章??? 總則
第一條 為加強(qiáng)邵陽市農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱農(nóng)商行)信息系統(tǒng)信息安全�����、硬件設(shè)備��、安全運(yùn)行、故障申報(bào)、日常檢查�、網(wǎng)絡(luò)安全等管理���,防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn),杜絕各類事故和案件的發(fā)生�����,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》�、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定��,結(jié)合我農(nóng)商行實(shí)際情況��,特制定本辦法�。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人,包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工��,包括在編合同制員工��、經(jīng)批準(zhǔn)在崗的短期合同制員工���。
第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理�、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé)��,誰運(yùn)行誰負(fù)責(zé)�,誰使用誰負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制�����。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全�����、運(yùn)行環(huán)境的安全和信息的安全����。
第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益和集體利益的活動(dòng)、不得危害計(jì)算機(jī)信息系統(tǒng)的安全�����。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部�����,由科技信息部歸口管理信息安全工作�����,并明確其信息安全管理職責(zé)�。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組��,領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部,負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作�,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位�,配備專職信息安全管理人員。負(fù)責(zé)邵陽農(nóng)商行信息安全管理��,建立完善信息安全管理辦法���,并組織實(shí)施���;對(duì)農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人�����,同時(shí)均應(yīng)指定至少一名部門信息安全員�����,具體負(fù)責(zé)本部門的信息安全管理�,協(xié)同科技信息部開展信息安全管理工作��。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍�����,履行相應(yīng)的信息安全保障職責(zé)?�?萍夹畔⒉繛檗r(nóng)商行信息安全保護(hù)專職部門���,設(shè)信息安全管理員��、系統(tǒng)維護(hù)管理員��、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行�����。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組�����,設(shè)立部門信息安全員�。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬�����、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作�。凡是因違反國(guó)家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員��,不得從事此項(xiàng)工作��。
第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷��,具有本科以上學(xué)歷��。
第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核��,培訓(xùn)與審核合格后方可上崗��。上崗后��,每年至少參加一次信息安全專業(yè)培訓(xùn)�。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作: ?�。ㄒ唬┙M織落實(shí)上級(jí)信息安全管理規(guī)定�����,制定信息安全管理辦法��,協(xié)調(diào)部門計(jì)算機(jī)安全員工作�����,監(jiān)督檢查信息安全保障工作���。 ?。ǘ徍诵畔⒒ㄔO(shè)項(xiàng)目中的安全方案��,組織實(shí)施信息安全保障項(xiàng)目建設(shè)����,維護(hù)、管理信息安全專用設(shè)施�����。 ?��。ㄈz測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況�,檢查運(yùn)行操作���、備份���、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題����,及時(shí)通報(bào)和預(yù)警��,并提出整改意見���。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 ?����。ㄋ模┒ㄆ诮M織信息安全宣傳教育活動(dòng)��,開展信息安全檢查�����、評(píng)估與培訓(xùn)工作��。 第十四條 信息安全管理人員在履行職責(zé)時(shí)���,確因工作需要查詢相關(guān)涉密信息�����,須經(jīng)本部門負(fù)責(zé)人同意后向本單位保密主管部門提交申請(qǐng)���,獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法�。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位�,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)���。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位�,必須進(jìn)行離崗審計(jì)���,并在規(guī)定的脫密期后�,方可調(diào)離��。
第二節(jié) 部門信息安全員
第十七條 各部門和各級(jí)支行應(yīng)指派素質(zhì)好���、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門信息安全員��,并報(bào)農(nóng)商行科技信息部備案��。如有變更應(yīng)做好交接工作���,并及時(shí)通報(bào)科技信息部��。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作���,并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作: ?。ㄒ唬┴?fù)責(zé)本部門計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況���。 ?����。ǘ┴?fù)責(zé)提出本部門信息安全保障需求���,及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 ?����。ㄈ┴?fù)責(zé)本部門國(guó)際互聯(lián)網(wǎng)使用和接入安全管理�����,組織開展本部門信息安全自查,協(xié)助科技信息部完成對(duì)本部門的信息安全檢查工作�����。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員���,是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)��、機(jī)房環(huán)境等建設(shè)����、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員�����。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中����,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息�。嚴(yán)格權(quán)限訪問,未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)��。 (二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況�����,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo)���,并及時(shí)響應(yīng)��、處置����。 ?��。ㄈ﹪?yán)格操作管理����、測(cè)試管理�、應(yīng)急管理、配置管理�����、變更管理��、檔案管理等工作辦法,做好數(shù)據(jù)備份工作��。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾�����。提供技術(shù)服務(wù)期間����,嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程�����,關(guān)鍵操作應(yīng)經(jīng)授權(quán)���,并有農(nóng)商行內(nèi)部員工在場(chǎng)���。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄露或引用任何工作信息��。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員�����。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù): (一)嚴(yán)格規(guī)程操作��,防止誤操作��。定期修改操作密碼并妥善保管����,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份���。 ?���。ǘ┌l(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部��。 ?���。ㄈ┎坏迷诓僮鹘K端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置��。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散��、不得交叉任職”原則���,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理��。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員�����。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員��。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): ?。ㄒ唬┘皶r(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺接受本部門信息安全員的指導(dǎo)與管理����。 (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件���,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 ?����。ㄈ┪唇?jīng)科技信息部檢測(cè)和授權(quán)��,不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)�����;不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息�。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員��、網(wǎng)絡(luò)管理員�、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員���。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類��、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)���,以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進(jìn)行政治素質(zhì)審查���,技術(shù)部門進(jìn)行業(yè)務(wù)技能考核��,合格者方可上崗���。
第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則��,按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格設(shè)定各用戶的操作權(quán)限���。
第三十二條 對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法�,并進(jìn)行必要的安全教育和培訓(xùn)�。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù)��,承諾其調(diào)離后的保密義務(wù)��。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位���,必須進(jìn)行離崗審計(jì)��,在規(guī)定的脫密期后���,方可調(diào)離。
第三十四條 要害崗位人員離崗后�,必須即刻更換操作密碼或注銷用戶����。
第三十五條 系統(tǒng)管理員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則��;
(二)嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行���;
(三)認(rèn)真記錄系統(tǒng)安全事項(xiàng)��,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件��;
(四)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督���。
第三十六條 系統(tǒng)開發(fā)員安全責(zé)任
(一)系統(tǒng)開發(fā)建設(shè)中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略����,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
(二)系統(tǒng)投產(chǎn)運(yùn)行前�����,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料��;
(三)不得對(duì)系統(tǒng)設(shè)置后門��;
(四)對(duì)系統(tǒng)核心技術(shù)保密�����。
第三十七條 系統(tǒng)維護(hù)員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)維護(hù),及時(shí)解除系統(tǒng)故障�����,確保系統(tǒng)正常運(yùn)行�����;
(二)不得擅自改變系統(tǒng)參數(shù)配置�����;
(三)不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序���;
(四)維護(hù)過程中�����,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員���。
第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房環(huán)境安全管理
第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置���、運(yùn)行場(chǎng)所以及供配電��、通信����、空調(diào)��、消防����、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃�、建設(shè)、改造����、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)���。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)��、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定����,滿足下列基本安全要求:
(一)機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物,如加油站��、煤氣站等����。
(二)機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏�、防靜電、防水����、防盜、防鼠害等設(shè)施����。
(三)機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)�、監(jiān)視系統(tǒng)、消防系統(tǒng)�����、報(bào)警系統(tǒng)��。
(四)機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)����,配備必要的UPS和發(fā)電機(jī)����。
第四十二條 機(jī)房建設(shè)�����、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案���。必要時(shí),由市網(wǎng)絡(luò)中心會(huì)同財(cái)務(wù)�、保衛(wèi)等部門進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包三級(jí)以上資質(zhì)��、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司�����。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法����。
第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控����,生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控�����,輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控�����。
第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則���,確保監(jiān)控的安全規(guī)范運(yùn)作,防止監(jiān)控信息的泄密�。
第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境集中監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)���、消防�、不間斷電源(UPS)����、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控��,通過技術(shù)和管理手段��,確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前�,應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗(yàn)收和本單位科技、保衛(wèi)部門組織的驗(yàn)收����,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用����。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法���,并指派專人擔(dān)任機(jī)房管理員�,落實(shí)機(jī)房安全責(zé)任制���。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)���,熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房�,發(fā)現(xiàn)問題及時(shí)報(bào)告。
第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔����、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料��,并隨時(shí)提供調(diào)閱����。
第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理�����。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房���。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)���,并辦理登記手續(xù),由專人陪同��。
第五十一條 建立機(jī)房定期維修保養(yǎng)辦法���。易受季節(jié)�����、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備��、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)���。
第五十二條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理�����,應(yīng)安裝門禁�����、防入侵報(bào)警���、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控�,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能�。 第五十三條 所有門禁��、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管�����,至少保存三個(gè)月�。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法���,嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施���,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息�。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū)��,必要時(shí)�����,單獨(dú)建立門禁與監(jiān)控系統(tǒng)�����,或配備防電磁泄露的屏蔽裝置等�����。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃�����、建設(shè)部署��、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備���、通訊線路��、IP地址和域名等)分配�。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)�、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技信息部審核�、備案,投產(chǎn)前應(yīng)通過本單位組織的安全測(cè)試���。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: ?��。ㄒ唬┓虾鲜∞r(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過濾����、身份認(rèn)證、防火墻��、病毒防范���、入侵檢測(cè)���、漏洞掃描�、數(shù)據(jù)加密等技術(shù)手段�,有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)�,保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 ?����。ǘ┚邆浔匾木W(wǎng)絡(luò)監(jiān)測(cè)��、跟蹤和審計(jì)等管理功能����。 ?��。ㄈ└鶕?jù)信息安全級(jí)別��,將網(wǎng)絡(luò)劃分為不同的邏輯安全域�����。針對(duì)不同的網(wǎng)絡(luò)安全域�����,采取必要和有效的安全控制措施�。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法,配備網(wǎng)絡(luò)管理員��。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況�,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案�,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理����,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則;
(二)安全配置網(wǎng)絡(luò)參數(shù)����,嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行�;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口���、網(wǎng)絡(luò)物理線路��,防范黑客入侵�����,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件��;
(四)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督��。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)�����,具備一定的非法入侵�����、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能��,緊急情況下���,經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)����、后處理”的緊急應(yīng)對(duì)措施�。
第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理�。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案����、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測(cè)���,審核(檢測(cè))通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理����。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書面請(qǐng)示本部門主管領(lǐng)導(dǎo)��,變更信息應(yīng)做好記錄����。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行����,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制���。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請(qǐng)����,并采取相應(yīng)的安全防護(hù)措施���。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)���,有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)���、掃描和評(píng)估。檢測(cè)���、掃描和評(píng)估結(jié)果屬敏感信息�����,不得向外界提供�。未經(jīng)省聯(lián)社信息科技部授權(quán)���,任何外部單位與人員不得檢測(cè)���、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則���,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)�,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用�。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)����。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施�����。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)���,任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)�。
第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接�,應(yīng)采用必要的技術(shù)隔離保護(hù)措施,對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制��。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離����。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)�。 第七十條 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn),并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序�����。科技信息部憑相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng)���,并做好備案��。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)��,科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入����。 第七十一條 未經(jīng)科技信息部安全檢測(cè)�,曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息�����,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用���。 第七十二條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定�,不得從事任何違法違規(guī)活動(dòng)�����。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等�����,包括數(shù)據(jù)庫�����、軟件和硬件支撐環(huán)境等����。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)
第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題�����,建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求��。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: ?��。ㄒ唬I(yè)務(wù)需求部門提出的安全需求���。 (二)安全需求分析和實(shí)現(xiàn)��。 (三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)��。
第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制��,在安全防護(hù)方面應(yīng)符合下列基本安全要求:
(一)采取必要的技術(shù)手段����,建立嚴(yán)密的安全管理控制機(jī)制,保證數(shù)據(jù)信息在處理����、存儲(chǔ)和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用����、修改和復(fù)制;
(二)提供完整的數(shù)據(jù)備份和恢復(fù)功能�����,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)�;
(三)具有嚴(yán)格的用戶和密碼管理,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán)��,特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限����,防止非法用戶的侵入和破壞�����;
(四)重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序���,具有身份識(shí)別和實(shí)體認(rèn)證功能����。能夠自動(dòng)記錄操作人員的重要操作,具有防止抵賴機(jī)制����;
(五)涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見�,未通過安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范��,依據(jù)安全需求進(jìn)行安全設(shè)計(jì)����,保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)���。
第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部��。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議�,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員��,不得在程序代碼中植入后門和惡意代碼程序����。
第八十條 信息系統(tǒng)開發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行����。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議�。
第三節(jié) 信息系統(tǒng)上線與運(yùn)行
第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行�。具體要求如下: (一)項(xiàng)目承擔(dān)單位(部門)應(yīng)組織制定安全測(cè)試方案��,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告���,報(bào)科技信息部審查����。 (二)科技信息部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見��。必要時(shí)����,可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)����。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定�����,報(bào)科技信息部備案。
第八十三條 信息系統(tǒng)投入運(yùn)行前�����,應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評(píng)估和審批申請(qǐng)�����,并報(bào)送下列材料:
(一)系統(tǒng)的用途��、總體結(jié)構(gòu)及軟硬件配置等基本情況���;
(二)關(guān)于系統(tǒng)安全需求���、安全策略�、安全性指標(biāo)����、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明;
(三)系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告����;
(四)信息系統(tǒng)安全評(píng)估和審批報(bào)告書。
第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書面材料進(jìn)行初步審查��。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評(píng)估委員會(huì)或安全評(píng)估專家組���,對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試�����、認(rèn)證���。
第八十五條 對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施����;
(三)系統(tǒng)安全功能的實(shí)現(xiàn)程度�;
(四)系統(tǒng)運(yùn)行的穩(wěn)定性����、可靠性;
(五)系統(tǒng)運(yùn)行平臺(tái)的安全可靠性�����。
第八十六條 安全評(píng)估委員會(huì)或安全評(píng)估專家組應(yīng)對(duì)測(cè)試�、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告,并出具信息系統(tǒng)安全評(píng)估和審批報(bào)告書���。
第八十七條 信息系統(tǒng)運(yùn)行平臺(tái)應(yīng)符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計(jì)功能���,以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)����。
(二)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能���,防止非法用戶的侵入��。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)�����。
(四)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁�����,修補(bǔ)系統(tǒng)存在的安全漏洞�。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護(hù)員),具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理���,監(jiān)測(cè)系統(tǒng)運(yùn)行日志�,掌握系統(tǒng)運(yùn)行狀況�,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過程�����。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)�����。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序����;維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員����。
第九十條 系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行��,并詳細(xì)記錄維護(hù)內(nèi)容�、人員、時(shí)間等信息�����。
第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)�����,其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī)�����,不得擅自設(shè)置���、分配��、使用�����、修改�����、刪除操作員代碼����、口令和業(yè)務(wù)數(shù)據(jù)�,不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定�,科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份��,并配合科技信息部保障信息安全��。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技信息部報(bào)告���。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼�,并嚴(yán)格保密,防止口令密碼泄漏�����。嚴(yán)禁向其他任何人泄露本人口令密碼�。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)���,業(yè)務(wù)操作人員不得一人兼錄入����、復(fù)核兩職�����。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn)����,不得代崗、兼崗�����。 第九十六條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí)�,應(yīng)按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài)��,防止業(yè)務(wù)數(shù)據(jù)被復(fù)制�����、修改�����、刪除以及誤操作��。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)�、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請(qǐng)���,由科技信息部組織進(jìn)行安全檢查后予以廢止�����,同時(shí)備案��。 第九十八條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)�����,科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存����。超過保存期限后需要銷毀的,應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀�����。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶�、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺(tái)式個(gè)人計(jì)算機(jī)(PC)�����、便攜式計(jì)算機(jī)�、柜員終端、自動(dòng)柜員機(jī)(ATM)�、存折打印機(jī)、讀卡器����、銷售終端(POS)和個(gè)人數(shù)字助理(PDA)等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法�,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略�����。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件�����,不得安裝和使用盜版軟件��,不得安裝和使用與工作無關(guān)的軟件��。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件�����,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施�,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶����,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用�。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件����、硬件產(chǎn)品����。本辦法所稱信息安全服務(wù)�����,是指邵陽市農(nóng)村商業(yè)銀行向社會(huì)購買的專業(yè)化安全服務(wù)�����。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型��,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購����。 第一百零六條 農(nóng)商行購置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn)�,省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法�,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描�、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況����,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析�。如發(fā)現(xiàn)重大問題�,立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料��,應(yīng)備份存檔至少三個(gè)月���。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品�,按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻����、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置��,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作�。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)�、客戶信息、系統(tǒng)運(yùn)行日志����、故障維護(hù)日志以及其他內(nèi)部資料。
第一百一十三條? 農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系,明確科技信息分類��、定密����、解密、備份����、調(diào)用、保管�、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理�����、輸出等不同狀態(tài)下的安全需求���,科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段���。
第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強(qiáng)數(shù)據(jù)的保密管理�����。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改��、刪除等變更操作��,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查�����,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)����,并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容�、時(shí)間�����、密級(jí)等信息�。日志文件應(yīng)至少保留一年,妥善保管�。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)調(diào)閱����、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁�����、防潮���、防塵�����、防高溫�����、防擠壓存放�����?;謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的�����,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管����。
第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程���,嚴(yán)格管理客戶信息的采集、處理�、存儲(chǔ)、傳輸����、分發(fā)、備份��、恢復(fù)��、清理和銷毀����。不得非法買賣�����、泄露客戶個(gè)人信息�,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息��。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種紙質(zhì)技術(shù)資料�����,包括文檔�����、電子文檔���、視頻和音頻文件等��。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔����、參數(shù)配置文檔��、軟件開發(fā)文檔及其源程序等����。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,嚴(yán)格管理��,并實(shí)行借閱登記辦法���。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)���,任何人不得將技術(shù)文檔轉(zhuǎn)借���、復(fù)制和對(duì)外公布。
第三節(jié) 存儲(chǔ)介質(zhì)
第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶���、光盤�����、移動(dòng)存儲(chǔ)介質(zhì)�����、已打印文檔等存儲(chǔ)介質(zhì)管理流程�����。已存儲(chǔ)信息的存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí),統(tǒng)一編號(hào)�,并標(biāo)明信息生成或備份日期、密級(jí)及保密期限��。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制���,應(yīng)選擇可靠的傳遞方式和防盜控制措施����。重要信息的存取需要授權(quán)和記錄�����。 第一百二十五條 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備(U盤��、移動(dòng)硬盤等)管理辦法�,加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在外網(wǎng)使用���,禁止外網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用�。 第一百二十六條 農(nóng)商行應(yīng)建立存儲(chǔ)介質(zhì)銷毀辦法�����,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄�。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨(dú)享使用�����,不得泄露,且至少每三個(gè)月更換一次�。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求���,不得設(shè)置過于簡(jiǎn)單的弱口令密碼��。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行�����,必要時(shí)應(yīng)將口令密碼筆錄���、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可����,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放�����。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定�,采用相應(yīng)的加密措施����。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施��。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定��,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求�����。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制�,密鑰管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案��,規(guī)范管理密鑰產(chǎn)生���、存儲(chǔ)�����、分發(fā)��、使用�、廢除、歸檔����、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作���,并確保密鑰副本的物理安全��,且須設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能�。 第一百三十四條 各類密鑰應(yīng)定期更換�����,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除����,過期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動(dòng)��。 第一百三十六條 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批�,農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為����。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制�、認(rèn)證機(jī)制���,列明所有用戶名單及其權(quán)限����,嚴(yán)格監(jiān)督第三方訪問活動(dòng)。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議��,不得進(jìn)行未授權(quán)的修改��、增加�����、刪除數(shù)據(jù)操作��,不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息�。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)����、維護(hù)技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議����,協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)����,外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看�����、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社��。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)�����,科技信息部應(yīng)徹底清除所存工作信息��,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議�。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息�����。
第十一章 災(zāi)難備份與應(yīng)急管理
第一節(jié) 災(zāi)難備份管理
第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源����,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)�、火災(zāi)、戰(zhàn)爭(zhēng)��、恐怖襲擊���、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障����、人為破壞等無法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排�����、資源共享�����、平戰(zhàn)結(jié)合”的原則�����,負(fù)責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理�。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間(恢復(fù)時(shí)間目標(biāo)RTO)和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)RPO)�。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃�����,定期開展災(zāi)難恢復(fù)培訓(xùn)���。在條件許可的情況下��,由省聯(lián)社信息科技部統(tǒng)一部署����,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練����,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第二節(jié) 應(yīng)急管理
第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓��,甚至系統(tǒng)混亂���、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略�����、措施的有機(jī)集合����。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案�。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案�。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: ?�。ㄒ唬┛倓t(目標(biāo)�����、原則���、適用范圍、預(yù)案調(diào)用關(guān)系等)�����。 (二)應(yīng)急組織機(jī)構(gòu)����。 (三)預(yù)警響應(yīng)機(jī)制(報(bào)告��、評(píng)估�、預(yù)案啟動(dòng)等)。 ?���。ㄋ模└黝愇C(jī)處置流程。 ?����。ㄎ澹?yīng)急資源保障�����。 ?��。┦潞筇幚砹鞒?����。 ?�。ㄆ撸╊A(yù)案管理與維護(hù)(生效���、演練�、維護(hù)等)��。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練��,并指定專人管理和維護(hù)應(yīng)急預(yù)案�,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善�����,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性��。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮�����,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)�����、災(zāi)難宣告���、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源����。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào)�����,一般信息安全事件應(yīng)逐級(jí)通報(bào)��,發(fā)生因人為����、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后�,農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施��,調(diào)查事件原因��,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)�。
第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告���。
第十二章 安全檢查評(píng)估與培訓(xùn)
第一節(jié) 監(jiān)測(cè)檢查
第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)�、計(jì)算機(jī)資源監(jiān)控系統(tǒng)����、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)��、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)����。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)辦法�,報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部,抄送相關(guān)業(yè)務(wù)部門��。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警��、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問題�����,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決����,并報(bào)上一級(jí)單位相關(guān)部門。
第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查��,安全檢查方式可以是自查�����、互查或上級(jí)檢查多種方式�。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性����。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位�����。要求限期整改的�����,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤�。 第一百六十二條 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管�����,不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案��。
第二節(jié) 評(píng)估審計(jì)
第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估��、檢查評(píng)估和委托評(píng)估等方式����,每年至少組織一次對(duì)本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估。
第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行��。評(píng)估開始前�,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后��,形成評(píng)估報(bào)告���,提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)�����。 第一百六十六條 農(nóng)商行如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估�,報(bào)省聯(lián)社信息科技部批準(zhǔn)��,并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督����。 第一百六十七條 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告����,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第一百六十八條 農(nóng)商行定期對(duì)重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)�。開展等保測(cè)評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》的有關(guān)規(guī)定,確保測(cè)評(píng)有效和測(cè)評(píng)安全����。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí),應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì)�,發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)���、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配置管理����,并完整保留相關(guān)日志記錄�。
第三節(jié) 安全培訓(xùn)
第一百七十一條 農(nóng)商行應(yīng)至少每年對(duì)信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn),不斷提高信息安全管理人員專業(yè)技能和管理水平�。
第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育��,對(duì)本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn)�,提高全體員工信息安全意識(shí)�����,使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果�。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng),對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)����。 第一百七十四條 對(duì)于違反本辦法,造成重大信息安全事件的單位及個(gè)人����,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的�����,依據(jù)相關(guān)法律法規(guī)���,追究其主管領(lǐng)導(dǎo)���、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任��;構(gòu)成犯罪的��,依法追究刑事責(zé)任����。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的�,按本辦法執(zhí)行���。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋�。
?
第一章??? 總則
第一條 為加強(qiáng)邵陽市農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱農(nóng)商行)信息系統(tǒng)信息安全�、硬件設(shè)備、安全運(yùn)行��、故障申報(bào)�、日常檢查、網(wǎng)絡(luò)安全等管理��,防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)���,杜絕各類事故和案件的發(fā)生�����,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》�、《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》�、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定,結(jié)合我農(nóng)商行實(shí)際情況�,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人���,包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工��,包括在編合同制員工���、經(jīng)批準(zhǔn)在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主����、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則��、按照“誰主管誰負(fù)責(zé)����,誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制�。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全���、運(yùn)行環(huán)境的安全和信息的安全�����。
第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益和集體利益的活動(dòng)�����、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部�����,由科技信息部歸口管理信息安全工作�,并明確其信息安全管理職責(zé)。
第七條 根據(jù)省聯(lián)社要求��,農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組����,領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部,負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作���,決定轄內(nèi)信息安全重大事宜�����?�! 〉诎藯l 農(nóng)商行科技信息部門設(shè)立信息安全崗位���,配備專職信息安全管理人員�����。負(fù)責(zé)邵陽農(nóng)商行信息安全管理���,建立完善信息安全管理辦法,并組織實(shí)施��;對(duì)農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促����。
第九條 農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人,同時(shí)均應(yīng)指定至少一名部門信息安全員�����,具體負(fù)責(zé)本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作����。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)��??萍夹畔⒉繛檗r(nóng)商行信息安全保護(hù)專職部門,設(shè)信息安全管理員���、系統(tǒng)維護(hù)管理員�、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行�。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組,設(shè)立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員����,不得從事此項(xiàng)工作。
第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷,具有本科以上學(xué)歷。
第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核�,培訓(xùn)與審核合格后方可上崗���。上崗后��,每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作: ?�。ㄒ唬┙M織落實(shí)上級(jí)信息安全管理規(guī)定����,制定信息安全管理辦法,協(xié)調(diào)部門計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作�����?! 。ǘ徍诵畔⒒ㄔO(shè)項(xiàng)目中的安全方案��,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專用設(shè)施��。 (三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況��,檢查運(yùn)行操作����、備份�、機(jī)房環(huán)境與文檔等安全管理情況����,發(fā)現(xiàn)問題����,及時(shí)通報(bào)和預(yù)警���,并提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件����。 ?��。ㄋ模┒ㄆ诮M織信息安全宣傳教育活動(dòng)���,開展信息安全檢查、評(píng)估與培訓(xùn)工作�。 第十四條 信息安全管理人員在履行職責(zé)時(shí)��,確因工作需要查詢相關(guān)涉密信息����,須經(jīng)本部門負(fù)責(zé)人同意后向本單位保密主管部門提交申請(qǐng),獲得批準(zhǔn)后方可查詢�����。 第十五條 信息安全管理人員實(shí)行備案管理辦法���。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技信息部備案�����。
第十六條 信息安全管理人員調(diào)離崗位�����,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)����。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位,必須進(jìn)行離崗審計(jì)���,并在規(guī)定的脫密期后��,方可調(diào)離�����。
第二節(jié) 部門信息安全員
第十七條 各部門和各級(jí)支行應(yīng)指派素質(zhì)好�����、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門信息安全員�����,并報(bào)農(nóng)商行科技信息部備案�����。如有變更應(yīng)做好交接工作�����,并及時(shí)通報(bào)科技信息部���?�! 〉谑藯l 部門信息安全員配合農(nóng)商行信息安全管理人員工作�����,并參加各項(xiàng)信息安全技能培訓(xùn)�����?���! 〉谑艞l 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作: (一)負(fù)責(zé)本部門計(jì)算機(jī)病毒防治工作��,監(jiān)督檢查本部門客戶端安全管理情況����。 ?。ǘ┴?fù)責(zé)提出本部門信息安全保障需求,及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息�����?��! 。ㄈ┴?fù)責(zé)本部門國(guó)際互聯(lián)網(wǎng)使用和接入安全管理���,組織開展本部門信息安全自查�,協(xié)助科技信息部完成對(duì)本部門的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員�,是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)����、機(jī)房環(huán)境等建設(shè)、運(yùn)行�、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員?�! 〉诙粭l 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中����,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息�����。嚴(yán)格權(quán)限訪問����,未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)?��! �。ǘ┲鲃?dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo)���,并及時(shí)響應(yīng)����、處置��?�! ����。ㄈ﹪?yán)格操作管理、測(cè)試管理���、應(yīng)急管理�、配置管理��、變更管理�、檔案管理等工作辦法����,做好數(shù)據(jù)備份工作���。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾�����。提供技術(shù)服務(wù)期間����,嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán)����,并有農(nóng)商行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù)��,不得對(duì)外泄露或引用任何工作信息��。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員��?�! 〉诙臈l 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù): ?��。ㄒ唬﹪?yán)格規(guī)程操作����,防止誤操作。定期修改操作密碼并妥善保管��,按需����、適時(shí)進(jìn)行必要的數(shù)據(jù)備份?���! 。ǘ┌l(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部���?���! ���。ㄈ┎坏迷诓僮鹘K端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件�����,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置�?���! 〉诙鍡l 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則��,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理��。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員�。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員?���! 〉诙邨l 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): (一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序����,自覺接受本部門信息安全員的指導(dǎo)與管理?����! ��。ǘ┎坏冒惭b與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)�����?����! �。ㄈ┪唇?jīng)科技信息部檢測(cè)和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)����;不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息�。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員����、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員���、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員��。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類�、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施��。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進(jìn)行政治素質(zhì)審查���,技術(shù)部門進(jìn)行業(yè)務(wù)技能考核,合格者方可上崗�。
第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則���,按照“必需知道”和“最小授權(quán)”原則�,嚴(yán)格設(shè)定各用戶的操作權(quán)限�����。
第三十二條 對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法��,并進(jìn)行必要的安全教育和培訓(xùn)����。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù)�����,承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位���,必須進(jìn)行離崗審計(jì)���,在規(guī)定的脫密期后,方可調(diào)離�����。
第三十四條 要害崗位人員離崗后�,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)的運(yùn)行管理�,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
(二)嚴(yán)格用戶權(quán)限管理���,維護(hù)系統(tǒng)安全正常運(yùn)行���;
(三)認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件��;
(四)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督����。
第三十六條 系統(tǒng)開發(fā)員安全責(zé)任
(一)系統(tǒng)開發(fā)建設(shè)中���,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)��;
(二)系統(tǒng)投產(chǎn)運(yùn)行前��,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料��;
(三)不得對(duì)系統(tǒng)設(shè)置后門����;
(四)對(duì)系統(tǒng)核心技術(shù)保密�����。
第三十七條 系統(tǒng)維護(hù)員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)維護(hù)���,及時(shí)解除系統(tǒng)故障��,確保系統(tǒng)正常運(yùn)行�;
(二)不得擅自改變系統(tǒng)參數(shù)配置���;
(三)不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序��;
(四)維護(hù)過程中�,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定�����。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房環(huán)境安全管理
第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置����、運(yùn)行場(chǎng)所以及供配電、通信��、空調(diào)�、消防、監(jiān)控等配套環(huán)境設(shè)施�。 第四十條 農(nóng)商行機(jī)房的規(guī)劃����、建設(shè)、改造���、運(yùn)行�����、維護(hù)由科技信息部負(fù)責(zé)�����?�! 〉谒氖粭l 農(nóng)商行機(jī)房應(yīng)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)��、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定���,滿足下列基本安全要求:
(一)機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物�����,如加油站、煤氣站等����。
(二)機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏��、防靜電����、防水����、防盜����、防鼠害等設(shè)施。
(三)機(jī)房應(yīng)安裝門禁系統(tǒng)��、防雷系統(tǒng)����、監(jiān)視系統(tǒng)、消防系統(tǒng)�、報(bào)警系統(tǒng)。
(四)機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)�,配備必要的UPS和發(fā)電機(jī)。
第四十二條 機(jī)房建設(shè)���、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案�����。必要時(shí)�����,由市網(wǎng)絡(luò)中心會(huì)同財(cái)務(wù)��、保衛(wèi)等部門進(jìn)行審核�����?��! 〉谒氖龡l 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包三級(jí)以上資質(zhì)�、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司�。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。
第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則��。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控���,生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控����,輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控�。
第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則���,確保監(jiān)控的安全規(guī)范運(yùn)作,防止監(jiān)控信息的泄密��。
第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境集中監(jiān)控系統(tǒng)����,對(duì)機(jī)房空調(diào)、消防���、不間斷電源(UPS)���、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控�,通過技術(shù)和管理手段,確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全����。 第四十七條 農(nóng)商行機(jī)房投入使用前�����,應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗(yàn)收和本單位科技�����、保衛(wèi)部門組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告�����。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用���?���! 〉谒氖藯l 農(nóng)商行建立健全機(jī)房管理辦法����,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制�。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)���,定期巡查機(jī)房�����,發(fā)現(xiàn)問題及時(shí)報(bào)告。
第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔����、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料����,并隨時(shí)提供調(diào)閱�����。
第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理���。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房�����。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)����,并辦理登記手續(xù)���,由專人陪同���。
第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)���、溫度等環(huán)境因素影響的設(shè)備�、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)��。
第五十二條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理����,應(yīng)安裝門禁、防入侵報(bào)警��、視頻監(jiān)視錄像系統(tǒng)�����,實(shí)行定時(shí)錄像監(jiān)控��,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能����。 第五十三條 所有門禁���、防入侵報(bào)警��、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管���,至少保存三個(gè)月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法���,嚴(yán)格資產(chǎn)管理����,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任�。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施�,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息�。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū),必要時(shí)���,單獨(dú)建立門禁與監(jiān)控系統(tǒng)���,或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃����、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備�����、通訊線路、IP地址和域名等)分配�����?���! 〉谖迨邨l 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)���、改造工程�����。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技信息部審核��、備案��,投產(chǎn)前應(yīng)通過本單位組織的安全測(cè)試��?���! 〉谖迨藯l 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求��,使用內(nèi)容過濾���、身份認(rèn)證、防火墻����、病毒防范、入侵檢測(cè)���、漏洞掃描����、數(shù)據(jù)加密等技術(shù)手段�����,有效降低外部攻擊���、信息泄漏等風(fēng)險(xiǎn)�,保障網(wǎng)絡(luò)傳輸與應(yīng)用安全?��! �。ǘ┚邆浔匾木W(wǎng)絡(luò)監(jiān)測(cè)����、跟蹤和審計(jì)等管理功能?���! 。ㄈ└鶕?jù)信息安全級(jí)別�,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對(duì)不同的網(wǎng)絡(luò)安全域����,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法�,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況��,管理網(wǎng)絡(luò)資源及其配置信息��,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案����,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況�。
(一)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理�����,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則�;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限����,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行��;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備�����、網(wǎng)絡(luò)端口�����、網(wǎng)絡(luò)物理線路�,防范黑客入侵,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件�;
(四)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵�����、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能�,緊急情況下,經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)����、后處理”的緊急應(yīng)對(duì)措施。
第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理�。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案�、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測(cè),審核(檢測(cè))通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源��?����! 〉诹l 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理�。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書面請(qǐng)示本部門主管領(lǐng)導(dǎo)���,變更信息應(yīng)做好記錄����。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行�����,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備�。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制�。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施��?! 〉诹臈l 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)��、掃描和評(píng)估�。檢測(cè)�����、掃描和評(píng)估結(jié)果屬敏感信息���,不得向外界提供��。未經(jīng)省聯(lián)社信息科技部授權(quán)���,任何外部單位與人員不得檢測(cè)�、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)�。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則����,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)���,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用�����。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)�?����! 〉诹邨l 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃�,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)��,任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接�����,應(yīng)采用必要的技術(shù)隔離保護(hù)措施��,對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制�。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)����,不得直接或間接接入國(guó)際互聯(lián)網(wǎng)?����! 〉谄呤畻l 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn)�����,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序�����?��?萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng)����,并做好備案���。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)�����,科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入�?���! 〉谄呤粭l 未經(jīng)科技信息部安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)�。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用�。 第七十二條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定�,不得從事任何違法違規(guī)活動(dòng)。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)���、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等����,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等�。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)
第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題,建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求����。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門提出的安全需求�����?����! ���。ǘ┌踩枨蠓治龊蛯?shí)現(xiàn)�?! 。ㄈ┻\(yùn)行平臺(tái)的安全策略與設(shè)計(jì)���。
第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制��,在安全防護(hù)方面應(yīng)符合下列基本安全要求:
(一)采取必要的技術(shù)手段��,建立嚴(yán)密的安全管理控制機(jī)制����,保證數(shù)據(jù)信息在處理��、存儲(chǔ)和傳輸過程中的完整性和安全性�,防止數(shù)據(jù)信息被非法使用、修改和復(fù)制���;
(二)提供完整的數(shù)據(jù)備份和恢復(fù)功能�,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)�����;
(三)具有嚴(yán)格的用戶和密碼管理����,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán),特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限��,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序���,具有身份識(shí)別和實(shí)體認(rèn)證功能����。能夠自動(dòng)記錄操作人員的重要操作����,具有防止抵賴機(jī)制;
(五)涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定���。
第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見����,未通過安全審核的項(xiàng)目不得予以立項(xiàng)��。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范��,依據(jù)安全需求進(jìn)行安全設(shè)計(jì)�����,保證安全功能的完整����、準(zhǔn)確實(shí)現(xiàn)�。
第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部����。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議��,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開����。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員��,不得在程序代碼中植入后門和惡意代碼程序����。
第八十條 信息系統(tǒng)開發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行����。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)���,并簽訂嚴(yán)格的保密協(xié)議�����。
第三節(jié) 信息系統(tǒng)上線與運(yùn)行
第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法�����,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行�����。具體要求如下: ?����。ㄒ唬╉?xiàng)目承擔(dān)單位(部門)應(yīng)組織制定安全測(cè)試方案�����,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告���,報(bào)科技信息部審查�?����! 。ǘ┛萍夹畔⒉繎?yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見���。必要時(shí)����,可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)��。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定���,報(bào)科技信息部備案。
第八十三條 信息系統(tǒng)投入運(yùn)行前�,應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評(píng)估和審批申請(qǐng),并報(bào)送下列材料:
(一)系統(tǒng)的用途�、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求�、安全策略、安全性指標(biāo)�����、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明�;
(三)系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告;
(四)信息系統(tǒng)安全評(píng)估和審批報(bào)告書�。
第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書面材料進(jìn)行初步審查��。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評(píng)估委員會(huì)或安全評(píng)估專家組�����,對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試��、認(rèn)證����。
第八十五條 對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容:
(一)系統(tǒng)的安全策略�;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實(shí)現(xiàn)程度����;
(四)系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性�����;
(五)系統(tǒng)運(yùn)行平臺(tái)的安全可靠性�。
第八十六條 安全評(píng)估委員會(huì)或安全評(píng)估專家組應(yīng)對(duì)測(cè)試、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告��,并出具信息系統(tǒng)安全評(píng)估和審批報(bào)告書����。
第八十七條 信息系統(tǒng)運(yùn)行平臺(tái)應(yīng)符合以下安全管理要求:
(一)合理配置操作系統(tǒng)����、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計(jì)功能����,以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。
(二)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能��,防止非法用戶的侵入�����。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)����。
(四)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁�����,修補(bǔ)系統(tǒng)存在的安全漏洞�����。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護(hù)員),具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理��,監(jiān)測(cè)系統(tǒng)運(yùn)行日志�����,掌握系統(tǒng)運(yùn)行狀況��,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案��,詳細(xì)記錄系統(tǒng)變更及操作過程��。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)�。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序�;維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員�。
第九十條 系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行����,并詳細(xì)記錄維護(hù)內(nèi)容、人員��、時(shí)間等信息�。
第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)�����,其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī)��,不得擅自設(shè)置��、分配�、使用����、修改、刪除操作員代碼�����、口令和業(yè)務(wù)數(shù)據(jù)�����,不得擅自改變用戶權(quán)限�����。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定����,科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作?! 〉诰攀龡l 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全�����。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技信息部報(bào)告��?���! 〉诰攀臈l 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼,并嚴(yán)格保密��,防止口令密碼泄漏��。嚴(yán)禁向其他任何人泄露本人口令密碼�。 第九十五條 凡是能夠執(zhí)行錄入����、復(fù)核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職�。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗�����、兼崗�。 第九十六條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí)�,應(yīng)按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài)���,防止業(yè)務(wù)數(shù)據(jù)被復(fù)制�、修改���、刪除以及誤操作�����。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)�、備案辦法�����。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請(qǐng)����,由科技信息部組織進(jìn)行安全檢查后予以廢止,同時(shí)備案�����?����! 〉诰攀藯l 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)���,科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存�����。超過保存期限后需要銷毀的�����,應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀��。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶���、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備�,包括臺(tái)式個(gè)人計(jì)算機(jī)(PC)�����、便攜式計(jì)算機(jī)�、柜員終端、自動(dòng)柜員機(jī)(ATM)���、存折打印機(jī)����、讀卡器�、銷售終端(POS)和個(gè)人數(shù)字助理(PDA)等?! 〉谝话贄l 農(nóng)商行應(yīng)建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息��,采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略�����?���! 〉谝话倭阋粭l 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件��,不得安裝和使用與工作無關(guān)的軟件���?��! 〉谝话倭愣l 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施�����,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序��?��! 〉谝话倭闳龡l 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶�����,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼��,不得轉(zhuǎn)借其他人使用���。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品����,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件��、硬件產(chǎn)品��。本辦法所稱信息安全服務(wù)�����,是指邵陽市農(nóng)村商業(yè)銀行向社會(huì)購買的專業(yè)化安全服務(wù)�����?����! 〉谝话倭阄鍡l 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型�,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購?���! 〉谝话倭懔鶙l 農(nóng)商行購置掃描�、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn)��,省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案�����。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法��,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理����。掃描���、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用���。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況����,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題��,立即采取控制措施并按規(guī)定程序報(bào)告�?��! 〉谝话倭憔艞l 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月���?����! 〉谝话僖皇畻l 農(nóng)商行科技信息部及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品�����,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品�����,按照固定資產(chǎn)報(bào)廢審批程序處理�����?���! 〉谝话僖皇粭l 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置�。如需要進(jìn)行遠(yuǎn)程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作����。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)�、客戶信息、系統(tǒng)運(yùn)行日志���、故障維護(hù)日志以及其他內(nèi)部資料。
第一百一十三條?農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系���,明確科技信息分類���、定密、解密�、備份、調(diào)用����、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪?�?���! 〉谝话僖皇臈l 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入��、處理�、輸出等不同狀態(tài)下的安全需求��,科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段�����。
第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)��,加強(qiáng)數(shù)據(jù)的保密管理�����?���! 〉谝话僖皇鶙l 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改���、刪除等變更操作����,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)���,并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程��?���! 〉谝话僖皇邨l 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容���、時(shí)間�����、密級(jí)等信息。日志文件應(yīng)至少保留一年����,妥善保管?�! 〉谝话僖皇藯l 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí)��,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法�����,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施����。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁��、防潮��、防塵����、防高溫、防擠壓存放�。恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的��,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管���。
第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程�,嚴(yán)格管理客戶信息的采集�����、處理、存儲(chǔ)�、傳輸、分發(fā)��、備份�、恢復(fù)、清理和銷毀���。不得非法買賣�����、泄露客戶個(gè)人信息���,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息����。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)����、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種紙質(zhì)技術(shù)資料����,包括文檔�、電子文檔、視頻和音頻文件等��。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔�����、參數(shù)配置文檔��、軟件開發(fā)文檔及其源程序等����。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔�����,嚴(yán)格管理�����,并實(shí)行借閱登記辦法�。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)����,任何人不得將技術(shù)文檔轉(zhuǎn)借�、復(fù)制和對(duì)外公布。
第三節(jié) 存儲(chǔ)介質(zhì)
第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶�����、光盤�����、移動(dòng)存儲(chǔ)介質(zhì)�、已打印文檔等存儲(chǔ)介質(zhì)管理流程。已存儲(chǔ)信息的存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)����,統(tǒng)一編號(hào),并標(biāo)明信息生成或備份日期�����、密級(jí)及保密期限���。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放����?�! 〉谝话俣臈l 農(nóng)商行應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制�,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄�。 第一百二十五條 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備(U盤��、移動(dòng)硬盤等)管理辦法����,加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在外網(wǎng)使用��,禁止外網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用���?����! 〉谝话俣鶙l 農(nóng)商行應(yīng)建立存儲(chǔ)介質(zhì)銷毀辦法����,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼����,并獨(dú)享使用,不得泄露��,且至少每三個(gè)月更換一次�。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求�,不得設(shè)置過于簡(jiǎn)單的弱口令密碼?���! 〉谝话俣藯l 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄��、密封交主管部門保管,并確保記錄載體的安全�。未經(jīng)主管部門領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼���。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放�。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定����,采用相應(yīng)的加密措施���。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略����,合理選擇加密措施�����?��! 〉谝话偃粭l 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定�����,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求����。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制�,密鑰管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案��,規(guī)范管理密鑰產(chǎn)生���、存儲(chǔ)�����、分發(fā)�、使用���、廢除���、歸檔、銷毀等過程�。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作���,并確保密鑰副本的物理安全�,且須設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能�。 第一百三十四條 各類密鑰應(yīng)定期更換,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除����,過期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動(dòng)��?�! 〉谝话偃鶙l 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批�����,農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批�。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為��?! 〉谝话偃邨l 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制�����,列明所有用戶名單及其權(quán)限��,嚴(yán)格監(jiān)督第三方訪問活動(dòng)�。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改�、增加、刪除數(shù)據(jù)操作����,不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)����、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護(hù)技術(shù)支持�、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議���,協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)�����。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)�,外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息�。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社�����。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)�,科技信息部應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議���。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件�,并徹底清除與密碼有關(guān)的軟件和信息�����。
第十一章 災(zāi)難備份與應(yīng)急管理
第一節(jié) 災(zāi)難備份管理
第一百四十三條 災(zāi)難備份是指利用技術(shù)��、管理手段以及相關(guān)資源�,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震�����、水災(zāi)��、火災(zāi)��、戰(zhàn)爭(zhēng)�、恐怖襲擊、網(wǎng)絡(luò)攻擊��、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過程���?��! 〉谝话偎氖臈l 科技信息部按照“統(tǒng)籌安排、資源共享�����、平戰(zhàn)結(jié)合”的原則����,負(fù)責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理����。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求���,明確可容忍的業(yè)務(wù)中斷時(shí)間(恢復(fù)時(shí)間目標(biāo)RTO)和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)RPO)�。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案�����。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃�����,定期開展災(zāi)難恢復(fù)培訓(xùn)���。在條件許可的情況下��,由省聯(lián)社信息科技部統(tǒng)一部署����,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練���,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第二節(jié) 應(yīng)急管理
第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓����,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略�����、措施的有機(jī)集合��。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略�,同步實(shí)施備份方案?����! 〉谝话偎氖艞l 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)����、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成����。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: ?���。ㄒ唬┛倓t(目標(biāo)、原則�、適用范圍、預(yù)案調(diào)用關(guān)系等)�。 ?�。ǘ?yīng)急組織機(jī)構(gòu)����?�! ����。ㄈ╊A(yù)警響應(yīng)機(jī)制(報(bào)告����、評(píng)估、預(yù)案啟動(dòng)等)���?�! �。ㄋ模└黝愇C(jī)處置流程�。 ?。ㄎ澹?yīng)急資源保障��?! 。┦潞筇幚砹鞒?����。 ?���。ㄆ撸╊A(yù)案管理與維護(hù)(生效、演練����、維護(hù)等)?��! 〉谝话傥迨粭l 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練��,并指定專人管理和維護(hù)應(yīng)急預(yù)案�����,根據(jù)人員��、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善��,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性�����?��! 〉谝话傥迨l 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮��,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)���、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源����。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào)�,一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為����、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后���,農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)��,采取必要的控制措施�,調(diào)查事件原因����,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部�。??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告����。
第十二章 安全檢查評(píng)估與培訓(xùn)
第一節(jié) 監(jiān)測(cè)檢查
第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)�、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)�����、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)�����?����! 〉谝话傥迨藯l 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)�����、月報(bào)或季報(bào)辦法,報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部����,抄送相關(guān)業(yè)務(wù)部門?����! 〉谝话傥迨艞l 農(nóng)商行要及時(shí)預(yù)警����、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決���,并報(bào)上一級(jí)單位相關(guān)部門�。
第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查��,安全檢查方式可以是自查����、互查或上級(jí)檢查多種方式?! 〉谝话倭粭l 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃��,確保檢查工作的可操作性和規(guī)范性�����。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位�。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤�。 第一百六十二條 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任�����。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管���,不得向外界泄露���。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案��。
第二節(jié) 評(píng)估審計(jì)
第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估����、檢查評(píng)估和委托評(píng)估等方式�����,每年至少組織一次對(duì)本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估����。
第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行����。評(píng)估開始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)����。評(píng)估結(jié)束后,形成評(píng)估報(bào)告����,提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)?���! 〉谝话倭鶙l 農(nóng)商行如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,報(bào)省聯(lián)社信息科技部批準(zhǔn)��,并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行�。本單位信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督��?! 〉谝话倭邨l 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告�,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第一百六十八條 農(nóng)商行定期對(duì)重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)�。開展等保測(cè)評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》的有關(guān)規(guī)定,確保測(cè)評(píng)有效和測(cè)評(píng)安全����。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí)�,應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì),發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)��?�! 〉谝话倨呤畻l 農(nóng)商行應(yīng)做好操作系統(tǒng)�、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配置管理,并完整保留相關(guān)日志記錄��。
第三節(jié) 安全培訓(xùn)
第一百七十一條 農(nóng)商行應(yīng)至少每年對(duì)信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn)�����,不斷提高信息安全管理人員專業(yè)技能和管理水平��。
第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育,對(duì)本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn)��,提高全體員工信息安全意識(shí)����,使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng)����,對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)?����! 〉谝话倨呤臈l 對(duì)于違反本辦法�����,造成重大信息安全事件的單位及個(gè)人���,要給予通報(bào)批評(píng)�����;情節(jié)嚴(yán)重的��,依據(jù)相關(guān)法律法規(guī)����,追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任����;構(gòu)成犯罪的,依法追究刑事責(zé)任��。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的�����,按本辦法執(zhí)行���。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。
