第一章??? 總則

第一條 為加強邵陽(yáng)市農村商業(yè)銀行（以下簡(jiǎn)稱(chēng)農商行）信息系統信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò )安全等管理，防范和化解信息系統的運行風(fēng)險，杜絕各類(lèi)事故和案件的發(fā)生，根據《湖南省農村信用社信息安全管理辦法》、《中華人民共和國信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》、《商業(yè)銀行信息科技風(fēng)險管理指引》等規定，結合我農商行實(shí)際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽(yáng)市農商行網(wǎng)絡(luò )或信息資源的其他外部機構和個(gè)人，包括農商行轄內網(wǎng)點(diǎn)所有員工，包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。

第三條 信息系統信息安全工作堅持以預防為主、綜合治理、人員防范與技術(shù)防范相結合和的原則、按照“誰(shuí)主管誰(shuí)負責，誰(shuí)運行誰(shuí)負責，誰(shuí)使用誰(shuí)負責”的原則，逐級落實(shí)單位與個(gè)人信息安全責任制。

第四條 信息系統系統信息安全管理員，應當保障信息系統及配套設備的安全、運行環(huán)境的安全和信息的安全。

第五條 任何個(gè)人不得利用信息系統從事危害國家利益和集體利益的活動(dòng)、不得危害計算機信息系統的安全。

第二章　組織保障

第六條 農商行設立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責。

第七條 根據省聯(lián)社要求，農商行成立由農商行領(lǐng)導和各職能部門(mén)主要負責人組成信息安全工作領(lǐng)導小組，領(lǐng)導小組辦公室設農商行科技信息部，負責協(xié)調轄內信息安全管理工作，決定轄內信息安全重大事宜。 　　第八條 農商行科技信息部門(mén)設立信息安全崗位，配備專(zhuān)職信息安全管理人員。負責邵陽(yáng)農商行信息安全管理，建立完善信息安全管理辦法，并組織實(shí)施；對農商行信息安全管理工作進(jìn)行指導和檢查督促。

第九條 農商行各支行及各職能部門(mén)主要負責人為本部門(mén)信息安全第一責任人，同時(shí)均應指定至少一名部門(mén)信息安全員，具體負責本部門(mén)的信息安全管理，協(xié)同科技信息部開(kāi)展信息安全管理工作。

第三章??? 人員管理

農商行工作人員根據不同的崗位或工作范圍，履行相應的信息安全保障職責?？萍夹畔⒉繛檗r商行信息安全保護專(zhuān)職部門(mén)，設信息安全管理員、系統維護管理員、技術(shù)維護員等崗位負責全轄信息系統安全運行。各部門(mén)及支行要設立信息系統安全管理領(lǐng)導小組，設立部門(mén)信息安全員。

第一節 信息安全管理人員

第十條 農商行選派政治思想過(guò)硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和湖南省農村信用社有關(guān)規定受到過(guò)處罰或處分的人員，不得從事此項工作。

第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條 信息安全管理人員必須應經(jīng)過(guò)省聯(lián)社組織的專(zhuān)業(yè)培訓與審核，培訓與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專(zhuān)業(yè)培訓。 　　第十三條 農商行信息安全管理人員在如下職責范圍內開(kāi)展本單位信息安全管理工作： 　?。ㄒ唬┙M織落實(shí)上級信息安全管理規定，制定信息安全管理辦法，協(xié)調部門(mén)計算機安全員工作，監督檢查信息安全保障工作。 　?。ǘ徍诵畔⒒ㄔO項目中的安全方案，組織實(shí)施信息安全保障項目建設，維護、管理信息安全專(zhuān)用設施。 　?。ㄈz測網(wǎng)絡(luò )和信息系統的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現問(wèn)題，及時(shí)通報和預警，并提出整改意見(jiàn)。統計分析和協(xié)調處置信息安全事件。 　?。ㄋ模┒ㄆ诮M織信息安全宣傳教育活動(dòng)，開(kāi)展信息安全檢查、評估與培訓工作。 　　第十四條 信息安全管理人員在履行職責時(shí)，確因工作需要查詢(xún)相關(guān)涉密信息，須經(jīng)本部門(mén)負責人同意后向本單位保密主管部門(mén)提交申請，獲得批準后方可查詢(xún)。 　　第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應及時(shí)報上一級科技信息部備案。

第十六條 信息安全管理人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務(wù)。涉及農村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調離單位，必須進(jìn)行離崗審計，并在規定的脫密期后，方可調離。

第二節 部門(mén)信息安全員

第十七條 各部門(mén)和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門(mén)信息安全員，并報農商行科技信息部備案。如有變更應做好交接工作，并及時(shí)通報科技信息部。 　　第十八條 部門(mén)信息安全員配合農商行信息安全管理人員工作，并參加各項信息安全技能培訓。 　　第十九條 部門(mén)信息安全員在如下職責范圍內開(kāi)展工作： 　?。ㄒ唬┴撠煴静块T(mén)計算機病毒防治工作，監督檢查本部門(mén)客戶(hù)端安全管理情況。 　?。ǘ┴撠熖岢霰静块T(mén)信息安全保障需求，及時(shí)與農商行信息安全管理人員溝通信息安全信息。 　?。ㄈ┴撠煴静块T(mén)國際互聯(lián)網(wǎng)使用和接入安全管理，組織開(kāi)展本部門(mén)信息安全自查，協(xié)助科技信息部完成對本部門(mén)的信息安全檢查工作。

第三節 技術(shù)支持人員

第二十條 本辦法所稱(chēng)技術(shù)支持人員，是指參與邵陽(yáng)農商行網(wǎng)絡(luò )、信息系統、機房環(huán)境等建設、運行、維護的內部技術(shù)支持人員和外包服務(wù)人員。 　　第二十一條 農商行內部技術(shù)支持人員在履行網(wǎng)絡(luò )和信息系統建設和日常運行維護職責過(guò)程中，應承擔如下安全義務(wù)： 　?。ㄒ唬┎坏脤ν庑孤痘蛞霉ぷ髦杏|及的任何敏感信息。嚴格權限訪(fǎng)問(wèn)，未經(jīng)批準不得擅自改變系統設置或修改系統生成的任何業(yè)務(wù)數據。 　?。ǘ┲鲃?dòng)檢查和監控生產(chǎn)系統安全運行狀況，發(fā)現安全隱患或故障及時(shí)報告本部門(mén)主管領(lǐng)導，并及時(shí)響應、處置。 　?。ㄈ﹪栏癫僮鞴芾?、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法，做好數據備份工作。 　　第二十二條 外部技術(shù)支持人員應嚴格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴格遵守湖南省農村信用社相關(guān)安全規定與操作規程，關(guān)鍵操作應經(jīng)授權，并有農商行內部員工在場(chǎng)。不得拷貝或帶走任何配置參數信息或業(yè)務(wù)數據，不得對外泄露或引用任何工作信息。

第四節 業(yè)務(wù)系統操作人員

第二十三條 本辦法所稱(chēng)業(yè)務(wù)系統操作人員是指直接操作業(yè)務(wù)系統進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 　　第二十四條 業(yè)務(wù)系統操作人員應承擔如下安全義務(wù)： 　?。ㄒ唬﹪栏褚幊滩僮?，防止誤操作。定期修改操作密碼并妥善保管，按需、適時(shí)進(jìn)行必要的數據備份。 　?。ǘ┌l(fā)現業(yè)務(wù)系統出現異常及時(shí)報告科技信息部。 　?。ㄈ┎坏迷诓僮鹘K端上安裝與業(yè)務(wù)系統無(wú)關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統及其運行環(huán)境參數設置。 　　第二十五條 業(yè)務(wù)系統操作應按照“權限分散、不得交叉任職”原則，嚴格進(jìn)行操作角色劃分和授權管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統操作人員。

第五節 一般計算機用戶(hù)

第二十六條 本辦法所稱(chēng)一般計算機用戶(hù)是指使用計算機設備的所有人員。 　　第二十七條 一般計算機用戶(hù)應承擔如下安全義務(wù)： 　?。ㄒ唬┘皶r(shí)更新所用計算機的病毒防治軟件和安裝補丁程序，自覺(jué)接受本部門(mén)信息安全員的指導與管理。 　?。ǘ┎坏冒惭b與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計算機軟件和硬件，不得修改系統和網(wǎng)絡(luò )配置參數。 　?。ㄈ┪唇?jīng)科技信息部檢測和授權，不得將接入湖南省農村信用社內部網(wǎng)絡(luò )的所用計算機轉接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農村信用社內部網(wǎng)絡(luò )；不得隨意將個(gè)人計算機帶入機房或私自拷貝任何信息。

第六節 信息系統要害崗位人員

第二十八條 本辦法所稱(chēng)信息系統要害崗位人員，是指與重要信息系統直接相關(guān)的系統管理員、網(wǎng)絡(luò )管理員、系統開(kāi)發(fā)人員、系統維護員等內部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條 本辦法所稱(chēng)重要信息系統是指湖南省農村信用社面向客戶(hù)的業(yè)務(wù)處理類(lèi)、渠道類(lèi)和涉及客戶(hù)風(fēng)險管理等業(yè)務(wù)的管理類(lèi)信息系統，以及支撐系統運行的機房和網(wǎng)絡(luò )等基礎設施。

第三十條 要害崗位人員上崗前必須經(jīng)農商行人事部門(mén)進(jìn)行政治素質(zhì)審查，技術(shù)部門(mén)進(jìn)行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實(shí)行“權限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權”原則，嚴格設定各用戶(hù)的操作權限。

第三十二條 對要害崗位人員應實(shí)行年度強制休假辦法和定期考查辦法，并進(jìn)行必要的安全教育和培訓。

第三十三條 要害崗位人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調離單位，必須進(jìn)行離崗審計，在規定的脫密期后，方可調離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷(xiāo)用戶(hù)。

第三十五條 系統管理員安全責任

（一）負責系統的運行管理，實(shí)施系統安全運行細則；

（二）嚴格用戶(hù)權限管理，維護系統安全正常運行；

（三）認真記錄系統安全事項，及時(shí)向計算機安全人員報告安全事件；

（四）對進(jìn)行系統操作的其他人員予以安全監督。

第三十六條 系統開(kāi)發(fā)員安全責任

（一）系統開(kāi)發(fā)建設中，應嚴格執行系統安全策略，保證系統安全功能的準確實(shí)現；

（二）系統投產(chǎn)運行前，應完整移交系統源代碼和相關(guān)涉密資料；

（三）不得對系統設置后門(mén)；

（四）對系統核心技術(shù)保密。

第三十七條 系統維護員安全責任

（一）負責系統維護，及時(shí)解除系統故障，確保系統正常運行；

（二）不得擅自改變系統參數配置；

（三）不得安裝與系統無(wú)關(guān)的其他計算機程序；

（四）維護過(guò)程中，發(fā)現安全漏洞應及時(shí)報告計算機安全人員。

第三十八條 各要害崗位人員必須嚴格遵守保密法規和有關(guān)信息安全管理規定。

第四章　機房環(huán)境和設備資產(chǎn)管理

第一節 機房環(huán)境安全管理

第三十九條 本辦法所稱(chēng)機房是指信息系統等主要設備放置、運行場(chǎng)所以及供配電、通信、空調、消防、監控等配套環(huán)境設施。 　　第四十條 農商行機房的規劃、建設、改造、運行、維護由科技信息部負責。 　　第四十一條 農商行機房應符合國家計算機機房有關(guān)標準、監管部門(mén)有關(guān)要求和省聯(lián)社有關(guān)規定，滿(mǎn)足下列基本安全要求：

（一）機房周?chē)?00米內不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。

（三）機房應安裝門(mén)禁系統、防雷系統、監視系統、消防系統、報警系統。

（四）機房應設專(zhuān)用的供電系統，配備必要的UPS和發(fā)電機。

第四十二條 機房建設、改造的方案應報上市網(wǎng)絡(luò )中心備案。必要時(shí)，由市網(wǎng)絡(luò )中心會(huì )同財務(wù)、保衛等部門(mén)進(jìn)行審核。 　　第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專(zhuān)業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專(zhuān)業(yè)化公司。重要機房建設或改造工程應引入監理辦法。

第四十四條　計算機機房實(shí)行分區管理原則。核心區實(shí)行24小時(shí)連續監控，生產(chǎn)區實(shí)行工作時(shí)間連續監控，輔助區實(shí)施聯(lián)動(dòng)監控。

第四十五條　監控設備的安裝應符合安全保密原則，確保監控的安全規范運作，防止監控信息的泄密。

第四十六條 農商行機房應建立機房設施與場(chǎng)地環(huán)境集中監控系統，對機房空調、消防、不間斷電源（UPS）、供配電、門(mén)禁系統等重要設施實(shí)行全面監控，通過(guò)技術(shù)和管理手段，確保計算機機房及配套設施安全。 　　第四十七條 農商行機房投入使用前，應經(jīng)過(guò)當地公安消防部門(mén)的消防驗收和本單位科技、保衛部門(mén)組織的驗收，并出具明確結論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 　　第四十八條 農商行建立健全機房管理辦法，并指派專(zhuān)人擔任機房管理員，落實(shí)機房安全責任制。機房管理員應經(jīng)過(guò)相關(guān)專(zhuān)業(yè)培訓，熟知機房各類(lèi)設備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現問(wèn)題及時(shí)報告。

第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時(shí)提供調閱。

第五十條　農商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進(jìn)入機房。非機房工作人員進(jìn)出機房須經(jīng)主管部門(mén)領(lǐng)導批準，并辦理登記手續，由專(zhuān)人陪同。

第五十一條 建立機房定期維修保養辦法。易受季節、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過(guò)的設備等應成為保養的重點(diǎn)。

第五十二條 向社會(huì )提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應嚴格出入安全管理，應安裝門(mén)禁、防入侵報警、視頻監視錄像系統，實(shí)行定時(shí)錄像監控，并適當配置自動(dòng)監控報警功能。 　　第五十三條 所有門(mén)禁、防入侵報警、視頻監視錄像系統的信息資料由專(zhuān)人保管，至少保存三個(gè)月。

第二節 設備資產(chǎn)管理

第五十四條 農商行科技信息部建立完備的計算機設備登記辦法，嚴格資產(chǎn)管理，明確計算機設備使用者或管理者及其安全責任。 　　第五十五條 農商行科技信息部根據計算機設備重要程度采取不同的安全保護措施，制定完善的訪(fǎng)問(wèn)控制策略，防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區，必要時(shí)，單獨建立門(mén)禁與監控系統，或配備防電磁泄露的屏蔽裝置等。

第五章　網(wǎng)絡(luò )安全管理

第一節 網(wǎng)絡(luò )規劃建設安全管理

第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡(luò )和網(wǎng)絡(luò )安全的統一規劃、建設部署、策略配置和網(wǎng)絡(luò )資源（網(wǎng)絡(luò )設備、通訊線(xiàn)路、IP地址和域名等）分配。 　　第五十七條 農商行科技信息部按照省聯(lián)社信息科技部的統一規劃和總體部署，組織實(shí)施網(wǎng)絡(luò )建設、改造工程。農商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案，投產(chǎn)前應通過(guò)本單位組織的安全測試。 　　第五十八條 農商行的網(wǎng)絡(luò )建設和改造應符合如下基本安全要求： 　?。ㄒ唬┓虾鲜∞r村信用社網(wǎng)絡(luò )安全管理要求，使用內容過(guò)濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數據加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險，保障網(wǎng)絡(luò )傳輸與應用安全。 　?。ǘ┚邆浔匾木W(wǎng)絡(luò )監測、跟蹤和審計等管理功能。 　?。ㄈ└鶕畔踩墑e，將網(wǎng)絡(luò )劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò )安全域，采取必要和有效的安全控制措施。

第二節 網(wǎng)絡(luò )運行安全管理

第五十九條 農商行科技信息部建立健全網(wǎng)絡(luò )安全運行辦法，配備網(wǎng)絡(luò )管理員。網(wǎng)絡(luò )管理員負責日常監測和檢查網(wǎng)絡(luò )安全運行狀況，管理網(wǎng)絡(luò )資源及其配置信息，建立健全網(wǎng)絡(luò )運行維護檔案，及時(shí)發(fā)現和解決網(wǎng)絡(luò )異常情況。

（一）負責網(wǎng)絡(luò )的運行管理，實(shí)施網(wǎng)絡(luò )安全策略和安全運行細則；

（二）安全配置網(wǎng)絡(luò )參數，嚴格控制網(wǎng)絡(luò )用戶(hù)訪(fǎng)問(wèn)權限，維護網(wǎng)絡(luò )安全正常運行；

（三）監控網(wǎng)絡(luò )關(guān)鍵設備、網(wǎng)絡(luò )端口、網(wǎng)絡(luò )物理線(xiàn)路，防范黑客入侵，及時(shí)向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡(luò )管理功能的其他人員進(jìn)行安全監督。

第六十條 網(wǎng)絡(luò )管理員定期參加網(wǎng)絡(luò )安全技術(shù)培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò )安全威脅的應對技能，緊急情況下，經(jīng)本部門(mén)主管領(lǐng)導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。

第六十一條 農商行科技信息部嚴格網(wǎng)絡(luò )接入管理。任何設備接入網(wǎng)絡(luò )前，接入方案、設備的安全性等應經(jīng)過(guò)審核與必要的檢測，審核（檢測）通過(guò)后方可接入并分配相應的網(wǎng)絡(luò )資源。 　　第六十二條 農商行科技信息部嚴格網(wǎng)絡(luò )變更管理。網(wǎng)絡(luò )管理員在調整網(wǎng)絡(luò )重要參數配置和服務(wù)端口前，應書(shū)面請示本部門(mén)主管領(lǐng)導，變更信息應做好記錄。實(shí)施有可能影響網(wǎng)絡(luò )正常運行的重大網(wǎng)絡(luò )變更，應提前通知所有使用部門(mén)并安排在節假日進(jìn)行，同時(shí)做好配置參數的備份和應急恢復準備。 　　第六十三條 農商行嚴格遠程訪(fǎng)問(wèn)控制。確因工作需要進(jìn)行遠程訪(fǎng)問(wèn)的部門(mén)和人員應向科技信息部提出書(shū)面申請，并采取相應的安全防護措施。 　　第六十四條 信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導批準，有權對本單位或轄內網(wǎng)絡(luò )進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權，任何外部單位與人員不得檢測、掃描湖南省農村信用社內部網(wǎng)絡(luò )。 　　第六十五條 農商行應以不影響業(yè)務(wù)的正常網(wǎng)絡(luò )傳輸為原則，合理控制多媒體網(wǎng)絡(luò )應用規模和范圍。未經(jīng)省聯(lián)社信息科技部批準，不得在湖南省農村信用社內部網(wǎng)絡(luò )上提供跨轄區視頻點(diǎn)播等嚴重占用網(wǎng)絡(luò )資源的多媒體網(wǎng)絡(luò )應用。

第三節 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱(chēng)網(wǎng)間互聯(lián)是指為滿(mǎn)足邵陽(yáng)市農村商業(yè)銀行與其他外部機構信息交換或信息共享需求實(shí)施的機構間網(wǎng)絡(luò )互聯(lián)。 　　第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統一規劃，按照相關(guān)標準組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準，任何單位不得自行與外部機構實(shí)施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準與其他業(yè)務(wù)相關(guān)機構進(jìn)行網(wǎng)絡(luò )連接，應采用必要的技術(shù)隔離保護措施，對聯(lián)網(wǎng)使用的用戶(hù)必須采用一人一帳戶(hù)的訪(fǎng)問(wèn)控制。

第四節 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽(yáng)市農村商業(yè)銀行內部網(wǎng)絡(luò )與國際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽(yáng)市農村商業(yè)銀行內部網(wǎng)絡(luò )或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 　　第七十條 計算機接入國際互聯(lián)網(wǎng)應通過(guò)本單位保密主管部門(mén)批準，并確保安裝有湖南省農村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關(guān)批準證明實(shí)施聯(lián)網(wǎng)，并做好備案。曾接入邵陽(yáng)市農村商業(yè)銀行內部網(wǎng)絡(luò )的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續，科技信息部確保該計算機已刪除敏感工作信息后方可實(shí)施接入。 　　第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農村信用社內部網(wǎng)絡(luò )。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內部網(wǎng)絡(luò )上使用。 　　第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶(hù)應遵守國家有關(guān)法律法規和湖南省農村信用社相關(guān)管理規定，不得從事任何違法違規活動(dòng)。

第六章　信息系統安全管理

第七十三條 本辦法所指的信息系統是邵陽(yáng)市農村商業(yè)銀行業(yè)務(wù)處理系統、管理信息系統和日常辦公自動(dòng)化系統等，包括數據庫、軟件和硬件支撐環(huán)境等。

第一節 信息系統規劃與立項

第七十四條 信息系統建設項目應在規劃與立項階段同步考慮安全問(wèn)題，建設方案應滿(mǎn)足邵陽(yáng)市農村商業(yè)銀行信息安全保障總體規劃的相關(guān)要求。項目技術(shù)方案應包括以下基本安全內容： 　?。ㄒ唬I(yè)務(wù)需求部門(mén)提出的安全需求。 　?。ǘ┌踩枨蠓治龊蛯?shí)現。 　?。ㄈ┻\行平臺的安全策略與設計。

第七十五條 信息系統應采取與業(yè)務(wù)安全等級要求相應的安全機制，在安全防護方面應符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴密的安全管理控制機制，保證數據信息在處理、存儲和傳輸過(guò)程中的完整性和安全性，防止數據信息被非法使用、修改和復制；

（二）提供完整的數據備份和恢復功能，能方便地根據系統和數據的備份介質(zhì)進(jìn)行災難恢復；

（三）具有嚴格的用戶(hù)和密碼管理，能對不同級別的用戶(hù)進(jìn)行有限授權，特別應嚴格限制和分流特權用戶(hù)的權限，防止非法用戶(hù)的侵入和破壞；

（四）重要信息系統應設置審計監控程序，具有身份識別和實(shí)體認證功能。能夠自動(dòng)記錄操作人員的重要操作，具有防止抵賴(lài)機制；

（五）涉密信息系統的安全設計應符合涉密信息保密管理的有關(guān)規定。

第七十六條 農商行科技信息部負責對項目技術(shù)方案進(jìn)行安全專(zhuān)項審查并提出審查意見(jiàn)，未通過(guò)安全審核的項目不得予以立項。

第二節 信息系統開(kāi)發(fā)與集成

第七十七條 信息系統開(kāi)發(fā)應符合軟件工程規范，依據安全需求進(jìn)行安全設計，保證安全功能的完整、準確實(shí)現。

第七十八條 信息系統開(kāi)發(fā)單位應在完成開(kāi)發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽(yáng)市農村商業(yè)銀行科技信息部。外部開(kāi)發(fā)單位還應與邵陽(yáng)市農村商業(yè)銀行簽署相關(guān)知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統采用的關(guān)鍵安全技術(shù)措施和核心安全功能設計對外公開(kāi)。 　　第七十九條 信息系統的開(kāi)發(fā)人員不能兼任信息系統管理員或業(yè)務(wù)系統操作人員，不得在程序代碼中植入后門(mén)和惡意代碼程序。

第八十條 信息系統開(kāi)發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 　　第八十一條 涉密信息系統集成應選擇具有國家相關(guān)部門(mén)頒發(fā)的涉密系統集成資質(zhì)證書(shū)的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第三節 信息系統上線(xiàn)與運行

第八十二條 農商行信息系統上線(xiàn)運行實(shí)行安全審查辦法，未通過(guò)安全審查的任何新建或改造信息系統不得投產(chǎn)運行。具體要求如下： 　?。ㄒ唬╉椖砍袚鷨挝唬ú块T(mén)）應組織制定安全測試方案，進(jìn)行系統上線(xiàn)前的自測試并形成測試報告，報科技信息部審查。 　?。ǘ┛萍夹畔⒉繎岢雒鞔_的測試方案和測試報告審查意見(jiàn)。必要時(shí)，可組織專(zhuān)家評審或實(shí)施信息系統漏洞掃描檢測。

（三）信息系統建設牽頭業(yè)務(wù)部門(mén)應在信息系統投產(chǎn)運行前同步制定相關(guān)安全操作規定，報科技信息部備案。

第八十三條 信息系統投入運行前，應向省聯(lián)社科技部和市網(wǎng)絡(luò )中心提出安全評估和審批申請，并報送下列材料：

（一）系統的用途、總體結構及軟硬件配置等基本情況；

（二）關(guān)于系統安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說(shuō)明；

（三）系統安全性測試提綱和測試報告；

（四）信息系統安全評估和審批報告書(shū)。

第八十四條 科技信息部應當對報送的書(shū)面材料進(jìn)行初步審查。委托相關(guān)權威機構組建由相關(guān)業(yè)務(wù)和技術(shù)專(zhuān)家組成的安全評估委員會(huì )或安全評估專(zhuān)家組，對信息系統進(jìn)行安全性測試、認證。

第八十五條 對信息系統的安全評估應當包括以下內容：

（一）系統的安全策略；

（二）系統安全措施；

（三）系統安全功能的實(shí)現程度；

（四）系統運行的穩定性、可靠性；

（五）系統運行平臺的安全可靠性。

第八十六條 安全評估委員會(huì )或安全評估專(zhuān)家組應對測試、認證的信息系統提出安全評估報告，并出具信息系統安全評估和審批報告書(shū)。

第八十七條 信息系統運行平臺應符合以下安全管理要求：

（一）合理配置操作系統、數據庫管理系統所提供的安全審計功能，以達到相應安全等級標準。

（二）屏蔽與應用系統無(wú)關(guān)的所有網(wǎng)絡(luò )功能，防止非法用戶(hù)的侵入。

（三）按照網(wǎng)絡(luò )管理規范及其業(yè)務(wù)應用范圍設置聯(lián)網(wǎng)設備的IP地址及網(wǎng)絡(luò )參數。

（四）及時(shí)安裝正式發(fā)布的系統補丁，修補系統存在的安全漏洞。

第八十八條 農商行科技信息部明確系統管理員（系統維護員），具體負責信息系統的日常運行管理，監測系統運行日志，掌握系統運行狀況，并建立重要信息系統運行維護檔案，詳細記錄系統變更及操作過(guò)程。重要業(yè)務(wù)系統的系統設置要求雙人在場(chǎng)。

第八十九條 系統管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統無(wú)關(guān)的其他計算機程序；維護過(guò)程中，發(fā)現安全漏洞應及時(shí)報告計算機安全人員。

第九十條 系統管理員確需對業(yè)務(wù)系統進(jìn)行維護性操作的，應征得業(yè)務(wù)部門(mén)同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行，并詳細記錄維護內容、人員、時(shí)間等信息。

第九十一條 未經(jīng)業(yè)務(wù)主管部門(mén)領(lǐng)導書(shū)面批準，其他任何人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數據，不得擅自改變用戶(hù)權限。

第四節 業(yè)務(wù)操作

第九十二條 業(yè)務(wù)部門(mén)負責信息系統業(yè)務(wù)操作用戶(hù)和權限設定，科技信息部根據-授權進(jìn)行相關(guān)設定操作。 　　第九十三條 業(yè)務(wù)操作人員應嚴格按照安全操作規程進(jìn)行業(yè)務(wù)操作和必要的數據備份，并配合科技信息部保障信息安全。一旦發(fā)現信息系統運行異常及時(shí)向本部門(mén)領(lǐng)導和科技信息部報告。 　　第九十四條 業(yè)務(wù)操作人員應設置本人口令密碼，并嚴格保密，防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 　　第九十五條 凡是能夠執行錄入、復核辦法的信息系統，業(yè)務(wù)操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務(wù)部門(mén)主管領(lǐng)導批準，不得代崗、兼崗。 　　第九十六條 業(yè)務(wù)操作人員離開(kāi)操作用機時(shí)，應按序退出信息系統，回到操作系統初始狀態(tài)，防止業(yè)務(wù)數據被復制、修改、刪除以及誤操作。

第五節 信息系統廢止

第九十七條 實(shí)行信息系統廢止申報、備案辦法。使用信息系統的業(yè)務(wù)部門(mén)根據需要向科技信息部提出廢止申請，由科技信息部組織進(jìn)行安全檢查后予以廢止，同時(shí)備案。 　　第九十八條 對已經(jīng)廢止的信息系統軟件和數據備份介質(zhì)，科技信息部按業(yè)務(wù)規定在一定期限內妥善保存。超過(guò)保存期限后需要銷(xiāo)毀的，應在本單位保密主管部門(mén)監督下予以不可恢復性銷(xiāo)毀。

第七章　客戶(hù)端安全管理

第九十九條 本辦法所稱(chēng)客戶(hù)端是指邵陽(yáng)市農村商業(yè)銀行計算機用戶(hù)、網(wǎng)絡(luò )與信息系統所使用的終端設備，包括臺式個(gè)人計算機（PC）、便攜式計算機、柜員終端、自動(dòng)柜員機（ATM）、存折打印機、讀卡器、銷(xiāo)售終端（POS）和個(gè)人數字助理（PDA）等。 　　第一百條 農商行應建立完善的客戶(hù)端管理辦法，記錄所有客戶(hù)端設備信息和軟件配置信息，采用桌面終端安全管理軟件集中實(shí)現桌面終端安全策略。 　　第一百零一條 客戶(hù)端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無(wú)關(guān)的軟件。 　　第一百零二條 客戶(hù)端應統一安裝病毒防治軟件，設置用戶(hù)密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。 　　第一百零三條 確因工作需要經(jīng)授權可遠程接入內部網(wǎng)絡(luò )的用戶(hù)，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉借其他人使用。

第八章　信息安全專(zhuān)用產(chǎn)品與服務(wù)管理

第一節 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱(chēng)信息安全專(zhuān)用產(chǎn)品，是指邵陽(yáng)市農村商業(yè)銀行安裝使用的專(zhuān)用安全軟件、硬件產(chǎn)品。本辦法所稱(chēng)信息安全服務(wù)，是指邵陽(yáng)市農村商業(yè)銀行向社會(huì )購買(mǎi)的專(zhuān)業(yè)化安全服務(wù)。 　　第一百零五條 省聯(lián)社信息科技部負責信息安全服務(wù)提供商的資質(zhì)審查和信息安全專(zhuān)用產(chǎn)品的選型，農商行在選型范圍內按規定選購。 　　第一百零六條 農商行購置掃描、檢測類(lèi)信息安全專(zhuān)用產(chǎn)品應報省聯(lián)社信息科技部批準，省聯(lián)社信息科技部應進(jìn)行登記備案。

第二節 使用管理

第一百零七條 農商行科技信息部建立信息安全專(zhuān)用產(chǎn)品登記使用辦法，建立信息安全類(lèi)固定資產(chǎn)使用登記簿并由專(zhuān)人負責管理。掃描、檢測類(lèi)信息安全專(zhuān)用產(chǎn)品僅限于本單位信息安全管理人員使用。 　　第一百零八條 農商行科技信息部隨時(shí)檢查各類(lèi)信息安全專(zhuān)用產(chǎn)品使用情況，認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現重大問(wèn)題，立即采取控制措施并按規定程序報告。 　　第一百零九條 各類(lèi)信息安全專(zhuān)用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料，應備份存檔至少三個(gè)月。 　　第一百一十條 農商行科技信息部及時(shí)升級維護信息安全專(zhuān)用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續使用的信息安全專(zhuān)用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。 　　第一百一十一條 防火墻、入侵檢測等安全專(zhuān)用產(chǎn)品原則上應在本地配置。如需要進(jìn)行遠程配置，由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡(luò )內并采取了必要的安全控制措施后進(jìn)行操作。

第九章　數據、文檔與密碼管理

第一節 數據安全

第一百一十二條 本辦法中所稱(chēng)的數據是指以電子形式存儲的邵陽(yáng)市農村商業(yè)銀行業(yè)務(wù)數據、客戶(hù)信息、系統運行日志、故障維護日志以及其他內部資料。

第一百一十三條? 農商行應建立和實(shí)施信息分類(lèi)及保護體系，明確科技信息分類(lèi)、定密、解密、備份、調用、保管、運輸等方面的工作流程和管理要求。 　　第一百一十四條 農商行業(yè)務(wù)部門(mén)負責提出數據在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責審核安全需求并提供一定的技術(shù)實(shí)現手段。

第一百一十五條 農商行應制定數據管理辦法和數據處理的流程和審批手續，加強數據的保密管理。 　　第一百一十六條 農商行業(yè)務(wù)部門(mén)應嚴格管理業(yè)務(wù)數據的增加、修改、刪除等變更操作，適時(shí)進(jìn)行業(yè)務(wù)數據有效性檢查，按照既定備份策略執行數據備份任務(wù)，并定期測試備份數據的有效性和預演數據恢復流程。 　　第一百一十七條 農商行科技信息部系統管理員(網(wǎng)絡(luò )管理員)負責定期導出重要信息系統和網(wǎng)絡(luò )日志文件并明確標識存儲內容、時(shí)間、密級等信息。日志文件應至少保留一年，妥善保管。 　　第一百一十八條 農商行業(yè)務(wù)部門(mén)應明確規定備份數據的保存時(shí)限和密級，建立備份數據調閱、銷(xiāo)毀審批登記辦法，并根據數據重要性級別分類(lèi)采取相應的安全銷(xiāo)毀措施。 　　第一百一十九條 所有數據備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸祿r(shí)需要提供相關(guān)口令密碼的，應把口令密碼密封后與數據備份介質(zhì)一并妥善保管。

第一百二十條 農商行應制定客戶(hù)信息管理辦法和流程，嚴格管理客戶(hù)信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷(xiāo)毀。不得非法買(mǎi)賣(mài)、泄露客戶(hù)個(gè)人信息，包括客戶(hù)基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過(guò)互聯(lián)網(wǎng)傳輸客戶(hù)資料和交易數據信息。

第二節 技術(shù)文檔

第一百二十一條 本辦法所稱(chēng)技術(shù)文檔是邵陽(yáng)市農村商業(yè)銀行網(wǎng)絡(luò )、信息系統和機房環(huán)境等建設與運行維護過(guò)程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統與網(wǎng)絡(luò )設計文檔、參數配置文檔、軟件開(kāi)發(fā)文檔及其源程序等。 　　第一百二十二條 農商行科技信息部負責將技術(shù)文檔統一歸檔，嚴格管理，并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導批準，任何人不得將技術(shù)文檔轉借、復制和對外公布。

第三節 存儲介質(zhì)

第一百二十三條 農商行應建立健全磁帶、光盤(pán)、移動(dòng)存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識，統一編號，并標明信息生成或備份日期、密級及保密期限。重要信息系統備份介質(zhì)應按規定異地存放。 　　第一百二十四條 農商行應做好存儲介質(zhì)在物理傳輸過(guò)程中的安全控制，應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 　　第一百二十五條 農商行應制定移動(dòng)存儲設備（U盤(pán)、移動(dòng)硬盤(pán)等）管理辦法，加強移動(dòng)存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內網(wǎng)移動(dòng)存儲設備在外網(wǎng)使用，禁止外網(wǎng)移動(dòng)存儲設備在內網(wǎng)系統中使用。 　　第一百二十六條 農商行應建立存儲介質(zhì)銷(xiāo)毀辦法，對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。

第四節 口令密碼

第一百二十七條 農商行信息系統要害崗位人員均須設置用戶(hù)口令密碼，并獨享使用，不得泄露，且至少每三個(gè)月更換一次?？诹蠲艽a的強度應滿(mǎn)足不同安全性要求，不得設置過(guò)于簡(jiǎn)單的弱口令密碼。 　　第一百二十八條 敏感信息系統和設備的口令密碼設置應在安全的環(huán)境下進(jìn)行，必要時(shí)應將口令密碼筆錄、密封交主管部門(mén)保管,并確保記錄載體的安全。未經(jīng)主管部門(mén)領(lǐng)導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 　　第一百二十九條 農商行應根據實(shí)際情況在一定時(shí)限內妥善保存重要信息系統升級改造前的口令密碼。

第五節 密碼技術(shù)應用管理

第一百三十條 農商行涉密網(wǎng)絡(luò )和信息系統應嚴格按照國家密碼政策規定，采用相應的加密措施。非涉密網(wǎng)絡(luò )和信息系統應依據湖南省農村信用社實(shí)際需求和統一安全策略，合理選擇加密措施。 　　第一百三十一條 農商行選用的密碼產(chǎn)品和加密算法應符合國家相關(guān)密碼管理政策規定，密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農村信用社的相關(guān)安全要求。 　　第一百三十二條 農商行應建立嚴格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進(jìn)行備案，規范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷(xiāo)毀等過(guò)程。 　　第一百三十三條 農商行應在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設置遇緊急情況下密鑰自動(dòng)銷(xiāo)毀功能。 　　第一百三十四條 各類(lèi)密鑰應定期更換，對已泄露或懷疑泄露的密鑰應及時(shí)廢除，過(guò)期密鑰應安全歸檔或定期銷(xiāo)毀。

第十章　第三方訪(fǎng)問(wèn)和外包安全管理

第一節 第三方訪(fǎng)問(wèn)控制

第一百三十五條 本辦法所稱(chēng)第三方訪(fǎng)問(wèn)是指邵陽(yáng)市農村商業(yè)銀行之外的單位和個(gè)人物理訪(fǎng)問(wèn)邵陽(yáng)市農村商業(yè)銀行計算機房或者通過(guò)網(wǎng)絡(luò )連接邏輯訪(fǎng)問(wèn)邵陽(yáng)市農村商業(yè)銀行數據庫和信息系統等活動(dòng)。 　　第一百三十六條 農商行保密工作委員會(huì )負責涉密信息系統和網(wǎng)絡(luò )相關(guān)的第三方訪(fǎng)問(wèn)授權審批，農商行科技信息部負責非涉密信息系統和網(wǎng)絡(luò )相關(guān)的第三方訪(fǎng)問(wèn)授權審批。未經(jīng)邵陽(yáng)市農村商業(yè)銀行授權的任何第三方訪(fǎng)問(wèn)均視為非法入侵行為。 　　第一百三十七條 允許被第三方訪(fǎng)問(wèn)的邵陽(yáng)市農村商業(yè)銀行信息系統和資源應建立存取控制機制、認證機制，列明所有用戶(hù)名單及其權限，嚴格監督第三方訪(fǎng)問(wèn)活動(dòng)。 　　第一百三十八條 獲得第三方訪(fǎng)問(wèn)授權的所有單位和個(gè)人應與湖南省農村信用社簽訂安全保密協(xié)議，不得進(jìn)行未授權的修改、增加、刪除數據操作，不得復制和泄露湖南省農村信用社任何信息。

第二節 外包安全管理

第一百三十九條 本辦法所稱(chēng)外包服務(wù)是指由邵陽(yáng)市農村商業(yè)銀行之外的其他社會(huì )廠(chǎng)商為邵陽(yáng)市農村商業(yè)銀行信息系統、網(wǎng)絡(luò )或桌面環(huán)境提供全面或部分的開(kāi)發(fā)、維護技術(shù)支持、咨詢(xún)等服務(wù)。

第一百四十條 信息科技外包服務(wù)應按照《湖南省農村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導批準，外包服務(wù)提供商可提供上門(mén)維護服務(wù)并由邵陽(yáng)市農村商業(yè)銀行科技人員在場(chǎng)準確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復制涉密信息或將涉密介質(zhì)帶離湖南省農村信用社。 　　第一百四十二條 計算機設備確需送外單位維修時(shí)，科技信息部應徹底清除所存工作信息，必要時(shí)應與設備維修廠(chǎng)商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章　災難備份與應急管理

第一節 災難備份管理

第一百四十三條 災難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數據和信息系統在地震、水災、火災、戰爭、恐怖襲擊、網(wǎng)絡(luò )攻擊、設備系統故障、人為破壞等無(wú)法預料的突發(fā)事件（以下稱(chēng)“災難”）發(fā)生后在規定的時(shí)間內可以恢復和繼續運營(yíng)的有序管理過(guò)程。 　　第一百四十四條 科技信息部按照“統籌安排、資源共享、平戰結合”的原則，負責邵陽(yáng)市農村商業(yè)銀行重要信息系統災難備份的統一規劃、實(shí)施和管理。 　　第一百四十五條 農商行相關(guān)業(yè)務(wù)部門(mén)負責提出業(yè)務(wù)系統災難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間（恢復時(shí)間目標RTO）和數據丟失量(恢復點(diǎn)目標RPO)。省聯(lián)社信息科技部據此確定災難備份等級和備份方案。 　　第一百四十六條 農商行應建立健全災難恢復計劃，定期開(kāi)展災難恢復培訓。在條件許可的情況下，由省聯(lián)社信息科技部統一部署，重要信息系統至少每年進(jìn)行一次災難恢復演練，包括異地備份站點(diǎn)切換演練和本地系統災難恢復演練。

第二節 應急管理

第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務(wù)差錯和停頓，甚至系統混亂、崩潰等災難而采取的應對策略、措施的有機集合。 　　第一百四十八條 在信息系統推廣應用方案中應同時(shí)設計應急備份策略，同步實(shí)施備份方案。 　　第一百四十九條 農商行應制定和不斷完善網(wǎng)絡(luò )、信息系統和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門(mén)共同完成。 　　第一百五十條 應急預案應包括以下基本內容： 　?。ㄒ唬┛倓t（目標、原則、適用范圍、預案調用關(guān)系等）。 　?。ǘ苯M織機構。 　?。ㄈ╊A警響應機制（報告、評估、預案啟動(dòng)等）。 　?。ㄋ模└黝?lèi)危機處置流程。 　?。ㄎ澹辟Y源保障。 　?。┦潞筇幚砹鞒?。 　?。ㄆ撸╊A案管理與維護（生效、演練、維護等）。 　　第一百五十一條 農商行應定期組織應急預案的演練，并指定專(zhuān)人管理和維護應急預案，根據人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應急預案的有效性和災難發(fā)生時(shí)的可獲取性。 　　第一百五十二條 農商行信息安全工作領(lǐng)導小組統一負責各業(yè)務(wù)系統的應急協(xié)調與指揮，決定重大事宜（決定應急預案的啟動(dòng)、災難宣告、預警相關(guān)單位等）和調動(dòng)應急資源。 　　第一百五十三條 農商行應按照湖南省農村信用社信息安全事件報告辦法進(jìn)行信息通報，一般信息安全事件應逐級通報，發(fā)生因人為、自然原因造成信息系統癱瘓以及利用計算機實(shí)施犯罪等影響和損失較大的信息安全事件（下稱(chēng)“重大信息安全事件”）應直接報省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農商行相關(guān)人員應注意保護事件現場(chǎng)，采取必要的控制措施，調查事件原因，并及時(shí)報告本單位主管領(lǐng)導。

第一百五十五條 農商行應在重大信息安全事件發(fā)生后的兩小時(shí)內按規定程序報上一級科技信息部。 ??? 第一百五十六條 農商行辦公室負責統一向社會(huì )發(fā)布應急事件公告，其他任何單位或個(gè)人不得向社會(huì )發(fā)布應急事件公告。

第十二章　安全檢查評估與培訓

第一節 監測檢查

第一百五十七條 農商行科技信息部應整合和利用現有網(wǎng)絡(luò )管理系統、計算機資源監控系統、專(zhuān)用安全監控系統以及相關(guān)設備與系統的運行日志等監控資源，加強對網(wǎng)絡(luò )、重要信息系統和機房環(huán)境等設施的安全運行監測。 　　第一百五十八條 農商行科技信息部應建立運行監測周報、月報或季報辦法，報送本單位信息安全工作領(lǐng)導小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門(mén)。 　　第一百五十九條 農商行要及時(shí)預警、響應和處置運行監測中發(fā)現的問(wèn)題，發(fā)現重大隱患和運行事故應及時(shí)協(xié)調解決，并報上一級單位相關(guān)部門(mén)。

第一百六十條 農商行科技信息部應至少每年組織一次本單位或轄內的信息安全專(zhuān)項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 　　第一百六十一條 農商行在開(kāi)展安全檢查前應以安全管理辦法為依據制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規范性。安全檢查完成后應及時(shí)形成檢查報告，經(jīng)本單位主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續跟蹤。 　　第一百六十二條 農商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農村信用社內部材料妥善保管，不得向外界泄露。 　　第一百六十三條 農商行應將每次安全檢查報告和整改落實(shí)情況整理匯總后報上一級科技信息部備案。

第二節 評估審計

第一百六十四條 農商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內重要信息系統的安全評估。

第一百六十五條 安全評估應在不影響信息系統正常運行的情況下進(jìn)行。評估開(kāi)始前，應制定評估方案并進(jìn)行必要的培訓。評估結束后，形成評估報告，提出整改意見(jiàn)報本單位科技信息部主管領(lǐng)導。 　　第一百六十六條 農商行如聘請第三方機構進(jìn)行安全評估，報省聯(lián)社信息科技部批準，并與第三方評估機構簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評估過(guò)程并實(shí)施監督。 　　第一百六十七條 農商行妥善保管信息安全評估報告，未經(jīng)授權不得對外透露評估信息。

第一百六十八條 農商行定期對重要信息系統進(jìn)行安全等級保護測評。開(kāi)展等保測評工作應遵循《金融行業(yè)信息系統信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規定，確保測評有效和測評安全。

第一百六十九條 農商行科技信息部在支持與配合內審部門(mén)開(kāi)展信息安全工作審計的同時(shí)，應適時(shí)開(kāi)展本單位和轄內的信息系統日常運行管理和信息安全事件全過(guò)程的技術(shù)審計，發(fā)現問(wèn)題及時(shí)報本單位或上一級單位主管領(lǐng)導。 　　第一百七十條 農商行應做好操作系統、數據庫管理系統等審計功能配置管理，并完整保留相關(guān)日志記錄。

第三節 安全培訓

第一百七十一條 農商行應至少每年對信息安全管理人員進(jìn)行一次專(zhuān)業(yè)培訓，不斷提高信息安全管理人員專(zhuān)業(yè)技能和管理水平。

第一百七十二條 農商行應開(kāi)展全員信息安全教育，對本單位全體正式和非正式員工進(jìn)行必要的培訓，提高全體員工信息安全意識，使全體員工充分了解其職責范圍內的信息保護流程及違反規定的后果。

第十三章　獎勵與處罰

第一百七十三條 農商行將本單位和轄內信息安全管理工作納入年度考評，對表現突出的單位和個(gè)人應進(jìn)行通報表彰并給予一定形式的獎勵。 　　第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個(gè)人，要給予通報批評；情節嚴重的，依據相關(guān)法律法規，追究其主管領(lǐng)導、相關(guān)部門(mén)負責人及直接責任人的責任；構成犯罪的，依法追究刑事責任。

第十四章　附　則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規定條款如與本辦法不一致的，按本辦法執行。

第一百七十六條 本辦法由邵陽(yáng)市農村商業(yè)銀行負責解釋。

?

第一章??? 總則

第一條 為加強邵陽(yáng)市農村商業(yè)銀行（以下簡(jiǎn)稱(chēng)農商行）信息系統信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò )安全等管理，防范和化解信息系統的運行風(fēng)險，杜絕各類(lèi)事故和案件的發(fā)生，根據《湖南省農村信用社信息安全管理辦法》、《中華人民共和國信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》、《商業(yè)銀行信息科技風(fēng)險管理指引》等規定，結合我農商行實(shí)際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽(yáng)市農商行網(wǎng)絡(luò )或信息資源的其他外部機構和個(gè)人，包括農商行轄內網(wǎng)點(diǎn)所有員工，包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。

第三條 信息系統信息安全工作堅持以預防為主、綜合治理、人員防范與技術(shù)防范相結合和的原則、按照“誰(shuí)主管誰(shuí)負責，誰(shuí)運行誰(shuí)負責，誰(shuí)使用誰(shuí)負責”的原則，逐級落實(shí)單位與個(gè)人信息安全責任制。

第四條 信息系統系統信息安全管理員，應當保障信息系統及配套設備的安全、運行環(huán)境的安全和信息的安全。

第五條 任何個(gè)人不得利用信息系統從事危害國家利益和集體利益的活動(dòng)、不得危害計算機信息系統的安全。

第二章　組織保障

第六條 農商行設立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責。

第七條 根據省聯(lián)社要求，農商行成立由農商行領(lǐng)導和各職能部門(mén)主要負責人組成信息安全工作領(lǐng)導小組，領(lǐng)導小組辦公室設農商行科技信息部，負責協(xié)調轄內信息安全管理工作，決定轄內信息安全重大事宜?！　〉诎藯l 農商行科技信息部門(mén)設立信息安全崗位，配備專(zhuān)職信息安全管理人員。負責邵陽(yáng)農商行信息安全管理，建立完善信息安全管理辦法，并組織實(shí)施；對農商行信息安全管理工作進(jìn)行指導和檢查督促。

第九條 農商行各支行及各職能部門(mén)主要負責人為本部門(mén)信息安全第一責任人，同時(shí)均應指定至少一名部門(mén)信息安全員，具體負責本部門(mén)的信息安全管理，協(xié)同科技信息部開(kāi)展信息安全管理工作。

第三章??? 人員管理

農商行工作人員根據不同的崗位或工作范圍，履行相應的信息安全保障職責?？萍夹畔⒉繛檗r商行信息安全保護專(zhuān)職部門(mén)，設信息安全管理員、系統維護管理員、技術(shù)維護員等崗位負責全轄信息系統安全運行。各部門(mén)及支行要設立信息系統安全管理領(lǐng)導小組，設立部門(mén)信息安全員。

第一節 信息安全管理人員

第十條 農商行選派政治思想過(guò)硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規和湖南省農村信用社有關(guān)規定受到過(guò)處罰或處分的人員，不得從事此項工作。

第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條 信息安全管理人員必須應經(jīng)過(guò)省聯(lián)社組織的專(zhuān)業(yè)培訓與審核，培訓與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專(zhuān)業(yè)培訓?！　〉谑龡l 農商行信息安全管理人員在如下職責范圍內開(kāi)展本單位信息安全管理工作：　?。ㄒ唬┙M織落實(shí)上級信息安全管理規定，制定信息安全管理辦法，協(xié)調部門(mén)計算機安全員工作，監督檢查信息安全保障工作?！　。ǘ徍诵畔⒒ㄔO項目中的安全方案，組織實(shí)施信息安全保障項目建設，維護、管理信息安全專(zhuān)用設施?！　。ㄈz測網(wǎng)絡(luò )和信息系統的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現問(wèn)題，及時(shí)通報和預警，并提出整改意見(jiàn)。統計分析和協(xié)調處置信息安全事件?！　。ㄋ模┒ㄆ诮M織信息安全宣傳教育活動(dòng)，開(kāi)展信息安全檢查、評估與培訓工作?！　〉谑臈l 信息安全管理人員在履行職責時(shí)，確因工作需要查詢(xún)相關(guān)涉密信息，須經(jīng)本部門(mén)負責人同意后向本單位保密主管部門(mén)提交申請，獲得批準后方可查詢(xún)?！　〉谑鍡l 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應及時(shí)報上一級科技信息部備案。

第十六條 信息安全管理人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務(wù)。涉及農村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調離單位，必須進(jìn)行離崗審計，并在規定的脫密期后，方可調離。

第二節 部門(mén)信息安全員

第十七條 各部門(mén)和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門(mén)信息安全員，并報農商行科技信息部備案。如有變更應做好交接工作，并及時(shí)通報科技信息部?！　〉谑藯l 部門(mén)信息安全員配合農商行信息安全管理人員工作，并參加各項信息安全技能培訓?！　〉谑艞l 部門(mén)信息安全員在如下職責范圍內開(kāi)展工作：　?。ㄒ唬┴撠煴静块T(mén)計算機病毒防治工作，監督檢查本部門(mén)客戶(hù)端安全管理情況?！　。ǘ┴撠熖岢霰静块T(mén)信息安全保障需求，及時(shí)與農商行信息安全管理人員溝通信息安全信息?！　。ㄈ┴撠煴静块T(mén)國際互聯(lián)網(wǎng)使用和接入安全管理，組織開(kāi)展本部門(mén)信息安全自查，協(xié)助科技信息部完成對本部門(mén)的信息安全檢查工作。

第三節 技術(shù)支持人員

第二十條 本辦法所稱(chēng)技術(shù)支持人員，是指參與邵陽(yáng)農商行網(wǎng)絡(luò )、信息系統、機房環(huán)境等建設、運行、維護的內部技術(shù)支持人員和外包服務(wù)人員?！　〉诙粭l 農商行內部技術(shù)支持人員在履行網(wǎng)絡(luò )和信息系統建設和日常運行維護職責過(guò)程中，應承擔如下安全義務(wù)：　?。ㄒ唬┎坏脤ν庑孤痘蛞霉ぷ髦杏|及的任何敏感信息。嚴格權限訪(fǎng)問(wèn)，未經(jīng)批準不得擅自改變系統設置或修改系統生成的任何業(yè)務(wù)數據?！　。ǘ┲鲃?dòng)檢查和監控生產(chǎn)系統安全運行狀況，發(fā)現安全隱患或故障及時(shí)報告本部門(mén)主管領(lǐng)導，并及時(shí)響應、處置?！　。ㄈ﹪栏癫僮鞴芾?、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法，做好數據備份工作?！　〉诙l 外部技術(shù)支持人員應嚴格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴格遵守湖南省農村信用社相關(guān)安全規定與操作規程，關(guān)鍵操作應經(jīng)授權，并有農商行內部員工在場(chǎng)。不得拷貝或帶走任何配置參數信息或業(yè)務(wù)數據，不得對外泄露或引用任何工作信息。

第四節 業(yè)務(wù)系統操作人員

第二十三條 本辦法所稱(chēng)業(yè)務(wù)系統操作人員是指直接操作業(yè)務(wù)系統進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員?！　〉诙臈l 業(yè)務(wù)系統操作人員應承擔如下安全義務(wù)：　?。ㄒ唬﹪栏褚幊滩僮?，防止誤操作。定期修改操作密碼并妥善保管，按需、適時(shí)進(jìn)行必要的數據備份?！　。ǘ┌l(fā)現業(yè)務(wù)系統出現異常及時(shí)報告科技信息部?！　。ㄈ┎坏迷诓僮鹘K端上安裝與業(yè)務(wù)系統無(wú)關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統及其運行環(huán)境參數設置?！　〉诙鍡l 業(yè)務(wù)系統操作應按照“權限分散、不得交叉任職”原則，嚴格進(jìn)行操作角色劃分和授權管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統操作人員。

第五節 一般計算機用戶(hù)

第二十六條 本辦法所稱(chēng)一般計算機用戶(hù)是指使用計算機設備的所有人員?！　〉诙邨l 一般計算機用戶(hù)應承擔如下安全義務(wù)：　?。ㄒ唬┘皶r(shí)更新所用計算機的病毒防治軟件和安裝補丁程序，自覺(jué)接受本部門(mén)信息安全員的指導與管理?！　。ǘ┎坏冒惭b與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計算機軟件和硬件，不得修改系統和網(wǎng)絡(luò )配置參數?！　。ㄈ┪唇?jīng)科技信息部檢測和授權，不得將接入湖南省農村信用社內部網(wǎng)絡(luò )的所用計算機轉接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農村信用社內部網(wǎng)絡(luò )；不得隨意將個(gè)人計算機帶入機房或私自拷貝任何信息。

第六節 信息系統要害崗位人員

第二十八條 本辦法所稱(chēng)信息系統要害崗位人員，是指與重要信息系統直接相關(guān)的系統管理員、網(wǎng)絡(luò )管理員、系統開(kāi)發(fā)人員、系統維護員等內部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條 本辦法所稱(chēng)重要信息系統是指湖南省農村信用社面向客戶(hù)的業(yè)務(wù)處理類(lèi)、渠道類(lèi)和涉及客戶(hù)風(fēng)險管理等業(yè)務(wù)的管理類(lèi)信息系統，以及支撐系統運行的機房和網(wǎng)絡(luò )等基礎設施。

第三十條 要害崗位人員上崗前必須經(jīng)農商行人事部門(mén)進(jìn)行政治素質(zhì)審查，技術(shù)部門(mén)進(jìn)行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實(shí)行“權限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權”原則，嚴格設定各用戶(hù)的操作權限。

第三十二條 對要害崗位人員應實(shí)行年度強制休假辦法和定期考查辦法，并進(jìn)行必要的安全教育和培訓。

第三十三條 要害崗位人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調離單位，必須進(jìn)行離崗審計，在規定的脫密期后，方可調離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷(xiāo)用戶(hù)。

第三十五條 系統管理員安全責任

（一）負責系統的運行管理，實(shí)施系統安全運行細則；

（二）嚴格用戶(hù)權限管理，維護系統安全正常運行；

（三）認真記錄系統安全事項，及時(shí)向計算機安全人員報告安全事件；

（四）對進(jìn)行系統操作的其他人員予以安全監督。

第三十六條 系統開(kāi)發(fā)員安全責任

（一）系統開(kāi)發(fā)建設中，應嚴格執行系統安全策略，保證系統安全功能的準確實(shí)現；

（二）系統投產(chǎn)運行前，應完整移交系統源代碼和相關(guān)涉密資料；

（三）不得對系統設置后門(mén)；

（四）對系統核心技術(shù)保密。

第三十七條 系統維護員安全責任

（一）負責系統維護，及時(shí)解除系統故障，確保系統正常運行；

（二）不得擅自改變系統參數配置；

（三）不得安裝與系統無(wú)關(guān)的其他計算機程序；

（四）維護過(guò)程中，發(fā)現安全漏洞應及時(shí)報告計算機安全人員。

第三十八條 各要害崗位人員必須嚴格遵守保密法規和有關(guān)信息安全管理規定。

第四章　機房環(huán)境和設備資產(chǎn)管理

第一節 機房環(huán)境安全管理

第三十九條 本辦法所稱(chēng)機房是指信息系統等主要設備放置、運行場(chǎng)所以及供配電、通信、空調、消防、監控等配套環(huán)境設施?！　〉谒氖畻l 農商行機房的規劃、建設、改造、運行、維護由科技信息部負責?！　〉谒氖粭l 農商行機房應符合國家計算機機房有關(guān)標準、監管部門(mén)有關(guān)要求和省聯(lián)社有關(guān)規定，滿(mǎn)足下列基本安全要求：

（一）機房周?chē)?00米內不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。

（三）機房應安裝門(mén)禁系統、防雷系統、監視系統、消防系統、報警系統。

（四）機房應設專(zhuān)用的供電系統，配備必要的UPS和發(fā)電機。

第四十二條 機房建設、改造的方案應報上市網(wǎng)絡(luò )中心備案。必要時(shí)，由市網(wǎng)絡(luò )中心會(huì )同財務(wù)、保衛等部門(mén)進(jìn)行審核?！　〉谒氖龡l 機房建設或改造應選擇具有國家建筑裝修裝飾工程專(zhuān)業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專(zhuān)業(yè)化公司。重要機房建設或改造工程應引入監理辦法。

第四十四條　計算機機房實(shí)行分區管理原則。核心區實(shí)行24小時(shí)連續監控，生產(chǎn)區實(shí)行工作時(shí)間連續監控，輔助區實(shí)施聯(lián)動(dòng)監控。

第四十五條　監控設備的安裝應符合安全保密原則，確保監控的安全規范運作，防止監控信息的泄密。

第四十六條 農商行機房應建立機房設施與場(chǎng)地環(huán)境集中監控系統，對機房空調、消防、不間斷電源（UPS）、供配電、門(mén)禁系統等重要設施實(shí)行全面監控，通過(guò)技術(shù)和管理手段，確保計算機機房及配套設施安全?！　〉谒氖邨l 農商行機房投入使用前，應經(jīng)過(guò)當地公安消防部門(mén)的消防驗收和本單位科技、保衛部門(mén)組織的驗收，并出具明確結論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用?！　〉谒氖藯l 農商行建立健全機房管理辦法，并指派專(zhuān)人擔任機房管理員，落實(shí)機房安全責任制。機房管理員應經(jīng)過(guò)相關(guān)專(zhuān)業(yè)培訓，熟知機房各類(lèi)設備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現問(wèn)題及時(shí)報告。

第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時(shí)提供調閱。

第五十條　農商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進(jìn)入機房。非機房工作人員進(jìn)出機房須經(jīng)主管部門(mén)領(lǐng)導批準，并辦理登記手續，由專(zhuān)人陪同。

第五十一條 建立機房定期維修保養辦法。易受季節、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過(guò)的設備等應成為保養的重點(diǎn)。

第五十二條 向社會(huì )提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應嚴格出入安全管理，應安裝門(mén)禁、防入侵報警、視頻監視錄像系統，實(shí)行定時(shí)錄像監控，并適當配置自動(dòng)監控報警功能?！　〉谖迨龡l 所有門(mén)禁、防入侵報警、視頻監視錄像系統的信息資料由專(zhuān)人保管，至少保存三個(gè)月。

第二節 設備資產(chǎn)管理

第五十四條 農商行科技信息部建立完備的計算機設備登記辦法，嚴格資產(chǎn)管理，明確計算機設備使用者或管理者及其安全責任?！　〉谖迨鍡l 農商行科技信息部根據計算機設備重要程度采取不同的安全保護措施，制定完善的訪(fǎng)問(wèn)控制策略，防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區，必要時(shí)，單獨建立門(mén)禁與監控系統，或配備防電磁泄露的屏蔽裝置等。

第五章　網(wǎng)絡(luò )安全管理

第一節 網(wǎng)絡(luò )規劃建設安全管理

第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡(luò )和網(wǎng)絡(luò )安全的統一規劃、建設部署、策略配置和網(wǎng)絡(luò )資源（網(wǎng)絡(luò )設備、通訊線(xiàn)路、IP地址和域名等）分配?！　〉谖迨邨l 農商行科技信息部按照省聯(lián)社信息科技部的統一規劃和總體部署，組織實(shí)施網(wǎng)絡(luò )建設、改造工程。農商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案，投產(chǎn)前應通過(guò)本單位組織的安全測試?！　〉谖迨藯l 農商行的網(wǎng)絡(luò )建設和改造應符合如下基本安全要求：　?。ㄒ唬┓虾鲜∞r村信用社網(wǎng)絡(luò )安全管理要求，使用內容過(guò)濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數據加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險，保障網(wǎng)絡(luò )傳輸與應用安全?！　。ǘ┚邆浔匾木W(wǎng)絡(luò )監測、跟蹤和審計等管理功能?！　。ㄈ└鶕畔踩墑e，將網(wǎng)絡(luò )劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò )安全域，采取必要和有效的安全控制措施。

第二節 網(wǎng)絡(luò )運行安全管理

第五十九條 農商行科技信息部建立健全網(wǎng)絡(luò )安全運行辦法，配備網(wǎng)絡(luò )管理員。網(wǎng)絡(luò )管理員負責日常監測和檢查網(wǎng)絡(luò )安全運行狀況，管理網(wǎng)絡(luò )資源及其配置信息，建立健全網(wǎng)絡(luò )運行維護檔案，及時(shí)發(fā)現和解決網(wǎng)絡(luò )異常情況。

（一）負責網(wǎng)絡(luò )的運行管理，實(shí)施網(wǎng)絡(luò )安全策略和安全運行細則；

（二）安全配置網(wǎng)絡(luò )參數，嚴格控制網(wǎng)絡(luò )用戶(hù)訪(fǎng)問(wèn)權限，維護網(wǎng)絡(luò )安全正常運行；

（三）監控網(wǎng)絡(luò )關(guān)鍵設備、網(wǎng)絡(luò )端口、網(wǎng)絡(luò )物理線(xiàn)路，防范黑客入侵，及時(shí)向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡(luò )管理功能的其他人員進(jìn)行安全監督。

第六十條 網(wǎng)絡(luò )管理員定期參加網(wǎng)絡(luò )安全技術(shù)培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò )安全威脅的應對技能，緊急情況下，經(jīng)本部門(mén)主管領(lǐng)導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。

第六十一條 農商行科技信息部嚴格網(wǎng)絡(luò )接入管理。任何設備接入網(wǎng)絡(luò )前，接入方案、設備的安全性等應經(jīng)過(guò)審核與必要的檢測，審核（檢測）通過(guò)后方可接入并分配相應的網(wǎng)絡(luò )資源?！　〉诹l 農商行科技信息部嚴格網(wǎng)絡(luò )變更管理。網(wǎng)絡(luò )管理員在調整網(wǎng)絡(luò )重要參數配置和服務(wù)端口前，應書(shū)面請示本部門(mén)主管領(lǐng)導，變更信息應做好記錄。實(shí)施有可能影響網(wǎng)絡(luò )正常運行的重大網(wǎng)絡(luò )變更，應提前通知所有使用部門(mén)并安排在節假日進(jìn)行，同時(shí)做好配置參數的備份和應急恢復準備?！　〉诹龡l 農商行嚴格遠程訪(fǎng)問(wèn)控制。確因工作需要進(jìn)行遠程訪(fǎng)問(wèn)的部門(mén)和人員應向科技信息部提出書(shū)面申請，并采取相應的安全防護措施?！　〉诹臈l 信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導批準，有權對本單位或轄內網(wǎng)絡(luò )進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權，任何外部單位與人員不得檢測、掃描湖南省農村信用社內部網(wǎng)絡(luò )?！　〉诹鍡l 農商行應以不影響業(yè)務(wù)的正常網(wǎng)絡(luò )傳輸為原則，合理控制多媒體網(wǎng)絡(luò )應用規模和范圍。未經(jīng)省聯(lián)社信息科技部批準，不得在湖南省農村信用社內部網(wǎng)絡(luò )上提供跨轄區視頻點(diǎn)播等嚴重占用網(wǎng)絡(luò )資源的多媒體網(wǎng)絡(luò )應用。

第三節 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱(chēng)網(wǎng)間互聯(lián)是指為滿(mǎn)足邵陽(yáng)市農村商業(yè)銀行與其他外部機構信息交換或信息共享需求實(shí)施的機構間網(wǎng)絡(luò )互聯(lián)?！　〉诹邨l 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統一規劃，按照相關(guān)標準組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準，任何單位不得自行與外部機構實(shí)施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準與其他業(yè)務(wù)相關(guān)機構進(jìn)行網(wǎng)絡(luò )連接，應采用必要的技術(shù)隔離保護措施，對聯(lián)網(wǎng)使用的用戶(hù)必須采用一人一帳戶(hù)的訪(fǎng)問(wèn)控制。

第四節 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽(yáng)市農村商業(yè)銀行內部網(wǎng)絡(luò )與國際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽(yáng)市農村商業(yè)銀行內部網(wǎng)絡(luò )或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)?！　〉谄呤畻l 計算機接入國際互聯(lián)網(wǎng)應通過(guò)本單位保密主管部門(mén)批準，并確保安裝有湖南省農村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關(guān)批準證明實(shí)施聯(lián)網(wǎng)，并做好備案。曾接入邵陽(yáng)市農村商業(yè)銀行內部網(wǎng)絡(luò )的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續，科技信息部確保該計算機已刪除敏感工作信息后方可實(shí)施接入?！　〉谄呤粭l 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農村信用社內部網(wǎng)絡(luò )。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內部網(wǎng)絡(luò )上使用?！　〉谄呤l 使用國際互聯(lián)網(wǎng)的所有用戶(hù)應遵守國家有關(guān)法律法規和湖南省農村信用社相關(guān)管理規定，不得從事任何違法違規活動(dòng)。

第六章　信息系統安全管理

第七十三條 本辦法所指的信息系統是邵陽(yáng)市農村商業(yè)銀行業(yè)務(wù)處理系統、管理信息系統和日常辦公自動(dòng)化系統等，包括數據庫、軟件和硬件支撐環(huán)境等。

第一節 信息系統規劃與立項

第七十四條 信息系統建設項目應在規劃與立項階段同步考慮安全問(wèn)題，建設方案應滿(mǎn)足邵陽(yáng)市農村商業(yè)銀行信息安全保障總體規劃的相關(guān)要求。項目技術(shù)方案應包括以下基本安全內容：　?。ㄒ唬I(yè)務(wù)需求部門(mén)提出的安全需求?！　。ǘ┌踩枨蠓治龊蛯?shí)現?！　。ㄈ┻\行平臺的安全策略與設計。

第七十五條 信息系統應采取與業(yè)務(wù)安全等級要求相應的安全機制，在安全防護方面應符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴密的安全管理控制機制，保證數據信息在處理、存儲和傳輸過(guò)程中的完整性和安全性，防止數據信息被非法使用、修改和復制；

（二）提供完整的數據備份和恢復功能，能方便地根據系統和數據的備份介質(zhì)進(jìn)行災難恢復；

（三）具有嚴格的用戶(hù)和密碼管理，能對不同級別的用戶(hù)進(jìn)行有限授權，特別應嚴格限制和分流特權用戶(hù)的權限，防止非法用戶(hù)的侵入和破壞；

（四）重要信息系統應設置審計監控程序，具有身份識別和實(shí)體認證功能。能夠自動(dòng)記錄操作人員的重要操作，具有防止抵賴(lài)機制；

（五）涉密信息系統的安全設計應符合涉密信息保密管理的有關(guān)規定。

第七十六條 農商行科技信息部負責對項目技術(shù)方案進(jìn)行安全專(zhuān)項審查并提出審查意見(jiàn)，未通過(guò)安全審核的項目不得予以立項。

第二節 信息系統開(kāi)發(fā)與集成

第七十七條 信息系統開(kāi)發(fā)應符合軟件工程規范，依據安全需求進(jìn)行安全設計，保證安全功能的完整、準確實(shí)現。

第七十八條 信息系統開(kāi)發(fā)單位應在完成開(kāi)發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽(yáng)市農村商業(yè)銀行科技信息部。外部開(kāi)發(fā)單位還應與邵陽(yáng)市農村商業(yè)銀行簽署相關(guān)知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統采用的關(guān)鍵安全技術(shù)措施和核心安全功能設計對外公開(kāi)?！　〉谄呤艞l 信息系統的開(kāi)發(fā)人員不能兼任信息系統管理員或業(yè)務(wù)系統操作人員，不得在程序代碼中植入后門(mén)和惡意代碼程序。

第八十條 信息系統開(kāi)發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行?！　〉诎耸粭l 涉密信息系統集成應選擇具有國家相關(guān)部門(mén)頒發(fā)的涉密系統集成資質(zhì)證書(shū)的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第三節 信息系統上線(xiàn)與運行

第八十二條 農商行信息系統上線(xiàn)運行實(shí)行安全審查辦法，未通過(guò)安全審查的任何新建或改造信息系統不得投產(chǎn)運行。具體要求如下：　?。ㄒ唬╉椖砍袚鷨挝唬ú块T(mén)）應組織制定安全測試方案，進(jìn)行系統上線(xiàn)前的自測試并形成測試報告，報科技信息部審查?！　。ǘ┛萍夹畔⒉繎岢雒鞔_的測試方案和測試報告審查意見(jiàn)。必要時(shí)，可組織專(zhuān)家評審或實(shí)施信息系統漏洞掃描檢測。

（三）信息系統建設牽頭業(yè)務(wù)部門(mén)應在信息系統投產(chǎn)運行前同步制定相關(guān)安全操作規定，報科技信息部備案。

第八十三條 信息系統投入運行前，應向省聯(lián)社科技部和市網(wǎng)絡(luò )中心提出安全評估和審批申請，并報送下列材料：

（一）系統的用途、總體結構及軟硬件配置等基本情況；

（二）關(guān)于系統安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說(shuō)明；

（三）系統安全性測試提綱和測試報告；

（四）信息系統安全評估和審批報告書(shū)。

第八十四條 科技信息部應當對報送的書(shū)面材料進(jìn)行初步審查。委托相關(guān)權威機構組建由相關(guān)業(yè)務(wù)和技術(shù)專(zhuān)家組成的安全評估委員會(huì )或安全評估專(zhuān)家組，對信息系統進(jìn)行安全性測試、認證。

第八十五條 對信息系統的安全評估應當包括以下內容：

（一）系統的安全策略；

（二）系統安全措施；

（三）系統安全功能的實(shí)現程度；

（四）系統運行的穩定性、可靠性；

（五）系統運行平臺的安全可靠性。

第八十六條 安全評估委員會(huì )或安全評估專(zhuān)家組應對測試、認證的信息系統提出安全評估報告，并出具信息系統安全評估和審批報告書(shū)。

第八十七條 信息系統運行平臺應符合以下安全管理要求：

（一）合理配置操作系統、數據庫管理系統所提供的安全審計功能，以達到相應安全等級標準。

（二）屏蔽與應用系統無(wú)關(guān)的所有網(wǎng)絡(luò )功能，防止非法用戶(hù)的侵入。

（三）按照網(wǎng)絡(luò )管理規范及其業(yè)務(wù)應用范圍設置聯(lián)網(wǎng)設備的IP地址及網(wǎng)絡(luò )參數。

（四）及時(shí)安裝正式發(fā)布的系統補丁，修補系統存在的安全漏洞。

第八十八條 農商行科技信息部明確系統管理員（系統維護員），具體負責信息系統的日常運行管理，監測系統運行日志，掌握系統運行狀況，并建立重要信息系統運行維護檔案，詳細記錄系統變更及操作過(guò)程。重要業(yè)務(wù)系統的系統設置要求雙人在場(chǎng)。

第八十九條 系統管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統無(wú)關(guān)的其他計算機程序；維護過(guò)程中，發(fā)現安全漏洞應及時(shí)報告計算機安全人員。

第九十條 系統管理員確需對業(yè)務(wù)系統進(jìn)行維護性操作的，應征得業(yè)務(wù)部門(mén)同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行，并詳細記錄維護內容、人員、時(shí)間等信息。

第九十一條 未經(jīng)業(yè)務(wù)主管部門(mén)領(lǐng)導書(shū)面批準，其他任何人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數據，不得擅自改變用戶(hù)權限。

第四節 業(yè)務(wù)操作

第九十二條 業(yè)務(wù)部門(mén)負責信息系統業(yè)務(wù)操作用戶(hù)和權限設定，科技信息部根據-授權進(jìn)行相關(guān)設定操作?！　〉诰攀龡l 業(yè)務(wù)操作人員應嚴格按照安全操作規程進(jìn)行業(yè)務(wù)操作和必要的數據備份，并配合科技信息部保障信息安全。一旦發(fā)現信息系統運行異常及時(shí)向本部門(mén)領(lǐng)導和科技信息部報告?！　〉诰攀臈l 業(yè)務(wù)操作人員應設置本人口令密碼，并嚴格保密，防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼?！　〉诰攀鍡l 凡是能夠執行錄入、復核辦法的信息系統，業(yè)務(wù)操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務(wù)部門(mén)主管領(lǐng)導批準，不得代崗、兼崗?！　〉诰攀鶙l 業(yè)務(wù)操作人員離開(kāi)操作用機時(shí)，應按序退出信息系統，回到操作系統初始狀態(tài)，防止業(yè)務(wù)數據被復制、修改、刪除以及誤操作。

第五節 信息系統廢止

第九十七條 實(shí)行信息系統廢止申報、備案辦法。使用信息系統的業(yè)務(wù)部門(mén)根據需要向科技信息部提出廢止申請，由科技信息部組織進(jìn)行安全檢查后予以廢止，同時(shí)備案?！　〉诰攀藯l 對已經(jīng)廢止的信息系統軟件和數據備份介質(zhì)，科技信息部按業(yè)務(wù)規定在一定期限內妥善保存。超過(guò)保存期限后需要銷(xiāo)毀的，應在本單位保密主管部門(mén)監督下予以不可恢復性銷(xiāo)毀。

第七章　客戶(hù)端安全管理

第九十九條 本辦法所稱(chēng)客戶(hù)端是指邵陽(yáng)市農村商業(yè)銀行計算機用戶(hù)、網(wǎng)絡(luò )與信息系統所使用的終端設備，包括臺式個(gè)人計算機（PC）、便攜式計算機、柜員終端、自動(dòng)柜員機（ATM）、存折打印機、讀卡器、銷(xiāo)售終端（POS）和個(gè)人數字助理（PDA）等?！　〉谝话贄l 農商行應建立完善的客戶(hù)端管理辦法，記錄所有客戶(hù)端設備信息和軟件配置信息，采用桌面終端安全管理軟件集中實(shí)現桌面終端安全策略?！　〉谝话倭阋粭l 客戶(hù)端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無(wú)關(guān)的軟件?！　〉谝话倭愣l 客戶(hù)端應統一安裝病毒防治軟件，設置用戶(hù)密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序?！　〉谝话倭闳龡l 確因工作需要經(jīng)授權可遠程接入內部網(wǎng)絡(luò )的用戶(hù)，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉借其他人使用。

第八章　信息安全專(zhuān)用產(chǎn)品與服務(wù)管理

第一節 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱(chēng)信息安全專(zhuān)用產(chǎn)品，是指邵陽(yáng)市農村商業(yè)銀行安裝使用的專(zhuān)用安全軟件、硬件產(chǎn)品。本辦法所稱(chēng)信息安全服務(wù)，是指邵陽(yáng)市農村商業(yè)銀行向社會(huì )購買(mǎi)的專(zhuān)業(yè)化安全服務(wù)?！　〉谝话倭阄鍡l 省聯(lián)社信息科技部負責信息安全服務(wù)提供商的資質(zhì)審查和信息安全專(zhuān)用產(chǎn)品的選型，農商行在選型范圍內按規定選購?！　〉谝话倭懔鶙l 農商行購置掃描、檢測類(lèi)信息安全專(zhuān)用產(chǎn)品應報省聯(lián)社信息科技部批準，省聯(lián)社信息科技部應進(jìn)行登記備案。

第二節 使用管理

第一百零七條 農商行科技信息部建立信息安全專(zhuān)用產(chǎn)品登記使用辦法，建立信息安全類(lèi)固定資產(chǎn)使用登記簿并由專(zhuān)人負責管理。掃描、檢測類(lèi)信息安全專(zhuān)用產(chǎn)品僅限于本單位信息安全管理人員使用?！　〉谝话倭惆藯l 農商行科技信息部隨時(shí)檢查各類(lèi)信息安全專(zhuān)用產(chǎn)品使用情況，認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現重大問(wèn)題，立即采取控制措施并按規定程序報告?！　〉谝话倭憔艞l 各類(lèi)信息安全專(zhuān)用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料，應備份存檔至少三個(gè)月?！　〉谝话僖皇畻l 農商行科技信息部及時(shí)升級維護信息安全專(zhuān)用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續使用的信息安全專(zhuān)用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理?！　〉谝话僖皇粭l 防火墻、入侵檢測等安全專(zhuān)用產(chǎn)品原則上應在本地配置。如需要進(jìn)行遠程配置，由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡(luò )內并采取了必要的安全控制措施后進(jìn)行操作。

第九章　數據、文檔與密碼管理

第一節 數據安全

第一百一十二條 本辦法中所稱(chēng)的數據是指以電子形式存儲的邵陽(yáng)市農村商業(yè)銀行業(yè)務(wù)數據、客戶(hù)信息、系統運行日志、故障維護日志以及其他內部資料。

第一百一十三條?農商行應建立和實(shí)施信息分類(lèi)及保護體系，明確科技信息分類(lèi)、定密、解密、備份、調用、保管、運輸等方面的工作流程和管理要求?！　〉谝话僖皇臈l 農商行業(yè)務(wù)部門(mén)負責提出數據在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責審核安全需求并提供一定的技術(shù)實(shí)現手段。

第一百一十五條 農商行應制定數據管理辦法和數據處理的流程和審批手續，加強數據的保密管理?！　〉谝话僖皇鶙l 農商行業(yè)務(wù)部門(mén)應嚴格管理業(yè)務(wù)數據的增加、修改、刪除等變更操作，適時(shí)進(jìn)行業(yè)務(wù)數據有效性檢查，按照既定備份策略執行數據備份任務(wù)，并定期測試備份數據的有效性和預演數據恢復流程?！　〉谝话僖皇邨l 農商行科技信息部系統管理員(網(wǎng)絡(luò )管理員)負責定期導出重要信息系統和網(wǎng)絡(luò )日志文件并明確標識存儲內容、時(shí)間、密級等信息。日志文件應至少保留一年，妥善保管?！　〉谝话僖皇藯l 農商行業(yè)務(wù)部門(mén)應明確規定備份數據的保存時(shí)限和密級，建立備份數據調閱、銷(xiāo)毀審批登記辦法，并根據數據重要性級別分類(lèi)采取相應的安全銷(xiāo)毀措施?！　〉谝话僖皇艞l 所有數據備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸祿r(shí)需要提供相關(guān)口令密碼的，應把口令密碼密封后與數據備份介質(zhì)一并妥善保管。

第一百二十條 農商行應制定客戶(hù)信息管理辦法和流程，嚴格管理客戶(hù)信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷(xiāo)毀。不得非法買(mǎi)賣(mài)、泄露客戶(hù)個(gè)人信息，包括客戶(hù)基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過(guò)互聯(lián)網(wǎng)傳輸客戶(hù)資料和交易數據信息。

第二節 技術(shù)文檔

第一百二十一條 本辦法所稱(chēng)技術(shù)文檔是邵陽(yáng)市農村商業(yè)銀行網(wǎng)絡(luò )、信息系統和機房環(huán)境等建設與運行維護過(guò)程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統與網(wǎng)絡(luò )設計文檔、參數配置文檔、軟件開(kāi)發(fā)文檔及其源程序等?！　〉谝话俣l 農商行科技信息部負責將技術(shù)文檔統一歸檔，嚴格管理，并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導批準，任何人不得將技術(shù)文檔轉借、復制和對外公布。

第三節 存儲介質(zhì)

第一百二十三條 農商行應建立健全磁帶、光盤(pán)、移動(dòng)存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識，統一編號，并標明信息生成或備份日期、密級及保密期限。重要信息系統備份介質(zhì)應按規定異地存放?！　〉谝话俣臈l 農商行應做好存儲介質(zhì)在物理傳輸過(guò)程中的安全控制，應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄?！　〉谝话俣鍡l 農商行應制定移動(dòng)存儲設備（U盤(pán)、移動(dòng)硬盤(pán)等）管理辦法，加強移動(dòng)存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內網(wǎng)移動(dòng)存儲設備在外網(wǎng)使用，禁止外網(wǎng)移動(dòng)存儲設備在內網(wǎng)系統中使用?！　〉谝话俣鶙l 農商行應建立存儲介質(zhì)銷(xiāo)毀辦法，對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。

第四節 口令密碼

第一百二十七條 農商行信息系統要害崗位人員均須設置用戶(hù)口令密碼，并獨享使用，不得泄露，且至少每三個(gè)月更換一次?？诹蠲艽a的強度應滿(mǎn)足不同安全性要求，不得設置過(guò)于簡(jiǎn)單的弱口令密碼?！　〉谝话俣藯l 敏感信息系統和設備的口令密碼設置應在安全的環(huán)境下進(jìn)行，必要時(shí)應將口令密碼筆錄、密封交主管部門(mén)保管,并確保記錄載體的安全。未經(jīng)主管部門(mén)領(lǐng)導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放?！　〉谝话俣艞l 農商行應根據實(shí)際情況在一定時(shí)限內妥善保存重要信息系統升級改造前的口令密碼。

第五節 密碼技術(shù)應用管理

第一百三十條 農商行涉密網(wǎng)絡(luò )和信息系統應嚴格按照國家密碼政策規定，采用相應的加密措施。非涉密網(wǎng)絡(luò )和信息系統應依據湖南省農村信用社實(shí)際需求和統一安全策略，合理選擇加密措施?！　〉谝话偃粭l 農商行選用的密碼產(chǎn)品和加密算法應符合國家相關(guān)密碼管理政策規定，密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農村信用社的相關(guān)安全要求?！　〉谝话偃l 農商行應建立嚴格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進(jìn)行備案，規范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷(xiāo)毀等過(guò)程?！　〉谝话偃龡l 農商行應在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設置遇緊急情況下密鑰自動(dòng)銷(xiāo)毀功能?！　〉谝话偃臈l 各類(lèi)密鑰應定期更換，對已泄露或懷疑泄露的密鑰應及時(shí)廢除，過(guò)期密鑰應安全歸檔或定期銷(xiāo)毀。

第十章　第三方訪(fǎng)問(wèn)和外包安全管理

第一節 第三方訪(fǎng)問(wèn)控制

第一百三十五條 本辦法所稱(chēng)第三方訪(fǎng)問(wèn)是指邵陽(yáng)市農村商業(yè)銀行之外的單位和個(gè)人物理訪(fǎng)問(wèn)邵陽(yáng)市農村商業(yè)銀行計算機房或者通過(guò)網(wǎng)絡(luò )連接邏輯訪(fǎng)問(wèn)邵陽(yáng)市農村商業(yè)銀行數據庫和信息系統等活動(dòng)?！　〉谝话偃鶙l 農商行保密工作委員會(huì )負責涉密信息系統和網(wǎng)絡(luò )相關(guān)的第三方訪(fǎng)問(wèn)授權審批，農商行科技信息部負責非涉密信息系統和網(wǎng)絡(luò )相關(guān)的第三方訪(fǎng)問(wèn)授權審批。未經(jīng)邵陽(yáng)市農村商業(yè)銀行授權的任何第三方訪(fǎng)問(wèn)均視為非法入侵行為?！　〉谝话偃邨l 允許被第三方訪(fǎng)問(wèn)的邵陽(yáng)市農村商業(yè)銀行信息系統和資源應建立存取控制機制、認證機制，列明所有用戶(hù)名單及其權限，嚴格監督第三方訪(fǎng)問(wèn)活動(dòng)?！　〉谝话偃藯l 獲得第三方訪(fǎng)問(wèn)授權的所有單位和個(gè)人應與湖南省農村信用社簽訂安全保密協(xié)議，不得進(jìn)行未授權的修改、增加、刪除數據操作，不得復制和泄露湖南省農村信用社任何信息。

第二節 外包安全管理

第一百三十九條 本辦法所稱(chēng)外包服務(wù)是指由邵陽(yáng)市農村商業(yè)銀行之外的其他社會(huì )廠(chǎng)商為邵陽(yáng)市農村商業(yè)銀行信息系統、網(wǎng)絡(luò )或桌面環(huán)境提供全面或部分的開(kāi)發(fā)、維護技術(shù)支持、咨詢(xún)等服務(wù)。

第一百四十條 信息科技外包服務(wù)應按照《湖南省農村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導批準，外包服務(wù)提供商可提供上門(mén)維護服務(wù)并由邵陽(yáng)市農村商業(yè)銀行科技人員在場(chǎng)準確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復制涉密信息或將涉密介質(zhì)帶離湖南省農村信用社?！　〉谝话偎氖l 計算機設備確需送外單位維修時(shí)，科技信息部應徹底清除所存工作信息，必要時(shí)應與設備維修廠(chǎng)商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章　災難備份與應急管理

第一節 災難備份管理

第一百四十三條 災難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數據和信息系統在地震、水災、火災、戰爭、恐怖襲擊、網(wǎng)絡(luò )攻擊、設備系統故障、人為破壞等無(wú)法預料的突發(fā)事件（以下稱(chēng)“災難”）發(fā)生后在規定的時(shí)間內可以恢復和繼續運營(yíng)的有序管理過(guò)程?！　〉谝话偎氖臈l 科技信息部按照“統籌安排、資源共享、平戰結合”的原則，負責邵陽(yáng)市農村商業(yè)銀行重要信息系統災難備份的統一規劃、實(shí)施和管理?！　〉谝话偎氖鍡l 農商行相關(guān)業(yè)務(wù)部門(mén)負責提出業(yè)務(wù)系統災難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間（恢復時(shí)間目標RTO）和數據丟失量(恢復點(diǎn)目標RPO)。省聯(lián)社信息科技部據此確定災難備份等級和備份方案?！　〉谝话偎氖鶙l 農商行應建立健全災難恢復計劃，定期開(kāi)展災難恢復培訓。在條件許可的情況下，由省聯(lián)社信息科技部統一部署，重要信息系統至少每年進(jìn)行一次災難恢復演練，包括異地備份站點(diǎn)切換演練和本地系統災難恢復演練。

第二節 應急管理

第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務(wù)差錯和停頓，甚至系統混亂、崩潰等災難而采取的應對策略、措施的有機集合?！　〉谝话偎氖藯l 在信息系統推廣應用方案中應同時(shí)設計應急備份策略，同步實(shí)施備份方案?！　〉谝话偎氖艞l 農商行應制定和不斷完善網(wǎng)絡(luò )、信息系統和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門(mén)共同完成?！　〉谝话傥迨畻l 應急預案應包括以下基本內容：　?。ㄒ唬┛倓t（目標、原則、適用范圍、預案調用關(guān)系等）?！　。ǘ苯M織機構?！　。ㄈ╊A警響應機制（報告、評估、預案啟動(dòng)等）?！　。ㄋ模└黝?lèi)危機處置流程?！　。ㄎ澹辟Y源保障?！　。┦潞筇幚砹鞒??！　。ㄆ撸╊A案管理與維護（生效、演練、維護等）?！　〉谝话傥迨粭l 農商行應定期組織應急預案的演練，并指定專(zhuān)人管理和維護應急預案，根據人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應急預案的有效性和災難發(fā)生時(shí)的可獲取性?！　〉谝话傥迨l 農商行信息安全工作領(lǐng)導小組統一負責各業(yè)務(wù)系統的應急協(xié)調與指揮，決定重大事宜（決定應急預案的啟動(dòng)、災難宣告、預警相關(guān)單位等）和調動(dòng)應急資源?！　〉谝话傥迨龡l 農商行應按照湖南省農村信用社信息安全事件報告辦法進(jìn)行信息通報，一般信息安全事件應逐級通報，發(fā)生因人為、自然原因造成信息系統癱瘓以及利用計算機實(shí)施犯罪等影響和損失較大的信息安全事件（下稱(chēng)“重大信息安全事件”）應直接報省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農商行相關(guān)人員應注意保護事件現場(chǎng)，采取必要的控制措施，調查事件原因，并及時(shí)報告本單位主管領(lǐng)導。

第一百五十五條 農商行應在重大信息安全事件發(fā)生后的兩小時(shí)內按規定程序報上一級科技信息部。??? 第一百五十六條 農商行辦公室負責統一向社會(huì )發(fā)布應急事件公告，其他任何單位或個(gè)人不得向社會(huì )發(fā)布應急事件公告。

第十二章　安全檢查評估與培訓

第一節 監測檢查

第一百五十七條 農商行科技信息部應整合和利用現有網(wǎng)絡(luò )管理系統、計算機資源監控系統、專(zhuān)用安全監控系統以及相關(guān)設備與系統的運行日志等監控資源，加強對網(wǎng)絡(luò )、重要信息系統和機房環(huán)境等設施的安全運行監測?！　〉谝话傥迨藯l 農商行科技信息部應建立運行監測周報、月報或季報辦法，報送本單位信息安全工作領(lǐng)導小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門(mén)?！　〉谝话傥迨艞l 農商行要及時(shí)預警、響應和處置運行監測中發(fā)現的問(wèn)題，發(fā)現重大隱患和運行事故應及時(shí)協(xié)調解決，并報上一級單位相關(guān)部門(mén)。

第一百六十條 農商行科技信息部應至少每年組織一次本單位或轄內的信息安全專(zhuān)項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式?！　〉谝话倭粭l 農商行在開(kāi)展安全檢查前應以安全管理辦法為依據制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規范性。安全檢查完成后應及時(shí)形成檢查報告，經(jīng)本單位主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續跟蹤?！　〉谝话倭l 農商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農村信用社內部材料妥善保管，不得向外界泄露?！　〉谝话倭龡l 農商行應將每次安全檢查報告和整改落實(shí)情況整理匯總后報上一級科技信息部備案。

第二節 評估審計

第一百六十四條 農商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內重要信息系統的安全評估。

第一百六十五條 安全評估應在不影響信息系統正常運行的情況下進(jìn)行。評估開(kāi)始前，應制定評估方案并進(jìn)行必要的培訓。評估結束后，形成評估報告，提出整改意見(jiàn)報本單位科技信息部主管領(lǐng)導?！　〉谝话倭鶙l 農商行如聘請第三方機構進(jìn)行安全評估，報省聯(lián)社信息科技部批準，并與第三方評估機構簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評估過(guò)程并實(shí)施監督?！　〉谝话倭邨l 農商行妥善保管信息安全評估報告，未經(jīng)授權不得對外透露評估信息。

第一百六十八條 農商行定期對重要信息系統進(jìn)行安全等級保護測評。開(kāi)展等保測評工作應遵循《金融行業(yè)信息系統信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規定，確保測評有效和測評安全。

第一百六十九條 農商行科技信息部在支持與配合內審部門(mén)開(kāi)展信息安全工作審計的同時(shí)，應適時(shí)開(kāi)展本單位和轄內的信息系統日常運行管理和信息安全事件全過(guò)程的技術(shù)審計，發(fā)現問(wèn)題及時(shí)報本單位或上一級單位主管領(lǐng)導?！　〉谝话倨呤畻l 農商行應做好操作系統、數據庫管理系統等審計功能配置管理，并完整保留相關(guān)日志記錄。

第三節 安全培訓

第一百七十一條 農商行應至少每年對信息安全管理人員進(jìn)行一次專(zhuān)業(yè)培訓，不斷提高信息安全管理人員專(zhuān)業(yè)技能和管理水平。

第一百七十二條 農商行應開(kāi)展全員信息安全教育，對本單位全體正式和非正式員工進(jìn)行必要的培訓，提高全體員工信息安全意識，使全體員工充分了解其職責范圍內的信息保護流程及違反規定的后果。

第十三章　獎勵與處罰

第一百七十三條 農商行將本單位和轄內信息安全管理工作納入年度考評，對表現突出的單位和個(gè)人應進(jìn)行通報表彰并給予一定形式的獎勵?！　〉谝话倨呤臈l 對于違反本辦法，造成重大信息安全事件的單位及個(gè)人，要給予通報批評；情節嚴重的，依據相關(guān)法律法規，追究其主管領(lǐng)導、相關(guān)部門(mén)負責人及直接責任人的責任；構成犯罪的，依法追究刑事責任。

第十四章　附　則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規定條款如與本辦法不一致的，按本辦法執行。

第一百七十六條 本辦法由邵陽(yáng)市農村商業(yè)銀行負責解釋。