*********有限责任公司信息安全管理办法第一章总则第一条为了加强************有限责任公司(以下简称:我行)计算机信息系统安全保护工作,确保我行计算机信息系统安全、稳定、高效运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规,结合自身实际制定本办法。第二条************有限责任公司计算机信息系统安全管理工作的指导方针是“预防为主,安全第一,依法办事,综合治理”。其中“预防为主”是计算机安全管理工作的基本方针。第三条************有限责任公司计算机信息系统安全工作实行统一领导和分级管理。按照“谁主管谁负责、谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。第四条成立计算机信息安全管理工作领导小组,由科技、财会、保卫、稽核、办公室、电子银行等部门组成,实行一把手负责制,计算机信息安全管理工作领导小组负责组织、协调、监督和检查我行计算机安全管理工作。第五条权限说明:************有限责任公司作为吉林省农村信用联合社(以下简称:省联社)信息系统平台的终端使用者,享有使用其系统、数据库、网络等其他IT资源的权利,吉林省农村信用联合社享有开发、管理、控制其系统、数据库的权利,当出现各种事故时由************向吉林省农村信用联合社进行通知报告,系统、数据库、网络等故障根据事故级别情况由吉林省农村信用联合社进行处理解决。本办法适用于************计算机设备、系统的使用部门和各分支机构。本办法与相关制度对应关系如下第四章对应《************有限责任公司系统运行维护实施细则》须结合上述制度开展工作。第五章对应《************有限责任公司网络运行维护实施细则》须结合上述制度开展工作。第六章对应《************有限责任公司办公设备日常操作管理办法》、《************计算机物品管理指导意见(试行)》须结合上述制度开展工作。第八章对应《************数据备份管理规定》结合该制度开展工作。第二章人员与岗位管理第一节人员基本要求与安全教育第六条本办法所称计算机安全人员,是指各级机构专(兼)职计算机安全管理人员。第七条计算机安全人员应当遵纪守法、政治过硬、业务精通、恪尽职守。违反国家法律、法规和受到行政处分的人员,不得从事计算机安全管理工作。第八条计算机安全人员变动,应向上级科技管理部门备案。第九条营业机构对全体员工应进行计算机安全法律法规及相关规章制度的培训。第十条计算机安全人员应定期接受政治思想教育、职业道德教育、安全保密教育。第十一条计算机安全教育由科技信息部负责实施。第二节计算机关键岗位人员安全管理第十二条本办法所称计算机信息系统关键岗位人员(简称关键岗位人员),是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、操作运营等岗位人员。第十三条关键岗位人员上岗前,必须经过人事部门的政治素质审查,科技信息部的信息安全教育、业务操作技能考核,合格者方可上岗。第十四条关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务;系统开发人员不得兼任系统管理员。第十五条岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及基层业务保密信息的关键岗位人员调离单位时,必须进行离岗稽核,关键岗位人员在调离后应继续履行保密义务。第十六条关键岗位人员离岗后,必须及时注销其用户,并更换相关密码。第三节计算机岗位人员的安全责任第十七条系统管理员安全责任1.负责系统的运行管理,实施系统安全运行细则。2.严格用户权限管理,维护系统安全正常运行。3.认真记录系统安全事项,及时向科技信息部负责人报告安全事件。4.对进行系统操作的其他人员予以安全监督。第十八条网络管理员安全责任1.负责网络的运行管理,检测网络运行状况,实施网络安全策略和安全运行细则。2.合理配置网络应用,严格控制网络用户访问权限,维护网络安全正常运行。3.监控网络关键设备、网络端口、网络物理链路,防范黑客入侵,及时向部门负责人报告安全事件。4.对操作网络管理功能的其他人员进行安全监督。第十九条开发人员安全责任1.系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现。2.系统投产运行前,应完整移交系统源代码和相关涉密资料。3.不得对系统设置“后门”。4.对系统核心技术保密。第二十条应用系统、操作系统维护员安全责任1.负责系统维护,及时解除系统故障,确保系统正常运行。2.不得擅自改变系统功能及相关参数。3.不得安装与系统无关的其它计算机程序。4.维护过程中,发现安全漏洞应及时报告部门负责人。第二十一条业务操作员安全责任1.严格执行系统操作规程和运行安全管理制度。2.不得向他人提供自己的操作密码,柜员卡不得借给他人。3.及时向科技信息部报告系统各种异常事件。第二十二条各部门、营业机构计算机管理员责任1.各部门、营业机构应指派素质好、较熟悉计算机知识的人员担任本单位的计算机管理员或科技协管员,并报科技信息部备案。如有变更应做好交接工作,并及时通知科技信息部。2.各部门、营业机构计算机管理员或科技协管员要配合科技人员工作,并参加各项信息安全技能培训。3.各部门、营业机构计算机管理员或科技协管员负责本部门、本网点计算机病毒防治工作,监督检查本部门客户端安全管理情况;负责提出本部门信息安全保障需求,及时与科技信息部沟通信息安全监测情况;协助科技信息部完成对本部门的信息安全检查工作。第四节一般计算机用户的安全管理责任第二十三条本办法所称一般计算机用户是指使用计算机设备的我行所有工作人员。第二十四条一般计算机用户应承担如下安全义务:1.不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。2.未经科技信息部检测和授权,不得将接入系统内部网络所用计算机转接国际互联网,不得将便携式计算机接入总行内部网络,不得随意将私人计算机带入机房或私自拷贝任何信息。所造成的后果和相关经济损失由本人承担。第五节外来人员的安全管理第二十五条各单位要针对不同的外来人员,制定相应的安全策略,严格控制外来人员对我行信息系统、网络设备、安全设备、办公主机、主机服务器的访问,外来人员对敏感的信息资产进行访问时,应与其签订安全保密协议,明确安全责任和义务。第二十六条各单位必须做好外来人员的出入管理和陪同工作。第二十七条严禁外来人员在未经科技信息部允许的情况情况下通过办公用户网访问生产网络。第二十八条对需要长期进入各级单位工作的外公司人员,必须报外来人员管理部门审批,做好其工作区域的隔离和访问控制,并对访问过程进行全程监控、详细记录和及时审计。第三章设备的安全管理第二十九条设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。第三十条生产环境、测试环境、开发环境的相关设备相互之间必须有明确的物理安全边界,物理安全区必须有明确的标志。第三十一条设备所在的物理安全区应具备符合国家相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等基本环境条件。第三十二条对路由器、交换机、防火墙和主机服务器等设备必须采取严格的管理措施,未经批准不得随意移动和接入。第三十三条设备安装时,应由相关技术人员制定详细可行的操作步骤,其中关键设备的安装必须请供货厂商(代理商)技术人员现场支持。第三十四条主机和网络通信关键设备必须有备份,并处于实时备用状态。第三十五条重要设备使用单位应做好设备日常运行维护工作:1.做好设备的日常检测、检查、记录,及时掌握设备的运行状况。2.设备发生故障时应及时维修,必要时,通知设备维护商的技术人员到场解决。3.制定设备维护计划,为维护的项目、步骤、周期、责任人等做出明确规定,并严格按照设备维护计划定期进行设备的保养和维护,做好设备维护记录。第四章系统的安全管理第三十六条本办法所指的计算机系统是指************业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。第三十七条系统规划与立项要充分考虑系统的安全需求,系统建设要充分考虑实现安全功能,计算机安全管理部门应对重要系统的立项进行安全性专项审查。第三十八条系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。第三十九条系统投入运行前,必须进行系统的安全评估与审批;对已投入运行的系统需跟踪进行评估并根据评估结果不断改进和提高系统安全性。第四十条系统运行安全管理1.严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。2.备份系统与生产系统的系统构成与配置应保持一致,以保证生产系统出现故障时能顺利切换。3.严禁擅自修改系统参数,确需修改应严格履行审批手续,由维护岗位人员实施,实施时应有监督,修改后的参数应记录在案。4.严禁擅自对业务数据库的数据进行修改或恢复操作,确需操作时应严格履行审批手续,由相关岗位人员实施,并由有关人员监督执行。5.对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大事件操作,按《************有限责任公司系统升级管理办法》由科技信息部从安全角度出发与业务部门密切配合,共同制定详细的计划和方案。第四十一条做好系统的日常安全运行维护工作,不断完善系统运行制度、日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。定期对系统进行备份,并对备份媒体按有关规定指定专人妥善保管,重要业务系统的备份媒体必须异地保存。重要业务系统应由业务部门制定计算机安全保护的应急计划,保证业务的不间断运行,并不断完善应急计划。对涉密的应用系统,应严格执行保密管理的有关规定。第四十二条各级运行机构必须做好对系统的安全监测工作。非营业机构接入生产网,须向科技信息部申请,连接单独设立的服务器。第四十三条严格执行系统废止和销毁的有关安全管理规定。第五章网络安全管理第一节网络管理第四十四条科技信息部应持续建立健全网络安全运行制度,不断健全《************网络运行维护实施细则》、《************系统运行维护实施细则》、《************计算机系统应急预案》等涉及到网络方面的制度,并按制度开展日常工作。第四十五条应配备专职网络管理员。重要网络设备应放置在机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。网管设备属专管设备,必须严格控制其管理员密码。第四十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份,按《************数据备份管理规定》执行备份有关工作。第四十七条新建网络、网络改造或变更在投入使用前,科技信息部应制订相应的网络安全防范措施,组织对新建网络或改造后网络实施安全检验,未通过检验不允许投产使用。第四十八条网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。第四十九条网络管理员应按照省联社统一发布安全规范实施所负责网络的安全配置,并定期检查与规范的符合性。对网络设备配置命令和响应信息的完整性、合理性及保密性必须进行验证。第五十条与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,提出具体实施方案,并得到充分论证,经过科技信息部审核通过方可实施。第五十一条网络管理人员应随时掌握监测网络运行状况,定期检查网络状况,双机热备对获得的信息进行分析,发现安全隐患应报告部门负责人。第五十二条网络扫描、监测结果和网络运行日志等重要信息应备份存储。第五十三条联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应及时处理。第五十四条科技信息部人员严禁超越网络管理权限,非法操作业务数据信息,不得擅自设置路由与非相关网络进行连接。第五十五条按照