信息安全管理办法

1邵阳市农村商业银行股份有限公司计算机工作管理暂行办法（提交邵阳农村商业银行股份有限公司第一届董事会第一次会议审议）第一章总则第一条为加强邵阳市农村商业银行（以下简称农商行）信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理，防范和化解信息系统的运行风险，杜绝各类事故和案件的发生，根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定，结合我农商行实际情况，特制定本办法。第二条本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人，包括农商行辖内网点所有员工，包括在编合同制员工、经批准在岗的短期合同制员工。第三条信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。第四条信息系统系统信息安全管理员，应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。第五条任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。第二章组织保障第六条农商行设立科技信息部，由科技信息部归口管理信2息安全工作，并明确其信息安全管理职责。第七条根据省联社要求，农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组，领导小组办公室设农商行科技信息部，负责协调辖内信息安全管理工作，决定辖内信息安全重大事宜。第八条农商行科技信息部门设立信息安全岗位，配备专职信息安全管理人员。负责邵阳农商行信息安全管理，建立完善信息安全管理办法，并组织实施；对农商行信息安全管理工作进行指导和检查督促。第九条农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人，同时均应指定至少一名部门信息安全员，具体负责本部门的信息安全管理，协同科技信息部开展信息安全管理工作。第三章人员管理农商行工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门，设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组，设立部门信息安全员。第一节信息安全管理人员第十条农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员，不得从事此项工作。3第十一条信息安全管理人员应具有从事金融机构计算机工作三年以上经历，具有本科以上学历。第十二条信息安全管理人员必须应经过省联社组织的专业培训与审核，培训与审核合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。第十三条农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理办法，协调部门计算机安全员工作，监督检查信息安全保障工作。（二）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设，维护、管理信息安全专用设施。（三）检测网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第十四条信息安全管理人员在履行职责时，确因工作需要查询相关涉密信息，须经本部门负责人同意后向本单位保密主管部门提交申请，获得批准后方可查询。第十五条信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。第十六条信息安全管理人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位，必须进行离岗审计，并在规定的脱4密期后，方可调离。第二节部门信息安全员第十七条各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员，并报农商行科技信息部备案。如有变更应做好交接工作，并及时通报科技信息部。第十八条部门信息安全员配合农商行信息安全管理人员工作，并参加各项信息安全技能培训。第十九条部门信息安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。（二）负责提出本部门信息安全保障需求，及时与农商行信息安全管理人员沟通信息安全信息。（三）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技信息部完成对本部门的信息安全检查工作。第三节技术支持人员第二十条本办法所称技术支持人员，是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。第二十一条农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问，未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。5（二）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。（三）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法，做好数据备份工作。第二十二条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。提供技术服务期间，严格遵守湖南省农村信用社相关安全规定与操作规程，关键操作应经授权，并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据，不得对外泄露或引用任何工作信息。第四节业务系统操作人员第二十三条本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。第二十四条业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。定期修改操作密码并妥善保管，按需、适时进行必要的数据备份。（二）发现业务系统出现异常及时报告科技信息部。（三）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。第二十五条业务系统操作应按照“权限分散、不得交叉任职”原则，严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。第五节一般计算机用户第二十六条本办法所称一般计算机用户是指使用计算机设备的所有人员。6第二十七条一般计算机用户应承担如下安全义务：（一）及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部门信息安全员的指导与管理。（二）不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。（三）未经科技信息部检测和授权，不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网；不得将便携式计算机接入湖南省农村信用社内部网络；不得随意将个人计算机带入机房或私自拷贝任何信息。第六节信息系统要害岗位人员第二十八条本办法所称信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。第二十九条本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，以及支撑系统运行的机房和网络等基础设施。第三十条要害岗位人员上岗前必须经农商行人事部门进行政治素质审查，技术部门进行业务技能考核，合格者方可上岗。第三十一条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则，按照“必需知道”和“最小授权”原则，严格设定各用户的操作权限。第三十二条对要害岗位人员应实行年度强制休假办法和定期考查办法，并进行必要的安全教育和培训。第三十三条要害岗位人员调离岗位，必须严格办理调离手7续，承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。第三十四条要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第三十五条系统管理员安全责任（一）负责系统的运行管理，实施系统安全运行细则；（二）严格用户权限管理，维护系统安全正常运行；（三）认真记录系统安全事项，及时向计算机安全人员报告安全事件；（四）对进行系统操作的其他人员予以安全监督。第三十六条系统开发员安全责任（一）系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现；（二）系统投产运行前，应完整移交系统源代码和相关涉密资料；（三）不得对系统设置后门；（四）对系统核心技术保密。第三十七条系统维护员安全责任（一）负责系统维护，及时解除系统故障，确保系统正常运行；（二）不得擅自改变系统参数配置；（三）不得安装与系统无关的其他计算机程序；（四）维护过程中，发现安全漏洞应及时报告计算机安全人8员。第三十八条各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。第四章机房环境和设备资产管理第一节机房环境安全管理第三十九条本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。第四十条农商行机房的规划、建设、改造、运行、维护由科技信息部负责。第四十一条农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定，满足下列基本安全要求：（一）机房周围100米内不得存在危险建筑物，如加油站、煤气站等。（二）机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。（三）机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。（四）机房应设专用的供电系统，配备必要的UPS和发电机。第四十二条机房建设、改造的方案应报上市网络中心备案。必要时，由市网络中心会同财务、保卫等部门进行审核。第四十三条机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办9法。第四十四条计算机机房实行分区管理原则。核心区实行24小时连续监控，生产区实行工作时间连续监控，辅助区实施联动监控。第四十五条监控设备的安装应符合安全保密原则，确保监控的安全规范运作，防止监控信息的泄密。第四十六条农商行机房应建立机房设施与场地环境集中监控系统，对机房空调、消防、不间断电源（UPS）、供配电、门禁系统等重要设施实行全面监控，通过技术和管理手段，确保计算机机房及配套设施安全。第四十七条农商行机房投入使用前，应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收，并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。第四十八条农商行建立健全机房管理办法，并指派专人担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。第四十九条机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料，并随时提供调阅。第五十条农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准，并办理登记手续，由专人陪同。第五十一条建立机房定期维修保养办法。易受季节、温度10等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。第五十二条向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理，应安装门禁、防入侵报警、视频监视录像系统，实行定时录像监控，并适当配置自动监控报警功能。第五十三条所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管，至少保存三个月。第二节设备资产管理第五十四条农商行科技信息部建立完备的计算机设备登记办法，严格资产管理，明确计算机设备使用者或管理者及其安全责任。第五十五条农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施，制定完善的访问控制策略，防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区，必要时，单独建立门禁与监控系统，或配备防电磁泄露的屏蔽装置等。第五章网络安全管理第一节网络规划建设安全管理第五十六条省联社信息科技部负责网络和网络安全的统一规划、建