农商行信息系统安全管理办法模版.docx

《农商行信息系统安全管理办法模版.docx》由会员分享，可在线阅读，更多相关《农商行信息系统安全管理办法模版.docx（16页珍藏版）》请在咨信网上搜索。

农商行信息系统安全管理办法 第一章      总则 第一条   为了有效防范和控制农商行（以下简称“信用社”）信息系统安全风险，保障系统稳定运行，为业务发展提供有效的科技安全保障。根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合实际，制定本办法。 第二条    本办法适用于全省农商行（含农村合作银行、农村商业银行）。 第三条    信息系统安全管理工作的指导方针是“预防为主，安全第一，合规管理，综合治理”。 第四条    信息系统安全投入的策略是“重点保护，同步建设”，集中资源优先保护涉及核心业务或关键信息资产的信息系统，信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。 第五条    信息系统安全管理主要包括人员管理、第三方访问和外包服务安全管理、机房环境和设备管理、网络安全管理、软件安全管理、系统规划、开发、运行和变更安全管理、数据与文档安全管理、容灾备份与应急管理等内容。 第六条    信用社员工不得利用计算机信息系统从事危害国家利益、信用社利益、客户和员工合法利益的活动，不得损害计算机信息系统的安全。 第七条    信用社员工发现危害计算机信息系统安全的行为，有权利制止并向各级科技部门举报。 第二章    组织机构和职责 第八条    各级农商行应当成立信息安全领导小组（以下简称“安全领导小组”）。组长由分管科技的领导担任，成员由科技及相关业务部门负责人组成。安全领导小组下设办公室（以下简称 “安全办公室”），安全办公室设在各级科技部门。 省联社科技部门设置专职信息系统安全管理员，市级科技部门和县级科技部门设置专（兼）职信息系统安全管理员。信息系统安全管理员的数量根据信息系统数量、复杂程度和监管要求确定。 第九条    安全领导小组主要职责： （一） 负责辖内重大信息安全事项的决策和审批； （二） 负责确定信息系统安全管理组织和职责划分，授权有关部门和人员组织开展信息安全工作； （三） 监督检查信息系统安全管理相关规章制度的执行情况。 第十条    安全办公室在安全领导小组领导下开展工作，主要职责： （一） 负责制定信息系统安全管理总体规划和管理制度； （二） 负责制定具体的信息系统安全管理策略，指导、协调和规范辖内信息系统安全工作； （三） 负责信息系统安全专用产品选型，组织信息系统安全评估和初审； （四） 负责跟踪先进信息安全技术，及时补充完善信息系统安全管理与实施方案； （五） 负责组织辖内信息系统安全检查，分析信息系统运行的总体安全状况，提出安全分析报告和防范建议； （六） 负责定期向安全领导小组报告计算机信息系统安全情况； （七） 负责对信息系统安全管理员进行技术培训及安全教育，使其具备相应能力和任职资格； （八） 加强与公安机关计算机安全职能部门、政府安全保密职能部门联系，并接受指导； （九） 协助公安机关调查有关计算机信息系统的违法犯罪案件； （十） 安全领导小组交办的其它工作。 第三章    人员管理 第十一条        信用社应选派政治思想过硬、具备较高计算机水平的人员从事信息系统安全管理工作。凡是因违反国家法律法规和信用社有关规定受到过处罚或处分的人员，不得从事此项工作。 第十二条           信息系统安全管理员履行下列职责： （一） 负责信息系统安全管理的日常工作和内部监督； （二） 负责对信息系统安全管理提出建议，评估安全管理措施的合理性和可行性；对系统变更或业务规则变化后安全管理策略适用性进行分析； （三） 负责信息系统使用部门和个人相关信息安全培训，并且规范执行安全管理措施； （四） 负责及时向本级安全办公室报告信息系统安全事件，同时报告其危害程度； （五） 开展计算机安全检查工作，对各岗位人员安全工作进行指导； （六） 协助本级安全领导小组调查、处理信息系统安全事件。 第十三条  信息系统安全管理员实行备案管理制度。信息系统安全管理员的配备和变更情况应及时报上一级科技部门备案。信息系统安全管理员调离原岗位时应办理交接手续，并履行其调离后一定期限内的保密义务。 第十四条  信用社内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务： （一）  不得对外泄露工作中涉及的任何敏感信息；严格权限访问，未经授权不得擅自改变系统设置或修改系统生成的任何数据； （二）  主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。 第十五条  严禁外部技术支持人员有未经授权的任何系统操作或对外泄露或引用任何工作信息。 第十六条  信息系统使用部门和个人履行下列职责： （一） 负责执行信息安全管理的具体要求，规范和约束日常操作； （二） 负责系统出现安全异常或报警时，及时报告，并采取规定的安全处理措施。 第四章    第三方访问和外包服务安全管理 第十七条  本办法所称第三方访问是指信用社之外的单位和个人通过网络连接等各种方式访问信用社数据库和信息系统等活动。 第十八条  各级安全办公室负责信息系统和网络安全相关的第三方访问授权审批。 第十九条  允许被第三方访问的信用社信息系统和资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监督第三方访问活动。 第二十条  获得第三方访问授权的所有单位和个人应与信用社签订安全保密协议，不得进行未授权的修改、增加、删除数据操作，不得复制和泄露信用社任何信息。 第二十一条  本办法所称外包服务是指由信用社之外的其他社会厂商为信用社信息系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。 第二十二条  经科技部门领导批准，外包服务提供商可提供上门维护服务并由信用社科技人员在场准确记录所有技术配置变更信息。不得允许外包服务提供商查看、复制涉密信息或将涉密介质带离信用社。 第二十三条  计算机设备确需送外单位维修时，各单位科技部门应彻底清除所存工作信息，必要时应与设备维修厂签订保密协议。与密码设备配套使用的计算机设备送修前必须拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。 第五章    机房环境和设备管理 第二十四条 机房的建设应当按照中华人民共和国国家标准《计算站场地安全要求》、《计算站场地技术要求》的要求进行，并应考虑不同设备对场地的特殊要求。 第二十五条 机房投入使用前，应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收，并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第二十六条 信用社应建立健全严格的机房安全管理制度，对机房的环境、秩序、出入、消防等做出明确的规定，并进行严格管理。 第二十七条 信用社应建立机房设施与场地环境监控系统，对机房空调、消防、不间断电源、供配电、门禁系统等重要设施实行全面监控。监控设备的安装应当符合安全保密原则，确保监控的安全规范运作，防止监控信息的泄密。 第二十八条 信用社应加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准，外来人员进出机房须办理相关登记与审批手续，并由专人陪同。 第二十九条 信用社应做好机房环境的日常运行维护工作： （一） 定期对运行机房的防火、防水、防盗、防雷击、防鼠、接地及门禁等相关设施进行检查、维护，并记录备案； （二） 制定运行机房供电系统设备维护计划，并按计划进行检修、维护，保障不间断电力供应； （三） 制定运行机房专用空调维护计划，并按计划进行检修、维护，确保计算机设备对温、湿度的要求； （四） 建立运行机房档案，详细记录机房的结构、布线、设备设施的分布和变动等情况。 第三十条 发生机房重大事故或案件，机房主管部门应当立即向本级安全办公室报告，并保护现场。 第三十一条  各级科技部门应当建立完备的计算机设备登记制度，严格信息资产管理，明确计算机设备使用者或管理者及其安全责任。 第三十二条  各级科技部门应当根据计算机设备重要程度采取不同的安全保护措施，制定完善的访问控制策略，防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区，必要时，单独建立门禁与监控系统，或配备防电磁泄露的屏蔽装置等。 第三十三条  设备安装时，应由相关技术人员制定详细可行的操作步骤，其中关键设备的安装必须由供货厂商(代理商)技术人员进行现场支持。 第三十四条  设备在投入正式使用前，应依据供货厂商提供的项目和相关指标，由相关技术人员进行严格的测试，并出具测试报告，测试合格并经批准后方可使用。 第三十五条  设备更新应当经过充分的技术论证和审批，并由运行相关岗位人员制定详细可行的实施方案，更新过程中应保证现有生产系统的正常运行。 第三十六条  信用社应做好设备日常运行维护工作： （一）   做好设备的日常监测、检查、记录，及时掌握设备的运行状况； （二）   设备发生故障时应当及时维修，必要时，通知供货厂商(代理商)的技术人员到场解决； （三）   制定设备维护计划，对维护的项目、步骤、周期、责任人等做出明确规定，并严格按照设备维护计划定期进行设备的保养和维护，做好设备维护记录； （四）   建立设备档案，详细记录设备的基本情况(包括升级、更新等情况)、故障现象、故障分析、维修过程、处理结果等内容。 第六章    网络安全管理 第三十七条  网络系统建设应符合如下基本安全要求： （一） 符合信用社网络安全管理要求，保障网络传输与应用安全； （二） 具备必要的网络监测、跟踪和审计等管理功能； （三） 针对不同的网络安全域，采取必要的安全保护措施。 第三十八条  信用社应制定严格的远程登录审批制度，建立远程登录登记簿，详细记录登录原因、登录人员、起止时间、批准人等项内容。登录结束后及时更改相关的密码、口令。 第三十九条  网络设备配置必须符合相关设备安全标准。 第四十条  任何人不得擅自增加、删除网络节点及修改网络参数，确需增加、删除或修改时，应严格履行审批手续。 第四十一条  信用社应安全部署和管理电子邮件系统，建立健全电子邮件使用制度，确保电子邮件使用安全。 第四十二条  信用社内部网络应与国际互联网实行安全隔离。所有接入信用社内部网络或存储有敏感工作信息的计算机，不得以任何方式接入国际互联网。 第四十三条  未经科技部门安全检测，曾接入国际互联网的计算机不得直接接入信用社内部网络。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。 第四十四条  信用社应做好网络系统的日常运行维护工作： （一） 密切监视网络运行状况，及时排除网络出现的故障，做好网络运行及维护记录； （二） 定期分析网络运行状况，形成网络性能优化方案，实施须报科技部门领导审批； （三） 严格控制网络通信连接，采取诸如防火墙等相关防范措施，对内部网与外部网进行网络隔离； （四） 采取切实可行的措施对内部网络各节点的通信进行控制，防止各种非法访问； （五） 网络的通信线路应当有备份，并对备份线路按月进行检测。 第七章    软件安全管理 第四十五条  软件开发安全管理应遵循以下要求： （一） 应用需求调研阶段，应明确所有安全需求并形成书面文档； （二） 应用系统设计阶段，必须建立访问控制机制，对管理系统访问进行分级授权； （三） 应用系统编码实现阶段，应控制编码过程，实行代码统一管理，确保代码自身安全； （四） 应用系统功能测试阶段，应检查安全设计是否实现； （五） 应用系统开发归档阶段，应检查所有开发文档及交接文档的完整性。 第四十六条  软件使用安全管理遵循以下要求： （一）      严格控制和管理软件获取途径、功能测试、安装及使用； （二）      严格控制和管理补丁软件（包括综合业务系统、操作系统以及其他相关补丁）测试、发布及使用； （三）      严格禁止使用未经授权、来源不明的软件； （四）      系统软件的安装须经科技部门负责人审批，由相关技术人员制定详细的操作步骤，并依据具体设备特性，对系统进行合理配置、测试、调整，最大限度地发挥设备资源优势。 第八章    系统规划、开发、运行和变更安全管理 第四十七条  信息系统建设项目应在规划与立项阶段同步考虑安全问题，采取与业务安全等级要求相应的安全机制，在安全防护方面须符合下列基本安全要求： （一） 采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制； （二） 严格用户和密码管理，对不同级别的用户进行有限授权，特别应当严格限制和分流特权用户的权限，防止非法用户的侵入和破坏； （三） 重要信息系统应当设置审计监控程序，需具有身份识别和实体认证功能，能够自动记录操作人员的重要操作，需具有防抵赖机制； （四） 涉密信息系统的安全设计须符合涉密信息保密管理的有关规定。 第四十八条      各级科技部门负责对项目技术方案进行安全专项审查并提出审查意见。 第四十九条       信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交信用社科技部门。外部开发单位还应与信用社签署相关知识产权保护协议和保密协议，不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第五十条    信息系统开发人员不得兼任计算机系统管理员或业务操作人员，不得在程序代码中植入后门和恶意代码程序。 第五十一条  访问系统资源按照安全管理要求授权和认证，用户权限分配遵循最小授权原则。 第五十二条  信息系统安全管理员每日对主机系统的安全审计跟踪记录及应用系统的日志进行检查，分析系统可能存在的安全隐患和漏洞，对发现的隐患和漏洞应当及时研究补救措施，并报科技部门领导审批后实施。 第五十三条  科技部门根据信息资产安全等级制定相应数据备份、恢复等策略，备份系统与生产系统的系统构成与配置应当保持一致，以保证生产系统出现故障时顺利切换。 第五十四条  各级科技部门应当严格控制和管理信息系统相关设备的用户名与口令。 第五十五条  所有密码必须按照密码管理要求定期或不定期进行更换，由专人实行监督，不得泄露。 第五十六条  运行岗位人员调离，各级科技部门应当及时修改相关密码、口令。 第五十七条  任何人不得擅自修改系统参数，如确需修改应严格履行审批手续，由相关岗位人员实施，实施修改应当派专人监督，修改后的参数应当记录备案。任何人不得擅自对业务数据库的数据进行修改或恢复操作，确需操作时应当严格履行审批手续，由相关岗位人员实施，并由有关人员监督执行。 第五十八条  对于系统软件升级、应用软件升级或更换、系统切换、年终结转、结息等重大操作，由科技部门与业务部门密切配合，共同制定详细的计划和方案，统一管理，统一部署，精心组织，周密安排，严格控制风险。 第五十九条  对厂商进行的远程支持联接及操作，严格履行审批手续，并对支持情况进行监督、审核、记录、备案。 第六十条  发生关键业务系统日间停止正常运行重大事故，运行人员应依据《农商行科技信息系统应急预案》的有关规定，进行上报和处理。 第六十一条  生产运行保障人员和值班人员应遵循以下要求： （一） 各种操作必须严格按照操作说明或手册执行，不得随意更改； （二） 密切监视并定时检查主机系统、网络通信系统、外围设备及附属设备的运行状况，及时处理系统运行中出现的问题。对无法处理的问题，须立即通知有关人员到场解决，重大问题须及时逐级上报； （三） 及时备份数据，并监视备份过程，确认备份数据有效后对备份介质进行登记，并安全存放； （四） 不得擅自离岗，不得从事与工作无关的事情。因特殊情况不能在岗，须经有关负责人同意，并由负责人落实他人代班。 （五） 值班人员应及时填写运行值班日志，记录系统运行状况、故障处理、电话受理、交接班等项内容，并严格履行交接班手续，接班人员未到岗，交班人员不得离岗。 第六十二条  各级科技部门应严格生产变更管理。因生产变更而暂停运行的操作，必须上报上级技术管理部门备案，对停机超过2小时以上的向科技部门以及相关主管部门上报生产变更方案，在得到批准后方可实施。 第六十三条  生产变更实施前必须经过严格的测试和验证，同时须做好系统、数据、应用程序等备份并制定相应的回退方案。 第六十四条  生产变更必须严格履行变更手续，填写变更申请表，说明变更的原因、缓急程度以及变更需求等内容，并由相关负责人签字认可。涉及系统升级等比较复杂的生产变更必须制定详细的变更方案和操作流程，确保系统安全。 第九章    数据与文档安全管理 第六十五条     各级科技部门应按规定进行数据备份，并检查备份介质的有效性。 第六十六条        各级科技部门应对备份介质（磁带、磁盘、光盘、纸介质等）统一编号，并标明备份日期、密级及保密期限。 第六十七条  各级科技部门应对备份介质妥善保管，特别重要的实行异地存放，并定期进行检查，确保数据的完整性、可用性。 第六十八条  各级科技部门应建立备份介质的销毁审批登记制度，并采取相应的安全销毁措施。 第六十九条   网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档，由科技部门严格管理。 第七十条       系统核心技术文档资料的外借须有审批手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体内容。 第十章    容灾备份与应急管理 第七十一条         容灾策略由业务部门负责提出业务系统容灾备份需求，科技部门据此确定容灾备份等级和备份方案。 第七十二条          主机设备和网络通信设备必须有备份，并处于实时备用状态。 第七十三条       各级科技部门应当制定安全运行应急计划，针对系统运行过程中可能发生的故障和灾难，制定恢复运行的措施、方法，并成立应急计划实施小组。 第七十四条     在保证系统日间正常运行的前提下，对可模拟的故障和灾难每年至少实施一次应急计划的演习。 第七十五条       应急计划的实施必须按规定由有关领导批准，应急计划实施结束后，必须认真分析和总结事故原因，制定相应的补救和整改措施，报安全领导小组备案。 第十一章     安全监测、检查与审计 第七十六条    各级科技部门应当加强对网络、重要信息系统和机房环境等设施的安全运行检测，及时预警、响应和处置运行检测中发现的问题，发现重大隐患和运行事故应当及时协调解决，并报上一级单位相关部门。 第七十七条   各级科技部门应当加强对辖内信息系统安全工作的监督检查。省联社、办事处（市联社）每年至少组织对辖内信息系统安全工作进行一次检查，县级联社（农合行、农商行）每年不少于二次检查。检查可采取普查、抽查、专项检查的方式定期或不定期的进行。 第七十八条   有关部门检查时应当事先拟定检查提纲，检查项目的指标应当量化。 第七十九条      检查后应当进行总结，检查结果应当逐级上报并及时通报，对检查中发现的问题，应当限期改进。 第八十条  各级科技部门应支持与配合内审部门开展信息科技内部审计工作。 第十二章     奖励与处罚 第八十一条   对信息系统安全管理工作成绩突出的单位与个人，由上级单位对其进行通报表彰，并给予一定形式的奖励。 第八十二条     对违反本办法者，依照《农商行工作人员违规行为处罚办法》处理。 第十三章     附则 第八十三条    本办法由农商行联合社负责解释。 第八十四条     本办法自下发之日起施行。