公司計算機工作管理暫行手冊

1、1 / 31邵陽市農村商業(yè)銀行股份有限公司計算機工作治理暫行方法（提交邵陽農村商業(yè)銀行股份有限公司第一屆董事會第一次會議審議）第一章 總則第一條 為加強邵陽市農村商業(yè)銀行（以下簡稱農商行）信 息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、 網絡安全等治理，防范和化解信息系統(tǒng)的運行風險， 杜絕各類事 故和案件的發(fā)生，依照湖南省農村信用社信息安全治理方法、中華人民共和國信息系統(tǒng)安全愛護條例、金融機構計算機信息系統(tǒng)安全愛護工作暫行規(guī)定、商業(yè)銀行信息科技風險治理指引等規(guī)定，結合我農商行實際情況，特制定本方法。第二條本方法適用所有使用邵陽市農商行網絡或信息資源 的其他外部機構和個人， 包括農商

2、行轄內網點所有職員， 包括在 編合同制職員、經批準在崗的短期合同制職員。第三條信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結合和的原則、按照“誰主管誰負責，誰 運行誰負責，誰使用誰負責”的原則，逐級落實單位與個人信息 安全責任制。第四條信息系統(tǒng)系統(tǒng)信息安全治理員，應當保障信息系統(tǒng) 及配套設備的安全、運行環(huán)境的安全和信息的安全。第五條任何個人不得利用信息系統(tǒng)從事危害國家利益和集 體利益的活動、不得危害計算機信息系統(tǒng)的安全。第二章組織保障第六條 農商行設立科技信息部，由科技信息部歸口治理信息安全工作，并明確其信息安全治理職責。2 / 31第七條 依照省聯社要求，農商行成立由農

3、商行領導和各職 能部門要緊負責人組成信息安全工作領導小組，領導小組辦公室設農商行科技信息部，負責協(xié)調轄內信息安全治理工作， 決定轄 內信息安全重大事宜。第八條 農商行科技信息部門設立信息安全崗位，配備專職 信息安全治理人員。負責邵陽農商行信息安全治理， 建立完善信 息安全治理方法，并組織實施；對農商行信息安全治理工作進行 指導和檢查督促。第九條農商行各支行及各職能部門要緊負責人為本部門信息安全第一責任人，同時均應指定至少一名部門信息安全員，具體負責本部門的信息安全治理， 協(xié)同科技信息部開展信息安全治 理工作。第三章人員治理農商行工作人員依照不同的崗位或工作范圍，履行相應的信息安全保障職責?？萍?/p>

4、信息部為農商行信息安全愛護專職部門， 設信息安全治理員、系統(tǒng)維護治理員、技術維護員等崗位負責全 轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全治理領 導小組，設立部門信息安全員。第一節(jié)信息安全治理人員第十條農商行選派政治思想過硬、 具有較高計算機水平的 人員從事信息安全治理工作。凡是因違反國家法律法規(guī)和湖南省 農村信用社有關規(guī)定受到過處罰或處分的人員，不得從事此項工作。第十一條信息安全治理人員應具有從事金融機構計算機工 作三年以上經歷，具有本科以上學歷。第十二條信息安全治理人員必須應通過省聯社組織的專業(yè) 培訓與審核，培訓與審核合格后方可上崗。上崗后，每年至少參 加一次信息安全專業(yè)培訓。3

5、/ 31第十三條農商行信息安全治理人員在如下職責范圍內開展 本單位信息安全治理工作：（一）組織落實上級信息安全治理規(guī)定，制定信息安全治理 方法，協(xié)調部門計算機安全職員作，監(jiān)督檢查信息安全保障工作。（二）審核信息化建設項目中的安全方案，組織實施信息安 全保障項目建設，維護、治理信息安全專用設施。（三）檢測網絡和信息系統(tǒng)的安全運行狀況， 檢查運行操作、 備份、機房環(huán)境與文檔等安全治理情況，發(fā)覺問題，及時通報和 預警，并提出整改意見。統(tǒng)計分析和協(xié)調處置信息安全事件。（四）定期組織信息安全宣傳教育活動， 開展信息安全檢查、 評估與培訓工作。第十四條 信息安全治理人員在履行職責時，確因工作需要 查詢相關

6、涉密信息，須經本部門負責人同意后向本單位保密主管 部門提交申請，獲得批準后方可查詢。第十五條信息安全治理人員實行備案治理方法。信息安全 治理人員的配備和變更情況應及時報上一級科技信息部備案。第十六條信息安全治理人員調離崗位，必須嚴格辦理調離 手續(xù)，承諾其調離后的保密義務。 涉及農村信用社業(yè)務核心技術 的計算機安全人員調離單位， 必須進行離崗審計，并在規(guī)定的脫 密期后，方可調離。第二節(jié)部門信息安全員第十七條各部門和各級支行應指派素養(yǎng)好、 較熟悉計算機 知識的人員擔任部門信息安全員，并報農商行科技信息部備案。如有變更應做好交接工作，并及時通報科技信息部。第十八條部門信息安全員配合農商行信息安全治理

7、人職員 作， 并參加各4 / 31項信息安全技能培訓。第十九條 部門信息安全員在如下職責范圍內開展工作：（一）負責本部門計算機病毒防治工作，監(jiān)督檢查本部門客 戶端安全治理情況。（二）負責提出本部門信息安全保障需求，及時與農商行信 息安全治理人員溝通信息安全信息。（三）負責本部門國際互聯網使用和接入安全治理，組織開 展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安 全檢查工作。第三節(jié)技術支持人員第二十條本方法所稱技術支持人員，是指參與邵陽農商行 網絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內部技術支持 人員和外包服務人員。第二十一條農商行內部技術支持人員在履行網絡和信息系 統(tǒng)建設和日常運

8、行維護職責過程中，應承擔如下安全義務：（一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴 格權限訪問，未經批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的 任何業(yè)務數據。（二）主動檢查和監(jiān)控生產系統(tǒng)安全運行狀況，發(fā)覺安全隱 患或故障及時報告本部門主管領導，并及時響應、處置。（三）嚴格操作治理、測試治理、應急治理、配置治理、變 更治理、檔案治理等工作方法，做好數據備份工作。第二十二條外部技術支持人員應嚴格履行外包服務合同（協(xié)議）的各項安全承諾。提供技術服務期間，嚴格遵守湖南省 農村信用社相關安全規(guī)定與操作規(guī)程，關鍵操作應經授權，并有農商行內部職員在場。不得拷貝或帶走任何配置參數信息或業(yè)務 數據，不得對

9、外泄露或引用任何工作信息。5 / 31第四節(jié)業(yè)務系統(tǒng)操作人員第二十三條本方法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。第二十四條業(yè)務系統(tǒng)操作人員應承擔如下安全義務：（一）嚴格規(guī)程操作，防止誤操作。定期修改操作密碼并妥 善保管，按需、適時進行必要的數據備份。（二）發(fā)覺業(yè)務系統(tǒng)出現異常及時報告科技信息部。（三）不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件，不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數設置。第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則，嚴格進行操作角色劃分和授權治理。技術支持人員不 得兼任業(yè)務系統(tǒng)操作人員。第五節(jié)一般計算機用戶第二十六條 本方法所稱

10、一般計算機用戶是指使用計算機設備的所有人員。第二十七條一般計算機用戶應承擔如下安全義務：（一）及時更新所用計算機的病毒防治軟件和安裝補丁程序， 自覺同意本部門信息安全員的指導與治理。（二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和 硬件，不得修改系統(tǒng)和網絡配置參數。（三）未經科技信息部檢測和授權，不得將接入湖南省農村信用社內部網絡的所用計算機轉接入國際互聯網； 不得將便攜式 計算機接入湖南省農村信用社內部網絡； 不得隨意將個人計算機 帶入機房或私自拷貝任何信息。6 / 31第六節(jié)信息系統(tǒng)要害崗位人員第二十八條本方法所稱信息系統(tǒng)要害崗位人員， 是指與重 要信息系統(tǒng)直接相關的系統(tǒng)治理員、 網絡

11、治理員、系統(tǒng)開發(fā)人員、 系統(tǒng)維護員等內部技術支持人員和重要業(yè)務操作等崗位人員。第二十九條本方法所稱重要信息系統(tǒng)是指湖南省農村信用 社面向客戶的業(yè)務處理類、 渠道類和涉及客戶風險治理等業(yè)務的 治理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網絡等基礎設施。第三十條 要害崗位人員上崗前必須經農商行人事部門進行 政治素養(yǎng)審查，技術部門進行業(yè)務技能考核，合格者方可上崗。第三十一條 要害崗位人員上崗必須實行“權限分散、不得 交叉覆蓋”的原則，按照“必需明白”和“最小授權”原則，嚴 格設定各用戶的操作權限。第三十二條對要害崗位人員應實行年度強制休假方法和定 期考查方法，并進行必要的安全教育和培訓。第三十三條要害崗

12、位人員調離崗位，必須嚴格辦理調離手 續(xù)，承諾其調離后的保密義務。 涉及信用社業(yè)務保密信息的要害 崗位人員調離單位，必須進行離崗審計，在規(guī)定的脫密期后，方 可調離。第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼 或注銷用戶。第三十五條 系統(tǒng)治理員安全責任（一）負責系統(tǒng)的運行治理，實施系統(tǒng)安全運行細則；（二）嚴格用戶權限治理，維護系統(tǒng)安全正常運行；（三） 認真記錄系統(tǒng)安全事項， 及時向計算機安全人員報告 安全事件；（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。7 / 31第三十六條 系統(tǒng)開發(fā)員安全責任（一）系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系 統(tǒng)安全功能的準確實現；（二） 系統(tǒng)投產運

13、行前， 應完整移交系統(tǒng)源代碼和相關涉密 資料；（三）不得對系統(tǒng)設置后門；（四）對系統(tǒng)核心技術保密。第三十七條 系統(tǒng)維護員安全責任（一）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運 行；（二）不得擅自改變系統(tǒng)參數配置；（三）不得安裝與系統(tǒng)無關的其他計算機程序；（四）維護過程中， 發(fā)覺安全漏洞應及時報告計算機安全人員。第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關 信息安全治理規(guī)定。第四章機房環(huán)境和設備資產治理第一節(jié)機房環(huán)境安全治理第三十九條本方法所稱機房是指信息系統(tǒng)等要緊設備放 置、 運行場因此及供配電、通信、空調、消防、監(jiān)控等配套環(huán)境 設施。第四十條 農商行機房的規(guī)劃、建設、改造、運行、維護由 科技信息部負責。第四一條 農商行機房應符合國家計算機機房有關標準、 監(jiān)管部門有關要求和省聯社有關規(guī)定，滿足下列差不多安全要 求：（一）機房周圍100米內不得存在危險建筑物，如加油站、煤氣站等。8 / 31