某公司計算機工作管理暫行辦法(DOC31頁)(完美優(yōu)質(zhì)版)

1、邵陽市農(nóng)村商業(yè)銀行股份有限公司計算機工作管理暫行辦法（提交邵陽農(nóng)村商業(yè)銀行股份有限公司第一屆董事會第一次會議審議）第一章 總則第一條 為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信 息系統(tǒng)信息安全、硬件設(shè)備、安全運行、故障申報、日常檢查、 網(wǎng)絡(luò)安全等管理，防范和化解信息系統(tǒng)的運行風(fēng)險， 杜絕各類事 故和案件的發(fā)生，根據(jù)湖南省農(nóng)村信用社信息安全管理辦法、 中華人民共和國信息系統(tǒng)安全保護條例、金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定、商業(yè)銀行信息科技風(fēng)險管理指引等規(guī)定，結(jié)合我農(nóng)商行實際情況，特制定本辦法。第二條本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源 的其他外部機構(gòu)和個人， 包括農(nóng)商行轄內(nèi)網(wǎng)點

2、所有員工， 包括在 編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。第三條信息系統(tǒng)信息安全工作堅持以預(yù)防為主、綜合治理、 人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé)，誰 運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級落實單位與個人信息 安全責(zé)任制。第四條信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當(dāng)保障信息系統(tǒng) 及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。第五條任何個人不得利用信息系統(tǒng)從事危害國家利益和集 體利益的活動、不得危害計算機信息系統(tǒng)的安全。第二章組織保障第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職 能部

3、門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部，負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作， 決定轄 內(nèi)信息安全重大事宜。第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位，配備專職 信息安全管理人員。負(fù)責(zé)邵陽農(nóng)商行信息安全管理， 建立完善信 息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行 指導(dǎo)和檢查督促。第九條農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人，同時均應(yīng)指定至少一名部門信息安全員，具體負(fù)責(zé)本部門的信息安全管理， 協(xié)同科技信息部開展信息安全管 理工作。第三章人員管理農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)?？萍夹畔⒉繛檗r(nóng)商行信息安

4、全保護專職部門， 設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負(fù)責(zé)全 轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng) 導(dǎo)小組，設(shè)立部門信息安全員。第一節(jié)信息安全管理人員第十條農(nóng)商行選派政治思想過硬、具有較高計算機水平的 人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省 農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。第一條信息安全管理人員應(yīng)具有從事金融機構(gòu)計算機工 作三年以上經(jīng)歷，具有本科以上學(xué)歷。第十二條信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè) 培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年至少參 加一次信息安全專業(yè)培訓(xùn)。第十三條農(nóng)商行信息安全管理人

5、員在如下職責(zé)范圍內(nèi)開展 本單位信息安全管理工作：（一）組織落實上級信息安全管理規(guī)定，制定信息安全管理 辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。（二）審核信息化建設(shè)項目中的安全方案，組織實施信息安 全保障項目建設(shè)，維護、管理信息安全專用設(shè)施。（三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況， 檢查運行操作、 備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和 預(yù)警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。（四）定期組織信息安全宣傳教育活動， 開展信息安全檢查、 評估與培訓(xùn)工作。第十四條 信息安全管理人員在履行職責(zé)時，確因工作需要 查詢相關(guān)涉密信息，須經(jīng)本部門負(fù)責(zé)人同意后向本

6、單位保密主管 部門提交申請，獲得批準(zhǔn)后方可查詢。第十五條信息安全管理人員實行備案管理辦法。信息安全 管理人員的配備和變更情況應(yīng)及時報上一級科技信息部備案。第十六條信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離 手續(xù)，承諾其調(diào)離后的保密義務(wù)。 涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù) 的計算機安全人員調(diào)離單位， 必須進行離崗審計，并在規(guī)定的脫 密期后，方可調(diào)離。第二節(jié)部門信息安全員第十七條各部門和各級支行應(yīng)指派素質(zhì)好、較熟悉計算機 知識的人員擔(dān)任部門信息安全員，并報農(nóng)商行科技信息部備案。 如有變更應(yīng)做好交接工作，并及時通報科技信息部。第十八條部門信息安全員配合農(nóng)商行信息安全管理人員工 作，并參加各項信息安全技能培

7、訓(xùn)。第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作：（一）負(fù)責(zé)本部門計算機病毒防治工作，監(jiān)督檢查本部門客 戶端安全管理情況。（二）負(fù)責(zé)提出本部門信息安全保障需求，及時與農(nóng)商行信 息安全管理人員溝通信息安全信息。（三）負(fù)責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開 展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安 全檢查工作。第三節(jié)技術(shù)支持人員第二十條本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行 網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持 人員和外包服務(wù)人員。第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系 統(tǒng)建設(shè)和日常運行維護職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：（一）不得

8、對外泄露或引用工作中觸及的任何敏感信息。嚴(yán) 格權(quán)限訪問，未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的 任何業(yè)務(wù)數(shù)據(jù)。（二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱 患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處置。（三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。第二十二條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴(yán)格遵守湖南省 農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù) 數(shù)據(jù)，不得對外泄露或引用任何工作信息。第四節(jié)業(yè)務(wù)系統(tǒng)操作人員第

9、二十三條本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。第二十四條業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)：（一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼并妥 善保管，按需、適時進行必要的數(shù)據(jù)備份。（二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部。（三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件， 不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則，嚴(yán)格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不 得兼任業(yè)務(wù)系統(tǒng)操作人員。第五節(jié)一般計算機用戶第二十六條 本辦法所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。第二十七條 一般

10、計算機用戶應(yīng)承擔(dān)如下安全義務(wù)：（一）及時更新所用計算機的病毒防治軟件和安裝補丁程序， 自覺接受本部門信息安全員的指導(dǎo)與管理。（二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和 硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。（三）未經(jīng)科技信息部檢測和授權(quán)，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)； 不得將便攜式 計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)； 不得隨意將個人計算機 帶入機房或私自拷貝任何信息。第六節(jié)信息系統(tǒng)要害崗位人員第二十八條本辦法所稱信息系統(tǒng)要害崗位人員，是指與重 要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、 網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、 系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位

11、人員。第二十九條本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用 社面向客戶的業(yè)務(wù)處理類、 渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的 管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行 政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，合格者方可上崗。第三十一條 要害崗位人員上崗必須實行“權(quán)限分散、不得 交叉覆蓋”的原則，按照“必需知道”和“最小授權(quán)”原則，嚴(yán) 格設(shè)定各用戶的操作權(quán)限。第三十二條對要害崗位人員應(yīng)實行年度強制休假辦法和定 期考查辦法，并進行必要的安全教育和培訓(xùn)。第三十三條要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。 涉及信用

12、社業(yè)務(wù)保密信息的要害 崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方 可調(diào)離。第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼 或注銷用戶。第三十五條系統(tǒng)管理員安全責(zé)任（一）負(fù)責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細(xì)則；（二）嚴(yán)格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；（三）認(rèn)真記錄系統(tǒng)安全事項，及時向計算機安全人員報告 安全事件；（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。第三十六條系統(tǒng)開發(fā)員安全責(zé)任（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系 統(tǒng)安全功能的準(zhǔn)確實現(xiàn)；（二）系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密 資料；（三）不得對系統(tǒng)設(shè)置后門；（四）對系統(tǒng)核心技術(shù)保密。

13、第三十七條系統(tǒng)維護員安全責(zé)任（一）負(fù)責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運 行；（二）不得擅自改變系統(tǒng)參數(shù)配置；（三）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；（四）維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人 員。第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān) 信息安全管理規(guī)定。第四章機房環(huán)境和設(shè)備資產(chǎn)管理第一節(jié)機房環(huán)境安全管理第三十九條本辦法所稱機房是指信息系統(tǒng)等主要設(shè)備放 置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境 設(shè)施。第四十條 農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由 科技信息部負(fù)責(zé)。第四一條 農(nóng)商行機房應(yīng)符合國家計算機機房有關(guān)標(biāo)準(zhǔn)、 監(jiān)管部門有關(guān)要求和省聯(lián)社

14、有關(guān)規(guī)定，滿足下列基本安全要求：（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、 煤氣站等。（二）機房應(yīng)配備防電磁干擾、 防電磁泄漏、防靜電、防水、 防盜、防鼠害等設(shè)施。（三）機房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系 統(tǒng)、報警系統(tǒng)。（四）機房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的UPS和發(fā)電機。第四十二條 機房建設(shè)、改造的方案應(yīng)報上市網(wǎng)絡(luò)中心備案。 必要時，由市網(wǎng)絡(luò)中心會同財務(wù)、保衛(wèi)等部門進行審核。第四十三條 機房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾 工程專業(yè)承包三級以上資質(zhì)、 兩年以上從事計算機機房設(shè)計與施 工經(jīng)驗的專業(yè)化公司。重要機房建設(shè)或改造工程應(yīng)引入監(jiān)理辦 法。第四十四條 計算機機

15、房實行分區(qū)管理原則。核心區(qū)實行 24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施 聯(lián)動監(jiān)控。第四十五條監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān) 控的安全規(guī)范運作，防止監(jiān)控信息的泄密。第四十六條 農(nóng)商行機房應(yīng)建立機房設(shè)施與場地環(huán)境集中監(jiān) 控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ UPS）、供配電、門 禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控， 通過技術(shù)和管理手段，確保計 算機機房及配套設(shè)施安全。第四十七條 農(nóng)商行機房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕?部門的消防驗收和本單位科技、 保衛(wèi)部門組織的驗收，并出具明 確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使 用。第四十八條農(nóng)商行建立健全機房管理辦

16、法，并指派專人擔(dān) 任機房管理員，落實機房安全責(zé)任制。機房管理員應(yīng)經(jīng)過相關(guān)專 業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房， 發(fā)現(xiàn)問題及時報告。第四十九條機房管理員負(fù)責(zé)妥善保管機房建設(shè)或改造的所 有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。第五十條 農(nóng)商行加強出入機房人員管理。 禁止未經(jīng)批準(zhǔn)的 外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領(lǐng)導(dǎo) 批準(zhǔn)，并辦理登記手續(xù)，由專人陪同。第五條建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度 等環(huán)境因素影響的設(shè)備、 已逾保修期的設(shè)備、近期維修過的設(shè)備 等應(yīng)成為保養(yǎng)的重點。第五十二條向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán) 境應(yīng)嚴(yán)格出入

17、安全管理，應(yīng)安裝門禁、防入侵報警、視頻監(jiān)視錄 像系統(tǒng)，實行定時錄像監(jiān)控，并適當(dāng)配置自動監(jiān)控報警功能。第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的 信息資料由專人保管，至少保存三個月。第二節(jié)設(shè)備資產(chǎn)管理第五十四條農(nóng)商行科技信息部建立完備的計算機設(shè)備登記 辦法，嚴(yán)格資產(chǎn)管理，明確計算機設(shè)備使用者或管理者及其安全 責(zé)任。第五十五條農(nóng)商行科技信息部根據(jù)計算機設(shè)備重要程度采 取不同的安全保護措施，制定完善的訪問控制策略， 防止未經(jīng)授 權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè)備應(yīng)放置在機房 的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電 磁泄露的屏蔽裝置等。第五章網(wǎng)絡(luò)安全管理第一節(jié)網(wǎng)絡(luò)

18、規(guī)劃建設(shè)安全管理第五十六條省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一 規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、 IP地址和域名等）分配。第五十七條農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng) 一規(guī)劃和總體部署，組織實施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報上一級科技信息部審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。第五十八條農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全 要求：（一）符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求，使用內(nèi)容 過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù) 據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險，保障 網(wǎng)絡(luò)傳輸與應(yīng)用安全。（二）具備

19、必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。（三）根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。 針對不同的網(wǎng)絡(luò)安全域，采取必要和有效的安全控制措施。第二節(jié)網(wǎng)絡(luò)運行安全管理第五十九條農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦 法，配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全 運行狀況，管理網(wǎng)絡(luò)資源及其配置信息， 建立健全網(wǎng)絡(luò)運行維護 檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。（一）負(fù)責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行 細(xì)則；（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維 護網(wǎng)絡(luò)安全正常運行；（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范 黑客入侵，及時向計算機安全人員報告安全事件

20、；（四）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。第六十條網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況 下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急 應(yīng)對措施。第六十一條農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè) 備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的 檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第六十二條農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管 理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行 的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排

21、在節(jié)假日進 行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進行 遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請，并采取相應(yīng)的安全防護措施。第六十四條信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有 權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描 和評估結(jié)果屬敏感信息， 不得向外界提供。未經(jīng)省聯(lián)社信息科技 部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社 內(nèi)部網(wǎng)絡(luò)。第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點 播等嚴(yán)重占用網(wǎng)絡(luò)

22、資源的多媒體網(wǎng)絡(luò)應(yīng)用。第三節(jié)網(wǎng)間互聯(lián)安全管理第六十六條本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商 業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間 網(wǎng)絡(luò)互聯(lián)。第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照 相關(guān)標(biāo)準(zhǔn)組織實施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)，任何單位不得 自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。第六十八條經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機構(gòu)進行網(wǎng)絡(luò)連接，應(yīng) 采用必要的技術(shù)隔離保護措施， 對聯(lián)網(wǎng)使用的用戶必須采用一人 一帳戶的訪問控制。第四節(jié)接入國際互聯(lián)網(wǎng)管理第六十九條 召郎日市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實 行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏 感工作信息的計算機，不得直接或

23、間接接入國際互聯(lián)網(wǎng)。第七十條計算機接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部 門批準(zhǔn)，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最 新補丁程序?？萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實施聯(lián)網(wǎng)， 并做好備案。 曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互 聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪 除敏感工作信息后方可實施接入。第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng) 的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法 律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定， 不得從事

24、任何違法違 規(guī)活動。第六章信息系統(tǒng)安全管理第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行 業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。第一節(jié)信息系統(tǒng)規(guī)劃與立項第七十四條 信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考 慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障 總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部門提出的安全需求。（二）安全需求分析和實現(xiàn)。（三）運行平臺的安全策略與設(shè)計。第七十五條信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安 全機制，在安全防護方面應(yīng)符合下列基本安全要求：（一）采取必要的技術(shù)手段，建立嚴(yán)密的安

25、全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng) 和數(shù)據(jù)的備份介質(zhì)進行災(zāi)難恢復(fù)；（三）具有嚴(yán)格的用戶和密碼管理，能對不同級別的用戶進行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；（四）重要信息系統(tǒng)應(yīng)設(shè)置審計監(jiān)控程序， 具有身份識別和 實體認(rèn)證功能。能夠自動記錄操作人員的重要操作， 具有防止抵賴機制；（五）涉密信息系統(tǒng)的安全設(shè)計應(yīng)符合涉密信息保密管理的 有關(guān)規(guī)定。第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對項目技術(shù)方案進行安 全專項審查并提出審查意見， 未通過安全審核的

26、項目不得予以立 項。第二節(jié)信息系統(tǒng)開發(fā)與集成第七十七條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全 需求進行安全設(shè)計，保證安全功能的完整、準(zhǔn)確實現(xiàn)。第七十八條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序 源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信 息部。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn) 權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措 施和核心安全功能設(shè)計對外公開。第七十九條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員 或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程 序。第八十條信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生 產(chǎn)環(huán)境中進行。第八十一條涉密信息系統(tǒng)

27、集成應(yīng)選擇具有國家相關(guān)部門頒 發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。第三節(jié)信息系統(tǒng)上線與運行第八十二條農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下：（一）項目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進 行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。（二）科技信息部應(yīng)提出明確的測試方案和測試報告審查意 見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。（三）信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運行 前同步制定相關(guān)安全操作規(guī)定，報科技信息部備案。第八十三條 信息系統(tǒng)投入運行前，應(yīng)向省聯(lián)社科技部和市 網(wǎng)

28、絡(luò)中心提出安全評估和審批申請，并報送下列材料：（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保 護措施以及安全功能設(shè)計等情況的說明；（三）系統(tǒng)安全性測試提綱和測試報告；（四）信息系統(tǒng)安全評估和審批報告書。第八十四條 科技信息部應(yīng)當(dāng)對報送的書面材料進行初步審 查。委托相關(guān)權(quán)威機構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評 估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認(rèn)證。第八十五條對信息系統(tǒng)的安全評估應(yīng)當(dāng)包括以下內(nèi)容：（一）系統(tǒng)的安全策略；（二）系統(tǒng)安全措施；（三）系統(tǒng)安全功能的實現(xiàn)程度；（四）系統(tǒng)運行的穩(wěn)定性、可靠性；（五）系統(tǒng)運行平臺的

29、安全可靠性。第八十六條安全評估委員會或安全評估專家組應(yīng)對測試、 認(rèn)證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和 審批報告書。第八十七條信息系統(tǒng)運行平臺應(yīng)符合以下安全管理要求：（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審 計功能，以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn)。（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)。（四）及時安裝正式發(fā)布的系統(tǒng)補丁， 修補系統(tǒng)存在的安全 漏洞。第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護 員），具體負(fù)責(zé)信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志， 掌握系統(tǒng)運行狀況，并建立

30、重要信息系統(tǒng)運行維護檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在 場。第八十九條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，不得安裝 與系統(tǒng)無關(guān)的其他計算機程序； 維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及 時報告計算機安全人員。第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的， 應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細(xì)記錄維護內(nèi)容、人員、時間等信息。第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設(shè)置、分配、使用、 修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán) 限。第四節(jié)業(yè)務(wù)操作第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶

31、和權(quán)限設(shè) 定，科技信息部根據(jù)-授權(quán)進行相關(guān)設(shè)定操作。第九十三條業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進行業(yè) 務(wù)操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一 旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領(lǐng)導(dǎo)和科技信息部報告。第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保 密，防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)，業(yè) 務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo) 批準(zhǔn)，不得代崗、兼崗。第九十六條業(yè)務(wù)操作人員離開操作用機時，應(yīng)按序退出信 息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、 刪除以及誤操作。第五節(jié)信息系

32、統(tǒng)廢止第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息 系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。第九十八條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)， 科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。第七章客戶端安全管理第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計 算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ ATM ）、 存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA） 等。第一百條

33、農(nóng)商行應(yīng)建立完善的客戶端管理辦法，記錄所有 客戶端設(shè)備信息和軟件配置信息， 采用桌面終端安全管理軟件集 中實現(xiàn)桌面終端安全策略。第一百零一條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和 使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。第一百零二條客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶 密碼和屏幕保護口令等安全防護措施， 確保安裝最新的病毒特征 碼和必要的補丁程序。第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的 用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第八章信息安全專用產(chǎn)品與服務(wù)管理第一節(jié)資質(zhì)審查與選型購置第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市 農(nóng)村商業(yè)銀行安

34、裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù)，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安 全服務(wù)。第一百零五條省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商 的資質(zhì)審查和信息安全專用產(chǎn)品的選型， 農(nóng)商行在選型范圍內(nèi)按 規(guī)定選購。第一百零六條農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品 應(yīng)報省聯(lián)社信息科技部批準(zhǔn),省聯(lián)社信息科技部應(yīng)進行登記備 案。第二節(jié)使用管理第一百零七條農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登 記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé) 管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管 理人員使用。第一百零八條農(nóng)商行科技信息部隨時檢查各類信息安全專 用產(chǎn)品使用情

35、況，認(rèn)真查看相關(guān)日志和報表信息并定期匯總分 析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志 和報表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個月。第一百一"條農(nóng)商行科技信息部及時升級維護信息安全專 用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn) 品，按照固定資產(chǎn)報廢審批程序處理。第一百一十一條防火墻、入侵檢測等安全專用產(chǎn)品原則上 應(yīng)在本地配置。如需要進行遠(yuǎn)程配置，由科技信息部或經(jīng)科技信 息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操 作。第九章數(shù)據(jù)、文檔與密碼管理第一節(jié)數(shù)據(jù)安全第一百一十二條 本辦法中所稱的數(shù)據(jù)

36、是指以電子形式存儲 的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故 障維護日志以及其他內(nèi)部資料。第一百一十三條 農(nóng)商行應(yīng)建立和實施信息分類及保護體 系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸 等方面的工作流程和管理要求。第一百一十四條 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處 理、輸出等不同狀態(tài)下的安全需求， 科技信息部負(fù)責(zé)審核安全需 求并提供一定的技術(shù)實現(xiàn)手段。第一百一十五條農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的 流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增 加、修改、刪除等變更操作，適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查，按 照既定備份策略

37、執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效 性和預(yù)演數(shù)據(jù)恢復(fù)流程。第一百一十七條農(nóng)商行科技信息部系統(tǒng)管理員（網(wǎng)絡(luò)管理 員）負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識存儲 內(nèi)容、時間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保 存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù) 數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防 塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時需要提供相關(guān) 口令密碼的，應(yīng)把口令密碼密圭寸后與數(shù)據(jù)備份介質(zhì)一并妥善保 管。第一百二十條農(nóng)商行應(yīng)制定客戶信息管理辦

38、法和流程，嚴(yán) 格管理客戶信息的采集、 處理、存儲、傳輸、分發(fā)、備份、恢復(fù)、 清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本 信息及存貸款與征信等業(yè)務(wù)信息。 禁止通過互聯(lián)網(wǎng)傳輸客戶資料 和交易數(shù)據(jù)信息。第二節(jié)技術(shù)文檔第一百二十一條本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀 行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各 種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包 括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、 參數(shù)配置文檔、軟件開發(fā)文檔及其源程第一百二十二條農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸 檔，嚴(yán)格管理，并實行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)， 任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公

39、布。第三節(jié)存儲介質(zhì)第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動存儲 介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。 已存儲信息的存儲介質(zhì) 應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識，統(tǒng)一編號，并標(biāo)明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì) 應(yīng)按規(guī)定異地存放。第一百二十四條 農(nóng)商行應(yīng)做好存儲介質(zhì)在物理傳輸過程中 的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。 重要信息 的存取需要授權(quán)和記錄。第一百二十五條 農(nóng)商行應(yīng)制定移動存儲設(shè)備（U盤、移動 硬盤等）管理辦法，加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使 用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用， 禁止外網(wǎng)移動存儲設(shè)備 在內(nèi)網(wǎng)系統(tǒng)中使用。第一百二十

40、六條農(nóng)商行應(yīng)建立存儲介質(zhì)銷毀辦法，對載有 敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進行處置并做好 記錄。第四節(jié)口令密碼第一百二十七條農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用 戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次。 口令密碼的強度應(yīng)滿足不同安全性要求， 不得設(shè)置過于簡單的弱 口令密碼。第一百二十八條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在 安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄、 密封交主管部門 保管，并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可，任何人 不得擅自拆閱密封的口令密碼。 拆閱后的口令密碼使用后應(yīng)立即 更改并再次密封存放。第一百二十九條 農(nóng)商行應(yīng)根據(jù)實際情況在一定時限內(nèi)妥

41、善 保存重要信息系統(tǒng)升級改造前的口令密碼。第五節(jié)密碼技術(shù)應(yīng)用管理第一百三十條農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國家 密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng) 依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密 措施。第一百三十一條農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合 國家相關(guān)密碼管理政策規(guī)定， 密碼產(chǎn)品自身的物理和邏輯安全性 應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。第一百三十二條農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制，密鑰 管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進行關(guān)鍵密鑰

42、的備 份工作，并確保密鑰副本的物理安全， 且須設(shè)置遇緊急情況下密 鑰自動銷毀功能。第一百三十四條 各類密鑰應(yīng)定期更換，對已泄露或懷疑泄 露的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。第十章第三方訪問和外包安全管理第一節(jié)第三方訪問控制第一百三十五條本辦法所稱第三方訪問是指邵陽市農(nóng)村商 業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機 房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信 息系統(tǒng)等活動。第一百三十六條農(nóng)商行保密工作委員會負(fù)責(zé)涉密信息系統(tǒng) 和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負(fù)責(zé)非涉 密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第

43、三方訪問均視為非法入侵行為。第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行 信息系統(tǒng)和資源應(yīng)建立存取控制機制、認(rèn)證機制，列明所有用戶 名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。第一百三十八條獲得第三方訪問授權(quán)的所有單位和個人應(yīng) 與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權(quán)的修 改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任 何信息。第二節(jié)外包安全管理第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商 業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。第一百四十條信息科技外包服務(wù)應(yīng)按照湖南省農(nóng)村信用 社信息科技

44、外包管理暫行辦法簽訂正式的外包服務(wù)協(xié)議，協(xié)議 應(yīng)明確約定外包服務(wù)商的安全義務(wù)。第一百四十一條經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù) 提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員 在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查 看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。第一百四十二條 計算機設(shè)備確需送外單位維修時，科技信 息部應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保 密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè) 備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的 軟件和信息。第十一章災(zāi)難備份與應(yīng)急管理第一節(jié)災(zāi)難備份管理第一百四十三條 災(zāi)難備份

45、是指利用技術(shù)、管理手段以及相 關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn) 爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料 的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù) 和繼續(xù)運營的有序管理過程。第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、 平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難 備份的統(tǒng)一規(guī)劃、實施和管理。第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi) 難備份需求，明確可容忍的業(yè)務(wù)中斷時間（恢復(fù)時間目標(biāo)RTO）和數(shù)據(jù)丟失量（恢復(fù)點目標(biāo)RPO）。省聯(lián)社信息科技部據(jù)此確定災(zāi) 難備份等級和備份方案。第一百四十六條農(nóng)商行應(yīng)建立健全災(zāi)難

46、恢復(fù)計劃，定期開 展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng) 一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。第二節(jié)應(yīng)急管理第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可 能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng) 對策略、措施的有機集合。第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng) 急備份策略，同步實施備份方案。第一百四十九條農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng) 和機房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一）總則（目標(biāo)、原則、適

47、用范圍、預(yù)案調(diào)用關(guān)系等）。（二）應(yīng)急組織機構(gòu)。（三）預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。（四）各類危機處置流程。（五）應(yīng)急資源保障。（六）事后處理流程。（七）預(yù)案管理與維護（生效、演練、維護等）。第一百五十一條農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指 定專人管理和維護應(yīng)急預(yù)案， 根據(jù)人員、信息資源等變動情況以 及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難 發(fā)生時的可獲取性。第一百五十二條農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各 業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟 動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。第一百五十三條農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全 事件報告辦法進行信息通報， 一般信息安全事件應(yīng)逐級通報， 發(fā) 生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪 等影響和損失較大的信息安全事件（下稱“重大信息安全事件”） 應(yīng)直接報省聯(lián)社信息科技部。第一百五十四條重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人 員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因， 并及時報告本單位主管領(lǐng)導(dǎo)。第一百五十五條農(nóng)商行應(yīng)在重大信