農(nóng)商銀行信息科技相關(guān)管理制度匯編

農(nóng)商銀行信息科技相關(guān)管理制度匯編第一章總則第一條為加強(qiáng)**農(nóng)村商業(yè)銀行股份有限公司（以下簡稱**農(nóng)商銀行）信息科技管理，提升信息科技工作的科學(xué)化、規(guī)范化、精細(xì)化、標(biāo)準(zhǔn)化水平，制定本制度。第二條本制度根據(jù)銀監(jiān)會(huì)、省聯(lián)社等上級部門的相關(guān)管理制度，結(jié)合本行實(shí)際情況制定。本制度包括信息科技文檔資料及介質(zhì)管理制度、軟件管理制度、軟件正版化管理辦法、信息系統(tǒng)數(shù)據(jù)生命周期管理辦法、業(yè)務(wù)數(shù)據(jù)使用管理辦法、信息科技運(yùn)行維護(hù)管理辦法、問題處理管理制度、項(xiàng)目管理辦法、開發(fā)測試管理辦法、版本管理制度、源代碼管理制度、信息科技項(xiàng)目驗(yàn)收管理辦法、網(wǎng)絡(luò)安全管理辦法及管理制度、網(wǎng)絡(luò)安全漏洞管理辦法、無線網(wǎng)絡(luò)管理辦法、信息安全基線管理辦法、桌面計(jì)算機(jī)安全管理辦法、計(jì)算機(jī)防病毒管理規(guī)范、網(wǎng)絡(luò)安全等級保護(hù)制度、信息安全等級保護(hù)管理辦法、信息科技應(yīng)急管理制度、突發(fā)事件管理制度、信息科技風(fēng)險(xiǎn)評估管理辦法、保密管理制度、客戶信息保護(hù)管理辦法、信息科技外包管理辦法等方面的內(nèi)容。第三條本制度適用于**農(nóng)商銀行。第二章信息科技文檔資料及介質(zhì)管理制度第一條信息科技技術(shù)文檔及介質(zhì)主要包括：計(jì)算機(jī)及配套設(shè)備的隨機(jī)資料、機(jī)房圖紙、設(shè)備維護(hù)合同、各種例行檢修報(bào)告、有保留價(jià)值的運(yùn)行分析報(bào)告等；系統(tǒng)軟件的各種技術(shù)資料、安裝調(diào)試報(bào)告、維保合同、網(wǎng)絡(luò)拓?fù)滟Y料、技術(shù)維護(hù)報(bào)告、有價(jià)值的系統(tǒng)分析報(bào)告等；應(yīng)用開發(fā)過程中形成的各種需保留的文檔、開發(fā)程序的源代碼、目標(biāo)代碼、各種維護(hù)文檔、各種項(xiàng)目開發(fā)及技術(shù)報(bào)告等；本單位擁有的各種技術(shù)書籍、培訓(xùn)資料；各種磁介質(zhì)資料等。第二條科技部應(yīng)配備碎紙機(jī)，作廢資料應(yīng)及時(shí)銷毀，不得隨意丟棄。對于過期和失效的技術(shù)資料要及時(shí)清理，予以銷毀。技術(shù)文件及資料的銷毀要參照省聯(lián)社有關(guān)文件要求辦理。第三條對于送出維修的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；對帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理；對載有敏感信息存儲(chǔ)介質(zhì)的銷毀，應(yīng)報(bào)有關(guān)部門備案，由科技部門進(jìn)行信息消除、消磁或物理粉碎等銷毀處理，并做好相應(yīng)的銷毀記錄，信息消除處理僅限于存儲(chǔ)介質(zhì)仍將在金融機(jī)構(gòu)內(nèi)部使用的情況，否則應(yīng)進(jìn)行信息的不可恢復(fù)性銷毀。第四條科技部應(yīng)配備專用檔案櫥柜，保存上述各類技術(shù)文件及資料。技術(shù)資料及介質(zhì)的存放地點(diǎn)應(yīng)保證干燥、通風(fēng)、防水、防火、防盜、防蟲、防鼠等。第五條技術(shù)資料管理人員應(yīng)定期對保管的技術(shù)資料進(jìn)行整理、檢查，保證各種技術(shù)文件及資料的完整性和可用性；對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理；應(yīng)對技術(shù)文檔實(shí)行有效期管理，對于超過有效期的技術(shù)文檔降低保密級別，對已經(jīng)失效的技術(shù)文檔定期清理；定期對主要備份業(yè)務(wù)數(shù)據(jù)進(jìn)行恢復(fù)驗(yàn)證，根據(jù)介質(zhì)使用期限技術(shù)轉(zhuǎn)儲(chǔ)數(shù)據(jù)。第六條對于可以借閱的技術(shù)文件及資料，資料管理員應(yīng)列出目錄，供有關(guān)人員借閱和參考，技術(shù)資料借閱應(yīng)遵循以下規(guī)定：（一）凡借閱技術(shù)資料者，須填寫借閱登記表，查閱人員要如實(shí)說明查檔的目的和內(nèi)容，由技術(shù)資料管理員辦理借閱手續(xù)。（二）凡借閱的技術(shù)資料，必須妥善保管，按期歸還，不得損壞、丟失。（三）退還技術(shù)資料時(shí)，技術(shù)資料管理員要認(rèn)真清點(diǎn)技術(shù)資料數(shù)量，檢查案卷有無損壞，文件是否齊全等，再予交接。（四）技術(shù)資料借閱時(shí)，要辦理審批和登記手續(xù)，需復(fù)制、復(fù)印技術(shù)資料應(yīng)經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)。受限技術(shù)文件及資料，借閱時(shí)應(yīng)經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，就地閱覽，不得帶走。（五）借閱技術(shù)資料要嚴(yán)守秘密。（六）借閱技術(shù)資料者，要愛護(hù)案卷，不得任意拆卷、抽頁、涂改、圈劃、污損等，否則追究責(zé)任，并予以嚴(yán)肅處理。（七）借閱人員應(yīng)將利用效果及時(shí)向技術(shù)資料部門反饋，為總結(jié)規(guī)律、擴(kuò)大技術(shù)資料宣傳積累素材，以更好地提供利用。第七條對于需要訪問內(nèi)部網(wǎng)絡(luò)的U盤及其他移動(dòng)存儲(chǔ)介質(zhì)，需要在桌面管理系統(tǒng)中注冊為內(nèi)部介質(zhì)后方可使用。第八條檔案管理一、檔案分為紙質(zhì)文書、電子文檔、實(shí)物等資料，檔案管理的范圍包括：（一）正式文件、規(guī)章制度、合同等資料；（二）磁帶、光盤等存有重要數(shù)據(jù)的介質(zhì)；（三）重要會(huì)議、重大公務(wù)活動(dòng)等涉及的電子文檔及音像資料；（四）人員入職、離職、崗位交接等資料；（五）登記簿、運(yùn)行報(bào)告等運(yùn)行過程中形成的各類資料；（六）各類系統(tǒng)升級維護(hù)資料；（七）軟件開發(fā)過程中形成的文檔資料；（八）技術(shù)書籍、培訓(xùn)記錄等資料；（九）需歸檔保管的其他重要資料。二、保管期限。按照保管資料保存價(jià)值確定保管期限，通常分為永久和定期兩種，定期一般分為10年和30年兩種。第十條第一至三款規(guī)定的檔案應(yīng)永久保存。三、科技部門作廢的資料應(yīng)及時(shí)銷毀，不得隨意丟棄，對于過期和失效的存儲(chǔ)介質(zhì)等要進(jìn)行消磁處理。四、科技部門配備專用檔案柜和專用計(jì)算機(jī)，保存各類技術(shù)書籍、培訓(xùn)資料及電子資料等。檔案存放地點(diǎn)應(yīng)保持干燥、通風(fēng)，做好防水、防火、防磁、防盜、防蟲、防鼠等工作。五、文檔資料管理（一）應(yīng)采用必要的檔案保管技術(shù)，逐步實(shí)現(xiàn)檔案管理的電子化；（二）應(yīng)建立《資料歸檔保管登記簿》，登記移交的各類文檔及資料名稱、提交人、時(shí)間等信息；（三）每季度收集、整理各類資料，并統(tǒng)一編號、標(biāo)注保管期限、登記，入檔保管；（四）至少每半年對保管的文檔資料進(jìn)行整理、檢查，保證各種技術(shù)文件及資料的完整性和可用性。六、借閱管理（一）檔案資料應(yīng)列出目錄，便于借閱、參考；（二）借閱或查閱檔案資料應(yīng)及時(shí)準(zhǔn)確登記；（三）借閱或查閱保密資料時(shí)應(yīng)經(jīng)過有權(quán)領(lǐng)導(dǎo)批準(zhǔn)，原則上就地閱覽。七、檔案歸檔檢驗(yàn)流程及審核流程。（一）檔案歸檔時(shí)應(yīng)換人進(jìn)行檢驗(yàn)。（二）檔案歸檔、銷毀變動(dòng)時(shí)需經(jīng)科技部負(fù)責(zé)人進(jìn)行審核。八、科技部門對達(dá)到銷毀條件的檔案按有關(guān)要求予以銷毀。第三章軟件管理制度第一條根據(jù)信息科技管理的要求，切實(shí)做好軟件引進(jìn)和應(yīng)用管理，確保軟件資產(chǎn)質(zhì)量。第二條根據(jù)軟件的使用特點(diǎn)及注意事項(xiàng)，建立健全各項(xiàng)必要的規(guī)章制度，堅(jiān)持“安全高效、管理規(guī)范、責(zé)任明確、節(jié)約投資”的原則，保障軟件系統(tǒng)的正常運(yùn)行。第三條切實(shí)加強(qiáng)軟件使用的安全管理，一經(jīng)發(fā)現(xiàn)計(jì)算機(jī)犯罪活動(dòng)、敏感數(shù)據(jù)泄露或失竊等信息科技安全事件，必須妥善處理并按規(guī)定報(bào)告省聯(lián)社信息科技部。第四條軟件管理范圍（一）省聯(lián)社統(tǒng)一推廣使用的軟件。對于資金投入較大，涉及核心系統(tǒng)、信貸系統(tǒng)等重要生產(chǎn)系統(tǒng)的軟件，由省聯(lián)社統(tǒng)一購置、推廣；（二）自行開發(fā)引進(jìn)的軟件。不涉及核心數(shù)據(jù)的、產(chǎn)生數(shù)據(jù)僅服務(wù)于**農(nóng)商銀行，且無需較大資源投入的軟件；自行開發(fā)引進(jìn)前需向省聯(lián)社信息科技部備案。第五條日常管理（一）所有軟件資產(chǎn)必須設(shè)置專人管理，明確職責(zé)，避免軟件資產(chǎn)的丟失、泄密；（二）各類軟件資產(chǎn)的使用應(yīng)堅(jiān)持正版化原則，杜絕使用盜版軟件。1.各部（中心）經(jīng)理、支行行長對本部（中心）、支行正版軟件使用負(fù)責(zé)，確保本部（中心）、支行人員使用正版軟件，不得隨意在計(jì)算機(jī)辦公設(shè)備及系統(tǒng)中安裝或卸載軟件，保障信息安全;2.購置計(jì)算機(jī)辦公設(shè)備時(shí)，應(yīng)當(dāng)采購預(yù)裝正版操作系統(tǒng)的計(jì)算機(jī)產(chǎn)品，對需要購置的辦公軟件一并做購置計(jì)劃；3.要制定正版軟件采購計(jì)劃，并將軟件采購費(fèi)納入年度預(yù)算，確保軟件正版化工作資金到位，措施到位，管理到位；4.加強(qiáng)軟件正版化培訓(xùn)工作，每年至少開展一次軟件正版化培訓(xùn)，進(jìn)一步提高員工軟件正版化意識(shí)及使用軟件的能力及水平。（三）如已經(jīng)建立IT資產(chǎn)管理系統(tǒng)，則通過系統(tǒng)及時(shí)進(jìn)行軟件資產(chǎn)的登記錄入、維護(hù)等登記工作；如未建立IT資產(chǎn)管理系統(tǒng)，應(yīng)通過《應(yīng)用軟件登記簿》做好軟件資產(chǎn)紙質(zhì)版或電子版登記工作；（四）所有軟件要明確使用權(quán)限，防止非授權(quán)使用；（五）因人員離職或崗位變動(dòng)需回收有關(guān)軟件的，應(yīng)對軟件進(jìn)行卸載、刪除。第六條升級管理（一）軟件升級前應(yīng)做好審批，填寫《信息系統(tǒng)生產(chǎn)變更申請表》；（二）軟件升級前應(yīng)做好備份，嚴(yán)格按照升級文檔實(shí)施；（三）應(yīng)保證軟件升級的及時(shí)性、完整性、統(tǒng)一性，升級過程中發(fā)現(xiàn)問題應(yīng)及時(shí)上報(bào)省聯(lián)社信息科技部；（四）軟件升級完成后，應(yīng)及時(shí)登記《系統(tǒng)運(yùn)行工作日志》，并將有關(guān)文檔、資料歸檔保管。第七條停用管理軟件資產(chǎn)的停用條件：（一）因達(dá)不到業(yè)務(wù)要求確實(shí)需要淘汰、刪除的軟件；（二）版本陳舊已不再使用的軟件；（三）已超過授權(quán)期限無法使用的軟件；（四）其他情況需要停用的軟件。第八條補(bǔ)丁管理流程（一）補(bǔ)丁跟進(jìn)和通告1.信息安全員負(fù)責(zé)跟進(jìn)各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全補(bǔ)丁信息。2.安全補(bǔ)丁根據(jù)其對應(yīng)漏洞的嚴(yán)重程度分為三個(gè)級別：緊急補(bǔ)丁、重要補(bǔ)丁和一般補(bǔ)??；緊急補(bǔ)丁必須在規(guī)定的時(shí)間內(nèi)完成加載，重要補(bǔ)丁須在計(jì)劃的時(shí)間內(nèi)完成加載，還有一般補(bǔ)丁的加載。3.科技部成員需在領(lǐng)導(dǎo)和管理員的批準(zhǔn)后進(jìn)行加載補(bǔ)丁信息，并向有關(guān)人員公布。（二）補(bǔ)丁獲取1.信息安全員負(fù)責(zé)從正式渠道獲取安全補(bǔ)丁，正式渠道包括省聯(lián)社辦事處統(tǒng)一下發(fā)的、產(chǎn)品廠商提供的或產(chǎn)品廠商網(wǎng)站下載的安全補(bǔ)丁。2.信息安全員負(fù)責(zé)對安全補(bǔ)丁進(jìn)行完整性校驗(yàn)，確保獲取的安全補(bǔ)丁軟件未被修改和安全可用。（三）補(bǔ)丁測試1.補(bǔ)丁加載之前必須經(jīng)過嚴(yán)格的測試，嚴(yán)禁未經(jīng)測試直接在生產(chǎn)系統(tǒng)上加載補(bǔ)丁。加載經(jīng)上級信息管理部門測試后下發(fā)的補(bǔ)丁可以不做測試。2.補(bǔ)丁測試的方式有兩種：試驗(yàn)機(jī)測試和現(xiàn)網(wǎng)測試。實(shí)驗(yàn)機(jī)測試必須進(jìn)行，實(shí)驗(yàn)機(jī)配置環(huán)境需要與現(xiàn)網(wǎng)環(huán)境盡可能一致，并考慮差異性帶來的風(fēng)險(xiǎn)；條件允許的情況下（如有測試設(shè)備或備機(jī)）可以進(jìn)行現(xiàn)網(wǎng)測試。（1）補(bǔ)丁測試的內(nèi)容包括安裝測試、功能性測試、兼容性測試和回退測試。A.安裝測試主要測試補(bǔ)丁安裝過程是否正確無誤，補(bǔ)丁安裝后系統(tǒng)是否正常運(yùn)行。B．功能性測試主要測試補(bǔ)丁是否對安全漏洞進(jìn)行了修補(bǔ)。C．兼容性測試主要測試補(bǔ)丁加載后是否對應(yīng)用系統(tǒng)帶來影響，業(yè)務(wù)是否可以正常運(yùn)行。D．回退測試主要包括補(bǔ)丁卸載測試、系統(tǒng)還原測試。（2）補(bǔ)丁測試的工作由系統(tǒng)集成商或系統(tǒng)管理員負(fù)責(zé)實(shí)施。必須對補(bǔ)丁的現(xiàn)場測試和現(xiàn)網(wǎng)測試限定時(shí)間，測試完成后需要編寫測試報(bào)告，給出明確的測試結(jié)論。（3）系統(tǒng)管理員需要把《補(bǔ)丁測試報(bào)告》提交部門主管領(lǐng)導(dǎo)進(jìn)行審核，審核通過后可以進(jìn)行補(bǔ)丁加載和使用。（4）為確保系統(tǒng)集成商及時(shí)配合補(bǔ)丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補(bǔ)丁測試和安裝工作，約束條款至少應(yīng)包括：實(shí)驗(yàn)機(jī)測試環(huán)境的構(gòu)建，在規(guī)定時(shí)間內(nèi)完成補(bǔ)丁測試，補(bǔ)丁加載，補(bǔ)丁加載失敗時(shí)的測試與分析，補(bǔ)丁與應(yīng)用沖突時(shí)的系統(tǒng)改造和升級等工作。（四）補(bǔ)丁加載1.從安全漏洞發(fā)布到補(bǔ)丁加載前，公司系統(tǒng)管理員根據(jù)需要給出應(yīng)急措施建議，例如通過加強(qiáng)訪問控制、臨時(shí)關(guān)閉服務(wù)、加強(qiáng)安全審計(jì)等應(yīng)急措施來加強(qiáng)網(wǎng)絡(luò)安全，各相關(guān)業(yè)務(wù)系統(tǒng)根據(jù)建議采取適合的防護(hù)措施，并加強(qiáng)對系統(tǒng)的監(jiān)控，及時(shí)發(fā)現(xiàn)和報(bào)告安全事件。（1）補(bǔ)丁加載前，必須向主管領(lǐng)導(dǎo)提交安全補(bǔ)丁測試報(bào)告、安裝計(jì)劃和實(shí)施方案等，經(jīng)審批通過后按計(jì)劃執(zhí)行，審批的周期應(yīng)在規(guī)定的時(shí)間內(nèi)完成。（2）在補(bǔ)丁安裝前，必須做好數(shù)據(jù)備份工作，確保任何的操作都可回退，在到達(dá)回退時(shí)間補(bǔ)丁加載沒有完成時(shí)，啟動(dòng)回退操作，保證業(yè)務(wù)的正常運(yùn)行。（3）補(bǔ)丁加載必須安排在業(yè)務(wù)比較空閑的時(shí)間進(jìn)行，對補(bǔ)丁加載的操作過程必須詳細(xì)記錄。同時(shí)必須維護(hù)已成功加載設(shè)備、未加載設(shè)備及加載失敗的設(shè)備清單。（4）核心業(yè)務(wù)主機(jī)的補(bǔ)丁加載建議要求廠商工程師現(xiàn)場支持。（五）補(bǔ)丁驗(yàn)證1.補(bǔ)丁安裝完成后，業(yè)務(wù)系統(tǒng)管理員必須查看系統(tǒng)信息，確保安全補(bǔ)丁已經(jīng)成功加載。2.必須對加載補(bǔ)丁后的系統(tǒng)按照計(jì)劃和驗(yàn)證方案進(jìn)行嚴(yán)格的測試驗(yàn)證，確保補(bǔ)丁加載后不影響系統(tǒng)的性能，確保各項(xiàng)業(yè)務(wù)操作正常。3．補(bǔ)丁加載后的一周內(nèi)，系統(tǒng)管理員必須加強(qiáng)對系統(tǒng)性能的事件進(jìn)行密切的監(jiān)控，并寫出驗(yàn)證結(jié)果。（六）補(bǔ)丁歸檔1.補(bǔ)丁加載驗(yàn)證結(jié)束后，系統(tǒng)管理員必須編寫補(bǔ)丁安裝報(bào)告、補(bǔ)丁驗(yàn)證測試報(bào)告，并進(jìn)行歸檔。2.系統(tǒng)管理員負(fù)責(zé)對安全補(bǔ)丁軟件進(jìn)行歸檔，以備系統(tǒng)重裝時(shí)需要。（七）監(jiān)督和檢查1.信息系統(tǒng)管理部門主管領(lǐng)導(dǎo)負(fù)責(zé)對各部門補(bǔ)丁管理的執(zhí)行情況進(jìn)行考核，考核的內(nèi)容包括補(bǔ)丁加載情況、補(bǔ)丁版本信息的準(zhǔn)確性和相關(guān)文檔的質(zhì)量。2.可通過安全漏洞掃描和現(xiàn)場人工抽查進(jìn)行審計(jì)和檢查，考核的方式可通過科技部內(nèi)部的自查和我行管理部門組織的巡檢進(jìn)行。第四章軟件正版化管理辦法第一節(jié)總則第一條為進(jìn)一步規(guī)范**農(nóng)商銀行使用正版軟件的行為，加強(qiáng)軟件資產(chǎn)管理，保障信息系統(tǒng)安全，確保軟件正版化工作制度化、規(guī)范化、精細(xì)化，依據(jù)《中華人民共和國著作權(quán)法》《中華人民共和國計(jì)算機(jī)軟件保護(hù)條例》《正版軟件管理工作指南》等有關(guān)規(guī)定和監(jiān)管要求，結(jié)合工作實(shí)際，制定本辦法。第二條本辦法所指的正版軟件是指經(jīng)合法授權(quán)，在**農(nóng)商銀行范圍內(nèi)使用的，用于滿足辦公、開發(fā)、測試、生產(chǎn)等需求的軟件，包括但不限于操作系統(tǒng)、數(shù)據(jù)庫、中間件、辦公軟件、殺毒軟件等。第三條本辦法適用于**農(nóng)商銀行。第二節(jié)組織及職責(zé)第四條**農(nóng)商銀行應(yīng)設(shè)立軟件正版化工作領(lǐng)導(dǎo)小組，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)推進(jìn)軟件正版化工作，研究制定與軟件正版化工作相關(guān)的規(guī)定和措施。第五條**農(nóng)商銀行主要領(lǐng)導(dǎo)擔(dān)任軟件正版化工作領(lǐng)導(dǎo)小組組長，分管領(lǐng)導(dǎo)擔(dān)任小組副組長，科技、宣傳、培訓(xùn)、合規(guī)、采購等相關(guān)部門主要負(fù)責(zé)人為小組成員。領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在科技部門，牽頭負(fù)責(zé)軟件正版化工作。領(lǐng)導(dǎo)小組相關(guān)成員部門職責(zé)：（一）科技部門負(fù)責(zé)制定軟件配置標(biāo)準(zhǔn)、軟件正版化年度工作計(jì)劃；統(tǒng)計(jì)正版化軟件年度采購需求，編制正版軟件采購預(yù)算；對正版軟件進(jìn)行安裝、使用、保管、維護(hù)、升級、廢止等日常管理；建立、維護(hù)正版軟件使用管理臺(tái)賬；檢查、監(jiān)督軟件正版化工作的開展情況；總結(jié)軟件正版化年度工作。（二）宣傳管理部門負(fù)責(zé)軟件正版化的年度宣傳工作。（三）培訓(xùn)管理部門負(fù)責(zé)組織軟件正版化教育培訓(xùn)。（四）合規(guī)管理部門負(fù)責(zé)對軟件正版化工作進(jìn)行合規(guī)性審核，提供法律法規(guī)指導(dǎo)。（五）采購管理部門負(fù)責(zé)組織正版化軟件采購相關(guān)工作。第六條軟件使用部門主要負(fù)責(zé)人是本部門軟件正版化工作第一責(zé)任人，負(fù)責(zé)配合軟件正版化工作領(lǐng)導(dǎo)小組做好軟件正版化工作，督促本部門工作人員嚴(yán)格遵守軟件正版化工作規(guī)章制度。第三節(jié)采購管理第七條正版軟件采購應(yīng)堅(jiān)持安全高效、管理規(guī)范的原則，統(tǒng)籌考慮軟件的安全性、性價(jià)比和后續(xù)服務(wù)，切實(shí)降低軟件采購成本，提高使用效率。第八條統(tǒng)計(jì)正版軟件使用需求，編制年度軟件采購預(yù)算，落實(shí)相關(guān)軟件采購。第九條采購計(jì)算機(jī)辦公設(shè)備（包括臺(tái)式計(jì)算機(jī)、便攜式計(jì)算機(jī)、平板電腦等）時(shí)，原則上同步考慮采購操作系統(tǒng)、辦公軟件等需要的正版軟件。第十條原則上每臺(tái)計(jì)算機(jī)（含虛擬桌面終端）應(yīng)配備一個(gè)操作系統(tǒng)軟件授權(quán)、一個(gè)辦公軟件授權(quán)和一個(gè)防病毒軟件授權(quán)。可通過場地授權(quán)等方式，降低采購成本。第四節(jié)使用管理第十一條按照“誰使用、誰負(fù)責(zé)”的原則管理正版軟件，嚴(yán)格遵守軟件正版化工作相關(guān)規(guī)定。第十二條由省聯(lián)社統(tǒng)一引入并部署的軟件，安裝、升級或卸載工作由科技部門統(tǒng)一安排實(shí)施。不得私自安裝、升級或卸載軟件。第十三條在日常使用管理軟件時(shí)，不得出現(xiàn)以下行為：（一）擅自復(fù)制和使用軟件的復(fù)制品；（二）在購買計(jì)算機(jī)設(shè)備時(shí)，要求銷售商安裝非正版軟件；（三）未經(jīng)授權(quán)把軟件拷貝或上傳至互聯(lián)網(wǎng)供他人使用；（四）從互聯(lián)網(wǎng)上下載和安裝未經(jīng)授權(quán)的軟件；（五）故意規(guī)避或者破壞軟件著作人為保護(hù)其著作權(quán)而采用的技術(shù)措施；（六）故意刪除或改變軟件權(quán)利管理信息；（七）軟件正版化管理禁止的其他行為。第五節(jié)資產(chǎn)管理第十四條將正版軟件作為重要資產(chǎn)進(jìn)行管理，建立軟件臺(tái)賬，對臺(tái)賬及時(shí)更新維護(hù)并定期組織軟件資產(chǎn)盤點(diǎn)。第十五條軟件臺(tái)賬中資產(chǎn)信息至少包括軟件名稱、版本信息、采購時(shí)間、采購數(shù)量、采購合同、采購金額、許可類型、許可數(shù)量等要素。第十六條妥善保管軟件采購合同、軟件介質(zhì)、說明書、授權(quán)證書、安裝序列號等相關(guān)資料。第十七條軟件資產(chǎn)出現(xiàn)以下情形的，可以申請報(bào)廢：（一）已經(jīng)達(dá)到規(guī)定的最低使用年限，且無法繼續(xù)使用的；（二）未達(dá)到規(guī)定的最低使用年限，因技術(shù)進(jìn)步等原因無法繼續(xù)使用的；（三）未達(dá)到規(guī)定的最低使用年限，因計(jì)算機(jī)硬件報(bào)廢，且無法遷移到其他計(jì)算機(jī)上繼續(xù)使用的；（四）其他原因確需報(bào)廢的。第六節(jié)教育培訓(xùn)第十八條根據(jù)實(shí)際需要組織開展軟件正版化教育、培訓(xùn)工作，強(qiáng)化員工合規(guī)意識(shí)，提高員工使用正版軟件的能力和水平。第十九條軟件正版化教育、培訓(xùn)可采取專題會(huì)議、集中培訓(xùn)、業(yè)余自學(xué)、現(xiàn)場測試、知識(shí)競賽等線上線下多種方式進(jìn)行。主要內(nèi)容有：（一）軟件法律知識(shí)、軟件使用許可、軟件資產(chǎn)管理知識(shí)；（二）使用正版軟件的工作目標(biāo)、要求、意義；（三）正版軟件的購置、維護(hù)、日常管理等內(nèi)容；（四）軟件正版化其他事項(xiàng)。第七節(jié)監(jiān)督檢查第二十條將軟件正版化與信息化工作緊密結(jié)合，在部署信息化工作時(shí)應(yīng)明確提出軟件正版化要求，定期組織軟件正版化自查工作。第二十一條注重利用技術(shù)手段開展軟件使用情況檢查，提高檢查效率，重點(diǎn)加強(qiáng)對本單位軟件正版化工作的督促和指導(dǎo)。第二十二條將使用正版軟件工作納入年度考核，根據(jù)軟件正版化工作開展情況，定期開展正版軟件使用和管理情況檢查，通報(bào)檢查結(jié)果，對檢查發(fā)現(xiàn)的問題，督促相關(guān)單位、部門整改落實(shí)，并將檢查結(jié)果納入信息科技工作考核。對未按要求完成預(yù)算編制、軟件采購、資產(chǎn)管理等工作的，由軟件正版化工作領(lǐng)導(dǎo)小組責(zé)令改正。第二十三條凡使用盜版軟件引起侵權(quán)糾紛等后果的，由使用機(jī)構(gòu)承擔(dān)相應(yīng)責(zé)任；對于使用非正版軟件造成重大聲譽(yù)影響或損失的，依規(guī)依紀(jì)追究相關(guān)人員的責(zé)任；違反法律法規(guī)的，依法追究相關(guān)人員的法律責(zé)任。第五章信息系統(tǒng)數(shù)據(jù)生命周期管理辦法第一節(jié)總則第一條為進(jìn)一步規(guī)范信息系統(tǒng)數(shù)據(jù)管理，有效防范數(shù)據(jù)生成、數(shù)據(jù)使用、數(shù)據(jù)維護(hù)等過程中的潛在風(fēng)險(xiǎn)，提高數(shù)據(jù)的使用價(jià)值和安全性，根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》等監(jiān)管要求及省聯(lián)社相關(guān)規(guī)章制度，結(jié)合實(shí)際，特制定本辦法。第二條本辦法適用于**農(nóng)商銀行。第三條數(shù)據(jù)生命周期管理是指根據(jù)技術(shù)需求、業(yè)務(wù)需求和內(nèi)外部合規(guī)要求，對數(shù)據(jù)生成、數(shù)據(jù)使用、數(shù)據(jù)維護(hù)、數(shù)據(jù)備份與恢復(fù)，直至數(shù)據(jù)銷毀等過程的管理。第四條數(shù)據(jù)生命周期管理目標(biāo)：（一）規(guī)范數(shù)據(jù)生命周期管理，提高數(shù)據(jù)的整體管理水平；（二）優(yōu)化數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，提高信息系統(tǒng)數(shù)據(jù)訪問效率；（三）防范數(shù)據(jù)生成、數(shù)據(jù)使用、數(shù)據(jù)維護(hù)等過程中潛在風(fēng)險(xiǎn)，切實(shí)保障數(shù)據(jù)安全。信息系統(tǒng)數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)兩類。系統(tǒng)數(shù)據(jù)是指為確保信息系統(tǒng)正常運(yùn)行所創(chuàng)建的環(huán)境信息、配置文件、數(shù)據(jù)庫參數(shù)、日志信息等。業(yè)務(wù)數(shù)據(jù)是指信息系統(tǒng)運(yùn)行過程中創(chuàng)建的各類客戶信息、交易信息、清算信息、交易日志、報(bào)表、歷史數(shù)據(jù)等。信息系統(tǒng)數(shù)據(jù)根據(jù)重要程度、所屬類別等確定安全等級，安全等級分為三級：一級：本級數(shù)據(jù)不涉密，不含敏感信息，包括法人機(jī)構(gòu)已公開的各類月報(bào)、季報(bào)、年報(bào)數(shù)據(jù)；公開信息；支撐業(yè)務(wù)邏輯數(shù)據(jù)；維持信息系統(tǒng)運(yùn)行的一般數(shù)據(jù)。通過分析、加工該類數(shù)據(jù)也無法獲取法人機(jī)構(gòu)的重要信息、客戶隱私信息、商業(yè)秘密等；二級：本級數(shù)據(jù)為普通商密，主要涉及到法人機(jī)構(gòu)未公開的報(bào)告、指標(biāo)、規(guī)范、合同、利率、狀態(tài)等重要信息,以及客戶的一般隱私信息或賬戶信息等；三級：本級數(shù)據(jù)涉密，包含敏感信息，主要包括法人機(jī)構(gòu)保密信息及客戶的個(gè)人身份信息（證件種類號碼及有效期、聯(lián)系方式等）、交易信息、個(gè)人認(rèn)證信息（登錄密碼、交易密碼以及預(yù)留用于找回密碼的問題信息、特征碼等）、個(gè)人信用信息（信用卡還款情況、貸款償還情況等）；信息系統(tǒng)的環(huán)境信息、配置文件、數(shù)據(jù)庫參數(shù)等。第二節(jié)部門職責(zé)第七條各業(yè)務(wù)主管部門在使用和維護(hù)數(shù)據(jù)時(shí)應(yīng)履行以下職責(zé)：（一）負(fù)責(zé)制定、審核、修改業(yè)務(wù)參數(shù)；（二）負(fù)責(zé)確定業(yè)務(wù)數(shù)據(jù)的保存期限；（三）負(fù)責(zé)提取業(yè)務(wù)數(shù)據(jù)的審批；（四）負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)維護(hù)的合規(guī)性審查。第八條信息科技部履行以下職責(zé)：（一）負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)的提取操作；（二）負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)的脫敏處理；（三）負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)維護(hù)的實(shí)施；（四）負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)的備份與恢復(fù)、銷毀等。第三節(jié)數(shù)據(jù)生成第九條數(shù)據(jù)生成是指信息系統(tǒng)投產(chǎn)前后持續(xù)生成系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的過程，主要有數(shù)據(jù)初始化、數(shù)據(jù)錄入、內(nèi)部處理、數(shù)據(jù)抽取、數(shù)據(jù)遷移等方式。第十條數(shù)據(jù)生成過程中要采取措施保證數(shù)據(jù)的合法性、完整性、兼容性、安全性，防止數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。第十一條根據(jù)數(shù)據(jù)類型、用途、價(jià)值和經(jīng)營管理的要求等合理確定業(yè)務(wù)數(shù)據(jù)保存期限和安全保護(hù)策略。第十二條數(shù)據(jù)生成過程中產(chǎn)生的問題要及時(shí)整改，并對整改情況跟蹤評價(jià)，確保整改落實(shí)到位。第四節(jié)數(shù)據(jù)使用第十三條數(shù)據(jù)使用是指業(yè)務(wù)主管部門和各支行根據(jù)需要申請?zhí)崛⌒畔⑾到y(tǒng)生產(chǎn)環(huán)境數(shù)據(jù)。數(shù)據(jù)使用的基本要求：（一）申請使用業(yè)務(wù)數(shù)據(jù)需經(jīng)過業(yè)務(wù)主管部門或信息科技部審批；（二）在辦理數(shù)據(jù)交接時(shí)，應(yīng)填寫《信息系統(tǒng)數(shù)據(jù)使用交接單》，采用內(nèi)部網(wǎng)絡(luò)、內(nèi)網(wǎng)郵箱或?qū)Ｓ靡苿?dòng)介質(zhì)等傳輸方式；（三）嚴(yán)格按照數(shù)據(jù)申請用途、使用時(shí)間等使用數(shù)據(jù)，及時(shí)銷毀完成使用的數(shù)據(jù)，禁止將提取的數(shù)據(jù)用作他用，禁止向合作機(jī)構(gòu)或第三方提供、泄露客戶敏感信息。第十四條業(yè)務(wù)主管部門提出數(shù)據(jù)使用申請，并經(jīng)主要負(fù)責(zé)人審批同意后，由信息科技部執(zhí)行數(shù)據(jù)提取操作。第十五條業(yè)務(wù)主管部門申請使用安全等級為“三級”且不執(zhí)行脫敏操作的數(shù)據(jù)，需填寫《信息系統(tǒng)數(shù)據(jù)使用申請表》，原則上須經(jīng)分管領(lǐng)導(dǎo)審批同意后，信息科技部方可執(zhí)行數(shù)據(jù)提取操作。其中，協(xié)助有權(quán)機(jī)關(guān)查詢安全等級為“三級”且不執(zhí)行脫敏操作的數(shù)據(jù)，由財(cái)務(wù)會(huì)計(jì)部主要負(fù)責(zé)人審批同意后，信息科技部執(zhí)行數(shù)據(jù)提取操作。第十六條通過信息系統(tǒng)自動(dòng)下發(fā)法人機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)時(shí)，數(shù)據(jù)使用部門須嚴(yán)格按照批復(fù)的使用范圍、保密周期、數(shù)據(jù)安全等級等使用數(shù)據(jù)。第十七條在數(shù)據(jù)傳輸和使用過程中，要加強(qiáng)用戶身份驗(yàn)證管理、網(wǎng)絡(luò)安全管理，采取嚴(yán)格措施,做好計(jì)算機(jī)病毒的預(yù)防、檢測、清除工作，建立針對網(wǎng)絡(luò)攻擊的防范措施，避免信息泄露。第五節(jié)數(shù)據(jù)維護(hù)第十八條數(shù)據(jù)維護(hù)分為系統(tǒng)數(shù)據(jù)維護(hù)和業(yè)務(wù)數(shù)據(jù)維護(hù)。系統(tǒng)數(shù)據(jù)維護(hù)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的參數(shù)調(diào)整、性能調(diào)優(yōu)、系統(tǒng)日志歸檔與清理等操作。業(yè)務(wù)數(shù)據(jù)維護(hù)是指維護(hù)人員直接操作業(yè)務(wù)數(shù)據(jù)庫進(jìn)行的數(shù)據(jù)調(diào)整，包括特殊日或節(jié)假日數(shù)據(jù)調(diào)整、歷史數(shù)據(jù)清理、異常數(shù)據(jù)處理、不規(guī)范數(shù)據(jù)的處理等操作。第十九條數(shù)據(jù)維護(hù)的基本要求：（一）數(shù)據(jù)維護(hù)應(yīng)按照生產(chǎn)變更流程進(jìn)行申請、審批、執(zhí)行。（二）數(shù)據(jù)維護(hù)方案由系統(tǒng)開發(fā)人員與維護(hù)人員共同分析制定。（三）信息系統(tǒng)業(yè)務(wù)主管部門應(yīng)對業(yè)務(wù)數(shù)據(jù)維護(hù)的合規(guī)性進(jìn)行審查、審批；涉及多個(gè)信息系統(tǒng)的數(shù)據(jù)維護(hù)應(yīng)由相應(yīng)的業(yè)務(wù)主管部門共同進(jìn)行審查、審批。（四）信息系統(tǒng)業(yè)務(wù)主管部門應(yīng)定期對數(shù)據(jù)維護(hù)進(jìn)行分析，提出業(yè)務(wù)需求，優(yōu)化完善信息系統(tǒng)，減少數(shù)據(jù)維護(hù)次數(shù)。第二十條根據(jù)數(shù)據(jù)增長情況，信息系統(tǒng)維護(hù)人員定期分析存儲(chǔ)容量變化，合理制定數(shù)據(jù)清理策略和存儲(chǔ)容量擴(kuò)容計(jì)劃。第二十一條信息系統(tǒng)維護(hù)人員對數(shù)據(jù)的各項(xiàng)操作必須通過運(yùn)維審計(jì)系統(tǒng)，嚴(yán)格監(jiān)控操作過程，對數(shù)據(jù)庫操作進(jìn)行監(jiān)測和追溯，發(fā)現(xiàn)數(shù)據(jù)安全問題，要及時(shí)處理和上報(bào)。第六節(jié)數(shù)據(jù)備份與恢復(fù)第二十二條信息系統(tǒng)數(shù)據(jù)必須進(jìn)行有效的備份，備份的時(shí)機(jī)、頻率、形式和內(nèi)容應(yīng)根據(jù)用途、敏感度、保密性、信息系統(tǒng)安全保護(hù)等級的不同而采取相應(yīng)的備份策略。第二十三條信息系統(tǒng)數(shù)據(jù)備份等級與承載數(shù)據(jù)的信息系統(tǒng)安全保護(hù)等級相對應(yīng)。一級信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，原則上每天備份一次，備份數(shù)據(jù)本地保管；二級信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，原則上每天備份一次，備份兩份數(shù)據(jù)存放本地和異地；三級信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，原則上每天至少備份一次，備份兩份數(shù)據(jù)存放在本地和異地，利用內(nèi)部網(wǎng)絡(luò)將備份數(shù)據(jù)定時(shí)批量傳送至異地。第二十四條信息系統(tǒng)數(shù)據(jù)備份操作完成后，應(yīng)進(jìn)行檢查確認(rèn)并及時(shí)登記《信息系統(tǒng)數(shù)據(jù)備份登記簿》。第二十五條備份數(shù)據(jù)異地保管地點(diǎn)與數(shù)據(jù)備份地點(diǎn)應(yīng)至少不在同一幢建筑物。備份介質(zhì)必須存放在具備防火、防熱、防潮、防塵、防磁、防盜等功能的專用介質(zhì)柜內(nèi)。第二十六條數(shù)據(jù)保存周期：（一）系統(tǒng)日志備份保存期限不少于12個(gè)月;（二）業(yè)務(wù)數(shù)據(jù)每日日終備份保存期限不少于3個(gè)月；（三）特殊日期(月底、季底、計(jì)息日等)業(yè)務(wù)數(shù)據(jù)備份保存期限不少于2年；（四）系統(tǒng)上線初始化數(shù)據(jù)、系統(tǒng)下線備份數(shù)據(jù)、年終數(shù)據(jù)備份要永久保存。第二十七條針對業(yè)務(wù)數(shù)據(jù)備份，原則上定期進(jìn)行數(shù)據(jù)恢復(fù)測試，檢驗(yàn)數(shù)據(jù)的完整性和可用性；如不具備測試條件，須進(jìn)行介質(zhì)有效性測試。第二十八條數(shù)據(jù)備份介質(zhì)應(yīng)視同重要資料，進(jìn)行統(tǒng)一妥善保管。復(fù)制、恢復(fù)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)介質(zhì)時(shí)，雙人進(jìn)行操作并記錄相關(guān)信息。第七節(jié)數(shù)據(jù)銷毀第二十九條數(shù)據(jù)銷毀是根據(jù)數(shù)據(jù)的保存期限、數(shù)據(jù)使用時(shí)間、存儲(chǔ)容量規(guī)劃及法律法規(guī)等方面要求，執(zhí)行對數(shù)據(jù)的歸檔、遷移、清理和銷毀操作。第三十條數(shù)據(jù)使用完成后要及時(shí)進(jìn)行清理刪除。第三十一條存儲(chǔ)信息系統(tǒng)數(shù)據(jù)的介質(zhì)或設(shè)備發(fā)生故障，需外部人員維修、安裝或調(diào)試時(shí)，應(yīng)采取嚴(yán)格保密措施，安排專人全程陪同監(jiān)督;需進(jìn)行更換或報(bào)廢時(shí)，應(yīng)在專人監(jiān)督下，進(jìn)行不可恢復(fù)的數(shù)據(jù)清除處理。第三十二條存儲(chǔ)介質(zhì)在銷毀前，應(yīng)做好登記。第六章業(yè)務(wù)數(shù)據(jù)使用管理辦法第一節(jié)總則第一條為進(jìn)一步規(guī)范業(yè)務(wù)數(shù)據(jù)的申請、領(lǐng)用、管理等流程，根據(jù)省聯(lián)社相關(guān)規(guī)章制度，結(jié)合實(shí)際，特制定本辦法。第二條本辦法適用于**農(nóng)村商業(yè)銀行。第二節(jié)術(shù)語第三條本辦法使用的術(shù)語：（一）業(yè)務(wù)數(shù)據(jù)：生產(chǎn)經(jīng)營活動(dòng)中產(chǎn)生的各種電子記錄信息。包括客戶信息、賬戶信息、交易明細(xì)等基礎(chǔ)信息以及其他信息（如加工信息、存儲(chǔ)信息和傳輸信息）等。（二）業(yè)務(wù)數(shù)據(jù)平臺(tái)：即數(shù)據(jù)集市，是運(yùn)行于省聯(lián)社及法人機(jī)構(gòu)，用以接收、存儲(chǔ)、加工農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)的應(yīng)用系統(tǒng)。（三）數(shù)據(jù)脫敏：對如客戶姓名、電話等敏感信息通過數(shù)據(jù)脫敏規(guī)則進(jìn)行業(yè)務(wù)數(shù)據(jù)的變形，實(shí)現(xiàn)敏感數(shù)據(jù)的可靠保護(hù)。保證在開發(fā)、測試等非生產(chǎn)環(huán)境安全使用數(shù)據(jù)。第三節(jié)職責(zé)第四條**農(nóng)商銀行在業(yè)務(wù)數(shù)據(jù)使用過程中的職責(zé)：（一）負(fù)責(zé)制定本機(jī)構(gòu)及轄內(nèi)業(yè)務(wù)數(shù)據(jù)使用、管理方面的規(guī)章制度，并嚴(yán)格執(zhí)行。（二）負(fù)責(zé)本機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)平臺(tái)建設(shè)的可行性分析。（三）負(fù)責(zé)本機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)平臺(tái)基礎(chǔ)環(huán)境的搭建。（四）負(fù)責(zé)本機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)平臺(tái)的安裝部署。（五）負(fù)責(zé)本機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)平臺(tái)的日常運(yùn)行維護(hù)。（六）按照制度規(guī)定使用本機(jī)構(gòu)及轄內(nèi)業(yè)務(wù)數(shù)據(jù)，并做好數(shù)據(jù)的安全控制與管理。第四節(jié)申請使用流程第五條業(yè)務(wù)數(shù)據(jù)使用申請工作流程：（一）根據(jù)業(yè)務(wù)發(fā)展與管理需要，需申請新建業(yè)務(wù)數(shù)據(jù)平臺(tái)使用本行業(yè)務(wù)數(shù)據(jù)的，需以公文形式向省聯(lián)社提交業(yè)務(wù)數(shù)據(jù)使用申請。（二）省聯(lián)社批復(fù)同意后，**農(nóng)商銀行應(yīng)按照要求，完成機(jī)房、水、電、空調(diào)等基礎(chǔ)設(shè)施搭建工作，并自行搭建應(yīng)用環(huán)境。根據(jù)《信息系統(tǒng)數(shù)據(jù)生命周期管理辦法》要求，結(jié)合實(shí)際，制定符合本行數(shù)據(jù)安全管理的制度，做好業(yè)務(wù)數(shù)據(jù)使用及安全管理工作。（三）**農(nóng)商銀行在做好有關(guān)準(zhǔn)備工作后，填寫《業(yè)務(wù)數(shù)據(jù)平臺(tái)上線申請表》和《業(yè)務(wù)數(shù)據(jù)管理使用承諾書》，并以公文形式上報(bào)省聯(lián)社。（四）省聯(lián)社審核后，根據(jù)《業(yè)務(wù)數(shù)據(jù)平臺(tái)現(xiàn)場評估表》進(jìn)行現(xiàn)場評估檢查，評估小組由省聯(lián)社信息科技部的安全、運(yùn)維、開發(fā)人員組成，評估過程應(yīng)重點(diǎn)對機(jī)房、水、電、空調(diào)、主機(jī)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)等基礎(chǔ)設(shè)施及軟硬件安裝部署，以及配套數(shù)據(jù)安全管理、系統(tǒng)運(yùn)行維護(hù)制度進(jìn)行檢查。（五）評估通過后，評估小組成員對《業(yè)務(wù)數(shù)據(jù)平臺(tái)現(xiàn)場評估表》簽字確認(rèn)，并將《業(yè)務(wù)數(shù)據(jù)平臺(tái)上線申請表》、《業(yè)務(wù)數(shù)據(jù)管理使用承諾書》、《業(yè)務(wù)數(shù)據(jù)平臺(tái)現(xiàn)場評估表》提交省聯(lián)社信息科技部主要負(fù)責(zé)人審批。（六）審批通過后，省聯(lián)社信息科技部通過生產(chǎn)網(wǎng)絡(luò)將申請所需業(yè)務(wù)數(shù)據(jù)擇機(jī)下傳至**農(nóng)商銀行生產(chǎn)環(huán)境數(shù)據(jù)接收服務(wù)器。第六條**農(nóng)商銀行業(yè)務(wù)數(shù)據(jù)平臺(tái)上線后，如因業(yè)務(wù)發(fā)展需要，需增加（或減少）下載的業(yè)務(wù)數(shù)據(jù)時(shí)，需以公文形式向省聯(lián)社提交業(yè)務(wù)數(shù)據(jù)更新申請，詳細(xì)說明增加（減少）下傳的業(yè)務(wù)數(shù)據(jù)內(nèi)容，經(jīng)省聯(lián)社審批同意后完成業(yè)務(wù)數(shù)據(jù)更新工作。第五節(jié)安全管理第七條制定日常運(yùn)維審計(jì)制度，對于任何數(shù)據(jù)的查詢使用須經(jīng)授權(quán)，并保留相應(yīng)記錄，方便審計(jì)跟蹤，并建立追責(zé)機(jī)制。第八條為增強(qiáng)數(shù)據(jù)安全意識(shí)，**農(nóng)商銀行成立數(shù)據(jù)安全管理小組，負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)使用的監(jiān)督和安全管理工作。董事長作為數(shù)據(jù)安全的第一責(zé)任人擔(dān)任組長，分管科技領(lǐng)導(dǎo)為副組長，各部室經(jīng)理及支行行長為小組成員。第九條指定信息科技部門負(fù)責(zé)人為業(yè)務(wù)數(shù)據(jù)平臺(tái)的負(fù)責(zé)人，負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)的管理工作；并設(shè)立主機(jī)管理、數(shù)據(jù)庫管理的相關(guān)崗位，負(fù)責(zé)在省聯(lián)社指導(dǎo)下完成業(yè)務(wù)數(shù)據(jù)的導(dǎo)入及后期日常使用維護(hù)工作；應(yīng)明確人員職責(zé)，嚴(yán)禁身兼多職、越權(quán)操作。第十條制定完善的數(shù)據(jù)備份策略，防止出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致的數(shù)據(jù)丟失。第十一條省聯(lián)社提供的數(shù)據(jù)結(jié)構(gòu)說明、系統(tǒng)維護(hù)操作手冊等說明文件，不得向第三方泄露。第十二條做好生產(chǎn)環(huán)境與開發(fā)測試環(huán)境的有效隔離。第十三條嚴(yán)格做好數(shù)據(jù)流出生產(chǎn)環(huán)境的數(shù)據(jù)脫敏工作，保證業(yè)務(wù)數(shù)據(jù)的安全。特別是對賬戶信息、客戶信息、交易信息等敏感字段進(jìn)行脫敏處理。第十四條對于申請使用生產(chǎn)環(huán)境的業(yè)務(wù)數(shù)據(jù)或經(jīng)業(yè)務(wù)數(shù)據(jù)加工產(chǎn)生的數(shù)據(jù)的情況，必須制定完善的申請使用流程和數(shù)據(jù)交接流程，做到業(yè)務(wù)數(shù)據(jù)的使用可控、流出可控，嚴(yán)禁業(yè)務(wù)數(shù)據(jù)未經(jīng)授權(quán)流出生產(chǎn)環(huán)境。第十五條當(dāng)使用存儲(chǔ)介質(zhì)（包括紙質(zhì)文件、U盤、移動(dòng)硬盤等一切可存儲(chǔ)數(shù)據(jù)的介質(zhì)）進(jìn)行業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)移或拷貝時(shí)，待數(shù)據(jù)使用完成后必須予以銷毀。如因存儲(chǔ)介質(zhì)遺漏等情況，導(dǎo)致數(shù)據(jù)泄露問題，將直接追究相關(guān)人員責(zé)任。第十六條對于存放有業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)介質(zhì)，如無法立即交予數(shù)據(jù)申請人，必須在監(jiān)控設(shè)備監(jiān)視下將其放入保險(xiǎn)箱中保管，保證數(shù)據(jù)安全。第七章信息科技運(yùn)行維護(hù)管理辦法第一節(jié)總則為進(jìn)一步規(guī)范**農(nóng)村商業(yè)銀行股份有限公司（以下簡稱**農(nóng)商銀行）信息系統(tǒng)運(yùn)維管理工作，加強(qiáng)運(yùn)維體系建設(shè)，完善運(yùn)維保障機(jī)制，防范信息系統(tǒng)運(yùn)維風(fēng)險(xiǎn)，根據(jù)人民銀行、銀監(jiān)會(huì)、省聯(lián)社有關(guān)辦法，參照ISO20000標(biāo)準(zhǔn)，結(jié)合工作實(shí)際情況，制定本辦法。第二節(jié)機(jī)房管理第一部分出入機(jī)房管理第一條機(jī)房是信息系統(tǒng)運(yùn)行的重要支撐,要切實(shí)加強(qiáng)機(jī)房出入管理,明確管理職責(zé)。第二條外來人員和不具備機(jī)房出入權(quán)限的工作人員,原則上不允許進(jìn)入機(jī)房，對需要升級、調(diào)試、維護(hù)、故障處理的工作，必須經(jīng)科技部門負(fù)責(zé)人批準(zhǔn)，經(jīng)相關(guān)負(fù)責(zé)人批準(zhǔn)后方可進(jìn)入并由相關(guān)人員全程陪同，操作人員須詳細(xì)填寫《外來人員出入機(jī)房登記簿》。第三條對于需要進(jìn)入機(jī)房進(jìn)行備件更換、基礎(chǔ)設(shè)施維護(hù)等情況，須填寫《外來人員出入機(jī)房登記簿》，明確說明進(jìn)入機(jī)房時(shí)間、區(qū)域、工作內(nèi)容，經(jīng)相關(guān)負(fù)責(zé)人批準(zhǔn)后，由運(yùn)維人員陪同進(jìn)入機(jī)房，并登記《外來人員進(jìn)出機(jī)房登記簿》。第四條任何人進(jìn)入機(jī)房必須遵守以下規(guī)定：（一）不得攜帶與工作無關(guān)的物品；（二）嚴(yán)禁攜帶任何易燃、易爆、易污染、腐蝕性、強(qiáng)電磁、強(qiáng)磁性、輻射性、流體物質(zhì)等對設(shè)備正常運(yùn)行構(gòu)成威脅的物品；（三）進(jìn)入機(jī)房的人員必須更換工作鞋或使用一次性鞋套，機(jī)房工作人員必須著工作服，不得使用自帶電子設(shè)備連接內(nèi)部網(wǎng)絡(luò)；（四）不得大聲喧嘩；（五）未經(jīng)允許不能觸動(dòng)任何設(shè)備；（六）不得抄錄機(jī)房內(nèi)的任何資料；（七）機(jī)房內(nèi)原則上禁止攝像、攝影；（八）未經(jīng)允許不得隨意搬動(dòng)、拆卸機(jī)房內(nèi)任何設(shè)備，不得帶走機(jī)房內(nèi)任何物品；（九）外來人員進(jìn)入機(jī)房不得操作審批范圍之外的軟硬件設(shè)備。第五條維護(hù)、升級過程中的所有處理，原則上由機(jī)房相應(yīng)維護(hù)管理人員實(shí)際操作，外單位人員配合制定方案并監(jiān)督執(zhí)行；確需外單位人員實(shí)際操作的，在相應(yīng)維護(hù)管理人員的監(jiān)督下執(zhí)行。第六條值班人員有權(quán)制止不符合規(guī)定的人員進(jìn)入機(jī)房，同時(shí)對外來人員在機(jī)房內(nèi)的行為提出要求。第七條外來人員進(jìn)入機(jī)房須由相應(yīng)維護(hù)人員帶領(lǐng)進(jìn)入，同進(jìn)同出，全程陪同。第二部分機(jī)房配電管理第八條機(jī)房配電設(shè)施包括高壓配電室、UPS、發(fā)電機(jī)等設(shè)施，是主機(jī)、網(wǎng)絡(luò)設(shè)備等正常運(yùn)行的保障。（一）配電室、發(fā)電機(jī)處內(nèi)嚴(yán)禁帶入和存放任何易燃、易爆、強(qiáng)磁性、腐蝕性、刺激性的物品及食品;（二）機(jī)房不間斷電源（UPS）、配電柜設(shè)備要保持清潔無塵，不得使用汽油、酒精等易燃物品擦拭機(jī)器；（三）禁止亂拉臨時(shí)電源，禁止私自變更電源設(shè)施和線路；（四）機(jī)房用電設(shè)備的負(fù)荷必須符合供配電設(shè)施設(shè)計(jì)載荷要求，增加用電設(shè)備時(shí)，要充分考慮分相供電，均勻負(fù)荷;（五）未經(jīng)科技部門負(fù)責(zé)人批準(zhǔn)，不得在機(jī)房內(nèi)接入任何與系統(tǒng)無關(guān)的用電設(shè)備；（六）維護(hù)配電設(shè)備應(yīng)在非營業(yè)時(shí)間進(jìn)行，并制定實(shí)施方案和應(yīng)急預(yù)案。第九條運(yùn)維人員應(yīng)當(dāng)遵守用電規(guī)定，貫徹“預(yù)防為主、防消結(jié)合”的用電工作方針，履行用電安全職責(zé)，保障用電安全，明確并落實(shí)崗位用電安全責(zé)任。第十條機(jī)房內(nèi)配電柜應(yīng)有序使用，除停電、檢修、演練等情況外，值班人員不得對配電柜開關(guān)進(jìn)行分合閘操作。第十一條機(jī)房值班人員須每天巡檢機(jī)房范圍內(nèi)用電設(shè)備使用情況以及配電柜運(yùn)行情況，同時(shí)要做到自查有記錄，發(fā)現(xiàn)問題及時(shí)維修，并收集、保管好業(yè)務(wù)資料，做好存檔工作。第十二條機(jī)房內(nèi)配電設(shè)施應(yīng)保持清潔，機(jī)房值班人員應(yīng)每周清掃一次。第十三條機(jī)房內(nèi)配電設(shè)施的維修和檢護(hù)工作應(yīng)由專業(yè)電工實(shí)施，其他沒有專業(yè)電工資格的人員嚴(yán)禁觸碰配電設(shè)施，以免發(fā)生意外。第十四條在進(jìn)行機(jī)房配電維修時(shí)，應(yīng)確保設(shè)備主進(jìn)電源斷開，其他人員不得隨意進(jìn)行合閘操作，以免造成嚴(yán)重后果。第十五條如遇停電，斷電等特殊情況，基礎(chǔ)設(shè)施維護(hù)人員應(yīng)配合專業(yè)電工提前或及時(shí)將配電柜切換至旁路，以保證機(jī)房內(nèi)設(shè)備的正常運(yùn)行。第十六條機(jī)柜內(nèi)PDU和機(jī)房內(nèi)墻體插座不得亂插與機(jī)房內(nèi)設(shè)備運(yùn)行無關(guān)的用電設(shè)備和其他大功率用電設(shè)備，如有發(fā)現(xiàn)將嚴(yán)肅處理相關(guān)責(zé)任人。第十七條機(jī)柜內(nèi)上架設(shè)備用電應(yīng)按照規(guī)劃合理使用，不得跨機(jī)柜用電和隨意取電。第十八條對違反用電安全規(guī)定的行為，基礎(chǔ)設(shè)施維護(hù)人員應(yīng)責(zé)成有關(guān)人員當(dāng)場改正并督促落實(shí)。（一）隨意亂接電源，改變線序的行為；（二）隨意對設(shè)備斷電、更改設(shè)備供電線路，串接、并接、搭接各種供電線路的行為；（三）用濕抹布或清潔液等清掃墻體插座、PDU、配電設(shè)施的行為；（四）在機(jī)房內(nèi)使用高溫、熾熱、產(chǎn)生火花的用電設(shè)備的行為；（五）超負(fù)荷用電行為；（六）無電工資格人員進(jìn)行配電維修的行為；（七）其他違反安全用電的行為。第十九條UPS管理（一）機(jī)房UPS設(shè)備應(yīng)24小時(shí)開機(jī)，確保在緊急情況下順利切換至所需供電狀態(tài)；（二）UPS在使用過程中，至少每季度充放電一次，相鄰兩次時(shí)間間隔不大于90天，嚴(yán)禁超負(fù)荷運(yùn)轉(zhuǎn)；（三）UPS設(shè)備的定期檢查、維護(hù)和故障處理應(yīng)在《系統(tǒng)運(yùn)行工作日志》上詳細(xì)記錄。第二十條發(fā)電機(jī)管理（一）科技部門應(yīng)配備能滿足機(jī)房供電要求的發(fā)電機(jī)，指定專人負(fù)責(zé)；（二）每月至少進(jìn)行一次發(fā)電機(jī)空載運(yùn)行測試，檢查油料是否充足，定期對發(fā)電機(jī)進(jìn)行保養(yǎng)，并將測試和保養(yǎng)的詳細(xì)情況記錄在《系統(tǒng)運(yùn)行工作日志》上。第二十一條科技部門應(yīng)每天對機(jī)房空調(diào)設(shè)備進(jìn)行巡檢，指定專人負(fù)責(zé)空調(diào)設(shè)備的定期維護(hù)，由維保服務(wù)提供商對空調(diào)設(shè)備進(jìn)行定期保養(yǎng)，定期維護(hù)和保養(yǎng)至少每季度一次，相鄰兩次時(shí)間間隔不大于90天，并在《系統(tǒng)運(yùn)行工作日志》上做好記錄。第三部分機(jī)房消防管理第二十二條認(rèn)真貫徹“預(yù)防為主、防消結(jié)合”的消防工作方針，履行消防安全職責(zé)，保障消防安全，明確并落實(shí)崗位消防安全責(zé)任。（一）機(jī)房人員必須努力學(xué)習(xí)消防知識(shí)，熟練掌握消防設(shè)施的操作（二）值班人員須了解消防監(jiān)控系統(tǒng)和氣體滅火系統(tǒng)的原理，掌握消防系統(tǒng)安全操作規(guī)程和應(yīng)急預(yù)案；（三）機(jī)房人員須熟悉疏散通道及各類火災(zāi)報(bào)警信號，定期組織消防業(yè)務(wù)理論學(xué)習(xí)和滅火技能訓(xùn)練，以便于緊急情況發(fā)生時(shí)及時(shí)判斷火情并組織人員安全撤離；（四）至少每半年開展一次機(jī)房消防安全知識(shí)培訓(xùn)和消防應(yīng)急演練。（五）每半年進(jìn)行一次消防應(yīng)急預(yù)案演練。第二十三條消防管理（一）機(jī)房各功能區(qū)域根據(jù)面積和消防相關(guān)規(guī)定，配備相應(yīng)的機(jī)房專用消防設(shè)備設(shè)施；（二）值班人員負(fù)責(zé)消防設(shè)備設(shè)施的巡檢，確保正常運(yùn)行和使用；第二十四條機(jī)房人員應(yīng)在管理范圍內(nèi)履行消防安全職責(zé)。（一）制定消防安全辦法，落實(shí)消防安全責(zé)任，開展消防安全宣傳教育；（二）開展防火檢查，消除火災(zāi)隱患；（三）制定緊急情況下的人員疏散計(jì)劃、保障疏散通道、安全出口通道暢通；（四）保障消防設(shè)施、器材以及消防安全標(biāo)志完好有效。第二十五條正常情況下任何人不得隨意觸碰和使用機(jī)房內(nèi)消防報(bào)警按鈕、氣體噴灑按鈕、消防報(bào)警電話等，以免造成混亂。第二十六條對違反消防安全規(guī)定的行為，巡查人員應(yīng)責(zé)成有關(guān)人員當(dāng)場改正并督促落實(shí)。（一）攜帶火種或易燃、易爆物品進(jìn)入辦公樓層及機(jī)房的；（二）違章使用明火作業(yè)或者在機(jī)房區(qū)吸煙、使用明火的；（三）將安全出口上鎖、遮擋，或者占用、堆放物品，影響疏散通道暢通的；（四）滅火器材被遮擋影響使用或者被挪作他用的；（五）消防值班人員脫崗的；（六）違章關(guān)閉消防設(shè)施、切斷消防電源的；（七）其他可以當(dāng)場改正的行為。對于違反以上規(guī)定的情況，要及時(shí)登記《計(jì)算機(jī)運(yùn)行工作日志》并進(jìn)行糾正，如不聽從勸告者或者情節(jié)嚴(yán)重?zé)o法當(dāng)場處置的，應(yīng)當(dāng)報(bào)告相關(guān)負(fù)責(zé)人。第二十七條有火災(zāi)發(fā)生時(shí)值班人員應(yīng)當(dāng)果斷判斷火情，并依據(jù)消防應(yīng)急預(yù)案采取相應(yīng)的措施。第三節(jié)運(yùn)行管理第一部分值班管理第二十八條總體要求（一）值班人員要堅(jiān)守崗位，按時(shí)到崗，嚴(yán)格履行職責(zé)，不得無故脫崗、離崗、空崗，嚴(yán)禁酒后上崗，嚴(yán)禁做與工作無關(guān)的事項(xiàng)；（二）帶班及值班人員要自覺遵守值班紀(jì)律，嚴(yán)格履行值班職責(zé)；（三）值班人員應(yīng)熟練掌握機(jī)房空調(diào)、發(fā)電機(jī)、智能環(huán)境監(jiān)控系統(tǒng)等基礎(chǔ)設(shè)備的操作要領(lǐng)，并熟練掌握各項(xiàng)應(yīng)急操作規(guī)程；（四）值班期間出現(xiàn)的異常情況，要及時(shí)向相關(guān)負(fù)責(zé)人匯報(bào)；（五）未經(jīng)科技部門負(fù)責(zé)人批準(zhǔn)，任何人員不得移動(dòng)、拆卸機(jī)房內(nèi)設(shè)備；（六）機(jī)房內(nèi)電話僅限于辦公使用，任何人員不得因私長時(shí)間占用；（七）值班人員應(yīng)嚴(yán)格遵守交接班制度，做好巡檢和運(yùn)行操作，并登記《系統(tǒng)運(yùn)行工作日志》。第二十九條機(jī)房衛(wèi)生要求（一）每周對機(jī)房進(jìn)行一次全面清掃，保證機(jī)房環(huán)境的衛(wèi)生、清潔；（二）機(jī)房設(shè)備的外表面應(yīng)定期清潔，設(shè)備內(nèi)部的清潔工作由專業(yè)技術(shù)人員負(fù)責(zé)；（三）嚴(yán)禁在機(jī)房內(nèi)吸煙、喝水，嚴(yán)禁攜帶食品進(jìn)入機(jī)房；（四）機(jī)房設(shè)備清潔不得使用煤油、酒精等易燃物品；（五）機(jī)房內(nèi)設(shè)備、桌椅要擺放整齊，廢棄物品應(yīng)及時(shí)清理。第三十條運(yùn)行值班要求（一）值班人員必須堅(jiān)守值班崗位，認(rèn)真完成作業(yè)計(jì)劃，嚴(yán)格執(zhí)行操作規(guī)程，及時(shí)、準(zhǔn)確、完整地填寫值班日志和各種規(guī)定的記錄文檔；（二）值班人員必須嚴(yán)格按照分配的用戶權(quán)限進(jìn)行正常的系統(tǒng)登錄、按操作規(guī)程執(zhí)行例行業(yè)務(wù)操作，不得從事超越權(quán)限的其它操作；（三）設(shè)立的登錄密碼必須嚴(yán)格保密不得隨意泄露或與他人通用；（四）值班人員值班期間必須精力集中，做好各系統(tǒng)的運(yùn)行監(jiān)控和操作，隨時(shí)觀察各種告警信息，發(fā)現(xiàn)異常應(yīng)立即做出反應(yīng)，迅速、準(zhǔn)確地進(jìn)行處理，按規(guī)定流程及時(shí)上報(bào)，不得以任何理由和借口推諉、拖延處理故障時(shí)間，嚴(yán)禁任意關(guān)閉告警信息；（五）值班人員值班期間嚴(yán)禁睡覺、上網(wǎng)、玩手機(jī)、玩游戲；（六）值班人員必須嚴(yán)格執(zhí)行首問責(zé)任制，做到禮貌用語，文明服務(wù)，熱情周到、耐心細(xì)致地解答提出的問題，對不能解答的問題，要及時(shí)聯(lián)系相關(guān)人員給予答復(fù)或說明；（七）值班人員必須嚴(yán)格遵守機(jī)房安全保密辦法，不得透露內(nèi)部管理辦法、客戶信息等涉密資料，不得拷貝業(yè)務(wù)數(shù)據(jù)、配置文件等重要信息并帶出機(jī)房；（八）值班人員要定期對值班場所進(jìn)行衛(wèi)生清潔，使用后的工位座椅要?dú)w位排放整齊，工作臺(tái)面與監(jiān)控設(shè)備、操控終端、日志資料要擺放整齊，潔凈無塵；第三十一條值班紀(jì)律（一）值班期間嚴(yán)禁飲酒，嚴(yán)禁在值班室、機(jī)房從事娛樂活動(dòng)，嚴(yán)禁在值班室內(nèi)吃東西、抽煙，并保持值班室衛(wèi)生清潔；（二）值班人員要著裝整潔，不得穿便裝、褲衩等；（三）不得因私事長時(shí)間占用值班電話；（四）不得從事妨礙值班工作的其他一切活動(dòng)；第三十二條值班內(nèi)容（一）做好信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和基礎(chǔ)環(huán)境運(yùn)行情況的監(jiān)控并記錄，發(fā)現(xiàn)異常及時(shí)處理。（二）按規(guī)定通過智能環(huán)境監(jiān)控系統(tǒng)查看服務(wù)器、路由器等各項(xiàng)設(shè)備運(yùn)行情況并詳細(xì)登記。（三）負(fù)責(zé)值班室電話的接聽，并作好記錄和解答（四）按規(guī)定巡視機(jī)房，觀察消防、場地監(jiān)控、UPS電源、空調(diào)及主機(jī)網(wǎng)絡(luò)設(shè)備的運(yùn)行情況并記錄《計(jì)算機(jī)運(yùn)行工作日志》。（五）接聽值班電話，并做相應(yīng)處理；（六）執(zhí)行《出入機(jī)房管理》的各項(xiàng)規(guī)定；（七）執(zhí)行各應(yīng)用系統(tǒng)的日間操作、日終批量、數(shù)據(jù)備份。第二部分巡檢管理第三十三條目的及時(shí)了解設(shè)備的運(yùn)轉(zhuǎn)情況，做好日常運(yùn)行的基礎(chǔ)數(shù)據(jù)記錄，做到有問題早發(fā)現(xiàn)、早解決，避免隱患，確保設(shè)備的完好率，確保設(shè)備穩(wěn)定運(yùn)行。第三十四條巡檢基本要求（一）對機(jī)房設(shè)備定期進(jìn)行巡檢，巡檢工作包括例行巡檢、節(jié)假日和重要時(shí)間期的巡檢。（二）維護(hù)人員應(yīng)根據(jù)工作計(jì)劃，對所維護(hù)管理的設(shè)備定期進(jìn)行預(yù)防性巡視檢查，在巡視中應(yīng)認(rèn)真負(fù)責(zé)，及時(shí)發(fā)現(xiàn)問題，重點(diǎn)注意處在環(huán)境惡劣下、存在潛在質(zhì)量故障的設(shè)備，巡視檢查要認(rèn)真進(jìn)行記錄。（三）機(jī)房每天至少巡視四次，對機(jī)房主機(jī)硬件設(shè)備、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備運(yùn)行中的異常情況及時(shí)記錄，并作相應(yīng)處理。（四）在巡視中如發(fā)現(xiàn)告警應(yīng)立即進(jìn)入告警處理流程，判定為故障的要立即聯(lián)系相關(guān)人員進(jìn)行處理。（五）在臺(tái)風(fēng)、雷雨、雪霧、洪水等自然災(zāi)害季節(jié)前，要特別進(jìn)行一次巡檢，在自然災(zāi)害發(fā)生期間，要加強(qiáng)巡檢，并增加巡檢次數(shù)。（六）在巡檢工作中，值班人員應(yīng)認(rèn)真負(fù)責(zé)反映運(yùn)行情況，嚴(yán)禁提供虛假信息和數(shù)據(jù)。第三部分監(jiān)控管理第三十五條管理目標(biāo)通過值班室監(jiān)控系統(tǒng)以及其它監(jiān)控方式，對基礎(chǔ)設(shè)施、機(jī)房溫濕度、網(wǎng)絡(luò)線路及設(shè)備、系統(tǒng)主機(jī)、應(yīng)用系統(tǒng)的運(yùn)行指標(biāo)進(jìn)行監(jiān)控和記錄，及時(shí)發(fā)現(xiàn)硬件或系統(tǒng)異常并對其進(jìn)行跟蹤分析，為信息系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行發(fā)揮保障作用。第三十六條監(jiān)控職責(zé)值班人員負(fù)責(zé)基礎(chǔ)設(shè)施、機(jī)房溫濕度、網(wǎng)絡(luò)線路及設(shè)備、服務(wù)器的日常監(jiān)控工作，若發(fā)現(xiàn)系統(tǒng)異常，立即記錄相關(guān)情況并匯報(bào)處理。第三十七條監(jiān)控信息處理值班人員發(fā)現(xiàn)報(bào)警信息立即進(jìn)行相應(yīng)處理。第三十八條監(jiān)控管理（一）科技部門應(yīng)對機(jī)房主機(jī)環(huán)境、網(wǎng)絡(luò)環(huán)境和基礎(chǔ)環(huán)境等進(jìn)行有效監(jiān)控，機(jī)房出入口和內(nèi)部應(yīng)安裝7*24小時(shí)錄像監(jiān)控設(shè)施，錄像至少保存3個(gè)月；（二）值班人員應(yīng)定時(shí)查看IT資源等監(jiān)控系統(tǒng)，發(fā)現(xiàn)問題及時(shí)解決，并在《系統(tǒng)運(yùn)行工作日志》上做好登記；（三）定期對機(jī)房監(jiān)控設(shè)備（如攝像頭）進(jìn)行清潔保養(yǎng)，以提高錄像清晰度和設(shè)備使用壽命；（四）科技部門負(fù)責(zé)人應(yīng)每周通過調(diào)閱監(jiān)控錄像、查看登記簿等方式對運(yùn)行情況進(jìn)行一次檢查，并在《系統(tǒng)運(yùn)行工作日志》上做好記錄。第四部分主機(jī)環(huán)境管理第三十九條主機(jī)環(huán)境管理（一）主機(jī)環(huán)境管理包括對小型機(jī)、PC服務(wù)器、存儲(chǔ)設(shè)備、堡壘機(jī)、加密機(jī)等軟硬件的管理；（二）定期對主機(jī)系統(tǒng)進(jìn)行維護(hù)，做好系統(tǒng)檢查、系統(tǒng)性能和容量檢測、系統(tǒng)備份等工作，保障主機(jī)系統(tǒng)穩(wěn)定運(yùn)行；（三）做好服務(wù)器的日常管理工作。包括但不限于服務(wù)器設(shè)備上架、操作系統(tǒng)安裝、設(shè)備故障處理、日常運(yùn)維管理等；（四）做好服務(wù)器的統(tǒng)籌管理工作，合理規(guī)劃服務(wù)器的利用率，結(jié)合所搭建系統(tǒng)的需求和重要程度合理分配服務(wù)器資源，實(shí)施服務(wù)器的優(yōu)化整合；（五）系統(tǒng)檢查1.系統(tǒng)檢查的范圍包括：小型機(jī)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)設(shè)備、堡壘機(jī)、加密機(jī)等運(yùn)行情況，系統(tǒng)備份可用性等；2.應(yīng)制定詳細(xì)的系統(tǒng)檢查方案，逐項(xiàng)認(rèn)真檢查，發(fā)現(xiàn)問題及時(shí)匯報(bào)并提出解決建議，系統(tǒng)檢查每周進(jìn)行一次；3.系統(tǒng)檢查時(shí)應(yīng)堅(jiān)持雙人操作；4.系統(tǒng)檢查結(jié)束，應(yīng)在《系統(tǒng)運(yùn)行工作日志》上做好記錄；5.維保服務(wù)提供商技術(shù)人員進(jìn)行系統(tǒng)檢查時(shí)，必須安排專人全程陪同，在《系統(tǒng)運(yùn)行工作日志》上做好記錄，并妥善保管巡檢報(bào)告等檢查資料。（六）系統(tǒng)性能和容量監(jiān)測1.系統(tǒng)性能和容量監(jiān)測范圍包括：各業(yè)務(wù)系統(tǒng)主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)、基礎(chǔ)設(shè)施等；2.系統(tǒng)性能和容量監(jiān)測的內(nèi)容主要包括：CPU、物理內(nèi)存、虛擬內(nèi)存、存儲(chǔ)設(shè)備等使用情況，I/O吞吐量、錯(cuò)誤日志等；3.值班人員每天至少執(zhí)行四次系統(tǒng)性能和容量監(jiān)測，并在《系統(tǒng)運(yùn)行工作日志》上認(rèn)真記錄系統(tǒng)性能和容量檢測情況。第四節(jié)維護(hù)管理第一部分?jǐn)?shù)據(jù)管理第四十條信息系統(tǒng)數(shù)據(jù)必須進(jìn)行有效備份，每周備份一次，并異機(jī)存儲(chǔ)。第四十一條信息系統(tǒng)的數(shù)據(jù)維護(hù)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的版本升級、補(bǔ)丁升級、參數(shù)調(diào)整等操作。第四十二條信息系統(tǒng)數(shù)據(jù)在維護(hù)過程中，如果發(fā)現(xiàn)數(shù)據(jù)異常需要進(jìn)行特殊處理，應(yīng)在第一時(shí)間報(bào)告有關(guān)負(fù)責(zé)人，啟動(dòng)應(yīng)急處理流程，防范操作風(fēng)險(xiǎn)。第四十三條信息系統(tǒng)數(shù)據(jù)均屬于涉密信息，未經(jīng)相關(guān)負(fù)責(zé)人審批，任何人不得以任何形式公開、外泄或轉(zhuǎn)移。第四十四條信息系統(tǒng)數(shù)據(jù)在內(nèi)部傳輸過程中，必須使用內(nèi)部網(wǎng)絡(luò)，并根據(jù)相關(guān)規(guī)定對信息系統(tǒng)數(shù)據(jù)進(jìn)行加密處理。第四十五條管理部門查詢信息系統(tǒng)數(shù)據(jù)時(shí)，需填寫《省農(nóng)村信用社信息系統(tǒng)數(shù)據(jù)使用申請表》，經(jīng)相關(guān)負(fù)責(zé)人審批后，應(yīng)嚴(yán)格按照數(shù)據(jù)的保密規(guī)定進(jìn)行操作，并將操作情況一并記錄在《省農(nóng)村信用社信息系統(tǒng)數(shù)據(jù)使用申請表》。第四十六條信息系統(tǒng)數(shù)據(jù)備份必須保證為有效備份且具備可復(fù)原性。備份過程中，應(yīng)不斷檢查備份文件中是否存在備份失敗的記錄，如發(fā)現(xiàn)有備份任務(wù)失敗的記錄，需檢查故障原因，并及時(shí)排除。第二部分備份策略第四十七條信息系統(tǒng)數(shù)據(jù)必須進(jìn)行有效的備份，備份數(shù)據(jù)應(yīng)存儲(chǔ)在訪問受控的專用存儲(chǔ)設(shè)備或者存儲(chǔ)介質(zhì)中，并安排專人管理，定期對備份策略或恢復(fù)策略進(jìn)行檢查。第四十八條科技部門應(yīng)制定詳細(xì)可行的數(shù)據(jù)備份策略，并根據(jù)系統(tǒng)變化情況及時(shí)完善，制定有效的數(shù)據(jù)備份流程，定期進(jìn)行備份數(shù)據(jù)有效性檢查和恢復(fù)性測試，保證數(shù)據(jù)的安全性、完整性和可恢復(fù)性。第四十九條信息系統(tǒng)數(shù)據(jù)備份主要對系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)進(jìn)行備份。第五十條信息系統(tǒng)數(shù)據(jù)必須進(jìn)行有效的備份，備份的時(shí)機(jī)、頻率、形式和內(nèi)容應(yīng)根據(jù)用途和敏感度的不同而采取相應(yīng)的備份策略。第五十一條系統(tǒng)數(shù)據(jù)備份策略（一）生產(chǎn)主機(jī)操作系統(tǒng)安裝、調(diào)試完畢，必須對操作系統(tǒng)及已安裝軟件進(jìn)行初始狀態(tài)備份；（二）操作系統(tǒng)版本升級或補(bǔ)丁升級前，對操作系統(tǒng)進(jìn)行系統(tǒng)全備份；（三）應(yīng)用軟件版本升級前，對軟件版本進(jìn)行備份；（四）操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)參數(shù)調(diào)整前，對相關(guān)配置文件、配置庫進(jìn)行備份；（五）硬件設(shè)備更換、升級和演練等生產(chǎn)變更前，對操作系統(tǒng)、應(yīng)用軟件及配置文件進(jìn)行全備份；（六）年終決算前，對相關(guān)操作系統(tǒng)、應(yīng)用系統(tǒng)及相關(guān)配置文件進(jìn)行全備份；（七）每季度至少對系統(tǒng)數(shù)據(jù)進(jìn)行一次備份。第五十二條業(yè)務(wù)數(shù)據(jù)備份策略（一）數(shù)據(jù)庫版本升級或補(bǔ)丁升級前，對數(shù)據(jù)庫進(jìn)行全量備份；（二）數(shù)據(jù)庫維護(hù)前，應(yīng)對需要修改、清理的數(shù)據(jù)庫表或數(shù)據(jù)記錄進(jìn)行備份；（三）年終決算、系統(tǒng)遷移、應(yīng)急演練、硬件設(shè)備更換和升級前，必須對數(shù)據(jù)庫進(jìn)行全量備份；（四）業(yè)務(wù)數(shù)據(jù)應(yīng)定期進(jìn)行業(yè)務(wù)數(shù)據(jù)全量備份，原則上每天進(jìn)行一次。第五十三條數(shù)據(jù)備份應(yīng)嚴(yán)格按照工作流程進(jìn)行，完成備份操作后，確認(rèn)備份結(jié)果，并登記《信息系統(tǒng)數(shù)據(jù)備份登記簿》。第五十四條信息系統(tǒng)備份數(shù)據(jù)必須完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到專用存儲(chǔ)介質(zhì)，并進(jìn)行明確標(biāo)識(shí)。第五十五條信息系統(tǒng)數(shù)據(jù)備份應(yīng)根據(jù)信息系統(tǒng)數(shù)據(jù)的重要程度和恢復(fù)效率，采用不同的存儲(chǔ)設(shè)備。第五十六條數(shù)據(jù)備份介質(zhì)應(yīng)至少兩份并異地保管，保存地點(diǎn)應(yīng)具備防火、防熱、防潮、防塵、防磁、防盜等措施。第五十七條系統(tǒng)數(shù)據(jù)應(yīng)至少備份一份；業(yè)務(wù)數(shù)據(jù)每日至少備份兩份，年終數(shù)據(jù)至少備份三份。第五十八條系統(tǒng)數(shù)據(jù)備份、每日日終數(shù)據(jù)備份保存期限至少3個(gè)月，月底數(shù)據(jù)備份至少2年，年終數(shù)據(jù)備份永久保存。第五十九條業(yè)務(wù)數(shù)據(jù)備份應(yīng)每月進(jìn)行一次有效性檢查。第三部分用戶賬號管理第六十條各系統(tǒng)帳號管理員應(yīng)建立用戶分類清單，管理用戶帳號和分配權(quán)限。（一）用戶分類清單應(yīng)包括信息系統(tǒng)的所有用戶的清單，以及各類用戶的權(quán)限。（二）系統(tǒng)用戶1.最小授權(quán)要求：應(yīng)以滿足其工作需要的最小權(quán)限為原則。2.責(zé)任到人要求：對信息系統(tǒng)的系統(tǒng)用戶要進(jìn)行人員審查，符合要求的人員才能給予授權(quán)；系統(tǒng)用戶應(yīng)區(qū)分責(zé)任到個(gè)人。3.監(jiān)督性保護(hù)要求：在關(guān)鍵信息系統(tǒng)中，對系統(tǒng)用戶的授權(quán)操作必須有兩人在場，經(jīng)雙重認(rèn)可后方可操作。（三）普通用戶各系統(tǒng)帳號管理員應(yīng)在為普通用戶開通帳號權(quán)限時(shí)，對其提出以下要求：1.普通用戶的基本要求：應(yīng)保護(hù)好自己的口令等身份鑒別信息，不得透露非公開信息，不得進(jìn)行違規(guī)操作，發(fā)現(xiàn)系統(tǒng)漏洞、信息資產(chǎn)濫用或違背安全準(zhǔn)則的行為應(yīng)及時(shí)報(bào)告。2.處理敏感信息的要求：不應(yīng)在不符合敏感信息保護(hù)要求的系統(tǒng)中保存和處理高敏感度的信息。第四部分密碼管理第六十一條密碼包括操作系統(tǒng)、應(yīng)用系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)等相關(guān)用戶密碼。第六十二條密碼分類及管理（一）根據(jù)安全管理需要，將密碼分為四類：一類密碼包括主機(jī)操作系統(tǒng)超級用戶密碼，核心網(wǎng)絡(luò)設(shè)備和關(guān)鍵安全設(shè)備特權(quán)模式密碼，數(shù)據(jù)庫密碼等；二類密碼是指各業(yè)務(wù)系統(tǒng)用戶密碼；三類密碼是指管理系統(tǒng)的管理用戶密碼；四類密碼包括開發(fā)、測試系統(tǒng)使用的密碼。（二）一類密碼由相關(guān)系統(tǒng)管理人員分段管理，二類密碼由運(yùn)行操作人員分段管理，三、四類密碼由相關(guān)系統(tǒng)維護(hù)人員或使用人員分段掌握。第六十三條密碼管理遵循“分級管理、相互制約”原則，嚴(yán)禁操作員同時(shí)掌握相互制約崗位的用戶密碼，密碼所有者對密碼的使用、更改、保密、交出、密封負(fù)有完全責(zé)任。第六十四條密碼應(yīng)使用數(shù)字和字符組合，密碼長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少三類。嚴(yán)禁將生日、電話號碼等規(guī)律性、易破譯的數(shù)字或字符組合用作密碼。第六十五條密碼要實(shí)行定期更換制度，所有系統(tǒng)用戶密碼變更期限不得超過3個(gè)月，包括但不限于：系統(tǒng)管理用戶、網(wǎng)絡(luò)設(shè)備管理用戶、營業(yè)網(wǎng)點(diǎn)網(wǎng)絡(luò)設(shè)備用戶。第六十六條服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備等核心設(shè)備超級用戶密碼必須兩人分段掌握，嚴(yán)禁一人掌握完整密碼。第六十七條通過遠(yuǎn)程方式修改密碼的，必須采用SSH方式，以保證密碼安全。第六十八條服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備等超級用戶密碼需要密封保存，密碼信封上注明系統(tǒng)用戶名稱、所有者姓名、封存日期，并加蓋騎縫章后封存在專用保險(xiǎn)柜，科技部門負(fù)責(zé)人掌管保險(xiǎn)柜密碼，值班人員掌管保險(xiǎn)柜鑰匙。密碼更換應(yīng)在《系統(tǒng)運(yùn)行工作日志》上做好記錄。第六十九條人員調(diào)離或請假應(yīng)辦理密碼交接手續(xù)，由科技部門負(fù)責(zé)人監(jiān)交并做好交接記錄。第七十條需要啟用封存的密碼時(shí)，須經(jīng)科技部門負(fù)責(zé)人批準(zhǔn)，并做好相關(guān)記錄。第五部分密碼設(shè)備及密鑰管理第七十一條術(shù)語定義（一）密鑰包括密碼設(shè)備和涉密軟件輸入、存儲(chǔ)、備份、輸出的以紙質(zhì)、電子文件、IC卡、移動(dòng)存儲(chǔ)等方式保存的各種明文和密文。（二）密碼設(shè)備包括加密機(jī)、數(shù)據(jù)密碼機(jī)等，用于對信息系統(tǒng)中的密碼、數(shù)據(jù)等進(jìn)行加密，實(shí)現(xiàn)對網(wǎng)絡(luò)傳輸信息的保護(hù)或鑒別，以保證數(shù)據(jù)信息的正確性，防止對通信數(shù)據(jù)的非法竊取或篡改。（三）加解密軟件模塊具備加解密功能的應(yīng)用系統(tǒng)組件或程序模塊，相關(guān)信息泄露后可能對系統(tǒng)帶來安全隱患。第七十二條密鑰存放（一）所有密鑰統(tǒng)一保管在專用保險(xiǎn)柜內(nèi)并登記，鑰匙、密碼雙人分持；對密鑰領(lǐng)取必須經(jīng)過嚴(yán)格審批，存放密鑰的保險(xiǎn)柜應(yīng)具備防磁、防火功能，并被實(shí)時(shí)視頻監(jiān)控。（二）若密鑰存儲(chǔ)介質(zhì)損壞導(dǎo)致密鑰備份不可用，應(yīng)及時(shí)新購密碼介質(zhì)，購買后對密鑰重新進(jìn)行備份。及時(shí)銷毀損壞的密鑰備份介質(zhì)，并做好記錄。第七十三條管理職責(zé)相關(guān)管理職責(zé)分為以下幾類：1.密碼設(shè)備管理人員：設(shè)立密碼設(shè)備崗（A/B崗），負(fù)責(zé)密碼設(shè)備的操作、維護(hù)、升級、維修，負(fù)責(zé)密碼設(shè)備的操作介質(zhì)、鑰匙、密文密鑰的領(lǐng)取和使用等。密碼設(shè)備管理人員不能兼密鑰保管人和密鑰持有人。2.密鑰持有人：負(fù)責(zé)明文密鑰的創(chuàng)建、輸入、使用、更新和銷毀等工作。3.密鑰保管人：設(shè)置密鑰保管崗，負(fù)責(zé)對所有以紙質(zhì)、電子文件、IC卡、移動(dòng)存儲(chǔ)等方式保存的明文和密文密鑰以及各種涉密軟件進(jìn)行登記和保管。密鑰由運(yùn)維科和綜合科共同保管。4.軟件版本管理人員：管理涉密軟件。第七十四條密碼設(shè)備管理（一）須使用具有公安部頒發(fā)的安全專用產(chǎn)品銷售許可證的密碼設(shè)備，不得使用尚未獲得或已被國家取消銷售資格的產(chǎn)品。（二）密碼設(shè)備的管理人員操作、維護(hù)密碼設(shè)備時(shí)，通過變更管理流程提出申請，變更單上應(yīng)注明密碼設(shè)備的使用人、使用時(shí)間、使用原因等。應(yīng)雙人操作并記錄，嚴(yán)禁自行對密碼設(shè)備進(jìn)行操作。（三）密碼設(shè)備需要維修、銷毀時(shí)，應(yīng)經(jīng)科技中心負(fù)責(zé)人同意后，進(jìn)行密鑰備份并銷毀內(nèi)部密鑰進(jìn)行操作，并報(bào)信息科技部安全管理科備案。任何人不得私自拆卸、維修或銷毀密碼設(shè)備。密碼設(shè)備維修后，應(yīng)對密碼設(shè)備進(jìn)行驗(yàn)收，確保功能正常。密碼設(shè)備報(bào)廢時(shí)，應(yīng)銷毀其內(nèi)部密鑰。第七十五條涉密軟件模塊保護(hù)加解密軟件模塊開發(fā)團(tuán)隊(duì)?wèi)?yīng)經(jīng)保密資格審查，必須遵守保密協(xié)議的要求。所采用關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)不得參加學(xué)術(shù)交流或發(fā)表。應(yīng)對涉密軟件實(shí)施版本管理和控制，避免在非正常獲取后被篡改并傳播。第七十六條密鑰創(chuàng)建與備份（一）密鑰的創(chuàng)建和輸入須通過變更管理流程提出申請，應(yīng)明確每段密鑰的持有人、密鑰復(fù)雜度要求和密鑰輸入流程，經(jīng)審批同意后方可實(shí)施。密鑰持有人與密鑰輸入人必須是同一人。密鑰輸入完成后，應(yīng)對紙質(zhì)明文密鑰進(jìn)行封存，注明密碼設(shè)備名稱、密鑰類型、作用、輸入時(shí)間等內(nèi)容，由密鑰持有人簽字、蓋章后交密鑰保管人統(tǒng)一保管。封存紙質(zhì)密鑰，應(yīng)使用專用信封，防止密鑰被強(qiáng)光等方式探測。（二）為避免因密鑰損壞而造成加密信息無法打開，密碼設(shè)備管理人員應(yīng)在密鑰創(chuàng)建完畢后及時(shí)對密鑰進(jìn)行備份。備份的密鑰應(yīng)為密文密鑰，密鑰的備份可以電子文件、IC卡、移動(dòng)存儲(chǔ)等方式保存。密鑰新增或修改時(shí)，應(yīng)及時(shí)備份。備份的密文密鑰由密碼設(shè)備管理人員封存，注明密鑰名稱、密鑰類型、作用、輸入時(shí)間等內(nèi)容并交密鑰保管人統(tǒng)一保管。第七十七條密鑰保管與領(lǐng)用（一）所有密鑰統(tǒng)一保管在專用保險(xiǎn)柜內(nèi)并登記，鑰匙雙人分持；對密鑰領(lǐng)取必須經(jīng)過嚴(yán)格審批，存放密鑰的保險(xiǎn)柜應(yīng)具備防磁、防火功能，并被實(shí)時(shí)視頻監(jiān)控。（二）需要使用密鑰密文備份時(shí)，應(yīng)通過變更管理流程提出申請，寫明領(lǐng)用人（雙人）、領(lǐng)用時(shí)間、領(lǐng)用原因等內(nèi)容，經(jīng)審批同意后，履行提領(lǐng)手續(xù)，使用完畢后立即封存。（三）需要使用密鑰明文備份時(shí)，應(yīng)通過變更管理流程提出申請，經(jīng)審批同意后，履行提領(lǐng)手續(xù)后并使用，使用完畢后及時(shí)封存。密鑰保管人員負(fù)責(zé)對密鑰領(lǐng)取、交回進(jìn)行登記和監(jiān)督檢查。（四）若密鑰存儲(chǔ)介質(zhì)損壞導(dǎo)致密鑰備份不可用，應(yīng)及時(shí)新購密碼介質(zhì)，購買后對密鑰重新進(jìn)行備份。及時(shí)銷毀損壞的密鑰備份介質(zhì)，并做好記錄。（五）若發(fā)生密碼設(shè)備丟失、密鑰丟失或被竊，啟動(dòng)相應(yīng)的信息安全事件應(yīng)急預(yù)案。第七十八條密鑰恢復(fù)、撤銷與更新在密碼設(shè)備備份、升級、維修等情況時(shí)，才能執(zhí)行恢復(fù)密鑰。如果發(fā)生以下的情況，必須對密鑰執(zhí)行撤銷操作：1．密鑰發(fā)生泄漏或者懷疑發(fā)生泄漏。2．密鑰或主密鑰對應(yīng)證書的相關(guān)信息變更。3．密鑰用途發(fā)生變更。4．密鑰頒發(fā)管理機(jī)構(gòu)或者密鑰使用機(jī)構(gòu)本身原因。第七十九條對于密鑰泄漏應(yīng)立即執(zhí)行撤銷操作。密鑰撤銷時(shí)應(yīng)同時(shí)撤銷明文和密文密鑰。必須在滿足以下條件時(shí)，才可以申請更新密鑰：1．密鑰即將過期。2．因密鑰撤銷而提出密鑰更新請求。3．其他特殊原因，提出更新請求，經(jīng)審批通過。第八十條對密鑰進(jìn)行恢復(fù)、撤銷或更新時(shí)，應(yīng)組織相關(guān)的密碼設(shè)備管理人員、應(yīng)用系統(tǒng)人員和安全管理人員等，通過變更管理流程，詳細(xì)分析密鑰恢復(fù)、撤銷或更新的原因、影響范圍、操作要求和應(yīng)急措施等內(nèi)容，統(tǒng)一制定實(shí)施方案，經(jīng)審批同意后實(shí)施。第八十一條密鑰的恢復(fù)、撤銷和更新必須事先上報(bào)省聯(lián)社備案。嚴(yán)禁不經(jīng)申報(bào)和審批，自行對密鑰進(jìn)行恢復(fù)、撤銷和更新。環(huán)節(jié)的主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)及其他附屬設(shè)備的硬件變更、微碼升級；系統(tǒng)軟件、應(yīng)用軟件正式上線或升級，系統(tǒng)配置、參數(shù)的調(diào)整等。第六部分配置及變更管理第八十二條配置管理（一）配置管理是對各項(xiàng)科技資產(chǎn)（包括軟硬件、網(wǎng)絡(luò)等）相關(guān)信息的識(shí)別、記錄、控制、驗(yàn)證和審計(jì)；（二）配置管理的范圍包括配置管理流程中涉及的文檔、軟硬件、網(wǎng)絡(luò)、基礎(chǔ)設(shè)施等IT組件的相關(guān)配置項(xiàng)；（三）應(yīng)每季度對科技資產(chǎn)配置項(xiàng)進(jìn)行備份、梳理和更新；（四）應(yīng)用系統(tǒng)上線時(shí)，應(yīng)對應(yīng)用程序、配置文檔、管理文檔等配置項(xiàng)信息進(jìn)行初始化歸檔。（五）資產(chǎn)管理員每季度對IT資產(chǎn)配置項(xiàng)進(jìn)行全部備份（除去通用軟件版本），并提交配置管理員，配置管理員進(jìn)行梳理和更新。（六）軟件升級、硬件配置變動(dòng)時(shí)，系統(tǒng)管理員應(yīng)對變動(dòng)的配置版本進(jìn)行備份。（七）通用軟件版本備份介質(zhì)為光盤?？萍疾颗鋫鋵Ｓ靡苿?dòng)硬盤及臨時(shí)存儲(chǔ)介質(zhì)，專用移動(dòng)硬盤用來存放所有配置項(xiàng)版本，臨時(shí)存儲(chǔ)介質(zhì)供系統(tǒng)管理員備份時(shí)使用。（八）數(shù)據(jù)備份，系統(tǒng)管理員應(yīng)從配置管理員處申領(lǐng)臨時(shí)存儲(chǔ)介質(zhì)，備份完成后，將臨時(shí)存儲(chǔ)介質(zhì)歸還配置管理員，配置管理員及時(shí)將配置拷貝至專用移動(dòng)硬盤中保管。（九）配置管理員在移動(dòng)硬盤及臨時(shí)存儲(chǔ)介質(zhì)中，分三個(gè)部分進(jìn)行管理，包括：初始版本、季度備份版本、生產(chǎn)變更備份版本。在移動(dòng)硬盤及臨時(shí)存儲(chǔ)建立如下層次的目錄：初始版本—系統(tǒng)名稱—備份內(nèi)容；季度備份版本—系統(tǒng)名稱—備份日期—備份內(nèi)容；生產(chǎn)變更備份版本—系統(tǒng)名稱—變更日期—備份內(nèi)容。所有配置版本永久保存。第八十三條變更管理**農(nóng)商銀行的變更管理根據(jù)省聯(lián)社印發(fā)的信息系統(tǒng)生產(chǎn)變更管理辦法等相關(guān)規(guī)定執(zhí)行。（二）變更申請部門按照要求提交《信息系統(tǒng)生產(chǎn)變更申請表》及變更申請材料；（三）一般變更需經(jīng)部門負(fù)責(zé)人審批，重大變更需經(jīng)分管領(lǐng)導(dǎo)審批，審批通過后方可實(shí)施；（四）信息系統(tǒng)生產(chǎn)變更影響營業(yè)網(wǎng)點(diǎn)正常營業(yè)的，需要對外進(jìn)行公告；（五）實(shí)施信息系統(tǒng)生產(chǎn)變更應(yīng)避開業(yè)務(wù)高峰期，盡量不影響信息系統(tǒng)正常使用；（六）信息系統(tǒng)生產(chǎn)變更結(jié)束后，及時(shí)更新應(yīng)急預(yù)案、運(yùn)維操作手冊等相關(guān)文檔，并存檔備案。第八十四條生產(chǎn)變更分為常規(guī)變更、標(biāo)準(zhǔn)變更和緊急變更三類。標(biāo)準(zhǔn)變更又分為一般變更和重大變更。（一）常規(guī)變更是指需要定期執(zhí)行，不會(huì)對信息系統(tǒng)的持續(xù)運(yùn)行造成影響的變更。（二）標(biāo)準(zhǔn)變更中的一般變更是指對信息系統(tǒng)的運(yùn)行影響較小、不影響系統(tǒng)安全運(yùn)行的變更。標(biāo)準(zhǔn)變更中的重大變更指會(huì)對信息系統(tǒng)的持續(xù)運(yùn)行造成影響的變更。（三）緊急變更是指因信息系統(tǒng)問題或預(yù)警引發(fā)的急需處理的變更。第八十五條生產(chǎn)變更包括生產(chǎn)環(huán)境所有環(huán)節(jié)的主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)及其他附屬設(shè)備的硬件變更、微碼升級；系統(tǒng)軟件、應(yīng)用軟件正式上線或升級，系統(tǒng)配置、參數(shù)的調(diào)整等。第八十六條生產(chǎn)變更必須經(jīng)過嚴(yán)格的規(guī)劃、申請、審批、分派、實(shí)施和驗(yàn)證等過程。第八十七條信息系統(tǒng)生產(chǎn)變更要明確變更窗口，信息系統(tǒng)上線、網(wǎng)絡(luò)調(diào)整等各類生產(chǎn)變更應(yīng)在變更窗口實(shí)施，需要緊急處置的變更，經(jīng)運(yùn)維相關(guān)負(fù)責(zé)人同意后，方可進(jìn)行。第八十八條生產(chǎn)變更必須嚴(yán)格遵守以下規(guī)定：（一）硬件變更必須在生產(chǎn)業(yè)務(wù)允許停機(jī)的前提下，對待變更的硬件設(shè)備完全斷電并做好備份后方可進(jìn)行，嚴(yán)禁帶電操作；（二）軟件升級、配置調(diào)整必須在生產(chǎn)業(yè)務(wù)允許暫停的前提下，做好相關(guān)備份并確?；謴?fù)措施完善有效后方可進(jìn)行；（三）生產(chǎn)變更若涉及核心系統(tǒng)、情況復(fù)雜，或?qū)儆诜怯?jì)劃性緊急變更，必須制定詳細(xì)的實(shí)施計(jì)劃和完善的備份恢復(fù)方案；（四）所有生產(chǎn)變更操作必須在按照生產(chǎn)變更流程進(jìn)行。第八十九條系統(tǒng)上線和優(yōu)化類生產(chǎn)變更流程：（一）項(xiàng)目測試完成后，由項(xiàng)目負(fù)責(zé)人收集各系統(tǒng)設(shè)計(jì)文檔、測試報(bào)告、評審報(bào)告等相關(guān)文檔；（二）項(xiàng)目負(fù)責(zé)人結(jié)合項(xiàng)目實(shí)際情況，填寫生產(chǎn)變更確認(rèn)表中的“項(xiàng)目管理”、“運(yùn)維”表格中，相關(guān)工作內(nèi)容的完成情況并打印，項(xiàng)目負(fù)責(zé)人簽字后將紙質(zhì)材料轉(zhuǎn)變更負(fù)責(zé)人進(jìn)行初審；（三）針對生產(chǎn)變更組織召開生產(chǎn)變更評審會(huì)，生產(chǎn)變更管理小組評估相應(yīng)項(xiàng)目是否具備上線條件；（四）生產(chǎn)變更經(jīng)變更評審會(huì)通過后方可組織實(shí)施。第九十條網(wǎng)絡(luò)調(diào)整類生產(chǎn)變更流程：（一）項(xiàng)目負(fù)責(zé)人提交網(wǎng)絡(luò)調(diào)整訪問關(guān)系列表、網(wǎng)絡(luò)調(diào)整原因等資料。（二）網(wǎng)絡(luò)管理人員負(fù)責(zé)對網(wǎng)絡(luò)訪問關(guān)系進(jìn)行確認(rèn)。第九十一條緊急變更流程（一）對于進(jìn)行緊急問題處理，需要對系統(tǒng)進(jìn)行配置、數(shù)據(jù)等內(nèi)容進(jìn)行修改，經(jīng)科技部門負(fù)責(zé)人同意后方可實(shí)施。（二）變更完成后，需要將相關(guān)文檔提交生產(chǎn)變更管理小組進(jìn)行后評審。第九十二條生產(chǎn)環(huán)境變更流程對于生產(chǎn)環(huán)境設(shè)備故障修復(fù)、基礎(chǔ)資源劃分、參數(shù)的調(diào)整等內(nèi)容，提交相關(guān)負(fù)責(zé)人審批，按照快速處理原則進(jìn)行處理。第九十三條信息系統(tǒng)變更應(yīng)確保系統(tǒng)的可靠性、完整性和可維護(hù)性，其中應(yīng)包括以下要求：（一）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。（三）除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn)，并對變更進(jìn)行及時(shí)記錄和定期復(fù)查第七部分日志管理第九十四條日志管理的范圍包括：核心交換機(jī)、路由器、防火墻、主機(jī)、監(jiān)控平臺(tái)等系統(tǒng)產(chǎn)生的日志。第九十五條日志管理目標(biāo)通過對各類日志的安全管理，支持有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要。第九十六條術(shù)語定義交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。系統(tǒng)日志由操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄信息、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。第九十七條日志管理范圍本管理辦法適用于系統(tǒng)日志的管理。業(yè)務(wù)部門應(yīng)根據(jù)國家會(huì)計(jì)、審計(jì)等相關(guān)規(guī)范，在應(yīng)用系統(tǒng)開發(fā)需求中明確交易日志的管理要求。第九十八條日志記錄由系統(tǒng)管理員負(fù)責(zé)系統(tǒng)日志的管理工作。值班人員根據(jù)文件系統(tǒng)使用率情況保管和清理適配器日志。第九十九條日志歸檔和記錄系統(tǒng)管理員應(yīng)使用專門的日志管理軟件或通過系統(tǒng)本身的日志管理功能進(jìn)行日志歸檔。日志歸檔過程中要保證日志的連續(xù)性、完整性，并確保日志在歸檔過程不被修改。系統(tǒng)管理員將日志歸檔到特定服務(wù)器（包括帶庫）進(jìn)行管理，或存放到存儲(chǔ)介質(zhì)上保管。系統(tǒng)日志的管理應(yīng)按照保密管理的相關(guān)制度進(jìn)行管理，密級為工作秘密。系統(tǒng)日志保管期至少為一年。未經(jīng)科技部經(jīng)理審批，任何人不得私自拷貝、審查、銷毀系統(tǒng)日志。第一百條日志分析及報(bào)告系統(tǒng)管理員在每個(gè)季度或發(fā)生特定安全事件時(shí)，應(yīng)對系統(tǒng)日志進(jìn)行全面分析并出具報(bào)告。系統(tǒng)管理員通過統(tǒng)計(jì)周期內(nèi)各類日志記錄數(shù)量、時(shí)間周期變化，對比分析各類日志的發(fā)展趨勢，查找可能存在的安全隱患。日志分析報(bào)告分為常規(guī)報(bào)告和專項(xiàng)報(bào)告。常規(guī)報(bào)告指設(shè)備、系統(tǒng)日常的日志分析報(bào)告，包括季報(bào)和年報(bào)；專項(xiàng)報(bào)告則是指設(shè)備或系統(tǒng)出現(xiàn)異?；蚋鶕?jù)管理需要而出具的報(bào)告。日志分析報(bào)告作為同期信息安全管理報(bào)告的附件。第一百零一條日志銷毀系統(tǒng)管理員在日志保存期滿后向科技部經(jīng)理提出銷毀申請，經(jīng)批準(zhǔn)后方可對日志進(jìn)行銷毀。系統(tǒng)管理員本人負(fù)責(zé)銷毀，銷毀過程必須雙人在場，部門主管監(jiān)督。未經(jīng)負(fù)責(zé)人審批，任何人不得私自拷貝、審查、銷毀系統(tǒng)日志。第八部分介質(zhì)管理第一百零二條介質(zhì)管理的范圍包括：業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置信息、系統(tǒng)日志、技術(shù)資料、業(yè)務(wù)報(bào)表等所有信息文件的保管、傳輸、報(bào)廢等。第一百零三條介質(zhì)存放的地點(diǎn)應(yīng)注意防霉、防潮、防水、防火、防盜，以保證檔案的保管期限。第一百零四條對所借的介質(zhì)妥善保管，不得私自拆毀、涂改和對外傳播。在借閱期間發(fā)生的丟失、損壞、泄密等問題，一律由借閱人負(fù)責(zé)。第九部分容量管理第一百零五條容量管理是指通過采集基礎(chǔ)數(shù)據(jù)、分析發(fā)展趨勢和科學(xué)估計(jì)不斷變化的業(yè)務(wù)需求，以合理的成本為信息系統(tǒng)運(yùn)行配備所需的資源容量，滿足信息科技服務(wù)質(zhì)量的要求。第一百零六條容量管理的對象既包括用于進(jìn)行業(yè)務(wù)處理的小型機(jī)和服務(wù)器的CPU、內(nèi)存、磁盤磁帶空間、存儲(chǔ)空間，又包括電力容量、空調(diào)容量、通訊線路帶寬、機(jī)柜空間等。第一百零七條信息系統(tǒng)在上線階段，應(yīng)當(dāng)對其運(yùn)行環(huán)境進(jìn)行完整、詳盡、前瞻的容量規(guī)劃，以滿足系統(tǒng)在兩年內(nèi)的發(fā)展需要。第一百零八條信息系統(tǒng)上線運(yùn)行后，應(yīng)根據(jù)業(yè)務(wù)數(shù)據(jù)增長情況分析當(dāng)前資源的適用性，預(yù)測未來資源容量發(fā)展變化情況，如果需要，需制定出合理、適當(dāng)?shù)臄U(kuò)容計(jì)劃。第一百零九條定期對系統(tǒng)資源的容量進(jìn)行全面統(tǒng)計(jì)分析，梳理資源容量的利用情況，并對其進(jìn)行準(zhǔn)確的預(yù)測第一百一十條對重要信息系統(tǒng)和通信網(wǎng)絡(luò)的容量和性能需求進(jìn)行前瞻性規(guī)劃，分析、調(diào)整和優(yōu)化容量和性能，滿足業(yè)務(wù)發(fā)展要求。對于確實(shí)需要新增容量的需求提前一個(gè)月進(jìn)行規(guī)劃和設(shè)計(jì)，以備充足的時(shí)間進(jìn)行方案的論證、修訂以及新增資源的調(diào)配、采購、安裝和配置等工作。第八章問題處理管理制度?第一節(jié)總則第一條?為規(guī)范信息系統(tǒng)事件和問題管理機(jī)制，規(guī)范問題處理流程，及時(shí)高效地處理和解決信息系統(tǒng)出現(xiàn)的各類問題，特制定本制度。?第二條?本制度中“問題”是指信息系統(tǒng)運(yùn)行過程中出現(xiàn)的各類問題。對業(yè)務(wù)系統(tǒng)產(chǎn)生重大影響，需要短時(shí)間內(nèi)解決的問題稱為緊急問題，其余的稱為一般問題。?第二節(jié)問題受理和處理流程第三條?科技部設(shè)立首問責(zé)任制登記簿，負(fù)責(zé)問題的受理、記錄、分派、處理過程的信息溝通以及處理結(jié)果的跟蹤。第四條?對于一般問題，值班人員按照問題對正常業(yè)務(wù)和信息系統(tǒng)的影響程度，劃分高、中、低三類處理優(yōu)先級，確定處理順序。能自己處理的問題，立即處理，否則提交問題處理人員。第五條?對于緊急問題，值班人員立即聯(lián)系問題處理人員處理，并上報(bào)科技部負(fù)責(zé)人。問題處理人員必須詳細(xì)記錄處理過程，在處理完成后，連同系統(tǒng)日志一起提交信息部負(fù)責(zé)人審閱。?第六條?值班人員登記《電話首問責(zé)任制登記簿》，及時(shí)跟進(jìn)，確保所有問題得到妥善解決和記錄。?第七條?值班人員應(yīng)在預(yù)期時(shí)間內(nèi)及時(shí)向問題受理專責(zé)人員報(bào)告處理情況，提交《問題處理記錄表》。?第三節(jié)?問題報(bào)告和審閱第八條?科技部負(fù)責(zé)人每月審核匯總問題受理和處理情況，分析問題處理方法，總結(jié)問題產(chǎn)生的原因，并制訂預(yù)防性措施，形成《問題統(tǒng)計(jì)分析報(bào)告》，提交分管信息科技行長審閱。?第九條?問題受理和處理過程中產(chǎn)生的所有文檔均由科技部文檔管理人員統(tǒng)一保存和管理。保存期限至少為一年。第九章項(xiàng)目管理辦法第一節(jié)立項(xiàng)管理第一條項(xiàng)目管理專指對信息系統(tǒng)開發(fā)類的項(xiàng)目進(jìn)行的管理。項(xiàng)目立項(xiàng)應(yīng)遵循“需求明確、論證充分、統(tǒng)籌規(guī)劃、節(jié)約投資”的原則，結(jié)合轄內(nèi)市場環(huán)境、客戶特點(diǎn)、內(nèi)部經(jīng)營管理需要等，開發(fā)適合轄內(nèi)業(yè)務(wù)發(fā)展的，具有區(qū)域性和特色性的項(xiàng)目。具體項(xiàng)目建設(shè)