信息安全管理辦法4篇

第1篇 信息安全獎懲管理辦法

1.目的

明確信息安全獎勵與違規(guī)行為處罰的操作原則,強化執(zhí)行,促進員工信息安全意識提升。

2.適用范圍

本規(guī)范適用于深圳市__公司 (后續(xù)簡稱為公司)。

3.定義

序號

角色

職責(zé)

001

信息安全事件

指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關(guān)的情況;其中一、二級信息安全事件稱為重大信息安全事件。

002

信息安全活動

為培養(yǎng)員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓(xùn)、宣傳和自查。

4.職責(zé)與權(quán)限

序號

角色

職責(zé)

001

員工

遵守公司信息安全管理制度,積極配合、參與信息安全活動。

002

各部門信息安全接口人

協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作;負責(zé)對部門信息安全問題進行匯總與反饋。

003

部門主管

是部門信息安全的直接責(zé)任人,負責(zé)監(jiān)督和管理本部門員工的信息安全行為,并對潛在的信息安全風(fēng)險進行預(yù)警,預(yù)防信息安全事件。

004

部門經(jīng)理

作為部門信息安全的間接責(zé)任人,熟悉公司信息安全戰(zhàn)略,并積極推動信息安全策略的落地執(zhí)行。

005

部門副總

對所負責(zé)部門的信息安全事件負相應(yīng)的管理責(zé)任。

006

it部信息安全組

對信息安全事件進行跟蹤處理,并確定事件責(zé)任人。

007

董事會秘書

審核信息安全事件處理報告。

008

總經(jīng)理

最終審批信息安全事件處罰申請。

009

人力資源部

依據(jù)公司財務(wù)制度對已審批的信息安全獎勵/處罰報告執(zhí)行經(jīng)濟獎勵或者處罰措施。

010

法務(wù)部

配合it部信息安全組進行信息安全事件處理,對違反法律法規(guī)的信息安全責(zé)任人依法追究法律責(zé)任。

5.內(nèi)容

5.1獎勵、違規(guī)行為處罰原則

5.1.1及時激勵原則

對長期妥善保護公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M信息安全合理共享表現(xiàn)突出的個人或者集體,將及時獎勵。

5.1.2舉報保密原則

對于舉報信息安全違規(guī)行為的人員,將對其進行獎勵并嚴(yán)格保護其個人資料不公開。

5.1.3違規(guī)行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產(chǎn),受國家法律法規(guī)保護。任何損害公司保密信息的行為,公司均有權(quán)追究行為人法律責(zé)任。

5.1.3.2違規(guī)分級原則

根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關(guān)鍵信息資產(chǎn)的,違規(guī)等級要升級;一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰;對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。

5.1.3.3主動從寬原則

產(chǎn)生違規(guī)行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導(dǎo)致違規(guī)影響擴大的人員,加重處罰。

5.1.3.4過度防衛(wèi)處罰原則

對阻礙信息合理流動與共享的人員要給予處罰。

5.1.3.5及時處理原則

對重大信息安全違規(guī)事件,要及時處理。任何拖延、推諉不處理的責(zé)任人,要給予問責(zé)。

5.2 獎勵等級與責(zé)任部門

5.2.1獎勵等級與措施

獎勵事跡

獎勵等級

獎勵措施

舉報或者制止泄密、竊密或者其他嚴(yán)重損害公司利益事件的集體或者個人

一級

根據(jù)具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

制止他人違規(guī)行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體

二級

根據(jù)具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛(wèi)被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體

三級

根據(jù)具體情況給予3000元集體獎勵或者1000元個人獎勵。

5.2.2獎勵責(zé)任部門

1)對于滿足信息安全獎勵標(biāo)準(zhǔn)的集體或者個人,it部信息安全組可根據(jù)具體事跡定期進行申報,審批通過后由人力資源部根據(jù)公司財務(wù)制度進行發(fā)放獎金;

2) 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個人進行獎勵。

5.3 違規(guī)等級與責(zé)任部門

5.3.1 違規(guī)等級與措施

違規(guī)事件

違規(guī)等級

處罰措施

盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴(yán)重造成重大影響或者風(fēng)險

一級

1. 直接開除,永不錄用;

2. 如違反法律法規(guī)由公司法務(wù)部移送公安機關(guān)處理;如給公司造成相關(guān)損失,須賠償公司損失。

3. 全公司范圍內(nèi)通報處罰決定。

故意違反信息安全規(guī)定,性質(zhì)嚴(yán)重;或者造成較大影響或較大風(fēng)險

二級

1. 如給公司造成相關(guān)損失,須賠償公司損失;

2. 擔(dān)任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;

3. 全公司范圍內(nèi)通報處罰決定。

過失違反信息安全管理規(guī)定,造成一定影響或者風(fēng)險的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴(yán)重且沒有造成嚴(yán)重影響或風(fēng)險

三級

1. 記入關(guān)鍵事件考評結(jié)果減10分或罰款500元;

2. 12個月內(nèi)2次三級違規(guī)升級為1次二級違規(guī)。

3.部門內(nèi)部通報處罰決定。

過失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風(fēng)險

四級

1.記入關(guān)鍵事件考評結(jié)果減5分或罰款300元;

2.12個月內(nèi)2次四級違規(guī)升級為1次三級違規(guī);

3.部門內(nèi)部通報處罰決定。

說明:

1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;

2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級的參考原則。常見違規(guī)行為所適用違規(guī)等級具體參考附件1:《常見違規(guī)行為及其適用處罰等級舉例》,其他違規(guī)行為所使用等級可參考舉例進行認(rèn)定。

5.3.2 責(zé)任判定

1)發(fā)生一、二級重大信息安全事件違規(guī)時,違規(guī)者直接上級和部門經(jīng)理承擔(dān)直接和間接責(zé)任,部門副總須承擔(dān)連帶管理責(zé)任,并按照《常見違規(guī)行為及其適用處罰等級舉例v1.0》適用條款進行處罰;

2)對于三、四級信息安全違規(guī),根據(jù)以下條件判斷責(zé)任人直接上級是否連帶處罰:

員工無意違規(guī),且責(zé)任人領(lǐng)導(dǎo)未進行審批授權(quán)的,不進行連帶處罰;

員工無意違規(guī),但責(zé)任人領(lǐng)導(dǎo)進行包庇的,在事實確認(rèn)的基礎(chǔ)上,進行連帶處罰;

若所管理部門一個月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無意違規(guī)事件,對直接上級進行連帶處罰。

5.3.3 處罰責(zé)任部門

處罰等級

處罰責(zé)任人

批準(zhǔn)

申訴

一級

總經(jīng)理

/

人力資源部

二級

總經(jīng)理

/

人力資源部

三級

部門分管副總

it部信息安全組

人力資源部

四級

部門分管副總

it部信息安全組

人力資源部

說明:

1)對于各類違規(guī)行為處罰應(yīng)當(dāng)慎重,應(yīng)建立在客觀事實的基礎(chǔ)上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權(quán)要求對當(dāng)事人加重或者減輕處罰;

2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責(zé)任部門。為了加快一級違規(guī)行為的處理進度,溝通時限和批準(zhǔn)期限都是2天;

3)在違規(guī)事件處理過程中,it部信息安全組協(xié)助與監(jiān)督處罰責(zé)任人完成處罰執(zhí)行工作。處罰責(zé)任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權(quán)。

5.4.維護與解釋

1)本規(guī)定發(fā)布之日起生效;

2)本規(guī)定由it部信息安全組至少每兩年審視一次,根據(jù)審核結(jié)果修訂標(biāo)準(zhǔn)并頒布執(zhí)行;

3)本規(guī)定解釋權(quán)歸it部信息安全組。

6.相關(guān)文件

附件1:《常見違規(guī)行為及其適用處罰等級舉例》

7.記錄表格

無

第2篇 信息安全防護體系運行管理辦法

第一章 總則

1.1目的

根據(jù)《_單位系統(tǒng)網(wǎng)絡(luò)與信息安全總體方案》和《_單位系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)》，為進一步規(guī)范_單位系統(tǒng)網(wǎng)絡(luò)信息安全防護體系配置的安全產(chǎn)品的運行管理工作，提高_單位系統(tǒng)信息安全管理水平，保證安全產(chǎn)品的有效性，特制定本辦法。

1.2 適用范圍

《運行管理辦法》適用于_單位總部、各省級局和地市級局對_單位系統(tǒng)網(wǎng)絡(luò)信息安全防護體系統(tǒng)一部署的防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)、桌面安全防護系統(tǒng)、安全審計系統(tǒng)等安全產(chǎn)品的運行管理。

_單位總部、各省級局和地市級局對所配置的其它同類安全產(chǎn)品的運行管理參照本辦法執(zhí)行。

1.3管理職責(zé)

_單位總部負責(zé)總部網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；并負責(zé)匯總各省級局上報的安全產(chǎn)品運行管理報告；分析安全風(fēng)險和存在的安全隱患，形成報表，監(jiān)督指導(dǎo)各省級局解決發(fā)現(xiàn)的安全問題。

各省級局負責(zé)本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；負責(zé)匯總各地市級局上報的安全產(chǎn)品運行管理報告，形成本省范圍內(nèi)的安全產(chǎn)品運行管理報告，當(dāng)月報告在下月的10日前上報_單位總部；分析所轄區(qū)域內(nèi)的安全風(fēng)險和存在的安全隱患，監(jiān)督指導(dǎo)下一級局解決發(fā)現(xiàn)的安全問題。

各省級局負責(zé)本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；形成安全產(chǎn)品運行管理報告，當(dāng)月報告在下月的10日前上報_單位總部；分析安全風(fēng)險和存在的安全隱患，解決發(fā)現(xiàn)的安全問題。

各地市級局負責(zé)本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；形成安全產(chǎn)品運行管理報告，當(dāng)月報告在下月的5日前上報各省級局；分析所屬網(wǎng)絡(luò)中的安全風(fēng)險和存在的安全隱患，解決發(fā)現(xiàn)的安全問題。

第二章 安全管理員職責(zé)

各級_單位機關(guān)必須按照《_單位系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)》的規(guī)定，設(shè)置安全管理員崗位和具體的執(zhí)行角色，負責(zé)安全產(chǎn)品的運行管理，根據(jù)各單位的具體情況，安全管理員崗位可以是安全管理員角色和安全審計員角色的組合，也可設(shè)置多個安全管理員崗位。

安全管理員在各_單位機關(guān)安全管理機構(gòu)的領(lǐng)導(dǎo)下工作，負責(zé)管理_單位系統(tǒng)網(wǎng)絡(luò)信息安全防護體系部署的安全產(chǎn)品，主要職責(zé)是：

（1）根據(jù)業(yè)務(wù)需求和網(wǎng)絡(luò)安全威脅維護安全產(chǎn)品的安全策略，在必須修改策略時，經(jīng)領(lǐng)導(dǎo)和上級主管部門批準(zhǔn)后實施；

（2）負責(zé)安全產(chǎn)品的日常維護管理，認(rèn)真記錄維護日志；

（3）解決安全產(chǎn)品運行中出現(xiàn)的技術(shù)問題，及時排除故障；

（4）定期分析安全產(chǎn)品的系統(tǒng)日志和安全日志，檢查設(shè)備工作狀況，分析是否存在安全風(fēng)險；

（5）發(fā)現(xiàn)重大安全問題或事件時，及時向領(lǐng)導(dǎo)報告，并按照應(yīng)急預(yù)案進行應(yīng)急處理；

（6）按照安全產(chǎn)品運行管理報告（見附件二）的內(nèi)容要求，提交安全產(chǎn)品的運行管理報告。

第三章 安全產(chǎn)品的管理

3.1日常維護管理

（1）安全管理員應(yīng)每天進行安全設(shè)備巡檢；

（2）安全管理員必須對安全產(chǎn)品的策略進行備份保護，策略發(fā)生變更時，必須做好變更記錄并進行備份更新；

（3）定期備份與維護安全產(chǎn)品的系統(tǒng)日志和安全日志；

（4）在總部發(fā)布安全產(chǎn)品升級通知后，及時進行產(chǎn)品升級；

（5）安全產(chǎn)品的運行維護活動記入安全產(chǎn)品的維護工作日志。

3.2故障管理

安全管理員應(yīng)每天在日常維護日志中，記錄安全產(chǎn)品的運行狀況或使用情況。在產(chǎn)品出現(xiàn)故障時，應(yīng)及時與廠商聯(lián)系解決問題，并記錄故障現(xiàn)象與處理結(jié)果。

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《安全產(chǎn)品故障統(tǒng)計月表》。

《安全產(chǎn)品故障統(tǒng)計月表》根據(jù)日常維護記錄中安全產(chǎn)品的故障情況填寫。

產(chǎn)品類型包括：防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、終端桌面安全防護系統(tǒng)和安全審計系統(tǒng)。

內(nèi)容包括：

a.? 故障總數(shù)

b.? 主要故障描述

c.? 處理結(jié)果

3.3變更管理

總部對網(wǎng)絡(luò)與信息安全防護產(chǎn)品的配置位置和統(tǒng)配策略做了統(tǒng)一部署。為了保證安全防護體系的完整性和可控性，需要對網(wǎng)絡(luò)信息安全防護體系中配置的安全產(chǎn)品進行變更管理。

（1）總部統(tǒng)一配置的安全產(chǎn)品配置位置變更時必須經(jīng)總部批準(zhǔn)；

（2）各級_單位單位負責(zé)本單位安全策略的制定，但總部統(tǒng)配安全策略的變更必須報總部批準(zhǔn)。

（3）對批準(zhǔn)實施的變更情況存檔并記入本單位《運行管理報告》中的變更情況說明，包括：

l? 變更的安全設(shè)備名稱、型號

l? 變更原因

l? 變更后的設(shè)備配置拓撲

l? 變更后的設(shè)備配置策略

3.4安全管理

3.4.1例行安全管理

安全管理員必須每天分析安全產(chǎn)品的系統(tǒng)日志和安全日志，在發(fā)現(xiàn)安全事件時，應(yīng)及時報告。

以下各節(jié)描述對各類安全設(shè)備的例行安全管理活動。

3.4.1.1防火墻

（1）防火墻運行狀態(tài)監(jiān)測

安全管理員應(yīng)每天監(jiān)測上下行防火墻和橫向防火墻運行狀態(tài)。

監(jiān)測的內(nèi)容：

a.系統(tǒng)負載（cpu狀態(tài)）

b.系統(tǒng)資源（內(nèi)存狀態(tài)）

c.防火墻端口狀態(tài)

d.網(wǎng)絡(luò)連接數(shù)

（2）防火墻安全事件分析

安全管理員應(yīng)每天檢查防火墻的安全日志，分析安全事件。

安全事件分析內(nèi)容：

a. 攻擊事件描述

b. 攻擊時間

c. 攻擊類型

d. 攻擊源ip和受攻擊主機ip

e. 阻斷ip地址及相關(guān)端口

（3）防火墻安全事件月統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《防火墻安全事件統(tǒng)計月表》。

《防火墻安全事件統(tǒng)計月表》根據(jù)防火墻日志分析結(jié)果填寫。

安全事件統(tǒng)計內(nèi)容：

a.各種攻擊類型數(shù)量及百分比統(tǒng)計

b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計

（4）防火墻阻斷事件統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中《防火墻阻斷事件報告統(tǒng)計表》。

《防火墻阻斷事件報告統(tǒng)計表》根據(jù)安全審計系統(tǒng)中相應(yīng)的防火墻日志分析結(jié)果填寫。

阻斷事件統(tǒng)計內(nèi)容：

a. 阻斷事件總數(shù)。

b. top 10阻斷ip地址。

c.top 10 阻斷端口。

3.4.1.2入侵檢測系統(tǒng)

（1）安全事件分析

安全管理員應(yīng)每天分析入侵檢測系統(tǒng)記錄的安全事件。

安全事件分析內(nèi)容：

a. 攻擊事件描述

b. 攻擊時間

c. 攻擊類型

d. 攻擊源ip和受攻擊主機ip

（2）入侵檢測系統(tǒng)安全事件月統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》。

《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》根據(jù)入侵檢測日志分析結(jié)果填寫。

安全事件統(tǒng)計內(nèi)容：

a. top 10安全事件數(shù)量及百分比統(tǒng)計

b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計

3.4.1.3 防病毒系統(tǒng)

（1）防病毒系統(tǒng)運行管理監(jiān)測

安全管理員應(yīng)進行防病毒系統(tǒng)運行管理監(jiān)測。

監(jiān)測內(nèi)容：

a.防病毒軟件升級信息

b.周病毒審計

c.周主機變化記錄

d.周策略維護

（2）病毒事件周分析

安全管理員應(yīng)每周監(jiān)測病毒事件

監(jiān)測內(nèi)容：

a.病毒總量

b.多發(fā)病毒統(tǒng)計

c.多發(fā)病毒主機

（3）病毒事件月統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《病毒事件報告月表》。

《病毒事件報告月表》根據(jù)防病毒系統(tǒng)日志分析結(jié)果填寫。

安全事件統(tǒng)計內(nèi)容：

a.? 病毒總量

b.? 多發(fā)病毒統(tǒng)計

c.? 多發(fā)病毒主機

3.4.1.4漏洞掃描系統(tǒng)

（1）漏洞掃描系統(tǒng)管理監(jiān)控

安全管理員要嚴(yán)格管理好漏洞掃描系統(tǒng)，未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不得擅自使用。

在使用漏洞掃描系統(tǒng)前應(yīng)填寫《漏洞掃描系統(tǒng)使用申請》（見附件一），獲得領(lǐng)導(dǎo)批準(zhǔn)后方能使用。

申請內(nèi)容：漏洞掃描系統(tǒng)的掃描地址范圍。

安全管理員在日常維護日志中記錄使用漏洞掃描系統(tǒng)的情況。

對發(fā)現(xiàn)的重要業(yè)務(wù)服務(wù)器的安全漏洞，必須在報告總部后，根據(jù)總部組織的專家咨詢意見，獲得領(lǐng)導(dǎo)批準(zhǔn)后才能打補丁。

（2）漏洞管理月統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《漏洞管理月報告》。

《漏洞管理報告》根據(jù)漏洞掃描系統(tǒng)掃描數(shù)據(jù)分析與處理結(jié)果填寫。

漏洞管理內(nèi)容：

a.主要應(yīng)用系統(tǒng)的相關(guān)信息及漏洞分布情況

b.根據(jù)漏洞進行配置調(diào)整與補丁安裝情況

3.4.1.5終端桌面安全防護系統(tǒng)

（1）安全事件分析

安全管理員應(yīng)每天分析終端桌面安全防護系統(tǒng)的安全事件。

安全事件分析內(nèi)容：

a. 高危險級別事件名稱。

b. 高危險級別事件發(fā)生時間。

c. 高危險級別事件詳細內(nèi)容和發(fā)生原因。

d. 發(fā)生高危險級別事件的主機信息。

（2）終端桌面安全防護系統(tǒng)月統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《桌面安全防護系統(tǒng)事件月報告》。

《桌面安全防護系統(tǒng)事件月報告》根據(jù)桌面安全防護系統(tǒng)的相應(yīng)查詢功能和安全審計系統(tǒng)中桌面安全防護系統(tǒng)的相關(guān)日志分析結(jié)果填寫。

終端桌面安全防護系統(tǒng)管理內(nèi)容：

a.資產(chǎn)信息統(tǒng)計

b. 安全事件總數(shù)，高危險級別事件數(shù)量，中危險級別事件數(shù)量。

c.top 10 高危險級別事件。

d.top 10 高危險級別ip地址.

3.4.1.6安全審計系統(tǒng)

（1）安全事件分析

安全管理員應(yīng)每天分析安全審計系統(tǒng)收集和處理的安全事件日志信息。

安全事件分析內(nèi)容：

a. windows主機產(chǎn)生的高危險級別事件信息。

b.windows主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。

c.windows主機產(chǎn)生的高危險級別事件所屬主機信息。

d. uni_主機產(chǎn)生的高危險級別事件信息。

e.uni_主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。

f.uni_主機產(chǎn)生的高危險級別事件所屬主機信息。

g. 網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險級別事件信息。

h.網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險級別事件產(chǎn)生的時間。

i.網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險級別事件所屬主機信息。

（2）安全審計系統(tǒng)月統(tǒng)計

安全管理員應(yīng)按附件二要求如實填寫本單位《運行管理報告》中的《安全審計管理月報告》。共包括如下四個報告：《安全審計系統(tǒng)審計源及日志統(tǒng)計》、《windows主機事件報告統(tǒng)計》、《uni_主機事件報告統(tǒng)計》、《網(wǎng)絡(luò)設(shè)備事件報告統(tǒng)計》。

《安全審計管理月報告》根據(jù)安全審計系統(tǒng)收集的日志結(jié)果填寫。

安全審計管理內(nèi)容：

1、安全審計系統(tǒng)審計源及日志統(tǒng)計

a.日志源日志源數(shù)量統(tǒng)計

b.日志分級數(shù)量統(tǒng)計

2、windows主機事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

3、uni_主機事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

4、網(wǎng)絡(luò)設(shè)備事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

3.4.2應(yīng)急安全管理

在發(fā)現(xiàn)安全系統(tǒng)出現(xiàn)《_單位系統(tǒng)重大網(wǎng)絡(luò)與信息安全事件報告制度》中定義的重大安全事件時，按文件規(guī)定的流程進行處理和上報，如果與相應(yīng)的安全產(chǎn)品關(guān)聯(lián)，應(yīng)同時記錄相關(guān)情況。

第3篇 信息安全管理辦法

第一章??? 總則

第一條 為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設(shè)備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò)安全等管理，防范和化解信息系統(tǒng)的運行風(fēng)險，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險管理指引》等規(guī)定，結(jié)合我農(nóng)商行實際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人，包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工，包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。

第三條 信息系統(tǒng)信息安全工作堅持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負責(zé)，誰運行誰負責(zé)，誰使用誰負責(zé)”的原則，逐級落實單位與個人信息安全責(zé)任制。

第四條 信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。

第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章 組織保障

第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。

第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部，負責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位，配備專職信息安全管理人員。負責(zé)邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行指導(dǎo)和檢查督促。

第九條 農(nóng)商行各支行及各職能部門主要負責(zé)人為本部門信息安全第一責(zé)任人，同時均應(yīng)指定至少一名部門信息安全員，具體負責(zé)本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。科技信息部為農(nóng)商行信息安全保護專職部門，設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負責(zé)全轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組，設(shè)立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十一條 信息安全管理人員應(yīng)具有從事金融機構(gòu)計算機工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。 （二）審核信息化建設(shè)項目中的安全方案，組織實施信息安全保障項目建設(shè)，維護、管理信息安全專用設(shè)施。 （三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 （四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時，確因工作需要查詢相關(guān)涉密信息，須經(jīng)本部門負責(zé)人同意后向本單位保密主管部門提交申請，獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時報上一級科技信息部備案。

第十六條 信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條 各部門和各級支行應(yīng)指派素質(zhì)好、較熟悉計算機知識的人員擔(dān)任部門信息安全員，并報農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作，并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作： （一）負責(zé)本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。 （二）負責(zé)提出本部門信息安全保障需求，及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 （三）負責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術(shù)支持人員

第二十條 本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)： （一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問，未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 （二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處置。 （三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員

第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)： （一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時進行必要的數(shù)據(jù)備份。 （二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部。 （三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則，嚴(yán)格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。

第五節(jié) 一般計算機用戶

第二十六條 本辦法所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。 第二十七條 一般計算機用戶應(yīng)承擔(dān)如下安全義務(wù)： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 （三）未經(jīng)科技信息部檢測和授權(quán)，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)；不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權(quán)”原則，嚴(yán)格設(shè)定各用戶的操作權(quán)限。

第三十二條 對要害崗位人員應(yīng)實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓(xùn)。

第三十三條 要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條 系統(tǒng)管理員安全責(zé)任

（一）負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴(yán)格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

（三）認(rèn)真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條 系統(tǒng)開發(fā)員安全責(zé)任

（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

（三）不得對系統(tǒng)設(shè)置后門；

（四）對系統(tǒng)核心技術(shù)保密。

第三十七條 系統(tǒng)維護員安全責(zé)任

（一）負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第四章 機房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設(shè)備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由科技信息部負責(zé)。 第四十一條 農(nóng)商行機房應(yīng)符合國家計算機機房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定，滿足下列基本安全要求：

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。

（三）機房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十二條 機房建設(shè)、改造的方案應(yīng)報上市網(wǎng)絡(luò)中心備案。必要時，由市網(wǎng)絡(luò)中心會同財務(wù)、保衛(wèi)等部門進行審核。 第四十三條 機房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設(shè)計與施工經(jīng)驗的專業(yè)化公司。重要機房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。

第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施聯(lián)動監(jiān)控。

第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十六條 農(nóng)商行機房應(yīng)建立機房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控，通過技術(shù)和管理手段，確保計算機機房及配套設(shè)施安全。 第四十七條 農(nóng)商行機房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法，并指派專人擔(dān)任機房管理員，落實機房安全責(zé)任制。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。

第四十九條 機房管理員負責(zé)妥善保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。

第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)，并辦理登記手續(xù)，由專人陪同。

第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點。

第五十二條 向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理，應(yīng)安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當(dāng)配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月。

第二節(jié) 設(shè)備資產(chǎn)管理

第五十四條 農(nóng)商行科技信息部建立完備的計算機設(shè)備登記辦法，嚴(yán)格資產(chǎn)管理，明確計算機設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設(shè)備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè)備應(yīng)放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章 網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理

第五十六條 省聯(lián)社信息科技部負責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報上一級科技信息部審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求，使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。 （三）根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡(luò)運行安全管理

第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦法，配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

（一）負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；

（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。

第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應(yīng)向科技信息部提出書面申請，并采取相應(yīng)的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關(guān)標(biāo)準(zhǔn)組織實施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)，任何單位不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機構(gòu)進行網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn)，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章 信息系統(tǒng)安全管理

第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十四條 信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部門提出的安全需求。 （二）安全需求分析和實現(xiàn)。 （三）運行平臺的安全策略與設(shè)計。

第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安全機制，在安全防護方面應(yīng)符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴(yán)密的安全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；

（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災(zāi)難恢復(fù)；

（三）具有嚴(yán)格的用戶和密碼管理，能對不同級別的用戶進行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應(yīng)設(shè)置審計監(jiān)控程序，具有身份識別和實體認(rèn)證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設(shè)計應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。

第七十六條 農(nóng)商行科技信息部負責(zé)對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整、準(zhǔn)確實現(xiàn)。

第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運行

第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。 （二）科技信息部應(yīng)提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報科技信息部備案。

第八十三條 信息系統(tǒng)投入運行前，應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；

（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護措施以及安全功能設(shè)計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十四條 科技信息部應(yīng)當(dāng)對報送的書面材料進行初步審查。委托相關(guān)權(quán)威機構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認(rèn)證。

第八十五條 對信息系統(tǒng)的安全評估應(yīng)當(dāng)包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條 安全評估委員會或安全評估專家組應(yīng)對測試、認(rèn)證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條 信息系統(tǒng)運行平臺應(yīng)符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標(biāo)準(zhǔn)。

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負責(zé)信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。

第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統(tǒng)無關(guān)的其他計算機程序；維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的，應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán)限。

第四節(jié) 業(yè)務(wù)操作

第九十二條 業(yè)務(wù)部門負責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)-授權(quán)進行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進行業(yè)務(wù)操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領(lǐng)導(dǎo)和科技信息部報告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保密，防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機時，應(yīng)按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。

第七章 客戶端安全管理

第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括臺式個人計算機（pc）、便攜式計算機、柜員終端、自動柜員機（atm）、存折打印機、讀卡器、銷售終端（pos）和個人數(shù)字助理（pda）等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法，記錄所有客戶端設(shè)備信息和軟件配置信息，采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品與服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù)，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應(yīng)報省聯(lián)社信息科技部批準(zhǔn)，省聯(lián)社信息科技部應(yīng)進行登記備案。

第二節(jié) 使用管理

第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進行遠程配置，由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操作。

第九章 數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第一百一十三條? 農(nóng)商行應(yīng)建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識存儲內(nèi)容、時間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程，嚴(yán)格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術(shù)文檔

第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責(zé)將技術(shù)文檔統(tǒng)一歸檔，嚴(yán)格管理，并實行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識，統(tǒng)一編號，并標(biāo)明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲介質(zhì)在物理傳輸過程中的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動存儲設(shè)備（u盤、移動硬盤等）管理辦法，加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次。口令密碼的強度應(yīng)滿足不同安全性要求，不得設(shè)置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術(shù)應(yīng)用管理

第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換，對已泄露或懷疑泄露的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。

第十章 第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機制、認(rèn)證機制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。

第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設(shè)備確需送外單位維修時，科技信息部應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章 災(zāi)難備份與應(yīng)急管理

第一節(jié) 災(zāi)難備份管理

第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間（恢復(fù)時間目標(biāo)rto）和數(shù)據(jù)丟失量(恢復(fù)點目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。

第二節(jié) 應(yīng)急管理

第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。 （二）應(yīng)急組織機構(gòu)。 （三）預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。 （四）各類危機處置流程。 （五）應(yīng)急資源保障。 （六）事后處理流程。 （七）預(yù)案管理與維護（生效、演練、維護等）。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。

第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。

第十二章 安全檢查評估與培訓(xùn)

第一節(jié) 監(jiān)測檢查

第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時預(yù)警、響應(yīng)和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。

第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責(zé)任。所有檢查報告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。

第二節(jié) 評估審計

第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應(yīng)制定評估方案并進行必要的培訓(xùn)。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請第三方機構(gòu)進行安全評估，報省聯(lián)社信息科技部批準(zhǔn)，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。

第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規(guī)定，確保測評有效和測評安全。

第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關(guān)日志記錄。

第三節(jié) 安全培訓(xùn)

第一百七十一條 農(nóng)商行應(yīng)至少每年對信息安全管理人員進行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓(xùn)，提高全體員工信息安全意識，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護流程及違反規(guī)定的后果。

第十三章 獎勵與處罰

第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應(yīng)進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十四章 附 則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責(zé)解釋。

?

第一章??? 總則

第一條 為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設(shè)備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò)安全等管理，防范和化解信息系統(tǒng)的運行風(fēng)險，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險管理指引》等規(guī)定，結(jié)合我農(nóng)商行實際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人，包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工，包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。

第三條 信息系統(tǒng)信息安全工作堅持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負責(zé)，誰運行誰負責(zé)，誰使用誰負責(zé)”的原則，逐級落實單位與個人信息安全責(zé)任制。

第四條 信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。

第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章 組織保障

第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。

第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部，負責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位，配備專職信息安全管理人員。負責(zé)邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行指導(dǎo)和檢查督促。

第九條 農(nóng)商行各支行及各職能部門主要負責(zé)人為本部門信息安全第一責(zé)任人，同時均應(yīng)指定至少一名部門信息安全員，具體負責(zé)本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)?？萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門，設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負責(zé)全轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組，設(shè)立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十一條 信息安全管理人員應(yīng)具有從事金融機構(gòu)計算機工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。 （二）審核信息化建設(shè)項目中的安全方案，組織實施信息安全保障項目建設(shè)，維護、管理信息安全專用設(shè)施。 （三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 （四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時，確因工作需要查詢相關(guān)涉密信息，須經(jīng)本部門負責(zé)人同意后向本單位保密主管部門提交申請，獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時報上一級科技信息部備案。

第十六條 信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條 各部門和各級支行應(yīng)指派素質(zhì)好、較熟悉計算機知識的人員擔(dān)任部門信息安全員，并報農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作，并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作： （一）負責(zé)本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。 （二）負責(zé)提出本部門信息安全保障需求，及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 （三）負責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術(shù)支持人員

第二十條 本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)： （一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問，未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 （二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處置。 （三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員

第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)： （一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時進行必要的數(shù)據(jù)備份。 （二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部。 （三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則，嚴(yán)格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。

第五節(jié) 一般計算機用戶

第二十六條 本辦法所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。 第二十七條 一般計算機用戶應(yīng)承擔(dān)如下安全義務(wù)： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 （三）未經(jīng)科技信息部檢測和授權(quán)，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)；不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權(quán)”原則，嚴(yán)格設(shè)定各用戶的操作權(quán)限。

第三十二條 對要害崗位人員應(yīng)實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓(xùn)。

第三十三條 要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條 系統(tǒng)管理員安全責(zé)任

（一）負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴(yán)格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

（三）認(rèn)真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條 系統(tǒng)開發(fā)員安全責(zé)任

（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

（三）不得對系統(tǒng)設(shè)置后門；

（四）對系統(tǒng)核心技術(shù)保密。

第三十七條 系統(tǒng)維護員安全責(zé)任

（一）負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第四章 機房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設(shè)備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由科技信息部負責(zé)。 第四十一條 農(nóng)商行機房應(yīng)符合國家計算機機房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定，滿足下列基本安全要求：

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。

（三）機房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十二條 機房建設(shè)、改造的方案應(yīng)報上市網(wǎng)絡(luò)中心備案。必要時，由市網(wǎng)絡(luò)中心會同財務(wù)、保衛(wèi)等部門進行審核。 第四十三條 機房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設(shè)計與施工經(jīng)驗的專業(yè)化公司。重要機房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。

第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施聯(lián)動監(jiān)控。

第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十六條 農(nóng)商行機房應(yīng)建立機房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控，通過技術(shù)和管理手段，確保計算機機房及配套設(shè)施安全。 第四十七條 農(nóng)商行機房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法，并指派專人擔(dān)任機房管理員，落實機房安全責(zé)任制。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。

第四十九條 機房管理員負責(zé)妥善保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。

第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)，并辦理登記手續(xù)，由專人陪同。

第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點。

第五十二條 向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理，應(yīng)安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當(dāng)配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月。

第二節(jié) 設(shè)備資產(chǎn)管理

第五十四條 農(nóng)商行科技信息部建立完備的計算機設(shè)備登記辦法，嚴(yán)格資產(chǎn)管理，明確計算機設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設(shè)備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè)備應(yīng)放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章 網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理

第五十六條 省聯(lián)社信息科技部負責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報上一級科技信息部審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求，使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。 （三）根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡(luò)運行安全管理

第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦法，配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

（一）負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；

（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。

第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應(yīng)向科技信息部提出書面申請，并采取相應(yīng)的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關(guān)標(biāo)準(zhǔn)組織實施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)，任何單位不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機構(gòu)進行網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn)，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序。科技信息部憑相關(guān)批準(zhǔn)證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章 信息系統(tǒng)安全管理

第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十四條 信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部門提出的安全需求。 （二）安全需求分析和實現(xiàn)。 （三）運行平臺的安全策略與設(shè)計。

第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安全機制，在安全防護方面應(yīng)符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴(yán)密的安全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；

（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災(zāi)難恢復(fù)；

（三）具有嚴(yán)格的用戶和密碼管理，能對不同級別的用戶進行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應(yīng)設(shè)置審計監(jiān)控程序，具有身份識別和實體認(rèn)證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設(shè)計應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。

第七十六條 農(nóng)商行科技信息部負責(zé)對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整、準(zhǔn)確實現(xiàn)。

第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運行

第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。 （二）科技信息部應(yīng)提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報科技信息部備案。

第八十三條 信息系統(tǒng)投入運行前，應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；

（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護措施以及安全功能設(shè)計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十四條 科技信息部應(yīng)當(dāng)對報送的書面材料進行初步審查。委托相關(guān)權(quán)威機構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認(rèn)證。

第八十五條 對信息系統(tǒng)的安全評估應(yīng)當(dāng)包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條 安全評估委員會或安全評估專家組應(yīng)對測試、認(rèn)證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條 信息系統(tǒng)運行平臺應(yīng)符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標(biāo)準(zhǔn)。

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負責(zé)信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。

第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統(tǒng)無關(guān)的其他計算機程序；維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的，應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán)限。

第四節(jié) 業(yè)務(wù)操作

第九十二條 業(yè)務(wù)部門負責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)-授權(quán)進行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進行業(yè)務(wù)操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領(lǐng)導(dǎo)和科技信息部報告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保密，防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機時，應(yīng)按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。

第七章 客戶端安全管理

第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括臺式個人計算機（pc）、便攜式計算機、柜員終端、自動柜員機（atm）、存折打印機、讀卡器、銷售終端（pos）和個人數(shù)字助理（pda）等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法，記錄所有客戶端設(shè)備信息和軟件配置信息，采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品與服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù)，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應(yīng)報省聯(lián)社信息科技部批準(zhǔn)，省聯(lián)社信息科技部應(yīng)進行登記備案。

第二節(jié) 使用管理

第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進行遠程配置，由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操作。

第九章 數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第一百一十三條?農(nóng)商行應(yīng)建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識存儲內(nèi)容、時間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程，嚴(yán)格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術(shù)文檔

第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責(zé)將技術(shù)文檔統(tǒng)一歸檔，嚴(yán)格管理，并實行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識，統(tǒng)一編號，并標(biāo)明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲介質(zhì)在物理傳輸過程中的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動存儲設(shè)備（u盤、移動硬盤等）管理辦法，加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次?？诹蠲艽a的強度應(yīng)滿足不同安全性要求，不得設(shè)置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術(shù)應(yīng)用管理

第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換，對已泄露或懷疑泄露的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。

第十章 第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機制、認(rèn)證機制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。

第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設(shè)備確需送外單位維修時，科技信息部應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章 災(zāi)難備份與應(yīng)急管理

第一節(jié) 災(zāi)難備份管理

第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間（恢復(fù)時間目標(biāo)rto）和數(shù)據(jù)丟失量(恢復(fù)點目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。

第二節(jié) 應(yīng)急管理

第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。 （二）應(yīng)急組織機構(gòu)。 （三）預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。 （四）各類危機處置流程。 （五）應(yīng)急資源保障。 （六）事后處理流程。 （七）預(yù)案管理與維護（生效、演練、維護等）。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。

第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。

第十二章 安全檢查評估與培訓(xùn)

第一節(jié) 監(jiān)測檢查

第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時預(yù)警、響應(yīng)和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。

第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責(zé)任。所有檢查報告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。

第二節(jié) 評估審計

第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應(yīng)制定評估方案并進行必要的培訓(xùn)。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請第三方機構(gòu)進行安全評估，報省聯(lián)社信息科技部批準(zhǔn)，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。

第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規(guī)定，確保測評有效和測評安全。

第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關(guān)日志記錄。

第三節(jié) 安全培訓(xùn)

第一百七十一條 農(nóng)商行應(yīng)至少每年對信息安全管理人員進行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓(xùn)，提高全體員工信息安全意識，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護流程及違反規(guī)定的后果。

第十三章 獎勵與處罰

第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應(yīng)進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十四章 附 則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責(zé)解釋。

第4篇 信息安全等級保護管理辦法

第一章 總則

第一條

為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī),制定本辦法。

第二條

國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。

第三條

公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)。

第四條

信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

第五條

信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級保護的義務(wù)和責(zé)任。

第二章 等級劃分與保護

第六條

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

第七條

信息系統(tǒng)的安全保護等級分為以下五級:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重損害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重損害,或者對國家安全造成嚴(yán)重損害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重損害。

第八條

信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。

第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。

第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章 等級保護的實施與管理

第九條

信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。

第十條

信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。

第十一條

信息系統(tǒng)的安全保護等級確定后,運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。

第十二條

在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當(dāng)按照《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(gb17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(gb/t20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(gb/t20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(gb/t20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(gb/t20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(ga/t671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。

第十三條

運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(gb/t20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(gb/t20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條

信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。

經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應(yīng)當(dāng)制定方案進行整改。

第十五條

已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

第十六條

辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:

(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;

(二)系統(tǒng)安全組織機構(gòu)和管理制度;

(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;

(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;

(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;

(六)信息系統(tǒng)安全保護等級專家評審意見;

(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。

第十七條

信息系統(tǒng)備案后,公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。

第十八條

受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會同其主管部門進行。

對第五級信息系統(tǒng),應(yīng)當(dāng)由國家指定的專門部門進行檢查。

公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查:

(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準(zhǔn)確;

(二) 運營、使用單位安全管理制度、措施的落實情況;

(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;

(四) 系統(tǒng)安全等級測評是否符合要求;

(五) 信息安全產(chǎn)品使用是否符合要求;

(六) 信息系統(tǒng)安全整改情況;

(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;

(八) 其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。

第十九條

信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件:

(一) 信息系統(tǒng)備案事項變更情況;

(二) 安全組織、人員的變動情況;

(三) 信息安全管理制度、措施變更情況;

(四) 信息系統(tǒng)運行狀況記錄;

(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;

(六) 對信息系統(tǒng)開展等級測評的技術(shù)測評報告;

(七) 信息安全產(chǎn)品使用的變更情況;

(八) 信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;

(九) 信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第二十條

公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后,應(yīng)當(dāng)將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。

第二十一條

第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:

(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;

(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);

(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;

(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;

(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;

(六)對已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機構(gòu)頒發(fā)的認(rèn)證證書。

第二十二條

第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護測評機構(gòu)進行測評:

(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);

(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);

(三) 從事相關(guān)檢測評估工作兩年以上,無違法記錄;

(四) 工作人員僅限于中國公民;

(五) 法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;

(六) 使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求;

(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;

(八) 對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條

從事信息系統(tǒng)安全等級測評的機構(gòu),應(yīng)當(dāng)履行下列義務(wù):

(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;

(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風(fēng)險;

(三)對測評人員進行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負責(zé)檢查落實。

第四章 涉密信息系統(tǒng)的分級保護管理

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實際情況進行保護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標(biāo)準(zhǔn)bmb17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進行系統(tǒng)定級。

第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設(shè)計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)bmb22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當(dāng)提交以下材料:

(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;

(二)系統(tǒng)承建單位資質(zhì)證明材料;

(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;

(四)系統(tǒng)安全保密檢測評估報告;

(五)系統(tǒng)安全保密組織機構(gòu)和管理制度情況;

(六)其他有關(guān)材料。

第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時,其建設(shè)使用單位應(yīng)當(dāng)及時向負責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況,決定是否對其重新進行測評和審批。

第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)bmb20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風(fēng)險評估,消除泄密隱患和漏洞。

第三十三條

國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:

(一)指導(dǎo)、監(jiān)督和檢查分級保護工作的開展;

(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;

(三)參與涉密信息系統(tǒng)分級保護方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;

(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;

(五)嚴(yán)格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況;

(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;

(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準(zhǔn)則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應(yīng)當(dāng)遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。

第三十五條

信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護和日常管理等,應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機構(gòu)承擔(dān),其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。

第三十九條

各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進行處置。

第六章 法律責(zé)任

第四十條

第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時反饋處理結(jié)果:

(一) 未按本辦法規(guī)定備案、審批的;

(二) 未按本辦法規(guī)定落實安全管理制度、措施的;

(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;

(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;

(五) 接到整改通知后,拒不整改的;

(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的;

(七) 未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;

(八) 違反保密管理規(guī)定的;

(九) 違反密碼管理規(guī)定的;

(十) 違反本辦法其他規(guī)定的。

違反前款規(guī)定,造成嚴(yán)重損害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。

第七章 附則

第四十二條

已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。

第四十三條

本辦法所稱“以上”包含本數(shù)(級)。

第四十四條

本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。