- 目錄
第1篇 信息安全獎懲管理辦法
1.目的
明確信息安全獎勵與違規(guī)行為處罰的操作原則,強化執(zhí)行,促進員工信息安全意識提升。
2.適用范圍
本規(guī)范適用于深圳市__公司 (后續(xù)簡稱為公司)。
3.定義
序號
角色
職責
001
信息安全事件
指識別出的發(fā)生的系統(tǒng)、服務或網(wǎng)絡事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關的情況;其中一、二級信息安全事件稱為重大信息安全事件。
002
信息安全活動
為培養(yǎng)員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓、宣傳和自查。
4.職責與權限
序號
角色
職責
001
員工
遵守公司信息安全管理制度,積極配合、參與信息安全活動。
002
各部門信息安全接口人
協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓工作;負責對部門信息安全問題進行匯總與反饋。
003
部門主管
是部門信息安全的直接責任人,負責監(jiān)督和管理本部門員工的信息安全行為,并對潛在的信息安全風險進行預警,預防信息安全事件。
004
部門經(jīng)理
作為部門信息安全的間接責任人,熟悉公司信息安全戰(zhàn)略,并積極推動信息安全策略的落地執(zhí)行。
005
部門副總
對所負責部門的信息安全事件負相應的管理責任。
006
it部信息安全組
對信息安全事件進行跟蹤處理,并確定事件責任人。
007
董事會秘書
審核信息安全事件處理報告。
008
總經(jīng)理
最終審批信息安全事件處罰申請。
009
人力資源部
依據(jù)公司財務制度對已審批的信息安全獎勵/處罰報告執(zhí)行經(jīng)濟獎勵或者處罰措施。
010
法務部
配合it部信息安全組進行信息安全事件處理,對違反法律法規(guī)的信息安全責任人依法追究法律責任。
5.內(nèi)容
5.1獎勵、違規(guī)行為處罰原則
5.1.1及時激勵原則
對長期妥善保護公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M信息安全合理共享表現(xiàn)突出的個人或者集體,將及時獎勵。
5.1.2舉報保密原則
對于舉報信息安全違規(guī)行為的人員,將對其進行獎勵并嚴格保護其個人資料不公開。
5.1.3違規(guī)行為處罰原則
5.1.3.1法律追究原則
公司所有保密信息均為公司合法資產(chǎn),受國家法律法規(guī)保護。任何損害公司保密信息的行為,公司均有權追究行為人法律責任。
5.1.3.2違規(guī)分級原則
根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關鍵信息資產(chǎn)的,違規(guī)等級要升級;一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰;對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。
5.1.3.3主動從寬原則
產(chǎn)生違規(guī)行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導致違規(guī)影響擴大的人員,加重處罰。
5.1.3.4過度防衛(wèi)處罰原則
對阻礙信息合理流動與共享的人員要給予處罰。
5.1.3.5及時處理原則
對重大信息安全違規(guī)事件,要及時處理。任何拖延、推諉不處理的責任人,要給予問責。
5.2 獎勵等級與責任部門
5.2.1獎勵等級與措施
獎勵事跡
獎勵等級
獎勵措施
舉報或者制止泄密、竊密或者其他嚴重損害公司利益事件的集體或者個人
一級
根據(jù)具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。
制止他人違規(guī)行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體
二級
根據(jù)具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。
在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛(wèi)被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體
三級
根據(jù)具體情況給予3000元集體獎勵或者1000元個人獎勵。
5.2.2獎勵責任部門
1)對于滿足信息安全獎勵標準的集體或者個人,it部信息安全組可根據(jù)具體事跡定期進行申報,審批通過后由人力資源部根據(jù)公司財務制度進行發(fā)放獎金;
2) 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個人進行獎勵。
5.3 違規(guī)等級與責任部門
5.3.1 違規(guī)等級與措施
違規(guī)事件
違規(guī)等級
處罰措施
盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴重造成重大影響或者風險
一級
1. 直接開除,永不錄用;
2. 如違反法律法規(guī)由公司法務部移送公安機關處理;如給公司造成相關損失,須賠償公司損失。
3. 全公司范圍內(nèi)通報處罰決定。
故意違反信息安全規(guī)定,性質(zhì)嚴重;或者造成較大影響或較大風險
二級
1. 如給公司造成相關損失,須賠償公司損失;
2. 擔任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;
3. 全公司范圍內(nèi)通報處罰決定。
過失違反信息安全管理規(guī)定,造成一定影響或者風險的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴重且沒有造成嚴重影響或風險
三級
1. 記入關鍵事件考評結(jié)果減10分或罰款500元;
2. 12個月內(nèi)2次三級違規(guī)升級為1次二級違規(guī)。
3.部門內(nèi)部通報處罰決定。
過失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風險
四級
1.記入關鍵事件考評結(jié)果減5分或罰款300元;
2.12個月內(nèi)2次四級違規(guī)升級為1次三級違規(guī);
3.部門內(nèi)部通報處罰決定。
說明:
1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;
2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級的參考原則。常見違規(guī)行為所適用違規(guī)等級具體參考附件1:《常見違規(guī)行為及其適用處罰等級舉例》,其他違規(guī)行為所使用等級可參考舉例進行認定。
5.3.2 責任判定
1)發(fā)生一、二級重大信息安全事件違規(guī)時,違規(guī)者直接上級和部門經(jīng)理承擔直接和間接責任,部門副總須承擔連帶管理責任,并按照《常見違規(guī)行為及其適用處罰等級舉例v1.0》適用條款進行處罰;
2)對于三、四級信息安全違規(guī),根據(jù)以下條件判斷責任人直接上級是否連帶處罰:
員工無意違規(guī),且責任人領導未進行審批授權的,不進行連帶處罰;
員工無意違規(guī),但責任人領導進行包庇的,在事實確認的基礎上,進行連帶處罰;
若所管理部門一個月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無意違規(guī)事件,對直接上級進行連帶處罰。
5.3.3 處罰責任部門
處罰等級
處罰責任人
批準
申訴
一級
總經(jīng)理
/
人力資源部
二級
總經(jīng)理
/
人力資源部
三級
部門分管副總
it部信息安全組
人力資源部
四級
部門分管副總
it部信息安全組
人力資源部
說明:
1)對于各類違規(guī)行為處罰應當慎重,應建立在客觀事實的基礎上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權要求對當事人加重或者減輕處罰;
2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責任部門。為了加快一級違規(guī)行為的處理進度,溝通時限和批準期限都是2天;
3)在違規(guī)事件處理過程中,it部信息安全組協(xié)助與監(jiān)督處罰責任人完成處罰執(zhí)行工作。處罰責任人或其授權人員要做好與違規(guī)員工的溝通工作。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權。
5.4.維護與解釋
1)本規(guī)定發(fā)布之日起生效;
2)本規(guī)定由it部信息安全組至少每兩年審視一次,根據(jù)審核結(jié)果修訂標準并頒布執(zhí)行;
3)本規(guī)定解釋權歸it部信息安全組。
6.相關文件
附件1:《常見違規(guī)行為及其適用處罰等級舉例》
7.記錄表格
無
第2篇 信息安全防護體系運行管理辦法
第一章 總則
1.1目的
根據(jù)《_單位系統(tǒng)網(wǎng)絡與信息安全總體方案》和《_單位系統(tǒng)網(wǎng)絡與信息安全管理崗位及其職責》,為進一步規(guī)范_單位系統(tǒng)網(wǎng)絡信息安全防護體系配置的安全產(chǎn)品的運行管理工作,提高_單位系統(tǒng)信息安全管理水平,保證安全產(chǎn)品的有效性,特制定本辦法。
1.2 適用范圍
《運行管理辦法》適用于_單位總部、各省級局和地市級局對_單位系統(tǒng)網(wǎng)絡信息安全防護體系統(tǒng)一部署的防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)、桌面安全防護系統(tǒng)、安全審計系統(tǒng)等安全產(chǎn)品的運行管理。
_單位總部、各省級局和地市級局對所配置的其它同類安全產(chǎn)品的運行管理參照本辦法執(zhí)行。
1.3管理職責
_單位總部負責總部網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作;并負責匯總各省級局上報的安全產(chǎn)品運行管理報告;分析安全風險和存在的安全隱患,形成報表,監(jiān)督指導各省級局解決發(fā)現(xiàn)的安全問題。
各省級局負責本單位網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作;負責匯總各地市級局上報的安全產(chǎn)品運行管理報告,形成本省范圍內(nèi)的安全產(chǎn)品運行管理報告,當月報告在下月的10日前上報_單位總部;分析所轄區(qū)域內(nèi)的安全風險和存在的安全隱患,監(jiān)督指導下一級局解決發(fā)現(xiàn)的安全問題。
各省級局負責本單位網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作;形成安全產(chǎn)品運行管理報告,當月報告在下月的10日前上報_單位總部;分析安全風險和存在的安全隱患,解決發(fā)現(xiàn)的安全問題。
各地市級局負責本單位網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作;形成安全產(chǎn)品運行管理報告,當月報告在下月的5日前上報各省級局;分析所屬網(wǎng)絡中的安全風險和存在的安全隱患,解決發(fā)現(xiàn)的安全問題。
第二章 安全管理員職責
各級_單位機關必須按照《_單位系統(tǒng)網(wǎng)絡與信息安全管理崗位及其職責》的規(guī)定,設置安全管理員崗位和具體的執(zhí)行角色,負責安全產(chǎn)品的運行管理,根據(jù)各單位的具體情況,安全管理員崗位可以是安全管理員角色和安全審計員角色的組合,也可設置多個安全管理員崗位。
安全管理員在各_單位機關安全管理機構的領導下工作,負責管理_單位系統(tǒng)網(wǎng)絡信息安全防護體系部署的安全產(chǎn)品,主要職責是:
(1)根據(jù)業(yè)務需求和網(wǎng)絡安全威脅維護安全產(chǎn)品的安全策略,在必須修改策略時,經(jīng)領導和上級主管部門批準后實施;
(2)負責安全產(chǎn)品的日常維護管理,認真記錄維護日志;
(3)解決安全產(chǎn)品運行中出現(xiàn)的技術問題,及時排除故障;
(4)定期分析安全產(chǎn)品的系統(tǒng)日志和安全日志,檢查設備工作狀況,分析是否存在安全風險;
(5)發(fā)現(xiàn)重大安全問題或事件時,及時向領導報告,并按照應急預案進行應急處理;
(6)按照安全產(chǎn)品運行管理報告(見附件二)的內(nèi)容要求,提交安全產(chǎn)品的運行管理報告。
第三章 安全產(chǎn)品的管理
3.1日常維護管理
(1)安全管理員應每天進行安全設備巡檢;
(2)安全管理員必須對安全產(chǎn)品的策略進行備份保護,策略發(fā)生變更時,必須做好變更記錄并進行備份更新;
(3)定期備份與維護安全產(chǎn)品的系統(tǒng)日志和安全日志;
(4)在總部發(fā)布安全產(chǎn)品升級通知后,及時進行產(chǎn)品升級;
(5)安全產(chǎn)品的運行維護活動記入安全產(chǎn)品的維護工作日志。
3.2故障管理
安全管理員應每天在日常維護日志中,記錄安全產(chǎn)品的運行狀況或使用情況。在產(chǎn)品出現(xiàn)故障時,應及時與廠商聯(lián)系解決問題,并記錄故障現(xiàn)象與處理結(jié)果。
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《安全產(chǎn)品故障統(tǒng)計月表》。
《安全產(chǎn)品故障統(tǒng)計月表》根據(jù)日常維護記錄中安全產(chǎn)品的故障情況填寫。
產(chǎn)品類型包括:防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、終端桌面安全防護系統(tǒng)和安全審計系統(tǒng)。
內(nèi)容包括:
a.? 故障總數(shù)
b.? 主要故障描述
c.? 處理結(jié)果
3.3變更管理
總部對網(wǎng)絡與信息安全防護產(chǎn)品的配置位置和統(tǒng)配策略做了統(tǒng)一部署。為了保證安全防護體系的完整性和可控性,需要對網(wǎng)絡信息安全防護體系中配置的安全產(chǎn)品進行變更管理。
(1)總部統(tǒng)一配置的安全產(chǎn)品配置位置變更時必須經(jīng)總部批準;
(2)各級_單位單位負責本單位安全策略的制定,但總部統(tǒng)配安全策略的變更必須報總部批準。
(3)對批準實施的變更情況存檔并記入本單位《運行管理報告》中的變更情況說明,包括:
l? 變更的安全設備名稱、型號
l? 變更原因
l? 變更后的設備配置拓撲
l? 變更后的設備配置策略
3.4安全管理
3.4.1例行安全管理
安全管理員必須每天分析安全產(chǎn)品的系統(tǒng)日志和安全日志,在發(fā)現(xiàn)安全事件時,應及時報告。
以下各節(jié)描述對各類安全設備的例行安全管理活動。
3.4.1.1防火墻
(1)防火墻運行狀態(tài)監(jiān)測
安全管理員應每天監(jiān)測上下行防火墻和橫向防火墻運行狀態(tài)。
監(jiān)測的內(nèi)容:
a.系統(tǒng)負載(cpu狀態(tài))
b.系統(tǒng)資源(內(nèi)存狀態(tài))
c.防火墻端口狀態(tài)
d.網(wǎng)絡連接數(shù)
(2)防火墻安全事件分析
安全管理員應每天檢查防火墻的安全日志,分析安全事件。
安全事件分析內(nèi)容:
a. 攻擊事件描述
b. 攻擊時間
c. 攻擊類型
d. 攻擊源ip和受攻擊主機ip
e. 阻斷ip地址及相關端口
(3)防火墻安全事件月統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《防火墻安全事件統(tǒng)計月表》。
《防火墻安全事件統(tǒng)計月表》根據(jù)防火墻日志分析結(jié)果填寫。
安全事件統(tǒng)計內(nèi)容:
a.各種攻擊類型數(shù)量及百分比統(tǒng)計
b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計
(4)防火墻阻斷事件統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中《防火墻阻斷事件報告統(tǒng)計表》。
《防火墻阻斷事件報告統(tǒng)計表》根據(jù)安全審計系統(tǒng)中相應的防火墻日志分析結(jié)果填寫。
阻斷事件統(tǒng)計內(nèi)容:
a. 阻斷事件總數(shù)。
b. top 10阻斷ip地址。
c.top 10 阻斷端口。
3.4.1.2入侵檢測系統(tǒng)
(1)安全事件分析
安全管理員應每天分析入侵檢測系統(tǒng)記錄的安全事件。
安全事件分析內(nèi)容:
a. 攻擊事件描述
b. 攻擊時間
c. 攻擊類型
d. 攻擊源ip和受攻擊主機ip
(2)入侵檢測系統(tǒng)安全事件月統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》。
《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》根據(jù)入侵檢測日志分析結(jié)果填寫。
安全事件統(tǒng)計內(nèi)容:
a. top 10安全事件數(shù)量及百分比統(tǒng)計
b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計
3.4.1.3 防病毒系統(tǒng)
(1)防病毒系統(tǒng)運行管理監(jiān)測
安全管理員應進行防病毒系統(tǒng)運行管理監(jiān)測。
監(jiān)測內(nèi)容:
a.防病毒軟件升級信息
b.周病毒審計
c.周主機變化記錄
d.周策略維護
(2)病毒事件周分析
安全管理員應每周監(jiān)測病毒事件
監(jiān)測內(nèi)容:
a.病毒總量
b.多發(fā)病毒統(tǒng)計
c.多發(fā)病毒主機
(3)病毒事件月統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《病毒事件報告月表》。
《病毒事件報告月表》根據(jù)防病毒系統(tǒng)日志分析結(jié)果填寫。
安全事件統(tǒng)計內(nèi)容:
a.? 病毒總量
b.? 多發(fā)病毒統(tǒng)計
c.? 多發(fā)病毒主機
3.4.1.4漏洞掃描系統(tǒng)
(1)漏洞掃描系統(tǒng)管理監(jiān)控
安全管理員要嚴格管理好漏洞掃描系統(tǒng),未經(jīng)領導批準,不得擅自使用。
在使用漏洞掃描系統(tǒng)前應填寫《漏洞掃描系統(tǒng)使用申請》(見附件一),獲得領導批準后方能使用。
申請內(nèi)容:漏洞掃描系統(tǒng)的掃描地址范圍。
安全管理員在日常維護日志中記錄使用漏洞掃描系統(tǒng)的情況。
對發(fā)現(xiàn)的重要業(yè)務服務器的安全漏洞,必須在報告總部后,根據(jù)總部組織的專家咨詢意見,獲得領導批準后才能打補丁。
(2)漏洞管理月統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《漏洞管理月報告》。
《漏洞管理報告》根據(jù)漏洞掃描系統(tǒng)掃描數(shù)據(jù)分析與處理結(jié)果填寫。
漏洞管理內(nèi)容:
a.主要應用系統(tǒng)的相關信息及漏洞分布情況
b.根據(jù)漏洞進行配置調(diào)整與補丁安裝情況
3.4.1.5終端桌面安全防護系統(tǒng)
(1)安全事件分析
安全管理員應每天分析終端桌面安全防護系統(tǒng)的安全事件。
安全事件分析內(nèi)容:
a. 高危險級別事件名稱。
b. 高危險級別事件發(fā)生時間。
c. 高危險級別事件詳細內(nèi)容和發(fā)生原因。
d. 發(fā)生高危險級別事件的主機信息。
(2)終端桌面安全防護系統(tǒng)月統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《桌面安全防護系統(tǒng)事件月報告》。
《桌面安全防護系統(tǒng)事件月報告》根據(jù)桌面安全防護系統(tǒng)的相應查詢功能和安全審計系統(tǒng)中桌面安全防護系統(tǒng)的相關日志分析結(jié)果填寫。
終端桌面安全防護系統(tǒng)管理內(nèi)容:
a.資產(chǎn)信息統(tǒng)計
b. 安全事件總數(shù),高危險級別事件數(shù)量,中危險級別事件數(shù)量。
c.top 10 高危險級別事件。
d.top 10 高危險級別ip地址.
3.4.1.6安全審計系統(tǒng)
(1)安全事件分析
安全管理員應每天分析安全審計系統(tǒng)收集和處理的安全事件日志信息。
安全事件分析內(nèi)容:
a. windows主機產(chǎn)生的高危險級別事件信息。
b.windows主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。
c.windows主機產(chǎn)生的高危險級別事件所屬主機信息。
d. uni_主機產(chǎn)生的高危險級別事件信息。
e.uni_主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。
f.uni_主機產(chǎn)生的高危險級別事件所屬主機信息。
g. 網(wǎng)絡設備產(chǎn)生的高危險級別事件信息。
h.網(wǎng)絡設備產(chǎn)生的高危險級別事件產(chǎn)生的時間。
i.網(wǎng)絡設備產(chǎn)生的高危險級別事件所屬主機信息。
(2)安全審計系統(tǒng)月統(tǒng)計
安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《安全審計管理月報告》。共包括如下四個報告:《安全審計系統(tǒng)審計源及日志統(tǒng)計》、《windows主機事件報告統(tǒng)計》、《uni_主機事件報告統(tǒng)計》、《網(wǎng)絡設備事件報告統(tǒng)計》。
《安全審計管理月報告》根據(jù)安全審計系統(tǒng)收集的日志結(jié)果填寫。
安全審計管理內(nèi)容:
1、安全審計系統(tǒng)審計源及日志統(tǒng)計
a.日志源日志源數(shù)量統(tǒng)計
b.日志分級數(shù)量統(tǒng)計
2、windows主機事件報告統(tǒng)計
a. 產(chǎn)生事件總數(shù),高危險級別數(shù)量。
b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址
3、uni_主機事件報告統(tǒng)計
a. 產(chǎn)生事件總數(shù),高危險級別數(shù)量。
b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址
4、網(wǎng)絡設備事件報告統(tǒng)計
a. 產(chǎn)生事件總數(shù),高危險級別數(shù)量。
b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址
3.4.2應急安全管理
在發(fā)現(xiàn)安全系統(tǒng)出現(xiàn)《_單位系統(tǒng)重大網(wǎng)絡與信息安全事件報告制度》中定義的重大安全事件時,按文件規(guī)定的流程進行處理和上報,如果與相應的安全產(chǎn)品關聯(lián),應同時記錄相關情況。
第3篇 信息安全管理辦法
第一章??? 總則
第一條 為加強邵陽市農(nóng)村商業(yè)銀行(以下簡稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理,防范和化解信息系統(tǒng)的運行風險,杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定,結(jié)合我農(nóng)商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人,包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工,包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結(jié)合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。
第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組,領導小組辦公室設農(nóng)商行科技信息部,負責協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設立信息安全崗位,配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農(nóng)商行信息安全管理工作進行指導和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應的信息安全保障職責??萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門,設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組,設立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。 (三)檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位,必須進行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員,并報農(nóng)商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作: (一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對本部門的信息安全檢查工作。
第三節(jié) 技術支持人員
第二十條 本辦法所稱技術支持人員,是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。 第二十一條 農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中,應承擔如下安全義務: (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。 (二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同(協(xié)議)的各項安全承諾。提供技術服務期間,嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程,關鍵操作應經(jīng)授權,并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù),不得對外泄露或引用任何工作信息。
第四節(jié) 業(yè)務系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。 第二十四條 業(yè)務系統(tǒng)操作人員應承擔如下安全義務: (一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。 (三)不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件,不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。 第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。
第五節(jié) 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務: (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。 (三)未經(jīng)科技信息部檢測和授權,不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查,技術部門進行業(yè)務技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權”原則,嚴格設定各用戶的操作權限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位,必須進行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責任
(一)負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
(二)嚴格用戶權限管理,維護系統(tǒng)安全正常運行;
(三)認真記錄系統(tǒng)安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責任
(一)系統(tǒng)開發(fā)建設中,應嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
(二)系統(tǒng)投產(chǎn)運行前,應完整移交系統(tǒng)源代碼和相關涉密資料;
(三)不得對系統(tǒng)設置后門;
(四)對系統(tǒng)核心技術保密。
第三十七條 系統(tǒng)維護員安全責任
(一)負責系統(tǒng)維護,及時解除系統(tǒng)故障,確保系統(tǒng)正常運行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關的其他計算機程序;
(四)維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。
第四章 機房環(huán)境和設備資產(chǎn)管理
第一節(jié) 機房環(huán)境安全管理
第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第四十條 農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定,滿足下列基本安全要求:
(一)機房周圍100米內(nèi)不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。
(三)機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。
(四)機房應設專用的供電系統(tǒng),配備必要的ups和發(fā)電機。
第四十二條 機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時,由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。
第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控,生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控,輔助區(qū)實施聯(lián)動監(jiān)控。
第四十五條 監(jiān)控設備的安裝應符合安全保密原則,確保監(jiān)控的安全規(guī)范運作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控,通過技術和管理手段,確保計算機機房及配套設施安全。 第四十七條 農(nóng)商行機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收,并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發(fā)現(xiàn)問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調(diào)閱。
第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準,并辦理登記手續(xù),由專人陪同。
第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。
第五十二條 向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個月。
第二節(jié) 設備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計算機設備登記辦法,嚴格資產(chǎn)管理,明確計算機設備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡安全管理
第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理
第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源(網(wǎng)絡設備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案,投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求,使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段,有效降低外部攻擊、信息泄漏等風險,保障網(wǎng)絡傳輸與應用安全。 (二)具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 (三)根據(jù)信息安全級別,將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡運行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法,配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況,管理網(wǎng)絡資源及其配置信息,建立健全網(wǎng)絡運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。
(一)負責網(wǎng)絡的運行管理,實施網(wǎng)絡安全策略和安全運行細則;
(二)安全配置網(wǎng)絡參數(shù),嚴格控制網(wǎng)絡用戶訪問權限,維護網(wǎng)絡安全正常運行;
(三)監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。
第六十條 網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。
第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前,接入方案、設備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領導批準,有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權,任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。 第六十五條 農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則,合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準,任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接,應采用必要的技術隔離保護措施,對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序??萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng),并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定,不得從事任何違法違規(guī)活動。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項
第七十四條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題,建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容: (一)業(yè)務需求部門提出的安全需求。 (二)安全需求分析和實現(xiàn)。 (三)運行平臺的安全策略與設計。
第七十五條 信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術手段,建立嚴密的安全管理控制機制,保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復制;
(二)提供完整的數(shù)據(jù)備份和恢復功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權,特別應嚴格限制和分流特權用戶的權限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應設置審計監(jiān)控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。
第七十六條 農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求進行安全設計,保證安全功能的完整、準確實現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運行
第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。
(三)信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定,報科技信息部備案。
第八十三條 信息系統(tǒng)投入運行前,應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請,并報送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構及軟硬件配置等基本情況;
(二)關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明;
(三)系統(tǒng)安全性測試提綱和測試報告;
(四)信息系統(tǒng)安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組,對信息系統(tǒng)進行安全性測試、認證。
第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實現(xiàn)程度;
(四)系統(tǒng)運行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告,并出具信息系統(tǒng)安全評估和審批報告書。
第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。
(四)及時安裝正式發(fā)布的系統(tǒng)補丁,修補系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護員),具體負責信息系統(tǒng)的日常運行管理,監(jiān)測系統(tǒng)運行日志,掌握系統(tǒng)運行狀況,并建立重要信息系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務操作人員,不得安裝與系統(tǒng)無關的其他計算機程序;維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第九十條 系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的,應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。
第九十一條 未經(jīng)業(yè)務主管部門領導書面批準,其他任何人不得擅自使用業(yè)務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù),不得擅自改變用戶權限。
第四節(jié) 業(yè)務操作
第九十二條 業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定,科技信息部根據(jù)-授權進行相關設定操作。 第九十三條 業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。 第九十四條 業(yè)務操作人員應設置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng),業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準,不得代崗、兼崗。 第九十六條 業(yè)務操作人員離開操作用機時,應按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備,包括臺式個人計算機(pc)、便攜式計算機、柜員終端、自動柜員機(atm)、存折打印機、讀卡器、銷售終端(pos)和個人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法,記錄所有客戶端設備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶,應嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務,是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準,省聯(lián)社信息科技部應進行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。
第一百一十三條? 農(nóng)商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。
第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作,適時進行業(yè)務數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務,并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術文檔
第一百二十一條 本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔,嚴格管理,并實行借閱登記辦法。未經(jīng)科技信息部領導批準,任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。
第三節(jié) 存儲介質(zhì)
第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識,統(tǒng)一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設備(u盤、移動硬盤等)管理辦法,加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用,禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法,對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次??诹蠲艽a的強度應滿足不同安全性要求,不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。
第五節(jié) 密碼技術應用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批,農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進行未授權的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。
第一百四十條 信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議,協(xié)議應明確約定外包服務商的安全義務。
第一百四十一條 經(jīng)本單位科技信息部領導批準,外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 災難備份與應急管理
第一節(jié) 災難備份管理
第一百四十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求,明確可容忍的業(yè)務中斷時間(恢復時間目標rto)和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。
第二節(jié) 應急管理
第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略,同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容: (一)總則(目標、原則、適用范圍、預案調(diào)用關系等)。 (二)應急組織機構。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關人員應注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領導。
第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告,其他任何單位或個人不得向社會發(fā)布應急事件公告。
第十二章 安全檢查評估與培訓
第一節(jié) 監(jiān)測檢查
第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法,報送本單位信息安全工作領導小組和上一級科技信息部,抄送相關業(yè)務部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關部門。
第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節(jié) 評估審計
第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。
第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結(jié)束后,形成評估報告,提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農(nóng)商行如聘請第三方機構進行安全評估,報省聯(lián)社信息科技部批準,并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告,未經(jīng)授權不得對外透露評估信息。
第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定,確保測評有效和測評安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理,并完整保留相關日志記錄。
第三節(jié) 安全培訓
第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓,不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。
第十三章 獎勵與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評,對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關法律法規(guī),追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。
?
第一章??? 總則
第一條 為加強邵陽市農(nóng)村商業(yè)銀行(以下簡稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理,防范和化解信息系統(tǒng)的運行風險,杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定,結(jié)合我農(nóng)商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人,包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工,包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結(jié)合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。
第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組,領導小組辦公室設農(nóng)商行科技信息部,負責協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設立信息安全崗位,配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農(nóng)商行信息安全管理工作進行指導和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應的信息安全保障職責??萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門,設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組,設立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。 (三)檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位,必須進行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員,并報農(nóng)商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作: (一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對本部門的信息安全檢查工作。
第三節(jié) 技術支持人員
第二十條 本辦法所稱技術支持人員,是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。 第二十一條 農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中,應承擔如下安全義務: (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。 (二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同(協(xié)議)的各項安全承諾。提供技術服務期間,嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程,關鍵操作應經(jīng)授權,并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù),不得對外泄露或引用任何工作信息。
第四節(jié) 業(yè)務系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。 第二十四條 業(yè)務系統(tǒng)操作人員應承擔如下安全義務: (一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。 (三)不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件,不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。 第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。
第五節(jié) 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務: (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。 (三)未經(jīng)科技信息部檢測和授權,不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查,技術部門進行業(yè)務技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權”原則,嚴格設定各用戶的操作權限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位,必須進行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責任
(一)負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
(二)嚴格用戶權限管理,維護系統(tǒng)安全正常運行;
(三)認真記錄系統(tǒng)安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責任
(一)系統(tǒng)開發(fā)建設中,應嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
(二)系統(tǒng)投產(chǎn)運行前,應完整移交系統(tǒng)源代碼和相關涉密資料;
(三)不得對系統(tǒng)設置后門;
(四)對系統(tǒng)核心技術保密。
第三十七條 系統(tǒng)維護員安全責任
(一)負責系統(tǒng)維護,及時解除系統(tǒng)故障,確保系統(tǒng)正常運行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關的其他計算機程序;
(四)維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。
第四章 機房環(huán)境和設備資產(chǎn)管理
第一節(jié) 機房環(huán)境安全管理
第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第四十條 農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定,滿足下列基本安全要求:
(一)機房周圍100米內(nèi)不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。
(三)機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。
(四)機房應設專用的供電系統(tǒng),配備必要的ups和發(fā)電機。
第四十二條 機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時,由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。
第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控,生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控,輔助區(qū)實施聯(lián)動監(jiān)控。
第四十五條 監(jiān)控設備的安裝應符合安全保密原則,確保監(jiān)控的安全規(guī)范運作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控,通過技術和管理手段,確保計算機機房及配套設施安全。 第四十七條 農(nóng)商行機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收,并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發(fā)現(xiàn)問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調(diào)閱。
第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準,并辦理登記手續(xù),由專人陪同。
第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。
第五十二條 向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個月。
第二節(jié) 設備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計算機設備登記辦法,嚴格資產(chǎn)管理,明確計算機設備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡安全管理
第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理
第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源(網(wǎng)絡設備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案,投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求,使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段,有效降低外部攻擊、信息泄漏等風險,保障網(wǎng)絡傳輸與應用安全。 (二)具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 (三)根據(jù)信息安全級別,將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡運行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法,配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況,管理網(wǎng)絡資源及其配置信息,建立健全網(wǎng)絡運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。
(一)負責網(wǎng)絡的運行管理,實施網(wǎng)絡安全策略和安全運行細則;
(二)安全配置網(wǎng)絡參數(shù),嚴格控制網(wǎng)絡用戶訪問權限,維護網(wǎng)絡安全正常運行;
(三)監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。
第六十條 網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。
第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前,接入方案、設備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領導批準,有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權,任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。 第六十五條 農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則,合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準,任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接,應采用必要的技術隔離保護措施,對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序??萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng),并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定,不得從事任何違法違規(guī)活動。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項
第七十四條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題,建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容: (一)業(yè)務需求部門提出的安全需求。 (二)安全需求分析和實現(xiàn)。 (三)運行平臺的安全策略與設計。
第七十五條 信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術手段,建立嚴密的安全管理控制機制,保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復制;
(二)提供完整的數(shù)據(jù)備份和恢復功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權,特別應嚴格限制和分流特權用戶的權限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應設置審計監(jiān)控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。
第七十六條 農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求進行安全設計,保證安全功能的完整、準確實現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運行
第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。
(三)信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定,報科技信息部備案。
第八十三條 信息系統(tǒng)投入運行前,應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請,并報送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構及軟硬件配置等基本情況;
(二)關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明;
(三)系統(tǒng)安全性測試提綱和測試報告;
(四)信息系統(tǒng)安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組,對信息系統(tǒng)進行安全性測試、認證。
第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實現(xiàn)程度;
(四)系統(tǒng)運行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告,并出具信息系統(tǒng)安全評估和審批報告書。
第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。
(四)及時安裝正式發(fā)布的系統(tǒng)補丁,修補系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護員),具體負責信息系統(tǒng)的日常運行管理,監(jiān)測系統(tǒng)運行日志,掌握系統(tǒng)運行狀況,并建立重要信息系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務操作人員,不得安裝與系統(tǒng)無關的其他計算機程序;維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第九十條 系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的,應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。
第九十一條 未經(jīng)業(yè)務主管部門領導書面批準,其他任何人不得擅自使用業(yè)務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù),不得擅自改變用戶權限。
第四節(jié) 業(yè)務操作
第九十二條 業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定,科技信息部根據(jù)-授權進行相關設定操作。 第九十三條 業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。 第九十四條 業(yè)務操作人員應設置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng),業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準,不得代崗、兼崗。 第九十六條 業(yè)務操作人員離開操作用機時,應按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備,包括臺式個人計算機(pc)、便攜式計算機、柜員終端、自動柜員機(atm)、存折打印機、讀卡器、銷售終端(pos)和個人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法,記錄所有客戶端設備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶,應嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務,是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準,省聯(lián)社信息科技部應進行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。
第一百一十三條?農(nóng)商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。
第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作,適時進行業(yè)務數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務,并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術文檔
第一百二十一條 本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔,嚴格管理,并實行借閱登記辦法。未經(jīng)科技信息部領導批準,任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。
第三節(jié) 存儲介質(zhì)
第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識,統(tǒng)一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設備(u盤、移動硬盤等)管理辦法,加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用,禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法,對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求,不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。
第五節(jié) 密碼技術應用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批,農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進行未授權的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。
第一百四十條 信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議,協(xié)議應明確約定外包服務商的安全義務。
第一百四十一條 經(jīng)本單位科技信息部領導批準,外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 災難備份與應急管理
第一節(jié) 災難備份管理
第一百四十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求,明確可容忍的業(yè)務中斷時間(恢復時間目標rto)和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。
第二節(jié) 應急管理
第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略,同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容: (一)總則(目標、原則、適用范圍、預案調(diào)用關系等)。 (二)應急組織機構。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關人員應注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領導。
第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告,其他任何單位或個人不得向社會發(fā)布應急事件公告。
第十二章 安全檢查評估與培訓
第一節(jié) 監(jiān)測檢查
第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法,報送本單位信息安全工作領導小組和上一級科技信息部,抄送相關業(yè)務部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關部門。
第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節(jié) 評估審計
第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。
第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結(jié)束后,形成評估報告,提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農(nóng)商行如聘請第三方機構進行安全評估,報省聯(lián)社信息科技部批準,并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告,未經(jīng)授權不得對外透露評估信息。
第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定,確保測評有效和測評安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理,并完整保留相關日志記錄。
第三節(jié) 安全培訓
第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓,不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。
第十三章 獎勵與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評,對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關法律法規(guī),追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。
第4篇 信息安全等級保護管理辦法
第一章 總則
第一條
為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī),制定本辦法。
第二條
國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。
第三條
公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協(xié)調(diào)。
第四條
信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范,督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。
第五條
信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范,履行信息安全等級保護的義務和責任。
第二章 等級劃分與保護
第六條
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
第七條
信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。
第八條
信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護,國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。
第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。
第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。
第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。
第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。
第三章 等級保護的實施與管理
第九條
信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。
第十條
信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應當經(jīng)主管部門審核批準。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十一條
信息系統(tǒng)的安全保護等級確定后,運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準,使用符合國家有關規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品,開展信息系統(tǒng)安全建設或者改建工作。
第十二條
在信息系統(tǒng)建設過程中,運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(gb17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統(tǒng)通用安全技術要求》(gb/t20271-2006)、《信息安全技術 網(wǎng)絡基礎安全技術要求》(gb/t20270-2006)、《信息安全技術 操作系統(tǒng)安全技術要求》(gb/t20272-2006)、《信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求》(gb/t20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》(ga/t671-2006)等技術標準同步建設符合該等級要求的信息安全設施。
第十三條
運營、使用單位應當參照《信息安全技術 信息系統(tǒng)安全管理要求》(gb/t20269-2006)、《信息安全技術 信息系統(tǒng)安全工程管理要求》(gb/t20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。
第十四條
信息系統(tǒng)建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構,依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評,第四級信息系統(tǒng)應當每半年至少進行一次等級測評,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。
信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查,第四級信息系統(tǒng)應當每半年至少進行一次自查,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條
已運營(運行)的第二級以上信息系統(tǒng),應當在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應當在投入運行后30日內(nèi),由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng),應當向當?shù)卦O區(qū)的市級以上公安機關備案。
第十六條
辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應當填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應當同時提供以下材料:
(一)系統(tǒng)拓撲結(jié)構及說明;
(二)系統(tǒng)安全組織機構和管理制度;
(三)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告;
(六)信息系統(tǒng)安全保護等級專家評審意見;
(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。
第十七條
信息系統(tǒng)備案后,公安機關應當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應當按照本辦法向公安機關重新備案。
第十八條
受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應當會同其主管部門進行。
對第五級信息系統(tǒng),應當由國家指定的專門部門進行檢查。
公安機關、國家指定的專門部門應當對下列事項進行檢查:
(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;
(二) 運營、使用單位安全管理制度、措施的落實情況;
(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;
(四) 系統(tǒng)安全等級測評是否符合要求;
(五) 信息安全產(chǎn)品使用是否符合要求;
(六) 信息系統(tǒng)安全整改情況;
(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;
(八) 其他應當進行監(jiān)督檢查的事項。
第十九條
信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導,如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件:
(一) 信息系統(tǒng)備案事項變更情況;
(二) 安全組織、人員的變動情況;
(三) 信息安全管理制度、措施變更情況;
(四) 信息系統(tǒng)運行狀況記錄;
(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六) 對信息系統(tǒng)開展等級測評的技術測評報告;
(七) 信息安全產(chǎn)品使用的變更情況;
(八) 信息安全事件應急預案,信息安全事件應急處置結(jié)果報告;
(九) 信息系統(tǒng)安全建設、整改結(jié)果報告。
第二十條
公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的,應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求,按照管理規(guī)范和技術標準進行整改。整改完成后,應當將整改報告向公安機關備案。必要時,公安機關可以對整改情況組織檢查。
第二十一條
第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權;
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構成危害;
(六)對已列入信息安全產(chǎn)品認證目錄的,應當取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書。
第二十二條
第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構進行測評:
(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三) 從事相關檢測評估工作兩年以上,無違法記錄;
(四) 工作人員僅限于中國公民;
(五) 法人及主要業(yè)務、技術人員無犯罪記錄;
(六) 使用的技術裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求;
(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度;
(八) 對國家安全、社會秩序、公共利益不構成威脅。
第二十三條
從事信息系統(tǒng)安全等級測評的機構,應當履行下列義務:
(一)遵守國家有關法律法規(guī)和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規(guī)定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第四章 涉密信息系統(tǒng)的分級保護管理
第二十四條
涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準,結(jié)合系統(tǒng)實際情況進行保護。
非涉密信息系統(tǒng)不得處理國家秘密信息。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。
涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準bmb17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。
保密工作部門和機構應當監(jiān)督指導涉密信息系統(tǒng)建設使用單位準確、合理地進行系統(tǒng)定級。
第二十六條
涉密信息系統(tǒng)建設使用單位應當將涉密信息系統(tǒng)定級和建設使用情況,及時上報業(yè)務主管部門的保密工作機構和負責系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導。
第二十七條
涉密信息系統(tǒng)建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設計與實施。
涉密信息系統(tǒng)建設使用單位應當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術標準,按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品,并應當通過國家保密局授權的檢測機構依據(jù)有關國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設使用單位在系統(tǒng)工程實施結(jié)束后,應當向保密工作部門提出申請,由國家保密局授權的系統(tǒng)測評機構依據(jù)國家保密標準bmb22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。
涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前,應當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設使用單位在按照分級保護要求完成系統(tǒng)整改后,應當向保密工作部門備案。
第三十條
涉密信息系統(tǒng)建設使用單位在申請系統(tǒng)審批或者備案時,應當提交以下材料:
(一)系統(tǒng)設計、實施方案及審查論證意見;
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設和工程監(jiān)理情況報告;
(四)系統(tǒng)安全保密檢測評估報告;
(五)系統(tǒng)安全保密組織機構和管理制度情況;
(六)其他有關材料。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據(jù)實際情況,決定是否對其重新進行測評和審批。
第三十二條
涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準bmb20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:
(一)指導、監(jiān)督和檢查分級保護工作的開展;
(二)指導涉密信息系統(tǒng)建設使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;
(三)參與涉密信息系統(tǒng)分級保護方案論證,指導建設使用單位做好保密設施的同步規(guī)劃設計;
(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;
(五)嚴格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設使用單位分級保護管理制度和技術措施的落實情況;
(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;
(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章 信息安全等級保護的密碼管理
第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則。
信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規(guī)定和相關標準。
第三十五條
信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應當嚴格執(zhí)行國家密碼管理的有關規(guī)定。
第三十六條
信息系統(tǒng)運營、使用單位應當充分運用密碼技術對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應報經(jīng)國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規(guī)定和相關標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準,其密碼的配備使用情況應當向國家密碼管理機構備案。
第三十七條
運用密碼技術對信息系統(tǒng)進行系統(tǒng)等級保護建設和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規(guī)定進行處置。
第六章 法律責任
第四十條
第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結(jié)果:
(一) 未按本辦法規(guī)定備案、審批的;
(二) 未按本辦法規(guī)定落實安全管理制度、措施的;
(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術測評的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構的;
(七) 未按本辦法規(guī)定如實提供有關文件和證明材料的;
(八) 違反保密管理規(guī)定的;
(九) 違反密碼管理規(guī)定的;
(十) 違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴重損害的,由相關部門依照有關法律、法規(guī)予以處理。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。
第七章 附則
第四十二條
已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。
第四十三條
本辦法所稱“以上”包含本數(shù)(級)。
第四十四條
本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。