第1篇 信息安全管理办法
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第2篇 信息安全防护体系运行管理办法
第一章 总则
1.1目的
根据《x单位系统网络与信息安全总体方案》和《x单位系统网络与信息安全管理岗位及其职责》,为进一步规范x单位系统网络信息安全防护体系配置的安全产品的运行管理工作,提高x单位系统信息安全管理水平,保证安全产品的有效性,特制定本办法。
1.2 适用范围
《运行管理办法》适用于x单位总部、各省级局和地市级局对x单位系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行管理。
x单位总部、各省级局和地市级局对所配置的其它同类安全产品的运行管理参照本办法执行。
1.3管理职责
x单位总部负责总部网络中部署的安全产品的运行管理工作;并负责汇总各省级局上报的安全产品运行管理报告;分析安全风险和存在的安全隐患,形成报表,监督指导各省级局解决发现的安全问题。
各省级局负责本单位网络中部署的安全产品的运行管理工作;负责汇总各地市级局上报的安全产品运行管理报告,形成本省范围内的安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析所辖区域内的安全风险和存在的安全隐患,监督指导下一级局解决发现的安全问题。
各省级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析安全风险和存在的安全隐患,解决发现的安全问题。
各地市级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的5日前上报各省级局;分析所属网络中的安全风险和存在的安全隐患,解决发现的安全问题。
第二章 安全管理员职责
各级x单位机关必须按照《x单位系统网络与信息安全管理岗位及其职责》的规定,设置安全管理员岗位和具体的执行角色,负责安全产品的运行管理,根据各单位的具体情况,安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,也可设置多个安全管理员岗位。
安全管理员在各x单位机关安全管理机构的领导下工作,负责管理x单位系统网络信息安全防护体系部署的安全产品,主要职责是:
(1)根据业务需求和网络安全威胁维护安全产品的安全策略,在必须修改策略时,经领导和上级主管部门批准后实施;
(2)负责安全产品的日常维护管理,认真记录维护日志;
(3)解决安全产品运行中出现的技术问题,及时排除故障;
(4)定期分析安全产品的系统日志和安全日志,检查设备工作状况,分析是否存在安全风险;
(5)发现重大安全问题或事件时,及时向领导报告,并按照应急预案进行应急处理;
(6)按照安全产品运行管理报告(见附件二)的内容要求,提交安全产品的运行管理报告。
第三章 安全产品的管理
3.1日常维护管理
(1)安全管理员应每天进行安全设备巡检;
(2)安全管理员必须对安全产品的策略进行备份保护,策略发生变更时,必须做好变更记录并进行备份更新;
(3)定期备份与维护安全产品的系统日志和安全日志;
(4)在总部发布安全产品升级通知后,及时进行产品升级;
(5)安全产品的运行维护活动记入安全产品的维护工作日志。
3.2故障管理
安全管理员应每天在日常维护日志中,记录安全产品的运行状况或使用情况。在产品出现故障时,应及时与厂商联系解决问题,并记录故障现象与处理结果。
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《安全产品故障统计月表》。
《安全产品故障统计月表》根据日常维护记录中安全产品的故障情况填写。
产品类型包括:防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。
内容包括:
a. 故障总数
b. 主要故障描述
c. 处理结果
3.3变更管理
总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。为了保证安全防护体系的完整性和可控性,需要对网络信息安全防护体系中配置的安全产品进行变更管理。
(1)总部统一配置的安全产品配置位置变更时必须经总部批准;
(2)各级x单位单位负责本单位安全策略的制定,但总部统配安全策略的变更必须报总部批准。
(3)对批准实施的变更情况存档并记入本单位《运行管理报告》中的变更情况说明,包括:
l 变更的安全设备名称、型号
l 变更原因
l 变更后的设备配置拓扑
l 变更后的设备配置策略
3.4安全管理
3.4.1例行安全管理
安全管理员必须每天分析安全产品的系统日志和安全日志,在发现安全事件时,应及时报告。
以下各节描述对各类安全设备的例行安全管理活动。
3.4.1.1防火墙
(1)防火墙运行状态监测
安全管理员应每天监测上下行防火墙和横向防火墙运行状态。
监测的内容:
a.系统负载(cpu状态)
b.系统资源(内存状态)
c.防火墙端口状态
d.网络连接数
(2)防火墙安全事件分析
安全管理员应每天检查防火墙的安全日志,分析安全事件。
安全事件分析内容:
a. 攻击事件描述
b. 攻击时间
c. 攻击类型
d. 攻击源ip和受攻击主机ip
e. 阻断ip地址及相关端口
(3)防火墙安全事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《防火墙安全事件统计月表》。
《防火墙安全事件统计月表》根据防火墙日志分析结果填写。
安全事件统计内容:
a.各种攻击类型数量及百分比统计
b.top 10攻击源ip与受攻击主机ip统计
(4)防火墙阻断事件统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中《防火墙阻断事件报告统计表》。
《防火墙阻断事件报告统计表》根据安全审计系统中相应的防火墙日志分析结果填写。
阻断事件统计内容:
a. 阻断事件总数。
b. top 10阻断ip地址。
c.top 10 阻断端口。
3.4.1.2入侵检测系统
(1)安全事件分析
安全管理员应每天分析入侵检测系统记录的安全事件。
安全事件分析内容:
a. 攻击事件描述
b. 攻击时间
c. 攻击类型
d. 攻击源ip和受攻击主机ip
(2)入侵检测系统安全事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《入侵检测系统安全事件统计月表》。
《入侵检测系统安全事件统计月表》根据入侵检测日志分析结果填写。
安全事件统计内容:
a. top 10安全事件数量及百分比统计
b.top 10攻击源ip与受攻击主机ip统计
3.4.1.3 防病毒系统
(1)防病毒系统运行管理监测
安全管理员应进行防病毒系统运行管理监测。
监测内容:
a.防病毒软件升级信息
b.周病毒审计
c.周主机变化记录
d.周策略维护
(2)病毒事件周分析
安全管理员应每周监测病毒事件
监测内容:
a.病毒总量
b.多发病毒统计
c.多发病毒主机
(3)病毒事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《病毒事件报告月表》。
《病毒事件报告月表》根据防病毒系统日志分析结果填写。
安全事件统计内容:
a. 病毒总量
b. 多发病毒统计
c. 多发病毒主机
3.4.1.4漏洞扫描系统
(1)漏洞扫描系统管理监控
安全管理员要严格管理好漏洞扫描系统,未经领导批准,不得擅自使用。
在使用漏洞扫描系统前应填写《漏洞扫描系统使用申请》(见附件一),获得领导批准后方能使用。
申请内容:漏洞扫描系统的扫描地址范围。
安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。
对发现的重要业务服务器的安全漏洞,必须在报告总部后,根据总部组织的专家咨询意见,获得领导批准后才能打补丁。
(2)漏洞管理月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《漏洞管理月报告》。
《漏洞管理报告》根据漏洞扫描系统扫描数据分析与处理结果填写。
漏洞管理内容:
a.主要应用系统的相关信息及漏洞分布情况
b.根据漏洞进行配置调整与补丁安装情况
3.4.1.5终端桌面安全防护系统
(1)安全事件分析
安全管理员应每天分析终端桌面安全防护系统的安全事件。
安全事件分析内容:
a. 高危险级别事件名称。
b. 高危险级别事件发生时间。
c. 高危险级别事件详细内容和发生原因。
d. 发生高危险级别事件的主机信息。
(2)终端桌面安全防护系统月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《桌面安全防护系统事件月报告》。
《桌面安全防护系统事件月报告》根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。
终端桌面安全防护系统管理内容:
a.资产信息统计
b. 安全事件总数,高危险级别事件数量,中危险级别事件数量。
c.top 10 高危险级别事件。
d.top 10 高危险级别ip地址.
3.4.1.6安全审计系统
(1)安全事件分析
安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。
安全事件分析内容:
a. windows主机产生的高危险级别事件信息。
b.windows主机产生的高危险级别事件产生的时间。
c.windows主机产生的高危险级别事件所属主机信息。
d. unix主机产生的高危险级别事件信息。
e.unix主机产生的高危险级别事件产生的时间。
f.unix主机产生的高危险级别事件所属主机信息。
g. 网络设备产生的高危险级别事件信息。
h.网络设备产生的高危险级别事件产生的时间。
i.网络设备产生的高危险级别事件所属主机信息。
(2)安全审计系统月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《安全审计管理月报告》。共包括如下四个报告:《安全审计系统审计源及日志统计》、《windows主机事件报告统计》、《unix主机事件报告统计》、《网络设备事件报告统计》。
《安全审计管理月报告》根据安全审计系统收集的日志结果填写。
安全审计管理内容:
1、安全审计系统审计源及日志统计
a.日志源日志源数量统计
b.日志分级数量统计
2、windows主机事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
3、unix主机事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
4、网络设备事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
3.4.2应急安全管理
在发现安全系统出现《x单位系统重大网络与信息安全事件报告制度》中定义的重大安全事件时,按文件规定的流程进行处理和上报,如果与相应的安全产品关联,应同时记录相关情况。
第3篇 信息安全等级保护管理办法
第一章 总则
第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条
信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(gb17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(gb/t20271-2006)、《信息安全技术 网络基础安全技术要求》(gb/t20270-2006)、《信息安全技术 操作系统安全技术要求》(gb/t20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(gb/t20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(ga/t671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(gb/t20269-2006)、《信息安全技术 信息系统安全工程管理要求》(gb/t20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;
(二) 运营、使用单位安全管理制度、措施的落实情况;
(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四) 系统安全等级测评是否符合要求;
(五) 信息安全产品使用是否符合要求;
(六) 信息系统安全整改情况;
(七) 备案材料与运营、使用单位、信息系统的符合情况;
(八) 其他应当进行监督检查的事项。
第十九条
信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一) 信息系统备案事项变更情况;
(二) 安全组织、人员的变动情况;
(三) 信息安全管理制度、措施变更情况;
(四) 信息系统运行状况记录;
(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六) 对信息系统开展等级测评的技术测评报告;
(七) 信息安全产品使用的变更情况;
(八) 信息安全事件应急预案,信息安全事件应急处置结果报告;
(九) 信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一) 在中华人民共和国境内注册成立(港澳台地区除外);
(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三) 从事相关检测评估工作两年以上,无违法记录;
(四) 工作人员仅限于中国公民;
(五) 法人及主要业务、技术人员无犯罪记录;
(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八) 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准bmb17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准bmb22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条
涉密信息系统建设使用单位应当依据国家保密标准bmb20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一) 未按本办法规定备案、审批的;
(二) 未按本办法规定落实安全管理制度、措施的;
(三) 未按本办法规定开展系统安全状况检查的;
(四) 未按本办法规定开展系统安全技术测评的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本办法规定选择使用信息安全产品和测评机构的;
(七) 未按本办法规定如实提供有关文件和证明材料的;
(八) 违反保密管理规定的;
(九) 违反密码管理规定的;
(十) 违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条
本办法所称“以上”包含本数(级)。
第四十四条
本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
第4篇 信息安全奖惩管理办法
1.目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。
2.适用范围
本规范适用于深圳市**公司 (后续简称为公司)。
3.定义
序号
角色
职责
001
信息安全事件
指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。
002
信息安全活动
为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。
4.职责与权限
序号
角色
职责
001
员工
遵守公司信息安全管理制度,积极配合、参与信息安全活动。
002
各部门信息安全接口人
协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。
003
部门主管
是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。
004
部门经理
作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。
005
部门副总
对所负责部门的信息安全事件负相应的管理责任。
006
it部信息安全组
对信息安全事件进行跟踪处理,并确定事件责任人。
007
董事会秘书
审核信息安全事件处理报告。
008
总经理
最终审批信息安全事件处罚申请。
009
人力资源部
依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。
010
法务部
配合it部信息安全组进行信息安全事件处理,对违反法律法规的信息安全责任人依法追究法律责任。
5.内容
5.1奖励、违规行为处罚原则
5.1.1及时激励原则
对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。
5.1.2举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
5.1.3违规行为处罚原则
5.1.3.1法律追究原则
公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。
5.1.3.2违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。
5.1.3.3主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
5.1.3.4过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚。
5.1.3.5及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。
5.2 奖励等级与责任部门
5.2.1奖励等级与措施
奖励事迹
奖励等级
奖励措施
举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人
一级
根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体
二级
根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体
三级
根据具体情况给予3000元集体奖励或者1000元个人奖励。
5.2.2奖励责任部门
1)对于满足信息安全奖励标准的集体或者个人,it部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金;
2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。
5.3 违规等级与责任部门
5.3.1 违规等级与措施
违规事件
违规等级
处罚措施
盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险
一级
1. 直接开除,永不录用;
2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。
3. 全公司范围内通报处罚决定。
故意违反信息安全规定,性质严重;或者造成较大影响或较大风险
二级
1. 如给公司造成相关损失,须赔偿公司损失;
2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理;
3. 全公司范围内通报处罚决定。
过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险
三级
1. 记入关键事件考评结果减10分或罚款500元;
2. 12个月内2次三级违规升级为1次二级违规。
3.部门内部通报处罚决定。
过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险
四级
1.记入关键事件考评结果减5分或罚款300元;
2.12个月内2次四级违规升级为1次三级违规;
3.部门内部通报处罚决定。
说明:
1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度;
2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定。
5.3.2 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例v1.0》适用条款进行处罚;
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。
5.3.3 处罚责任部门
处罚等级
处罚责任人
批准
申诉
一级
总经理
/
人力资源部
二级
总经理
/
人力资源部
三级
部门分管副总
it部信息安全组
人力资源部
四级
部门分管副总
it部信息安全组
人力资源部
说明:
1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,it部信息安全组有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,it部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,it部信息安全组可以行使否决权。
5.4.维护与解释
1)本规定发布之日起生效;
2)本规定由it部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;
3)本规定解释权归it部信息安全组。
6.相关文件
附件1:《常见违规行为及其适用处罚等级举例》
7.记录表格
无