村镇银行信息科技管理制度模版.doc

1、xxx村镇银行信息科技管理制度第一章 总 则第一条 为强化cc村镇银行信息科技管理，防范信息技术风险，保障网络与信息系统安全和稳定运行，根据商业银行信息科技风险管理指引、金融机构计算机信息系统安全保护工作暂行规定，特制定本办法。第二条 本管理办法所称科技信息管理，是指在信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。第三条 信息科技管理目标是健全信息科技治理组织结构和技术架构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略与业务发展目标相适应，增强核心竞争力和可持续发展能力。第四条 信息科技工作实行统一领导和分

2、级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任。第五条 本办法适用于总行及各支行。第二章组织与职责第六条 我行沿用发起行苏州银行信息科技系统，依托苏州银行信息科技部进行信息科技管理，信息科技管理工作服从苏州银行“条线化管理”模式。 第七条 村镇银行总行成立以行长为组长、分管行长为副组长、各部负责人为组员的信息科技领导小组，应履行以下管理职责：(一) 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求；(二) 审查批准本单位信息科技工作，定期听取高级管理层关于信息科技

3、工作汇报并予以评价；(三) 审查批准信息科技战略，确保其与本单位的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率；(四) 掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制；(五) 规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识；(六) 履行信息科技管理其他相关工作。第八条 信息科技领导小组下设办公室，办公室设在综合管理部，具体负责贯彻执行各项信息科技管理工作、信息科技工作的指导和应急事务的处理。办公室主任由综合管理部总经理兼任。(一) 召集、主持有关信息科技管理、风险防范和审计的会议；(

4、二) 督促、检查信息科技领导小组制定的信息科技工作决议执行情况；(三) 落实其他承担的信息科技工作。第九条 在综合管理部设置科技岗，具体落实及指导支行信息科技工作、帮助支行解决操作类科技问题的处理，相关职责如下：(一) 负责拟定本部门职责范围内全行科技工作的中长期规划目标和年度计划，拟定、解释相关政策、规章制度和操作流程，并组织监管、检查全行制度执行情况。(二) 负责全行信息技术安全管理，建立健全全行信息技术运行和管理的风险内控制度并组织实施。(三) 负责落实有关信息技术应用的管理标准、技术数据标准、信息管理规范等。(四) 负责计算机设备的出入库及报废等管理工作。负责计算机易耗品的采购、出入库

5、以及核算工作。(五) 协助相关部门对计算机硬件、软件、系统、网络服务供应商、集成商的管理。(六) 负责全行计算机系统的安全管理，病毒防治工作及互联网的管理工作。(七) 负责支行网点的计算机设备管理、系统维护工作。(八) 负责全行信息系统数据分析、查询统计工作，并向行内各部门提供相关共享信息。(九) 负责全行信息技术工作的指导、检查、监督，组织业务交流和人员培训。(十) 完成其他各项工作。第十条 在营业部、支行设置兼职科技岗，配合综合管理部信息科技工作，负责支行内操作类科技问题的处理及系统事件的报告。第三章 运维管理第一节 设备管理第十一条 信息科技设备指我行信息系统（生产环境、灾备环境、开发测

6、试环境和办公环境等）使用的各类电子计算机设备，但不包括各种桌面办公用电子设备如传真机、打印机、碎纸机、电话等设备。第十二条 设备按照实物形态分为以下类型：1. 服务器设备（大型电子计算机、小型电子计算机、PC服务器、加密机）；2. 外部存储设备（磁带机、磁盘阵列、磁带库、存储交换设备）；3. 桌面电脑设备（台式计算机、便携式计算机、终端或显示器、桌面电脑配件）；4. 机房设施设备（不间断电源（UPS）、机房精密空调、机柜、KVM设备）；5. 网络设备（路由器、交换机、调制解调设备、无线网络设备、网络安全设备）；6. 大屏幕显示设备。第十三条 信息科技设备采购预算必须以效益为中心，坚持盘活存量与

7、控制增量相结合、优化结构与提高效益相结合、现实性与前瞻性相结合的原则。第十四条 综合管理部应根据业务发展要求和科技应用的实际情况，提出设备采购方式，协调制定采购方案。采购管理参考cc村镇银行采购管理实施办法。 第十五条 设备到货后，综合管理部应会同设备使用部门、代理商、生产厂商等相关人员按照合同或协议的有关条款，对购进设备的数量、型号、质量等进行验收，必要时进行测试和综合评定，防止出现质量或安全问题。第十六条 设备在采购验收后，应存入信息科技设备库房保管。设备库房环境应保持整洁并满足设备存放要求。第十七条 信息科技设备入库时应核对信息处理设备入库清单，明确入库日期、设备名称、数量、金额等要素，

8、由设备管理人员签名确认，做到帐实相符。第十八条 总行信息科技设备管理人员负责设备信息的管理，负责设备各类信息的维护更新，包括设备的购买、出入库、维保等记录。第十九条 设备使用部门领用信息科技设备及备件时必须认真填写领用清单，详细记载领用单位、物品名称、型号、数量、领用日期等要素，经支行（部门）负责人批准，经领人同时签字确认。第二十条 原则上设备不可外借，若确因特殊情况，必须经信息科技分管领导签字同意后，方可外借设备。设备外借时，必须认真填写借用清单，需注明名称，型号，规格，数量及归还日期。借用人应如期归还，到期不归还者需说明情况，并在借用清单上注明设备续借延长期限。第二十一条 总行及支行科技信

9、息岗需保证信息科技设备正常运行，及时发现并排除设备故障及隐患，支行兼职科技信息岗如遇到无法排除的故障，应及时向总行科技信息岗报告，总行科技信息岗无法解决的故障要及时上报苏州银行科技信息部，或与维保商联系，落实维修事宜，排除故障。第二十二条 支撑业务运行的信息科技设备必须购买维保，且响应时间满足业务要求。第二十三条 各类信息科技设备的维护和修理，一般由厂商或专业服务商提供服务，服务商的选择采购遵照cc村镇银行采购管理实施办法执行。保修期内的信息处理设备发生故障时，严格按照信息处理设备购置合同的有关保修服务条款执行。第二十四条 设备故障无法排除必须进行设备修理时，具体操作程序及要求如下：(一) 各

10、部门应向综合管理部报告提出维修申请，由综合管理部向苏州银行运维中心提出维修申请，根据苏州银行运维中心审定结果组织维修工作，修理完成后由设备使用部门验收使用。(二) 外来维修人员现场进行维修时，维修的整个过程中必须有本行科技信息岗（含支行兼职科技岗）在场，以保证信息处理设备和信息的安全。(三) 磁盘和磁带的修理直接作消磁处理；设备由公司人员修理时应提前清理配置信息；(四) 信息科技设备外送修理前，需将存贮介质内的应用程序、业务数据等与金融业务相关信息备份后进行无法恢复性删除。第二十五条 综合管理部应根据总行固定资产管理部门的要求，定期或不定期对信息科技设备组织盘点清查，年终进行一次全面盘点和现场

11、清查。第二十六条 设备的盘点和清查由设备管理人员负责实施。盘查工作的主要内容是核对设备信息和实际使用情况是否相符，同时还应检查设备的使用和维修情况，了解设备有无长期闲置、使用不当等情况。第二十七条 设备的盘点清查工作结束后，应对闲置、拟报废等设备提出处理意见，并转相应流程处理。第二十八条 设备备件及备件的管理等同于设备管理。第二十九条 放置于仓库的厂商备件，由厂商定时进行备件清点和备件可用性验证。备件退回应遵循设备进出流程和制度。第三十条 厂商的备件和备件管理不满足合同相关规定和要求，应当在供应商评估结果中予以体现。同时根据本行供应商管理的规定和合同要求，对供应商给予一定处罚。第三十一条 设备

12、下线指由于业务需求原因，需要对设备进行更换，或暂不使用，原设备暂时进入库房待使用状态。此项工作由需求提出部门牵头提出，设备管理相关负责人员配合完成。第三十二条 当信息科技设备使用功能丧失，有下列情况之一时，由综合管理部牵头经过评估后对设备进行报废处理，各业务部门配合完成：(一) 设备无法正常使用，恢复其原有功能或达到目标功能需要的投入占其重置价值的1/3以上的。(二) 长期闲置不用，在可预见的未来不会再使用，且已无转让价值的。 (三) 由于技术进步等原因，已不可使用的。(四) 国家规定必须报废的以及各单位认定其它可以报废的等。第三十三条 对涉密的报废设备，按有关保密要求妥善处理。第二节 事件管

13、理第三十四条 信息安全事件管理，旨在建立cc村镇银行信息安全事件报告、响应、评价和惩戒的机制，明确信息安全事件的负责部门和管理流程，确保信息安全事件发生后能得到快速反应，从而将信息安全事件造成的损害降到最低程度，并积极追踪和吸取教训，采取纠正措施，减少后续影响。第三十五条 事件的发现和报告(一) 员工发现事件后，应判断自己能否解决。若能自行解决，则自行解决。(二) 对于不能自行解决的事件，发现人尽量保护现场，维持现状，支行科技信息岗尽快将事件报告给总行科技信息岗（营业部及总行部室发生不能自行解决的事件时直接报告总行科技信息岗）。(三) 发现人应尽可能将事件描述清晰，报告内容应包括但不限于事件的

14、性质、影响范围、严重程度。(四) 任何企图或实施阻拦、干扰、报复事件报告者的行为都被视为违规行为，将根据相关制度进行处理。第三十六条 事件的受理及解决(一) 接到事件报告后，总行科技信息岗根据信息安全事件的表现和影响判断是否可以解决，总行科技信息岗无法解决的，要立即报告综合管理部总经理、苏州银行事件经理及信息安全管理者代表。发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息安全事件应迅速上报信息科技领导小组及苏州银行计算机安全主管部门。(二) 信息科技领导小组需判断信息安全事件是否触犯法律，如果违法应及时报行长室，并通知风险合规部。(三) 对于违法事件，各部门

15、应积极配合法律部门采取必要的取证措施，采集并保存有效证据。证据包括但不限于各类系统日志、监控设备日志、相关信息处理系统、监控录像等。(四) 各部门均不得以任何原因或借口延误重大事件的上报或压级上报，更不能隐瞒不报。由于报告不及时或误报而产生的一切后果应由事件上报部门承担。第三十七条 事件的反馈和关闭(一) 事件报告部门在确认事件处理结论后应及时关闭事件。(二) 对于重大的信息安全事件，事件报告部门及综合管理部、受影响的部门应配合苏州银行事件经理及信息安全管理小组对事件的类型、严重程度、发生的原因、性质、产生的损失进行全面评估分析，进行责任认定，提供处罚建议，并提出防止此类事件再次发生的措施或建

16、议，形成信息安全事件报告。相关责任部门负责落实纠正措施，并及时向信息科技领导小组、苏州银行信息安全管理小组报告整改情况。(三) 各部门应将事件调查结果、处罚结果和处理方法及时整理成事件处理记录，并和其它有关材料及时归档。(四) 对瞒报、漏报信息安全事件者，根据事件的严重程度对责任人进行处理。对于触犯法律者交司法机关处理。第三十八条 事件的回顾和分析。信息安全事件应定期得到回顾。对于重大的信息安全事件或具有代表性的信息安全事件，事后各部门需尽快组织相关人员进行分析，吸取教训，预防此类事件再次发生。第三节 安全管理第三十九条 网络及通信安全(一) 综合管理部负责全行网络系统的架构设计与优化、路由设

17、计与优化、网络安全架构设计与优化、网络带宽规划等，负责对引进的新产品和新技术进行全行技术培训。科技信息岗负责通过相应的软硬件技术手段，保证业务系统、办公系统和互联网等网络服务安全可用。(二) 网络建设安全应做到：1) 网络规划应有整体完善的安全策略；并配备必要的安全设备和网络管理系统。2) 网络建设所选技术与设备应兼备技术先进性、产品成熟性、性能稳定性和应用安全性。3) 根据安全需求的不同对网络区域进行划分，并部署防火墙等网络安全设备进行必要的安全控制。4) 网络的主备通讯线路应选择不同通信运营商。严格通讯线路租用合同管理，按照业务流量要求保证传输带宽。(三) 接入互联网管理。内部业务网与办公

18、网与国际互联网实行安全隔离。所有接入(包括曾经接入)内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。(四) 我行依托苏州银行运维中心进行网络运行情况监控及网络安全防护。综合管理部信息科技岗负责日常监测和检查网络安全运行状况，建立网络运行维护档案，及时发现和解决网络异常情况。负责按照苏州银行制定的网络系统应急预案和演练计划，组织进行应急演练，并做好应急演练报告。第四十条 客户端安全(一) 本规定所称客户端是指我行计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面终端、单机运行（哑）终端、远程接入终端

19、、便携式计算机设备等。(二) 客户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。(三) 客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护措施，确保安装最新的病毒特征码和必要的补丁程序。(四) 确因工作需要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。第四十一条 数据安全(一) 为确保数据的可用性、保密性、完整性，应加强介质管理与销毁操作管理、密码安全管理。(二) 介质主要包括但不限于磁带、硬盘、光盘等存储介质和移动介质，移动介质指U盘、移动硬盘、记忆棒、软盘等便于移动、携带的存储介质。(三) 所有的介

20、质都应存放在安全可靠的地方，并符合生产厂家说明书的安全要求。各部门及支行应酌情对办公网移动介质使用进行相应的管理控制。如果介质上的数据不再需要，则需及时将移动介质上的数据进行删除。(四) 所有介质报废或维修前，都需要对介质上的重要数据进行清除与销毁，介质的销毁应确保销毁后的介质无法被重复使用且其中的数据无法被恢复，具体处置方法可参考附件1：介质处置方法指南。如介质上存储的数据与信息仍需使用，应对介质上存储的数据进行备份。(五) PC机、服务器等含有磁介质的设备需要外送修理时，若修理部分不涉及磁介质，应将磁介质卸下后外送修理，卸下的磁介质由当事人自行保管；若修理部分涉及到磁介质，则首先应将磁介质

21、上数据进行清除，同时外送、修理各环节涉及的公司或人员都应该签署有保密协议。(六) 介质报废前的销毁工作应做好操作记录。(七) 系统管理员、网络管理员、业务操作人员均须设置口令密码，至少每三个月更换一次。口令密码的强度应满足不同安全性要求。第四章 项目管理第四十二条 cc村镇银行沿用苏州银行各项计算机应用系统，依托苏州银行科技力量进行项目开发。计算机应用系统，是指综合业务系统及与之相关的其他应用系统。包括：核心业务、信贷管理、考核系统、财务管理、事后监督、特色业务（中间业务等）、大额和可疑交易分析监测、企业征信、个人征信等应用系统。第四十三条 我行可根据本行与苏州银行业务特点不同点，提出差异化业

22、务需求。业务需求是指对计算机应用系统新增业务功能或对现有系统功能做重大调整（如对操作流程做重大变更等）的要求。第四十四条 我行发起的业务需求，必须提前与苏州银行条线主管部门确认需求的业务实现方式和管理措施，经苏州银行条线主管部门汇总后统一提交立项申请，不可以直接向苏州银行信息科技部提出。第四十五条 需求提出的原则：(一) 符合国家的政策、法规和监管部门要求；(二) 能够实现业务创新、管理创新和技术创新，市场发展前景良好，投入、产出合理，能够提高我行市场竞争能力和综合经营效益；(三) 具有一定的抗风险能力，采取的安全防范措施严密有效；(四) 符合软件和硬件技术标准规范要求，兼顾技术的可行性、先进性、实用性以及与已有的其他产品的兼容性。 第四十六条 我行需求通过苏州银行审批后，根据苏州银行科技信息部门安排委派专人参与项目立项、开发、试运行、验收、推广应用等工作。第五章 附 则第四十七条 本制度由xx村镇银行综合管理部负责解释修订。第四十八条 本制度自下发之日起执行。