1、XX村镇银行计算机信息科技安全管理制度第一章 总则第一条 为加强XX村镇银行(以下简称“本行”)计算机硬件设备、安全运行、故障申报、日常检查、网络安全等的管理,防范和化解计算机信息系统的运行风险,杜绝各类事故和案件的发生,确保全行信息科技系统的安全、稳定运行,结合本行实际,特制定各项信息科技安全管理制度。 第二章 组织管理第二条 信息科技安全管理实行“预防为主、综合治理、人员防范与技术防范相结合”的原则,建立安全管理责任制,逐步实现科学化、规范化管理。第三条 安全组织(一)成立以行长为组长、分管副行长为副组长、相关部门负责人为成员的信息科技安全管理领导小组,负责本行及营业网点的信息科技安全管理
2、工作。各部门成立以负责人为组长,相关人员为成员的信息科技安全领导小组。(二)信息科技安全部门(科技保卫部)应明确信息科技风险评估人员,负责信息科技风险评估和审计工作。(三)各部门信息科技安全管理员名单报综合管理部备案。第四条 安全管理领导小组职责(一)贯彻落实国家、金融监管部门关于信息科技安全工作的部署,提出实施意见,并完善各项信息科技安全管理制度。(二)审议信息科技安全规划、年度安全报告、信息安全教育培训计划。(三)督促信息科技安全部门履行职责,协调信息科技安全方面的工作,并对本行各部门信息安全管理工作进行考核。(四)定期组织信息科技安全教育、职业道德和安全保密教育,提高全员信息安全防范意识
3、。(五)至少半年组织召开一次信息科技安全工作例会,学习监管部门信息安全相关文件,研究制定贯彻落实方案,通报全行信息科技安全检查情况和风险点。第三章 安全管理内容第五条 安全管理内容安全管理的内容包括:实体安全、运行安全和数据安全。(一)实体安全是指计算机硬件设备的安全防范,包括计算机、打印机、UPS电源、网络通讯设备、专用空调等硬件设备的安全。(二)运行安全是指计算机及网络的运行安全。包括:应用系统操作安全、网络安全、病毒防范、密码管理等。(三)数据安全是指与信息科技相关的数据的安全。包括:保密管理、数据传输安全、数据保密等。第六条 实体安全(一)计算机设备应注意防火、防盗、防潮、防水、防磁。
4、湿度、温度、电压、粉尘度应达到设备运行的规定要求,保证计算机、网络通讯系统安全稳定运行。(二)重要设备应配备UPS不间断电源、发电机,严禁非电脑设备接在UPS电源上用电。综合管理部应组织人员对应急设备定期进行巡检,及时排除设备和线路存在的隐患。(三)计算机、网络通讯设备应设置可靠的接地保护装置,接地装置要符合有关标准。(四)对入户电源线和网络通讯线路应安装必要的防雷设施。(五)机房需安装视频监控系统,视频监控录像资料至少保存三个月。(六)机房内需安装烟感、温感等火灾报警装置。第七条 运行操作安全(一)严格落实计算机岗位责任制,相互制约的岗位要实行分离。(二)业务用机用户应设置密码,明确操作权限
5、,严禁没有权限的人员操作计算机。服务器超级用户密码由专人掌握,密码长度不少于6位,超级用户密码每季度应至少更新一次,并采用密码信封封存,加盖骑缝章后,由专人保管,并做好相关记录。(三)业务系统应设置密码,各类操作密码不得混用。(四)计算机操作人员(及使用者)必须对计算机设置屏幕保护程序,设置等待时间为三分钟以内并使用密码保护。(五)每日填写计算机运行工作日志,对计算机运行情况进行详细记录。(六)计算机操作人员需做好各应用系统及重要数据备份。(七)操作人员上岗前应接受必要的信息技术和安全知识培训,了解和掌握信息科技操作规程和安全防范常识。(八)综合管理部对网络接入设备应严格管理,对接入网络系统的
6、设备使用情况要定期巡检,并做好记录。第八条 数据维护(一)数据维护是指通过综合管理部维护数据以保证业务正常运行的操作行为,包括:各类原因造成业务数据不能通过正常交易进行修改的;网点柜员资料需要变更的;增加、合并、变更网点等。(二)对营业网点进行数据维护时,由营业部会计主管填写业务数据维护申请表,详细填写业务数据维护原因,加盖公章上报本行相关业务部门和综合管理部审查。符合数据维护和会计核算要求的,由综合管理部、相关业务部门负责人签署意见,并加盖综合管理部、业务部门公章,报分管行长批准后,由综合管理部系统管理员进行修改。(三)特殊业务需由营业部门填报申请,经分管行长批准并加盖公章后,报综合管理部进
7、行数据维护。第九条 数据传输(一)不得利用综合业务系统进行与业务无关的信息传播。(二)文件、程序等重要数据及涉密信息应通过内网传递,提高数据传输的安全性。第十条 数据保管(一)数据保管是指本行及营业网点使用的各系统数据的保管。数据包括业务系统数据、报表系统数据、其他备份数据。(二)数据的备份介质,必须存放在专用的介质柜内,存放地点要做到防霉、防潮、防水、防火、防盗、防磁。(三)为确保数据可靠性,操作人员应定期检查存储介质是否完好,测试备份数据是否可用。(四)重要数据要保存两份或两份以上的备份存储介质。(五)备份数据未经领导批准,不得私自调用或外借。(六)综合管理部负责信息系统数据备份的检查、监
8、督工作。第四章 网络安全管理第十一条 计算机网络规划、网络设备配置、通讯参数设置、变更和网络线路变动均由本行综合管理部提出方案,经信息科技安全领导小组审批后,由综合管理部负责实施,并确保其安全运行。任何个人和单位在未经本行信息科技安全领导小组同意的情况下,不得随意更换网络和网络设备,不得随意用任何形式私自连接外单位用户,一经发现,将严肃处理。第十二条 本行及营业网点网络管理员负责网络设备和线路的管理,定期对分管区域内的网络设备、线路状态进行检查,检查内容包括:网络设备内存和CPU使用率、端口状态、误码率等,并在运行工作日志上详细记录。第十三条 网络管理员需定期检查备份网络设备、备份线路的可用性
9、,发现问题及时处理,并做好记录。定期备份网络设备配置,以便设备损坏时迅速恢复。第十四条 行内所有业务用计算机的IP地址一律由综合管理部统一分配和管理。营业网点根据本行分配给本部门的IP地址情况对业务用机IP地址进行分配和管理,任何人不得私自修改业务用机及网络连接设备的IP地址。第十五条 综合管理部需对全行的线路类别、各节点网络地址建立详细档案,线路类别和网络地址发生变化要及时更新。第十六条 严禁私自与外单位网络连接,因业务发展需要,经信息科技安全管理领导小组同意,必须与外单位联网的计算机,在网络上必须加装防火墙、加密机等设备,以确保网络系统安全。第十七条 业务网络与互联网必须物理隔离,所有接入
10、综合业务系统和信贷业务系统网络的计算机严禁以任何形式接入互联网,保存有重要业务数据的计算机,严禁以任何形式接入互联网。接入综合业务系统、信贷业务系统网络和存放涉密信息的计算机,必须设置登录密码,安装防病毒软件或在线防火墙,严禁非业务人员上机操作,严禁玩电子游戏。第十八条 接入互联网的计算机必须安装防火墙和防病毒软件,不得存放涉密信息。第十九条 需定期对计算机进行检查,并将结果报送信息科技安全管理领导小组。第五章 信息系统安全管理第二十条 在使用计算机处理各项业务时,应严格执行国家有关计算机信息系统安全法规,贯彻监管部门的有关实施意见及管理制度。综合管理部负责处理营业网点或部门计算机信息系统安全
11、管理的具体事项。第二十一条 指定专人负责全行计算机信息系统安全管理工作。第二十二条 计算机和网络设备由综合管理部统一选型、购买,任何单位不得擅自购买使用不同型号、不同规格的计算机网络产品。第二十三条 网络连接由综合管理部统一指定连接方式,统一办理申请、移机、拆机等手续,营业网点相关人员配合办理。第二十四条 计算机网络设备的参数、口令由综合管理部网络管理员统一设置,任何单位和个人不得修改、删除网络设备的参数,不得窥窃、询问网络设备登录口令。综合管理部网络管理员必须分段管理所有网络设备的登录口令。第二十五条 计算机设备的网络IP地址由综合管理部统一分配,任何单位或个人不得修改已设置完成的网络IP地
12、址。各部门计算机安全管理员和操作员不得以任何方式询问、查询其他单位设备的网络IP地址,对本单位设备的网络IP地址等重要参数做好保密工作。同时,各部门管理员和操作员不得登录、攻击除本单位之外的任何主机和其他设备。第二十六条 各部门计算机安全管理员要经常监控本单位主机的运行情况,发现有异常情况或有非法登陆,要立即删除非法进程,并及时向有关领导和综合管理部报告。第二十七条 计算机安全管理员必须定期(不少于每月一次)在营业结束后,进行主、备通讯线路的切换,发现问题要及时解决,并做好切换情况的记录工作。发现主干通讯网络出现故障时,及时拨打申报电话与网络线路服务提供商故障联系,或与综合管理部网络管理员联系
13、,并及时切换应用检查备份线路。第二十八条 与国际互联网(Internet)相连的主机禁止与业务网络相连接。上网时必须遵守中华人民共和国计算机信息网络国际联网管理暂行规定实施办法等法律法规,严格执行安全保密制度,不得泄漏国家、集体等的秘密,不得上网玩游戏。第二十九条 办公用计算机应安装经公安机构认可销售的计算机防病毒软件,启用防病毒软件的自动防护功能,定期做好防病毒软件的更新升级,并在每次更新升级后对计算机作一次全面的病毒查杀。第三十条 认真做好有关业务软件、信息和数据的备份工作;使用外来软件、数据文件或阅读经内外网络传送的电子邮件时,应先用防病毒软件进行病毒检查;不得随意打开来历不明的电子邮件
14、,不得使用来历不明的软盘、光盘,防止计算机感染病毒。第三十一条 办公用主机必须专机专用,并设置好开机密码和用户登陆密码,且定期更换。主机内不允许安装与业务无关的软件和数据。第三十二条 计算机管理人员和操作人员要认真学习计算机操作和管理知识,加强防范意识,自觉遵守有关计算机信息系统的操作、使用规章。第三十三条 各部门需根据实际情况合理设置各信息系统人员操作权限,并上报相关部门备案。第三十四条 任何人不得自行修改各信息系统前台操作菜单。第三十五条 因新业务、人民银行利率调整、数据差错等原因需要修改信息系统后台数据的部门,应填写信息系统变更需求单,由负责人、风险管理部门负责人和分管行长签字后提交综合
15、管理部进行修改。第三十六条 机房前置机口令由机房管理员掌握,每月至少更新一次,更新后情况记录在上机日志中。机房小型机口令,由机房管理员分段分别(双人分管)保管,每月至少更新一次。第三十七条 柜员必须使用自己的操作菜单进行操作,离开工作岗位时,应立即退出操作菜单,防止他人趁机操作,以保证自己业务操作的安全性和准确性。第三十八条 操作员、综合管理部人员对系统使用的网络地址、中间业务单位的网络地址、路由器密码等要严格保密,对所用的通讯设备严格管理,防止不法分子非法登录或破坏。第三十九条 计算机系统中不得存放与业务无关的数据和程序,不得存放游戏软件。如需使用其他单位的软件,必须上报综合管理部门,经信息
16、科技安全管理领导小组批准后方可使用。使用时要落实专人管理,制订相应的管理制度和操作规定,确保系统运行安全。第四十条 操作人员要爱护计算机设备,严禁野蛮操作,严禁利用计算机设备做与本职工作无关的操作,严禁在计算机设备上放置其它物品。第四十一条 各部门确定一名专职或兼职计算机管理人员,对本单位计算机设备使用、维护、保养负责。第四十二条 任何人不得利用计算机网络远程登录到其他单位的计算机中进行非法操作,也不得使用“黑客”软件对业务用机进行攻击和解密。第四十三条 发现业务主机有非法用户登录,应立即中止该用户的操作,并及时上报综合管理部处理。第四十四条 营业部门在当天业务终了时,必须指定专人在所有柜员签
17、退后进行“机构签退”处理。如果有不能按时签退或夜间要使用计算机的机构,下午四点三十分前上报综合管理部。第六章 保密管理第四十五条 安全保密事项包括以下方面的内容:(一)操作系统、网络设备、各应用系统等用户密码。(二)计算机网络设计方案、网络拓扑结构、网络配置参数、IP地址分配方案。(三)生产系统资源配置信息。(四)安全专用产品型号及安全策略。(五)安全专用产品使用中产生的报告。(六)业务数据、客户资料等需要保密的信息。(七)其他安全保密事项。第四十六条 综合管理部要切实加强员工的信息安全保密教育工作,定期组织人员学习信息安全保密知识。第四十七条 各类密码、密钥要实行专人保管,严防泄露,各类密码
18、管理应严格规范。第四十八条 调阅设计保密事项的档案资料应履行申请、审批手续。第四十九条 计算机故障需外部人员维修或安装、调试时,应采取严格保密措施,并安排专人全程陪同监督。存有涉密信息的机器如损坏需送修的,要彻底地、不可恢复的删除操作;如果存储设备损坏,应在安全管理人员的监督下,予以销毁,不再送修。第五十条 凡工作人员发现信息系统泄密后,应及时采取补救措施,并向上级报告。对安全失密、泄密事件的有关责任人员,按事件的原因、性质及造成危害程度,按有关规定进行处罚,违反相关法律法规的要追究其法律责任。第七章 密码管理第五十一条 密码包括计算机主机密码、操作系统密码、网络设备密码和应用系统密码等。第五
19、十二条 密码管理遵循“分级管理、相互制约”原则,严禁操作员同时掌握相互制约岗位用户密码,密码所有者对密码的使用、更改、保密、交出、密封负有完全责任。第五十三条 密码应使用数字或字符组合,严禁将生日、电话号码等有规律性的、易破译的数字或字符用作密码。第五十四条 密码要实行定期更换制度,综合业务系统所有柜员和机房网络设备的密码变更不得超过1个月;服务器超级用户及各部门网络设备的密码变更不得超过3个月;其他系统密码根据实际需要定期更换,但最长不得超过3个月。第五十五条 服务器等核心设备的超级用户密码必须严格管理,同一密码由两人分段掌握,严禁一人掌握完整密码,需要密封的密码要及时登记。第五十六条 服务
20、器超级用户、网络设备等密码要密封保存,密码信封上注明系统用户名称、所有者姓名、封存日期,密码掌握着加盖骑缝章后封存在专用保险柜,综合管理部负责人掌握保险柜密码,值班人员掌管保险柜钥匙。密码保管应做相应记录。第五十七条 人员调离或请假应办理密码交接手续,由负责人监交并做好交接记录。第五十八条 已封存的各类密码在特殊情况下需要打开时,须经综合管理部负责人批准,并做好相关记录。第八章 机房安全保卫制度第五十九条 机房安保工作岗位分工:(一)综合管理部负责人是机房安全保卫工作的总负责人。(二)全体员工必须加强学习,增强安全、保密意识,熟悉、掌握各类安保设施的性能及使用方法。第六十条 日常安保状态:(一
21、)使用门禁系统控制的机房,平时需随手关门,外单位人员需根据有关规定进入。(二)机房主要设施是指小型机和网管机机房、前置机和网络设备控制区、UPS电源、打印区、空调、照明、监控、消防等设施,综合管理部工作人员应做好日常检查并按规定每天做好相关记录。(三)计算机机房监控设备及录像由综合管理部管理,机房值班人员发现设备损坏时,应及时通知相关部门或人员落实维修。(四)员工要熟悉灭火器位置和使用方法,每月对灭火器压力进行检查,出现异常及时通知综合管理部更换。第六十一条 外来人员进出规定:(一)上级监管部门来人检查、指导工作,确需进入机房的,由相关负责人接待,并按规定陪同并做好登记,如有必要,其他员工应予
22、以积极配合。(二)同行单位来人参观考察、联系工作,确需进入机房的,由负责人陪同或经分管行长同意后,由相关员工做好接待登记工作。(三)相关业务单位如电脑公司、电信、联通、公安、消防等人员,确需进入机房的,由综合管理部相关人员陪同,并做好接待登记工作。(四)公安、法院等单位前来查询相关数据,原则上不能进入机房。查询时由相关部室人员持有关证件、行长签字、需查询的内容等资料交机房值机人员办理,并作相应记录。第六十二条 机房值班规定:严格执行“上班时间不脱人”制度,对计算机系统进行操作时,必须两人在场并做好相关记录。第六十三条 安保事项报告规定:遭遇突发安保事件时,严格按应急方案中的通报制度执行。第六十
23、四条 紧急事态处理程序(防卫预案):(一)突然停电。发生停电后立即查找原因,UPS供电不足时,应立即启动发电机供电。如为机房供电系统故障的,在保证UPS正常供电时,立即向综合管理部负责人或相关人员报告,由综合管理部负责人尽快组织人员进行抢修,及时排除故障;(二)突发火情。发现火情时,工作人员应立即进机房察看火情,切断机房电源并用灭火器灭火,如有必要,启动自动消防系统,立即报警(119),并按规定向相关负责人报告;(三)其它安保事件。如遇陌生人叫门、发觉异常声音、气味、接到可疑电话、发现可能危及机房安全的其他情况,应提高警惕、高度戒备,及时查明情况或向有关部门和领导报告,并采取有效措施应对。第九
24、章 病毒防范第六十五条 计算机使用者是计算机病毒防范的第一责任人,负责计算机病毒的预防和清理工作。第六十六条 全行计算机必须安装防病毒软件,防止病毒入侵,采取有效手段阻止计算机病毒传播和破坏,及时更新和升级病毒库。第六十七条 计算机使用人员应启用防病毒软件的实时监控功能,定期检测和清除计算机病毒,无法清除的,应采取隔离控制措施,并向综合管理部报告,由技术人员负责处理。第六十八条 综合管理部负责监控并制止以下传播计算机病毒的行为:(一)故意输入计算机病毒,危害信息系统安全的。(二)故意向他人提供含有计算机病毒的文件、软件和媒体的。(三)其他传播计算机病毒的行为。第六十九条 发现危害性较大的计算机
25、病毒在网络上蔓延,综合管理部应迅速采取应急措施,切断病毒传播途径,彻底清除病毒或对感染病毒的计算机完全隔离后,方可恢复网络运行。第七十条 计算机病毒防范应采取以下措施:(一)定期备份数据用户关键数据。(二)对计算机重要系统数据做备份。(三)使用移动介质前应先进行杀毒处理,不复制、运行来历不明的文件或程序。(四)阅读操作系统补丁信息,及时升级操作系统。第七十一条 综合管理部安全管理员应定期进行防病毒检查,确保防病毒系统安全运行。第十章 安全检查第七十二条 信息科技安全管理领导小组每半年至少组织一次信息科技安全检查,安全检查可采取抽查、普查等方式进行。第七十二条 检查内容包括本行及各部门。第七十三
26、条 检查内容(一)安全组织机构及工作开展情况;(二)信息科技硬件设施;(三)信息科技运行操作;(四)密码管理;(五)病毒防范;(六)网络安全;(七)数据管理;(八)应急预案演练、修订;(九)其他与信息安全有关的事项。第七十四条 信息科技安全检查的程序(一)根据安全检查的重点,组成安全检查组,组织进行信息安全检查。(二)信息安全检查时,应先制定详细的信息安全检查方案。(三)发现重大安全隐患或严重违规行为,应立即制止并督促其进行整改。(四)安全检查结束后,应撰写信息安全检查工作报告。报告的主要内容包括:被查单位的名称、检查时间、发现的问题、整改措施及处罚建议,报告上报信息科技安全管理领导小组。(五
27、)对查出的问题应责成被查单位限期整改,情节严重的,应按照相关制度和办法追究有关人员的责任,并对全行信息安全检查情况进行通报。(六)安全检查中发现的问题及整改措施要整理归档,移交档案管理人员归档保管。第十一章 信息科技安全事件报告第七十五条 信息科技安全事件是指计算机系统因各种原因不能正常运行,导致业务不能正常开展,给银行造成经济损失、信誉损害等方面影响的事件。具体包括:(一)机房或网点遭水灾、火灾、雷击、地震等自然灾害;(二)计算机系统软、硬件故障;(三)网络通讯系统故障;(四)系统感染计算机病毒;(五)网络系统遭遇入侵或攻击;(六)计算机系统敏感数据泄露;(七)计算机系统数据失窃;(八)计算
28、机系统数据被人为篡改;(九)计算机及网络设备失窃;(十)供电系统故障;(十一)其他计算机事故。第七十六条 安全事件报告应做到及时、客观、准确、完整,本行综合管理部负责信息科技安全事件的接报、报告、整理和处理工作。第七十七条 信息科技安全事件分为计算机事故和故障两类。(一)计算机事故。满足下列条件之一者,成为计算机事故:1、造成营业部业务中断的计算机安全事件。2、利用计算机技术进行的各种犯罪行为,包括:针对计算机的犯罪(把数据处理设备作为作案对象的犯罪)和利用计算机的犯罪(以数据处理设备作为作案工具的犯罪)。3、病毒引起的数据丢失、篡改及对数据网络的攻击等。4、泄密事件。(二)计算机故障。指计算
29、机软、硬件或网络设备、通讯线路出现问题,但未导致大范围业务中断计算机安全事件。第七十八条 发生计算机事故,业务部门应在15分钟内电话通知本行综合管理部,2小时内书面向信息科技安全管理领导小组汇报。报告内容包括:(一)计算机事故发生的时间、地点;(二)涉及软、硬件系统的情况;(三)事故发生的过程和现象;(四)计算机事故发生的原因;(五)事故可能造成的影响;(六)拟采取的处理措施及预计恢复时间。第七十九条 计算机事故处理过程中,应及时向信息科技安全管理领导小组报告事故处理进度。计算机事故处理完毕,要对事故认真分析和总结,并形成书面材料,由负责人签字,加盖公章,5日内报送信息科技安全管理领导小组,内
30、容应包括:(一)事故发生的时间及现象;(二)事故处理的过程;(三)事故发生的原因;(四)事故造成的影响;(五)事故的责任方、责任人及处理情况;(六)预防类似事故的措施;(七)事故遗留的问题。第八十条 对出现的计算机故障,综合管理部应定期汇总和分析,研究制定预防类似故障的措施,并形成书面报告上报分管行长,内容包括:(一)故障发生的时间和地点;(二)发生故障的设备或软件名称;(三)故障现象;(四)故障产生的原因;(五)采取的应急措施。第八十一条 任何单位或个人均可报告存在的信息科技安全隐患。接到报告后,管理部门应立即对报告内容进行核实,确认后逐级上报。第八十二条 发生信息安全事件,必须按规定上报,
31、不得瞒报、漏报或迟报。如出现上述现象,一经发现,将对主要领导和有关人员进行严肃处理。第十二章 计算机安全员工作职责第八十三条 计算机安全员是计算机系统运行过程中的监督和管理人员,是本行计算机系统运行进行安全管理的具体执行者。第八十四条 计算机安全员必须具备一定的计算机业务知识、临柜业务知识和实际工作能力,能够有效维护业务系统的正常运行,本行计算机安全员能够进行信息系统后台数据修改和维护。各部门计算机安全员应能在本行技术人员的指导下,简单处理一般故障。第八十五条本行和各部门计算机安全员在实际工作中,必须根据本行的有关制度和管理办法的规定,指导和监督计算机业务的运行,对违反规定的计算机操作应立即指
32、出并进行整改。各部门计算机安全员对计算机业务管理中的安全隐患和漏洞,要及时汇报本行综合管理部,并提出有效措施进行改正。第八十六条 制定计算机安全检查制度,每半年对行内所有计算机岗位进行检查,并写好检查记录。第八十七条 熟悉本行计算机的资源配置、设备特性、使用规则,制定各类设备日常检查制度,对计算机设备进行定期保养。第八十八条 熟悉通讯线路和设备的维护、保养,每月对备份线路进行一次切换测试。第八十九条 负责检查、督促本行计算机安全建设,把各种计算机管理制度、办法、规定落实到位。把检查中发现的问题在期限内整改到位。第九十条 负责计算机使用人员的信息安全保密教育以及计算机安全技能辅导。第九十一条 熟悉计算机应急方案,当发生计算机事故(造成设备严重损坏或引起长时间业务停办)和计算机案件时,安全员应立即启动计算机应急处理方案,并按照应急方案要求处理事故。第九十二条 对违反信息安全保密制度的事件和行为,应立即制止并采取补救措施,并及时向有关部门反映。第十三章 附则 第九十三条 本制度由XX村镇银行负责解释和修订。第九十四条 本制度自发布之日起施
浙ICP备2021020529号-1 | 浙B2-20240490 
