1、农村合作金融机构计算机信息安全管理办法第一章总则第一条为加强农村合作金融机构计算机信息安全管理,保障计算机信息系统安全稳定运行,根据中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定等制度,特制定本办法。第二条本办法适用于农村信用社联合社和辖内各农村银行、农村信用联社。第二章术语定义第三条安全策略指通过防范威胁、减少弱点、限制意外事件带来影响等途径来消除风险的机制、方法和措施。第四条安全技术标准是指按照信息安全策略的要求所制定和引进的一系列安全配置和使用标准。第五条访问控制是指防止对资源的未授权使用。第六条机密资源是指用于通信、身份确认或个人密码计算的加密解密
2、密钥、密押加密卡、终端设备识别参数、IC卡的母卡及其存放介质和相关技术资料等。第七条机密信息是指客户信息、网络拓扑结构、IP地址、应用系统源码或数据结构、系统用户及口令、系统设计信息、业务需求、技术需求、技术方案、技术成果、测试报告、操作手册、安全报告等。第三章部门及职责第八条省联社科技信息中心是全系统计算机信息安全工作的主管部门,主要职责包括:(一) 负责全省农村合作金融机构信息安全管理和指导;(二) 牵头制订全省农村合作金融机构信息安全体系标准和规范,参与信息系统工程建设的安全规划;(三) 组织全省农村合作金融机构信息安全检查;(四) 牵头组织全省农村合作金融机构信息安全管理培训;(五)
3、负责全省农村合作金融机构信息安全方案的审核和安全产品的选型、购置。第九条各法人行社科技部门是该行社计算机信息安全管理部门,其主要职责:(一) 根据本办法和信息安全管理的相关制度,组织建立安全管理流程、手册;(二) 组织实施内部信息安全检查;(三) 组织计算机信息安全培训;(四) 负责计算机机密信息和机密资源的安全管理;(五) 负责安全技术产品的使用、维护、升级;(六) 定期上报本单位计算机信息系统安全情况,反馈安全技术和管理的意见和建议。第四章管理策略及实施第十条全省各级农村合作金融机构应根据本单位职责做好信息安全管理工作和实施工作,建立健全信息安全管理责任制,明确相关部门、人员所承担的安全责
4、任。第十一条做好信息资产识别和分类、风险分析和控制、应急准备和响应、安全检查和审计、问题整改和防范、安全教育和考核、安全控制措施等工作。第十二条建立健全安全内控制度,做好各类安全内控制度的优化和完善,做好安全规范、安全技术标准、安全操作手册的制订,并定期进行回顾。第十三条安全管理应遵循计划、执行、检查和改进的持续过程,并自觉遵照安全标准和规范要求。第五章资产识别和分类第十四条信息资产识别和分类是安全管理工作的基础,信息安全管理部门应组织做好本单位信息资产的识别和分类工作。第十五条信息资产识别应对组成计算机信息系统的系统、设备和数据等信息资产进行全面识别和统计,形成资产文档并统一归档管理。第十六
5、条信息资产应依据其重要程度,如影响业务类型和范围,按照机密性、完整性和可用性进行高、中、低三个等级的级别划分,并确定保护需求。同时,应明确不同级别的信息资产责任人和访问控制原则,建立信息资产访问的授权机制。第十七条根据信息资产的识别和分类结果,对各类信息系统进行安全级别划分,安全级别可划分为关键系统、重要系统和普通系统。第十八条信息资产出现变更后,应对资产文档进行相应的变更处理,并定期对资产文档进行回顾。第六章风险分析和控制第十九条信息安全管理部门应根据信息资产的脆弱性和重要等级、安全事件发生的可能性和产生的影响,定期组织对风险的识别,确定高、中、低风险等级,形成风险分析评估的报告,并定期组织
6、对风险分析评估报告的回顾。第二十条根据风险的等级和可采取的控制措施,应进行评估分析,从技术、物理、管理方面实施安全控制措施,削减、转移或接受风险。选择控制措施时应综合考虑实现成本、技术成熟性、可操作性、实用性等因素。第二十一条安全控制措施应进行分析和审核。如:变更实施前变更需求部门应进行变更风险分析,提出安全控制措施,信息安全管理部门应对变更的风险和控制措施进行审核;信息资产出现变更后,应重新识别风险和确定风险等级并提出安全控制措施。第二十二条各级部门应通过建立和完善安全防范措施,降低安全威胁因素发生的可能性。通过建立和完善安全监控和控制措施,提高安全问题和事件的检测、响应和处理效率,并定期组
7、织对风险分析评估报告的回顾。第七章应急准备和响应第二十三条全省各级农村合作金融机构应建立包含应急组织、应急操作手册、应急资源准备、应急培训、应急演练、应急评估等内容的应急准备和响应体系。第二十四条信息安全管理部门应根据制定的应急预案履行相应的应急工作职责。第二十五条应急处理结束后应对问题原因和处理结果进行分析,并提出建议和意见,监督相关部门采取纠正和预防措施,防止问题再次发生。第八章安全检查和审计第二十六条信息安全管理部门应针对本单位与制度、规范和标准的符合性方面,建立检查机制,定期或不定期开展检查活动。检查应当遵循全面、审慎、有效、独立的原则。第二十七条各法人行社相关部门及网点应当接受上一级
8、或本单位信息安全管理部门的检查,积极配合开展工作,提供必要的文档资料。第二十八条检查工作应按照准备、实施、报告、跟踪四个阶段开展工作。应依据现行制度规范和技术标准制定相应的检查计划和手册,明确检查内容和方式,并选择对生产运行影响最小的时间和方式实施检查。第二十九条检查完成后应编写报告,对发现的问题依据其风险程度划分高、中、低三个级别,从短、中、长期确定整改目标,并提出要求和建议。第三十条检查方式可分为现场和非现场。主要方法有访谈咨询、文档查阅、环节调查、现场检查、测试分析等。第三十一条对于信息系统建设、变更等重大事项以及发生的重大事故和问题,应进行专项的检查,对重大事件实施全面的监控和评价。第
9、三十二条安全检查工作的实施应建立记录机制,提前制定检查模板和检查记录时间约定,工作结束后应对记录文档资料进行归档管理,安全检查报告未经批准不得泄露。第三十三条安全审计按照实施单位和部门不同可分为由本单位审计主管部门实施的内部审计和由非本单位实施的外部审计。第三十四条各级单位在配合内部审计时,对于需要查阅的所有文档资料,被审计单位应按照内部审计主管部门提交的审计调阅清单提供相关文档资料,做好文档资料的登记工作。当需要将文档资料带离现场时,必须由信息安全管理部门统一转交。第三十五条各级单位在配合外部审计时应做好如下安全保密工作:(一) 对于外部审计需要查阅的所有文档资料,信息安全管理部门应根据外部
10、审计主管部门提交的审计调阅清单组织被审计单位提供相关文档资料并转交;(二) 原则上外部审计实施单位应通过现场查阅或者现场访谈方式获取相关信息,对于电子文档被审计单位应提供打印版本,不得直接提供;(三) 外部审计实施单位不得将文档资料复制或带离现场。特殊情况下如需将文档资料带离现场时,必须由信息安全管理部门根据审计调阅清单通过外部审计主管部门统一转交;(四) 被审计单位应做好所有文档资料的登记工作,外部审计结束后,及时进行核对并妥善保管,防止丢失。第九章问题整改和防范第三十六条信息安全管理部门应从问题发现、问题分类、问题报告、整改实施、追踪反馈、再回顾等方面建立健全安全问题整改工作机制,督促责任
11、部门采取整改和防范措施,消除问题直接和潜在隐患风险,防止问题再次发生。第三十七条各类问题的整改,必须在确认整改方案有效后才能实施。第三十八条通过定期组织生产、测试、研发等环节事故、问题的责任分析和鉴定,以查找安全管理中的漏洞和薄弱环节,不断提高各级部门和人员的安全控制意识,防范责任事故和责任问题的再次发生。第十章安全教育和考核第三十九条信息安全管理部门应做好本单位的安全教育工作,针对管理层和普通员工、新员工、外来人员等建立相应的安全培训计划。第四十条通过不同形式、不同层次的安全教育,使员工清楚必须掌握和了解的管理制度和安全措施,不断提高各级人员的安全意识和安全知识水平。第四十一条通过定期组织考
12、试演练、案例分析等方式,强化管理制度、技术标准、操作手册的学习,提高员工安全问题的处理和应对能力。第四十二条定期对部门和员工进行安全责任落实情况考核,考核内容包括安全意识、责任事故、责任问题、问题整改、规范执行等。第十一章安全控制措施第一节计算机实体安全第四十三条对信息系统的计算机资源和定位状况要进行逐项编号登记和跟踪建档,未经批准不得随意改变。第四十四条对信息系统的相关计算机和数据通信设备及其连接关系,要编制与实际相符的物理连接图和逻辑结构图,并归档保存。第四十五条生产运行系统和网络的关键设备应有备份策略。第四十六条对生产运行系统设备和通信线路应进行定期的检测和维护,确保随时处于可用状态。第
13、四十七条对MODEM、路由器、交换机和线路加密器等通讯设备必须采取严格的管理措施,设专人管理,未经批准不得随意移动和接入。第四十八条对计算机和数据通信设备的停用、维修、重用和作废环节,应建立安全机制有效清除或销毁敏感信息,防止泄露。第二节计算机环境安全第四十九条计算机环境的安全控制措施及管理要求按照农村合作金融机构计算机机房管理办法等制度执行。第三节人员、第三方和外包安全第五十条应与员工签署保密协议,制定员工的安全使用原则,明确员工的安全责任。互斥、不兼容的工作角色必须进行角色分离。第五十一条定期(或不定期)对员工进行安全教育和培训,以提高员工的安全意识和安全技能。第五十二条凡涉及计算机业务应
14、用系统和网络安全及计算机作案细节的内容,未经批准,任何单位和个人不得在新闻媒体、技术刊物、非保密的外部会议上擅自公开发表,涉密人员不得利用公开通信工具谈论有关机密资源的内容。第五十三条对第三方和外包服务单位进行严格的资格审查,与其签订安全协议书,明确安全责任和义务。第五十四条各级单位必须做好外来人员的出入管理、访问控制和陪同工作。未经批准,严禁外来人员使用全省综合业务网络等信息系统、使用携带的计算机接入内部网络、查看、复制和携带任何文档资料和数据。第五十五条对需要长期进入各级单位工作的第三方和外包服务单位和人员,必须报上一级信息安全管理部门审批,并做好其工作区域的隔离和访问控制。第五十六条对于
15、外包软件开发,必须与软件开发商明确代码所有权和知识产权等条件,并签订保密协议,保证软件相关的文档、源程序、数据结构在软件的整个生命周期内不被非法访问和利用。第五十七条建立合理的软件外包验收机制,确保外包方能准确实现软件产品的功能和安全要求,并把整个外包过程纳入检查机制。第五十八条对外部审计所要访问的信息资产进行风险评估,采取有效控制措施,确保检查与审计过程不影响信息资产的安全。第五十九条定期(或不定期)对外包活动履行情况进行检查,以确保外包方履行其安全责任和遵守安全要求。第六十条应急事件发生时,应及时通知各相关合作伙伴、供应商协助参与应急处理。第四节网络安全第六十一条网络系统应根据网络包含的信
16、息系统安全级别划分相对独立的安全域,通过安全域的边界防护和安全域内的统一安全管理实现安全域内的网络安全。第六十二条网络安全实施部门应根据网络安全域的安全级别和通过风险分析确定的安全需求来设计、实施网络安全方案,信息安全管理部门应定期组织对网络安全方案进行回顾,检查与实际系统的符合性。第六十三条网络安全实施部门应按照安全技术标准实施所负责网络的安全配置,并定期检查与标准的符合性。第六十四条新建网络、网络改造或变更在投入使用前,应制订相应的网络安全防范措施,并对新建网络或改造后网络实施安全检验,未通过检验不允许投产使用。第六十五条严禁擅自将综合业务网络等专用网络与外网直接连接,行(社)专用网络与外
17、网连接的方案必须报上一级网络管理部门审批,在确保网络安全的前提下实施。第六十六条严禁局域网内计算机直接拨号上网,各单位要指定专门部门负责对拨号网络外联监测系统的运行监控、支持维护和信息上报。第六十七条严格控制对安全域内设备的远程诊断管理端口的访问,使用前必须经过信息安全管理部门审批。第六十八条严格管理TELNET、PCANYWHERE和WINDOWS终端服务等远程访问生产系统方式的使用,使用前应经过审批,限制在只可以从安全的网络进行访问并对系统进行安全配置和记录日志。信息安全管理部门应定期进行检查。第六十九条无线网络的接入必须通过审批,无线网络区域必须经过隔离以防止信号溢出,无线传输的数据必须
18、加密。第七十条网络系统应拥有完善的网管系统,网管系统应能够提供网络系统状态的实时监控和故障报警功能。第七十一条各类网络设备用户的使用应经过安全认证、合理授权和日志记录,认证应采用高安全强度的认证方式,对用户的权限应合理规划,实现角色的分离和相互制约,限制用户权限尤其是超级用户权限的滥用和误用。应制定在认证系统失效和密码遗忘等紧急情况下的用户使用流程,信息安全管理部门应定期对网络设备用户进行检查。第七十二条防火墙策略的制定要遵循最小授权原则和除非明确允许禁止所有其他访问原则,只开放必须的地址、协议和端口。防火墙策略的变更应经过测试和审批,并对所有的防火墙策略进行登记和归档,定期备份防火墙日志。信
19、息安全管理部门应定期对防火墙策略及日志进行检查。第七十三条利用防火墙、防病毒、安全漏洞扫描、网络非法外联、网络入侵监测软件和工具,对获得的信息进行分析,发现安全事件,按照规定及时处理并上报上级信息安全管理部门,并对其日志进行保存和检查。第七十四条各级单位和部门必须按照省联社科技信息中心的要求,使用全省统一的防病毒软件,严禁自行安装其他防病毒软件。及时进行防病毒软件的升级工作。各级信息安全管理部门要及时开展防病毒管理工作的监督和检查,对病毒感染事件,及时处理并上报。第七十五条各级单位和个人不得在信息系统内各类信息园地栏目、网络邮件系统中发布、传递与业务无关的信息,及时删除垃圾邮件,不得利用网络系
20、统从事危害全省信息系统安全的活动。第七十六条要建立、健全电子邮件、传真、IP电话、视频会议等办公系统的安全使用制度,并实施必要的安全控制措施,确保办公系统的安全。第七十七条严禁将含有涉及农村合作金融机构商业秘密和有关重要业务信息数据的计算机与互联网连接,严禁用于上网的计算机(包括笔记本电脑和台式机电脑)保留涉及秘密和有关业务信息的数据。第五节系统安全第七十八条系统安全实施部门应按照系统安全技术标准对所负责的系统进行安全配置,信息安全管理部门应定期组织进行安全标准的符合性检查。第七十九条信息安全管理部门应组织制定系统的主机名命名规范并定期检查落实情况,安全实施部门负责命名规范的执行。第八十条系统
21、必须在合理的访问控制机制下运行,用户对系统资源的访问,必须进行身份认证和授权,用户的权限分配应该遵循最小授权原则并做到角色分离。第八十一条严格管理超级用户的使用,使用前应经过审批,信息安全管理部门应定期对超级用户的使用进行检查。应开启系统的用户密码复杂度功能,设置安全的用户密码。严禁多人共用同一用户。应定期对用户进行核对,清理冗余用户。第八十二条保持准确的系统时间,重要系统应建立时钟同步机制。第八十三条对系统的用户活动等安全相关事件进行日志记录并定期进行系统检查工作。第八十四条只开启必须的系统服务和功能,系统安装时应采用最小安装方式,只安装必须的软件。第八十五条及时进行操作系统补丁程序的测试、
22、发布和安装工作。第八十六条信息安全管理部门应定期进行系统的漏洞扫描工作,及时发现安全漏洞并督促系统安全实施部门整改。第六节安全技术及使用第八十七条安全技术包括防病毒、漏洞扫描、入侵检测、入侵防御、拨号外联监测、集中用户管理等。第八十八条使用各类安全技术前应报送省联社信息安全管理部门审批,严禁擅自使用。第八十九条安全技术的使用和管理应制定相应的使用手册、工作流程和工作计划。第九十条对生产系统可能造成影响的安全技术,在使用前应经过严格的审批,并与相关部门共同确定影响最小的时间段和安全使用的方法。第九十一条严格保管安全技术的硬件设备、软件介质、使用记录和问题报告,未经批准严禁扩散使用范围和泄露敏感信
23、息。第七节项目安全第九十二条在项目立项前,根据项目所涉及的信息资产的安全等级、项目范围及项目类别,定义项目的安全目标。第九十三条根据项目的安全目标,从安全风险管理的角度对项目进行安全风险分析,识别项目所面临的威胁、评估项目的脆弱性、确定发生风险的可能性、明确风险的影响程度,确定风险等级,形成风险分析报告,以确定项目的安全需求。第九十四条根据安全需求分析,综合考虑实现成本、技术成熟性、可操作性、实用性等,制定安全设计方案,明确安全控制措施及所采取的安全技术。第九十五条在编制实施方案时,方案必须考虑到实施过程中的风险,必须包含详细的实施步骤、应急方案、测试方案和项目实施计划。第八节软件开发与应用安
24、全第九十六条软件产品开发必须符合软件工程规范,软件开发整个过程都必须在严密的监督下进行,保证软件产品的安全。所采用的技术和方案,必须保护其信息资产的安全。第九十七条在应用需求调研阶段,应依据风险分析的结果明确所有的安全需求并形成文档,已确定的安全需求应体现在应用系统设计中。第九十八条建立代码安全管理机制,做好代码的登记、备份、存放、访问、变更、作废等整个生命周期的安全管理。第九十九条各级单位和部门的计算机必须使用科技部门统一配备的操作系统、数据库、应用软件和工具软件。未经信息安全管理部门批准,不得在生产系统、测试系统和办公系统中擅自开通网络通讯协议,不得擅自安装操作系统、数据库、应用软件和工具
25、软件。第一百条各级单位和部门必须根据信息安全管理部门的部署,安装统一的防火墙、防病毒、拨号外联监测、入侵监测、安全漏洞扫描等安全产品。第九节操作与运行安全第一百零一条在正常的生产运行中,所有对生产系统的实质性操作必须按照经过审批的操作手册,由操作员按权限控制要求执行并进行双人复核,其他人员不得直接对系统或应用进行任何操作。第一百零二条严格管理各类数据及其存储介质,不得擅自阅读、复制、修改和外泄数据的内容。第一百零三条生产系统中不得保留与生产业务无关的程序或数据。第一百零四条信息安全管理部门应对生产管理流程进行安全性检查,对可能引起安全问题的生产活动,具有一票否决权。第一百零五条必须对软件和数据
26、制作备份,重要软件和数据的备份必须实行异地存放。第一百零六条用于开发和测试的生产数据必须经专用的处理程序进行变形处理。第十节机密资源安全第一百零七条所有机密资源必须登记造册,严格保管。第一百零八条机密资源的使用必须指定专人进行双人操作,并做好使用记录,不使用时必须存放在脱机介质上。第一百零九条机密资源使用者不得以任何形式非法复制、修改和外泄资源内容。第一百一十条制作、维护和使用机密资源的人员不得同时承担机密资源的管理工作。第一百一十一条机密资源的备份介质应定期检查和转存,以确保其可用性和完整性。第一百一十二条访问机密资源的密码应采用介质形式保存,多人共同保管,以保证随时可用,其密码的内容应定期
27、(或不定期)更换,同时做好相应的登记工作。第一百一十三条研发、测试、生产环节的机密资源移交应经各相关单位审批后,指定信息安全管理部门专人办理移交手续,不得邮寄。第一百一十四条存储机密资源设备发生故障需由外单位人员进行现场维护与维修时,必须有行(社)内相关人员全程监督。需送外单位维护、维修或接受厂商升级服务时,应事先清除其相应的机密资源内容。第一百一十五条对过期停用的机密部件或介质应进行销毁,并遵循严格审批手续,做好登记,由双人负责实施,保证彻底销毁。第一百一十六条涉密人员调离时,必须移交全部技术资料及有关机密资源的介质,停止其使用、维护和管理的权限,并及时更换访问机密资源的密码。第一百一十七条
28、涉及核心机密资源开发的人员调离本系统时,要严格执行省联社人事部门有关脱密期的规定,确认其对本系统安全不会造成危害后方可调离。第十一节科技档案安全第一百一十八条根据各单位实际情况对科技档案划分保密级别和明确安全要求,对科技档案实施分级安全管理。第一百一十九条为确保科技档案安全,各单位档案室的专用库房应具备防盗、防火、防有害生物等条件,并采用先进技术、设备和监控防护手段,逐步实现档案保管的现代化。第一百二十条建立科技档案和存储介质的转移、销毁及重用的安全机制,有效清除或销毁敏感信息,防止泄露。第十二章指标体系第一百二十一条信息安全管理部门应根据计算机信息系统安全制度、安全规范和标准制定全面衡量安全
29、管理工作的指标体系。第一百二十二条定性指标应包括信息资产管理、风险管理的全面性和时效性、用户访问的安全性、系统的安全设置、网络访问控制的安全性、系统日志的管理和分析、数据安全性、员工安全意识、安全规范和标准的符合性、各类补丁安装及防病毒管理、应急预案的手册的完备性等。第一百二十三条定量指标应包括安全事件发生次数和增减率、违反安全规范的次数和增减率、安全检查和审计次数、安全检查和内部审计发现安全问题整改比率、外部审计发现问题次数及整改比率、安全培训次数等。第十三章评价及报告第一百二十四条信息安全管理部门应定期(或不定期)对本单位的制度建设、检查审计、风险评估、资产保护、应急管理、机房管理、机密资
30、源等管理情况进行总结,向上一级信息安全管理部门提交安全管理现状报告,重点反映安全管理执行情况和存在的问题,并提出改进建议。第一百二十五条针对漏洞扫描、入侵监测、防病毒、拨号外联监测等安全技术的运行、效能、管理等情况进行定期评价,并向上一级信息安全管理部门提交工作报告。第十四章持续改进第一百二十六条信息安全管理部门根据安全管理现状提出问题及改进意见,要求责任部门制定短、中、长期改进计划,跟踪落实整改工作,并进行再评估和再检查,直至整改结果符合制度、规范和标准。第一百二十七条不断引进安全技术及检查软件和工具,以提高安全监控和检查的效率和质量。第十五章附则第一百二十八条本办法由省联社负责制订、解释和修改。第一百二十九条本办法自印发之日起执行。