农商行信息安全策略(试行)模版-.docx

农商行信息安全策略(试行) 　 第一章  总体目标及原则 第一条     农商行信息系统安全总体目标是保护信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，合法、合规发展我社各类信息系统，为社会各界提供安全高效稳定的金融服务。 第二条     实现农商行信息系统安全总体目标应本着“安全第一、预防为主、职责明确、综合治理”的基本原则。建立信息资产所有人机制，明确信息资产所有人（业务部门）、代管人（信息科技部门）及安全管理人的权责并对信息资产进行分类。 第二章　组织管理体系 第三条     组织管理体系建立的目标是建立农商行自上而下的信息安全领导小组，确立安全管理组织机构的职责，统筹规划、专家决策，以推动农商行全辖信息安全工作的开展。 第四条     农商行联合社（以下简称“省联社”）、各办事处（市联社）、各县级联社成立信息安全领导小组（以下简称“安全领导小组”）。安全领导小组下设办公室（以下简称 “安全办公室”）。安全办公室设在各级科技部门。 第五条     省联社科技部门设置专职信息系统安全管理员，市办事处（市联社）科技部门和县级联社科技部门设置专（兼）职信息系统安全管理员。信息系统安全管理员的数量根据信息系统数量、复杂程度和监管要求确定。 第三章　人员安全管理 第六条     人员安全管理的目标是通过设立安全管理制度及岗位责任制，为保证最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险。 第七条     人员是信息系统安全的决定性因素，与信息安全相关的岗位职责分配的基本原则为： （一）职责分离原则：在人员岗位建立时，相关的信息系统访问的安全责任应该确定，不相容的职责应分离。接触信息系统的人员应承担与其工作性质相应的安全责任，各类人员不得从事超越自己职责以外的任何工作。 （二）有限授权原则：任何人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。 （三）相互制约原则：安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。 （四）任期审计原则：应记录并监控员工在任职期内的信息资源访问活动。 第八条     信息系统关键岗位员工（是指计算机系统运行过程中直接从事生产系统或周围设施管理的人员）必须是本（行）社正式签订劳动合同的员工，上岗前要对其进行培训，并使其充分了解信息系统安全的至关重要性。对各类计算机系统的相关人员应实施有针对性、有计划的计算机安全教育和培训。员工通过培训应明确与本职工作有关的计算机安全知识和责任。 第九条     定期考核员工的工作表现，调整与其岗位不符的安全职责权限或调离违反岗位安全规则的员工。 第十条     员工离职前，应交还手中持有的与信息系统相关的文档、物品，应交接其负责的工作。一经离职，人力资源部门要立即通知信息资源控制部门，相应的信息系统合法身份及权限应立即注销，视调离保密岗位人员的重要程度，及时调整系统的安全保密措施。 第十一条 所有员工必须定期签订信息安全及保密承诺。并进行相关安全教育培训。 第四章  标准化和规范化管理 第十二条 标准化和规范化安全的目标是通过建立农商行内部业务处理、操作流程、信息系统管理和技术等一系列标准化和规范化的过程，奠定信息系统安全的基础。 第十三条 应该根据业务对我社资产保护的需要，制订应用系统的安全等级，建立我社各项业务的标准、规范化处理流程和业务数据标准，以及确定各级员工对信息资源访问的权限标准。 第十四条 农商行信息技术管理部门应该规范信息系统的工程建设，依照国家或银行业的安全管理政策和标准，逐步建立信息系统安全的各项管理规范和相关技术标准，规范基础设施建设、系统和网络平台建立、应用系统开发、运行管理等重要环节，创建信息系统安全的基础。 第五章  设备与物理环境安全 第十五条 设备与物理环境安全的目标是保护农商行计算机设备、设施（含网络）以及信息系统的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。 第十六条 安全计划和安全管理必须实施于信息系统基础设施建设的需求计划、部署实现、安装启用、终止结束等完整工程生命周期的各个阶段。 第十七条 信息系统有关物理环境的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准，配备防火、防雷、防水、防静电、防鼠等机房安全设施，有效防止数据泄密，维持系统不间断的运行能力，确保信息系统运行的安全可靠。 第十八条 应对突发事故，实体安全建立应急计划，配备应急电源，实施系统主机及重要设备的备份、冗余技术保护措施；对数据应做到异地备份或做到异地存放；应对灾难事故，实体安全建立灾难中心，实现物理实体的恢复机制。根据实际情况定期实施主备机的切换和应急方案的演练。 第十九条 限制和规定计算中心、重要信息设备所在地的人员进出活动。 第二十条 对重要安全设备产品的选择，必须符合国家有关技术规范或经过专业测评机构检测不低于本行业计算机安全管理技术规范中的最低安全要求，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。 第二十一条  严格确定信息设备的合法使用人。建立详细的设备使用运行日志及故障维修记录，实施定期的设备维护、保养操作。 第六章  应用系统安全 第二十二条  应用系统安全的目标是保证农商行各业务应用系统开发过程以及最终产品的安全性，安全建设必须与应用系统建设同步进行。 第二十三条  应用系统安全决定了银行资金的安全，应用系统安全化建设是我社业务发展的重要组成部分。 第二十四条  质量管理和安全监控必须实施于应用系统从计划到运行全周期的各阶段（即需求计划阶段、系统设计阶段、技术实现阶段、安装测试以及投产运行阶段）。 第二十五条  应用系统的总体需求计划阶段，应全面评估系统的安全风险，分析系统的潜在威胁，根据银行信息资源的保护等级策略，确立系统的访问控制、身份认证、信息加密、审计跟踪、稽核检查等安全需求，并征求保卫部、监察部、稽核部意见，确立应用系统的安全策略。 第二十六条  在应用系统的总体架构设计的过程中，应实施安全需求设计，并确立安全服务机制、项目开发人员安全技术要求和操作规程。 第二十七条  应用系统的实现阶段，应根据安全需求设计实施安全技术，对应用系统技术实现过程进行质量管理，防止技术开发人员故意保留“后门”，保证系统最终产品的安全性质量。 第二十八条  在应用系统建设的各阶段，必须保证应用软件的完整性，即确保软件的变更是经过授权及合法性的验证；必须形成各阶段相应的系统功能设计及技术实施的规范性文档，以及重要的系统安全策略，安全规划、应急计划、风险分析、安全服务机制等安全性文档，并随着系统实现的进程应保持文档变更的同步及准确。 第二十九条  应用系统投产运行之前，必须充分进行局部功能、整体功能、压力测试，以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重要安全性测试，测试的结果应记录文档。 第三十条 只有正式经过管理、操作、技术控制等安全鉴定获准的应用项目，可以投入生产运行。 第七章  通信网络安全 第三十一条  网络安全的目标是有效防范网络体系的安全风险，为农商行应用系统发展提供安全、可靠、稳定的网络管理和技术平台。 第三十二条  通信网络安全建设是我社业务发展的基础，通信网络安全管理和网络安全技术的配合是获得网络整体安全的基本保障。 第三十三条  通信网络架构的安全可靠性设计、网络建设的安全投入应依照国家或银行业制定的各项安全管理规定和安全产品技术标准，充分考虑银行应用的发展规划和安全保护等级。 第三十四条  对于依赖网络架构安全性的业务和应用系统，必须视其安全级别，实施相应的访问控制、身份认证、抗抵赖、加密、审计等信息安全服务机制，以提高业务和应用系统的安全防护能力。 第三十五条  在内部网络与外部网络的接入口、内部区域网的接入口、重要业务系统的外联接入口，必须视信息资源的保护等级，实施相应安全级别的隔离防火墙、认证、审计、动态检测等安全技术措施，防范信息资源被非法访问、篡改和破坏。任何员工不得在未经安全管理认可的情况下，擅自从内部网络的计算机直接访问银行外部网络。 第八章　运行安全 第三十六条  运行安全的目标是保证农商行的信息系统日常运行的安全稳定，对信息系统的运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等方面实施安全性管理。 第三十七条  对信息系统运行阶段的任何变化，数据、软件、物理设置等，都应实施技术监控和管理手段以确保其完整性，即防止信息被非法复制、非授权的修改及破坏，确保信息系统的任何查询和变更操作是经过授权及合法性验证。 第三十八条  软件是计算机系统运行的核心。软件的安全保护及正确运行至关重要，应严格控制计算机系统中软件的使用。软件的随意下载及运行，将使银行计算机网络系统容易产生病毒侵入，干扰系统正常运行及系统安全防护的失效。新版软件、版本升级过程要实施投产前必要的软件检验和测试。 第三十九条  技术支持人员、软硬件供应商、第三方技术提供商都有可能从事技术维护服务。银行必须实施严格的访问控制机制和制度，确保只有合法的人员才能进入系统从事维护活动。 第四十条 应建立多层次、立体式病毒防护体系，维持病毒采集、汇总、上报、升级的渠道顺畅，提高病毒检杀的响应能力，从网络、服务器、单机的各个环节有效防范病毒侵入。 第四十一条   信息系统的程序和数据备份至关重要。备份的周期取决于数据的变动频度及变动的重要程度，重要的系统和数据必须做到异地备份，确定备份的工作流程。要经常检测备份以保证其可用性。备份应安全存放。 第四十二条  对各种信息媒介应实施物理环境保护及其他各种控制措施，确保磁带、磁碟、光盘、打印数据等重要媒介不失密、不被破坏、不被篡改和不失效，维护其完整性和可用性，并授权专人负责介质的登记、存放、检验等维护工作。 第四十三条  计算机技术维护和操作都应有相应的文档，以确保支持的连续性和一致性。正确的操作描述文档有助于防止对安全的忽视、减少操作的失误。 第四十四条  当数据信息、硬件设备、软件程序结束运行使用时，视需求分别进行存档、废弃和销毁处理。存档的信息应充分考虑将来查找和检索的需要；电子信息的存档要考虑到数据生成技术的未来可用性；为满足加密信息的查询需要，应对加密密钥采取有效的存放保管措施。重要信息的销毁应在相关人员的监督下完成。 第九章　应急计划 第四十五条  信息系统应急计划的目标是分析信息系统可能出现的紧急事件或者灾难事故，技术支持和业务部门应建立一整套应急措施，以保障银行关键核心业务的连续服务。 第四十六条  一旦发生重大的或灾难性事故时，应迅速进行灾情分析，并上报安全领导小组，各安全领导小组即成为应急领导小组，负责指挥执行紧急应变计划，排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作，防止事态的扩大。 第四十七条  应急计划要充分考虑到信息系统可能面临的由于系统设备、软件、网络通讯而造成的紧急故障，地震、火灾等自然灾难事故，以及由计算机病毒、恶性程序代码和来自行内、外部人员非法侵入产生的安全事件。银行应建立对安全事件的快速反应机制，并使之成为应急计划的一部分。 第四十八条  根据银行业务服务的要求以及对事故的恢复能力，确定应急措施所维持的核心业务及优先级别。 第四十九条  应急措施的建立将维持关键核心业务服务，银行应对构成核心业务的全部资源进行分析，明确相关的人员、设备处理能力、基础服务支持、数据和应用系统、文档及文件等资源。 第五十条 应急方案的设立应充分考虑可能发生的事故，同时应本着实用、灵活、低成本原则。根据各核心业务的资源，确定应急方案的人员指挥架构及工作流程。应急计划要明确描述紧急事故发生、核心业务的应急处理、正常业务的恢复等各环节的流程及操作步骤。 第五十一条  为确保应急计划的正确启用，应确保编写正确的应急手册及对人员的培训。 第五十二条  为保证应急计划的有效，应针对不同业务系统要求，定期进行应急方案的测试演练，并适应当前系统资源的变化，及时调整、完善应急计划。 第五十三条  针对恶性安全事件，信息系统应具备相应的技术措施，提供对安全事件的快速反应机制，并及时中断安全事件对其他系统的危害，迅速搞清本系统存在的漏洞，有效防范未来事故的再次出现。 第十章　信息保密安全 第五十四条  信息保密安全的目标是建立信息安全保密管理制度，实施有效安全技术，保护农商行的各种密级信息，防止外泄和失密。 第五十五条  必须依照国家有关政策法规，不得将涉及国家秘密的信息系统，直接或间接地联入国际互联网或其他公共信息网络，必须采取有效隔离。员工必须遵守国家有关保密规定，不得利用电子函件传递、转发或抄送国家秘密信息和我社的商业信息。 第五十六条  办公信息网与生产业务网应实行有效隔离措施。 第五十七条  对于银行信息系统的个人访问密码、密钥、信息系统的功能实现技术和资料文档，加密、鉴别、认证、密钥产生等关键安全技术措施，以及目前系统尚存的风险漏洞等决定信息系统安全性能的重要信息，员工不得向外泄露。员工有责任将银行信息系统存在的隐患和漏洞通过适当通道向有关部门报告。 第十一章　安全责任 第五十八条  任何人员只能访问其职责权限范围内的信息资源，如发现超越职责权限访问资源等违规行为，应立即停止其访问权利，并依照《农商行工作人员违规行为处罚办法》处理。 第五十九条  任何人员如有故意编造或发送恶意程序、输入计算机病毒，影响正常办公、业务信息处理秩序的行为，视情节严重情况，给予相应的行政处分，构成犯罪的应送交公安部门处理。 第十二章  附则 第六十条    本策略由农商行联合社负责解释。 第六十一条  本策略自下发之日起施行。