XX農(nóng)商銀行計(jì)算機(jī)信息系統(tǒng)安全管理制度

XX農(nóng)商銀行計(jì)算機(jī)信息系統(tǒng)安全管理制度X農(nóng)商銀〔2019〕228號(hào)

第一章總則第一條為加強(qiáng)XX農(nóng)商銀行（以下簡(jiǎn)稱本行）計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，保障本行計(jì)算機(jī)信息系統(tǒng)安全、穩(wěn)定運(yùn)行，根據(jù)《浙江省農(nóng)村金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全管理暫行規(guī)定》，結(jié)合本行實(shí)際情況，特制訂本制度。第二條本行計(jì)算機(jī)安全管理部門是指XX農(nóng)商銀行的科技信息管理部門。第三條本行的計(jì)算機(jī)安全管理部門應(yīng)對(duì)電子化項(xiàng)目建設(shè)的規(guī)劃、立項(xiàng)、開發(fā)、驗(yàn)收、運(yùn)行及廢止各環(huán)節(jié)進(jìn)行安全監(jiān)管第四條本制度圍繞計(jì)算機(jī)信息系統(tǒng)制定,凡是與各項(xiàng)計(jì)算機(jī)信息系統(tǒng)運(yùn)行相關(guān)的所有計(jì)算機(jī)管理、操作及維護(hù)均受本制度約束。第二章計(jì)算機(jī)安全人員管理

第一節(jié)人員基本要求第五條本制度所稱計(jì)算機(jī)安全人員，是指本行計(jì)算機(jī)安全管理部門的專（兼）職計(jì)算機(jī)安全管理人員。第六條計(jì)算機(jī)安全人員應(yīng)當(dāng)政治過硬、業(yè)務(wù)素質(zhì)髙、遵紀(jì)守法、恪盡職守。第七條計(jì)算機(jī)安全管理部門人員及專職計(jì)算機(jī)安全管理員應(yīng)有銀行計(jì)算機(jī)工作三年以上經(jīng)歷，具備本科以上學(xué)歷。兼職計(jì)算機(jī)安全管理員應(yīng)有銀行業(yè)務(wù)工作五年以上或?qū)Ｂ氂?jì)算機(jī)維護(hù)管理工作三年以上經(jīng)歷，具備?？埔陨蠈W(xué)歷。第八條違反國(guó)家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事計(jì)算機(jī)安全管理工作。第九條計(jì)算機(jī)安全人員應(yīng)具有公安部門頒發(fā)的計(jì)算機(jī)安全培訓(xùn)合格證書。第二節(jié)人員配備與管理第十條全省農(nóng)村合作金融機(jī)構(gòu)本行計(jì)算機(jī)安全管理部門應(yīng)配備專職或兼職的計(jì)算機(jī)安全管理員。第十一條計(jì)算機(jī)安全人員的配備和變更情況，應(yīng)向上一級(jí)主管部門報(bào)備。第十二條計(jì)算機(jī)安全人員必須實(shí)行持證上崗制度。第十三條計(jì)算機(jī)安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。第三節(jié)職責(zé)范圍第十四條計(jì)算機(jī)安全管理部門的職責(zé)是：（一） 貫徹執(zhí)行計(jì)算機(jī)信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組的決議，指導(dǎo)、監(jiān)督、協(xié)調(diào)和規(guī)范計(jì)算機(jī)安全工作；（二） 擬訂計(jì)算機(jī)安全總體規(guī)劃和計(jì)算機(jī)信息系統(tǒng)安全管理制度，并監(jiān)督執(zhí)行；（三） 跟蹤先進(jìn)的計(jì)算機(jī)安全技術(shù)，提出計(jì)算機(jī)安全防范策略;（四） 參與計(jì)算機(jī)信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；（五） 參與計(jì)算機(jī)安全專用產(chǎn)品的選型，組織計(jì)算機(jī)信息系統(tǒng)安全的評(píng)估和審批；（六） 組織轄內(nèi)計(jì)算機(jī)安全檢查，分析轄內(nèi)計(jì)算機(jī)安全總體狀況，提出安全分析報(bào)告和安全防范建議；（七） 組織轄內(nèi)計(jì)算機(jī)安全知識(shí)的培訓(xùn)和宣傳工作；（八） 配合有關(guān)部門進(jìn)行計(jì)算機(jī)安全內(nèi)部審計(jì)和金融計(jì)算機(jī)犯罪案件調(diào)查，打擊金融計(jì)算機(jī)犯罪；（九） 加強(qiáng)與公安機(jī)關(guān)計(jì)算機(jī)安全職能部門、政府安全保密職能部門聯(lián)系，并接受指導(dǎo)；（十）及時(shí)向計(jì)算機(jī)信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告計(jì)算機(jī)安全事件。第十五條專（兼）職計(jì)算機(jī)安全管理員應(yīng)履行以下職責(zé)：（一） 負(fù)責(zé)計(jì)算機(jī)安全管理的日常工作；（二） 開展計(jì)算機(jī)安全檢查工作，對(duì)要害崗位人員安全工作進(jìn)行指導(dǎo)；（三） 開展計(jì)算機(jī)安全知識(shí)的培訓(xùn)和宣傳工作；（四） 監(jiān)控計(jì)算機(jī)安全總體狀況，提出安全分析報(bào)告；（五） 了解行業(yè)動(dòng)態(tài)，為改進(jìn)和完善計(jì)算機(jī)安全管理工作，提出安全防范建議；（六） 及時(shí)向計(jì)算機(jī)信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告計(jì)算機(jī)安全事件。第十六條計(jì)算機(jī)安全人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解涉及本行計(jì)算機(jī)信息系統(tǒng)的機(jī)密信息。第十七條計(jì)算機(jī)安全人員發(fā)現(xiàn)本單位重大安全隱患，有權(quán)向上級(jí)機(jī)構(gòu)計(jì)算機(jī)安全管理主管部門報(bào)告。第十八條 計(jì)算機(jī)安全人員發(fā)現(xiàn)計(jì)算機(jī)信息系統(tǒng)要害崗位人員使用不當(dāng)，應(yīng)及時(shí)向計(jì)算機(jī)信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組建議調(diào)整。第十九條 計(jì)算機(jī)安全人員必須嚴(yán)格遵守國(guó)家有關(guān)法律、法規(guī)和行業(yè)規(guī)章，嚴(yán)守國(guó)家、行業(yè)和崗位秘密。第四節(jié)培訓(xùn)與教育第二十條 計(jì)算機(jī)安全人員應(yīng)定期參加下列計(jì)算機(jī)安全知識(shí)和技能的培訓(xùn)：（一） 計(jì)算機(jī)安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；（二） 計(jì)算機(jī)安全基本知識(shí)的培訓(xùn)；（三） 計(jì)算機(jī)安全專門技能的培訓(xùn)。第二十一條計(jì)算機(jī)安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。第三章計(jì)算機(jī)信息系統(tǒng)要害崗位人員管理

第一節(jié)人員管理第二十二條本制度所稱計(jì)算機(jī)信息系統(tǒng)要害崗位人員，是指與重要計(jì)算機(jī)信息系統(tǒng)直接相關(guān)的項(xiàng)目開發(fā)員、系統(tǒng)管理員（含中間業(yè)務(wù)管理員、機(jī)房管理員）、網(wǎng)絡(luò)管理員、運(yùn)行維護(hù)員、業(yè)務(wù)操作員等崗位人員。第二十三條本制度所稱重要計(jì)算機(jī)信息系統(tǒng)，是指涉及本行資金和金融秘密信息的計(jì)算機(jī)信息系統(tǒng)。第二十四條要害崗位人員上崗前必須經(jīng)單位人事部門進(jìn)行政治素質(zhì)審查，業(yè)務(wù)技能考核，合格者方可上崗。第二十五條要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則。項(xiàng)目開發(fā)人員、系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、運(yùn)行維護(hù)人員、業(yè)務(wù)操作人員不得互兼。第二十六條對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假（或輪崗）制度和定期考查制度，并進(jìn)行必要的安全教育和培訓(xùn)。第二十七條要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及本行保密信息的要害崗位人員調(diào)離本單位，必須在規(guī)定的脫密期后，方可調(diào)離。第二十八條要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。第二節(jié)安全責(zé)任第二十九條系統(tǒng)開發(fā)員安全責(zé)任（一） 軟件系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)；（二） 系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交軟件源代碼和相關(guān)涉密資料；（三） 不得對(duì)系統(tǒng)設(shè)置“后門”；（四） 對(duì)系統(tǒng)核心技術(shù)保密。第三十條 系統(tǒng)管理員安全責(zé)任（一） 負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；（二） 嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；（三） 認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；（四） 對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。第三^一條網(wǎng)絡(luò)管理員安全責(zé)任（一） 負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；（二） 安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行；（三） 監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；（四）對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。第三十二條運(yùn)行維護(hù)員安全責(zé)任（一） 負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；（二） 不得擅自改變系統(tǒng)功能；（三） 不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序；（四） 維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。第三十三條業(yè)務(wù)操作員安全責(zé)任（一） 嚴(yán)格執(zhí)行各項(xiàng)業(yè)務(wù)的操作規(guī)程和安全管理制度；（二） 不得向他人提供自己的操作密碼；（三） 及時(shí)向安全管理人員報(bào)告信息系統(tǒng)、網(wǎng)絡(luò)運(yùn)行的各種異常事件。第三十四條各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和計(jì)算機(jī)安全管理規(guī)定，并簽訂信息化建設(shè)保密協(xié)議。第四章計(jì)算機(jī)機(jī)房安全管理

第一節(jié)機(jī)房建設(shè)安全管理第三十五條本行中心機(jī)房（以下簡(jiǎn)稱機(jī)房）的建設(shè)和改造方案應(yīng)通過上級(jí)計(jì)算機(jī)安全管理部門的安全審批。第三十六條機(jī)房應(yīng)按重要性進(jìn)行分級(jí)管理，分級(jí)標(biāo)準(zhǔn)按有關(guān)規(guī)定執(zhí)行。第三十七條機(jī)房應(yīng)合理分區(qū)，保障生產(chǎn)環(huán)境與運(yùn)行環(huán)境有效的安全空間隔離。第三十八條機(jī)房建設(shè)應(yīng)當(dāng)符合下列基本安全要求：（一） 機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物，如加油站、煤氣站等；（二） 機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施；（三） 機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)；（四） 機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的UPS和發(fā)電機(jī)。第二節(jié)機(jī)房運(yùn)行安全管理第三十九條機(jī)房是重點(diǎn)保護(hù)的要害部位，機(jī)房主管部門應(yīng)依照安全第一的原則，建立、健全嚴(yán)格的機(jī)房安全管理制度，并定期檢查制度執(zhí)行情況。第四十條計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。生產(chǎn)區(qū)（服務(wù)器、網(wǎng)絡(luò)設(shè)備運(yùn)行區(qū)域）實(shí)行24小時(shí)連續(xù)監(jiān)控，操作區(qū)（管理人員辦公區(qū)域）實(shí)行工作時(shí)間連續(xù)監(jiān)控，輔助區(qū)（電源間）實(shí)施聯(lián)動(dòng)監(jiān)控。第四^一條監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運(yùn)作，防止監(jiān)控信息的泄密。第四十二條加強(qiáng)進(jìn)出機(jī)房人員管理，禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)機(jī)房主管部門領(lǐng)導(dǎo)批準(zhǔn)，外來(lái)人員進(jìn)出機(jī)房還須辦理登記手續(xù)，并由專人陪同。第四十三條發(fā)生機(jī)房重大事故或案件，機(jī)房主管部門應(yīng)立即向有關(guān)單位報(bào)告，并保護(hù)現(xiàn)場(chǎng)。第五章計(jì)算機(jī)網(wǎng)絡(luò)安全管理

第一節(jié)網(wǎng)絡(luò)建設(shè)安全管理第四十四條網(wǎng)絡(luò)安全建設(shè)和改造方案應(yīng)通過上級(jí)計(jì)算機(jī)安全管理部門的安全審批。第四十五條網(wǎng)絡(luò)建設(shè)應(yīng)配備必要的安全專用產(chǎn)品。第四十六條網(wǎng)絡(luò)建設(shè)中涉及網(wǎng)絡(luò)安全的資料，應(yīng)備案建檔，統(tǒng)一管理。第四十七條網(wǎng)絡(luò)建設(shè)應(yīng)符合下列基本安全要求：（一） 網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略；（二） 能夠保證網(wǎng)絡(luò)傳輸信道的安全，信息在傳輸過程中不會(huì)被非法獲??；（三） 應(yīng)具有防止非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)盜用信息和進(jìn)行惡意破壞的技術(shù)手段；（四） 應(yīng)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)的功能；（五） 應(yīng)根據(jù)需要對(duì)網(wǎng)絡(luò)采取必要的技術(shù)隔離措施；（六） 能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞；（七） 應(yīng)具有應(yīng)付突發(fā)情況的應(yīng)急措施。第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理第四十八條計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行維護(hù)部門應(yīng)建立相應(yīng)安全操作規(guī)程與規(guī)章制度。第四十九條重要網(wǎng)絡(luò)設(shè)備應(yīng)放置在主機(jī)房?jī)?nèi)，由網(wǎng)絡(luò)管理員負(fù)責(zé)管理，其他人員不得對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行任何操作。第五十條 網(wǎng)管設(shè)備屬專管設(shè)備，必須嚴(yán)格控制其管理員密碼。第五^一條重要網(wǎng)絡(luò)通信硬件設(shè)施、網(wǎng)管應(yīng)用軟件設(shè)施及網(wǎng)絡(luò)參數(shù)配置應(yīng)有備份。第五十二條改變網(wǎng)絡(luò)路由配置和通信地址等參數(shù)的操作，必須具有包括時(shí)間、目的、內(nèi)容及維護(hù)人員等要素的書面記錄。第五十三條與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護(hù)措施。第五十四條網(wǎng)絡(luò)管理人員應(yīng)隨時(shí)監(jiān)測(cè)和定期檢查網(wǎng)絡(luò)運(yùn)行狀況，對(duì)獲得的信息應(yīng)進(jìn)行分析，發(fā)現(xiàn)安全隱患應(yīng)報(bào)告計(jì)算機(jī)安全人員。第五十五條有權(quán)單位使用專用設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)時(shí)，網(wǎng)絡(luò)管理人員應(yīng)給予必要的協(xié)助和監(jiān)督。第五十六條網(wǎng)絡(luò)掃描、監(jiān)測(cè)結(jié)果和網(wǎng)絡(luò)運(yùn)行日志等重要信息應(yīng)備份存儲(chǔ)。第五十七條聯(lián)網(wǎng)計(jì)算機(jī)應(yīng)定期進(jìn)行升級(jí)病毒庫(kù)，進(jìn)行查、殺病毒操作，發(fā)現(xiàn)計(jì)算機(jī)病毒，應(yīng)按照規(guī)定及時(shí)處理。用介質(zhì)交換信息要進(jìn)行病毒預(yù)檢，防止病毒對(duì)系統(tǒng)和數(shù)據(jù)的破壞。第五十八條嚴(yán)禁超越網(wǎng)絡(luò)管理權(quán)限，非法操作業(yè)務(wù)數(shù)據(jù)信息,擅自設(shè)置路由與非相關(guān)網(wǎng)絡(luò)進(jìn)行連接。第三節(jié)接入國(guó)際互聯(lián)網(wǎng)管理第五十九條業(yè)務(wù)網(wǎng)的所有計(jì)算機(jī)設(shè)備（除與省農(nóng)信聯(lián)社科技信息處網(wǎng)銀等特殊業(yè)務(wù)連接外），不得直接或間接地與國(guó)際互聯(lián)網(wǎng)相聯(lián)接，必須實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的物理隔離。第六十條 凡要求接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，須由使用部門提出申請(qǐng)，報(bào)本機(jī)構(gòu)計(jì)算機(jī)安全管理部門審批、備案。第六十一條經(jīng)許可連接國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)上使用。第六十二條國(guó)際互聯(lián)網(wǎng)接入如有賬戶和密碼，則必須實(shí)行專人管理，并定期更換密碼。第六十三條從國(guó)際互聯(lián)網(wǎng)上下載的任何信息資源，未經(jīng)檢測(cè)不得在業(yè)務(wù)網(wǎng)上使用。第六十四條各使用部門應(yīng)自覺接受計(jì)算機(jī)安全管理部門的監(jiān)督檢查。第六章計(jì)算機(jī)系統(tǒng)安全管理

第一節(jié)系統(tǒng)建設(shè)安全管理第六十五條系統(tǒng)安全建設(shè)和改造方案應(yīng)通過上級(jí)計(jì)算機(jī)安全管理部門的安全審批。第六十六條系統(tǒng)建設(shè)中涉及系統(tǒng)安全的資料，應(yīng)備案建檔，統(tǒng)一管理。第六十七條計(jì)算機(jī)信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制，在安全防護(hù)方面應(yīng)符合下列基本安全要求：（一） 采取必要的技術(shù)手段，建立嚴(yán)密的安全管理控制機(jī)制，保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；（二） 提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)；（三） 具有嚴(yán)格的用戶和密碼管理，能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；（四） 重要計(jì)算機(jī)信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序，具有身份識(shí)別和實(shí)體認(rèn)證功能。能夠自動(dòng)記錄操作人員的重要操作，具有防止抵賴機(jī)制；（五）涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。第六十八條計(jì)算機(jī)信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位應(yīng)經(jīng)過嚴(yán)格資格審查，并簽訂保密協(xié)議書，承諾其負(fù)有的安全保密責(zé)任和義務(wù)。第六十九條計(jì)算機(jī)信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場(chǎng)應(yīng)當(dāng)與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。第七十條計(jì)算機(jī)信息系統(tǒng)開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應(yīng)及時(shí)移交程序源代碼及有關(guān)技術(shù)文檔。第七—條計(jì)算機(jī)信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)不得進(jìn)行公開學(xué)術(shù)交流或發(fā)表。第七十二條計(jì)算機(jī)信息系統(tǒng)投入使用時(shí)業(yè)務(wù)部門應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。第二節(jié)系統(tǒng)運(yùn)行安全管理第七十三條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)建立相應(yīng)安全操作規(guī)程或規(guī)章制度。第七十四條計(jì)算機(jī)信息系統(tǒng)操作人員應(yīng)嚴(yán)格按照操作規(guī)程和有關(guān)安全管理制度進(jìn)行操作，保證系統(tǒng)安全運(yùn)行。第七十五條對(duì)計(jì)算機(jī)信息系統(tǒng)在運(yùn)行過程中出現(xiàn)的異?，F(xiàn)象，以及有關(guān)安全制度在執(zhí)行過程中出現(xiàn)的問題，操作人員有責(zé)任向部門領(lǐng)導(dǎo)和計(jì)算機(jī)安全管理部門報(bào)告。第七十六條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)當(dāng)加強(qiáng)對(duì)計(jì)算機(jī)系統(tǒng)運(yùn)行環(huán)境的管理，加強(qiáng)對(duì)計(jì)算機(jī)病毒的防治，保證系統(tǒng)安全運(yùn)行。第七十七條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)當(dāng)嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級(jí)用戶對(duì)數(shù)據(jù)的訪問權(quán)限。第七十八條計(jì)算機(jī)信息系統(tǒng)應(yīng)定期進(jìn)行數(shù)據(jù)備份，對(duì)備份介質(zhì)應(yīng)按規(guī)定指定專人妥善保管，重要業(yè)務(wù)系統(tǒng)的備份介質(zhì)必須異地保存。第七十九條重要計(jì)算機(jī)信息系統(tǒng)應(yīng)配備必要的備用設(shè)備、設(shè)施。第八十條 重要計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)制定計(jì)算機(jī)安全保護(hù)的應(yīng)急計(jì)劃，保證業(yè)務(wù)的不間斷運(yùn)行。第八十一條重要計(jì)算機(jī)信息系統(tǒng)應(yīng)嚴(yán)格執(zhí)行保密管理的有關(guān)規(guī)定，確保本行金融秘密的安全。第八十二條對(duì)計(jì)算機(jī)信息系統(tǒng)使用部門及有關(guān)操作人員報(bào)告的安全問題，計(jì)算機(jī)安全管理部門應(yīng)認(rèn)真受理并及時(shí)反饋處理意見。第八十三條計(jì)算機(jī)信息系統(tǒng)的廢止實(shí)行備案制度，使用部門應(yīng)向計(jì)算機(jī)安全管理部門報(bào)告并備案。第八十四條對(duì)廢止的計(jì)算機(jī)信息系統(tǒng)，使用部門應(yīng)在業(yè)務(wù)規(guī)定的保存期限內(nèi)對(duì)軟硬件和數(shù)據(jù)備份介質(zhì)妥善加以保管。超過保存期限后需要銷毀的，應(yīng)在計(jì)算機(jī)安全管理部門的監(jiān)督下予以不可恢復(fù)性銷毀。第八十五條核心系統(tǒng)用戶必須設(shè)置成直接進(jìn)入畫面的方式，不得出現(xiàn)命令提示符，所有柜員在核心系統(tǒng)操作中臨時(shí)離開終端時(shí),必須退出操作畫面或鎖屏。第三節(jié)系統(tǒng)數(shù)據(jù)安全管理第八十六條根據(jù)《XX農(nóng)商銀行計(jì)算機(jī)生產(chǎn)環(huán)境重大操作管理制度》的要求進(jìn)行數(shù)據(jù)提取與后臺(tái)數(shù)據(jù)修改。第八十七條計(jì)算機(jī)信息系統(tǒng)使用部門應(yīng)按規(guī)定進(jìn)行數(shù)據(jù)備份，并檢查備份介質(zhì)的有效性。第八十八條使用部門應(yīng)對(duì)備份介質(zhì)（磁帶、磁盤、光盤、紙介質(zhì)等）統(tǒng)一編號(hào)，并標(biāo)明備份日期、保管期限。第八十九條使用部門應(yīng)對(duì)備份介質(zhì)妥善保管，特別重要的應(yīng)異地存放，并定期進(jìn)行檢查，確保數(shù)據(jù)的完整性、可用性。第九十條使用部門應(yīng)建立備份介質(zhì)的銷毀審批登記制度，并采取相應(yīng)的安全銷毀措施。第九十一條重要計(jì)算機(jī)信息系統(tǒng)所用計(jì)算機(jī)設(shè)備的維修，應(yīng)保證金融數(shù)據(jù)信息的完整性和安全性。在維修過程中不得泄露涉密金融數(shù)據(jù)信息。第九十二條重要計(jì)算機(jī)信息系統(tǒng)使用的計(jì)算機(jī)設(shè)備更換或報(bào)廢時(shí)，應(yīng)徹底清除相關(guān)業(yè)務(wù)信息，并拆除所有相關(guān)的涉密配件，由使用部門登記封存并進(jìn)行不可恢復(fù)性銷毀。第九十三條與各類信息化系統(tǒng)（含核心業(yè)務(wù)系統(tǒng)）相關(guān)的程序、資料及重要數(shù)據(jù)禁止帶離機(jī)房或科技人員辦公室?？萍既藛T調(diào)離崗位時(shí)，必須移交所有程序和技術(shù)資料，不得截留外帶。第四節(jié)系統(tǒng)運(yùn)行平臺(tái)安全管理第九十四條系統(tǒng)管理人員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。第九十五條系統(tǒng)管理人員應(yīng)屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。第九十六條系統(tǒng)管理人員應(yīng)及時(shí)、合理安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞。第九十七條系統(tǒng)管理人員應(yīng)啟用系統(tǒng)提供的審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況。第九十八條系統(tǒng)管理人員不得泄露操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)的賬號(hào)、密碼。第九十九條聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍進(jìn)行設(shè)置，非系統(tǒng)管理人員不得修改。第五節(jié)口令密碼、密鑰安全管理第一百條計(jì)算機(jī)信息系統(tǒng)要害人員的口令密碼編制應(yīng)具有一定的復(fù)雜性，對(duì)記錄密碼的載體應(yīng)嚴(yán)格管理，確保其物理安全。第一百O—條計(jì)算機(jī)信息系統(tǒng)要害崗位人員的口令密碼，應(yīng)定期或不定期進(jìn)行更換，獨(dú)享使用，不得泄露。第一百O二條應(yīng)用密鑰保障信息安全時(shí)，對(duì)所用密鑰生命周期的全過程（產(chǎn)生、存儲(chǔ)、分配、使用、廢除、歸檔、銷毀）應(yīng)實(shí)施嚴(yán)格的安全保密管理。第一百O三條密鑰必須作為絕密數(shù)據(jù)由專人保管。密鑰必須通過機(jī)要渠道傳遞或采用加密通信方式網(wǎng)內(nèi)分配。第一百O四條密鑰應(yīng)定期或不定期更換，對(duì)已泄漏或懷疑泄漏的密鑰必須及時(shí)廢除。舊密鑰必須安全歸檔，并在安全管理負(fù)責(zé)人的嚴(yán)格監(jiān)督下，由管理責(zé)任人定期銷毀。第一百O五條密鑰備份是針對(duì)主要密碼設(shè)備和保密工作人員的意外事件而采取的必要措施，密鑰副本的保存必須是物理安全的。必須有在緊急情況下銷毀密鑰的手段和措施，以防密鑰丟失。第一百O六條 核心系統(tǒng)前置服務(wù)器的超級(jí)用戶口令分前后段、分人保管，網(wǎng)絡(luò)設(shè)備密碼實(shí)行分人分層管理；按機(jī)器設(shè)立口令、密碼變更登記簿，以記錄更新時(shí)間。第七章應(yīng)急處理與重大事件

第一節(jié)突發(fā)事件應(yīng)急方案第一百O七條 加強(qiáng)計(jì)算機(jī)安全防范意識(shí)，建立應(yīng)急處理指揮體系，以指揮協(xié)調(diào)各職能部門能迅速進(jìn)入應(yīng)急處理程序。第一百O八條 優(yōu)化組合和配置應(yīng)急技術(shù)人員、業(yè)務(wù)人員及應(yīng)急資源，集中使用，統(tǒng)一調(diào)度，以保證應(yīng)急處理的髙效性。第一百O九條 制定重要計(jì)算機(jī)信息系統(tǒng)應(yīng)急方案，明確崗位職責(zé)、人員分工以及應(yīng)急處理程序。第一百—條加強(qiáng)應(yīng)急處理技能的培訓(xùn)和應(yīng)急處理方案演練，提髙各崗位人員判斷、處理問題的能力，驗(yàn)證應(yīng)急處理程序的有效性。第二節(jié)重大安全事件處理第一百一^I^—條非法侵入、破壞計(jì)算機(jī)信息系統(tǒng)或利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款的計(jì)算機(jī)犯罪案件以及造成不良社會(huì)影響的計(jì)算機(jī)安全事故，屬重大安全事件。第一百一十二條確認(rèn)計(jì)算機(jī)信息系統(tǒng)出現(xiàn)重大安全事件，必須果斷采取控制措施，立即報(bào)告計(jì)算機(jī)信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組并逐級(jí)如實(shí)上報(bào)計(jì)算機(jī)安全主管部門。第一百一十三條重大安全事件發(fā)生后，有關(guān)人員應(yīng)保護(hù)事件現(xiàn)場(chǎng)，積極協(xié)助計(jì)算機(jī)安全事件的調(diào)查，做好善后處理工作。第一百一十四條重大安全事件的處理情況，本行計(jì)算機(jī)安全管理部門必須出具書面材料，報(bào)告上級(jí)計(jì)算機(jī)安全主管部門。第八章計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品管理

第一節(jié)安全專用產(chǎn)品的準(zhǔn)入與購(gòu)置第一百一十五條本制度所稱安全專用產(chǎn)品，是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用軟件、硬件產(chǎn)品。第一百一^六條安全專用產(chǎn)品準(zhǔn)入工作由省農(nóng)信聯(lián)社計(jì)算機(jī)安全管理部門組織實(shí)施。第一百一十七條經(jīng)審核準(zhǔn)入的安全專用產(chǎn)品信息，由浙江省農(nóng)村信用社聯(lián)合社計(jì)算機(jī)安全管理部門發(fā)布。第一百一十八條安全專用產(chǎn)品的購(gòu)置應(yīng)統(tǒng)一規(guī)