《信息安全管理办法4篇.docx》由会员分享,可在线阅读,更多相关《信息安全管理办法4篇.docx(92页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理办法4篇【第1篇】信息安全奖惩管理办法 1.目的 明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。 2.适用范围 本规范适用于深圳市*公司 (后续简称为公司)。 3.定义 序号 角色 职责 001 信息安全事件 指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。 002 信息安全活动 为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。 4.职责与权限 序号 角色 职责 001 员工 遵守公司信息安全管理
2、制度,积极配合、参与信息安全活动。 002 各部门信息安全接口人 协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。 003 部门主管 是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。 004 部门经理 作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。 005 部门副总 对所负责部门的信息安全事件负相应的管理责任。 006 it部信息安全组 对信息安全事件进行跟踪处理,并确定事件责任人。 007 董事会秘书 审核信息安全事件处理报告。 008 总经理
3、最终审批信息安全事件处罚申请。 009 人力资源部 依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。 010 法务部 配合it部信息安全组进行信息安全事件处理,对违反法律法规的信息安全责任人依法追究法律责任。 5.内容 5.1奖励、违规行为处罚原则 5.1.1及时激励原则 对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。 5.1.2举报保密原则 对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。 5.1.3违规行为处罚原则 5.1.3.1法律追究原则 公司所有保密信
4、息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。 5.1.3.2违规分级原则 根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。 5.1.3.3主动从宽原则 产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。 5.1.3.4过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚。 5.
5、1.3.5及时处理原则 对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。 5.2 奖励等级与责任部门 5.2.1奖励等级与措施 奖励事迹 奖励等级 奖励措施 举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人 一级 根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。 制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体 二级 根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员
6、信息)。 在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体 三级 根据具体情况给予3000元集体奖励或者1000元个人奖励。 5.2.2奖励责任部门 1)对于满足信息安全奖励标准的集体或者个人,it部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金; 2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。 5.3 违规等级与责任部门 5.3.1 违规等级与措施 违规事件 违规等级 处罚措施 盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,
7、性质严重造成重大影响或者风险 一级 1. 直接开除,永不录用; 2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。 3. 全公司范围内通报处罚决定。 故意违反信息安全规定,性质严重;或者造成较大影响或较大风险 二级 1. 如给公司造成相关损失,须赔偿公司损失; 2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理; 3. 全公司范围内通报处罚决定。 过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险 三级 1. 记入关键事件考评结果减10分或罚款500元;
8、2. 12个月内2次三级违规升级为1次二级违规。 3.部门内部通报处罚决定。 过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险 四级 1.记入关键事件考评结果减5分或罚款300元; 2.12个月内2次四级违规升级为1次三级违规; 3.部门内部通报处罚决定。 说明: 1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度; 2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:常见违规行为及其适用处罚等级举例,其他违规行为所使用等级可参考举例进行认定。 5.3.2 责任判定 1)发生一、二级重大信息安全事件违规时,违规者
9、直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照常见违规行为及其适用处罚等级举例v1.0适用条款进行处罚; 2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚: 员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚; 员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚; 若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。 5.3.3 处罚责任部门 处罚等级 处罚责任人 批准 申诉 一级 总经理 / 人力资源部 二级 总经理 / 人力资源部 三级 部门分管副总 it部信息安
10、全组 人力资源部 四级 部门分管副总 it部信息安全组 人力资源部 说明: 1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,it部信息安全组有权要求对当事人加重或者减轻处罚; 2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天; 3)在违规事件处理过程中,it部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,it部信息安全组可以行使否决权。 5.4.维护与解释 1)本规定发布之日起生
11、效; 2)本规定由it部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行; 3)本规定解释权归it部信息安全组。 6.相关文件 附件1:常见违规行为及其适用处罚等级举例 7.记录表格 无 【第2篇】信息安全防护体系运行管理办法 第一章 总则 1.1目的 根据x单位系统网络与信息安全总体方案和x单位系统网络与信息安全管理岗位及其职责,为进一步规范x单位系统网络信息安全防护体系配置的安全产品的运行管理工作,提高x单位系统信息安全管理水平,保证安全产品的有效性,特制定本办法。 1.2 适用范围 运行管理办法适用于x单位总部、各省级局和地市级局对x单位系统网络信息安全防护体系统一部署的防火
12、墙、入侵检测系统、防病毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行管理。 x单位总部、各省级局和地市级局对所配置的其它同类安全产品的运行管理参照本办法执行。 1.3管理职责 x单位总部负责总部网络中部署的安全产品的运行管理工作;并负责汇总各省级局上报的安全产品运行管理报告;分析安全风险和存在的安全隐患,形成报表,监督指导各省级局解决发现的安全问题。 各省级局负责本单位网络中部署的安全产品的运行管理工作;负责汇总各地市级局上报的安全产品运行管理报告,形成本省范围内的安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析所辖区域内的安全风险和存在的安全隐患,监督
13、指导下一级局解决发现的安全问题。 各省级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析安全风险和存在的安全隐患,解决发现的安全问题。 各地市级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的5日前上报各省级局;分析所属网络中的安全风险和存在的安全隐患,解决发现的安全问题。 第二章 安全管理员职责 各级x单位机关必须按照x单位系统网络与信息安全管理岗位及其职责的规定,设置安全管理员岗位和具体的执行角色,负责安全产品的运行管理,根据各单位的具体情况,安全管理员岗位可以是安全管理员角色和
14、安全审计员角色的组合,也可设置多个安全管理员岗位。 安全管理员在各x单位机关安全管理机构的领导下工作,负责管理x单位系统网络信息安全防护体系部署的安全产品,主要职责是: (1)根据业务需求和网络安全威胁维护安全产品的安全策略,在必须修改策略时,经领导和上级主管部门批准后实施; (2)负责安全产品的日常维护管理,认真记录维护日志; (3)解决安全产品运行中出现的技术问题,及时排除故障; (4)定期分析安全产品的系统日志和安全日志,检查设备工作状况,分析是否存在安全风险; (5)发现重大安全问题或事件时,及时向领导报告,并按照应急预案进行应急处理; (6)按照安全产品运行管理报告(见附件二)的内容
15、要求,提交安全产品的运行管理报告。 第三章 安全产品的管理 3.1日常维护管理 (1)安全管理员应每天进行安全设备巡检; (2)安全管理员必须对安全产品的策略进行备份保护,策略发生变更时,必须做好变更记录并进行备份更新; (3)定期备份与维护安全产品的系统日志和安全日志; (4)在总部发布安全产品升级通知后,及时进行产品升级; (5)安全产品的运行维护活动记入安全产品的维护工作日志。 3.2故障管理 安全管理员应每天在日常维护日志中,记录安全产品的运行状况或使用情况。在产品出现故障时,应及时与厂商联系解决问题,并记录故障现象与处理结果。 安全管理员应按附件二要求如实填写本单位运行管理报告中的安
16、全产品故障统计月表。 安全产品故障统计月表根据日常维护记录中安全产品的故障情况填写。 产品类型包括:防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。 内容包括: a. 故障总数 b. 主要故障描述 c. 处理结果 3.3变更管理 总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。为了保证安全防护体系的完整性和可控性,需要对网络信息安全防护体系中配置的安全产品进行变更管理。 (1)总部统一配置的安全产品配置位置变更时必须经总部批准; (2)各级x单位单位负责本单位安全策略的制定,但总部统配安全策略的变更必须报总部批准。 (3)对批准实施的变更情况存
17、档并记入本单位运行管理报告中的变更情况说明,包括: l 变更的安全设备名称、型号 l 变更原因 l 变更后的设备配置拓扑 l 变更后的设备配置策略 3.4安全管理 3.4.1例行安全管理 安全管理员必须每天分析安全产品的系统日志和安全日志,在发现安全事件时,应及时报告。 以下各节描述对各类安全设备的例行安全管理活动。 3.4.1.1防火墙 (1)防火墙运行状态监测 安全管理员应每天监测上下行防火墙和横向防火墙运行状态。 监测的内容: a.系统负载(cpu状态) b.系统资源(内存状态) c.防火墙端口状态 d.网络连接数 (2)防火墙安全事件分析 安全管理员应每天检查防火墙的安全日志,分析安全
18、事件。 安全事件分析内容: a. 攻击事件描述 b. 攻击时间 c. 攻击类型 d. 攻击源ip和受攻击主机ip e. 阻断ip地址及相关端口 (3)防火墙安全事件月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的防火墙安全事件统计月表。 防火墙安全事件统计月表根据防火墙日志分析结果填写。 安全事件统计内容: a.各种攻击类型数量及百分比统计 b.top 10攻击源ip与受攻击主机ip统计 (4)防火墙阻断事件统计 安全管理员应按附件二要求如实填写本单位运行管理报告中防火墙阻断事件报告统计表。 防火墙阻断事件报告统计表根据安全审计系统中相应的防火墙日志分析结果填写。 阻断事件统计内
19、容: a. 阻断事件总数。 b. top 10阻断ip地址。 c.top 10 阻断端口。 3.4.1.2入侵检测系统 (1)安全事件分析 安全管理员应每天分析入侵检测系统记录的安全事件。 安全事件分析内容: a. 攻击事件描述 b. 攻击时间 c. 攻击类型 d. 攻击源ip和受攻击主机ip (2)入侵检测系统安全事件月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的入侵检测系统安全事件统计月表。 入侵检测系统安全事件统计月表根据入侵检测日志分析结果填写。 安全事件统计内容: a. top 10安全事件数量及百分比统计 b.top 10攻击源ip与受攻击主机ip统计 3.4.1.
20、3 防病毒系统 (1)防病毒系统运行管理监测 安全管理员应进行防病毒系统运行管理监测。 监测内容: a.防病毒软件升级信息 b.周病毒审计 c.周主机变化记录 d.周策略维护 (2)病毒事件周分析 安全管理员应每周监测病毒事件 监测内容: a.病毒总量 b.多发病毒统计 c.多发病毒主机 (3)病毒事件月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的病毒事件报告月表。 病毒事件报告月表根据防病毒系统日志分析结果填写。 安全事件统计内容: a. 病毒总量 b. 多发病毒统计 c. 多发病毒主机 3.4.1.4漏洞扫描系统 (1)漏洞扫描系统管理监控 安全管理员要严格管理好漏洞扫描系
21、统,未经领导批准,不得擅自使用。 在使用漏洞扫描系统前应填写漏洞扫描系统使用申请(见附件一),获得领导批准后方能使用。 申请内容:漏洞扫描系统的扫描地址范围。 安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。 对发现的重要业务服务器的安全漏洞,必须在报告总部后,根据总部组织的专家咨询意见,获得领导批准后才能打补丁。 (2)漏洞管理月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的漏洞管理月报告。 漏洞管理报告根据漏洞扫描系统扫描数据分析与处理结果填写。 漏洞管理内容: a.主要应用系统的相关信息及漏洞分布情况 b.根据漏洞进行配置调整与补丁安装情况 3.4.1.5终端桌面安全
22、防护系统 (1)安全事件分析 安全管理员应每天分析终端桌面安全防护系统的安全事件。 安全事件分析内容: a. 高危险级别事件名称。 b. 高危险级别事件发生时间。 c. 高危险级别事件详细内容和发生原因。 d. 发生高危险级别事件的主机信息。 (2)终端桌面安全防护系统月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的桌面安全防护系统事件月报告。 桌面安全防护系统事件月报告根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。 终端桌面安全防护系统管理内容: a.资产信息统计 b. 安全事件总数,高危险级别事件数量,中危险级别事件数量。 c.to
23、p 10 高危险级别事件。 d.top 10 高危险级别ip地址. 3.4.1.6安全审计系统 (1)安全事件分析 安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。 安全事件分析内容: a. windows主机产生的高危险级别事件信息。 b.windows主机产生的高危险级别事件产生的时间。 c.windows主机产生的高危险级别事件所属主机信息。 d. unix主机产生的高危险级别事件信息。 e.unix主机产生的高危险级别事件产生的时间。 f.unix主机产生的高危险级别事件所属主机信息。 g. 网络设备产生的高危险级别事件信息。 h.网络设备产生的高危险级别事件产生的时间。
24、 i.网络设备产生的高危险级别事件所属主机信息。 (2)安全审计系统月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的安全审计管理月报告。共包括如下四个报告:安全审计系统审计源及日志统计、windows主机事件报告统计、unix主机事件报告统计、网络设备事件报告统计。 安全审计管理月报告根据安全审计系统收集的日志结果填写。 安全审计管理内容: 1、安全审计系统审计源及日志统计 a.日志源日志源数量统计 b.日志分级数量统计 2、windows主机事件报告统计 a. 产生事件总数,高危险级别数量。 b. top 10高危险级别事件产生数量的ip地址 3、unix主机事件报告统计 a.
25、 产生事件总数,高危险级别数量。 b. top 10高危险级别事件产生数量的ip地址 4、网络设备事件报告统计 a. 产生事件总数,高危险级别数量。 b. top 10高危险级别事件产生数量的ip地址 3.4.2应急安全管理 在发现安全系统出现x单位系统重大网络与信息安全事件报告制度中定义的重大安全事件时,按文件规定的流程进行处理和上报,如果与相应的安全产品关联,应同时记录相关情况。 【第3篇】信息安全管理办法 第一章 总则 第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案
26、件的发生,根据湖南省农村信用社信息安全管理办法、中华人民共和国信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定、商业银行信息科技风险管理指引等规定,结合我农商行实际情况,特制定本办法。 第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。 第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安
27、全、运行环境的安全和信息的安全。 第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。 第二章 组织保障 第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。 第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检
28、查督促。 第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。 第三章 人员管理 农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。 第一节 信息安全管理人员 第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关
29、规定受到过处罚或处分的人员,不得从事此项工作。 第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。 第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检
30、查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。 第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,
31、并在规定的脱密期后,方可调离。 第二节 部门信息安全员 第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成
32、对本部门的信息安全检查工作。 第三节 技术支持人员 第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好
33、数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。 第四节 业务系统操作人员 第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上
34、安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。 第五节 一般计算机用户 第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的
35、所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。 第六节 信息系统要害岗位人员 第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。 第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。 第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。 第
36、三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。 第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。 第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。 第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。 第三十五条 系统管理员安全责任 (一)负责系统的运行管理,实施系统安全运行细则; (二)严格用户权限管理,维护系统安全正常运行; (三
37、)认真记录系统安全事项,及时向计算机安全人员报告安全事件; (四)对进行系统操作的其他人员予以安全监督。 第三十六条 系统开发员安全责任 (一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; (二)系统投产运行前,应完整移交系统源代码和相关涉密资料; (三)不得对系统设置后门; (四)对系统核心技术保密。 第三十七条 系统维护员安全责任 (一)负责系统维护,及时解除系统故障,确保系统正常运行; (二)不得擅自改变系统参数配置; (三)不得安装与系统无关的其他计算机程序; (四)维护过程中,发现安全漏洞应及时报告计算机安全人员。 第三十八条 各要害岗位人员必须严格遵守保密法
38、规和有关信息安全管理规定。 第四章 机房环境和设备资产管理 第一节 机房环境安全管理 第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求: (一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。 (二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。 (三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。 (四)机房
39、应设专用的供电系统,配备必要的ups和发电机。 第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。 第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。 第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。 第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空
40、调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。 第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。 第五十条 农
41、商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。 第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。 第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。 第二节 设备资产管理 第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格
42、资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。 第五章 网络安全管理 第一节 网络规划建设安全管理 第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与
43、改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。 第二节 网络运行安全管理 第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。 (一)负责网络的运行管理,实施网络安全策略和安全运行细则; (二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; (三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件; (四)对操作网络管理功能的其他人员进行安全监督。 第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法