第1篇 信息安全管理办法
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第2篇 药品安全信息化管理暂行规定
推进药品经营企业信息化建设,运用信息化手段实现药品安全监管是贯彻落实科学监管理念的重要举措,也是药品经营企业提高管理水平和工作效率的重要途径。为进一步提升药品经营企业质量管理水平,促进信息技术在药品流通领域的应用,实施实时监控,根据国家食品药品监督管理局等上级部门规定,结合本县实际,现就全县药品经营企业实行信息化管理作如下规定,请遵照执行。
一、药品经营企业计算机管理系统建设
全县所有药品经营企业均应配置专用计算机,实现药品购销存信息化管理,保证药品质量可控可追溯。计算机设施和管理系统应符合以下要求:
1、具有独立的计算机管理信息系统,能覆盖企业内药品的购进、储存、销售以及经营和质量控制的全过程,保证药品购、销、存数量保持一致;能全面记录企业经营管理及实施《药品经营质量管理规范》方面的信息;符合《药品经营质量管理规范》对药品经营各环节的要求。
2、应配备能通过计算机自动开具载明药品名称、生产厂商、批号、数量、价格等内容的销售凭证设备,药店在销售药品时均应向购药者出具销售凭证。同时,应在店堂醒目处告示消费者有权索取药品销售凭证,使广大群众知道药品销售凭证开具有效凭证的规定,保障群众用药安全。
3、保证计算机系统的安全性。
(1)计算机系统自身安全,主要包括利用防毒、防火等软、硬件设备保障系统本身不易受破坏和干扰,保证其正常运行;同时,定期做好备份。
(2)计算机系统使用安全,主要包括系统操作人员权限的设定、分配应符合要求,能按照法律法规和岗位职责进行权限的分配,不会出现非本岗位的操作功能。
4、计算机系统数据信息能随时接受药品监管部门检查、查询、复制。
二、药品经营企业在线远程监管系统建设
1、应在营业场所内指定一台固定电话,报药品监管部门备案,确保通讯畅通,并保证在岗人员能随时接听来电。
2、以企业身份申请注册qq帐号,加入药品监管部门统一指定的qq群(群号202038542),由企业负责人负责管理,可委托药店从业人员操作,确保不因从业人员变动而影响正常登录使用;qq设置为自动登陆,在营业期间保持处于正常在线状态,指定专人负责接收发qq群内发布的各项通知、公告等信息。
3、配备网络视频设施,确保药品监管部门在巡查药师是否在岗等情况时能正常启用。
4、所有购进品种应及时上传至浙江省药品信用信息系统,并保证品种信息完整、准确、真实,为药品监管部门实行购进品种在线监管提供条件。
5、具备能与药品监管部门开展实时监控的数据接口,为药品监管部门对购销品种和温湿度在线监管提供条件。
三、其它规定事项
1、药品经营企业驻店药师需要请假或调整在岗排班表的,应提前以电子文档格式报送至药品监管部门指定的电子邮箱。
2、药品经营企业在实施药品安全信息化体系建设的表现情况与将企业信用等级评定挂钩。对于本规定的各事项履行不到位,尤其是药品购销存记录不及时输入电脑台帐、经营品种不及时上传至省局信用系统、不同步开具销售凭证的,将加大日常监督检查深度和频次,强化监督抽样的力度,降低信用等级,构成违法的,依法予以从重处理,并予以实名通报。
第3篇 公共安全图像信息系统管理办法
第一条 为了规范本市公共安全图像信息系统的建设和管理,提高预防和处置突发公共事件的能力,保障公共安全,保护公民的合法权益,制定本办法。
第二条 本办法适用于本市行政区域内公共安全图像信息系统的建设和管理。
第三条 本办法所称的公共安全图像信息系统,是指利用图像采集设备和其他相关设备对涉及公共安全的区域进行信息记录的视频系统。
第四条 市人民政府有关部门和区、县人民政府负责本行业、本系统、本地区公共安全图像信息系统建设的组织实施,并协助做好公共安全图像信息系统使用、维护等方面的监督管理工作。
市和区、县公安机关负责公共安全图像信息系统建设、使用、维护的日常监督管理工作。
第五条 下列单位和区域,应当安装公共安全图像信息系统:
(一)党政机关、国家机关所在地,广播电台、电视台,电信、邮政、金融、服务单位,博物馆、档案馆、重点文物保护单位,危险物品生产、销售、存放场所等重要单位;
(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所,举办体育赛事的场馆、场地,住宅区、停车场等人员聚集的公共场所;
(三)重点道路、路段和主要交通路口,地下通道、过街天桥,机场、火车站、地铁和城铁车站,公共电汽车的重要交通枢纽等;
(四)城市供排水、电力、燃气、热力设施,城市河湖及其他重要水务工程等重要城市基础设施;
(五)国家法律、法规规定的其他地点和区域。
公共安全图像信息系统建设的市级主管部门可以根据需要确定其他应当安装公共安全图像信息系统的区域,报市人民政府批准。
第六条 单位按照本办法规定自建公共安全图像信息系统,应当符合政府的统一规划和要求,不得采集本单位范围以外的公共区域的图像信息。
第七条 交通道路、广场等公共场所公共安全图像信息系统的建设由政府负责,其他任何单位和个人不得在该区域设置公共安全图像信息系统。
第八条 公共安全图像信息系统的建设,应当符合国家和本市的技术规范和标准。
市质量技术监督、信息化主管部门和公安机关共同制定本市公共安全图像信息系统的技术规范和标准,公共图像信息系统应当具有采集、录像、传输等功能。
第九条 设置公共安全图像信息系统,不得侵犯公民个人隐私;对涉及公民个人隐私的图像信息,应当采取保密措施。
涉及国家秘密、商业秘密的公共安全图像信息系统的建设,按照国家有关规定执行。
第十条 新建、改建、扩建建设项目应当安装公共安全图像信息系统的,公共安全图像信息系统应当与项目主体工程同步规划、同步建设、同时投入使用。
第十一条 公共安全图像信息系统的使用单位,应当自系统竣工验收合格之日起30日内,将公共安全图像信息系统的建设情况按照保卫隶属关系向市或者区、县公安机关备案;没有保卫隶属关系的,向本单位所在地的区、县公安机关备案。
本办法施行前已经建成的公共安全图像信息系统的使用单位应当自本办法施行之日起30日内,将公共安全图像信息系统的建设情况按照前款规定向公安机关备案。
第十二条 公共安全图像信息系统的使用单位,应当采取下列措施,保证公共安全图像信息系统安全运行:
(一)对与公共安全图像信息系统密切接触的人员进行岗位技能和保密知识的培训;
(二)建立安全检查、运行维护、应急处理等制度;
(三)保持图像信息画面清晰,保证系统正常运行;
(四)不得擅自改变公共安全图像信息系统的用途和摄像设备的位置。
第4篇 信息技术设备物理与环境安全管理办法
第一章 总则
第一条 目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条 依据:本管理办法根据《公司信息安全管理策略》制订。
第三条 范围:本管理办法适用于公司。
第二章 基本要求
第四条 公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条 安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条 公司的安全区域包括中心机房和敏感部门办公区域。
第七条 安全区域的划分与管理参见《物理安全区域管理细则》。
第八条 物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条 安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
科技信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条 交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条 设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条 支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条 电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条 设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和行政服务公司应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和行政服务公司定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条 场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条 设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条 设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条 本管理办法由科技信息部负责解释和修订。
第十九条 本管理办法自发布之日起施行。
第5篇 人员离岗离职信息安全管理规定
为规范本单位计算机信息安全工作,更好的服务于本单位信息化建设需要,特制定本规定:
第一条为保证本单位的计算机与网络信息安全,适应信息安全等方面的需要,防止计算机网络失密泄密事件发生,特制定本制度;
第二条工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。
第三条离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归本单位所有,而无论这些秘密信息有无商业上的价值。
第四条离职人员应当于离职时,或者于本单位提出请求时,返还全部属于本单位的财物,包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,本单位应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由本单位将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,本单位也无须给予离职人员经济补偿。
第五条离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员,不得在离职后以任何形式带走相关信息。
***********
年月日
第6篇 安全管理信息的涵义和特征
一、安全管理信息的涵义
安全信息对于我们来说并不陌生。在实际生活中,每个人都要与安全信息打交道,都在不断地接收安全信息、加工安全信息、利用安全信息。因此可以说,人类与安全信息的关系,如人类与空气的关系一样须臾不能离开。
但是,真正弄清空气的成分却经历了一个漫长的历史过程一样,至今人们对于信息的概念及其属性仍有许多不同的认识。信息论的奠基人神农从信息度量的角度,认为信息是用以消除不确定性的东西;控制论的奠基人维纳则从控制原理的角度,认为信息是人与环境相互交换的内容的名称。此外,在日常生活中不少人认为信息就是指消息、信号、情报、资料等。其实,从内涵上说,信息是指自然界和人类社会中一切事物自身运动状态以及它们之间相互联系、相互作用所表达和交换的内容。
总的说,安全管理信息是指在整个安全管理过程中,人们收集、加工和输入、输出的安全生产信息的总称。具体说,它包括两方面的内容:一是指为了达到安全管理的目的,形成安全管理行为而收集或加工的信息,主要表现为反映安全管理客体运行状态以及可能影响安全管理客体运行状态的各种原始信息和预测信息;二是指经过加工并在安全管理全过程中运用的,反映安全管理者管理行为的信息。本章所研究的主要是前一类的安全管理信息。
二、安全管理信息分类
由于企业安全管理的普遍性,因此为进行安全管理活动、形成安全管理行为所需的信息涉及安全生产各个领域、各个方面。对于这些信息,我们可以从各种不同角度,按其不同特征和作用进行各种分类。首先,从总的方面,我们可以把安全管理信息分为自然信息和社会信息;进而又可把这两大类信息按安全管理的不同领域分为各种不同范畴,不同部门的安全信息,如工艺安全信息、电气安全信息、设备安全信息、特种机械安全信息、事故信息、安全文化信息、安全科技信息等。对于上述信息还可根据各种安全管理的具体需要进行再细的分类。如按信息的来源,可分为内部安全信息、外部安全信息;按信息的时间性,可分为过去安全信息、预测安全信息;按信息的期待性,可分为预知安全信息、突发安全信息;按信息的稳定性,可分为常规安全信息、变动安全信息;按信息的加工程度,可分为原始安全信息、加工安全信息;按信息的精确性,可分为精确安全信息、不太精确安全信息;按信息的获取渠道,可分为正规渠道的安全信息、非正规渠道的安全信息等。
对于安全信息的分类,不是为分类而分类。分类的出发点在于认识各类不同安全信息的特征和作用,其目的是为了向不同类型、不同层次的安全管理提供所需的不同类型的安全信息。
以企业安全决策为例,如果我们把企业安全决策分为战略决策(厂级)、战术决策(科室)、业务决策(班组),那么这三个层次所需安全信息的特点如下。
战略决策:相对来说,需外部安全信息、非正式渠道的安全信息多,所需的安全信息不易事先预测,也不必过于精确。
业务决策:相对来说,所需内部安全信息、正式渠道的安全信息多,所需的安全信息易事先预测,并比较精确。
战术决策:所需的安全信息特点居于上述二者之间。
上述三个层次安全决策所需安全信息类型、大致趋势见表6—1。
第7篇 信息安全奖惩管理办法
1.目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。
2.适用范围
本规范适用于深圳市**公司 (后续简称为公司)。
3.定义
序号
角色
职责
001
信息安全事件
指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。
002
信息安全活动
为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。
4.职责与权限
序号
角色
职责
001
员工
遵守公司信息安全管理制度,积极配合、参与信息安全活动。
002
各部门信息安全接口人
协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。
003
部门主管
是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。
004
部门经理
作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。
005
部门副总
对所负责部门的信息安全事件负相应的管理责任。
006
it部信息安全组
对信息安全事件进行跟踪处理,并确定事件责任人。
007
董事会秘书
审核信息安全事件处理报告。
008
总经理
最终审批信息安全事件处罚申请。
009
人力资源部
依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。
010
法务部
配合it部信息安全组进行信息安全事件处理,对违反法律法规的信息安全责任人依法追究法律责任。
5.内容
5.1奖励、违规行为处罚原则
5.1.1及时激励原则
对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。
5.1.2举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
5.1.3违规行为处罚原则
5.1.3.1法律追究原则
公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。
5.1.3.2违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。
5.1.3.3主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
5.1.3.4过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚。
5.1.3.5及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。
5.2 奖励等级与责任部门
5.2.1奖励等级与措施
奖励事迹
奖励等级
奖励措施
举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人
一级
根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体
二级
根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体
三级
根据具体情况给予3000元集体奖励或者1000元个人奖励。
5.2.2奖励责任部门
1)对于满足信息安全奖励标准的集体或者个人,it部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金;
2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。
5.3 违规等级与责任部门
5.3.1 违规等级与措施
违规事件
违规等级
处罚措施
盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险
一级
1. 直接开除,永不录用;
2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。
3. 全公司范围内通报处罚决定。
故意违反信息安全规定,性质严重;或者造成较大影响或较大风险
二级
1. 如给公司造成相关损失,须赔偿公司损失;
2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理;
3. 全公司范围内通报处罚决定。
过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险
三级
1. 记入关键事件考评结果减10分或罚款500元;
2. 12个月内2次三级违规升级为1次二级违规。
3.部门内部通报处罚决定。
过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险
四级
1.记入关键事件考评结果减5分或罚款300元;
2.12个月内2次四级违规升级为1次三级违规;
3.部门内部通报处罚决定。
说明:
1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度;
2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定。
5.3.2 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例v1.0》适用条款进行处罚;
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。
5.3.3 处罚责任部门
处罚等级
处罚责任人
批准
申诉
一级
总经理
/
人力资源部
二级
总经理
/
人力资源部
三级
部门分管副总
it部信息安全组
人力资源部
四级
部门分管副总
it部信息安全组
人力资源部
说明:
1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,it部信息安全组有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,it部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,it部信息安全组可以行使否决权。
5.4.维护与解释
1)本规定发布之日起生效;
2)本规定由it部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;
3)本规定解释权归it部信息安全组。
6.相关文件
附件1:《常见违规行为及其适用处罚等级举例》
7.记录表格
无
第8篇 信息安全事件管理程序
1 目的
为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2 范围
本程序适用于xxx业务信息安全事件的管理。
3 职责
3.1 信息安全管理流程负责人
确定信息安全目标和方针;
确定信息安全管理组织架构、角色和职责划分;
负责信息安全小组之间的协调,内部和外部的沟通;
负责信息安全评审的相关事宜;
3.2 信息安全日常管理员
负责制定组织中的安全策略;
组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施;
编写风险改进计划;
3.3 信息安全管理技术责任人
负责信息安全日常监控;
信息安全风险评估;
确定信息安全控制措施;
响应并处理安全事件。
4 工作程序
4.1 信息安全事件定义与分类
信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。
造成下列影响(后果)之一的,均为一般信息安全事件。
a) xxx秘密泄露;
b) 导致业务中断两小时以上;
c) 造成信息资产损失的火灾;
d) 损失在一万元人民币(含)以上的故障/事件。
造成下列影响(后果)之一的,属于重大信息安全事件。
a) 组织机密泄露;
b) 导致业务中断十小时以上;
c) 造成机房设备毁灭的火灾;
d) 损失在十万元人民币(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理负责人组织相关的运维技术人员根据xxx对信息安全的要求,确认代码管理相关信息系统的安全需求;
对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;
由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;
信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;
根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;
监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的任何情况,并采取必要的纠正措施;
对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;
每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。
4.3 信息安全事件事后处理措施
对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。
对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。
处罚方式:
一般安全事故,根据所造成的经济损失,由xxx办公室通过邮件发出正式严重警告。
一年内累计出现三次或三次以上的一般安全事故,报xxx领导批准后进行相应惩罚,并在xxx进行通报批评。
造成重大安全事故的,xxx有权将责任人调离原工作岗并给予相应惩罚。
一年内累计出现二次或二次以上的重大安全事故,xxx有权解除劳动合同并依法追究法律责任。
如果属于故意行为导致信息安全事故,xxx有权解除劳动合同并依法追究法律责任。
对于信息安全事故责任人的处理结果由处理部门在xxx范围内予以通报。
负有信息安全事故处罚的各职能部门在确定实施处罚后,xxx室与被处罚部门沟通,确认责任者及处罚方式并上报xxx领导。
信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。
由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。
4.4 报告信息安全薄弱点与预防措施
xxx与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。
对以下行为应给予奖励:
及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;
及时制止或报告泄露商业机密的事件以避免xxx重大经济损失或及时中止正在进行中的商业泄密行为的;
在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式如下:
根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请xxx批准后,给予相应表扬或奖励,并作为年底工作考核依据。
发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。
5 相关文件
6 相关记录
第9篇 火力发电厂安全性评价管理信息系统的设计
1. 引言
现代社会中,电力工业的安全生产对国民经济和人民生活有着举足轻重的影响,做好安全生产工作始终是发电企业的永恒主题。然而,由于我国电力工业的特点及人员、设备、管理以及环境等诸多方面的原因,目前在发电企业中普遍存在着许多不安全的因素,因此,为了提高反事故工作的可预见性和安全投资效益,达到对可能发生事故的超前控制、将各种事故消灭在隐患之中,用一种科学的方法分析、预测电力生产设备系统中可能发生的事故及其概率的高低,具有重要的意义。
安全性评价是一项目前国际上比较流行的一种对安全工作系统化、规范化、可操作性强的管理模式,它是对一个系统(大到一个企业,小到一个车间、一个班组、一项工程设计、一个工艺流程、一个装置或设备等)的安全性进行识别,并给出定性或定量的评价的工作,使用这种方法可以预见到系统客观上存在但尚未引发事故的各种危险因素,并对系统的安全性作出大致的评价。因此,搞好安全性评价对提高发电企业的安全生产工作水平,降低安全事故的发生率具有重要的意义。
现代社会是一个科学技术飞速发展的时代,特别是计算机科学的兴起,使我们的社会生活发生了巨大的变化,计算机以快速、高效的性能,改变了我们工作和生活的方方面面,把我们从繁重复杂的工作中解放出来,将安全性评价工作与计算机结合起来,将会给我们的安全性评价工作带来质的飞跃。
2. 系统目标
通过对用户需求和安全性评价管理业务的调查和分析,研究管理实施所需要的功能,系统应达到以下目标.
2.1 面向多用户
安全性评价是以各部门、各班组为基本单位进行的以群众性自查为主的工作,其管理和应用是面向多部门、多用户、同步性协作式方向发展,安全性评价的数据库结构复杂,数据量较大,同一数据用户比较多,如:在进行安全性评价登记的时候,全厂任何人都可以进行评价登记,因此建立具有数据共享机制的系统体系结构具有重要的意义。
2.2 业务功能完善
根据<<火力发电厂安全性评价>;>;(中国华北电力集团公司安全监察部 编著)一书中的规定,在安全性评价管理软件的业务流程中需要系统具有能够填写该书中附录1-----附录5中的内容,并且应具有条件查询、结果分析、评价项目维护与注销、用户系统权限维护、填写记录自动生成、评价结果自动生成、报表输出等功能。
2.3 软件具有很强的适应性、可以满足不同电厂的需要
对于不同的电厂或电力企业,本系统应能适应其安全性评价工作的要求。
3.系统设计
3.1 client/server数据库运行模式
client/server体系结构是新型的计算机网络构造方法。在
client/server结构下,应用系统被分为前端(客户机部分)和后端(服务器部分)两个部分,client/server模式是指一个复杂的计算机应用任务被合理的分解为多个子任务,由服务器和客户机分别承担。合理有效的利用了客户机和服务器的资源:大大减少网络通信的负担,改善了系统运行的总体性能。客户机和服务器之间体现为服务请求/服务响应关系,即用数据库服务器完成数据处理的功能,而客户机完成应用事务的组织和人机界面的实现。
在client/server体系结构中,客户机的功能主要有管理用户接口、从用户接受数据、处理应用逻辑、产生数据库请求,向服务器发送数据请求、从服务器接受结果和格式化结果;服务器的功能是从客户机接受数据库请求、处理数据库请求、格式化结果并传送给客户机、执行完整性检查、提供并行访问控制、执行恢复、优化查寻和更新处理。
在面向多用户的系统环境中,数据库系统运行模式对数据的共享、并发性和一致性起着决定性作用,对系统的性能起着关键作用,而client/server体系结构在这方面有着明显的优势。所以,安全性评价管理信息系统采用client/server数据库运行模式。
3.2 数据库及开发工具
本系统采用powerdesigner来建立数据库模型,powerdesigner是sybase 公司的case工具集,使用它可以方便的对信息系统进行分析与设计,这个工具集包含了四个模块,覆盖了软件开发生命周期的各个阶段。采用powerdesigner可以方便的画出数据流图、实体关系图,得到系统完整的逻辑模型,并且利用它自身提供的接口可以实现由实体关系图向物理模型的自动转换,使设计人员可以在物理模型的基础上进行数据库的后台设计。如下所示的是利用powerdesigner为本系统建立的部分实体关系图,可以看出,通过使用 powerdesigner,可以形象的描述出本系统中需要处理的信息。图一
除了使用powerdesigner进行数据建模以外,系统采用powerbuilder7.0作为主要开发工具,powerbuilder7.0是一个面向对象的client/server开发工具,开发出的代码具有很强的可重用性,它提供了众多的描绘器用于创建和管理不同的对象,提供了丰富的对象、控件和函数,开发效率高,成本低,对数据库的应用开发有着特殊的支持,具有强大的数据库操作功能,用在开发客户应用程序时,这个程序首先建立一个与数据库的通信通道,然后将用户的需求以某种方式传送给数据库服务器,在应用程序接收到数据库服务器返回的数据后,它分析返回的数据并呈现给用户。而数据库服务器是一个存取数据和管理数据的软件,它针对客户的请求为客户提供数据服务,这些服务包括数据插入、修改和查询等。系统可选用oracle、sysbase、informix、sqlserver等目前流行的各种关系数据库,在蒲山发电运营中心安全性评价管理实例中我们采用oracle8i作为后台数据库服务器系统,oracle8i是一个功能极其强大和灵活的关系型数据库系统,适应于client/server数据库体系结构。
3.3 网络结构设计
数据库
服务器安全性评价管理信息系统是在局域网基础上建立的client/server体系结构,图二是以蒲山发电运营中心的局域网为例的网络示意图:
中心交换机
边缘交换机
边缘交换机
光纤
客户端
客户端图二
主干网采用100m光纤进行连接,各部门、班组和控制室等通过hub(集线器)与主干网相连,网络协议采用tcp/ip协议。
4.系统开发
4.1 面向对象的开发方法
面向对象的程序设计在当今的应用程序开发中具有重要的地位,它相对于传统的开发方法而言,提高了程序开发的质量和速度,是一种建立在现实世界基础上的新的软件开发思维,代表了一种全新的程序设计思路和观察、表述、处理问题的方法,它力求符合人们日常自然的思维习惯,降低,分解问题的难度和复杂性,提高整个求解过程的可控制性、可监测性和可维护性,从而达到以较小的代价和较高的效率获得较满意效果的目的,在开发过程中,它强调的是系统开发的关键是来自对前端概念的理解而不是对后端方法的实现。只有当应用领域的固有的概念被识别、理解并构造清楚了,才能有效地设计系统的数据结构以及实现的功能。powerbuilder7.0是一个面向对象的开发工具,利用它可以开发出面向对象的windows应用程序,powerbuilder7.0在系统中具有封装性、继承性和多态性的特征。利用面向对象的方法可实现系统和人机交互界面的设计,数据管理的设计。powerbuilder7.0采用面向对象的方法开发应用程序的用户界面,充分利用windows的窗口资源,从而不仅使用户界面更加美观、简洁、易操作,而且提高了窗口的可重复利用性。
4.2 功能实现
根据对安全性评价需求的调查和对整个评价业务的研究,以及对整个安全评价管理信息系统操作流程的分析,系统应具有以下功能,如图三所示:
系统功能
查询功能
维护功能
填写与审核
辅助分析
自动生成
输出功能
图三
其中维护及填写与审核应能实现如图四、图五所示的功能:
系统维护
系统权限维护
系统数据维护
检查项目
评价结果项目
评价项目
操作权限
人员项目对应关系
图四
发现安全问题
填写安全评价发现问题及整改措施
利用历次的记录生成
上报
进行审核
审查合格
不合格,退回重新填写
记录可以进行自动生成
可以查看评价标准
利用填写的发现问题及整改措施生成查评扣分记录
直接填写
终结,打印最终结果
利用查评扣分记录自动生成或手动填写
填写查评扣分记录
可以查看评价标准填写评价结果明细总分自动生成
利用查评扣分记录自动生成或手动填写
填写安全评价总表
图五
4.2.1 维护功能
维护功能是安全性评价管理信息系统的一个特色,利用它可以维护所有在填写、查询等功能中用到的数据,这样就保证了整个系统在使用时候的可适应性以及灵活性。维护分为对系统数据的维护和对系统权限的维护。利用系统权限的维护,可以控制用户在整个系统中的访问权限,从而保证整个系统的安全性,利用系统数据的维护,可以对在整个系统中使用到的一些基本数据(比如:安全评价项目的维护)进行维护操作,包括填加、删除、注销等功能。如图六、图七所示:其中图六表示的是系统权限的维护,图七表示的是对系统数据的维护。
图六 图七
4.2.2填写与审核功能
填写与审核在整个安全性评价系统中占有重要的地位,用户利用这个功能进行评价结果的填写与审核,最终生成最后的评价结果。在填写的时候,每个项目任何人都可以对其安全性进行评价,在评价的时候可以实时利用局域网的连接在数据库中查询别人已经填写过历次有关该项目的记录,对于某条或几条记录如果认为可以使用或在上面进行修改的话,可以利用生成按钮将这些记录直接生成过来。而在审核的时候,只能有特定的几个被赋予审核权限的人才可以进行操作。通过审核,生成最终的评价结果。在审核和评价的时候,为了对项目填写和审核的方便,把握评价的尺度,当点击某项目的时候,可以在这些窗口中随时查看到该项目评价的标准。如图八所示:该图表示的是填写时的情况
图八
4.2.3 查询功能
查询是安全性评价管理信息系统的一项重要的功能,也是作用最为显著的功能,根据用户的需求,它包括简单数据的查询和对评价结果综合分析的查询,按照查询手段的不同,它包括按照时间查询和包括时间查询在内的条件查询,各类查询还可以交叉进行,这是目前在安全性评价系统中作用发挥的最突出的部分,通过查询,用户可以对整个安全评价过程进行了解。如可以对整个安全评价最终结果进行查询,如图九所示:
图九
4.2.4 辅助分析功能
系统的辅助分析功能主要是对评价的最终结果进行分析,包括本次评分情况分析以及历次得分情况分析等,通过这个功能,可以使用户对全厂的整个安全情况有一个总体的认识,可以把握全厂的安全性情况走势。如图十所示:图十
4.2.5 数据的自动生成功能
由于安全性评价是一项群众性的安全自查活动,因此,为了服务于多用户的使用,提高进行评价登记时的效率,减轻登记人员的工作量,设计了数据的自动生成功能,利用这项功能,用户可以将历次评价中自己或别人所填写的内容生成到自己的填写表格中去。见4.2.3填写与审核中图。
4.2.6 输出功能
输出功能也是系统的一项重要功能,利用它,系统可以进行在安全评价中各种报表的输出,根据用户不同的要求,系统具有不同的输出形式,用户只需简单的操作,就可得到需要的输出结果。图十一所示的是附录四在打印时的情况:图十一
5.结束语
安全性评价是一门正在新兴的软科学,它使我们的安全管理工作从传统的经验管理走向了科学管理,使定量评价成为我们今后进行安全工作的一项重要的方法和手段,将计算机科学与其结合在一起,将使我们的安全性评价管理工作迈上一个台阶,大大提高我们的现代化安全管理水平。
第10篇 烟草系统信息网络安全管理办法
第一章 总 则
第一条 为了保护全市烟草信息网络系统的安全,促进计算机网络的应用和发展,保证局域网正常运行,制定本办法。
第二条 本办法所称的局域网络系统,是指由市县局(公司)投资购买、信息中心负责维护和管理的局域网设备、配套的网络线缆设施及网络服务器所构成的硬件、软件集成系统。
第三条 局域网设备管理维护工作由信息中心负责,未经同意,任何单位和个人不得擅自安装、拆卸或改变网络设备。
第四条 任何单位和个人不得利用联网计算机从事危害局域网及局域网服务器的活动,不得危害或侵入未授权的服务器。
第二章 安全管理组织
第五条 局域网安全领导小组由分管领导和办公室信息中心、监察处等部门负责人组成。
信息中心在安全领导小组指导下负责具体的网络安全运行管理工作。
信息中心配备网络安全专管员,实行持证上岗,负责对本单位工作人员的安全教育,网络安全管理,对各项安全制度的执行情况进行监督。
第六条 各县局(公司)、部门指定1名网络安全专管员,负责对本单位(部门)的计算机网络安全工作。
第三章 安全保护
第七条 未经授权,任何单位或个人不得以任何方式登陆进入局域网、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施;不得采用各种手段切断单位、部门或他人网络的连接。
第八条 各单位从事施工、建设,不得危害计算机网络系统的安全。
无特殊情况必须保证网络设备24小时正常运行,不得以任何理由 有关设备或电源。
第九条 各单位、各部门应当建立健全网络安全管理制度和备案制度,真实详尽记录各联网计算机的使用者和使用时间,并保留半年以上。
第十条 对外提供服务的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。
第十一条 内网与外网出口处必须安装防火墙,确保网络不受攻击。
电子邮件服务器应具有email病毒过滤和关键字过滤功能。
第十二条 各单位必须做好数据备份工作,并建立应急预案。
业务、专卖数据必须每天备份一次。
当服务器发生故障时,应立即启动应急预案,尽快恢复数据,确保经营管理活动的正常开展。
第十三条 任何连入局域网络的计算机均须安装防病毒软件和防火墙。
信息中心应及时将有碍局域网络安全的计算机断开连接后通报其所在部门进行处理。
第十四条 凡未通过信息中心自行与isp联网的计算机不得接入局域网。
第十五条 各单位、各部门不得泄露使用的网络设备及服务器的登录用户名及密码。
第十六条 任何单位和个人不得以不真实身份使用网络资源,不得窃取他人帐号、口令使用网络资源。
各单位必须对局域网内计算机实行ip地址与网卡mac地址绑定,任何人不得擅自改动ip地址设置。
未经允许,任何单位或个人不得擅自接纳网络用户。
第十七条 任何单位和个人不得利用单位分配的个人电子邮箱上公网注册信息,不得访问恶意网站和不健康网站,不要随意打开陌生邮件。
第十八条 任何单位或个人不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,不得使用任何非法手段获取他人信息。
第十九条 局域网设备、连接线路及服务器等发生破坏案件后,信息中心必须及时向市局网络安全领导小组报告。
第四章 信息管理
第二十条 网络用户必须遵守《计算机信息网络国际互联网安全保管办法》。
第二十一条 局域网及子网的系统软件、应用软件及信息数据要实施保密措施。
信息资源保密等级可分为:(1)可向internet公开的;(2)可向广域网公开的;(3)可向局域网公开的;
(4)在本单位公开的。
第二十二条 局域网中对外发布信息的内容必须经本单位网络安全领导小组审核备案,通过专用帐号进行发布。
帐号由专人保管使用,不得随意公布转借。
第二十三条 未经网络安全领导小组允许,任何单位或个人不得在主页上开设交互式栏目,不得设立游戏站点或纯娱乐性站点,一经发现,即从网上隔离,并追究有关人员的责任。
第二十四条 开设的电子公告栏(bbs)必须建立信息审核员、站长和栏目主持人组成的三级管理、分级负责制;建立栏目主持人资格审定制度、用户登记制度、日志备份制度。
bbs开放期间必须有专人管理,采取有效的身份识别、安全防护和有害信息过滤保存技术,并具有安全审计功能。
第二十五条 未经网络安全领导小组允许,任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。
第二十六条 局域网内的所有用户有义务向网络安全管理人员或有关部门报告违法犯罪行为和有害的、不健康的信息,并协助有关部门进行调查。
网络安全小组应不定期检查局域网信息发布的内容,督促信息中心和各部门对有害信息进行清除。
第二十七条 局域网接入单位和用户必须遵守知识产权的有关法律法规。
第二十八条 严禁在局域网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件
检查、杀毒。
第五章 违规处罚
第二十九条 违反本条例规定,有下列行为之一者,由信息中心向所在单位(部门)或个人用户提出警告,停止其网络使用。
1. 查阅、复制或传播下列信息:煽动抗拒、破坏宪法和国家法律、行政法规实施的;煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度的;
捏造或者歪曲事实,散布谣言扰乱社会秩序的;
公然侮辱他人或者捏造事实诽谤他人的;
宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等;损害单位形象和利益的;其他违反宪法和法律、行政法规的。
2. 破坏、盗用计算机网络中的信息资源和危害计算机网络安全的活动的。
3. 盗用他人帐号或ip地址的。
4. 私自转借、转让用户帐号的。
5. 故意制作、传播计算机病毒等破坏性程序的。
6. 不按有关规定擅自接纳网络用户的。
7. 上网信息审查不严, 造成严重后果的。
8. 使用任何工具破坏网络正常运行或窃取他人信息的。
上述违规造成损失的,依照有关法律、法规及行业管理规定进行处理,情节严重者移交公安机关处理。
第六章 其他
第三十条 本办法由市局信息中心负责解释。
第三十一条 本办法自200 1日起实行。
第11篇 药品安全信息化管理规定
推进药品经营企业信息化建设,运用信息化手段实现药品安全监管是贯彻落实科学监管理念的重要举措,也是药品经营企业提高管理水平和工作效率的重要途径。为进一步提升药品经营企业质量管理水平,促进信息技术在药品流通领域的应用,实施实时监控,根据国家食品药品监督管理局等上级部门规定,结合本县实际,现就全县药品经营企业实行信息化管理作如下规定,请遵照执行。
一、药品经营企业计算机管理系统建设
全县所有药品经营企业均应配置专用计算机,实现药品购销存信息化管理,保证药品质量可控可追溯。计算机设施和管理系统应符合以下要求:
1、具有独立的计算机管理信息系统,能覆盖企业内药品的购进、储存、销售以及经营和质量控制的全过程,保证药品购、销、存数量保持一致;能全面记录企业经营管理及实施《药品经营质量管理规范》方面的信息;符合《药品经营质量管理规范》对药品经营各环节的要求。
2、应配备能通过计算机自动开具载明药品名称、生产厂商、批号、数量、价格等内容的销售凭证设备,药店在销售药品时均应向购药者出具销售凭证。同时,应在店堂醒目处告示消费者有权索取药品销售凭证,使广大群众知道药品销售凭证开具有效凭证的规定,保障群众用药安全。
3、保证计算机系统的安全性。
(1)计算机系统自身安全,主要包括利用防毒、防火等软、硬件设备保障系统本身不易受破坏和干扰,保证其正常运行;同时,定期做好备份。
(2)计算机系统使用安全,主要包括系统操作人员权限的设定、分配应符合要求,能按照法律法规和岗位职责进行权限的分配,不会出现非本岗位的操作功能。
4、计算机系统数据信息能随时接受药品监管部门检查、查询、复制。
二、药品经营企业在线远程监管系统建设
1、应在营业场所内指定一台固定电话,报药品监管部门备案,确保通讯畅通,并保证在岗人员能随时接听来电。
2、以企业身份申请注册qq帐号,加入药品监管部门统一指定的qq群(群号),由企业负责人负责管理,可委托药店从业人员操作,确保不因从业人员变动而影响正常登录使用;qq设置为自动登陆,在营业期间保持处于正常在线状态,指定专人负责接收发qq群内发布的各项通知、公告等信息。
3、配备网络视频设施,确保药品监管部门在巡查药师是否在岗等情况时能正常启用。
4、所有购进品种应及时上传至浙江省药品信用信息系统,并保证品种信息完整、准确、真实,为药品监管部门实行购进品种在线监管提供条件。
5、具备能与药品监管部门开展实时监控的数据接口,为药品监管部门对购销品种和温湿度在线监管提供条件。
三、其它规定事项
1、药品经营企业驻店药师需要请假或调整在岗排班表的,应提前以电子文档格式报送至药品监管部门指定的电子邮箱。
2、药品经营企业在实施药品安全信息化体系建设的表现情况与将企业信用等级评定挂钩。对于本规定的各事项履行不到位,尤其是药品购销存记录不及时输入电脑台帐、经营品种不及时上传至省局信用系统、不同步开具销售凭证的,将加大日常监督检查深度和频次,强化监督抽样的力度,降低信用等级,构成违法的,依法予以从重处理,并予以实名通报。
第12篇 基于b/s与c/s模式的铁路运输安全管理信息系统
随着我国铁路运输业的迅速发展,对铁路运输安全管理不断提出新的要求。解决安全管理问题
一是要不断提高员i的安全素质,提高安全防范意识及事故处理能力;更重要的是运用安全管理信息技术,通过建立安全管理信息系统来提高安全管理水平,降低事故的发生。笔者综合考虑c/s模式在信息管理、办公自动化等事务处理和b/s模式在信息浏览、查询和发布方面的优势,采用b/s和c/s模式相结合的混合模式开发了铁路运输安全管理信息系统。结合为某铁路运输企业开发的系统,论述了该系统的设计和实现。
1 系统研究现状和目标
进入20世纪90年代以来,安全管理在企业中越来越受到重视,在发达国家,各种现代化的安全管理方法广泛应用,由于其生产设备自动化程度很高,其安全管理大多包含在整个企业管理系统之内。而在国内的一些企业,安全管理多停留在宣传、教育、定期安全检查的水平上,而且多数是定性分析或事故后分析。这种管理手段落后、被动、反应慢,很难适应现代安全生产的要求,这种现象在铁路运输企业表现得尤为明显。因此,迫切需要建立适合当代现有生产条件的安全管理模式,采用数学方法和计算机技术,建立企业的安全管理信息系统,这就为定量分析创造有力条件。定量分析将对进一步认识安全生产的规律,预测预报事故,防止和避免伤亡事故的发生产生积极作用,所以建立安全管理信息系统,是解决铁路运输企业安全问题的有效途径。
铁路运输安全管理信息系统一方面对大量的历史数据进行分类管理,向用户提供可靠、及时的统计数据,使工作人员对以往的工作有总结性的认识;另一方面系统运用一定的数学方法对搜集到的数据进行分析处理,辅助安全部门前瞻性的分析安全形势,及时发现安全工作中存在的问题,提前进行预防控制。据此笔者研制了安全管理信息系统,实现定性分析和定量分析相结合,力求把安全管理从传统的事后追踪变为事前预防控制。
2 系统开发方案
2.1 系统体系结构
客户/服务器(c/s,client/server)结构是20世纪90年代开始流行的一种体系结构,在c/s结构下,应用系统被分成前台(客户机)和后台(服务器)两部分,应用处理由客户端完成,数据访问和事务处理由服务器承担。c/s结构其优点体现在:①可靠的数据完整性和安全性控制;②高效的联机事务处理性能;③很好的开放性和易扩充性;④高效的应用程序开发。
c/s结构的应用系统易于扩展,处理效率更高。但这种模式具有内在缺陷:客户端具有平台相关性;随着应用逻辑和程序界面占用越来越多的硬件资源,客户端变得越来越“胖”;客户端管理复杂,维护困难。为解决c/s模式的内在缺陷,出现了3层c/s模式结构,这种模式把传统c/s结构中客户端的应用逻辑分离开来,形成一个单一的应用服务器,从而大大降低客户机对硬件的要求,使系统更容易扩展。
随着intemet的快速发展,出现了基于web的browser/server模型(浏览器/服务器模型,简称b/s模型)。该模型是把c/s模型的服务器端进一步深化,分解成一个应用服务器(web服务器)和一个或多个数据库服务器,从而形成一个类似3层c/s模型。b/s结构优点主要体现在:
(1)用户界面更加友好,操作更加直观,更易满足用户的使用习惯。
(2)对用户跨平台支持,可跨平台使用数据库、超文本、多媒体等多种形式的信息。
(3)提高了系统的可靠性、整体性以及可扩展性。
(4)客户端只需配置操作系统和web浏览器,降低了对客户机的软硬件要求。
(5)更利于软件的开发、安装、升级,节省开发维护费用。
基于web的b/s模式特别适用于信息的浏览、查询与发布,适于领导辅助决策支持。而c/s体系结构适用于信息管理、办公自动化等事务处理的系统。根据系统的开发要求和系统目标,将这两种模式有机结合,安全管理工作涉及的部门、工种多,安全信息量大,要求处理速度快,基于此特点,为了节省工作量,维护数据的完整性与可靠性,保证系统运行的高效性,系统选择c/s和b/s混合模式的系统体系结构,既发挥传统c/s模式成熟的技术,避免建立3层c/s模式的高昂的代价,又能借intemet技术充分发挥b/s模式的优点。这种混合模式的体系结构如图1所示。
2.2 开发语言及数据库的选择
为保证系统具有良好的开放性和安全性,选用先进的visual basic 6.0和asp编程语言及interdev6和frontpage2000开发工具,缩短开发总周期,提高开发效率。其中visual ba—sic 6.0是一种面向对象的可视化的编程工具,由于其灵活方便和易于扩充的特点,因此,它越来越多地用作大型公司数据和客户机/b艮务器(c/s)应用程序的前端开发工具,与后端的sqlserver数据库相结合,可以提供一个高性能的客户机/服务器解决方案。asp即活动服务器页面(active server page),是一种用于www服务的服务器端脚本环境,它具有开发简单、功能强大等优点。利用它,可以很容易地把html标签和文本,脚本命令及activex组件混合在一起构成asp页,以此来生成动态网页,创建交互式的web站点,而不需要进行复杂的编程。visual interdev是创建动态web站点的集成开发环境,可以在其下结合各种脚本开发asp和html应用程序。web程序的骨架及各种控制、处理功能都是利用interdev来设计的,visual interdev是配合asp开发的主导工具,它是为intemet和intranet创建数据驱动型动态web应用程序的完整工具集。frontpage是web站点的创建、管理和页面修饰工具。利用它可以方便地创建漂亮的html页面,并对已生成的web应用程序进行页面上的修饰和编辑。
服务器端数据库选择mssqlserver7.0,该数据库具有如下性能:可伸缩结构,从单处理器到多处理器的硬件,用以满足未来业务的需要;高性能结构,利用windows nt可得到更大的传输量和更快的响应时间;方便系统管理,利用省时的图形化工具,降低了对系统管理员的技术要求,使系统便于维护;强化安全的事务处理能力,一旦系统发生故障,它能保护数据不丢失;网络集成环境,可使用通用的网络和协议。
客户端数据库选择桌面数据库access2000,access是微软公司于1994年发布的微机桌面数据库管理系统。作为一种mis开发工具,它具有界面友好、开发简单、接口灵活等特点,是典型的新一代数据管理和信息系统开发工具。access提供了强大的数据组织、用户管理、安全检查等功能。在一个工作组级别的网络环境中,使用access开发的多用户数据库管理系统具有传统的xbase数据库系统所无法实现的客户/服务器(c/s)结构和相应的数据库安全机制。
2.3 系统的设计原则
本系统的设计原则如下:
(1)实用性。系统采用友好的图形用户界面方式,实现全屏幕菜单操作,用户能简单、方便地采集基础数据,实现信息共享与交换。
(2)可靠性。系统在设计过程中,把可靠性作为系统设计成功与否的重要标志,在设计过程中考虑到安全管理人员对计算机知识的局限性,采用了较强的容错功能,对用户的非法操作均有限制和提示,数据出错时具有相应的提示信息及处理能力,并且每个处理环节都具有高度可靠性、保密性及安全性。
(3)开放性。利用web技术,使各局域网能进行分布数据处理,各子系统能在intemet上进行数据处理和信息查询。
(4)通用性。系统设计过程中,遵循企业安全管理中的一些通用的基本管理制度,在铁路运输企业中具有通用性。
(5)先进性。系统采用软件工程的理论进行开发;利用模糊数学、灰色系统理论和安全系统工程理论,建立客观反映事故系统特征的数学模型体系;采用数据库理论技术中的e—r模式分析实体间的关系并进行数据库结构设计;采用目前流行的可视化开发工具进行系统开发。
(6)可扩充性。一方面是硬件的扩充能力,可以方便地在网上增加设备或用户;另一方面是软件的扩充能力,在系统软件设计时,要特别考虑今后可能的功能扩充。运用新的软件设计思想,对该系统作适当的调整升级保证系统能够满足新业务、新功能的要求,而且对原来的程序没有影响或者影响很小,以及硬件或网络的改变或升级基本不影响应用软件。
3 系统结构及功能
3.1 系统事务流程
本系统事务流程如图2所示。
3.2 系统的功能结构
系统基本功能结构及主要功能模块组成如图3所示
3.2.1 系统维护模块
系统维护模块主要是对系统中需要用到的一些参数进行预先设置或重新配置以及对数据库中的数据进行维护,这些参数一般是相对固定的,但是用户可以根据实际的变动情况对其进行重新设置。系统维护模块包括系统参数设置、代码维护和数据维护3部分,其中参数设置包括系统常用参数设置和数据库参数设置,系统常用参数设置指的是对公司名称,站点ip等信息相关信息进行设置,数据库参数设置指的是对服务器名称、数据库类型、数据库名称等信息进行重新设置;代码维护模块包括单位名称代码维护、工种名称代码维护、类别代码维护、违章类别代码维护、违章内容维护以及事故类别代码维护,分别实现根据单位中部门名称、工种名称、类别、违章类别、违章内容及事故类别的变化对其进行修改的功能;数据维护包括数据备份、数据恢复和数据清理3部分,分别实现对数据库中数据的定期备份、数据库损坏后的恢复及定期删除数据库中部分数据的功能。
3.2.2 用户管理模块
用户管理模块主要是提供对系统使用者的名称、密码、权限以及所属群组等信息进行管理,确保企业信息的安全保密性,用户管理模块主要包括用户添加、用户删除、用户修改、密码修改4部分。系统会根据登录者的权限提供全部或部分功能,如果登录者是系统管理员身份,将提供全部的功能,包括用户的添加、删除,用户权限的设定或修改以及密码的修改等功能,如果登录者是一般用户身份,将只提供密码修改的功能。
3.2.3信息录入模块
信息录入模块是安全管理信息系统的基础,主要提供基础数据的录入、修改、删除、浏览等功能。信息录入模块由安全检查整改表信息录入、三违登记簿信息录入、安全学习培训信息录入、事故记录信息录入、事故报表信息录入、上岗人员信息录入和运量信息录入等7部分组成,信息录入后保存在服务器上的数据库中,以备查询、统计分析和生成报表时使用。
3.2.4信息查询模块
信息查询模块主要是提供对数据库中的相关数据按条件进行检索的功能,包括安全检查整改信息查询、三违登记信
息查询、安全学习培训信息查询、事故信息查询、安全学习培训学员情况查询、上岗人员信息查询、运量信息查询等7部分,每部分都提供组合查询的功能。
3.2.5 统计分析模块
统计分析模块根据信息录入模块中录入的基础数据信息,统计汇总出二次信息,以数据表格的形式显示统计的详细情况,并同时以图形的方式直观地显示出来,用于管理决策。统计分析模块包括历年事故趋势分析、历年事故中伤亡统计分析、直接经济损失统计分析、百万吨公里事故率统计分析、分单位事故统计分析、分工种事故统计分析、事故分类别统计分析、事故发生时间统计分析和责任者年龄统计分析等部分。
3.2.6 预测模块
预测模块主要是根据以往的基础数据,对相关指标进行预测,产生未来可能的结果或趋势信息,包括人体生物节律预测和事故预测。其中人体生物节律预测是用来根据人体生物节律曲线来预测每月员工可能发生的问题、需要对其进行提示,系统到达警示日期会自动进行提示;事故预测是根据设定的预测起始、终止年份内的历史数据,利用灰色预测模型产生预测年份的事故数等。
3.2.7 报表生成模块
报表生成模块主要是产生企业需要的各种标准报表,包括安全生产情况报表、事故月报表、事故年报表、安全管理综合指标月报表和安全管理综合指标年报表等。
4 系统运行环境
服务器端采用microsoft windows nt 4.0,客户端采用windows2000操作系统。所选的操作系统是多任务、多进程的32位操作平台,具有集中安全性设计,开放性强,可支持多种网络用户,支持多种网络传输协议,通过调制解调器拨号方式可实现远程访问服务等特点。
服务器端数据库管理系统采用mssqlserver7.0,它是一个高性能、多用户的关系型数据库管理系统(rdbms),它价格低廉,安全性好,效率高,并且可以搭配backoffice套件。客户端数据库采用access2000。
5 结 语
(1)本系统在某铁路运输企业投入使用后,取得了良好的使用效果,通过及时给决策部门提供准确的统计数据,提高了决策的及时性和准确性,大幅度提高了企业的铁路运输安全管理水平和管理效率,具有较好的应用前景。
(2)系统采用基于b/s和c/s混合模式的体系结构,既发挥了c/s模式成熟的技术特长,避免建立多层c/s模式的高昂代价,又能借intemet技术充分发挥b/s模式的优点,有效实现快速的信息交流和信息共享。
(3)系统集业务处理、事故预测和图形分析等功能于一体,为铁路运输的安全管理提供了全面信息、技术支持。
(4)系统采用的模块化设计为进一步开发提供了便利。该系统能逐步实现更多信息的计算机管理和信息管理决策支持系统,并能方便地并人其他计算机网络,实现信息共享。
摘自:《中国安全科学学报》2004.14卷.3期
33位用户关注
12位用户关注
55位用户关注
11位用户关注
34位用户关注
76位用户关注
38位用户关注
74位用户关注
89位用户关注
87位用户关注