信息安全管理办法

*********有限责任公司

信息安全管理办法

第一章总则

第一条为了加强************有限责任公司（以下简称：我行）计算机信息系统安全保护工作，确保我行计算机信息系统安全、稳定、高效运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，结合自身实际制定本办法。

第二条 ************有限责任公司计算机信息系统安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。其中“预防为主”是计算机安全管理工作的基本方针。

第三条 ************有限责任公司计算机信息系统安全工作实行统一领导和分级管理。按照“谁主管谁负责、谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第四条成立计算机信息安全管理工作领导小组，由科

技、财会、保卫、稽核、办公室、电子银行等部门组成，实行一把手负责制，计算机信息安全管理工作领导小组负责组织、协调、监督和检查我行计算机安全管理工作。

第五条权限说明：************有限责任公司作为吉林省农村信用联合社（以下简称:省联社）信息系统平台的终端使用者，享有使用其系统、数据库、网络等其他IT资源的权利，吉林省农村信用联合社享有开发、管理、控制其系统、数据库的权利，当出现各种事故时由************向吉林省农村信用联合社进行通知报告，系统、数据库、网络等故障根据事故级别情况由吉林省农村信用联合社进行处理解决。

本办法适用于************计算机设备、系统的使用部门和各分支机构。本办法与相关制度对应关系如下

第四章对应《************有限责任公司系统运行维护实施细则》须结合上述制度开展工作。

第五章对应《************有限责任公司网络运行维护实施细则》须结合上述制度开展工作。

第六章对应《************有限责任公司办公设备日常操作管理办法》、《************计算机物品管理指导意见（试行）》须结合上述制度开展工作。

第八章对应《************数据备份管理规定》结合该制度开展工作。

第二章人员与岗位管理

第一节人员基本要求与安全教育

第六条本办法所称计算机安全人员，是指各级机构专（兼）职计算机安全管理人员。

第七条计算机安全人员应当遵纪守法、政治过硬、业务精通、恪尽职守。违反国家法律、法规和受到行政处分的人员，不得从事计算机安全管理工作。

第八条计算机安全人员变动，应向上级科技管理部门备案。

第九条营业机构对全体员工应进行计算机安全法律法规及相关规章制度的培训。

第十条计算机安全人员应定期接受政治思想教育、职业道德教育、安全保密教育。

第十一条计算机安全教育由科技信息部负责实施。

第二节计算机关键岗位人员安全管理

第十二条本办法所称计算机信息系统关键岗位人员（简称关键岗位人员），是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、操作运营等岗位人员。

第十三条关键岗位人员上岗前，必须经过人事部门的政治素质审查，科技信息部的信息安全教育、业务操作技能考核，合格者方可上岗。

第十四条关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务；系统开发人员不得兼任系统管理员。

第十五条岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及基层业务保密信息的关键岗位人员调离单位时，必须进行离岗稽核，关键岗位人员在调离后应继续履行保密义务。

第十六条关键岗位人员离岗后，必须及时注销其用户，并更换相关密码。

第三节计算机岗位人员的安全责任

第十七条系统管理员安全责任

1．负责系统的运行管理，实施系统安全运行细则。

2．严格用户权限管理，维护系统安全正常运行。

3．认真记录系统安全事项，及时向科技信息部负责人报告安全事件。

4．对进行系统操作的其他人员予以安全监督。

第十八条网络管理员安全责任

1．负责网络的运行管理，检测网络运行状况，实施网络安全策略和安全运行细则。

2．合理配置网络应用，严格控制网络用户访问权限，维

护网络安全正常运行。

3．监控网络关键设备、网络端口、网络物理链路，防范黑客入侵，及时向部门负责人报告安全事件。

4．对操作网络管理功能的其他人员进行安全监督。

第十九条开发人员安全责任

1．系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。

2．系统投产运行前，应完整移交系统源代码和相关涉密资料。

3．不得对系统设置“后门”。

4．对系统核心技术保密。

第二十条应用系统、操作系统维护员安全责任

1．负责系统维护，及时解除系统故障，确保系统正常运行。

2．不得擅自改变系统功能及相关参数。

3．不得安装与系统无关的其它计算机程序。

4．维护过程中，发现安全漏洞应及时报告部门负责人。

第二十一条业务操作员安全责任

1．严格执行系统操作规程和运行安全管理制度。

2．不得向他人提供自己的操作密码，柜员卡不得借给他人。

3．及时向科技信息部报告系统各种异常事件。

第二十二条各部门、营业机构计算机管理员责任

1．各部门、营业机构应指派素质好、较熟悉计算机知识的人员担任本单位的计算机管理员或科技协管员，并报科技信息部备案。如有变更应做好交接工作，并及时通知科技信息部。

2．各部门、营业机构计算机管理员或科技协管员要配合科技人员工作，并参加各项信息安全技能培训。

3．各部门、营业机构计算机管理员或科技协管员负责本部门、本网点计算机病毒防治工作，监督检查本部门客户端安全管理情况；负责提出本部门信息安全保障需求，及时与科技信息部沟通信息安全监测情况；协助科技信息部完成对本部门的信息安全检查工作。

第四节一般计算机用户的安全管理责任

第二十三条本办法所称一般计算机用户是指使用计算机设备的我行所有工作人员。

第二十四条一般计算机用户应承担如下安全义务：

1．不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。

2．未经科技信息部检测和授权，不得将接入系统内部网络所用计算机转接国际互联网，不得将便携式计算机接入总行内部网络，不得随意将私人计算机带入机房或私自拷贝任

何信息。所造成的后果和相关经济损失由本人承担。

第五节外来人员的安全管理

第二十五条各单位要针对不同的外来人员，制定相应的安全策略，严格控制外来人员对我行信息系统、网络设备、安全设备、办公主机、主机服务器的访问，外来人员对敏感的信息资产进行访问时，应与其签订安全保密协议，明确安全责任和义务。

第二十六条各单位必须做好外来人员的出入管理和陪同工作。

第二十七条严禁外来人员在未经科技信息部允许的情况情况下通过办公用户网访问生产网络。

第二十八条对需要长期进入各级单位工作的外公司人员，必须报外来人员管理部门审批，做好其工作区域的隔离和访问控制，并对访问过程进行全程监控、详细记录和及时审计。

第三章设备的安全管理

第二十九条设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。

第三十条生产环境、测试环境、开发环境的相关设备相互之间必须有明确的物理安全边界，物理安全区必须有明

确的标志。

第三十一条设备所在的物理安全区应具备符合国家相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等基本环境条件。

第三十二条对路由器、交换机、防火墙和主机服务器等设备必须采取严格的管理措施，未经批准不得随意移动和接入。

第三十三条设备安装时，应由相关技术人员制定详细可行的操作步骤，其中关键设备的安装必须请供货厂商（代理商）技术人员现场支持。

第三十四条主机和网络通信关键设备必须有备份，并处于实时备用状态。

第三十五条重要设备使用单位应做好设备日常运行维护工作：

1．做好设备的日常检测、检查、记录，及时掌握设备的运行状况。

2．设备发生故障时应及时维修，必要时，通知设备维护商的技术人员到场解决。

3．制定设备维护计划，为维护的项目、步骤、周期、责任人等做出明确规定，并严格按照设备维护计划定期进行设备的保养和维护，做好设备维护记录。

第四章系统的安全管理

第三十六条本办法所指的计算机系统是指************业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。

第三十七条系统规划与立项要充分考虑系统的安全需求，系统建设要充分考虑实现安全功能，计算机安全管理部门应对重要系统的立项进行安全性专项审查。

第三十八条系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。

第三十九条系统投入运行前，必须进行系统的安全评估与审批；对已投入运行的系统需跟踪进行评估并根据评估结果不断改进和提高系统安全性。

第四十条系统运行安全管理

1．严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。

2．备份系统与生产系统的系统构成与配置应保持一致，以保证生产系统出现故障时能顺利切换。

3．严禁擅自修改系统参数，确需修改应严格履行审批手续，由维护岗位人员实施，实施时应有监督，修改后的参数应记录在案。

4．严禁擅自对业务数据库的数据进行修改或恢复操作，确需操作时应严格履行审批手续，由相关岗位人员实施，并由有关人员监督执行。

5．对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大事件操作，按《************有限责任公司系统升级管理办法》由科技信息部从安全角度出发与业务部门密切配合，共同制定详细的计划和方案。

第四十一条做好系统的日常安全运行维护工作，不断完善系统运行制度、日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。定期对系统进行备份，并对备份媒体按有关规定指定专人妥善保管，重要业务系统的备份媒体必须异地保存。重要业务系统应由业务部门制定计算机安全保护的应急计划，保证业务的不间断运行，并不断完善应急计划。对涉密的应用系统，应严格执行保密管理的有关规定。

第四十二条各级运行机构必须做好对系统的安全监测工作。非营业机构接入生产网，须向科技信息部申请，连接单独设立的服务器。

第四十三条严格执行系统废止和销毁的有关安全管理规定。

第五章网络安全管理

第一节网络管理

第四十四条科技信息部应持续建立健全网络安全运行制度，不断健全《************网络运行维护实施细则》、

《************系统运行维护实施细则》、《************计算机系统应急预案》等涉及到网络方面的制度，并按制度开展日常工作。

第四十五条应配备专职网络管理员。重要网络设备应放置在机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。网管设备属专管设备，必须严格控制其管理员密码。

第四十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份，按《************数据备份管理规定》执行备份有关工作。

第四十七条新建网络、网络改造或变更在投入使用前，科技信息部应制订相应的网络安全防范措施，组织对新建网络或改造后网络实施安全检验，未通过检验不允许投产使用。

第四十八条网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在节假日进行，同时做好配置参数的备份和应急恢复准备。

第四十九条网络管理员应按照省联社统一发布安全规范实施所负责网络的安全配置，并定期检查与规范的符

合性。对网络设备配置命令和响应信息的完整性、合理性及保密性必须进行验证。

第五十条与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，提出具体实施方案，并得到充分论证，经过科技信息部审核通过方可实施。

第五十一条网络管理人员应随时掌握监测网络运行状况，定期检查网络状况，双机热备对获得的信息进行分析，发现安全隐患应报告部门负责人。

第五十二条网络扫描、监测结果和网络运行日志等重要信息应备份存储。

第五十三条联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应及时处理。

第五十四条科技信息部人员严禁超越网络管理权限，非法操作业务数据信息，不得擅自设置路由与非相关网络进行连接。

第五十五条按照我行制定的相关网络安全技术规范要求，对办公用户网、测试网与生产网络实施严格的物理、逻辑隔离措施。

第五十六条对计算机网络和数据通信设备的停用、维修、重用和作废环节，应建立安全机制有效清除或销毁敏感信息，防止泄露。

第二节内网的使用管理

第五十七条由总行办公室(党办)统一为各级机构、各专业分配内部网络电子邮箱和即时通讯软件工具账号，用于日常信息传递。

第五十八条由总行办公室(党办)统一为各机构、各部门分配内部相关群组，用于实时信息传递。

第五十九条加强内网操作人员权限管理，严格按照权限规定办理业务，无关人员禁止使用内网。

第六十条接入内网的计算机未经科技信息部允许不准安装其它软件。

第六十一条接入内网的计算机禁止使用各种游戏、娱乐软件。

第六十二条严禁擅自将我行内网与外网直接连接。

（一）我行内网与企业外单位网络利用专线进行互连的方案，必须报我行总行科技信息部审批，经省联社相关部门同意后方可实施；

（二）我行专用网络与INTERNET互联网连接的方案，必须报总行科技信息部审批。不得同一台主机进行内外网切换，严格保持内、外网物理隔离。

第六十三条内网的网络设备用户访问内网网络资源应经过安全认证、合理授权。认证应采用高安全强度的认证方式，对用户的权限应合理规划，实现角色的分离和相互制约，限制用户权限尤其是超级用户权限的滥用和误用。

第六十四条防火墙策略的制定要严格按照相关网络技术规范进行，防火墙策略的变更应经过科技部部门审批。利用防火墙、防病毒、安全漏洞扫描、网络非法外联、网络入侵检测等软件和工具对获得的信息进行分析时，如发现安全事件，必须按照规定及时处理和报告，并对其日志进行保存和审计。

第六十五条严禁外单位（包括供应商和服务商等）通过专线或拨号方式对我行信息系统进行远程维护和技术支持。

第三节接入国际互联网管理

第六十六条各级机构办公场所禁止私自用各种方式接入互联网。确有特殊需要接入互联网的部门，必须由部门负责人提出书面申请，经主管领导审批，报科技信息部备案，方可接入。并严格保持内、外网物理隔离。

第六十七条使用国际互联网的安全管理

1．接入国际互联网的机器不得存有涉密金融数据信息，接入国际互联网的计算机上不得使用存有涉密金融数据信息的媒体。

2．从国际互联网下载的任何信息资源，未经检测并得到许可，不得在本行系统内网上使用。禁止访问或下载与工作无关的信息，禁止访问高风险网站，禁止安装、使用各类游

戏、娱乐软件。

3．接入国际互联网的计算机须安装防病毒系统，并定期升级。严禁利用互联网络传播病毒、散播非法信息、泄露国家和机构的机密。

5．本单位所属的国际互联网账号不得在本单位之外的其它场所使用。

6．国际互联网接入账户和密码必须实行专人管理，并不定期更换密码。

7．确有需要接入国际互联网的部门必须由负责人提出书面申请，送科技信息部初审，报分管行领导签批同意后方可接入。

8．使用国际互联网的所有用户应遵守国家有关法律法规和相关管理规定，不得从事任何违法违规活动。

9. 无线网络只允许访问国际互联网，严禁通过无线网络访问业务运行类系统，无线网络的应用开通范围需由本单位安全管理岗审核。

第六十八条各使用部门应自觉接受总行信息安全工作领导小组的监督检查。

第六章计算机安全保密管理

第一节计算机及相关产品安全管理

第六十九条涉密计算机要与公用网络实行物理隔离，不得与因特网、非保密的局域网、非涉密的单机等有任何形式的物理连接。

第七十条涉密计算机的使用要由专人负责管理，建立专门用户，并设立密码。

第七十一条计算机须安装具有实时监控病毒功能的防毒软件和防火墙产品，并及时升级。利用防毒软件，对需要在计算机使用的外来软盘、光盘等存储介质、下载的网络文件、电子邮件及其附件等进行病毒检查、清除。

第七十二条任何单位或个人不得在连接互联网的计算机或网络中存储、处理、传递、发布涉及国家秘密以及************内部商业秘密的信息，当发现信息泄漏，应立即向有关部门报告。

第七十三条进行互联网连接的单位和个人，应遵守国家有关法律、法规，严格执行安全保密制度，不得利用计算机国际互联网从事危害国家安全、泄漏国家秘密等违法犯罪活动；不得利用计算机国际互联网进行搜集、整理、窃取国家秘密的活动。

第七十四条各级单位和用户原则上不准开设电子公告系统、聊天室等，如确有需要必须上报有关部门审批、备案。

第七十五条用户使用电子邮件进行网上信息交流应遵守国家有关保密规定，不得利用电子邮件传递、转发或抄送

涉密信息。互联单位、接入单位如有邮件服务器，对其管理的邮件服务器用户应当明确保守国家秘密的要求。

第七十六条对于建立主页的单位，应与保密部门签订保密责任协议，并协助保密部门对其主页内容进行保密监督、检查，指定专人负责对信息内容的监督审查。

第七十七条由省计算机中心负责开发的软件产品、密钥及技术资料等要进行登记并妥善保管，严防泄漏，指定专人管理已开发的全部程序源码和技术资料，未经科技信息部主管领导批准，不得向外复制、销售、转让软件产品。

第七十八条对于操作系统、数据库、网络通讯及安全设备等重要区域均应设置口令，对记录密码的载体应严格管理，确保安全。

第二节数据信息的管理

第七十九条计算机的存储媒体要依据文件内容准确界定并标注涉密介质的密级和保密期限，按照所标密级和保密期限严格管理。密级和保密期限的界定标注方法等同于同内容的纸质文件。

第八十条必须加强数据信息处理全过程的安全管理，保证数据信息的保密性、完整性、可用性、可控性。数据信息的安全管理应做到：

1．严把数据信息采集关，确保真实、可靠、合法。

2．据实录入数据信息，严禁凭空输入，对数据信息的修改，必须得到有关部门的批准，并记录备案。

3．必须采用必要的技术措施保证数据信息传输过程的安全，应使用加密技术对涉密或重要的数据信息实施加密处理。

4．使用部门应按规定进行数据备份，并检查备份媒体的有效性，送往异地的重要数据磁盘、磁带必须有加密措施，严防泄漏。

5．在设备维修、报废过程中，要确保其中的数据信息的保密性、完整性。

第八十一条涉密媒体包括记录档案资料、软件、数据等的各种载体。保证涉密媒体信息的安全应做到：1．各种媒体的收集、保管、使用须按科技档案管理办法执行。

2．严格分级管理，在媒体使用上，根据媒体的密级，要做到分级使用、定人操作，保留在现场的媒体数量应是系统有效运行所需要的最小数量。

3．涉密数据在系统进行下载存贮过程中必须采取相应的加密技术措施。

4．涉密媒体的保管要防磁、防潮、防腐、防霉变，重要磁介质每年要进行翻录或复制，实行异地保管，时限四年。

5．涉密媒体的传递与外借，应有审批手续和传递记录，

涉密媒体传递过程中，要采取必要的防复制及加密等安全措施。

6．涉密媒体必须按照有关保密管理规定进行管理，严格录入、查询、复制、传递、保管、归档、销毁等各环节的手续；同一媒体上不得混录密和非密信息，如果必须同时录用不同密级的信息，应按存储信息的较高密级进行管理并标明密级。

7．媒体要根据需要与存储环境定期进行循环复制备份，并进行登记；全部涉密媒体信息的转交、挪动和销毁，相关人员均须在场。

8．废弃媒体，相关部门应详细登记，妥善保管，每年底报请分管领导批准后，集中统一在保密管理人员监督下进行不可恢复性销毁。

第八十二条金融电子化系统中的信息应根据其重要性、密级、应用需求等分别实行相应的加密措施。对绝密级(金融电子化设计方案、金融主要业务的源代码、联行或电子汇兑密押、密钥的文字说明等),机密级（计算机网络设计方案、数据库设计说明、有关电子帐务数据文件、主要业务的目标程序等）,秘密级（省市级项目电报、会计报表、银行重要凭证及帐务等）等信息不得通过互联网传送，机密信息不得以明文形式传送。

第三节数据备份与恢复

第八十三条省计算机中心负责业务数据和系统方面的备份及恢复。各业务部门负责本部门重要业务数据和资料方面的备份和恢复。

第八十四条要确认备份操作准确无误后进行备份操作。各业务部门应将计算机信息数据备份媒体视同重要空白凭证，指定专人负责备份数据媒体的管理。备份数据媒体应按要求写明标识，要确保存放地的安全，并定期进行检查，确保数据的完整性、可用性。

第七章第三方访问和外包服务安全管理

第一节第三方访问控制

第八十五条本办法所称第三方访问是指************之外的单位和个人物理访问省计算机中心机房或者通过网络连接逻辑访问省计算机中心数据库和计算机系统等活动。

第八十六条省计算机中心负责涉密计算机系统和网络相关的第三方访问授权审批，科技信息部负责非涉密计算机系统和网络相关的第三方访问授权审批。未经************授权的任何第三方访问均视为非法入侵行为。

第八十七条允许被第三方访问的计算机系统和资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监督第三方访问活动。

第八十八条获得第三方访问授权的所有单位和个人应