【正文】 第十三章　獎(jiǎng)勵(lì)與處罰　　第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng)，對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。本單位信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督?！　〉谝话倭l 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告?！　。ㄎ澹?yīng)急資源保障。 第二節(jié) 應(yīng)急管理第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合?！　〉谝话偎氖l 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，科技信息部應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議?！　〉谝话偃鶙l 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批?！　〉谝话俣艞l 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼?！　〉谝话俣鍡l 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備（U盤、移動(dòng)硬盤等）管理辦法，加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。日志文件應(yīng)至少保留一年，妥善保管。　　第一百一十一條 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置?！　〉谝话倭阄鍡l 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀?！　〉诰攀臈l 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保密，防止口令密碼泄漏。第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護(hù)員），具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書面材料進(jìn)行初步審查。第八十條 信息系統(tǒng)開發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。　?。ㄈ┻\(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第三節(jié) 網(wǎng)間互聯(lián)安全管理第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行，同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法，配備網(wǎng)絡(luò)管理員。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū)，必要時(shí)，單獨(dú)建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。第四十五條　監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運(yùn)作，防止監(jiān)控信息的泄密。（三）機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。 第三十五條 系統(tǒng)管理員安全責(zé)任（一）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；（二）嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；（三）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；（四）對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。第六節(jié) 信息系統(tǒng)要害崗位人員第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員?！　。ǘ┌l(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部?！　。ǘ┲鲃?dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處置。如有變更應(yīng)做好交接工作，并及時(shí)通報(bào)科技信息部。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。第一節(jié) 信息安全管理人員 第十條 農(nóng)商行選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。第二章　組織保障第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。第三章 人員管理農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)?！　〉谑龡l 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作：　　（一）組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計(jì)算機(jī)安全員工作，監(jiān)督檢查信息安全保障工作。第十六條 信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。 第三節(jié) 技術(shù)支持人員　　第二十條 本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員?！　〉诙邨l 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)：　?。ㄒ唬┘皶r(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。第三十三條 要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。　　第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告?！　〉谖迨龡l 所有門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個(gè)月?！　。ǘ┚邆浔匾木W(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測(cè)，審核（檢測(cè)）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測(cè)、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國際互聯(lián)網(wǎng)。 第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。必要時(shí)，可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。 （二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。 第四節(jié) 業(yè)務(wù)操作　　第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第五節(jié) 信息系統(tǒng)廢止　　第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。　　第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。 第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強(qiáng)數(shù)據(jù)的保密管理。不得非法買賣、泄露客戶個(gè)人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。　　第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。　　第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急