【正文】 第十三章　獎勵與處罰　　第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應(yīng)進行通報表彰并給予一定形式的獎勵。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督?！　〉谝话倭l 農(nóng)商行參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。　?。ㄎ澹?yīng)急資源保障。 第二節(jié) 應(yīng)急管理第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機集合。　　第一百四十二條 計算機設(shè)備確需送外單位維修時，科技信息部應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議?！　〉谝话偃鶙l 農(nóng)商行保密工作委員會負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。　　第一百二十九條 農(nóng)商行應(yīng)根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。　　第一百二十五條 農(nóng)商行應(yīng)制定移動存儲設(shè)備（U盤、移動硬盤等）管理辦法，加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。日志文件應(yīng)至少保留一年，妥善保管?！　〉谝话僖皇粭l 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置?！　〉谝话倭阄鍡l 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀?！　〉诰攀臈l 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保密，防止口令密碼泄漏。第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負(fù)責(zé)信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。第八十四條 科技信息部應(yīng)當(dāng)對報送的書面材料進行初步審查。第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行?！　。ㄈ┻\行平臺的安全策略與設(shè)計。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第三節(jié) 網(wǎng)間互聯(lián)安全管理第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò)互聯(lián)。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第二節(jié) 網(wǎng)絡(luò)運行安全管理第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦法，配備網(wǎng)絡(luò)管理員。有特殊安全要求的計算機設(shè)備應(yīng)放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。禁止未經(jīng)批準(zhǔn)的外部人員進入機房。第四十五條　監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。（三）機房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。 第三十五條 系統(tǒng)管理員安全責(zé)任（一）負(fù)責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細(xì)則；（二）嚴(yán)格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；（三）認(rèn)真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。第六節(jié) 信息系統(tǒng)要害崗位人員第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員?！　。ǘ┌l(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部?！　。ǘ┲鲃訖z查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處置。如有變更應(yīng)做好交接工作，并及時通報科技信息部。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。第一節(jié) 信息安全管理人員 第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。第二章　組織保障第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。第三條 信息系統(tǒng)信息安全工作堅持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級落實單位與個人信息安全責(zé)任制。第三章 人員管理農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)?！　〉谑龡l 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作：　　（一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。第十六條 信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。 第三節(jié) 技術(shù)支持人員　　第二十條 本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。　　第二十七條 一般計算機用戶應(yīng)承擔(dān)如下安全義務(wù)：　?。ㄒ唬┘皶r更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。第三十三條 要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)?！　〉谒氖畻l 農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由科技信息部負(fù)責(zé)。重要機房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告?！　〉谖迨龡l 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月?！　。ǘ┚邆浔匾木W(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 第一節(jié) 信息系統(tǒng)規(guī)劃與立項第七十四條 信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。 （二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。 第四節(jié) 業(yè)務(wù)操作　　第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)授權(quán)進行相關(guān)設(shè)定操作。 第五節(jié) 信息系統(tǒng)廢止　　第九十七條 實行信息系統(tǒng)廢止申報、備案辦法?！　〉谝话倭闳龡l 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放?！　〉谝话俣藯l 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全?！　〉谝话偃龡l 農(nóng)商行應(yīng)在安全環(huán)境中進行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急