【正文】 同狀態(tài)下的安全需求，信息科技部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第八十七條信息科技部定期檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報表信息并定期匯總分析。 第七十三條嚴(yán)格用戶和密碼（口令）的管理，嚴(yán)格控制各級用戶對數(shù)據(jù)的訪問權(quán)限。 （二）信息系統(tǒng)歸口責(zé)任業(yè)務(wù)部室應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報信息科技部門。 第六十四條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移交本行。 第八章信息系統(tǒng)安全管理 第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。第五十四條信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對其訪問控制權(quán)限負(fù)責(zé)。所有接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知相關(guān)業(yè)務(wù)部門并安排在非交易時間或交易較少時間進行，同時做好配臵參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 （四）能有效防止計算機病毒對網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。第三十五條本行信息中心樓層設(shè)立門禁，加強人員進出管理。 第二十九條依據(jù)《XX省農(nóng)村合作金融機構(gòu)機房管理指引》進一步規(guī)范機房建設(shè)、改造和驗收過程，落實機房管理。 第五章物理環(huán)境安全管理第一節(jié)機房安全管理 第二十四條本規(guī)定所稱機房是指信息系統(tǒng)主要設(shè)備放臵、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護。 （二）嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 （三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改意見。第三章人員管理 第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。 第三條本行信息安全工作實行統(tǒng)一領(lǐng)導(dǎo)和分級管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。所有使用本行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人均應(yīng)遵守本辦法。 第十一條應(yīng)選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。 第十四條信息安全領(lǐng)導(dǎo)小組成員在如下職責(zé)范圍內(nèi)開展工作： （一）負(fù)責(zé)本行信息安全管理體系的落實。 第十七條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項安全承諾，簽署保密協(xié)議。 第四章資產(chǎn)管理 第二十條本行對所有信息資產(chǎn)進行識別、評估相對價值及重要性，建立資產(chǎn)清單并說明使用規(guī)則，明確定義信息資產(chǎn)責(zé)任人及其職責(zé)。第二十七條建立健全機房管理制度，并指派專人擔(dān)任機房管理員，落實機房安全責(zé)任制。本行信息中心主備機房和運維監(jiān)控室等區(qū)域。第六章網(wǎng)絡(luò)安全管理 第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理 第三十八條本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。 第四十二條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能。 第四十六條信息安全管理人員負(fù)責(zé)定期對網(wǎng)絡(luò)進行安全檢測、掃描和評估。 第五十條曾接入國際互聯(lián)網(wǎng)的計算機嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過安全工作小組審核并上報相關(guān)領(lǐng)導(dǎo)審批，經(jīng)安全檢測后方能接入。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部室提出的安全需求。 第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進行。 第七十條信息系統(tǒng)投入使用前信息中心應(yīng)當(dāng)建立相應(yīng)的操作規(guī)程和安全管理制度，以防止各類安全事故的發(fā)生。 第七十六條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。 第十一章文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié)技術(shù)文檔 第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。 第九十三條加強對移動存儲設(shè)備（Ｕ盤、軟盤、移動硬盤等）的使用管理。日志文件應(yīng)至少保留一年，妥善保管。 第一百零五條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。第一百一十九條計算機設(shè)備確需送外單位維修時，本行應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。 第一百二十五條本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量。 （四）各類危機處臵流程。 第十四章安全監(jiān)測、檢查、評估與審計 第一百三十二條本行信息科技部負(fù)責(zé)每年至少進行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。第一百四十二條應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估