【正文】 村信用社簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。 第二節(jié) 外包安全管理第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社?！　〉谝话偎氖l 計算機設(shè)備確需送外單位維修時，科技信息部應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。 第十一章　災(zāi)難備份與應(yīng)急管理第一節(jié) 災(zāi)難備份管理　　第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。　　第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理?！　〉谝话偎氖鍡l 農(nóng)商行相關(guān)業(yè)務(wù)部門負責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間（恢復(fù)時間目標(biāo)RTO）和數(shù)據(jù)丟失量(恢復(fù)點目標(biāo)RPO)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級和備份方案?！　〉谝话偎氖鶙l 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。 第二節(jié) 應(yīng)急管理第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機集合?！　〉谝话偎氖藯l 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案?！　〉谝话偎氖艞l 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成?！　〉谝话傥迨畻l 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：　?。ㄒ唬┛倓t（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）?！　。ǘ?yīng)急組織機構(gòu)。　?。ㄈ╊A(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。　?。ㄋ模└黝愇C處置流程。　?。ㄎ澹?yīng)急資源保障?！　。┦潞筇幚砹鞒獭！　。ㄆ撸╊A(yù)案管理與維護（生效、演練、維護等）。　　第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。　　第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源?！　〉谝话傥迨龡l 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報省聯(lián)社信息科技部。第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 第一百五十六條 農(nóng)商行辦公室負責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。 第十二章　安全檢查評估與培訓(xùn)第一節(jié) 監(jiān)測檢查　　第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測?！　〉谝话傥迨藯l 農(nóng)商行科技信息部應(yīng)建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門?！　〉谝话傥迨艞l 農(nóng)商行要及時預(yù)警、響應(yīng)和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。 　　第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式?！　〉谝话倭粭l 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤?！　〉谝话倭l 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責(zé)任。所有檢查報告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。　　第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。 第二節(jié) 評估審計第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。第一百六十五條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應(yīng)制定評估方案并進行必要的培訓(xùn)。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技信息部主管領(lǐng)導(dǎo)?！　〉谝话倭鶙l 農(nóng)商行如聘請第三方機構(gòu)進行安全評估，報省聯(lián)社信息科技部批準(zhǔn)，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督?！　〉谝话倭邨l 農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。 第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規(guī)定，確保測評有效和測評安全。第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)?！　〉谝话倨呤畻l 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關(guān)日志記錄。 第三節(jié) 安全培訓(xùn)第一百七十一條 農(nóng)商行應(yīng)至少每年對信息安全管理人員進行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓(xùn)，提高全體員工信息安全意識，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護流程及違反規(guī)定的后果。第十三章　獎勵與處罰　　第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應(yīng)進行通報表彰并給予一定形式的獎勵。　　第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。 第十四章　附　則 第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。 第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責(zé)解釋。 30 / 30