【正文】 村信用社簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。 第二節(jié) 外包安全管理第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社?！　〉谝话偎氖l 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，科技信息部應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。 第十一章　災(zāi)難備份與應(yīng)急管理第一節(jié) 災(zāi)難備份管理　　第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程?！　〉谝话偎氖臈l 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理?！　〉谝话偎氖鍡l 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間（恢復(fù)時(shí)間目標(biāo)RTO）和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)RPO)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案。　　第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。 第二節(jié) 應(yīng)急管理第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機(jī)集合。　　第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。　　第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。　　第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：　?。ㄒ唬┛倓t（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）?！　。ǘ?yīng)急組織機(jī)構(gòu)?！　。ㄈ╊A(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）?！　。ㄋ模└黝愇C(jī)處置流程。　?。ㄎ澹?yīng)急資源保障?！　。┦潞筇幚砹鞒??！　。ㄆ撸╊A(yù)案管理與維護(hù)（生效、演練、維護(hù)等）?！　〉谝话傥迨粭l 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。　　第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源?！　〉谝话傥迨龡l 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào)，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報(bào)省聯(lián)社信息科技部。第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部。 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。 第十二章　安全檢查評(píng)估與培訓(xùn)第一節(jié) 監(jiān)測檢查　　第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。　　第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測周報(bào)、月報(bào)或季報(bào)辦法，報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部，抄送相關(guān)業(yè)務(wù)部門?！　〉谝话傥迨艞l 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)單位相關(guān)部門。 　　第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查，安全檢查方式可以是自查、互查或上級(jí)檢查多種方式?！　〉谝话倭粭l 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤?！　〉谝话倭l 農(nóng)商行參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露?！　〉谝话倭龡l 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案。 第二節(jié) 評(píng)估審計(jì)第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估。第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。　　第一百六十六條 農(nóng)商行如聘請第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，報(bào)省聯(lián)社信息科技部批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督。　　第一百六十七條 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對外透露評(píng)估信息。 第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測評(píng)。開展等保測評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測評(píng)服務(wù)安全指引》的有關(guān)規(guī)定，確保測評(píng)有效和測評(píng)安全。第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí)，應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì)，發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)?！　〉谝话倨呤畻l 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配置管理，并完整保留相關(guān)日志記錄。 第三節(jié) 安全培訓(xùn)第一百七十一條 農(nóng)商行應(yīng)至少每年對信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn)，提高全體員工信息安全意識(shí)，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。第十三章　獎(jiǎng)勵(lì)與處罰　　第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng)，對表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)?！　〉谝话倨呤臈l 對于違反本辦法，造成重大信息安全事件的單位及個(gè)人，要給予通報(bào)批評(píng)；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。 第十四章　附　則 第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。 第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。 30 / 30