【正文】 錄和分析，對重要日志實行定期備份，保證當發(fā)生安全事件時做到有據可查。第一百零五條 桌面管理：對系統(tǒng)運行部門桌面進行有效管理，建立桌面管理制度。第一百零六條 問題管理: 建立有效的問題管理機制，及時響應信息系統(tǒng)運行事故，逐級向相關的信息科技管理人員匯報事故的發(fā)生，記錄、分析和跟蹤所有事故，直到對事故進行徹底的改正并完成根本原因的分析。第一百零七條 變更管理：除已發(fā)生事故外，嚴禁在主要生產時間（7:0018:00）進行可能影響對外服務的變更維護操作。變更操作須提前書面報告科技部門負責人，簽字同意后，雙人操作并做好變更記錄。第一百零八條 運行報告：信息科技運行部門應當定期(每月)將重要信息系統(tǒng)的運行報告提交管理層。第一百零九條 單點故障的排查：定期（每月）排查單點故障問題。應有相應的檢查記錄及問題分析處理報告。第七章 軟件開發(fā)第一百一十條 管理制度：應制定全面的信息系統(tǒng)開發(fā)管理制度、流程和指引，包括但不限于：系統(tǒng)的開發(fā)流程和組織管理、參與部門的職責劃分、時間進度和財務預算管理、質量檢測和風險評估等。制定的制度、流程和指引，應涵蓋系統(tǒng)開發(fā)的全周期，包括：立項、可行性分析、制定需求、方案設計、程序開發(fā)、系統(tǒng)測試、系統(tǒng)驗收、使用培訓、實施操作和維護等。第一百一十一條 周期管理：項目必須有生命周期管理制度，應有生命周期管理流程和記錄。第一百一十二條 系統(tǒng)測試：應建立完善的測試團隊，并確保測試工作的公正性和獨立性；應當確保系統(tǒng)測試的充分性，完整性；測試環(huán)境應與生產環(huán)境相隔離；應當對信息系統(tǒng)功能進行充分測試，保障系統(tǒng)功能與業(yè)務目標一致；應當對信息系統(tǒng)進行非功能測試，防范在信息系統(tǒng)性能峰值情況下發(fā)生的問題。第一百一十三條 項目驗收：軟件項目正式投產前必須進行驗收，并提供完整的資料，包括：《可行性研究報告》、《業(yè)務需求書》、《業(yè)務需求變更文件》、《立項審批》、《驗收申請報告》、《綜合測試報告》、《試運行報告》、《費用支出報告》技術開發(fā)階段有關文檔資料。第一百一十四條 系統(tǒng)上線：應有系統(tǒng)分發(fā)登記簿。應有系統(tǒng)上線過程的相關記錄和操作人員名單。應有應急恢復措施以保證出現問題時對生產系統(tǒng)的影響降到最低。第一百一十五條 軟件外包管理：對外包軟件開發(fā)項目，科技管理部門、項目牽頭組要委派指定專門人員參加項目設計、開發(fā)全過程，明確職責，確保項目按期交接。第一百一十六條 版本管理：科技管理部門須制訂軟件版本管理辦法，由專人對項目組正式移交的各種軟件版本進行編號登記，歸檔管理，保證軟件版本的完整性、準確性和一致性。第一百一十七條 報備管理：軟件開發(fā)項目實施前必須向省聯(lián)社科技創(chuàng)新處報備。第八章 信息安全第一百一十八條 信息安全管理目標：制定信息系統(tǒng)安全管理規(guī)定， 安全管理規(guī)定應涉及安全計劃、身份管理、用戶管理、風險評估、信息資產管理、網絡安全、病毒防護、敏感數據交換等內容。第一百一十九條 信息安全制度：信息系統(tǒng)安全制度建設應全面涵蓋信息系統(tǒng)安全的風險點，如：策略、制度、機房、軟件、硬件、網絡、數據、文檔、違規(guī)處罰條款等方面。信息系統(tǒng)安全制度應經過內外審計部門審計評估。第一百二十條 信息安全的管理工具：應當合理配置信息安全管理工具，并經授權后使用管理工具進行分析和報告。信息安全管理工具包括但不限于：入侵檢查管理工具、性能檢測管理工具、網絡管理工具、配置管理工具。第一百二十一條 信息安全設備的完備性：應當配備足夠網絡安全設備，并符合信息系統(tǒng)安全保護的等級要求。安全設備主要包括：邊界控制設備（如防火墻、網關等）、身份識別設備（如門禁、證書系統(tǒng)、用戶登錄系統(tǒng)等）、加密設備（如加密機、加密卡等）、病毒和黑客防范設備（如防病毒系統(tǒng)、防篡改系統(tǒng)、防病毒網關等）等。第一百二十二條 軟件正版化：內網生產辦公用機必須安裝使用正版軟件。第一百二十三條 軟件使用范圍：不得安裝與系統(tǒng)無關的其他計算機程序。第一百二十四條 開發(fā)測試環(huán)境：應建立獨立的開發(fā)測試環(huán)境。開發(fā)、測試環(huán)境，辦公系統(tǒng)，生產系統(tǒng)應進行網段劃分，采取隔離措施。第一百二十五條 內外網管理：（一）參照第四章有關條款，嚴格控制內外網互聯(lián)。內、外網用機必須嚴格區(qū)分，禁止混用。（二）嚴禁在生產系統(tǒng)上安裝編譯工具、應用系統(tǒng)源程序及其他與系統(tǒng)業(yè)務無關的軟件。第一百二十六條 病毒的檢測和預防：（一）必須指定專人定期用防病毒軟件查殺本單位計算機信息系統(tǒng)，并做檢測、清除的記錄；（二）必須按有關操作規(guī)定定期更新防病毒產品的病毒庫定義和軟件版本；（三）生產網絡內的電子設備須部署省聯(lián)社統(tǒng)一版本的SYMANTEC防病毒軟件，對特殊設備（部分ATM設備）部署廠商提供的專用防病毒軟件，并做好病毒庫升級工作。第一百二十七條 移動設備管理：（一）對于離線式終端用戶如便攜式計算機、個人數字助理（PDA）、移動存儲介質等應建立接入前監(jiān)測措施；（二）杜絕信貸員使用個人便攜式計算機進入生產系統(tǒng)，為信貸員配置臺式PC；（三）杜絕無線網卡使用，防止病毒和木馬進入生產系統(tǒng)。第一百二十八條 登記管理：及時詳實登記計算機信息安全運行登記簿。第一百二十九條 安全部門管理：無獨立數據中心的單位的科技管理部門負責安全管理，并配備專職（兼職）計算機信息安全管理員；有獨立數據中心的單位在科技部門內部設立安全管理部門，負責信息安全管理。第一百三十條 應急預案制訂：制訂總體應急預案和分類應急預案，分類應急預案至少包括基礎設施、網絡通訊、信息系統(tǒng)和業(yè)務流程等。第一百三十一條 應急預案內容：（一）明確有關各方的分工和責任。（二）明確說明重要信息系統(tǒng)的業(yè)務影響范圍、恢復時間目標、恢復點目標、以及信息系統(tǒng)包括的系統(tǒng)資源，明確資源的物理位置、設備型號、軟件資源、網絡配置等關鍵信息。（三）明確各類故障的診斷方法和流程。應急場景應至少覆蓋電力故障、通信線路故障、火情水災、治安、病毒爆發(fā)、網絡攻擊、人為破壞、不可抗力、計算機硬件故障、網絡操作系統(tǒng)故障、漏洞、應用系統(tǒng)故障以及其他各類與信息系統(tǒng)相關的故障。（四）制定系統(tǒng)恢復流程和應急處置操作手冊，應盡可能將操作代碼化、自動化，降低應急處置過程中產生的操作風險。（五）明確應急恢復過程中的關鍵狀態(tài)，并明確不同狀態(tài)的溝通和報告內容及等級。（六）明確應急相關人員的協(xié)調內容和溝通方式。（七）明確系統(tǒng)重建步驟，確保信息系統(tǒng)恢復正常業(yè)務處理能力。第一百三十二條 應急預案更新：當信息系統(tǒng)發(fā)生軟件升級、系統(tǒng)補丁安裝、配置參數調整、網絡改造等變更時應及時更新應急預案，并適時實施演練。第一百三十三條 應急演練計劃：應制訂應急演練計劃，明確應急演練時間、內容、依據、目的、負責人和相關部門，應急演練是否包括全面演練和專項演練，全面演練至少每年進行一次。第一百三十四條 應急演練過程：嚴格按照應急演練計劃實施應急演練，并確保做到：（一）以應急預案為基礎，制定應急演練總體方案，并進行風險再評估，制定相應的保障措施。（二）應急演練內容應全面完整，涵蓋信息系統(tǒng)的各類應急場景。（三）嚴格控制應急演練引起的信息系統(tǒng)變更風險，避免因演練導致服務中斷。（四）應急演練應選擇在非主要業(yè)務時段進行。（五）應急演練完成后，應保證實施應急預案所需的各項資源恢復正常。（六）定期（每年）對應急演練相關人員進行培訓。第一百三十五條 演練報告：應急演練結束后，應撰寫應急演練總結報告?？偨Y報告包括但不限于：內容和目的、總體方案、參與人員、準備工作、主要過程和關鍵時間點記錄、存在的問題、后續(xù)改進措施及實施計劃、演練結論。第一百三十六條 應急事件報告：突發(fā)事件（系統(tǒng)中斷服務5分鐘以上的事件）發(fā)生后，應急領導小組應及時（事件發(fā)生后半小時內）將情況報告省聯(lián)社，根據事件嚴重程度，報告監(jiān)管部門（具體時間要求參照省聯(lián)社下發(fā)的應急處置管理辦法）。報告內容應包括突發(fā)事件時間、地點、現象、影響范圍、原因分析、后果初步判斷、已采取的措施、后續(xù)擬采取的措施建議、報告單位、報告人以及其他與事件有關的內容。第九章 附 則第一百三十七條 本標準由江蘇省農村信用社聯(lián)合社制定，修改、解釋亦同。第一百三十八條 本標準自發(fā)布之日起執(zhí)行。37 / 37