【導(dǎo)讀】實施發(fā)展戰(zhàn)略的保障。加強制度建設(shè)對貫徹落實省政府“從嚴(yán)治社”的要求，實現(xiàn)全省農(nóng)村。信用社穩(wěn)健經(jīng)營、深化改革和跨越式發(fā)展具有現(xiàn)實而深遠(yuǎn)的意義。導(dǎo)高度重視此項工作。省聯(lián)社成立伊始就確立了“靠制度管人、管事、管風(fēng)險”的工作思路。4次主持召開了遼寧省農(nóng)村信用社聯(lián)合社社員大會和理事會會議，對全部制度進(jìn)行了審議。監(jiān)察等相關(guān)制度間環(huán)環(huán)相扣的制度鏈。會和理事會審議通過的制度編輯成冊，印制了《遼寧省農(nóng)村信用社系列管理制度選編》。本書付印之時正值全省農(nóng)村信用社旺季工作開展之日，加強風(fēng)險管理，防范。本書的各項制度均為全文錄入。在執(zhí)行過程中，如有修改或新的規(guī)定，均按新規(guī)定執(zhí)行。本書僅限內(nèi)部使用，要妥善保管，嚴(yán)防遺失。第二條本規(guī)定適用于遼寧省農(nóng)村信用社系統(tǒng)內(nèi)的各級機構(gòu)網(wǎng)點。變更時，須向上一級管理機構(gòu)和省聯(lián)社科技部報告、審批、備案。安全部門進(jìn)行審查。解聘、調(diào)動意見，同時在省聯(lián)社科技部備案。省聯(lián)社科技部可根據(jù)具體

　　

【正文】 的供電系統(tǒng)應(yīng)安裝互不兼容的插座； （六）應(yīng)設(shè)置溫、濕度自動記錄儀及溫、濕度報警設(shè)備； （七）主機及外設(shè)的電磁干擾輻射必須符合國家標(biāo)準(zhǔn)。 第二十六條 機要信息處理系統(tǒng)中要考慮防止電磁波信息輻射被非法截收，可采用以下方法： （一）可采取區(qū)域控制的辦法，即將可能截獲輻射信息的區(qū)域控制起來，不許外部人員接近； （二）可采用機房屏蔽的方法，使得信息不能輻射出機房； 科技管理制度手冊 33 （三）可采用低輻射設(shè)備； （四）可采取其他技術(shù)，使得難以從被截獲的輻射信號中分析出有效信息； （五）關(guān)于屏蔽技術(shù) 的具體要求和技術(shù)指標(biāo)可向有關(guān)部門咨詢。 第六章 數(shù)據(jù)管理 第二十七條 對那些必須保護(hù)的數(shù)據(jù)要提供足夠的保護(hù) : （一）數(shù)據(jù)使用必須有嚴(yán)格的存取控制措施和權(quán)限； （二）數(shù)據(jù)應(yīng)有準(zhǔn)確性和完整性檢驗方法； （三）數(shù)據(jù)應(yīng)有不同介質(zhì)的雙備份和數(shù)據(jù)恢復(fù)功能，實行異地備份。 第二十八條 安全等級可分為保密等級和可靠性等級兩種，系統(tǒng)的保密等級與可靠性等級可以不同，具體分類如下： （一）保密等級應(yīng)按有關(guān)規(guī)定劃為絕密、機密、秘密； （二）可靠性等級可分為三級。對可靠性要求最高的為 A 級，系統(tǒng)運行所要 求的最低限度可靠性為 C 級，介于中間的為 B 級。 第二十九條 各級單位應(yīng)對數(shù)據(jù)按照密級進(jìn)行管理，同時制定相應(yīng)的規(guī)章制度。 第七章 磁介質(zhì)管理 第三十條 磁介質(zhì)的存放 （一）磁介質(zhì)存放必須有專門磁介質(zhì)庫，并設(shè)專人負(fù)責(zé)管理，必須有出入庫手續(xù)和記錄； （二）重要的數(shù)據(jù)文件必須備份，與機房分離異地存放； 需長期保存的磁介質(zhì)，應(yīng)定期翻錄轉(zhuǎn)儲； （三）存有機要信息的磁介質(zhì)，要保證信息不被非法重新復(fù)制。 第三十一條 系統(tǒng)安裝要建立完備的記錄，特別是重要系統(tǒng)軟件和應(yīng)用軟件的磁介質(zhì)的使用要有安裝記錄 。 第三十二條 對重要應(yīng)用系統(tǒng)要嚴(yán)禁在同一臺機器上安裝兩種操作系統(tǒng)，嚴(yán)禁在同一臺機器上安裝兩種重要應(yīng)用軟件。 科技管理制度手冊 34 第三十三條 磁媒體管理 （一）磁盤、磁帶必須按照系統(tǒng)管理員及制造廠商確定的操作規(guī)程安裝； （二）傳遞過程的數(shù)據(jù)磁盤、磁帶應(yīng)裝在金屬盒中； （三）新磁帶在使用前應(yīng)在機房經(jīng)過二十四小時溫度適應(yīng)； （四）磁帶、磁盤應(yīng)放在距鋼筋房柱或類似結(jié)構(gòu)手 10CM 以上處，以防雷電經(jīng)鋼筋傳播時產(chǎn)生的磁場損壞媒體上的信息； （五）存有機要信息的磁帶清除時必須進(jìn)行消磁，不得只進(jìn)行磁帶初始化； （六）所有入庫的盤帶目錄清單必須具有統(tǒng)一格式，如文件所有者、系列號、文件名及其描述、作業(yè)或項目編號、建立日期及保存期限； （七）盤帶出入庫必須有核準(zhǔn)手續(xù)并有完備記錄； （八）長期保存的磁帶應(yīng)定期轉(zhuǎn)貯； （九）存有記錄機要信息磁帶的庫房，必須符合相應(yīng)密級的文件保存和管理條例的要求，不得與一般數(shù)據(jù)磁帶混合存放； （十）重要的數(shù)據(jù)文件必須多份拷貝異地存放； （十一）磁帶庫必須有專人負(fù)責(zé)管理。 第八章 軟件管理 第三十四條 系統(tǒng)軟件應(yīng)具有以下安全措施 （一）操作系統(tǒng)應(yīng)有較完善的存取控 制功能，以防止用戶越權(quán)存取信息； （二）操作系統(tǒng)應(yīng)有良好的存貯保護(hù)功能，以防止用戶作業(yè)在指定范圍的存貯區(qū)域進(jìn)行讀寫； （三）操作系統(tǒng)應(yīng)有較完善的管理功能，以記錄系統(tǒng)的運行情況，監(jiān)測對數(shù)據(jù)文件的存取； （四）維護(hù)人員進(jìn)行維護(hù)時，應(yīng)處于系統(tǒng)安全控制之下； （五）操作系統(tǒng)發(fā)生故障時，不應(yīng)暴露口令、授權(quán)表等重要信息； （六）操作系統(tǒng)在作業(yè)正常或非正常結(jié)束以后，應(yīng)該清除分配給該作業(yè)的全部臨時工作區(qū)域； （七）系統(tǒng)應(yīng)能像保護(hù)信息的原件一樣，精確地保護(hù)信息的拷貝。 科技管理制度手冊 35 第三十五條 應(yīng)用軟件 （ 一）應(yīng)用程序必須考慮充分利用系統(tǒng)所提供的安全控制功能； （二）應(yīng)用程序在保證完成業(yè)務(wù)處理要求的同時，應(yīng)在設(shè)計時增加必要的安全控制功能； （三）程序員與操作員應(yīng)職責(zé)分離； （四）安全人員應(yīng)定期用存檔的應(yīng)用程序與現(xiàn)行運行程序進(jìn)行對照，以有效地防止對程序的非法修改。 第三十六條 數(shù)據(jù)庫 （一）數(shù)據(jù)庫必須有嚴(yán)格的存取控制措施，庫管理員可以采取層次、分區(qū)、表格等各種授權(quán)方式，控制用戶來保護(hù)數(shù)據(jù)庫的存取權(quán)限； （二）通過實體安全、備份和恢復(fù)等多種技術(shù)手段來保護(hù)數(shù)據(jù)庫的完整性； （三）應(yīng)對輸入 數(shù)據(jù)進(jìn)行邏輯檢驗，數(shù)據(jù)庫更新時應(yīng)保證數(shù)據(jù)的準(zhǔn)確性； （四）數(shù)據(jù)庫管理員應(yīng)實時檢查數(shù)據(jù)庫的邏輯結(jié)構(gòu)、數(shù)據(jù)元素的關(guān)聯(lián)及數(shù)據(jù)內(nèi)容； （五）數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有檢查跟蹤能力，可以記錄數(shù)據(jù)庫查詢，密碼利用率、終端動作、系統(tǒng)利用率、錯誤情況及重新啟動和恢復(fù)等； （六）數(shù)據(jù)庫管理系統(tǒng)應(yīng)能檢測出涉及事務(wù)處理內(nèi)容及處理格式方面的錯誤，并予以記錄； （七）必須有可靠的日志記錄。對數(shù)據(jù)完整性要求較高的場合要建立雙副本日志，分別存于磁盤和磁帶上以保證意外的數(shù)據(jù)恢復(fù)； （八）應(yīng)建立定期轉(zhuǎn)貯制度，并根據(jù)交易量的大小 決定轉(zhuǎn)貯頻度； （九）數(shù)據(jù)庫軟件應(yīng)具備從各種人為故障、軟件故障和硬件故障中進(jìn)行恢復(fù)的能力； （十）數(shù)據(jù)庫管理軟件應(yīng)能確定是否由于系統(tǒng)故障而引起了文件或交易數(shù)據(jù)的丟失； （十一）重要的系統(tǒng)應(yīng)采取安全控制實時終端，專門處理各類報警信息； （十二）對于從日志或?qū)崟r終端上查獲的全部非法操作都應(yīng)加以分析，找出原因及對策。 第三十七條 軟件開發(fā) （一）軟件開發(fā)的一切過程應(yīng)按照國家有關(guān)標(biāo)準(zhǔn)要求進(jìn)行。軟件需求，要相關(guān)的業(yè)務(wù)、技術(shù)人員參與完成； 科技管理制度手冊 36 （二）產(chǎn)品鑒定驗收：鑒定驗收是軟件產(chǎn)品化的關(guān)鍵環(huán)節(jié)， 必須給予足夠的重視。提交鑒定的軟件產(chǎn)品，應(yīng)具有上述標(biāo)準(zhǔn)中列出的各種產(chǎn)品文件。將鑒定會上提供的上述文件裝訂成冊，編好頁碼目錄，作為技術(shù)檔案，妥善保存。未經(jīng)鑒定驗收的軟件，不得投入運行； （三）購買的軟件應(yīng)附有完整的技術(shù)文件。 第三十八條 軟件維護(hù)與管理 （一）較重要的軟件產(chǎn)品，其技術(shù)檔案應(yīng)復(fù)制副本，正本存檔，不準(zhǔn)外借； （二）軟件產(chǎn)品除建立檔案文件外，其源文件應(yīng)記在磁盤或磁帶上，并編寫詳細(xì)目錄，以便長期保存； （三）重要的軟件，均應(yīng)復(fù)制兩份，一份作為主拷貝存檔，一份作為備份； （四）對 系統(tǒng)軟件的維護(hù)和二次開發(fā)要慎重，必須事先對系統(tǒng)有足夠的了解； （五）對軟件進(jìn)行維護(hù)和二次開發(fā)前，必須寫出書面申請報告，經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，方可進(jìn)行； （六）在維護(hù)和二次開發(fā)中，必須有詳細(xì)的規(guī)范化的書面記載，主要記載修補部位，修改內(nèi)容，增加功能，修改人，修改日期等，以便查找或別人接替； （七）二次開發(fā)只能在系統(tǒng)軟件的副本上進(jìn)行； （八）對軟件的任何修改都必須有文字記載，并與修改前后的軟件副本一起并入軟件技術(shù)檔案，妥善保存； （九）對軟件的修改必須保證不降低系統(tǒng)的安全性。 第九章 輸入輸出控制 第三十九條 數(shù)據(jù)在投入使用前，必須確保其準(zhǔn)確可靠，可采用各種方法進(jìn)行檢查?？梢栽O(shè)置獨立于用戶和數(shù)據(jù)處理部門兩者的管理小組，以監(jiān)督和指導(dǎo)進(jìn)入或離開數(shù)據(jù)處理中心的數(shù)據(jù)。 第四十條 輸入控制 （一）對操作人員制定明確而嚴(yán)格的輸入數(shù)據(jù)的操作制度和規(guī)程； （二）向操作人員提供完整的操作指南； （三）處理數(shù)據(jù)的前端設(shè)備應(yīng)有保密措施； 科技管理制度手冊 37 （四）操作人員必須嚴(yán)格遵循口令使用規(guī)則； （五）應(yīng)建立一個整齊、清潔、安靜的操作環(huán)境。 第四十一條 輸出控制 （一）輸出控制應(yīng)有專人負(fù)責(zé)； （二 ）輸出文件應(yīng)設(shè)有審批制度； （三）輸出文件的使用應(yīng)有完備手續(xù)； （四）輸出文件必須有可讀的密級標(biāo)志，等級標(biāo)志必須與相應(yīng)文件在整個處理環(huán)節(jié)中同時生存； （五）輸出文件在發(fā)到用戶之前，應(yīng)由數(shù)據(jù)處理部門進(jìn)行審核； （六）計算機系統(tǒng)運行日志應(yīng)有專人定期審核，打印的日志應(yīng)完整而連續(xù)，不得拼接。 第四十二條 明確系統(tǒng)各環(huán)節(jié)工作人員的責(zé)任： （一）系統(tǒng)及程序設(shè)計人員與操作人員必須分離； （二）重要事務(wù)處理項目，必須規(guī)定由合法文件的法定人提交； （三）修改文件必須規(guī)定批準(zhǔn)和執(zhí)行的手續(xù)； （四）工作期間至少應(yīng)有二人在機房值班，以防止非法使用計算機； （五）保存控制臺打印記錄； （六）制定統(tǒng)一的數(shù)據(jù)格式并盡可能使用統(tǒng)一編碼。 第四十三條 操作控制 對操作人員制定有關(guān)處理輸入數(shù)據(jù)的操作制度的規(guī)程。必須建立一個整齊、清潔、安靜符合生理衛(wèi)生要求的操作環(huán)境，以減少操作失誤。嚴(yán)格規(guī)定媒體管理制度，以防止媒體中數(shù)據(jù)的破壞和損失。向操作人員提供完整的操作指南。以便掌握有關(guān)作業(yè)安排，作業(yè)優(yōu)先級分配，建立和控制作業(yè)，規(guī)定場所安全措施和作業(yè)運行等的合理規(guī)程。需要保存的數(shù)據(jù)文件必須有完備的記錄，存入 符合要求的媒體庫中。充分利用作業(yè)統(tǒng)計功能提供的信息。處理機要數(shù)據(jù)的終端室各終端，可以考慮隔離，以防各用戶互相偷看。 科技管理制度手冊 38 第十章 操作管理 第四十四條 制定嚴(yán)格的操作規(guī)程 系統(tǒng)操作人員應(yīng)為專職，操作時要有二名操作人員在場。嚴(yán)格執(zhí)行重要工作雙人監(jiān)督程序。 第四十五條 對系統(tǒng)開發(fā)人員和系統(tǒng)操作人員要進(jìn)行職責(zé)分離。 第四十六條 制定系統(tǒng)運行記錄編寫制度，系統(tǒng)運行記錄包括系統(tǒng)名稱、姓名、操作時間、處理業(yè)務(wù)名稱、故障記錄及處理情況等。 第四十七條 制定完備的系統(tǒng)維護(hù)制度 對系統(tǒng)進(jìn)行維護(hù)時，應(yīng) 采取數(shù)據(jù)保護(hù)措施。如數(shù)據(jù)翻錄、抹除、卸下磁盤磁帶，維護(hù)時安全人員必須在場等。遠(yuǎn)程維護(hù)時，應(yīng)事先通知，且必須建立完整的維護(hù)記錄檔案。 第四十八條 對系統(tǒng)進(jìn)行預(yù)防維修或故障維修時，必須記錄故障原因、維修對象、維修內(nèi)容和維修前后狀況等。 第十一章 聯(lián)機處理管理 第四十九條 聯(lián)機系統(tǒng)應(yīng)該確定系統(tǒng)安全管理員，對系統(tǒng)安全負(fù)責(zé)。 第五十條 用戶識別 （一）必須充分利用系統(tǒng)提供的技術(shù)手段； （二）必須對口令的產(chǎn)生、登記、更換期實行嚴(yán)格管理，研究和采用多種口令密碼方式； （三）口令應(yīng)加密存貯； （四）系統(tǒng)能跟蹤各種非法請求并記錄某些文件的使用情況； （五）若錯誤的口令被連續(xù)地使用若干次后，系統(tǒng)應(yīng)采取相應(yīng)措施； （六）教育用戶必須遵循口令的使用規(guī)則； （七）系統(tǒng)應(yīng)能識別終端，以查出非法用戶的位置。 第五十一條 證件識別，可使用磁條、金屬結(jié)構(gòu)或微型芯片制成的卡式證件對用戶進(jìn)行識別。 科技管理制度手冊 39 特征識別，采用專門設(shè)備檢驗用戶具有的物理特征。如指紋。 第五十二條 需要保護(hù)的數(shù)據(jù)和軟件必須加有標(biāo)志，在整個生存期，標(biāo)志應(yīng)和數(shù)據(jù)軟件結(jié)合在一起，不能丟失。 第五十三條 計算機通信線路安全問題。 通信線路應(yīng)遠(yuǎn)離強電磁場輻射源，最好埋于地下或采用金屬套管。通信線路最好鋪設(shè)或租用專線。定期測信號強度，以確定是否有非法裝置接入線路；定期檢查接線盒及其他易被人接近的線路部位。 第五十四條 傳輸需要保密的數(shù)據(jù)，應(yīng)該加密保護(hù)；需要長期保存的機要文件，應(yīng)加密后保存；系統(tǒng)應(yīng)建立完善的密鑰產(chǎn)生、管理和分配系統(tǒng)；所有數(shù)據(jù)應(yīng)由數(shù)據(jù)主管部門負(fù)責(zé)劃分密級，密級確定后交數(shù)據(jù)處理部門進(jìn)行分類處理；根據(jù)數(shù)據(jù)處理的密級和保密時效的長短，選擇相應(yīng)強度的密碼算法，既不能強度太高，過多增加系統(tǒng)開銷，又不要強度太低，起不到保密效果。不要 擴大加密的范圍。對于可加密不可加密的數(shù)據(jù)，不要加密；對于密鑰管理人員要盡可能地縮小范圍，并嚴(yán)格審查；定期對工作人員進(jìn)行保密教育。 第五十五條 當(dāng)系統(tǒng)密級發(fā)生變化，特別是密級降低時，應(yīng)用特定的方法清除全部磁存貯器，用停電的方法清除非磁存貯器。 第五十六條 計算機系統(tǒng)必須有完整的日志記錄，具體包括：每次成功的使用，記錄節(jié)點名、用戶名、口令、終端名、上下機時間、操作的數(shù)據(jù)或程序名、操作的類型、修改前后的數(shù)據(jù)值；用戶每次越權(quán)存取的嘗試，記錄節(jié)點名、用戶名、終端名、時間、欲越權(quán)存取的數(shù)據(jù)及操作類型、存取失敗的 原因；每次不成功的用戶身份，記錄節(jié)點名、用戶名、終端名、時間。 第五十七條 還要注意以下幾點要求： （一）操作員對越權(quán)存取應(yīng)通過控制臺進(jìn)行干預(yù)； （二）打印出的日志應(yīng)完整而連續(xù)，不得拼接； （三）重要的日志應(yīng)由安全負(fù)責(zé)人簽名，規(guī)定保存期限； （四）對特定的終端設(shè)備，應(yīng)限定操作人員。 第十二章 網(wǎng)絡(luò)安全管理 第五十八條 網(wǎng)絡(luò)安全比單系統(tǒng)或聯(lián)系統(tǒng)更為重要。如果沒有必要的安全措施，網(wǎng)科技管理制度手冊 40 絡(luò)不能正式投入使用。 第五十九條 重要部門的計算機網(wǎng)絡(luò)應(yīng)設(shè)立全網(wǎng)管理中心，由專人實施對全網(wǎng)的統(tǒng)一管理 、監(jiān)督與控制，不經(jīng)網(wǎng)絡(luò)主管領(lǐng)導(dǎo)同意，任何人不得變更網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)配置及網(wǎng)絡(luò)參數(shù)。 第六十條 網(wǎng)絡(luò)安全可從實際出發(fā)，分階段、分層次逐步完善。應(yīng)首先考慮采用存貯加密、傳輸加密、存取控制、數(shù)字簽名及驗證等安全措施。