【導讀】實施發(fā)展戰(zhàn)略的保障。加強制度建設對貫徹落實省政府“從嚴治社”的要求，實現全省農村。信用社穩(wěn)健經營、深化改革和跨越式發(fā)展具有現實而深遠的意義。導高度重視此項工作。省聯社成立伊始就確立了“靠制度管人、管事、管風險”的工作思路。4次主持召開了遼寧省農村信用社聯合社社員大會和理事會會議，對全部制度進行了審議。監(jiān)察等相關制度間環(huán)環(huán)相扣的制度鏈。會和理事會審議通過的制度編輯成冊，印制了《遼寧省農村信用社系列管理制度選編》。本書付印之時正值全省農村信用社旺季工作開展之日，加強風險管理，防范。本書的各項制度均為全文錄入。在執(zhí)行過程中，如有修改或新的規(guī)定，均按新規(guī)定執(zhí)行。本書僅限內部使用，要妥善保管，嚴防遺失。第二條本規(guī)定適用于遼寧省農村信用社系統內的各級機構網點。變更時，須向上一級管理機構和省聯社科技部報告、審批、備案。安全部門進行審查。解聘、調動意見，同時在省聯社科技部備案。省聯社科技部可根據具體

　　

【正文】 的供電系統應安裝互不兼容的插座； （六）應設置溫、濕度自動記錄儀及溫、濕度報警設備； （七）主機及外設的電磁干擾輻射必須符合國家標準。 第二十六條 機要信息處理系統中要考慮防止電磁波信息輻射被非法截收，可采用以下方法： （一）可采取區(qū)域控制的辦法，即將可能截獲輻射信息的區(qū)域控制起來，不許外部人員接近； （二）可采用機房屏蔽的方法，使得信息不能輻射出機房； 科技管理制度手冊 33 （三）可采用低輻射設備； （四）可采取其他技術，使得難以從被截獲的輻射信號中分析出有效信息； （五）關于屏蔽技術 的具體要求和技術指標可向有關部門咨詢。 第六章 數據管理 第二十七條 對那些必須保護的數據要提供足夠的保護 : （一）數據使用必須有嚴格的存取控制措施和權限； （二）數據應有準確性和完整性檢驗方法； （三）數據應有不同介質的雙備份和數據恢復功能，實行異地備份。 第二十八條 安全等級可分為保密等級和可靠性等級兩種，系統的保密等級與可靠性等級可以不同，具體分類如下： （一）保密等級應按有關規(guī)定劃為絕密、機密、秘密； （二）可靠性等級可分為三級。對可靠性要求最高的為 A 級，系統運行所要 求的最低限度可靠性為 C 級，介于中間的為 B 級。 第二十九條 各級單位應對數據按照密級進行管理，同時制定相應的規(guī)章制度。 第七章 磁介質管理 第三十條 磁介質的存放 （一）磁介質存放必須有專門磁介質庫，并設專人負責管理，必須有出入庫手續(xù)和記錄； （二）重要的數據文件必須備份，與機房分離異地存放； 需長期保存的磁介質，應定期翻錄轉儲； （三）存有機要信息的磁介質，要保證信息不被非法重新復制。 第三十一條 系統安裝要建立完備的記錄，特別是重要系統軟件和應用軟件的磁介質的使用要有安裝記錄 。 第三十二條 對重要應用系統要嚴禁在同一臺機器上安裝兩種操作系統，嚴禁在同一臺機器上安裝兩種重要應用軟件。 科技管理制度手冊 34 第三十三條 磁媒體管理 （一）磁盤、磁帶必須按照系統管理員及制造廠商確定的操作規(guī)程安裝； （二）傳遞過程的數據磁盤、磁帶應裝在金屬盒中； （三）新磁帶在使用前應在機房經過二十四小時溫度適應； （四）磁帶、磁盤應放在距鋼筋房柱或類似結構手 10CM 以上處，以防雷電經鋼筋傳播時產生的磁場損壞媒體上的信息； （五）存有機要信息的磁帶清除時必須進行消磁，不得只進行磁帶初始化； （六）所有入庫的盤帶目錄清單必須具有統一格式，如文件所有者、系列號、文件名及其描述、作業(yè)或項目編號、建立日期及保存期限； （七）盤帶出入庫必須有核準手續(xù)并有完備記錄； （八）長期保存的磁帶應定期轉貯； （九）存有記錄機要信息磁帶的庫房，必須符合相應密級的文件保存和管理條例的要求，不得與一般數據磁帶混合存放； （十）重要的數據文件必須多份拷貝異地存放； （十一）磁帶庫必須有專人負責管理。 第八章 軟件管理 第三十四條 系統軟件應具有以下安全措施 （一）操作系統應有較完善的存取控 制功能，以防止用戶越權存取信息； （二）操作系統應有良好的存貯保護功能，以防止用戶作業(yè)在指定范圍的存貯區(qū)域進行讀寫； （三）操作系統應有較完善的管理功能，以記錄系統的運行情況，監(jiān)測對數據文件的存??； （四）維護人員進行維護時，應處于系統安全控制之下； （五）操作系統發(fā)生故障時，不應暴露口令、授權表等重要信息； （六）操作系統在作業(yè)正?；蚍钦＝Y束以后，應該清除分配給該作業(yè)的全部臨時工作區(qū)域； （七）系統應能像保護信息的原件一樣，精確地保護信息的拷貝。 科技管理制度手冊 35 第三十五條 應用軟件 （ 一）應用程序必須考慮充分利用系統所提供的安全控制功能； （二）應用程序在保證完成業(yè)務處理要求的同時，應在設計時增加必要的安全控制功能； （三）程序員與操作員應職責分離； （四）安全人員應定期用存檔的應用程序與現行運行程序進行對照，以有效地防止對程序的非法修改。 第三十六條 數據庫 （一）數據庫必須有嚴格的存取控制措施，庫管理員可以采取層次、分區(qū)、表格等各種授權方式，控制用戶來保護數據庫的存取權限； （二）通過實體安全、備份和恢復等多種技術手段來保護數據庫的完整性； （三）應對輸入 數據進行邏輯檢驗，數據庫更新時應保證數據的準確性； （四）數據庫管理員應實時檢查數據庫的邏輯結構、數據元素的關聯及數據內容； （五）數據庫管理系統應具有檢查跟蹤能力，可以記錄數據庫查詢，密碼利用率、終端動作、系統利用率、錯誤情況及重新啟動和恢復等； （六）數據庫管理系統應能檢測出涉及事務處理內容及處理格式方面的錯誤，并予以記錄； （七）必須有可靠的日志記錄。對數據完整性要求較高的場合要建立雙副本日志，分別存于磁盤和磁帶上以保證意外的數據恢復； （八）應建立定期轉貯制度，并根據交易量的大小 決定轉貯頻度； （九）數據庫軟件應具備從各種人為故障、軟件故障和硬件故障中進行恢復的能力； （十）數據庫管理軟件應能確定是否由于系統故障而引起了文件或交易數據的丟失； （十一）重要的系統應采取安全控制實時終端，專門處理各類報警信息； （十二）對于從日志或實時終端上查獲的全部非法操作都應加以分析，找出原因及對策。 第三十七條 軟件開發(fā) （一）軟件開發(fā)的一切過程應按照國家有關標準要求進行。軟件需求，要相關的業(yè)務、技術人員參與完成； 科技管理制度手冊 36 （二）產品鑒定驗收：鑒定驗收是軟件產品化的關鍵環(huán)節(jié)， 必須給予足夠的重視。提交鑒定的軟件產品，應具有上述標準中列出的各種產品文件。將鑒定會上提供的上述文件裝訂成冊，編好頁碼目錄，作為技術檔案，妥善保存。未經鑒定驗收的軟件，不得投入運行； （三）購買的軟件應附有完整的技術文件。 第三十八條 軟件維護與管理 （一）較重要的軟件產品，其技術檔案應復制副本，正本存檔，不準外借； （二）軟件產品除建立檔案文件外，其源文件應記在磁盤或磁帶上，并編寫詳細目錄，以便長期保存； （三）重要的軟件，均應復制兩份，一份作為主拷貝存檔，一份作為備份； （四）對 系統軟件的維護和二次開發(fā)要慎重，必須事先對系統有足夠的了解； （五）對軟件進行維護和二次開發(fā)前，必須寫出書面申請報告，經有關領導批準，方可進行； （六）在維護和二次開發(fā)中，必須有詳細的規(guī)范化的書面記載，主要記載修補部位，修改內容，增加功能，修改人，修改日期等，以便查找或別人接替； （七）二次開發(fā)只能在系統軟件的副本上進行； （八）對軟件的任何修改都必須有文字記載，并與修改前后的軟件副本一起并入軟件技術檔案，妥善保存； （九）對軟件的修改必須保證不降低系統的安全性。 第九章 輸入輸出控制 第三十九條 數據在投入使用前，必須確保其準確可靠，可采用各種方法進行檢查?？梢栽O置獨立于用戶和數據處理部門兩者的管理小組，以監(jiān)督和指導進入或離開數據處理中心的數據。 第四十條 輸入控制 （一）對操作人員制定明確而嚴格的輸入數據的操作制度和規(guī)程； （二）向操作人員提供完整的操作指南； （三）處理數據的前端設備應有保密措施； 科技管理制度手冊 37 （四）操作人員必須嚴格遵循口令使用規(guī)則； （五）應建立一個整齊、清潔、安靜的操作環(huán)境。 第四十一條 輸出控制 （一）輸出控制應有專人負責； （二 ）輸出文件應設有審批制度； （三）輸出文件的使用應有完備手續(xù)； （四）輸出文件必須有可讀的密級標志，等級標志必須與相應文件在整個處理環(huán)節(jié)中同時生存； （五）輸出文件在發(fā)到用戶之前，應由數據處理部門進行審核； （六）計算機系統運行日志應有專人定期審核，打印的日志應完整而連續(xù)，不得拼接。 第四十二條 明確系統各環(huán)節(jié)工作人員的責任： （一）系統及程序設計人員與操作人員必須分離； （二）重要事務處理項目，必須規(guī)定由合法文件的法定人提交； （三）修改文件必須規(guī)定批準和執(zhí)行的手續(xù)； （四）工作期間至少應有二人在機房值班，以防止非法使用計算機； （五）保存控制臺打印記錄； （六）制定統一的數據格式并盡可能使用統一編碼。 第四十三條 操作控制 對操作人員制定有關處理輸入數據的操作制度的規(guī)程。必須建立一個整齊、清潔、安靜符合生理衛(wèi)生要求的操作環(huán)境，以減少操作失誤。嚴格規(guī)定媒體管理制度，以防止媒體中數據的破壞和損失。向操作人員提供完整的操作指南。以便掌握有關作業(yè)安排，作業(yè)優(yōu)先級分配，建立和控制作業(yè)，規(guī)定場所安全措施和作業(yè)運行等的合理規(guī)程。需要保存的數據文件必須有完備的記錄，存入 符合要求的媒體庫中。充分利用作業(yè)統計功能提供的信息。處理機要數據的終端室各終端，可以考慮隔離，以防各用戶互相偷看。 科技管理制度手冊 38 第十章 操作管理 第四十四條 制定嚴格的操作規(guī)程 系統操作人員應為專職，操作時要有二名操作人員在場。嚴格執(zhí)行重要工作雙人監(jiān)督程序。 第四十五條 對系統開發(fā)人員和系統操作人員要進行職責分離。 第四十六條 制定系統運行記錄編寫制度，系統運行記錄包括系統名稱、姓名、操作時間、處理業(yè)務名稱、故障記錄及處理情況等。 第四十七條 制定完備的系統維護制度 對系統進行維護時，應 采取數據保護措施。如數據翻錄、抹除、卸下磁盤磁帶，維護時安全人員必須在場等。遠程維護時，應事先通知，且必須建立完整的維護記錄檔案。 第四十八條 對系統進行預防維修或故障維修時，必須記錄故障原因、維修對象、維修內容和維修前后狀況等。 第十一章 聯機處理管理 第四十九條 聯機系統應該確定系統安全管理員，對系統安全負責。 第五十條 用戶識別 （一）必須充分利用系統提供的技術手段； （二）必須對口令的產生、登記、更換期實行嚴格管理，研究和采用多種口令密碼方式； （三）口令應加密存貯； （四）系統能跟蹤各種非法請求并記錄某些文件的使用情況； （五）若錯誤的口令被連續(xù)地使用若干次后，系統應采取相應措施； （六）教育用戶必須遵循口令的使用規(guī)則； （七）系統應能識別終端，以查出非法用戶的位置。 第五十一條 證件識別，可使用磁條、金屬結構或微型芯片制成的卡式證件對用戶進行識別。 科技管理制度手冊 39 特征識別，采用專門設備檢驗用戶具有的物理特征。如指紋。 第五十二條 需要保護的數據和軟件必須加有標志，在整個生存期，標志應和數據軟件結合在一起，不能丟失。 第五十三條 計算機通信線路安全問題。 通信線路應遠離強電磁場輻射源，最好埋于地下或采用金屬套管。通信線路最好鋪設或租用專線。定期測信號強度，以確定是否有非法裝置接入線路；定期檢查接線盒及其他易被人接近的線路部位。 第五十四條 傳輸需要保密的數據，應該加密保護；需要長期保存的機要文件，應加密后保存；系統應建立完善的密鑰產生、管理和分配系統；所有數據應由數據主管部門負責劃分密級，密級確定后交數據處理部門進行分類處理；根據數據處理的密級和保密時效的長短，選擇相應強度的密碼算法，既不能強度太高，過多增加系統開銷，又不要強度太低，起不到保密效果。不要 擴大加密的范圍。對于可加密不可加密的數據，不要加密；對于密鑰管理人員要盡可能地縮小范圍，并嚴格審查；定期對工作人員進行保密教育。 第五十五條 當系統密級發(fā)生變化，特別是密級降低時，應用特定的方法清除全部磁存貯器，用停電的方法清除非磁存貯器。 第五十六條 計算機系統必須有完整的日志記錄，具體包括：每次成功的使用，記錄節(jié)點名、用戶名、口令、終端名、上下機時間、操作的數據或程序名、操作的類型、修改前后的數據值；用戶每次越權存取的嘗試，記錄節(jié)點名、用戶名、終端名、時間、欲越權存取的數據及操作類型、存取失敗的 原因；每次不成功的用戶身份，記錄節(jié)點名、用戶名、終端名、時間。 第五十七條 還要注意以下幾點要求： （一）操作員對越權存取應通過控制臺進行干預； （二）打印出的日志應完整而連續(xù)，不得拼接； （三）重要的日志應由安全負責人簽名，規(guī)定保存期限； （四）對特定的終端設備，應限定操作人員。 第十二章 網絡安全管理 第五十八條 網絡安全比單系統或聯系統更為重要。如果沒有必要的安全措施，網科技管理制度手冊 40 絡不能正式投入使用。 第五十九條 重要部門的計算機網絡應設立全網管理中心，由專人實施對全網的統一管理 、監(jiān)督與控制，不經網絡主管領導同意，任何人不得變更網絡拓撲、網絡配置及網絡參數。 第六十條 網絡安全可從實際出發(fā)，分階段、分層次逐步完善。應首先考慮采用存貯加密、傳輸加密、存取控制、數字簽名及驗證等安全措施。