【正文】 37 / 37。第九章 附 則第一百三十七條 本標準由江蘇省農(nóng)村信用社聯(lián)合社制定，修改、解釋亦同。第一百三十六條 應(yīng)急事件報告：突發(fā)事件（系統(tǒng)中斷服務(wù)5分鐘以上的事件）發(fā)生后，應(yīng)急領(lǐng)導(dǎo)小組應(yīng)及時（事件發(fā)生后半小時內(nèi)）將情況報告省聯(lián)社，根據(jù)事件嚴重程度，報告監(jiān)管部門（具體時間要求參照省聯(lián)社下發(fā)的應(yīng)急處置管理辦法）。第一百三十五條 演練報告：應(yīng)急演練結(jié)束后，應(yīng)撰寫應(yīng)急演練總結(jié)報告。（五）應(yīng)急演練完成后，應(yīng)保證實施應(yīng)急預(yù)案所需的各項資源恢復(fù)正常。（三）嚴格控制應(yīng)急演練引起的信息系統(tǒng)變更風(fēng)險，避免因演練導(dǎo)致服務(wù)中斷。第一百三十四條 應(yīng)急演練過程：嚴格按照應(yīng)急演練計劃實施應(yīng)急演練，并確保做到：（一）以應(yīng)急預(yù)案為基礎(chǔ)，制定應(yīng)急演練總體方案，并進行風(fēng)險再評估，制定相應(yīng)的保障措施。第一百三十二條 應(yīng)急預(yù)案更新：當(dāng)信息系統(tǒng)發(fā)生軟件升級、系統(tǒng)補丁安裝、配置參數(shù)調(diào)整、網(wǎng)絡(luò)改造等變更時應(yīng)及時更新應(yīng)急預(yù)案，并適時實施演練。（六）明確應(yīng)急相關(guān)人員的協(xié)調(diào)內(nèi)容和溝通方式。（四）制定系統(tǒng)恢復(fù)流程和應(yīng)急處置操作手冊，應(yīng)盡可能將操作代碼化、自動化，降低應(yīng)急處置過程中產(chǎn)生的操作風(fēng)險。（三）明確各類故障的診斷方法和流程。第一百三十一條 應(yīng)急預(yù)案內(nèi)容：（一）明確有關(guān)各方的分工和責(zé)任。第一百二十九條 安全部門管理：無獨立數(shù)據(jù)中心的單位的科技管理部門負責(zé)安全管理，并配備專職（兼職）計算機信息安全管理員；有獨立數(shù)據(jù)中心的單位在科技部門內(nèi)部設(shè)立安全管理部門，負責(zé)信息安全管理。第一百二十七條 移動設(shè)備管理：（一）對于離線式終端用戶如便攜式計算機、個人數(shù)字助理（PDA）、移動存儲介質(zhì)等應(yīng)建立接入前監(jiān)測措施；（二）杜絕信貸員使用個人便攜式計算機進入生產(chǎn)系統(tǒng)，為信貸員配置臺式PC；（三）杜絕無線網(wǎng)卡使用，防止病毒和木馬進入生產(chǎn)系統(tǒng)。（二）嚴禁在生產(chǎn)系統(tǒng)上安裝編譯工具、應(yīng)用系統(tǒng)源程序及其他與系統(tǒng)業(yè)務(wù)無關(guān)的軟件。第一百二十五條 內(nèi)外網(wǎng)管理：（一）參照第四章有關(guān)條款，嚴格控制內(nèi)外網(wǎng)互聯(lián)。第一百二十四條 開發(fā)測試環(huán)境：應(yīng)建立獨立的開發(fā)測試環(huán)境。第一百二十二條 軟件正版化：內(nèi)網(wǎng)生產(chǎn)辦公用機必須安裝使用正版軟件。第一百二十一條 信息安全設(shè)備的完備性：應(yīng)當(dāng)配備足夠網(wǎng)絡(luò)安全設(shè)備，并符合信息系統(tǒng)安全保護的等級要求。第一百二十條 信息安全的管理工具：應(yīng)當(dāng)合理配置信息安全管理工具，并經(jīng)授權(quán)后使用管理工具進行分析和報告。第一百一十九條 信息安全制度：信息系統(tǒng)安全制度建設(shè)應(yīng)全面涵蓋信息系統(tǒng)安全的風(fēng)險點，如：策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔、違規(guī)處罰條款等方面。第一百一十七條 報備管理：軟件開發(fā)項目實施前必須向省聯(lián)社科技創(chuàng)新處報備。第一百一十五條 軟件外包管理：對外包軟件開發(fā)項目，科技管理部門、項目牽頭組要委派指定專門人員參加項目設(shè)計、開發(fā)全過程，明確職責(zé)，確保項目按期交接。應(yīng)有系統(tǒng)上線過程的相關(guān)記錄和操作人員名單。第一百一十三條 項目驗收：軟件項目正式投產(chǎn)前必須進行驗收，并提供完整的資料，包括：《可行性研究報告》、《業(yè)務(wù)需求書》、《業(yè)務(wù)需求變更文件》、《立項審批》、《驗收申請報告》、《綜合測試報告》、《試運行報告》、《費用支出報告》技術(shù)開發(fā)階段有關(guān)文檔資料。第一百一十一條 周期管理：項目必須有生命周期管理制度，應(yīng)有生命周期管理流程和記錄。第七章 軟件開發(fā)第一百一十條 管理制度：應(yīng)制定全面的信息系統(tǒng)開發(fā)管理制度、流程和指引，包括但不限于：系統(tǒng)的開發(fā)流程和組織管理、參與部門的職責(zé)劃分、時間進度和財務(wù)預(yù)算管理、質(zhì)量檢測和風(fēng)險評估等。第一百零九條 單點故障的排查：定期（每月）排查單點故障問題。變更操作須提前書面報告科技部門負責(zé)人，簽字同意后，雙人操作并做好變更記錄。第一百零六條 問題管理: 建立有效的問題管理機制，及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員匯報事故的發(fā)生，記錄、分析和跟蹤所有事故，直到對事故進行徹底的改正并完成根本原因的分析。第一百零四條 日志管理：應(yīng)加強日志管理，對日志實行分級管理，確保重要的運行行為被記錄和分析，對重要日志實行定期備份，保證當(dāng)發(fā)生安全事件時做到有據(jù)可查。系統(tǒng)配置應(yīng)定期（每月）進行備份。第一百零一條 性能監(jiān)控：應(yīng)當(dāng)建立重要信息系統(tǒng)的性能監(jiān)控系統(tǒng)，設(shè)定了系統(tǒng)重要核心參數(shù)監(jiān)控清單和合理的預(yù)警值（至少包含：CPU 利用率、網(wǎng)絡(luò)利用率、存儲容量、系統(tǒng)狀態(tài)等）。第一百條 系統(tǒng)用戶檢查：定期（每月）檢查系統(tǒng)用戶賬號，確保每個賬號有唯一的、合規(guī)的使用人員。（二）定期進行機房（每天）、網(wǎng)點機房（每月自查，每季度檢查）、信息安全（每月）等內(nèi)容進行檢查，并及時詳盡登記下列登記簿：安全檢查登記簿（檢查時間、內(nèi)容、主要問題、整改情況、檢查材料、總結(jié)材料等）。要害崗位人員登記簿（崗位、姓名、所在部門、在崗時間、在崗情況、A/B角等情況）。機房出入人員登記簿（出入原因、出入人員、陪同人員、批準人、是否外賓，外賓應(yīng)單位領(lǐng)導(dǎo)審批等）。重要系統(tǒng)應(yīng)急處理登記簿（計算機信息系統(tǒng)的系統(tǒng)管理人員、開發(fā)人員、維護人員及其他支持人員信息，系統(tǒng)軟、硬資源信息，事件發(fā)生及解決情況等）。重要系統(tǒng)的媒體（包括備份媒體）銷毀和審批登記簿（系統(tǒng)類別、備份媒體、銷毀原因、審批情況等）。（一）在發(fā)生變更時及時詳盡登記下列登記簿：遠程登錄登記簿（嚴格控制遠程登錄，詳細記錄登錄原因、登錄人員、起止時間、批準人等內(nèi)容）。第九十八條 ATM巡檢：每日對ATM運行情況進行巡檢并登記，內(nèi)容包括終端編號、鈔箱情況、設(shè)備運行狀態(tài)、交易日志、憑條更換、檢查人、檢查時間等內(nèi)容。第六章 運行管理第九十六條 日常巡檢：每日進行系統(tǒng)巡檢，巡檢內(nèi)容包括主機系統(tǒng)、UPS、精密空調(diào)、電池、網(wǎng)絡(luò)設(shè)備、內(nèi)外網(wǎng)站、核心業(yè)務(wù)、中間業(yè)務(wù)、其他系統(tǒng)的運行使用情況，巡檢結(jié)果要及時詳細登記。第九十四條 數(shù)據(jù)庫備份和恢復(fù)：對數(shù)據(jù)庫中的數(shù)據(jù)、表空間、數(shù)據(jù)庫結(jié)構(gòu)和參數(shù)等重要信息定期（每日）進行本地或遠程備份。應(yīng)根據(jù)全行統(tǒng)一的IP 管理策略設(shè)置IP 地址。外來軟件在安裝前，應(yīng)查殺病毒，確保安全后才可安裝上線。應(yīng)及時檢查操作系統(tǒng)安全補丁發(fā)布情況，發(fā)現(xiàn)有新的補丁發(fā)布，應(yīng)及時升級。硬盤分區(qū)應(yīng)使用NTFS 文件系統(tǒng)。第九十一條 HACMP管理：對重要主機設(shè)備應(yīng)采取雙機熱備方式以保障業(yè)務(wù)連續(xù)性，對雙機熱備設(shè)備應(yīng)定時（每月一次）檢查并定時（每季一次）切換演練第九十二條 Windows 系統(tǒng)管理：系統(tǒng)不應(yīng)存在其他無關(guān)用戶。第八十九條 telnet管理：重要核心系統(tǒng)應(yīng)當(dāng)屏蔽telnet網(wǎng)絡(luò)服務(wù)功能。第八十七條 超時保護：終端登錄服務(wù)器1分鐘內(nèi)不進行操作，須自動退出。第八十六條 root 用戶密碼管理：對核心設(shè)備的root用戶口令長度應(yīng)不低于8位數(shù)字和字母混合編成并定期更換（每季更換一次）。第八十五條 操作系統(tǒng)維護：應(yīng)對操作系統(tǒng)進行定期（每月）維護、升級、備份。第八十四條 備份與故障恢復(fù)：主機及網(wǎng)絡(luò)通信等關(guān)鍵設(shè)備必須實行雙機備份，備份系統(tǒng)與生產(chǎn)系統(tǒng)的系統(tǒng)構(gòu)成與配置應(yīng)保持一致。對核心（主機）設(shè)備及網(wǎng)絡(luò)情況應(yīng)實行724 小時監(jiān)控，監(jiān)控中出現(xiàn)的異常情況應(yīng)進行記錄。設(shè)備應(yīng)使用雙路電源。第八十條 系統(tǒng)安全監(jiān)控：對主機設(shè)備應(yīng)實施24 小時錄像監(jiān)控并保存記錄。第五章 系統(tǒng)管理第七十九條 系統(tǒng)訪問管理：對主機設(shè)備應(yīng)實行嚴格的授權(quán)訪問制度。第七十七條 網(wǎng)絡(luò)系統(tǒng)審計：使用工具軟件分析系統(tǒng)日志，定期（每季）對網(wǎng)絡(luò)的安全性進行審計評估并出具報告。第七十六條 網(wǎng)絡(luò)系統(tǒng)管理監(jiān)控：須建立網(wǎng)絡(luò)運行情況集中監(jiān)控管理平臺。第七十五條 網(wǎng)絡(luò)系統(tǒng)配置：（一）IP地址：參照《全省IP地址分配規(guī)范》進行地址劃分，IP地址分配、掩碼設(shè)置應(yīng)符合一定規(guī)則，網(wǎng)內(nèi)單位內(nèi)部網(wǎng)絡(luò)中杜絕非366（或省聯(lián)社未來發(fā)文公布的IP）開頭的地址；（二）及時升級網(wǎng)絡(luò)設(shè)備操作系統(tǒng)版本；（三）通過NTP等方式，準確設(shè)置網(wǎng)絡(luò)設(shè)備時鐘；（四）杜絕同一以太口啟用2個或以上的網(wǎng)段的IP；（五）所有設(shè)備端口須進行詳細注釋；（六）關(guān)閉未使用的網(wǎng)絡(luò)設(shè)備端口；（七）網(wǎng)絡(luò)設(shè)備實施用戶分級管理，減少特權(quán)用戶使