农村信用合作联社计算机信息系统安全管理办法 计算机信息系统安全保护管理办法.doc
-
资源ID:30820353
资源大小:34.50KB
全文页数:24页
- 资源格式: DOC
下载积分:12金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
农村信用合作联社计算机信息系统安全管理办法 计算机信息系统安全保护管理办法.doc
农村信用合作联社计算机信息系统安全管理办法 计算机信息系统安全保护管理办法_县农村信用合作联社 计算机信息系统安全管理办法 第1章 总则 第1条 为强化_县农村信用合作联社信息系统安全管理,防范计算机信息技术风险,保障计算机网络与信息系统安全和稳定运行,根据中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定、中国人民银行信息系统安全管理规定等规定,特制定本办法。 第2条 _县农村信用合作联社信息系统安全管理工作实行统一领导和分级管理。联社统一领导各信用社、部的信息系统安全管理,负责联社本部的信息系统安全管理。各信用社、部负责本单位的信息系统安全管理。 第3条 _县农村信用合作联社信息系统安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息系统安全责任制。 第4条 本规定适用于_县农村信用合作联社本部、信用社、部。所有使用_县农村信用合作联社网络或信息资源的其他外部机构和个人均应遵守本规定。 第2章 组织保障 第5条 设立由_县农村信用合作联社领导和科室部门主要负责人组成的信息系统安全管理领导小组,领导小组下设办公室设在财务电脑部,负责协调 处理联社及辖内信息系统安全管理工作,决策联社及辖内信息系统安全重大事宜。 第6条 财务电脑部计算机系统管理岗、硬件管理岗负责全辖信息科技安全管理(简称安全管理员),实行A、B角制度。计算机系统管理岗为A角,硬件管理岗为B角。 第3章 人员管理 第7条 相关工作人员根据不同的岗位或工作范围,履行相应的信息系统安全保障职责。 第一节 信息系统安全管理人员 第8条 信息系统安全管理人员应经过联社或市办事处、省计算机中心组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息系统安全专业培训。 第9条 信息系统安全管理人员在如下职责范围内开展本单位信息系统安全管理工作: (1) 组织落实上级信息系统安全管理规定,制定信息系统安全管理制度,协调部门计算机安全员工作,监督检查信息系统安全保障工作。 (2) 审核信息化建设项目中的安全方案,组织实施信息系统安全保障项目建设,维护、管理信息系统安全专用设施。 (3) 检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置 信息系统安全事件。 (4) 定期组织信息系统安全宣传教育活动,开展信息系统安全检查、评估与培训工作。 第10条 信息系统安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经分管领导同意后方可查询。 第11条 信息系统安全管理人员实行备案管理制度。信息系统安全管理人员的配备和变更情况应及时上报市汇聚中心备案。信息系统安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。 第二节 计算机安全员 第12条 各信用社、部应指派素质好、较熟悉计算机知识的人员担任计算机安全员,并报财务电脑部备案。如有变更应做好交接工作,并及时通报财务电脑部。 第13条 计算机安全员配合信息系统安全管理人员工作,并参加各项信息系统安全技能培训。 第14条 计算机安全员在如下职责范围内开展工作: (1) 负责本部门的计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (2) 负责提出本部门信息系统安全保障需求,及时与信息系统安全管理人员沟通 信息系统安全信息。 (3) 负责本部门国际互联网使用和接入安全管理,组织开展本部门信息系统安全自查,协助财务电脑部完成对本部门的信息系统安全检查工作。 第三节 技术支持人员 第15条 本规定所称技术支持人员,是指参与_县农村信用合作联社网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第16条 _县农村信用合作联社内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (1) 不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。 (2) 主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (3) 严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。 第17条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守_县农村信用合作联社相关安全规定与操作规程,关键操作应经授权,并有_县农村信用合作联社内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。 第四节 业务系统操作人员 第18条 本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。 第19条 业务系统操作人员应承担如下安全义务: (1) 严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (2) 发现业务系统出现异常及时报告财务电脑部。 (3) 不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第20条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。 第五节 一般计算机用户(各部门、网点) 第21条 本规定所称一般计算机用户是指使用计算机设备的所有人员。 第22条 一般计算机用户应承担如下安全义务: (1) 及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门计算机安全员的指导与管理。 (2) 不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (3) 未经财务电脑部检测和授权,不得将接入_县农村信用合作联社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入_县农村信用合作联社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。 第4章 机房环境和设备资产管理 第一节 机房安全管理 第23条 本规定所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第24条 机房的规划、建设、改造、运行、维护由财务电脑部负责,相关设备采购适用四川省农村信用社系统大宗物品采购管理办法。机房的消防、防雷、门禁等子系统的规划、建设、运行和维护由财务电脑部和保卫部门协商确定。 第25条 建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。 第26条 机房投入使用前,应经过当地公安消防部门的消防验收和联社财务电脑部、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第27条 建立健全机房管理制度,由计算机管系统管理人员担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。日常巡检包括:1.电源、UPS:检查机房供电状况,UPS工作情况、指示状态。2.机房环境:机房空调工作状态,机房温度。3.网络设备:检查网络设备,包括交换机、路由器等及其属设工作状态。 机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。 第28条 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。机房内部应注意防火,并配备相应的消防器材。机房火灾处理应遵循:1、火情发生时计算机管理人员应立即通知和组织机房周围工作人员撤离机房区域,并将情况上报财务电脑部总经理。2、财务电脑部总经理应立即上报联社分管领导,同时通知保卫部门,尽快启动应急预案。3、如火情较小则可进入机房进一步了解现场情况并使用手动灭火器立即灭火,并将重要设备和数据转移。4、如火情较大,计算机管理人员立即关闭UPS,保护好现场,协助灭火。 第二节 柜面和核心业务处理环境安全管理 第29条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第30条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保存至少三个月。 第三节 设备资产管理 第31条 建立完备的计算机设备登记制度,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第32条 根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄漏的屏蔽装置等。 第5章 网络安全管理 第1节 网络规划、建设中的安全管理 第33条 省计算机中心负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。 第34条 财务电脑部按照省计算机中心的统一规划和总体部署,组织实施网络建设、改造工程。 第35条 网络建设和改造应符合如下基本安全要求: (1) 符合人民银行网络安全管理要求,保障网络传输与应用安全。 (2) 具备必要的网络监测、跟踪和审计等管理功能。 (3) 针对不同的网络安全域,采取必要的安全隔离措施。 第2节 网络运行安全管理 第36条 财务电脑部配备专(兼)职网络管理员(由计算机系统管理员兼任)。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。 第37条 网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。 第38条 财务电脑部应严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第39条 财务电脑部应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第40条 各信用社、部应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向财务电脑部提出书面申请,并采取相应的安全防护措施。 第41条 信息系统安全管理人员经本部门主管领导批准,有权对联社或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经上级主管部门授权,任何外部单位与人员不得检测、扫描_县农村信用合作联社内部网络。 第42条 网络故障处理流程:1.网点上报故障;2.财务电脑部网络管理员查找网络故障原因;3.如果是软件或信号原因,网络管理员联系电信相关部门做好网络恢复工作。如果是硬件原因则更换相关设备,恢复网络;4.遇到不能处理的故障,由联社网络管理员上报省联社_汇聚中心协助解决。 第3节 网间互联安全管理 第43条 本规定所称网间互联是指为满足_县农村信用合作联社与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第44条 网间互联由省联社统一规划,按照相关标准组织实施。未经省联社核准,任何单位不得自行与外部机构实施网间互联。 第6章 计算机系统安全管理 第45条 本规定所指计算机系统是_县农村信用合作联社业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。 第1节 计算机系统规划与立项 第46条 计算机系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足_县农村信用合作联社信息系统安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二) 安全需求分析和实现。 (三)运行平台的安全策略与设计。 第47条 财务电脑部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。 第2节 计算机系统运行 第48条 计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下: (1) 项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报财务电脑部审查。 (2) 计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定,报财务电脑部备案。 (3) 财务电脑部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施计算机系统漏洞扫描检测。 第49条 财务电脑部应明确系统管理员,具体负责计算机系统的日常运行管理,并建立重要计算机系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。 第50条 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。 第51条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。 第3节 业务操作 第52条 业务部门负责计算机系统用户和权限设定,财务电脑部根据授权进行相关设定操作。 第53条 业务操作人员严格按照安全操作规程进行业务操作,并配合财务电脑部保障信息系统安全。一旦发现计算机系统运行异常及时向本部门领导和财务电脑部报告。 第54条 业务操作人员设置本人口令密码,核心业务系统使用指纹认证。重要计算机系统业务操作人员的密码应由业务部门领导和系统管理员分段设立。 第55条 凡是能够执行录入、复核制度的计算机系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第56条 业务操作人员离开操作用机时,应按序退出计算机系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。 第7章 客户端安全管理 第57条 本规定所称客户端是指_县农村信用合作联社计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面终端、单机运行(哑)终端、远程接入终端、便携式计算机等。 第58条 建立完善的客户端管理制度,记录所有客户端设备信息和软件配置信息。 第59条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第60条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第61条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。 第8章 文档、数据与密码应用安全管理 第1节 技术文档 第62条 本规定所称技术文档是指_县农村信用合作联社网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。 第63条 财务电脑部负责将技术文档统一归档,实行借阅登记制度。未经批准,任何人不得将技术文档转借、复制和对外公布。 第2节 存储介质 第64条 存储介质包括磁带、光盘、移动存储介质、缩微胶片、已打印文档等。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。 第65条 做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第66条 联社所有部门和个人应加强对移动存储设备(盘、软盘、移动硬盘)的管理。 第67条 存储介质销毁按照档案销毁规定扫执行,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。 第3节 数据安全 第68条 本规定中所称的数据是指以电子形式存储的_县农村信用合作联社业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。 第69条 各信用社、部负责提出数据在输入、处理、输出等不同状态下的安全需求,财务电脑部负责审核安全需求并提供一定的技术实现手段。 第70条 严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第71条 财务电脑部系统管理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第72条 备份数据管理按照档案管理办法相关规定执行。 第73条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。 第4节 口令密码 第74条 系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码或指纹认证,密码至少每三个月更换一次。口令密码的强度应满足不同安全性要求。 第75条 敏感计算机系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交相关部门保管。未经财务电脑部分管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第76条 根据实际情况在一定时限内妥善保存重要计算机系统升级改造前的口令密码。 第5节 密码技术应用管理 第77条 _县农村信用合作联社涉密网络和计算机系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据_县农村信用合作联社实际需求和统一安全策略,合理选择加密措施。 第78条 选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。 第79条 建立严格的密钥管理体制,选择密码管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第80条 各类密钥应定期更换,对已泄漏或怀疑泄漏的密钥应及时废除,过期密钥应安全归档或定期销毁。 第9章 第三方访问和外包服务安全管理 第1节 第三方访问控制 第81条 本规定所称第三方访问是指_县农村信用合作联社之外的单位和个人物理访问_县农村信用合作联社计算机房或者通过网络连接逻辑访问_县农村信用合作联社数据库和计算机系统等活动。 第82条 _县农村信用合作联社财务电脑部负责非涉密计算机系统和网络相关的第三方访问授权审批。未经_县农村信用合作联社授权的任何第三方访问均视为非法入侵行为。 第83条 允许被第三方访问的_县农村信用合作联社计算机系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第84条 获得第三方访问授权的所有单位和个人应与_县农村信用合作联社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄漏_县农村信用合作联社任何信息。 第2节 外包服务管理 第85条 本规定所称外包服务是指由_县农村信用合作联社之外的其他社会厂商为_县农村信用合作联社计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。 第86条 经分管财务领导批准,外包服务提供商可提供上门维护服务并由_县农村信用合作联社科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离_县农村信用合作联社。 第87条 计算机设备确需送外单位维修时,财务电脑部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。 第10章 信息通报、灾难备份与应急管理 第1节 信息通报 第88条 各信用社、部构应按照_县农村信用合作联社信息系统安全事件报告制度进行信息通报,一般信息系统安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息系统安全事件(下称“重大信息系统安全事件”)应直接报省联社。 第89条 信息系统常规问题处理按照:1.网点反映问题,提交问题报告表;2财务电脑部受理问题;3.不能处理的上报省联社_汇聚中心,请求技术指导;4.反馈问题提交部门。 第90条 重大信息系统安全事件发生后,各信用社、部相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本部门主管领导。 第91条 各信用社、部应在重大信息系统安全事件发生后的两小时内按规定程序报财务电脑部,由财务电脑部报经县联社主任决定是否发布预警信息或启动辖内应急预案。 第2节 应急管理 第92条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第93条 在计算机系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第94条 应制定和不断完善网络、计算机系统和机房环境等应急预案。预案的编制工作由相关业务部门和财务电脑部共同完成。 第95条 应急预案应包括以下基本内容: (1) 总则(目标、原则、适用范围、预案调用关系等)。 (2) 应急组织机构。 (3) 预警响应机制(报告、评估、预案启动等)。 (4) 各类危机处置流程。 (5) 应急资源保障。 (6) 事后处理流程。 (7) 预案管理与维护(生效、演练、维护等)。 第96条 定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第97条 计算机安全工作领导小组统一负责各业务系统的应急协调与指挥,决策重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第98条 _县农村信用合作联社办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。 第11章 安全监测、检查、评估与审计 第1节 安全监测 第99条 财务电脑部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要计算机系统和机房环境等设施的安全运行监测。 第100条 财务电脑部要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上级相关部门。 第2节 安全检查 第条 财务电脑部应至少每年组织一次本单位或辖内的信息系统安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第102条 在开展安全检查前应以安全管理制度为依据制定详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本部门主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第103条 参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为_县农村信用合作联社内部材料妥善保管,不得向外界泄漏。 第104条 应将每次安全检查报告和整改落实情况整理汇总后报上级相关部门备案。 第3节 安全评估 第105条 财务电脑部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对联社或辖内信息系统的安全评估。 第106条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报财务电脑部主管领导。 第107条 应妥善保管信息系统安全评估报告,未经授权不得对外透露评估信息。 第4节 安全审计 第108条 财务电脑部在支持与配合内审部门开展审计信息系统安全工作的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息系统安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第109条 做好操作系统、数据库管理系统等审计功能配置管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。 第12章 附 则 第110条 本办法由_县农村信用合作联社负责解释。 第111条 本规定自发布之日起执行。 - 16 - 第 24 页 共 24 页