村镇银行信息安全管理办法.docx

村镇银行信息安全管理办法（暂行）第一章总则第一条为保障村镇银行（以下简称“本行”）信息安全工作有序 开展，有效保护信息资产安全，根据国家法律法规、监管部门有关 要求，结合本行实际，制定本办法。第二条 本办法所称信息安全管理是指通过实施策略、规范、流 程和技术等控制措施，保护本行信息的机密性、完整性和可用性。第三条本行各级人员以及其它相关人员应遵守本办法。第四条 本行实行信息安全“一把手”责任制，董事长为本机构 信息安全工作的第一负责人，确保信息安全管理工作持续有序开展。第二章信息安全职责第五条本行董事会对信息安全工作承担最终责任，负责推动信 息安全长效机制建设。第六条本行高级管理层对信息安全工作承担组织管理责任，负 责协调各项资源，确保辖内信息安全管理工作有序开展。第七条 本行应组织配备足够的资源，确保辖内信息安全管理工 作有序开展。第八条本行应设立专职或兼职的信息安全员，并报备村镇银行 管理部。信息安全员负责开展辖内信息安全日常管理工作，主要职 责包括但不限于：（一）贯彻落实村镇银行制定的信息安全相关管理制度和安全 策略，拟定信息安全管理制度、流程、标准和规范，并对落实执行 情况进行监督和指导。（二）监测并掌握辖内信息安全状况，定期总结汇报，及时报 告信息安全事件，并在风险可控情况下及时组织处置。（三）负责辖内信息安全管理日常工作，落实安全管理要求及 技术措施。（四）组织开展辖内用户管理、病毒防治、终端设备安全管理 等工作的检查，分析辖内信息安全状况，提出安全分析报告和安全 防范建议。（五）配合相关部门和单位进行信息安全工作的审计和检查。第九条本行人力资源管理团队的信息安全职责包括但不限 于：（一）建立员工入职、离职审核机制，规范工作流程。（二）关键岗位人员，应在入职前组织验证个人信息。（三）组织做好人员离职管理，督促离职人员所在机构做好工 作交接、资源回收、访问权限调整等工作。第十条 本行信息系统需求提出方的信息安全职责主要包 括：（一）提出具体的信息系统的安全保护需求。（二）做好归属本机构的信息系统的访问权限等使用管理。（三）对归属本机构的信息系统的各类违反安全策略的行为进 行分析，评估影响范围，采取适当的措施，并及时报告。（四）持续改进归属本机构的信息系统的安全管理相关工作。第十一条本行信息系统使用方的信息安全职责主要包括：（一）做好本机构员工安全意识教育，防止对信息系统的不当 使用。（二）根据机构人员调整情况组织对信息系统权限的调整，对 离职人员信息系统访问情况进行核查。第十二条本行应定期组织信息安全培训和安全意识宣贯，普及 信息安全知识，提高员工信息安全专业技能。第十三条本行全体员工应自觉执行信息安全管理规章制度，遵 守安全管理要求，对所发现的信息安全事件负有报告义务。第三章人员安全管理第十四条员工上岗前应进行任职资格审查和培训，确保其具备 相应的职业操守，并签订相关安全保密协议。第十五条关键岗位员工上岗前，应组织进行必要的业务技能考 核，确保具有基本的上岗资格和技能。第十六条 关键岗位设置应遵照“职责分离、不得交叉覆盖”的 原则，关键岗位员工应实行定期考查制度，并按总行有关规定执行 强制休假。第十七条员工在岗期间，应遵守信息安全管理有关规章制度， 严格执行员工信息安全基本行为准则（见附件1:员工信息安全管 理规定），主动参与信息安全保障工作，提高安全意识和水平。第十八条员工应定期参加安全知识和专业技能培训，接受安全 保密等教育。第十九条员工离岗时应收回其持有的相应岗位的信息资产和访 问权限，离职时收回其持有的全部信息资产和访问权限，确保离岗、离职员工不发生越权或非授权的访问。第四章机房安全管理第二十条 机房应符合国家或行业标准要求，确保地理位置、用 电、消防、网络等安全可靠，并通过有权机关的安全验收。第二十一条总行应制定机房日常管理维护手册，并负责辖内 UPS、发电机等基础设施的维护，每季度开展演练工作。第二十二条应建立严格的机房安全管理制度，规范机房管理工 作流程，并定期检查执行情况。第二十三条应采取必要的控制措施，对人员和设备等进出机房 进行管理和控制，包括但不限于：人员和设备的出入管理、门禁管 理、视频监控管理等。第二十四条放置在机房内的计算机设备和介质，应根据其对场 地环境的要求、安全等级、易管理性及物理空间分布等情况进行合 理置，并确保处在适当安全保护措施之下。第五章客户端安全第二十五条建立终端设备管理体系，必须安装指定的安全管理 软件，包括但不限于桌面管理软件、防病毒软件等。严禁关闭或 私自卸载安全管理软件。第二十六条确保办公PC病毒码实时更新，服务器、业务PC、 自助机具等生产设备定期更新。第二十七条掌握辖内计算机病毒防治整体状况，发现计算机受 到病毒入侵，或发现计算机病毒无法有效清除时，应采取网络隔 离措施，并及时上报村镇银行管理分部。第二十八条严格执行生产、办公网隔离，内外网隔离制度。终 端设备专机专用，办公网用机原则不与互联网用机混用，如确有 需要，需经村镇银行管理分部同意，且办公网与互联网连接时应 实施足够的安全隔离保护措施。第二十九条禁止生产服务器和业务终端非法外联；生产、办公 网禁止使用HUB设备；禁止所有未授权的无线网络接入点(AP) 联入行内网络。第三十条 如遇设备故障，应及时报告和处置，并做好报修记录。 对于需外修或待报废的设备，应及时删除所存储的敏感数据，防 止敏感信息泄密。第六章数据安全管理第三十一条 数据管理遵循“谁使用谁负责、谁使用谁销毁”的 安全原则。数据持有者和使用者必须在权限范围内合法使用数据， 不得泄漏或非授权使用。第三十二条应采取有效措施，规范数据相关操作，确保生产数 据在录入、使用、修改、传输和输出过程中的安全。第三十三条 信息系统所用计算机设备的维修或更换应以保证 数据信息的完整性和安全性为前提。存储重要或高等级涉密信息的 计算机设备或配件，原则上不得外送或更换，应由使用部门登记封 存。涉密计算机设备需要送修或销毁的，应送交市国家保密局指 定技术服务中心处理。第三十四条 建立计算机设备的销毁和报废管理流程。设备在销 毁和报废前应经过严格的审核和审批，并采取有效措施保证敏感信 息安全，销毁和报废的内容及过程应完整记录。第三十五条对移动计算机、移动处理设备、移动存储介质等移 动设备进行安全管理，确保在使用移动设备过程中不会泄漏敏感信 息。第七章安全事件管理第三十六条 信息安全事件是指由于程序或人为因素，造成本行 信息及信息系统的机密性、完整性、可用性遭受不同程度的威胁或 破坏。第三十七条信息安全事件主要包括：（一）因程序或人为因素造成信息系统重要数据及信息系统相 关核心技术资料损毁、丢失、泄露、被篡改的情况。（二）病毒攻击、非法入侵、木马植入、外部网络攻击等使本 行信息及信息系统遭受安全威胁或造成不同程度的故障、破坏的情 况。第三十八条信息安全事件纳入本行生产事件管理机制统一管 理，信息安全事件具有较高的优先级，优先处理、妥善处置。第三十九条员工一旦发现信息安全隐患或事件，应第一时间 报告，并及时协调处置，严格控制影响范围。第四十条 信息安全事件同时属于突发事件范围的，应按照本 行突发事件管理有关要求进行处置。第四十一条 信息安全事件升级为案件的，应按照本行案件防治管理有关要求进行处置。第八章罚则第四十二条对于违反安全管理有关规定，或对违规行为隐瞒 不报者，或者存在其他失职、渎职行为的，一旦被查实，按照本 行员工违规违纪行为处理规定等有关规定执行，有必要的，应追 究相关人员责任。第九章附则第四十三条 本办法由村镇银行负责解释。第四十四条 本办法自发布之日起实施。附件：1 .员工信息安全管理规定