《江苏省农村信用社信息科技工作基础规范》(讨论稿).doc

《《江苏省农村信用社信息科技工作基础规范》(讨论稿).doc》由会员分享，可在线阅读，更多相关《《江苏省农村信用社信息科技工作基础规范》(讨论稿).doc（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、江苏省农村信用社信息科技工作规范纲要第一章 总 则第一条 为进一步加强江苏省农村信用社信息科技管理工作，确保信息系统安全稳定运行，保障各项业务稳步健康发展，根据政府部门、监管机构的有关文件精神，汇总梳理从省联社成立以来发布的各类科技工作规范制度，结合全省农村信用社实际，制定本纲要。第二条 本规范适用于江苏省联社，苏州银行、各农村商业银行、农村合作银行、农村信用合作联社。第三条 本规范所称信息科技工作的主要内容包括：（一）开展信息科技治理工作。高级管理层应建立完善的科技管理组织架构，建立风控、审计方面的信息科技风险防范机制；信息科技管理组织应制订并不断完善支撑业务发展的科技工作中长期战略规划，统

2、筹调配人财物等资源，对信息科技重大工作事项进行分析决策与协调解决。（二）开展信息科技管理工作。根据高级管理层和信息科技管理组织的要求，信息科技部门应结合信息科技工作战略规划，制订完善的科技管理制度，合理安排人员岗位，确保辖内信息系统安全稳定运行，加强突发事件应急处置工作，推动科技创新和项目研发，组织开展信息科技培训。（三）开展信息科技工作。根据科技管理工作要求，信息科技部门的技术人员应做好网络、系统、软件、机房和安全等方面的信息科技具体工作，对计算机中心、骨干网络和网点计算机环境进行运行维护，进行科技创新和项目研发工作。第二章 科技治理第四条 机构设置：法人机构要设置信息科技管理委员会、计算机

3、信息安全管理工作领导小组、信息系统重大突发事件应急管理领导小组等科技管理机构。第五条 信息科技管理委员会职责：制定信息科技战略规划，并定期向董事会或理事会汇报规划的执行情况。负责本机构电子化建设重大项目的立项初审，并向董事会（或理事会）汇报。对电子化建设的重大项目进行监督管理工作。负责监督本机构信息科技部门的职责落实。负责监督本机构信息科技风险管理部门的职责落实。负责监督本机构审计部门落实信息科技风险审计职责。负责建立和管理本机构信息科技方面的各类领导小组。第六条 信息系统重大突发事件应急管理领导小组职责：负责组织制定本机构信息安全战略规划，并上报至信息科技管理委员会审议。负责监督并组织本机构

4、其它相关部室（部门）协助科技部履行信息安全管理职责。负责组织、协调、监督和检查本机构信息安全管理工作。负责按照省联社或监管机构的要求，上报本机构信息系统安全报告。第七条 信息系统重大突发事件应急管理领导小组职责：负责组织制定全辖应急处置的实施细则，并报董事会（或理事会）和高级管理层审定，统一组织、协调、指导、检查全辖应急处置的管理；建立应急处置的预授权制度，定期分析风险状况和总结应急处置管理成效，履行向董事会（或理事会）和高级管理层的报告职责；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制；负责应急过程中的对外信息发布；宣布重大应急响应状态的降级或解除；向董事会（或理事会）和高级管理层

5、报告应急处置进展情况和总结报告；履行向省联社和监管当局报告的职责。应急领导小组下设办公室（以下简称“应急办”），负责日常及应急事务处理。应急办由执行组和保障组组成。执行组由科技部门和各有关业务部门的人员组成第八条 法人机构成立的科技管理机构应根据省联社有关文件内容并结合自身实际制定相关职责。并应切实履行所制定职责且留有书面材料。第三章 科技管理第九条 各法人机构必须结合科技机构及岗位设置管理办法、电子设备管理办法、计算机系统运行管理办法、科技项目管理办法、科技档案管理办法、计算机安全管理办法、计算机信息系统应急处置管理办法、计算机系统故障处理规定、综合业务系统运行维护分级管理节办法的相关内容及

6、本单位实际情况制定内容涵盖以上九个管理办法的内容但不限于上述内容的相关管理制度。第十条 法人机构应设立独立的科技科（部），负责辖区内科技管理工作。第十一条 法人机构成立的科技部门应根据省联社有关文件内容并结合自身实际设立包含科技管理岗、主机系统维护岗、网络维护岗、数据库、中间件管理岗、软件开发岗、设备维护岗、设备保管岗、档案管理岗、安全岗但不限于以上岗位的岗位设置。同时明确相关岗位职责。第十二条 人员管理与岗位制约：根据内控制度要求和业务发展的需要，各法人机构辖内营业网点总数40（含40）个网点以下的单位至少配备5名科技人员，营业网点总数超过40个的单位，根据省联社科技工作考核的要求按比例增配

7、科技人员。科技部门人员及岗位配置必须坚持以下原则：（一）科技人员必须是计算机相关专本科以上学历或从事科技工作三年以上的人员。（二）从事安全管理的人员不得与其他关键岗位人员混岗。（三）从事项目管理的人员不得与从事项目开发的人员混岗。（四）从事系统与网络管理的人员不得与从事项目开发的人员混岗。（五）从事设备保管、设备购置、设备记账的人员之间不得混岗。（六）科技岗位人员不得代替业务岗位人员进行有关操作。（七）重要岗位至少配备一名备选人员。（八）相关岗位人员必须取得相应的职业资格证书，包括但不限于计算机技术与软件专业技术资格证书、CISCO认证证书、IBM认证的数据库管理员、CISSP等证书。第十三条

8、 电子设备管理参照江苏省农村信用社电子设备管理办法执行。各单位科技部门是电子设备归口管理部门。电子设备的采购，保管，领用，安装，维护，报废等相关流程应按相关制度严格执行。第十四条 科技项目管理办法参照江苏省农村信用社科技项目管理办法执行。计算机系统项目的立项、开发、测试、验收、运行和维护等流程应按相关制度严格执行。项目验收必须提交完整的项目验收资料，包括：验收申请报告、业务需求书（应用开发类项目）、项目需求说明书（基础设施类项目）、业务需求变更文件、综合测试报告、试运行报告、项目费用支出报告（包括前期费用、开发费用和人员费用）以及项目技术开发阶段有关文档等资料。第十五条 科技档案管理参照江苏省

9、农村信用社计算机信息系统应急处置管理办法执行。科技档案包括计算机软、硬件的随机资料、介质、文档，以及各种技术规范、标准、制度、方案、计划、技术报告等。科技档案的形成、收集、登记、保管、借阅、销毁等环节应按相关制度严格执行。第十六条 计算机信息系统应急处置管理参照江苏省农村信用社计算机信息系统应急处置管理办法执行。各级机构须成立由分管科技领导负责的应急处置领导小组，负责本级机构应急预案的制定、实施和管理。第十七条 计算机系统故障处理参照江苏省农村信用社计算机系统故障处理办法执行。第四章 信息安全第十八条 各单位应成立计算机信息安全管理工作领导小组，负责辖内计算机信息安全管理工作。各单位主要负责人

10、为本单位计算机系统风险责任人，实行一把手负责制。并配备专职（兼职）计算机信息安全管理员。第十九条 各单位应配备（如桌面管理、防病毒、运维监控等）切实有效的系统，确保所有终端用户设备的安全，并定期对所有设备进行安全检查。计算机病毒的防范工作应明确专人负责，并建立本单位的计算机病毒防范管理制度，定期进行计算机病毒的检查、清除。第二十条 各单位对全体人员应进行下列计算机信息安全知识和技能的培训（应有培训相关记录和材料）。第二十一条 主机和网络通信关键设备必须有备份，并处于实时备用状态。做好设备的日常监测、检查、记录，及时掌握设备的运行状况，并做好相关记录工作。 第二十二条 做好系统的日常安全运行维护

11、工作。建立健全系统运行日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。定期对系统进行数据备份。第二十三条 加强应急处理管理，成立应急处理组织体系。严格执行重大安全事件报告制度，妥善处理重大安全事件。一般安全事故报备要及时向省联社主管部门报备。第二十四条 建立健全计算机信息安全运行登记制度， 参照省联社下发十三种登记簿执行。新出现的有关事项，根据具体需要建立登记簿。第二十五条 各单位构应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划。业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认，并向省联社报备。第二十六条 各单位内部审计部门应对相关系统及

12、其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员。至少应每三年进行一次信息科技全面审计。第五章 软件管理第二十七条 软件升级要严格按照系统升级文档要求，做好应用系统升级工作，升级前要做好备份；升级完成后要将升级过程中形成的有关文档、记录资料应存档保管。软件升级要做好审批和登记工作。第二十八条 各单位引进软件，应向省联社报备。应提交如下资料：1、软件引进报告，说明引进的原因。2、可行性分析报告，说明引进产品的功能、价格、厂商背景、应用设计方案、同类产品性价比、成功案例，分析软件项目投资预算、收益预测，论述软件引进的必要性和可行性。3、其他需上报的材料。

13、第二十九条 软件开发完成后，需求提出部门应会同项目组制定测试案例和综合测试方案、提出测试申请。测试结束后出具综合测试报告。综合测试通过后，组织试运行。试运行稳定后，由试运行单位出具试运行报告。第三十条 申请软件项目验收必须提交完整的项目验收资料，包括：验收申请报告、业务需求书、业务需求变更文件、综合测试报告、试运行报告、项目费用支出报告（包括前期费用、开发费用和人员费用）以及软件项目技术开发阶段有关文档等资料。第三十一条 应用软件安装、升级、维护前，科技部应填写县级法人机构信息系统生产变更申请表，并登记县级法人机构系统运行工作日志。第三十二条 软件的开发、测试、外包、安全的管理应按相关制度执行

14、，并应有相关材料和登记簿。第三十三条 各单位应根据软件的使用特点及注意事项，应建立健全各项必要的规章制度，保障系统的正常运行。第三十四条 各单位要切实加强软件使用的安全管理。一经发现计算机犯罪活动、敏感数据泄露或失窃等信息科技安全事件，必须妥善处理并按规定报告省联社和当地银行监管部门。第三十五条 科技管理部门须制订软件版本管理办法，由专人对正式移交使用的各种软件版本进行编号登记，归档管理，保证软件版本的完整性、准确性和一致性。投产后软件版本的修改必须严格履行申请和审批程序。第三十六条 未经科技管理部门负责人同意，任何人不得对软件版本以任何形式进行复制。第六章 系统管理第三十七条 各单位应制定主

15、机系统的定期维护工作计划，系统维护人员每日须对系统日志进行检查，详细记录操作过程并整理归档。第三十八条 主机系统、应用软件升级或更新、新旧系统切换、应用系统年终结转、应用系统存贷结息等重要操作，系统维护人员应与相关业务部门密切配合，共同制定详细的工作计划和方案。第三十九条 应用系统增加新业务功能的，各应用单位须在规定时间内做好新业务程序安装工作。第四十条 应用软件后台服务程序升级，由应用软件设计部门提供升级方案、模块功能说明书，并通知应用网点。在业务周期结束后，由系统维护人员负责实施。应用软件前台服务程序升级，各单位在规定时间做好升级工作。第四十一条 主机系统硬件、操作系统、数据库、中间件升级

16、，由相关公司提供升级方案，系统维护人员协助相关公司技术人员进行操作维护。第四十二条 系统维护人员应定期对系统运行情况进行检查，分析系统资源应用及运行情况，并提出系统资源的优化报告。第四十三条 各单位应建立计算机系统运行日志，具体记载系统运行情况，运行日志作为机密档案进行管理。第四十四条 法人单位须对主机系统、网络通信运行实行操作权限与口令的管理，并建立操作权限与口令管理登记簿。关键设备系统应使用密码信封。第四十五条 严格控制对业务数据库的非应用性操作。业务数据库的非应用性操作应由业务部门提出申请，经分管领导同意后科技部门实施。第四十六条 系统维护人员必须制定各类系统的全面备份计划，并严格按计划

17、执行。第四十七条 加强各应用系统中的用户管理。严格控制远程登录，建立远程登录登记簿。第七章 网络管理第四十八条 各单位外联业务的网络接入必须采用防火墙独立外联路由设备的方式实现与外联单位网络的连接，外联业务种类较多的，也可以采用双外联路由交换机双防火墙的方式来实现多项外联业务的安全互连。第四十九条 各单位内部网络与外单位的联网的必须按关于规范外联业务接入网络有关工作的通知（苏信联办20051号）执行。在和外单位互联的本单位端口上必须通过配置双向网络地址转换（NAT）来实现内、外网络的互连。第五十条 内外网必须实行严格的物理隔离，严禁任何形式的内外网互联现象。第五十一条 内部的核心设备，如上联路

18、由器和核心交换机等要求配置双机双电源冗余热备模式，保证业务永续。第五十二条 所有的网络设备要进行必要的安全配置并实行分级授权访问控制机制，严格操作权限与口令的管理。第五十三条 业务网内所有设备的IP地址必须按江苏省农村信用社IP地址分配规范执行，不得使用不规范的IP地址。第五十四条 在交换机上配置VLAN，针对不同业务类型划分不同的VLAN。同时在VLAN上配置访问列表，确保这些重要业务VLAN的安全。第八章 机房管理规范第五十五条 机房建设应符合江苏农村信用社县（市、区）联社计算机网络中心机房建设规范（苏信联发200373号）的标准。第五十六条 机房净高不小于2.6m, 地面承压不得低于8k

19、N/。有独数据中心的，机房面积按A= KS （其中 A主机房使用面积、K系数，取值为57、S电子设备投影面积）计算，没有独数据中心的，机房面积原则上不小于150,主机房功能区墙体四周及柱面采取防尘、保温处理，表面实行封闭式装饰，并做好屏蔽接地。出入口设计防盗铁门，并应有门禁控制。第五十七条 机房要包括主机房、辅助区、支持区和行政管理区等区域。辅助区的面积宜为主机房面积的0.21倍。第五十八条 机房实行市电双回路，UPS采用2N模式，电池供电时间不低于4小时。中心机房应配置后备柴油发电机系统，后备柴油发电机的容量应包括UPS的基本容量、空调等制冷设备的基本容量、应急照明及关系到生命安全等需要的负

20、荷容量。应配备足够的柴油燃料，能够保证72小时的发电供应。第五十九条 中心机房的主机房应设置七氟丙烷气体灭火系统。第六十条 机房温、湿度，空气含尘浓度，线电干扰场强，磁场干扰环境场强，UPS,防雷，空调新风，照明，布线等应符合国家B级机房的相关要求。第六十一条 机房应设置环境监控和设备监控系统及安全防范系统。第六十二条 各单位新建或改造机房方案，应向省联社科技处报备。第九章 运行维护分级管理第六十三条 综合业务系统的运行维护管理实行二级管理模式，即省联社信息结算中心（以下简称省中心）设立一级运行维护机构（以下简称运维机构）；已与省中心实现并网运行的各联社（农合行、农商行，下同）设立一个二级运维

21、机构。第六十四条 二级运维机构应根据风险控制的要求形成内控监督机制，建立相应的管理及内控制度。须配备至少两名专职管理人员，以便实施内控与轮流值。软件开发、网络维护、系统管理人员不得兼任。第六十五条 二级运维机构负责管理辖内上线业务日常维护工作以及扎口管理辖内业务运行维护与省中心的沟通工作。第六十六条 二级运维机构的管理人员应保持相对固定，管理人员的姓名、单位工作电话、手机号码等相关信息向省中心报备。二级运维机构人员变动时，必须有交接、衔接期，确保维护工作的连续、稳定，并及时将变更情况通知省中心。第六十七条 综合业务系统运行维护流程实行分级控制、扎口管理。上线单位的业务管理部门、业务职能部门、基

22、层营业网点为运行问题的发起者；二级运维机构为辖内业务运行维护管理的实施者，负责辖内问题解决和上下协调沟通；一级运维机构负责对二级运维机构的业务技术支持以及问题的最终解决。第六十八条 二级运维机构应建立运维问题登记簿及统计制度，按月进行汇总分析后，提出整改建议、方案，并明确操作规范，通过简报形式向辖内通报并报省中心。第十章 网点管理第六十九条 营业网点柜员应熟练掌握计算机设备的使用方法，严格执行操作流程。第七十条 营业网点应有独立的机房，面积不小于8平米，机房内应铺设防静电地板，应达到防雷、防水、防静电、布设整齐不凌乱的要求。机房应安装空调，UPS，机柜，应配置足量的手提灭火器。第七十一条 自助

23、设备安装场所的供电、接地、消防、通讯及温湿度必须满足自助设备正常工作的技术要求。自助设备人员管理、日常管理、安全管理必须符合相关标准。第十一章 附 则第七十二条 本规范纲要由江苏省农村信用社联合社制定，修改、解释亦同。第七十三条 本规范纲要自发布之日起执行。第七十四条 本规范纲要参考制度包括但不限于：（一）商业银行信息科技风险管理指引（银监发200919号）；（二）商业银行数据中心监管指引（银监办发2010114号）；（三）银行业金融机构重要信息系统投产及变更管理办法（银监办发2009437号）；（四）中国人民银行计算机安全管理暂行规定（试行）（五）信息科技风险现场检查手册（六）江苏省农村信用

24、社计算机信息安全管理暂行办法（苏信联发2008086号）（七）江苏省农村信用社科技管理制度汇编（2005）（八）江苏省农村信用社计算机信息安全管理登记簿模版（苏信联办2009067号）（十）（九）江苏省农村信用社电子化建设管理暂行办法(苏信联发2005129号)（十一）江苏省农村信用社综合业务系统运行维护分级管理暂行办法(苏信联科2007002号)（十二）江苏省农村信用社计算机信息安全管理暂行办法（苏信联发2008086号）（十三）关于规范外联业务接入网络有关工作的通知（苏信联办2005001号）（十四）关于做好县级联社网络设备安全配置工作的通知（苏信联办2006026号）（十五）全省IP地址分配规范（修订）（十六）江苏省农村信用社联合社电子设备管理办法（十七）江苏省农村信用社中心及网点机房建设规范（试行）（苏信联发2010152号）（十八）江苏省农村信用社中间业务开发管理办法（苏信联科2007001号）（十九）江苏省农村信用社电子化业务需求管理办法（2007003号）（二十）江苏省农村信用社联合社IT项目验收管理办法（试行）（二十一）江苏省农村信用社金融产品需求工作管理办法