村镇银行信息安全管理办法.doc

1、村镇银行信息安全管理办法（暂行）第一章 总则第一条 为保障村镇银行（以下简称“本行”）信息安全工作有序开展，有效保护信息资产安全，根据国家法律法规、监管部门有关要求，结合本行实际，制定本办法。第二条 本办法所称信息安全管理是指通过实施策略、规范、流程和技术等控制措施，保护本行信息的机密性、完整性和可用性。第三条 本行各级人员以及其它相关人员应遵守本办法。第四条 本行实行信息安全“一把手”责任制，董事长为本机构信息安全工作的第一负责人，确保信息安全管理工作持续有序开展。第二章信息安全职责第五条 本行董事会对信息安全工作承担最终责任，负责推动信息安全长效机制建设。第六条 本行高级管理层对信息安全工

2、作承担组织管理责任，负责协调各项资源，确保辖内信息安全管理工作有序开展。第七条 本行应组织配备足够的资源，确保辖内信息安全管理工作有序开展。第八条 本行应设立专职或兼职的信息安全员，并报备村镇银行管理部。信息安全员负责开展辖内信息安全日常管理工作，主要职责包括但不限于：（一）贯彻落实村镇银行制定的信息安全相关管理制度和安全策略，拟定信息安全管理制度、流程、标准和规范，并对落实执行情况进行监督和指导。（二）监测并掌握辖内信息安全状况，定期总结汇报，及时报告信息安全事件，并在风险可控情况下及时组织处置。（三）负责辖内信息安全管理日常工作，落实安全管理要求及技术措施。（四）组织开展辖内用户管理、病毒

3、防治、终端设备安全管理等工作的检查，分析辖内信息安全状况，提出安全分析报告和安全防范建议。（五）配合相关部门和单位进行信息安全工作的审计和检查。 第九条 本行人力资源管理团队的信息安全职责包括但不限于：（一）建立员工入职、离职审核机制，规范工作流程。（二）关键岗位人员，应在入职前组织验证个人信息。（三）组织做好人员离职管理，督促离职人员所在机构做好工作交接、资源回收、访问权限调整等工作。第十条 本行信息系统需求提出方的信息安全职责主要包括：（一）提出具体的信息系统的安全保护需求。（二）做好归属本机构的信息系统的访问权限等使用管理。（三）对归属本机构的信息系统的各类违反安全策略的行为进行分析，评

4、估影响范围，采取适当的措施，并及时报告。（四）持续改进归属本机构的信息系统的安全管理相关工作。 第十一条 本行信息系统使用方的信息安全职责主要包括：（一）做好本机构员工安全意识教育，防止对信息系统的不当使用。（二）根据机构人员调整情况组织对信息系统权限的调整，对离职人员信息系统访问情况进行核查。第十二条 本行应定期组织信息安全培训和安全意识宣贯，普及信息安全知识，提高员工信息安全专业技能。第十三条 本行全体员工应自觉执行信息安全管理规章制度，遵守安全管理要求，对所发现的信息安全事件负有报告义务。第三章 人员安全管理第十四条 员工上岗前应进行任职资格审查和培训，确保其具备 相应的职业操守，并签订

5、相关安全保密协议。第十五条 关键岗位员工上岗前，应组织进行必要的业务技能考核，确保具有基本的上岗资格和技能。第十六条 关键岗位设置应遵照“职责分离、不得交叉覆盖”的原则，关键岗位员工应实行定期考查制度，并按总行有关规定执行强制休假。第十七条 员工在岗期间，应遵守信息安全管理有关规章制度，严格执行员工信息安全基本行为准则（见附件 1：员工信息安全管理规定），主动参与信息安全保障工作，提高安全意识和水平。第十八条 员工应定期参加安全知识和专业技能培训，接受安全保密等教育。第十九条 员工离岗时应收回其持有的相应岗位的信息资产和访问权限，离职时收回其持有的全部信息资产和访问权限，确保离岗、 离职员工不

6、发生越权或非授权的访问。第四章 机房安全管理第二十条 机房应符合国家或行业标准要求，确保地理位置、用电、消防、网络等安全可靠，并通过有权机关的安全验收。第二十一条 总行应制定机房日常管理维护手册，并负责辖内UPS、发电机等基础设施的维护，每季度开展演练工作。第二十二条 应建立严格的机房安全管理制度，规范机房管理工作流程，并定期检查执行情况。第二十三条 应采取必要的控制措施，对人员和设备等进出机房进行管理和控制，包括但不限于：人员和设备的出入管理、门禁管理、视频监控管理等。第二十四条 放置在机房内的计算机设备和介质，应根据其对场地环境的要求、安全等级、易管理性及物理空间分布等情况进行合理置，并确

7、保处在适当安全保护措施之下。第五章 客户端安全第二十五条 建立终端设备管理体系，必须安装指定的安全管理软件，包括但不限于桌面管理软件、防病毒软件等。严禁关闭或私自卸载安全管理软件。第二十六条 确保办公PC 病毒码实时更新，服务器、业务PC、自助机具等生产设备定期更新。第二十七条 掌握辖内计算机病毒防治整体状况，发现计算机受到病毒入侵，或发现计算机病毒无法有效清除时，应采取网络隔离措施，并及时上报村镇银行管理分部。第二十八条 严格执行生产、办公网隔离，内外网隔离制度。终端设备专机专用，办公网用机原则不与互联网用机混用，如确有需要，需经村镇银行管理分部同意，且办公网与互联网连接时 应实施足够的安全

8、隔离保护措施。第二十九条 禁止生产服务器和业务终端非法外联；生产、办公网禁止使用 HUB 设备；禁止所有未授权的无线网络接入点（AP）联入行内网络。第三十条 如遇设备故障，应及时报告和处置，并做好报修记录。对于需外修或待报废的设备，应及时删除所存储的敏感数据，防止敏感信息泄密。第六章数据安全管理第三十一条 数据管理遵循“谁使用谁负责、谁使用谁销毁”的安全原则。数据持有者和使用者必须在权限范围内合法使用数据，不得泄漏或非授权使用。第三十二条 应采取有效措施，规范数据相关操作，确保生产数据在录入、使用、修改、传输和输出过程中的安全。第三十三条 信息系统所用计算机设备的维修或更换应以保证数据信息的完

9、整性和安全性为前提。存储重要或高等级涉密信息的计算机设备或配件，原则上不得外送或更换，应由使用部门登记封存。 涉密计算机设备需要送修或销毁的，应送交市国家保密局指定技术服务中心处理。第三十四条 建立计算机设备的销毁和报废管理流程。设备在销毁和报废前应经过严格的审核和审批，并采取有效措施保证敏感信息安全，销毁和报废的内容及过程应完整记录。第三十五条 对移动计算机、移动处理设备、移动存储介质等移动设备进行安全管理，确保在使用移动设备过程中不会泄漏敏感信息。第七章 安全事件管理第三十六条 信息安全事件是指由于程序或人为因素，造成本行信息及信息系统的机密性、完整性、可用性遭受不同程度的威胁或破坏。第三

10、十七条 信息安全事件主要包括：（一）因程序或人为因素造成信息系统重要数据及信息系统相关核心技术资料损毁、丢失、泄露、被篡改的情况。（二）病毒攻击、非法入侵、木马植入、外部网络攻击等使本行信息及信息系统遭受安全威胁或造成不同程度的故障、破坏的情况。第三十八条 信息安全事件纳入本行生产事件管理机制统一管理，信息安全事件具有较高的优先级，优先处理、妥善处置。第三十九条 员工一旦发现信息安全隐患或事件，应第一时间报告，并及时协调处置，严格控制影响范围。第四十条 信息安全事件同时属于突发事件范围的，应按照本行突发事件管理有关要求进行处置。第四十一条 信息安全事件升级为案件的，应按照本行案件防治管理有关要求进行处置。第八章 罚 则第四十二条 对于违反安全管理有关规定，或对违规行为隐瞒不报者，或者存在其他失职、渎职行为的，一旦被查实，按照本行员工违规违纪行为处理规定等有关规定执行，有必要的，应追究相关人员责任。第九章 附 则第四十三条 本办法由村镇银行负责解释。第四十四条 本办法自发布之日起实施。附件：1员工信息安全管理规定