9、信息科技管理指引.doc

日照沪农商村镇银行股份有限公司信息科技管理指引第一章 总则第一条 为加强本行信息科技管理，保障信息系统安全、稳定运行，特制定本指引。第二条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在本行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。第二章 机构、岗位设置及职责第三条 本行设立或指派一个专门的部门负责信息科技工作，并设置信息科技相关岗位，至少包括运行维护岗、信息安全岗和科技管理岗。其中信息安全岗人员不能兼任运行维护岗和科技管理岗工作。第四条 运行维护岗负责辖内计算机设备、通信线路、机房运营和突发事件管理，主要职责包括但不限于：（一）辖内网络设备、安全设备、计算机及相关电子设备的管理和维护，设备发生故障及时协调处理；（二）辖内通信线路管理，负责线路的变更（含新装、迁移、拆除等），监控通信线路状况，发现异常及时报修，并协调故障排除、修复等工作；（三）辖内机房的日常运行和维护管理；（四）辖内信息科技运行突发事件应急管理；（五）由本行控股银行指导的其他工作。第五条 信息安全岗负责辖内信息科技风险管理和信息安全管理，主要职责包括但不限于：（一）拟定信息科技安全管理制度、流程、标准和规范，并对落实执行情况进行监督和指导；（二）监测并掌握辖内信息科技风险和信息安全状况，定期总结汇报，及时报告科技风险事件、信息安全事件；（三）负责辖内信息系统安全管理，落实安全管理要求及技术措施；（四）组织开展辖内用户管理、病毒防治、终端设备安全管理等工作的检查，发现问题及时落实整改；（五）配合相关部门和单位进行信息科技工作的审计和检查；（六）由本行控股银行指导的其他工作。第六条 科技管理岗负责辖内信息系统建设的规划、实施以及业务支持等工作，主要职责包括但不限于：（一）学习并运用先进的信息技术，实现科技不断创新，支持业务发展；（二）与各业务部门的产品开发部门合作，确定针对具体应用系统的需求；（三）根据特色业务需求组织落实系统设计和开发工作；（四）负责安排辖内应用系统验收工作；（五）指导辖内员工正确、安全使用信息系统及相关电子设备；（六）由本行控股银行指导的其他工作。第三章 日常运行维护工作指引第七条 本行辖内网络设备、安全设备、计算机及相关电子设备管理和维护的主要内容包括但不限于：（一）辖内业务和办公PC机等设备的管理及维护；（二）处理辖内机构各类计算机及相关电子设备故障，并对各类问题进行登记；（三）各种电脑外设（打印机、读卡器、密码键盘、扫描仪等）的管理及维护；（四）各类备品备件及耗材的管理和定期检查，根据重要设备冗余原则做好设备冗余，保证备品备件充足、可用；（五）协助相关部门进行辖内电子设备的采购工作，建立辖内电子设备的台账。第八条 本行辖内网络系统和通信线路管理的主要内容包括但不限于：（一）监控网络及安全设备、网络端口的运行情况，防范黑客入侵，及时向信息安全岗报告安全事件；（二）辖内通信线路的变更（含新装、迁移、拆除等）、监控及故障报修等工作；（三）对于网络拓扑结构、网络设备布局、路由器配置和网络参数等的变更，需与上海农村商业银行运营保障部协商确定，不得擅自与外单位网络系统互联；（四）定期对网络安全设备和通信线路进行主备切换测试；（五）按照本行控股银行制定的IP地址规划做好辖内计算机设备的IP地址规划和配置。第九条 本行应严格执行机房管理要求，监控机房各类电子设备的运行情况，建立机房出入登记制度，发现问题及时处理，定期做好机房的清洁工作。第十条 本行应定期协调进行辖内UPS电源的切换测试，以及辖内机构发电机演练，保障电力中断情况下电子设备的稳定运行。第十一条 本行应每年定期对辖内计算机运行情况进行检查，包括日常工作、设备运行、机房管理等，并形成检查报告报送本行控股银行。第十二条 本行辖内信息系统应急管理的主要内容包括但不限于：（一）根据监管要求，编制适用于本行实际情况的突发事件应急实施细则，并在辖内发文；（二）在本行信息系统运行过程中如遇突发事件，应启动应急预案进行故障修复。对于不能自行处理的突发事件，应立即报告本行控股银行，获取相应技术指导和帮助；（三）业务类突发事件应联系外包服务商解决，同时报告本行控股银行。网络类突发事件应报告本行控股银行，由其协调运营保障部处理，并通知外包服务商；（四）对于紧急事件在报告本行控股银行的同时，应报告运营保障部获得技术支持；（五）运行维护岗应协助外包服务商、本行控股银行、运营保障部进行问题排查、定位、恢复等，必要时应启动远程技术支持；（六）协调辖内每年至少进行一次信息系统应急演练，可采取培训、模拟或实战的方式进行，应急演练相关文档应归档管理；（七）建立辖内信息系统突发事件管理台账，记录事件发生的时间、影响范围、原因、处置方法等，并根据事件处理情况对应急文件进行完善。第四章 信息安全工作指引第一节 用户管理第十三条 本行应对应用用户权限、主机用户、数据库用户、网络及安全设备用户权限进行相应控制，员工调岗或离职时，应同时在系统中调整权限或注销该用户。第十四条 用户设置口令应满足一定复杂度要求，并定期进行更新。员工应妥善保管口令，防止他人通过偷窥等手段非法获取自己拥有的口令。第二节 病毒防治第十五条 本行应在本行控股银行指导下，组织落实病毒防治工作，确保全行计算机设备安装指定的防病毒软件，并保证病毒库的及时更新。第十六条 在下载软件、程序、数据时，必须先对其进行计算机病毒检测，经确认无毒后方可使用。第十七条 本行应切实加强计算机与网络设备使用管理，严格区分业务系统用机和非业务系统用机的使用，避免计算机病毒交叉感染。第十八条 未经批准任何计算机不得擅自联入互联网，确因工作需要上网者，需采取必要的技术防范措施后，方可上网。第十九条 本行应对易受计算机病毒攻击的计算机信息系统，定期进行计算机病毒检查；使用移动存储介质时，应首先进行计算机病毒检测，确认无毒后方可使用。第二十条 严禁在行内用机上运行、查看、拷贝与本系统无关、来历不明、未经确认无毒的软件。第二十一条 对带有附件的电子邮件，在下载附件之前必须对附件进行扫描，严禁打开未扫描、扫描后显示带有病毒的附件。第二十二条 发现计算机感染了病毒，应立即停止使用感染病毒的计算机，切断网络，并隔离一切涉嫌感染病毒的介质和设备，查明病毒来源并及时清除病毒，避免病毒进一步传播。第二十三条 辖内计算机信息系统发生计算机病毒疫情，造成计算机信息系统严重瘫痪、程序和数据严重破坏等重大事故时，应保护现场，立即报告本行控股银行，同时报告运营保障部获得技术支持。第三节 终端设备安全管理第二十四条 本行应加强终端设备安全管理，确保辖内计算机设备安装指定的桌面管理软件，终端用户不得擅自更改软硬件及系统配置，日常操作应严格遵循相关安全使用规范。第二十五条 终端用户在使用业务计算机时，应遵守的要求包括但不限于：（一）不得私自安装操作系统；（二）不得随意更改系统和网络配置参数，严禁卸载或停用防病毒软件和桌面管理软件（建议此类软件的使用按上海农村商业银行的相关技术要求执行）；（三）不得安装与业务处理无关的其他计算机软件和硬件；（四）如遇设备故障，应及时告知运行维护岗，由其报告统筹安排设备维修，并做好报修记录；（五）对于需外修或待报废的设备，应及时删除所存储的敏感数据，防止敏感信息泄密；（六）接受统一部署的安全策略（建议此类软件的使用按上海农村商业银行的相关技术要求执行）； （七）每日工作结束后，应以正常方式立即关闭业务计算机；（八）严禁私自打开机箱或拆卸、替换计算机相关部件；（九）做好业务计算机摆放区域的安全防范措施。第四节 员工信息安全管理第二十六条 密码使用规范：（一）员工在设定用户登录密码时，应选择由大小写英文字母、数字和特殊字符组合而成的具有一定复杂度的密码，妥善保管并定期进行更换；（二）员工应避免办公系统或办公邮箱的密码与私人常用密码雷同，避免在多个系统中设置相同的密码，以防密码被非法获取后产生连锁影响；（三）员工在使用新的或经过密码重置的系统或终端时，应在第一时间对初始、默认或重置密码进行更改；（四）员工在输入密码时，应保持必要的警惕性，防止他人通过偷窥等手段非法获取自己所拥有的密码；（五）员工不得将密码书写在纸上或是存放于电子文档中，不得在他人面前谈论自己所拥有的密码；（六）员工应妥善保管自己的密码，一旦发现或怀疑自己的密码被他人获取，应立即进行密码更新；（七）禁止员工在使用终端系统时启用“自动保存密码”功能。第二十七条 PC设备软件使用规范：（一）员工应安装使用正版软件，禁止使用各类未授权软件；（二）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序。系统补丁应及时更新，在安装系统补丁前应对现有的重要文件进行备份；（三）员工在日常工作中应保证安全软件（防病毒软件、桌面管理软件等）的正常运转，不得强制关闭常驻内存的安全软件的进程，不得以任何方式修改、删除安全软件客户端程序的配置、补丁或其他安全设置；（四）员工必须使用指定的防病毒软件；（五）员工有义务确保计算机系统防病毒软件的及时升级、病毒库的及时更新；（六）员工有义务确保防病毒软件自动查毒的顺利执行，无特殊原因，不得中断或关闭自动查毒进程。若由于工作上受到影响（如PPT播放），确实需要中止病毒扫描的，员工应在完成工作后及时手动开启防病毒软件进行查毒；（七）遇到无法独立完成病毒清除等特殊情况时，员工应及时向信息安全岗报告并寻求技术支持。员工不得自行采取一些未经验证的处理方式，或随意在行内发出病毒警告，影响正常工作的开展。第二十八条 网络安全规范：（一）员工应严格遵守内部网络的统一配置和管理，不得擅自变更IP地址、PC设备网络硬件的配置，不得擅自向外部机构或人员提供内部网络架构等重要信息；（二）员工应严格遵守保密管理的要求，坚持“涉密不上网，上网不涉密”的原则，严禁有涉密信息的计算机设备访问互联网；（三）严禁员工利用行内提供的互联网访问途径从事可能占用行内网络资源、影响网络安全的活动，禁止一切违反国家法律、法规，损害国家利益和他人合法权益的活动；（四）员工在登录外部网站时，应检查站点是否安全，对类似“网络钓鱼”的欺诈技术应提高警惕，避免因操作不当对银行信息安全造成危害；（五）办公场所不得私自安装、使用无线路由设备，确因工作需要使用的，应及时向本行控股银行备案，并做好相关安全设置，使用完毕应立即停用。第二十九条 移动存储介质使用规范（一）移动存储介质主要包括：软盘、U盘、光盘、磁带、移动硬盘等。对于移动存储介质的存放和保管，应避免高温、潮湿、磁场、静电、强光、辐射等影响；（二）员工不得在PC设备上使用来历不明的移动存储介质，且不得随意在不同计算机上使用。员工应关闭计算机的自动播放功能，防止病毒蔓延传播；（三）员工在读取移动存储介质上的数据前，应进行病毒查杀操作；（四）员工有义务保护存放有国家秘密和银行商业秘密的移动存储介质，不得转借，不得随意放置，防止其丢失、误用及未经授权被访问和修改；（五）当需要在非行内计算机上使用存有银行保密信息的移动存储介质时，员工应采取必要的保护措施（如全程陪同并亲自操作等），保证信息不被非法访问、篡改、复制或删除。第五章 科技管理工作指引第三十条 本行应根据业务发展需要开展IT规划工作，配合业务部门制订各类业务相关的规划、方针、政策和操作规程。第三十一条 本行应拟定统一的信息科技管理制度、流程、标准和规范，并对执行情况进行监督和指导。第三十二条 本行应拟定本行IT预算，根据技术标准协调本行控股银行统筹开展IT相关软硬件设备的选型和采购工作。第三十三条 本行应根据监管要求，组织开展信息收集、报送等工作。第三十四条 由本行外包或建设的本行信息系统新增需求的管理（一）本行如有新增业务或完善信息系统需求，需统一向本行控股银行提交业务需求文档；（二）本行控股银行负责审定本行需求，由本行控股银行统一协调本行需求开发、测试、统一版本上线、运维等事宜。第三十五条 关于地方特色本行信息系统建设（一）本行应根据业务发展的具体要求，组织实施确需建设的、有地方特色的信息系统，并向本行控股银行报备；（二）本行应负责信息系统方案设计和产品、厂商甄选；（三）本行应根据信息系统建设要求，组织或落实需求分析、设计、编程、测试等建设任务；（四）本行应按照科学的项目管理方法管理各类开发项目，检查和监督各项目的计划进度、质量管理等情况。第六章 机房管理第三十六条 本行应建立机房出入登记制度，实施监控并记录机房操作人员的工作情况。第三十七条 进入机房不得携带易燃、易爆、易破碎、易污染和强磁物品。第三十八条 机房内严禁携带水、食品等进入，禁止吸烟，不得随地抛纸屑和废物，保持桌面及地面的干净整洁。第三十九条 本行应定期打扫机房，保持计算机房内环境整洁。第四十条 本行应对机房物理环境、服务器运行状况等进行实时监控，关注预警信息，分析原因并及时采取相应措施，防止发生故障，影响系统运行。第四十一条 本行应加强流程控制，做好机房内各种记录与报告，严格管理信息系统安全运行监测记录及其分析结果。第四十二条 本行应定期检查安全防火情况，及时消除隐患。机房须设置必要的符合消防部门规定的消防设施，相关设施应通过消防部门的检查和验收。第四十三条 对于机房环境设施发生的故障以及变更操作，须及时反应，并向本行控股银行报告。第七章 报告机制第四十四条 日常报告机制（一）本行负责向本行控股银行上报辖内信息系统运行情况，包括：1、每月第5