计算机安全检查管理办法
第一章总则
第一条为了加强本行计算机信息系统安全保护工作,确保本行计算机信息系统安全、稳定、高效运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规,结合本行实际制定本办法。
第二条本行计算机信息系统安全检查工作的指导方针是“预防为主,安全第一,依法办事,综合治理”。
第三条“预防为主”是计算机安全管理工作的基本方针。
第四条本办法所指检查对象,是指各支行(部)、网点、清算中心、总行主、备机房。
第五条本办法适用于计算机安全检查相关管理工作。
第二章检查职责
第六条本行计算机信息系统安全领导小组负责检查活动计划的制定、检查要求及时间安排等事宜。
第七条信息科技部门负责组织开展计算机安全检查工作。并向计算机信息系统安全领导小组汇报检查情况,督促存在问题的整改落实。
第八条各支行(部)负责对本部门的计算机安全管理进行自查。
第三章范围和要求
第九条本行计算机安全检查主要是对各支行(部)、清算中心、总行主、备机房的各项管理。
第十条总行对各支行、营业部、清算中心、总行主、备机房每年不少于两次专项安全检查;各支行对网点每月至少进行一次检查。
第十一条检查重点:
(一)支行检查重点:
1、密码设置。
2、操作员操作规程执行情况。
3、上机日志登记。
4、机房及网络设备管理。
(二)总行检查重点:
1、制度制订及执行情况。
2、密码及权限设置。
3、
中心机房管理。
4、上机日志登记。
5、系统及数据备份等。
6、网络管理。
7、应急处置
第十二条检查流程
(一)制定检查计划。检查组要书面明确检查目的、内容、要求和参加检查人员。
(二)进行检查。信息科技部组织检查,检查过程要认真负责,发现问题如实反映。
(三)提出整改意见。检查后根据检查出的问题,提出改进建议。
(四)检查报告。将检查情况书面报告上一级管理部门。对上级检查部门提出的整改意见,应在规定期限内整改到位并上报整改情况。
第四章检查内容
第十三条制度建设方面:
(一)重视计算机内控制度建设,建立计算机安全运行、管理、监督和考核机制。
(二)应有以下制度:计算机操作员守则、设备管理制度、机房管理制度、各岗位职责。
(三)建立计算机信息系统安全工作领导小组,职责明确,成员名单及变动情况报总行信息科技部备案;建立数据修改审定小组,有明确的职责和分工,成员名单及变动情况报省联社备案。
(四)配备专(兼)职计算机安全管理员,负责计算机设备和本地网络通信的日常维护和故障处理工作,负责机房管理,保障计算机系统安全运行,开展计算机业务辅导工作。
(五)定期组织检查,督促整改落实,并对计算机岗位工作人员进行考核。 第十四条密码管理方面:
(一)密码不少于6个字符,操作系统用户口令应为字母与数字混合,密码设置不得过于简单(如123456连续数字、1111
11、445566相同数字、生日等)。
(二)密码使用范围:操作系统的超级用户、普通用户,应用系统的管理员及操作员,网络设备等都必须设置密码,专人负责使用、保管、更换、监督。
(三)核心业务系统、信贷系统中的柜员密码每月更改一次。
(四)操作员必须对自己使用的密码保密,不得相互泄密、窥密、窃密,离开岗位必须退出系统。
(五)密码及指纹启用、更换、注销需在上机日志中进行登记。
第十五条系统运行管理方面:
(一)计算机系统中不得存在与业务无关的数据和程序,不得擅自使用外来软件。
(二)建立明确的系统操作流程,工作职责落实。
(三)建立操作登记制度,按照规定的流程和要求,执行各项操作,并详细、正确予以记录,包括时间、目的、内容、维护人员、故障现象、原因、处理方法,操作人员、监督人员和授权人员共同签字以备查。
(四)建立监控制度,落实专人监控各类设备、应用系统的运行情况。发现问题或安全隐患要及时排除,视情况向其主管及相关部门报告,妥善处理,并进行详细记录,确保设备及应用系统的安全稳定运行。
(五)建立定期检查制度,落实专人定期检查、检测或清理文件系统及系统配置,保证主机系统处于最佳运行状态。
(六)易受攻击的计算机系统中需安装防病毒软件,定期升级病毒库,检测、清除计算机中的病毒,消除安全隐患,并记录在案。
(七)主、备机房设备有软件升级情况记录,有升级前应用软件备份。 第十六条数据管理方面:
(一)采取安全防范措施,防止计算机数据被非法使用、窃取、篡改和破坏,保证计算机数据的安全。
(二)对计算机数据的查询修改,严格执行双人操作,并认真做好记录。不以任何形式非法修改和外泄。
(三)外单位(法院、检察院等)查询数据时,应由使用部门出具通知书,并按单位查询数据管理办法规定履行必要的审批手续,办理必要的登记手续后方可进行。查询完成后,进行相应的记录。
(四)网点运行中发生应用问题,需要通过省中心修改数据、程序等方法解决的,由支行提出书面修改申请,交总行数据修改审定小组批准,提交省中心进行。
(五)不能通过临柜处理的数据差错,通过审核,由主办会计按有关规定进
行修改;对前台无法修改的数据,按《农村商业银行股份有限公司数据调用、维护管理办法》有关规定进行提交修改,提交要有书面记录,支行留存联妥善保管,及时归档。
(六)对于中间业务单位开户、数据导入等操作,由支行提出申请,总行相关部门审批同意,由中心机房管理人员进行操作,并进行相关记录。
(七)如情况紧急需要作特殊处理的,要详细说明情况,经批准后由中心机房人员按照数据修改操作办法进行处理,并作好有关记录,事后及时补齐相关手续。
第十七条机房管理方面:
(一)机房安防设施到位,门禁系统运转正常,监控范围合适,有符合要求的防火、防水、防盗等安全措施和设施,并有能保证服务器、路由器、交换机及相关设备二十四小时连续供电的电源系统和设备。
(二)主机房实行双人作业、双人值班制度,非机房工作人员未经允许不得进入机房,出入必须登记。备用机房采取巡查制,由机房工作人员定期巡查,非机房工作人员未经允许不得进出,出入必须登记。
(三)机房管理人员每天详细记录机房环境(湿度、温度、电压)、设备运行情况、出现的问题及采取的措施等。
(四)机房建立设备管理制度,对已配置和安装的设备分类编号登记,建立设备档案,对设备变动情况作详细记录;机房内各项设备的操作要按相关操作规程,维修要按维修手册或维修说明书中的规程办理。
(五)确保机房内各类计算机设备运行正常,各主要计算机设备需按要求进行定期切换,出现硬件故障及时修复,备机、备件充足。未经同意不得随意搬迁、拆卸和装接各种机房设备。确需变动,经科技部门负责人同意,在不影响业务情况下实施,并形成相应的记录。
(六)机房各主要计算机设备以及应用系统应按不同岗位、操作要求设置相应操作及管理密码。密码位数不得少于六位,密码定期更换,并做好登记,关键设备如核心交换机等的密码必须分级管理。
(七)机房内主要生产设备升级、更换重要部件和设备工程改变,必须经总行计算机安全管理小组同意,报上级科技部门及清算中心备案,并制定应急预案,工作完成后做好记录。
(八)安全管理人员应做好设备的维护、维修工作,定期进行设备保养和安全检查,做好预防性维护工作,设备日常保养和检查由专人负责,并形成相应的记录。
(九)机房内主要生产设备要落实相应的保修工作,设备厂家巡检形成相应的记录。
第十八条硬件及网络管理方面:
(一)硬件设备指定专人负责管理。
(二)设备送修必须填制送修单,注明故障情况。
(三)网络线路必须按要求由内部走线,不得经柜台外拉线。
(四)所有网络上连接设备要求进行端口+IP地址+MAC地址的绑定,对于网络设备上的闲置端口,一律封闭。
(五)不发生违反规定与外单位联网和利用本单位计算机设备进行远程登录。
(六)营业场外(行长及外勤办公室等)终端管理责任落实,无安全隐患。
(七)落实计算机设备管理和使用职责,设备工作状态性能良好。
(八)业务用计算机设备使用UPS供电,UPS供电系统不得接入非计算机设备,电源和通讯线要有避雷措施。
(九)支行因业务需要申请安装宽带,必须上报总行批复、备案,并制定相应的管理制度,落实管理责任人。
(十)关键网络设备实现双机互为热备;骨干通信网络选择不同的运营商,互为备份。定期切换、测试备份线路及网络设备,并形成相应切换、测试情况的记录,确保故障发生时能及时自动切换,保证线路畅通。
(十一)网络参数修改授权登记,网络设备参数配置及网络设备运行日志离机备份,及时登记,要求至少保留当前和上一备份。
(十二)对不同业务种类的网段实行物理隔离、防火墙隔离或逻辑隔离,业务网络上不得存在与业务无关的设备。
(十三)采取安全防范措施,控制业务用机的相互访问及终端、PC机、服务器的接入安全访问等。
(十四)各种网络运行资料,如计算机配线柜标识图、网络拓扑图、网络地址、路由配置参数应做好备份及详细的修改记录,形成技术文档,落实专人保管,严格保密。
(十五)落实网络安全监控,每日定时对网络状态、网络设备、通讯线路进行有效监控,发现问题及时处理。
第十九条上机日志记载方面:
(一)总行机房管理主要记载:机房基本情况、网络情况、支行工作处理情况、系统维护情况、非机房人员进出情况、密码更改、中间业务处理情况等。
(二)支行主要记载:系统运行情况、网络通信情况、硬件工作情况、密码更改、中间业务处理情况等。
第二十条应急处理方面:
(一)制定系统安全及应急处理措施并组织演练,落实到岗,责任到人,定位正确,应急到位。
(二)运行故障恢复方案详尽、周全,所采取的措施可行、有效,应急操作中包括以下主要内容:
1.系统软件、应用软件、业务数据的备份制作、存放及使用的详细地点及使用方法;
2.业务前置机故障处理及备用设备启用的操作流程;
3.网络通讯中断处理及应急通讯设备启用的操作流程;
4.机房内各计算机系统外围设备故障处理及备用设备启用的操作流程;
5.应急操作中有关人员的岗位职责;
6.应急操作中有关人员的通讯联系方法。
第五章责任追究
第二十一条对存在问题和违规处理情况进行定期通报。
第二十二条对责任人做出经济处罚,造成严重后果或形成较大风险隐患的,同时给予行政处分。
第二十三条出现违反计算机操作管理制度的按《农村商业银行股份有限公司经营责任制考核办法》处罚。
第六章附 则
第二十四条本办法由农村商业银行股份有限公司负责解释和修订。 第二十五条本办法自发文之日起执行。
