公司计算机工作管理暂行手册

1、1 / 31邵阳市农村商业银行股份有限公司计算机工作治理暂行方法（提交邵阳农村商业银行股份有限公司第一届董事会第一次会议审议）第一章 总则第一条 为加强邵阳市农村商业银行（以下简称农商行）信 息系统信息安全、硬件设备、安全运行、故障申报、日常检查、 网络安全等治理，防范和化解信息系统的运行风险， 杜绝各类事 故和案件的发生，依照湖南省农村信用社信息安全治理方法、中华人民共和国信息系统安全爱护条例、金融机构计算机信息系统安全爱护工作暂行规定、商业银行信息科技风险治理指引等规定，结合我农商行实际情况，特制定本方法。第二条本方法适用所有使用邵阳市农商行网络或信息资源 的其他外部机构和个人， 包括农商

2、行辖内网点所有职员， 包括在 编合同制职员、经批准在岗的短期合同制职员。第三条信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责，谁 运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息 安全责任制。第四条信息系统系统信息安全治理员，应当保障信息系统 及配套设备的安全、运行环境的安全和信息的安全。第五条任何个人不得利用信息系统从事危害国家利益和集 体利益的活动、不得危害计算机信息系统的安全。第二章组织保障第六条 农商行设立科技信息部，由科技信息部归口治理信息安全工作，并明确其信息安全治理职责。2 / 31第七条 依照省联社要求，农商行成立由农

3、商行领导和各职 能部门要紧负责人组成信息安全工作领导小组，领导小组办公室设农商行科技信息部，负责协调辖内信息安全治理工作， 决定辖 内信息安全重大事宜。第八条 农商行科技信息部门设立信息安全岗位，配备专职 信息安全治理人员。负责邵阳农商行信息安全治理， 建立完善信 息安全治理方法，并组织实施；对农商行信息安全治理工作进行 指导和检查督促。第九条农商行各支行及各职能部门要紧负责人为本部门信息安全第一责任人，同时均应指定至少一名部门信息安全员，具体负责本部门的信息安全治理， 协同科技信息部开展信息安全治 理工作。第三章人员治理农商行工作人员依照不同的岗位或工作范围，履行相应的信息安全保障职责。科技

4、信息部为农商行信息安全爱护专职部门， 设信息安全治理员、系统维护治理员、技术维护员等岗位负责全 辖信息系统安全运行。各部门及支行要设立信息系统安全治理领 导小组，设立部门信息安全员。第一节信息安全治理人员第十条农商行选派政治思想过硬、 具有较高计算机水平的 人员从事信息安全治理工作。凡是因违反国家法律法规和湖南省 农村信用社有关规定受到过处罚或处分的人员，不得从事此项工作。第十一条信息安全治理人员应具有从事金融机构计算机工 作三年以上经历，具有本科以上学历。第十二条信息安全治理人员必须应通过省联社组织的专业 培训与审核，培训与审核合格后方可上岗。上岗后，每年至少参 加一次信息安全专业培训。3

5、/ 31第十三条农商行信息安全治理人员在如下职责范围内开展 本单位信息安全治理工作：（一）组织落实上级信息安全治理规定，制定信息安全治理 方法，协调部门计算机安全职员作，监督检查信息安全保障工作。（二）审核信息化建设项目中的安全方案，组织实施信息安 全保障项目建设，维护、治理信息安全专用设施。（三）检测网络和信息系统的安全运行状况， 检查运行操作、 备份、机房环境与文档等安全治理情况，发觉问题，及时通报和 预警，并提出整改意见。统计分析和协调处置信息安全事件。（四）定期组织信息安全宣传教育活动， 开展信息安全检查、 评估与培训工作。第十四条 信息安全治理人员在履行职责时，确因工作需要 查询相关

6、涉密信息，须经本部门负责人同意后向本单位保密主管 部门提交申请，获得批准后方可查询。第十五条信息安全治理人员实行备案治理方法。信息安全 治理人员的配备和变更情况应及时报上一级科技信息部备案。第十六条信息安全治理人员调离岗位，必须严格办理调离 手续，承诺其调离后的保密义务。 涉及农村信用社业务核心技术 的计算机安全人员调离单位， 必须进行离岗审计，并在规定的脱 密期后，方可调离。第二节部门信息安全员第十七条各部门和各级支行应指派素养好、 较熟悉计算机 知识的人员担任部门信息安全员，并报农商行科技信息部备案。如有变更应做好交接工作，并及时通报科技信息部。第十八条部门信息安全员配合农商行信息安全治理

7、人职员 作， 并参加各4 / 31项信息安全技能培训。第十九条 部门信息安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检查本部门客 户端安全治理情况。（二）负责提出本部门信息安全保障需求，及时与农商行信 息安全治理人员沟通信息安全信息。（三）负责本部门国际互联网使用和接入安全治理，组织开 展本部门信息安全自查，协助科技信息部完成对本部门的信息安 全检查工作。第三节技术支持人员第二十条本方法所称技术支持人员，是指参与邵阳农商行 网络、信息系统、机房环境等建设、运行、维护的内部技术支持 人员和外包服务人员。第二十一条农商行内部技术支持人员在履行网络和信息系 统建设和日常运

8、行维护职责过程中，应承担如下安全义务：（一）不得对外泄露或引用工作中触及的任何敏感信息。严 格权限访问，未经批准不得擅自改变系统设置或修改系统生成的 任何业务数据。（二）主动检查和监控生产系统安全运行状况，发觉安全隐 患或故障及时报告本部门主管领导，并及时响应、处置。（三）严格操作治理、测试治理、应急治理、配置治理、变 更治理、档案治理等工作方法，做好数据备份工作。第二十二条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。提供技术服务期间，严格遵守湖南省 农村信用社相关安全规定与操作规程，关键操作应经授权，并有农商行内部职员在场。不得拷贝或带走任何配置参数信息或业务 数据，不得对

9、外泄露或引用任何工作信息。5 / 31第四节业务系统操作人员第二十三条本方法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。第二十四条业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。定期修改操作密码并妥 善保管，按需、适时进行必要的数据备份。（二）发觉业务系统出现异常及时报告科技信息部。（三）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则，严格进行操作角色划分和授权治理。技术支持人员不 得兼任业务系统操作人员。第五节一般计算机用户第二十六条 本方法所称

10、一般计算机用户是指使用计算机设备的所有人员。第二十七条一般计算机用户应承担如下安全义务：（一）及时更新所用计算机的病毒防治软件和安装补丁程序， 自觉同意本部门信息安全员的指导与治理。（二）不得安装与办公和业务处理无关的其他计算机软件和 硬件，不得修改系统和网络配置参数。（三）未经科技信息部检测和授权，不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网； 不得将便携式 计算机接入湖南省农村信用社内部网络； 不得随意将个人计算机 带入机房或私自拷贝任何信息。6 / 31第六节信息系统要害岗位人员第二十八条本方法所称信息系统要害岗位人员， 是指与重 要信息系统直接相关的系统治理员、 网络

11、治理员、系统开发人员、 系统维护员等内部技术支持人员和重要业务操作等岗位人员。第二十九条本方法所称重要信息系统是指湖南省农村信用 社面向客户的业务处理类、 渠道类和涉及客户风险治理等业务的 治理类信息系统，以及支撑系统运行的机房和网络等基础设施。第三十条 要害岗位人员上岗前必须经农商行人事部门进行 政治素养审查，技术部门进行业务技能考核，合格者方可上岗。第三十一条 要害岗位人员上岗必须实行“权限分散、不得 交叉覆盖”的原则，按照“必需明白”和“最小授权”原则，严 格设定各用户的操作权限。第三十二条对要害岗位人员应实行年度强制休假方法和定 期考查方法，并进行必要的安全教育和培训。第三十三条要害岗

12、位人员调离岗位，必须严格办理调离手 续，承诺其调离后的保密义务。 涉及信用社业务保密信息的要害 岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方 可调离。第三十四条 要害岗位人员离岗后，必须即刻更换操作密码 或注销用户。第三十五条 系统治理员安全责任（一）负责系统的运行治理，实施系统安全运行细则；（二）严格用户权限治理，维护系统安全正常运行；（三） 认真记录系统安全事项， 及时向计算机安全人员报告 安全事件；（四）对进行系统操作的其他人员予以安全监督。7 / 31第三十六条 系统开发员安全责任（一）系统开发建设中，应严格执行系统安全策略，保证系 统安全功能的准确实现；（二） 系统投产运

13、行前， 应完整移交系统源代码和相关涉密 资料；（三）不得对系统设置后门；（四）对系统核心技术保密。第三十七条 系统维护员安全责任（一）负责系统维护，及时解除系统故障，确保系统正常运 行；（二）不得擅自改变系统参数配置；（三）不得安装与系统无关的其他计算机程序；（四）维护过程中， 发觉安全漏洞应及时报告计算机安全人员。第三十八条 各要害岗位人员必须严格遵守保密法规和有关 信息安全治理规定。第四章机房环境和设备资产治理第一节机房环境安全治理第三十九条本方法所称机房是指信息系统等要紧设备放 置、 运行场因此及供配电、通信、空调、消防、监控等配套环境 设施。第四十条 农商行机房的规划、建设、改造、运行、维护由 科技信息部负责。第四一条 农商行机房应符合国家计算机机房有关标准、 监管部门有关要求和省联社有关规定，满足下列差不多安全要 求：（一）机房周围100米内不得存在危险建筑物，如加油站、煤气站等。8 / 31