村镇银行信息科技管理制度模版

1、xxx村镇银行信息科技管理制度第一章总则第一条为加强抄送村镇银行信息科技管理，防范信息技术风险，保证网络和信息系统的安全稳定运行，根据商业银行信息科技风险管理指引，金融机构计算机信息系统安全保护工作暂行规定制定本办法。第二条本管理办法所称科技信息管理，是指在信息化项目建立、建设、运行、维护和撤销等过程中保障信息及相关系统、环境、网络和操作安全的一系列管理活动。第三条信息科技管理目标是健全信息科技管理组织结构和技术结构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略和业务发展目标的匹配，增强核心竞争力和可持续发展能力。第四条信息科技工作实施统一指导和等级管理，由分管领导

2、负责。 按照“谁负责，谁运营，谁负责”的原则，逐步执行公司和个人信息安全责任。第五条本办法适用于总行及各分行。第二章组织和责任第六条我行创办苏州银行信息科技体系，依托苏州银行信息科技部进行信息科技管理，信息科技管理工作遵循苏州银行的“条线化管理”模式。第七条村镇银行总银行应当设立以银行行长为组长，分管银行长为副组长，各部负责人为小组员的信息科技指导小组，履行下列管理职责(一)遵守国家有关信息科技管理的法律、法规和技术标准，贯彻执行中国银行业监督管理委员会(以下简称银监会)的有关监督管理要求(二)审批本公司的信息科技工作，定期听取和评价高级管理人员的信息科技工作报告(三)审核批准信息科技战略，确

3、保本公司的总体业务战略与重大战略一致。 评价信息技术及其风险管理工作的总体效果和效率(四)掌握主要信息科技风险，确定可接受的风险水平，确保相关风险得到识别、纠正、监测和控制；(5)规范职业道德行为和廉洁标准，加强内部文化建设，提高全体人员对信息科技风险管理重要性的认识(六)履行信息科技管理的其他相关工作。第八条信息科技指导小组设办公室，办公室设综合管理部，具体贯彻各信息科技管理工作、信息科技工作的指导和应急事务的处理。 办公室主任由综合管理部总经理兼任。(一)召集和主持信息科技管理、风险防范和审计会议(二)督促和检查信息科技领导小组制定的信息科技工作决议的执行情况(三)执行其他负责的信息技术工

4、作。第九条在综合管理部设科技定位，具体落实和指导分行信息科技工作，协助分行解决操作系科技问题，有关职责如下：(一)制定本部门职责范围内全行科技工作的中长期规划目标和年度规划，制定、解释相关政策、规章制度和操作流程，组织监督管理，检查全行制度的执行情况；(二)负责全行信息技术安全管理，建立健全行信息技术运行和管理的风险内部控制制度，组织实施。(三)负责信息技术应用的管理标准、技术数据标准、信息管理规范等的执行；(4)负责修订机设备的出入库及废弃等管理。 负责计算机消耗品的采购、出入库及订正。(五)协助有关部门管理计算机硬件、软件、系统、网络服务供应商、集成商。(6)负责全行校正机系统的安全管理、

5、防病毒工作和互联网管理工作。(7)负责分行网站的修订机设备管理、系统维护。(8)负责全行信息系统的数据分析、统一纠正工作，提供行内各部门相关共享信息。(九)负责信息技术工作的指导、检查、监督，组织业务交流和人员培训。(十)完成其他各项工作。第十条在营业部、分行设有兼职科技岗，协助综合管理部信息科技工作，负责分行内操作类科技问题的处理及系统事件的报告。第三章运输维度管理第一节设备管理第十一条信息科学技术设备是指我在信息系统(生产环境、灾害恢复环境、开发测试环境和办公环境等)中使用的各种电子订正机设备，不包括各种桌面办公用电子设备，如传真机、打印机、碎纸机、电话等设备。第十二条设备根据实物形态分为

6、下列类型1 .服务器设备(大型计算机、小型计算机、pc服务器、加密机)2 .外部存储设备(磁带机、磁盘阵列、磁带库、存储交换设备)3 .台式计算机设备(台式计算机、便携式计算机、终端或显示器、台式计算机配件)4 .机械室设施设备(不间断电源装置(ups )、机械室精密空调、机柜、kvm设备)5 .网络设备(路由器、交换机、调制解调器设备、无线网络设备、网络安全设备)6 .大屏幕显示设备。第十三条信息科技设备采购预算应当坚持以利润为中心，存库与控制增量相结合，优化结构与提高利润相结合，现实性与前瞻性相结合的原则。第十四条综合管理部应当根据业务发展要求和科技应用的实际情况，提出设备采购方式，协调制

7、定采购方案。 采购管理请参照cc村镇银行采购管理实施办法。第十五条设备到货后，综合管理部与设备使用部门、代理店、生产厂家等有关人员按照合同或协议的有关条款，检查采购设备的数量、型号、质量等，必要时进行测试和综合评价，防止产生质量或安全问题。第十六条设备经采购检验后，应当保管在信息科技设备仓库。 设备仓库环境应保持清洁，满足设备保管要求。第十七条信息科技设备入库时核对信息处理设备入库清单，明确入库日期、设备名称、数量、金额等要素，由设备管理人员签字确认，确保准确一致。第十八条总银行信息科技设备管理人员负责设备信息的管理，负责设备各种信息的维护更新，包括设备的采购、出入库、维护等记录。第十九条设备

8、使用部门领取信息科技设备和用品，应当仔细填写领取单，详细记载领取机关、物品名称、型号、数量、领取日期等要素，经分行(部门)负责人批准，由领取人同时签字确认。第二十条原则上不能出借设备。 如果确有特殊情况，非经信息科学技术分管领导签字同意，不能借出设备。 出借设备，必须仔细填写借用清单，注明名称、型号、规格、数量及归还日期。 借用者必须按时归还，过期不归还者必须说明情况，在借用清单上注明设备的持续借用延长期。第二十一条总银行和分行科技信息岗应当保证信息科技设备的正常运行，及时发现设备故障和危险性，如有不能排除的故障，应当立即报告总银行科技信息岗，将总银行科技信息岗不能解决的故障报告苏州银行科技信

9、息部，或者联系维修商，执行维修，排除故障第二十二条支撑业务运行的信息科技设备应当购买维保，响应时间满足业务要求。第二十三条各类信息科技设备的维护和维修，一般由厂家或专业服务商提供服务，服务商的选购按cc村镇银行采购管理实施办法执行。 当保修期内的信息处理设备发生故障时，严格按照有关信息处理设备购买合同的保修服务条款实施。第二十四条无法排除设备故障，需要修理设备的，具体操作步骤和要求如下(1)各部门向综合管理部报告修理申请，由综合管理部向苏州银行运输中心提交修理申请，根据苏州银行运输中心的审定结果组织修理工作，修理完成后由设备使用部门检查使用。(二)外来服务人员在现场服务时，服务全过程中必须存在

10、本行的科技信息定位(包括分行兼职的科技定位)，保证信息处理设备和信息的安全。(3)磁盘和磁带的修理直接进行消磁处理的设备在公司人员修理时，必须事先整理配置信息(四)在信息科技设备发送修理前，先备份存储介质内的应用软件、业务数据等金融业务相关信息，然后进行不可恢复的删除。第二十五条综合管理部应总银行固定资产管理部门的要求，定期或不定期进行信息科技设备组织盘存，年末进行全面盘存和现场盘存。第二十六条设备盘点和清点由设备管理人员实施。 调查作业的主要内容是检查设备信息和实际使用状况是否一致，同时检查设备的使用和维护状况，调查设备是否被长期放置，使用错误等情况。第二十七条设备盘点作业完成后，对闲置、待

11、报废等设备提出处理意见，并转入相应的程序处理。第二十八条设备备件和备件的管理与设备管理同等。第二十九条放置在仓库的制造商备件，由制造商定期清点备件和验证备件的可用性。 备件退货应服从设备的出入程序和制度。第三十条厂家备件和备件管理不符合合同规定和要求的，应当出现在供应商评价结果中。 同时，根据本行供应商管理的规定和合同要求，对供应商给予一定的处罚。第三十一条设备下线是指因业务需要，需要更换或暂时不使用设备，原设备暂时进入仓库等待使用。 这项工作由需求提交部门主导提交，设备管理相关负责人协助完成。第三十二条信息科技设备使用失效，有下列情形之一的，由综合管理部主导评价后，进行设备报废处理，各业务部

12、门协同完成(一)设备不能正常使用，恢复原来的功能，实现目标功能所需的投资占其复位价值的1/3以上；(二)长期搁置、未被可预见的未来重新利用、没有转让价值的；(3)由于技术进步等原因不能使用。(四)国家规定必须废弃的以及各单位认定为其他可废弃的等。第三十三条有关紧密报废设备，按照有关保密要求妥善处理。第二节事件管理第三十四条信息安全事件管理应建立cc村镇银行的信息安全事件报告、响应、评估和惩戒机制，明确信息安全事件的责任部门和管理流程，确保信息安全事件发生后的迅速反应，将信息安全事件造成的损害降到最低，积极跟踪和借鉴教训第三十五条案件的发现和报告(一)工作人员发现案件后，应判断自己能否解决。 如

13、果能自己解决，就自己解决。(二)对于无法自行解决的案件，发现者应尽量保护现场，维持现状，分行科技信息岗尽快将案件报告总银行科技信息岗(营业部及总银行部室发生无法自行解决的案件时，报告总银行科技信息岗)。(3)发现者应尽量明确记述事件，报告内容应包括但不限于事件的性质、影响范围和重要性。(四)企图或实施阻止、干扰、报复案件报告人的行为视为违反行为，按照有关制度处理。第三十六条案件的受理和解决(1)接到案件报告后，总银行科技信息岗判断能否根据信息安全事件的表现和影响解决，总银行科技信息岗不能解决的，应当立即向综合管理部总经理、苏州银行事件经理和信息安全管理者代表报告。 人为、自然原因造成信息系统瘫

14、痪，利用计算机实施犯罪等影响和损失较大的重大信息安全事件发生时，应当迅速报告信息科技指导组和苏州银行计算机安全主管部门。(二)信息科技指导小组要判断信息安全事件是否违法，违法应当立即向行长室报告，通知风险遵从部。(三)对于违法事件，各部门应当积极配合法律部门采取必要的取证措施，收集和保存有效的证据。 证据包括但不限于各种系统日志、监视设备日志、相关信息处理系统、监视录像等。(四)各部门不得因任何原因或借口推迟重大事件的报告或者压级报告，不得隐瞒不报告。 因报告来不及或误报而产生的一切后果应由案件报告部门承担。第37条案件的反馈和关闭(1)案件报告部门在确认案件处理结论后，应当立即关闭案件。(二

15、)对于重大信息安全事件，事件报告部门和综合管理部、受影响部门应与苏州银行事件经理和信息安全管理小组协作，全面评估分析事件类型、重大性、发生原因、性质、发生的损失，进行责任认定，提供处罚建议，并提出防止此类事件再次发生的措施或建议； 形成信息安全事件的有关责任部门采取纠正措施，立即向信息科技指导组、苏州银行信息安全管理组报告整改情况。(三)各部门应及时将案件调查结果、处罚结果和处理方法整理成案件处理记录，并及时存档其他有关资料。(四)对于信息安全事件造假漏报者，按事件严重程度处理责任人。 对违法者委托司法机关处理。第三十八条事件的回顾与分析。 必须定期确认信息安全事件。 对于重大的信息安全事件和

16、代表性的信息安全事件，事后各部门必须尽快组织相关人员进行分析，吸取教训，预防此类事件的再次发生。第三节安全管理第三十九条网络和通信安全(1)综合管理部负责全行网络系统的体系结构设置纠正和优化、路由设置纠正和优化、网络安全体系结构设置纠正和优化、网络带宽纠正计划等，负责对引进的新产品和新技术进行全行技术培训。 科技情报岗通过相应的硬件和软件技术手段，保证业务系统、办公系统和互联网等网络服务的安全利用。(2)网络建设的安全如下：1 )网络修订计划配备了必要的安全设备和网络管理系统，需要全面完善的安全战略。2 )被选入网络建设的技术和设备必须兼具技术先进性、产品成熟性、性能稳定性和应用安全性。3 )

17、根据安全需求分割网络区域，导入防火墙等网络安全设备，进行必要的安全控制。4 )网络的主准备通信线路应选择不同的通信运营商。 严格管理通信线路租赁合同，按业务流量要求保证传输带宽。(3)接入互联网管理。 内部业务网和办公网和国际互联网实施安全隔离。 所有存取(包括曾经存取过的)内部网路或储存机密工作资讯的电脑，无法直接或间接存取国际网际网路。 从互联网下载的信息没有病毒检测在内部网络中不可用。(四)我依托苏州银行运维中心进行网络运行情况监测和网络安全防护。 综合管理部信息科技岗日常监测、检查网络安全运行情况，编制网络运行维护文件，及时发现和解决网络异常情况。 按照苏州银行制定的网络系统应急方案和培训订划，组织应急培训，编制应急培训报告。第40条客户安全(1)本规定中的客户端是指我在计算机用户、网络和信息系统中使用的终端设备，包括网络桌面终端、柜面终端、单体运行(虚拟)终端、远程访问终端、便携式计算机设备等。(2)客户不得安装正版软件使用，不得安装盗版软件后使用，不得安装与工作无关的软件后使用。的。(