村镇银行信息安全管理办法

村镇银行信息安全管理办法（暂行）第一章总则第一条为保障村镇银行（以下简称“本行”）信息安全工作有序开展，有效保护信息资产安全，根据国家法律法规、监管部门有关要求，结合本行实际，制定本办法。第二条本办法所称信息安全管理是指通过实施策略、规范、流程和技术等控制措施，保护本行信息的机密性、完整性和可用性。第三条本行各级人员以及其它相关人员应遵守本办法。第四条本行实行信息安全“一把手”责任制，董事长为本机构信息安全工作的第一负责人，确保信息安全管理工作持续有序开展。第二章信息安全职责第五条本行董事会对信息安全工作承担最终责任，负|责推动信息安全长效机制建设。第六条本行高级管理层对信息安全工作承担组织管理责任，负责协调各项资源，确保辖内信息安全管理工作有序开展。第七条本行应组织配备足够的资源，确保辖内信息安全管理工作有序开展。第八条本行应设立专职或兼职的信息安全员，并报备村镇银行管理部。信息安全员负责开展辖内信息安全日常管理工作，主要职责包括但不限于：

1（一）贯彻落实村镇银行制定的信息安全相关管理制度和安全策略，拟定信息安全管理制度、流程、标准和规范，并对落实执行情况进行监督和指导。（二）监测并掌握辖内信息安全状况，定期总结汇报，及时报告信息安全|事件，并在风险可控情况下及时组织处置。（三）负责辖内信息安全管理日常工作，落实安全管理要求及技术措施。（四）组织开展辖内用户管理、病毒防治、终端设备安全管理等工作的检查，分析辖内信息安全状况，提出安全分析报告和安全防范建议。（五）配合相关部门和单位进行信息安全工作的审计和检查。第九条本行人力资源管理团队的信息安全职责包括但不限于：（一）建立员工入职、离职审核机制，规范工作流程。（二）关键岗位人员，应在入职前组织验证个人信息。（三）组织做好人员离职管理，督促离职人员所在机构做好工作交接、资源回收、访问权限调整等工作。第十条|本行信息系统需求提出方的信息安全职责主要包括：（一）提出具体的信息系统的安全保护需求。（二）做好归属本机构的信息系统的访问权限等使用管理。（三）对归属本机构的信息系统的各类违反安全策略的行为进行分析，评估影响范围，采取适当的措施，并及时报告。（四）持续改进归属本机构的信息系统的安全管理相关工作。第十一条本行信息系统使用方的信息安全职责主要包括：（一）做好本机构员工安全意识教育，防止对信息系统的不当使用。

2（二）根据机构人员调整情况组织对信息系统权限的调整，对离职人员信息系统访问情况进行核查。第十二条本行应定期组织信息安|全培训和安全意识宣贯，普及信息安全知识，提高员工信息安全专业技能。第十三条本行全体员工应自觉执行信息安全管理规章制度，遵守安全管理要求，对所发现的信息安全事件负有报告义务。第三章人员安全管理第十四条员工上岗前应进行任职资格审查和培训，确保其具备相应的职业操守，并签订相关安全保密协议。第十五条关键岗位员工上岗前，应组织进行必要的业务技能考核，确保具有基本的上岗资格和技能。第十六条关键岗位设置应遵照“职责分离、不得交叉覆盖”的原则，关键岗位员工应实行定期考查制度，并按总行有关规定执行强制休假。第十七条员工在岗期间，应遵守信息|安全管理有关规章制度，严格执行员工信息安全基本行为准则（见附件1：员工信息安全管理规定），主动参与信息安全保障工作，提高安全意识和水平。第十八条员工应定期参加安全知识和专业技能培训，接受安全保密等教育。第十九条员工离岗时应收回其持有的相应岗位的信息资产和访问权限，离职时收回其持有的全部信息资产和访问权限，确保离岗、离职员工不发生越权或非授权的访问。

3第四章机房安全管理第二十条机房应符合国家或行业标准要求，确保地理位置、用电、消防、网络等安全可靠，并通过有权机关的安全验收。第二十一条总行应制定机房日常管理维护手册，并负责|辖内UPS、发电机等基础设施的维护，每季度开展演练工作。第二十二条应建立严格的机房安全管理制度，规范机房管理工作流程，并定期检查执行情况。第二十三条应采取必要的控制措施，对人员和设备等进出机房进行管理和控制，包括但不限于：人员和设备的出入管理、门禁管理、视频监控管理等。第二十四条放置在机房内的计算机设备和介质，应根据其对场地环境的要求、安全等级、易管理性及物理空间分布等情况进行合理置，并确保处在适当安全保护措施之下。第五章客户端安全第二十五条建立终端设备管理体系，必须安装指定的安全管理软件，包括但不限于桌面管理软件、防病|毒软件等。严禁关闭或私自卸载安全管理软件。第二十六条确保办公PC病毒码实时更新，服务器、业务PC、自助机具等生产设备定期更新。第二十七条掌握辖内计算机病毒防治整体状况，发现计算机受到病毒入侵，或发现计算机病毒无法有效清除时，应采取网络隔离措施，并及时上报村镇银行管理分部。

4第二十八条严格执行生产、办公网隔离，内外网隔离制度。终端设备专机专用，办公网用机原则不与互联网用机混用，如确有需要，需经村镇银行管理分部同意，且办公网与互联网连接时应实施足够的安全隔离保护措施。第二十九条禁止生产服务器和业务终端非法外联；生产、办公网|禁止使用HUB设备；禁止所有未授权的无线网络接入点（AP）联入行内网络。第三十条如遇设备故障，应及时报告和处置，并做好报修记录。对于需外修或待报废的设备，应及时删除所存储的敏感数据，防止敏感信息泄密。第六章数据安全管理第三十一条数据管理遵循“谁使用谁负责、谁使用谁销毁”的安全原则。数据持有者和使用者必须在权限范围内合法使用数据，不得泄漏或非授权使用。第三十二条应采取有效措施，规范数据相关操作，确保生产数据在录入、使用、修改、传输和输出过程中的安全。第三十三条信息系统所用计算机设备的维修或更换应以保证数据信息的完整性和安全|性为前提。存储重要或高等级涉密信息的计算机设备或配件，原则上不得外送或更换，应由使用部门登记封存。涉密计算机设备需要送修或销毁的，应送交市国家保密局指定技术服务中心处理。第三十四条

5建立计算机设备的销毁和报废管理流程。设备在销毁和报废前应经过严格的审核和审批，并采