- 目錄
-
第1篇 信息科技部-安全管理中心-安全架構(gòu)崗工作職責(zé)與職位要求
職位描述:
職位描述:
1.負(fù)責(zé)對(duì)基礎(chǔ)架構(gòu)、重要業(yè)務(wù)進(jìn)行安全評(píng)估,提供可落地的解決方案;
2.負(fù)責(zé)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用的檢測(cè)與防護(hù)的安全研究工作;
3.指導(dǎo)并參與各類安全系統(tǒng)的研發(fā)工作,對(duì)現(xiàn)有安全系統(tǒng)進(jìn)行優(yōu)化和改進(jìn);
4.負(fù)責(zé)對(duì)重點(diǎn)項(xiàng)目進(jìn)行安全評(píng)審,識(shí)別架構(gòu)中的安全風(fēng)險(xiǎn),提出改進(jìn)建議;
5.負(fù)責(zé)對(duì)各類疑難安全問題、安全事件的分析及應(yīng)急響應(yīng)。
6.負(fù)責(zé)信息安全體系與架構(gòu)落地推進(jìn)。
職位要求:
1.計(jì)算機(jī)相關(guān)專業(yè)本科以上學(xué)歷,五年以上安全工作經(jīng)驗(yàn);
2.具備扎實(shí)的安全理論基礎(chǔ),精通主流安全漏洞原理,熟悉業(yè)界安全攻防動(dòng)態(tài);
3.熟悉主流的安全技術(shù)與產(chǎn)品,如:ids、siem、waf、日志分析、db審計(jì)等;
4.具備互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗(yàn);
5.至少熟悉一種編程語言(如:java、python、php等),有一定的開發(fā)能力;
6.具備優(yōu)秀的邏輯思維能力,善于解決問題和分析問題。
第2篇 信息在安全管理中的作用
對(duì)于安全信息在安全管理中的作用,可從各個(gè)不同角度加以概括。以下僅從一般原理的角度將安全信息的作用歸納為4個(gè)方面。
1.從安全管理系統(tǒng)的角度看,安全信息是安全管理系統(tǒng)的基本構(gòu)成要素和有機(jī)聯(lián)系的介質(zhì)
我們?cè)谇懊嬉呀?jīng)講過,任何一項(xiàng)安全管理活動(dòng),都是由安全管理主體、安全管理客體、安全管理目的、安全管理職能、安全管理環(huán)境5個(gè)要素構(gòu)成。而從系統(tǒng)的角度看,安全管理活動(dòng)其實(shí)就是安全管理系統(tǒng)的運(yùn)動(dòng)狀態(tài)。如果進(jìn)一步分析,安全管理主體、客體、目的、職能、環(huán)境又是由什么構(gòu)成的呢從其具體形態(tài)來看,無非是人、財(cái)、物、信息4大要素,其原因如下。
①安全管理主體是由人構(gòu)成,而人之所以成為安全管理主體,主要是因?yàn)樗钟心撤N安全管理權(quán)力,懷有某種安全管理目的并形成了某種安全管理行為或職能。人的安全管理目的、行為或職能并不表現(xiàn)為某種物質(zhì)形態(tài),只能表現(xiàn)為信息形態(tài)。同時(shí),安全管理主體以某種安全管理目的和安全管理行為對(duì)安全管理客體施加影響和進(jìn)行控制、也主要是以安全信息為媒介。
②安全管理客體一般由人、財(cái)、物構(gòu)成,但是它們之所以成為安全管理客體,主要是因?yàn)榕c安全管理主體發(fā)生了管理與被管理的關(guān)系。這種關(guān)系實(shí)際上是一種以安全信息為介質(zhì),表現(xiàn)為安全信息的輸出、輸入和反饋的關(guān)系。此外,就安全管理客體本身來說,它作為一個(gè)整體,人、財(cái)、物之間的有機(jī)聯(lián)系也離不開以安全信息為介質(zhì)。
③安全管理環(huán)境,實(shí)際上是指安全管理系統(tǒng)以外的系統(tǒng)。之所以把它作為安全管理的要素,主要是因?yàn)樗厝灰獙?duì)安全管理系統(tǒng)產(chǎn)生影響,而這種影響主要是表現(xiàn)為各種安全信息的交換關(guān)系。
綜上所述不難理解,安全信息是安全管理的基本要素,又是系統(tǒng)中各要素有機(jī)結(jié)合、相互作用的介質(zhì)。離開了安全信息,既不能有安全管理系統(tǒng)的存在,也不能有安全管理活動(dòng)的存在。
2.從安全管理過程的角度看,整個(gè)安全管理過程實(shí)際上就是安全信息的輸入、輸出和反饋的過程,所有安全管理工作也就是以安全信息處理為中心的工作
安全管理的過程是安全管理主體對(duì)安全管理客體施加影響和進(jìn)行控制的過程,也是安全管理的各項(xiàng)職能發(fā)揮的過程。這個(gè)過程實(shí)際上是一個(gè)以安全信息為媒介,表現(xiàn)為安全信息的不斷輸入、輸出和反饋的過程。安全管理中所做的工作,實(shí)際上也是以安全信息處理為中心的工作。
如果我們把整個(gè)安全管理過程和安全管理工作簡(jiǎn)化為計(jì)劃、實(shí)施和控制3個(gè)環(huán)節(jié),那么安全信息在這3個(gè)環(huán)節(jié)的輸入、輸出和反饋的過程如圖6—1所示。
第3篇 安全生產(chǎn)信息管理規(guī)定
第一章 總則
第一條 安全生產(chǎn)信息是總結(jié)事故教訓(xùn)、研究事故規(guī)律、有針對(duì)性地制訂反事故措施的重要依據(jù),是落實(shí)“四不放過”的重要環(huán)節(jié)。安全生產(chǎn)信息的及時(shí)、準(zhǔn)確、完整報(bào)送是確保事故處理及時(shí)、穩(wěn)妥的關(guān)鍵,是及時(shí)、全面、準(zhǔn)確地掌握安全生產(chǎn)工作的開展情況,把握安全生產(chǎn)動(dòng)態(tài),為領(lǐng)導(dǎo)和上級(jí)決策部署提供有價(jià)值的信息資源的有效途徑。
第二條 為保證安全生產(chǎn)信息匯報(bào)及時(shí)、準(zhǔn)確、完整,充分發(fā)揮安全信息在安全生產(chǎn)工作中的作用,確保公司安全生產(chǎn)信息暢通,各類安全生產(chǎn)信息及時(shí)準(zhǔn)確上報(bào),依據(jù)南方電網(wǎng)《電力生產(chǎn)事故調(diào)查規(guī)程》和《電力公司安全生產(chǎn)信息管理規(guī)定》,結(jié)合公司實(shí)際,特制定本規(guī)定。
第三條 本規(guī)定明確了安全生產(chǎn)信息職責(zé)、分類、匯報(bào)流程,報(bào)送規(guī)定。
第四條 本規(guī)定適用于公司各發(fā)電廠。
第二章 職責(zé)
第五條 公司總經(jīng)理是安全生產(chǎn)信息管理工作的第一責(zé)任人,分管安全生產(chǎn)副總經(jīng)理對(duì)具體安全生產(chǎn)信息管理工作負(fù)直接領(lǐng)導(dǎo)責(zé)任。
第六條 質(zhì)安部是安全生產(chǎn)信息的歸口管理部門,負(fù)責(zé)組織填寫人身事故統(tǒng)計(jì)報(bào)表,負(fù)責(zé)審核設(shè)備、電網(wǎng)事故(障礙)報(bào)表,負(fù)責(zé)匯總、核實(shí)各類安全生產(chǎn)信息及發(fā)布,并電力調(diào)度控制中心上報(bào)。
第七條 生技部是安全生產(chǎn)信息的專業(yè)管理部門,負(fù)責(zé)提供安全生產(chǎn)信息管理工作中所需的技術(shù)數(shù)據(jù),組織填寫有關(guān)電網(wǎng)、設(shè)備事故(障礙)統(tǒng)計(jì)報(bào)表,負(fù)責(zé)擬寫電網(wǎng)、設(shè)備事故(障礙)技術(shù)調(diào)查分析資料。
第八條 各車間按照本規(guī)定要求及時(shí)、準(zhǔn)確、完整地匯報(bào)安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件,并負(fù)責(zé)填報(bào)本級(jí)的安全生產(chǎn)信息報(bào)表。
第三章 安全生產(chǎn)信息分類
第九條 安全生產(chǎn)信息是指公司發(fā)生的《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故(障礙)情況的信息、生產(chǎn)設(shè)備基礎(chǔ)數(shù)據(jù)、生產(chǎn)設(shè)備運(yùn)行信息、安全生產(chǎn)統(tǒng)計(jì)、分析及總結(jié)等綜合性的信息組成。
第十條 安全生產(chǎn)信息包括
(一)安全生產(chǎn)緊急信息
(二)事故(障礙)報(bào)表(匯報(bào))
(三)事故快報(bào)
(四)安全信息快報(bào)
(五)安全簡(jiǎn)報(bào)
(六)基礎(chǔ)數(shù)據(jù)信息
(七)安全生產(chǎn)季度分析
第十一條 安全生產(chǎn)緊急信息是指發(fā)生《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故及障礙(包括各類人身傷害事故),已經(jīng)嚴(yán)重威脅電網(wǎng)安全穩(wěn)定運(yùn)行和人身安全的有關(guān)信息。
第十二條 事故(障礙)報(bào)表(匯報(bào))是指發(fā)生《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故及障礙后,按照電力公司《填報(bào)手冊(cè)》要求填寫的相關(guān)報(bào)表資料。
第十三條 事故快報(bào)是指發(fā)生惡性誤操作事故、人身重傷及以上的傷亡事故(包括外包工程)以及地方電力調(diào)度控制中心確定性質(zhì)嚴(yán)重的生產(chǎn)設(shè)備及人身事故時(shí),以書面形式向地方電力調(diào)度控制中心上報(bào)的事故經(jīng)過、傷亡人數(shù)、直接經(jīng)濟(jì)損失、事故原因及事故處理意見,事故現(xiàn)場(chǎng)的照片或錄象資料等信息。
第十四條 安全信息快報(bào)是指定期向地方電力調(diào)度控制中心匯報(bào)本單位達(dá)到地方電力調(diào)度控制中心安全生產(chǎn)長(zhǎng)周期記錄、國(guó)家電網(wǎng)公司安全百日記錄、生產(chǎn)設(shè)備運(yùn)行情況等綜合安全信息。包括季報(bào)、月報(bào)、周報(bào)三個(gè)方面內(nèi)容。
第十五條 安全簡(jiǎn)報(bào)是指公司編寫的分析總結(jié)本單位月度安全情況,提出防范措施的月度綜合信息。
第十六條 基礎(chǔ)數(shù)據(jù)信息是指公司變壓器臺(tái)數(shù)、容量、線路公里數(shù)、職工人數(shù)、安全記錄等基礎(chǔ)數(shù)據(jù)。
第十七條 安全生產(chǎn)季度分析是指反映公司季度安全生產(chǎn)情況,全面總結(jié)季度安全生產(chǎn)管理工作成績(jī),分析存在的問題并提出下季度工作重點(diǎn)的綜合安全信息。
第四章 安全生產(chǎn)信息報(bào)送規(guī)定
第十八條 安全生產(chǎn)信息匯報(bào)流程
(一)當(dāng)發(fā)生以下安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件時(shí),所在部門的當(dāng)值人員或現(xiàn)場(chǎng)負(fù)責(zé)人應(yīng)立即匯報(bào)公司生產(chǎn)領(lǐng)導(dǎo),同時(shí)匯報(bào)給電廠負(fù)責(zé)人。
1、人身傷亡事故
2、設(shè)備事故
3、生產(chǎn)場(chǎng)所火災(zāi)事故
4、設(shè)備故障(開關(guān)跳閘、母線失壓、繼電保護(hù)裝置動(dòng)作等)
5、其他事故(障礙)、不安全情況、生產(chǎn)突發(fā)事件
(二)公司生產(chǎn)領(lǐng)導(dǎo)接到事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件的匯報(bào)后,應(yīng)準(zhǔn)確、完整的作好記錄,并立即(10分鐘以內(nèi))以電話和短信方式向公司分管安全生產(chǎn)的副總經(jīng)理、質(zhì)安部、生技部負(fù)責(zé)人及相關(guān)專責(zé)匯報(bào)。發(fā)生重傷及以上人身事故,電網(wǎng)、設(shè)備事故應(yīng)立即匯報(bào)公司總經(jīng)理。
(三)車間負(fù)責(zé)人接到事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件的匯報(bào)后,應(yīng)立即(10分鐘以內(nèi))以電話或短信方式向分管公司領(lǐng)導(dǎo)、質(zhì)安部及生技部負(fù)責(zé)人匯報(bào),發(fā)生重傷及以上人身事故,一般電網(wǎng)、一般設(shè)備及以上事故應(yīng)立即匯報(bào)公司總經(jīng)理。
(四)公司分管安全生產(chǎn)領(lǐng)導(dǎo)接到事故匯報(bào)時(shí)應(yīng)及時(shí)向總經(jīng)理匯報(bào)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件。
(五)公司生產(chǎn)技術(shù)部、質(zhì)安部接到人身輕傷以及上事故、一類設(shè)備(電網(wǎng))障礙及以上事故(障礙)及以上應(yīng)及時(shí)向地方電力調(diào)度控制中心相關(guān)職能部門匯報(bào)。
(六)公司分管安全生產(chǎn)領(lǐng)導(dǎo)和總經(jīng)理接到人身重傷及以上人身事故、一般設(shè)備事故、一般電網(wǎng)事故和生產(chǎn)突發(fā)事件匯報(bào)后還應(yīng)及時(shí)分別向地方電力調(diào)度控制中心匯報(bào)。
(七)發(fā)生人身重傷以及上人身傷亡事故,公司還應(yīng)及時(shí)向事故發(fā)生所在地方安監(jiān)部門匯報(bào)。
第十九條 發(fā)生安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件時(shí)即時(shí)匯報(bào)基本內(nèi)容
(一)人身傷亡事故即時(shí)匯報(bào)基本內(nèi)容包括:
1.事故時(shí)間、地點(diǎn)和單位;
2.事故傷亡人數(shù)、簡(jiǎn)要經(jīng)過、初步原因分析;
3.事故應(yīng)急處置情況,包括傷員搶救、家屬安撫、生產(chǎn)恢復(fù)、信息發(fā)布、媒體反映等情況。
(二)電網(wǎng)、設(shè)備事故或突發(fā)事件即時(shí)匯報(bào)基本內(nèi)容包括:
1.事故或事件時(shí)間、地點(diǎn)和單位;
2.事故或事件簡(jiǎn)要經(jīng)過、停電影響范圍、設(shè)備損壞情況、初步原因分析、應(yīng)急處置情況等;
3.事故或事件有關(guān)的電網(wǎng)接線方式、設(shè)備主要參數(shù)、事故前運(yùn)行方式、事故中繼電保護(hù)動(dòng)作情況等;
4.必要的事故現(xiàn)場(chǎng)數(shù)碼照片等影像資料。
(三)輸變電設(shè)備故障即時(shí)匯報(bào)基本內(nèi)容包括:
1.發(fā)生的時(shí)間、地點(diǎn);
2.開關(guān)跳閘情況、設(shè)備損壞情況、保護(hù)及安全自動(dòng)裝置動(dòng)作情況、故障線路相別及故障測(cè)距、一二次設(shè)備檢查情況。
第二十條 安全生產(chǎn)緊急信息報(bào)送規(guī)定:
(一)當(dāng)公司發(fā)生以下事故情況下,事故所在部門除按規(guī)定立即報(bào)送外,應(yīng)在規(guī)定時(shí)間內(nèi)上報(bào)書面資料。
1.當(dāng)發(fā)生重大及以上電網(wǎng)事故時(shí),事故發(fā)生所屬車間應(yīng)在事故發(fā)生后1小時(shí)內(nèi),將電網(wǎng)事故發(fā)生的基本情況、損失負(fù)荷和電量情況書面上報(bào)公司質(zhì)安部。
2.當(dāng)發(fā)生較大及以上人身事故(含外包工程)時(shí),事故所在部門應(yīng)在事故發(fā)生后2小時(shí)內(nèi),將事故發(fā)生的地點(diǎn)、時(shí)間、傷亡人數(shù)等基本情況書面上報(bào)公司質(zhì)安部。
3.發(fā)生特大設(shè)備事故時(shí),事故所在部門應(yīng)在事故發(fā)生后2小時(shí)內(nèi),將事故發(fā)生的地點(diǎn)、時(shí)間、設(shè)備損壞情況等基本情況書面上報(bào)公司質(zhì)安部。
4.當(dāng)發(fā)生一般人身事故(含外包工程)時(shí),事故所在部門應(yīng)在事故發(fā)生后15分鐘內(nèi),將事故發(fā)生的地點(diǎn)、時(shí)間、傷亡人數(shù)等基本情況上報(bào)公司質(zhì)安部。
5.當(dāng)發(fā)生110千伏及以上電壓等級(jí)的主設(shè)備以及其他嚴(yán)重的設(shè)備事故,10千伏及以上全站停電的電網(wǎng)事故、較大面積的停電事故,人身重傷等事故時(shí),事故所在部門應(yīng)在事故發(fā)生后 4小時(shí)內(nèi)將事故基本信息書面材料上報(bào)公司質(zhì)安部和生產(chǎn)技術(shù)部。
6.當(dāng)公司所屬單位發(fā)生一般電網(wǎng)、一般設(shè)備事故、人身輕傷、人身未遂事故、一類障礙(包括事故或障礙定性暫不清楚者)或生產(chǎn)安全突發(fā)事件時(shí),事故(障礙)所在部門應(yīng)在事故發(fā)生后8小時(shí)內(nèi)將事故基本信息上報(bào)公司質(zhì)安部和生產(chǎn)技術(shù)部。
(二)事故發(fā)生單位所有上報(bào)公司的書面材料必須經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)。
第二十一條 事故(障礙)報(bào)表(匯報(bào))報(bào)送規(guī)定
(一)事故(障礙)報(bào)表(匯報(bào))包括:設(shè)備事故報(bào)表(匯報(bào))、電網(wǎng)事故報(bào)表(匯報(bào))、人身傷亡事故報(bào)表(匯報(bào))、電網(wǎng)一類障礙報(bào)表、設(shè)備一類障礙報(bào)表。
(二)電網(wǎng)、設(shè)備事故(障礙)原始報(bào)表填寫報(bào)送:由設(shè)備所在運(yùn)行車間在事故(障礙)發(fā)生后3天內(nèi)將設(shè)備故障情況書面材料(包括變電站“事故、障礙原始報(bào)表”等資料)報(bào)質(zhì)安部、生技部;生技部負(fù)責(zé)組織填寫公司電網(wǎng)、設(shè)備事故(障礙)報(bào)表,屬事故性質(zhì)的還需同時(shí)報(bào)送事故調(diào)查匯報(bào)書,并在事故(障礙)發(fā)生后5天內(nèi)報(bào)質(zhì)安部;質(zhì)安部匯總審核,在事故(障礙)發(fā)生后7天內(nèi)經(jīng)公司領(lǐng)導(dǎo)審批后報(bào)地方電力調(diào)度控制中心。
(三)人身傷亡事故報(bào)表填寫報(bào)送:由事故發(fā)生部門在事故發(fā)生后3天內(nèi)將書面材料報(bào)質(zhì)安部;質(zhì)安部負(fù)責(zé)組織填寫公司人身傷亡事故報(bào)表和人身傷亡事故調(diào)查匯報(bào)書,在事故發(fā)生后7天內(nèi)經(jīng)公司領(lǐng)導(dǎo)審批報(bào)地方電力調(diào)度控制中心。
第二十二條 公司電廠發(fā)生第十三條明確的事故后,事故所在部門在2天內(nèi),以書面形式向質(zhì)安部報(bào)送事故發(fā)生的時(shí)間、地點(diǎn)、事故發(fā)生的簡(jiǎn)要經(jīng)過、傷亡人數(shù)(性別、年齡)、直接經(jīng)濟(jì)損失、事故原因、防范措施及事故處理意見等內(nèi)容。質(zhì)安部匯總組織審核,在事故發(fā)生后3天內(nèi)經(jīng)公司領(lǐng)導(dǎo)審批后報(bào)地方電力調(diào)度控制中心。
第二十三條 安全信息快報(bào)包括:周報(bào)、月報(bào)、季報(bào)、年報(bào)。由公司質(zhì)安部負(fù)責(zé)填寫、發(fā)布,并向地方電力調(diào)度控制中心匯報(bào)。
第二十四條 基礎(chǔ)數(shù)據(jù)信息執(zhí)行半年報(bào)送制度,由生技部負(fù)責(zé)統(tǒng)計(jì)公司主變壓器臺(tái)數(shù)和容量、線路公里數(shù),人力資源部負(fù)責(zé)統(tǒng)計(jì)公司職工人數(shù),于每年的6月30日和12月30日?qǐng)?bào)質(zhì)安部,質(zhì)安部匯總,經(jīng)主管生產(chǎn)的領(lǐng)導(dǎo)批準(zhǔn)后,在每年的7月1日和次年的1月1日以電子郵件或傳真方式報(bào)地方電力調(diào)度控制中心。
第二十五條 安全生產(chǎn)季度分析,公司所屬各生產(chǎn)車間在每季度末,對(duì)本單位的季度安全生產(chǎn)工作進(jìn)行總結(jié)分析,在每年1月、4月、7月、10月的5日前以電子郵件報(bào)質(zhì)安部。質(zhì)安部負(fù)責(zé)編寫公司安全生產(chǎn)季度分析匯報(bào),經(jīng)主管生產(chǎn)的領(lǐng)導(dǎo)批準(zhǔn)后,在1、4、7、10月的10日前以電子郵件、傳真或書面報(bào)地方電力調(diào)度控制中心。安全生產(chǎn)季度分析匯報(bào)應(yīng)包含以下內(nèi)容:
(一)季度安全生產(chǎn)情況介紹。
(二)季度安全生產(chǎn)情況分析(用數(shù)據(jù)分析方式,與去年同期進(jìn)行比較分析)。
(三)暴露出的主要問題及整改措施。
(四)下一季度安全管理的重點(diǎn)。
第六章 附則
第二十六條 本規(guī)定執(zhí)行中如與上級(jí)規(guī)定相抵觸,則以上級(jí)規(guī)定為準(zhǔn)。
第二十七條 本規(guī)定解釋權(quán)屬質(zhì)安部。
第二十八條 本規(guī)定自文件下發(fā)之日起執(zhí)行。
第4篇 應(yīng)用信息技術(shù) 提升企業(yè)安全管理水平
信息技術(shù)在電力企業(yè)安全生產(chǎn)管理中的應(yīng)用空間廣泛,對(duì)企業(yè)規(guī)范管理行為、改善管理方式、夯實(shí)管理基礎(chǔ)、提高工作效率,有著極其重要的作用。電力企業(yè)應(yīng)以安全生產(chǎn)為己任,積極推行信息技術(shù)的應(yīng)用,探索電力安全生產(chǎn)的新思路,持續(xù)改進(jìn),不斷提高。
1以信息化規(guī)范員工作業(yè)行為
人的不安全行為是導(dǎo)致事故發(fā)生的主要因素,電力企業(yè)在注重員工的安全教育與培訓(xùn)的同時(shí),必須依靠技術(shù)進(jìn)步,借助信息化手段,規(guī)范員工作業(yè)行為,以期逐步培養(yǎng)良好的工作習(xí)慣。
(1)實(shí)行變電倒閘操作全程錄音。變電運(yùn)行人員在倒閘操作過程中,使用錄音筆進(jìn)行全過程錄音,工區(qū)、監(jiān)督部門定期檢查錄音文件并予以通報(bào),從而規(guī)范倒閘操作的全過程監(jiān)督和管理,促進(jìn)“六要”、“八步”在現(xiàn)場(chǎng)的落實(shí)。
(2)推行
變電巡檢系統(tǒng)。該系統(tǒng)通過在每個(gè)設(shè)備單元間隔安裝的信息鈕記錄值班員的到位信息,確保巡視人員的到位,做到路徑最優(yōu),項(xiàng)目齊全,痕跡保全,提高設(shè)備巡視到位率。
(3)應(yīng)用輸電線路巡檢系統(tǒng),跟蹤巡線全過程,同時(shí)輔以數(shù)碼相機(jī)記錄設(shè)備缺陷,保證了巡視到位和準(zhǔn)確掌握缺陷信息。
(4)運(yùn)用powerpoint工具軟件,編輯系列違章現(xiàn)象專題圖片,在職工中開展找錯(cuò)競(jìng)賽,以身邊的違章現(xiàn)象教育身邊人。
(5)開展網(wǎng)上培訓(xùn)。使用規(guī)程學(xué)習(xí)與考核軟件,隨時(shí)進(jìn)行網(wǎng)上學(xué)習(xí)、練習(xí)和模擬測(cè)試,試題隨機(jī)生成,逐步取代常規(guī)的安全知識(shí)考試形式,使培訓(xùn)和考試工作科學(xué)化、規(guī)范化。
2以信息化強(qiáng)化基礎(chǔ)管理
強(qiáng)化安全生產(chǎn)基礎(chǔ)管理,以信息技術(shù)為平臺(tái),減輕勞動(dòng)強(qiáng)度,提高工作效率,保證基礎(chǔ)管理工作的適宜性、完整性、有效性。
(1)利用全文檢索系統(tǒng),為工作提供方便。建立有效的技術(shù)標(biāo)準(zhǔn)體系,跟蹤技術(shù)標(biāo)準(zhǔn)發(fā)布動(dòng)態(tài),及時(shí)進(jìn)行補(bǔ)充與完善,使其覆蓋率達(dá)到100%。
(2)利用網(wǎng)絡(luò)平臺(tái)加強(qiáng)制度管理,在健全和完善安全生產(chǎn)管理制度的基礎(chǔ)上,實(shí)現(xiàn)網(wǎng)絡(luò)化,方便查詢與學(xué)習(xí)。
(3)建立違章類型管理庫(kù),利用信息技術(shù)實(shí)現(xiàn)違章的分類管理。在開展管理性違章、行為性違章、裝置性違章的排查基礎(chǔ)上,按違章分值、性質(zhì)、等級(jí)進(jìn)行編號(hào),實(shí)現(xiàn)信息化數(shù)據(jù)積累,為逐步降低違章的重復(fù)率提供技術(shù)手段,促進(jìn)反違章工作的深化。
(4)開發(fā)危險(xiǎn)點(diǎn)和控制措施庫(kù)管理信息系統(tǒng),實(shí)行危險(xiǎn)點(diǎn)預(yù)控措施卡的編制、審核、批準(zhǔn)的網(wǎng)上流轉(zhuǎn),實(shí)現(xiàn)危險(xiǎn)點(diǎn)的動(dòng)態(tài)管理。
(5)研發(fā)安全用具管理系統(tǒng),實(shí)現(xiàn)對(duì)安全工器具的全過程管理,該系統(tǒng)應(yīng)涵蓋工區(qū)和班組,包含安全用具在役、退役、報(bào)廢等檔案管理,試驗(yàn)報(bào)告管理,試驗(yàn)周期管理等功能,加強(qiáng)安全用具的管理工作。
(6)運(yùn)用信息技術(shù),規(guī)范會(huì)議管理。開發(fā)安全生產(chǎn)會(huì)議管理系統(tǒng),提高會(huì)議質(zhì)量和效率,做到會(huì)前準(zhǔn)備充分,提前在網(wǎng)上發(fā)布會(huì)議材料;會(huì)中議題明確,主題突出;會(huì)后紀(jì)要分發(fā)迅速,實(shí)施情況分類標(biāo)示,統(tǒng)計(jì)分析、考核有據(jù),會(huì)議時(shí)間大大縮短。
3
以信息化提升安全管理水平
充分利用網(wǎng)絡(luò)技術(shù),為安全生產(chǎn)提供更為快捷、方便、安全的信息平臺(tái),達(dá)到過程控制、資源共享。
(1)應(yīng)用微機(jī)兩票管理系統(tǒng),實(shí)現(xiàn)兩票網(wǎng)上流轉(zhuǎn),提高工作效率和兩票合格率,為兩票的統(tǒng)計(jì)分析提供便利條件,規(guī)范兩票管理。
(2)應(yīng)用生產(chǎn)管理信息系統(tǒng)(mis),保證生產(chǎn)與檢修計(jì)劃可控、在控。按照“五結(jié)合”原則進(jìn)行計(jì)劃統(tǒng)籌,合理調(diào)配資源,提高工作的安全性,優(yōu)化缺陷管理流程,加強(qiáng)閉環(huán)控制。mis系統(tǒng)提供完整的缺陷報(bào)告、等級(jí)核定、任務(wù)下達(dá)、消缺情況、投運(yùn)結(jié)論等閉環(huán)控制流程,通過網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)檢查監(jiān)督,提高設(shè)備消缺質(zhì)量。
(3)開發(fā)調(diào)度mis、變電mis,使電網(wǎng)運(yùn)行管理水平再上新臺(tái)階,運(yùn)行工作實(shí)現(xiàn)網(wǎng)絡(luò)化。調(diào)度指令票實(shí)現(xiàn)網(wǎng)上傳遞和過程監(jiān)督,該系統(tǒng)中的危險(xiǎn)點(diǎn)預(yù)控模塊,實(shí)現(xiàn)擬票、審票、操作全過程監(jiān)護(hù)控制與提示,初步實(shí)現(xiàn)調(diào)度危險(xiǎn)點(diǎn)預(yù)控智能化,防止調(diào)度誤操作事故的發(fā)生;變電mis系統(tǒng)涵蓋運(yùn)行日志、日常運(yùn)行、安全管理等各項(xiàng)運(yùn)行工作,實(shí)現(xiàn)運(yùn)行工作透明化。
(4)應(yīng)用scada/pas系統(tǒng),實(shí)現(xiàn)電網(wǎng)運(yùn)行數(shù)據(jù)分析和安全性靜態(tài)評(píng)價(jià);應(yīng)用調(diào)度模擬操作,防止調(diào)度誤操作的發(fā)生,解合環(huán)操作前利用潮流分析軟件、模擬操作進(jìn)行潮流分析,為電網(wǎng)的安全、優(yōu)質(zhì)、經(jīng)濟(jì)運(yùn)行
提供有力的保障。
(5)應(yīng)用繼電保護(hù)在線信息管理系統(tǒng),實(shí)現(xiàn)繼電保護(hù)定值單、試驗(yàn)報(bào)告和保護(hù)動(dòng)作月報(bào)的錄入、繼電保護(hù)圖紙的電子化和上傳工作;應(yīng)用繼電保護(hù)及安全自動(dòng)裝置核對(duì)軟件,進(jìn)行季度安全自動(dòng)裝置狀態(tài)核對(duì);應(yīng)用繼電保護(hù)整定計(jì)算軟件進(jìn)行繼電保護(hù)整定計(jì)算,防止人為因素造成的誤整定并提高工作效率。
(6)建立企業(yè)安全網(wǎng)頁(yè)和安全文化網(wǎng)站,營(yíng)造企業(yè)安全文化氛圍。通過安全信息發(fā)布、通報(bào)事故分析報(bào)告、違章照片曝光和錄相片播放等形式,借以形成安全教育的氛圍,從培養(yǎng)“我要安全”理念、培訓(xùn)“我會(huì)安全”技能、強(qiáng)化“我懂安全”素質(zhì)三方面入手,逐步實(shí)現(xiàn)從“要我安全”到“我要安全”、“我會(huì)安全”、“我懂安全”的轉(zhuǎn)變,對(duì)保證安全生產(chǎn)具有潛意識(shí)的推動(dòng)作用。
第5篇 信息安全管理辦法
第一章??? 總則
第一條 為加強(qiáng)邵陽(yáng)市農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設(shè)備、安全運(yùn)行、故障申報(bào)、日常檢查、網(wǎng)絡(luò)安全等管理,防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn),杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定,結(jié)合我農(nóng)商行實(shí)際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽(yáng)市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人,包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工,包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運(yùn)行環(huán)境的安全和信息的安全。
第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益和集體利益的活動(dòng)、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責(zé)。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部,負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位,配備專職信息安全管理人員。負(fù)責(zé)邵陽(yáng)農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實(shí)施;對(duì)農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人,同時(shí)均應(yīng)指定至少一名部門信息安全員,具體負(fù)責(zé)本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)??萍夹畔⒉繛檗r(nóng)商行信息安全保護(hù)專職部門,設(shè)信息安全管理員、系統(tǒng)維護(hù)管理員、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組,設(shè)立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項(xiàng)工作。
第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷,具有本科以上學(xué)歷。
第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核,培訓(xùn)與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實(shí)上級(jí)信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專用設(shè)施。 (三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時(shí)通報(bào)和預(yù)警,并提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動(dòng),開展信息安全檢查、評(píng)估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時(shí),確因工作需要查詢相關(guān)涉密信息,須經(jīng)本部門負(fù)責(zé)人同意后向本單位保密主管部門提交申請(qǐng),獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位,必須進(jìn)行離崗審計(jì),并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級(jí)支行應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門信息安全員,并報(bào)農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作: (一)負(fù)責(zé)本部門計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負(fù)責(zé)提出本部門信息安全保障需求,及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負(fù)責(zé)本部門國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對(duì)本部門的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員,是指參與邵陽(yáng)農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問,未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 (二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處置。 (三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間,嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán),并有農(nóng)商行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù): (一)嚴(yán)格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部。 (三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): (一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺接受本部門信息安全員的指導(dǎo)與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 (三)未經(jīng)科技信息部檢測(cè)和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng);不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進(jìn)行政治素質(zhì)審查,技術(shù)部門進(jìn)行業(yè)務(wù)技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格設(shè)定各用戶的操作權(quán)限。
第三十二條 對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法,并進(jìn)行必要的安全教育和培訓(xùn)。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位,必須進(jìn)行離崗審計(jì),在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
(二)嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
(三)認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責(zé)任
(一)系統(tǒng)開發(fā)建設(shè)中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
(二)系統(tǒng)投產(chǎn)運(yùn)行前,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料;
(三)不得對(duì)系統(tǒng)設(shè)置后門;
(四)對(duì)系統(tǒng)核心技術(shù)保密。
第三十七條 系統(tǒng)維護(hù)員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)維護(hù),及時(shí)解除系統(tǒng)故障,確保系統(tǒng)正常運(yùn)行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序;
(四)維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房環(huán)境安全管理
第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定,滿足下列基本安全要求:
(一)機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物,如加油站、煤氣站等。
(二)機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。
(三)機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。
(四)機(jī)房應(yīng)設(shè)專用的供電系統(tǒng),配備必要的ups和發(fā)電機(jī)。
第四十二條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案。必要時(shí),由市網(wǎng)絡(luò)中心會(huì)同財(cái)務(wù)、保衛(wèi)等部門進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包三級(jí)以上資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。
第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控,生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控,輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控。
第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則,確保監(jiān)控的安全規(guī)范運(yùn)作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境集中監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控,通過技術(shù)和管理手段,確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前,應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗(yàn)收和本單位科技、保衛(wèi)部門組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問題及時(shí)報(bào)告。
第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn),并辦理登記手續(xù),由專人陪同。
第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。
第五十二條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理,應(yīng)安裝門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能。 第五十三條 所有門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個(gè)月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法,嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū),必要時(shí),單獨(dú)建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技信息部審核、備案,投產(chǎn)前應(yīng)通過本單位組織的安全測(cè)試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn),保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。 (三)根據(jù)信息安全級(jí)別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測(cè),審核(檢測(cè))通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書面請(qǐng)示本部門主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán),任何外部單位與人員不得檢測(cè)、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn),不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽(yáng)市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn),任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接,應(yīng)采用必要的技術(shù)隔離保護(hù)措施,對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第六十九條 邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。 第七十條 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn),并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序。科技信息部憑相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng),并做好備案。曾接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù),科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第七十一條 未經(jīng)科技信息部安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動(dòng)。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等,包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)
第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題,建設(shè)方案應(yīng)滿足邵陽(yáng)市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門提出的安全需求。 (二)安全需求分析和實(shí)現(xiàn)。 (三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制,在安全防護(hù)方面應(yīng)符合下列基本安全要求:
(一)采取必要的技術(shù)手段,建立嚴(yán)密的安全管理控制機(jī)制,保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復(fù)制;
(二)提供完整的數(shù)據(jù)備份和恢復(fù)功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù);
(三)具有嚴(yán)格的用戶和密碼管理,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán),特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序,具有身份識(shí)別和實(shí)體認(rèn)證功能。能夠自動(dòng)記錄操作人員的重要操作,具有防止抵賴機(jī)制;
(五)涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見,未通過安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽(yáng)市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽(yáng)市農(nóng)村商業(yè)銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運(yùn)行
第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下: (一)項(xiàng)目承擔(dān)單位(部門)應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技信息部審查。 (二)科技信息部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見。必要時(shí),可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技信息部備案。
第八十三條 信息系統(tǒng)投入運(yùn)行前,應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評(píng)估和審批申請(qǐng),并報(bào)送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明;
(三)系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告;
(四)信息系統(tǒng)安全評(píng)估和審批報(bào)告書。
第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書面材料進(jìn)行初步審查。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評(píng)估委員會(huì)或安全評(píng)估專家組,對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試、認(rèn)證。
第八十五條 對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實(shí)現(xiàn)程度;
(四)系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運(yùn)行平臺(tái)的安全可靠性。
第八十六條 安全評(píng)估委員會(huì)或安全評(píng)估專家組應(yīng)對(duì)測(cè)試、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告,并出具信息系統(tǒng)安全評(píng)估和審批報(bào)告書。
第八十七條 信息系統(tǒng)運(yùn)行平臺(tái)應(yīng)符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能,以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。
(二)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。
(四)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁,修補(bǔ)系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護(hù)員),具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理,監(jiān)測(cè)系統(tǒng)運(yùn)行日志,掌握系統(tǒng)運(yùn)行狀況,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序;維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第九十條 系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。
第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn),其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī),不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定,科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技信息部報(bào)告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼,并嚴(yán)格保密,防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí),應(yīng)按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請(qǐng),由科技信息部組織進(jìn)行安全檢查后予以廢止,同時(shí)備案。 第九十八條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺(tái)式個(gè)人計(jì)算機(jī)(pc)、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)(atm)、存折打印機(jī)、讀卡器、銷售終端(pos)和個(gè)人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購(gòu)置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽(yáng)市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù),是指邵陽(yáng)市農(nóng)村商業(yè)銀行向社會(huì)購(gòu)買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購(gòu)。 第一百零六條 農(nóng)商行購(gòu)置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn),省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第一百一十三條? 農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強(qiáng)數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程,嚴(yán)格管理客戶信息的采集、處理、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個(gè)人信息,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽(yáng)市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種紙質(zhì)技術(shù)資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,嚴(yán)格管理,并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。
第三節(jié) 存儲(chǔ)介質(zhì)
第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、已打印文檔等存儲(chǔ)介質(zhì)管理流程。已存儲(chǔ)信息的存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí),統(tǒng)一編號(hào),并標(biāo)明信息生成或備份日期、密級(jí)及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備(u盤、移動(dòng)硬盤等)管理辦法,加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在外網(wǎng)使用,禁止外網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲(chǔ)介質(zhì)銷毀辦法,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨(dú)享使用,不得泄露,且至少每三個(gè)月更換一次??诹蠲艽a的強(qiáng)度應(yīng)滿足不同安全性要求,不得設(shè)置過于簡(jiǎn)單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除,過期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽(yáng)市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽(yáng)市農(nóng)村商業(yè)銀行數(shù)據(jù)庫(kù)和信息系統(tǒng)等活動(dòng)。 第一百三十六條 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批,農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽(yáng)市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問活動(dòng)。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽(yáng)市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議,協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽(yáng)市農(nóng)村商業(yè)銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),科技信息部應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 災(zāi)難備份與應(yīng)急管理
第一節(jié) 災(zāi)難備份管理
第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負(fù)責(zé)邵陽(yáng)市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間(恢復(fù)時(shí)間目標(biāo)rto)和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃,定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第二節(jié) 應(yīng)急管理
第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: (一)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。 (二)應(yīng)急組織機(jī)構(gòu)。 (三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。 (四)各類危機(jī)處置流程。 (五)應(yīng)急資源保障。 (六)事后處理流程。 (七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練,并指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章 安全檢查評(píng)估與培訓(xùn)
第一節(jié) 監(jiān)測(cè)檢查
第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)辦法,報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部,抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門。
第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查,安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案。
第二節(jié) 評(píng)估審計(jì)
第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式,每年至少組織一次對(duì)本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估。
第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后,形成評(píng)估報(bào)告,提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,報(bào)省聯(lián)社信息科技部批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第一百六十八條 農(nóng)商行定期對(duì)重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)。開展等保測(cè)評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》的有關(guān)規(guī)定,確保測(cè)評(píng)有效和測(cè)評(píng)安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí),應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì),發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理,并完整保留相關(guān)日志記錄。
第三節(jié) 安全培訓(xùn)
第一百七十一條 農(nóng)商行應(yīng)至少每年對(duì)信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn),不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育,對(duì)本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn),提高全體員工信息安全意識(shí),使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng),對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。 第一百七十四條 對(duì)于違反本辦法,造成重大信息安全事件的單位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽(yáng)市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。
?
第一章??? 總則
第一條 為加強(qiáng)邵陽(yáng)市農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設(shè)備、安全運(yùn)行、故障申報(bào)、日常檢查、網(wǎng)絡(luò)安全等管理,防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn),杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定,結(jié)合我農(nóng)商行實(shí)際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽(yáng)市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人,包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工,包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運(yùn)行環(huán)境的安全和信息的安全。
第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益和集體利益的活動(dòng)、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責(zé)。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部,負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位,配備專職信息安全管理人員。負(fù)責(zé)邵陽(yáng)農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實(shí)施;對(duì)農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人,同時(shí)均應(yīng)指定至少一名部門信息安全員,具體負(fù)責(zé)本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)。科技信息部為農(nóng)商行信息安全保護(hù)專職部門,設(shè)信息安全管理員、系統(tǒng)維護(hù)管理員、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組,設(shè)立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項(xiàng)工作。
第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷,具有本科以上學(xué)歷。
第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核,培訓(xùn)與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實(shí)上級(jí)信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專用設(shè)施。 (三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時(shí)通報(bào)和預(yù)警,并提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動(dòng),開展信息安全檢查、評(píng)估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時(shí),確因工作需要查詢相關(guān)涉密信息,須經(jīng)本部門負(fù)責(zé)人同意后向本單位保密主管部門提交申請(qǐng),獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位,必須進(jìn)行離崗審計(jì),并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級(jí)支行應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門信息安全員,并報(bào)農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作: (一)負(fù)責(zé)本部門計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負(fù)責(zé)提出本部門信息安全保障需求,及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負(fù)責(zé)本部門國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對(duì)本部門的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員,是指參與邵陽(yáng)農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問,未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 (二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處置。 (三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間,嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán),并有農(nóng)商行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù): (一)嚴(yán)格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部。 (三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): (一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺接受本部門信息安全員的指導(dǎo)與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 (三)未經(jīng)科技信息部檢測(cè)和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng);不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進(jìn)行政治素質(zhì)審查,技術(shù)部門進(jìn)行業(yè)務(wù)技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格設(shè)定各用戶的操作權(quán)限。
第三十二條 對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法,并進(jìn)行必要的安全教育和培訓(xùn)。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位,必須進(jìn)行離崗審計(jì),在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
(二)嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
(三)認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責(zé)任
(一)系統(tǒng)開發(fā)建設(shè)中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
(二)系統(tǒng)投產(chǎn)運(yùn)行前,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料;
(三)不得對(duì)系統(tǒng)設(shè)置后門;
(四)對(duì)系統(tǒng)核心技術(shù)保密。
第三十七條 系統(tǒng)維護(hù)員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)維護(hù),及時(shí)解除系統(tǒng)故障,確保系統(tǒng)正常運(yùn)行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序;
(四)維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房環(huán)境安全管理
第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定,滿足下列基本安全要求:
(一)機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物,如加油站、煤氣站等。
(二)機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。
(三)機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。
(四)機(jī)房應(yīng)設(shè)專用的供電系統(tǒng),配備必要的ups和發(fā)電機(jī)。
第四十二條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案。必要時(shí),由市網(wǎng)絡(luò)中心會(huì)同財(cái)務(wù)、保衛(wèi)等部門進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包三級(jí)以上資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。
第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控,生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控,輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控。
第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則,確保監(jiān)控的安全規(guī)范運(yùn)作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境集中監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控,通過技術(shù)和管理手段,確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前,應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗(yàn)收和本單位科技、保衛(wèi)部門組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問題及時(shí)報(bào)告。
第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn),并辦理登記手續(xù),由專人陪同。
第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。
第五十二條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理,應(yīng)安裝門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能。 第五十三條 所有門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個(gè)月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法,嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū),必要時(shí),單獨(dú)建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技信息部審核、備案,投產(chǎn)前應(yīng)通過本單位組織的安全測(cè)試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn),保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。 (三)根據(jù)信息安全級(jí)別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測(cè),審核(檢測(cè))通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書面請(qǐng)示本部門主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán),任何外部單位與人員不得檢測(cè)、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn),不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽(yáng)市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn),任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接,應(yīng)采用必要的技術(shù)隔離保護(hù)措施,對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第六十九條 邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。 第七十條 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn),并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序??萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng),并做好備案。曾接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù),科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第七十一條 未經(jīng)科技信息部安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動(dòng)。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等,包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)
第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題,建設(shè)方案應(yīng)滿足邵陽(yáng)市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門提出的安全需求。 (二)安全需求分析和實(shí)現(xiàn)。 (三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制,在安全防護(hù)方面應(yīng)符合下列基本安全要求:
(一)采取必要的技術(shù)手段,建立嚴(yán)密的安全管理控制機(jī)制,保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復(fù)制;
(二)提供完整的數(shù)據(jù)備份和恢復(fù)功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù);
(三)具有嚴(yán)格的用戶和密碼管理,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán),特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序,具有身份識(shí)別和實(shí)體認(rèn)證功能。能夠自動(dòng)記錄操作人員的重要操作,具有防止抵賴機(jī)制;
(五)涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見,未通過安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽(yáng)市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽(yáng)市農(nóng)村商業(yè)銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運(yùn)行
第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下: (一)項(xiàng)目承擔(dān)單位(部門)應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技信息部審查。 (二)科技信息部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見。必要時(shí),可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技信息部備案。
第八十三條 信息系統(tǒng)投入運(yùn)行前,應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評(píng)估和審批申請(qǐng),并報(bào)送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明;
(三)系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告;
(四)信息系統(tǒng)安全評(píng)估和審批報(bào)告書。
第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書面材料進(jìn)行初步審查。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評(píng)估委員會(huì)或安全評(píng)估專家組,對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試、認(rèn)證。
第八十五條 對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實(shí)現(xiàn)程度;
(四)系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運(yùn)行平臺(tái)的安全可靠性。
第八十六條 安全評(píng)估委員會(huì)或安全評(píng)估專家組應(yīng)對(duì)測(cè)試、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告,并出具信息系統(tǒng)安全評(píng)估和審批報(bào)告書。
第八十七條 信息系統(tǒng)運(yùn)行平臺(tái)應(yīng)符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能,以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。
(二)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。
(四)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁,修補(bǔ)系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護(hù)員),具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理,監(jiān)測(cè)系統(tǒng)運(yùn)行日志,掌握系統(tǒng)運(yùn)行狀況,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序;維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第九十條 系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。
第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn),其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī),不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定,科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技信息部報(bào)告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼,并嚴(yán)格保密,防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí),應(yīng)按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請(qǐng),由科技信息部組織進(jìn)行安全檢查后予以廢止,同時(shí)備案。 第九十八條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺(tái)式個(gè)人計(jì)算機(jī)(pc)、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)(atm)、存折打印機(jī)、讀卡器、銷售終端(pos)和個(gè)人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購(gòu)置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽(yáng)市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù),是指邵陽(yáng)市農(nóng)村商業(yè)銀行向社會(huì)購(gòu)買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購(gòu)。 第一百零六條 農(nóng)商行購(gòu)置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn),省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第一百一十三條?農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強(qiáng)數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程,嚴(yán)格管理客戶信息的采集、處理、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個(gè)人信息,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽(yáng)市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種紙質(zhì)技術(shù)資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,嚴(yán)格管理,并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。
第三節(jié) 存儲(chǔ)介質(zhì)
第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、已打印文檔等存儲(chǔ)介質(zhì)管理流程。已存儲(chǔ)信息的存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí),統(tǒng)一編號(hào),并標(biāo)明信息生成或備份日期、密級(jí)及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控制,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備(u盤、移動(dòng)硬盤等)管理辦法,加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在外網(wǎng)使用,禁止外網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲(chǔ)介質(zhì)銷毀辦法,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨(dú)享使用,不得泄露,且至少每三個(gè)月更換一次??诹蠲艽a的強(qiáng)度應(yīng)滿足不同安全性要求,不得設(shè)置過于簡(jiǎn)單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除,過期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽(yáng)市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽(yáng)市農(nóng)村商業(yè)銀行數(shù)據(jù)庫(kù)和信息系統(tǒng)等活動(dòng)。 第一百三十六條 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批,農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽(yáng)市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問活動(dòng)。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽(yáng)市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議,協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽(yáng)市農(nóng)村商業(yè)銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),科技信息部應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 災(zāi)難備份與應(yīng)急管理
第一節(jié) 災(zāi)難備份管理
第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負(fù)責(zé)邵陽(yáng)市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間(恢復(fù)時(shí)間目標(biāo)rto)和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃,定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第二節(jié) 應(yīng)急管理
第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: (一)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。 (二)應(yīng)急組織機(jī)構(gòu)。 (三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。 (四)各類危機(jī)處置流程。 (五)應(yīng)急資源保障。 (六)事后處理流程。 (七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練,并指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章 安全檢查評(píng)估與培訓(xùn)
第一節(jié) 監(jiān)測(cè)檢查
第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)辦法,報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部,抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門。
第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查,安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案。
第二節(jié) 評(píng)估審計(jì)
第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式,每年至少組織一次對(duì)本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估。
第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后,形成評(píng)估報(bào)告,提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,報(bào)省聯(lián)社信息科技部批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過程并實(shí)施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第一百六十八條 農(nóng)商行定期對(duì)重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)。開展等保測(cè)評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》的有關(guān)規(guī)定,確保測(cè)評(píng)有效和測(cè)評(píng)安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí),應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì),發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理,并完整保留相關(guān)日志記錄。
第三節(jié) 安全培訓(xùn)
第一百七十一條 農(nóng)商行應(yīng)至少每年對(duì)信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn),不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育,對(duì)本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn),提高全體員工信息安全意識(shí),使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng),對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。 第一百七十四條 對(duì)于違反本辦法,造成重大信息安全事件的單位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽(yáng)市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。
第6篇 企業(yè)安全管理中的信息不對(duì)稱分析
1 前言
在召開第十屆全國(guó)人民代表大會(huì)第四次會(huì)議上,單位gdp生產(chǎn)安全事故死亡率、工礦商貿(mào)就業(yè)人員生產(chǎn)安全事故死亡率已被納入我國(guó)“十一五”規(guī)劃綱要中,“十一五”規(guī)劃綱要指出:建立安全生產(chǎn)指標(biāo)考核體系,到2010年單位國(guó)內(nèi)生產(chǎn)總值生產(chǎn)安全事故死亡率下降35%,工礦商貿(mào)就業(yè)人員生產(chǎn)安全事故死亡率下降25%。溫家寶總理在《政府工作報(bào)告中》多次提及安全生產(chǎn)問題。
針對(duì)目前國(guó)內(nèi)重特大事故頻繁發(fā)生的狀況,黨中央國(guó)務(wù)院的領(lǐng)導(dǎo)同志曾經(jīng)多次就安全生產(chǎn)問題作出批示。這一切都表明黨中央國(guó)務(wù)院對(duì)安全生產(chǎn)問題是相當(dāng)重視的。近年來,每年均下派多個(gè)督查組或檢查組到地方、進(jìn)企業(yè)督導(dǎo)、檢查。工作組在現(xiàn)場(chǎng)時(shí)很難發(fā)現(xiàn)問題,工作組一走,一切依舊。究其原因,乃是企業(yè)與政府間存在“信息不對(duì)稱”。就因?yàn)樾畔⒉粚?duì)稱,導(dǎo)致政府監(jiān)管成本增加,全國(guó)的安全生產(chǎn)形勢(shì)依然嚴(yán)峻,企業(yè)存在的安全隱患依然得不到有效整改,這不由得我們不用經(jīng)濟(jì)學(xué)的方法,從企業(yè)的角度來分析“信息不對(duì)稱”產(chǎn)生的原因,并提出相應(yīng)措施消除“信息不對(duì)稱”現(xiàn)象。
2 政府監(jiān)督企業(yè)安全管理中的信息不對(duì)稱現(xiàn)象
政府對(duì)于企業(yè)安全管理的監(jiān)督在某種意義上,是一種委托-代理關(guān)系,其中掌握信息多(或具有相對(duì)信息優(yōu)勢(shì))的市場(chǎng)參加者稱為代理人,在安全管理中也就是企業(yè);掌握信息少(或處于信息劣勢(shì))的市場(chǎng)參加者稱為委托人。委托人與代理人之間存在著信息不對(duì)稱的現(xiàn)象。
中國(guó)在市場(chǎng)經(jīng)濟(jì)不斷向縱深發(fā)展的過程中,一些高危的勞動(dòng)密集型行業(yè)由于暴利的誘惑,吸引了過多的企業(yè)進(jìn)人,這些企業(yè)在激烈的競(jìng)爭(zhēng)中為牟取暴利必然要突破安全生產(chǎn)防線違規(guī)作業(yè),同時(shí)又要想方設(shè)法隱瞞封鎖違規(guī)違法信息以逃避懲罰。而隨著我國(guó)經(jīng)濟(jì)活動(dòng)主體的多元化、經(jīng)濟(jì)活動(dòng)范圍的擴(kuò)大化。使得政府有關(guān)安全監(jiān)管部門難于發(fā)現(xiàn)這些問題,加劇了安全生產(chǎn)監(jiān)管信息不對(duì)稱的情況。
所謂信息不對(duì)稱指的是當(dāng)市場(chǎng)的一方無法知道另一方的行為或無法獲知另一方行動(dòng)的完全信息,亦或觀測(cè)和監(jiān)督其成本高昂時(shí),交易的雙方所掌握的信息是不等同的。
經(jīng)濟(jì)學(xué)中普遍存在著信息不對(duì)稱現(xiàn)象,按傳統(tǒng)觀點(diǎn),產(chǎn)生信息不對(duì)稱的原因有4種。其一是專業(yè)分工導(dǎo)致人們只了解自己專業(yè)內(nèi)的信息.對(duì)其他專業(yè)內(nèi)的信息掌握就不夠完全;其二是交易雙方由于所擁有和支配的資源有限從而導(dǎo)致所擁有的信息是有限的;其三、信息的獲得是有成本的,當(dāng)獲得信息的成本高于所得收益,人們會(huì)應(yīng)“得不償失”而放棄信息獲取,從而造成信息不對(duì)稱;其四,信息不對(duì)稱是由于信息優(yōu)勢(shì)方的信息壟斷所致,即信息擁有方因不愿意把部分信息公開,而造成消費(fèi)者或投資者不了解信息。
信息不對(duì)稱會(huì)導(dǎo)致逆向選擇與道德風(fēng)險(xiǎn)問題的發(fā)生,并直接導(dǎo)致安全生產(chǎn)監(jiān)管的失靈或監(jiān)管的低效率。在嚴(yán)重的信息不對(duì)稱的狀態(tài)中,由于信息、監(jiān)督和執(zhí)行問題常常難以解決,安全生產(chǎn)幾乎是不可能實(shí)現(xiàn)的。
3 有關(guān)信息不對(duì)稱的經(jīng)濟(jì)學(xué)分析
因?yàn)樾畔⒉粚?duì)稱而引發(fā)的委托-代理問題是由于政府的安全監(jiān)管部門不能確知企業(yè)的行為而產(chǎn)生的問題,它是指企業(yè)追求他們自己的利潤(rùn)最大化而以犧牲安全生產(chǎn)為代價(jià)。
委托-代理問題的產(chǎn)生與下列2個(gè)因素有關(guān)
一是政府安全監(jiān)管部門與企業(yè)目標(biāo)的不一致性;二是政府安全監(jiān)管部門和企業(yè)之間信息的不對(duì)稱性。政府安全監(jiān)管部門監(jiān)管成本最小化的目標(biāo)通常需要通過企業(yè)的行為來實(shí)現(xiàn),但是政府安全監(jiān)管部門的目標(biāo)并非總是企業(yè)的目標(biāo)。如政府的目標(biāo)在于企業(yè)安全生產(chǎn),人民群眾的生命安全得到保障,而企業(yè)的目標(biāo)卻可能是追求企業(yè)利潤(rùn)的最大化,并因此減少在安全生產(chǎn)上面的投人。如果政府安全監(jiān)管部門可以完全監(jiān)督企業(yè)的行為,就可以防止企業(yè)的偷懶和卸責(zé)行為。
而事實(shí)上,由于政府安全監(jiān)管部門和企業(yè)之間存在信息的不對(duì)稱性,政府安全監(jiān)管部門一般很難監(jiān)督企業(yè)的行為。因?yàn)槠髽I(yè)對(duì)其安全生產(chǎn)的努力程度只有自己最清楚,政府安全監(jiān)管部門一般很難進(jìn)行監(jiān)督并予以有效控制。因此,在政府安全監(jiān)管部門缺乏監(jiān)督或政府安全監(jiān)管部門無力監(jiān)督的情況下,企業(yè)極有可能為了追求自身利益而作出背離政府安全監(jiān)管部門利益的行為,引發(fā)委托-代理問題。
從安全管理的角度看,假定政府除發(fā)現(xiàn)企業(yè)是否發(fā)生事故即安全或不安全外,沒有別的信息可以作為獎(jiǎng)懲企業(yè)的依據(jù);另外,政府對(duì)企業(yè)只能采用固定金額的獎(jiǎng)勵(lì)機(jī)制,一般情況下,政府不可能完全監(jiān)督企業(yè),為使企業(yè)領(lǐng)導(dǎo)努力工作以提高安全水平,政府支付給企業(yè)領(lǐng)導(dǎo)的安全報(bào)酬就必須大于保留安全報(bào)酬加努力成本之和。特殊情況下,監(jiān)督越困難,政府需要支付的安全報(bào)酬就越高;如果監(jiān)督?jīng)]有可能,任何安全報(bào)酬都不可能促使企業(yè)確保安全。即使政府不能監(jiān)督企業(yè),但是,如果使事故的賠償金增加到一定程度,由于領(lǐng)導(dǎo)的安全報(bào)酬與事故賠償金負(fù)相關(guān),則企業(yè)就有動(dòng)力自覺地增加安全投入,提高安全水平而減少事故,以增加報(bào)酬。不難看出,當(dāng)事故賠償金與為避免事故發(fā)生的主動(dòng)安全投入相等時(shí),企業(yè)領(lǐng)導(dǎo)將選擇主動(dòng)安全投入以避免發(fā)生事故。也就是說,在政府完善監(jiān)督監(jiān)察困難的情況下,為了保證企業(yè)有一定安全水平,要提高事故賠償額度;二要給與企業(yè)領(lǐng)導(dǎo)人足夠的安全獎(jiǎng)金:三要提高懲處率。
4 如何消除企業(yè)安全管理中的信息不對(duì)稱現(xiàn)象
綜上所述,不難看出,安全監(jiān)察一般是在信息不對(duì)稱的條件下進(jìn)行的,要想達(dá)到監(jiān)察的目的,消除事故隱患,那就必須采取以下措施:
(1)建立健全安全生產(chǎn)的法律法規(guī)和規(guī)章制度及標(biāo)準(zhǔn)。同時(shí)健全安全監(jiān)察的法律法規(guī)及執(zhí)法的規(guī)范。加大監(jiān)察執(zhí)法的透明度,規(guī)范執(zhí)法和守法,強(qiáng)化安全防范意識(shí)。要使企業(yè)和監(jiān)管部門真正意識(shí)到不消除事故隱患帶來的后果,必須將事故前的處罰同企業(yè)事故后查出的失職及監(jiān)管部門的職責(zé)落實(shí)到位。即在發(fā)生事故前,企業(yè)如不主動(dòng)消除隱患則必須對(duì)其立即處罰;在發(fā)生事故后,要根據(jù)失職行為對(duì)企業(yè)、監(jiān)管部門責(zé)任人進(jìn)行處罰。
(2)把企業(yè)的安全狀況與企業(yè)領(lǐng)導(dǎo)人的收入和政績(jī)掛鉤,同時(shí),給予企業(yè)領(lǐng)導(dǎo)人足夠的安全獎(jiǎng)金和有效的罰金;提高懲處率,提高事故賠償額度。
(3)鼓勵(lì)企業(yè)主動(dòng)增加安全投入,提高企業(yè)的安全技術(shù)水平和安全管理水平,設(shè)立企業(yè)安全基金。資金軟約束是造成事故的一個(gè)重要原因。由于企業(yè)沒有建立安全防范基金,以致沒有能力及時(shí)消除隱患。因此,監(jiān)管部門要督促企業(yè)按凈收入的一定比例投入安全基金,不足部分則應(yīng)由政府補(bǔ)足。
(4)提高安全監(jiān)管監(jiān)察工作效率,強(qiáng)化安全監(jiān)察的執(zhí)法力度,促進(jìn)安全的管理。突出監(jiān)管部門的查處重點(diǎn),在全面了解隱患狀況的基礎(chǔ)上,重點(diǎn)查處隱患引發(fā)事故概率高的企業(yè)。在確定了重點(diǎn)隱患企業(yè)后,監(jiān)管部門必須開出限期整改通知并落到實(shí)處,即在最后期限。一方面強(qiáng)制消除隱患,而另一方面對(duì)企業(yè)責(zé)任人提前給予處罰。
(5)加強(qiáng)對(duì)員工的安全培訓(xùn)、教育,進(jìn)行消除隱患、事故的實(shí)戰(zhàn)訓(xùn)練,提高其安全意識(shí)和安全防護(hù)水平,使其掌握一定的安全技術(shù),保障職工形成自保和他保的安全文化思想和理念。
(6)加強(qiáng)安全宣傳工作,提高員工文化素質(zhì)和經(jīng)濟(jì)收入,使員工參與安全管理活動(dòng),形成個(gè)完善的監(jiān)督和制約機(jī)制;使企業(yè)的經(jīng)營(yíng)者、管理者、職工及家屬形成聯(lián)動(dòng)效應(yīng),把安全工作放在首位,落在實(shí)處,一切圍繞安全、發(fā)展與效益開展工作;使三者構(gòu)成一個(gè)有機(jī)的統(tǒng)一體,讓員工懂得沒有安全的生產(chǎn)就等于自殺,是給自己挖掘墳?zāi)埂?/p>
(7)提高企業(yè)的社會(huì)責(zé)任意識(shí)和安全生產(chǎn)主體意識(shí),實(shí)現(xiàn)“要我安全”到“我要安全”的根本轉(zhuǎn)變。
第7篇 創(chuàng)新信息安全管理
上世紀(jì)90年代以來,嘉興電力局逐步建立了辦公自動(dòng)化(oa)、sap系統(tǒng)、營(yíng)銷管理、95598客戶服務(wù)、負(fù)荷管理、pi數(shù)據(jù)庫(kù)等諸多信息系統(tǒng),企業(yè)信息化在安全生產(chǎn)、經(jīng)營(yíng)管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時(shí),信息安全的籬笆墻也越扎越緊,有效地防范了外部的攻擊和內(nèi)部管理失控帶來的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進(jìn)單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號(hào)。2006年貫徹iso/iec27001:2005信息安全管理標(biāo)準(zhǔn),獲得了挪威船級(jí)社dnv公司認(rèn)證證書。
運(yùn)用系統(tǒng)的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理的一些傳統(tǒng)做法,沒有體現(xiàn)信息化特點(diǎn)和要求,這樣就越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革。
管理對(duì)象不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對(duì)象,對(duì)外來人員也缺乏有效的識(shí)別管理。
管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標(biāo)準(zhǔn),但隨著信息化的發(fā)展,這些制度逐漸變得與現(xiàn)實(shí)要求不相適應(yīng)。就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復(fù)、交叉、不一致,有些制度不切合實(shí)際,往往束之高閣。
風(fēng)險(xiǎn)評(píng)估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評(píng)估就事論事,不夠系統(tǒng),主觀性過強(qiáng),缺乏綜合平衡,抓不住重點(diǎn),易過度保護(hù),或產(chǎn)生管理死角,事后控制多,事前預(yù)控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設(shè)中普遍感覺到比較迷茫的問題,隨著科學(xué)技術(shù)的進(jìn)步,企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此,嘉興電力局根據(jù)國(guó)際上信息安全管理的最佳實(shí)踐,結(jié)合供電企業(yè)的實(shí)際,從信息安全風(fēng)險(xiǎn)評(píng)估管理人手,貫徹iso/iec27001:2005信息安全管理標(biāo)準(zhǔn),建立了信息安全管理體系。通過體系有效運(yùn)作,達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。
從資產(chǎn)識(shí)別入手,搞好信息安全風(fēng)險(xiǎn)評(píng)估
嘉興電力局按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》,對(duì)所有的資產(chǎn)進(jìn)行了列表識(shí)別,并識(shí)別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評(píng)估中,共識(shí)別資產(chǎn)2810項(xiàng),其中確定的重要資產(chǎn)總數(shù)為312項(xiàng),形成了《重要資產(chǎn)清單》。
圖1重要信息資產(chǎn)按部門分布圖
對(duì)重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門)對(duì)其可能遭受的威脅及自身的薄弱點(diǎn)進(jìn)行識(shí)別,并對(duì)威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析,確定風(fēng)險(xiǎn)等級(jí)和可接受程度,形成了《重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計(jì)算風(fēng)險(xiǎn)等級(jí),判斷風(fēng)險(xiǎn)為可接受的還是需要處理的。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成風(fēng)險(xiǎn)處理計(jì)劃。對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用適當(dāng)?shù)拇胧_定是接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn),還是轉(zhuǎn)移風(fēng)險(xiǎn)。
嘉興電力局經(jīng)過風(fēng)險(xiǎn)評(píng)估,確定了不可接受風(fēng)險(xiǎn)84項(xiàng),其中硬件和設(shè)施52項(xiàng),軟件和系統(tǒng)0項(xiàng),文檔和數(shù)據(jù)8項(xiàng),服務(wù)0項(xiàng),人力資源24項(xiàng)。
圖2各類不可接受風(fēng)險(xiǎn)按系統(tǒng)分布圖
根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)可接受風(fēng)險(xiǎn),保持原有的控制措施,同時(shí)按iso/iec17799:2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則》和系統(tǒng)應(yīng)用的要求,對(duì)控制措施進(jìn)行完善。針對(duì)不可接受風(fēng)險(xiǎn),由各部門制定相應(yīng)的安全控制措施。制定控制措施需要考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求,以期達(dá)到風(fēng)險(xiǎn)降低的目的。控制措施的實(shí)施將從避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面,將風(fēng)險(xiǎn)降低到可接受的水平。
按照iso標(biāo)準(zhǔn)要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)的信息系統(tǒng),按iso/iec27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》規(guī)定,參照iso/iecl7799:2005《信息技術(shù)·安全技術(shù)—信息安全管理實(shí)施細(xì)則》,建立信息安全管理體系,簡(jiǎn)稱isms。
確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營(yíng)銷、服務(wù)和日常管理的40個(gè)重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務(wù)實(shí)、有效”。
為實(shí)現(xiàn)信息安全管理體系方針,該局承諾:在各層次建立完整的信息安全管理組織機(jī)構(gòu),確定信息安全目標(biāo)和控制措施,明確信息安全的管理職責(zé),識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,采取糾正預(yù)防措施,保證體系的持續(xù)有效性,采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲(chǔ)存和保護(hù)各類信息,實(shí)現(xiàn)信息共享;對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn),不斷增強(qiáng)員工的信息安全意識(shí)和能力;制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃,實(shí)現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制定的信息安全管理目標(biāo)是:2級(jí)以上信息安全事件為零,不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導(dǎo)致供電中斷的信息事故;減少涉密有關(guān)的法律風(fēng)險(xiǎn)。
嘉興電力局根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照iso/iec27001:2005標(biāo)準(zhǔn)要求,整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度,形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架,包括信息安全管理手冊(cè);《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個(gè)程序文件,制定了16個(gè)支撐性作業(yè)文件。
運(yùn)用過程方法,實(shí)施信息安全管理體系
在信息安全管理過程中,重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評(píng)估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié),采取明確職責(zé)、動(dòng)態(tài)檢查、嚴(yán)格考核等措施,使信息安全走上常態(tài)管理之路。
圖3信息安全管理體系實(shí)施過程
重視信息系統(tǒng)安全管理。因?yàn)樾畔⑾到y(tǒng)支撐著企業(yè)的各項(xiàng)業(yè)務(wù),信息安全管理體系實(shí)施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購(gòu)置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測(cè)試、上線、系統(tǒng)(權(quán)限)變更等方面,嚴(yán)格執(zhí)行體系的相關(guān)控制程序。
強(qiáng)化人員安全管理。在勞動(dòng)合同、崗位說明書中,明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任,對(duì)信息關(guān)鍵崗位實(shí)行備案制度。對(duì)崗位調(diào)動(dòng)或離職人員,及時(shí)調(diào)整安全職責(zé)和權(quán)限。定期對(duì)員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。
重視相關(guān)方管理。對(duì)軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請(qǐng)、進(jìn)行入網(wǎng)教育等。識(shí)別客戶、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求,采取措施,保證滿足安全要求。
建立信息安全的常態(tài)管理機(jī)制。對(duì)企業(yè)技術(shù)、業(yè)務(wù)目標(biāo)和過程、已識(shí)別的威脅、實(shí)施控制的有效性、外部事件變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。定期對(duì)信息安全進(jìn)行定期或不定期的監(jiān)督檢查,包括日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。嘉興電力局2006年內(nèi)審發(fā)現(xiàn)了57個(gè)不符合項(xiàng),及時(shí)進(jìn)行糾正,解決了用戶權(quán)限、a/b崗、第三方訪問、機(jī)房管理等一些重點(diǎn)問題,從而保證了信息安全管理的質(zhì)量,有效地防范了信息安全事件和事故的發(fā)生。
第8篇 信息科技部-安全管理中心-監(jiān)控規(guī)劃崗工作職責(zé)與職位要求
職位描述:
1、負(fù)責(zé)科技層面監(jiān)控系統(tǒng)的建設(shè)和規(guī)劃、保障監(jiān)控系統(tǒng)的正常運(yùn)行;
2、負(fù)責(zé)業(yè)務(wù)層面監(jiān)控系統(tǒng)的建設(shè)和規(guī)劃、保障監(jiān)控系統(tǒng)的正常運(yùn)行;
3、負(fù)責(zé)監(jiān)控策略、指標(biāo)的優(yōu)化和調(diào)試;
4、協(xié)助一道防線、二道防線建立自動(dòng)化監(jiān)控方案,減少人力投入;
5、監(jiān)控、督辦、匯報(bào)各類問題,保證相關(guān)人員的信息一致性;
職位要求:
1、全日制本科及以上學(xué)歷
2、5年及以上相關(guān)工作經(jīng)驗(yàn),有銀行相關(guān)工作經(jīng)驗(yàn),有監(jiān)控系統(tǒng)部署架構(gòu)經(jīng)驗(yàn)
3、熟悉計(jì)算機(jī)軟硬件系統(tǒng)的產(chǎn)品設(shè)計(jì)、開發(fā)、可行性研究及軟件開發(fā)、測(cè)試、評(píng)估、操作管理;熟悉linu_系統(tǒng);熟悉oracle數(shù)據(jù)庫(kù)應(yīng)用開發(fā);熟悉監(jiān)控系統(tǒng)部署方案以及告警策略及優(yōu)化
第9篇 道路交通安全企業(yè)安全管理信息系統(tǒng)的研制與應(yīng)用
引言(1)
為了提高企業(yè)道路交通安全管理效率,防止交通事故的發(fā)生,利用計(jì)算機(jī)信息技術(shù)來進(jìn)行大型企業(yè)交通運(yùn)輸安全管理,是企業(yè)科學(xué)化安全管理的有效途徑。道路交通運(yùn)輸安全管理信息系統(tǒng)(traffic safety management information system,即tsmis)正是面向企業(yè)交通安全管理,利用計(jì)算機(jī)信息技術(shù)開發(fā)而成,它可大大提高安全管理的科學(xué)性和規(guī)范性。本文結(jié)合西北石油局道路交通安全管理信息系統(tǒng)的研制情況,以軟件工程的思路和實(shí)際應(yīng)的角度論述交通運(yùn)輸安全管理信息系統(tǒng)(tsmis)的設(shè)計(jì)思想和編制過程。
組成(2)
tsmis是管理信息系統(tǒng)的具體應(yīng)用和展開。它嚴(yán)格遵循科學(xué)的安全管理原則,采用了動(dòng)態(tài)人機(jī)安全原理,結(jié)合動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)價(jià)與決策,是一套完整的管理信息系統(tǒng)。tsmis主要的組成有:①駕駛員信息管理;②車輛信息管理;③安全管理信息化的實(shí)現(xiàn);④安全動(dòng)態(tài)管理即風(fēng)險(xiǎn)評(píng)價(jià)。如圖1所示。
圖1 企業(yè)道路交通安全管理信息系統(tǒng)的組成
管理信息系統(tǒng)的開發(fā)是一項(xiàng)復(fù)雜的社會(huì)工程和技術(shù)工程,它涉及社會(huì)和技術(shù)等多方面的內(nèi)容。在建立企業(yè)道路交通運(yùn)輸安全管理信息系統(tǒng)時(shí),需要做好以下幾方面的工作。
(1) 企業(yè)道路交通安全管理信息系統(tǒng)建設(shè)的可行性研究;
(2) 交通安全管理信息系統(tǒng)開發(fā)策略的研討與制定;
(3) 系統(tǒng)開發(fā)方法的研討和選擇;
(4) 開發(fā)步驟的劃分和制定;
(5) 系統(tǒng)的運(yùn)行計(jì)算機(jī)配置和數(shù)據(jù)庫(kù)的總體設(shè)計(jì);
(6) 軟件開發(fā)工具的選擇和提供。
針對(duì)tsmis的設(shè)計(jì)內(nèi)容,道路交通安全管理信息系統(tǒng)的建立需要綜合和應(yīng)用多種學(xué)科的知識(shí)和成果,包括安全管理學(xué)、系統(tǒng)安全工程學(xué)、數(shù)字、統(tǒng)計(jì)學(xué)、計(jì)算機(jī)科學(xué)、軟件工程、行為科學(xué)、心理學(xué)、人機(jī)工程學(xué)、交通安全管理學(xué)等研究成果,而且還需要參照國(guó)內(nèi)外的交通安全管理的有關(guān)標(biāo)準(zhǔn),因此是一項(xiàng)復(fù)雜的系統(tǒng)工程。同時(shí),道路交通安全管理系統(tǒng)tsmis的建設(shè)又具有社會(huì)性的一面,因?yàn)橄到y(tǒng)本質(zhì)上是一種人機(jī)系統(tǒng),它低托于管理科學(xué)的成果和受管理者的意識(shí)和習(xí)慣的支配。并且在系統(tǒng)建設(shè)和以后的運(yùn)行中,需要處理好復(fù)雜的人與人之間、部門與部門之間、企業(yè)內(nèi)部與企業(yè)外部間的多種關(guān)系,這些關(guān)系的協(xié)調(diào)和處理是系統(tǒng)開發(fā)和運(yùn)行中必不可少的工作內(nèi)容,這比單純的技術(shù)性工作要復(fù)雜得多。因此,道路交通安全管理信息系統(tǒng)開發(fā)的重點(diǎn)是要搞清楚安全管理工作中復(fù)雜多變的人員、部門關(guān)系,并從中找出規(guī)律,以便系統(tǒng)能進(jìn)行人、車、環(huán)境的動(dòng)態(tài)分析。
軟件的系統(tǒng)設(shè)計(jì)(3)
1. 軟件系統(tǒng)組成
道路交通安全信息管理系統(tǒng)的功能模塊如圖2所示。
圖2 道路交通安全信息管理系統(tǒng)的功能模塊
(1) 數(shù)據(jù)庫(kù)設(shè)計(jì)
儲(chǔ)存駕駛員信息數(shù)據(jù)、車輛信息數(shù)據(jù)、管理標(biāo)準(zhǔn)及作業(yè)文件數(shù)據(jù)等。采用access2000單機(jī)版和sql server2000網(wǎng)絡(luò)版2種應(yīng)用版本,以適應(yīng)不同用戶的需求。
(2) 輔助管理模塊
此模塊包括出車調(diào)度管理、駕駛員管理、車輛管理、檔案管理等子模塊。其功能如下:
①出車調(diào)度管理模塊:主要提供動(dòng)態(tài)的安全出車調(diào)度,是該軟件系統(tǒng)的核心之一,具有根據(jù)人、車、環(huán)境等因素動(dòng)態(tài)分析出車調(diào)度的安全指數(shù),并提出可行性依據(jù)建議。如果人、車配備不合適或安全指數(shù)太低,系統(tǒng)會(huì)要求重新選派。如條件滿足,系統(tǒng)會(huì)自動(dòng)存檔并打印出車表單。駕駛員、車輛、檔案管理模塊都分別按照西北石油局的安全管理標(biāo)準(zhǔn)來實(shí)現(xiàn)信息化。
②輸入、輸出:出車調(diào)度管理模塊的輸入主要是各單位調(diào)度派遣信息,輸出的主要是調(diào)度動(dòng)態(tài)分析和出車表單。
(3) 統(tǒng)計(jì)分析模塊
根據(jù)統(tǒng)計(jì)分析要求,從數(shù)據(jù)庫(kù)中取出數(shù)據(jù)進(jìn)行分析,并以圖表方式顯示統(tǒng)計(jì)分析結(jié)果。本模塊主要由以下幾個(gè)模塊組成:駕駛員信息統(tǒng)計(jì)、車輛信息、行車指標(biāo)統(tǒng)計(jì)、事故信自統(tǒng)計(jì)、人車動(dòng)態(tài)分析等。
①功能設(shè)計(jì):以圖表形式來統(tǒng)計(jì)分析各項(xiàng)數(shù)據(jù)信息,分別有柱狀圖、扇型圖、折線圖等顯示,根據(jù)不同的用戶需求來實(shí)現(xiàn)不同的數(shù)據(jù)統(tǒng)計(jì)分析功能。
人車動(dòng)態(tài)分析評(píng)價(jià)系統(tǒng)可以結(jié)合人、車、環(huán)境等因素動(dòng)態(tài)地完成安全評(píng)估報(bào)告。它是建立在數(shù)據(jù)庫(kù)和統(tǒng)計(jì)分析結(jié)果基礎(chǔ)之上的。
②輸入、輸出設(shè)計(jì):輸入主要指輸入用戶想統(tǒng)計(jì)的信息的一些參數(shù),輸出有打印表單等功能。
(4) 信息查詢模塊
本模塊包括駕駛員信息查詢、車輛信息查詢、事故信息查詢、出車調(diào)度信息查詢、安全法規(guī)信息查詢、安全管理標(biāo)準(zhǔn)信息查詢等幾個(gè)子模塊。每個(gè)模塊都有復(fù)合式查詢功能,即可通過輸入多項(xiàng)或一項(xiàng)進(jìn)行信息查詢。
如駕駛員信息查詢模塊中可以通過輸入駕駛員的姓名、年齡、工齡、性別、身份證號(hào)碼等進(jìn)行多重信息查詢。
(5) 系統(tǒng)管理模塊
完成軟件系統(tǒng)的各項(xiàng)管理操作,如編輯功能、文件操作、數(shù)據(jù)庫(kù)的維護(hù)管理及數(shù)據(jù)庫(kù)文件的備份操作等。
(6) 幫助模塊
給操作者提供各種有關(guān)操作方面的信息及軟件使用方法等。
(7) 軟件人機(jī)界面
采用下拉菜單,鼠標(biāo)操作,具有良好的人機(jī)交互性和操作簡(jiǎn)便性。
2. 軟件設(shè)計(jì)要求
根據(jù)西北石油局信息中心的要求,采用混合編程方法設(shè)計(jì)軟件系統(tǒng),軟件既可在網(wǎng)絡(luò)上運(yùn)行,也可在單機(jī)上運(yùn)行。主要使用的設(shè)計(jì)語言為vb6.0及其他輔助工具軟件,軟件運(yùn)行環(huán)境為windows98及以上的版本,硬件配置為:pii及以上機(jī)型,內(nèi)存64m,硬盤3.5g,光驅(qū)32倍速,數(shù)據(jù)庫(kù)采用access2000的單機(jī)版和sql server2000網(wǎng)絡(luò)版2種。
本系統(tǒng)采用當(dāng)前流行的ado數(shù)據(jù)庫(kù)技術(shù)和常用的vb+sql server管理信息系統(tǒng)軟件開發(fā)模式,并應(yīng)用人機(jī)工程學(xué)原理來設(shè)計(jì)互動(dòng)的人機(jī)友好界面,使tsmis系統(tǒng)更具企業(yè)親和力。
軟件編制結(jié)果應(yīng)用(4)
根據(jù)上述設(shè)計(jì)內(nèi)容,初步研制出了“道路交通安全管理信息系統(tǒng)1.0”,通過調(diào)試,基本可以應(yīng)用于企業(yè)道路交通安全的信息化管理。該系統(tǒng)具有功能全,界面好,使用操作方便等特點(diǎn),可廣泛應(yīng)用于各類大型企業(yè)內(nèi)部道路交通安全的管理。
結(jié)束語(5)
隨著技術(shù)的進(jìn)步,經(jīng)營(yíng)管理方式發(fā)生了轉(zhuǎn)變,從而使面向管理的信息系統(tǒng)的內(nèi)容和形式都在發(fā)生著變化,當(dāng)前可以充分利用網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫(kù)技術(shù)的發(fā)展,形成一種全新的運(yùn)行方式。同樣,網(wǎng)格技術(shù)的發(fā)展也使道路交通安全管理信息系統(tǒng)在大型企業(yè)間使用變得很簡(jiǎn)單,通過企業(yè)內(nèi)部的局域網(wǎng),可以實(shí)現(xiàn)整個(gè)企業(yè)資源共享的同時(shí),也可以用tsmis系統(tǒng)進(jìn)行整個(gè)企業(yè)的信息查詢、遠(yuǎn)程協(xié)調(diào)各單位的道路交通安全管理事務(wù)等操作。這樣更有助于企業(yè)在宏觀上進(jìn)行安全決策和風(fēng)險(xiǎn)評(píng)價(jià)分析。
道路交通運(yùn)輸安全管理信息系統(tǒng)必須根據(jù)時(shí)代要求,走網(wǎng)絡(luò)化道路,要不斷完善其網(wǎng)絡(luò)功能,真正實(shí)現(xiàn)信息化管理,并朝著信息化方向不斷發(fā)展。
第10篇 信息科技部-安全管理中心-安全運(yùn)營(yíng)崗工作職責(zé)與職位要求
職位描述:
職責(zé)描述:
1、參與優(yōu)化安全防御體系,研究和實(shí)踐使用有效技術(shù)解決銀行業(yè)務(wù)系統(tǒng)的安全相關(guān)問題。
2、跟蹤和分析各類安全問題和安全事件,如網(wǎng)站入侵調(diào)查,病毒木馬,ddos攻擊等。
3、跟蹤和分析新的安全漏洞和技術(shù),定期對(duì)系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)進(jìn)行安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。
4、編寫防御工具和分析工具,對(duì)新技術(shù)、新方法、新軟件進(jìn)行評(píng)估和應(yīng)用,完成網(wǎng)絡(luò)和系統(tǒng)安全加固。
5、協(xié)助各項(xiàng)信息安全相關(guān)工作,確保信息安全管控措施有效執(zhí)行。
職位要求:
1、全日制本科及以上學(xué)歷,計(jì)算機(jī)相關(guān)專業(yè)優(yōu)先;
2、相關(guān)工作經(jīng)驗(yàn)3年以上,有銀行相關(guān)項(xiàng)目及從業(yè)經(jīng)驗(yàn)為佳;
3、責(zé)任心強(qiáng)、工作細(xì)致、溝通能力強(qiáng),有良好的團(tuán)隊(duì)協(xié)作及問題解決能力。
第11篇 27001信息安全管理體系審核員工作職責(zé)與職位要求
職位描述:
1.按照公司派遣計(jì)劃(app)要求,對(duì)指定申請(qǐng)組織進(jìn)行相應(yīng)領(lǐng)域(目前:質(zhì)量、環(huán)境、職業(yè)健康安全、信息安全、ec9000、13485、hse、食品安全、危害分析與關(guān)鍵控制點(diǎn)、資產(chǎn)管理體系、道路交通安全管理體系、服務(wù)認(rèn)證、產(chǎn)品認(rèn)證)標(biāo)準(zhǔn)規(guī)范進(jìn)行第三方現(xiàn)場(chǎng)合格評(píng)定活動(dòng);
2.定期參加公司組織的遠(yuǎn)程、面授培訓(xùn)及考試,積極提升自身的能力水平;
3.遵守公司的管理制度,按照規(guī)定流程執(zhí)行審核活動(dòng)的前期、現(xiàn)場(chǎng)、后期綜合程序;
4.遵守國(guó)家認(rèn)證認(rèn)可等行業(yè)主管單位的規(guī)定要求。
職位要求:
1. 年齡不限;
2.須取得中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)(ccaa)頒發(fā)的國(guó)家注冊(cè)審核員,檢查員或?qū)彶閱T資格或已通過相應(yīng)領(lǐng)域的ccaa國(guó)家注冊(cè)審核員考試(基礎(chǔ)知識(shí)審核知識(shí))。
3.具有良好的責(zé)任心;
4.專職優(yōu)先。
5.待遇從優(yōu),工資底薪人天費(fèi)用組長(zhǎng)費(fèi)(適用時(shí))見證費(fèi)(適用時(shí))社保
6.從業(yè)4年以上,或能力優(yōu)秀者可以適當(dāng)交流調(diào)整底薪待遇。
7.專職應(yīng)履行不少于20個(gè)審核人日要求,或季度60個(gè)人日要求。
第12篇 安全生產(chǎn)信息調(diào)度中心運(yùn)行管理辦法
根據(jù)《澄合煤業(yè)公司安全生產(chǎn)信息調(diào)度中心運(yùn)行辦法》的通知精神,結(jié)合我礦的實(shí)際,為加強(qiáng)礦井信息調(diào)度工作,充分發(fā)揮調(diào)度協(xié)調(diào)職能,保證礦井生產(chǎn)任務(wù)的順利完成,特制定__煤炭開發(fā)有限公司安全生產(chǎn)信息調(diào)度中心運(yùn)行管理辦法。
一、調(diào)度運(yùn)行方式:
1、調(diào)度范圍:礦井所屬各單位。
2、調(diào)度內(nèi)容:各系統(tǒng)的安全、生產(chǎn)、銷售及重大突發(fā)事件。
3、調(diào)度的方式:采用調(diào)度網(wǎng)絡(luò)與電話調(diào)度,報(bào)表傳送,定時(shí)與不定時(shí)相結(jié)合的方式進(jìn)行調(diào)度;
4、時(shí)間與內(nèi)容:調(diào)度中心實(shí)行24小時(shí)值班制度。
二、工作職責(zé):
1、負(fù)責(zé)全礦日常生產(chǎn)的組織和指揮,按班、按日、按月、按旬完成原煤產(chǎn)量、開拓、掘進(jìn)進(jìn)尺等各項(xiàng)任務(wù)。
2、負(fù)責(zé)組織或召開生產(chǎn)調(diào)度會(huì),班前作業(yè)會(huì),生產(chǎn)平衡會(huì),及時(shí)解決生產(chǎn)中的一切具體問題,督促檢查執(zhí)行情況,凡是當(dāng)前生產(chǎn)急需解決的問題,有權(quán)對(duì)同級(jí)業(yè)務(wù)部門進(jìn)行統(tǒng)一調(diào)度,行使調(diào)度職權(quán)。
3、認(rèn)真貫徹安全生產(chǎn)方針,嚴(yán)格按照安全規(guī)程,作業(yè)規(guī)程,操作規(guī)程指揮生產(chǎn),對(duì)威脅安全生產(chǎn)的重大問題,有權(quán)下達(dá)調(diào)度命令,并督促有關(guān)部門采取迅速解決問題的有效措施,凡是發(fā)生重大事故,調(diào)度室要組織和指揮搶救工作,并組織盡快恢復(fù)生產(chǎn)。與此同時(shí),迅速將事故詳細(xì)情況通知有關(guān)單位,并向有關(guān)領(lǐng)導(dǎo)和局調(diào)度室匯報(bào)。
4、及時(shí)掌握全礦生產(chǎn)動(dòng)態(tài),對(duì)生產(chǎn)薄弱環(huán)節(jié)、采掘工作面接替情況及采掘工作的出勤率等問題,進(jìn)行專題調(diào)度。
5、抓好均衡生產(chǎn)。平時(shí)要狠抓夜班生產(chǎn)和月初、季初的生產(chǎn),安排好礦井計(jì)劃?rùn)z修工作,并督促檢查計(jì)劃執(zhí)行情況。
6、認(rèn)真做好上情下達(dá)、下情上報(bào)的工作,對(duì)領(lǐng)導(dǎo)指示,及時(shí)檢查貫徹執(zhí)行情況,對(duì)生產(chǎn)活動(dòng)及出現(xiàn)的重大問題,如實(shí)地向礦有關(guān)領(lǐng)導(dǎo)或上級(jí)業(yè)務(wù)部門匯報(bào)。
7、及時(shí)了解和掌握全礦各采掘工作面的安裝、生產(chǎn)準(zhǔn)備和日常生產(chǎn)情況。
8、經(jīng)常深入生產(chǎn)實(shí)際調(diào)查研究,掌握第一手資料,了解生產(chǎn)變化情況,及時(shí)向礦領(lǐng)導(dǎo)或有關(guān)部門提出建設(shè)性建議,保證生產(chǎn)不間斷地進(jìn)行。
9、建立建全完整的原始記錄,按時(shí)填寫各項(xiàng)圖表及排版,及時(shí)提供生產(chǎn)調(diào)度日?qǐng)?bào)和上月生產(chǎn)活動(dòng)分析。
10、上級(jí)調(diào)度通知、調(diào)度通報(bào),是傳達(dá)領(lǐng)導(dǎo)緊急指示、進(jìn)行緊急工作部署的重要手段,屬于緊急公文,并且具有同級(jí)正式文件的同等效力,礦屬各單位必須嚴(yán)格執(zhí)行。
11、調(diào)度人員有權(quán)參加礦生產(chǎn)作業(yè)計(jì)劃的編審工作,有權(quán)組織召集或參加有關(guān)生產(chǎn)或安全問題的一些會(huì)議。
12、根據(jù)礦領(lǐng)導(dǎo)指示或生產(chǎn)上緊急需要,有權(quán)調(diào)度所屬有關(guān)單位人力、物力以及車輛,各有關(guān)單位必須堅(jiān)決服從和執(zhí)行調(diào)度命令。
13、根據(jù)工作需要,調(diào)度人員有權(quán)了解計(jì)劃、生產(chǎn)措施和領(lǐng)導(dǎo)指示落實(shí)情況,有關(guān)單位或人員應(yīng)如實(shí)地提供情況和有關(guān)資料。
14、礦調(diào)度室經(jīng)常與采掘隊(duì)、輔助隊(duì)、銷售、供應(yīng)等單位加強(qiáng)聯(lián)系,及時(shí)解決存在的問題。
15、加強(qiáng)調(diào)度業(yè)務(wù)學(xué)習(xí),掌握計(jì)算機(jī)信息錄入程序,及時(shí)準(zhǔn)確填報(bào)各種生產(chǎn)數(shù)據(jù),并按時(shí)向有關(guān)部傳遞。
三、調(diào)度員崗位職責(zé):
1、負(fù)責(zé)掌握全礦安全生產(chǎn)動(dòng)態(tài),對(duì)當(dāng)班生產(chǎn)的重要問題,班隊(duì)長(zhǎng)的匯報(bào)情況,以及所發(fā)生的各種事故,及時(shí)安排處理,同時(shí)匯報(bào)有關(guān)領(lǐng)導(dǎo),做好記錄。
2、對(duì)上級(jí)領(lǐng)導(dǎo)和上級(jí)部門的指示、通知等要認(rèn)真做好記錄,迅速請(qǐng)有關(guān)領(lǐng)導(dǎo)傳閱,及時(shí)向有關(guān)單位傳達(dá),并了解其執(zhí)行情況。
3、在礦值班領(lǐng)導(dǎo)主持下,組織開好下一班的班前作業(yè)會(huì)議,為下班的生產(chǎn)做好準(zhǔn)備。
4、要認(rèn)真貫徹安全生產(chǎn)方針,搞好安全工作,制止違章指揮、違章作業(yè)和違反勞動(dòng)紀(jì)律的現(xiàn)象。
5、在發(fā)生人身事故時(shí),要嚴(yán)格按照《關(guān)于工傷搶救程序的規(guī)定》,立即組織搶救工作。
6、做好雨季“三防”的日常工作,并做好相關(guān)記錄。
7、每班及時(shí)向公司調(diào)度中心匯報(bào)各種數(shù)據(jù)和信息,并按要求及時(shí)輸入“生產(chǎn)調(diào)度管理系統(tǒng)”。
四、調(diào)度會(huì)議制度:
1、參加調(diào)度會(huì)議人員
(1)每日碰頭會(huì)(早7:00),由礦屬各采、掘、機(jī)、運(yùn)、通、輔助單位行政正職、職能科室正職參加。
(2)每日十六點(diǎn)班(15:00)、零點(diǎn)班(23:00)班前調(diào)度會(huì),由采掘隊(duì)、生產(chǎn)輔助隊(duì)值班干部和該隊(duì)工長(zhǎng)及礦當(dāng)日值班領(lǐng)導(dǎo)參加。
2、調(diào)度會(huì)議內(nèi)容及程序:
(1)碰頭會(huì)由調(diào)度主任主持,班前會(huì)議由調(diào)度員主持。準(zhǔn)時(shí)點(diǎn)名,通報(bào)上天生產(chǎn)任務(wù)完成情況,并做好當(dāng)天生產(chǎn)計(jì)劃、工作安排。
(2)會(huì)議前必須做好一切準(zhǔn)備工作,要講實(shí)效,時(shí)間不得超過30分鐘。
(3)會(huì)議宣傳貫徹上級(jí)安全生產(chǎn)方針、通報(bào)、指示、指令及礦領(lǐng)導(dǎo)指示精神,簡(jiǎn)要分析通報(bào)上班安全生產(chǎn)運(yùn)行和作業(yè)現(xiàn)場(chǎng)進(jìn)展情況。
(4)與會(huì)隊(duì)干部匯報(bào)當(dāng)班生產(chǎn)作業(yè)計(jì)劃,調(diào)度室將依據(jù)日作業(yè)計(jì)劃,結(jié)合作業(yè)現(xiàn)場(chǎng)及相關(guān)系統(tǒng)、環(huán)節(jié)的實(shí)際情況,下達(dá)其當(dāng)班生產(chǎn)任務(wù)以及一些臨時(shí)性工作安排,各隊(duì)要認(rèn)真組織落實(shí)。
(5)凡各區(qū)隊(duì)需下料或上下設(shè)備、管子、工字鋼、單體支柱,打躲避洞,打絞車基礎(chǔ),鋪道,移裝巖機(jī)等工作時(shí),必須在碰頭會(huì)或班前會(huì)上作計(jì)劃,凡各單位干零星雜活未向調(diào)度室做計(jì)劃私自安排,造成不良后果,均由該隊(duì)長(zhǎng)負(fù)擔(dān)一切費(fèi)用,并按照有關(guān)文件追究其責(zé)任。
(6)每日碰頭會(huì),由安檢、生產(chǎn)、機(jī)電、調(diào)度、礦領(lǐng)導(dǎo)針對(duì)礦井安全生產(chǎn)過程中存在的問題以及當(dāng)前階段性工作任務(wù),提出具體解決辦法和安排意見,及時(shí)協(xié)調(diào)各區(qū)隊(duì)和各環(huán)節(jié)急待解決問題。
3、要求和紀(jì)律:
(1)所有按要求參加調(diào)度會(huì)議的人員,必須準(zhǔn)時(shí)到會(huì),遲到一次罰款20元,礦會(huì)一次罰款50元。確因有事不能參加者,必須事先向礦級(jí)領(lǐng)導(dǎo)主管和調(diào)度主任請(qǐng)假,否則按曠會(huì)論處。
(2)當(dāng)班調(diào)度員必須按時(shí)督促碰頭會(huì)或班前會(huì)議所安排的工作任務(wù)的完成情況。
(3)開會(huì)期間手機(jī)必須設(shè)為振動(dòng)或關(guān)機(jī)狀態(tài),響鈴一次罰款50元;
(4)各單位對(duì)生產(chǎn)中存在的問題及解決方案必須事先溝通,確實(shí)需上會(huì)時(shí)再提出,嚴(yán)禁推諉扯皮。
五、區(qū)隊(duì)干部值班制度:
1、各區(qū)隊(duì)必須在每月1日前,將本隊(duì)全月干部值班安排表上報(bào)調(diào)度室,若值班人員有變化時(shí),要及時(shí)通知調(diào)度室,否則每次罰款50元。
2、區(qū)隊(duì)必須堅(jiān)持24小時(shí)不間斷值班制度(在其隊(duì)部值班),調(diào)度室隨時(shí)查崗,每班不少于一次。
3、若值班人員有事要暫時(shí)離開隊(duì)部時(shí),必須事先向調(diào)度室請(qǐng)示,并說明去向,征得同意后,必須安排本隊(duì)其他人員留守在隊(duì)部接聽電話。
4、若值班干部中途有事要離開礦區(qū)時(shí),必須由該隊(duì)其他干部代替值班,并通知調(diào)度室,代替人員到位后,原值班干部方可離開。
5、每發(fā)現(xiàn)值班干部脫崗一次,罰款20元;無人值班,罰款50元,并由該值班干部承擔(dān)因脫崗或空崗所產(chǎn)生的一切不良后果。
6、全礦所有干部及業(yè)務(wù)主管人員手機(jī)必須保持待機(jī)狀態(tài),發(fā)現(xiàn)手機(jī)關(guān)機(jī),每次處罰200元,并追究責(zé)任。
六、跟班干部及工長(zhǎng)匯報(bào)制度:
1、各采掘隊(duì)必須由隊(duì)干部現(xiàn)場(chǎng)跟班,跟班干部對(duì)本班的安全生產(chǎn)工作負(fù)全責(zé),保證本班生產(chǎn)任務(wù)的完成,確保安全工作。
2、跟班干部要堅(jiān)持每班三次的(向調(diào)度室)匯報(bào)制度——班初匯報(bào)(匯報(bào)上班完成情況及遺留問題、當(dāng)班計(jì)劃等)、班中匯報(bào)(匯報(bào)當(dāng)班工作進(jìn)展情況)、班末匯報(bào)(匯報(bào)本班任務(wù)完成情況及存在問題)。如有特殊事情,必須及時(shí)匯報(bào)調(diào)度室。
3、當(dāng)班工長(zhǎng)也要堅(jiān)持每班兩次的匯報(bào)制度——班初匯報(bào)(匯報(bào)出勤人數(shù)、當(dāng)班計(jì)劃等)、班末匯報(bào)(匯報(bào)本班任務(wù)完成情況)。
4、跟班人員和當(dāng)班工長(zhǎng)要按時(shí)匯報(bào),遲匯報(bào)一次,罰款5元;少匯報(bào)一次,罰款10元;不匯報(bào)按無跟班或無工長(zhǎng)論處,無跟班或無工長(zhǎng)者一次罰款50元,罰該隊(duì)隊(duì)長(zhǎng)100元,并追究有關(guān)人員的責(zé)任。
5、跟班干部和當(dāng)班工長(zhǎng)必須同本班人員同上同下,發(fā)現(xiàn)遲下或早上者,一次罰款30元。
6、跟班人員要認(rèn)真履行職責(zé),及時(shí)向調(diào)度室如實(shí)匯報(bào)情況(例如生產(chǎn)影響和事故等),堅(jiān)決杜絕虛報(bào)瞞報(bào)現(xiàn)象的發(fā)生,否則,要嚴(yán)格追究當(dāng)班跟班干部的責(zé)任。
七、停工誤時(shí)管理制度:
1、停工誤時(shí)是指因設(shè)備故障、材料供應(yīng)、安全質(zhì)量等原因造成本單位或其它單位生產(chǎn)中斷,影響產(chǎn)量進(jìn)尺和正常生產(chǎn)組織的非人身事故的總稱。
各單位需檢修的設(shè)備必須在前一天提出計(jì)劃,由調(diào)度室主任全面協(xié)調(diào)后,在當(dāng)日碰頭會(huì)上進(jìn)行安排,但必須規(guī)定時(shí)間,落實(shí)責(zé)任人。檢修完畢后及時(shí)向調(diào)度室匯報(bào),調(diào)度臺(tái)做好記錄,此期間在規(guī)定時(shí)間內(nèi)完成不計(jì)本單位誤時(shí),否則按誤時(shí)處理。
所有臨時(shí)性安排任務(wù)歸口調(diào)度室管理,被安排單位必須無條件立即執(zhí)行,否則,按照停工誤時(shí)論處。
2、事故處理程序:
(1)凡發(fā)生事故造成生產(chǎn)中斷的單位,必須立即匯報(bào)礦調(diào)度室,跟班干部必須在現(xiàn)場(chǎng)立即組織人員積極搶修、處理,避免事故擴(kuò)大或誤時(shí)延長(zhǎng)。
(2)各單位的事故處理,必須聽從調(diào)度室的統(tǒng)一協(xié)調(diào)指揮,凡不服從者,造成事故擴(kuò)大或誤時(shí)延長(zhǎng),按責(zé)任劃分,予以加倍處罰,并追究部門領(lǐng)導(dǎo)責(zé)任。
(3)調(diào)度室按事故的影響范圍或程度,需調(diào)度其它單位人員或物資時(shí),必須無條件服從,積極組織處理,否則按同類事故影響追究責(zé)任。
(4)事故單位處理完畢后,跟班干部應(yīng)立即匯報(bào)調(diào)度室 ,并對(duì)現(xiàn)場(chǎng)工作安排詳細(xì)說明,調(diào)度室做好記錄。
3、必須追查處理的事故:
(1)機(jī)電事故:造成生產(chǎn)單位停產(chǎn)超過1小時(shí)或直接經(jīng)濟(jì)損失500元以上的事故。
(2)頂板事故:造成生產(chǎn)中斷1小時(shí)以上或影響產(chǎn)量100噸以上,進(jìn)尺1.5米以上的事故。
(3)運(yùn)輸事故:主、副井提升井下運(yùn)輸系統(tǒng),停運(yùn)1小時(shí)以上,或副提升系統(tǒng)停運(yùn)2小時(shí),或生產(chǎn)單位停產(chǎn)1小時(shí)的事故。
(4)其它事故:造成生產(chǎn)單位或系統(tǒng)影響,影響職工延時(shí)1小時(shí)以上的事故。
4、事故追查的管理規(guī)定:
(1)調(diào)度室負(fù)責(zé)事故追查的組織工作。按事故性質(zhì)通知分管領(lǐng)導(dǎo),職能科室、事故單位負(fù)責(zé)人及事故有關(guān)人員按時(shí)參加。
(2)對(duì)2小時(shí)以下的誤時(shí),由當(dāng)日值班人員主持追查;2小時(shí)以上的誤時(shí)由調(diào)度主任及有關(guān)業(yè)務(wù)科室參加,生產(chǎn)礦長(zhǎng)主持追查。
(3)事故的追查要達(dá)到“快、嚴(yán)、細(xì)、準(zhǔn)”,結(jié)果由調(diào)度室在追查后4小時(shí)內(nèi)通報(bào)全礦。
(4)凡被通知參加追查的人員,必須按時(shí)參加,無故不參加者,每次罰款50元。
(5)對(duì)事故追查必須尊重客觀事實(shí),需查看現(xiàn)場(chǎng)時(shí)應(yīng)及時(shí)組織相關(guān)人員到現(xiàn)場(chǎng)了解,堅(jiān)持實(shí)事求是的原則。先從管理上查找并分析事故原因,責(zé)任必須落實(shí)到人,并制定切實(shí)可行的防范措施,寫出書處理意見,交礦調(diào)度室。
5、對(duì)事故責(zé)任單位及責(zé)任者造成經(jīng)濟(jì)損失賠償?shù)囊?guī)定:
(1)對(duì)影響安全生產(chǎn)的誤時(shí)要進(jìn)行考核和處理。對(duì)造成局部性停工誤時(shí)的責(zé)任單位按1.5元/分鐘進(jìn)行處罰;對(duì)造成某一系統(tǒng)或全礦停產(chǎn)誤時(shí)的對(duì)責(zé)任單位按3.0元/分鐘進(jìn)行處罰。
(2)事故造成1000元以內(nèi)經(jīng)濟(jì)損失的,由責(zé)任者賠償損失的20%—40%,直接經(jīng)濟(jì)損失在1001—5000元者,由責(zé)任者賠償損失的10%—30%,并給予行政警告處分,其余部分由其單位負(fù)責(zé)賠償。
(3)對(duì)因個(gè)人操作不符合規(guī)定或擅離職守,而造成設(shè)備損壞,由責(zé)任者按100%賠償。
(4)對(duì)事故隱瞞不報(bào)者,一經(jīng)查出,每次罰款50元。
(5)事故責(zé)任單位及個(gè)人罰款、賠償,經(jīng)追查小組決定后由調(diào)度室月末出據(jù)罰單(一式三份,調(diào)度、財(cái)務(wù)、個(gè)人各持一份)通知到責(zé)任單位及責(zé)任者,由財(cái)務(wù)科執(zhí)罰。
(6)各單位全月誤時(shí)超過規(guī)定指標(biāo),扣干部工資10%。
附:各單位誤時(shí)控制指標(biāo)
單位 | 全月誤時(shí)控制指標(biāo) | 備注 |
采煤隊(duì) | 16h | |
掘進(jìn)隊(duì) | 8h | 指一個(gè)掘進(jìn)頭 |
運(yùn)一隊(duì) | 8h | |
運(yùn)二隊(duì) | 8h | |
機(jī)電隊(duì) | 12h | |
通維隊(duì) | 4h | |
生產(chǎn) | 0 | |
供應(yīng) | 0 | |
銷售 | 0 |
為了確保我礦實(shí)現(xiàn)安全生產(chǎn)年,進(jìn)一步完善工傷搶救程序,加強(qiáng)各級(jí)領(lǐng)導(dǎo)的安全意識(shí)和責(zé)任心,使工傷人員能夠迅速搶救上井并得以及時(shí)治療,結(jié)合我礦實(shí)際,特制定如下措施:
1、加強(qiáng)各級(jí)領(lǐng)導(dǎo)值班制度和采掘區(qū)隊(duì)現(xiàn)場(chǎng)跟班制度值班期間有事必須向調(diào)度室請(qǐng)假,說明去向和電話號(hào)碼,并能在10分鐘內(nèi)找見,如去處用電話無法聯(lián)系時(shí),必須找本單位其它領(lǐng)導(dǎo)代替值班,否則不得離開值班崗位,嚴(yán)禁脫崗和空崗。
2、井下發(fā)生工傷,工傷所在單位必須立即如實(shí)向調(diào)度室匯報(bào)受傷人單位、姓名、受傷部位、受傷地點(diǎn)、傷勢(shì)情況,調(diào)度室通知該單位領(lǐng)導(dǎo)立即停止一切工作,組織現(xiàn)場(chǎng)人員盡力搶救和井上快速運(yùn)送受傷人員。
3、調(diào)度室接到受傷情況匯報(bào)后,做好記錄,并按以下程序通知:
(1)立即通知運(yùn)輸大巷(電話8040),停止沿途其他工作,將電車開往出事地點(diǎn)接送工傷人員。
(2)通知副井信號(hào)工(電話8034),通知副絞車司機(jī)(電話),聽到信號(hào)后,將罐籠放至下部等待工傷人員。
(3)通知調(diào)度值班司機(jī)魏鋒洲(電話:15091431884)。
(4)通知調(diào)度主任周志明(電話15929712697)。
(5)通知當(dāng)天值班領(lǐng)導(dǎo)。
(6)受傷部位在腰部以上者,立即匯報(bào)公司調(diào)度中心(電話:6791202)。
(7)通知:何成育王掌學(xué)種盈倉(cāng)王建芳
同戰(zhàn)倉(cāng)李建平宋錄才
(8)傷勢(shì)嚴(yán)重時(shí)通知:
張存乾韓對(duì)民王全堂王萬恒同新立
鄧曉奇醫(yī)院負(fù)責(zé)人劉建軍何兵王忠斌
4、傷員上井后,要積極組織醫(yī)護(hù)人員搶救,必要時(shí)送局醫(yī)院搶救,并及時(shí)將情況匯報(bào)調(diào)度室。
5、調(diào)度室通知沿線車輛時(shí)間必須在5分鐘之內(nèi)通知完,通知有關(guān)領(lǐng)導(dǎo)必須在15分鐘之內(nèi)完成。
6、礦醫(yī)院接到調(diào)度室電話后做好搶救準(zhǔn)備工作,如工傷危重,立即在15分鐘內(nèi)帶搶救箱,去井口等待進(jìn)行應(yīng)急處理,并護(hù)送工傷到醫(yī)院。
礦井各部門負(fù)責(zé)人電話號(hào)碼
序號(hào) | 部門職務(wù) | 姓名 | 電話 |
1 | 總經(jīng)理 | 張存乾 | 13992311359 |
2 | 副總經(jīng)理 | 王建芳 | 13772766299 |
3 | 副總經(jīng)理 | 種盈倉(cāng) | 13572331879 |
4 | 副總經(jīng)理 | 王掌學(xué) | 13892384088 |
5 | 副總經(jīng)理 | 何成育 | 13892384078 |
6 | 副總經(jīng)理 | 韓對(duì)民 | 13992337336 |
7 | 生產(chǎn)負(fù)責(zé)人 | 劉建軍 | 13892524199 |
宋錄才 | 13571376914 | ||
8 | 安監(jiān)負(fù)責(zé)人 | 李建平 | 13892352862 |
9 | 機(jī)電負(fù)責(zé)人 | 何兵 | 13474457109 |
10 | 技術(shù)科負(fù)責(zé)人 | 同戰(zhàn)倉(cāng) | 13759689096 |
11 | 供應(yīng)負(fù)責(zé)人 | 同新立 | 13892524498 |
12 | 通風(fēng)負(fù)責(zé)人 | 王忠斌 | 13772779639 |
13 | 財(cái)務(wù)負(fù)責(zé)人 | 王萬恒 | 13892573500 |
14 | 勞人負(fù)責(zé)人 | 王全堂 | 13891312631 |
15 | 后勤負(fù)責(zé)人 | 鄧曉奇 | 13572365990 |
16 | 辦公室負(fù)責(zé)人 | 王社永 | 13892319062 |
17 | 衛(wèi)生負(fù)責(zé)人 |
上一頁(yè)12下一頁(yè)
第13篇 信息科技部-安全管理中心團(tuán)隊(duì)負(fù)責(zé)人工作職責(zé)與職位要求
職位描述:
工作職責(zé):
1、根據(jù)總行審計(jì)部、風(fēng)險(xiǎn)管理部和信息科技部的戰(zhàn)略目標(biāo),負(fù)責(zé)全行信息安全中心的整體規(guī)劃和設(shè)計(jì);
2、建立信息安全體系,將安全工作標(biāo)準(zhǔn)化、公開化。落實(shí)多層級(jí)的項(xiàng)目管理機(jī)制,確保安全體系落地執(zhí)行;
3、負(fù)責(zé)研究、分析監(jiān)管動(dòng)態(tài)、行業(yè)信息安全技術(shù)發(fā)展趨勢(shì)、同業(yè)信息安全動(dòng)態(tài),對(duì)行內(nèi)信息安全管理水平的提升提出建設(shè)性意見;
4、通過對(duì)安全工作與安全項(xiàng)目信息匯總、分析,為決策層提供可行性建議和支持;
5、協(xié)助開展安全管理工作,對(duì)安全工作進(jìn)行評(píng)定,發(fā)現(xiàn)存在的風(fēng)險(xiǎn),督促落實(shí)安全問題的解決工作;
6、負(fù)責(zé)團(tuán)隊(duì)的組建和培養(yǎng),帶領(lǐng)團(tuán)隊(duì)完成項(xiàng)目任務(wù)。
職位要求:
1、計(jì)算機(jī)相關(guān)專業(yè)本科以上學(xué)歷,6年以上安全工作經(jīng)驗(yàn);
2、具備扎實(shí)的安全理論基礎(chǔ),了解各類安全技術(shù)原理,精通業(yè)內(nèi)主流安全趨勢(shì),熟悉業(yè)界安全攻防動(dòng)態(tài);
3、具備扎實(shí)的信息安全管理理論知識(shí),能把握到監(jiān)管、合規(guī)風(fēng)向,從而完善信息安全治理方向。
4、具備銀行業(yè)/互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗(yàn);
5、具備優(yōu)秀的邏輯思維能力,善于分析問題和解決問題。
6、具備團(tuán)隊(duì)管理經(jīng)驗(yàn),有相同崗位任職者優(yōu)先。
第14篇 保密和信息安全管理規(guī)定
為了防止信息和技術(shù)的泄密,導(dǎo)致嚴(yán)重災(zāi)難的發(fā)生,特制訂本規(guī)定:
一、公司秘密包括:
1、公司股東、董事會(huì)資料,會(huì)議記錄、紀(jì)要,保密期限內(nèi)的重要決定事項(xiàng);
2、公司的年度工作總結(jié),財(cái)務(wù)預(yù)算決算報(bào)告,繳納稅款、營(yíng)銷報(bào)表和各種綜合統(tǒng)計(jì)報(bào)表;
3、公司業(yè)務(wù)資料,貨源情報(bào)和對(duì)供應(yīng)商調(diào)研資料;
4、公司開發(fā)設(shè)計(jì)資料、技術(shù)資料和生產(chǎn)情況;
5、客戶提供的一切文件、資料等;
6、公司各部門人員編制、調(diào)整、未公布的計(jì)劃,員工福利待遇資料;
7、公司的安全防范狀況及存在問題;
8、公司員工違法違紀(jì)的檢舉、投訴、調(diào)查材料,發(fā)生案件、事故的調(diào)查登記資料;
9、公司、法人代表的印章、營(yíng)業(yè)執(zhí)照、財(cái)務(wù)印章、合同協(xié)議。
二、公司的保密制度:
1、文件、傳真、郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理;
2、凡涉及公司內(nèi)部秘密的文件資料的報(bào)廢處理,必須首先碎紙,不準(zhǔn)未經(jīng)碎紙丟棄處理;
3、公司員工本人工作所持有的各種文件、資料、電子文檔(便攜設(shè)備,光盤等),當(dāng)本人離開辦公室外出時(shí),須存放入文件柜或抽屜,不準(zhǔn)隨意亂放,未經(jīng)批準(zhǔn),不能復(fù)制抄錄或攜帶外出;
4、未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供公司的任何保密資料;
5、未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供客戶的任何資料;
6、妥善保管好各種財(cái)務(wù)賬冊(cè)、公司證照、印章。
三、電腦保密措施:
1、不要將機(jī)密文件及可能是受保護(hù)文件隨意存放,文件的存放在分類分目錄存放于指定位置;
2、未經(jīng)領(lǐng)導(dǎo)許可,不要打開或嘗試打開他人文件,以避免泄密或文件的損壞;
3、對(duì)不明來歷的郵件或文件不要查看或嘗試打開,以避免計(jì)算機(jī)中病毒,并盡快請(qǐng)電腦室人員來檢查。
4、在一些郵件中的附件中,如果有可疑附件時(shí),請(qǐng)先用殺毒軟件詳細(xì)查殺后再使用,或請(qǐng)電腦室人員處理。
5、不要隨便嘗試不明的或不熟悉的計(jì)算機(jī)操作步驟。遇到計(jì)算機(jī)發(fā)生異常而自己無法解決時(shí),就立即通知電腦部門外,請(qǐng)專業(yè)人員解決;
6、不要隨便安裝或使用不明來源的軟件或程序。不要隨便運(yùn)行或刪除電腦上的文件或程序。
7、收到無意義的郵件后,應(yīng)及時(shí)清除,不要蓄意或惡意地回寄這些郵件。
8、不向他人披露使用密碼,防止他人接觸計(jì)算機(jī)系統(tǒng)造成意外。
9、定期更換密碼,如發(fā)現(xiàn)密碼已泄漏,就盡快更換。公司規(guī)定是三個(gè)月一換。it部門負(fù)責(zé)監(jiān)督。定期用殺毒程序掃描計(jì)算機(jī)系統(tǒng)。對(duì)于新的軟件、檔案或電子郵件,應(yīng)選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進(jìn)行適當(dāng)?shù)奶幚砗蟛趴砷_啟使用。
10、先以加密技術(shù)保護(hù)敏感的數(shù)據(jù)文件,然后才通過公司網(wǎng)絡(luò)及互聯(lián)網(wǎng)進(jìn)行傳送。在適當(dāng)?shù)那闆r下,利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名。
11、對(duì)于不熟的人員,請(qǐng)不要讓其隨意使用你的計(jì)算機(jī)。
12、不要隨意將公司或個(gè)人的文件發(fā)送給他人,或打開給他人查看或使用。
13、在計(jì)算機(jī)使用或管理上如有任何疑問,請(qǐng)?jiān)儐栯娔X室人員。
四、公司的保密措施:
1、公司中層以上領(lǐng)導(dǎo),要自覺帶頭遵守保密制度。
2、公司各部門要運(yùn)用各種形式經(jīng)常對(duì)所屬員工進(jìn)行保密教育增強(qiáng)保密觀念。
3、全體員工自覺遵守保密基本準(zhǔn)則,做到:不該說的機(jī)密,絕對(duì)不說,不該看的機(jī)密,絕對(duì)不看(含超越自己職責(zé)、業(yè)務(wù)范圍的文件、資料、電子文檔)。
4、對(duì)員工因不遵守公司規(guī)定,造成泄密事件,依照有關(guān)法規(guī)及公司的獎(jiǎng)懲規(guī)定,給予紀(jì)律制裁.解雇,直至追究刑事責(zé)任。
第15篇 信息科安全管理職責(zé)
一、負(fù)責(zé)本礦安全隱患信息的收集、分析、匯總、上報(bào)。
二、負(fù)責(zé)當(dāng)班井下各作業(yè)地點(diǎn)的隱患排查信息的收集和上報(bào)工作。
三、對(duì)一般隱患信息要及時(shí)報(bào)告當(dāng)班處置員,在處置員力量不足的情況下,協(xié)助處置安全隱患。
四、信息科發(fā)現(xiàn)隱患時(shí),有權(quán)對(duì)井下局部作業(yè)地點(diǎn)停止作業(yè),發(fā)現(xiàn)重大隱患時(shí)有權(quán)對(duì)全礦井停止作業(yè),撤出人員并及時(shí)上報(bào)中心。
五、對(duì)主扇風(fēng)機(jī)'三薄'記錄不健全,附屬設(shè)施不完善的,要及時(shí)上報(bào)中心。
六、對(duì)采掘工作面無風(fēng)、微風(fēng)作業(yè)的有權(quán)停止。
七、對(duì)掘進(jìn)工作面不進(jìn)行探放水的,有權(quán)停止作業(yè),并進(jìn)行嚴(yán)厲處罰,建議中心辭退。
八、對(duì)當(dāng)班沒有瓦斯員上班的工作面,有權(quán)停止當(dāng)班作業(yè)。
九、對(duì)作業(yè)面瓦斯傳感器、一氧化碳傳感器不到位的要嚴(yán)厲處罰,對(duì)無傳感器的要停止作業(yè),撤出人員。
十、對(duì)局扇風(fēng)機(jī)無專人管理,無掛牌管理,未實(shí)行'風(fēng)電閉鎖'的,有權(quán)停止掘進(jìn)工作面作業(yè)。
十一、對(duì)灑水、防塵不到位的有權(quán)停止作業(yè)。
十二、對(duì)當(dāng)班瓦斯員空檢、漏檢,不執(zhí)行瓦斯巡回路線的瓦斯員要進(jìn)行嚴(yán)格處罰。
十三、對(duì)當(dāng)班'三違'人員進(jìn)行制止、處罰、教育。
十四、參加班前、班后會(huì),收集職工思想安全隱患信息。
十五、對(duì)酒后入井、精神狀態(tài)不振的人員,有權(quán)停止當(dāng)班作業(yè)。
十六、對(duì)穿化纖衣服,不佩戴自救器的工人,有權(quán)停止當(dāng)班作業(yè)。
十七、對(duì)帶有煙草、引火物品入坑的工人,要進(jìn)行嚴(yán)厲處罰停工。
十八、對(duì)跟班礦長(zhǎng)不入坑的,有權(quán)停止當(dāng)班作業(yè)。
十九、對(duì)當(dāng)班掘進(jìn)工作面不探水的,有權(quán)停止當(dāng)班作業(yè)。
二十、對(duì)帶點(diǎn)檢修、帶點(diǎn)搬遷,有權(quán)停止作業(yè),并進(jìn)行處罰。
二十一、對(duì)違章排放瓦斯,有權(quán)停止作業(yè)并處罰。
二十二、對(duì)未經(jīng)培訓(xùn)無證上崗人員,有權(quán)停止入井。
二十三、主要提升設(shè)備保護(hù)不全,禁止人員入井,對(duì)斜井、斜巷五'一坡三檔'裝置或裝置不全,失效的,對(duì)不執(zhí)行'行車不行人,行人不行車'規(guī)定的,要及時(shí)上報(bào)和處罰。
二十四、對(duì)人行車無煤安標(biāo)志、防墜器和制動(dòng)裝置失靈的,有權(quán)停止作業(yè)并上報(bào)中心。
二十五、對(duì)不執(zhí)行'一炮三檢'和'三人聯(lián)鎖放炮'的,有權(quán)制止和處罰。
二十六、對(duì)非爆破工領(lǐng)取雷管,炸藥雷管混運(yùn),工作面炸藥雷管未分箱存放,加鎖保管的,有權(quán)停工和處罰。
二十七、對(duì)炮眼無封泥、封泥不足或填充不實(shí)進(jìn)行爆破的,有權(quán)停工和處罰。
二十八、對(duì)掘進(jìn)工作面空頂作業(yè),回采工作面端頭支護(hù)不到位,有權(quán)停工處罰并上報(bào)中心。
二十九、對(duì)井下施工質(zhì)量不達(dá)標(biāo)準(zhǔn),有權(quán)停止作業(yè)并上報(bào)中心。