信息安全管理15篇

第1篇 信息科技部-安全管理中心-安全架構(gòu)崗工作職責(zé)與職位要求

職位描述：

職位描述：

1.負(fù)責(zé)對基礎(chǔ)架構(gòu)、重要業(yè)務(wù)進(jìn)行安全評估，提供可落地的解決方案；

2.負(fù)責(zé)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用的檢測與防護(hù)的安全研究工作；

3.指導(dǎo)并參與各類安全系統(tǒng)的研發(fā)工作，對現(xiàn)有安全系統(tǒng)進(jìn)行優(yōu)化和改進(jìn)；

4.負(fù)責(zé)對重點(diǎn)項(xiàng)目進(jìn)行安全評審，識別架構(gòu)中的安全風(fēng)險(xiǎn)，提出改進(jìn)建議；

5.負(fù)責(zé)對各類疑難安全問題、安全事件的分析及應(yīng)急響應(yīng)。

6.負(fù)責(zé)信息安全體系與架構(gòu)落地推進(jìn)。

職位要求：

1.計(jì)算機(jī)相關(guān)專業(yè)本科以上學(xué)歷，五年以上安全工作經(jīng)驗(yàn)；

2.具備扎實(shí)的安全理論基礎(chǔ)，精通主流安全漏洞原理，熟悉業(yè)界安全攻防動態(tài)；

3.熟悉主流的安全技術(shù)與產(chǎn)品，如：ids、siem、waf、日志分析、db審計(jì)等；

4.具備互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗(yàn)；

5.至少熟悉一種編程語言（如：java、python、php等），有一定的開發(fā)能力；

6.具備優(yōu)秀的邏輯思維能力，善于解決問題和分析問題。

第2篇 信息在安全管理中的作用

對于安全信息在安全管理中的作用，可從各個(gè)不同角度加以概括。以下僅從一般原理的角度將安全信息的作用歸納為4個(gè)方面。

1．從安全管理系統(tǒng)的角度看，安全信息是安全管理系統(tǒng)的基本構(gòu)成要素和有機(jī)聯(lián)系的介質(zhì)

我們在前面已經(jīng)講過，任何一項(xiàng)安全管理活動，都是由安全管理主體、安全管理客體、安全管理目的、安全管理職能、安全管理環(huán)境5個(gè)要素構(gòu)成。而從系統(tǒng)的角度看，安全管理活動其實(shí)就是安全管理系統(tǒng)的運(yùn)動狀態(tài)。如果進(jìn)一步分析，安全管理主體、客體、目的、職能、環(huán)境又是由什么構(gòu)成的呢從其具體形態(tài)來看，無非是人、財(cái)、物、信息4大要素，其原因如下。

①安全管理主體是由人構(gòu)成，而人之所以成為安全管理主體，主要是因?yàn)樗钟心撤N安全管理權(quán)力，懷有某種安全管理目的并形成了某種安全管理行為或職能。人的安全管理目的、行為或職能并不表現(xiàn)為某種物質(zhì)形態(tài)，只能表現(xiàn)為信息形態(tài)。同時(shí)，安全管理主體以某種安全管理目的和安全管理行為對安全管理客體施加影響和進(jìn)行控制、也主要是以安全信息為媒介。

②安全管理客體一般由人、財(cái)、物構(gòu)成，但是它們之所以成為安全管理客體，主要是因?yàn)榕c安全管理主體發(fā)生了管理與被管理的關(guān)系。這種關(guān)系實(shí)際上是一種以安全信息為介質(zhì)，表現(xiàn)為安全信息的輸出、輸入和反饋的關(guān)系。此外，就安全管理客體本身來說，它作為一個(gè)整體，人、財(cái)、物之間的有機(jī)聯(lián)系也離不開以安全信息為介質(zhì)。

③安全管理環(huán)境，實(shí)際上是指安全管理系統(tǒng)以外的系統(tǒng)。之所以把它作為安全管理的要素，主要是因?yàn)樗厝灰獙Π踩芾硐到y(tǒng)產(chǎn)生影響，而這種影響主要是表現(xiàn)為各種安全信息的交換關(guān)系。

綜上所述不難理解，安全信息是安全管理的基本要素，又是系統(tǒng)中各要素有機(jī)結(jié)合、相互作用的介質(zhì)。離開了安全信息，既不能有安全管理系統(tǒng)的存在，也不能有安全管理活動的存在。

2.從安全管理過程的角度看，整個(gè)安全管理過程實(shí)際上就是安全信息的輸入、輸出和反饋的過程，所有安全管理工作也就是以安全信息處理為中心的工作

安全管理的過程是安全管理主體對安全管理客體施加影響和進(jìn)行控制的過程，也是安全管理的各項(xiàng)職能發(fā)揮的過程。這個(gè)過程實(shí)際上是一個(gè)以安全信息為媒介，表現(xiàn)為安全信息的不斷輸入、輸出和反饋的過程。安全管理中所做的工作，實(shí)際上也是以安全信息處理為中心的工作。

如果我們把整個(gè)安全管理過程和安全管理工作簡化為計(jì)劃、實(shí)施和控制3個(gè)環(huán)節(jié)，那么安全信息在這3個(gè)環(huán)節(jié)的輸入、輸出和反饋的過程如圖6—1所示。

第3篇 安全生產(chǎn)信息管理規(guī)定

第一章 總則

第一條 安全生產(chǎn)信息是總結(jié)事故教訓(xùn)、研究事故規(guī)律、有針對性地制訂反事故措施的重要依據(jù),是落實(shí)“四不放過”的重要環(huán)節(jié)。安全生產(chǎn)信息的及時(shí)、準(zhǔn)確、完整報(bào)送是確保事故處理及時(shí)、穩(wěn)妥的關(guān)鍵,是及時(shí)、全面、準(zhǔn)確地掌握安全生產(chǎn)工作的開展情況,把握安全生產(chǎn)動態(tài),為領(lǐng)導(dǎo)和上級決策部署提供有價(jià)值的信息資源的有效途徑。

第二條 為保證安全生產(chǎn)信息匯報(bào)及時(shí)、準(zhǔn)確、完整,充分發(fā)揮安全信息在安全生產(chǎn)工作中的作用,確保公司安全生產(chǎn)信息暢通,各類安全生產(chǎn)信息及時(shí)準(zhǔn)確上報(bào),依據(jù)南方電網(wǎng)《電力生產(chǎn)事故調(diào)查規(guī)程》和《電力公司安全生產(chǎn)信息管理規(guī)定》,結(jié)合公司實(shí)際,特制定本規(guī)定。

第三條 本規(guī)定明確了安全生產(chǎn)信息職責(zé)、分類、匯報(bào)流程,報(bào)送規(guī)定。

第四條 本規(guī)定適用于公司各發(fā)電廠。

第二章 職責(zé)

第五條 公司總經(jīng)理是安全生產(chǎn)信息管理工作的第一責(zé)任人,分管安全生產(chǎn)副總經(jīng)理對具體安全生產(chǎn)信息管理工作負(fù)直接領(lǐng)導(dǎo)責(zé)任。

第六條 質(zhì)安部是安全生產(chǎn)信息的歸口管理部門,負(fù)責(zé)組織填寫人身事故統(tǒng)計(jì)報(bào)表,負(fù)責(zé)審核設(shè)備、電網(wǎng)事故(障礙)報(bào)表,負(fù)責(zé)匯總、核實(shí)各類安全生產(chǎn)信息及發(fā)布,并電力調(diào)度控制中心上報(bào)。

第七條 生技部是安全生產(chǎn)信息的專業(yè)管理部門,負(fù)責(zé)提供安全生產(chǎn)信息管理工作中所需的技術(shù)數(shù)據(jù),組織填寫有關(guān)電網(wǎng)、設(shè)備事故(障礙)統(tǒng)計(jì)報(bào)表,負(fù)責(zé)擬寫電網(wǎng)、設(shè)備事故(障礙)技術(shù)調(diào)查分析資料。

第八條 各車間按照本規(guī)定要求及時(shí)、準(zhǔn)確、完整地匯報(bào)安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件,并負(fù)責(zé)填報(bào)本級的安全生產(chǎn)信息報(bào)表。

第三章 安全生產(chǎn)信息分類

第九條 安全生產(chǎn)信息是指公司發(fā)生的《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故(障礙)情況的信息、生產(chǎn)設(shè)備基礎(chǔ)數(shù)據(jù)、生產(chǎn)設(shè)備運(yùn)行信息、安全生產(chǎn)統(tǒng)計(jì)、分析及總結(jié)等綜合性的信息組成。

第十條 安全生產(chǎn)信息包括

(一)安全生產(chǎn)緊急信息

(二)事故(障礙)報(bào)表(匯報(bào))

(三)事故快報(bào)

(四)安全信息快報(bào)

(五)安全簡報(bào)

(六)基礎(chǔ)數(shù)據(jù)信息

(七)安全生產(chǎn)季度分析

第十一條 安全生產(chǎn)緊急信息是指發(fā)生《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故及障礙(包括各類人身傷害事故),已經(jīng)嚴(yán)重威脅電網(wǎng)安全穩(wěn)定運(yùn)行和人身安全的有關(guān)信息。

第十二條 事故(障礙)報(bào)表(匯報(bào))是指發(fā)生《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故及障礙后,按照電力公司《填報(bào)手冊》要求填寫的相關(guān)報(bào)表資料。

第十三條 事故快報(bào)是指發(fā)生惡性誤操作事故、人身重傷及以上的傷亡事故(包括外包工程)以及地方電力調(diào)度控制中心確定性質(zhì)嚴(yán)重的生產(chǎn)設(shè)備及人身事故時(shí),以書面形式向地方電力調(diào)度控制中心上報(bào)的事故經(jīng)過、傷亡人數(shù)、直接經(jīng)濟(jì)損失、事故原因及事故處理意見,事故現(xiàn)場的照片或錄象資料等信息。

第十四條 安全信息快報(bào)是指定期向地方電力調(diào)度控制中心匯報(bào)本單位達(dá)到地方電力調(diào)度控制中心安全生產(chǎn)長周期記錄、國家電網(wǎng)公司安全百日記錄、生產(chǎn)設(shè)備運(yùn)行情況等綜合安全信息。包括季報(bào)、月報(bào)、周報(bào)三個(gè)方面內(nèi)容。

第十五條 安全簡報(bào)是指公司編寫的分析總結(jié)本單位月度安全情況,提出防范措施的月度綜合信息。

第十六條 基礎(chǔ)數(shù)據(jù)信息是指公司變壓器臺數(shù)、容量、線路公里數(shù)、職工人數(shù)、安全記錄等基礎(chǔ)數(shù)據(jù)。

第十七條 安全生產(chǎn)季度分析是指反映公司季度安全生產(chǎn)情況,全面總結(jié)季度安全生產(chǎn)管理工作成績,分析存在的問題并提出下季度工作重點(diǎn)的綜合安全信息。

第四章 安全生產(chǎn)信息報(bào)送規(guī)定

第十八條 安全生產(chǎn)信息匯報(bào)流程

(一)當(dāng)發(fā)生以下安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件時(shí),所在部門的當(dāng)值人員或現(xiàn)場負(fù)責(zé)人應(yīng)立即匯報(bào)公司生產(chǎn)領(lǐng)導(dǎo),同時(shí)匯報(bào)給電廠負(fù)責(zé)人。

1、人身傷亡事故

2、設(shè)備事故

3、生產(chǎn)場所火災(zāi)事故

4、設(shè)備故障(開關(guān)跳閘、母線失壓、繼電保護(hù)裝置動作等)

5、其他事故(障礙)、不安全情況、生產(chǎn)突發(fā)事件

(二)公司生產(chǎn)領(lǐng)導(dǎo)接到事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件的匯報(bào)后,應(yīng)準(zhǔn)確、完整的作好記錄,并立即(10分鐘以內(nèi))以電話和短信方式向公司分管安全生產(chǎn)的副總經(jīng)理、質(zhì)安部、生技部負(fù)責(zé)人及相關(guān)專責(zé)匯報(bào)。發(fā)生重傷及以上人身事故,電網(wǎng)、設(shè)備事故應(yīng)立即匯報(bào)公司總經(jīng)理。

(三)車間負(fù)責(zé)人接到事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件的匯報(bào)后,應(yīng)立即(10分鐘以內(nèi))以電話或短信方式向分管公司領(lǐng)導(dǎo)、質(zhì)安部及生技部負(fù)責(zé)人匯報(bào),發(fā)生重傷及以上人身事故,一般電網(wǎng)、一般設(shè)備及以上事故應(yīng)立即匯報(bào)公司總經(jīng)理。

(四)公司分管安全生產(chǎn)領(lǐng)導(dǎo)接到事故匯報(bào)時(shí)應(yīng)及時(shí)向總經(jīng)理匯報(bào)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件。

(五)公司生產(chǎn)技術(shù)部、質(zhì)安部接到人身輕傷以及上事故、一類設(shè)備(電網(wǎng))障礙及以上事故(障礙)及以上應(yīng)及時(shí)向地方電力調(diào)度控制中心相關(guān)職能部門匯報(bào)。

(六)公司分管安全生產(chǎn)領(lǐng)導(dǎo)和總經(jīng)理接到人身重傷及以上人身事故、一般設(shè)備事故、一般電網(wǎng)事故和生產(chǎn)突發(fā)事件匯報(bào)后還應(yīng)及時(shí)分別向地方電力調(diào)度控制中心匯報(bào)。

(七)發(fā)生人身重傷以及上人身傷亡事故,公司還應(yīng)及時(shí)向事故發(fā)生所在地方安監(jiān)部門匯報(bào)。

第十九條 發(fā)生安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件時(shí)即時(shí)匯報(bào)基本內(nèi)容

(一)人身傷亡事故即時(shí)匯報(bào)基本內(nèi)容包括:

1.事故時(shí)間、地點(diǎn)和單位;

2.事故傷亡人數(shù)、簡要經(jīng)過、初步原因分析;

3.事故應(yīng)急處置情況,包括傷員搶救、家屬安撫、生產(chǎn)恢復(fù)、信息發(fā)布、媒體反映等情況。

(二)電網(wǎng)、設(shè)備事故或突發(fā)事件即時(shí)匯報(bào)基本內(nèi)容包括:

1.事故或事件時(shí)間、地點(diǎn)和單位;

2.事故或事件簡要經(jīng)過、停電影響范圍、設(shè)備損壞情況、初步原因分析、應(yīng)急處置情況等;

3.事故或事件有關(guān)的電網(wǎng)接線方式、設(shè)備主要參數(shù)、事故前運(yùn)行方式、事故中繼電保護(hù)動作情況等;

4.必要的事故現(xiàn)場數(shù)碼照片等影像資料。

(三)輸變電設(shè)備故障即時(shí)匯報(bào)基本內(nèi)容包括:

1.發(fā)生的時(shí)間、地點(diǎn);

2.開關(guān)跳閘情況、設(shè)備損壞情況、保護(hù)及安全自動裝置動作情況、故障線路相別及故障測距、一二次設(shè)備檢查情況。

第二十條 安全生產(chǎn)緊急信息報(bào)送規(guī)定:

(一)當(dāng)公司發(fā)生以下事故情況下,事故所在部門除按規(guī)定立即報(bào)送外,應(yīng)在規(guī)定時(shí)間內(nèi)上報(bào)書面資料。

1.當(dāng)發(fā)生重大及以上電網(wǎng)事故時(shí),事故發(fā)生所屬車間應(yīng)在事故發(fā)生后1小時(shí)內(nèi),將電網(wǎng)事故發(fā)生的基本情況、損失負(fù)荷和電量情況書面上報(bào)公司質(zhì)安部。

2.當(dāng)發(fā)生較大及以上人身事故(含外包工程)時(shí),事故所在部門應(yīng)在事故發(fā)生后2小時(shí)內(nèi),將事故發(fā)生的地點(diǎn)、時(shí)間、傷亡人數(shù)等基本情況書面上報(bào)公司質(zhì)安部。

3.發(fā)生特大設(shè)備事故時(shí),事故所在部門應(yīng)在事故發(fā)生后2小時(shí)內(nèi),將事故發(fā)生的地點(diǎn)、時(shí)間、設(shè)備損壞情況等基本情況書面上報(bào)公司質(zhì)安部。

4.當(dāng)發(fā)生一般人身事故(含外包工程)時(shí),事故所在部門應(yīng)在事故發(fā)生后15分鐘內(nèi),將事故發(fā)生的地點(diǎn)、時(shí)間、傷亡人數(shù)等基本情況上報(bào)公司質(zhì)安部。

5.當(dāng)發(fā)生110千伏及以上電壓等級的主設(shè)備以及其他嚴(yán)重的設(shè)備事故,10千伏及以上全站停電的電網(wǎng)事故、較大面積的停電事故,人身重傷等事故時(shí),事故所在部門應(yīng)在事故發(fā)生后 4小時(shí)內(nèi)將事故基本信息書面材料上報(bào)公司質(zhì)安部和生產(chǎn)技術(shù)部。

6.當(dāng)公司所屬單位發(fā)生一般電網(wǎng)、一般設(shè)備事故、人身輕傷、人身未遂事故、一類障礙(包括事故或障礙定性暫不清楚者)或生產(chǎn)安全突發(fā)事件時(shí),事故(障礙)所在部門應(yīng)在事故發(fā)生后8小時(shí)內(nèi)將事故基本信息上報(bào)公司質(zhì)安部和生產(chǎn)技術(shù)部。

(二)事故發(fā)生單位所有上報(bào)公司的書面材料必須經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)。

第二十一條 事故(障礙)報(bào)表(匯報(bào))報(bào)送規(guī)定

(一)事故(障礙)報(bào)表(匯報(bào))包括:設(shè)備事故報(bào)表(匯報(bào))、電網(wǎng)事故報(bào)表(匯報(bào))、人身傷亡事故報(bào)表(匯報(bào))、電網(wǎng)一類障礙報(bào)表、設(shè)備一類障礙報(bào)表。

(二)電網(wǎng)、設(shè)備事故(障礙)原始報(bào)表填寫報(bào)送:由設(shè)備所在運(yùn)行車間在事故(障礙)發(fā)生后3天內(nèi)將設(shè)備故障情況書面材料(包括變電站“事故、障礙原始報(bào)表”等資料)報(bào)質(zhì)安部、生技部;生技部負(fù)責(zé)組織填寫公司電網(wǎng)、設(shè)備事故(障礙)報(bào)表,屬事故性質(zhì)的還需同時(shí)報(bào)送事故調(diào)查匯報(bào)書,并在事故(障礙)發(fā)生后5天內(nèi)報(bào)質(zhì)安部;質(zhì)安部匯總審核,在事故(障礙)發(fā)生后7天內(nèi)經(jīng)公司領(lǐng)導(dǎo)審批后報(bào)地方電力調(diào)度控制中心。

(三)人身傷亡事故報(bào)表填寫報(bào)送:由事故發(fā)生部門在事故發(fā)生后3天內(nèi)將書面材料報(bào)質(zhì)安部;質(zhì)安部負(fù)責(zé)組織填寫公司人身傷亡事故報(bào)表和人身傷亡事故調(diào)查匯報(bào)書,在事故發(fā)生后7天內(nèi)經(jīng)公司領(lǐng)導(dǎo)審批報(bào)地方電力調(diào)度控制中心。

第二十二條 公司電廠發(fā)生第十三條明確的事故后,事故所在部門在2天內(nèi),以書面形式向質(zhì)安部報(bào)送事故發(fā)生的時(shí)間、地點(diǎn)、事故發(fā)生的簡要經(jīng)過、傷亡人數(shù)(性別、年齡)、直接經(jīng)濟(jì)損失、事故原因、防范措施及事故處理意見等內(nèi)容。質(zhì)安部匯總組織審核,在事故發(fā)生后3天內(nèi)經(jīng)公司領(lǐng)導(dǎo)審批后報(bào)地方電力調(diào)度控制中心。

第二十三條 安全信息快報(bào)包括:周報(bào)、月報(bào)、季報(bào)、年報(bào)。由公司質(zhì)安部負(fù)責(zé)填寫、發(fā)布,并向地方電力調(diào)度控制中心匯報(bào)。

第二十四條 基礎(chǔ)數(shù)據(jù)信息執(zhí)行半年報(bào)送制度,由生技部負(fù)責(zé)統(tǒng)計(jì)公司主變壓器臺數(shù)和容量、線路公里數(shù),人力資源部負(fù)責(zé)統(tǒng)計(jì)公司職工人數(shù),于每年的6月30日和12月30日報(bào)質(zhì)安部,質(zhì)安部匯總,經(jīng)主管生產(chǎn)的領(lǐng)導(dǎo)批準(zhǔn)后,在每年的7月1日和次年的1月1日以電子郵件或傳真方式報(bào)地方電力調(diào)度控制中心。

第二十五條 安全生產(chǎn)季度分析,公司所屬各生產(chǎn)車間在每季度末,對本單位的季度安全生產(chǎn)工作進(jìn)行總結(jié)分析,在每年1月、4月、7月、10月的5日前以電子郵件報(bào)質(zhì)安部。質(zhì)安部負(fù)責(zé)編寫公司安全生產(chǎn)季度分析匯報(bào),經(jīng)主管生產(chǎn)的領(lǐng)導(dǎo)批準(zhǔn)后,在1、4、7、10月的10日前以電子郵件、傳真或書面報(bào)地方電力調(diào)度控制中心。安全生產(chǎn)季度分析匯報(bào)應(yīng)包含以下內(nèi)容:

(一)季度安全生產(chǎn)情況介紹。

(二)季度安全生產(chǎn)情況分析(用數(shù)據(jù)分析方式,與去年同期進(jìn)行比較分析)。

(三)暴露出的主要問題及整改措施。

(四)下一季度安全管理的重點(diǎn)。

第六章 附則

第二十六條 本規(guī)定執(zhí)行中如與上級規(guī)定相抵觸,則以上級規(guī)定為準(zhǔn)。

第二十七條 本規(guī)定解釋權(quán)屬質(zhì)安部。

第二十八條 本規(guī)定自文件下發(fā)之日起執(zhí)行。

第4篇 應(yīng)用信息技術(shù) 提升企業(yè)安全管理水平

信息技術(shù)在電力企業(yè)安全生產(chǎn)管理中的應(yīng)用空間廣泛，對企業(yè)規(guī)范管理行為、改善管理方式、夯實(shí)管理基礎(chǔ)、提高工作效率，有著極其重要的作用。電力企業(yè)應(yīng)以安全生產(chǎn)為己任，積極推行信息技術(shù)的應(yīng)用，探索電力安全生產(chǎn)的新思路，持續(xù)改進(jìn)，不斷提高。

1以信息化規(guī)范員工作業(yè)行為

人的不安全行為是導(dǎo)致事故發(fā)生的主要因素，電力企業(yè)在注重員工的安全教育與培訓(xùn)的同時(shí)，必須依靠技術(shù)進(jìn)步，借助信息化手段，規(guī)范員工作業(yè)行為，以期逐步培養(yǎng)良好的工作習(xí)慣。

(1)實(shí)行變電倒閘操作全程錄音。變電運(yùn)行人員在倒閘操作過程中，使用錄音筆進(jìn)行全過程錄音，工區(qū)、監(jiān)督部門定期檢查錄音文件并予以通報(bào)，從而規(guī)范倒閘操作的全過程監(jiān)督和管理，促進(jìn)“六要”、“八步”在現(xiàn)場的落實(shí)。

(2)推行

變電巡檢系統(tǒng)。該系統(tǒng)通過在每個(gè)設(shè)備單元間隔安裝的信息鈕記錄值班員的到位信息，確保巡視人員的到位，做到路徑最優(yōu)，項(xiàng)目齊全，痕跡保全，提高設(shè)備巡視到位率。

(3)應(yīng)用輸電線路巡檢系統(tǒng)，跟蹤巡線全過程，同時(shí)輔以數(shù)碼相機(jī)記錄設(shè)備缺陷，保證了巡視到位和準(zhǔn)確掌握缺陷信息。

(4)運(yùn)用powerpoint工具軟件，編輯系列違章現(xiàn)象專題圖片，在職工中開展找錯(cuò)競賽，以身邊的違章現(xiàn)象教育身邊人。

(5)開展網(wǎng)上培訓(xùn)。使用規(guī)程學(xué)習(xí)與考核軟件，隨時(shí)進(jìn)行網(wǎng)上學(xué)習(xí)、練習(xí)和模擬測試，試題隨機(jī)生成，逐步取代常規(guī)的安全知識考試形式，使培訓(xùn)和考試工作科學(xué)化、規(guī)范化。

2以信息化強(qiáng)化基礎(chǔ)管理

強(qiáng)化安全生產(chǎn)基礎(chǔ)管理，以信息技術(shù)為平臺，減輕勞動強(qiáng)度，提高工作效率，保證基礎(chǔ)管理工作的適宜性、完整性、有效性。

(1)利用全文檢索系統(tǒng)，為工作提供方便。建立有效的技術(shù)標(biāo)準(zhǔn)體系，跟蹤技術(shù)標(biāo)準(zhǔn)發(fā)布動態(tài)，及時(shí)進(jìn)行補(bǔ)充與完善，使其覆蓋率達(dá)到100%。

(2)利用網(wǎng)絡(luò)平臺加強(qiáng)制度管理，在健全和完善安全生產(chǎn)管理制度的基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)化，方便查詢與學(xué)習(xí)。

(3)建立違章類型管理庫，利用信息技術(shù)實(shí)現(xiàn)違章的分類管理。在開展管理性違章、行為性違章、裝置性違章的排查基礎(chǔ)上，按違章分值、性質(zhì)、等級進(jìn)行編號，實(shí)現(xiàn)信息化數(shù)據(jù)積累，為逐步降低違章的重復(fù)率提供技術(shù)手段，促進(jìn)反違章工作的深化。

(4)開發(fā)危險(xiǎn)點(diǎn)和控制措施庫管理信息系統(tǒng)，實(shí)行危險(xiǎn)點(diǎn)預(yù)控措施卡的編制、審核、批準(zhǔn)的網(wǎng)上流轉(zhuǎn)，實(shí)現(xiàn)危險(xiǎn)點(diǎn)的動態(tài)管理。

(5)研發(fā)安全用具管理系統(tǒng)，實(shí)現(xiàn)對安全工器具的全過程管理，該系統(tǒng)應(yīng)涵蓋工區(qū)和班組，包含安全用具在役、退役、報(bào)廢等檔案管理，試驗(yàn)報(bào)告管理，試驗(yàn)周期管理等功能，加強(qiáng)安全用具的管理工作。

(6)運(yùn)用信息技術(shù)，規(guī)范會議管理。開發(fā)安全生產(chǎn)會議管理系統(tǒng)，提高會議質(zhì)量和效率，做到會前準(zhǔn)備充分，提前在網(wǎng)上發(fā)布會議材料；會中議題明確，主題突出；會后紀(jì)要分發(fā)迅速，實(shí)施情況分類標(biāo)示，統(tǒng)計(jì)分析、考核有據(jù)，會議時(shí)間大大縮短。

3

以信息化提升安全管理水平

充分利用網(wǎng)絡(luò)技術(shù)，為安全生產(chǎn)提供更為快捷、方便、安全的信息平臺，達(dá)到過程控制、資源共享。

(1)應(yīng)用微機(jī)兩票管理系統(tǒng)，實(shí)現(xiàn)兩票網(wǎng)上流轉(zhuǎn)，提高工作效率和兩票合格率，為兩票的統(tǒng)計(jì)分析提供便利條件，規(guī)范兩票管理。

(2)應(yīng)用生產(chǎn)管理信息系統(tǒng)(mis)，保證生產(chǎn)與檢修計(jì)劃可控、在控。按照“五結(jié)合”原則進(jìn)行計(jì)劃統(tǒng)籌，合理調(diào)配資源，提高工作的安全性，優(yōu)化缺陷管理流程，加強(qiáng)閉環(huán)控制。mis系統(tǒng)提供完整的缺陷報(bào)告、等級核定、任務(wù)下達(dá)、消缺情況、投運(yùn)結(jié)論等閉環(huán)控制流程，通過網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)檢查監(jiān)督，提高設(shè)備消缺質(zhì)量。

(3)開發(fā)調(diào)度mis、變電mis，使電網(wǎng)運(yùn)行管理水平再上新臺階，運(yùn)行工作實(shí)現(xiàn)網(wǎng)絡(luò)化。調(diào)度指令票實(shí)現(xiàn)網(wǎng)上傳遞和過程監(jiān)督，該系統(tǒng)中的危險(xiǎn)點(diǎn)預(yù)控模塊，實(shí)現(xiàn)擬票、審票、操作全過程監(jiān)護(hù)控制與提示，初步實(shí)現(xiàn)調(diào)度危險(xiǎn)點(diǎn)預(yù)控智能化，防止調(diào)度誤操作事故的發(fā)生；變電mis系統(tǒng)涵蓋運(yùn)行日志、日常運(yùn)行、安全管理等各項(xiàng)運(yùn)行工作，實(shí)現(xiàn)運(yùn)行工作透明化。

(4)應(yīng)用scada/pas系統(tǒng)，實(shí)現(xiàn)電網(wǎng)運(yùn)行數(shù)據(jù)分析和安全性靜態(tài)評價(jià)；應(yīng)用調(diào)度模擬操作，防止調(diào)度誤操作的發(fā)生，解合環(huán)操作前利用潮流分析軟件、模擬操作進(jìn)行潮流分析，為電網(wǎng)的安全、優(yōu)質(zhì)、經(jīng)濟(jì)運(yùn)行

提供有力的保障。

(5)應(yīng)用繼電保護(hù)在線信息管理系統(tǒng)，實(shí)現(xiàn)繼電保護(hù)定值單、試驗(yàn)報(bào)告和保護(hù)動作月報(bào)的錄入、繼電保護(hù)圖紙的電子化和上傳工作；應(yīng)用繼電保護(hù)及安全自動裝置核對軟件，進(jìn)行季度安全自動裝置狀態(tài)核對；應(yīng)用繼電保護(hù)整定計(jì)算軟件進(jìn)行繼電保護(hù)整定計(jì)算，防止人為因素造成的誤整定并提高工作效率。

(6)建立企業(yè)安全網(wǎng)頁和安全文化網(wǎng)站，營造企業(yè)安全文化氛圍。通過安全信息發(fā)布、通報(bào)事故分析報(bào)告、違章照片曝光和錄相片播放等形式，借以形成安全教育的氛圍，從培養(yǎng)“我要安全”理念、培訓(xùn)“我會安全”技能、強(qiáng)化“我懂安全”素質(zhì)三方面入手，逐步實(shí)現(xiàn)從“要我安全”到“我要安全”、“我會安全”、“我懂安全”的轉(zhuǎn)變，對保證安全生產(chǎn)具有潛意識的推動作用。

第5篇 信息安全管理辦法

第一章??? 總則

第一條 為加強(qiáng)邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設(shè)備、安全運(yùn)行、故障申報(bào)、日常檢查、網(wǎng)絡(luò)安全等管理，防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定，結(jié)合我農(nóng)商行實(shí)際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人，包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工，包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。

第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級落實(shí)單位與個(gè)人信息安全責(zé)任制。

第四條 信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運(yùn)行環(huán)境的安全和信息的安全。

第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。

第二章 組織保障

第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。

第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部，負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位，配備專職信息安全管理人員。負(fù)責(zé)邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實(shí)施；對農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。

第九條 農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人，同時(shí)均應(yīng)指定至少一名部門信息安全員，具體負(fù)責(zé)本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。科技信息部為農(nóng)商行信息安全保護(hù)專職部門，設(shè)信息安全管理員、系統(tǒng)維護(hù)管理員、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組，設(shè)立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條 農(nóng)商行選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。

第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作： （一）組織落實(shí)上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計(jì)算機(jī)安全員工作，監(jiān)督檢查信息安全保障工作。 （二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)，維護(hù)、管理信息安全專用設(shè)施。 （三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時(shí)通報(bào)和預(yù)警，并提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 （四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時(shí)，確因工作需要查詢相關(guān)涉密信息，須經(jīng)本部門負(fù)責(zé)人同意后向本單位保密主管部門提交申請，獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級科技信息部備案。

第十六條 信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條 各部門和各級支行應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識的人員擔(dān)任部門信息安全員，并報(bào)農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作，并及時(shí)通報(bào)科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作： （一）負(fù)責(zé)本部門計(jì)算機(jī)病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。 （二）負(fù)責(zé)提出本部門信息安全保障需求，及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 （三）負(fù)責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術(shù)支持人員

第二十條 本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)： （一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問，未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 （二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處置。 （三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間，嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員

第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)： （一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。 （二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部。 （三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則，嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。

第五節(jié) 一般計(jì)算機(jī)用戶

第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)： （一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 （三）未經(jīng)科技信息部檢測和授權(quán)，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)；不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進(jìn)行政治素質(zhì)審查，技術(shù)部門進(jìn)行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權(quán)”原則，嚴(yán)格設(shè)定各用戶的操作權(quán)限。

第三十二條 對要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法，并進(jìn)行必要的安全教育和培訓(xùn)。

第三十三條 要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條 系統(tǒng)管理員安全責(zé)任

（一）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；

（二）嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；

（三）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；

（四）對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條 系統(tǒng)開發(fā)員安全責(zé)任

（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)；

（二）系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

（三）不得對系統(tǒng)設(shè)置后門；

（四）對系統(tǒng)核心技術(shù)保密。

第三十七條 系統(tǒng)維護(hù)員安全責(zé)任

（一）負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序；

（四）維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。

第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機(jī)房環(huán)境安全管理

第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置、運(yùn)行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定，滿足下列基本安全要求：

（一）機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物，如加油站、煤氣站等。

（二）機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。

（三）機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。

（四）機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的ups和發(fā)電機(jī)。

第四十二條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案。必要時(shí)，由市網(wǎng)絡(luò)中心會同財(cái)務(wù)、保衛(wèi)等部門進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。

第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控，生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控，輔助區(qū)實(shí)施聯(lián)動監(jiān)控。

第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運(yùn)作，防止監(jiān)控信息的泄密。

第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機(jī)房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控，通過技術(shù)和管理手段，確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗(yàn)收和本單位科技、保衛(wèi)部門組織的驗(yàn)收，并出具明確結(jié)論的驗(yàn)收報(bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法，并指派專人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。

第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料，并隨時(shí)提供調(diào)閱。

第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)，并辦理登記手續(xù)，由專人陪同。

第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。

第五十二條 向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理，應(yīng)安裝門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配置自動監(jiān)控報(bào)警功能。 第五十三條 所有門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個(gè)月。

第二節(jié) 設(shè)備資產(chǎn)管理

第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法，嚴(yán)格資產(chǎn)管理，明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū)，必要時(shí)，單獨(dú)建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章 網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理

第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級科技信息部審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求，使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計(jì)等管理功能。 （三）根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理

第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法，配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

（一）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；

（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行；

（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；

（四）對操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。

第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。

第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行，同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請，并采取相應(yīng)的安全防護(hù)措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)，任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護(hù)措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計(jì)算機(jī)接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn)，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序?？萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章 信息系統(tǒng)安全管理

第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)

第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部門提出的安全需求。 （二）安全需求分析和實(shí)現(xiàn)。 （三）運(yùn)行平臺的安全策略與設(shè)計(jì)。

第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安全機(jī)制，在安全防護(hù)方面應(yīng)符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴(yán)密的安全管理控制機(jī)制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；

（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)；

（三）具有嚴(yán)格的用戶和密碼管理，能對不同級別的用戶進(jìn)行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序，具有身份識別和實(shí)體認(rèn)證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機(jī)制；

（五）涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。

第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)。

第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運(yùn)行

第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下： （一）項(xiàng)目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進(jìn)行系統(tǒng)上線前的自測試并形成測試報(bào)告，報(bào)科技信息部審查。 （二）科技信息部應(yīng)提出明確的測試方案和測試報(bào)告審查意見。必要時(shí)，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)科技信息部備案。

第八十三條 信息系統(tǒng)投入運(yùn)行前，應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請，并報(bào)送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；

（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報(bào)告；

（四）信息系統(tǒng)安全評估和審批報(bào)告書。

第八十四條 科技信息部應(yīng)當(dāng)對報(bào)送的書面材料進(jìn)行初步審查。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進(jìn)行安全性測試、認(rèn)證。

第八十五條 對信息系統(tǒng)的安全評估應(yīng)當(dāng)包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實(shí)現(xiàn)程度；

（四）系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運(yùn)行平臺的安全可靠性。

第八十六條 安全評估委員會或安全評估專家組應(yīng)對測試、認(rèn)證的信息系統(tǒng)提出安全評估報(bào)告，并出具信息系統(tǒng)安全評估和審批報(bào)告書。

第八十七條 信息系統(tǒng)運(yùn)行平臺應(yīng)符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn)。

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。

（四）及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞。

第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護(hù)員），具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，監(jiān)測系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。

第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序；維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。

第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。

第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī)，不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán)限。

第四節(jié) 業(yè)務(wù)操作

第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技信息部報(bào)告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保密，防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí)，應(yīng)按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進(jìn)行安全檢查后予以廢止，同時(shí)備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。

第七章 客戶端安全管理

第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括臺式個(gè)人計(jì)算機(jī)（pc）、便攜式計(jì)算機(jī)、柜員終端、自動柜員機(jī)（atm）、存折打印機(jī)、讀卡器、銷售終端（pos）和個(gè)人數(shù)字助理（pda）等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法，記錄所有客戶端設(shè)備信息和軟件配置信息，采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施，確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品與服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù)，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn)，省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。

第二節(jié) 使用管理

第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個(gè)月。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級維護(hù)信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置，由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。

第九章 數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。

第一百一十三條? 農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。

第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強(qiáng)數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識存儲內(nèi)容、時(shí)間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程，嚴(yán)格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個(gè)人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術(shù)文檔

第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔，嚴(yán)格管理，并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識，統(tǒng)一編號，并標(biāo)明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲介質(zhì)在物理傳輸過程中的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動存儲設(shè)備（u盤、移動硬盤等）管理辦法，加強(qiáng)移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼，并獨(dú)享使用，不得泄露，且至少每三個(gè)月更換一次。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求，不得設(shè)置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術(shù)應(yīng)用管理

第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換，對已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。

第十章 第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。

第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，科技信息部應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章 災(zāi)難備份與應(yīng)急管理

第一節(jié) 災(zāi)難備份管理

第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間（恢復(fù)時(shí)間目標(biāo)rto）和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。

第二節(jié) 應(yīng)急管理

第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機(jī)集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。 （二）應(yīng)急組織機(jī)構(gòu)。 （三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評估、預(yù)案啟動等）。 （四）各類危機(jī)處置流程。 （五）應(yīng)急資源保障。 （六）事后處理流程。 （七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào)，一般信息安全事件應(yīng)逐級通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報(bào)省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。

第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會發(fā)布應(yīng)急事件公告。

第十二章 安全檢查評估與培訓(xùn)

第一節(jié) 監(jiān)測檢查

第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測周報(bào)、月報(bào)或季報(bào)辦法，報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級單位相關(guān)部門。

第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級科技信息部備案。

第二節(jié) 評估審計(jì)

第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條 安全評估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評估開始前，應(yīng)制定評估方案并進(jìn)行必要的培訓(xùn)。評估結(jié)束后，形成評估報(bào)告，提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請第三方機(jī)構(gòu)進(jìn)行安全評估，報(bào)省聯(lián)社信息科技部批準(zhǔn)，并與第三方評估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評估過程并實(shí)施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報(bào)告，未經(jīng)授權(quán)不得對外透露評估信息。

第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進(jìn)行安全等級保護(hù)測評。開展等保測評工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》和《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》的有關(guān)規(guī)定，確保測評有效和測評安全。

第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí)，應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì)，發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配置管理，并完整保留相關(guān)日志記錄。

第三節(jié) 安全培訓(xùn)

第一百七十一條 農(nóng)商行應(yīng)至少每年對信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn)，提高全體員工信息安全意識，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。

第十三章 獎(jiǎng)勵(lì)與處罰

第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。 第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個(gè)人，要給予通報(bào)批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十四章 附 則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。

?

第一章??? 總則

第一條 為加強(qiáng)邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設(shè)備、安全運(yùn)行、故障申報(bào)、日常檢查、網(wǎng)絡(luò)安全等管理，防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定，結(jié)合我農(nóng)商行實(shí)際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人，包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工，包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。

第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級落實(shí)單位與個(gè)人信息安全責(zé)任制。

第四條 信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運(yùn)行環(huán)境的安全和信息的安全。

第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。

第二章 組織保障

第六條 農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。

第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部，負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位，配備專職信息安全管理人員。負(fù)責(zé)邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實(shí)施；對農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。

第九條 農(nóng)商行各支行及各職能部門主要負(fù)責(zé)人為本部門信息安全第一責(zé)任人，同時(shí)均應(yīng)指定至少一名部門信息安全員，具體負(fù)責(zé)本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)?？萍夹畔⒉繛檗r(nóng)商行信息安全保護(hù)專職部門，設(shè)信息安全管理員、系統(tǒng)維護(hù)管理員、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組，設(shè)立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條 農(nóng)商行選派政治思想過硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項(xiàng)工作。

第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條 信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作： （一）組織落實(shí)上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計(jì)算機(jī)安全員工作，監(jiān)督檢查信息安全保障工作。 （二）審核信息化建設(shè)項(xiàng)目中的安全方案，組織實(shí)施信息安全保障項(xiàng)目建設(shè)，維護(hù)、管理信息安全專用設(shè)施。 （三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時(shí)通報(bào)和預(yù)警，并提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 （四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時(shí)，確因工作需要查詢相關(guān)涉密信息，須經(jīng)本部門負(fù)責(zé)人同意后向本單位保密主管部門提交申請，獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級科技信息部備案。

第十六條 信息安全管理人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條 各部門和各級支行應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識的人員擔(dān)任部門信息安全員，并報(bào)農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作，并及時(shí)通報(bào)科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門信息安全員在如下職責(zé)范圍內(nèi)開展工作： （一）負(fù)責(zé)本部門計(jì)算機(jī)病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。 （二）負(fù)責(zé)提出本部門信息安全保障需求，及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 （三）負(fù)責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術(shù)支持人員

第二十條 本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)： （一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問，未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 （二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處置。 （三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間，嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員

第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)： （一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。 （二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部。 （三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則，嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。

第五節(jié) 一般計(jì)算機(jī)用戶

第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)： （一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 （三）未經(jīng)科技信息部檢測和授權(quán)，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)；不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進(jìn)行政治素質(zhì)審查，技術(shù)部門進(jìn)行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權(quán)”原則，嚴(yán)格設(shè)定各用戶的操作權(quán)限。

第三十二條 對要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法，并進(jìn)行必要的安全教育和培訓(xùn)。

第三十三條 要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條 系統(tǒng)管理員安全責(zé)任

（一）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；

（二）嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；

（三）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；

（四）對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條 系統(tǒng)開發(fā)員安全責(zé)任

（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)；

（二）系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

（三）不得對系統(tǒng)設(shè)置后門；

（四）對系統(tǒng)核心技術(shù)保密。

第三十七條 系統(tǒng)維護(hù)員安全責(zé)任

（一）負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序；

（四）維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。

第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機(jī)房環(huán)境安全管理

第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置、運(yùn)行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定，滿足下列基本安全要求：

（一）機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物，如加油站、煤氣站等。

（二）機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。

（三）機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。

（四）機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的ups和發(fā)電機(jī)。

第四十二條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案。必要時(shí)，由市網(wǎng)絡(luò)中心會同財(cái)務(wù)、保衛(wèi)等部門進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。

第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控，生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控，輔助區(qū)實(shí)施聯(lián)動監(jiān)控。

第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運(yùn)作，防止監(jiān)控信息的泄密。

第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機(jī)房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控，通過技術(shù)和管理手段，確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的消防驗(yàn)收和本單位科技、保衛(wèi)部門組織的驗(yàn)收，并出具明確結(jié)論的驗(yàn)收報(bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法，并指派專人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。

第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料，并隨時(shí)提供調(diào)閱。

第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)，并辦理登記手續(xù)，由專人陪同。

第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。

第五十二條 向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理，應(yīng)安裝門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配置自動監(jiān)控報(bào)警功能。 第五十三條 所有門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個(gè)月。

第二節(jié) 設(shè)備資產(chǎn)管理

第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法，嚴(yán)格資產(chǎn)管理，明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū)，必要時(shí)，單獨(dú)建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章 網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理

第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級科技信息部審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求，使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 （二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計(jì)等管理功能。 （三）根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理

第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法，配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

（一）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；

（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行；

（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；

（四）對操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。

第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。

第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行，同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技信息部提出書面申請，并采取相應(yīng)的安全防護(hù)措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn)，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn)，任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護(hù)措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計(jì)算機(jī)，不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計(jì)算機(jī)接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準(zhǔn)，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序?？萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章 信息系統(tǒng)安全管理

第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)

第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部門提出的安全需求。 （二）安全需求分析和實(shí)現(xiàn)。 （三）運(yùn)行平臺的安全策略與設(shè)計(jì)。

第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安全機(jī)制，在安全防護(hù)方面應(yīng)符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴(yán)密的安全管理控制機(jī)制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；

（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù)；

（三）具有嚴(yán)格的用戶和密碼管理，能對不同級別的用戶進(jìn)行有限授權(quán)，特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序，具有身份識別和實(shí)體認(rèn)證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機(jī)制；

（五）涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。

第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條 信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)。

第七十八條 信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運(yùn)行

第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下： （一）項(xiàng)目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進(jìn)行系統(tǒng)上線前的自測試并形成測試報(bào)告，報(bào)科技信息部審查。 （二）科技信息部應(yīng)提出明確的測試方案和測試報(bào)告審查意見。必要時(shí)，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)科技信息部備案。

第八十三條 信息系統(tǒng)投入運(yùn)行前，應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請，并報(bào)送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；

（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報(bào)告；

（四）信息系統(tǒng)安全評估和審批報(bào)告書。

第八十四條 科技信息部應(yīng)當(dāng)對報(bào)送的書面材料進(jìn)行初步審查。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進(jìn)行安全性測試、認(rèn)證。

第八十五條 對信息系統(tǒng)的安全評估應(yīng)當(dāng)包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實(shí)現(xiàn)程度；

（四）系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運(yùn)行平臺的安全可靠性。

第八十六條 安全評估委員會或安全評估專家組應(yīng)對測試、認(rèn)證的信息系統(tǒng)提出安全評估報(bào)告，并出具信息系統(tǒng)安全評估和審批報(bào)告書。

第八十七條 信息系統(tǒng)運(yùn)行平臺應(yīng)符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn)。

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。

（四）及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞。

第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護(hù)員），具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理，監(jiān)測系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況，并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。

第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序；維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。

第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。

第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī)，不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán)限。

第四節(jié) 業(yè)務(wù)操作

第九十二條 業(yè)務(wù)部門負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技信息部報(bào)告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴(yán)格保密，防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí)，應(yīng)按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進(jìn)行安全檢查后予以廢止，同時(shí)備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。

第七章 客戶端安全管理

第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括臺式個(gè)人計(jì)算機(jī)（pc）、便攜式計(jì)算機(jī)、柜員終端、自動柜員機(jī)（atm）、存折打印機(jī)、讀卡器、銷售終端（pos）和個(gè)人數(shù)字助理（pda）等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法，記錄所有客戶端設(shè)備信息和軟件配置信息，采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施，確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品與服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù)，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn)，省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。

第二節(jié) 使用管理

第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個(gè)月。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級維護(hù)信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置，由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。

第九章 數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。

第一百一十三條?農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。

第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強(qiáng)數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識存儲內(nèi)容、時(shí)間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程，嚴(yán)格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個(gè)人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術(shù)文檔

第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔，嚴(yán)格管理，并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識，統(tǒng)一編號，并標(biāo)明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲介質(zhì)在物理傳輸過程中的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動存儲設(shè)備（u盤、移動硬盤等）管理辦法，加強(qiáng)移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼，并獨(dú)享使用，不得泄露，且至少每三個(gè)月更換一次。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求，不得設(shè)置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術(shù)應(yīng)用管理

第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換，對已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。

第十章 第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問邵陽市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。

第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，科技信息部應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章 災(zāi)難備份與應(yīng)急管理

第一節(jié) 災(zāi)難備份管理

第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間（恢復(fù)時(shí)間目標(biāo)rto）和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。

第二節(jié) 應(yīng)急管理

第一百四十七條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機(jī)集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容： （一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。 （二）應(yīng)急組織機(jī)構(gòu)。 （三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評估、預(yù)案啟動等）。 （四）各類危機(jī)處置流程。 （五）應(yīng)急資源保障。 （六）事后處理流程。 （七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào)，一般信息安全事件應(yīng)逐級通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報(bào)省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。

第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會發(fā)布應(yīng)急事件公告。

第十二章 安全檢查評估與培訓(xùn)

第一節(jié) 監(jiān)測檢查

第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測周報(bào)、月報(bào)或季報(bào)辦法，報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級單位相關(guān)部門。

第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級科技信息部備案。

第二節(jié) 評估審計(jì)

第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條 安全評估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評估開始前，應(yīng)制定評估方案并進(jìn)行必要的培訓(xùn)。評估結(jié)束后，形成評估報(bào)告，提出整改意見報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請第三方機(jī)構(gòu)進(jìn)行安全評估，報(bào)省聯(lián)社信息科技部批準(zhǔn)，并與第三方評估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評估過程并實(shí)施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報(bào)告，未經(jīng)授權(quán)不得對外透露評估信息。

第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進(jìn)行安全等級保護(hù)測評。開展等保測評工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》和《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》的有關(guān)規(guī)定，確保測評有效和測評安全。

第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計(jì)的同時(shí)，應(yīng)適時(shí)開展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過程的技術(shù)審計(jì)，發(fā)現(xiàn)問題及時(shí)報(bào)本單位或上一級單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計(jì)功能配置管理，并完整保留相關(guān)日志記錄。

第三節(jié) 安全培訓(xùn)

第一百七十一條 農(nóng)商行應(yīng)至少每年對信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條 農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn)，提高全體員工信息安全意識，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。

第十三章 獎(jiǎng)勵(lì)與處罰

第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。 第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個(gè)人，要給予通報(bào)批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十四章 附 則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。

第6篇 企業(yè)安全管理中的信息不對稱分析

1 前言

在召開第十屆全國人民代表大會第四次會議上，單位gdp生產(chǎn)安全事故死亡率、工礦商貿(mào)就業(yè)人員生產(chǎn)安全事故死亡率已被納入我國“十一五”規(guī)劃綱要中，“十一五”規(guī)劃綱要指出：建立安全生產(chǎn)指標(biāo)考核體系，到2010年單位國內(nèi)生產(chǎn)總值生產(chǎn)安全事故死亡率下降35％，工礦商貿(mào)就業(yè)人員生產(chǎn)安全事故死亡率下降25％。溫家寶總理在《政府工作報(bào)告中》多次提及安全生產(chǎn)問題。

針對目前國內(nèi)重特大事故頻繁發(fā)生的狀況，黨中央國務(wù)院的領(lǐng)導(dǎo)同志曾經(jīng)多次就安全生產(chǎn)問題作出批示。這一切都表明黨中央國務(wù)院對安全生產(chǎn)問題是相當(dāng)重視的。近年來，每年均下派多個(gè)督查組或檢查組到地方、進(jìn)企業(yè)督導(dǎo)、檢查。工作組在現(xiàn)場時(shí)很難發(fā)現(xiàn)問題，工作組一走，一切依舊。究其原因，乃是企業(yè)與政府間存在“信息不對稱”。就因?yàn)樾畔⒉粚ΨQ，導(dǎo)致政府監(jiān)管成本增加，全國的安全生產(chǎn)形勢依然嚴(yán)峻，企業(yè)存在的安全隱患依然得不到有效整改，這不由得我們不用經(jīng)濟(jì)學(xué)的方法，從企業(yè)的角度來分析“信息不對稱”產(chǎn)生的原因，并提出相應(yīng)措施消除“信息不對稱”現(xiàn)象。

2 政府監(jiān)督企業(yè)安全管理中的信息不對稱現(xiàn)象

政府對于企業(yè)安全管理的監(jiān)督在某種意義上，是一種委托-代理關(guān)系，其中掌握信息多(或具有相對信息優(yōu)勢)的市場參加者稱為代理人，在安全管理中也就是企業(yè)；掌握信息少(或處于信息劣勢)的市場參加者稱為委托人。委托人與代理人之間存在著信息不對稱的現(xiàn)象。

中國在市場經(jīng)濟(jì)不斷向縱深發(fā)展的過程中，一些高危的勞動密集型行業(yè)由于暴利的誘惑，吸引了過多的企業(yè)進(jìn)人，這些企業(yè)在激烈的競爭中為牟取暴利必然要突破安全生產(chǎn)防線違規(guī)作業(yè)，同時(shí)又要想方設(shè)法隱瞞封鎖違規(guī)違法信息以逃避懲罰。而隨著我國經(jīng)濟(jì)活動主體的多元化、經(jīng)濟(jì)活動范圍的擴(kuò)大化。使得政府有關(guān)安全監(jiān)管部門難于發(fā)現(xiàn)這些問題，加劇了安全生產(chǎn)監(jiān)管信息不對稱的情況。

所謂信息不對稱指的是當(dāng)市場的一方無法知道另一方的行為或無法獲知另一方行動的完全信息，亦或觀測和監(jiān)督其成本高昂時(shí)，交易的雙方所掌握的信息是不等同的。

經(jīng)濟(jì)學(xué)中普遍存在著信息不對稱現(xiàn)象，按傳統(tǒng)觀點(diǎn)，產(chǎn)生信息不對稱的原因有4種。其一是專業(yè)分工導(dǎo)致人們只了解自己專業(yè)內(nèi)的信息．對其他專業(yè)內(nèi)的信息掌握就不夠完全；其二是交易雙方由于所擁有和支配的資源有限從而導(dǎo)致所擁有的信息是有限的；其三、信息的獲得是有成本的，當(dāng)獲得信息的成本高于所得收益，人們會應(yīng)“得不償失”而放棄信息獲取，從而造成信息不對稱；其四，信息不對稱是由于信息優(yōu)勢方的信息壟斷所致，即信息擁有方因不愿意把部分信息公開，而造成消費(fèi)者或投資者不了解信息。

信息不對稱會導(dǎo)致逆向選擇與道德風(fēng)險(xiǎn)問題的發(fā)生，并直接導(dǎo)致安全生產(chǎn)監(jiān)管的失靈或監(jiān)管的低效率。在嚴(yán)重的信息不對稱的狀態(tài)中，由于信息、監(jiān)督和執(zhí)行問題常常難以解決，安全生產(chǎn)幾乎是不可能實(shí)現(xiàn)的。

3 有關(guān)信息不對稱的經(jīng)濟(jì)學(xué)分析

因?yàn)樾畔⒉粚ΨQ而引發(fā)的委托-代理問題是由于政府的安全監(jiān)管部門不能確知企業(yè)的行為而產(chǎn)生的問題，它是指企業(yè)追求他們自己的利潤最大化而以犧牲安全生產(chǎn)為代價(jià)。

委托-代理問題的產(chǎn)生與下列2個(gè)因素有關(guān)

一是政府安全監(jiān)管部門與企業(yè)目標(biāo)的不一致性；二是政府安全監(jiān)管部門和企業(yè)之間信息的不對稱性。政府安全監(jiān)管部門監(jiān)管成本最小化的目標(biāo)通常需要通過企業(yè)的行為來實(shí)現(xiàn)，但是政府安全監(jiān)管部門的目標(biāo)并非總是企業(yè)的目標(biāo)。如政府的目標(biāo)在于企業(yè)安全生產(chǎn)，人民群眾的生命安全得到保障，而企業(yè)的目標(biāo)卻可能是追求企業(yè)利潤的最大化，并因此減少在安全生產(chǎn)上面的投人。如果政府安全監(jiān)管部門可以完全監(jiān)督企業(yè)的行為，就可以防止企業(yè)的偷懶和卸責(zé)行為。

而事實(shí)上，由于政府安全監(jiān)管部門和企業(yè)之間存在信息的不對稱性，政府安全監(jiān)管部門一般很難監(jiān)督企業(yè)的行為。因?yàn)槠髽I(yè)對其安全生產(chǎn)的努力程度只有自己最清楚，政府安全監(jiān)管部門一般很難進(jìn)行監(jiān)督并予以有效控制。因此，在政府安全監(jiān)管部門缺乏監(jiān)督或政府安全監(jiān)管部門無力監(jiān)督的情況下，企業(yè)極有可能為了追求自身利益而作出背離政府安全監(jiān)管部門利益的行為，引發(fā)委托-代理問題。

從安全管理的角度看，假定政府除發(fā)現(xiàn)企業(yè)是否發(fā)生事故即安全或不安全外，沒有別的信息可以作為獎(jiǎng)懲企業(yè)的依據(jù)；另外，政府對企業(yè)只能采用固定金額的獎(jiǎng)勵(lì)機(jī)制，一般情況下，政府不可能完全監(jiān)督企業(yè)，為使企業(yè)領(lǐng)導(dǎo)努力工作以提高安全水平，政府支付給企業(yè)領(lǐng)導(dǎo)的安全報(bào)酬就必須大于保留安全報(bào)酬加努力成本之和。特殊情況下，監(jiān)督越困難，政府需要支付的安全報(bào)酬就越高；如果監(jiān)督?jīng)]有可能，任何安全報(bào)酬都不可能促使企業(yè)確保安全。即使政府不能監(jiān)督企業(yè)，但是，如果使事故的賠償金增加到一定程度，由于領(lǐng)導(dǎo)的安全報(bào)酬與事故賠償金負(fù)相關(guān)，則企業(yè)就有動力自覺地增加安全投入，提高安全水平而減少事故，以增加報(bào)酬。不難看出，當(dāng)事故賠償金與為避免事故發(fā)生的主動安全投入相等時(shí)，企業(yè)領(lǐng)導(dǎo)將選擇主動安全投入以避免發(fā)生事故。也就是說，在政府完善監(jiān)督監(jiān)察困難的情況下，為了保證企業(yè)有一定安全水平，要提高事故賠償額度；二要給與企業(yè)領(lǐng)導(dǎo)人足夠的安全獎(jiǎng)金：三要提高懲處率。

4 如何消除企業(yè)安全管理中的信息不對稱現(xiàn)象

綜上所述，不難看出，安全監(jiān)察一般是在信息不對稱的條件下進(jìn)行的，要想達(dá)到監(jiān)察的目的，消除事故隱患，那就必須采取以下措施：

(1)建立健全安全生產(chǎn)的法律法規(guī)和規(guī)章制度及標(biāo)準(zhǔn)。同時(shí)健全安全監(jiān)察的法律法規(guī)及執(zhí)法的規(guī)范。加大監(jiān)察執(zhí)法的透明度，規(guī)范執(zhí)法和守法，強(qiáng)化安全防范意識。要使企業(yè)和監(jiān)管部門真正意識到不消除事故隱患帶來的后果，必須將事故前的處罰同企業(yè)事故后查出的失職及監(jiān)管部門的職責(zé)落實(shí)到位。即在發(fā)生事故前，企業(yè)如不主動消除隱患則必須對其立即處罰；在發(fā)生事故后，要根據(jù)失職行為對企業(yè)、監(jiān)管部門責(zé)任人進(jìn)行處罰。

(2)把企業(yè)的安全狀況與企業(yè)領(lǐng)導(dǎo)人的收入和政績掛鉤，同時(shí)，給予企業(yè)領(lǐng)導(dǎo)人足夠的安全獎(jiǎng)金和有效的罰金；提高懲處率，提高事故賠償額度。

(3)鼓勵(lì)企業(yè)主動增加安全投入，提高企業(yè)的安全技術(shù)水平和安全管理水平，設(shè)立企業(yè)安全基金。資金軟約束是造成事故的一個(gè)重要原因。由于企業(yè)沒有建立安全防范基金，以致沒有能力及時(shí)消除隱患。因此，監(jiān)管部門要督促企業(yè)按凈收入的一定比例投入安全基金，不足部分則應(yīng)由政府補(bǔ)足。

(4)提高安全監(jiān)管監(jiān)察工作效率，強(qiáng)化安全監(jiān)察的執(zhí)法力度，促進(jìn)安全的管理。突出監(jiān)管部門的查處重點(diǎn)，在全面了解隱患狀況的基礎(chǔ)上，重點(diǎn)查處隱患引發(fā)事故概率高的企業(yè)。在確定了重點(diǎn)隱患企業(yè)后，監(jiān)管部門必須開出限期整改通知并落到實(shí)處，即在最后期限。一方面強(qiáng)制消除隱患，而另一方面對企業(yè)責(zé)任人提前給予處罰。

(5)加強(qiáng)對員工的安全培訓(xùn)、教育，進(jìn)行消除隱患、事故的實(shí)戰(zhàn)訓(xùn)練，提高其安全意識和安全防護(hù)水平，使其掌握一定的安全技術(shù)，保障職工形成自保和他保的安全文化思想和理念。

(6)加強(qiáng)安全宣傳工作，提高員工文化素質(zhì)和經(jīng)濟(jì)收入，使員工參與安全管理活動，形成個(gè)完善的監(jiān)督和制約機(jī)制；使企業(yè)的經(jīng)營者、管理者、職工及家屬形成聯(lián)動效應(yīng)，把安全工作放在首位，落在實(shí)處，一切圍繞安全、發(fā)展與效益開展工作；使三者構(gòu)成一個(gè)有機(jī)的統(tǒng)一體，讓員工懂得沒有安全的生產(chǎn)就等于自殺，是給自己挖掘墳?zāi)埂?/p>

(7)提高企業(yè)的社會責(zé)任意識和安全生產(chǎn)主體意識，實(shí)現(xiàn)“要我安全”到“我要安全”的根本轉(zhuǎn)變。

第7篇 創(chuàng)新信息安全管理

上世紀(jì)90年代以來，嘉興電力局逐步建立了辦公自動化(oa)、sap系統(tǒng)、營銷管理、95598客戶服務(wù)、負(fù)荷管理、pi數(shù)據(jù)庫等諸多信息系統(tǒng)，企業(yè)信息化在安全生產(chǎn)、經(jīng)營管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時(shí)，信息安全的籬笆墻也越扎越緊，有效地防范了外部的攻擊和內(nèi)部管理失控帶來的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進(jìn)單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號。2006年貫徹iso／iec27001：2005信息安全管理標(biāo)準(zhǔn)，獲得了挪威船級社dnv公司認(rèn)證證書。

運(yùn)用系統(tǒng)的思想和方法，查找信息安全管理的“短板”

管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理的一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點(diǎn)和要求，這樣就越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革。

管理對象不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象，對外來人員也缺乏有效的識別管理。

管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標(biāo)準(zhǔn)，但隨著信息化的發(fā)展，這些制度逐漸變得與現(xiàn)實(shí)要求不相適應(yīng)。就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切合實(shí)際，往往束之高閣。

風(fēng)險(xiǎn)評估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評估就事論事，不夠系統(tǒng)，主觀性過強(qiáng)，缺乏綜合平衡，抓不住重點(diǎn)，易過度保護(hù)，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺到比較迷茫的問題，隨著科學(xué)技術(shù)的進(jìn)步，企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實(shí)踐，結(jié)合供電企業(yè)的實(shí)際，從信息安全風(fēng)險(xiǎn)評估管理人手，貫徹iso／iec27001：2005信息安全管理標(biāo)準(zhǔn)，建立了信息安全管理體系。通過體系有效運(yùn)作，達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

從資產(chǎn)識別入手，搞好信息安全風(fēng)險(xiǎn)評估

嘉興電力局按《信息安全風(fēng)險(xiǎn)評估控制程序》，對所有的資產(chǎn)進(jìn)行了列表識別，并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評估中，共識別資產(chǎn)2810項(xiàng)，其中確定的重要資產(chǎn)總數(shù)為312項(xiàng)，形成了《重要資產(chǎn)清單》。

圖1重要信息資產(chǎn)按部門分布圖

對重要的信息資產(chǎn)，由資產(chǎn)的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點(diǎn)進(jìn)行識別，并對威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析，確定風(fēng)險(xiǎn)等級和可接受程度，形成了《重要資產(chǎn)風(fēng)險(xiǎn)評估表》。針對每一項(xiàng)威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定措施失效發(fā)生的可能性，計(jì)算風(fēng)險(xiǎn)等級，判斷風(fēng)險(xiǎn)為可接受的還是需要處理的。根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃。對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用適當(dāng)?shù)拇胧?，確定是接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)，還是轉(zhuǎn)移風(fēng)險(xiǎn)。

嘉興電力局經(jīng)過風(fēng)險(xiǎn)評估，確定了不可接受風(fēng)險(xiǎn)84項(xiàng)，其中硬件和設(shè)施52項(xiàng)，軟件和系統(tǒng)0項(xiàng)，文檔和數(shù)據(jù)8項(xiàng)，服務(wù)0項(xiàng)，人力資源24項(xiàng)。

圖2各類不可接受風(fēng)險(xiǎn)按系統(tǒng)分布圖

根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，對可接受風(fēng)險(xiǎn)，保持原有的控制措施，同時(shí)按iso／iec17799：2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則》和系統(tǒng)應(yīng)用的要求，對控制措施進(jìn)行完善。針對不可接受風(fēng)險(xiǎn)，由各部門制定相應(yīng)的安全控制措施。制定控制措施需要考慮風(fēng)險(xiǎn)評估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求，以期達(dá)到風(fēng)險(xiǎn)降低的目的?？刂拼胧┑膶?shí)施將從避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面，將風(fēng)險(xiǎn)降低到可接受的水平。

按照iso標(biāo)準(zhǔn)要求，建立信息安全管理體系

嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動的信息系統(tǒng)，按iso／iec27001：2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》規(guī)定，參照iso／iecl7799：2005《信息技術(shù)·安全技術(shù)—信息安全管理實(shí)施細(xì)則》，建立信息安全管理體系，簡稱isms。

確定信息安全管理體系覆蓋范圍，主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況，涉及電力生產(chǎn)、營銷、服務(wù)和日常管理的40個(gè)重要信息系統(tǒng)。信息安全管理的方針是：“全面、完整、務(wù)實(shí)、有效”。

為實(shí)現(xiàn)信息安全管理體系方針，該局承諾：在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)，識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，采取糾正預(yù)防措施，保證體系的持續(xù)有效性，采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求，制定的信息安全管理目標(biāo)是：2級以上信息安全事件為零，不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密；不發(fā)生導(dǎo)致供電中斷的信息事故；減少涉密有關(guān)的法律風(fēng)險(xiǎn)。

嘉興電力局根據(jù)風(fēng)險(xiǎn)評估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀，按照iso／iec27001：2005標(biāo)準(zhǔn)要求，整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度，形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風(fēng)險(xiǎn)評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個(gè)程序文件，制定了16個(gè)支撐性作業(yè)文件。

運(yùn)用過程方法，實(shí)施信息安全管理體系

在信息安全管理過程中，重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié)，采取明確職責(zé)、動態(tài)檢查、嚴(yán)格考核等措施，使信息安全走上常態(tài)管理之路。

圖3信息安全管理體系實(shí)施過程

重視信息系統(tǒng)安全管理。因?yàn)樾畔⑾到y(tǒng)支撐著企業(yè)的各項(xiàng)業(yè)務(wù)，信息安全管理體系實(shí)施涵蓋信息系統(tǒng)的生命周期，表現(xiàn)在信息系統(tǒng)的軟(硬)件購置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)(權(quán)限)變更等方面，嚴(yán)格執(zhí)行體系的相關(guān)控制程序。

強(qiáng)化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任，對信息關(guān)鍵崗位實(shí)行備案制度。對崗位調(diào)動或離職人員，及時(shí)調(diào)整安全職責(zé)和權(quán)限。定期對員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。

重視相關(guān)方管理。對軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員，明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請、進(jìn)行入網(wǎng)教育等。識別客戶、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。

建立信息安全的常態(tài)管理機(jī)制。對企業(yè)技術(shù)、業(yè)務(wù)目標(biāo)和過程、已識別的威脅、實(shí)施控制的有效性、外部事件變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估。定期對信息安全進(jìn)行定期或不定期的監(jiān)督檢查，包括日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。嘉興電力局2006年內(nèi)審發(fā)現(xiàn)了57個(gè)不符合項(xiàng)，及時(shí)進(jìn)行糾正，解決了用戶權(quán)限、a／b崗、第三方訪問、機(jī)房管理等一些重點(diǎn)問題，從而保證了信息安全管理的質(zhì)量，有效地防范了信息安全事件和事故的發(fā)生。

第8篇 信息科技部-安全管理中心-監(jiān)控規(guī)劃崗工作職責(zé)與職位要求

職位描述：

1、負(fù)責(zé)科技層面監(jiān)控系統(tǒng)的建設(shè)和規(guī)劃、保障監(jiān)控系統(tǒng)的正常運(yùn)行；

2、負(fù)責(zé)業(yè)務(wù)層面監(jiān)控系統(tǒng)的建設(shè)和規(guī)劃、保障監(jiān)控系統(tǒng)的正常運(yùn)行；

3、負(fù)責(zé)監(jiān)控策略、指標(biāo)的優(yōu)化和調(diào)試；

4、協(xié)助一道防線、二道防線建立自動化監(jiān)控方案，減少人力投入；

5、監(jiān)控、督辦、匯報(bào)各類問題，保證相關(guān)人員的信息一致性；

職位要求：

1、全日制本科及以上學(xué)歷

2、5年及以上相關(guān)工作經(jīng)驗(yàn)，有銀行相關(guān)工作經(jīng)驗(yàn)，有監(jiān)控系統(tǒng)部署架構(gòu)經(jīng)驗(yàn)

3、熟悉計(jì)算機(jī)軟硬件系統(tǒng)的產(chǎn)品設(shè)計(jì)、開發(fā)、可行性研究及軟件開發(fā)、測試、評估、操作管理；熟悉linu_系統(tǒng)；熟悉oracle數(shù)據(jù)庫應(yīng)用開發(fā)；熟悉監(jiān)控系統(tǒng)部署方案以及告警策略及優(yōu)化

第9篇 道路交通安全企業(yè)安全管理信息系統(tǒng)的研制與應(yīng)用

引言（1）

為了提高企業(yè)道路交通安全管理效率，防止交通事故的發(fā)生，利用計(jì)算機(jī)信息技術(shù)來進(jìn)行大型企業(yè)交通運(yùn)輸安全管理，是企業(yè)科學(xué)化安全管理的有效途徑。道路交通運(yùn)輸安全管理信息系統(tǒng)（traffic safety management information system,即tsmis）正是面向企業(yè)交通安全管理，利用計(jì)算機(jī)信息技術(shù)開發(fā)而成，它可大大提高安全管理的科學(xué)性和規(guī)范性。本文結(jié)合西北石油局道路交通安全管理信息系統(tǒng)的研制情況，以軟件工程的思路和實(shí)際應(yīng)的角度論述交通運(yùn)輸安全管理信息系統(tǒng)（tsmis）的設(shè)計(jì)思想和編制過程。

組成（2）

tsmis是管理信息系統(tǒng)的具體應(yīng)用和展開。它嚴(yán)格遵循科學(xué)的安全管理原則，采用了動態(tài)人機(jī)安全原理，結(jié)合動態(tài)風(fēng)險(xiǎn)評價(jià)與決策，是一套完整的管理信息系統(tǒng)。tsmis主要的組成有：①駕駛員信息管理；②車輛信息管理；③安全管理信息化的實(shí)現(xiàn)；④安全動態(tài)管理即風(fēng)險(xiǎn)評價(jià)。如圖1所示。

圖1 企業(yè)道路交通安全管理信息系統(tǒng)的組成

管理信息系統(tǒng)的開發(fā)是一項(xiàng)復(fù)雜的社會工程和技術(shù)工程，它涉及社會和技術(shù)等多方面的內(nèi)容。在建立企業(yè)道路交通運(yùn)輸安全管理信息系統(tǒng)時(shí)，需要做好以下幾方面的工作。

（1） 企業(yè)道路交通安全管理信息系統(tǒng)建設(shè)的可行性研究；

（2） 交通安全管理信息系統(tǒng)開發(fā)策略的研討與制定；

（3） 系統(tǒng)開發(fā)方法的研討和選擇；

（4） 開發(fā)步驟的劃分和制定；

（5） 系統(tǒng)的運(yùn)行計(jì)算機(jī)配置和數(shù)據(jù)庫的總體設(shè)計(jì)；

（6） 軟件開發(fā)工具的選擇和提供。

針對tsmis的設(shè)計(jì)內(nèi)容，道路交通安全管理信息系統(tǒng)的建立需要綜合和應(yīng)用多種學(xué)科的知識和成果，包括安全管理學(xué)、系統(tǒng)安全工程學(xué)、數(shù)字、統(tǒng)計(jì)學(xué)、計(jì)算機(jī)科學(xué)、軟件工程、行為科學(xué)、心理學(xué)、人機(jī)工程學(xué)、交通安全管理學(xué)等研究成果，而且還需要參照國內(nèi)外的交通安全管理的有關(guān)標(biāo)準(zhǔn)，因此是一項(xiàng)復(fù)雜的系統(tǒng)工程。同時(shí)，道路交通安全管理系統(tǒng)tsmis的建設(shè)又具有社會性的一面，因?yàn)橄到y(tǒng)本質(zhì)上是一種人機(jī)系統(tǒng)，它低托于管理科學(xué)的成果和受管理者的意識和習(xí)慣的支配。并且在系統(tǒng)建設(shè)和以后的運(yùn)行中，需要處理好復(fù)雜的人與人之間、部門與部門之間、企業(yè)內(nèi)部與企業(yè)外部間的多種關(guān)系，這些關(guān)系的協(xié)調(diào)和處理是系統(tǒng)開發(fā)和運(yùn)行中必不可少的工作內(nèi)容，這比單純的技術(shù)性工作要復(fù)雜得多。因此，道路交通安全管理信息系統(tǒng)開發(fā)的重點(diǎn)是要搞清楚安全管理工作中復(fù)雜多變的人員、部門關(guān)系，并從中找出規(guī)律，以便系統(tǒng)能進(jìn)行人、車、環(huán)境的動態(tài)分析。

軟件的系統(tǒng)設(shè)計(jì)（3）

1． 軟件系統(tǒng)組成

道路交通安全信息管理系統(tǒng)的功能模塊如圖2所示。

圖2 道路交通安全信息管理系統(tǒng)的功能模塊

（1） 數(shù)據(jù)庫設(shè)計(jì)

儲存駕駛員信息數(shù)據(jù)、車輛信息數(shù)據(jù)、管理標(biāo)準(zhǔn)及作業(yè)文件數(shù)據(jù)等。采用access2000單機(jī)版和sql server2000網(wǎng)絡(luò)版2種應(yīng)用版本，以適應(yīng)不同用戶的需求。

（2） 輔助管理模塊

此模塊包括出車調(diào)度管理、駕駛員管理、車輛管理、檔案管理等子模塊。其功能如下：

①出車調(diào)度管理模塊：主要提供動態(tài)的安全出車調(diào)度，是該軟件系統(tǒng)的核心之一，具有根據(jù)人、車、環(huán)境等因素動態(tài)分析出車調(diào)度的安全指數(shù)，并提出可行性依據(jù)建議。如果人、車配備不合適或安全指數(shù)太低，系統(tǒng)會要求重新選派。如條件滿足，系統(tǒng)會自動存檔并打印出車表單。駕駛員、車輛、檔案管理模塊都分別按照西北石油局的安全管理標(biāo)準(zhǔn)來實(shí)現(xiàn)信息化。

②輸入、輸出：出車調(diào)度管理模塊的輸入主要是各單位調(diào)度派遣信息，輸出的主要是調(diào)度動態(tài)分析和出車表單。

（3） 統(tǒng)計(jì)分析模塊

根據(jù)統(tǒng)計(jì)分析要求，從數(shù)據(jù)庫中取出數(shù)據(jù)進(jìn)行分析，并以圖表方式顯示統(tǒng)計(jì)分析結(jié)果。本模塊主要由以下幾個(gè)模塊組成：駕駛員信息統(tǒng)計(jì)、車輛信息、行車指標(biāo)統(tǒng)計(jì)、事故信自統(tǒng)計(jì)、人車動態(tài)分析等。

①功能設(shè)計(jì)：以圖表形式來統(tǒng)計(jì)分析各項(xiàng)數(shù)據(jù)信息，分別有柱狀圖、扇型圖、折線圖等顯示，根據(jù)不同的用戶需求來實(shí)現(xiàn)不同的數(shù)據(jù)統(tǒng)計(jì)分析功能。

人車動態(tài)分析評價(jià)系統(tǒng)可以結(jié)合人、車、環(huán)境等因素動態(tài)地完成安全評估報(bào)告。它是建立在數(shù)據(jù)庫和統(tǒng)計(jì)分析結(jié)果基礎(chǔ)之上的。

②輸入、輸出設(shè)計(jì)：輸入主要指輸入用戶想統(tǒng)計(jì)的信息的一些參數(shù)，輸出有打印表單等功能。

（4） 信息查詢模塊

本模塊包括駕駛員信息查詢、車輛信息查詢、事故信息查詢、出車調(diào)度信息查詢、安全法規(guī)信息查詢、安全管理標(biāo)準(zhǔn)信息查詢等幾個(gè)子模塊。每個(gè)模塊都有復(fù)合式查詢功能，即可通過輸入多項(xiàng)或一項(xiàng)進(jìn)行信息查詢。

如駕駛員信息查詢模塊中可以通過輸入駕駛員的姓名、年齡、工齡、性別、身份證號碼等進(jìn)行多重信息查詢。

（5） 系統(tǒng)管理模塊

完成軟件系統(tǒng)的各項(xiàng)管理操作，如編輯功能、文件操作、數(shù)據(jù)庫的維護(hù)管理及數(shù)據(jù)庫文件的備份操作等。

（6） 幫助模塊

給操作者提供各種有關(guān)操作方面的信息及軟件使用方法等。

（7） 軟件人機(jī)界面

采用下拉菜單，鼠標(biāo)操作，具有良好的人機(jī)交互性和操作簡便性。

2． 軟件設(shè)計(jì)要求

根據(jù)西北石油局信息中心的要求，采用混合編程方法設(shè)計(jì)軟件系統(tǒng)，軟件既可在網(wǎng)絡(luò)上運(yùn)行，也可在單機(jī)上運(yùn)行。主要使用的設(shè)計(jì)語言為vb6.0及其他輔助工具軟件，軟件運(yùn)行環(huán)境為windows98及以上的版本，硬件配置為：pii及以上機(jī)型，內(nèi)存64m，硬盤3.5g，光驅(qū)32倍速，數(shù)據(jù)庫采用access2000的單機(jī)版和sql server2000網(wǎng)絡(luò)版2種。

本系統(tǒng)采用當(dāng)前流行的ado數(shù)據(jù)庫技術(shù)和常用的vb+sql server管理信息系統(tǒng)軟件開發(fā)模式，并應(yīng)用人機(jī)工程學(xué)原理來設(shè)計(jì)互動的人機(jī)友好界面，使tsmis系統(tǒng)更具企業(yè)親和力。

軟件編制結(jié)果應(yīng)用（4）

根據(jù)上述設(shè)計(jì)內(nèi)容，初步研制出了“道路交通安全管理信息系統(tǒng)1.0”，通過調(diào)試，基本可以應(yīng)用于企業(yè)道路交通安全的信息化管理。該系統(tǒng)具有功能全，界面好，使用操作方便等特點(diǎn)，可廣泛應(yīng)用于各類大型企業(yè)內(nèi)部道路交通安全的管理。

結(jié)束語（5）

隨著技術(shù)的進(jìn)步，經(jīng)營管理方式發(fā)生了轉(zhuǎn)變，從而使面向管理的信息系統(tǒng)的內(nèi)容和形式都在發(fā)生著變化，當(dāng)前可以充分利用網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫技術(shù)的發(fā)展，形成一種全新的運(yùn)行方式。同樣，網(wǎng)格技術(shù)的發(fā)展也使道路交通安全管理信息系統(tǒng)在大型企業(yè)間使用變得很簡單，通過企業(yè)內(nèi)部的局域網(wǎng)，可以實(shí)現(xiàn)整個(gè)企業(yè)資源共享的同時(shí)，也可以用tsmis系統(tǒng)進(jìn)行整個(gè)企業(yè)的信息查詢、遠(yuǎn)程協(xié)調(diào)各單位的道路交通安全管理事務(wù)等操作。這樣更有助于企業(yè)在宏觀上進(jìn)行安全決策和風(fēng)險(xiǎn)評價(jià)分析。

道路交通運(yùn)輸安全管理信息系統(tǒng)必須根據(jù)時(shí)代要求，走網(wǎng)絡(luò)化道路，要不斷完善其網(wǎng)絡(luò)功能，真正實(shí)現(xiàn)信息化管理，并朝著信息化方向不斷發(fā)展。

第10篇 信息科技部-安全管理中心-安全運(yùn)營崗工作職責(zé)與職位要求

職位描述：

職責(zé)描述：

1、參與優(yōu)化安全防御體系，研究和實(shí)踐使用有效技術(shù)解決銀行業(yè)務(wù)系統(tǒng)的安全相關(guān)問題。

2、跟蹤和分析各類安全問題和安全事件，如網(wǎng)站入侵調(diào)查，病毒木馬，ddos攻擊等。

3、跟蹤和分析新的安全漏洞和技術(shù)，定期對系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)進(jìn)行安全檢測和風(fēng)險(xiǎn)評估。

4、編寫防御工具和分析工具，對新技術(shù)、新方法、新軟件進(jìn)行評估和應(yīng)用，完成網(wǎng)絡(luò)和系統(tǒng)安全加固。

5、協(xié)助各項(xiàng)信息安全相關(guān)工作，確保信息安全管控措施有效執(zhí)行。

職位要求：

1、全日制本科及以上學(xué)歷，計(jì)算機(jī)相關(guān)專業(yè)優(yōu)先；

2、相關(guān)工作經(jīng)驗(yàn)3年以上，有銀行相關(guān)項(xiàng)目及從業(yè)經(jīng)驗(yàn)為佳；

3、責(zé)任心強(qiáng)、工作細(xì)致、溝通能力強(qiáng)，有良好的團(tuán)隊(duì)協(xié)作及問題解決能力。

第11篇 27001信息安全管理體系審核員工作職責(zé)與職位要求

職位描述：

1.按照公司派遣計(jì)劃（app）要求，對指定申請組織進(jìn)行相應(yīng)領(lǐng)域（目前：質(zhì)量、環(huán)境、職業(yè)健康安全、信息安全、ec9000、13485、hse、食品安全、危害分析與關(guān)鍵控制點(diǎn)、資產(chǎn)管理體系、道路交通安全管理體系、服務(wù)認(rèn)證、產(chǎn)品認(rèn)證）標(biāo)準(zhǔn)規(guī)范進(jìn)行第三方現(xiàn)場合格評定活動；

2.定期參加公司組織的遠(yuǎn)程、面授培訓(xùn)及考試，積極提升自身的能力水平；

3.遵守公司的管理制度，按照規(guī)定流程執(zhí)行審核活動的前期、現(xiàn)場、后期綜合程序；

4.遵守國家認(rèn)證認(rèn)可等行業(yè)主管單位的規(guī)定要求。

職位要求：

1. 年齡不限；

2.須取得中國認(rèn)證認(rèn)可協(xié)會（ccaa）頒發(fā)的國家注冊審核員，檢查員或?qū)彶閱T資格或已通過相應(yīng)領(lǐng)域的ccaa國家注冊審核員考試（基礎(chǔ)知識審核知識）。

3.具有良好的責(zé)任心；

4.專職優(yōu)先。

5.待遇從優(yōu)，工資底薪人天費(fèi)用組長費(fèi)（適用時(shí)）見證費(fèi)（適用時(shí)）社保

6.從業(yè)4年以上，或能力優(yōu)秀者可以適當(dāng)交流調(diào)整底薪待遇。

7.專職應(yīng)履行不少于20個(gè)審核人日要求，或季度60個(gè)人日要求。

第12篇 安全生產(chǎn)信息調(diào)度中心運(yùn)行管理辦法

根據(jù)《澄合煤業(yè)公司安全生產(chǎn)信息調(diào)度中心運(yùn)行辦法》的通知精神，結(jié)合我礦的實(shí)際，為加強(qiáng)礦井信息調(diào)度工作，充分發(fā)揮調(diào)度協(xié)調(diào)職能，保證礦井生產(chǎn)任務(wù)的順利完成，特制定__煤炭開發(fā)有限公司安全生產(chǎn)信息調(diào)度中心運(yùn)行管理辦法。

一、調(diào)度運(yùn)行方式：

1、調(diào)度范圍：礦井所屬各單位。

2、調(diào)度內(nèi)容：各系統(tǒng)的安全、生產(chǎn)、銷售及重大突發(fā)事件。

3、調(diào)度的方式：采用調(diào)度網(wǎng)絡(luò)與電話調(diào)度，報(bào)表傳送，定時(shí)與不定時(shí)相結(jié)合的方式進(jìn)行調(diào)度；

4、時(shí)間與內(nèi)容：調(diào)度中心實(shí)行24小時(shí)值班制度。

二、工作職責(zé)：

1、負(fù)責(zé)全礦日常生產(chǎn)的組織和指揮，按班、按日、按月、按旬完成原煤產(chǎn)量、開拓、掘進(jìn)進(jìn)尺等各項(xiàng)任務(wù)。

2、負(fù)責(zé)組織或召開生產(chǎn)調(diào)度會，班前作業(yè)會，生產(chǎn)平衡會，及時(shí)解決生產(chǎn)中的一切具體問題，督促檢查執(zhí)行情況，凡是當(dāng)前生產(chǎn)急需解決的問題，有權(quán)對同級業(yè)務(wù)部門進(jìn)行統(tǒng)一調(diào)度，行使調(diào)度職權(quán)。

3、認(rèn)真貫徹安全生產(chǎn)方針，嚴(yán)格按照安全規(guī)程，作業(yè)規(guī)程，操作規(guī)程指揮生產(chǎn)，對威脅安全生產(chǎn)的重大問題，有權(quán)下達(dá)調(diào)度命令，并督促有關(guān)部門采取迅速解決問題的有效措施，凡是發(fā)生重大事故，調(diào)度室要組織和指揮搶救工作，并組織盡快恢復(fù)生產(chǎn)。與此同時(shí)，迅速將事故詳細(xì)情況通知有關(guān)單位，并向有關(guān)領(lǐng)導(dǎo)和局調(diào)度室匯報(bào)。

4、及時(shí)掌握全礦生產(chǎn)動態(tài)，對生產(chǎn)薄弱環(huán)節(jié)、采掘工作面接替情況及采掘工作的出勤率等問題，進(jìn)行專題調(diào)度。

5、抓好均衡生產(chǎn)。平時(shí)要狠抓夜班生產(chǎn)和月初、季初的生產(chǎn)，安排好礦井計(jì)劃檢修工作，并督促檢查計(jì)劃執(zhí)行情況。

6、認(rèn)真做好上情下達(dá)、下情上報(bào)的工作，對領(lǐng)導(dǎo)指示，及時(shí)檢查貫徹執(zhí)行情況，對生產(chǎn)活動及出現(xiàn)的重大問題，如實(shí)地向礦有關(guān)領(lǐng)導(dǎo)或上級業(yè)務(wù)部門匯報(bào)。

7、及時(shí)了解和掌握全礦各采掘工作面的安裝、生產(chǎn)準(zhǔn)備和日常生產(chǎn)情況。

8、經(jīng)常深入生產(chǎn)實(shí)際調(diào)查研究，掌握第一手資料，了解生產(chǎn)變化情況，及時(shí)向礦領(lǐng)導(dǎo)或有關(guān)部門提出建設(shè)性建議，保證生產(chǎn)不間斷地進(jìn)行。

9、建立建全完整的原始記錄，按時(shí)填寫各項(xiàng)圖表及排版，及時(shí)提供生產(chǎn)調(diào)度日報(bào)和上月生產(chǎn)活動分析。

10、上級調(diào)度通知、調(diào)度通報(bào)，是傳達(dá)領(lǐng)導(dǎo)緊急指示、進(jìn)行緊急工作部署的重要手段，屬于緊急公文，并且具有同級正式文件的同等效力，礦屬各單位必須嚴(yán)格執(zhí)行。

11、調(diào)度人員有權(quán)參加礦生產(chǎn)作業(yè)計(jì)劃的編審工作，有權(quán)組織召集或參加有關(guān)生產(chǎn)或安全問題的一些會議。

12、根據(jù)礦領(lǐng)導(dǎo)指示或生產(chǎn)上緊急需要，有權(quán)調(diào)度所屬有關(guān)單位人力、物力以及車輛，各有關(guān)單位必須堅(jiān)決服從和執(zhí)行調(diào)度命令。

13、根據(jù)工作需要，調(diào)度人員有權(quán)了解計(jì)劃、生產(chǎn)措施和領(lǐng)導(dǎo)指示落實(shí)情況，有關(guān)單位或人員應(yīng)如實(shí)地提供情況和有關(guān)資料。

14、礦調(diào)度室經(jīng)常與采掘隊(duì)、輔助隊(duì)、銷售、供應(yīng)等單位加強(qiáng)聯(lián)系，及時(shí)解決存在的問題。

15、加強(qiáng)調(diào)度業(yè)務(wù)學(xué)習(xí)，掌握計(jì)算機(jī)信息錄入程序，及時(shí)準(zhǔn)確填報(bào)各種生產(chǎn)數(shù)據(jù)，并按時(shí)向有關(guān)部傳遞。

三、調(diào)度員崗位職責(zé)：

1、負(fù)責(zé)掌握全礦安全生產(chǎn)動態(tài)，對當(dāng)班生產(chǎn)的重要問題，班隊(duì)長的匯報(bào)情況，以及所發(fā)生的各種事故，及時(shí)安排處理，同時(shí)匯報(bào)有關(guān)領(lǐng)導(dǎo)，做好記錄。

2、對上級領(lǐng)導(dǎo)和上級部門的指示、通知等要認(rèn)真做好記錄，迅速請有關(guān)領(lǐng)導(dǎo)傳閱，及時(shí)向有關(guān)單位傳達(dá)，并了解其執(zhí)行情況。

3、在礦值班領(lǐng)導(dǎo)主持下，組織開好下一班的班前作業(yè)會議，為下班的生產(chǎn)做好準(zhǔn)備。

4、要認(rèn)真貫徹安全生產(chǎn)方針，搞好安全工作，制止違章指揮、違章作業(yè)和違反勞動紀(jì)律的現(xiàn)象。

5、在發(fā)生人身事故時(shí)，要嚴(yán)格按照《關(guān)于工傷搶救程序的規(guī)定》，立即組織搶救工作。

6、做好雨季“三防”的日常工作，并做好相關(guān)記錄。

7、每班及時(shí)向公司調(diào)度中心匯報(bào)各種數(shù)據(jù)和信息，并按要求及時(shí)輸入“生產(chǎn)調(diào)度管理系統(tǒng)”。

四、調(diào)度會議制度：

1、參加調(diào)度會議人員

（1）每日碰頭會（早7：00），由礦屬各采、掘、機(jī)、運(yùn)、通、輔助單位行政正職、職能科室正職參加。

（2）每日十六點(diǎn)班（15：00）、零點(diǎn)班（23：00）班前調(diào)度會，由采掘隊(duì)、生產(chǎn)輔助隊(duì)值班干部和該隊(duì)工長及礦當(dāng)日值班領(lǐng)導(dǎo)參加。

2、調(diào)度會議內(nèi)容及程序：

（1）碰頭會由調(diào)度主任主持，班前會議由調(diào)度員主持。準(zhǔn)時(shí)點(diǎn)名，通報(bào)上天生產(chǎn)任務(wù)完成情況，并做好當(dāng)天生產(chǎn)計(jì)劃、工作安排。

（2）會議前必須做好一切準(zhǔn)備工作，要講實(shí)效，時(shí)間不得超過30分鐘。

（3）會議宣傳貫徹上級安全生產(chǎn)方針、通報(bào)、指示、指令及礦領(lǐng)導(dǎo)指示精神，簡要分析通報(bào)上班安全生產(chǎn)運(yùn)行和作業(yè)現(xiàn)場進(jìn)展情況。

（4）與會隊(duì)干部匯報(bào)當(dāng)班生產(chǎn)作業(yè)計(jì)劃，調(diào)度室將依據(jù)日作業(yè)計(jì)劃，結(jié)合作業(yè)現(xiàn)場及相關(guān)系統(tǒng)、環(huán)節(jié)的實(shí)際情況，下達(dá)其當(dāng)班生產(chǎn)任務(wù)以及一些臨時(shí)性工作安排，各隊(duì)要認(rèn)真組織落實(shí)。

（5）凡各區(qū)隊(duì)需下料或上下設(shè)備、管子、工字鋼、單體支柱，打躲避洞，打絞車基礎(chǔ)，鋪道，移裝巖機(jī)等工作時(shí)，必須在碰頭會或班前會上作計(jì)劃，凡各單位干零星雜活未向調(diào)度室做計(jì)劃私自安排，造成不良后果，均由該隊(duì)長負(fù)擔(dān)一切費(fèi)用，并按照有關(guān)文件追究其責(zé)任。

（6）每日碰頭會，由安檢、生產(chǎn)、機(jī)電、調(diào)度、礦領(lǐng)導(dǎo)針對礦井安全生產(chǎn)過程中存在的問題以及當(dāng)前階段性工作任務(wù)，提出具體解決辦法和安排意見，及時(shí)協(xié)調(diào)各區(qū)隊(duì)和各環(huán)節(jié)急待解決問題。

3、要求和紀(jì)律：

（1）所有按要求參加調(diào)度會議的人員，必須準(zhǔn)時(shí)到會，遲到一次罰款20元，礦會一次罰款50元。確因有事不能參加者，必須事先向礦級領(lǐng)導(dǎo)主管和調(diào)度主任請假，否則按曠會論處。

（2）當(dāng)班調(diào)度員必須按時(shí)督促碰頭會或班前會議所安排的工作任務(wù)的完成情況。

（3）開會期間手機(jī)必須設(shè)為振動或關(guān)機(jī)狀態(tài)，響鈴一次罰款50元；

（4）各單位對生產(chǎn)中存在的問題及解決方案必須事先溝通，確實(shí)需上會時(shí)再提出，嚴(yán)禁推諉扯皮。

五、區(qū)隊(duì)干部值班制度：

1、各區(qū)隊(duì)必須在每月1日前，將本隊(duì)全月干部值班安排表上報(bào)調(diào)度室，若值班人員有變化時(shí)，要及時(shí)通知調(diào)度室，否則每次罰款50元。

2、區(qū)隊(duì)必須堅(jiān)持24小時(shí)不間斷值班制度（在其隊(duì)部值班），調(diào)度室隨時(shí)查崗，每班不少于一次。

3、若值班人員有事要暫時(shí)離開隊(duì)部時(shí)，必須事先向調(diào)度室請示，并說明去向，征得同意后，必須安排本隊(duì)其他人員留守在隊(duì)部接聽電話。

4、若值班干部中途有事要離開礦區(qū)時(shí)，必須由該隊(duì)其他干部代替值班，并通知調(diào)度室，代替人員到位后，原值班干部方可離開。

5、每發(fā)現(xiàn)值班干部脫崗一次，罰款20元；無人值班，罰款50元，并由該值班干部承擔(dān)因脫崗或空崗所產(chǎn)生的一切不良后果。

6、全礦所有干部及業(yè)務(wù)主管人員手機(jī)必須保持待機(jī)狀態(tài)，發(fā)現(xiàn)手機(jī)關(guān)機(jī)，每次處罰200元，并追究責(zé)任。

六、跟班干部及工長匯報(bào)制度：

1、各采掘隊(duì)必須由隊(duì)干部現(xiàn)場跟班，跟班干部對本班的安全生產(chǎn)工作負(fù)全責(zé)，保證本班生產(chǎn)任務(wù)的完成，確保安全工作。

2、跟班干部要堅(jiān)持每班三次的（向調(diào)度室）匯報(bào)制度——班初匯報(bào)（匯報(bào)上班完成情況及遺留問題、當(dāng)班計(jì)劃等）、班中匯報(bào)（匯報(bào)當(dāng)班工作進(jìn)展情況）、班末匯報(bào)（匯報(bào)本班任務(wù)完成情況及存在問題）。如有特殊事情，必須及時(shí)匯報(bào)調(diào)度室。

3、當(dāng)班工長也要堅(jiān)持每班兩次的匯報(bào)制度——班初匯報(bào)（匯報(bào)出勤人數(shù)、當(dāng)班計(jì)劃等）、班末匯報(bào)（匯報(bào)本班任務(wù)完成情況）。

4、跟班人員和當(dāng)班工長要按時(shí)匯報(bào)，遲匯報(bào)一次，罰款5元；少匯報(bào)一次，罰款10元；不匯報(bào)按無跟班或無工長論處，無跟班或無工長者一次罰款50元，罰該隊(duì)隊(duì)長100元，并追究有關(guān)人員的責(zé)任。

5、跟班干部和當(dāng)班工長必須同本班人員同上同下，發(fā)現(xiàn)遲下或早上者，一次罰款30元。

6、跟班人員要認(rèn)真履行職責(zé)，及時(shí)向調(diào)度室如實(shí)匯報(bào)情況（例如生產(chǎn)影響和事故等），堅(jiān)決杜絕虛報(bào)瞞報(bào)現(xiàn)象的發(fā)生，否則，要嚴(yán)格追究當(dāng)班跟班干部的責(zé)任。

七、停工誤時(shí)管理制度：

1、停工誤時(shí)是指因設(shè)備故障、材料供應(yīng)、安全質(zhì)量等原因造成本單位或其它單位生產(chǎn)中斷，影響產(chǎn)量進(jìn)尺和正常生產(chǎn)組織的非人身事故的總稱。

各單位需檢修的設(shè)備必須在前一天提出計(jì)劃，由調(diào)度室主任全面協(xié)調(diào)后，在當(dāng)日碰頭會上進(jìn)行安排，但必須規(guī)定時(shí)間，落實(shí)責(zé)任人。檢修完畢后及時(shí)向調(diào)度室匯報(bào)，調(diào)度臺做好記錄，此期間在規(guī)定時(shí)間內(nèi)完成不計(jì)本單位誤時(shí)，否則按誤時(shí)處理。

所有臨時(shí)性安排任務(wù)歸口調(diào)度室管理，被安排單位必須無條件立即執(zhí)行，否則，按照停工誤時(shí)論處。

2、事故處理程序：

（1）凡發(fā)生事故造成生產(chǎn)中斷的單位，必須立即匯報(bào)礦調(diào)度室，跟班干部必須在現(xiàn)場立即組織人員積極搶修、處理，避免事故擴(kuò)大或誤時(shí)延長。

（2）各單位的事故處理，必須聽從調(diào)度室的統(tǒng)一協(xié)調(diào)指揮，凡不服從者，造成事故擴(kuò)大或誤時(shí)延長，按責(zé)任劃分，予以加倍處罰，并追究部門領(lǐng)導(dǎo)責(zé)任。

（3）調(diào)度室按事故的影響范圍或程度，需調(diào)度其它單位人員或物資時(shí)，必須無條件服從，積極組織處理，否則按同類事故影響追究責(zé)任。

（4）事故單位處理完畢后，跟班干部應(yīng)立即匯報(bào)調(diào)度室 ，并對現(xiàn)場工作安排詳細(xì)說明，調(diào)度室做好記錄。

3、必須追查處理的事故：

（1）機(jī)電事故：造成生產(chǎn)單位停產(chǎn)超過1小時(shí)或直接經(jīng)濟(jì)損失500元以上的事故。

（2）頂板事故：造成生產(chǎn)中斷1小時(shí)以上或影響產(chǎn)量100噸以上，進(jìn)尺1.5米以上的事故。

（3）運(yùn)輸事故：主、副井提升井下運(yùn)輸系統(tǒng)，停運(yùn)1小時(shí)以上，或副提升系統(tǒng)停運(yùn)2小時(shí)，或生產(chǎn)單位停產(chǎn)1小時(shí)的事故。

（4）其它事故：造成生產(chǎn)單位或系統(tǒng)影響，影響職工延時(shí)1小時(shí)以上的事故。

4、事故追查的管理規(guī)定：

（1）調(diào)度室負(fù)責(zé)事故追查的組織工作。按事故性質(zhì)通知分管領(lǐng)導(dǎo)，職能科室、事故單位負(fù)責(zé)人及事故有關(guān)人員按時(shí)參加。

（2）對2小時(shí)以下的誤時(shí)，由當(dāng)日值班人員主持追查；2小時(shí)以上的誤時(shí)由調(diào)度主任及有關(guān)業(yè)務(wù)科室參加，生產(chǎn)礦長主持追查。

（3）事故的追查要達(dá)到“快、嚴(yán)、細(xì)、準(zhǔn)”，結(jié)果由調(diào)度室在追查后4小時(shí)內(nèi)通報(bào)全礦。

（4）凡被通知參加追查的人員，必須按時(shí)參加，無故不參加者，每次罰款50元。

（5）對事故追查必須尊重客觀事實(shí)，需查看現(xiàn)場時(shí)應(yīng)及時(shí)組織相關(guān)人員到現(xiàn)場了解，堅(jiān)持實(shí)事求是的原則。先從管理上查找并分析事故原因，責(zé)任必須落實(shí)到人，并制定切實(shí)可行的防范措施，寫出書處理意見，交礦調(diào)度室。

5、對事故責(zé)任單位及責(zé)任者造成經(jīng)濟(jì)損失賠償?shù)囊?guī)定：

（1）對影響安全生產(chǎn)的誤時(shí)要進(jìn)行考核和處理。對造成局部性停工誤時(shí)的責(zé)任單位按1.5元/分鐘進(jìn)行處罰；對造成某一系統(tǒng)或全礦停產(chǎn)誤時(shí)的對責(zé)任單位按3.0元/分鐘進(jìn)行處罰。

（2）事故造成1000元以內(nèi)經(jīng)濟(jì)損失的，由責(zé)任者賠償損失的20%—40%，直接經(jīng)濟(jì)損失在1001—5000元者，由責(zé)任者賠償損失的10%—30%，并給予行政警告處分，其余部分由其單位負(fù)責(zé)賠償。

（3）對因個(gè)人操作不符合規(guī)定或擅離職守，而造成設(shè)備損壞，由責(zé)任者按100%賠償。

（4）對事故隱瞞不報(bào)者，一經(jīng)查出，每次罰款50元。

（5）事故責(zé)任單位及個(gè)人罰款、賠償，經(jīng)追查小組決定后由調(diào)度室月末出據(jù)罰單（一式三份，調(diào)度、財(cái)務(wù)、個(gè)人各持一份）通知到責(zé)任單位及責(zé)任者，由財(cái)務(wù)科執(zhí)罰。

（6）各單位全月誤時(shí)超過規(guī)定指標(biāo)，扣干部工資10%。

附：各單位誤時(shí)控制指標(biāo)

為了確保我礦實(shí)現(xiàn)安全生產(chǎn)年，進(jìn)一步完善工傷搶救程序，加強(qiáng)各級領(lǐng)導(dǎo)的安全意識和責(zé)任心，使工傷人員能夠迅速搶救上井并得以及時(shí)治療，結(jié)合我礦實(shí)際，特制定如下措施：

1、加強(qiáng)各級領(lǐng)導(dǎo)值班制度和采掘區(qū)隊(duì)現(xiàn)場跟班制度值班期間有事必須向調(diào)度室請假，說明去向和電話號碼，并能在10分鐘內(nèi)找見，如去處用電話無法聯(lián)系時(shí)，必須找本單位其它領(lǐng)導(dǎo)代替值班，否則不得離開值班崗位，嚴(yán)禁脫崗和空崗。

2、井下發(fā)生工傷，工傷所在單位必須立即如實(shí)向調(diào)度室匯報(bào)受傷人單位、姓名、受傷部位、受傷地點(diǎn)、傷勢情況，調(diào)度室通知該單位領(lǐng)導(dǎo)立即停止一切工作，組織現(xiàn)場人員盡力搶救和井上快速運(yùn)送受傷人員。

3、調(diào)度室接到受傷情況匯報(bào)后，做好記錄，并按以下程序通知：

（1）立即通知運(yùn)輸大巷（電話8040），停止沿途其他工作，將電車開往出事地點(diǎn)接送工傷人員。

（2）通知副井信號工（電話8034），通知副絞車司機(jī)（電話），聽到信號后，將罐籠放至下部等待工傷人員。

（3）通知調(diào)度值班司機(jī)魏鋒洲（電話：15091431884）。

（4）通知調(diào)度主任周志明（電話15929712697）。

（5）通知當(dāng)天值班領(lǐng)導(dǎo)。

（6）受傷部位在腰部以上者，立即匯報(bào)公司調(diào)度中心（電話：6791202）。

（7）通知：何成育王掌學(xué)種盈倉王建芳

同戰(zhàn)倉李建平宋錄才

（8）傷勢嚴(yán)重時(shí)通知：

張存乾韓對民王全堂王萬恒同新立

鄧曉奇醫(yī)院負(fù)責(zé)人劉建軍何兵王忠斌

4、傷員上井后，要積極組織醫(yī)護(hù)人員搶救，必要時(shí)送局醫(yī)院搶救，并及時(shí)將情況匯報(bào)調(diào)度室。

5、調(diào)度室通知沿線車輛時(shí)間必須在5分鐘之內(nèi)通知完，通知有關(guān)領(lǐng)導(dǎo)必須在15分鐘之內(nèi)完成。

6、礦醫(yī)院接到調(diào)度室電話后做好搶救準(zhǔn)備工作，如工傷危重，立即在15分鐘內(nèi)帶搶救箱，去井口等待進(jìn)行應(yīng)急處理，并護(hù)送工傷到醫(yī)院。

礦井各部門負(fù)責(zé)人電話號碼

上一頁12下一頁

第13篇 信息科技部-安全管理中心團(tuán)隊(duì)負(fù)責(zé)人工作職責(zé)與職位要求

職位描述：

工作職責(zé)：

1、根據(jù)總行審計(jì)部、風(fēng)險(xiǎn)管理部和信息科技部的戰(zhàn)略目標(biāo)，負(fù)責(zé)全行信息安全中心的整體規(guī)劃和設(shè)計(jì)；

2、建立信息安全體系，將安全工作標(biāo)準(zhǔn)化、公開化。落實(shí)多層級的項(xiàng)目管理機(jī)制，確保安全體系落地執(zhí)行；

3、負(fù)責(zé)研究、分析監(jiān)管動態(tài)、行業(yè)信息安全技術(shù)發(fā)展趨勢、同業(yè)信息安全動態(tài)，對行內(nèi)信息安全管理水平的提升提出建設(shè)性意見；

4、通過對安全工作與安全項(xiàng)目信息匯總、分析，為決策層提供可行性建議和支持；

5、協(xié)助開展安全管理工作，對安全工作進(jìn)行評定，發(fā)現(xiàn)存在的風(fēng)險(xiǎn)，督促落實(shí)安全問題的解決工作；

6、負(fù)責(zé)團(tuán)隊(duì)的組建和培養(yǎng)，帶領(lǐng)團(tuán)隊(duì)完成項(xiàng)目任務(wù)。

職位要求：

1、計(jì)算機(jī)相關(guān)專業(yè)本科以上學(xué)歷，6年以上安全工作經(jīng)驗(yàn)；

2、具備扎實(shí)的安全理論基礎(chǔ)，了解各類安全技術(shù)原理，精通業(yè)內(nèi)主流安全趨勢，熟悉業(yè)界安全攻防動態(tài)；

3、具備扎實(shí)的信息安全管理理論知識，能把握到監(jiān)管、合規(guī)風(fēng)向，從而完善信息安全治理方向。

4、具備銀行業(yè)/互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗(yàn)；

5、具備優(yōu)秀的邏輯思維能力，善于分析問題和解決問題。

6、具備團(tuán)隊(duì)管理經(jīng)驗(yàn)，有相同崗位任職者優(yōu)先。

第14篇 保密和信息安全管理規(guī)定

為了防止信息和技術(shù)的泄密,導(dǎo)致嚴(yán)重災(zāi)難的發(fā)生,特制訂本規(guī)定:

一、公司秘密包括:

1、公司股東、董事會資料,會議記錄、紀(jì)要,保密期限內(nèi)的重要決定事項(xiàng);

2、公司的年度工作總結(jié),財(cái)務(wù)預(yù)算決算報(bào)告,繳納稅款、營銷報(bào)表和各種綜合統(tǒng)計(jì)報(bào)表;

3、公司業(yè)務(wù)資料,貨源情報(bào)和對供應(yīng)商調(diào)研資料;

4、公司開發(fā)設(shè)計(jì)資料、技術(shù)資料和生產(chǎn)情況;

5、客戶提供的一切文件、資料等;

6、公司各部門人員編制、調(diào)整、未公布的計(jì)劃,員工福利待遇資料;

7、公司的安全防范狀況及存在問題;

8、公司員工違法違紀(jì)的檢舉、投訴、調(diào)查材料,發(fā)生案件、事故的調(diào)查登記資料;

9、公司、法人代表的印章、營業(yè)執(zhí)照、財(cái)務(wù)印章、合同協(xié)議。

二、公司的保密制度:

1、文件、傳真、郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理;

2、凡涉及公司內(nèi)部秘密的文件資料的報(bào)廢處理,必須首先碎紙,不準(zhǔn)未經(jīng)碎紙丟棄處理;

3、公司員工本人工作所持有的各種文件、資料、電子文檔(便攜設(shè)備,光盤等),當(dāng)本人離開辦公室外出時(shí),須存放入文件柜或抽屜,不準(zhǔn)隨意亂放,未經(jīng)批準(zhǔn),不能復(fù)制抄錄或攜帶外出;

4、未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供公司的任何保密資料;

5、未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供客戶的任何資料;

6、妥善保管好各種財(cái)務(wù)賬冊、公司證照、印章。

三、電腦保密措施:

1、不要將機(jī)密文件及可能是受保護(hù)文件隨意存放,文件的存放在分類分目錄存放于指定位置;

2、未經(jīng)領(lǐng)導(dǎo)許可,不要打開或嘗試打開他人文件,以避免泄密或文件的損壞;

3、對不明來歷的郵件或文件不要查看或嘗試打開,以避免計(jì)算機(jī)中病毒,并盡快請電腦室人員來檢查。

4、在一些郵件中的附件中,如果有可疑附件時(shí),請先用殺毒軟件詳細(xì)查殺后再使用,或請電腦室人員處理。

5、不要隨便嘗試不明的或不熟悉的計(jì)算機(jī)操作步驟。遇到計(jì)算機(jī)發(fā)生異常而自己無法解決時(shí),就立即通知電腦部門外,請專業(yè)人員解決;

6、不要隨便安裝或使用不明來源的軟件或程序。不要隨便運(yùn)行或刪除電腦上的文件或程序。

7、收到無意義的郵件后,應(yīng)及時(shí)清除,不要蓄意或惡意地回寄這些郵件。

8、不向他人披露使用密碼,防止他人接觸計(jì)算機(jī)系統(tǒng)造成意外。

9、定期更換密碼,如發(fā)現(xiàn)密碼已泄漏,就盡快更換。公司規(guī)定是三個(gè)月一換。it部門負(fù)責(zé)監(jiān)督。定期用殺毒程序掃描計(jì)算機(jī)系統(tǒng)。對于新的軟件、檔案或電子郵件,應(yīng)選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進(jìn)行適當(dāng)?shù)奶幚砗蟛趴砷_啟使用。

10、先以加密技術(shù)保護(hù)敏感的數(shù)據(jù)文件,然后才通過公司網(wǎng)絡(luò)及互聯(lián)網(wǎng)進(jìn)行傳送。在適當(dāng)?shù)那闆r下,利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名。

11、對于不熟的人員,請不要讓其隨意使用你的計(jì)算機(jī)。

12、不要隨意將公司或個(gè)人的文件發(fā)送給他人,或打開給他人查看或使用。

13、在計(jì)算機(jī)使用或管理上如有任何疑問,請?jiān)儐栯娔X室人員。

四、公司的保密措施:

1、公司中層以上領(lǐng)導(dǎo),要自覺帶頭遵守保密制度。

2、公司各部門要運(yùn)用各種形式經(jīng)常對所屬員工進(jìn)行保密教育增強(qiáng)保密觀念。

3、全體員工自覺遵守保密基本準(zhǔn)則,做到:不該說的機(jī)密,絕對不說,不該看的機(jī)密,絕對不看(含超越自己職責(zé)、業(yè)務(wù)范圍的文件、資料、電子文檔)。

4、對員工因不遵守公司規(guī)定,造成泄密事件,依照有關(guān)法規(guī)及公司的獎(jiǎng)懲規(guī)定,給予紀(jì)律制裁.解雇,直至追究刑事責(zé)任。

第15篇 信息科安全管理職責(zé)

一、負(fù)責(zé)本礦安全隱患信息的收集、分析、匯總、上報(bào)。

二、負(fù)責(zé)當(dāng)班井下各作業(yè)地點(diǎn)的隱患排查信息的收集和上報(bào)工作。

三、對一般隱患信息要及時(shí)報(bào)告當(dāng)班處置員，在處置員力量不足的情況下，協(xié)助處置安全隱患。

四、信息科發(fā)現(xiàn)隱患時(shí)，有權(quán)對井下局部作業(yè)地點(diǎn)停止作業(yè)，發(fā)現(xiàn)重大隱患時(shí)有權(quán)對全礦井停止作業(yè)，撤出人員并及時(shí)上報(bào)中心。

五、對主扇風(fēng)機(jī)'三薄'記錄不健全，附屬設(shè)施不完善的，要及時(shí)上報(bào)中心。

六、對采掘工作面無風(fēng)、微風(fēng)作業(yè)的有權(quán)停止。

七、對掘進(jìn)工作面不進(jìn)行探放水的，有權(quán)停止作業(yè)，并進(jìn)行嚴(yán)厲處罰，建議中心辭退。

八、對當(dāng)班沒有瓦斯員上班的工作面，有權(quán)停止當(dāng)班作業(yè)。

九、對作業(yè)面瓦斯傳感器、一氧化碳傳感器不到位的要嚴(yán)厲處罰，對無傳感器的要停止作業(yè)，撤出人員。

十、對局扇風(fēng)機(jī)無專人管理，無掛牌管理，未實(shí)行'風(fēng)電閉鎖'的，有權(quán)停止掘進(jìn)工作面作業(yè)。

十一、對灑水、防塵不到位的有權(quán)停止作業(yè)。

十二、對當(dāng)班瓦斯員空檢、漏檢，不執(zhí)行瓦斯巡回路線的瓦斯員要進(jìn)行嚴(yán)格處罰。

十三、對當(dāng)班'三違'人員進(jìn)行制止、處罰、教育。

十四、參加班前、班后會，收集職工思想安全隱患信息。

十五、對酒后入井、精神狀態(tài)不振的人員，有權(quán)停止當(dāng)班作業(yè)。

十六、對穿化纖衣服，不佩戴自救器的工人，有權(quán)停止當(dāng)班作業(yè)。

十七、對帶有煙草、引火物品入坑的工人，要進(jìn)行嚴(yán)厲處罰停工。

十八、對跟班礦長不入坑的，有權(quán)停止當(dāng)班作業(yè)。

十九、對當(dāng)班掘進(jìn)工作面不探水的，有權(quán)停止當(dāng)班作業(yè)。

二十、對帶點(diǎn)檢修、帶點(diǎn)搬遷，有權(quán)停止作業(yè)，并進(jìn)行處罰。

二十一、對違章排放瓦斯，有權(quán)停止作業(yè)并處罰。

二十二、對未經(jīng)培訓(xùn)無證上崗人員，有權(quán)停止入井。

二十三、主要提升設(shè)備保護(hù)不全，禁止人員入井，對斜井、斜巷五'一坡三檔'裝置或裝置不全，失效的，對不執(zhí)行'行車不行人，行人不行車'規(guī)定的，要及時(shí)上報(bào)和處罰。

二十四、對人行車無煤安標(biāo)志、防墜器和制動裝置失靈的，有權(quán)停止作業(yè)并上報(bào)中心。

二十五、對不執(zhí)行'一炮三檢'和'三人聯(lián)鎖放炮'的，有權(quán)制止和處罰。

二十六、對非爆破工領(lǐng)取雷管，炸藥雷管混運(yùn)，工作面炸藥雷管未分箱存放，加鎖保管的，有權(quán)停工和處罰。

二十七、對炮眼無封泥、封泥不足或填充不實(shí)進(jìn)行爆破的，有權(quán)停工和處罰。

二十八、對掘進(jìn)工作面空頂作業(yè)，回采工作面端頭支護(hù)不到位，有權(quán)停工處罰并上報(bào)中心。

二十九、對井下施工質(zhì)量不達(dá)標(biāo)準(zhǔn)，有權(quán)停止作業(yè)并上報(bào)中心。