《江苏省农村信用社信息科技工作基础规范》讨论稿.docx
《《江苏省农村信用社信息科技工作基础规范》讨论稿.docx》由会员分享,可在线阅读,更多相关《《江苏省农村信用社信息科技工作基础规范》讨论稿.docx(8页珍藏版)》请在冰豆网上搜索。
《江苏省农村信用社信息科技工作基础规范》讨论稿
《江苏省农村信用社信息科技工作基础规范》(讨论稿)
江苏省农村信用社信息科技工作规范纲要
第一章总则
第一条为进一步加强江苏省农村信用社信息科技管理工作,确保信息系统安全稳定运行,保障各项业务稳步健康发展,根据政府部门、监管机构的有关文件精神,汇总梳理从省联社成立以来发布的各类科技工作规范制度,结合全省农村信用社实际,制定本纲要。
第二条本规范适用于江苏省联社,苏州银行、各农村商业银行、农村合作银行、农村信用合作联社。
第三条本规范所称信息科技工作的主要内容包括:
(一)开展信息科技治理工作。
高级管理层应建立完善的科技管理组织架构,建立风控、审计方面的信息科技风险防范机制;信息科技管理组织应制订并不断完善支撑业务发展的科技工作中长期战略规划,统筹调配人财物等资源,对信息科技重大工作事项进行分析决策与协调解决。
(二)开展信息科技管理工作。
根据高级管理层和信息科技管理组织的要求,信息科技部门应结合信息科技工作战略规划,制订完善的科技管理制度,合理安排人员岗位,确保辖内信息系统安全稳定运行,加强突发事件应急处置工作,推动科技创新和项目研发,组织开展信息科技培训。
(三)开展信息科技工作。
根据科技管理工作要求,信息科技部门的技术人员应做好网络、系统、软件、机房和安全等方面的信息科技具体工作,对计算机中心、骨干网络和网点计算机环境进行运行维护,进行科技创新和项目研发工作。
第二章科技治理
第四条机构设置:
法人机构要设置信息科技管理委员会、计算机信息安全管理工作领导小组、信息系统重大突发事件应急管理领导小组等科技管理机构。
第五条信息科技管理委员会职责:
制定信息科技战略规划,并定期向董事会或理事会汇报规划的执行情况。
负责本机构电子化建设重大项目的立项初审,并向董事会(或理事会)汇报。
对电子化建设的重大项目进行监督管理工作。
负责监督本机构信息科技部门的职责落实。
负责监督本机构信息科技风险管理部门的职责落实。
负责监督本机构审计部门落实信息科技风险审计职责。
负责建立和管理本机构信息科技方面的各类领导小组。
第六条信息系统重大突发事件应急管理领导小组职责:
负责组织制定本机构信息安全战略规划,并上报至信息科技管理委员会审议。
负责监督并组织本机构其它相关部室(部门)协助科技部履行信息安全管理职责。
负责组织、协调、监督和检查本机构信息安全管理工作。
负责按照省联社或监管机构的要求,上报本机构信息系统安全报告。
第七条信息系统重大突发事件应急管理领导小组职责:
负责组织制定全辖应急处置的实施细则,并报董事会(或理事会)和高级管理层审定,统一组织、协调、指导、检查全辖应急处置的管理;建立应急处置的预授权制度,定期分析风险状况和总结应急处置管理成效,履行向董事会(或理事会)和高级管理层的报告职责;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制;负责应急过程中的对外信息发布;宣布重大应急响应状态的降级或解除;向董事会(或理事会)和高级管理层报告应急处置进展情况和总结报告;履行向省联社和监管当局报告的职责。
应急领导小组下设办公室(以下简称“应急办”),负责日常及应急事务处理。
应急办由执行组和保障组组成。
执行组由科技部门和各有关业务部门的人员组成
第八条法人机构成立的科技管理机构应根据省联社有关文件内容并结合自身实际制定相关职责。
并应切实履行所制定职责且留有书面材料。
第三章科技管理
第九条各法人机构必须结合《科技机构及岗位设置管理办法》、《电子设备管理办法》、《计算机系统运行管理办法》、《科技项目管理办法》、《科技档案管理办法》、《计算机安全管理办法》、《计算机信息系统应急处置管理办法》、《计算机系统故障处理规定》、《综合业务系统运行维护分级管理节办法》的相关内容及本单位实际情况制定内容涵盖以上九个管理办法的内容但不限于上述内容的相关管理制度。
第十条法人机构应设立独立的科技科(部),负责辖区内科技管理工作。
第十一条法人机构成立的科技部门应根据省联社有关文件内容并结合自身实际设立包含科技管理岗、主机系统维护岗、网络维护岗、数据库、中间件管理岗、软件开发岗、设备维护岗、设备保管岗、档案管理岗、安全岗但不限于以上岗位的岗位设置。
同时明确相关岗位职责。
第十二条人员管理与岗位制约:
根据内控制度要求和业务发展的需要,各法人机构辖内营业网点总数40(含40)个网点以下的单位至少配备5名科技人员,营业网点总数超过40个的单位,根据省联社科技工作考核的要求按比例增配科技人员。
科技部门人员及岗位配置必须坚持以下原则:
(一)科技人员必须是计算机相关专本科以上学历或从事科技工作三年以上的人员。
(二)从事安全管理的人员不得与其他关键岗位人员混岗。
(三)从事项目管理的人员不得与从事项目开发的人员混岗。
(四)从事系统与网络管理的人员不得与从事项目开发的人员混岗。
(五)从事设备保管、设备购置、设备记账的人员之间不得混岗。
(六)科技岗位人员不得代替业务岗位人员进行有关操作。
(七)重要岗位至少配备一名备选人员。
(八)相关岗位人员必须取得相应的职业资格证书,包括但不限于计算机技术与软件专业技术资格证书、CISCO认证证书、IBM认证的数据库管理员、CISSP等证书。
第十三条电子设备管理参照《江苏省农村信用社电子设备管理办法》执行。
各单位科技部门是电子设备归口管理部门。
电子设备的采购,保管,领用,安装,维护,报废等相关流程应按相关制度严格执行。
第十四条科技项目管理办法参照《江苏省农村信用社科技项目管理办法》执行。
计算机系统项目的立项、开发、测试、验收、运行和维护等流程应按相关制度严格执行。
项目验收必须提交完整的项目验收资料,包括:
《验收申请报告》、《业务需求书》(应用开发类项目)、《项目需求说明书》(基础设施类项目)、业务需求变更文件、《综合测试报告》、《试运行报告》、《项目费用支出报告》(包括前期费用、开发费用和人员费用)以及项目技术开发阶段有关文档等资料。
第十五条科技档案管理参照《江苏省农村信用社计算机信息系统应急处置管理办法》执行。
科技档案包括计算机软、硬件的随机资料、介质、文档,以及各种技术规范、标准、制度、方案、计划、技术报告等。
科技档案的形成、收集、登记、保管、借阅、销毁等环节应按相关制度严格执行。
第十六条计算机信息系统应急处置管理参照《江苏省农村信用社计算机信息系统应急处置管理办法》执行。
各级机构须成立由分管科技领导负责的应急处置领导小组,负责本级机构应急预案的制定、实施和管理。
第十七条计算机系统故障处理参照《江苏省农村信用社计算机系统故障处理办法》执行。
第四章信息安全
第十八条各单位应成立计算机信息安全管理工作领导小组,负责辖内计算机信息安全管理工作。
各单位主要负责人为本单位计算机系统风险责任人,实行一把手负责制。
并配备专职(兼职)计算机信息安全管理员。
第十九条各单位应配备(如桌面管理、防病毒、运维监控等)切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查。
计算机病毒的防范工作应明确专人负责,并建立本单位的计算机病毒防范管理制度,定期进行计算机病毒的检查、清除。
第二十条各单位对全体人员应进行下列计算机信息安全知识和技能的培训(应有培训相关记录和材料)。
第二十一条主机和网络通信关键设备必须有备份,并处于实时备用状态。
做好设备的日常监测、检查、记录,及时掌握设备的运行状况,并做好相关记录工作。
第二十二条做好系统的日常安全运行维护工作。
建立健全系统运行日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。
定期对系统进行数据备份。
第二十三条加强应急处理管理,成立应急处理组织体系。
严格执行重大安全事件报告制度,妥善处理重大安全事件。
一般安全事故报备要及时向省联社主管部门报备。
第二十四条建立健全计算机信息安全运行登记制度,参照省联社下发十三种登记簿执行。
新出现的有关事项,根据具体需要建立登记簿。
第二十五条各单位构应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划。
业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认,并向省联社报备。
第二十六条各单位内部审计部门应对相关系统及其控制的适当性和有效性进行监测。
内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员。
至少应每三年进行一次信息科技全面审计。
第五章软件管理
第二十七条软件升级要严格按照系统升级文档要求,做好应用系统升级工作,升级前要做好备份;升级完成后要将升级过程中形成的有关文档、记录资料应存档保管。
软件升级要做好审批和登记工作。
第二十八条各单位引进软件,应向省联社报备。
应提交如下资料:
1、软件引进报告,说明引进的原因。
2、可行性分析报告,说明引进产品的功能、价格、厂商背景、应用设计方案、同类产品性价比、成功案例,分析软件项目投资预算、收益预测,论述软件引进的必要性和可行性。
3、其他需上报的材料。
第二十九条软件开发完成后,需求提出部门应会同项目组制定测试案例和综合测试方案、提出测试申请。
测试结束后出
第三十条
第三十一条第六章系统管理
第三十二条各单位应制定主机系统的定期维护工作计划,系统维护人员每日须对系统日志进行检查,详细记录操作过程并整理归档。
第三十三条主机系统、应用软件升级或更新、新旧系统切换、应用系统年终结转、应用系统存贷结息等重要操作,系统维护人员应与相关业务部门密切配合,共同制定详细的工作计划和方案。
第三十四条应用系统增加新业务功能的,各应用单位须在规定时间内做好新业务程序安装工作。
第三十五条应用软件后台服务程序升级,由应用软件设计部门提供升级方案、模块功能说明书,并通知应用网点。
在业务周期结束后,由系统维护人员负责实施。
应用软件前台服务程序升级,各单位在规定时间做好升级工作。
第三十六条主机系统硬件、操作系统、数据库、中间件升级,由相关公司提供升级方案,系统维护人员协助相关公司技术人员进行操作维护。
第三十七条系统维护人员应定期对系统运行情况进行检查,分析系统资源应用及运行情况,并提出系统资源的优化报告。
第三十八条各单位应建立计算机系统运行日志,具体记载系统运行情况,运行日志作为机密档案进行管理。
第三十九条法人单位须对主机系统、网络通信运行实行操作权限与口令的管理,并建立操作权限与口令管理登记簿。
关键设备系统应使用密码信封。
第四十条严格控制对业务数据库的非应用性操作。
业务数据库的非应用性操作应由业务部门提出申请,经分管领导同意后科技部门实施。
第四十一条系统维护人员必须制定各类系统的全面备份计划,并严格按计划执行。
第四十二条加强各应用系统中的用户管理。
严格控制远程登录,建立远程登录登记簿。
第七章网络管理
第四十三条各单位外联业务的网络接入必须采用防火墙+独立外联路由设备的方式实现与外联单位网络的连接,外联业务种类较多的,也可以采用双外联路由+交换机+双防火墙的方式来实现多项外联业务的安全互连。
第四十四条各单位内部网络与外单位的联网的必须按《关于规范外联业务接入网络有关工作的通知》(苏信联办[2005]1号)执行。
在和外单位互联的本单位端口上必须通过配置双向网络地址转换(NAT)来实现内、外网络的互连。
第四十五条内外网必须实行严格的物理隔离,严禁任何形式的内外网互联现象。
第四十六条内部的核心设备,如上联路由器和核心交换机等要求配置双机双电源冗余热备模式,保证业务永续。
第四十七条所有的网络设备要进行必要的安全配置并实行分级授权访问控制机制,严格操作权限与口令的管理。
第四十八条业务网内所有设备的IP地址必须按《江苏省农村信用社IP地址分配规范执行》,不得使用不规范的IP地址。
第四十九条在交换机上配置VLAN,针对不同业务类型划分不同的VLAN。
同时在VLAN上配置访问列表,确保这些重要业务VLAN的安全。
第八章机房管理规范
第五十条机房建设
升级会员 