江苏省农村信用社信息科技工作基础规范讨论稿.docx
《江苏省农村信用社信息科技工作基础规范讨论稿.docx》由会员分享,可在线阅读,更多相关《江苏省农村信用社信息科技工作基础规范讨论稿.docx(11页珍藏版)》请在冰豆网上搜索。
江苏省农村信用社信息科技工作基础规范讨论稿
江苏省农村信用社信息科技工作规范纲要
第一章总则
第一条为进一步加强江苏省农村信用社信息科技管理工作,保证信息系统安全稳定运营,保障各项业务稳步健康发展,依照政府部门、监管机构关于文献精神,汇总梳理从省联社成立以来发布各类科技工作规范制度,结合全省农村信用社实际,制定本纲要。
第二条本规范合用于江苏省联社,苏州银行、各农村商业银行、农村合伙银行、农村信用合伙联社。
第三条本规范所称信息科技工作重要内容涉及:
(一)开展信息科技治理工作。
高档管理层应建立完善科技管理组织架构,建立风控、审计方面信息科技风险防范机制;信息科技管理组织应制定并不断完善支撑业务发展科技工作中长期战略规划,统筹调配人财物等资源,对信息科技重大工作事项进行分析决策与协调解决。
(二)开展信息科技管理工作。
依照高档管理层和信息科技管理组织规定,信息科技部门应结合信息科技工作战略规划,制定完善科技管理制度,合理安排人员岗位,保证辖内信息系统安全稳定运营,加强突发事件应急处置工作,推动科技创新和项目研发,组织开展信息科技培训。
(三)开展信息科技工作。
依照科技管理工作规定,信息科技部门技术人员应做好网络、系统、软件、机房和安全等方面信息科技详细工作,对计算机中心、骨干网络和网点计算机环境进行运营维护,进行科技创新和项目研发工作。
第二章科技治理
第四条机构设立:
法人机构要设立信息科技管理委员会、计算机信息安全管理工作领导小组、信息系统重大突发事件应急管理领导小组等科技管理机构。
第五条信息科技管理委员会职责:
制定信息科技战略规划,并定期向董事会或理事会报告规划执行状况。
负责本机构电子化建设重大项目立项初审,并向董事会(或理事会)报告。
对电子化建设重大项目进行监督管理工作。
负责监督本机构信息科技部门职责贯彻。
负责监督本机构信息科技风险管理部门职责贯彻。
负责监督本机构审计部门贯彻信息科技风险审计职责。
负责建立和管理本机构信息科技方面各类领导小组。
第六条信息系统重大突发事件应急管理领导小组职责:
负责组织制定本机构信息安全战略规划,并上报至信息科技管理委员会审议。
负责监督并组织本机构其他有关部室(部门)协助科技部履行信息安全管理职责。
负责组织、协调、监督和检查本机构信息安全管理工作。
负责按照省联社或监管机构规定,上报本机构信息系统安全报告。
第七条信息系统重大突发事件应急管理领导小组职责:
负责组织制定全辖应急处置实行细则,并报董事会(或理事会)和高档管理层审定,统一组织、协调、指引、检查全辖应急处置管理;建立应急处置预授权制度,定期分析风险状况和总结应急处置管理成效,履行向董事会(或理事会)和高档管理层报告职责;负责全辖信息系统突发事件应急指挥、组织协调和过程控制;负责应急过程中对外信息发布;宣布重大应急响应状态降级或解除;向董事会(或理事会)和高档管理层报告应急处置进展状况和总结报告;履行向省联社和监管当局报告职责。
应急领导小组下设办公室(如下简称“应急办”),负责寻常及应急事务解决。
应急办由执行组和保障组构成。
执行组由科技部门和各关于业务部门人员构成
第八条法人机构成立科技管理机构应依照省联社关于文献内容并结合自身实际制定有关职责。
并应切实履行所制定职责且留有书面材料。
第三章科技管理
第九条各法人机构必要结合《科技机构及岗位设立管理办法》、《电子设备管理办法》、《计算机系统运营管理办法》、《科技项目管理办法》、《科技档案管理办法》、《计算机安全管理办法》、《计算机信息系统应急处置管理办法》、《计算机系统故障解决规定》、《综合业务系统运营维护分级管理节办法》有关内容及本单位实际状况制定内容涵盖以上九个管理办法内容但不限于上述内容有关管理制度。
第十条法人机构应设立独立科技科(部),负责辖区内科技管理工作。
第十一条法人机构成立科技部门应依照省联社关于文献内容并结合自身实际设立包括科技管理岗、主机系统维护岗、网络维护岗、数据库、中间件管理岗、软件开发岗、设备维护岗、设备保管岗、档案管理岗、安全岗但不限于以上岗位岗位设立。
同步明确有关岗位职责。
第十二条人员管理与岗位制约:
依照内控制度规定和业务发展需要,各法人机构辖内营业网点总数40(含40)个网点如下单位至少配备5名科技人员,营业网点总数超过40个单位,依照省联社科技工作考核规定按比例增配科技人员。
科技部门人员及岗位配备必要坚持如下原则:
(一)科技人员必要是计算机有关专本科以上学历或从事科技工作三年以上人员。
(二)从事安全管理人员不得与其她核心岗位人员混岗。
(三)从事项目管理人员不得与从事项目开发人员混岗。
(四)从事系统与网络管理人员不得与从事项目开发人员混岗。
(五)从事设备保管、设备购买、设备记账人员之间不得混岗。
(六)科技岗位人员不得代替业务岗位人员进行关于操作。
(七)重要岗位至少配备一名备选人员。
(八)有关岗位人员必要获得相应职业资格证书,涉及但不限于计算机技术与软件专业技术资格证书、CISCO认证证书、IBM认证数据库管理员、CISSP等证书。
第十三条电子设备管理参照《江苏省农村信用社电子设备管理办法》执行。
各单位科技部门是电子设备归口管理部门。
电子设备采购,保管,领用,安装,维护,报废等有关流程应按有关制度严格执行。
第十四条科技项目管理办法参照《江苏省农村信用社科技项目管理办法》执行。
计算机系统项目立项、开发、测试、验收、运营和维护等流程应按有关制度严格执行。
项目验收必要提交完整项目验收资料,涉及:
《验收申请报告》、《业务需求书》(应用开发类项目)、《项目需求阐明书》(基本设施类项目)、业务需求变更文献、《综合测试报告》、《试运营报告》、《项目费用支出报告》(涉及前期费用、开发费用和人员费用)以及项目技术开发阶段关于文档等资料。
第十五条科技档案管理参照《江苏省农村信用社计算机信息系统应急处置管理办法》执行。
科技档案涉及计算机软、硬件随机资料、介质、文档,以及各种技术规范、原则、制度、方案、筹划、技术报告等。
科技档案形成、收集、登记、保管、借阅、销毁等环节应按有关制度严格执行。
第十六条计算机信息系统应急处置管理参照《江苏省农村信用社计算机信息系统应急处置管理办法》执行。
各级机构须成立由分管科技领导负责应急处置领导小组,负责本级机构应急预案制定、实行和管理。
第十七条计算机系统故障解决参照《江苏省农村信用社计算机系统故障解决办法》执行。
第四章信息安全
第十八条各单位应成立计算机信息安全管理工作领导小组,负责辖内计算机信息安全管理工作。
各单位重要负责人为本单位计算机系统风险负责人,实行一把手负责制。
并配备专职(兼职)计算机信息安全管理员。
第十九条各单位应配备(如桌面管理、防病毒、运维监控等)切实有效系统,保证所有终端顾客设备安全,并定期对所有设备进行安全检查。
计算机病毒防范工作应明确专人负责,并建立本单位计算机病毒防范管理制度,定期进行计算机病毒检查、清除。
第二十条各单位对全体人员应进行下列计算机信息安全知识和技能培训(应有培训有关记录和材料)。
第二十一条主机和网络通信核心设备必要有备份,并处在实时备用状态。
做好设备寻常监测、检查、记录,及时掌握设备运营状况,并做好有关记录工作。
第二十二条做好系统寻常安全运营维护工作。
建立健全系统运营日记管理制度、密码密钥管理制度、操作规程安全管理制度等。
定期对系统进行数据备份。
第二十三条加强应急解决管理,成立应急解决组织体系。
严格执行重大安全事件报告制度,妥善解决重大安全事件。
普通安全事故报备要及时向省联社主管部门报备。
第二十四条建立健全计算机信息安全运营登记制度,参照省联社下发十三种登记簿执行。
新出既关于事项,依照详细需要建立登记簿。
第二十五条各单位构应依照自身业务性质、规模和复杂限度制定恰当业务持续性规划。
业务持续性筹划和年度应急演习成果应由信息科技风险管理部门或信息科技管理委员会确认,并向省联社报备。
第二十六条各单位内部审计部门应对有关系统及其控制恰当性和有效性进行监测。
内部审计部门应配备足够资源和具备专业能力信息科技审计人员。
至少应每三年进行一次信息科技全面审计。
第五章软件管理
第二十七条软件升级要严格按照系统升级文档规定,做好应用系统升级工作,升级前要做好备份;升级完毕后要将升级过程中形成关于文档、记录资料应存档保管。
软件升级要做好审批和登记工作。
第二十八条各单位引进软件,应向省联社报备。
应提交如下资料:
1、软件引进报告,阐明引进因素。
2、可行性分析报告,阐明引进产品功能、价格、厂商背景、应用设计方案、同类产品性价比、成功案例,分析软件项目投资预算、收益预测,阐述软件引进必要性和可行性。
3、其她需上报材料。
第二十九条软件开发完毕后,需求提出部门应会同项目组制定测试案例和综合测试方案、提出测试申请。
测试结束后出具《综合测试报告》。
综合测试通过后,组织试运营。
试运营稳定后,由试运营单位出具《试运营报告》。
第三十条申请软件项目验收必要提交完整项目验收资料,涉及:
《验收申请报告》、《业务需求书》、业务需求变更文献、《综合测试报告》、《试运营报告》、《项目费用支出报告》(涉及前期费用、开发费用和人员费用)以及软件项目技术开发阶段关于文档等资料。
第三十一条应用软件安装、升级、维护前,科技部应填写《县级法人机构信息系统生产变更申请表》,并登记《县级法人机构系统运营工作日记》。
第三十二条软件开发、测试、外包、安全管理应按有关制度执行,并应有有关材料和登记簿。
第三十三条各单位应依照软件使用特点及注意事项,应建立健全各项必要规章制度,保障系统正常运营。
第三十四条各单位要切实加强软件使用安全管理。
一经发现计算机犯罪活动、敏感数据泄露或失窃等信息科技安全事件,必要妥善解决并按规定报告省联社和本地银行监管部门。
第三十五条科技管理部门须制定软件版本管理办法,由专人对正式移送使用各种软件版本进行编号登记,归档管理,保证软件版本完整性、精确性和一致性。
投产后软件版本修改必要严格履行申请和审批程序。
第三十六条未经科技管理部门负责人批准,任何人不得对软件版本以任何形式进行复制。
第六章系统管理
第三十七条各单位应制定主机系统定期维护工作筹划,系统维护人员每日须对系统日记进行检查,详细记录操作过程并整顿归档。
第三十八条主机系统、应用软件升级或更新、新旧系统切换、应用系统年终结转、应用系统存贷结息等重要操作,系统维护人员应与有关业务部门密切配合,共同制定详细工作筹划和方案。
第三十九条应用系统增长新业务功能,各应用单位须在规定期间内做好新业务程序安装工作。
第四十条应用软件后台服务程序升级,由应用软件设计部门提供升级方案、模块功能阐明书,并告知应用网点。
在业务周期结束后,由系统维护人员负责实行。
应用软件前台服务程序升级,各单位在规定期间做好升级工作。
第四十一条主机系统硬件、操作系统、数据库、中间件升级,由有关公司提供升级方案,系统维护人员协助有关公司技术人员进行操作维护。
第四十二条系统维护人员应定期对系统运营状况进行检查,分析系统资源应用及运营状况,并提出系统资源优化报告。
第四十三条各单位应建立计算机系统运营日记,详细记载系统运营状况,运营日记作为机密档案进行管理。
第四十四条法人单位须对主机系统、网络通信运营实行操作权限与口令管理,并建立操作权限与口令管理登记簿。
核心设备系统应使用密码信封。
第四十五条严格控制对业务数据库非应用性操作。
业务数据库非应用性操作应由业务部门提出申请,经分管领导批准后科技部门实行。
第四十六条系统维护人员必要制定各类系统全面备份筹划,并严格按筹划执行。
第四十七条加强各应用系统中顾客管理。
严格控制远程登录,建立远程登录登记簿。
第七章网络管理
第四十八条各单位外联业务网络接入必要采用防火墙+独立外联路由设备方式实现与外联单位网络连接,外联业务种类较多,也可以采用双外联路由+互换机+双防火墙方式来实现多项外联业务安全互连。
第四十九条各单位内部网络与外单位联网必要按《关于规范外联业务接入网络关于工作告知》(苏信联办[]1号)执行。
在和外单位互联本单位端口上必要通过配备双向网络地址转换(NAT)来实现内、外网络互连。
第五十条内外网必要实行严格物理隔离,禁止任何形式内外网互联现象。
第五十一条内部核心设备,如上联路由器和核心互换机等规定配备双机双电源冗余热备模式,保证业务永续。
第五十二条所有网络设备要进行必要安全配备并实行分级授权访问控制机制,严格操作权限与口令管理。
第五十三条业务网内所有设备IP地址必要按《江苏省农村信用社IP地址分派规范执行》,不得使用不规范IP地址。
第五十四条在互换机上配备VLAN,针对不同业务类型划分不同VLAN。
同步在VLAN上配备访问列表,保证这些重要业务VLAN安全。
第八章机房管理规范
第五十五条机房建设应符合《江苏农村信用社县(市、区)联社计算机网络中心机房建设规范》(苏信联发[]73号)原则。
第五十六条机房净高不不大于2.6m,地面承压不得低于8kN/㎡。
有独数据中心,机房面积按A=K∑S(其中A主机房使用面积、K系数,取值为5~7、S电子设备投影面积)计算,没有独数据中心,机房面积原则上不不大于150㎡,主机房功能区墙体四周及柱面采用防尘、保温解决,表面实行封闭式装饰,并做好屏蔽接地。
出入口设计防盗铁门,并应有门禁控制。
第五十七条机房要涉及主机房、辅助区、支持区和行政管理区等区域。
辅助区面积宜为主机房面积0.2~1倍。
第五十八条机房实行市电双回路,UPS采用2N模式,电池供电时间不低于4小时。
中心机房应配备后备柴油发电机系统,后备柴油发电机容量应涉及UPS基本容量、空调等制冷设备基本容量、应急照明及关系到生命安全等需要负荷容量。
应配备足够柴油燃料,可以保证72小时发电供应。
第五十九条中心机房主机房应设立七氟丙烷气体灭火系统。
第六十条机房温、湿度,空气含尘浓度,线电干扰场强,磁场干扰环境场强,UPS,防雷,空调新风,照明,布线等应符合国家B级机房有关规定。
第六十一条机房应设立环境监控和设备监控系统及安全防范系统。
第六十二条各单位新建或改造机房方案,应向省联社科技处报备。
第九章运营维护分级管理
第六十三条综合业务系统运营维护管理实行二级管理模式,即省联社信息结算中心(如下简称省中心)设立一级运营维护机构(如下简称运维机构);已与省中心实现并网运营各联社(农合行、农商行,下同)设立一种二级运维机构。
第六十四条二级运维机构应依照风险控制规定形成内控监督机制,建立相应管理及内控制度。
须配备至少两名专职管理人员,以便实行内控与轮流值。
软件开发、网络维护、系统管理人员不得兼任。
第六十五条二级运维机构负责管理辖内上线业务寻常维护工作以及扎口管理辖内业务运营维护与省中心沟通工作。
第六十六条二级运维机构管理人员应保持相对固定,管理人员姓名、单位工作电话、手机号码等有关信息向省中心报备。
二级运维机构人员变动时,必要有交接、衔接期,保证维护工作持续、稳定,并及时将变更状况告知省中心。
第六十七条综合业务系统运营维护流程实行分级控制、扎口管理。
上线单位业务管理部门、业务职能部门、基层营业网点为运营问题发起者;二级运维机构为辖内业务运营维护管理实行者,负责辖内问题解决和上下协调沟通;一级运维机构负责对二级运维机构业务技术支持以及问题最后解决。
第六十八条二级运维机构应建立运维问题登记簿及记录制度,按月进行汇总分析后,提出整治建议、方案,并明确操作规范,通过简报形式向辖内通报并报省中心。
第十章网点管理
第六十九条营业网点柜员应纯熟掌握计算机设备用法,严格执行操作流程。
第七十条营业网点应有独立机房,面积不不大于8平米,机房内应铺设防静电地板,应达到防雷、防水、防静电、布设整洁不凌乱规定。
机房应安装空调,UPS,机柜,应配备足量手提灭火器。
第七十一条自助设备安装场合供电、接地、消防、通讯及温湿度必要满足自助设备正常工作技术规定。
自助设备人员管理、寻常管理、安全管理必要符合有关原则。
第十一章附则
第七十二条本规范纲要由江苏省农村信用社联合社制定,修改、解释亦同。
第七十三条本规范纲要自发布之日起执行。
第七十四条本规范纲要参照制度涉及但不限于:
(一)《商业银行信息科技风险管理指引》(银监发〔〕19号);
(二)《商业银行数据中心监管指引》(银监办发〔〕114号);
(三)《银行业金融机构重要信息系统投产及变更管理办法》(银监办发〔〕437号);
(四)《中华人民共和国人民银行计算机安全管理暂行规定(试行)》
(五)《信息科技风险现场检查手册》
(六)《江苏省农村信用社计算机信息安全管理暂行办法》(苏信联发〔〕086号)
(七)《江苏省农村信用社科技管理制度汇编》()
(八)《江苏省农村信用社计算机信息安全管理登记簿模版》(苏信联办〔〕067号)
(十)(九)《江苏省农村信用社电子化建设管理暂行办法》(苏信联发〔〕129号)
(十一)《江苏省农村信用社综合业务系统运营维护分级管理暂行办法》(苏信联科〔〕002号)
(十二)《江苏省农村信用社计算机信息安全管理暂行办法》(苏信联发〔〕086号)
(十三)《关于规范外联业务接入网络关于工作告知》(苏信联办〔〕001号)
(十四)《关于做好县级联社网络设备安全配备工作告知》(苏信联办〔〕026号)
(十五)《全省IP地址分派规范(修订)》
(十六)《江苏省农村信用社联合社电子设备管理办法》
(十七)《江苏省农村信用社中心及网点机房建设规范(试行)》(苏信联发〔〕152号)
(十八)《江苏省农村信用社中间业务开发管理办法》(苏信联科〔〕001号)
(十九)《江苏省农村信用社电子化业务需求管理办法》(〔〕003号)
(二十)《江苏省农村信用社联合社IT项目验收管理办法(试行)》
(二十一)《江苏省农村信用社金融产品需求工作管理办法》
升级会员 