农商银行信息科技相关管理制度汇编.docx

1、农商银行信息科技相关管理制度汇编第一章 总则 第一条 为加强*农村商业银行股份有限公司（以下简称*农商银行）信息科技管理，提升信息科技工作的科学化、规范化、精细化、标准化水平，制定本制度。 第二条 本制度根据银监会、省联社等上级部门的相关管理制度，结合本行实际情况制定。本制度包括 信息科技文档资料及介质管理制度、软件管理制度、软件正版化管理办法、信息系统数据生命周期管理办法、业务数据使用管理办法、信息科技运行维护管理办法、问题处理管理制度、项目管理办法、开发测试管理办法、版本管理制度、源代码管理制度、信息科技项目验收管理办法、网络安全管理办法及管理制度、网络安全漏洞管理办法、无线网络管理办法、

2、信息安全基线管理办法、桌面计算机安全管理办法、计算机防病毒管理规范、网络安全等级保护制度、信息安全等级保护管理办法、信息科技应急管理制度、突发事件管理制度、信息科技风险评估管理办法、保密管理制度、客户信息保护管理办法、信息科技外包管理办法等方面的内容。第三条 本制度适用于*农商银行。 第二章 信息科技文档资料及介质管理制度第一条 信息科技技术文档及介质主要包括：计算机及配套设备的随机资料、机房图纸、设备维护合同、各种例行检修报告、有保留价值的运行分析报告等；系统软件的各种技术资料、安装调试报告、维保合同、网络拓扑资料、技术维护报告、有价值的系统分析报告等；应用开发过程中形成的各种需保留的文档、

3、开发程序的源代码、目标代码、各种维护文档、各种项目开发及技术报告等；本单位拥有的各种技术书籍、培训资料；各种磁介质资料等。第二条 科技部应配备碎纸机，作废资料应及时销毁，不得随意丢弃。对于过期和失效的技术资料要及时清理，予以销毁。技术文件及资料的销毁要参照省联社有关文件要求办理。第三条 对于送出维修的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁；对带出工作环境的存储介质进行内容加密和监控管理；对载有敏感信息存储介质的销毁，应报有关部门备案，由科技部门进行信息消除、消磁或物理粉碎等销毁处理，并做好相应的销毁记录，信息消除处理仅限于存储介质仍将在金融机构内部使用的情况

4、，否则应进行信息的不可恢复性销毁。第四条 科技部应配备专用档案橱柜，保存上述各类技术文件及资料。技术资料及介质的存放地点应保证干燥、通风、防水、防火、防盗、防虫、防鼠等。第五条 技术资料管理人员应定期对保管的技术资料进行整理、检查，保证各种技术文件及资料的完整性和可用性；对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理；应对技术文档实行有效期管理，对于超过有效期的技术文档降低保密级别，对已经失效的技术文档定期清理；定期对主要备份业务数据进行恢复验证，根据介质使用期限技术转储数据。第六条 对于可以借阅的技术文件及资料，资料管理员应列出目录，供有关人员

5、借阅和参考，技术资料借阅应遵循以下规定：（一）凡借阅技术资料者，须填写借阅登记表，查阅人员要如实说明查档的目的和内容，由技术资料管理员办理借阅手续。（二）凡借阅的技术资料，必须妥善保管，按期归还，不得损坏、丢失。（三）退还技术资料时，技术资料管理员要认真清点技术资料数量，检查案卷有无损坏，文件是否齐全等，再予交接。（四）技术资料借阅时，要办理审批和登记手续，需复制、复印技术资料应经有关领导批准。受限技术文件及资料，借阅时应经有关领导批准，就地阅览，不得带走。（五）借阅技术资料要严守秘密。（六）借阅技术资料者，要爱护案卷，不得任意拆卷、抽页、涂改、圈划、污损等，否则追究责任，并予以严肃处理。（七

6、）借阅人员应将利用效果及时向技术资料部门反馈，为总结规律、扩大技术资料宣传积累素材，以更好地提供利用。第七条 对于需要访问内部网络的U盘及其他移动存储介质，需要在桌面管理系统中注册为内部介质后方可使用。第八条 档案管理一、档案分为纸质文书、电子文档、实物等资料，档案管理的范围包括：（一）正式文件、规章制度、合同等资料；（二）磁带、光盘等存有重要数据的介质；（三）重要会议、重大公务活动等涉及的电子文档及音像资料；（四）人员入职、离职、岗位交接等资料；（五）登记簿、运行报告等运行过程中形成的各类资料；（六）各类系统升级维护资料；（七）软件开发过程中形成的文档资料；（八）技术书籍、培训记录等资料；（

7、九）需归档保管的其他重要资料。二、保管期限。按照保管资料保存价值确定保管期限，通常分为永久和定期两种，定期一般分为10年和30年两种。第十条第一至三款规定的档案应永久保存。三、科技部门作废的资料应及时销毁，不得随意丢弃，对于过期和失效的存储介质等要进行消磁处理。四、科技部门配备专用档案柜和专用计算机，保存各类技术书籍、培训资料及电子资料等。档案存放地点应保持干燥、通风，做好防水、防火、防磁、防盗、防虫、防鼠等工作。五、文档资料管理（一）应采用必要的档案保管技术，逐步实现档案管理的电子化；（二）应建立资料归档保管登记簿，登记移交的各类文档及资料名称、提交人、时间等信息；（三）每季度收集、整理各类

8、资料，并统一编号、标注保管期限、登记，入档保管；（四）至少每半年对保管的文档资料进行整理、检查，保证各种技术文件及资料的完整性和可用性。六、借阅管理（一）档案资料应列出目录，便于借阅、参考；（二）借阅或查阅档案资料应及时准确登记；（三）借阅或查阅保密资料时应经过有权领导批准，原则上就地阅览。七、档案归档检验流程及审核流程。（一）档案归档时应换人进行检验。（二）档案归档、销毁变动时需经科技部负责人进行审核。八、科技部门对达到销毁条件的档案按有关要求予以销毁。第三章 软件管理制度第一条根据信息科技管理的要求，切实做好软件引进和应用管理，确保软件资产质量。第二条根据软件的使用特点及注意事项，建立健全

9、各项必要的规章制度，坚持“安全高效、管理规范、责任明确、节约投资”的原则，保障软件系统的正常运行。 第三条 切实加强软件使用的安全管理，一经发现计算机犯罪活动、敏感数据泄露或失窃等信息科技安全事件，必须妥善处理并按规定报告省联社信息科技部。第四条软件管理范围 （一）省联社统一推广使用的软件。对于资金投入较大，涉及核心系统、信贷系统等重要生产系统的软件，由省联社统一购置、推广； （二）自行开发引进的软件。不涉及核心数据的、产生数据仅服务于*农商银行，且无需较大资源投入的软件；自行开发引进前需向省联社信息科技部备案。 第五条日常管理（一）所有软件资产必须设置专人管理，明确职责，避免软件资产的丢失、

10、泄密；（二）各类软件资产的使用应坚持正版化原则，杜绝使用盗版软件。1.各部（中心）经理、支行行长对本部（中心）、支行正版软件使用负责，确保本部（中心）、支行人员使用正版软件，不得随意在计算机办公设备及系统中安装或卸载软件，保障信息安全;2.购置计算机办公设备时，应当采购预装正版操作系统的计算机产品，对需要购置的办公软件一并做购置计划；3.要制定正版软件采购计划，并将软件采购费纳入年度预算，确保软件正版化工作资金到位，措施到位，管理到位；4.加强软件正版化培训工作，每年至少开展一次软件正版化培训，进一步提高员工软件正版化意识及使用软件的能力及水平。（三）如已经建立IT资产管理系统，则通过系统及时

11、进行软件资产的登记录入、维护等登记工作；如未建立IT资产管理系统，应通过应用软件登记簿做好软件资产纸质版或电子版登记工作；（四）所有软件要明确使用权限，防止非授权使用；（五）因人员离职或岗位变动需回收有关软件的，应对软件进行卸载、删除。第六条升级管理（一）软件升级前应做好审批，填写信息系统生产变更申请表；（二）软件升级前应做好备份，严格按照升级文档实施；（三）应保证软件升级的及时性、完整性、统一性，升级过程中发现问题应及时上报省联社信息科技部；（四）软件升级完成后，应及时登记系统运行工作日志，并将有关文档、资料归档保管。第七条 停用管理软件资产的停用条件：（一）因达不到业务要求确实需要淘汰、删

12、除的软件；（二）版本陈旧已不再使用的软件；（三）已超过授权期限无法使用的软件；（四）其他情况需要停用的软件。第八条 补丁管理流程（一）补丁跟进和通告1.信息安全员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。2.安全补丁根据其对应漏洞的严重程度分为三个级别：紧急补丁、重要补丁和一般补丁；紧急补丁必须在规定的时间内完成加载，重要补丁须在计划的时间内完成加载，还有一般补丁的加载。3.科技部成员需在领导和管理员的批准后进行加载补丁信息，并向有关人员公布。（二）补丁获取1.信息安全员负责从正式渠道获取安全补丁，正式渠道包括省联社办事处统一下发的、产品厂商提供的或产品厂商网站下载的安全补丁。

13、2.信息安全员负责对安全补丁进行完整性校验，确保获取的安全补丁软件未被修改和安全可用。（三）补丁测试1.补丁加载之前必须经过严格的测试，严禁未经测试直接在生产系统上加载补丁。加载经上级信息管理部门测试后下发的补丁可以不做测试。2.补丁测试的方式有两种：试验机测试和现网测试。实验机测试必须进行，实验机配置环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试设备或备机）可以进行现网测试。（1）补丁测试的内容包括安装测试、功能性测试、兼容性测试和回退测试。A.安装测试主要测试补丁安装过程是否正确无误，补丁安装后系统是否正常运行。B功能性测试主要测试补丁是否对安全漏洞进行了

14、修补。C兼容性测试主要测试补丁加载后是否对应用系统带来影响，业务是否可以正常运行。D回退测试主要包括补丁卸载测试、系统还原测试。（2）补丁测试的工作由系统集成商或系统管理员负责实施。必须对补丁的现场测试和现网测试限定时间，测试完成后需要编写测试报告，给出明确的测试结论。（3）系统管理员需要把补丁测试报告提交部门主管领导进行审核，审核通过后可以进行补丁加载和使用。（4）为确保系统集成商及时配合补丁的测试和安装工作，需要通过合同的方式，明确集成商的安全补丁测试和安装工作，约束条款至少应包括：实验机测试环境的构建，在规定时间内完成补丁测试，补丁加载，补丁加载失败时的测试与分析，补丁与应用冲突时的系统

15、改造和升级等工作。（四） 补丁加载1.从安全漏洞发布到补丁加载前，公司系统管理员根据需要给出应急措施建议，例如通过加强访问控制、临时关闭服务、加强安全审计等应急措施来加强网络安全，各相关业务系统根据建议采取适合的防护措施，并加强对系统的监控，及时发现和报告安全事件。（1）补丁加载前，必须向主管领导提交安全补丁测试报告、安装计划和实施方案等，经审批通过后按计划执行，审批的周期应在规定的时间内完成。（2）在补丁安装前，必须做好数据备份工作，确保任何的操作都可回退，在到达回退时间补丁加载没有完成时，启动回退操作，保证业务的正常运行。（3）补丁加载必须安排在业务比较空闲的时间进行，对补丁加载的操作过程

16、必须详细记录。同时必须维护已成功加载设备、未加载设备及加载失败的设备清单。（4）核心业务主机的补丁加载建议要求厂商工程师现场支持。（五）补丁验证1.补丁安装完成后，业务系统管理员必须查看系统信息，确保安全补丁已经成功加载。2.必须对加载补丁后的系统按照计划和验证方案进行严格的测试验证，确保补丁加载后不影响系统的性能，确保各项业务操作正常。3补丁加载后的一周内，系统管理员必须加强对系统性能的事件进行密切的监控，并写出验证结果。（六） 补丁归档1.补丁加载验证结束后，系统管理员必须编写补丁安装报告、补丁验证测试报告，并进行归档。2.系统管理员负责对安全补丁软件进行归档，以备系统重装时需要。（七）

17、监督和检查1.信息系统管理部门主管领导负责对各部门补丁管理的执行情况进行考核，考核的内容包括补丁加载情况、补丁版本信息的准确性和相关文档的质量。2.可通过安全漏洞扫描和现场人工抽查进行审计和检查，考核的方式可通过科技部内部的自查和我行管理部门组织的巡检进行。第四章 软件正版化管理办法第一节 总 则第一条 为进一步规范*农商银行使用正版软件的行为，加强软件资产管理，保障信息系统安全，确保软件正版化工作制度化、规范化、精细化，依据中华人民共和国著作权法中华人民共和国计算机软件保护条例正版软件管理工作指南等有关规定和监管要求，结合工作实际，制定本办法。第二条 本办法所指的正版软件是指经合法授权，在*

18、农商银行范围内使用的，用于满足办公、开发、测试、生产等需求的软件，包括但不限于操作系统、数据库、中间件、办公软件、杀毒软件等。 第三条 本办法适用于*农商银行。第二节 组织及职责第四条 *农商银行应设立软件正版化工作领导小组，负责统筹协调推进软件正版化工作，研究制定与软件正版化工作相关的规定和措施。第五条 *农商银行主要领导担任软件正版化工作领导小组组长，分管领导担任小组副组长，科技、宣传、培训、合规、采购等相关部门主要负责人为小组成员。领导小组下设办公室，办公室设在科技部门，牵头负责软件正版化工作。领导小组相关成员部门职责：（一）科技部门负责制定软件配置标准、软件正版化年度工作计划；统计正版

19、化软件年度采购需求，编制正版软件采购预算；对正版软件进行安装、使用、保管、维护、升级、废止等日常管理；建立、维护正版软件使用管理台账；检查、监督软件正版化工作的开展情况；总结软件正版化年度工作。（二）宣传管理部门负责软件正版化的年度宣传工作。（三）培训管理部门负责组织软件正版化教育培训。（四）合规管理部门负责对软件正版化工作进行合规性审核，提供法律法规指导。（五）采购管理部门负责组织正版化软件采购相关工作。第六条 软件使用部门主要负责人是本部门软件正版化工作第一责任人，负责配合软件正版化工作领导小组做好软件正版化工作，督促本部门工作人员严格遵守软件正版化工作规章制度。第三节 采购管理第七条 正

20、版软件采购应坚持安全高效、管理规范的原则，统筹考虑软件的安全性、性价比和后续服务，切实降低软件采购成本，提高使用效率。第八条 统计正版软件使用需求，编制年度软件采购预算，落实相关软件采购。第九条 采购计算机办公设备（包括台式计算机、便携式计算机、平板电脑等）时，原则上同步考虑采购操作系统、办公软件等需要的正版软件。第十条 原则上每台计算机（含虚拟桌面终端）应配备一个操作系统软件授权、一个办公软件授权和一个防病毒软件授权。可通过场地授权等方式，降低采购成本。第四节 使用管理第十一条 按照“谁使用、谁负责”的原则管理正版软件，严格遵守软件正版化工作相关规定。第十二条 由省联社统一引入并部署的软件，

21、安装、升级或卸载工作由科技部门统一安排实施。不得私自安装、升级或卸载软件。第十三条 在日常使用管理软件时，不得出现以下行为：（一）擅自复制和使用软件的复制品；（二）在购买计算机设备时，要求销售商安装非正版软件；（三）未经授权把软件拷贝或上传至互联网供他人使用；（四）从互联网上下载和安装未经授权的软件；（五）故意规避或者破坏软件著作人为保护其著作权而采用的技术措施；（六）故意删除或改变软件权利管理信息；（七）软件正版化管理禁止的其他行为。第五节 资产管理第十四条 将正版软件作为重要资产进行管理，建立软件台账，对台账及时更新维护并定期组织软件资产盘点。第十五条 软件台账中资产信息至少包括软件名称、

22、版本信息、采购时间、采购数量、采购合同、采购金额、许可类型、许可数量等要素。第十六条 妥善保管软件采购合同、软件介质、说明书、授权证书、安装序列号等相关资料。第十七条 软件资产出现以下情形的，可以申请报废：（一）已经达到规定的最低使用年限，且无法继续使用的；（二）未达到规定的最低使用年限，因技术进步等原因无法继续使用的；（三）未达到规定的最低使用年限，因计算机硬件报废，且无法迁移到其他计算机上继续使用的；（四）其他原因确需报废的。第六节 教育培训第十八条 根据实际需要组织开展软件正版化教育、培训工作，强化员工合规意识，提高员工使用正版软件的能力和水平。第十九条 软件正版化教育、培训可采取专题会

23、议、集中培训、业余自学、现场测试、知识竞赛等线上线下多种方式进行。主要内容有：（一）软件法律知识、软件使用许可、软件资产管理知识；（二）使用正版软件的工作目标、要求、意义；（三）正版软件的购置、维护、日常管理等内容；（四）软件正版化其他事项。第七节 监督检查第二十条 将软件正版化与信息化工作紧密结合，在部署信息化工作时应明确提出软件正版化要求，定期组织软件正版化自查工作。第二十一条 注重利用技术手段开展软件使用情况检查，提高检查效率，重点加强对本单位软件正版化工作的督促和指导。第二十二条 将使用正版软件工作纳入年度考核，根据软件正版化工作开展情况，定期开展正版软件使用和管理情况检查，通报检查结

24、果，对检查发现的问题，督促相关单位、部门整改落实，并将检查结果纳入信息科技工作考核。对未按要求完成预算编制、软件采购、资产管理等工作的，由软件正版化工作领导小组责令改正。第二十三条 凡使用盗版软件引起侵权纠纷等后果的，由使用机构承担相应责任；对于使用非正版软件造成重大声誉影响或损失的，依规依纪追究相关人员的责任；违反法律法规的，依法追究相关人员的法律责任。第五章 信息系统数据生命周期管理办法第一节 总则第一条 为进一步规范信息系统数据管理，有效防范数据生成、数据使用、数据维护等过程中的潜在风险，提高数据的使用价值和安全性，根据商业银行信息科技风险管理指引、银行业金融机构数据治理指引、金融行业信

25、息系统信息安全等级保护实施指引等监管要求及省联社相关规章制度，结合实际，特制定本办法。第二条 本办法适用于*农商银行。第三条 数据生命周期管理是指根据技术需求、业务需求和内外部合规要求，对数据生成、数据使用、数据维护、数据备份与恢复，直至数据销毁等过程的管理。第四条 数据生命周期管理目标：（一）规范数据生命周期管理，提高数据的整体管理水平；（二）优化数据存储结构，提高信息系统数据访问效率；（三）防范数据生成、数据使用、数据维护等过程中潜在风险，切实保障数据安全。第五条 信息系统数据分为系统数据和业务数据两类。系统数据是指为确保信息系统正常运行所创建的环境信息、配置文件、数据库参数、日志信息等。

26、业务数据是指信息系统运行过程中创建的各类客户信息、交易信息、清算信息、交易日志、报表、历史数据等。第六条 信息系统数据根据重要程度、所属类别等确定安全等级，安全等级分为三级：一级：本级数据不涉密，不含敏感信息，包括法人机构已公开的各类月报、季报、年报数据；公开信息；支撑业务逻辑数据；维持信息系统运行的一般数据。通过分析、加工该类数据也无法获取法人机构的重要信息、客户隐私信息、商业秘密等；二级：本级数据为普通商密，主要涉及到法人机构未公开的报告、指标、规范、合同、利率、状态等重要信息,以及客户的一般隐私信息或账户信息等；三级：本级数据涉密，包含敏感信息，主要包括法人机构保密信息及客户的个人身份信

27、息（证件种类号码及有效期、联系方式等）、交易信息、个人认证信息（登录密码、交易密码以及预留用于找回密码的问题信息、特征码等）、个人信用信息（信用卡还款情况、贷款偿还情况等）；信息系统的环境信息、配置文件、数据库参数等。第二节 部门职责第七条 各业务主管部门在使用和维护数据时应履行以下职责：（一）负责制定、审核、修改业务参数；（二）负责确定业务数据的保存期限；（三）负责提取业务数据的审批；（四）负责业务数据维护的合规性审查。第八条 信息科技部履行以下职责：（一）负责信息系统数据的提取操作；（二）负责信息系统数据的脱敏处理；（三）负责信息系统数据维护的实施；（四）负责信息系统数据的备份与恢复、销毁

28、等。第三节 数据生成第九条 数据生成是指信息系统投产前后持续生成系统数据和业务数据的过程，主要有数据初始化、数据录入、内部处理、数据抽取、数据迁移等方式。第十条 数据生成过程中要采取措施保证数据的合法性、完整性、兼容性、安全性，防止数据的非法生成、变更、泄漏、丢失与破坏。第十一条 根据数据类型、用途、价值和经营管理的要求等合理确定业务数据保存期限和安全保护策略。第十二条 数据生成过程中产生的问题要及时整改，并对整改情况跟踪评价，确保整改落实到位。第四节 数据使用第十三条 数据使用是指业务主管部门和各支行根据需要申请提取信息系统生产环境数据。数据使用的基本要求：（一）申请使用业务数据需经过业务主

29、管部门或信息科技部审批；（二）在办理数据交接时，应填写信息系统数据使用交接单，采用内部网络、内网邮箱或专用移动介质等传输方式；（三）严格按照数据申请用途、使用时间等使用数据，及时销毁完成使用的数据，禁止将提取的数据用作他用，禁止向合作机构或第三方提供、泄露客户敏感信息。第十四条 业务主管部门提出数据使用申请，并经主要负责人审批同意后，由信息科技部执行数据提取操作。第十五条 业务主管部门申请使用安全等级为“三级”且不执行脱敏操作的数据，需填写信息系统数据使用申请表，原则上须经分管领导审批同意后，信息科技部方可执行数据提取操作。其中，协助有权机关查询安全等级为“三级”且不执行脱敏操作的数据，由财务

30、会计部主要负责人审批同意后，信息科技部执行数据提取操作。第十六条 通过信息系统自动下发法人机构业务数据时，数据使用部门须严格按照批复的使用范围、保密周期、数据安全等级等使用数据。第十七条 在数据传输和使用过程中，要加强用户身份验证管理、网络安全管理，采取严格措施,做好计算机病毒的预防、检测、清除工作，建立针对网络攻击的防范措施，避免信息泄露。第五节 数据维护第十八条 数据维护分为系统数据维护和业务数据维护。系统数据维护包括操作系统、数据库系统、中间件系统、应用系统和网络系统的参数调整、性能调优、系统日志归档与清理等操作。业务数据维护是指维护人员直接操作业务数据库进行的数据调整，包括特殊日或节假

31、日数据调整、历史数据清理、异常数据处理、不规范数据的处理等操作。第十九 条数据维护的基本要求：（一）数据维护应按照生产变更流程进行申请、审批、执行。（二）数据维护方案由系统开发人员与维护人员共同分析制定。（三）信息系统业务主管部门应对业务数据维护的合规性进行审查、审批；涉及多个信息系统的数据维护应由相应的业务主管部门共同进行审查、审批。（四）信息系统业务主管部门应定期对数据维护进行分析，提出业务需求，优化完善信息系统，减少数据维护次数。第二十条 根据数据增长情况，信息系统维护人员定期分析存储容量变化，合理制定数据清理策略和存储容量扩容计划。第二十一条 信息系统维护人员对数据的各项操作必须通过运维审计系统，严格监控操作过程，对数据库操作进行监测和追溯，发现数据安全问题，要及时处理和上报。第六节 数据备份与恢复第二十二条 信息系统数据必须进行有效的备份，备份的时机、频率、形式和内容应根据用途、敏感度、保密性、信息系统安全保护等级的不同