农商银行信息科技相关管理制度汇编

农商银行信息科技相关管理制度汇编 第一章 总则 第一条 为加强**农村商业银行股份有限公司（以下简称**农商银行）信息科技管理，提升信息科技工作的科学化、规范化、精细化、标准化水平，制定本制度。 第二条 本制度根据银监会、省联社等上级部门的相关管理制度，结合本行实际情况制定。本制度包括 信息科技文档资料及介质管理制度、软件管理制度、软件正版化管理办法、信息系统数据生命周期管理办法、业务数据使用管理办法、信息科技运行维护管理办法、问题处理管理制度、项目管理办法、开发测试管理办法、版本管理制度、源代码管理制度、信息科技项目验收管理办法、网络安全管理办法及管理制度、网络安全漏洞管理办法、无线网络管理办法、信息安全基线管理办法、桌面计算机安全管理办法、计算机防病毒管理规范、网络安全等级保护制度、信息安全等级保护管理办法、信息科技应急管理制度、突发事件管理制度、信息科技风险评估管理办法、保密管理制度、客户信息保护管理办法、信息科技外包管理办法等方面的内容。 第三条 本制度适用于**农商银行。 第二章 信息科技文档资料及介质管理制度 第一条 信息科技技术文档及介质主要包括：计算机及配套设备的随机资料、机房图纸、设备维护合同、各种例行检修报告、有保留价值的运行分析报告等；系统软件的各种技术资料、安装调试报告、维保合同、网络拓扑资料、技术维护报告、有价值的系统分析报告等；应用开发过程中形成的各种需保留的文档、开发程序的源代码、目标代码、各种维护文档、各种项目开发及技术报告等；本单位拥有的各种技术书籍、培训资料；各种磁介质资料等。 第二条 科技部应配备碎纸机，作废资料应及时销毁，不得随意丢弃。对于过期和失效的技术资料要及时清理，予以销毁。技术文件及资料的销毁要参照省联社有关文件要求办理。 第三条 对于送出维修的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁；对带出工作环境的存储介质进行内容加密和监控管理；对载有敏感信息存储介质的销毁，应报有关部门备案，由科技部门进行信息消除、消磁或物理粉碎等销毁处理，并做好相应的销毁记录，信息消除处理仅限于存储介质仍将在金融机构内部使用的情况，否则应进行信息的不可恢复性销毁。 第四条 科技部应配备专用档案橱柜，保存上述各类技术文件及资料。技术资料及介质的存放地点应保证干燥、通风、防水、防火、防盗、防虫、防鼠等。 第五条 技术资料管理人员应定期对保管的技术资料进行整理、检查，保证各种技术文件及资料的完整性和可用性；对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理；应对技术文档实行有效期管理，对于超过有效期的技术文档降低保密级别，对已经失效的技术文档定期清理；定期对主要备份业务数据进行恢复验证，根据介质使用期限技术转储数据。 第六条 对于可以借阅的技术文件及资料，资料管理员应列出目录，供有关人员借阅和参考，技术资料借阅应遵循以下规定： （一）凡借阅技术资料者，须填写借阅登记表，查阅人员要如实说明查档的目的和内容，由技术资料管理员办理借阅手续。 （二）凡借阅的技术资料，必须妥善保管，按期归还，不得损坏、丢失。 （三）退还技术资料时，技术资料管理员要认真清点技术资料数量，检查案卷有无损坏，文件是否齐全等，再予交接。 （四）技术资料借阅时，要办理审批和登记手续，需复制、复印技术资料应经有关领导批准。受限技术文件及资料，借阅时应经有关领导批准，就地阅览，不得带走。 （五）借阅技术资料要严守秘密。 （六）借阅技术资料者，要爱护案卷，不得任意拆卷、抽页、涂改、圈划、污损等，否则追究责任，并予以严肃处理。 （七）借阅人员应将利用效果及时向技术资料部门反馈，为总结规律、扩大技术资料宣传积累素材，以更好地提供利用。 第七条 对于需要访问内部网络的U盘及其他移动存储介质，需要在桌面管理系统中注册为内部介质后方可使用。 第八条 档案管理 一、档案分为纸质文书、电子文档、实物等资料，档案管理的范围包括： （一）正式文件、规章制度、合同等资料； （二）磁带、光盘等存有重要数据的介质； （三）重要会议、重大公务活动等涉及的电子文档及音像资料； （四）人员入职、离职、岗位交接等资料； （五）登记簿、运行报告等运行过程中形成的各类资料； （六）各类系统升级维护资料； （七）软件开发过程中形成的文档资料； （八）技术书籍、培训记录等资料； （九）需归档保管的其他重要资料。 二、保管期限。按照保管资料保存价值确定保管期限，通常分为永久和定期两种，定期一般分为10年和30年两种。第十条第一至三款规定的档案应永久保存。 三、科技部门作废的资料应及时销毁，不得随意丢弃，对于过期和失效的存储介质等要进行消磁处理。 四、科技部门配备专用档案柜和专用计算机，保存各类技术书籍、培训资料及电子资料等。档案存放地点应保持干燥、通风，做好防水、防火、防磁、防盗、防虫、防鼠等工作。 五、文档资料管理 （一）应采用必要的档案保管技术，逐步实现档案管理的电子化； （二）应建立《资料归档保管登记簿》，登记移交的各类文档及资料名称、提交人、时间等信息； （三）每季度收集、整理各类资料，并统一编号、标注保管期限、登记，入档保管； （四）至少每半年对保管的文档资料进行整理、检查，保证各种技术文件及资料的完整性和可用性。 六、借阅管理 （一）档案资料应列出目录，便于借阅、参考； （二）借阅或查阅档案资料应及时准确登记； （三）借阅或查阅保密资料时应经过有权领导批准，原则上就地阅览。 七、档案归档检验流程及审核流程。 （一）档案归档时应换人进行检验。 （二）档案归档、销毁变动时需经科技部负责人进行审核。 八、科技部门对达到销毁条件的档案按有关要求予以销毁。 第三章 软件管理制度 第一条　根据信息科技管理的要求，切实做好软件引进和应用管理，确保软件资产质量。 第二条　根据软件的使用特点及注意事项，建立健全各项必要的规章制度，坚持“安全高效、管理规范、责任明确、节约投资”的原则，保障软件系统的正常运行。 第三条 切实加强软件使用的安全管理，一经发现计算机犯罪活动、敏感数据泄露或失窃等信息科技安全事件，必须妥善处理并按规定报告省联社信息科技部。 第四条　软件管理范围 （一）省联社统一推广使用的软件。对于资金投入较大，涉及核心系统、信贷系统等重要生产系统的软件，由省联社统一购置、推广； （二）自行开发引进的软件。不涉及核心数据的、产生数据仅服务于**农商银行，且无需较大资源投入的软件；自行开发引进前需向省联社信息科技部备案。 第五条　日常管理 （一）所有软件资产必须设置专人管理，明确职责，避免软件资产的丢失、泄密； （二）各类软件资产的使用应坚持正版化原则，杜绝使用盗版软件。 1.各部（中心）经理、支行行长对本部（中心）、支行正版软件使用负责，确保本部（中心）、支行人员使用正版软件，不得随意在计算机办公设备及系统中安装或卸载软件，保障信息安全; 2.购置计算机办公设备时，应当采购预装正版操作系统的计算机产品，对需要购置的办公软件一并做购置计划； 3.要制定正版软件采购计划，并将软件采购费纳入年度预算，确保软件正版化工作资金到位，措施到位，管理到位； 4.加强软件正版化培训工作，每年至少开展一次软件正版化培训，进一步提高员工软件正版化意识及使用软件的能力及水平。 （三）如已经建立IT资产管理系统，则通过系统及时进行软件资产的登记录入、维护等登记工作；如未建立IT资产管理系统，应通过《应用软件登记簿》做好软件资产纸质版或电子版登记工作； （四）所有软件要明确使用权限，防止非授权使用； （五）因人员离职或岗位变动需回收有关软件的，应对软件进行卸载、删除。 第六条　升级管理 （一）软件升级前应做好审批，填写《信息系统生产变更申请表》； （二）软件升级前应做好备份，严格按照升级文档实施； （三）应保证软件升级的及时性、完整性、统一性，升级过程中发现问题应及时上报省联社信息科技部； （四）软件升级完成后，应及时登记《系统运行工作日志》，并将有关文档、资料归档保管。 第七条 停用管理 软件资产的停用条件： （一）因达不到业务要求确实需要淘汰、删除的软件； （二）版本陈旧已不再使用的软件； （三）已超过授权期限无法使用的软件； （四）其他情况需要停用的软件。 第八条 补丁管理流程 （一）补丁跟进和通告 1.信息安全员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。 2.安全补丁根据其对应漏洞的严重程度分为三个级别：紧急补丁、重要补丁和一般补丁；紧急补丁必须在规定的时间内完成加载，重要补丁须在计划的时间内完成加载，还有一般补丁的加载。 3.科技部成员需在领导和管理员的批准后进行加载补丁信息，并向有关人员公布。 （二）补丁获取 1.信息安全员负责从正式渠道获取安全补丁，正式渠道包括省联社办事处统一下发的、产品厂商提供的或产品厂商网站下载的安全补丁。 2.信息安全员负责对安全补丁进行完整性校验，确保获取的安全补丁软件未被修改和安全可用。 （三）补丁测试 1.补丁加载之前必须经过严格的测试，严禁未经测试直接在生产系统上加载补丁。加载经上级信息管理部门测试后下发的补丁可以不做测试。 2.补丁测试的方式有两种：试验机测试和现网测试。实验机测试必须进行，实验机配置环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试设备或备机）可以进行现网测试。 （1）补丁测试的内容包括安装测试、功能性测试、兼容性测试和回退测试。 A.安装测试主要测试补丁安装过程是否正确无误，补丁安装后系统是否正常运行。 B．功能性测试主要测试补丁是否对安全漏洞进行了修补。 C．兼容性测试主要测试补丁加载后是否对应用系统带来影响，业务是否可以正常运行。 D．回退测试主要包括补丁卸载测试、系统还原测试。 （2）补丁测试的工作由系统集成商或系统管理员负责实施。必须对补丁的现场测试和现网测试限定时间，测试完成后需要编写测试报告，给出明确的测试结论。 （3）系统管理员需要把《补丁测试报告》提交部门主管领导进行审核，审核通过后可以进行补丁加载和使用。 （4）为确保系统集成商及时配合补丁的测试和安装工作，需要通过合同的方式，明确集成商的安全补丁测试和安装工作，约束条款至少应包括：实验机测试环境的构建，在规定时间内完成补丁测试，补丁加载，补丁加载失败时的测试与分析，补丁与应用冲突时的系统改造和升级等工作。 （四） 补丁加载 1.从安全漏洞发布到补丁加载前，公司系统管理员根据需要给出应急措施建议，例如通过加强访问控制、临时关闭服务、加强安全审计等应急措施来加强网络安全，各相关业务系统根据建议采取适合的防护措施，并加强对系统的监控，及时发现和报告安全事件。 （1）补丁加载前，必须向主管领导提交安全补丁测试报告、安装计划和实施方案等，经审批通过后按计划执行，审批的周期应在规定的时间内完成。 （2）在补丁安装前，必须做好数据备份工作，确保任何的操作都可回退，在到达回退时间补丁加载没有完成时，启动回退操作，保证业务的正常运行。 （3）补丁加载必须安排在业务比较空闲的时间进行，对补丁加载的操作过程必须详细记录。同时必须维护已成功加载设备、未加载设备及加载失败的设备清单。 （4）核心业务主机的补丁加载建议要求厂商工程师现场支持。 （五）补丁验证 1.补丁安装完成后，业务系统管理员必须查看系统信息，确保安全补丁已经成功加载。 2.必须对加载补丁后的系统按照计划和验证方案进行严格的测试验证，确保补丁加载后不影响系统的性能，确保各项业务操作正常。 3．补丁加载后的一周内，系统管理员必须加强对系统性能的事件进行密切的监控，并写出验证结果。 （六） 补丁归档 1.补丁加载验证结束后，系统管理员必须编写补丁安装报告、补丁验