第一章、总则
第一条 为引导和推动辖内村镇银行强化信息安全管理，有效防范计算机信息技术风险，更好地保障计算机网络与信息系统安全和稳定运行，根据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等法律法规，特制定本指引。
第二条 本指引所称信息系统，是指村镇银行运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第三条 本指引所称信息安全风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术、管理缺陷及其他原因产生的操作、法律和声誉等风险。
第四条 信息安全管理的目标是通过建立有效的机制，实现对信息安全风险的识别、计量、评价、预警和控制，推动业务创新，提高信息安全管理水平，增强核心竞争力和可持续发展能力。
第五条 本指引适用于本辖内村镇银行。辖内其他类型小微金融机构开展信息安全管理工作时，可比照本办法执行。
第六条 人民银行当地分支机构要切实做好村镇银行信息的安全指导、检查、监督与信息服务工作。
第二章、组织体系与岗位职责
第七条 村镇银行应按照信息安全管理要求，制定本单位信息安全工作的方针和安全策略，说明本单位安全工作的目标、范围、原则和安全框架等。
第八条 应建立全面的信息安全管理制度，涵盖管理活动中的各类管理内容。
第九条 应明确村镇银行信息安全管理关联人职责，建立与关联人有效信息交流与沟通机制。其中，应明确主发起人在村镇银行信息安全管理中的支撑和兜底作用。
第十条 应建立完备的组织领导和管理体系。在自身人员配备和内设机构设置条件允许的情况下：
1、应设立由本单位领导和业务与技术相关部门主要负责人组成的信息安全领导小组，并根据人员变动及时调整小组组成成员。
2、应指定信息安全管理职能部门，明确该部门在信息安全管理中承担的管理职能；
3、应建立信息安全管理队伍。指定信息安全管理人员，负责单位整体信息安全管理工作；各个部门要确定部门信息安全员，负责本部门信息安全管理工作。
4、要分别对信息安全员、系统操作员、普通计算机使用员等不同岗位的职责进行明确。
第十一条 应对科技管理人员和操作人员执行的日常管理操作建立操作规程。
第十二条 应开展行之有效的信息安全培训工作。通过对员工开展必要的信息安全培训工作，使员工能够树立必要的信息安全意识，掌握必须的信息安全知识。
第三章、机房与网络安全管理
第十三条 村镇银行应建立专用机房，必达到一定的标准。
第十四条 机房要采取有效的防火、防盗、防水、防鼠虫咬等措施。
第十五条 机房应配备必要的供配电系统、照明系统、空调系统、消防设施、静电防护、防雷保护接地系统等设备。
第十六条 要建立科学有效的机房管理制度，并按照制度要求对机房进行有效管理。
1、机房日常巡检工作制度。定期对机房及其设备进行检查，并对巡检情况进行登记；
2、人员出入登记管理制度。人员进出机房要登记；无关人员不得随意进出机房；非本单位科技人员进入机房办事必须有专人陪同；
3、设备进出机房登记管理制度。机房内设备变更要及时登记。
第十七条 要建立起合理的网络结构。重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。建有完备的机房及网络拓扑结构完整资料档案。
第十八条 内部网络与互联网、外联单位网络等连接时，应明确网络外联种类方式，采用可靠连接策略及技术手段，实现彼此有效隔离。
第四章、应用安全管理
第十九条 应使用正版操作系统、防病毒和黑客等安全防护软件，并能及时升级。
第二十条 要加强信息外包工作管理。
1、应制定完备的外包服务管理制度。
2、要建立有效的外包和采购内部评估审核流程与监督管理机制。
3、要建立完整有效安全的外包资料档案。
4、要达到相应的保密要求。
第二十一条 做好业务数据的完整备份，确保数据的完整性和有效性。
第二十二条 应加强口令管理。对操作系统、业务系统和屏保的口令进行有效管理。
第二十三条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等，并定期检查介质中存储的信息是否完整可用。
第二十四条 建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为。
第二十五条 加强信息系统病毒防护工作，集中进行防病毒产品的选型测试和部署实施，及时更新防病毒软件和病毒代码，发现病毒或异常情况及时处理。
第二十六条 建立恶意代码防范管理制度，并部署防恶意代码软件，对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定，采取管理与技术措施，确保具备主动发现和有效阻止恶意代码传播的能力。
第五章、应急管理
第二十七条 要制定应急管理制度和预案，制度和预案应覆盖主要信息安全风险点。要及时对应急管理制度和预案进行修订完善，确保与技术发展和法律法规调整相适应。
第二十八条 每年应开展一定数量的应急演练，确保各相关岗位人员能够了解和掌握应急措施。
第二十九条 要有信息系统灾难恢复管理措施，在特殊情况发生时能及时实现信息系统有效恢复。
第六章、人行监管工作
第三十条 按照要求执行好信息安全重大事项报告制度。
1、要明确信息安全主管部门为信息安全重大事件报告职能部门，负责本系统内计算机安全事件的报告、接报和处理工作。
2、计算机安全事件报告包括以下内容：
（1）计算机安全事件发生的时间、地点、单位、单位负责人和联系方式；
（2）计算机安全事件的类别、涉及软硬件系统的情况和事件发生的过程；
（3）计算机安全事件造成的后果和影响范围；
（4）计算机安全事件发生的原因；
（5）责任人或涉案人员；
（6）计算机安全事件发生后采取的应急措施。
3、银行发生计算机安全事件后，按照逐级上报程序，由事件发生单位在事件发生12小时内向本系统上级单位报告，并同时向人民银行当地分支行计算机安全主管部门报告。事件发生单位没有上级单位的，直接向人民银行当地分支行计算机安全主管部门报告。
4、计算机安全事件必须及时上报，报告内容应当要素齐全，客观准确。银行计算机安全事件报告制度执行情况列为银行计算机安全检查内容。
5、发生计算机犯罪案件的银行应当按照有关规定向人民银行分支机构报告，并同时抄报计算机安全主管部门。
第三十一条 按照规定做好金融业机构信息管理工作。
1、金融机构新增、变更或撤销，应在有关部门批准后的7 个工作日内准确、完整地向中国人民银行报送相关信息。
2、配合当地人行机构做好金融业机构信息年度工作，确保金融业机构信息的唯一性和相关信息数据的准确性、时效性。
第三十二条 接入人行金融城域网的机构，应符合人行有关要求，并按照人行有关规定办理接入网络手续，开展网络安全管理，并接受人行有关检查。
1、村镇银行在具有合理的入网需求，符合人民银行规定的入网技术要求和人民银行规定的入网管理要求后，方可申请接入。
2、村镇银行申请接入人行金融城域网应该按照人行有关规定办理。
3、联网机构发生影响金融城域网安全稳定运行的意外事故时，应立即通知人民银行，并按照优先恢复业务系统运行的原则予以处理。
4、联网机构不再具有入网需求时，应向人民银行申请退出金融城域网。
5、要认真配合人行开展的金融城域网安全检查。

第七章、评估与反馈
第三十三条 当地人行可依据本指引，对所在地村镇银行信息安全管理工作进行现场评估工作。
第三十四条 对评估中发现村镇银行信息安全管理中存在的隐患和不足，应以书面形式向村镇银行及其重要关联单位进行反馈，并督促其进行有效整改。
第三十五条 村镇银行在接到人行反馈的信息安全管理方面存在的问题后，应积极与当地人行进行沟通，并针对问题进行整改。
第八章、附则
第三十六条 本指引由中国人民银行九江市中心支行负责解释、修订。
第三十七条 本指引自发布之日起实施。