農(nóng)商銀行安全保衛(wèi)制度第一章總則第一條本制度依據(jù)《中華人民共和國反洗錢法》《中華人民共和國網(wǎng)絡(luò)安全法》《企業(yè)內(nèi)部控制基本規(guī)范》以及國家相關(guān)金融監(jiān)管規(guī)定制定，同時參照集團(tuán)母公司關(guān)于安全生產(chǎn)與風(fēng)險管理的系列要求，結(jié)合農(nóng)商銀行實際運(yùn)營特點(diǎn)與風(fēng)險防控需求，旨在規(guī)范全行安全保衛(wèi)工作，強(qiáng)化風(fēng)險防范能力，保障資產(chǎn)安全、客戶信息安全和業(yè)務(wù)連續(xù)性，維護(hù)農(nóng)商銀行穩(wěn)健經(jīng)營與社會信譽(yù)。第二條本制度適用于農(nóng)商銀行全體部門、下屬單位及所有員工，覆蓋業(yè)務(wù)運(yùn)營、信息系統(tǒng)、物理環(huán)境、客戶服務(wù)、反恐防范等場景，確保安全保衛(wèi)工作貫穿業(yè)務(wù)全流程、全層級。第三條本制度中下列術(shù)語含義如下：（一）“安全保衛(wèi)專項管理”指農(nóng)商銀行圍繞人身安全、財產(chǎn)安全、信息安全、運(yùn)營安全等核心領(lǐng)域，建立健全風(fēng)險識別、評估、預(yù)警、處置、改進(jìn)的全流程管理機(jī)制。（二）“專項風(fēng)險”指因管理制度缺陷、操作不當(dāng)、外部環(huán)境變化等因素可能引發(fā)的安全事件或重大損失隱患，包括但不限于盜竊、詐騙、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、設(shè)備故障等。（三）“合規(guī)操作”指員工在履行職責(zé)時嚴(yán)格遵循法律法規(guī)、監(jiān)管要求、內(nèi)部制度及業(yè)務(wù)流程，確保行為合法合規(guī)。第四條安全保衛(wèi)專項管理遵循“全面覆蓋、責(zé)任到人、風(fēng)險導(dǎo)向、持續(xù)改進(jìn)”的核心原則：（一）全面覆蓋：確保安全保衛(wèi)工作無死角、無盲區(qū)，覆蓋所有業(yè)務(wù)場景與員工行為。（二）責(zé)任到人：明確各層級、各部門安全保衛(wèi)職責(zé)，實現(xiàn)責(zé)任主體可追溯。（三）風(fēng)險導(dǎo)向：聚焦高風(fēng)險環(huán)節(jié)與重大風(fēng)險點(diǎn)，優(yōu)先配置資源，強(qiáng)化管控措施。（四）持續(xù)改進(jìn)：定期評估安全保衛(wèi)工作成效，根據(jù)內(nèi)外部環(huán)境變化動態(tài)優(yōu)化制度流程。第二章管理組織機(jī)構(gòu)與職責(zé)第五條農(nóng)商銀行董事會為安全保衛(wèi)工作的決策層，主要負(fù)責(zé)人承擔(dān)第一責(zé)任，分管安全、運(yùn)營、科技等業(yè)務(wù)的董事承擔(dān)直接責(zé)任，確保安全保衛(wèi)工作納入公司治理核心議題。第六條監(jiān)事會負(fù)責(zé)監(jiān)督安全保衛(wèi)專項管理的合規(guī)性、有效性，定期審查董事會及管理層履職情況，并向董事會提交監(jiān)督報告。第七條設(shè)立安全保衛(wèi)專項管理領(lǐng)導(dǎo)小組，由董事會成員、高級管理人員及相關(guān)部門負(fù)責(zé)人組成，履行以下職能：（一）統(tǒng)籌全行安全保衛(wèi)工作，制定年度管理目標(biāo)與策略；（二）協(xié)調(diào)跨部門重大風(fēng)險事件處置，決策重大安全投入與資源調(diào)配；（三）監(jiān)督專項管理制度執(zhí)行情況，組織季度復(fù)盤與考核；（四）向董事會匯報年度安全保衛(wèi)工作報告。第八條牽頭部門為運(yùn)營管理部，負(fù)責(zé)：（一）安全保衛(wèi)專項管理制度體系建設(shè)與修訂；（二）定期組織全行安全風(fēng)險識別與評估，發(fā)布風(fēng)險清單；（三）監(jiān)督各部門安全保衛(wèi)措施落實情況，開展專項檢查；（四）統(tǒng)籌安全培訓(xùn)與宣傳，組織應(yīng)急演練。第九條專責(zé)部門為法律合規(guī)部與信息科技部，分別承擔(dān)：（一）法律合規(guī)部：審核安全保衛(wèi)相關(guān)制度的合規(guī)性，監(jiān)督反洗錢、反恐怖融資等合規(guī)要求落地；（二）信息科技部：負(fù)責(zé)信息系統(tǒng)安全防護(hù)體系建設(shè)，開展安全漏洞排查與數(shù)據(jù)安全治理，保障業(yè)務(wù)連續(xù)性。第十條業(yè)務(wù)部門及下屬單位承擔(dān)本領(lǐng)域安全保衛(wèi)主體責(zé)任，職責(zé)包括：（一）制定本部門安全操作細(xì)則，落實“一崗雙責(zé)”；（二）開展日常安全巡查，及時消除操作風(fēng)險與物理安全隱患；（三）配合專項檢查與調(diào)查，提供完整證據(jù)材料；（四）新業(yè)務(wù)上線前提交安全評估報告。第十一條基層執(zhí)行崗員工必須履行以下合規(guī)操作責(zé)任：（一）簽署崗位安全承諾書，熟知并遵守操作規(guī)范；（二）發(fā)現(xiàn)安全隱患或可疑情況，立即上報并采取初步控制措施；（三）嚴(yán)禁未經(jīng)授權(quán)操作、泄露客戶信息或違規(guī)使用系統(tǒng)工具；（四）參與定期安全培訓(xùn)，考核合格后方可上崗。第三章專項管理重點(diǎn)內(nèi)容與要求第十二條物理環(huán)境安全管控農(nóng)商銀行應(yīng)建立門禁分級管理制度，實行“雙人雙鎖”核心區(qū)域防護(hù)；營業(yè)場所配備監(jiān)控覆蓋率達(dá)100%，監(jiān)控錄像保存期限不少于三個月；定期開展消防設(shè)施檢測與應(yīng)急演練，確保消防通道暢通。禁止員工在辦公區(qū)域堆放易燃易爆物品，嚴(yán)禁無關(guān)人員進(jìn)入機(jī)房、金庫等核心區(qū)域。第十三條資金安全與授權(quán)管理（一）建立資金審批權(quán)限矩陣，明確各層級審批額度與授權(quán)范圍，重大資金調(diào)撥需經(jīng)管理層審批；（二）嚴(yán)禁越權(quán)審批、重復(fù)審批，大額資金操作需雙人復(fù)核；（三）現(xiàn)金清點(diǎn)與交接必須視頻監(jiān)控全程覆蓋，禁止私自帶出金庫。第十四條信息系統(tǒng)安全防護(hù)（一）建立網(wǎng)絡(luò)安全分級保護(hù)制度，核心系統(tǒng)部署防火墻、入侵檢測系統(tǒng)，重要數(shù)據(jù)加密存儲；（二）員工賬號實行定期輪換，禁止使用默認(rèn)密碼或共享賬號；（三）定期開展?jié)B透測試與漏洞掃描，高危漏洞需72小時內(nèi)修復(fù)。第十五條客戶信息保護(hù)（一）建立客戶信息全生命周期管理機(jī)制，明確采集、存儲、使用、銷毀各環(huán)節(jié)規(guī)范；（二）禁止通過非官方渠道傳輸敏感信息，短信驗證碼等關(guān)鍵信息需實時推送；（三）發(fā)生信息泄露事件，需立即啟動應(yīng)急預(yù)案，48小時內(nèi)向監(jiān)管部門報告。第十六條反恐防范與應(yīng)急處置（一）營業(yè)網(wǎng)點(diǎn)配備防暴設(shè)備，員工接受反恐防暴培訓(xùn)，掌握應(yīng)急處置流程；（二）制定暴力事件處置預(yù)案，明確報警、疏散、取證等環(huán)節(jié)責(zé)任人；（三）定期組織防暴演練，檢驗應(yīng)急預(yù)案有效性。第十七條外包服務(wù)風(fēng)險管控（一）第三方服務(wù)商需通過安全資質(zhì)審核，簽訂保密協(xié)議；（二）核心業(yè)務(wù)外包需實施雙重復(fù)核機(jī)制，禁止外包方接觸關(guān)鍵系統(tǒng)；（三）每年對服務(wù)商開展安全評估，不合格者及時中止合作。第十八條內(nèi)部審計監(jiān)督（一）內(nèi)部審計部每年至少開展兩次安全保衛(wèi)專項審計，重點(diǎn)核查制度執(zhí)行與風(fēng)險處置；（二）審計發(fā)現(xiàn)問題需形成報告，明確整改期限與責(zé)任人；（三）對重大風(fēng)險事件開展“倒查”，追究責(zé)任鏈條上的失職行為。第四章專項管理運(yùn)行機(jī)制第十九條制度動態(tài)更新機(jī)制（一）運(yùn)營管理部每半年評估制度適用性，根據(jù)監(jiān)管政策變化、業(yè)務(wù)創(chuàng)新調(diào)整條款；（二）重大制度修訂需經(jīng)安全保衛(wèi)領(lǐng)導(dǎo)小組審議，董事會批準(zhǔn)；（三）修訂內(nèi)容需全員公示，新員工入職前必須學(xué)習(xí)最新制度。第二十條風(fēng)險識別預(yù)警機(jī)制（一）每月開展安全風(fēng)險排查，形成風(fēng)險清單，高風(fēng)險項納入管理臺賬；（二）建立風(fēng)險預(yù)警分級標(biāo)準(zhǔn)，一般風(fēng)險由部門負(fù)責(zé)人處置，重大風(fēng)險上報領(lǐng)導(dǎo)小組決策；（三）定期發(fā)布風(fēng)險通報，指導(dǎo)基層防范同類問題。第二十一條合規(guī)審查機(jī)制（一）新業(yè)務(wù)、新系統(tǒng)上線前必須通過安全合規(guī)審查，未經(jīng)審查禁止投產(chǎn)；（二）合同簽訂前需審核安全條款，禁止約定規(guī)避客戶信息保護(hù)責(zé)任的條款；（三）抽查員工操作日志，對違規(guī)行為開展專項培訓(xùn)糾正。第二十二條風(fēng)險應(yīng)對機(jī)制（一）一般風(fēng)險由部門負(fù)責(zé)人牽頭處置，48小時內(nèi)提交處置報告；（二）重大風(fēng)險啟動應(yīng)急預(yù)案，領(lǐng)導(dǎo)小組派員督導(dǎo)，必要時申請外部支援；（三）風(fēng)險處置完畢后需開展復(fù)盤，完善制度流程，形成案例庫。第二十三條責(zé)任追究機(jī)制（一）明確違規(guī)情形與處罰標(biāo)準(zhǔn)，輕微違規(guī)取消評優(yōu)資格，重大違規(guī)解除勞動合同；（二）建立責(zé)任倒查機(jī)制，對未履行職責(zé)的領(lǐng)導(dǎo)實行連帶問責(zé)；（三）違規(guī)行為納入征信系統(tǒng)，影響后續(xù)崗位晉升。第二十四條評估改進(jìn)機(jī)制（一）每年組織安全保衛(wèi)工作有效性評估，采用問卷調(diào)查、訪談、模擬測試等方法；（二）評估結(jié)果與部門績效考核掛鉤，連續(xù)兩年不合格的需調(diào)整負(fù)責(zé)人；（三）評估報告提交董事會，作為制度修訂的重要依據(jù)。第五章專項管理保障措施第二十五條組織保障（一）各級領(lǐng)導(dǎo)干部承擔(dān)“一崗雙責(zé)”，季度述職時需匯報安全保衛(wèi)工作進(jìn)展；（二）成立專項工作小組，統(tǒng)籌資源解決跨部門難題；（三）將安全保衛(wèi)納入績效考核指標(biāo)體系，占比不低于10%。第二十六條考核激勵機(jī)制（一）部門年度考核設(shè)置安全保衛(wèi)權(quán)重，優(yōu)秀單位可申請專項獎勵；（二）員工違規(guī)行為與績效直接掛鉤，連續(xù)兩次違規(guī)的調(diào)崗或降級；（三）設(shè)立安全保衛(wèi)標(biāo)兵，給予現(xiàn)金獎勵與榮譽(yù)表彰。第二十七條培訓(xùn)宣傳機(jī)制（一）管理層每年接受合規(guī)履職培訓(xùn)，考核不合格的不得分管相關(guān)業(yè)務(wù)；（二）一線員工每月開展操作規(guī)范培訓(xùn)，考核不合格的暫停上崗；（三）制作安全宣傳手冊，營業(yè)網(wǎng)點(diǎn)設(shè)置風(fēng)險提示牌，利用新媒體平臺推送安全知識。第二十八條信息化支撐（一）開發(fā)安全事件監(jiān)控系統(tǒng)，實現(xiàn)異常操作實時告警；（二）核心系統(tǒng)部署AI風(fēng)控模型，自動識別可疑交易；（三）建設(shè)安全知識庫，員工可通過平臺查詢制度條款。第二十九條文化建設(shè)（一）發(fā)布《安全保衛(wèi)合規(guī)手冊》，員工入職前必須簽署承諾書；（二）設(shè)立安全舉報專線，匿名舉報經(jīng)核實獎勵1000-5000元；（三）每年舉辦安全月活動，通過知識競賽、案例分享等形式強(qiáng)化意識。第三十條報告制度（一）風(fēng)險事件需在2小時內(nèi)上報至部門負(fù)責(zé)人，8小時內(nèi)上報至運(yùn)營管理部；（二）年度安全保衛(wèi)工作報告需經(jīng)審計部門審核，次年3月31日