信息系统运维管理制度文档格式.docx
《信息系统运维管理制度文档格式.docx》由会员分享,可在线阅读,更多相关《信息系统运维管理制度文档格式.docx(5页珍藏版)》请在冰豆网上搜索。
第二章组织和职责
第三条信息技术部:
负责公司信息系统运行维护的全面管理,包括网络系统运维管理、服务器及其它核心设备运维管理、应用系统运维管理和运维服务外包管理等。
第四条各业务板块/职能中心
负责各自信息系统运行维护,包括各自的网络系统运维管理、服务器及其它核心设备运维管理、应用系统运维管理和运维服务外包管理等。
第三章环境管理
第五条公司应建立集中的机房,统一为各信息系统提供运行环境。
机房设施配备应符合国家计算机机房有关标准要求。
第六条机房应采用结构化布线系统,配线机柜内如果配备理线架,做到跳线整齐,跳线与配线架统一编号,标记清晰。
第七条应指定部门负责机房安全,指派专人担任机房管理员,对机房的出入进行管理,定期巡查机房运行状况,对机房供配电、空调、温湿度控制等设施进行维护管理;
填写机房值班记录、巡视记录。
第八条机房人员进出机房必须使用信息技术部制发的证件。
第九条应定期对机房设施进行维修保养,加强对易损、易失效设备或部件的维护保养。
第四章资产管理
第十条应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
第十一条应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
第五章介质管理
第十二条应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
第十三条所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放。
第十四条应对介质归档和查询等进行登记记录,管理员应根据存档介质的目录清单定期盘点。
第十五条对于重要文档,如是纸质文档应实行借阔登记制度,未经相关部门领导批准,任何人不得将文档转借、复制或对卦公开;
如是电子文档则应采用OA等电子化办公审批平台进行管理。
第十六条应对需要送出维修的介质清除其中的敏感数据,防止信息的非法泄漏。
第十七条对载有敏感信息存储介质的销毁,应报有关部门备案,由信息技术部进行信息消除、消磁或物理粉碎等销毁处理,并做好相应的销毁记录。
信息消除处理仅限于存储介质仍将在金融机构内部使用的情况,否则应进行信息的不可恢复性销毁。
第十八条应按照统一格式对技术文档进行编写并及时更新,达到能够依靠技术文档恢复系统正常运行的要求。
第十九条应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。
第六章设备管理
第二十条应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
第二十一条应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
第二十二条新购置的设备应经过测试,测试合格后方能投入使用。
第二十三条信息技术部负责对信息系统相关的各种设备(包括备份和冗余设备)、线路等送行维护管理。
第二十四条应做好设备登记工作,制定设备管理舰范,落实设备使用者的安全保护责任。
第二十五条需要废止的设备,应由信息技术部使用专用工具进行数据信息消除处理,如废止设备不再使用,应由信息技术部对其数据信息存储设备进行消磁或物理粉碎等不可恢复性销毁处理。
第二十六条设备确需送外单位维修时,应彻底清除所存的工作相关信息,并与设备维修厂商签订保密协议,与密码设备配套使用的设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第二十七条应制定规范化的故障处理流程,建立详细的故障日志(包括故障发生的时间、范围、现象、处理结果和处理人员等内容)。
第二十八条应确保信息处理设备必须经过审批才能带离机房或办公地点。
第七章网络安全管理
第二十九条应对网络环境运行状态进行巡检,巡检应保留记录,并有操作和复核人员的签名。
第三十条应制定远程访问控制规范,确因工作需要进行远程访问的,应由信息技术部核准并开启远程访问服务,并采取单列账户、最小权限分配、及时关闭远程访问服务等安全防护措施。
第三十一条信息安全管理人员经本部门主管领导批准后,有权对本机构或辖内网络进行安全检测、扫描,检测、扫描结果属敏感信息,XX不得对外公开;
未经信息技术部授权,任何外部机构与人员不得检测或扫描本公司内部网络。
第三十二条应制定网络接入管理规范,任何设备接入网络前,接入方案座经过信息技术部的审核,审核批准后方可接入网络并分配相应的网络资源。
第八章系统安全管理
第三十三条应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
第三十四条应根据业务需求和系统安全分析确定系统的访问控制策略。
第三十五条系统管理员不得对业务数据进行任何增加、删除、修改等操作。
第三十六条系统数据库进行技术维护性操作时,应征得业务部门同意,并详细记录维护信息过程。
第三十七条每年应至少进行一次漏洞扫描,对发现的系统安全漏洞及时进行修补。
第三十八条应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
第三十九条应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行XX的操作。
第四十条应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
第九章恶意代码防范管理
第四十一条应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第四十二条客户端应安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保及时更新病毒特征码并安装必要的补丁程序。
第四十三条应指定专人对网络和主机进行恶意代码检测并保存检测记录。
第四十四条应对防恶意代码软件的授权使用、恶意代码库升级、定期汇撮等作出明确规定。
第十章密码管理
第四十五条选用的密码产品和加密算法应符合国家相关密码管理政策规定。
第四十六条应建立对所有密钥的产生、分发和接收、使用、存储、更新、销毁等方面进行管理的制度。
第四十七条密钥管理人员必须是本机构在编的正式员工。
第四十八条系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码,并定期更换。
口令密码的强度应满足安全性要求。
第十一章变更管理
第四十九条应确认系统中要发生的重要变更,并制定相应的变更方案,包括变更的组织结构与实施计划、操作步骤、影响分析等,以便于评估变更带来的风险;
系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
第五十条变更前应做好系统和数据的备份。
风险较大的变更,应在变更后对系统的运行情况进行跟踪。
第十二章备份与恢复管理
第五十一条应对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。
第五十二条根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。
第五十三条应识别需要定期备份的重要业务信息、系统数据及软件系统等。
第五十四条恢复及使用备份数据时需要提供相关日令密码的,应妥善保管口令密码密封与数据备份余质。
第五十五条应建立灾难恢复计划,定期开展灾难恢复培训,并根据实际情况进行灾难恢复演练。
第十三章安全事件处置
第五十六条应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点。
第五十七条应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
第五十八条应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
第五十九条应建立有效的技术保障机制,确保在安全事件处置过程中不会因技术能力缺乏而导致处置中断或延长应急处置时间。
第十四章应急预案管理
第六十条应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括应急组织机构、启动应急预案的条件、应急处理流程、系统恢复流
程、事后教育和培训等内容,并由应急预案涉及的相关机构确认。
第六十一条应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
第六十二条应严格按照行业、监管和公司的相关规定和要求对外发布信息,未授权部门或者个人不得随意接受新闻媒体采访或对外发表个人看法。
第六十三条突发事件应急处置领导小组统一领导计算机系统的应急管理工作,指挥、决策重大应急处置事宜,并协调应急资漂,明确具体应急处置联络人。
第六十四条应定期对原有的应急预案重新评估,并根据安全评估结果,定期修订、演练,并进行专项内部审计。
第十五章附则
第六十五条本制度由信息技术部负责制定并解释。
第六十六条本制度自发布之日起执行。
升级会员 