中国建设银行计算机系统安全运行管理办法(试行)
中国建设银行计算机系统安全运行管理办法(试行)
中国建设银行
(1998年8月17日第10次行长办公会议通过)
第一章 总则
第一条 为保障中国建设银行计算机系统的安全运行,提高全行计算机系统安全运行管理的科学化、规范化水平,特制定本办法。
第二条 本办法的适用范围为:中国建设银行总行、一级分行、二级分行。
第三条 科技部门是各级行计算机系统安全运行管理的职能部门。总行、一级分行的科技部门下设运行机构,由一名科技部门领导专管;二级分行科技部门不设运行机构,但承担运行管理的职责,其岗位设置及人员配备应符合本办法的要求。
总行运行中心、一级分行运行机构和二级分行科技部门具体负责本行计算机系统的运行与维护工作;上级行运行机构负责所辖计算机系统安全运行的监督管理及技术支持工作。
第二章 岗位及人员管理
第四条 运行工作的主要岗位有:安全管理岗位、系统管理岗位、网络通信管理岗位、应用管理岗位、设备管理岗位、技术档案管理岗位、机房环境管理岗位、运行值班岗位。
各岗位分别设相应的管理员或值班员,并制定相应的岗位职责和操作规程。
应用管理员与系统管理员、网络通信管理员不得混岗。
第五条 安全管理员由科技部门专管领导担任,并全面负责系统运行的安全管理工作,指导并监督系统运行各环节安全技术规范的制定与实施。
第六条 系统管理员、网络通信管理员、应用管理员等关键岗位要选用思想品德端正、责任心强、业务水平高的人员担任,并应有人员备份。
第七条 运行工作各岗位人员上岗前必须经过岗前培训、技术考核及上岗认证。关键岗位工作人员要报上级行科技部门备案。
第八条 对运行岗位人员每年要进行一次政治思想、业务水平、工作表现、遵守安全规程等方面的评议和考核,对不合格人员要及时更换或调离。
第三章 运行机房环境管理
第九条 运行机房环境管理是指对机房场地、供电系统及空调系统等相关设备设施、环境、秩序的管理。
第十条 运行机房的建设要按照中华人民共和国国家标准《计算站场地安全要求》、《计算站场地技术要求》的要求进行,并应考虑不同设备对场地的特殊要求。
第十一条 运行机房设计方案须经上级行科技部门审批,并由专业机房工程公司施工。本行科技部门应对整个施工过程进行技术监督,保证施工质量。
第十二条 运行机房投入使用前,必须由上级行科技部门组织有关人员按照设计标准及相关的规定对机房进行严格验收。消防系统还必须通过当地消防部门的验收。
第十三条 运行机房根据运行需要应划分成主机房、主控室、网络通讯室、行打室、终端室、电源室、介质库、值班室等区域,并通过门禁、监控等方式进行区域控制。业务操作区应与运行机房分离。
第十四条 任何人不得随意变更运行机房现有环境及设备设施,确需变更,应制定周密计划,严格履行审批手续后,在确保不影响现有生产系统运行的情况下,由运行相关岗位人员实施或监督实施。
第十五条 运行机构应建立运行机房管理制度,对机房的环境、秩序、出入、消防等作出明确的规定,并进行严格管理。
第十六条 运行机构应做好机房环境的日常运行维护工作:
(一)定期对运行机房的防火、防水、防盗、防雷击、防鼠、接地及门禁等相关设施进行检查、维护,并记录备案。
(二)制定运行机房供电系统设备维护计划,并按计划进行检修、维护,保障不间断电力供应。
(三)制定运行机房专用空调维护计划,并按计划进行检修、维护,确保计算机设备对温、湿度的要求。
(四)建立运行机房档案,详细记录机房的结构、布线、设备设施的分布和变动等情况。
第四章 设备管理
第十七条 设备管理是指对运行机房中的主机设备、网络通信设备及外围设备的管理。
第十八条 设备安装时,应由相关技术人员制定详细可行的操作步骤,其中关键设备的安装必须请供货厂商(代理商)技术人员现场支持。
第十九条 设备在投入正式使用前,应依据供货厂商提供的项目和相关指标,由相关技术人员进行严格的测试,写出测试报告,经批准后使用。
第二十条 设备升档要经过充分的技术论证和审批,并由运行相关岗位人员制定详细可行的实施方案,升档过程中应保证现有生产系统的正常运行。
第二十一条 主机设备和网络通信设备必须有备份,并处于实时备用状态。
第二十二条 运行机构应做好设备日常运行维护工作:
(一)做好设备的日常监测、检查、记录,及时掌握设备的运行状况。
(二)设备发生故障时应及时维修,必要时,通知供货厂商(代理商)的技术人员到场解决。
(三)制定设备维护计划,对维护的项目、步骤、周期、责任人等作出明确规定,并严格按照设备维护计划定期进行设备的保养和维护,做好设备维护记录。
(四)建立设备档案,详细记录设备的基本情况(包括升级、更新情况等)、故障现象、故障分析、维修过程、处理结果等内容。
第五章 投产管理
第二十三条 投产管理是指对应用项目从提交到投入实际运行过程中各环节的管理。
第二十四条 应用项目包括按照《中国建设银行计算机应用项目管理试行办法(试行)》开发完成的项目和购置的成品软件。
第二十五条 应用项目提交者应会同运行机构共同制定周密、严谨的项目投产计划。
第二十六条 应用项目提交者应向运行机构提供完整的有关项目投产和运行维护的技术资料,并负责运行相关岗位人员的技术培训。
第二十七条 对于需利用现有系统资源的应用项目,运行机构与应用项目提交者应共同对系统资源情况进行分析,确定资源分配方案。
第二十八条 运行机构依据技术文档的要求准备运行环境。
第二十九条 运行机构要掌握应用项目提供的各种系统监控、维护工具,并检查其安全性和完整性。
第三十条 运行机构、应用项目提交者及相关业务部门应共同确定各方职责:应用项目提交者主要负责应用项目的技术支持和优化;业务部门主要负责业务操作和业务管理;运行机构主要负责正式投产运行后的应用系统安全运行。在明确分工的基础上,制定相关的管理制度和办法。
第三十一条 运行机构依据投产计划,确认各项投产准备工作符合应用项目的运行需要后,提交投产报告,经科技部门和业务部门共同审批(必要时经有关行长审批)后,该应用项目方可正式投入运行。
第六章 值班管理
第三十二条 值班管理是指对运行机房值班工作及运行值班人员的管理。
第三十三条 运行机房的值班由各级行运行机构负责管理。机房实行24小时双人值班制。
第三十四条 值班人员不得擅自离岗,不得从事与值班无关的事情。因特殊情况不能在岗,须经有关负责人同意,并由负责人落实他人代班。
第三十五 条值班人员应严格履行交接班手续,接班人员未到岗,交班人员不得离岗。
第三十六 条运行值班人员应认真做好以下工作:
(一)密切监视并定时检查主机系统、网络通信系统、外围设备及附属设备的运行状况。
(二)及时备份数据,并监视备份过程,确认备份数据有效后对备份介质进行登记,并安全存放。
(三)及时处理系统运行中出现的问题。对无法处理的问题,须立即通知有关人员到场解决,重大问题应及时上报有关领导。
(四)及时填写运行值班日志,记录系统运行状况、故障处理、电话受理、交接班等项内容。
(五)及时受理值班电话,不得因私占用值班电话。
第七章 系统管理
第三十七条 系统管理是指对运行系统中系统软件、应用软件及数据的管理。
第三十八条 系统软件的安装须经科技部门领导审批,由相关技术人员制定详细的操作步骤,并依据具体设备特性,对系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。
第三十九条 任何人不得在生产系统上安装编译工具、应用系统源程序及其他与银行业务无关的软件。
第四十条备份系统与生产系统的系统构成与配置应保持一致,以保证生产系统出现故障时能顺利切换。
第四十一条 任何人不得擅自修改系统参数,确需修改应严格履行审批手续,由运行相关岗位人员实施,实施时应有监督,修改后的参数应记录备案。
第四十二条 任何人不得擅自对业务数据库的数据进行修改或恢复操作,确需操作时应严格履行审批手续,由运行相关岗位人员实施,并由有关人员监督执行。
第四十三条 对于系统软件升级、应用软件升级或更换、系统切换、年终结转、结息等重大操作,由科技部与业务部门密切配合,共同制定详细的计划和方案,总行或一级分行应统一管理,统一部署,精心组织,周密安排,把风险降到最低。
第四十四条 运行机构应及时收集、整理应用软件运行中发生的问题,逐级上报汇总后,交软件提交者。
第四十五条 运行机构应做好系统的日常运行维护工作:
(一)密切监视系统运行状况,及时处理系统故障,并对故障产生原因进行认真的分析总结。
(二)制定系统运行维护计划,严格按计划对系统进行维护,并详细记录维护情况。
(三)定期对系统运行状况进行分析,形成系统性能优化方案,必要时制定主机系统的升级方案,实施须报科技部门领导审批。
(四)制定备份计划,对备份的时间、内容、级别、人员、保管期限、异地存取和销毁手续等进行明确规定。
(五)建立软件运行档案,对软件的基本情况(版本、配置等)、升级、故障现象、故障产生原因、故障处理过程及处理结果等进行详细记录。
第八章 网络通信管理
第四十六条 网络通信管理是指对所辖网络通信系统运行的管理。
第四十七条 总行统一规划建设的网络系统,无总行授权,下级行不得变更网络系统的结构、设备及重要参数。
第四十八条 区域性网络系统方案的设计和改造应经过充分的技术论证,形成规范的文档,并报上级行科技部门备案。
第四十九条 网络的IP地址、主机名等参数应按总行规定的标准进行统一编码和分配。
第五十条 任何人不得擅自增加、删除网络节点及修改网络参数,确需增加、删除或修改时,应严格履行审批手续。
第五十一条 运行机构应制定严格的远程登录审批制度,建立远程登录登记簿,详细记录登录原因、登录人员、起止时间、批准人等项内容。登录结束后应及时更改相关的密码、口令。登录操作须经被登录方科技部门领导批准。
第五十二条 运行机构应及时将网络拓扑结构图、网络通信设备的配置参数、网络地址(如IP地址、CHINAPAC端口号、拨号备份电话号码)等资料归档保管,并严格保密。
第五十三条 运行机构应做好网络通信系统的日常运行维护工作:
(一)密切监视网络运行状况,及时排除网络出现的故障,做好网络运行及维护记录。
(二)定期分析网络运行状况,形成网络性能优化方案,实施须报科技部门领导审批。
(三)严格控制网络通信连接,采取诸如防火墙等项防范措施,对内部网与外部网进行网络隔离。
(四)采取切实可行的措施对内部网络各节点的通信进行控制,防止各种非法访问。
(五)网络的通信线路应有备份,并应对备份线路按月进行检测。
第九章 安全管理
第五十四条 安全管理是指对保障系统安全可靠运行的关键安全环节的管理。
第五十五条 运行机构应充分合理地利用系统提供的安全机制,实现系统的安全保护和安全服务。
第五十六条 运行机构对各级用户及其权限的设定应进行严格管理,用户权限的分配必须遵循“最小特权”原则。
第五十七条 用户密码应严格保密,及时更新。重要用户密码应密封交安全管理员保管。
第五十八条 运行岗位人员调离,运行机构应及时修改相关密码、口令。
第五十九条 运行机构应严格限制对密钥等密级文件的访问,防止非法研读和拷贝。
第六十条 运行各岗位人员不得担任业务操作工作。应用软件开发人员不得代替运行人员从事运行各岗位的工作。
第六十一条 运行机构每日应对主机系统、网络系统的安全审计跟踪记录及应用系统的日志进行检查,分析系统可能存在的安全隐患和漏洞,对发现的隐患和漏洞要及时研究补救措施,并报科技部门领导审批后实施。
第六十二条 运行机构应采取切实有效的措施,控制病毒的传染源,做好计算机病毒的防范工作,并经常进行计算机病毒检查,发现病毒及时清除。
第六十三条 对由厂商提供的远程支持联接及操作,运行机构应严格履行审批手续,并对支持情况进行监督、审核、记录、备案。
第六十四条 运行机构应制定安全运行应急计划,针对系统运行过程中可能发生的故障和灾难,制定恢复运行的措施、方法,并成立应急计划实施小组,负责本行应急计划的实施和管理。
第六十五条 在保证系统日间正常运行的前提下,运行机构对可模拟的故障和灾难每年至少进行一次实施应急计划的演习。
第六十六条 应急计划的实施必须按规定由有关领导批准,实施后,运行机构必须认真分析和总结事故原因,制定相应的补救和整改措施,写出报告,报上级行科技部门备案。
第六十七条 对关键业务系统,如:柜面业务系统、资金清算系统、交易转发系统等,日间停止正常运行,一级分行超过4小时、二级分行超过8小时,属重大运行事故。发生重大运行事故,各行须及时报总行科技部,事故的原因及事故处理过程要形成详细的书面材料于事后两周内上报
。
第六十八条 系统软硬件及应用软件的升级、更新等重大操作的实施方案必须包括应急措施。实施过程中一旦出现意外情况,为避免造成重大运行事故,须及时采取应急措施恢复运行。
第十章 技术档案管理
第六十九条 技术档案管理是指对运行设备的随机资料、软件介质、软件文档、数据备份介质及与运行有关的各类技术规范、制度、计划、档案、日志等的管理。
第七十条 技术档案管理应符合《中国金融计算机信息系统安全管理手册》中有关技术文档管理的规定。
第七十一条 各类技术档案由运行相关岗位人员按规定及时整理归档。
第七十二条 运行相关岗位人员应对技术档案登记入册,标明内容、日期、密级、保存期限等信息,分类保管。
第七十三条 技术档案保管须满足防盗、防潮、防火、防水、防鼠、防虫、防磁、防震等要求。重要技术档案应有冗余保护措施。
第七十四条 备份介质要存放在专用介质库内,系统软件、应用软件及业务数据备份介质还须异地(不同建筑物内)保存。
第七十五条 运行相关岗位人员应定期检查技术档案的完整性和有效性,对受损档案要及时整理和修复;对介质档案还应定期采取重绕、重写、复制等维护措施。
第七十六条 运行机构应严格限定技术档案的借用范围,借用时要履行登记手续,并要求及时完整归还,技术档案归还时应进行必要的完整性、有效性检验。重要技术档案的借用应经运行机构负责人批准。
第七十七条 涉及保密内容的技术档案,任何人不得以介绍、复印(拷贝)、发表文稿等方式外泄。
第七十八条 对过期和报废的技术档案的销毁,运行机构应履行审批手续,并采取严格的监销措施。
第十一章 运行工作检查
第七十九条 各级行要加强对安全运行管理工作的领导,每年至少组织行内有关部门对本行计算机系统运行工作进行一次检查。科技部门每季度进行一次自查。
第八十条 总行和一级分行科技部门,要加强对所辖范围内计算机系统运行工作的监督检查。检查可采取普查、抽查、专项检查的方式定期或不定期的进行。
第八十一条 有关部门检查时要事先拟定检查提纲,检查项目的指标要量化。
第八十二条 检查后要进行总结,检查结果要逐级上报并及时通报,对检查中发现的问题,要限期改进。
第八十三条 对违反本管理办法者,依照《中国建设银行关于对工作人员违反金融规章制度行为处理的暂行办法》处理。
第十二章 附则
第八十四条 本办法由中国建设银行总行解释。
第八十五条 各一级分行应依据本办法制定相关的管理规范、操作规程,并报总行备案。
第八十六条 在计算机系统安全运行管理工作中,涉及计算机系统保密工作的,各级行要认真贯彻执行国家保密局的《计算机信息系统保密管理暂行规定》。
第八十七条 本办法自1998年9月1日起执行。
1998年8月21日