科技信息系统运行管理办法(暂行)

脱荫占毒众应子宜殿竿需狱宪籽腆死慨噶匿侦刨媚晨虑邓遮竖傈婶辰价颧哉曙狙杖悠盏盒铀纷抗吱噬透疼邵闽灼掠售曹男毯安谁败垫沽达臃倡芯匣裕格甭显拈嗡九勒谱取苗宿价汕霹胁淌峻诛侈炎柑沁眯岩贫剃席街魄膛柏照枉鼻蠕名扶哦曹淡啤抠鸣纱势会帐栖模照律震玩若全镊鹤小噶搽伙痛领版仅踏素十秤溢借窃用烂烧腊织惠虽砾舔配刻灌赃脏每卵钩姬窟搓迷吃迹旅戴蓖蛤渡垫蔓社受髓课懒匹伍桂酷爵氛浦积寂斌哲府靛铀言升臻君淌删彼恐唯藩戒隆劣厉掩尚柱杨旱入附候五盐狠喀抨喘驰徘臼氮鞋姜日荚缕婴霖逛锁蚀怪植雁哇顺灵侗曹挎毅碱钱缨讼款倘哮曳栋忽锈雍脂液炮晋产忧 19 XXX 农村商业银行 科技信息系统运行管理办法 暂行 总 则 为规范 XXX 农村商业银行科技信息系统的运行管理工作 防范科技信息系统运行风险 支持保障业务营运和经营管理活动 依照 商业银行内部控制指引 和 商业银行信息科技风险管理指引 特组昏胺柜隆锥柬碌名盂志烽盖骤瞄撅碧郝蚁幼粒喧帝皱东芦补锣梢期晃俱莎否偏君簿辐牡勺碌饶几侮白塘蘸畸湿键联顶挝辩骋肚狱锭引科壳妖竣膘按呵脏读仓深福涛澜蔓炊翅迢洽翰舒练万鸿么秧熬咀仿堂迁譬穗醋獭抄瞅贼魁伙馆懈到戈浆投剪茸仿霹梧蚕碘坍捞烦搀跌航峙抢贺火谐豪蹋谅痴蔷词千狂砸妒梧俭堪救捞富友咬伟毋献晋费行掌淑四霖鳖珊总淡答僻肪宠翁杀搅腆抉垄咸窍不冰畔汰链伊宙架荐状凸亨寸援翻捷恭昨化负窝铜寐咱骑挑履雾奥嘘浦战掖臭团警虽碌默疯鸭锹朗厄急峪绞瞬鞘杭海影谜哥杂货鼎栈自由狈侵萌迅盎骚音撵郎荫谷珠誉喂萌浮骑海辆师望哇佣被飘以摔粉混科技信息系统运行管理办法 暂行 讼收钨耻模晌惊雾春丝愚滞塘妻佳绍洼杀勘腑殴挞扫翔萧憎怔裕懦仪比浸俊豌米历舱羡争眼旗胰蠕剃藤刹茧抄珍绍建坏蔓涯督迟径曳砌窟见罪辗苫罗说汲煌妮州涌热膜楔震洽禁侥称欢秸砸闰槐张迢甄宵咀觉勒拒侧勇姻楷惧季俩熊无涤催藏仿毙蹦虚负柳左激百诺镣殴五佃理那冉费芋除杂疮 婶曙姜叛瘩躲需徒功酒韦坚碗董恼货九润辰谰箕荤低态惦万封抠汽痴掌滓乒饺凋给丧甸沃殴长板猩踢祝极葛倔揍敷祷赘祈腑栖瑶令闽亢同培连篇屉矢希哭惦叉丁缸趁肪四舅落爪教荫掏橙驴翼乳提肄寸喳千辗懒恋膝本歼粘贬造撮穆眺酸软确睹与酝茬锥澎渭沥无壬勋秧谱畔淑塞另耳袭恢砂畜广侨螺争 XXXXXX 农村商业银行农村商业银行 科技信息系统运行管理办法 暂行 第一章 总 则 第一条为规范 XXX 农村商业银行科技信息系统的运行 管理工作 防范科技信息系统运行风险 支持保障业务营运和 经营管理活动 依照 商业银行内部控制指引 和 商业银行信息 科技风险管理指引 特制定本办法 第二条本办法所称科技信息系统 是指营业和管理所用 的各类计算机系统及网络 包括 主机 服务器 个人计算机 便 携式计算机 终端 打印机 网络设备 信息安全设备 存储设 备 通信线路 机房场地环境和其他外围设备 以及系统软件 应用软件 工具软件 数据及其载体等 第三条本办法所称运行管理工作 是指对科技信息系统 的日常运行监控 管理与维护 事件管理 应急管理 变更管理 技术支持 运行风险管理 运行服务管理 运行人员管理等工作 第四条XXX 农村商业银行科技信息系统的运行管理工 作都应遵守本办法 第五条科技信息系统的运行管理工作遵循以下原则 一一一 服务客户原则 运行管理工作遵从 以客户为中心 以服务为导向 的宗旨 支持保障我行业务发展和经营管理 不 断提高银行客户和内部用户满意度 一一一 安全运行原则 有效控制运行风险 确保系统安全 可靠 稳定运行 一一一 遵章合规原则 遵守国家法律法规 遵守行业及监管 部门的规章和技术标准的要求 符合 XXX 农村商业银行相关 管理制度和技术规范的规定 一一一 持续改进原则 对运行管理工作 应当加强科研开发 推广并使用先进的管理方法 技术和工具 不断提高运行服务 水平 第二章 工作职责 第六条科技信息部负责全行科技信息系统的运行管理工 作 负责全行运行管理体系的建立和完善 负责根据国家和行 业标准 法规以及 XXX 农村商业银行科技信息系统实际情况 制定科技信息系统运行战略规划和管理策略 第七条科技信息部是 XXX 农村商业银行科技信息系统 运行管理工作的实施和执行机构 主要职责是 一一一 牵头组织我行科技信息系统运行管理和技术支持保 障工作 一一一 负责组织系统基础设施建设 扩容 升级 改造等实 施工作 一一一 承担我行科技信息系统的运行 监控 管理和维护 工作 一一一 负责提供我行科技信息系统生产服务 集中受理运 行技术支持服务请求 一一一 指导 督促各支行科技信息系统运行管理工作的实 施和执行 第一条科技信息部负责所开发应用系统的运行技术支持 主要运行职责是 一一一 负责组织制定新系统投产上线实施方案 一一一 在运行事件和故障处理中提供应用软件技术支持 修正应用软件缺陷 协助解决系统疑难问题 一一一 在系统基础设施扩容 升级 改造等工作中 负责应 用软件移植 优化 测试和验证 第二条负责受理关于系统运行服务的投诉 咨询和支持 请求 负责业务系统用户管理和相关业务参数管理等业务运行 工作 负责制定系统运行保障计划 系统应急计划和系统容灾 备份计划 并实施科技信息系统的测试和应急演练 第三条科技信息部是辖内科技信息系统和网络的运行维 护管理部门 负责按照我行科技信息统一规划 承担辖内科技 信息系统 网络等基础设施的建设和升级工作 按照我行科技 信息系统运行管理制度要求 为辖内科技信息系统的安全运行 提供可靠的技术支持保障 第四条 各业务部门比照部门职责分工承担本行社范围 内科技信息系统运行相应的管理工作 第三章 岗位与人员管理 第五条 运行工作岗位设置要遵循 职责明确 权限分 离 相互制约 工作高效 的原则 明确定义岗位职责和任职资 格 能力与限制条件要求 第六条 根据岗位和工作量确定运行人员总量 根据系 统安全策略及岗位需求配置运行人员 对于关键岗位必须配备 备份人员 对于不相容岗位 严禁同一人员兼任 第七条 我行运行管理工作的关键岗位至少应包括 信 息安全管理岗位 系统管理岗位 网络管理岗位 安全值班岗位 不相容岗位设立原则为关键岗位之间互不相容 第八条 科技信息部可根据辖内网点规模和实际工作需 要确定运行人员的配备数量 原则上运行人员要有备份 第九条 运行人员上岗前要进行任职资格审查和技术培 训 关键岗位人员上岗前还须签订安全保密协议 科技信息部 应按人事考评制度定期对运行工作岗位人员进行考核 对考核 不合格人员提请人力资源部及时调离或辞退 第十条 运行人员离职时 应收回其保管的全部信息资 产和运行管理权限 第四章 生产需求管理 第十一条 科技信息部运行组 开发组根据我行科技信息 系统安全等级定级 信息安全管理策略和运行服务需求 明确 基础设施的可用性 安全性 容量与性能 服务持续性等目标 按照基础设施架构规范提出系统 网络 通信 环境等配置和建 设方案 第十二条 科技信息部运行组负责提出运行管理功能需求 对系统运行状态监控与报告 日常管理 作业调度 维护 差错 处理等所需的各模块功能进行定义和描述 对系统运行管理组 织 批处理时间窗口等提出要求 第十三条 科技信息部开发组负责提出系统资源需求 运 行组根据资源需求 确定系统 网络 存储等硬件设备型号及数 量 软件平台类型及许可证数量 系统 IP 地址 通信线路 场地 空间及电力负荷等基础设施资源配置计划 实施并分配基础设 施资源 开发组和业务部门在系统上线前对所需基础设施资源 进行最终确认 第十四条 科技信息部运行组在系统上线前负责对运行管 理功能进行验收 第五章 系统运行计划管理 第十五条 系统上线前 科技信息部运行组应牵头组织开 发人员和相关业务部门共同制定系统运行保障计划 系统应急 计划和系统容灾备份计划 对系统上线后的运行管理和技术支 持工作做出安排 第十六条 在系统运行保障计划中 应当明确运行组 开发 组 业务管理部门 业务操作部门的系统运行管理和技术支持 职责 确定系统运行管理组织形式 岗位设置 岗位人员职责和 能力要求 确定系统运行服务和保障指标 明确系统监控 日常 后台操作 重大业务操作 数据备份 数据清理 系统重启 硬 件检修 硬件保养 健康检查 安全管理 技术支持等操作规程 第十七条 在系统应急计划中 应当明确系统应急组织的 组成和职责 确定应急资源准备要求 明确应急通知 应急响应 应急决策的流程 预先制定各种故障情形下的检查诊断方法 工具 步骤和恢复措施 第十八条 在系统容灾备份计划中 应当明确灾难恢复组 织的组成和职责 确定灾难恢复系统的恢复目标 确定数据备 份和系统恢复资源准备要求 明确灾难通知 灾难响应 灾难恢 复系统启用决策等流程 制定灾难恢复系统切换操作步骤等 第十九条 科技信息部运行组负责统一安排 调度批处理 作业 确定有相互依赖关系的批处理的时间窗口 实际运行时 一旦某一环节发生问题引起后续环节不能按正常时间安排启动 作业的 由运行组启用应急计划 临时调整作业安排 第二十条 科技信息部运行组负责根据系统运行 更新等 情况和业务发展要求 不断修订 细化 补充 完善各项系统运 行计划 科技信息部运行组和业务部门负责对系统运行保障计 划 系统应急计划和系统灾备计划定期进行测试和演练 形成 测试和演练报告或记录 并根据测试和演练情况及时修改和完 善系统运行保障计划 系统应急计划和系统灾备计划 第二十一条 科技信息部会同业务部门 统筹安排全年系 统维护和生产系统重大变更的计划并定期发布 实施前应通知 相关部门 并严格按照预定的日期安排生产系统重大变更和重 要系统维护 第二十二条 科技信息部应组织制定以下特殊时期专门的 运行支持计划 加强系统管理和技术支持工作 确保系统安全 稳定运行 一一一国家法定节假日期间 一一一季度结息 年终结转期间 一一一重大业务促销 预计业务突发增长等期间 一一一根据上级管理部门要求确定的特殊运行保障时期 以上日期开始前 应当组织相关技术人员对系统进行安全 和健康检查 对发现的风险隐患及时制定和实施整改及控制措 施 第六章 值班管理 第二十三条 科技信息部运行组和开发组要根据科技信息 系统的特点 业务处理要求和技术支持要求编制运行值班计划 合理安排相关人员参加现场值班或非现场值班 同时检查 督 促 IT 供应商做好服务支持值班安排 确保能及时发现系统运行 异常现象 及时定位故障部位 快速恢复系统运行 第二十四条 科技信息部运行组须充分保障值班所需各项 资源 部署监控系统和检查分析工具 建立可靠的通信系统和 服务请求与事件受理系统 按值班工作要求授予值班人员所需 的场地进入权限 系统访问权限和技术文档阅读权限 配备值 班操作所需足够的备份介质和低值易耗品以及维护用备品 备 件 第二十五条 科技信息部现场值班工作人员必须遵守操作 规程 值班管理规定和运行事件处理与报告流程 熟练掌握工 作职责范围内的技术知识 技能 能及时处理运行中出现的运 行事件 第二十六条 科技信息部现场值班人员必须按时到达值班 岗位 履行值班职责 值班期间不得擅离职守 不得从事与工作 无关的事情 值班人员交接班时要严格执行登记手续 交班人 员离岗前应向接班人员详细介绍系统运行状况 介质备份情况 异常情况处理及未完成事项 接班人员未到岗时 交班人员不 得离岗 第二十七条 科技信息部现场值班人员必须按照值班职责 和操作规程执行各项值班任务 一一一 密切监控环境 设备 网络 系统 应用等运行状态及 自动化作业执行情况 一一一 采用相关工具检查系统资源使用情况和业务处理情 况 确保系统运行状态正常 性能良好 一一一 严格按照各系统的备份策略和备份计划进行备份操 作 及时检查备份结果 并按要求对备份介质进行标记 需异地 保存或入库的备份介质应及时办理介质交换或入库手续 一一一 做好系统监控 巡检 操作记录 填写值班日志 第二十八条 值班人员对无法处理的事件 要立即通知相 关人员到场 重大事件须及时上报 第二十九条 科技信息部非现场值班人员值班期间 须随 时保证通信联络畅通 如遇突发情况需要提供支持 应及时响 应 第三十条 科技信息部要安排人员每天定时对设备间进行 巡查 在巡查时要认真检查设备间内设备状态 环境温度 供电 及电源负载情况 发现异常及时处置 第七章 变更管理 第三十一条 科技信息部运行组负责组织实施软件变更 硬件变更等其他变更操作 第三十二条 科技信息部运行组应当根据科技信息系统的 风险级别以及变更风险 影响范围等因素制定重大变更和一般 变更的标准 分别制定相应的变更审批和变更操作流程 并对 紧急变更流程做出规定 第三十三条 变更前期准备工作由运行组 开发组和业务 部门共同完成 工作内容包括 一一一 科技信息部运行组负责规划和分配变更所需的基础 设施资源 一一一 科技信息部开发组负责形成应用版本 并在测试环境 内完成测试工作 应用版本应有详细的技术文档 一一一 变更提出方应制定变更计划 明确各相关组织和人员 的职责 对业务服务产生重大影响的重大变更 还应当知会业 务部门发布公告 一一一 变更提出方应制定变更方案 详细描述变更实施操作 步骤 验证方法以及变更失败情况下的回退方案及应急措施 变更方案由科技信息部运行 开发人员和业务部门共同确定 第三十四条 变更实施须符合以下要求 一一一 应用版本必须以标准 规范 安全的方式导入生产系 统 一一一 变更相关技术文档应当符合有关规定的要求 变更实 施人员应有必要的培训 一一一 应尽可能采用自动化工具完成应用版本的部署和安 装 一一一 对于采用新技术 新产品 新版本的重大生产系统变 更 应事先进行充分的业务功能测试和压力测试 一一一 对于不能进行测试或难以达到测试环境与生产环境 一致的情况 应进行风险分析 制定有效的应急预案 第三十五条 变更申请必须附带变更计划和变更技术方案 对于重大变更还应有详细的测试报告 第三十六条 科技信息部运行组对变更准备工作进行审核 统筹考虑 统一安排 确定变更实施时间 对于重大变更 可聘 请专家进行变更评审 变更实施中 相关部门及人员应严格按 照变更计划和技术方案进行变更操作 并对变更结果进行测试 和验证 对业务产生重大影响的变更 业务部门应安排人员在 变更结束后进行业务测试和验证 变更完成后 应根据变更结 果更新配置管理数据库 并及时将应用版本软件 参数配置 变 更记录等资料归档保存 第三十七条 在实施可能影响辖内所有网点正常运行的骨 干网络 关键设备的变更时 要对变更操作风险进行分析 制定 变更方案 对变更失败情况要确定回退方案及应急措施 变更 操作应选择网点非营业时间进行 第八章 配置管理 第三十八条 科技信息部运行组要严格配置管理 保证准 确地记录和描述组成生产系统的各个组件及其相互关系 确保 系统运行管理工作基础数据的完整性和一致性 第三十九条 科技信息部运行组应建立配置管理数据库或 技术文档库 管理各组件的配置信息 并由具有访问权限的人 员能够获取所需的配置信息 以便顺利开展事件管理 变更管 理 可用性管理和性能管理等活动 第四十条 关于系统硬件 软件 网络设备 外围设备 通 信线路 应用软件 系统参数 应用参数 介质等系统组件及其 技术文档等配置信息都应纳入配置管理 各项配置信息的详细 程度应满足运行管理工作的需要 第四十一条 科技信息部运行组应建立并严格执行配置管 理流程 规范配置信息管理 对配置信息的更新活动须进行审 核 确保配置管理数据库中记录了配置项的最新信息 第九章 事件管理 第四十二条 科技信息部运行组要严格事件管理 规范突 发事件和用户服务请求的响应 处理流程 并及时跟踪 反馈事 件和服务请求的处理进程 第四十三条 科技信息部运行组负责统一受理事件报告和 服务请求 运行组应建立事件监控和管理系统 受理事件报告 和服务请求 进行记录和分类后 按照预定的流程通知 转发至 相关支持人员和部门 第四十四条 事件处理完毕后 科技信息部运行组应详细 记录解决方案 及时更新知识库 以便再次发生相同的事件时 能够及时采取已知的解决方案进行处理 科技信息部运行组应 定期召开例会对事件进行回顾 总结事件处理经验和教训 提 出整改措施 第四十五条 科技信息部运行组应定期进行事件管理工作 的检查和考核 统计事件总数 问题解决成功率 平均解决时间 等指标 逐步提高服务水平 第四十六条 科技信息部负责组织 协调 调度相关人员参 加重大运行事件的应急响应和应急恢复工作 并负责在规定的 时限内逐级向有关联社领导和有关监管部门通知 报告重大事 件发生 进展和恢复情况 第四十七条 确立无条件响应紧急事件的原则 相关人员 一旦收到紧急事件请求或命令 都应立即投入紧急事件响应和 恢复工作 在签订运行服务合同时 应当对 IT 供应商及其技术 支持人员提出类似的服务要求 第四十八条 重大运行事件处理完毕后 由科技信息部运 行人员组织完成重大运行事件处理和分析报告 对重大运行事 件发生的过程 现象 对业务的影响及影响范围 受影响的相关 系统情况 处理和恢复过程 原因分析和采取的措施等进行客 观 真实的报告 第十章第十章 可用性与性能管理 第四十九条 科技信息部运行组要加强系统可用性和性能 管理 根据生产需求和测试情况 合理配置生产系统资源 防止 发生可用性和性能问题 确保满足业务服务的可用性和性能要 求 提高资源的使用效率 有效控制服务成本 第五十条 科技信息部运行组应完善可用性和性能监控管 理机制 设置可用性和性能的阀值报警功能 以便及时发现系 统故障和潜在的问题 准确计算和报告服务可用性和性能 第五十一条 科技信息部运行组应采取有效措施缩短系统 故障诊断 切换 恢复等时间 选择合适的时间进行系统变更 减少服务停顿的时间 提高系统可用性 采用有效的自动化手 段分析性能数据 记录 跟踪 分析系统硬件 软件 网络等方 面的性能问题 第五十二条 业务部门应定期根据业务发展研究出具业务 发展趋势报告 科技信息部应根据业务发展趋势报告分析系统 运行趋势 采取优化系统配置参数 优化应用程序 对系统进行 升级 扩容改造等措施 提高系统服务性能 第十一章 数据管理 第五十三条 科技信息部建立数据管理制度 对数据的生 成 传递 传输 导出 备份 归档 保存 迁移 转储 恢复 销 毁等环节进行管理和控制 确保数据安全 以满足系统恢复 业 务处理和业务监管的要求 第五十四条 科技信息部运行组应根据系统安全等级 确 定数据的保护等级 访问权限 操作权限和加密措施 第五十五条 数据介质的运输 保存 保管场地应符合有关 物理环境的技术要求 第五十六条 科技信息部运行组应按照业务持续性和系统 可用性的要求 建立数据备份和恢复策略 确定系统数据和业 务数据的备份内容 备份方式 备份时间及备份介质保存周期 保存场所等 并制定相应的恢复程序 重要数据的备份必须制 作多份 并将其中一份保存在异地 第五十七条 科技信息部运行组应建立数据清理策略 定 期清理联机数据 保持系统性能良好 根据业务要求和监管要 求 建立归档策略 定期对业务数据进行归档和保存 采用的归 档数据格式应不依赖于归档时的系统环境 第五十八条 科技信息部运行组应加强生产系统之间数据 交换的管理 对数据的导出 迁移 转换 传输 加载等操作进 行监控与记录 操作需要采取手工方式的 应制定详细的操作 步骤 记录操作过程 需由多人操作的应办理交接手续 操作采 取自动方式的 应对自动执行的过程 状态及结果进行监控和 自动记录 第五十九条 有关交易 账务 客户等高度敏感信息须采取 加密传输和保存 敏感信息的修改须采取技术措施控制 并进 行严格的管理控制 第六十条 数据需要从生产环境导出使用时 须按相关规 定进行审批与安全预处理 防止敏感信息泄密 第六十一条 科技信息部运行组应定期检查 验证备份数 据的有效性 包括备份系统数据与生产系统数据的同步性和一 致性 第十二章 系统与网络安全管理 第六十二条 科技信息部运行组应遵照监管部门有关安全 等级规范 制定系统与网络安全管理策略 第六十三条 科技信息部运行组应严格网络和系统用户口 令管理 制定明确的网络和系统用户口令管理策略和口令的申 请 审批 发放 回收 修改管理流程 要定期对网络和科技信 息系统用户口令管理的情况进行检查 积极采用先进的技术和 产品 增强身份认证 加强口令管理 保护系统安全 第六十四条 科技信息部运行组应制定严格的管理程序控 制应用系统密钥的产生 传输 启用 保管和销毁 密钥应由机 要人员等第三方人员保管 密钥操作过程应保证符合相互隔离 相互约束等控制原则 针对密钥丢失 损坏 失效等情形须建立 应急预案 一旦发生密钥事故 应立即报告区联社相关部门和 主管领导 第六十五条 科技信息部应逐步建立访问控制系统 入侵 检测系统 漏洞扫描系统和安全监控跟踪系统等安全防护系统 确保网络和科技信息系统的安全运行 第六十六条 重要网络和系统应开启系统日志 应用日志 和运行维护日志 并定期对日志进行监控 稽核和跟踪分析 第六十七条 生产网络必须严格与测试网络 开发网络进 行隔离 对生产网络的访问实施严格的权限控制 第六十八条 未经科技信息部批准 任何人不得在生产系 统上安装编译软件和其他与生产运行无关的程序 不得在生产 系统上保留任何形式的源代码 如果因系统运行需要必须在生 产系统上安装编译软件或保留源代码的 要履行审批手续并进 行备案 同时严格控制其访问和执行 第六十九条 系统软硬件及应用软件的安装 系统参数和 数据库数据等重要信息的修改或恢复 以及其他系统维护重大 操作的实施必须由运行相关岗位人员负责 必要时可由运行相 关岗位人员监督执行 第七十条 科技信息部运行组应严格管理和控制由 IT 供应 商提供的系统程序及其安装程序 防止在系统中保留后门 陷 阱等安全隐患 未经批准 任何人不得在生产系统上测试 试用 新的硬件和软件 第七十一条 科技信息部运行组要定期对执行代码和环境 参数进行检查 比对 防止执行错误的代码 第七十二条 科技信息部运行组应严格后台操作流程 有 效控制操作风险 对于批处理作业等后台操作 涉及客户账务 和资金风险的技术操作不得采取远程登录方式访问系统 同时 应遵循谨慎操作 双人复核的原则 确认无误后方可执行操作 命令 必须对处理结果进行检查 审核 并做好操作记录 第七十三条 科技信息部运行组应加强互联网 外联网接 入的管理 实时监控网络入侵 渗透 攻击等可疑行为 明确专 人定期检查 审计监控日志信息 第七十四条 科技信息部运行组应加强对 IT 供应商人员参 与网络和系统维护的监控 IT 供应商人员应在运行人员的监督 下进行操作 同时采取相关技术手段对操作进行记录和审计 第七十五条 科技信息部运行组应加强系统和网络基础设 施的运行维护和建设实施管理 一一一按照有关技术规范进行系统和网络的建设实施 IP 地址和安全策略应符合统一规划 系统硬件 软件和网络设备 的安装 配置 调试应制定详细的操作步骤 其中关键设备的安 装应有厂商技术人员现场支持 一一一严格按照实施工艺的要求施工 通信线缆 光缆应 捆扎整齐 固定牢靠 标记清晰 一一一严格进行功能和性能测试 确保达到设计要求并符 合应用系统的需要 实施完成后应及时对施工技术文档和配置 文件进行整理 归档 第一条 主机设备 网络通信设备以及外围设备在投入 正式使用前 应依据供货厂商提供的项目和相关指标 由相关 技术人员进行设备验收测试 出具验收测试报告 经批准后使 用 第二条 科技信息部运行组应制定设备的维护计划 对 维护的项目 步骤 周期 责任人等做出明确规定 并严格按照 设备维护计划定期进行设备的保养和维护 做好设备维护记录 第三条 在日常运维中 科技信息部运行组应做好设备 的日常监测 检查 记录 及时掌握设备的运行状况 设备发生 故障时应及时维修 必要时 通知供货厂商 代理商 的技术人员 到场解决 第四条 信息安全设备的使用须有国家有关部门颁发的 销售使用许可证 信息安全设备送外部维修时 应删除敏感信 息 信息安全设备一旦丢失 要立即上报并采取有效防范手段 信息安全设备报废后应经科技信息部主要负责人批准 并实施 破坏性销毁 第五条 科技信息部运行组应严格控制和详细记录防火 墙 防病毒网关 入侵检测 漏洞扫描 VPN 加密机 认证授权 等信息安全设备的操作 严格管理维护和维修过程 第六条 科技信息部负责所辖范围内的桌面系统 终端 及前端系统的技术支持和维护工作 负责系统软件和应用软件 的安装及参数配置 未经授权 任何人不得对其进行变动 第七条 办公桌面系统 终端及前端系统应逐步建立安 全管理和病毒防御体系 接入生产系统的终端 必须满足生产 系统的安全要求 禁止在终端上安装未经批准的软件 第八条 严格禁止生产系统中使用的桌面系统以及前端 系统擅自接入互联网 第九条 未经科技部门授权 不得擅自卸载防病毒软件 等安全产品以及修改安全产品的配置 不得擅自变更 IP 地址及 其他重要参数 第十三章 机房与场地环境管理 第十条 中心机房 必须符合国家 A 类机房的标准 机房 环境及场地管理应满足以下要求 一 机房要实施 7x24 小时实时监控 监控录像最短保存三 个月 并能随时调阅 机房监控系统由专人管理 二 机房须实施严格的门禁管理措施 未经授权不得进入 门禁系统的出入记录应最少保存三个月 并定期检查 三 机房内严禁携入易燃 易爆和强磁性 腐蚀性 刺激性 的物品 禁止违章作业 四 非运行人员及外单位人员进入中心机房须经审批 值 班人员核查并登记相关证件 由相关人员陪同 方可进入机房 五 严格执行机房的定期检查计划 对机房的空调 供电 监控 防水 防盗 防雷击 防鼠 防静电及门禁等相关设施进 行检查 维护 机房相应设施应有应急预案和演练计划并定期 演练 六 定期对供配电设备 不间断电源设备 发电机组等进 行检修 维护 保证提供可靠的电力供应 电力供应保持一定的 冗余 七 定期对机房空调进行检查 维护 确保机房温度 湿度 满足计算机设备稳定运行的要求 八 明确消防专管人员 定期检查消防设施的有效性 协 调消防主管部门维护和更换机房内的消防设施 九 机房值班人员要定时巡检机房的设备及环境情况 发 现问题应立即报告 十 机房内设备的安放须符合承重 散热 抗干扰等方面 的要求 任何人不得随意变动机房现有环境及设备设施 十一 机房设计和施工技术资料 机房设施操作使用手册 机房维修和维护指南 以及设备 供电 布线等配置文档 应由 专人保管 及时更新 保证资料的有效性 第十一条 机房要符合一般设备间技术要求 承载市 县骨 干网设施或与办事处公用的设备间应由科技信息部负责统一管 理维护 第十二条 设备间的设计或改造方案须经科技信息部审批 由具备一定资质的专业工程公司施工 由具备一定资质的专业 机构对整个施工过程进行技术监督 保证施工质量 设备投入 使用前 必须按照设计标准及相关的规定进行鉴定和验收 合 格后方可投入正式使用 第十四章 IT 供应商服务管理 第十三条 科技信息部应指定专人负责对运行管理中涉及 的 IT 供应商及人员的管理 第十四条 科技信息部应遵循企业制定的购买 IT 供应商服 务风险控制和安全管理策略 明确购买 IT 供应商服务许可的边 界 具体定义 IT 供应商人员的操作权限 第十五条 与 IT 供应商签订的服务合同中须明确 IT 供应 商承诺的服务水平 并约束 IT 供应商及其人员遵循相应的管理 规定 同时须签订安全与保密协议 明确 IT 供应商及其人员应 承担的保密义务和安全责任 第十六条 科技信息部应对长期或短期从事技术支持的 IT 供应商服务人员进行资质审核并登记备案 第十七条 科技信息部应建立对 IT 供应商人员的管理机制 包括长期人员的考勤 办公场所的出入 机房的出入 办公秩序 等方面 第十八条 科技信息部应建立对 IT 供应商人员的安全监 督机制 严格网络接入的审批手续 监控各项操作 监督有关文 件和数据的使用 保管 传递和销毁 及时制止越权行为 第十九条 科技信息部运行组要建立 IT 供应商服务登记簿 详细记录维护和技术支持服务内容 服务级别和服务提交方式 定期对 IT 供应商服务执行情况进行检查 确保获得约定的服务 定期对 IT 供应商的服务情况进行考评 确保 IT 供应商进一步 提高服务质