信息管理制度.doc

计算机管理制度计算机管理制度 计算机管理制度 第 1 页 目录目录 第一章第一章 总则总则 3 3 第二章第二章 项目管理项目管理 3 3 第一节 项目需求提出 4 第二节 项目立项 4 第三节 项目采购 5 第四节 项目实施 5 第五节 项目跟踪维护及版本升级 6 第六节 项目文档管理 6 第三章第三章 环境管理环境管理 7 7 第一节 机房工程管理 7 第二节 机房环境管理 7 第三节 网络环境管理 9 第四节 运行环境管理 9 第五节 办公环境管理 10 第四章第四章 生产管理生产管理 1010 第一节 系统运行管理 10 第二节 设备故障管理 11 第五章第五章 网络管理网络管理 1212 第六章第六章 安全管理安全管理 1313 第一节 用户管理 13 第二节 安全 报告 保密管理 14 第三节 存贮介质管理 15 第四节 防病毒 防入侵管理 15 第七章第七章 综合管理综合管理 1616 第一节 规划管理 16 第二节 设备管理 16 第三节 软件管理 17 第四节 公文管理 18 第八章第八章 采购及合同管理采购及合同管理 1818 计算机管理制度 第 2 页 第一节 选型 18 第二节 商务谈判 19 第三节 合同签订 19 第四节合同执行 20 第五节文档管理 20 第九章第九章 附则附则 2020 计算机管理制度 第 3 页 第一章第一章 总则总则 第一条 为加强计算机系统管理 保证计算机系统安全 确保各项业 务的顺利开展 做好计算机安全和风险防范工作 依据 中华人民共和国 计算机信息系统安全保护条例 公安部 人民银行 金融机构计算机系 统安全保护工作暂行规定 中国人民银行 国家金融信息系统安全总体 细要 银监会 商业银行内部控制评价试行办法 商业银行内部控制 指引 等有关法律 法规 特制定本制度 第二条 计算机管理实行谁主管谁负责 预防为主 分级管理 人员 防范与技术防范相结合的原则 逐级建立风险防范责任制 实行科学化 规范化管理 第三条 任何个人不得利用计算机从事危害国家利益和集体利益的活 动 不得危害计算机信息系统的安全 第四条 信息技术部组织架构及岗位按人事管理规定设置 应严格落实 人员岗位职责 第五条 全行各级机构及人员对计算机及其应用系统的开发 使用 管理等各项工作 均应遵守本制度 第二章第二章 项目管理项目管理 信息技术项目管理涉及到我行信息技术项目的软硬件开发 采购等工 作 以及在实施过程中的计划 组织 协调与管理 计算机管理制度 第 4 页 第一节第一节 项目需求提出项目需求提出 第六条 项目需求报告由总行业务部门以书面形式提出 并经总行业 务部门的主管行领导批准 第七条 为了保证全行信息技术项目的规范和统一 分行如有项目需 求 应在对项目进行广泛调研和分析的基础上 以书面形式向总行相关业 务部门提出 总行业务部门根据全行实际情况 统筹规划 正式提出项目 需求报告 第九条 在重特大项目的前期工作中 稽核部门负责审查在关键环节 中对潜在风险所采取的控制防范措施 第十条 为保证项目的开发质量 提高工作效率 业务需求书应详细 描述业务功能 处理流程 风险控制措施 稽核部门审定同意的审计接口 风险控制措施等内容 项目需求一经提出 应保持相对稳定 第二节第二节 项目立项项目立项 第十一条 在风险可控的前提下 对不同类别的项目立项 实行不同 的审批和实施权限管理 以简化项目流程 提高工作效率 第十二条 总行信息技术委员会负责重特大项目立项申请的审核或审 批 对特大项目立项 应报请行长办公会审定 第十三条 项目经相关审批部门批准通过后 总行信息技术部 业务 部门根据项目情况和人员安排 共同组成项目组 任命项目经理 准备项 目的实施 计算机管理制度 第 5 页 第三节第三节 项目采购项目采购 第十四条 已立项项目涉及的软硬件及相关服务采购 由总行信息技 术部组织或牵头组织办理 采购金额达到 大宗采购管理规定 的 按 照该规定执行 第十五条 采购过程中凡涉及对外合同签订的 项目合同必须经法律 保全部审核后 方可提交审批并对外签署 第四节第四节 项目实施项目实施 第十六条 项目组根据业务需求书 进行需求分析和总体设计 制定 详细工作计划和进行详细设计 并在此基础上完成项目开发和测试工作 第十七条 在重特大项目的开发过程中 稽核审计部门可根据需要派 员参与项目讨论 对风控环节提出建议或要求 在项目进入测试验收环节 后 稽核部门应重点关注各类数据接口的可用性以及关键环节风险控制措 施的适当性 第十八条 在项目开发过程中 项目组应关注系统安全机制的设置和 处理 坚守 一切重要操作均应留有痕迹 证据 明确责任人 的安全原 则 计算机软件的开发和相关设置 必须根据稽核审计部门审定的要求 留有标准的稽核审计数据接口 或提供可定制的柔性数据接口 以便稽核 部门获取稽核审计需要的业务原始数据 各类管理数据和各种日志数据 第十九条 项目小组中技术人员主要负责项目的开发 技术测试 安 全控制和技术培训等工作 业务人员主要负责项目需求说明制定 业务测 试 业务培训 业务规章制度编写 试点及投产上线等工作 计算机管理制度 第 6 页 第二十条 总行业务部门负责组织业务培训 信息技术部负责组织技 术培训 培训完毕后由业务部门和信息技术部共同组织项目的全面推广 第五节第五节 项目跟踪维护及版本升级项目跟踪维护及版本升级 第二十一条 项目投产上线后 业务部门和总行信息技术部应对项目 上线后的运行情况进行跟踪调查 对跟踪中发现的系统缺陷 应及时分析 原因 明确解决方案 第二十二条 总行信息技术部负责已上线项目的日常维护或维护购买 对发现的系统缺陷应及时修改完善或敦促厂商修改完善并及时进行版本升 级 第六节第六节 项目文档管理项目文档管理 第二十三条 在项目开发的各个阶段 有关人员应根据项目需要 提 供项目所需的各种文档 文档包括文本文件或电子文件 第二十四条 项目组在项目开发期间应及时做好文档的整理 保管及 保密工作 项目结束后 应将项目文档移交有关部门归档 第三章第三章 环境管理环境管理 环境包括机房环境 网络环境 生产运行环境 办公环境等 本制度所称计算机机房 是指容纳并集中运行银行计算机业务处理 信息管理或网络通讯系统等的专用物理场所 以下简称机房 机房的安全管理遵循预防为主 人防 物防和技防 相结合的原则 机房使用单位为机房安全管理的主管部门 负责对机房进行安全管理 计算机管理制度 第 7 页 第一节第一节 机房工程管理机房工程管理 第二十五条 机房建设应根据国家有关规定和标准的要求 依照 实 用可靠 有效适度 经济节省和技术先进 的原则 规划并实施机房安全 技术防范工程 第二十六条 机房应具备抗震 防火 防雷 防水 防静电 供电保 护 接地保护 门禁保护 监控录像 温度控制 湿度控制等设施或系统 第二十七条 技术防范工程设计 施工单位应具有国家有关部门审查 合格的资质 设计 建设应按照公开招 投标方法进行 第二十八条 对需要报批的技术防范工程设计方案 应按照有关规定 报主管部门审查 批准 工程图纸应妥善保存 第二节第二节 机房环境机房环境管理管理 第二十九条 数据中心硬件系统环境的功能 性能和容量要满足银行 业务处理的需求 主要处理器 通道 存储系统及关键外设应采用具有冗 余技术的设备 第三十条 机房实行 24 小时录像监控管理 对机房出入口 主机要害 区域 操作区域等重要场所实行录像监控 录像资料保留时间按人民银行 规定执行 第三十一条 机房值班人员进出机房应通过门禁系统进行授权控制 非机房值班人员和外来人员出入机房必须按有关规定办理审批登记手续 并在值班人员的陪同下方可出入 计算机管理制度 第 8 页 第三十二条 机房内必须保持肃静 整洁 卫生 严禁携带与工作无关 的物品 严禁吸烟 玩游戏 不准从事与工作无关的活动 第三十三条 机房设备 电源 线路应有专人负责 必须严格按照操 作规程操作 他人不能随意操作 未经批准不得随意改换和移动电源 插 座 布线等 非计算机设备的用电不得使用计算机专用电源 有特殊要求 的 经批准后方可使用 第三十四条 要有专人负责消防工作 定期检查消防设施 对运行人 员加强消防培训和教育 第三十五条 制定机房突发事件的应急处置方案 在出现突发事件时 按相关规定处理 第三十六条 机房发生计算机犯罪案件 应由机房使用单位报告保卫 部门 保卫部门按照金融案件报告制度的有关规定 向公安机关和中国人 民银行报告 机房使用单位应积极配合 协助公安机关侦察计算机案件 保护案发现场 如实提供情况 第三节第三节 网络环境管理网络环境管理 第三十七条 网络及安全设备存放于专用区域 关键的网络设备应放 在网络间或机柜内 重要设备放置环境应按照机房管理规定执行 第三十八条 所有网络设备需经审批后方可调整 调整后要及时更新文 档资料 非网管人员不得擅自操作和移动 第三十九条 数据中心网络系统的功能 性能和容量要满足银行业务 处理的需求 核心网络设备应有冗余备份 计算机管理制度 第 9 页 第四十条 重要网络设备的电源必须由 UPS 供电 第四十一条 通讯线路在条件许可情况下应有必要的备份 并定期检 测 保证线路畅通 第四十二条 通讯线路及入网端口应有明确的书面记录 网络线缆接 头应严格遵循国家或行业的标准规范 线缆的连接 搬运应按操作规范进 行 第四节第四节 运行环境管理运行环境管理 第四十三条 总行应严格区分生产环境 开发环境 测试环境及办公 环境 分行应严格区分生产环境和办公环境 严格管理访问生产系统的用 户终端 第四十四条 生产主机只允许生产运行人员操作 规范访问生产系统 的权限 用户权限的设置应遵循最小权限的原则 第四十五条 生产主机只能保留目标代码 不允许保留源程序 第四十六条 关键生产主机建立双机备份机制 出现故障时备份环境 应能及时切换 第五节第五节 办公环境管理办公环境管理 第四十七条 办公环境管理应遵循 关于总行文明办公暂行规定 和 总行办公区安全管理规定 以及各分行有关办公环境管理的相关 规定 第四十八条 非本行人员及无进入权限人员需进入信息技术部办公区 计算机管理制度 第 10 页 域时 应办理相关手续后方可出入 第四十九条 为了规范管理 总行日常办公设备采用终端方式 通过 用户及权限的设置进行安全管理 严格管理终端服务器 前端应用开发工 具必须安装在终端服务器上 第四章第四章 生产管理生产管理 保证数据中心生产工作的顺利 高效运行 加强运行协调管理 作业 调度管理 运行制度管理 运行操作管理 健全生产运行系统的管理规范 完善操作 监控 维护 问题 变更 应急 资源 数据 档案 安全管 理流程 第一节第一节 系统运行管理系统运行管理 负责运行中心的生产系统 保证系统的正常运行 做好系统软件 系 统维护 数据库系统维护和存储管理 第五十条 生产系统的任何变动均应经过相关审批 对生产系统的任 何操作应留有记录 第五十一条 严格落实岗位职责 明确人员岗位分工 生产岗位设置必 须相互制约 不得从事超越自己职责范围以外的任何操作 第五十二条 业务数据的变更 必须办理信息技术部门和业务部门的 审批手续 经批准后 由有关人员双人操作 严禁单人操作 第五十三条 生产账务主机每日做数据备份 日常备份数据至少保留 一个星期 月终 年终以及关键日期备份数据要永久保存 计算机管理制度 第 11 页 第五十四条 运行人员要严格遵守值班纪律 不得随意离岗 调岗 遇特殊情况 相关人员应立即到现场解决问题 不得隔夜处理 第五十五条 运行人员必须定时巡视机房 检查系统和设备运行状况 按规定记录系统运行情况及设备状态 第五十六条 信息数据中心实行 24 小时运行值班制度 值班电话必须 保持 24 小时畅通 拨出 拨入电话应有详细记录 严格履行交接班手续 第五十七条 系统运行中发现故障时 应及时向相关负责人报告 并在 工作日志中详细记录异常现象 处理过程及结果 第五十八条 分行发现重大异常或故障时 必须及时上报总行信息技 术部运行值班室 第二节第二节 设备故障管理设备故障管理 第五十九条 设备出现故障 操作人员应立即记录故障代码或故障现 象并报告系统管理员 经系统管理员检查确认后 应及时报告相关负责人 并联系维护支持厂商 分行在出现故障的同时 还应及时向总行信息技术 部运行值班室报告 第六十条 系统管理员应积极配合厂商工程师进行远程解决 解决不 了时应要求厂商按合同规定的时间内派人赴现场解决 第六十一条 厂商维护人员到达事故现场后 应及时向总行信息技术 部运行值班室报告到达地点 到达人员 到达时间以及接待人员姓名 由 总行值班人员记录 计算机管理制度 第 12 页 第六十二条 故障处理完毕后 应向总行信息技术部运行值班室报告 事故原因 处理结果 处理时间 并由总行值班人员记录 同时填写有关 维修单交有关人员签字确认 第六十三条 分行须在故障处理完后第二个工作日内向总行提交书面 报告 记述事故发生时间 原因 处理过程等事项 第五章第五章 网络管理网络管理 保障银行通讯系统和计算机网络系统的正常运行 做好通讯系统维护 通信线路维护 计算机网络系统维护 第六十四条 全行网络规划由总行统一制定 分行应严格执行 第六十五条 骨干网络实现设备和线路双备份 应能实现线路中断时的 自动切换 要从网络结构及网络连接等方面确保系统安全 稳定地运行 第六十六条 外联系统必须配置防火墙 防火墙的安全设置以最小化连 接为原则 第六十七条 实时监控网络状态 发现问题要及时上报 解决 并做好 记录 第六十八条 做好保密工作 严禁向外界透露网络结构 IP 地址及入口 等网络配置 第六十九条 详细记录网络环境的配置 使用情况 所有网络设备的配 置应归档管理 第七十条 互联网应与银行内部网络物理隔离 对在互联网上进行的正 常业务必须严格采取安全控制措施 计算机管理制度 第 13 页 第七十一条 用户在互联网上的所有活动必须严格遵守国家的法律法规 和 的规章制度 不得从事违法犯罪和违反银行规定的任何活动 第六章第六章 安全管理安全管理 负责实施计算机系统 网络以及生产等方面的安全工作 以及组织 协助并督促 检查下辖机构安全工作 加强制度实施管理 运行环境管理 应用系统安全管理 系统安全控制管理 网络检测 防病毒安全管理 实 体安全管理 数据及档案的安全管理和操作规范管理 第一节第一节 用户管理用户管理 第七十二条 所有计算机系统用户的建立和使用权限必须经过严格审 批 第七十三条 高权限用户的密码必须实行双人分段保管 密码定期进 行更换 高权限用户的密码应有书面备份 在密封后由专人统一存入保险 箱保管 第七十四条 严格区分系统管理人员 运行值班人员与应用开发人员 非生产运行人员严禁进入生产机或生产系统操作 第七十五条 新建用户在首次登录时必须修改密码 密码长度一般应 不少于 6 位 用户密码严禁告知他人 出现问题由本人负责 第七十六条 人员调离或岗位发生变化时 必须在办理审批手续后变 更或注销用户 计算机管理制度 第 14 页 第二节第二节 安全 报告 保密管理安全 报告 保密管理 第七十七条 应严格遵守本行的保密规定 不得以任何理由 任何方 式向他人透露行内和客户的保密信息 第七十八条 信息技术部应配备计算机安全管理人员 负责检查 落 实计算机安全管理工作 第七十九条 严格落实本制度中所规定的信息安全报告责任 计算机 工作人员均应承担与其工作性质相应的安全责任 第八十条 严格管理生产环境 运营中心账务主机应关闭 ODBC SQL JDBC 等非必需的访问数据库应用工具 正常情况下数据库操 作需通过交易或应用程序访问的方式进行 第八十一条 严格管理应用系统软件 实行版本控制和备份等措施 严禁在生产系统中运行任何未经检验和测试的软件 第八十二条 对存有重要数据的故障设备在交外单位人员维修前 需 办理审批手续 在删除有关信息后或在行内人员监督下进行设备维修 第八十三条 严格管理安全加密设备 分别设置系统管理员和密钥管 理员负责管理工作 操作需履行审批手续 并遵循分人分段 双重控制原 则 要详细记录操作过程 严格实施密码 密钥介质等机密组件的保密措 施 第八十四条 开发设计时需充分考虑系统安全 采取技术安全措施 敏感信息需加密处理 与外单位连接时需加装安全设备 第八十五条 建立主要计算机设备及主要网络通信设备应急备份机制 保持关键设备的冗余 确保业务安全 稳定运行 计算机管理制度 第 15 页 第八十六条 制定计算机安全应急方案 并定期进行修订和演练 每 年演练不少于一次 第三节第三节 存贮介质管理存贮介质管理 第八十七条 计算机系统中的业务数据 系统配置信息和其他资料应 定期及时备份 存贮介质由专人 建档管理 第八十八条 存有重要信息的存贮介质需要异地保管 管理人员必须 按时安全送达保管地点 第八十九条 除异地存放的备份介质外 其它存有银行保密数据的任 何存贮介质未经批准不许擅自带出 第九十条 经批准报废的存贮介质应在保卫人员的监督下 采用物理 破坏盘片的形式予以销毁 第四节第四节 防病毒 防入侵管理防病毒 防入侵管理 第九十一条 银行内部使用的微机必须安装杀毒软件 并保证及时更 新病毒库 第九十二条 部门收到外来存贮介质 无论是下发或购入的软件在安 装运行前 必须进行病毒检测后才能使用 第九十三条 严禁在计算机上安装 使用游戏软件或从互联网上下载 游戏 未经批准 不得在计算机上随意安装软件 第九十四条 通过认证 加密 内容过滤 入侵监测等技术手段加强 计算机安全管理 及时掌握网络安全运行状况 提高通信网络可用性 提 计算机管理制度 第 16 页 高网络抗攻击能力 对发现的网络安全事件要及时分析 处理 并报告 第九十五条 网络安全产品的使用和安全规则定义需根据网络的变化 及时进行调整 并应及时更新安全事件库 软件补丁等 第七章第七章 综合管理综合管理 第一节第一节 规划管理规划管理 第九十六条 总行信息技术部根据银行发展战略和业务发展规划 制 定 IT 发展规划 确定技术长期发展目标 第九十七条 根据 IT 发展规划和当前的业务发展需要 制定年度工作 计划 第二节第二节 设备管理设备管理 第九十八条 计算机设备管理按照我行有关固定资产管理办法执行 计算机设备实行编号管理 固定资产编号由会计部门统一发放 设立设备 登记簿 记载设备管理的有关情况 第九十九条 计算机主要设备实行统一规划 选型 购置 调配和维 护的原则 第一百条 计算机设备购置需由使用单位提出申请 说明购置用途和 原因 经信息技术部和有关部门审查后 报行领导审批 批准后由信息技 术部统一购置 如因工作需要 为利于资源的充分利用 信息技术部有权 进行统一合理调配 计算机管理制度 第 17 页 第一百零一条 设备的维护实行分级负责制 日常管理由使用设备的 责任人负责 责任人负责设备的清洁保养 保证设备处于良好状态 计算机 设备出现故障 由信息技术部门负责安排维修事宜 凡已签订维护合同的 设备出现故障 由合同厂商负责维修 未签订维护合同的设备出现故障 由信息技术部安排专人负责检修或向厂商购买单次服务 第三节第三节 软件管理软件管理 第一百零二条 所有计算机软件由专人实行分类管理 系统级软件包 括操作系统 数据库 各种开发工具等 应用级软件包括我行自行开发 与公司合作开发或引进的的各类软件 第一百零三条 建立软件保管登记制 本行自行购买 开发的系统软 件和应用软件 一律先登记注册 经专人检测后归档 第一百零四条 软件和资料领用 调阅必须办理申请手续 经审核批 准后登记领用 领用 调阅人必须妥善保管软件 资料 用毕及时归还 未经批准不得擅自外带 转借和复制 第一百零五条 新开发或引进的应用软件必须进行必要的测试 证明 系统达到功能要求 并经业务部门认可 大型应用软件需报请行领导批准 后方可投入使用 未经批准 任何部门和个人无权自行安装任何应用软件 第一百零六条 销毁应用软件和业务数据时 应办理审批手续 由管 理人员集中注销登记 纸制品可交行政部门统一销毁 存贮介质应在保卫 人员的监督下 采用物理破坏的形式销毁 计算机管理制度 第 18 页 第四节第四节 公文管理公文管理 第一百零七条 公文由专人负责收发 分办 传递 用印 列卷 归 档和销毁 第一百零八条 公文处理应严格遵守国家保密法律 法规和其他有关 规定 严格执行 公文管理办法 第一百零九条 文档资料应由专人保管 个人不得保存应当归档的公 文 第八章第八章 采购及合同管理采购及合同管理 采购是指信息技术部组织实施的 以购买 租赁 委托 雇佣等方式 获取各类生产经营管理用信息技术物品 工程或服务的行为 大宗物品 工程和服务的采购行为必须遵守 大宗采购管理规定 第一节第一节 选型选型 第一百十条 主机设备 网络设备 自助设备和 PC 等设备采购 原则 上应先选型 后采购 第一百十一条 不同设备的选型一般应每年进行一次 选型日期由信 息技术部根据实际情况报请主管科技行领导审