农村商业银行信息科技运行维护管理办法.docx
农村商业银行信息科技运行维护管理办法第一章 总则 第一条 为进一步规范农村商业银行信息系统运行和维护管理工作,加强运维体系建设,完善运维保障机制,防范信息系统运维风险,结合工作实际情况,制定本办法。 第二条 科技部及相关人员应严格遵守本办法有关要求,并依据本办法制定实施细则,切实建立健全运维管理流程和应急管理机制,加强监督检查,确保运维工作整体安全、稳定运行。 第二章 机房管理 第一节 出入机房管理 第三条 机房是信息系统运行的重要支撑,要切实加强机房出入管理,明确管理职责。 第四条 科技部工作人员凭相应的权限进入特定功能区。 (一)当日值班人员可以进入机房的任何区域; (二)运行维护员可以进入主机区域; (三)基础设施管理员可以进入空调、UPS和配电区域; (四)网络管理员可以进入网络区域。 第五条 外来人员和不具备机房出入权限的工作人员,原则上不允许进入机房,对需要升级、调试、维护、故障处理的工作,操作人员须填写出入机房申请表,经相关负责人批准后方可在机房监控下进行操作,并登记外来人员进出机房登记簿。 第六条 对于需要进入机房进行备件更换、基础设施维护等情况,须填写外来人员进出机房申请表,明确说明进入机房时间、区域、工作内容,经相关负责人批准后,由值班人员陪同进入机房,并登记外来人员进出机房登记簿。 第七条 任何人进入机房必须遵守以下规定: (一)不得携带与工作无关的物品; (二)严禁携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品; (三)必须换穿拖鞋或套上鞋套,机房工作人员必须着工作服; (四)不得大声喧哗; (五)未经允许不能触动任何设备; (六)不得抄录机房内的任何资料; (七)未经批准,不准拍照、录像或录音; (八)未经允许不得随意搬动、拆卸机房内任何设备,不得带走机房内任何物品。 第八条 维护、升级过程中的所有处理,原则上由机房相应维护管理人员实际操作,外单位人员配合制定方案并监督执行;确需外单位人员实际操作的,在相应维护管理人员的监督下执行。 第九条 值班人员有权制止不符合规定的人员进入机房,同时对外来人员在机房内的行为提出要求。 第十条 外来人员进入机房须由相应维护人员带领进入,同进同出,全程陪同。 第二节 机房配电管理 第十一条 机房配电设施包括高压配电室、UPS、发电机等设施,是主机、网络设备等正常运行的保障。 (一)配电室、电池间、UPS室、发电机室内严禁带入和存放任何易燃、易爆、强磁性、腐蚀性、刺激性的物品及食品; (二)不间断电源(UPS)、机房专用空调、配电柜设备表面要保持清洁无尘,不得使用煤油、酒精等易燃物品擦拭机器; (三)禁止乱拉临时电源,禁止私自修改电源设施和线路; (四)机房用电设备的负荷必须符合供配电设施设计载荷要求,增加用电设备时,要充分考虑分相供电,均匀负荷; (五)未经批准,不得接入任何用电设备。 第十二条 运维人员应当遵守用电规定,贯彻“预防为主、防消结合”的用电工作方针,履行用电安全职责,保障用电安全,明确并落实岗位用电安全责任。 第十三条 机房内市电空调配电柜、UPS配电柜、精密配电柜、应有序使用,不得随意断开或闭合配电柜开关。 第十四条 市电配电柜负责机房内照明、墙体插座、空调的用电控制,机房内应配有专用配电柜。 第十五条 运维负责人应定期对用电设备及用电安全管理办法落实情况进行检查,提出整改意见并督促落实。 第十六条 基础设施维护人员须每天巡检机房范围内用电设备使用情况以及配电柜运行情况,同时要做到自查有记录,发现问题及时维修,并收集、保管好业务资料,做好存档工作。 第十七条 机房内配电设施应保持清洁,基础设施维护人员应每周清扫一次。 第十八条 机房内配电设施的维修和检护工作应由专业电工实施,其他没有专业电工资格的人员严禁触碰配电设施,以免发生意外。 第十九条 在进行机房配电维修时,应确保设备主进电源断开,其他人员不得随意进行合闸操作,以免造成严重后果。 第二十条 如遇停电,断电等特殊情况,基础设施维护人员应配合专业电工提前或及时将配电柜切换至旁路,以保证机房内设备的正常运行。 第二十一条 机柜内PDU和机房内墙体插座不得乱插与机房内设备运行无关的用电设备和其他大功率用电设备,如有发现将严肃处理相关责任人。 第二十二条 机柜内上架设备用电应按照规划合理使用,不得跨机柜用电和随意取电。 第二十三条 对违反用电安全规定的行为,基础设施维护人员应责成有关人员当场改正并督促落实。 (一)随意乱接电源,改变线序的行为; (二)随意对设备断电、更改设备供电线路,串接、并接、搭接各种供电线路的行为; (三)用湿抹布或清洁液等清扫墙体插座、PDU、配电设施的行为; (四)在机房内使用高温、炽热、产生火花的用电设备的行为; (五)超负荷用电行为; (六)无电工资格人员进行配电维修的行为; (七)其他违反安全用电的行为。 第三节 机房消防管理 第二十四条 认真贯彻“预防为主、防消结合”的消防工作方针,履行消防安全职责,保障消防安全,明确并落实岗位消防安全责任。 (一)运维人员必须努力学习消防知识,熟练掌握消防设施的操作,消防安全管理人员负责在员工中组织开展消防知识、技能的宣传教育、培训,保证在发生火灾时能正确使用消防设备; (二)监控值班人员须了解消防监控系统和气体灭火系统的原理,掌握消防系统安全操作规程和应急预案; (三)运维人员须熟悉疏散通道及各类火灾报警信号,定期组织消防业务理论学习和灭火技能训练,以便于紧急情况发生时及时判断火情并组织人员安全撤离; (四)每半年进行一次培训,对新上岗和进入新岗位的员工应进行消防安全培训,并将组织开展宣传教育的情况做好记录; (五)每半年进行一次消防应急预案演练。 第二十五条 消防设备管理人员,应在管理范围内履行消防安全职责。 (一)制定消防安全办法,落实消防安全责任,开展消防安全宣传教育; (二)开展防火检查,消除火灾隐患; (三)制定紧急情况下的人员疏散计划、保障疏散通道、安全出口通道畅通; (四)保障消防设施、器材以及消防安全标志完好有效。 第二十六条 正常情况下任何人不得随意触碰和使用机房内消防报警按钮、气体喷洒按钮、消防报警电话等,以免造成混乱。 第二十七条 对违反消防安全规定的行为,巡查人员应责成有关人员当场改正并督促落实。 (一)携带火种或易燃、易爆物品进入办公楼层及机房的; (二)违章使用明火作业或者在机房区吸烟、使用明火的; (三)将安全出口上锁、遮挡,或者占用、堆放物品,影响疏散通道畅通的; (四)灭火器材被遮挡影响使用或者被挪作他用的; (五)消防值班人员脱岗的; (六)违章关闭消防设施、切断消防电源的; (七)其他可以当场改正的行为。 对于违反以上规定的情况,要及时登记运行工作日志,并进行纠正,如不听从劝告者或者情节严重无法当场处置的,应当报告相关负责人。 第二十八条 有火灾发生时值班人员应当果断判断火情,并依据消防应急预案采取相应的措施。 第三章 运行管理 第一节 值班管理 第二十九条 总体要求 (一)为保证机房安全稳定运行,对机房实行服务器联机运行值班制度,即每天早上在7:30分之前对系统联机日启后和全辖所有网点日结后对服务器服务终止前必须实行值班制,值班人员不得无故脱岗、离岗、空岗; (二)对服务器系统升级和机房其它设备进行升级、备份等操作时坚持双人操作; (三)值班人员要自觉遵守值班纪律,严格履行值班职责; (四)值班人员应熟练掌握机房空调、视频监控系统、智能环境监控系统等基础设备的操作要领,并熟练掌握各项应急操作规程; (五)值班期间出现的异常情况,要及时向相关负责人汇报。 第三十条 运行值班要求 (一)值班人员必须坚守值班岗位,认真完成作业计划,严格执行操作规程,及时、准确、完整地填写值班日志和各种规定的记录文档; (二)值班人员必须严格执行交接班制度,按时交接班,未经批准不得擅离工作岗位或调换班次; (三)值班人员必须严格按照分配的用户权限进行正常的系统登录、按操作规程执行例行业务操作,不得从事超越权限的其它操作; (四)设立的登录密码必须严格保密不得随意泄露或与他人通用; (五)值班人员值班期间必须精力集中,做好各系统的运行监控和操作,随时观察各种告警信息,发现异常应立即做出反应,迅速、准确地进行处理,按规定流程及时上报,不得以任何理由和借口推诿、拖延处理故障时间,严禁任意关闭告警信息; (六)值班人员值班期间严禁睡觉、上网、玩手机、玩游戏; (七)值班人员必须严格执行首问责任制,做到礼貌用语,文明服务,热情周到、耐心细致地解答提出的问题,对不能解答的问题,要及时联系相关人员给予答复或说明; (八)值班人员必须严格遵守机房安全保密办法,不得透露内部管理办法、客户信息等涉密资料,不得拷贝业务数据、配置文件等重要信息并带出机房; (九)值班人员要保持值班场所工作环境整洁,出入必须更换工作鞋或穿戴鞋套,必须穿工作服和佩戴工作牌,坐姿端正,具有良好的工作风貌; (十)值班人员要定期对值班场所进行卫生清洁,使用后的工位座椅要归位排放整齐,工作台面与监控设备、操控终端、日志资料要摆放整齐,洁净无尘; (十一)值班人员每天按照数据异地存放方案要求将重要数据备份至带库,并负责将带库磁带卸出。 第三十一条 值班纪律 (一)严格双人值班纪律,进行日终处理、批量、备份等操作时要两人同时在场操作,严禁在值班期间空岗、脱岗; (二)值班期间严禁饮酒,严禁在值班室、机房从事娱乐活动,严禁在值班室内吃东西、抽烟,并保持值班室卫生清洁; (三)值班人员要着装整洁,不得穿便装、裤衩等; (四)不得因私事长时间占用值班电话; (五)不得从事妨碍值班工作的其他一切活动。 第三十二条 值班内容 (一)做好IT资源监控系统、自助设备监控系统和基础环境运行情况的监控并记录,发现异常及时处理。 (三)负责值班室电话的接听,并作好记录和解答,不能立即解决的问题要及时协调相关人员处理,并跟踪处理过程。 (四)保持监控值班室和机房的整洁,每日交班前清理值班室卫生。 (五)日间、及下午下班前要按规定至少四次巡视机房功能区,观察消防、场地监控、监控像头、UPS电源、空调及主机网络设备的运行情况并记录系统运行工作日志,发现异常情况,根据应急操作规程及时处理; (六)接听值班电话,并做相应处理; (七)执行出入机房管理的各项规定; (八)执行各应用系统的日间操作、日终批量、数据备份。 第三十三条 交接班相关规定 (一)接班人员必须提前10分钟到岗,在接班人员办理交接前,交班人员不得离岗,交接双方人员必须全部在场方可交接; (二)交接班时双方人员必须全部在场,交接前接班人员应对各信息系统运行情况、监控室卫生情况进行检查,并与交班人员确认告警信息处理情况、批量处理情况、异常处理情况等,并填写运行值班交接登记表,监交人负责运行交接班过程的监督,并对发现问题督促整改。 (三)交接工作内容包括但不限于以下内容: 1.值班期间发生的异常情况及处理方法和结果。 2.上级指示、通知及有关单位联系事项。 3.工作日志、巡检记录、工作交接单、工具、仪表、各应用系统运行工作情况。 4.各主机系统运行工作情况。 5.值班期间发生的异常情况、处理方法和处理结果。 6.未按常规处理的事项。 7.设备、资料的变化情况。 8.值班室内各种文档、资料、钥匙各种物品。 9.其他有关事项。 第三十四条 交接后,因交班人员原因没有交接清楚造成的后果由交班人承担;因接班人员没有接清楚造成的后果由接班人负责,交接双方均未发现的问题由双方共同承担责任。 第二节 巡检管理 第三十五条 目的 及时了解设备的运转情况,做好日常运行的基础数据记录,做到有问题早发现、早解决,避免隐患,确保设备的完好率,确保设备稳定运行。 第三十六条 巡检基本要求 (一)对机房设备定期进行巡检,巡检工作包括一天四次例行巡检、节假日和重要时间期的巡检。 (二)维护人员应根据工作计划,对所维护管理的设备定期进行预防性巡视检查,在巡视中应认真负责,及时发现问题,重点注意处在环境恶劣下、存在潜在质量故障的设备,巡视检查要认真进行记录,所有的巡检应有详细的记录,包括时间、巡检情况和责任人,并应在相应的巡检簿上签字。 (三)机房每天至少巡视四次,对机房主机硬件设备、基础设施、网络设备运行中的异常情况及时记录,并作相应处理。 (四)在巡视中如发现告警应立即进入告警处理流程,判定为故障的要立即进入故障处理流程。 (五)在台风、雷雨、雪雾、洪水等自然灾害季节前,要特别进行一次全面巡检,在自然灾害发生期间,要加强巡检,并增加巡检次数。 (六)在巡检工作中,运行维护人员应认真负责反映运行情况,严禁提供虚假信息和数据。 第四章 维护管理 第一节 数据管理 第三十七条 信息系统数据必须进行有效备份,备份时机、频率、形式和内容应根据用途和敏感度不同而采取相应备份策略。NGCBS前端、事后监督、网络等信息系统重要数据要保存至少两份备份存储介质。第三十八条 信息系统的数据维护包括操作系统、数据库系统、中间件系统、应用系统和网络系统的版本升级、补丁升级、参数调整等操作。 第三十九条 信息系统数据在维护过程中,如果发现数据异常需要进行特殊处理,应在第一时间报告有关负责人,启动应急处理流程,防范操作风险。 第四十条 信息系统数据均属于涉密信息,未经相关负责人审批,任何人不得以任何形式公开、外泄或转移。 第四十一条 信息系统数据在内部传输过程中,必须使用内部网络,并根据相关规定对信息系统数据进行加密处理。 第四十二条 管理部门使用信息系统数据时,需填写山东省农村信用社信息系统数据使用申请表,经相关负责人审批后,应严格按照数据的保密规定进行操作,并将操作情况一并记录在山东省农村信用社信息系统数据使用申请表。 第四十三条数据的备份介质,必须存放在专用的介质柜内,存放地点要做到防霉、防潮、防水、防火、防盗、防磁。第二节 备份策略 第四十四条 信息系统数据必须进行有效的备份,备份的时机、频率、形式和内容应根据用途和敏感度的不同而采取相应的备份策略。机房运行的各种系统软件、应用软件及业务数据必须进行备份,分中心机房备份主要指系统备份。 第四十五条 操作系统数据备份策略: (一)生产主机操作系统安装、调试完毕,必须对操作系统及已安装软件进行初始状态备份; (二)操作系统版本升级或补丁升级前,对操作系统进行系统全备份,并保留双份; (三)应用软件版本升级前,对软件版本进行全备份; (四)操作系统、应用系统和数据库等系统参数调整前,对相关配置文件、配置库进行备份; (五)硬件设备更换和升级前,对操作系统、应用软件及配置文件进行全备份; (六)双机热备系统应急演练前,对操作系统、应用系统及相关配置文件进行全备份; (七)系统迁移前,对相关的操作系统、应用系统及相关配置文件进行全备份,并保留双份; (八)年终决算前,对相关操作系统、应用系统及相关配置文件进行全备份,并保留双份; (九)每周至少对系统数据进行一次备份。 第四十六条 业务数据备份策略 (一)数据库版本升级或补丁升级前,对数据库进行脱机全备份,并保留双份; (二)数据库数据清理前,对需要清理的数据库表进行数据备份; (三)数据库数据维护前,对需要修改的数据库表或数据记录进行数据备份; (四)双机热备系统应急演练前,对数据库进行全备份; (五)系统迁移前,必须对相关的数据库进行脱机全备份,并保留双份; (六)年终决算前,对相关的数据库进行脱机全备份,并保留双份; (七)硬件设备更换和升级前,对数据库进行全备份。 第四十七条 业务数据备份应根据经营管理需要,定期进行数据库全备份,原则上每周进行一次。 第四十八条 信息系统数据备份必须保证为有效备份且具备可复原性。备份过程中,应不断检查备份文件中是否存在备份失败的记录,如发现有备份任务失败的记录,需检查故障原因,并及时排除。 第三节 用户账号管理 第四十九条 各系统帐号管理员应建立用户,管理用户帐号和分配权限。 第五十条 管理的用户应包括: 1系统用户:指系统管理员、网络管理员、数据库管理员和系统运行操作员等特权用户。 2普通用户:指各种业务应用系统的用户。 3临时用户:指系统维护测试和第三方人员使用的用户。 第五十一条 帐号权限要求 (一)系统用户 1.最小授权要求:应以满足其工作需要的最小权限为原则。 2.责任到人要求:对信息系统的系统用户要进行人员审查,符合要求的人员才能给予授权;系统用户应区分责任到个人。 3.监督性保护要求:在关键信息系统中,对系统用户的授权操作必须有两人在场,经双重认可后方可操作;操作过程应自动产生不可更改的审计日志。 (二)普通用户 各系统帐号管理员应在为普通用户开通帐号权限时,对其提出以下要求: 1.普通用户的基本要求:应保护好自己的口令等身份鉴别信息,不得透露非公开信息,不得进行违规操作,发现系统漏洞、信息资产滥用或违背安全准则的行为应及时报告。 2.处理敏感信息的要求:不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息。 3.重要业务应用的要求:应在系统规定的权限内进行操作,重要操作应得到科技中心主任的批准;用户应保管好自己的身份鉴别信息载体,不得转借他人。 (三)临时用户 1.临时用户的设置与删除:临时用户的设置和期限必须经过科技部分管行长审批,使用完毕或到期应及时删除,设置与删除均应记录备案, 删除前进行检查,确保可以被删除。 2.临时用户的限制:不允许在关键系统设置临时用户。 第五十二条 密码分类及管理 (一)根据安全管理需要,将密码分为四类:一类密码包括主机操作系统超级用户密码,核心网络设备和关键安全设备特权模式密码,数据库密码等;二类密码是指各业务系统用户密码;三类密码是指管理系统的管理用户密码;四类密码包括开发、测试系统使用的密码。 (二)一类密码由相关系统管理人员分段管理,二类密码由运行操作人员分段管理,三、四类密码由相关系统维护人员或使用人员分段掌握。 第五十三条 密码复杂度要求 (一)密码长度至少为8位(无法设置8位以上长度密码的系统,应设置允许的最大长度密码)。 (二)一类密码至少每90天更新一次,且不应该与前5次相同;二类密码至少每30天更新一次,且不应该与前5次相同;三、四类密码应定期更换;密码更新记录应登记到密码等级簿。 (三)密码应使用同时包含大小写字母、数字、符号中的三种类型的字符组合(部分老旧设备或系统无法设置多类型混合字符的密码,但应设置允许的最复杂结构的密码)。 (四)密码不得使用生日、电话号码等易于猜测或规律性强的字符串。 第五十四条 密码存放 应用系统密码保存至密码信封中,由密码和钥匙保管人员放入保险柜加锁保管。 第四节 密码设备及密钥管理 第五十五条 术语定义 (一)密钥 包括密码设备和涉密软件输入、存储、备份、输出的以纸质、电子文件、IC卡、移动存储等方式保存的各种明文和密文。 (二)密码设备 包括加密机、数据密码机等,用于对信息系统中的密码、数据等进行加密,实现对网络传输信息的保护或鉴别,以保证数据信息的正确性,防止对通信数据的非法窃取或篡改。 (三)加解密软件模块 具备加解密功能的应用系统组件或程序模块,相关信息泄露后可能对系统带来安全隐患。 第五十六条 密钥存放 (一)所有密钥统一保管在专用保险柜内并登记,钥匙、密码双人分持;对密钥领取必须经过严格审批,存放密钥的保险柜应具备防磁、防火功能,并被实时视频监控。 (二)若密钥存储介质损坏导致密钥备份不可用,应及时新购密码介质,购买后对密钥重新进行备份。及时销毁损坏的密钥备份介质,并做好记录。 第五节 生产变更管理第五十七条网络设备的配置、通讯参数的设置、变更以及网络线路变动,应填写县级联社信息系统生产变更申请表经分管领导批准后方可实施,并在运行工作日志中做好记录。第五十八条生产变更流程 (一)生产变更前制定生产变更应急预案,对数据进行备份。需要对系统进行配置、数据等内容进行修改,经科技部经理和分管行长同意后方可根据办事处下发升级步骤进行生产变更。 (二)变更完成后,需要将相关文档入档保存。以备查阅。 第六节 介质管理第五十九条 运维介质管理的范围包括:业务数据、系统配置信息、系统日志、技术资料、业务报表等所有信息文件的保管、传输、报废等。 第六十条介质管理由综合岗负责,档案的保管实行专人专柜,存放的地点应注意防霉、防潮、防水、防火、防盗,以保证档案的保管期限。 第六十一条 需要归档的资料,填写资料归档保管登记簿,注明资料详细情况,一并提交档案管理员保管。介质管理员对提交的资料进行分类、编号,按要求妥善保管。 第六十二条 介质的调阅、复制等必须填写档案使用审批表,经科技部经理签字批准后,方可按要求使用。 第六十三条 信息文件的传输应采取必要的安全措施,如网络隔离、数据加密、脱敏等。 第六十四条 应定期组织档案资料可靠性检查,对电子文档要安排专业人员进行恢复测试。 第六十五条 对所借的介质妥善保管,不得私自拆毁、涂改和对外传播。在借阅期间发生的丢失、损坏、泄密等问题,一律由借阅人负责。 第六十六条 档案室要配备好防火、防盗、防潮、防虫、防尘等设施,档案室内严禁吸烟和存放易燃易爆等其他无关物品。档案室档案柜排列要整齐合理,要经常打扫和擦拭,保持室内清洁卫生。 第五章 附则第六十七条 本管理办法由山东农村商业银行科技部负责制定,解释、修改亦同。 第六十八条 本管理办法自发布之日起生效。 - 19 -