公司信息系统运维管理办法模版.docx

《公司信息系统运维管理办法模版.docx》由会员分享，可在线阅读，更多相关《公司信息系统运维管理办法模版.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、证券股份有限公司信息系统运维管理办法第一章 总则第一条 为保障公司信息系统安全、稳定、高效运行，规范信息系统运维管理，根据中国证券监督管理委员会证券期货业信息系统运维管理规范、证券期货业网络与信息安全事件调查处理办法，中国证券业协会技术指引、行业规范、标准及重要信息系统等级保护工作的要求，制定本管理办法。第二条 本管理办法适用于公司各部门、分公司、营业部及子公司所有信息系统的日常运维管理。子公司另有规定的，从其规定。第三条 公司信息系统运维工作由信息技术部统一归口管理。第四条 运维管理基本原则：(一)最小权限：运维管理和操作人员应只具有履行其职责所需的最小访问权限；(二)职责分离：一个用户不能

2、同时具有多个存在权责冲突的角色；运维中的请求方、授权方、管理方应实现职责分离。(三)生产和开发测试物理隔离：生产系统与开发测试系统环境物理隔离， 避免相互影响；生产、开发与业务测试人员相互分离，避免职责冲突。第五条 信息技术部负责建立运维管理流程与标准，明确运维操作责任人、处理方法和步骤等关键要素，并及时更新。第二章 操作与监控管理第六条 运维操作要求：(一)运维操作以合规、安全、正确完成操作任务为目标； (二)制定运维操作预案并按计划进行；(三)合理安排操作人员，分工明确，权责清晰，重要操作应双人复核； (四)跟踪检查操作结果并确认符合预期；(五)操作过程应记录操作日志；(六)定期培训和考核

3、操作人员，使其具备运维、管理系统的能力。第七条 运维监控要求：(一)运行监控对象包括机房环境、网络系统、硬件系统、应用系统； (二)运行监控内容包括运行状态、容量、性能；(三)运行监控遵循可行性、有效性、可靠性、开放性原则；(四)对各系统建立完善而有效的监控手段和监控策略，及时发现运行异常；(五)发现异常时记录异常现象并立即报告。第八条 建立值班计划，安排值班人员。重要系统应采用自动化工具和人工值守相结合的方式，实现 724 小时监控。第三章 网络管理第九条 网络安全域划分与隔离：(一)公司网络按照安全级别和功能划分安全域，不同安全域采用适当的安全防护措施；(二)不同的安全域间实施相应的隔离措

4、施；(三)办公、开发、测试网络必须与生产网络物理隔离；(四)逻辑隔离的安全域间实施缺省拒绝的访问控制策略，只允许指定的网络访问。第十条 网络架构安全：(一)核心网络设备应当配备足够的处理性能及相应的冗余能力，保证关键网络设备的可用性；(二)关键网络链路配备足够的带宽及相应的冗余能力，保证关键网络链路的可用性；(三)对重要网络区域部署相应安全设备或实施其它技术手段，以满足安全监控、隔离和操作行为的审计要求。第十一条网络行为管理：(一)使用公司网络资源时，应严格遵守公司管理制度，禁止私自变更计算机的相关网络设置；(二)未经允许不得以任何方式向外部机构或人员提供内部网络结构、配置等重要信息；(三)未

5、经许可，禁止将未授权设备接入公司网络；(四)禁止利用公司提供的网络资源从事任何违反国家法律法规、损害国家利益和他人合法权益的活动；(五)禁止恶意使用和浪费公司网络资源，包括但不限于下载与工作无关的大容量文件、浏览与工作无关的视频网站等操作；(六)严禁对公司进行网络扫描、探测或嗅探的行为。第十二条移动办公和第三方网络接入：(一)公司内部网与互联网连接采取隔离保护措施，原则上只允许从内向外的指定网络访问；(二)对员工移动办公接入内部网络实行统一管理、按需审批的原则；(三)因业务需要，内部网络需与第三方网络进行连接的，必须采取安全技术隔离防护措施。第四章 系统交付管理第十三条系统交付是指建成的信息系

6、统投产上线并交付运行维护的活动。第十四条信息技术部制定系统交付的控制方法和交付规范，编制交付清单。第十五条系统交付应从交付准备、人员培训、交付验收、交付盘点、交付运维五个环节进行控制。第十六条系统交付应审批留痕，交付清单盘点结果应记录并归档留存。第十七条交付准备期应完成交付系统的基线版本的确定，并在开发测试环境中，以基线版本为基础进行并通过功能、性能、容量、安全和稳定性测试验证， 制定故障恢复方案并演练有效。交付双方约定后续维护服务内容和开展方式，编写上线实施方案并提交审批。第十八条人员培训是指在系统交付阶段对相关业务人员、业务管理人员、系统管理人员进行的系统使用培训。培训应提供对应的系统操作

7、和管理手册，必要时可采用现场集中或视频培训等方式。第十九条交付验收包括在生产环境中进行的部署实施、测试验证和安全评估工作。部署实施应按计划进行，完成对系统初始数据、角色权限、预设参数等内容的设置。测试验证由技术人员对系统在生产环境投产前进行通关验证测试，各使用部门对系统功能进行验收并出具验收报告。安全评估应在前期安全设计、安全评估和生产环境检查的基础上进行并出具安全评估报告。第二十条交付盘点是由交付双方根据交付清单对系统的各项交付内容进 行盘点，包括但不限于固定资产、软件资产、合同协议、建设文档等，对交付结果进行书面总结并签署确认，交付资产和交付总结归档保存。第二十一条 交付运维是指运维管理人

8、员完成对交付系统的验收，使交付系统正式投产并进入运行维护期。应建立系统运维文档，包括但不限于系统运维指引、开关机作业流程、系统监控说明、系统应急预案和关联系统关系说明等。第五章 系统测试与上线管理第二十二条 信息技术部负责信息系统技术上线工作，建立信息系统技术上线审核标准和实施流程。第二十三条业务需求部门需上线启用业务模块或信息系统的，应提前 5个工作日以 OA 公文致函信息技术部。第二十四条试、通关测试。信息系统上线前必须通过业务功能测试、性能测试、安全测第二十五条 业务功能测试由需求提出部门或业务管理部门负责，业务功能测试完成后须提交测试报告，测试报告由测试人员编制并签字确认，部门负责人审

9、核。第二十六条 性能测试和通关测试由信息技术部组织，业务管理部门及使用部门参加。测试完成后各参与测试的部门须提交测试报告，测试报告由测试人员编制并签字确认，部门负责人审核。第二十七条 安全测试由信息技术部组织，形成安全评估报告，对于安全测试不过关的信息系统暂缓上线投产，直到整改后安全测试达标。第二十八条 系统测试一般在测试环境进行。通关测试使用生产环境，使用生产环境测试应进行审批并做好系统及数据备份，测试完成后及时恢复系统并验证恢复的完整性、准确性、有效性。交易时段不得使用生产环境进行测试。第二十九条应急方案。系统上线前必须评估系统上线风险，制定完善的部署方案和第六章变更管理第三十条 变更行为

10、是指对信息系统实施的变更操作，包括但不限于信息系统软硬件的新增、升级、下线、参数配置和物理属性的修改。第三十一条 变更分为标准变更和紧急变更两类。标准变更是指计划内变更，对业务连续性没有影响的变更为一般变更，对业务连续性有影响的变更为重大变更。紧急变更是指由于生产系统监控预警、运行异常或业务事件引发的急需处置的计划外变更。第三十二条 生产变更应先申请并通过审批后实施。一般变更应提前2 个工作日进行申请，重大变更应至少提前 2 周进行申请。第三十三条 对集中交易系统、融资融券系统、网上交易系统等核心系统提出新的业务或管理需求，应当留有充足的技术准备期，技术准备期原则上不少于 30 个工作日。第三

11、十四条 信息技术部制定变更申请、受理和实施流程，明确各环节的操作规范、技术要求和审核标准。第三十五条 生产变更需停止对外服务的，由信息技术部负责通告业务部门。需要告知客户的，由相关业务部门负责。第三十六条 生产变更应通过测试验证后实施。信息技术部负责变更前的测试组织工作，涉及业务系统的重大变更须由相关业务部门参与测试并出具测试报告，变更申请部门应对变更内容进行测试验证并出具测试报告。第三十七条 交易系统标准变更必须在非交易时间实施，非交易系统变更应避开业务高峰时段。紧急变更经信息技术部负责人审批后，在做好应急准备的情况下实施。第三十八条 变更实施过程中，应采取双人操作复核，避免因个人失误导致变

12、更失败或影响生产的稳定运行。第七章 容量管理第三十九条建立信息系统容量管理规划与管理规范。第四十条容量规划应满足当前业务正常开展的需要并预留合理的余量以满足规划时间内系统需求的增长。第四十一条备份系统的容量规划参考生产系统的容量管理数据和信息同步调整。第四十二条第四十三条第四十四条审批后方可实施。实时监控信息系统容量，达到预警阀值时应当及时上报。 容量实行动态管理，定期评估系统容量，形成容量评估报告。系统扩容变更工作按照系统变更流程进行，扩容计划需通过第八章 运行问题管理及应急响应第四十五条 运行问题分为一般问题和紧急问题两类。对业务产生重大影响，可能影响业务连续性，需要短时间内解决的问题为紧

13、急问题；其他为一般问题。第四十六条更流程处理。一般问题在非交易时间处理，需要对系统进行变更的，按变第四十七条紧急问题按照证券股份有限公司网络与信息安全应急预案规定的职责及预案进行应急处理。第四十八条运维人员应完整记录问题的现象、影响、产生原因、应急处置措施和后续改进方案。第四十九条案。定期对出现的问题进行分析和总结，并提出改进和解决方第九章数据与备份管理第五十条本办法所称数据主要分为业务数据、系统数据、管理数据三类。第五十一条业务数据主要包括客户资料、交易数据、行情数据及其他业务数据；系统数据主要包括数据字典、权限设置、密码密钥、存贮分配、网络地址及软硬件配置参数、系统运行时配置等系统相关数据

14、；管理数据主要包括办公自动化数据、人力资源数据以及其他管理类数据。第五十二条 数据不得泄露，禁止外借，内部借阅需按借阅流程办理。无正当理由和有关批准手续，不得查阅客户电子资料。经正式批准查阅数据时必须登记，并由查阅人签字。第五十三条第五十四条数据应仅用于明确规定的目的，未经批准不得它用。根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。保密数据不得以明码形式存储和传输。第五十五条 业务数据后台查询需求，由需求部门发起OA 公文，经审批后办理。紧急情况下，需求部门填写纸质数据查询申请表，经需求部门负责人审核，信息技术部负责人核准后安排处理。第五十六条对业务数据后台修改、调

15、整等特殊处理需求，须先查明原因， 确因系统缺陷造成且前台无法操作的，由需求部门发起 OA 公文，经审批后在非交易时间办理。紧急情况下，需求部门可通过传真纸质数据变更申请表，经需求部门负责人审核，信息技术部负责人核准后安排处理。第五十七条 严禁擅自修改、调整业务数据。业务数据修改、调整操作严格执行双人双岗制度，一人操作，一人复核，并详细记录修改的原因、内容以及操作时间、操作人员等。第五十八条份系统数据。系统数据原则上每季度备份一次，系统发生重大变更前应备第五十九条管理数据至少每季度备份一次。第六十条业务数据每日备份，离线备份介质不得修改。第六十一条归档保存的备份介质应交接给介质保管员进行妥善保管

16、，并办理交接手续。备份介质保管地点应安全可靠，避免备份数据损坏和遗失。第六十二条每季度至少检验一次备份介质和数据的完备性和可用性，保证在突发事件或查找历史信息时可以使用。第六十三条备份介质如需转移，应办理相应的交接流程。记录转移的原因、时间、介质内容、数量等。备份介质的转移和运输过程应遵循“安全、可靠、高效”的原则。第六十四条 备份介质每年盘点，并做好盘点记录。确认失效或需要销毁的备份介质应及时进行销毁处理，销毁处理前须经过审批流程，并留存介质销毁记录。第六十五条 业务数据离线备份介质保存期限至少 20 年，在线系统所保存的业务数据不少于 1 年。第十章 外部服务管理第六十六条 外部服务是指软

17、硬件提供商、服务商及系统集成商等外部合作厂商提供的信息系统运维支持服务。第六十七条 服务协议或合同中应明确约定服务人员的工作地点、服务时间、响应时间、服务范围、工作权限等。第六十八条 已签署服务协议或合同的，签署部门应督促合作厂商按协议或合同约定提供服务。第六十九条 公司信息系统生产环境严禁外部服务人员直接操作。第七十条 由于技术原因确需由外部服务人员对生产环境进行操作的，应经过审批后由专人陪同操作，并确认操作内容属正常业务需求，操作过程符合规范要求。第七十一条应当定期收集、更新供应商信息，组织对供应商的服务质量、合同履行情况、人员工作情况等内容进行评价，形成评价报告，并跟踪和记录供应商改进情况。第十一章附则第七十二条第七十三条本管理办法由公司信息技术部负责解释、修订。本管理办法自印发之日起实施。