《信用社数据中心安全生产管理办法》由会员分享,可在线阅读,更多相关《信用社数据中心安全生产管理办法(18页珍藏版)》请在金锄头文库上搜索。
1、xx 农村信用社数据中心安全生产管理办法第一章 总 则第一条 xx 农村信用社数据中心 (以下简称数据中心)是全 省农村信用社数据集中系统的后台运行、维护和管理中心,是数 据集中模式下全省农村信用社信息系统技术风险和管理风险最 集中的地方。第二条 为规范数据中心信息科技系统的运行管理,加强制 度建设 ,有效防范和化解系统运行中的风险 ,保障生产数据的合 规、安全,促进系统安全、持续、稳定的运行。根据中华人民 共和国计算机信息系统安全保护条例、中国人民银行关于加强 银行数据集中安全工作的指导意见、中国银监会颁发的商业 银行信息科技风险管理指引、商业银行数据中心监管指引 银行业金融机构重要信息系统
2、投产及变更管理办法,结合省 联社相关规章制度,制定本办法。第三条 本办法适用于省数据中心,同时也是信息系统各级 生产运行部门加强内部制约、控制内部风险的重要依据,是全省 信息系统生产运行工作整体规范的重要规章。主要内容包括:岗 位设臵与职责;机房及动力环境安全管理;系统安全管理;生产 数据安全管理;日常运行管理;重大事件的处理与应急管理;安 全检查与审计等。第四条 各级生产运行部门应根据本办法结合本级生产运行 工作的实际情况制定具体的管理制度和实施细则,明确岗位职责 和各类事件的处理流程。制定管理制度和实施细则时应遵循如下 原则:一、合规性原则:必须符合国家的法律、法规。二、预防性原则:遵循以
3、预防为主、防患于未然的原则,预 防案件、事故的发生。三、可审计性原则:信息系统的运维过程必须保留痕迹,应 能被审计或追溯。四、有限授权原则:任何人都不能被授予过度的、不受监督 和制约的权限。五、分离制约原则:(一)多人负责:涉及核心安全或高风险的活动,必须有两 人或多人同时参与。(二)任期有限:重要岗位不得长期由同一人担任。(三)职责分离:重要岗位必须严格坚持职责分离原则,任 何人未经许可不得从事与其职责无关的其它岗位工作,严禁混 岗、串岗。六、监督制约原则:信息系统应用、运维和管理的各个环节, 应建立相应的监督和检查机制。七、可行性原则:具有普遍适用性和可操作性。第二章 岗位与职责第五条 省
4、数据中心、汇聚中心及各县级联社是计算机信息 系统的生产运行部门,必须按照本级生产运行的性质和特点,建 立安全生产操作岗位,明确岗位职责,并配备相应人员。一、机房环境及计算机动力保障岗,负责机房、门禁、消防、 防雷、空调、电源、照明、监控等系统的维护与管理,为数据中 心提供可靠的基础环境和动力保障;二、系统管理岗,负责主机、操作系统、中间件、数据库等 系统维护与管理,为安全生产提供主机、数据库等系统保障;三、网络管理岗,负责数据中心网络维护与管理,负责全网 的安全生产管理,为安全生产提供网络环境保障;四、应用系统技术支持岗,负责应用系统的上线、变更与发 布和日常运行管理,负责生产数据的日常维护管
5、理,保障各应用 系统安全稳定运行;五、应用系统业务支持岗,负责数据中心后台系统的日常运 行操作、系统运行监控与管理,负责应用系统操作问题的后台支 持,负责生产数据日常备份,保障生产系统 24 小时不间断运行;六、差错处理岗,负责系统间差错账务的核实,负责与银联、 人行等联网机构的调账处理,负责行内差错的核实和处理,保障生产系统账务核算的准确性;七、档案管理岗,负责数据介质和各类档案资料的归档管理;八、安全管理岗,负责数据中心的日常安全管理和安全技术 防范工作。第六条 数据中心各岗位必须按要害岗位人员进行管理。明 确规定各类要害人员职责和权限。对要害人员上岗应执行“先审 查,后上岗”和“权限分散
6、,不得交叉覆盖”的原则;要害人员 必须通过相关安全知识、技术培训;必须定期考核、定期轮岗。 加强对要害人员的管理、培训与监督,必要时通过签订合同的形 式使双方关系受法律的约束。要害岗位必须要有人员储备,有可 靠的人员备份措施。第三章 机房及动力环境第七条 数据中心机房及基础设施的建造必须按国家有关 计算机场地、环境、供配电等技术标准执行,达到规定的技术指 标和机房环境条件。第八条 数据中心机房所有系统、设备、设施必须由专人负 责维护管理,保持良好状态,随时受理和处理突发事件;必须按 规定要求巡视监控并做好记录;必须按规定要求进行定期检查、 保养和维护,杜绝单点运行的环节;机房环境监控系统、视频
7、监 控系统等记录信息必须定期查阅整理;及时更换过期设备、设施。第九条 机房工程变更必须按规定要求组织技术评审和安 全评审,并经主管领导审批;机房内维修、维护操作,不得进行 明火作业,必须明火作业时,须按有关规定妥善处理;供维修用 的电器设备,要用单独的电源,不得使用计算机动力电源。第十条 加强数据中心机房日常管理,按规定要求进行人员 及设备的进出管理和登记审核,核心区域必须实行双人同进同 出,外来人员进出机房须经主管领导批准并专人陪同;中心机房 值班人员应按规定要求,每日填写设备、系统运行记录,严格履 行值班、交接班手续,整齐有序地管好生产数据介质。第十一条 数据中心生产系统(包括机房与设施)
8、建造、投 产、使用,直至终止的全部生命周期,必须建立完备的技术档案。 生产系统档案要分类、按密级编号登记,设档案室由专人管理; 生产系统档案室、柜要达到规定的技术条件;严格执行借阅登记 制度、保密制度;按规定进行废弃资料处理。机房内常用资料, 要用专用的资料柜(架),摆放整齐,严禁携带出机房。第四章 系统安全管理第一节 主机安全第十二条 主机设备包括生产主机、存储设备、相关外设及 其附属设备等。第十三条 主机设备必须由专门岗位人员管理、操作处理, 严禁无关人员操作生产主机设备;严禁在生产主机上作无关操 作;严禁违反规程或设备使用手册操作使用主机设备。第十四条 要建立对主机设备的例行保养与维修制
9、度,定期 全面检测设备性能,进行预防性检修;建立设备运行记录制度, 定期整理运行记录;严格按规定要求与维保厂商共同制定例行保 养计划并监督执行。第十五条 主(备)机设备要进行定期切换演练,确保备份 设备(施)的可用性;重大故障要注意保护现场,采取应急处臵 措施并按规定报告,故障排除后要按规定要求追踪监控和分析。第十六条 主机系统包括操作系统、中间件软件、数据库系 统等。第十七条 主机系统必须采用符合省计算机中心技术架构 标准要求的系统平台、中间件平台和数据库系统。第十八条 主机系统必须由专门岗位人员管理和操作处理, 严禁无关人员操作生产主机系统;严禁在生产主机系统作无关操 作;严禁违规操作;操
10、作主机系统必须双人在场,相互监督。第十九条 要加强主机系统的维护管理,按规定要求进行系 统规划、系统建立和升级变更;合理分配、使用和管理系统资源; 要利用系统工具定期进行性能监测、调整、优化和系统性能评估。第二十条 要制定严格的生产环境管理和系统用户管理制 度,实施有效的系统安全访问控制策略。第二十一条 主机系统故障必须及时受理,迅速排除,避免 或减少系统中断运行时间,故障排除后要按规定进行追踪、监控 和分析。第二节 网络安全第二十二条 网络系统安全管理的范围主要是数据中心机 房主机局域和广域网络系统。第二十三条 生产系统网络必须安全接入。一、网络设备、计算机终端设备接入网络时,必须进行设备
11、物理特征与网络逻辑地址等认证技术,防止非法设备接入网内。二、用户远程拨号访问和拨号备份线路,必须采用身份认证 和回拨技术,并通过访问控制列表设定访问权限。三、生产系统网络必须经过网络隔离技术与办公网络连接, 且无任何旁路路由,网络隔离设备必须关闭所有非业务生产所需 的网络端口,杜绝通过办公网络访问生产系统网络。四、生产系统与Int ernet、外单位网络连接,必须采用网 络隔离技术确保网络边界安全,确定应开放和关闭的网络服务端 口;网络边界处应进行网络地址转换和数据包过滤, 屏蔽内部网 络的地址信息和非开放端口。网间正式联网前,必须经过测试, 确保其安全性。第二十四条 要加强网络运行维护与管理
12、。一、IP地址管理。IP地址应统一规划分配,接入网络的设 备或计算机应有唯一的IP地址,将IP地址与物理地址绑定,防 止IP地址的复用、冒用和盗用。要建立完整的网络系统配置和 更改资料。二、网络连通性管理。检测整个网络的物理连通性,检测 某一物理设备或逻辑设备的连通性,检测任何两个网络设备之间 的连通性,对无法连通的主干网络链路进行报警。三、网络数据流量管理。远程监控网络主干节点的数据流量 以及阻塞情况,具体分析特定应用系统、特定服务器的数据包响 应时间与服务质量,通过对历史数据进行综合分析,反映网络资 源使用情况,对潜在的非正常现象作预警,提供网络资源性能的 实时报表,实时的数据捕获与专家分
13、析。四、网络系统、设备和网管配置必须由专门岗位人员管理, 按规程操作,严禁违规或非法使用。五、建立网络实时运行监控系统,对网络性能、网络安全、网络状态实行 7X24 小时不间断值班监控、记录,对网络入侵、 网络中断等事件报警 。第二十五条 无论是主动还是被动发现故障,都必须及时响 应,按规程诊断处理。要建立不同情况的网络故障异常处理、 处 置措施,避免或减少网络系统故障影响和损失。第三节 应用系统安全第二十六条 xx 农村信用社各业务生产系统必须采用省计 算机中心开发推广的应用软件,建立全省统一的应用架构模式。 严禁擅自开发或引进应用软件,严禁违反规定、甚至非法接入系 统。第二十七条 应严格应
14、用系统投产的质量管理,应用系统开 发必须符合国家软件工程规范;应用系统(新产品)必须经测试 和验收同意后方可投产。第二十八条 严格应用系统投产测试和上线管理。应用系统 投产必须经过严格的内部测试和业务测试;应用系统上线必须编 制投产技术方案、业务方案和紧急回退方案;应提供详细的用户 操作手册和维护操作手册。第二十九条 应用系统投产后,运维部门、开发部门应密切 追踪系统处理各环节、生产运行全过程,按照软件工程方法加强 应用系统维护与管理。要注意建立应用系统维护档案,详细记录 历史维护信息。第五章 数据安全管理第三十条 生产数据存储设备比连接它的计算机更重要,数 据中心必须使用安全可靠的产品,采用
15、先进成熟的技术和存储解 决方案,确保生产数据安全。第三十一条 要严格执行生产数据操作管理规程,保证生产 数据人工操作处理安全。一、生产数据操作处理,必须双人临岗,全程守候监视,不 得中途离开。二、生产数据日常例行操作处理,必须根据每项操作的规定 条件,按照例行操作处理规程和手册执行;对每一步操作确信成 功后,方可进入后续处理;严禁违规操作,杜绝误操作。三、生产数据特殊操作处理,如数据库的清理维护,数据迁 移等属重大处理,必须编制详细的实施方案,并经领导审批后由 专门岗位人员执行;实施方案必须明确各种异常情况的处臵措 施;执行前后要对数据进行备份;要进行事后跟踪监视。四、要按规定要求尽量避免直接
16、在后台数据库中进行数据查 询。确属需要的应建立严格的审批手续。五、后台数据修改原则上应通过应用系统提供的维护功能完 成,应用系统不能提供维护功能的,应严格按规定手续和监督程 序操作。第三十二条 要加强数据备份操作管理。一、区别不同用途,使用不同备份介质。用于大量恢复的数 据,要采用磁盘、硬盘、虚拟带库备份;用于大量存储的数据, 要采用磁带库备份;用于大量查阅的数据可采用光盘库系统备 份。二、账务性交易日志、日终、月终、年终以及特殊操作前后 的数据应进行双重完整备份。三、针对不同数据内容和要求,应制定不同的备份策略,相 关岗位人员要定期回顾备份策略的有效性,确保数据备份安全。四、操作人员必须熟悉数据备份操作,严格按操作规定处理; 数据备份操作必须双
