某公司信息系统运行维护管理制度.docx

《某公司信息系统运行维护管理制度.docx》由会员分享，可在线阅读，更多相关《某公司信息系统运行维护管理制度.docx（13页珍藏版）》请在第一文库网上搜索。

1、XXX公司信息系统运行维护管理制度XXX年XXX月1.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。版本号1.0发布时间XXX发布范围XXX修订时间XXX修订内容XXX备注发布之日起施行第一章总则1第二章计算机系统运行1第三章主机访问控制的管理2第四章数据库访问控制的管理5第五章应用系统访问控制的管理6第六章附则9f10附件四：XXX公司信息系统访问权限申请表10第一章总则第一条为进一步加强信息系统用户管理，提高主机、数据库和应用系统用户安全管理水平，确保

2、信息系统资源访问人员按照规定的权限和工作职责进行操作，保证信息系统安全、稳定、高效运行，特制定本制度。第二条本制度适用于XXX公司各部门。第三条本制度所指的信息系统用户包括主机操作系统系统、数据库用户和生产应用系统用户。每类信息系统用户又分为管理员和普通用户。第二章计算机系统运行第四条计算机系统项目上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下：（一） 技术部与项目开发单位、业务部门一起组织制定安全测试方案，进行系统上线前的自测试，测试报告报技术部审查。（二） 业务部门在计算机系统投产前，同步制定相关安全操作规程，报技术部备案。（三）技术部提出明确

3、的测试方案和测试报告审查意见。必要时，可组织专家评审或实施计算机系统漏洞扫描检测。第五条技术部具体负责计算机系统的日常运行管理，定期检查系统日志，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程，包括重要的日常操作运行维护记录，参数设置和修改等内容，系统设置要求至少双人在场，严禁进行未经授权的操作第六条系统管理员应根据业务需求和系统安全分析确定系统的访问策略。系统管理员、数据库管理员、网络管理员对系统变更进行详细记录，并定期对运行日志和审计数据进行分析，以便及时发现异常行为。第七条系统管理员、数据库管理员、网络管理员的权限设置应采取最小授权、分别设立的原则，重要计算机系统的管理员人

4、数设置原则上不超过2人，且管理员权限应采用互补原则分开设置。禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。第八条不同计算机系统的管理员不得由一人兼任，系统管理员、数据库管理员不得兼任业务操作人员。系统管理员、数据库管理员不得对征信业务数据进行任何增加、删除、修改、查询等操作。数据库管理员确需对计算机系统数据库进行技术维护性操作的，应征得业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。第九条信息安全管理员每年应进行至少一次漏洞扫描，对发现的系统安全漏洞及时进行修补。第三章主机访问控制的管理第十条用户权限的新增、变更和注销(一

5、)系统管理员账户(root(Unix)Admin(WindOWS)等)1 .主机系统管理员账户只能由技术部系统管理员岗中的一人持有，其余系统管理员岗人员需持有其个人账户进行操作，当需执行某些特定操作使用超级权限（例如root权限）时，应由系统管理员向其分配账户权限；2 .由于岗位人员变动，需变更系统管理员账户持有人时，需要提交信息系统用户访问权限申请表（见附件二）；3 .技术部总经理对变更申请进行审批。（二）其他用户1 .申请：用户需提交信息系统用户访问权限申请表，根据工作职责和工作访问要求来预先定义访问权限；2 .审批：技术部总经理审批主机用户访问权限新增、变更或注销的申请，并签字确认；3

6、.执行：系统管理员根据审批结果，在系统中分配或注销用户的权限；4 .反馈：系统管理员操作成功后，应通知申请人员，由申请人员反馈操作结果。第十一条用户权限的管理（一）应根据用户的业务需求，仅授予用户所需的最小权限。（二）禁止多人使用同一账户。（三）主机系统管理员账户和数据库管理员需由不同人员担任。（四）应锁定没有业务需求的系统默认账户。（五）应对系统内的重要文件设置不同的访问权限。（六）应关闭不必要的FtP和Te1net服务。如根据业务运行和监控需要，确实需要开启文件传输或远程登录服务，应采用加密传输方式（例如SFTP和SSH）,并只为特定用户开启使用权限。第十二条用户密码的管理（一）每个主机账

7、户必须设置密码（二）密码必须加密储存（三）密码安全设置要求如下：1 .用户密码长度应至少6位；2 .用户密码字符串应至少由数字、大小写字母和特殊字符中的两种混合组成；3 .密码历史为3次；4 .密码错误登录次数为5次；5 .设置密码有效期，密码最长有效期为3个月；6 .应启用操作系统超时锁定功能。第十三条日志及监督管理（一）应开启操作系统层面日志功能，记录异常事件和安全相关事件，日志应包括：1 .用户标识符ID；2 .登录与注销的时间信息；3 .终端标识或位置；4 .系统的成功访问和拒绝访问的记录；5 .对数据与其它资源的成功访问和拒绝访问的记录；6 .系统管理员账户的操作记录。（二）应对主要

8、的系统日志进行保存和备份，保存期限应不少于一年（三）系统管理员应每周查看分析系统日志，并将分析结果上报技术部总经理。（四）系统管理员应每季度查看主机用户权限，对于过期的、不再使用的账户，应提交技术部总经理进行审批后注销。（五）技术部总经理应每季度审查主机用户权限和系统管理员账户操作日志，对审查发现的问题要及时追踪解决，并对检查结果签字确认。第四章数据库访问控制的管理第十四条用户权限的新增、变更和注销（一）数据库管理员账户（DBA）1 .数据库管理员账户只能由技术部数据库管理员岗中的一人持有，其余数据库管理员岗人员需持有其个人账户进行操作；2 .由于岗位人员变动，需变更数据库管理员账户持有人时，

9、需要提交信息系统用户访问权限申请表（见附件二）；3 .技术部总经理对变更申请进行审批。（二）其他用户1.其他用户权限的新增、变更或注销申请审批过程与主机用户权限申请过程相同，具体请参见第14条。第十五条用户权限的管理（一）应根据用户的业务需求，仅授予用户所需的最小权限。（二）应禁止多人使用同一账户。第十六条用户密码的管理（一）数据库用户密码的安全设置与操作系统用户密码安全设置要求相同，具体请参见第16条。第十七条数据库数据访问的管理（一）应严格限制对数据库中数据的直接访问。（二）如根据业务需要，切实需要在数据库直接更改数据的,须由业务部门申请人填写XXX公司维护申请表并经本支行主管领导签字盖章

10、、总行部门主管领导签字审批后，交由技术部数据库管理员受理。数据库管理员需提交该申请至技术部总经理签字审批，然后由数据库管理员执行变更操作，并由另一名数据库用户对变更操作进行复核。操作完成后，数据库管理员需及时反馈至业务部门申请人确认修改结果。第十八条日志及监督管理（一）应开启数据库日志，记录异常事件。数据库日志的储存期限要求与操作系统日志储存期限相同，具体请参见第17条。（二）技术部总经理应每季度审查数据库用户权限和数据库管理员操作日志，对审查发现的问题要及时追踪解决，并对检查结果签字确认。第五章应用系统访问控制的管理第十九条用户权限的新增、变更和注销（一）应用系统管理员账户1 .应用系统管理

11、员账户由技术部运维管理员岗或业务部门人员持有；2 .由于岗位人员变动，需变更系统管理员账户持有人时，需要提交信息系统用户访问权限申请表（见附件二）；3 .申请部门主管领导对变更申请进行审批。（二）其他用户1 .申请：用户需提交信息系统用户访问权限申请表，根据工作职责和工作访问要求来预先定义访问权限。2 .审批：如申请人为分支行人员，则应由分支行主管领导审批，并加盖分支行公章，提交至总行相关部室，然后由总行部室的主管领导进行审批；如果为总行部室人员申请，则只须由总行部室的主管领导进行审批。3 .如果信息系统管理员为技术部运维岗，则还需技术部总经理进行审批。4 .执行：应用系统管理员根据审批结果，

12、在系统中分配或注销用户的权限。5 .反馈：应用系统管理员操作成功后，应向申请人员反馈操作结果。第二十条用户权限的管理（一）应根据用户的业务需求，仅授予用户所需的最小权限。（二）禁止多人使用同一账户。（三）主机系统管理员、数据库管理员和应用系统管理员需由不同人员担任。（四）应维护职责分离，确保下列不相容权限由不同人员担任:1 .系统管理员2 .主数据维护（利率、费率、优惠费率等）3 .经办4 .复核5 .分级授权第二十一条用户密码的管理用户密码的安全设置与操作系统用户密码安全设置要求相同，具体请参见第16条。第二十二条日志及监督管理（一）应开启应用系统层面日志功能，记录异常事件和安全相关事件，日

13、志应包括：1 .用户标识符ID；2 .登录与注销的时间信息；3 .系统的成功访问和拒绝访问的记录；4 .重要系统用户操作记录。（二）应对主要的系统日志进行保存和备份，保存期限应不少于一年。（三）系统管理员应每月查看分析系统日志，并将分析结果上报本部门主管领导。第二十三条应每半年审查一次应用系统用户权限列表，对审查发现的问题要及时追踪解决，并对检查结果签字确认。第六章附则第二十四条本制度由总行负责制定、解释和修改Q第二十五条本制度自下发之日起执行。第七章附件附件一：XXX公司信息系统访问权限申请表编号：MS-O3-0015-R1-XXXXXXXXX日期：XXXX年XX月XX日申请部门：XXX申请人：XXX联系电话XXX申请日期XXX信息系统XXX申请权限XXX申请部门：部门负责人：年月曰业务部门审才匕意见：部门负责人：年月曰技术部意见:部门负责人：年月日执行结果：执行人：年月日附件二：XxX业务/设备日常运维记录时间XXX运维人XXX运维内容XXX上次结果或故障内容XXX本次结果或故障内容XXX结论或处理意见XXX