附件4:
证券股份有限公司信息系统运维管理办法
(2013)
第一章 总则
第一条 为保障公司信息系统安全、稳定、高效运行,规范信息系统运维管理,根据中国证券监督管理委员会《证券期货业信息系统运维管理规范》、《证券期货业网络与信息安全事件调查处理办法》,中国证券业协会技术指引、行业规范、标准及重要信息系统等级保护工作的要求,制定本管理办法。
第二条 本管理办法适用于公司各部门、分公司、营业部及子公司所有信息系统的日常运维管理。子公司另有规定的,从其规定。
第三条 公司信息系统运维工作由信息技术部统一归口管理。 第四条 运维管理基本原则:
(一) 最小权限:运维管理和操作人员应只具有履行其职责所需的最小访问权限;
(二) 职责分离:一个用户不能同时具有多个存在权责冲突的角色;运维中的请求方、授权方、管理方应实现职责分离。
(三) 生产和开发测试物理隔离:生产系统与开发测试系统环境物理隔离,避免相互影响;生产、开发与业务测试人员相互分离,避免职责冲突。
第五条 信息技术部负责建立运维管理流程与标准,明确运维操作责任人、处理方法和步骤等关键要素,并及时更新。
第二章 操作与监控管理
第六条 运维操作要求:
(一) 运维操作以合规、安全、正确完成操作任务为目标; (二) 制定运维操作预案并按计划进行;
(三) 合理安排操作人员,分工明确,权责清晰,重要操作应双人复核; (四) 跟踪检查操作结果并确认符合预期; (五) 操作过程应记录操作日志;
(六) 定期培训和考核操作人员,使其具备运维、管理系统的能力。
第七条 运维监控要求:
(一) 运行监控对象包括机房环境、网络系统、硬件系统、应用系统; (二) 运行监控内容包括运行状态、容量、性能;
(三) 运行监控遵循可行性、有效性、可靠性、开放性原则;
(四) 对各系统建立完善而有效的监控手段和监控策略,及时发现运行异常;
(五) 发现异常时记录异常现象并立即报告。
第八条 建立值班计划,安排值班人员。重要系统应采用自动化工具和人工值守相结合的方式,实现7?24小时监控。
第三章 网络管理
第九条 网络安全域划分与隔离:
(一) 公司网络按照安全级别和功能划分安全域,不同安全域采用适当的安全防护措施;
(二) 不同的安全域间实施相应的隔离措施;
(三) 办公、开发、测试网络必须与生产网络物理隔离;
(四) 逻辑隔离的安全域间实施缺省拒绝的访问控制策略,只允许指定的网络访问。
第十条 网络架构安全:
(一) 核心网络设备应当配备足够的处理性能及相应的冗余能力,保证关键网络设备的可用性;
(二) 关键网络链路配备足够的带宽及相应的冗余能力,保证关键网络链路的可用性;
(三) 对重要网络区域部署相应安全设备或实施其它技术手段,以满足安全监控、隔离和操作行为的审计要求。
第十一条 网络行为管理:
(一) 使用公司网络资源时,应严格遵守公司管理制度,禁止私自变更计算机的相关网络设置;
(二) 未经允许不得以任何方式向外部机构或人员提供内部网络结构、配置等重要信息;
(三) 未经许可,禁止将未授权设备接入公司网络;
(四) 禁止利用公司提供的网络资源从事任何违反国家法律法规、损害国家利益和他人合法权益的活动;
(五) 禁止恶意使用和浪费公司网络资源,包括但不限于下载与工作无关的大容量文件、浏览与工作无关的视频网站等操作;
(六) 严禁对公司进行网络扫描、探测或嗅探的行为。 第十二条 移动办公和第三方网络接入:
(一) 公司内部网与互联网连接采取隔离保护措施,原则上只允许从内向外的指定网络访问;
(二) 对员工移动办公接入内部网络实行统一管理、按需审批的原则; (三) 因业务需要,内部网络需与第三方网络进行连接的,必须采取安全技术隔离防护措施。
第四章 系统交付管理
第十三条 系统交付是指建成的信息系统投产上线并交付运行维护的活动。 第十四条 信息技术部制定系统交付的控制方法和交付规范,编制交付清单。
第十五条 系统交付应从交付准备、人员培训、交付验收、交付盘点、交付运维五个环节进行控制。
第十六条 系统交付应审批留痕,交付清单盘点结果应记录并归档留存。 第十七条 交付准备期应完成交付系统的基线版本的确定,并在开发测试环境中,以基线版本为基础进行并通过功能、性能、容量、安全和稳定性测试验证,制定故障恢复方案并演练有效。交付双方约定后续维护服务内容和开展方式,编写上线实施方案并提交审批。
第十八条 人员培训是指在系统交付阶段对相关业务人员、业务管理人员、系统管理人员进行的系统使用培训。培训应提供对应的系统操作和管理手册,必要时可采用现场集中或视频培训等方式。
第十九条 交付验收包括在生产环境中进行的部署实施、测试验证和安全评估工作。
部署实施应按计划进行,完成对系统初始数据、角色权限、预设参数等内容
公司信息系统运维管理办法模版
