1、科技信息系统运行管理办法暂行XXX农村商业银行科技信息系统运行管理办法(暂行)第一章 总 则第一条 为规范XXX农村商业银行科技信息系统的运行管理工作,防范科技信息系统运行风险,支持保障业务营运和经营管理活动,依照商业银行内部控制指引和商业银行信息科技风险管理指引,特制定本办法。第二条 本办法所称科技信息系统,是指营业和管理所用的各类计算机系统及网络,包括:主机、服务器、个人计算机、便携式计算机、终端、打印机、网络设备、信息安全设备、存储设备、通信线路、机房场地环境和其他外围设备,以及系统软件、应用软件、工具软件、数据及其载体等。第三条 本办法所称运行管理工作,是指对科技信息系统的日常运行监控
2、、管理与维护、事件管理、应急管理、变更管理、技术支持、运行风险管理、运行服务管理、运行人员管理等工作。第四条 XXX农村商业银行科技信息系统的运行管理工作都应遵守本办法。第五条 科技信息系统的运行管理工作遵循以下原则:(一) 服务客户原则。运行管理工作遵从“以客户为中心、以服务为导向”的宗旨,支持保障我行业务发展和经营管理,不断提高银行客户和内部用户满意度。(二) 安全运行原则。有效控制运行风险,确保系统安全、可靠、稳定运行。(三) 遵章合规原则。遵守国家法律法规,遵守行业及监管部门的规章和技术标准的要求,符合XXX农村商业银行相关管理制度和技术规范的规定。(四) 持续改进原则。对运行管理工作
3、,应当加强科研开发,推广并使用先进的管理方法、技术和工具,不断提高运行服务水平。第二章 工作职责第六条 科技信息部负责全行科技信息系统的运行管理工作,负责全行运行管理体系的建立和完善。负责根据国家和行业标准、法规以及XXX农村商业银行科技信息系统实际情况,制定科技信息系统运行战略规划和管理策略。第七条 科技信息部是XXX农村商业银行科技信息系统运行管理工作的实施和执行机构,主要职责是:(一) 牵头组织我行科技信息系统运行管理和技术支持保障工作;(二) 负责组织系统基础设施建设、扩容、升级、改造等实施工作;(三) 承担我行科技信息系统的运行、监控、管理和维护工作;(四) 负责提供我行科技信息系统
4、生产服务,集中受理运行技术支持服务请求; (五) 指导、督促各支行科技信息系统运行管理工作的实施和执行。第八条 科技信息部负责所开发应用系统的运行技术支持。主要运行职责是:(一) 负责组织制定新系统投产上线实施方案;(二) 在运行事件和故障处理中提供应用软件技术支持,修正应用软件缺陷,协助解决系统疑难问题;(三) 在系统基础设施扩容、升级、改造等工作中,负责应用软件移植、优化、测试和验证。第九条 负责受理关于系统运行服务的投诉、咨询和支持请求,负责业务系统用户管理和相关业务参数管理等业务运行工作。负责制定系统运行保障计划、系统应急计划和系统容灾备份计划,并实施科技信息系统的测试和应急演练。第一
5、十条 科技信息部是辖内科技信息系统和网络的运行维护管理部门,负责按照我行科技信息统一规划,承担辖内科技信息系统、网络等基础设施的建设和升级工作,按照我行科技信息系统运行管理制度要求,为辖内科技信息系统的安全运行提供可靠的技术支持保障。第一十一条 各业务部门比照部门职责分工承担本行社范围内科技信息系统运行相应的管理工作。第三章 岗位与人员管理第一十二条 运行工作岗位设置要遵循“职责明确、权限分离、相互制约、工作高效”的原则,明确定义岗位职责和任职资格、能力与限制条件要求。第一十三条 根据岗位和工作量确定运行人员总量,根据系统安全策略及岗位需求配置运行人员,对于关键岗位必须配备备份人员,对于不相容
6、岗位,严禁同一人员兼任。第一十四条 我行运行管理工作的关键岗位至少应包括:信息安全管理岗位、系统管理岗位、网络管理岗位、安全值班岗位。不相容岗位设立原则为关键岗位之间互不相容。第一十五条 科技信息部可根据辖内网点规模和实际工作需要确定运行人员的配备数量,原则上运行人员要有备份。第一十六条 运行人员上岗前要进行任职资格审查和技术培训,关键岗位人员上岗前还须签订安全保密协议。科技信息部应按人事考评制度定期对运行工作岗位人员进行考核,对考核不合格人员提请人力资源部及时调离或辞退。第一十七条 运行人员离职时,应收回其保管的全部信息资产和运行管理权限。第四章 生产需求管理第一十八条 科技信息部运行组、开
7、发组根据我行科技信息系统安全等级定级、信息安全管理策略和运行服务需求,明确基础设施的可用性、安全性、容量与性能、服务持续性等目标,按照基础设施架构规范提出系统、网络、通信、环境等配置和建设方案。第一十九条 科技信息部运行组负责提出运行管理功能需求,对系统运行状态监控与报告、日常管理、作业调度、维护、差错处理等所需的各模块功能进行定义和描述,对系统运行管理组织、批处理时间窗口等提出要求。第二十条 科技信息部开发组负责提出系统资源需求,运行组根据资源需求,确定系统、网络、存储等硬件设备型号及数量、软件平台类型及许可证数量、系统IP地址、通信线路、场地空间及电力负荷等基础设施资源配置计划,实施并分配
8、基础设施资源。开发组和业务部门在系统上线前对所需基础设施资源进行最终确认。第二十一条 科技信息部运行组在系统上线前负责对运行管理功能进行验收。第五章 系统运行计划管理第二十二条 系统上线前,科技信息部运行组应牵头组织开发人员和相关业务部门共同制定系统运行保障计划、系统应急计划和系统容灾备份计划,对系统上线后的运行管理和技术支持工作做出安排。第二十三条 在系统运行保障计划中,应当明确运行组、开发组、业务管理部门、业务操作部门的系统运行管理和技术支持职责,确定系统运行管理组织形式、岗位设置、岗位人员职责和能力要求,确定系统运行服务和保障指标,明确系统监控、日常后台操作、重大业务操作、数据备份、数据
9、清理、系统重启、硬件检修、硬件保养、健康检查、安全管理、技术支持等操作规程。第二十四条 在系统应急计划中,应当明确系统应急组织的组成和职责,确定应急资源准备要求,明确应急通知、应急响应、应急决策的流程,预先制定各种故障情形下的检查诊断方法、工具、步骤和恢复措施。第二十五条 在系统容灾备份计划中,应当明确灾难恢复组织的组成和职责,确定灾难恢复系统的恢复目标,确定数据备份和系统恢复资源准备要求,明确灾难通知、灾难响应、灾难恢复系统启用决策等流程,制定灾难恢复系统切换操作步骤等。 第二十六条 科技信息部运行组负责统一安排、调度批处理作业,确定有相互依赖关系的批处理的时间窗口。实际运行时,一旦某一环节
10、发生问题引起后续环节不能按正常时间安排启动作业的,由运行组启用应急计划,临时调整作业安排。第二十七条 科技信息部运行组负责根据系统运行、更新等情况和业务发展要求,不断修订、细化、补充、完善各项系统运行计划。科技信息部运行组和业务部门负责对系统运行保障计划、系统应急计划和系统灾备计划定期进行测试和演练,形成测试和演练报告或记录,并根据测试和演练情况及时修改和完善系统运行保障计划、系统应急计划和系统灾备计划。第二十八条 科技信息部会同业务部门,统筹安排全年系统维护和生产系统重大变更的计划并定期发布。实施前应通知相关部门,并严格按照预定的日期安排生产系统重大变更和重要系统维护。第二十九条 科技信息部
11、应组织制定以下特殊时期专门的运行支持计划,加强系统管理和技术支持工作,确保系统安全稳定运行:(一) 国家法定节假日期间;(二) 季度结息、年终结转期间;(三) 重大业务促销、预计业务突发增长等期间;(四) 根据上级管理部门要求确定的特殊运行保障时期。以上日期开始前,应当组织相关技术人员对系统进行安全和健康检查,对发现的风险隐患及时制定和实施整改及控制措施。第六章 值班管理第三十条 科技信息部运行组和开发组要根据科技信息系统的特点、业务处理要求和技术支持要求编制运行值班计划,合理安排相关人员参加现场值班或非现场值班,同时检查、督促IT供应商做好服务支持值班安排,确保能及时发现系统运行异常现象,及
12、时定位故障部位,快速恢复系统运行。第三十一条 科技信息部运行组须充分保障值班所需各项资源,部署监控系统和检查分析工具,建立可靠的通信系统和服务请求与事件受理系统,按值班工作要求授予值班人员所需的场地进入权限、系统访问权限和技术文档阅读权限,配备值班操作所需足够的备份介质和低值易耗品以及维护用备品、备件。第三十二条 科技信息部现场值班工作人员必须遵守操作规程、值班管理规定和运行事件处理与报告流程,熟练掌握工作职责范围内的技术知识、技能,能及时处理运行中出现的运行事件。第三十三条 科技信息部现场值班人员必须按时到达值班岗位,履行值班职责。值班期间不得擅离职守,不得从事与工作无关的事情。值班人员交接
13、班时要严格执行登记手续,交班人员离岗前应向接班人员详细介绍系统运行状况、介质备份情况、异常情况处理及未完成事项。接班人员未到岗时,交班人员不得离岗。第三十四条 科技信息部现场值班人员必须按照值班职责和操作规程执行各项值班任务:(一) 密切监控环境、设备、网络、系统、应用等运行状态及自动化作业执行情况;(二) 采用相关工具检查系统资源使用情况和业务处理情况,确保系统运行状态正常、性能良好;(三) 严格按照各系统的备份策略和备份计划进行备份操作,及时检查备份结果,并按要求对备份介质进行标记,需异地保存或入库的备份介质应及时办理介质交换或入库手续;(四) 做好系统监控、巡检、操作记录,填写值班日志。
14、第三十五条 值班人员对无法处理的事件,要立即通知相关人员到场,重大事件须及时上报。第三十六条 科技信息部非现场值班人员值班期间,须随时保证通信联络畅通,如遇突发情况需要提供支持,应及时响应。第三十七条 科技信息部要安排人员每天定时对设备间进行巡查,在巡查时要认真检查设备间内设备状态、环境温度、供电及电源负载情况,发现异常及时处置。第七章 变更管理第三十八条 科技信息部运行组负责组织实施软件变更、硬件变更等其他变更操作。第三十九条 科技信息部运行组应当根据科技信息系统的风险级别以及变更风险、影响范围等因素制定重大变更和一般变更的标准,分别制定相应的变更审批和变更操作流程,并对紧急变更流程做出规定
15、。第四十条 变更前期准备工作由运行组、开发组和业务部门共同完成,工作内容包括:(一) 科技信息部运行组负责规划和分配变更所需的基础设施资源;(二) 科技信息部开发组负责形成应用版本,并在测试环境内完成测试工作,应用版本应有详细的技术文档;(三) 变更提出方应制定变更计划,明确各相关组织和人员的职责,对业务服务产生重大影响的重大变更,还应当知会业务部门发布公告;(四) 变更提出方应制定变更方案,详细描述变更实施操作步骤、验证方法以及变更失败情况下的回退方案及应急措施。变更方案由科技信息部运行、开发人员和业务部门共同确定。第四十一条 变更实施须符合以下要求:(一) 应用版本必须以标准、规范、安全的
16、方式导入生产系统;(二) 变更相关技术文档应当符合有关规定的要求,变更实施人员应有必要的培训;(三) 应尽可能采用自动化工具完成应用版本的部署和安装;(四) 对于采用新技术、新产品、新版本的重大生产系统变更,应事先进行充分的业务功能测试和压力测试;(五) 对于不能进行测试或难以达到测试环境与生产环境一致的情况,应进行风险分析,制定有效的应急预案。第四十二条 变更申请必须附带变更计划和变更技术方案,对于重大变更还应有详细的测试报告。第四十三条 科技信息部运行组对变更准备工作进行审核,统筹考虑,统一安排,确定变更实施时间。对于重大变更,可聘请专家进行变更评审。变更实施中,相关部门及人员应严格按照变
17、更计划和技术方案进行变更操作,并对变更结果进行测试和验证。对业务产生重大影响的变更,业务部门应安排人员在变更结束后进行业务测试和验证。变更完成后,应根据变更结果更新配置管理数据库,并及时将应用版本软件、参数配置、变更记录等资料归档保存。第四十四条 在实施可能影响辖内所有网点正常运行的骨干网络、关键设备的变更时,要对变更操作风险进行分析,制定变更方案,对变更失败情况要确定回退方案及应急措施。变更操作应选择网点非营业时间进行。第八章 配置管理第四十五条 科技信息部运行组要严格配置管理,保证准确地记录和描述组成生产系统的各个组件及其相互关系,确保系统运行管理工作基础数据的完整性和一致性。第四十六条
18、科技信息部运行组应建立配置管理数据库或技术文档库,管理各组件的配置信息,并由具有访问权限的人员能够获取所需的配置信息,以便顺利开展事件管理、变更管理、可用性管理和性能管理等活动。第四十七条 关于系统硬件、软件、网络设备、外围设备、通信线路、应用软件、系统参数、应用参数、介质等系统组件及其技术文档等配置信息都应纳入配置管理。各项配置信息的详细程度应满足运行管理工作的需要。第四十八条 科技信息部运行组应建立并严格执行配置管理流程,规范配置信息管理,对配置信息的更新活动须进行审核,确保配置管理数据库中记录了配置项的最新信息。第九章 事件管理第四十九条 科技信息部运行组要严格事件管理,规范突发事件和用
19、户服务请求的响应、处理流程,并及时跟踪、反馈事件和服务请求的处理进程。第五十条 科技信息部运行组负责统一受理事件报告和服务请求。运行组应建立事件监控和管理系统,受理事件报告和服务请求,进行记录和分类后,按照预定的流程通知、转发至相关支持人员和部门。第五十一条 事件处理完毕后,科技信息部运行组应详细记录解决方案,及时更新知识库,以便再次发生相同的事件时能够及时采取已知的解决方案进行处理。科技信息部运行组应定期召开例会对事件进行回顾,总结事件处理经验和教训,提出整改措施。第五十二条 科技信息部运行组应定期进行事件管理工作的检查和考核,统计事件总数、问题解决成功率、平均解决时间等指标,逐步提高服务水
20、平。第五十三条 科技信息部负责组织、协调、调度相关人员参加重大运行事件的应急响应和应急恢复工作,并负责在规定的时限内逐级向有关联社领导和有关监管部门通知、报告重大事件发生、进展和恢复情况。第五十四条 确立无条件响应紧急事件的原则。相关人员一旦收到紧急事件请求或命令,都应立即投入紧急事件响应和恢复工作。在签订运行服务合同时,应当对IT供应商及其技术支持人员提出类似的服务要求。第五十五条 重大运行事件处理完毕后,由科技信息部运行人员组织完成重大运行事件处理和分析报告,对重大运行事件发生的过程、现象、对业务的影响及影响范围、受影响的相关系统情况、处理和恢复过程、原因分析和采取的措施等进行客观、真实的
21、报告。第十章可用性与性能管理第五十六条 科技信息部运行组要加强系统可用性和性能管理,根据生产需求和测试情况,合理配置生产系统资源,防止发生可用性和性能问题,确保满足业务服务的可用性和性能要求,提高资源的使用效率,有效控制服务成本。第五十七条 科技信息部运行组应完善可用性和性能监控管理机制,设置可用性和性能的阀值报警功能,以便及时发现系统故障和潜在的问题,准确计算和报告服务可用性和性能。第五十八条 科技信息部运行组应采取有效措施缩短系统故障诊断、切换、恢复等时间,选择合适的时间进行系统变更,减少服务停顿的时间,提高系统可用性。采用有效的自动化手段分析性能数据,记录、跟踪、分析系统硬件、软件、网络
22、等方面的性能问题。第五十九条 业务部门应定期根据业务发展研究出具业务发展趋势报告,科技信息部应根据业务发展趋势报告分析系统运行趋势,采取优化系统配置参数、优化应用程序、对系统进行升级、扩容改造等措施,提高系统服务性能。第十一章数据管理第六十条 科技信息部建立数据管理制度,对数据的生成、传递、传输、导出、备份、归档、保存、迁移、转储、恢复、销毁等环节进行管理和控制,确保数据安全,以满足系统恢复、业务处理和业务监管的要求。第六十一条 科技信息部运行组应根据系统安全等级,确定数据的保护等级、访问权限、操作权限和加密措施。第六十二条 数据介质的运输、保存、保管场地应符合有关物理环境的技术要求。第六十三
23、条 科技信息部运行组应按照业务持续性和系统可用性的要求,建立数据备份和恢复策略,确定系统数据和业务数据的备份内容、备份方式、备份时间及备份介质保存周期、保存场所等,并制定相应的恢复程序。重要数据的备份必须制作多份,并将其中一份保存在异地。第六十四条 科技信息部运行组应建立数据清理策略,定期清理联机数据,保持系统性能良好。根据业务要求和监管要求,建立归档策略,定期对业务数据进行归档和保存,采用的归档数据格式应不依赖于归档时的系统环境。第六十五条 科技信息部运行组应加强生产系统之间数据交换的管理,对数据的导出、迁移、转换、传输、加载等操作进行监控与记录。操作需要采取手工方式的,应制定详细的操作步骤
24、,记录操作过程,需由多人操作的应办理交接手续。操作采取自动方式的,应对自动执行的过程、状态及结果进行监控和自动记录。第六十六条 有关交易、账务、客户等高度敏感信息须采取加密传输和保存,敏感信息的修改须采取技术措施控制,并进行严格的管理控制。第六十七条 数据需要从生产环境导出使用时,须按相关规定进行审批与安全预处理,防止敏感信息泄密。第六十八条 科技信息部运行组应定期检查、验证备份数据的有效性,包括备份系统数据与生产系统数据的同步性和一致性。第十二章系统与网络安全管理第六十九条 科技信息部运行组应遵照监管部门有关安全等级规范,制定系统与网络安全管理策略。第七十条 科技信息部运行组应严格网络和系统
25、用户口令管理,制定明确的网络和系统用户口令管理策略和口令的申请、审批、发放、回收、修改管理流程。要定期对网络和科技信息系统用户口令管理的情况进行检查。积极采用先进的技术和产品,增强身份认证,加强口令管理,保护系统安全。第七十一条 科技信息部运行组应制定严格的管理程序控制应用系统密钥的产生、传输、启用、保管和销毁。密钥应由机要人员等第三方人员保管,密钥操作过程应保证符合相互隔离、相互约束等控制原则。针对密钥丢失、损坏、失效等情形须建立应急预案,一旦发生密钥事故,应立即报告区联社相关部门和主管领导。第七十二条 科技信息部应逐步建立访问控制系统、入侵检测系统、漏洞扫描系统和安全监控跟踪系统等安全防护
26、系统,确保网络和科技信息系统的安全运行。第七十三条 重要网络和系统应开启系统日志、应用日志和运行维护日志,并定期对日志进行监控、稽核和跟踪分析。第七十四条 生产网络必须严格与测试网络、开发网络进行隔离,对生产网络的访问实施严格的权限控制。第七十五条 未经科技信息部批准,任何人不得在生产系统上安装编译软件和其他与生产运行无关的程序,不得在生产系统上保留任何形式的源代码。如果因系统运行需要必须在生产系统上安装编译软件或保留源代码的,要履行审批手续并进行备案,同时严格控制其访问和执行。第七十六条 系统软硬件及应用软件的安装,系统参数和数据库数据等重要信息的修改或恢复,以及其他系统维护重大操作的实施必
27、须由运行相关岗位人员负责,必要时可由运行相关岗位人员监督执行。第七十七条 科技信息部运行组应严格管理和控制由IT供应商提供的系统程序及其安装程序,防止在系统中保留后门、陷阱等安全隐患。未经批准,任何人不得在生产系统上测试、试用新的硬件和软件。第七十八条 科技信息部运行组要定期对执行代码和环境参数进行检查、比对,防止执行错误的代码。第七十九条 科技信息部运行组应严格后台操作流程,有效控制操作风险。对于批处理作业等后台操作、涉及客户账务和资金风险的技术操作不得采取远程登录方式访问系统,同时应遵循谨慎操作、双人复核的原则,确认无误后方可执行操作命令,必须对处理结果进行检查、审核,并做好操作记录。第八
28、十条 科技信息部运行组应加强互联网、外联网接入的管理,实时监控网络入侵、渗透、攻击等可疑行为;明确专人定期检查、审计监控日志信息。第八十一条 科技信息部运行组应加强对IT供应商人员参与网络和系统维护的监控,IT供应商人员应在运行人员的监督下进行操作,同时采取相关技术手段对操作进行记录和审计。第八十二条 科技信息部运行组应加强系统和网络基础设施的运行维护和建设实施管理:(一) 按照有关技术规范进行系统和网络的建设实施,IP地址和安全策略应符合统一规划。系统硬件、软件和网络设备的安装、配置、调试应制定详细的操作步骤,其中关键设备的安装应有厂商技术人员现场支持;(二) 严格按照实施工艺的要求施工,通
29、信线缆、光缆应捆扎整齐、固定牢靠、标记清晰;(三) 严格进行功能和性能测试,确保达到设计要求并符合应用系统的需要,实施完成后应及时对施工技术文档和配置文件进行整理、归档。第八十三条 主机设备、网络通信设备以及外围设备在投入正式使用前,应依据供货厂商提供的项目和相关指标,由相关技术人员进行设备验收测试,出具验收测试报告,经批准后使用。第八十四条 科技信息部运行组应制定设备的维护计划,对维护的项目、步骤、周期、责任人等做出明确规定,并严格按照设备维护计划定期进行设备的保养和维护,做好设备维护记录。第八十五条 在日常运维中,科技信息部运行组应做好设备的日常监测、检查、记录,及时掌握设备的运行状况。设
30、备发生故障时应及时维修,必要时,通知供货厂商(代理商)的技术人员到场解决。第八十六条 信息安全设备的使用须有国家有关部门颁发的销售使用许可证。信息安全设备送外部维修时,应删除敏感信息。信息安全设备一旦丢失,要立即上报并采取有效防范手段。信息安全设备报废后应经科技信息部主要负责人批准,并实施破坏性销毁。第八十七条 科技信息部运行组应严格控制和详细记录防火墙、防病毒网关、入侵检测、漏洞扫描、VPN、加密机、认证授权等信息安全设备的操作,严格管理维护和维修过程。第八十八条 科技信息部负责所辖范围内的桌面系统、终端及前端系统的技术支持和维护工作,负责系统软件和应用软件的安装及参数配置。XX,任何人不得
31、对其进行变动。第八十九条 办公桌面系统、终端及前端系统应逐步建立安全管理和病毒防御体系。接入生产系统的终端,必须满足生产系统的安全要求,禁止在终端上安装未经批准的软件。第九十条 严格禁止生产系统中使用的桌面系统以及前端系统擅自接入互联网。第九十一条 未经科技部门授权,不得擅自卸载防病毒软件等安全产品以及修改安全产品的配置,不得擅自变更IP地址及其他重要参数。第十三章机房与场地环境管理第九十二条 中心机房,必须符合国家A类机房的标准。机房环境及场地管理应满足以下要求:(一)机房要实施7x24小时实时监控,监控录像最短保存三个月,并能随时调阅。机房监控系统由专人管理。(二)机房须实施严格的门禁管理
32、措施,XX不得进入,门禁系统的出入记录应最少保存三个月,并定期检查。(三)机房内严禁携入易燃、易爆和强磁性、腐蚀性、刺激性的物品,禁止违章作业。(四)非运行人员及外单位人员进入中心机房须经审批,值班人员核查并登记相关证件,由相关人员陪同,方可进入机房。(五)严格执行机房的定期检查计划,对机房的空调、供电、监控、防水、防盗、防雷击、防鼠、防静电及门禁等相关设施进行检查、维护。机房相应设施应有应急预案和演练计划并定期演练。(六)定期对供配电设备、不间断电源设备、发电机组等进行检修、维护,保证提供可靠的电力供应,电力供应保持一定的冗余。(七)定期对机房空调进行检查、维护,确保机房温度、湿度满足计算机设备稳定运行
