(2020)计算机系统运行管理规定

1、计算机系统运行管理规定2020年4月多年的企业咨询顾问经验 经过实战险证可以落地施亍的卓越管理方案，值得您下载诩台:1 目的为加强丹东银行（以下简称“本行”）计算机系统的运行管理，规范操作，依据 中华人民共和国计算机信息系统安全保护条例、 计算机场地安全要求、中华人民共和国计算机信息网络国际联网管理暂行办法、 商业银行信息科技风险管理指引等法规，制定本规定。2 范围2.1 本规定明确了计算机系统运行时中心机房、主机系统、网络系统、操作权限与口令等内容与要求。2.2 本规定适用于本行的计算机系统安全运行管理。3 术语与定义3.1 本规定所称中心机房是指容纳并集中运行计算机业务处理、管理信息或网络

2、通信系统等的专用物理场所（以下简称机房）。3.2 主机系统运行管理是指对机房运行的主机、操作系统、数据库和中间件等操作、维护过程的管理。3.3 网络通信管理是指对所辖网络通信系统运行的管理。4 职责与权限4.1 信息科技管理委员会是计算机系统运行的监督管理部门，对本行的计算机系统运行中所产生的问题做最终决策。4.2 科技开发部是计算机系统运行的主管部门，负责中心机房所有系统运行的安全管理。4.3 各系统运行单位负责本部门系统运行的安全管理。5 政策严密制度、控制风险、规范操作、严格管理6 流程图无7 风险控制要点无8 内容与要求8.1 机房运行管理8.1.1 机房建设应符合电子计算机机房设计规

3、范(GB50174-93) 的标准。8.1.2 机房为重要设备运行管理场所，除机房管理人员外，其他人员未经批准不得进入。确因工作需要必须进入的，需填写“外来人员进出登记表”，经批准后由科技开发部员工陪同进出。8.1.3 机房管理实行责任制。科技开发部应根据规范要求实施管理、操作、监控和维护保养。机房管理人员应具备相应的机房管理知识。8.1.4 科技开发部岗位人员应每天定时巡检设备运行情况，及时维护保养，发现问题立即报告并处理，必要时可实行全时监控。8.1.5 机房设备的操作规程、制度应当明示上墙，安全防护措施齐备，各项操作必须在确保安全的前提下依照规程进行，严禁违规操作。8.1.6 机房的温度

4、、湿度、粉尘度等各项指标必须严格控制在规定范围之内。8.1.7 机房应保持卫生清洁，严禁吸烟、会客、聚餐和娱乐等行为。8.1.8 科技开发部岗位人员要认真做好 “机房出入登记”、 “设备巡视登记”、 “操作记录”等各项记录，登记资料内容必须完整，并定期整理归档。8.2 主机系统运行管理8.2.1 本行应制定主机系统的定期维护工作计划，维护人员须严格执行工作计划，并详细记录维护工作情况。8.2.2 系统维护人员应密切监控系统运行状况，及时处理系统运行中出现的故障，并详细记录系统故障的处理过程。对影响较大且影响业务正常办理的故障，须及时报告上级主管。对应用系统的故障，及时反馈给科技开发部总经理，并

5、对故障产生原因进行认真的分析总结。8.2.3 系统维护人员每日须对系统日志进行检查，具体分析系统可能存在的安全隐患和漏洞，及时研究并提出补救性措施，经批准后实施，确保系统运行的安全。8.2.4 系统维护人员修改系统参数，须经总经理批准且双人临岗，修改前须进行系统备份或参数备份，详细记录操作过程并整理归档。8.2.5 严格控制对业务数据库的非应用性操作。特殊原因必须修改业务数据库的， 由需要修改的部门提出数据修改申请，报单位分管负责人批准后，双人上机操作并做好修改前的数据备份。8.2.6 系统维护人员必须制定备份计划，对备份的时间、内容、级别、人员、保管期限、异地存取和销毁手续等进行明确规定，需

6、用备份介质对运行系统进行故障恢复时，视同重要事件进行管理控制。8.2.7 主机系统、应用软件升级或更新、新旧系统切换、应用系统年终结转、应用系统存贷结息等重要操作，系统维护人员应与相关业务部门密切配合，共同制定详细的工作计划和方案。 应用系统增加新业务功能的，系统设计部门须提供业务功能说明书、操作手册、用户手册、软件包，系统维护人员在指定FTP 服务器存储，并提前2个工作日向应用单位发出书面的安装新业务程序通知，各应用单位须在规定时间内做好新业务程序安装工作 主机系统硬件、操作系统升级，由相关公司提供升级方案，系统维护人员协助相关公司技术人员进行操作维护。8.2.7

7、.3 数据库、 中间件升级的，由相关公司提供升级方案和技术支持，系统维护人员根据升级方案，负责实施。 应用软件后台服务程序升级，由应用软件设计部门提供升级方案、模块功能说明书，并通知应用网点。在业务周期结束后，由系统维护人员负责实施。 应用软件前台服务程序升级，由设计部门提供升级方案、模块功能说明书、操作手册、用户手册、升级程序包等，由系统维护人员在指定FTP 服务器存储， 并提前 2 个工作日发出前台服务程序升级通知，各单位在规定时间做好升级工作。8.2.8 计算机病毒的防范工作应明确专人负责，并建立本行的计算机病毒防范管理制度，定期进行计算机病毒的检查、清除。8

8、.2.9 应建立计算机系统运行日志，具体记载系统运行情况，运行日志作为机密档案进行管理。8.2.10 系统维护人员应定期对系统运行情况进行检查，分析系统资源应用及运行情况，并提出系统资源的优化报告。8.2.11 运行系统的配置、技术方案、软件和业务测试方案的修改由科技开发部提出，报分管领导审批后实施。8.2.12 信息科技主机系统运行维护与系统开发和维护要严格分离，确保信息科技开发部内部的岗位相互制约。8.3 网络通信管理8.3.1 区域性网络系统改造按计算站场地安全要求(GB9361-88) 的标准执行， 网络系统改造前应将改造方案形成规范性文档，报信息科技管理委员会批准后实施。8.3.2

9、网络改造必须在信息科技管理委员会统一规划下进行，各行不得擅自增加、 删除网络节点及修改网络参数，确需增加、删除网络节点或修改网络参数的，应严格履行审批手续。并报信息科技管理委员会备案。8.3.3 网络拓扑结构图、网络通信设备的配置参数、网络地址(如IP 地址、拨号备份电话号码、ISDN 号码)等网络通信的技术性资料应及时归档保管，并建立严格的保密制度。8.3.4 本行内部网络与外单位的联网的必须按涉及国家秘密的计算机信息系统保密技术要求( BMB1-2000 )执行。8.3.5 网络维护人员应做好网络通信系统的日常运行维护工作： 密切监控网络的运行，及时排除网络运行中出现的故障，

10、并做好网络运行和维护的记录。 定期分析网络运行状况，形成网络性能优化方案，优化方案报分管行长批准后实施。 严格控制内部网络各节点的通信，防止各种非法访问。 网络的通信线路应有备份，对长期处于休眠状态的备份线路应按月进行检测。8.4 账号管理8.4.1 普通账号管理 申请人使用统一而规范的中心机房密码修改登记簿提出用户账号创建、修改、删除/禁用等申请。 账号申请人所属部门负责人及系统拥有部门负责人根据岗位权限审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。 在受理申请时，

11、权限管理人员根据申请配置权限，在系统条件具备的情况下， 给用户分配独有的用户账号或禁用用户账号权限，以使用户对其行为负责。一旦分配好账号，用户不得使用他人账号或者允许他人使用自己的账号。 新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。 人员离职的情况下，该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后，人力资源部需通过邮件或书面的方式通知员工所属部门主管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请删除离职人员账号及权限。 账号管理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记

12、录。1.1.2 特权账号和超级用户账号管理 特权账号指在系统中有专用权限的账号，如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如administrator （或admin ） 、 root 等管理员账号。 只有经授权的用户才可使用特权账号和超级用户账号，严禁共享账号。 科技开发部每季度查看系统日志，监督特权账号和超级用户账号使用情况。 尽量避免特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。 临时使用超级用户账号必须有监督人员在场记录其工作内容。1.1

13、.2.6 超级用户账号临时使用完毕后，账号管理人员立即更改账号密码。1.1.3 用户账号及权限审阅 系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅，并填写中心机房密码修改登记簿。 科技开发部指定专人负责每季度对系统层面账号及权限进行审阅，并填写中心机房密码修改登记簿。 员工离职后，账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员，则及时更改特权账号或超级用户口令。1.5 权限与口令管理1.5.1 科技开发部须对主机系统、网络通信运行实行操作权限与口令的管理，并建立操作权限与口令管理登记簿。1.5.2 操作口令的设

14、置应具备安全性、保密性，密码长度不少于6 位，由字母与数字混合组成。1.5.3 操作口令应定期修改，如发现或怀疑泄露应立即更改，修改后须在口令管理登记簿上登记用户名、修改时间、修改人等内容，以备查考。1.5.4 主机、路由器等重要设备的超级用户口令由科技开发部总经理指定专人设置与管理，并由口令设置人员将口令装入密码信封，在骑缝处加盖个人名章或签字后登记存档。特殊情况需启用封存口令时，必须经过单位负责人书面批准。使用完毕后，须立即更改并封存，同时在口令管理登记簿中登记备查。1.5.5 普通用户的建立必须由用户使用者提出申请，报相关负责人审批后，由系统、网络维护人员遵循有限授权原则建立。1.5.6

15、 相关被授权工作人员调离岗位，科技开发部总经理须指定专人接替并对口令立即修改或将用户删除，同时在口令管理登记簿中登记备查。1.5.7 掌握系统或设备最高用户权限的人员须严格控制该系统或设备的多余用户，一经发现，立即删除，并记录有关信息。1.6 故障排查1.6.1 单点故障排查周期:6 个月检查一次。如有上级监管要求可安排临时排查，新增系统需要进行单点故障排查1.6.2 单点故障排查内容：检查应该覆盖：存储、服务器、交换机、路由器、网络线路，检查点：是否冗余硬件（双电源双网卡 RAID 磁盘阵列）、是否双机（服务器、交换机、路由器）、是否双线路1.6.3 风险故障排查：及时对经常发生的或偶然发生

16、的因信息系统漏洞导致业务失控的风险进行排查，根据信息系统漏洞进行到排查。度1.7 日志管理1.7.1 对各项操作均应进行日志记录，内容应包括操作人、操作时间和操作内容等详细信息。各级部门维护人员应每日对操作日志、安全日志进行审查，对异常事件及时跟进解决，并每周形成日志审查汇总意见报上级主管部门审核。安全日志应包括但不局限于以下内容：对于应用系统，包括系统管理员的所有系统操作记录、 所有的登录访问记录、对敏感数据或关键数据有重大影响的系统操作记录以及其他重要系统操作记录的日志；对于操作系统，包括系统管理员的所有操作记录、所有的登录日志、系统运行日志；对于数据库系统，包括数据库登录、 数据库运行日

17、志。1.7.2 系统的日常运行维护由专人负责，定期进行维护，并检查系统运行日志。 对于应用程序级别的日志为每周的备份，重大变更前要整体做备份。 对于操作系统的日志备份要通过定制计划任务定期执行，并有制定人员检查运行情况，并登记在案。 对于数据库系统的日志备份有DBA 制定计划任务定期执行，并有 DBA人员检查运行情况，并登记在案。1.7.3 备份日志数据应包括系统软件和数据、业务数据、操作等相关日志。1.7.4 各级部门应定期对备份日志进行检查，发现问题及时整改补救。 备份操作人员须检查每次备份是否成功，并填写备份日志审查登记簿 ，对备份

18、结果以及失败的备份操作处理需进行记录、汇报及跟进。1.7.5 科技开发部负责人应制定相应的备份日志审查计划，包括由于业务需求发起的备份日志审查以及日志文件的格式时间内容的。计划中应遵循数据重要性等级分类，保证按照优先级对备份日志审查。1.8 批处理操作管理及监控制度1.8.1 为了保证应用系统在正常、顺利运行的情况下，简化日常操作，科技开发部可在系统后台进行批处理任务的设置。由于批处理工作中，前一工作的结果会直接影响后一工作的结果，从而对业务数据产生重大影响，因此必须在批处理配置的过程中进行有效的控制，保证批处理操作的合法性和结果的准确性。1.8.2 批处理的设置 科技开发部应建

19、立批处理操作手册作为批处理的操作指导。批处理操作手册应该包括批处理任务清单、批处理工作的实现方式、执行批处理的权限设置、批处理任务的检查等内容。 批处理操作手册应该涵盖需要通过批处理进行的所有操作，可以分为日批处理、周批处理、月批处理和年批处理几类。每一种批处理任务的设置方法、作用、 运行时间和各个任务的运行次序应该在操作手册中详细说明，保证操作人员通过阅读批处理操作手册能够清楚地知道每一个批处理任务的执行会对业务数据产生的影响。 批处理工作的实现方式，指批处理是通过设置定时器自动运行还是通过操作人员在系统中输入相应的命令手工运行。无论何种运行方式，均应在操作手册中

20、明确描述具体的操作步骤（如何设置定时器，或者需要操作人员输入哪些命令等） 。 批处理工作应该由科技开发部的特定员工通过批处理专用账号执行，在操作手册中应该明确体现此规定。1.8.3 批处理的变更 批处理的变更和停止操作提交至科技开发部负责人审批通过后，方可由科技开发部指定人员在系统中进行设置。 批处理操作变更后，应立即变更相应的批处理操作手册。变更后的批处理操作手册，必须经过科技开发部负责人确认后才能实施。1.8.4 批处理的检查 科技开发部应指定专责人员定期察看批作业执行结果，发现问题检查人员应及时处理，如果批处理错误不能自行处理，相应

21、的技术支持人员的名单和联系方式等，以指导批处理人员对批处理运行结果的检查。 科技开发部应指定专责人员负责保留批处理过程中的文档，包括批处理工作痕迹应保留备查。9 检查与监督9.1 科技开发部负责对本文件的可操作性、适宜性进行日常监督与检查，必要时对文件进行更改，确保文件适用，具体执行文件控制程序。9.2 审计部对该文件的执行情况，相关登记簿登记的完整性等进行集中检查、督促整改。9.3 合规管理部负责每年一次对该规章制度的合规性进行审查，并督促整改。10 支持性文件10.1 外部合规文件10.1.1 科技信息风险管理指引10.1.2 电子计算机机房设计规范(GB50174-93)1

22、0.1.3 电子计算机机房施工及验收规范(SJ/T30003-93)10.1.4 计算站场地安全要求(GB9361-88)10.1.5 电子计算机场地通用规范(GB2887-2000)10.1.6 计算机机房用活动地板技术条件(GB6650-86 )10.1.7 国家秘密的计算机信息系统保密技术要求(BMB1-2000 )10.2 内部合规文件10.2.1 文件控制程序10.2.2 因特(互联)网管理规定11 支持性记录11.2 设备巡视登记DDB-QC-KJ-304-0211.3 计算机工作日志11.4 批处理变更申请表11.5 中心机房密码修改登记簿DDB-QC-KJ-304-03DDB-

23、QC-KJ-304-04DDB-QC-KJ-304-0511.6 备份日志审查登记簿DDB-QC-KJ-304-0611.7 丹东银行生产数据中心物理环境巡检登记簿DDB-QC-KJ-304-0712 附录无编制：日期：年月日审核：日期：年月日批准：日期：年月日11.1 主机房进出登记表DDB-QC-KJ-304-01丹东银行生产数据中心出入登记簿2013 年月日进入时间离开时间姓名单位证件及号码事由陪同人保卫人员注：进入科技楼外来人员需要到二楼和三楼的必须登记证件，出门需要陪同人签字登记11.2DDB-QC-KJ-304-02时17:0020:0022:002:006:008:0010:00

24、13:0015:00备注二楼温度：温度：温度：温度：温度：温度：温度：温度：温度：ATS-1室湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：二楼温度：温度：温度：温度：温度：温度：温度：温度：温度：ATS-2室湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：二楼温度：温度：温度：温度：温度：温度：温度：温度：温度：UPS-1室湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：二楼UPS-2室温度：湿度：温度：湿度：温

25、度：湿度：温度：湿度：温度：湿度：温度：湿度：温度：湿度：温度：湿度：温度：湿度：丹东银行生产数据中心巡检登记簿巡检人:年 月日状态：状态：状态：状态：状态：状态：状态：状态：状态：二楼温度：温度：温度：温度：温度：温度：温度：温度：温度：屏蔽室湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：运营商区湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：配电室湿度：湿

26、度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：B网络区湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：C业务区湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：D业务湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：区状态：状态：状态：状态：状态：状

27、态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：E预留区湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：F管理区湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：三楼温度：温度：温度：温度：温度：温度：温度：温度：温度：G测试区湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：湿度：状态：状态：状态：状态：状态：状态：状态：状态：状态：当天巡检工作总结及其他情况登记:注：状态栏记录是否正常，

28、正常写A,异常写B,并在备注上写明异常现象及后续处理结果11.1 计 算 机 工 作 日 志DDB-QC-KJ-304-03丹东银行生产数据中心日终批量登记簿日期2013 年月日值班人签到未平帐机构及联系情况:起始时间结束时间运行状态备注1主机交易批批前处理3主机交易批各项检查4主机交易批换日前处理5检查分支行平帐口分支行全部平帐6主机交易批换日处理7主机交易批换日后处理8主机交易批正式签退9主机会计批各项检查10主机会计批换日前处理11主机会计批换日处理12主机会计批换日后处理13主机会计批正式签退14核心SOP数据采集操作步骤：1、确认所在系统为SOP;2、进入数据采集目录(dsjcj)；

29、3、进入数据采集菜单(sjcj),按菜单显示步骤依次执行；4、退出SOP系统。15ECIF数据采集操作步骤：1、登陆ECIF系统；2、进入数据采集目录(dsjcj)；3、进入数据采集菜单(sjcj),按菜单显示步骤依次执行；4、退出ECIF系统。16数据库优化17清理临时文件问题及解决情况:批处理变更申请表申请人部门申请日期涉及系统原批处理名称及编号申请原因及操作描述变更原因:变更内容:运行时间:申请部门负责人签字：日期: 批处理变更审批科技开发部负责人审批意见：科技开发部负责人签字：日期：批处理变更执行设置方法：执行人员签字：日期：11.2 批处理变更申请表DDB-QC-KJ-304-0411.3 中 心 机 房 密 码 修 改 登 记 簿DDB-QC-KJ-304-05中心机房密码修改登记簿登记时间2013/7/25序号系统/设备机房区域登陆用户用户性质IP地址管理人封存日期11.4 备 份 日 志 审 查 登 记 簿DDB-QC-KJ-304-06备份日志审查登记簿时间数据内