T業(yè)務(wù)審計(jì)基礎(chǔ)知識課程講義

1、交通銀行IT業(yè)務(wù)審計(jì)交通銀行IT業(yè)務(wù)審計(jì)PAGE 42PAGE 43 IT業(yè)務(wù)審審計(jì)基礎(chǔ)知知識 隨著計(jì)算機(jī)機(jī)技術(shù)的高高速發(fā)展，銀銀行計(jì)算機(jī)機(jī)應(yīng)用也日日新月異。目前我行行計(jì)算機(jī)應(yīng)應(yīng)用幾乎涵涵蓋了所有有的銀行業(yè)業(yè)務(wù)，并依依靠計(jì)算機(jī)機(jī)技術(shù)的支支持，不斷斷創(chuàng)新銀行行業(yè)務(wù)。計(jì)計(jì)算機(jī)應(yīng)用用的方式也也從過去的的單點(diǎn)單機(jī)機(jī)處理方式式逐步提高高為全國大大集中、224小時(shí)自自助銀行、核心業(yè)務(wù)務(wù)系統(tǒng)處理理的方式。因各種原原因造成計(jì)計(jì)算機(jī)應(yīng)用用系統(tǒng)不能能正常運(yùn)行行從而導(dǎo)致致銀行業(yè)務(wù)務(wù)停頓和資資金損失的的風(fēng)險(xiǎn)已經(jīng)經(jīng)成為最重重大的金融融風(fēng)險(xiǎn)之一一，因此確確保銀行計(jì)計(jì)算機(jī)應(yīng)用用系統(tǒng)的安安全可靠運(yùn)運(yùn)行已顯得得尤為重要要，加強(qiáng)

2、對對IT審計(jì)計(jì)也就勢在在必行。第一章 IT業(yè)務(wù)務(wù)審計(jì)的職職責(zé)、審計(jì)計(jì)范圍和審審計(jì)流程1.1 IT審計(jì)計(jì)職責(zé) 1.1.1 總總行IT審審計(jì)職責(zé)總行現(xiàn)場審審計(jì)五部負(fù)責(zé)全全行IT審審計(jì)管理工工作，其主主要職責(zé)：（1）負(fù)責(zé)責(zé)制訂信息息系統(tǒng)安全全和電子渠渠道業(yè)務(wù)審審計(jì)制度、手冊和工工作計(jì)劃；（2）負(fù)責(zé)責(zé)對全行信信息系統(tǒng)安安全和電子子渠道業(yè)務(wù)務(wù)的審計(jì)，包括括對總行信息技技術(shù)管理部部、電子銀銀行部、軟軟件開發(fā)中中心和數(shù)據(jù)據(jù)處理中心心內(nèi)控管理理及業(yè)務(wù)部部門計(jì)算機(jī)機(jī)安全應(yīng)用用方面的審計(jì)計(jì)；（3）參與與總行業(yè)務(wù)務(wù)應(yīng)用軟件件的開發(fā)審審核，重點(diǎn)點(diǎn)是軟件程程序風(fēng)險(xiǎn)控控制的審核核，軟件投投入應(yīng)用前前的測試、驗(yàn)收等；（4）

3、對全全行信息系系統(tǒng)安全和和電子渠道道業(yè)務(wù)進(jìn)行行審計(jì)并作作出評價(jià)；評估各計(jì)計(jì)算機(jī)業(yè)務(wù)務(wù)處理系統(tǒng)統(tǒng)在實(shí)現(xiàn)內(nèi)內(nèi)部控制制制度各個(gè)環(huán)環(huán)節(jié)方面的的控制能力力及可審計(jì)計(jì)性，發(fā)現(xiàn)現(xiàn)薄弱環(huán)節(jié)節(jié)及時(shí)向有關(guān)關(guān)部門提出出建議。（5）對地地區(qū)和省直直分行所在在地城市審審計(jì)部，信信息系統(tǒng)安安全審計(jì)工工作進(jìn)行指指導(dǎo)，并對對其報(bào)送的的信息系統(tǒng)統(tǒng)專項(xiàng)審計(jì)計(jì)報(bào)告進(jìn)行行審閱，提提出意見；（6）組織織和實(shí)施全全行性的信信息系統(tǒng)和和電子渠道道業(yè)務(wù)審計(jì)計(jì)；（7）負(fù)責(zé)責(zé)省直分行行及部分省省轄行ITT業(yè)務(wù)及電電子渠道業(yè)業(yè)務(wù)現(xiàn)場審審計(jì)；（8）收集集、分析、歸納、匯匯總IT業(yè)業(yè)務(wù)和電子子渠道業(yè)務(wù)務(wù)審計(jì)信息息，撰寫IIT業(yè)務(wù)和和電子渠道道業(yè)務(wù)審計(jì)

4、計(jì)分析報(bào)告告和工作總總結(jié)等。（9）負(fù)責(zé)責(zé)審計(jì)支持持系統(tǒng)管理理、運(yùn)行維維護(hù)工作。1.1.22 地區(qū)區(qū)審計(jì)部IIT審計(jì)職職責(zé)地區(qū)審計(jì)部部分為華北北、華東、華南、華華西和東北北審計(jì)部，作作為總行審審計(jì)部在各各地區(qū)的延延伸機(jī)構(gòu)，接接受總行審審計(jì)部的領(lǐng)領(lǐng)導(dǎo)和管理理，對地區(qū)區(qū)審計(jì)部監(jiān)監(jiān)管范圍城城市審計(jì)部部實(shí)行領(lǐng)導(dǎo)導(dǎo)和管理。其IT審審計(jì)主要職職責(zé)如下：（1）地區(qū)區(qū)審計(jì)部按按照總行審審計(jì)部的要要求開展IIT審計(jì)工工作，代表表總行審計(jì)計(jì)部對所監(jiān)監(jiān)管機(jī)構(gòu)開開展IT審審計(jì)監(jiān)督活活動；（2）按照照總行審計(jì)計(jì)部制定的的IT審計(jì)計(jì)工作制度度和工作安安排，研究究制訂地區(qū)區(qū)審計(jì)部的的具體實(shí)施施細(xì)則和工工作計(jì)劃,并組織實(shí)實(shí)施；

5、（3）負(fù)責(zé)責(zé)對轄內(nèi)行行IT審計(jì)計(jì)工作的領(lǐng)領(lǐng)導(dǎo)和管理理，進(jìn)行IIT審計(jì)工工作的考核核和評價(jià)；（4）對監(jiān)監(jiān)管范圍內(nèi)內(nèi)省轄行的的IT業(yè)務(wù)務(wù)和電子渠渠道業(yè)務(wù)風(fēng)風(fēng)險(xiǎn)控制狀狀況進(jìn)行審審計(jì)；（5）收集集、分析、歸納、匯匯總IT業(yè)業(yè)務(wù)和電子子渠道業(yè)務(wù)務(wù)審計(jì)信息息以及各類類分析報(bào)告告和工作總總結(jié)等，并并上報(bào)總行行審計(jì)部。1.2 IT審計(jì)計(jì)范圍按照商業(yè)銀銀行風(fēng)險(xiǎn)導(dǎo)導(dǎo)向?qū)徲?jì)原原則，ITT審計(jì)包含含科技應(yīng)用用和電子渠渠道業(yè)務(wù)相相關(guān)風(fēng)險(xiǎn)控控制內(nèi)容，其其審計(jì)范圍圍如下： （1）信息息安全策略略與制度。檢查網(wǎng)絡(luò)、系統(tǒng)、應(yīng)應(yīng)用、環(huán)境境設(shè)施和電電子渠道業(yè)業(yè)務(wù)等方面面的管理制制度制訂及及執(zhí)行情況況。檢查安安全策略合合理性、完完整

6、性，檢檢查是否根根據(jù)總行相相關(guān)規(guī)定制制定相應(yīng)的的實(shí)施細(xì)則則，是否覆覆蓋所有相相關(guān)工作。（2）安全全組織。檢檢查信息安安全機(jī)構(gòu)和和人員配置置、職責(zé)及及工作情況況。檢查安安全機(jī)構(gòu)工工作的有效效性。檢查查人員安全全保密職責(zé)責(zé)、安全培培訓(xùn)等內(nèi)容容。（3）信息息資產(chǎn)的分分類與控制制。檢查信息資資產(chǎn)的使用用與管理。檢查相應(yīng)應(yīng)的管理辦辦法和管理理流程。（4）物理理與環(huán)境安安全。檢查查放置設(shè)備備的物理環(huán)環(huán)境建設(shè)，包包含機(jī)房門門禁、供電電、空調(diào)、消防、監(jiān)監(jiān)控等方面面安全管理理和維護(hù)情情況。（5）通信信與運(yùn)營管管理。檢查查系統(tǒng)運(yùn)行行、監(jiān)控、故障處理理以及數(shù)據(jù)據(jù)備份等方方面的安全全管理。（6）訪問問控制。檢檢查生產(chǎn)

7、系系統(tǒng)、網(wǎng)絡(luò)絡(luò)通訊、操操作系統(tǒng)、應(yīng)用程序序等方面的的訪問控制制情況。（7）系統(tǒng)統(tǒng)的開發(fā)與與維護(hù)。檢檢查應(yīng)用系系統(tǒng)開發(fā)的的立項(xiàng)、安安全需求、測試、系系統(tǒng)文件安安全、開發(fā)發(fā)控制等方方面的安全全情況。（8）業(yè)務(wù)務(wù)連續(xù)性計(jì)計(jì)劃。檢查查業(yè)務(wù)連續(xù)續(xù)性計(jì)劃管管理程序，包包含計(jì)劃組組織、管理理、計(jì)劃演演練和更新新等方面情情況。（9）符合合性。檢查查信息系統(tǒng)統(tǒng)的設(shè)計(jì)、運(yùn)行、使使用和管理理等方面是是否符合現(xiàn)現(xiàn)行的法律律規(guī)定以及及合同約定定的安全要要求。（10）電電子渠道業(yè)業(yè)務(wù)風(fēng)險(xiǎn)管管理。檢查查電子銀行行風(fēng)險(xiǎn)管理理體系和內(nèi)內(nèi)部控制體體系。（11）網(wǎng)網(wǎng)上銀行業(yè)業(yè)務(wù)風(fēng)險(xiǎn)管管理。檢查查企業(yè)網(wǎng)上上銀行、個(gè)個(gè)人網(wǎng)上銀銀行和網(wǎng)

8、上上支付業(yè)務(wù)務(wù)操作流程程、崗位制制約等風(fēng)險(xiǎn)控制制情況。（12）自自助渠道業(yè)業(yè)務(wù)風(fēng)險(xiǎn)管管理。檢查查自助銀行行、POSS和電話銀銀行業(yè)務(wù)操操作流程、風(fēng)險(xiǎn)防范范等方面控控制情況。（13）太太平洋卡制制作和使用用管理情況況。1.3 IT審計(jì)計(jì)流程 ITT審計(jì)工作作程序可劃劃分四個(gè)階階段：審計(jì)計(jì)準(zhǔn)備階段段、審計(jì)實(shí)實(shí)施階段、審計(jì)總結(jié)結(jié)階段和審審計(jì)追蹤階階段。審計(jì)準(zhǔn)備階階段工作主主要包含：收集分析析與現(xiàn)場審審計(jì)范圍相相關(guān)的各類類資料和數(shù)數(shù)據(jù)，查找找審計(jì)的可可疑點(diǎn)，確確定審計(jì)重重點(diǎn)，制定定審計(jì)方案案，召開審審計(jì)前準(zhǔn)備備會議，審審計(jì)方案審審批，發(fā)出出審計(jì)通知知書等。審計(jì)實(shí)施階階段工作主主要包含：進(jìn)入現(xiàn)場場，采取

9、與與分行相關(guān)關(guān)人員會談?wù)劀贤?、問問卷調(diào)查、數(shù)據(jù)分析析、資料查查證、現(xiàn)場場檢查等多多種方式進(jìn)進(jìn)行審計(jì)，審審計(jì)完畢，根根據(jù)發(fā)現(xiàn)的的問題撰寫寫審計(jì)問題題底稿，與與相關(guān)部門門人員溝通通發(fā)現(xiàn)的問問題，整理理、匯總檢檢查發(fā)現(xiàn)的的問題，并并請相關(guān)人人員簽字確確認(rèn)問題底底稿，審計(jì)計(jì)結(jié)束后，向分行領(lǐng)導(dǎo)和相關(guān)部門人員反饋審計(jì)中發(fā)現(xiàn)的主要問題。審計(jì)總結(jié)階階段工作主主要包含：根據(jù)審計(jì)計(jì)標(biāo)準(zhǔn)程式式，對審計(jì)計(jì)對象進(jìn)行行評分，并并作總體評評價(jià)；召開開審計(jì)分析析會，對發(fā)發(fā)現(xiàn)的問題題進(jìn)行剖析析，并對確確定問題的的風(fēng)險(xiǎn)級別別；撰寫審審計(jì)報(bào)告，經(jīng)經(jīng)二級部高高級經(jīng)理審審核，并經(jīng)經(jīng)審計(jì)部領(lǐng)領(lǐng)導(dǎo)審批后后發(fā)送分行行。對于風(fēng)風(fēng)險(xiǎn)級別較較高的

10、問題題，形成專專項(xiàng)報(bào)告，以審計(jì)情況等專報(bào)形式提交給總行高管層,同時(shí)抄送總行相關(guān)管理部門。審計(jì)追蹤階階段工作主主要包含：對于各級級部門審計(jì)計(jì)發(fā)現(xiàn)的問問題整改情情況進(jìn)行跟跟蹤，定期期跟蹤被審審計(jì)對象的的內(nèi)控管理理，形成持持續(xù)的監(jiān)控控。1.4 IIT審計(jì)準(zhǔn)準(zhǔn)備工作現(xiàn)場審計(jì)進(jìn)進(jìn)場前的準(zhǔn)準(zhǔn)備工作是是現(xiàn)場審計(jì)計(jì)的前提和和基礎(chǔ)，隨隨著我行大大集中系統(tǒng)統(tǒng)建成和推推廣，現(xiàn)場場審計(jì)前需需不斷地與與被審計(jì)單單位溝通，調(diào)調(diào)閱審計(jì)期期間的相關(guān)關(guān)資料，進(jìn)進(jìn)行分析；同時(shí)，通通過審計(jì)分分析工具對對數(shù)據(jù)進(jìn)行行篩選、歸歸類、分析析。現(xiàn)場審審計(jì)準(zhǔn)備工工作主要包包含：收集集分析與現(xiàn)現(xiàn)場審計(jì)范范圍相關(guān)的的各類資料料和數(shù)據(jù)，查查找審計(jì)的

11、的可疑點(diǎn)，確確定審計(jì)重重點(diǎn)，制定定審計(jì)方案案，召開審審計(jì)前準(zhǔn)備備會議，審審計(jì)方案審審批，發(fā)出出審計(jì)通知知書等。 現(xiàn)現(xiàn)場審計(jì)進(jìn)進(jìn)場前準(zhǔn)備備工作主要要由主審人人負(fù)責(zé) 1.4.11 資料料收集審計(jì)前需收收集被審計(jì)計(jì)單位相關(guān)關(guān)資料如下下：（1）收集集被審計(jì)單單位的信息息科技和電電子渠道業(yè)業(yè)務(wù)相關(guān)的的管理制度度、規(guī)定； （2）信信息系統(tǒng)安安全管理和和電子渠道道業(yè)務(wù)組織織架構(gòu)及其其人員名單單。填寫人人員崗位及及職責(zé)分工工表（見附附表）； （3）年年度計(jì)劃和和工作總結(jié)結(jié)，安全領(lǐng)領(lǐng)導(dǎo)小組會會議記錄；（4）對內(nèi)內(nèi)日常監(jiān)督督檢查報(bào)告告，外審審審計(jì)報(bào)告以以及整改落落實(shí)情況；（5）填寫寫應(yīng)用系統(tǒng)統(tǒng)調(diào)查表（見見附表），

12、對對使用的應(yīng)應(yīng)用系統(tǒng)環(huán)環(huán)境進(jìn)行調(diào)調(diào)查；（6）網(wǎng)絡(luò)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)圖，IPP地址分配配規(guī)則表，VLAN劃分控制表和網(wǎng)絡(luò)安全設(shè)計(jì)說明； （7）分分行自行開開發(fā)的特色色業(yè)務(wù)系統(tǒng)統(tǒng)及其運(yùn)行行環(huán)境，與與第三方網(wǎng)網(wǎng)絡(luò)通訊和和訪問控制制的安全策策略；（8）中心心機(jī)房內(nèi)主主要物理設(shè)設(shè)備及附屬屬設(shè)施的維維修保養(yǎng)資資料； （9）主主要業(yè)務(wù)系系統(tǒng)應(yīng)急方方案和演練練記錄。附表1應(yīng)用系統(tǒng)調(diào)調(diào)查表被調(diào)查單位位： 填填表日期：200 年 月 日日 填表人人： 序號應(yīng)用系統(tǒng)運(yùn)行環(huán)境應(yīng)用系統(tǒng)維護(hù)人員備注名稱使用單位開發(fā)單位操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)統(tǒng)中間件名稱版本名稱版本名稱版本填表說明：填表內(nèi)容容包含主機(jī)機(jī)系統(tǒng)、各各類業(yè)務(wù)前前置機(jī)和監(jiān)監(jiān)

13、控系統(tǒng)上上運(yùn)行的所所有應(yīng)用系系統(tǒng)。附表2人員崗位及及職責(zé)分工工表被調(diào)查單位位： 填表表日期：2200 年 月 日 填表人：序號姓名崗位管理的內(nèi)容容備注主管內(nèi)容兼管內(nèi)容 填表說明：該表包含含電腦部門門所有人員員，每人信信息填寫一一行。 1.4.2 審計(jì)準(zhǔn)備備會 在現(xiàn)場審審計(jì)方案草草擬后，分分管總經(jīng)理理組織審計(jì)計(jì)小組成員員，召開審審計(jì)準(zhǔn)備會會。會議重重點(diǎn)是聽取取現(xiàn)場審計(jì)計(jì)方案的匯匯報(bào)，研究究被審計(jì)對對象的信息息系統(tǒng)管理理、安全和和電子渠道道業(yè)務(wù)等方方面內(nèi)部控控制、風(fēng)險(xiǎn)險(xiǎn)管理情況況，并對問問題疑點(diǎn)、線索及異異常情況進(jìn)進(jìn)行分析，討討論審計(jì)方方案，確定定具體審計(jì)計(jì)內(nèi)容。 1.4.3 審審計(jì)通知書書根據(jù)審

14、計(jì)準(zhǔn)準(zhǔn)備會議的的討論情況況和會議決決定，組織織現(xiàn)場審計(jì)計(jì)組落實(shí)審審計(jì)準(zhǔn)備會會議決定的的事項(xiàng)，并并對現(xiàn)場審審計(jì)方案進(jìn)進(jìn)行修改和和完善。擬擬寫審計(jì)通通知書，審審計(jì)通知書書包括：審審計(jì)小組人人員、審計(jì)計(jì)時(shí)間、審審計(jì)范圍和和審計(jì)主要要內(nèi)容，以以及需被審審計(jì)單位提提供的資料料清單。完完成審計(jì)方方案和審計(jì)計(jì)通知后，按按照發(fā)文程程序報(bào)總經(jīng)經(jīng)理批準(zhǔn)，并并發(fā)送審計(jì)計(jì)通知。 1.5 IT審審計(jì)方案 現(xiàn)場審計(jì)組組成員根據(jù)據(jù)收集的資資料和數(shù)據(jù)據(jù)，分析資資料和數(shù)據(jù)據(jù)，了解被被審計(jì)單位位的管理和和系統(tǒng)安全全運(yùn)行狀況況，對其進(jìn)進(jìn)行初步評評估，根據(jù)據(jù)風(fēng)險(xiǎn)導(dǎo)向向原則，判判斷被審計(jì)計(jì)對象可能能存在的風(fēng)風(fēng)險(xiǎn)領(lǐng)域、重點(diǎn)和可可疑點(diǎn)，主

15、主審人根據(jù)據(jù)可能存在在的風(fēng)險(xiǎn)制制定審計(jì)方方案。ITT現(xiàn)場審計(jì)計(jì)方案的內(nèi)內(nèi)容一般包包括：審計(jì)計(jì)依據(jù)、審審計(jì)目的、審計(jì)范圍圍、審計(jì)時(shí)時(shí)間、審計(jì)計(jì)內(nèi)容、審審計(jì)重點(diǎn)、審計(jì)方法法、審計(jì)標(biāo)標(biāo)準(zhǔn)，以及及審計(jì)人員員分工和職職責(zé)等。1.5 .1 IIT審計(jì)依依據(jù)審計(jì)依據(jù)包包括：年度審計(jì)部工工作計(jì)劃，交通銀行行內(nèi)部控制制評價(jià)辦法法，交交通銀行審審計(jì)標(biāo)準(zhǔn)程程式的附附件7信信息系統(tǒng)安安全，電電子渠道業(yè)業(yè)務(wù)審計(jì)要要點(diǎn)，國家家相關(guān)部門門制訂的有有關(guān)信息系系統(tǒng)和電子子渠道業(yè)務(wù)務(wù)的法規(guī)、管理制度度、規(guī)定、辦法和指指引，交通通銀行制訂訂的信息系系統(tǒng)和電子子渠道業(yè)務(wù)務(wù)的各項(xiàng)規(guī)規(guī)章制度。1.5 .2 IT審計(jì)計(jì)方式 審計(jì)計(jì)方式有多

16、多重形式，根根據(jù)現(xiàn)場審審計(jì)情況的的不同，采采取不同的的審計(jì)方式式，一般IIT審計(jì)方方式包括：與分行相相關(guān)人員會會談溝通、問卷調(diào)查查、數(shù)據(jù)分分析、資料料查證、現(xiàn)現(xiàn)場檢查等等多種方式式進(jìn)行。1.5 .3 IT審計(jì)計(jì)內(nèi)容 ITT審計(jì)內(nèi)容容主要由信信息系統(tǒng)安安全和電子子渠道業(yè)務(wù)務(wù)兩大部分分組成。信息系統(tǒng)安安全審計(jì)內(nèi)內(nèi)容包括：制度制定定與執(zhí)行、安全組織織管理、信信息資產(chǎn)管管理、機(jī)房房環(huán)境設(shè)施施、通訊與與運(yùn)營維護(hù)護(hù)管理、訪訪問控制、系統(tǒng)開發(fā)發(fā)、業(yè)務(wù)連連續(xù)性管理理和符合性性。 電子渠渠道業(yè)務(wù)審審計(jì)內(nèi)容包包括：組織織與制度建建設(shè)、電子子渠道風(fēng)險(xiǎn)險(xiǎn)管理、企企業(yè)網(wǎng)上銀銀行、個(gè)人人網(wǎng)上銀行行、自助銀銀行、POOS系

17、統(tǒng)、電話銀行行、第三方方服務(wù)管理理、業(yè)務(wù)應(yīng)應(yīng)急管理、數(shù)據(jù)備份份管理等方方面。根據(jù)每次審審計(jì)要求與與被審計(jì)對對象情況，可可以選擇全全部或部分分內(nèi)容作為為本次審計(jì)計(jì)內(nèi)容。第二章 IIT審計(jì)的的基本內(nèi)容容2.1 安安全策略審審計(jì)其目標(biāo)是確確保我行擁擁有明確的的信息安全全方針以及及配套的策策略和制度度，以實(shí)現(xiàn)現(xiàn)對信息安安全工作的的支持和承承諾。同時(shí)時(shí)，保證信信息安全的的資金投入入。信息安安全的方針針策略是在在交通銀行行策略下，由由交通銀行行業(yè)務(wù)策略略、交通銀銀行安全策策略、交通通銀行ITT策略衍生生出來交通通銀行ITT安全策略略。2.1.11 安全策策略的制定定IT安全策策略制定：制定全面面、詳細(xì)、完

18、整的信信息安全策策略和規(guī)范范；信息安安全策略應(yīng)應(yīng)涉及以下下領(lǐng)域：安安全制度管管理、信息息安全組織織管理、資資產(chǎn)管理、人員安全全管理、物物理與環(huán)境境安全管理理、通信與與運(yùn)營管理理、訪問控控制管理、系統(tǒng)開發(fā)發(fā)與維護(hù)管管理、信息息安全事故故管理、業(yè)業(yè)務(wù)連續(xù)性性管理、合合規(guī)性管理理。信息安全策策略的下發(fā)發(fā)：信息安安全策略和和安全職能能要求應(yīng)以以適當(dāng)?shù)姆椒绞絺鬟_(dá)給給所屬所有有機(jī)構(gòu)、部部門和分支支行。2.1.22安全策略略的執(zhí)行信息安全策策略的執(zhí)行行：銀行所所有員工應(yīng)應(yīng)充分理解解信息科技技風(fēng)險(xiǎn)管理理制度和流流程，熟悉悉了解信息息安全策略略目標(biāo)和各各自崗位的的信息安全全要求，并并參照執(zhí)行行。按期完成信信息安

19、全策策略中制訂訂的安全目目標(biāo)或承諾諾（如提供供人、財(cái)、物以及管管理等方面面的支持）；安全管理理人員是否否能闡明實(shí)實(shí)現(xiàn)信息安安全的途徑徑和辦法。各機(jī)構(gòu)和各各崗位人員員應(yīng)嚴(yán)格遵遵從信息安安全策略、規(guī)范、操操作流程等等各項(xiàng)規(guī)章章制度。目標(biāo)的總結(jié)結(jié)和評價(jià)：安全管理理人員應(yīng)清清晰闡明實(shí)實(shí)現(xiàn)信息安安全目標(biāo)的的途徑辦法法及措施。相關(guān)職能能部門應(yīng)定定期核實(shí)并并評價(jià)全行行，信息技技術(shù)部門及及安全員等等不同層面面的年度工工作計(jì)劃中中應(yīng)包含信信息安全目目標(biāo)的預(yù)期期和完成情情況。2.1.33日常檢查查工作監(jiān)督管理：總行信息息技術(shù)管理理部應(yīng)對各各分行、省省分行對轄轄內(nèi)省轄分分行、以及及各網(wǎng)點(diǎn)支支行應(yīng)行使使有效監(jiān)督督管理

20、的職職能。信息安全檢檢查：信息息技術(shù)部門門及安全員員應(yīng)定期進(jìn)進(jìn)行安全檢檢查（包含含省轄行，分分行技術(shù)部部，各網(wǎng)點(diǎn)點(diǎn)），應(yīng)有有詳細(xì)的檢檢查報(bào)告；對安全檢檢查的結(jié)果果應(yīng)進(jìn)行后后續(xù)風(fēng)險(xiǎn)評評估，建立立問題跟蹤蹤和后評估估機(jī)制，相相關(guān)文檔資資料應(yīng)齊全全詳細(xì)。對審計(jì)問題題的評估和和整改：根根據(jù)外部獨(dú)獨(dú)立機(jī)構(gòu)檢檢查、審計(jì)計(jì)信息系統(tǒng)統(tǒng)安全的報(bào)報(bào)告，應(yīng)對對第三方信信息安全的的評價(jià)情況況和提出的的問題建議議進(jìn)行風(fēng)險(xiǎn)險(xiǎn)評估。針對各類信信息系統(tǒng)安安全的審計(jì)計(jì)和檢查情情況，結(jié)合合自身實(shí)際際情況的評評估，制定定相應(yīng)的整整改措施進(jìn)進(jìn)行有效整整改。對可可接受的風(fēng)風(fēng)險(xiǎn)應(yīng)進(jìn)行行進(jìn)一步評評估和說明明。2.2 組織與人人員審計(jì)組織與

21、人員員審計(jì)其目目標(biāo)就是保保證安全工工作的人力力資源要求求。避免由由于人員和和組織上的的錯(cuò)誤產(chǎn)生生的信息安安全風(fēng)險(xiǎn)。2.2.11組織架構(gòu)構(gòu)交通銀行信信息安全保保障領(lǐng)導(dǎo)小小組是交通通銀行信息息系統(tǒng)安全全管理的領(lǐng)領(lǐng)導(dǎo)機(jī)構(gòu)。信息技術(shù)術(shù)管理部是是信息安全全保障主管管部門，承承擔(dān)信息安安全領(lǐng)導(dǎo)小小組辦公室室職能，同同時(shí)下設(shè)信信息安全管管理部，負(fù)負(fù)責(zé)信息安安全保障日日常事務(wù)工工作。信息安全保保障領(lǐng)導(dǎo)小小組的工作作職責(zé)是：領(lǐng)導(dǎo)全行行信息安全全保障工作作，研究信信息安全保保障的形勢勢和策略，部部署信息安安全保障任任務(wù)，審查查信息安全全保障規(guī)劃劃和信息安安全保障重重大項(xiàng)目方方案，檢查查重要業(yè)務(wù)務(wù)應(yīng)用系統(tǒng)統(tǒng)、核心網(wǎng)

22、網(wǎng)絡(luò)系統(tǒng)的的應(yīng)急預(yù)案案及落實(shí)情情況，處理理重大信息息安全事件件，定期召召開工作例例會，聽取取關(guān)于信息息安全方面面的情況報(bào)報(bào)告。各省直分行行和省轄分分行均應(yīng)成成立信息安安全保障領(lǐng)領(lǐng)導(dǎo)小組，并并向總行信信息技術(shù)管管理部報(bào)備備。分行信信息安全保保障領(lǐng)導(dǎo)小小組是本行行信息系統(tǒng)統(tǒng)安全管理理的領(lǐng)導(dǎo)機(jī)機(jī)構(gòu)。分行信息科科技部門安安全管理職職能機(jī)構(gòu)（信信息安全科科）的主要要職責(zé)：（1）在本本行信息安安全保障領(lǐng)領(lǐng)導(dǎo)小組的的領(lǐng)導(dǎo)與指指導(dǎo)下，貫貫徹執(zhí)行上上級行信息息安全保障障領(lǐng)導(dǎo)小組組的決議，承承擔(dān)信息安安全管理的的日常事務(wù)務(wù)工作；（2）定期期向領(lǐng)導(dǎo)小小組及上級級行報(bào)告本本行的信息息安全狀況況，對存在在的問題進(jìn)進(jìn)行分

23、析以以及提出解解決問題的的建議，供供領(lǐng)導(dǎo)決策策參考；（3）在遵遵從總行的的安全管理理規(guī)定和安安全策略的的情況下，制制定本行的的安全管理理制度和實(shí)實(shí)施細(xì)則，檢檢查、指導(dǎo)導(dǎo)和監(jiān)督各各項(xiàng)安全制制度的執(zhí)行行；貫徹執(zhí)執(zhí)行上級行行制定的計(jì)計(jì)算機(jī)安全全保護(hù)規(guī)范范及實(shí)施方方案，確保保本行信息息系統(tǒng)安全全；（4）定期期向上級行行提交信息息安全檢查查報(bào)告，對對存在的問問題進(jìn)行匯匯總分析，提提出整改措措施，落實(shí)實(shí)整改意見見，跟蹤整整改工作的的完成情況況；（5）參與與本行計(jì)算算機(jī)信息系系統(tǒng)工程建建設(shè)中的安安全規(guī)劃和和方案研究究，監(jiān)督安安全措施的的執(zhí)行，確確保應(yīng)用開開發(fā)環(huán)節(jié)中中的信息安安全；（6）組織織本行信息息安全技

24、術(shù)術(shù)培訓(xùn)和宣宣傳工作。 2.2.2角色和和責(zé)任 明明確信息安安全相關(guān)崗崗位的角色色和職責(zé)，其其目標(biāo)是降降低由于信信息安全的的角色和責(zé)責(zé)任混亂導(dǎo)導(dǎo)致的人為為錯(cuò)誤、盜盜竊、詐騙騙或設(shè)備誤誤用等產(chǎn)生生的風(fēng)險(xiǎn)?？傂袡C(jī)構(gòu)設(shè)設(shè)立主管信信息安全的的管理部門門和相應(yīng)人人員；省直直分行成立立信息安全全科并設(shè)置置專職信息息安全員；省轄行設(shè)設(shè)置專職或或兼職信息息安全員，負(fù)負(fù)責(zé)分行信信息安全的的日常管理理工作；同同時(shí)應(yīng)有安安全工作計(jì)計(jì)劃，定期期開展工作作，并有相相應(yīng)的文檔檔資料。各機(jī)構(gòu)對全全行信息系系統(tǒng)確定一一個(gè)總的安安全責(zé)任人人，對全行行信息系統(tǒng)統(tǒng)的安全負(fù)負(fù)主要責(zé)任任；對全行行每一個(gè)信信息系統(tǒng)（軟軟件、硬件件）確定

25、一一個(gè)責(zé)任人人，對該信信息系統(tǒng)的的安全運(yùn)行行負(fù)主要責(zé)責(zé)任。專（兼）職職信息安全全員應(yīng)履行行以下職責(zé)責(zé)：（1）負(fù)責(zé)責(zé)信息安全全管理的日日常工作；（2）開展展信息安全全檢查工作作，對要害害崗位人員員安全工作作進(jìn)行指導(dǎo)導(dǎo)；（3）開展展信息安全全知識的培培訓(xùn)和宣傳傳工作；（4）監(jiān)控控信息系統(tǒng)統(tǒng)安全總體體狀況，提提出安全分分析報(bào)告；（5）了解解行業(yè)動態(tài)態(tài)，為改進(jìn)進(jìn)和完善信信息安全管管理工作，提提出安全防防范建議；（6）及時(shí)時(shí)向本行信信息安全保保障領(lǐng)導(dǎo)小小組和有關(guān)關(guān)部門、單單位報(bào)告信信息安全事事件；（7）參與與本行計(jì)算算機(jī)信息系系統(tǒng)工程建建設(shè)中的安安全規(guī)劃和和方案研究究，監(jiān)督安安全措施的的執(zhí)行，確確保應(yīng)用

26、開開發(fā)環(huán)節(jié)中中的信息安安全；（8）負(fù)責(zé)責(zé)在授權(quán)范范圍內(nèi)的其其它管理、維護(hù)工作作。科技人員配配置：加強(qiáng)強(qiáng)信息科技技專業(yè)隊(duì)伍伍的建設(shè)。各機(jī)構(gòu)的的信息科技技人員配置置應(yīng)合理有有效，符合合內(nèi)部控制制要求。重重要崗位應(yīng)應(yīng)有角設(shè)置，關(guān)關(guān)鍵業(yè)務(wù)操操作（如：重要密碼碼的輸入、重要參數(shù)數(shù)的修改等等）應(yīng)采用用雙人進(jìn)行行。 2.2.3安全教教育和培訓(xùn)訓(xùn)其目標(biāo)是確確保全體安安全參與者者都意識到到信息安全全的威脅和和利害關(guān)系系，并具有有在日常工工作過程中中支持組織織安全方針針的能力。各級行應(yīng)定定期組織對對本行信息息安全員的的技術(shù)培訓(xùn)訓(xùn)、管理培培訓(xùn)和考核核。組織本機(jī)構(gòu)構(gòu)信息系統(tǒng)統(tǒng)人員進(jìn)行行有關(guān)業(yè)務(wù)務(wù)、技術(shù)和和安全培訓(xùn)訓(xùn)。

27、定期對對技術(shù)人員員進(jìn)行信息息安全的教教育培訓(xùn)，如如防病毒、網(wǎng)絡(luò)攻擊擊等培訓(xùn)。所有與信信息系統(tǒng)相相關(guān)的員工工應(yīng)定期接接受適當(dāng)?shù)牡陌踩嘤?xùn)訓(xùn),包括法法規(guī)教育，安安全知識教教育和職業(yè)業(yè)道德教育育等信息安安全培訓(xùn)。 2.2.4人員安安全人員安全包包含安全責(zé)責(zé)任、人員員錄用、保保密協(xié)議等等方面內(nèi)容容員工工作職職責(zé)：對信信息技術(shù)人人員應(yīng)有明明確的工作作職責(zé)和崗崗位操作規(guī)規(guī)程；應(yīng)將將有關(guān)重要要工作進(jìn)行行職責(zé)分離離（如：開開發(fā)人員與與生產(chǎn)維護(hù)護(hù)人員分開開，系統(tǒng)管管理人員與與網(wǎng)絡(luò)管理理人員分開開），相互互制約。員工安全責(zé)責(zé)任：工作作職責(zé)中應(yīng)應(yīng)包含員工工的安全角角色定義和和相關(guān)安全全責(zé)任說明明。人員錄用：在招聘新

28、新員工時(shí)應(yīng)應(yīng)要求技術(shù)術(shù)人員具備備良好的職職業(yè)道德，并并掌握履行行信息系統(tǒng)統(tǒng)相關(guān)崗位位職責(zé)所需需的專業(yè)知知識和技能能。對員工工的資質(zhì)、教育背景景、專業(yè)能能力都應(yīng)有有嚴(yán)格的審審查機(jī)制。 保保密協(xié)議：重要崗位位人員應(yīng)與與銀行簽訂訂保密協(xié)議議，或在合合同中注明明保密條款款。崗位要求：技術(shù)人員員未經(jīng)崗前前培訓(xùn)或培培訓(xùn)不合格格者不得上上崗；經(jīng)考考核不合格格的技術(shù)人人員應(yīng)及時(shí)時(shí)進(jìn)行調(diào)整整。2.2.55外協(xié)單位位安全管理理外協(xié)單位是是指為交行行提供硬件件設(shè)備、系系統(tǒng)軟件、產(chǎn)品的廠廠商、服務(wù)務(wù)商或參與與交行應(yīng)用用項(xiàng)目開發(fā)發(fā)的外協(xié)公公司等。開發(fā)計(jì)算機(jī)機(jī)應(yīng)用項(xiàng)目目需與外協(xié)協(xié)單位合作作的，應(yīng)由由科技部門門負(fù)責(zé)總體體結(jié)

29、構(gòu)設(shè)計(jì)計(jì)。對需要要外協(xié)單位位提供技術(shù)術(shù)支持的部部分，原則則上應(yīng)該抽抽象為相對對獨(dú)立的產(chǎn)產(chǎn)品，由外外協(xié)單位提提供產(chǎn)品服服務(wù)。開發(fā)計(jì)算機(jī)機(jī)應(yīng)用項(xiàng)目目需與外協(xié)協(xié)單位合作作時(shí)，必須須事先簽訂訂技術(shù)合作作協(xié)議，明明確產(chǎn)品的的知識產(chǎn)權(quán)權(quán)歸屬；對對于知識產(chǎn)產(chǎn)權(quán)屬于交交行所有或或雙方共有有的，必須須要求外協(xié)協(xié)單位提交交該產(chǎn)品的的詳細(xì)源代代碼和相關(guān)關(guān)技術(shù)資料料。外協(xié)單位提提供的產(chǎn)品品中所涉及及的操作密密碼和加解解密密鑰必必須與產(chǎn)品品相對獨(dú)立立，并由交交行獨(dú)立決決定和掌握握。在產(chǎn)品品交接時(shí)，科科技部門應(yīng)應(yīng)根據(jù)規(guī)定定及時(shí)更改改操作密碼碼和系統(tǒng)密密鑰，并嚴(yán)嚴(yán)格保密。確需外協(xié)單單位人員參參與產(chǎn)品開開發(fā)工作的的，必須有有

30、交行工作作人員全程程陪同，并并限定外協(xié)協(xié)單位人員員的訪問權(quán)權(quán)限，嚴(yán)禁禁外協(xié)單位位開發(fā)人員員在無人陪陪同的情況況下進(jìn)入開開發(fā)或生產(chǎn)產(chǎn)環(huán)境。簽訂計(jì)算機(jī)機(jī)軟、硬件件產(chǎn)品采購購合同時(shí)，必必須要求產(chǎn)產(chǎn)品供應(yīng)商商承擔(dān)計(jì)算算機(jī)軟、硬硬件產(chǎn)品保保修期內(nèi)的的維修和升升級責(zé)任；在條件允允許的情況況下，還應(yīng)應(yīng)要求產(chǎn)品品供應(yīng)商承承擔(dān)產(chǎn)品使使用的培訓(xùn)訓(xùn)責(zé)任。協(xié)調(diào)與溝通通機(jī)制：建立溝通機(jī)機(jī)制提高事事故處理能能力，應(yīng)建建立信息系系統(tǒng)相關(guān)部部門之間、與外部監(jiān)監(jiān)管部門、第三方服服務(wù)提供商商和電信運(yùn)運(yùn)營商的合合理聯(lián)系方方式，以提提高事故處處理能力。信息資產(chǎn)管管理審計(jì) 信息資產(chǎn)是是指對交行行業(yè)務(wù)和管管理具有價(jià)價(jià)值的信息息及其載體體

31、，包括對對其進(jìn)行生生成、獲取取、處理、傳遞、存存儲的設(shè)施施、服務(wù)和和崗位人員員?？傂行畔⒓技夹g(shù)管理部部是全行信信息資產(chǎn)的的信息安全全歸口管理理部門，負(fù)負(fù)責(zé)制定信信息資產(chǎn)的的安全保護(hù)護(hù)策略，監(jiān)監(jiān)控信息資資產(chǎn)安全管管理的有效效性；定期期匯總分析析全行信息息資產(chǎn)保護(hù)護(hù)情況，向向總行信息息安全保障障領(lǐng)導(dǎo)小組組、總行風(fēng)風(fēng)險(xiǎn)管理委委員會和上上級監(jiān)管部部門報(bào)告交交行信息安安全管理狀狀況。 22.3.11信息資產(chǎn)產(chǎn)分類交行信息資資產(chǎn)按形式式分為五類類，即數(shù)據(jù)據(jù)資產(chǎn)、軟軟件資產(chǎn)、實(shí)物資產(chǎn)產(chǎn)、人員資資產(chǎn)和服務(wù)務(wù)資產(chǎn)。數(shù)據(jù)資產(chǎn)指指經(jīng)計(jì)算機(jī)機(jī)采集、處處理、傳輸輸和存儲的的信息數(shù)據(jù)據(jù)，包括存存儲在計(jì)算算機(jī)、存儲儲設(shè)備和

32、存存儲介質(zhì)上上的業(yè)務(wù)數(shù)數(shù)據(jù)、客戶戶信息、配配置文件、記錄數(shù)據(jù)據(jù)、日志文文件、管理理文件、商商務(wù)文件，及及相應(yīng)打印印件、紙質(zhì)質(zhì)文件、報(bào)報(bào)表和膠片片等。軟件資產(chǎn)指指負(fù)責(zé)對信信息進(jìn)行采采集、處理理、傳輸和和存儲的各各類軟件及及相應(yīng)文檔檔資料，如如系統(tǒng)軟件件、應(yīng)用軟軟件、工具具軟件，及及相應(yīng)功能能說明書、使用說明明書等。實(shí)物資產(chǎn)指指與信息處處理相關(guān)的的各類固定定資產(chǎn)，如如計(jì)算機(jī)、網(wǎng)絡(luò)通信信設(shè)備、存存儲設(shè)備、機(jī)房及機(jī)機(jī)房設(shè)施等等。人員資產(chǎn)指指在信息及及相關(guān)系統(tǒng)統(tǒng)建設(shè)、運(yùn)運(yùn)行、維護(hù)護(hù)和管理過過程中承擔(dān)擔(dān)相應(yīng)職責(zé)責(zé)的崗位人人員。服務(wù)資產(chǎn)指指在信息運(yùn)運(yùn)用過程中中所需的各各種服務(wù)支支持，如合合作開發(fā)、咨詢、審審

33、計(jì)、設(shè)備備維護(hù)、數(shù)數(shù)據(jù)錄入、印刷、分分發(fā)、通信信線路租用用、安全保保衛(wèi)、衛(wèi)生生保潔、供供水供電等等。2.3.22信息資產(chǎn)產(chǎn)保護(hù)根據(jù)信息資資產(chǎn)在保密密性、完整整性和可用用性三個(gè)方方面所表現(xiàn)現(xiàn)出的不同同重要程度度，將信息息資產(chǎn)按“三性”分別劃分分為1到55五個(gè)安全全級別（分分級標(biāo)準(zhǔn)見見附件1）（11、2級屬屬一般資產(chǎn)產(chǎn)，3、44級屬重要要資產(chǎn)，55級屬關(guān)鍵鍵資產(chǎn)）。信息資產(chǎn)分分級標(biāo)準(zhǔn)級別取值參考標(biāo)標(biāo)準(zhǔn)描述保密性Coonfiddentiialitty完整性Inntegrrity可用性Avvailaabiliity一般資產(chǎn)人員/服務(wù)務(wù)一般資產(chǎn)人員/服務(wù)務(wù)一般資產(chǎn)人員/服務(wù)務(wù)5核心商密：包含組織織最重要

34、的的秘密，關(guān)關(guān)系組織未未來發(fā)展和和前途命運(yùn)運(yùn)，對組織織根本利益益有著決定定性的影響響，如果泄泄露會造成成災(zāi)難性的的損害可以接觸/存取核心心商密的人人員或服務(wù)務(wù)完整性價(jià)值值極高，未未經(jīng)授權(quán)的的修改或破破壞會對組組織造成重重大的或無無法接受的的影響，對對業(yè)務(wù)沖擊擊重大，并并可能造成成嚴(yán)重的業(yè)業(yè)務(wù)中斷，難難以彌補(bǔ)該人員或服服務(wù)所擁有有的知識、能力或經(jīng)經(jīng)驗(yàn)對我行行運(yùn)營及發(fā)發(fā)展特別重重要可用性價(jià)值值非常高，合合法使用者者對信息及及信息系統(tǒng)統(tǒng)的可用度度達(dá)到年度度99.993%以上上，或系統(tǒng)統(tǒng)一次中斷斷時(shí)間小于于10分鐘鐘該類人員或或服務(wù)的響響應(yīng)要求特特別高（要要求7*224現(xiàn)場工工作）4重要商密：包含組織

35、織的重要秘秘密，其泄泄露會使組組織的安全全和利益受受到嚴(yán)重?fù)p損害可以接觸/存取重要要商密的人人員或服務(wù)務(wù)完整性價(jià)值值較高，未未經(jīng)授權(quán)的的修改或破破壞會對組組織造成重重大影響，對對業(yè)務(wù)沖擊擊嚴(yán)重，較較難彌補(bǔ)該人員或服服務(wù)所擁有有的知識、能力或經(jīng)經(jīng)驗(yàn)對我行行運(yùn)營及發(fā)發(fā)展非常重重要可用性價(jià)值值較高，合合法使用者者對信息及及信息系統(tǒng)統(tǒng)的可用度度達(dá)到年度度99.99%以上，或或系統(tǒng)一次次中斷時(shí)間間小于300分鐘該類人員或或服務(wù)的響響應(yīng)要求非非常高（要要求7*224電話待待命，并能能在10分分鐘內(nèi)趕到到現(xiàn)場）3一般商密：包含組織織的一般性性秘密，其其泄露會使使組織的安安全和利益益受到損害害可以接觸/存取一

36、般般商密的人人員或服務(wù)務(wù)完整性價(jià)值值中等，未未經(jīng)授權(quán)的的修改或破破壞會對組組織造成影影響，對業(yè)業(yè)務(wù)沖擊明明顯，但可可以彌補(bǔ)該人員或服服務(wù)所擁有有的知識、能力或經(jīng)經(jīng)驗(yàn)對我行行運(yùn)營及發(fā)發(fā)展比較重重要可用性價(jià)值值中等，合合法使用者者對信息及及信息系統(tǒng)統(tǒng)的可用度度達(dá)到999%以上，或或系統(tǒng)一次次中斷時(shí)間間小于600分鐘該類人員或或服務(wù)的響響應(yīng)要求比比較高（要要求7*224電話待待命，并能能在1小時(shí)時(shí)內(nèi)趕到現(xiàn)現(xiàn)場）2內(nèi)部使用：僅包含能能在組織內(nèi)內(nèi)部或在組組織內(nèi)某一一部門內(nèi)公公開的信息息，向外擴(kuò)擴(kuò)散有可能能對組織的的利益造成成輕微損害害可以接觸/存取內(nèi)部部信息的人人員或服務(wù)務(wù)完整性價(jià)值值較低，未未經(jīng)授權(quán)的

37、的修改或破破壞會對組組織造成輕輕微影響，對對業(yè)務(wù)沖擊擊輕微，容容易彌補(bǔ)該人員或服服務(wù)所擁有有的知識、能力或經(jīng)經(jīng)驗(yàn)對我行行運(yùn)營及發(fā)發(fā)展作用一一般可用性價(jià)值值一般該類人員或或服務(wù)的響響應(yīng)要求一一般（要求求7*244電話支持持，要求22天內(nèi)趕到到現(xiàn)場）1公開：可對對社會公開開的信息，公公用的信息息處理設(shè)備備和系統(tǒng)資資源等不能接觸/存取任何何涉密信息息的人員或或服務(wù)完整性價(jià)值值非常低，未未經(jīng)授權(quán)的的修改或破破壞會對組組織造成的的影響可以以忽略，對對業(yè)務(wù)沖擊擊可以忽略略該人員或服服務(wù)所擁有有的知識、能力或經(jīng)經(jīng)驗(yàn)對我行行運(yùn)營及發(fā)發(fā)展可以忽忽略可用性價(jià)值值可以忽略略該類人員或或服務(wù)的響響應(yīng)要求較較低交行常用

38、信信息資產(chǎn)涉涉密分級參參考：（1）公開開信息：交交行宣傳材材料、公開開的行務(wù)信信息、公開開的財(cái)務(wù)報(bào)報(bào)告；（2）內(nèi)部部信息：工工作動態(tài)、行務(wù)信息息、操作信信息、一般般工作人員員聯(lián)系方法法；（3）一般般商密：交交行規(guī)劃、計(jì)劃、系系統(tǒng)維護(hù)文文檔、應(yīng)急急預(yù)案、審審計(jì)報(bào)告；（4）重要要商密：開開發(fā)文檔資資料、客戶戶個(gè)人信息息、客戶帳帳務(wù)信息、交易流水水、訪問口口令、網(wǎng)絡(luò)絡(luò)配置信息息、系統(tǒng)日日志、維護(hù)護(hù)日志；（5）核心心商密：交交行經(jīng)營策策略、信息息安全方案案、網(wǎng)絡(luò)拓拓?fù)洹⒓咏饨饷芩惴凹俺绦?、密密鑰。2.3.33信息標(biāo)識識和處理建立了一套套流程來對對信息（如如：程序、變量、數(shù)數(shù)據(jù)庫、參參數(shù)表、密密碼、密

39、鑰鑰、加密機(jī)機(jī)、柜員號號、文檔資資料等）進(jìn)進(jìn)行標(biāo)識、處理。信信息的標(biāo)識識在信息系系統(tǒng)范圍內(nèi)內(nèi)應(yīng)清晰、明確、唯唯一。2.3.44 涉密信信息管理統(tǒng)計(jì)并有效效管理存儲儲機(jī)密、秘秘密資源的的設(shè)備、終終端和介質(zhì)質(zhì)等。涉及及機(jī)密資源源的設(shè)備、介質(zhì)等應(yīng)應(yīng)統(tǒng)一編號號，并標(biāo)明明備份日期期、密級以以及保密期期限。應(yīng)采取切實(shí)實(shí)可行的措措施（如網(wǎng)網(wǎng)絡(luò)隔離，防防病毒軟件件等）杜絕絕信息泄密密的隱患。涉秘設(shè)備備在維修、更換或報(bào)報(bào)廢時(shí)應(yīng)刪刪除數(shù)據(jù)、拆除涉密密部件以及及有記錄等等要求。對對介質(zhì)應(yīng)加加以管理和和基于物理理上的保護(hù)護(hù)。應(yīng)建立立合適的操操作流程來來保護(hù)計(jì)算算機(jī)介質(zhì)（磁磁帶、軟盤盤、盒式磁磁帶）、輸輸入/輸出出數(shù)據(jù)

40、和系系統(tǒng)文件免免受損壞、盜用和未未授權(quán)的訪訪問。涉秘秘介質(zhì)應(yīng)定定期檢查和和轉(zhuǎn)存。2.3.55信息資產(chǎn)產(chǎn)報(bào)廢與銷銷毀各類硬件設(shè)設(shè)備、數(shù)據(jù)據(jù)介質(zhì)等資資產(chǎn)的報(bào)廢廢應(yīng)制定明明確的審批批流程，對對設(shè)備中涉涉及的業(yè)務(wù)務(wù)數(shù)據(jù)、文文檔資料或或敏感信息息等數(shù)據(jù)應(yīng)應(yīng)采用技術(shù)術(shù)措施或物物理手段確確保不可恢恢復(fù)性刪除除。整個(gè)過過程應(yīng)有審審批手續(xù)和和登記記錄錄。 2.4 機(jī)房物物理環(huán)境安安全審計(jì)計(jì)算機(jī)機(jī)房房包括：總總行數(shù)據(jù)中中心機(jī)房、總行各類類生產(chǎn)設(shè)備備機(jī)房、省省分行、直直屬分行、省轄行中中心機(jī)房。按照工作作性質(zhì)和重重要程度對對機(jī)房進(jìn)行行分級分類類管理，具具體分為四四類：A類機(jī)房總行數(shù)數(shù)據(jù)中心機(jī)機(jī)房、總行行災(zāi)備中心心機(jī)

41、房；B類機(jī)房總行開開發(fā)中心、省分行和和直屬分行行中心機(jī)房房；C類機(jī)房省轄分分行中心機(jī)機(jī)房；D類機(jī)房其它機(jī)機(jī)房。機(jī)房建設(shè)安安全管理的的各項(xiàng)內(nèi)容容應(yīng)符合相相關(guān)國家標(biāo)標(biāo)準(zhǔn)。分行行新中心計(jì)計(jì)算機(jī)機(jī)房房建造設(shè)計(jì)計(jì)方案應(yīng)通通過上級行行技術(shù)管理理部門的審審批。分行行中心計(jì)算算機(jī)機(jī)房建建造完工后后，應(yīng)通過過有資質(zhì)的的質(zhì)檢部門門和消防部部門以及上上級行的科科技部門、審計(jì)部門、保衛(wèi)部門門等有關(guān)部部門的檢查查，并出具具檢查報(bào)告告。2.4.11機(jī)房區(qū)域域安全機(jī)房和辦公公場地應(yīng)選選擇在具有有防震、防防風(fēng)和防雨雨等能力的的建筑內(nèi)；機(jī)房場地地應(yīng)避免設(shè)設(shè)在建筑物物的高層或或地下室，以以及用水設(shè)設(shè)備的下層層或隔壁。各機(jī)構(gòu)中心心

42、機(jī)房應(yīng)依依據(jù)要求實(shí)實(shí)現(xiàn)物理功功能分區(qū)（總總行A類分分區(qū)、省直直分行B類類分區(qū)、省省轄行C類類分區(qū)）；各分區(qū)入入口應(yīng)獨(dú)立立設(shè)置；不不同分區(qū)之之間間隔體體、窗戶、中心機(jī)房房大門、各各分區(qū)門的的強(qiáng)度和牢牢固性應(yīng)符符合相關(guān)要要求；不同同分區(qū)間(如天花板板上方和地地板下方）應(yīng)應(yīng)有效隔離離。中心機(jī)房所所在樓層和和位置不應(yīng)應(yīng)存在被外外部識別的的情況，應(yīng)應(yīng)采取有效效的隱蔽措措施；機(jī)房房周邊（1100米內(nèi)內(nèi)）嚴(yán)禁存存在如加油油站，變電電站等潛在在的安全隱隱患。2.4.22物理訪問問控制機(jī)房出入應(yīng)應(yīng)安排專人人負(fù)責(zé)，控控制、鑒別別和記錄進(jìn)進(jìn)入的人員員；需進(jìn)入入機(jī)房的來來訪人員應(yīng)應(yīng)經(jīng)過申請請和審批流流程，并限限制和監(jiān)

43、控控其活動范范圍；應(yīng)對機(jī)房劃劃分區(qū)域進(jìn)進(jìn)行管理，區(qū)區(qū)域和區(qū)域域之間設(shè)置置物理隔離離裝置，在在重要區(qū)域域前設(shè)置交交付或安裝裝等過渡區(qū)區(qū)域；重要要區(qū)域應(yīng)配配置電子門門禁系統(tǒng)，控控制、鑒別別和記錄進(jìn)進(jìn)入的人員員；機(jī)房出出入口應(yīng)配配置電子門門禁系統(tǒng)，重重要區(qū)域應(yīng)應(yīng)配置第二二道電子門門禁系統(tǒng)。各分區(qū)應(yīng)具具有獨(dú)立的的門禁控制制器進(jìn)行控控制；門禁禁系統(tǒng)中各各人員可進(jìn)進(jìn)出區(qū)域應(yīng)應(yīng)與崗位指指責(zé)相匹配配，采用最最小授權(quán)原原則對機(jī)房房分區(qū)進(jìn)行行物理訪問問；門禁卡卡應(yīng)實(shí)行實(shí)實(shí)名記錄和和管理，并并定期更新新；門禁系系統(tǒng)是否由由保衛(wèi)部門門管理以實(shí)實(shí)現(xiàn)部門和和崗位的制制約。2.4.33設(shè)備定位位和保護(hù)機(jī)房內(nèi)設(shè)備備必須嚴(yán)格格

44、定位和保保護(hù)，應(yīng)將將主要設(shè)備備放置在機(jī)機(jī)房內(nèi)；將將設(shè)備或主主要部件進(jìn)進(jìn)行固定，并并設(shè)置明顯顯的不易除除去的標(biāo)記記；機(jī)架之之間、設(shè)備備之間應(yīng)留留有合理空空間，保證證不會碰撞撞和今后維維護(hù)方便。應(yīng)將通信信線纜鋪設(shè)設(shè)在隱蔽處處，可鋪設(shè)設(shè)在地下或或管道中。2.4.44供電系統(tǒng)統(tǒng)中心機(jī)房配配電系統(tǒng)應(yīng)應(yīng)為雙路供供電，并設(shè)設(shè)置防雷擊擊保護(hù)裝置置。中心機(jī)機(jī)房應(yīng)備有有應(yīng)急照明明，攝像區(qū)區(qū)域應(yīng)備有有值班照明明。主機(jī)系系統(tǒng)、網(wǎng)絡(luò)絡(luò)通訊、重重要業(yè)務(wù)系系統(tǒng)前置機(jī)機(jī)等重要計(jì)計(jì)算機(jī)設(shè)備備應(yīng)通過專專用不間斷斷電源UPPS供電，此此類UPSS電源不準(zhǔn)準(zhǔn)接入其它它電子設(shè)備備。UPSS應(yīng)定期進(jìn)進(jìn)行放電檢檢測，其負(fù)負(fù)載應(yīng)不超超過有效

45、輸輸出功率的的80%，并并應(yīng)均勻分分配在三相相線路上。各類監(jiān)控控報(bào)警設(shè)備備、消防設(shè)設(shè)備、值班班照明、應(yīng)應(yīng)急照明等等應(yīng)與機(jī)房房設(shè)備采用用不同UPPS供電。A類機(jī)房房UPS配配備必須符符合2（NN1）并并聯(lián)冗余方方式，B類類機(jī)房UPPS配備應(yīng)應(yīng)符合2NN并聯(lián)冗余余方式。應(yīng)配備發(fā)電電機(jī)或與供供電單位簽簽供電協(xié)議議以對中心心機(jī)房進(jìn)行行應(yīng)急供電電；發(fā)電機(jī)機(jī)的功率及及油量應(yīng)滿滿足機(jī)房功功率和發(fā)電電要求，同同時(shí)確保油油庫的安全全性；發(fā)電電機(jī)應(yīng)定期期保養(yǎng)和演演練，并進(jìn)進(jìn)行文檔記記錄。應(yīng)按UPSS維保合同同條款進(jìn)行行定期巡檢檢；每次維維保應(yīng)全面面到位，進(jìn)進(jìn)行定期放放電檢測并并檢查電池池接頭的牢牢固性。2.4.5

46、5空調(diào)系統(tǒng)統(tǒng)總行、省直直分行中心心機(jī)房、電電池室應(yīng)配配備機(jī)房專專用精密空空調(diào)，省轄轄行應(yīng)配備備精密機(jī)房房專用空調(diào)調(diào)，或能224運(yùn)行、自啟動的的商用空調(diào)調(diào)；機(jī)房空空調(diào)四周應(yīng)應(yīng)設(shè)置防水水隔離壩，并并采取足夠夠的防護(hù)措措施以保證證防空調(diào)漏漏水的發(fā)生生和及時(shí)報(bào)報(bào)警；A類類、B類機(jī)機(jī)房精密空空調(diào)控制模模塊配置應(yīng)應(yīng)為N+11冗余方式式。2.4.66消防系統(tǒng)統(tǒng)機(jī)房應(yīng)設(shè)置置滅火設(shè)備備；設(shè)置火火災(zāi)自動報(bào)報(bào)警系統(tǒng)和和火災(zāi)自動動消防系統(tǒng)統(tǒng)，能夠自自動檢測火火情、自動動報(bào)警，并并自動滅火火；機(jī)房及及相關(guān)的工工作房間和和輔助房應(yīng)應(yīng)采用具有有耐火等級級的建筑材材料；機(jī)房房應(yīng)采取區(qū)區(qū)域隔離防防火措施，將將重要設(shè)備備與其他設(shè)

47、設(shè)備隔離開開。中心機(jī)機(jī)房的地板板、隔墻、天花吊頂頂?shù)仁覂?nèi)裝裝飾材料必必須采用阻阻燃材料。機(jī)房應(yīng)設(shè)置置應(yīng)急通道道，應(yīng)急逃逃生通道應(yīng)應(yīng)通暢，嚴(yán)嚴(yán)謹(jǐn)堆放雜雜物；走廊廊、安全出出口、樓梯梯間應(yīng)有明明顯的疏散散指示標(biāo)志志；逃生門門應(yīng)有效啟啟用，處于于外部關(guān)閉閉、內(nèi)部應(yīng)應(yīng)急可開啟啟狀態(tài)。機(jī)房消防系系統(tǒng)的滅火火介質(zhì)應(yīng)符符合機(jī)房要要求，定期期檢測消防防報(bào)警系統(tǒng)統(tǒng)各檢測點(diǎn)點(diǎn)和噴淋介介質(zhì)（如鋼鋼瓶壓力等等）的有效效性；消防防開關(guān)應(yīng)設(shè)設(shè)置為手動動狀態(tài)；火火災(zāi)報(bào)警系系統(tǒng)和自動動滅火系統(tǒng)統(tǒng)應(yīng)與門禁禁系統(tǒng)聯(lián)動動；中心機(jī)機(jī)房應(yīng)配備備專用空氣氣呼吸器或或氧氣呼吸吸器。相關(guān)值班人人員應(yīng)熟知知緊急情況況的應(yīng)急啟啟動流程，定定期對

48、相關(guān)關(guān)人員進(jìn)行行消防演練練和培訓(xùn)并并保存相關(guān)關(guān)記錄。2.4.77防雷設(shè)置機(jī)房建筑應(yīng)應(yīng)設(shè)置避雷雷裝置；機(jī)機(jī)房應(yīng)設(shè)置置交流電源源地線；設(shè)設(shè)置防雷保保安器，防防止感應(yīng)雷雷。防雷擊擊系統(tǒng)應(yīng)出出具專業(yè)機(jī)機(jī)構(gòu)的驗(yàn)收收檢測報(bào)告告；防雷接接地電阻應(yīng)應(yīng)小于2歐歐姆。2.4.88防漏水系系統(tǒng)中心機(jī)房、電池室等等空調(diào)區(qū)域域應(yīng)配備防防漏水裝置置并確保漏漏水報(bào)警裝裝置的有效效性；機(jī)房房內(nèi)地面、天花板和和墻面應(yīng)杜杜絕滲漏水水隱患。對穿過機(jī)房房墻壁和樓樓板的水管管增加必要要的保護(hù)措措施；應(yīng)采采取措施防防止雨水通通過機(jī)房窗窗戶、屋頂頂和墻壁滲滲透；水管管安裝，不不得穿過機(jī)機(jī)房屋頂和和活動地板板下；應(yīng)采采取措施防防止機(jī)房內(nèi)內(nèi)水

49、蒸氣結(jié)結(jié)露和地下下積水的轉(zhuǎn)轉(zhuǎn)移與滲透透；應(yīng)安裝裝對水敏感感的檢測儀儀表或元件件，對機(jī)房房進(jìn)行防水水檢測和報(bào)報(bào)警。2.4.99錄像監(jiān)控控 計(jì)計(jì)算機(jī)中心心機(jī)房區(qū)域域配置攝像像機(jī)的監(jiān)視視范圍包括括：中心機(jī)機(jī)房區(qū)域與與外界相通通的走廊及及進(jìn)出口，主主機(jī)房、前前置機(jī)房、網(wǎng)絡(luò)通信信機(jī)房、UUPS機(jī)房房、空調(diào)機(jī)機(jī)房、ECCC室等機(jī)機(jī)房內(nèi)的重重要設(shè)備及及進(jìn)出口，監(jiān)監(jiān)控值班室室內(nèi)及進(jìn)出出口?；胤欧艌D像應(yīng)全全視角顯示示區(qū)域內(nèi)安安裝的重要要設(shè)備情況況；清晰顯顯示區(qū)域內(nèi)內(nèi)人員進(jìn)出出及操作重重要設(shè)備情情況，但不不應(yīng)看到鍵鍵盤操作。錄像記錄錄方式為224小時(shí)實(shí)實(shí)時(shí)錄像。A、B、CC類機(jī)房必必須配備224小時(shí)監(jiān)監(jiān)控錄像裝置

50、和報(bào)報(bào)警按鈕，監(jiān)監(jiān)控?cái)z像頭頭應(yīng)安裝在在機(jī)房外門門、主機(jī)室室、通訊室室、電源室室等處，機(jī)機(jī)房錄像監(jiān)監(jiān)控應(yīng)能看看清進(jìn)入機(jī)機(jī)房人員臉臉部，監(jiān)控控關(guān)鍵設(shè)備備操作位置置，屏蔽鍵鍵盤輸入?yún)^(qū)區(qū)。監(jiān)控錄錄像的保存存時(shí)間應(yīng)不不少于三個(gè)個(gè)月。攝像像機(jī)電源應(yīng)應(yīng)專線集中中供電，配配備不間斷斷電源。AA、B、CC類機(jī)房的的監(jiān)控信息息必須到達(dá)達(dá)保衛(wèi)部門門的監(jiān)控室室。2.4.110環(huán)境集集中監(jiān)控系系統(tǒng)對機(jī)房環(huán)境境設(shè)施（UUPS、消消防、漏水水、空調(diào)等等）應(yīng)采用用集中監(jiān)控控系統(tǒng)；集集中監(jiān)控系系統(tǒng)中采集集的各類數(shù)數(shù)據(jù)應(yīng)確保保其真實(shí)性性，不存在在誤差，并并合理設(shè)置置報(bào)警閥值值（如溫度度、濕度）； 對聲音音、短信和和電話等報(bào)報(bào)警模

51、式的的設(shè)置應(yīng)有有效、切實(shí)實(shí)、可行。2.4.111設(shè)備維維護(hù)與保養(yǎng)養(yǎng)及時(shí)與第三三方簽署對對各類中心心機(jī)房硬件件設(shè)備的維維保合同；合同中應(yīng)應(yīng)對維保期期限、維保保內(nèi)容、違違約條款和和責(zé)任界定定等條款進(jìn)進(jìn)行明確約約定。按照維保合合同約定的的維保頻率率定期對各各類設(shè)備實(shí)實(shí)施維修保保養(yǎng)；維保保過程應(yīng)全全面到位，維維修保養(yǎng)記記錄應(yīng)真實(shí)實(shí)詳細(xì)，內(nèi)內(nèi)容規(guī)范。建立設(shè)備維維修授權(quán)表表，只有得得到授權(quán)的的維護(hù)人員員才能夠?qū)υO(shè)備進(jìn)行行維修和保保養(yǎng)。有外外公司人員員來分行進(jìn)進(jìn)行維護(hù)時(shí)時(shí)，應(yīng)有本行同事陪陪同。2.4.112網(wǎng)點(diǎn)機(jī)機(jī)房環(huán)境 應(yīng)應(yīng)確實(shí)保證證網(wǎng)點(diǎn)機(jī)房房的物理安安全，溫度度、濕度、環(huán)境設(shè)施施配置等控控制措施應(yīng)應(yīng)由

52、專人管管理；網(wǎng)絡(luò)絡(luò)通信設(shè)備備等應(yīng)采用用機(jī)柜上鎖鎖管理，避避免掉電和和人為故障障等隱患。對營業(yè)網(wǎng)點(diǎn)點(diǎn)的公共設(shè)設(shè)備（如客客戶操作、查詢終端端等）應(yīng)確確保其網(wǎng)絡(luò)絡(luò)安全，杜杜絕存在入入侵內(nèi)部局局域網(wǎng)的可可能；營業(yè)業(yè)網(wǎng)點(diǎn)公共共區(qū)域應(yīng)避避免存在裸裸露的網(wǎng)口口非法介入入局域網(wǎng)。網(wǎng)點(diǎn)錄像監(jiān)監(jiān)控設(shè)備的的日常管理理和調(diào)閱應(yīng)應(yīng)由專人負(fù)負(fù)責(zé)和授權(quán)權(quán)，應(yīng)覆蓋蓋重要區(qū)域域，監(jiān)控?cái)?shù)數(shù)據(jù)應(yīng)保存存達(dá)到一個(gè)個(gè)月以上。2.4.113值班管管理信息科技部部制定相關(guān)關(guān)人員應(yīng)急急處置的規(guī)規(guī)范流程，以及制定定日常值班班的操作規(guī)規(guī)程。并在中心機(jī)機(jī)房供電、空調(diào)溫度度、濕度、漏水檢測測等環(huán)境設(shè)設(shè)施報(bào)警后后，按照此此流程執(zhí)行行。應(yīng)安排專責(zé)責(zé)運(yùn)行人

53、員員對機(jī)房224小時(shí)運(yùn)運(yùn)行值班； A類、B類機(jī)房房運(yùn)行值班班人員應(yīng)與系統(tǒng)網(wǎng)網(wǎng)絡(luò)、開發(fā)發(fā)、維護(hù)人人員分離；對機(jī)房環(huán)環(huán)境監(jiān)控發(fā)發(fā)現(xiàn)的問題題應(yīng)及時(shí)跟跟蹤確認(rèn)，及及時(shí)通知相相關(guān)人員進(jìn)進(jìn)行解決。值班人員員應(yīng)把所有有可疑故障障和實(shí)際發(fā)發(fā)生的事故故記錄下來來，并同時(shí)時(shí)記錄處理理過程、處處理人、處處理時(shí)間、影響業(yè)務(wù)務(wù)時(shí)間。 2.5 運(yùn)行維護(hù)護(hù)管理審計(jì)計(jì)運(yùn)行維護(hù)管管理目標(biāo)就就是確保應(yīng)應(yīng)用系統(tǒng)在在上線、運(yùn)運(yùn)行和維護(hù)護(hù)的整個(gè)過過程都能安安全地、穩(wěn)穩(wěn)定地、不不間斷地支支持業(yè)務(wù)運(yùn)運(yùn)作。運(yùn)行行維護(hù)管理理應(yīng)有如下下控制措施施：（1）對每每個(gè)生產(chǎn)系系統(tǒng)，必須須制定應(yīng)急急處理流程程和應(yīng)急處處理方案。（3）故障障一旦發(fā)現(xiàn)現(xiàn)，必須

54、保保證及時(shí)快快速的定位位和提出解解決方案。（4）對生生產(chǎn)系統(tǒng)進(jìn)進(jìn)行維護(hù)之之前，必須須有詳細(xì)的的維護(hù)操作作方案、步步驟和維護(hù)護(hù)目標(biāo)。（5）故障障排除和系系統(tǒng)維護(hù)時(shí)時(shí)應(yīng)該盡可可能做到不不影響生產(chǎn)產(chǎn)系統(tǒng)正常常和穩(wěn)定運(yùn)運(yùn)行。（6）對生生產(chǎn)系統(tǒng)進(jìn)進(jìn)行維護(hù)時(shí)時(shí)，維護(hù)人人員必須在在我行工作作人員至少少雙人監(jiān)督督下進(jìn)行。（7）必須須嚴(yán)格做好好系統(tǒng)維護(hù)護(hù)日志。（8）必須須做好系統(tǒng)統(tǒng)數(shù)據(jù)和業(yè)業(yè)務(wù)數(shù)據(jù)的的常規(guī)清理理方案，并并按方案嚴(yán)嚴(yán)格執(zhí)行。2.5.11崗位職責(zé)責(zé)和操作流流程各級分行應(yīng)應(yīng)設(shè)立生產(chǎn)產(chǎn)運(yùn)行崗，負(fù)負(fù)責(zé)本行的的生產(chǎn)運(yùn)行行管理。運(yùn)運(yùn)行崗應(yīng)與與應(yīng)用開發(fā)發(fā)崗分離，不不得兼崗。運(yùn)行維護(hù)管管理崗位職職責(zé)：根據(jù)據(jù)業(yè)務(wù)發(fā)

55、展展需要，制制定符合每每個(gè)生產(chǎn)系系統(tǒng)特點(diǎn)的的維護(hù)管理理流程和辦辦法，并貫貫徹執(zhí)行各各項(xiàng)管理制制度，建立立問題管理理和跟蹤機(jī)機(jī)制。做好好生產(chǎn)系統(tǒng)統(tǒng)的運(yùn)行和和維護(hù)工作作，確保系系統(tǒng)的正常常運(yùn)行。組組織實(shí)施生生產(chǎn)運(yùn)行系系統(tǒng)故障的的維護(hù)工作作；承擔(dān)電電腦設(shè)備的的維護(hù)管理理工作，報(bào)報(bào)障硬件設(shè)設(shè)備的正常常運(yùn)轉(zhuǎn)。分分行配合總總行做好IIT服務(wù)臺臺的管理。問題管理流流程內(nèi)容包包括：故障障報(bào)告、故故障分析定定位、故障障解決方案案、故障排排除和生產(chǎn)產(chǎn)測試的環(huán)環(huán)節(jié)。 2.5.2生產(chǎn)運(yùn)運(yùn)行監(jiān)控其目標(biāo)是在在系統(tǒng)運(yùn)行行過程中，通通過系統(tǒng)監(jiān)監(jiān)控，及時(shí)時(shí)發(fā)現(xiàn)可能能存在的問問題，確保保生產(chǎn)系統(tǒng)統(tǒng)的穩(wěn)定和和安全。系統(tǒng)運(yùn)行安安全的

56、內(nèi)容容包括：（1）必須須做好故障障的預(yù)測和和防范措施施，制定人人員責(zé)任范范圍，定期期進(jìn)行生產(chǎn)產(chǎn)系統(tǒng)的檢檢查和運(yùn)行行分析報(bào)告告。（2）確保保系統(tǒng)硬件件配置、系系統(tǒng)參數(shù)和和整體性能能滿足業(yè)務(wù)務(wù)發(fā)展的需需要。（3）系統(tǒng)統(tǒng)運(yùn)行過程程中，必須須做好系統(tǒng)統(tǒng)硬件各部部件狀態(tài)的的監(jiān)控、軟軟件運(yùn)行狀狀態(tài)的監(jiān)控控、數(shù)據(jù)庫庫系統(tǒng)狀態(tài)態(tài)的監(jiān)控、網(wǎng)絡(luò)狀態(tài)態(tài)的監(jiān)控。2.5.33變更維護(hù)護(hù)管理生產(chǎn)系統(tǒng)的的變更是指指各類生產(chǎn)產(chǎn)系統(tǒng)、生生產(chǎn)環(huán)境的的各種變動動，包括生生產(chǎn)系統(tǒng)、生產(chǎn)環(huán)境境涉及到的的所有的硬硬件設(shè)備、系統(tǒng)軟件件、應(yīng)用軟軟件（包括括應(yīng)用執(zhí)行行程序）、工具軟件件、網(wǎng)絡(luò)設(shè)設(shè)備、安全全設(shè)備和機(jī)機(jī)房設(shè)備等等。生產(chǎn)變更的的執(zhí)行

57、人員員應(yīng)為生產(chǎn)產(chǎn)運(yùn)行管理理人員或運(yùn)運(yùn)行操作員員，嚴(yán)禁應(yīng)應(yīng)用開發(fā)維維護(hù)人員直直接負(fù)責(zé)生生產(chǎn)變更，確確保開發(fā)與與生產(chǎn)的相相對分離。生產(chǎn)變更實(shí)實(shí)施前必須須經(jīng)過嚴(yán)格格的測試和和驗(yàn)證，同同時(shí)應(yīng)做好好系統(tǒng)、數(shù)數(shù)據(jù)、應(yīng)用用執(zhí)行程序序等備份并并制定相應(yīng)應(yīng)的回退方方案。生產(chǎn)變更必必須嚴(yán)格履履行變更手手續(xù)，填寫寫變更申請請表，說明明變更的原原因、緩急急程度以及及變更需求求等內(nèi)容，并并由部門主主管領(lǐng)導(dǎo)簽簽字認(rèn)可。涉及系統(tǒng)統(tǒng)升級等比比較復(fù)雜的的生產(chǎn)變更更必須制定定詳細(xì)的變變更方案和和操作流程程，確保系系統(tǒng)安全?？傂袛?shù)據(jù)中中心的生產(chǎn)產(chǎn)變更應(yīng)嚴(yán)嚴(yán)格執(zhí)行生產(chǎn)變更更管理辦法法。各級級分支機(jī)構(gòu)構(gòu)科技部門門應(yīng)根據(jù)本本行情況制制定

58、相應(yīng)的的生產(chǎn)變更更管理細(xì)則則及詳細(xì)的的生產(chǎn)變更更流程。 2.5.44數(shù)據(jù)備份份管理數(shù)據(jù)備份策策略：識別別需要定期期備份的重重要業(yè)務(wù)信信息、系統(tǒng)統(tǒng)數(shù)據(jù)及軟軟件系統(tǒng)等等；制定完完整、全面面的數(shù)據(jù)備備份策略和和異地備份份策略，明明確備份內(nèi)內(nèi)容、頻率率、介質(zhì)、保存期限限、存放要要求等各環(huán)環(huán)節(jié)。備份份策略指明明備份數(shù)據(jù)據(jù)的放置場場所、文件件命名規(guī)則則、介質(zhì)替替換頻率和和數(shù)據(jù)離站站運(yùn)輸方法法。備份數(shù)據(jù)的的全面性：數(shù)據(jù)備份份策略應(yīng)有有效執(zhí)行；主機(jī)系統(tǒng)統(tǒng)、系統(tǒng)配配置、系統(tǒng)統(tǒng)軟件、網(wǎng)網(wǎng)絡(luò)參數(shù)、應(yīng)用數(shù)據(jù)據(jù)、重要技技術(shù)文檔應(yīng)應(yīng)及時(shí)有效效備份。備份數(shù)據(jù)的的有效性：應(yīng)定期執(zhí)執(zhí)行恢復(fù)程程序，檢查查和測試備備份介質(zhì)的的有效

59、性，確確?？梢栽谠诨謴?fù)程序序規(guī)定的時(shí)時(shí)間內(nèi)完成成備份的恢恢復(fù)；應(yīng)每每季度對備備份介質(zhì)的的可用性和和有效性進(jìn)進(jìn)行檢查或或抽查，確確保在緊急急突發(fā)事件件發(fā)生時(shí)能能夠較快地地恢復(fù)生產(chǎn)產(chǎn)；應(yīng)有介介質(zhì)有效性性檢查的記記錄。備份數(shù)據(jù)的的物理安全全：備份信息息和介質(zhì)應(yīng)應(yīng)進(jìn)行嚴(yán)格格的物理訪訪問控制（門門禁和上鎖鎖等措施）；存儲介質(zhì)質(zhì)保應(yīng)保存存在防潮、防火、防防磁等安全全位置。備份數(shù)據(jù)的的邏輯安全全：備份數(shù)據(jù)據(jù)應(yīng)確保邏邏輯網(wǎng)絡(luò)訪訪問安全；禁止權(quán)限限不明和未未授權(quán)的訪訪問、拷貝貝、篡改和和刪除；應(yīng)應(yīng)建立明確確的網(wǎng)絡(luò)訪訪問控制和和賬戶控制制策略。備份數(shù)據(jù)管管理流程：建立切實(shí)實(shí)有效的備備份數(shù)據(jù)的的管理流程程，明確數(shù)數(shù)

60、據(jù)備份的的管理部門門和實(shí)施部部門，明確確數(shù)據(jù)交接接和相關(guān)人人員職責(zé)等等環(huán)節(jié) 應(yīng)應(yīng)根據(jù)信息息系統(tǒng)的備備份技術(shù)要要求，制定定相應(yīng)的災(zāi)災(zāi)難恢復(fù)計(jì)計(jì)劃，并對對其進(jìn)行測測試以確保保各個(gè)恢復(fù)復(fù)規(guī)程的正正確性和計(jì)計(jì)劃整體的的有效性，測測試內(nèi)容包包括運(yùn)行系系統(tǒng)恢復(fù)、人員協(xié)調(diào)調(diào)、備用系系統(tǒng)性能測測試、通信信連接等，根根據(jù)測試結(jié)結(jié)果，對不不適用的規(guī)規(guī)定進(jìn)行修修改或更新新。2.5.55惡意軟件件防護(hù)提高所有用用戶的防病病毒意識，告告知及時(shí)升升級防病毒毒軟件，在在讀取移動動存儲設(shè)備備上的數(shù)據(jù)據(jù)以及網(wǎng)絡(luò)絡(luò)上接收文文件或郵件件之前，先先進(jìn)行病毒毒檢查，對對外來計(jì)算算機(jī)或存儲儲設(shè)備接入入網(wǎng)絡(luò)系統(tǒng)統(tǒng)之前也應(yīng)應(yīng)進(jìn)行病毒毒檢查；