XXX運(yùn)維組安全管理制度

北京郵科易通信息科技有限公司XXXX運(yùn)維組信息安全管理制度第一章：總則第一條為加強(qiáng)XXXX運(yùn)維組運(yùn)行維護(hù)管理，規(guī)范維護(hù)行為，特制定XXXXXXXX運(yùn)維組信息安全管理制度，防范IT運(yùn)維系統(tǒng)安全風(fēng)險(xiǎn)。XXXXXXXX運(yùn)維組嚴(yán)格按照國家信息安全相關(guān)法令法規(guī)和行業(yè)規(guī)范，以及XXXX數(shù)據(jù)中心對運(yùn)維廠商的管理和考核要求，制定信息安全管理制度，增強(qiáng)員工安全意識(shí)，約束員工行為，強(qiáng)化商業(yè)秘密的保護(hù)力度。第二條本制度所稱的信息安全管理，是指XXXX對承接的郵政儲(chǔ)蓄XXXX的運(yùn)維系統(tǒng)保障計(jì)算機(jī)信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全運(yùn)行的一系列管理活動(dòng)。目前XXXX承接的運(yùn)維系統(tǒng)有：XXXX。第三條本規(guī)定適用于XXXX所有的XXXX運(yùn)維人員。第四條XXXXXXXX安全管理組履行本制度中信息安全管理職責(zé)，并對本制度的執(zhí)行實(shí)施監(jiān)督檢查。1/18北京郵科易通信息科技有限公司第二章：組織保障第五條加強(qiáng)管理，綜合防范，完善制度，強(qiáng)化培訓(xùn)。第六條XXXX成立了安全組織管理組織，明確角色和職責(zé)，對XXXX運(yùn)維人員進(jìn)行日常管理，從XXXX承接的各個(gè)運(yùn)維系統(tǒng)中各指派一名信息安全管理員，啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施，做好關(guān)鍵崗位管理、人員入職、人員離職等管理工作。第七條XXXX各運(yùn)維組，有完善的組織架構(gòu)，明確每個(gè)運(yùn)維人員的職責(zé)分工。第八條XXXX運(yùn)維分管領(lǐng)導(dǎo)、各運(yùn)維組負(fù)責(zé)人時(shí)常教育員工自覺遵守XXXX各項(xiàng)管理規(guī)章制度，遵守有關(guān)信息科技風(fēng)險(xiǎn)制度和流程，安全管理組監(jiān)督執(zhí)行。對嚴(yán)重違反管理規(guī)定人員，對其進(jìn)行相應(yīng)處罰。第九條XXXX各運(yùn)維組已建立健全的應(yīng)急管理制度，故障發(fā)生時(shí)，在數(shù)據(jù)中心的統(tǒng)一指揮下，進(jìn)行應(yīng)急處理。2/18北京郵科易通信息科技有限公司第十條XXXX各運(yùn)維組成員政治可靠、業(yè)務(wù)和技術(shù)過硬、遵紀(jì)守法、恪盡職守。對違反國家法律、法規(guī)和行業(yè)規(guī)章并受到處罰的人員，不予錄用。第十一條XXXX運(yùn)維組在運(yùn)維人員上崗前以及每季度至少一次進(jìn)行信息安全培訓(xùn)、運(yùn)行維護(hù)相關(guān)制度培訓(xùn)。第三章：人員安全管理第十二條XXXX所有運(yùn)維人員必須嚴(yán)格遵守公司保密工作管理辦法，并與公司簽署安全保密協(xié)議。第十三條XXXX所有運(yùn)維人員必須嚴(yán)格執(zhí)行XXXXXXXX相關(guān)的保密制度，并與XXXXXXXX簽署保密協(xié)議及個(gè)人承諾書，在數(shù)據(jù)中心備案。第十四條XXXX運(yùn)維人員的配備和變更情況，應(yīng)由運(yùn)維組統(tǒng)一提前向數(shù)據(jù)中心相關(guān)人員報(bào)告。第十五條XXXX運(yùn)維人員調(diào)離崗位后，必須嚴(yán)格辦理調(diào)離手續(xù)，進(jìn)行離崗3/18北京郵科易通信息科技有限公司安全審查，承諾其調(diào)離后的保密義務(wù)。第十六條XXXX運(yùn)維人員上崗前以及每年至少一次接受公司的安全培訓(xùn)、運(yùn)行維護(hù)相關(guān)制度培訓(xùn)。第十七條嚴(yán)禁向窗外拋物。第十八條嚴(yán)禁在樓道、辦公室內(nèi)打鬧。第四章：消防安全管理第十九條積極參與XXXXXXXX消防演習(xí)，嚴(yán)格按照規(guī)定學(xué)習(xí)，接受多種形式的消防安全宣傳教育。第二十條發(fā)生火情應(yīng)立即采取相應(yīng)措施。第二十一條嚴(yán)禁在辦公區(qū)域內(nèi)抽煙、玩火等。第二十二條嚴(yán)禁將易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等存在安全隱患的物品放在4/18北京郵科易通信息科技有限公司辦公區(qū)域內(nèi)。第五章：用電安全管理第二十三條嚴(yán)格遵守各類辦公設(shè)施設(shè)備操作程序和要求，嚴(yán)禁違規(guī)操作以保障用電安全。第二十四條嚴(yán)禁擅自使用電熱器具。第二十五條嚴(yán)禁自裝電源插座，自接電源。第二十六條下班時(shí)應(yīng)切斷辦公設(shè)施設(shè)備的電源。第六章：辦公環(huán)境安全管理第二十七條個(gè)人電腦禁止帶入運(yùn)維辦公現(xiàn)場，禁止接入XXXX網(wǎng)絡(luò)，禁止使用其做相應(yīng)的運(yùn)維工作，不能拷貝與運(yùn)維工作相關(guān)的任何文檔和生產(chǎn)數(shù)據(jù)。第二十八條嚴(yán)禁帶非XXXX運(yùn)維人員進(jìn)入運(yùn)維辦公現(xiàn)場。5/18北京郵科易通信息科技有限公司第二十九條嚴(yán)禁將運(yùn)維相關(guān)資料暴露于運(yùn)維辦公現(xiàn)場。第三十條嚴(yán)禁將運(yùn)維辦公現(xiàn)場的公共資產(chǎn)帶離運(yùn)維辦公現(xiàn)場。第三十一條嚴(yán)禁使用辦公資產(chǎn)從事與工作無關(guān)的事，即不得用辦公電話打私人電話等。第三十二條未經(jīng)XXXX運(yùn)維領(lǐng)導(dǎo)同意，嚴(yán)禁在運(yùn)維辦公現(xiàn)場拍照、錄像。第三十三條運(yùn)維人員應(yīng)攜帶工作證件，接受門衛(wèi)人員檢查，才能進(jìn)入服務(wù)場所。第三十四條運(yùn)維人員離職，應(yīng)及時(shí)監(jiān)督其辦理工作證件注銷。第三十五條嚴(yán)禁在工作期間飲酒和酒后上崗。6/18北京郵科易通信息科技有限公司第七章：互聯(lián)網(wǎng)安全管理第三十六條嚴(yán)禁在生產(chǎn)終端連接互聯(lián)網(wǎng)，私自接入網(wǎng)絡(luò)設(shè)備。即生產(chǎn)終端不得安裝無線上網(wǎng)卡驅(qū)動(dòng)使用上網(wǎng)卡、不得使用無線WiFi共享軟件等。第三十七條嚴(yán)禁在辦公場所擅自設(shè)立無線熱點(diǎn)、擅自連入任何未經(jīng)允許的無線熱點(diǎn)。第三十八條運(yùn)維人員不得在互聯(lián)網(wǎng)上發(fā)布與運(yùn)維工作相關(guān)信息。不得以任何理由泄露數(shù)據(jù)。第三十九條嚴(yán)禁故意輸入計(jì)算機(jī)病毒。第四十條嚴(yán)禁向他人提供含有計(jì)算機(jī)病毒的文件、軟件等。第八章：生產(chǎn)終端安全管理第四十一條生產(chǎn)終端安全嚴(yán)格按照“誰使用誰負(fù)責(zé)”的原則。7/18北京郵科易通信息科技有限公司第四十二條生產(chǎn)終端指接入XXXX網(wǎng)絡(luò)進(jìn)行運(yùn)行維護(hù)服務(wù)的計(jì)算機(jī)設(shè)備，包括PC機(jī)、專用終端等設(shè)備。第四十三條生產(chǎn)終端按XXXXXXXX及公司標(biāo)準(zhǔn)配置，運(yùn)維人員不得擅自改動(dòng)。第四十四條生產(chǎn)終端必須設(shè)置開機(jī)密碼。第四十五條嚴(yán)禁在生產(chǎn)終端接入私人設(shè)備。即生產(chǎn)終端不得連接手機(jī)、打印機(jī)等。第四十六條嚴(yán)禁生產(chǎn)終端進(jìn)行試驗(yàn)、測試。第四十七條嚴(yán)禁在生產(chǎn)終端的普通桌面下存放生產(chǎn)數(shù)據(jù)、源碼等敏感信息。即在生產(chǎn)終端的普通桌面下不得存放從生產(chǎn)系統(tǒng)導(dǎo)出的數(shù)據(jù)、配置文件、源碼、生產(chǎn)文檔，不得存放生產(chǎn)系統(tǒng)密鑰、密碼、身份信息等文檔，不得存放反動(dòng)、淫穢、病毒等資料。8/18北京郵科易通信息科技有限公司第四十八條嚴(yán)禁在生產(chǎn)終端安裝與工作無關(guān)軟件，從事與工作無關(guān)的事項(xiàng)。即在生產(chǎn)終端不得安裝游戲、QQ、迅雷、影音軟件(暴風(fēng)影音、千千靜聽、酷狗音樂等)等與工作無關(guān)的軟件。第四十九條病毒防治，安裝并啟用XXXXXXXX規(guī)定的趨勢科技(TM)防毒墻軟件。第五十條生產(chǎn)終端必須設(shè)置屏幕保護(hù)程序，離開生產(chǎn)終端需鎖屏，防止生產(chǎn)數(shù)據(jù)被復(fù)制、修改、刪除及誤操作。生產(chǎn)終端的屏幕保護(hù)程序設(shè)置要求：自動(dòng)鎖屏?xí)r間W3分鐘且恢復(fù)時(shí)顯示登錄屏幕。第五十一條非24小時(shí)監(jiān)控用途的生產(chǎn)終端，下班后須關(guān)閉機(jī)器。第五十二條生產(chǎn)終端必須安裝和使用正版軟件，嚴(yán)禁安裝和使用盜版軟件。第五十三條嚴(yán)格遵守生產(chǎn)終端使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。嚴(yán)禁帶電插撥生產(chǎn)終端外部設(shè)備接口。9/18北京郵科易通信息科技有限公司第五十四條嚴(yán)禁將水杯、花盆等存在安全隱患的物品放在生產(chǎn)終端辦公桌面上或機(jī)箱上。第五十五條生產(chǎn)終端設(shè)備送外單位維修前，應(yīng)徹底清除所有的運(yùn)維工作資料及生產(chǎn)數(shù)據(jù)等。第五十六條被淘汰、報(bào)廢或者利舊的生產(chǎn)終端設(shè)備，應(yīng)徹底清除所有的運(yùn)維工作資料及生產(chǎn)數(shù)據(jù)等。第九章：安全管理平臺(tái)（UKey）安全管理第五十七條安全管理平臺(tái)桌面內(nèi)不得存放反動(dòng)、淫穢、病毒等資料。第五十八條根據(jù)郵政儲(chǔ)蓄XXXX的有關(guān)規(guī)定，各運(yùn)維人員需由所在運(yùn)維組統(tǒng)一向數(shù)據(jù)中心申請安全管理平臺(tái)UKey。第五十九條嚴(yán)禁人離開生產(chǎn)終端，UKey依然插在終端上。要時(shí)刻保持UKey在人在，人走UKey帶走的良好習(xí)慣。10/18北京郵科易通信息科技有限公司第六十條Ukey應(yīng)妥善保管，必須使用本人身份注冊UKey,嚴(yán)禁借用、轉(zhuǎn)讓、盜用。第六十一條UKey丟失后，應(yīng)立即上報(bào)本運(yùn)維組信息安全管理員，由所在運(yùn)維組向數(shù)據(jù)中心提交UKey注銷申請，對該U-Key進(jìn)行注銷、補(bǔ)發(fā)。第六十二條運(yùn)維人員離職，應(yīng)及時(shí)注銷其注冊UKey。第六十三條嚴(yán)禁多人共用一個(gè)UKey。第六十四條嚴(yán)禁私自拆卸、組裝UKey。第十章：密碼安全管理第六十五條所有需要安全控制的生產(chǎn)終端、文檔等均需設(shè)置密碼，通過用戶名及密碼進(jìn)行安全登錄后使用；第六十六條生產(chǎn)終端、安全管理平臺(tái)、UKEY等用戶名及密碼妥善保管，嚴(yán)11/18北京郵科易通信息科技有限公司禁將密碼貼在機(jī)箱、終端屏幕、UKey上、墻上等，嚴(yán)禁將密碼記錄在沒有妥善保管的筆記本、紙上等其它容易暴露的介質(zhì)上，嚴(yán)禁將密碼放在生產(chǎn)終端安全管理平臺(tái)桌面內(nèi)外。第六十七條嚴(yán)禁將生產(chǎn)終端、安全管理平臺(tái)、UKEY等用戶名及密碼借用、轉(zhuǎn)讓、盜用。第六十八條嚴(yán)禁將生產(chǎn)終端、安全管理平臺(tái)、UKEY等用戶名及密碼告訴他人，如因工作需要必須轉(zhuǎn)告他人的，工作完成后應(yīng)立即更改密碼。第六十九條運(yùn)維人員設(shè)置的所有密碼復(fù)雜度要求必需滿足XXXXXXXX的要求。密碼設(shè)置應(yīng)具有安全性、保密性，密碼長度為8位以上，至少包括數(shù)字、字母和特殊字符中的兩種，不應(yīng)是名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串。第七十條所有密碼應(yīng)至少一個(gè)季度變更一次。第七十一條運(yùn)維人員離職，應(yīng)及時(shí)將生產(chǎn)終端、安全管理平臺(tái)、UKEY等用戶名及密碼收回并注銷或修改。12/18北京郵科易通信息科技有限公司第十一章：數(shù)據(jù)安全管理第七十二條每周例行升級(jí)后需將升級(jí)數(shù)據(jù)備份。第七十三條每天例行將交易日志備份。第七十四條每天例行將交易文件備份。第七十五條每天例行將監(jiān)控流水，備份。第七十六條省內(nèi)要求提取數(shù)據(jù)，運(yùn)維人員必須嚴(yán)格遵循數(shù)據(jù)提取流程操作。只有接到數(shù)據(jù)中心提取數(shù)據(jù)的書面通知才能提取數(shù)據(jù)，否則一律告知其走數(shù)據(jù)提取流程。另外，運(yùn)維人員提取的數(shù)據(jù)必須提交給數(shù)據(jù)中心，由數(shù)據(jù)中心下發(fā)各省，運(yùn)維人員不得直接將數(shù)據(jù)提供給各省。第七十七條運(yùn)維人員在任何情況下不得修改交易日志，確保各類交易日志的真實(shí)性。13/18北京郵科易通信息科技有限公司第十二章：操作安全管理第七十八條運(yùn)維生產(chǎn)數(shù)據(jù)變更必須嚴(yán)格遵循數(shù)據(jù)變更流程，嚴(yán)禁在沒有授權(quán)的情況下私自變更生產(chǎn)數(shù)據(jù)，應(yīng)確保對任何變更要獲得正式批準(zhǔn)。第七十九條運(yùn)維生產(chǎn)數(shù)據(jù)變更必須二位運(yùn)維人員共同完成，一人操作一人復(fù)核，并記錄人員名稱、操作時(shí)間等，必要時(shí)需對變更結(jié)果進(jìn)行檢查和復(fù)核。第八十條運(yùn)維系統(tǒng)升級(jí)操作必須二位運(yùn)維人員共同完成，一人操作一人復(fù)核，并記錄人員名稱、操作時(shí)間等，必要時(shí)需對升級(jí)結(jié)果進(jìn)行檢查和復(fù)核。第八十一條制定并實(shí)時(shí)更新規(guī)范的系統(tǒng)運(yùn)行操作流程，嚴(yán)格按照操作流程使用應(yīng)用系統(tǒng)。如升級(jí)操作、日志查詢等。第十三章：運(yùn)維腳本安全管理第八十二條每周例行將運(yùn)維腳本備份到制定目錄。14/18北京郵科易通信息科技有限公司第八十三條運(yùn)維人員必須及時(shí)備份自己編寫的腳本，可備份在個(gè)人目錄下。第八十四條嚴(yán)禁在生產(chǎn)環(huán)境中測試運(yùn)維腳本。第八十五條制定運(yùn)維腳本使用手冊，確保每個(gè)運(yùn)維腳本都有正確規(guī)范的使用說明，嚴(yán)格按照使用手冊使用運(yùn)維腳本。第八十六條當(dāng)發(fā)現(xiàn)運(yùn)行的運(yùn)維腳本存在BUG，影響生產(chǎn)系統(tǒng)正常運(yùn)行時(shí)，應(yīng)立即停止使用腳本，并禁止使用該運(yùn)維腳本直至完善該腳本確保安全后再正常使用。第十四章：運(yùn)維文檔安全管理第八十七條運(yùn)維文檔管理員應(yīng)及時(shí)更新運(yùn)維管理考核文檔，如周報(bào)、月報(bào)、交易數(shù)據(jù)統(tǒng)計(jì)、運(yùn)維手冊、應(yīng)急手冊、切換演練等運(yùn)維文檔，并上傳至95580。第八十八條運(yùn)維人員應(yīng)及時(shí)整理并歸檔每日生產(chǎn)數(shù)據(jù)變更傳真。15/18北京郵科易通信息科技有限公司第八十九條運(yùn)維人員應(yīng)及時(shí)整理并歸檔每周升級(jí)單。第九十條嚴(yán)禁私自傳閱、盜取、篡改機(jī)密運(yùn)維文檔。第九十—條機(jī)密文檔需要傳閱，需加密。第十五章：系統(tǒng)運(yùn)行安全管理第九十二條制定并實(shí)時(shí)更新規(guī)范的系統(tǒng)運(yùn)行安全檢查流程（檢查表砧00口1$^，嚴(yán)格按照系統(tǒng)運(yùn)行安全檢查流程（檢查表checklist）檢查并記錄系統(tǒng)運(yùn)行情況，及時(shí)預(yù)防事故、發(fā)現(xiàn)隱患、及時(shí)處理。第九十三條應(yīng)用系統(tǒng)的日志檢查。包括數(shù)據(jù)庫日志、系統(tǒng)訪問日志、系統(tǒng)處理日志、錯(cuò)誤日志及異常日志。第九十四條應(yīng)用系統(tǒng)可用性檢查，包括系統(tǒng)中斷時(shí)間、系統(tǒng)正常服務(wù)時(shí)間和系統(tǒng)恢復(fù)時(shí)間等。16/18北京郵科易通信息科技有限公司第九十五條制定并實(shí)時(shí)更新規(guī)范的技術(shù)文件如說明書、手冊等，應(yīng)妥善保管。要有嚴(yán)格的借閱手續(xù)。不得損壞及丟失。系統(tǒng)運(yùn)行值班終端安全管理桌面內(nèi)應(yīng)備有應(yīng)用系統(tǒng)操作手冊規(guī)定的文件，應(yīng)用系統(tǒng)出現(xiàn)故障時(shí)可查詢常規(guī)處理方法。第十六章：安全檢查、審計(jì)第九十六條運(yùn)維人員至少每月進(jìn)行一次信息安全自我檢查。第九十七條安全組織管理組織每季度對運(yùn)維人員的信息安全執(zhí)行情況進(jìn)行檢查。第九十八條嚴(yán)格按照《XXXX計(jì)算機(jī)系統(tǒng)安全運(yùn)行維護(hù)廠商考核辦法》中的要求做好日常工作，并接受考核。第九十九條積極響應(yīng)XXXXXXXX總行（尤其是數(shù)據(jù)中心）、外部的風(fēng)險(xiǎn)評(píng)估、審計(jì)等監(jiān)督工作，提供審計(jì)證據(jù)，根據(jù)審計(jì)報(bào)告進(jìn)行差距分析，采取必要的預(yù)防、糾正措