搜索
DDB-QC-KJ-302计算机操作系统和应用软件管理规定版次:1/A1目的为规范丹东银行股份有限公司(以下简称“本行”)计算机操作系统和应用系统的管理,保证本行各项业务系统安全、高效运行,根据《商业银行信息科技风险管理指引》等法律法规及相关规定,结合本行实际,特制定本规定。2范围2.1本规定明确了计算机操作系统和应用软件的开发、安装、调试、使用、维护版权、版本等方面的内容和要求。2.2本规定适用于本行计算机操作系统和应用系统的管理。3术语与定义操作系统OperatingSystem,简称(OS),是计算机系统中负责支撑应用程序运行环境以及用户操作环境的系统软件,同时也是计算机系统的核心与基石。它的职责常包括对硬件的直接监管、对各种计算资源(如内存、处理器时间等)的管理、以及提供诸如作业管理之类的面向应用程序的服务等等。是指专门为某一应用目的而建设的信息系统。4职责与权限4.1科技开发部职责4.1.1科技开发部系统管理人员负责中心机房主机操作系统的安装、调试、使用、维护和升级。4.1.2科技开发部负责应用开发人员中心机房应用系统的开发、安装、调试、使用、维护和升级。4.1.3科技开发部硬件管理人员负责中心机房主机操作系统和应用软件的安装、调试工作。4.1.4科技开发部总经理负责审核操作系统及应用软件的升级。4.1.5科技开发部成立项目小组负责新开发系统的需求分析、系统设计、系统上线管理。4.2行长负责审批重大操作系统及应用软件的升级。4.3网点操作员应当按权限使用系统,发现系统运行故障,应及时向科技开发部反映。5政策严格操作,定期检查,及时发现,及早处理,科学维护。DDB-QC-KJ-302计算机操作系统和应用软件管理规定版次:1/A6流程图系统升级管理流程图提出申请研发测试审批升级有关厂商分管行长科技开发部相关部门N合作YN测试成果测试组织人力测试报告审核结论上报提出系统升级申请填写上线申请研发审核审批审批升级组织人力审核系统备份7风险控制要点详情见风险库。DDB-QC-KJ-302计算机操作系统和应用软件管理规定版次:1/A8内容与要求8.1本行通过以下措施,以确保所有计算机操作系统和系统软件的安全:8.1.1制定中心机房每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。8.1.2明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。8.1.3制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。8.1.4要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。8.1.5在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。8.2关于系统应用软件开发管理。8.2.1计算机应用系统的开发,指计算机技术人员按照应用需求提出的具体应用要求,在理解其意义、流程、特点、处理办法等基础上,用计算机语言编制应用软件,以满足应用需要的过程。8.2.2计算机应用软件的开发过程不单指软件开发一部分,而是需求提出、论证、需求确认、行政审批、软件开发、系统测试验收、操作人员培训、推广应用等一系列行为的集成。8.2.3软件的开发环境应当与生产环境隔离,软件设计方案、数据结构、数据加密方式、源代码等严禁流入应用环境,严禁散失和外泄。8.2.4软件开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档,并对其负有安全保密责任和义务。8.2.5软件开发采用的关键技术措施和安全功能设计不得进行公开学术交流或发表。明确软件的版本,杜绝盗版。8.2.6所有系统软件、重要资料、旧版程序中的业务数据都要妥善备份,长期数据要存放在防磁、防水的全封闭金属柜或屏蔽室内,以防数据资料丢失或出错。8.2.7网络数据、地址配置、通讯参数涉及网络运行安全和营业机密,是重要的信息资料,操作人员不得查看、修改,也不允许将自己管理的参数泄露给其他人员。各项专用软件除各部门进行保管外还必须向科技开发部备案一套。DDB-QC-KJ-302计算机操作系统和应用软件管理规定版次:1/A8.2.8应用软件开发详见本行《计算机项目管理规定》。8.2.9操作系统和应用系统的安装调试、使用维护都必须保障业务的安全、稳定、高效运行。8.3系统的安装、调试8.3.1根据本行发展的需要,本行新增网点时,综合办公室负责网点主机操作系统和应用系统软件的安装、调试工作。8.3.2为保证本行业务的稳定运行,系统管理人员负责中心机房主机设备操作系统和应用系统软件的安装、调试工作。8.4系统的使用和维护8.4.1操作系统有超级用户和一般用户,口令长度不得小于6位,口令必须包含以下每一部分:字母A-Z或a-z;数字0-9;特殊字符,做到口令定期更换一次,并做好记录。8.4.2操作系统超级用户口令要指定双人进行管理和操作。8.4.3总行系统管理人员对操作系统的维护,只能是对文件系统的维护,包括对临时文件、垃圾文件的清理等,严禁删除或修改操作系统的系统文件。8.4.4当操作系统出现垃圾文件或文件系统损坏时,使用磁盘检测命令对操作系统进行检测与恢复。8.4.5系统管理人员要经常检查磁盘空间,清除不必要的临时文件,保证系统的高效运行。8.4.6应用软件采用登录号、密码、权限等几种措施,严禁非法用户进入系统,也严禁合法用户进行超越权限的各种操作。8.4.7网点柜员每天要按操作流程开关主机,严禁非法关机。8.4.8严格控制应用软件的使用权限,防止非法复制、非法篡改、非法运行的现象发生,保护软件设计人员的知识产权,也确保银行系统的安全。8.4.9系统管理人员要确保超级用户的超级特权,加强超级用户密码管理,防止不良用户随意侵入超级用户领域,对系统文件进行任意权限设置,导致最终的数据破坏。8.4.10系统管理人员要充分利用操作系统中对数据文件进行读、写、执行等状态的设置,严格区分各数据文件的使用权限,确保系统数据的安全。8.4.11定期请系统维护商对中心主机进行安全性检查,提出分析报告,科技开DDB-QC-KJ-302计算机操作系统和应用软件管理规定版次:1/A发部对分析报告提出改进意见,以确保系统性能的优化及稳定运行。8.5系统的备份8.5.1系统管理人员要及时做好本行操作系统和应用系统软件的备份工作,并将备份介质交专人入档管理。8.5.2硬件管理人员要做好网点主机的操作系统和应用系统软件的备份工作,及时备份硬盘保存。8.5.3备份介质调用需填写《备份调用申请表》,经科技开发部总经理审批,并做好登记。8.6系统的升级8.6.1系统的升级流程8.6.1.1申请升级的原因及要解决的问题要书面形式报科技开发部总经理审核,经行长审批后方可执行。8.6.1.2科技开发部组织有关技术人员及有关厂商一起开发。8.6.1.3完成升级开发后,由有关业务部门测试并出据测试报告。8.6.1.4根据测试报告,科技开发部初审评估测试结论,提出上线意见以书面意见由科技开发部总经理审核后,经行长审批后执行。8.6.2应用软件升级时要保证原有系统可恢复性,并要把升级过程中出现的问题及时反馈给应用开发人员。8.6.3操作系统升级前要及时对重要业务数据做好备份。8.6.4业务部门测试后填写《项目上线确认书》,交由系统维护员、应用维护员作好中心机房操作系统和应用系统软件的升级工作。8.7系统的安全管理8.7.1管理部门应加强安全保密工作规章制度,采取有效措施,加强安全管理,防止安全事件发生。8.7.2网点操作员应防止计算机病毒传播和恶意程序非法运行。发现计算机病毒和恶意程序,应及时向科技开发部反映,并采取有效措施确保系统运行正常。8.8软件退役管理8.8.1应当制订退役计划,并将其写成文档。8.8.2当到了计划的退役时。有关的开发文档、记录和代码全部归档。DDB-QC-KJ-302计算机操作系统和应用软件管理规定版次:1/A9检查与监督9.1科技开发部负责对本文件的可操作性、适宜性进行日常监督与检查,必要时对文件进行更改,确保文件适用,具体执行《文件控制程序》。9.2审计部对该文件的执行情况,相关登记簿登记的完整性等进行集中检查、督促整改。9.3合规管理部负责每年一次对该规章制度的合规性进行审查,并督促整改。10支持性文件10.1外部合规文件10.1.1中华人民共和国计算机信息系统安全保护条例10.1.2中华人民共和国计算机信息系统安全保护条例10.1.3银行业金融机构信息系统风险管理指引10.1.4电子银行业务管理办法10.1.5金融机构计算机信息安全保护工作暂行规定10.2内部合规文件10.2.1文件控制程序10.2.2科技档案管理规定10.2.3计算机安全管理规定11支持性记录无12附录无编制:日期:年月日审核:日期:年月日批准:日期:年月日