计算机操作系统与应用软
件管理规定
1 目的
为规范丹东银行股份有限公司(以下简称“本行”)计算机操作系统和应用系统的管理,保证本行各项业务系统安全、高效运行,根据《商业银行信息科技风险管理指引》等法律法规及相关规定,结合本行实际,特制定本规定。
2范围
2.1 本规定明确了计算机操作系统和应用软件的开发、安装、调试、使用、维护版权、版本等方面的内容和要求。
2.2 本规定适用于本行计算机操作系统和应用系统的管理。
3 术语与定义
操作系统Operating System,简称(OS),是计算机系统中负责支撑应用程序运行环境以及用户操作环境的系统软件,同时也是计算机系统的核心与基石。它的职责常包括对硬件的直接监管、对各种计算资源(如内存、处理器时间等)的管理、以及提供诸如作业管理之类的面向应用程序的服务等等。是指专门为某一应用目的而建设的信息系统。
4职责与权限
4.1 科技开发部职责
4.1.1 科技开发部系统管理人员负责中心机房主机操作系统的安装、调试、使用、维护和升级。
4.1.2 科技开发部负责应用开发人员中心机房应用系统的开发、安装、调试、使用、维护和升级。
4.1.3 科技开发部硬件管理人员负责中心机房主机操作系统和应用软件的安装、调试工作。
4.1.4 科技开发部总经理负责审核操作系统及应用软件的升级。
4.1.5 科技开发部成立项目小组负责新开发系统的需求分析、系统设计、系统上线管理。
4.2 行长负责审批重大操作系统及应用软件的升级。
4.3 网点操作员应当按权限使用系统,发现系统运行故障,应及时向科技开发部反映。
5政策
严格操作,定期检查,及时发现,及早处理,科学维护。
6 流程图
7 风险控制要点
详情见风险库。
8内容与要求
8.1 本行通过以下措施,以确保所有计算机操作系统和系统软件的安全:8.1.1 制定中心机房每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
8.1.2 明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
8.1.3 制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
8.1.4 要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。
8.1.5 在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
8.2 关于系统应用软件开发管理。
8.2.1 计算机应用系统的开发,指计算机技术人员按照应用需求提出的具体应用要求,在理解其意义、流程、特点、处理办法等基础上,用计算机语言编制应用软件,以满足应用需要的过程。
8.2.2 计算机应用软件的开发过程不单指软件开发一部分,而是需求提出、论证、需求确认、行政审批、软件开发、系统测试验收、操作人员培训、推广应用等一系列行为的集成。
8.2.3 软件的开发环境应当与生产环境隔离,软件设计方案、数据结构、数据加密方式、源代码等严禁流入应用环境,严禁散失和外泄。
8.2.4 软件开发完成后,开发人员或参加开发的外部单位应及时移交程序源代
码及其相关技术文档,并对其负有安全保密责任和义务。
8.2.5 软件开发采用的关键技术措施和安全功能设计不得进行公开学术交流或发表。明确软件的版本,杜绝盗版。
8.2.6 所有系统软件、重要资料、旧版程序中的业务数据都要妥善备份,长期数据要存放在防磁、防水的全封闭金属柜或屏蔽室内,以防数据资料丢失或出错。
8.2.7 网络数据、地址配置、通讯参数涉及网络运行安全和营业机密,是重要的信息资料,操作人员不得查看、修改,也不允许将自己管理的参数泄露给其他人员。各项专用软件除各部门进行保管外还必须向科技开发部备案一套。
8.2.8 应用软件开发详见本行《计算机项目管理规定》。
8.2.9 操作系统和应用系统的安装调试、使用维护都必须保障业务的安全、稳定、高效运行。
8.3 系统的安装、调试
8.3.1 根据本行发展的需要,本行新增网点时,综合办公室负责网点主机操作系统和应用系统软件的安装、调试工作。
8.3.2 为保证本行业务的稳定运行,系统管理人员负责中心机房主机设备操作系统和应用系统软件的安装、调试工作。
8.4 系统的使用和维护
8.4.1 操作系统有超级用户和一般用户,口令长度不得小于6位,口令必须包含以下每一部分:字母A-Z或a-z;数字0-9;特殊字符,做到口令定期更换一次,并做好记录。
8.4.2 操作系统超级用户口令要指定双人进行管理和操作。
8.4.3 总行系统管理人员对操作系统的维护,只能是对文件系统的维护,包括对临时文件、垃圾文件的清理等,严禁删除或修改操作系统的系统文件。
8.4.4 当操作系统出现垃圾文件或文件系统损坏时,使用磁盘检测命令对操作系统进行检测与恢复。
8.4.5 系统管理人员要经常检查磁盘空间,清除不必要的临时文件,保证系统的高效运行。
8.4.6 应用软件采用登录号、密码、权限等几种措施,严禁非法用户进入系统,也严禁合法用户进行超越权限的各种操作。
8.4.7 网点柜员每天要按操作流程开关主机,严禁非法关机。
8.4.8 严格控制应用软件的使用权限,防止非法复制、非法篡改、非法运行的现象发生,保护软件设计人员的知识产权,也确保银行系统的安全。
8.4.9 系统管理人员要确保超级用户的超级特权,加强超级用户密码管理,防止不良用户随意侵入超级用户领域,对系统文件进行任意权限设置,导致最终的数据破坏。
8.4.10 系统管理人员要充分利用操作系统中对数据文件进行读、写、执行等状态的设置,严格区分各数据文件的使用权限,确保系统数据的安全。
8.4.11 定期请系统维护商对中心主机进行安全性检查,提出分析报告,科技开发部对分析报告提出改进意见,以确保系统性能的优化及稳定运行。
8.5 系统的备份
8.5.1 系统管理人员要及时做好本行操作系统和应用系统软件的备份工作,并将备份介质交专人入档管理。
8.5.2 硬件管理人员要做好网点主机的操作系统和应用系统软件的备份工作,及时备份硬盘保存。
8.5.3 备份介质调用需填写《备份调用申请表》,经科技开发部总经理审批,并做好登记。
8.6 系统的升级
8.6.1 系统的升级流程
8.6.1.1 申请升级的原因及要解决的问题要书面形式报科技开发部总经理审核,经行长审批后方可执行。
8.6.1.2 科技开发部组织有关技术人员及有关厂商一起开发。
8.6.1.3 完成升级开发后,由有关业务部门测试并出据测试报告。
8.6.1.4 根据测试报告,科技开发部初审评估测试结论,提出上线意见以书面意见由科技开发部总经理审核后,经行长审批后执行。
8.6.2 应用软件升级时要保证原有系统可恢复性,并要把升级过程中出现的问题及时反馈给应用开发人员。
8.6.3 操作系统升级前要及时对重要业务数据做好备份。
8.6.4 业务部门测试后填写《项目上线确认书》,交由系统维护员、应用维护员作好中心机房操作系统和应用系统软件的升级工作。
8.7 系统的安全管理
8.7.1 管理部门应加强安全保密工作规章制度,采取有效措施,加强安全管理,防止安全事件发生。
