制度体系之农行 数据中心计算机安全检查实施细则.doc

PAGE PAGE 1 制度体系之农行 - 数据中心计算机安全检查实施细则 第一章 总则 第一条 为加强数据中心计算机安全检查工作，提高数据中心安全生产管理水平，保障各生产系统安全、稳定、高效运行,根据《中国农业银行计算机安全检查管理办法》等有关规定，特制定本细则。 第二章 安全检查的组织领导 第二条 数据中心设信息安全工作领导小组，负责数据中心的安全生产管理工作。领导小组组长由数据中心总经理担任，常务副组长由分管安全的副总经理担任，成员为数据中心各处室负责人。信息安全工作领导小组负责数据中心计算机安全检查的组织领导工作。 第三条 数据中心信息安全工作领导小组下设办公室，办公室设在安全管理部，由安全管理部负责人担任办公室主任，负责安全检查方面的具体工作。 第四条 数据中心各处室设安全专管员。安全专管员作为数据中心安全工作办公室成员，负责检查本处室日常安全生产情况，发现问题及时督促整改。 第三章 安全检查方式及程序 第五条 本细则界定的计算机安全检查工作主要是指由上级单位安排、要求的或由数据中心自行安排的安全检查。检查方式包括处室自查、中心例行检查、重点抽查和特殊保障期检查等四种。 第六条 处室自查由数据中心各处室负责人负责、处室安全专管员协助完成，每季度进行一次。安全专管员要针对本处室安全工作的特点，制定详细的安全自查表，并在自查过程中认真填写，自查结束后将安全自查表报安全管理部备案。对安全检查中发现的问题，处室负责人要及时督促相关人员整改，整改情况要生成整改报告并报安全管理部备案。 第七条 中心例行检查由数据中心信息安全领导小组组织完成，由下设办公室成员组成检查小组执行检查任务，每半年进行一次。年中检查由领导小组常务副组长领导，检查内容包括对处室自查的记录以及问题整改情况的复查；年度检查由领导小组组长直接领导，检查内容除了包括对处室自查以及年中检查的记录以及问题整改情况的复查，还包括对数据中心机房环境、网络基础设施、主机系统、应用系统等方面的综合性检查。安全管理部负责制定详细的安全检查表，并在检查过程中认真填写，检查结束后，要对检查情况进行通报，对存在的问题提出整改意见，并负责跟踪各处室整改进展情况。 第八条 重点抽查由数据中心信息安全工作领导小组领导、安全管理部牵头组织完成，包括对中心例行检查和处室自查情况的复查，通过不定期抽查，指导和监督各处室开展安全工作。 第九条 特殊保障期检查主要是指“十一”、春节等长假前夕，国家重大事件等特殊敏感时期，生产系统重大变更前后或根据生产运行需要而进行的计算机安全检查。特殊保障期检查由数据中心信息安全工作领导小组领导、安全管理部牵头组织完成。 第四章 安全检查的内容 第十条 数据中心机房环境安全检查内容 （一）机房供配电系统、UPS供电系统机组运行情况，应急柴油发电机试运转及油料储备情况； （二）机房内照明、维修用电情况； （三）机房环境温度、湿度，精密空调系统运行情况； （四）机房场地视频监控系统、门禁防盗报警系统、环境监控系统、对讲联络系统工作情况； （五）消防设施配置及消防系统运行状况； （六）防静电、防雷、防电磁干扰、防水以及防鼠害等技术措施的落实情况； （七）各类设备的测试、检修和易损（耗）部件更换情况； （八）机房的日常管理情况以及进出机房管理制度的落实情况； （九）机房环境设施管理岗位设置及人员职责和资质情况； （十）外包服务管理情况； （十一）机房各类设备的巡检记录。 第十一条 主机设备安全检查内容 （一）设备运行监控、维护、故障处理、应急操作规程执行情况； （二）主机设备及附属设备的保养及维护工作情况； （三）设备故障的处理记录、巡检记录； （四）备份设备的可靠性； （五）系统的高可用性（系统重要设备和组件的冗余备份）； （六）系统容量管理计划（系统处理容量的增长计划应满足增量业务需求）； （七）是否存在设备和人员单点运行风险； （八）系统运行管理文档的完备性； （九）外包服务管理情况。 第十二条 网络基础设施安全检查内容 （一）重要计算机网络的传输加密、访问控制、身份（设备）验证等安全措施； （二）生产网、办公网之间的安全访问控制及隔离措施； （三）与外单位网络（Extranet）联网的安全访问控制及隔离措施； （四）与国际互联网（Internet）联网的安全访问控制及隔离措施； （五）检查维护记录、变更流程及记录、故障处理记录； （六）外包服务管理及运营商服务管理； （七）网络入侵的监测和防护； （八）网络设备的安全配置与管理； （九）关键设备的高可用性； （十）网络设备日志的安全审计。 第十三条 操作系统安全检查内容 （一）超级用户的管理情况； （二）系统管理员的管理情况； （三）系统普通用户的管理情况； （四）系统访问控制措施的管理情况； （五）故障处