HRBank-ISMS-02-21-V1.0 日常运行安全管理规定.docVIP

PAGE / NUMPAGES 日常运行安全管理规定 总则 为规范科技发展部日常运行安全管理和监督检查，规范员工安全行为，特制定本规定。 适用于科技发展部职责范围内各类信息系统的日常运维操作活动。 组织与职责 科技发展部风险管理组负责监督各部门在日常运维操作中对本规定的执行情况。 各部门安全组负责监督和检查本部门在日常运维操作中对本规定的执行情况。 各部门负责根据本规定落实具体的控制措施，实施职责范围内的日常运维操作的安全管理，定期开展自查工作。 全体员工必须严格遵守本规定及所属部门有关运维操作的各项安全管理要求。 基本原则 日常操作行为应遵循“视野可及”、“行为可控”、“痕迹可审”的原则。 生产运维操作应遵循职责分离的原则。 日常运行维护工作应遵循开发、测试和运营环境严格分离的原则，禁止在科技发展部生产环境中进行开发、测试相关工作。 员工权限的分配应遵循权限最小化原则，仅为员工授予履行其职责所必需的最低权限。 流程文件与操作手册 各部门应对各类日常运维操作建立流程文件，流程文件中应明确责任人、操作流程和相关角色等关键要素，操作流程发生变化时应及时对流程文件进行修订和更新。 各部门应根据安全要求，流程文件、技术规范等要求编制操作手册并适时更新；根据操作手册实施操作时应进行记录，各部门应妥善保留记录，并定期组织对记录文件的检查。 各部门应定期组织对员工进行制度文件，流程文件和操作手册培训，并进行必要的考试。 运维值班与事件报告 各部门应安排好运维值班时间，确保运维值班人员满足值班工作的要求。 员工在值班期间应做好运行监控，设备巡视。 值班期间发生异常事件，应按照《哈尔滨银行信息安全事件报告管理办法》进行报告和处置；发现信息安全事件或隐患应按照《信息安全事件管理规定》进行报告和处置。 变更管理 各部门应对变更进行严格管理，消除或降低变更风险。确保变更的实施必须得到审批，变更前进行风险评估，变更完成后进行变更结果的验证，具体要求详见《变更管理流程》。 由科技发展部内部提交的变更申请，应评估变更可能导致的潜在风险，对高风险变更应制订回退方案和应急预案（删除）。对中型及重大级别变更要求回退和应急预案，其他变更级别要求回退步骤。 由哈尔滨银行内部其他相关部门提交的变更申请，科技发展部变更评议机构应评估变更相关材料的完整性、实施变更的可操作性和时间窗口。 所有变更均应经过相应层面的审批，实施部门和配合部门在变更实施完成后应进行变更验证。紧急变更可用通过口头形式审批但事后必须补单。 日志管理 各部门应明确日志（包括系统活动日志、故障日志、管理员日志、操作员日志等）保存的要求，定期对日志文件进行归档保存，以便于日志的查询、分析和审计。 各部门应实施管理和技术控制措施，对日志文件加以保护，防止未授权的访问和篡改，避免日志文件的不可使用、丢失或损坏。 各部门应对日志进行审计和分析，并进行记录，在日志分析中发现异常信息时，应及时进行报告。科技发展部风险管理组负责对各部门的日志审计和分析工作进行抽查。 可移动介质管理 申领使用可移动介质时，应经过审批，并进行记录。 不同用途的可移动介质应采取相应的保护措施，防止信息资产泄露或者遭受未授权的修改、移动或销毁。 生产用可移动介质应用于生产设备之间或生产设备与办公设备之间传输生产相关的必要信息； 生产用可移动介质禁止带出科技发展部； 办公用可移动介质禁止接入生产设备； 存储有科技发展部秘密的办公用可移动介质禁止带出科技发展部；存储有科技发展部内部使用数据或文档的办公用可移动介质在带离科技发展部后，使用者必须保证其安全性。 可移动介质受到破坏或丢失时，使用者应立即通报科技发展部风险管理组。 可移动介质使用完毕后，对于可重复读写的可移动介质应及时清空内容，对于不可重复读写的可移动介质应妥善进行保管，避免非授权访问。 对于不再使用的可移动介质，应实施适当的保管或销毁。具体要求详见《可移动介质管理实施细则》。 恶意代码及移动代码防护 各部门应按哈尔滨银行统一要求安装用于防范恶意代码的软件，及时安装补丁、更新恶意代码库；科技发展部风险管理组应定期进行统一的恶意代码扫描和检查。 各部门应严格控制移动代码的使用，没有得到批准的移动代码不得运行。 其他管理要求 容量管理。各部门应做好容量监控工作，确保科技发展部拥有足够的能力以满足当前和未来一段时间业务发展的需求。 时钟同步。应采取管理或技术措施确保生产环境中的设备、网络和系统的时钟同步，应通过设置时钟同步服务器、人工定期核对等方式确保门禁、监控等安保系统与生产环境保持时钟同步。采用人工核对方式确保时钟同步的，应每季度进行一次核对并填写《NTP检查及调整记录》。 集中监控。各部门应采取措施确保各自职责范围内直接用于监控生产运行的系统平台得到适当的集中，应用、系统、网络、机房环