日常运行安全管理规定

日常运行安全管理规定

第一章总则

第一条为规范科技发展部日常运行安全管理和监督检查，规范员工安全行为，特制定本规定。

第二条适用于科技发展部职责范围内各类信息系统的日常运维操作活动。

第二章组织与职责

第三条科技发展部风险管理组负责监督各部门在日常运维操作中对本规定的执行情况。

第四条各部门安全组负责监督和检查本部门在日常运维操作中对本规定的执行情况。

第五条各部门负责根据本规定落实具体的控制措施，实施职责范围内的日常运维操作的安全管理，定期开展自查工作。

第六条全体员工必须严格遵守本规定及所属部门有关运维操作的各项安全管理要求。

第三章基本原则

第七条日常操作行为应遵循“视野可及”、“行为可控”、“痕迹可审”的原则。

第八条生产运维操作应遵循职责分离的原则。

第九条日常运行维护工作应遵循开发、测试和运营环境严格分离的原则，禁止在科技发展部生产环境中进行开发、测试相关工作。第十条员工权限的分配应遵循权限最小化原则，仅为员工授予履行其职责所必需的最低权限。

第四章流程文件与操作手册

第十一条各部门应对各类日常运维操作建立流程文件，流程文件中应明确责任人、操作流程和相关角色等关键要素，操作流程发生变化时应及时对流程文件进行修订和更新。

第十二条各部门应根据安全要求，流程文件、技术规范等要求编制操作手册并适时更新；根据操作手册实施操作时应进行记录，各部门应妥善保留记录，并定期组织对记录文件的检查。

第十三条各部门应定期组织对员工进行制度文件，流程文件和操作手册培训，并进行必要的考试。

第五章运维值班与事件报告

第十四条各部门应安排好运维值班时间，确保运维值班人员满足值班工作的要求。

第十五条员工在值班期间应做好运行监控，设备巡视。

第十六条值班期间发生异常事件，应按照《哈尔滨银行信息安全事件报告管理办法》进行报告和处置；发现信息安全事件或隐患应按照《信息安全事件管理规定》进行报告和处置。

第六章变更管理

第十七条各部门应对变更进行严格管理，消除或降低变更风险。确保变更的实施必须得到审批，变更前进行风险评估，变更完成后进行变更结果的验证，具体要求详见《变更管理流程》。

第十八条由科技发展部内部提交的变更申请，应评估变更可能导致的潜在风险，对高风险变更应制订回退方案和应急预案（删除）。对中型及重大级别变更要求回退和应急预案，其他变更级别要求回退步骤。

第十九条由哈尔滨银行内部其他相关部门提交的变更申请，科技发展部变更评议机构应评估变更相关材料的完整性、实施变更的可操作性和时间窗口。

第二十条所有变更均应经过相应层面的审批，实施部门和配合部门在变更实施完成后应进行变更验证。紧急变更可用通过口头形式审批但事后必须补单。

第七章日志管理

第二十一条各部门应明确日志（包括系统活动日志、故障日志、管理员日志、操作员日志等）保存的要求，定期对日志文件进行归档保存，以便于日志的查询、分析和审计。

第二十二条各部门应实施管理和技术控制措施，对日志文件加以保护，防止未授权的访问和篡改，避免日志文件的不可使用、丢失或损坏。

第二十三条各部门应对日志进行审计和分析，并进行记录，在日志分析中发现异常信息时，应及时进行报告。科技发展部风险管理组负责对各部门的日志审计和分析工作进行抽查。

第八章可移动介质管理

第二十四条申领使用可移动介质时，应经过审批，并进行记录。第二十五条不同用途的可移动介质应采取相应的保护措施，防止信息资产泄露或者遭受未授权的修改、移动或销毁。

（一）生产用可移动介质应用于生产设备之间或生产设备与办公设备之间传输生产相关的必要信息；

（二）生产用可移动介质禁止带出科技发展部；

（三）办公用可移动介质禁止接入生产设备；

（四）存储有科技发展部秘密的办公用可移动介质禁止带出科技发展部；存储有科技发展部内部使用数据或文档的办公用可移动

介质在带离科技发展部后，使用者必须保证其安全性。

第二十六条可移动介质受到破坏或丢失时，使用者应立即通报科技发展部风险管理组。

第二十七条可移动介质使用完毕后，对于可重复读写的可移动介质应及时清空内容，对于不可重复读写的可移动介质应妥善进行保管，避免非授权访问。

第二十八条对于不再使用的可移动介质，应实施适当的保管或销毁。具体要求详见《可移动介质管理实施细则》。

第九章恶意代码及移动代码防护

第二十九条各部门应按哈尔滨银行统一要求安装用于防范恶意代码的软件，及时安装补丁、更新恶意代码库；科技发展部风险管理组应定期进行统一的恶意代码扫描和检查。

第三十条各部门应严格控制移动代码的使用，没有得到批准的移动代码不得运行。

第十章其他管理要求

第三十一条容量管理。各部门应做好容量监控工作，确保科技发展部拥有足够的能力以满足当前和未来一段时间业务发展的需求。第三十二条时钟同步。应采取管理或技术措施确保生产环境中的设备、网络和系统的时钟同步，应通过设置时钟同步服务器、人工定期核对等方式确保门禁、监控等安保系统与生产环境保持时钟同

步。采用人工核对方式确保时钟同步的，应每季度进行一次核对并填写《NTP检查及调整记录》。

第三十三条集中监控。各部门应采取措施确保各自职责范围内直接用于监控生产运行的系统平台得到适当的集中，应用、系统、网络、机房环境及硬件设备的监控终端应集中在生产运维区。

第三十四条补丁管理。各部门应及时关注技术漏洞和补丁的最新情况，结合现状评估安装补丁的必要性，从正规途径获得经过测试的补丁，及时并正确地安装补丁。

第三十五条密钥管理。各部门应严格管理职责范围内用于加解密的密钥，应安排专人管理密钥，并对密钥的使用进行记录。

第三十六条配置管理。运维管理中配置项（CI）及其属性、管理关系的管理具体要求详见《科技发展部配置管理流程》。

第三十七条生产环境中不得安装与生产无关的软件，生产相关软件在安装前应经过版权确认和安装审批；办公环境不得安装盗版软件。

第三十八条用户离开工作岗位时，应锁定计算机系统的登录状态，并将涉及科技发展部秘密的文件锁到抽屉或柜子中。

第十一章附则

第三十九条本规定由科技发展部制定、修订和解释。