第一章 总则
第一条 本管理制度阐述XX单位在信息系统运行周期的各个阶段,信息安全职能部门 和相关部门的工作目标、主要责任和相关规范。
第二条 本管理制度规定了XX单位信息系统的标准化配置、操作要求和用户支持规范,确保信息系统的可用性、可靠性、可持续性和可扩展性,控制操作风险,支持业务操作的持续、高效运行。
第三条 本管理制度适用于XX单位各部门的信息系统,及XX单位各部门所有进行运行维护的部门和人员。XX单位信息安全职能部门拥有对本管理制度的最终解释权,并负责进行定期审阅更新,以符合业务发展的需要。
第四条 本管理制度在上述适用范围内具有强制效力。任何例外或违背运行维护制度的情况都需上报XX单位网络与信息安全领导小组,以供审批。
第二章 责任和目标
第五条 信息系统运行周期包括四个基本阶段(如图所示):
(一)规划和设计。 (二)安装和调试。 (三)监控和操作。 (四)维护和恢复。
监控和操作 维护和恢复 正式运行系统 安装和调试 规划和设计 第六条 规划和设计阶段,信息安全职能部门负责应用架构、基础设施架构、数据架构的规划及专项规划。信息安全职能部门在上述规划的指导下,负责基础设施架构和数据架构规划设计的具体实施工作。
第七条 安装和调试阶段,信息安全职能部门负责对系统进行上线前的基础设施安装、调试和验收确认,应做到安装过程的可回退性、调试的完整性和验收的规范性等。
第八条 系统监控和操作阶段,信息安全职能部门负责信息系统的日常监控和操作,应设立明确的监控和操作目标、制度化和文档化的监控和操作流程,并对监控和操作结果进行定期审阅、分析、汇报和问题跟进等。
第九条 维护和恢复阶段,信息安全职能部门应在业务服务优先、业务持续优先的原则下进行信息系统的定期维护和故障排除,保障系统的正常运行。
第三章 系统安装和调试规范
第十条 在系统开发或变更之后,由独立于开发人员的运行维护人员负责将程序执行代码移植至生产环境。移植前必须获得相关业务部门主管签署认可的测试结果。移植完成后,信息安全职能部门人员协助系统相关业务部门在生产环境中检查结果是否正确。
第十一条 信息安全职能部门在进行信息系统安装调试前,先建立详细的安装调试操作步骤列表,并在安装调试过程中逐项确认,以控制在信息系统安装调试出现异常情况时,无法对安装调试过程复核检查,从而影响信息系统正常使用的风险。
第十二条 信息安全职能部门在进行信息系统安装调试前,先建立详细的回退方案和应急预案,以控制在信息系统安装调试出现异常时,无法回退到操作前状态而导致系统停运,从而影响信息系统正常使用的风险。
第十三条 信息安全职能部门在完成信息系统安装后进行调试,以控制系统安装环节的不完整,导致系统潜在的问题没有及时发现,影响系统正常使用的风险。
第十四条 信息安全职能部门在进行系统安装调试过程中,进行规范性验收,并确认相关部门负责人在验收报告上签字后,系统方可投入生产使用。
第十五条 信息安全职能部门相关人员在信息系统安装调试完成后,及时更新反映各类物理位置和交互关系的系统图、拓扑图和技术资料,并提交负责人审阅并归档。
第四章 系统监控和操作规范
第十六条 信息安全职能部门负责对每个信息系统制定日常操作技术手册。操作手册包括,但不限于:
(一)系统性能、系统容量和系统安全日常监控事项、监控日程表、监控步骤、
监控结果的记录格式、问题跟进和汇报、管理层审阅签字流程。 (二)备份范围、备份周期计划、备份操作步骤、备份结果记录格式、问题跟
进和汇报、和管理层审阅流程。
(三)备份介质存放(包括异地存放)、访问和替换计划和管理层审阅流程。 (四)备份恢复步骤和测试计划。
(五)应用处理模式(例如,实时处理、批处理、延时处理)。
(六)系统批处理计划和步骤、批处理监控日程表、记录格式、问题跟进和管
理层审阅流程。
(七)其他系统日常操作指令和日程计划。 (八)故障恢复计划和恢复步骤。
第十七条 系统性能包括网络响应速度、系统响应时间和处理量、系统承载能力、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值、系统使用趋向和容量、网络可用性等指标;信息安全职能部门设定必要的监控指标及其安全临界值。如果指标超过设定的安全临界值,信息安全职能部门维护监控人员必须在报告中记录并及时上报分管负责人。
第十八条 信息安全职能部门维护人员负责定期对网络设备、防火墙、主机、数据库等系统产生的日志实现100%采集,并对采集的日志设定保存期限。
第十九条 信息安全职能部门安排监控岗位人员定时审阅各项信息系统日志,包括系统错误日志、事件日志、安全事件日志、备份日志、批处理日志等,及时发现、记录并处理日志中的错误事件和异常事件,确保系统的可用性和可靠性。如发现异常情况应及时上报信息安全职能部门负责人。对于重要的信息系统日志应做备份,以便日后检查追溯。
第二十条 信息安全职能部门对系统日志设定适当的用户访问权限,并定期备份。未经授权的用户需要调阅系统日志时,须得到信息安全职能部门负责人批准。
第二十一条 信息安全职能部门对各项监控报告进行定期分析,判断问题的主要原因,并提交信息安全职能部门管理层审阅讨论,以及时采取各项措施,维持系统的高效、可用和可持续性。
第五章 系统维护和恢复规范
第二十二条 信息安全职能部门应在业务服务优先、业务持续优先的原则下,负责对信息系统的定期维护,包括信息安全职能部门内部进行定期检查维护和信息安全职能部门组织相关供应商或服务商进行定期检查维护,及时排除系统故障,恢复系统的正常运行。信息安全职能部门维护人员实行专职,不得由开发人员兼任。
第二十三条 系统维护和恢复的步骤应以书面方式规定,提交信息安全职能部门 负责人进行定期审阅。系统维护和恢复的书面规定包括应用系统、硬件和网络的日常维护步骤、信息系统环境控制和预防性维护应对方案,包括不间断电源、不间断网络通信、物理环境适宜度控制 (温度、灰尘、湿度等)、计算机连线、消防、防渗水等预防性维护的管理等。
第二十四条 信息系统维护服务由第三方系统供应商或系统服务商提供,信息安全职能部门应与第三方系统供应商或系统服务商签订服务水平协议。
第二十五条 在进行系统维护或恢复前,信息安全职能部门应会同用户部门及相关部门对系统维护或恢复可能造成的业务影响进行评估。评估的结果应提前通知可能受影响的用户,内容包括影响的用户、影响的服务、影响的系统、维护内容、维护开始时间、维护持续时间和联系方式等。
第二十六条 在进行系统维护和恢复操作前,信息安全职能部门应提前制定相应的应急预案和回退方案,对重大维护或恢复操作制定恢复计划,以及协助用户部门启用业务持续性计划。
第二十七条 信息安全职能部门设备管理岗每月对资产表中每个资产或服务的保修期进行审阅,并更新审阅记录。信息安全职能部门对于即将过保修期的由其管理的资产或服务,有责任提前三个月会同用户部门判断是否对其继续使用,并进一步安排续保或系统更换事项。
第二十八条 已购买的保修服务无法满足业务或信息安全职能部门要求,信息安全职能部门负责向分管领导提出购买更高级别的保修服务,或由具备资质的第三方服务商提供的额外服务。
第六章 附则
第二十九条 本管理制度由信息安全职能部门负责解释和修订,经XX单位批准执行。
第三十条 本管理制度自发布之日起实施。
因篇幅问题不能全部显示,请点此查看更多更全内容