完整word版制度体系之农行数据中心计算机安全检查实施细则Word文档下载推荐.docx
《完整word版制度体系之农行数据中心计算机安全检查实施细则Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《完整word版制度体系之农行数据中心计算机安全检查实施细则Word文档下载推荐.docx(9页珍藏版)》请在冰点文库上搜索。
![完整word版制度体系之农行数据中心计算机安全检查实施细则Word文档下载推荐.docx](https://file1.bingdoc.com/fileroot1/2023-5/2/8490064f-2c4d-4a01-ba34-efd8834ca74b/8490064f-2c4d-4a01-ba34-efd8834ca74b1.gif)
对安全检查中发现的问题,处室负责人要及时督促相关人员整改,整改情况要生成整改报告并报安全管理部备案。
第七条中心例行检查由数据中心信息安全领导小组组织完成,由下设办公室成员组成检查小组执行检查任务,每半年进行一次。
年中检查由领导小组常务副组长领导,检查内容包括对处室自查的记录以及问题整改情况的复查;
年度检查由领导小组组长直接领导,检查内容除了包括对处室自查以及年中检查的记录以及问题整改情况的复查,还包括对数据中心机房环境、网络基础设施、主机系统、应用系统等方面的综合性检查。
安全管理部负责制定详细的安全检查表,并在检查过程中认真填写,检查结束后,要对检查情况进行通报,对存在的问题提出整改意见,并负责跟踪各处室整改进展情况。
第八条重点抽查由数据中心信息安全工作领导小组领导、安全
管理部牵头组织完成,包括对中心例行检查和处室自查情况的复查,通过不定期抽查,指导和监督各处室开展安全工作。
第九条特殊保障期检查主要是指“十一”、春节等长假前夕,国家重大事件等特殊敏感时期,生产系统重大变更前后或根据生产运行需要而进行的计算机安全检查。
特殊保障期检查由数据中心信息安全工作领导小组领导、安全管理部牵头组织完成。
第四章安全检查的内容
第十条数据中心机房环境安全检查内容
一)机房供配电系统、UPS供电系统机组运行情况,应急柴油
发电机试运转及油料储备情况;
二)机房内照明、维修用电情况;
三)机房环境温度、湿度,精密空调系统运行情况;
四)机房场地视频监控系统、门禁防盗报警系统、环境监控系
统、对讲联络系统工作情况;
五)消防设施配置及消防系统运行状况;
六)防静电、防雷、防电磁干扰、防水以及防鼠害等技术措施
的落实情况;
七)各类设备的测试、检修和易损(耗)部件更换情况;
八)机房的日常管理情况以及进出机房管理制度的落实情况;
九)机房环境设施管理岗位设置及人员职责和资质情况;
十)外包服务管理情况;
十一)机房各类设备的巡检记录。
第十一条主机设备安全检查内容
设备运行监控、维护、故障处理、应急操作规程执行情况;
主机设备及附属设备的保养及维护工作情况;
设备故障的处理记录、巡检记录;
备份设备的可靠性;
系统容量管理计划(系统处理容量的增长计划应满足增量
业务需求);
七)是否存在设备和人员单点运行风险;
八)系统运行管理文档的完备性;
九)外包服务管理情况。
第十二条网络基础设施安全检查内容
一)重要计算机网络的传输加密、访问控制、身份(设备)验
证等安全措施;
二)生产网、办公网之间的安全访问控制及隔离措施;
三)与外单位网络(Extranet)联网的安全访问控制及隔离措施;
四)
与国际互联网(Internet)联网的安全访问控制及隔离措施;
网络入侵的监测和防护;
网络设备的安全配置与管理;
关键设备的高可用性;
网络设备日志的安全审计。
第十三条操作系统安全检查内容
超级用户的管理情况;
系统管理员的管理情况;
系统普通用户的管理情况;
系统访问控制措施的管理情况;
系统运行监控、维护、变更、操作规程及记录;
系统维护后的记录和归档;
系统日志的安全审计与分析。
第十四条应用系统安全检查内容
一)应用系统上线前的测试报告和验收报告;
应用系统上线后的运行情况;
应用系统的用户授权及鉴别认证措施;
应用系统用户的访问控制措施;
应用系统维护档案的完整性;
应用系统软件版本管理情况;
应用系统日志的安全审计。
第十五条日常操作类安全检查内容
一)日常操作的合法合规性;
二)密码管理制度执行情况;
三)日常运行中的异常处理规程和记录;
四)生产运行的各类操作日志;
五)对操作日志的安全审计记录。
第十六条日常监控类安全检查内容
一)监控预警机制和处理流程;
二)各监控系统预警阀值设定情况;
三)监控及预警日志;
四)监测预警文档的完备性;
记录;
应用系统新上线运行和特殊处理日(节假日、结息日、月
终、年终决算日等)的运行监控记录。
第十七条数据备份类安全检查内容
数据备份、恢复、清理、转存的程序和工具的有效性;
数据存储介质的保管、存放登记情况;
数据的清理和销毁情况;
敏感数据的存储加密情况;
六)
各类备份(日常备份、特殊处理日的备份、定期整理生产
数据的备份、系统变更前的数据备份)的执行情况;
七)备份数据有效性的验证记录。
第十八条运行档案类安全检查内容
一)运行档案管理制度和办法;
二)运行档案的完整、准确、安全;
三)运行档案使用登记记录和审批手续;
四)运行档案在保管和传递过程中的保密和安全措施。
第十九条计算机安全防范检查内容
一)实时的网络监控和预警,网络异常访问的监控和阻断;
二)计算机病毒防治实施细则的执行情况;
三)计算机入侵事件报告、保护措施和事后检查等情况。
第二十条计算机安全事件报告检查内容
信息系统安全事件是否按有关规定及时上报;
信息系统安全事件书面报告的填写是否符合要求;
信息系统安全事件发生时的现场记录;
对信息系统安全事件的分析和改进记录;
发生严重威胁计算机系统安全事件时的报告情况;
发生影响范围广、损失严重的重大安全事件时的报告情况。
第二十一条计算机安全应急处理检查内容
信息系统突发事件应急响应内部控制机制的落实情况;
信息系统突发事件应急处置流程的执行情况;
信息系统突发事件应急响应信息的发布情况;
信息系统突发事件风险预警体系持续更新情况;
关键信息技术资源的日常监测与预警机制的落实情况;
七)关键时点监测与预警机制的落实情况;
八)应急预案的持续更新情况;
九)应急演练的开展情况以及演练总结报告。
第五章整改管理
第二十二条对于在中心例行检查、重点抽查以及特殊保障期检查中发现的需要进行整改的问题,数据中心以《中国农业银行数据中心安全检查整改意见书》(以下简称《整改意见书》)的形式下达给责任处室落实整改。
第二十三条安全管理部根据信息安全工作领导小组的要求,拟定
整改意见书》,填写整改事项内容及要求,经信息安全工作领导小组审核后,由信息安全工作领导小组组长(或常委副组长)签发下达给责任处室。
第二十四条责任处室收到《整改意见书》后,处室负责人应指派专人根据整改事项的内容和要求,制定整改计划和方案,确定整改措施、具体时间安排和具体责任人员。
自收到《整改意见书》后15天内
不能完成整改的,
应在15天内将整改计划和整改方案报信息安全工作
指定。
填入《整改意见书》中,连同最终形成的《整改报告》一起报信息安全工作领导小组办公室。
第二十六条信息安全工作领导小组办公室根据《整改报告》和《整改意见书》组织相关人员,对整改情况进行验收。
第二十七条对整改验收合格的,信息安全工作领导小组办公室主任在《整改意见书》上填写验收意见并签字,同时将相关文档归档保存。
第二十八条验收未达到合格标准的,信息安全工作领导小组办公室将《整改意见书》发回责任处室,由责任处室继续对整改验收不合格事项进行整改,直至整改合格为止。
第六章奖惩
第二十九条各处室负责人是本处室计算机安全工作的主要责任人。
对全年安全生产无事故的处室,数据中心将给予奖励。
第三十条处室安全专管员有责任检查本处室安全生产情况,并按照规定定期开展处室安全自查工作并做好自查记录,发现问题应及时向处室负责人报告。
安全自查工作开展情况和安全专管员绩效考核挂钩,具体实施方案由人事部门负责确定。
第三十一条责任处室对《整改意见书》不予重视,迟迟不改或抵制不整改的,视情节轻重,追究负责人和相关责任人的责任。
第七章附则
第三十二条本细则由数据中心制订并负责解释和修订。
第三十三条本细则自发布之日起执行。
附录:
数据中心信息安全工作领导小组名单
长:
曹少雄
常委副组长:
孟毅颖
副组长:
娄吉安
成员:
于智勇、于景文、黄荣、游庆富、赵连强、李书、侯永铭、唐晨、胡宪、方强。
信息安全工作领导小组办公室主任:
于智勇
附件:
中国农业银行数据中心安全检查整改意见书
签发人:
数安检字第2008001号
内容:
整改结果
整改验收情况
注:
如表内内容较多,可另加附页