制度体系之农行---数据中心计算机安全检查实施细则.doc

1、制度体系之农行 - 数据中心计算机安全检查实施细则 第一章 总则 第一条 为加强数据中心计算机安全检查工作，提高数据中心安全生产管理水平，保障各生产系统安全、稳定、高效运行,根据《中国农业银行计算机安全检查管理办法》等有关规定，特制定本细则。 第二章 安全检查的组织领导 第二条 数据中心设信息安全工作领导小组，负责数据中心的安全生产管理工作。领导小组组长由数据中心总经理担任，常务副组长由分管安全的副总经理担任，成员为数据中心各处室负责人。信息安全工作领导小组负责数据中心计算机安全检查的组织领导工作。 第三条 数据中心信息安全工作领导小组下设办公室，办公室设在安全管理部，由安全管理部负

2、责人担任办公室主任，负责安全检查方面的具体工作。 第四条 数据中心各处室设安全专管员。安全专管员作为数据中心安全工作办公室成员，负责检查本处室日常安全生产情况，发现问题及时督促整改。 第三章 安全检查方式及程序 第五条 本细则界定的计算机安全检查工作主要是指由上级单位安排、要求的或由数据中心自行安排的安全检查。检查方式包括处室自查、中心例行检查、重点抽查和特殊保障期检查等四种。 第六条 处室自查由数据中心各处室负责人负责、处室安全专管员协助完成，每季度进行一次。安全专管员要针对本处室安全工作的特点，制定详细的安全自查表，并在自查过程中认真填写，自查结束后将安全自查表报安全管理部备案。对

3、安全检查中发现的问题，处室负责人要及时督促相关人员整改，整改情况要生成整改报告并报安全管理部备案。 第七条 中心例行检查由数据中心信息安全领导小组组织完成，由下设办公室成员组成检查小组执行检查任务，每半年进行一次。年中检查由领导小组常务副组长领导，检查内容包括对处室自查的记录以及问题整改情况的复查；年度检查由领导小组组长直接领导，检查内容除了包括对处室自查以及年中检查的记录以及问题整改情况的复查，还包括对数据中心机房环境、网络基础设施、主机系统、应用系统等方面的综合性检查。安全管理部负责制定详细的安全检查表，并在检查过程中认真填写，检查结束后，要对检查情况进行通报，对存在的问题提出整改意见，

4、并负责跟踪各处室整改进展情况。 第八条 重点抽查由数据中心信息安全工作领导小组领导、安全管理部牵头组织完成，包括对中心例行检查和处室自查情况的复查，通过不定期抽查，指导和监督各处室开展安全工作。 第九条 特殊保障期检查主要是指“十一”、春节等长假前夕，国家重大事件等特殊敏感时期，生产系统重大变更前后或根据生产运行需要而进行的计算机安全检查。特殊保障期检查由数据中心信息安全工作领导小组领导、安全管理部牵头组织完成。 第四章 安全检查的内容 第十条 数据中心机房环境安全检查内容 （一）机房供配电系统、UPS供电系统机组运行情况，应急柴油发电机试运转及油料储备情况； （二）机房内照明、维

5、修用电情况； （三）机房环境温度、湿度，精密空调系统运行情况； （四）机房场地视频监控系统、门禁防盗报警系统、环境监控系统、对讲联络系统工作情况； （五）消防设施配置及消防系统运行状况； （六）防静电、防雷、防电磁干扰、防水以及防鼠害等技术措施的落实情况； （七）各类设备的测试、检修和易损（耗）部件更换情况； （八）机房的日常管理情况以及进出机房管理制度的落实情况； （九）机房环境设施管理岗位设置及人员职责和资质情况； （十）外包服务管理情况； （十一）机房各类设备的巡检记录。 第十一条 主机设备安全检查内容 （一）设备运行监控、维护、故障处理、应急操作规程执行情况；

6、 （二）主机设备及附属设备的保养及维护工作情况； （三）设备故障的处理记录、巡检记录； （四）备份设备的可靠性； （五）系统的高可用性（系统重要设备和组件的冗余备份）； （六）系统容量管理计划（系统处理容量的增长计划应满足增量业务需求）； （七）是否存在设备和人员单点运行风险； （八）系统运行管理文档的完备性； （九）外包服务管理情况。 第十二条 网络基础设施安全检查内容 （一）重要计算机网络的传输加密、访问控制、身份（设备）验证等安全措施； （二）生产网、办公网之间的安全访问控制及隔离措施； （三）与外单位网络（Extranet）联网的安全访问控制及隔离措施； （四

7、与国际互联网（Internet）联网的安全访问控制及隔离措施； （五）检查维护记录、变更流程及记录、故障处理记录； （六）外包服务管理及运营商服务管理； （七）网络入侵的监测和防护； （八）网络设备的安全配置与管理； （九）关键设备的高可用性； （十）网络设备日志的安全审计。 第十三条 操作系统安全检查内容 （一）超级用户的管理情况； （二）系统管理员的管理情况； （三）系统普通用户的管理情况； （四）系统访问控制措施的管理情况； （五）故障处理记录； （六）系统变更前的备份情况； （七）系统运行监控、维护、变更、操作规程及记录； （八）系统维护后的记录和归档；

8、 （九）系统日志的安全审计与分析。 第十四条 应用系统安全检查内容 （一）应用系统上线前的测试报告和验收报告； （二）应用系统上线后的运行情况； （三）应用系统的用户授权及鉴别认证措施； （四）应用系统用户的访问控制措施； （五）应用系统数据备份及可用性验证情况； （六）应用系统的变更管理情况； （七）应用系统维护档案的完整性； （八）应用系统软件版本管理情况； （九）应用系统日志的安全审计。 第十五条 日常操作类安全检查内容 （一）日常操作的合法合规性； （二）密码管理制度执行情况； （三）日常运行中的异常处理规程和记录； （四）生产运行的各类操作日志；

9、 （五）对操作日志的安全审计记录。 第十六条 日常监控类安全检查内容 （一）监控预警机制和处理流程； （二）各监控系统预警阀值设定情况； （三）监控及预警日志； （四）监测预警文档的完备性； （五）系统运行状态和性能、资源使用、网络运行等情况的监控记录； （六）业务交易的监控或异常记录； （七）应用系统新上线运行和特殊处理日（节假日、结息日、月终、年终决算日等）的运行监控记录。 第十七条 数据备份类安全检查内容 （一）数据备份、恢复、清理、转存的程序和工具的有效性； （二）数据存储介质的保管、存放登记情况； （三）数据的清理和销毁情况； （四）敏感数据的存储加密情

10、况； （五）重要业务数据的备份策略及恢复测试机制； （六）各类备份（日常备份、特殊处理日的备份、定期整理生产数据的备份、系统变更前的数据备份）的执行情况； （七）备份数据有效性的验证记录。 第十八条 运行档案类安全检查内容 （一）运行档案管理制度和办法； （二）运行档案的完整、准确、安全； （三）运行档案使用登记记录和审批手续； （四）运行档案在保管和传递过程中的保密和安全措施。 第十九条 计算机安全防范检查内容 （一）实时的网络监控和预警，网络异常访问的监控和阻断； （二）计算机病毒防治实施细则的执行情况； （三）计算机入侵事件报告、保护措施和事后检查等情况。

11、第二十条 计算机安全事件报告检查内容 （一）信息系统安全事件是否按有关规定及时上报； （二）信息系统安全事件书面报告的填写是否符合要求； （三）信息系统安全事件发生时的现场记录； （四）对信息系统安全事件的分析和改进记录； （五）信息系统安全事件相关责任人的处理情况； （六）发生严重威胁计算机系统安全事件时的报告情况； （七）发生影响范围广、损失严重的重大安全事件时的报告情况。 第二十一条 计算机安全应急处理检查内容 （一）信息系统突发事件应急响应内部控制机制的落实情况； （二）信息系统突发事件应急处置流程的执行情况； （三）信息系统突发事件应急响应信息的发布情况；

12、四）信息系统突发事件风险预警体系持续更新情况； （五）风险防范措施评估活动的开展情况以及有关评估报告； （六）关键信息技术资源的日常监测与预警机制的落实情况； （七）关键时点监测与预警机制的落实情况； （八）应急预案的持续更新情况； （九）应急演练的开展情况以及演练总结报告。 第五章 整改管理 第二十二条 对于在中心例行检查、重点抽查以及特殊保障期检查中发现的需要进行整改的问题，数据中心以《中国农业银行数据中心安全检查整改意见书》（以下简称《整改意见书》）的形式下达给责任处室落实整改。 第二十三条 安全管理部根据信息安全工作领导小组的要求，拟定《整改意见书》，填写整改事项内容

13、及要求，经信息安全工作领导小组审核后，由信息安全工作领导小组组长（或常委副组长）签发下达给责任处室。 第二十四条 责任处室收到《整改意见书》后，处室负责人应指派专人根据整改事项的内容和要求，制定整改计划和方案，确定整改措施、具体时间安排和具体责任人员。自收到《整改意见书》后15天内不能完成整改的，应在15天内将整改计划和整改方案报信息安全工作领导小组办公室。整改时限根据整改事项不同由《整改意见书》直接指定。 第二十五条 责任处室必须保质保量按期完成整改，并将整改结果填入《整改意见书》中，连同最终形成的《整改报告》一起报信息安全工作领导小组办公室。 第二十六条 信息安全工作领导小组办公室根

14、据《整改报告》和《整改意见书》组织相关人员，对整改情况进行验收。 第二十七条 对整改验收合格的，信息安全工作领导小组办公室主任在《整改意见书》上填写验收意见并签字，同时将相关文档归档保存。 第二十八条 验收未达到合格标准的，信息安全工作领导小组办公室将《整改意见书》发回责任处室，由责任处室继续对整改验收不合格事项进行整改，直至整改合格为止。 第六章 奖惩 第二十九条 各处室负责人是本处室计算机安全工作的主要责任人。对全年安全生产无事故的处室，数据中心将给予奖励。 第三十条 处室安全专管员有责任检查本处室安全生产情况，并按照规定定期开展处室安全自查工作并做好自查记录，发现问题应及时向

15、处室负责人报告。安全自查工作开展情况和安全专管员绩效考核挂钩，具体实施方案由人事部门负责确定。 第三十一条 责任处室对《整改意见书》不予重视，迟迟不改或抵制不整改的，视情节轻重，追究负责人和相关责任人的责任。 第七章 附则 第三十二条 本细则由数据中心制订并负责解释和修订。 第三十三条 本细则自发布之日起执行。 附录： 数据中心信息安全工作领导小组名单 组 长：曹少雄 常委副组长：孟毅颖 副 组 长：娄吉安 成员：于智勇、于景文、黄荣、游庆富、赵连强、李书、侯永铭、唐晨、胡宪、方强。 信息安全工作领导小组办公室主任：于智勇 附件： 中国农业银行数据中

16、心安全检查整改意见书 中国农业银行数据中心安全检查整改意见书 签发人： 数安检字第 2008001 号 下达单位 数据中心信息安全工作领导小组 下达日期 2008年 4月 日 问题来源 责任处室 整改事项 内容： 要求： 安全管理部： 日期： 整改结果 整改处室负责人： 日期： 整改验收 情况 信息安全工作领导小组办公室： 日期： 注： 如表内内容较多，可另加附页 10