（１９９８年８月２１日　建總發〔１９９８〕１１０號） 建設銀行各省、自治區、直轄市分行，計劃單列市分行，蘇州、杭州、三峽分行： 　　經１９９８年８月１７日第１０次行長辦公會議審議，通過了《中國建設銀行計算機系統安全運行管理辦法》（試行），現發給你們，請遵照執行。 　 附：　　 中國建設銀行計算機系統安全運行管理辦法（試行） 　　　　　　（１９９８年８月１７日第１０次行長辦公會議通過） 第一章　總則 　　第一條　為保障中國建設銀行計算機系統的安全運行，提高全行計算機系統安全運行管理的科學化、規范化水平，特制定本辦法。 　　第二條　本辦法的適用范圍為：中國建設銀行總行、一級分行、二級分行。 　　第三條　科技部門是各級行計算機系統安全運行管理的職能部門。總行、一級分行的科技部門下設運行機構，由一名科技部門領導專管；二級分行科技部門不設運行機構，但承擔運行管理的職責，其崗位設置及人員配備應符合本辦法的要求。 　　總行運行中心、一級分行運行機構和二級分行科技部門具體負責本行計算機系統的運行與維護工作；上級行運行機構負責所轄計算機系統安全運行的監督管理及技術支持工作。 　 第二章　崗位及人員管理 　　第四條　運行工作的主要崗位有：安全管理崗位、系統管理崗位、網絡通信管理崗位、應用管理崗位、設備管理崗位、技術檔案管理崗位、機房環境管理崗位、運行值班崗位。 　　各崗位分別設相應的管理員或值班員，并制定相應的崗位職責和操作規程。 　　應用管理員與系統管理員、網絡通信管理員不得混崗。 　　第五條　安全管理員由科技部門專管領導擔任，并全面負責系統運行的安全管理工作，指導并監督系統運行各環節安全技術規范的制定與實施。 　　第六條　系統管理員、網絡通信管理員、應用管理員等關鍵崗位要選用思想品德端正、責任心強、業務水平高的人員擔任，并應有人員備份。 　　第七條　運行工作各崗位人員上崗前必須經過崗前培訓、技術考核及上崗認證。關鍵崗位工作人員要報上級行科技部門備案。 　　第八條　對運行崗位人員每年要進行一次政治思想、業務水平、工作表現、遵守安全規程等方面的評議和考核，對不合格人員要及時更換或調離。 第三章　運行機房環境管理 　 　　第九條　運行機房環境管理是指對機房場地、供電系統及空調系統等相關設備設施、環境、秩序的管理。 　　第十條　運行機房的建設要按照中華人民共和國國家標準《計算站場地安全要求》、《計算站場地技術要求》的要求進行，并應考慮不同設備對場地的特殊要求。 　　第十一條　運行機房設計方案須經上級行科技部門審批，并由專業機房工程公司施工。本行科技部門應對整個施工過程進行技術監督，保證施工質量。 　　第十二條　運行機房投入使用前，必須由上級行科技部門組織有關人員按照設計標準及相關的規定對機房進行嚴格驗收。消防系統還必須通過當地消防部門的驗收。 　　第十三條　運行機房根據運行需要應劃分成主機房、主控室、網絡通訊室、行打室、終端室、電源室、介質庫、值班室等區域，并通過門禁、監控等方式進行區域控制。業務操作區應與運行機房分離。 　　第十四條　任何人不得隨意變更運行機房現有環境及設備設施，確需變更，應制定周密計劃，嚴格履行審批手續后，在確保不影響現有生產系統運行的情況下，由運行相關崗位人員實施或監督實施。 　　第十五條　運行機構應建立運行機房管理制度，對機房的環境、秩序、出入、消防等作出明確的規定，并進行嚴格管理。 　　第十六條　運行機構應做好機房環境的日常運行維護工作： 　　（一）定期對運行機房的防火、防水、防盜、防雷擊、防鼠、接地及門禁等相關設施進行檢查、維護，并記錄備案。 　　（二）制定運行機房供電系統設備維護計劃，并按計劃進行檢修、維護，保障不間斷電力供應。 　　（三）制定運行機房專用空調維護計劃，并按計劃進行檢修、維護，確保計算機設備對溫、濕度的要求。 　　（四）建立運行機房檔案，詳細記錄機房的結構、布線、設備設施的分布和變動等情況。 　 第四章　設備管理 　　第十七條　設備管理是指對運行機房中的主機設備、網絡通信設備及外圍設備的管理。 　　第十八條　設備安裝時，應由相關技術人員制定詳細可行的操作步驟，其中關鍵設備的安裝必須請供貨廠商（代理商）技術人員現場支持。 　　第十九條　設備在投入正式使用前，應依據供貨廠商提供的項目和相關指標，由相關技術人員進行嚴格的測試，寫出測試報告，經批準后使用。 　　第二十條　設備升檔要經過充分的技術論證和審批，并由運行相關崗位人員制定詳細可行的實施方案，升檔過程中應保證現有生產系統的正常運行。 　　第二十一條　主機設備和網絡通信設備必須有備份，并處于實時備用狀態。 　　第二十二條　運行機構應做好設備日常運行維護工作： 　　（一）做好設備的日常監測、檢查、記錄，及時掌握設備的運行狀況。 　　（二）設備發生故障時應及時維修，必要時，通知供貨廠商（代理商）的技術人員到場解決。 　　（三）制定設備維護計劃，對維護的項目、步驟、周期、責任人等作出明確規定，并嚴格按照設備維護計劃定期進行設備的保養和維護，做好設備維護記錄。 　　（四）建立設備檔案，詳細記錄設備的基本情況（包括升級、更新情況等）、故障現象、故障分析、維修過程、處理結果等內容。 　 第五章　投產管理 　　第二十三條　投產管理是指對應用項目從提交到投入實際運行過程中各環節的管理。 　　第二十四條　應用項目包括按照《中國建設銀行計算機應用項目管理試行辦法（試行）》開發完成的項目和購置的成品軟件。 　　第二十五條　應用項目提交者應會同運行機構共同制定周密、嚴謹的項目投產計劃。 　　第二十六條　應用項目提交者應向運行機構提供完整的有關項目投產和運行維護的技術資料，并負責運行相關崗位人員的技術培訓。 　　第二十七條　對于需利用現有系統資源的應用項目，運行機構與應用項目提交者應共同對系統資源情況進行分析，確定資源分配方案。 　　第二十八條　運行機構依據技術文檔的要求準備運行環境。 　　第二十九條　運行機構要掌握應用項目提供的各種系統監控、維護工具，并檢查其安全性和完整性。 　　第三十條　運行機構、應用項目提交者及相關業務部門應共同確定各方職責：應用項目提交者主要負責應用項目的技術支持和優化；業務部門主要負責業務操作和業務管理；運行機構主要負責正式投產運行后的應用系統安全運行。在明確分工的基礎上，制定相關的管理制度和辦法。 　　第三十一條　運行機構依據投產計劃，確認各項投產準備工作符合應用項目的運行需要后，提交投產報告，經科技部門和業務部門共同審批（必要時經有關行長審批）后，該應用項目方可正式投入運行。 第六章　值班管理 　　第三十二條　值班管理是指對運行機房值班工作及運行值班人員的管理。 　　第三十三條　運行機房的值班由各級行運行機構負責管理。機房實行２４小時雙人值班制。 　　第三十四條　值班人員不得擅自離崗，不得從事與值班無關的事情。因特殊情況不能在崗，須經有關負責人同意，并由負責人落實他人代班。 　　第三十五條　值班人員應嚴格履行交接班手續，接班人員未到崗，交班人員不得離崗。 　　第三十六條　運行值班人員應認真做好以下工作： 　　（一）密切監視并定時檢查主機系統、網絡通信系統、外圍設備及附屬設備的運行狀況。 　　（二）及時備份數據，并監視備份過程，確認備份數據有效后對備份介質進行登記，并安全存放。 　　（三）及時處理系統運行中出現的問題。對無法處理的問題，須立即通知有關人員到場解決，重大問題應及時上報有關領導。 　　（四）及時填寫運行值班日志，記錄系統運行狀況、故障處理、電話受理、交接班等項內容。 　　（五）及時受理值班電話，不得因私占用值班電話。 第七章　系統管理 　　第三十七條　系統管理是指對運行系統中系統軟件、應用軟件及數據的管理。 　　第三十八條　系統軟件的安裝須經科技部門領導審批，由相關技術人員制定詳細的操作步驟，并依據具體設備特性，對系統進行合理配置、測試、調整，最大限度地發揮設備資源優勢。 　　第三十九條　任何人不得在生產系統上安裝編譯工具、應用系統源程序及其他與銀行業務無關的軟件。 　　第四十條　備份系統與生產系統的系統構成與配置應保持一致，以保證生產系統出現故障時能順利切換。 　　第四十一條　任何人不得擅自修改系統參數，確需修改應嚴格履行審批手續，由運行相關崗位人員實施，實施時應有監督，修改后的參數應記錄備案。 　　第四十二條　任何人不得擅自對業務數據庫的數據進行修改或恢復操作，確需操作時應嚴格履行審批手續，由運行相關崗位人員實施，并由有關人員監督執行。 　　第四十三條　對于系統軟件升級、應用軟件升級或更換、系統切換、年終結轉、結息等重大操作，由科技部與業務部門密切配合，共同制定詳細的計劃和方案，總行或一級分行應統一管理，統一部署，精心組織，周密安排，把風險降到最低。 　　第四十四條　運行機構應及時收集、整理應用軟件運行中發生的問題，逐級上報匯總后，交軟件提交者。 　　第四十五條　運行機構應做好系統的日常運行維護工作： 　　（一）密切監視系統運行狀況，及時處理系統故障，并對故障產生原因進行認真的分析總結。 　　（二）制定系統運行維護計劃，嚴格按計劃對系統進行維護，并詳細記錄維護情況。 　　（三）定期對系統運行狀況進行分析，形成系統性能優化方案，必要時制定主機系統的升級方案，實施須報科技部門領導審批。 　　（四）制定備份計劃，對備份的時間、內容、級別、人員、保管期限、異地存取和銷毀手續等進行明確規定。 　　（五）建立軟件運行檔案，對軟件的基本情況（版本、配置等）、升級、故障現象、故障產生原因、故障處理過程及處理結果等進行詳細記錄。 第八章　網絡通信管理 　　第四十六條　網絡通信管理是指對所轄網絡通信系統運行的管理。 　　第四十七條　總行統一規劃建設的網絡系統，無總行授權，下級行不得變更網絡系統的結構、設備及重要參數。 　　第四十八條　區域性網絡系統方案的設計和改造應經過充分的技術論證，形成規范的文檔，并報上級行科技部門備案。 　　第四十九條　網絡的ＩＰ地址、主機名等參數應按總行規定的標準進行統一編碼和分配。 　　第五十條　任何人不得擅自增加、刪除網絡節點及修改網絡參數，確需增加、刪除或修改時，應嚴格履行審批手續。 　　第五十一條　運行機構應制定嚴格的遠程登錄審批制度，建立遠程登錄登記簿，詳細記錄登錄原因、登錄人員、起止時間、批準人等項內容。登錄結束后應及時更改相關的密碼、口令。登錄操作須經被登錄方科技部門領導批準。 　　第五十二條　運行機構應及時將網絡拓撲結構圖、網絡通信設備的配置參數、網絡地址（如ＩＰ地址、ＣＨＩＮＡＰＡＣ端口號、撥號備份電話號碼）等資料歸檔保管，并嚴格保密。 　　第五十三條　運行機構應做好網絡通信系統的日常運行維護工作： 　　（一）密切監視網絡運行狀況，及時排除網絡出現的故障，做好網絡運行及維護記錄。 　　（二）定期分析網絡運行狀況，形成網絡性能優化方案，實施須報科技部門領導審批。 　　（三）嚴格控制網絡通信連接，采取諸如防火墻等項防范措施，對內部網與外部網進行網絡隔離。 　　（四）采取切實可行的措施對內部網絡各節點的通信進行控制，防止各種非法訪問。 　　（五）網絡的通信線路應有備份，并應對備份線路按月進行檢測。 第九章　安全管理 　　第五十四條　安全管理是指對保障系統安全可靠運行的關鍵安全環節的管理。 　　第五十五條　運行機構應充分合理地利用系統提供的安全機制，實現系統的安全保護和安全服務。 　　第五十六條　運行機構對各級用戶及其權限的設定應進行嚴格管理，用戶權限的分配必須遵循“最小特權”原則。 　　第五十七條　用戶密碼應嚴格保密，及時更新。重要用戶密碼應密封交安全管理員保管。 　　第五十八條　運行崗位人員調離，運行機構應及時修改相關密碼、口令。 　　第五十九條　運行機構應嚴格限制對密鑰等密級文件的訪問，防止非法研讀和拷貝。 　　第六十條　運行各崗位人員不得擔任業務操作工作。應用軟件開發人員不得代替運行人員從事運行各崗位的工作。 　　第六十一條　運行機構每日應對主機系統、網絡系統的安全審計跟蹤記錄及應用系統的日志進行檢查，分析系統可能存在的安全隱患和漏洞，對發現的隱患和漏洞要及時研究補救措施，并報科技部門領導審批后實施。 　　第六十二條　運行機構應采取切實有效的措施，控制病毒的傳染源，做好計算機病毒的防范工作，并經常進行計算機病毒檢查，發現病毒及時清除。 　　第六十三條　對由廠商提供的遠程支持聯接及操作，運行機構應嚴格履行審批手續，并對支持情況進行監督、審核、記錄、備案。 　　第六十四條　運行機構應制定安全運行應急計劃，針對系統運行過程中可能發生的故障和災難，制定恢復運行的措施、方法，并成立應急計劃實施小組，負責本行應急計劃的實施和管理。 　　第六十五條　在保證系統日間正常運行的前提下，運行機構對可模擬的故障和災難每年至少進行一次實施應急計劃的演習。 　　第六十六條　應急計劃的實施必須按規定由有關領導批準，實施后，運行機構必須認真分析和總結事故原因，制定相應的補救和整改措施，寫出報告，報上級行科技部門備案。 　　第六十七條　對關鍵業務系統，如：柜面業務系統、資金清算系統、交易轉發系統等，日間停止正常運行，一級分行超過４小時、二級分行超過８小時，屬重大運行事故。發生重大運行事故，各行須及時報總行科技部，事故的原因及事故處理過程要形成詳細的書面材料于事后兩周內上報。 　　第六十八條　系統軟硬件及應用軟件的升級、更新等重大操作的實施方案必須包括應急措施。實施過程中一旦出現意外情況，為避免造成重大運行事故，須及時采取應急措施恢復運行。 第十章　技術檔案管理 　　第六十九條　技術檔案管理是指對運行設備的隨機資料、軟件介質、軟件文檔、數據備份介質及與運行有關的各類技術規范、制度、計劃、檔案、日志等的管理。 　　第七十條　技術檔案管理應符合《中國金融計算機信息系統安全管理手冊》中有關技術文檔管理的規定。 　　第七十一條　各類技術檔案由運行相關崗位人員按規定及時整理歸檔。 　　第七十二條　運行相關崗位人員應對技術檔案登記入冊，標明內容、日期、密級、保存期限等信息，分類保管。 　　第七十三條　技術檔案保管須滿足防盜、防潮、防火、防水、防鼠、防蟲、防磁、防震等要求。重要技術檔案應有冗余保護措施。 　　第七十四條　備份介質要存放在專用介質庫內，系統軟件、應用軟件及業務數據備份介質還須異地（不同建筑物內）保存。 　　第七十五條　運行相關崗位人員應定期檢查技術檔案的完整性和有效性，對受損檔案要及時整理和修復；對介質檔案還應定期采取重繞、重寫、復制等維護措施。 　　第七十六條　運行機構應嚴格限定技術檔案的借用范圍，借用時要履行登記手續，并要求及時完整歸還，技術檔案歸還時應進行必要的完整性、有效性檢驗。重要技術檔案的借用應經運行機構負責人批準。 　　第七十七條　涉及保密內容的技術檔案，任何人不得以介紹、復印（拷貝）、發表文稿等方式外泄。 　　第七十八條　對過期和報廢的技術檔案的銷毀，運行機構應履行審批手續，并采取嚴格的監銷措施。 第十一章　運行工作檢查 　　第七十九條　各級行要加強對安全運行管理工作的領導，每年至少組織行內有關部門對本行計算機系統運行工作進行一次檢查。科技部門每季度進行一次自查。 　　第八十條　總行和一級分行科技部門，要加強對所轄范圍內計算機系統運行工作的監督檢查。檢查可采取普查、抽查、專項檢查的方式定期或不定期的進行。 　　第八十一條　有關部門檢查時要事先擬定檢查提綱，檢查項目的指標要量化。 　　第八十二條　檢查后要進行總結，檢查結果要逐級上報并及時通報，對檢查中發現的問題，要限期改進。 　　第八十三條　對違反本管理辦法者，依照《中國建設銀行關于對工作人員違反金融規章制度行為處理的暫行辦法》處理。 第十二章　附則 　　第八十四條　本辦法由中國建設銀行總行解釋。 　　第八十五條　各一級分行應依據本辦法制定相關的管理規范、操作規程，并報總行備案。 　　第八十六條　在計算機系統安全運行管理工作中，涉及計算機系統保密工作的，各級行要認真貫徹執行國家保密局的《計算機信息系統保密管理暫行規定》。 　　第八十七條　本辦法自１９９８年９月１日起執行。