XXXX运维组信息安全管理制度第一章：总则第一条为加强XXXX运维组运行维护管理，规范维护行为，特制定XXXXXXXX运维组信息安全管理制度，防范IT运维系统安全风险。

XXXXXXXX运维组严格按照国家信息安全相关法令法规和行业规范，以及XXXX数据中心对运维厂商的管理和考核要求，制定信息安全管理制度，增强员工安全意识，约束员工行为，强化商业秘密的保护力度。

第二条本制度所称的信息安全管理，是指XXXX对承接的邮政储蓄XXXX 的运维系统保障计算机信息及其相关系统、环境、网络和操作安全运行的一系列管理活动。

目前XXXX承接的运维系统有：XXXX。

第三条本规定适用于XXXX所有的XXXX运维人员。

第四条XXXXXXXX安全管理组履行本制度中信息安全管理职责，并对本制度的执行实施监督检查。

第二章：组织保障第五条加强管理，综合防范，完善制度，强化培训。

第六条XXXX成立了安全组织管理组织，明确角色和职责，对XXXX运维人员进行日常管理，从XXXX承接的各个运维系统中各指派一名信息安全管理员，启动和控制组织范围内的信息安全的实施，做好关键岗位管理、人员入职、人员离职等管理工作。

第七条XXXX各运维组，有完善的组织架构，明确每个运维人员的职责分工。

第八条XXXX运维分管领导、各运维组负责人时常教育员工自觉遵守XXXX各项管理规章制度，遵守有关信息科技风险制度和流程，安全管理组监督执行。

对严重违反管理规定人员，对其进行相应处罚。

第九条XXXX各运维组已建立健全的应急管理制度，故障发生时，在数据中心的统一指挥下，进行应急处理。

第十条XXXX各运维组成员政治可靠、业务和技术过硬、遵纪守法、恪尽职守。

对违反国家法律、法规和行业规章并受到处罚的人员，不予录用。

第十一条XXXX运维组在运维人员上岗前以及每季度至少一次进行信息安全培训、运行维护相关制度培训。

第三章：人员安全管理第十二条XXXX所有运维人员必须严格遵守公司保密工作管理办法，并与公司签署安全保密协议。

第十三条XXXX所有运维人员必须严格执行XXXXXXXX相关的保密制度，并与XXXXXXXX签署保密协议及个人承诺书，在数据中心备案。

第十四条XXXX运维人员的配备和变更情况，应由运维组统一提前向数据中心相关人员报告。

第十五条XXXX运维人员调离岗位后，必须严格办理调离手续，进行离岗安全审查，承诺其调离后的保密义务。

第十六条XXXX运维人员上岗前以及每年至少一次接受公司的安全培训、运行维护相关制度培训。

第十七条严禁向窗外抛物。

第十八条严禁在楼道、办公室内打闹。

第四章：消防安全管理第十九条积极参与XXXXXXXX消防演习，严格按照规定学习，接受多种形式的消防安全宣传教育。

第二十条发生火情应立即采取相应措施。

第二十一条严禁在办公区域内抽烟、玩火等。

第二十二条严禁将易燃、易爆、强腐蚀、强磁性等存在安全隐患的物品放在办公区域内。

第五章：用电安全管理第二十三条严格遵守各类办公设施设备操作程序和要求，严禁违规操作以保障用电安全。

第二十四条严禁擅自使用电热器具。

第二十五条严禁自装电源插座，自接电源。

第二十六条下班时应切断办公设施设备的电源。

第六章：办公环境安全管理第二十七条个人电脑禁止带入运维办公现场，禁止接入XXXX网络，禁止使用其做相应的运维工作，不能拷贝与运维工作相关的任何文档和生产数据。

第二十八条严禁带非XXXX运维人员进入运维办公现场。

第二十九条严禁将运维相关资料暴露于运维办公现场。

第三十条严禁将运维办公现场的公共资产带离运维办公现场。

第三十一条严禁使用办公资产从事与工作无关的事，即不得用办公电话打私人电话等。

第三十二条未经XXXX运维领导同意，严禁在运维办公现场拍照、录像。

第三十三条运维人员应携带工作证件，接受门卫人员检查，才能进入服务场所。

第三十四条运维人员离职，应及时监督其办理工作证件注销。

第三十五条严禁在工作期间饮酒和酒后上岗。

第七章：互联网安全管理第三十六条严禁在生产终端连接互联网,私自接入网络设备。

即生产终端不得安装无线上网卡驱动使用上网卡、不得使用无线WiFi共享软件等。

第三十七条严禁在办公场所擅自设立无线热点、擅自连入任何未经允许的无线热点。

第三十八条运维人员不得在互联网上发布与运维工作相关信息。

不得以任何理由泄露数据。

第三十九条严禁故意输入计算机病毒。

第四十条严禁向他人提供含有计算机病毒的文件、软件等。

第八章：生产终端安全管理第四十一条生产终端安全严格按照“谁使用谁负责”的原则。

生产终端指接入XXXX网络进行运行维护服务的计算机设备，包括PC机、专用终端等设备。

第四十三条生产终端按XXXXXXXX及公司标准配置，运维人员不得擅自改动。

第四十四条生产终端必须设置开机密码。

第四十五条严禁在生产终端接入私人设备。

即生产终端不得连接手机、打印机等。

第四十六条严禁生产终端进行试验、测试。

第四十七条严禁在生产终端的普通桌面下存放生产数据、源码等敏感信息。

即在生产终端的普通桌面下不得存放从生产系统导出的数据、配置文件、源码、生产文档，不得存放生产系统密钥、密码、身份信息等文档，不得存放反动、淫秽、病毒等资料。

严禁在生产终端安装与工作无关软件，从事与工作无关的事项。

即在生产终端不得安装游戏、QQ、迅雷、影音软件（暴风影音、千千静听、酷狗音乐等）等与工作无关的软件。

第四十九条病毒防治，安装并启用XXXXXXXX规定的趋势科技(TM) 防毒墙软件。

第五十条生产终端必须设置屏幕保护程序，离开生产终端需锁屏，防止生产数据被复制、修改、删除及误操作。

生产终端的屏幕保护程序设置要求：自动锁屏时间≤3分钟且恢复时显示登录屏幕。

第五十一条非24小时监控用途的生产终端，下班后须关闭机器。

第五十二条生产终端必须安装和使用正版软件,严禁安装和使用盗版软件。

第五十三条严格遵守生产终端使用、开机、关机等安全操作规程和正确的使用方法。

严禁带电插拨生产终端外部设备接口。

严禁将水杯、花盆等存在安全隐患的物品放在生产终端办公桌面上或机箱上。

第五十五条生产终端设备送外单位维修前，应彻底清除所有的运维工作资料及生产数据等。

第五十六条被淘汰、报废或者利旧的生产终端设备，应彻底清除所有的运维工作资料及生产数据等。

第九章：安全管理平台（UKey）安全管理第五十七条安全管理平台桌面内不得存放反动、淫秽、病毒等资料。

第五十八条根据邮政储蓄XXXX的有关规定，各运维人员需由所在运维组统一向数据中心申请安全管理平台UKey。

第五十九条严禁人离开生产终端，UKey依然插在终端上。

要时刻保持UKey 在人在，人走UKey带走的良好习惯。

第六十条Ukey应妥善保管，必须使用本人身份注册UKey，严禁借用、转让、盗用。

第六十一条UKey丢失后，应立即上报本运维组信息安全管理员，由所在运维组向数据中心提交UKey注销申请，对该U-Key进行注销、补发。

第六十二条运维人员离职，应及时注销其注册UKey。

第六十三条严禁多人共用一个UKey。

第六十四条严禁私自拆卸、组装UKey。

第十章：密码安全管理第六十五条所有需要安全控制的生产终端、文档等均需设置密码，通过用户名及密码进行安全登录后使用；第六十六条生产终端、安全管理平台、UKEY等用户名及密码妥善保管，严禁将密码贴在机箱、终端屏幕、UKey上、墙上等，严禁将密码记录在没有妥善保管的笔记本、纸上等其它容易暴露的介质上，严禁将密码放在生产终端安全管理平台桌面内外。

第六十七条严禁将生产终端、安全管理平台、UKEY等用户名及密码借用、转让、盗用。

第六十八条严禁将生产终端、安全管理平台、UKEY等用户名及密码告诉他人，如因工作需要必须转告他人的，工作完成后应立即更改密码。

第六十九条运维人员设置的所有密码复杂度要求必需满足XXXXXXXX的要求。

密码设置应具有安全性、保密性，密码长度为8位以上，至少包括数字、字母和特殊字符中的两种，不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串。

第七十条所有密码应至少一个季度变更一次。

第七十一条运维人员离职，应及时将生产终端、安全管理平台、UKEY等用户名及密码收回并注销或修改。

第七十二条每周例行升级后需将升级数据备份。

第七十三条每天例行将交易日志备份。

第七十四条每天例行将交易文件备份。

第七十五条每天例行将监控流水，备份。

第七十六条省内要求提取数据，运维人员必须严格遵循数据提取流程操作。

只有接到数据中心提取数据的书面通知才能提取数据，否则一律告知其走数据提取流程。

另外，运维人员提取的数据必须提交给数据中心，由数据中心下发各省，运维人员不得直接将数据提供给各省。

第七十七条运维人员在任何情况下不得修改交易日志，确保各类交易日志的真实性。

第七十八条运维生产数据变更必须严格遵循数据变更流程，严禁在没有授权的情况下私自变更生产数据，应确保对任何变更要获得正式批准。

第七十九条运维生产数据变更必须二位运维人员共同完成，一人操作一人复核，并记录人员名称、操作时间等，必要时需对变更结果进行检查和复核。

第八十条运维系统升级操作必须二位运维人员共同完成，一人操作一人复核，并记录人员名称、操作时间等，必要时需对升级结果进行检查和复核。

第八十一条制定并实时更新规范的系统运行操作流程，严格按照操作流程使用应用系统。

如升级操作、日志查询等。

第十三章：运维脚本安全管理第八十二条每周例行将运维脚本备份到制定目录。

运维人员必须及时备份自己编写的脚本，可备份在个人目录下。

第八十四条严禁在生产环境中测试运维脚本。

第八十五条制定运维脚本使用手册，确保每个运维脚本都有正确规范的使用说明，严格按照使用手册使用运维脚本。

第八十六条当发现运行的运维脚本存在BUG，影响生产系统正常运行时，应立即停止使用脚本，并禁止使用该运维脚本直至完善该脚本确保安全后再正常使用。

第十四章：运维文档安全管理第八十七条运维文档管理员应及时更新运维管理考核文档，如周报、月报、交易数据统计、运维手册、应急手册、切换演练等运维文档，并上传至95580。

第八十八条运维人员应及时整理并归档每日生产数据变更传真。

运维人员应及时整理并归档每周升级单。

第九十条严禁私自传阅、盗取、篡改机密运维文档。

第九十一条机密文档需要传阅，需加密。

第十五章：系统运行安全管理第九十二条制定并实时更新规范的系统运行安全检查流程（检查表checklist），严格按照系统运行安全检查流程（检查表checklist）检查并记录系统运行情况，及时预防事故、发现隐患、及时处理。

第九十三条应用系统的日志检查。

包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。

第九十四条应用系统可用性检查，包括系统中断时间、系统正常服务时间和系统恢复时间等。

制定并实时更新规范的技术文件如说明书、手册等，应妥善保管。