1、银行企业IT管理部电算程序制度规定编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 第一部分 操作系统名称银行（XX）有限公司核心业务系统名称：Intelligent Computing system For New Global Service简称： ICONS系统第二部分 ICONS系统操作规程（一）银行（XX）有限公司信息安全政策第一章 总则第一条（目的）（一）定义为了信息安全管理体系的建立和运营而执行的信息安全控制，将其适用于业务的运营和管理，确保信息资产的保密性、完整性及可用性。（二）为计划、执行信息安全活动，构成本行IT2、管理部门的信息安全基础组织规定所需要的事宜，持续维护信息管理体系。第二条（适用范围）（一）为本行提供金融服务而进行的信息技术业务的开发、运营等相关信息资产及活动。（二）本行IT管理部内部信息安全相关组织及管理人员、第三方及根据外包协议提供服务的或个人等。（三）在本政策中没有规定的事项根据相关机构的相关法律法规及本 行相关细则处理。第二章 信息安全准则第三条（运营方向及原则） 信息安全活动的所有方向与原则如下 ： （一）信息安全管理体系不排斥其他系统并互补运行。（二）属于信息安全管理体系范围的所有管理人员均遵守本准则。（三）为了在银行内外部的信息技术环境变化下保持有效性，安全负责人员应遵守本标准3、并定期检查及改善。第四条 （义务事项）（一）执行信息系统相关的国家法律、法规与技术标准以及XX银行业监督委会的要求事项。（二）发生危险情况时，根据相关法律法规的规定向有关机关报告。（三）遵守国家的安全相关标准，参照国际准则推进信息系统的安全标准化。第五条 （业务分工）（一）业务分工表应记录安全相关责任与职责，安全侵害事故发生时，明确责任，提高职员的安全意识。（二）防止给特定人员授予过多的操作权限而发生的误用、滥用职权行为，重要的业务应适当地进行业务分工。（三）负责机密资料的负责人员必要时应定期轮岗。第六条 （组织及运营）（一）为信息系统安全设立单独的安全组织，安全负责人应进行信息系统安全评价。4、（二）组织结构尽可能实现相互制约。（三）为有效管理电算业务并预防事故的发生，应实施内部监查。（四）信息系统相关职员应接受业务相关的培训。（五）组织人员的业务处理应符合法律法规。（六）认为必要时，组织人员在不影响主业务的情况下，兼作其他业务。第七条 （设备保护）相关负责人为预防信息资产的损失、侵害或损害及对业务活动的妨碍，应保护重要设备。第八条 （物理及环境安全）制定信息系统运行必要的设施及附带设备和建筑、环境、出入控制等相关细则事宜，事前防止事故发生，维持保护设施处于适当的状态。（一）机房建筑不得设置在灾害及故障易发的地方。（二）机房建筑的周边应建立灾害及故障应对措施。（三）机房应设立门禁系统5、，除被授权人员外禁止出入，其他人员出入机房须经负责人的批准。（四）为保障机房的正常运行，应设置消防装置，恒温恒湿设备，UPS等信息系统相关设备。第九条（用户管理）（一）所有用户拥有固定的用户ID，进入系统时，应有密码确认的程序。（二）应定期管理用户ID，不得有非法用户。（三）新增用户或权限变更时，须经审批程序。（四）用户ID不得转交或告诉他人。（五）根据业务分类授予用户权限。第十条（密码管理）（一）用户不得泄露密码。（二）密码不得在计算机界面上明示。（三）密码应加密保存。（四）输入密码时密码应显示为他人不可推测、不可识别的字符或不显示在界面。（五）不得向他人泄露密码。（六）应定期变更密码。第十6、一条（运营程序及责任）（一）系统管理人员应规定系统运行程序，控制信息处理设备及系统变 更。（二）为减少未经批准修改信息资产或服务及减少误用、滥用行为，应形成职务分离。下列业务应施行职务分离为原则。但无法分离职务时，应形成相互制约。1. 程序员与操作员2. 应用程序员与系统程序员3. 系统安全负责人员与系统程序员4. 信息系统资料负责人员与其他业务负责人员5. 业务运营人员与内部检查人员6. 数据库负责人员与系统及应用程序员7. 其他与内部控制相关需分离职务的情况 （三）开发及测试系统应与运营系统分开运行，仅限获批准人员使用。但无法分离系统时，应另行控制。第十二条（系统开发及变更管理）（一）系统7、开发时，应遵循标准化的开发流程。（二）重要系统应建立独立的测试环境。（三）开发及变更过程中发生安全问题时，应和信息安全负责人员共同协商。（四）使用外包开发时，应掌握风险要素并实行安全控制。（五）在生产环境使用应用系统前，应在测试系统中进行测试。（六）程序变更管理负责人员应获得相关应用程序管理员的批准后，在生产环境中安装应用程序。（七）应用程序管理员根据变更作业的计划，检查是否正确执行。（八）开发中或在维护中的程序应与运行中的源程序分开管理，不在运营中的系统存储管理。（九）测试时不得使用实际数据。第十三条（系统运营）（一）购入新服务器系统时，若要求安全性，应与信息安全负责人员协商后购入。（二）重8、要服务器系统应设置在物理上安全的控制区域。（三）系统应设置为非授权人员不得进入的安全模式。（四）视窗系统应设置杀毒软件，以应对黑客及病毒。（五）系统负责人员应定期进行系统检查。（六）系统使用的软件应为正版的软件。（七）系统应具备高安全性，及充分的性能及容量。（八）应严格控制数据库的访问权限。（九）数据库管理员对于机密的信息应通过加密等手段保护数据库的 信息。第十四条（系统情况管理）（一）系统负责人员应把信息系统情况整理成目录进行维护管理，以保证其与实际情况相符。（二）系统负责人员变更时，应严密检查变更所带来的影响并与系统负责人进行事前协商。（三）为了检查是否有未经系统负责人批准的设备，应定期检9、查系统情况。第十五条（故障管理）（一）应制定业务系统及网络故障应对措施。（二）为防止故障应对使用的软件、应用程序、数据等进行备份。（三）故障恢复后，应分析故障原因，以保证今后不再发生重复的故障。第十六条（网络管理）（一）为了防止网络设备及专用线的故障，应使用两条线路并行。（二）专线应充分考虑带宽的需求。（三）网络设备应设置在物理上安全的控制区域内。（四）内部网络和外部网络应分开运行。（五）内部网络和外部网络连接时，一定要安装防火墙等安全装置，以防止外界入侵。第十七条（备份和业务持续性管理）（一）信息系统的重要数据应使用另外的介质保存，当系统和文件受到损坏可以以最快的速度恢复到最近备份的内容。（10、二）应根据业务的不同，定期进行备份。（三）备份数据应异地存放，备份数据的使用要遵循严格的审批流程。（四）为了保证重要系统在灾害发生时仍可进行业务，应在机房以外的其它地方建立灾害恢复系统。（五）对于重要系统为应对灾害，须制定信息系统的灾害恢复流程，执行与之相匹配的脚本测试。第十八条（外包商管理）（一）与外包商签约时，为了防止安全事故，应对其进行安全管理。（二）与外包商签约时，明确业务范围和原则，防止可能产生的风险。（三）应向外包人员明确通知须遵守的事项及事故发生时的报告流程。（四）外包管理人员负责外包商或外包人员的签约，业务执行，结果的评估等行政上的流程和控制。（五）与外包商签约时，为了遵守银行11、的内部规定及监督管理的相关合同规定，签约时确认注意事项并在合同中反映。（六）重大事故发生时，应更换外包商。（七）外包商的服务的中断时，应准备应急对策。（八）防止信息泄露，控制资料的借出和归还。第十九条（信息系统检查）（一）检查要根据业务定期执行。（二）检查人员原则上不能兼任信息系统的开发或运营业务，不能监查自己办理的业务。（三）检查人员根据相关法律法规、规定、上级机关和部长的指示，独立、公正地实施监查。第二十条（有害软件防护） 为防止系统受有害软件影响，安全负责人员应采取检测及预防控制措施，建立适当的用户培训流程。第三章 信息技术业务开发第二十一条（开发对象业务）开发对象业务如下。 （一）制定12、信息技术业务计划时，被选为开发对象的业务 （二）业务相关部门申请的业务 （三）其他总行长认为必要的业务 第二十二条（相关部门协助）信息技术开发对象业务的相关部门部长应积极协助如下事项。 （一）提交相关信息或所有资料 （二）开发对象业务负责人员的参与（三）其他必要事项 第二十三条（通报业务内容变更）变更开发中或运营中的业务内容时，相关部门部长应在一定期间前向IT管理部长通报其变更内容。 第二十四条（适用实施）开发完毕信息技术业务适用时，应经审批人的批准后实施，必要时在一定期间并行处理。 第二十五条（归档）信息技术开发内容应根据业务分类归档后维持管理，以便应用到业务的交接及职员培训。第二十六条（标13、准化）信息技术业务的有效开发、运营、维护及信息技术业务处理的提高性应将必要事项标准化。第二十七条（外部开发）对于业务的信息技术化，必要时委托外包商开发或投入软件包使用。 （二）银行（XX）有限公司网络安全管理指南第一章 总则（目的）规定网络系统的投入使用、安装、运行等系统安全管理步骤和网络安全步骤。（用语的定义）（一）接入点（AP）:构成无线网络的装置中的一个，连接无线网络和有线网络的装置。AP是独立的装置，可以插在网络HUB或服务器。（二）service set identifier(ssid):附在通过无线网络传送数据头的32位长度的识别码，以区分各无线网络，要连接在特定无线网络的AP或无14、线装置必须使用统一的SSID。SSID是附加在数据上的普通的测试数据，不能保证网络安全。（三）WIRED EQUIVALENT PRIVACY(WEP):定义无线LAN标准的 IEEE802.11协议的一部分，为无线LAN安全运营而使用的技术。第二章 管理主体第三条（责任及作用）（一）IT管理部长总负责网络系统的安全管理及为运营而制定、实施的 安全政策。（二）安全负责人管理网络系统的安全管理及为运营而制定、实施的安全政策。（三）网络管理员的责任与作用如下。 1. 管理监督网络系统的安全运营和记录故障处理内容。2. 批准网络系统的设置及运营等。3. 应监督网络负责人员根据本指南管理网络系统安全。15、 （四）网络负责人员的责任与作用如下。 1. 根据本指南管理网络系统安全。2. 为有效管理网络系统安全，申请必要资源的支持。第三章 网络安全管理步骤第四条（网络系统投入使用） （一）网络系统的投入使用根据内部步骤处理, 对与重要系统相关的网 络系统进行安全检查。但为投入使用而进行的测试无需经另外的批准。（二）对新网络系统的投入使用相关详细事项遵照信息系统运营管理指南。第五条（网络系统的设置）（一）网络系统应设置在具备物理安全的控制区域如机房，并必须设置在机柜内部。（二）对新网络系统的设置相关详细事项遵照信息系统运营管理指南。（三）网络设备必须由UPS供电.第六条（网络系统的安全设置）（一)设置16、网络系统后，网络负责人员应根据IP类别制定访问限制政策， 使一般用户无法访问网络系统的安全设置。（二）在允许登录重要网络系统之前，可设置自动弹出的安全警告，例如：“对以不当方式连接网络或删除、变更、泄露信息的人员，会根据相关法律规定进行处罚。”（三）通过内网连接外网时，应使用入侵切断系统等实现物理上区分。第七条（控制网络访问）（一）网络管理负责人员构建网络时，应反映服务影响力及数据重要性、连接类型、业务特性等并按网络类别分离。1. 受信任网络（TRUSTED NETWORK）和不受信任网络（UNTRUSTED NETWORK）应分离。 2. 根据单位网络内的服务器及PC间的业务重要性应划分子网17、络。（二）安全负责人根据各等级参照下列内容实施适当的安全控制。1. 指定路径（路由）及访问限制（IP，网络服务等）2. 预防病毒及流量异常3. 用户认证及远程连接安全控制，使用网络设备安全设置。（三）连接内部网（受信任网络）和外部网（不受信任网络）时，应遵守下列事项。1. 为防止资料的泄露，应最大程度限制内部网和外部网的连接，连接时应对本行保留的信息资产的价值评价、风险分析及事故发生时可能涉及组织全体的影响等进行确切的评价并制定安全措施。2. 连接内部网与外部网时必须设置防火墙等安全设备以切断外部攻击。3. 与内部网分离，另行构建并运用外部网，另行设置外部网专用终端。4. 重要业务处理终端及个18、人用计算机与网络分开运行。5. 根据安全系统流量规定及向外部提供的的服务制定安全对策。6. 通过对外部用户进行严格的认证后允许连接，并禁止外部用户登录管理员帐户。7. 连接尝试失败一定次数后，应切断连接，在日志文件记录保存相关信息。（四）网络负责人员应在控制台对网络系统进行访问。但为系统的运营及监控，使用网络负责人员终端的情况例外。（五）网络负责人员向用户授予网络系统的访问权限及系统使用权限时，应遵守下列事项。1. 网络负责人员应遵守下列事项以防止权限的滥用及误用。1） 对网络系统的访问权限由网络负责人员授予并经网络管理员的确认。2） 为维护、故障处理等业务必要向第三方授予访问权限时应经网络负19、责人员的批准后授予。3） 信息安全负责人员检查访问控制是否适当时，应积极协助。4） 应制作、管理访问权限管理目录，记载安全工具等设置的不同IP类别的访问权限。5） 网络管理员在必要时，检查网络负责人员权限设定是否合理。2. 网络负责人员连接网络系统时，应使用认证方法（例：ID/密码，加密通讯，认证服务等）。3. 登录界面只显示登录相关信息。组织或运营体系、网络环境、内部事项等信息应在成功登录后显示。4. 用户在网络系统登录失败时，设置为仅显示登录错误的信息。5. 对业务上有必要连接的用户，应根据IP地址进行访问控制。（六）网络负责人员为保护正常登录的进程应遵守下列事项。1. 连接系统后用户在一20、定时间内没有进行输入时，应自动登离或中断进程。但在网络系统运营上有必要时可以例外。2. 在控制区域以外场所设置的网络系统，如果负责人员在一定时间内没有输入时，设置成自动中断进程。（七）网络系统不能正常工作时，网络负责人员可以限制使用户访问直到正常工作。（八）网络负责人员为预防未经授权的非法访问及服务器终止等，应加强安全设置并不提供业务上不需要的或有侵害危险的网络服务。（九）网络负责人员应考虑下列事项：1. 在物理安全脆弱点位置的网络系统的适当运行。2. 有重要数据交换的网络区间或经无线网的网络区间的控制强化，以及数据加密与否。第八条（网络系统用户管理）（一）网络负责人员因维护、故障处理等目的向21、第三方授予ID时，需经 网络管理员的批准后才可使用，业务结束后立即删除或变更密码。（二）一般情况下不使用共享ID。但为业务必要时，应经网络管理员的批 准后特别管理。（三）设置系统时，应将业务上不需要的供货商提供的ID删除或变更密码。（四）对网络内的信息的访问权限由网络管理员授予，网络负责人员只拥有执行网络管理业务必要的权限，并定期检查访问权限是否合理设置。（五）发现或怀疑妨碍网络系统正常运营或妨碍别的用户行为时，应与网络管理员协商后，限制或取消用户权限。第九条（网络系统密码的生成及管理）（一）密码至少要包含8位以上的数字及特殊字符。（二）密码不能在界面上明示。（三）密码应加密储存。（四）与重要22、系统连接的网络系统应半年一次，其他系统是一年一次定期更改密码。第十条（网络系统时间同步）网络负责人员将所有网络系统时间同步,使日志生成时记录正确的时间。第十一条（网络变更控制）（一）安装与重要系统相关的网络系统补丁或变更系统参数（IP,用户帐户，系统环境信息等）时，应制作变更申请书。（二）变更网络时依照下列步骤。1. 网络负责人员变更网络配置时，应与安全负责人员协商可能造成的影响，并检查其适当性。2. 变更作业前要备份当前设置，以防发生异常情况。第十二条（网络系统监控）（一）发生安全事故时，网络负责人员不应删除相关系统日志信息。 （二）网络负责人员对下列事项进行日常或定期的监控，发生异常时 根23、据侵害事故应对步骤处理。1. 与重要系统相关的网络系统CPU、内存、专线使用率、信息包使用数等情况。2. 连接系统的用户情况。3. 各应用程序和其他安全相关报告书。4. 妨碍其他用户服务的情况。5. 一般用户使用网络负责人员的密码或其他用户密码的行为。6. 共享用户帐户或密码的行为。7. 对以前安全检查指出事项不采取措施的情况。8. 违反其他安全政策及指南的情况。 （三）网络负责人员用目录管理所有网络连接状态并维护管理使之与实际情况一致。第十三条（网络系统日志管理）（一）对重要系统相关的网络系统，网络管理员应与安全负责人员进行协商,发生安全事故或进行事后监查时，为确保证据的可追踪性应定义适当的24、日志标准并注意以下事项.1. 用户的系统访问详情日志（用户ID，登录/登离日期/时间）2. 对网络系统的所有连接尝试。 （二）网络负责人员记录日志时，根据下列事项管理。1. 网络负责人员对重要事项的日志应进行备份。2. 网络负责人员不得向他人公开记录系统连接详情的日志，没有文本形式的正式申请或法律协助申请。3. 记录安全事件的系统日志应保管5年以上。4. 网络系统的一般日志信息应每季度与系统环境信息一起备份储存并保存一年以上。在此期间不得随意变更日志。（三）网络负责人员根据下列事项制作运营人员工作记录。1. 网络负责人员应制作网络工作日志并向网络管理员报告。2. 网络负责人员应保管、管理运营人25、员工作记录一年以上。（四）网络负责人员根据标准设置系统日志生成功能。一般用户不得访问日志文件。（五）信息安全负责人员每季度至少检查一次日志文件生成及保管的设置及网络系统运营日志的制作。第十四条（无线网络的安全）（一）尽可能不使用无线网络。因业务的原因必须使用时需经安全负责 人员的安全性检查及网络管理员的批准后使用。（二）银行内职员在使用无线网时，应注意以下事项：1. 传送敏感业务数据时必须加密。2. 为防止泄露、改变、删除资料，只能短期使用共享目录并设置密码。（三）无线网络管理员应对AP设置物理访问控制。（四）为使未经授权人员不能改变AP安全功能，应在无线网络投入使 用前变更AP制造商设置的A26、P管理软件的ID、密码，设置为无法推测的密码。（五）无线网络管理员执行如下安全认证措施。1. 变更初始AP和终端的SSID。2. 在AP设置MAC地址过滤功能，在AP录入无线网卡的地址。（六）为保护数据应定期（一个月一次）更改AP提供的WEB KEY并使用最少128BIT以上的WEB KEY。（七）为保护无线网络和有线网络，在AP和内部网之间设置开关，设置为防止用户间传递的流量通过无线网传出。（八）网络管理员应持续监控与无线网络相关的安全产品与标准化过 程，检查用于提高安全功能的产品的投入。当扩展无线网络的使用范围时，应构建无线网络用户认证体系（认证服务）及无线网络安全管理体系。（九）其他安全27、相关事项应遵照有线网络的安全守则。第十五条（网络系统备份及介质管理）网络负责人员为能在发生故障时迅速恢复，根据信息系统运营管理指南进行备份。第十六条（网络系统脆弱点检查)（一）网络负责人员应至少每季度检查重要系统相关的网络系统，以确 保重要信息没有被伪造、变造等。（二）信息安全负责人员应定期进行对主要系统相关网络系统脆弱点的 技术检查，将技术检查结果中发现的脆弱点的应对方案及措施方法等记入文档，以便于执行并向安全负责人报告结果。第十七条（侵害事故报告及应对）（一）侵害事故发生时的报告及应对应遵照侵害事故应对步 骤。（二）网络负责人员进行下列活动。1. 网络负责人员确定或怀疑发生侵害事故时，应立28、即向安全负责人员通报。2. 网络负责人员为保存证据，应对日志中有入侵痕迹的 日志进行备份。第十八条（网络故障对策） （一) 总行和分支机构之间设置两条专线以预防网络故障，无特殊情况 两条线应属不同的通信公司 。（二）必须制定故障相关应急措施计划及恢复方案.第十九条（分支机构网络管理） （一）发生故障时，分支机构向总行网络负责人员报告，维修人员到达分支机构后应报告并记录到达人员、到达时间及维修人员的姓名、维修措施等。（二）所有银行内网络设备均使用总行统一规定的设备，分支机构应严格管理网络设备。（三）分支机构不经过总行的批准不得变更网络环境，也不得进行网络设备的添加、变更。（四）各分支结构必须记录29、每日网络检查结果。（五）网络IP地址和主机名由总行IT管理部网络负责人员管理 第二十条（网络系统撤销及报废）网络系统报废及撤销时应完全删除系统环境设置（CONFIGURATIAN）。（三）银行（XX）有限公司备份管理第一条（目的）为了防止信息系统的故障或火灾等情况，数据必须在其他存储介质中予以备份，以保证在发生故障时最快恢复到最近一次备份时的状态。第二条（适用范围）除另行规定的以外，软件备份应遵守本指南。第三条（备份管理员）备份管理员作为相应业务的组长须执行下列任务。（一）制定备份周期及异地备份标准（二）备份及恢复程序管理（三）备份及恢复程序执行结果批准第四条（备份负责人员）备份负责人员作为相30、应任务的组长，需做以下工作。（一）与业务负责人员协商备份对象保管周期、备份周期等备份要求。（二）新增备份对象的添加和备份管理。（三）根据备份日程或程序执行备份（四）记录和报告备份执行结果（五）备份介质的应用和恢复性测试的实施（六）改善备份和恢复工作第五条（备份和保存周期）（一）根据数据的重要性、资料的衔接和恢复时间目标，制定适当的备份周期和保存周期。（二）备份根据日、周、月为单位进行。（三）对系统软件进行初始化，升级和安装补丁时，负责人员应及时对系统软件进行备份。（四）服务器数据和文档等内容的备份或恢复时，应编制和提交申请书。第六条（文件分类）文件根据介质和保存期限分类。（一）按存储介质分类 31、1. 磁带文件：在磁带（Marknetic磁带（以下简称M/T），卡式磁带（以下简称C/T）存储的文件，一般是需长期保存或大批量处理的文件。2. 磁盘文件：在磁盘中存储的文件，一般是需快速处理，网上处理的材料或系统应用程序文件等。（二）按保存期限分类1. 保存文件：根据材料的重要度与常用度的不同，需要在不同期限内保存的文件。2. 应用文件：单位作业处理周期内需保存的资料，在该周期内生成的文件。3. 临时文件：作业处理时需要的临时生成的文件。第七条（管理）（一）磁带文件管理相关事宜由备份负责人员负责。（二）运行中系统内部文件（磁盘内部文件等）由系统负责人员管理。第八条（新增和变更登记）所有文件均32、应登记在磁带管理簿中管理，处理流程如下： （一）新增登记1新增备份文件时，添加Layout 文件，并向备份负责人员提交文件新增登记申请。2文件Layout 已经登记时，只需将已经登记的Layout注册号码提交给备份负责人员。3备份负责人员登记新增文件时在文件管理记录中记录相关管理号码。4系统文件及数据库镜像文件登记时，省略Layout的提交。5备份负责人员，编制备份文件变更（新增，异地存放，回收，作废）明细表，并得到负责人批准后进行保管。（二）变更登记 1基本文件的内容变更时，任务负责人员在得到该任务负责人的批准后执行变更。 2文件Layout变更后，应向备份负责人员提交。 3备份负责人员将变33、更内容记录在磁带管理簿和备份文件变更（新增，异地存放，回收，作废）明细表，经负责人批准后保存。（三）临时使用的Work文件或Scratch文件可不记录。第九条（管理号码）应按以下规定授予文件的管理号码。（一）授予文件管理号码时应遵照文件管理号码授予标准。（二）使用ACS的文件的管理号码视为条形码。第十条（保存）（一）文件保存于耐火金库中，采用缴纳保管原则，经常使用的文件应在机房保管。（二）机房内的M/T，C/T及系统记录文件（磁盘及ACS记录文件）例外。第十一条（备份文件的取用和返还） 文件的取用、返还应进行相应的记录，并明确交接手续。第十二条（作废）（一）超过保存期限或需要保存但已遗失的磁带34、文件，可在负责人批 准后作废。（二）作废磁带文件的时候，应在磁带管理簿中记录整理。第十三条（保存和异地备份）（一）为保证文件的安全管理，应根据文件备份及异地备份标准保存文件。（二）文件的异地备份管理处理程序如下：1. 异地备份场所在机房以外的安全场所设置使用。2. 异地备份作业流程（1）根据文件和备份周期的不同制作备份磁带。（2）在磁带管理簿中分类记录备份磁带。（3）将磁带转移至异地存放。（4）异地备份保存文件完成，进行分类保管。3. 异地备份磁带保存期限结束异地备份的磁带保存期限结束后，磁带应根据下列程序解除。（1）选定保存周期结束的文件（2）在相应的管理记录表中进行记录。（3）将磁带放回机35、房备用。第十四条（文件的保存状态检查和文件清除）（一）保存状态检查对保存五年以上的文件进行随机抽取，对其记录状态进行检查。（二）文件清除对保存3年以上的文件，应每年进行一次清除作业，如文件量较少可以移到下一年度。第十五条（备份文件的维护）为管理文件，应对重要文件进行备份保存。第十六条（使用控制）没有制定业务处理程序的文件，在使用之前应得到业务负责人员或信息系统负责人的批准。第十七条（还原策略）相关业务负责人员应在文件作废或损坏时运用还原策略。第十八条（磁带文件的标识）所有磁带文件中，都应附加文件管理号码和资料明细记录的标识后使用。如果在ACS中使用的文件的管理号码和资料明细视为条形码。（四）银36、行（XX）有限公司应用程序安全指南第一章 总则第一条（目的） 为了开发应用程序，制定环境和开发、测试、运行、变更管理等的流程，以程序稳定运行为目的。第二条（责任及作用）（一）有关部长负责对应用程序的开发。（二）应用程序管理员的责任与作用如下1. 负责人级别人员担任应用程序管理员。2. 应用程序负责人有义务和权利使各负责人遵照执行本指南中的 规定执行。3. 为了应用程序的高效率管理或强化安全认为有必要修改本指南时，可以向安全负责人员要求修改。（三）开发负责人的责任与作用如下。1. 相关程序的所有开发及管理责任。2. 根据变更申请书和开发申请书的记载内容，修改相关部门开发、 运行程序。3. 开发应37、用程序时，根据本指南的规定维护应用程序安全的责任。（四）变更管理负责人的责任和作用如下1. 根据开发负责人的申请，应系统地管理应用程序的变更申请， 并对新增、修改的应用程序设置承担责任。2. 对应用程序的变更申请进行可行性检查，必要时可向开发负责人申请修改程序。3. 变更应用程序时，根据本指南的规定，具有维护应用程序安全的责任。（五）运行负责人1. 支持应用程序的运行，运行时检查主要安全控制，采取安全上必要的措施。2. 为了应用系统的有效运行及加强安全，认为必要时，向安全负责人员申请修改。（六）安全负责人负责管理关于应用程序安全管理及运行的安全政策的制定及履行。（七）安全负责人员的责任与作用如38、下：1. 开发、变更应用程序时，向应用程序管理员要求对相关应用程序进行安全性检查。2. 当发现应用程序安全中的脆弱点时，可向应用程序管理员申请修改。第二章 应用程序的环境构成第三条（环境的分离）（一）开发及测试系统与生产系统应分离。但已研究出使生产环境不受开发环境影响的对策时，可例外。（二）生产环境中不能设置编译器、编辑器等开发用工具。但必要时，需 经过应用程序管理员的申请和系统管理员的批准后设置。第三章 应用程序的开发第四条（安全要求事项的分析）（一）应用程序的管理员应在为改善新增应用程序或标准应用程序的业 务要求事项中反映安全要求事项。（二）对有特别安全性要求的应用程序应与安全负责人员一起39、如下定义 下列安全要件1. 用户认证方法及访问权限控制方法2. 加密方法3. 交易信息日志记录方法4. 其他认为必要的安全事项（三）开发负责人员在分析阶段应考虑与应用程序的联动性、对已有应用程序信息安全的威胁等信息安全事项，在应用程序开发中反映。第五条（安全功能的设计）应用程序从开发时应考虑下列的安全功能设计。（一）应用程序管理员权限要与一般用户权限分离，应设计单独的管理 员认证方式。（二）规定输入密码失败次数上限，超过规定次数时锁定用户账号的功 能，解除锁定时需经本人确认流程。（三）应用程序用户认证方法及用户安全属性根据服务重要性及安全性，按等级设置。（四）向应用程序用户授予适当的权限。（五40、）应用程序用户账号可适用如下安全规定。用户及密码管理指南中第四章业务用户管理内容。（六）输入数据的有效性检查功能。（七）在用户界面中密码等敏感数据应设为不可显示。（八）只有被批准的管理员才能访问顾客数据，顾客密码、帐户号码、实名号码等重要信息应加密传输并储存。（九）对应用程序运行中发生的活动生成检查日志，发生事故时可作为证 据资料。（十）处理电子金融交易时，应设计交易信息变更与否的完整性保障、防止交易信息泄露的加密传输、防止否认交易事实等功能。第六条（程序设计安全化）（一）应用程序管理员选择适当的应用程序开发语言时，应考虑开发语言 的安全性，让开发负责人熟知对各开发语言在安全性上已公开的脆弱点41、。必要时，对开发语言的安全性脆弱点及安全程序设计方法可向外部专业咨询咨询及接受培训。（二）应用程序管理员利用外包人员开发时，应掌握风险因素并进行安全 控制。相关规定遵照外包安全管理指南。第四章 应用程序的测试及实施第七条（应用程序的测试）（一）开发或变更程序时，变更实际业务中使用的数据作为测试数据时，制作申请书并需经应用程序管理员的批准。（二）开发负责人员应以与生产数据相同的标准保护并控制测试数据，如客户密码等重要信息应变更使用。（三）在生产环境中安装应用程序之前，应在测试系统中经充分的测试。（四）测试相关应用程序的数据输入有效性检查功能应包含如下内容。1. 输入值超过规定额度值的检查2. 数42、据域中输入错误的字符的检查。3. 输入不完整数据的检查4. 数据大小超过内存分配范围的检查（五）开发负责人员为加强WEB服务程序的安全，应使用安全检查工具或安全检查系统实施安全检查。（六）开发负责人员需将测试结果提交给应用程序管理员批准。必要时，可附加源代码。第八条（应用程序的实施）（一）变更负责人员应将相关应用程序管理员批准的应用程序安装到生产环境。（二）应用于生产系统时，应分析对现有生产环境的影响，发生异常情况时，利用备份还原到原位置并查明异常原因。（三）应用程序管理员在生产系统安装完毕后，应管理程序目录。 第五章 应用程序的变更管理第九条（应用系统的变更）（一）开发负责人员申请变更时，应43、记录变更原因、变更内容、对系统的影响、安全相关事项、变更后的预期效果并经应用程序管理员批准后，向变更管理负责人员申请。（二）变更对现行业务处理方式产生重要影响的程序时，应与相关业务部门进行事前协商，预防事后可能会出现的问题。（三）应用程序管理员检查是否根据变更作业计划适当执行。（四）与应用程序变更相关的具体事项依照规定进行。（五）与WEB程序变更相关的具体事项依照规定进行。（六）对外部采购的软件包、常用软件的变更应与供应商协商，变更时的标准及步骤应遵照应用程序变更标准。第六章 应用程序的运营第十条（源程序库的管理及控制）（一）新增的源程序由程序变更负责人员管理。但投入变更管理系统之前由应用程序44、管理员管理（二）应适当控制应用程序管理员及负责人员等所有用户对源程序的访问。（三）开发或维护中的程序应与运营中的源程序分开管理，并且不能在生产系统储存管理。第十一条（权限管理）（一）应用程序管理员对运营的应用程序用户分为一般用户与特权用户并定期检查其权限的合理性。（二）为控制对应用程序的访问，应遵守下列事项并实施权限管理。1. 应用程序管理员应考虑业务组织及作用，设置各负责人员的访问权限。2. 访问需要驱动的应用程序服务器系统时，根据服务器系统安全指南的规定通过系统管理人员授予访问权限。3. 应用程序管理员应监督各负责人员的访问权限是否适当维护并管理。4. 发生退休、部门变动、合同结束等变动事45、项时，应立即向系统负责人员通报，删除相关账号或调整权限并向安全负责人员通报，使安全系统的相关访问控制政策也随之调整。5. 应用程序的运行负责人员应控制一般用户不得直接访问应用程序管理相关界面、文件或目录等相关应用程序的主要信息。6. 运行负责人员为保护正常登录的进程，与相关程序连接后在一定时间内未发生任何输入的情况，应设置为自动关闭或中断进程。但开发时或相关应用程序性质上认为必要时，可例外。7. 相关应用程序安全相关功能不能正常运作时，运营负责人员可以限制用户的访问直至正常工作为止。第十二条（备份）（一）变更应用程序的源程序、程序库及数据时，应进行备份。（二）备份周期及保存期限、备份介质管理等46、遵照相关规定进行。第十三条（记录及监督）（一）运营负责人员或系统负责人员应定期分析相关应用程序的日志，发现异常征兆及侵害事故时，应根据规定采取适当的措施。（二）运营负责人员及系统负责人员应控制未经批准的人员访问应用 程序生成的日志及检查日志。（三）运营负责人员及系统负责人员应持续监控相关应用程序与生产 环境的安全性。（四）交易记录文件应包含如下事项。1. 用户2. 使用终端（IP）3. 交易代码4. 交易相关详细内容5. 交易日志及时间（五）通过终端查询客户信息时，用户、使用日期、变更或查询内容、连接方法等应自动记录到信息系统并保存3年以上。（六）对电子金融交易的交易记录、资料中交易账簿或营业47、相关重要数据应保存10年，传票或类似的数据应保存5年。（七）业务系统的运行记录应保存1年以上，交易记录应自动记录以下内容。1. 可以确认连接业务系统的日期、连接人员及访问内容的访问记录。2. 可以确认使用信息技术资料的日期、用户及资料内容的访问记录。第十四条（加密程序的开发）使用计算机网络传输重要数据时，应使用加密程序。第十五条（加密程序的运用）（一）禁止使用除正常交易以外的加密程序方法。（二）不能使加密及复数符号存在于同一个程序。（三）外包人员开发加密程序时，从开发商处接收密钥后应立即变更。（四）加密程序相关设计图应与加密程序统一管理。（五）因业务过程特性，存在重要数据（顾客密码）的加密/复48、数符号暂时解除期间时，研究应对方案。（六）应用程序开发中使用模块加密/复数符号时，对加密/复数符号 过程的记录及文件不进行储存。（七）加密密钥作为硬件编码的加密/复数符号程序使用时，必须记录相关内容并定期检查。（五）银行（XX）有限公司用户及密码管理指南第一章 总则第一条（目标）为保护在本行使用的系统与业务用PC（包括终端）和信息安全、稳定运行，对用户和密码进行管理。第二条（适用范围）适用于在本行使用的系统和业务用PC，也适用于职员以外的，在本行的第三方及提供外包服务的及个人等使用的系统和PC。第三条（用语定义）本指南使用的用语定义如下 ：（一）终端 ：指通过通信线路向系统输入资料或输出保存在49、系统中的资 料而使用的设备。（二）个人电脑（PC） ：指在业务上分配的，用于制作文档、连接业务服务器程序等可以运行各种应用程序，生成资料，存储和通过网络可以分类处理业务的个人专业电脑。在个人用电脑中使用业务服务器连接程序和在系统中读取存储业务的具有终端功能的机器。（三）密码 ：为防止随意进入系统，保证系统安全，用户在进入计算机系统或通信网络时，与用户帐号一起输入，从而识别合法用户的特定文字链。（四）第三方（Third Party）：指使用银行的信息处理设施或财产，代理服务或其他业务的或个人，主要包括以下情况：1. 负责硬件和软件的开发、维护和运营并提供技术支持的外包企 业职员。2. 外部咨询组50、织3. 临时雇用或短期签约的职员。4. 保洁、保安和其他支持服务。（五）外包 ：指不直接使用银行的信息处理设施和财产，通过使用外包的信息处理设施和物理环境，代理银行服务和其他业务。（六） 用户名(ID) : 分配给各用户的特定名称或记号。第二章 系统用户管理第四条（系统用户管理）（一）用户ID的一般管理应遵循下列事宜。1所有用户有固定的用户名，当进入系统时，需输入密码确认。2不得将本人的用户名转借给他人。3用户ID新增/变更/删除的登记申请书自制作日起保存一年。4定期（一年2次以上）检查用户ID使用情况。（二）因维护、故障处理等原因，需要向第三方授予ID时，系统负责人员应在得到系统管理员的批准51、后进行授权，并在业务结束后应立即删除ID或变更密码。（三）原则上不使用公用ID，但在业务需要时，须得到系统管理员的批准，并进行特别管理。（四）设置系统时，如业务上不需要制造商提供的ID，需及时删除或变更。（五）应删除90天以上不使用的用户ID并向有关部门报告。但在服务器系统运营上必要的而不经常用的ID除外。（六）由系统负责人授予对服务器内部信息的操作权限，系统负责人仅拥有执行服务器管理业务所需的权限，并定期检查操作权限设置是否合理。（七）发现妨碍服务器系统正常运营或阻碍别的用户使用的行为或认为 有可疑的时候，应与系统负责人协商后，可以限制或取消相关用户的权限。第五条（用户ID新增）新增用户ID52、的流程如下。（一）新增用户填写申请书，获得所属负责人的批准后，向系统负责人员申请，系统负责人员得到相关负责人的批准后执行。（二）系统负责人员应在帐户生成后立即向申请人通告新增用户ID和临时密码。（三）申请人接到通告后应立即登录，变更系统负责人员任意设置的初始 密码。第六条（用户ID的变更）用户ID的变更流程如下。（一）用户ID变更申请人先应经过所属负责人的批准，并向系统负责人员申请，系统负责人员获得相关负责人批准后执行。申请人应在申请书中写明变更申请的理由及内容等具体事宜。（二）系统负责人员应向申请人通报相关操作结果。第七条（用户ID删除）用户ID 删除流程如下。（一）对业务上不需要的用户ID53、， 经确认后填写申请书，并经所属负责人批准，并向系统负责人员申请后可删除。（二）系统负责人员在检查用户ID时，如发现有不需要的用户ID，可以申请删除相关用户ID。下列情况需删除ID：1. 人员离职2. 人员业务变更3. 特殊申请事项到期的情况（三）系统负责人员经相关负责人批准后执行。第八条（临时用户）临时用户是指外包公司人员或服务人员为提供业务支持而使用的账号， 处理程序如下。（一）新增临时用户的ID根据第五条规定处理。（二）确认本行和外包商的协议内容及协议内容上是否写明用户名。（三）对于临时用户ID必 须标记为临时用户并记录必要的业务条件。第九条（系统密码的生成和管理）（一）密码应由至少8位54、以上的数字及特殊字符构成。密码与ID 不能相 同。（二）管理员账号的密码有效期为30天，一般用户密码有效期为90天。（三）重设密码之后不能使用前一次的密码，用户尽可能不要使用过去六 个月内使用过的密码。（四）系统管理员应在系统中设置用户初次登录时必须更改初始密码。（五）用户连续三次以上输错密码后，应进行记录，并根据系统帐户管理步骤处理。第十条（密码的授予与通知）密码的授予与通知的步骤如下。1. 系统负责人确认用户本人身份后授予其密码。2. 通知密码时，不得使用电子邮件或文件方式，必须通过电话方式。3. 仅将密码通知给申请人本人。第十一条（密码安全管理） 在输入过程或保管状态中密码不可明示。1.55、 用户及管理员不得将密码可视化。2. 认为可能泄露密码时，应立即变更密码。3. 密码不能在画面上显示4. 密码应加密保存。5. 输入密码时不能显示在画面上或设置成不能识别的符号以使他人不能推测密码。6. 不得向他人泄露密码。第十二条（ROOT账号管理）（一）ROOT账号的密码应该每30天变更一次，进行系统作业维护或非ROOT账号管理员的人员知道密码后应立即变更。（二）密码变更后，应进行记录，并由 IT管理部长批准。（三）变更密码时，相关负责人应确认变更后密码的正确性，并将其保存在特定介质中，密封后经IT管理部长批准存放在物理上安全的地点。（四）特殊情况时，经IT管理部长批准，可以将密封的密码打56、开使用，使用后应变更密码。（五）原则上一般用户不能使用ROOT账号。第十三条（用户分离）对于重要系统，系统用户和程序维护人员账号应分开管理，应严格区分业务用户和非业务用户。第十四条（网络设备密码管理）网络设备（路由器、交换机、VPN等）的用户和密码管理应遵照系统用户的管理。第十五条（加密） 加密按照如下标准。（一）进行金融交易时，传送数据的过程中，对账号、帐户密码、转账密码等主要信息加密。（二）原则上加密区间应为终端到终端。但金融机构以共同开发为目的时，相关机构设置的服务器除外。（三）保存交易数据时，密码应加密储存，在交易日志中以空格或“*”代表。（四）使用由监督机构开发或认可的加密系统或程序57、。第十六条（加密控制）（一） 根据相关法律法规或安全监督机构的要求给顾客数据加密。（二） 如下情况下需加密。1. 与客户网上银行服务相关的发送、接收的信息。2. 数据库内机密的信息。（与网上银行相关密码。帐户密码）3. 为了保护信息资产，信息管理员认为需要加密的其他情况。（三） 与外部机构连接时，必要的情况下可以适用VPN技术。第十七条 （密钥一般管理）（一）在不影响业务的情况下，为保持密钥的安全性应周期性地变更密钥。（二）密钥泄露或认为有泄露的危险时，应将其变更。（三）密钥生成业务应两人（密码负责人员）以上共同进行。（四）密钥变更作业由密码负责人员直接执行。（五）密码负责人员在管理簿记录生成58、及变更内容明细，并经部长的 批准。第三章 数据库用户管理第十八条（数据库用户管理） （一）原则上不使用公用账号。但业务需要时，需经数据库管理负责人批准并进行特殊管理。（二）数据库负责人员应将数据库设置为安全状态，使一般用户无法进入数据库系统。（三）数据库负责人员应在接到业务变化或离职、退休等雇用情况变化通知时，应在获得相关负责人批准后立即删除相关ID，并对相应的权限进行调整。（四）数据库负责人员应定期检查用户ID，三个月以上未使用的应该删除。（五）为了安全，密码应使用英文和数字混用的八位以上的密码。产品的初始密码必须变更。（六）开发人员可以使用只具有查询功能的用户ID。（七）新增用户ID应填写59、申请书， 经批准后执行。应记录、管理新增用户ID及被授予的权限明细。（八）数据库用户必须通过ID和密码或强化的认证方式操作数据库管理系统。（九）数据库负责人员对可能访问数据库管理系统或数据库项目的用户进行分类管理，制作并维护记载用户类别权限范围的数据库操作权限管理目录。（十）对用户权限应定期进行审阅。（十一）用户使用数据库应遵照下列政策1. 按对象类别进行操作。2. SQL命令和特殊的命令分开操作的政策。（十二）操作权限变更应参照用户ID申请的流程。第十九条（加密及数据库安全）（一）数据库管理员应保护机密信息，通过加密保护数据库的信息。（二）通过数据库管理系统保存客户密码等重要信息或使用单独的60、加密程序加密并保存。（三）对于重要数据应采取防伪造、变造功能以保障数据的完整性。（四）对实际运用的数据进行修改需根据批准的程序或作业申请书。第四章 业务用户管理第二十条（业务用户管理） （一）业务用户ID应为职员的工号。（二）第一次登录业务系统时，应强制用户变更初始密码。（三）密码规则：英文和数字混用且密码的长度不得少于八位。（四）密码输入发生错误的次数仅限于三次，三次以上密码输入错误应自动锁定用户ID，使其不得使用。（五）根据用户的业务权限不同，对其可进行的交易进行限制。（六）重置密码时，不得使用前一次使用的密码，用户尽可能不要使用在6个月以内使用过的密码。（七）用户密码使用的最长期限不得超61、过90天，密码和ID不得相同。第十九条（密码安全）密码输入的过程与保管状态必须加密。（一）密码须加密后保存。（二）密码不得在界面上明示。（三）输入密码时应使他人不可猜测，在界面上以无法表示或不可识别的字符表示。第二十条（业务变更时）离职或分支结构迁移等原因变更用户信息时，需对用户账号进行变更或删除。第五章 PC与终端机管理第二十二条（PC、终端机的密码安全）（一）用户生成密码时不得使用下列可推测的密码。1与用户ID相同的密码2. 在词典可以找到的单词3. 与出生年月日、电话号码、名字等相同的或包含其中一部分的密码。4.规律性文字（abcd,1234,等）及键盘上连续排列（asdf,qwerty62、）等的密码。 （二）用户设定密码时，应包含数字和英文字符，长度设定为8位以上，至少每季度变更一次密码。（三）用户启动终端时设置查询密码。第二十三条（PC与终端机的保护）用户在个人电脑及终端上必须设置密码，并且用户本人离开时他人 不得使用计算机。第三部分 ICONS系统业务连续性测试报告一、 核心业务系统灾害应对系统构成说明（一）正常工作时构成图XX天津机房和各分行之间的网络采用双重（XX电信、XX网通）256k专用线，即使有一条线发生问题也能进行交易，为预防故障，系统也采用双重化构成。XX机房服务器的数据实时复制到灾害恢复中心XX灾害恢复系统。（二）灾害发生时应对方案示意图1. XX总行机房发63、生灾害时（包括发生网络故障）因天津机房发生灾害，系统和网络发生障碍时各分行和灾害恢复中心间使用非专用线的ADSL/VPN方式连接网络运行业务。因ADSL网不是专用网，为了安全应采用物理方式加密后传送数据。2. XX总行机房服务器故障时只有XX总行机房服务器发生故障时，营业点用专用线与灾害恢复中心服务器连接。各分行网络用XX联通、XX电信的电缆连接，当一条线发生问题时可使用另一条线，不会影响业务。3. 专线网络故障天津机房与各分行网络通过XX网通和XX电信的电缆连接；当只有一条线故障时，使用另一条线正常工作，不影响正常业务。但两条线均发生故障时，使用因特网连接天津服务器时，为保护数据，采用VPN64、加密连接。二、 测试目标和测试范围测试目标：灾备中心ICONS系统与数据中心ICONS系统能正常同步，且灾备中心ICONS系统能在数据中心发生故障时提供服务。测试范围：银行核心业务系统（ICONS）三、 测试过程（一） 测试时间：2009年3月28日（二） 测试过程及结果测试时间测试项目结果109:00中断服务器和网络的连接正常209:20负责人宣布灾害发生并通告灾害恢复中心正常309:40灾害恢复网(VPN)和灾害恢复系统连接正常409:50变更为灾害恢复系统的IP地址正常510:00确认灾害恢复系统数据库是否正常正常610:10确认灾害恢复系统中间件 TMAX是否正常正常710:15确认灾65、害恢复系统运营服务器是否正常正常810:50营业网点灾害恢复系统连接测试正常911:00变更灾害恢复系统IP地址正常1011:15恢复核心业务系统网络连接正常1117:25调整灾害恢复系统数据正常1217:40切断灾害恢复网(VPN)和灾害恢复系统正常1317:55灾害恢复测试终止正常（三） 测试 Log1） 灾害恢复网(VPN)和灾害恢复系统连接2) 灾害恢复系统IP变更 Log3) 灾害恢复系统连接测试(B/S查询)4) 灾害恢复系统连接测试(利率查询)5) 灾害恢复系统接入 Log（四） 测试结论灾害恢复系统连接正常，可以使用。第四部分 信息技术灾害恢复 第一章 总则第一条（目的） 本指66、南以制定营业连续性计划管理指南相关细则为目的。第二条（适用范围） 本指南适用于IT管理部及相关部门。第三条（基本原则）（一）迅速恢复营业，提供持续的客户服务。（二）以文件形式保存、管理重要事项。第四条（用语定义）（一）灾害（Disaster）：由外部原因引起的，不可预防或控制的事件，导致信息技术服务中断或超过信息系统故障预计恢复所需时间允许的范围而造成正常业务无法进行所造成的损害。（二）灾害恢复系统（Disaster Recovery System）：为保证灾害恢复计划的顺利进行，平时确保的人力、物力资源。（三）灾害恢复中心 ：为预防灾害的发生，保障业务的持续性，在异地建立的机房。（四）恢复时67、间目标：（RTO：Recovery Time Objective）因灾害而导致服务中断时开始，到恢复正常运作所允许的最长时间。第二章 灾害恢复方法第五条（灾害恢复中心位置）（一）灾害恢复中心不得设置在与机房相同的地方。但灾害恢复中心运营困难时，可将其设置在可信赖的民间灾害恢复中心。（二）灾害恢复中心的位置应综合考虑灾害应对能力和管理的便利性，选择最佳位置。（三）选址应考虑的事宜。为灾害恢复中心选址时，应考虑下列事宜。1. 确保空间：灾害恢复中心需确保充分的空间（机房、运营室、基础设施设置空间等）。2. 安全性：方便进行对外部人员的控制，能够维持物理安全，能够保障系统运营稳定性的场所。3. 经济68、性：为扩充灾害恢复中心的运营环境所需的基础设施及运营组织建设费用最少的场所。4. 扩展性：应充分考虑今后灾害恢复系统的扩张有充分的扩展空间。5. 安全性：充分考虑机房对基础设施及信息系统设施的承重能力。6. 地理及气候条件：即使发生地震，洪水等重大灾害仍可确保安全的地方。第六条（灾害恢复系统） 为保证重要系统的业务连续性，在灾害恢复中心构建灾害恢复系统，实时进行数据的备份。第七条（灾害恢复流程书）为应对灾害，通过迅速的恢复将对业务的影响最小化而制订的进行灾害恢复系统运营的流程书。第八条（恢复时间目标） 恢复时间目标指根据信息系统的不同，评估业务中断所允许时间。第九条（决定恢复优先顺序） 根据灾69、害的影响及业务允许的终端时间或信息技术资源的不同决定恢复优先顺序。第十条（应急联络） 为应对灾害发生，应建立联络流程并制作灾害恢复相关联系人与维 护商联系人联络网。第十一条（灾害恢复体系）（一）事前准备根据构建计划，确认灾害恢复系统的设备订货，网络构成，基本系统复制方式及流程等是否准备完毕。（二）数据复制进行数据的复制时应确保适当大小的网络容量，根据情况选用适当的方法。（三）测试1. 生成测试脚本 针对灾害恢复功能及数据完整性，可以进行周密的测试，根据类型不同，情况不同制订测试脚本。 2. 单元/集成测试 在运营环境中，根据计划的测试脚本，依流程实施恢复转换测试。第三章 组织及职责第十二条（组70、织构成） 明确为灾害恢复进行作业的相关小组及负责人员的责任事项及职责，对灾害恢复业务做好充分的准备。 明确各组的日常及灾害发生时的任务。灾害恢复委员会系统恢复组业务恢复组支援恢复组风险管理委员会第十三条（组织职责）（一）风险管理委员会风险管理委员会的职责根据营业连续性计划管理指南”的规定。（二）灾害恢复委员会1. 由副行长担任委员长，IT管理部长担任副委员长，各处负责人为委员。2. 日常职责及责任事项1）总体负责及监督应对灾害的灾害恢复体系及维护活动。2）根据灾害恢复系统情况进行决定。3）总体负责灾害恢复系统管理及运行。4）维护所有应急对策相关的业务协助体制。5）采取措施防止灾害发生，如对负责71、职员进行培训等。6）检查灾害恢复相关系统，检查时若有变更，应经负责人批准后进行变更。3. 灾害发生时的职责及责任1）若发生灾害应分析灾害情况并讨论决定事项，宣布灾害发生。2）指示灾害恢复系统开始运行。3）灾害发生时向银监会及相关派出机构报告。4）检查并通报总行及对外宣传事项。5）监督灾害恢复系统的运行及程序相关所有工作。6）检查、了解并批准灾害恢复战略。7）委员长不在时，由系统管理处负责人代替履行职责。（三）系统恢复组1. 由系统管理处负责人担任组长，由系统管理处职员为组员。2. 日常职责及责任事项1）开发用于灾害恢复相关系统恢复的技术程序。2）将灾害恢复体统的变更事项反映到灾害恢复流程书中，72、并向灾害恢复负责人员提供信息。3）运营、管理、报告灾害恢复系统（系统、网络、程序等）相关事项。4）进行灾害恢复演练。3. 灾害发生时的职责及责任事项1）准备和实施灾害恢复系统。2） 检查恢复后的灾害恢复系统的匹配性并为信息技术业务的重新开始做好充分的准备。3）利用灾害恢复系统为本行的电算业务正常进行提供技术支持。4）为使本行通过灾害恢复系统运行的业务能够正常进行，保持与本行业务开发组的协作体制。5）通过网络使各营业点能够进行正常的信息技术业务，应保持技术性支援体系。6）开发并实施灾害恢复中心的数据备份及相关工作。7）转换到灾害恢复系统后进行监督。（四）业务恢复组1. 由开发处负责人担任组长，开73、发处职员担任组员。2. 日常职责及责任事项1）验证、了解并熟知对于为机房的灾害恢复流程书中各业务组相关业务的恢复程序及支援任务。2）周期性检查灾害恢复系统流程书，保持并管理灾害恢复流程书为最新状态。3）检查各组业务与业务运营程序，必要时可对任务重新定义。4）进行模拟演练时，进行各开发组业务相关匹配性测试，发生问题或变更事项应向灾害恢复负责人员报告。5）特别是进行灾害恢复系统测试时，进行业务及程序相关的适当测试，向灾害恢复负责人员报告问题事项及解决方案，以便其采取措施。3. 灾害发生时的职责及责任事项1）灾害恢复系统运行时应对业务程序及数据的恢复业务提供支 持。2）对恢复业务相关程序与数据进行验74、证工作。3）为灾害恢复系统运行的程序提供技术支持。4） 向灾害恢复负责人员报告在灾害恢复系统运行的业务与相关问题、措施及解决方案。 （五）恢复支援组 1. 由信息系统企划处负责人担任组长，信息系统企划处职员担任组员。 2. 日常职责及责任事项 1）验证、了解机房相关灾害恢复流程书。 2）检查并批准在灾害恢复流程书中定义的各组任务，必要时对任务重新定义。 3）维护并管理灾害恢复系统相关应急联系网。 4）熟知机房灾害恢复计划，必要时向服务商提供灾害恢复系统相关信息。 5） 应建立机房相关灾害恢复系统或进行测试及复原时必要的设备、资金及人力的业务支持体制。 3. 灾害发生时的职责及责任事项 1）灾害75、发生时具有制定职务组织及维护、管理的责任。 2）灾害发生时，决定重要资料的转移或废弃，负责指挥业务进行。 3）灾害发生时，保持与其他部门及相关机构的联系、协作体制。 4）本行机房发生灾害时，应保持与灾害恢复指挥部的协作，为使灾害恢复系统成功运行提供支持。 5） 对构建机房相关灾害恢复系统时必要的设备及人力的提供支持。 6）评价灾害恢复系统运行及恢复程序期间的全体执行能力，向本行的灾害恢复负责人员报告并提出建议。 7）从灾害恢复负责人员处获得不包括在灾害恢复系统的业务系统的相关信息，购入必要的资源。 8）制作向内外机构提供的，灾害恢复业务进展相关资料。 9）验证并分析机房的灾害情况。 10）建立76、恢复计划，准备必要资源。11） 验证、分析本中心恢复相关问题点。第四章 执行灾害恢复演练第十四条（演练的必要性） 熟知灾害恢复系统切换及向机房恢复的过程，定期确认灾害恢复系统是否正常运行。 进行演练时，应将下列内容定为重点。（一）计划的目标（二）负责人员之间的协调及沟通（三）报告恢复流程（四）指出安全及未考虑事项（五）熟知负责人员的作用及流程第十五条（演练执行原则）（一）应制定灾害恢复演练计划，每年实施一次以上。（二）演练中发生的应改善事宜及更正，再进行演练的时候不能再发生。（三）可以根据日程定期进行，也可在需要的时候不定期的进行演练，并检查灾害恢复系统的有效性。（四）演练结束后应制作、保管灾害恢复演练结果及灾害恢复演练改善事项表。第十六条（维护管理）（一）用相关文件反映演练结果及变更内容。（二）存在变更事项时应经相关负责人批准后用相关文件反映。（三）应通过灾害恢复计划的适当性检查及职员培训，使维护管理活动顺利进行。