金融机构系统运行管理制度

1. 系统运行管理

为了确保社会保障信息系统的安全运行，应成立系统运行管理部门。对系统运行进行统一的组织、协调和实施。管理部门的职能包括计算机及其外部设备的维护、社会保障网络平台的安全、社会保障各应用系统的版本控制、各项管理制度的实施等。

图6-12 系统运行管理部门职能图

6.4.5.1 网络平台管理

（1）信息中心管理制度建议。省市各地的为“大社保”所建的信息中心（虚拟机构，目前不存在）是社会保障信息系统的各种网络设备、服务器设备的集中地点，系统的关键设备都安放在信息中心内，对其管理的好坏，直接影响着整个系统的运行。为了保证整个系统高效的运行，需要建立信息中心管理制度。

图6-13 管理制度的详细分类图

针对社会保障信息系统提出以下建议，建议用户在建立信息中心管理制度时在具体制度中包括以下几个方面。

规定每个管理人员的职责。在社会保障信息系统中，采用许多设备，并同时运行多个系统，需要的管理维护人员不止一人，因此，对于系统的各个管理人员，应明确每个人的具体职责，除非经过指定的领导批准，禁止管理人员在工作中做超越本人工作职责的工作。

建立管理日志。如同计算机系统的管理日志一样，在对计算机中心机房进行管理的过程中，由于需要根据系统运行的情况和需求，对系统的有关参数、软件设置等进行修改。为便于管理，需要建立相应的管理日志，在日志中需要每个计算机中心机房管理人员登记进出计算机机房的时间、工作内容、对系统操作的修改以及工作中遇到的异常情况、设备故障情况、处理结果等进行记录，留案备查。

机房设备检查制度。建立中心机房设备检查制度。定期对计算机中心机房的各种硬件设备、供电情况、专线设备情况、软件运行情况、空调、房屋情况进行检查，并对检查情况进行记录，及时发现和排除影响系统运行的各种隐患。

中心机房资料管理。在计算机中心机房中，会存放一些系统运行、维护以及相关设备的资料、软件、光盘等，应指定专门的管理人员，建立中心机房资料管理档案，对其进行管理。

加强中心机房卫生环境管理。制定管理制度，定期、定人对中心机房卫生环境进行清理，保证系统设备及系统的正常运行。

限制人员的进入。计算机中心是社会保障信息系统的关键部位，为了加强管理，对进出计算机中心的人员要加以限制，与计算机中心工作无关的人员，应设定相应的制度限制其进入，对违反规定的人员，按照规定进行处罚。

（2）计算机中心安全管理制度建议。面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。因此诸多不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起领导的重视。

安全管理原则。信息处理系统的安全管理主要基于三个原则：①多人负责原则，每项与安全有关的活动都必须有两人或多人在场，这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作；②任期有限原则，一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的；③职责分离原则，除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

安全管理的实现。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，具体工作是：①确定该系统的安全等级；②根据确定的安全等级，确定安全管理的范围；③制订相应的中心机房管理制度。对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；④制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；⑤制订完备的系统维护制度，当内部人员对设备维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录，维护完毕口令需及时更换；⑥制订应急措施，要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小；⑦建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。

6.4.5.2 培训计划

人员培训作为社会保障信息系统工程实施的一个重要环节，对整个项目至关重要。为了确保社会保障信息系统在使用中稳定、高效率的工作，应在对系统技术特点、客户人员状况以及项目实施计划进行具体分析的基础上，针对网络的管理、维护、应用以及日常故障的处理，提供了一系列行之有效的培训实施方案。并针对工程的特点设计专用教材，结合具有教学经验的教员进行培训。还应按照此方案对社会保障信息系统工作人员提供全面、系统、专业及高质量的培训。

培训力求使社会保障信息系统中更多的用户接受到一系列系统的培训并掌握应有的网络工作技能后再进行工作，以确保网络的安全、稳定、高效运行。

图6-14 项目培训流程图

在社会保障信息系统工程中，提供的培训分为项目预培训和项目过程培训。

（1）工程理论培训。工程理论培训是在整个项目设备安装实施前进行的专业技术培训，采取集中培训的方式进行。这种培训是承建方为社会保障信息系统用户安排的教室培训。课程主要讲述相关系统的基本原理、设备的安装配置及网络的安全维护等方面的技术。此培训的特点为：学员能在良好的计算机环境下仿真实际网络状况参加培训，边上机边授课。此培训正规、封闭、上机环境良好、学员上课专心。培训完成后，客户可以掌握计算机网络相关设备的基本操作，并可以通过仿真教学实现对实际网络一般故障的维护。从而，保障系统安全、高效的运行。

培训内容分为系统管理员培训和操作人员培训。培训课程包括服务器及操作系统培训，客户机操作系统培训，双机集群系统管理，网络设备培训，网络管理系统培训，网络安全技术培训，数据库管理系统培训，应用软件维护培训，应用软件操作培训。承建方应为客户方提供教师来完成培训任务，培训教师均具有三年以上的教学经验。培训地点由承建方和客户方共同商议确定。

（2）工程现场培训。承建方在与客户方签订合同后，在进行设备安装调试时进行现场培训。由安装调试工程师担任培训教师在安装现场负责完成培训任务。工程现场培训的主要内容包括以下方面：

数据库服务器双机群集系统设备的安装和测试，设备参数的配置和调试，设备的日常使用和维护；数据库系统的安装，配置、调试；应用服务器设备的安装和测试，设备参数的配置和调试，设备的日常使用和维护；服务器操作系统的安装、调试、配置；呼叫自动应答系统设备的安装和测试，设备参数的配置和调试，设备的日常使用和维护；路由器设备的安装和测试，设备参数的配置、设置、调试，设备的日常使用和维护；拨号访问服务器的安装和测试，设备参数的配置、设置、调试，设备的日常使用和维护；网络交换机设备的安装和测试，设备参数的配置和调试，设备的日常使用和维护；防火墙系统的安装和测试，设备参数的配置和调试，设备的日常使用和维护；个人计算机的安装和测试，网络参数的配置和调试，设备的日常使用和维护；打印机的安装和测试，网络参数的配置和调试，设备的日常使用和维护；扫描仪的安装和测试，设备的日常使用和维护方法；数码相机的使用；IC卡读写设备的使用、安装以及维护方法、使用中的注意事项；UPS设备的安装和测试，设备参数的配置和调试，设备的日常使用和维护；社会保障信息管理系统各应用软件子系统的安装和配置，日常使用和维护；网络系统集成、调试、维护和管理；网络中日常故障的排除；网络综合问题答疑等。

2. 系统运行管理制度的主要内容

1．运行管理制度
(1)各类机房安全运行管理制度
(2)信息系统相关的其他管理制度
2．日常运行管理内容
(1)系统运行情况的记录
(2)审计踪迹
(3)审查应急措施的落实
(4)系统资源的管理
3．系统软件及文档管理
(1)系统软件的管理除日常维护以外，还包括版本更新和升级等
(2)信息系统文档的管理

3. 简述系统运行管理制度的主要内容

为保证计算机管理信息系统的正常运行，必须建立一整套运行管理制度，这套管理制度主要应当包括：
1.系统操作员操作制度
系统操作员主要职责是负责中心机房的管理、系统数据的备份/恢复、共享数据的管理等，在系统操作运行中起到主要的作用。

2.子系统操作员操作制度
子系统操作员负责子系统的管理与操作，该制度应规定各子系统终端室(或工作站) 的工作环境要求、正常工作职责及处理细则。系统操作员、子系统操作员应每日填写工作日志。

3.计算机机房管理制度
如规定保证机房安全和清洁，使计算机能正常运行的各种措施；规定上机操作规程，以及意外事故发生的处理办法等。

4.文档管理制度
规定文档管理人员的职责、文档保存、借阅、修改的管理细则。
5.应用软件维护制度

4. 银行业金融机构信息系统风险管理指引的第五章　运行维护风险控制

第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；
（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；
（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；
（四）记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；
（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；
（三）提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；
（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；
（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；
（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。