最新动态
您所在的位置:今天分享内容:日志管理、生产数据管理、员工安全行为准则三个小章节。
日志管理
一、概述
1.日志管理的定义和目标
为了加强数据中心生产系统日志管理,规范生产系统日志的开启、备份、检查和审计等管理策略,根据《商业银行信息科技风险管理指引》《信息系统安全等级保护基本要求》(GB/T2239-2008),参考海外监管要求,制订《数据中心日志管理规范》。
2.建设背景及发展历程
2013年,建立《数据中心日志管理规范》,每年进行修订。
二、流程及运作
1.角色和职责
日志管理职责部门应按照制度要求,承担各自维护领域日志的管理职责。团队应结合实际工作情况,制订相应的日志实施细则与日志开启策略配置标准;开展对维护领域内各类日志的开启、保存、备份、清理和检查工作;负责将维护领域内的安全日志导入到安全审计服务器;配合审计人员完成日志审计工作,确保日志管理的合规性。
2.日志管理流程的流程环节和关键活动介绍绍(流程的触发、输入和输出)
为保障有效的内部控制、解决系统故障并满足审计需要,生产系统日志的管理应遵循以下要求:日志开启和访问控制管理要求,日志备份管理要求和检查管理要求。
3.日志管理流程与其他流程的接口或集成
涉及的实施细则包括以下几项:
(1)《数据中心主机系统日志实施细则》。
(2)《数据中心主机数据库及中间件日志实施细则》。
(3)《数据中心网络日志实施细则》。
(4)《数据中心设备环境日志实施细则》。
(5)《数据中心应用日志实施细则》。
(6)《数据中心开放平台日志实施细则》。
(7)《数据中心X86平台系统统日志实施细则》。
(8)《数据中心入侵检测日志实施细则》。
4.日志管理流程的运作机制
生产系统日志的管理应遵循以下要求:日志开启和访问控制管理要求、日志备份管理要求和检查管理要求。
5.日志管理流程管理工具的介绍
日志审计服务器被用于存储、分析重要安全日志,以便监控数据中心日常生产运维活动顺利进行。
三、绩效管理
1.指标设置
(1)指标名称:监管检查提出的日志管理问题数。
(2)指标定义:本年度监管检查提出的日志管理问题数。
2.考核
(1)考核方式:符合性指标。
(2)考核频率:定期执行。
(3)考核阈值:根据数据中心实际情况设置。
3.日志管理流程的文化建设
数据中心建立并维护日志管理配置表,每年组织相关部门对其进行更新。数据中心对网络入侵检测日志进行抽检,每月编制报告,并将日志管理纳入相关部门的自查范围。数据中心还应将日志管理融入到日常工作之中,提高各部门对于日志管理相关工作的认识与了解。
四、持续改进
1.近三年的持续改进简述
按照职能变化、上级制度的调整以及执行中发现的问题每年修订、持续优化流程。
2.遇到的问题风险和处置措施
无。
3.未来展望
通过引入自动化工具进一步提高对日志内容的关联分析,更加有效地发挥日志在生产问题处理、生产系统恢复、运维风险规避、应用系统优化、安全审计等方面的作用。
生产数据管理
一、概述
1.生产数据管理的定义和目标
为规范数据中心日常生产运维活动对生产数据整个生命周期的行为,包括生成、获取、存储、传输、备份、恢复、使(借)用、清理以及存储介质的转储、抽检、报废和销毁各环节,确保A银行生产数据的保密性、完整性、可审计性、可追溯性及一致性,根据《商业银行信息科技风险管理指引》《商业银行数据中心监管指引》等监管要求和《A银行股份有限公司生产数据安全管理办法》《A银行股份有限公司信息系统敏感信息保护管理办法》《A银行股份有限公司海外数据保护实施指引》《A银行股份有限公司数据脱敏管理规范范》等行内制度,制订《数据中心生产数据管理规范》数据中心生产数据备份管理细则》《数据中心生产数据恢复管理细则》《数据中心生产数据使用管理细则》和《数据中心生产数据销毀管理细则》。
2.建设背景及发展历程
·2012年,建立《数据中心生产数据管理规范》。
·2013年,建立《数据中心生产数据备份管理细则》《数据中心生产数据恢复管理细则》《数据中心生产数据使用管理细则》《数据中心生产数据销毁管理细则》,每年对其进行修订。
二、流程及运作
1.角色和职责
(1)生产安全管理部负责生产数据管理规范的制订和修订工作,以及生产数据管理情况的审计工作。
(2)技术管理部从技术上整体管理和评审生产数据备份、恢复、清理、销毁等方案,指导各技术部门的工作实施。
(3)各应用维护部门、系统管理一部、系统管理二部、系统管理三部、网络通信、设备环境、同城灾备中心运营部门根据各自职能,负责以应用系统为单位,制订具体、完整、可操作的生产数据备份、恢复、清理、销毁方案,并且负责对上述方案进行可用性评估和优化。
(4)生产运行部负责制订生产数据备份实施方案,负责应用类生产数据备份的具体执行,负责保存各种存储介质记录,负责建立生产数据恢复和备份数据抽检策略。
5)生产调度中心负责组织协调涉及多系统应用类数据恢复至准生产环境或投产准备环境的生产活动。
(6)总控中心负责制订办公网与生产网间生产数据交换管理制度并确保生产数据交换的安全性。
(7)办公室负责对回收的存储介质进行焚烧、粉碎,对弃置纸张、设备和介质的销毁方进行合理管控,防止生产数据泄漏。
(8)员工需严格履行以下生产数据管理的职责。
·应在获得授权后处理生产数据,确保生产数据安全,不得违规外泄,不得直接或者变相转让获得的生产数据,不得将生产数据用于营利性活动。
·应在生产数据变更过程进行严格授权审批,并遵守数据中心生产变更管理规范。
·不得盗用、传播他人账号、密码,不得索要、使用他人账号、密码,严禁共享账号、密码。
·应妥善保存涉密存储设备及涉密文档,禁止托运、随身携带涉密便携机。
·不得在未采取保密措施的情况下,传送涉密信息的纸件;不得擅自在内部局域网架设无线接入点。
2.生产数据管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)
(1)生产数据管理按照生产数据生命周期进行,根据生产数据分类及所处生产周期阶段,对数据的使(借)用、备份、恢复、清理、销毁等方面进行规范管理,保证生产数据的保密、完整、可追溯、可审计和一致性,保护生产数据在存储、传输、处理过程中不被泄漏、破坏及免受未授权的修改。
(2)生产数据管理应以业务为中心,数据生命周期架构应与主要业务流程相匹配,并与应用系统及商业目标保持一致。同时,数据生命周期架构应满足业务连续、灾难恢复的要求。
(3)生产数据管理应以法律、法规和制度为基础,生产数据的保存年限、存储方式、可接触人员受到政府法规、银行业监管规定、A银行制度的管制需要确保生产数据生命周期的实施与管理方案能够达到政策、法规和制度的要求。
(4)生产数据访问授权以“必须知道”和“最小授权”为原则,防止生产数据被非授权访问或篡改。
(5)生产数据备份方案应考虑原始数据、灾备环境同步数据同时损坏以及软件、硬件环境发生变化时,生产数据的可恢复性,方案还应保证数据恢复满足应用系统可用性等级和监管的时效性要求。
(6)生产数据管理应具备可审计原则,对敏感信息的交付、脱敏、销毀等关键环节应有有效、完整的记录,以便日常检査与审计。
3.生产数据管理流程与其他流程的接口或集成
《数据中心生产数据备份管理细则数据中心生产数据恢复管理细则》《数据中心生产数据使用管理细则》《数据中心生产数据销毁管理细则》。
4.生产数据管理流程的运作机制
规范数据中心日常生产运维活动中对生产数据整个生命周期的行为,包括生成、获取、存储、传输、备份、恢复、使(借)用、清理以及存储介质的转储、抽检、报废和销毁各环节。
5.生产数据管理流程管理工具的介绍
目前暂无管理工具。
三、绩效管理
1.指标设置
(1)指标名称1:数据使用授权合规率。
指标名称2:备份策略完备率。
指标名称3:A5类应用系统备份恢复验证率。
指标名称4:数据恢复清理合规率。
(2)指标定义1:抽检合规的已授权数据使用服务请求数/抽检总数。
指标定义2:制订了备份策略的业务系统数/业务系统总数。
指标定义3:本年度执行备份恢复验证的A5类应用系统数/A5类应用系
统总数。
指标定义4:抽查合规的已关闭部门间服务请求数抽检总数。
2.考核
(1)考核方式:量化考核。
(2)考核频率:定期执行。
(3)考核阈值:根据数据中心实际情况设置。
3.生产数据管理流程的文化建设
数据中心建立并维护各种数据类操作记录(包括服务请求、变更、生产数据备份策略表、待销毁存储介质入库登记表等),按季度编写抽检报告和规范执行情况报告,并将数据管理纳入相关部门的自查范围。数据中心将数据管理融入到日常工作之中,提高各部门对于数据管理相关工作的认识与了解。
四、持续改进
1.近三年的持续改进简述
按照职能变化、上级制度规范的调整以及执行中发现的问题每年修订、持续优化流程。
2.遇到的问题风险和处置措施
无。
3.未来展望
建立生产数据管理工具。
员工安全行为准则
一、概述
1.员工安全行为准则的目标
员工安全行为准则是员工日常行为的基本安全准则,其目标是规范员工的行为,提升员工的信息安全意识,提高员工识别和抵御日常工作中存在的安全威胁的能力,最大限度降低人为操作风险。准则还帮助每个员工树立正确的安全意识,不断强化安全意识,使其成为一种习惯,最终自觉把安全意识贯彻到日常工作中。
2.建设背景及发展历程
(1)建设背景:根据ISO20000及ISO27001国际标准要求,建立员工安全行为准则流程。
(2)发展历程
2012年,根据ISO20000国际标准要求,建立员工安全行为准则并持续改进运行至今。
二、流程及运作
员工安全行为准则包括总则和分则两个部分,总则从依法合规、履职尽责、信息保密三个方面强调了总体要求;分则包括日常办公类、生产维护类安全要求,每一条要求都具体到员工的日常工作中。
主要通过培训和手册向全体员工宣传贯彻员工行为准则,新入职员工将接受首次的员工行为准则培训,明确知晓数据中心的基本工作常识,知晓安全管控的要点和其应遵循的基本要求。
三、绩效管理
无。
四、持续改进
1.近三年的持续改进简述
员工行为准则制订发布以来,经过一次修订。通过培训和宣传员工行为准则,新老员工掌握了基本的数据中心安全规定和要求,在思想上、行动上建立了信息安全保护的意识,为数据中心安全运维发挥了积极作用。
2.未来展望
员工行为准则是数据中心人人必须知晓和遵守的最基本要求,需要被长期贯彻并落实,同时,随着新技术的应用和管理要求的调整,其将不断被完善和优化,为A银行生产系统安全可靠运行提供有力保障。
免费精彩视频课
《数据中心供电系统的构成》
打开方式1:识别下方二维码,报名观看视频
打开方式2:关注“数据中心人才基地”公众号→打开DC成长吧→点击右上角搜索课程名称
看完还可以分享给小伙伴哦!
