信息安全風(fēng)險(xiǎn)過程控制管理

風(fēng)險(xiǎn)過程控制管理第五十六條應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評估與監(jiān)測程序，審慎管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高我司對外包管理的能力。第五十七條.信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)當(dāng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并應(yīng)建立針對外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃。第五十八條應(yīng)與外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更，保證外包服務(wù)不間斷的應(yīng)急預(yù)案。第五十九條將敏感的信息系統(tǒng)，以及其他涉及商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進(jìn)行外包時(shí)，應(yīng)遵守國家有關(guān)法律法規(guī)，符合有關(guān)規(guī)定，經(jīng)過董事會(huì)或其他決策機(jī)構(gòu)批準(zhǔn)，并在實(shí)施外包前報(bào)法律法規(guī)規(guī)定需要報(bào)告的機(jī)構(gòu)備案。第七章審計(jì)第六十條內(nèi)設(shè)審計(jì)部門負(fù)責(zé)我司信息系統(tǒng)審計(jì)，也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。第六十一條,信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)應(yīng)包括：總體風(fēng)險(xiǎn)審計(jì)、系統(tǒng)審閱和專項(xiàng)風(fēng)險(xiǎn)審計(jì)。第六十二條總體風(fēng)險(xiǎn)審計(jì)是指對所有信息系統(tǒng)共有的公共局部進(jìn)行審計(jì)，實(shí)施總體風(fēng)險(xiǎn)控制。根據(jù)信息系統(tǒng)的總體風(fēng)險(xiǎn)狀況確定審計(jì)頻率，但至少每3年審計(jì)一次。第六十三條.信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)、運(yùn)行及退出的全過程進(jìn)行審計(jì)，分投產(chǎn)前與投產(chǎn)后的審閱。第六十四條投產(chǎn)前的系統(tǒng)審閱是指審計(jì)人員采用非現(xiàn)場形式,對信息工程開發(fā)過程中所提交的有關(guān)文檔資料進(jìn)行審閱，指出其中存在的風(fēng)險(xiǎn)，了解是否具有相應(yīng)的控制措施，并提出評價(jià)和建議的過程。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置、正確性、連貫性、完整性、可審計(jì)性和及時(shí)性等內(nèi)容。投產(chǎn)前的系統(tǒng)審閱重點(diǎn)：（一）被外界成功攻破的可能性；（二）在內(nèi)部安全控制方面的設(shè)計(jì)漏洞與缺陷；（三）工程開發(fā)管理方面的問題；（四）效率與效能；（五）功能、設(shè)計(jì)和工作流程是否符合法律、法規(guī)和內(nèi)部控制方面的規(guī)定并有連續(xù)兼容性；（六）其他需重點(diǎn)審閱的內(nèi)容。第六十五條投產(chǎn)前的系統(tǒng)審閱文檔資料包括：（一）工程可行性報(bào)告；（二）工程需求說明書；（三）工程功能說明書（包括業(yè)務(wù)與技術(shù)方面存在的風(fēng)險(xiǎn)及控制辦法）；（四）工程總體技術(shù)框架；（五）工程設(shè)計(jì)說明書；（六）工程實(shí)施計(jì)劃；（七）與第三方簽訂的外包協(xié)議；（八）測試計(jì)劃及驗(yàn)收報(bào)告；（九）投產(chǎn)計(jì)劃；（十）工程開發(fā)例會(huì)的會(huì)議記錄；（十一）操作手冊；（十二）其他需審閱的文檔資料。對于所含內(nèi)容較多的文檔資料，應(yīng)對關(guān)鍵交易的數(shù)據(jù)處理流程、交易接口和其他重要的安全事項(xiàng)進(jìn)行審閱。第六十六條投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時(shí)間后進(jìn)行的審計(jì)，旨在評估對信息系統(tǒng)各項(xiàng)風(fēng)險(xiǎn)的控制是否恰當(dāng)，能否實(shí)現(xiàn)預(yù)定的設(shè)計(jì)目標(biāo)。投產(chǎn)后的系統(tǒng)審閱應(yīng)在信息系統(tǒng)投入生產(chǎn)半年后進(jìn)行，審計(jì)報(bào)告應(yīng)對被審計(jì)的信息系統(tǒng)提出改進(jìn)或增加風(fēng)險(xiǎn)控制、能否繼續(xù)生產(chǎn)等內(nèi)容的審計(jì)建議。第六十七條信息系統(tǒng)專項(xiàng)風(fēng)險(xiǎn)審計(jì)是指對被審計(jì)單位發(fā)生信息安全事故進(jìn)行的調(diào)查、分析和評估，或原有信息系統(tǒng)進(jìn)行重大結(jié)構(gòu)調(diào)整的審計(jì)，或?qū)徲?jì)部門認(rèn)為需要對信息系統(tǒng)某項(xiàng)專題進(jìn)行審計(jì)。第六十八條.信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)也可以依據(jù)法律、法規(guī)和規(guī)章，委托并授權(quán)有法定資質(zhì)的中介評估機(jī)構(gòu)進(jìn)行。第六十九條中介機(jī)構(gòu)根據(jù)授權(quán)進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書,并依照委托授權(quán)書上規(guī)定的委托和授權(quán)范圍進(jìn)行審計(jì)。第七十條中介機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告經(jīng)國家有關(guān)部門審閱確定后具有法律效力，我司應(yīng)對該審計(jì)報(bào)告在法定時(shí)間內(nèi)提出整改意見，并按審計(jì)報(bào)告中提出的建議進(jìn)行及時(shí)整改。第七十一條.中介機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行法律法規(guī)，保守被審計(jì)單位的商業(yè)秘密和風(fēng)險(xiǎn)信息。審計(jì)過程中所有涉及資料的調(diào)閱應(yīng)有交接手續(xù)，并不得帶離現(xiàn)場或進(jìn)行修改、復(fù)制。第八章附那么第七十二條本手冊由安全小組負(fù)責(zé)解釋、修訂。第七十三條本手冊自公布之日起施行。目錄TOC\o"1-5"\h\z第一章總那么85第二章機(jī)構(gòu)職責(zé)85第三章總體風(fēng)險(xiǎn)控制86第四章研發(fā)風(fēng)險(xiǎn)控制89第五章運(yùn)行維護(hù)風(fēng)險(xiǎn)控制90第六章外包風(fēng)險(xiǎn)控制91第七章審計(jì)92第八章附那么94第一章總那么第一條為有效防范信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)我司業(yè)務(wù)、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)，制定本手冊。第二條本手冊適用于公司各部門。第三條本手冊所稱信息系統(tǒng)，是指利用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。本手冊所稱信息系統(tǒng)風(fēng)險(xiǎn)，是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。第五條信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評價(jià)、預(yù)警和控制，推動(dòng)我司業(yè)務(wù)創(chuàng)新,提高信息化水平，增強(qiáng)核心競爭力和可持續(xù)開展能力。第二章機(jī)構(gòu)職責(zé)第六條應(yīng)建立有效的信息系統(tǒng)風(fēng)險(xiǎn)管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息系統(tǒng)風(fēng)險(xiǎn)。第七條應(yīng)認(rèn)真履行以下信息系統(tǒng)管理職責(zé)：（一）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)相關(guān)監(jiān)管要求；（二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風(fēng)險(xiǎn)管理崗位責(zé)任制度，并監(jiān)督落實(shí)；（三）定期對信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行檢查、評估、分析，及時(shí)報(bào)送相關(guān)的管理信息；（四）及時(shí)報(bào)告發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng)；（五）每年經(jīng)董事會(huì)或其他決策機(jī)構(gòu)審查后報(bào)送信息系統(tǒng)風(fēng)險(xiǎn)管理的年度報(bào)告；

（六）做好信息系統(tǒng)審計(jì)工作；（七）做好信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改;（八）進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn)；（九）開展與信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)的其他工作。第八條董事會(huì)或總經(jīng)理負(fù)責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大工程和風(fēng)險(xiǎn)監(jiān)督管理；科技部和安全小組制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)工程建設(shè)，定期評估、報(bào)告信息系統(tǒng)風(fēng)險(xiǎn)狀況，為決策層提供建議，采取相應(yīng)的風(fēng)險(xiǎn)控制措施。第九條總經(jīng)理是信息系統(tǒng)風(fēng)險(xiǎn)管理責(zé)任人。第十條設(shè)立科技部，統(tǒng)一負(fù)責(zé)信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控，提供日常科技服務(wù)和運(yùn)行技術(shù)支持；建立或明確專門信息系統(tǒng)風(fēng)險(xiǎn)管理部門，建立、健全信息系統(tǒng)風(fēng)險(xiǎn)管理規(guī)章、制度，并協(xié)助業(yè)務(wù)部門及科技部門嚴(yán)格執(zhí)行，提供相關(guān)的監(jiān)管信息；設(shè)立安全部門，建立健全信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)制度，配備適量的合格人員進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)。第十一條從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求：（一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識(shí)和技能；（二）未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗；經(jīng)考核不適宜的工作人員，應(yīng)及時(shí)進(jìn)行調(diào)整。第十二條應(yīng)加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理的專業(yè)隊(duì)伍建設(shè)，建立人才激勵(lì)機(jī)制，適應(yīng)信息技術(shù)的開展。第十三條應(yīng)依據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況。第三章總體風(fēng)險(xiǎn)控制第十四條總體風(fēng)險(xiǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、第十四條總體風(fēng)險(xiǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。第十五條應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險(xiǎn)管理策略，按照信息系統(tǒng)的敏感程度對各個(gè)集成要素進(jìn)行分析和評估，并實(shí)施有效控制。第十六條應(yīng)采取措施防范自然災(zāi)害、運(yùn)行環(huán)境變化等產(chǎn)生的安全威脅，防止各類突發(fā)事故和惡意攻擊。第十七條應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)。第十八條應(yīng)防范由于外埠信息系統(tǒng)監(jiān)管制度差異等造成的跨地域風(fēng)險(xiǎn)。第十九條應(yīng)嚴(yán)格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國際準(zhǔn)那么，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，實(shí)行信息安全等級保護(hù)。第二十條應(yīng)加強(qiáng)對信息系統(tǒng)的評估和測試，及時(shí)進(jìn)行修補(bǔ)和更新，以保證信息系統(tǒng)的安全性、完整性。第二H"?一條.機(jī)房應(yīng)符合國家有關(guān)計(jì)算機(jī)場地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)。機(jī)房應(yīng)實(shí)行嚴(yán)格的門禁管理措施，未經(jīng)授權(quán)不得進(jìn)入。第二十二條應(yīng)重視知識(shí)產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理，優(yōu)先使用具有中國自主知識(shí)產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)產(chǎn)品，并采取有效措施保護(hù)信息化成果。第二十三條.與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報(bào)廢等應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證,測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)?shù)膫淦穫浼５诙臈l.信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴(yán)格線路租用合同管理，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。第二十五條應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離；加強(qiáng)無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)。第二十六條.應(yīng)加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。密鑰、密碼應(yīng)定期更改。第二十七條應(yīng)加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的有效管理，不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù)；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴(yán)格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫,采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性、保密性。第二十八條應(yīng)對信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、喪失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，嚴(yán)格審批和登記手續(xù)。第二十九條.應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案，并定期演練、評審和修訂。省域以下數(shù)據(jù)中心至少實(shí)現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實(shí)現(xiàn)異地?cái)?shù)據(jù)實(shí)時(shí)備份，全國性數(shù)據(jù)中心實(shí)現(xiàn)異地災(zāi)備。第三十條應(yīng)加強(qiáng)對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保存副本并異地存放，按規(guī)定年限保存，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)。信息系統(tǒng)的技術(shù)文檔資料包括：系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運(yùn)行、維護(hù)過程中形成的各類技術(shù)資料。重要數(shù)據(jù)包括：交易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶數(shù)據(jù)，以及產(chǎn)生的報(bào)表數(shù)據(jù)等。第三十一條.在信息系統(tǒng)可能影響客戶服務(wù)時(shí)，應(yīng)以適當(dāng)方式告知客戶。

第四章研發(fā)風(fēng)險(xiǎn)控制第三十二條研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。第三十三條.信息系統(tǒng)研發(fā)前應(yīng)成立工程工作小組，重大工程還應(yīng)成立工程領(lǐng)導(dǎo)小組，并指定負(fù)責(zé)人。工程領(lǐng)導(dǎo)小組負(fù)責(zé)工程的組織、協(xié)調(diào)、檢查、監(jiān)督工作。工程工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負(fù)責(zé)整個(gè)工程的開發(fā)工作。第三十四條,工程工作小組人員應(yīng)具備與工程要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專業(yè)技術(shù)知識(shí)，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力，保證信息系統(tǒng)研發(fā)質(zhì)量和進(jìn)度。第三十五條業(yè)務(wù)部門根據(jù)業(yè)務(wù)開展戰(zhàn)略，在充分進(jìn)行市場調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)工程可行性報(bào)告。第三十六條業(yè)務(wù)部門編寫工程需求說明書，提出風(fēng)險(xiǎn)控制要求,信息科技部門根據(jù)工程需求編制工程功能說明書。第三十七條信息科技部門依據(jù)工程功能說明書分別編寫工程總體技術(shù)框架、工程設(shè)計(jì)說明書，設(shè)計(jì)和編碼應(yīng)符合工程功能說明書的要求。第三十八條.應(yīng)建立獨(dú)立的測試環(huán)境，以保證測試的完整性和準(zhǔn)確性。測試至少應(yīng)包括功能測試、安全性測試、壓力測試、驗(yàn)收測試、適應(yīng)性測試。測試不得直接使用生產(chǎn)數(shù)據(jù)。第三十九條信息科技部門應(yīng)根據(jù)測試結(jié)果修補(bǔ)系統(tǒng)的功能和缺陷，提高系統(tǒng)的整體質(zhì)量。第四十條業(yè)務(wù)人員、技術(shù)人員應(yīng)根據(jù)職責(zé)范圍分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃，并進(jìn)行演練。第四H第四H■"一條開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認(rèn)并歸檔保存。第四十二條工程第四十二條工程驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的工程驗(yàn)收報(bào)告，驗(yàn)收不合格不得投產(chǎn)使用。第五章運(yùn)行維護(hù)風(fēng)險(xiǎn)控制十三條運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。十三條運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操第四十四條信息系統(tǒng)運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)別離，運(yùn)行人員應(yīng)實(shí)行專職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)，除應(yīng)急外，其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行。第四十五條信息系統(tǒng)的運(yùn)行應(yīng)符合以下要求：（一）制定詳細(xì)的運(yùn)行值班操作表，包括規(guī)定巡檢時(shí)間，操作范圍、內(nèi)容、方法、命令以及負(fù)責(zé)人員等信息；（二）提供常見和簡便的操作菜單或命令，如信息系統(tǒng)的啟動(dòng)或停止、運(yùn)行日志的查詢等；（三）提供機(jī)房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運(yùn)行、系統(tǒng)運(yùn)行等監(jiān)控信息;（四）記錄運(yùn)行值班過程中所有現(xiàn)象、操作過程等信息。第四十六條信息系統(tǒng)的維護(hù)應(yīng)符合以下要求：（一）除對信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護(hù)外，對軟件或數(shù)據(jù)的維護(hù)必須通過特定的應(yīng)用程序進(jìn)行，添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端，不得對數(shù)據(jù)庫進(jìn)行直接操作；（二）具備各種詳細(xì)的日志信息，包括交易日志和審計(jì)日志等，以便維護(hù)和審計(jì)；（三）提供維護(hù)的統(tǒng)計(jì)和報(bào)表打印功能。第四十七條信息系統(tǒng)的變更應(yīng)符合以下要求:（一）制訂嚴(yán)密的變更處理流程，明確變更控制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無授權(quán)不得進(jìn)行變更操作；（二）根據(jù)變更需求、變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性；（三）應(yīng)采用軟件工具精確判斷變更的真實(shí)位置和內(nèi)容，形成變更內(nèi)容核