1信息系统管理制度.docx

资源描述

1信息系统管理制度.docx

《1信息系统管理制度.docx》由会员分享，可在线阅读，更多相关《1信息系统管理制度.docx（13页珍藏版）》请在冰豆网上搜索。

1信息系统管理制度.docx

1信息系统管理制度

信息系统管理制度

新疆友好（集团）股份有限公司内部控制体系

2012年7月1日发布

信息系统管理制度

共3章

第一章总则

第二章外购调试

第一节日常系统购进及安装

第二节重大系统购进及安装

第三章信息系统的运行与维护管理

第一节机房管理办法

第二节系统的日常巡检、维护

第三节系统变更

第四节信息安全管理

第四章信息系统的应用控制（作业层）

第一节输入控制

第二节处理控制

第三节输出控制

第一章总则

第1条为促进集团有效实施内部控制，保障集团计算机系统正常、稳定、安全运行，信息管理部根据内部控制的要求，特制定《信息系统管理制度》。

第2条《信息系统管理制度》主要分为“外购调试”、“信息系统的运行与维护管理”和“信息系统的应用控制（作业层）”三个章节。

通过对各涉及信息系统管理流程的规范和控制，防范经营风险，全面提升企业现代化管理水平。

第二章外购调试

第一节日常系统购进及安装

第3条需要购进日常计算机设备的业务部门，根据业务需要，由该部门负责人提出相应的购进需求，并将需求报告提交给该部门上级主管领导，主管领导审核完毕后，将审核结果发送给资产部部长。

第4条资产部部长对业务部门的购进需求进行审核，确定购进是否需要，审核完成，将审核结果转回需求部门负责人，由需求部门负责人填写固定资产购置申请验收表。

第5条需求部门参照固定资产购置申请验收表,对购进的设备进行验收。

第6条系统验收后，由信息管理部系统管理员对购进的计算机设备进行调试及安装。

第二节重大系统购进及安装

第7条请参照《资产部项目工程购进及安装条例》。

《工程项目管理制度》执行

第三章信息系统的运行与维护管理

第一节机房管理办法

第8条机房出入管理

1、信息管理部机房是集团的数据网络中心，包括服务器、核心交换机、核心路由器等重要网络设备，严禁非信息管理部人员进入机房，如遇特殊情况，需经信息管理部主管批准，并在系统管理员的陪同下方可进入。

2、进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

3、系统管理员对进入机房的人员进行登记，详细记录进入机房人员的姓名、部门、进入时间、进行操作的相关内容。

第9条机房安全管理

1、系统管理员对核心设备的运行状况进行实时监控，做好设备运行记录,发现异常情况应立即报告机房主管或技术总监。

2、严格执行密码管理规定，系统管理员定期更改超级用户密码。

3、非信息管理部人员未经信息管理部主管许可,不得进入机房,不得擅自更改服务器及其它网络设备的各项配置和参数。

4、严格遵守信息保密制度，信息管理部人员不得泄露集团公司信息资料与数据。

5、严禁携带易燃、易爆、腐蚀性、强电磁、辐射性、流体等对设备运行构成威胁的物品进入机房。

严禁在机房内吸烟、喝水、吃食物、嬉戏打闹。

6、系统管理员定期检查机房内的消防器材和监控设备，保证设备的有效性,确保机房各核心设备的正常运行。

第10条机房操作运行管理

1、系统管理员对机房各网络设备进行日常巡检及维护，做好设备运行记录,如发现故障应及时联系机房主管或技术总监，由机房主管和技术总监对故障进行处理。

2、无法解决的故障，信息管理部应及时联系相关厂商，由厂商进行维护和协助处理。

厂商人员不可随便进入机房，必须经信息管理部部长同意，并由机房主管或系统管理员陪同，厂商人员才可进入机房并进行相关操作及故障修复。

3、故障处理完成后，应由机房主管或系统管理员对操作日志进行记录，备案。

第二节系统的日常巡检、维护

第11条日常运行、维护

1、由本日的值班人员对信息系统进行日常巡检、维护，对服务器的传输程序、数据备份情况、磁盘剩余空间、运行参数等重要部分进行监控和检查。

发现故障后由系统管理员和机房主管处理故障。

值班人员（巡检）→值班人员（维护）→系统管理员或机房主管（处理故障）

2、系统管理员负责集团计算机系统日常维护，确保集团计算机系统正常、稳定运转。

值班人员每日根据值班表对各个系统进行巡检，记录当日系统信息日志，如系统负载较高应及时对其维护避免其故障的发生。

3、如系统管理员遇到故障，排除故障的同时应通知系统使用部门注意保存数据，如故障难以处理应及时向机房主管报告。

4、机房主管接到上报后，应迅速排除故障。

如故障依旧难以排出上报至技术总监，故障升级为重大事件。

（详见第12条：

重大事件的报告和处理）

第12条重大事件的报告和处理

1、机房主管遇到无法处理的故障，及时上报技术总监，由技术总监对故障进行判断和处理。

2、如技术总监也无法解决，则应立即联系厂商，由厂商进行维护或处理。

3、信息管理部对厂商的的维护和处理情况进行实时跟踪和记录，厂商人员如需进入机房处理故障，必须经过信息管理部部长的批准，并由信息管理部人员陪同。

第三节系统变更

第13条申请审批

1、由需求部门人员向信息管理部提出系统变更申请，信息管理部及需求部门根据业务需求对所需系统进行市场调研，信息管理部提出备选方案，信息管理部部长将审核结果提交至主管副总。

2、主管副总对系统变更进行审核，并将审核结果提交至总经理审批。

第14条执行

1、总经理审批采纳，以招标的形式进行选择所需系统，厂商根据需求制作标书并竞标。

2、信息管理部安排人员进行调研，根据调研结果初步筛选供应商，再通过议标的方式确定方案及供应商，签订合同购进系统。

3、合同签订后，厂商应对信息管理部相关人员进行系统安装、调试、维护的培训，并对集团相关部门进行系统操作的培训。

第15条测试

1、信息部部长安排人员对系统进行测试。

2、测试人员应制定相应的测试计划。

3、测试人员根据测试计划对系统进行流程、模块测试，及时汇总出系统中存在的问题和需要改善的模块。

4、测试人员根据汇总，与厂商进行沟通和协调，提出修改需求，由厂商进行解决或改善，测试人员应实时跟踪和记录。

第四节信息安全管理

第16条网络安全管理

1、对局域网的整体改造，信息管理部应经过充分的调研和可行性验证及技术论证，并汇总成规范文档上报主管领导审批。

2、网络调整或故障解决需要进行硬件变动时，需经信息管理部技术总监同意后方可实施。

3、各业务部门不得对已建设好的网络系统进行结构、设备、位置的变更。

如因经营或有特殊情况需要变更时，须报信息管理部审批方可实施。

4、计算机网络IP地址及相关参数应由信息部统一编码和分配。

对计算机网络通信设备、连接线路需做出明确标识，保留完整的网络配置资料，方便识别和维护。

5、对运行网络进行增、删节点，改变网络连接方式，修改网络配置参数等操作，需经信息管理部技术总监指定网络维护人员进行操作。

在集成商进行网络系统配置时，必须经机房主管或技术总监认可后方可实施，并需编写配置说明文档，交各信息中心负责人备案。

6、未经信息管理部机房主管或技术总监批准，任何人不得擅自动用各机房的核心网络交换机及楼层交换设备，包括关闭电源、调整连线、插拔模块、登录交换机设备、随意更改交换机管理密码等操作。

第17条数据保密管理

1、禁止任何人员泄露、外借和转移集团公司的重要数据信息。

2、业务数据信息必须严格保密，未经上级主管领导同意，一律不得更改业务数据，不得对外提供业务程序。

3、存放有业务数据或程序的磁盘、磁带、光盘等介质，应视同文字记录妥善保管。

并分类建立登记薄，记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等。

4、注意重要数据存储介质的防磁、防潮、防火、防盗及存放方式。

5、集团的核心数据，应进行至少两次以上的备份，并根据安全等级设置读取权限，严格管理，确保硬盘数据的安全。

6、各业务人员应注意数据的存放分区，避免重要工作数据存放于引导分区及操作系统所在的磁盘分区（如：

我的文档、桌面、C盘），以确保计算机重做系统后，数据的齐全。

第18条密码保护及管理

1、集团服务器及重要计算机设备必须设置密码保护。

2、计算机密码应定时更改。

（建议密码长度不少6位；大小写共存；数字、字母、字符共存。

）

3、所有应用系统登录密码应进行严格保护，用户及系统管理人员定时修改登录密码，不得将密码透漏给其他人员。

4、计算机使用者应重视对网络帐户及密码的保密性，以增强整个网络数据的安全性。

第19条数据备份

1、集团业务系统数据备份每日定时自动进行。

当日信息管理部值班人员应严格检查前一日的数据库备份日志，对比当日数据备份情况是否正确，发现异常应及时上报信息管理部技术总监，并做好每日的《计算机设备运行记录》。

2、每次应用软件更改或升级前，应由系统管理员对应用软件进行备份。

操作系统或数据库进行升级或迁移前，应由机房主管或技术总监对数据进行全系统备份。

第20条权限管理

1、业务操作人员根据业务需要，在需求协调流程中要写明申请人姓名、工号及申请的权限内容，权限内容必须结合实际工作需求，不能超过自身的工作范围需要。

2、业务部门负责人结合操作员的工作需求，判断该业务人员是否需要本次权限，并对权限需求进行汇总、审核。

操作员工作范围内不需要此次权限则不能通过审核。

3、信息管理部部长对需求进行复核，根据信息管理部部门权限管理，查看是否有设禁的权限，存在设禁的权限退回需求并注明退回原因。

4、管理员根据审批的内容，统一设置权限，并校验权限内容。

5、业务操作人员获得权限后，应及时修改密码。

不得随意泄露自己的用户名及密码。

业务人员在使用系统过程中，不得利用操作权限擅自修改和删除数据资料。

不得随意将数据资料、文件拷贝、打印表格等泄露给无权限的部门和个人。

第四章信息系统的应用控制（作业层）

第一节输入控制

第21条各部门业务操作人员应针对手工录入、批量导入、接收其它系统数据等不同数据输入方式，分别考虑对进入系统数据的检查和校验功能，确保数据的准确性、有效性和完整性。

第22条尽量避免通过后台操作修改和删除数据的情况。

第23条信息管理部应在信息系统中设置操作日志记录功能，对于经常性数据删除和修改，应当在系统功能中予以考虑，并通过审批、复核等程序加以控制。

第24条信息管理部应实现重要系统中异常的数据输入、数据变更、数据删除的自动报告功能。

第二节处理控制

第25条信息管理部应针对各信息系统建立完善的用户管理制度，确保不同权限用户在授权范围内运用信息系统进行业务处理。

第26条对信息系统进行定期的监测和维护，发现故障及时解决。

第三节输出控制

第27条综合采用功能权限和数据权限，使不同职责的用户访问不同的数据范围，确保经授权的用户才能得到相关输出信息。

第28条强化输出资料分发控制,各部门应严格做好信息接收控制，控制特定数据信息的接收人员及部门，控制输出信息的发送范围，确保资料只能分发给相应权限的用户。

以上制度，已经公司董事会审批发布。

如有违反，依据《友好集团奖惩办法》实施处置。

附件一：

部门及岗位职责

信息系统管理制度岗位职责一览表

控制岗位

岗位职责

总经理

1、审批计算机信息系统战略规划。

2、审批重要信息系统政策。

3、审批重大信息系统立项申请。

分管副总

1、审核计算机信息系统战略规划。

2、审核重要信息系统政策。

3、审批一般信息系统政策。

4、审核和审批信息系统立项申请。

信息管理部部长

1、制定公司信息管理战略规划，报总经理和董事会审批。

2、审核信息系统立项申请。

3、组织进行信息系统的开发。

4、组织人员对信息系统的开发结果进行测试。

5、推广并不断完善公司信息化系统，推进公司信息化管理步伐。

6、引进或组织开发公司信息化管理系统，实现办公自动化。

7、推动信息系统的建设与维护，保证公司内无纸化办公。

8、负责制定公司网络、计算机管理的各项规章制度，上报领导审批后贯彻实施。

监督、检查制度的执行情况，适时修订、完善各项制度。

9、协调有关职能部门，安排人员进行相关应用软件的安装调试及有关技术支持，10、对安装调试中出现的各种问题提出处理意见，并协助其妥善解决。

11、信息化系统在使用过程中，安排人员为各职能部门和子公司提供技术指导，促进系统操作技术的有效运用。

12、负责信息的监督保密工作。

信息管理中心主管

1、参与编制部门发展规划及工作计划。

2、参与信息系统立项申请工作。

3、参与进行信息系统的分析和开发。

4、进行信息系统开发编程盒测试工作。

5、进行相关应用软件的安装调试及有关技术支持。

6、进行程序管理和数据库管理以及数据控制。

信息管理中心系统管理员

1、保证服务器正常运行以及异常状态监控。

2、每日检查设备运行情况（指示灯等）。

3、每日查看DB、OS日志。

4、每日检查设备存储空间。

5、每月对数据库进行维护、优化、备份（DBCC、Rebuild等）。

6、负责机房清洁工作。

7、指导门店经理进行以上工作。

8、负责网络环境运行正常。

9、完善网络拓扑图等基础资料的备案与更新（台帐）。

10、网络设备日常维护及优化。

11、做好紧急预案（如某交换机、路由器损坏）。

12、负责办公区电脑维护、管理工作。

13、做好电脑、打印机等电子设备基础资料的备案、更新（配置，IP，软件，驱动等）。

14、每月进行全面巡查一次（维护内容，问题收集，工作总结）。

15、软件的维护（FTP,RTX,E-MAIL）。

新疆友好（集团）股份有限公司

信息管理部审批表

流程

审批内容及表单

经办部门

操作员

部门主管