1信息系统管理制度.docx
《1信息系统管理制度.docx》由会员分享,可在线阅读,更多相关《1信息系统管理制度.docx(13页珍藏版)》请在冰豆网上搜索。
1信息系统管理制度
信息系统管理制度
新疆友好(集团)股份有限公司内部控制体系
2012年7月1日发布
信息系统管理制度
目录:
共3章
第一章总则
第二章外购调试
第一节日常系统购进及安装
第二节重大系统购进及安装
第三章信息系统的运行与维护管理
第一节机房管理办法
第二节系统的日常巡检、维护
第三节系统变更
第四节信息安全管理
第四章信息系统的应用控制(作业层)
第一节输入控制
第二节处理控制
第三节输出控制
第一章总则
第1条为促进集团有效实施内部控制,保障集团计算机系统正常、稳定、安全运行,信息管理部根据内部控制的要求,特制定《信息系统管理制度》。
第2条《信息系统管理制度》主要分为“外购调试”、“信息系统的运行与维护管理”和“信息系统的应用控制(作业层)”三个章节。
通过对各涉及信息系统管理流程的规范和控制,防范经营风险,全面提升企业现代化管理水平。
第二章外购调试
第一节日常系统购进及安装
第3条需要购进日常计算机设备的业务部门,根据业务需要,由该部门负责人提出相应的购进需求,并将需求报告提交给该部门上级主管领导,主管领导审核完毕后,将审核结果发送给资产部部长。
第4条资产部部长对业务部门的购进需求进行审核,确定购进是否需要,审核完成,将审核结果转回需求部门负责人,由需求部门负责人填写固定资产购置申请验收表。
第5条需求部门参照固定资产购置申请验收表,对购进的设备进行验收。
第6条系统验收后,由信息管理部系统管理员对购进的计算机设备进行调试及安装。
第二节重大系统购进及安装
第7条请参照《资产部项目工程购进及安装条例》。
《工程项目管理制度》执行
第三章信息系统的运行与维护管理
第一节机房管理办法
第8条机房出入管理
1、信息管理部机房是集团的数据网络中心,包括服务器、核心交换机、核心路由器等重要网络设备,严禁非信息管理部人员进入机房,如遇特殊情况,需经信息管理部主管批准,并在系统管理员的陪同下方可进入。
2、进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
3、系统管理员对进入机房的人员进行登记,详细记录进入机房人员的姓名、部门、进入时间、进行操作的相关内容。
第9条机房安全管理
1、系统管理员对核心设备的运行状况进行实时监控,做好设备运行记录,发现异常情况应立即报告机房主管或技术总监。
2、严格执行密码管理规定,系统管理员定期更改超级用户密码。
3、非信息管理部人员未经信息管理部主管许可,不得进入机房,不得擅自更改服务器及其它网络设备的各项配置和参数。
4、严格遵守信息保密制度,信息管理部人员不得泄露集团公司信息资料与数据。
5、严禁携带易燃、易爆、腐蚀性、强电磁、辐射性、流体等对设备运行构成威胁的物品进入机房。
严禁在机房内吸烟、喝水、吃食物、嬉戏打闹。
6、系统管理员定期检查机房内的消防器材和监控设备,保证设备的有效性,确保机房各核心设备的正常运行。
第10条机房操作运行管理
1、系统管理员对机房各网络设备进行日常巡检及维护,做好设备运行记录,如发现故障应及时联系机房主管或技术总监,由机房主管和技术总监对故障进行处理。
2、无法解决的故障,信息管理部应及时联系相关厂商,由厂商进行维护和协助处理。
厂商人员不可随便进入机房,必须经信息管理部部长同意,并由机房主管或系统管理员陪同,厂商人员才可进入机房并进行相关操作及故障修复。
3、故障处理完成后,应由机房主管或系统管理员对操作日志进行记录,备案。
第二节系统的日常巡检、维护
第11条日常运行、维护
1、由本日的值班人员对信息系统进行日常巡检、维护,对服务器的传输程序、数据备份情况、磁盘剩余空间、运行参数等重要部分进行监控和检查。
发现故障后由系统管理员和机房主管处理故障。
值班人员(巡检)→值班人员(维护)→系统管理员或机房主管(处理故障)
2、系统管理员负责集团计算机系统日常维护,确保集团计算机系统正常、稳定运转。
值班人员每日根据值班表对各个系统进行巡检,记录当日系统信息日志,如系统负载较高应及时对其维护避免其故障的发生。
3、如系统管理员遇到故障,排除故障的同时应通知系统使用部门注意保存数据,如故障难以处理应及时向机房主管报告。
4、机房主管接到上报后,应迅速排除故障。
如故障依旧难以排出上报至技术总监,故障升级为重大事件。
(详见第12条:
重大事件的报告和处理)
第12条重大事件的报告和处理
1、机房主管遇到无法处理的故障,及时上报技术总监,由技术总监对故障进行判断和处理。
2、如技术总监也无法解决,则应立即联系厂商,由厂商进行维护或处理。
3、信息管理部对厂商的的维护和处理情况进行实时跟踪和记录,厂商人员如需进入机房处理故障,必须经过信息管理部部长的批准,并由信息管理部人员陪同。
第三节系统变更
第13条申请审批
1、由需求部门人员向信息管理部提出系统变更申请,信息管理部及需求部门根据业务需求对所需系统进行市场调研,信息管理部提出备选方案,信息管理部部长将审核结果提交至主管副总。
2、主管副总对系统变更进行审核,并将审核结果提交至总经理审批。
第14条执行
1、总经理审批采纳,以招标的形式进行选择所需系统,厂商根据需求制作标书并竞标。
2、信息管理部安排人员进行调研,根据调研结果初步筛选供应商,再通过议标的方式确定方案及供应商,签订合同购进系统。
3、合同签订后,厂商应对信息管理部相关人员进行系统安装、调试、维护的培训,并对集团相关部门进行系统操作的培训。
第15条测试
1、信息部部长安排人员对系统进行测试。
2、测试人员应制定相应的测试计划。
3、测试人员根据测试计划对系统进行流程、模块测试,及时汇总出系统中存在的问题和需要改善的模块。
4、测试人员根据汇总,与厂商进行沟通和协调,提出修改需求,由厂商进行解决或改善,测试人员应实时跟踪和记录。
第四节信息安全管理
第16条网络安全管理
1、对局域网的整体改造,信息管理部应经过充分的调研和可行性验证及技术论证,并汇总成规范文档上报主管领导审批。
2、网络调整或故障解决需要进行硬件变动时,需经信息管理部技术总监同意后方可实施。
3、各业务部门不得对已建设好的网络系统进行结构、设备、位置的变更。
如因经营或有特殊情况需要变更时,须报信息管理部审批方可实施。
4、计算机网络IP地址及相关参数应由信息部统一编码和分配。
对计算机网络通信设备、连接线路需做出明确标识,保留完整的网络配置资料,方便识别和维护。
5、对运行网络进行增、删节点,改变网络连接方式,修改网络配置参数等操作,需经信息管理部技术总监指定网络维护人员进行操作。
在集成商进行网络系统配置时,必须经机房主管或技术总监认可后方可实施,并需编写配置说明文档,交各信息中心负责人备案。
6、未经信息管理部机房主管或技术总监批准,任何人不得擅自动用各机房的核心网络交换机及楼层交换设备,包括关闭电源、调整连线、插拔模块、登录交换机设备、随意更改交换机管理密码等操作。
第17条数据保密管理
1、禁止任何人员泄露、外借和转移集团公司的重要数据信息。
2、业务数据信息必须严格保密,未经上级主管领导同意,一律不得更改业务数据,不得对外提供业务程序。
3、存放有业务数据或程序的磁盘、磁带、光盘等介质,应视同文字记录妥善保管。
并分类建立登记薄,记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等。
4、注意重要数据存储介质的防磁、防潮、防火、防盗及存放方式。
5、集团的核心数据,应进行至少两次以上的备份,并根据安全等级设置读取权限,严格管理,确保硬盘数据的安全。
6、各业务人员应注意数据的存放分区,避免重要工作数据存放于引导分区及操作系统所在的磁盘分区(如:
我的文档、桌面、C盘),以确保计算机重做系统后,数据的齐全。
第18条密码保护及管理
1、集团服务器及重要计算机设备必须设置密码保护。
2、计算机密码应定时更改。
(建议密码长度不少6位;大小写共存;数字、字母、字符共存。
)
3、所有应用系统登录密码应进行严格保护,用户及系统管理人员定时修改登录密码,不得将密码透漏给其他人员。
4、计算机使用者应重视对网络帐户及密码的保密性,以增强整个网络数据的安全性。
第19条数据备份
1、集团业务系统数据备份每日定时自动进行。
当日信息管理部值班人员应严格检查前一日的数据库备份日志,对比当日数据备份情况是否正确,发现异常应及时上报信息管理部技术总监,并做好每日的《计算机设备运行记录》。
2、每次应用软件更改或升级前,应由系统管理员对应用软件进行备份。
操作系统或数据库进行升级或迁移前,应由机房主管或技术总监对数据进行全系统备份。
第20条权限管理
1、业务操作人员根据业务需要,在需求协调流程中要写明申请人姓名、工号及申请的权限内容,权限内容必须结合实际工作需求,不能超过自身的工作范围需要。
2、业务部门负责人结合操作员的工作需求,判断该业务人员是否需要本次权限,并对权限需求进行汇总、审核。
操作员工作范围内不需要此次权限则不能通过审核。
3、信息管理部部长对需求进行复核,根据信息管理部部门权限管理,查看是否有设禁的权限,存在设禁的权限退回需求并注明退回原因。
4、管理员根据审批的内容,统一设置权限,并校验权限内容。
5、业务操作人员获得权限后,应及时修改密码。
不得随意泄露自己的用户名及密码。
业务人员在使用系统过程中,不得利用操作权限擅自修改和删除数据资料。
不得随意将数据资料、文件拷贝、打印表格等泄露给无权限的部门和个人。
第四章信息系统的应用控制(作业层)
第一节输入控制
第21条各部门业务操作人员应针对手工录入、批量导入、接收其它系统数据等不同数据输入方式,分别考虑对进入系统数据的检查和校验功能,确保数据的准确性、有效性和完整性。
第22条尽量避免通过后台操作修改和删除数据的情况。
第23条信息管理部应在信息系统中设置操作日志记录功能,对于经常性数据删除和修改,应当在系统功能中予以考虑,并通过审批、复核等程序加以控制。
第24条信息管理部应实现重要系统中异常的数据输入、数据变更、数据删除的自动报告功能。
第二节处理控制
第25条信息管理部应针对各信息系统建立完善的用户管理制度,确保不同权限用户在授权范围内运用信息系统进行业务处理。
第26条对信息系统进行定期的监测和维护,发现故障及时解决。
第三节输出控制
第27条综合采用功能权限和数据权限,使不同职责的用户访问不同的数据范围,确保经授权的用户才能得到相关输出信息。
第28条强化输出资料分发控制,各部门应严格做好信息接收控制,控制特定数据信息的接收人员及部门,控制输出信息的发送范围,确保资料只能分发给相应权限的用户。
以上制度,已经公司董事会审批发布。
如有违反,依据《友好集团奖惩办法》实施处置。
附件一:
部门及岗位职责
信息系统管理制度岗位职责一览表
控制岗位
岗位职责
总经理
1、审批计算机信息系统战略规划。
2、审批重要信息系统政策。
3、审批重大信息系统立项申请。
分管副总
1、审核计算机信息系统战略规划。
2、审核重要信息系统政策。
3、审批一般信息系统政策。
4、审核和审批信息系统立项申请。
信息管理部部长
1、制定公司信息管理战略规划,报总经理和董事会审批。
2、审核信息系统立项申请。
3、组织进行信息系统的开发。
4、组织人员对信息系统的开发结果进行测试。
5、推广并不断完善公司信息化系统,推进公司信息化管理步伐。
6、引进或组织开发公司信息化管理系统,实现办公自动化。
7、推动信息系统的建设与维护,保证公司内无纸化办公。
8、负责制定公司网络、计算机管理的各项规章制度,上报领导审批后贯彻实施。
监督、检查制度的执行情况,适时修订、完善各项制度。
9、协调有关职能部门,安排人员进行相关应用软件的安装调试及有关技术支持,10、对安装调试中出现的各种问题提出处理意见,并协助其妥善解决。
11、信息化系统在使用过程中,安排人员为各职能部门和子公司提供技术指导,促进系统操作技术的有效运用。
12、负责信息的监督保密工作。
信息管理中心主管
1、参与编制部门发展规划及工作计划。
2、参与信息系统立项申请工作。
3、参与进行信息系统的分析和开发。
4、进行信息系统开发编程盒测试工作。
5、进行相关应用软件的安装调试及有关技术支持。
6、进行程序管理和数据库管理以及数据控制。
信息管理中心系统管理员
1、保证服务器正常运行以及异常状态监控。
2、每日检查设备运行情况(指示灯等)。
3、每日查看DB、OS日志。
4、每日检查设备存储空间。
5、每月对数据库进行维护、优化、备份(DBCC、Rebuild等)。
6、负责机房清洁工作。
7、指导门店经理进行以上工作。
8、负责网络环境运行正常。
9、完善网络拓扑图等基础资料的备案与更新(台帐)。
10、网络设备日常维护及优化。
11、做好紧急预案(如某交换机、路由器损坏)。
12、负责办公区电脑维护、管理工作。
13、做好电脑、打印机等电子设备基础资料的备案、更新(配置,IP,软件,驱动等)。
14、每月进行全面巡查一次(维护内容,问题收集,工作总结)。
15、软件的维护(FTP,RTX,E-MAIL)。
新疆友好(集团)股份有限公司
信息管理部审批表
流程
审批内容及表单
经办部门
操作员
部门主管
相关负责人
信息部部长
主管副总
总经理
1
日常系统购进及安装
资产部
填写①
审核②
填写③
2
系统变更申请审批
相关部门
填写①
审核②
审核③
审批③
3
权限管理
相关部门
填写①
审核②
审批③
附件二:
审批权限表
附件三:
实施单证目录
信息管理部业务流程实施单证统计表
序号
部门
流程
应有表单
现有表单
需新增表单
备注
1
信息管理部
机房出入管理
《进出机房登记》
《进出机房登记》
2
系统变更申请审批
《系统变更申请表》
《需求协调流程》(OA)
《系统变更申请表》
3
系统变更执行
《需求协调流程》(OA)
《需求协调流程》(OA)
5
权限管理
《需求协调流程》(OA)
《需求协调流程》(OA)
6
日常系统购进及安装
《系统购进申请表》
《需求协调流程》(OA)
《系统购进申请表》
7
系统的日常巡检、维护
《机房值班操作流程》
《机房值班操作流程》
8
重大事件的报告及处理
《重大事件报告》
《重大事件报告》
制度名称:
信息系统管理制度
编制人:
姜海鹏
使用部门:
集团母公司、控股子公司、各部门
制度编号:
业务主管部门:
集团信息管理部
发布日期:
2012.07.01
业务参与部门:
相关业务部门
版本页码:
01版1/11