应用系统管理程序含表格.docx

应用系统管理程序含表格.docx

《应用系统管理程序含表格.docx》由会员分享，可在线阅读，更多相关《应用系统管理程序含表格.docx（15页珍藏版）》请在冰豆网上搜索。

应用系统管理程序含表格

应用系统管理程序

（ISO27001-2013）

1范围

本标准规定了公司应用系统的开发与变更、运行维护、安全审计等方面的管理。

本标准适用于公司的应用系统管理工作。

2规范性引用文件

GB/T8566-20072007年7月《信息技术软件生存周期过程》

2013年国家电力监管委员会《电力行业信息系统安全等级保护基本要求》

《信息化项目验收管理办法》

《信息化招标管理暂行办法》

《公司应用系统开发管理办法》

《公司应用系统管理办法》

3术语和定义

下列术语和定义适用于本标准:

3.1项目开发方式

项目开发方式包括自行开发、联合开发、外包。

3.2应用系统

是指以信息技术为主要手段建立的各类业务管理的应用系统，是为各类业务管理服务的应用系统，从广义来讲包括用于各类业务管理的应用软件，及软件所依赖的计算机系统和网络系统。

从狭义来讲，信息应用系统指的是应用软件及其所依赖的计算机硬件平台，而不包括网络系统。

3.3特权账号

特权账号是指具有特殊管理功能和权限的专用账号，如具有应用系统管理权、数据库管理权、操作系统管理权的账号，还包括网络设备特权账号等。

3.4维护中的变更

维护中的变更指包括在应用系统维护合同、应用系统开发合同中规定的款项或外包商承诺实现的变更项目，其特点是不发生费用，变更内容少、易于实现，对应用系统影响较小，一般表现为系统使用中的微小调整。

4职责

公司根据《信息化工作管理标准》成立信息化管理领导小组。

4.1信息化管理领导小组

4.1.1负责应用系统项目开发的审批、立项等重要控制环节。

4.1.2负责本标准执行情况的检查与考核。

4.2综合科信息中心

4.2.1综合科信息中心应用系统开发项目的主要管理机构，负责组织项目的可行性研究，项目立项后的开发管理，组织项目的验收等工作。

4.2.2信息中心负责项目建成后系统和设备的运行维护工作。

4.2.3信息中心负责人指定专人担任应用系统管理员、操作系统管理员、数据库管理员、网络管理员、安全管理员和机房管理员，按照下面《职责不相容关系表》,一个信息系统中，不相容的职责不能由同一个人担任，在涉及信息管理人员的应用系统中，最终用户可以兼任应用系统管理员。

X表示行与列的两个职责不相容

项目管理

应用开发

数据库管理员

网络管理员

应用系统管理员

操作系统管理员

安全管理员

最终用户

数据录入

项目管理

×

×

×

×

×

×

应用开发

×

×

×

×

×

×

×

数据库管理员

×

×

×

×

×

×

网络管理员

×

×

×

×

×

应用系统管理员

×

×

×

×

×

操作系统管理员

×

×

×

×

安全管理员

×

×

×

最终用户

×

×

×

×

×

×

数据录入

×

×

×

×

×

×

4.2.4应用系统管理员负责应用系统的管理和维护工作，解决并记录应用系统中的问题，按照权限分配表在应用系统中设置用户的权限。

4.2.5操作系统管理员负责应用系统主机操作系统的管理和维护工作，对应用系统主机软件的安装删除、补丁安装进行管理和记录。

4.2.6数据库管理员负责数据库的管理和维护工作，进行数据备份和恢复测试，并对备份的存放介质进行管理；

4.2.7网络管理员负责网络的管理和维护工作。

4.2.8安全管理员负责信息安全检查和审计管理工作。

4.2.9机房管理员负责信息中心机房的管理和维护工作。

4.3各单位

4.3.1负责提出信息化项目需求，协助解决项目开发过程中出现的业务相关问题。

4.3.2负责组织项目的用户测试、试运行，参与项目的验收工作，组织项目的推广。

5流程与风险分析

5.1管理流程图

应用系统管理流程图见附录A（规范性附录）。

5.2控制点

5.2.1开发与变更：

应用系统的开发、变更应履行申请、需求调查、审批、立项、设计、实施、验收等控制环节。

5.2.2权限管理：

明确权限标准，权限的申请、审批、分配、变更及注销等手续完整。

5.2.3用户信息：

统一管理与维护。

5.2.4用户口令：

明确口令策略要求，对特权账号应制定专人进行使用与管理。

5.2.5运行维护：

对应用系统的各类口令进行严格管理，及时分析系统运行状态及其故障原因，并采取针对性措施。

5.2.6安全审计：

定期进行检查、分析、审计。

5.3风险分析

5.3.1开发与变更：

由于应用系统开发、变更过程中，不严格履行调查、审批等控制环节的原因，可能导致应用系统功能不全、重复性开发的风险，造成资金、技术浪费的后果。

5.3.2权限管理：

由于用户权限管理不规范的原因，可能发生用户权限与其实际工作不符的情况，造成应用系统流程混乱的后果。

5.3.3用户信息：

由于用户信息管理不规范的原因，可能导致用户角色权限信息混乱、错误，造成应用系统不能正常使用的后果。

5.3.4用户口令：

由于用户口令策略不明确，特权账号管理不善的原因，可能导致特权账号被他人恶意利用，造成应用系统数据被篡改、流失泄密的后果。

5.3.5运行维护：

由于没有及时分析系统运行状态及其故障原因，并采取针对性措施的原因，可能导致故障扩大的风险，造成应用系统不能安全、稳定运行的后果。

5.3.6安全审计：

由于没有定期检查、分析、审计应用系统的安全性的原因，可能导致应用系统安全性降低，造成应用系统遭受恶意攻击而导致系统崩溃的后果。

6管理内容与方法

6.1开发与变更

6.1.1项目立项

6.1.1.1公司各单位提出信息化项目需求，信息中心根据需求编制项目申请，经信息化管理领导小组审核，报煤电煤电公司审批后立项实施。

6.1.1.2项目的申请有两种方式：

年度计划中申请和临时申请。

重大项目必须在年度计划中进行申请；非重大项目的临时申请流程与年度计划申请流程一致，属于年度计划内容和预算的调整，临时申请经过批准后，项目方可按照计划实施。

6.1.1.3项目申请中应包括需求书、可行性报告、资金预算、对成本效益定性定量的分析和项目时间计划，具体内容参见《信息化工作管理标准》附录B（规范性附录）信息化项目申报表。

6.1.1.4外包商的选择由综合科信息中心根据《供应商管理标准》的要求进行，采用招标或询价的方式，项目小组参与此过程，并提供技术方面的参考意见。

6.1.2项目管理

6.1.2.1项目正式立项后，综合科信息中心组织相关单位成立项目管理小组，此项目管理小组负责项目全过程的统筹管理，对项目的进度和质量负责。

6.1.2.2综合科信息中心指定具备3年以上工作经验并熟知项目功能需求管理制度的员工担任项目负责人，项目负责人负责协调各单位、信息中心和外包商三者之间的工作，并负责保存项目所有的相关文档。

6.1.2.3项目小组根据项目时间要求、项目工作量和人力安排，与各单位及外包商沟通，制定出精确到周的项目实施计划。

此计划中应包括项目的各阶段目标、任务、时间表、项目任务节点、项目所需人员及其职责划分，并会同综合科信息中心、各单位和外包商负责人签字确认。

6.1.2.4项目负责人在项目实施过程中，应每月向项目管理小组书面报告项目的进展情况，包括已完成的内容，当前进度与项目实施计划的比较，存在的有可能影响进度的问题，人员、资金的使用情况等。

6.1.2.5项目进入验收测试阶段时，综合科信息中心组织成立验收小组，并可根据项目需要邀请外单位专家参与，验收小组中应包括项目管理小组的全部成员。

验收小组对项目进行任务节点验收和最终验收，对项目的最终质量负责。

6.1.3方案设计

6.1.3.1外包商和项目小组共同对系统运行环境进行分析，并根据业务需求制订设计方案。

设计方案经过项目小组全体成员的讨论后，会同综合科信息中心、各单位和外包商负责人签字确认；变更项目的设计方案中，必须包括移入工作环境的方法和计划，以及移入失败时的回退计划。

6.1.3.2对于变更和改建项目，外包商必须对项目所涉及的原有数据和业务需求进行分析、研究，最大限度的在新项目中利用原有业务数据，保护公司的信息资产。

外包商在此类项目的设计方案中必须制订数据转换的计划和实施步骤，并经过综合科信息中心、各单位和外包商负责人签字确认。

6.1.3.3项目设计方案确定后的实施过程中，各单位可提出需求变更。

需求变更必须经过综合科信息中心、各单位和外包商负责人签字确认。

6.1.3.4项目设计方案确定后，外包商可提出设计变更，设计变更必须由外包商项目经理书面提出，综合科信息中心和各单位负责人签字确认。

6.1.3.5发生需求变更或设计变更时，项目负责人评估变更对项目所造成的影响，制定变更后的项目实施计划，并由综合科信息中心、各单位及外包商负责人签字确认。

6.1.4开发过程管理

6.1.4.1项目开发的过程中应具备开发、测试和运行三套独立的环境。

其中开发环境一般由外包商提供，对于新建项目，同一设备可以在项目临时验收、正式运行前为开发环境，之后为运行环境。

项目的开发必须在开发或测试环境中进行。

6.1.4.2变更项目中涉及的所有软硬件升级、打补丁的工作应在测试环境中进行。

项目负责人对此项工作进行测试并做出测试报告。

综合科信息中心和各单位负责人对测试报告签字确认后，此工作方可在运行环境中进行。

6.1.4.3按照每周的计划要求，项目小组对外包商的工作进行检查，督促其进度。

对于已经完成的部分，项目管理小组应及时进行检查和测试，以了解项目的实际情况，并督促外包商对开发过程中出现的问题及时处理。

6.1.4.4项目开发完成后外包商应按照设计方案中数据转换的计划和步骤，将原有数据转换并移植到新系统中。

项目管理小组检查数据的完整性、一致性、准确性、唯一性、可读取性等。

6.1.5项目验收

6.1.5.1验收分为临时验收和最终验收。

临时验收主要是对系统的功能、性能、安全等内容进行检验，通过后系统方可进行正式运行。

最终验收主要是对临时验收的遗留问题和正式运行期间发现的新问题的处理情况进行检验，通过后项目方可认为执行完毕。

6.1.5.2验收小组根据项目的需求书、设计方案制定验收大纲，并会同综合科信息中心、各单位及外包商负责人对验收大纲签字确认。

6.1.5.3验收小组根据验收大纲逐项、客观的对应用系统做出评价，并记录在验收大纲中。

根据验收的整体情况，验收小组得出项目验收是否通过的结论，并做出验收报告，由综合科信息中心和各单位负责人签字确认。

6.1.5.4验收中不具备测试条件的内容，或专业部门和外包商一致同意延期测试的内容，应记录在双方达成的项目验收报告中，以便日后具备条件时进行测试。

6.1.5.5完成验收测试后，验收小组应收回开发人员的权限，使其不能在系统正式运行前对系统进行修改。

6.1.6正式运行

6.1.6.1系统进入正式运行后，应用系统、数据库、操作系统以及系统中包含的网络设备等的维护工作应转交给信息中心的相应管理员，按照本标准中“6.5运行维护”中的有关规定进行管理。

6.1.6.2项目管理小组应将系统的正式运行情况通知所有使用者，并由项目管理小组和外包商共同安排专人继续解决系统投运过程中用户提出的问题。

6.1.6.3项目管理小组对正式运行后的系统情况应至少进行6个月的跟踪记录，对存在的问题进行汇总并做出书面报告，经项目负责人签字，正式提交给外包商，要求其在最终验收前解决。

6.1.6.4变更项目中，外包商应按照设计方案中的计划和步骤将测试过的程序变更部分移