信息化系统管理制度.docx
《信息化系统管理制度.docx》由会员分享,可在线阅读,更多相关《信息化系统管理制度.docx(8页珍藏版)》请在冰豆网上搜索。
信息化系统管理制度
信息安全管理制度
第一章.总则1
1.1目的1
1.2适用范围1
13定义1
第二章.管理职责1
1.4信息化组1
1.5其他部门1
第三章.信息系统建设管理2
1.6信息系统的定义2
1.7信息规划制定2
1.8信息系统建设2
第四章.信息安全管理5
1.9权限管理5
1.10数据管理5
1.11密码安全管理7
第五章.服务器安全管理8
第六章.机房安全管理8
第七章.计算机及网络安全管理9
1.12计算机使用安全9
1.13网络安全管理10
第八章.附则10
第一章•总则
1.1目的
为了保障企业内部信息安全,包括加强信息系统的安全性、可幕性、合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障,使整个信息业务平台长期正常运行提供强有力的保障,特制定本制度。
本制度适用于公司所有的信息系统平台。
1.3定义
信息系统是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第二章.管理职责
1.4信息化组
1、负责制订信息系统建设规划;
2、负责制定信息系统管理制度的制定、宣导、执行、监督、修订完善;
3、负责信息系统的选型、建设、培训、实施及维护工作:
4、负责网络、软硬件及信息的安全管理;
5、负责信息系统的日常维护和管理。
1.5其他部门
1、配合信息化组人员需求调研、业务流程解释等;
2、严格按信息系统管理制度配合执行。
第三章・信息化系统建设管理
1.6信息系统的定义
信息系统是一个以人为主导,利用计算机硬件、软件、网络通信设备以及其他办公设备,进行信息的收集、传输、加工、储存、更新和维护,以企业战略竞优、提高效益和效率为LI的,支持企业的高层决策、中层控制、基层运作的集成化的人机系统。
1.7信息化规划制定
(-)确定目标
企业应组织各职能部门管理者参与信息系统LI标讨论确定,明确管理需求、系统建设U标、总体功能结构、关键功能需求、关键信息需求及开展进度要求;
(2)制定规划
1、信息化负责人应根据企业信息化建设LI标,制定信息系统建设战略规划方案,报送公司高层审核;
2、信息化负责人应根据审核过的信息系统建设战略规划方案,制定详细的信息系统建设方案,报送公司高层审核;
3、信息化负责人应每年根据企业实际发展情况调整规划方案,报送公司高层审核;
1.8信息系统建设
(-)定义
信息系统的建设主要山自主开发及购买两部份组成,自主开发即山企业内部成立信息化组织,进行信息化建设及服务,购买即委托第三方为企业内部提供信息化建设及信息化服务。
(二)自主开发
1v平台选择
(1)开发平台选择应考虑规避法律风险,避免涉及版权纠纷问题;
(2)开发平台选型时应考虑技术风险,对开发平台的选择应做好充分的技术风险评估,包括系统性能、稳定性、安全性、开发效率、跨平台支持能力等主要因素,并提交信息化主管或经理审批确认;
2、需求分析
(一)需求提出
业务人员提出信息化需求时,应通过《信息化需求申请书》提交到部门经理进行审核,经领导审核通过后,再将需求提交至信息化经理审批;
(二)需求审批
信息化经理组织需求评审员进行需求评审,评审要素如下:
1、需求范圉是否合理;
2、是否存在技术风险;
3、要求完成工期是否合理;
4、流程是否合理;
5、权限要求是否合理等。
评审通过后,安排需求分析师进行详细的需求调研;
(三)需求确认
1、需求分析师根据评审通过的需求文档,进行详细的需求分析,对有疑问的需求,主动与需求提出者进行沟通确认需求范圉;
2、需求分析师与相关需求人员沟通确认后,进行详细的需求分析和设讣,并形成详细的《软件需求规格说明书》后,与用户及软件设讣人员进行需求的复核,以确保软件需求的完整、准确、清晰、具体,并使用户和软件设计人员对需求规格说明和初步的用户手册的理解达成一致。
一旦发现遗漏或模糊点,必须尽快更正,再行检查。
3、系统开发
(1)信息系统的设计、开发、运行等环节,应遵守《软件开发规范》;
(2)开发人员编写开发代码应遵守《代码安全规范》要求;
(3)代码审查员应定期或不定期对开发人员的代码进行检查,检查范围包括代码规范、代码安全等,并做好检查记录,对不符合规范的应给与指导改进;
4、实施上线
(1)实施人员根据测试通过的系统模块,编制《系统使用说明书》组织相关涉及该系统模块使用人员进行培训;
(2)培训后,山实施人员通知相关涉及该系统模块的人员进行系统试运行,试运行一个月内,及时收集相关问题并改善系统模块;
(3)试运行一个月后,山实施人员正式通知相关涉及系统模块人员正式上线使用;
(4)实施人员应定期检查系统模块使用状况,确保系统正常使用;
(3)购买
1、对外购买信息软件应组织相关业务部门进行综合评估,避免产生与实际业务应用不符的情况出现;
2、对外购买信息软件应组织技术人员进行系统评估,做好数据接口对接工作,做好数据风险和技术风险的评估,应出具《信息平台选型评估报告》提交信息化经理审批确认;
3、对外购买信息软件应评估供应商技术实力和服务能力;
4、对外购买信息软件应签订服务条款、明确服务内容及实施成果要求;
5、对外购买信息软件应考虑版权纠纷及归属问题。
1.9权限管理
(一)原则
1、任何人未经许可,不得擅自开通平台账号、不得擅自授权他人平台使用权限;
2、公司员工若需越级使用公司的信息系统,必须经过上级领导授权方可使用;
(二)授权
系统管理员应根据人力部经审批的《新员账号开设通知单》及《岗位操作权限对应表》为新员授权;
(三)变更
系统管理员应根据人力部经审批的《员工调岗、轮岗申请表》及《岗位操作权限对应表》进行权限变更;
(四)关闭
系统管理员应根据人力部经审批的《离职申请表》及时关闭掉离职人员账号及相关权限;
1.10数据管理
(一)存储介质管理
数据信息存储介质包括:
纸质文档、语音或其录音、输出报告、硬盘、磁带、
光存储介质。
存储介质管理须符合以下规定:
1、对重要、敬感或关键数据信息的移动式存储介质须专人管理;
2、任何存储媒介拷贝公司信息需经过授权,并保留相应记录,方便审查;
3、删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖;
4、长期保存的备份介质,必须按照制造厂商确定的存储寿命定期转储,防止存储介质过期失效;
5、备份介质要每半年进行检查,以确认介质能否继续使用、备份内容是否正确。
一旦发现介质损坏,应立即更换,并对损坏介质进行销毁处理;
6、备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠等要求。
备份介质必须有由专人负责进行存取,其他人员未经批准不能操作。
(二)备份管理
备份管理工作应由信息中心安排专人负责,备份管理人员负责制订备份、恢复策略,组织实施备份、恢复操作,指导备份介质的取放、更换和登记工作,日常备份操作可由备份管理人员或机房值班人员完成。
1、数据备份
(1)对信息系统数据库每日进行数据备份及备份加密工作,并做好备份记录,山系统安全管理员定时检查备份结果,并填报检查记录以备审查;
(2)业务系统将进行重大系统变更时,应对核心业务数据进行数据信息的全备份;
(3)数据信息备份应釆用性能可靠、不宜损坏的介质,如磁带、光盘等。
备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管对备份的数据文件必须采取加密方式进行保存,防I匕信息泄漏;
(4)数据备份应分布在不同的存储介质上,应不少于两个存储介质;
(5)数据备份存储周期应不少于半年;
(6)定期对备份的数据库及原代码进行恢复验证,确保备份数据可正常使用;
(三)备份恢复
1、系统管理员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期;
2、对于因设备故障、操作失误等造成的一般故障,需要恢复部分设备上的备份数据信息,遵循异常事件处理流程,由系统管理员负责恢复;
3、定期检查和测试备份介质和备份信息,保持其可用性和完整性,并确保在规定的时间内恢复系统;
4、应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期;
5、恢复程序应定期接受检查及测试,以确保在恢复操作程序所预定的时间内完成。
(四)备份销毁
1、备份介质销毁必须经过信息化经理授权后,山系统安全管理员执行销毁;
2、备份介质销毁后,须在《备份介质登记表》中注明已销毁。
1.11密码安全管理
(-)原则
1、接到分配的密码后,应立即对原始密码进行更改;
2、严禁将密码告诉他人;
3、系统的密码一旦泄漏了,必须立即更改;
(二)密码安全控制
1、系统密码必须以加密形式保存,加密算法强度要高,加密算法要不可逆;
2、系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等;
(三)密码安全检査
系统安全管理员应定期运行密码检查器检查口令强度,对于保存机密和绝密信息的系统应该每月检查一次口令强度。
(四)密码丢失
1、信息系统应提供密码找回功能,结合电子邮箱或手机短信来验证用户信息,帮助用户找回密码;
2、对确实无法找回密码的用户,可联系系统管理员帮助重置系统密码;
第五章.服务器安全管理
1、系统管理员应定期对托管的网络服务器进行巡视,并对公司局域网内部服务器进行检查,并做好检查记录;
2、维护服务器,监控外来访问和对外访问情况,如有安全问题,及时处理;
3、系统管理员应及时下载最新系统补丁及防病毒疫苗,防止服务器出现危险漏洞及病毒的侵害;
4、任何人不得把服务器当作一般微机来使用,不得在服务器上安装任何无必要软件。
第六章.机房安全管理
1、机房建设必须符合国家行业建设标准和规范;
2、建立并严格执行机房管理制度,无关人员未经安全责任人批准严禁进入机房。
依据有关机房管理办法的要求,各级安全管理部门对其机房环境、机房进出、机房设施、机房物品的管理定期进行安全检查;
3、机房工作人员必须严格遵守各项操作规程,定期检查安全保障设备,确保系统安全运行及设备的安全;
4、对主机房进行开机、关机等日常的操作,建立操作程序,并建立完整的设备运行日志、操作记录及其它与安全有关的资料;
5、机房工作人员,都必须严格遵守机房的安全、防火制度,严禁烟火,不准在机房内吸烟,未经领导批准,严禁将易燃、易爆物品带入机房;
第七章.计算机及网络使用安全管理
1.12计算机使用安全
1、所有可能在公司计算机上使用的软盘、光盘、u盘等存贮介质必须经过系统管理员同意并查毒,未经查毒的存贮介质禁止使用,对造成病毒蔓延的有关责任人员,公司将依照相关制度进行经济处罚;
2、公司计算机禁止安装网络电视、影音软件等娱乐性软件。
禁止在上班时间浏览和传播和工作无关的内容(包括在网络上散布、传播谣言及任何不利于公司的消息等),禁止上班时间玩游戏、上网炒股等;
3、不得在公司计算机及网络上制作、复制、传播或执行违反国家法律法规、危害国家安全和有黃色淫秽内容的软件或信息;
4、未经许可,任何人不得利用软盘、光盘和U盘等存贮介质进行拷贝,不得利用电子邮件等方式对外发送公司信息;
5、所有计算机必须保留30天的上网记录。
1.13网络安全管理
1、网络系统所有设备的配置、安装、调试必须山信息系统管理员完成,其他人员不得随意拆卸和移动;
2、内网服务器和各工作站主机的数据文件,未经公司总经理核准,任何人不得利用软盘、光盘和U盘等存贮介质进行拷贝,不得利用电子邮件等方式对外发送;
3、在公司信息部未解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统)的情况下,内外网独立运行,所有终端内外网不能混接;
4、公司办公计算机一律采用固定IP地址,由网络管理员统一配置,计算机使用人员不得擅自更改IP地址;
5、为了保障公司网络的通畅,禁止上班时间上传或下载大型文件或频繁的下载大量数据;
6、信息部经理应安排人员对网络系统实行监控、查询,及时做好对故障的有效隔离、排除和恢复工作,以防灾难性网络风暴发生;
7、网络管理员应定期检查网络运行情况,做好网络防入侵、防病毒工作,如发现问题及时解决,并做好记录处理,解决不了的及时报告有关领导。
第八章.附则
1、本制度由内控组负责解释及修订。
2、本制度自二O—五年十月一日起生效执行。
升级会员 