信息系统安全生产及检查管理办法.docx
《信息系统安全生产及检查管理办法.docx》由会员分享,可在线阅读,更多相关《信息系统安全生产及检查管理办法.docx(11页珍藏版)》请在冰豆网上搜索。
信息系统安全生产及检查管理办法
百马出行公司
信息安全生产及检查管理办法
编号:
密级:
内部
编制:
年月日
审核:
年月日
批准:
年月日
发布日期:
年月日
实施日期:
年月日
分发人:
分发号:
受控状态:
■受控□非受控
版本及修订历史
版本
修订人
审核人
批准人
生效日期
备注
V1。
0
刘鹏
何清
熊小苹
2018-06-29
新建
第一章总则
第一条编制重要性及目的
随着信息化建设的快速发展,一大批重要信息系统陆续建成并投产运行,在生产中得到广泛应用,成为信息管理必不可少的重要工具,计算及网络生产的重要组成部分。
为保证信息系统安全生产,规范信息生产调度职责,建立健全计算机信息系统的维护保障体系,根据《计算机信息系统安全保护办法》及有关规定,制定本办法。
第二条适应范围与要求
本办法适用于公司信息系统的设计、开发、运行和维护各阶段,涉及硬件、信息系统、系统、网络、应用、机房基础设施和管理制度等各个方面。
公司各部门要认真贯彻“安全第一、预防为主”的方针,牢固树立安全意识,加强投产项目的安全管理,提高系统运行的安全性、可靠性和稳定性.
第三条原则
多层次:
信息安全管理工作需从信息系统的不同阶段、信息系统的不同组成部分、参与者的多个层次就行管理与规范。
持续性:
信息安全管理需具有持续性,切合实际情况,不断更新管理体系。
经济性:
信息安全管理应以合理的管理与技术手段解决组织主要信息安全风险.
第四条安全框架
公司采用纵深防御框架构建信息安全体系,包括技术措施与管理措施两大部分。
安全体系涵盖信息系统从规划、建设、运维、变更到下线销毁的全生命周期,涵盖物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复的各个技术层级,涵盖了人员、技术、组织、制度4大因素,并通过PDCA不断的完善。
第二章安全生产的管理机制
第五条管理机构及职责
1。
管理机构
公司成立信息系统安全生产工作及安全生产检查领导小组(以下简称“安全生产领导小组”),总经理任组长,技术总监任副组长,成员为技术部经理、产品经理、开发工程师、运维人员.主任为总经理,成员有技术部经理、产品经理、开发工程师、运维人员.
2.安全生产组织机构职责
2.1安全生产领导小组主要职责
(1)指挥、指导信息系统运行安全、故障处理和突发事件应急处置工作。
(2)审议和审定公司关于安全方面的一切重大问题、方案及各种安全规章制度的发布.
(3)指导、协调、检查安全生产领导小组办公室工作.
(4)负责有关安全生产紧急事项的决策。
(5)定期召开安全专题会议,听取安全情况汇报,及时研究解决安全工作中存在的问题。
2。
2安全生产领导小组办公室主要职责
(1)在安全生产领导小组的领导下,认真贯彻落实公司信息生产安全、质量方针,具体组织实施公司颁发的各项安全管理规章制度。
(2)负责组织制定、完善信息系统安全运行相关规章制度。
(3)负责组织信息系统安全生产检查,提交安全生产检查报告,并对检查中发现危及信息系统安全运行隐患提出整改建议.
(4)遇重大安全情况负责及时向安全生产领导小组报告.
(5)负责组织安全事故和突发事件的调查、分析和总结工作。
2.3安全生产领导小组办公室成员部门职责
(1)负责组织有关技术人员解决信息系统运行故障,尽快恢复系统正常使用。
(2)负责联系业务部门在计算机系统不能正常运行期间采取必要手段,保证相关业务不中断。
第六条信息系统各相关部分运行职责部门
1.投产应用项目的维护与技术支持等由技术部负责。
2.计算机设备含硬件系统、操作系统、数据库系统平台等的维护由技术部负责。
3。
网络及网络安全的软、硬件产品和业务平台的维护由技术部负责。
4.信息生产运行、管理、调度、协调,信息生产项目运行操作,系统、网络和应用项目运行值班监控,信息安全管理以及公司计算机场地系统的值班监控、巡视与维护工作由技术部负责。
5。
外包合同的执行与管理、设备资产与台帐的管理由综合部负责.
6。
信息系统投产前的测试、信息系统配置库管理由技术部负责.
7。
网络与信息安全通报工作由技术部负责。
8.应急状况下的后勤保障由综合部负责。
第三章信息系统生产调度
第七条信息系统生产调度组织
技术部是信息系统生产调度的主管部门,是投产的信息系统日常生产的组织指挥中枢,代表公司领导指挥和监督日常生产工作.信息系统生产调度管理部门的任务是指挥、协调技术支持体系和有关部门处理信息生产系统中所出现各种问题、故障,确保信息系统生产正常进行。
第八条信息系统生产调度主管部门主要职责
1.技术部建立24小时调度值班制度和交接班制度,技术部负有对公司信息生产的调度指挥职责。
2.组织信息系统日常生产,保证信息安全管理通道畅通,及时组织处理计算机网络、软、硬件,信息系统等各类故障,确保信息生产正常运行。
3.组织、指挥与系统运行有关的计算机硬件、网络设备、支撑信息系统和投产信息系统等的技术支持工作。
4。
当发生影响计算机安全生产突发事件时,迅速组织应急抢救,并立即报告主管领导。
5.严格交接班制度,详细填写值班日志。
第四章信息系统投产管理
第九条投产准备
信息系统投产前,须经过严格的测试,并将采用实际数据处理的结果,交用户详细验证,确认无误后,方可将信息系统投产运行。
第十条投产运行
信息系统投产运行,应严格按照公司发布的《信息系统投产及变更风险管理办法》执行。
第十一条人员培训和文档资料
技术部自行开发的信息系统应按要求提供用户手册、项目概况、操作规范、常见故障处理办法以及参数维护方法等电子文档,并对生产值班人员进行培训,使生产值班人员掌握相关操作和常见故障处理规范。
外包开发项目应由技术部根据制定的外包管理办法监督管理项目开发及实施,并提供相应文档。
第十二条投产跟班作业
信息系统投产时,技术部应跟班作业一定周期,指导生产调度人员进行操作、维护和常见故障处理。
第十三条投产操作及故障处理
信息系统投产运行后,生产值班人员应严格按照技术规范进行操作、维护和处理常见故障,信息系统技术部应继续提供技术支持。
当计算机信息系统运行中出现非常见故障时,技术部技术支持人员接到生产调度人员通知后,应及时进行处理.
第五章信息系统维护管理
第十四条信息系统变更管理
1.信息系统一经完成投产交接,其信息系统即纳入配置库管理。
信息系统的修改和维护将在配置库的信息系统中进行,在正常情况下对于运行在生产系统上的信息系统,开发(维护)人员一般只具有只读的权限。
2。
信息系统的变更视其变更程度分层次进行管理.操作性或数据内容的变更由项目负责人确认;数据结构和程序相关的重大变更须经技术部论证后,报公司领导批准方可实施;纠错性紧急变更可口头请示,优先处理,事后报批备案.
3.信息系统变更口令管理
为保证投产信息系统变更可控,变更结果正确,减少对共享平台中其它生产系统的影响,杜绝变更的随意性,保证生产系统能够长期、平稳、安全、有效运行,采用对信息系统的口令管理,实现信息系统变更可控。
(1)技术部负责信息系统口令的保密及更新管理。
口令应存放于安全位置,并做好交接班记录。
(2)口令的借出使用需按相关审批流程处理,借出的口令要负责收回,并及时进行口令更新,且要做好详细记录。
第十五条信息系统变更程序
1。
变更申请。
因业务需求变化、体制改变或技术更新等原因,导致已投产信息系统需要变更时,业务部门应提出信息系统变更申请,填写《信息系统变更申请表》经项目负责人签字并报公司领导审批后,提交技术部申请变更权限。
2。
项目负责人在申请到变更权限后实施信息系统变更,信息系统变更完成后,项目负责人应及时将权限交还技术部。
3。
信息系统的重大变更,需进行严格测试、试运行,确认运行无误后方能上线使用。
同时技术部要提交更新的技术文档,并对相应人员进行培训。
4.新的信息系统迁移前,技术部必须完整备份和保存旧版本,迁移完成投产运行正常后,变更后的信息系统应及时纳入配置库,实施版本控制。
第六章信息系统故障管理
第十六条故障分类和界定
按照投产项目的实时性和重要性以及故障对运输生产的影响程度,将信息系统分为A、B、C三类(信息系统类别表见附表2)。
根据故障延时,分为一般故障和大故障。
即:
当A类信息系统故障延时超过三十分钟;B类超过一小时;C类超过两小时,构成一般故障.当A类信息系统故障延时超过一小时;B类超过两小时;C类超过八小时,构成大故障.
第十七条故障的登记和报告
投产信息系统发生故障时,运维人员要按照故障处理流程,及时通知相关技术支持人员处理,并详细记录故障发生时间、故障类型、处理结果、故障延时等信息.当信息系统发生大故障时,值班人员要及时报告主管领导。
第十八条故障的调查分析和处理
投产信息系统发生故障,如果构成一般故障以上时,安全生产领导小组办公室将组织召开故障分析会,分析故障原因,查清责任,制定整改措施,提出处理意见,并将处理结果报公司安全生产领导小组.
第十九条故障的统计分析
1。
信息生产值班日报表。
对每日生产运行情况进行统计,形成报表,以电子邮件方式发送给相关部门领导。
2.月度生产运行情况统计表和月度信息生产简报。
对全月生产运行情况进行统计分析,其中月度信息生产简报上报公司领导及相关部门领导.
3。
重点运行项目月度故障统计表。
对重点项目运行故障按月进行统计分析,形成报表,上报公司领导及相关部门领导.
第七章计算机系统管理
第二十条工作范围
运维人员负责投产计算机的操作系统、数据库、系统备份信息系统、系统通信信息系统及各个信息系统中与系统相关部分的维护。
包括系统安装、系统升级、补丁安装、系统备份、日常维护、故障处理、配合各应用项目实施工作.
第二十一条文档管理
运维人员需建立系统维护文档,内容包括计算机系统配置、磁盘空间划分、主机地址使用、应用切换方案、用户帐号管理、数据库空间划分、系统备份策略、系统监控、系统发布策略、系统安全服务等。
系统配置改变时,需及时修改文档.
第二十二条日常维护
运维人员需对所管理的计算机系统进行日常维护,每天查看系统日志、分析其中错误并及时处理;检查系统空间使用;清理无用文件等。
每月对系统巡检,内容包括:
系统信息系统及补丁版本、漏洞修补情况、定时任务、系统空间剩余情况、日志文件清理、各应用项目信息系统是否正常,并填写巡检日志。
第二十三条系统帐号管理
运维人员对各种系统的高级用户口令实行严格管理,避免采用缺省口令或常见口令。
系统口令要定期修改并保存在安全位置。
第八章网络管理
第二十四条网络维护
运维人员负责广域网、局域网的维护工作,对于重要的、核心的网络设备要求每日检查日志以便及时发现故障隐患.
第二十五条网络备份
重要的、核心的网络通道、设备、接口要有一定的冗余,其备份设备要保持良好工作状态,定期检查备份设备的切换能力,保障网络的不间断运行。
第二十六条网络安全
运维人员要做好网关、网址和密码的管理和维护工作,其使用的口令必须定期修改并备案。
第二十七条病毒防御
1。
所有入网运行的使用微软操作系统的计算机一律安装公司指定的防病毒软件,所有Win操作系统用户要设置密码,密码不得为空,运行微软操作系统计算机的防病毒代码要保持最新版本。
2.经U盘或移动存储介质交换信息时,必须预先对其进行杀毒处理.
3.禁止运行未经审核批准的软件。
第九章机房设备管理
第二十八条机房设备进出门管理
1.机房场地实行24小时值班制度,场地值班人员负责机房设备进出门审核,及设备安装监管、场地系统值班监控、巡视与维护工作。
2.为确保机房信息系统安全运行,未经责任部门许可,不许擅自安装、移动和拆卸设备.
3.机房设备进出门,使用部门必须履行相关手续,填写《设备进出机房申请表》,经表中所列各审批部门批准签字后方能生效.
第二十九条机房设备的日常巡视
机房场地值班人员要坚持场地巡视制度。
定时检查机房设备运行情况,填写运行日志。
在巡视中如发现异常,要及时采取措施,并通知设备维护人员处理。
第三十条设备台帐及资料管理
计算机系统及配套设备、网络设备等要有专人管理,建立机房设备的技术资料档案,其硬件配置和软、硬件的参数,要及时填入设备台帐,并要根据设备变更情况及时更新.
第十章机房环境管理
第三十一条空调设备及温湿度控制
机房空调系统是保证计算机运行的基础设施,必须配有备用空调系统设备。
机房温度应控制在23(+/-2)度范围之内.湿度在40%-70%
第三十二条机房供电系统
机房的供电系统分两部分:
一是计算机设备供电;二是辅助设施供电。
计算机供电必须有稳定可靠的双路供电,要配备容量足够的UPS供电系统。
辅助设施供电主要指空调机、照明、报警装置和维修工具的供电,要安装双路供电及切换装置。
计算机和辅助设施的电源要分别供电。
机房配电柜开关要有明确的标志,要设置电压和电流表以监测计算机电源电压和电流平衡情况。
要设置应急开关,当机房出现严重事故或火警时,应能立即切断电源。
UPS输出电源和辅助设施的电源不能设置在同一个配电柜内,防止两个系统之间相互干扰.
第三十三条机房的应急照明
计算机主机房要安装应急照明装置,以保证在机房照明双路停电时对计算机的正确操作。
第三十四条机房的安全装置
机房须安装机房场地监控系统,实现对机房场地环境的自动监控,以提高机房安全管理的自动化水平。
第三十五条机房场地管理
机房场地属要害场所,场地值班人员要严格执行机房管理制度,加强计算机安全保密制度外来人员进入机房须经领导批准并登记在册,并要有专人全程陪同.
第三十六条机房内维修工具的管理
维修用的各种易燃溶剂(汽油、酒精、丙酮、甲苯等)用后要随即带出机房.机房内使用电烙铁、电钻、电焊机等电动维修工具时,要注意防火,应使用市电电源插座,用毕后应及时切断电源,清理现场。
第三十七条机房消防
机房内不得存放任何易燃、易爆、强磁、强腐蚀性危险品。
机房环境要达到防火、防静电、防雷击要求。
机房要做到卫生清洁、设备放置整齐。
机房中应配有气体消防设施
第十一章安全生产检查
第三十八条安全生产检查项目
信息系统安全生产检查项目包括:
1。
计算机运行环境。
包括:
计算机机房温度、湿度,卫生,电源,空调,新风等。
2.计算机设备运行状态和日常管理。
3。
操作系统和数据库安全。
4。
网络安全.
5.病毒防范.
6。
重要计算机信息系统文档。
7。
应急预案。
8.规章制度.
第三十九条安全生产检查标准
1。
机房运行环境
(1)机房温度23(正负2)度,湿度40%—70%。
机房设备排列整齐,布线规范。
设备表面和机房清洁无尘。
(2)安装有机房场地监控系统.实现对机房环境包括机房温湿度、空调、电源的运行状态自动监测与报警,并安装有门禁系统、漏水检测系统及视频监视系统。
(3)电源系统。
双路UPS供电,UPS主机系统能实现互备和切换使用。
市电双路,且引自不同地区的电力变电所。
并配有备用柴油发电机组,柴油发电机组定期进行切换运行。
(4)防雷接地系统。
市电引入应接有防雷装置。
(5)空调系统。
安装有精密专用空调,能实现对机房温湿度自动调节,空调机组应有备份设备.
(6)防渗水装置。
(7)有应急照明装置。
2。
计算机设备运行状态和日常管理
(1)安装有信息系统运行自动监测、监控系统,实现24小时对重要设备的运行状态进行自动监测与报警。
(2)机房值班定时巡视记录。
(3)设备台帐齐全.
(4)关键设备办理保修服务.
(5)重要信息系统主机服务器有备份设备,备份设备处于良好运行状态,且定期进行切换运行。
3.系统信息系统和数据库
(1)操作系统补丁及时更新。
(2)运维人员密码符合原则。
(3)系统和重点用户可用空间。
(4)数据库用户可用表空间。
(5)系统信息系统和数据库备份及时完整,定期切换。
4.网络安全
(1)网络核心设备有备用设备,且定期进行切换运行。
(2)定期巡检记录。
(3)实现生产网、办公网与互联网隔离。
(4)网络示意图、地址分配表和网络设备文档齐全。
5.病毒防范
(1)联网微机使用并安装防毒软件。
(2)病毒特征文件为最新版本。
6.重要信息系统文档
(1)功能简介.
(2)操作规范。
(3)维护规范。
(4)切换备用方法和切换记录。
(5)常见故障现象和处理方法。
7.应急预案
重要信息系统制订有应急预案。
应急预案演练情况及记录。
8。
规章制度文档
8.1机房管理类
(1)机房管理制度。
(2)机房值班交接班制度。
(4)机房安全防火和保密制度。
8。
2设备维护管理类
8。
3运行操作类
第四十条安全生产检查周期和方式
为保证信息系统安全运行,公司各业务部门在做好各信息系统日常检查维护工作的基础上,配合做好安全生产定期检查工作.公司安全生产领导小组定期组织对公司机房及信息系统安全检查。
检查采用自查和抽查相结合方式,各部门对所负责的系统开展自查,并提交自查结果报告。
安全生产领导小组根据具体情况组织进行抽查,对抽查中发现的重大问题,应予以通报。
附件
附1信息系统变更申请表
申请人
申请部门
变更类型
□应用系统□系统环境
变更原因及内容描述:
变更预期时间:
申请部门领导签字:
附2设备进出机房申请表
日期:
年月日
办理人员
设备类型
设备数量
设备进出事由
备注(设备型号、配置等)
领导审批
机房管理人员
升级会员 