信息系统日常管理制度.docx
《信息系统日常管理制度.docx》由会员分享,可在线阅读,更多相关《信息系统日常管理制度.docx(12页珍藏版)》请在冰豆网上搜索。
信息系统日常管理制度
信息系统日常管理制度
IT安全政策和管理程序
通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。
IT系统服务器统一放置于机房,并设置烟雾探测、报警装置、湿度和湿度探测装置。
加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。
2、软件包括:
服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。
3、客户机的网络系统配置包括客户机在网络上的名称,IP地址分配,用户登陆名称、用户密码、及Internet的配置等。
4、系统软件是指:
操作系统(如WINDOWSXP、WINDOWS2003等)软件。
5、平台软件是指:
办公用软件(如OFFICE200)3等平台软件。
6、专业软件是指:
工作中使用的软件(如金蝶等)。
管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助各部门进行数据备份和数据归档。
管理人员执行公司保密制度,严守公司商业机密。
一、网络系统维护
1、系统管理员每周周五必须对服务器进行检查。
2、对于系统和网络出现的异常现象管理员应及时采取措施。
3、及时下载最新的防病毒软件,防止电脑受病毒的侵害。
二、数据备份管理管理员应对数据库进行自动实时备份,每月至少做一次手工备份。
备份结束后需检查备份的情况,若备份出现异常情况,应及时处理,每次备份需填写备份记录表。
三、用户帐号申请/注销
1、新员工(或外借人员)使用计算机需提出申请,经批准领导同意后由行政部统一负责分配。
2、员工离职应将本人所使用的计算机归还至行政部,管理人员需对离职人员计算机中的公司资料信息进行备份,方可对该计算机硬盘进行格式化,以便下一位员工使用。
3、金蝶系统密码复杂性要求如下;
(1)、密码设置应包含字母和数字,密码长度不少于6位。
;
(2)、使用用户每隔90天更换密码一次,并且不能更改为之前连续使用过的3个密码中的任何一个。
四、电脑管理和维护管理员需对电脑进行统一编号管理。
程序变动管理
系统变更工作可分为下面三类类型:
功能完善维护、系统缺陷修改、统计报表生成。
功能完善维护指根据业务部门的需求,对系统进行的功能完善性或适应性维护;系统缺陷修改指对一些系统功能或使用上的问题所进行的修复,这些问题是由于系统设计和实现上的缺陷而引发的;统计报表生成指为了满足业务部门统计报表数据生成的需要,而进行的不包含在应用系统功能之内的数据处理工作。
系统变更工作以任务形式由需求方(一般为业务部门)和维护方(一般为信息部门的应用维护组织和软件开发组织,还包括合作厂商)协作完成。
系统变更过程类似软件开发,大致可分为四个阶段:
任务提交和接受、任务实现、任务验收和程序下发上线。
因问题处理引发的系统变更处理,需求部门提出系统变更需求,并将变更需求整理成系统变更申请,由部门负责人审批后提交给系统管理员。
系统管理员负责接受需求并上报给主管。
主管分析需求,并提出系统变更建议,根据变更建议审批系统变更申请。
系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求,将需求提交至内部开发人员、合作开发商或外包开发商,产生供发布的程序。
系统变更过程应遵循软件开发过程相同的正式、统一的编码标准,并经过测试和正式验收才能下发和上线。
系统管理员组织业务部门的系统最终用户对系统程序变更进行测试,并将测试变更完成结果提交部门负责人及主管领导签字确认。
管理员对系统变更的相关文档进行归档管理,变更过程中涉及的所有文档至少保存两年。
信息系统管理
1、应用系统及数据库只能由服务器系统管理员进行维护,若需外援时,必须在管理员的陪同下进行操作,其他终端用户不得进入数据管理后台。
2、终端用户的开通及变更需以书面形式提交给相关部门领导签字确认,其中包括用户的权限变更、终端软件更新。
3、当遇到需要变更时,管理员应该做好详细的变更记录。
如:
程序变更、紧急变更、配置/参数变更、基础架构变更、数据库修改等。
业务持续性计划及灾难性修复计划
启动持续性计划
判断事件是否为灾难事故,若为一般事故,则进行事件处理程序,若为灾难性事故,则启动持续性计划。
执行过程
(1)成立应急小组,确定应急总指挥和小组成员;判断损坏程度,采取最有效的恢复措施;
(2)获得最新的备份数据,证实恢复操作的可行性和必要性;
(3)准备新的系统运行环境,进行系统恢复;完成系统恢复,进入业务测试,确保数据的完整性
(4)系统恢复正常,进入系统监控状态。
灾难恢复计划
1、日常备份检查
(1)、日常服务主机按时定期做备份,分为两类:
主机备份:
主机备份应在每周,确认服务运行正常后,知道备份计划和类型,并指定备份时间应为网络最空闲时。
在自动执行计划后,应确认备份是否完整,是否有错误。
数据备份:
数据备份应做每日备份,确定需要备份的数据库,制定每日备份和备份类型。
每日,数据库管理人员应对前一日的备份,进行检查,确认备份是否成功完整。
(2)、日常备份检查日常备份检查应由系统管理员负责设置金蝶系统每天自动备份,并检查每天的备份是否成功。
(3)、备份空间检查日常由系统管理员检查备份空间是否充足,如空间紧张,应提前把距离最远的备份文件,存放至指定存储介质中,系统管理员应对存储介质存放进行检查,查看存放空间是否达到防潮防磁,并对存储介质进行封存。
2、灾难恢复小组:
组长:
总经理灾难鉴定:
各部门经理恢复实施人员:
系统管理员恢复后检查人员:
各部门经理灾难恢复制度:
1.灾难级别划分
A类:
计算机软件硬件故障发生概率:
对于企业,发生可能性最大。
由于设备长时间运行,升级硬件所造成。
状况有(服务停止,正常业务不能办理)
B类:
人为操作故障
发生概率:
日常工作中员工对于本部门的资源进行更新或维护,由于不正当操纵或误操纵造成文件损坏或丢失。
状况有(个别部门文件丢失,使得部门正常办公受到阻碍)
C类:
资源不足引起的计划性停机
发生概率:
由于操纵系统软件或硬件资源不足造成所造成的系统;服务宕机,造成的数据丢失或损坏。
状况有(服务器无法正常提供服务,重启后无效,需要转移服务,升级维修服务器)
2.相对应级别的处置方法当发生时。
应先报告系统管理员,由灾难鉴定小组进行灾难鉴定,确定灾难级别,上报灾难小组组长,并对灾难发生时间,解决方法,恢复时间进行记录。
2.1发生A类灾难时,灾难鉴定人员确定灾难级别后,上报灾难恢复组组长,确定恢复方案,排除硬件原因,在主机正常启动后,检查缺失的文件或不能正常启动的服务,上报灾难组组长,并准备备份文件,进行恢复。
2.2发生B类灾难时,灾难发现任应及时上报灾难恢复组组长,明确丢失的文件,确认文件丢失原因,并对丢失原因和责任人进行记录。
由丢失文件部门提出书面“恢复文件申请”,由灾难鉴定确定丢失文件,在灾难恢复小组组长批准后,准备备份文件恢复。
恢复后,由丢失文件所在部门进行确认。
2.3当发生C类灾难时,由灾难鉴定人员确定主机故障,并上报灾难恢复小组组长:
2.3.1确认为主机操纵系统故障或硬件资源不足所引起宕机时,先确认该主机是否为应用服务器(如是应用服务器,应先断开该主机的网络连接),如有需要,应及时转移服务,由其他服务器代为
承接业务。
故障主机再进行维修
2.3.2如确认系统不能正常运行,但通过短时间维护(不超过2小时)可以恢复正常,报请灾难恢复小组组长,并对原因进行说明。
在得到批准后,实行对主机的全面恢复(在断开主机网络连接后,回复到最近一次的正常备份状态)。
在恢复后由恢复检查人员对主机进行检查,确认主机确实恢复后,再接入网络,恢复后检查人员应在48小时内对恢复后的主机密切关注,确实恢复正常后,报告灾难恢复小组组长。
并对主机恢复情况留有详细记录,以备后续检查。
备份根据公司情况将数据分为一般数据和重要数据两种。
一般数据主要指:
个人或部门的各种信息及办公文档、电子邮件、人事档案、考勤管理、监控数据等。
重要数据主要包括:
财务数据等。
一般数据由各部门每月自行备份,部门经理负责整理归档,每半年对一般数据资料进行选择性收集归档并进行备份数据恢复测试。
重要数据由财务部负责,具体细则如下:
系统管理员负责设置金蝶系统每天自动备份,并检查每天的备份是否成功。
财务部每月底将当月电子帐、表格等数据统一整理并上传到云盘备份归档。
每季度系统管理员对本地及异地备份文件进行恢复测试并记录测试结果,确保备份文件的可用性。
所有数据备份工作由各部门负责人进行详实记录,并建立档案。
如遇网络攻击或病毒感染等突发事件,各部门应积极配合进行处理,同时将集体情况记录到备份档案中。
各部门负责人应严格执行公司规定,如发现不及时上传资料、故意隐瞒资料或没有及时执行备份任务的,将进行严肃处理。
计算机版权管理
公司内部使用电脑必须受管理,各部门安装的电脑操作软件和应用软件由IT部根据软件版权管理项目组提供的标准进行管理,不能擅自安装。
电脑用户不能自行或请IT部人员安装授权以外的软件。
电脑用户不能擅自升级操作系统版本和新版本应用软件,如因工作需要必须升级,需以书面申请形式提交软件版权管理项目组评估通过,经审批同意后,方可进行升级安装;各部门提出申请额外安装工作所需的应用软件,需由使用部门提出书面申请,经同意后方可实施安装;
需在计算机安装硬件加密狗的应用软件,使用部门必须造册登记,并向软件版权管理项目组上报记录在案,使用人员离职时必须将加密狗交回使用部门;员工不得复制、刻录IT部提供的软件安装文件,供公司以外人员安装或用于私人用途或牟利;
员工不得将XX计算机软件放在网上供他人下载;不允许从网上下载XX的版权软件。
公司网站管理
1、网站管理原则
(1)公司设专人负责网站管理,其他单位(部门)或个人不得以任何方式试图登陆进入公司网站后台管理进行修改、设置、删除等操作。
(2)对于系统和网站出现的异常现象,网站管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施。
(3)保证网站网页不得含有危害国家安全和社会稳定的信息和不健康内容。
(4)鼓励本单位员工协助审查公司网上信息,发现不符信息和内容应及时通知相关管理人员予以更改。
2、网站管理员主要职责
(1)定时对系统进行检查,定期升级病毒软件和查杀计算机病毒,保证系统正常运行,并做好记录工作。
(2)做好网络配置和设置纪录,妥善保管网站密码并定期更换,防止泄密。
(3)做好网站管理权限保密工作,统一分配权限,防止他人非法侵入网站。
(4)根据规定及时更新网站内容,应注重上网信息的时效性和准确性,不断完善网页上的项目和内容
(5)及时备份数据,做好归档工作。
(6)定期从网站上收集客户信息和建议,并转发给相应的部门处理。
二、信息发布制度
1、网站内容应及时更新
2、信息发布按流程运作
(1)信息采集
a根据网站几个版块内容,不同的版块内容应由相关部门采集提供。
b信息采集人员应保证网页、图片及文件资料无病毒、信息准确,并做好相关资料的备份。
(2)信息审核
a信息采集人在向网站管理员提交电子文本稿件的同时,还应提交与电子文本稿件内容相同的纸质印刷稿件,并注明供稿人与审核人以供备案。
b需要在网上发布的信息及上传文件须经总经理审核后方可发布。
(3)发布原则
1、公司的网站维护更新遵循需求主导,突出重点,统一标准的原则
2、维护更新工作实行谁审批谁负责、涉及两个部门以上的信息
由总经理审核,各部门的新闻信息由部门领导审核。
3、产品信息根据研发和生产的需要,在生产和销售前发布。
4、新闻报道栏目,至少每月更新一次。
5、部门信息每月至少更新一次,并于每月的第一周报网站管理员发布。
(4)发布及归档
a网站管理员负责按时发布信息,凡总经理签发的信息原则上随到随发,以保证公司网站信息快捷传播。
b建立信息发布日志,网站管理员负责记录每次信息发布时间,做好发布信息审批记录及原始资料的归档工作。
c不定期更新版面,每次更新后的旧版本进行备份,并拷贝后作为原始件归档案室存档。
(5)反馈与处理
a网络信息每日一整理,分类反馈上缴,等待处理。
b网上购物信息,收集汇总,上缴总经理审核后处理。
三、日常维护要求
1、自动监控与人工巡视双重保护网站正常运行。
2、网站运行监控:
保证网站服务器7*24小时无障碍运行,确保公司网站能够正常登入,访问。
3、每天3次人工巡视:
网站管理员应每天3次检查公司网站上发布的信息,发现问题及时处理,发生重大突发事件要及时上报有关部门及主管。
4、每周1次网站文件、数据备份。
5、网站管理员根据公司各部门提供的信息加以整理,制作相关网站页面,页面编排应注重美观整齐,不应出现错别字。
四、网站安全保密管理
1、检查网络防御病毒措施(包括网络防火墙,网络版的杀毒软件等)、系统软件、应用软件等升级情况,并进行信息安全检查,以保证信息安全,防止病毒的侵入与蔓延,保证网络工作站的正常运行。
2、制订合理的数据库及文件系统的备份与恢复策略,一旦发生意外,能够在最短的时间内将数据恢复。
3、每日应统计网站运行中所发生的告警提示,并加以分析,作到三清,即“原因清、时间清、地点清”。
每月底对发生的故障进行全面分析,完成故障统计分析报表,提出整改意见。
4、网站负责人负责公司网站密码及权限的保密工作,定期修改密码且密码设置不能过于简单,不得随意向他人泄露,以免网站安全受到威胁。
五、网站用户管理
1、在企业的Web站点上,网站管理员要认真回复用户的电子邮件和传统的联系方式如信件、电话垂询和传真,做到有问必答。
同时将用户进行分类,如:
售前一般了解、销售、售后服务等,并转由相关部门处理,使网站访问者能感受到企业的真实存在,产生信任感。
2、书面网站访问报告:
通过在网站上设立客户留言及意见反馈等栏目,或设置有奖竞赛方式,让浏览者填写如年龄、行业、需求、光顾本站点的频度等信息,从而得到访问者的统计资料,以供调整网站设计和内容更新时参考。
3、企业的网站应多关注自己特定的客户群,通过多种形式和客户保持沟通,吸引客户不断地通过网站和企业进行交流,从而加深与客户的关系、更深层次地了解客户需求、为企业发展提供服务。
六、考核与奖惩措施
1、网络管理员接受公司统一的公司考核制度。
2、对公司网站建设积极配合提供大量准备有效的材料和信息并做出突出贡献的部门和个人,根据公司有关规定,给予一定的表彰奖励。
3、凡有以下情况酌情给予通报批评或按有关规定追究责任:
1未经领导审核而发布信息,出现人为失误,将追究相关人员责任。
2上网内容虚假或有较多错误,产生不良影响的。
3违反规定失密泄密并造成一定损失的。
4有侵权行为的以及其他影响公司及产品形象的
业务连续性管理程序
1.目的
本程序规定当发生重大信息安全事件或灾难时,为保护本公司业务活动免受影响,迅速恢复已中断的业务活动,实现业务持续发展而实施的管理活动。
2.范围
本程序适用于本公司业务相关的主要业务的持续性管理控制
3.职责
3.1最高管理者(总经理):
A、危机第一责任人,负责运营策划、实施、保持和持续改进;
B、担任特别重大危机(I级)的总指挥;
C、重大危机后接受媒体报告;
3.2副总经理:
A、危机第二责任人,负责各事业部运营执行;
B、较大危机(H级)及一般性危机(皿级)的总指挥;
3.3行政部办公室主任:
A、人才危机进行预测;
B、收集各部门危机信息进行分析,启动危机预警,
C、危机后人员的安抚及人力的调整;
D、危机后对外信息的发布及媒体沟通;
E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障;
3.4销售经理:
A、市场危机进行预测,收集市场信息;
B、危机后负责向客户沟通,稳定市场;
3.5财务部负责人:
A、财务危机进行预测;
B、危机后提供危机所需的资金保障;
3.6采购部门负责人:
A、供方危机进行预测;
B、危机后物料的调配;
4工程程序(工作流程图)
业务持续性和影
响分析
1
A
编制业务持续性计划并实施
业务持续性定期测试与评审
▼
1
T
业务持续性与影响分析报告业务持续性管理战略计划
业务持续性管
理实施计划
业务持续性管
理测试报告业务持续性管理评审报告
4.1危机分类
A一般性危机(皿级):
指突然发生,事态比较简单,仅对较小范围内产生威胁或损失,只需要调度个别部门的力量和资源能够处置的事件。
B较大危机(H级):
指突然发生,事态较为复杂,对一定区域或部门财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失或生态环境破坏,需要调度公司部分力量和资源进行处置的事件。
C特别重大危机(I级):
是指突然发生,事态非常复杂,已经或可能造成特别重大人员伤亡、特别重大财产损失或重大生态环境破坏,需要调度公司全部力量和资源,或需求助政府各方面资源和力量进行处置的事件。
5.2业务持续性和影响的分析5.2.1在首次信息安全风险评估后进行业务持续性和影响的分析。
5.2.2业务持续性和影响的分析由总经理组织,各部门经理配合,及总经理指定的相关责任人分别开展以下活动:
a)对信息安全进行风险评估;
b)识别出对业务持续性造成严重影响的主要事件,如设备故障、火灾等;
c)分析这些事件一旦发生对业务活动造成的影响和损失,以及恢复业务所需费用等;
d)编写《业务持续性和影响分析报告》(格式不限)。
5.2.3《业务持续性和影响分析报告》应包括以下内容:
a)识别关键业务的管理过程;
b)可能引起业务活动中断的主要事件;
c)主要事件对管理的信息系统的影响;
d)信息系统故障或中断对业务活动的影响;
e)关于系统恢复或替换的费用考虑。
5.3编制《业务持续性管理战略计划》
副总经理编制的《业务持续性和影响分析报告》完成后应提交总
经理,由总经理或总经理指定的人员来制订《业务持续性管理战略计划》(格式不限),并提交总经理审核后予以实施。
5.4编制《业务持续性管理实施计划》
5.4.1根据《业务持续性管理战略计划》,各相关职能人员分别编制自己负责区域内的管理的信息系统的《业务持续性管理实施计划》,并由总经理批准,以便在这些系统发生中断时实施。
5.4.2《业务持续性管理实施计划》的编写为:
a)硬件工程师网络部分:
核心业务网络系统、办公网络系统、电话网络、供电系统及中间业务。
5.4.3《业务持续性管理实施计划》应包括以下方面的内容:
a)计划实施所涉及的职务/相关人员的职责、权限及接口关系的描述;
b)系统中断的速报程序及要求;
c)系统中断的恢复程序及方法;
d)系统中断的恢复时限要求;
e)保持业务运作连续应采取的应急措施与备用措施;
f)必要的技术支持及资源要求。
5.5《业务持续性管理实施计划》的实施要求上述重要系统一旦受到重大影响或中断后,有关人员应立即执行《业务持续性管理实施计划》,对系统采取应急措施、进行恢复,确保经营活动的持续运行。
同时,应按照《事故、薄弱点与故障管理程序》做好事故处理记录,记录内容应包括:
a)对系统中断原因的调查分析;
b)系统中断造成损失的统计;
c)采取的纠正措施;
d)应吸取经验教训及预防措施等。
5.6业务持续性计划的测试与评审
5.6.1每年下半年由总经理组织有关人员对《业务持续性管理实施计划》进行测试,以判断计划的可行性和有效性。
测试可采用以下方法进行:
a)对已发生过的业务中断及恢复措施实例进行讨论;
b)组织有关人员进行业务中断及恢复的模拟演练;
c)采用技术手段对系统运行及中断恢复的相关参数进行测量;
d)由供应商提供测试服务,确保所提供的外部服务和产品符合合同要求。
测试完成后填写《业务持续性管理计划测试报告》。
5.6.2根据相关人员的测试报告,总经理组织有关的人员对计划的适用性和有效性进行评审,形成《业务持续性管理计划评审报告》。
5.6.3根据《业务持续性管理计划评审报告》的要求,决定是否对《业务持续性管理战略计划》和《业务持续性管理实施计划》进行修改。
6记录《业务持续性和影响分析报告》《业务持续性管理战略计划》《业务持续性管理实施计划》《业务持续性管理计划测试报告》
《业务持续性管理计划评审报告》
附则
1、本制度由行政部负责解释,自公布之日起实施
2、本制度有不妥之处在运行中修改并公布。
升级会员 