信息化系统管理制度.docx

1、信息化系统管理制度信息安全管理制度第一章. 总则 11.1目的 11.2适用范围 113 定义 1第二章. 管理职责 11.4信息化组 11.5其他部门 1第三章.信息系统建设管理 21.6信息系统的定义 21.7信息规划制定 21.8信息系统建设 2第四章.信息安全管理 51.9权限管理 51.10数据管理 51.11密码安全管理 7第五章. 服务器安全管理 8第六章. 机房安全管理 8第七章.计算机及网络安全管理 91.12计算机使用安全 91.13网络安全管理 10第八章. 附则 10第一章总则1.1目的为了保障企业内部信息安全，包括加强信息系统的安全性、可幕性、合理性 以及相关信息的保

2、密性、完整性和可用性，为建立有效的信息与沟通机制提供支 持保障，使整个信息业务平台长期正常运行提供强有力的保障，特制定本制度。本制度适用于公司所有的信息系统平台。1.3定义信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提 升所形成的信息化管理平台。第二章.管理职责1.4信息化组1、 负责制订信息系统建设规划；2、 负责制定信息系统管理制度的制定、宣导、执行、监督、修订完善；3、 负责信息系统的选型、建设、培训、实施及维护工作：4、 负责网络、软硬件及信息的安全管理；5、 负责信息系统的日常维护和管理。1.5其他部门1、 配合信息化组人员需求调研、业务流程解释等;2、 严格按信

3、息系统管理制度配合执行。第三章信息化系统建设管理1.6信息系统的定义信息系统是一个以人为主导，利用计算机硬件、软件、网络通信设备以及其 他办公设备，进行信息的收集、传输、加工、储存、更新和维护，以企业战略竞 优、提高效益和效率为LI的，支持企业的高层决策、中层控制、基层运作的集成 化的人机系统。1.7信息化规划制定(-)确定目标企业应组织各职能部门管理者参与信息系统LI标讨论确定，明确管理需求、 系统建设U标、总体功能结构、关键功能需求、关键信息需求及开展进度要求;(2)制定规划1、 信息化负责人应根据企业信息化建设LI标，制定信息系统建设战略规划 方案，报送公司高层审核；2、 信息化负责人应

4、根据审核过的信息系统建设战略规划方案，制定详细的 信息系统建设方案，报送公司高层审核；3、 信息化负责人应每年根据企业实际发展情况调整规划方案，报送公司高 层审核；1.8信息系统建设(-)定义信息系统的建设主要山自主开发及购买两部份组成，自主开发即山企业内部 成立信息化组织，进行信息化建设及服务，购买即委托第三方为企业内部提供信 息化建设及信息化服务。（二）自主开发1v平台选择（1） 开发平台选择应考虑规避法律风险，避免涉及版权纠纷问题；（2） 开发平台选型时应考虑技术风险，对开发平台的选择应做好充分的技 术风险评估，包括系统性能、稳定性、安全性、开发效率、跨平台支持能力等主 要因素，并提交信

5、息化主管或经理审批确认；2、需求分析（一） 需求提出业务人员提出信息化需求时，应通过信息化需求申请书提交到部门经理 进行审核，经领导审核通过后，再将需求提交至信息化经理审批；（二） 需求审批信息化经理组织需求评审员进行需求评审，评审要素如下：1、 需求范圉是否合理；2、 是否存在技术风险；3、 要求完成工期是否合理；4、 流程是否合理；5、 权限要求是否合理等。评审通过后，安排需求分析师进行详细的需求调研；（三） 需求确认1、需求分析师根据评审通过的需求文档，进行详细的需求分析，对有疑问 的需求，主动与需求提出者进行沟通确认需求范圉；2、需求分析师与相关需求人员沟通确认后，进行详细的需求分析和

6、设讣, 并形成详细的软件需求规格说明书后，与用户及软件设讣人员进行需求的复 核，以确保软件需求的完整、准确、清晰、具体，并使用户和软件设计人员对需 求规格说明和初步的用户手册的理解达成一致。一旦发现遗漏或模糊点，必须尽 快更正，再行检查。3、 系统开发(1)信息系统的设计、开发、运行等环节，应遵守软件开发规范；(2)开发人员编写开发代码应遵守代码安全规范要求；(3)代码审查员应定期或不定期对开发人员的代码进行检查，检查范围包括 代码规范、代码安全等，并做好检查记录，对不符合规范的应给与指导改进；4、 实施上线(1)实施人员根据测试通过的系统模块，编制系统使用说明书组织相关 涉及该系统模块使用人

7、员进行培训；(2)培训后，山实施人员通知相关涉及该系统模块的人员进行系统试运行， 试运行一个月内，及时收集相关问题并改善系统模块；(3)试运行一个月后，山实施人员正式通知相关涉及系统模块人员正式上线 使用；(4)实施人员应定期检查系统模块使用状况，确保系统正常使用；(3)购买1、 对外购买信息软件应组织相关业务部门进行综合评估，避免产生与实际 业务应用不符的情况出现；2、 对外购买信息软件应组织技术人员进行系统评估，做好数据接口对接工 作，做好数据风险和技术风险的评估，应出具信息平台选型评估报告提交信 息化经理审批确认；3、对外购买信息软件应评估供应商技术实力和服务能力;4、 对外购买信息软件

8、应签订服务条款、明确服务内容及实施成果要求;5、 对外购买信息软件应考虑版权纠纷及归属问题。1.9权限管理（一） 原则1、 任何人未经许可，不得擅自开通平台账号、不得擅自授权他人平台使用 权限；2、 公司员工若需越级使用公司的信息系统，必须经过上级领导授权方可使 用；（二） 授权系统管理员应根据人力部经审批的新员账号开设通知单及岗位操作权 限对应表为新员授权；（三） 变更系统管理员应根据人力部经审批的员工调岗、轮岗申请表及岗位操作 权限对应表进行权限变更；（四） 关闭系统管理员应根据人力部经审批的离职申请表及时关闭掉离职人员账号 及相关权限；1.10数据管理（一）存储介质管理数据信息存储介质包

9、括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定：1、 对重要、敬感或关键数据信息的移动式存储介质须专人管理；2、 任何存储媒介拷贝公司信息需经过授权，并保留相应记录，方便审查；3、 删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介 质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存 储区域填入无用的信息进行覆盖；4、 长期保存的备份介质，必须按照制造厂商确定的存储寿命定期转储，防 止存储介质过期失效；5、 备份介质要每半年进行检查，以确认介质能否继续使用、备份内容是否 正确。一旦发现介质损坏，应立即更换，并对损坏介质进

10、行销毁处理；6、 备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠等要 求。备份介质必须有由专人负责进行存取，其他人员未经批准不能操作。（二）备份管理备份管理工作应由信息中心安排专人负责，备份管理人员负责制订备份、恢 复策略，组织实施备份、恢复操作，指导备份介质的取放、更换和登记工作，日 常备份操作可由备份管理人员或机房值班人员完成。1、数据备份（1） 对信息系统数据库每日进行数据备份及备份加密工作，并做好备份记 录，山系统安全管理员定时检查备份结果，并填报检查记录以备审查；（2） 业务系统将进行重大系统变更时，应对核心业务数据进行数据信息的 全备份；（3） 数据信息备份应釆用性能可

11、靠、不宜损坏的介质，如磁带、光盘等。 备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息， 并置于安全环境保管对备份的数据文件必须采取加密方式进行保存，防I匕信息泄 漏；（4） 数据备份应分布在不同的存储介质上，应不少于两个存储介质；（5） 数据备份存储周期应不少于半年；（6） 定期对备份的数据库及原代码进行恢复验证，确保备份数据可正常使 用；（三） 备份恢复1、 系统管理员应根据不同业务系统实际拟定需要测试的备份数据信息以及 测试的周期；2、 对于因设备故障、操作失误等造成的一般故障，需要恢复部分设备上的 备份数据信息，遵循异常事件处理流程，由系统管理员负责恢复；3、 定期

12、检查和测试备份介质和备份信息，保持其可用性和完整性，并确保 在规定的时间内恢复系统；4、 应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存 期；5、 恢复程序应定期接受检查及测试，以确保在恢复操作程序所预定的时间 内完成。（四） 备份销毁1、 备份介质销毁必须经过信息化经理授权后，山系统安全管理员执行销毁；2、 备份介质销毁后，须在备份介质登记表中注明已销毁。1.11密码安全管理（-）原则1、 接到分配的密码后，应立即对原始密码进行更改;2、 严禁将密码告诉他人；3、系统的密码一旦泄漏了，必须立即更改；（二） 密码安全控制1、 系统密码必须以加密形式保存，加密算法强度要高，加密算

13、法要不可逆；2、 系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、 最短长度、复杂性等；（三） 密码安全检査系统安全管理员应定期运行密码检查器检查口令强度，对于保存机密和绝密 信息的系统应该每月检查一次口令强度。（四）密码丢失1、 信息系统应提供密码找回功能，结合电子邮箱或手机短信来验证用户信 息，帮助用户找回密码；2、 对确实无法找回密码的用户，可联系系统管理员帮助重置系统密码；第五章.服务器安全管理1、 系统管理员应定期对托管的网络服务器进行巡视，并对公司局域网内部 服务器进行检查，并做好检查记录；2、 维护服务器，监控外来访问和对外访问情况，如有安全问题，及时处理；3、 系

14、统管理员应及时下载最新系统补丁及防病毒疫苗，防止服务器出现危 险漏洞及病毒的侵害；4、 任何人不得把服务器当作一般微机来使用，不得在服务器上安装任何无 必要软件。第六章.机房安全管理1、机房建设必须符合国家行业建设标准和规范;2、 建立并严格执行机房管理制度，无关人员未经安全责任人批准严禁进入 机房。依据有关机房管理办法的要求，各级安全管理部门对其机房环境、机房进 出、机房设施、机房物品的管理定期进行安全检查；3、 机房工作人员必须严格遵守各项操作规程，定期检查安全保障设备，确 保系统安全运行及设备的安全；4、 对主机房进行开机、关机等日常的操作，建立操作程序，并建立完整的 设备运行日志、操作

15、记录及其它与安全有关的资料；5、 机房工作人员，都必须严格遵守机房的安全、防火制度，严禁烟火，不 准在机房内吸烟，未经领导批准，严禁将易燃、易爆物品带入机房；第七章.计算机及网络使用安全管理1.12计算机使用安全1、 所有可能在公司计算机上使用的软盘、光盘、u盘等存贮介质必须经过 系统管理员同意并查毒，未经查毒的存贮介质禁止使用，对造成病毒蔓延的有关 责任人员，公司将依照相关制度进行经济处罚；2、 公司计算机禁止安装网络电视、影音软件等娱乐性软件。禁止在上班时 间浏览和传播和工作无关的内容（包括在网络上散布、传播谣言及任何不利于公 司的消息等），禁止上班时间玩游戏、上网炒股等；3、 不得在公司

16、计算机及网络上制作、复制、传播或执行违反国家法律法规、 危害国家安全和有黃色淫秽内容的软件或信息；4、 未经许可，任何人不得利用软盘、光盘和U盘等存贮介质进行拷贝，不 得利用电子邮件等方式对外发送公司信息；5、 所有计算机必须保留30天的上网记录。1.13网络安全管理1、 网络系统所有设备的配置、安装、调试必须山信息系统管理员完成，其 他人员不得随意拆卸和移动；2、 内网服务器和各工作站主机的数据文件，未经公司总经理核准，任何人 不得利用软盘、光盘和U盘等存贮介质进行拷贝，不得利用电子邮件等方式对外 发送；3、 在公司信息部未解决网络安全（未安装防火墙、高端杀毒软件、入侵检 测系统）的情况下，内外网独立运行，所有终端内外网不能混接；4、 公司办公计算机一律采用固定IP地址，由网络管理员统一配置，计算机 使用人员不得擅自更改IP地址；5、 为了保障公司网络的通畅，禁止上班时间上传或下载大型文件或频繁的 下载大量数据；6、 信息部经理应安排人员对网络系统实行监控、查询，及时做好对故障的 有效隔离、排除和恢复工作，以防灾难性网络风暴发生；7、 网络管理员应定期检查网络运行情况，做好网络防入侵、防病毒工作， 如发现问题及时解决，并做好记录处理，解决不了的及时报告有关领导。第八章.附则1、 本制度由内控组负责解释及修订。2、 本制度自二O五年十月一日起生效执行。