信息系统安全生产及检查管理办法.docx

1、信息系统安全生产及检查管理办法百马出行公司 信息安全生产及检查管理办法编号：密级：内部编制： 年 月 日审核： 年 月 日批准： 年 月 日发布日期： 年 月 日实施日期： 年 月 日分发人： 分发号：受控状态： 受控 非受控 版本及修订历史版本修订人审核人批准人生效日期备注V1.0刘鹏何清熊小苹2018-06-29新建第一章 总则 第一条 编制重要性及目的 随着信息化建设的快速发展，一大批重要信息系统陆续建成并投产运行，在生产中得到广泛应用，成为信息管理必不可少的重要工具，计算及网络生产的重要组成部分。为保证信息系统安全生产，规范信息生产调度职责，建立健全计算机信息系统的维护保障体系,根据计

2、算机信息系统安全保护办法及有关规定，制定本办法。 第二条 适应范围与要求 本办法适用于公司信息系统的设计、开发、运行和维护各阶段，涉及硬件、信息系统、系统、网络、应用、机房基础设施和管理制度等各个方面。公司各部门要认真贯彻“安全第一、预防为主”的方针，牢固树立安全意识，加强投产项目的安全管理，提高系统运行的安全性、可靠性和稳定性。 第三条 原则多层次：信息安全管理工作需从信息系统的不同阶段、信息系统的不同组成部分、参与者的多个层次就行管理与规范。持续性：信息安全管理需具有持续性，切合实际情况，不断更新管理体系。经济性：信息安全管理应以合理的管理与技术手段解决组织主要信息安全风险。第四条 安全框

3、架公司采用纵深防御框架构建信息安全体系，包括技术措施与管理措施两大部分。安全体系涵盖信息系统从规划、建设、运维、变更到下线销毁的全生命周期，涵盖物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复的各个技术层级，涵盖了人员、技术、组织、制度4大因素，并通过PDCA不断的完善。第二章 安全生产的管理机制 第五条 管理机构及职责 1. 管理机构 公司成立信息系统安全生产工作及安全生产检查领导小组（以下简称“安全生产领导小组”），总经理任组长，技术总监任副组长，成员为技术部经理、产品经理、开发工程师、运维人员。主任为总经理，成员有技术部经理、产品经理、开发工程师、运维人员。2. 安全生产组织机

4、构职责 2.1 安全生产领导小组主要职责 (1) 指挥、指导信息系统运行安全、故障处理和突发事件应急处置工作。 (2) 审议和审定公司关于安全方面的一切重大问题、方案及各种安全规章制度的发布。 (3) 指导、协调、检查安全生产领导小组办公室工作。 (4) 负责有关安全生产紧急事项的决策。 (5) 定期召开安全专题会议，听取安全情况汇报，及时研究解决安全工作中存在的问题。 2.2 安全生产领导小组办公室主要职责 (1) 在安全生产领导小组的领导下，认真贯彻落实公司信息生产安全、质量方针，具体组织实施公司颁发的各项安全管理规章制度。 (2) 负责组织制定、完善信息系统安全运行相关规章制度。 (3)

5、 负责组织信息系统安全生产检查，提交安全生产检查报告，并对检查中发现危及信息系统安全运行隐患提出整改建议。 (4) 遇重大安全情况负责及时向安全生产领导小组报告。 (5) 负责组织安全事故和突发事件的调查、分析和总结工作。 2.3 安全生产领导小组办公室成员部门职责 (1) 负责组织有关技术人员解决信息系统运行故障，尽快恢复系统正常使用。 (2) 负责联系业务部门在计算机系统不能正常运行期间采取必要手段，保证相关业务不中断。 第六条 信息系统各相关部分运行职责部门 1. 投产应用项目的维护与技术支持等由技术部负责。 2. 计算机设备含硬件系统、操作系统、数据库系统平台等的维护由技术部负责。 3

6、. 网络及网络安全的软、硬件产品和业务平台的维护由技术部负责。 4. 信息生产运行、管理、调度、协调，信息生产项目运行操作，系统、网络和应用项目运行值班监控，信息安全管理以及公司计算机场地系统的值班监控、巡视与维护工作由技术部负责。 5. 外包合同的执行与管理、设备资产与台帐的管理由综合部负责。 6. 信息系统投产前的测试、信息系统配置库管理由技术部负责。 7. 网络与信息安全通报工作由技术部负责。 8. 应急状况下的后勤保障由综合部负责。 第三章 信息系统生产调度 第七条 信息系统生产调度组织 技术部是信息系统生产调度的主管部门，是投产的信息系统日常生产的组织指挥中枢，代表公司领导指挥和监督

7、日常生产工作。信息系统生产调度管理部门的任务是指挥、协调技术支持体系和有关部门处理信息生产系统中所出现各种问题、故障，确保信息系统生产正常进行。 第八条 信息系统生产调度主管部门主要职责 1. 技术部建立24小时调度值班制度和交接班制度，技术部负有对公司信息生产的调度指挥职责。 2. 组织信息系统日常生产，保证信息安全管理通道畅通，及时组织处理计算机网络、软、硬件，信息系统等各类故障，确保信息生产正常运行。 3. 组织、指挥与系统运行有关的计算机硬件、网络设备、支撑信息系统和投产信息系统等的技术支持工作。 4. 当发生影响计算机安全生产突发事件时，迅速组织应急抢救，并立即报告主管领导。 5.

8、严格交接班制度，详细填写值班日志。 第四章 信息系统投产管理 第九条 投产准备 信息系统投产前，须经过严格的测试，并将采用实际数据处理的结果，交用户详细验证，确认无误后，方可将信息系统投产运行。 第一十条 投产运行 信息系统投产运行，应严格按照公司发布的信息系统投产及变更风险管理办法执行。 第一十一条 人员培训和文档资料 技术部自行开发的信息系统应按要求提供用户手册、项目概况、操作规范、常见故障处理办法以及参数维护方法等电子文档，并对生产值班人员进行培训，使生产值班人员掌握相关操作和常见故障处理规范。 外包开发项目应由技术部根据制定的外包管理办法监督管理项目开发及实施，并提供相应文档。第一十二

9、条 投产跟班作业 信息系统投产时，技术部应跟班作业一定周期，指导生产调度人员进行操作、维护和常见故障处理。 第一十三条 投产操作及故障处理 信息系统投产运行后，生产值班人员应严格按照技术规范进行操作、维护和处理常见故障，信息系统技术部应继续提供技术支持。当计算机信息系统运行中出现非常见故障时，技术部技术支持人员接到生产调度人员通知后，应及时进行处理。 第五章 信息系统维护管理 第一十四条 信息系统变更管理 1. 信息系统一经完成投产交接，其信息系统即纳入配置库管理。信息系统的修改和维护将在配置库的信息系统中进行，在正常情况下对于运行在生产系统上的信息系统，开发（维护）人员一般只具有只读的权限。

10、 2. 信息系统的变更视其变更程度分层次进行管理。操作性或数据内容的变更由项目负责人确认；数据结构和程序相关的重大变更须经技术部论证后，报公司领导批准方可实施；纠错性紧急变更可口头请示，优先处理，事后报批备案。 3. 信息系统变更口令管理 为保证投产信息系统变更可控，变更结果正确，减少对共享平台中其它生产系统的影响，杜绝变更的随意性，保证生产系统能够长期、平稳、安全、有效运行，采用对信息系统的口令管理，实现信息系统变更可控。 (1) 技术部负责信息系统口令的保密及更新管理。口令应存放于安全位置，并做好交接班记录。 (2) 口令的借出使用需按相关审批流程处理，借出的口令要负责收回，并及时进行口令

11、更新，且要做好详细记录。 第一十五条 信息系统变更程序 1. 变更申请。因业务需求变化、体制改变或技术更新等原因，导致已投产信息系统需要变更时，业务部门应提出信息系统变更申请，填写信息系统变更申请表经项目负责人签字并报公司领导审批后，提交技术部申请变更权限。 2. 项目负责人在申请到变更权限后实施信息系统变更，信息系统变更完成后，项目负责人应及时将权限交还技术部。 3. 信息系统的重大变更，需进行严格测试、试运行，确认运行无误后方能上线使用。同时技术部要提交更新的技术文档，并对相应人员进行培训。 4. 新的信息系统迁移前，技术部必须完整备份和保存旧版本，迁移完成投产运行正常后，变更后的信息系统

12、应及时纳入配置库，实施版本控制。 第六章 信息系统故障管理 第一十六条 故障分类和界定 按照投产项目的实时性和重要性以及故障对运输生产的影响程度，将信息系统分为A、B、C三类（信息系统类别表见附表2）。根据故障延时，分为一般故障和大故障。即：当A类信息系统故障延时超过三十分钟；B类超过一小时；C类超过两小时，构成一般故障。当A类信息系统故障延时超过一小时；B类超过两小时；C类超过八小时，构成大故障。 第一十七条 故障的登记和报告 投产信息系统发生故障时，运维人员要按照故障处理流程，及时通知相关技术支持人员处理，并详细记录故障发生时间、故障类型、处理结果、故障延时等信息。当信息系统发生大故障时，

13、值班人员要及时报告主管领导。 第一十八条 故障的调查分析和处理 投产信息系统发生故障，如果构成一般故障以上时，安全生产领导小组办公室将组织召开故障分析会，分析故障原因，查清责任，制定整改措施，提出处理意见，并将处理结果报公司安全生产领导小组。 第一十九条 故障的统计分析 1. 信息生产值班日报表。对每日生产运行情况进行统计，形成报表，以电子邮件方式发送给相关部门领导。 2. 月度生产运行情况统计表和月度信息生产简报。对全月生产运行情况进行统计分析，其中月度信息生产简报上报公司领导及相关部门领导。 3. 重点运行项目月度故障统计表。对重点项目运行故障按月进行统计分析，形成报表，上报公司领导及相关

14、部门领导。 第七章 计算机系统管理 第二十条 工作范围 运维人员负责投产计算机的操作系统、数据库、系统备份信息系统、系统通信信息系统及各个信息系统中与系统相关部分的维护。包括系统安装、系统升级、补丁安装、系统备份、日常维护、故障处理、配合各应用项目实施工作。 第二十一条 文档管理 运维人员需建立系统维护文档，内容包括计算机系统配置、磁盘空间划分、主机地址使用、应用切换方案、用户帐号管理、数据库空间划分、系统备份策略、系统监控、系统发布策略、系统安全服务等。系统配置改变时，需及时修改文档。 第二十二条 日常维护 运维人员需对所管理的计算机系统进行日常维护，每天查看系统日志、分析其中错误并及时处理

15、；检查系统空间使用；清理无用文件等。 每月对系统巡检，内容包括：系统信息系统及补丁版本、漏洞修补情况、定时任务、系统空间剩余情况、日志文件清理、各应用项目信息系统是否正常,并填写巡检日志。 第二十三条 系统帐号管理 运维人员对各种系统的高级用户口令实行严格管理，避免采用缺省口令或常见口令。系统口令要定期修改并保存在安全位置。 第八章 网络管理 第二十四条 网络维护 运维人员负责广域网、局域网的维护工作，对于重要的、核心的网络设备要求每日检查日志以便及时发现故障隐患。 第二十五条 网络备份 重要的、核心的网络通道、设备、接口要有一定的冗余，其备份设备要保持良好工作状态，定期检查备份设备的切换能力，保障网络的不间断运行。 第二十六条 网络安全 运维人员要做好网关、网址和密码的管理和维护工作，其使用的口令必须定期修改并备案。 第二十七条 病毒防御 1. 所有入网运行的使用微软操作系统的计算机一律安装公司指定的防病毒软件，所有Win操作系统用户要设置密码，密码不得为空，运行微软操作系统计算机的防病毒代码要保持最新版本。 2. 经U盘或移动存储介质交换信息时，必须