1、信息系统日常管理制度信息系统日常管理制度IT 安全政策和管理程序通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络 系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安 全运行。IT系统服务器统一放置于机房,并设置烟雾探测、报警装置、 湿度和湿度探测装置。 加强计算机办公人员的安全意识和团队合作精 神,把各部门相关工作做好。1、 计算机网络系统由计算机硬件设备、软件及客户机的网络系统配 置组成。2、 软件包括:服务器操作系统、数据库及应用软件、有关专业的网 络应用软件等。3、 客户机的网络系统配置包括客户机在网络上的名称, IP 地址分 配,用户登陆名称、用户密码、及 Int
2、ernet 的配置等。4、 系统软件是指:操作系统(如 WINDOWS XP、 WINDOWS 2003 等) 软件。5、 平台软件是指:办公用软件(如 OFFICE 200)3 等平台软件。6、 专业软件是指:工作中使用的软件(如金蝶等) 。管理人员负责计算机网络系统、 办公自动化系统、 平台系统的安全运 行;服务器安全运行和数据备份; Internet 对外接口安全以及计算 机系统防病毒管理; 各种软件的用户密码及权限管理; 协助各部门进 行数据备份和数据归档。 管理人员执行公司保密制度, 严守公司商业 机密。一、网络系统维护1、系统管理员每周周五必须对服务器进行检查。2、对于系统和网络出
3、现的异常现象管理员应及时采取措施。3、及时下载最新的防病毒软件,防止电脑受病毒的侵害。二、数据备份管理 管理员应对数据库进行自动实时备份, 每月至少做一次手工备份。 备 份结束后需检查备份的情况,若备份出现异常情况,应及时处理,每 次备份需填写备份记录表。三、用户帐号申请 / 注销1、新员工(或外借人员)使用计算机需提出申请,经批准领导同意 后由行政部统一负责分配。2、员工离职应将本人所使用的计算机归还至行政部,管理人员需对 离职人员计算机中的公司资料信息进行备份, 方可对该计算机硬盘进 行格式化,以便下一位员工使用。3、金蝶系统密码复杂性要求如下;( 1)、密码设置应包含字母和数字,密码长度
4、不少于 6 位。;(2)、使用用户每隔 90 天更换密码一次,并且不能更改为之前连续 使用过的 3 个密码中的任何一个。四、电脑管理和维护 管理员需对电脑进行统一编号管理。程序变动管理系统变更工作可分为下面三类类型:功能完善维护、系统缺陷修 改、统计报表生成。功能完善维护指根据业务部门的需求,对系统进 行的功能完善性或适应性维护; 系统缺陷修改指对一些系统功能或使 用上的问题所进行的修复, 这些问题是由于系统设计和实现上的缺陷 而引发的;统计报表生成指为了满足业务部门统计报表数据生成的需 要,而进行的不包含在应用系统功能之内的数据处理工作。系统变更工作以任务形式由需求方(一般为业务部门)和维护
5、方 (一般为信息部门的应用维护组织和软件开发组织, 还包括合作厂商) 协作完成。系统变更过程类似软件开发,大致可分为四个阶段:任务 提交和接受、任务实现、任务验收和程序下发上线。因问题处理引发的系统变更处理,需求部门提出系统变更需求, 并将变更需求整理成系统变更申请, 由部门负责人审批后提交给系统 管理员。系统管理员负责接受需求并上报给主管。主管分析需求,并提出 系统变更建议,根据变更建议审批系统变更申请。系统管理员根据自行开发、 合作开发和外包开发的不同要求组织 实现系统变更需求, 将需求提交至内部开发人员、 合作开发商或外包 开发商,产生供发布的程序。系统变更过程应遵循软件开发过程相同的正
6、式、统一的编码标准, 并经过测试和正式验收才能下发和上线。系统管理员组织业务部门的系统最终用户对系统程序变更进行 测试,并将测试变更完成结果提交部门负责人及主管领导签字确认。管理员对系统变更的相关文档进行归档管理,变更过程中涉及的 所有文档至少保存两年。信息系统管理1、应用系统及数据库只能由服务器系统管理员进行维护,若需外援 时,必须在管理员的陪同下进行操作, 其他终端用户不得进入数据管 理后台。2、终端用户的开通及变更需以书面形式提交给相关部门领导签字确 认,其中包括用户的权限变更、终端软件更新。3、当遇到需要变更时,管理员应该做好详细的变更记录。如:程序 变更、紧急变更、配置 / 参数变更
7、、基础架构变更、数据库修改等。业务持续性计划及灾难性修复计划启动持续性计划判断事件是否为灾难事故, 若为一般事故,则进行事件处理程序, 若为灾难性事故,则启动持续性计划。执行过程(1)成立应急小组,确定应急总指挥和小组成员;判断损坏程度, 采取最有效的恢复措施;(2)获得最新的备份数据,证实恢复操作的可行性和必要性;(3)准备新的系统运行环境,进行系统恢复;完成系统恢复,进入 业务测试,确保数据的完整性(4)系统恢复正常,进入系统监控状态。灾难恢复计划1、日常备份检查(1)、日常服务主机按时定期做备份,分为两类:主机备份:主机备份应在每周,确认服务运行正常后,知道备份 计划和类型,并指定备份时
8、间应为网络最空闲时。 在自动执行计划后, 应确认备份是否完整,是否有错误。 数据备份:数据备份应做每日备份,确定需要备份的数据库,制定每 日备份和备份类型。每日, 数据库管理人员应对前一日的备份,进行 检查,确认备份是否成功完整。(2)、日常备份检查 日常备份检查应由系统管理员负责设置金蝶系统每天自动备份, 并检 查每天的备份是否成功。(3)、备份空间检查 日常由系统管理员检查备份空间是否充足, 如空间紧张, 应提前把距 离最远的备份文件, 存放至指定存储介质中, 系统管理员应对存储介 质存放进行检查, 查看存放空间是否达到防潮防磁, 并对存储介质进 行封存。2、灾难恢复小组: 组长:总经理
9、灾难鉴定:各部门经理 恢复实施人员:系统管理员 恢复后检查人员:各部门经理 灾难恢复制度:1.灾难级别划分A 类:计算机软件硬件故障 发生概率:对于企业,发生可能性最大。由于设备长时间运行,升级 硬件所造成。状况有(服务停止,正常业务不能办理)B类:人为操作故障发生概率: 日常工作中员工对于本部门的资源进行更新或维护, 由于 不正当操纵或误操纵造成文件损坏或丢失。 状况有(个别部门文件丢 失,使得部门正常办公受到阻碍)C类:资源不足引起的计划性停机发生概率: 由于操纵系统软件或硬件资源不足造成所造成的系统; 服 务宕机,造成的数据丢失或损坏。 状况有(服务器无法正常提供服务, 重启后无效,需要
10、转移服务,升级维修服务器)2.相对应级别的处置方法 当发生时。应先报告系统管理员,由灾难鉴定小组进行灾难鉴定,确 定灾难级别,上报灾难小组组长,并对灾难发生时间,解决方法,恢 复时间进行记录。2.1发生 A 类灾难时,灾难鉴定人员确定灾难级别后,上报灾难 恢复组组长,确定恢复方案,排除硬件原因,在主机正常启动后,检 查缺失的文件或不能正常启动的服务, 上报灾难组组长, 并准备备份 文件,进行恢复。2.2发生 B 类灾难时,灾难发现任应及时上报灾难恢复组组长, 明确丢失的文件,确认文件丢失原因, 并对丢失原因和责任人进行记 录。由丢失文件部门提出书面“恢复文件申请” ,由灾难鉴定确定丢 失文件,
11、在灾难恢复小组组长批准后,准备备份文件恢复。恢复后, 由丢失文件所在部门进行确认。2.3当发生C类灾难时,由灾难鉴定人员确定主机故障,并上报 灾难恢复小组组长:2.3.1 确认为主机操纵系统故障或硬件资源不足所引起宕机 时,先确认该主机是否为应用服务器(如是应用服务器,应先断开该 主机的网络连接) ,如有需要,应及时转移服务,由其他服务器代为承接业务。故障主机再进行维修2.3.2如确认系统不能正常运行, 但通过短时间维护 (不超过 2 小时)可以恢复正常, 报请灾难恢复小组组长, 并对原因进行说明。 在得到批准后,实行对主机的全面恢复(在断开主机网络连接后,回 复到最近一次的正常备份状态) 。
12、在恢复后由恢复检查人员对主机进 行检查,确认主机确实恢复后,再接入网络,恢复后检查人员应在 48 小时内对恢复后的主机密切关注,确实恢复正常后,报告灾难恢 复小组组长。并对主机恢复情况留有详细记录,以备后续检查。备份 根据公司情况将数据分为一般数据和重要数据两种。一般数据主 要指:个人或部门的各种信息及办公文档、电子邮件、人事档案、考 勤管理、监控数据等。重要数据主要包括:财务数据等。一般数据由各部门每月自行备份,部门经理负责整理归档,每半 年对一般数据资料进行选择性收集归档并进行备份数据恢复测试。重要数据由财务部负责,具体细则如下: 系统管理员负责设置金蝶系统每天自动备份,并检查每天的备份
13、是否成功。财务部每月底将当月电子帐、 表格等数据统一整理并上传到云盘备份 归档。每季度系统管理员对本地及异地备份文件进行恢复测试并记录 测试结果,确保备份文件的可用性。所有数据备份工作由各部门负责人进行详实记录,并建立档案。 如遇网络攻击或病毒感染等突发事件,各部门应积极配合进行处理, 同时将集体情况记录到备份档案中。各部门负责人应严格执行公司规定,如发现不及时上传资料、故 意隐瞒资料或没有及时执行备份任务的,将进行严肃处理。计算机版权管理公司内部使用电脑必须受管理, 各部门安装的电脑操作软件和应 用软件由 IT 部根据软件版权管理项目组提供的标准进行管理,不能 擅自安装。电脑用户不能自行或请
14、 IT 部人员安装授权以外的软件。 电脑用户不能擅自升级操作系统版本和新版本应用软件,如因工 作需要必须升级, 需以书面申请形式提交软件版权管理项目组评估通 过,经审批同意后,方可进行升级安装;各部门提出申请额外安装工 作所需的应用软件, 需由使用部门提出书面申请, 经同意后方可实施 安装;需在计算机安装硬件加密狗的应用软件,使用部门必须造册登记, 并向软件版权管理项目组上报记录在案, 使用人员离职时必须将加密 狗交回使用部门;员工不得复制、刻录 IT 部提供的软件安装文件, 供公司以外人员安装或用于私人用途或牟利;员工不得将XX计算机软件放在网上供他人下载;不允许从 网上下载XX的版权软件。
15、公司网站管理1、网站管理原则(1)公司设专人负责网站管理,其他单位(部门)或个人不得 以任何方式试图登陆进入公司网站后台管理进行修改、 设置、删除等 操作。(2)对于系统和网站出现的异常现象,网站管理员应及时组织 相关人员进行分析,制定处理方案,采取积极措施。(3)保证网站网页不得含有危害国家安全和社会稳定的信息和 不健康内容。(4)鼓励本单位员工协助审查公司网上信息,发现不符信息和 内容应及时通知相关管理人员予以更改。2、网站管理员主要职责(1)定时对系统进行检查,定期升级病毒软件和查杀计算机病 毒,保证系统正常运行,并做好记录工作。(2)做好网络配置和设置纪录, 妥善保管网站密码并定期更换
16、, 防止泄密。(3)做好网站管理权限保密工作,统一分配权限,防止他人非 法侵入网站。(4)根据规定及时更新网站内容,应注重上网信息的时效性和 准确性,不断完善网页上的项目和内容(5)及时备份数据,做好归档工作。(6)定期从网站上收集客户信息和建议,并转发给相应的部门 处理。二、信息发布制度1、网站内容应及时更新2、信息发布按流程运作(1)信息采集a 根据网站几个版块内容,不同的版块内容应由相关部门采集提 供。b 信息采集人员应保证网页、 图片及文件资料无病毒、 信息准确, 并做好相关资料的备份。(2)信息审核a 信息采集人在向网站管理员提交电子文本稿件的同时,还应提 交与电子文本稿件内容相同的
17、纸质印刷稿件, 并注明供稿人与审核人 以供备案。b 需要在网上发布的信息及上传文件须经总经理审核后方可发 布。(3)发布原则1、公司的网站维护更新遵循需求主导 ,突出重点 ,统一标准的原则2、维护更新工作实行谁审批谁负责、涉及两个部门以上的信息由总经理审核,各部门的新闻信息由部门领导审核。3、产品信息根据研发和生产的需要 ,在生产和销售前发布。4、新闻报道栏目 ,至少每月更新一次。5、部门信息每月至少更新一次 ,并于每月的第一周报网站管理员 发布。(4)发布及归档a 网站管理员负责按时发布信息,凡总经理签发的信息原则上随 到随发,以保证公司网站信息快捷传播。b 建立信息发布日志,网站管理员负责
18、记录每次信息发布时间, 做好发布信息审批记录及原始资料的归档工作。c 不定期更新版面,每次更新后的旧版本进行备份,并拷贝后作 为原始件归档案室存档。(5)反馈与处理a 网络信息每日一整理 , 分类反馈上缴 ,等待处理。b 网上购物信息 ,收集汇总 , 上缴总经理审核后处理。三、日常维护要求1、自动监控与人工巡视双重保护网站正常运行。2、网站运行监控:保证网站服务器 7*24 小时无障碍运行,确保 公司网站能够正常登入,访问。3、每天 3 次人工巡视:网站管理员应每天 3 次检查公司网站上 发布的信息, 发现问题及时处理, 发生重大突发事件要及时上报有关 部门及主管。4、每周 1 次网站文件、数
19、据备份。5、网站管理员根据公司各部门提供的信息加以整理,制作相关 网站页面,页面编排应注重美观整齐,不应出现错别字。四、网站安全保密管理1、检查网络防御病毒措施(包括网络防火墙,网络版的杀毒软 件等)、系统软件、应用软件等升级情况,并进行信息安全检查,以 保证信息安全,防止病毒的侵入与蔓延, 保证网络工作站的正常运行。2、制订合理的数据库及文件系统的备份与恢复策略,一旦发生 意外,能够在最短的时间内将数据恢复。3、每日应统计网站运行中所发生的告警提示,并加以分析,作 到三清,即 “原因清、时间清、地点清 ”。每月底对发生的故障进行全 面分析,完成故障统计分析报表,提出整改意见。4、网站负责人负
20、责公司网站密码及权限的保密工作,定期修改 密码且密码设置不能过于简单, 不得随意向他人泄露, 以免网站安全 受到威胁。五、网站用户管理1、在企业的 Web 站点上,网站管理员要认真回复用户的电子邮 件和传统的联系方式如信件、电话垂询和传真,做到有问必答。同时 将用户进行分类,如:售前一般了解、销售、售后服务等,并转由相 关部门处理,使网站访问者能感受到企业的真实存在,产生信任感。2、书面网站访问报告:通过在网站上设立客户留言及意见反馈 等栏目,或设置有奖竞赛方式,让浏览者填写如年龄、行业、需求、 光顾本站点的频度等信息, 从而得到访问者的统计资料, 以供调整网 站设计和内容更新时参考。3、企业
21、的网站应多关注自己特定的客户群,通过多种形式和客 户保持沟通, 吸引客户不断地通过网站和企业进行交流, 从而加深与 客户的关系、更深层次地了解客户需求、为企业发展提供服务。六、考核与奖惩措施1、网络管理员接受公司统一的公司考核制度。2、对公司网站建设积极配合提供大量准备有效的材料和信息并 做出突出贡献的部门和个人 ,根据公司有关规定 , 给予一定的表彰奖 励。3、凡有以下情况酌情给予通报批评或按有关规定追究责任:1未经领导审核而发布信息,出现人为失误,将追究相关人员责 任。2上网内容虚假或有较多错误,产生不良影响的。3违反规定失密泄密并造成一定损失的。4有侵权行为的以及其他影响公司及产品形象的
22、业务连续性管理程序1. 目的本程序规定当发生重大信息安全事件或灾难时, 为保护本公司 业务活动免受影响,迅速恢复已中断的业务活动,实现业务持续 发展而实施的管理活动。2. 范围本程序适用于本公司业务相关的主要业务的持续性管理控制3.职责3.1最高管理者(总经理) :A、 危机第一责任人,负责运营策划、实施、保持和持续改进;B、 担任特别重大危机(I级)的总指挥;C、 重大危机后接受媒体报告;3.2副总经理 :A、 危机第二责任人,负责各事业部运营执行;B、 较大危机(H级)及一般性危机(皿级)的总指挥;3.3行政部办公室主任 :A、 人才危机进行预测;B、 收集各部门危机信息进行分析,启动危机
23、预警,C、 危机后人员的安抚及人力的调整;D、 危机后对外信息的发布及媒体沟通;E、 危机后调查反馈报告给最高管理者提供危机所需的后勤保障;3.4销售经理 :A、 市场危机进行预测,收集市场信息;B、 危机后负责向客户沟通,稳定市场;3.5财务部负责人:A、 财务危机进行预测;B、 危机后提供危机所需的资金保障;3.6采购部门负责人:A、 供方危机进行预测;B、 危机后物料的调配;4工程程序(工作流程图)业务持续性和影响分析1 A编制业务持续性 计划并实施业务持续性定期 测试与评审1T业务持续性与 影响分析报告 业务持续性管 理战略计划业务持续性管理实施计划业务持续性管理测试报告 业务持续性管
24、 理评审报告4.1危机分类A 一般性危机(皿级):指突然发生,事态比较简单,仅对较小范围内 产生威胁或损失,只需要调度个别部门的力量和资源能够处置的事件。B较大危机(H级):指突然发生,事态较为复杂,对一定区域或部门 财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失 或生态环境破坏,需要调度公司部分力量和资源进行处置的事件。 C 特别重大危机(I级):是指突然发生,事态非常复杂,已经或可能造 成特别重大人员伤亡、 特别重大财产损失或重大生态环境破坏, 需要 调度公司全部力量和资源 ,或需求助政府各方面资源和力量进行处置 的事件。5.2业务持续性和影响的分析 5.2.1在首次信息安全
25、风险评估后进行业务持续性和影响的分析。5.2.2业务持续性和影响的分析由总经理组织,各部门经理配合,及 总经理指定的相关责任人分别开展以下活动:a)对信息安全进行风险评估;b)识别出对业务持续性造成严重影响的主要事件,如设备故障、火 灾等;c)分析这些事件一旦发生对业务活动造成的影响和损失,以及恢复 业务所需费用等;d)编写业务持续性和影响分析报告 (格式不限)。5.2.3业务持续性和影响分析报告应包括以下内容:a)识别关键业务的管理过程;b)可能引起业务活动中断的主要事件;c)主要事件对管理的信息系统的影响;d)信息系统故障或中断对业务活动的影响;e)关于系统恢复或替换的费用考虑。5.3编制
26、业务持续性管理战略计划副总经理编制的 业务持续性和影响分析报告 完成后应提交总经理,由总经理或总经理指定的人员来制订 业务持续性管理战略计 划(格式不限),并提交总经理审核后予以实施。5.4编制业务持续性管理实施计划5.4.1 根据业务持续性管理战略计划 ,各相关职能人员分别编制自 己负责区域内的管理的信息系统的业务持续性管理实施计划 ,并 由总经理批准,以便在这些系统发生中断时实施。5.4.2业务持续性管理实施计划的编写为:a)硬件工程师网络部分:核心业务网络系统、办公网络系统、电话 网络、供电系统及中间业务。5.4.3业务持续性管理实施计划应包括以下方面的内容:a)计划实施所涉及的职务 /
27、相关人员的职责、 权限及接口关系的描述;b)系统中断的速报程序及要求;c)系统中断的恢复程序及方法;d)系统中断的恢复时限要求;e)保持业务运作连续应采取的应急措施与备用措施;f)必要的技术支持及资源要求。5.5业务持续性管理实施计划的实施要求 上述重要系统一旦受到重大影响或中断后, 有关人员应立即执行 业 务持续性管理实施计划 ,对系统采取应急措施、进行恢复,确保经 营活动的持续运行。同时,应按照事故、薄弱点与故障管理程序 做好事故处理记录,记录内容应包括:a)对系统中断原因的调查分析;b)系统中断造成损失的统计;c)采取的纠正措施;d)应吸取经验教训及预防措施等。5.6 业务持续性计划的测
28、试与评审5.6.1 每年下半年由总经理组织有关人员对业务持续性管理实施计 划进行测试, 以判断计划的可行性和有效性。测试可采用以下方法 进行:a) 对已发生过的业务中断及恢复措施实例进行讨论;b)组织有关人员进行业务中断及恢复的模拟演练;c)采用技术手段对系统运行及中断恢复的相关参数进行测量;d)由供应商提供测试服务,确保所提供的外部服务和产品符合合同 要求。测试完成后填写业务持续性管理计划测试报告 。5.6.2根据相关人员的测试报告,总经理组织有关的人员对计划的适 用性和有效性进行评审,形成业务持续性管理计划评审报告 。5.6.3根据业务持续性管理计划评审报告 的要求,决定是否对业 务持续性管理战略计划和业务持续性管理实施计划进行修改。6 记录 业务持续性和影响分析报告 业务持续性管理战略计划 业务持续性管理实施计划 业务持续性管理计划测试报告业务持续性管理计划评审报告附则1、本制度由行政部负责解释,自公布之日起实施2、本制度有不妥之处在运行中修改并公布。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 