完整版信息系统建设管理制度
信息系统建设管理制度总则一章为加快公司信息系统建设步伐,规
范信息系统工程项目建设安全管第一条
特制定本保障信息系统工程项目建设安全,理,提升信息系统建设和管理水平,规范。
第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:
1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则;
2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;
3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;
4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。
第三条规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 5271.8-2001信息技术词汇第8部分安全
第四条术语和定义
本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义: infosec)信息安全1
信息的机密性、完整性和可用性的保护。
机密性定义为确保信息仅仅被那些被授权了的人员访问。注释:
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。
ISSE(Information Systems Security 2)计算机系统安全工程Engineering)计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。
3)风险分析 risk analysis
对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。
4)安全目标 security objective
本规范中特指公司项目建设信息安全管理中需要达成到的目标。
5)安全测试 security testing
用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测
试、渗透测试和验证。
第五条本规范遵照国家相关政策法规和条例,结合各种信息化项目建设的具体情况,依据各种标准、规范以及安全管理规定而制定。
第二章项目建设安全管理的总体要求
第六条项目建设安全管理目标
一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。
项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。
计算机系统安全工程(ISSE)并不意味着存在一个单独独立的过程。它支持项目管理和建设过程,而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程要求。
第七条项目建设安全管理原则
信息系统项目建设安全管理应遵循如下原则:
1)等级
2)全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命周期;
3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;
4)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;
5)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;
6)科学制衡:进行适当的职责分离,保证没有人可以单独完成一项业务活动,以避免出现相应的安全问题;
7)最小特权:人员对项目资产的访问权限制到最低限度,即仅赋予其执行授权任务所必需的权限。
第八条项目建设安全管理要求
项目安全管理工作应强化责任机制、规范管理程序,在项目的申报、审批、立项、实施、验收等关键环节中,必须依照规定的职能行使职权,并在规定的时限内完成各个环节的安全管理行为,否则应承担相应的行政责任。
第三章项目申报项目申报阶段应对信息系统项目及其建设的各个环节进行
统一的安第九条全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。
第十条应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》,并提交《业务需求书》和《信息系统项目可行性研究报告》。
第十二条系统定级
1)依据国家信息系统安全等级保护定级指南(GBT 22240-2008)对项目中的系统进行定级,明确信息系统的边界和安全保护等级;
2)以书面的形式说明确定信息系统为某个安全保护等级的方法和理由,形成信息系统定级报告;
3)组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,上报上级主管单位和安全监控单位进行审定;
4)信息系统的定级结果向本地公安机关进行备案。
第十三条挖掘安全需求
在《业务需求书》中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应至少包括以下信息安全方面的内容:
1)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;
2)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;
影响可能是影响分析报告:描述威胁利用系统脆弱性可能导致不良影响。3)例如声誉和信誉的损例如资金的损失或收益的减少,或可能是无形的,有形的,失;风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对4)某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析,应提供风险清单以及风险优先级列表;
5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受的安全风险,都至少有一个安全需求与其对应。
第十四条安全可行性
在可行性报告的以下条目中应增加相应的信息安全方面的内容:
1)项目目标、主要内容与关键技术:增加信息化项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度应根据相应资产的重要性来选择;2)项目采用的技术路线或者技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策,并形成安全方案;
3)项目的承担单位及人员情况介绍:增加项目各承担单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;
4)项目安全管理:增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;
5)成本效益分析:对安全方案进行成本-效益分析。
第十五条对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出和实现相应安全对策。
第四章安全方案设计
第十六条本阶段主要是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时可以聘请外单位的专家参与论证工作。
第十七条安全标准的确定
)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等1并依据风险分析的结果进行补充和调整必要的安全级保护相关等级的基本要求,措施;)指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期2和远期的安全建设工作计划;
)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策3略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、4详细设计方案等相关配套文件的合理性和正确性安全管理策略、总体建设规划、进行论证和审定,并且经过批准后,才能正式实施;
)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技5术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
方案论证和审批第五章
本阶段主要是项目审批单位对项目申报内容进行审批,对项目进第十八条行安全性论证,必要时可以聘请外单位的专家参与论证工作。
第十九条安全性论证和审批
安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息化项目立项审批表》上给出明确的结论:
1)适当
2)不合适(否决)
3)需作复议
对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。
第二十条项目安全立项
审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:
安组织结构和责任:增加项目建设中的安全管理模式、1)项目的管理模式、全组织结构以及人员的安全职责;
增加项目建设实施中的安全操作2)项目实施的基本程序和相应的管理要求:程
序和相应安全管理要求;
安全对策以及增加总体安全目标、项目设计目标、主要内容和关键技术:3)用于实现安全对策的总体安全方案;
增加描述系统拥有的具体安全功能以及安全功项目实现功能和性能指标:4)能的强度;
项目验收考核指标:增加安全性测试和考核指标。5)
立项的项目,如采用引进、合作开发或者外包开发等形式,则第二十一条
需与第三方签订安全保密协议。
项目实施方案和实施过程安全管理标准第六章个子阶段:概要设计、详细设计和3 第二十二条信息化项目实施阶段包括项目审批单位负责监本阶段
的主要工作由项目开发承担单位来完成,项目实施,督工作。
第二十三条概要设计子阶段的安全要求
在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此,《概要设计说明书》中至少应达到以下安全要求:
1)应当按子系统来描述系统的安全体系结构;
2)应当描述每一个子系统所提供的安全功能;
3)应当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;
4)应当标识子系统的所有接口,并说明哪些接口是外部可见的;
5)描述子系统所有接口的用途与使用方法,并适当提供影响、例外情况和错误消息的细节;
6)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。第二十四条详细设计子阶段的安全要求
无论是新开发一个系统,或是对一个系统进行修改,本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案,最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能,因此在这一阶段的《详细设计说明书》中至少要包括以下信息安全内容:
1)详细设计中应提出相应的具体安全方案,标明实现的安全功能,并应检查其技术原理;
2)对系统层面上的和模块层面上的安全设计进行审查;
3)完成安全测试和评估要求(通常包括完整的系统的、软件的、硬件的安全测试方案,至少是相关测试程序的一个草案);
4)确认各模块的设计,以及模块间的接口设计能满足系统层面的安全要求。
第二十五条项目实施子阶段的安全要求
无论是新开发一个系统或是进行系统修改,本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。本阶段中,应完成以下具体信息安全工作:
1)更新系统安全威胁评估,预测系统的使用寿命;
2)找出并描述实现安全方案后系统和模块的安全要求和限制,以及相关的系统验证机制及检查方法;
3)完善系统的运行程序和全生命期支持的安全计划,如密钥的分发等;
4)在《系统集成操作手册》中,应制定安全集成的操作程序;
5)在《系统修改操作手册》中,应制定系统修改的安全操作程序;
6)对项目参与人员进行信息安全意识培训;
7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。
第二十六条在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购,并确保采购的设备至少符合下面的要求:
1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门
的测评或认证的产品。
2)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
3)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
第二十七条在软件的开发被外包的地方,应当考虑如下几点:
1)检查代码的所有权和知识产权情况;
2)质量合格证和所进行的工作的精确度;
3)在第三方发生故障的情况下,有第三方备份保存;
4)进行质量审核;
5)在合同上有代码质量方面的要求;
6)在安装之前进行测试以检测特洛伊代码;
7)提供源代码以及相关设计、实施文档;
8)重要的项目建设中还要要对源代码进行审核。
第二十八条计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:
1)对项目实施所需的计算机及配套设备、网络设备、重要机具(如ATM)、
计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;
2)安全产品的采购必须由公司进行统一采购;
3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证;
4)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;
5)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;
6)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准。
凡购回的设备均应在测试环境下经过7)所有安全设备后均需进行严格检测,严小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。连续72
禁将未经测试验收或验收不合格的设备交付使用。
通过上述测试后,设备才能进入试运行阶段。8)试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
第二十九条产品和服务供应商应达到以下要求:
1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;
2)工商要求:
①产品、系统或服务提供单位的营业执照和税务登记在合法期限内;
②产品、系统或服务提供商的产品、系统或服务的提供资格;
③连续赢利期限要求;
④连续无相关法律诉讼年限要求;
⑤没有发生重大管理、技术人员变化和流动的期限要求;
⑥没有发生主业变化期限要求。
3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》
4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;
5)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证;
6)其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板;
7)服务供应商的选择还要参阅《安全服务外包管理制度》。
第七章项目验收与投产
第三十条系统建设完成后,项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容至少包括:
1)制定的系统交付清单,对交付的设备、软件和文档进行清点;
2)对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护;
3)提供系统建设的过程文档,包括实施方案、实施记录等;
4)提供系统运行维护的帮助和操作手册
第三十一条系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。
第三十二条系统交付由项目应用系统主管部门负责,必须安照系统交付的要求完成交付工作。
第三十三条应制定投产与验收测试大纲,在项目实施完成后,由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求:
1)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
2)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
3)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
4)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;
5)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
6)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
7)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
第三十四条测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。
第三十五条测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:
1)监测系统的安全性能,包括事故报告;
2)进行用户安全培训,并对培训进行总结;
3)监视与安全有关的部件的拆除处理;
信息系统管理制度
信息系统运维管理制度 为了规公司信息系统的管理维护,确保系统硬、软件稳定和安全运行,结合公司实际,制定本制度。制度包括信息机房管理、硬件管理、ERP系统应用管理、信息系统变更管理、信息系统应用控制。 一、信息机房管理 1、硬件配备及巡检 1.1、格做好防鼠、防盗、UPS、恒温、恒湿等工作。 1.2、定期对机房硬件设备设施进行巡检,以保证其正常运行。 1.3、建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录,并认真填写。 2、出入管理 2.1、禁非机房工作人员进入机房,特殊情况需经人事总务部批准并进行登记后可进入。 2.2、进入机房人员应遵守机房管理制度,不乱动机房设备。 2.3、进入机房人员不得携带任易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。 3、安全管理 3.1、IT操作人员随时监控中心设备运行状况,发现异常情况应立即按照应急预案规程进行操作,并及时上报和详细记录。
3.2、未经批准,不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置。 3.3、软件系统的维护、增删、配置的更改,必须按规定详细记入相关记录,并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度,不得擅自泄露信息资料与数据。 3.5、机房禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。 3.6、禁在机房计算机设备上做与工作无关的事情(如聊天、玩游戏),对外来存储设备(如U盘、移动硬盘等),做到先杀病毒后使用。 3.7、机房禁乱拉接电源,应不定期对机房设置的报警、恒温设备进行检查,保障机房安全。 4、操作管理 4.1、从机房离开时,必须关闭显示器,关好门窗,关闭电灯,锁好机房门。 4.2、每对机房环境进行清洁,以保持机房整洁;每季度进行一次大清扫,对机器设备检查与除尘。 4.3、格做好各种数据、文件的备份工作。服务器数据库要定期进行双备份,并格实行异地存放、专人保管。所有重要文档定期整理装订,专人保管,以备后查。 5、运行管理 5.1、机房的各类计算机设备,未经负责人批准,不得随意编写、修改、更换各类软件系统及更改设备参数配置。
系统运行管理制度
XXXXXXXXXX项目 系统日常运行管理制度 创建日期: 确认日期: 文控编号:UF_ NC_XXX 当前版本: 用友项目经理: 日期: 客户项目经理: 日期:
文档说明 目的: 为规范系统工作流程、明确责任、保证信息化管理系统安全、稳定、有序运行;以及在发生操作错误后得到及时、准确地解决,特制定本制度。 适用范围: 本制度适用于ERP(企业资源计划)系统的管理及维护。主要包括以下子系统:OA(办公自动化系统)、FM(财务管理系统)、HR(人力资源管理系统)、SCM(供应链系统包括物流一卡通系统) 文档控制 修改记录: 审核记录: 版权声明: 本方案仅供给说明中文档使用对象阅读,未经本公司许可,不得以任何形式传播或提供非授权人阅读。 (版权所有 UFIDA ?)
目录 1.职责描述 --------------------------------------------------------- 5 1.1.信息化建设领导小组--------------------------------------------- 5 1. 2.集团公司信息负责人--------------------------------------------- 5 1. 3.集团公司系统管理员--------------------------------------------- 5 1.4.集团公司硬件网络管理员----------------------------------------- 6 1.5.本部、各公司系统应用管理员------------------------------------- 6 1.6.最终用户------------------------------------------------------- 7 2.内部支持体系管理-------------------------------------------------- 8 2.1.运行支持------------------------------------------------------- 8 2.1.1.问题的提交与处理-------------------------------------------- 8 2.1.2.日常操作问题记录单填写与汇总-------------------------------- 8 2.1. 3.日常问题反馈流程:------------------------------------------ 8 3.系统安全管理 ---------------------------------------------------- 11 3.1.对集团公司安全要求-------------------------------------------- 11 3.1.1.系统维护及软件安全管理------------------------------------- 11 3.1.2.硬件设备安全管理------------------------------------------- 12 3.1.3.计算机管理制度--------------------------------------------- 12 3.1. 4.操作规范 -------------------------------------------------- 12 3.1.5.网络管理制度----------------------------------------------- 13 3.1.6.计算机防病毒管理------------------------------------------- 13 3.2.对所属公司安全要求-------------------------------------------- 13 3.2.1.对所属公司的信息化负责人要求------------------------------- 13 3.2.2.对所属公司系统应用管理员的要求----------------------------- 13 3.2.3.对所属公司最终用户的要求----------------------------------- 15 4.系统人员权限管理------------------------------------------------- 16 4.1.基础角色权限-------------------------------------------------- 16 4.2.人员权限------------------------------------------------------ 16 4.3.权限变动------------------------------------------------------ 16 4.3.1.新进人员、岗位变动权限管理--------------------------------- 16 4.3.2.人员调离权限管理------------------------------------------- 18 4.3.3.跨公司人员权限管理----------------------------------------- 19 5.信息化系统基础档案管理------------------------------------------- 21 5.1.系统基础档案管理内容------------------------------------------ 21 5.1.1.财务子系统管理员------------------------------------------- 21 5.1.2.人力资源子系统管理员--------------------------------------- 21 5.1.3.供应链子系统管理员----------------------------------------- 21 5.1.4.系统管理员------------------------------------------------- 22 5.2.集团和所属公司客户化参数变更流程------------------------------ 23 5.2.1.流程图: -------------------------------------------------- 23 5.2.2.对应流程表单:--------------------------------------------- 24 6.系统日常操作管理规范--------------------------------------------- 25 6.1.财务系统运行管理制度及操作手册-------------------------------- 25 6.2.人力系统运行管理制度及操作手册-------------------------------- 25 6.3.供应链系统运行管理制度及操作手册------------------------------ 25 6.4.OA系统运行管理制度及操作手册--------------------------------- 25 7.客户端配置及网络要求--------------------------------------------- 26
信息系统建设管理制度
信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等; 5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:
信息系统信息设备和保密设施设备管理制度
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
信息化系统管理制度
XX局信息化系统管理制度 第一章总则 第一条随着大集中系统应用推广、随着我局信息化建设的推进及计算机装备水平的提高,为加强计算机、网络系统运行的管理工作和税收信息化建设工作,规范计算机应用,保障网络系统和业务数据的稳定、高效、安全运行,提高科技管税水平,促进信息化建设稳步发展。原有《XX市地方税务局计算机系统管理办法》已不能完全适应现信息化建设管理需要。结合我局的业务需求和实际情况,根据《计算机保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家税务局总局税务系统电子数据处理管理办法(试行)》、《昆明市计算机信息系统安全监察暂行办法》、《昆明市地方税务局计算机管理试行办法》、《XX地方税务局信息化安全管理制度》等有关法律法规及管理制度。现将原来《办法》修订为《XX市地方税务局信息化系统管理制度》。 第二条XX市地方税务局信息化系统的管理工作,必须按照国家的法律和国家税务总局制定的“统一领导、统一规划、统一标准、分步实施”的原则,在省、市地税局的领导下进行。 第三条信息化系统管理含盖计算机系统运行管理、网络安全管理、业务电子数据管理、设备及耗材管理,等四个方面。 第四条各科室、分局、稽查局(以下统称各部门)。各部门的计算机运用工作应遵守国家有关法律法规和省、市地方税务局有关规定,在局计算机管理部门授权范围内按照本办法规范运作。 页脚内容1
第五条我局设立计算机管理部门负责全局的计算机系统管理工作,研究制定相关的工作规划、措施,监督、检查计算机系统的使用、运行情况,传达、协调、制定有关技术和应用标准。使用计算机的各部门,负责相关业务应用程序的操作、日常维护及安全保密工作。及时向计算机管理部门报告应用中发现的有关问题。 第六条XX市地税局计算机管理部门内设专职系统维护员职位,负责软件、硬件、数据库和业务系统管理。计算机系统操作员是指经局计算机管理部门授权,在授权范围内使用我局计算机系统相关功能的操作人员。 第七条本办法适用于XX市地税局使用计算机的各部门和全体干部职工(含协管员)。 第二章计算机系统运行管理 第八条根据省、市地方税务局的规定与要求设置计算机管理部门、配备专职系统维护员负责全局的信息化建设和计算机系统维护、管理工作;各部门指定即兼职计算机管理员员(信息安全员)负责本部门计算机、网络设备、打印设备的日常维护管理,对本部门其他人员计算机应用的辅导。 第九条 XX市地税局专职系统管理人员应履行以下职责: 一、按照省、市地方税务局的要求和本局实际情况,负责对全局信息化建设工作进行总体规划和组织实施。 二、负责起草全局计算机管理工作的各项规章制度。 三、配合省、市地方税务局的总体业务目标,制定技术工作计划并组织实施。 四、协助各部门对单行业务应用软件的维护工作,并为各部门业务应用软件及基础数据资料管理提供技术支持。 五、保障全局计算机软、硬件、网络系统的正常运行。 六、负责监督、检查、协调,并从技术上指导各部门的计算机工作,提供技术支持。 页脚内容2
软件开发管理制度汇编
软件开发管理制度 版本:V1.0 2013年1月
第一节总则 第一条为规自有软件研发以及外包软件的管理工作,特制定本制度。本制度适用于公司总公司软件研发与管理,分公司参照执行。 第二条本制度中软件开发指新系统开发和现有系统重大改造。 第三条本制度中自行开发是指主要依赖公司自身的管理、业务和技术力量进行系统设计、软件开发、集成和相关的技术支持工作,一般仅向外购置有关的硬件 设备和支撑软件平台;合作开发是公司与专业IT公司(合作商)共同协作 完成IT应用的项目实施和技术支持工作,一般形式是公司负责提供业务框 架,合作商提供技术框架,双方组成开发团队进行项目实施,IT系统的日常 支持由IT技术中心和合作商共同承担,IT技术中心负责部(一级)支持, 合作商负责外部(二级)支持;外包开发是指将IT应用项目的设计、开 发、集成、培训等任务承包给某家专业公司(可以是专业的IT公司或咨询 公司等),由该公司(承包商)负责应用项目的实施。 第四条软件开发遵循项目管理和软件工程的基本原则。项目管理涉及立项管理、项目计划和监控、配置管理、合作开发管理和结项管理。软件工程涉及需求 管理、系统设计、系统实现、系统测试、用户接受测试、试运行、系统验 收、系统上线和数据迁移。 第五条除特别指定,本制度中项目组包括业务组(或需求提出组)、IT组(可能包括网络管理员和合作开发商)。 第二节立项管理 第六条提出开发需求的信息技术部门参与公司层面立项,进行立项的技术可行性分析,编写《立项分析报告》(附件一),开展前期筹备工作。《立项分析报 告》应明确项目的围和边界。 第七条应用系统主要使用部门将《立项分析报告》上交公司总裁室进行立项审批,以保证系统项目与公司整体策略相一致。 第八条《立项分析报告》得到批准后,成立项目组(如果是外包开发,则成立外包商项目组;如果是合作开发,则与外包商共同成立合作开发项目组,以下统 称“项目组”),项目组应包括业务组(由公司相关业务部门组成)和IT组 (自行开发为办公室网络管理员;外包开发为外包商成员;合作开发为网络
信息系统管理制度
信息系统管理制度 第一章总则 第一条为了保护公司计算机信息系统安全,规范信息系统管理,合理利用信息系统资源,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合公司实际情况,制定本制度。 第二条本制度所称的信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,应当保障信息的安全,保障计算机功能的正常发挥,保障应用系统的正常运行,以维护计算机信息系统的安全运行。 第二章硬件 第四条按照谁使用谁负责的原则,落实责任人,负责保管所用的网络设备和线路的完好。两人以上的用户,必须明确一人负责。 第五条计算机设备的日常维护由各业务部门、子公司、分支机构负责。计算机设备和软件发生故障或异常情况,由公司网管统一进行处理。 第六条按照作息时间准时开关机,及时处理有关文件,严禁使用公司计算机玩游戏、听音乐、看影碟等。 第七条计算机操作人员应保持计算机环境清洁,下班之前退出所有程序关闭计算机,切断插板电源后方可下班离开。 第八条各负责人应对计算机定时杀毒,对外来不明存储设备,必须经过严格的病毒检测,方可使用。 第三章软件及账号管理制度
第九条各业务部门、分公司配备的计算机及网络设备根据使用者落实到人,各责任人对于计算机系统必须设置账号密码,严格控制非使用人员使用计算机,使用软件系统必需经公司批准,使用分配的账号,并设置密码后方可使用,网络管理员根据企业制度的账号管理规则对用户账号实行管理,并对用户账号的安全和保密负责。 第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作公司信息系统,严禁使用外来存储设备,以防泄密和病毒侵入。 第十一条操作计算机时不得使用一些危险性的命令,严禁分区及格式化硬盘等操作。 第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作 无关的软件程序,但经审批通过的管理软件除外。 第四章网络和互联网访问 第十三条未经网管批准,任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数,外部电脑未经网管允许, 常州千红生化制药股份有限公司 信息系统管理制度不得接入公司网络。 第十四条网络使用划分为五级安全保护等级,联接局域网内的任何一台计算机按照确定的等级进行使用,不得随意更改,用途须与工作有关,使用互联网必须遵守国家相关法律法规,否则其所带来的后果由用户责任人承担。 第一级:办公电脑可以在网络监控下,使用互联网,访问外部网站,能够使用外部即时通信工具。 第二级:办公电脑可以在网络监控下,使用互联网,访问外部网站,只能访问指定的网站,不能使用外部即时通信工具。 第三级:办公电脑只能在公司局域网内联网,使用公司内部的网络资源,不能够联接互联网。 第四级:办公电脑只能在本部门或分公司网段联网,可以使用公司统一资源,不能访问跨部门网络资源。
信息系统运行使用管理规定
信息系统运行使用管理规定 1 目的 为了保障信息系统安全、可靠、稳定运行,确保信息系统应用效果,制定本规定。 2 范围 本规定适用于公司信息系统运行和使用管理。 3 职责 3.1 企业管理部负责对公司信息系统的运行实施监管,负责维护信息系统运行平台,负责信息系统软件升级;系统使用单位负责日常维护管理和数据安全管理。 3.2 信息系统使用单位负责制定信息系统使用管理制度,严格按照系统操作要求规范使用信息系统。 4 管理程序 4.1 用户管理 信息系统用户分为系统管理员、部门管理员、业务操作员,并分别履行下列职责: a、系统管理员:负责信息系统运行平台维护管理;负责为信息系统用户设置权限;负责对部门管理员进行技术支持。 b、部门管理员:负责终端用户系统的安装、使用指导及日常维护;分配业务操作人员的使用权限;根据业务需要设定流程;对业务操作人员进行培训并及时解决业务操作人员遇到的问题。 c、业务操作员:负责严格按系统运行要求及时处理业务,确保数据准确完整。 4.2 安全管理 4.2.1 信息系统用户实行一人一帐号,用户密码应严格保密并要定期更改。因帐号和密码被他人盗用造成的后果由帐号持有人负责。 4.2.2 信息系统使用不得进行授权以外的非法操作。 4.2.3 系统使用人离开工作岗位时,必须及时退出系统。 4.2.4 凡岗位变动的信息系统用户,由系统管理员变更或注销帐号。 4.2.5 因工作需要变更使用权限的,由系统管理员负责变更其操作权限。 4.2.6 部门管理员负责对业务数据进行备份,确保数据安全。 4.3 应急处理
系统发生故障时,企业管理部必须及时处置并通知相关业务单位以降低由此造成的影响和损失。相关业务单位必须采取措施确保不得影响正常业务开展,在系统恢复正常运行后及时将有关业务数据重新录入至信息系统。 信息网络管理规定 1 目的 为了加强和规范公司的网络管理,制定本规定。 2 范围 本规定适用于公司信息网络的管理。 3 职责 3.1 企业管理部是企业信息网络建设和管理的主体。负责企业网建设、运行维护和管理;负责接入企业网的用户资格审核和国际互联网的接入管理。 3.2 各单位是企业网的协管部门,应当安排专门人员,履行本单位网络维护管理职责。 4 管理程序 4.1 企业网接入 4.1.1 集团公司企业网与国际互联网接入实行统一对外出口,任何单位一律不准擅自接入外网。 4.1.2 严禁接入企业网的终端利用其他方式(电话拨号接入、ADSL接入、无线接入等)接入国际互联网。 4.1.3 凡接入企业网的用户,由企业管理部审核办理。 4.1.4 涉密终端一律不得接入企业网。涉密文件、资料、数据不得进入国际互联网传播或存储。 4.1.5 外来人员或其设备不得擅自接入企业网。确需接入的,由接入单位提出申请,经企业管理部同意后方可接入。 4.1.6 因同一办公地点的接入需求大于现有接入能力,需要对现有接入能力进行扩充时,须报企业管理部审批后方可实施。任何单位、部门不得擅自扩充。4.2 IP地址管理 4.2.1 企业管理部负责企业网的IP地址段的规划、分配和管理。 4.2.2 重要网络设备的IP地址由企业管理部统一设定。 4.2.3 接入局域网的计算机IP地址由企业管理部统一分配。 4.2.4 IP地址一经设定,不得擅自更改。
项目开发管理制度
项目开发管理制度 为加强对定制项目开发工作管理,缩短开发周期,提高项目开发质量,降低开发成本,提高定开发效率和效益,特制定项目开发流程管理制度。 一、总则 为保证日常工作正常有序的进行,让开发中各个环境更紧凑,更可控,需要尽可能实现项目管理的正规化,工作过程的流程化,以便提高项目质量,按期交付。 1、项目开发总体遵循项目管理和项目工程的基本原则。 2、项目管理涉及项目立项、项目计划和监控、配置管理。 3、项目工程涉及需求分析、系统设计、项目实现、系统测试、用户测试、试运行、系统验收、系统上线和数据迁移、产品维护。 二、阶段成果 根据项目工程的过程,制定以下工作流程,并规定了各个重要环节需要提交的交付物。各阶段需提交的文档: 1、立项:项目申请表,项目需求报告或设计方案。 2、需求分析:项目研发主计划、需求规格说明书 3、总体设计:概要设计说明书或功能模块描述 4、详细设计:详细设计说明书,包括项目接口说明、单元测试计划。 5、项目实现:项目功能说明、源代码说明或者注释 6、产品测试:测试报告 7、产品发布:产品说明书、使用手册 8、产品维护:问题反馈记录 9、项目总结:提交客户方的项目总结和公司项目汇报的PPT。
项目过程成果表: 三、岗位设置 根据公司目前的开发过程主要分为分析、开发、测试三个阶段。分析阶段完成用户需求文档的编写,系统总体设计的编写;开发阶段完成设计文档的编写,代码的编写、代码的维护。测试阶段完成系统的测试,测试文档及其他材料。通过逐
渐的调整岗位,明确工作职责,逐步实现项目经理,项目设计师,程序员,测试工程师的岗位设置。 四、项目立项 1、分析人员进行应用调查与分析,确认项目的应用需求。 2、成立项目评审会,开发总监、部门经理和指定人员必须参加。对项目进行可行性研究,编写项目建议书,评估项目的难度和工作量,形成可行性研究报告。 3、根据项目配置的优劣成立项目开发组,制定项目开发计划,确定项目经理,由部门和项目经理共同来确定具体项目配置,知识技能要求,团队成员及团队的角
设备信息系统运行管理办法
神华乌海能源公司机电设备管理信息系统 运行管理办法 1 总则 1.1为进一步提高机电设备管理水平,公司统一部署实施了机电设备管理信息系统,为了保证机电设备管理信息系统的正常运行,特制定本办法。 1.2本办法适用范围:乌海能源公司实施机电设备管理信息系统的使用单位和相关业务管理单位。 1.3本办法为原则性纲领文件,项目实施过程中已制定的具体技术管理制度为本办法的附件,各单位应严格按照相关附件规定进行工作。 2 目的 2.1公司各单位所有的机电设备台帐,要按照规则要求全部录入本系统中管理,机电设备相关的图纸、技术文档也应制作成电子版本,关联至系统本设备台帐项下。机电设备台帐和图纸资料应定期维护、更新,确保信息真实、完整。 2.2公司各单位机电设备维修、管理人员的简历,要按照规则要求全部录入本系统中管理,员工信息应定期维护、更新,确保信息真实、完整。 2.3公司各单位应改变过去的事后维修为以预防为主的维修策略,机电设备应按照规则编制建立预防性维护体系,定期工作、点巡检、润滑等作业程序应严格按照相关法律法规、厂家要求、实际使用经验编制,合理制定作业计划,确保作业人员按要求执行。 2.4公司各单位机电设备的隐患管理到维修处理应形成一个完整的闭环管理模式。发现隐患应及时登录本系统中,需要处理的隐患应及时开出工单,按照设定的流程审核批准后,维修人员凭批准工单开始维修工作。维修结束后应由点检人员验收合格后关闭工单,工单关闭后隐患才可认为已消除。 3 职责 3.1 机电动力部职责: 3.1.1机电动力部是公司机电设备管理信息系统的业务主管部门,应设 专人负责监控和维护机电设备管理信息系统的日常运行。
信息系统管理制度与考核办法
信息系统管理制度文件编号: 编写部门:行政人事部 编写人: 审批人: 审批日期:
第一章产品目标与管理模式 本章节旨在解决产品链的建立、衔接与管理,明确纵向产品体系和项目经理管理模式。 1.管理模式 管理方法 产品化管理,在原直线职能管理模式基础上实行矩阵式管理,由项目经理对项目组所开发的产品负主要责任,从需求——开发——测试——发布——培训——实施的整体业务体系全程监督与控制。 管理重点 抓“两头”放“中间”。其中,抓“两头”是指项目经理主抓业务需求和总体框架、抓数据库结构;放“中间”是指部门范围内开发代码,实现模板化编译和信息资源共享。基于场所层面的开发重在解决管理职能,基于地市省厅层面的开发重在解决指导职能。 管理源头 需求是软件开发的根基、是节约成本的源头,需求描述必须可交流、格式化,经开发、测试和培训服务三方共同理解与确认的需求说明文档,是信息系统流程运作的主要依据。 2.产品目标 产品体系 以看守所系统为主导产品,带动治安拘留所系统、安康医院系统、收容教育所系统等场所产品发展,着手研制强制戒毒所系统。在实现基本业务功能和充分数据采集的基础上,将一系列产品挂至省厅地市系统,实现综合应用和深挖犯罪。 开发模式 ·开发结构:场所开发C/S结构为主,B/S开发旨在充分利用网络资源实现信息的充分共享和综合运用。B/S与C/S结构开发相互独立、留有接口。
·开发方法:由原型法转入瀑布法,加强需求调研与开发质量,为后期维护减负。 ·开发方向:产品模块化和智能化运作,明确系统主体业务模块与非主体业务模块,在主体业务功能完善的基础上稳定产品;在充分实现系统数据采集的基础上,实现WEB平台的综合应用和深层次的犯罪挖掘。 3.发展目标 ·第一阶段:采集数据。与硬件系统集成,实现采集系统的功能拓展。·第二阶段:综合应用。通过业务报表实现查询功能,通过数据接口对外部系统形成连接平台,引导行业标准。 ·第三阶段:数据挖掘、横向联查,形成一个庞大的数据挖掘系统。·第四阶段:将数据应用系统作成公安系统的办公平台,成为公安系统日常工作不可或缺的办公工具。通过平台反向促进数据采集的准确率。 4.市场定位 竞争对手 目前有湖北东方(业务导向)、华迪公司(BS优势)、深圳胡晓峰(OA理念)、南京科安(份额优势)、上海三所等。需时时了解对手动态,掌握对手优势,做到知己知彼、对症下药。 竞争策略 看守所层面形成绝对市场优势和技术优势,其它系统才能进入市场,形成绝对垄断。信息系统市场的巩固与拓展,是带动系统集成业务发展和获取收益增长的前提。 .市场定位 稳固看守所系统,挖掘省厅地市、拘留所、强制戒毒所等信息系统,争取部局系统,逐步向地铁公安、公安消防等相关行业信息系统递延。
信息化系统安全运行管理制度.doc
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
系统开发管理制度
信息系统开发管理制度 为规范信息系统的开发内容,保证信息系统开发的可执行性和严肃性,特制订本管理制度。 一、岗位和职责 1、信息系统关键用户:负责开发需求的整理及分析开发需求是否可行、业务SPEC文 档的编写、程序测试及最终用户的使用培训。 2、业务部门总部部门第一负责人:负责开发需求的审核。 3、大区部门经理及以上负责人:负责开发需求整理及开发需求的审核。 4、总部信息经理:对开发的业务需求及现有技术能力对开发需求进行评估。 5、总部信息总监:负责开发需求的审核。 6、集团负责人:负责开发需求的审核。 7、开发工程师: 1)负责协助关键用户整理业务需求,根据业务SPEC文档开发程序,对程序全程跟踪测试,编写技术SPEC文档。 2)负责信息系统的二次开发和代码备份,确保所开发程序的完整性与可追溯性,保证程序与相关文档相符且要一一对应。 3)负责所开发系统或程序的测试、维护、更新、升级和推广应用等工作,对关键用户和部分最终用户进行指导、培训、技术支持和问题解决等工作。 8、BASIS顾问:负责传输开发程序请求并审核开发程序。 9、开发负责人:负责开发需求的审核及开发整个过程的监督。 10、安全审计专员:负责监督审核开发程序。 11、文档专员:负责上传业务SPEC文档及技术SPEC文档,以PDF格式上传到KOA 系统中的信息化专栏模块。 二、开发总则 由各部门把需求整理后,经过与关键用户及开发工程师沟通,并考虑实际情况,综合评析后,由关键用户在KOA系统中发起SAP程序开发管理流程,经关键用户结合实际业务及系统操作审核开发需求,并写明SPEC需求文档(文档格式详见附件),经本部门负责人(部门经理)、本部门第一负责人审批(总监或副总监)、总部信息经理和信息总监审批、集团负责人审批、总部开发工程师处理,开发负责人进一步确定是否上传业务SPEC 文档,与开发工程师及关键用户沟通需求是否可行,最后由开发工程师组织需求评估,确
信息系统规划、建设管理制度
信息系统规划、建设管理制度 第一章总则 第一条为加强某某单位信息系统规划、建设阶段项目管理,规范信息系统规划、建设管理流程,及时提供满足管理和业务需求的应用系统,特制定本制度。 第二条本制度适用于某某单位信息系统规划、建设管理工作。 第二章职责 第三条某某单位办公室职责: 负责受理各处室提交的信息系统需求的申请进行审核; 负责对各处室提交的信息系统需求进行需求分析,同时需要进行安全分析,主持需求规格说明书、概要设计、演示版的审核;负责质量控制,组织信息系统验收和正式上线使用;负责软件开发过程中的整体协调工作。 负责对新建的信息系统、设备、配套设施进行监督及管理。 第三章工作程序 第四条提出需求: 各处室提出开发的应用软件的需求,具体包括:时间要求、功能要求、权限控制、安全要求和业务流程。 第五条受理: 某某单位办公室在接到各处室的要求后,立即着手安排各项准备工作,制定任务计划,包括人力资源的考虑和时间要求的考虑,寻找软件开发商进行协商,向信息系统开发商提出开发要求。 第六条需求分析: 信息系统开发商在接到开发要求后,与某某单位办公室共同进行需求分析。 第七条需求审核: 某某单位办公室组织各处室信息系统开发商共同进行需求规格说明书的审核,信息系统开发商提供审核
所需的材料和需求规格说明书,负责技术问题的解释。各处室应认真审核需求规格说书所描述的内容是否符合业务和管理要求,如果不符合要求某某单位办公室和信息系统开发商重新进行需求分析,直到审核通过为止,各处室签字认可。 第八条概要设计: 信息系统开发商对审核通过后的需求按软件建设标准开始进行概要设计。 第九条概要设计审核: 某某单位办公室组织需求部门对信息系统开发商的概要设计进行审核,包括:是否符合各处室提出的业务和管理要求,是否符合软件建设标准的要求,结构是否合理。审核未通过,信息系统开发商重新进行概要设计。 第十条演示版建设: 信息系统开发商对概要设计通过后的需求进行演示版的建设,完成所有界面设计、业务流程和功能规划。 第十一条演示版的审核: 某某单位办公室组织各处室信息系统开发商共同进行演示版的审核,业务部门要对界面、业务流程和功能划分进行确认,如未达到各处室的要求,重新进行演示版的建设,直到审核通过为止,由各处室签字认可。 第十二条详细设计和代码编制: 信息系统开发商对演示版审核通过后的应用开始进行详细设计和代码编写,并按软件建设标准文档模版补充和完善详细设计说明书。 信息系统开发商对代码编写完的应用产品编写安装维护手册、升级安装手册、用户操作手册、测试用例报告,并进行多种方式的测试,包括:开发人员自身的测试、测试人员的测试,测试环境的测试。测试的内容不仅需要包含功能需求,也需要包含业务系统的安全需求,测试人员在测试完成后应编制测试报告,如果出现BUG或者不满足安全需求,要求填写BUG记录表,开发人员修订程序代码,直到测试完全通过。 第十三条安装部署试运行: 某某单位办公室根据安排通知信息系统开发商开始安装部署试运行时间。由某某单位办公室组织各处室进行安装部署试运行工作,并由各处室负责用户测试工作。 第十四条试运行审核: 某某单位办公室组织各处室试运行进行审核,审查测试用例、报告测试报告以及相关的技术文档,对程序中的关键点和安全需求按照测试用例报告进行严格测试,各处室应配合某某单位办公室对应用系统进行试用,验证系统功能是否满足业务和管理要求,如果试用过程中发现不符合业务和管理要求,应认真填写问题反馈意见。如果各处室反馈意见表明试运行不合格,某某单位办公室将要求信息系统开发商重新进行代码编写和测试,直到试运行通过。 第十五条信息系统验收: 某某单位办公室组织各处室对信息系统开发商提交的应用系统进行验收,主要根据试运行用户测试结果和合同中规定的验收文档和其他要求进行验收工作,某某单位办公室负责严格检查技术文档,各处室负责严
信息系统信息设备和保密设施设备管理制度守则
精心整理信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密 本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。
4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘 ,经 环境 ,按照涉密计算机申报登记程序,报公司保密办公室。 6)公司保密办公室对申请变更为非涉密计算机进行检查,收回硬盘,到具有处理资质的单位进行集中销毁,确认计算机内不包含任何形式的国家秘密信息后,批准变更,并注销涉密计算机编号。 4.管理制度
公司涉密信息系统、信息设备的保密管理遵循“业务谁主管、保密谁负责”、“谁使用、谁负责”的原则,明确制度、分清职责、分级管理、逐级落实。各部门主管领导负责本部门涉密计算机的保密管理工作,并负有领导责任。同时,要指定人员具体负责涉密计算机的保密管理工作。公司保密办公室对全公司涉密计算机的保密工作进行指导、协调、监督和检查。并负责培训涉密计算机安全保密管理人员,查 ●数字证书机制; ●密码口令。密码口令长度不得少于十个字符,定期更换,采用大小写英文字 母、数字和特殊字符等两者以上的组合。密码(钥)应与计算机分离,妥善保管。
信息系统运行日常管理制度
[范本一]: **管理软件系统运行管理制度(试行) 一、总则 第一条为保证**管理软件系统的正常运行,规范系统的使用和维护,确保数据及时、准确、规范、完整,根据**管理软件系统的运行特点,结合×××公司应用的实际,特制 定本办法。 第二条本办法适用范围:×××公司的市场部、生产部、资材部、财务部、信息中心及相关**管理软件系统的终端用户。 二、职责 第三条信息中心是**管理软件系统的业务管理部门。其职责: 1.负责**管理软件系统的业务管理工作 2.负责组织制定各项管理制度并监督检查执行情况 3.负责平衡、协调解决系统运行中存在的问题 4.负责对用户授权和数据修改的审批 5.定期组织召开系统运行情况的总结、分析会 第四条信息中心是**管理软件系统软件、硬件网络维护管理单位。其职责: 1.负责系统硬件设备和软件的安装、维护; 2.负责系统数据修改、维护和备份工作; 3.负责系统故障记录和处理; 4.批量数据的系统导入、导出工作; 5.负责报表的开发和修改等工作; 第五条技术工程部TS/TMS是**管理软件系统中物料数据(品号、BOM、工艺路线)的维护管理部门。其职责是: 1.负责对目前所有物料信息的收集整理、规范和编码; 2.负责对新增物料的编码在**管理软件系统中进行维护; 3.负责对目前所有物料的进行BOM分阶和规范; 4.负责对新增物料的bom表在**管理软件系统中进行维护; 5.负责对目前所有成品的工艺路线进行收集整理和规范; 6.负责对新增成品的工艺路线进行维护。 第六条市场部是**管理软件系统中销售子系统的使用和维护部门。其主要职责: 1.所有产品的销售活动,都以订单的方式在**管理软件系统中完成; 2.市场部业务员负责对客户编码及客户信息数据进行及时完整和准确的维护;