应用系统管理标准

Q/HNYM华能伊敏电厂企业标准Q/HN-2-7202.15.070-2013代替Q/HNYM—G—527.03-2012应用系统管理标准2013—11—28发布2013—12—01实施华能伊敏电厂发布Q/HN-2-7202.15.070-2013i目录前言................................................................ii1范围..........................................................................12规范性引用文件................................................................13术语和定义....................................................................14职责..........................................................................15流程与风险分析................................................................25.1管理流程图...............................................................25.2控制点...................................................................35.3风险分析：...............................................................36管理内容与方法................................................................36.1开发与变更...............................................................36.2权限管理.................................................................66.3用户信息.................................................................66.4用户口令.................................................................66.5运行维护.................................................................66.6安全检查和审计...........................................................87检查与考核....................................................................98相关/支持性文件...............................................................99报告和记录....................................................................910附录..........................................................................9附录A（规范性附录）应用系统管理流程图.......................................10附录B（规范性附录）应用系统问题记录表.......................................11附录C（规范性附录）应用系统用户权限申请表...................................12附录D（规范性附录）应用系统变更申请表.......................................13附录E（规范性附录）应用系统操作日志.........................................14受控文件受控编号：Q/HN-2-7202.15.070.2013ii前言为规范华能伊敏电厂（以下简称“伊敏电厂”）信息系统开发、维护的管理，明确责任，保证系统开发各阶段衔接顺畅，提高系统开发项目决策程序的科学性，保障信息系统的安全、可靠、连续、稳定运行，提高伊敏电厂信息应用系统运行维护的科学化、规范化、制度化水平，按照中国华能集团公司《华能电厂安全生产管理体系要求》，结合伊敏电厂实际，制定本标准。本标准由伊敏电厂安全生产管理体系领导小组提出。本标准由伊敏电厂综合科归口管理。本标准起草单位：伊敏电厂综合科。本标准主要编审人员：编制：周体昌审核：韩忠绪、李广山审定：郑安本标准于2012年04月28日首次发布，本次为第1次修订。本标准自发布之日起实施，代替Q/HNYM—G—527.03-2012《应用系统管理标准》。Q/HN-2-7202.15.070-20131应用系统管理标准1范围本标准规定了伊敏电厂应用系统的开发与变更、运行维护、安全审计等方面的管理。本标准适用于伊敏电厂的应用系统管理工作。2规范性引用文件GB/T8566-20072007年7月《信息技术软件生存周期过程》2013年国家电力监管委员会《电力行业信息系统安全等级保护基本要求》1059-2011中国华能集团公司《中国华能集团公司信息化项目验收管理办法》223-2011中国华能集团公司《中国华能集团公司信息化招标管理暂行办法》2012版《华能伊敏煤电有限责任公司应用系统开发管理办法》2012版《华能伊敏煤电有限责任公司应用系统管理办法》3术语和定义下列术语和定义适用于本标准:3.1项目开发方式项目开发方式包括自行开发、联合开发、外包。3.2应用系统是指以信息技术为主要手段建立的各类业务管理的应用系统，是为各类业务管理服务的应用系统，从广义来讲包括用于各类业务管理的应用软件，及软件所依赖的计算机系统和网络系统。从狭义来讲，信息应用系统指的是应用软件及其所依赖的计算机硬件平台，而不包括网络系统。3.3特权账号特权账号是指具有特殊管理功能和权限的专用账号，如具有应用系统管理权、数据库管理权、操作系统管理权的账号，还包括网络设备特权账号等。3.4维护中的变更维护中的变更指包括在应用系统维护合同、应用系统开发合同中规定的款项或外包商承诺实现的变更项目，其特点是不发生费用，变更内容少、易于实现，对应用系统影响较小，一般表现为系统使用中的微小调整。4职责伊敏电厂根据《信息化工作管理标准》成立信息化管理领导小组。4.1信息化管理领导小组4.1.1负责应用系统项目开发的审批、立项等重要控制环节。4.1.2负责本标准执行情况的检查与考核。4.2综合科信息中心4.2.1综合科信息中心应用系统开发项目的主要管理机构，负责组织项目的可行性研究，项目立项后Q/HN-2-7202.15.070.20132的开发管理，组织项目的验收等工作。4.2.2信息中心负责项目建成后系统和设备的运行维护工作。4.2.3信息中心负责人指定专人担任应用系统管理员、操作系统管理员、数据库管理员、网络管理员、安全管理员和机房管理员，按照下面《职责不相容关系表》,一个信息系统中，不相容的职责不能由同一个人担任，在涉及信息管理人员的应用系统中，最终用户可以兼任应用系统管理员。X表示行与列的两个职责不相容项目管理应用开发数据库管理员网络管理员应用系统管理员操作系统管理员安全管理员最终用户数据录入项目管理××××××应用开发×××××××数据库管理员××××××网络管理员×××××应用系统管理员×××××操作系统管理员××××安全管理员×××最终用户××××××数据录入××××××4.2.4应用系统管理员负责应用系统的管理和维护工作，解决并记录应用系统中的问题，按照权限分配表在应用系统中设置用户的权限。4.2.5操作系统管理员负责应用系统主机操作系统的管理和维护工作，对应用系统主机软件的安装删除、补丁安装进行管理和记录。4.2.6数据库管理员负责数据库的管理和维护工作，进行数据备份和恢复测试，并对备份的存放介质进行管理；4.2.7网络管理员负责网络的管理和维护工作。4.2.8安全管理员负责信息安全检查和审计管理工作。4.2.9机房管理员负责信息中心机房的管理和维护工作。4.3各单位4.3.1负责提出信息化项目需求，协助解决项目开发过程中出现的业务相关问题。4.3.2负责组织项目的用户测试、试运行，参与项目的验收工作，组织项目的推广。5流程与风险分析5.1管理流程图应用系统管理流程图见附录A(规范性附录)。Q/HN-2-7202.15.070-201335.2控制点5.2.1开发与变更：应用系统的开发、变更应履行申请、需求调查、审批、立项、设计、实施、验收等控制环节。5.2.2权限管理：明确权限标准，权限的申请、审批、分配、变更及注销等手续完整。5.2.3用户信息：统一管理与维护。5.2.4用户口令：明确口令策略要求，对特权账号应制定专人进行使用与管理。5.2.5运行维护：对应用系统的各类口令进行严格管理，及时分析系统运行状态及其故障原因，并采取针对性措施。5.2.6安全审计：定期进行检查、分析、审计。5.3风险分析5.3.1开发与变更：由于应用系统开发、变更过程中，不严格履行调查、审批等控制环节的原因，可能导致应用系统功能不全、重复性开发的风险，造成资金、技术浪费的后果。5.3.2权限管理：由于用户权限管理不规范的原因，可能发生用户权限与其实际工作不符的情况，造成应用系统流程混乱的后果。5.3.3用户信息：由于用户信息管理不规范的原因，可能导致用户角色权限信息混乱、错误，造成应用系统不能正常使用的后果。5.3.4用户口令：由于用户口令策略不明确，特权账号管理不善的原因，可能导致特权账号被他人恶意利用，造成应用系统数据被篡改、流失泄密的后果。5.3.5运行维护：由于没有及时分析系统运行状态及其故障原因，并采取针对性措施的原因，可能导致故障扩大的风险，造成应用系统不能安全、稳定运行的后果。5.3.6安全审计：由于没有定期检查、分析、审计应用系统的安全性的原因，可能导致应用系统安全性降低，造成应用系统遭受恶意攻击而导致系统崩溃的后果。6管理内容与方法6.1开发与变更6.1.1项目立项6.1.1.1伊敏电厂各单位提出信息化项目需求，信息中心根据需求编制项目申请，经信息化管理领导小组审核，报伊敏煤电煤电公司审批后立项实施。6.1.1.2项目的申请有两种方式：年度计划中申请和临时申请。重大项目必须在年度计划中进行申请；非重大项目的临时申请流程与年度计划申请流程一致，属于年度计划内容和预算的调整，临时申请经过批准后，项目方可按照计划实施。6.1.1.3项目申请中应包括需求书、可行性报告、资金预算、对成本效益定性定量的分析和项目时间计划，具体内容参见《信息化工作管理标准》附录B（规范性附录）信息化项目申报表。6.1.1.4外包商的选择由综合科信息中心根据《供应商管理标准》的要求进行，采用招标或询价的方式，项目小组参与此过程，并提供技术方面的参考意见。Q/HN-2-7202.15.070.201346.1.2项目管理6.1.2.1项目正式立项后，综合科信息中心组织相关单位成立项目管理小组，此项目管理小组负责项目全过程的统筹管理，对项目的进度和质量负责。6.1.2.2综合科信息中心指定具备3年以上工作经验并熟知项目功能需求管理制度的员工担任项目负责人，项目负责人负责协调各单位、信息中心和外包商三者之间的工