信息系统管理办法

信息系统管理办法第一章：总则第一条为保证公司信息网络系统的安全，根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司内网络系统建设的实际情况，制定本办法。第二条本办法所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。第四条本规定适用于公司内所有计算机硬件及周边设备（如打印机、扫瞄仪、MO存储器，软磁碟，CD碟，数码相机、考勤机终端等）及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。第二章信息系统安全管理第五条计算机系统账号与操作员代码一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得；三、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；四、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有主管负责人授权；五、信息部门任何人员不得使用他人操作代码进行业务操作；六、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；七、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。八、操作员不得使用或盗用他人代码进行业务操作。九、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。第六条密码与权限管理一、密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置应具有安全性、保密性，不能使用简单的代码和标记。二、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，在可能的情况下并相应记记录用户名、修改时间、修改人等内容，及时上报公司信息中心备案。三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖部门印章并签字标注封存日期后交由信息中心存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。四、系统维护用户的密码应至少由两人共同设置、保管和使用。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记并备档留存。第三章数据安全管理第七条存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并保证重要系统业务备份要有两份。并明确落实异地备份数据的管理职责;第八条注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。第九条任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。第十条数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，原则上数据恢复由公司信息中心完成。如因其他原因由业务部门进行的，信息中心心须指定相关人员进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。第十一条数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。第十二条需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。第十三条非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。第十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。第十五条运行维护部门需指定专人负责计算机病毒的防范工作，建立企业内部计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。第十六条公司内所有计算机未经信息部允许不准安装与其业务部门无关的软件、不准使用来历不明的载体（包括软盘、光盘、移动硬、MP3盘其他存储介质）。第四章网络安全及防病毒管理第十七条任何人员不得盗用他人账号或操作员代码、公司内部网络安全管理密码进行操作第十八条部门所使用计算机不得使用除集团军公司内及时通讯软件外的任何第三方软件。严禁在工作计算机上安装BT、P2P等类型的多线程或占用带宽流量的下载软件，所有下载均采用单线程下载。保证公司的带宽有效利用。第十九条计算机内电子邮件收发均通过公司内部邮件系统进行，不得采用其他外部邮件系统，如因需要，可向信息中心申报后给予开通POS服务通道，并做备案。第二十条公司各部门计算机均采用域管理方式进行登陆，在工作期间必须登陆公司域服务器，并严格按照域管理下的操作说明进行文档及其他相关文件的传递。第二十一条防病毒系统均采用公司统一布署的企业网络防病毒系统，各部门计算机病毒代码均由公司防病毒服务器进行统一下载，不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。第二十二条为保证公司Internet的带宽流量，信息主管部门必须对访问Internet权限进行管控，各部门若有访问外部Internet公网其他特别需求的，可提出申请，经部门主管及信息部门审核，报经总经理批准后，使申请人享受访问Internet的特别需求权力。未通过此程序审批而私自设定其他方法访问外部网络，一经发现，将做严责。如因此给公司带来损失的，责成责任人承担相应损失。第五章机房安全管理第二十三条进入信息主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作等内容。第二十四条信息管理人员进入机房必须在“机房出入管理登记簿”签字登记，其他人员进入机房必须经信息中心许可，并由有关人员陪同（特殊情况除外）。机房当日值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经信息部门负责人批准同意后有关人员陪同情况下进行。对操作内容进行记录，由操作人和监督人签字后备案。中心机房实行严格的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。每天应实行机房例行检查制度，并就机房设备运行及其他情况做好值日记录。第二十五条保持机房整齐清洁，各种中心设备按维护计划定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护、防雷、防尘等项工作，保证主机系统的平稳运行.定期对机房运行的各项环境指标（如温度、洁净度、温度上升率等）进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，保证机房各项设备的正常运行。第二十六条机房内严禁吸烟、进食、会客、聊天等与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特别是易燃、易爆、有腐蚀等危险品进入机房。其他部门如因需要携入移动计算机入机房需报经信息部门批准方可携入。第二十七条机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。第二十八条严禁在未采取安全措施或通电的情况下拆卸，移动机房内等相关设备、部件及网络。在进行机房硬件更换或维修时，必须进行静电释放方可进行。第二十九条定期检查机房消防设备器材，做做好检查登记，在机房值日记录上并做书面登记。第三十条机房内不准随意丢弃存储介质和有关业务保密数据资料，对废弃存储介质和业务保密资料要及时销毁（碎纸），不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。第三十一条服务器等所在的中心机房后备电源（UPS）除了电池自动检测外，每年必须深充放电一次到两次。第六章IT设备购置、配发、维修及报废管理第三十二条IT设备购置一、所有IT设备均由公司采供部进行采购。设备购置由使用部门提出申请，由信息部门进行核定后上报公司分管领导审批后转公司采供部统一采购。二、对IT设备的采购验收信息部配合采供部共同完成，验收合格后由信息部进行安装调试后配发申请使用部门。三、信息部负责对购置的IT设备做专项台账建立，并于年低转交一份至公司财务部备查。四、大型IT设备采购或特殊IT设备采购，申请部门原则上提前一周向信息部转交购置申请，信息部在接到购置申请后必须进行询价，询价必须至少在三家以上，出具IT设备购置市场调查及建议随附购置申请上报公司领导审批，审批后转公司采供部。五、IT设备耗材的采购，信息部配合办公室、财务部、企划部制定IT设备耗材定额及费用核算后按核算标准采购。部门IT设备耗材超出核算部分由部门自行承担。六、对IT设备的采购严格遵守公司的统一采购流程及管理规定，配合采供部完成IT设备的采购及验收工作。第三十三条IT设备配发一、公司IT设备的购置配发及调配由信息部进行统一规划和管理。二、信息部依据公司年度工作计划，编制公司年度IT设备采购及配发计划。三、公司各部门因工作需要提出申请配发IT设备的，由使用部门提出申请，具体载名使用岗位、用途后转信息部，由信息部按工作岗位、工作需要、性能要求等分配闲置IT设备或购置。如需购置则转入IT设备采购流程进行购置配发。四、IT设备的配发及互调必须由信息部备案，信息部及时进行IT设备台账变更登记，注明配发及互调日期等相关事项。第三十四条IT设备故障维修一、信息部负责公司所有IT设备的故障及维修。二、信息部对公司的IT设备故障做鉴定和维修，并出具鉴定结果，并对鉴定结果负责。三、在接到部门的使用保障后，一般故障需在15分钟内赶到，影响到部门正常工作业务开展的，5分钟内必须赶到（特殊情况除外），重大故障（数据丢失、工作无法开展的）必须在接到报障后，报请信息部负责人，由信息部提出解决方案，依据方案进行处理，对重大故障信息部必须备案。四、对于一般故障和影响到部门工作业务开展的，必须在当天工作日内完成处理，超出工作日的原则上不算加班。对于重大故障必须及时维护及维修的，如超出工作时限部分按照实际情况酌情处理。五、任何报障必须建立报障维修记录，并做保障事故签定。维修人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。六、IT设备硬件故障经信息部维修人员鉴定在其范围内无法维修的，如在三包范围内的，由信息部联系销售厂家进行维修。超出三包范围的，信息部填报外包维修申请单，由信息部负责人核准上报公司分管领导审批后交由外包维修单位进行维修。七、IT设备外包维修单位具体事宜由信息部进行洽谈并与其签定外包维修合同。合同交由法务部进行核准方可签定。八、对于发往外包维修或三包范围内的设备维修信息部必须进行登记造册，注明产品型号、品牌、内部具体配置等信息。在维修返回后依据的出厂维修登记进行验收。九、对于外包或三包范围内的IT设备维修，为确保报障部门正常工作，信息部在不影响其他部门工作正常开展的情况下有权对IT设备进行暂时调配。十、企业IT核心设备的硬件物理损坏故障鉴定必须由厂家及公司委托专业IT设备鉴定机构完成，信息部负责全程