(2020年最新版本)信息处理设施引进实施管理程

1适用与目的本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。2信息处理设施的分类2.1研发控制系统、数据存储控制系统及其子系统设备，区域的使用控制系统终端设备。包括位于机房的服务器和位于使用2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。2.4网络设备，包括交换机、路由器、防火墙等。2.5其它办公设备，包括电话设备、复印机、传真机等。3职责3.1XX部主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技术选型、安装和验收等。XX部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。3.3XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。4信息处理设施的引进和安装4.1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的批准后，向XX部提交申请。XX部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处理业务信息。4.2进行技术选型XX部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。4.3编写购入规格书XX部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相关设施的性能（包括安全相关信息）、兼容性等要求，由XX部主管审批。4.4定货由XX部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货手续。4.5开箱检查，安装、调试，验收a）开箱检查设备到货后，xx部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记录。必要时，应通知有关部门到场协同检查。b）安装、调试引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施调试过程中出现的问题，必要时可通知相关部门共同进行。c）验收安装调试完成以后，XX部应依据以下文件实施验收：•购入规格书•采购合同及其相关附件•调试时故障履历验收原则上由XX部实施，必要时可要求相关部门参加。负责人作出判断。验收的合格与否最终由XX部d）验收合格后，可向相关的使用部门移交。5信息处理设施的日常维护管理5.1计算机设备管理5.1.1各部门。XX部负责计算机固定资产的标识，标识随具体设备到使用计算机保管使用部门将计算机列入该部门信息资产清单。5.1.2各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算机设备，上配备笔记本电脑，因工作需要配备笔记本电脑的需经主管副总批准。原则上部门经理以5.1.3计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所，需要获得部门经理的授权；迁移出公司，需要得到最高管理层的授权。5.1.4计算机使用部门填写《物品领用单》，经过本部门经理签字后提交行政部后领取计算机设备。计算机及附属设备属公司信息资产，在行政部备案。有关计算机设备所带技术说明书、公用计算机设备由使软件由行政部保存。使用部门的使用人应妥善保管计算机及附属设备，用部门经理指定专人负责使用管理。5.1.5离职时，应将计算机交还XX部，由XX部注销账户。5.2计算机设备维护5.2.1计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养；XX部按照《恶意软件控制程序》要求进行计算机查毒和杀毒工作。5.2.2计算机使用部门发现故障或异常，可先报公司XX管理员处理，如其无法解决，则由XX管理员填写《事态事件脆弱性记录》向供应商申请维修。故障原因及处理结果应记入《事态事件脆弱性记录》。5.3计算机调配与报废管理5.3.1用户计算机更新后，原来的计算机由以报废处理。XX部根据计算机的技术状态决定调配使用或予5.3.2含有敏感信息的计算机调配使用或报废前，计算机使用部门应与可靠的方法将计算机内的敏感信息清除。XX部共同采取安全5.3.3调配5.3.3.1部门内部的调配由使用部门自行处理，并通知XX部进行计算机配置变更，变更执行《更改控制程序》。5.3.3.2部门间的调配管理：XX部收回因更新等原因不用的计算机设备，息资产清单，并按照本程序由变更部门变更信5.1.3、5.1.4要求重新分配使用。5.4报废处理5.4.1计算机设备采用集中报废处理。报废前由部实施报废。XX部向行政部提出报废，经审核后由XX5.4.2XX部按照批准的处置方案进行报废处理，并变更固定资产清单。5.5笔记本电脑安全管理5.5.1笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，应由部门负责人指定专人保管。5.5.2笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级，对系统定期查杀，XX部负责监督。5.5.4笔记本电脑在移动使用中，不能随意拉接网络，需通过填写《用户授权申请表》向XX部提前提出需求，经XX部审批后方能接入网络。5.6计算机安全使用的要求5.6.1计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。5.6.2使用计算机时应遵循信息安全策略要求执行。5.6.3员工入职时，由其所在部门的部门经理根据该员工权限需要填写《用户授权申请表》，向研发部提出用户开户申请；离职时也需填写《用户授权申请表》通知研发部办理销户。5.6.4新域用户名为用户姓名的拼音（有重名时另设）第一次登录系统时应变更密码，质密码）并注意保密。，初始缺省密码为XXXXX。用户在密码需要设置在6位以上（英文字母、数字或符号组合的优5.6.5各人使用自己的账户登录，时向研发部申请新密码后登录。未经许可不得以他人用户名登录。若用户遗忘密码，应及5.6.6不得使用计算机设备处理正常工作以外的事务。5.6.7计算机的软硬件设置管理由研发部进行，件。未经许可，任何人不得更换计算机硬件和软5.6.8研发部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。软件安装与升级按照《更改控制程序》执行。拒绝使用来历不明的软件和光盘。计算机用户的5.6.9严禁乱拉接电源，以防造成短路或失火。5.6.10计算机桌面要保持清洁，不得将秘密和（或）受控文件直接放置在桌面；计算机桌面必须设置屏幕保护，恢复时需用密码确认（执行密码口令管理规定）己工作习惯设置锁屏时间，但最高不得高于。锁屏时间可根据自5分钟。各部门负责人进行监督。5.7网络安全使用的要求5.7.1对于网络连接供应商，充分考虑其口碑和现有安全防范措施，上加以筛选。在签署保密协议的基础5.7.2对内设置必要的路由器防火墙，采用止权限滥用。HTTP、FTP的连接方式，捆绑固定IP地址防6信息处理设施的日常点检6.1计算机的日常点检日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。点检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外出等不在岗情况，需要在返回工作岗位时，立即补充完善。6.2网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表由对MAIL的点检。XX部负责，特别的，在点检中应包括6.3点检策略6.3.1所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。6.3.2审核日志必须保存一定的期限，任何个人和部门不得以任何理由删除保存期之内的日志。6.3.3审核日志必须由该系统管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。6.3.4入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常现象，对所有可疑或经确认的入侵行为和入侵企图需及时汇报并采取相应的措施。6.3.5日志的配置最低要求设备类型服务系统对外提供服务的直接用于设计、存储、检测的控制、管理和查询系统全公司办公系统部门内部服务器其他服务器日志内容保存周期6个月检查周期2周2周a）用户标识符（ID）；b）登录和注销事件；c）右可能，终端位置；d）成功的失败的登录试图。12个月6个月6个月6个月5周5周5周5周5周1周防火墙和路由器系统配置更改日志访问日志（方向、流量）1个月1个月1周VPN网关a）用户标识符（ID）;b）登录和注销事件；c）终端位置；d）成功的失败的登录试图。入侵检测系统异常网络连接的时间、IP、入侵类型3个月5周远程访问系统a）用户标识符（ID）；b）登录和注销事件；c）终端位置；d）成功的失败的登录试图。3个月5周636XX部网络管理员根据系统的安全要求确认其日志内容、保存周期、检查周期，其最低要求不得低于上表的要求。如果因为日志系统本身原因不能满足上表的最低要求，低标准的，必须得到XX部主管或管理者代表的批准和备案。需要降6.3.7XX部网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志检查记录》。6.4资料的保存6.4.1设备的技术资料由设备所在的部门交由行政部保存并建立《受控文件和资料发放清单》，以备日后查阅。6.4.2设备厂商对设备进行维修后提供的维修（维护）记录单，由询。XX部保存，以备日后查6.5网络扫描工具的安全使用管理6.5.1对网络扫描工具的使用，必须得到管理者代表的授权，并保存使用的记录。7其它要求涉及应用系统软件的开发（包括外包软件开发）的项目，还需执行《系统开发与维护控制程序》的相关要求。8相关文件《系统开发与维护控制程序》《系统逻辑访问管理制度》9记录记录名称《用户授权申请表》《日志检杳评审记录》《变更申请表》《日常点检记录表》保存部门保存期限3年5年3年3年