信息系统管理办法

1、成功足失败Z球一切祁足劭力的结果信息系统管理办法第一章:总则第一条 为保证公司信息网络系统的安全,根据国家有 关计算机、网络和信息安全的相关法律、法规和安全规走， 结合公司内网络系统建设的实际情况,制走本办法。第二条本办法所指的信息网络系统，是指由计算机 （包括相关和配套设备）为终端设备，利用计算机、通信、 网络等技术进行公司内信息化管理中的数据采集、处理、存 储和传输的设备、技术、管理的组合。第三条信息网络系统安全的含义是通过各种计算机 及其他登陆终端、网络、密码技术和信息安全技术”在实现 网络系统安全的基础上，保护信息在传输、交换和存储过程 中的机密性、完整性和真实性。对于终端网络安全特指

2、本机 信息系统应用数据、操作系统、身份验证及操作代码的机密 性及安全性。第四条本规走适用于公司内所有计算机硬件及周边设 备（如打印机、扫瞄仪、MO存储器,软磁碟,CD碟，数 码相机、考勤机终端等）及所有网络设备。公司内所有操作 计算机岗位和与之有工作的岗位均属此管理之内。第二章信息系统安全管理第五条计算机系统账号与操作员代码_、操作代码是进入各类应用系统进行业务操作、分级 对数据存取进行控制的代码。操作代码分为系统管理代码和 应用操作代码。代码的设置根据不同应用系统的要求及岗位 职责而设置；二、系统管理操作代码必须经过相应申请经相关系统管 王 1A员授权取得;三、系统管理员负责各项应用系统的环

3、境生成、维护， 负责一般操作代码的生成和维护,负责故障恢复等管理及维 护； 等操作,必须有主管负责人授权;!1!、系统管理员对业务系统进行数据整理、故障恢复五、信息部门任何人员不得使用他人操作代码进行业务 操作;六、系统管理员调离岗位，上级管理员（或相关负责人） 应及时注销其代码并生成新的系统管理员代码;七、一般操作码由系统管理员根据各类应用系统操作要 求生成，应按每操作用户一码设置。八、操作员不得使用或盗用他人代码进行业务操作。九操作员调离岗位”系统管理员应及时注销其代码并 生成新的操作员代码。第六条密码与权限管理一、密码是保护系统和数据安全的控制代码，也是保护 用户自身权益的控制代码。密码

4、分设为用户密码和操作密 码，用户密码是登陆系统时所设的密码，操作密码是进入各 应用系统的操作员密码。密码设置应具有安全性、保密性, 不能使用简单的代码和标记。二、密码应定期修改，间隔时间不得超过一个月，如发 现或怀疑密码遗失或泄漏应立即修改,在可能的情况下并相 应记记录用户名、修改时间、修改人等内容,及时上报公司 信息中心备案。三、月艮务器、路由器等公司重要信息设备的超级用户密 码由运行机构负责人指定专人（不参与系统开发和维护的人 员）设置和管理,并由密码设置人员将密码装入密码信封, 在骑缝处加盖部门印童并签字标注封存日期后交由信息中 心存档并登记。如遇特殊情况需要启用封存的密码,必须经 过相

5、关部门负责人同意，由密码使用人员向密码管理人员索 取,使用完毕后,须立即更改并封存z同时在密码管理登 记簿中登记。四、系统维护用户的密码应至少由两人共同设置、保管 和使用。有关密码授权工作人员调离岗位，有关部门负责人 须指走专人接替并对密码立即修改或用户删除，同时在密 码管理登记簿中登记并备档留存。第三章数据安全管理第七条存放备份数据的介质必须具有明确的标识。备 份数据必须异地存放,并保证重要系统业务备份要有两份。 并明确落实异地备份数据的管理职责；第八条注意计算机重要信息资料和数据存储介质的 存放、运输安全和保密管理，保证存储介质的物理安全。第九条任何非应用性业务数据的使用及存放数据的 设备

6、或介质的调拨、转让、废弃或销毁必须严格按照程序进 行逐级审批,以保证备份数据安全完整。第十条 数据恢复前,必须对原环境的数据进行备份, 防止有用数据的丢失。数据恢复过程中要严格按照数据恢复 手册执行,原则上数据恢复由公司信息中心完成。如因其他 原因由业务部门进行的，信息中心心须指走相关人员进行现 场技术支持。数据恢复后,必须进行验证、确认”确保数据 恢复的完整性和可用性。第十_条 数据清理前必须对数据进行备份,在确认备 份正确后方可进行清理操作。历次清理前的备份数据要根据 备份策略进行走期保存或永久保存,并确保可以随时使用。 数据清理的实施应避开业务高峰期,避免对联机业务运行造 成影响。第十二

7、条 需要长期保存的数据，数据管理部门需与相 关部门制走转存方案,根据转存方案和查询使用方法要在介 质有效期内进行转存，防止存储介质过期失效,通过有效的 查询、使用方法保证数据的完整性和可用性。转存的数据必 须有详细的文档记录。第十三条 非本单位技术人员对本公司的设备、系统等 进行维修、维护时，必须由本公司相关技术人员现场全程监 督。计算机设备送外维修,须经设备管理机构负责人批准。 送修前,需将设备存储介质内应用软件和数据等涉经营管理 的信息备份后删除,并进行登记。对修复的设备,设备维修 人员应对设备进行验收、病毒检测和登记。第十四条 管理部门应对报废设备中存有的程序、数据 资料进行备份后清除，

8、并妥善处理废弃无用的资料和介质， 防止泄密。第十五条运行维护部门需指定专人负责计算机病毒 的防范工作，建立企业内部计算机病毒防治管理制度，经常 进行计算机病毒检查,发现病毒及时清除。第十六条公司内所有计算机未经信息部允许不准安 装与其业务部门无关的软件、不准使用来历不明的载体（包 括软盘、光盘、移动硬、MP3盘其他存储介质）。第四章 网络安全及防病毒管理第十七条田可人员不得盗用他人账号或操作员代码、 公司内部网络安全管理密码进行操作第十八条 部门所使用计算机不得使用除集团军公司 内及时通讯软件外的任何第三方软件。严禁在工作计算机上 安装BT、P2P等类型的多线程或占用带宽流量的下载软件, 所有

9、下载均采用单线程下载。保证公司的带宽有效利用。第十九条 计算机内电子邮件收发均通过公司内部邮 件系统进行,不得采用其他外部邮件系统,如因需要,可向 信息中心申报后给予开通POS服务通道，并做备案。第二十条公司各部门计算机均采用域管理方式进行 登陆,在工作期间必须登陆公司域服务器,并严格按照域管 理下的操作说明进行文档及其他相关文件的传递。第二十_条防病毒系统均采用公司统一布署的企业 网络防病毒系统,各部门计算机病毒代码均由公司防病毒服 务器进行统一下载,不得擅自登陆非本病毒软件官方以外的 下载站点下载并进行病毒库代码更新。第二十二条 为保证公司Internet的带宽流量，信息主 管部门必须对访

10、问Internet权限进行管控，各部门若有访问 夕卜部Internet公网其他特别需求的，可提出申请,经部门主 管及信息部门审核,报经总经理批准后,使申请人享受访问 Internet的特别需求权力。未通过此程序审批而私自设走其 他方法访问外部网络,一经发现,将做严责。如因此给公司 带来损失的,责成责任人承担相应损失。第五章机房安全管理第二十三条进入信息主机房至少应当有两人在场,并 登记机房出入管理登记簿记录出入机房时间、人员和 操作等内容。第二十四条信息管理人员进入机房必须在机房出入 管理登记簿签字登记，其他人员进入机房必须经信息中心 许可,并由有关人员陪同（特殊情况除外）O机房当日值班 人员

11、必须如实记录来访人员名单、进出机房时间、来访内容 等。非信息部门工作人员原则上不得进入中心对系统进行操 作。如遇特殊情况必须操作时,经信息部门负责人批准同意 后有关人员陪同情况下进行。对操作内容进行记录,由操作 人和监督人签字后备案。中心机房实行严格的门禁管理制 度,及时发现和排除主机故障,根据业务应用要求及运行操 作规范，确保业务系统的正常工作。每天应实行机房例行检 直制度,并就机房设备运行及其他情况做好值日记录。第二十五条 保持机房整齐清洁,各种中心设备按维护 计划定期进行保养。计算机机房中要保持恒温、恒湿、电压 稳走,做好静电防护、防雷、防尘等项工作”保证主机系统 的平稳运行走期对机房运

12、行的各项环境指标（如温度、洁净 度、温度上升率等）进行测试，并做好记录，通过实际测量 各项参数发现问题及时解决，保证机房各项设备的正常运第二十六条 机房内严禁吸烟、进食、会客、聊天等与 业务无关的活动。严禁携带液体和食品进入机房,严禁携带 与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进 入机房。其他部门如因需要携入移动计算机入机房需报经 信息部门批准方可携入。第二十七条 机房工作人员严禁违章操作,严禁私自将 外来软件带入机房使用。第二十八条严禁在未采取安全措施或通电的情况下 拆卸，移动机房内等相关设备、部件及网络。在进行机房硬 件更换或维修时，必须进行静电释放方可进行。第二十九条 走期检

13、查机房消防设备器材,做做好检查 登记,在机房值日记录上并做书面登记。第三十条 机房内不准随意丢弃存储介质和有关业务 保密数据资料,对废弃存储介质和业务保密资料要及时销毁 （碎纸）,不得作为普通垃圾处理。严禁机房内的设备、存 储介质、资料、工具等私自出借或带出。第三十一条 服务器等所在的中心机房后备电源;UPS ） 除了电池自动检测外,每年必须深充放电一次到两次。第六章IT设备购置.配发.维修及报废管理第三十二条IT设备购置一、所有IT设备均由公司采供部进行采购。设备购置由 使用部门提出申请,由信息部门进行核走后上报公司分管领 导审批后转公司采供部统一采购。二、对IT设备的采购验收信息部配合采供

14、部共同完成, 验收合格后由信息部进行安装调试后配发申请使用部门。三、信息部负责对购置的IT设备做专项台账建立，并于 年低转交一份至公司财务部备查。四、大型IT设备采购或特殊IT设备采购，申请部门原 则上提前一周向信息部转交购置申请，信息部在接到购置申 请后必须进行询价,询价必须至少在三家以上,出具IT设备 购置市场调查及建议随附购置申请上报公司领导审批,审批 后转公司采供部。五、IT设备耗材的采购，信息部配合办公室、财务部、 企划部制走IT设备耗材走额及费用核算后按核算标准采购。 部门IT设备耗材超出核算部分由部门自行承担。六、对IT设备的采购严格遵守公司的统一采购流程及管 理规走,配合采供部

15、完成IT设备的采购及验收工作。第三十三条IT设备配发一、公司IT设备的购置配发及调配由信息部进行统一规 划和管理。二、信息部依据公司年度工作计划，编制公司年度IT设 备采购及配发计划。三、公司各部门因工作需要提出申请配发IT设备的，由 使用部门提出申请，具体载名使用岗位、用途后转信息部, 由信息部按工作岗位、工作需要、性能要求等分配闲置IT设 备或购置。如需购置则转入IT设备采购流程进行购置配发。四、IT设备的配发及互调必须由信息部备案”信息部及 时进行IT设备台账变更登记，注明配发及互调日期等相关事 项。第三十四条IT设备故障维修信息部负责公司所有IT设备的故障及维修。二、信息部对公司的IT

16、设备故障做鉴定和维修，并出具 鉴定结果,并对鉴定结果负责。页脚内容7成功足失败Z球一切祁足劭力的结果三、在接到部门的使用保障后，一般故障需在15分钟 内赶到，影响到部门正常工作业务开展的，5分钟内必须赶 到（特殊情况除外）”重大故障（数据丢失、工作无法开展 的）必须在接到报障后”报请信息部负责人,由信息部提出 解决方案，依据方案进行处理，对重大故障信息部必须备案。四、对于一般故障和影响到部门工作业务开展的”必须 在当天工作日内完成处理,超出工作日的原则上不算加班。 对于重大故障必须及时维护及维修的,如超出工作时限部分 按照实际情况酌情处理。五、任何报障必须建立报障维修记录，并做保障事故签 走。

17、维修人员对保障事故鉴定负责。信息部负责人对重大故 障的处理方案及结果负责。六、IT设备硬件故障经信息部维修人员鉴走在其范围内 无法维修的,如在三包范围内的”由信息部联系销售厂家进 行维修。超出三包范围的”信息部填报外包维修申请单,由 信息部负责人核准上报公司分管领导审批后交由外包维修 单位进行维修。七、IT设备外包维修单位具体事宜由信息部进行洽谈并 与其签定外包维修合同。合同交由法务部进行核准方可签 走。八、对于发往外包维修或三包范围内的设备维修信息部 必须进行登记造册,注明产品型号、品牌、内部具体配置等 信息。在维修返回后依据的出厂维修登记进行验收。九、对于外包或三包范围内的IT设备维修，为

18、确保报障 部门正常工作，信息部在不影响其他部门工作正常开展的情 况下有权对IT设备进行暂时调配。十、企业IT核心设备的硬件物理损坏故障鉴走必须由厂 家及公司委托专业IT设备鉴走机构完成，信息部负责全程跟 踪,对最终鉴定结果负责。十一、对于IT硬件设备故障在鉴定后无维修价值的，转 入IT设备报废管理流程进行处理。第三十五条IT设备报废管理一、IT设备的报废鉴走统一由信息部完成，特殊IT设 备（如服务器,磁带存储设备、核心路由器、核心交换机） 的故障鉴定由厂家、公司委托第三方IT设备鉴定机构、信息 部共同完成。信息部对IT设备的报废鉴走结果负责。二、信息部对IT设备报废鉴走报告上报公司分管领导审

19、批后,对报废IT设备统一进行存放管理。三、对IT设备报废鉴走为人为原因造成的，由责任人承 担此IT设备的全额损失,并按照公司相关管理规走进行从严 处罚。四、信息部对管理存放的报废IT设备定期进行清理，并 做处理方案报公司分管领导审批后,对报废IT设备进行出 售，并由办公室、财务部监督执行。对所出售所得款项当天 缴至财务部。建立报废IT设备出售台账,以备查验。五、公司各部门要在最大程度上提高IT设备的使用年 限厉行节约。信息部要做到IT设备可用零部件的二次利用, 为公司开源节流做贡献。第七章IT顶目管理第三十六条 本管理规走适用于公司内信息化建设过 程中的所有IT系统项目招标、采购及实施。第三十

20、七条公司信息化建设过程的系统建设要从公 司中长期规划出发,结合公司现行实际发展情况”根据必要 性、合理性、经济性而实施。保证公司的投资效益。第三十八条 公司IT系统的建立过程中的市场调硏、组 织招标、合同签定、项目实施等均由信息部与建设部门共同 配合完成，信息部主导上述工作各环节。第三十九条 公司IT系统项目立项申请原则上由建设 部门提出，信息部也可以根据公司发展提出。所有IT系统立 项均报公司上会研究决定后方可着手实施。第四十条IT系统项目的立项申请必须确走IT系统的 总体管理目标。申请必须书面清晰说明需求，信息部在接到 项目申请后必须在一周内完成市场调查,并出具相关报告随 同项目申请上报公

21、司领导,经公司会议硏究决走批准后”信 息部按照批准后意见组织项目实施。第四十一条IT系统项目的采购合同必须报公司法务 部进行核准后方可签走。第四十二条IT系统项目一经确走立项实施,必须成立 项目小组，确走项目小组负责人及成员，原则上项目小组负 责人由公司领导担任，小组成员由公司内各部门负责人组 成。信息部在项目实施过程中对项目小组负责。第四十三条 项目小组成员要根据项目要求,极积主动 高质量完成项目实施过程中专项工作。工作实施专管专责, 不得中途转手他人（特殊情况除外）。第四十四条 信息部在项目实施过程中负责协调、组 织、沟通和实施过程中的衔接工作。及时解决处理项目实施 过程中的技术和其他问题

22、。第四十五条 信息部全程跟踪、管理项目实施过程中的 所有环节，并对项目进度及质量负责。IT系统项目实施过程 中的技术文档、项目需求、知识文档等信息部要建立完整的 项目文档管理体系。第四十六条IT系统项目验收由项目小组评审验收，信 息部具体负责项目验收评估及项目验收报告并上报公司审 批等工作。第四十七条 信息部负责IT系统项目验收完成后的具 体运行维护工作,并依据运行情况出具相关运行报告。第四十八条 由于公司发展需要，前期运行的IT系统需 做二次开发或升级的,由具体使用部门与信息部配合及沟通 提出系统需求，再由信息部整合需求,提供整体解决方案报 公司信息化项目领导小组审定后，信息部与软件供应商联

23、系 系统二次开发或升级事宜。严禁相关部门私自或提前与软件 供应商联系,避免谈判被动,给公司带来不利影响。第八章计算机使用管理第四十九条信息部负责公司内部门的计算机软件、硬 件、上网行为及系统运行的统一维护和管理。第五十条 信息部负责对公司内各部门使用的计算机 做日常走期、不走期使用监督检查”对于检查中发现的违规 全权处理。对于检查中发现的重大违规应及时上报公司分管 领导。第五十一条公司内全体员工对违规使用计算的行为 有互相监督和举报的权利。第五十二条严禁外来人员使用公司电脑。第五十三条公司所有计算机实行封签管理。计算机的 维修权在信息部任何人不得擅自更改计算机硬件配置或打 开计算机,非信息部人

24、员对计算机故障原因的确走无田可效 力。第五十四条 下班后各部I'腔醱闭计算机及处围设 备,检查电源情况，确保安全方可离开。第五十五条 在办公期间,长时间不用电脑必须采取人 离机锁走,防止公司信息数据及秘密泄露。第五十六条 计算机使用人员不得擅自更改系统软件 设置，安装与工作无关的即时通讯、炒股、游戏、BT下载、 P2P、在线流媒体音视频播放等第三方软件。第五十七条 公司接入互联网的网络参数及设备参数 严格实行保密”信息部对此项保密负责。第五十八条特殊岗位使用计算机和系统操作人员必 须与公司统一签走公司信息网络安全保密协议。第五十九条 任何人不得利用公司计算机和网络从事 违法犯罪活动,一

25、经查处落实,将从严处罚。页脚内容11成功足失败Z球一切祁足劭力的结果第六十条工作时间内严禁使用计算机或互联网做与 工作无关的事。第六十_条工作时间除工作需要打开的互联网指走 访问外（包含下载），其他网络访问及网络应用信息部一律 采用技术手段处理确保各部门工作正常开展不受影响。第六十二条 公司内部网络带宽依据各部门实际工作 需要，做带宽规划并进行带宽分配，确保各部门工作不受第 三方影响。第六十三条公司内除特别需要的,各部门使用的计算 机一律通过公司域服务器登陆。并对各部门的USB接口” CD （ DVD ）光进行技术关闭。确保计算机内部数据及网 络信息系统安全。第六十四条公司内各部门的文件传输均

26、采用公司内部 邮件系统或公司内部即时通讯软件完成。第六十五条信息部有权利用网络监控技术手段对公司 内各岗位所使用的工作计算机进行数据、上网行为、系统等 操作行为进行工作期间的监控。并对违规操作每月走期进行 通报。第九章罚则第六十六条根据操作违规所给公司及信息系统的运 行带来的损失及影响将违规操作分为A、B、C三类。一、A类违规及范围界走：1 在未经公司授权或非公司信息中心人员进行维护的 前提下非岗位操作人员对其所使用的系统进行操作或查 阅,查实盗取或违规修改应用系统业务数据的,给公司造 成重大损失的。2 在未经允许的情况下安装与信息系统或工作无关的 软件、使用外带的各类移动存储设备（如：软盘、

27、光盘、U 盘等）,给公司信息系统带来直接危害的。3 工作期间通过信息网络系统登陆非公司业务的任何 互连网网站及其它各类与工作无关的网站网页，导致公司 内部信息网络感染病毒的并严重影响工作开展的。4 将公司网络参数及网络设备参数外泄造成公司网络 信息系统安全隐患的。5未经允许以任何理由复制、携带、帮助查阅、口头 泄露等任何方式将公司各类信息数据带出办公岗位或告知 他人的。6 在公司关键及特殊岗位使用的计算机上安装各类游 软件的。7 恶意更改公司网络信息系统的所涉及的各类参数及 数据的。&通过公司网络信息系统窃取其它部门或个人的文档 资料或文件，造成恶劣影响并给公司、部门、个人带来损 失的

28、。9 .向外界以书面或口头形式透露公司信息网络安全防 御工具及措施的。10.未经授权盗用他人帐号及密码操作非本岗位所使 用的信息系统模快功能的。11.IT设备未经报批擅自做报废和处理的。12蓄意破坏公司IT设备、网络线路造成严重损失和恶 劣影响的。13对采购的IT设备未按验收流程严格验收，致使验收 的IT设备无法正常运行的。14.对IT系统项目立项招标过程中不按公司项目招标 管理规走,违规操作的。15信息部人员未按报障时间规走及进响应处理报障, 给部门工作造成重大后果的。16.不按规走下班对IT设备进行电源关闭安全隐患检 查,造成重大损失的。17 采用技术或非技术手段蓄意破坏公司信息系统硬 件或软件,造成重大后果的。凡违反A类界定违规项的处以200-1000元/次/项罚 款。并因此给公司、部门及个人造成的一切损失由违规人 全部承担。情节严重的上报公司将移交司法机关处理,并 保留起诉权。二、B类违规及范围界定：1 各类业务单据、数据及相关业务处理因个人