公司内部信息系统管理手册

公司内部信息系统管理手册1.1信息系统管理目标（1）通过建立信息系统，推进公司信息化工作的发展,达到管理提升的目的；（2）保证企业按照公司建立的相关制度进行信息系统的建立、开发、运行和管理；（3）保证信息系统的安全、稳定、可靠；（4）企业加强信息系统运行与维护的管理；（5）制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题；（6）确保信息系统按照规定的程序、制度和操作规范持续稳定运行；（7）定期进行数据备份，且对数据存储设备做定期的维护，保养；（8）定期升级杀毒软件，保证系统的稳定性和安全性；（9）规范信息系统保密管理流程，提高公司信息化管控程度，保证公司信息系统的可靠运行；（10）加强公司信息数据的管理模式，提高员工的信息安全保密意识。1.2信息系统管理主要风险（1）信息系统实现目标未与企业业务目标保持一致，可能导致开发的信息系统没有实际利用价值；（2）信息系统无实施、开发项目计划，导致项目实施、开发失控；（3）信息系统访问安全措施不当，可能导致商业秘密泄露；（4）信息系统开发与使用违反国家法律、法规，企业可能遭受外部处罚、经济损失和信誉损失；（5）信息系统调研不充分，将导致选择的系统与公司的业务不能拟合，造成资源浪费；（6）信息系统实施配套的标准、业务流程、培训等未标准化，造成与业务脱节；（7）信息系统正式运行后需要加强数据质量管理，否则会对系统造成无法应用的困境；（8）信息系统设备及介质等管理不善，发生存储介质使用在了不该使用的地方，可能造成关键信息流失或是泄密现象；（9）使用人对存储介质保管不善，导致存储介质随意遗失；（10）信息系统保密管理技术措施（口令控制、系统访问、用户权限等）安全措施不到位，可能导致公司核心数据信息流失，损害公司利益；（11）病毒库不及时更新，可能导致公司网络及业务中断，造成公司损失；（12）数据不按策略备份、信息系统不定期灾备演练，导致无法做到灾难恢复。1.3信息系统管理控制流程信息系统开发管理流程①业务流程图综合管理部信息化小组②风险控制矩阵综合管理部信息化小组控制事项控制活动控制主体协控风险水平控制文档阶段控制D11、根据公司信息化实施、开发计划，启动项目组织实施。2、成立项目实施、开发小组。3、制定信息化项目初步实施、开发计划。技术中心、项目小组低《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）D24、项目小组进行信息系统需求调研工作，并形成调研报告。5、需求调研报告进行评审，评审通过后进行项目实施。技术中心、项目小组业务部门高《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）D36、项目小组负责信息系统项目的具体组织、实施和协调工作，并制定项目具体实施计划和进度分解实施方案。7、形成《项目设计方案》、《项目开发文档》、《项目模块测试报告》、《项目集成测试报告》等阶段性文档。8、项目试运行，时间不少于二至三个周期。技术中心、项目小组业务部门中《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）信息系统运维管理流程①业务流程图②风险控制矩阵控制事项控制活动控制主体协控风险水平控制文档阶段控制D1各信息系统抵抗攻击的能力比较弱:加强日常使用注意事项宣传，合理使用信息系统技术中心业务部门中《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）D2系统及相关数据安全:加强信息系统安全管理技术中心业务部门高《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）D3没有建立管理规范:制定具体操作规范，及时跟踪、发现和解决存在的问题技术中心无低《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）D4数据未能定期备份:定期备份数据，且对数据备份的软硬件做定期的维护技术中心无中《《计算机管理办法》（参照XX文件）《计算机软件和数据管理办法》（参照XX文件）《信息化建设考核管理办法》（参照XX文件）信息系统保密管理流程①业务流程图技术中心综合管理部技术中心综合管理部

②风险控制矩阵控制事项控制活动控制主体协控风险水平控制文档阶段控制D11、安装监控与审计软件，对存储介质进行授权，限定使用范围。对存储介质遗失加大考核力度，确实提高个人安全保密意识。综合管理部、技术中心业务部门高《保密工作管理规定》《计算机管理办法》《计算机软件和数据管理办法》、《信息化建设考核管理办法》以上均参照XX文件D22、安装加密软件、安装监控与审计软件，对公司内部计算机进行安全管理。技术中心业务部门中《保密工作管理规定》《计算机管理办法》《计算机软件和数据管理办法》、《信息化建设考核管理办法》以上均参照XX文件D33、安装杀毒软件，定期更新病毒库，定时查找计算机病毒。严格按策略备份数据。技术中心业务部门中《保密工作管理规定》《计算机管理办法》《计算机软件和数据管理办法》、《信息化建设考核管理办法》以上均参照XX文件1.4信息系统管理制度（1）《XX公司计算机管理办法》（参照执行）；（2）《XX公司计算机软件和数据管理办