公司信息化管理手册

中交一航局城市交通工程有限公司信息化管理手册URBANCOMMUNICATIONSENGINEERINGCO.,LTDInformationalizationOFCCCCFIRSTHARBORENGINEERINGCO.,LTDManagementManual中交一航局城市交通工程有限公司信息化管理手册URBANCOMMUNICATIONSENGINEERINGCO.,LTDInformationalizationOFCCCCFIRSTHARBORENGINEERINGCO.,LTDManagementManual文件编号：BMSC/YHCJ-XX-2013本手册基于：中交一航局城市交通工程有限公司管理大纲发布日期：2013年07月01日实施日期：2013年07月01日版本：第二版第0次修订：0编号：受控状态：受控编写：孟洋波日期：2013年06月01日审核：周民日期：2013年06月20日审批：日期：2013年06月30日不得复制目次1总则 32引用文件 33术语 44职能定位 45管理内容 55.1信息化规划 55.1.1工作流程 55.1.2活动风险 55.1.3管理要求 55.2信息硬件管理 65.2.1网络构建管理 65.2.2硬件采购与配置 75.2.3硬件日常管理 85.2.4硬件报废管理 85.3系统引进与维护 95.3.1系统引进 95.3.2系统维护 105.4信息系统应用与推广 115.4.1信息系统应用 115.4.2角色权限配置 125.4.3信息录入与审批控制 135.5信息安全管理 155.5.1工作流程 155.5.2活动风险 155.5.3管理要求 166相关记录 177岗位说明 19

1总则本手册规定了信息化的主责部门及各层次的工作流程和管理要求，旨在通过规范公司信息化建设与应用管理，建立信息化管理体系，动态采集与分析生产经营管理与资源配置的信息，逐步实现从公司到项目部的集成化管理，提升公司管控的能力。本手册适用于公司及项目部对信息化建设与应用的管理。2引用文件《中华人民共和国计算机信息网络国际联网管理暂行规定》（中华人民共和国国务院令〔1996〕第195号）《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令〔1994〕第147号）《计算机信息网络国际联网安全保护管理办法》（公安部令〔1997〕第33号）《中交第一航务工程局有限公司网站管理办法》（中交一航企字【2011】245号）《中交第一航务工程局有限公司网络信息安全管理办法》（中交一航企字【2011】246号）《中交第一航务工程局有限公司总部信息化设备管理办法》（中交一航企字【2011】247号）《中交第一航务工程局有限公司局域网管理办法》、《中交第一航务工程局有限公司协同工作平台管理办法》、《中交第一航务工程局有限公司网络中心机房管理办法》（中交一航企字【2011】771号）《中交第一航务工程局有限公司信息化项目管理办法》（中交一航企字【2011】814号）《中交一航局城市交通工程有限公司计算机网络信息系统管理暂行办法》（中交一航城总办字【2010】32号）《中交一航局城市交通工程有限公司计算机等设备配置管理暂行办法》（中交一航城总办字【2010】33号）《中交一航局城市交通工程有限公司网络信息安全管理办法》（一航局城工发【2013】89号）《中交一航局城市交通工程有限公司局域网管理办法》（一航局城工发【2013】90号）3术语3.1信息：是经过提炼、筛选、分析和处理后的数据，以纸、磁、光、生物等介质呈现的数字、文字、表格、图形和音像。3.2信息安全：是指信息在采集、形成、存储、流转、使用和维护过程中，通过采取技术手段及有效管理措施，使信息资产免遭泄密、丢失、破坏等威胁，或者将威胁带来的后果降到最低程度，以此维护信息系统的正常运作。3.3综合管理系统软件：在规范业务流程及优化管理模式的前提下，建立网络化的管理系统。3.4专业系统软件：是以提高设计、施工等业务质量和工作效率为目的，与实际业务特点和技术条件密切关联的软件系统。3.5个性化软件：特殊需求或一次性使用的软件。3.6系统运行规则：是指某业务信息子系统上线运行时，各主管职能部门明确规定的管理要求和实施细则。4职能定位管理层面职能定位公司工程部信息化规划制定公司《信息化规划》，并宣贯、监督及组织实施。信息化硬件管理1．规划公司信息化网络基础设施及硬件投入；2．组建并管理公司网络，配置与管理公司网络设备，指导项目部信息化管理。信息系统引进与维护采购与管理公司综合管理软件、专业系统软件。信息系统推广与应用1．规划各级信息化机构、人员及软硬件的基本投入；2．负责公司引进软件、网络技术支持与管理；3．制订信息系统管理规定、运行规则及监督实施。信息安全管理1．制定并实施公司信息化系统安全策略；2．制订并宣贯保密信息管理规定，实施信息安全教育；3．评估及优化信息化安全管理体系。项目部信息规划反馈信息化需求；参与规划实施。信息硬件管理组建项目部网络，配置与管理项目部的信息化设备。信息系统引进与维护负责项目部个性化软件的引进与维护。信息系统推广与应用1．按上级要求运行各应用系统；2．向公司反馈系统问题，协助公司优化信息系统。信息安全管理执行安全管理制度和安全策略。5管理内容5.1信息化规划5.1.1工作流程5.1.2活动风险活动风险信息规划1．内外环境及信息化建设需求、发展趋式分析不到位，信息化规划不能有效指导后续工作。2．规划不切实际，投入产出不合理，可操作性不强。3．对信息化建设认识不足，规划不落实。5.1.3管理要求活动主责部门控制要求进行调研需求分析工程部1．进行调研，收集、分析并提出信息化建设需求；2．收集、分析信息行业技术发展现状，形成资料；3．评估公司现有信息化建设状态，进行差距分析。规划编制及审批工程部1．汇总整理公司信息化建设需求，结合公司实际，组织需求评审，全面分析信息化发展方向和趋势，编制信息化规划；2．牵头组织审批《信息化规划》。年度工作计划工程部根据已编制的信息化规划，编制年度信息化工作计划。5.2信息硬件管理5.2.1网络构建管理5.2.1.1工作流程5.2.1.2活动风险活动风险方案策划策划不合理，构建网络不能满足公司网络运行要求，导致后期改造，增大投入。5.2.1.3管理要求活动主责部门控制要求网络构建需求工程部项目部1．负责公司办公网络新建或改造时网络构建需求的分析；2．项目部构建项目局域网的需求。方案策划工程部1．负责公司广域网和局域网的构建方案策划与编制；2．指导项目部局域网构建方案的策划与编制。实施方案工程部项目部根据策划方案进行公司或项目部网络构建的实施。验收工程部1．负责组织公司网络构建的验收；负责指导项目部对网络构建的验收；2．验收时填写《信息设备购置台帐》、《验收合格报告》、《信息设备登记台帐》及《网络信息登记表》。规划网络端口接入工程部1．负责组织公司广域网和局域网的端口接入；2．负责指导项目部的广域网和局域网的端口接入，填写《网络信息登记表》。网络控制工程部项目部对上网人员的行为进行约束。5.2.2硬件采购与配置5.2.2.1工作流程5.2.2.2活动风险活动风险需求计划需求计划不合理，无序投资和购置，导致管理失控。采购采购流程控制不到位，导致项目施工质量不高或造价太高，给公司带来直接经济损失。5.2.2.3管理要求活动主责部门控制要求需求计划项目部相关部门1．根据各单位硬件使用实际情况，向工程部提出设备需求计划；2．设备需求计划须包括单位名称、设备名称、数量、基本配置要求。验收工程部1．对所购置的设备按厂家提供的技术参数进行验收；2．验收时填写《信息设备购置台帐》、《验收合格报告》、《信息设备登记台帐》。5.2.3硬件日常管理5.2.3.1工作流程5.2.3.2活动风险活动风险个人设备相关制度不全，执行不力，管理不到位，造成设备管理混乱、损坏、丢失。机房设备机房服务器等重要设施设备的保护性投入不足，相关维护工作不到位，防高压、防断电、防磁、防潮、防火、防静电、防高温等措施达不到工作要求，一旦发生意外，将造成公司信息重大损失。5.2.3.3管理要求活动主责部门控制要求检测工程部1．工程部技术人员对发现的故障设备进行检测；软件问题由使用人员或工程部技术人员自行处理；硬件问题由工程部统一处理。2．对机房设施、设备进行全面检查，排除服务器、不间断电源、路由器、交换机、光纤、网线网点等网络硬件的故障，保留检测记录。5.2.4硬件报废管理5.2.4.1工作流程5.2.4.2活动风险活动风险报废申请不按规定流程报废，各部门自行处理，造成帐、物不符；对未达到报废条件的设备进行报废处理，导致经济损失。5.2.4.3管理要求活动主责部门控制要求填写设备报废申请单项目部相关部门使用部门对超过正常使用年限或严重损坏，已不能正常工作的设备提出报废申请，申请内容包括：使用部门、设备编号、设备名称、规格型号、报废理由等。审核、审批工程部财务部1．工程部对拟报废设备按出厂性能参数进行检测和审核。2．财务部根据固定资产管理规定进行审核，分管领导审批。登记台账工程部财务部登记《信息设备登记台帐》、《信息设备报失、报废台帐》。实物处理工程部财务部对报废实物进行处理。5.3系统引进与维护5.3.1系统引进5.3.1.1工作流程5.3.1.2活动风险活动风险市场信息调研1．市场调研不充分，价格不合理，造成经济损失。2．对产品性能了解不够，所购产品不满足公司业务需求。5.3.1.3管理要求活动主责部门控制要求市场信息调研工程部对需引进的软件进行市场调研，分析不同公司产品的性能及质量，分析供方的信誉、价格和服务。采购系统工程部1．根据软件的数量、费用和市场条件，选择招标或议价；如供方多，系统费用高，可招标；若费用低，供方少，可议价。2．与供方洽谈合同，合同内容包括：合同总额、送货安装、培训、售后服务，后期维护与升级、违约责任等。测试验收工程部1．按软件功能说明书对软件质量和功能进行验收，验收时填写《验收合格报告》；2．负责软件的日常管理和应用升级。5.3.2系统维护5.3.2.1工作流程5.3.2.2活动风险活动风险维护方案维护过程中，没有做好相关数据备份工作，破坏了原有系统的信息资料。5.3.2.3管理要求活动主责部门控制要求系统维护意见书项目部相关部门收集问题，评审系统，向工程部提出书面系统改进和升级需求；需求包括：系统名称、系统需改进部位、改进前问题描述，改进后达到的目标、时间控制要求。系统维护工程部1．确定实施方案，包括数据备份、恢复，保证数据完整，组织系统升级开发工作。2．系统在保修期内可根据合同约定，由供应商进行系统维护或升级；系统在保修期外可考虑自行改进或新签合同，加以维护或升级。5.4信息系统应用与推广5.4.1信息系统应用5.4.1.1工作流程5.4.1.2活动风险活动风险系统管理规定及运行规则管理制度不全，规则不明确，操作人员不知如何填写信息，数据采集不规范；各子系统之间，名称不统一，数据不完整，规则相互矛盾等，导致系统运行效率不高。5.4.1.3管理要求活动主责部门控制要求基础工作工程部1．工程部做好软件封装、系统安装调试等基础性工作；2．业务主管部门做好系统上线前检测、上线通知、宣传、布置各级人员采集信息等准备工作。系统运行规则项目部相关部门1．运行规则包括：明确机构与职责，角色权限配置说明、信息上报时效、填报格式、编码规则、安全保密规定等。2．负责综合管理软件整体运行规则的制订与检查；3．负责运行规则的落实、检查与考核。5.4.2角色权限配置5.4.2.1工作流程5.4.2.2活动风险活动风险配置角色权限角色设计不合理，角色缺失，使用人员与角色不对应。配置人员到角色配置错误，导致应该有权限的人无法操作，无权限人员无意识中泄露公司信息，给公司带来损失。5.4.2.3管理要求活动主责部门控制要求角色定义项目部相关部门系统应用部门以文字方式详细描述不同角色在各模块的使用权限，填写《人员角色说明书》提交至工程部。配置角色权限工程部在软件系统内按应用部门提交的权限要求配置角色。配置人员到角色工程部系统管理员根据系统应用部门的要求将本系统的角色与人员相匹配，并填写分配名单。应用测试项目部相关部门系统管理员首先自测，然后通知已配置权限的人员登录和操作本系统，测试所拥有权限是否正确。若有错误，则重新配置。5.4.3信息录入与审批控制5.4.3.1工作流程5.4.3.2活动风险活动风险审核信息信息审核不到位，导致公司涉密信息在网上发布，或不能入网的信息得到通过，给公司造成不良影响。5.4.3.3管理要求活动主责部门控制要求确定系统及网站责任部门工程部1．决定各子系统和网站板块的责任管理部门；2．监督管理公司各种信息情况。制订、发布系统运行规则项目部相关部门编写本系统或网站的《系统运行管理规则》，明确系统运行目的；机构和工作职责；数据的采集方法、时效、格式与内容、编码规则；审核标准；信息的安全管理；系统运行考核与奖惩措施等。配置角色权限工程部对所开发的系统进行角色的权限设置；按业务主管部门的要求，开放权限。信息审核项目部相关部门1．公司网站信息审核由各板块责任部门审核员负责审核；2．信息审核执行各级相关信息安全及保密规定；3．谁主管谁负责，谁审批谁负责，谁上网谁负责。动态管理子系统项目部相关部门1．根据子系统人员的变动，动态调整人员的登录权限；2．动态掌握系统的运行情况，对不符合要求的信息进行处理并提出系统改进建议。技术支持工程部1．在系统运行中给予技术支持，保障软硬件正常运转，改进系统自身缺陷；2．保证服务器数据库的数据安全。5.5信息安全管理5.5.1工作流程5.5.2活动风险活动风险制订安全策略由于技术的原因导致制订的安全策略不具备实用性、可靠性和前瞻性。安全教育1．未能建立安全教育培训制度；2．未能根据不同岗位的员工进行有针对性地进行安全教育，导致安全教育注重形式，未能真正的提高员工的安全意识和安全管控水平。执行安全策略1．由于配置的疏忽引发安全隐患；2．内部人员有意或无意的非授权访问；3． 管理不当，造成信息资料的丢失或泄密。评估安全策略1．由于未能记录安全权限或未能反馈安全权限，导致安全评估依据缺失；2．由于技术能力不足未能发现安全隐患。5.5.3管理要求活动主责部门控制要求安全策略工程部1．制定物理安全策略：包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。2．制定网络安全策略：包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。3．制定数据备份策略：包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。4．制定病毒防护策略：包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。5．制定灾难恢复策略：包括负责人员、恢复机制、方式、归档管理、硬件、软件等。6．制定事故处理、紧急响应策略：包括响应小组、联系方式、事故处理计划、控制过程等。7．制定安全教育策略：包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。8．制定口令管理策略：包括口令管理方式、口令设置规则、口令适应规则等。9．制定补丁管理策略：包括系统补丁的更新、测试、安装等。10．制定系统变更控制策略：包括设备、软件配置、控制措施、数据变更管理、一致性管理等。11．制定复查审计策略：包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。信息安全教育项目部相关部门1．重点了解、掌握公司信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。2．负责信息安全运行管理及维护的技术人员，充分理解信息安全管理策略，重点掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。3．重点学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。6相关记录MR-XX-01XX信息设备购置台账序号设备名称产品系列号金额（元）购置日期有效期限生产厂家供应商联系方式使用单位及保管责任人经办人MR-XX-02XX验收台账设备名称出厂编号规格型号设备价格生产厂家供应商发票号到达日期基本配置保存记录经办接收人M