信息系统管理企业标准.doc

信息系统管理企业标准1 总则本手册规定了信息规划、信息系统开发与维护、信息硬件管理、信息系统推广与应用、信息安全管理活动中各职能、各层次的工作流程和管理要求，旨在通过规范企业信息化建设与应用管理中的工作流程，建立信息化管理体系，规范企业管理体系标准的执行，固化公司主要业务管理流程，动态采集与分析各类生产管理与资源配置的信息，支持企业从公司到项目部的集成化管理，达到提升公司决策与管控的能力。本手册适用于公司及项目部对信息化建设与应用的管理。2 引用文件中华人民共和国计算机信息网络国际联网管理暂行规定、中华人民共和国计算机信息系统安全保护条例、中国计算机（CERNET）网用户守则国家有关法律；3 术语3.1信息：是经过提练、筛选、分析和处理后的数据，数据是以纸、磁、光、生物等介质呈现的数字、文字、表格、图形和音像，具有真实性、时效性和系统性。3.2 信息安全：是指信息在采集、形成、存储、流转、使用和维护过程中，通过采取技术手段及有效管理措施，让信息资产免遭泄密、丢失、破坏等威胁，或者将威胁带来的后果降到最低程度，以此维护公司信息系统的正常运作。3.3安全策略：描述一个组织高层的安全目标，它描述应该做什么，确立目标并设定相关责任。是一个组织实现安全管理和技术措施的前提，是 “计算机安全决策的文档”。3.4 综合管理系统软件：在规范业务流程及优化管理模式的前提下，建立网络化的各企业管理系统。如：人事管理、设备管理、合同管理、OA办公、知识系统等。3.5专业系统软件：是以提高设计、施工等业务质量和工作效率为目的，与实际业务特点和技术条件密切关联的软件系统。如工程造价、三维计算等软件。4 职能定位管理层面职能定位本部1. 信息化规划制定公司信息化建设规划，并宣贯、监督及组织实施。2. 信息化硬件管理1、规划公司信息化网络基础设施及硬件投入；2、组建并管理公司网络，配置与管理总部硬件设备，指导项目部信息化硬件管理。3. 信息系统开发与维护采购、研发与管理公司综合管理软件、通用软件及专业软件。4. 信息系统推广与应用1、 负责公司研发与引进软件、网络技术支持与管理；2、 组织信息化技术与系统操作培训；3、 制订信息系统管理规定及运行规则及监督实施。l 信息安全管理1、制定并实施公司信息化系统安全策略；2、制订并宣贯保密信息管理规定，实施信息安全教育；3、评估及优化信息化安全管理体系。项目部5. 信息规划反馈信息化需求；参与规划实施。6. 信息硬件管理组建项目部网络，配置与管理项目部的信息化设备。7. 信息系统开发与维护负责项目部个性化软件的引进与维护。8. 信息系统推广与应用1、 按要求运行各应用系统；2、 向公司反馈系统问题。l 信息安全管理执行安全管理制度和安全策略。5 管理内容5.1 信息化规划执行企业战略管理手册中的“信息化子规划”章节要求。5.2信息硬件管理5.2.1 网络构建管理工作流程管理要求序号活动责任部门控制要求相关流程1网络构建需求总经理工作部1.公司总经理工作部负责公司总部入驻新办公楼或办公楼网络改造时网络构建需求的分析；2.新成立的项目部，必须构建项目局域网，并向总经理工作部提出网络构建需求。需求包括机构所在地、单位总人数、网络要达到的基本功能。2方案策划公司/项目部1.公司总经理工作部负责公司总部局域网和公司广域网的构建方案策划与编制；2. 项目部负责参照公司方案，项目部策划与编制局域网和项目部广域网的构建方案，报公司总经理工作部备案；3审批公司/项目部负责对网络构建方案进行审核、批准。4招议标流程总经理工作部1.公司总经理工作部负责组织公司总部局域网和公司广域网构建招议标工作，招议标过程控制参照执行公司合同部招议标流程，财务部、物质部等部门参与招议标；2. 总经理工作部负责指导和配合新设立的常建制下级机构和新成立的项目部编制招议标文件，指导或直接参与招议标工作；3.确定合作伙伴和项目总造价。招议标流程5签订合同总经理工作部洽谈并签订合同。6组织或监督项目实施总经理工作部1.公司总经理工作部负责组织公司总部局域网和公司广域网项目的实施；2. 项目部负责组织本部局域网和广域网项目的实施；7网络工程项目验收总经理工作部/项目部1.公司总经理工作部负责按合同文件组织本公司本部局域网和项目部广域网项目的验收；2. 总经理工作部负责指导或直接组织新成立项目部按合同文件对局域网项目验收；4.验收时填写验收合格报告。8规划网络端口接入总经理工作部1.公司总经理工作部负责组织公司总部局域网和公司广域网项目的端口接入；2.负责指导或直接组织新成立项目部的局域网项目的端口接入；9付款财务部财务部按合同要求付款。10培训总经理工作部公司及项目部负责向合作方提出培训要求和实施方案，实施方案包括培训教材、时间、授课教师及授课方式，由合作方向管理和使用网络的相关人员进行培训。5.2.2硬件采购与配置执行公司办公设施、设备、用品管理流程5.3信息系统开发与维护5.3.1系统立项 工作流程管理要求序号活动责任部门控制要求相关流程1立项申请总经理工作部1.公司总经理工作部根据管理和业务的需要，提出引进或开发软件系统的立项申请；2.项目部提出系统立项申请；3.立项申请包括：项目名称、项目意义、应用范围和功能要求等； 2领导审批分管领导公司自行研发或引进的系统申请报公司分管领导审批后实施3分析需求总经理工作部1. 对提交的申请报告进行广泛调研，作进一步的需求分析2. 需求分析应包括项目名称、项目功能、应用范围、可行性分析等。5审批分管领导组审批通过后，正式立项。6系统引进1市场调研：对需引进的软件进行市场调研，分析产品的功能及质量，分析供方的信誉、价格和服务,总经理工作部指导与配合2签订合同：根据软件的数量、费用和市场条件，选择招标或议价3购买验收：使用部门按软件功能说明书对软件质量和功能进行验收7系统开发1确认需求：分析并提出信息系统功能需求，组织相关部门研究系统功能需求，形成系统功能需求报告，报告包括：系统功能模块、业务流程图、输入及输出信息（图、表、声、像）、信息查询方式等；将系统功能需求报告提交到信息化领导小组审核，通过后向信息管理部门的信息化技术人员进行需求交底；2系统策划组织信息化专业人员将系统功能需求报告转化为信息化语言，分析与研究系统设计详细需求，形成系统开发设计概要说明书,并向开发人员交底。3系统开发通过组织招议标或其它方式选择联合开发伙伴；洽谈合同，草拟合同并送合同管理部门进行合同评审通过后，正式签订合同；组织开发商进行系统详细设计，第一步提交界面设计并组织讨论；第二步参与系统数据库和原型的设计，组织业务部门审核确认；4系统测试验收4.1过程测试阶段性地要求开发商演示中间成果及进行单元测试,及时纠正开发中的错误4.2完工验收/上线运行监督开发商自测自纠，确认系统稳定后，提交正式验收，对照系统功能需求报告进行全方位的测评总经理工作部负责部署系统的安装调试、系统上线，负责组织指导和协助业务部门完成系统的初始化工作。收集运行的问题予以确认，并监督开发商改进。5.4信息系统推广应用；序号活动责任部门控制要求相关流程1信息化资源投入相关部门2.1公司负责总部信息中心设施与设备硬件的投入；负责公司信息化综合管理软件开发、引进和推进资金和人力资源的投入；2.2项目部负责项目管理信息化的应用与维护的网络及硬件、软件费用的投入；负责项目部局域网的畅通，局域网有专兼职的管理责任人；2信息化文化建设及宣贯相关部门公司及项目部，落实专兼职信息化人员，制订相应的规章制度，宣传国家及上级的信息化管理规定，组织相关活动，促进信息化工作推进。3系统运行规则相关业务部门1.运行规则包括：明确机构与职责，角色权限配置说明、信息上报时效、填报格式、编码规则、安全保密规定、奖惩与考核，其它系统运行管理要求等。2.总经部负责综合管理软件整体运行规则和公共子系统运行规则的制订与检查；3.总部业务部门负责本业务子系统运行规则的制订、下达与检查落实；4.各项目部负责依运行规则使用各系统。4系统培训与指导信息管理部门及业务部门1. 总经理工作部负责对信息化技术问题进行指导与培训；2.总经理工作部负责对所引进的软件，组织相关人员进行培训；3.总经理工作部负责组织信息化基础应用知识和工具性软件的培训，提高员工操作技能。 7系统运行（即信息的采集、维护与使用）相关业务部门1. 总经理工作部负责公司机房数据库信息的安全与维护；2. 总经理工作部系统数据信息的备份与保存，负责营销及人、财、物、知识等资源重要数据的采集、审核、安全与维护。3.各项目部负责项目施工生产现场信息的采集、保密与维护。5.5系统硬件管理；序号活动责任部门控制要求相关流程1专人专机各设备使用部门设备使用者，正确使用和保管设备，确保设备不丢失、不损坏，执行办公用品管理办法。2机房及重大设备维护总经理工作部1.机房管理执行机房管理细则；2.每月底对系统和机房设施、设备按生产厂商提交的技术参数进行一次全面检查，排除服务器、不间断电源、路由器、交换机、光纤、网线网点等网络硬件的故障， 2.项目部参照总部标准执行。3一般硬件设备故障维修使用部门1.专职人员对发现的故障设备进行检测；2.软件问题由使用人员或技术人员自行处理；3.硬件问题由总经部统一处理，建立维修台帐。4耗材使用使用部门耗材的管理与使用执行办公用品管理办法。5.6信息安全管理序号活动责任部门控制要求相关流程1风险分析识别信息系统现有及潜在风险，组织风险评估，确定风险危害程度，制订相应措施，分重点、次重点、一般予以控制。2企业信息安全管理规范对信息的采集、形成、存储、流转、使用与维护等整个信息处理活动以制度的方式在各自业务管理的层面进行安全管理和控制。3安全策略总经理工作部1.制定物理安全策略：包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。2. 制定网络安全策略：包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。3. 制定数据加密策略：包括加密算法、适用范围、密钥交换和管理等。 4. 制定数据备份策略：包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。 5. 制定病毒防护策略：包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。 6. 制定系统安全策略：包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。 7. 制定身份认证及授权策略：包括认证及授权机制、方式、审计记录等。 8.制定灾难恢复策略：包括负责人员、恢复机制、方式、归档管理、硬件、软件等。 9.制定事故处理、紧急响应策略：包括响应小组、联系方式、事故处理计划、控制过程等。 10.制定安全教育策略：包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。 11.制定口令管理策略：包括口令管理方式、口令设置规则、口令适应规则等。 12.制定补丁管理策略：包括系统补丁的更新、测试、安装等。 13.制定系统变更控制策略：包括设备、软件配置、控制措施、数据变更管理、一致性管理等。 14.制定复查审计策