信息系统建设维护管理办法.doc

股份有限公司信息系统建设维护管理办法文件编号： 号 编制： 审核： 批准： 发布日期： 实施日期：股份有限公司信息系统建设维护管理办法（试行）版本控制此文件为集团办公室受控文件。复印此文件将作为参考副本。用户应对核查此文件是否为最新版本负责。如此文档的任何一部分需要修改，则此文件将全部重新发表。修改请求将传递给文档拥有者。（见下文）目 录第一章 总则1第二章 职责1第三章第三方服务商管理1第四章部门工作程序3第五章 系统变更管理5第六章备份管理6第七章 附 则8第一章 总则第一条 为加强集团公司信息系统规划、建设阶段项目管理，规范信息系统规划、建设管理流程，及时提供满足管理和业务需求、稳定可靠的应用系统，特制定本办法。第二条 本办法适用于集团公司信息系统规划、建设管理工作。 第二章 职责第三条 集团办公室是信息系统管理的主管部门，其职责是：负责制定集团信息化发展规划，并推进集团信息化不断发展。负责对集团各信息系统的维护、管理工作。负责对第三方服务商的管理。第三方服务商是指参与信息化系统建设的软硬件提供商、网络服务提供商以及为集团提供咨询服务、运行维护服务、技术培训及其它相关信息化建设服务的厂商。负责受理各部门提交的信息系统需求的申请进行审核。负责对各部门提交的信息系统需求进行需求分析，同时需要进行安全分析，主持需求规格说明书、概要设计、演示版的审核；负责质量控制，组织信息系统验收和正式上线使用；负责软件开发过程中的整体协调工作。负责对新建的信息系统、设备、配套设施进行监督及管理。第三章 第三方服务商管理第四条 第三方服务商服务范围：（一）咨询服务：1、根据集团信息系统建设总体部署，协助集团制定切实可行的技术实施方案；2、对集团现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估，提出合理化建议；3、根据集团的实际情况提出备份方案和应急方案；4、其它信息技术咨询服务。（二）运行维护服务：1、软硬件设备安装服务；2、硬件设备的维修和保养；3、软件系统的升级及故障处理；4、系统定期巡检和整体性能评估；5、其它运行维护服务。（三）技术培训：根据集团的实际情况，参照国内先进的技术和管理经验或标准提供相关的技术培训。第五条 第三方服务商资质认证：集团办公室负责组织第三方服务商的资质认证工作，资质验证的工作由不参与合同签订的人员根据集团规定进行。第三方服务商的资质认证内容，包括但不限于第三方的技术能力、经济和财务能力以及对服务的报价。第六条 第三方服务商协议签订：所有第三方服务商提供的服务必须签订服务协议或合同。第三方服务商必须经过资质认证才有签订服务协议或合同的资格。在与第三方服务商签订的服务协议或合同中应明确规定：1、符合集团内部控制、内部安全管理及其它相关制度的要求；2、规定对第三方服务商服务持续性的要求；3、符合知识产权保护法，不得侵权，不得丧失集团的知识产权或版本权；4、与第三方服务商签订服务规范及保密协议；5、第三方服务商的服务范围。第七条 第三方服务商服务质量监控与评价：集团办公室指定专人对第三方服务商的服务进行监控，并对服务满意度进行评价和记录，确保其提供的服务符合集团的内部控制的要求。在第三方服务商合同到期前一个月，集团办公室对第三方服务质量进行评估，评估结果作为服务商备选资格的依据。第四章 部门工作程序第八条 提出需求：各部门提出开发的应用软件的需求，具体包括：时间要求、功能要求、权限控制、安全要求和业务流程。第九条 受理：集团办公室在接到各部门的要求后，立即着手安排各项准备工作，制定任务计划，包括人力资源的考虑和时间要求的考虑，寻找软件开发商进行协商，向信息系统开发商提出开发要求。第十条 需求分析：信息系统开发商在接到开发要求后，与集团办公室共同进行需求分析。第十一条 需求审核：集团办公室组织各部门信息系统开发商共同进行需求规格说明书的审核，信息系统开发商提供审核所需的材料和需求规格说明书，负责技术问题的解释。各部门应认真审核需求规格说书所描述的内容是否符合业务和管理要求，如果不符合要求集团办公室和信息系统开发商重新进行需求分析，直到审核通过为止，各部门签字认可。第十二条 概要设计：信息系统开发商对审核通过后的需求按软件建设标准开始进行概要设计。第十三条 概要设计审核：集团办公室组织需求部门对信息系统开发商的概要设计进行审核，包括：是否符合各部门提出的业务和管理要求，是否符合软件建设标准的要求，结构是否合理。审核未通过，信息系统开发商重新进行概要设计。第十四条 演示版建设：信息系统开发商对概要设计通过后的需求进行演示版的建设，完成所有界面设计、业务流程和功能规划。第十五条 演示版的审核：集团办公室组织各部门信息系统开发商共同进行演示版的审核，业务部门要对界面、业务流程和功能划分进行确认，如未达到各部门的要求，重新进行演示版的建设，直到审核通过为止，由各部门签字认可。第十六条 详细设计和代码编制：信息系统开发商对演示版审核通过后的应用开始进行详细设计和代码编写，并按软件建设标准文档模版补充和完善详细设计说明书。信息系统开发商对代码编写完的应用产品编写安装维护手册、升级安装手册、用户操作手册、测试用例报告，并进行多种方式的测试，包括：开发人员自身的测试、测试人员的测试，测试环境的测试。测试的内容不仅需要包含功能需求，也需要包含业务系统的安全需求，测试人员在测试完成后应编制测试报告，如果出现BUG或者不满足安全需求，要求填写BUG记录表，开发人员修订程序代码，直到测试完全通过。第十七条 安装部署试运行：集团办公室根据安排通知信息系统开发商开始安装部署试运行时间。由办公室组织各部门进行安装部署试运行工作，并由各部门负责用户测试工作。第十八条 试运行审核：办公室组织各部门试运行进行审核，审查测试用例、报告测试报告以及相关的技术文档，对程序中的关键点和安全需求按照测试用例报告进行严格测试，各部门应配合集团办公室对应用系统进行试用，验证系统功能是否满足业务和管理要求，如果试用过程中发现不符合业务和管理要求，应认真填写问题反馈意见。如果各部门反馈意见表明试运行不合格，集团办公室将要求信息系统开发商重新进行代码编写和测试，直到试运行通过。第十九条 信息系统验收：集团办公室组织各部门对信息系统开发商提交的应用系统进行验收，主要根据试运行用户测试结果和合同中规定的验收文档和其他要求进行验收工作，集团办公室负责严格检查技术文档，各部门负责严格检查业务操作文档，并各自出具验收报告，由集团办公室汇总项目验收报告后报项目领导小组。若验收不合格，由集团办公室与信息系统开发商重新商定验收时间，择日进行，直到验收通过。第二十条 系统上线：在系统正式投产使用前，集团办公室负责对系统的基础架构平台进行安全检测与评估，安全检测的范围包含但不仅限于：操作系统、数据库、网络、信息系统功能隐患、结构合理性、源代码缺陷、服务能力（压力测试）。办公室确认该系统满足信息安全基线要求后，系统才可以正式的上线使用。第二十一条 记录归档：集团办公室在项目结束后将所有记录根据档案管理的要求进行归档工作。第五章 系统变更管理第二十二条 系统变更工作可分为下面三类类型：功能完善维护、系统缺陷修改、业务的变更、数据库直接修改。功能完善维护指根据业务部门的需求，对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复，这些问题是由于系统设计和实现上的缺陷而引发的；数据库直接修改指为了满足业务部门处理报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。第二十三条 系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息管理部门，还包括合作厂商）协作完成。第二十四条 需求部门提出系统变更需求，由部门负责人审批后提交给集团办公室系统管理员。第二十五条 系统管理员负责接受需求，分析需求，并提出系统变更建议，集团办公室负责人审核后报集团领导批准。第二十六条 系统变更过程应经过测试和正式验收才能转入生产环境。第二十七条 系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写用户测试报告（附件二），提交业务部门负责人和集团办公室负责人签字确认通过。第二十八条 对于紧急变更，可以提前在不影响业务正常运作的情况下进行变更任务，无需等待变更窗口。第二十九条 对于紧急变更，由集团办公室负责根据重要性和紧迫性做判断，确定其优先级和影响程度，并进行相应处理。第三十条 紧急变更过程中应使用专设的系统用户账号，由专责部门或人员启动紧急修改变更程序。集团办公室应对紧急变更的处理进行规范的文档记录。第三十一条 在紧急事件处理完成后，必须在一周内补办正式、完整的文档，其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、需求部门/集团办公室测试记录（包括签字确认测试结果）。第三十二条 系统变更过程中，应采取各种措施保证维护环境程序代码访问权限受到良好控制。这些措施包括：1、通过系统用户的授权管理，确保只有特定人员能进行系统维护工作；2、通过对系统日志的审阅，监督系统维护人员在系统中的操作，确认维护工作的授权。第六章 备份管理第三十三条 备份管理工作由集团办公室网络管理员负责。包括：制订备份、恢复策略，组织实施备份、恢复操作，更换和登记工作。第三十四条 备份策略（一）备份频率：1、对于与财务报告相关的各种业务和财务系统数据须每天进行备份；2、数据被大规模更新前后，须对数据进行备份；3、在操作系统和应用程序发生重大改变前后，须对系统和应用程序进行备份。（二）备份存储和备份介质管理：1、对数据、操作系统以及程序的备份，须保存在两份介质中，一份存放在本地，另一份存放在异地；2、备份介质，无论是存放在本地还是异地，须确保存放场所的安全，保证只有授权人员可以访问；3、在备份存储介质，备份文件须有唯一标识，标明备份的内容和日期；（三）备份恢复测试：备份存储介质中的数据须至少每季度进行恢复测试，以确保备份的有效性和备份恢复的可行性。第三十五条 备份操作管理需按照数据的重要程度对不同备份对象进行分类，对不同的备份对象根据类别制定备份策略。备份操作人员须检查每次备份是否成功，并填写备份记录表（附件一），对备份结果以及失败的备份操作处理需进行记录、汇报及跟进。备份记录表必须由专人妥善保管，办公室负责人每季度安排专人对备份工作进行审核，核对系统中的备份日志与备份工作汇总记录，以保证备份的有效性、完整性以及出现的问题能得到适当的处理。第三十六条 备份介质的存放和管理存放备份数据的介质必须具有明确的标识；标识必须使用统一的命名规范，注明介质编号、备份内容、备份日期、（如有备份软件，可采用备份软件编码规则）。备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠等要求。备份介质必须有由专人负责进行存取，其他人员未经批准不能操作。第三十七条 备份恢复集团办公室网络管理员应制定相应的备份恢复计划，包括由业务需求发起的备份恢复以及测试性的恢复计划。计划中应遵循数据重要性等级分类，保证按照优先级对备份数据进行恢复。需要恢复备份数据时，需求部门应填写数据恢复申请表（附件二），内容包括数据内容、恢复原因、恢复数据来源、计划恢复时间、恢复方案等，由需求部门以及集团办公室相关负责人审批。备份管理员需按照备份恢复计划制定详细的备份恢复操作手册，手册应包含备份恢复的操作步骤、恢复