信息系统管理制度

1、信息系统运维管理制度为了规范公司信息系统的管理维护， 确保系统硬、软件稳定和安全运行， 结合公司实际， 制定本制度。制度包括信息机房管理、硬件管理、ERP系统应用管理、信息系统变更管理、信息系统应用控制。一、信息机房管理1、硬件配备及巡检1.1、严格做好防鼠、防盗、UPS恒温、恒湿等工作。1.2 、定期对机房硬件设备设施进行巡检，以保证其正常运行。1.3 、建立相关的出入登记、 设备机历登记、 设备巡检、 重大故障等记录， 并认真填写。2、出入管理2.1 、严禁非机房工作人员进入机房， 特殊情况需经人事总务部批准并进行登记后方可 进入。2.2 、进入机房人员应遵守机房管理制度，不乱动机房设备。

2、2.3 、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等 对设备正常运行构成威胁的物品。3、安全管理3.1 、 IT 操作人员随时监控中心设备运行状况，发现异常情况应立即按照应急预案规 程进行操作，并及时上报和详细记录。3.2 、未经批准，不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参 数配置。3.3 、软件系统的维护、增删、配置的更改，必须按规定详细记入相关记录，并对各类 记录和档案整理存档。3.4 、机房工作人员应恪守保密制度，不得擅自泄露信息资料与数据。3.5 、机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。3.6 、严禁在机房计算

3、机设备上做与工作无关的事情（如聊天、玩游戏），对外来存 储设备（如U盘、移动硬盘等），做到先杀病毒后使用。3.7、机房严禁乱拉接电源，应不定期对机房内设置的报警、恒温设备进行检查，保 障机房安全。4、操作管理4.1 、从机房离开时，必须关闭显示器，关好门窗，关闭电灯，锁好机房门。4.2 、每周对机房环境进行清洁，以保持机房整洁；每季度进行一次大清扫，对机器 设备检查与除尘。4.3 、严格做好各种数据、文件的备份工作。服务器数据库要定期进行双备份，并严格 实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。5、运行管理5.1 、机房的各类计算机设备，未经负责人批准，不得随意编写

4、、修改、更换各类软件 系统及更改设备参数配置。5.2 、各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负 责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档 案整理存档。5.3 、为确保数据的安全保密，对各业务往来单位、公司内各部门送交的数据及处理 后的数据都必须按有关规定履行交接登记手续。5.4 、部门负责人应定期与不定期对制度的执行情况进行检查， 督促各项制度的落实， 并作为人员考核之依据。二、IT 硬件管理1、服务器管理1.1 、服务器是公司信息系统的最关键设备，须放置在机房内，不得自行配置或更换， 更不能挪作它用。1.2 、服务器机房要

5、保持清洁、卫生，并由专人负责管理和维护除系统维修和维护时间 外，要保障服务器 24 小时正常运行。1.2、不得在服务器上使用不安全的软件、U盘和移动存贮设备，使用上述设备前一定 要先做好病毒检测。1.3 、不得利用服务器从事工作以外的事情，无工作需要不得擅自拆卸服务器零部件， 严禁更换服务器配套设备。1.4 、不得擅自删除、移动、更改服务器数据；不得故意破坏服务器系统；不得擅自修 改服务器系统时间。1.5 、定期进行服务器系统扫描， 及时关闭可疑的端口与服务， 经常查看服务器运行日 志，检查服务器磁盘空间（或其它存储设备 ） 的使用情况，及时发现服务器异常运行情况并 做好记录。1.6 、管理员

6、对服务器管理员账户与口令应严格保密、定期修改，以保证系统安全，防 止对系统的非法入侵。1.7 、对服务器数据实施严格的安全与保密管理，防止系统数据的泄露、丢失及破坏。1.8 、及时处理服务器软硬软件系统运行中出现的各种错误， 对所有工作中出现的大小 故障均要作详细的登记，包括故障时间，故障现象、处理方法和结果。1.9 、双休日、节假日，要安排专人值班，如发现问题及时解决，并做好记录处理。2、服务器病毒防范制度2.1 、服务器管理人员应有较强的病毒防范意识， 定期进行病毒检测， 发现病毒立即处 理。2.2 、未经上级管理人员许可，不得在服务器上安装新软件，若确需要安装，安装前应 进行病毒例行检测

7、。2.3 、经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。2.4 、及时关注 IT 行业病毒防治情况和提示，根据行业提示调节服务器安全参数，避 免服务器被侵袭。2.5 、建立病毒防护体系。在系统执行拷贝、运行等操作前，检测文件是否感染病毒， 发现病毒自动清除或由管理员选择处理。2.6 、定期实施静态杀毒， 对服务器统一杀毒处理。 发现系统遭到严重病毒攻击并形成 一定破坏时，应立即向单位负责人报告，同时向信息中心反映情况，并尽快采取有效措施 组织抢救，最大限度控制受损面。3、数据备份与检查3.1 、服务器的数据库必须做好备份，定期（每天）做好日志文件的备份。服务器内的 重要数据做

8、好不同介质存放，确保系统一旦发生故障时能够快速恢复。3.2 、每月定期检查备份数据，如有损坏，及时重新备份3.3 、备份的数据必须指定专人负责保管，保管地点应有防火、防热、防潮、防盗等设 施。3.4 、建立双备份制度，对重要资料除在服务器贮存外，还应拷贝到其他介质上，以防 遭病毒破坏而遗失，确保系统一旦发生故障时能够快速恢复。4、其它 IT 设备管理4.1 、所有终端电脑、路由器、交换机、打印机、备用电源等 IT 设备都是公司信息系 统的重要载体，信息管理部门负责软硬件安装、指定位置使用、访问权限设置和日常的维 护包括但不限于软件更新。4.2 、无论放入信息机房的设备还是放在各部门的信息设备，

9、都归口由 IT 部门统一管 理。使用单位有义务保护设备的安全，出现异常须及时告知 IT 部门。4.3、由IT工程师对所有IT设备进行访问权限的设置、数据的备份等工作。须定期（每天）做好日志文件的备份。三、ERP系统应用管理1、应用管理1.1 、系统投入使用前，依据公司的信息应用系统管理原则，结合该应用系统的功能需 求和技术特性，由 IT 负责组织系统使用部门共同制定该系统的应用方案。1.2 、系统出现问题时，将异常现象、发生时间和可能的原因作详细记录，并立即提交 给信息中心，由专业人员对异常情况进行分析和处理。1.3 、系统账号及权限由使用单位进行管理，确需技术支持时，信息中心可对使用单位 进

10、行指导。1.4 、权限中的账号中的信息、数据按规定划分，用户可根据其账号的权限进行阅读、 使用。使用单位根据用户的职责权限编发账号，每个用户对应唯一的账号，禁止使用他人 账号，否则造成的后果由使用者和账号泄露者共同承担。1.5 、系统中的管理员账号，由信息中心人员进行管理和使用，不得发放给普通用户使 用。1.6 、信息系统用户离职、调动时，其使用单位必须向信息中心出具离职、调动申请， 经审核批准后，由系统管理员及时对其账号进行注销或修改。1.7 、系统使用的相关资料应由使用单位进行保存，在信息中心进行备案。2、应急处理2.1 、在信息系统准备阶段，由软件方、使用单位、信息中心三方共同编制紧急预

11、案， 并定期演练；信息系统发生紧急情况时，由信息中心依据紧急预案，向有关部门和公司领 导及时通报故障情况。2.2 、系统发生故障时，由信息中心依据紧急预案，组织技术人员进行抢修，最大限度 的降低故障带来的损失。2.3 、应急处理结束后，信息中心应认真总结应急事件发生的原因、处理过程和经验教训，提出整改措施和方案。3、数据备份与恢复3.1 每天对数据库进行备份，确保业务数据完整、真实、准确地转储到备份介质上，备 份介质需标明备份日期和备份内容，严格控制知悉此备份的人数，备份的数据必须由专人 负责保管。3.2 对备份数据进行登记管理，备份可采用磁盘、移动硬盘、 U 盘等存储介质。3.3 、涉密文件

12、和资料备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储 涉密信息的磁介质应当根据有关规定确定密级及保密期限， 并视同纸制文件， 分密级管理， 严格借阅、使用、保管及销毁制度。3.4 、技术人员定期对备份数据进行恢复验证，确保备份数据的可靠性，并做好相关记 录。四、信息系统变更管理4.1 、系统的更新、升级及重大变更需上报上级领导审批，审批完成后方可执行；若需 中断业务时需向上级领导汇报批准后执行。4.2 、系统变更实施需由信息中心组织实施，系统管理人员负责具体操作，变更过程必 须详细记录并保存。4.3 、当系统出现故障、异常情形时，系统管理人员应立即上报业务上级领导，由上级 领导负责组

13、织技术人员进行故障处理。4.4 、系统的变更必须严格按照操作流程进行， 系统管理人员不得擅自进行软件的删除、 修改等操作，不得擅自升级、改变软件版本，不得擅自改变软件系统的环境配置。4.5 、系统变更程序必须遵循与新系统开发项目同样的验证和测试程序， 测试通过后方 可进行变更，必要时还要进行额外测试。4.6 、系统相关设备资料（系统驱动、设备说明书、系统授权书等）要按照相关技术档 案存储制度保存，以备查看。4.7 、对系统的备品备件必须详细记录，保证数量及型号满足系统应急，如有缺失必须 及时进行补充和更新，并做好标签，明确功能。五、信息系统应用控制：5.1 、信息系统应用控制包括内部系统使用层

14、级和密码控制、信息数据输出、外发和分 发控制、图文档管控以及网络行为管理。5.2 、内部系统使用层级和密码控制： 系统管理人员应严格按照信息安全保密制度做好 信息系统安全工作，按照不同单位、不同级别用户授予不同的信息（包括但不限于ERP系统）访问许可范围、修改变更许可范围、新增许可范围；通过设置口令、域控、核对用户 MAC地址等方式实现管控。密码要求严格保密，严禁擅自更改或泄露信息系统访问授权。5.3、信息数据输出、 外发和分发控制： 通过对不同用户设置信息导出权限、 打印权限、 浏览权限等限制手段强化输出控制。 通过使用专业加密软件对公司内部相关文件进行加密， 外发文件须获得有权解密的高层领导审核后给予解密外发；各部门确保资料只能分发给具 有相应权限的用户。公司内部用户获得的任何信息资料未经上级主管批准，不得提供给外 部人员和单位5.4 、图文档管理：技