信息系统管理办法(1)

1、信息系统管理方法第一章：总则第一条 为保证公司信息网络系统的平安，依据国家有关计算机、网络和信息平安的相关法律、法规和平安规定，结合公司内网络系统建设的实际状况，制定本方法。其次条 本方法所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。第三条 信息网络系统平安的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息平安技术，在实现网络系统平安的基础上，爱护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络平安特指本机信息系统应用数据、操作系统、身份验证及操

2、作代码的机密性及平安性。 第四条 本规定适用于公司内全部计算机硬件及周边设备（如打印机、扫瞄仪、MO存储器，软磁碟，CD碟，数码相机、考勤机终端等）及全部网络设备。公司内全部操作计算机岗位和与之有工作的岗位均属此管理之内。其次章 信息系统平安管理 第五条 计算机系统账号与操作员代码 一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行限制的代码。操作代码分为系统管理代码和应用操作代码。代码的设置依据不同应用系统的要求及岗位职责而设置； 二、系统管理操作代码必需经过相应申请经相关系统管理人员授权取得； 三、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故

3、障复原等管理及维护； 四、系统管理员对业务系统进行数据整理、故障复原等操作，必需有主管负责人授权； 五、信息部门任何人员不得运用他人操作代码进行业务操作； 六、系统管理员调离岗位，上级管理员（或相关负责人）应刚好注销其代码并生成新的系统管理员代码； 七、一般操作码由系统管理员依据各类应用系统操作要求生成，应按每操作用户一码设置。 八、操作员不得运用或盗用他人代码进行业务操作。 九、操作员调离岗位，系统管理员应刚好注销其代码并生成新的操作员代码。 第六条 密码与权限管理 一、密码是爱护系统和数据平安的限制代码，也是爱护用户自身权益的限制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设

4、的密码，操作密码是进入各应用系统的操作员密码。密码设置应具有平安性、保密性，不能运用简洁的代码和标记。 二、密码应定期修改，间隔时间不得超过一个月，如发觉或怀疑密码遗失或泄漏应马上修改，在可能的状况下并相应记记录用户名、修改时间、修改人等内容，刚好上报公司信息中心备案。 三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人（不参加系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖部门印章并签字标注封存日期后交由信息中心存档并登记。如遇特殊状况须要启用封存的密码，必需经过相关部门负责人同意，由密码运用人员向密码管理人员索取，运用完毕后，须马上

5、更改并封存，同时在“密码管理登记簿”中登记。 四、系统维护用户的密码应至少由两人共同设置、保管和运用。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码马上修改或用户删除，同时在“密码管理登记簿”中登记并备档留存。 第三章 数据平安管理 第七条 存放备份数据的介质必需具有明确的标识。备份数据必需异地存放，并保证重要系统业务备份要有两份。并明确落实异地备份数据的管理职责; 第八条 留意计算机重要信息资料和数据存储介质的存放、运输平安和保密管理，保证存储介质的物理平安。 第九条 任何非应用性业务数据的运用及存放数据的设备或介质的调拨、转让、废弃或销毁必需严格依据程序进行逐级审批，以

6、保证备份数据平安完整。 第十条 数据复原前，必需对原环境的数据进行备份，防止有用数据的丢失。数据复原过程中要严格依据数据复原手册执行，原则上数据复原由公司信息中心完成。如因其他缘由由业务部门进行的，信息中心心须指定相关人员进行现场技术支持。数据复原后，必需进行验证、确认，确保数据复原的完整性和可用性。 第十一条 数据清理前必需对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要依据备份策略进行定期保存或永久保存，并确保可以随时运用。数据清理的实施应避开业务高峰期，避开对联机业务运行造成影响。 第十二条 须要长期保存的数据，数据管理部门需与相关部门制定转存方案，依据转存方案和

7、查询运用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、运用方法保证数据的完整性和可用性。转存的数据必需有具体的文档记录。 第十三条 非本单位技术人员对本公司的设备、系统等进行修理、维护时，必需由本公司相关技术人员现场全程监督。计算机设备送外修理，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备修理人员应对设备进行验收、病毒检测和登记。 第十四条 管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥当处理废弃无用的资料和介质，防止泄密。 第十五条 运行维护部门需指定专人负责计算机病毒的

8、防范工作，建立企业内部计算机病毒防治管理制度，常常进行计算机病毒检查，发觉病毒刚好清除。 第十六条 公司内全部计算机未经信息部允许不准安装与其业务部门无关的软件、不准运用来历不明的载体（包括软盘、光盘、移动硬、MP3盘其他存储介质）。第四章 网络平安及防病毒管理 第十七条 任何人员不得盗用他人账号或操作员代码、公司内部网络平安管理密码进行操作 第十八条 部门所运用计算机不得运用除集团军公司内刚好通讯软件外的任何第三方软件。严禁在工作计算机上安装BT、P2P等类型的多线程或占用带宽流量的下载软件，全部下载均采纳单线程下载。保证公司的带宽有效利用。 第十九条 计算机内电子邮件收发均通过公司内部邮件

9、系统进行，不得采纳其他外部邮件系统，如因须要，可向信息中心申报后赐予开通POS服务通道，并做备案。 其次十条 公司各部门计算机均采纳域管理方式进行登陆，在工作期间必需登陆公司域服务器，并严格依据域管理下的操作说明进行文档及其他相关文件的传递。 其次十一条 防病毒系统均采纳公司统一布署的企业网络防病毒系统，各部门计算机病毒代码均由公司防病毒服务器进行统一下载，不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。 其次十二条 为保证公司Internet的带宽流量，信息主管部门必需对访问Internet权限进行管控，各部门若有访问外部Internet公网其他特殊需求的，可提出申请，经

10、部门主管及信息部门审核，报经总经理批准后，使申请人享受访问Internet的特殊需求权力。未通过此程序审批而私自设定其他方法访问外部网络，一经发觉，将做严责。如因此给公司带来损失的，责成责任人担当相应损失。第五章 机房平安管理 其次十三条 进入信息主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作等内容。 其次十四条 信息管理人员进入机房必需在“机房出入管理登记簿”签字登记，其他人员进入机房必需经信息中心许可，并由有关人员陪伴（特殊状况除外）。机房当日值班人员必需照实记录来访人员名单、进出机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作

11、。如遇特殊状况必需操作时，经信息部门负责人批准同意后有关人员陪伴状况下进行。对操作内容进行记录，由操作人和监督人签字后备案。中心机房实行严格的门禁管理制度，刚好发觉和解除主机故障，依据业务应用要求及运行操作规范，确保业务系统的正常工作。每天应实行机房例行检查制度，并就机房设备运行及其他状况做好值日记录。 其次十五条 保持机房整齐清洁，各种中心设备按维护安排定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护、防雷、防尘等项工作，保证主机系统的平稳运行.定期对机房运行的各项环境指标（如温度、干净度、温度上升率等）进行测试，并做好记录，通过实际测量各项参数发觉问题刚好解决，保证机房各

12、项设备的正常运行。 其次十六条 机房内严禁吸烟、进食、会客、闲聊等与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特殊是易燃、易爆、有腐蚀等危急品进入机房。 其他部门如因须要携入移动计算机入机房需报经信息部门批准方可携入。 其次十七条 机房工作人员严禁违章操作，严禁私自将外来软件带入机房运用。 其次十八条 严禁在未实行平安措施或通电的状况下拆卸，移动机房内等相关设备、部件及网络。在进行机房硬件更换或修理时，必需进行静电释放方可进行。 其次十九条 定期检查机房消防设备器材，做做好检查登记，在机房值日记录上并做书面登记。 第三十条 机房内不准随意丢弃存储介质和有关业务保密数

13、据资料，对废弃存储介质和业务保密资料要刚好销毁（碎纸），不得作为一般垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。 第三十一条 服务器等所在的中心机房后备电源（UPS）除了电池自动检测外，每年必需深充放电一次到两次。第六章 IT设备购置、配发、修理及报废管理 第三十二条 IT设备购置 一、全部IT设备均由公司采供部进行选购。设备购置由运用部门提出申请，由信息部门进行核定后上报公司分管领导审批后转公司采供部统一选购。 二、对IT设备的选购验收信息部协作采供部共同完成，验收合格后由信息部进行安装调试后配发申请运用部门。 三、信息部负责对购置的IT设备做专项台账建立，并于年低转交

14、一份至公司财务部备查。 四、大型IT设备选购或特殊IT设备选购，申请部门原则上提前一周向信息部转交购置申请，信息部在接到购置申请后必需进行询价，询价必需至少在三家以上，出具IT设备购置市场调查及建议随附购置申请上报公司领导审批，审批后转公司采供部。 五、IT设备耗材的选购，信息部协作办公室、财务部、企划部制定IT设备耗材定额及费用核算后按核算标准选购。部门IT设备耗材超出核算部分由部门自行担当。 六、对IT设备的选购严格遵守公司的统一选购流程及管理规定，协作采供部完成IT设备的选购及验收工作。 第三十三条 IT设备配发 一、公司IT设备的购置配发及调配由信息部进行统一规划和管理。 二、信息部依

15、据公司年度工作安排，编制公司年度IT设备选购及配发安排。 三、公司各部门因工作须要提出申请配发IT设备的，由运用部门提出申请，具体载名运用岗位、用途后转信息部，由信息部按工作岗位、工作须要、性能要求等安排闲置IT设备或购置。如需购置则转入IT设备选购流程进行购置配发。 四、IT设备的配发及互调必需由信息部备案，信息部刚好进行IT设备台账变更登记，注明配发及互调日期等相关事项。 第三十四条 IT设备故障修理 一、信息部负责公司全部IT设备的故障及修理。 二、信息部对公司的IT设备故障做鉴定和修理，并出具鉴定结果，并对鉴定结果负责。 三、在接到部门的运用保障后，一般故障需在15分钟内赶到，影响到部

16、门正常工作业务开展的，5分钟内必需赶到（特殊状况除外），重大故障（数据丢失、工作无法开展的）必需在接到报障后，报请信息部负责人，由信息部提出解决方案，依据方案进行处理，对重大故障信息部必需备案。 四、对于一般故障和影响到部门工作业务开展的，必需在当天工作日内完成处理，超出工作日的原则上不算加班。对于重大故障必需刚好维护及修理的，如超出工作时限部分依据实际状况酌情处理。 五、任何报障必需建立报障修理记录，并做保障事故签定。修理人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。 六、IT设备硬件故障经信息部修理人员鉴定在其范围内无法修理的，如在三包范围内的，由信息部联系销售厂家进

17、行修理。超出三包范围的，信息部填报外包修理申请单，由信息部负责人核准上报公司分管领导审批后交由外包修理单位进行修理。 七、IT设备外包修理单位具体事宜由信息部进行洽谈并与其签定外包修理合同。合同交由法务部进行核准方可签定。 八、对于发往外包修理或三包范围内的设备修理信息部必需进行登记造册，注明产品型号、品牌、内部具体配置等信息。在修理返回后依据的出厂修理登记进行验收。 九、对于外包或三包范围内的IT设备修理，为确保报障部门正常工作，信息部在不影响其他部门工作正常开展的状况下有权对IT设备进行短暂调配。 十、企业IT核心设备的硬件物理损坏故障鉴定必需由厂家及公司托付专业IT设备鉴定机构完成，信息

18、部负责全程跟踪，对最终鉴定结果负责。 十一、对于IT硬件设备故障在鉴定后无修理价值的，转入IT设备报废管理流程进行处理。 第三十五条 IT设备报废管理 一、IT设备的报废鉴定统一由信息部完成，特殊IT设备（如服务器，磁带存储设备、核心路由器、核心交换机）的故障鉴定由厂家、公司托付第三方IT设备鉴定机构、信息部共同完成。信息部对IT设备的报废鉴定结果负责。 二、信息部对IT设备报废鉴定报告上报公司分管领导审批后，对报废IT设备统一进行存放管理。 三、对IT设备报废鉴定为人为缘由造成的，由责任人担当此IT设备的全额损失，并依据公司相关管理规定进行从严惩罚。 四、信息部对管理存放的报废IT设备定期进

19、行清理，并做处理方案报公司分管领导审批后，对报废IT设备进行出售，并由办公室、财务部监督执行。对所出售所得款项当天缴至财务部。建立报废IT设备出售台账，以备查验。 五、公司各部门要在最大程度上提高IT设备的运用年限，厉行节约。信息部要做到IT设备可用零部件的二次利用，为公司开源节流做贡献。第七章 IT项目管理 第三十六条 本管理规定适用于公司内信息化建设过程中的全部IT系统项目招标、选购及实施。 第三十七条 公司信息化建设过程的系统建设要从公司中长期规划动身，结合公司现行实际发展状况，依据必要性、合理性、经济性而实施。保证公司的投资效益。 第三十八条 公司IT系统的建立过程中的市场调研、组织招

20、标、合同签定、项目实施等均由信息部与建设部门共同协作完成，信息部主导上述工作各环节。 第三十九条 公司IT系统项目立项申请原则上由建设部门提出，信息部也可以依据公司发展提出。全部IT系统立项均报公司上会探讨确定后方可着手实施。 第四十条 IT系统项目的立项申请必需确定IT系统的总体管理目标。申请必需书面清楚说明需求，信息部在接到项目申请后必需在一周内完成市场调查，并出具相关报告伴同项目申请上报公司领导，经公司会议探讨确定批准后，信息部依据批准后看法组织项目实施。 第四十一条 IT系统项目的选购合同必需报公司法务部进行核准后方可签定。 第四十二条 IT系统项目一经确定立项实施，必需成立项目小组，

21、确定项目小组负责人及成员，原则上项目小组负责人由公司领导担当，小组成员由公司内各部门负责人组成。信息部在项目实施过程中对项目小组负责。 第四十三条 项目小组成员要依据项目要求，极积主动高质量完成项目实施过程中专项工作。工作实施专管专责，不得中途转手他人（特殊状况除外）。 第四十四条 信息部在项目实施过程中负责协调、组织、沟通和实施过程中的连接工作。刚好解决处理项目实施过程中的技术和其他问题。 第四十五条 信息部全程跟踪、管理项目实施过程中的全部环节，并对项目进度及质量负责。IT系统项目实施过程中的技术文档、项目需求、学问文档等信息部要建立完整的项目文档管理体系。 第四十六条 IT系统项目验收由

22、项目小组评审验收，信息部具体负责项目验收评估及项目验收报告并上报公司审批等工作。 第四十七条 信息部负责IT系统项目验收完成后的具体运行维护工作，并依据运行状况出具相关运行报告。 第四十八条 由于公司发展须要，前期运行的IT系统需做二次开发或升级的，由具体运用部门与信息部协作及沟通提出系统需求，再由信息部整合需求，供应整体解决方案报公司信息化项目领导小组审定后，信息部与软件供应商联系系统二次开发或升级事宜。严禁相关部门私自或提前与软件供应商联系，避开谈判被动，给公司带来不利影响。第八章 计算机运用管理 第四十九条 信息部负责公司内部门的计算机软件、硬件、上网行为及系统运行的统一维护和管理。 第

23、五十条 信息部负责对公司内各部门运用的计算机做日常定期、不定期运用监督检查，对于检查中发觉的违规全权处理。对于检查中发觉的重大违规应刚好上报公司分管领导。 第五十一条 公司内全体员工对违规运用计算的行为有相互监督和举报的权利。 第五十二条 严禁外来人员运用公司电脑。 第五十三条 公司全部计算机实行封签管理。计算机的修理权在信息部，任何人不得擅自更改计算机硬件配置或打开计算机，非信息部人员对计算机故障缘由的确定无任何效力。 第五十四条 下班后各部门必需关闭计算机及处围设备，检查电源状况，确保平安方可离开。 第五十五条 在办公期间，长时间不用电脑必需实行人离机锁定，防止公司信息数据及隐私泄露。 第

24、五十六条 计算机运用人员不得擅自更改系统软件设置，安装与工作无关的即时通讯、炒股、嬉戏、BT下载、P2P、在线流媒体音视频播放等第三方软件。 第五十七条 公司接入互联网的网络参数及设备参数严格实行保密，信息部对此项保密负责。 第五十八条 特殊岗位运用计算机和系统操作人员必需与公司统一签定公司信息网络平安保密协议。 第五十九条 任何人不得利用公司计算机和网络从事违法犯罪活动，一经查处落实，将从严惩罚。 第六十条 工作时间内严禁运用计算机或互联网做与工作无关的事。 第六十一条 工作时间除工作须要打开的互联网指定访问外（包含下载），其他网络访问及网络应用信息部一律采纳技术手段处理，确保各部门工作正常

25、开展不受影响。 第六十二条 公司内部网络带宽依据各部门实际工作须要，做带宽规划并进行带宽安排，确保各部门工作不受第三方影响。 第六十三条 公司内除特殊须要的，各部门运用的计算机一律通过公司域服务器登陆。并对各部门的USB接口，CD（DVD）光驱进行技术关闭。确保计算机内部数据及网络信息系统平安。 第六十四条 公司内各部门的文件传输均采纳公司内部邮件系统或公司内部即时通讯软件完成。 第六十五条 信息部有权利用网络监控技术手段对公司内各岗位所运用的工作计算机进行数据、上网行为、系统等操作行为进行工作期间的监控。并对违规操作每月定期进行通报。第九章 罚则 第六十六条 依据操作违规所给公司及信息系统的

26、运行带来的损失及影响将违规操作分为A、B、C三类。一、A类违规及范围界定：1.在未经公司授权或非公司信息中心人员进行维护的前提下非岗位操作人员对其所运用的系统进行操作或查阅，查实盗取或违规修改应用系统业务数据的，给公司造成重大损失的。 2.在未经允许的状况下安装与信息系统或工作无关的软件、运用外带的各类移动存储设备（如：软盘、光盘、U盘等），给公司信息系统带来干脆危害的。 3.工作期间通过信息网络系统登陆非公司业务的任何互连网网站及其它各类与工作无关的网站网页，导致公司内部信息网络感染病毒的并严峻影响工作开展的。 4.将公司网络参数及网络设备参数外泄造成公司网络信息系统平安隐患的。 5.未经允

27、许以任何理由复制、携带、帮助查阅、口头泄露等任何方式将公司各类信息数据带出办公岗位或告知他人的。 6.在公司关键及特殊岗位运用的计算机上安装各类游软件的。 7.恶意更改公司网络信息系统的所涉及的各类参数及数据的。 8.通过公司网络信息系统窃取其它部门或个人的文档资料或文件，造成恶劣影响并给公司、部门、个人带来损失的。 9.向外界以书面或口头形式透露公司信息网络平安防卫工具及措施的。 10.未经授权盗用他人帐号及密码操作非本岗位所运用的信息系统模快功能的。 11.IT设备未经报批擅自做报废和处理的。 12.蓄意破坏公司IT设备、网络线路造成严峻损失和恶劣影响的。 13.对选购的IT设备未按验收流程严格验收，致使验收的IT设备无法正常运行的。 14.对IT系统项目立项招标过程中不按公司项目招标管理规定，违规操作的。 15.信息部人员未按报障时间规定及进响应处理报障，给部门工作造成重大后果的。 16.不按规定下班对IT设备进行电源关闭平安隐患检查，造成重大损失的。 17.采纳技术或非技术手段蓄意破坏公司信息系统硬件或软件，造成重大后果的。 凡违反A类界定违规项的处以200-1000元/次/项罚款。并因此给公司、部门及个人造成的一切损失由违规人全部担当。情节严峻的上报公司将移交司法机关处理，并保留起诉权。二、B类违规及范围界定： 1.各类业务单据、数据及相关业务处理