信息管理系统管理制度

信息管理系统管理制度1总体要求1.1适用范围本制度适用于公司所有接入、使用、管理信息管理系统的内部部门、正式员工、劳务派遣人员，以及需接入系统的供应商、服务商、合作单位等外部人员，覆盖范围包括但不限于公司自主开发、采购、联合开发的ERP系统、CRM系统、OA系统、生产管理系统、数据中台、供应链管理系统等所有信息化系统，所有相关主体必须严格遵守本制度要求，违规行为将纳入绩效考核，造成实际损失的需承担对应责任。1.2权责划分系统各参与主体权责明确到人，所有权责履行情况与个人、部门绩效直接挂钩，具体权责划分如下表：角色名称核心权责考核关联项直接汇报对象系统管理员负责系统服务器、网络、存储设备的日常运维，系统版本迭代、变更实施，故障排查与修复，账号权限的最终配置，系统日志的留存与备份，后台操作的全流程记录系统可用率、故障响应及时率、变更成功率、运维记录完整率信息部经理数据管理员负责系统数据的质量校验、数据清洗、数据备份、数据共享审核，敏感数据的脱敏配置，数据质量问题的溯源与整改跟进，数据分级规则的落地执行数据准确率、数据完整率、数据泄露事件发生率、备份数据完好率信息部数据主管业务部门操作员负责本部门业务数据的录入、更新、查询，严格按照操作手册使用系统，反馈系统使用过程中的bug与优化需求，妥善保管个人账号密码，不得转借他人，不得超出授权范围操作数据录入及时率、操作失误次数、账号合规使用情况、需求反馈有效性所属部门负责人业务部门负责人负责本部门员工系统账号开立、变更、注销申请的初审，本部门业务数据的真实性、完整性审核，本部门员工系统操作的日常监督，确认本部门申请的系统权限符合业务需求，无超额申请情况本部门数据质量达标率、本部门账号合规率、本部门违规操作发生率分管业务副总信息安全岗负责系统安全策略的配置，定期开展安全漏洞扫描、渗透测试，安全事件的处置与溯源，员工信息安全培训，数据导出、共享的安全审核，外部人员接入系统的权限校验安全漏洞修复及时率、安全事件发生率、员工安全培训覆盖率、外部接入合规率信息安全主管内审岗负责每季度对系统管理制度执行情况进行审计，排查账号权限、数据管理、变更流程中的违规问题，出具审计报告并跟进整改，对违规行为提出处罚建议审计问题整改完成率、违规问题发现率、审计报告准确率内审部经理第三方服务人员严格按照授权范围开展系统运维、开发、测试等工作，不得超出权限访问、复制、修改系统数据，遵守公司信息安全要求，签订保密协议后才可接入系统工作完成质量、违规操作发生率、保密义务履行情况对接的公司项目负责人2系统上线与变更管理2.1新系统上线管理新系统上线必须严格遵循需求调研、原型确认、功能测试、压力测试、用户验收测试（UAT）、数据迁移、正式上线七个阶段，每个阶段需完成签字确认后方可进入下一环节。需求调研阶段需覆盖所有使用部门的核心业务场景，需求文档需经各部门负责人签字确认，避免上线后出现大范围需求不符的情况；原型确认阶段需至少组织3次业务部门评审会，确保页面布局、操作逻辑符合一线使用习惯，降低后续操作门槛；功能测试阶段由信息部测试团队完成，功能点覆盖率需达到100%，bug修复率达到100%且回归测试通过后才可进入压力测试环节；压力测试需模拟业务峰值3倍的访问量，系统单页面响应时间不超过2秒，无崩溃、卡顿、数据丢失情况，核心交易成功率达到100%；UAT测试由各业务部门选派核心操作人员完成，测试用例覆盖所有日常业务场景，验收合格后签字确认；数据迁移前需完成原有系统数据的全量备份，迁移完成后需开展至少3轮数据校验，数据准确率达到100%才可正式切换系统；上线后需安排运维人员驻场7天，实时响应使用问题，上线后1个月内出具上线效果评估报告，优化现有功能缺陷。2.2变更审批管理所有系统变更（包括功能调整、配置修改、架构升级、字段增减等）均需提前提交申请，禁止任何人员私自变更系统内容，变更实行分级审批制度，具体审批规则如下表：变更类型触发场景初审岗终审岗最长实施时限备案要求重大变更系统核心架构调整、核心业务功能迭代、安全策略重大调整、涉及100人以上使用的功能改动、数据存储规则调整信息部经理、涉及的所有业务部门负责人、分管业务副总分管信息化副总、总经理7个工作日变更方案、测试报告、上线评估报告同步提交内审部、信息安全岗备案，留存期限不少于3年常规变更非核心功能优化、字段调整、页面样式改动、不影响现有业务流程的小功能新增、报表模板调整系统管理员、业务部门需求提出人信息部经理3个工作日变更申请单、测试记录提交信息部存档，留存期限不少于1年紧急变更系统突发故障影响核心业务运行、安全漏洞被触发可能造成数据泄露、监管要求紧急调整的功能系统管理员、信息安全岗信息部经理（特殊情况可先实施后补审批）4小时变更实施记录、故障原因分析报告24小时内补提交信息安全岗、内审岗备案配置变更账号权限调整、数据查询规则调整、角色权限配置修改业务部门负责人、数据管理员系统管理员1个工作日调整申请单留存信息部，留存期限不少于6个月变更实施完成后需开展功能验证，确保变更内容符合需求，且未影响其他原有功能的正常使用，所有变更操作日志需同步留存，可溯源到具体操作人、操作时间、操作内容。3账号与权限管理3.1账号生命周期管理所有系统账号实行一人一号制，禁止多人共用账号、禁止盗用他人账号，账号从开立到注销全流程实行节点化管理，具体流程要求如下表：流程节点操作主体需提交材料最长完成时限校验标准账号开立申请员工本人/对接人（外部人员）《系统账号开立申请表》，明确需使用的功能模块、数据查询范围、使用期限1个工作日申请的权限与员工岗位职责/外部人员工作内容匹配，无超范围申请部门初审所属部门负责人/项目对接人审核意见1个工作日确认申请人确实有使用需求，权限范围符合最小必要原则合规审核信息安全岗、数据管理员审核意见1个工作日确认申请的权限不会造成数据泄露风险，符合数据分级管理要求，外部人员需同步审核保密协议签订情况账号配置系统管理员账号开通通知1个工作日账号权限与申请内容完全一致，无超额配置，初始密码为随机生成的符合安全要求的强密码，外部人员账号设置到期自动注销规则账号激活申请人本人密码修改记录、操作考核成绩24小时初始密码已修改为符合安全要求的新密码，完成操作手册学习与考核（80分以上合格）权限变更申请员工本人/部门负责人《系统权限变更申请表》，明确变更原因、调整后的权限范围1个工作日变更原因合理，与岗位调整/业务需求变化匹配权限变更审核部门负责人、数据管理员审核意见1个工作日确认变更后的权限符合业务需求，无冗余权限权限调整系统管理员权限调整通知1个工作日权限调整到位，同步更新权限台账账号冻结/注销申请部门负责人/HR/项目对接人员工离职/调岗通知、外部人员工作完成证明1个工作日申请人确实已离开原岗位/完成相关工作，无未完成的系统操作任务账号处理系统管理员账号处理记录24小时离职员工账号立即注销，调岗员工原权限立即冻结，如需开通新权限按新开立流程执行，外部人员账号立即注销账号巡检系统管理员、内审岗账号巡检报告每季度首月5日前无闲置超过3个月的僵尸账号，无权限与岗位职责不匹配的账号，无未注销的离职/离岗人员账号3.2账号安全要求账号密码需满足复杂度要求：长度不少于8位，包含大写字母、小写字母、数字、特殊符号中的至少3种，禁止使用生日、工号、简单数字序列等弱密码，系统设置强制密码过期规则，每90天需更换一次密码，到期未修改的账号自动冻结；连续5次输入密码错误的账号自动冻结，需本人提交申请，经部门负责人审核后才可解冻，禁止管理员随意为他人重置密码。员工请假超过1个月的，部门负责人需提前提交账号冻结申请，返岗后再按流程申请解冻，账号冻结期间不得登录系统。4数据全生命周期管理4.1数据分级规则系统数据按照敏感程度分为三级：一级敏感数据（核心数据）包括客户身份证号、银行卡号、交易密码、公司核心财务数据、核心技术参数、未公开的战略规划、招投标底价；二级敏感数据包括客户联系方式、公司员工薪资信息、供应商报价信息、未公开的合同信息、生产核心数据；三级数据为可在公司内部公开的非敏感数据。不同等级数据实行差异化管理，一级敏感数据全程加密存储，查询、导出时自动脱敏，仅展示首尾字符，中间内容以星号代替，二级敏感数据查询需留痕，导出需经过安全审核，三级数据可按业务需求授权访问。4.2数据采集要求数据采集遵循最小必要原则，仅采集满足业务需求的最少字段，禁止采集与业务无关的个人信息，比如销售部门采集客户信息仅可采集姓名、联系电话、收货地址、购买需求，禁止采集客户宗教信仰、婚姻状况、银行密码等无关内容；采集个人信息前需明确告知信息主体采集用途、使用范围、存储期限，获得信息主体同意后才可采集，符合《个人信息保护法》相关要求。所有录入系统的数据需保证真实有效，禁止录入虚假数据、篡改原始业务数据。4.3数据存储与备份要求系统数据实行本地+异地双备份机制，每天开展增量备份，每周开展全量备份，备份数据存储在物理隔离的异地机房，备份数据至少留存3年，法律法规另有规定的从其规定。备份数据仅可由数据管理员访问，每次访问需提交申请，经信息部经理审批后才可操作，访问日志全程留存，禁止任何人私自拷贝、导出备份数据。存储敏感数据的服务器禁止直接连接公网，访问需经过多重身份验证。4.4数据使用与共享要求数据使用需在授权范围内，禁止超出权限查询、复制、导出数据，禁止将系统数据发送给无关人员，禁止在公共网络环境下传输敏感数据，禁止将敏感数据存储在个人电脑、U盘、手机等私人设备上。内部跨部门数据共享需由需求部门提交申请，明确共享数据范围、使用用途、使用期限，经数据所有部门负责人、信息安全岗审批后才可提供；对外提供数据需签订《数据共享保密协议》，明确双方保密责任、数据使用范围、存储期限，经分管信息化副总审批后才可提供，禁止任何人员私自向外部单位、人员提供系统数据。4.5数据质量考核数据质量实行季度考核，考核结果直接与部门、个人绩效挂钩，具体考核指标如下表：指标名称指标定义计算方式合格阈值考核权重扣分规则数据录入及时率规定时间内完成录入的业务数据量占应录入数据总量的比例（按时录入数据量/应录入总数据量）*100%≥98%30%每低于阈值1个百分点扣2分，低于90%扣全部分值，造成业务延误的额外扣5分数据准确率录入系统的真实有效数据量占总录入数据量的比例（准确数据量/总录入数据量）*100%≥99%35%每低于阈值0.5个百分点扣2分，低于95%扣全部分值，出现虚假数据的每次额外扣10分数据完整率必填字段全部填写完成的数据量占总录入数据量的比例（完整数据量/总录入数据量）*100%≥99.5%25%每低于阈值0.2个百分点扣1分，低于97%扣全部分值数据更新及时率业务信息发生变化后规定时间内完成系统数据更新的比例（按时更新数据量/应更新总数据量）*100%≥98%10%每低于阈值1个百分点扣1分，低于90%扣全部分值，造成决策失误的额外扣5分4.6数据销毁要求超过存储期限、无需继续留存的数据需按流程销毁，电子数据需使用专业数据粉碎工具进行不可逆销毁，存储敏感数据的硬盘、U盘等存储介质需进行物理销毁，纸质数据需使用碎纸机粉碎，禁止随意丢弃存储有敏感数据的存储介质。数据销毁需有2名以上见证人在场，销毁记录留存备查，禁止私自销毁仍在使用期限内的业务数据。5系统运行与维护管理5.1日常运维要求系统运维实行724小时响应机制，核心业务系统年可用率需达到99.9%以上，非核心系统年可用率需达到99.5%以上。运维人员每天上午9点前完成系统日常巡检，巡检内容包括服务器CPU使用率（阈值≤70%）、内存使用率（阈值≤75%）、磁盘使用率（阈值≤80%）、网络带宽使用率（阈值≤70%）、异常登录日志、操作异常日志、系统报错信息，巡检结果记录在《系统运维日志》中，发现异常需10分钟内上报系统管理员，无法立即处理的需升级上报。运维人员所有后台操作需全程留痕，禁止私自查看、修改、删除业务数据，禁止泄露系统后台账号密码。系统运维实行724小时响应机制，核心业务系统年可用率需达到99.9%以上，非核心系统年可用率需达到99.5%以上。运维人员每天上午9点前完成系统日常巡检，巡检内容包括服务器CPU使用率（阈值≤70%）、内存使用率（阈值≤75%）、磁盘使用率（阈值≤80%）、网络带宽使用率（阈值≤70%）、异常登录日志、操作异常日志、系统报错信息，巡检结果记录在《系统运维日志》中，发现异常需10分钟内上报系统管理员，无法立即处理的需升级上报。运维人员所有后台操作需全程留痕，禁止私自查看、修改、删除业务数据，禁止泄露系统后台账号密码。5.2故障处置流程系统故障实行分级响应：一级故障为系统完全瘫痪超过1小时、影响全公司核心业务开展，二级故障为部分核心功能不可用、影响3个以上部门业务开展，三级故障为非核心功能异常、不影响正常业务开展。一级故障运维人员10分钟内响应，30分钟内上报分管领导，2小时内恢复核心业务；二级故障30分钟内响应，4小时内解决问题；三级故障1小时内响应，24小时内解决问题。故障处置完成后需开展验证，确保系统功能恢复正常，1个工作日内出具故障分析报告，明确故障原因、整改措施，避免同类问题重复发生。5.3系统优化升级每半年组织一次系统压力测试，评估系统承载能力，及时扩容升级，满足业务增长需求；每年开展一次系统全面评估，排查性能瓶颈、功能缺陷，制定年度优化方案，持续提升系统使用体验。业务部门提出的优化需求需按变更流程提交申请，经审核通过后纳入优化迭代计划，每季度统一发布一次优化版本，紧急需求按紧急变更流程处理。6安全管理6.1接入安全要求系统仅可通过公司内部网络接入，禁止直接暴露在公网，外部人员访问系统需通过VPN接入，VPN账号实行一人一号，最长有效期7天，到期自动注销，禁止转借VPN账号。所有接入系统的设备需安装公司统一的杀毒软件、终端安全管理系统，禁止使用未备案的私人设备接入系统，禁止在接入系统的设备上安装来历不明的软件、访问违规网站。6.2安全检测与防护每季度开展一次全系统安全漏洞扫描，每半年开展一次渗透测试，发现的高危漏洞24小时内修复，中危漏洞72小时内修复，低危漏洞15天内修复，修复完成后需开展验证，确保漏洞完全关闭。系统配置入侵检测、防火墙、防病毒系统，实时拦截异常访问、病毒攻击，异常访问日志留存不少于6个月。6.3安全事件响应安全事件实行分级响应机制，具体响应要求如下表：事件等级判定标准第一响应主体上报时限处置要求复盘要求一级事件1000条以上敏感数据泄露、遭受网络攻击造成数据丢失、系统瘫痪超过2小时影响核心业务信息部经理、信息安全主管10分钟内上报分管信息化副总、总经理30分钟内启动应急预案，2小时内控制事件影响范围，必要时联系公安机关、网安部门介入事件处置完成后3个工作日内出具复盘报告，明确事件原因、处置过程、整改措施，组织全公司相关人员培训二级事件100-1000条敏感数据泄露、系统出现高危安全漏洞、部分核心功能瘫痪影响3个以上部门业务系统管理员、信息安全岗30分钟内上报信息部经理1小时内响应，4小时内解决问题，无法解决的及时升级上报事件处置完成后2个工作日内出具整改报告，同步更新安全策略三级事件100条以下非敏感数据泄露、系统出现中低危安全漏洞、非核心功能异常运维岗、信息安全专员1小时内上报系统管理员24小时内解决问题，同步记录故障原因与解决方案每月对当月三级事件进行汇总分析，优化系统运行稳定性所有安全事件不得隐瞒、迟报，避免造成损失扩大。7培训与考核管理7.1入职培训新员工入职后需参加系统操作培训，培训内容包括系统功能介绍、操作规范、安全要求、应急处置流程，培训后开展闭卷考核，满分100分，80分以上为合格，合格后才可开通系统账号，不合格的需补考直至合格。第三方人员接入系统前需开展专项安全培训，签订保密协议后才可开通临时账号。7.2定期培