IT信息系統(tǒng)維護管理制度.doc

IT信息系統(tǒng)維護管理制度1 目的為了保障信息系統(tǒng)安全、平穩(wěn)運行，確保數(shù)據(jù)安全，依據(jù)相關法律法規(guī)和公司內(nèi)部控制手冊，制定本細則。2 適用范圍與定義本細則適用于信息管理部門及相關部門實施信息維護相關事項。本細則所稱信息系統(tǒng)維護包括日常運行維護、系統(tǒng)變更、安全管理等方面。3 引用標準及關聯(lián)制度3.1 企業(yè)內(nèi)部控制基本規(guī)范3.2 企業(yè)內(nèi)部控制應用指引第18號信息系統(tǒng)3.3 ABC公司內(nèi)部控制手冊20124 職責4.1 信息管理部門負責信息系統(tǒng)的運行維護管理。4.2 信息系統(tǒng)使用部門負責系統(tǒng)的使用，用戶管理。5 內(nèi)容、要求與程序5.1 系統(tǒng)日常運行維護5.1.1 公司信息系統(tǒng)的維護歸口統(tǒng)一由信息管理部負責管理。5.1.2 系統(tǒng)使用部門（單位）負責業(yè)務流程、業(yè)務工作標準、數(shù)據(jù)維護、用戶管理、數(shù)據(jù)使用安全、知識產(chǎn)權(quán)合法性使用及相關制度的制定和落實等工作，對有關數(shù)據(jù)的日常更新等作運行操作記錄；對關鍵用戶與一般用戶進行培訓和培訓考核，培訓記錄和考核成績提交人力資源部備案。5.1.3 信息管理部負責日常軟硬件系統(tǒng)維護、設備保養(yǎng)、故障的診斷與排除、易耗品的更換與安裝、網(wǎng)絡安全、環(huán)境保持、應急處理等工作，保證信息系統(tǒng)安全、穩(wěn)定運行，并做應急事故處理記錄和運行維護記錄。應急事故處理記錄和運行維護記錄由信息管理部門經(jīng)理簽字。需委托進行維護的信息系統(tǒng)，由信息管理部門審查系統(tǒng)服務商資質(zhì)，并簽訂系統(tǒng)維護服務合同；由信息管理部自行維護的，應指定專人負責維護，制定崗位職責。5.2 系統(tǒng)變更5.2.1 系統(tǒng)如在使用中有變更要求，可向總經(jīng)理辦公室提出書面要求并填寫系統(tǒng)變更表，由申請部門分管副總簽字后，交信息管理部統(tǒng)一安排進行。變更完成后由申請部門相關人員簽字確認。信息系統(tǒng)操作人員不得擅自進行軟件的刪除、修改等操作；不得擅自升級、改變軟件版本；不得擅自改變軟件系統(tǒng)的環(huán)境配置。5.2.2 信息管理部門應利用技術手段防止員工擅自安裝、卸載軟件或者改變軟件系統(tǒng)配置，并定期進行檢查。5.2.3 系統(tǒng)使用部門（單位）會同信息管理部按照業(yè)務需求，對業(yè)務流程與系統(tǒng)功能進行評價，需要重大改進的，提出系統(tǒng)升級報告，由公司分管業(yè)務副總經(jīng)理簽字確認，報財務總監(jiān)審核，由信息化領導小組審批。5.2.4 系統(tǒng)使用部門（單位）會同信息管理部組織系統(tǒng)升級的實施和驗收。（系統(tǒng)升級實施的具體流程參見信息系統(tǒng)外購管理細則5.6、5.7）5.2.5 操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)用戶的新增、變更，須填寫系統(tǒng)用戶申請表，經(jīng)信息管理部審批后，被賦予唯一的用戶名、用戶ID（UID），方可進入公司信息系統(tǒng)進行電腦使用。信息管理部門經(jīng)理至少每季度審核一次系統(tǒng)用戶記錄表。5.3 信息系統(tǒng)數(shù)據(jù)安全管理由信息管理部負責信息系統(tǒng)數(shù)據(jù)的安全管理，包括日常備份、恢復和數(shù)據(jù)安全工作（詳見備份制度）。5.3.1 數(shù)據(jù)保密性管理重要數(shù)據(jù)的處理過程中，被批準使用數(shù)據(jù)人員以外的其它人員不應進入機房工作；處理結(jié)束后，應清除不能帶走的本作業(yè)數(shù)據(jù)；妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應進行粉碎。未經(jīng)允許，不準將機房設備、維護用品、軟盤、資料等私自帶出機房，如有特殊情況，需經(jīng)負責人同意并進行登記后方可帶出。5.3.2 數(shù)據(jù)備份管理每日進行系統(tǒng)數(shù)據(jù)庫自動備份并做完整性查驗，每周一次手動備份到移動硬盤或其他電腦的硬盤，每兩周一次由專人將移動硬盤送往銀行保管箱予以存放，并填寫數(shù)據(jù)備份記錄表，由負責系統(tǒng)維護人員及信息管理部門經(jīng)理簽字，每年進行一次備份的恢復性測試，并填寫數(shù)據(jù)恢復性測試記錄表，由信息管理部門經(jīng)理簽字。5.4 操作系統(tǒng)登錄的安全管理信息管理部負責各業(yè)務系統(tǒng)后臺操作系統(tǒng)登錄的安全管理。5.4.1 系統(tǒng)登錄名與密碼安全管理各系統(tǒng)責任人負責保管系統(tǒng)的登錄名和密碼，密碼的設置要符合強密碼規(guī)范和密碼復雜性要求，并將它們密存在信封中，信封由專人保管，各系統(tǒng)負責人每季度更換一次登錄名和密碼，并填寫密碼保存登記表。特殊情況需拆信封時，必須由信息管理部門經(jīng)理在密碼保存登記表簽字后方可，拆封后，系統(tǒng)責任人要重新修改密碼，密存在信封中。5.4.2 用戶登錄名與密碼的管理用戶名和密碼的組合定義了系統(tǒng)中用戶的身份，用戶和密碼組合由系統(tǒng)管理員進行管理，不設置多人共用的賬號，當一個工作人員離開崗位后，其賬號應被及時刪除。為防止非法用戶使用信息網(wǎng)絡資源，對訪問用戶的合法性進行鑒別，當不成功鑒別嘗試次數(shù)達到門限值時，系統(tǒng)將拒絕該用戶的訪問，加以記錄并自動告警。對用戶訪問控制的規(guī)范應遵循：（1）所有的用戶都要經(jīng)過授權(quán)；（2）用戶有在自己的環(huán)境里設置對象特權(quán)的權(quán)力；（3）禁止用戶刪除在共享目錄下其它用戶的文件；（4）可以通過制定的策略控制用戶對于系統(tǒng)中所有對象的訪問；（5）用戶不能檢查授予其它用戶的訪問控制權(quán)限；（6）要能夠提供強制性的訪問控制5.4.3 不相容崗位分離控制信息系統(tǒng)開發(fā)人員不得操作使用信息系統(tǒng)，系統(tǒng)管理與維護人員不得操作使用信息系統(tǒng)。5.5 系統(tǒng)維護及機房管理（機房管理制度）5.5.1 外來人員對硬件系統(tǒng)維護時，須填寫外來人員進入機房審批表，經(jīng)信息管理部門經(jīng)理簽字批準后方可；當外來人員對軟件系統(tǒng)進行維護時，須填寫應用軟件維護表，經(jīng)系統(tǒng)使用部門（單位）負責人和信息管理部門經(jīng)理簽字批準后方可。5.5.2 機房所有工作人員須經(jīng)信息管理部門經(jīng)理授權(quán)并憑門禁卡進出機房，外來人員進入機房統(tǒng)一由信息管理部專人陪同，陪同人員全面負責外來人員的行為安全，并做好安全防范工作。進出機房工作人員的授權(quán)定期（季度）由信息管理部門經(jīng)理進行復核并做記錄。5.5.3 機房管理人員應熟知機房內(nèi)設備的基本安全操作規(guī)程。不定期對運行設備進行測試和保養(yǎng)，由專人負責機房內(nèi)設備的保養(yǎng)和備品、配件、資料、盤片等的保管，并登記造冊，保證備用設備完好，可供隨時投入使用。機房設備損壞應立即投入備用設備，并匯報領導，及時聯(lián)系修復，做好檢修記錄。機房工作人員應學習常規(guī)的用電安全操作和知識，了解機房內(nèi)部的供電、用電設施的操作規(guī)程。在外部供電系統(tǒng)停電時，機房工作人員應做好停電應急工作。5.5.4 機房工作人員應熟悉機房內(nèi)部消防安全操作和規(guī)則，了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。不定期進行消防演習、消防常識培訓、消防設備使用培訓。如發(fā)現(xiàn)消防安全隱患，應即時采取措施解決，不能解決的應及時向相關負責人員提出解決。5.5.5 防網(wǎng)絡攻擊和防病毒管理由信息管理部統(tǒng)一管理5.5.1 網(wǎng)絡運行維護人員在發(fā)現(xiàn)可疑網(wǎng)絡攻擊和入侵跡象時，必須盡快處理并記錄，在必要時請示主管部門領導，組織技術力量進行處理：（1）分析判斷：對可疑攻擊和入侵行為進行必要的觀察與分析，以判別是否屬于共計或入侵行為。（2）入侵或攻擊的中止：經(jīng)過分析，在必要時，應立即斷開網(wǎng)絡連接，將遭受攻擊的網(wǎng)段隔離出來。采取有效措施，終止對系統(tǒng)的破壞行為。（3）記錄和備份：記錄發(fā)現(xiàn)網(wǎng)絡入侵或攻擊的當前時間，備份系統(tǒng)日志以及其它網(wǎng)絡安全相關的重要文件，保存內(nèi)存中的進程列表和網(wǎng)絡連接狀態(tài)，并且打開進程記錄功能。（4）如果系統(tǒng)受到嚴重破壞，影響網(wǎng)絡業(yè)務功能，立即調(diào)用備件恢復系統(tǒng)。（5）對該入侵或攻擊行為進行大量的日志、分析工作。同時竭盡全力地判斷尋找攻擊源。（7）將入侵的詳細情況逐級向主管領導和有關主管部門匯報并請示處理辦法。5.5.2 各使用人或部門應采用信息管理部批準的查毒、殺毒軟件，包括服務器和客戶端的查毒、殺毒軟件。5.5.3 禁止使用來歷不明、未經(jīng)殺毒的軟件，不閱讀和下載來歷不明的電子郵件或文件，嚴格控制并阻斷計算機病毒的來源。5.6.4 經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。5.6.5 網(wǎng)絡管理員應至少每周一次自動的全系統(tǒng)病毒掃描，每天定時自動檢查更新病毒定義文件，對于發(fā)現(xiàn)的病毒則要有相關信息提示自動的發(fā)送到相關管理人員處。5.6.6 信息管理部門應利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)提供的安全機制，設置參數(shù)，保證系統(tǒng)訪問安全。5.7 信息管理部負責日常網(wǎng)絡與硬件的監(jiān)控。通過監(jiān)控系統(tǒng)對網(wǎng)絡鏈路帶寬做實時監(jiān)控，并在需要時做相應的調(diào)整。對核心服務器和網(wǎng)絡設備做活躍性測試監(jiān)控，主要是針對設備的網(wǎng)絡活動，系統(tǒng)的應用服務做監(jiān)控。外部網(wǎng)絡的訪問必須要通過防火墻，制定相關防火墻安全策略及防火墻配置標準。5.8 系統(tǒng)終結(jié)5.8.1 信息系統(tǒng)因各種原因不再使用時，信息管理部負責做好系統(tǒng)中有價值或涉密信息的銷毀、轉(zhuǎn)移，并按國家有關法律法規(guī)和電子檔案的管理規(guī)定，妥善保管。5.9 信息系統(tǒng)風險評估5.9.1 信息管理部門經(jīng)理應每月組織開展信息系統(tǒng)安全評估工作，及時發(fā)現(xiàn)系統(tǒng)安全問題并加以整改。6 附則信息管理部門負責制定、解釋、修改、廢除本細則，本細則自總經(jīng)理簽發(fā)之日起執(zhí)行。7 支持性文件、記錄和圖表7.1 應急事故處理記錄（略）7.2 運行維護記錄（略）7.3 系統(tǒng)變更表（略）7.4 系統(tǒng)用戶申請表（略）7.5 系統(tǒng)用戶記錄表（略）7.6 數(shù)據(jù)備份記錄表（略）7.7 數(shù)據(jù)恢復性測試記錄表（略）7.8 密碼保存登記表（略）7.9 外來人員進入機房審批表（略）7.10 應用軟件維護表（略）