1、信息系统管理办法第一章:总则第一条 为保证公司信息网络系统的安全,根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司内网络系统建设的实际情况,制定本办法。第二条 本办法所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。第三条 信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操
2、作代码的机密性及安全性。 第四条 本规定适用于公司内所有计算机硬件及周边设备(如打印机、扫瞄仪、MO存储器,软磁碟,CD碟,数码相机、考勤机终端等)及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。第二章 信息系统安全管理 第五条 计算机系统账号与操作员代码 一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; 二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得; 三、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故
3、障恢复等管理及维护; 四、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有主管负责人授权; 五、信息部门任何人员不得使用他人操作代码进行业务操作; 六、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; 七、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 八、操作员不得使用或盗用他人代码进行业务操作。 九、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 第六条 密码与权限管理 一、密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设
4、的密码,操作密码是进入各应用系统的操作员密码。密码设置应具有安全性、保密性,不能使用简单的代码和标记。 二、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,在可能的情况下并相应记记录用户名、修改时间、修改人等内容,及时上报公司信息中心备案。 三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖部门印章并签字标注封存日期后交由信息中心存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即
5、更改并封存,同时在“密码管理登记簿”中登记。 四、系统维护用户的密码应至少由两人共同设置、保管和使用。有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记并备档留存。 第三章 数据安全管理 第七条 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并保证重要系统业务备份要有两份。并明确落实异地备份数据的管理职责; 第八条 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。 第九条 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以
6、保证备份数据安全完整。 第十条 数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,原则上数据恢复由公司信息中心完成。如因其他原因由业务部门进行的,信息中心心须指定相关人员进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。 第十一条 数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。 第十二条 需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和
7、查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。 第十三条 非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。 第十四条 管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。 第十五条 运行维护部门需指定专人负责计算机病毒的
8、防范工作,建立企业内部计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。 第十六条 公司内所有计算机未经信息部允许不准安装与其业务部门无关的软件、不准使用来历不明的载体(包括软盘、光盘、移动硬、MP3盘其他存储介质)。第四章 网络安全及防病毒管理 第十七条 任何人员不得盗用他人账号或操作员代码、公司内部网络安全管理密码进行操作 第十八条 部门所使用计算机不得使用除集团军公司内及时通讯软件外的任何第三方软件。严禁在工作计算机上安装BT、P2P等类型的多线程或占用带宽流量的下载软件,所有下载均采用单线程下载。保证公司的带宽有效利用。 第十九条 计算机内电子邮件收发均通过公司内部邮件
9、系统进行,不得采用其他外部邮件系统,如因需要,可向信息中心申报后给予开通POS服务通道,并做备案。 第二十条 公司各部门计算机均采用域管理方式进行登陆,在工作期间必须登陆公司域服务器,并严格按照域管理下的操作说明进行文档及其他相关文件的传递。 第二十一条 防病毒系统均采用公司统一布署的企业网络防病毒系统,各部门计算机病毒代码均由公司防病毒服务器进行统一下载,不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。 第二十二条 为保证公司Internet的带宽流量,信息主管部门必须对访问Internet权限进行管控,各部门若有访问外部Internet公网其他特别需求的,可提出申请,经
10、部门主管及信息部门审核,报经总经理批准后,使申请人享受访问Internet的特别需求权力。未通过此程序审批而私自设定其他方法访问外部网络,一经发现,将做严责。如因此给公司带来损失的,责成责任人承担相应损失。第五章 机房安全管理 第二十三条 进入信息主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作等内容。 第二十四条 信息管理人员进入机房必须在“机房出入管理登记簿”签字登记,其他人员进入机房必须经信息中心许可,并由有关人员陪同(特殊情况除外)。机房当日值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作
11、。如遇特殊情况必须操作时,经信息部门负责人批准同意后有关人员陪同情况下进行。对操作内容进行记录,由操作人和监督人签字后备案。中心机房实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。每天应实行机房例行检查制度,并就机房设备运行及其他情况做好值日记录。 第二十五条 保持机房整齐清洁,各种中心设备按维护计划定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护、防雷、防尘等项工作,保证主机系统的平稳运行.定期对机房运行的各项环境指标(如温度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房各
12、项设备的正常运行。 第二十六条 机房内严禁吸烟、进食、会客、聊天等与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。 其他部门如因需要携入移动计算机入机房需报经信息部门批准方可携入。 第二十七条 机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。 第二十八条 严禁在未采取安全措施或通电的情况下拆卸,移动机房内等相关设备、部件及网络。在进行机房硬件更换或维修时,必须进行静电释放方可进行。 第二十九条 定期检查机房消防设备器材,做做好检查登记,在机房值日记录上并做书面登记。 第三十条 机房内不准随意丢弃存储介质和有关业务保密数
13、据资料,对废弃存储介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。 第三十一条 服务器等所在的中心机房后备电源(UPS)除了电池自动检测外,每年必须深充放电一次到两次。第六章 IT设备购置、配发、维修及报废管理 第三十二条 IT设备购置 一、所有IT设备均由公司采供部进行采购。设备购置由使用部门提出申请,由信息部门进行核定后上报公司分管领导审批后转公司采供部统一采购。 二、对IT设备的采购验收信息部配合采供部共同完成,验收合格后由信息部进行安装调试后配发申请使用部门。 三、信息部负责对购置的IT设备做专项台账建立,并于年低转交
14、一份至公司财务部备查。 四、大型IT设备采购或特殊IT设备采购,申请部门原则上提前一周向信息部转交购置申请,信息部在接到购置申请后必须进行询价,询价必须至少在三家以上,出具IT设备购置市场调查及建议随附购置申请上报公司领导审批,审批后转公司采供部。 五、IT设备耗材的采购,信息部配合办公室、财务部、企划部制定IT设备耗材定额及费用核算后按核算标准采购。部门IT设备耗材超出核算部分由部门自行承担。 六、对IT设备的采购严格遵守公司的统一采购流程及管理规定,配合采供部完成IT设备的采购及验收工作。 第三十三条 IT设备配发 一、公司IT设备的购置配发及调配由信息部进行统一规划和管理。 二、信息部依
15、据公司年度工作计划,编制公司年度IT设备采购及配发计划。 三、公司各部门因工作需要提出申请配发IT设备的,由使用部门提出申请,具体载名使用岗位、用途后转信息部,由信息部按工作岗位、工作需要、性能要求等分配闲置IT设备或购置。如需购置则转入IT设备采购流程进行购置配发。 四、IT设备的配发及互调必须由信息部备案,信息部及时进行IT设备台账变更登记,注明配发及互调日期等相关事项。 第三十四条 IT设备故障维修 一、信息部负责公司所有IT设备的故障及维修。 二、信息部对公司的IT设备故障做鉴定和维修,并出具鉴定结果,并对鉴定结果负责。 三、在接到部门的使用保障后,一般故障需在15分钟内赶到,影响到部
16、门正常工作业务开展的,5分钟内必须赶到(特殊情况除外),重大故障(数据丢失、工作无法开展的)必须在接到报障后,报请信息部负责人,由信息部提出解决方案,依据方案进行处理,对重大故障信息部必须备案。 四、对于一般故障和影响到部门工作业务开展的,必须在当天工作日内完成处理,超出工作日的原则上不算加班。对于重大故障必须及时维护及维修的,如超出工作时限部分按照实际情况酌情处理。 五、任何报障必须建立报障维修记录,并做保障事故签定。维修人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。 六、IT设备硬件故障经信息部维修人员鉴定在其范围内无法维修的,如在三包范围内的,由信息部联系销售厂家进
17、行维修。超出三包范围的,信息部填报外包维修申请单,由信息部负责人核准上报公司分管领导审批后交由外包维修单位进行维修。 七、IT设备外包维修单位具体事宜由信息部进行洽谈并与其签定外包维修合同。合同交由法务部进行核准方可签定。 八、对于发往外包维修或三包范围内的设备维修信息部必须进行登记造册,注明产品型号、品牌、内部具体配置等信息。在维修返回后依据的出厂维修登记进行验收。 九、对于外包或三包范围内的IT设备维修,为确保报障部门正常工作,信息部在不影响其他部门工作正常开展的情况下有权对IT设备进行暂时调配。 十、企业IT核心设备的硬件物理损坏故障鉴定必须由厂家及公司委托专业IT设备鉴定机构完成,信息
18、部负责全程跟踪,对最终鉴定结果负责。 十一、对于IT硬件设备故障在鉴定后无维修价值的,转入IT设备报废管理流程进行处理。 第三十五条 IT设备报废管理 一、IT设备的报废鉴定统一由信息部完成,特殊IT设备(如服务器,磁带存储设备、核心路由器、核心交换机)的故障鉴定由厂家、公司委托第三方IT设备鉴定机构、信息部共同完成。信息部对IT设备的报废鉴定结果负责。 二、信息部对IT设备报废鉴定报告上报公司分管领导审批后,对报废IT设备统一进行存放管理。 三、对IT设备报废鉴定为人为原因造成的,由责任人承担此IT设备的全额损失,并按照公司相关管理规定进行从严处罚。 四、信息部对管理存放的报废IT设备定期进
19、行清理,并做处理方案报公司分管领导审批后,对报废IT设备进行出售,并由办公室、财务部监督执行。对所出售所得款项当天缴至财务部。建立报废IT设备出售台账,以备查验。 五、公司各部门要在最大程度上提高IT设备的使用年限,厉行节约。信息部要做到IT设备可用零部件的二次利用,为公司开源节流做贡献。第七章 IT项目管理 第三十六条 本管理规定适用于公司内信息化建设过程中的所有IT系统项目招标、采购及实施。 第三十七条 公司信息化建设过程的系统建设要从公司中长期规划出发,结合公司现行实际发展情况,根据必要性、合理性、经济性而实施。保证公司的投资效益。 第三十八条 公司IT系统的建立过程中的市场调研、组织招
20、标、合同签定、项目实施等均由信息部与建设部门共同配合完成,信息部主导上述工作各环节。 第三十九条 公司IT系统项目立项申请原则上由建设部门提出,信息部也可以根据公司发展提出。所有IT系统立项均报公司上会研究决定后方可着手实施。 第四十条 IT系统项目的立项申请必须确定IT系统的总体管理目标。申请必须书面清晰说明需求,信息部在接到项目申请后必须在一周内完成市场调查,并出具相关报告随同项目申请上报公司领导,经公司会议研究决定批准后,信息部按照批准后意见组织项目实施。 第四十一条 IT系统项目的采购合同必须报公司法务部进行核准后方可签定。 第四十二条 IT系统项目一经确定立项实施,必须成立项目小组,
21、确定项目小组负责人及成员,原则上项目小组负责人由公司领导担任,小组成员由公司内各部门负责人组成。信息部在项目实施过程中对项目小组负责。 第四十三条 项目小组成员要根据项目要求,极积主动高质量完成项目实施过程中专项工作。工作实施专管专责,不得中途转手他人(特殊情况除外)。 第四十四条 信息部在项目实施过程中负责协调、组织、沟通和实施过程中的衔接工作。及时解决处理项目实施过程中的技术和其他问题。 第四十五条 信息部全程跟踪、管理项目实施过程中的所有环节,并对项目进度及质量负责。IT系统项目实施过程中的技术文档、项目需求、知识文档等信息部要建立完整的项目文档管理体系。 第四十六条 IT系统项目验收由
22、项目小组评审验收,信息部具体负责项目验收评估及项目验收报告并上报公司审批等工作。 第四十七条 信息部负责IT系统项目验收完成后的具体运行维护工作,并依据运行情况出具相关运行报告。 第四十八条 由于公司发展需要,前期运行的IT系统需做二次开发或升级的,由具体使用部门与信息部配合及沟通提出系统需求,再由信息部整合需求,提供整体解决方案报公司信息化项目领导小组审定后,信息部与软件供应商联系系统二次开发或升级事宜。严禁相关部门私自或提前与软件供应商联系,避免谈判被动,给公司带来不利影响。第八章 计算机使用管理 第四十九条 信息部负责公司内部门的计算机软件、硬件、上网行为及系统运行的统一维护和管理。 第
23、五十条 信息部负责对公司内各部门使用的计算机做日常定期、不定期使用监督检查,对于检查中发现的违规全权处理。对于检查中发现的重大违规应及时上报公司分管领导。 第五十一条 公司内全体员工对违规使用计算的行为有互相监督和举报的权利。 第五十二条 严禁外来人员使用公司电脑。 第五十三条 公司所有计算机实行封签管理。计算机的维修权在信息部,任何人不得擅自更改计算机硬件配置或打开计算机,非信息部人员对计算机故障原因的确定无任何效力。 第五十四条 下班后各部门必须关闭计算机及处围设备,检查电源情况,确保安全方可离开。 第五十五条 在办公期间,长时间不用电脑必须采取人离机锁定,防止公司信息数据及秘密泄露。 第
24、五十六条 计算机使用人员不得擅自更改系统软件设置,安装与工作无关的即时通讯、炒股、游戏、BT下载、P2P、在线流媒体音视频播放等第三方软件。 第五十七条 公司接入互联网的网络参数及设备参数严格实行保密,信息部对此项保密负责。 第五十八条 特殊岗位使用计算机和系统操作人员必须与公司统一签定公司信息网络安全保密协议。 第五十九条 任何人不得利用公司计算机和网络从事违法犯罪活动,一经查处落实,将从严处罚。 第六十条 工作时间内严禁使用计算机或互联网做与工作无关的事。 第六十一条 工作时间除工作需要打开的互联网指定访问外(包含下载),其他网络访问及网络应用信息部一律采用技术手段处理,确保各部门工作正常
25、开展不受影响。 第六十二条 公司内部网络带宽依据各部门实际工作需要,做带宽规划并进行带宽分配,确保各部门工作不受第三方影响。 第六十三条 公司内除特别需要的,各部门使用的计算机一律通过公司域服务器登陆。并对各部门的USB接口,CD(DVD)光驱进行技术关闭。确保计算机内部数据及网络信息系统安全。 第六十四条 公司内各部门的文件传输均采用公司内部邮件系统或公司内部即时通讯软件完成。 第六十五条 信息部有权利用网络监控技术手段对公司内各岗位所使用的工作计算机进行数据、上网行为、系统等操作行为进行工作期间的监控。并对违规操作每月定期进行通报。第九章 罚则 第六十六条 根据操作违规所给公司及信息系统的
26、运行带来的损失及影响将违规操作分为A、B、C三类。一、A类违规及范围界定:1.在未经公司授权或非公司信息中心人员进行维护的前提下非岗位操作人员对其所使用的系统进行操作或查阅,查实盗取或违规修改应用系统业务数据的,给公司造成重大损失的。 2.在未经允许的情况下安装与信息系统或工作无关的软件、使用外带的各类移动存储设备(如:软盘、光盘、U盘等),给公司信息系统带来直接危害的。 3.工作期间通过信息网络系统登陆非公司业务的任何互连网网站及其它各类与工作无关的网站网页,导致公司内部信息网络感染病毒的并严重影响工作开展的。 4.将公司网络参数及网络设备参数外泄造成公司网络信息系统安全隐患的。 5.未经允
27、许以任何理由复制、携带、帮助查阅、口头泄露等任何方式将公司各类信息数据带出办公岗位或告知他人的。 6.在公司关键及特殊岗位使用的计算机上安装各类游软件的。 7.恶意更改公司网络信息系统的所涉及的各类参数及数据的。 8.通过公司网络信息系统窃取其它部门或个人的文档资料或文件,造成恶劣影响并给公司、部门、个人带来损失的。 9.向外界以书面或口头形式透露公司信息网络安全防御工具及措施的。 10.未经授权盗用他人帐号及密码操作非本岗位所使用的信息系统模快功能的。 11.IT设备未经报批擅自做报废和处理的。 12.蓄意破坏公司IT设备、网络线路造成严重损失和恶劣影响的。 13.对采购的IT设备未按验收流
28、程严格验收,致使验收的IT设备无法正常运行的。 14.对IT系统项目立项招标过程中不按公司项目招标管理规定,违规操作的。 15.信息部人员未按报障时间规定及进响应处理报障,给部门工作造成重大后果的。 16.不按规定下班对IT设备进行电源关闭安全隐患检查,造成重大损失的。 17.采用技术或非技术手段蓄意破坏公司信息系统硬件或软件,造成重大后果的。 凡违反A类界定违规项的处以200-1000元/次/项罚款。并因此给公司、部门及个人造成的一切损失由违规人全部承担。情节严重的上报公司将移交司法机关处理,并保留起诉权。二、B类违规及范围界定: 1.各类业务单据、数据及相关业务处理因个人原因处理错误,已给
29、公司造成一定的损失及不良的影响的。 2.未按公司各相关信息系统业务操作流程规定进行相应的业务管理及操作,可能会给公司带来损失的。包括:各类数据不及时跟踪检测造成偏差而查不出原因的、未经审批进行库存损溢数据处理的、无采购订单系统入库的、不按采购物资订单进行相应库存数据录入的、各种信息资料处理不及时等所有的违反公司制定的信息系统操作流程的现象。 3.所有的过失错误造成公司信息系统数据不准确及偏差给公司造成损失的。包括:仓库盘点数据录入错误、对信息系统出现的问题及故障人为性不及时处理造成部门工作延误或影响的、对部门内发现的问题不及时上报隐瞒问题真象的等所有因个人工作过失造成影响到公司信息管理的一切违
30、规行为。 4.违反IT管理规定登陆互联网造公司计算机感染病毒或采用非正规手段传播、制造病毒,给公司信息系统安全带来隐患的。 5将IT设备配件擅自拆除挪作他用或盗取的。 凡违反B类限定违规项的处以20-100元/次/项罚款。并因此给企业或个人造成的一切损失由违规人全部承担。情节严重的公司将根据实际情况予以加重处理或解聘。三、C类违规范围界定:1.因个人工作延误或失职造成工作的滞后但未给公司造成直接经济损失的。包括:数据录入信息系统不及时、不涉及公司核算项的内容录入错误、单据录入或未做系统提交生效的、各类单据及业务处理错误但能及时发现并予以改正的。2.因个人的工作违规未给公司造成直接损失且影响其它
31、部门业务正常开展的。包括:相关核算单据不及时传递、各种业务通知不及时传达到对应的部门的、对于信息系统出现的问题不及时沟通造成工作混乱的等所有违规行为。 3.工作期间利用计算机做与工作无关的事,违规下载各类文件的。4.不按规定下班对IT设备进行电源关闭安全隐患检查,造成损失的.5.擅自打开或更换公司IT设备内部配置或安装与工作无关软件的。 6.不按规定工作期间计算机未登陆域服务器,造成公司IT管理失控的. 凡违反C限定违规项的处以20元/次/项罚款。并对违规行为做公司内警告处分。 第六十七条 信息部人员违反本管理规定加重责罚。第十章 附则 第六十八条 此管理规定由信息部负责起草并解释。 第六十九条 此管理规定报公司批准下发后即时生效。