1、系统运营和维护管理制度文档信息序号版本编号简要阐明(变更内容、变更位置、变更因素和变更范畴)变更日期变更人审核人批准人批准日期11.0创立.09.30王磊2第一章 总则第一条. 为规范信息系统运营维护管理工作,保证信息系统安全可靠运营,切实提高生产效率和服务质量,使信息系统更好地服务于生产运营和管理,特制定本管理办法。第二条. 本管理办法合用于及其分支机构信息系统,各分支机构和各部室可依照本办法制定相应实行细则。第三条. 信息系统维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基本软件维护、应用软件维护五某些:、 计算机硬件平台指计算机主机硬件及存储设备;、 配套网
2、络指保证信息系统互相通信和正常运营网络组织,涉及联网所需互换机、路由器、防火墙等网络设备和局域网内连接网络设备网线、传播、光纤线路等。、 基本软件指运营于计算机主机之上操作系统、数据库软件、中间件等公共软件;、 应用软件指运营于计算机系统之上,直接提供服务或业务专用软件;、 机房环境指保证计算机系统正常稳定运营基本设施,包括机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。第四条. 运营维护管理基本任务:、 进行信息系统寻常运营和维护管理,实时监控系统运营状态,保证系统网络正常运营。 、 迅速而精确地定位和排除各类故障,保证信息系统正常运营,保证所承载各类
3、应用和业务正常;、 进行系统安全管理,保证信息系统运营安全和信息完整、精确;、 在保证系统运营质量状况下,提高维护效率,减少维护成本。第五条. 本办法解释和修改权属于IT部门所有。第二章 运营维护组织架构第一节 运营维护组织第六条. 信息系统运营维护管理遵循在统一领导下,分级管理和维护模式。作为信息系统及网络维护管理部门,牵头组织分支机构实行信息系统维护管理工作。原则上信息系统维护工作应逐渐集中。第七条. 信息系统维护管理分两个层面:管理层面和生产操作层面。、 在管理层面,为信息系统及网络维护管理部门,负责全公司范畴内信息系统维护管理和考核。、 在生产操作层面,信息系统及网络维护部门是公司设立
4、实体或虚拟维护部门(或维护人员)。信息系统及网络维护部门直接对信息系统及网络维护管理部门负责,并接受信息系统及网络维护管理部门业务指引和归口管理。第二节 职责分工第八条. 信息系统及网络维护管理部门职责1. 贯彻国家、行业及监管部门关于公司信息系统技术、设备及质量管理等方面方针、政策和规定,组织制定信息系统维护规程、维护管理办法和维护责任制度;2. 负责全公司范畴内信息系统运营维护管理、监督检查和质量考核评估工作,掌握运营质量状况,制定质量指标,并对信息系统各级维护部门进行定期检查考核;3. 负责管理、考核信息系统维保服务商(如下简称维保商),制定对维保商管理办法和考核指标,收集整顿信息系统及
5、网络维护部门反馈意见,督促有关维保商提高服务质量;4. 信息系统发生较大(三级)或以上故障时,负责必要资源协调和解决工作,并在事后组织分析总结,制定防范办法并推广;5. 组织各级维护部门、专业技术专家、维保商对信息系统进行定期巡检,巡检涉及对信息系统及设备性能测试、维护人员寻常维护作业筹划执行状况检查、机房环境检查等;6. 负责归口管理全公司范畴内信息系统优化、升级需求,组织编写有关方案并进行评审,方案获得批准后,及时告知有关业务管理部门、使用部门、技术部门组织实行;7. 负责组织信息系统及网络维护技术培训、技术交流、联席会议,组织维护人员参加各种信息技术认证培训和考试,提高维护人员管理和技术
6、水平;8. 负责组织贯彻各项技术安全办法,保证信息系统安全稳定运营;9. 负责对全公司范畴内信息系统故障管理、问题管理、变更管理、版本管理、配备管理等流程规范性和有关制度贯彻状况进行监督管理;10. 负责全公司范畴内信息系统规划、设计和验收工作。第九条. 信息系统及网络维护部门职责1. 负责全公司范畴内信息系记录算机硬件平台、基本软件、应用软件、配套网络和监控和寻常维护工作,制定寻常维护作业筹划并认真执行,保证信息系统正常运营;2. 对于系统所有维护(涉及寻常作业筹划、故障解决、系统改进、数据变更、数据备份与恢复、功能完善增长)都必要填写维护记录,每月向信息系统及网络维护管理部门上报所辖范畴内
7、信息系统运营状况和所有维护记录;3. 负责所辖范畴内信息系统数据备份与恢复,负责贯彻系统安全运营办法;4. 负责所辖范畴内信息系统档案资料维护,及时更新关于资料;5. 严格按照信息系统故障管理、问题管理、变更管理、版本管理和配备管理等有关制度、流程和规程。6. 负责收集各级维护部门、厂商故障分析报告、IT报告(日、月、季)、巡检报告、年度报告。认真审核报告内容,发现问题及时报告上级主管部门,并协助整治。7. 按季度收集各信息系统使用单位对所有维护厂家评分,进行季度考核。年终向各信息系统使用单位发放调查问卷,书面调查、征求各信息系统使用单位对各厂家维护服务等方面评价意见,综合各方意见和季度考核,
8、进行年度考核。8. 每年至少组织一次全公司范畴内信息系统IT管理巡回检查,全面检查各维护作业筹划管理、技术档案和资料管理、备份及日记管理、机房管理、安全保密管理等制度贯彻状况。该检查可以和设备技术巡检同步进行。9. 组织召开故障分析会、维护例会,解决信息系统运营维护有关问题并负责持续跟踪。第十条. 分支机构信息系统及网络维护部门或维护人员职责1. 认真贯彻执行各项规章制度,贯彻维护规程和系统安全运营办法,负责制定所辖范畴内信息系统及网络维护管理实行细则;2. 负责收集整顿所辖范畴内信息系统运营质量状况,每月向信息系统及网络维护管理部门上报信息系统运营状况和所有维护记录;3. 配合信息系统及网络
9、维护管理部门参加所辖范畴内信息系统运营质量分析,协助信息系统及网络维护管理部门及时找出系统运营质量或效率下降因素,提出改进建议,参加编写升级、扩容、实行、测试方案,并配合详细实行;4. 及时查阅上级维护管理部门下发文献,准时完毕上级维护管理部门交办任务,并向上级维护管理部门反馈执行成果;5. 协助信息系统及网络维护管理部门进行所辖范畴内信息系统维保商管理和考核;6. 负责所辖范畴内信息系统故障申告和服务祈求。信息系统发生较大(III级)或以上故障时,按照重大突发事件报告途径上报上级主管部门;7. 负责组织和编制系统优化、升级需求,上报信息系统及网络维护管理部门审核;获得批准后,参加实行;8.
10、组织对所辖范畴内信息系统进行定期巡检,贯彻配合人员,对巡检成果进行盖章确认,对发现问题进行整治。9. 负责所辖范畴内信息系记录算机硬件平台、基本软件、应用软件、配套网络和监控和寻常维护工作,制定寻常维护作业筹划并认真执行,保证信息系统正常运营;10. 对于系统所有维护(涉及故障解决、系统改进和功能完善增长)都必要填写维护记录,每月向信息系统及网络维护管理部门上报所辖范畴内信息系统运营状况和所有维护记录;11. 负责所辖范畴内信息系统数据备份与恢复,负责贯彻系统安全运营办法;12. 负责所辖范畴内信息系统档案资料维护,及时更新关于资料;13. 协助信息系统及网络维护管理部门对所辖范畴内信息系统顾
11、客账号管理和数据安全管理,按照信息安全管理有关规定定期进行信息安全自我审核,每月向信息系统及网络维护管理部门上报所辖范畴内信息系统信息安全状况。第三节 维护界面划分第十一条. 信息系统设备现场、物理环境维护工作由公司IT部门或维护人员负责。第十二条. 信息系统市电电源由公司IT部门负责维护。第十三条. 信息系统IT部门负责全公司生产环境在线系统监控和维护工作(涉及寻常作业筹划、故障解决、系统改进、数据变更、数据备份与恢复),维护和更新相应操作规范和技术文档。第三章 运营维护工作基本制度第一节故障管理第十四条. 依照故障影响范畴及持续时间等因素,将故障分为特别重大故障(三级)、较大故障(二级)、
12、普通故障(一级)三个级别。详细分级原则参见信息系统故障管理办法。第十五条. 系统浮现故障,信息系统所在IT部门或维护人员一方面进行解决,同步判断系统类型和故障级别,依照系统类型和故障级别,故障解决应在规定期限内完毕,填写故障解决报告并同步向上级部门报告。故障解决时限规定参见故障应急预案及紧急解决流程。第十六条. 故障升级规定、信息系统所在IT部门解决不成功或无法自行解决,则向上级部门申告故障,依照系统类型和故障级别,故障申告应在规定期限内完毕,故障申告时限规定参见故障应急预案及紧急解决流程。、信息系统故障受理各部门关于信息系统故障申告,紧急状况下,可以运用电话申告和受理,但事后必要补填故障受理
13、单。第十七条. 信息系统IT部门对口故障解决人员接受故障派单后,应及时以电话、远程登陆等方式进行远程技术支持,必要时进行现场技术支持。对无法解决故障,应及时向软硬件最后提供商、代理商或维保服务商(如下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪解决,与厂商一起到现场进行解决。现场技术支持响应须在规定期限内完毕,现场技术支持响应时限规定参见故障应急预案及紧急解决流程。第十八条. 厂商技术人员现场解决故障时,本地维护人员应全程陪伴并积极协助,并在故障解决后进行书面确认。第十九条. 故障解决后,技术支持人员应及时向上级及有关部门报告并提交故障解决报告,上级及有关部门对故障解决回单
14、进行确认、评估,并告知申告部门进行业务验证。第二十条. 参加故障解决各方必要如实、及时填写故障解决单(表单格式参见IT故障报告),现场技术支持还须IT人员予以签字确认或IT部门盖章。第二十一条. 要建立重要紧急信息上报渠道,对于发生重要紧急状况,应当及时逐级向上级主管部门报送,对业务影响较大还应及时告知业务部门。、各级IT人员应拥有上级主管部门和有关业务部门联系方式,涉及电话、手机、传真等。、故障报告规定:发生故障时,必要及时上报信息系统IT部门,如果是特别重大故障,应及时上报主管领导。所有较大(三级)或以上故障应在月度IT报告中进行记录,并在规定期限内向风险管理部门和内审部门提交故障分析报告
15、(详细规定参见故障应急预案及紧急解决流程)。第二十二条. 对于系统隐患或暂时不能彻底解决故障应纳入问题管理,每月应对存在问题进行跟踪分析。第二节问题管理第二十三条. 在信息系统运营维护中或在故障解决中发现系统隐患或暂时不能解决故障均列入问题库进行持续跟踪管理。第二十四条. 问题可由任何人在IT例会、故障分析会、维护分析报告、巡检报告、IT管理平台上以各种形式提出,问题库归口管理部门为信息系统IT部门。第二十五条. 问题一经提出,由归口管理部门组织讨论,明确问题负责人、配合人员,制定解决方案、工作筹划和时限规定。第二十六条. 问题负责人依照解决方案、工作筹划组织开展工作,并按照工作筹划进度规定向
16、信息系统及网络维护管理部门定期报告工作进度。第二十七条. 问题解决过程中凡涉及投产和变更,应遵守南京泛成生物化工有限公司和公司有关规定和流程。第二十八条. 问题负责人以为问题已经解决,应由提出人测实验证后,从问题库中删除,问题解决中产生所有文档由生产配备管理员归档到IT管理平台知识库中统一管理。第三节变更管理第二十九条. 信息系统变更涉及硬件扩容、冗余改造、软件升级、搬迁、数据移植、数据维护等工作以及电子表格模板、文档模板、安全方略、配备参数、系统构造、布置变化等。第三十条. 各级维护部门应保证在线系统软件版本及硬件设备稳定,未通过上级维护管理部门书面批准,不得自行对在线系统软件版本(简称在线
17、版本)及硬件设备进行任何变更及调节。第三十一条. 变更涉及紧急变更和普通变更。紧急变更指由于业务开放或故障解决等迫切需求而引起,目是保持或者恢复业务又无法书面申请、审批过程变更。普通变更指非紧急变更,本管理办法中变更,如果没有特殊阐明,都指普通变更。第三十二条. 对于普通变更,由设备或系统所关联部门至少提前五个工作日书面提出变更申请,对于系统变更根据、实行方案、风险控制和评估、测试方案以及回退方案进行详细列述,经上级部门及IT部门书面批准后组织实行。第三十三条. 对于系统软件升版、增长补丁等变更,必要遵循系统及应用配备变更流程有关条例组织实行。第三十四条. 原则上,变更必要在夜间非重要业务时间
18、进行,IT部门应依照变更状况,按预先方案进行测实验证,验证通过后,以书面形式向上级管理部门报告成果,并完毕对有关文档资料(如应急预案)更新。第三十五条. 对于紧急变更需求,容许口头申请、审批后组织详细实行。事后,对变更安全性及功能性进行测实验证,将测实验证成果以及紧急变更事由、详细实行方案、实行过程等以书面形式报上级管理部门书面确认,并完毕有关文档资料更新工作。第二节维护作业筹划管理第三十六条. IT部门应依照系统不同特点及维护质量规定,制定不同周期作业筹划,并报上级管理部门审批。第三十七条. 作业审批后不得任意更改,IT部门应认真执行作业筹划,并填写作业筹划表。如因特殊状况不能达到预期质量和
19、进度,应限期补齐,认真分析作业成果,发现问题及时解决解决,并做详细记录,按月度、季度和年度定期汇总分析。第三十八条. IT部门除制定维护作业筹划外,还应针对系统自动作业内容制定自动作业筹划,报上级管理部门审批后组织实行。依照自动作业执行周期,对自动作业执行日记进行审查,发现问题及时解决,并做详细记录,按月度、季度和年度定期汇总分析。第三十九条. 作业筹划内容至少涉及:、厂商维护手册建议预定义解决作业;、系统告警和资源占用状态观测;、防止性维护工作,涉及各类参数、数据备份、存储和管理;、性能指标观测和记录;、顾客口令和权限审核;、日记审核。第四十条. 数据备份、存储和管理应依照有关业务特性和需要
20、制定作业实行环节。第四十一条. 信息系统IT部门每月对作业筹划执行状况进行审核,分支机构由信息系统IT部门每年进行检查,并纳入考核。第四节巡检管理第四十二条. 信息系统IT部门负责组织全公司范畴信息系统有关机房环境、计算机硬件、配套网络、基本软件和应用软件巡检,下发巡检告知,协调各分支机构、厂家关系,管控巡检进度和质量。第四十三条. 信息系统IT部门负责我司范畴内信息系统有关设备巡检详细实行:、制定技术巡检筹划,列出巡检重点、内容、规定,形成巡检检查表格;、收集设备运营故障和隐患。依照年度巡检重点、内容,调查设备近期运营状况,记录出各类型设备在运营过程中曾浮现故障。对反馈问题进行分析、评估,做
21、好相应技术准备;对某些需要厂家解决问题列出清单,及时与厂家沟通,制定解决方案,以供巡检过程中实行、解决。、拟定巡检线路、时间,安排专业技术人员参加现场巡检,规定:(1)到每个单位时,由各单位科技联系人进行配合;(2)到每个单位后,应先向其部门负责人报告巡检工作安排,与其科技联系人交流、沟通,掌握当前各设备运营状况,理解系统存在问题;(3)检查各有关设备运营维护状况,解决设备运营问题,如实填写巡检表,列出发现并已解决问题以及未解决问题。对已解决问题详细阐明解决办法,对未解决问题提交后续跟踪、解决限时解决方案或建议;、巡检返回后十个工作日内,在公司巡检表基本上整顿一份巡检总结报告,提交上级管理部门
22、。、组织有关技术人员对专业巡检状况进行分析,列出巡检过程中解决、解决故障详细表以及未解决故障详细表,进一步督促厂家限时解决遗留故障和问题。第四节技术档案和资料管理第四十四条. 信息系统IT部门负责技术档案和资料管理,应建立健全必要技术资料和原始记录,涉及但不限于:、系统构造图及有关技术资料;、机房平面图、设备布置图、电源电缆、信号线、地线图;、网络连接图和有关配备资料;、各类软硬件设备配备清单;、设备或系统使用手册、维护手册等资料;、工程资料,涉及安装、工程设计、测试及开通、试运营、竣工等全套技术资料;、上述资料变更记录。第四十五条. 软件资料管理应包括如下内容:、所有软件介质、允许证、版本资
23、料及补丁资料;、所有软件安装手册、操作使用手册、应用开发手册等技术资料;、上述资料变更记录。第四十六条. 配备数据管理规定:、配备数据管理应包括各种静态数据资料(如系统各种参数设立等)及变更记录;、维护人员必要维护最新当前系统配备数据。第四十七条. 信息系统IT部门负责运营记录管理:、维护作业筹划和合用各种规章制度;、系统运营记录和巡检记录;、故障及解决、设备检修、返修记录;、系统备份磁带、磁盘、光盘更换及有关信息汇总记录;5、软、硬件设备变更和系统参数变更。第七节备份及日记管理第四十八条. 对各项操作均应进行日记记录,内容应涉及操作人、操作时间和操作内容等详细信息。IT部门维护人员应每日对操
24、作日记、安全日记进行审查,对异常事件及时跟进解决,并每周形成日记审查汇总意见报上级主管部门审核。安全日记应涉及但不局限于如下内容:、对于应用系统,涉及系统管理员所有系统操作记录、所有登录访问记录、对敏感数据或核心数据有重大影响系统操作记录以及其她重要系统操作记录日记;、对于操作系统,涉及系统管理员所有操作记录、所有登录日记;、对于数据库系统,涉及数据库登录、库表构造变更记录。第四十九条. IT部门应针对所维护系统,根据数据变动频繁限度以及业务数据重要性制定备份筹划,通过上级主管部门批准后组织实行。第五十条. 备份数据应涉及系统软件和数据、业务数据、操作日记。第五十一条. IT部门应按照备份筹划
25、,对所维护系统进行定期备份,原则上对于在线系统应实行每天一次增量备份、每月一次数据库级备份以及每季度一次系统级备份。对于需实行变更系统,在变更实行先后均应进行数据备份,必要时进行系统级备份。第五十二条. 各级IT部门应定期对备份日记进行检查,发现问题及时整治补救。第五十三条. 备份介质应由专人管理,与生产系统异地存储,并保证一定环境条件。除介质保管人员外,其她人员未经授权,不得进入介质存储地点。介质保管应建立档案,对于介质出入库进行详细记录。对于承载备份数据备份介质,应保证在其安全有效期限内使用。对于需长期保存数据,应考虑通过光盘等方式进行保存。对于有安全有效期限限制存储介质,应在安全有效期限
26、内更换,保证数据存储安全。第五十四条. IT部门应按照IT工作有关规定,依照业务数据性质,拟定备份数据保存期限,应依照备份介质使用寿命至少每年进行一次恢复性测试,并记录测试成果。第八节机房管理第五十五条. 原则上,数据中心机房环境应达到国标 GB50174-描述A类机房原则,机房环境应达到B类机房原则,/网点机房环境应达到C类机房原则。详细规定如下:1. 安装服务器等重要设备主机房必要安装烟雾、火警、浸水和温湿度等环境监控设备,必要与寻常办公区隔离并安装乙级(含)以上防盗门或电子门禁系统;2. 机房应备有工作服、工作鞋或鞋套,保持室内清洁,无积尘,门窗密封;3. 室内温、湿度应符合相应级别机房
27、环境条件规定;4. 具备有效防火、防水、防雷、防静电、防有害生物、应急照明等办法和设备;5. 724小时不间断运营重要设备必要有UPS供电,且必要占用单独电源插座,不得多台设备共用电源插板;主备用机器电源、同一台设备主用和冗余电源必要分离;6. 电缆、电线、信号线布放状况应顺直不凌乱,避免交叉混放,电源配线架应线路清晰、设立安全,具备安全保护办法。网络配线架应整洁有序,相应清晰,设备连接线缆应顺直不凌乱。7. 原则上,省级机房面积不得不大于400平方米,地市级面积不得不大于100平方米,单位地面承重不得不大于1200公斤/平方米,机房面积不得不大于15平方米,单位地面承重不得不大于1000公斤
28、/平方米。8. 机房电源输入应有大功率应急发电设备以保证紧急状况下电力供应。9. 机房均应安装独立空调来保证机房温度、湿度符合相应级别机房环境条件规定。原则上,面积在100平方米以上机房需安装精密空调;面积在100平方米以内机房可采用普通空调。10. 机房内均应有经消防认证消防设施,机房消防不得采用水喷淋装置。面积在100平方米以上机房采用集中控制气体灭火系统;面积在100平方米以内机房应配备气体灭火装置。11. 面积不不大于100平方米机房原则上必要设计两个安全出口,且应分散布置。第五十六条. 设备机房应设立门禁、监控设施,防止未授权人员进入机房。安排专人负责机房安全管理,主管部门定期审核进
29、出机房权限,授权人员增长、减少和变更须每次保存审批记录,无关人员未经管理维护人员批准禁止进入机房。建立机房出入登记制度,非机房管理人员进出机房由管理人员陪伴,做好访问时间、目、人数等详细记录;第五十七条. 机房内禁止吸烟、饮食、睡觉、闲谈等,禁止携带易燃易爆、腐蚀性等污染物和强磁物品及其他与机房工作无关物品进入机房;第五十八条. 管理人员统一管理计算机及其有关设备,完整保存计算机及其有关设备驱动程序、保修卡及重要随机文献。第五十九条. 当机房交流供电系统停止工作时,管理人员应及时向有关主管部门报告并采用可靠办法尽快恢复;无法及时恢复状况下,维护人员在计算UPS蓄电池工作电压降至最低前,应通过正
30、常操作及时关机。第六十条. 雷雨季节应加强对机房内部安全设备、地线、信号线及防护电路检修。第六十一条. 非电气人员不准安装电气设备和线路。测试电气设备电源与否正常应使用相应测量工具,维护人员插拔设备模块时应戴防静电手镯,禁止用手触及电气设备带电某些和使用短路办法进行实验。第九节安全保密管理第六十二条. 信息安全应满足国家、行业、各级监管部门和关于信息安全保密各项规定及规定。第六十三条. 系统IT部门负责本系统信息安全管理,依照系统特点,制定各应用系统信息安全管理细则,在上级管理部门指引下,详细开展应用系统信息安全管理工作。第六十四条. 若发生系统信息泄密事件,各应用系统及网络维护部门应及时向董
31、事会信息安全委员会进行报告,并按照关于信息安全有关管理制度规定开展补救工作。第六十五条. 安全保密制度1. 联网设备必要采用必要安全办法,以保障网络设备安全及所承载业务信息安全。在计算机上应安装防病毒软件,每天更新病毒库;2. 未经变更流程,禁止将业务系统与公众互联网进行连接;禁止未通过鉴权认证拨号等形式接入信息系统;3. 在办公网络、生产网络与互联网或其她外部网络网络连接处必要安装防火墙,并指定防火墙管理员,只有指定系统(网络)管理员才干拥有防火墙管理帐号,未经批准,不得进行防火墙方略更改;4. 禁止在生产系统中安装未经授权软件;不得在生产系统上运营与工作无关程序;未经批准,不得运用生产系统
32、进行培训实习;5. 未经批准不得擅自抄录、复制配备资料、技术档案,内部资料不得泄露;6. 设备管理和维护人员都应熟悉并严格遵守和执行信息安全保密有关规定。第六十六条. 信息系统密码管理规定1. 对于使用密钥棒或动态密码卡系统,顾客应注意保管并注意PIN码保密;2. 对于操作系统、数据库、业务系统,系统(网络)管理员密码使用习惯应严格遵循如下规定:系统(网络)管理员每90天至少更换一次密码,密码长度不不大于8位、且同步包括数字和字母等字符,不得使用近来一次使用过密码等;3. 各类顾客在第一次登录时应进行顾客密码修改,后来每90天至少修改一次顾客密码,且不得使用近来使用过密码,密码长度不得少于6位
33、;4. 重要系统和敏感数据应存储于单机环境,由使用人员设定密码保护,防止非授权人员进行访问,密码位数必要在6位以上;如果存储在文档服务器上,需由信息系统IT部门建立文档服务器访问控制办法,并指定系统管理员;5. 禁止在各类系统中“将顾客帐号和密码编写在程序中”作法;系统中帐号密码不得以明文方式存储;若存在以上系统隐患必要及时整治。第六十七条. 信息系统帐号管理规定1. 系统管理员帐号、系统及网络维护帐号应保证一人一帐号,对于重要操作,可以由系统日记追溯到执行操作帐号、直至有关操作人员。应严格控制系统超级顾客帐号使用范畴,能使用低档别帐号进行操作禁止采用超级顾客帐号实行。2. 各级应用、维护部门
34、应合理划分顾客组,并依照顾客所承担职责合理划分顾客权限。终端应用人员原则上规定每个员工一种帐号。3. 对于顾客增长、删除,顾客权限变更均需预先提出变更申请,在得到上级及IT部门书面批准后由系统管理员负责实行。各应用、维护部门应定期组织对顾客权限及分派状况进行审核,发现问题及时整治,并记录在案。员工离职或调离工作岗位后,应按照状况,及时对帐号和权限进行调节。4. 未经审批,维护人员不得登录数据库对业务数据进行直接操作。5. 对于由于操作系统、数据库平台等限制而使用共享帐号,当使用此共享帐号任一人员发生变更,必要修改密码,并保存密码变更记录。供应商远程维护人员和系统开发人员不得拥有在线系统帐号。若
35、因软件移植或系统及网络维护需要,应事先经IT部门主管领导书面确认(紧急状态下应实现口头申请、事后补文字确认阐明),方可暂时授予开发人员操作帐号,并在维护人员全程陪伴下进行有关操作,操作完毕后,陪伴人员负责完毕对暂时帐号删除或禁止。供应商远程维护人员和系统开发人员对系统所有操作均应通过日记记录,并予以备份保存。安全管理员应定期就“远程接入问题”进行重点审核。附加文献:1信息安全事件分类2故障应急预案及紧急解决流程3IT故障报告4系统及应用配备变更流程登记表5IT操作筹划书6每日设备巡检登记表7IDC机房出入管理登记表8机房巡检登记表9备份检查登记表10问题库系统(注:后期可通过OA系统搭建)11知识管理系统(注:后期可通过OA系统搭建)
浙ICP备2021020529号-1 | 浙B2-20240490 
