金融控股集团有限公司信息系统管理制度模版.docx

1、金融控股集团有限公司信息系统管理制度第一章 总 则第一条 为规范金融控股集团有限公司（以下简称集团公司）信息系统管理流程，加强对信息系统的管理，根据国家和各级政府相关法律法规以及企业内部控制应用指引信息系统控制，制定本制度。第二条 本制度适用于与信息系统管理相关的审批、信息系统规划、信息系统建设、信息系统运行与维护、以及信息系统安全管理等相关流程。第三条 行政办公室主要职责为：（一）负责信息系统建设规划与年度计划编制与实施评估；（二）组织信息系统项目建设的项目申请、评估以及项目实施和上线；（三）负责信息系统变更的测试与实施；（四）负责信息系统的维修以及维修记录的保存管理；（五）负责信息系统数据

2、备份管理以及业务持续性管理；（六）负责信息系统的安全管理，包括数据中心、信息设备、网络安全、信息保密以及病毒防范的管理；（七）负责信息系统账号管理，包括账号的建立/修改/删除、账号的密码保护等。第四条 信息系统各使用部门主要职责为：（一）参与信息系统建设规划的编制；（二）参与信息信息系统项目建设的项目申请、评估以及项目实施和上线；（三）参与信息系统的日常数据备份管理；（四）按照安全管理制度执行日常安全管理办法；（五）负责岗位-权限表的编制。第二章 信息系统规划管理第一节 信息系统建设规划第五条 行政办公室通过书面报告以及口头沟通收集汇总集团公司各业务部门的信息系统使用与发展需求，同时结合集团公

3、司战略发展要求编制信息系统建设规划，信息系统规划内容应包括但不限于信息化建设方向、信息化管控模式发展等。信息系统建设规划经行政办公室负责人、分管领导审核，集团公司总经理审批。第六条 行政办公室信息系统管理员（以下简称系统管理员）每年末根据集团公司的信息系统建设规划、信息系统建设规划实施进度、本年度信息系统建设工作执行情况以及各业务部门的需求反馈制定下一年的信息系统建设年度工作计划，计划应包括信息设备需求计划、应用软件需求计划、维修维护计划以及应用系统开发实施计划，编制与计划相对应的信息系统建设年度预算，计划经行政办公室负责人、分管领导审核，集团公司总经理审批。第七条 系统管理员每季度对工作计划

4、实施情况进行评估，评估内容包括工作实施进度、工作完成质量以及业务部门反馈，形成书面季度报告提交至行政办公室负责人审核。每年末应编制年度评估报告，提交至行政办公室负责人、分管领导审核。 第二节 信息系统建设决策第八条 信息系统建设项目由业务主管部门以及行政办公室根据业务发展情况提出系统建设需求，由业务主管部门操作人员和行政办公室系统管理员以及相关人员成立项目工作小组进行信息系统建设需求调研后以书面报告形式提交项目申请，经业务主管部门及行政办公室负责人、行政办公室分管领导审核，集团公司总经理审批。第九条 项目申请经审批通过后由行政办公室根据采购管理流程委托具有相应资质的评估中介机构进行可行性分析，

5、具体参见金融控股集团有限公司经济鉴证事项委托管理办法或金融控股集团有限公司招投标管理办法。可行性分析内容应包括环境可行性分析、时间可行性分析、经济可行性分析以及技术可行性分析。第十条 项目工作小组根据调研结果与可行性分析报告编制项目建议书，项目建议书内容应包项目概况、建设必要性、总体建设方案、项目组织机构、项目预算、项目效益、项目风险与风险管理。项目建议书经业务主管部门及行政办公室负责人、行政办公室分管领导审核，集体公司总经理审批。第三节 信息系统建设实施第十一条 项目建议书审批通过后，由项目工作小组，制定项目具体实施方案以及对信息系统建设项目实施期间的具体事项进行管理。第十二条 项目工作小组

6、根据项目前期需求调研、项目可行性分析报告、项目建议书并在需要时请外部专家评审，确定项目建设方案。项目建设方案应明确建设目的、方法、时间安排、重要时间节点、项目成果等内容。第十三条 项目建设根据采购管理流程确定项目建设的系统供应商/开发商，具体参见金融控股集团有限公司采购管理制度或金融控股集团有限公司招投标管理办法。第十四条 项目实施管理（一）项目工作小组将项目按技术和业务进行分解，明确技术部门和业务部门的职责，编制项目建设工作计划；（二）项目工作小组每月编制月报，总结当月情况并制定未来的工作计划，月报送系统建设项目涉及部门负责人、分管领导审阅。第四节 信息系统上线第十五条 项目工作小组接收系统

7、开发商/供应商提供的项目测试记录、系统监控和维护手册和用户使用手册等系统文档。第十六条 项目工作小组获取系统开发商/供应商提供的测试记录后，由项目工作小组信息技术成员进行系统测试工作，测试工作应包括数据测试、功能测试、网络测试、性能测试、安全测试和兼容性测试等，以书面报告形式记录测试结果，并报项目工作小组组长审核。第十七条 项目工作小组根据系统开发商/供应商提供的用户手册等操作指引组织相关部门信息系统用户进行系统用户使用测试，收集用户反馈编制书面报告。第十八条 项目工作小组根据项目建设方案及建设成果、系统测试情况编制系统上线方案，由业务主管部门及行政办公室负责人审核，行政办公室分管领导审批。系

8、统上线方案主要内容应包括;（一）历史数据、配置参数、应用程序等的备份方案。（二）上线环境的搭建。（三）上线执行的内容和步骤、各项任务负责人、人员组织和具体时间安排等。（四）上线回退计划。（五）上线实施可能出现问题以及解决方案。第十九条 信息系统上线前，项目工作小组将系统使用手册发送至各部门，并组织各部门系统用户进行操作培训，以保证系统上线后用户能够顺利、正确的操作。第二十条 项目工作小组负责组织相关业务部门与技术人员，根据批准的上线方案开展上线工作，将信息系统从测试环境转移至正式环境。第二十一条 信息系统上线如果涉及系统数据迁移，由项目工作小组编制数据迁移方案和应急预案，方案应包括数据迁移时间

9、、步骤和人员安排，突发情况应对方案。数据迁移方案和应急预案由业务主管部门及行政办公室负责人、行政办公室分管领导审核，集团公司总经理审批。第二十二条 项目工作小组依照数据迁移方案开展数据迁移工作，并组织系统用户进行数据测试，确认数据迁移结果，并编制数据迁移报告，经行政办公室负责人审核后，报行政办公室分管领导审阅。第五节 信息系统变更第二十三条 信息系统变更，指由于新增信息系统功能、系统逻辑改变、系统错误修正、系统补丁安装及版本更新、系统配置修改及业务参数修改等原因，而对已投产系统进行局部改变的一切活动。第二十四条 系统变更由需求部门向行政办公室提交书面报告申请，阐述选择变更类型、变更愿意与范围和

10、变更的急迫性等，由需求部门及行政办公室负责人审核，行政办公室分管领导审批。第二十五条 系统管理员收到审批后的系统变更申请报告后按以下程序处理：（一）系统管理员分析系统变更需求，制定系统变更操作计划，在独立系统测试环境中测试，并以书面报告形式记录测试结果。（二）如果系统变更涉及到用户使用，系统管理员应组织使用部门进行用户测试。（三）系统测试完成后，信息系统变更实施方案，经行政办公室负责人审核，分管领导审批。（四）信息系统变更方案审核通过后，由系统管理员根据方案在正式环境中实施方案。（五）如系统变更涉及实施新的功能模块，或者对系统功能进行较大调整，系统管理员组织相关部门操作人员进行集中操作培训。第

11、三章 信息系统运行维护管理第一节 信息系统日常维护第二十六条 行政办公室负责集团公司信息系统的日常管理和维护。行政办公室根据实际情况制定各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二十七条 系统管理员负责检查维护服务器等关键信息设备，及时处理异常情况。未经授权，任何人不得接触关键信息设备。第二十八条 信息系统维护实行维护记录制度，明确维护责任。系统管理员应对每次维护操作进行详细记录，填写系统维护记录表，内容应包括：维护目的、维护措施、时间、维护人和监督人签字。第二十九条 使用部门出现信息系统故障时，向系统管理员

12、反馈故障发生时间、故障现象以及故障影响。第三十条 系统管理员对故障问题进行相关调查与分析，采取相应处理措施对故障问题进行处理。必要时，系统管理员联系系统开发商/供应商对系统故障问题进行处理。第三十一条 系统恢复后，由系统管理员编写系统故障报告，对故障原因、故障处理情况进行记录、分析。对于影响重大的系统故障，故障报告报行政办公室负责人及分管领导审阅，由分管领导视故障的重要性报集团公司总经理审阅。对于小型故障，故障报告由行政办公室留存备查。对于故障处理方案及故障描述，由系统管理员整理形成操作手册。第二节 数据备份管理第三十二条 行政办公室负责制定数据备份策略、建立备份环境以及安装调试备份软件。数据

13、备份策略内容应包括备份目录、备份频率以及备份方式、第三十三条 系统管理员负责监控数据备份的执行情况，并填写系统备份情况检查表，记录各系统各种备份策略的完成情况，并签字确认。第三十四条 系统管理员负责对备份数据进行定期恢复性测试，确保备份数据的安全性。第三十五条 备份数据的废弃由需求部门提出申请经行政办公室负责人审核，分管领导审批，审批通过后方可删除备份数据。第三节 业务持续性管理第三十六条 系统管理员与各部门分别对业务可能受到的威胁和业务影响程度进行计算，对业务关键性级别进行量化分级。第三十七条 系统管理员针对关键业务，整理该业务恢复时所需要的资源，上报给行政办公室与相关责任部门。相关责任部门

14、和行政办公室共同根据恢复业务所需要的资源和成本，对可能影响到关键业务的问题提出确实可行的应对措施，制定业务连续性计划/灾难恢复计划，经行政办公室负责人、分管领导审核，集团公司总经理审批。第三十八条 行政办公室组织公司各个部门进行业务连续性计划/灾难恢复计划演练测试，根据测试结果编制测试结果报告以及业务连续性计划/灾难恢复计划修改意见。第四章 信息系统安全管理第一节 系统安全管理第三十九条 数据中心日常安全维护应做到：（一）保持数据中心整洁，严禁堆放于工作无关的其他物品及纸质物品，做好消防灭火设备检查工作；（二）数据中心内禁止饮食、吸烟、大声喧哗，数据中心内不得会客、闲谈；（三）数据中心内备有温

15、度计和湿度计，温度保持在18-25，湿度保持在40%-60%，温度计和湿度计应每年作一次检测。第四十条 数据中心内的技术资料、软件、工具等仅供系统管理员使用，不得外借。第四十一条 电脑设备安全管理：（一）未使用电脑设备应当放置于带锁的仓库或者办公室中。（二）电脑设备丢失或被窃后应及时向部门负责人和行政办公室汇报。第四十二条 移动介质一旦遗失，员工应立刻上报行政办公室进行登记。第二节 安全管理第四十三条 各使用部门员工电脑应设置口令、开机密码等，同时应设置有密码的屏幕保护，并定期更改密码、使用复杂密码。第四十四条 使用移动介质保存公司涉密数据时，移动介质必须采用必要的加密措施，防止信息泄露。第四

16、十五条 网络安全管理规范：（一）行政办公室负责通过上网行为管理平台管理内外网的相互访问，通过端口设定进行访问限制。集团公司员工在外网访问核心系统时应按规定接入内网。（二）集团公司员工遵守国家有关法律、法规，严格执行安全保密制度，不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网络上发布反动、非法和虚假的消息，不得在网络上漫骂攻击他人，不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动。（三）禁止未授权用户接入公司计算机网络及访问网络中的资源，禁止未授权用户使用大流量带宽的下载工具。（四）公司员工禁止利用扫描、监听、

17、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。（五） IP地址为计算机网络的重要资源，计算机各终端用户应在IT部门的规划下使用这些资源，不得擅自更改。另外，某些系统服务对网络产生影响，计算机各终端用户应在IT部门的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行。第四十六条 防病毒管理规范：（一）集团公司数据中心及各部门所有服务器电脑终端（包括虚拟系统，笔记本电脑）中都应安装公司指定的病毒防治产品。（二）系统管理员最少每周对防病毒服务管理的服务器进行一次运行情况检查，每个月对客户端运行情况检查一次，对发现的

18、问题及时进行解决，通报给发现问题的员工，并跟踪改正情况。（三）系统管理员应及时向各部门传达计算机系统、防病毒软件的升级更新信息。各部门电脑终端用户根据行政办公室发布信息与指导进行相应的升级更新。（四）任何部门和员工在发现电脑系统中存在病毒入侵的迹象时，应当及时采取有效措施，并立即报告。（五）任何部门和个人不得制作或者输入、传播计算机病毒和其他有害数据。不得向社会发布虚假的计算机病毒疫情。（六）凡集团公司发放的所有移动介质(U盘,移动硬盘,软盘等),须定期杀毒。（七）外单位的移动介质,若需在本公司办公局域网内使用,必须先杀毒检测后方可使用。第四十七条 信息保密管理规范：（一）集团公司信息秘级分为

19、“绝密”、“机密”、“秘密”，具体参见金融控股集团有限公司保密规定管理办法。（二）行政办公室根据不同秘级将文件信息存储于不同的计算机内，并设置计算机密码以及文件、文件夹操作权限。涉密信息设备的密码由使用人各自负责，并自行妥善保管，不得设定公用密码。（三）任何涉密文件信息不得在集团公司提供的信息管理系统以外的何计算机网络系统中存储、处理、传递。（四）行政办公室负责将涉密信息定期、完整、真实、准确地存储到不可更改的介质上，并集中归档保管，然后将信息从信息设备上彻底删除。（五）行政办公室对涉密存储介质应加贴“涉密信息”标志，每个涉密存储介质需建立涉密存储解释登记表。（六）涉密电子文档未经许可，严禁借

20、阅。如需借阅“秘密”、“机密”密级的涉密信息，由需求部门提出申请，说明申请原因以及申请内容，经申请部门负责人、行政办公室负责人审核，行政办公室分管领导审批，涉及“绝密”密级的信息文档另需集团公司总经理审批。（七）如需要将信息设备移出公司物理环境进行维修时，在设备移出前，系统管理员要将设备中敏感信息从设备中删除或加密确保维护人员对其不可访问或获取。（八）设备报废、闲置、更换或者使用结束前系统管理员要负责删除所有信息，对包含敏感信息的设备要对其信息载体在物理上应予以销毁，或者采用使原始信息不可获取的技术将其安全地重写，如消磁。第三节 账号管理第四十八条 信息系统各使用部门根据部门内各岗位的性质与工

21、作职责，制定系统岗位-权限匹配表，明确各岗位相应权限。第四十九条 系统管理员负责管理信息应用系统管理员账号，对应用系统账号的新建、修改、禁用、删除等操作进行管理。第五十条 信息系统操作系统层面的账号申新建/修改/删除，由系统管理员提交申请报告，列明申请原因、申请内容、以及处理办法，经行政办公室负责人审核，分管领导审批。 第五十一条 信息系统应用系统层面的账号新建/修改/删除，由需求部门提交申请报告，列明申请原因、申请内容、以及处理办法，经需求部门及行政办公室负责人审核，行政办公室分管领导审批。 第五十二条 各部门信息系统用户必须在申请账号时签署声明，保证个人口令安全（在用户注册时声明），并确保

22、工作组口令仅在本组成员间共享。第五十三条 系统管理员通过操作系统或者管理员账户再创建设定账户初始密码。信息系统应用系统层面用户在初次登录时应及时设置密码，若有需要信息系统账号管理员应通过操作系统或者管理员账号强制修改密码。第五十四条 信息系统应用系统层面用户忘记口令时，由需求用户向系统管理员提出申请，系统管理员在对该用户进行适当的身份识别后向其提供临时口令。在向用户提供临时口令时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。第五十五条 系统管理员每季度对操作系统和应用系统进行一次权限评审。根据岗位-权限表以及通过审批的账号修改申请进行核对，并编制评审报告送行政办公室负责人、分管领导审阅。第五章 附 则第五十六条 本制度由行政办公室负责解释。 第五十七条 本制度自印发之日起施行。