信息系统管理制度_定稿.docx

1、信息系统管理制度 第一章总则 第一条 为明确岗位职责 ,规范操作流程，保障本中心信息系统安全、有效运行， 根据有关法律、法规和政府有关规定，结合信息统计中心实际情况，特制定本制度。 第二条 目的：使信息化建设工作规范化进行，做到统一规划、统一标准、统一 建设、统一管理。使用范围：适用于本中心信息化建设。 第三条 利用信息系统实施内部控制至少应当关注下列风险： (一)信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致中心管 理效率低下。 (二)系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技 术实施有效控制。 (三)系统运行维护和安全措施

2、不到位，可能导致信息泄漏或毁损，系统无法正 常运行. 第四条职责： (一)信息统计中心负责中心信息化管理总体规划，建立统一的信息化建设标准、 规范.负责中心各科(所)信息化项目总体协调及中心办公自动化网络和系统软硬件的 维护工作。 (二)各科(所)负责指定专人担任本专业信息化网络工作，并负责本科(所) 日常信息管理工作。 第五条工作要求： (一)各科(所)在开展涉及信息化建设及申报信息化建设项目之前，需报主管 领导审批后，将业务需求、建设规划等报信息统计中心，信息统计中心应按照中心信 息化建设规划及相关要求进行审核。 (二)经信息统计中心审核同意后的信息化建设项目，

3、由信息中心提出信息化技 术要求及软硬件需求，同意规划整合后报市卫生局信息中心。 (三)各科(所)申报的信息化项目批准后，信息统计中心技术人员全程参与项 目的招标、实施、验收。 第二章信息系统的开发 第六条信息统计中心根据信息系统建设整体规划提出项目建设方案，明确建设目 标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的流程报批通 过后配合相关公司实施. 信息统计中心负责监督开发流程，明确系统设计、安装调试、验收、上线等全过 程的管理要求。 第七条信息统计中心需要深入了解各个业务科(所)的业务流程、关键控制点、 处理规则、用户范围以及手工环境下难以实现的控制功能

4、等较为核心的信息系统需求 点。在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理 功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。 应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能 .对于必 需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。 应当在信息系统中设置操作日志功能，确保操作的可审计性 .对异常的或者违背 内部控制要求的操作，应当设计系统自动报告并设置跟踪处理机制。 第八条信息统计中心需要组织开发单位或开发人员与各科(所)的日常沟通和协 调，督促开发单位或开发人员按照建设方案、计划进度和质量要求完成编

5、程工作. 第九条信息统计中心应根据配备的硬件设备和系统软件的具体情况，组织安排相 应的硬件厂家或软件开发商的技术人员入场安装调试。对于关键的软硬件设备，应安 排专人负责跟踪、记录整个安装调试过程；在完成软硬件设备的安装调试后，应注意 做好有关文档的验收及归档保存工作. 第十条信息系统上线前，需要对信息系统进行等保定级，没有定级的信息系统不 能正式上线。另外，信息统计中心都应当切实做好上线的各项准备工作 ,应查验设备 厂商或软件开发商或开发人员提交的有关运行维护资料，包括技术手册、操作手册等 , 并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训 .制定科学的上线 计划和新

6、旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接 .系统 上线涉及数据迁移的，还应制定详细的数据迁移计划。 第十一条未经安全检测的信息系统不能为其配置外网地址信息安全的投入原则上 不低于信息系统项目总投资的 10% 。此外，对于信息技术软件，应注意母盘或源代码 的保存登记工作，并由专人管理。日常工作中应尽量使用母盘的复制品，避免造成对 母盘或源代码的破坏。 第三章信息系统的运行与维护 第十二条信息系统投运前，信息统计中心要掌握有关设备所提供的各种系统监控、 维护工具，并检查其安全性和完整性。 第十三条信息系统投运前，信息统计中心应与软件开发商和设备的供应商共

7、同制 定系统投运实施方案以及应急处理方案，并尽可能在测试环境中测试通过后，再在实 际运行环境中实施。 第十四条信息系统的日常管理和维护由信息统计中心负责.信息统计中心按实际 情况制定各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问 题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。 信息统计中心对服务器等关键信息设备指定专人负责检查维护，及时处理异常情 况。未经授权，任何人不得接触关键信息设备。机房设备发生故障时，应及时联系设 备供应厂商解决。 第十五条信息系统需求变更应当严格遵照管理流程进行操作 .信息系统操作人员 不得擅自进行系统软件的删除、修改等操作；

8、不得擅自升级、改变系统软件版本；不 得擅自改变软件系统环境配置。 对于重大信息系统配置的更改，应先形成方案文件，经信息统计中心讨论确认可 行，报信息统计中心领导批准后执行。方案中应包括系统备份方式、调试运行期限、 更改和操作记录、应急措施等相关内容。 第十六条 根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级， 建立不同等级信息的授权使用制度. (一)建立用户管理制度，根据工作岗位需求严格控制重要业务系统的访问权 限。合理分配用户权限，避免授权不当或存在非授权账号，禁止不相容岗位用户账号 的交叉操作。 (二)每周备份信息系统数据库，确保信息系统一旦发生故障能够快速

9、 恢复。 第十七条 信息统计中心人员必须严格遵守信息传递操作流程，严禁外泄网络用 户密码及共享权限密码。严禁擅改他人文件。 第十八条信息统计中心全体人员均有权制止违反规定、可能损害信息系统安全 的行为，并有义务及时向信息统计中心领导汇报 .在出现违反规定的可疑情况，应立 即向信息统计中心领导通报。 第十九条 信息系统设备完成安装调试后，未经信息统计中心同意，任何个人或 部门不得擅自移动或拆除。如因工作需要，确实要对有关设备进行移动或拆除，需报 信息统计中心审批同意后，由信息统计中心组织有关技术人员实施，并做好相应的登 记变更工作。关键硬件设备完成安装后，运行地点要相对固定，移动或拆除要在完成 审批程序后，方可实施. 第二十条 硬件设备的报废应由使用部门提出书面申请，信息统计中心根据设备 的使用情况进行审核，提出设备报废清单，按固定资产报废程序办理。