信息系統管理制度多篇

信息系統管理制度 篇一

第一章 總則

第一條 為加快公司信息系統建設步伐，規範信息系統工程項目建設安全管理，提升信息系統建設和管理水平，保障信息系統工程項目建設安全，特制定本規範。

第二條 本規範主要對XX公司（以下簡稱“公司”）信息系統建設過程提出安全管理規範。保證安全運行必須依靠強有力的安全技術，同時更要有全面動態的安全策略和良好的內部管理機制，本規範包括五個部分：

1）項目建設安全管理的總體要求：明確項目建設安全管理的目標和原則；

2）項目規劃安全管理：對信息化項目建設各個環節的規劃提出安全管理要求，確定各個環節的安全需求、目標和建設方案；

3）方案論證和審批安全管理：由安全管理部門組織行內外專家對項目建設安全方案進行論證，確保安全方案的合理性、有效性和可行性。標明參加項目建設的安全管理和技術人員及責任，並按規定安全內容和審批程序進行審批；

4）項目實施方案和實施過程安全管理：包括確定項目實施的階段的安全管理目標和實施辦法，並完成項目安全專用產品的確定、非安全產品安全性的確定等；

5）項目投產與驗收安全管理：制定項目安全測評與驗收方法、項目投產的安全管理規範，以及相關依據。

第三條 規範性引用文件

下列文件中的條款通過本規範的引用而成為本規範的條款。凡是注日期的引用文件，其隨後所有的修改單（不包括勘誤的內容）或修訂版均不適用於本規範，但鼓勵研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用於本規範。

第四條 術語和定義

本規範引用GB/T 5271.8－20xx中的術語和定義，還採用了以下術語和定義：

1）信息安全 infosec

信息的機密性、完整性和可用性的保護。

註釋： 機密性定義為確保信息僅僅被那些被授權了的人員訪問。

完整性定義為保護信息和處理方法的準確性和完備性。

可用性定義為保證被授權用户在需要時能夠訪問到信息和相關資產。

2)計算機系統安全工程 ISSE（Information Systems Security Engineering）

計算機系統安全工程（ISSE）是發掘用户信息安全保護需求，然後以經濟、精確和簡明的方法來設計和建造計算機系統的一門技巧和科學，ISSE識別出安全風險，並使這些風險減至最少或使之受到遏制。

3)風險分析 risk analysis

對信息和信息處理設施所面臨的威脅及其影響以及計算機系統脆弱性及其發生的可能性的分析評估。

4)安全目標 security objective

本規範中特指公司項目建設信息安全管理中需要達成到的目標。

5)安全測試 security testing

用於確定系統的安全特徵按設計要求實現的過程。這一過程通常包括現場功能測試、滲透測試和驗證。

第五條 本規範遵照國家相關政策法規和條例，結合各種信息化項目建設的具體情況，依據各種標準、規範以及安全管理規定而制定。

第二章 項目建設安全管理的總體要求

第六條 項目建設安全管理目標

一個項目的生命週期包括：項目申報、項目審批和立項、項目實施、項目驗收和投產；從項目建設的角度來看，這些生命週期的階段則包括以下子階段：需求分析、總體方案設計、概要設計、詳細設計、系統實施、系統測試和試運行，如下表所示。

項目建設安全管理的目標就是保證整個項目管理和建設過程中系統的安全。為了達到這個目標，信息安全（INFOSEC）必須融合在項目管理和項目建設過程中，與公司的業務需求、環境要求、項目計劃、成本效益以及國家和地方的政策、標準、指令相一致。這種融合應該產生一個計算機系統安全工程（ISSE）項目，它要確認、評估、並且消除或控制住系統對已知或假定的威脅的脆弱點，最終得到一個可以接受水平的安全風險。

計算機系統安全工程（ISSE）並不意味着存在一個單獨獨立的過程。它支持項目管理和建設過程，而且是後者不可分割的一部分。第三章到第六章將以項目管理過程為主軸，並結合項目建設過程，規定了在每個階段中應達到哪些計算機系統安全工程要求。

第七條 項目建設安全管理原則

信息系統項目建設安全管理應遵循如下原則：

1)等級

2)全生命週期安全管理：信息安全管理必須貫穿信息化項目建設的整個生命週期；

3)成本-效益分析：進行信息安全建設和管理應考慮投入產出比；

4)明確職責：每個參與項目建設和項目管理的人員都應該明確安全職責，應進行安全意識和職責培訓，並落實到位；

5)管理公開：應保證每個項目參與人員都知曉和理解安全管理的模式和方法；

6)科學制衡：進行適當的職責分離，保證沒有人可以單獨完成一項業務活動，以避免出現相應的安全問題；

7)最小特權：人員對項目資產的訪問權限制到最低限度，即僅賦予其執行授權任務所必需的權限。

第八條 項目建設安全管理要求

項目安全管理工作應強化責任機制、規範管理程序，在項目的申報、審批、立項、實施、驗收等關鍵環節中，必須依照規定的職能行使職權，並在規定的時限內完成各個環節的安全管理行為，否則應承擔相應的行政責任。

第三章 項目申報

第九條 項目申報階段應對信息系統項目及其建設的各個環節進行統一的安全管理規劃，確定項目的安全需求、安全目標、安全建設方案，以及生命週期各階段的安全需求、安全目標、安全管理措施。

第十條 應由項目應用主管單位進行項目需求分析、確定總體目標和建設方案。項目應用主管單位進行項目申報時應填寫《信息系統項目立項申請表》，並提交《業務需求書》和《信息系統項目可行性研究報告》。

第十二條 系統定級

1）依據國家信息系統安全等級保護定級指南（GBT 22240-20xx）對項目中的系統進行定級，明確信息系統的邊界和安全保護等級；

2）以書面的形式説明確定信息系統為某個安全保護等級的方法和理由，形成信息系統定級報告；

3）組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定，上報上級主管單位和安全監控單位進行審定；

4）信息系統的定級結果向本地公安機關進行備案。

第十三條 挖掘安全需求

在《業務需求書》中除了描述系統業務需求之外，還應進行系統的安全性需求分析，應至少包括以下信息安全方面的內容：

1)安全威脅分析報告：應分析待建計算機系統在生命週期的各個階段中可能遭受的自然威脅或者人為威脅（故意或無意），具體包括威脅列表、威脅可能性分析、威脅嚴重性分析等；

2)系統脆弱性分析報告：包括對系統造成問題的脆弱性的定性或定量的描述，這些問題是被攻擊的可能性、被攻擊成功的可能性； 3)影響分析報告：描述威脅利用系統脆弱性可能導致不良影響。影響可能是有形的，例如資金的損失或收益的減少，或可能是無形的，例如聲譽和信譽的損失；

4)風險分析報告：安全風險分析的目的在於識別出一個給定環境中涉及到對某一系統有依賴關係的安全風險。它取決於上面的威脅分析、脆弱性分析和影響分析，應提供風險清單以及風險優先級列表；

5)系統安全需求報告：針對安全風險，應提出安全需求，對於每個不可接受的安全風險，都至少有一個安全需求與其對應。

第十四條 安全可行性

在可行性報告的以下條目中應增加相應的信息安全方面的內容：

1）項目目標、主要內容與關鍵技術：增加信息化項目的總體安全目標，並在主要內容後面增加針對前面分析出的安全需求所提出的相應安全對策，每個安全需求都至少對應一個安全對策，安全對策的強度應根據相應資產的重要性來選擇；

2）項目採用的技術路線或者技術方案：增加描述如何從技術、運作、組織以及制度四個方面來實現所有的安全對策，並形成安全方案；

3）項目的承擔單位及人員情況介紹：增加項目各承擔單位的信息安全方面的資質和經驗介紹，並增加介紹項目主要參與人員的信息安全背景；

4）項目安全管理：增加項目建設中的安全管理模式、安全組織結構、人員的安全職責、建設實施中的安全操作程序和相應安全管理要求；

5）成本效益分析：對安全方案進行成本-效益分析。

第十五條 對投入使用的應用軟件需要升級改造的，雖不需另行立項，但仍需參照上述方法進行一定的安全性分析，並針對可能發生的安全問題提出和實現相應安全對策。

第四章 安全方案設計

第十六條 本階段主要是項目審批單位對項目申報內容進行安全方案的設計，對項目的安全性進行確定，必要時可以聘請外單位的專家參與論證工作。

第十七條 安全標準的確定

1）根據系統的安全保護等級選擇基本安全措施，設計安全標準必須達到等級保護相關等級的基本要求，並依據風險分析的結果進行補充和調整必要的安全措施；

2）指定和授權專門的部門對信息系統的安全建設進行總體規劃，制定近期和遠期的安全建設工作計劃；

3）應根據信息系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案，並形成配套文件

4）應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，並且經過批准後，才能正式實施；

5）根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件。

第五章 方案論證和審批

第十八條 本階段主要是項目審批單位對項目申報內容進行審批，對項目進行安全性論證，必要時可以聘請外單位的專家參與論證工作。

第十九條 安全性論證和審批

安全性論證應着重對項目的安全需求分析、安全對策以及總體安全方案進行成本-效益、合理性、可行性和有效性分析，並在《信息化項目立項審批表》上給出明確的結論：

1）適當

2）不合適（否決）

3）需作複議

對論證結論為“需作複議”的項目，通知申報單位對有關內容進行必要的補充或者修改後，再次提交複審。

第二十條 項目安全立項

審批後，項目審批單位將對項目進行立項，在《信息系統項目任務書》的以下條目中應增加相應的計算機安全方面的內容：

1)項目的管理模式、組織結構和責任：增加項目建設中的安全管理模式、安全組織結構以及人員的安全職責；

2)項目實施的基本程序和相應的管理要求：增加項目建設實施中的安全操作程序和相應安全管理要求；

3)項目設計目標、主要內容和關鍵技術：增加總體安全目標、安全對策以及用於實現安全對策的總體安全方案；

4)項目實現功能和性能指標：增加描述系統擁有的具體安全功能以及安全功能的強度；

5)項目驗收考核指標：增加安全性測試和考核指標。

第二十一條 立項的項目，如採用引進、合作開發或者外包開發等形式，則需與第三方簽訂安全保密協議。

第六章 項目實施方案和實施過程安全管理標準

第二十二條 信息化項目實施階段包括3個子階段：概要設計、詳細設計和項目實施，本階段的主要工作由項目開發承擔單位來完成，項目審批單位負責監督工作。

第二十三條 概要設計子階段的安全要求

在概要設計階段，系統層次上的設計要求和功能指標都被分配到了子系統層次上，這個子階段的安全目標是保證各子系統設計實現了總體安全方案中的安全功能。因此，《概要設計説明書》中至少應達到以下安全要求：

1)應當按子系統來描述系統的安全體系結構；

2)應當描述每一個子系統所提供的安全功能；

3)應當標識所要求的任何基礎性的硬件、固件或軟件，和在這些硬件、固件或軟件中實現的支持性保護機制提供的功能表示；

4)應當標識子系統的所有接口，並説明哪些接口是外部可見的；

5)描述子系統所有接口的用途與使用方法，並適當提供影響、例外情況和錯誤消息的細節；

6)確證子系統（不論是開發的，還是買來的）的安全功能指標滿足系統安全需求。

第二十四條 詳細設計子階段的安全要求

無論是新開發一個系統，或是對一個系統進行修改，本階段的任務是完成那些不能買到現成品的軟硬件模塊的設計。先要完成每個模塊的詳細設計方案，最後根據每個模塊的詳細設計得到整個系統的詳細設計。本子階段的安全目標是保證各模塊設計實現了概要設計中的安全功能，因此在這一階段的《詳細設計説明書》中至少要包括以下信息安全內容：

1）詳細設計中應提出相應的具體安全方案，標明實現的安全功能，並應檢查其技術原理；

2）對系統層面上的和模塊層面上的安全設計進行審查；

3）完成安全測試和評估要求（通常包括完整的系統的、軟件的、硬件的安全測試方案，至少是相關測試程序的一個草案）；

4）確認各模塊的設計，以及模塊間的接口設計能滿足系統層面的安全要求。

第二十五條 項目實施子階段的安全要求

無論是新開發一個系統或是進行系統修改，本階段的主要目的是將所有的模塊（軟硬件）集成為完整的系統，並且檢查確認集成以後的系統符合要求。本階段中，應完成以下具體信息安全工作：

1)更新系統安全威脅評估，預測系統的使用壽命；

2)找出並描述實現安全方案後系統和模塊的安全要求和限制，以及相關的'系統驗證機制及檢查方法；

3)完善系統的運行程序和全生命期支持的安全計劃，如密鑰的分發等；

4)在《系統集成操作手冊》中，應制定安全集成的操作程序；

5)在《系統修改操作手冊》中，應制定系統修改的安全操作程序；

6)對項目參與人員進行信息安全意識培訓；

7)並對參加項目建設的安全管理和技術人員的安全職責進行檢查。

第二十六條 在系統實施階段需要採購的網絡安全設備必須由公司進行統一採購，並確保採購的設備至少符合下面的要求：

1)網絡安全設備選型應根據國家電力行業有關規定選擇經過國家有關權威部門的測評或認證的產品。

2)所有安全設備後均需進行嚴格檢測，凡購回的設備均應在測試環境下經過連續72小時以上的單機運行測試和聯機48小時的應用系統兼容性運行測試。嚴禁將未經測試驗收或驗收不合格的設備交付使用。

3)通過上述測試後，設備才能進入試運行階段。試運行時間的長短可根據需要自行確定。通過試運行的設備，才能投入生產系統，正式運行。

第二十七條 在軟件的開發被外包的地方，應當考慮如下幾點：

1)檢查代碼的所有權和知識產權情況；

2)質量合格證和所進行的工作的精確度；

3)在第三方發生故障的情況下，有第三方備份保存；

4)進行質量審核；

5)在合同上有代碼質量方面的要求；

6)在安裝之前進行測試以檢測特洛伊代碼；

7)提供源代碼以及相關設計、實施文檔；

8)重要的項目建設中還要要對源代碼進行審核。

第二十八條 計算機系統集成的信息技術產品（如操作系統、數據庫等）或安全專用產品（如防火牆、IDS等）應達到以下要求：

1)對項目實施所需的計算機及配套設備、網絡設備、重要機具（如ATM）、

計算機軟件產品的購置，計算機應用系統的合作開發或者外包開發的確定，按現有制度中的相關規定執行；

2)安全產品的採購必須由公司進行統一採購；

3)安全專用產品應具有國家職能部分頒發的信息安全專用產品的銷售許可證；

4)密碼產品符合國家密碼主管部門的要求，來源於國家主管部門批准的密碼研製單位；

5)關鍵安全專用產品應獲得國家相關安全認證，在選型中根據實際需要制定安全產品選型的標準；

6)關鍵信息技術產品的安全功能模塊應獲得國家相關安全認證，在選型中根據實際需要制定信息技術產品選型的標準。

7)所有安全設備後均需進行嚴格檢測，凡購回的設備均應在測試環境下經過連續72小時以上的單機運行測試和聯機48小時的應用系統兼容性運行測試。嚴禁將未經測試驗收或驗收不合格的設備交付使用。

8)通過上述測試後，設備才能進入試運行階段。試運行時間的長短可根據需要自行確定。通過試運行的設備，才能投入生產系統，正式運行。

第二十九條 產品和服務供應商應達到以下要求：

1)系統集成商的資質要求：至少要擁有國家權威部門認可的系統一級集成資質，對於較為重要的系統應有更高級別的集成資質；

2)工商要求：

①產品、系統或服務提供單位的營業執照和税務登記在合法期限內；

②產品、系統或服務提供商的產品、系統或服務的提供資格；

③連續贏利期限要求；

④連續無相關法律訴訟年限要求；

⑤沒有發生重大管理、技術人員變化和流動的期限要求；

⑥沒有發生主業變化期限要求。

3)信息安全產品的採購請參閲《信息安全產品採購、使用管理制度》

4)安全服務商資質：至少應具有國家一級安全服務資質，對於較為重要的系統應有更高級別的安全服務資質；

5)人員資質要求：系統集成人員、安全服務人員以及相關管理人員應獲得國家權威部門頒發的信息安全人員資質認證；

6)其它要求：系統符合國家相關法律、法規，按照相關主管部門的技術管理規定對非法信息和惡意代碼進行有效控制，按照有關規定對設備進行控制，使之不被作為非法攻擊的跳板；

7)服務供應商的選擇還要參閲《安全服務外包管理制度》。

第七章 項目驗收與投產

第三十條 系統建設完成後，項目承建方要依據項目合同的交付部分嚮應用主管部門進行項目交付，但交付的內容至少包括：

1)制定的系統交付清單，對交付的設備、軟件和文檔進行清點； 2)對系統運維人員進行技能培訓，要求系統運維人員能進行日常的維護；

3)提供系統建設的過程文檔，包括實施方案、實施記錄等；

4)提供系統運行維護的幫助和操作手冊

第三十一條 系統交付要項目實施和應用主管部門的相關項目負責人進行簽字確認。

第三十二條 系統交付由項目應用系統主管部門負責，必須安照系統交付的要求完成交付工作。

第三十三條 應制定投產與驗收測試大綱，在項目實施完成後，由項目應用主管單位和項目開發承擔單位共同組織進行測試。在測試大綱中應至少包括以下安全性測試和評估要求：

1)配置管理：系統開發單位應使用配置管理系統，並提供配置管理文檔；

2)安裝、生成和啟動程序：應制定安裝、生成和啟動程序，並保證最終產生了安全的配置；

3)安全功能測試：對系統的安全功能進行測試，以保證其符合詳細設計並對詳細設計進行檢查，保證其符合概要設計以及總體安全方案；

4)系統管理員指南：應提供如何安全地管理系統和如何高效地利用系統安全功能的優點和保護功能等詳細準確的信息；

5)系統用户指南：必須包含兩方面的內容：首先，它必須解釋那些用户可見的安全功能的用途以及如何使用它們，這樣用户可以持續有效地保護他們的信息；其次，它必須解釋在維護系統的安全時用户所能起的作用；

6)安全功能強度評估：功能強度分析應説明以概率或排列機制（如，口令字或哈希函數）實現的系統安全功能。例如，對口令機制的功能強度分析可以通過説明口令空間是否有足夠大來指出口令字功能是否滿足強度要求；

7)脆弱性分析：應分析所採取的安全對策的完備性（安全對策是否可以滿足所有的安全需求）以及安全對策之間的依賴關係。通常可以使用穿透性測試來評估上述內容，以判斷它們在實際應用中是否會被利用來削弱系統的安全。

第三十四條 測試完成後，項目測試小組應提交《測試報告》，其中應包括安全性測試和評估的結果。不能通過安全性測試評估的，由測試小組提出修改意見，項目開發承擔單位應作進一步修改。

第三十五條 測試通過後，由項目應用單位組織進入試運行階段，應有一系列的安全措施來維護系統安全，它包括處理系統在現場運行時的安全問題和採取措施保證系統的安全水平在系統運行期間不會下降。具體工作如下：

1)監測系統的安全性能，包括事故報告；

2)進行用户安全培訓，並對培訓進行總結；

3)監視與安全有關的部件的拆除處理；

4)監測新發現的對系統安全的攻擊、系統所受威脅的變化以及其它與安全風險有關的因素；

5)監測安全部件的備份支持，支持與系統安全有關的維護培訓；

6)評估大大小小的系統改動對安全造成的影響；

7)監測系統物理和功能配置，包括運行過程，因為一些不太顯眼的改變可能影響系統的安全風險。

第三十六條 系統安全試運行半年後，項目應用主管單位可以組織由項目開發承擔單位和科技部門人員參加的項目驗收組對項目進行驗收。驗收應增加以下安全內容：

1)項目是否已達到項目任務書中制定的總體安全目標和安全指標，實現全部安全功能；

2)採用技術是否符合國家、電力行業有關安全技術標準及規範；

3)是否實現驗收測評的安全技術指標；

4)項目建設過程中的各種文檔資料是否規範、齊全；

5)在驗收報告中也應在以下條目中反映對系統安全性驗收的情況：

6)項目設計總體安全目標及主要內容；

7)項目採用的關鍵安全技術；

8)驗收專家組中的安全專家及安全驗收評價意見。

第三十七條 系統備案

1）系統建設完成後，要向相應的公安機關進行備案，系統的備案，備案的相關材料有由公司進行統一管理，相應的系統應用、管理部門可以借閲；

2）系統等級及相關材料報系統主管部門進行備案；

3）系統待級及其它要求的備案材料報相應的公安機關備案。

第四十條 設備管理

1)設備的使用均應指定專人負責，均應設定嚴格的管理員身份鑑別和訪問控制，嚴禁盜用帳號和密碼，超越管理權限，非法操作安全設備。

2)設備的口令不得少於10位，須使用包含大小寫字母、數字等在內的不易猜測的強口令，並遵循省電網公司統一的帳號口令管理辦法。

3)設備的網絡配置應遵循統一的規劃和分配，相關網絡配置應向信息管理部門備案。

4)設備的安全策略應進行統一管理，安全策略固化後的變更應經過安全管理人員審核批准，並及時更新策略配置庫。

5)設備須有備機備件，由公司統一進行保管、分發和替換。

6)加強設備外聯控制，嚴禁擅自接入國際互聯網或其他公眾信息網絡。

7)工作需要，設備需攜帶出工作環境時，應遞交申請並由相關責任人簽字並留檔。

8)存儲介質（含磁盤、磁帶、光盤和優盤）的管理應遵循：

①因工作原因需使用外來介質，應首先進行病毒檢查。

②存儲介質上粘貼統一標識，註明編號、部門、責任人。

③存儲介質如有損壞或其他原因更換下來的，需交回處理。

9)安全設備的使用管理：

①安全設備每月詳細檢查一次，記錄並分析相關日誌，對可疑行為及時進行處理；

②關鍵安全設備媒體必需進行日常巡檢；

③當設備的配置更改時，應做好配置的備份工作；

④安全設備出現故障要立即報告主管領導，並及時通知系統集成商或有關單位進行故障排除，應填寫操作記錄和技術文檔。

10)設備相應責任人負責：

①建立詳細的運行日誌記錄、備份制度；

②負責設備的使用登記，登記內容應包括運行起止時間、累計運行時數及運行狀況等。

③負責進行設備的日常清洗及定期保養維護，做好維護記錄，保障設備處於最佳狀況；

④一旦設備出現故障，責任人應立即如實填寫故障報告，通知有關人員處理；

⑤設備責任人應保證設備在其出廠標稱的使用環境（如温度、濕度、電壓、電磁干擾、粉塵度等）下工作；

11)及時關注下發的各類信息安全通告，關注最新的病毒防治信息和提示，根據要求調節相應設備參數配置；

12)安全管理員應界定重要設備，對重要設備的配置技術文檔應考慮雙份以上的備份，並存放一份於異地。

第四十一條 投產後的監控與跟蹤

項目投產後還應進行一段時間的監控和跟蹤，具體包括以下要求：

1)應對系統關鍵安全性能的變化情況進行監控，瞭解其變化的原因；

2)對系統安全事故的發生、應急、處理、恢復、總結進行全程跟蹤，並編寫詳細的記錄；

3)監控新增的安全部件對系統安全的影響；

4)跟蹤安全有關部件的拆除處理情況，並監控隨後系統安全性的變化；

5)對新發現的對系統安全的攻擊進行監控，記錄其發生的頻率以及對系統的影響；

6)監控系統所受威脅的變化，評估其發生的可能性以及可能造成的影響；

7)監控並跟蹤安全部件的備份情況；

8)監控運行程序的變化，並記錄這些變化對系統安全的影響；

9)監控系統物理環境的變化情況，並記錄這些變化對系統安全的影響；

10)監控安全配置的變化情況，並記錄這些變化對系統安全的影響；

11)對於上述所有監控和跟蹤內容，如果對系統安全有不良影響處，都應在系統設計、配置、運行管理上做相應改進，以保證系統安全、正常運行。

第四十二條 等級測評

1）系統進入運行過程後，三級的系統每年聘請第三方測評機構對系統進行一次等級測評，二級的系統由自已每年測評一次，發現不符合相應等級保護標準要求的及時整改；

2）系統發生變更時，及時對系統進行等級測評，發現級別發生變化的及時調整級別並進行安全改造，發現不符合相應等級保護標準要求的及時整改；

3）測評機構要選擇具有國家相關技術資質和安全資質的單位；

4）系統的等級測評由信息部負責管理。

第八章 附 則

第四十三條 本制度由公司XX部門負責解釋。

第四十四條 本制度自頒佈之日起實行。

信息系統管理制度 篇二

第一條 為規範全院信息系統的運行維護管理工作，確保信息系統的安全可靠運行，切實提高效率和服務質量，使信息系統更好地服務於運營和管理，特制定本管理辦法。

第二條 運行維護管理的基本任務：

１、進行信息系統的日常運行和維護管理，實時監控系統運行狀態，保證系統各類運行指標符合相關規定；

２、迅速而準確地定位和排除各類故障，保證信息系統正常運行，確保所承載的各類應用和業務正常；

３、進行系統安全管理，保證信息系統的運行安全和信息的完整、準確；

４、在保證系統運行質量的情況下，提高維護效率，降低維護成本。

第三條 網絡中心負責全院範圍內信息系統運行維護管理、監督檢查和質量考核評定工作，掌握運行質量情況，制定質量指標，並對信息系統各級維護部門進行定期檢查考核；

第四條 負責全院範圍內信息系統的計算機硬件平台、基礎軟件、應用軟件、配套網絡和的監控和日常維護工作，制定日常維護作業計劃並認真執行，保證信息系統正常運行； 對於系統的所有維護（包括日常作業計劃、故障處理、系統改進、數據變更、數據的備份與恢復、功能完善增加）都必須填寫維護記錄；負責所轄範圍內信息系統數據的備份與恢復，負責落實系統安全運行措施；每年至少組織一次全行範圍內的信息系統運維管理巡迴檢查，全面檢查各維護作業計劃管理、技術檔案和資料管理、備份及日誌管理、機房管理、安全保密管理等制度的落實情況。

第五條 系統出現故障，信息系統維護部門或維護人員首先進行處理，同時判斷系統類型和故障級別，根據系統類型和故障級別，故障處理應在要求的時限內完成，並同時向院部報告。對無法解決的故障，應立即向軟硬件最終提供商、代理商或維保服務商（以下簡稱廠商）提出技術支持申請，督促廠商安排技術支持，必要時進行跟蹤處理，與廠商一起到現場進行解決。

第六條 廠商技術人員現場處理故障時，當地維護人員應全程陪同並積極協助，並在故障解決後進行書面確認。

第七條 參與故障處理的'各方必須如實、及時填寫故障處理單，現場技術支持還須當地維護人員予以簽字確認或維護部門蓋章。

第八條 建立重要緊急信息上報渠道，對於發生的重要緊急情況，應該立即逐級向院部主管領導報告，對業務影響較大的還應及時通知業務部門。

第九條 信息系統維護管理部門負責技術檔案和資料的管理，應建立健全必要的技術資料和原始記錄等。

第十條 軟件資料管理應包含以下內容：

１、所有軟件的介質、許可證、版本資料及補丁資料；

２、所有軟件的安裝手冊、操作使用手冊、應用開發手冊等技術資料；

３、上述資料的變更記錄。

第十一條 無關人員未經管理維護人員的批准嚴禁進入機房。

第十二條 機房內嚴禁吸煙、飲食、睡覺、閒談等，嚴禁攜帶易燃易爆、腐蝕性等污染物和強磁物品及其它與機房工作無關的物品進入機房。

信息系統管理制度 篇三

第一章 總則

第一條 為加強信息系統用户賬號和權限的規範化管理，確保各信息系統安全、有序、穩定運行，防範應用風險，特制定本制度。

第二條 本制度適用於場建設和管理的、基於角色控制和方法設計的各型信息系統，以及以用户口令方式登錄的網絡設備、網站系統等。

第三條 信息系統用户、角色、權限的劃分和制定，以人力資源部對部門職能定位和各業務部門內部分工為依據。

第四條 場協同辦公系統用户和權限管理由場辦公室負責，其他業務系統的用户和權限管理由各業務部門具體負責。所有信息系統須指定系統管理員負責用户和權限管理的具體操作。

第五條 信息系統用户和權限管理的基本原則是：

（一）用户、權限和口令設置由系統管理員全面負責。

（二）用户、權限和口令管理必須作為項目建設的強制性技術標準或要求。

（三）用户、權限和口令管理採用實名制管理模式。

（四）嚴禁杜絕一人多賬號登記註冊。

第二章 管理職責

第七條 系統管理員職責

負責本級用户管理以及對下一級系統管理員管理。包括創建各類申請用户、用户有效性管理、為用户分配經授權批准使用的。業務系統、為業務管理員提供用户授權管理的操作培訓和技術指導。

第八條 業務管理員職責

負責本級本業務系統角色制定、本級用户授權及下一級本業務系統業務管理員管理。負責將上級創建的角色或自身創建的角色授予相應的本級用户和下一級業務管理員，為本業務系統用户提供操作培訓和技術指導，使其有權限實施相應業務信息管理活動。

第九條 用户職責

用户須嚴格管理自己用户名和口令，遵守保密性原則，除獲得授權或另有規定外，不能將收集的個人信息向任何第三方泄露或公開。系統內所有用户信息均必須採用真實信息，即實名制登記。

第三章 用户管理

第十條 用户申請和創建

（一）申請人在《用户賬號申請和變更表》上填寫基本情況，提交本部門負責人；

（二）部門負責人確認申請業務用户的身份權限，並在《用户賬號申請和變更表》上簽字確認。

（三）信息系統管理部門經理進行審批後，由系統管理員和業務員創建用户或者變更權限。

（四）系統管理員和業務管理員將創建的用户名、口令告知申請人本人，並要求申請人及時變更口令；

（五）系統管理員和業務管理員將《用户賬號申請和變更表》存檔管理。

第十一條 用户變更和停用

（一）人力資源部主管確認此業務用户角色權限或變更原因，並在《用户賬號申請和變更表》上簽字確認；

（二）執行部門主管確認此業務用户角色權限或變更原因，並在《用户賬號申請和變更表》上簽字確認；

（三）系統管理員變更

系統管理員變更，應及時向上級系統管理員報告，並核對其賬户信息、密碼以及當時系統中的各類用户信息及文檔，核查無誤後方可進行工作交接。新任系統管理員應及時變更賬户信息及密碼。

（四）業務管理員變更

業務管理員變更應及時向本級系統管理員及上級業務管理員報告，上級業務管理員和系統管理員及時變更業務管理員信息。

（五）用户註銷

用户因工作崗位變動，調動、離職等原因導致使用權限發生變化或需要註銷其分配賬號時，應填寫《用户賬號申請和變更表》，按照用户賬號停用的相關流程辦理，由系統管理員和業務管理員對其權限進行註銷。

第四章 安全管理

第十二條 使用各信息系統應嚴格執行國家有關法律、法規，遵守公司的規章制度，確保國家祕密和企業利益安全。

第十三條 口令管理

（一）系統管理員創建用户時，應為其分配獨立的初始密碼，並單獨告知申請人。

（二）用户在初次使用系統時，應立即更改初始密碼。

（三）用户應定期變更登陸密碼。

（四）用户不得將賬户、密碼泄露給他人。

第十四條 帳號審計

賬號審計工作由信息系統管理部門的負責人或者主管進行審計，並應定期向其領導進行彙報，由場信息系統管理部門負責人定期和不定期檢查。

第十五條 應急管理

（一）用户及業務管理員賬户信息泄露遺失

用户及業務管理員賬户信息泄露遺失時，應在24小時內通知本級系統管理員。本級系統管理員在查明情況前，應暫停該用户的使用權限，並同時對該賬户所報數據進行核查，待確認沒有造成對報告數據的破壞後，通過修改密碼，恢復該賬户的報告權限，同時保留書面情況記錄。

（二）系統管理員賬户信息泄露遺失

系統管理員賬户信息泄露遺失時，應立即向上級系統管理員報告，暫停其系統管理員賬户權限，同時對系統賬户管理及數據安全進行核查，採取必要的補救措施，在最終確認系統安全後，方可恢復其系統管理員賬户功能。

第五章 附則

第十六條 本制度自20xx年xx月xx日起施行。

第十七條 本制度由場辦公室負責制定、修改和解釋。