資訊系統管理制度多篇

資訊系統管理制度 篇一

第一章 總則

第一條 為加快公司資訊系統建設步伐，規範資訊系統工程專案建設安全管理，提升資訊系統建設和管理水平，保障資訊系統工程專案建設安全，特制定本規範。

第二條 本規範主要對XX公司（以下簡稱“公司”）資訊系統建設過程提出安全管理規範。保證安全執行必須依靠強有力的安全技術，同時更要有全面動態的安全策略和良好的內部管理機制，本規範包括五個部分：

1）專案建設安全管理的總體要求：明確專案建設安全管理的目標和原則；

2）專案規劃安全管理：對資訊化專案建設各個環節的規劃提出安全管理要求，確定各個環節的安全需求、目標和建設方案；

3）方案論證和審批安全管理：由安全管理部門組織行內外專家對專案建設安全方案進行論證，確保安全方案的合理性、有效性和可行性。標明參加專案建設的安全管理和技術人員及責任，並按規定安全內容和審批程式進行審批；

4）專案實施方案和實施過程安全管理：包括確定專案實施的階段的安全管理目標和實施辦法，並完成專案安全專用產品的確定、非安全產品安全性的確定等；

5）專案投產與驗收安全管理：制定專案安全測評與驗收方法、專案投產的安全管理規範，以及相關依據。

第三條 規範性引用檔案

下列檔案中的條款通過本規範的引用而成為本規範的條款。凡是注日期的引用檔案，其隨後所有的修改單（不包括勘誤的內容）或修訂版均不適用於本規範，但鼓勵研究是否可使用這些檔案的最新版本。凡是不注日期的引用檔案，其最新版本適用於本規範。

第四條 術語和定義

本規範引用GB/T 5271.8－20xx中的術語和定義，還採用了以下術語和定義：

1）資訊保安 infosec

資訊的機密性、完整性和可用性的保護。

註釋： 機密性定義為確保資訊僅僅被那些被授權了的人員訪問。

完整性定義為保護資訊和處理方法的準確性和完備性。

可用性定義為保證被授權使用者在需要時能夠訪問到資訊和相關資產。

2)計算機系統安全工程 ISSE（Information Systems Security Engineering）

計算機系統安全工程（ISSE）是發掘使用者資訊保安保護需求，然後以經濟、精確和簡明的方法來設計和建造計算機系統的一門技巧和科學，ISSE識別出安全風險，並使這些風險減至最少或使之受到遏制。

3)風險分析 risk analysis

對資訊和資訊處理設施所面臨的威脅及其影響以及計算機系統脆弱性及其發生的可能性的分析評估。

4)安全目標 security objective

本規範中特指公司專案建設資訊保安管理中需要達成到的目標。

5)安全測試 security testing

用於確定系統的安全特徵按設計要求實現的過程。這一過程通常包括現場功能測試、滲透測試和驗證。

第五條 本規範遵照國家相關政策法規和條例，結合各種資訊化專案建設的具體情況，依據各種標準、規範以及安全管理規定而制定。

第二章 專案建設安全管理的總體要求

第六條 專案建設安全管理目標

一個專案的生命週期包括：專案申報、專案審批和立項、專案實施、專案驗收和投產；從專案建設的角度來看，這些生命週期的階段則包括以下子階段：需求分析、總體方案設計、概要設計、詳細設計、系統實施、系統測試和試執行，如下表所示。

專案建設安全管理的目標就是保證整個專案管理和建設過程中系統的安全。為了達到這個目標，資訊保安（INFOSEC）必須融合在專案管理和專案建設過程中，與公司的業務需求、環境要求、專案計劃、成本效益以及國家和地方的政策、標準、指令相一致。這種融合應該產生一個計算機系統安全工程（ISSE）專案，它要確認、評估、並且消除或控制住系統對已知或假定的威脅的脆弱點，最終得到一個可以接受水平的安全風險。

計算機系統安全工程（ISSE）並不意味著存在一個單獨獨立的過程。它支援專案管理和建設過程，而且是後者不可分割的一部分。第三章到第六章將以專案管理過程為主軸，並結合專案建設過程，規定了在每個階段中應達到哪些計算機系統安全工程要求。

第七條 專案建設安全管理原則

資訊系統專案建設安全管理應遵循如下原則：

1)等級

2)全生命週期安全管理：資訊保安管理必須貫穿資訊化專案建設的整個生命週期；

3)成本-效益分析：進行資訊保安建設和管理應考慮投入產出比；

4)明確職責：每個參與專案建設和專案管理的人員都應該明確安全職責，應進行安全意識和職責培訓，並落實到位；

5)管理公開：應保證每個專案參與人員都知曉和理解安全管理的模式和方法；

6)科學制衡：進行適當的職責分離，保證沒有人可以單獨完成一項業務活動，以避免出現相應的安全問題；

7)最小特權：人員對專案資產的訪問權限制到最低限度，即僅賦予其執行授權任務所必需的許可權。

第八條 專案建設安全管理要求

專案安全管理工作應強化責任機制、規範管理程式，在專案的申報、審批、立項、實施、驗收等關鍵環節中，必須依照規定的職能行使職權，並在規定的時限內完成各個環節的安全管理行為，否則應承擔相應的行政責任。

第三章 專案申報

第九條 專案申報階段應對資訊系統專案及其建設的各個環節進行統一的安全管理規劃，確定專案的安全需求、安全目標、安全建設方案，以及生命週期各階段的安全需求、安全目標、安全管理措施。

第十條 應由專案應用主管單位進行專案需求分析、確定總體目標和建設方案。專案應用主管單位進行專案申報時應填寫《資訊系統專案立項申請表》，並提交《業務需求書》和《資訊系統專案可行性研究報告》。

第十二條 系統定級

1）依據國家資訊系統安全等級保護定級指南（GBT 22240-20xx）對專案中的系統進行定級，明確資訊系統的邊界和安全保護等級；

2）以書面的形式說明確定資訊系統為某個安全保護等級的方法和理由，形成資訊系統定級報告；

3）組織相關部門和有關安全技術專家對資訊系統定級結果的合理性和正確性進行論證和審定，上報上級主管單位和安全監控單位進行審定；

4）資訊系統的定級結果向本地公安機關進行備案。

第十三條 挖掘安全需求

在《業務需求書》中除了描述系統業務需求之外，還應進行系統的安全性需求分析，應至少包括以下資訊保安方面的內容：

1)安全威脅分析報告：應分析待建計算機系統在生命週期的各個階段中可能遭受的自然威脅或者人為威脅（故意或無意），具體包括威脅列表、威脅可能性分析、威脅嚴重性分析等；

2)系統脆弱性分析報告：包括對系統造成問題的脆弱性的定性或定量的描述，這些問題是被攻擊的可能性、被攻擊成功的可能性； 3)影響分析報告：描述威脅利用系統脆弱性可能導致不良影響。影響可能是有形的，例如資金的損失或收益的減少，或可能是無形的，例如聲譽和信譽的損失；

4)風險分析報告：安全風險分析的目的在於識別出一個給定環境中涉及到對某一系統有依賴關係的安全風險。它取決於上面的威脅分析、脆弱性分析和影響分析，應提供風險清單以及風險優先順序列表；

5)系統安全需求報告：針對安全風險，應提出安全需求，對於每個不可接受的安全風險，都至少有一個安全需求與其對應。

第十四條 安全可行性

在可行性報告的以下條目中應增加相應的資訊保安方面的內容：

1）專案目標、主要內容與關鍵技術：增加資訊化專案的總體安全目標，並在主要內容後面增加針對前面分析出的安全需求所提出的相應安全對策，每個安全需求都至少對應一個安全對策，安全對策的強度應根據相應資產的重要性來選擇；

2）專案採用的技術路線或者技術方案：增加描述如何從技術、運作、組織以及制度四個方面來實現所有的安全對策，並形成安全方案；

3）專案的承擔單位及人員情況介紹：增加專案各承擔單位的資訊保安方面的資質和經驗介紹，並增加介紹專案主要參與人員的資訊保安背景；

4）專案安全管理：增加專案建設中的安全管理模式、安全組織結構、人員的安全職責、建設實施中的安全操作程式和相應安全管理要求；

5）成本效益分析：對安全方案進行成本-效益分析。

第十五條 對投入使用的應用軟體需要升級改造的，雖不需另行立項，但仍需參照上述方法進行一定的安全性分析，並針對可能發生的安全問題提出和實現相應安全對策。

第四章 安全方案設計

第十六條 本階段主要是專案審批單位對專案申報內容進行安全方案的設計，對專案的安全性進行確定，必要時可以聘請外單位的專家參與論證工作。

第十七條 安全標準的確定

1）根據系統的安全保護等級選擇基本安全措施，設計安全標準必須達到等級保護相關等級的基本要求，並依據風險分析的結果進行補充和調整必要的安全措施；

2）指定和授權專門的部門對資訊系統的安全建設進行總體規劃，制定近期和遠期的安全建設工作計劃；

3）應根據資訊系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案，並形成配套檔案

4）應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套檔案的合理性和正確性進行論證和審定，並且經過批准後，才能正式實施；

5）根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套檔案。

第五章 方案論證和審批

第十八條 本階段主要是專案審批單位對專案申報內容進行審批，對專案進行安全性論證，必要時可以聘請外單位的專家參與論證工作。

第十九條 安全性論證和審批

安全性論證應著重對專案的安全需求分析、安全對策以及總體安全方案進行成本-效益、合理性、可行性和有效性分析，並在《資訊化專案立項審批表》上給出明確的結論：

1）適當

2）不合適（否決）

3）需作複議

對論證結論為“需作複議”的專案，通知申報單位對有關內容進行必要的補充或者修改後，再次提交複審。

第二十條 專案安全立項

審批後，專案審批單位將對專案進行立項，在《資訊系統專案任務書》的以下條目中應增加相應的電腦保安方面的內容：

1)專案的管理模式、組織結構和責任：增加專案建設中的安全管理模式、安全組織結構以及人員的安全職責；

2)專案實施的基本程式和相應的管理要求：增加專案建設實施中的安全操作程式和相應安全管理要求；

3)專案設計目標、主要內容和關鍵技術：增加總體安全目標、安全對策以及用於實現安全對策的總體安全方案；

4)專案實現功能和效能指標：增加描述系統擁有的具體安全功能以及安全功能的強度；

5)專案驗收考核指標：增加安全性測試和考核指標。

第二十一條 立項的專案，如採用引進、合作開發或者外包開發等形式，則需與第三方簽訂安全保密協議。

第六章 專案實施方案和實施過程安全管理標準

第二十二條 資訊化專案實施階段包括3個子階段：概要設計、詳細設計和專案實施，本階段的主要工作由專案開發承擔單位來完成，專案審批單位負責監督工作。

第二十三條 概要設計子階段的安全要求

在概要設計階段，系統層次上的設計要求和功能指標都被分配到了子系統層次上，這個子階段的安全目標是保證各子系統設計實現了總體安全方案中的安全功能。因此，《概要設計說明書》中至少應達到以下安全要求：

1)應當按子系統來描述系統的安全體系結構；

2)應當描述每一個子系統所提供的安全功能；

3)應當標識所要求的任何基礎性的硬體、韌體或軟體，和在這些硬體、韌體或軟體中實現的支援性保護機制提供的功能表示；

4)應當標識子系統的所有介面，並說明哪些介面是外部可見的；

5)描述子系統所有介面的用途與使用方法，並適當提供影響、例外情況和錯誤訊息的細節；

6)確證子系統（不論是開發的，還是買來的）的安全功能指標滿足系統安全需求。

第二十四條 詳細設計子階段的安全要求

無論是新開發一個系統，或是對一個系統進行修改，本階段的任務是完成那些不能買到現成品的軟硬體模組的設計。先要完成每個模組的詳細設計方案，最後根據每個模組的詳細設計得到整個系統的詳細設計。本子階段的安全目標是保證各模組設計實現了概要設計中的安全功能，因此在這一階段的《詳細設計說明書》中至少要包括以下資訊保安內容：

1）詳細設計中應提出相應的具體安全方案，標明實現的安全功能，並應檢查其技術原理；

2）對系統層面上的和模組層面上的安全設計進行審查；

3）完成安全測試和評估要求（通常包括完整的系統的、軟體的、硬體的安全測試方案，至少是相關測試程式的一個草案）；

4）確認各模組的設計，以及模組間的介面設計能滿足系統層面的安全要求。

第二十五條 專案實施子階段的安全要求

無論是新開發一個系統或是進行系統修改，本階段的主要目的是將所有的模組（軟硬體）整合為完整的系統，並且檢查確認整合以後的系統符合要求。本階段中，應完成以下具體資訊保安工作：

1)更新系統安全威脅評估，預測系統的使用壽命；

2)找出並描述實現安全方案後系統和模組的安全要求和限制，以及相關的'系統驗證機制及檢查方法；

3)完善系統的執行程式和全生命期支援的安全計劃，如金鑰的分發等；

4)在《系統整合操作手冊》中，應制定安全整合的操作程式；

5)在《系統修改操作手冊》中，應制定系統修改的安全操作程式；

6)對專案參與人員進行資訊保安意識培訓；

7)並對參加專案建設的安全管理和技術人員的安全職責進行檢查。

第二十六條 在系統實施階段需要採購的網路安全裝置必須由公司進行統一採購，並確保採購的裝置至少符合下面的要求：

1)網路安全裝置選型應根據國家電力行業有關規定選擇經過國家有關權威部門的測評或認證的產品。

2)所有安全裝置後均需進行嚴格檢測，凡購回的裝置均應在測試環境下經過連續72小時以上的單機執行測試和聯機48小時的應用系統相容性執行測試。嚴禁將未經測試驗收或驗收不合格的裝置交付使用。

3)通過上述測試後，裝置才能進入試執行階段。試執行時間的長短可根據需要自行確定。通過試執行的裝置，才能投入生產系統，正式執行。

第二十七條 在軟體的開發被外包的地方，應當考慮如下幾點：

1)檢查程式碼的所有權和智慧財產權情況；

2)質量合格證和所進行的工作的精確度；

3)在第三方發生故障的情況下，有第三方備份儲存；

4)進行質量稽核；

5)在合同上有程式碼質量方面的要求；

6)在安裝之前進行測試以檢測特洛伊程式碼；

7)提供原始碼以及相關設計、實施文件；

8)重要的專案建設中還要要對原始碼進行稽核。

第二十八條 計算機系統整合的資訊科技產品（如作業系統、資料庫等）或安全專用產品（如防火牆、IDS等）應達到以下要求：

1)對專案實施所需的計算機及配套裝置、網路裝置、重要機具（如ATM）、

計算機軟體產品的購置，計算機應用系統的合作開發或者外包開發的確定，按現有制度中的相關規定執行；

2)安全產品的採購必須由公司進行統一採購；

3)安全專用產品應具有國家職能部分頒發的資訊保安專用產品的銷售許可證；

4)密碼產品符合國家密碼主管部門的要求，來源於國家主管部門批准的密碼研製單位；

5)關鍵安全專用產品應獲得國家相關安全認證，在選型中根據實際需要制定安全產品選型的標準；

6)關鍵資訊科技產品的安全功能模組應獲得國家相關安全認證，在選型中根據實際需要制定資訊科技產品選型的標準。

7)所有安全裝置後均需進行嚴格檢測，凡購回的裝置均應在測試環境下經過連續72小時以上的單機執行測試和聯機48小時的應用系統相容性執行測試。嚴禁將未經測試驗收或驗收不合格的裝置交付使用。

8)通過上述測試後，裝置才能進入試執行階段。試執行時間的長短可根據需要自行確定。通過試執行的裝置，才能投入生產系統，正式執行。

第二十九條 產品和服務供應商應達到以下要求：

1)系統整合商的資質要求：至少要擁有國家權威部門認可的系統一級整合資質，對於較為重要的系統應有更高級別的整合資質；

2)工商要求：

①產品、系統或服務提供單位的營業執照和稅務登記在合法期限內；

②產品、系統或服務提供商的產品、系統或服務的提供資格；

③連續贏利期限要求；

④連續無相關法律訴訟年限要求；

⑤沒有發生重大管理、技術人員變化和流動的期限要求；

⑥沒有發生主業變化期限要求。

3)資訊保安產品的採購請參閱《資訊保安產品採購、使用管理制度》

4)安全服務商資質：至少應具有國家一級安全服務資質，對於較為重要的系統應有更高級別的安全服務資質；

5)人員資質要求：系統整合人員、安全服務人員以及相關管理人員應獲得國家權威部門頒發的資訊保安人員資質認證；

6)其它要求：系統符合國家相關法律、法規，按照相關主管部門的技術管理規定對非法資訊和惡意程式碼進行有效控制，按照有關規定對裝置進行控制，使之不被作為非法攻擊的跳板；

7)服務供應商的選擇還要參閱《安全服務外包管理制度》。

第七章 專案驗收與投產

第三十條 系統建設完成後，專案承建方要依據專案合同的交付部分嚮應用主管部門進行專案交付，但交付的內容至少包括：

1)制定的系統交付清單，對交付的裝置、軟體和文件進行清點； 2)對系統運維人員進行技能培訓，要求系統運維人員能進行日常的維護；

3)提供系統建設的過程文件，包括實施方案、實施記錄等；

4)提供系統執行維護的幫助和操作手冊

第三十一條 系統交付要專案實施和應用主管部門的相關專案負責人進行簽字確認。

第三十二條 系統交付由專案應用系統主管部門負責，必須安照系統交付的要求完成交付工作。

第三十三條 應制定投產與驗收測試大綱，在專案實施完成後，由專案應用主管單位和專案開發承擔單位共同組織進行測試。在測試大綱中應至少包括以下安全性測試和評估要求：

1)配置管理：系統開發單位應使用配置管理系統，並提供配置管理文件；

2)安裝、生成和啟動程式：應制定安裝、生成和啟動程式，並保證最終產生了安全的配置；

3)安全功能測試：對系統的安全功能進行測試，以保證其符合詳細設計並對詳細設計進行檢查，保證其符合概要設計以及總體安全方案；

4)系統管理員指南：應提供如何安全地管理系統和如何高效地利用系統安全功能的優點和保護功能等詳細準確的資訊；

5)系統使用者指南：必須包含兩方面的內容：首先，它必須解釋那些使用者可見的安全功能的用途以及如何使用它們，這樣使用者可以持續有效地保護他們的資訊；其次，它必須解釋在維護系統的安全時使用者所能起的作用；

6)安全功能強度評估：功能強度分析應說明以概率或排列機制（如，口令字或雜湊函式）實現的系統安全功能。例如，對口令機制的功能強度分析可以通過說明口令空間是否有足夠大來指出口令字功能是否滿足強度要求；

7)脆弱性分析：應分析所採取的安全對策的完備性（安全對策是否可以滿足所有的安全需求）以及安全對策之間的依賴關係。通常可以使用穿透性測試來評估上述內容，以判斷它們在實際應用中是否會被利用來削弱系統的安全。

第三十四條 測試完成後，專案測試小組應提交《測試報告》，其中應包括安全性測試和評估的結果。不能通過安全性測試評估的，由測試小組提出修改意見，專案開發承擔單位應作進一步修改。

第三十五條 測試通過後，由專案應用單位組織進入試執行階段，應有一系列的安全措施來維護系統安全，它包括處理系統在現場執行時的安全問題和採取措施保證系統的安全水平在系統執行期間不會下降。具體工作如下：

1)監測系統的安全效能，包括事故報告；

2)進行使用者安全培訓，並對培訓進行總結；

3)監視與安全有關的部件的拆除處理；

4)監測新發現的對系統安全的攻擊、系統所受威脅的變化以及其它與安全風險有關的因素；

5)監測安全部件的備份支援，支援與系統安全有關的維護培訓；

6)評估大大小小的系統改動對安全造成的影響；

7)監測系統物理和功能配置，包括執行過程，因為一些不太顯眼的改變可能影響系統的安全風險。

第三十六條 系統安全試執行半年後，專案應用主管單位可以組織由專案開發承擔單位和科技部門人員參加的專案驗收組對專案進行驗收。驗收應增加以下安全內容：

1)專案是否已達到專案任務書中制定的總體安全目標和安全指標，實現全部安全功能；

2)採用技術是否符合國家、電力行業有關安全技術標準及規範；

3)是否實現驗收測評的安全技術指標；

4)專案建設過程中的各種文件資料是否規範、齊全；

5)在驗收報告中也應在以下條目中反映對系統安全性驗收的情況：

6)專案設計總體安全目標及主要內容；

7)專案採用的關鍵安全技術；

8)驗收專家組中的安全專家及安全驗收評價意見。

第三十七條 系統備案

1）系統建設完成後，要向相應的公安機關進行備案，系統的備案，備案的相關材料有由公司進行統一管理，相應的系統應用、管理部門可以借閱；

2）系統等級及相關材料報系統主管部門進行備案；

3）系統待級及其它要求的備案材料報相應的公安機關備案。

第四十條 裝置管理

1)裝置的使用均應指定專人負責，均應設定嚴格的管理員身份鑑別和訪問控制，嚴禁盜用帳號和密碼，超越管理許可權，非法操作安全裝置。

2)裝置的口令不得少於10位，須使用包含大小寫字母、數字等在內的不易猜測的強口令，並遵循省電網公司統一的帳號口令管理辦法。

3)裝置的網路配置應遵循統一的規劃和分配，相關網路配置應向資訊管理部門備案。

4)裝置的安全策略應進行統一管理，安全策略固化後的變更應經過安全管理人員稽核批准，並及時更新策略配置庫。

5)裝置須有備機備件，由公司統一進行保管、分發和替換。

6)加強裝置外聯控制，嚴禁擅自接入國際網際網路或其他公眾資訊網路。

7)工作需要，裝置需攜帶出工作環境時，應遞交申請並由相關責任人簽字並留檔。

8)儲存介質（含磁碟、磁帶、光碟和優盤）的管理應遵循：

①因工作原因需使用外來介質，應首先進行病毒檢查。

②儲存介質上貼上統一標識，註明編號、部門、責任人。

③儲存介質如有損壞或其他原因更換下來的，需交回處理。

9)安全裝置的使用管理：

①安全裝置每月詳細檢查一次，記錄並分析相關日誌，對可疑行為及時進行處理；

②關鍵安全裝置媒體必需進行日常巡檢；

③當裝置的配置更改時，應做好配置的備份工作；

④安全裝置出現故障要立即報告主管領導，並及時通知系統整合商或有關單位進行故障排除，應填寫操作記錄和技術文件。

10)裝置相應責任人負責：

①建立詳細的執行日誌記錄、備份制度；

②負責裝置的使用登記，登記內容應包括執行起止時間、累計執行時數及執行狀況等。

③負責進行裝置的日常清洗及定期保養維護，做好維護記錄，保障裝置處於最佳狀況；

④一旦裝置出現故障，責任人應立即如實填寫故障報告，通知有關人員處理；

⑤裝置責任人應保證裝置在其出廠標稱的使用環境（如溫度、溼度、電壓、電磁干擾、粉塵度等）下工作；

11)及時關注下發的各類資訊保安通告，關注最新的病毒防治資訊和提示，根據要求調節相應裝置引數配置；

12)安全管理員應界定重要裝置，對重要裝置的配置技術文件應考慮雙份以上的備份，並存放一份於異地。

第四十一條 投產後的監控與跟蹤

專案投產後還應進行一段時間的監控和跟蹤，具體包括以下要求：

1)應對系統關鍵安全效能的變化情況進行監控，瞭解其變化的原因；

2)對系統安全事故的發生、應急、處理、恢復、總結進行全程跟蹤，並編寫詳細的記錄；

3)監控新增的安全部件對系統安全的影響；

4)跟蹤安全有關部件的拆除處理情況，並監控隨後系統安全性的變化；

5)對新發現的對系統安全的攻擊進行監控，記錄其發生的頻率以及對系統的影響；

6)監控系統所受威脅的變化，評估其發生的可能性以及可能造成的影響；

7)監控並跟蹤安全部件的備份情況；

8)監控執行程式的變化，並記錄這些變化對系統安全的影響；

9)監控系統物理環境的變化情況，並記錄這些變化對系統安全的影響；

10)監控安全配置的變化情況，並記錄這些變化對系統安全的影響；

11)對於上述所有監控和跟蹤內容，如果對系統安全有不良影響處，都應在系統設計、配置、執行管理上做相應改進，以保證系統安全、正常執行。

第四十二條 等級測評

1）系統進入執行過程後，三級的系統每年聘請第三方測評機構對系統進行一次等級測評，二級的系統由自已每年測評一次，發現不符合相應等級保護標準要求的及時整改；

2）系統發生變更時，及時對系統進行等級測評，發現級別發生變化的及時調整級別並進行安全改造，發現不符合相應等級保護標準要求的及時整改；

3）測評機構要選擇具有國家相關技術資質和安全資質的單位；

4）系統的等級測評由資訊部負責管理。

第八章 附 則

第四十三條 本制度由公司XX部門負責解釋。

第四十四條 本制度自頒佈之日起實行。

資訊系統管理制度 篇二

第一條 為規範全院資訊系統的執行維護管理工作，確保資訊系統的安全可靠執行，切實提高效率和服務質量，使資訊系統更好地服務於運營和管理，特制定本管理辦法。

第二條 執行維護管理的基本任務：

１、進行資訊系統的日常執行和維護管理，實時監控系統執行狀態，保證系統各類執行指標符合相關規定；

２、迅速而準確地定位和排除各類故障，保證資訊系統正常執行，確保所承載的各類應用和業務正常；

３、進行系統安全管理，保證資訊系統的執行安全和資訊的完整、準確；

４、在保證系統執行質量的情況下，提高維護效率，降低維護成本。

第三條 網路中心負責全院範圍內資訊系統執行維護管理、監督檢查和質量考核評定工作，掌握執行質量情況，制定質量指標，並對資訊系統各級維護部門進行定期檢查考核；

第四條 負責全院範圍內資訊系統的計算機硬體平臺、基礎軟體、應用軟體、配套網路和的監控和日常維護工作，制定日常維護作業計劃並認真執行，保證資訊系統正常執行； 對於系統的所有維護（包括日常作業計劃、故障處理、系統改進、資料變更、資料的備份與恢復、功能完善增加）都必須填寫維護記錄；負責所轄範圍內資訊系統資料的備份與恢復，負責落實系統安全執行措施；每年至少組織一次全行範圍內的資訊系統運維管理巡迴檢查，全面檢查各維護作業計劃管理、技術檔案和資料管理、備份及日誌管理、機房管理、安全保密管理等制度的落實情況。

第五條 系統出現故障，資訊系統維護部門或維護人員首先進行處理，同時判斷系統型別和故障級別，根據系統型別和故障級別，故障處理應在要求的時限內完成，並同時向院部報告。對無法解決的故障，應立即向軟硬體最終提供商、代理商或維保服務商（以下簡稱廠商）提出技術支援申請，督促廠商安排技術支援，必要時進行跟蹤處理，與廠商一起到現場進行解決。

第六條 廠商技術人員現場處理故障時，當地維護人員應全程陪同並積極協助，並在故障解決後進行書面確認。

第七條 參與故障處理的'各方必須如實、及時填寫故障處理單，現場技術支援還須當地維護人員予以簽字確認或維護部門蓋章。

第八條 建立重要緊急資訊上報渠道，對於發生的重要緊急情況，應該立即逐級向院部主管領導報告，對業務影響較大的還應及時通知業務部門。

第九條 資訊系統維護管理部門負責技術檔案和資料的管理，應建立健全必要的技術資料和原始記錄等。

第十條 軟體資料管理應包含以下內容：

１、所有軟體的介質、許可證、版本資料及補丁資料；

２、所有軟體的安裝手冊、操作使用手冊、應用開發手冊等技術資料；

３、上述資料的變更記錄。

第十一條 無關人員未經管理維護人員的批准嚴禁進入機房。

第十二條 機房內嚴禁吸菸、飲食、睡覺、閒談等，嚴禁攜帶易燃易爆、腐蝕性等汙染物和強磁物品及其它與機房工作無關的物品進入機房。

資訊系統管理制度 篇三

第一章 總則

第一條 為加強資訊系統使用者賬號和許可權的規範化管理，確保各資訊系統安全、有序、穩定執行，防範應用風險，特制定本制度。

第二條 本制度適用於場建設和管理的、基於角色控制和方法設計的各型資訊系統，以及以使用者口令方式登入的網路裝置、網站系統等。

第三條 資訊系統使用者、角色、許可權的劃分和制定，以人力資源部對部門職能定位和各業務部門內部分工為依據。

第四條 場協同辦公系統使用者和許可權管理由場辦公室負責，其他業務系統的使用者和許可權管理由各業務部門具體負責。所有資訊系統須指定系統管理員負責使用者和許可權管理的具體操作。

第五條 資訊系統使用者和許可權管理的基本原則是：

（一）使用者、許可權和口令設定由系統管理員全面負責。

（二）使用者、許可權和口令管理必須作為專案建設的強制性技術標準或要求。

（三）使用者、許可權和口令管理採用實名制管理模式。

（四）嚴禁杜絕一人多賬號登記註冊。

第二章 管理職責

第七條 系統管理員職責

負責本級使用者管理以及對下一級系統管理員管理。包括建立各類申請使用者、使用者有效性管理、為使用者分配經授權批准使用的。業務系統、為業務管理員提供使用者授權管理的操作培訓和技術指導。

第八條 業務管理員職責

負責本級本業務系統角色制定、本級使用者授權及下一級本業務系統業務管理員管理。負責將上級建立的角色或自身建立的角色授予相應的本級使用者和下一級業務管理員，為本業務系統使用者提供操作培訓和技術指導，使其有許可權實施相應業務資訊管理活動。

第九條 使用者職責

使用者須嚴格管理自己使用者名稱和口令，遵守保密性原則，除獲得授權或另有規定外，不能將收集的個人資訊向任何第三方洩露或公開。系統內所有使用者資訊均必須採用真實資訊，即實名制登記。

第三章 使用者管理

第十條 使用者申請和建立

（一）申請人在《使用者賬號申請和變更表》上填寫基本情況，提交本部門負責人；

（二）部門負責人確認申請業務使用者的身份許可權，並在《使用者賬號申請和變更表》上簽字確認。

（三）資訊系統管理部門經理進行審批後，由系統管理員和業務員建立使用者或者變更許可權。

（四）系統管理員和業務管理員將建立的使用者名稱、口令告知申請人本人，並要求申請人及時變更口令；

（五）系統管理員和業務管理員將《使用者賬號申請和變更表》存檔管理。

第十一條 使用者變更和停用

（一）人力資源部主管確認此業務使用者角色許可權或變更原因，並在《使用者賬號申請和變更表》上簽字確認；

（二）執行部門主管確認此業務使用者角色許可權或變更原因，並在《使用者賬號申請和變更表》上簽字確認；

（三）系統管理員變更

系統管理員變更，應及時向上級系統管理員報告，並核對其賬戶資訊、密碼以及當時系統中的各類使用者資訊及文件，核查無誤後方可進行工作交接。新任系統管理員應及時變更賬戶資訊及密碼。

（四）業務管理員變更

業務管理員變更應及時向本級系統管理員及上級業務管理員報告，上級業務管理員和系統管理員及時變更業務管理員資訊。

（五）使用者登出

使用者因工作崗位變動，調動、離職等原因導致使用許可權發生變化或需要登出其分配賬號時，應填寫《使用者賬號申請和變更表》，按照使用者賬號停用的相關流程辦理，由系統管理員和業務管理員對其許可權進行登出。

第四章 安全管理

第十二條 使用各資訊系統應嚴格執行國家有關法律、法規，遵守公司的規章制度，確保國家祕密和企業利益安全。

第十三條 口令管理

（一）系統管理員建立使用者時，應為其分配獨立的初始密碼，並單獨告知申請人。

（二）使用者在初次使用系統時，應立即更改初始密碼。

（三）使用者應定期變更登陸密碼。

（四）使用者不得將賬戶、密碼洩露給他人。

第十四條 帳號審計

賬號審計工作由資訊系統管理部門的負責人或者主管進行審計，並應定期向其領導進行彙報，由場資訊系統管理部門負責人定期和不定期檢查。

第十五條 應急管理

（一）使用者及業務管理員賬戶資訊洩露遺失

使用者及業務管理員賬戶資訊洩露遺失時，應在24小時內通知本級系統管理員。本級系統管理員在查明情況前，應暫停該使用者的使用許可權，並同時對該賬戶所報資料進行核查，待確認沒有造成對報告資料的破壞後，通過修改密碼，恢復該賬戶的報告許可權，同時保留書面情況記錄。

（二）系統管理員賬戶資訊洩露遺失

系統管理員賬戶資訊洩露遺失時，應立即向上級系統管理員報告，暫停其系統管理員賬戶許可權，同時對系統賬戶管理及資料安全進行核查，採取必要的補救措施，在最終確認系統安全後，方可恢復其系統管理員賬戶功能。

第五章 附則

第十六條 本制度自20xx年xx月xx日起施行。

第十七條 本制度由場辦公室負責制定、修改和解釋。