信息系统管理办法

信息系统管理办法

第一章：总则

第一条为保证公司信息网络系统的安全，根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司内网络系统建设的实际情况，制定本办法。

第二条本办法所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。

第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。

第四条本规定适用于公司内所有计算机硬件及周边设备（如打印机、扫瞄仪、MO存储器，软磁碟，CD碟，数码相机、考勤机终端等）及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。

第二章信息系统安全管理

第五条计算机系统账号与操作员代码

一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设臵根据不同应用系统的要求及岗位职责而设臵；

二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得；

三、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；

四、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有主管负责人授权；

五、信息部门任何人员不得使用他人操作代码进行业务操作；

六、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；

七、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设臵。

八、操作员不得使用或盗用他人代码进行业务操作。

九、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。

第六条密码与权限管理

一、密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设臵应具有安全性、保密性，不能使用简单的代码和标记。

二、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，在可能的情况下并相应记记录用户名、修改时间、修改人等内容，及时上报公司信息中心备案。

三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设臵和管理，并由密码设臵人员将密码装入密码信封，在骑缝处加盖部门印章并签字标注封存日期后交由信息中

心存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索

取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。

四、系统维护用户的密码应至少由两人共同设臵、保管和使用。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记并备档留存。

第三章数据安全管理

第七条存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并保证重要系统业务备份要有两份。并明确落实异地备份数据的管理职责;

第八条注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。

第九条任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

第十条数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，原则上数据恢复由公司信息中心完成。如因其他原因由业务部门进行的，信息中心心须指定相关人员进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

第十一条数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。

第十二条需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

第十三条非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。

第十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。

第十五条运行维护部门需指定专人负责计算机病毒的防范工作，建立企业内部计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

第十六条公司内所有计算机未经信息部允许不准安装与其业务部门无关的软件、不准使用来历不明的载体（包括软盘、光盘、移动硬、MP3盘其他存储介质）。

第四章网络安全及防病毒管理

第十七条任何人员不得盗用他人账号或操作员代码、公司内部网络安全管理密码进行操作

第十八条部门所使用计算机不得使用除集团军公司内及时通讯软件外的任何第三方软件。严禁在工作计算机上安装BT、P2P等类型的多线程或占用带宽流量的下载软件，所有下载均采用单线程下载。保证公司的带宽有效利用。

第十九条计算机内电子邮件收发均通过公司内部邮件系统进行，不得采用其他外部邮件系统，如因需要，可向信息中心申报后给予开通POS服务通道，并做备案。

第二十条公司各部门计算机均采用域管理方式进行登陆，在工作期间必须登陆公司域服务器，并严格按照域管理下的操作说明进行文档及其他相关文件的传递。

第二十一条防病毒系统均采用公司统一布署的企业网络防病毒系统，各部门计算机病毒代码均由公司防病毒服

务器进行统一下载，不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。

第二十二条为保证公司Internet的带宽流量，信息主管部门必须对访问Internet权限进行管控，各部门若有访问外部Internet公网其他特别需求的，可提出申请，经部门主管及信息部门审核，报经总经理批准后，使申请人享受访问Internet的特别需求权力。未通过此程序审批而私自设定其他方法访问外部网络，一经发现，将做严责。如因此给公司带来损失的，责成责任人承担相应损失。

第五章机房安全管理

第二十三条进入信息主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作等内容。

第二十四条信息管理人员进入机房必须在“机房出入管理登记簿”签字登记，其他人员进入机房必须经信息中心许可，并由有关人员陪同（特殊情况除外）。机房当日值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经信息部门负责人批准同意后有关人员陪同情况下进行。对操作内容进行记录，由操作人和监督人签字后备案。中心机房实行严格的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。每天应实行机房例行检查制度，并就机房设备运行及其他情况做好值日记录。

第二十五条保持机房整齐清洁，各种中心设备按维护计划定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护、防雷、防尘等项工作，保证主机系统的平稳运行.定期对机房运行的各项环境指标（如温度、洁净度、温度上升率等）进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，保证机房各项设备的正常运行。

第二十六条机房内严禁吸烟、进食、会客、聊天等与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特别是易燃、易爆、有腐蚀等危险品进入机房。其他部门如因需要携入移动计算机入机房需报经信息部门批准方可携入。

第二十七条机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。

第二十八条严禁在未采取安全措施或通电的情况下

拆卸，移动机房内等相关设备、部件及网络。在进行机房硬件更换或维修时，必须进行静电释放方可进行。

第二十九条定期检查机房消防设备器材，做做好检查登记，在机房值日记录上并做书面登记。

第三十条机房内不准随意丢弃存储介质和有关业务

保密数据资料，对废弃存储介质和业务保密资料要及时销毁（碎纸），不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。

第三十一条服务器等所在的中心机房后备电源（UPS）除了电池自动检测外，每年必须深充放电一次到两次。

第六章 IT设备购臵、配发、维修及报废管理

第三十二条 IT设备购臵

一、所有IT设备均由公司采供部进行采购。设备购臵由使用部门提出申请，由信息部门进行核定后上报公司分管领导审批后转公司采供部统一采购。

二、对IT设备的采购验收信息部配合采供部共同完成，验收合格后由信息部进行安装调试后配发申请使用部门。

三、信息部负责对购臵的IT设备做专项台账建立，并于年低转交一份至公司财务部备查。

四、大型IT设备采购或特殊IT设备采购，申请部门原则上提前一周向信息部转交购臵申请，信息部在接到购臵申

请后必须进行询价，询价必须至少在三家以上，出具IT设备购臵市场调查及建议随附购臵申请上报公司领导审批，审批后转公司采供部。

五、IT设备耗材的采购，信息部配合办公室、财务部、企划部制定IT设备耗材定额及费用核算后按核算标准采购。部门IT设备耗材超出核算部分由部门自行承担。

六、对IT设备的采购严格遵守公司的统一采购流程及管理规定，配合采供部完成IT设备的采购及验收工作。

第三十三条 IT设备配发

一、公司IT设备的购臵配发及调配由信息部进行统一规划和管理。

二、信息部依据公司年度工作计划，编制公司年度IT

设备采购及配发计划。

三、公司各部门因工作需要提出申请配发IT设备的，由使用部门提出申请，具体载名使用岗位、用途后转信息部，由信息部按工作岗位、工作需要、性能要求等分配闲臵IT

设备或购臵。如需购臵则转入IT设备采购流程进行购臵配发。

四、IT设备的配发及互调必须由信息部备案，信息部及时进行IT设备台账变更登记，注明配发及互调日期等相关事项。

第三十四条 IT设备故障维修

一、信息部负责公司所有IT设备的故障及维修。

二、信息部对公司的IT设备故障做鉴定和维修，并出具鉴定结果，并对鉴定结果负责。

三、在接到部门的使用保障后，一般故障需在15分钟内赶到，影响到部门正常工作业务开展的，5分钟内必须赶到（特殊情况除外），重大故障（数据丢失、工作无法开展的）必须在接到报障后，报请信息部负责人，由信息部提出解决方案，依据方案进行处理，对重大故障信息部必须备案。

四、对于一般故障和影响到部门工作业务开展的，必须在当天工作日内完成处理，超出工作日的原则上不算加班。对于重大故障必须及时维护及维修的，如超出工作时限部分按照实际情况酌情处理。

五、任何报障必须建立报障维修记录，并做保障事故签定。维修人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。

六、IT设备硬件故障经信息部维修人员鉴定在其范围内无法维修的，如在三包范围内的，由信息部联系销售厂家进行维修。超出三包范围的，信息部填报外包维修申请单，由信息部负责人核准上报公司分管领导审批后交由外包维修单位进行维修。

七、IT设备外包维修单位具体事宜由信息部进行洽谈并与其签定外包维修合同。合同交由法务部进行核准方可签定。

八、对于发往外包维修或三包范围内的设备维修信息部必须进行登记造册，注明产品型号、品牌、内部具体配臵等信息。在维修返回后依据的出厂维修登记进行验收。

九、对于外包或三包范围内的IT设备维修，为确保报障部门正常工作，信息部在不影响其他部门工作正常开展的情况下有权对IT设备进行暂时调配。

十、企业IT核心设备的硬件物理损坏故障鉴定必须由厂家及公司委托专业IT设备鉴定机构完成，信息部负责全程跟踪，对最终鉴定结果负责。

十一、对于IT硬件设备故障在鉴定后无维修价值的，转入IT设备报废管理流程进行处理。

第三十五条 IT设备报废管理

一、IT设备的报废鉴定统一由信息部完成，特殊IT设备（如服务器，磁带存储设备、核心路由器、核心交换机）的故障鉴定由厂家、公司委托第三方IT设备鉴定机构、信息部共同完成。信息部对IT设备的报废鉴定结果负责。

二、信息部对IT设备报废鉴定报告上报公司分管领导审批后，对报废IT设备统一进行存放管理。

三、对IT设备报废鉴定为人为原因造成的，由责任人承担此IT设备的全额损失，并按照公司相关管理规定进行从严处罚。

四、信息部对管理存放的报废IT设备定期进行清理，并做处理方案报公司分管领导审批后，对报废IT设备进行出售，并由办公室、财务部监督执行。对所出售所得款项当天缴至财务部。建立报废IT设备出售台账，以备查验。

五、公司各部门要在最大程度上提高IT设备的使用年限，厉行节约。信息部要做到IT设备可用零部件的二次利用，为公司开源节流做贡献。

第七章 IT项目管理

第三十六条本管理规定适用于公司内信息化建设过程中的所有IT系统项目招标、采购及实施。

第三十七条公司信息化建设过程的系统建设要从公司中长期规划出发，结合公司现行实际发展情况，根据必要性、合理性、经济性而实施。保证公司的投资效益。

第三十八条公司IT系统的建立过程中的市场调研、组织招标、合同签定、项目实施等均由信息部与建设部门共同配合完成，信息部主导上述工作各环节。

第三十九条公司IT系统项目立项申请原则上由建设部门提出，信息部也可以根据公司发展提出。所有IT系统立项均报公司上会研究决定后方可着手实施。

第四十条 IT系统项目的立项申请必须确定IT系统的总体管理目标。申请必须书面清晰说明需求，信息部在接到项目申请后必须在一周内完成市场调查，并出具相关报告随同项目申请上报公司领导，经公司会议研究决定批准后，信息部按照批准后意见组织项目实施。

第四十一条 IT系统项目的采购合同必须报公司法务部进行核准后方可签定。

第四十二条 IT系统项目一经确定立项实施，必须成立项目小组，确定项目小组负责人及成员，原则上项目小组负责人由公司领导担任，小组成员由公司内各部门负责人组成。信息部在项目实施过程中对项目小组负责。

第四十三条项目小组成员要根据项目要求，极积主动高质量完成项目实施过程中专项工作。工作实施专管专责，不得中途转手他人（特殊情况除外）。

第四十四条信息部在项目实施过程中负责协调、组织、沟通和实施过程中的衔接工作。及时解决处理项目实施过程中的技术和其他问题。

第四十五条信息部全程跟踪、管理项目实施过程中的所有环节，并对项目进度及质量负责。IT系统项目实施过程中的技术文档、项目需求、知识文档等信息部要建立完整的项目文档管理体系。

第四十六条 IT系统项目验收由项目小组评审验收，信息部具体负责项目验收评估及项目验收报告并上报公司审批等工作。

第四十七条信息部负责IT系统项目验收完成后的具体运行维护工作，并依据运行情况出具相关运行报告。

第四十八条由于公司发展需要，前期运行的IT系统需做二次开发或升级的，由具体使用部门与信息部配合及沟通提出系统需求，再由信息部整合需求，提供整体解决方案报公司信息化项目领导小组审定后，信息部与软件供应商联系系统二次开发或升级事宜。严禁相关部门私自或提前与软件供应商联系，避免谈判被动，给公司带来不利影响。

第八章计算机使用管理

第四十九条信息部负责公司内部门的计算机软件、硬件、上网行为及系统运行的统一维护和管理。

第五十条信息部负责对公司内各部门使用的计算机

做日常定期、不定期使用监督检查，对于检查中发现的违规全权处理。对于检查中发现的重大违规应及时上报公司分管领导。

第五十一条公司内全体员工对违规使用计算的行为

有互相监督和举报的权利。

第五十二条严禁外来人员使用公司电脑。

第五十三条公司所有计算机实行封签管理。计算机的维修权在信息部，任何人不得擅自更改计算机硬件配臵或打开计算机，非信息部人员对计算机故障原因的确定无任何效力。

第五十四条下班后各部门必须关闭计算机及处围设备，检查电源情况，确保安全方可离开。

第五十五条在办公期间，长时间不用电脑必须采取人离机锁定，防止公司信息数据及秘密泄露。

第五十六条计算机使用人员不得擅自更改系统软件

设臵，安装与工作无关的即时通讯、炒股、游戏、BT下载、P2P、在线流媒体音视频播放等第三方软件。

第五十七条公司接入互联网的网络参数及设备参数

严格实行保密，信息部对此项保密负责。

第五十八条特殊岗位使用计算机和系统操作人员必

须与公司统一签定公司信息网络安全保密协议。

第五十九条任何人不得利用公司计算机和网络从事

违法犯罪活动，一经查处落实，将从严处罚。

第六十条工作时间内严禁使用计算机或互联网做与

工作无关的事。

第六十一条工作时间除工作需要打开的互联网指定

访问外（包含下载），其他网络访问及网络应用信息部一律采用技术手段处理，确保各部门工作正常开展不受影响。

第六十二条公司内部网络带宽依据各部门实际工作需要，做带宽规划并进行带宽分配，确保各部门工作不受第三方影响。

第六十三条公司内除特别需要的，各部门使用的计算机一律通过公司域服务器登陆。并对各部门的USB接口，CD （DVD）光驱进行技术关闭。确保计算机内部数据及网络信息系统安全。

第六十四条公司内各部门的文件传输均采用公司内部邮件系统或公司内部即时通讯软件完成。

第六十五条信息部有权利用网络监控技术手段对公司内各岗位所使用的工作计算机进行数据、上网行为、系统等操作行为进行工作期间的监控。并对违规操作每月定期进行通报。

第九章罚则

第六十六条根据操作违规所给公司及信息系统的运行带来的损失及影响将违规操作分为A、B、C三类。

一、A类违规及范围界定：

1.在未经公司授权或非公司信息中心人员进行维护的前提下非岗位操作人员对其所使用的系统进行操作或查阅，查实盗取或违规修改应用系统业务数据的，给公司造成重大损失的。

2.在未经允许的情况下安装与信息系统或工作无关的软件、使用外带的各类移动存储设备（如：软盘、光盘、U 盘等），给公司信息系统带来直接危害的。

3.工作期间通过信息网络系统登陆非公司业务的任何互连网网站及其它各类与工作无关的网站网页，导致公司内部信息网络感染病毒的并严重影响工作开展的。

4.将公司网络参数及网络设备参数外泄造成公司网络信息系统安全隐患的。

5.未经允许以任何理由复制、携带、帮助查阅、口头泄露等任何方式将公司各类信息数据带出办公岗位或告知他人的。

6.在公司关键及特殊岗位使用的计算机上安装各类游软件的。

7.恶意更改公司网络信息系统的所涉及的各类参数及数据的。

8.通过公司网络信息系统窃取其它部门或个人的文档资料或文件，造成恶劣影响并给公司、部门、个人带来损失的。

9.向外界以书面或口头形式透露公司信息网络安全防御工具及措施的。

10.未经授权盗用他人帐号及密码操作非本岗位所使用的信息系统模快功能的。

11.IT设备未经报批擅自做报废和处理的。

12.蓄意破坏公司IT设备、网络线路造成严重损失和恶劣影响的。

13.对采购的IT设备未按验收流程严格验收，致使验收的IT设备无法正常运行的。

14.对IT系统项目立项招标过程中不按公司项目招标管理规定，违规操作的。

15.信息部人员未按报障时间规定及进响应处理报障，给部门工作造成重大后果的。

16.不按规定下班对IT设备进行电源关闭安全隐患检查，造成重大损失的。

17.采用技术或非技术手段蓄意破坏公司信息系统硬件或软件，造成重大后果的。

凡违反A类界定违规项的处以200--1000元/次/项罚款。并因此给公司、部门及个人造成的一切损失由违规人

全部承担。情节严重的上报公司将移交司法机关处理，并保留起诉权。

二、B类违规及范围界定：

1.各类业务单据、数据及相关业务处理因个人原因处理错误，已给公司造成一定的损失及不良的影响的。

2.未按公司各相关信息系统业务操作流程规定进行相应的业务管理及操作，可能会给公司带来损失的。包括：各类数据不及时跟踪检测造成偏差而查不出原因的、未经审批进行库存损溢数据处理的、无采购订单系统入库的、不按采购物资订单进行相应库存数据录入的、各种信息资料处理不及时等所有的违反公司制定的信息系统操作流程的现象。

3.所有的过失错误造成公司信息系统数据不准确及偏差给公司造成损失的。包括：仓库盘点数据录入错误、对信息系统出现的问题及故障人为性不及时处理造成部门工作延误或影响的、对部门内发现的问题不及时上报隐瞒问题真象的等所有因个人工作过失造成影响到公司信息管理的一切违规行为。

4.违反IT管理规定登陆互联网造公司计算机感染病毒或采用非正规手段传播、制造病毒，给公司信息系统安全带来隐患的。

5．将IT设备配件擅自拆除挪作他用或盗取的。

凡违反B类限定违规项的处以20--100元/次/项罚款。并因此给企业或个人造成的一切损失由违规人全部承担。情节严重的公司将根据实际情况予以加重处理或解聘。

三、C类违规范围界定：

1.因个人工作延误或失职造成工作的滞后但未给公司造成直接经济损失的。包括：数据录入信息系统不及时、不涉及公司核算项的内容录入错误、单据录入或未做系统提交生效的、各类单据及业务处理错误但能及时发现并予以改正的。

2.因个人的工作违规未给公司造成直接损失且影响其它部门业务正常开展的。包括：相关核算单据不及时传递、各种业务通知不及时传达到对应的部门的、对于信息系统出现的问题不及时沟通造成工作混乱的等所有违规行为。

3.工作期间利用计算机做与工作无关的事，违规下载各类文件的。

4.不按规定下班对IT设备进行电源关闭安全隐患检查，造成损失的.

5.擅自打开或更换公司IT设备内部配臵或安装与工作无关软件的。

6.不按规定工作期间计算机未登陆域服务器，造成公司IT管理失控的.

凡违反C限定违规项的处以20元/次/项罚款。并对违规行为做公司内警告处分。

第六十七条信息部人员违反本管理规定加重责罚。

第十章附则

第六十八条此管理规定由信息部负责起草并解释。

第六十九条此管理规定报公司批准下发后即时生效。

成都铁路局安全信息监督管理系统使用管理办法(试行).

成都铁路局安全信息监督 管理系统使用管理办法（试行） 第一章总则 第一条为充分运用安全信息监督管理系统，切实强化安全监督检查、现场作业控制、安全风险分析研判和安全责任制落实，促进管理规范化、检查整治常态化、现场作业标准化建设（简称“三化”建设），特制定本办法。 第二条依托计算机网络和信息技术构建的安全信息监督管理系统（以下简称信息系统），具有检查量化任务下达、检查信息管理、问题管理、安全考核、安全谈心、统计分析等功能，能广泛应用到局、站段、车间（班组），实现安全信息共享。 第三条路局机关有关部门、各运输站段、非运输企业、运输辅助单位、建设指挥部（包括局管合资铁路公司）、铁路办事处均应充分应用信息系统加强安全管理，强化“三化”建设，促进安全持续稳定。 第二章职责分工 第四条安监室牵头负责系统建设、运用管理和基础数据维护，协调科研所不断完善系统功能，指导督促各系统用

好信息系统，充分运用信息系统开展安全分析、考核，及时加强全局安全风险预警提示，促进安全管理规范化和安全风险控制。 第五条科研所负责信息系统的具体建设、日常维护、故障处理和升级工作，不断完善系统功能，满足运用需要；信息技术所负责系统主机、存储、网络、机房等计算机设备购置、更新、维护工作。 第六条业务处室负责本系统信息系统运用、管理和本部门有关基础数据维护，充分运用信息系统安全分析、考核功能，强化干部履职尽责，及时分析本系统“三性”问题，组织抓好问题整改，促进系统安全稳定，切实深化“三化”建设。 第七条站段单位负责信息系统在本单位的运用、管理和有关基础数据维护，充分运用信息系统安全分析、考核功能，强化现场控制、问题考核追究，深入分析突出安全风险，及时采取措施阻断风险发展，切实解决具体问题及背后的管理根源，促进“三化”建设落到实处。 第八条人事、监察、宣传、教育、总工、劳卫等综合部门应运用信息系统，加强对各系统、各单位干部作风建设、思想政治工作、职工教育培训、规章制度管理、岗位准入等指导，切实强化安全保障。 第三章安全检查管理

信息系统建设管理制度

信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。 第二条本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术，同时更要有全面动态的安全策略和良好的内部管理机制，本规范包括五个部分： 1）项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则； 2）项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要求，确定各个环节的安全需求、目标和建设方案； 3）方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设安全方案进行论证，确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批； 4）项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管理目标和实施办法，并完成项目安全专用产品的确定、非安全产品安全性的确定等； 5）项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的安全管理规范，以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 5271.8－2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8－2001中的术语和定义，还采用了以下术语和定义：

信息系统安全管理办法(通用版)

企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性，确保数据的完整性和准确性，防止计算机网络失密、泄密时间发生，制定本办法。 第二条公司信息系统的安全与管理，由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下： （一）负责业务软件系统数据库的正常运行与业务软件软件的安全运行； （二）负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用； （三）保证业务软件进销调存数据的准确获取与运用； （四）负责公司办公网络与通信的正常运行与安全维护； （五）负责公司杀毒软件的安装与应用维护； （六）负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码，不得外泄。

第七条定期监测检查各计算机运行情况，如业务软件系统数据库出现异常情况，首先做好系统日志，并及时向总经理汇报，提出应急解决方案。 第八条信息部在做系统需求更新测试时，需先进入备份数据库中测试成功后，方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位，也是各项数据的最原始存储位置，信息部必须做好设备的监测与记录工作，如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护，收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机（POS）IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式，外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址，应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施，任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理

数据管理办法.doc

数据管理办法 第一章总则 第一条为适应集团信息化发展要求,充分利用数据资源为生产、经营、管理和决策服务，保证各类信息合理、有序流动和信息安全，确保集团信息化建设快速协调有序安全发展，根据国家有关法律法规以及《集团信息安全管理办法》（中平〔2013〕188号）、等规定，特制定本管理办法。 第二条本办法适用于集团各职能部室，直属和特设机构、专业化公司、事业部、区域公司及其所属各单位（以下简称各单位）。 第二章管理范围 第三条本办法管理范围包括：各单位与生产、经营、办公、安全等相关的应用系统和数据，以及为其提供支撑的基础设施资源、计算存储资源和办公终端资源等。 第三章组织机构和工作机制 第四条集团信息化领导小组是集团数据资源管理体系的最高层，负责审定集团有关数据资源管理的规章、制度、办法，负责审核有关标准、规范、重要需求等。集团信息化领导小组办公室（以下简称集团信息办）负责集团数据管理的监督、检查和考核，指导集团数据管理工作，查处危害集团数据安全的事件。各单位负责本单位数据的采集、传输、使用、安防、备份等管理

工作。中国平煤神马集团平顶山信息通信技术开发公司（以下简称信通公司）作为技术支撑及运维部门，负责集团数据中心的运维和运营工作。 第四章数据分级管理 第五条根据数据在生产、经营和管理中的重要性，结合有关保密规定，按照集团级应用系统和数据、厂矿级应用系统和数据、区队（车间）级应用系统和数据分别制定管理标准。 第六条集团级应用系统和数据，技术管理由集团信息办负责，业务管理由相关业务处室负责，运维管理由信通公司负责。厂矿级应用系统和数据由各单位信息管理部门管理，集团需要利用的管理数据和生产数据要同步上传到集团数据中心。区队（车间）级应用系统和数据由各单位信息管理部门管理和维护。 第五章数据标准管理 第七条集团信息办负责集团数据编码和接口标准的统一规划和标准制定，负责对集团及各单位应用系统的数据标准管理进行引导和考核。各单位新建应用系统应严格执行集团下发的数据编码和接口标准，在用应用系统应根据自身实际逐步按照集团标准进行完善。 第八条数据编码和接口标准应符合以下要求： （一）数据编码应能够保证同一个对象编码的唯一性及上下游管理规范的一致性；

信息系统使用管理规定

信息系统使用管理规定 1 目的 为确保正确、安全的操作信息处理设施，防止资产遭受未授权泄露、修改、移动或销毁，以及因操作原因造成的业务活动中断。 2 适用范围 需要对公司内部信息系统访问、操作及维护信息处理设施的员工。 3 术语和定义 移动介质：是指存储了信息的硬盘、光盘、软盘、移动硬盘、U盘和刻录设备等。 4 职责和权限 公司所有员工以及第三方服务人员使用本公司的信息处理设施均因遵守本程序的规定。 5 相关活动 5.1 信息系统操作原则 所有员工必须遵守各种信息处理设施的有关使用规定，并按照相关规定操作。 未经授权不得操作信息系统，已授权用户必须在授权范围内使用信息系统，不得使用其他员工的权限操作系统，更不得恶意使用系统。 对信息系统设施和系统的变更、维护都应有明确的记录，由专人负责。 5.2 设备管理 各部门的计算机以及计算机的外围设备、消耗材料均由DXC一配备和管理。 计算机及其外围设备原则上不允许借到公司外使用，如确实需要，须经公司领导层同意并明确归还日期后方能借出，归还时要重新进行验收，如有损坏将按购入时的市场价格赔偿。 为保证每台计算机的完整性，各部门人员不得随意挪换计算机内、外部配件，计算机更换部件须经DXC同意。

使用中出现技术性故障，应及时分析，对于人为操作不当或非正常使用软件所造成的问题由DXC技术人员协助排除；对于硬件本身或非人为因素所造成大型故障由技术人员报DXC 给予解决。 软、硬件设备的原始资料（软盘、光盘、说明书及保修卡、许可证协议等）由DXC专人保管，使用者必需的操作守册由使用者保管。 计算机机房必须配置防火、防雷电、火险报警及空调等设施。并对性能进行经常性检测，建立相关的应急措施。 对与计算机应用有关电源接口、通讯接口等设备由DXC进行定期的检查、维护。 5.3 使用管理 操作人员在使用计算机时，必须使用ID和口令登录系统，保持桌面清洁和离开锁屏等良好习惯。要严格遵守操作规程，注意爱护设备，保持清洁，使设备处于良好状态，下班时，务必关机切断电源。 未经许可，使用者不可增删硬盘上的应用软件和系统软件。 严禁使用计算机玩游戏，登录非法网站。 重要部门要采取措施保证输入到信息系统的数据是正确恰当的，同时，对使用添加、修改和删除等对数据的更改要设置权限；对输出的数据也要验证，确保是正确、完整的。 5.4 安全管理 计算机一些内部应用系统的数据资料列入保密范围。未经许可，严禁非相关人员私自复制。 与互联网相连的计算机不得保存与工作有关的机密性的文件与资料。 涉及工作秘密的文字材料或信息不得在互联网上发布，或以电子邮件的形式发送。 使用者必须妥善保管好自己的用户名和密码，严防被窃取而导致泄密。 网络管理人员要控制诊断和配置端口的物理和逻辑访问，一般情况下这些端口应设置为禁用或取消。 5.5 移动介质管理 一般情况下不允许使用移动介质。若需要使用，仅限使用公司配发的移动介质。严禁将私人的移动介质带入公司使用。 移动介质由DXC统一编号，建立“移动介质配发使用登记表”。一般情况下移动介质不允许存储机密级信息，存储有机密级信息的移动介质严禁带出办公场所。确应工作需要，需将存储由机密级信息的移动介质带出办公场所须经公司领导批准。

信息化建设项目管理办法

四川省商业投资集团有限责任公司 信息化建设项目管理暂行办法 第一章总则 第一条为加强信息化建设项目管理，规范信息化建设项目行为，强化信息安全，根据xx责任公司（以下简称“集团”）对信息化建设项目相关管理规定，特制定本办法。 第二条本办法规定信息化建设项目的内容包含以下三类：（一）信息化集成类：信息化软硬件集成、信息工程与弱电工程集成； （二）产品采购类：（1）硬件设备：服务器、存储设备、网络设备、信息安全设备及空调、UPS电源等数据中心机房专用设备和内存、磁带等材料零件供应及安装；（2）软件产品：标准软件产品、软件用户授权。 （三）服务类：（1）软件开发类：按照业务需求完全或部分定制开发并提供后续服务的项目；（2）外包服务类：将信息系统研发全部或部分外包给专业软件公司，自主研发的信息化项目；（3）维保服务类：硬件设备、软件系统、集成工程项目免费维保期结束后的维保服务采购；（4）设计咨询类：信息化规划、数据中心设计、网络设计咨询、安全检测咨询等。 第三条集团及子集团、事业部、各分子公司进行信息化建设 1

均需遵守集团统一规划、统一管理、分步实施、小步快走等原则。 第四条集团及子集团、事业部、各分子公司进行信息化建设均需遵循本管理办法。 第二章管理、实施机构及职责 第五条集团成立信息化领导小组，集团董事长任组长，集团总经理及信息化分管领导任副组长，成员由办公室、财务中心、审计监察部、信息化办公室、招投标办公室等部门负责人组成，负责对信息化建设项目工作的领导、管理、监督、决策和奖惩。 第六条xx集团设立信息化办公室（以下简称“信息办”），负责集团信息化建设总体协调和管理。负责对信息化建设进行立项审批，集团办公室、财务中心、人力资源部、发展策划部、企业管理部、审计监察部、集团招标管理办公室、品牌事业部按职责分工，参与信息化建设管理。 第七条信息办负责牵头建立一体化的管理体系及运行机制，对信息化建设进行规划、备案、立项、报批、建设、考核、运维等管理工作，履行以下等职责： （一）根据企业发展及管理需要，拟定集团信息化建设项目管理相关制度； （二）根据集团战略发展、子集团业务战略发展，拟定集团IT规划、子集团业务IT规划； （三）信息化建设项目备案工作，负责信息化合格供方信息 2

信息系统管理制度

信息系统管理制度 第一章总则 第一条为了保护公司计算机信息系统安全，规范信息系统管理，合理利用信息系统资源，推进公司信息化建设，促进计算机的应用和发展，保障公司信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为公司生产经营服务，根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规，结合公司实际情况，制定本制度。 第二条本制度所称的信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，应当保障信息的安全，保障计算机功能的正常发挥，保障应用系统的正常运行，以维护计算机信息系统的安全运行。 第二章硬件 第四条按照谁使用谁负责的原则，落实责任人，负责保管所用的网络设备和线路的完好。两人以上的用户，必须明确一人负责。 第五条计算机设备的日常维护由各业务部门、子公司、分支机构负责。计算机设备和软件发生故障或异常情况，由公司网管统一进行处理。 第六条按照作息时间准时开关机，及时处理有关文件，严禁使用公司计算机玩游戏、听音乐、看影碟等。 第七条计算机操作人员应保持计算机环境清洁，下班之前退出所有程序关闭计算机，切断插板电源后方可下班离开。 第八条各负责人应对计算机定时杀毒，对外来不明存储设备，必须经过严格的病毒检测，方可使用。 第三章软件及账号管理制度

第九条各业务部门、分公司配备的计算机及网络设备根据使用者落实到人，各责任人对于计算机系统必须设置账号密码，严格控制非使用人员使用计算机，使用软件系统必需经公司批准，使用分配的账号，并设置密码后方可使用，网络管理员根据企业制度的账号管理规则对用户账号实行管理，并对用户账号的安全和保密负责。 第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作公司信息系统，严禁使用外来存储设备，以防泄密和病毒侵入。 第十一条操作计算机时不得使用一些危险性的命令，严禁分区及格式化硬盘等操作。 第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作 无关的软件程序，但经审批通过的管理软件除外。 第四章网络和互联网访问 第十三条未经网管批准，任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数，外部电脑未经网管允许， 常州千红生化制药股份有限公司 信息系统管理制度不得接入公司网络。 第十四条网络使用划分为五级安全保护等级，联接局域网内的任何一台计算机按照确定的等级进行使用，不得随意更改，用途须与工作有关，使用互联网必须遵守国家相关法律法规，否则其所带来的后果由用户责任人承担。 第一级：办公电脑可以在网络监控下，使用互联网，访问外部网站，能够使用外部即时通信工具。 第二级：办公电脑可以在网络监控下，使用互联网，访问外部网站，只能访问指定的网站，不能使用外部即时通信工具。 第三级：办公电脑只能在公司局域网内联网，使用公司内部的网络资源，不能够联接互联网。 第四级：办公电脑只能在本部门或分公司网段联网，可以使用公司统一资源，不能访问跨部门网络资源。

信息系统权限及数据管理办法

******股份有限公司 信息系统权限及数据管理办法（试行） 第一章总则 第一条为了加强对******股份有限公司（简称：公司）各运行信息系统权限和数据的管理，明确权限及数据管理相关责任部门，提高信息系统的安全运行和生产能力，规范公司业务系统权限申请及数据管理流程，防范业务系统操作风险，公司制定了信息系统权限及数据管理办法，以供全公司规范执行。 第二条本办法所指信息系统权限及数据包括，但不仅限于公司运行的OA 办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理，以及数据的提取和变更。 第三条本办法遵循责权统一原则对员工进行系统授权管理，控制公司相关信息传播范围或防范进行违规操作。 第四条信息技术部是本办法主要执行部门，设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人（简称：数据权限管理员）负责统一按本办法所制定的流程执行相关操作，或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。 第五条用户授权和权限管理应采取保守原则，选择最小的权限满足用户需求。 第二章系统权限管理 第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成，风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批，信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限（信息技术部可以拥有开发测试环境超级用户权限），风险与合规部拥有超级用户权限，风险与合规部数据权限管理员拥有对权限列表进行查询的权限，以方便行使监督职能。

信息化建设管理规定

信息化建设管理规定 LEKIBM standardization office【IBM5AB- LEKIBMK08- LEKIBM2C】

信息化建设管理规定 第一章总则 (2) 第二章统一规划 (2) 第三章统一标准 (2) 第四章统一计划 (2) 第五章统一建设 (2) 第六章日常管理 (2) 第七章监督奖惩 (2) 第八章附则 (2) 附件一： (2) 信息化建设项目需求管理细则 (2) 附件二： (2) 信息化建设项目实施管理细则 (2) 附件三： (2) 信息化建设项目验收管理细则 (2) 附件四： (2) 信息系统运行使用管理细则 (2) 附件五： (2) 网络管理细则 (2) 附件六 (2) 信息机房日常管理细则 (2) 附件七： (2) 短信平台管理细则 (2)

第一章总则 第一条为了规范信息化建设的管理，构建稳定、安全、经济、高效、可持续的信息支撑体系，提高企业管理现代化水平，推动公司又好又快发展，制定本规定。 第二条信息化建设坚持统一规划、统一标准、统一计划、统一建设（以下简称“四统一”）的原则，以防止产生信息孤岛和重复建设。 第三条信息技术部是全信息化建设的主管部门，按照“四统一”的原则负责信息化建设的日常管理及信息系统运行维护、信息安全管理与信息资源整合等工作。 第四条本规定所称信息化建设，是指以计算机、通信、网络及其他现代信息技术为主要手段的信息基础设施和应用系统（包括办公自动化系统、各类应用及管理信息系统、应用集成等）的建设与升级。 第二章统一规划 第五条信息化建设规划根据公司总体发展战略规划，结合信息化建设现状和信息技术发展趋势编制。 第六条信息技术部负责编制信息化建设规划，报公司研究审定后实施，其作为信息化建设项目立项的依据。 第七条各子（分）公司应编制与信息化建设总体规划相配套的信息化建设规划，报信息技术部备案。 第三章统一标准 第八条公司建立统一的信息化标准体系，信息化标准体系由信息技术部会同相关部门制定，报公司批准后执行。 第九条公司所有信息化项目必须采用统一的标准体系，原信息系统必须按统一标准进行更新。 第四章统一计划 第十条各子（分）公司、公司各部门依据信息化建设总体规划和实际需求，编制年度信息化建设建议计划，经信息技术部审核，报公司批准后列入子（分）公司和公司年度工程计划。 第十一条计划一经批准必须严格执行，严禁计划外项目发生，未列入计划的项目一律不予拨付资金或安排人力实施。 第十二条已下达计划的项目在执行过程中发生变更或需要追加投资的，应当按照计划申报程序报批。

信息化系统管理制度

XX局信息化系统管理制度 第一章总则 第一条随着大集中系统应用推广、随着我局信息化建设的推进及计算机装备水平的提高，为加强计算机、网络系统运行的管理工作和税收信息化建设工作，规范计算机应用，保障网络系统和业务数据的稳定、高效、安全运行，提高科技管税水平，促进信息化建设稳步发展。原有《XX市地方税务局计算机系统管理办法》已不能完全适应现信息化建设管理需要。结合我局的业务需求和实际情况，根据《计算机保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家税务局总局税务系统电子数据处理管理办法（试行）》、《昆明市计算机信息系统安全监察暂行办法》、《昆明市地方税务局计算机管理试行办法》、《XX地方税务局信息化安全管理制度》等有关法律法规及管理制度。现将原来《办法》修订为《XX市地方税务局信息化系统管理制度》。 第二条XX市地方税务局信息化系统的管理工作，必须按照国家的法律和国家税务总局制定的“统一领导、统一规划、统一标准、分步实施”的原则，在省、市地税局的领导下进行。 第三条信息化系统管理含盖计算机系统运行管理、网络安全管理、业务电子数据管理、设备及耗材管理，等四个方面。 第四条各科室、分局、稽查局（以下统称各部门）。各部门的计算机运用工作应遵守国家有关法律法规和省、市地方税务局有关规定，在局计算机管理部门授权范围内按照本办法规范运作。 页脚内容1

第五条我局设立计算机管理部门负责全局的计算机系统管理工作，研究制定相关的工作规划、措施，监督、检查计算机系统的使用、运行情况，传达、协调、制定有关技术和应用标准。使用计算机的各部门，负责相关业务应用程序的操作、日常维护及安全保密工作。及时向计算机管理部门报告应用中发现的有关问题。 第六条XX市地税局计算机管理部门内设专职系统维护员职位，负责软件、硬件、数据库和业务系统管理。计算机系统操作员是指经局计算机管理部门授权，在授权范围内使用我局计算机系统相关功能的操作人员。 第七条本办法适用于XX市地税局使用计算机的各部门和全体干部职工（含协管员）。 第二章计算机系统运行管理 第八条根据省、市地方税务局的规定与要求设置计算机管理部门、配备专职系统维护员负责全局的信息化建设和计算机系统维护、管理工作；各部门指定即兼职计算机管理员员（信息安全员）负责本部门计算机、网络设备、打印设备的日常维护管理，对本部门其他人员计算机应用的辅导。 第九条 XX市地税局专职系统管理人员应履行以下职责： 一、按照省、市地方税务局的要求和本局实际情况，负责对全局信息化建设工作进行总体规划和组织实施。 二、负责起草全局计算机管理工作的各项规章制度。 三、配合省、市地方税务局的总体业务目标，制定技术工作计划并组织实施。 四、协助各部门对单行业务应用软件的维护工作，并为各部门业务应用软件及基础数据资料管理提供技术支持。 五、保障全局计算机软、硬件、网络系统的正常运行。 六、负责监督、检查、协调，并从技术上指导各部门的计算机工作，提供技术支持。 页脚内容2

信息系统使用管理办法

信息系统使用管理办法 信息系统使用管理办法 第一章总则 第一条为了集团信息系统的安全管理、规范使用，确保信息系统与计算机网络资源高效、稳定、安全的运行，特制订本办法。 第二条本办法适用于投资控股有限公司（以下简称“控股公司”）及所属各公司全体员工。第三条本办法所指的信息系统（以下简称“系统”），是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合，包含各类软件系统、即时通讯软件等，包含现有正在使用及将来预计使用的信息系统。 第二章系统运行管理 第四条系统帐号管理 系统帐号按照谁使用谁负责的原则，落实至具体责任人。 1、各信息系统的信息管理人员必须遵守《集团信息人员保密管理规定》、《集团关键信息系统平台帐号集中管理办法（A）》。 2、账号开通：信息系统用户实行一人一帐号，各应用系统账号开通由使用人员所在部门提出申请，按流程审批通过后，应用系统管理员予以开通。如使用者为决策层成员，由人力资源部门提出申请。下同。 3、权限增加：各应用系统操作权限的增加须由使用人员提出申请，审批通过后，应用系统管理员予以开通。 4、岗位调整：人员岗位调整后，原岗位直接上级领导要通知应用系统管理员，撤销该账号原有权限。财务、审计岗位在1个工作日内、其它岗位在3个工作日内完成权限通知撤销工作。 5、账号关闭：人员离职前，原岗位直接上级领导要通知应用系统管理员，关闭离职人员的账号，注销其权限。 第五条如果系统需要登记完整的用户个人信息，使用人员要及时、完整地登记、更新个人信息，姓名、电话、邮箱等信息必须真实有效。如账号为公用账号，需要登记该账号的使用人员范围和业务范围。 第六条系统使用人须认真学习与遵守系统的操作手册，严格按照系统运行要求及时处理业务并录入数据，确保数据准确完整，如有不明事项应当咨询系统管理员。 第七条如果其人员需要使用易遨或商海导航等业务系统，人资和信息部门要严格控制权限。

信息系统管理办法

信息系统管理办法 第一章：总则 第一条为保证公司信息网络系统的安全，根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司内网络系统建设的实际情况，制定本办法。 第二条本办法所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。 第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。 第四条本规定适用于公司内所有计算机硬件及周边设备（如打印机、扫瞄仪、MO存储器，软磁碟，CD碟，数码相机、考勤机终端等）及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。 第二章信息系统安全管理 第五条计算机系统账号与操作员代码 一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设臵根据不同应用系统的要求及岗位职责而设臵； 二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得；

三、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 四、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有主管负责人授权； 五、信息部门任何人员不得使用他人操作代码进行业务操作； 六、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码； 七、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设臵。 八、操作员不得使用或盗用他人代码进行业务操作。 九、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。 第六条密码与权限管理 一、密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设臵应具有安全性、保密性，不能使用简单的代码和标记。 二、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，在可能的情况下并相应记记录用户名、修改时间、修改人等内容，及时上报公司信息中心备案。 三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设臵和管理，并由密码设臵人员将密码装入密码信封，在骑缝处加盖部门印章并签字标注封存日期后交由信息中 心存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索

信息系统使用管理办法

信息系统使用管理办法 一、本规定设计的网络范围及计算机系统包括：医院信息管理系统网络（内网）、医院办公及因特网（外网）、在网络或单机运行各信息系统及应用程序所使用的计算机、计算机外部设备（如打印机等）、网络设备等。 二、信息科作为医院网络的设计、建设、管理与维护部门，负责对医院网络运行情况进行监督、管理和控制，并对医院网络上的信息进行检查和备案。 三、本条例认为，员工在被许可使用医院计算机系统时，该员工完全接受医院信息科对其计算机以及其附属设施上做的任何设置和策略限制，并完全接受本管理规定所制定的所有条款内容。 （一）硬件管理 1、为便于信息科为各计算机用户提供技术服务支持，医院的计算机系统及相关的附属设备（如打印机、扫描仪、网络设备等）的采购、使用、入网、报废等必须经过信息科审核同意。 2、为了有效地管理及应用医院的计算机，信息科对医院内的所有计算机及其相关设备进行登记注册，其中包含每台机器的型号、使用部门、使用人、用途等。未经信息科允许，任何人不得私自更改计算机配置；严禁携带个人笔记本在未经允许的情况下私自使用医院网络上网。 3、医院计算机设备的资产管理权分属各个使用部门所有。医院员工不得滥用计算机设备，使用者有义务对自己所使用的计算机设备负责；对计算机硬件设备的损坏、丢失、被盗等情况，必须及时通知相关负责人及信息科。 4、医院计算机设备的故障原因由信息科负责确定，非信息科人员不得自行拆装、修理或增加计算机硬件设备。 5、员工在使用计算机中遇到了非正常使用情况或困难，应及时通知信息科人员确定故障原因，并主动说明故障现象，积极配合维修。 6、计算机设备经信息科维修人员确定需外出维修的，由信息科负责联系协议维修公司，维修后由信息科及使用部门确认，相关维修费用计入相应部门支出。 7、医院计算机机房是医院信息系统的神经中枢，非信息科允许禁止擅自进入。 （二）软件管理 1、为便于信息科为各计算机软件用户提供技术服务支持，医院计算机软件的使用、采购、相关技术培训等须经信息科审核同意。 2、医院计算机及其相关应用系统的使用者必须是经过主管部门授权认可的医院工作人员。严禁非医院员工使用医院的计算机及相关资源；未经主管领导或部门许可，任何人不得从计算机和相关的应用系统内获取非公用的相关数据信息。 3、所有计算机用户在首次使用计算机系统或医院相关管理软件前必须接受相关培训方可获得使用权限。 4、医院内网上的计算机软件统一由信息科管理、安装，计算机使用者不得私自改动、删除或安装任何软件。当出现计算机软件出现故障或损坏，应及时通知信息科并作好记录。 5、医院计算机用户视为完全接受所使用计算机系统内所有软件的授权协议条款的相关内容；如对其中某些软件或某些软件条款有异议，需向有关部门和负责人申请，有信息科帮助其删除相关软件或取消其使用权限。 6、信息科应建立医院的软件档案库，对医院工作需要的各种软件要及时备份，经常检查更新，保持其可用性。

信息系统建设项目管理办法

项目建设管理办法 第一章总则 第一条为规范公司信息化建设项目实施过程管理，明确项目组织与职责分工，规范项目活动和交付质量控制，特制定本管理办法。 第二条本管理办法管理信息化建设项目项目合同生效后到项目验收前的整个实施过程，主要内容包括项目分类与组织、项目里程碑管理及项目管理规范。其中项目里程碑管理包括项目的里程碑划分、关键任务规范、主要的交付件模板和评审点，项目管理规范主要包括计划与会议管理、问题与风险管理、变更管理。 第三条本管理办法适用于公司所有与信息技术应用相关的项目和参与信息化建设项目项目实施过程中的信息化建设项目、业务部门和供应商人员。 第二章组织机构与职责 第四条项目分类：根据项目的实施性质分为应用实施、定制开发、硬件集成类项目。根据实施方式分为外包、自主实施、自主实施部分外包类项目。 第五条项目小组由供应商、业务部门、信息化建设项目部门共同组成，项目组根据专业分工分为项目管理组、业务组、开发组和系统支持组。 第六条不同项目分类，参与项目的角色有所不同，项目启动前，双方项目经理需根据项目要求和资源状况重新确定项目组织和项目组人员，明确项目职责分工后予以正式发布。 第七条项目经理：负责项目过程的计划与会议管理、问题与风险管理、变更管理，为项目执行过程管理的责任人。应用类项目可分别设立业务项目经理和信息化建设项目项目经理，业务项目经理由项目主办单位项目负责人担任，信息化建设项目项目经理由信息化建设项目部门项目管理人员担任。 第八条项目业务组：由业务分析、实施顾问、关键用户组成，业务分析由主办单

位的业务负责人或业务骨干担任，负责项目需求和业务管理方案的确认；实施顾问由供应商或信息化建设项目部门具备业务咨询和分析能力的业务顾问担任，参与或负责项目需求的分析、设计与变更管理。关键用户参与需求调研、测试。 第九条 项目开发组：由供应商或信息化建设项目部门系统架构师、技术支持、开发顾问、软件测试、软件配置等角色，负责信息化建设项目项目软件或定制开发需求的设计、开发、测试与质量控制，其中大型应用或基础类项目，必须设立系统架构师，负责总体方案的设计或评审。 第十条 系统支持组：由信息化建设项目部门的运维中心系统管理人员担任，负责系统正式环境管理、系统环境规划、搭建及系统管理规范的建立，参与技术方案评审和协助系统环境优化,负责系统移交的正式接收人。 第三章 项目里程碑管理 第十一条 项目组与供应商签订正式合同后，标志着项目正式进入项目实施阶段。项目实施过程包括项目准备、需求分析、方案设计、系统实现、上线运行、项目移交等六大里程碑，里程碑的关键工作任务如（图一）所示。 第十二条 项目经理根据项目特点制定项目计划及项目的交付要求，所有项目实施交付文档按里程碑每月定期在公司信息化建设项目管理部备案。 第四章 项目准备阶段 成立项目组 建立项目章程 制定项目计划 业务调研 需求分析 需求评审 需求确认 总体设计 详细设计 实施方案编制 软件编码 硬件安装 验收方案编制 功能测试 性能测试 安全性测试 验收报告评审 上线方案编制 上线评审 最终用户培训 正式环境部署 项目初验 试运行跟踪 项目初验 系统移交 制定系统规范 制定业务规范 项目终验

信息系统帐号管理制度

信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理，规范公司信息系统用户帐号的使用，确保用户帐号的安全性，特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》（附件六）。 第五条本制度适用于公司总部和各分、子公司（含郑州研究院）。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》（附件七）提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录，记录用户帐号的相关信息，并在帐号变动时同时更新此记录，具体内容见《用户帐号记录》（附 件八）。具体流程参见《普通帐号管理流程》（附件一）。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号，如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号，如root 等管理员帐号。

号。 第十二条信息部每季度查看系统日志，监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后，帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》（附件二）。 第四节临时帐号管理 第十六条使用临时帐号时（如内外部审计人员、临时岗位调动人员），须填写统一的《帐号/权限申请表》（附件七）。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后，申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》（附件三）。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号，专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后，紧急帐号使用人员及时通知帐号管理人员禁

信息系统建设项目管理办法

项目建设管理办法 修订记录 版本编号修订日期主要修订摘要 审核记录 审核人员属于部门审核日期 第一章总则 第一条为规范公司信息化建设项目实施过程管理，明确项目组织与职责分工，规范项目活动和交付质量控制，特制定本管理办法。 第二条本管理办法管理信息化建设项目项目合同生效后到项目验收前的整个实 施过程，主要内容包括项目分类与组织、项目里程碑管理及项目管理规范。其中项目里程碑管理包括项目的里程碑划分、关键任务规范、主要的交付件模板和评审点，项目管理规范主要包括计划与会议管理、问题与风险管理、变更管理。 第三条本管理办法适用于公司所有与信息技术应用相关的项目和参与信息化建 设项目项目实施过程中的信息化建设项目、业务部门和供应商人员。 第二章组织机构与职责 第四条项目分类：根据项目的实施性质分为应用实施、定制开发、硬件集成类项目。根据实施方式分为外包、自主实施、自主实施部分外包类项目。 第五条项目小组由供应商、业务部门、信息化建设项目部门共同组成，项目组根据专业分工分为项目管理组、业务组、开发组和系统支持组。 第六条不同项目分类，参与项目的角色有所不同，项目启动前，双方项目经理需根据项目要求和资源状况重新确定项目组织和项目组人员，明确项目职责分工后予以正式发布。 第七条项目经理：负责项目过程的计划与会议管理、问题与风险管理、变更管理，为项目执行过程管理的责任人。应用类项目可分别设立业务项目经理和信息化建设项目项目 经理，业务项目经理由项目主办单位项目负责人担任，信息化建设项目项目经理由信息化建 设项目部门项目管理人员担任。 第八条项目业务组：由业务分析、实施顾问、关键用户组成，业务分析由主办单

公司信息系统管理制度

某公司信息系统管理制度范本 总则 为引进现代化计算机工具，推动现代化管理，使公司管理规范化、程序化、迅速快捷，特制定本制度。 一、网络机房管理 （一）出入管理 1、路由器、交换机和服务器以及通信设备是网络的关键设备，须放置计算机机房内，不得自行配置或更换，更不能挪作它用。 2、计算机房要保持清洁、卫生，并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等)，无关人员未经管理人员批准严禁进入机房。 3、严禁非机房工作人员进入机房，特殊情况需经中心值班负责人批准，并认真填写登记表后方可进入；进入机房人员应遵守机房管理制度，更换专用工作鞋。 4、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品及其它与机房工作无关的物品。 （二）安全管理 1、操作人员随时监控中心设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。 2、非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。 3、严格执行密码管理规定，对操作密码定期更改，超级用户密码由系统管理员掌握。

4、机房工作人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。 5、中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。 6、不定期对机房内设置的消防器材、监控设备进行检查，以保证其有效性。 （三）操作管理 1、中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。 2、值班人员必须认真、如实、详细填写《机房日志》等各种登记簿，以备后查。 3、严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。 4、每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。 5、值班人员必须密切监视中心设备运行状况以及各网点运行情况，确保安全、高效运行。 （四）运行管理 1、中心机房和开发调试机房隔离分设。未经负责人批准，不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。 2、各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。

信息系统变更和发布管理办法

信息系统变更和发布管理办 法 -标准化文件发布号：（9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

信息系统变更和发布管理办法 第一章总则 第一条目的：本管理办法规定了XX银行（以下简称“我行”）信息系统的变更和发布管理，变更和发布管理作业操作流程和控制要点，确保变更需求的受理 符合业务的优先需要，并使变更和发布过程规范化，控制变更对银行业务和 已投产系统安全运行的不利影响。达到降低信息系统变更和发布风险的目 的。保障信息系统的安全稳定运行，特制定本管理办法。 第二条依据：本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围：本管理办法适用于我行信息系统变更和发布管理。 第四条定义 (一)软件产品：泛指信息技术开发的生产业务系统和管理信息系统等应用软件项目。 (二)生产业务系统：指我行从事金融服务的应用网络系统，包括综合业务系统、国际业务系统、支付系统等银行对外营业的各种核心业务系统。 (三)管理信息系统：指我行信息管理的计算机网络系统，具体指OA办公系统、信贷管理、报表系统等用来进行内部管理的应用软件系统。 (四)业务部门：指我行总部相关业务部门。 第五条遵循原则 (五)监督制约原则：针对信息系统变更和发布管理工作中各个环节，建立相应的监督检查机制。 (六)计划性原则：信息系统发布应纳入每年计算机应用计划，确保全行计算机系统资源、应用环境、维护力量、操作技能能满足系统安全、可靠运行的要求。 (七)可行性原则：具有普遍适用性和可操作性。 (八)风险控制原则： 若为新项目或新业务功能变更和发布，需进行以下风险分析：

1.备份机建设情况； 2.应用系统投产后的集中监控方案； 3.生产数据备份方案； 4.程序及系统备份方案； 5.数据库建库/建表/建索引方式等； 6.对其他系统的影响。 第二章组织与管理 第六条职责划分 (一)需求部门： 1.提出需求，并确认《用户需求说明书》； 2.用户测试阶段确认用户测试计划、记录用户测试问题、确认用户测试报告； 3.接受用户培训并提出反馈。 (二)科技信息部安全科： 1.在需求阶段审阅和提出IT风险控制、IT合规和IT稽核方面的要求，在项目开发阶 段对有关IT风险控制、IT合规和IT稽核方面的测试结果进行审阅； 2.在项目实施后审阅阶段对有关IT风险控制、IT合规和IT稽核要求的实施效果进行 审阅。 (三)科技信息部运行维护中心： 1.负责受理所有变更和发布需求，会同IT其他相关部门（IT软件开发中心、安全科 等）对变更和发布需求进行评估，并将评估意见向IT部门领导、业务部门领导汇报沟通，获取所需的授权； 2.在详细设计阶段审阅和提出网络、硬件、操作系统和数据库等方面的配置和容 量要求； 3.在设计与编程阶段提供网络、硬件、操作系统和数据库的参数配置；