信息系统获取、开发与维护程序
信息系统获取、开发与维护程序
1.目的
为确保安全成为所开发的信息系统一个有机组成部分,保证开发过程安全,特制定本程序。
2.范围
2.1适用于本公司所有信息系统的开发活动中,信息系统内在安全性的管理。
本程序作为软件开发项目管理规定的补充,而不是作为软件开发项目管理
的整体规范。
2.2开发过程中所形成的需求分析文档、设计文档、软件代码、测试文档等技
术信息的管理应遵从信息资产密级管理的有关规定,本程序不在另行规定。
3.术语及定义
无
4.引用文件
4.1下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的
引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用
于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是
不注日期的引用文件,其最新版本适用于本标准。
4.2ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求
4.3ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则
4.4信息资产密级管理规定
5.职责和权限
开发部是信息系统开发过程中的安全管理部门,负责保证开发过程安全。
6.工作程序
6.1控制措施-对信息系统进行安全性需求分析与相关规格说明
6.1.1目标:在描述新系统或改进原有系统的业务需求时,应收集、分析
系统在安全性方面的需求,并在系统需求规格说明书详细描述。
6.1.2安全性需求包括两方面的内容,一是对系统本身的安全需求,如系
统具备数据通信加密、用户身份鉴别等功能,在确定安全要求时,
要考虑系统中的自动安全控制和支持人工安全控制的要求;二是对
系统设计开发过程本身也要进行控制,例如在不同的设计开发阶段
的评审与验证,确保对程序源代码的保护、对设计人员的控制等。
6.1.3安全要求在软件开发生命周期中的分布如下图所示:
6.1.4在使用新的应用程序或增强现有的应用程序时必须做安全性影响分
析, 由信息系统项目经理提交安全需求分析。内容可包括以下项:
1)确认需要保护的资产。
2)评估这些资产需要采取什么安全控制措施。
3)考虑是否在系统中加入自动安全控制措施还是建立人工安全控制
措施。
4)在软硬件采购时,应尽量使用经过专业评估和认证的产品。
6.2在应用中建立安全措施
6.2.1控制措施-输入数据验证
6.2.1.1控制描述-输入应用系统的数据应加以验证,以确保数据是正
确的。
6.2.1.2实施指南-应该校验应用于业务交易、常备数据和参数表的输
入信息。需要考虑下列(但不仅限于)内容:
1)输入校验,诸如边界校验或者限制特定输入数据范围的域,以检
测下列错误:
a)范围之外的值;
b)数据字段中的无效字符;
c)丢失或不完整的数据;
d)超过数据的上下容量限制;
e)未授权的或矛盾的控制数据;
f)业务流程、系统安全运行、法规政策等方面所要求的数据校
验;
2)定期评审关键字段或数据文件的内容,以证实其有效性和完整
性;
3)检查硬拷贝输入文档是否有任何未授权的变更(输入文档的所有
变更均应予以授权);
4)对输入数据验证错误后的处理程序;
5)测试输入数据合理性的程序;
6)定义在数据输入过程中所涉及的全部人员的职责。
7)创建在数据输入过程中所涉及的活动的日志。
8)其它信息-适当时,可以考虑对输入数据进行自动检查和验证,
以减少出错的风险和预防包括缓冲区溢出和代码注入等普通的
攻击。
6.2.2控制措施-内部处理的控制
6.2.2.1控制描述-应用中需要验证检查由于处理错误或故意行为造
成的信息讹误。
6.2.2.2实施指南-应用系统的设计与实现应尽量减少处理故障时对
数据完整性的损坏。需要考虑下列(但不仅限于)内容:
1)通过添加、修改和删除功能实现数据变更;
2)防止程序以错误次序运行;
3)使用适当的程序恢复故障,以确保数据的正确处理;
4)防范利用缓冲区超出/溢出进行的攻击。
6.2.2.3应准备适当的检查列表,将检查活动文档化,并应保证检查
结果的安全。需要考虑下列(但不仅限于)检查例子:
1)验证系统生成的输入数据;
2)检查在中央计算机和远程计算机之间所下载或上载的数据或
软件的完整性、真实性或者其他任何安全特性;
3)记录文件字节大小;
4)检查以确保应用程序在正确时刻运行;
5)检查以确保程序以正确的次序运行并且在发生故障时终止,
以及在问题解决之前,停止进一步的处理;
6)创建处理时所涉及的活动的日志。
6.2.2.4其它信息-正确输入的数据可能被硬件错误、处理错误和故意
的行为所破坏。所需的验证检查取决于应用系统的性质和毁
坏数据对业务的影响。
6.2.3控制措施-消息完整性
6.2.3.1控制描述-应用中应该识别确保消息真实性和保护消息完整
性的要求,实施适当的控制措施。
6.2.3.2实施指南-应进行安全风险的评估以判定是否需要消息完整
性验证,并确定最合适的实施方法。
6.2.3.3其它信息-密码技术可被用作一种合适的实现消息鉴别的手
段。
6.2.4控制措施-输出数据验证
6.2.4.1控制措施-从应用系统输出的数据应加以验证,以确保对所存
储信息的处理是正确的且适于当前运行环境的。
6.2.4.2实施指南-输出验证可以包括(但不仅限于)以下内容:
1)合理性检查,以测试输出数据是否合理;
2)调节控制措施的数量,以确保处理所有数据;
3)为读者或后续的处理系统提供足够的信息,以确定信息的准
确性、完备性、精确性和分类;
4)对输出数据验证结果进行处理程序;
5)定义在数据输出过程中所涉及的全部人员的职责。
6)创建在数据输出验证过程中活动的日志。
6.2.4.3其它信息-一般来说,系统和应用是在假设已经进行了适当的
验证、确认和测试的条件下构建的,其输出总是正确的。然
而,这种假设并不总是有效;例如,已经过测试的系统仍可
能在某些环境下产生不正确的输出。
6.3开发和支持过程中的安全
6.3.1系统测试数据的保护
6.3.1.1控制措施-测试数据应认真地加以选择、保护和控制。
6.3.1.2实施指南-应避免使用包含个人信息或其它敏感信息的运行
数据库用于测试。如果测试使用了个人或其他敏感信息,那
么在使用之前应去除或修改所有的敏感细节和内容。当用于
测试时,应使用下列(但不仅限于)指南保护运行数据:
1)应用于运行应用系统的访问控制程序,还应用于测试应用系统;
2)运行信息每次被拷贝到测试应用系统时应有独立的授权;
3)在测试完成之后,应立即从测试应用系统清除运行信息;
4)应记录运行信息的拷贝和使用日志以提供审核踪迹。
6.3.1.3其它信息-系统验收测试常常要求相当多的尽可能接近运行
数据的测试数据。
6.3.2对程序源代码的访问控制
6.3.2.1控制措施-应限制访问程序源代码。
6.3.2.2实施指南-对程序源代码和相关事项(诸如设计、说明书、确
认计划和验证计划)的访问应严格控制,以防引入非授权功
能和避免无意识的变更。对于程序源代码的保存,通过代码
集中存储控制来实现,放在公司统一的配置管理库中。应考
虑下列(但不仅限于)指南:
1)若有可能,在运行系统中不应保留源程序库;
2)程序源代码和配置管理库应进行规范管理;
3)应限制支持人员访问配置管理库;
4)更新配置项,向程序员发布程序源码应在获得适当的授权
5)应维护对配置库所有访问的审核日志;
6)维护配置库应该有规范的制度。
6.3.2.3其它信息-程序源代码是由程序员编写的代码,经编译(和链
接)后产生可执行代码。特定程序语言不能正式区分源代码
和可执行代码,这是因为可执行代码是在它们被激活时产生
的。
6.3.3外包软件开发
6.3.3.1控制措施-组织应管理和监视外包软件的开发。
6.3.3.2实施指南-在外包软件开发时,应考虑下列(但不仅限于)各
点:
1)许可证安排、代码所有权和知识产权;
2)所完成工作的质量和准确性的认证;
3)第三方发生故障时的契约安排;
4)审核所完成的工作质量和准确性的访问权;
5)代码质量和安全功能的合同要求;
6)在安装前,测试恶意代码和特洛伊木马。
7.相关支持文件
8.记录
9.附录
医院信息系统运行维护管理制度
中医院 信息系统运行维护管理制度 第一条为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。 第二条运行维护管理的基本任务: 1、进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定; 2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常; 3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确; 4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。 第三条网络中心负责全院范围内信息系统运行维护管理、监督检查和质量考核评定工作,掌握运行质量情况,制定质量指标,并对信息系统各级维护部门进行定期检查考核; 第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的
备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。 第五条系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。 第六条厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。 第七条参与故障处理的各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。 第八条建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。 第九条信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。 第十条软件资料管理应包含以下内容: 1、所有软件的介质、许可证、版本资料及补丁资料; 2、所有软件的安装手册、操作使用手册、应用开发手册等技
0306-信息系统开发建设管理程序
日照在天软件开发有限公司 信息安全管理体系文件 信息系统开发建设管理程序 ISMS-0306-2011 受控状态受控 分发号 版本A/0 持有人 编制:编写组审核:批准:李翠萍2011-6-30发布 2011-6-30实施
信息系统开发建设管理程序 1 目的 为了对公司信息系统建设的策划、开发、实施、检查等进行有效的控制,特制定本程序。 2 范围 本程序规定了公司信息系统建设的策划、开发、实施、检查等控制要求,适用于信息系统开发建设的控制。 3 职责 3.1 总经理 负责批准各种信息系统的建设项目和建设方案。 3.2 研发部 负责全公司范围内产品软件的开发、测试和综合信息系统的维护管理。 3.3 各职能部门 负责在业务范围内提出信息系统开发建设需求计划,进行可行性研究、项目实施、测试验收和项目质量的监控等工作。 4 程序 4.1 应用软件设计开发的控制 4.1.1 设计开发任务提出 各职能部门根据日常经营管理工作的需要,经过本部门经理批准后,交付研发部进行设计开发。
4.1.2 设计开发的策划 研发部在接到任务通知后,首先要判断可行性,明确规定设计开发的各个阶段的评审与测试要求及设计开发人员的职责与权限,设计开发计划方案由要求部门和研发部负责人共同批准后予以实施;必要时,如果对计划进行更改也需要获得双方经理共同批准。软件设计开发计划应包括以下内容: a) 软件功能要求; b) 详尽的业务流程; c) 信息安全要求; d) 时间进度要求; e) 设计开发的各个阶段评审与测试要求; f) 设计开发人员的职责与权限; g) 其它要求。 4.1.3 设计开发人员的要求 软件设计开发人员须经研发部负责人授权,并应具备一定的软件开发能力和良好的职业道德。 4.1.4 设计开发方案的技术评审 4.1.4.1 设计开发负责人根据软件设计开发计划的要求,编制软件设计开发方案,由研发部负责人对方案的技术可行性及系统的安全性进行确认。 4.1.4.2 对于大型软件开发方案需由设计开发人员、应用部门人员、内部IT方面的专家共同进行评审。 4.1.4.3软件设计开发方案应包括以下内容: a) 确定软件开发工具; b) 应用系统功能; c) 业务实现流程; d) 输入数据确认要求; e) 必要时,系统内部数据确认检查的要求; f) 输出数据的确认要求;
信息系统日常运维管理制度及相关记录_共4页
信息系统运维管理制度 为了规范公司信息系统的管理维护,确保系统硬、软件稳定、安全运行,结合公司实际,制定本制度。制度包括信息机房管理、服务器管理、信息系统应用管理、信息系统变更管理、信息系统应用控制。 一、信息机房管理 1、硬件配备及巡检 1.1、各单位信息机房按规定配备防静电地板、UPS、恒温设备、温湿度感应器、消防设备、防鼠设施等相关基础设施。 1.2、各单位机房管理人员应定期(如每月或每季度)对机房硬件设备设施进行巡检,以保证其有效性。 1.3、各单位机房应建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录,并认真填写。 2、出入管理 2.1、严禁非机房工作人员进入机房,特殊情况需经信息中心批准,并认真填写登记表后方可进入。 2.2、进入机房人员应遵守机房管理制度,更换专用工作鞋。 2.3、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。 3、安全管理 3.1、操作人员随时监控中心设备运行状况,发现异常情况应立即按照应急预案规程进行操作,并及时上报和详细记录。 3.2、未经批准,不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置; 3.3、软件系统的维护、增删、配置的更改,必须按规定详细记入相关记录,并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度,不得擅自泄露信息资料与数据。 3.5、机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。 3.6、严禁在机房计算机设备上做与工作无关的事情(如聊天、玩游戏),对外来存储设备(如U盘、移动硬盘等),做到先杀病毒后使用。 3.7、机房严禁乱拉接电源,应不定期对机房内设置的消防器材、烟雾报警、恒温设备进行检查,保障机房安全。4、操作管理 4.1、机房的工作人员不得擅自脱岗,遇特殊情况离开时,需经机房负责人同意方可离开。 4.2、机房工作人员在有公务离开岗位时,必须关闭显示器;离开岗位1小时以上,必须关闭主机及供电电源。 4.3、每周对机房环境进行清洁,以保持机房整洁;每季度进行一次大清扫,对机器设备检查与除尘。 4.4、严格做好各种数据、文件的备份工作。服务器数据库要定期进行双备份,并严格实行异地存放、专人保管。所有重要文档定期整理装订,专人保管,以备后查。5、运行管理 5.1、机房的各类计算机设备,未经负责人批准,不得随意编写、修改、更换各类软件系统及更改设备参数配置。 5.2、各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。 5.3、为确保数据的安全保密,对各业务单位、业务部门等送交的数据及处理后的数据都必
信息系统运行维护方案
信息系统运行维护方案 2012年8月
目录 第一章目标 (3) 第一节运行维护服务目标 (3) 第二节运行维护内容及步骤 (3) 第二章运行维护服务具体内容 (4) 第一节驻点服务 (4) 第二节运维服务 (5) 第三节服务方式建议 (6) 第四节运维服务内容 (7) 1.预防性维护服务 (7) 2.中心机房设备维护服务 (7) 3.台式PC机类维护服务 (8) 4.笔记本计算机维护服务 (8) 5.服务器维护服务 (9) 6.工作站软件维护 (9) 7.语音(电话)信息点维护 (9) 8.病毒防护与监控服务 (10) 9.运维期结束前 (10) 第三章XX 运行维护服务预算 (10)
第一章目标 第一节运行维护服务目标 信息系统主要业务为税务征收系统及外部门之间数据交换系统,为确保XX 的网络系统、应用系统、安全系统、防病毒系统及办公OA系统在可靠、高效、稳定的环境中运行。达到故障快速定位并解决、信息安全可控可查、不断优化运行效率和性能,保障XX 信息系统资源共享,提高办公效率和质量,提高决策能力、管理能力、应急能力。针对XX 现有的网络环境、服务器硬件设备以及办公硬件设备,病毒防护等进行实时行监控,更好地规范和提高XX 的各项维护工作,保障网络、应用平台的正常运行以及防病毒的顺利正常开展。保证整体运维项目实施顺利,确保网络原因对业务运行影响最小化、确保网络故障快速定位并解决、确保网络信息安全可控可查、确保不断优化网络的运行效率和性能。保证目标系统7×24正常工作。 第二节运行维护内容及步骤 1.协助XX信息系统工作计划,掌握信息系统各设备运行情况,具体落实各设 备运行维护工作; 2.巡视运行维护各岗位,检查运行维护情况和服务质量,督导、协调各项工作, 保持XX信息系统运行维护良好的秩序; 3.保证按时按质完成XX负责人交付的各项维护任务。 4.通过数据分析和其他相关网络测试设备,解决XX 信息系统问题; 5.发展和维护问题解决程序、网络文件和标准操作程序; 6.协助管理XX 信息系统集成,更新维护各种工程用设备器材; 7.协助XX 调试、维护PC及OA工作计划,掌握调试、维护PC及OA设备运
大客户维护及管理办法
广东省邮政函件大客户管理办法 第一章总则 一、为切实加强我省函件大客户的经营、服务、管理工作,有序、有效地拓展大客户市场,提高客户满意程度,增强企业竞争力,特制定本管理办法。 二、本办法适用于我省函件大客户。 第二章函件大客户的定义及分级标准 一、函件大客户的定义 函件大客户指函件业务收入达到一定标准,与邮政企业签订协议的,并在广东邮政大客户营销管理系统(CRM系统)里注册的客户,包括公检法、社会团体、大中专院校、新闻、文艺、出版社、通讯、金融、服务、制造等各类企业、大型集团公司等。 二、函件大客户分级标准 (一)钻石客户:年业务收入500万元(含500万元)以上的大客户,或者是省公司、省函件集邮局在CRM系统里注册的上游大客户。 (二)白金客户:年业务收入在200万元(含200万元)以上500万元以下的大客户。 (三)黄金客户:年业务收入在20万元(含20万元)以上200万元以下的大客户。
(四)VIP客户:年业务收入在1万元(含1万元)以上20万元以下的大客户,函件业务收入分组中第二、第三组的市局可按此标准适当乘以0.9—0.8的系数进行评定。 第三章函件大客户的管理归属 全省函件专业大客户的开发维护及管理工作均在省公司的统一指导、部署下有序、有效、健康开展。开发维护的原则是在客户分级管理的前提下遵循属地管理制、申报注册制等相关管理规定。 (一)钻石客户:由省函件集邮局审定,由省函件集邮局大客户中心进行统一开发与维护管理,如省函件集邮局授权地市局进行开发维护以授权委托书为依据开展开发维护工作;日常的维护工作按属地管理原则执行。 (二)白金客户:由省函件集邮局审定并由省函件集邮局大客户中心统筹监控,各市邮政局(函件集邮局)负责进行具体的开发、维护管理并负主要维护责任,日常的维护工作按属地管理原则执行。 (三)黄金客户:由各市邮政局(函件集邮局)审定,各市邮政局(函件集邮局)大客户中心负责开发、维护管理,日常的维护工作按属地管理原则执行。 (四)VIP客户:由各市邮政局(函件集邮局)审定,各县/区市函件集邮部负责开发、维护管理,向市专业局报备,日常的维护工作按属地管理原则执行。 注:凡客户邮件的邮寄范围超出本市范围、年收入在300万元
信息系统开发管理程序
信息系统开发管理程序 1、目的 为确保信息系统的获取、开发全过程中的信息安全, 并保证公司信息系统整体的安全,特制定本程序。 2、适用范围 ISMS范围内所有参与信息系统的获取、开发过程的相关人员。 3、术语和定义 4、职责和权限 DKC负责信息系统的获取、开发和维护; 相关部门配合DXC及时响应相关要求。 5、相关浯动 5.1 信息系统的安全要求 信息系统在建设或升级之前,根据业务活动要求, 要通过调研、风险评估等手段识别存在的各种安全风险, 并依据公司信息安全管理相关规定,提出信息安全需求, 作为信息系统整体功能需求的一部分。安全需求包括: 信息系统安全需求的准确性; 系统容量设计的合理性; 技术设计和施工组织两方面的安全性: 对项目建设过程中可能存在的安全风险和处理办法;与国家相关法律、法规、标准、公司信息安全有关规定的符合性。
5.2信息系统的获取与开发 521信息系统开发管理 对承建单位在几个方面提出要求: 保守公司商业秘密的责任和义务要求; 保护知识产权的责任和义务要求; 使用公司信息处理设施的信息安全责任和义务要求。 对使用的产品,应有相应的证明材料,如软件产品必须为正版的商业软件,信息安全产品必须通过国家相应机构的检测认证,特别是涉密产品,必须使用国家保密单位批的信息安全产品。 在条件允许的前提下,要将开发、测试与运行系统分离,避免开发和测试活动对运行系统的稳定和安全造成影向。 在信息系统开发过程中,出DXC负责安全控制与管理,重点监控以下内容: 测试数据的输入验证,以减少输入错误造成的风险: 系统对处理过程中的数据完整性验证检查,防止因数据完整性的 错误造成的风险; 要对输出进行验证,确保输出的完整、正确; 对程序源代码的访问要做出明确的规定; 公司的敏感数据不允许作为测试数据使用。 5.2.2重要信息的保护 信息系统的运行系统文件、重要要测试数据、程序源代码是采取措施加以保护。这些数据必须进行备份,条件允许的前提下,对备份数据要保
信息系统日常维护规定
信息系统日常维护规定 1 目的 为确保计算机功能的正常发挥、应用系统的正常运行,维护复读机信息系统的安全运行,防止不必要的操作造成业务活动中断。 2 适用范围 适用于公司所有信息系统的开发和维护 3 术语和定义 4 职责和权限 信息安全领导办公室审批对信息系统的升级(更新); XXX部负责公司的信息系统开发、升级(更新)和维护; 5 相关活动 5.1 日常维护 信息系统中的硬件按照谁使用谁负责的原则,负责保管所用的网络设备和线路的完好。两人以上的用户,必须明确一人负责。 计算机设备的日常维护由XXX部负责。计算机设备和软件发生故障或异常情况,由网络管理人员统一进行处理。 信息系统的软件安装,必须由网络管理人员安装,特别是对系统有重要影响的软件,必须经领导同意后方可安装,并保存相应的记录。 5.2 信息系统的变更(升级)管理 信息系统的变更由XXX部负责。首先提出变更需求和实施变更计划,经评审报信息安全领导办公室批准后,在不影响(或影响最低的情况下,如夜间)业务活动的前提下进行变更。 信息系统升级时,尽量不采用在线升级,将升级包下载到本地,测试后升级到正式服务器。确需在线升级,应在升级前对在用系统进行备份,防止因变更失败后的系统恢复。
对新系统或变更后的系统由XXX部负责组织实施验收,对重要的升级也要组织验收,验收的准则由XXX部根据不同情况确定不同的验收准则。但无论何种验收准则,都必须将验收准则和验收情况总结一同报信息安全领导办公室备案。 5.3 日志管理 网络管理人员要监督和掌握信息系统的运行情况,确保信息系统能提供足够的能力来保障系统性能,以减少系统过载带来的风险。 信息系统的系统文件必须由网络管理人员负责安装和更新,网络管理人员要对系统文件妥善保存,限制使用范围和访问。由XXX部负责建立系统文件访问人员列表和使用记录、网络管理人员对系统操作的活动情况记录。 网络管理人员必须对记录用户活动、异常等情况的日志进行保护,不得篡改日志,对日志的访问必须进行登记。日志的保存周期不得少于3个月。 网络管理人员通过日志等手段监视信息处理设施的使用。如授权访问、特殊权限操作、未授权的访问尝试、远程诊断和配置端口的使用和访问、系统警报或故障、改变或企图改变系统的安全设置和控制措施、应用过程的关键程度、系统渗透和不当使用的经历、设备被停用的情况等。 5.4 系统时钟 公司的系统时钟源由XXX部确定钟源,并向网络提供时间源,各部门和人员不得改变时间源。 6相关文件和记录 系统文件访问人员和使用登记表 网络管理人员访问登记表
管理信息系统开发过程中存在的问题及怎么解决
管理信息系统开发过程中存在的问题及怎么解决 1.对管理信息系统的认识有偏差 管理信息系统的建设与评价侧重计算机硬件配置.而不是信息开发与利用的方法和深度.这种误读给国内外许多组织的管理信息系统带来惨重损失。 2.目标不明确 管理信息系统开发前调研不够充分,分析不够清楚明了,就比如开发的工作人员中,对整个系统所需要达到的目标没有基本的,明确的、全面的的概念,就照着自己的想法做下去,进行设计和开发,做了大量工作后才发现设计不能满足用户的需要,而使得系统开发失败,重新开发设计,这样就浪费了大量的人力、物力、财力以及时间。 3.开发时忽视了高层领导者的态度 有时候开发人员本着自己的意愿设计并开发出了管理信息系统,尽管系统很好,但领导不满意属下擅自动手,不听指挥,从而浪费了时间,资源和心血,还加剧了与领导之间的隔阂。并且在没有领导的授权和支持下,能开发出一个好的信息系统很是艰难。 4.开发时缺乏既懂计算机知识又懂管理业务的复合型人才,并且人员之间的合作能力较差 “只要熟练掌握几门计算机语言,就可以成为一个优秀的信息系统开发人员”这种观点是极其错误的。计算机程序设计语言是实现计算机信息系统的一种工具或手段,编码只不过是计算机信息系统开发过程中的一小部分工作,管理信息系统开发是一项多人群体性的任务,需要很好的合作与协调,没有这些很难开发出所需要的系统,并且会使系统开发周期变长,无针对性。 5.教育、理论体系研究落后 在教育方面主要表现在教学内容陈旧,理论落后于实践,理论在某种程度上又脱离实践,在教学中往往注重学生的编程技巧能力培养,而忽视系统分析、设计能力的培养,学生的实践能力差,团队合作能力差,系统开发本身还缺乏一套严格的理论基础以及缺少一套简单有力的开发工具。 6.开发后缺乏软件测试,并且安全性有待提高 软件测试是开发过程的必要过程,不进行的话,很难知道是否达到预先的要求,实现想要达到的目的,安全性问题在我国是一个很大的问题,山寨,盗版比较猖獗,这增加了开发的成本并严重影响了更新的速度。
放射科信息管理系统日常维护及故障应对
放射科信息管理系统日常维护及故障应对 RIS( Radiology Information System )即放射科信息管理系统是 放射科的登记、分诊、影像诊断报告以及放射科的各项信息查询、统计等工作的管理系统,RIS系统与PACS系统紧密相连,构成医院数字医疗设备、影像及报告管理的解决方案。是放射科的医疗信息系统,同时是具有管理科内所有患者资料和科室日常工作的综合管理信息系统,也是高水平高效率进行科研、教学、学术交流,全面提高科室医疗水平的现代化信息平台。各种X光机、DSA X-CT、MRI、CR DR等先进的设备已成为放射科的常规组成部分,同时国际各种先进的放射诊疗技术也引进到中国,使得放射科成为微创无创诊断治疗相结合的综合性科室,并成为数字化医院建设快速发展的重要组成部分。这些日常医疗工作的条件与诊疗技术和水平的提高,必然要求与之配套的RIS来全面汇总信息资源、整合科室工作环节,优化工作流程。并促进数字医疗数字医院的发展和建设。放射科信息管理系统的正常运作与否对于医院的放射科而言至关重要,会在很大程度上影响到相关医生的正常工作,因此应该重视对于RIS的日常维修及故障应对。以保证医院以及病人的相关利益不会受到损失。 1 RIS系统的功能 随着现代信息管理科技的不断发展,目前越来越多的医院都开始纷 纷采用RIS 即放射科信息管理系统作为放射科器械管理 以及相关人员、病例管理的重要系统,并且相较于传统的管理手段和方式而言放射科信息管理系统的功能更加强大和完善,能够大大提高整
个医院和病人的就医效率以及资料和数据的完整性,一般而言其功能主要可以分为:一是自动登录安排病人在指定的时间、地点就诊。自动安排医生及其他工作人员在指定的时间、地点工作。帮助医生和病人以最快的解决挂号门诊的问题,大大缩短和节约了由于预约以及安排上的大量时间。二是进行病人人数统计及相关病历的获取和管理。帮助医生能够针对不同的病人合理的安排器械的使用以及对于病人的病情及大致情况能够有一个很好的了解,为后面的治疗起到铺垫作用。三是相关资源的管理:包括人力资源管理、设备管理、消耗材料管理等资源的管理。四是对于胶片及相关的文件的跟踪,管理胶片及相关文件的借出、人库等。保证资料的完整以及不会遗失和遗漏。五是医学影像诊断报告的书写:制作、审阅、打印诊断报告书。六是财务和报表管理:财务管理及各类统计报表的管理。 2 RIS 系统日常维护由前文中可以看到放射科信息管理系统的作用及功能对于医生的日常的工作以及病人的就医都起着至关重要的作用,不仅能够很好的节省了医生与患者的大量时间,同样也能让患者得到有效的治疗,而医生也可以将更多的精力放在就医看病上。因此,医院应该做好RIS 系统的日常维护工作,保证其正常的运作。其日常维护工作主要包括以下几点: 2.1各模块的检查和数据更新与校对放射科信息管理系统主要可以分为信息管理模块、信息查询模块、图像调用模块以及信息处理模块等几个模块,这些模块都关系这整个系统能否正常运作,所以相关的操作人员应该对于每一个模块都进行每天的或者是定期的检查,查看其是否正常运作,或者是否出现了异常现象。同时对于每一个模块中的信息应该做好及时的更新以及与实际情况和实际信息的校对工作。虽然电脑出错的几率比较低,但也必须做好完备的检验工作,毕竟一旦出了错误对于医生和患者而言很可能会产生非常严重的后果。 2.2 注意计算机病毒在如今这个时代,可以说电脑病毒已经发展
人员信息系统维护管理规定
人员系统维护管理规定 一.目的 公司人力资源维护是人力资源管理的基础工作,是人力资源的开发、储备和利用的手段,是及时获取人力资源信息、掌握人事动态的渠道。为使公司人力资源信息管理系统(以下简称本系统)正常运行,确保本系统人员信息与公司实际人员完全相符,特制定《人员系统维护管理规定》。 二、适用范围 廊坊市盛德基业汽车销售服务有限公司 三、管理职能 本制度由行政经理监督执行。 四、内容与要求 (一)人员信息维护范围:包括众星俱乐部人力资源管理系统、上海大众售后服务网人力资源管理系统。 (二)维护人员:行政部系统管理员负责本系统的日常维护和管理。 (三)维护时间:公司人力资源管理系统数据适时维护,人员系统维护时间最长不能超过7天(人员录入以转正时间为准),系统管理员接受行政经理的指令,适时进行数据更新,。 (四)维护内容:入职、调岗及离职人员应通过工作流程及时维护 重要岗位人员变更流程
否否
管理员工作。 2、行政经理及人事主管每月对系统人员信息真实性进行一次核查,人员信
(六)注意事项: 1、系统管理员应深刻理解其岗位职责,掌握系统信息维护方法及常见问题解决处理方案。 2、系统管理员应每日登陆系统,查询系统内信息,及时将系统内信息传递给相关部门及人员。 3、系统管理员严格按照人力系统维护规定进行操作,认真仔细核实员工录入信息,发现问题及时修改,出现自己解决不了的问题及时上报直接主管,并与分销中心网络部联系寻求解决办法,严格保证本公司人力系统信息的真实性、及时性。 4、由于系统管理员疏忽造成岗位信息录入出错,一经发现,罚款50元/ 次,以示警告。造成重大失误,如:由于信息系统内容维护不及时,造成该项在DCA 考核中失分,对责任人及直接主管处以扣发当月绩效工资的处理。 5、系统管理员要保守系统秘密,遵守人事管理制度,本着高度负责的精神,使数据维护工作正常化、程序化、制度化。 6、系统的维护和管理工作是一项长期的持续性工作,系统管理员在调离本岗之前,要认真做好交接工作,保持维护和管理工作的持续性。 7、公司要不定期对系统管理员进行培训,不断学习和掌握先进的人力资源管理理论和方法,更好的应用本系统。 五、执行日期 此规定自颁布之日起实施 廊坊市盛德基业汽车销售服务有限公司 2013-1-1
信息系统运行维护内容
信息系统运行维护内容 按照GB/T 22032-2008 的规定,信息技术运行维护(简称:IT 运维)是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务。运维阶段包括对系统和服务的咨询评估、例行操作、响应支持和优化改善以及性能监视、事件和问题识别和分类,并报告系统和服务的运行情况。 一、运维服务类型主要包括以下三种类型: 1、基础服务 确保计算机信息系统安全稳定运营,必须提供的基础性的保障和维护工作。 2、性能优化服务 计算机信息系统在运营过程中,各项应用(硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等)、各项业务的性能、效能的优化、整合、评估等服务。 3、增值服务 保证计算机信息系统运营的高效能、高效益,最大限度的保护并延长已有投资,在原有基础上实施进一步的应用拓展业务。 二、运维主要服务工作方式主要包括响应服务、主动服务两类。 1、响应式服务 响应式服务是指,用户向服务提供者提出服务请求,由服务提供者对用户的请求做出响应,解决用户在使用、管理过程中遇到的问题,或者解决系统相关故障。
响应式服务采用首问负责制。第一首问为本单位信息中心。信息中心负责接受用户服务请求,并进行服务问题的初步判断。如果问题能够解决则直接给客户反馈,否则提交到首问服务外包商。对于明确的问题,信息中心将问题直接提交到相应的服务外包商。 首问外包服务商在信息中心的支持下,负责对问题进行排查,力争将问题精确定位到某具体环节。问题定位后将其转发给相应的服务外包商。如果问题范围较大,涉及到多个服务外包商时,由信息中心进行协调,在首问外包服务商统一指导下进行联合作业,直至问题解决完毕。 问题处理完成后,由责任服务外包商、首问服务外包商填写相应服务表单,并由首问外包服务商提交给信息中心,信息中心再向最终用户反馈。 服务外包商首先通过电话/电子邮件/远程接入等手段进行远程解决,如果能够解决问题,则由工程师负责填写服务单,季度汇总后提交信息中心签字备案。 远程方式解决无效时,服务外包商工程师进行现场工作。根据故障状况,工程师现场能解决问题的,及时解决用户的问题;如不能,则由信息中心协调其他相关服务外包商进行联合故障排查,直至问题解决。如果问题仍然存在,则由各方领导相互协商,共同商讨解决办法。 2、主动式服务 主动式服务是指,服务外包商定期对系统进行健康检查,硬件设
安防行业大客户销售与策略
大客户销售与策略 大客户,是指对公司产品需求频率高,需求数量大,对公司的经营业绩产生较大影响的关键客户。大客户的销售模式相比中小客户而言,是存在着很大差异的甚至是完全不同的。大客户的组织、人员关系、决策与采购流程一般都相对复杂,而且大客户的采购金额一般都比较高,对同一种商品和服务会重复购买。大客户的这些特点,就决定了在针对大客户的业务开发中要有正确的思路与方法。 一、寻找确定大客户 销售工作是从寻找客户开始的,相比与一般的中小客户,大客户的寻找工作是一项需要长期投入精力和经费的工作,大客户从无到有,是需要付出一定代价的,只要对目标大客户的识别工作没有问题,在某些时候舍得放弃眼前的利益,持之以恒,最终一定可以赢得目标大客户。 二、公司三类客户的分析 1. 工程商:希望与更多彼此相互认同、信用度高的工程商进行合作,一是工程商主动采购,二是与之共同进攻开发商。 2. 相关的咨询、设计、中介的单位。这类用户掌握大量的项目信息,对甲方与工程施工单位具有强大的影响力,甚至是决策力。 3. 各销售区域内的前十名影响力大、市场占有率高,且稳定、采购量大房产发展商。 三、树立正确的大客户开发思路 市场占有率是一个宏观而抽象的概念,而客户占有率是一个微观而具体的概念,客户的占有是市场占有的前提,占有了客户就占有了市场,占有了大客户就占有了大市场。所以说,占有大客户对我们全面提升销售量与扩大市场份额有着非常重要的意义。
大客户的开发又是一项需要锁定与长期跟进的工作,我们需要随时掌握大客户的需求与动态,以发现能够与用户合作与提供用户价值的机会,及增强用户忠诚度的方案。用户可以原地不动等待产品供应商的出现,而我们不能忽视不确定因素的出现,我们需要不断的了解关于用户的最新信息,比如竞争对手出现失误、或者用户关键人物的变化等等。即使暂时找不到合作的机会,也不能放松对锁定的用户的研究与跟进工作,要坚持再坚持,绝不轻易放弃任何一个有价值的客户,任何一条有价值的线索。 四、如何收集、分析大客户的信息资料 收集大客户资料时应主要关注的几个方面: 1. 大客户的背景资料。 2. 大客户关键人物的个人资料。 3. 大客户的经营信息。 获取信息很关键,销售工作的开展是与信息的不断收集与完善同步进行的。收集信息的方法有很多种:经过政府部门审核过的信息、比如工商、税务、劳动部门与公司资质等都是比较有说服力的信息;同时,客户的主管部门、用户、竞争对手、其他供应商等都是很好的信息来源;当然,还有最直接的办法,就是在大客户内部发展线人。 五、竞争对手信息收集与分析 分析竞争对手的信息对我们市场工作的开展是很有必要的。正确分析竞争对手的方法,是站在购买者的角度去考虑问题。通常,在收集竞争对手的资料过程中,应该关注这样几个问题的内容:其产品的情况、客户对其产品的满意度、竞争对手的业务人员、竞争对手与客户的关系等等。正确的掌握了竞争对手的信息和资料以后,我们就要评估我们与竞争对手的优势与劣势了。优劣也只能通过比较才能确认,我们将竞争当手的每项资源要素与自己进行一一对比,在产品、销售、定价、企业信
管理信息系统开发过程
开发阶段 项目立项主要任务 提出开发请求 用户需求分析 企业的运行情况 企业管理方法 信息需求分析 基础数据管理状态 现有信息系统运行状态 确定系统目标常用工具初步调查各种调查方法系统规划划分子系统 功能结构图的总体设计 数据库系统总体结构设计 总体方案设计代码方案的总体设计 系统物理配置总体方案的设计 工程费用概算与效益分析 制定实施计划 给出系统的总体方案 经济上的可行性研究 技术上的可行性研究 可行性研究操作上的可行性研究
法律上的可行性研究 管理上的可行性研究 书写可行性分析报告 审核批准 组织机构与功 详能分析审核项目开发计划 申和可行性分析报告 组织机构与功能调查 绘制组织机构图 绘制业务功能一览表 收集相关资料 绘制业务流程图 绘制表格分配图 收集相关资料 绘制数据流程图 分析系统目标 分析原系统存在的问题 优化子系统的划分结果,分析各子系统的功能数据分析,绘制新系统的DFD图 新系统的边界分析 确定数据处理方式
系统分析报告组织结构图业务功能一览表业务流程图表格分配图 数据流图U/C矩阵PERT图细 系调业务流程分析xx 数据流分析分析系统分析与逻辑模 型设计 系系统物理配置方案 设计完成系统分析报告,交有关部门审批,选择计算机机型 确定网络 确定DBMS统设计功能结构图设计 系统流程图设计 处理流程图设计 详细设计编码 数据存储设计 输入与输出设计 指定设计规范 编写程序说明书 编写系统设计报告 物理系统的实施绘制功能结构图 划分模块
把DFD图转化为管理信息系统流程图具体规定处理过程中各个步骤 为新系统中的数据编码 统一并改进编码 DB的逻辑结构设计 DB的物理结构设计 输入设计、输出设计 制定文件名和程序名的统一格式 定义处理过程 完成系统设计报告,提交有关部门审批采购计算机和通讯网络系统 准备机房 安装调试设备 管理程序设计 业务程序设计 程序调控 分调 总调 以新系统代替旧系统 将系统交付使用,验收是否合格 编写程序设计说明书
信息系统日常操作规程完整
信息系统日常操作规程 第一部分:系统日常维护 第一条系统管理员应定期检查系统的运行状况,确保系统正常运行。 第二条系统管理员应定期对系统进行漏洞扫描,对发现的系统漏洞及时修补。 第三条系统管理员必须严格执行系统操作流程,完整、准确、详细地记录并定期分析系统运行日志。 第四条根据软件的最新版本进行补丁升级,在安装补丁程序前首先对重要文件进行备份,并在测试环境中测试通过方可进行补丁程序安装。 第五条若运行期间发生异常应详细记载发生异常情况的时间、现象、处理方式等内容并妥善保存有关原始资料。 第六条系统发生故障按照《税务系统重大网络与信息安全事件调查处理办法》及相关系统的应急计划执行。 第二部分:系统的访问控制策略 第七条系统所有用户口令的长度不少于8位,管理员口令的长度不少于12位,口令必须满足复杂度要求,即字母、数字和特殊字符混合组成;不允许用生日、电话号码等易猜字符作口令。 第八条不准在机房设备上私自安装任何软件,不得在任
何服务器上建立私人文件夹,存放无关数据。 第九条禁止在系统上安装、运行与业务无关的软件;安装必需软件时需选用正版软件,并需经过领导批准。 第十条启用系统软件的安全审计功能。要求记录管理人员对设备进行的操作,包括操作的时间、操作内容、操作人、操作原因等。 第十一条严禁未授权的操作,如:更改设备配置;系统变更,系统访问等。 第十二条系统运行期间要求定时巡视设备的运行状态,实时监测系统的运行状况,保障信息系统的正常运行。 第十三条系统管理员应每天对信息系统进行检测,检测完毕后认真填写《系统运行记录表》,详细记载发生异常情况的现象、时间、处理方式等内容并妥善保存有关原始资料,工作日志必须完整、连续,不得拼接;如果发现异常及时上报。 第十四条新系统安装前必须进行病毒检测。 第十五条远程通信传送的数据,必须经过检测确认无毒后方能传输和使用。 第十六条针对下面可能发生的突发故障,应根据实际情况,制定可行的应急措施和方案,具体包括: 1、通信线路、通信设备和通信软件出现故障时的应急计划;
内部控制-信息系统维护管理制度
信息系统维护管理细则 1 目的 为了保障信息系统安全、平稳运行,确保数据安全,依据相关法律法规和公司内部控制手册,制定本细则。 2 适用范围与定义 本细则适用于信息管理部门及相关部门实施信息维护相关事项。 本细则所称信息系统维护包括日常运行维护、系统变更、安全管理等方面。 3 引用标准及关联制度 3.1 《企业内部控制基本规范》 3.2 《企业内部控制应用指引第18号——信息系统》 3.3 《ABC公司内部控制手册2012》 4 职责 4.1 信息管理部门负责信息系统的运行维护管理。 4.2 信息系统使用部门负责系统的使用,用户管理。 5 内容、要求与程序 5.1 系统日常运行维护 5.1.1 公司信息系统的维护归口统一由信息管理部负责管理。 5.1.2 系统使用部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作,对有关数据的日常更新等作运行操作记录;对关键用户与一般用户进行培训和培训考核,培训记录和考
核成绩提交人力资源部备案。 5.1.3 信息管理部负责日常软硬件系统维护、设备保养、故障的诊断与排除、易耗品的更换与安装、网络安全、环境保持、应急处理等工作,保证信息系统安全、稳定运行,并做《应急事故处理记录》和《运行维护记录》。《应急事故处理记录》和《运行维护记录》由信息管理部门经理签字。需委托进行维护的信息系统,由信息管理部门审查系统服务商资质,并签订系统维护服务合同;由信息管理部自行维护的,应指定专人负责维护,制定岗位职责。 5.2 系统变更 5.2.1 系统如在使用中有变更要求,可向总经理办公室提出书面要求并填写《系统变更表》,由申请部门分管副总签字后,交信息管理部统一安排进行。变更完成后由申请部门相关人员签字确认。信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。 5.2.2 信息管理部门应利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置,并定期进行检查。 5.2.3 系统使用部门(单位)会同信息管理部按照业务需求,对业务流程与系统功能进行评价,需要重大改进的,提出《系统升级报告》,由公司分管业务副总经理签字确认,报财务总监审核,由信息化领导小组审批。 5.2.4 系统使用部门(单位)会同信息管理部组织系统升级的实施和验收。(系统升级实施的具体流程参见《信息系统外购管理细则5.6、5.7》) 5.2.5 操作系统、数据库系统用户的新增、变更,须填写《系统用户申请表》,经信息管理部审批后,被赋予唯一的用户名、用户ID(UID),方可进入公司信息系统进行电脑使用。信息管理部门经理至少每季度审核一次《系统用户记录表》。 5.3 信息系统数据安全管理 由信息管理部负责信息系统数据的安全管理,包括日常备份、恢复和数据安全工作(详见《备份制度》)。 5.3.1 数据保密性管理 重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机房工作;处理结束后,应清除不能带走的本作业数据;妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。未经允许,不准将机房设备、维护用品、软盘、资料等私自带出机房,如有特殊情况,需经负责人同意并进行登记后方可带出。
xxxx信息系统运维服务方案
XX局信息化系统运维服务方案 XX局 2013年6月
目录 1概述 (2) 1.1服务范围和服务内容 (2) 1.2服务目标 (2) 2系统现状 (2) 2.1网络架构 (2) 2.2设备清单 (5) 2.3应用系统 (6) 2.4存储系统 (10) 2.5备份系统 (11) 3服务方案 (11) 3.1系统日常维护 (11) 3.2信息系统安全服务 (21) 3.3系统设备维修及保养服务 (23) 3.4软件系统升级及维保服务 (25) 4服务要求 (25) 4.1基本要求 (25) 4.2服务队伍要求 (27) 4.3服务流程要求 (27) 4.4服务响应要求 (28) 4.5服务报告要求 (29) 4.6运维保障资源库建设要求 (30) 4.7项目管理要求 (31) 4.8质量管理要求 (31) 4.9技术交流及培训 (31)
5经费预算 (31)
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX
信息系统获取、开发及维护程序
信息系统获取、开发与维护程序 1.目的 为确保安全成为所开发的信息系统一个有机组成部分,保证开发过程安全,特制定本程序。 2.范围 2.1适用于本公司所有信息系统的开发活动中,信息系统内在安全性的管理。 本程序作为软件开发项目管理规定的补充,而不是作为软件开发项目管理 的整体规范。 2.2开发过程中所形成的需求分析文档、设计文档、软件代码、测试文档等技 术信息的管理应遵从信息资产密级管理的有关规定,本程序不在另行规定。 3.术语及定义 无 4.引用文件 4.1下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的 引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用 于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是 不注日期的引用文件,其最新版本适用于本标准。 4.2ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求 4.3ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则 4.4信息资产密级管理规定 5.职责和权限 开发部是信息系统开发过程中的安全管理部门,负责保证开发过程安全。 6.工作程序 6.1控制措施-对信息系统进行安全性需求分析与相关规格说明 6.1.1目标:在描述新系统或改进原有系统的业务需求时,应收集、分析 系统在安全性方面的需求,并在系统需求规格说明书详细描述。
6.1.2安全性需求包括两方面的内容,一是对系统本身的安全需求,如系 统具备数据通信加密、用户身份鉴别等功能,在确定安全要求时, 要考虑系统中的自动安全控制和支持人工安全控制的要求;二是对 系统设计开发过程本身也要进行控制,例如在不同的设计开发阶段 的评审与验证,确保对程序源代码的保护、对设计人员的控制等。 6.1.3安全要求在软件开发生命周期中的分布如下图所示: 6.1.4在使用新的应用程序或增强现有的应用程序时必须做安全性影响分 析, 由信息系统项目经理提交安全需求分析。内容可包括以下项: 1)确认需要保护的资产。 2)评估这些资产需要采取什么安全控制措施。 3)考虑是否在系统中加入自动安全控制措施还是建立人工安全控制 措施。 4)在软硬件采购时,应尽量使用经过专业评估和认证的产品。 6.2在应用中建立安全措施 6.2.1控制措施-输入数据验证 6.2.1.1控制描述-输入应用系统的数据应加以验证,以确保数据是正 确的。 6.2.1.2实施指南-应该校验应用于业务交易、常备数据和参数表的输 入信息。需要考虑下列(但不仅限于)内容: 1)输入校验,诸如边界校验或者限制特定输入数据范围的域,以检 测下列错误: a)范围之外的值; b)数据字段中的无效字符; c)丢失或不完整的数据; d)超过数据的上下容量限制; e)未授权的或矛盾的控制数据; f)业务流程、系统安全运行、法规政策等方面所要求的数据校 验;
管理信息系统的项目流程
一、管理信息系统开发项目管理流程 管理信息系统的开发是一项涉及面广,技术难度大的综合性系统工程,需要投入大量的人力、财力、物力、时间等资源,对整个企业组织的改革与发展会产生很大的影响。只有对企业管理信息系统的整个开发过程按照系统的观点使用现代项目管理的科学理念和方法进行控制,才可能以较小的投入,取得较为理想的效果。 1、项目管理的概念 项目管理是指在一定资源如时间、资金、人力、设备、材料、能源、动力等约束条件下,为了高效率地实现项目的既定目标(即到项目竣工时计划达到的质量、投资、进度),按照项目的内在规律和程序,对项目的全过程进行有效的计划、组织、协调、领导和控制的系统管理活动。项目是具有明确目标的一次性任务,具有明显的生命周期,阶段性强。项目管理是面向所有工程项目的管理,是运用系统科学的原理对工程项目进行计划、组织与控制的系统管理方法。项目管理要解决的基本问题就是如何按所选择的研制方法,对开发项目进行有效的计划、组织、协调、领导、控制。 项目的管理是“一把手”工程,领导参与是关键。项目经理必须合理配置项目参加人员,制定项目建设的有关规范,及时产生详尽的报表,正确评价项目的进展情况。 近年来,世界各国都开始对信息系统的建设实施项目管理,不少软件开发商还提供了项目管理软件,如美国微软公司的Project2000、美国Primavera公司的ProjectPlannerP3和OS/23.0、我国北京梦龙公司的PERT3.0等。这些软件主要用于编排项目的进度计划,通过资源的分析和成本管理,合理配置资源使计划进度更为合理,同时按计划来安排工程进度,并对进度进行动态跟踪与控制等。 2、加强信息系统开发项目管理的重要意义 已经在国民经济诸多领域中成功运用的项目管理方法,也完全可以用于信息系统开发项目的管理。管理信息系统开发是一项长期的任务,必须根据企业组织的改革、发展的需要和可能,分成若干项目,分步进行开发。信息系统的“开发项目”包含信息系统分析、设计和实施的整个过程。它由项目负责人(项目经理)负责,利用可获得的资源为用户组织系统的建设。根据系统科学的观点,小项目可以构成一个大项目,一个大项目可以分解成若干个小项目。项目管理实质上是保证整个系统开发项目顺利、高效地完成的一种过程管理技术,贯穿于系统开发的整个生命周期。信息系统开发也是一项系统工程项目 如同其他工程项目一样,研制开发一个信息系统也需要在给定的时间内计划、协调和合理使用配置各种资源,对信息系统进行项目管理的重要性有以下四点: (1)可以进行系统的思考,进行切合实际的全局性安排;