SPV公司信息管理制度

信息管理制度第一條信息安全管理—、目的1、明確信息安全管理范圍及管理職責(zé)，使網(wǎng)絡(luò)安全管理規(guī)范化、制度化確保網(wǎng)絡(luò)安全穩(wěn)定運行，確保網(wǎng)絡(luò)信息安全可靠。二、網(wǎng)絡(luò)及信息安全三、網(wǎng)絡(luò)規(guī)劃設(shè)計1、原則上網(wǎng)絡(luò)按功能和業(yè)務(wù)劃分為管理網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、訪客網(wǎng)絡(luò)網(wǎng)絡(luò)間須進行隔離。2、管理網(wǎng)絡(luò)及VPN網(wǎng)絡(luò)須向集團信息技術(shù)部申請IP地址段，集團信息技術(shù)部分配后進行架設(shè)部署。四、 網(wǎng)絡(luò)設(shè)備選擇及使用1、 設(shè)備需求及關(guān)鍵技術(shù)指標(biāo)由SPV公司提出，集團信息技術(shù)部復(fù)核確認(rèn)后由集團信息技術(shù)部統(tǒng)一進行設(shè)備選型、比價、采購，預(yù)算及費用由SPV公司承擔(dān)。2、 基于強化安全管理的原因，網(wǎng)絡(luò)內(nèi)禁止使用個人/家用級設(shè)備，如：無線路由器、非網(wǎng)管交換機等。1、 入網(wǎng)設(shè)備必須關(guān)閉自動向廠商提交信息的功能。2、 除訪客網(wǎng)絡(luò)外，無線網(wǎng)絡(luò)必須使用用戶識別方式進行身份驗證。五、 安全控制1、網(wǎng)絡(luò)間如需網(wǎng)絡(luò)間互相通訊的，管理員同意后經(jīng)過防火墻等安全設(shè)備過濾，以白名單方式對指定流量放行。2、 嚴(yán)禁設(shè)備廠家不經(jīng)批準(zhǔn)，通過技術(shù)手段對設(shè)備進行遠(yuǎn)程控制/獲取數(shù)據(jù)/遠(yuǎn)程維護。六、管理維護1、 網(wǎng)絡(luò)建設(shè)完成后，SPV公司運維人員須向集團信息技術(shù)部提交相關(guān)驗收資料。2、 每月進行一次所有設(shè)備運行配置備份，提交集團信息技術(shù)部。3、 嚴(yán)禁泄露設(shè)備登錄密碼及各級操作密碼。七、病毒防治管理1、 嚴(yán)禁在生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)的計算機上安裝非集團、SPV公司正式購買的或未經(jīng)集團、SPV公司書面批準(zhǔn)的任何軟件。2、 做好生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)的病毒查殺工作。必須按實際情況，安裝正版的殺毒軟件。定期更新病毒特征庫以及病毒掃描。3、 網(wǎng)內(nèi)各設(shè)備、計算機需定期安裝最新的安全更新/漏洞補丁，以降低安全風(fēng)險。八、 數(shù)據(jù)備份還原1、 SPV公司對自建系統(tǒng)、文件共享服務(wù)器等每月至少進行一次完整數(shù)據(jù)備份，所有備份保留時間由SPV公司自行定義。共用的集團系統(tǒng)由集團信息技術(shù)部進行備份。2、 SPV公司自建系統(tǒng)每年至少進行一次災(zāi)難還原演練，查漏補缺，以降低風(fēng)險。九、信息保密（一）權(quán)限控制1、 遵循最低權(quán)限原則，避免給用戶過高的訪問控制權(quán)限。2、 涉密數(shù)據(jù)控制訪問人員數(shù)量，嚴(yán)禁多人共同使用同一賬號。（二）備份管理L備份數(shù)據(jù)不得與生產(chǎn)環(huán)境數(shù)據(jù)存放于同一介質(zhì)，防止出現(xiàn)因為介質(zhì)故障、損壞、丟失等情況下發(fā)生數(shù)據(jù)丟失。2、備份數(shù)據(jù)由專人負(fù)責(zé)管理維護，避免非授權(quán)人員訪問。（三）介質(zhì)管理L存儲過涉密數(shù)據(jù)的介質(zhì)在處理/廢棄之前，須確保原存儲的數(shù)據(jù)無法被還原。2、根據(jù)介質(zhì)類型選擇不同的處理方式，包括但不限于：覆寫、擦除、粉碎等。處理后須技術(shù)人員進行二次確認(rèn)。十、信息安全檢查集團信息技術(shù)部每年不定期對SPV公司的信息安全工作進行抽查。檢查事項：1、 網(wǎng)絡(luò)安全風(fēng)險；2、 設(shè)備運行壓力及異常日志；3、 漏洞掃描分析。4、數(shù)據(jù)備份/還原。第二條軟件系統(tǒng)管理一、目的1、明確信息軟件系統(tǒng)管理范圍及管理職責(zé)，使軟件系統(tǒng)應(yīng)用規(guī)范化。2、確保軟件系統(tǒng)合理建設(shè)，軟件系統(tǒng)應(yīng)用管理規(guī)范。二、軟件系統(tǒng)管理(-)軟件需求管理1、業(yè)務(wù)需求部門通過”軟件需求申請表"向信息技術(shù)部提出業(yè)務(wù)需求，經(jīng)部門領(lǐng)導(dǎo)及集團分管領(lǐng)導(dǎo)審批通過。信息技術(shù)部根據(jù)申請表與業(yè)務(wù)部門詳細(xì)溝通、了解業(yè)務(wù)需求，并判斷系統(tǒng)建設(shè)方式，轉(zhuǎn)入后續(xù)工作。2、”軟件需求申請表”用于說明業(yè)務(wù)總體需求及立項審批，為更加準(zhǔn)確描述業(yè)務(wù)需求，可附帶附件、圖表等業(yè)務(wù)相關(guān)文檔。3、人力資源管理、財務(wù)管理、資產(chǎn)管理無特殊情況，必須使用集團統(tǒng)一的或指定的信息系統(tǒng)。(_)軟件采購管理1、當(dāng)系統(tǒng)建設(shè)方式確定為采購時，應(yīng)由業(yè)務(wù)部門及信息技術(shù)部組成項目小組，指定業(yè)務(wù)需求負(fù)責(zé)人、系統(tǒng)需求負(fù)責(zé)人、系統(tǒng)技術(shù)負(fù)責(zé)人，負(fù)責(zé)評價供應(yīng)商軟件產(chǎn)品，支持采購決策。2、業(yè)務(wù)部門可推薦備選供應(yīng)商、信息技術(shù)部從市面上廣泛了解供應(yīng)商備選,原則上至少有四家備選供應(yīng)商應(yīng)參與采購競標(biāo)。3、軟件采購范圍不僅限于軟件產(chǎn)品首次購買，也包含基于產(chǎn)品的定制開發(fā)以及產(chǎn)品升級和現(xiàn)有產(chǎn)品替換等凡是有第三方供應(yīng)商涉及的情況。三）軟件開發(fā)管理1、當(dāng)系統(tǒng)建設(shè)方案確定為自建時，應(yīng)由業(yè)務(wù)部門及信息技術(shù)部組成項目小組，指定業(yè)務(wù)需求負(fù)責(zé)人、系統(tǒng)需求負(fù)責(zé)人、系統(tǒng)技術(shù)負(fù)責(zé)人，支持系統(tǒng)開發(fā)按照業(yè)務(wù)需求要求進行。（四） 實施推廣管理1、由業(yè)務(wù)部門及信息技術(shù)部門指定人員成立實施推廣小組。信息技術(shù)部負(fù)責(zé)實施推廣的整體工作，業(yè)務(wù)部門負(fù)責(zé)實施推廣中的業(yè)務(wù)決策建議。實施推廣小組需編制實施推廣計劃、實施系統(tǒng)配置及初始化。2、業(yè)務(wù)部門負(fù)責(zé)組織業(yè)務(wù)用戶參加系統(tǒng)操作培訓(xùn)，信息技術(shù)部門負(fù)責(zé)具體操作培訓(xùn)講解及疑問解答,業(yè)務(wù)部門負(fù)責(zé)解答業(yè)務(wù)相關(guān)問題。（五）運營維護管理1、 原則上每個SPV公司在系統(tǒng)中應(yīng)至少設(shè)立1名業(yè)務(wù)運營管理員，負(fù)責(zé)指導(dǎo)并處理業(yè)務(wù)人員提出的系統(tǒng)中與業(yè)務(wù)相關(guān)的問題。2、 系統(tǒng)運維分為系統(tǒng)權(quán)限開通/變更、審批流人員調(diào)整、審批流程調(diào)整、數(shù)據(jù)等其他內(nèi)容調(diào)整等。業(yè)務(wù)部門需填寫"系統(tǒng)運維申請表”，并經(jīng)相關(guān)部門領(lǐng)導(dǎo)審批后，交于信息技術(shù)部予以備案并處理。軟件需求申請表1.業(yè)務(wù)需求信息2,申請部門申請人申請時間需求簡述業(yè)務(wù)云項目負(fù)責(zé)人涉及系統(tǒng)云類型新功能改進其他:云分析建設(shè)方式采購自建說明預(yù)算（米購）工作量預(yù)估（自建）預(yù)期效果及風(fēng)險3,需求審預(yù)算內(nèi)預(yù)算夕卜預(yù)算項本次金額預(yù)估需求總計（人天）說明預(yù)算項金額開發(fā)測試實施業(yè)務(wù)部門負(fù)責(zé)人P審批意見:同意卜①rn不同意簽字：日期：信息部負(fù)責(zé)人批意見：同意y.r> nrt不同意簽字：日期：業(yè)務(wù)部門中心總裁-批意見：同意y.r> nrt不同意簽字：日期：CHO批意見：同意不同意 簽士 系統(tǒng)運維申匸：3請表日期：

L2」審批流-人員調(diào)整:若申請人角色屬于項目部，簽批到部門負(fù)責(zé)人；若申請人角色屬于SPV公司，簽批到SPV公司總經(jīng)理；若申請人角色屬于SPV中心，