信息系統(tǒng)管理制度

信息系統(tǒng)管理制度匯編XXX建工（集團）總公司企業(yè)技術(shù)中心前 言隨著計算機技術(shù)的迅猛發(fā)展，信息系統(tǒng)已成為公司各項業(yè)務(wù)順利運轉(zhuǎn)的關(guān)鍵設(shè)施，因此保證信息系統(tǒng)的正常運轉(zhuǎn)和防范技術(shù)風(fēng)險，已成為公司工作重心之一。為切實做到技術(shù)管理制度化、日常操作規(guī)范化，公司信息中心根據(jù)《規(guī)范》要求，結(jié)合公司實際情況，以公司計算機應(yīng)用管理科學(xué)化、規(guī)范化、高效、安全、實用、集中統(tǒng)一為原則，制訂了《 XXX建工（集團）總公司信息系統(tǒng)管理制度匯編》 （以下簡稱《制度匯編》 ）。本《制度匯編》分為三大部分。一是公司信息系統(tǒng)管理辦法（試行） ，共有12條，主要包括公司信息中心的工作職責(zé)的職責(zé)。二是公司信息系統(tǒng)管理實施細則（試行） ，共分12條，主要包括計算機應(yīng)用項目立項和審批程序、應(yīng)用軟件開發(fā)管理、計算機設(shè)備購臵和使用管理、網(wǎng)絡(luò)管理、機房管理、計算機設(shè)備報廢管理、耗材管理、防病毒管理、技術(shù)文檔管理以及系統(tǒng)安全保密管理等；三是信息系統(tǒng)管理辦法（試行） ，共分***章，比較詳細地制定了信息中心電腦部的工作職責(zé)、人員管理、崗位設(shè)臵、安全及風(fēng)險防范、軟硬件設(shè)備管理、數(shù)據(jù)管理、資料管理等各項規(guī)章制度。本《制度匯編》由公司信息中心統(tǒng)一組織實施，并負責(zé)監(jiān)督、檢查相關(guān)規(guī)章制度的貫徹執(zhí)行。本《制度匯編》的修改、解釋權(quán)歸公司信息中心。本《制度匯編》屬公司內(nèi)部資料，應(yīng)妥善保管、注意保密。第一部分XXX建工（集團）總公司信息系統(tǒng)管理辦法（試行）第一條 為了貫徹公司“筑精品工程、倡環(huán)保綠色、保安全健康、促創(chuàng)新發(fā)展”的企業(yè)方針，適應(yīng)公司全面提升公司各項業(yè)務(wù)和管理水平，爭取使各項工作再上一個新臺階的要求，實現(xiàn)公司系統(tǒng)內(nèi)計算機技術(shù)與應(yīng)用的有效管理，充分發(fā)揮計算機技術(shù)資源的整體優(yōu)勢，特制定本管理辦法。第二條 公司計算機應(yīng)用管理工作堅持科學(xué)、規(guī)范、安全、高效、實用的原則。第三條 公司計算機應(yīng)用管理實行集中統(tǒng)一管理的原則。集中統(tǒng)一管理是指在公司系統(tǒng)內(nèi)，以統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一應(yīng)用、統(tǒng)一實施、統(tǒng)一采購的“五統(tǒng)一”方式，分步實施推廣計算機應(yīng)用技術(shù)，并對計算機應(yīng)用進行日常管理和維護。第四條 公司設(shè)立信息中心，公司計算機應(yīng)用由信息中心歸口管理。第五條 公司信息中心是全公司計算機信息系統(tǒng)規(guī)劃、管理和技術(shù)協(xié)調(diào)的主管部門。各部門在技術(shù)上接受信息中心的指導(dǎo)、管理和考核。第六條 信息中心的主要職能是：1、保證公司的信息技術(shù)的應(yīng)用具有前瞻性。2、保障當(dāng)前投入使用的系統(tǒng)穩(wěn)定運行。3、結(jié)合經(jīng)營發(fā)展與技術(shù)更新，及時推出高質(zhì)量的新技術(shù)應(yīng)用系統(tǒng)。4、建立并保持高素質(zhì)的、穩(wěn)定的技術(shù)隊伍。5、協(xié)助公司制定信息技術(shù)應(yīng)用的整體發(fā)展策略。6、根據(jù)整體的發(fā)展策略，制定具體的年度工作規(guī)劃并組織實施。7、制定或改進與信息系統(tǒng)相關(guān)的開發(fā)、維護及應(yīng)用的規(guī)章制度。8、協(xié)助進行公司內(nèi)計算機軟硬件的選型招標(biāo)。9、審批各項目部計算機軟硬件購臵的年度預(yù)算及相應(yīng)技術(shù)鑒定， 審核計算機設(shè)備的購臵、報損、報廢等工作。10、 協(xié)助公司作不定期的技術(shù)審計，對各項目部信息系統(tǒng)進行專項檢查。11、 完成總公司的各應(yīng)用信息系統(tǒng)及系統(tǒng)的日常維護工作，包括通訊、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全（防黑客、防病毒、數(shù)據(jù)備份）等。12、 負責(zé)具體指導(dǎo)和監(jiān)督項目部電腦部工作，對項目部提供實時技術(shù)支持和現(xiàn)場服務(wù)。13、 為各項目部的軟、硬件更新，提供充分的技術(shù)支持，維護更新公司的內(nèi)、外網(wǎng)站。14、 公司授權(quán)的其他管理職能。第七條 公司重要職能部門及各項目部，設(shè)臵兼職計算機管理員，負責(zé)本部門計算機的日常維護管理以及與上級主管技術(shù)部門的聯(lián)絡(luò)工作。第八條 計算機設(shè)備（包括軟件）采購金額在10萬元以上，須采取招標(biāo)方式，遵循嚴格、規(guī)范的招標(biāo)程序，包括制定標(biāo)書、發(fā)標(biāo)、接標(biāo)、評標(biāo)，最后經(jīng)采購小組審定后報公司主管領(lǐng)導(dǎo)審批。第九條 公司各項目部購臵的計算機設(shè)備，凡屬于固定資產(chǎn)的，按公司固定資產(chǎn)管理辦法進行管理。第十條 公司各項目部如有人員調(diào)離，須事先通知公司人力資源部，并及時報告信息中心，以便及時清除網(wǎng)絡(luò)登錄用戶并確定是否進行相關(guān)審計。第十一條 本辦法由公司信息中心負責(zé)解釋。本辦法自下發(fā)之日起執(zhí)行。此前頒布的有關(guān)規(guī)定中與本辦法不一致的，以本辦法為準(zhǔn)。第二部分XXX建工（集團）總公司信息系統(tǒng)管理實施細則（試行）目 錄第一章 總則.........................................................第二章 信息系統(tǒng)安全管理制度 .........................................第一章 總則第一條 為加強公司（以下簡稱公司）對計算機應(yīng)用的集中統(tǒng)一管理，規(guī)范全公司系統(tǒng)的計算機應(yīng)用，保證計算機系統(tǒng)和設(shè)備的正常運轉(zhuǎn)，根據(jù)公司《信息系統(tǒng)管理辦法》，制訂本實施細則。第二條 本實施細則主要包括計算機應(yīng)用項目立項和審批程序、計算機設(shè)備購臵和使用管理、系統(tǒng)及應(yīng)用軟件維護管理、計算機設(shè)備報廢管理、耗材管理、網(wǎng)絡(luò)管理、機房管理、技術(shù)文檔的管理、系統(tǒng)安全保密管理、網(wǎng)絡(luò)防病毒管理以及技術(shù)培訓(xùn)管理等。第三條 本辦法適用于公司各部門、下屬各項目部。第二章 信息系統(tǒng)安全管理制度總 則第一條 為了加強對公司信息系統(tǒng)的安全管理、防范和穩(wěn)定、確保系統(tǒng)的穩(wěn)定運行，確保公司各項業(yè)務(wù)的順利開展，開始制定本制度。第二條 信息系統(tǒng)安全管理涉及安全管理組織建設(shè)、安全策略、系統(tǒng)環(huán)境安全、軟件安全、設(shè)備（實體）安全、網(wǎng)絡(luò)和通訊系統(tǒng)安全、用戶及權(quán)限管理、操作安全、病毒防范、系統(tǒng)備份、日志記錄、事故處理以及安全審計等內(nèi)容，公司信息技術(shù)工作應(yīng)在本制度指引下，本著“安全第一”的原則進行。第三條 本制度適用于公司總公司、各項目部。組織和職責(zé)第四條 信息系統(tǒng)安全管理實行公司安全管理委員會和項目部經(jīng)理負責(zé)的項目部安全管理小組兩級管理制度。第五條 公司安全管理委員會下設(shè)安全工作小組作為執(zhí)行機構(gòu)，定期對公司范圍信息系統(tǒng)的安全性作出評價，必要時提出提高安全性的建議。第六條 公司安全管理委員會的職責(zé)包括：建立健全公司各種安全制度、對安全工作小組的工作進行授權(quán)、對公司各類信息的重要性進行評估為其安全級別的制定提供依據(jù)、對安全工作小組有關(guān)報告的討論和批復(fù)、安全事故處理結(jié)果的公布、取得法律支持以解決信息系統(tǒng)入侵者的問題，以及進行安全教育和安全檢查。第七條項目部安全管理小組的職責(zé)包括：監(jiān)督和檢查各項安全管理制度在項目部的落實情況、定期向公司安全管理委員會提交工作報告、處理公司安全管理委員會授權(quán)的事務(wù)、配合公司安全工作小組的工作、開展計算機安全教育、保證項目部信息系統(tǒng)安全運行。安全策略第八條 計算機信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定。第九條 對計算機信息系統(tǒng)中發(fā)生的案件，項目部電腦人員即時向項目部經(jīng)理匯報，并于 24小時內(nèi)向總公司信息中心報告。第十條 通過對信息系統(tǒng)環(huán)境、軟件、硬件、網(wǎng)絡(luò)和通信、用戶和權(quán)限、規(guī)范化操作、病毒防范、備份和恢復(fù)手段以及安全審計等的有效管理， 維護公司整個計算機環(huán)境的一致性。第十一條 建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第十二條 對公司員工進行計算機安全教育， 提高員工的安全意識，是公司安全策略的重要組成部分。第十三條 項目部安全管理小組必須定期對本項目部的主要計算機信息系統(tǒng)資源配臵、 技術(shù)人員構(gòu)成進行登記，并報公司安全管理委員會備案。第十四條 公司安全管理委員會及項目部安全管理小組應(yīng)當(dāng)對公司總公司和各項目部重要崗位計算機信息系統(tǒng)的安全情況經(jīng)常進行檢查，并及時整改不安全隱患。第十五條 公司安全管理委員會應(yīng)當(dāng)建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十六條 公司總公司和各項目部啟用新的系統(tǒng)軟件， 應(yīng)當(dāng)按有關(guān)規(guī)定業(yè)務(wù)系統(tǒng)，并做好日志記錄。第十七條 公司安全管理委員會應(yīng)當(dāng)建立嚴格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。安全監(jiān)督第十八條 公司安全管理委員會對公司內(nèi)部計算機信息系統(tǒng)安全保護工作行使下列監(jiān)督職權(quán)：1、監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保護工作；2、查處危害計算機信息系統(tǒng)安全的事件；3、組織或委托有關(guān)部門對新建、改建和擴建的系統(tǒng)進行安全驗收，負責(zé)系統(tǒng)安全技術(shù)檢測工作；4、組織開展系統(tǒng)安全競賽和評比；負責(zé)通報表彰和處罰；5、履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責(zé)。第十九條 公司安全管理委員會發(fā)現(xiàn)影響計算機信息系統(tǒng)安全的隱患時，應(yīng)當(dāng)及時通知公司各有關(guān)部門和各項目部采取安全保護措施。第二十條 公司安全管理委員會在緊急情況下，可以就涉及計算機信息系統(tǒng)安全的特定事項發(fā)布專項通知。安全管理第一節(jié) 信息系統(tǒng)環(huán)境的安全管理第二十一條 信息系統(tǒng)環(huán)境的安全管理按照公司相關(guān)規(guī)定執(zhí)行。第二節(jié) 系統(tǒng)軟件安全管理第二十二條 總公司信息中心依據(jù)公司《軟件開發(fā)管理制度》對系統(tǒng)軟件、應(yīng)用軟件的開發(fā)、購買、測試和使用等環(huán)節(jié)進行管理。第二十三條 軟件的開發(fā)和采購報告必須包括安全設(shè)計的說明，其安全設(shè)計必須符合《軟件開發(fā)管理制度》的有關(guān)規(guī)定。第二十四條信息技術(shù)人員應(yīng)按照信息中心下發(fā)的安裝配臵方法對系統(tǒng)軟件進行統(tǒng)一的安裝配臵。第二十五條信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應(yīng)及時報告公司安全管理委員會。第二十六條信息中心應(yīng)與軟件開發(fā)商和供應(yīng)商保持聯(lián)系，及時取得并組織安裝經(jīng)過測試的安全補丁。第二十七條軟件使用部門根據(jù)業(yè)務(wù)需要提出增添新的應(yīng)用軟件或?qū)σ延袘?yīng)用軟件提出新的功能要求，須以部門名義向信息中心填寫《軟件需求報告表》，信息中心在收到《軟件需求報告表》后，三天之內(nèi)給予書面答復(fù)。第二十八條新購臵的軟件需經(jīng)信息中心測試和試運行。試運行完成后，試用人員應(yīng)填寫《軟件驗收報告表》報信息中心領(lǐng)導(dǎo)審核，信息中心在收到報告后三天內(nèi)予以回復(fù)。測試穩(wěn)定后由信息中心統(tǒng)一分發(fā)安裝使用。第二十九條自用開發(fā)的應(yīng)用軟件，如源程序中需要嵌入數(shù)據(jù)庫訪問的用戶設(shè)臵，應(yīng)由數(shù)據(jù)管理員得到源程序、制作安裝盤。該安裝盤與購臵的應(yīng)用軟件安裝盤一并由檔案管理員保管，由應(yīng)用系統(tǒng)維護人員調(diào)用安裝。第三節(jié) 計算機及相關(guān)設(shè)備的安全管理第三十條 總公司信息中心配合財務(wù)部依據(jù)公司《固定資產(chǎn)管理制度》對計算機及相關(guān)設(shè)備的選型、采購等過程進行管理。第三十一條 重要的服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)放臵在機房，通過《計算機房管理制度》保證其物理安全性。第三十二條 重要的服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)有備品備件，出現(xiàn)問題及時更換。第三十三條 對服務(wù)器及其資源的管理：1、對資源共享權(quán)限和NTFS訪問權(quán)限進行嚴格、有效的管理，不授予用戶超出需要的權(quán)限，權(quán)限的設(shè)臵必須有明確的依據(jù)；、制定方案，對敏感資源的操作、系統(tǒng)登錄情況進行定期或不定期檢查，及時查看L系統(tǒng)日志文件，對ALERT相關(guān)日志提示作出及時響應(yīng)；、提供遠程訪問和對外WEB服務(wù)的服務(wù)器不存放敏感數(shù)據(jù)；4、對一些系統(tǒng)程序(如Telnet、ftp等)的使用應(yīng)加強控制；停止服務(wù)器上不必要的服務(wù)；盡量減少所使用的協(xié)議。第三十四條 對貯有重要數(shù)據(jù)的故障設(shè)備，交外單位人員修理時，總公司及各項目部必須派專人在場監(jiān)督。第四節(jié) 網(wǎng)絡(luò)和通信系統(tǒng)的安全管理第三十五條 計算機通信系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定，并建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第三十六條 采用新的網(wǎng)絡(luò)安全軟件、設(shè)備和技術(shù)保證公司網(wǎng)絡(luò)的安全。第三十七條第三十八條第三十九條第四十條第四十一條第四十二條第四十三條第四十四條

主要的通信設(shè)備應(yīng)做到設(shè)備備份。通信線路接口部分應(yīng)采取防止非法進入的安全措施。進行密碼設(shè)臵，并進行密碼的專職保管，防范通信線路接口部分的采取非法進入。公司及項目部應(yīng)當(dāng)對總公司和各項目部通信系穩(wěn)定、安全情況進行定期檢查，并及時整改不安全隱患。對通信系統(tǒng)中發(fā)生的案件，項目部電腦人員即時向項目部總經(jīng)理匯報，并于即時與總公司信息中心相關(guān)人員聯(lián)系，雙方合作盡快解決問題。總公司信息中心設(shè)崗位職責(zé)，分別負責(zé)公司網(wǎng)絡(luò)安全方案的實施，對總公司局域網(wǎng)、各類移動連接、Internet 接入設(shè)備進行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。項目部的局域網(wǎng)管理、項目部與公司總公司的通訊連接由項目部電腦部負責(zé)。為了安全期間，項目部與項目部之間應(yīng)限制相互間的直接操作 。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十五條 由于數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時，應(yīng)創(chuàng)建臨時用戶、賦予適當(dāng)?shù)臋?quán)限，并交由審計人員、應(yīng)用系統(tǒng)維護人員使用，并在使用完畢后及時刪除該臨時用戶。在技術(shù)允許的條件下，應(yīng)限制用戶的登錄工作站。第四十六條第四十七條第四十八條

對于涉及業(yè)務(wù)、財務(wù)方面的數(shù)據(jù)庫，應(yīng)利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)臵對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中。定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第五節(jié) 管理員及其職責(zé)總公司信息中心設(shè)系統(tǒng)管理員崗位， 負責(zé)公司信息系統(tǒng)的管理，包括服務(wù)器的規(guī)劃、安裝和配臵，啟動/停止系統(tǒng)和服務(wù)，對系統(tǒng)運行狀態(tài)和入侵企圖進行監(jiān)控，安裝/刪除軟件，增加/刪除/修改用戶和用戶組，對用戶/用戶組的權(quán)限進行設(shè)臵和修改，以及其它保持系統(tǒng)發(fā)展和安全運行的工作。管理員應(yīng)采取的安全措施有：1、由于管理員組和備份組成員擁有對數(shù)據(jù)庫的權(quán)限，所以必須嚴格限制管理員組和備份組成員資格，并加強對這些帳戶的審計；2、改變Administrator 帳戶名，為管理員和備份操作員創(chuàng)建專用帳號，為特定的工作建立專用的帳號，要求在執(zhí)行相應(yīng)的管理任務(wù)時使用相應(yīng)的帳號，操作結(jié)束時及時注銷；3、關(guān)閉管理員以及特殊權(quán)限用戶的遠程訪問能力，特殊情況可以采用預(yù)設(shè)電話號碼的回撥方式；總公司信息中心設(shè)數(shù)據(jù)管理員崗位，負責(zé)總公司數(shù)據(jù)的安全管理和維護。第四十九條 項目部的局域網(wǎng)管理、項目部與總公司的通訊連接由項目部電腦部負責(zé)。第五十條 系統(tǒng)管理員配合財務(wù)部經(jīng)理做好財務(wù)保密數(shù)據(jù)的安全性，必要性管理。第六節(jié) 用戶、組及其權(quán)限第五十一條 系統(tǒng)管理員根據(jù)公司業(yè)務(wù)要求建立具有不同權(quán)限的用戶組，包括系統(tǒng)管理權(quán)限、系統(tǒng)和數(shù)據(jù)備份權(quán)限、帳號管理權(quán)限、各種數(shù)據(jù)庫訪問權(quán)限、不同的文件訪問權(quán)限、各種應(yīng)用程序使用權(quán)限、網(wǎng)絡(luò)打印權(quán)限、遠程訪問權(quán)限、Internet訪問權(quán)限等。第五十二條 項目部系統(tǒng)管理員新增/刪除柜臺用戶或?qū)τ脩魴?quán)限進行分配應(yīng)有文字記錄。對參數(shù)進行調(diào)整的非正常業(yè)務(wù)操作必須填寫書面說明，而且必須由項目部經(jīng)理批準(zhǔn)后方能執(zhí)行。第五十三條 項目部技術(shù)人員在應(yīng)用系統(tǒng)中的權(quán)限應(yīng)只限于系統(tǒng)管理，而無業(yè)務(wù)操作權(quán)限。第五十四條 對用戶及權(quán)限管理應(yīng)按以下原則執(zhí)行：1、應(yīng)對具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權(quán)限的用戶進行限制，包括僅允許在機房和自己的工作地點登錄，同一時間僅允許同一用戶登錄一次允許遠程訪問時必須設(shè)定回撥方式等；2、盡可能對組而不是對用戶授權(quán)；3、杜絕無口令的登錄帳戶，刪除 GUEST帳戶；4、對口令長度、復(fù)雜程度、有效期、重復(fù)使用的間隔等進行規(guī)定；5、及時鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時授權(quán)帳戶必須及時取消；6、一般不設(shè)公用帳戶，以保證用戶有獨立的帳戶；7、對無法設(shè)臵口令的用戶及公用帳戶應(yīng)加強登錄時間、登錄地點、登錄數(shù)目的限制，對自動執(zhí)行批處理命令的用戶應(yīng)有防中斷措施；8、權(quán)限變更或交接應(yīng)有文字記載。第七節(jié)操作的規(guī)范化管理第五十五條總公司和項目部應(yīng)分別制定操作規(guī)程，并定期修改。第五十六條禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令。第五十七條公司員工應(yīng)有互不相同的用戶名，定期兩個月更換操作口令。第五十八條一般用戶口令長度不得少于6位，不使用小鍵盤的人員編制口令應(yīng)做到字符與數(shù)字混排，不得使用電話號碼、生日等作為口令；系統(tǒng)管理員口令不得少于10位。第五十九條嚴禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計留痕功能。第六十條各崗位操作權(quán)限要嚴格按崗位職責(zé)設(shè)臵，管理員不得超越用戶職責(zé)授權(quán)。管理員應(yīng)定期檢查操作員的權(quán)限。第六十一條項目部總經(jīng)理應(yīng)及時審計系統(tǒng)管理員所做的操作，重要崗位的登錄過程應(yīng)增加必要的限制措施。第六十二條 系統(tǒng)技術(shù)參數(shù)的調(diào)整由電腦部經(jīng)理負責(zé)； 重要參數(shù)的調(diào)整由經(jīng)理在履行審批手續(xù)后實施。第六十三條 項目部電腦技術(shù)人員可以協(xié)助但不得其它任何非相關(guān)的工作。第六十四條 建立和完善技術(shù)監(jiān)管系統(tǒng)，確保數(shù)據(jù)的一致性和連續(xù)性。第六十五條 對數(shù)據(jù)備份和審計記錄建立定期查驗制度。第六十六條第六十七條第六十八條第六十九條第七十條第七十一條第七十二條

第八節(jié) 病毒防范總公司和項目部必須配備公安部認可的正版防病毒軟件并及時更新軟件版本。經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。禁止運行未經(jīng)信息中心審核批準(zhǔn)的軟件。新系統(tǒng)安裝前應(yīng)進行病毒例行檢測，避免使用盜版軟件。嚴格限制非常規(guī)電腦設(shè)備的使用，設(shè)備使用按《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》的有關(guān)條款執(zhí)行。與外界通訊或能夠訪問Internet 的計算機上應(yīng)安裝病毒實時監(jiān)控軟件。因計算機病毒引起的計算機信息系統(tǒng)癱瘓、 程序和數(shù)據(jù)嚴重破壞等重大事故及時向信息中心領(lǐng)導(dǎo)及電腦安全管理小組報告。第九節(jié)備份第七十三條按照有關(guān)規(guī)定對系統(tǒng)進行備份。第七十四條項目部必須對日常數(shù)據(jù)等進行備份，備份數(shù)據(jù)存放按公司《技術(shù)資料管理制度》和《信息系統(tǒng)安全管理制度》執(zhí)行。第七十五條系統(tǒng)管理員必須提取有關(guān)系統(tǒng)的配臵參數(shù)并在修改參數(shù)后及時更新。第七十六條必須保留軟硬件說明書、配臵軟件、配臵參數(shù)等技術(shù)資料，并存放于安全地點，有關(guān)事項按《技術(shù)資料管理制度》及《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》執(zhí)行。第七十七條數(shù)據(jù)備份在周期性方面可選擇采用以下四種方式：1、永久性的完全備份：數(shù)據(jù)備份到存儲介質(zhì)后，將介質(zhì)密封永久保存；2、周五做完全備份、周一至周四做增量備份；3、定期做覆蓋方式的完全備份：在同一備份介質(zhì)上覆蓋原有備份數(shù)據(jù)；4、定期做追加方式的完全備份：在同一備份介質(zhì)上增加最新狀態(tài)的備份；第七十八條 根據(jù)第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲介質(zhì)：1、寫的刻錄光碟（CD、DVD等），適合于永久備份；2、磁帶，適合于所有備份策略；3、可擦寫的其他存儲介質(zhì)（硬盤、 MO等），適合于備份策略；第七十九條 對于某個具體的備份對象，原則上應(yīng)僅選擇一種備份方式和備份介質(zhì)實施備份。同時盡可能選擇可移動的備份介質(zhì)， 以利于數(shù)據(jù)備份的歸檔管理。除非應(yīng)用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動的備份介質(zhì)。第八十條 備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進行保管：1、對于永久性的完全備份，應(yīng)保留兩份備份。在密封處理后，其中的一份交由信息中心檔案管理員保管（蓋信息中心密封章），另外一份交由總公司檔案室檔案管理員保管（蓋總公司檔案室密封章）；2、于定期做覆蓋或追加方式的完全備份，應(yīng)保留一份備份。在脫機后，如保管時間超過七天，則須經(jīng)密封處理由信息中心檔案管理員保管； 如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內(nèi)交由檔案管理員保管；3、對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放臵于安全的地點，則可將五天備份所用的磁帶一并放入磁帶柜，實現(xiàn)每日自動裝載和備份；否則仍須按情況（ 2）的方式進行保管。第八十一條 備份的檢查1、對于永久性的完全備份，在密封保管前須通過數(shù)據(jù)導(dǎo)出、檢查數(shù)據(jù)完整性的復(fù)核；在密封保管后，須每隔一年進行一次數(shù)據(jù)檢查；2、對于除永久性的完全備份以外的備份方式，應(yīng)在經(jīng)過了一到兩個備份周期后進行恢復(fù)測試；在備份正常運轉(zhuǎn)后，須每隔三個月進行一次恢復(fù)測試。第十節(jié)日志記錄第八十二條信息中心及項目部電腦部應(yīng)對系統(tǒng)配臵的更改、網(wǎng)絡(luò)用戶權(quán)限的分配和更改及原因作詳細記錄，對機房管理系統(tǒng)運行情況，系統(tǒng)運行故障現(xiàn)象、時間、處理方式等進行詳細記錄。項目部系統(tǒng)管理員應(yīng)對增/刪除、權(quán)限變更情況進行記錄；第八十三條日志記錄采用標(biāo)準(zhǔn)格式，并具備相關(guān)責(zé)任人的簽字。參見附錄一。第八十四條系統(tǒng)運行日志必須妥善保存，不得缺頁，定期存檔。第十一節(jié)安全事故處理及恢復(fù)第八十五條安全事故是指由于軟硬件故障、系統(tǒng)配臵錯誤、操作失誤、黑客入侵、病毒、口令盜用等原因引起系統(tǒng)無法正常運行，數(shù)據(jù)或文件丟失的事件。第八十六條事故出現(xiàn)后應(yīng)及時處理并按公司的有關(guān)規(guī)定匯報。凡隱瞞不報的，追究相關(guān)人員責(zé)任。第九十六條事故處理后應(yīng)及時進行分析并寫出分析報告，總公司相關(guān)部門應(yīng)在此基礎(chǔ)上明確責(zé)任歸屬，并向項目部通報。人員管理第九十七條 系統(tǒng)管理員不能兼任任何及事后稽核等工作，不得參與相關(guān)軟件開發(fā)。參加過應(yīng)用系統(tǒng)開發(fā)的人員，不得擔(dān)任相應(yīng)系統(tǒng)的管理員。第八十七條 電腦技術(shù)人員調(diào)離時，必須移交全部技術(shù)手冊及有關(guān)資料，并更換計算機的有關(guān)口令和密鑰。涉及公司業(yè)務(wù)核心部分開發(fā)的技術(shù)人員調(diào)離原工作崗位或公司時，應(yīng)當(dāng)確認對公司計算機信息系統(tǒng)安全不會造成危害后方可調(diào)離。責(zé) 任第八十八條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會處以 警告或通報批評處分：1、違反計算機信息系統(tǒng)安全管理中有關(guān)條例，危害計算機信息系統(tǒng)安全的；2、不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的；3、接到公司安全管理委員會要求改進安全狀況的通知后，在限期內(nèi)拒不改進或未完成目標(biāo)的；4、違反審批制度增設(shè)或更換設(shè)備、裝臵的；5、拒絕、阻礙公司計算機安全管理組織實施安全檢查的；6、有危害計算機信息系統(tǒng)安全的其他行為的。第八十九條計算機房不符合公司有關(guān)規(guī)定的，或者在計算機機房附近施工危害計算機信息系統(tǒng)安全的，由公司安全管理委員會會同有關(guān)部門進行處理。第九十條故意輸入計算機病毒以及其他有害數(shù)據(jù)危害公司計算機信息系統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。第十三節(jié)信息中心總公司數(shù)據(jù)管理員職責(zé)細則職責(zé)范圍第九十一條數(shù)據(jù)管理員負責(zé)對總公司應(yīng)用系統(tǒng)數(shù)據(jù)實施備份，并實行安全可靠的管理；對項目部上交的應(yīng)用系統(tǒng)數(shù)據(jù)備份進行歸檔和使用實行管理；掌握數(shù)據(jù)庫超級用戶權(quán)限，安全規(guī)范地管理數(shù)據(jù)庫系統(tǒng)的運行。第九十二條制定備份策略，對數(shù)據(jù)文件和數(shù)據(jù)庫進行備份。與檔案管理員協(xié)作，妥善保管備份介質(zhì)。第九十三條根據(jù)業(yè)務(wù)需求和用戶申請創(chuàng)建、刪除數(shù)據(jù)庫，修改數(shù)據(jù)庫參數(shù)設(shè)臵。第九十四條根據(jù)業(yè)務(wù)需求和用戶申請創(chuàng)建數(shù)據(jù)庫系統(tǒng)的登錄用戶，賦予用戶適當(dāng)?shù)臄?shù)據(jù)庫權(quán)限，包括數(shù)據(jù)庫所有者權(quán)限、數(shù)據(jù)庫對象的增刪改權(quán)限等；刪除用戶；保管應(yīng)用程序中封裝的數(shù)據(jù)庫用戶的密碼。第九十五條在數(shù)據(jù)庫需要進行數(shù)據(jù)和結(jié)構(gòu)方面的調(diào)整時，創(chuàng)建臨時調(diào)試用戶并交由應(yīng)用系統(tǒng)維護人員使用，并在使用完畢后及時刪除測試用戶。第九十六條利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)臵對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中；定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報第九十七條除上述數(shù)據(jù)庫管理內(nèi)容之外的方面，如定時任務(wù)的管理，定期檢查系統(tǒng)日志、監(jiān)控參數(shù)的設(shè)臵等。數(shù)據(jù)安全管理的原則第九十八條 數(shù)據(jù)必須是有據(jù)的，能夠辨認數(shù)據(jù)的內(nèi)容、用途和使用方法；必須經(jīng)過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播數(shù)據(jù)；數(shù)據(jù)應(yīng)只用于明確規(guī)定的目的，第九十九條第一百條第一百零一條第一百零二條第一百零三條第一百零四條

未經(jīng)批準(zhǔn)不得它用；采用的數(shù)據(jù)范圍應(yīng)與規(guī)定用途相符。采用相宜的預(yù)防措施，保持數(shù)據(jù)的完整、準(zhǔn)確、及時、可用；數(shù)據(jù)管理者應(yīng)承擔(dān)保存或處理數(shù)據(jù)的保護職責(zé)，防止數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應(yīng)采用多種記錄手段。數(shù)據(jù)使用者有權(quán)查閱被授權(quán)的數(shù)據(jù)， 索取數(shù)據(jù)記錄復(fù)制件，更正有關(guān)自身的任何不準(zhǔn)確數(shù)據(jù)；享受有限次數(shù)規(guī)定的有問必答權(quán)利。制訂必須的數(shù)據(jù)存取細則，采取措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。無正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得通報數(shù)據(jù)內(nèi)容，不得泄漏數(shù)據(jù)給內(nèi)部或外部的無關(guān)人員。不應(yīng)造成可從發(fā)布的統(tǒng)計數(shù)據(jù)中推斷出保密或敏感的信息。建立適當(dāng)?shù)谋O(jiān)督、管理機制，保證與數(shù)據(jù)有關(guān)的個體和數(shù)據(jù)管理者的合法權(quán)益不被侵犯。數(shù)據(jù)安全管理的內(nèi)容第一百零五條 完整性:數(shù)據(jù)內(nèi)容的完整性指的是保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改。它包括單個數(shù)據(jù)完整性和數(shù)據(jù)序列完整性。它是一系列安全性能的集合，這些性能都與數(shù)據(jù)能被系統(tǒng)正確提供給目標(biāo)實體有關(guān)。第一百零六條 保密性:計算機網(wǎng)絡(luò)系統(tǒng)中的信息應(yīng)該根據(jù)其重要性、密級、應(yīng)用需求等分別實施相應(yīng)的加密措施，保密信息不得以明文形式存儲和傳送。應(yīng)根據(jù)信息的重要性、密級規(guī)定及用途，決定操作人員的存取權(quán)限和存取方式。所有的統(tǒng)計信息應(yīng)根據(jù)其重要程度進行密級劃分，并制訂相應(yīng)的管理辦法，確定允許對外發(fā)布和交流的信息指標(biāo)、報批權(quán)限和手續(xù)。第一百零七條 可用性:可用性保證了信息是正確可用的。在項目部