公司信息系统应用管理办法

  • 格式:doc
  • 大小:103.00 KB
  • 文档页数:12

公司信息系统应用管理办法
1 基本要求
1.1 为进一步强化公司信息系统的应用管理工作,规范和加强系统应用权限管理、用户访问、密码管理、系统变更、数据及接口管理、终端用户计算、日志管理、备份管理和问题管理,确保信息系统安全、稳定、高效运行,提高系统应用水平,根据《集团公司管理信息系统应用管理办法》,特制定本办法。

1.2 本办法适用于公司范围内的所有管理信息系统,公司各有关部门、各单位要依据本办法,制定本部门、本单位牵头负责的管理信息系统的应用管理细则。

1.3 对于第三方服务供应商,应签署保密协议,保证其服务的安全、准确和有效性。

1.4 公司各部门、各单位应强化本单位管理信息系统的应用培训,培训内容除包括系统操作外,还应加强有关安全政策、权限申请、系统访问、密码管理等方面的安全教育,提高全员安全意识。

1.5 已投入运行的系统,其系统功能达不到本办法的有关要求,应进行系统升级或变更;目前暂无升级计划的系统,必须加强管理和培训,加大监控力度,有效规避风险。

2 各级信息管理部门职责
2.1 科技开发处是信息系统应用管理的归口管理部门,负责监督、检查、考核公司信息系统应用管理情况。

2.2 信息技术管理中心负责公司信息系统应用管理运行维护和技术支持。

2.3 各信息系统应用单位是信息系统的使用单位,负责系统功能
完善、用户管理、数据管理等。

3 管理内容和要求
3.1 用户权限管理
3.1.1 公司各部门、各单位要加强本单位牵头负责管理信息系统的用户权限管理,按照“岗位需要、权责对等、统一授权”的原则,对用户进行分类分级管理,明确各级用户职责,严格控制权限范围。

3.1.2 重要的管理信息系统如ERP系统、MES等,要配备专职或兼职应用系统管理员,兼职应用系统管理员的职责应遵循不相容岗位原则,主要负责应用系统用户增加、删除、权限分配与变更;系统用户及权限定期审核;应用系统数据备份与恢复;应用系统日常维护等工作。

3.1.3 数据库管理员、操作系统管理员(以下统称系统管理员)和应用系统管理员的任命要经过严格审批和定期审核。

应用系统管理员和系统管理员不能由同一人担任。

3.1.4 对访问信息系统的用户要有严格的申请审批流程,用户的增加、删除、权限变更必须填写申请表,经相关部门负责人审批后,方可访问系统;系统按权限组或角色分配用户权限时,权限组、角色的定义要经过相关负责人审批。

3.1.5 系统管理员要在岗位职责权限范围内做好系统监控、备份、恢复、系统变更等工作,记录操作过程并形成相关文档,不得进行职责权限范围以外的具体业务处理和操作。

3.1.6 应用系统管理员至少每半年检查一次系统中的用户和权
限及使用情况,发现有异常情况及时向相关部门负责人汇报;相关部门负责人要定期审核系统内用户清单及权限是否与其岗位
职责相符,如有不符,及时通知应用系统管理员做出调整。

3.2 用户访问管理
3.2.1 应用系统中用户帐号不得重复;业务操作账号不得共享,对查询、班组等共享账号的申请审批要严格控制,并定期审核。

3.2.2 要严格控制第三方人员对系统的访问,第三方人员必须访问系统时,应填写账号申请表,说明账号使用的原因、时间和期限,并由相关部门负责人批准,到期要及时删除或锁定其账号。

3.2.3 开发人员不得进入生产环境,确有需要时,开发人员临时进入生产系统要经过严格审批和授权,到期要及时删除或锁定开发人员的账号。

3.2.4 应用系统管理员要定期审核系统内的用户账号清单,发现异常情况及时向相关部门负责人汇报。

3.2.5 系统用户须妥善管理自己的用户账号,用户账号只限本人使用,不得转借他人,临时离开时要退出系统或锁定计算机。

3.3 密码管理
3.3.1 为保证管理信息系统安全,系统密码的长度至少为6位,复杂度为数字与字母的组合;所有用户首次登录系统必须更改初始密码,使用中要定期更改密码,新密码不得与历史密码相同;登录时,密码多次输入错误应锁定该用户账号。

3.3.2 操作系统、数据库、应用系统的初始密码必须在系统投用前修改,系统管理员和应用系统管理员必须定期更改密码。

3.3.3 如果密码长度、密码复杂度、密码定期修改、密码多次输错锁定等要求不能在应用系统中强制控制实现,各单位信息部门负责人、应用系统管理员要加强用户密码使用的培训和定期监督检查工作。

3.4 系统变更管理
3.4.1 要严格管理和控制应用系统的变更,集团公司统一实施的系统(如ERP系统、MES等),应用程序变更必须上报集团公司信息系统管理部和相关业务部门,由集团公司统一组织升级、测试和变更。

分公司自建系统的变更,必须经过分公司信息管理部门和相关业务部门负责人审批后,方可变更。

3.4.2 应用程序变更移植到生产系统前必须进行系统测试和最
终用户测试,测试不能在生产环境中进行;变更过程中,要做好系统数据的迁移工作,确保数据安全、完整。

3.4.3 凡操作系统和数据库打补丁、系统性能优化等配置变更,必须严格审批程序,并经过严格测试后,才能在生产环境中生效。

3.4.4 集团公司统一实施的管理信息系统不允许紧急变更。

3.4.5 信息管理部门必须做好操作系统、数据库、应用系统的版本管理,记录每次变更的版本号,存档变更文档和变更升级程序。

3.5 数据及接口管理
3.5.1 要严格控制应用系统数据导入、导出权限;需与集团公司统一实施的系统建立接口时,必须报集团公司信息系统管理部和相关业务部门审批。

3.5.2 要严格管理信息系统的主数据,对集团公司统一制定下发的信息标准代码,各分(子)公司必须遵照执行,需要增加、删除、修改时,必须按照相关规定,上报集团公司有关部门审批。

3.6 终端用户计算管理
3.6.1 终端用户计算是指与财务报告生成相关的并含有计算公
式的小程序和电子表格,各部门要加强终端用户计算管理,需接入集团公司统一实施系统的终端用户计算,须报集团公司信息系
统管理部和相关业务部门审批;其他终端用户计算报本单位信息管理部门和相关业务部门审批。

3.6.2 终端用户计算启用前必须经过严格测试和公式运算,并提供详细的使用说明文档;终端用户计算的变更,必须经过严格审批和测试,并存档变更文档和变更升级程序,其数据要定期备份。

3.6.3 要严格控制终端用户计算的访问权限和数据导入导出权限,对访问终端用户计算的用户要严格申请审批流程,各级信息管理部门和相关业务部门要定期检查终端用户计算的用户权限
和访问情况。

3.7 日志管理
3.7.1 系统管理员、应用系统管理员要定期备份和审核相关系统日志,发现异常情况,及时上报有关负责人,同时查明原因,提出处理意见,记录处理情况。

3.7.2 独立于系统管理员、应用系统管理员的安全管理员要定期审核网络、数据库、操作系统和应用系统的日志。

3.8 备份管理
3.8.1 为保证信息系统数据安全,要定期备份应用系统程序和应用数据,备份方式、备份频率根据系统的具体情况确定。

3.8.2 为防止意外须异地备份或将备份介质异地存放,备份介质存放时要办理交接手续;严格控制备份介质的访问权限,备份介质的存取要有记录。

备份介质存放地点必须防火、防潮、防磁。

3.8.3 至少每半年做一次备份数据的可读性测试;具备条件的单位,每年做一次恢复性测试,要详细记录恢复的步骤、数据情况、恢复结果,并经相关负责人审核确认。

系统管理员或应用系统管理员要熟练掌握数据恢复的操作步骤。

3.9 问题管理
3.9.1 系统管理员、应用系统管理员要对系统运行状况进行监控;系统运行中出现故障时,普通操作人员不得擅自处理,应保护现场,及时与系统管理员联系;本单位系统管理员不能排除故障时,应报上一级管理部门。

3.9.2 对用户申报的问题,必须及时处理和跟踪,详细记录故障发生时间、故障情况、解决办法、处理结果等,并经相关部门负责人审核签字。

4 监督、检查与考核
4.1 科技开发处对公司信息系统应用管理等进行监督、检查。

4.2 科技开发处制定公司信息系统应用管理的考核指标和考核办法,并结合内控“基础设施IT一般性控制”相关控制点考核进行检查。

5 附录
5.1 附录1 管理员授权书和在职证明
5.2 附录2应用系统账号申请表
5.3 附录 3配置变更申请表
5.4 附录4 备份介质存取记录表
5.5 附录5可读恢复性测试记录表
5.6 附录6 集团公司域帐户服务申请表
附录1 管理员授权书
授权委托书
兹授权***为公司***管理员,负责主要负责应用系统用户增加、删除、权限分配与变更;系统用户及权限定期审核;应用系统数据备份与恢复;应用系统日常维护等工作。

本授权书有效期三年,从即日起生效。

公司****
单位(签字或盖章)
*年*月*日
附录2 应用系统账号申请表
应用系统账号申请表
附录 3系统变更申请表
系统变更申请表
附录4 备份介质存取记录表
备份介质存取记录表
附录5 数据恢复测试记录表
数据恢复测试记录表
附录6 集团公司域帐户服务申请表
注1:非正式员工域帐户需由正式员工代理申请,有效期限最长半年。

注2:域帐户服务申请由单位信息员办理,《申请表》签字后作为纸质文档存档,。