大型国有企业信息化管理制度.docx

《大型国有企业信息化管理制度.docx》由会员分享，可在线阅读，更多相关《大型国有企业信息化管理制度.docx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、大型国有企业信息化管理制度第一章总那么第一条 为了保证公司信息系统正常、安全运行，提高信息系统数据的完整性 和准确性，降低人为因素可能导致的内部控制失效，形成顺畅的信息传递渠道, 根据国家有关法律、法规和企业内部控制基本规范及其应用指引，结合公司 的实际情况制定本制度。第二条公司信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据、文档以及承载信息系统的IT基础架构等的总称。第三条公司信息系统的管理制度主要是对信息系统开发、变更、维护、访问安全、软硬件管理、会计电算化等过程环节以及参与人员所作的管控规定。第四条公司信息系统归口管理部门为信息中心；分子公司信息系统由分子公司IT组织实施

2、管理。第五条 由于公司信息系统同时服务于分子公司，所以本制度适用于分子公 司，在公司与分子公司的信息化管理制度与技术管理规定有差异时，以公司公布 的管理规定为优先，分子公司有提出修订的权利。第六条本制度的名词定义与注释：(-)公司信息中心简称信息中心。(-)公司信息系统服务于公司及分子公司的所有(或大局部)员工，由职能部 门与信息中心共同负责建设与维护。(三)分子公司信息系统服务于各分子公司的员工，由各分子公司业务部门和IT 组织负责建设与维护。在公司信息系统工程建设进程中如遇到工程需求变更的情况，应由需求提出部门 按照公司信息系统开发需求变更申请表（附件三）提出书面变更需求并由部 门负责人签

3、字确认，如工程需求变更涉及对公司现存制度的改变或相关信息系统 重大调整的要书面上报公司，获批准后方可变更。因工程需求变更所带来的额外 开发费用应另行计算，必要时应对原工程合同签署相关的补充协议。（A）工程数据准备在工程建设过程中，需求提出部门应及时提供相关数据案例以供系统开发测试使 用，并在工程上线前负责收集、整理系统的初始数据,配合将初始数据录入系统。 需求提出部门有责任保证所提供数据的准确性、完整性、即时性。（九）工程测试工程工作组应按照测试方案进行系统阶段测试和整体测试，需求提出部门应配合 完成其中的功能性测试。在测试中发现的问题应及时加以改进，并出具具体的测 试报告。（十）工程验收公司

4、信息系统工程建设过程中，应根据各阶段工作目标由需求提出部门对系统功 能进行验收，由信息中心对工程所使用的技术和系统性能进行验收，并共同填妥 公司信息系统工程验收单（附件四）。（十一）工程培训工程工作组和需求提出部门应组织并落实好公司信息系统的使用培训工作，为使 用者提供通俗易懂的使用帮助手册。（十二）工程归档涉及工程设计、测试及维护的各类文档必须在工程完成后统一归档管理，具体应 根据工程规划阶段约定的交付物清单进行归档。（十三）工程维护公司信息系统工程上线启用后应做好系统软、硬件资产登记说明。公司信息系统 在正式运营期间应由信息中心做好系统硬件的维护工作，由厂商和服务商做好软 件系统的支持维护

5、工作，由实际使用部门做好系统内容的维护工作。（十四）公司信息系统的宣传推广及运行管理机制公司信息系统使用主体部门有责任做好相关信息系统的宣传推广工作，包括组织 培训、编制业务操作规范与管理方法等，并视需要对现行的管理制度及人员岗位 进行相应调整，以使公司信息系统资源能被广泛、合理、有效地使用。在信息系 统运行管理过程中，定期评估用户使用意见，使系统得以不断改进升级。第五章公司信息系统外包和资产维保管理第二十一条 公司信息系统外包是指将全部或局部IT工作外包给专业性公司 完成的商业模式，目的是通过整合、利用适当的外部专业化IT资源，到达降低 本钱，提高效率，增强核心竞争力，提高应变能力。资产维保

6、是指公司信息系统 所承载的软硬件资产的升级与维护服务,保障公司信息系统的可用性与可持续性。第二十二条 公司信息系统外包管理（-）应根据业务开展的实际需要，合理确定外包的原那么和范围，分析和评估 外包存在的潜在风险。（二）严禁外包涉及重要商业秘密、机密数据管理与传递、IT信息战略相关的 业务和服务，如涉密工程工程的文件管理、EBM平台的数据库系统维护、公务 网工程实施等。（三）将涉及国家秘密、商业秘密和客户隐私数据管理与传递等IT服务内容进 行外包时，应遵守国家法律法规，须公司批准，并在实施前报国家相关机构备 案。（四）应用系统开发和技术支持服务包含根据业务要求全部或局部承当计算机 应用系统开发

7、、变更工作，提交满足业务要求的应用系统的服务。为满足业务 需求，保障系统运行稳定、促进计算机应用系统功能的正常发挥而提供的应用 系统技术支持服务。（五）应用系统运行保障服务包含为使计算机应用系统安全、可靠、持续运 行，有效支持业务运作而提供的技术服务。第二十三条公司信息系统外包服务商管理(-)应建立和健全IT外包服务商评估机制，审查、评估服务商的经营状况、 财务实力、诚信历史、专业资质、技术服务能力和实际风险控制与责任承当水 平，并进行必要的尽职调查。(-)IT外包服务合同应明确双方的权利、义务，规定IT外包服务商应当承当 的安全、保密、知识产权方面的义务和责任。(三)IT外包服务合同应详细地

8、明确服务商必须提供的最低服务水平、详细的 服务范围和标准、发生故障时的服务级别及响应时间等，以防范服务商处理问 题及业务变更所可能产生的风险。第二十四条公司信息系统外包服务的双方职责(-)发包方职责1、承包方人员由发包方进行选择并实施监督管理。2、可根据业务需要，发包方可要求增加或减少承包方人员。3、发包方有权对承包方人员进行考核，可要求承包方撤换考核不合格的人员。4、发包方有权要求承包方不得截留其员工工资和各项保险费等，明确员工工伤 的责任主体，发生工伤事故时应按照国家有关规定处理。5、承包方派出人员造成发包方损失，发包方有权要求承包方给予全额赔偿。 发包方应为承包方人员提供劳动岗位和基本劳

9、动条件。6、按双方约定与承包方终止合同时，发包方可不支付任何补偿或赔偿。7、由发包方管理部门负责管理驻场承包方人员。8、发包方为承包方派出人员提供岗牌并发放符合需求的最低权限门禁卡。(-)承包方职责：1s根据外包工程要求，提供适合专业人员为工程服务。2、承包方应委派工程经理负责对其派出人员的监督和管理，工程经理须经承包 方授权并经发包方确认。3、承包方派出人员在到达工作现场5日前需向发包方提供人员清单，详尽提供 人员姓名、性别、年龄、职务、工作简历等情况。4、承包方派出人员增、减变动和岗位调整必须于调整前3日内报发包方备案。 5、承包方派出人员应执行发包方相关管理制度，服从发包方业务主管的技术

10、指 导和日常监督管理。6、应每月及时发放其派出人员工资及缴纳各项社会保险。7、外包方要求撤换的人员，承包方应及时调换合适人员。8、承包方应加强派出人员的管理，及时了解掌握人员的情况。9、承包方应及时协调、处理派出人员可能发生的纠纷。10、承包方派出人员应保守发包方的商业秘密，承包方须签署保密协议。1K承包方应听取发包方意见，不断改进工作。第二十五条信息系统和IT维保管理（-）按照公司信息系统分级和IT维护服务等级，合理确定公司信息系统资产 维保范围。（二）按照信息系统等级和11服务等级，可选用7*24*4、5*9*NWD或有事再 议等不同响应时间的专业维保管理服务。（三）对于关键的公司信息系统

11、的维护管理应采用7*24*4响应的厂商和服务商 维保服务，包括公司数据中心的机房空调系统、UPS系统、核心网络系统、小 型机系统、存储系统、关键应用系统等，提高维护管理效率。第六章计算机病毒防治管理第二十六条管理细那么（-）在服务端WINDOWS服务器以及客户端桌面电脑上都应安装及定时运行 防病毒软件。（二）在企业电子邮件系统上应有防病毒和防垃圾邮件措施，确保试图进入企 业内部网络环境的计算机病毒能被监测和删除。（三）任何外部提供的存储介质在通过检测确认无病毒之前，不能在企业内部 网络环境中的WINDOWS服务器和桌面电脑上使用。（四）防病毒软件须能够及时获得升级，以及时查杀各种最新计算机病毒

12、，阻 断其传播。（五）关键的公司信息系统的重要数据应定期备份，以免计算机病毒破坏造成 无法挽回的损失。（六）所有公司信息系统应有初始备份，备份介质应存放在安全位置。初始备 份禁止用于正常的业务活动，而仅用于被计算机病毒感染、硬盘发生损坏或出 现其他异常问题情况下的计算机恢复。（七）在使用新购置、租赁或维修返回的计算机之前，应对硬盘进行计算机病 毒检测，确保无计算机病毒之后才能投入正式使用。第二十七条桌面工程师与系统工程师的职责（-）桌面工程师负责客户端桌面电脑的防病毒系统安装与策略运行。（-）系统工程师负责服务端WINDOWS服务器的防病毒系统安装与策略运 行。系统工程师负责公司防病毒系统的升

13、级。定期对WINDOWS服务器进行防 病毒系统检测，检查系统日志文档。第二十八条 员工的职责（-）配合桌面工程师的防病毒工作，配合防病毒系统的升级。（二）定期对桌面电脑进行防病毒检测和清除。（三）不得卸载桌面电脑上的防病毒系统。（四）禁止参与与计算机病毒相关的活动，如编写、编译、拷贝、收集、传播 或执行可侵入企业网络进行自我复制、损坏或其他任何阻碍企业网络、主机系 统正常运行和访问的代码。（五）未经许可不得从互联网或其他外部途径下载或获取软件，不得在桌面电 脑上安装非授权或非业务需要的软件，只允许安装与使用企业针对岗位规定的 正版软件。第七章中心机房管理第二十九条出入管理(-)中心机房使用公司

14、统一的门禁系统，机房进出权限由信息中心审核，现 代物业公司具体办理。(二)严禁无关人员进入机房，参观人员按访客管理方法执行。(三)进入机房的所有人员应在信息中心前台做好登记工作。(四)进入机房的所有人员应确保鞋底清洁或加穿鞋套。(五)严禁在机房无故滞留，禁止在机房内闲聊、休息。第三十条巡检操控(-)数据中心工程师每个工作日上下午各巡检一次中心机房，检查空调、电 源、(二)温度、湿度、机柜、消防等环境条件，监控服务器、小型机、网络 设备等工作状况。(三)所有机房设备的操作应严格遵守相关管理规章、维护手册与安全策略。第三十一条日志管理(-)数据中心工程师负责机房巡检和维护的日志登记。(-)前台接待

15、员或数据中心工程师负责进出机房的日志登记。第三十二条档案管理(-)数据中心工程师负责机房平面布置图、综合布线图、机柜IT设备安置 说明书等的编制、整理和更新。(-)数据中心工程师负责收集、整理中心机房内所有设备的原始资料和相关 记录的登记。第三十三条访客管理(-)事先预约并经信息中心主管批准，才能安排访客参观中心机房。(-)访客参观中心机房时，须由信息中心指定人员陪同，并做好登记工作。（三）数据中心工程师可以按访客的合理要求做介绍、演示和咨询，对访客不 合理的要求，陪同人员应予以婉拒。（四）访客不得拥挤、喧哗，应听从陪同人员的安排。（五）中心机房在处理机密或紧急事务时，不得接待访客或允许访客靠

16、近观看。未经允许，严禁访客擅自上机操作。（六）经托管服务器的公司授权的网管人员及由其陪同的第三方技术支持人员 可进机房操作其托管服务器，并须做好机房日志（附件一）的登记。第三十四条 消防安保（-）中心机房设置消防设施，如烟感、温感和气体灭火系统等，发生火情应 及时疏散人员并报警。（-）巡检发现气体灭火系统压力未达标，应及时通知消防维护商更新气体钢 瓶。（三）中心机房设置监控设备，纳入公司安保系统，保证7*24有专用监控屏幕，保存3天的视频录像记录，保障中心机房的安全与防盗。（四）中心机房设备位置一经确定，严禁随意搬动迁移。（五）中心机房严禁乱拉乱接电源，以防造成短路或过载失火。（六）数据中心工

17、程师定期对机房内设置的电源装置、空调装备、消防器材和 监控设备等进行检查、维护，以保证其处于正常工作状态。第三十五条 卫生保洁（-）中心机房严禁携进任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物 质、粉末物质等对设备正常运行构成威胁的物品。（-）严禁在中心机房内吸烟、吃喝、嬉戏和运动，保持中心机房的安宁。（三）中心机房定期保洁工作由数据中心工程师协同保洁人员完成，确保中心 机房环境与设备整洁。（四）严禁在中心机房存放无关的货品。（五）中心机房应减少门窗的开启，防止外来粉尘和生物的侵蚀，满足中心机 房的净化要求。（六）中心机房的物理环境（包括温度、湿度等）应满足国家计算机机房建 设标准的要求。第

18、三十六条服务联络（-）中心机房设备提供7*24服务（维护窗口期除外），工作日由数据中心 工程师当班支持，节假日提供远程支持服务。（-）工作日为周一至周五，工作时间为8 ： 45至17 ： 15,特殊要求请事先 联络信息中心，以便另行安排。第八章互联网上网管理第三十七条上网行为管理措施（-）为保障企业外网带宽服务于业务应用，禁止所有P2P协议的音、视频的 流量。（-）为保障企业外网带宽服务于业务应用，禁止所有网络游戏的流量。（三）为保障企业外网带宽服务于业务应用，非业务应用的公共互联网访问的 多进程下载最大带宽将限定为50Kbpso（四）为了保证上网行为管理规那么库的有效，应保障其与公共互联网的

19、联通并 自动升级。（五）所有允许访问公共互联网络的桌面电脑应安装防病毒系统，并保持其处 于有效工作状态。（六）不得利用互联网下载或上传恶意代码，下载或上传违背法律或有违道德 的内容，违规者按公司管理条例实施处分。（七）为保障企业信息安全及国家保密局对企业安防要求，允许对上网用户实 施审计记录。上网审计范围包括网页地址、BBS发帖内容、外发邮件及附件、 外部WEB邮件及附件、网页上传文件、FTP传输文件、IM通信等行为。（A）上网审计记录保存一个月（以管理器的自身存储能力为限），通过策略 实现循环记录。第九章用户认证管理与企业邮箱服务第三十八条用户认证管理（-）公司信息系统服务于公司及分子公司的

20、所有用户，基于信息安全要求， 公司信息系统须通过用户认证，保障合法用户登入。（二）用户认证采用公司统一的用户账号与密码。（三）在收到完整用户信息的申请之后两个工作日内，信息中心完成用户管理 操作。第三十九条用户信息的沟通（-）依据行政管理关系，用户信息沟通来自公司人资（组）部和分子公司综 合办公室（含人资管理）。（二）公司人资（组）部和分子公司综合办公室应指定一名用户管理专员，负 责与信息中心用户管理员对接沟通用户管理信息。（三）用户管理的内容包含公司组织架构信息、用户基本信息、用户权限信息 等。（四）用户管理的操作包含用户注册、注销以及调动、调职等，通常也包含权 限变更。（五）用户管理信息以

21、本管理方法附件之用户管理表及附表申报，其余用 户管理信息以公司信息系统之管理方法及附表申报。（六）用户信息沟通的平台有用户管理专用邮箱（registerxd-ad .cn）接 受用户管理服务申请，也可通过公司自助服务网站（ :itom.xd- ad .cn）填报用户管理服务请求。第四十条用户注册、注销与变更管理（-）信息中心根据用户管理专员下达的用户管理表（附件十、十一）为 新进员工开设AD账号、EBM账号、企业邮箱和访问授权（二）信息中心根据用户管理专员下达的用户管理表立即注销离职员工的 AD账号、EBM账号和企业邮箱。（三）信息中心根据用户管理专员下达的用户管理表对内部调动或职务变 更的员

22、工提供账号变更和访问权限的变更。（四）申请临时用户账号延期或开设专用邮箱须填写相关申请表，由公司部门 领导审核批准。（五）用户管理专员应协同信息中心完成年度用户账号的审核工作，防止授权 不当或存在非授权账号的情况。第四十一条用户账号管理措施（-）用户账号与企业邮箱一并注册开通，用户账号按公司部门进行分组管 理。（-）临时员工的账号须设定使用期限,临时员工账号按有效期限自动停用，临 时用户可使用企业邮件服务。（三）特殊账号或专用邮箱由公司部门填报特殊账号/专用邮箱注册表（附 件五），指定专职管理人和使用期限，提交信息中心办理。（四）用户账户注销后不能登入公司信息系统，企业邮箱也同步注销，为了避

23、免企业邮箱内的邮件信息丧失，员工应自行做好邮件备份。（五）用户账号的初始密码在常规情况下同账号名，员工首次登入将强制要求 修改密码，员工应经常更换密码，密码定义规那么参见员工使用公司信息资产 的规定。（六）AD用户账号密码遗忘须通过用户管理专员申请，信息中心将重置密码。 EBM用户账号的密码重置要求员工本人通过自己的企业邮箱申请。第四十二条用户账号的命名规那么（-）用户账号、邮件地址、分组名称等命名规那么参见域账号与企业邮箱的（四）信息系统包含业务数据、应用平台、基础架构和客户端等。（五）应用平台包含应用软件、中间件、数据库系统等。（六）基础架构包含数据中心、局域网络环境、互联网络环境等。（七

24、）数据中心包含机房环境、主机系统、存储系统、核心网络系统等。（A）局域网络环境包含有线汇聚网络、有线接入网络和无线接入网络等，均基 于TCP/IP的以太网环境。局域网络环境包含弱电布线系统，千兆均采用六类线 缆与接口模块，万兆按照布线距离选用多模光纤或单模光纤。（九）互联网络环境包含公共互联网络（INTERNET）、企业互联网络（INTRANET）。（十）企业互联网络指各下属公司数据中心与公司数据中心建立星型联结，各下 属公司客户端既可以访问各下属公司数据中心的信息资源，又可访问公司数据中 心的信息资源，但各下属公司数据中心之间相对独立。（H一）主机系统基于WINDOWS、LINUX和UNIX

25、等三类服务器系统环境。（十二）存储系统指独立的磁盘系统和磁带（库）系统，磁盘系统用于应用系统 与数据的集中存储，磁带系统用于关键应用的重要数据的容灾备份。（十三）应用平台分为生产应用、管理应用和基础应用等三大类。（十四）IT资产包含软件、硬件和数据。（十五）IT维保服务等级常规分为7*24*4和5*9*NWD,分别表示全年无休4小 时响应上门服务和下一个工作日工作时间响应上门服务。（十六）IT服务等级依据业务系统及基础架构故障中断所需恢复时间设定, 甲级为24小时内服务恢复，乙级为48小时内服务恢复，丙级为48小时以上服 务恢复。（十七）公司信息系统和分子公司信息系统均存在关键信息系统和非关键

26、信息系 统。关键信息系统须满足以下任意一条的要求：1s同时服务于70%以上的员工，每月工作时间使用天数超过11天，且超过半数 员工每天工作时间内使用超过2次以上或每天工作时间内合计使用时间超过4 小时的信息系统。2、服务中断造成业务活动停止时间超过48小时且造成百万元级实际损失的信 参数规定。（二）邮件服务的标准定义参见域账号与企业邮箱的参数规定。第四十三条企业邮件服务（）员工可通过 WEB 方式、MS OUTLOOK、POP3 方式（OUTLOOK EXPRESS）等收发邮件，可获得公司全球邮件通讯录的支持，邮件使用方法参 见公司企业邮箱使用手册。（-）禁止群发与工作无关、含大容量附件的邮件

27、，以免人为造成局域网络与 邮件服务的拥堵，降低企业邮件服务系统的性能。第十章 公司桌面电脑管理第四十四条公司桌面电脑的提供方式（-）公司桌面电脑采用租赁方式，租赁分为长租与短租二种。（二）长租的桌面电脑均为新品，以三年为租赁周期而不能中途退租。长租每 年年中定期办理一次新增或更新，未到办理日期的新增长租员工采用短租过 渡。（三）短租的桌面电脑配置标准参照长租，可灵活按月租用。（四）正式员工采用长租，短期员工采用短租。超过2年的长聘临时员工可纳 入长租，但长租期满之后须重新核定。第四十五条 部门职责（-）公司人资（组）部负责协同信息中心审核各部门租赁需求数量，负责公司 新增正式员工的桌面电脑申请

28、，负责各部门短期员工桌面电脑申请的审批。（-）公司各部门负责本部门的桌面电脑租赁（附件八、九）预算的申报，负责 本部门的短期员工的桌面电脑申请，负责通知信息中心回收本部门离职员工的桌 面电脑。（三）信息中心负责公司各部门桌面电脑租赁预算的执行，负责桌面电脑标准的 制定与商务事宜，负责桌面电脑的供货、发放、登记与回收等管理工作，负责桌 面电脑的日常维护工作，负责对归还的桌面电脑之硬盘实施格式化以防止公司信 息资料泄露。第四十六条 员工职责（-）员工应按桌面电脑管理方法协助办理桌面电脑领用与归还手续。（-）严禁员工私自拆卸桌面电脑，否那么由员工自行承当后果。桌面电脑跨办公 室的移机由信息中心负责，

29、可联系信息中心IT服务台。（三）在员工办理离职或跨公司调动时，应主动向部门移交桌面电脑中的公司信 息资料，通知信息中心回收所用的桌面电脑或办理变更使用者的交接手续。员工 在归还桌面电脑之前应先自行删除桌面电脑中的公司信息资料。（四）在实施桌面电脑更新时，由签署安全保密协议的租赁商实施新旧电脑之间 公司信息资料的迁移服务，员工应确认公司信息资料已迁移成功，确认被归还电 脑中公司信息资料已删除。（五）对于涉密的桌面电脑，在归还之前应先向信息中心申报，信息中心派桌面 工程师全程监管，必要时可对硬盘实施保全。（六）员工应合理地使用桌面电脑，恶意损坏将承当赔偿责任。从领用至归还期 间的桌面电脑保管责任由

30、员工所在部门承当，假设保管不善而发生缺失，那么承当相 应的赔偿责任。（七）员工应了解到桌面电脑服务于公司业务活动，应遵守公司员工使用公司 信息资产的规定，安装使用公司公布的岗位桌面软件清单表中所列软件及 版本，不得私自安装非授权商业软件和与岗位业务无关的软件，否那么承当由此给 企业造成的法律责任，并赔偿公司相关损失。第四十七条 预算管理（-）桌面电脑租赁预算由公司各部门申报并报人资部审核，信息中心在汇总各 部门预算基础上提交合理的预算，最后由公司预算委员会审定，由信息中心统一 执行。（-）信息中心依据批准的预算提供服务假设因实际数量超预算控制，那么由信息 中心会同人资部或超预算部门向公司申请桌

31、面电脑租赁预算的调整。(三)对于非预算计划内的桌面电脑租赁申请，那么按独立工程另行按公司规定办 理。第四十八条配置标准(一)信息中心按照综合评估常规工作需求，制定公司桌面电脑配置标准表。(-)信息中心按专业职务岗位设立不同的桌面电脑配置标准，因工作需要的特 殊配置那么另议。第四十九条租赁更新(-)长租更新周期为三年，每年集中办理一次；短租更新只在租赁商变更时集 中办理。(-)依据更新列表，信息中心事先发送桌面电脑更新的征询通知，假设要求延续 使用那么按短租办理。(三)桌面电脑的更新按归还与领用方式一站式办理。第五十条日常维护(-)租赁的桌面电脑由信息中心统一提供软件维护服务，可联系信息中心IT

32、 服务台报修；由租赁商负责桌面电脑的硬件故障维修。(-)桌面电脑的日常维护服务仅限于被信息中心确认的软硬件支持服务，非岗 位桌面软件清单所列之软件不属于桌面工程师的维护范畴。第五十一条 用户意见反应(-)在桌面工程师或应用工程师完成桌面报修事件服务之后，用户可通过IT 技术服务表或通过 :让om.xd-自助服务网 站填报对该次服务满意度的调查。(-)针对用户反应的意见和建议，信息中心将在调查研究之后予以工作改进或 原由解释寻求谅解。第十一章数据灾备管理第五十二条 根据公司信息系统分级和其数据重要程度，通过磁带备份或磁盘 快照方式实施数据灾备保护。（-）数据灾备至少采用2套磁带按周轮换使用，保证

33、1周数据获得灾备保护。（二）数据灾备计划任务由负责公司信息系统管理的应用工程师申报填写数据 备份申请表。（三）按照数据备份计划任务，存储工程师应定期巡检和安排定期恢复测试，假设 备份过程中发现异常情况，存储工程师应及时补备。（四）评估数据持续增长量，应用工程师应定期对过期数据进行审核、归档与移 除。（五）数据备份介质应安全存放、专人保管，确保系统一旦发生故障时能够尽快 恢复。数据备份介质保管地点应有防火、防热、防潮、防尘、防磁、防盗等措施， 禁止泄露、外借和转移灾备介质。（六）基于数据重要性与恢复及时性，应在磁带库本地灾备基础上建立基于磁盘 系统的异地灾备。对于特别重要的数据,应保存在两份介质

34、中，一份存放在本地， 另一份存放在异地。（七）在归档的磁带介质上，须有唯一标识，标明备份的内容和日期，磁带介质 的使用更新周期为2年。第五十三条 备份策略（一）依据数据重要性与变化频度，由应用工程师提出数据定期灾备计划任务 策略，以周为循环，分为一周全备每日增量与一周全备等二种灾备策略。（二）数据被大规模更新变化前后，可由应用工程师提出非定期的单次数据灾 备要求，以利于异常情况下的数据恢复。第五十四条 备份恢复测试（-）磁带介质中的数据须每月进行一次恢复测试，以确保备份数据的有效性 和备份恢复的可行性。（二）日常数据恢复服务可以计为当月的备份恢复测试。第五十五条备份介质销毁（一）备份介质销毁必

35、须经过相关管理人员授权后才可执行，并对该销毁行为 进行记录。（二）假设备份介质中存放机密级数据，那么交由国家认定的涉密回收企业处理。第十二章软件安装使用管理第五十六条部门管理职责（一）技术开展部负责审核岗位或专业的软件需求，编制与发布公司软件清单。（-）按照软件清单和员工岗位或专业，信息中心办理公司本部的桌面电脑软件 安装与维护，负责核查与阻止公司本部员工在桌面电脑上私装软件。（三）公司人资（组）部应对违反软件正版化管理规定的员工进行惩戒。（四）软件正版化工作纳入信息中心对分子公司的IT基础工作考核。第五十七条员工基本规范（-）员工应遵守国家知识产权和计算机软件保护的相关法律法规。（-）员工应

36、遵守软件产品的许可使用协议条款。（三）在公司办公场所内的工作电脑上，按照岗位或专业的工作需求，员工安装 使用岗位桌面软件清单和审批获准的特殊桌面软件清单（附件十四）中的软件产 口 口 O（四）信息中心按照软件清单中的软件产品提供必要的支持服务。第五十八条员工禁止行为（-）员工禁止安装与使用非软件清单中规定版本的软件产品。（二）员工禁止安装与使用属于软件清单但非所属岗位或专业工作需求的软件产（三）员工禁止下载、复制与分发非软件清单中的软件产品。（四）禁止员工使用非授权软件制作的成果作为正式对外的交付物。第五十九条 员工例外行为（-）以测试为目的安装与使用非软件清单中的的软件产品，员工应在测试结束

37、 之后立即卸载。（-）员工测试使用的免费开源软件，假设作为岗位或专业工作软件，应向公司技 术开展部登记备案（附件十二），纳入公司软件清单。（四）员工测试使用的商业软件，假设作为岗位或专业工作软件，应向公司技术发 展部申报（附件十三），在完成软件采购之后，纳入企业软件清单。第六十条员工违纪惩办（-）员工违反本管理规定，私自安装与使用非软件清单中的软件产品，应纳入 人资部门对员工的个人违纪惩办。（-）因员工违反本管理规定导致公司被追究有关法律责任的，公司有权向员工 追偿由此遭受的所有损失。第十三章信息安全管理第六十一条基础架构的安全管理（-）基础架构应保障信息系统的数据中心机房物理环境安全，包括规

38、划选址、 楼宇、机房、能源、安保和消防等基础保障。建立访客与外部维护人员的出入登 记制度。（-）基础架构之IT资产应按设定周期更新，保障信息系统的安全可用。（三）数据中心与公共互联网络之间应有防火墙隔离，具体参见网络架构技术 导那么。（四）信息系统应在方案阶段按照即定的IT服务等级设计与建设基础架构。（五）关键的公司信息系统所涉基础架构应采用冗余或集群的架构方式，提高服 务的可用性，缩短故障恢复时间。（六）关键的公司信息系统所涉及的基础架构应获得厂商服务商的维保服务。按照日常巡检要求检查数据中心基础架构，及时发现故障隐患。（七）基础架构应妥善保存系统管理密码，防止非法接入和非授权访问。（A）在

39、WINDOWS服务器和桌面电脑上均应部署防病毒、防木马系统，及时 下载、安装、更新WINDOWS系统的漏洞补丁。（九）按照国家信息安全法规要求，在特定情况下应建立全封闭的独立基础架构 环境，提升信息安全防护等级。（十）在租赁归还或资产报废时，涉密IT资产应清除其上存储的所有业务信息， 或者委托有涉密资质的公司集中销毁。（十一）信息系统的核心管理密码应由技术工程师和IT主管共同掌握，不同技 术岗位之间的管理密码不得相互交流，系统管理密码应定期更新。第六十二条外包的安全管理（-）建立健全外包服务方评估机制，充分审查、评估服务商的经营状况、财务 实力、诚信历史、安全资质、技术服务能力和实际风险控制与

40、责任承当水平，并 进行必要的尽职调查。（-）涉密工作岗位应防止外包，假设无法防止那么至少由内部员工与外包员工共同 管理，且外包企业应签署保密协议。（三）签订外包服务合同时，应当明确双方的权利、义务，规定外包服务商应当 承当的安全保密、知识产权等方面的义务和责任。（四）外包员工与内部员工遵循相同的信息安全管理规定。（五）当外包员工变更时应及时查封外包员工账号，变更所服务的基础架构与应 用平台的系统管理密码。（六）外包人员之间按技术岗位分工做各自维护工作，禁止相互交流系统管理账 号与密码。第六十三条信息系统的安全管理（-）公司信息系统的系统管理账号与密码应妥善保管，防止非法盗用。（二）公司信息系统

41、的系统管理密码应满足强复杂度要求，并定期更换。（三）公司信息系统的系统管理账号应控制涉密人员的数量，遇到员工岗位变更 或外包维护使用之后应及时更新密码。（四）公司信息系统应按岗位分解管理、访问的权限，遇到员工岗位变更应及时 更新权限设置。（五）关键的公司信息系统应建立系统自身的审计功能，以便事后审查。（六）高密级信息应采用数据加密的保护措施。（七）公司信息系统须在方案阶段应确定内网或公网服务，假设属于公网服务那么须 采取相应措施，防止引发外部攻击。（八）公司信息系统应安装使用正版软件，应获得软件厂商的维保服务。（九）按照公司信息系统分级和IT服务等级要求，应建立重要数据的灾备策略。（十）公司信

42、息系统发布上线之前，工程设计、测试及维护的各类文档须完成归 档管理，具体应根据工程规划阶段约定的交付物清单进行。（十一）公司信息系统在正式运营期间应由信息中心做好系统硬件的维护工作, 由服务商或维保商做好系统软件的维护工作，由使用部门做好业务内容的维护工 作。第六十四条员工的信息安全管理（-）员工应妥善保护自己的账号与密码，密码须到达强复杂度，应定期更换密 码。（-）员工桌面电脑应安装使用正版软件，安装使用防病毒软件，及时更新系统 补丁。（三）员工因职务、岗位变更，应及时通知信息中心变更账号与权限。（四）员工应注意涉密信息的保护，包括邮件、通讯软件传递的电子文档和打印、 复印的纸质文档。（五）

43、涉密信息岗位的员工应与公司签署保密协议，有相应的奖惩措施。（六）员工访问公共互联网络应有审计措施。（七）员工禁止盗取企业涉密信息，禁止干扰企业信息系统，禁止破坏基础架构 设施，禁止下载或开发非法黑客软件。（八）员工应具备信息安全意识，定期备份个人重要数据，保护备份介质安全。（九）员工应防止访问与工作无关的公共互联网络应用，防止访问有潜在威胁的 公共互联网络应用所带来的安全风险。（十）员工合理使用公司赋予的信息资源访问权限，禁止利用合法权限实施危害 公司利益的行为。第十四章员工使用公司信息资产第六十五条 目的（-）从意识与行为上规范员工对公司信息资产的使用，保护公司信息资产的安 全，保护公司涉密

44、信息，明确公司员工的责任。（-）本规定针对公司正式员工、临时员工和外包商等，分子公司可参照执行。第六十六条基本原那么（-）信息资产为公司所有，员工任何不妥当的使用、泄露、缺失或更改都将导 致公司重大的业务、运营的负面影响与损失。（二）员工对公司信息资产的使用只能服务于公司业务活动，禁止用于个人目的。（三）公司申明对于违反安全措施与使用规定的事件有权进行调查，有权检查员 工对于信息资产是否合理、合法地使用。（四）不当使用公司信息资产所造成的后果将由员工个人承当责任。第六十七条软件许可与版权（-）员工应尊重计算机软件版权，遵守软件许可协议的所有条款。（-）员工不加谨慎地使用可自由获得的软件，将导致

45、公司面临法律、运营与财 务风险。（三）员工所有安装使用的软件（包括可自由获得的软件，如免费软件、共享软 件或开源软件）时，必须遵守软件的许可协议。（四）使用者对使用非授权软件的行为承当法律责任。（五）不做1s不做：在公司计算机上安装、复制非授权的软件。2、不做：在公司计算机上安装个人购买或获得的软件。3、不做：为非公司业务用途而复制公司拥有的任何软件。4、不做：复制、分发非公司拥有的任何软件。第六十八条核查员工的使用行为（-）公司提供的信息资产用于公司业务的处理，公司保存检查、记录和移除由 员工使用公司信息系统所创立、保存的所有信息的权利。（-）任何的检查、记录或移除信息须遵守国家相关法令、法

46、规与合约义务。第六十九条信息资产的安全管理（一）安装使用系统补丁、防病毒软件，以增强桌面电脑的安全。（二）防病毒软件须由信息中心统一安装、维护与管理。（三）桌面电脑应实施系统补丁更新操作。（四）不做1、不做：没有得到许可而私自安装软件。2、不做：阻碍补丁程序的运行，卸载或停用防病毒软件。3、不做：阻碍由信息中心对桌面电脑发起的软件更新。第七十条回避安全措施（-）禁止任何企图绕过或破坏公司信息安全措施的行为。（二）不做1、不做：访问未被授权的信息系统。2、不做：利用合法权限实施危害公司的行为。3、不做：绕过任何信息系统的安全保护。4、不做：用任何计算机程序或设备截获或解码密码或涉密数据。5、不做

47、：未经公司信息中心核准的任何形式的监视或扫描。6、不做：人为攻击信息系统。7、不做：编制与传播恶意程序（例如病毒、蠕虫、后门程序等）。3、服务中断造成业务活动停止时间不能超过48小时的信息系统。(十八)数据灾备策略分为一周全备每日增量和一周全备等二种。一周全备每日 增量策略表示针对所需备份的数据文件采用一周内安排一次完整备份，周内其余 日期安排每日增量备份，该灾备策略存在一天内的数据丧失风险；一周全备策略 表示针对所需备份的数据文件采用一周内安排一次完整备份，该灾备策略存在一 周内的数据丧失风险。第二章信息化管理职责第七条公司信息化管理组织架构(-)公司信息化管理组织架构分为公司和分子公司二级分层管理架构，各自负 责信息系统、信息资产、IT人员和预算等管理。(-)公司信息化领导工作小组由公司领导、公司分管IT工作领导、分子公司 分管IT工作领导和信息中心领导共同组成。第八条公司信息化领导工作小组职责(-)公司信息化领导工作小组作为公司信息化工作最高决策机构，采取集体投 票表决决策机制，全面领导公司信息化工作。(-)公司信息化领导工作小组负责审