《信息系统安全生产及检查管理办法》由会员分享,可在线阅读,更多相关《信息系统安全生产及检查管理办法(19页珍藏版)》请在金锄头文库上搜索。
1、百马出行公司编号密级内部编制年 月 日审核年 月 日批准年 月 日发布日期:年 月 日实施日期:年 月日分发人:分发号:受控状态:受控非受控版本及修订历史版本修订人审核人批准人生效日期备注VI。0刘鹏何清熊小苹2018-06-29新建第一章 总则第一条 编制重要性及目的随着信息化建设的快速发展,一大批重要信息系统陆续建成并投 产运行,在生产中得到广泛应用,成为信息管理必不可少的重要工具, 计算及网络生产的重要组成部分。为保证信息系统安全生产,规范信 息生产调度职责,建立健全计算机信息系统的维护保障体系,根据计 算机信息系统安全保护办法及有关规定,制定本办法。第二条 适应范围与要求本办法适用于公
2、司信息系统的设计、开发、运行和维护各阶段, 涉及硬件、信息系统、系统、网络、应用、机房基础设施和管理制度 等各个方面。公司各部门要认真贯彻“安全第一、预防为主”的方针, 牢固树立安全意识,加强投产项目的安全管理,提高系统运行的安全 性、可靠性和稳定性.第三条 原则多层次:信息安全管理工作需从信息系统的不同阶段、信息系统 的不同组成部分、参与者的多个层次就行管理与规范。持续性:信息安全管理需具有持续性,切合实际情况,不断更新 管理体系。经济性:信息安全管理应以合理的管理与技术手段解决组织主要 信息安全风险.第四条 安全框架公司采用纵深防御框架构建信息安全体系,包括技术措施与管理 措施两大部分。安
3、全体系涵盖信息系统从规划、建设、运维、变更到 下线销毁的全生命周期,涵盖物理安全、主机安全、网络安全、应用 安全、数据安全与备份恢复的各个技术层级,涵盖了人员、技术、组 织、制度 4 大因素,并通过 PDCA 不断的完善。第二章 安全生产的管理机制第五条 管理机构及职责1。管理机构公司成立信息系统安全生产工作及安全生产检查领导小组(以下 简称“安全生产领导小组”),总经理任组长,技术总监任副组长,成员 为技术部经理、产品经理、开发工程师、运维人员.主任为总经理, 成员有技术部经理、产品经理、开发工程师、运维人员.2. 安全生产组织机构职责2.1 安全生产领导小组主要职责(1)指挥、指导信息系统
4、运行安全、故障处理和突发事件应急处 置工作。(2)审议和审定公司关于安全方面的一切重大问题、方案及各 种安全规章制度的发布.(3)指导、协调、检查安全生产领导小组办公室工作.(4)负责有关安全生产紧急事项的决策。(5)定期召开安全专题会议,听取安全情况汇报,及时研究解 决安全工作中存在的问题。2。2 安全生产领导小组办公室主要职责(1)在安全生产领导小组的领导下,认真贯彻落实公司信息生 产安全、质量方针,具体组织实施公司颁发的各项安全管理规章制度(2)负责组织制定、完善信息系统安全运行相关规章制度。(3)负责组织信息系统安全生产检查,提交安全生产检查报告, 并对检查中发现危及信息系统安全运行隐
5、患提出整改建议.(4)遇重大安全情况负责及时向安全生产领导小组报告.(5)负责组织安全事故和突发事件的调查、分析和总结工作。2.3 安全生产领导小组办公室成员部门职责(1) 负责组织有关技术人员解决信息系统运行故障,尽快恢复 系统正常使用。(2)负责联系业务部门在计算机系统不能正常运行期间采取必 要手段,保证相关业务不中断。第六条 信息系统各相关部分运行职责部门1. 投产应用项目的维护与技术支持等由技术部负责。2. 计算机设备含硬件系统、操作系统、数据库系统平台等的维 护由技术部负责。3。网络及网络安全的软、硬件产品和业务平台的维护由技术部 负责。4. 信息生产运行、管理、调度、协调,信息生产
6、项目运行操作, 系统、网络和应用项目运行值班监控,信息安全管理以及公司计算机 场地系统的值班监控、巡视与维护工作由技术部负责。5。外包合同的执行与管理、设备资产与台帐的管理由综合部负 责.6。信息系统投产前的测试、信息系统配置库管理由技术部负责.7。网络与信息安全通报工作由技术部负责。8. 应急状况下的后勤保障由综合部负责。第三章 信息系统生产调度第七条 信息系统生产调度组织技术部是信息系统生产调度的主管部门,是投产的信息系统日常 生产的组织指挥中枢,代表公司领导指挥和监督日常生产工作.信息 系统生产调度管理部门的任务是指挥、协调技术支持体系和有关部门 处理信息生产系统中所出现各种问题、故障,
7、确保信息系统生产正常 进行。第八条 信息系统生产调度主管部门主要职责1. 技术部建立 24 小时调度值班制度和交接班制度,技术部负有 对公司信息生产的调度指挥职责。2. 组织信息系统日常生产,保证信息安全管理通道畅通,及时组 织处理计算机网络、软、硬件,信息系统等各类故障,确保信息生产 正常运行。3. 组织、指挥与系统运行有关的计算机硬件、网络设备、支撑 信息系统和投产信息系统等的技术支持工作。4。当发生影响计算机安全生产突发事件时,迅速组织应急抢救, 并立即报告主管领导。5. 严格交接班制度,详细填写值班日志。第四章 信息系统投产管理第九条 投产准备信息系统投产前,须经过严格的测试,并将采用
8、实际数据处理的 结果,交用户详细验证,确认无误后,方可将信息系统投产运行。第十条 投产运行信息系统投产运行,应严格按照公司发布的信息系统投产及变 更风险管理办法执行。第十一条 人员培训和文档资料技术部自行开发的信息系统应按要求提供用户手册、项目概况、 操作规范、常见故障处理办法以及参数维护方法等电子文档,并对生 产值班人员进行培训,使生产值班人员掌握相关操作和常见故障处理 规范。 外包开发项目应由技术部根据制定的外包管理办法监督管理 项目开发及实施,并提供相应文档。第十二条 投产跟班作业信息系统投产时,技术部应跟班作业一定周期,指导生产调度人 员进行操作、维护和常见故障处理。第十三条 投产操作
9、及故障处理信息系统投产运行后,生产值班人员应严格按照技术规范进行操 作、维护和处理常见故障,信息系统技术部应继续提供技术支持。当 计算机信息系统运行中出现非常见故障时,技术部技术支持人员接到 生产调度人员通知后,应及时进行处理.第五章 信息系统维护管理第十四条 信息系统变更管理1. 信息系统一经完成投产交接,其信息系统即纳入配置库管理。 信息系统的修改和维护将在配置库的信息系统中进行,在正常情况下 对于运行在生产系统上的信息系统,开发(维护)人员一般只具有只 读的权限。2。信息系统的变更视其变更程度分层次进行管理.操作性或数 据内容的变更由项目负责人确认;数据结构和程序相关的重大变更须 经技术
10、部论证后,报公司领导批准方可实施;纠错性紧急变更可口头 请示,优先处理,事后报批备案.3. 信息系统变更口令管理 为保证投产信息系统变更可控,变更结果正确,减少对共享平台 中其它生产系统的影响,杜绝变更的随意性,保证生产系统能够长期、 平稳、安全、有效运行,采用对信息系统的口令管理,实现信息系统 变更可控。(1) 技术部负责信息系统口令的保密及更新管理。口令应存放于 安全位置,并做好交接班记录。(2) 口令的借出使用需按相关审批流程处理,借出的口令要负 责收回,并及时进行口令更新,且要做好详细记录。第十五条 信息系统变更程序1。变更申请。因业务需求变化、体制改变或技术更新等原因, 导致已投产信
11、息系统需要变更时,业务部门应提出信息系统变更申请 填写信息系统变更申请表经项目负责人签字并报公司领导审批后, 提交技术部申请变更权限。2。项目负责人在申请到变更权限后实施信息系统变更,信息系 统变更完成后,项目负责人应及时将权限交还技术部。3。信息系统的重大变更,需进行严格测试、试运行,确认运行 无误后方能上线使用。同时技术部要提交更新的技术文档,并对相应 人员进行培训。4. 新的信息系统迁移前,技术部必须完整备份和保存旧版本, 迁移完成投产运行正常后,变更后的信息系统应及时纳入配置库,实 施版本控制。第六章 信息系统故障管理第十六条 故障分类和界定按照投产项目的实时性和重要性以及故障对运输生
12、产的影响程 度,将信息系统分为 A、B、C 三类(信息系统类别表见附表 2)。根据 故障延时,分为一般故障和大故障。即:当A类信息系统故障延时超 过三十分钟;B类超过一小时;C类超过两小时,构成一般故障.当A 类信息系统故障延时超过一小时;B类超过两小时;C类超过八小时, 构成大故障.第十七条 故障的登记和报告 投产信息系统发生故障时,运维人员要按照故障处理流程,及时 通知相关技术支持人员处理,并详细记录故障发生时间、故障类型、 处理结果、故障延时等信息.当信息系统发生大故障时,值班人员要及时报告主管领导。第十八条 故障的调查分析和处理投产信息系统发生故障,如果构成一般故障以上时,安全生产领
13、导小组办公室将组织召开故障分析会,分析故障原因,查清责任,制定 整改措施,提出处理意见,并将处理结果报公司安全生产领导小组.第十九条 故障的统计分析1。信息生产值班日报表。对每日生产运行情况进行统计,形成 报表,以电子邮件方式发送给相关部门领导。2. 月度生产运行情况统计表和月度信息生产简报。对全月生产 运行情况进行统计分析,其中月度信息生产简报上报公司领导及相关 部门领导.3。重点运行项目月度故障统计表。对重点项目运行故障按月进 行统计分析,形成报表,上报公司领导及相关部门领导.第七章 计算机系统管理第二十条 工作范围运维人员负责投产计算机的操作系统、数据库、系统备份信息系 统、系统通信信息
14、系统及各个信息系统中与系统相关部分的维护。包 括系统安装、系统升级、补丁安装、系统备份、日常维护、故障处理、 配合各应用项目实施工作.第二十一条 文档管理运维人员需建立系统维护文档,内容包括计算机系统配置、磁盘 空间划分、主机地址使用、应用切换方案、用户帐号管理、数据库空 间划分、系统备份策略、系统监控、系统发布策略、系统安全服务等。 系统配置改变时,需及时修改文档.第二十二条 日常维护运维人员需对所管理的计算机系统进行日常维护,每天查看系统 日志、分析其中错误并及时处理;检查系统空间使用;清理无用文件 等。 每月对系统巡检,内容包括:系统信息系统及补丁版本、漏洞修 补情况、定时任务、系统空间
15、剩余情况、日志文件清理、各应用项目 信息系统是否正常,并填写巡检日志。第二十三条 系统帐号管理运维人员对各种系统的高级用户口令实行严格管理,避免采用缺 省口令或常见口令。系统口令要定期修改并保存在安全位置。第八章 网络管理第二十四条 网络维护运维人员负责广域网、局域网的维护工作,对于重要的、核心的 网络设备要求每日检查日志以便及时发现故障隐患.第二十五条 网络备份重要的、核心的网络通道、设备、接口要有一定的冗余,其备份 设备要保持良好工作状态,定期检查备份设备的切换能力,保障网络 的不间断运行。第二十六条 网络安全运维人员要做好网关、网址和密码的管理和维护工作,其使用的 口令必须定期修改并备案。第二十七条 病毒防御1。所有入网运行的使用微软操作系统的计算机一律安装公司指 定的防病毒软件,所有 Win 操作系统用户要设置密码,密码不得为空, 运行微软操作系统计算机的防病毒代码要保持最新版本。2. 经 U 盘或移动存储介质交换信息时,必须预先对其进行杀毒 处理.3. 禁止运行未经审核批准的软件。第九章 机房设备管理第二十八条 机房设备进出
