《企业内网信息系统研发与管理规范》由会员分享,可在线阅读,更多相关《企业内网信息系统研发与管理规范(6页珍藏版)》请在金锄头文库上搜索。
1、企业内网信息系统研发与管理规范第一章总则第一条为规范湖北广播电视网络股份有限公司有关信息系统开发管理工作,提高信息系统开发的管理水平,明确计算机信息系统相关部门及岗位的职责、权限,确保计算机信息系统管理不相容岗位相互分离、相互制约和监督,有效提升信息系统支撑日常业务的效率和质量,特制定本管理制度。第二条本规范所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。第三条在建立并实施计算机信息系统内部控制制度中,要强化对以下关键方面或者关键环节的风险控制,并采取相应的控制措施:(一权责分配和职责分工应当明确,重大信息系统事项应履行审批程序;(二信息系统开发、变更和
2、维护流程应当清晰,授权审批程序应当明确;(三信息系统应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定;(四硬件管理事项和审批程序应当科学合理;第二章岗位分工与授权审批第四条建立公司计算机信息系统岗位责任制。计算机信息系统岗位一般包括:(一系统分析:分析用户的信息需求,并据此制定设计或修改程序的方案。(二编程:编写计算机程序来执行系统分析员的设计和修改方案。(三计算机操作:负责运行并监控应用程序(四数据库管理:综合分析、设计系统中的数据需求,维护组织数据资源。(五信息系统库管理:在单独的信息系统库中存储暂时不用的程序和文件,并保留所有版本的数据和程序。(六数据控制:负责维护计算机
3、路径代码的注册确保原始数据经过正确授权,监控信息系统工作流程,协调输入和输出,将输入的错误数据反馈到输入部门并跟踪监控其纠正过程,将输出信息分发给经过授权的用户。(七终端控制:终端用户负责记录交易内容,授权处理数据,并利用系统输出的结果。第五条系统开发和变更过程中不相容岗位(或职责一般应包括:开发(或变更审批、编程、系统上线、监控。第六条系统访问过程中不相容岗位(或职责一般应包括:中请、审批、操作、监控。第七条公司计算机信息系统战略规划与公司业务目标保持一致。信息系统使用部门要参与信息系统战略规划、重要信息系统政策等的制定。重要信息系统政策等重大事项应当经由技术部门主管、分管领导、总经理审批通
4、过后,方可实施。第八条技术部门(或岗位,下称归口管理部门对计算机信息系统实施归口管理,负责信息系统开发、变更、运行、维护等工作。第九条明确定义系统归口管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责,制定部门之间的职责分工表。第三章信息系统研发、变更与维护控制第十条计算机信息系统开发包括自行设计、外购调试和外包合作开发。儿殳信息系统时充分考虑业务和信息的集成性,优化流程,并将相应的处理规则(交易权限嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保企业业务活动的真实性、合法性和效益性。对于外包合作开发的项目,加强对外包第三方的监控。对于外购调试或外包合作开发等需要进行招投标的
5、信息系统开发项目,依照招投标相关制度进行管理。第十一条信息系统研发遵循以下步当1:(一根据公司运营过程中的需求,在需要研发新的信息系统的时候首先提请立项申请,并依照项目管理相关制度规定进行项目管理。(二需求阶段:对通过立项研发项目通过问卷、交流等形式进行需求调研,完成调研报告。经公司领导或部门领导批准,并对调研报告进行需求分析、研讨形成需求说明书。(三设计阶段:明确需求后,设计信息系统开发的具体方案。系统设计部门就总体设计方案与业务部门进行沟通和讨论,编写系统设计方案,设计方案还要包括概要设计、详细设计、子系统概要设计、模块设计和数据库设计。(四编码阶段:对已经确定的设计方案进入实施阶段,项目
6、经理应确定编程规范,统一编程风格、提高代码质量。合理分配开发任务,确定何人何时完成哪些模块。开发人员需构建编程与测试环境,例如软件开发工具的选择、硬件开发环境的选择等。并在编码过程中一边编码一边调试减少后继的测试和改错代价,提高程序的质量和测试效率。(五测试阶段:信息系统在投入使用前应当至少完成整体测试和用户验收测试,以确保系统的正常运转。用户部门应当积极参与数据迁移过程,对数据迁移结果进行测试,并签署测试报告。数据控制小组应当用测试数据来证明程序工作正常并确认就绪,开发完成后交操作人员并由信息系统库管理员备份留存。信息系统原设计功能未能正常实现时,指定相关人员负责详细记录,并及时报告归口管理
7、部门,由其负责系统程序修正和软件参数调整,尽快解决存在的问题。(六实施阶段:系统上线前要对系统操作人员进行上线培训I,信息系统上线后,发生的任何系统源代码等方面的变更,应当参照有关系统开发的审批和上线程序执行。系统上线涉及新旧系统切换的,应当在计划中明确应急预案。系统最终上线,信息管理部应设置用户部门的使用权限,用户部门在信息管理部的授权下使用信息系统。(七后期维护阶段:系统维护人员进行日常运行维护和系统的更新维护;数据库管理员进行数据库和代码维护。健全程序变更制度,实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。确保信息系统应用管理规范,运维及时。规范程序变更管理,统一建设的应
8、用系统,系统变更必须填写系统变更审批表上报技术开发部和总部相关部门,统一组织升级、测试和变更,变更的应用程序移植到生产系统前,技术部门必须组织人员进行系统测试和最终用户测试,测试不能在生产环境中进行。技术部门必须对操作系统、数据库、应用系统版本变更进行管理,记录每次变更的版本号,存档变更文档和变更升级程序第四章信息系统访问安全第十二条制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范。第十三条计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置。第十四条对信息系统操作人员的上机、密码和使用权
9、限进行严格规范,建立相应的操作管理制度。未经上机培训的人员不得作为操作人员。第十五条建立账号审批制度,加强对重要业务系统的访问权限管理。第十六条对于发生岗位变化或离岗的用户,及时调整其在系统中的访问权限第十七条定期对系统中的账号进行审阅,避免有授权不当或冗余账号存在。第十八条对于特权用户,对其在系统中的操作进行监控,并定期审阅监控日志。第十九条充分利用操作系统、数据军、应用系统自身提供的安全性能,在系统中设置安全参数,以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。第二十条方面的管理。第二十一条将信息系统访问安全事项交由第三方管理的,必须涉及上网操作的,要加强防火
10、墙、路由器等网络安全加强对第三方的监控。第二十二条定期检测信息系统运行情况,及时进行计算机病毒的预防、检查工作,禁止用户私自安装非法软件和卸载企业要求安装的防病毒软件。一经发现潜在危险,应当及时通知操作人员隔离受病毒侵袭的系统部分,尽快处理。如有必要,可以暂时终止系统运行。第二十三条信息系统操作人员应当在权限范围内进行操作,不得利用他人的口令和密码进入软件系统。更奂操作人员或密码泄密后,必须及时更改密码。操作人员如果离开工作现场,必须在离开前锁定或退出已经运行的程序,防止其他人员越权操作或散发不当信息。第二十四条利用计算机信息系统搭建本企业的信息化平台,规范信息的使用和传递,低进业务流程与信息
11、流程的统一,确保交易的真实、合法,提信营管理的效率和效果。第二十五条对所有的重要信息进行密级划分,包括书面形式和电子媒介形式保存的信息。第二十六条根据信息的重要性程度和泄密风险损失等划分标准,将信息分为机密类、秘密类和重要类等,并建立不同类别信息的授权使用制度。第二十七条利用计算机信息系统,生成生产、销售、存储等子系统,及时反映和记录交易。交易责任部门在其授权范围内对子系统录入信息的及时性、准确性和完整性负责,并定期检查、核对所录信息。第二十八条公司财会部门应当认真审核用户、业务、运营、订购、营销、采购、仓库等部门与财务相关的关键业务数据,及时进行账务处理,保证会计信息与业务流程在时间、数量和
12、价值上的统一,并做好电子财务数据保密和安全工作。第二十九条建立信息数据变更处理(包括数据导入、数据提取、数据修改等)规范。一经发现已输入数据信息有误,必须按照信息系统操作规定加以修正,不得使用非软件系统提供的方法处理信息数据。第三十条建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度(交易日志)。在远离计算机设备和操作的地方保存一套备份和交易日志,以备丢失或损坏时重建。第三十一条编制完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。同时应当定期检测、及时修正该计划,并将其最新版本存放在系统之外。第五章办公场所硬件管理第三十二条制定计算机信息系统硬件管理制度,对设备的新增
13、、报废、流转等情况建档登记,统一管理。第三十三条将计算机硬件设备放置在合适的物理环境中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。第三十四条硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。第三十五条加强计算机机房的物理安全管理。机房内应当配备必要的环境设施,对于主要系统服务器应当配备不中断电源供给设备。第三十六条公司操作人员必须严格遵守用电安全,不得在计算机专用线路上使用其他用电设备。为了防止电压不稳对信息系统硬件的损坏,公司可以使用电源保护器和线路调节器平缓电压的振荡。第三十七条完善计算机信息系统硬件设备异常状况处理制度。一经发生异常现象(如冒烟、打火、异常声响等),应当立即通知有关部门,不得擅自处理。第六章第三十八条第三十九条附则本制度由技术研发部负责解释和修订。本制度自发布之日起实施。
