信息系统日志管理办法最终版.doc

陕西煤业化工集团财务有限公司

信息系统日志管理办法

第一章总则

第一条随着公司信息系统规模的逐步扩大，越来越多的主机、应用系统、网络设备加入到系统网络中，日志安全管理变得越来越复杂。为了规范公司信息系统运行过程中的日志安全管理，为系统运行监控、安全事件跟踪、系统审计等提供真实的日志数据，特制定本办法。

第二条本办法适用于公司信息系统日志安全管理过程。

第二章日志产生管理

第三条为了实时有效的产生必须的日志信息，应开启网络设备、安全设备、操作系统、数据库系统、应用系统等系统日志功能。

第四条一般需开启的日志功能项：

（一）记录用户切换产生的日志；

（二）系统的本地和远程登陆日志；

（三）修改、删除数据；

（四）为了掌握系统的性能开支，必须开启系统统计，周期性收集系统运行数据，包括 (CPU utilization, disk I/O等) ，管理人员应经常性查看系统负荷和性能峰值，从而判断系统是否被非法使用或受到过攻击。

第五条安全设备需开启的日志功能项：

（一）流量监控的日志信息；

（二）攻击防范的日志信息；

（三）异常事件日志缺省为打开，可发送到告警缓冲区。

第六条本地日志文件不可以全局可写，通过修改日志的默认权限提高日志系统的安全性，防止非授权用户修改日志信息。

第七条安全日志最大值设置。安全日志最大值:>100MB。

第三章日志采集管理

课件

第八条为了更好的保存日志和后续的处理，应创建专门的日志采集服务器。

第九条在指定用户日志服务器时，日志服务器的IP地址，日志服务器应使用1024以上的UDP端口作为日志接收端口。

第十条日志信息按重要性可按级别、用户、源IP、目的IP、事件、模块进行信息过滤。

第十一条日志要统一考虑各种攻击、事件，将各种日志输出格式、统计信息等内容进行规范，从而保证日志风格的统一和日志功能的严肃性。

第十二条网络设备的管理，配置网络设备的日志发送到日志采集服务器，日志采集服务器对其日志进行格式化、过滤、聚合等操作。

第四章日志审计

第十三条对公司敏感信息操作的相关日志，应对其加大审核的力度和频率。

第十四条网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一次的安全审核，并填相关的网络设备日志审核记录，以及时发现问题，并根据问题采取相应措施。

第十五条重要服务器操作系统的操作记录由系统管理员根据操作系统记录文件对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核，并填相关的服务器操作系统日志审核记录。

第十六条数据库的直接访问修改操作通过人工记录填写相关的数据库访问修改操作审核记录，并由数据库管理员对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核。

第十七条应用系统管理员应根据应用系统自身的日志记录，对应用系统用户操作时的对用户账号、权限的增加、修改、删除，用户识别符、登陆时间、注销时间、操作结果等要素进行每月一次的安全审核，并填制相关的应用系统日志审核记录。

第十八条相关管理员配合安全管理员对系统日志进行定期审计。

第十九条审计日志中的记录不允许在日志中包含密码，具体审计策略由安全管理员协调并配合各管理员制定。

第二十条要保护审计的日志程序和文件，严格控制访问权限。

第二十一条系统管理员的行为（如UNIX中的su）要做日志记录。

专业课件

第二十二条用户的登录事件要做日志，重要的事件要进行审计跟踪。

第二十三条要建立全网统一的时钟服务器，所有的服务器要同步自己的时钟，以保证审计日志中时间戳的有效性。

第五章日志保存

第二十四条操作系统、数据库系统、业务应用系统等的系统日志由相关管理员进行定期转存和清理，以保障系统日志有足够的存储空间，安全管理员及相关管理员保存和管理转存的日志，确保这些数据的安全。

第二十五条日志进行集中存放和管理，安全日志至少保留90天，所有与业务相关系统的日志必须至少保留5年（可放入相关备份策略中进行定期备份）。

第二十六条在日志保留期内，任何人都不得对所有的原始日志和记录进行更改、删除等操作。

第二十七条日志要尽可能保留在只读的介质上。除了在本地保存以外，日志还要传输到安全的日志服务器上，日志服务器不提供其它服务。不得将日志保存于共享的文件系统中。

第六章附则

第二十八条本办法由信息技术部负责解释。

第二十九条本办法自发布之日起施行。

课件

信息化项目管理办法

文件类型文件等级 1.目的和范围本管理办法规定信息化软件研发管理所遵循的原则和方法，目的是提高软件质量和软件开发项目的可控性。 2.定义质量控制小组：负责软件项目过程评审和项目验收。项目负责人：负责项目设计、开发、实施全过程管理。 3.软件开发的基本流程：

文件类型文件等级 3.1软件需求提出 3.1.1需求提出业务部门经过内部评估后，填写《业务调整/开发需求申请表》（见附录A），由业务部门领导、公司分管领导批准后的《业务调整/开发需求申请表》报科技管理部。 3.1.2技术评估科技管理部从技术实现路线、开发方式、风险评估等方面组织对需求的技术评估；并在《业务调整/开发评审表》填写相关评审意见。 3.1.3管理评估科技管理部组织相关部门从业务流程、内控管理、业务职责等方面进行管理评审，并在《业务调整/开发评审表》填写相关评审意见。科技管理部在综合技术评估和管理评审意见、提出项目建议意见，报经总工程师批准后，信息化室指定项目负责人组建开发小组，负责开展相应的优化改进和开发工作，指定质量控制人员组建质量控制小组负责开发过程的质量控制、组织过程评审和项目验收等工作；相关单位应做好测试及应用推广等工作。 3.2软件的需求调研和分析 3.2.1需求调研业务部门主导，开发小组共同参与调研，协助业务部门进行需求收集工作。 3.3软件的需求分析业务部门和开发小组共同参与，认真分析、理解相关的业务管理流程及要求，使需求分析符合实际，最终由开发小组编写《软件需求说明书》（见附录B）。由质量控制小组小组评审内容，给出“通过”和“不通过”的结论。 3.3软件开发的设计方案和测试方案开发小组根据软件需求说明书，进行《开发设计方案》（见附录C）及《测试方案》（见附录D）的编写，由质量控制小组组织评审，给出“通过”和“不通过”的结论。 3.3.1设计方案基本设计概念和处理流程、系统功能模块图，系统数据结构设计，接口设计等。 3.3.2测试方案概述该测试的目的、任务、环境、方法等。 3.4软件的实施（编程和单元测试、集成测试）项目负责人分配开发任务，软件开发人员负责编码、单元测试、集成测试。 3.5软件的系统测试测试人员根据《测试方案》进行测试，测试完成后，将系统BUG以文档形式反馈开发人

信息系统安全管理办法(通用版)

企业信息管理系统管理办法第一章总则第一条为保证公司信息系统的安全性、可靠性，确保数据的完整性和准确性，防止计算机网络失密、泄密时间发生，制定本办法。第二条公司信息系统的安全与管理，由公司信息部负责。第三条本办法适用于公司各部门。第二章信息部安全职责第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下：（一）负责业务软件系统数据库的正常运行与业务软件软件的安全运行；（二）负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用；（三）保证业务软件进销调存数据的准确获取与运用；（四）负责公司办公网络与通信的正常运行与安全维护；（五）负责公司杀毒软件的安装与应用维护；（六）负责公司财务软件与协同办公系统的维护。第五条及时向总经理汇报信息安全事件、事故。第三章信息部安全管理内容第六条信息部负责管理公司各计算机管理员用户名与密码，不得外泄。

第七条定期监测检查各计算机运行情况，如业务软件系统数据库出现异常情况，首先做好系统日志，并及时向总经理汇报，提出应急解决方案。第八条信息部在做系统需求更新测试时，需先进入备份数据库中测试成功后，方可对正式系统进行更新操作。第九条业务软件系统是公司数据信息的核心部位，也是各项数据的最原始存储位置，信息部必须做好设备的监测与记录工作，如遇异常及时汇报。第十条信息部负责收银机的安装与调试维护，收银网络的规划与实施。第十一条信息部负责公司办公网络与收银机（POS）IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。第十二条公司IP地址的设置均采用固定IP分配方式，外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址，应及时向信息部报告。第十四条信息部负责公司办公网络与通信网络的规划与实施，任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。第十五条办公电脑安全操作管理

工作日志管理系统规定(试行)

工作日志管理规定（试行）为进行公司效能建设，规范化管理，培养员工良好的工作作风，利于工作监督检查与总结，经公司领导决定，自7月份开始在公司全体人员中推行工作日志制度。每位员工应按本办法要求坚持执行工作日志制度，如实记录个人的工作进度、落实情况等，并将工作日志作为反映本人工作的第一手资料和考核量化的依据。一、推行的目的和意义 1、以工作日志为依据，提高工作决策科学性。工作日志可以让各级管理者对每位员工的工作内容、进度和结果等有直接的了解，本人也可以对自己每天每时的工作做客观的自我评估衡量。通过工作日志的开展，可以为公司及各部门安排下一步工作提供决策依据。 2、以工作日志为载体，提升工作能力。建立工作日志是梳理思路、强化执行、查漏补缺的过程，有利于进一步抓好工作落实，总结工作经验，推进工作开展。 3、以工作日志为镜子，提高工作效率。工作日志反映的不仅是工作态度，还能反映出工作能力。建立工作日志有利于员工自我加压、自我督促，在规定时间内完成工作任务，提高工作效率，优化时间管理。 4、以工作日志为平台，促进学习交流。建立工作日志，有利于部门之间以及员工之间加强交流、相互学习，提高工作质量。 5、以工作日志为桥梁，提升组织绩效。工作日志建立了一种以工作事项达成为桥梁的上下级间正式书面沟通方式，方便督促、指导、激励各级员工努力提高业务素质，改进工作方法、提高工作效率，有效达成工作目标，提升组织绩效。 6、以工作日志为记录，加强绩效考核。建立工作日志，有利于更好地掌握员工日常履职情况，为绩效考核提供较为客观、细致、全面的考核依据。 7、以工作日志为工具，提升职业能力。帮助员工学会时间管理，做到事事有计划、有安排，明确工作方向和节奏，加强自我监督，培养自我总结与规划的习惯，提升工作职业能力。二、工作日志的功能： 1、提醒作用：在实际工作中，我们可能会同时进行多项工作，屡屡有因处理琐碎小事耽误时间而遗忘处理重要事情的事件，查看工作日志有提醒作用。 2、跟踪作用：不同部门从事不同的工作，分管领导必须保证各部门工作的协调和有效。因此，实时查看和了解中层主管的工作日志是跟踪核查的重要手段。

信息系统建设管理制度

信息系统建设管理制度一章总则第一条为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术，同时更要有全面动态的安全策略和良好的内部管理机制，本规范包括五个部分： 1）项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则； 2）项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要求，确定各个环节的安全需求、目标和建设方案； 3）方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设安全方案进行论证，确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批； 4）项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管理目标和实施办法，并完成项目安全专用产品的确定、非安全产品安全性的确定等； 5）项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的安全管理规范，以及相关依据。第三条规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 5271.8－2001信息技术词汇第8部分安全第四条术语和定义本规范引用GB/T 5271.8－2001中的术语和定义，还采用了以下术语和定义：

信息化建设项目管理办法

四川省商业投资集团有限责任公司信息化建设项目管理暂行办法第一章总则第一条为加强信息化建设项目管理，规范信息化建设项目行为，强化信息安全，根据xx责任公司（以下简称“集团”）对信息化建设项目相关管理规定，特制定本办法。第二条本办法规定信息化建设项目的内容包含以下三类：（一）信息化集成类：信息化软硬件集成、信息工程与弱电工程集成；（二）产品采购类：（1）硬件设备：服务器、存储设备、网络设备、信息安全设备及空调、UPS电源等数据中心机房专用设备和内存、磁带等材料零件供应及安装；（2）软件产品：标准软件产品、软件用户授权。（三）服务类：（1）软件开发类：按照业务需求完全或部分定制开发并提供后续服务的项目；（2）外包服务类：将信息系统研发全部或部分外包给专业软件公司，自主研发的信息化项目；（3）维保服务类：硬件设备、软件系统、集成工程项目免费维保期结束后的维保服务采购；（4）设计咨询类：信息化规划、数据中心设计、网络设计咨询、安全检测咨询等。第三条集团及子集团、事业部、各分子公司进行信息化建设 1

均需遵守集团统一规划、统一管理、分步实施、小步快走等原则。第四条集团及子集团、事业部、各分子公司进行信息化建设均需遵循本管理办法。第二章管理、实施机构及职责第五条集团成立信息化领导小组，集团董事长任组长，集团总经理及信息化分管领导任副组长，成员由办公室、财务中心、审计监察部、信息化办公室、招投标办公室等部门负责人组成，负责对信息化建设项目工作的领导、管理、监督、决策和奖惩。第六条xx集团设立信息化办公室（以下简称“信息办”），负责集团信息化建设总体协调和管理。负责对信息化建设进行立项审批，集团办公室、财务中心、人力资源部、发展策划部、企业管理部、审计监察部、集团招标管理办公室、品牌事业部按职责分工，参与信息化建设管理。第七条信息办负责牵头建立一体化的管理体系及运行机制，对信息化建设进行规划、备案、立项、报批、建设、考核、运维等管理工作，履行以下等职责：（一）根据企业发展及管理需要，拟定集团信息化建设项目管理相关制度；（二）根据集团战略发展、子集团业务战略发展，拟定集团IT规划、子集团业务IT规划；（三）信息化建设项目备案工作，负责信息化合格供方信息 2

日志管理制度

信息系统日志管理第一章总则第一条随着公司信息系统规模的逐步扩大，越来越多的主机、应用系统、网络设备加入到系统网络中，日志安全管理变得越来越复杂。为了规范公司信息系统运行过程中的日志安全管理，为系统运行监控、安全事件跟踪、系统审计等提供真实的日志数据，特制定本办法。第二条本办法适用于公司信息系统日志安全管理过程。第二章日志产生管理第三条为了实时有效的产生必须的日志信息，应开启网络设备、安全设备、操作系统、数据库系统、应用系统等系统日志功能。第四条一般需开启的日志功能项：（一）记录用户切换产生的日志；（二）系统的本地和远程登陆日志；（三）修改、删除数据；（四）为了掌握系统的性能开支，必须开启系统统计，周期性收集系统运行数据，包括(CPU utilization, disk I/O等) ，管理人员应经常性查看系统负荷和性能峰值，从而判断系统是否被非法使用或受到过攻击。第五条安全设备需开启的日志功能项：（一）流量监控的日志信息；（二）攻击防范的日志信息；（三）异常事件日志缺省为打开，可发送到告警缓冲区。第六条本地日志文件不可以全局可写，通过修改日志的默认权限提高日志系统的安全性，防止非授权用户修改日志信息。

第七条安全日志最大值设置。安全日志最大值:>100MB。第三章日志采集管理第八条为了更好的保存日志和后续的处理，应创建专门的日志采集服务器。第九条在指定用户日志服务器时，日志服务器的IP地址，日志服务器应使用1024以上的UDP端口作为日志接收端口。第十条日志信息按重要性可按级别、用户、源IP、目的IP、事件、模块进行信息过滤。第十一条日志要统一考虑各种攻击、事件，将各种日志输出格式、统计信息等内容进行规范，从而保证日志风格的统一和日志功能的严肃性。第十二条网络设备的管理，配置网络设备的日志发送到日志采集服务器，日志采集服务器对其日志进行格式化、过滤、聚合等操作。第四章日志审计第十三条对公司敏感信息操作的相关日志，应对其加大审核的力度和频率。第十四条网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一次的安全审核，并填相关的网络设备日志审核记录，以及时发现问题，并根据问题采取相应措施。第十五条重要服务器操作系统的操作记录由系统管理员根据操作系统记录文件对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核，并填相关的服务器操作系统日志审核记录。第十六条数据库的直接访问修改操作通过人工记录填写相关的数据库访问修改操作审核记录，并由数据库管理员对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核。

信息化项目管理办法

文件类型程序文件版本文件等级内部公开页码 1 / 11 拟制何小春审核闫书元批准杨战兵制定部门科技管理部生效日期 1.目的和范围本管理办法规定信息化软件研发管理所遵循的原则和方法，目的是提高软件质量和软件开发项目的可控性。 2.定义质量控制小组：负责软件项目过程评审和项目验收。项目负责人：负责项目设计、开发、实施全过程管理。 3.软件开发的基本流程：

拟制何小春 3.1软件需求提出 3.1.1需求提出业务部门经过内部评估后，填写《业务调整/开发需求申请表》（见附录A），由业务部门领导、公司分管领导批准后的《业务调整/开发需求申请表》报科技管理部。 3.1.2技术评估科技管理部从技术实现路线、开发方式、风险评估等方面组织对需求的技术评估；并在《业务调整/开发评审表》填写相关评审意见。 3.1.3管理评估科技管理部组织相关部门从业务流程、内控管理、业务职责等方面进行管理评审，并在《业务调整/开发评审表》填写相关评审意见。科技管理部在综合技术评估和管理评审意见、提出项目建议意见，报经总工程师批准后，信息化室指定项目负责人组建开发小组，负责开展相应的优化改进和开发工作，指定质量控制人员组建质量控制小组负责开发过程的质量控制、组织过程评审和项目验收等工作；相关单位应做好测试及应用推广等工作。 3.2软件的需求调研和分析 3.2.1需求调研业务部门主导，开发小组共同参与调研，协助业务部门进行需求收集工作。 3.3软件的需求分析业务部门和开发小组共同参与，认真分析、理解相关的业务管理流程及要求，使需求分析符合实际，最终由开发小组编写《软件需求说明书》（见附录B）。由质量控制小组小组评审内容，给出“通过”和“不通过”的结论。 3.3软件开发的设计方案和测试方案开发小组根据软件需求说明书，进行《开发设计方案》（见附录C）及《测试方案》（见附录D）的编写，由质量控制小组组织评审，给出“通过”和“不通过”的结论。 3.3.1设计方案基本设计概念和处理流程、系统功能模块图，系统数据结构设计，接口设计等。 3.3.2测试方案概述该测试的目的、任务、环境、方法等。 3.4软件的实施（编程和单元测试、集成测试）项目负责人分配开发任务，软件开发人员负责编码、单元测试、集成测试。 3.5软件的系统测试测试人员根据《测试方案》进行测试，测试完成后，将系统BUG以文档形式反馈开发人

信息系统运维管理办法

信息系统运维管理办法标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]

**信息系统运维管理办法第一章总则第一条为加强我行计算机系统的运行维护工作，保障系统安全稳定运行，进一步提高系统的维护质量和效率，制定本管理办法。第二条本办法所称信息系统，是指我行日常经营和业务办理所使用的计算机软件、硬件及基础IT设施，包括各类业务软件系统、机房设施、网络设施、服务器设施、电脑终端设备等。第三条本办法中出现的词条解释如下：（一）运行维护手册：针对运行维护人员编写的有关系统日常维护、监控、备份、一般性故障处理、软件安装、操作、配置方法及其他相关信息的文档。（二）运行维护：由运行维护人员按照运行维护手册的要求，进行日常的运行监控、备份、安全管理、一般故障处理，受理用户维护申请，解答用户疑问的工作。第四条信息系统运行维护工作的基本任务是：做好系统或设备上线投产、升级、日常监控、备份、安全管理，预防、处理各类系统故障，提高我行计算机系统的整体运行水平，保障我行业务连续性计划的顺利进行。第二章岗位职责第五条运营管理部系统运维岗位人员负责我行信息系统的运行维护工作。系统运维岗按运行维护手册的要求进行一级维护，如无法按时解决问题，需第一时间请求主发起行协助，并在主发起行运行维护人员进行技术指导下完成相关维护工作。

第六条系统运维岗应积极接受相关设备厂商或项目组组织的运行维护培训。培训内容应包括系统的体系架构、软硬件安装、配置、日常维护方法、备份和恢复策略、一般性故障的处理方法等。第七条运营管理部运行维护人员的主要职责包括：（一）做好系统上线投产的环境准备工作，包括网络、不间断电源等。各项技术指标应满足系统软硬件的要求。（二）在项目组的协助下，完成硬件和操作系统的安装和配置工作。（三）利用培训和系统上线机会，掌握系统维护技术。（四）制定系统日志、负载监控、系统备份和恢复策略。第三章日常管理第八条系统运维人员应按既定的策略和《运行维护手册》的要求，承担系统的日常运行维护工作。包括运行环境监控、软硬件运行状况监控、系统备份管理、安全管理、一般性故障处理、用户申请受理等。第九条系统运维人员应做好硬件及网络的定期检测，发现问题及时处理或第一时间报告项目组和运行中心负责人。第十条系统运维人员需详细记录日常运行维护情况，并定期向项目组提供运行情况汇总和统计数据。第十一条系统运维人员需根据系统运行情况，及时提出软硬件升级或修改建议。

信息系统管理制度

信息系统管理制度第一章总则第一条为了保护公司计算机信息系统安全，规范信息系统管理，合理利用信息系统资源，推进公司信息化建设，促进计算机的应用和发展，保障公司信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为公司生产经营服务，根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规，结合公司实际情况，制定本制度。第二条本制度所称的信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，应当保障信息的安全，保障计算机功能的正常发挥，保障应用系统的正常运行，以维护计算机信息系统的安全运行。第二章硬件第四条按照谁使用谁负责的原则，落实责任人，负责保管所用的网络设备和线路的完好。两人以上的用户，必须明确一人负责。第五条计算机设备的日常维护由各业务部门、子公司、分支机构负责。计算机设备和软件发生故障或异常情况，由公司网管统一进行处理。第六条按照作息时间准时开关机，及时处理有关文件，严禁使用公司计算机玩游戏、听音乐、看影碟等。第七条计算机操作人员应保持计算机环境清洁，下班之前退出所有程序关闭计算机，切断插板电源后方可下班离开。第八条各负责人应对计算机定时杀毒，对外来不明存储设备，必须经过严格的病毒检测，方可使用。第三章软件及账号管理制度

第九条各业务部门、分公司配备的计算机及网络设备根据使用者落实到人，各责任人对于计算机系统必须设置账号密码，严格控制非使用人员使用计算机，使用软件系统必需经公司批准，使用分配的账号，并设置密码后方可使用，网络管理员根据企业制度的账号管理规则对用户账号实行管理，并对用户账号的安全和保密负责。第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作公司信息系统，严禁使用外来存储设备，以防泄密和病毒侵入。第十一条操作计算机时不得使用一些危险性的命令，严禁分区及格式化硬盘等操作。第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作无关的软件程序，但经审批通过的管理软件除外。第四章网络和互联网访问第十三条未经网管批准，任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数，外部电脑未经网管允许，常州千红生化制药股份有限公司信息系统管理制度不得接入公司网络。第十四条网络使用划分为五级安全保护等级，联接局域网内的任何一台计算机按照确定的等级进行使用，不得随意更改，用途须与工作有关，使用互联网必须遵守国家相关法律法规，否则其所带来的后果由用户责任人承担。第一级：办公电脑可以在网络监控下，使用互联网，访问外部网站，能够使用外部即时通信工具。第二级：办公电脑可以在网络监控下，使用互联网，访问外部网站，只能访问指定的网站，不能使用外部即时通信工具。第三级：办公电脑只能在公司局域网内联网，使用公司内部的网络资源，不能够联接互联网。第四级：办公电脑只能在本部门或分公司网段联网，可以使用公司统一资源，不能访问跨部门网络资源。

信息系统数据备份与管理办法

数据备份与恢复管理办法第一章总则第一条为加强中国航发湖南动力机械研究所（以下简称“动研所”）信息系统数据的备份与管理，避免信息系统数据的丢失，确保生产、经营、管理等应用系统的安全稳定运行和历史数据的有效保存，特制定本管理办法。第二条数据是信息系统的基础，是企业的重要资源。数据备份是保证数据安全的有效技术手段，是信息安全体系的重要组成部分。数据备份的内容应包括企业生产、经营、管理等信息系统中的所有关键数据，具体是指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。第三条数据备份与管理应遵循“统一领导、统一规划、统一标准、统一建设、分级管理”的原则。第四条本管理办法适用于动研所所有数据备份和恢复操作。第二章组织机构与职责第五条信息化技术研究部负责动研所信息系统的数据备份、运行维护与管理。第六条信息化技术研究部是数据备份的归口管理部门，负责动研所信息系统的数据备份、运行维护与管理工作。第七条信息化技术研究部设立数据备份岗位，并实行主、副岗制度，具体负责本单位数据备份工作的日常管理，包括检查、监督、考核和统计等工作。第八条动研所应明确各种信息系统业务主管部门和运行管理部门的责任，已正式投运的信息系统，其数据备份与管理工作由信息化技术研究部负责；正在建设但未经正式验收投运的信息系统，其数据备份与管理工作原则上由该信息系统的业务主管部门委托开发商进行，信息化技术研究部给予必要的配合。第九条数据备份技术及相关人员上岗前要进行培训，具备必要的技能。设备或技术更新，或者备份策略和恢复预案发生变化后，要及时进行培训。

第三章数据备份第十条数据备份应根据系统情况和备份内容，采用不同的备份方式： 1.完全备份：对备份的内容进行整体备份。 2.增量备份：仅备份相对于上一次备份后新增加和修改过的数据。 3.差分备份:仅备份相对于上一次完全备份之后新增加和修改过的数据。 4.按需备份：仅备份应用系统需要的部分数据。具体所采取的备份方式，应能确保真实重现被备份系统的运行环境和数据。第十一条在规划设计以及新建信息系统时应充分考虑系统的备份需求，填写《数据备份需求登记表》（附录1，）在系统投运前完成备份策略（附录2）和恢复预案的制定并在系统投运后同时开始执行；已投运的信息系统备份需求发生变化时，要及时调整数据备份策略和恢复预案。备份策略和恢复预案的制定与调整需报主管领导批准。第十二条信息化技术研究部在对计算机和设备进行软件安装、系统升级改造或更改配置时，应进行系统、数据和设备参数的完全备份；系统更新后，应实现数据的迁移或转换，确保历史数据的完整性，并对原系统及其数据进行完全备份。第十三条数据备份系统的建设应统一纳入信息化发展规划并按分层分级组织实施。第十四条数据备份系统及介质的选型要满足各系统的备份策略及保存要求，包括安全可靠性、性能和服务质量、冗余等，确保通过数据备份能及时恢复各种故障情况下造成的数据丢失。第十五条信息化技术研究部应制定相关运行和维护管理制度，加强对数据备份系统的运行和维护管理，确保数据备份系统可靠运行。第十六条应对数据备份操作进行记录，填写《数据备份记录表》（附录3），操作可能影响到信息应用系统正常运行的，要报该信息系统业务主管部门和信息化技术研究部审查，并经主管领导批准。第十七条数据备份工作人员要认真做好数据备份的文档工作，完整地记录备份系统的配置和备份数据源的系统配置；做好备份工作的运行日志和维护日志；建立备份文件档案及档案库，详细记录备份数据的信息。要做好数据备份的文卷管理，所有备份应有明确标识，包括卷名、运行环境、备份人。卷名按统一的规则来命名，即由“系统名称－（数据类型+备份方式+存储介质）－备份时间－序号”组成。系统名称数据类型备份方式存储介质备份时间序号 ABC 0操作系统0完全备份1光盘YYYYMMDDXXX 1应用软件1增量备份2硬盘

ERP系统运行维护管理办法(初稿)

ERP系统运行维护管理办法（初稿）第一章总则第一条为规范公司ERP系统运行维护与故障处理工作，明确工作任务，落实工作职责，提高工作效率，确保ERP系统安全、稳定、高效运行，制定本办法。第二条本办法中ERP系统是指公司按照集团公司ERP系统统一建设方案，采用基于ORACLE EBS软件平台在公司集中建设部署的财务和业务一体化企业资源计划信息管理系统。第三条本办法适用于覆盖公司本部和所属各单位的ERP系统中硬件网络设备、应用系统、数据库系统、存储系统、备份及灾备系统和传输链路的运行维护管理工作。各单位可根据本办法，结合本单位实际情况制定实施细则，并报公司科技信息部备案。第二章组织形式和职责第四条公司ERP系统运行维护工作以业务为主导、面向最终用户、建立“专业、闭环、快捷”高效运维服务体系的建设目标，按照“统一运维、分层管理”的原则，实行三级运维支持体系。（一）一级支持：由用户单位各模块关键用户和IT技术关键用户组成，用户单位所实施的每一个模块至少设置一个对应的关键用户，各模块关键用户主要负责指导本单位本业务模块所有最终用户的应用，负责向上一级关键用户反馈本单位本业

务模块应用中出现的问题，负责本单位业务模块涉及数据维护和报表设置、需求及流程变更、用户权限等申请工作；IT技术关键用户为本单位信息化管理人员，主要负责本单位最终用户应用提供硬件和网络的技术支持，负责向上一级关键用户反馈本单位系统通用性软件问题和硬件及网络应用问题。（二）二级支持：由公司各模块关键用户和IT技术关键用户组成，公司系统所实施的每一个模块按公司部门业务管理职能设置一个对应的关键用户，负责组织解决本业务范围中模块应用的共性问题，负责对用户单位提交的需求申请进行审批；IT技术关键用户为公司科技信息部人员，负责组织系统运维单位和产品供应商确保系统的有效、稳定运行和运行中出现的软件系统、硬件及网络问题进行解决和处理，负责组织收集经审批后的用户单位各类申请需求，安排运行维护单位进行部署和实施。（三）三级支持：由信息公司、运行维护单位和产品供应商组成。信息公司主要提供高级技术支持、系统健康检查、ERP 系统标准和规范完善、巡检和应急处理等服务，集中解决共性问题和系统层面的重大问题；运行维护工作委托专业运行维护单位承担，运行维护单位受公司信息化管理部门领导，负责系统的日常运行维护和应急演练，负责对系统中出现的问题和故障及时排除、处理和恢复，负责对用户提出的需求进行变更、部署和实施；产品供应商包括ERP系统软件产品提供商和硬件产品提供商，负责向运维单位提供产品的技术支持，负责处理所提供产品自身缺陷的处理和优化完善。

信息化系统管理制度

XX局信息化系统管理制度第一章总则第一条随着大集中系统应用推广、随着我局信息化建设的推进及计算机装备水平的提高，为加强计算机、网络系统运行的管理工作和税收信息化建设工作，规范计算机应用，保障网络系统和业务数据的稳定、高效、安全运行，提高科技管税水平，促进信息化建设稳步发展。原有《XX市地方税务局计算机系统管理办法》已不能完全适应现信息化建设管理需要。结合我局的业务需求和实际情况，根据《计算机保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家税务局总局税务系统电子数据处理管理办法（试行）》、《昆明市计算机信息系统安全监察暂行办法》、《昆明市地方税务局计算机管理试行办法》、《XX地方税务局信息化安全管理制度》等有关法律法规及管理制度。现将原来《办法》修订为《XX市地方税务局信息化系统管理制度》。第二条XX市地方税务局信息化系统的管理工作，必须按照国家的法律和国家税务总局制定的“统一领导、统一规划、统一标准、分步实施”的原则，在省、市地税局的领导下进行。第三条信息化系统管理含盖计算机系统运行管理、网络安全管理、业务电子数据管理、设备及耗材管理，等四个方面。第四条各科室、分局、稽查局（以下统称各部门）。各部门的计算机运用工作应遵守国家有关法律法规和省、市地方税务局有关规定，在局计算机管理部门授权范围内按照本办法规范运作。页脚内容1

第五条我局设立计算机管理部门负责全局的计算机系统管理工作，研究制定相关的工作规划、措施，监督、检查计算机系统的使用、运行情况，传达、协调、制定有关技术和应用标准。使用计算机的各部门，负责相关业务应用程序的操作、日常维护及安全保密工作。及时向计算机管理部门报告应用中发现的有关问题。第六条XX市地税局计算机管理部门内设专职系统维护员职位，负责软件、硬件、数据库和业务系统管理。计算机系统操作员是指经局计算机管理部门授权，在授权范围内使用我局计算机系统相关功能的操作人员。第七条本办法适用于XX市地税局使用计算机的各部门和全体干部职工（含协管员）。第二章计算机系统运行管理第八条根据省、市地方税务局的规定与要求设置计算机管理部门、配备专职系统维护员负责全局的信息化建设和计算机系统维护、管理工作；各部门指定即兼职计算机管理员员（信息安全员）负责本部门计算机、网络设备、打印设备的日常维护管理，对本部门其他人员计算机应用的辅导。第九条 XX市地税局专职系统管理人员应履行以下职责：一、按照省、市地方税务局的要求和本局实际情况，负责对全局信息化建设工作进行总体规划和组织实施。二、负责起草全局计算机管理工作的各项规章制度。三、配合省、市地方税务局的总体业务目标，制定技术工作计划并组织实施。四、协助各部门对单行业务应用软件的维护工作，并为各部门业务应用软件及基础数据资料管理提供技术支持。五、保障全局计算机软、硬件、网络系统的正常运行。六、负责监督、检查、协调，并从技术上指导各部门的计算机工作，提供技术支持。页脚内容2

信息系统管理办法

信息系统管理办法第一章：总则第一条为保证公司信息网络系统的安全，根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司内网络系统建设的实际情况，制定本办法。第二条本办法所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。第四条本规定适用于公司内所有计算机硬件及周边设备（如打印机、扫瞄仪、MO存储器，软磁碟，CD碟，数码相机、考勤机终端等）及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。第二章信息系统安全管理第五条计算机系统账号与操作员代码一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设臵根据不同应用系统的要求及岗位职责而设臵；二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得；

三、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；四、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有主管负责人授权；五、信息部门任何人员不得使用他人操作代码进行业务操作；六、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；七、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设臵。八、操作员不得使用或盗用他人代码进行业务操作。九、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。第六条密码与权限管理一、密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设臵应具有安全性、保密性，不能使用简单的代码和标记。二、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，在可能的情况下并相应记记录用户名、修改时间、修改人等内容，及时上报公司信息中心备案。三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设臵和管理，并由密码设臵人员将密码装入密码信封，在骑缝处加盖部门印章并签字标注封存日期后交由信息中心存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索

信息化项目管理办法

文件修正履历表

1.目的为加强公司信息化建设管理，规范信息化建设行为，减少、避免信息化建设重复投资，提升信息化项目建设和应用水平，依据公司IT审计要求，制定本办法。 2.适用范围本办法适用于公司及其有管辖权的分子公司和分支机构；适用于信息化项目的立项、选型、招标、实施和验收过程。 3.名词解释信息化项目是指以计算机、网络、通信、信息安全及其他信息技术等为主要技术手段，以咨询、采购、开发、升级和优化等方式建设的IT规划咨询、IT应用系统、IT设施和IT运维等项目。包括但不限于以下目类：信息化咨询、ERP系统、生产执行（MES）系统、人力资源（HR）系统、客户管理系统（CRM）、供应商管理系统（SRM）、协同办公系统（OA）、质量追溯系统、数据安全系统以及支持系统运行的硬件设备和网络环境等项目。 4.职责 4.1 信息化项目领导组公司组建成立信息化项目领导组，公司总经理任委员会主任，IT部门总监总经理任副主任，成员由各事业部和各中心总经理和信息技术部负责人组成，负责审定公司信息化建设规划和对重大信息化项目的决策和指导。 4.2 IT部门总监负责审阅信息化建设规划和信息化年度建设计划，负责核决信息化项目立项报告、招标总结报告和合同的签订。 4.3 信息技术部负责组织公司信息化规划和年度建设计划的编制，负责组织信息化项目的立项、招标、实施、验收、优化和维护工作。 4.4 业务需求部门

负责根据业务发展需要提报信息化项目建设需求和信息系统优化需求；负责组织相关人员配合信息技术部进行信息化项目的招标、实施和优化工作。 5.作业名称：信息化项目立项与采购作业

信息系统运维管理办法

荷马有限公司系统运维管理办法第一章总则第一条为保障信息系统（包括基础设施、网络系统、应用系统、信息资源、机房环境等）的安全、稳定、高效运行，积极预防风险，完善控制措施，制定本制度。第二条本办法适用于公司信息系统运维管理工作。第二章主要内容及工作职责第三条运维管理的主要工作内容包括网络系统运行维护、主机系统运行维护、业务系统运行维护、机房基础设施运行维护和运维流程管理。第四条IT 中心工作职责 1、负责集团信息系统运维归口管理。 2、负责集团运维管理制度的制订与落实。 3、负责集团统一建设的信息系统、本部机房和其它基础设施等的运行维护。； 4、负责指导公司各职能部门、分公司运行维护工作，并提供技术支持。第五条各职能部门、分公司工作职责 1、负责公司运维管理制度的贯彻落实。 2、负责专属信息系统和管辖范围内机房及其它基础设施等的运行维护。 3、协助公司IT 中心做好公司统一建设的信息系统的运

行维护。第三章网络系统运行维护第六条网络系统的运行监控：根据网络设备等级按每天、每周、每月进行定期检查，填报检查日志表，利用相关监控系统，协助监控各种网络设备运行状态。第七条网络系统故障处理：当网络设备发生故障导致网络异常时，系统管理员要按照事件管理流程及时进行故障分析、诊断和修复，并做好记录。第八条系统管理员负责根据网络运行情况和业务需要提出优化整改方案，对网络系统进行调整与优化，但调整与优化涉及的变更工作要按照变更管理流程进行。第四章主机系统运行维护第九条主机系统的运行监控：系统管理员通过查看主机设备日志或主机管理工具对主机设备运行状态和主机网络连通性进行实时监控，包括小型机、PC服务器、操作系统、数据库系统、中间件等，确保核心主机系统稳定运行。第十条主机系统故障处理：当主机设备（小型机、PC服务器、操作系统、数据库系统、中间件等）发生故障时，系统管理员要按照事件管理流程及时进行故障分析、诊断和修复，并做好记录。第十一条系统管理员负责根据系统运行情况和业务需要对主机系统进行调整与优化，但调整与优化涉及的变更工作要按照变更管理流程进行。 - 2

信息系统日志管理办法最终版.doc

信息化项目管理办法

信息系统安全管理办法(通用版)

工作日志管理系统规定(试行)

信息系统建设管理制度

信息化建设项目管理办法

日志管理制度

信息化项目管理办法

信息系统运维管理办法

信息系统管理制度

最新信息化项目管理办法

信息系统数据备份与管理办法

ERP系统运行维护管理办法(初稿)

信息化系统管理制度

最新信息系统日志管理办法

信息系统管理办法

信息化项目管理办法

信息系统运维管理办法