企业内网信息系统研发与管理规范(精)由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息系统管理规范”。
企业内网信息系统研发与管理规范 第一章 总则
第一条 为规范湖北广播电视网络股份有限公司有关信息系统 开发管理工作, 提高信息系统开发的管理水平, 明确计算机信息系统 相关部门及岗位的职责、权限, 确保计算机信息系统管理不相容岗位 相互分离、相互制约和监督, 有效提升信息系统支撑日常业务的效率 和质量,特制定本管理制度。
第二条 本规范所称计算机信息系统是指利用计算机技术对业 务和信息进行集成处理的程序、数据和文档等的总称。
第三条 在建立并实施计算机信息系统内部控制制度中, 要强化 对以下关键方面或者关键环节的风险控制,并采取相应的控制措施:(一 权责分配和职责分工应当明确, 重大信息系统事项应履行 审批程序;(二信息系统开发、变更和维护流程应当清晰,授权审批程序 应当明确;(三信息系统应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定;(四硬件管理事项和审批程序应当科学合理;第二章 岗位分工与授权审批
第四条 建立公司计算机信息系统岗位责任制。计算机信息系统 岗位一般包括:(一系统分析:分析用户的信息需求,并据此制定设计或修改 程序的方案。
(二 编程:编写计算机程序来执行系统分析员的设计和修改方 案。(三计算机操作:负责运行并监控应用程序。
(四数据库管理:综合分析、设计系统中的数据需求,维护组 织数据资源。(五 信息系统库管理:在单独的信息系统库中存储暂时不用的 程序和文件,并保留所有版本的数据和程序。
(六数据控制:负责维护计算机路径代码的注册,确保原始数 据经过正确授权,监控信息系统工作流程,协调输入和输出,将输入 的错误数据反馈到输入部门并跟踪监控其纠正过程, 将输出信息分发 给经过授权的用户。
(七终端控制:终端用户负责记录交易内容,授权处理数据, 并利用系统输出的结果。
第五条 系统开发和变更过程中不相容岗位(或职责 一般应包 括:开发(或变更审批、编程、系统上线、监控。
第六条 系统访问过程中不相容岗位(或职责 一般应包括:申 请、审批、操作、监控。
第七条 公司计算机信息系统战略规划与公司业务目标保持一 致。信息系统使用部门要参与信息系统战略规划、重要信息系统政策 等的制定。重要信息系统政策等重大事项应当经由技术部门主管、分 管领导、总经理审批通过后,方可实施。
第八条 技术部门(或岗位, 下称归口管理部门 对计算机信息 系统实施归口管理,负责信息系统开发、变更、运行、维护等工作。第九条 明确定义系统归口管理部门和用户部门在保证系统正常 安全运行过程中各自承担的职责,制定部门之间的职责分工表。第三章 信息系统研发、变更与维护控制
第十条 计算机信息系统开发包括自行设计、外购调试和外包合 作开发。开发信息系统时充分考虑业务和信息的集成性,优化流程, 并将相应的处理规则(交易权限 嵌入到系统程序中, 以预防、检查、纠正错误和舞弊行为, 确保企业业务活动的真实性、合法性和效益性。对于外包合作开发的项目, 加强对外包第三方的监控。
对于外购调试 或外包合作开发等需要进行招投标的信息系统开发项目, 依照招投标 相关制度进行管理。
第十一条 信息系统研发遵循以下步骤:(一 根据公司运营过程中的需求 , 在需要研发新的信息系统的时 候首先提请立项申请,并依照项目管理相关制度规定进行项目管理。(二需求阶段:对通过立项研发项目通过问卷、交流等形式进 行需求调研,完成调研报告。经公司领导或部门领导批准,并对调研 报告进行需求分析、研讨形成需求说明书。
(三设计阶段:明确需求后,设计信息系统开发的具体方案。系统设计部门就总体设计方案与业务部门进行沟通和讨论, 编写系统 设计方案, 设计方案还要包括概要设计、详细设计、子系统概要设计、模块设计和数据库设计。
(四编码阶段:对已经确定的设计方案进入实施阶段,项目经 理应确定编程规范,统一编程风格、提高代码质量。合理分配开发 任务, 确定何人何时完成哪些模块。开发人员需构建编程与测试环境, 例如软件开发工具的选择、硬件开发环境的选择等。并在编码过程中 一边编码一边调试减少后继的测试和改错代价, 提高程序的质量和测 试效率。
(五 测试阶段:信息系统在投入使用前应当至少完成整体测试 和用户验收测试, 以确保系统的正常运转。用户部门应当积极参与数 据迁移过程,对数据迁移结果进行测试,并签署测试报告。数据控制 小组应当用测试数据来证明程序工作正常并确认就绪, 开发完成后交 操作人员并由信息系统库管理员备份留存。信息系统原设计功能未能 正常实现时, 指定相关人员负责详细记录, 并及时报告归口管理部门, 由其负责系统程序修正和软件参数调整,尽快解决存在的问题。(六实施阶段:系统上线前要对系统操作人员进行上线培训, 信息系统上线后, 发生的任何系统源代码等方面的变更, 应当参照有 关系统开发的审批和上线程序执行。系统上线涉及新旧系统切换的, 应当在计划中明确应急预案。系统最终上线, 信息管理部应设置用户 部门的使用权限,用户部门在信息管理部的授权下使用信息系统。(七 后期维护阶段:系统维护人员进行日常运行维护和系统的 更新维护;数据库管理员进行数据库和代码维
护。健全程序变更制度, 实施系统变更管理, 包括变更申请审批、变更测试和变更版本管理等。确保信息系统应用管理规范,运维及时。规范程序变更管理,统一建
设的应用系统, 系统变更必须填写系统变更审批表上报技术开发部和 总部相关部门,统一组织升级、测试和变更,变更的应用程序移植到 生产系统前,技术部门必须组织人员进行系统测试和最终用户测试, 测试不能在生产环境中进行。技术部门必须对操作系统、数据库、应 用系统版本变更进行管理, 记录每次变更的版本号, 存档变更文档和 变更升级程序。
第四章 信息系统访问安全
第十二条 制定信息系统工作程序、信息管理制度以及各模块子 系统的具体操作规范。
第十三条 计算机信息系统操作人员不得擅自进行系统软件的 删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换 系统软件,不得擅自改变软件系统环境配置。
第十四条 对信息系统操作人员的上机、密码和使用权限进行严 格规范, 建立相应的操作管理制度。未经上机培训的人员不得作为操 作人员。
第十五条 建立账号审批制度, 加强对重要业务系统的访问权限 管理。第十六条 对于发生岗位变化或离岗的用户, 及时调整其在系统 中的访问权限。第十七条 定期对系统中的账号进行审阅, 避免有授权不当或冗 余账号存在。第十八条 对于特权用户, 对其在系统中的操作进行监控, 并定
期审阅监控日志。第十九条 充分利用操作系统、数据库、应用系统自身提供的安 全性能,在系统中设置安全参数,以加强系统访问安全。禁止未经授 权人员擅自调整、删除或修改系统中设置的各项参数。第二十条 方面的管理。第二十一条 将信息系统访问安全事项交由第三方管理的,必须 涉及上网操作的,要加强防
火墙、路由器等网络安全 加强对第三方的监控。第二十二条 定期检测信息系统运行情况,及时进行计算机病毒 的预防、检查工作,禁止用户私自安装非法软件和卸载企业要求安装 的防病毒软件。一经发现潜在危险,应当及时通知操作人员隔离受病 毒侵袭的系统部分,尽快处理。如有必要,可以暂时终止系统运行。第二十三条 信息系统操作人员应当在权限范围内进行操作,不 得利用他人的口令和密码进入软件系统。更换操作人员或密码泄密 后,必须及时更改密码。操作人员如果离开工作现场,必须在离开前 锁定或退出已经运行的程序,防止其他人员越权操作或散发不当信 息。第二十四条 利用计算机信息系统搭建本企业的信息化平台,规 范信息的使用和传递,促进业务流程与信息流程的统一,确保交易的 真实、合法,提高经营管理的效率和效果。第二十五条 对所有的重要信息进行密级划分,包括书面形式 和电子媒介形式保存的信息。
第二十六条 根据信息的重要性程度和泄密风险损失等划分标 准,将信息分为机密类、秘密类和重要类等,并建立不同类别信息的 授权使用制度。第二十七条 利用计算机信息系统,生成生产、销售、存储等子 系统,及时反映和记录交易。交易责任部门在其授权范围内对子系统 录入信息的及时性、准确性和完整性负责,并定期检查、核对所录信 息。第二十八条 公司财会部门应当认真审核用户、业务、运营、订 购、营销、采购、仓库等部门与财务相关的关键业务数据,及时进行 账务处理,保证会计信息与业务流程在时间、数量和价值上的统一,并做好电子财务数据保密和安全工作。第二十九条 建立信息数据变更处理(包括数据导入、数据提取、数据修改等)规范。一经发现已输入数据信息有误,必须按照信息系 统操作规定加以修正,不得使用非软件系统提供的方法处理信息数 据。第三十条 建立数据信息定期备份制度和数据批处理或实时处 理的处理前自动备份制度(交易日志)。在远离计算机设备和操作的 地方保存一套备份和交易日志,以备丢失或损坏时重建。第三十一条 编制完整、具体的灾难恢复计划,以备意外事件 发生后恢复系统之需。同时应当定期检测、及时修正该计划,并将其 最新版本存放在系统之外。第五章 办公场所硬件管理
第三十二条 制定计算机信息系统硬件管理制度,对设备的新 增、报废、流转等情况建档登记,统一管理。第三十三条 将计算机硬件设备放置在合适的物理环境中,由 专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统 硬件设备。第三十四条 硬件设备的更新、扩充、修复等工作应当由相关 人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬 件设备。第三十五条 加强计算机机房的物理安全管理。机房内应当配 备必要的环境设施,对于主要系统服务器应当配备不中断电源供给设 备。第三十六条 公司操作人员必须严格遵守用电安全,不得在计 算机专用线路上使用其他用电设备。为了防止电压不稳对信息系统硬 件的损坏,公司可以使用电源保护器和线路调节器平缓电压的振荡。第三十七条 完善计算机信息系统硬件设备异常状况处理制 度。一经发生异常现象(如冒烟、打火、异常声响等),应当立即通 知有关部门,不得擅自处理。第六章 第三十八条 第三十九条 附则 本制度由技术研发部负责解释和修订。本制度自发布之日起实施。
