《内部控制信息系统维护.docx》由会员分享,可在线阅读,更多相关《内部控制信息系统维护.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统维护治理细则1 目的为了保障信息系统安全、平稳运行,确保数据安全,依据相关法律法规和公司内部把握手册,制定本细则。适用范围与定义本细则适用于信息治理部门及相关部门实施信息维护相关事项。本细则所称信息系统维护包括日常运行维护、系统变更、安全治理等方面。引用标准及关联制度企业内部把握根本标准企业内部把握应用指引第 18 号 -信息系统 ABC 公司内部把握手册 2023职责信息治理部门负责信息系统的运行维护治理。 信息系统使用部门负责系统的使用,用户治理。内容、要求与程序系统日常运行维护 公司信息系统的维护归口统一由信息治理部负责治理。系统使用部门单位负责业务流程、业务工作标准、数据维护、
2、用户治理、数据使用安全、学问产权合法性使用及相关制度的制定和落实等工作,对有关数据的日常 更等作运行操作记录;对关键用户与一般用户进展培训和培训考核,培训记录和考核 成绩提交人力资源部备案。信息治理部负责日常软硬件系统维护、设备保养、故障的诊断与排解、易耗品的更换与安装、网络安全、环境保持、应急处理等工作,保证信息系统安全、稳定运行,并做应急事故处理记录和运行维护记录 。应急事故处理记录和运行维护记 录由信息治理部门经理签字。需托付进展维护的信息系统,由信息治理部门审查系统效劳商资质,并签订系统维护效劳合同;由信息治理部自行维护的,应指定专人负责维 护,制定岗位职责。系统变更 系统如在使用中有
3、变更要求,可向总经理办公室提出书面要求并填写系统变更表,由申请部门分管副总签字后,交信息治理部统一安排进展。变更完成后由申请部 门相关人员签字确认。信息系统操作人员不得擅自进展软件的删除、修改等操作;不得 擅自升级、转变软件版本; 不得擅自转变软件系统的环境配置。信息治理部门应利用技术手段防止员工擅自安装、 卸载软件或者转变软件系统配置,并定期进展检查。系统使用部门单位会同信息治理部依据业务需求,对业务流程与系统功能进行评价,需要重大改进的,提出系统升级报告 ,由公司分管业务副总经理签字确认, 报财务总监审核,由信息化领导小组审批。系统使用部门单位会同信息治理部组织系统升级的实施和验收。实施的
4、具体流程参见信息系统外购治理细则、 操作系统、数据库系统用户的增、变更,须填写系统用户申请表治理部审批后,被赐予唯一的用户名、用户 ID UID,方可进入公司信息系统进展电脑使用。信息治理部门经理至少每季度审核一次系统用户记录表 。信息系统数据安全治理由信息治理部负责信息系统数据的安全治理,包括日常备份、恢复和数据安全工作详见备份制度。数据保密性治理系统升级,经信息重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机房工作; 处理完毕后, 应去除不能带走的本作业数据;妥当处理打印结果,任何记有重要信息的废弃物在处理前应进展粉碎。未经允许,不准将机房设备、维护用品、软盘、资料等私 自
5、带出机房, 如有特别状况,需经负责人同意并进展登记前方可带出。数据备份治理每日进展系统数据库自动备份并做完整性查验, 每周一次手动备份到移动硬盘或其他电脑的硬盘,每两周一次由专人将移动硬盘送往银行保管箱予以存放,并填写数据 备份记录表,由负责系统维护人员及信息治理部门经理签字,每年进展一次备份的恢复性测试,并填写数据恢复性测试记录表 ,由信息治理部门经理签字。操作系统登录的安全治理信息治理部负责各业务系统后台操作系统登录的安全治理。系统登录名与密码安全治理各系统责任人负责保管系统的登录名和密码, 密码的设置要符合强密码标准和密码简洁性要求,并将它们密存在信封中,信封由专人保管,各系统负责人每季
6、度更换一次 登录名和密码,并填写密码保存登记表 。特别状况需拆信封时,必需由信息治理部门经理在密码保存登记表签字前方可,拆封后,系统责任人要重修改密码,密存 在信封中。用户登录名与密码的治理用户名和密码的组合定义了系统中用户的身份, 用户和密码组合由系统治理员进展治理,不设置多人共用的账号,当一个工作人员离开岗位后,其账号应被准时删除。为 防止非法用户使用信息网络资源,对访问用户的合法性进展鉴别,当不成功鉴别尝试次 数到达门限值时,系统将拒绝该用户的访问,加以记录并自动告警。对用户访问把握的 标准应遵循:1) 全部的用户都要经过授权;2) 用户有在自己的环境里设置对象特权的权力; 制止用户删除
7、在共享名目下其它用户的文件;可以通过制定的策略把握用户对于系统中全部对象的访问;5) 用户不能检查授予其它用户的访问把握权限;6) 要能够供给强制性的访问把握不相容岗位分别把握信息系统开发人员不得操作使用信息系统, 系统治理与维护人员不得操作使用信息系统。系统维护及机房治理 机房治理制度外来人员对硬件系统维护时,须填写外来人员进入机房审批表 ,经信息治理部门经理签字批准前方可;当外来人员对软件系统进展维护时,须填写应用软件维护 表,经系统使用部门单位负责人和信息治理部门经理签字批准前方可。机房全部工作人员须经信息治理部门经理授权并凭门禁卡进出机房, 外来人员进入机房统一由信息治理部专人伴随,伴
8、随人员全面负责外来人员的行为安全,并做好安 全防范工作。进出机房工作人员的授权定期季度由信息治理部门经理进展复核并做记录。机房治理人员应熟知机房内设备的根本安全操作规程。 不定期对运行设备进展测试和保养,由专人负责机房内设备的保养和备品、配件、资料、盘片等的保管,并登记 造册,保证备用设备完好,可供随时投入使用。机房设备损坏应马上投入备用设备,并 汇报领导,准时联系修复,做好检修记录。机房工作人员应学习常规的用电安全操作和学问,了解机房内部的供电、用电设施的操作规程。在外部供电系统停电时,机房工作 人员应做好停电应急工作。机房工作人员应生疏机房内部消防安全操作和规章,了解消防设备操作原理、掌握
9、消防应急处理步骤、措施和要领。不定期进展消防演习、消防常识培训、消防设备使 用培训。如觉察消防安全隐患,应即时实行措施解决,不能解决的应准时向相关负责人 员提出解决。防网络攻击和防病毒治理由信息治理部统一治理 网络运行维护人员在觉察可疑网络攻击和入侵迹象时,必需尽快处理并记录,在必要时请示主管部门领导,组织技术力气进展处理:1) 分析推断:对可疑攻击和入侵行为进展必要的观看与分析,以判别是否属于共计或入侵行为。2) 入侵或攻击的中止:经过分析,在必要时,应马上断开网络连接,将患病攻击的网段隔离出来。实行有效措施,终止对系统的破坏行为。3) 记录和备份:记录觉察网络入侵或攻击的当前时间,备份系统
10、日志以及其它网络安全相关的重要文件,保存内存中的进程列表和网络连接状态,并且翻开进程记录 功能。4) 假设系统受到严峻破坏,影响网络业务功能,马上调用备件恢复系统。5) 对该入侵或攻击行为进展大量的日志、分析工作。同时竭尽全力地推断查找攻击源。7将入侵的具体状况逐级向主管领导和有关主管部门汇报并请示处理方法。各使用人或部门应承受信息治理部批准的查毒、杀毒软件,包括效劳器和客户端的查毒、杀毒软件。制止使用来历不明、 未经杀毒的软件,不阅读和下载来历不明的电子邮件或文件, 严格把握并阻断计算机病毒的来源。经远程通信传送的程序或数据,必需经过检测确认无病毒前方可使用。网络治理员应至少每周一次自动的全
11、系统病毒扫描, 每天定时自动检查更病毒 定义文件, 对于觉察的病毒则要有相关信息提示自动的发送到相关治理人员处。信息治理部门应利用操作系统、数据库系统、应用系统供给的安全机制,设置参数,保证系统访问安全。信息治理部负责日常网络与硬件的监控。 通过监控系统对网络链路带宽做实时监控,并在需要时做相应的调整。对核心效劳器和网络设备做活泼性测试监控,主要是针 对设备的网络活动,系统的应用效劳做监控。外部网络的访问必需要通过防火墙,制定 相关防火墙安全策略及防火墙配置标准。系统终结 信息系统因各种缘由不再使用时, 信息治理部负责做好系统中有价值或涉密信息的销毁、转移,并按国家有关法律法规和电子档案的治理规定,妥当保管。信息系统风险评估 信息治理部门经理应每月组织开展信息系统安全评估工作, 准时觉察系统安全问题并加以整改。附则信息治理部门负责制定、解释、修改、废除本细则,本细则自总经理签发之日起执 行。支持性文件、记录和图表应急事故处理记录略 运行维护记录略 系统变更表略 系统用户申请表略 系统用户记录表略 数据备份记录表略 数据恢复性测试记录表略 密码保存登记表略 外来人员进入机房审批表略 应用软件维护表略