內(nèi)部控制信息系統(tǒng)維護(hù)

1、信息系統(tǒng)維護(hù)管理細(xì)則1目的為了保障信息系統(tǒng)安全、平穩(wěn)運(yùn)行，確保數(shù)據(jù)安全，依據(jù)相關(guān)法律法規(guī)和公司內(nèi)部控制手冊(cè)，制定本細(xì)則。適用范圍與定義本細(xì)則適用于信息管理部門(mén)及相關(guān)部門(mén)實(shí)施信息維護(hù)相關(guān)事項(xiàng)。本細(xì)則所稱信息系統(tǒng)維護(hù)包括日常運(yùn)行維護(hù)、系統(tǒng)變更、安全管理等方面。引用標(biāo)準(zhǔn)及關(guān)聯(lián)制度企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)信息系統(tǒng) ABC公司內(nèi)部控制手冊(cè)2012職責(zé)信息管理部門(mén)負(fù)責(zé)信息系統(tǒng)的運(yùn)行維護(hù)管理。信息系統(tǒng)使用部門(mén)負(fù)責(zé)系統(tǒng)的使用，用戶管理。內(nèi)容、要求與程序系統(tǒng)日常運(yùn)行維護(hù) 公司信息系統(tǒng)的維護(hù)歸口統(tǒng)一由信息管理部負(fù)責(zé)管理。系統(tǒng)使用部門(mén)（單位）負(fù)責(zé)業(yè)務(wù)流程、業(yè)務(wù)工作標(biāo)準(zhǔn)、數(shù)據(jù)維護(hù)、用戶管理、數(shù)

2、據(jù)使用安全、知識(shí)產(chǎn)權(quán)合法性使用及相關(guān)制度的制定和落實(shí)等工作，對(duì)有關(guān)數(shù)據(jù)的日常 更新等作運(yùn)行操作記錄；對(duì)關(guān)鍵用戶與一般用戶進(jìn)行培訓(xùn)和培訓(xùn)考核，培訓(xùn)記錄和考核 成績(jī)提交人力資源部備案。信息管理部負(fù)責(zé)日常軟硬件系統(tǒng)維護(hù)、設(shè)備保養(yǎng)、故障的診斷與排除、易耗品的更換與安裝、網(wǎng)絡(luò)安全、環(huán)境保持、應(yīng)急處理等工作，保證信息系統(tǒng)安全、穩(wěn)定運(yùn)行,并做應(yīng)急事故處理記錄和運(yùn)行維護(hù)記錄 。應(yīng)急事故處理記錄和運(yùn)行維護(hù)記 錄由信息管理部門(mén)經(jīng)理簽字。需委托進(jìn)行維護(hù)的信息系統(tǒng)，由信息管理部門(mén)審查系統(tǒng)服務(wù)商資質(zhì)，并簽訂系統(tǒng)維護(hù)服務(wù)合同；由信息管理部自行維護(hù)的，應(yīng)指定專人負(fù)責(zé)維 護(hù)，制定崗位職責(zé)。系統(tǒng)變更 系統(tǒng)如在使用中有變更要求，

3、可向總經(jīng)理辦公室提出書(shū)面要求并填寫(xiě)系統(tǒng)變更表，由申請(qǐng)部門(mén)分管副總簽字后，交信息管理部統(tǒng)一安排進(jìn)行。變更完成后由申請(qǐng)部 門(mén)相關(guān)人員簽字確認(rèn)。信息系統(tǒng)操作人員不得擅自進(jìn)行軟件的刪除、修改等操作；不得 擅自升級(jí)、改變軟件版本；不得擅自改變軟件系統(tǒng)的環(huán)境配置。信息管理部門(mén)應(yīng)利用技術(shù)手段防止員工擅自安裝、 卸載軟件或者改變軟件系統(tǒng)配置，并定期進(jìn)行檢查。系統(tǒng)使用部門(mén)（單位）會(huì)同信息管理部按照業(yè)務(wù)需求，對(duì)業(yè)務(wù)流程與系統(tǒng)功能進(jìn)行評(píng)價(jià)，需要重大改進(jìn)的，提出系統(tǒng)升級(jí)報(bào)告 ，由公司分管業(yè)務(wù)副總經(jīng)理簽字確認(rèn)， 報(bào)財(cái)務(wù)總監(jiān)審核，由信息化領(lǐng)導(dǎo)小組審批。系統(tǒng)升級(jí)，經(jīng)信息系統(tǒng)使用部門(mén)（單位）會(huì)同信息管理部組織系統(tǒng)升級(jí)的實(shí)施和

4、驗(yàn)收。實(shí)施的具體流程參見(jiàn)信息系統(tǒng)外購(gòu)管理細(xì)則、 ）操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)用戶的新增、變更，須填寫(xiě)系統(tǒng)用戶申請(qǐng)表管理部審批后，被賦予唯一的用戶名、用戶ID （UID）,方可進(jìn)入公司信息系統(tǒng)進(jìn)行電腦 使用。信息管理部門(mén)經(jīng)理至少每季度審核一次系統(tǒng)用戶記錄表 。信息系統(tǒng)數(shù)據(jù)安全管理由信息管理部負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)的安全管理，包括日常備份、恢復(fù)和數(shù)據(jù)安全工作詳見(jiàn)備份制度）。數(shù)據(jù)保密性管理重要數(shù)據(jù)的處理過(guò)程中，被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作； 處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)；妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。未經(jīng)允許，不準(zhǔn)將機(jī)房設(shè)備、維護(hù)用品、軟盤(pán)、資料等私

5、 自帶出機(jī)房，如有特殊情況，需經(jīng)負(fù)責(zé)人同意并進(jìn)行登記后方可帶出。數(shù)據(jù)備份管理每日進(jìn)行系統(tǒng)數(shù)據(jù)庫(kù)自動(dòng)備份并做完整性查驗(yàn)， 每周一次手動(dòng)備份到移動(dòng)硬盤(pán)或其他電腦的硬盤(pán)，每?jī)芍芤淮斡蓪Ｈ藢⒁苿?dòng)硬盤(pán)送往銀行保管箱予以存放，并填寫(xiě)數(shù)據(jù) 備份記錄表，由負(fù)責(zé)系統(tǒng)維護(hù)人員及信息管理部門(mén)經(jīng)理簽字，每年進(jìn)行一次備份的恢復(fù)性測(cè)試，并填寫(xiě)數(shù)據(jù)恢復(fù)性測(cè)試記錄表 ，由信息管理部門(mén)經(jīng)理簽字。操作系統(tǒng)登錄的安全管理信息管理部負(fù)責(zé)各業(yè)務(wù)系統(tǒng)后臺(tái)操作系統(tǒng)登錄的安全管理。系統(tǒng)登錄名與密碼安全管理各系統(tǒng)責(zé)任人負(fù)責(zé)保管系統(tǒng)的登錄名和密碼， 密碼的設(shè)置要符合強(qiáng)密碼規(guī)范和密碼復(fù)雜性要求，并將它們密存在信封中，信封由專人保管，各系統(tǒng)負(fù)責(zé)人每

6、季度更換一次登錄名和密碼，并填寫(xiě)密碼保存登記表 。特殊情況需拆信封時(shí)，必須由信息管理部門(mén)經(jīng)理在密碼保存登記表簽字后方可，拆封后，系統(tǒng)責(zé)任人要重新修改密碼，密存在信封中。用戶登錄名與密碼的管理用戶名和密碼的組合定義了系統(tǒng)中用戶的身份， 用戶和密碼組合由系統(tǒng)管理員進(jìn)行管理，不設(shè)置多人共用的賬號(hào)，當(dāng)一個(gè)工作人員離開(kāi)崗位后，其賬號(hào)應(yīng)被及時(shí)刪除。為防止非法用戶使用信息網(wǎng)絡(luò)資源，對(duì)訪問(wèn)用戶的合法性進(jìn)行鑒別，當(dāng)不成功鑒別嘗試次數(shù)達(dá)到門(mén)限值時(shí)，系統(tǒng)將拒絕該用戶的訪問(wèn)，加以記錄并自動(dòng)告警。對(duì)用戶訪問(wèn)控制的規(guī)范應(yīng)遵循：1）2）所有的用戶都要經(jīng)過(guò)授權(quán)；用戶有在自己的環(huán)境里設(shè)置對(duì)象特權(quán)的權(quán)力；禁止用戶刪除在共享目錄下

7、其它用戶的文件；可以通過(guò)制定的策略控制用戶對(duì)于系統(tǒng)中所有對(duì)象的訪問(wèn)；5）6）用戶不能檢查授予其它用戶的訪問(wèn)控制權(quán)限；要能夠提供強(qiáng)制性的訪問(wèn)控制不相容崗位分離控制信息系統(tǒng)開(kāi)發(fā)人員不得操作使用信息系統(tǒng)， 系統(tǒng)管理與維護(hù)人員不得操作使用信息系統(tǒng)。系統(tǒng)維護(hù)及機(jī)房管理（ 機(jī)房管理制度）外來(lái)人員對(duì)硬件系統(tǒng)維護(hù)時(shí)，須填寫(xiě)外來(lái)人員進(jìn)入機(jī)房審批表 ，經(jīng)信息管理部門(mén)經(jīng)理簽字批準(zhǔn)后方可；當(dāng)外來(lái)人員對(duì)軟件系統(tǒng)進(jìn)行維護(hù)時(shí)，須填寫(xiě)應(yīng)用軟件維護(hù)表，經(jīng)系統(tǒng)使用部門(mén)（單位）負(fù)責(zé)人和信息管理部門(mén)經(jīng)理簽字批準(zhǔn)后方可。機(jī)房所有工作人員須經(jīng)信息管理部門(mén)經(jīng)理授權(quán)并憑門(mén)禁卡進(jìn)出機(jī)房， 外來(lái)人員進(jìn)入機(jī)房統(tǒng)一由信息管理部專人陪同，陪同人員全面

8、負(fù)責(zé)外來(lái)人員的行為安全，并做好安全防范工作。進(jìn)出機(jī)房工作人員的授權(quán)定期（季度）由信息管理部門(mén)經(jīng)理進(jìn)行復(fù)核并做記錄。機(jī)房管理人員應(yīng)熟知機(jī)房?jī)?nèi)設(shè)備的基本安全操作規(guī)程。 不定期對(duì)運(yùn)行設(shè)備進(jìn)行測(cè)試和保養(yǎng)，由專人負(fù)責(zé)機(jī)房?jī)?nèi)設(shè)備的保養(yǎng)和備品、配件、資料、盤(pán)片等的保管，并登記 造冊(cè)，保證備用設(shè)備完好，可供隨時(shí)投入使用。機(jī)房設(shè)備損壞應(yīng)立即投入備用設(shè)備，并 匯報(bào)領(lǐng)導(dǎo)，及時(shí)聯(lián)系修復(fù)，做好檢修記錄。機(jī)房工作人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作和知識(shí)，了解機(jī)房?jī)?nèi)部的供電、用電設(shè)施的操作規(guī)程。在外部供電系統(tǒng)停電時(shí)，機(jī)房工作 人員應(yīng)做好停電應(yīng)急工作。機(jī)房工作人員應(yīng)熟悉機(jī)房?jī)?nèi)部消防安全操作和規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急

9、處理步驟、措施和要領(lǐng)。不定期進(jìn)行消防演習(xí)、消防常識(shí)培訓(xùn)、消防設(shè)備使 用培訓(xùn)。如發(fā)現(xiàn)消防安全隱患，應(yīng)即時(shí)采取措施解決，不能解決的應(yīng)及時(shí)向相關(guān)負(fù)責(zé)人 員提出解決。防網(wǎng)絡(luò)攻擊和防病毒管理由信息管理部統(tǒng)一管理 網(wǎng)絡(luò)運(yùn)行維護(hù)人員在發(fā)現(xiàn)可疑網(wǎng)絡(luò)攻擊和入侵跡象時(shí)，必須盡快處理并記錄，在必要時(shí)請(qǐng)示主管部門(mén)領(lǐng)導(dǎo)，組織技術(shù)力量進(jìn)行處理：1）分析判斷：對(duì)可疑攻擊和入侵行為進(jìn)行必要的觀察與分析，以判別是否屬于共計(jì)或入侵行為。2）入侵或攻擊的中止：經(jīng)過(guò)分析，在必要時(shí)，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)連接，將遭受攻擊的網(wǎng)段隔離出來(lái)。采取有效措施，終止對(duì)系統(tǒng)的破壞行為。3）記錄和備份：記錄發(fā)現(xiàn)網(wǎng)絡(luò)入侵或攻擊的當(dāng)前時(shí)間，備份系統(tǒng)日志以及其它網(wǎng)

10、絡(luò)安全相關(guān)的重要文件，保存內(nèi)存中的進(jìn)程列表和網(wǎng)絡(luò)連接狀態(tài)，并且打開(kāi)進(jìn)程記錄 功能。4）如果系統(tǒng)受到嚴(yán)重破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，立即調(diào)用備件恢復(fù)系統(tǒng)。5）對(duì)該入侵或攻擊行為進(jìn)行大量的日志、分析工作。同時(shí)竭盡全力地判斷尋找攻擊源。7）將入侵的詳細(xì)情況逐級(jí)向主管領(lǐng)導(dǎo)和有關(guān)主管部門(mén)匯報(bào)并請(qǐng)示處理辦法。各使用人或部門(mén)應(yīng)采用信息管理部批準(zhǔn)的查毒、殺毒軟件，包括服務(wù)器和客戶端的查毒、殺毒軟件。禁止使用來(lái)歷不明、 未經(jīng)殺毒的軟件，不閱讀和下載來(lái)歷不明的電子郵件或文件，嚴(yán)格控制并阻斷計(jì)算機(jī)病毒的來(lái)源。經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)檢測(cè)確認(rèn)無(wú)病毒后方可使用。網(wǎng)絡(luò)管理員應(yīng)至少每周一次自動(dòng)的全系統(tǒng)病毒掃描， 每

11、天定時(shí)自動(dòng)檢查更新病毒 定義文件，對(duì)于發(fā)現(xiàn)的病毒則要有相關(guān)信息提示自動(dòng)的發(fā)送到相關(guān)管理人員處。信息管理部門(mén)應(yīng)利用操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)提供的安全機(jī)制，設(shè)置參數(shù)，保證系統(tǒng)訪問(wèn)安全。信息管理部負(fù)責(zé)日常網(wǎng)絡(luò)與硬件的監(jiān)控。 通過(guò)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)鏈路帶寬做實(shí)時(shí)監(jiān)控，并在需要時(shí)做相應(yīng)的調(diào)整。對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備做活躍性測(cè)試監(jiān)控，主要是針 對(duì)設(shè)備的網(wǎng)絡(luò)活動(dòng)，系統(tǒng)的應(yīng)用服務(wù)做監(jiān)控。外部網(wǎng)絡(luò)的訪問(wèn)必須要通過(guò)防火墻，制定 相關(guān)防火墻安全策略及防火墻配置標(biāo)準(zhǔn)。系統(tǒng)終結(jié) 信息系統(tǒng)因各種原因不再使用時(shí)， 信息管理部負(fù)責(zé)做好系統(tǒng)中有價(jià)值或涉密信息的銷毀、轉(zhuǎn)移，并按國(guó)家有關(guān)法律法規(guī)和電子檔案的管理規(guī)定，妥善保管。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估 信息管理部門(mén)經(jīng)理應(yīng)每月組織開(kāi)展信息系統(tǒng)安全評(píng)估工作， 及時(shí)發(fā)現(xiàn)系統(tǒng)安