SPV公司信息管理制度

信息管理制度第一條信息安全管理—、目的1、明確信息安全管理范圍及管理職責(zé)，使網(wǎng)絡(luò)安全管理規(guī)范化、制度化確保網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，確保網(wǎng)絡(luò)信息安全可靠。二、網(wǎng)絡(luò)及信息安全三、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)1、原則上網(wǎng)絡(luò)按功能和業(yè)務(wù)劃分為管理網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、訪客網(wǎng)絡(luò)網(wǎng)絡(luò)間須進(jìn)行隔離。2、管理網(wǎng)絡(luò)及VPN網(wǎng)絡(luò)須向集團(tuán)信息技術(shù)部申請(qǐng)IP地址段，集團(tuán)信息技術(shù)部分配后進(jìn)行架設(shè)部署。四、 網(wǎng)絡(luò)設(shè)備選擇及使用1、 設(shè)備需求及關(guān)鍵技術(shù)指標(biāo)由SPV公司提出，集團(tuán)信息技術(shù)部復(fù)核確認(rèn)后由集團(tuán)信息技術(shù)部統(tǒng)一進(jìn)行設(shè)備選型、比價(jià)、采購(gòu)，預(yù)算及費(fèi)用由SPV公司承擔(dān)。2、 基于強(qiáng)化安全管理的原因，網(wǎng)絡(luò)內(nèi)禁止使用個(gè)人/家用級(jí)設(shè)備，如：無(wú)線路由器、非網(wǎng)管交換機(jī)等。1、 入網(wǎng)設(shè)備必須關(guān)閉自動(dòng)向廠商提交信息的功能。2、 除訪客網(wǎng)絡(luò)外，無(wú)線網(wǎng)絡(luò)必須使用用戶識(shí)別方式進(jìn)行身份驗(yàn)證。五、 安全控制1、網(wǎng)絡(luò)間如需網(wǎng)絡(luò)間互相通訊的，管理員同意后經(jīng)過(guò)防火墻等安全設(shè)備過(guò)濾，以白名單方式對(duì)指定流量放行。2、 嚴(yán)禁設(shè)備廠家不經(jīng)批準(zhǔn)，通過(guò)技術(shù)手段對(duì)設(shè)備進(jìn)行遠(yuǎn)程控制/獲取數(shù)據(jù)/遠(yuǎn)程維護(hù)。六、管理維護(hù)1、 網(wǎng)絡(luò)建設(shè)完成后，SPV公司運(yùn)維人員須向集團(tuán)信息技術(shù)部提交相關(guān)驗(yàn)收資料。2、 每月進(jìn)行一次所有設(shè)備運(yùn)行配置備份，提交集團(tuán)信息技術(shù)部。3、 嚴(yán)禁泄露設(shè)備登錄密碼及各級(jí)操作密碼。七、病毒防治管理1、 嚴(yán)禁在生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)的計(jì)算機(jī)上安裝非集團(tuán)、SPV公司正式購(gòu)買的或未經(jīng)集團(tuán)、SPV公司書面批準(zhǔn)的任何軟件。2、 做好生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)的病毒查殺工作。必須按實(shí)際情況，安裝正版的殺毒軟件。定期更新病毒特征庫(kù)以及病毒掃描。3、 網(wǎng)內(nèi)各設(shè)備、計(jì)算機(jī)需定期安裝最新的安全更新/漏洞補(bǔ)丁，以降低安全風(fēng)險(xiǎn)。八、 數(shù)據(jù)備份還原1、 SPV公司對(duì)自建系統(tǒng)、文件共享服務(wù)器等每月至少進(jìn)行一次完整數(shù)據(jù)備份，所有備份保留時(shí)間由SPV公司自行定義。共用的集團(tuán)系統(tǒng)由集團(tuán)信息技術(shù)部進(jìn)行備份。2、 SPV公司自建系統(tǒng)每年至少進(jìn)行一次災(zāi)難還原演練，查漏補(bǔ)缺，以降低風(fēng)險(xiǎn)。九、信息保密（一）權(quán)限控制1、 遵循最低權(quán)限原則，避免給用戶過(guò)高的訪問(wèn)控制權(quán)限。2、 涉密數(shù)據(jù)控制訪問(wèn)人員數(shù)量，嚴(yán)禁多人共同使用同一賬號(hào)。（二）備份管理L備份數(shù)據(jù)不得與生產(chǎn)環(huán)境數(shù)據(jù)存放于同一介質(zhì)，防止出現(xiàn)因?yàn)榻橘|(zhì)故障、損壞、丟失等情況下發(fā)生數(shù)據(jù)丟失。2、備份數(shù)據(jù)由專人負(fù)責(zé)管理維護(hù)，避免非授權(quán)人員訪問(wèn)。（三）介質(zhì)管理L存儲(chǔ)過(guò)涉密數(shù)據(jù)的介質(zhì)在處理/廢棄之前，須確保原存儲(chǔ)的數(shù)據(jù)無(wú)法被還原。2、根據(jù)介質(zhì)類型選擇不同的處理方式，包括但不限于：覆寫、擦除、粉碎等。處理后須技術(shù)人員進(jìn)行二次確認(rèn)。十、信息安全檢查集團(tuán)信息技術(shù)部每年不定期對(duì)SPV公司的信息安全工作進(jìn)行抽查。檢查事項(xiàng)：1、 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；2、 設(shè)備運(yùn)行壓力及異常日志；3、 漏洞掃描分析。4、數(shù)據(jù)備份/還原。第二條軟件系統(tǒng)管理一、目的1、明確信息軟件系統(tǒng)管理范圍及管理職責(zé)，使軟件系統(tǒng)應(yīng)用規(guī)范化。2、確保軟件系統(tǒng)合理建設(shè)，軟件系統(tǒng)應(yīng)用管理規(guī)范。二、軟件系統(tǒng)管理(-)軟件需求管理1、業(yè)務(wù)需求部門通過(guò)”軟件需求申請(qǐng)表"向信息技術(shù)部提出業(yè)務(wù)需求，經(jīng)部門領(lǐng)導(dǎo)及集團(tuán)分管領(lǐng)導(dǎo)審批通過(guò)。信息技術(shù)部根據(jù)申請(qǐng)表與業(yè)務(wù)部門詳細(xì)溝通、了解業(yè)務(wù)需求，并判斷系統(tǒng)建設(shè)方式，轉(zhuǎn)入后續(xù)工作。2、”軟件需求申請(qǐng)表”用于說(shuō)明業(yè)務(wù)總體需求及立項(xiàng)審批，為更加準(zhǔn)確描述業(yè)務(wù)需求，可附帶附件、圖表等業(yè)務(wù)相關(guān)文檔。3、人力資源管理、財(cái)務(wù)管理、資產(chǎn)管理無(wú)特殊情況，必須使用集團(tuán)統(tǒng)一的或指定的信息系統(tǒng)。(_)軟件采購(gòu)管理1、當(dāng)系統(tǒng)建設(shè)方式確定為采購(gòu)時(shí)，應(yīng)由業(yè)務(wù)部門及信息技術(shù)部組成項(xiàng)目小組，指定業(yè)務(wù)需求負(fù)責(zé)人、系統(tǒng)需求負(fù)責(zé)人、系統(tǒng)技術(shù)負(fù)責(zé)人，負(fù)責(zé)評(píng)價(jià)供應(yīng)商軟件產(chǎn)品，支持采購(gòu)決策。2、業(yè)務(wù)部門可推薦備選供應(yīng)商、信息技術(shù)部從市面上廣泛了解供應(yīng)商備選,原則上至少有四家備選供應(yīng)商應(yīng)參與采購(gòu)競(jìng)標(biāo)。3、軟件采購(gòu)范圍不僅限于軟件產(chǎn)品首次購(gòu)買，也包含基于產(chǎn)品的定制開發(fā)以及產(chǎn)品升級(jí)和現(xiàn)有產(chǎn)品替換等凡是有第三方供應(yīng)商涉及的情況。三）軟件開發(fā)管理1、當(dāng)系統(tǒng)建設(shè)方案確定為自建時(shí)，應(yīng)由業(yè)務(wù)部門及信息技術(shù)部組成項(xiàng)目小組，指定業(yè)務(wù)需求負(fù)責(zé)人、系統(tǒng)需求負(fù)責(zé)人、系統(tǒng)技術(shù)負(fù)責(zé)人，支持系統(tǒng)開發(fā)按照業(yè)務(wù)需求要求進(jìn)行。（四） 實(shí)施推廣管理1、由業(yè)務(wù)部門及信息技術(shù)部門指定人員成立實(shí)施推廣小組。信息技術(shù)部負(fù)責(zé)實(shí)施推廣的整體工作，業(yè)務(wù)部門負(fù)責(zé)實(shí)施推廣中的業(yè)務(wù)決策建議。實(shí)施推廣小組需編制實(shí)施推廣計(jì)劃、實(shí)施系統(tǒng)配置及初始化。2、業(yè)務(wù)部門負(fù)責(zé)組織業(yè)務(wù)用戶參加系統(tǒng)操作培訓(xùn)，信息技術(shù)部門負(fù)責(zé)具體操作培訓(xùn)講解及疑問(wèn)解答,業(yè)務(wù)部門負(fù)責(zé)解答業(yè)務(wù)相關(guān)問(wèn)題。（五）運(yùn)營(yíng)維護(hù)管理1、 原則上每個(gè)SPV公司在系統(tǒng)中應(yīng)至少設(shè)立1名業(yè)務(wù)運(yùn)營(yíng)管理員，負(fù)責(zé)指導(dǎo)并處理業(yè)務(wù)人員提出的系統(tǒng)中與業(yè)務(wù)相關(guān)的問(wèn)題。2、 系統(tǒng)運(yùn)維分為系統(tǒng)權(quán)限開通/變更、審批流人員調(diào)整、審批流程調(diào)整、數(shù)據(jù)等其他內(nèi)容調(diào)整等。業(yè)務(wù)部門需填寫"系統(tǒng)運(yùn)維申請(qǐng)表”，并經(jīng)相關(guān)部門領(lǐng)導(dǎo)審批后，交于信息技術(shù)部予以備案并處理。軟件需求申請(qǐng)表1.業(yè)務(wù)需求信息2,申請(qǐng)部門申請(qǐng)人申請(qǐng)時(shí)間需求簡(jiǎn)述業(yè)務(wù)云項(xiàng)目負(fù)責(zé)人涉及系統(tǒng)云類型新功能改進(jìn)其他:云分析建設(shè)方式采購(gòu)自建說(shuō)明預(yù)算（米購(gòu)）工作量預(yù)估（自建）預(yù)期效果及風(fēng)險(xiǎn)3,需求審預(yù)算內(nèi)預(yù)算夕卜預(yù)算項(xiàng)本次金額預(yù)估需求總計(jì)（人天）說(shuō)明預(yù)算項(xiàng)金額開發(fā)測(cè)試實(shí)施業(yè)務(wù)部門負(fù)責(zé)人P審批意見:同意卜①rn不同意簽字：日期：信息部負(fù)責(zé)人批意見：同意y.r> nrt不同意簽字：日期：業(yè)務(wù)部門中心總裁-批意見：同意y.r> nrt不同意簽字：日期：CHO批意見：同意不同意 簽士 系統(tǒng)運(yùn)維申匸：3請(qǐng)表日期：

L2」審批流-人員調(diào)整:若申請(qǐng)人角色屬于項(xiàng)目部，簽批到部門負(fù)責(zé)人；若申請(qǐng)人角色屬于SPV公司，簽批到SPV公司總經(jīng)理；若申請(qǐng)人角色屬于SPV中心，