第十九章信息系统管理 1信息系统开发管理业务流程
一、
业务目标
1 满足国家法律、法规和企业内部规章制度的要求;
2 合理规划和实施信息系统建设,促进企业战略目标的实现;
3 提高信息系统的管理水平和技术水平,满足生产经营业务需求,提高企业综合竞争力。 二、
业务风险
1 系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;
2 信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;
3 信息系统管理存在漏洞,无法满足业务需求或给企业带来信息安全隐患,影响生产经营的顺利进行。 三、
业务范围
该流程主要描述了公司信息系统开发管理的相关流程,主要包括信息系统开发、技术支持、系统升级等项内容。 四、
业务流程描述及控制点
1 信息系统开发
1.1 公司成立信息化建设工作小组,党支部书记、经理为组长,其他高管为副组长,各部室、各站负责人为组员。
1.2 各业务部门根据管理需要向安全运营管理及信息化中心提出信息系统功能开发申请,填写关于xx的申请,安全运营管理及信息化中心提交信息化建设工作小组分析、论证,制定实施方案,安全运营管理及信息化中心组织信息系统开发。
1.3 安全运营管理及信息化中心广泛收集软件公司资料,对比分析企业需求及软件公司产品,采取公开招标形式确定软件公司及其产品功能模块。定标之后通知供应商签订外购合同,由财务部按照合同约定付款方式、付款金额进行付款。
1.4 配合软件公司开发系统软件。安全运营管理及信息化中心定期现场查看开发的进度、产品质量等情况,书面记录检查结果;发现问题,及时要求服务商整改,明确整改期限、责任人,并且对重大问题的整改情况检查验收。
1.5 在信息系统上线前,安全运营管理及信息化中心应协调需求部门、开发部
门做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划,确保信息系统的顺利上线实施。系统上线后,由安全运营管理及信息化中心部对系统进行验收测试,并记录测试结果。对于未能满足需求的部分,应要求开发人员进行完善。最终由安全运营管理及信息化中心组织需求部门及其他相关部门对信息系统进行验收,出具验收报告。
2 技术支持
安全运营管理及信息化中心负责与供应商技术人员保持联系,对运行中出现的问题进行沟通。遇到信息员不能解决的问题,供应商技术人员到现场解决。
3 信息系统升级、软件修改
3.1 信息系统需要升级的,严格按照审批程序执行,信息系统升级之后,调试、技术支持与信息系统验收流程一致。
3.2 在系统升级、软件修改前应作充分的准备,提出详细的升级(修改)目标、内容、方式、步骤和应急操作方案,要制定相应流程报有关领导和上级主管部门审核批准。一经批准,要坚持双人操作,按流程作业并在升级(修改)前后做好数据和软件备份工作。
3.3 当紧急情况需要修改或对软件进行升级时,应报有关领导和升级主管部门批准,升级或修改完毕后应提供详细的操作过程报上级主管部门留底。 五、
相关制度目录
无
六、 检查资料
无
2 信息系统运行与维护管理
一、
业务目标
1 规范信息系统数据管理,全方位实现信息系统数据的准确性、有效性、安全性。
2 建立规范的用户账号、密码及权限管理规定,防止越权等违规操作发生; 3 建立规范的机房管理措施,保证重要信息资料的安全以及机房工作环境清洁,满足硬件设备正常运营需要等。
4 形成视频监控系统的维护管理体系,提供有效的事件记录依据。 5 建立科学的网络安全管理措施,切实保障信息系统的安全运行。
6 建立应急事件响应机制,抑制影响和损失扩大化,确保日常办公不受影响。
二、 业务风险
1 信息化管理岗位人员配置缺失,人员专业技能低下,影响公司信息化技术发展。
2 信息系统数据库未定期备份,可能导致损坏后无法恢复,从而造成重大损失;
3 缺乏信息系统数据录入、修改、删除的规范性,导致系统数据失去真实性。 4 缺乏规范用户账号及权限管理的相关规定,导致越权操作等违规行为发生; 5 缺乏规范的机房管理措施,导致重要信息资料外泄以及机房工作环境杂乱,影响机器设备的正常运行;
6 缺乏视频监控系统的日常维护与保养,不能有效监控事件的发生。 7 没有建立网络安全管理措施或安全措施不到位,致使信息系统安全受到危险,可能泄露公司商业秘密;导致公司经济受损。
8 没有建立应急事件响应机制,当发生应急事件时缺乏科学应对策略,致使影响范围和损失的扩大。 三、
业务范围
该子流程主要描述了公司信息系统运行和维护的相关流程,主要包括用户账号及权限管理、网络安全管理、机房管理、系统数据维护与备份管理、系统数据修改管理、紧急事件处理等。 四、
业务流程描述及控制点
1 信息化管理机构设置
1.1 制定《信息化规范管理制度》。
1.2 根据信息化管理所属组织结构、管理职能、工作内容等情况制定信息化管理《岗位说明书》。
1.3 由信息化管理主管部门根据公司信息化发展状况、公司结构需求合理设立信息化管理岗位人员。区域管理公司设置至少1名信息化管理员,各站设置1名信息化管理员(全职或兼职)。
2 信息系统数据库维护与备份 2.1 制定《信息化管理规范制度》。
2.2 公司信息系统备份由安全运营管理及信息化中心授权的负责人专人管理,系统负责人要严格按照要求,逐条认真操作,实施数据库定期备份与定期恢复测试工作,以确保备份数据的安全可靠。对重要的数据应实施双备份并异地存放,确保
系统发生故障时能够快速恢复。
3 系统数据修改管理
3.1 制定《信息系统数据修改管理制度》。
3.2 系统用户操作时,因业务需要或因操作失误,通过系统前端特殊权限或后端对某项数据进行变更、删除时,数据经办人需发起系统数据修改审批流程。
3.3 信息化管理人员审批通过后的系统数据修改申请单内容与系统数据进行比对、分析,做出处理方式及处理意见。
3.4 系统操作用户对同类型数据频繁出现错误,将视情况对导致系统数据错误的操作用户进行经济处罚和调离工作岗位,以确保系统数据的严谨性。
4 用户账号和密码及权限管理 4.1 制定《信息系统权限管理制度》。
4.2 综合管理部以QQ或微信的形式将各部门、各站的人员调令拍照片发予信息化管理员,信息化管理员根据条令,修改、注销用户的基本信息,新增账号的,有账号使用部门填写权限申请表,由相关领导审批通过后,建立账号。系统负责人根据岗位不同为用户设置不同操作权限,应注意查看用户权限是否存在不相容权限。及时注销用户,以保证信息系统的正常运行。
4.3 信息系统负责人应定期(每季度)对系统中用户账号和权限进行梳理,以避免不当或非授权账号、权限。
4.4 用户的IP地址、用户账号和电子邮件账号等由安全运营管理及信息化中心授权使用,未经同意,用户不得擅自更改和转让IP地址、用户账号和电子邮件账号等。
5 机房管理
5.1 制定《机房管理制度》。
5.2 只有经过公司授权的人员或在被允许下和陪同下才能进出机房,严格执行密码管理规定,对操作密码定期更改。机房管理员每日对机房环境进行清洁,以保持机房整洁;每周进行一次大清扫,应定期对硬件设备进行清洁。
5.3 机房工作人员应恪守保密制度,不得擅自泄露公司各种信息资料与数据。对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等必须妥善存放。外来工作人员需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人配置临时权限查阅,并只能向其提供与其当前工作内容相关的数据或资料。
6 视频监控管理
6.1 制定《视频监控管理制度》。
6.2 各站负责本站视频监控系统、设备、布线的选型与供应商的接洽及系统的日常维护。各站自行组织监控系统使用人员与维修人员的操作培训。
6.3 站内维修人员负责视频监控线路日常的维修及恢复。
6.4 制定视频监控调取审批流程,未经安全运营管理及信息化中心批准,任何人不得随意调取监控内容。且未经公司允许,不得将监控内容随意向与监控内容不相关人员播放。
7 网络安全管理
7.1 制定《网络安全管理制度》
7.2 公司网络内计算机应安装公安部认证的防病毒软件、防黑客软件,并对软件定期升级。
7.3 公司网络内计算机严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。
7.4 公司网络采用防火墙技术,以防止局域网外用户非法侵入。对局域网内用户的出境访问采用授权方式,以控制非授权用户的局域网外访问。
7.5 涉及公司信息秘密的计算机,不得直接或间接地与互联网或局域网相连接,必须专机专用。
7.6 各使用人或部门应采用经公司批准的正版防病毒软件,并及时更新软件版本。未经许可,不得在服务器上安装新软件,若确实需要安装,安装前应进行病毒查杀检测。网络管理员定期进行全网病毒检测与查杀,发现病毒立即处理。
8 紧急事件处理
8.1 制定《信息系统应急预案管理制度》。
8.2 信息系统发生故障时,相关人员立即通知安全运营管理及信息化中心。安全运营管理及信息化中心应立即响应,并根据故障情况启动应急预案,并及时向上级领导报告,防止损失扩大。
8.3 安全运营管理及信息化中心应联合责任部门做好有关应急响应和处置的总结工作,对整个突发事件的响应、处置过程和应急救援能力进行全面评估,找出不足并明确改进方向,对应急预案的不足之处予以修订,提出具体措施,进一步完善和改进应急预案。 五、
相关制度目录
1 信息化管理规范制度
2 信息系统数据维护管理 3 系统数据修改管理 4 信息系统权限管理制度 5 机房管理制度 6 视频监控管理制度 7 网络安全管理 8 信息化应急预案管理 六、
检查资料
1 外网访问申请表
2 信息系统数据修改申请表 3 机房设备维护记录表 4 机房日常管理记录表
5 信息系统数据备份、恢复记录表 6 视频监控调取申请单 7 信息系统应急预案
因篇幅问题不能全部显示,请点此查看更多更全内容