信息系統(tǒng)管理企業(yè)標(biāo)準(zhǔn)1 總則本手冊規(guī)定了信息規(guī)劃、信息系統(tǒng)開發(fā)與維護(hù)、信息硬件管理、信息系統(tǒng)推廣與應(yīng)用、信息安全管理活動中各職能、各層次的工作流程和管理要求，旨在通過規(guī)范企業(yè)信息化建設(shè)與應(yīng)用管理中的工作流程，建立信息化管理體系，規(guī)范企業(yè)管理體系標(biāo)準(zhǔn)的執(zhí)行，固化公司主要業(yè)務(wù)管理流程，動態(tài)采集與分析各類生產(chǎn)管理與資源配置的信息，支持企業(yè)從公司到項(xiàng)目部的集成化管理，達(dá)到提升公司決策與管控的能力。本手冊適用于公司及項(xiàng)目部對信息化建設(shè)與應(yīng)用的管理。2 引用文件中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定、中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例、中國計算機(jī)（CERNET）網(wǎng)用戶守則國家有關(guān)法律；3 術(shù)語3.1信息：是經(jīng)過提練、篩選、分析和處理后的數(shù)據(jù)，數(shù)據(jù)是以紙、磁、光、生物等介質(zhì)呈現(xiàn)的數(shù)字、文字、表格、圖形和音像，具有真實(shí)性、時效性和系統(tǒng)性。3.2 信息安全：是指信息在采集、形成、存儲、流轉(zhuǎn)、使用和維護(hù)過程中，通過采取技術(shù)手段及有效管理措施，讓信息資產(chǎn)免遭泄密、丟失、破壞等威脅，或者將威脅帶來的后果降到最低程度，以此維護(hù)公司信息系統(tǒng)的正常運(yùn)作。3.3安全策略：描述一個組織高層的安全目標(biāo)，它描述應(yīng)該做什么，確立目標(biāo)并設(shè)定相關(guān)責(zé)任。是一個組織實(shí)現(xiàn)安全管理和技術(shù)措施的前提，是 “計算機(jī)安全決策的文檔”。3.4 綜合管理系統(tǒng)軟件：在規(guī)范業(yè)務(wù)流程及優(yōu)化管理模式的前提下，建立網(wǎng)絡(luò)化的各企業(yè)管理系統(tǒng)。如：人事管理、設(shè)備管理、合同管理、OA辦公、知識系統(tǒng)等。3.5專業(yè)系統(tǒng)軟件：是以提高設(shè)計、施工等業(yè)務(wù)質(zhì)量和工作效率為目的，與實(shí)際業(yè)務(wù)特點(diǎn)和技術(shù)條件密切關(guān)聯(lián)的軟件系統(tǒng)。如工程造價、三維計算等軟件。4 職能定位管理層面職能定位本部1. 信息化規(guī)劃制定公司信息化建設(shè)規(guī)劃，并宣貫、監(jiān)督及組織實(shí)施。2. 信息化硬件管理1、規(guī)劃公司信息化網(wǎng)絡(luò)基礎(chǔ)設(shè)施及硬件投入；2、組建并管理公司網(wǎng)絡(luò)，配置與管理總部硬件設(shè)備，指導(dǎo)項(xiàng)目部信息化硬件管理。3. 信息系統(tǒng)開發(fā)與維護(hù)采購、研發(fā)與管理公司綜合管理軟件、通用軟件及專業(yè)軟件。4. 信息系統(tǒng)推廣與應(yīng)用1、 負(fù)責(zé)公司研發(fā)與引進(jìn)軟件、網(wǎng)絡(luò)技術(shù)支持與管理；2、 組織信息化技術(shù)與系統(tǒng)操作培訓(xùn)；3、 制訂信息系統(tǒng)管理規(guī)定及運(yùn)行規(guī)則及監(jiān)督實(shí)施。l 信息安全管理1、制定并實(shí)施公司信息化系統(tǒng)安全策略；2、制訂并宣貫保密信息管理規(guī)定，實(shí)施信息安全教育；3、評估及優(yōu)化信息化安全管理體系。項(xiàng)目部5. 信息規(guī)劃反饋信息化需求；參與規(guī)劃實(shí)施。6. 信息硬件管理組建項(xiàng)目部網(wǎng)絡(luò)，配置與管理項(xiàng)目部的信息化設(shè)備。7. 信息系統(tǒng)開發(fā)與維護(hù)負(fù)責(zé)項(xiàng)目部個性化軟件的引進(jìn)與維護(hù)。8. 信息系統(tǒng)推廣與應(yīng)用1、 按要求運(yùn)行各應(yīng)用系統(tǒng)；2、 向公司反饋系統(tǒng)問題。l 信息安全管理執(zhí)行安全管理制度和安全策略。5 管理內(nèi)容5.1 信息化規(guī)劃執(zhí)行企業(yè)戰(zhàn)略管理手冊中的“信息化子規(guī)劃”章節(jié)要求。5.2信息硬件管理5.2.1 網(wǎng)絡(luò)構(gòu)建管理工作流程管理要求序號活動責(zé)任部門控制要求相關(guān)流程1網(wǎng)絡(luò)構(gòu)建需求總經(jīng)理工作部1.公司總經(jīng)理工作部負(fù)責(zé)公司總部入駐新辦公樓或辦公樓網(wǎng)絡(luò)改造時網(wǎng)絡(luò)構(gòu)建需求的分析；2.新成立的項(xiàng)目部，必須構(gòu)建項(xiàng)目局域網(wǎng)，并向總經(jīng)理工作部提出網(wǎng)絡(luò)構(gòu)建需求。需求包括機(jī)構(gòu)所在地、單位總?cè)藬?shù)、網(wǎng)絡(luò)要達(dá)到的基本功能。2方案策劃公司/項(xiàng)目部1.公司總經(jīng)理工作部負(fù)責(zé)公司總部局域網(wǎng)和公司廣域網(wǎng)的構(gòu)建方案策劃與編制；2. 項(xiàng)目部負(fù)責(zé)參照公司方案，項(xiàng)目部策劃與編制局域網(wǎng)和項(xiàng)目部廣域網(wǎng)的構(gòu)建方案，報公司總經(jīng)理工作部備案；3審批公司/項(xiàng)目部負(fù)責(zé)對網(wǎng)絡(luò)構(gòu)建方案進(jìn)行審核、批準(zhǔn)。4招議標(biāo)流程總經(jīng)理工作部1.公司總經(jīng)理工作部負(fù)責(zé)組織公司總部局域網(wǎng)和公司廣域網(wǎng)構(gòu)建招議標(biāo)工作，招議標(biāo)過程控制參照執(zhí)行公司合同部招議標(biāo)流程，財務(wù)部、物質(zhì)部等部門參與招議標(biāo)；2. 總經(jīng)理工作部負(fù)責(zé)指導(dǎo)和配合新設(shè)立的常建制下級機(jī)構(gòu)和新成立的項(xiàng)目部編制招議標(biāo)文件，指導(dǎo)或直接參與招議標(biāo)工作；3.確定合作伙伴和項(xiàng)目總造價。招議標(biāo)流程5簽訂合同總經(jīng)理工作部洽談并簽訂合同。6組織或監(jiān)督項(xiàng)目實(shí)施總經(jīng)理工作部1.公司總經(jīng)理工作部負(fù)責(zé)組織公司總部局域網(wǎng)和公司廣域網(wǎng)項(xiàng)目的實(shí)施；2. 項(xiàng)目部負(fù)責(zé)組織本部局域網(wǎng)和廣域網(wǎng)項(xiàng)目的實(shí)施；7網(wǎng)絡(luò)工程項(xiàng)目驗(yàn)收總經(jīng)理工作部/項(xiàng)目部1.公司總經(jīng)理工作部負(fù)責(zé)按合同文件組織本公司本部局域網(wǎng)和項(xiàng)目部廣域網(wǎng)項(xiàng)目的驗(yàn)收；2. 總經(jīng)理工作部負(fù)責(zé)指導(dǎo)或直接組織新成立項(xiàng)目部按合同文件對局域網(wǎng)項(xiàng)目驗(yàn)收；4.驗(yàn)收時填寫驗(yàn)收合格報告。8規(guī)劃網(wǎng)絡(luò)端口接入總經(jīng)理工作部1.公司總經(jīng)理工作部負(fù)責(zé)組織公司總部局域網(wǎng)和公司廣域網(wǎng)項(xiàng)目的端口接入；2.負(fù)責(zé)指導(dǎo)或直接組織新成立項(xiàng)目部的局域網(wǎng)項(xiàng)目的端口接入；9付款財務(wù)部財務(wù)部按合同要求付款。10培訓(xùn)總經(jīng)理工作部公司及項(xiàng)目部負(fù)責(zé)向合作方提出培訓(xùn)要求和實(shí)施方案，實(shí)施方案包括培訓(xùn)教材、時間、授課教師及授課方式，由合作方向管理和使用網(wǎng)絡(luò)的相關(guān)人員進(jìn)行培訓(xùn)。5.2.2硬件采購與配置執(zhí)行公司辦公設(shè)施、設(shè)備、用品管理流程5.3信息系統(tǒng)開發(fā)與維護(hù)5.3.1系統(tǒng)立項(xiàng) 工作流程管理要求序號活動責(zé)任部門控制要求相關(guān)流程1立項(xiàng)申請總經(jīng)理工作部1.公司總經(jīng)理工作部根據(jù)管理和業(yè)務(wù)的需要，提出引進(jìn)或開發(fā)軟件系統(tǒng)的立項(xiàng)申請；2.項(xiàng)目部提出系統(tǒng)立項(xiàng)申請；3.立項(xiàng)申請包括：項(xiàng)目名稱、項(xiàng)目意義、應(yīng)用范圍和功能要求等； 2領(lǐng)導(dǎo)審批分管領(lǐng)導(dǎo)公司自行研發(fā)或引進(jìn)的系統(tǒng)申請報公司分管領(lǐng)導(dǎo)審批后實(shí)施3分析需求總經(jīng)理工作部1. 對提交的申請報告進(jìn)行廣泛調(diào)研，作進(jìn)一步的需求分析2. 需求分析應(yīng)包括項(xiàng)目名稱、項(xiàng)目功能、應(yīng)用范圍、可行性分析等。5審批分管領(lǐng)導(dǎo)組審批通過后，正式立項(xiàng)。6系統(tǒng)引進(jìn)1市場調(diào)研：對需引進(jìn)的軟件進(jìn)行市場調(diào)研，分析產(chǎn)品的功能及質(zhì)量，分析供方的信譽(yù)、價格和服務(wù),總經(jīng)理工作部指導(dǎo)與配合2簽訂合同：根據(jù)軟件的數(shù)量、費(fèi)用和市場條件，選擇招標(biāo)或議價3購買驗(yàn)收：使用部門按軟件功能說明書對軟件質(zhì)量和功能進(jìn)行驗(yàn)收7系統(tǒng)開發(fā)1確認(rèn)需求：分析并提出信息系統(tǒng)功能需求，組織相關(guān)部門研究系統(tǒng)功能需求，形成系統(tǒng)功能需求報告，報告包括：系統(tǒng)功能模塊、業(yè)務(wù)流程圖、輸入及輸出信息（圖、表、聲、像）、信息查詢方式等；將系統(tǒng)功能需求報告提交到信息化領(lǐng)導(dǎo)小組審核，通過后向信息管理部門的信息化技術(shù)人員進(jìn)行需求交底；2系統(tǒng)策劃組織信息化專業(yè)人員將系統(tǒng)功能需求報告轉(zhuǎn)化為信息化語言，分析與研究系統(tǒng)設(shè)計詳細(xì)需求，形成系統(tǒng)開發(fā)設(shè)計概要說明書,并向開發(fā)人員交底。3系統(tǒng)開發(fā)通過組織招議標(biāo)或其它方式選擇聯(lián)合開發(fā)伙伴；洽談合同，草擬合同并送合同管理部門進(jìn)行合同評審?fù)ㄟ^后，正式簽訂合同；組織開發(fā)商進(jìn)行系統(tǒng)詳細(xì)設(shè)計，第一步提交界面設(shè)計并組織討論；第二步參與系統(tǒng)數(shù)據(jù)庫和原型的設(shè)計，組織業(yè)務(wù)部門審核確認(rèn)；4系統(tǒng)測試驗(yàn)收4.1過程測試階段性地要求開發(fā)商演示中間成果及進(jìn)行單元測試,及時糾正開發(fā)中的錯誤4.2完工驗(yàn)收/上線運(yùn)行監(jiān)督開發(fā)商自測自糾，確認(rèn)系統(tǒng)穩(wěn)定后，提交正式驗(yàn)收，對照系統(tǒng)功能需求報告進(jìn)行全方位的測評總經(jīng)理工作部負(fù)責(zé)部署系統(tǒng)的安裝調(diào)試、系統(tǒng)上線，負(fù)責(zé)組織指導(dǎo)和協(xié)助業(yè)務(wù)部門完成系統(tǒng)的初始化工作。收集運(yùn)行的問題予以確認(rèn)，并監(jiān)督開發(fā)商改進(jìn)。5.4信息系統(tǒng)推廣應(yīng)用；序號活動責(zé)任部門控制要求相關(guān)流程1信息化資源投入相關(guān)部門2.1公司負(fù)責(zé)總部信息中心設(shè)施與設(shè)備硬件的投入；負(fù)責(zé)公司信息化綜合管理軟件開發(fā)、引進(jìn)和推進(jìn)資金和人力資源的投入；2.2項(xiàng)目部負(fù)責(zé)項(xiàng)目管理信息化的應(yīng)用與維護(hù)的網(wǎng)絡(luò)及硬件、軟件費(fèi)用的投入；負(fù)責(zé)項(xiàng)目部局域網(wǎng)的暢通，局域網(wǎng)有專兼職的管理責(zé)任人；2信息化文化建設(shè)及宣貫相關(guān)部門公司及項(xiàng)目部，落實(shí)專兼職信息化人員，制訂相應(yīng)的規(guī)章制度，宣傳國家及上級的信息化管理規(guī)定，組織相關(guān)活動，促進(jìn)信息化工作推進(jìn)。3系統(tǒng)運(yùn)行規(guī)則相關(guān)業(yè)務(wù)部門1.運(yùn)行規(guī)則包括：明確機(jī)構(gòu)與職責(zé)，角色權(quán)限配置說明、信息上報時效、填報格式、編碼規(guī)則、安全保密規(guī)定、獎懲與考核，其它系統(tǒng)運(yùn)行管理要求等。2.總經(jīng)部負(fù)責(zé)綜合管理軟件整體運(yùn)行規(guī)則和公共子系統(tǒng)運(yùn)行規(guī)則的制訂與檢查；3.總部業(yè)務(wù)部門負(fù)責(zé)本業(yè)務(wù)子系統(tǒng)運(yùn)行規(guī)則的制訂、下達(dá)與檢查落實(shí)；4.各項(xiàng)目部負(fù)責(zé)依運(yùn)行規(guī)則使用各系統(tǒng)。4系統(tǒng)培訓(xùn)與指導(dǎo)信息管理部門及業(yè)務(wù)部門1. 總經(jīng)理工作部負(fù)責(zé)對信息化技術(shù)問題進(jìn)行指導(dǎo)與培訓(xùn)；2.總經(jīng)理工作部負(fù)責(zé)對所引進(jìn)的軟件，組織相關(guān)人員進(jìn)行培訓(xùn)；3.總經(jīng)理工作部負(fù)責(zé)組織信息化基礎(chǔ)應(yīng)用知識和工具性軟件的培訓(xùn)，提高員工操作技能。 7系統(tǒng)運(yùn)行（即信息的采集、維護(hù)與使用）相關(guān)業(yè)務(wù)部門1. 總經(jīng)理工作部負(fù)責(zé)公司機(jī)房數(shù)據(jù)庫信息的安全與維護(hù)；2. 總經(jīng)理工作部系統(tǒng)數(shù)據(jù)信息的備份與保存，負(fù)責(zé)營銷及人、財、物、知識等資源重要數(shù)據(jù)的采集、審核、安全與維護(hù)。3.各項(xiàng)目部負(fù)責(zé)項(xiàng)目施工生產(chǎn)現(xiàn)場信息的采集、保密與維護(hù)。5.5系統(tǒng)硬件管理；序號活動責(zé)任部門控制要求相關(guān)流程1專人專機(jī)各設(shè)備使用部門設(shè)備使用者，正確使用和保管設(shè)備，確保設(shè)備不丟失、不損壞，執(zhí)行辦公用品管理辦法。2機(jī)房及重大設(shè)備維護(hù)總經(jīng)理工作部1.機(jī)房管理執(zhí)行機(jī)房管理細(xì)則；2.每月底對系統(tǒng)和機(jī)房設(shè)施、設(shè)備按生產(chǎn)廠商提交的技術(shù)參數(shù)進(jìn)行一次全面檢查，排除服務(wù)器、不間斷電源、路由器、交換機(jī)、光纖、網(wǎng)線網(wǎng)點(diǎn)等網(wǎng)絡(luò)硬件的故障， 2.項(xiàng)目部參照總部標(biāo)準(zhǔn)執(zhí)行。3一般硬件設(shè)備故障維修使用部門1.專職人員對發(fā)現(xiàn)的故障設(shè)備進(jìn)行檢測；2.軟件問題由使用人員或技術(shù)人員自行處理；3.硬件問題由總經(jīng)部統(tǒng)一處理，建立維修臺帳。4耗材使用使用部門耗材的管理與使用執(zhí)行辦公用品管理辦法。5.6信息安全管理序號活動責(zé)任部門控制要求相關(guān)流程1風(fēng)險分析識別信息系統(tǒng)現(xiàn)有及潛在風(fēng)險，組織風(fēng)險評估，確定風(fēng)險危害程度，制訂相應(yīng)措施，分重點(diǎn)、次重點(diǎn)、一般予以控制。2企業(yè)信息安全管理規(guī)范對信息的采集、形成、存儲、流轉(zhuǎn)、使用與維護(hù)等整個信息處理活動以制度的方式在各自業(yè)務(wù)管理的層面進(jìn)行安全管理和控制。3安全策略總經(jīng)理工作部1.制定物理安全策略：包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。2. 制定網(wǎng)絡(luò)安全策略：包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別/認(rèn)證機(jī)制等。3. 制定數(shù)據(jù)加密策略：包括加密算法、適用范圍、密鑰交換和管理等。 4. 制定數(shù)據(jù)備份策略：包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲、備份周期、負(fù)責(zé)人等。 5. 制定病毒防護(hù)策略：包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定等。 6. 制定系統(tǒng)安全策略：包括WWW訪問策略、數(shù)據(jù)庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應(yīng)用服務(wù)器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其他業(yè)務(wù)相關(guān)系統(tǒng)安全策略等。 7. 制定身份認(rèn)證及授權(quán)策略：包括認(rèn)證及授權(quán)機(jī)制、方式、審計記錄等。 8.制定災(zāi)難恢復(fù)策略：包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等。 9.制定事故處理、緊急響應(yīng)策略：包括響應(yīng)小組、聯(lián)系方式、事故處理計劃、控制過程等。 10.制定安全教育策略：包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識教育等。 11.制定口令管理策略：包括口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等。 12.制定補(bǔ)丁管理策略：包括系統(tǒng)補(bǔ)丁的更新、測試、安裝等。 13.制定系統(tǒng)變更控制策略：包括設(shè)備、軟件配置、控制措施、數(shù)據(jù)變更管理、一致性管理等。 14.制定復(fù)查審計策