信息系统管理制度（专业15篇）

规章制度涵盖了组织内部的各个方面，包括工作流程、考勤制度、员工行为准则等等。规章制度是组织和社会发展的重要支撑和基础，需要大家共同维护和遵守。

信息系统安全管理制度

所谓计算机信息系统安全就是指在计算机信息系统运行的过程中其中的硬件系统、软件系统以及数据信息不会因各种因素的影响而受到破坏、篡改和泄露，能确保数据信息的稳定性和安全性。想要保证计算机信息系统安全不仅需要考虑技术安全措施，同时也要加强对相关负责人的安全教育和管理，制定相关的计算机信息系统安全管理制度。

随着信息化的发展，计算机信息系统对于社会的发展有着重要的作用，甚至成为关系到国家正常社会生活运转的关键性因素。计算机信息系统在社会生活的各个方面都会涉及到，如在运营管理、战略决策、医疗保障等领域中都会使用计算机信息系统，并且计算机信息系统对这些领域的影响也越来越大。信息系统中存储的数据既包括社会经济生活中的普通信息内容，同时也包括一些关系到经济发展、科技进步等机密性或敏感性信息内容。信息化时代的到来，使得人们对于计算机信息系统的依赖性变得越来越强，在这种情况下，一旦发生计算机信息系统安全问题就会影响到人们的正常生活，甚至会给社会经济发展带来不可挽回的损失。而近年来，一些有关计算机信息系统安全的问题又层出不穷。由此可见，进行计算机信息系统安全研究的重要性和必要性。

计算机信息系统安全的保护措施不是一成不变的，是随着计算机信息技术的变化而不断变化的，一般来说都是从两个角度进行计算机信息系统安全保护措施研究。一个就是要提前预防计算机信息系统安全问题，另一个就是当计算机信息系统安全问题发生后及时采取解决措施。在计算机信息系统安全领域研究比较早且研究成果比较先进的国家是美国，美国早在上世纪80年代就意识到计算机信息系统安全的重要性，并成立了专门的负责计算机信息系统安全的部门，随后又在此基础上不断发展和完善。计算机信息系统安全的保护措施包括下述几个方面：第一，就是要对实体和数据源进行鉴别；第二，就是对访问权限进行控制，不同的安全服务需要设置的访问控制不同，但基本的原理还是一样的；第三，就是要对数据进行保密处理。保密处理按照方式的不同也可以分成多种，如连接保密、通信信息流保密等；第四，要保证数据的完整性。确保计算机信息系统数据的完整性可以有效抵抗不安全行为，是一种主动防御的安全保护措施；第五，就是抗否性。所谓抗否性包括两点，一个就是发送数据的人不能否认发送过数据，另一个就是接收到数据的人不能否认接收过数据。

将本文的word文档下载到电脑，方便收藏和打印。

信息系统安全管理制度

计算机信息系统安全主要包括两方面的内容，一个就是系统的安全，要能为用户提供有效的服务。另一个就是信息安全保护，就要保证计算机信息系统中的数据的完整性、保密性以及可用性。确保计算机信息系统网络安全需要从下述几个方面入手，第一就是要采用物理安全策略，避免出现硬件系统问题以及非法访问和越权操作问题；第二就是要采用访问控制策略。首先，要对入网访问进行控制，这是对网络访问进行的第一层控制，要避免无访问权限的用户获取网络资源。可以通过用户身份验证、识别、核查等步骤来完成。其次，要对网络权限进行控制，将用户分成不同的类型，不同类型的用户具有的数据访问权限范围不同。再次，对网络用户进行监测。要对网络用户访问的情况进行完整的记录，如果发现非法访问的情况要立即采取自动锁定该用户的措施，避免造成更大的影响。最后，要建立防火墙和信息加密，避免网络入侵，同时对传输到网络上的数据进行加密保护。除了上述几种策略外，还包括使用入侵检测技术、数字签名技术、智能卡技术等等。

医院信息系统安全管理制度

1.为了加强医院信息系统的领导和管理，促进医院信息化工程的应用和发展，保障系统有序运行，制定本规则。

2.本规则所称的信息系统，是由计算机及其相关配套的设备、设施构成的，按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统（即现在医院建设和应用中的信息工程）。

3.医院信息系统管理是为了保障系统建设和应用，保障系统功能的正常发挥，保障运行环境和信息的安全，满足各工作站对系统操作和维护的全部活动。

4.各级各类医院根据本规则，结合医院不同的功能任务和医院信息系统规模大小，参照以下内容制定适宜于本医院的信息管理制度。

1.医院信息系统的组织管理机制是医院信息管理系统领导小组（简称领导小组）。

2.领导小组由下列人员组成：

组长：院长/业务副院长

成员：医务、护理、信息、经管、财务、药剂、计算机工程技术等人员。

3.领导小组的主要职能和任务：

（1）对医院信息系统建设和应用进行总体规划，审查和制定系统应用中有关人员职责、技术规范、工作流程、性能指标等工作规则和制度。

（2）加强对医院信息系统的组织领导、协调解决医院工程建设中和重大问题。

（3）审核、部署系统建设和应用中的重要活动，如规则计划，网络管理、系统配置、人员培训等。

4.医务部门领导在系统建设的应用过程中负责日常组织协调和管理工作。

5.信息管理部门负责人是系统建设和系统建设和系统应用的领导者和指挥者（简称系统负责人），应对所属人员实行分工负责。

6.信息管理部门工程技术人员全面负责系统规则、计划、系统配置、系统调试、系统维护、安全管理、人员培训等技术管理工作。

1.信息管理部门工程技术人员是信息系统技术管理的直接责任者，应以实现系统功能为目的，以满足用户需求为宗旨，对信息系统的操作和维护进行管理。

2.信息系统内各类设备的配置，由系统负责人提出配置规划和计划，报有关领导审批后实施。

3.每一子系统或挂接的可执行程序在上网运行前，信息工程技术人员必须严格按照功能要求在备用服务器上全面调试，达到功能要求且排除一切可能的数据冲突后交用户实际上网使用。

4.信息工程技术人员实行分工负责制。

5.管理部门各种设备由信息管理部门负责人管理或指定专人负责。

6.系统管理员或机房值班人员负责服务器的数据备份和日结工作。

7.信息系统管理员负责各工作站模块登录口令密码的设置并做好记录。工作站操作人员更换时，要立即做好口令的更改。

8.根据系统功能要求，系统负责人提出各子系统和模块的使用权限和使用分配方案，报请领导小组核准实施。

9.系统负责人管理全面技术工作和运行管理工作，出现技术问题或故障，应遵循《信息系统应急恢复工作制度》处理。

1.信息系统的安全管理包括：数据库安全管理和网络设备设施安全管理。

2.系统负责人和信息工程技术人员必须采取有效的方法和技术，防止网络系统数据或信息的丢失、破坏或失密。

3.利用用户名对其他用户进行使用模块的访问控制，以加强用户访问网上资源权限的管理和维护。

4.用户的访问权限由系统负责人提出，领导小组核准，应遵循《信息系统权限管理制度》处理。

5.系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令密码。

6.信息工程技术人员要主动对网络系统实行查询、监控，及时对故障进行有效的隔离、排除和恢复工作。

7.所有进入网络使用的软盘，必须经过网络中心负责人同意和检毒，未经检毒杀毒的软盘，绝对禁止上网使用。对造成“病毒”漫延的有关人员，应严格按照《医院信息系统安全保护制度》有关条款给予经济和行政处罚。

8.信息系统所有设备的配置、安装、调试必须由信息工程技术人员负责，其他人员不得随意拆卸和移动。

9.所有上网操作人员必须严格遵守计算机以及其他相关设备的操作规程，禁止其他人员在工作进行与系统操作无关的工作。

10.保持机房的清洁卫生，并做好防尘、防火、防水、防静电、防高压磁场、防低磁辐射等安全工作。

11.信息工作技术人员有权监督和制止一切违反安全管理的行为。

1.各工作站所有使用人员必须严格遵守《信息系统管理制度》、《医院信息系统安全保护制度》、《信息系统工作站录入人员管理制度》各工作操作规程以及有关信息管理制度。

2.严格按照计算机操作使用规程进行操作。操作中必须做到精力集中，细致认真、一丝不苟、快速准确，及时的完成各项录入工作。

3.经常保持各种网络设备、设施整洁干净，认真做好信息设备的日清月检，使网络设备始终处于良好的工作状态。

4.加强设备定位定人管理，未经信息工程技术人员允许，不得随意挪动、拆卸和外借所有计算机及相关网络设备、设施。

5.机房内严禁存放易燃、易爆、易腐蚀及强磁性物品；遇有临时停电及雷电天气，应采取保安措施，避免发生意外。

6.机房内不准吸烟、进食、会客、大声喧哗；严禁无关人员上机操作或进行其他影响网络正常运行的工作。

7.严格交接班制度，工作中遇到的问题要及时报告。

医院信息系统安全管理制度

为安全管理各种软硬件资源，提高医院所属各部门信息处理和业务运行的效率，最大限度预防和减少各种故障造成的业务中断时间，特制定本制度。

1.2、适用范围

本制度适用于全医院各部门。

3.1、it设备：包括计算机产品、网络设备、计算机外部设备等。

3.2、计算机产品：包括服务器、pc机、笔记本电脑等。

3.3、计算机硬件：包括光驱、软驱、刻录机、声卡、显卡、网卡、cpu、电源、内存、主板等。

3.4、网络设备：包括核心三层交换机、二层可管理交换机、二层普通交换机、硬件防火墙、路由器等。

3.5、信息：指与医院业务相关的所有电子资料档案、数据和报表。

3.6、网络：指医院的整个局域网络及internet接入端网络。

3.7、数据库：指医院各部门电子版信息、数据集合，如财务数据、业务数据、电子人事档案等。

3.8、网络安全：指预防网络遭受病毒、木马、黑客等攻击，通过网络泄密或其它影响网络安全的因素。

3.9、病毒：本制度中特指计算机病毒，是编制或在计算机程序中插入的破坏计算机功能或毁坏数据，并能自我复制的一组计算机指令或者程序代码。

3.1、信息人员

3.1.1、负责医院计算机及相关设备的安装、调试、日常维护与检修。

3.1.2、负责医院上网等相关涉及信息安全的权限管理工作。

3.1.3、负责定期、不定期检查各医院计算机安全、规范使用等情况。

3.1.4、负责医院计算机及相关设备的数据导出与日常安全备份工作。

3.1.5、负责主要设备数据库服务器、存储介质及其他设备的指导购买；

3.2、财务部

负责收取本制度中涉及的罚金，并对相关人员开具罚金收据。

3.3、各部门

3.3.1、负责对部门所使用的计算机及相关设备的使用及外观清洁。

3.3.2、负责报修本部门所使用的计算机及相关设备，并对维修结果进行确认。

3.3.3、负责全力支持信息部门对设备的维护、保养、升级和检查。

3.4、各部门负责人

3.4.1、负责审核所在部门成员相关软件系统用户使用权限开通的申请。

3.4.2、负责确认所在部门成员向信息部提出数据需求的申请。

4.1、信息设备维护与保养

4.1.1、信息设备日常维护与保养

（1）、信息设备硬件管理采取专人负责制，由具体使用人负责对计算机进行日常使用与管理。

（2）对于医院所使用的服务器和网络设备，由相应的信息人员负责日常检修与维护，以确保服务器和网络设备的稳定运行。

（3）计算机操作系统、常用软件由信息人员安装，特殊软件使用，必须提交申请，并通过本部门负责人及信息中心负责人审批后，交由信息中心工作人员安装，特殊应用还必须得到所属医院相关高管批准。

（4）计算机使用人要确保计算机硬件和系统软件的完整性，不得随意安装和删除系统软件，修改计算机配置。、（5）信息中心实行定期巡查机制，检查各个工作区域设备的使用情况，如发现计算机设备故障，立即采取措施解决。

（6）在上班时间内，使用人发现计算机故障后，应立即向信息人员报修以恢复正常使用。

4.2、医院网络使用

4.2.2互联网接入权限申请流程

（1）、申请人按要求填写《互联网接入权限申请表》(附件二)，并标明申请接入互联网原因。

（2）申请人部门负责人对《互联网接入权限申请表》进行审核后交信息人员并最终通过主管院长审核，如果申请人是部门负责人及以上，直接填写《计算机使用权限申请表》交主管院长审核。

（3）信息人员执行通过审核的《互联网接入权限申请表》的具体内容。

（4）信息人员将修改后信息反馈到申请人，无误后由信息人员将《互联网接入权限申请表》进行归档。

4.2.3、注意事项

（2）、接入互联网权限开通后，不得违反医院相关制度规定以及后续公布的各项管理规定，否则根据管理制度规定进行处罚。

4.3、信息设备硬件安全管理

4.3.1、病毒防范与处理

（1）所有客户端必须安装杀毒软件。

（2）对于内部网络上进行数据交换的设备和存储介质需由信息人员监督使用，防止病毒通过内部网络传播。

4.3.2、网络文件读取与下载

拥有上网权限的计算机，其使用人如从网上获取资料（如下载、接受邮件等）要严格杀毒，对于无法清除的病毒要及时通知信息部处理。

4.3.3、数据读取与存储要求

各计算机使用人如因工作需要使用存储介质（如软盘、u盘、光盘、移动硬盘等），使用前应先进行病毒扫描，如不确定是否含有病毒或木马等恶意程序，须经信息部确认安全后方能使用。

4.4服务器硬件管理

（1）对于信息机房的服务器，要求信息人员每天定时进行备份、监控和检查，确保服务器的`稳定运行。

相关操作人员发现服务器异常时应立即停止操作，并及时通知信息人员处理。

4.5、数据安全管理

4.5.1、数据备份

备份操作时尽量不影响服务器正常的业务处理，避开业务高峰时段。

（2）重要的数据库（his数据库）的备份，应同时备份到本地硬盘和异地硬盘上，并定期检查完整和安全性。

（3）、备份的数据必须指定专人负责保管；

计算机信息技术人员按规定的方法将数据备份后，应定期保留在稳定介质上，定期将备份介质在指定的数据保管室或指定的场所保管。

4.5.2、数据恢复步骤

（3）将备用服务器的操作系统口令、数据库用户及口令、数据库代理任务等相关内容与生产服务器保持一致。

4.5.2当数据服务器发生问题时，采用如下步骤恢复

（1）第一时间记录故障出现时间，以便于作恢复时点还原之用；

（2）将事务日志还原至故障出现时间的前10秒钟；

（3）还原成功以后，修改网络设置，让数据库可访问；

（4）根据正式服务器故障情况，迅速做出判断，最短时间修复正式服务器，在业务停止之后，再将备用服务器的相关内容恢复至正式服务器。

4.6应急预案

4.6.1机房必须配置相应功率的不间断电源系统，不间断电源应能提供大于6-8小时的后备供电能力。当发生断电时，不间断电源自动发电，工作人员应立即检查断电原因，处理故障。

4.6.2当发生网络故障时，检查核心交换机是否能正常工作，确认网络问题的原因，采取解决措施。

4.6.3目前数据服务器采取双机热备，当主业务服务器发生事故时，立即将业务系统切换至备份服务器上，切换过程控制在5分钟内。检查服务器故障原因，如果是硬盘故障，检查服务器raid，尽早更换坏的硬盘，让raid进入正常状态。

4.6.4当数据发生丢失时，通常是由于硬盘损坏又没有相应的数据冗余才会导致数据丢失，这种情况只能恢复时间最近的备份，丢失的部分要手工补齐。

4.6.5服务器软件故障，由于病毒导致不能开机或不能访问数据库，这种情况要重装操作系统和数据库系统。

4.6.6不同数据库同步问题，由于不同数据库应用的程序或接口程序出现故障，导致两个系统都不能正常工作，应立即停止业务系统，排除故障完毕后同时启用。

5.1、处罚细则

不得从事危害国家安全，医院安全、泄露医院秘密等活动。一经发现查证属实后，视情节严重程度进行警告处分；情节极其严重，导致医院重大经济损失或机密泄露者，将由责任人负责赔偿全部损失，并给予开除和追究法律责任。

（2）严禁擅自拆装医院计算机及相关设备。严禁私自更改、架设路由设备，私自动用网络设备、网线、交换机设备、重装系统、安装及卸载与工作无关计算机软件。一经发现查证属实后，初次给予警告。再次违反的，医院将给予500元/次的罚款。

（3）对于人为造成计算机及相关设备损坏的，由信息部评估损坏程度，由相关责任人照价赔偿。对于鼠标键盘等外围耗材设备，如果是新的，自使用当日起，1年内人为损坏，由责任人照价赔偿或购入等价相应商品，使用1年以后损坏的根据实际情况而定。

（4）部门负责人认真审核部门内的相关数据需求申请，如因个人审核不当，造成医院信息泄露的，一经发现查证属实后，视情节严重程度罚款200元/次。

（5）各计算机相关设备使用人要严格保守本人的相关密码，如因个人密码泄露，造成医院信息泄露的，一经发现查证属实后，视情节严重程度罚款200元/次；情节极其严重，导致医院重大经济损失或机密泄露者，将按法律程序追偿经济损失。

(6)、各部门需更换电脑使用责任人的，请到信息部登记备案（特别是有网络权限的电脑）。对于私自更换者，一经发现查证属实，将给予其部门负责人100元一次的罚款。

(7)、为保证医院各部门网络的正常运行和业务处理的高效性，医院将在工作时间对员工电脑进行随机抽查，发现下列行为之一者:

a.浏览与工作无关的娱乐性网页

b.大量下载占用带宽

首次给予警告，再次将通报批评，并罚款200元/次。

5.2、处罚程序

（1）信息人员在信息安全检查过程中，如发现处罚细则中涉及的行为，将直接发出《处罚通知单》至相关责任人。

（2）相关责任人接到信息部发出的《处罚通知单》之日起，三日内将罚金交至财务部，财务部根据《处罚通知单》出具相关收据。逾期未交者，财务部将报主管院长审批，并直接在当月工资中双倍扣除相关款项。

信息系统安全管理制度

导致计算机信息系统安全问题的原因有很多，这主要和计算机信息系统涉及到内容比较多有关系。现阶段，计算机信息系统安全问题变得愈加复杂，分析计算机信息系统安全问题的由来可以从下述五个方面进行。第一，就是计算机信息系统中使用了大量的商业产品。计算机信息系统的敏感性比较高，但商业产品是具有普遍性的产品，面向的是大众。为了满足大众对商业产品功能性的需要，必须要使商业产品具有多种多样的功能，并要对计算机环境具有很强的适应性，并不会将安全问题放在首要位置，这种现状就导致计算机信息系统的安全性受到影响，从而引发各种计算机信息系统安全问题；第二，就是计算机网络分布比较广，普及性比较高。计算机信息系统涉及到的范围比较广、内容比较多，这不仅会使得计算机信息系统的复杂性变得更加显著，同时还会出现难以对计算机信息系统的范围边界进行界定的问题。即使在计算机信息系统内部也不能完全保证数据的安全性，导致计算机信息系统安全问题的因素有很多，使得安全工作变得更加困难；第三，就是企业内部和外部以及国际间的交流过于频繁。这里所指的交流不仅指直接的交流，还包括利用网络技术进行的交流，同时还包括合法交流和非法交流。频繁的交流活动难以对计算机信息系统进行彻底的隔离，传统的信息安全保护措施也难以实施，从而使得计算机信息系统安全问题出现的频率不断升高；第四，就是受到利益的驱使故意进行违法犯罪活动。计算机信息系统中的信息很多都属于机密，关系到个人和企业的利益，但有些人受到利益的驱使，利用计算机信息系统中存在的漏洞盗取数据信息，还有人是故意出卖机密数据信息。这种事情在国内外都有发生，严重威胁了计算机信息系统的安全性；第五，就是受到信息时代发展的影响。在信息化时代，政治、经济、军事斗争的焦点是“信息权”，谁能最快掌握“信息权”，谁就能在斗争中处于不败之地。这种发展趋势的影响使得很多人不得不采取一些措施获得数据信息，这必然会对计算机信息系统的安全造成很大影响。

信息系统安全管理制度

按照国家保密相关法律法规和***、**和**等上级部门有关保密要求，****（以下简称***）开展了相关保密工作，现将情况汇报如下：

一、基本情况。

目前，中心日常办公台式计算机共有29台，其中涉及保密计算机4台（均未上网），上网计算机18台，未上网7台。笔记本计算机14台。

按照管理要求，由站网室和综合室负责计算机、网络方面的安全管理工作，制定相关保密规定和上网管理规定等规章制度，定期或不定期进行保密工作检查，对于保密计算机实行物理隔离措施，台式计算机分部门管理使用；笔记本计算机按照使用的用途进行分类管理，由站网室统一管理和维护，采取使用、归还登记制度。

为了加强保密和信息安全，中心还于底购置了硬件防火墙和网络安全防护软件，基本解决了网络攻击问题和病毒、木马骇客软件在局域网中的传播。

二、存在问题。

中心尽管从制度上不断提高管理要求，并加强硬件设备投入，但离全面实现信息安全监控和保障还有很大的差距。

（一）计算机、网络设备不足。

盘等移动介质传播木马、病毒的情况时有发生，尽管网络防护软件能及时发现并处理，但缺乏反扫描侦测方面的安全控制设备，潜在威胁很难发现，隐患依然存在。

（二）管理水平和人员素质有待提高。

由于计算机使用人较多，计算机又不是专人使用，经常造成系统损坏或运行不畅，给管理人员带来很多问题，而中心没有专门的'计算机专业人员，属于兼职工作，专业技术水平有限，管理水平和人员素质亟待提高。

（三）经费严重不足。

按照管理要求，中心计算机大多数应当实现内外网分离，但由于经费不足，每年按照预算仅能基本满足计算机的更新需要，谈不上补充完善和满足工作需要。在网络方面，每年防火墙和网络防护软件都面临着投入经费进行版本、病毒库更新的需要。

（四）保密软件和设备缺乏。

计算机硬盘出现毁损需要更换时，没有专用的消磁设备对硬盘进行处理。另外，按照管理要求，一些报告需要远程传输，但缺乏统一的专用加密软件，通过公网发送存在安全隐患。

三、下一步工作打算。

根据以上问题，我***计划在今后工作中加大计算机、网络安全方面的预算，同时安排有关的人员培训，购置有关设备和软件，希望得到**局和***的大力支持。

二oxx年三月二日。

三亿文库包含各类专业文献、中学教育、文学作品欣赏、行业资料、高等教育、生活休闲娱乐、各类资格考试、18计算机信息系统安全保密工作自查报告等内容。

信息系统管理制度

第一条对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须通过用户和密码认证方可访问。

第二条用户权限分为普通用户、维护用户与超级用户三个级别。普通用户为各应用系统的使用者，维护用户为各层面系统维护者，超级用户为各层面的管理员用户。

第三条具有重要权限的帐号密码设置必须符合以下安全要求:。

（一）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容。

（二）密码长度至少是六个字符，组成上必须包含大小写字母、数字、标点等不同的字符。

（三）如果数据库系统、应用系统提供了密码安全周期机制，则帐户密码必须至少每120天修改一次。

（四）同一密码不得被给定账户在一年内重复使用。

（五）如果数据库系统、应用系统提供了密码安全机制，则必须在30分钟之内连续出现5次无效的登录尝试，其账户必须锁定15分钟。在此期间，超级用户可以采用经过批准的备用验证机制重新启用账户。

（六）厂商默认密码必须在软件或硬件安装调试完毕后进行修改。

（七）对于操作系统，必须禁用guest帐户，并将管理员帐户重命名。

第四条密码保护与备份策略：

（一）范围：网络设备、服务器操作系统、数据库、应用系统、adsl帐户拨号信息；

（二）包含项目：网络设备包括访问的ip地址、端口，所有超级用户的用户名以及密码；

服务器操作系统的ip地址、所有管理员帐户名、密码；

数据库中所有具有系统数据库管理员权限的用户的用户名和密码；

应用系统中所有超级用户的用户名以及密码；帐户的用户名以及密码。

第二章网络安全管理。

第五条需要全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司it系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求，对网络安全状态进行持续监控，保存有关错误、故障和补救措施的记录。

第六条网络层次管理必须遵循以下要求：

（一）应用系统所有者相关部门必须同集团信息管理部密切合作。

（二）必须编制并保留网络连接拓扑结构。

第七条网络管理员负责生产网络、办公网络的安全管理，网络管理员必须掌握网络管理和网络安全方面的知识。

第八条网络管理员必须使用安全工具或技术进行系统间的访问控制，并根据系统的安全等级，相应的在系统的接入点部署防火墙等网络安全产品，保证网络安全。

第九条操作系统管理员由信息管理部领导指定专人担任。

（一）对操作系统登录帐号、权限、帐号持有人进行登记分配管理。

（二）制定并实施操作系统的备份和恢复计划。

（三）管理系统资源并根据实际需要提出系统变更、升级计划。

（四）监控系统运行状况，发现不良侵入立即采取措施制止。

（五）每1个月检查系统漏洞，根据实际需要提出版本升级计划，及时安装系统补丁，并记录。

（六）检查系统cpu、内存、文件系统空间的使用情况等。

（七）检查服务器端口的开放情况。

（八）每月分析系统日志和告警信息，根据分析结果提出解决方案。

第十一条在信息系统正式上线前，操作系统管理员必须删除操作系统中所有测试帐号，对操作系统中无关的默认帐号进行删除或禁用。

第十二条操作系统管理员与应用系统管理员不可兼职,当操作系统管理员变化时，必须及时更换管理员口令。操作系统管理员必须创建专门的操作系统维护帐号进行日常维护。

第十三条本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端时，必须退出操作系统。在操作系统设置上，操作系统管理员必须将操作系统帐号自动退出时间参数设置为10分钟以内。

第十四条操作系统管理员执行重要操作时，必须开启操作系统日志，对于一些系统无法自动记录的重要操作，由操作系统管理员将操作内容记录在《系统维护日志》上。

第四章数据安全管理。

第十五条数据库管理员由信息管理部领导根据工作需要指定专人担任。数据库管理员与应用系统管理员不能为同一个人，不可兼职。数据库管理员必须创建专门的服务支撑帐号进行日常服务支撑。

第十六条数据库管理员的职责：

（一）数据库用户注册管理及其相关安全管理。

（二）对数据库系统存储空间进行管理，根据实际需要提出扩容计划。对数据库系统性能进行分析、监测，优化数据库的性能。必要时进行数据库碎片整理、重建索引等。

（三）制定并实施数据库的备份及恢复计划，根据备份计划进行数据库数据和配置备份，并检查数据库备份是否成功。

（四）监测有关数据库的告警，检查并分析数据库系统日志，及时提出解决方案，并记录服务支撑日志。

（五）检查数据库对主机系统cpu、内存的占用情况。

第五章主机安全管理。

第十七条主机系统管理员由信息管理部领导指定专人负责，主机系统管理员与应用系统管理员不可兼职。主机的访问权限由主机系统管理员统一管理，并为系统应用人员分配与其工作相适应的权限。

第十八条主机系统管理员必须每日检查主机机房工作环境是否满足主机的工作条件，包括不间断电源、温度、湿度、洁净程度等。若主机机房的工作条件不能满足主机的工作要求，应及时向上级主管部门反映，提出改善主机机房的要求，以保障主机设备的安全。

第十九条主机系统管理员负责系统安全措施的设置，系统用户管理和授权，制定系统安全检查规则，实施对生产系统服务器的访问控制、日志监测、系统升级，防止非法入侵。

第六章终端安全管理。

第二十条各计算机终端用户不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动，不得私自调整网络参数配置。

第二十一条计算机终端设备为公司生产设备，不得私用，转让借出，除笔记本电脑外，其它设备严禁无故带出生产工作场所。

第二十二条计算机终端设备均应用于与公司办公生产相关的活动，不得安装与办公生产无关的软件和进行与办公生产无关的活动。

第二十三条所有计算机终端设备必须统一安装网络防病毒软件，接受公司防病毒服务器的统一管理，未经网络管理员同意，不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。对于特殊专业使用的终端设备必须安装适合的防病毒软件，符合防病毒安全管理规定。长期在外使用的计算机终端设备，必须及时升级操作系统补丁和防病毒软件。

第二十四条信息管理部采取必要的管理工具或手段，检查终端设备是否及时升级操作系统补丁、是否及时更新防病毒软件的病毒库信息。

第二十五条信息管理部定期组织检查办公用机器上是否安装或使用非办公软件及任何与工作无关的软件，定期检查是否访问反动、不良网站。

第二十六条各计算机终端用户负责自己所拥有的一切口令的保密，并根据密码管理的要求及时修改口令。不得将自己所拥有系统帐号转借他人使用。

第二十七条禁止在计算机终端上开放具有“写”权限的共享目录，如果确实必要，可临时开放，必须设置基于用户的共享，禁止将共享权限赋予“everyone”，在共享使用完之后应立刻取消。在下班时将自己使用的个人计算机关机。

第二十八条禁止在个人计算机操作系统分区或卷上存放重要数据，以及以软盘、移动存储设备、红外设备或手提电脑等形式将重要数据带出系统。如需要将移动存储设备连接到个人计算机，需征得信息管理部同意并进行病毒查杀后方可接入，未经同意使用u盘、移动硬盘等设备造成机器故障或网络故障的，根据情节，将提交领导进行行政处理或其它处罚。

第二十九条如因工作需要，需将非公司计算机或者笔记本电脑接入公司内部，必须经信息管理部同意并检查后，方可接入。

第七章病毒防治。

第三十条信息管理部应在信息系统的主机和终端上统一安装性能优良的防病毒软件，并及时对其进行更新。因硬件或操作系统比较生僻而无法安装防病毒软件的主机应注意升级系统补丁、关闭不使用的系统服务和配置相应的访问控制规则。

第三十一条网络管理员通过人工或者系统自动提醒的方式完成定期（每天一次）更新终端防毒软件内的病毒码。

第三十二条网络管理员必须了解最新的病毒信息和病毒动向，及时检查并下载杀毒防毒补丁。

第三十三条公司内部计算机终端用户必须启用防病毒产品的实时检测功能，任何主机系统和终端在加载任何软件或数据前，先对该软件或数据进行病毒检查。

第三十四条信息管理部网络管理员定期（至少每月一次）对系统中的程序或数据文件进行病毒检查，填写《病毒扫描记录》提交本部门主管领导审阅。

由于个人计算机系统漏洞或者误操作导致计算机感染病毒程序的，必须及时切断本机网络连接。在病毒发作时，必须进行相应的诊断、分析和记录，对于因计算机病毒而引起的重要信息系统瘫痪、程序和数据损坏等重大事故，及时报告信息管理部领导以及相关信息系统应用部门及时进行处理。

第八章机房安全管理。

第三十五条机房的电源系统、空调系统、门禁系统、消防系统的服务支撑以及对电源电压，地线、接地，环境温、湿度，各种电缆走线，清洁度，防静电，防霉，防虫害，防火，防水，防易燃、易爆品，防电磁波等方面都应当符合国家标准及国家和集团有关规定。

第三十六条信息管理部配合公司物业安全保卫部门对防火、防盗、防雷、应急出口、应急照明等系统定期检查，并记录检查结果。

第三十七条机房环境管理。

（一）机房附近不应有污染气体、强电磁场、强震动源、强噪声源及所有危害系统正常运行的因素。

（二）机房的洁净程度必须满足设备制造厂家要求的工作条件，地面要最大程度的达到整洁，机房门窗必须封闭。

（三）机房必须保持清洁，排列正规，布线整齐，仪表正常，工具到位，资料齐全，设备有序，使用方便。机房周围应保持清洁，凡路口、过道、门窗附近，不得堆放物品和杂物妨碍交通。

（四）机房内核心设备与服务器必须配备ups，至少保证断电情况下ups可对核心设备与服务器持续供电30分钟。

（五）必须严格遵守设备制造商有关设备保护的要求。

（六）信息管理部应监控及调节机房的环境条件，保证机房的温度在18---25摄氏度内。

（七）机房有足够的照明设备、通信设施和良好的防静电设施。

第三十八条用电防火安全管理。

（一）机房必须配备灭火装置等防火设施。

（二）严禁在机房使用与生产无关的各种电器，非电气人员不准装、修电气设备和线路，不准带电作业。

（三）加强机房施工监护，防止人为事故的发生，各种安装施工禁止使用ups电源，施工人员撤离现场后应关闭工具电源。

（四）机房内电器设备外壳要接地良好，高压操作时必须使用绝缘防护工具，并注意人身和设备安全。

（五）机房应设置灭火装置和安全防护用具，安放在指定位置，并有专人负责定期检查。维护人员必须熟悉一般的消防和安全操作方法。

（六）消防系统需要定期委托请公司消防部门进行检查验收。

（七）机房内严禁存放易燃易爆物品。严禁在机房内大面积使用化学溶剂。

（八）雷雨季节要加强对机房内部安全设备、地线及防护电路的检修。

第三十九条机房内部管理：

（一）机房管理实施安全责任人制度，信息管理部安排专人负责机房管理。

（二）机房管理人员应保持机房内整洁。

（三）机房管理人员不做与工作无关的事情。

（四）未经上级主管部门同意，任何人不得操作与自己不相关的设备。

（五）检修设备由相关人员进行，他人不得随意操作。需停设备检修时，应经设备主管部门领导批准方能进行。

信息系统管理制度

第一条为规范全院信息系统的运行维护管理工作，确保信息系统的安全可靠运行，切实提高效率和服务质量，使信息系统更好地服务于运营和管理，特制定本管理办法。

第二条运行维护管理的基本任务：

３、进行系统安全管理，保证信息系统的运行安全和信息的完整、准确；

４、在保证系统运行质量的情况下，提高维护效率，降低维护成本。

第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作，制定日常维护作业计划并认真执行，保证信息系统正常运行；对于系统的所有维护（包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加）都必须填写维护记录；负责所辖范围内信息系统数据的备份与恢复，负责落实系统安全运行措施；每年至少组织一次全行范围内的信息系统运维管理巡回检查，全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。

第五条系统出现故障，信息系统维护部门或维护人员首先进行处理，同时判断系统类型和故障级别，根据系统类型和故障级别，故障处理应在要求的时限内完成，并同时向院部报告。对无法解决的故障，应立即向软硬件最终提供商、代理商或维保服务商（以下简称厂商）提出技术支持申请，督促厂商安排技术支持，必要时进行跟踪处理，与厂商一起到现场进行解决。

第六条厂商技术人员现场处理故障时，当地维护人员应全程陪同并积极协助，并在故障解决后进行书面确认。

第七条参与故障处理的'各方必须如实、及时填写故障处理单，现场技术支持还须当地维护人员予以签字确认或维护部门盖章。

第八条建立重要紧急信息上报渠道，对于发生的重要紧急情况，应该立即逐级向院部主管领导报告，对业务影响较大的还应及时通知业务部门。

第九条信息系统维护管理部门负责技术档案和资料的管理，应建立健全必要的技术资料和原始记录等。

第十条软件资料管理应包含以下内容：

１、所有软件的介质、许可证、版本资料及补丁资料；

２、所有软件的安装手册、操作使用手册、应用开发手册等技术资料；

３、上述资料的变更记录。

第十一条无关人员未经管理维护人员的批准严禁进入机房。

第十二条机房内严禁吸烟、饮食、睡觉、闲谈等，严禁携带易燃易爆、腐蚀性等污染物和强磁物品及其它与机房工作无关的物品进入机房。

信息系统管理制度

一、为规范信息系统的运行维护管理工作，确保信息系统的安全可靠运行，切实提高生产效率和服务质量，使信息系统更好地服务于生产运营和管理，特制订本管理办法。

二、本管理办法适用于及其分支机构的信息系统，各分支机构和各部室可根据本办法制定相应的实施细则。

三、信息系统的维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分：

1.计算机硬件平台指计算机主机硬件及存储设备；

2.配套网络指保证信息系统相互通信和正常运行的网络组织，包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等。

3.基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件；

4.应用软件指运行于计算机系统之上，直接提供服务或业务的专用软件；

5.机房环境指保证计算机系统正常稳定运行的基础设施，包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。四、运行维护管理的基本任务：

3.进行系统安全管理，保证信息系统的运行安全和信息的完整、准确；

4.在保证系统运行质量的情况下，提高维护效率，降低维护成本。

5.本办法的解释和修改权属于信息化办公室。

一、运行维护组织。

1.信息系统的运行维护管理遵循在统一的领导下，分级管理和维护的模式。作为信息化办公室，牵头组织实施信息系统的维护管理工作。原则上信息系统的维护工作应逐步集中。

2.信息系统的维护管理分两个层面：管理层面和操作层面。在管理层面，信息化办公室，负责全处范围内信息系统的维护管理和考核。在操作层面，信息化办公室就是实体的维护部门（或维护人员）。信息化办公室直接对处信息化党政领导小组负责，并接受信息化党政领导小组的业务指导和日常管理。

3.信息化办公室应对工程处信息化建设制定技术规范、作业计划、应急预案，编制技术方案、培训教材等，各部室应积极配合。

二、信息化办公室运行维护职责。

（6）负责组织落实各项技术安全措施，确保信息系统安全稳定运行；

（8）负责全处范围内信息系统的规划、设计和验收工作。

2.信息化办公室维护职责。

（3）负责所辖范围内信息系统数据的备份与恢复，负责落实系统安全运行措施；

（4）负责所辖范围内信息系统档案资料的存档，及时更新有关资料；

（5）严格按照信息系统故障管理、问题管理、变更管理、版本管理和配置管理等相关制度、流程和规程。

（6）每年至少有一次全处范围内的信息系统运维管理巡回检查，全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。该检查可以和设备技术巡检同时进行。

（7）负责机关财务erp软件环境设置。

（8）负责对oa平台系统的各项工作管理：oa的数据的备份管理、各部门的oa平台上的工作流提供培训、维护等技术支持、oa系统不定期的升级与各功能的维护。

（9）协同各相关部门对工程处综合项目管理软件各项目部录入情况进行定期的检查并按文件评分汇总，最后按汇总对全处通报。

（10）保障工程处信息系统安全运行，防范计算机病毒与黑客的攻击。

（14）跟踪研究信息技术的发展，并根据相应发展制定工程处信息化系统及硬件升级计划，审核通过后，具体实施。

三、维护界面划分。

1.信息系统设备现场、物理环境的维护工作由所属机构的信息系统维护部门或维护人员负责。

3.信息化办公室负责全处信息系统的监控和维护工作（包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复），维护和更新相应操作规范和技术文档。

根据突发事件的类型等因素，将突发事件分为攻击类事件、故障类事件、灾害类事件三个类型。具体标准参见《工程处网络与信息安全应急预案》。

当系统出现突发事件时，信息化办公室维护人员应在第一时间根据事件类型，启动《工程处网络与信息安全应急预案》对事件进行处理并及时向上级领导和上级有关部门进行汇报。

二、信息系统故障解决要求。

信息系统出现无法进行本地解决的，应向上级领导及上级部。

1.门进行申告故障。对无法解决的故障，应立即向软硬件最终提供商、代理商或维保服务商（以下简称厂商）提出技术支持申请，督促厂商安排技术支持，必要时进行跟踪处理，与厂商一起到现场进行解决。

2.如果故障问题比较严重并牵扯到相关部室，在解决故障期间应给相关部室进行通知，提前做好备份工作。

3.厂商技术人员现场处理故障时，当地维护人员应全程陪同并积极协助，并在故障解决后进行书面确认。

4.故障解决后，维护人员应对故障的产生原因、解决方案填写详细记录，对以后如果出现类似问题可以有个参考方案。

5.对于系统隐患或暂时不能彻底解决的故障应纳入问题管理，每月应对存在的问题进行跟踪分析。

1.信息系统变更包括硬件扩容、冗余改造、软件升级、oa系统升级及模块更改、搬迁、数据维护等工作以及电子表格模板、文档模板、安全策略、部署的改变等。

2.信息化办公室应保证在线系统的软件版本及硬件设备的稳定，未经过审批通过的方案，不得自行对系统软件版本及硬件设备进行任何变更及调整。

3.变更包括紧急变更和普通变更。紧急变更指由于故障处理等的迫切需求而引起的，目的是保持或者恢复正常工程，无法进行书面请求和审批。普通变更指非紧急变更，例如综项评分表单的更改、oa系统模块的更改。对于普通变更，应有执行人员根据变更影响的范围和深度通知上级领导和相关部门，经审核同意后进行变更；变更前应制定相应的执行措施，如出现错误如何回退等情况。

4.原则上，变更必须在夜间非主要工作时间进行，维护人员可以在备用服务器上进行先期模拟变更，对变更中出现的问题，对其解决方案应有备案。

5.对于紧急变更需求，允许口头申请、审批后组织具体实施。事后，对变更的后的系统及硬件设备进行一定时间的测试，确认无误后，向上级领导进行汇报。并完成相关文档资料的更新工作。

四、维护作业计划管理。

1.信息化办公室应按工程处实际情况制订维护制度，保障工程处网络的正常使用。

2.维护制度要求在每次维护结束后填写维护记录，对维护中发现的问题及时记录并解决。出现重大问题的时候应及时上报有关领导和上级相关部门。

3.维护时间，原则上应在晚上或非工作时间进行。如果出现紧急情况应对受影响的部室通知后，进行解决。

4.数据备份、存储和管理应根据《软件与资料管理制度》制订作业实施步骤。

信息化办公室每年至少一次对全工程处范围信息系统相关的机房环境、计算机硬件、配套网络、基础软件和应用软件进行一次检查。信息系统的检查的具体实施：

1.制定技术检查计划，列出检查重点、内容、要求，形成固定检查表格；

2.收集设备运行故障和隐患。根据年度检查重点、内容，调查设备近期运行情况，统计出各类型设备在运行过程中曾出现的故障。对反馈的问题进行分析、评估，做好相应的技术准备；对一些需要厂家解决的问题列出清单，及时与厂家沟通，制定解决方案，以供检查过程中实施、解决。

3.检查完毕后应对本次检查填写详细记录和问题汇总。

4.组织相关人员对信息化检查中暴露的问题进行解决，牵扯到相关部门的，应与相关部门进行沟通后进行处理。

六、技术档案和资料管理。

1.信息化办公室负责技术档案和资料的管理，应建立健全必要的技术资料和原始记录，包括但不限于：

（2）机房平面图、设备布置图、ip地址分布图；

（3）网络连接图和相关配置资料；

（4）各类软硬件设备配置清单;。

（5）设备或系统使用手册、维护手册等资料；

（6）上述资料的变更资料。

2.软件资料管理应包含以下内容：

（1）所有软件的介质、许可证、版本资料及补丁资料；

（2）所有软件的安装手册、操作使用手册、应用开发手册等技术资料；

（3）上述资料的变更记录。

七、备份及日志管理。

1.原则上，应对各项操作均应进行日志记录，内容应包括操作人、操作时间和操作内容等详细信息。维护人员应定时对操作日志、安全日志进行审查，对异常事件及时跟进解决，并形成日志审查汇总意见报上级维护主管部门审核。安全日志应包括但不局限于以下内容：

（2）对于操作系统，包括系统管理员的所有操作记录、所有的登录日志；

（3）对于mysql数据库系统，包括mysql数据库登录、库表结构的变更记录。

2.信息化办公室应针对所维护系统，依据数据变动的频繁程度以及业务数据重要性制定备份计划，经过上级维护主管部门批准后组织实施。

3.备份数据应包括系统软件和数据、业务数据、操作日志。

4.维护人员应定期对备份日志进行检查，发现问题及时整改补救。

5.信息化办公室应按照实际维护工作相关要求，根据业务数据的性质，确定备份数据保存期限，应根据备份介质使用寿命至少每年进行一次恢复性测试，并记录测试结果。

具体措施参照《数据保密及数据备份》。

八、机房管理。

3.电源线和网线布放情况应顺直不凌乱，避免交叉混放，设备配置排放要求整齐清晰，设备连接线缆应顺直不凌乱。

4.原则上，机房面积不得小于15平方米。

5.机房应安装独立空调来保证机房温度、湿度，15平方米机房可采用普通空调。

6.机房内均应有经消防认证的消防设施，机房的消防采用二氧化碳灭火装置。

9.管理人员统一管理计算机及其相关设备，完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。

10.当机房的交流供电系统停止工作时，维护人员应立即向相关领导及部门报告并采取可靠措施尽快恢复；无法及时恢复的情况下，维护人员在计算ups蓄电池的工作电压降至最低前，应通过正常操作及时关机。

11.雷雨季节应加强对机房内部安全设备、地线、信号线及防护电路的检修。

具体措施参照《机房管理制度及布局图》。

1.信息安全应满足国家、集团和公司各级监管部门和关于信息安全保密的各项规定及要求。

3.若发生系统信息泄密事件，应及时向上级领导及有关部门进行汇报，并按照《工程处网络与信息安全应急预案》开展补救工作。

4.在外网设备上设定病毒与木马拦截，路由管理帐号禁止透漏给非信息管理人员，设定非工作需求的网络软件禁止联网，禁止非允许的网络设备、软件连接工程处信息系统。

5.设备管理和维护人员都应熟悉并严格遵守和执行信息安全保密相关规定。

信息系统管理制度

第一条为保证公司信息网络系统的安全，根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司内网络系统建设的实际情况，制定本办法。第二条本办法所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。

第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。

第四条本规定适用于公司内所有计算机硬件及周边设备（如打印机、扫瞄仪、mo存储器，软磁碟，cd碟，数码相机、考勤机终端等）及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。

第五条计算机系统账号与操作员代码。

二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得；

四、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有主管负责人授权；

五、信息部门任何人员不得使用他人操作代码进行业务操作；

七、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。

八、操作员不得使用或盗用他人代码进行业务操作。

九、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。

第六条密码与权限管理。

一、密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置应具有安全性、保密性，不能使用简单的代码和标记。

二、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，在可能的情况下并相应记记录用户名、修改时间、修改人等内容，及时上报公司信息中心备案。

三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖部门印章并签字标注封存日期后交由信息中心存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。

四、系统维护用户的密码应至少由两人共同设置、保管和使用。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记并备档留存。

第八条注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。

第九条任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

第十条数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，原则上数据恢复由公司信息中心完成。如因其他原因由业务部门进行的，信息中心心须指定相关人员进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

第十一条数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。

第十二条需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

第十三条非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。

第十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。

第十五条运行维护部门需指定专人负责计算机病毒的防范工作，建立企业内部计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

第十六条公司内所有计算机未经信息部允许不准安装与其业务部门无关的软件、不准使用来历不明的载体（包括软盘、光盘、移动硬、mp3盘其他存储介质）。

第十七条任何人员不得盗用他人账号或操作员代码、公司内部网络安全管理密码进行操作。

第十八条部门所使用计算机不得使用除集团军公司内及时通讯软件外的任何第三方软件。严禁在工作计算机上安装好bt、p2p等类型的多线程或占用带宽流量的下载软件，所有下载均采用单线程下载。保证公司的带宽有效利用。第十九条计算机内电子邮件收发均通过公司内部邮件系统进行，不得采用其他外部邮件系统，如因需要，可向信息中心申报后给予开通pos服务通道，并做备案。

第二十条公司各部门计算机均采用域管理方式进行登陆，在工作期间必须登陆公司域服务器，并严格按照域管理下的操作说明进行文档及其他相关文件的传递。

第二十一条防病毒系统均采用公司统一布署的企业网络防病毒系统，各部门计算机病毒代码均由公司防病毒服务器进行统一下载，不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。

第二十二条为保证公司internet的带宽流量，信息主管部门必须对访问internet权限进行管控，各部门若有访问外部internet公网其他特别需求的，可提出申请，经部门主管及信息部门审核，报经总经理批准后，使申请人享受访问internet的特别需求权力。未通过此程序审批而私自设定其他方法访问外部网络，一经发现，将做严责。如因此给公司带来损失的，责成责任人承担相应损失。

第二十三条进入信息主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作等内容。

第二十四条信息管理人员进入机房必须在“机房出入管理登记簿”签字登记，其他人员进入机房必须经信息中心许可，并由有关人员陪同（特殊情况除外）。机房当日值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经信息部门负责人批准同意后有关人员陪同情况下进行。对操作内容进行记录，由操作人和监督人签字后备案。中心机房实行严格的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。每天应实行机房例行检查制度，并就机房设备运行及其他情况做好值日记录。

第二十五条保持机房整齐清洁，各种中心设备按维护计划定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护、防雷、防尘等项工作，保证主机系统的平稳运行、定期对机房运行的各项环境指标（如温度、洁净度、温度上升率等）进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，保证机房各项设备的正常运行。

第二十六条机房内严禁吸烟、进食、会客、聊天等与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特别是易燃、易爆、有腐蚀等危险品进入机房。其他部门如因需要携入移动计算机入机房需报经信息部门批准方可携入。

第二十七条机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。

第二十八条严禁在未采取安全措施或通电的情况下拆卸，移动机房内等相关设备、部件及网络。在进行机房硬件更换或维修时，必须进行静电释放方可进行。

第二十九条定期检查机房消防设备器材，做做好检查登记，在机房值日记录上并做书面登记。

第三十条机房内不准随意丢弃存储介质和有关业务保密数据资料，对废弃存储介质和业务保密资料要及时销毁（碎纸），不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。

第三十一条服务器等所在的中心机房后备电源（ups）除了电池自动检测外，每年必须深充放电一次到两次。

第三十二条it设备购置。

一、所有it设备均由公司采供部进行采购。设备购置由使用部门提出申请，由信息部门进行核定后上报公司分管领导审批后转公司采供部统一采购。

二、对it设备的采购验收信息部配合采供部共同完成，验收合格后由信息部进行安装调试后配发申请使用部门。

三、信息部负责对购置的it设备做专项台账建立，并于年低转交一份至公司财务部备查。

四、大型it设备采购或特殊it设备采购，申请部门原则上提前一周向信息部转交购置申请，信息部在接到购置申请后必须进行询价，询价必须至少在三家以上，出具it设备购置市场调查及建议随附购置申请上报公司领导审批，审批后转公司采供部。

五、it设备耗材的采购，信息部配合办公室、财务部、企划部制定it设备耗材定额及费用核算后按核算标准采购。部门it设备耗材超出核算部分由部门自行承担。

六、对it设备的采购严格遵守公司的统一采购流程及管理规定，配合采供部完成it设备的采购及验收工作。

第三十三条it设备配发。

一、公司it设备的购置配发及调配由信息部进行统一规划和管理。

二、信息部依据公司年度工作计划，编制公司年度it设备采购及配发计划。

三、公司各部门因工作需要提出申请配发it设备的，由使用部门提出申请，具体载名使用岗位、用途后转信息部，由信息部按工作岗位、工作需要、性能要求等分配闲置it设备或购置。如需购置则转入it设备采购流程进行购置配发。

四、it设备的配发及互调必须由信息部备案，信息部及时进行it设备台账变更登记，注明配发及互调日期等相关事项。

第三十四条it设备故障维修。

一、信息部负责公司所有it设备的故障及维修。

二、信息部对公司的it设备故障做鉴定和维修，并出具鉴定结果，并对鉴定结果负责。

三、在接到部门的使用保障后，一般故障需在15分钟内赶到，影响。

到部门正常工作业务开展的，5分钟内必须赶到（特殊情况除外），重大故障（数据丢失、工作无法开展的）必须在接到报障后，报请信息部负责人，由信息部提出解决方案，依据方案进行处理，对重大故障信息部必须备案。四、对于一般故障和影响到部门工作业务开展的，必须在当天工作日内完成处理，超出工作日的原则上不算加班。对于重大故障必须及时维护及维修的，如超出工作时限部分按照实际情况酌情处理。

五、任何报障必须建立报障维修记录，并做保障事故签定。维修人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。

六、it设备硬件故障经信息部维修人员鉴定在其范围内无法维修的，如在三包范围内的，由信息部联系销售厂家进行维修。超出三包范围的，信息部填报外包维修申请单，由信息部负责人核准上报公司分管领导审批后交由外包维修单位进行维修。

七、it设备外包维修单位具体事宜由信息部进行洽谈并与其签定外包维修合同。合同交由法务部进行核准方可签定。

八、对于发往外包维修或三包范围内的设备维修信息部必须进行登记造册，注明产品型号、品牌、内部具体配置等信息。在维修返回后依据的出厂维修登记进行验收。

九、对于外包或三包范围内的it设备维修，为确保报障部门正常工作，信息部在不影响其他部门工作正常开展的情况下有权对it设备进行暂时调配。

十、企业it核心设备的硬件物理损坏故障鉴定必须由厂家及公司委托专业it设备鉴定机构完成，信息部负责全程跟踪，对最终鉴定结果负责。

十一、对于it硬件设备故障在鉴定后无维修价值的，转入it设备报废管理流程进行处理。

第三十五条it设备报废管理。

一、it设备的报废鉴定统一由信息部完成，特殊it设备（如服务器，磁带存储设备、核心路由器、核心交换机）的故障鉴定由厂家、公司委托第三方it设备鉴定机构、信息部共同完成。信息部对it设备的报废鉴定结果负责。二、信息部对it设备报废鉴定报告上报公司分管领导审批后，对报废it设备统一进行存放管理。

三、对it设备报废鉴定为人为原因造成的，由责任人承担此it设备的全额损失，并按照公司相关管理规定进行从严处罚。

四、信息部对管理存放的报废it设备定期进行清理，并做处理方案报公司分管领导审批后，对报废it设备进行出售，并由办公室、财务部监督执行。对所出售所得款项当天缴至财务部。建立报废it设备出售台账，以备查验。

五、公司各部门要在最大程度上提高it设备的使用年限，厉行节约。信息部要做到it设备可用零部件的二次利用，为公司开源节流做贡献。

第三十六条本管理规定适用于公司内信息化建设过程中的所有it系统项目招标、采购及实施。

第三十七条公司信息化建设过程的系统建设要从公司中长期规划出发，结合公司现行实际发展情况，根据必要性、合理性、经济性而实施。保证公司的投资效益。

第三十八条公司it系统的建立过程中的市场调研、组织招标、合同签定、项目实施等均由信息部与建设部门共同配合完成，信息部主导上述工作各环节。

第三十九条公司it系统项目立项申请原则上由建设部门提出，信息部也可以根据公司发展提出。所有it系统立项均报公司上会研究决定后方可着手实施。

第四十条it系统项目的立项申请必须确定it系统的总体管理目标。申请必须书面清晰说明需求，信息部在接到项目申请后必须在一周内完成市场调查，并出具相关报告随同项目申请上报公司领导，经公司会议研究决定批准后，信息部按照批准后意见组织项目实施。

第四十一条it系统项目的采购合同必须报公司法务部进行核准后方可签定。

第四十二条it系统项目一经确定立项实施，必须成立项目小组，确定项目小组负责人及成员，原则上项目小组负责人由公司领导担任，小组成员由公司内各部门负责人组成。信息部在项目实施过程中对项目小组负责。

第四十三条项目小组成员要根据项目要求，极积主动高质量完成项目实施过程中专项工作。工作实施专管专责，不得中途转手他人（特殊情况除外）。

第四十四条信息部在项目实施过程中负责协调、组织、沟通和实施过程中的衔接工作。及时解决处理项目实施过程中的技术和其他问题。

第四十五条信息部全程跟踪、管理项目实施过程中的所有环节，并对项目进度及质量负责。it系统项目实施过程中的技术文档、项目需求、知识文档等信息部要建立完整的项目文档管理体系。

第四十六条it系统项目验收由项目小组评审验收，信息部具体负责项目验收评估及项目验收报告并上报公司审批等工作。

第四十七条信息部负责it系统项目验收完成后的具体运行维护工作，并依据运行情况出具相关运行报告。

第四十八条由于公司发展需要，前期运行的it系统需做二次开发或升级的，由具体使用部门与信息部配合及沟通提出系统需求，再由信息部整合需求，提供整体解决方案报公司信息化项目领导小组审定后，信息部与软件供应商联系系统二次开发或升级事宜。严禁相关部门私自或提前与软件供应商联系，避免谈判被动，给公司带来不利影响。

第四十九条信息部负责公司内部门的计算机软件、硬件、上网行为及系统运行的统一维护和管理。

第五十条信息部负责对公司内各部门使用的计算机做日常定期、不定期使用监督检查，对于检查中发现的违规全权处理。对于检查中发现的重大违规应及时上报公司分管领导。

第五十一条公司内全体员工对违规使用计算的行为有互相监督和举报的权利。

第五十二条严禁外来人员使用公司电脑。

第五十三条公司所有计算机实行封签管理。计算机的维修权在信息部，任何人不得擅自更改计算机硬件配置或打开计算机，非信息部人员对计算机故障原因的确定无任何效力。

第五十四条下班后各部门必须关闭计算机及处围设备，检查电源情况，确保安全方可离开。

第五十五条在办公期间，长时间不用电脑必须采取人离机锁定，防止公司信息数据及秘密泄露。

第五十六条计算机使用人员不得擅自更改系统软件设置，安装与工作无关的即时通讯、炒股、游戏、bt下载、p2p、在线流媒体音视频播放等第三方软件。

第五十七条公司接入互联网的网络参数及设备参数严格实行保密，信息部对此项保密负责。

第五十八条特殊岗位使用计算机和系统操作人员必须与公司统一签定公司信息网络安全保密协议。

第五十九条任何人不得利用公司计算机和网络从事违法犯罪活动，一经查处落实，将从严处罚。

第六十条工作时间内严禁使用计算机或互联网做与工作无关的事。

第六十一条工作时间除工作需要打开的互联网指定访问外（包含下载），其他网络访问及网络应用信息部一律采用技术手段处理，确保各部门工作正常开展不受影响。

第六十二条公司内部网络带宽依据各部门实际工作需要，做带宽规划并进行带宽分配，确保各部门工作不受第三方影响。

第六十三条公司内除特别需要的，各部门使用的计算机一律通过公司域服务器登陆。并对各部门的usb接口，cd（dvd）光驱进行技术关闭。确保计算机内部数据及网络信息系统安全。

第六十四条公司内各部门的文件传输均采用公司内部邮件系统或公司内部即时通讯软件完成。

第六十五条信息部有权利用网络监控技术手段对公司内各岗位所使用的工作计算机进行数据、上网行为、系统等操作行为进行工作期间的监控。并对违规操作每月定期进行通报。

第六十六条根据操作违规所给公司及信息系统的运行带来的损失及影响将违规操作分为a、b、c三类。

一、a类违规及范围界定：

1、在未经公司授权或非公司信息中心人员进行维护的前提下非岗位操作人员对其所使用的系统进行操作或查阅，查实盗取或违规修改应用系统业务数据的，给公司造成重大损失的。

2、在未经允许的情况下安装与信息系统或工作无关的软件、使用外带的各类移动存储设备（如：软盘、光盘、u盘等），给公司信息系统带来直接危害的。

3、工作期间通过信息网络系统登陆非公司业务的任何互连网网站及其它各类与工作无关的网站网页，导致公司内部信息网络感染病毒的并严重影响工作开展的。

4、将公司网络参数及网络设备参数外泄造成公司网络信息系统安全隐患的。

5、未经允许以任何理由复制、携带、帮助查阅、口头泄露等任何方式将公司各类信息数据带出办公岗位或告知他人的。

6、在公司关键及特殊岗位使用的计算机上安装各类游软件的。

7、恶意更改公司网络信息系统的所涉及的各类参数及数据的。

8、通过公司网络信息系统窃取其它部门或个人的文档资料或文件，造成恶劣影响并给公司、部门、个人带来损失的。

9、向外界以书面或口头形式透露公司信息网络安全防御工具及措施的。

10、未经授权盗用他人帐号及密码操作非本岗位所使用的信息系统模快功能的。

11、it设备未经报批擅自做报废和处理的。

12、蓄意破坏公司it设备、网络线路造成严重损失和恶劣影响的。

13、对采购的it设备未按验收流程严格验收，致使验收的it设备无法正常运行的。

14、对it系统项目立项招标过程中不按公司项目招标管理规定，违规操作的。

15、信息部人员未按报障时间规定及进响应处理报障，给部门工作造成重大后果的。

16、不按规定下班对it设备进行电源关闭安全隐患检查，造成重大损失的。

17、采用技术或非技术手段蓄意破坏公司信息系统硬件或软件，造成重大后果的。

凡违反a类界定违规项的处以200--1000元/次/项罚款。并因此给公司、部门及个人造成的一切损失由违规人全部承担。情节严重的上报公司将移交司法机关处理，并保留起诉权。

二、b类违规及范围界定：

1、各类业务单据、数据及相关业务处理因个人原因处理错误，已给公司造成一定的损失及不良的影响的。

2、未按公司各相关信息系统业务操作流程规定进行相应的业务管理及操作，可能会给公司带来损失的。包括：各类数据不及时跟踪检测造成偏差而查不出原因的、未经审批进行库存损溢数据处理的、无采购订单系统入库的、不按采购物资订单进行相应库存数据录入的、各种信息资料处理不及时等所有的违反公司制定的信息系统操作流程的现象。

3、所有的过失错误造成公司信息系统数据不准确及偏差给公司造成损失的。包括：仓库盘点数据录入错误、对信息系统出现的问题及故障人为性不及时处理造成部门工作延误或影响的、对部门内发现的问题不及时上报隐瞒问题真象的等所有因个人工作过失造成影响到公司信息管理的一切违规行为。

4、违反it管理规定登陆互联网造公司计算机感染病毒或采用非正规手段传播、制造病毒，给公司信息系统安全带来隐患的。

5．将it设备配件擅自拆除挪作他用或盗取的。

凡违反b类限定违规项的处以20--100元/次/项罚款。并因此给企业或个人造成的一切损失由违规人全部承担。情节严重的公司将根据实际情况予以加重处理或解聘。

三、c类违规范围界定：

1、因个人工作延误或失职造成工作的滞后但未给公司造成直接经济损失的。包括：数据录入信息系统不及时、不涉及公司核算项的内容录入错误、单据录入或未做系统提交生效的、各类单据及业务处理错误但能及时发现并予以改正的。

2、因个人的工作违规未给公司造成直接损失且影响其它部门业务正常开展的。包括：相关核算单据不及时传递、各种业务通知不及时传达到对应的部门的、对于信息系统出现的问题不及时沟通造成工作混乱的等所有违规行为。

3、工作期间利用计算机做与工作无关的事，违规下载各类文件的。

4、不按规定下班对it设备进行电源关闭安全隐患检查，造成损失的。

5、擅自打开或更换公司it设备内部配置或安装与工作无关软件的。

6、不按规定工作期间计算机未登陆域服务器，造成公司it管理失控的。

凡违反c限定违规项的处以20元/次/项罚款。并对违规行为做公司内警告处分。

第六十七条信息部人员违反本管理规定加重责罚。

第六十八条此管理规定由信息部负责起草并解释。

第六十九条此管理规定报公司批准下发后即时生效。

信息系统管理制度

第一条为加强信息系统用户账号和权限的规范化管理，确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。

第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的网络设备、网站系统等。

第三条信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。

第四条场协同办公系统用户和权限管理由场办公室负责，其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。

（一）用户、权限和口令设置由系统管理员全面负责。

（二）用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。

（三）用户、权限和口令管理采用实名制管理模式。

（四）严禁杜绝一人多账号登记注册。

负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的。业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。

第八条业务管理员职责。

负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。

第九条用户职责。

用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。

第十条用户申请和创建。

（一）申请人在《用户账号申请和变更表》上填写基本情况，提交本部门负责人；

（二）部门负责人确认申请业务用户的身份权限，并在《用户账号申请和变更表》上签字确认。

（三）信息系统管理部门经理进行审批后，由系统管理员和业务员创建用户或者变更权限。

（五）系统管理员和业务管理员将《用户账号申请和变更表》存档管理。

第十一条用户变更和停用。

系统管理员变更，应及时向上级系统管理员报告，并核对其账户信息、密码以及当时系统中的各类用户信息及文档，核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。

（四）业务管理员变更。

业务管理员变更应及时向本级系统管理员及上级业务管理员报告，上级业务管理员和系统管理员及时变更业务管理员信息。

（五）用户注销。

用户因工作岗位变动，调动、离职等原因导致使用权限发生变化或需要注销其分配账号时，应填写《用户账号申请和变更表》，按照用户账号停用的相关流程办理，由系统管理员和业务管理员对其权限进行注销。

第十二条使用各信息系统应严格执行国家有关法律、法规，遵守公司的规章制度，确保国家秘密和企业利益安全。

第十三条口令管理。

（一）系统管理员创建用户时，应为其分配独立的初始密码，并单独告知申请人。

（二）用户在初次使用系统时，应立即更改初始密码。

（三）用户应定期变更登陆密码。

（四）用户不得将账户、密码泄露给他人。

第十四条帐号审计。

账号审计工作由信息系统管理部门的负责人或者主管进行审计，并应定期向其领导进行汇报，由场信息系统管理部门负责人定期和不定期检查。

第十五条应急管理。

（一）用户及业务管理员账户信息泄露遗失。

用户及业务管理员账户信息泄露遗失时，应在24小时内通知本级系统管理员。本级系统管理员在查明情况前，应暂停该用户的使用权限，并同时对该账户所报数据进行核查，待确认没有造成对报告数据的破坏后，通过修改密码，恢复该账户的报告权限，同时保留书面情况记录。

系统管理员账户信息泄露遗失时，应立即向上级系统管理员报告，暂停其系统管理员账户权限，同时对系统账户管理及数据安全进行核查，采取必要的补救措施，在最终确认系统安全后，方可恢复其系统管理员账户功能。

第十六条本制度自20xx年xx月xx日起施行。

第十七条本制度由场办公室负责制定、修改和解释。

公司信息系统管理制度办法

第一条为了加强公司计算机信息系统的领导和管理，促进公司信息系统的应用和发展，保障系统有序运行，制定本规则。

第二条本规则所称的计算机信息系统，是由计算机及其相关配套的设备、设施构成，按照系统应用的目标和规则对公司信息进行采集、加工、存储、传输、检索、决策等处理的人机系统。

第三条公司计算机信息系统是为了保障系统建设和应用，保障系统功能的正常发挥，保障运行环境和信息安全，满足各工作站操作和维护的全部活动正常进行。

第四条本规则适用于公司全部应用信息系统的所有部门和个人。

第五条负责公司计算机信息系统的运行监测、及时维护、数据备份。

第六条负责公司信息中心和各工作站系统软件、应用软件的安装、调试和维护工作。

第七条负责硬件设备及耗材购买、装配、检修和维护。

第八条负责提供对新的硬件、网络及软件升级换代选型的技术方面意见。

第九条非计算机管理人员，未经批准不得进入机房。

第十条保证服务器24小时不间断正常工作，不得在服务器专用电路上加载其他用电设备，应在专门的市电线路上加载。

第十一条内部服务器严禁接入因特网，并安装好杀毒软件，做好病毒防范，杜绝院内病毒感染。

第十二条对服务器参数及配件进行调整或更换，应经部门经理批准，管理人员应严格填写工作日志。

第十三条信息系统安全包括：软件安全和硬件网络安全两大部分。

第十四条计算机管理人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。

第十五条系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。

第十六条计算机管理人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。

第十七条网络系统所有设备的配置、安装、调试必须由计算机管理人员负责，其他人员不得随意拆卸和移动。

第十八条所有上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。

第十九条严禁自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。

第二十条所有进入网络的软盘、光盘、u盘等其他存贮介质，必须经过计算机中心负责人同意并查毒，未经查毒的存贮介质绝对禁止上网使用，对造成“病毒”蔓延的有关人员，将根据破坏损失程度对其进行相应的经济和行政处罚。

第二十一条在公司还没有有效解决网络安全(未安装防火墙、高端杀毒软件和入侵检测系统)的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

第二十二条保持计算机硬件网络设备清洁卫生，做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。

第二十三条计算机管理人员有权监督和制止一切违反安全管理的行为。

第二十四条当科室操作人员在使用系统时发现访问网络及数据库速度迟缓、不能进入相应程序、不能保存数据、不能进行网络拷贝、要检索数据时较长时间没有反应等情况，应立即向计算机管理人员反映。

第二十五条计算机中心应时常与硬件网络集成商保持较好的联系，一旦出现交换设备或光纤线路损坏，能及时通知他们以最快速度赶来救援，同时做好线路备份工作。

第二十六条未经计算机管理人员批准，任何人不得改变网络拓扑结构，网络设备布置，服务器、路由器配置和网络参数。

第二十七条任何人不得进入未经许可的计算机系统更改系统信息和用户数据。

第二十八条企业局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害单位稳定的有关信息。

第二十九条各部门定期对本部门计算机系统和信息数据进行备份以防发生故障时进行恢复。

信息系统管理制度

第一条为确保公司信息管理系统正常运行，有效地建设、保护和利用信息系统资源，防范系统运行风险，提高信息使用和过程管理效率，特制定本制度。

第二条本制度适用于公司内部使用的信息管理系统的相关人员，也包括信息管理系统软件以及支撑信息管理系统运行的资源和设备。

第三条信息系统的日常运行与维护，由办公室安排具体人员统一负责管理。负责与信息系统供应商的联系沟通，根据公司业务发展情况进行必要的升级等。

第四条信息系统管理范围包括：业务部门、人员信息管理、系统用户权限管理。

第五条信息系统设置管理员，由系统管理员负责管理，负责公司部门机构变化、人员信息变化而对系统进行维护；负责系统用户设置和权限分配工作。

第六条系统管理员应根据公司人员对应的聘任岗位和岗位职责来设置用户权限。

第七条用户权限需要改变时，所在部门提出申请，经过相关领导同意后通知系统管理员在系统中进行调整，系统管理员不得越权调整用户功能权限的设置。

第八条用户离职时，系统管理员根据《离职通知单》，停用此用户在系统中的用户名或停用此用户名的所有权限，并记录有关情况。

第九条系统管理员使用系统中的管理员账号进行管理工作后，应记录有关操作情况。

第三章基础数据采集管理。

第十条信息系统中的基础数据包括：专业类别维护、所属专业维护、业务类别维护、区域信息维护、审批部门维护、管理类别分管、业务来源维护、咨询评价师维护、归档资料维护、咨询评价目的维护、业务类别分管、难度系数维护、合同分类维护、质量评价标准维护、客户评价项目维护、客户评价分值定义及公司人力资源管理信息的维护。

第十一条信息系统中基础数据审批部门和业务来源由分管副总负责维护，人力资源管理信息的维护由办公室负责；其他基础数据由系统管理员负责维护，系统管理员维护的基础数据需要增加或者修改时必须得到公司分管副总的认可后方可增加和修改，同时做好维护记录。

第四章信息备案完整性规定。

第十二条信息备案是对潜在的市场信息进行记录在案，备案的信息属于可培育的服务机会。公司每位员工均有义务将得到的市场信息及时备案在系统，对备案的信息原则上由备案人所在部门安排项目经理进行初步接洽或洽谈。

第十三条信息备案表数据录入要求：

1.项目名称能够反映项目的基本情况：采用“建设单位+规模+产品名称”。如：“***公司年产***吨***产品项目”。

2.业务类别：考虑备案阶段，一个备案名称下可能有几个类别，建议按照主要类别区分即可，如：一个项目有可研报告和节能报告两个报告，则业务类别只要选择“可研报告”即可。通常的选择次序为项目建议书、可行性研究报告、项目申请报告、节能评估报告等。

3.委托单位需要填写单位的完整名字。

4.联系人情况中：电话和手机必选一个来填写。

5.业务来源：按照来源填写。

6.项目概况描述：需要体现项目单位、投资额、建设规模、建设地点等基本信息，同时说明提供咨询的目的，便于进一步开展跟踪和服务工作。

项目经理根据部门（或公司）统一的安排，根据项目备案的信息，开展项目的洽谈工作。

第十四条项目洽谈的含义：经过同业主进行沟通后的信息录入，是报价的基础，是合同流程的前置条件。只要不“提交”，可以分多次洽谈，通过“记录”来记录每次洽谈的内容。

第十五条项目洽谈表数据录入要求：

1.对备案阶段的信息进行更新，包括客户名称、客户洽谈人、咨询评价目的、审批部门、项目性质和建设内容等。

2.洽谈内容：记录洽谈的具体内容、结果，双方达成的初步意向，需要进一步洽谈或协商的问题等。是项目报价依据和合同条款的重要依据。

3.若项目委托单位不能确定，则需要继续跟踪，直至确定委托单位，尚具备申请办公系统对项目进行业务评审的条件。

4.洽谈记录表明细栏中，确定项目名称：采用“建设单位+规模+产品名称+类型”。如：“***公司年产***吨***产品项目可行性研究报告”。

第六章项目执行过程信息管理。

第十六条实施计划（项目工作大纲）数据录入：

项目的合同签定以后，进入项目实施计划阶段；项目经理必须根据签定的服务合同，制定详细的工作计划；尚未签订合同的项目，因为服务目标和内容不能确定，原则上不具备制定工作计划的条件；特殊情况比如政府委托项目，公司沟通比较通畅的优质客户，在服务内容、时间等要素，洽谈充分的情况下，可以申请特批工作计划（工作大纲）。工作计划包括：

1.明确委托咨询任务的目的或产品用途；

2.明确委托任务的工作重点、难点，按照合同要求安排时间；

3.委托方对咨询产品有特殊要求是，应列出报告的章节大纲；

4.明确是否需要成立项目组，项目组人员构成方案，拟承担工作分工情况等；

5.明确是否需要聘用专家，聘用专家的数量及专家的作用；

6.明确项目的执行是否需要外委，提出外委方案，确定外委的范围、费用和进度，对外委工作质量控制方案等。

第十七条校验统稿数据录入。由项目负责人对项目组成员工作量进行汇总，并对项目组成员的工作质量进行打分。

第十八条业务交流记录：

由项目经理负责在合同约定范围内，与客户进行项目执行层面的沟通。

1.沟通记录包括，客户参与人及其姓名和电话，是否为我们合同约定的委托方联系人或授权人。

2.交流内容：沟通内容，达到什么效果；以附件上传对方的意见或需求或我方提出的问题沟通等。

3.对超过合同约定的对方要求，除在系统中及时上报主管副总外，主管副总还要及时根据对方要求确定是否需要进行合同的变更。

第十九条成果录入：

2.附件上传：报告、附图、附件和实地考察照片，原则上咨询项目必须进行现场调研或考察，系统中上传的文件必须包括不少于两张的厂址实况图片。鼓励项目经理工作过程中收集与项目相关的设计或效果图片，并上传系统存档。

3.附件中文档名称：电子文档名皆采用“建设单位+规模+产品名称”；附表名称同报告名称一致；附图名称要同报告中附图名称一致。

第二十条成果修改申请。修改内容：需要说明修改原因、修改工作量、修改完成时间、是否需要增加费用等；修改文件上传审批后，方能印刷、装订提供给客户。

第二十一条成果加印申请。加印原因：需要说明报告加印的原因，合同约定等；加印的版本必须由办公室从系统下载印刷，保证与已发行版本的一致性。

第二十二条项目档案管理。

（一）项目完成后，项目经理应及时完成项目档案的整理及归档工作，归档文件应按办公信息系统要求准确完整，需要纸质文件存档时，应及时与办公室档案管理员联系。

（二）归档文件的完整性及标题和内容的一致性审核由办公室档案管理人员完成，对于不满足要求的归档材料，应及时将审核结果反馈给项目经理。

（三）项目经理根据档案完整性审核反馈结果，及时完善归档材料，对于项目完成时间较长，无正当理由不能及时完成归档工作的项目经理，将影响新咨询任务的工作安排。

第二十三条财务信息管理的内容包括：合同回款、到账确认和开票管理。

第二十四条财务管理数据录入要求：

1.合同回款由项目负责人负责跟踪和催缴，办公室财务人员根据咨询费用回款进度负责系统录入，项目的回款录入需对应到项目合同下的各子项目。

2.项目在有回款的情况下，根据合同的付款条款由财务负责人核实是否具备盖章条件。满足条件的可以进行盖章确认，不满足合同约定条件的项目，需要出版报告则由项目经理提出盖章的特批申请。

3.开票管理由项目负责人负责录入发票开具信息，若开票类型选择为开具专用增值税发票时，则必须录入客户的纳税人识别号、银行帐号、开户行、地址及联系电话，并上传客户的税务登记证附本复印件或扫描件。

第八章附则。

第二十五条本管理规定自发布之日起实施，由公司办公室负责解释。

信息系统安全管理制度

为提高公司信息系统的可靠性、稳定性、安全性,降低人为因素导致信息系统失效的可能性,形成良好的信息传递渠道,特制定本规范。

1.1非工作人员不得进出机房。工作人员出入机房注意锁好房门,未经上级批准,禁止将机房相关钥匙、密码等物品或信息外露给其它人员,同时有责任对信息保密。

1.2机房工作人员必须熟知机房内设备的基本安全操作和规则。定期检查机房的防晒、防水、防潮;检查、整理硬件物理连接线路;定期检查硬件运作状态(如设备指示灯)。不得乱拉乱接电线,应选用安全、有保证的供电、用电器材,严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。

1.3机房内禁止吃食物、抽烟、随地吐痰,对于意外或工作过程中弄污地板和其它物品的,必须及时采取措施清理干净;禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。

1.4机房工作人员必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份,做好硬件设备的维护保养工作。

1.5任何人均不得在服务器、交换设备等核心设备上进行与工作无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备。

2.1计算机操作员应具备计算机基础知识,熟练使用windows、office、长安福特dms系统及常用软件,并对其所使用的计算机软、硬件负有维护保管责任。

2.2任何员工未经授权,不得修改计算机软硬件设置。严禁在工作机共享文件,员工所掌握的工作数据、文件等均属公司所有,严禁拷贝、传播、修改、破坏。凡违反网络操作规程,影响网络运行者罚款100元。

2.3计算机操作人员离开工作区域时应保证重要文件、资料、设备、数据处于安全保护状态;个人的工作文件应随时做好安全存放与备份,不得将个人工作文件存放于“c盘我的文档”。如有问题及时联系系统管理员,与系统管理员一同维护好日常网络的安全运行。

2.4计算机操作人员每次开机确保病毒实时监测程序和黑客防火墙程序的.正常运行;日常工作中注意保持计算机等相关设备的清洁,下班时务必关掉所有办公设备的电源。

3.1计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置。

3.2硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。

3.4系统管理人员负责长安福特dms系统工作权限的设置,员工只能使用自己的工作权限,严禁盗用他人用户名与密码,严格执行工作流程;长安福特dms系统上使用的密码一经启用,不得随意修改、公开,并需在行政部做备份,如需修改须事先告知行政部。

3.5各部门如有计算机操作员人员更替,必须及时通知行政部,系统管理员注销或开设新用户。

信息系统管理制度

第一条为规范信息安全等级保护管理，提高我院信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国网络安全法》文件要求，制定本制度。

第二条根据国家制定的信息安全等级保护管理规范和技术标准，对本部门所使用和运营的信息系统分等级实行安全保护。

第三条在我院信息化领导小组的领导下，信息科负责医院信息系统安全定级和保护的指导、上报和检查工作。

第四条各科室依照本制度及相关标准和规范进行本科室运营和使用的信息系统的定级保护工作。

第五条各科室应当依照本制度及相关的标准规范，对运营和使用的信息系统履行安全等级保护的义务和责任。

第六条信息等级保护坚持坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。

第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。

第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。

第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。

第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。

第八条信息系统运营、使用科室依照本制度和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级，报到信息中心。信息中心审核后，统一上报到郏县卫生健康委信息工作股。根据上级主管部门的审核和指导意见，按照国家规范，完成我院信息系统的安全定级工作。并完成相应的安全保护和制度建设工作，对定为二级以上的信息系统按照相关规定报平顶山市公安局备案。

第九条信息系统的安全保护等级确定后，运营、使用部门应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

第十条在信息系统建设过程中，运营、使用部门应当按照《计算机信息系统安全保护等级划分准则》（gb17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（gb/t20271-20xx）、《信息安全技术网络基础安全技术要求》（gb/t20270-20xx）、《信息安全技术操作系统安全技术要求》（gb/t20272-20xx）、《信息安全技术数据库管理系统安全技术要求》（gb/t20273-20xx）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（ga/t671-20xx）等技术标准同步建设符合该等级要求的信息安全设施。

第十一条运营、使用部门应当参照《信息安全技术信息系统安全管理要求》（gb/t20269-20xx）、《信息安全技术信息系统安全工程管理要求》（gb/t20282-20xx）、《信息系统安全等级保护基本要求》（gb/t22239-20xx）等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

第十二条信息系统运营、使用部门及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用部门应当制定方案进行整改。

第十三条各部门对本部门运营和使用的信息系统进行梳理，按照本制度的要求确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。