《7.海威企发﹝2015﹞119号.中交一公局海威工程建设有限公司计算机信息系统运行维护管理办法(试行).docx》由会员分享,可在线阅读,更多相关《7.海威企发﹝2015﹞119号.中交一公局海威工程建设有限公司计算机信息系统运行维护管理办法(试行).docx(8页珍藏版)》请在优知文库上搜索。
1、中交一公局海威工程建设有限公司计算机信息系统运行维护管理办法(试行)海威企发(2015)119号第一章总则第一条为规范和加强中交一公局海威工程建设有限公司(以下简称公司)计算机信息系统(以下简称信息系统)的运行维护管理,确保信息系统正常、安全、高效运行,根据中国信息技术服务标准(ITSS)白皮书、中国交通建设股份有限公司计算机信息系统运行维护管理办法、中交第一公路工程局有限公司计算机信息系统运行维护管理办法(试行)和公司实际运维情况,特制定本办法。第二条本办法适用于公司机关(以下简称机关)所建立、公司所属各项目(以下简称项目)使用的各类业务信息系统的运行维护。第三条公司计算机信息系统的运行维护
2、管理工作依照局“统一归口、分级管理”的原则。第四条公司信息系统安全管理员、综合管理员即指的是公司级信息系统的系统管理员。第五条本办法所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照应用目标和规则,对信息进行采集、加工、存储、传输、检索等处理的系统。第二章组织机构和职责第六条企业规划部是公司计算机信息系统建设、运行维护管理的主管部门,其职责如下:(一)负责设立公司级信息系统的系统管理员,并制定、组织和实施公司信息系统安全策略。(二)负责公司信息系统硬件设备的日常维护、运行和管理。(三)负责对公司机关网络设备、安全设施进行定期检查。(四)负责对公司信息系统进行安全配置,分配、控制信息系
3、统各项使用权限。(五)负责公司信息系统恶意代码防范管理。(六)负责公司信息系统数据备份和恢复。(七)负责监控公司信息系统运行状况,对其进行日常运行、维护和维修管理。(八)负责落实局对公司信息系统运行维护的各项要求。第七条各项目信息化主管部门是信息系统运行维护的管理部门,其职责如下:(一)负责设立信息系统的项目责任人。(二)负责监控信息系统在本项目的运行状况,记录其日常运行和故障情况,并与公司信息化主管部门沟通。(三)负责落实局和公司信息系统安全策略并组织实施。(四)负责向上级单位申请信息系统中本项目用户的各项使用权限。(五)负责本项目网络的安全管理。(六)负责对本项目网络设备、安全设施进行定期
4、检查。(七)负责信息系统中本项目的数据备份和恢复。第三章信息系统安全管理第八条公司系统安全管理员应依据业务应用系统需求和安全需要,制定安全策略和访问策略,控制和分配服务器操作系统、数据库系统、业务应用系统、文件及服务的访问和使用权限。第九条公司系统综合管理员应编制并及时更新各服务器所安装软件的清单,包括服务器、操作系统、数据库系统和业务应用系统的名称等内容。第十条公司系统综合管理员应掌控在服务器上安装、调试、卸载系统软件和业务应用系统的行为,这些行为需报公司信息化主管部门负责人批准后方可实施。第十一条服务器操作系统的管理要求(一)设置操作系统管理员账号和口令。(二)输入错误密码5次以上,锁定该
5、用户账号。(三)可以锁定和解锁用户账号。(四)禁用不必要的用户和用户组。第十二条公司系统安全管理员应根据服务器上安装的系统软件和业务应用系统情况,对操作系统进行安全配置,包括:(一)启动操作系统防火墙,只保留有用的端口。(二)启动必要的服务,禁用不需要和危险的服务。(三)业务需要时,设置共享文件夹和密码。第十三条公司系统安全管理员应以满足业务需要最低权限的原则,为应用系统运行管理人员设置服务器使用权限。第十四条项目部如需在信息系统中新增、变更或消除本项目部用户或者权限时,需提前填写好中交一公局海威公司XX科室(项目)信息管理系统人员调整表信息系统人员调整表(见附件2),上报公司信息化主管部门后
6、,公司系统管理员方可进行相关调整。第十五条系统安全管理员应对所有系统账号、口令进行登记,纸质记录清单应封存在仅有被指定人员和本单位信息化主管部门负责人可以打开的柜子中。系统口令每三个月应更改一次,所有系统口令最少12个字节并包含数字、字母和特殊字符。第十六条公司系统安全管理员应根据中交第一公路工程局有限公司计算机信息系统用户管理办法,为有关用户设置用户名和初始口令,并根据业务需要为用户设置业务应用系统的使用权限。第十七条公司系统安全管理员应建立本单位应用系统用户清单,列明应用系统用户的权限、责任人员和授权记录等;定期检查系统用户的实际使用权限是否与清单所列相符。第十八条公司系统安全管理员应掌控
7、超越系统控制的系统工具使用行为,这些行为需报公司信息化主管部门负责人批准后方可实施并予以记录。第四章信息系统运维管理第十九条公司系统综合管理员应每日监测信息系统运行状态,信息系统无法正常运行时,应及时查明故障原因进行恢复处理或与软件开发商联系维修,并填写中交一公局海威工程建设有限公司机房运维记录表(见附件1)。第二十条公司系统综合管理员应实时监控服务器系统性能,包括监测CPU和内存的利用率、检测进程运行及磁盘使用情况等,发现异常情况及时处理并填写中交一公局海威工程建设有限公司机房运维记录表(见附件1)。第二十一条公司系统综合管理员应对操作系统、数据库系统以及业务系统的日志进行检查和管理。每周对
8、日志文件进行备份,备份文件离线保存,保存期至少三个月。项目系统综合管理员应对信息系统中与本项目有关的数据每周进行日常备份,备份文件离线保存,保存期至少三个月。第二十二条公司系统综合管理员应每日对系统进行漏洞扫描,对发现的系统安全漏洞进行及时的修补。第二十三条公司系统综合管理员应设置操作系统自动版本升级和打补丁,同时应关注各类软件厂商的公告,及时进行软件版本升级和打补丁。升级前应对现有的重要数据文件进行备份,软件版本升级完成并验证后,登记版本信息。第二十四条信息系统发生重大变更时,公司系统综合管理员应编写变更细节文件,制定变更控制计划,评估变更的潜在影响,编写终止变更和从失败变更中恢复的处理方法
9、,向相关人员通报。变更完成后,定期对变更结果进行检查和验证。第五章信息系统安全防范管理第二十五条公司所属各单位所有使用信息系统的设备必须安装杀毒软件。第二十六条公司所属各单位所有使用信息系统的设备应设置每天自动升级检查病毒特征库。设备使用人员每周应通过比较当前版本与软件厂商在网站上公布的版本,对病毒特征库的升级情况进行人工检查。第二十七条公司系统管理员应每周进行网络和主机的病毒检测,对检测或截获的各种高风险病毒及时分析处理并生成总结报告。第二十八条公司系统管理员应及时掌握最新的病毒动态,做好病毒防范工作,及时发布病毒预警通知。第二十九条公司所属各单位用户应提高病毒防范意识,重视有关人员发布的病
10、毒和补丁通告,及时安装操作系统补丁。第三十条公司所属各单位用户在接入本单位局域网前,应对自己的计算机设备、移动存储设备进行杀毒和补丁检测安装。第三十一条公司所属各单位用户在本单位局域网内使用从不信任网络上接收的文件、邮件或外来软件前,必须先对其进行杀毒处理。第三十二条未经杀毒的设备、软件或文件禁止在本单位局域网内使用。第三十三条当用户计算机出现病毒感染迹象时,应使用防病毒软件对病毒进行查杀,杀毒完成重启计算机后,再次用最新版本的防病毒软件检查系统是否还存在该病毒。如存在系统漏洞应及时打上补丁,并确定被感染破坏的数据是否确实完全恢复。第三十四条公司所属各单位用户遇到无法清除的计算机病毒时,应首先
11、断开网络、关闭计算机,以防病毒扩散和数据丢失,同时报告信息化主管部门,由相关专业人员进行处理。第六章信息系统数据备份与恢复管理第三十五条公司系统综合管理员应根据数据重要性和对信息系统运行的影响,制定数据备份和恢复策略,明确并记录数据的备份方式、备份频度、存储介质与保存期等事项。第三十六条公司系统综合管理员应每日检测数据增量备份状况,每周检测数据完全备份状况,保障数据安全、有效,并填写数据备份恢复登记表。第三十七条公司系统综合管理员应确保及时、完整、真实、准确地将数据备份储存到不易更改或损坏的介质上,储存期应为三个月。第三十八条数据自动备份一旦失败,公司系统综合管理员应立即进行手动备份,并查明原
12、因及时排除故障。第三十九条发生数据丢失和系统损坏情况时,公司系统综合管理员应立即执行恢复程序。重要数据无法恢复时,应联系第三方工程师予以解决。第四十条将存储有涉密数据的故障设备交外单位人员修理时,公司系统综合管理员必须在场全程监督。第七章信息系统安全审计第四十一条信息化主管部门每6个月应至少进行一次安全审计。新业务系统上线后3个月,应对系统相关服务器进行一次安全审计。第四十二条安全审计的要求和内容:(一)对服务器上各类系统的系统管理员账号和口令进行审计,检查与安全策略的符合性。(二)巡检服务器运行状态,对操作系统、数据库系统、业务系统日志和漏洞扫描记录进行审计,对报警信息和系统资源的异常使用信息进行分析,检查违规行为和系统漏洞,提出处理措施和建议。(三)对病毒特征库的升级情况和病毒查杀日志进行审计,了解网络病毒状况。(四)对数据备份记录和数据备份介质进行审计,确认备份策略与恢复策略得到正确执行。第八章附则第四十三条本办法由公司企业规划部制订和解释。第四十四条本办法自印发之日起施行。