第一条为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。
第二条运行维护管理的基本任务:
2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常;
3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确;
4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。
第三条网络中心负责全院范围内信息系统运行维护管理、监督检查和质量考核评定工作,掌握运行质量情况,制定质量指标,并对信息系统各级维护部门进行定期检查考核;
第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。
第五条系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。
第六条厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。
第七条参与故障处理的各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。
第八条建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。
第九条信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。
第十条软件资料管理应包含以下内容:
1、所有软件的介质、许可证、版本资料及补丁资料;
2、所有软件的安装手册、操作使用手册、应用开发手册等技术资料;
3、上述资料的变更记录。
第十一条无关人员未经管理维护人员的批准严禁进入机房。
第十二条机房内严禁吸烟、饮食、睡觉、闲谈等,严禁携带易燃易爆、腐蚀性等污染物和强磁物品及其它与机房工作无关的物品进入机房。
第一章总则
一、为保证本台站信息系统的操作系统和数据库系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》,结合本台站系统建设实际情况,特制定本制度。
二、本制度适用于本台站值班人员使用。
三、带班领导是本站系统管理的责任主体,负责组织单位系统的维护和管理。
第二章系统安全策略
1)管理员权限:维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离,不能由同一人担任。
2)普通操作权限:对于各个信息系统的使用人员,针对其工作范围给予操作权限。
3)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。
二、加强密码策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。用户使用的口令应满足以下要求:-8个字符以上;使用以下字符的组合:a-z、A-Z、0-9,以及!@#$%^&*-+;-口令每三个月至少修改一次。
三、定期安装系统的最新补丁程序,在安装前进行安全测试,并对重要文件进行备份。
四、每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。
五、关闭信息系统不必要的服务。
六、做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。
第三章系统日志管理
一、对于系统重要数据和服务器配值参数的修改,必须征得带班领导批准,并做好相应记录。
第四章个人操作管理
一、本站工作人员申请账户权限需填写《系统权限申请表》,经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。
三、本站工作人员严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。
四、严格管理口令,包括口令的选择、保管和更换,采取关闭匿名用户、增强管理员口令选择要求等措施。
五、计算机设备应设屏幕密码保护的用户界面,保证数据的机密性的安全。
第五章惩处
违反本管理制度,将提请单位行政部视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第一条为确保公司信息管理系统正常运行,有效地建设、保护和利用信息系统资源,防范系统运行风险,提高信息使用和过程管理效率,特制定本制度。
第三条信息系统的日常运行与维护,由办公室安排具体人员统一负责管理。负责与信息系统供应商的联系沟通,根据公司业务发展情况进行必要的升级等。
第二章信息系统操作管理制度
第四条信息系统管理范围包括:业务部门、人员信息管理、系统用户权限管理。
第五条信息系统设置管理员,由系统管理员负责管理,负责公司部门机构变化、人员信息变化而对系统进行维护;负责系统用户设置和权限分配工作。
第八条用户离职时,系统管理员根据《离职通知单》,停用此用户在系统中的用户名或停用此用户名的所有权限,并记录有关情况。
第九条系统管理员使用系统中的管理员账号进行管理工作后,应记录有关操作情况。
第三章基础数据采集管理
第四章信息备案完整性规定
第十二条信息备案是对潜在的市场信息进行记录在案,备案的信息属于可培育的服务机会。公司每位员工均有义务将得到的市场信息及时备案在系统,对备案的信息原则上由备案人所在部门安排项目经理进行初步接洽或洽谈。
第十三条信息备案表数据录入要求:
1.项目名称能够反映项目的基本情况:采用“建设单位+规模+产品名称”。如:“*公司年产吨产品项目”。
3.委托单位需要填写单位的完整名字。
6.项目概况描述:需要体现项目单位、投资额、建设规模、建设地点等基本信息,同时说明提供咨询的目的,便于进一步开展跟踪和服务工作。
第五章项目洽谈信息管理
项目经理根据部门(或公司)统一的安排,根据项目备案的信息,开展项目的洽谈工作。
第十四条项目洽谈的含义:经过同业主进行沟通后的信息录入,是报价的基础,是合同流程的前置条件。只要不“提交”,可以分多次洽谈,通过“记录”来记录每次洽谈的内容。
第十五条项目洽谈表数据录入要求:
1.对备案阶段的信息进行更新,包括客户名称、客户洽谈人、咨询评价目的、审批部门、项目性质和建设内容等。
2.洽谈内容:记录洽谈的具体内容、结果,双方达成的初步意向,需要进一步洽谈或协商的问题等。是项目报价依据和合同条款的重要依据。
3.若项目委托单位不能确定,则需要继续跟踪,直至确定委托单位,尚具备申请办公系统对项目进行业务评审的条件。
4.洽谈记录表明细栏中,确定项目名称:采用“建设单位+规模+产品名称+类型”。如:“*公司年产吨产品项目可行性研究报告”。
第六章项目执行过程信息管理
第十六条实施计划(项目工作大纲)数据录入:
1.明确委托咨询任务的目的或产品用途;
3.委托方对咨询产品有特殊要求是,应列出报告的章节大纲;
4.明确是否需要成立项目组,项目组人员构成方案,拟承担工作分工情况等;
5.明确是否需要聘用专家,聘用专家的数量及专家的作用;
6.明确项目的执行是否需要外委,提出外委方案,确定外委的范围、费用和进度,对外委工作质量控制方案等。
第十七条校验统稿数据录入。由项目负责人对项目组成员工作量进行汇总,并对项目组成员的工作质量进行打分。
第十八条业务交流记录:
由项目经理负责在合同约定范围内,与客户进行项目执行层面的沟通。
2.交流内容:沟通内容,达到什么效果;以附件上传对方的意见或需求或我方提出的问题沟通等。
3.对超过合同约定的对方要求,除在系统中及时上报主管副总外,主管副总还要及时根据对方要求确定是否需要进行合同的变更。
第十九条成果录入:
1.成果录入,分造价和咨询两种形式,区别在于:造价需要填写送审金额、审定金额、审减金额和实际收入;
3.附件中文档名称:电子文档名皆采用“建设单位+规模+产品名称”;附表名称同报告名称一致;附图名称要同报告中附图名称一致。
第二十一条成果加印申请。加印原因:需要说明报告加印的原因,合同约定等;加印的版本必须由办公室从系统下载印刷,保证与已发行版本的一致性。
第二十二条项目档案管理
(一)项目完成后,项目经理应及时完成项目档案的整理及归档工作,归档文件应按办公信息系统要求准确完整,需要纸质文件存档时,应及时与办公室档案管理员联系。
(二)归档文件的完整性及标题和内容的一致性审核由办公室档案管理人员完成,对于不满足要求的归档材料,应及时将审核结果反馈给项目经理。
第七章财务信息管理
第二十三条财务信息管理的内容包括:合同回款、到账确认和开票管理。
第二十四条财务管理数据录入要求:
1.合同回款由项目负责人负责跟踪和催缴,办公室财务人员根据咨询费用回款进度负责系统录入,项目的回款录入需对应到项目合同下的各子项目。
2.项目在有回款的情况下,根据合同的付款条款由财务负责人核实是否具备盖章条件。满足条件的可以进行盖章确认,不满足合同约定条件的项目,需要出版报告则由项目经理提出盖章的特批申请。
第八章附则
第二十五条本管理规定自发布之日起实施,由公司办公室负责解释。
人民医院信息系统安全管理制度
一、信息系统安全包括:软件安全和硬件网络安全两部分。
二、计算机中心人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。
三、对系统用户的访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由计算机中心人员给予配置并存档,以后变更必须报批后才能更改,计算机中心做好变更日志存档。
四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。
五、计算机中心人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。
六、网络系统所有设备的配置、安装、调试必须由计算机中心人负责,其他人员不得随意拆卸和移动。
八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。
九、所有进入网络的软盘、光盘、u盘等其他存贮介质,必须经过计算机中心负责人同意并查毒,未经查毒的`存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。
十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。
十一、内网用户所有文件传递,一律通过网上办公系统和ftp服务器专门的上载、下载区进行,不得利用软盘、光盘和u盘等存贮介质进行拷贝。
十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。
十三、计算机中心人员有权监督和制止一切违反安全管理的行为。
第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。
第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:
1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则;
2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;
3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;
4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;
第三条规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。
第四条术语和定义
本规范引用GB/T5271.8-20__中的术语和定义,还采用了以下术语和定义:
1)信息安全infosec
信息的机密性、完整性和可用性的保护。
完整性定义为保护信息和处理方法的准确性和完备性。
2)计算机系统安全工程ISSE(InformationSystemsSecurityEngineering)
计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。
3)风险分析riskanalysis
对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。
4)安全目标securityobjective
本规范中特指公司项目建设信息安全管理中需要达成到的目标。
5)安全测试securitytesting
用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测试、渗透测试和验证。
第二章项目建设安全管理的总体要求
第六条项目建设安全管理目标
一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。
项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。
计算机系统安全工程(ISSE)并不意味着存在一个单独独立的过程。它支持项目管理和建设过程,而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程要求。
第七条项目建设安全管理原则
信息系统项目建设安全管理应遵循如下原则:
1)等级
2)全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命周期;
3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;
4)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;
5)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;
6)科学制衡:进行适当的职责分离,保证没有人可以单独完成一项业务活动,以避免出现相应的安全问题;
第八条项目建设安全管理要求
项目安全管理工作应强化责任机制、规范管理程序,在项目的申报、审批、立项、实施、验收等关键环节中,必须依照规定的职能行使职权,并在规定的时限内完成各个环节的安全管理行为,否则应承担相应的行政责任。
第三章项目申报
第九条项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。
第十条应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》,并提交《业务需求书》和《信息系统项目可行性研究报告》。
第十二条系统定级
1)依据国家信息系统安全等级保护定级指南(GBT22240-20__)对项目中的系统进行定级,明确信息系统的边界和安全保护等级;
2)以书面的形式说明确定信息系统为某个安全保护等级的方法和理由,形成信息系统定级报告;
4)信息系统的定级结果向本地公安机关进行备案。
第十三条挖掘安全需求
在《业务需求书》中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应至少包括以下信息安全方面的内容:
1)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;
2)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;3)影响分析报告:描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的,例如资金的损失或收益的减少,或可能是无形的,例如声誉和信誉的损失;
4)风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析,应提供风险清单以及风险优先级列表;
5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受的安全风险,都至少有一个安全需求与其对应。
第十四条安全可行性
在可行性报告的以下条目中应增加相应的信息安全方面的内容:
1)项目目标、主要内容与关键技术:增加信息化项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度应根据相应资产的重要性来选择;
2)项目采用的技术路线或者技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策,并形成安全方案;
3)项目的承担单位及人员情况介绍:增加项目各承担单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;
4)项目安全管理:增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;
5)成本效益分析:对安全方案进行成本-效益分析。
第十五条对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出和实现相应安全对策。
第四章安全方案设计
第十六条本阶段主要是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时可以聘请外单位的专家参与论证工作。
第十七条安全标准的确定
3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件
第五章方案论证和审批
第十八条本阶段主要是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作。
第十九条安全性论证和审批
安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息化项目立项审批表》上给出明确的结论:
1)适当
2)不合适(否决)
3)需作复议
对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。
第二十条项目安全立项
审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:
1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;
2)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;
3)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;
4)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;
5)项目验收考核指标:增加安全性测试和考核指标。
第二十一条立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议。
第六章项目实施方案和实施过程安全管理标准
第二十二条信息化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目开发承担单位来完成,项目审批单位负责监督工作。
第二十三条概要设计子阶段的安全要求
1)应当按子系统来描述系统的安全体系结构;
2)应当描述每一个子系统所提供的安全功能;
3)应当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;
4)应当标识子系统的所有接口,并说明哪些接口是外部可见的;
5)描述子系统所有接口的用途与使用方法,并适当提供影响、例外情况和错误消息的细节;
6)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。
第二十四条详细设计子阶段的安全要求
无论是新开发一个系统,或是对一个系统进行修改,本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案,最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能,因此在这一阶段的《详细设计说明书》中至少要包括以下信息安全内容:
1)详细设计中应提出相应的具体安全方案,标明实现的安全功能,并应检查其技术原理;
2)对系统层面上的和模块层面上的安全设计进行审查;
4)确认各模块的设计,以及模块间的接口设计能满足系统层面的安全要求。
第二十五条项目实施子阶段的安全要求
无论是新开发一个系统或是进行系统修改,本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。本阶段中,应完成以下具体信息安全工作:
1)更新系统安全威胁评估,预测系统的使用寿命;
3)完善系统的运行程序和全生命期支持的安全计划,如密钥的分发等;
4)在《系统集成操作手册》中,应制定安全集成的操作程序;
5)在《系统修改操作手册》中,应制定系统修改的安全操作程序;
6)对项目参与人员进行信息安全意识培训;
7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。
第二十六条在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购,并确保采购的设备至少符合下面的要求:
1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。
2)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
第二十七条在软件的开发被外包的地方,应当考虑如下几点:
1)检查代码的所有权和知识产权情况;
2)质量合格证和所进行的工作的精确度;
3)在第三方发生故障的情况下,有第三方备份保存;
4)进行质量审核;
5)在合同上有代码质量方面的要求;
6)在安装之前进行测试以检测特洛伊代码;
8)重要的项目建设中还要要对源代码进行审核。
第二十八条计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:
1)对项目实施所需的计算机及配套设备、网络设备、重要机具(如ATM)、
2)安全产品的采购必须由公司进行统一采购;
3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证;
7)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
第二十九条产品和服务供应商应达到以下要求:
1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;
2)工商要求:
①产品、系统或服务提供单位的营业执照和税务登记在合法期限内;
②产品、系统或服务提供商的产品、系统或服务的提供资格;
③连续赢利期限要求;
⑤没有发生重大管理、技术人员变化和流动的期限要求;
⑥没有发生主业变化期限要求。
3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》
4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;
7)服务供应商的选择还要参阅《安全服务外包管理制度》。
第七章项目验收与投产
第三十条系统建设完成后,项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容至少包括:
1)制定的系统交付清单,对交付的设备、软件和文档进行清点;2)对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护;
3)提供系统建设的过程文档,包括实施方案、实施记录等;
4)提供系统运行维护的帮助和操作手册
第三十二条系统交付由项目应用系统主管部门负责,必须安照系统交付的要求完成交付工作。
第三十三条应制定投产与验收测试大纲,在项目实施完成后,由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求:
1)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
2)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
3)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
4)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;
5)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
6)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
7)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
第三十四条测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。
第三十五条测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:
1)监测系统的安全性能,包括事故报告;
2)进行用户安全培训,并对培训进行总结;
3)监视与安全有关的部件的拆除处理;
4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
5)监测安全部件的备份支持,支持与系统安全有关的维护培训;
6)评估大大小小的系统改动对安全造成的影响;
7)监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
第三十六条系统安全试运行半年后,项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:
1)项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能;
2)采用技术是否符合国家、电力行业有关安全技术标准及规范;
3)是否实现验收测评的安全技术指标;
4)项目建设过程中的各种文档资料是否规范、齐全;
5)在验收报告中也应在以下条目中反映对系统安全性验收的情况:
6)项目设计总体安全目标及主要内容;
7)项目采用的关键安全技术;
8)验收专家组中的安全专家及安全验收评价意见。
第三十七条系统备案
3)系统待级及其它要求的备案材料报相应的公安机关备案。
第四十条设备管理
1)设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。
2)设备的口令不得少于10位,须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循省电网公司统一的帐号口令管理办法。
4)设备的安全策略应进行统一管理,安全策略固化后的变更应经过安全管理人员审核批准,并及时更新策略配置库。
5)设备须有备机备件,由公司统一进行保管、分发和替换。
6)加强设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。
8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:
①因工作原因需使用外来介质,应首先进行病毒检查。
②存储介质上粘贴统一标识,注明编号、部门、责任人。
③存储介质如有损坏或其他原因更换下来的,需交回处理。
9)安全设备的使用管理:
②关键安全设备媒体必需进行日常巡检;
③当设备的配置更改时,应做好配置的备份工作;
④安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,应填写操作记录和技术文档。
10)设备相应责任人负责:
①建立详细的运行日志记录、备份制度;
③负责进行设备的日常清洗及定期保养维护,做好维护记录,保障设备处于最佳状况;
④一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员处理;
⑤设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作;
12)安全管理员应界定重要设备,对重要设备的配置技术文档应考虑双份以上的备份,并存放一份于异地。
第四十一条投产后的监控与跟踪
1)应对系统关键安全性能的变化情况进行监控,了解其变化的原因;
2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪,并编写详细的记录;
3)监控新增的安全部件对系统安全的影响;
4)跟踪安全有关部件的拆除处理情况,并监控随后系统安全性的变化;
5)对新发现的对系统安全的攻击进行监控,记录其发生的频率以及对系统的影响;
6)监控系统所受威胁的变化,评估其发生的可能性以及可能造成的影响;
7)监控并跟踪安全部件的备份情况;
8)监控运行程序的变化,并记录这些变化对系统安全的影响;
9)监控系统物理环境的变化情况,并记录这些变化对系统安全的影响;
10)监控安全配置的变化情况,并记录这些变化对系统安全的影响;
11)对于上述所有监控和跟踪内容,如果对系统安全有不良影响处,都应在系统设计、配置、运行管理上做相应改进,以保证系统安全、正常运行。
第四十二条等级测评
1)系统进入运行过程后,三级的系统每年聘请第三方测评机构对系统进行一次等级测评,二级的系统由自已每年测评一次,发现不符合相应等级保护标准要求的及时整改;
2)系统发生变更时,及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
4)系统的等级测评由信息部负责管理。
第四十三条本制度由公司XX部门负责解释。
第四十四条本制度自颁布之日起实行。
第一条目的
为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。
第二条定义
(一)管理信息系统:包含已经上线的'财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。
(二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。
(三)操作员:上述软件系统使用人员。
第三条适用范围
本制度适用于X有限公司(以下简称、公司)、X有限公司、X有限公司、X有限公司。
股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报质量信息部备案。
第二章职责划分
第四条管理信息系统管理部门
公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。
第五条管理信息系统操作部门
除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
第一章:总则
第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。
第四条本规定适用于公司内所有计算机硬件及周边设备(如打印机、扫瞄仪、MO存储器,软磁碟,CD碟,数码相机、考勤机终端等)及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。
第二章信息系统安全管理
第五条计算机系统账号与操作员代码
一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
三、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
五、信息部门任何人员不得使用他人操作代码进行业务操作;
七、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
八、操作员不得使用或盗用他人代码进行业务操作。
九、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
第六条密码与权限管理
一、密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置应具有安全性、保密性,不能使用简单的代码和标记。
第三章数据安全管理
第七条存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并保证重要系统业务备份要有两份。并明确落实异地备份数据的管理职责;
第八条注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
第九条任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第十一条数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第十五条运行维护部门需指定专人负责计算机病毒的防范工作,建立企业内部计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
第十六条公司内所有计算机未经信息部允许不准安装与其业务部门无关的软件、不准使用来历不明的载体(包括软盘、光盘、移动硬、MP3盘其他存储介质)。
第四章网络安全及防病毒管理
第十七条任何人员不得盗用他人账号或操作员代码、公司内部网络安全管理密码进行操作
第十八条部门所使用计算机不得使用除集团军公司内及时通讯软件外的任何第三方软件。严禁在工作计算机上安装好BT、P2P等类型的多线程或占用带宽流量的下载软件,所有下载均采用单线程下载。保证公司的带宽有效利用。第十九条计算机内电子邮件收发均通过公司内部邮件系统进行,不得采用其他外部邮件系统,如因需要,可向信息中心申报后给予开通POS服务通道,并做备案。
第二十一条防病毒系统均采用公司统一布署的企业网络防病毒系统,各部门计算机病毒代码均由公司防病毒服务器进行统一下载,不得擅自登陆非本病毒软件官方以外的下载站点下载并进行病毒库代码更新。
第二十二条为保证公司Internet的带宽流量,信息主管部门必须对访问Internet权限进行管控,各部门若有访问外部Internet公网其他特别需求的,可提出申请,经部门主管及信息部门审核,报经总经理批准后,使申请人享受访问Internet的特别需求权力。未通过此程序审批而私自设定其他方法访问外部网络,一经发现,将做严责。如因此给公司带来损失的,责成责任人承担相应损失。
第五章机房安全管理
第二十五条保持机房整齐清洁,各种中心设备按维护计划定期进行保养。计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护、防雷、防尘等项工作,保证主机系统的平稳运行、定期对机房运行的各项环境指标(如温度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房各项设备的正常运行。
第二十六条机房内严禁吸烟、进食、会客、聊天等与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。其他部门如因需要携入移动计算机入机房需报经信息部门批准方可携入。
第二十七条机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
第二十九条定期检查机房消防设备器材,做做好检查登记,在机房值日记录上并做书面登记。
第三十条机房内不准随意丢弃存储介质和有关业务保密数据资料,对废弃存储介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。
第三十一条服务器等所在的中心机房后备电源(UPS)除了电池自动检测外,每年必须深充放电一次到两次。
第六章IT设备购置、配发、维修及报废管理
第三十二条IT设备购置
一、所有IT设备均由公司采供部进行采购。设备购置由使用部门提出申请,由信息部门进行核定后上报公司分管领导审批后转公司采供部统一采购。
二、对IT设备的采购验收信息部配合采供部共同完成,验收合格后由信息部进行安装调试后配发申请使用部门。
三、信息部负责对购置的IT设备做专项台账建立,并于年低转交一份至公司财务部备查。
四、大型IT设备采购或特殊IT设备采购,申请部门原则上提前一周向信息部转交购置申请,信息部在接到购置申请后必须进行询价,询价必须至少在三家以上,出具IT设备购置市场调查及建议随附购置申请上报公司领导审批,审批后转公司采供部。
五、IT设备耗材的采购,信息部配合办公室、财务部、企划部制定IT设备耗材定额及费用核算后按核算标准采购。部门IT设备耗材超出核算部分由部门自行承担。
六、对IT设备的采购严格遵守公司的统一采购流程及管理规定,配合采供部完成IT设备的采购及验收工作。
第三十三条IT设备配发
一、公司IT设备的购置配发及调配由信息部进行统一规划和管理。
三、公司各部门因工作需要提出申请配发IT设备的,由使用部门提出申请,具体载名使用岗位、用途后转信息部,由信息部按工作岗位、工作需要、性能要求等分配闲置IT设备或购置。如需购置则转入IT设备采购流程进行购置配发。
第三十四条IT设备故障维修
一、信息部负责公司所有IT设备的故障及维修。
二、信息部对公司的IT设备故障做鉴定和维修,并出具鉴定结果,并对鉴定结果负责。
三、在接到部门的使用保障后,一般故障需在15分钟内赶到,影响
到部门正常工作业务开展的,5分钟内必须赶到(特殊情况除外),重大故障(数据丢失、工作无法开展的)必须在接到报障后,报请信息部负责人,由信息部提出解决方案,依据方案进行处理,对重大故障信息部必须备案。四、对于一般故障和影响到部门工作业务开展的,必须在当天工作日内完成处理,超出工作日的原则上不算加班。对于重大故障必须及时维护及维修的,如超出工作时限部分按照实际情况酌情处理。
五、任何报障必须建立报障维修记录,并做保障事故签定。维修人员对保障事故鉴定负责。信息部负责人对重大故障的处理方案及结果负责。
六、IT设备硬件故障经信息部维修人员鉴定在其范围内无法维修的,如在三包范围内的,由信息部联系销售厂家进行维修。超出三包范围的,信息部填报外包维修申请单,由信息部负责人核准上报公司分管领导审批后交由外包维修单位进行维修。
七、IT设备外包维修单位具体事宜由信息部进行洽谈并与其签定外包维修合同。合同交由法务部进行核准方可签定。
八、对于发往外包维修或三包范围内的设备维修信息部必须进行登记造册,注明产品型号、品牌、内部具体配置等信息。在维修返回后依据的出厂维修登记进行验收。
九、对于外包或三包范围内的IT设备维修,为确保报障部门正常工作,信息部在不影响其他部门工作正常开展的情况下有权对IT设备进行暂时调配。
十、企业IT核心设备的硬件物理损坏故障鉴定必须由厂家及公司委托专业IT设备鉴定机构完成,信息部负责全程跟踪,对最终鉴定结果负责。
十一、对于IT硬件设备故障在鉴定后无维修价值的,转入IT设备报废管理流程进行处理。
第三十五条IT设备报废管理
一、IT设备的报废鉴定统一由信息部完成,特殊IT设备(如服务器,磁带存储设备、核心路由器、核心交换机)的故障鉴定由厂家、公司委托第三方IT设备鉴定机构、信息部共同完成。信息部对IT设备的报废鉴定结果负责。二、信息部对IT设备报废鉴定报告上报公司分管领导审批后,对报废IT设备统一进行存放管理。
四、信息部对管理存放的报废IT设备定期进行清理,并做处理方案报公司分管领导审批后,对报废IT设备进行出售,并由办公室、财务部监督执行。对所出售所得款项当天缴至财务部。建立报废IT设备出售台账,以备查验。
五、公司各部门要在最大程度上提高IT设备的使用年限,厉行节约。信息部要做到IT设备可用零部件的二次利用,为公司开源节流做贡献。
第七章IT项目管理
第三十六条本管理规定适用于公司内信息化建设过程中的所有IT系统项目招标、采购及实施。
第三十七条公司信息化建设过程的系统建设要从公司中长期规划出发,结合公司现行实际发展情况,根据必要性、合理性、经济性而实施。保证公司的投资效益。
第三十八条公司IT系统的建立过程中的市场调研、组织招标、合同签定、项目实施等均由信息部与建设部门共同配合完成,信息部主导上述工作各环节。
第三十九条公司IT系统项目立项申请原则上由建设部门提出,信息部也可以根据公司发展提出。所有IT系统立项均报公司上会研究决定后方可着手实施。
第四十一条IT系统项目的采购合同必须报公司法务部进行核准后方可签定。
第四十二条IT系统项目一经确定立项实施,必须成立项目小组,确定项目小组负责人及成员,原则上项目小组负责人由公司领导担任,小组成员由公司内各部门负责人组成。信息部在项目实施过程中对项目小组负责。
第四十三条项目小组成员要根据项目要求,极积主动高质量完成项目实施过程中专项工作。工作实施专管专责,不得中途转手他人(特殊情况除外)。
第四十四条信息部在项目实施过程中负责协调、组织、沟通和实施过程中的衔接工作。及时解决处理项目实施过程中的技术和其他问题。
第四十五条信息部全程跟踪、管理项目实施过程中的所有环节,并对项目进度及质量负责。IT系统项目实施过程中的技术文档、项目需求、知识文档等信息部要建立完整的项目文档管理体系。
第四十六条IT系统项目验收由项目小组评审验收,信息部具体负责项目验收评估及项目验收报告并上报公司审批等工作。
第八章计算机使用管理
第四十九条信息部负责公司内部门的计算机软件、硬件、上网行为及系统运行的统一维护和管理。
第五十条信息部负责对公司内各部门使用的计算机做日常定期、不定期使用监督检查,对于检查中发现的违规全权处理。对于检查中发现的重大违规应及时上报公司分管领导。
第五十一条公司内全体员工对违规使用计算的行为有互相监督和举报的权利。
第五十二条严禁外来人员使用公司电脑。
第五十三条公司所有计算机实行封签管理。计算机的维修权在信息部,任何人不得擅自更改计算机硬件配置或打开计算机,非信息部人员对计算机故障原因的确定无任何效力。
第五十四条下班后各部门必须关闭计算机及处围设备,检查电源情况,确保安全方可离开。
第五十六条计算机使用人员不得擅自更改系统软件设置,安装与工作无关的即时通讯、炒股、游戏、BT下载、P2P、在线流媒体音视频播放等第三方软件。
第五十七条公司接入互联网的网络参数及设备参数严格实行保密,信息部对此项保密负责。
第五十八条特殊岗位使用计算机和系统操作人员必须与公司统一签定公司信息网络安全保密协议。
第五十九条任何人不得利用公司计算机和网络从事违法犯罪活动,一经查处落实,将从严处罚。
第六十二条公司内部网络带宽依据各部门实际工作需要,做带宽规划并进行带宽分配,确保各部门工作不受第三方影响。
第六十三条公司内除特别需要的,各部门使用的计算机一律通过公司域服务器登陆。并对各部门的USB接口,CD(DVD)光驱进行技术关闭。确保计算机内部数据及网络信息系统安全。
第六十四条公司内各部门的文件传输均采用公司内部邮件系统或公司内部即时通讯软件完成。
第六十五条信息部有权利用网络监控技术手段对公司内各岗位所使用的工作计算机进行数据、上网行为、系统等操作行为进行工作期间的监控。并对违规操作每月定期进行通报。
第九章罚则
第六十六条根据操作违规所给公司及信息系统的运行带来的损失及影响将违规操作分为A、B、C三类。
一、A类违规及范围界定:
2、在未经允许的情况下安装与信息系统或工作无关的软件、使用外带的各类移动存储设备(如:软盘、光盘、U盘等),给公司信息系统带来直接危害的。
3、工作期间通过信息网络系统登陆非公司业务的任何互连网网站及其它各类与工作无关的网站网页,导致公司内部信息网络感染病毒的并严重影响工作开展的。
4、将公司网络参数及网络设备参数外泄造成公司网络信息系统安全隐患的。
5、未经允许以任何理由复制、携带、帮助查阅、口头泄露等任何方式将公司各类信息数据带出办公岗位或告知他人的。
6、在公司关键及特殊岗位使用的计算机上安装各类游软件的。
7、恶意更改公司网络信息系统的所涉及的各类参数及数据的。
8、通过公司网络信息系统窃取其它部门或个人的文档资料或文件,造成恶劣影响并给公司、部门、个人带来损失的。
9、向外界以书面或口头形式透露公司信息网络安全防御工具及措施的。
11、IT设备未经报批擅自做报废和处理的。
12、蓄意破坏公司IT设备、网络线路造成严重损失和恶劣影响的。
13、对采购的IT设备未按验收流程严格验收,致使验收的IT设备无法正常运行的。
14、对IT系统项目立项招标过程中不按公司项目招标管理规定,违规操作的。
16、不按规定下班对IT设备进行电源关闭安全隐患检查,造成重大损失的。
17、采用技术或非技术手段蓄意破坏公司信息系统硬件或软件,造成重大后果的。
凡违反A类界定违规项的处以200--1000元/次/项罚款。并因此给公司、部门及个人造成的一切损失由违规人全部承担。情节严重的上报公司将移交司法机关处理,并保留起诉权。
二、B类违规及范围界定:
3、所有的过失错误造成公司信息系统数据不准确及偏差给公司造成损失的。包括:仓库盘点数据录入错误、对信息系统出现的问题及故障人为性不及时处理造成部门工作延误或影响的、对部门内发现的问题不及时上报隐瞒问题真象的等所有因个人工作过失造成影响到公司信息管理的一切违规行为。
4、违反IT管理规定登陆互联网造公司计算机感染病毒或采用非正规手段传播、制造病毒,给公司信息系统安全带来隐患的。
5.将IT设备配件擅自拆除挪作他用或盗取的。
凡违反B类限定违规项的处以20--100元/次/项罚款。并因此给企业或个人造成的一切损失由违规人全部承担。情节严重的公司将根据实际情况予以加重处理或解聘。
三、C类违规范围界定:
1、因个人工作延误或失职造成工作的滞后但未给公司造成直接经济损失的。包括:数据录入信息系统不及时、不涉及公司核算项的内容录入错误、单据录入或未做系统提交生效的、各类单据及业务处理错误但能及时发现并予以改正的。
3、工作期间利用计算机做与工作无关的事,违规下载各类文件的。
4、不按规定下班对IT设备进行电源关闭安全隐患检查,造成损失的
5、擅自打开或更换公司IT设备内部配置或安装与工作无关软件的。
6、不按规定工作期间计算机未登陆域服务器,造成公司IT管理失控的
凡违反C限定违规项的处以20元/次/项罚款。并对违规行为做公司内警告处分。
第六十七条信息部人员违反本管理规定加重责罚。
第十章附则
第六十八条此管理规定由信息部负责起草并解释。
第六十九条此管理规定报公司批准下发后即时生效。
为进一步促进本单位压力容器安全管理工作的针对性、及时性和工作效能,切实解决监管工作中的情况不掌握、监管不及时、重点不明确、措施不到位、整改不全面等问题,特制定本单位压力容器安全信息收集、传达与沟通的制度。...
为进一步落实市区关于学生资助工作文件精神,认真做好学前教育段资助工作,确保资助工作落到实处,特制定本工作制度。一、指导思想学前教育段资助是学生资助政策体系的重要组成部分、幼儿园高度重视幼儿的资助工作,坚持“公开、公平、公...
第一章总则第一条为了规范保险公司的信息披露行为,保障投保人、被保险人和受益人的合法权益,促进保险业健康发展,根据《中华人民共和国国保险法》等法律、行政法规,制定本办法。...
第一章总则第一条为作好信息管理,加快我校信息化建设步伐,提高信息资源的运作成效,结合具体情况,制定本制度。第二条本管理制度中关于信息的定义:1、行政信息:在我校内部目的为行政传达的一切文字资料、电子邮件、文件、传真。...
一、总体要求局办公室负责局门户网站内容保障工作(主要是政府信息公开)的总体规划、协调指导和检查督促。局办公室按照市人民政府办公室要求,负责做好信息收集、整理、报审、网上发布以及信息员队伍建设、考核奖惩等工作。...
第一章总则第一条为加强客户信息资料的管理,打击销售误导、侵占挪用保险金、假保单、假机构等违法违规行为,切实维护投保人、被保险人合法权益,根据《保险法》等有关法律法规,以及《广东人身保险客户信息资料真实性管理办法(试行)》...
第一章总则第一条为了规范贵研铂业股份有限公司(以下简称“公司”)的信息披露行为,加强信息披露管理工作,建立健全信息披露事务管理制度,提高信息披露管理水平和信息披露质量,保证公司依法运作,维护公司和投资者的合法权益,根据《中华人民...
一、质量检验科是原材料、外购件进厂检验把关的责任单位,全面负责原材料,外购件从进厂到入库的全过程质量控制。二、进厂的原料,外购件进厂后必须经专职质量员,按相应的标准,进行入厂检验,检验合格,填写原材料、外购件“采购质量检...
一、计算机系学校贵重财产和精密设备,由专人负责,为确保软硬件设备的正常运转,管理人员和使用人员均应严格执行有关规定。二、全校设立计算机财产总帐,中小学部各设立分帐,设备调入调出应有明确记载,并定期清点,帐物相符。...