中平能化集团信息化管理办法.docx
《中平能化集团信息化管理办法.docx》由会员分享,可在线阅读,更多相关《中平能化集团信息化管理办法.docx(11页珍藏版)》请在冰点文库上搜索。
中平能化集团信息化管理办法
中平〔2009〕337号
关于印发《中平能化集团信息化管理办法》的
通知
基层各单位,集团各职能部室,安监局,各直属单位,各事业部:
《中平能化集团信息化管理办法》已经集团同意,现予印发,请各单位认真贯彻执行。
中平能化集团
二○○九年九月十七日
(电子公文)
中平能化集团信息化管理办法
第一章总则
第一条信息化能力是集团核心竞争力的重要组成部分。
为加强集团信息化建设,持续提升信息化能力,特制定本办法。
第二条集团信息化管理涵盖信息化理念、组织体系、管理制度、技术规范、基础设施、应用平台、数据标准、数据管理、项目管理、系统安全和风险控制等各方面,应通过强化管理,进一步整合信息资源,提高信息化应用绩效,降低信息化建设风险,保障信息系统安全。
第三条本办法适用于集团各职能部室,直属和特设机构、专业化公司、事业部、区域公司及其所属各单位。
第二章信息化目标和原则
第四条集团信息化目标是:
“建设数字中平能化,推动创新促进发展”。
即信息化要以科学发展观为指导,服从服务于集团发展战略,积极推进信息化进程,优化配置和开发利用有形、无形两种资源,为推进融合提供管控平台,为优化管理提供系统服务,为加快发展提供决策支撑,通过业务、管理、决策三个层面的全面信息化,形成持续巩固和不断提升的信息化竞争力。
第五条集团信息化原则是“统一规划,分步实施,效益驱动,突出重点”。
即按照“理念清晰、组织健全、管理规范、监管到位、技术统一、系统完善、数据精准、资源整合”的要求,制定集团中长期信息化战略规划,明确信息化决策的权力和责任,执行切实可行的治理流程,实现资源的最优配置,保证信息系统建设有效、可用增效和安全高效,使集团从信息化投入中获得更高的效率和更大的效益。
第三章信息化组织和工作机制
第六条集团信息化领导小组由集团主要领导任组长,分管领导任常务副组长,成员由集团各职能部室和各专业化公司、事业部分管信息化工作的领导组成。
领导小组下设办公室,作为信息化管理工作的常设机构。
集团各专业化公司、
各事业部及所属生产经营单位也要成立专职或兼职的信息化工作机构。
业务上较低层级服从较高层级。
第七条集团信息化领导机构建立明确的工作制度、例会制度或根据需要召开临时会议,审议和审批信息化工作机构的工作,以确保信息化规划与公司发展规划的一致性,确保信息化规划的健康发展。
第八条集团信息化工作部门职责:
在信息化领导小组指导下,组织制定并实施集团中长期信息化规划、信息化阶段目标及实施计划、年度信息化工作计划及投资预算、信息化治理目标和工作计划;健全信息化管理制度和建设标准,完善信息化绩效和风险的评估与控制机制;协调集团信息化建设工作,向集团报告信息化重大事项,并对上报事项的真实性、准确性和完整性负责。
第九条着力建设复合型的信息化管理和技术人才队伍,制定合理的培训制度、激励机制和奖惩措施。
各级单位和部门应配备必要的信息化工作人员,信息化从业人员应实行持证上岗制度。
第十条建立信息化建设和管理考核机制,至少每年进行一次对集团所属单位信息化建设管理的综合考核评价。
必要时,可进行专项督察治理。
第四章信息系统基础设施管理
第十一条信息系统基础设施包括机房系统、网络系统(骨干网络、局域网络、专用网络、工业网络等)、安全系统、计算系统、存储系统、容灾系统、基础软件、终端设备
等,其中每一项都包含一系列整合的装备和服务。
第十二条基础设施建设实行“统筹规划、统一标准、分级建设、分级管理”的原则,集团定期评估基础设施的容量和适应能力,在有重大变化时对架构进行评估,保证基础设施的适应性和合理性。
第十三条根据成本效益与安全控制等要求,确定基础设施资源的集中度,科学设计和管理基础设施的容量,保持基础设施的相对稳定,兼顾良好的可扩展性和灵活性,保证业务扩展和新增需求能够快速、高效的部署,安全可靠的应用。
第十四条计算机通讯中心负责制定集团基础设施建设技术标准、基础设施的规划指导、检查监督等工作。
计算机通讯公司负责基础设施的建设实施、维护管理。
基层单位的基础设施建设方案须报计算机通讯中心审批,经批准后方可组织实施。
报批方案应当包括需求分析、技术选型、设计方案、实施方案、安全措施、投资预算等内容。
第十五条集团与各基层单位基础设施界面为局域网主接入交换机。
计算机通讯公司负责集团界面以上基础设施的维护管理和运行保障,负责局域网核心交换机的配置管理。
基层单位根据基础设施规模和技术复杂程度设立专(兼)职的机构或人员维护管理,或委托计算机通讯公司维护管理。
第十六条集团网络覆盖单位必须通过集团统一出口接入互联网,以发挥集团网络整体安全策略的作用,保障应用系统的无障碍运行环境。
申请接入集团网络的单位,由计算机通讯中心审定接入方案,计算机通讯公司负责实施。
严禁各单位网络以任何形式接入其它网络。
第十七条通过互联网接入集团网络,并访问和操作重要应用信息系统的用户,应采用可靠的安全接入方式,具体技术方案由计算机通讯中心审批,由计算机通讯公司负责实施并监督应用。
第十八条涉密网络不得以任何方式接入或连通其他网络,必须与其他网络物理隔离,不得以逻辑隔离代替物理隔离,涉密信息不得在网络中传输与存储。
第十九条专用网络(安全监测、工业监控等网络)及相关设备的配置管理和运行维护由业务主管部门设立机构或人员负责,需要连接其他网络的应采取安全方式。
第二十条内网各网络终端要求IP地址绑定MAC地址或固定IP地址,并详细记录IP地址分配情况。
通过代理接入网络的单位必须保留网内用户上网日志60天,以备追查非法网络访问行为和定位网络故障。
第二十一条各单位所辖网络内部发生故障,网络管理人员应立即隔离故障区域,同时排查解决故障;自己不能解决的,报告计算机通讯公司协助处理。
当单位网络故障影响集团网络运行时,计算机通讯公司采取措施隔离故障网络,并协助排查处理,短时间不能解决的,应上报计算机通讯中心。
第二十二条各单位网络变更应在网络月报表中说明,报计算机通讯中心备案。
如涉及骨干网配置须报计算机通讯中心审核,由计算机通讯公司实施。
各单位加强网络管理所采用的技术措施需经计算机通讯中心审核后方可实施,对于涉及全网的技术措施与手段,由计算机通讯中心统一组织实施。
第五章应用信息系统管理
第二十三条信息化应用系统建设(含升级)应建立技术部门和业务部门之间有效的沟通协调机制,加强业务与技术的协同互动。
应用需求应由相应的使用部门和计算机通讯中心在需求调研的基础上提出,对建设的必要性、技术的前瞻性、方案的可行性、数据的安全性和运行的可靠性等,进行充分论证并经计算机通讯中心审批备案。
第二十四条视应用需求和实际情况,应用系统的建设可采取自主开发、联合开发、委托开发及购买商品软件等方式。
应用系统建设必须制定贯穿需求分析、立项决策、系统建设、系统验收和上线运行等阶段完整的工作制度与工作流程,由使用部门、建设部门和集团内控部门参与验收。
第二十五条应用系统应严格执行统一的数据标准和信息代码,尽可能统一基础软件、开发语言和运行平台,以便为系统整合和数据共享打下基础。
同时应为今后的系统间集成留有接口。
第二十六条应用系统投入运行后,应建立纠错性维护(软件BUG处理)、适应性维护(运行环境变动的程序维护)和完善性维护(对于新需求的软件功能完善)机制,保障应用系统的可用与安全。
维护可由开发方、使用方或具备能力的第三方承担,维护服务以合同约定为准。
第二十七条应用系统的使用单位对应用系统运行所必须配备的硬件及软件负责,硬件应保证应用系统的运行需求,系统软件应使用正版。
应用系统交付使用后,以合同约定或协议为准组织进行技术培训和应用培训,系统升级应进行相应培训。
第二十八条对于需要在集团数据中心部署运行环境的应用系统,由应用主管部门或单位提出书面申请,经计算机通讯中心批准后由计算机通讯公司按协议提供相应服务和技术支持。
第二十九条应用系统主管部门或单位对应用系统的使用负责,要配备专职或兼职的系统管理人员,并授权其进行系统设置、变更等操作,统一分配系统用户和管理用户权限。
第三十条应用部门对系统数据的真实性、准确性、及时性和完整性负责。
集团内控部门有权进行核查,并督促有关应用部门或单位对失时、失实的数据进行补充和更正。
第三十一条任何单位或个人未经批准,不得对应用系统中处理或存储的数据和应用程序进行修改或删除。
不得将数据复制、打印、转借、删改。
不得向非工作需要的人员泄露应用系统的系统环境、系统设置和用户密码等信息。
第三十二条应用系统主管部门要建立系统级操作运行记录,应建立90天以上时段的日志,以备检查或追溯需要查询的操作。
第三十三条集团数据中心有权根据系统安全状况对运行中的设备或系统采取必要的强制管理措施,包括更改或限制服务器端口、限制网络带宽、中断网络连接、关闭停止运行等。
第三十四条凡需要申请域名的单位,须按域名使用要求,填写域名注册申请表,报请计算机通讯中心审批,由计算机通讯公司统一办理注册。
未经允许各单位不得擅自在外注册域名和发布信息。
第三十五条发布于互联网的网站必须按照工业和信息化部统一的ICP备案格式填写备案表格,报送计算机通讯中心备案,备案信息由计算机通讯中心在1个月内向政府管理部门报送。
第三十六条涉及内部工作内容的网站,应设立用户名和密码以限制公开访问。
建立和操作数据库的网站,必须统一技术标准和数据标准。
通过网络公开发布信息,应有编辑校对、审查审批手续,对于不符合要求的,计算机通讯中心将停止网站运行,按要求整改完毕后重新开放。
第六章信息系统数据管理
第三十七条数据是集团重要的资源,必须按照数据集中的要求,坚持技术与管理并重,确保集团信息系统数据的完整性、及时性和安全性,做到数据在权限范围内最大程度的共享,任何部门和个人不得将数据据为己有阻碍共享。
第三十八条做好信息资源规划,对于非结构性数据,要做好数据的属性管理、名称管理,以利检索和查阅。
对结构性数据,要统一数据标准,规范数据模型。
第三十九条积极推进数据的标准化,新建应用系统必须执行集团颁布的数据标准,已建成应用的系统应制定积极措施采用数据标准,或制定数据对应关系体现数据标准属性,以利系统集成、数据共享和挖掘利用。
第四十条数据库应用部门应指定专(兼)职人员,负责数据库的日常管理,做好数据库系统及其承载信息的安全保密工作。
各基层单位自己管理的应用系统数据库,由各单位自行管理,亦可委托计算机通讯公司管理,不得委托外部管理。
第四十一条数据库专(兼)职管理人员应当接受集团认可的专门培训并备案管理,要管理好数据库相关的系统文件、存储介质和数据资料,未经批准不得以任何形式将资料、介质带出机房或办公室。
第四十二条数据库应用部门要定期检查数据库的运行情况,按照设备维护或系统运行要求进行必要处理,并及时填写数据库维护记录,留存操作人员姓名、时间、内容、故障现象、处理手段等相关文档。
不准无关人员使用与数据库有关的计算机系统。
第四十三条数据库应用发生变化时,包括业务范围、操作系统、软件版本、硬件配置、网络连接方式等,其归属部门要在7个工作日内上报至计算机通讯中心。
第四十四条数据库系统安装使用必须采取相应的技术措施,如不使用操作系统的共享服务,限制数据库服务器与前台服务器非业务通信等,防止病毒破坏和渗透攻击。
第四十五条数据库安装完成后必须立即更改初始密码,使用的密码长度应合乎要求,字符组成要足够复杂。
数据库登陆用户名和超级用户密码,必须妥善保管不得泄漏。
重要系统的数据库密码应分段由两人分别持有,操作时两人必须同时在场。
数据库管理人员如有变动必须立即更改密码,其后应定期更换密码。
第四十六条数据库管理员应严格按照设定的权限操作,严禁越权操作,操作员应做好操作记录,并对自己用户名下的所有操作负责。
第四十七条计算机通讯公司保障数据中心数据库服务器、存储和备份设备的正常运行。
需要集团统一存储和备份的数据由其所属单位提出数据备份方案,经计算机通讯中心审批后,由计算机通讯公司根据委托或合同内容提供相应的数据存储备份服务和技术支持。
第四十八条在集团数据中心运行的应用系统和系统数据,由所属业务部门设置专人,负责应用系统数据的管理及使用。
各业务部门应根据不同类型数据量、更新频率、重要程度、保存时间,制定相应操作规范、备份和恢复方案。
第四十九条各应用系统备份方案应报送计算机通讯中心备案。
数据库管理员要按照方案作数据备份,并做好备份执行记录。
重要数据要建立实时数据存储和定期备份制度。
第五十条关键业务数据必须采用“双备份”原则,即:
除数据中心存储设备备份外,应用管理该数据库的业务部门,要指定专人用不可更改介质作另行备份,以保证数据的安全完整、便于追溯系统历史操作和严重灾难恢复。
遇到突发事件,各业务单位应提供备份,协助排查故障恢复数据。
第五十一条备份数据的存储介质不得由数据库管理员保管,应交档案管理人员按规定存放保管。
废弃数据要及时清理销毁。
数据备份文件应定期进行恢复测试,确保备份数据能够完整恢复。
第五十二条所有数据的输出必须经主管业务领导批准,任何单位和个人不得随意为外单位人员查询和输出与其业务无关的数据。
禁止向外扩散、拷贝数据和有关技术资料。
因工作需要查询本部门主管业务范围以外的数据,必须征得相关系统主管业务领导的同意,由负责此项业务的工作人员提供。
第五十三条对不执行数据库管理规定,造成数据设备损坏、数据严重破坏、数据资料丢失和泄密的要追究相关领导和当事人的责任。
第七章信息化建设项目管理
第五十四条加强信息化建设项目管理,严把资质准入关。
项目承接单位必须具备符合项目性质和规模的系统集成、安防、通信施工、软件、保密等准入资质,具有良好的资信、健全的质量保证体系和维护服务体系。
使用无资质或不合规资质单位施工的,按规定报集团和有关行政管理部门查处。
第五十五条集团信息化建设项目统一由信息通信技术开发公司(以下简称信通公司)总承包,不得外委,以利于统一建设标准,保证项目质量和长期保障服务。
违反本规定,集团内控部门不予受理、年终不予决算。
集团所属各控股子公司的信息化建设项目,民用住宅的系统集成、安防、通讯项目原则上按此规定执行。
第五十六条信通公司与建设单位签订总承包合同时,必须严格按照《合同法》和集团的有关规定,明确界定双方的责任、权利和义务,执行行业和集团现行造价政策。
第五十七条信通公司负责所承包工程的组织实施,加强与业主单位的协调,强化现场管理、技术管理和标准管理,确保工程质量和工期目标,做到统筹规划、统一标准、互联互通和安全保密。
第五十八条信通公司要加大改革力度,提高市场竞争意识和服务意识,加快技术进步,强化标准管理,优化工程设计,提升自主研发实施能力,严格执行承包合同和合作协议,降低工程造价,提高工程质量,保证后续服务,满足项目建设运行需要。
第八章信息化资金投入管理
第五十九条集团及各基层单位应建立信息化投入预算制度,保障信息化建设运维所需投入,并确定投入的优先顺序以及投入的金额。
信息化资金的使用必须严格执行集团有关规定。
第六十条集团信息化实行有偿服务模式。
根据集团信息化资产、投入及营运成本对集团所属各单位计收服务费用,由财务部门审定信息系统运行维护预算,由计算机通讯公司负责执行。
保持信息化必要投入、计收费用、运行维护、扩容升级的循环发展机制。
第六十一条集团应加强信息化投入的成本管理,从财务风险、市场风险、组织风险和技术风险上对信息化投入进行评估,并做出分析和权衡。
第九章信息系统安全管理
第六十二条计算机通讯中心负责监督、检查、指导信息系统安全工作,查处危害集团信息系统安全的事件;计算机通讯公司负责执行信息系统整体安全防范策略,保障网络安全,应用安全和数据安全,处理信息系统安全事件。
第六十三条信息系统安全事件的处理遵循以下原则:
事故原因没查清不放过、存在隐患没排除不放过、改进措施没落实不放过、事故责任没追究不放过。
第六十四条信息系统用户不得从事危害计算机网络安全的行为;严禁扫描访问非授权网络;不得非法对计算机网络资源进行删除、修改或增加;不得制作、传播计算机病毒等破坏性程序;远程办公用户必须妥善保存网络登录帐号和密码,不得交由他人使用。
第六十五条对危害信息系统安全的事件和行为,仅影响本单位局部的,由各单位处理并上报计算机通讯中心备案;影响到集团的,系统所属单位报送计算机通讯中心,配合计算机通讯公司处理解决。
第六十六条对于造成信息系统安全事件的责任单位和用户,按照影响程度及范围,采取通告、限期整改处理、停止用户帐号或有关单机入网、停止子网入网等措施,情况严重、影响恶劣并造成较大损失的报请集团处理,触犯国家相关法律法规的,移交政府有关部门处理。
第六十七条集团建立信息系统的灾难备份系统,由计算机通讯公司负责,定期检查系统运行情况,进行系统恢复测试。
第六十八条集团制定信息系统安全应急预案,明确应急预案的激活条件和处理流程,根据信息系统架构的变动及时调整应急预案相关内容并定期组织模拟演练。
第六十九条合作项目对合作方应有明确的安全要求。
合同应包含保密和诚信协议,明确各自承担的安全义务和责任。
合作方提供的产品或服务不得存在恶意代码或未授权的连接功能,不提供违反法律法规的功能和手段。
第七十条集团应建立信息系统审计制度,定期进行信息系统审计。
对重要信息化项目的建设和运行进行专项审计,对信息体系的合规性进行检查,必要时聘请外部有资质的机构进行信息系统审计和风险评估。
第十章附则
第七十一条本办法解释权归集团信息化领导小组。
此前印发的有关信息化文件与本办法冲突的,以此办法为准。
第七十二条本办法自印发之日起执行。
主题词:
信息化 管理办法 通知
中平能化集团综合办2009年9月23日印发
校对人:
杨静谊
升级会员 