煉油廠——信息系統(tǒng)應(yīng)用管理規(guī)定

1、qg/shcz 03208-2008 (a/0)滄州分公司企業(yè)標(biāo)準(zhǔn)信息系統(tǒng)應(yīng)用管理辦法qg/shcz 03208-2008 (a/0)1 范圍本標(biāo)準(zhǔn)規(guī)定了管理信息系統(tǒng)的應(yīng)用管理的要求。本標(biāo)準(zhǔn)適用于滄州分公司所有信息系統(tǒng)的應(yīng)用管理活動(dòng)的管理。2 規(guī)范性引用文件中國石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法（試行）。3 職責(zé)和權(quán)限3.1 信息中心是本標(biāo)準(zhǔn)的歸口管理部門。負(fù)責(zé)企業(yè)管理信息系統(tǒng)的應(yīng)用管理工作，并進(jìn)行監(jiān)督、檢查和考核。4 管理內(nèi)容與控制要求4.1 用戶權(quán)限管理4.1.1 要加強(qiáng)管理信息系統(tǒng)的用戶權(quán)限管理，按照“崗位需要、權(quán)責(zé)對等、統(tǒng)一授權(quán)”的原則，對用戶進(jìn)行分類分級(jí)管理，明確各級(jí)用戶職

2、責(zé)，嚴(yán)格控制權(quán)限范圍。4.1.2 重要的管理信息系統(tǒng)，要配備專職或兼職應(yīng)用系統(tǒng)管理員，兼職應(yīng)用系統(tǒng)管理員的職責(zé)應(yīng)遵循不相容崗位原則，主要負(fù)責(zé)應(yīng)用系統(tǒng)用戶增加、刪除、權(quán)限分配與變更；系統(tǒng)用戶及權(quán)限定期審核；應(yīng)用系統(tǒng)數(shù)據(jù)備份與恢復(fù)；應(yīng)用系統(tǒng)日常維護(hù)等工作。4.1.3 數(shù)據(jù)庫管理員、操作系統(tǒng)管理員（以下統(tǒng)稱系統(tǒng)管理員）和應(yīng)用系統(tǒng)管理員的任命要經(jīng)過嚴(yán)格審批和定期審核。應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員不能由同一人擔(dān)任。4.1.4 對訪問信息系統(tǒng)的用戶要有嚴(yán)格的申請審批流程，用戶的增加、刪除、權(quán)限變更必須填寫申請表，經(jīng)相關(guān)部門負(fù)責(zé)人審批后，方可訪問系統(tǒng)；系統(tǒng)按權(quán)限組或角色分配用戶權(quán)限時(shí)，權(quán)限組、角色的定義要經(jīng)過

3、相關(guān)負(fù)責(zé)人審批。4.1.5 系統(tǒng)管理員要在崗位職責(zé)權(quán)限范圍內(nèi)做好系統(tǒng)監(jiān)控、備份、恢復(fù)、系統(tǒng)變更等工作，記錄操作過程并形成相關(guān)文檔，不得進(jìn)行職責(zé)權(quán)限范圍以外的具體業(yè)務(wù)處理和操作。4.1.6 應(yīng)用系統(tǒng)管理員至少每半年檢查一次系統(tǒng)中的用戶和權(quán)限及使用情況，發(fā)現(xiàn)有異常情況及時(shí)向相關(guān)部門負(fù)責(zé)人匯報(bào)；相關(guān)部門負(fù)責(zé)人要定期審核系統(tǒng)內(nèi)用戶清單及權(quán)限是否與其崗位職責(zé)相符，如有不符，及時(shí)通知應(yīng)用系統(tǒng)管理員做出調(diào)整。4.2 用戶訪問管理4.2.1 應(yīng)用系統(tǒng)中用戶帳號(hào)不得重復(fù)；業(yè)務(wù)操作賬號(hào)不得共享，對查詢、加油站班組等共享賬號(hào)的申請審批要嚴(yán)格控制，并定期審核。4.2.2 要嚴(yán)格控制第三方人員對系統(tǒng)的訪問，第三方人員必

4、須訪問系統(tǒng)時(shí)，應(yīng)填寫賬號(hào)申請表，說明賬號(hào)使用的原因、時(shí)間和期限，并由相關(guān)部門負(fù)責(zé)人批準(zhǔn)，到期要及時(shí)刪除或鎖定其賬號(hào)。4.2.3 開發(fā)人員不得進(jìn)入生產(chǎn)環(huán)境，確有需要時(shí)，開發(fā)人員臨時(shí)進(jìn)入生產(chǎn)系統(tǒng)要經(jīng)過嚴(yán)格審批和授權(quán)，到期要及時(shí)刪除或鎖定開發(fā)人員的賬號(hào)。4.2.4 應(yīng)用系統(tǒng)管理員要定期審核系統(tǒng)內(nèi)的用戶賬號(hào)清單，發(fā)現(xiàn)異常情況及時(shí)向相關(guān)部門負(fù)責(zé)人匯報(bào)。4.2.5 系統(tǒng)用戶須妥善管理自己的用戶賬號(hào)，用戶賬號(hào)只限本人使用，不得轉(zhuǎn)借他人，臨時(shí)離開時(shí)要退出系統(tǒng)或鎖定計(jì)算機(jī)。4.3 密碼管理4.3.1 為保證管理信息系統(tǒng)安全，系統(tǒng)密碼的長度至少為6位，復(fù)雜度為數(shù)字與字母的組合；所有用戶首次登錄系統(tǒng)必須更改初始密碼

5、，使用中要定期更改密碼，新密碼不得與歷史密碼相同；登錄時(shí)，密碼多次輸入錯(cuò)誤應(yīng)鎖定該用戶賬號(hào)。4.3.2 操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的初始密碼必須在系統(tǒng)投用前修改，系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員必須定期更改密碼。4.3.3 如果密碼長度、密碼復(fù)雜度、密碼定期修改、密碼多次輸錯(cuò)鎖定等要求不能在應(yīng)用系統(tǒng)中強(qiáng)制控制實(shí)現(xiàn)，各單位信息部門負(fù)責(zé)人、應(yīng)用系統(tǒng)管理員要加強(qiáng)用戶密碼使用的培訓(xùn)和定期監(jiān)督檢查工作。4.4 系統(tǒng)變更管理 4.4.1 要嚴(yán)格管理和控制應(yīng)用系統(tǒng)的變更，總部統(tǒng)一實(shí)施的系統(tǒng)，應(yīng)用程序變更必須上報(bào)總部信息系統(tǒng)管理部和相關(guān)業(yè)務(wù)部門，由總部統(tǒng)一組織升級(jí)、測試和變更。分公司自建系統(tǒng)的變更，必須經(jīng)過分公司信

6、息管理部門和相關(guān)業(yè)務(wù)部門負(fù)責(zé)人審批后，方可變更。4.4.2 應(yīng)用程序變更移植到生產(chǎn)系統(tǒng)前必須進(jìn)行系統(tǒng)測試和最終用戶測試，測試不能在生產(chǎn)環(huán)境中進(jìn)行；變更過程中，要做好系統(tǒng)數(shù)據(jù)的遷移工作，確保數(shù)據(jù)安全、完整。4.4.3 凡操作系統(tǒng)和數(shù)據(jù)庫打補(bǔ)丁、系統(tǒng)性能優(yōu)化等配置變更，必須嚴(yán)格審批程序，并經(jīng)過嚴(yán)格測試后，才能在生產(chǎn)環(huán)境中生效。4.4.4 總部統(tǒng)一實(shí)施的管理信息系統(tǒng)不允許緊急變更。4.4.5 信息管理部門必須做好操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的版本管理，記錄每次變更的版本號(hào)，存檔變更文檔和變更升級(jí)程序。4.5 數(shù)據(jù)及接口管理4.5.1 要嚴(yán)格控制應(yīng)用系統(tǒng)數(shù)據(jù)導(dǎo)入、導(dǎo)出權(quán)限；需與總部統(tǒng)一實(shí)施的系統(tǒng)建立接口

7、時(shí)，必須報(bào)總部信息系統(tǒng)管理部和相關(guān)業(yè)務(wù)部門審批，分）公司、各實(shí)施單位不得自行接入接口程序。4.5.2 要嚴(yán)格管理信息系統(tǒng)的主數(shù)據(jù)，對總部統(tǒng)一制定下發(fā)的信息標(biāo)準(zhǔn)代碼，分公司必須遵照執(zhí)行，需要增加、刪除、修改時(shí)，必須按照相關(guān)規(guī)定，上報(bào)總部有關(guān)部門審批。4.6 終端用戶計(jì)算管理4.6.1 終端用戶計(jì)算是指與財(cái)務(wù)報(bào)告生成相關(guān)的并含有計(jì)算公式的小程序和電子表格，各部門要加強(qiáng)終端用戶計(jì)算管理，需接入總部統(tǒng)一實(shí)施系統(tǒng)的終端用戶計(jì)算，須報(bào)總部信息系統(tǒng)管理部和相關(guān)業(yè)務(wù)部門審批；其他終端用戶計(jì)算報(bào)信息中心和相關(guān)業(yè)務(wù)部門審批。4.6.2 終端用戶計(jì)算啟用前必須經(jīng)過嚴(yán)格測試和公式運(yùn)算，并提供詳細(xì)的使用說明文檔；終端用

8、戶計(jì)算的變更，必須經(jīng)過嚴(yán)格審批和測試，并存檔變更文檔和變更升級(jí)程序，其數(shù)據(jù)要定期備份。4.6.3 要嚴(yán)格控制終端用戶計(jì)算的訪問權(quán)限和數(shù)據(jù)導(dǎo)入導(dǎo)出權(quán)限，對訪問終端用戶計(jì)算的用戶要嚴(yán)格申請審批流程，各相關(guān)業(yè)務(wù)部門要定期檢查終端用戶計(jì)算的用戶權(quán)限和訪問情況。4.7 日志管理4.7.1 系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員要定期備份和審核相關(guān)系統(tǒng)日志，發(fā)現(xiàn)異常情況，及時(shí)上報(bào)有關(guān)負(fù)責(zé)人，同時(shí)查明原因，提出處理意見，記錄處理情況。4.7.2 獨(dú)立于系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員的安全管理員要定期審核網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用系統(tǒng)的日志。4.8 備份管理4.8.1 為保證信息系統(tǒng)數(shù)據(jù)安全，要定期備份應(yīng)用系統(tǒng)程序和應(yīng)用數(shù)

9、據(jù)，備份方式、備份頻率根據(jù)系統(tǒng)的具體情況確定。4.8.2 為防止意外，須異地備份或?qū)浞萁橘|(zhì)異地存放，備份介質(zhì)存放時(shí)要辦理交接手續(xù)；嚴(yán)格控制備份介質(zhì)的訪問權(quán)限，備份介質(zhì)的存取要有記錄。備份介質(zhì)存放地點(diǎn)必須防火、防潮、防磁。4.8.3 原則上每半年做一次備份數(shù)據(jù)的可讀性測試；必要時(shí)，每年做一次恢復(fù)性測試，要詳細(xì)記錄恢復(fù)的步驟、數(shù)據(jù)情況、恢復(fù)結(jié)果，并經(jīng)相關(guān)負(fù)責(zé)人審核確認(rèn)。系統(tǒng)管理員或應(yīng)用系統(tǒng)管理員要熟練掌握數(shù)據(jù)恢復(fù)的操作步驟。4.9 問題管理4.9.1 系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員要對系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控；系統(tǒng)運(yùn)行中出現(xiàn)故障時(shí)，普通操作人員不得擅自處理，應(yīng)保護(hù)現(xiàn)場，及時(shí)與系統(tǒng)管理員聯(lián)系；系統(tǒng)管理員不

10、能排除故障時(shí)，向總部信息系統(tǒng)管理部求助。4.9.2 對用戶申報(bào)的問題，必須及時(shí)處理和跟蹤，詳細(xì)記錄故障發(fā)生時(shí)間、故障情況、解決辦法、處理結(jié)果等，并經(jīng)相關(guān)部門負(fù)責(zé)人審核簽字。4.10 第三方服務(wù)供應(yīng)商管理4.10.1 對于第三方服務(wù)供應(yīng)商，應(yīng)簽署保密協(xié)議或在合同中訂立保密條款，保證其服務(wù)的安全、準(zhǔn)確和有效性。4.11 培訓(xùn)和規(guī)避風(fēng)險(xiǎn)4.11.1 應(yīng)強(qiáng)化本單位管理信息系統(tǒng)的應(yīng)用培訓(xùn)，培訓(xùn)內(nèi)容除包括系統(tǒng)操作外，還應(yīng)加強(qiáng)有關(guān)安全政策、權(quán)限申請、系統(tǒng)訪問、密碼管理等方面的安全教育，提高全員安全意識(shí)。4.11.2 投入運(yùn)行的系統(tǒng)，其系統(tǒng)功能達(dá)不到本辦法的有關(guān)要求，應(yīng)進(jìn)行系統(tǒng)升級(jí)或變更；目前暫無升級(jí)計(jì)劃的系

11、統(tǒng)，必須加強(qiáng)管理和培訓(xùn)，加大監(jiān)控力度，有效規(guī)避風(fēng)險(xiǎn)。5 形成的文件與記錄5.1 應(yīng)用系統(tǒng)管理員工作記錄5.2 應(yīng)用系統(tǒng)用戶權(quán)限分配、變更記錄5.3 應(yīng)用系統(tǒng)日志備份記錄6 檢查和考核6.1 各部門負(fù)責(zé)管理信息系統(tǒng)的應(yīng)用系統(tǒng)管理員必須每三個(gè)月檢查一次系統(tǒng)中的用戶和權(quán)限情況，有用戶調(diào)動(dòng)或崗位變更的，必須同時(shí)變更該用戶在應(yīng)用系統(tǒng)中的權(quán)限，應(yīng)用管理員至少每半年打印一次用戶帳號(hào)權(quán)限清單，并由相關(guān)部門負(fù)責(zé)人審核。6.2 數(shù)據(jù)庫管理員必須及時(shí)打上所負(fù)責(zé)的數(shù)據(jù)庫系統(tǒng)的補(bǔ)丁，每周檢查數(shù)據(jù)庫的運(yùn)行日志，至少每月對數(shù)據(jù)庫日志進(jìn)行一次備份。6.3 變更的應(yīng)用程序必須經(jīng)過系統(tǒng)測試和最終用戶測試，并做好測試記錄。6.4

12、用于生產(chǎn)系統(tǒng)的計(jì)算機(jī)，不得接入互聯(lián)網(wǎng)。最終用戶不得擅自安裝程序，不得更改計(jì)算機(jī)的硬件設(shè)施。7 附則7.1 本標(biāo)準(zhǔn)解釋權(quán)歸信息中心。附加說明：本標(biāo)準(zhǔn)由滄州分公司提出。本標(biāo)準(zhǔn)由信息中心負(fù)責(zé)起草。本標(biāo)準(zhǔn)主要起草人：路丙衛(wèi) 王文琦附表1 應(yīng)用系統(tǒng)管理員工作記錄 *應(yīng)用系統(tǒng)管理員工作記錄qg/shczb 03.208-01序號(hào)工 作內(nèi) 容時(shí)間簽名12345678910111213 14151617第 9 頁 共 9 頁附表2 應(yīng)用系統(tǒng)用戶權(quán)限分配、變更記錄（用戶權(quán)限內(nèi)容根據(jù)具體應(yīng)用系統(tǒng)需要設(shè)置，此模板以erp系統(tǒng)為例）*應(yīng)用系統(tǒng)用戶權(quán)限分配、變更記錄qg/shczb 03.208-02姓名用戶權(quán)限用戶賬號(hào)報(bào)表定義報(bào)表修改報(bào)表刪除報(bào)表查詢報(bào)表打印報(bào)表轉(zhuǎn)出報(bào)表轉(zhuǎn)入報(bào)表數(shù)據(jù)上報(bào)報(bào)表數(shù)據(jù)接收報(bào)表存檔報(bào)表