信息系統(tǒng)建設(shè)維護(hù)管理辦法

1、信息系統(tǒng)建設(shè)維護(hù)管理辦法股份有限公司信息系統(tǒng)建設(shè)維護(hù)管理辦法文件編號號編制審核批準(zhǔn)發(fā)布日期 實施日期 股份有限公司 信 息系統(tǒng)建設(shè)維護(hù)管理辦法（試行）版本控制此文件為集團(tuán)辦公室受控文件。復(fù)印此文件將作為參考副本。用戶應(yīng)對核查此文件是否為最新版本負(fù)責(zé)。如此文檔的任何一部分需要修改，則此文件將全部重新 發(fā)表。修改請求將傳遞給文檔擁有者。（見下文）目錄 第一章 總則1第二章 職責(zé)1第三章第三方服務(wù)商管理1第四章部門工作程序 3第五章 系統(tǒng) 變更管理5第六章備份管理6第七章附則8第一章總則 第一條 為加強(qiáng)集團(tuán)公司信息系統(tǒng)規(guī)劃、建設(shè)階段項目管理， 規(guī)范信息系統(tǒng)規(guī)劃、建設(shè)管理流程，及時提供滿足管理和業(yè) 務(wù)

2、需求、穩(wěn)定可靠的應(yīng)用系統(tǒng)，特制定本辦法。第二條 本辦法適用于集團(tuán)公司信息系統(tǒng)規(guī)劃、建設(shè)管 理工作。第二章職責(zé)第三條集團(tuán)辦公室是信息系統(tǒng)管理的主 管部門，其職責(zé)是 負(fù)責(zé)制定集團(tuán)信息化發(fā)展規(guī)劃，并推進(jìn) 集團(tuán)信息化不斷發(fā)展。負(fù)責(zé)對集團(tuán)各信息系統(tǒng)的維護(hù)、管理工作負(fù)責(zé)對第三方服務(wù)商的管理。第三方服務(wù)商是指參與信息化系統(tǒng)建設(shè)的軟硬件提供 商、網(wǎng)絡(luò)服務(wù)提供商以及為集團(tuán)提供咨詢服務(wù)、運(yùn)行維護(hù)服 務(wù)、技術(shù)培訓(xùn)及其它相關(guān)信息化建設(shè)服務(wù)的廠商。負(fù)責(zé)受理各部門提交的信息系統(tǒng)需求的申請進(jìn)行審核。負(fù)責(zé)對各部門提交的信息系統(tǒng)需求進(jìn)行需求分析，同時 需要進(jìn)行安全分析，主持需求規(guī)格說明書、概要設(shè)計、演示 版的審核；負(fù)責(zé)質(zhì)量控制

3、，組織信息系統(tǒng)驗收和正式上線使 用；負(fù)責(zé)軟件開發(fā)過程中的整體協(xié)調(diào)工作。負(fù)責(zé)對新建的信息系統(tǒng)、設(shè)備、配套設(shè)施進(jìn)行監(jiān)督及管 理。第三章第三方服務(wù)商管理 第四條第三方服務(wù)商服務(wù) 范圍（一）咨詢服務(wù) 1、根據(jù)集團(tuán)信息系統(tǒng)建設(shè)總體部署， 協(xié)助集團(tuán)制定切實可行的技術(shù)實施方案；2、對集團(tuán)現(xiàn)有的信息技術(shù)基礎(chǔ)架構(gòu)、設(shè)備運(yùn)行狀態(tài)和應(yīng)用情況進(jìn)行診斷和評 估，提由合理化建議；3、根據(jù)集團(tuán)的實際情況提由備份方案和應(yīng)急方案；4、其它信息技術(shù)咨詢服務(wù)。（二）運(yùn)行維護(hù)服務(wù) 1、軟硬件設(shè)備安裝服務(wù)； 2、硬 件設(shè)備的維修和保養(yǎng)； 3、軟件系統(tǒng)的升級及故障處理； 4、 系統(tǒng)定期巡檢和整體性能評估； 5、其它運(yùn)行維護(hù)服務(wù)。（三）技

4、術(shù)培訓(xùn)根據(jù)集團(tuán)的實際情況，參照國內(nèi)先進(jìn)的技術(shù)和管理經(jīng)驗或標(biāo)準(zhǔn)提供相關(guān)的技術(shù)培訓(xùn)第五條 第三方服務(wù)商資質(zhì)認(rèn)證集團(tuán)辦公室負(fù)責(zé)組織第三方服務(wù)商的資質(zhì)認(rèn)證工作，資質(zhì)驗證的工作由不參與合 同簽訂的人員根據(jù)集團(tuán)規(guī)定進(jìn)行。第三方服務(wù)商的資質(zhì)認(rèn)證內(nèi)容，包括但不限于第三方的 技術(shù)能力、經(jīng)濟(jì)和財務(wù)能力以及對服務(wù)的報價。第六條第三方服務(wù)商協(xié)議簽訂所有第三方服務(wù)商提供的服務(wù)必須簽訂服務(wù)協(xié)議或合同。第三方服務(wù)商必須經(jīng)過資質(zhì)認(rèn)證才有簽訂服務(wù)協(xié)議或 合同的資格。在與第三方服務(wù)商簽訂的服務(wù)協(xié)議或合同中應(yīng)明確規(guī) 定1、符合集團(tuán)內(nèi)部控制、內(nèi)部安全管理及其它相關(guān)制度的 要求；2、規(guī)定對第三方服務(wù)商服務(wù)持續(xù)性的要求；3、符合知識產(chǎn)權(quán)

5、保護(hù)法，不得侵權(quán)，不得喪失集團(tuán)的知識產(chǎn)權(quán)或 版本權(quán)；4、與第三方服務(wù)商簽訂服務(wù)規(guī)范及保密協(xié)議；5、第三方服務(wù)商的服務(wù)范圍。第七條 第三方服務(wù)商服務(wù)質(zhì)量監(jiān)控與評價集團(tuán)辦公室指定專人對第三方服務(wù)商的服務(wù)進(jìn)行監(jiān)控，并對服務(wù)滿意 度進(jìn)行評價和記錄，確保其提供的服務(wù)符合集團(tuán)的內(nèi)部控制 的要求。在第三方服務(wù)商合同到期前一個月，集團(tuán)辦公室對第三 方服務(wù)質(zhì)量進(jìn)行評估，評估結(jié)果作為服務(wù)商備選資格的依 據(jù)。第四章 部門工作程序第八條 提由需求 各部門提由開發(fā)的應(yīng)用軟件的需求，具體包括時間要求、功能要求、權(quán) 限控制、安全要求和業(yè)務(wù)流程。第九條 受理 集團(tuán)辦公室在接到各部門的要求后，立即 著手安排各項準(zhǔn)備工作，制定任

6、務(wù)計劃，包括人力資源的考 慮和時間要求的考慮，尋找軟件開發(fā)商進(jìn)行協(xié)商，向信息系 統(tǒng)開發(fā)商提由開發(fā)要求。第十條需求分析信息系統(tǒng)開發(fā)商在接到開發(fā)要求后， 與集團(tuán)辦公室共同進(jìn)行需求分析。第十一條需求審核集團(tuán)辦公室組織各部門信息系統(tǒng) 開發(fā)商共同進(jìn)行需求規(guī)格說明書的審核，信息系統(tǒng)開發(fā)商提 供審核所需的材料和需求規(guī)格說明書，負(fù)責(zé)技術(shù)問題的解 釋。各部門應(yīng)認(rèn)真審核需求規(guī)格說書所描述的內(nèi)容是否符合 業(yè)務(wù)和管理要求，如果不符合要求集團(tuán)辦公室和信息系統(tǒng)開 發(fā)商重新進(jìn)行需求分析，直到審核通過為止，各部門簽字認(rèn) 可。第十二條概要設(shè)計信息系統(tǒng)開發(fā)商對審核通過后的 需求按軟件建設(shè)標(biāo)準(zhǔn)開始進(jìn)行概要設(shè)計。第十三條 概要設(shè)計審

7、核 集團(tuán)辦公室組織需求部門對 信息系統(tǒng)開發(fā)商的概要設(shè)計進(jìn)行審核，包括是否符合各部門 提由的業(yè)務(wù)和管理要求，是否符合軟件建設(shè)標(biāo)準(zhǔn)的要求，結(jié)構(gòu)是否合理審核未通過，信息系統(tǒng)開發(fā)商重新進(jìn)行概要設(shè)計。第十四條演示版建設(shè)信息系統(tǒng)開發(fā)商對概要設(shè)計通 過后的需求進(jìn)行演示版的建設(shè)，完成所有界面設(shè)計、業(yè)務(wù)流 程和功能規(guī)劃。第十五條 演示版的審核 集團(tuán)辦公室組織各部門信息 系統(tǒng)開發(fā)商共同進(jìn)行演示版的審核，業(yè)務(wù)部門要對界面、業(yè) 務(wù)流程和功能劃分進(jìn)行確認(rèn)，如未達(dá)到各部門的要求，重新 進(jìn)行演示版的建設(shè)，直到審核通過為止，由各部門簽字認(rèn)可。第十六條詳細(xì)設(shè)計和代碼編制信息系統(tǒng)開發(fā)商對演示版審核通過后的應(yīng)用開始進(jìn)行詳細(xì)設(shè)計和代

8、碼編寫，并按 軟件建設(shè)標(biāo)準(zhǔn)文檔模版補(bǔ)充和完善詳細(xì)設(shè)計說明書。信息系統(tǒng)開發(fā)商對代碼編寫完的應(yīng)用產(chǎn)品編寫安裝維護(hù)手冊、升級安裝手冊、用戶操作手冊、測試用例報告，并 進(jìn)行多種方式的測試，包括開發(fā)人員自身的測試、測試人員 的測試，測試環(huán)境的測試。測試的內(nèi)容不僅需要包含功能需求，也需要包含業(yè)務(wù)系 統(tǒng)的安全需求，測試人員在測試完成后應(yīng)編制測試報告，如 果由現(xiàn)BUG或者不滿足安全需求，要求填寫B(tài)UG記錄表,開發(fā)人員修訂程序代碼，直到測試完全通過。第十七條 安裝部署試運(yùn)行 集團(tuán)辦公室根據(jù)安排通知 信息系統(tǒng)開發(fā)商開始安裝部署試運(yùn)行時間。由辦公室組織各部門進(jìn)行安裝部署試運(yùn)行工作，并由各 部門負(fù)責(zé)用戶測試工作。第十

9、八條試運(yùn)行審核辦公室組織各部門試運(yùn)行進(jìn)行 審核，審查測試用例、報告測試報告以及相關(guān)的技術(shù)文檔， 對程序中的關(guān)鍵點(diǎn)和安全需求按照測試用例報告進(jìn)行嚴(yán)格 測試，各部門應(yīng)配合集團(tuán)辦公室對應(yīng)用系統(tǒng)進(jìn)行試用，驗證 系統(tǒng)功能是否滿足業(yè)務(wù)和管理要求，如果試用過程中發(fā)現(xiàn)不 符合業(yè)務(wù)和管理要求，應(yīng)認(rèn)真填寫問題反饋意見。如果各部門反饋意見表明試運(yùn)行不合格，集團(tuán)辦公室將 要求信息系統(tǒng)開發(fā)商重新進(jìn)行代碼編寫和測試，直到試運(yùn)行 通過。第十九條 信息系統(tǒng)驗收 集團(tuán)辦公室組織各部門對信 息系統(tǒng)開發(fā)商提交的應(yīng)用系統(tǒng)進(jìn)行驗收，主要根據(jù)試運(yùn)行用 戶測試結(jié)果和合同中規(guī)定的驗收文檔和其他要求進(jìn)行驗收 工作，集團(tuán)辦公室負(fù)責(zé)嚴(yán)格檢查技術(shù)文

10、檔，各部門負(fù)責(zé)嚴(yán)格 檢查業(yè)務(wù)操作文檔，并各自由具驗收報告，由集團(tuán)辦公室匯 總項目驗收報告后報項目領(lǐng)導(dǎo)小組。若驗收不合格，由集團(tuán)辦公室與信息系統(tǒng)開發(fā)商重新商 定驗收時間，擇日進(jìn)行，直到驗收通過。第二十條系統(tǒng)上線在系統(tǒng)正式投產(chǎn)使用前，集團(tuán)辦公 室負(fù)責(zé)對系統(tǒng)的基礎(chǔ)架構(gòu)平臺進(jìn)行安全檢測與評估，安全檢 測的范圍包含但不僅限于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、信息系統(tǒng)功能隱患、結(jié)構(gòu)合理性、源代碼缺陷、服務(wù)能力（壓力測 試）。辦公室確認(rèn)該系統(tǒng)滿足信息安全基線要求后，系統(tǒng)才可 以正式的上線使用。第二十一條 記錄歸檔 集團(tuán)辦公室在項目結(jié)束后將所 有記錄根據(jù)檔案管理的要求進(jìn)行歸檔工作。第五章系統(tǒng)變更管理第二十二條系統(tǒng)變更工

11、作可分 為下面三類類型功能完善維護(hù)、 系統(tǒng)缺陷修改、業(yè)務(wù)的變更、 數(shù)據(jù)庫直接修改。功能完善維護(hù)指根據(jù)業(yè)務(wù)部門的需求，對系統(tǒng)進(jìn)行的功 能完善性或適應(yīng)性維護(hù)；系統(tǒng)缺陷修改指對一些系統(tǒng)功能或 使用上的問題所進(jìn)行的修復(fù)，這些問題是由于系統(tǒng)設(shè)計和實 現(xiàn)上的缺陷而引發(fā)的；數(shù)據(jù)庫直接修改指為了滿足業(yè)務(wù)部門 處理報表數(shù)據(jù)生成的需要，而進(jìn)行的不包含在應(yīng)用系統(tǒng)功能 之內(nèi)的數(shù)據(jù)處理工作。第二十三條 系統(tǒng)變更工作以任務(wù)形式由需求方（一般 為業(yè)務(wù)部門）和維護(hù)方（一般為信息管理部門，還包括合作 廠商）協(xié)作完成。第二十四條 需求部門提由系統(tǒng)變更需求，由部門負(fù)責(zé) 人審批后提交給集團(tuán)辦公室系統(tǒng)管理員。第二十五條 系統(tǒng)管理員負(fù)責(zé)

12、接受需求，分析需求，并 提由系統(tǒng)變更建議，集團(tuán)辦公室負(fù)責(zé)人審核后報集團(tuán)領(lǐng)導(dǎo)批準(zhǔn)。第二十六條系統(tǒng)變更過程應(yīng)經(jīng)過測試和正式驗收才能 轉(zhuǎn)入生產(chǎn)環(huán)境。第二十七條 系統(tǒng)管理員組織業(yè)務(wù)部門的系統(tǒng)最終用戶 對系統(tǒng)程序變更進(jìn)行測試，并撰寫用戶測試報告（附件二） 提交業(yè)務(wù)部門負(fù)責(zé)人和集團(tuán)辦公室負(fù)責(zé)人簽字確認(rèn)通過。第二十八條 對于緊急變更，可以提前在不影響業(yè)務(wù)正 常運(yùn)作的情況下進(jìn)行變更任務(wù)，無需等待變更窗口。第二十九條 對于緊急變更，由集團(tuán)辦公室負(fù)責(zé)根據(jù)重 要性和緊迫性做判斷，確定其優(yōu)先級和影響程度，并進(jìn)行相 應(yīng)處理。第三十條 緊急變更過程中應(yīng)使用專設(shè)的系統(tǒng)用戶賬 號，由專責(zé)部門或人員啟動緊急修改變更程序。集團(tuán)辦

13、公室應(yīng)對緊急變更的處理進(jìn)行規(guī)范的文檔記錄。第三十一條 在緊急事件處理完成后，必須在一周內(nèi)補(bǔ) 辦正式、完整的文檔，其中包括問題發(fā)現(xiàn)人填寫的緊急變更 申請、問題發(fā)現(xiàn)人所在部門負(fù)責(zé)人對該申請的審批、需求部 門/集團(tuán)辦公室測試記錄（包括簽字確認(rèn)測試結(jié)果） 。第三十二條系統(tǒng)變更過程中，應(yīng)采取各種措施保證維 護(hù)環(huán)境程序代碼訪問權(quán)限受到良好控制。這些措施包括 1、通過系統(tǒng)用戶的授權(quán)管理，確保只有 特定人員能進(jìn)行系統(tǒng)維護(hù)工作；2、通過對系統(tǒng)日志的審閱, 監(jiān)督系統(tǒng)維護(hù)人員在系統(tǒng)中的操作，確認(rèn)維護(hù)工作的授權(quán)。第六章 備份管理 第三十三條 備份管理工作由集團(tuán)辦 公室網(wǎng)絡(luò)管理員負(fù)責(zé)。包括制訂備份、恢復(fù)策略，組織實施備

14、份、恢復(fù)操作， 更換和登記工作。第三十四條 備份策略 （一）備份頻率 1、對于與財務(wù) 報告相關(guān)的各種業(yè)務(wù)和財務(wù)系統(tǒng)數(shù)據(jù)須每天進(jìn)行備份；2、數(shù)據(jù)被大規(guī)模更新前后，須對數(shù)據(jù)進(jìn)行備份；3、在操作系統(tǒng)和應(yīng)用程序發(fā)生重大改變前后，須對系統(tǒng)和應(yīng)用程序進(jìn)行 備份。（二）備份存儲和備份介質(zhì)管理1、對數(shù)據(jù)、操作系統(tǒng)以及程序的備份，須保存在兩份介質(zhì)中，一份存放在本地， 另一份存放在異地；2、備份介質(zhì)，無論是存放在本地還是異地，須確保存放場所的安全， 保證只有授權(quán)人員可以訪問； 3、在備份存儲介質(zhì)，備份文件須有唯一標(biāo)識，標(biāo)明備份的 內(nèi)容和日期；（三）備份恢復(fù)測試 備份存儲介質(zhì)中的數(shù)據(jù)須至少每季度進(jìn)行恢復(fù)測試，以確保

15、備份的有效性和備份恢 復(fù)的可行性。第三十五條備份操作管理需按照數(shù)據(jù)的重要程度對 不同備份對象進(jìn)行分類，對不同的備份對象根據(jù)類別制定備 份策略。備份操作人員須檢查每次備份是否成功，并填寫備份記 錄表（附件一），對備份結(jié)果以及失敗的備份操作處理需進(jìn)行記錄、匯報及跟進(jìn)。備份記錄表必須由專人妥善保管，辦公室負(fù)責(zé)人每季度 安排專人對備份工作進(jìn)行審核，核對系統(tǒng)中的備份日志與備 份工作匯總記錄，以保證備份的有效性、完整性以及由現(xiàn)的 問題能得到適當(dāng)?shù)奶幚?。第三十六條 備份介質(zhì)的存放和管理存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識；標(biāo)識必須使用統(tǒng)一的命名規(guī)范， 注明介質(zhì)編號、備份內(nèi)容、備份日期、（如有備份軟件，可采用

16、備份軟件編碼規(guī)則）。備份介質(zhì)存放場所必須滿足防火、防水、防潮、防磁、 防盜、防鼠等要求。備份介質(zhì)必須有由專人負(fù)責(zé)進(jìn)行存取，其他人員未經(jīng)批 準(zhǔn)不能操作。第三十七條 備份恢復(fù) 集團(tuán)辦公室網(wǎng)絡(luò)管理員應(yīng)制定 相應(yīng)的備份恢復(fù)計劃，包括由業(yè)務(wù)需求發(fā)起的備份恢復(fù)以及 測試性的恢復(fù)計劃。計劃中應(yīng)遵循數(shù)據(jù)重要性等級分類，保證按照優(yōu)先級對 備份數(shù)據(jù)進(jìn)行恢復(fù)。需要恢復(fù)備份數(shù)據(jù)時，需求部門應(yīng)填寫數(shù)據(jù)恢復(fù)申請表 （附件二），內(nèi)容包括數(shù)據(jù)內(nèi)容、恢復(fù)原因、恢復(fù)數(shù)據(jù)來源、 計劃恢復(fù)時間、恢復(fù)方案等，由需求部門以及集團(tuán)辦公室相關(guān)負(fù)責(zé)人審批備份管理員需按照備份恢復(fù)計劃制定詳細(xì)的備份恢復(fù) 操作手冊，手冊應(yīng)包含備份恢復(fù)的操作步驟、恢復(fù)前的準(zhǔn)備