信息系統建設維護管理辦法

1、信息系統建設維護管理辦法股份有限公司信息系統建設維護管理辦法文件編號號編制審核批準發(fā)布日期 實施日期 股份有限公司 信 息系統建設維護管理辦法（試行）版本控制此文件為集團辦公室受控文件。復印此文件將作為參考副本。用戶應對核查此文件是否為最新版本負責。如此文檔的任何一部分需要修改，則此文件將全部重新 發(fā)表。修改請求將傳遞給文檔擁有者。（見下文）目錄 第一章 總則1第二章 職責1第三章第三方服務商管理1第四章部門工作程序 3第五章 系統 變更管理5第六章備份管理6第七章附則8第一章總則 第一條 為加強集團公司信息系統規(guī)劃、建設階段項目管理， 規(guī)范信息系統規(guī)劃、建設管理流程，及時提供滿足管理和業(yè) 務

2、需求、穩(wěn)定可靠的應用系統，特制定本辦法。第二條 本辦法適用于集團公司信息系統規(guī)劃、建設管 理工作。第二章職責第三條集團辦公室是信息系統管理的主 管部門，其職責是 負責制定集團信息化發(fā)展規(guī)劃，并推進 集團信息化不斷發(fā)展。負責對集團各信息系統的維護、管理工作負責對第三方服務商的管理。第三方服務商是指參與信息化系統建設的軟硬件提供 商、網絡服務提供商以及為集團提供咨詢服務、運行維護服 務、技術培訓及其它相關信息化建設服務的廠商。負責受理各部門提交的信息系統需求的申請進行審核。負責對各部門提交的信息系統需求進行需求分析，同時 需要進行安全分析，主持需求規(guī)格說明書、概要設計、演示 版的審核；負責質量控制

3、，組織信息系統驗收和正式上線使 用；負責軟件開發(fā)過程中的整體協調工作。負責對新建的信息系統、設備、配套設施進行監(jiān)督及管 理。第三章第三方服務商管理 第四條第三方服務商服務 范圍（一）咨詢服務 1、根據集團信息系統建設總體部署， 協助集團制定切實可行的技術實施方案；2、對集團現有的信息技術基礎架構、設備運行狀態(tài)和應用情況進行診斷和評 估，提由合理化建議；3、根據集團的實際情況提由備份方案和應急方案；4、其它信息技術咨詢服務。（二）運行維護服務 1、軟硬件設備安裝服務； 2、硬 件設備的維修和保養(yǎng)； 3、軟件系統的升級及故障處理； 4、 系統定期巡檢和整體性能評估； 5、其它運行維護服務。（三）技

4、術培訓根據集團的實際情況，參照國內先進的技術和管理經驗或標準提供相關的技術培訓第五條 第三方服務商資質認證集團辦公室負責組織第三方服務商的資質認證工作，資質驗證的工作由不參與合 同簽訂的人員根據集團規(guī)定進行。第三方服務商的資質認證內容，包括但不限于第三方的 技術能力、經濟和財務能力以及對服務的報價。第六條第三方服務商協議簽訂所有第三方服務商提供的服務必須簽訂服務協議或合同。第三方服務商必須經過資質認證才有簽訂服務協議或 合同的資格。在與第三方服務商簽訂的服務協議或合同中應明確規(guī) 定1、符合集團內部控制、內部安全管理及其它相關制度的 要求；2、規(guī)定對第三方服務商服務持續(xù)性的要求；3、符合知識產權

5、保護法，不得侵權，不得喪失集團的知識產權或 版本權；4、與第三方服務商簽訂服務規(guī)范及保密協議；5、第三方服務商的服務范圍。第七條 第三方服務商服務質量監(jiān)控與評價集團辦公室指定專人對第三方服務商的服務進行監(jiān)控，并對服務滿意 度進行評價和記錄，確保其提供的服務符合集團的內部控制 的要求。在第三方服務商合同到期前一個月，集團辦公室對第三 方服務質量進行評估，評估結果作為服務商備選資格的依 據。第四章 部門工作程序第八條 提由需求 各部門提由開發(fā)的應用軟件的需求，具體包括時間要求、功能要求、權 限控制、安全要求和業(yè)務流程。第九條 受理 集團辦公室在接到各部門的要求后，立即 著手安排各項準備工作，制定任

6、務計劃，包括人力資源的考 慮和時間要求的考慮，尋找軟件開發(fā)商進行協商，向信息系 統開發(fā)商提由開發(fā)要求。第十條需求分析信息系統開發(fā)商在接到開發(fā)要求后， 與集團辦公室共同進行需求分析。第十一條需求審核集團辦公室組織各部門信息系統 開發(fā)商共同進行需求規(guī)格說明書的審核，信息系統開發(fā)商提 供審核所需的材料和需求規(guī)格說明書，負責技術問題的解 釋。各部門應認真審核需求規(guī)格說書所描述的內容是否符合 業(yè)務和管理要求，如果不符合要求集團辦公室和信息系統開 發(fā)商重新進行需求分析，直到審核通過為止，各部門簽字認 可。第十二條概要設計信息系統開發(fā)商對審核通過后的 需求按軟件建設標準開始進行概要設計。第十三條 概要設計審

7、核 集團辦公室組織需求部門對 信息系統開發(fā)商的概要設計進行審核，包括是否符合各部門 提由的業(yè)務和管理要求，是否符合軟件建設標準的要求，結構是否合理審核未通過，信息系統開發(fā)商重新進行概要設計。第十四條演示版建設信息系統開發(fā)商對概要設計通 過后的需求進行演示版的建設，完成所有界面設計、業(yè)務流 程和功能規(guī)劃。第十五條 演示版的審核 集團辦公室組織各部門信息 系統開發(fā)商共同進行演示版的審核，業(yè)務部門要對界面、業(yè) 務流程和功能劃分進行確認，如未達到各部門的要求，重新 進行演示版的建設，直到審核通過為止，由各部門簽字認可。第十六條詳細設計和代碼編制信息系統開發(fā)商對演示版審核通過后的應用開始進行詳細設計和代

8、碼編寫，并按 軟件建設標準文檔模版補充和完善詳細設計說明書。信息系統開發(fā)商對代碼編寫完的應用產品編寫安裝維護手冊、升級安裝手冊、用戶操作手冊、測試用例報告，并 進行多種方式的測試，包括開發(fā)人員自身的測試、測試人員 的測試，測試環(huán)境的測試。測試的內容不僅需要包含功能需求，也需要包含業(yè)務系 統的安全需求，測試人員在測試完成后應編制測試報告，如 果由現BUG或者不滿足安全需求，要求填寫B(tài)UG記錄表,開發(fā)人員修訂程序代碼，直到測試完全通過。第十七條 安裝部署試運行 集團辦公室根據安排通知 信息系統開發(fā)商開始安裝部署試運行時間。由辦公室組織各部門進行安裝部署試運行工作，并由各 部門負責用戶測試工作。第十

9、八條試運行審核辦公室組織各部門試運行進行 審核，審查測試用例、報告測試報告以及相關的技術文檔， 對程序中的關鍵點和安全需求按照測試用例報告進行嚴格 測試，各部門應配合集團辦公室對應用系統進行試用，驗證 系統功能是否滿足業(yè)務和管理要求，如果試用過程中發(fā)現不 符合業(yè)務和管理要求，應認真填寫問題反饋意見。如果各部門反饋意見表明試運行不合格，集團辦公室將 要求信息系統開發(fā)商重新進行代碼編寫和測試，直到試運行 通過。第十九條 信息系統驗收 集團辦公室組織各部門對信 息系統開發(fā)商提交的應用系統進行驗收，主要根據試運行用 戶測試結果和合同中規(guī)定的驗收文檔和其他要求進行驗收 工作，集團辦公室負責嚴格檢查技術文

10、檔，各部門負責嚴格 檢查業(yè)務操作文檔，并各自由具驗收報告，由集團辦公室匯 總項目驗收報告后報項目領導小組。若驗收不合格，由集團辦公室與信息系統開發(fā)商重新商 定驗收時間，擇日進行，直到驗收通過。第二十條系統上線在系統正式投產使用前，集團辦公 室負責對系統的基礎架構平臺進行安全檢測與評估，安全檢 測的范圍包含但不僅限于操作系統、數據庫、網絡、信息系統功能隱患、結構合理性、源代碼缺陷、服務能力（壓力測 試）。辦公室確認該系統滿足信息安全基線要求后，系統才可 以正式的上線使用。第二十一條 記錄歸檔 集團辦公室在項目結束后將所 有記錄根據檔案管理的要求進行歸檔工作。第五章系統變更管理第二十二條系統變更工

11、作可分 為下面三類類型功能完善維護、 系統缺陷修改、業(yè)務的變更、 數據庫直接修改。功能完善維護指根據業(yè)務部門的需求，對系統進行的功 能完善性或適應性維護；系統缺陷修改指對一些系統功能或 使用上的問題所進行的修復，這些問題是由于系統設計和實 現上的缺陷而引發(fā)的；數據庫直接修改指為了滿足業(yè)務部門 處理報表數據生成的需要，而進行的不包含在應用系統功能 之內的數據處理工作。第二十三條 系統變更工作以任務形式由需求方（一般 為業(yè)務部門）和維護方（一般為信息管理部門，還包括合作 廠商）協作完成。第二十四條 需求部門提由系統變更需求，由部門負責 人審批后提交給集團辦公室系統管理員。第二十五條 系統管理員負責

12、接受需求，分析需求，并 提由系統變更建議，集團辦公室負責人審核后報集團領導批準。第二十六條系統變更過程應經過測試和正式驗收才能 轉入生產環(huán)境。第二十七條 系統管理員組織業(yè)務部門的系統最終用戶 對系統程序變更進行測試，并撰寫用戶測試報告（附件二） 提交業(yè)務部門負責人和集團辦公室負責人簽字確認通過。第二十八條 對于緊急變更，可以提前在不影響業(yè)務正 常運作的情況下進行變更任務，無需等待變更窗口。第二十九條 對于緊急變更，由集團辦公室負責根據重 要性和緊迫性做判斷，確定其優(yōu)先級和影響程度，并進行相 應處理。第三十條 緊急變更過程中應使用專設的系統用戶賬 號，由專責部門或人員啟動緊急修改變更程序。集團辦

13、公室應對緊急變更的處理進行規(guī)范的文檔記錄。第三十一條 在緊急事件處理完成后，必須在一周內補 辦正式、完整的文檔，其中包括問題發(fā)現人填寫的緊急變更 申請、問題發(fā)現人所在部門負責人對該申請的審批、需求部 門/集團辦公室測試記錄（包括簽字確認測試結果） 。第三十二條系統變更過程中，應采取各種措施保證維 護環(huán)境程序代碼訪問權限受到良好控制。這些措施包括 1、通過系統用戶的授權管理，確保只有 特定人員能進行系統維護工作；2、通過對系統日志的審閱, 監(jiān)督系統維護人員在系統中的操作，確認維護工作的授權。第六章 備份管理 第三十三條 備份管理工作由集團辦 公室網絡管理員負責。包括制訂備份、恢復策略，組織實施備

14、份、恢復操作， 更換和登記工作。第三十四條 備份策略 （一）備份頻率 1、對于與財務 報告相關的各種業(yè)務和財務系統數據須每天進行備份；2、數據被大規(guī)模更新前后，須對數據進行備份；3、在操作系統和應用程序發(fā)生重大改變前后，須對系統和應用程序進行 備份。（二）備份存儲和備份介質管理1、對數據、操作系統以及程序的備份，須保存在兩份介質中，一份存放在本地， 另一份存放在異地；2、備份介質，無論是存放在本地還是異地，須確保存放場所的安全， 保證只有授權人員可以訪問； 3、在備份存儲介質，備份文件須有唯一標識，標明備份的 內容和日期；（三）備份恢復測試 備份存儲介質中的數據須至少每季度進行恢復測試，以確保

15、備份的有效性和備份恢 復的可行性。第三十五條備份操作管理需按照數據的重要程度對 不同備份對象進行分類，對不同的備份對象根據類別制定備 份策略。備份操作人員須檢查每次備份是否成功，并填寫備份記 錄表（附件一），對備份結果以及失敗的備份操作處理需進行記錄、匯報及跟進。備份記錄表必須由專人妥善保管，辦公室負責人每季度 安排專人對備份工作進行審核，核對系統中的備份日志與備 份工作匯總記錄，以保證備份的有效性、完整性以及由現的 問題能得到適當的處理。第三十六條 備份介質的存放和管理存放備份數據的介質必須具有明確的標識；標識必須使用統一的命名規(guī)范， 注明介質編號、備份內容、備份日期、（如有備份軟件，可采用

16、備份軟件編碼規(guī)則）。備份介質存放場所必須滿足防火、防水、防潮、防磁、 防盜、防鼠等要求。備份介質必須有由專人負責進行存取，其他人員未經批 準不能操作。第三十七條 備份恢復 集團辦公室網絡管理員應制定 相應的備份恢復計劃，包括由業(yè)務需求發(fā)起的備份恢復以及 測試性的恢復計劃。計劃中應遵循數據重要性等級分類，保證按照優(yōu)先級對 備份數據進行恢復。需要恢復備份數據時，需求部門應填寫數據恢復申請表 （附件二），內容包括數據內容、恢復原因、恢復數據來源、 計劃恢復時間、恢復方案等，由需求部門以及集團辦公室相關負責人審批備份管理員需按照備份恢復計劃制定詳細的備份恢復 操作手冊，手冊應包含備份恢復的操作步驟、恢復前的準備