信息系統(tǒng)升級(jí)管理規(guī)定+安全管理制度

信息系統(tǒng)升級(jí)管理規(guī)定1范圍為了提高XX公司信息通信分公司（以下簡稱“公司”）信息系統(tǒng)維護(hù)服務(wù)質(zhì)量和技術(shù)支持水平，規(guī)范管理信息系統(tǒng)軟件的升級(jí)維護(hù)及版本更新，特制定本規(guī)定。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，使用本標(biāo)準(zhǔn)的相關(guān)部門、單位及人員要研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)?！腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例——中華人民共和國國家安全法——中華人民共和國保守國家秘密法——ISO27001標(biāo)準(zhǔn)/ISO27002指南——公通字[2007]43號(hào)信息安全等級(jí)保護(hù)管理辦法——GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求——Q/HD212.07—2007計(jì)算機(jī)信息系統(tǒng)管理標(biāo)準(zhǔn)——Q/HD212.04—2007軟件開發(fā)管理標(biāo)準(zhǔn)3職責(zé)分工信息系統(tǒng)管理員信息系統(tǒng)維護(hù)、測(cè)試、修改、升級(jí)的具體執(zhí)行人員，整理匯總信息系統(tǒng)維護(hù)、測(cè)試、修改、升級(jí)的辦理情況。信息系統(tǒng)主管協(xié)調(diào)開發(fā)商修改信息系統(tǒng)的故障，確定信息系統(tǒng)升級(jí)的需求和修改辦法，協(xié)調(diào)管理信息系統(tǒng)維護(hù)、測(cè)試、修改、升級(jí)的全過程。業(yè)務(wù)部門信息系統(tǒng)主管跟蹤信息系統(tǒng)維護(hù)、升級(jí)的全過程，確定信息系統(tǒng)更改業(yè)務(wù)需求。4信息系統(tǒng)維護(hù)服務(wù)管理用戶必須通過統(tǒng)一的問題與意見入口提出對(duì)信息系統(tǒng)的意見和建議，便于信息管理部門統(tǒng)一管理與監(jiān)控問題處理情況?？头砑皶r(shí)檢查用戶提交的建議與意見，并將處理結(jié)果反饋給用戶，反饋時(shí)間不能超過兩個(gè)工作日。客服代表接到用戶的意見和建議后，分為三類采取不同的處理流程（具體流程見附錄1）：客戶端的故障問題：應(yīng)及時(shí)安排維護(hù)工程師解決，并填寫維護(hù)處理單。應(yīng)用程序故障問題：客服代表提交給綜合管理主管、應(yīng)用主管、信息系統(tǒng)管理員，由信息系統(tǒng)管理員向開發(fā)商協(xié)商解決辦法和預(yù)計(jì)解決時(shí)間，并將解決辦法和預(yù)計(jì)解決時(shí)間反饋給用戶后轉(zhuǎn)入信息信息系統(tǒng)升級(jí)管理流程。信息系統(tǒng)新需求：客服代表提交給相應(yīng)的綜合管理主管、應(yīng)用主管、信息系統(tǒng)管理員、業(yè)務(wù)責(zé)任部門進(jìn)行審批，綜合管理主管匯總所有的需求召開需求協(xié)調(diào)會(huì)，根據(jù)協(xié)調(diào)會(huì)的討論結(jié)果修改程序，轉(zhuǎn)入信息信息系統(tǒng)升級(jí)管理流程。信息系統(tǒng)管理員每周匯總整理信息系統(tǒng)的故障和新需求處理情況并向部門領(lǐng)導(dǎo)匯報(bào)。系統(tǒng)升級(jí)管理信息系統(tǒng)升級(jí)管理流程見附錄B。開發(fā)商提交的新版本，須經(jīng)信息運(yùn)維部門進(jìn)行安全測(cè)試，測(cè)試通過后再更新到正式信息系統(tǒng)上。信息系統(tǒng)管理員應(yīng)做好每次更新內(nèi)容的記錄工作。每次功能更新后，信息系統(tǒng)管理員應(yīng)及時(shí)發(fā)布公告通知用戶部門。6附則本規(guī)定由XX公司信息通信分公司負(fù)責(zé)解釋。

本辦法自頒布之日起執(zhí)行，有新的修改版本頒布后，本辦法自行終止。7附錄附錄A（規(guī)范性附錄）Q/XT201.13/LC-1信息系統(tǒng)維護(hù)流程附錄B（規(guī)范性附錄）Q/XT201.13/LC-2信息系統(tǒng)升級(jí)程序

關(guān)于安全管理制度的管理標(biāo)準(zhǔn)1引言本標(biāo)準(zhǔn)闡述了XX信息通信分公司（以下簡稱“公司”）在信息安全管理制度方面的基本任務(wù)和管理原則，確定了公司在信息安全管理制度方面的職責(zé)和義務(wù)，明確了公司信息安全管理制度在編寫、制定和發(fā)布、評(píng)審和修訂等過程中應(yīng)遵守的原則與工作方式及流程。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》（GB/T20274.1-2006）《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GBT22239-2008)本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行。3目標(biāo)總體目標(biāo)：為貫徹執(zhí)行國家、地方和本行業(yè)有關(guān)信息化建設(shè)的方針政策，有效保障公司信息系統(tǒng)正常運(yùn)行。公司信息系統(tǒng)管理的規(guī)范化、程序化、制度化，進(jìn)一步提高管理制度的體系化和制定發(fā)布流程的標(biāo)準(zhǔn)化，特制定本制度。為更好的適應(yīng)公司的企業(yè)文化，本標(biāo)準(zhǔn)參照南方電網(wǎng)信息安全管理制度的相關(guān)要求，并借鑒了國內(nèi)外流行標(biāo)準(zhǔn)。具體建設(shè)目標(biāo)：1)建立完整的信息安全管理體系和組織機(jī)構(gòu)，提高信息安全管理的能力，完善各項(xiàng)業(yè)務(wù)和管理過程中的信息安全措施，確保信息安全管理正規(guī)有序。2)建立完整的信息安全運(yùn)行體系，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)的集中管理和透明化監(jiān)控，提高對(duì)突發(fā)事件的應(yīng)急響應(yīng)處理能力，保證關(guān)鍵業(yè)務(wù)應(yīng)用運(yùn)行的可用性、可依賴性以及故障恢復(fù)能力。4術(shù)語和定義本標(biāo)準(zhǔn)采用以下術(shù)語和定義。制度：對(duì)流程具體實(shí)施辦法的解釋，規(guī)定必須的關(guān)鍵因素，指明各類表單的填寫要求等。流程：一個(gè)輸入到輸出的過程，一般以流程圖表示，標(biāo)識(shí)關(guān)鍵環(huán)節(jié)和關(guān)鍵步驟，明確職責(zé)分工；表單：對(duì)每個(gè)關(guān)鍵環(huán)節(jié)進(jìn)行控制的過程文檔，表單文件閉環(huán)后作為檔案文件進(jìn)行管理?！缚傮w方針第一章組織與體制構(gòu)筑確保信息安全所必需的組織與體制，明確其責(zé)任與權(quán)限。第二章遵守法令法規(guī)遵守與信息安全有關(guān)的法令法規(guī)，制定并遵守按基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。第三章信息資產(chǎn)的分類與管理按照重要級(jí)別信息資產(chǎn)進(jìn)行分類，并妥善管理。第四章培訓(xùn)與教育為使相關(guān)人員全面了解信息安全的重要性，適當(dāng)開展針對(duì)性培訓(xùn)與教育教育活動(dòng)。使他們充分認(rèn)識(shí)信息安全的重要性以及掌握正確的管理方法。第五章物理性保護(hù)為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生，對(duì)其保管場(chǎng)所與保管辦法加以明確。第六章技術(shù)性保護(hù)為切實(shí)保護(hù)信息資產(chǎn)不受來自外部的非法入侵，對(duì)信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?。第七章運(yùn)用為確保基本方針的實(shí)際成效，在對(duì)遵守情況進(jìn)行監(jiān)督的同時(shí)，對(duì)違反基本方針時(shí)的處置辦法及針對(duì)來自外部的非法入侵等緊急事態(tài)采取的應(yīng)對(duì)措施等加以規(guī)定。第八章評(píng)價(jià)及復(fù)審隨著社會(huì)環(huán)境的變化、技術(shù)的進(jìn)步等，應(yīng)定期對(duì)基本方針與運(yùn)用方式進(jìn)行評(píng)價(jià)與復(fù)審。「安全策略第一章安全管理機(jī)構(gòu)建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機(jī)構(gòu)的職責(zé)，統(tǒng)籌規(guī)劃、專家決策，以推動(dòng)信息安全工作的開展。公司成立信息安全領(lǐng)導(dǎo)小組，是信息安全的最高決策機(jī)構(gòu)，負(fù)責(zé)研究重大事件，落實(shí)方針政策，制定實(shí)施策略和原則，開展安全普及教育等。下設(shè)辦公室掛靠在公司信息中心，負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組：信息安全工作組、應(yīng)急處理工作組。第二章人員安全管理通過建立安全崗位責(zé)任制，最大限度降低人為失誤所造成的風(fēng)險(xiǎn)。人是決定性因素，人員安全管理的原則是：職責(zé)分離、有限授權(quán)、相互制約、任期審計(jì)。人員安全管理的要素包括：安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。信息安全人員的配備和變更情況，應(yīng)向上一級(jí)單位報(bào)告、備案。信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及XX業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。第三章標(biāo)準(zhǔn)化管理應(yīng)通過公司信息系統(tǒng)內(nèi)部業(yè)務(wù)處理、操作流程、信息系統(tǒng)管理和技術(shù)等一系列標(biāo)準(zhǔn)化和規(guī)范化的過程，應(yīng)根據(jù)系統(tǒng)的安全等級(jí)，依照國家相關(guān)法律法規(guī)及政策標(biāo)準(zhǔn)，建立信息安全的各項(xiàng)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺(tái)建設(shè)、應(yīng)用系統(tǒng)開發(fā)、運(yùn)行管理等重要環(huán)節(jié)，奠定信息安全的基礎(chǔ)。第四章系統(tǒng)建設(shè)管理信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（初始、采購、實(shí)施）中各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇十一個(gè)控制點(diǎn)。第五章系統(tǒng)運(yùn)維管理目的是保障信息系統(tǒng)日常運(yùn)行的安全穩(wěn)定，對(duì)運(yùn)行環(huán)境、技術(shù)支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、有關(guān)安全機(jī)制保障、安全管理控制平臺(tái)等方面的管理要素。對(duì)運(yùn)行過程的任何變化，數(shù)據(jù)、軟件、物理設(shè)置等，都應(yīng)實(shí)施技術(shù)監(jiān)控和管理手段以確保其完整性，防止信息非法復(fù)制、篡改，任何查詢和變更操作需經(jīng)過授權(quán)和合法性驗(yàn)證。應(yīng)急管理也是運(yùn)維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或?yàn)?zāi)難，建立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計(jì)劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計(jì)劃、應(yīng)急計(jì)劃的實(shí)施保障等管理要素。在公司統(tǒng)一的應(yīng)急規(guī)劃下，針對(duì)信息系統(tǒng)面臨的各種應(yīng)急場(chǎng)景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過測(cè)試演練修訂，同時(shí)宣傳普及。第六章物理安全目的是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及信息系統(tǒng)免遭自然災(zāi)害和其他形式的破壞，保證信息系統(tǒng)的實(shí)體安全。有關(guān)物理環(huán)境的選址和設(shè)計(jì)應(yīng)遵照相關(guān)標(biāo)準(zhǔn)，配備防火、防水、防雷擊、防靜電、防鼠害等機(jī)房措施，維持系統(tǒng)不間斷運(yùn)行能力，確保信息系統(tǒng)運(yùn)行的安全可靠。對(duì)重要安全設(shè)備的選擇，需符合國家相關(guān)標(biāo)準(zhǔn)規(guī)范，相關(guān)證書齊全。嚴(yán)格確定設(shè)備的合法使用人，建立詳細(xì)運(yùn)行日志和維護(hù)記錄。第七章網(wǎng)絡(luò)安全目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險(xiǎn)，為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺(tái)。對(duì)于依賴網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)用系統(tǒng)，需根據(jù)其安全級(jí)別，實(shí)施相應(yīng)的訪問控制、身份認(rèn)證、審計(jì)等安全服務(wù)機(jī)制；在網(wǎng)絡(luò)邊界處，需根據(jù)資源的保護(hù)等級(jí)，實(shí)施相應(yīng)安全級(jí)別的防火墻、認(rèn)證、審計(jì)、動(dòng)態(tài)檢測(cè)等技術(shù)，防范信息資源的非法訪問、篡改和破壞。第八章主機(jī)安全主機(jī)安全包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)承載著各種應(yīng)用，是保護(hù)信息安全的中堅(jiān)力量。主機(jī)安全需著重關(guān)注和加強(qiáng)身份鑒別、訪問控制、惡意代碼防范、安全審計(jì)、入侵防范幾個(gè)方面，同時(shí)定期或不定期的進(jìn)行安全評(píng)估（含滲透性測(cè)試）和加固，實(shí)時(shí)確保主機(jī)的健壯性。第九章應(yīng)用安全應(yīng)用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務(wù)應(yīng)用系統(tǒng)開發(fā)過程及最終產(chǎn)品的安全性。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用。基于網(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，是基本的應(yīng)用；業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求；故最終是保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序的安全運(yùn)行。應(yīng)用系統(tǒng)的總體需求計(jì)劃階段，應(yīng)全面評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)，確定系統(tǒng)的訪問控制、身份認(rèn)證、審計(jì)跟蹤等安全需求；總體架構(gòu)設(shè)計(jì)階段，應(yīng)實(shí)施安全需求設(shè)計(jì)，確立安全服務(wù)機(jī)制、開發(fā)人員技術(shù)要求和操作規(guī)程；應(yīng)用系統(tǒng)的實(shí)現(xiàn)階段，應(yīng)全程實(shí)施質(zhì)量控制，防止程序后門，減少代碼漏洞；在上線運(yùn)行之前，應(yīng)充分進(jìn)行局部功能、整體功能、壓力測(cè)試，以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測(cè)試。第十章數(shù)據(jù)安全及備份恢復(fù)信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用等）都對(duì)各類數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等，因此，對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。第十一章應(yīng)急計(jì)劃目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或?yàn)?zāi)難，建立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計(jì)劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計(jì)劃、應(yīng)急計(jì)劃的實(shí)施保障等管理要素。在公司統(tǒng)一的應(yīng)急規(guī)劃下，針對(duì)信息系統(tǒng)面臨的各種應(yīng)急場(chǎng)景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過測(cè)試演練修訂，同時(shí)宣傳普及。職責(zé)分工a）信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組是信息安全的最高決策機(jī)構(gòu)，批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)；確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。b）信息安全工作組貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作；組織有關(guān)人員進(jìn)行信息安全制度類文件的編制（包括成立編制小組）、評(píng)審、修訂、發(fā)布、控制，并監(jiān)督執(zhí)行。c）信息安全管理人員信息安全管理人員負(fù)責(zé)信息安全管理的日常工作；開展信息安全知識(shí)的培訓(xùn)和宣傳工作，開展信息安全檢查工作，對(duì)要害崗位人員安全工作進(jìn)行指導(dǎo)和監(jiān)督；維護(hù)和審查有關(guān)安全審計(jì)記錄，及時(shí)發(fā)現(xiàn)存在問題，提出安全風(fēng)險(xiǎn)防范對(duì)策；及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告信息安全事件；并負(fù)責(zé)信息安全制度類文件的歸檔、保管。制度與發(fā)布信息安全工作組應(yīng)根據(jù)信息安全人員與各部門負(fù)責(zé)人，了解各部門的安全管理制度現(xiàn)狀。結(jié)合公司管理需求，提出相應(yīng)的管理制度起草需求或計(jì)劃，確定后信息安全工作組組長批準(zhǔn)。批準(zhǔn)后組織制度編制項(xiàng)目組，編制流程如下：設(shè)計(jì)編制目錄、流程圖設(shè)計(jì)、制度（實(shí)施細(xì)則）設(shè)計(jì)、表單設(shè)計(jì)。所有相關(guān)文檔需遵循省公司規(guī)定的統(tǒng)一格式，編制完后提交信息安全工作組論證。信息安全工作組負(fù)責(zé)對(duì)開發(fā)流程進(jìn)行監(jiān)控指導(dǎo)，以保證開發(fā)質(zhì)量和進(jìn)度。文檔編制完成后，由項(xiàng)目組組織內(nèi)部評(píng)審，評(píng)審須有書面記錄。評(píng)審要點(diǎn)包括:文檔可行性、可操作性；文檔內(nèi)部邏輯性，與相關(guān)文件匹配性；文檔現(xiàn)行狀態(tài)（版本、編號(hào)）；文字校對(duì)。根據(jù)評(píng)審結(jié)果，對(duì)文檔進(jìn)行修訂；如初審時(shí)問題較大，修訂后再次組織評(píng)審。全局性基礎(chǔ)性制度由信息安全工作起草，公司主管副總審核，公司總經(jīng)理批準(zhǔn)