2023新能源發(fā)電公司應(yīng)用軟件系統(tǒng)管理辦法

XXX新能源公司應(yīng)用軟件系統(tǒng)管理辦法（2023年版）總則為保障XXXX分公司（以下簡(jiǎn)稱分公司）應(yīng)用軟件系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行，規(guī)范應(yīng)用軟件系統(tǒng)全過(guò)程管理，根據(jù)集團(tuán)公司及分公司相關(guān)規(guī)定，特制定本辦法。應(yīng)用軟件系統(tǒng)是指物理部署在本單位的業(yè)務(wù)應(yīng)用軟件以及支撐應(yīng)用軟件運(yùn)行的系統(tǒng)軟件。應(yīng)用軟件系統(tǒng)變更是指應(yīng)用軟件系統(tǒng)功能變更及新增需求；應(yīng)用軟件系統(tǒng)啟用和停用是指新建、發(fā)生重大變更后（如功能增加、升級(jí)改造、平臺(tái)變更等）需啟用的應(yīng)用軟件系統(tǒng)，以及需停用的應(yīng)用軟件系統(tǒng)；應(yīng)用軟件系統(tǒng)運(yùn)維管理是指對(duì)應(yīng)用軟件系統(tǒng)日常運(yùn)行、維護(hù)、升級(jí)、備份與恢復(fù)管理等。本規(guī)定適用于分公司及所屬各單位。管理職責(zé)系統(tǒng)各企業(yè)信息化主管部門為應(yīng)用軟件系統(tǒng)技術(shù)歸口管理部門，負(fù)責(zé)應(yīng)用軟件系統(tǒng)的管理，負(fù)責(zé)應(yīng)用軟件系統(tǒng)信息安全管理，對(duì)運(yùn)維商服務(wù)進(jìn)行監(jiān)督、管理以及考核。系統(tǒng)各企業(yè)信息化主管部門應(yīng)指定系統(tǒng)管理員負(fù)責(zé)應(yīng)用軟件系統(tǒng)日常管理與運(yùn)維。系統(tǒng)各企業(yè)相關(guān)業(yè)務(wù)部門為應(yīng)用軟件系統(tǒng)業(yè)務(wù)歸口管理部門，配合應(yīng)用軟件系統(tǒng)運(yùn)行管理和信息安全管理，負(fù)責(zé)本部門業(yè)務(wù)范圍內(nèi)的應(yīng)用軟件的需求提出、系統(tǒng)變更的需求分析、應(yīng)用軟件權(quán)限分配、使用和推廣等工作。系統(tǒng)各企業(yè)業(yè)務(wù)部門應(yīng)指定應(yīng)用管理員，負(fù)責(zé)協(xié)助信息化主管部門做好本部門應(yīng)用軟件日常運(yùn)維和系統(tǒng)測(cè)試等工作。系統(tǒng)啟用分公司信息化主管部門負(fù)責(zé)建立健全應(yīng)用軟件系統(tǒng)啟用與停用管理的規(guī)章制度，并規(guī)范工作流程。集團(tuán)公司管控的應(yīng)用軟件系統(tǒng)，分公司信息化主管部門負(fù)責(zé)組織啟用審核，并報(bào)集團(tuán)公司信息化主管部門批準(zhǔn)。分公司系統(tǒng)各企業(yè)所有應(yīng)用軟件系統(tǒng)啟用都必須報(bào)分公司信息化主管部門審批。原則上不允許所屬各單位自行建設(shè)啟用應(yīng)用軟件系統(tǒng)。各級(jí)業(yè)務(wù)部門應(yīng)配合信息化主管部門做好系統(tǒng)啟用與停用工作。應(yīng)用軟件系統(tǒng)項(xiàng)目的可研編制、設(shè)計(jì)、實(shí)施、驗(yàn)收各階段必須落實(shí)應(yīng)用軟件系統(tǒng)信息安全方面各項(xiàng)工作。應(yīng)用軟件系統(tǒng)部署前，業(yè)務(wù)部門提交《應(yīng)用軟件系統(tǒng)業(yè)務(wù)受理申請(qǐng)表》（參照附表1），報(bào)信息化主管部門批準(zhǔn)后,方可進(jìn)行系統(tǒng)部署，部署時(shí)必須對(duì)主機(jī)進(jìn)行加固，操作系統(tǒng)最小化安裝；關(guān)閉非必要的端口和服務(wù)；部署后對(duì)主機(jī)和應(yīng)用軟件進(jìn)行安全評(píng)估監(jiān)測(cè)，漏洞掃描，無(wú)高危風(fēng)險(xiǎn)和漏洞才能部署試運(yùn)行。對(duì)于擬啟用的應(yīng)用軟件系統(tǒng)，應(yīng)提供應(yīng)用軟件系統(tǒng)的最終驗(yàn)收?qǐng)?bào)告及有關(guān)部門通過(guò)最終驗(yàn)收的批準(zhǔn)文件,并附《XXXX集團(tuán)公司應(yīng)用軟件系統(tǒng)項(xiàng)目建設(shè)管理指南》規(guī)定的所有項(xiàng)目開發(fā)過(guò)程文檔。業(yè)務(wù)部門提交《應(yīng)用軟件系統(tǒng)啟用申請(qǐng)表》（參照附表2），報(bào)信息化主管部門批準(zhǔn)啟用后,方可投入運(yùn)行。信息系統(tǒng)等級(jí)保護(hù)二級(jí)及以下系統(tǒng)的啟用申請(qǐng)由信息化主管部門進(jìn)行審核并做好文檔備案；等級(jí)保護(hù)三級(jí)系統(tǒng)的啟用申請(qǐng)由信息化主管部門組織相關(guān)方管理者、技術(shù)負(fù)責(zé)人、信息安全專家和用戶組成專家組，對(duì)系統(tǒng)進(jìn)行專項(xiàng)安全評(píng)估。評(píng)估通過(guò)后，專家組出具評(píng)估報(bào)告，信息化主管部門審核并做好文檔備案，逐級(jí)批準(zhǔn)后方可啟用。運(yùn)維管理系統(tǒng)各企業(yè)信息化主管部門負(fù)責(zé)應(yīng)用軟件系統(tǒng)統(tǒng)一管理及環(huán)境配備（包括網(wǎng)絡(luò)環(huán)境、機(jī)房環(huán)境及硬件設(shè)施等）。系統(tǒng)管理員指導(dǎo)應(yīng)用管理員為應(yīng)用軟件系統(tǒng)使用者設(shè)立用戶賬號(hào)；應(yīng)用管理員根據(jù)“權(quán)限最小化”的原則，根據(jù)業(yè)務(wù)部門要求設(shè)定用戶權(quán)限。系統(tǒng)業(yè)務(wù)流程和用戶的權(quán)限需要變更時(shí)，業(yè)務(wù)部門提交《應(yīng)用軟件系統(tǒng)業(yè)務(wù)變更申請(qǐng)表》（參照附表3）。經(jīng)應(yīng)用軟件系統(tǒng)業(yè)務(wù)部門審批后，由應(yīng)用管理員按照要求調(diào)整用戶在系統(tǒng)中的操作權(quán)限并備案；用戶離職時(shí)，應(yīng)用管理員根據(jù)離職通知,停止此賬戶的所有權(quán)限并備案。系統(tǒng)管理員與應(yīng)用管理員使用系統(tǒng)特權(quán)帳戶進(jìn)行管理后，應(yīng)記錄相關(guān)操作日志，以便備查。應(yīng)用管理員負(fù)責(zé)對(duì)應(yīng)用軟件系統(tǒng)數(shù)據(jù)的完整性和有效性進(jìn)行日常檢查。應(yīng)用軟件系統(tǒng)操作失敗或異常時(shí)，應(yīng)用管理員診斷其對(duì)系統(tǒng)的影響，確定受影響的數(shù)據(jù)范圍，進(jìn)行現(xiàn)場(chǎng)處理。現(xiàn)場(chǎng)處理完成后，應(yīng)用管理員應(yīng)分析其原因，提出整改措施予以落實(shí)。應(yīng)用軟件系統(tǒng)需要進(jìn)行故障處理時(shí)，按如下流程執(zhí)行：（一）業(yè)務(wù)部門提交《應(yīng)用軟件系統(tǒng)故障處理申請(qǐng)表》（參照附表4）。（二）信息化主管部門批準(zhǔn)后，由系統(tǒng)管理員會(huì)同應(yīng)用管理員共同組織應(yīng)用軟件系統(tǒng)運(yùn)維服務(wù)商實(shí)施故障處理。（三）故障處理完成后，應(yīng)用管理員必須對(duì)系統(tǒng)進(jìn)行測(cè)試，并形成測(cè)試報(bào)告。變更管理系統(tǒng)各企業(yè)信息化主管部門負(fù)責(zé)應(yīng)用軟件系統(tǒng)的變更管理及其環(huán)境配備。應(yīng)用軟件系統(tǒng)進(jìn)行功能變更或新增需求時(shí)，業(yè)務(wù)部門向信息化主管部門提交《應(yīng)用軟件系統(tǒng)功能變更申請(qǐng)表》（參照附表5），業(yè)務(wù)部門負(fù)責(zé)人簽字確認(rèn)。信息化主管部門審核，簽字確認(rèn)后，系統(tǒng)管理員會(huì)同應(yīng)用管理員組織應(yīng)用軟件系統(tǒng)實(shí)施商進(jìn)行變更。應(yīng)用軟件系統(tǒng)進(jìn)行持續(xù)改進(jìn)或升級(jí)改造時(shí)，業(yè)務(wù)部門向信息化主管部門提交《應(yīng)用軟件系統(tǒng)升級(jí)申請(qǐng)表》（參照附表6），業(yè)務(wù)部門負(fù)責(zé)人簽字確認(rèn)。信息化主管部門審核，在簽字確認(rèn)后，系統(tǒng)管理員會(huì)同應(yīng)用管理員組織應(yīng)用軟件系統(tǒng)實(shí)施商進(jìn)行升級(jí)。不允許在運(yùn)行環(huán)境中直接進(jìn)行程序修改與測(cè)試。應(yīng)用軟件系統(tǒng)變更或升級(jí)完成后，業(yè)務(wù)部門負(fù)責(zé)對(duì)系統(tǒng)進(jìn)行測(cè)試，滿足變更或升級(jí)需求后簽字確認(rèn)；信息化主管部門依據(jù)業(yè)務(wù)部門簽字確認(rèn)意見，負(fù)責(zé)組織應(yīng)用軟件系統(tǒng)實(shí)施商進(jìn)行程序正式發(fā)布。應(yīng)用軟件系統(tǒng)變更或升級(jí)后，業(yè)務(wù)部門負(fù)責(zé)組織應(yīng)用軟件系統(tǒng)推廣應(yīng)用，應(yīng)用管理員負(fù)責(zé)對(duì)系統(tǒng)進(jìn)行跟蹤檢查及資料存檔等工作。備份與恢復(fù)管理系統(tǒng)各企業(yè)信息化主管部門負(fù)責(zé)部署在本企業(yè)應(yīng)用軟件系統(tǒng)的備份與恢復(fù)管理。系統(tǒng)管理員負(fù)責(zé)定期對(duì)應(yīng)用軟件系統(tǒng)的應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)及配套文件系統(tǒng)等業(yè)務(wù)數(shù)據(jù)和系統(tǒng)數(shù)據(jù)進(jìn)行備份，確保備份數(shù)據(jù)的有效性。系統(tǒng)管理員負(fù)責(zé)制定并更新恢復(fù)方案和恢復(fù)流程，定期組織恢復(fù)演練。恢復(fù)演練應(yīng)在測(cè)試環(huán)境中進(jìn)行，嚴(yán)禁在正式系統(tǒng)中進(jìn)行恢復(fù)演練；恢復(fù)演練包括備份數(shù)據(jù)恢復(fù)、系統(tǒng)恢復(fù)、故障排除等內(nèi)容；數(shù)據(jù)恢復(fù)測(cè)試結(jié)束后，應(yīng)記錄測(cè)試步驟、結(jié)果及改進(jìn)措施等；恢復(fù)演練確認(rèn)應(yīng)用軟件系統(tǒng)及數(shù)據(jù)均正常后，要及時(shí)清理測(cè)試環(huán)境數(shù)據(jù)。發(fā)生數(shù)據(jù)破壞情況時(shí)，系統(tǒng)管理員負(fù)責(zé)組織備份數(shù)據(jù)的恢復(fù)，確保系統(tǒng)正常運(yùn)行；丟失的數(shù)據(jù)由應(yīng)用管理員負(fù)責(zé)組織相關(guān)人員補(bǔ)錄。系統(tǒng)停用應(yīng)用軟件系統(tǒng)停用必須符合下列條件之一：（一）集團(tuán)公司信息化總體規(guī)劃及實(shí)施行動(dòng)方案中明確要求“關(guān)停、并轉(zhuǎn)”的應(yīng)用軟件系統(tǒng)；（二）與集團(tuán)公司批準(zhǔn)立項(xiàng)的新建應(yīng)用軟件系統(tǒng)功能重復(fù)或應(yīng)用沖突，經(jīng)評(píng)定、審核，需要關(guān)停的應(yīng)用軟件系統(tǒng)；（三）因信息安全等原因，國(guó)家強(qiáng)制淘汰的應(yīng)用軟件系統(tǒng)；（四）因技術(shù)進(jìn)步等原因，沒有繼續(xù)使用價(jià)值的應(yīng)用軟件系統(tǒng)；（五）系統(tǒng)運(yùn)維合同到期且未續(xù)約，沒有取得軟件源代碼，無(wú)法提供后續(xù)運(yùn)維服務(wù)導(dǎo)致系統(tǒng)運(yùn)行風(fēng)險(xiǎn)較大的應(yīng)用軟件系統(tǒng)；（六）因管理模式變更、業(yè)務(wù)重組調(diào)整、組織機(jī)構(gòu)變化等原因，造成應(yīng)用需求發(fā)生重大變化致使系統(tǒng)難以使用，升級(jí)（或整合）費(fèi)用較大的應(yīng)用軟件系統(tǒng)；（七）其它需停用的應(yīng)用軟件系統(tǒng)。應(yīng)用軟件系統(tǒng)需停用時(shí)，由業(yè)務(wù)部門向信息化主管部門提交《應(yīng)用軟件系統(tǒng)停用申請(qǐng)表》（參照附表7)詳細(xì)說(shuō)明停用原因及采取的保護(hù)措施，經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)后，報(bào)本企業(yè)信息化主管部門。根據(jù)管理逐級(jí)報(bào)送集團(tuán)公司信息化主管部門停用信息系統(tǒng)的安全保護(hù)：（一）擬停用的等級(jí)保護(hù)二級(jí)及以下的信息系統(tǒng)，應(yīng)用軟件系統(tǒng)在終止運(yùn)行以前，應(yīng)進(jìn)行必要數(shù)據(jù)和軟件備份，對(duì)終止運(yùn)行的設(shè)備進(jìn)行數(shù)據(jù)清除，并形成文檔備案。（二）停用的等級(jí)保護(hù)三級(jí)信息系統(tǒng)，應(yīng)用軟件系統(tǒng)在終止運(yùn)行以前，應(yīng)采取必要的安全措施，進(jìn)行必要數(shù)據(jù)和軟件備份，對(duì)終止運(yùn)行的設(shè)備進(jìn)行不可恢復(fù)的數(shù)據(jù)清除，如果存儲(chǔ)設(shè)備損壞則必須采取銷毀措施。之后由信息化主管部門組織專家進(jìn)行專項(xiàng)安全評(píng)估，并形成文檔備案。應(yīng)用軟件系統(tǒng)停用涉及新老系統(tǒng)過(guò)渡的：（一）業(yè)務(wù)部門負(fù)責(zé)系統(tǒng)停用前新老系統(tǒng)的數(shù)據(jù)遷移、并行運(yùn)行及應(yīng)用過(guò)渡工作；（二）完成各項(xiàng)準(zhǔn)備工作后，應(yīng)用管理員組織系統(tǒng)運(yùn)維服務(wù)商完成原系統(tǒng)的停用工作；（三）原系統(tǒng)正式停用后，信息化主管部門負(fù)責(zé)服務(wù)器及網(wǎng)絡(luò)資源的回收。系統(tǒng)停用后，由財(cái)務(wù)部門按照有關(guān)規(guī)定履行資產(chǎn)報(bào)廢程序。責(zé)任追究為加強(qiáng)應(yīng)用軟件系統(tǒng)管理，確保分公司系統(tǒng)網(wǎng)絡(luò)信息安全，分公司系統(tǒng)各企業(yè)嚴(yán)格執(zhí)行本管理辦法，分公司將對(duì)應(yīng)用軟件系統(tǒng)管理辦法落實(shí)情況進(jìn)行監(jiān)督考核。附則本規(guī)定由分公司信息化主管部門負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起執(zhí)行。附表1應(yīng)用軟件系統(tǒng)業(yè)務(wù)受理申請(qǐng)表申請(qǐng)單位申請(qǐng)日期申請(qǐng)人聯(lián)系方式申請(qǐng)事由業(yè)務(wù)系統(tǒng)名稱系統(tǒng)狀態(tài)□在建□試運(yùn)□在運(yùn)業(yè)務(wù)類別□內(nèi)網(wǎng)訪問(wèn)控制□內(nèi)外網(wǎng)擺渡□互聯(lián)網(wǎng)訪問(wèn)控制開通期限申請(qǐng)類型□首次申請(qǐng)□策略變更（□地址更換□端口變更）□策略延時(shí)□策略關(guān)閉□系統(tǒng)維護(hù)源地址及系統(tǒng)名稱源地址所屬單位及作用源端口源端口協(xié)議□TCP□UDP目的地址系統(tǒng)名稱目的地址所屬單位及作用目的端口目的端口協(xié)議□TCP□UDP業(yè)務(wù)主管部門審批簽字：年月日信息主管部門審批簽字：年月日附表2應(yīng)用軟件系統(tǒng)啟用申請(qǐng)表系統(tǒng)名稱系統(tǒng)編號(hào)申請(qǐng)單位申請(qǐng)日期系統(tǒng)概述：?jiǎn)⒂孟到y(tǒng)條件：□系統(tǒng)信息安全測(cè)試（滲透測(cè)試、代碼安全測(cè)試、漏洞掃描）□應(yīng)用軟件系統(tǒng)的最終驗(yàn)收?qǐng)?bào)告□應(yīng)用軟件系統(tǒng)安全管理規(guī)程及應(yīng)急預(yù)案啟用結(jié)論：申請(qǐng)人申請(qǐng)人：申請(qǐng)日期：年月日業(yè)務(wù)部門審批審批人：審批日期：年月日（單位蓋章）信息主管部門審批審批人：審批日期：年月日（單位蓋章）主管領(lǐng)導(dǎo)審批審批人：審批日期：年月日附表3應(yīng)用軟件系統(tǒng)業(yè)務(wù)變更申請(qǐng)表申請(qǐng)部門申請(qǐng)日期申請(qǐng)人聯(lián)系方式申請(qǐng)?jiān)蛳到y(tǒng)名稱申請(qǐng)類型用戶賬號(hào)權(quán)限：□用戶賬號(hào)新建申請(qǐng)□用戶賬號(hào)刪除□用戶賬號(hào)停用□用戶賬號(hào)權(quán)限變更□用戶部門調(diào)動(dòng)□部門名稱調(diào)整□其他系統(tǒng)業(yè)務(wù)：□新建業(yè)務(wù)流程□業(yè)務(wù)流程變更□信息系統(tǒng)網(wǎng)址變更□其他業(yè)務(wù)申請(qǐng)內(nèi)容業(yè)務(wù)申請(qǐng)部門審批簽字（蓋章）：年月日系統(tǒng)業(yè)務(wù)管理部門意見簽字：年月日附表4應(yīng)用軟件系統(tǒng)故障處理申請(qǐng)表系統(tǒng)名稱系統(tǒng)編號(hào)故障申請(qǐng)人申請(qǐng)日期審批人審批日期故障級(jí)別○重大故障○嚴(yán)重故障○一般故障○簡(jiǎn)單操作問(wèn)題○其他故障描述：故障處理要求：故障解決方案（運(yùn)維服務(wù)商填寫）：信息化主管部門審批：（簽字蓋章）附表5應(yīng)用軟件系統(tǒng)功能變更申請(qǐng)表系統(tǒng)名稱系統(tǒng)編號(hào)變更申請(qǐng)人申請(qǐng)日期業(yè)務(wù)部門審批人審批日期變更類型○功能變更○需求變更緊急程度○緊急變更○非緊急變更變更原因：變更內(nèi)容：變更影響分析：解決方案（運(yùn)維服務(wù)商填寫）：信息化主管部門審批：（簽字蓋章）主管領(lǐng)導(dǎo)審批：（簽字蓋章）附表6應(yīng)用軟件系統(tǒng)升級(jí)申請(qǐng)表系統(tǒng)名稱系統(tǒng)編號(hào)業(yè)務(wù)單位業(yè)務(wù)單位審批人聯(lián)