SPV公司信息管理制度

信息管理制度第一條信息安全管理—、目的1、明確信息安全管理范圍及管理職責，使網(wǎng)絡安全管理規(guī)范化、制度化確保網(wǎng)絡安全穩(wěn)定運行，確保網(wǎng)絡信息安全可靠。二、網(wǎng)絡及信息安全三、網(wǎng)絡規(guī)劃設計1、原則上網(wǎng)絡按功能和業(yè)務劃分為管理網(wǎng)絡、生產(chǎn)網(wǎng)絡、辦公網(wǎng)絡、訪客網(wǎng)絡網(wǎng)絡間須進行隔離。2、管理網(wǎng)絡及VPN網(wǎng)絡須向集團信息技術部申請IP地址段，集團信息技術部分配后進行架設部署。四、 網(wǎng)絡設備選擇及使用1、 設備需求及關鍵技術指標由SPV公司提出，集團信息技術部復核確認后由集團信息技術部統(tǒng)一進行設備選型、比價、采購，預算及費用由SPV公司承擔。2、 基于強化安全管理的原因，網(wǎng)絡內禁止使用個人/家用級設備，如：無線路由器、非網(wǎng)管交換機等。1、 入網(wǎng)設備必須關閉自動向廠商提交信息的功能。2、 除訪客網(wǎng)絡外，無線網(wǎng)絡必須使用用戶識別方式進行身份驗證。五、 安全控制1、網(wǎng)絡間如需網(wǎng)絡間互相通訊的，管理員同意后經(jīng)過防火墻等安全設備過濾，以白名單方式對指定流量放行。2、 嚴禁設備廠家不經(jīng)批準，通過技術手段對設備進行遠程控制/獲取數(shù)據(jù)/遠程維護。六、管理維護1、 網(wǎng)絡建設完成后，SPV公司運維人員須向集團信息技術部提交相關驗收資料。2、 每月進行一次所有設備運行配置備份，提交集團信息技術部。3、 嚴禁泄露設備登錄密碼及各級操作密碼。七、病毒防治管理1、 嚴禁在生產(chǎn)網(wǎng)絡、辦公網(wǎng)絡的計算機上安裝非集團、SPV公司正式購買的或未經(jīng)集團、SPV公司書面批準的任何軟件。2、 做好生產(chǎn)網(wǎng)絡、辦公網(wǎng)絡的病毒查殺工作。必須按實際情況，安裝正版的殺毒軟件。定期更新病毒特征庫以及病毒掃描。3、 網(wǎng)內各設備、計算機需定期安裝最新的安全更新/漏洞補丁，以降低安全風險。八、 數(shù)據(jù)備份還原1、 SPV公司對自建系統(tǒng)、文件共享服務器等每月至少進行一次完整數(shù)據(jù)備份，所有備份保留時間由SPV公司自行定義。共用的集團系統(tǒng)由集團信息技術部進行備份。2、 SPV公司自建系統(tǒng)每年至少進行一次災難還原演練，查漏補缺，以降低風險。九、信息保密（一）權限控制1、 遵循最低權限原則，避免給用戶過高的訪問控制權限。2、 涉密數(shù)據(jù)控制訪問人員數(shù)量，嚴禁多人共同使用同一賬號。（二）備份管理L備份數(shù)據(jù)不得與生產(chǎn)環(huán)境數(shù)據(jù)存放于同一介質，防止出現(xiàn)因為介質故障、損壞、丟失等情況下發(fā)生數(shù)據(jù)丟失。2、備份數(shù)據(jù)由專人負責管理維護，避免非授權人員訪問。（三）介質管理L存儲過涉密數(shù)據(jù)的介質在處理/廢棄之前，須確保原存儲的數(shù)據(jù)無法被還原。2、根據(jù)介質類型選擇不同的處理方式，包括但不限于：覆寫、擦除、粉碎等。處理后須技術人員進行二次確認。十、信息安全檢查集團信息技術部每年不定期對SPV公司的信息安全工作進行抽查。檢查事項：1、 網(wǎng)絡安全風險；2、 設備運行壓力及異常日志；3、 漏洞掃描分析。4、數(shù)據(jù)備份/還原。第二條軟件系統(tǒng)管理一、目的1、明確信息軟件系統(tǒng)管理范圍及管理職責，使軟件系統(tǒng)應用規(guī)范化。2、確保軟件系統(tǒng)合理建設，軟件系統(tǒng)應用管理規(guī)范。二、軟件系統(tǒng)管理(-)軟件需求管理1、業(yè)務需求部門通過”軟件需求申請表"向信息技術部提出業(yè)務需求，經(jīng)部門領導及集團分管領導審批通過。信息技術部根據(jù)申請表與業(yè)務部門詳細溝通、了解業(yè)務需求，并判斷系統(tǒng)建設方式，轉入后續(xù)工作。2、”軟件需求申請表”用于說明業(yè)務總體需求及立項審批，為更加準確描述業(yè)務需求，可附帶附件、圖表等業(yè)務相關文檔。3、人力資源管理、財務管理、資產(chǎn)管理無特殊情況，必須使用集團統(tǒng)一的或指定的信息系統(tǒng)。(_)軟件采購管理1、當系統(tǒng)建設方式確定為采購時，應由業(yè)務部門及信息技術部組成項目小組，指定業(yè)務需求負責人、系統(tǒng)需求負責人、系統(tǒng)技術負責人，負責評價供應商軟件產(chǎn)品，支持采購決策。2、業(yè)務部門可推薦備選供應商、信息技術部從市面上廣泛了解供應商備選,原則上至少有四家備選供應商應參與采購競標。3、軟件采購范圍不僅限于軟件產(chǎn)品首次購買，也包含基于產(chǎn)品的定制開發(fā)以及產(chǎn)品升級和現(xiàn)有產(chǎn)品替換等凡是有第三方供應商涉及的情況。三）軟件開發(fā)管理1、當系統(tǒng)建設方案確定為自建時，應由業(yè)務部門及信息技術部組成項目小組，指定業(yè)務需求負責人、系統(tǒng)需求負責人、系統(tǒng)技術負責人，支持系統(tǒng)開發(fā)按照業(yè)務需求要求進行。（四） 實施推廣管理1、由業(yè)務部門及信息技術部門指定人員成立實施推廣小組。信息技術部負責實施推廣的整體工作，業(yè)務部門負責實施推廣中的業(yè)務決策建議。實施推廣小組需編制實施推廣計劃、實施系統(tǒng)配置及初始化。2、業(yè)務部門負責組織業(yè)務用戶參加系統(tǒng)操作培訓，信息技術部門負責具體操作培訓講解及疑問解答,業(yè)務部門負責解答業(yè)務相關問題。（五）運營維護管理1、 原則上每個SPV公司在系統(tǒng)中應至少設立1名業(yè)務運營管理員，負責指導并處理業(yè)務人員提出的系統(tǒng)中與業(yè)務相關的問題。2、 系統(tǒng)運維分為系統(tǒng)權限開通/變更、審批流人員調整、審批流程調整、數(shù)據(jù)等其他內容調整等。業(yè)務部門需填寫"系統(tǒng)運維申請表”，并經(jīng)相關部門領導審批后，交于信息技術部予以備案并處理。軟件需求申請表1.業(yè)務需求信息2,申請部門申請人申請時間需求簡述業(yè)務云項目負責人涉及系統(tǒng)云類型新功能改進其他:云分析建設方式采購自建說明預算（米購）工作量預估（自建）預期效果及風險3,需求審預算內預算夕卜預算項本次金額預估需求總計（人天）說明預算項金額開發(fā)測試實施業(yè)務部門負責人P審批意見:同意卜①rn不同意簽字：日期：信息部負責人批意見：同意y.r> nrt不同意簽字：日期：業(yè)務部門中心總裁-批意見：同意y.r> nrt不同意簽字：日期：CHO批意見：同意不同意 簽士 系統(tǒng)運維申匸：3請表日期：

L2」審批流-人員調整:若申請人角色屬于項目部，簽批到部門負責人；若申請人角色屬于SPV公司，簽批到SPV公司總經(jīng)理；若申請人角色屬于SPV中心，