公司信息系统应用管理办法.pdfVIP

公司信息系统应用管理办法

公司信息系统应用管理办法

为进一步强化公司信息系统的应用管理工作，规范和加强

系统应用权限管理、用户访问、密码管理、系统变更、数据及

接口管理、终端用户计算、日志管理、备份管理和问题管理，

确保信息系统安全、稳定、高效运行，提高系统应用水平，根

据《集团公司管理信息系统应用管理办法》，特制定本办法。

本办法适用于公司范围内的所有管理信息系统，公司各有

关部门、各单位要依据本办法，制定本部门、本单位牵头负责

的管理信息系统的应用管理细则。

对于第三方服务供应商，应签署保密协议，保证其服务的

安全、准确和有效性。

公司各部门、各单位应强化本单位管理信息系统的应用培

训，培训内容除包括系统操作外，还应加强有关安全政策、权

限申请、系统访问、密码管理等方面的安全教育，提高全员安

全意识。

已投入运行的系统，其系统功能达不到本办法的有关要求，

应进行系统升级或变更；目前暂无升级计划的系统，必须加强

管理和培训，加大监控力度，有效规避风险。

各级信息管理部门职责

科技开发处是信息系统应用管理的归口管理部门，负责监

督、检查、考核公司信息系统应用管理情况。

信息技术管理中心负责公司信息系统应用管理运行维护和

技术支持。

各信息系统应用单位是信息系统的使用单位，负责系统功

能完善、用户管理、数据管理等。

管理内容和要求

用户权限管理

公司各部门、各单位要加强本单位牵头负责管理信息系统

的用户权限管理，按照“岗位需要、权责对等、统一授权”的原

则，对用户进行分类分级管理，明确各级用户职责，严格控制

权限范围。

重要的管理信息系统如ERP系统、MES等，要配备专职

或兼职应用系统管理员，兼职应用系统管理员的职责应遵循不

相容岗位原则，主要负责应用系统用户增加、删除、权限分配

与变更；系统用户及权限定期审核；应用系统数据备份与恢复；

应用系统日常维护等工作。

数据库管理员、操作系统管理员（以下统称系统管理员）

和应用系统管理员的任命要经过严格审批和定期审核。应用系

统管理员和系统管理员不能由同一人担任。

对访问信息系统的用户要有严格的申请审批流程，用户的

增加、删除、权限变更必须填写申请表，经相关部门负责人审

批后，方可访问系统；系统按权限组或角色分配用户权限时，

权限组、角色的定义要经过相关负责人审批。

3.1.5系统管理员负责系统监控、备份、恢复和系统变更

等工作，并记录操作过程并形成相关文档。在职责权限范围内

操作，不得处理和操作超出职责权限范围的具体业务。

3.1.6应用系统管理员每半年至少检查一次系统中的用户

和权限，并及时向相关部门负责人汇报任何异常情况。相关部

门负责人定期审核系统内用户清单及权限是否与其岗位职责相

符，如有不符，应及时通知应用系统管理员做出调整。

3.2用户访问管理

3.2.1应用系统中的用户帐号不得重复，业务操作账号不

得共享，对查询、班组等共享账号的申请审批要严格控制，并

定期审核。

3.2.2第三方人员访问系统时，必须填写账号申请表，说

明账号使用的原因、时间和期限，并由相关部门负责人批准。

到期时，应及时删除或锁定其账号，严格控制第三方人员对系

统的访问。

3.2.3开发人员不得进入生产环境，确有需要时，应经过

严格审批和授权，临时进入生产系统。到期时，应及时删除或

锁定开发人员的账号。

3.2.4应用系统管理员要定期审核系统内的用户账号清单，

并及时向相关部门负责人汇报任何异常情况。

3.2.5系统用户必须妥善管理自己的用户账号，用户账号

只限本人使用，不得转借他人。临时离开时，应退出系统或锁

定计算机。

3.3密码管理

3.3.1为保证管理信息系统安全，系统密码的长度至少为6

位，复杂度为数字与字母的组合。所有用户首次登录系统必须

更改初始密码，使用中要定期更改密码，新密码不得与历史密

码相同。登录时，密码多次输入错误应锁定该用户账号。

3.3.2操作系统、数据库、应用系统的初始密码必须在系

统投用前修改，系统管理员和应用系统管理员必须定期更改密

码。

3.3.3如果密码长度、密码复杂度、密码定期修改、密码

多次输错锁定等要求不能在应用系统中强制控制实现