炼油厂——信息系统应用管理规定.docVIP

沧州分公司企业标准 信息系统应用管理办法 QG/SHCZ 03·208-2008 (A/0) 1 范围 本标准规定了管理信息系统的应用管理的要求。 本标准适用于沧州分公司所有信息系统的应用管理活动的管理。 2 规范性引用文件 《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》。 3 职责和权限 3.1 信息中心是本标准的归口管理部门。负责企业管理信息系统的应用管理工作，并进行监督、检查和考核。 4 管理内容与控制要求 4.1 用户权限管理 4.1.1 要加强管理信息系统的用户权限管理，按照“岗位需要、权责对等、统一授权”的原则，对用户进行分类分级管理，明确各级用户职责，严格控制权限范围。 4.1.2 重要的管理信息系统，要配备专职或兼职应用系统管理员，兼职应用系统管理员的职责应遵循不相容岗位原则，主要负责应用系统用户增加、删除、权限分配与变更；系统用户及权限定期审核；应用系统数据备份与恢复；应用系统日常维护等工作。 4.1.3 数据库管理员、操作系统管理员（以下统称系统管理员）和应用系统管理员的任命要经过严格审批和定期审核。应用系统管理员和系统管理员不能由同一人担任。 4.1.4 对访问信息系统的用户要有严格的申请审批流程，用户的增加、删除、权限变更必须填写申请表，经相关部门负责人审批后，方可访问系统；系统按权限组或角色分配用户权限时，权限组、角色的定义要经过相关负责人审批。 4.1.5 系统管理员要在岗位职责权限范围内做好系统监控、备份、恢复、系统变更等工作，记录操作过程并形成相关文档，不得进行职责权限范围以外的具体业务处理和操作。 4.1.6 应用系统管理员至少每半年检查一次系统中的用户和权限及使用情况，发现有异常情况及时向相关部门负责人汇报；相关部门负责人要定期审核系统内用户清单及权限是否与其岗位职责相符，如有不符，及时通知应用系统管理员做出调整。 4.2 用户访问管理 4.2.1 应用系统中用户帐号不得重复；业务操作账号不得共享，对查询、加油站班组等共享账号的申请审批要严格控制，并定期审核。 4.2.2 要严格控制第三方人员对系统的访问，第三方人员必须访问系统时，应填写账号申请表，说明账号使用的原因、时间和期限，并由相关部门负责人批准，到期要及时删除或锁定其账号。 4.2.3 开发人员不得进入生产环境，确有需要时，开发人员临时进入生产系统要经过严格审批和授权，到期要及时删除或锁定开发人员的账号。 4.2.4 应用系统管理员要定期审核系统内的用户账号清单，发现异常情况及时向相关部门负责人汇报。 4.2.5 系统用户须妥善管理自己的用户账号，用户账号只限本人使用，不得转借他人，临时离开时要退出系统或锁定计算机。 4.3 密码管理 4.3.1 为保证管理信息系统安全，系统密码的长度至少为6位，复杂度为数字与字母的组合；所有用户首次登录系统必须更改初始密码，使用中要定期更改密码，新密码不得与历史密码相同；登录时，密码多次输入错误应锁定该用户账号。 4.3.2 操作系统、数据库、应用系统的初始密码必须在系统投用前修改，系统管理员和应用系统管理员必须定期更改密码。 4.3.3 如果密码长度、密码复杂度、密码定期修改、密码多次输错锁定等要求不能在应用系统中强制控制实现，各单位信息部门负责人、应用系统管理员要加强用户密码使用的培训和定期监督检查工作。 4.4 系统变更管理 4.4.1 要严格管理和控制应用系统的变更，总部统一实施的系统，应用程序变更必须上报总部信息系统管理部和相关业务部门，由总部统一组织升级、测试和变更。分公司自建系统的变更，必须经过分公司信息管理部门和相关业务部门负责人审批后，方可变更。 4.4.2 应用程序变更移植到生产系统前必须进行系统测试和最终用户测试，测试不能在生产环境中进行；变更过程中，要做好系统数据的迁移工作，确保数据安全、完整。 4.4.3 凡操作系统和数据库打补丁、系统性能优化等配置变更，必须严格审批程序，并经过严格测试后，才能在生产环境中生效。 4.4.4 总部统一实施的管理信息系统不允许紧急变更。 4.4.5 信息管理部门必须做好操作系统、数据库、应用系统的版本管理，记录每次变更的版本号，存档变更文档和变更升级程序。 4.5 数据及接口管理 4.5.1 要严格控制应用系统数据导入、导出权限；需与总部统一实施的系统建立接口时，必须报总部信息系统管理部和相关业务部门审批，分）公司、各实施单位不得自行接入接口程序。 4.5.2 要严格管理信息系统的主数据，对总部统一制定下发的信息标准代码，分公司必须遵照执行，需要增加、删除、修改时，必须按照相关规定，上报总部有关部门审批。 4.6 终端用户计算管理 4.6.1 终端用户