0307-信息系统应用管理程序.pdf

日照在天软件开发有限公司 信息安全管理体系文件 信息系统应用管理程序 ISMS-0307-2011 受控状态 受 控 分 发 号 版 本 A/0 持 有 人 编制： 编写组 审核： 批准：李翠萍 2011-6-30 发布 2011-6-30 实施 信息系统应用管理程序 信息系统应用管理程序 1 目的 为实施对公司信息系统应用活动的控制，特制定本程序。 2 范围 本程序规定了信息系统应用的控制策略、 应用需求、 应用推广培训、 故障处理、 检 查监督和考核，适用于信息系统应用活动的管理。 3 职责 3.1 研发部 负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规 范性，协助各部门进行应用推广、检查监督与考核。 3.2 各职能部门 应用系统所涉及业务的职能部门，负责系统的控制策略执行。 4 程序 4.1 系统操作的控制策略 4.1.1 研发部负责建立《应用系统一览表》 ，明确系统管理的职责。各应用系统必须 确定相应的系统管理员。系统管理员不能由安全管理员兼任。 4.1.2 各部门需对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师， 超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实 用工具网管软件等， 且必需服从网络安全管理员检查监督和管理。 并由研发部建立 《系 统实用工具一览表》 。 4.1.3 信息系统的访问控制，应用系统需严格按《用户访问管理程序》执行。禁止 访问系统中应用程序的用户使用系统实用工具。因未按《用户访问管理程序》授权的 用户访问造成的信息安全事件，研发部领导负主要责任。 第 0 次修改 第 1 页 共 3 页 信息系统应用管理程序 4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从研发部系统 管理员的检查监督和管理。因应用系统用户未按相应的应用管理程序使用系统造成的 信息安全事件，应用系统用户负主要责任。 4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关 的活动。 4.1.6 信息系统用户必须严格执行保密制度。对各自的用户帐号负责，不得转借他 人使用。 4.1.7 信息系统应有操作规程或使用手册，指导用户使用应用系统。 4.2 信息系统的应用需求及变更 4.2.1 各部门对应用系统的应用需求变更（包括新安装、补丁、版本升级及更换） 申请由部门负责人提出，研发部负责确定应用需求的技术可行性和技术实现。在更改 实施前，研发部填写《变更申请表》，明确更改的原因、更改范围、更改影响的分析及 对策（包括不成功更改的恢复措施），经研发部负责人批准后予以实施。 4.2.2 当需要开发、测试时，开发、测试和运行设施应分离，以减少未授权访问或 改变运行系统的风险。 4.2.3 应用系统的变更按《信息系统开发建设管理程序》进行。 4.2.4 实用工具的应用需求及变更应由批准使用人提出，总经理负责确定实用工具 应用需求的技术可行性和技术实现。 4.3 信息系统的可用性 4.3.1 系统管理员负责对应用系统按操作说明书进行维护，确保系统的正常运行。 4.3.2 实用工具使用者负责对实用系统按操作说明书进行维护，确保安全使用。