公司信息系统安全管理办法.pdfVIP

公司信息系统安全管理办法

第一章总则

第一条为加强公司信息系统安全管理工作，提高信息系统建设运行质量，根

据国家有关法律、法规，结合公司的实际，制定本办法。

第二条本办法适用于公司信息系统安全管理。

第三条本办法中的信息系统指为了实现企业管理信息化或业务管理信息化

而购置和开发（含合作开发与自行开发）的计算机软件。

第四条公司信息管理部负责信息系统安全工作的组织与实施。

第五条公司信息管理部设系统管理员岗位，负责信息系统安全工作的日常落

实，主要职责有：

1、负责信息系统开发、实施、变更、验收、上线、维护、升级等阶段的组

织与协调工作；

2、负责信息系统后台的日常维护，包括服务器参数配置、访问控制策略的

制定和服务器操作系统安全性维护等；

3、负责配合业务部门针对信息系统的培训推广和用户管理等工作；

4、负责配合安全管理员和网络管理员开展其他网络信息安全有关工作。

第六条公司各部门负责整理和确定本业务系统所辖业务的管理需求、信息系

统使用与运维保障的安全需求等，并对本业务系统信息的安全性负责。

第二章系统开发管理

第七条系统开发之前应分析确定详细的业务管理需求、技术需求（如数据库

选择与数据结构设计、技术平台的选择与搭建、开发语言与网络协议的选择等）

以及信息安全使用需求等，为系统开发创造条件。

第八条系统开发阶段应完成代码设计、系统测试和安全评估工作。

第九条在信息系统的代码设计阶段，应根据安全需求设计实施安全技术，对

信息系统技术实现过程进行质量管理，防止技术人员故意保留“后门”，保证系

统最终产品的安全性质量。

第十条软件开发设计人员与操作人员必须实行岗位分离。软件设计方案、数

据结构加密算法、源代码等技术资料严禁散失和外泄。

第十一条对开发完成的系统原型，必须经过局部功能测试、整体功能测试、

压力测试，以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重

要安全性测试和安全评估，并试运行三个月，确认达到设计要求后，方可正式投

入使用。测试的结果应进行详细记录并存档。

第三章系统实施管理

第十二条应与系统开发单位签订与安全相关的协议，约束系统开发单位的行

为。

第十三条应要求系统开发单位制定详细的系统实施方案，能正式地执行安全

实施过程，并通过系统监理控制项目的实施过程。

第十四条应要求系统开发单位在实施完成后，提供系统功能说明书、系统维护

手册、用户操作说明书等文档。

第四章系统变更管理

第十五条系统变更由业务需求部门和信息管理部共同分析变更的必要性和

合理性，确定是否实施变更。

第十六条信息管理部记录变更信息，编制变更计划和方案，报公司信息化工

作领导小组审批。

第五章系统验收管理

第十七条系统验收管理包括系统整体功能测试、安全性测试和文档审核工

作。

第十八条在测试验收前应根据设计方案或合同要求等制订测试验收方案。

第十九条系统整体功能测试和安全性测试应由需求提交部门和信息管理部

共同进行，测试工作应按照需求说明书内容逐条进行，并形成功能测试报告及安

全性测试报告。

第二十条应组织相关部门和相关人员共同对系统进行审定，审定后由甲乙双

方签字。

第六章系统交付上线管理

第二十一条系统交付工作应由需求提交部门、信息管理部和系统开发单位共

同参与。

第二十二条系统交付工作包括产品交付、文档交付和系统培训。

第二十三条应要求系统开发单位制定详细的培训计划、培训文档，并完成对

需求提交部门和信息管理部的人员进行培训，同时提交系统运行维护的指导文

档。

第二十四条系统上线前，应制定规范化的信息系统上线流程，待流程审批测

试后，才能获准上线；信息系统未经严格测试不得上线运行。

第二十五条系统上线后，应评估信息系统上线风险，做好相应的应急和备份

计划。

第七章系统维护管理

第二十六条制定系统主机