还剩42页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
XXXX有限公司信息化管理制度(修订)第一章总则第一条为了建立健全XXXX有限公司(以下简称“公司”)信息化管理体系,加强和规范信息化管理工作,全面推进公司信息化建设与数字化转型,构建安全、高效、可持续发展的信息支撑体系,特制定本制度第二条本制度对信息化管理的定义与原则,相关部门职责,规划与计划管理,项目立项与投资管理,项目建设与验收管理,信息系统运行维护管理及信息安全管理等内容作规范第三条本制度适用于公司总部及各分、子公司,其他所属企业及机构可根据本规定制订相关配套制度或实施细则第二章信息化管理的基本原则第四条信息化管理是以信息化带动工业化,实现公司管理现代化的过程公司信息化管理坚持“统一规划、统一标准、分步建设、分级管理”原则,防止产生孤岛效应和重复建设第五条公司采用“统分结合”管理模式,即公司通用信息系统由总部数字与信息化中心统一牵头部署建设,包括但不限于ERP、财务共享、电采平台、OA、HR、地磅无人值守、档案等公用系统;1-价值进行分析,并制定应对安全方案,防止外部人员访问该子网网络与相关信息,保证信息资产安全各部门内任何信息共享均须设置访问权限,严禁不设权限的共享第四十九条计算机设备操作人员须严格遵守计算机安全操作规程和使用方法任何人不得带电插拔计算机外部设备接口,计算机出现故障时应及时向本单位信息化管理部门申请维修,不得私自找外部人员进行维修第五十条各部门的涉密可移动介质均需交由部门负责人负责保管员工向可移动介质拷贝涉密信息,或将涉密可移动介质带离本单位的,需报该部门负责人批准对报废信息设备中存有的程序、数据资料,各部门需备份后清除,并将报废信息设备交由本单位信息化管理部门进行处理,严禁私自废弃信息设备,以防泄密第十一章信息化安全管理-系统操作第五十一条根据信息系统的特定安全要求,信息化管理部门需进行相应安全意识培训,确保单位人员在被授权访问信息系统之前得到基本培训培训方式可以集中现场培训,也可以通过网络发布信息安全文档供员工学习第五十二条总部数字与信息化中心需明确各企业和职能部门信息安全岗位人员的职责,与其签订保密协议,以确保信息数据安全要求熟悉本单位信息系统应用程序流程、各业务子系统的具体操作规范,严格按照操作程序流程和规范进行操作不得擅自对系..10-统软件功能进行删除、修改等操作,未经总部数字与信息化中心允许不得擅自升级、改变系统软件版本,不得擅自改变软件系统环境配置第五十三条总部及各企业上网及核心交换机相关信息报数字与信息化中心统一备案,按部门需求分配员工使用互联网的权限,上网权限需落实到各计算机网卡地址任何部门和员工不得擅自通过公司内IP地址私自接入蓝牙或无限局域网WIFI设备,如有工作需要的,须向数字与信息化中心申报并登记备案,并通过上网行为管理系统进行监控第五十四条除总部数字与信息化中心查看网络状态外,一切入网用户不得利用各种网络设备或软件技术从事其他用户联网信息的侦听、盗窃活动,此类活动被认为是对公司信息的非法获取行为第五十五条严禁在公司内网上使用自行下载或来历不明、引发病毒传染的软件对于来历不明的可能引起计算机病毒的软件应使用数字与信息化中心推荐的杀毒软件检查、杀毒使用外部人员的移动硬盘或U盘前也需先杀毒,确认无病毒后方可使用第五十六条总部及各企业信息化部门应按照管控要求对应用系统进行定期巡检管理,发现异常及时处理,对无法处理的异常报总部数字与信息化中心协同解决第十二章信息化安全管理-人员权限第五十七条总部数字与信息化中心信息系统管理员为各企业/..II-总部各职能部门信息系统管理员岗位赋权账户及密码的最高负责人岗位,具体操作须严格按照审批确认的信息系统(或服务器)访问权限进行授权操作第五十八条严厉杜绝非实名账户、多人共享一个账户、离职调岗仍拥有原有账户等情况,信息系统管理员对反馈的审批确认表进行监控清查,并做好原始检查结果的记录保留,发现异常应及时提交总部数字与信息化中心/各企业信息化管理部门负责人进行权限调整第五十九条总部数字与信息化中心对管理总部及下属企业的密码及权限安全管理情况进行不定期检查,凡发现异常情况的,由总部数字与信息化中心对用户所属单位发函通报,避免类似情况再次发生;对于无法联系或不予整改的,由总部数字与信息化中心管理员对该用户及权限进行关闭第六十条各信息系统操作人员的账号、密码须严格按照操作规范和管理制度执行,未经操作培训的人员不得作为信息系统操作人员,信息系统操作人员应妥善保管账号和密码,除有授权外,不得盗用他人账号操作信息系统第六十一条公司内部员工发生工作调动或离职的,总部人力资源部或各企业人力资源职能部门应及时按调动或离职手续流程通知总部数字与信息化中心,以调整该员工岗位的相关账号对应权限,防止其继续拥有原有的权限和系统数据..12-第十三章信息化安全管理-数据第六十二条总部及下属企业的信息数据中心须设置各应用数据库的自动备份策略存放备份数据的介质须具有明确标识备份数据必须异地存放,并明确落实异地备份数据的管理职责,要求建立对数据备份的定期恢复测试机制,确保数据备份的完整性和高可用性第六十三条总部数字与信息化中心和各企业信息化管理部门需成立数据安全应急处理小组,制订突发事件数据安全应急处理预案、应急程序,保证及时有效处理突发数据安全事件第六十建立信息数据变更处理(包括数据导入、数据提取、数据修改等)规则,一经发现已输入数据信息有误,须按照信息系统操作规程加以修正原则上总部数字与信息化中心或各企业信息化管理部门不得直接操作变更非本部门的业务数据第六十五条计算机设备需送外维修的,须报该部门分管领导批准送修前,需将设备存储介质内应用软件和数据等涉及经营、管理的信息备份后删除,并进行登记对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记第六十六条总部数字与信息化中心需对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资源和介质,防止泄密第十四章信息化安全管理-系统变更・.13-第六十七条在信息系统的使用过程中,根据业务需求或安全管理需要,总部及下属企业信息部门定期/不定期开展对信息系统的优化升级为有序、快速、顺利完成系统升级优化管理,控制系统风险,变更工作须按照系统变更申请、审核、归类、规划及实施五个步骤进行第六十八条系统变更申请变更申请人填写《系统升级优化申请单》(附件5),对系统升级优化请求进行详细的描述,包括变更需求、变更后的效益或不实施变更可能带来的后果、变更申请人、变更类型等信息,经审批通过后提交系统归口管理单位第六十九条系统变更审核系统归口管理单位对提交的《系统升级优化申请单》进行初步评估,以检查变更请求是否清楚、合理、可行,并由系统归口管理单位负责人审核涉及系统重大变更的,需经公司分管信息工作的部门领导审核拒绝变更请求需对变更申请人回复原因所有变更活动须保留详细规范的书面记录第七十条系统变更归类对审批通过的系统升级优化请求,由系统归口管理单位按照变更请求的重要性、紧急性进行分类和优先级排序其等级分别为紧急重要变更、高优先级变更、普通变更确有紧急重要变更事项的,可执行紧急变更流程,以电话、微信、邮件等高效便捷的方式获得电子审核意见后即可执行紧急变更变更完成后,须补录《系统升级优化申请单》并完成相应审批手续第七十一条系统变更规划及实施,对审批通过的变更请求,由系统归口管理单位制订详细的计划和方案,以有效控制实施活动,..14-规划范围需包含测试计划、实施方案、准确性测试、验收、培训计划等,并保留书面记录新系统、系统重大更新等重要变更实施前,必须按照变更规划中的测试计划进行详细测试,以保证可用性和完整性测试完成后,变更申请人或相关业务部门须对测试结果进行验收测试过程、测试结果、验收记录等均须详细记录并存档以备追踪参考第七十二条为确保关键岗位职责分离,变更活动中软件开发或实施人员不具备业务系统管理员或更新业务系统的权限第十五章附则第七十三条总部及下属企业各级员工在日常使用信息化过程中,有违反本制度的行为给公司造成较大造成影响或给公司造成较大经济损失的,经查证后对具体违规人员按照公司制度予以处理;情节严重的,移交司法机关处理第七十本制度由数字与信息化中心负责解释和修订第七十五条本制度自印发之日起实施附件
1.信息系统项目立项、验收、选型管理流程及表单
2.信息系统软件服务流程及表单
3.信息系统安全配置基线
4.项目立项报告模板
5.系统升级优化申请单..15-附件1信息系统项目立项、验收、选型管理流程及表单
一、信息化项目立项申请表
(一)表单流程用途按照公司信息化建设的年度计划(包括总部管控层面、生产经营层面)以及信息化总体规划设计要求,所有需要向市场采购的新增、新构建设的软件/硬件/网络/ICT智能设备/数字化技改项目,由业务使用单位或由信息部门协助提请的需求申请,均需要通过该单据流程进行项目立项申请和报批流程(原有系统上新增模块或微调需求除外)该单据流程与《信息化项目服务厂商选型对比报告》以及《信息化项目竣工验收报告表》存在先后关联关系该单据流程要求添加项目立项申请附件,参照项目立项申请附件模板填写
(二)申请审批流程..16-
(三)单据格式要求:信息化项目立项申请表项目名称流程编号申请人申请日期申请部门申请单位项目关联部门项目类型□新建项目□推广项目口优化项目实施商口自主实施口外援实施预计投入金额预计需投入时间项目概要说明
二、信息化项目服务厂商选型对比报告表单用途所有需要向市场采购的新增、新购建设的软件/硬件/网络/ICT智能设备/数字化技改项目,在向市场上专业软硬件或设备产品提供商/服务商进行比选招标流程结束后,业务使用单位或信息部门需要完成表单内容线填写,并由参与评标的人员签字信息化项目服务厂商选型对比表项目名称待填项目名称序供应商提供软提供的解决方供应(服务商)企业规预计投预计费预计实同行备注号名称件产品案及服务内容模(注册资本、人数、入人员用概算施周期实施说明名称概要营业概况)区间案例
12..17-345
三、信息化项目竣工验收报告表
(一)表单流程用途:所有需要市场专业实施服务商针对新增、新购建设的软件/硬件/网络/ICT智能设备/数字化技改项目在建设完成上线运行之后,务必经过项目目标满足度、系统需求功能完善程度、业务操作部门满意度、技术协议或技术方案的预定目标符合度、存在主要问题和改进意见等要素的评估总结,该表单流程用于系统项目验收总结的备案,需要与《信息化项目立项申请表》的需求申请内容对应一致,由项目立项申请部门发起流程
(二)申请审批流程:
(三)单据格式要求:..18-信息化项目竣工验收报告表项目名称流程编号申请人申请日期申请部门申请单位实施方项目经理需求方项目经理项目启动日期项目上线日期项目金额项目建设目标(项目范围、目标及达成情况).19-企业个性化信息系统由所属单位在公司整体规划下进行部署建设第三章数字与信息化中心管理职责第六条信息化管理实行总部及下属企业分层管理,设置总部及下属企业两个层次的信息化管理机构,归口管理信息化工作数字与信息化中心为公司信息化工作的统一归口管理部门第七条全程参与公司战略规划制定,负责制定公司IT整体规划和实施方案、按计划全力推动IT规划的全面实施第八条负责总部信息化人才团队的甄选、培养、更替等组织建设,协助推进各级单位IT部门构架和IT编制的规划工作第九条负责制定公司信息管理方面的各项规章制度,编制信息化相关技术和管理标准、规范,协助指导下属企业制定信息化相关的各项规章制度并监督执行,推动和规范公司信息化制度体系第十条负责管理公司的信息化项目,通过项目管理制度体系和机制,对项目的计划与协调、实施与交付成果进行跟踪和监督管理,达成项目的预期目标第十一条负责制定、并持续完善公司统一的IT运维流程和平台建设,尤其在ITIL/ITSM(信息基础设施库/信息技术服务管理)方面,健全信息系统运维管理,保障总部IT基础设施平台持续稳定运营第十二条负责制定公司信息安全体系的建立与执行审计,建设信息系统安全制度、安全策略、配套技术手段,监管执行并审计..2-附件2信息系统软件服务流程及表单
一、流程
(一)系统增改账号权限
1.流程用途针对公司管控层面、生产经营层面的业务部门应用的软件或网络终端系统,如NC-ERP/OA/VPN/企业邮箱/企业微信/企业网站/网络打印机或复印机/外网端口/怔5/1皿5/实时数据库/关系数据库・・・・・・・・…等需要登录进入的软件系统,需要申请开通账户/修改密码/删除权限的审批流程
2.申请审批流程账号及权限维护流程公司管控的系统,账号管理部门为总部数字与信息化中心;企..20-业管控的系统,账号管理部门为各企业信息中心或相关管理部门
3.单据格式要求账号及权限维护申请表标题流程编号申请人申请日期申请部门申请分部申请人岗位/职务维护类型口账号权限新增□账号权限删除□账号权限修改账号类型(通过下拉菜单选项)业务系统(通过下拉菜单选项)需求描述账号类型业务账号、系统管理员账号;业务系统VPN\OA\eHR\NC资金及财务\NC供应链及其它\CTRM大宗商品交易\其他
(二)ITSM需求/问题申请
1.流程用途针对公司管控层面、生产经营层面的业务部门应用的软件或网络终端系统,如NC-ERP/OA/VPN/企业邮箱/企业微信/企业网站/网络打印机或复印机/外网端口/MES/LIMS/实时数据库/关系数据库.・…・…等软件系统,在使用过程中发现异常或有改进建议而发起的申请流程
2.申请审批流程:.21-问题需求申请流程起草人数字与信息化中心起草人
3.单据格式要求问题需求申请单标题申请人申请日期申请部门申请单位业务系统(通过下拉菜单选项)需求/问题描述..22-附件3信息系统安全配置基线
一、Windows操作系统安全配置要求
(一)账户口令安全账户分配应为不同用户分配不同的账户,不允许不同用户间共享同一账户账户锁定应删除或锁定过期账户、无用账户用户访问权限指派应只允许指定授权账户对主机进行远程访问账户权限最小化应根据实际需要为各个账户分配最小权限默认账户管理应对Administrator账户重命名,并禁用Guest(来宾)账户口令长度及复杂度应要求操作系统账户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合口令最长使用期限应设置口令的最长使用期限小于90天口令历史有效次数应配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令口令锁定策略应配置当用户连续认证失败次数为5次,锁定该账户30分钟
(二)服务及授权安全..23-服务开启最小化应关闭不必要的服务SNMP服务接受团体名称设置应设置SNMP接受团体名称不为public或弱字符串系统时间同步应确保系统时间与NTP服务器同步DNS服务指向应配置系统DNS指向企业内部DNS服务器
(三)补丁安全系统版本应确保操作系统版本更新至最新补丁更新应在确保业务不受影响的情况下及时更新操作系统#To
(四)日志审计日志审核策略设置应合理配置系统日志审核策略日志存储规则设置应设置日志存储规则,保证足够的日志存储空间日志存储路径应更改日志默认存放路径日志定期备份应定期对系统日志进行备份
(五)系统防火墙应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口
(六)防病毒软件应安装由总部统一部署的防病毒软件,并及时更新
(七)关闭自动播放功能应关闭Windows自动播放功能..24-
(八)共享文件夹删除本地默认共享应关闭Windows本地默认共享共享文件权限限制应设置共享文件夹的访问权限,仅允许授权的账户共享此文件夹登录通信安全禁止远程访问注册表应禁止远程访问注册表路径和子路径登录超时时间设置应设置远程登录账户的登录超时时间为30分钟限制匿名登录应禁用匿名访问命名管道和共享Red HatLinux、Solaris、H P-UNIX等操作系统安全配置要求
(一)账户口令安全账户共用应为不同用户分配不同系统账户,不允许不同用户间共享同一系统账户账户锁定应删除或锁定过期账户或无用账户超级管理员远程登录限制应限制root账户远程登录账户权限最小化应根据实际需要为各个账户设置最小权限口令长度及复杂度应要求操作系统账户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合口令最长使用期限应设置口令的最长生存周期小于等于90天口令历史有次数应配置操作系统用户不能重复使用最近5次(含5次)内已使用的口令•.25-口令锁定策略应配置用户当连续认证失败次数超过5次(不含5次),锁定该账户30分钟(Solaris、Red HatLinux.AIX)o应配置当用户连续认证失败次数超过5次(不含5次),锁定该账户(UNIX)
(二)服务及授权安全重要文件目录权限应根据用户的业务需要,配置文件及目录所需的最小权限应对文件和目录进行权限设置,合理设置重要目录和文件的权限(AIX)用户缺省访问权限应配置用户缺省访问权限,屏蔽掉新建文件和目录不该有的访问允许权限(UNIX、Red HatLinux、AIX无屏蔽……•…权限)服务开启最小化应关闭不必要的服务系统时间同步应确保系统时间与NTP服务器同步DNS服务器指定应配置系统DNS指向企业内部DNS服务器
(三)补丁安全应在确保业务不受影响的情况下及时更新操作系统补丁
(四)日志审计日志审计功能设置应配置日志审计功能日志权限设置应合理配置日志文件的权限(Solaris、Red HatLinux)应配置账户对日志文件读取、修改和删除等操作权限进行限制..26—UNIX、AIX日志定期备份应定期对系统日志进行备份网络日志服务器设置(可选)应配置统一的网络日志服务器
(五)防止堆栈溢出设置应设置防止堆栈缓冲溢出
(六)登录通信安全远程管理加密协议应配置使用SSH等加密协议进行远程管理,禁止使用Telnet等明文传输协议登录超时时间设置应设置登录账户的登录超时为30分钟
三、SQL Server数据库安全配置要求
(一)账户口令安全账户共用应为不同用户分配不同的数据库账户,不允许多个用户共用同一个数据库账户账户锁定应删除或禁用无关账户禁止管理员账户启动SQL Server服务应禁止使用管理员账户启动SQL server服务账户策略应在SQL Server账户策略中启用操作系统账户策略,即继承操作系统账户策略
(二)权限最小化应根据用户的业务需要,配置其数据库所需的最小权限
(三)日志审计登录审核配置登录审核,记录用户登录操作..27-C2审核跟踪启用C2审核跟踪
(四)禁用不必要的存储过程应禁用不必要的存储过程
(五)补丁安全应在确保业务不受影响的情况下及时安装更新操作系统和SQL Server补丁
(六)访问IP限制应只允许信任的IP地址通过监听器访问数据库配置防火墙限制,只允许与指定的IP地址建立1433的通讯(从更为安全的角度考虑,可将1433端口改为其他的端口)
(七)连接数设置应根据服务器性能和业务需求,设置最大并发连接数
(八)数据库备份应每周对数据库进行一次完整备份
四、Oracle数据安全配置要求
(一)账户口令安全禁止账户共用应为不同用户分配不同的数据库账户,不允许多个用户共用同一数据库账户账户锁定应锁定或删除无关账户限制DBA组账户DBA组仅添加Oracle账户口令长度及复杂度应要求数据库系统口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合..28-口令过期警告天数应将口令过期警告天数设置为不少于7天(提前7天通知更改口令)口令最长使用天数应将口令最长生存期不长于90天口令历史有效次数应配置数据库账户不能重复使用最近5次(含5次)内已使用的口令口令锁定策略对于采用静态口令认证的系统,应配置当用户连续认证失败次数超过5次(不含5次),锁定该账户账户锁定时间当用户连续认证失败次数超过5次(不含5次),锁定该账户30分钟系统账户口令安全应修改数据库系统账户的默认口令
(二)服务及授权权限最小化应根据用户的业务需要,配置数据库账户所需的最小权限限制特权账户远程登录应限制特权账户远程登录
(三)日志审计应启用数据库审计功能
(四)补丁安全应在确保业务不受影响的情况下及时更新数据库补丁
(五)访问IP限制应只允许信任的IP地址通过监听器访问数据库
(六)连接数设置应根据服务器性能和业务需求,设置最大并发连接数•.29-第十三条负责建设和管理总部IT数据资产,提升总部经营数据创造价值的能力,申报和管理总部IT创新项目知识产权等工作第四章企业信息化部门管理职责第十四条牵头组织本单位业务需求收集和内部立项工作,报送总部数字与信息化中心审核或备案第十五条按照公司项目管理要求,负责项目过程管理,包括解决方案、系统实现、测试及数据、验收等第十六条负责所属单位的信息化相关软件、硬件、网络、服务器、数据库等系统或设备的管理、运维和信息安全管理工作第十七条组织参加对外信息技术项目合作、技术交流和培训,并与总部数字与信息化中心沟通协作第十八条负责配合总部信息化相关工作,或总部数字与信息化中心的特定工作第五章信息化管理的中长期规划及年度计划第十九条总部数字与信息化中心负责制订公司层面的信息化规划,并将规划按年度滚动调整和执行中长期规划分为总部中长期规划和各企业中长期规划,在执行过程中可以滚动调整和完善在公司中长期规划目标指引下,所属各级企业分层整理并制定年度工作计划第二十条总部数字与信息化中心牵头组织编制公司信息化建..3_
(七)数据库备份应定期对数据库进行备份
五、IIS安全配置要求
(一)账户安全应根据实际情况,删除或锁定ns自动生成的无用账户(HS)
(二)文件系统及访问权限更改站点路径应更改站点路径为非系统分区站点目录权限应确保站点目录的所有权限不分配给Everyone主目录权限配置应合理设置站点“主目录”的权限(HS)禁止目录浏览应禁止浏览站点目录(HS)站点目录的功能权限应禁止站点目录的执行权限(HS)站点上传目录的功能权限应禁止站点上传目录的执行和脚本权限
(三)最小化服务匿名访问权限应确保每个站点的匿名访问账户是相互独立的,且只存在于Guests组ns服务组件应删除ns应用服务中不需要的组件服务Web服务扩展应禁用站点不需要的Web服务扩展(HS)删除不必要的脚本映射应删除不必要的脚本映射
(四)日志审计日志启用应启用日志记录功能(IIS)日志存储应更改日志默认的存放路径..30-
(五)连接数限制应合理设置最大并发连接数和最大带宽值连接数限制应合理设置最大连接数和最大带宽值(HS)
(六)自定义错误页面应自定义错误页面
六、Tomcat安全配置要求
(一)账户口令安全账户共用应为不同的用户分配不同的Tomcat账户,不允许不同用户间共享Tomcat账户账户锁定应删除过期、无用账户口令复杂度应要求Tomcat管理账户口令长度至少8位,且为数字、字母和特殊符号中至少2类的组合
(二)权限最小化应仅允许超级管理员具有远程管理权限
(三)日志审计应为服务配置日志功能,对用户登录事件进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时使用的IP地址等信息
(四)远程访问加密应对Tomcat的远程访问进行加密
(五)更改默认管理端口应更改Tomcat服务默认管理端口..31-
(六)自定义错误页面应重定向Tomcat的错误页面
(七)目录浏览应禁止站点目录浏览
(八)连接数设置应根据服务器性能和业务需求,设置最大连接数
七、Apache安全配置要求
(一)账号安全应以非系统账号运行Apache
(二)文件与目录安全Apache主目录权限应严格控制Apache主目录的访问权限,非系统特权用户不能修改该目录下的文件文件权限应严格限制配置文件和日志文件的访问权限禁止访问外部文件应禁止Apache访问Web目录之外的任何文件删除缺省安装无用文件应删除缺省安装的无用文件禁止目录浏览应禁止站点目录浏览
(三)连接与通信安全连接数设置应合理设置最大并发连接数禁用危险HTTP方法应禁用PUT、DELETE等危险的HTTP方法
(四)信息泄露防范隐藏Apache版本号应隐藏Apache版本号信息..32-自定义错误页面内容应自定义错误页面
(五)日志审计应合理配置审计策略
(六)补丁更新应及时更新补丁
(七)其他禁用CG应禁用CGI程序关闭TRACE应关闭TRACE方法
八、WebLogic等中间件安全配置要求
(一)账户口令安全账户共用应为不同的用户分配不同的Weblogic账户,不允许多个用户共用同一个账户账户清理应删除过期、无用账户禁止以特权身份运行应禁止以特权用户身份运行WebLogic口令长度应设置Weblogic账户口令长度至少为8位账户封锁应配置当账户连续认证失败次数超过5次(不含5次),锁定该账户30分钟
(二)日志审计日志启用应启用日志功能审计策略应合理配置审计策略
(三)Keystore和SSL设置应合理设置Keystore和SSL..33-
(四)运行模式应更改运行模式为Production Mode”
(五)Sender ServerHeader应禁用Send Serverheadero
(六)删除Samp Ie程序应删除sample程序
(七)自定义错误页面应自定义错误页面
(八)超时时间策略应根据具体应用,合理设置session超时时间
(九)连接数设置应合理设置最大连接数
(十)主机名认证应开启主机名认证
九、Web应用安全配置要求
(一)账号口令安全身份认证应对应用系统用户登录进行身份认证账号管理应禁用或删除应用系统默认、无用或测试账号账号锁定策略应设置账户登录失败锁定策略口令策略应要求应用系统中管理账户的口令长度至少为8位,且为数字、字母和特殊符号中至少2类的组合定期更换口令策略应设置口令定期更换策略・.34-
(二)数据安全敏感信息存储应对应用系统中的敏感信息采用加密形式存储敏感信息传输应对应用系统的敏感信息采用加密方式传输数据备份应定期对应用系统程序及数据库进行备份
(三)资源控制权限分离应对应用系统管理权限进行分离登录会话超时策略应配置用户登录超时策略最大并发连接数限制应设置应用系统最大并发连接数策略多重并发会话数限制应限制单用户的多重并发会话数
(四)日志审计应对系统用户的所有操作进行日志审计
(五)代码质量跨站脚本攻击检查系统是否存在跨站脚本攻击漏洞SQL注入攻击检查系统是否存在SQL注入攻击漏洞路径遍历攻击检查系统是否存在路径遍历攻击漏洞上传后门脚本应对上传页面格式进行限制输入有效性应对交互式页面上提交数据的有效性进行验证
(六)第三方软件安全应用系统使用的第三方软件的安全性检查
十、Cisco、H3c设备安全配置要求
(一)账户口令安全账户身份认证应对登录账户进行身份认证.35-特权口令安全应对账户口令加密存储该登录口令要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合Console模式口令安全应为Console口模式设置登录口令,该登录口令要以密文存储,要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合账户登录地址限制应对账户登录地址进行限制登录会话超时应对登录会话超时自动退出
(二)安全配置通讯加密应采取必要措施防止账户信息在网络传输过程中被窃听禁用CDP协议应禁用设备上的CDP协议(Cisco)关闭缺省服务应关闭缺省状态下开启的高危服务修改默认Banner login信息:应修改默认banner login信息修改SNMP服务应修改SNMP服务,该字符串口令要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合指定DNS服务器IP地址应指定DNS服务器IP地址0SPF路由协议加密应对OSPF路由协议进行加密禁止AUX端口应禁止AUX端口NTP配置应确保设备时间与内网NTP服务器同步
(三)日志审计应配置设备日志收集策略..36-附件4XXX项目立项报告
一、项目背景公司业务现状描述、设立项目拟实现目标简述
二、项目核心需求(详细见需求部门提供的需求文件)
(一)核心需求1:需求详细说明
(二)核心需求2需求详细说明
三、项目实现目标及风险评估
(一)项目目标说明项目架构及业务流程图
(二)风险评估说明从项目实现角度评估,实现的核心功能描述从开发的角度评估,对项目工期、项目过程可能涉及的问题点进行风险评估说明
四、项目资源投入项目投入包括但不限于软件开发投入;人员招聘投入;服务器及网络设备投入;硬件设备投入等,具体项目预算参照如下项目类型资源投入资源需求说明..37-主系统开发*公司软件担当评估系统集成开发系统运维服务器网络及布线其他硬件合计总费用*注其他说明
五、项目计划安排
(一)业务需求及业务方案主导部门XXXXX
(二)阶段计划安排(参照下表)责任部门1月2月3月4月5月6月7月8月阶段工作2531115115115115115115115项目责任书项目组织架构及职责IT部―—项目沟通机制及流程-IT部r项目责任书确认总裁I一■详细需求明确数据采集点及确定制造/销的数据内容、格式售r-各录入节点数据模板制造/销售-整理详细项目需求IT部L__制造/销L详细需求确认L是□..38-制造开发准备■-开发平台及人员职责确IT部—A认-数据结构及权限整理IT部-PLM/ERP/PIM数据库结构整理及设计方案IT部■制造开发阶段1-用户管理部分IT部-PLM系统部分IT部.-ERP系统部分IT部-PIM系统部分IT部制造测试部分1I1内部测试IT部/制造生产测试制造■1销售开发部分销售部分功能及界面IT部■1—销售端安卓APP开发IT部■销售部分测试i内部测试IT部/销售销售测试销售1*项目周期说明I..39-设中长期规划,充分征求各企业需求和意见后,经分管领导审核,提交总裁办公会议审议,按程序批准后执行第二十一条各企业信息化管理部门在公司中长期规划的指导下,组织编制本单位信息化建设中长期规划,充分征求相关部门需求和意见后,经本单位领导批准后,报总部数字与信息化中心审核,履行审批手续后执行第二十二条总部数字与信息化中心根据公司信息化建设中长期规划的阶段目标以及相关职能部门和各企业申报的信息化需求计划,编制总部信息化年度工作计划,经公司批准后执行第二十三条各企业信息化管理部门根据总部和本单位信息化建设中长期规划的阶段目标,编制本单位信息化年度工作计划,经本单位领导同意后,报总部数字与信息化中心审核,经公司批准后执行第六章信息化项目立项与采购第二十四条所有信息系统(包括总部和各级下属企业)的建设需求必须经过项目立项申请和报批流程(附件1《信息系统项目立项、验收、选型管理流程及表单》及附件4《项目立项报告模板》)o需要投资和采购的系统建设项目,按照公司采购制度执行第二十五条依据年度工作计划,针对总部管控层面信息化需求,由总部数字与信息化中心牵头组织对总部及下属企业提交的需求进行沟通、评估、测算后,制定需求实现的技术方案,明确实现周期、..4-附件5系统升级优化申请单
一、系统升级优化申请
(一)流程用途针对公司管控层面、生产经营层面的业务部门应用的软件或网络终端系统,如NC-ERP/OA/企业微信/企业网/MES/LIMS/实时数据库/关系数据库・・・・・・・・…等,涉及系统安全/系统功能的补丁升级,需要提交系统升级优化升级审批流程
(二)申请审批流程系统升级优化申请流程起草人直接上级数字与信息化中心数字与信息化中心市核补丁执行人结束
(三)单据格式要求:系统升级优化申请表标题流程编号申请人申请日期..40-申请部门申请分部变更优先级口紧急重要变更□高优先级变更口普通变更变更类型口功能优化口安全升级变更业务系统(通过下拉菜单选项)变更描述测试结果附件补丁文件业务系统OA\HR\NC\CTRM\SRM数据库,其他
二、测试结果附件模板(见附录)附录:XX项目XX系统补丁V
2.0版本测试报告编写人员XXX编写日期XX检查人员XXX检查日期XX审核人员XXX审核日期XX
一、基本信息补丁名称XX项目ERP平台补丁补丁概述XXX测试人员XXX测试时间XXX测试模块XXX
二、补丁功能
(一)补丁产生需求来源
1、XXXXX
(二)补丁涉及NC系统模块
1、XXXXX
(三)补丁需特别注意事项
1、XXXXXX
(四)补丁要解决的问题
1、XXXXX
三、测试用例
(一)XXXXX
四、测试记录模块子模块测试功能点测试结果备注XXXX XXXXXXXX通过XXXX XXXXXXXX通过XXXX XXXXXXXX通过XXXX XXXXXXXX通过..42-
五、测试分析与结论
(一)问题产生的原因分析
1、XXXX
(二)是否影响其他模块
1、XXXX
(三)测试是否通过
1、XXXXX
六、备注如有其他问题,进行补充说明.43-所需资源、投资预算等要素,经分管领导审核后,报公司总裁批准后实施第二十六条依据年度工作计划,针对生产经营层面信息化需求,由各企业的信息化管理部门组织制定需求实现的技术方案(各企业信息技术能力不足的情况下,可申请总部数字与信息化中心协助落实技术方案),明确实现周期、所需资源、投资预算等要素,经本单位分管领导和总部数字与信息化中心审核后,报各企业总经理批准后实施第二十七条立项申请审批通过后,总部数字与信息化中心或者各企业信息化管理部门须指定系统建设项目负责人,明确项目实施管理责任第二十八条需要外购软硬件产品或实施服务的立项申请报告经批准后,由总部数字与信息化中心指定人员参与招标比选谈判工作流程,对项目进行技术把关第二十九条外购软硬件产品和实施服务相关技术协议,须作为商务合同的技术附件,信息系统建设需求由总部数字与信息化中心或各企业信息化管理部门与需求申请部门共同评估,以满足项目目标第三十条生效后的商务合同、技术协议或技术方案附件,需在总部数字与信息化中心或各企业信息化管理部门进行备案,作为项目建设系统上线运维的验收依据..5-第七章信息化项目建设与验收第三十一条信息系统建设项目按照公司项目建设有关规定执行,加强对项目边界需求、系统设计、项目实施、上线与验收、运行维护等关键环节进行控制根据项目实际情况,由总部数字与信息化中心或本单位信息化管理部门及信息业务应用需求部门指派项目负责人,项目管理工作纳入项目年度和月度工作考核第三十二条系统建设项目申报立项通过后,由信息化管理部门分管领导或业务应用需求部门分管领导指派授权任命项目负责人相应的权限,以调动项目所需资源和人员第三十三条在信息系统项目建设过程中,项目负责人需组织项目相关业务应用责任人共同负责应用系统需求分析、整体方案设计、业务蓝图详细设计、测试方案、集成方案、权限划分、数据整理、用户培训、上线运维等工作,并形成操作手册、开发测试等相关成果的文档第三十四条项目负责人负责管理项目计划、技术方案质量、进度成本控制;负责项目资源准备、业务框架蓝图、系统实现步骤、系统切换准备、上线运维支持等阶段过程的管理文档,并进行分类归档第三十五条信息系统建设项目上线投入运行试用阶段,总部数字与信息化中心或各企业信息化管理部门需组织相关应用参与部门或单位对项目成果进行综合评估由项目负责人负责组织项目相关责任人、需求应用部门负责人、实施服务厂商负责人等对照立项申..6_请阶段确定的技术方案或技术协议进行共同评估针对持续优化运行维护方面的需求,通过项目文档纳入日常运维维护工作或新立项项目计划第三十六条项目验收内容主要包括系统主要需求和项目目标满足度,系统功能完善程度,业务操作部门满意度,技术协议或技术方案的预定目标符合度,存在的主要问题和改进意见等,以上均需形成系统项目验收报告(附件一)进行备案,与项目立项申请报告一一对应,并明确系统运行维护和功能完善改进过程中的责任分工第八章信息化项目运行维护第三十七条总部数字与信息化中心与各企业信息化管理部门根据信息化“统分结合”管理模式和信息系统运行属地原则,分别承担系统运行维护管理工作托管运维服务方式则严格按外购服务协议执行,由属地信息化管理部门负责第三十八条IT运行维护管理的对象分为基础设施类、基础软件类、系统平台类和业务应用类除生产工业控制和机电仪等软硬件资产设备由生产设备专属职能部门负责外,其他与日常弱电设备、网络、通讯相关的软硬件均由各企业信息化管理部门负责第三十九条采用“现场单位运维岗/本公司IT部门运维岗/夕卜部专业IT服务商”三层运维体系,即日常运维由系统使用单位部门承担,其无法解决的,交由所属企业信息化管理部门处理;企业无法解决的,提交总部数字与信息化中心进行处理;总部数字与信..7_息化中心仍无法解决的,则由总部数字与信息化中心协调外部专业IT服务商解决十条对IT运行维护管理对象范围内的设施和软硬件系统,根据不同对象设备按保修流程要求定期给予保养检修,由服务协议指定责任单位负责第四十一条总部数字与信息化中心负责构建统一的IT运维服务平台,统一收集各企业和职能部门的专业化服务需求所有服务需求问题(包括电话联络申请、0A协同联络申请和0A运维服务申请,附件二《信息系统软件服务流程及表单》须在IT运维服务平台上进行录入、收集、提交、评估、结果反馈等,形成运维管理知识库,以统计运维服务事件类别和满意度第四十二条系统正常运行期间,任何IT职责部门和各企业运维服务单位IT人员不得直接操作业务系统数据、单据、报表和业务流程;升级、测试期间的数据验证检修、调差等工作,须由专业业务职能部门对应岗位负责人参与监督执行十三条对于生产经营业务性较强且总部数字与信息化中心或各企业信息化管理部门都不具备维护能力的专业系统(如DCS/MES/LIMS/HSE/APC/RTDB/SCADA等生产管理系统),由该系统主要使用部门支持运行维护工作,专业系统的使用操作者负责业务流程、业务工艺标准、数据录入、数据维护安全及相关运行制度的制订和落实等工作..8-第九章信息化安全管理责任主体及适用单位第四十四条总部数字与信息化中心与各企业信息化管理部门根据信息化“统分结合”管理模式和信息系统运行属地原则,分别承担信息化安全管理工作第四十五条总部数字与信息化中心作为信息安全管理的责任主体,负责公司信息安全管理制度的制修订,并监督、检查和指导各企业信息安全管理工作各企业信息化管理部门可参照公司信息安全管理制度制订相关配套制度第四十六条信息安全管理制度适用于总部及各企业所有信息化相关的职能部门和人员,主要分为计算机设备安全管理、系统操作安全管理、人员权限安全管理、数据安全管理、系统变更安全管理等五个专业领域第十章信息化安全管理-计算机设备第四十七条总部数字与信息化中心和各企业信息化管理部门分别负责对管辖内的服务器系统及网络设备设定安全配置基线(附件3《信息系统安全配置基线》),以保证IT相关人员规范设备及系统的安全配置;服务器及网络设备等IT基础设施的运行环境应参照机房建设通用标准配置,以确保IT基础设施的物理运行安全可靠第四十八条针对总部及各企业信息价值较高的部门(如经营管理部、财务部、档案室等),信息化管理部门需对业务数据的信息_..9。