【正文】 對執(zhí)行過程中出現(xiàn)的問題及時反饋應(yīng)急響應(yīng)小組。對于一般安全事件由業(yè)務(wù)部門和信息系統(tǒng)員進行跟蹤處理確保系統(tǒng)恢復(fù)。部分信息安全事件的征兆如下：防病毒軟件的告警信息；應(yīng)用服務(wù)器系統(tǒng)崩潰；網(wǎng)絡(luò)流量異常或網(wǎng)速過慢；系統(tǒng)文件名有不尋常字符；日志記錄異常和配置情況發(fā)生變化；系統(tǒng)存在多次遠(yuǎn)程失敗登錄。6． 及時確診原糧系統(tǒng)突發(fā)事件問題源并妥善處理解決。在相關(guān)信息人員確認(rèn)為原糧服務(wù)器系統(tǒng)問題或網(wǎng)絡(luò)問題導(dǎo)致最終用戶暫時不能正常使用操作原糧后，業(yè)務(wù)部門最終用戶應(yīng)根據(jù)技術(shù)支持人員提供的預(yù)計問題持續(xù)時間，考慮啟動應(yīng)急計劃。同時本計劃也可作為計劃停機情況時，最終用戶的參考。因為系統(tǒng)的集成性，很多工作需要各操作崗位協(xié)作完成。 自然災(zāi)害應(yīng)急預(yù)案 發(fā)生自然災(zāi)害后，首先應(yīng)該組織人員撤離現(xiàn)場。同時采取關(guān)閉電源總閘等措施，盡量減少可能造成的損失和破壞。在確認(rèn)安全的情況下，重新啟動故障服務(wù)系統(tǒng)：若重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利用備份數(shù)據(jù)恢復(fù)；若重啟失敗，立即相關(guān)技術(shù)人及時處理。然后通知各部門做好應(yīng)急準(zhǔn)備。 網(wǎng)絡(luò)和服務(wù)器絡(luò)系統(tǒng)應(yīng)急預(yù)案 發(fā)生網(wǎng)絡(luò)故障時，首先檢查機房設(shè)備情況，確定網(wǎng)絡(luò)故障的原因。在UPS供電電量僅剩10%之后，嚴(yán)格按操作手冊停掉各服務(wù)器的電源，最后停核心交換機和路由器，等待電力恢復(fù)。檢查不間斷電源的電池可供電時間，確保設(shè)備正常運行，如遇到突然斷電，應(yīng)及時將空調(diào)等不在UPS電源供電范圍內(nèi)的設(shè)備及時斷電，預(yù)防突然來電時瞬間電流過大導(dǎo)致設(shè)備損壞等現(xiàn)象。 認(rèn)真做好數(shù)據(jù)備份工作，定期備份數(shù)據(jù)庫，每月檢查服務(wù)器運行和備份情況。2 機房日常維護 建立健全機房管理制度 在正常工作日內(nèi)，信息管理部門人員負(fù)責(zé)對機房進行監(jiān)控，主要職責(zé)是：巡視網(wǎng)絡(luò)設(shè)備及系統(tǒng)的運行情況，發(fā)生異常情況及時處理，消除網(wǎng)絡(luò)故障隱患。 協(xié)助業(yè)務(wù)部門補錄ERP系統(tǒng)數(shù)據(jù)，提供技術(shù)支持。在相關(guān)信息人員確認(rèn)為ERP 服務(wù)器系統(tǒng)問題或網(wǎng)絡(luò)問題導(dǎo)致最終用戶暫時不能正常使用操作ERP后，業(yè)務(wù)部門最終用戶應(yīng)根據(jù)技術(shù)支持人員提供的預(yù)計問題持續(xù)時間，考慮啟動應(yīng)急計劃。根據(jù)財務(wù)憑證及報表須打印并歸檔保存的原則，所有財務(wù)憑證應(yīng)每周打印并歸檔；所有財務(wù)報表應(yīng)在其生成時打印并歸檔。ERP系統(tǒng)恢復(fù)運行后，業(yè)務(wù)部門補錄業(yè)務(wù)數(shù)據(jù)至系統(tǒng)，確保系統(tǒng)數(shù)據(jù)一致性。應(yīng)急處理的目的在于指導(dǎo)各部門操作ERP系統(tǒng)的業(yè)務(wù)人員(即ERP最終用戶)，如何應(yīng)對系統(tǒng)的意外中斷，以及如何在系統(tǒng)恢復(fù)后進行數(shù)據(jù)補全。業(yè)務(wù)信息化聯(lián)系人：負(fù)責(zé)上報本部門的安全事件，應(yīng)急業(yè)務(wù)流程設(shè)計，應(yīng)急事件的協(xié)調(diào)和處理，匯總事件處理報告，總結(jié)經(jīng)驗。信息系統(tǒng)類突發(fā)事件：由于各種原因?qū)W(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、以及軟盤、硬盤、光盤、磁帶等介質(zhì)存儲的數(shù)據(jù)等造成破壞，以致引起信息系統(tǒng)類突發(fā)事件。數(shù)據(jù)移交記錄第三節(jié) 應(yīng)急響應(yīng)管理第一條 目的為規(guī)范中糧生物化學(xué)（安徽）股份有限公司（以下簡稱“公司”）各類信息安全事件的管理，確保信息系統(tǒng)故障得到及時有效的跟蹤、控制和處理，加強對信息安全事件的預(yù)警通報機制，保障業(yè)務(wù)系統(tǒng)的安全運行，制定本管理標(biāo)準(zhǔn)。03公司信息管理部門需抽取數(shù)據(jù)備份樣表恢復(fù)，校驗數(shù)據(jù)的完整性。《計算機用戶行為守冊》03公司信息管理部門利用計算機終端管理軟件監(jiān)測用戶行為，并于每月根據(jù)《計算機用戶行為守冊》和《計算機安全檢查標(biāo)準(zhǔn)》組織一次公司范圍的計算機系統(tǒng)使用檢查?！顿~號安全管理規(guī)定》06權(quán)限使用用戶需依據(jù)《賬號安全管理規(guī)定》進行合理操作使用權(quán)限，維護好賬號和登陸口令信息，防止被非權(quán)限用戶獲取。信息化系統(tǒng)使用申請表、帳號管理變更申請表、離職人員會簽單《賬號安全管理規(guī)定》02權(quán)限部門內(nèi)部負(fù)責(zé)人對權(quán)限開設(shè)、變更或刪除進行審核。進行系統(tǒng)故障處理、檢查等操作時，要先取得授權(quán)，并由應(yīng)用系統(tǒng)管理員對其訪問進行監(jiān)督，并在訪問結(jié)束后及時取消帳號，詳細(xì)內(nèi)容參見《第三方和外包安全管理規(guī)定》。若無法回退，應(yīng)通過備份磁帶恢復(fù)原系統(tǒng)。涉及數(shù)據(jù)維護的變更（包括新增、修改、刪除等操作），業(yè)務(wù)操作人員需填寫《應(yīng)用系統(tǒng)變更申請表》，提交給應(yīng)用系統(tǒng)管理員審批?！禘RPNC系統(tǒng)管理規(guī)定》()、《糧食收購系統(tǒng)管理規(guī)定()》、《ERPNC具體操作手冊》等02各部門需按照《ERPNC系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》執(zhí)行。1）需求變更類：現(xiàn)有業(yè)務(wù)變化、新的業(yè)務(wù)需求、或業(yè)務(wù)流程、業(yè)務(wù)參數(shù)發(fā)生變化；2）程序修補類：發(fā)現(xiàn)的系統(tǒng)錯誤，需要進行修改；3）數(shù)據(jù)維護類：對數(shù)據(jù)進行新增、修改、刪除；4）其它類：未包含在上述類別，但是涉及系統(tǒng)改變的變更。第三條 定義范圍及術(shù)語ERPNC系統(tǒng)：是公司規(guī)范財務(wù)、供應(yīng)鏈一體化的管理系統(tǒng)，是公司供應(yīng)鏈和財務(wù)等部門處理業(yè)務(wù)的平臺。辦公設(shè)備報廢申請單10財務(wù)部根據(jù)財務(wù)帳復(fù)核資產(chǎn)原值、凈值等財務(wù)信息準(zhǔn)確性。填寫資產(chǎn)調(diào)撥申請表，經(jīng)過調(diào)入部門、調(diào)出部門、資產(chǎn)管理部門、財務(wù)部審核。04財務(wù)部負(fù)責(zé)IT資產(chǎn)財務(wù)處理，生成資產(chǎn)卡片。08財務(wù)總監(jiān)審批09購置固定資產(chǎn)均應(yīng)簽訂合同 固定資產(chǎn)采購合同10驗收項目：； ； ；固定資產(chǎn)驗收單11固定資產(chǎn)到廠后，經(jīng)辦人應(yīng)及時辦理固定資產(chǎn)的驗收入庫，并到財務(wù)部辦理發(fā)票入賬，如固定資產(chǎn)到廠當(dāng)月發(fā)票未回的，應(yīng)于當(dāng)月末持固定資產(chǎn)入庫單、驗收單等到財務(wù)部辦理暫估入賬，發(fā)票返回后辦理正式的入賬手續(xù)。04資產(chǎn)管理部門部長審批。第三條 定義范圍及術(shù)語IT資產(chǎn)：主要是指服務(wù)器、網(wǎng)絡(luò)設(shè)備、臺式機、筆記本電腦，打印機、傳真打印一體機、掃描儀等計算機外部設(shè)備，辦公所需的各類軟件等?！z查人工信息管理部門　　　　　　　　軟件產(chǎn)品選型不當(dāng)，產(chǎn)品在功能、性能、易用性等方面無法滿足企業(yè)需求軟件產(chǎn)品符合業(yè)務(wù)需求軟件產(chǎn)品根據(jù)系統(tǒng)開發(fā)需求進行選型配置，軟件選型配置方案需經(jīng)過信息主管審核審批；軟件產(chǎn)品采購時采取競爭性談判或競爭性邀標(biāo)方式進行。系統(tǒng)使用培訓(xùn)記錄預(yù)防人工信息管理部門　　　　　　　各單位軟件操作人員必須按照軟件操作手冊（操作流程）操作。設(shè)計方案預(yù)防人工信息管理部門　　　　　　　　開發(fā)的系統(tǒng)測試不充分，可能存在系統(tǒng)運行隱患而不能及時有效糾正系統(tǒng)得到充分測試驗收審核記錄預(yù)防人工信息管理部門　　　　　　　　信息系統(tǒng)建設(shè)缺乏項目計劃或者計劃不當(dāng)，導(dǎo)致項目進度滯后、費用超支、質(zhì)量低下信息系統(tǒng)開發(fā)過程得到有效控制項目小組制定項目實施概略方案，包括項目實施進度、資質(zhì)審核，項目預(yù)算等信息內(nèi)容，并提交公司信息主管領(lǐng)導(dǎo)審核。預(yù)防自動信息管理部門　　　　　　　　無論購買商品化軟件還是定向開發(fā)，都應(yīng)支持?jǐn)?shù)據(jù)接口規(guī)范，保證應(yīng)用系統(tǒng)的升級以及系統(tǒng)間的數(shù)據(jù)交換。上線計劃、系統(tǒng)開發(fā)與維護文檔清單11項目驗收工作由項目經(jīng)理負(fù)責(zé)組織，使用單位和信息管理部門共同出具《驗收報告》。正式運行后對系統(tǒng)文檔進行維護管理，系統(tǒng)文檔由應(yīng)用系統(tǒng)管理員統(tǒng)一管理。測試報告07組織系統(tǒng)用戶培訓(xùn)，考試成績合格后方可有系統(tǒng)使用權(quán)。03建立項目組，制度項目實施方案。05根據(jù)《詳細(xì)需求文檔》和《可行性分析報告》審核項目的可行性和對管理起到的提升作用，并對整個項目的預(yù)算加以審核控制。審核點：；；；。（三）信息系統(tǒng)項目立項—流程圖（四）信息系統(tǒng)項目立項—流程說明序號流程內(nèi)容詳細(xì)說明記錄相關(guān)文件01業(yè)務(wù)部門根據(jù)業(yè)務(wù)需求，整理初步的需求文檔，并附有簽報紙。07財務(wù)部審核《開發(fā)設(shè)計方案》是否符合財務(wù)管控要求和預(yù)算的合理性。開發(fā)實施方案05申請部門對《開發(fā)設(shè)計方案》進行審核。審核點：；；；。第五條 業(yè)務(wù)流程（一）信息系統(tǒng)自行開發(fā)流程圖（二）信息系統(tǒng)自行開發(fā)流程說明序號流程內(nèi)容詳細(xì)說明記錄相關(guān)文件01業(yè)務(wù)部門根據(jù)業(yè)務(wù)需求，整理初步的需求文檔，并附有簽報紙。第三條 定義范圍及術(shù)語計算機信息系統(tǒng)：是指利用計算機技術(shù)對業(yè)務(wù)和信息進行集成處理的程序、數(shù)據(jù)和文檔等的總稱。第四章 附則第三十八條 本細(xì)則由信息管理部門負(fù)責(zé)解釋。第三十五條 公司信息管理部門應(yīng)加強機房管理，設(shè)立門禁制度，非機房工作人員因工作需要進入機房的必須做登記記錄。第三十一條 必須綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段，加強網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。委托專業(yè)機構(gòu)進行系統(tǒng)運行與維護管理的，必須審查該機構(gòu)的資質(zhì)，并與其簽訂服務(wù)合同和保密協(xié)議。第二十五條 信息系統(tǒng)變更必須嚴(yán)格遵照管理流程進行操作。第三章 信息系統(tǒng)運行與維護第二十一條 信息管理部門應(yīng)加強信息系統(tǒng)運行與維護的管理，制定信息系統(tǒng)工作程序、制度及具體操作規(guī)范，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運行。第十九條 公司應(yīng)組織獨立于開發(fā)單位的專業(yè)機構(gòu)對開發(fā)完成的信息系統(tǒng)進行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發(fā)需求。對于必需的后臺操作，應(yīng)加強管理，建立規(guī)范的流程制度，對操作情況進行監(jiān)控或者審計。第十四條 公司在系統(tǒng)開發(fā)過程中，應(yīng)按照不同業(yè)務(wù)的控制要求，通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職責(zé)的處理權(quán)限授予同一用戶。第十條 選定外購調(diào)試或業(yè)務(wù)外包方式的，根據(jù)公司招標(biāo)管理制度的要求選擇采購方式，履行業(yè)務(wù)審批手續(xù)。第六條 公司下屬子公司的信息化建設(shè)由公司信息管理部門統(tǒng)一規(guī)劃和審批。（五）硬件管理事項和審批程序必須科學(xué)合理。第三條 公司在建立與實施信息系統(tǒng)內(nèi)部控制中，必須至少強化對下列關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的控制：（一）職責(zé)分工、權(quán)限范圍和審批程序必須明確規(guī)范，機構(gòu)設(shè)置和人員配備必須科學(xué)合理，重大信息系統(tǒng)開發(fā)與使用事項必須履行審批程序。（三）信息系統(tǒng)設(shè)計功能不科學(xué)、維護與變更程序不規(guī)范，可能導(dǎo)致企業(yè)經(jīng)營管理效率與效果低下。中糧生物化學(xué)（安徽）股份有限公司第二十一篇 信息系統(tǒng)管理（ZLSH/）目 錄第一部分 信息系統(tǒng)管理制度 1第一章 概述 1第二章 信息系統(tǒng)開發(fā)管理 3第三章 信息系統(tǒng)運行與維護 4第四章 附則 6第二部分 信息系統(tǒng)建設(shè)流程 7第一章 信息系統(tǒng)開發(fā) 7第二章 信息系統(tǒng)運行與維護 20第一節(jié) IT資產(chǎn)管理 20第二節(jié) 應(yīng)用系統(tǒng)管理 25第三節(jié) 應(yīng)急響應(yīng)管理 36第三部分 信息系統(tǒng)管理細(xì)則 63（一）物聯(lián)網(wǎng)人員管理細(xì)則 63（二）糧食收購系統(tǒng)管理規(guī)定 68（三）安徽生化帳號安全管理規(guī)定 73（四）計算機用戶行為守則 76（五）計算機安全檢查標(biāo)準(zhǔn) 83（六）第三方與外包安全管理規(guī)定 85（七）ERPNC系統(tǒng)管理規(guī)定 90第四部分 信息系統(tǒng)管理業(yè)務(wù)表單 9393 / 94第一部分 信息系統(tǒng)管理制度第一章 概述第一條 為了引導(dǎo)公司充分利用信息系統(tǒng)規(guī)范交易行為，提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性，降低人為因素導(dǎo)致內(nèi)部控制失效的可能性，形成良好的信息傳遞渠道，根據(jù)國家有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》，制定本制度。（二）信息系統(tǒng)開發(fā)與使用未經(jīng)適當(dāng)審核或超越授權(quán)審批，可能因重大差錯、舞弊、欺詐而導(dǎo)致?lián)p失。（六）信息系統(tǒng)硬件管理不當(dāng)，可能導(dǎo)致資產(chǎn)或股東權(quán)益受損。（四）必須建立訪問安全制度，對操作權(quán)限、信息使用、信息管理進行明確規(guī)定。第二章 信息系統(tǒng)開發(fā)管理第五條 公司應(yīng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費保障和進度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤５诰艞l 公司在開發(fā)信息系統(tǒng)需選擇外包服務(wù)商時，要充分考慮服務(wù)商的市場信譽、資質(zhì)條件、財務(wù)狀況、服務(wù)能力、對本公司業(yè)務(wù)的熟悉程度、既往承包服務(wù)成功案例等因素,對外包服務(wù)商進行嚴(yán)格篩選。第十三條 公司開發(fā)信息系統(tǒng)，應(yīng)將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。第十六條 公司應(yīng)針對不同數(shù)據(jù)的輸入方式，考慮對進入系統(tǒng)數(shù)據(jù)的檢查和校驗功能。第十八條 信息管理部門應(yīng)加強信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織開發(fā)單位與內(nèi)部的日常溝通和協(xié)調(diào)，督促開發(fā)單位按照建設(shè)方案、計劃進度和質(zhì)量要求完成編程工作，對配備的硬件設(shè)備和系統(tǒng)軟件進行檢查驗收，組織系統(tǒng)上線運行等。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還必須制定詳細(xì)的數(shù)據(jù)遷移計劃。第二十四條 公司必須有效利用技術(shù)手段，對硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制，設(shè)置安全參數(shù)，保證系統(tǒng)訪問安全。第二十七條 公司必須建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度。第三十條 公司必須建立用戶管理制度，加強對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，禁止不相容職務(wù)用戶賬號的交叉操作。第三十四條 定期進行信息系統(tǒng)災(zāi)備演練，并制定信息系統(tǒng)緊急預(yù)案，保證信息系統(tǒng)的安全。第三十七條 系統(tǒng)停止運行報廢后，必須將廢棄系統(tǒng)中有價值或者涉密的信息進行銷毀、轉(zhuǎn)移，妥善保管相關(guān)信息檔案。第二條 適用范圍本管理標(biāo)準(zhǔn)適用于公司及其下屬子公司。第四條 職責(zé)分工信息管理部門：負(fù)責(zé)信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)方案的制訂、實施、驗收及系統(tǒng)使用情況反饋；負(fù)責(zé)系統(tǒng)項目外委供應(yīng)商的選擇、系統(tǒng)項目進度的跟蹤控制、系統(tǒng)項目的測試、上線及驗收；負(fù)責(zé)組織系統(tǒng)用戶培訓(xùn)的實施；使用部門：負(fù)責(zé)提出系統(tǒng)開發(fā)需求申請、系統(tǒng)開發(fā)方案的審核確認(rèn)；財務(wù)部：負(fù)責(zé)系統(tǒng)開發(fā)方案的審核。并指定人員進行需求調(diào)研和方案設(shè)計。詳細(xì)需求文檔04根據(jù)《詳