【導(dǎo)讀】客觀性，特制定本辦法。劃實現(xiàn)對信息進(jìn)行采集、加工、存儲、檢索等功能的系統(tǒng)。典型的信息系統(tǒng)由三部分組成：。硬件系統(tǒng)；系統(tǒng)軟件；密性、完整性和可用性等安全屬性進(jìn)行評價的過程。信息安全風(fēng)險評估的主要內(nèi)容是評估信。所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生所造成的影響。戰(zhàn)略發(fā)展規(guī)劃提出信息安全風(fēng)險評估的基本管理政策和工作要求。本公司信息安全體系建設(shè)中。員組成，包括信息主管、業(yè)務(wù)骨干、監(jiān)審及財務(wù)等人員。信息安全風(fēng)險評估應(yīng)當(dāng)按照“嚴(yán)密組織，規(guī)范操作，講究科學(xué)，注重實效”的原則開展。息安全風(fēng)險評估。自評估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。報公司IT部備案。面信息系統(tǒng)進(jìn)行的具有強(qiáng)制性的檢查評估活動。必要時，檢查評估可由IT部委托專業(yè)信息。安全風(fēng)險評估機(jī)構(gòu)進(jìn)行。檢查評估的循環(huán)周期為兩年。

　　

【正文】 執(zhí)行。 3．職責(zé) IT 部 負(fù)責(zé)本辦法的制訂和修訂，負(fù)責(zé)對本辦法的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作；負(fù)責(zé)審核開發(fā)項目任務(wù)書、可行性分析報告、組織業(yè)務(wù)流程評審、審核系統(tǒng)設(shè)計說明書、驗收報告和項目總結(jié)報告。 具體承擔(dān)開發(fā)項目的部門應(yīng)成立項目組，負(fù)責(zé)應(yīng)用系統(tǒng) 的開發(fā)工作。 應(yīng)用部門負(fù)責(zé)配合開發(fā)部門確定業(yè)務(wù)流程并對項目進(jìn)行驗收。 項目組負(fù)責(zé)人對整個項目負(fù)責(zé)，包括制定開發(fā)計劃、對項目進(jìn)行協(xié)調(diào)、控制、交付和總結(jié)。 應(yīng)用系統(tǒng)開發(fā)人員（系統(tǒng)分析員）負(fù)責(zé)項目的需求分析。 應(yīng)用系統(tǒng)開發(fā)人員（系統(tǒng)設(shè)計員）負(fù)責(zé)項目的概要設(shè)計。 應(yīng)用系統(tǒng)開發(fā)人員（代碼編寫人員）負(fù)責(zé)項目詳細(xì)設(shè)計和程序編碼。 應(yīng)用系統(tǒng)測試人員負(fù)責(zé)項目集成測試。 數(shù)據(jù)庫管理人員負(fù)責(zé)數(shù)據(jù)庫的設(shè)計。 4．管理內(nèi)容與流程 任務(wù)提出 任務(wù)的來源 應(yīng)用系統(tǒng)開發(fā)任務(wù)一般有以下兩個來源： 1）根據(jù)公司信息化年度工作計劃，由 IT部 下達(dá)應(yīng)用系統(tǒng)設(shè)計任務(wù)書。 2）若項目由應(yīng)用部門或開發(fā)部門提出，則由項目提出部門編寫應(yīng)用系統(tǒng)設(shè)計任務(wù)書，經(jīng)分管領(lǐng)導(dǎo)簽字后報 IT部 審批。 IT 部 審核項目提出部門編寫的設(shè)計任務(wù)書。對于 IT 部 下達(dá)的和應(yīng)用部門提出的項目，IT 部 審核通過后，確定開發(fā)部門。 對于審核通過的項目，開發(fā)部門應(yīng)成立項目組，項目組成員包括項目負(fù)責(zé)人、應(yīng)用系統(tǒng)開發(fā)人員、應(yīng)用系統(tǒng)測試人員、數(shù)據(jù)庫管理人員和應(yīng)用部門的業(yè)務(wù)骨干，如有必要 ，也可包括系統(tǒng)管理人員。項目組負(fù)責(zé)人由開發(fā)部門負(fù)責(zé)人擔(dān)任，項目組負(fù)責(zé)人對整個項目負(fù)責(zé)，包括制定開發(fā)計劃、對項目進(jìn)行協(xié)調(diào)、控制、交付和總結(jié)；系統(tǒng)開發(fā)人員可以劃分為系統(tǒng)分 析員、系統(tǒng)設(shè)計員、代碼編寫人員，對于規(guī)模較小的項目，根據(jù)情況可以由一人兼任系統(tǒng)分析員和系統(tǒng)設(shè)計員。 可行性分析 項目組分析任務(wù)書提出的需求可行性、合理性和必要性，項目負(fù)責(zé)人確定重要度并提出分工建議及開發(fā)計劃，系統(tǒng)分析員編制可行性分析報告，報 IT 部 審批；對于重大項目，IT 部 報公司信息化建設(shè)領(lǐng)導(dǎo)小組審批。 可行性、合理性、必 要性原則如下： 1）系統(tǒng)需求在現(xiàn)有條件下、且在可接受的時間范圍內(nèi)是可行的； 2）系統(tǒng)功能和時間要求合理，與信息化規(guī)劃不相違背； 3）系統(tǒng)實現(xiàn)后，可以改善應(yīng)用部門工作流程，可以提高應(yīng)用部門工作效率。 可行性分析報告審批通過后，項目組負(fù)責(zé)人與應(yīng)用部門聯(lián)系，組織項目組進(jìn)行系統(tǒng)調(diào)研，確定詳細(xì)業(yè)務(wù)流程。 項目組結(jié)束業(yè)務(wù)流程調(diào)研后，書面報告 IT 部 。 IT 部 組織應(yīng)用部門和項目組對業(yè)務(wù)流程進(jìn)行評審，確認(rèn)業(yè)務(wù)流程的合理性，對于重大項目， IT 部 報公司信息化建設(shè)領(lǐng)導(dǎo)小組審批。 業(yè)務(wù)流程評審 通過后應(yīng)用部門負(fù)責(zé)人和項目組負(fù)責(zé)人簽字確認(rèn)，業(yè)務(wù)流程固化。 業(yè)務(wù)流程確認(rèn)后，項目組負(fù)責(zé)人將流程納入系統(tǒng)開發(fā)計劃，系統(tǒng)分析員編寫系統(tǒng)設(shè)計說明書，提交 IT部 審批，審批通過后進(jìn)入概要設(shè)計階段。 概要設(shè)計 系統(tǒng)設(shè)計員依據(jù)已發(fā)布的流程，與應(yīng)用部門進(jìn)一步溝通，分析系統(tǒng)需求的內(nèi)容，撰寫概要設(shè)計說明書，分解系統(tǒng)開發(fā)任務(wù)；數(shù)據(jù)庫管理人員進(jìn)行數(shù)據(jù)庫設(shè)計。 項目組負(fù)責(zé)人組織應(yīng)用部門對概要設(shè)計說明書進(jìn)行評審，通過后應(yīng)用部門負(fù)責(zé)人簽字確認(rèn)；對于重大項目，提交 IT部 審批。 系統(tǒng)開發(fā) 項目組代碼編寫人員根據(jù)概要設(shè)計說明書進(jìn)行詳細(xì)設(shè)計和編碼。 代碼編寫人員進(jìn)行開發(fā)任務(wù)的單元測試，測試通過后，編寫單元測試報告，進(jìn)入集成測試。 集成測試 項目組應(yīng)用系統(tǒng)測試人員依據(jù)概要設(shè)計說明書和詳細(xì)設(shè)計說明書、單元測試報告，進(jìn)行集成測試，必要時與相關(guān)聯(lián)的系統(tǒng)聯(lián)合測試。 應(yīng)用系統(tǒng)測試人員將測試中出現(xiàn)的問題填入《 系統(tǒng)測試問題記錄表》，返回給相關(guān)開發(fā)人員修改錯誤。 應(yīng)用系統(tǒng)開發(fā)人員修改錯誤，通知測試人員復(fù)測。 測試人員復(fù)測通過，否則，再次返回給相關(guān)開發(fā)人員修改錯誤，直到集成測試通過。 測試人員在集成測試通過后，撰寫軟件測試報告、填寫測試完成日期，簽字提交 IT部 審批，審批通過后進(jìn)入驗收階段。 系統(tǒng)驗收 項目組負(fù)責(zé)人編制項目驗收申請報告，提交應(yīng)用部門，應(yīng)用部門依據(jù)可行性分析報告、系統(tǒng)設(shè)計說明書、概要設(shè)計說明書在測試環(huán)境中對應(yīng)用系統(tǒng)進(jìn)行驗收，項目組應(yīng)密切配合，驗收通過后應(yīng)用部門負(fù)責(zé)人簽字，項目組將驗收報告提交 IT 部 審核。必要時 IT 部 同時審核《涉密信息系統(tǒng)使用申報表》， IT部 審 核通過后，應(yīng)用系統(tǒng)方可交付使用。 若驗收中發(fā)現(xiàn)的問題為程序問題、小錯誤，記錄《 系統(tǒng)測試問題記錄表》，返回給相關(guān)開發(fā)人員修改錯誤、復(fù)測，循環(huán)至 。 若問題為需求階段未考慮到的問題則與應(yīng)用部門討論。若應(yīng)用部門同意提交則進(jìn)行應(yīng) 用系統(tǒng)交付；否則記錄該問題，測試人員簽字，同時納入應(yīng)用系統(tǒng)問題檔案，作為后續(xù)的系統(tǒng)改進(jìn)計劃依據(jù)。 系統(tǒng)交付與實施 項目組負(fù)責(zé)人組織開發(fā)人員編寫使用文檔，將應(yīng)用系統(tǒng)歸檔，登記版本號和驗收交付日期。 項 目組進(jìn)行用戶培訓(xùn)。 參照《應(yīng)用系統(tǒng)上線管理辦法》進(jìn)行系統(tǒng)實施。 項目總結(jié) 項目組負(fù)責(zé)人根據(jù)系統(tǒng)開發(fā)、測試、實施過程中的經(jīng)驗對項目進(jìn)行總結(jié)，撰寫應(yīng)用系統(tǒng)總結(jié)報告，提交 IT部 。 IT 部 總結(jié)項目結(jié)案情況，簽字，項目關(guān)閉。 5．附則 本辦法自 年 月 日起試行。 本辦法由 IT 部 負(fù)責(zé)解釋。 數(shù)據(jù)轉(zhuǎn)換 /移植管理辦法（試行） 1．總則 為規(guī)范公司數(shù)據(jù)轉(zhuǎn)換（在同一數(shù)據(jù)庫管理系統(tǒng)中進(jìn)行操作）或移植（在不同數(shù)據(jù)庫管理系統(tǒng)之間進(jìn)行操作）的管理，保 證數(shù)據(jù)的正確性、完整性和可用性，確保在數(shù)據(jù)轉(zhuǎn)換或移植過程中出現(xiàn)未預(yù)料的情況時通過采取應(yīng)急措施避免影響公司的業(yè)務(wù)、經(jīng)營和生產(chǎn)活動，特制定本辦法。 2．適用范圍 本辦法適用于公司層面的應(yīng)用軟件系統(tǒng)（以下簡稱應(yīng)用系統(tǒng)）進(jìn)行數(shù)據(jù)轉(zhuǎn)換或移植的管理。各二級公司自主開發(fā)使用的內(nèi)部應(yīng)用系統(tǒng)實施數(shù)據(jù)轉(zhuǎn)換或移植的管理，可參照本辦法執(zhí)行。 3．職責(zé) 信息化管理工作辦公室（以下簡稱信息辦）負(fù)責(zé)本辦法的制訂和修訂，負(fù)責(zé)對本辦法的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作；并負(fù)責(zé)審核數(shù)據(jù)轉(zhuǎn)換 /移植計劃。 具體開發(fā) 和維護(hù)公司層面某個應(yīng)用系統(tǒng)的部門（以下稱實施部門）負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)換或移植的組織管理。 數(shù)據(jù)庫管理人員在轉(zhuǎn)換計劃獲得批準(zhǔn)后，按照流程進(jìn)行數(shù)據(jù)轉(zhuǎn)換或移植操作。 4．管理內(nèi)容與流程 公司層面的數(shù)據(jù)轉(zhuǎn)換或移植管理 制定實施計劃 實施部門安排數(shù)據(jù)庫管理人員制定詳細(xì)的數(shù)據(jù)轉(zhuǎn)換或移植實施方案，填寫《數(shù)據(jù)轉(zhuǎn)換 /移植計劃審批單》和《數(shù)據(jù)轉(zhuǎn)換 /移植變更說明書》，提交分管領(lǐng)導(dǎo)審核。實施方案應(yīng)包括但不限于以下內(nèi)容： 1）所采用的可行性方案； 2）數(shù)據(jù)源和目的地信息； 3）登記數(shù)據(jù)源和目的地的用戶信息、 安全信息、與此相連接的系統(tǒng)和設(shè)備信息； 4）所需要的資源情況； 5）制定備份策略，并作為執(zhí)行的依據(jù)； 6）制定詳細(xì)的執(zhí)行步驟、執(zhí)行內(nèi)容、執(zhí)行時間、備注說明等； 7）列出實施所影響的部門和應(yīng)用系統(tǒng)； 8）制定實施失敗后所應(yīng)采取的應(yīng)急方案。 審核實施計劃 轉(zhuǎn)換計劃和變更說明書經(jīng)分管領(lǐng)導(dǎo)審核通過后，報信息辦審批 ,信息辦組織實施部門及轉(zhuǎn)換或移植所影響到的部門討論會簽，并填寫意見。重大項目的數(shù)據(jù)轉(zhuǎn)換 /移植計劃由信息辦提交公司信息化建設(shè)領(lǐng)導(dǎo)小組審批，審批通過后方可執(zhí)行下面的步驟。 組織實施 1）服務(wù)器操作系統(tǒng)管理人員負(fù)責(zé)做好轉(zhuǎn)換或移植前操作系統(tǒng)的準(zhǔn)備工作； 2）數(shù)據(jù)庫管理人員根據(jù)轉(zhuǎn)換或移植步驟，在模擬環(huán)境中做測試，記錄測試情況，修訂測試步驟，直至測試成功后，編寫測試報告，方可執(zhí)行下面的步驟； 3）數(shù)據(jù)庫管理人員選擇假日或指定維護(hù)時間做正式系統(tǒng)的數(shù)據(jù)轉(zhuǎn)換或移植，并提前通知應(yīng)用部門，必要時應(yīng)暫停業(yè)務(wù)，實施完成后再啟動； 4）在正式進(jìn)行數(shù)據(jù)轉(zhuǎn)換或移植前，數(shù)據(jù)庫管理人員備份系統(tǒng)原來的數(shù)據(jù)； 5）數(shù)據(jù)庫管理人員按照測試成功的步驟進(jìn)行操作，數(shù)據(jù)轉(zhuǎn)換或移植成功后，記錄轉(zhuǎn)換或移植的日期和內(nèi)容，做好系統(tǒng)日志記錄 ，并備份新數(shù)據(jù)庫；轉(zhuǎn)換或移植失敗后，應(yīng)按應(yīng)急方案執(zhí)行，確保業(yè)務(wù)正常運行，同時記錄錯誤信息，以便總結(jié)分析； 6）數(shù)據(jù)轉(zhuǎn)換或移植實施完成后，數(shù)據(jù)庫管理人員進(jìn)行總結(jié)，并將《數(shù)據(jù)轉(zhuǎn)換 /移植計劃審批單》和《數(shù)據(jù)轉(zhuǎn)換 /移植變更說明書》與應(yīng)用系統(tǒng)文檔合并妥善保存。 二級公司層面的數(shù)據(jù)轉(zhuǎn)換或移植管理 二級公司自行開發(fā)使用的應(yīng)用系統(tǒng)在進(jìn)行數(shù)據(jù)轉(zhuǎn)換或移植時，由本公司分管信息化的領(lǐng)導(dǎo)審核數(shù)據(jù)轉(zhuǎn)換計劃后執(zhí)行。 5．附則 本辦法自 2020年 10月 1日起試行。 本辦法由信息化管理工作辦公室負(fù)責(zé)解釋。 應(yīng) 用系統(tǒng)上線管理辦法（試行） 1．總則 為規(guī)范公司計算機(jī)應(yīng)用軟件系統(tǒng)（以下簡稱應(yīng)用系統(tǒng)）上線過程的管理，確保應(yīng)用系統(tǒng)順利實施，保證系統(tǒng)相關(guān)部門和人員的業(yè)務(wù)平穩(wěn)過渡，特制定本辦法。 2．范圍 本辦法適用于公司層面新應(yīng)用系統(tǒng)的實施，各二級公司內(nèi)部自主開發(fā)使用的應(yīng)用系統(tǒng)的實施可參照本辦法執(zhí)行。 3．職責(zé) IT 部 負(fù)責(zé)本辦法的制訂和修訂，負(fù)責(zé)對本辦法的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作，并負(fù)責(zé)審批系統(tǒng)上線計劃、發(fā)布新系統(tǒng)。 具體承擔(dān)開發(fā)和維護(hù)公司層面某個應(yīng)用系統(tǒng)的部門負(fù)責(zé)該應(yīng)用系統(tǒng)上線的組 織工作。 應(yīng)用系統(tǒng)維護(hù)人員負(fù)責(zé)編制上線計劃并具體實施。 數(shù)據(jù)庫管理人員負(fù)責(zé)數(shù)據(jù)庫的安裝及轉(zhuǎn)換。 系統(tǒng)管理人員負(fù)責(zé)系統(tǒng)環(huán)境的準(zhǔn)備。 4．管理內(nèi)容與流程 公司層面應(yīng)用系統(tǒng)的上線管理 制定上線計劃 應(yīng)用系統(tǒng)驗收通過后，開發(fā)人員編譯源程序，將可以安裝的產(chǎn)品移交給該系統(tǒng)的維護(hù)人員。維護(hù)人員根據(jù)開發(fā)計劃，提出上線申請，填寫《應(yīng)用系統(tǒng)上線計劃審批單》、《數(shù)據(jù)轉(zhuǎn)換 /移植計劃審批單》和《數(shù)據(jù)轉(zhuǎn)換 /移植變更說明書》（見《數(shù)據(jù)轉(zhuǎn)換 /移植管理辦法》附表），提交單位分管領(lǐng)導(dǎo)審批。 審批上線計劃 1）分管領(lǐng)導(dǎo)審核上線計劃及數(shù)據(jù)轉(zhuǎn)換計劃等相關(guān)申請，通過后提交 IT部 ； 2） IT 部 確認(rèn)應(yīng)用系統(tǒng)是否符合上線要求，召集影響部門會簽，并對上線計劃和數(shù)據(jù)轉(zhuǎn)換計劃進(jìn)行審批；對于重大項目， IT部 報公司相關(guān)領(lǐng)導(dǎo)審批； 3）上線計劃審批通過后，應(yīng)用系統(tǒng)維護(hù)人員進(jìn)行上線的準(zhǔn)備及實施工作。 上線實施 1）應(yīng)用系統(tǒng)維護(hù)人員制定上線步驟，維護(hù)人員和數(shù)據(jù)庫管理人員分別在模擬環(huán)境下進(jìn)行上線測試和數(shù)據(jù)轉(zhuǎn)換 /移植測試； 2）測試通過后，應(yīng)用系統(tǒng)的維護(hù)部門向 IT 部 提交測試報告， IT 部 向該系統(tǒng)的維 護(hù)部門、應(yīng)用部門和相關(guān)的其他單位下達(dá)上線通知，正式發(fā)布新系統(tǒng)；否則，應(yīng)延期實施上線，直至在模擬環(huán)境中測試通過； 3）應(yīng)用系統(tǒng)維護(hù)人員和系統(tǒng)管理人員準(zhǔn)備上線的軟硬件環(huán)境，確認(rèn)各相關(guān)系統(tǒng)及相關(guān)單位已做好準(zhǔn)備，按照通知規(guī)定的上線開始日期，通知相關(guān)業(yè)務(wù)暫停； 4）數(shù)據(jù)庫管理人員、服務(wù)器操作系統(tǒng)管理人員和應(yīng)用系統(tǒng)維護(hù)人員分別備份原來的數(shù)據(jù)庫、操作系統(tǒng)文件和應(yīng)用系統(tǒng)，并妥善保存； 5）數(shù)據(jù)庫管理人員和應(yīng)用系統(tǒng)維護(hù)人員按照上線步驟，進(jìn)行數(shù)據(jù)轉(zhuǎn)換或移植、系統(tǒng)配置與安裝，必要時，服務(wù)器操作系統(tǒng)管理人員予以協(xié)助。實施人員記錄每 一步的操作結(jié)果，如果有錯誤，記錄錯誤現(xiàn)象，通過各種途徑解決該問題；如果暫時不能解決該問題，則應(yīng)恢復(fù)備份的數(shù)據(jù)庫、系統(tǒng)環(huán)境及應(yīng)用系統(tǒng)等，取消本次上線，保證業(yè)務(wù)正常運行，等待問題解決以后再執(zhí)行； 6）上線成功后，應(yīng)用系統(tǒng)維護(hù)人員記錄上線的日期和內(nèi)容，做好新系統(tǒng)的文件備份、數(shù)據(jù)備份和系統(tǒng)日志記錄； 7）應(yīng)用系統(tǒng)維護(hù)人員通知各有關(guān)單位啟動業(yè)務(wù)；并向 IT 部 報告該系統(tǒng)上線情況，進(jìn)行總結(jié)。 二級公司層面應(yīng)用系統(tǒng)的上線管理 二級公司自行開發(fā)使用的應(yīng)用系統(tǒng)上線時，由本公司分管信息化的領(lǐng)導(dǎo)審批執(zhí)行。 5 附則 本辦法自 年 月 日起試行。 本辦法由 IT 部 負(fù)責(zé)解釋。 應(yīng)用系統(tǒng)變更管理辦法（試行） 1．總則 為加強(qiáng)公司計算機(jī)應(yīng)用軟件系統(tǒng)（以下簡稱應(yīng)用系統(tǒng)）的程序變更維護(hù)及遷移工作的管理，確保系統(tǒng)的可用性和功能的完整性，特制定本辦法。 2．適用范圍 本辦法適用于公司層面自主開發(fā)的應(yīng)用系統(tǒng)的程序變更及遷移的管理。 3．職責(zé) IT 部 負(fù)責(zé)本辦法的制訂和修訂，并負(fù)責(zé)對本辦法的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作。 應(yīng)用系統(tǒng)開發(fā)部門負(fù)責(zé)組織變更評審。 應(yīng)用部門負(fù)責(zé) 用戶測試及驗收。 應(yīng)用系統(tǒng)開發(fā)人員負(fù)責(zé)變更開發(fā)。 應(yīng)用系統(tǒng)測試人員負(fù)責(zé)變更集成測試。 4．管理內(nèi)容與流程 應(yīng)用系統(tǒng)變更管理工作流程 變更的提出 變更的提出，一般有以下三種情況： 1）應(yīng)用部門根據(jù)工作需要，提出增加 /修改應(yīng)用系統(tǒng)功能模塊，填寫《應(yīng)用系統(tǒng)程序變更申請審批單》，提交分管領(lǐng)導(dǎo)； 2）該應(yīng)用系統(tǒng)維護(hù)人員根據(jù)用戶問題反饋，分析情況后填寫《應(yīng)用系統(tǒng)程序變更申請審批單》，提交分管領(lǐng)導(dǎo)； 3）公司根據(jù)工作需要，要求進(jìn)行程序修改，由任務(wù)接收部門填寫《應(yīng)用系統(tǒng)程序變更申 請審批單》，提交分管領(lǐng)導(dǎo)。 變更申請的審批 1）若變更申請由應(yīng)用部門提出，則分管領(lǐng)導(dǎo)審批通過后，提交開發(fā)部門；若由應(yīng)用系統(tǒng)開發(fā)部門或維護(hù)部門提出，則直接轉(zhuǎn) 2）；