公司信息系统运行维护管理规定
第一章 总则
一、为规范信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高生产效率和服务质量,使信息系统更好地服务于生产运营和管理,特制订本管理办法。
二、本管理办法适用于及其分支机构的信息系统,各分支机构和各部室可根据本办法制定相应的实施细则。
三、信息系统的维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分:
1、计算机硬件平台指计算机主机硬件及存储设备;
2、配套网络指保证信息系统相互通信和正常运行的网络组织,包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等。
3、基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件;
4、应用软件指运行于计算机系统之上,直接提供服务或业务的专用软件;
5、机房环境指保证计算机系统正常稳定运行的基础设施,包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。
四、运行维护管理的基本任务:
1、进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定;
2、迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常;
3、进行系统安全管理,保证信息系统的运行安全和信息的完整、准确;
4、在保证系统运行质量的情况下,提高维护效率,降低维护成本。
五、本办法的解释和修改权属于规划发展部。
第二章 运行维护组织架构
一 运行维护组织
1、信息系统的运行维护管理遵循在统一的领导下,分级管理和维护的模式。作为信息系统维护管理部门,牵头组织分支机构实施信息系统的维护管理工作。原则上信息系统的维护工作应逐步集中。
2、信息系统的维护管理分两个层面:管理层面和生产操作层面。
2.1在管理层面,为信息系统维护管理部门,负责全行范围内信息系统的维护管理和考核。
2.2在生产操作层面,信息系统维护部门是运行中心和分支机构设置的实体或虚拟的维护部门(或维护人员)。信息系统维护部门直接对信息系统维护管理部门负责,并接受信息系统维护管理部门的业务指导和归口管理。
3、分支机构信息系统维护部门(或维护人员)可根据维护工作需要,向公司申请抽调技术人员和业务人员临时组成虚拟团队,参加分支机构设备巡检,制定技术规范、作业计划、应急预案,编制技术方案、培训教材等,各单位应积极配合。
二、职责分工
1、规划发展部承担信息系统维护管理部门职责
贯彻国家、行业及监管部门关于信息系统技术、设备及质量管理等方面的方针、政策和规定,组织制定信息系统的维护规程、维护管理办法和维护责任制度;
1.1负责全公司范围内信息系统运行维护管理、监督检查和质量考核评定工作,掌握运行质量情况,制定质量指标,并对信息系统各级维护部门进行定期检查考核;
1.2负责管理、考核信息系统维保服务商(以下简称维保商),制定对维保商管理办法和考核指标,收集整理信息系统维护部门的反馈意见,督促相关维保商提高服务质量;
1.3信息系统发生较大(三级)或以上故障时,负责必要的资源协调和处理工作,并在事后组织分析总结,制定防范措施并推广;
1.4组织各级维护部门、专业技术专家、维保商对信息系统进行定期巡检,巡检包括对信息系统及设备性能测试、维护人员日常维护作业计划执行情况检查、机房环境检查等;
1.5负责归口管理全公司范围内信息系统的优化、升级需求,组织编写相关方案并进行评审,方案获得批准后,及时通知相关业务管理部门、使用部门、技术部门组织实施;
1.6负责组织信息系统维护技术培训、技术交流、联席会议,组织维护人员参加各种信息技术认证
培训和考试,提高维护人员管理和技术水平;
1.7负责组织落实各项技术安全措施,确保信息系统安全稳定运行;
1.8负责对全公司范围内信息系统故障管理、问题管理、变更管理、版本管理、配置管理等流程规范性和相关制度落实情况进行监督管理;
1.9、负责全公司范围内信息系统的规划、设计和验收工作。
2、规划发展部机房承担信息系统维护职责
1.1负责全公司范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;
1.2对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加)都必须填写维护记录,每月向信息系统维护管理部门上报所辖范围内的信息系统运行情况和所有的维护记录;
1.3负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施; 1.4负责所辖范围内信息系统档案资料的维护,及时更新有关资料;
1.5严格按照信息系统故障管理、问题管理、变更管理、版本管理和配置管理等相关制度、流程和规程。
1.6负责收集各级维护部门、厂商的故障分析报告、运维报告(日、月、季)、巡检报告、年度报告。认真审核报告内容,发现问题及时汇报上级主管部门,并协助整改。
1.7按季度收集各信息系统使用单位对所有维护厂家的评分,进行季度考核。年底向各信息系统使用单位发放调查问卷,书面调查、征求各信息系统使用单位对各厂家维护服务等方面的评价意见,综合各方意见和季度考核,进行年度考核。
1.8每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。该检查可以和设备技术巡检同时进行。
1.9组织召开故障分析会、维护例会,解决信息系统运行维护相关问题并负责持续跟踪。
3、各分厂、各部门、各车间信息系统操作、维护人员职责
3.1认真贯彻执行各项规章制度,落实维护规程和系统安全运行措施,负责制定所辖范围内的信息系统维护管理实施细则;
3.2负责收集整理所辖范围内的信息系统运行质量情况,每月向信息系统维护管理部门上报信息系统运行情况和所有的维护记录;
3.3配合信息系统维护管理部门参与所辖范围内信息系统运行质量分析,协助信息系统维护管理部门及时找出系统运行质量或效率下降的原因,提出改进建议,参与编写升级、扩容、实施、测试方案,并配合具体实施;
3.4及时查阅上级维护管理部门下发的文件,按时完成上级维护管理部门交办任务,并向上级维护管理部门反馈执行结果;
3.5协助信息系统维护管理部门进行所辖范围内的信息系统维保商的管理和考核;
负责所辖范围内信息系统的故障申告和服务请求。信息系统发生较大(III级)或以上故障时,按照重大突发事件汇报路径上报上级主管部门;
3.6负责组织和编制系统优化、升级需求,上报信息系统维护管理部门审核;获得批准后,参与实施;
3.7组织对所辖范围内的信息系统进行定期巡检,落实配合人员,对巡检结果进行盖章确认,对发现问题进行整改。
3.8负责所辖范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行;
3.9对于系统的所有维护(包括故障处理、系统改进和功能完善增加)都必须填写维护记录,每月向信息系统维护管理部门上报所辖范围内的信息系统运行情况和所有的维护记录;
3.10负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施; 3.11负责所辖范围内信息系统档案资料的维护,及时更新有关资料;
3.12协助信息系统维护管理部门对所辖范围内信息系统的用户账号管理和数据安全管理,按照信息安全管理相关要求定期进行信息安全自我审核,每月向信息系统维护管理部门上报所辖范围内的信息系统信息安全情况。
三、维护界面划分
1、信息系统设备现场、物理环境的维护工作由规划发展部机房人员负责。
2、信息系统的市电电源由所属机构的设备环保部负责维护。
3、规划发展部负责全行生产环境在线系统的监控和维护工作(包括日常作业计划、故障处理、系
统改进、数据变更、数据的备份与恢复),维护和更新相应操作规范和技术文档。
第三章
运行维护工作基本制度
一、故障管理
根据故障的影响范围及持续时间等因素,将故障分为特别重大故障(一级)、重大故障(二级)、较大故障(三级)、一般故障(四级)四个级别。具体分级标准参见《信息系统应急预案》。
系统出现故障,信息系统所在地维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向上级维护部门报告。故障处理时限要求参见《信息系统应急预案》。 故障升级要求
1、信息系统所在地维护部门处理不成功或无法自行处理,则向上级维护部门申告故障,根据系统类型和故障级别,故障申告应在要求的时限内完成,故障申告时限要求参见《信息系统故障管理办法》。
2、信息系统故障受理部门受理各单位故障申告,紧急情况下,可以利用电话申告和受理,但事后必须补填故障受理单。
3、信息系统维护部门对口故障处理人员接受故障派单后,应立即以电话、远程登陆等方式进行远程技术支持,必要时进行现场技术支持。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。现场技术支持响应须在要求的时限内完成,现场技术支持响应时限要求参见《信息系统应急预案》。
4、厂商技术人员现场处理故障时,公司维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。
5、故障解决后,技术支持人员应立即向派单部门回单,派单部门对故障处理回单进行确认、评估,并通知申告单位进行业务验证。
6、参与故障处理的各方必须如实、及时填写故障处理单(表单格式参见《信息系统应急预案》),现场技术支持还须当地维护人员予以签字确认或维护部门盖章。
7、要建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向上级主管部门报送,对业务影响较大的还应及时通知业务部门。
8、各级维护人员应拥有上级主管部门和相关业务部门的联系方式,包括电话、手机、传真等。
9、故障报告要求:发生较大(三级)或以上故障时,必须立即上报信息系统维护管理部门,如果是特别重大故障,应立即上报主管行领导。所有的较大(三级)或以上故障应在月度运维报告中进行记录,并在规定时限内向风险管理部门和内审部门提交故障分析报告(具体要求参见《信息系统故障管理办法》)。
10、对于系统隐患或暂时不能彻底解决的故障应纳入问题管理,每月应对存在的问题进行跟踪分析。
二、问题管理
在信息系统运行维护中或在故障处理中发现的系统隐患或暂时不能解决的故障均列入问题库进行持续的跟踪管理。
问题可由任何人在运维例会、故障分析会、维护分析报告、巡检报告、运维管理平台上以多种形式提出,问题库的归口管理部门为信息系统维护管理部门。
问题一经提出,由归口管理部门组织讨论,明确问题的责任人、配合人员,制定解决方案、工作计划和时限要求。
问题责任人根据解决方案、工作计划组织开展工作,并按照工作计划进度要求向信息系统维护管理部门定期汇报工作进度。
问题解决过程中凡涉及投产和变更的,应遵守《信息系统投产及变更管理办法》和《信息系统投产变更管理办法实施细则》相关规定和流程。
问题责任人认为问题已经解决,应由提出人测试验证后,从问题库中删除,问题处理中产生的所有文档由生产配置管理员归档到运维管理平台的知识库中统一管理。
三、变更管理
信息系统变更包括硬件扩容、冗余改造、软件升级、搬迁、数据移植、数据维护等工作以及电子表格模板、文档模板、安全策略、配置参数、系统结构、部署的改变等。
各级维护部门应保证在线系统的软件版本及硬件设备的稳定,未经过上级维护管理部门书面批准,不得自行对在线系统软件版本(简称在线版本)及硬件设备进行任何变更及调整。
变更包括紧急变更和普通变更。紧急变更指由于业务开放或故障处理等的迫切需求而引起的,目的是保持或者恢复业务又无法书面申请、审批过程的变更。普通变更指非紧急变更,本管理办法中的变
更,如果没有特殊说明,都指普通变更。
对于普通变更,由设备或系统所在地单位至少提前五个工作日书面提出变更申请,对于系统变更的依据、实施方案、风险控制和评估、测试方案以及回退方案进行详细列述,经上级维护管理部门书面批准后组织实施。
对于系统的软件升版、增加补丁等变更,必须遵照《软件版本管理办法》相关条例组织实施。
原则上,变更必须在夜间非主要业务时间进行,各维护实施单位应根据变更情况,按预先方案进行测试验证,验证通过后,以书面形式向上级维护管理部门汇报结果,并完成对相关文档资料(如应急预案)的更新。
对于紧急变更需求,允许口头申请、审批后组织具体实施。事后,对变更的安全性及功能性进行测试验证,将测试验证结果以及紧急变更事由、具体实施方案、实施过程等以书面形式报上级维护管理部门书面确认,并完成相关文档资料的更新工作。
二、维护作业计划管理
各级维护部门应根据系统不同特点及维护质量要求,制定不同周期作业计划,并报维护管理部门审批。
作业审批后不得任意更改,维护部门应认真执行作业计划,并填写作业计划表。如因特殊情况不能达到预期质量和进度,应限期补齐,认真分析作业结果,发现问题及时处理解决,并做详细记录,按月度、季度和年度定期汇总分析。
各级维护部门除制定维护作业计划外,还应针对系统的自动作业内容制定自动作业计划,报维护管理部门审批后组织实施。根据自动作业执行周期,对自动作业执行日志进行审查,发现问题及时处理,并做详细记录,按月度、季度和年度定期汇总分析。
作业计划的内容至少包括:
1、厂商维护手册建议的预定义处理作业; 2、系统告警和资源占用状态观察;
3、预防性维护工作,包括各类参数、数据备份、存储和管理; 4、性能指标观察和记录; 5、用户口令和权限审核; 6、日志审核。
数据备份、存储和管理应根据相关业务特性和需要制订作业实施步骤。
信息系统维护管理部门每月对作业计划执行情况进行审核,分支机构由信息系统维护管理部门每年进行检查,并纳入考核。
四、巡检管理
信息系统维护管理部门负责组织全行范围信息系统相关的机房环境、计算机硬件、配套网络、基础软件和应用软件的巡检,下发巡检通知,协调各分支机构、厂家的关系,管控巡检进度和质量。
信息系统维护部门负责本机构辖区范围内信息系统相关设备巡检的具体实施: 1、制定技术巡检计划,列出巡检重点、内容、要求,形成巡检检查表格;
2、收集设备运行故障和隐患。根据年度巡检重点、内容,调查设备近期运行情况,统计出各类型设备在运行过程中曾出现的故障。对反馈的问题进行分析、评估,做好相应的技术准备;对一些需要厂家解决的问题列出清单,及时与厂家沟通,制定解决方案,以供巡检过程中实施、解决。
3、确定巡检线路、时间,安排专业技术人员参加现场巡检,要求: 3.1到每个单位时,由各单位的技术员进行配合;
3.2到每个单位后,应先向其部门负责人汇报巡检工作安排,与其技术员交流、沟通,掌握当前各设备运行情况,了解系统存在的问题;
3.3检查各相关设备运行维护情况,解决设备运行问题,如实填写巡检表,列出发现并已解决的问题以及未解决的问题。对已解决的问题详细说明解决办法,对未解决的问题提交后续跟踪、处理的限时解决方案或建议;
3.4向当地维护部门负责人通报巡检情况,在取得其的同意下,签署意见并盖章确认。
4、巡检返回后十个工作日内,在各单位巡检表基础上整理一份巡检总结报告,提交信息系统维护管理部门。
5、组织相关技术人员对专业巡检情况进行分析,列出巡检过程中处理、解决的故障详细表以及未解决的故障详细表,进一步督促厂家限时解决遗留的故障和问题。
四、技术档案和资料管理
公司办公室档案库负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录,包括但不限于:
1、系统结构图及相关技术资料;
2、机房平面图、设备布置图、电源电缆、信号线、地线图; 3、网络连接图和相关配置资料; 4、各类软硬件设备配置清单; 5、设备或系统使用手册、维护手册等资料;
6、工程资料,包括安装、工程设计、测试及开通、试运行、竣工等全套技术资料; 7、上述资料的变更记录。 软件资料管理应包含以下内容:
1、所有软件的介质、许可证、版本资料及补丁资料;
2、所有软件的安装手册、操作使用手册、应用开发手册等技术资料; 3、上述资料的变更记录。 配置数据管理要求:
1、配置数据管理应包含各种静态数据资料(如系统的各种参数设置等)及变更记录; 2、维护人员必须维护最新的当前系统配置数据。 规划发展部负责运行记录的管理:
1、维护作业计划和适用的各种规章制度; 2、系统运行记录和巡检记录;
3、故障及处理、设备检修、返修记录;
4、系统备份磁带、磁盘、光盘的更换及相关信息汇总记录;
5、软、硬件设备变更和系统参数变更。
七、备份及日志管理
对各项操作均应进行日志记录,内容应包括操作人、操作时间和操作内容等详细信息。各级维护部门维护人员应每日对操作日志、安全日志进行审查,对异常事件及时跟进解决,并每周形成日志审查汇总意见报上级维护主管部门审核。安全日志应包括但不局限于以下内容:
1、对于应用系统,包括系统管理员的所有系统操作记录、所有的登录访问记录、对敏感数据或关键数据有重大影响的系统操作记录以及其他重要系统操作记录的日志;
2、对于操作系统,包括系统管理员的所有操作记录、所有的登录日志; 3、对于数据库系统,包括数据库登录、库表结构的变更记录。
各级维护部门应针对所维护系统,依据数据变动的频繁程度以及业务数据重要性制定备份计划,经过上级维护主管部门批准后组织实施。
备份数据应包括系统软件和数据、业务数据、操作日志。
各级维护部门应按照备份计划,对所维护系统进行定期备份,原则上对于在线系统应实施每天一次的增量备份、每月一次的数据库级备份以及每季度一次的系统级备份。对于需实施变更的系统,在变更实施前后均应进行数据备份,必要时进行系统级备份。
各级维护部门应定期对备份日志进行检查,发现问题及时整改补救。
备份介质应由专人管理,与生产系统异地存放,并保证一定的环境条件。除介质保管人员外,其他人员未经授权,不得进入介质存放地点。介质保管应建立档案,对于介质出入库进行详细记录。对于承载备份数据的备份介质,应确保在其安全使用期限内使用。对于需长期保存数据,应考虑通过光盘等方式进行保存。对于有安全使用期限限制的存储介质,应在安全使用期限内更换,确保数据存储安全。
各级维护部门应按照本级维护工作相关要求,根据业务数据的性质,确定备份数据保存期限,应根据备份介质使用寿命至少每年进行一次恢复性测试,并记录测试结果。
八、机房管理
原则上,数据中心机房环境应达到国家标准 GB50174-2008描述的A类机房标准,机房环境应达到B类机房标准,/网点机房环境应达到C类机房标准。具体要求如下:
安装服务器等重要设备的主机房必须安装烟雾、火警、浸水和温湿度等环境监控设备,必须与日常办公区隔离并安装乙级(含)以上防盗门或电子门禁系统;
机房应备有工作服、工作鞋或鞋套,保持室内清洁,无积尘,门窗密封; 室内的温、湿度应符合相应等级机房的环境条件要求;
具备有效的防火、防水、防雷、防静电、防有害生物、应急照明等措施和设备;
7×24小时不间断运行的重要设备必须有UPS供电,且必须占用单独的电源插座,不得多台设备共用电源插板;主备用机器的电源、同一台设备的主用和冗余电源必须分离;
电缆、电线、信号线布放情况应顺直不凌乱,避免交叉混放,电源配线架应线路清晰、设置安全,具有安全保护措施。网络配线架应整洁有序,对应清晰,设备连接线缆应顺直不凌乱。
原则上,机房面积不得小于15平方米,单位地面承重不得小于1000公斤/平方米。 机房电源输入应有大功率应急发电设备以保证紧急情况下的电力供应。
机房均应安装独立空调来保证机房温度、湿度符合相应等级机房的环境条件要求。 机房内均应有经消防认证的消防设施,应配备气体灭火装置。
设备机房应设置门禁、监控设施,防止未授权人员进入机房。安排专人负责机房的安全管理,主管部门定期审核进出机房的权限,授权人员的增加、减少和变更须每次保留审批记录,无关人员未经管理维护人员的批准严禁进入机房。建立机房出入登记制度,非机房管理人员进出机房由管理人员陪同,做好访问时间、目的、人数等详细记录;
机房内严禁吸烟、饮食、睡觉、闲谈等,严禁携带易燃易爆、腐蚀性等污染物和强磁物品及其它与机房工作无关的物品进入机房;
管理人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
当机房的交流供电系统停止工作时,管理人员应立即向相关主管部门报告并采取可靠措施尽快恢复;无法及时恢复的情况下,维护人员在计算UPS蓄电池的工作电压降至最低前,应通过正常操作及时关机。
雷雨季节应加强对机房内部安全设备、地线、信号线及防护电路的检修。
非电气人员不准安装电气设备和线路。测试电气设备的电源是否正常应使用相应的测量工具,维护人员插拔设备模块时应戴防静电手镯,禁止用手触及电气设备的带电部分和使用短路的方法进行试验。
九、安全保密管理
信息安全应满足国家、行业、金融业各级监管部门和关于信息安全保密的各项规定及要求。
各应用系统维护部门负责本系统信息安全管理,根据系统特点,制定各应用系统的信息安全管理细则,在上级管理部门的指导下,具体开展应用系统的信息安全管理工作。
若发生系统信息泄密事件,各应用系统维护部门应及时向董事会信息安全委员会进行汇报,并按照关于信息安全相关管理制度要求开展补救工作。
1、安全保密制度
联网设备必须采取必要的安全措施,以保障网络的设备安全及所承载业务的信息安全。在计算机上应安装防病毒软件,每天更新病毒库;
未经变更流程,严禁将业务系统与公众互联网进行连接;严禁未通过鉴权认证的拨号等形式接入信息系统;
在办公网络、生产网络与互联网或其他外部网络的网络连接处必须安装防火墙,并指定防火墙管理员,只有指定的系统(网络)管理员才能拥有防火墙管理帐号,未经批准,不得进行防火墙策略的更改;
严禁在生产系统中安装未经授权的软件;不得在生产系统上运行与工作无关的程序;未经批准,不得利用生产系统进行培训实习;
未经批准不得擅自抄录、复制配置资料、技术档案,内部资料不得泄露; 设备管理和维护人员都应熟悉并严格遵守和执行信息安全保密相关规定。
2、信息系统密码管理规定
对于使用密钥棒或动态密码卡的系统,用户应注意保管并注意PIN码保密;
对于操作系统、数据库、业务系统,系统(网络)管理员密码使用习惯应严格遵循如下要求:系统(网络)管理员每90天至少更换一次密码,密码的长度不小于8位、且同时包含数字和字母等字符,不得使用最近一次使用过的密码等;
各类用户在第一次登录时应进行用户密码修改,以后每90天至少修改一次用户密码,且不得使用最近使用过的密码,密码长度不得少于6位;
重要系统和敏感数据应存放于单机环境,由使用人员设定密码保护,防止非授权人员进行访问,密码位数必须在6位以上;如果存放在文档服务器上,需由信息系统维护部门建立文档服务器访问控制措施,并指定系统管理员;
严禁在各类系统中“将用户帐号和密码编写在程序中”的作法;系统中的帐号密码不得以明文方式存放;若存在以上系统隐患必须及时整改。
3、信息系统帐号管理规定
系统管理员帐号、系统维护帐号应保证一人一帐号,对于重要操作,可以由系统日志追溯到执行操作的帐号、直至相关操作人员。应严格控制系统超级用户帐号使用范围,能使用低级别帐号进行的操作禁止采用超级用户帐号实施。
各级应用、维护部门应合理划分用户组,并根据用户所承担职责合理划分用户权限。终端应用人员原则上要求每个员工一个帐号。
对于用户的增加、删除,用户权限的变更均需预先提出变更申请,在得到维护管理部门书面批准后由系统管理员负责实施。各应用、维护部门应定期组织对用户权限及分配情况进行审核,发现问题及时
整改,并记录在案。员工离职或调离工作岗位后,应按照情况,及时对帐号和权限进行调整。 未经审批,维护人员不得登录数据库对业务数据进行直接操作。
对于由于操作系统、数据库平台等限制而使用的共享帐号,当使用此共享帐号的任一人员发生变更,必须修改密码,并保留密码变更记录。
供应商远程维护人员和系统开发人员不得拥有在线系统帐号。若因软件移植或系统维护需要,应事先经维护部门主管领导书面确认(紧急状态下应实现口头申请、事后补文字确认说明),方可临时授予开发人员操作帐号,并在维护人员全程陪同下进行相关操作,操作完成后,陪同人员负责完成对临时帐号的删除或禁止。供应商远程维护人员和系统开发人员对系统的所有操作均应通过日志记录,并予以备份保存。安全管理员应定期就“远程接入问题”进行重点审核。
ERP信息系统管理制度 1 目的
规范ERP系统的使用和管理确保系统正常高效运行。
2 范围
适用于ERP系统的建立、使用和维护的管理。
3 职责
3.1集团办公室负责ERP系统的建立、指导使用和ERP系统的维护。
3.2集团各部门/中心/子公司负责按本文件要求规范使用ERP系统。
4 管理要求
4.1 ERP系统的建立
4.1.1全新系统的建立,由集团办公室根据使用需求收集市场信息并拟订方案组织评审修订后报集
团总裁审批。
4.1.2 ERP系统新增模块和特殊定制需求由使用部门/中心/子公司或集团办公室提出并明确使用要求和
达到效果经集团办公室进行可行性分析调研并与ERP系统研发部门再次核实后报集团办公室主管领导
审由集团总裁批准后实施。
4.1.3 ERR系统的实施。ERP系统的实施由集团办公室牵头和主导在结合公司实际情况基础上与ERP
系统供应方实施工程师、相关使用部门进行调研和沟通确认后制定和发布实施计划。在项目实施过程中
按计划开通权限、组织培训、指导使用、测试系统以一周为周期根据实际实施情况对实施计划进行调
整并定期召开项目实施情况通报会议对本周系统实施情况进行总结和对下周实施计划进行安排以确
保ERP系统实施项目按照实施计划有效推动执行。
4.2 ERP系统的安装
4.2.1ERP系统服务器端由ERP系统供方或集团办公室网络主管进行安装。ERP系统客户端由集团办公室网
络主管进行安装。
4.2.2 ERP系统远程端口的管控。各子公司的ERP系统远程端口原则上只对集团公司高管、该子公司高管
和集团办公室主任开通因涪陵公司、万州公司远程使用空港公司系统则开通该公司所有ERP系统使用
人员的系统远程端口。其他人员因工作原因需要开通的须OA提出申请经所在部门/中心/子公司负责
人、集团办公室主任、集团办公室主管领导审核集团总裁批准后网络主管为其开通指定系统的远程端
口并指导安装。
4.3 ERP用户的设置
4.3.1 新实施系统用户权限的设置。在新系统实施阶段由网络主管组织各部门人员根据本文件4.4
条款规定拟定各部门人员的ERP系统权限并形成《ERP系统权限清单》OA发布存档。
4.3.2涉及新增设岗位或已有岗位新增权限、新系统或新模块的权限设置。由使用人在OA系统中提出流
程申请经使用人的部门/子公司负责人审核后再由集团办公室网络主管根据本文件4.4条款规定拟订
权限设置报集团办公室主任和财务中心总监批准后进行权限的开通。
4.3.3已有权限设置的岗位增加用户。由使用人所在公司的人事行政部或其直接上级在OA上提交
“OA/ERP/AM用户申请”流程申请网络主管开通后将用户名和初始密码录入OA系统流程表单再由申
请人通知到使用人。
4.3.4 员工岗位调整或离职。由该员工所在公司的人事行政部以OA邮件形式通知网络主管调整权限或注
销用户权限。
4.4 ERP权限的管控。
4.4.1 ERP操作权限的管控。ERP操作权限分为3类A类、基础数据录入权限B类、基础数据复核权限C类、查看权限。一般情况下操作权限的分配适用以下原则a、对应岗位工作内容和职责开通相应的
ERP系统业务模块b、各部门操作人员配置A类权限集团部门/中心负责人、子公司部门经理、子公司
分管领导配置B类权限集团和子公司高管配置C类权限。对于不适宜于以上要求的特殊情况由使用人
提出经网络主管确认后报使用人所在部门负责人和集团办公室主任批准后由网络主管进行使用人权
限的调整。
4.4.2 ERP系统价格的管控。ERP系统中的销售价格原则上只对集团总裁、财务中心总监、子公司
总经
理、子公司分管营销副总经理、营销部、财务部经理和会计开通。ERP系统中的采购价格原则上只对集
团总裁、财务中心总监、物资采购部、子公司总经理、子公司分管采购副总经理、采购部、财务部经理和
会计开通。除集团总裁、财务中心总监、子公司总经理、财务经理、会计外其他人员不得同时开通销售
价格和采购价格的查看权限。非以上所列人员需查询销售价格或采购价格的由申请人在OA系统提出申
请经所在部门/中心/子公司负责人、集团办公室主任、集团办公室主管领导审核集团总裁批准后由
网络主管开通。
4.4.3 ERP系统客户过滤的管控。子公司单独使用一套ERP系统系统的对业务员进行客户过滤即各业
务人员只可查看本人客户。2个或以上子公司共用一套ERP系统的在对业务员进行客户过滤设置后还
要对各子公司人员进行客户过滤即本子公司人员只可查看和操作本子公司客户。
4.5 ERP系统的使用
4.5.1 ERP系统使用培训。新系统建立和新增模块时由集团办公室网络主管组织对使用人进行ERP系统
的使用培训。新员工入职后ERP系统的操作使用由使用人所在部门进行培训。
4.5.2新用户账号开通后使用人要及时登陆更改初始密码。用户名和密码是进入ERP系统的唯一凭证
使用人不得将其泄露给任何人特殊情况直接领导或集团办公室网络主管除外不得随意记录在笔记本
上和普通纸张上以防其他人员偷窥。
4.5.3 ERP系统内的数据不能随意增加、删除和修改做以上操作时必须有凭证依据。ERP系统使用
人在每天下班前要核查原始数据录入有无错误有错误的要及时更正。如因使用人在未核查原始数据情况
下录入错误导致基础数据不准确且超过时间节点已不能对该记录进行修改的需通过OA系统提出“ERP/OA
数据调整”流程经过该部门/子公司负责人、子公司财务经理和集团办公室主任审批后由网络主管更
改。
4.5.4 ERP系统内数据的清除。任何人不得随意清除ERP系统内的数据如确有需要必须清除的需通过OA系统提出“请示与批复”流程说明清除数据缘由并经提出人所在部门经理、子公司分管领导、子公司总经理审核再经过集团办公室确认对系统不会有其他影响最后由子公司财务经理及财务中心总监批准后方可执行清除。未经申请擅自清除ERP系统内数据的视其情节严重与否及造成后果对该责任人采取扣当月绩效30%、60%或全部绩效情节特别严重直接扣除当月全部绩效并赔偿相应损失恶意行为除上述最高考核外应追究责任人法律责任。
4.5.5使用人员应主动熟悉ERP系统的操作对于误操作或信息泄露造成严重后果的对责任人处罚不限
于降职、降薪、除名、赔偿损失等措施情节特别严重追究责任人法律责任。
4.6 ERP系统的维护。集团各部门/中心/子公司要及时总结ERP系统使用中出现的问题对于不能解决的 问题须及时上报集团办公室网络主管。网络主管在第一时间内响应并处理ERP问题对于不能处理或关于程序、数据库核心的问题须马上与系统厂家联系并做好记录督促厂家解决。
4.7 ERP系统的开发。集团各部门/中心/子公司在ERP使用中发现现有的ERP模块或报表不能满足生产 和管理的需要要求增加或修改模块、报表的应向集团办公室反映由集团办公室组织相关部门进行该项目的可行性调研确定该项目切实可行的联系系统供应商进行开发和实现功能。
4.8 ERP系统的升级。集团办公室网络主管要随时关注ERP系统的更新确定升级的时机并布置测试要求。在测试完成后网络主管确定升级计划并提前通知各使用部门作好安排。升级后使用人员要及时使用验证发现问题后需及时通知网络主管进行解决。
4.9 ERP系统数据的备份。ERP系统服务器上要保存不低于28天的数据库备份以备系统问题的追溯和解决。
5 相关/支持性文件 6 记录
0A 使用管理制度
一、总则
1、为了提高公司工作效率,保障信息传递畅通,根据公司的实际,制定本制度。 2、公司办公自动化系统(以卜简称OA 系统)采用服务器/客户端/浏览器结构,建立起来的覆盖全公司管理人员的办公信息管理系统,实现网上办公和信息资源共享。0A 系统是公司信息化建设的重要组成部分,是提高公司办公整体管理水平的重要手段。
3、为了加强对公司以系统的管理,提高公司工作效率,有效降低和节约成本,加快办公自动化建设,保障文件和各种信息传递快捷通畅,根据公司《 信息系统运行维护管理规定》、《 公司公文处理办法》 等有关规定,结合公司实际,制定本制度。
二、组织职责
以系统的运行中,公司各部门各负其责,协同配合。职责如下;
1、规划发展部是公司办公自动化0A 系统的归口管理部门。主要职责为: ( 1 )、负责制定以系统规章制度;
( 2 )、负责以系统核心工作流程设计、修改:
( 3 )、负责OA 系统各职能部室工作流程设计的审核;
( 4 )、负责确定、监管OA 系统核心工作流程参与人员的权限; ( 5 )、负责监控、检查、督办核心工作流程的工作流转: ( 6 )、负责工作流程的归档,并为其他部门提供查询; ( 7 )、协助劳动人事部组织操作培训; ( 8 )、负责搜集、整理优化系统的需求;
( 9 )、负责OA 系统内各大功能模块信息内容更新的监督; ( 10 )、负责对系统内的保密设置进行定期检查;
( 11 )负责对系统内的信息按照公司保密要求进行定期检查、监督;
2、规划发展部负责以系统的建设、维护和服务支撑工作,负责服务器的管理维护和日常运行。主要职责为:
( 1 )、负责0A 系统软件的开发升级管理;
( 2 )、负责系统的数据备份;
( 3 )、负责制定0A 系统应急方案和系统技术管理规章制度;
( 4 )、负责公司领导、管理员和相关人员的培训和技术指导工作; ( 5 )、负责0A 服务器、操作系统和硬件的维护,确保服务器安全运行;
( 6 )、负责系统用户注册、注销等管理: ( 7 )、负责各部门权限的设置。
3、人力资源部负责为OA 办公系统提供现行的组织机构设置,提供以办公系统中用户的流动信息。主要职责为:
( 1 )、负责现有用户、及新增用户的审核;
( 2 )、负责提供用户(变更或注销)信息给企划部信息中心。 4、其他部门主要职责为:
( 1 )、负责制定本部门以系统相应管理制度;
( 2 )、负责指定部门以管理员,参与本部门工作流程的定制、文件夹的建立以及本部门0A 系统终端的日常维护、人员培训等技术支持工作;
( 3 )、部门OA 管理员负责本部门参与0A 系统人员权限变更时,及时提供给公司行政部申请调整;负责处理0A 系统中公文流转工作及文件夹属性和内容的变更工作;( 4 )、负责根据本部门工作需要,提出优化需求。
三、文件管理
1、公司各部门发出、报送的各类文件(包括发通知、请示、报告、简报、报表、信息等)原则上统一采用公司办公自动化0A 系统发送。本系统不启用电子印鉴。
2、OA 系统中的公文也称电子公文,是通过公司统一配置的公司办公自动化系统处理后形成的具有规范格式的公文的电子数据。电子公文传输,是指电子公文的生成、发送和接收过程。
3、公司办公室负责对电子公文传输工作进行指导和检查。
4、电子公文要素与纸质公文基本一致,包括公文版头、密级、发文字号、签发人、公文标题、主送机关、正文、附件、成文日期、附注、主题词、抄送部门、版记等。电子公文与纸质公文工作流程、行文关系、归档管理基本相同。
5、电子公文与纸质公文具有同等效力,不加电子印鉴。如需要对外提供纸质文件,各部门可向公司行政部申请正式文件。
6、各类电子公文处理程序按照《 公文处理办法》 的规定在公司办公自动化以系统中办理。在OA 系统中,公司收文办理程序为公司行政部起发领导批阅流程,公司领导批阅后转公司分管领导阅批,再转承办部门批办并择具体办理人办理。
7、各部门在以系统中办理公司领导批阅的文件由部门主管征求批阅文件的公司领导意见后归档。
8、在系统中,公司发文办理程序为各部门拟稿人发起发文流程,本部门领导审核,如需要会签部门协助办理由拟稿部门主管领导协调会签,会签后主办部门交公司分管领导阅批,分管领导确认后转公司办公室审阅公文,由公司办主任签发。
9、发文签发后,由公司办公室编号、制作电子公文,使用0A 系统文件分发流程发至公司各部门主要负责人和0A 管理员各一份,并根据实际需要打印纸质文件若干份报出并归档。
10、办理工作业务使用本系统设定的工作流,根据文档管理一体化的原则,做好电子文档的归档,并妥善保管归档记录,备查。直接发送电子邮件可用于小范围内的信息沟通。
四、登陆规范
1、系统正式运行后,系统所有用户至少在每个工作日上午、中午的上班后一个小时内,中午和下午下班前一个小时内分别进入系统浏览一次,以保证公文系统的正常流转和信息的及时传送,最好能长期登陆进以办公。
2、系统用户必须建立个人密钥,填写个人信息,保护好个人登陆密码、电子签名密钥,并定期更换。多人共用一台计算机,如暂停0A 办公需及时注销或退出0A 系统,以免他人介入工作环境。
3、登陆0A 系统用户口令应经常更改并保守秘密,以防他人有意或无意打开系统数据库获取信息,滥发电子邮件、恶意增删资料或干扰公文运转。
五、安全保密
l、所有用户应认真贯彻执行《 中华人民共和国计算机信息系统安全保护条例》 和公安部《 计算机信息网络国际联网安全保护管理办法》 ,严格遵守公司《 计算机管理制度》 有关规定。
2、按照公司《 计算机管理制度》 的规定,为了保证各单位的网络畅通,严禁使用BT、
电骡、电驴、迅雷、PPlivE等占用网络带宽的软件,严禁在线观看与工作无关的网络视频;严禁对网络软件和硬件进行非法操作。系统用户必须安装杀毒软件,拒装者取消其上网资格(包括个人笔记本电脑)。
3、系统的所有用户,不得利用以系统从事危害国家、集体和他人利益的活动,不得在系统上制作、传播有碍社会治安和不健康的信息,不得制造和输入计算机病毒以及其他危害系统安全的数据。
4、系统中的所有用户应按规定的权限阅读和使用系统提供的信息。不得盗用他人用户账号,不得干扰其他用户和破坏系统服务。
5、未经管理人员的同意,任何人不得随意让公司无关人员及外部人员查看0A 系统中的内容,更不许一下载受控的内容;
6、发生泄密的情况,将按《 员工手册》 及保密规定的内容追究相关人员责任。
六、网络维护
为确保网络的正常运行,全体员工都有对以系统维护的义务;
l、公司管理员是公司以系统栏目,版面变更唯一的指定人; 2、禁止在0A 系统上传带有病毒的文件、图片等; 3、未经许可,不得私自改变0A 系统的桌面内容; 4、不得对网络运行进行人为设限。
七、回复
实现信息的畅通,实现“知情”管理:
1、相关人员按职责对相关信息,应及时给予回复;上级要求必须回复的,格式为(回复);涉及到全体员工或每团队员工格式为(全体回复); 2、公司通知、企业制度、指令等栏目内容涉及全体员工的,每个员工必须在一星期内给予回复,涉及相关人员的必须在三天内给予回复;
3、其他栏目,若下级要求必须回复的,格式为(请回复);并应在三天内给予回复;4、急办的内容发布,内容上应注明“急办”,对急办的内容,相关人员必须在当天给予回复:
5、申请栏目内容发布,应有部门负责人的审核意见;
6、论坛、宣传表格、人员去向、档案等栏目,员工可自由参与,不强求回复。7、凡涉及回复的,均应在发布时设定“邀请阅读”: 8、相关人员按职责对相关信息,必须及时给予回复;如若未能按照回复的规定进行相应的回复,则第一次由公司OA 管理员在0A 栏目上发布批评并通知其直接上级,第二次0A 管理员发布警告并通知其直接上级;第三次管理员直接通报公司分管领导,核实后,由财务部门给予50 元的罚款并通报全公司。
9、以管理员未及时通报的由其直接上级给予批评与警告;经两次发现未及时通报的,由财务部门给予50 元的罚款,三次发现未及时通报的由财务部门给予100 元的罚款。
八、不良记录
为强化0A 系统的健康运行,发挥其有效作用,实施考核管理。
1、对未按规定及时回复的由版主进行记录,甸月进行公布,列入考核,对造成工作受到影响的将予以考核;
2、不按期、按时报送信息的,如:项目简报、管理周报等按漏报次数给予主要负责人经济考核;
3、发生影响以系统维护管理的,视情节给予相应的考核。
九、应急措施
应急措施是保证、文件信息、资料不丢失的有效措施。
1、对公司制度、报告、考核、档案等有价值的内容、信息,在发布的同时,发布人还应进行备份,以避免信息丢失;
2、需要进行归档管理的资料、信息由版主指定相关人员进行备份;
十、其它要求
1、鼓励全体员工对0A 系统的维护管理提出建议;
2、发生急办或重大信息,除在0A 上发布外,还应及时采用其它通讯方式进行沟通,传递。
十一、附则
1、为了保障以系统的硬件、软件和信息的安全,保证系统的正常运行,全体用户应遵守本管理制度,违反者应承担相应责任并接受公司考核制度的处罚。2、本制度未尽事宜按法律法规和公司有关规定执行。
3、本制度由规划发展部负责解释、补充,经董事长审批通过后颁布执行。
