企业内网信息系统研发与管理规范

企业内网信息系统研发与管理规范企业内网信息系统研发与管理规范 第一章第一章总则总则 第一条第一条为规范湖北广播电视网络股份有限公司有关信息系统 开发管理工作，提高信息系统开发的管理水平， 明确计算机信息系统 相关部门及岗位的职责、权限，确保计算机信息系统管理不相容岗位 相互分离、相互制约和监督，有效提升信息系统支撑日常业务的效率 和质量，特制定本管理制度。 第二条第二条本规范所称计算机信息系统是指利用计算机技术对业 务和信息进行集成处理的程序、数据和文档等的总称。 第三条第三条在建立并实施计算机信息系统内部控制制度中， 要强化 对以下关键方面或者关键环节的风险控制，并采取相应的控制措施： （一）权责分配和职责分工应当明确， 重大信息系统事项应履行 审批程序； （二）信息系统开发、变更和维护流程应当清晰，授权审批程序 应当明确； （三）信息系统应当建立访问安全制度，操作权限、信息使用、 信息管理应当有明确规定； （四）硬件管理事项和审批程序应当科学合理； 第二章第二章岗位分工与授权审批岗位分工与授权审批 第四条第四条建立公司计算机信息系统岗位责任制。 计算机信息系统 岗位一般包括： （一）系统分析：分析用户的信息需求，并据此制定设计或修改 程序的方案。 （二）编程：编写计算机程序来执行系统分析员的设计和修改方 案。 （三）计算机操作：负责运行并监控应用程序。 （四）数据库管理：综合分析、设计系统中的数据需求，维护组 织数据资源。 （五）信息系统库管理：在单独的信息系统库中存储暂时不用的 程序和文件，并保留所有版本的数据和程序。 （六）数据控制：负责维护计算机路径代码的注册，确保原始数 据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入 的错误数据反馈到输入部门并跟踪监控其纠正过程， 将输出信息分发 给经过授权的用户。 （七）终端控制：终端用户负责记录交易内容，授权处理数据， 并利用系统输出的结果。 第五条第五条系统开发和变更过程中不相容岗位 （或职责）一般应包 括：开发（或变更）审批、编程、系统上线、监控。 第六条第六条系统访问过程中不相容岗位（或职责）一般应包括：申 请、审批、操作、监控。 第七条第七条公司计算机信息系统战略规划与公司业务目标保持一 致。信息系统使用部门要参与信息系统战略规划、 重要信息系统政策 等的制定。重要信息系统政策等重大事项应当经由技术部门主管、 分 管领导、总经理审批通过后，方可实施。 第八条第八条技术部门（或岗位，下称归口管理部门）对计算机信息 系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。 第九条第九条 明确定义系统归口管理部门和用户部门在保证系统正常 安全运行过程中各自承担的职责，制定部门之间的职责分工表。 第三章第三章信息系统研发、变更与维护控制信息系统研发、变更与维护控制 第十条第十条计算机信息系统开发包括自行设计、 外购调试和外包合 作开发。开发信息系统时充分考虑业务和信息的集成性，优化流程， 并将相应的处理规则 （交易权限） 嵌入到系统程序中， 以预防、 检查、 纠正错误和舞弊行为， 确保企业业务活动的真实性、 合法性和效益性。 对于外包合作开发的项目，加强对外包第三方的监控。 对于外购调试 或外包合作开发等需要进行招投标的信息系统开发项目， 依照招投标 相关制度进行管理。 第十一条第十一条信息系统研发遵循以下步骤： (一)根据公司运营过程中的需求,在需要研发新的信息系统的时 候首先提请立项申请，并依照项目管理相关制度规定进行项目管理。 （二）需求阶段：对通过立项研发项目通过问卷、交流等形式进 行需求调研，完成调研报告。经公司领导或部门领导批准，并对调研 报告进行需求分析、研讨形成需求说明书。 （三）设计阶段：明确需求后，设计信息系统开发的具体方案。 系统设计部门就总体设计方案与业务部门进行沟通和讨论， 编写系统 设计方案， 设计方案还要包括概要设计、 详细设计、 子系统概要设计、 模块设计和数据库设计。 （四）编码阶段：对已经确定的设计方案进入实施阶段，项目经 理应确定编程规范，统一编程风格、提高代码质量。 合理分配开发 任务， 确定何人何时完成哪些模块。 开发人员需构建编程与测试环境， 例如软件开发工具的选择、硬件开发环境的选择等。并在编码过程中 一边编码一边调试减少后继的测试和改错代价， 提高程序的质量和测 试效率。 （五）测试阶段：信息系统在投入使用前应当至少完成整体测试 和用户验收测试，以确保系统的正常运转。用户部门应当积极参与数 据迁移过程，对数据迁移结果进行测试，并签署测试报告。数据控制 小组应当用测试数据来证明程序工作正常并确认就绪， 开发完成后交 操作人员并由信息系统库管理员备份留存。 信息系统原设计功能未能 正常实现时， 指定相关人员负责详细记录， 并及时报告归口管理部门， 由其负责系统程序修正和软件参数调整，尽快解决存在的问题。 （六）实施阶段：系统上线前要对系统操作人员进行上线培训， 信息系统上线后，发生的任何系统源代码等方面的变更， 应当参照有 关系统开发的审批和上线程序执行。系统上线涉及新旧系统切换的， 应当在计划中明确应急预案。 系统最终上线，信息管理部应设置用户 部门的使用权限，用户部门在信息管理部的授权下使用信息系统。 （七）后期维护阶段：系统维护人员进行日常运行维护和系统的 更新维护； 数据库管理员进行数据库和代码维护。 健全程序变更制度， 实施系统变更管理， 包括变更申请审批、 变更测试和变更版本管理等。 确保信息系统应用管理规范，运维及时。规范程序变更管理，统一建 设的应用系统， 系统变更必须填写系统变更审批表上报技术开发部和 总部相关部门，统一组织升级、测试和变更，变更的应用程序移植到 生产系统前，技术部门必须组织人员进行系统测试和最终用户测试， 测试不能在生产环境中进行。技术部门必须对操作系统、数据库、应 用系统版本变更进行管理，记录每次变更的版本号，存档变更文档和 变更升级程序。 第四章第四章信息系统访问安全信息系统访问安全 第十二条第十二条制定信息系统工作程序、 信息管理制度以及各模块子 系统的具体操作规范。 第十三条第十三条计算机信息系统操作人员不得擅自进行系统软件的 删除、拷贝、修改等操作，不得擅自升级、改变系统软件版本或更换 系统软件，不得擅自改变软件系统环境配置。 第十四条第十四条对信息系统操作人员的上机、 密码和使用权限进行严 格规范，建立相应的操作管理制度。 未经上机培训的人员不得作为操 作人员。 第十五条第十五条建立账号审批制度， 加强对重要业务系统的访问权限 管理。 第十六条第十六条对于发生岗位变化或离岗的用户， 及时调整其在系统 中的访问权限。 第十七条第十七条定期对系统中的账号进行审阅， 避免有授权不当或冗 余账号存在。 第十八条第十八条对于特权用户， 对其在系统中的操作进行监控， 并定 期审阅监控日志。 第十九条第十九条充分利用操作系统、 数据库、应用系统自身提供的安 全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授 权人员擅自调整、删除或修改系统中设置的各项参数。 第二十条第二十条涉及上网操作的， 要加强防火墙、 路由器等网络安全 方面的管理