《某集团数字化工作管理制度.docx》由会员分享,可在线阅读,更多相关《某集团数字化工作管理制度.docx(15页珍藏版)》请在课桌文档上搜索。
1、敢学化工行管理制度第一章总则第一条为加强*股份有限公司(以下简称“公司”)数字化工作的规范管理,提高数字化工作管理水平,根据中华人民共和国网络安全法广东省广晟控股集团有限公司数字化工作管理办法等相关法律、法规及上级文件精神,结合公司实际制定本办法。第二条本制度适用于公司本部、各事业部及其所属分子公司(以下简称:各单位)的数字化管理工作。第三条本制度中数字化工作指以信息技术广泛应用为主导,信息资源为核心,信息网络为基础,信息人才为依托,相关法规、政策、标准、管理为保障的综合体系。主要工作包括但不限于公司数字化规划、组织体系建设、软件系统建设、信息及网络安全体系建设以及借助IT技术实现生产数字化及
2、智能化的相关项目建设。第四条公司数字化工作遵循统筹规划、统一建设、资源共享、安全可靠、务求实效的原则。第二章组织机构与职责第五条公司数字化转型领导小组是数字化工作的领导机构,负责数字化工作的统一部署。主要职责包括:(一)审定公司数字化转型发展战略。(二)决策公司数字化转型工作的重大事项和重大问题。(三)审议公司数字化重要管理制度。第六条办公室(信息中心)是公司数字化工作的日常管理机构,负责公司数字化工作的日常管理。主要职责包括:(一)组织制定公司数字化规划方案。(二)组织制定公司数字化管理制度。(三)负责主导公司公共服务系统建设以及应用推广。(四)统筹协调、监督检查公司数字化工作开展情况,并督
3、促落实。(五)公司网络安全、数字化工作以及软件正版化工作要求。(六)负责对各部门、各单位数字化应用效果进行考核。第七条总部各职能部门职责(一)负责落实上级单位以及公司的数字化建设部署。(二)负责主导本部门的数字化建设以及应用推广。(三)负责对本部门建设的数字化应用效果进行评估。第八条各单位属于本单位网络安全及数字化建设的责任主体单位,主要职责如下:(一)落实上级单位的数字化建设部署。(二)负责统筹本单位的信息及网络安全工作、工控安全工作、软件正版化工作、制定内部管理制度和操作规程。(三)明确相关网络及信息安全管理责任人,落实相关安全责任制,部署相关安全防护措施,确保网络安全及数字化建设责任落到
4、实处。(四)根据公司制度要求,做好各项资产、网络安全等相关内容的台账管理。第九条公司委托下属企业深圳市华藤环境信息科技有限公司(以下简称为“华藤公司”)作为信息技术服务单位,为公司网络安全、数字化建设、运维以及软件正版化等相关工作提供技术服务。主要职责如下:(一)配合办公室(信息中心)推进公司数字化战略规划的落地。(二)其中包括与公司管理以及业务运营相关的信息系统建设、生产智能化相关的弱电工程、综合布线、视频监控等系统集成项目建设以及公司网站、视频会议等综合类信息系统的建设及管理工作。(三)负责公司数据中心的建设及日常管理维护工作。(四)负责公司基础网络设施的建设和维护。(五)推进及执行软件正
5、版化相关工作计划。(六)协助各部门、各单位开展信息化建设工作,提供技术支持。第三章数字化规划管理第十条公司数字化规划应坚持“战略导向、业务牵引、创新驱动、安全可控”的原则,加强顶层设计,做好整体规划。第十一条公司数字化规划设计方案由办公室(信息中心)牵头,总部相关部门、事业部及其分子公司关键部门组建规划项目组,高效推进公司数字化规划建设工作。第十二条公司数字化规划方案经公司总裁办公会审议后实施。第四章数字化项目建设管理第十三条各单位需遵守公司数字化统一建设的原则,未经公司数字化转型领导小组评估及授权,不得私建数字化项目。第十四条数字化项目应严格按照公司全面预算、采购管理办法等有关规定执行。第十
6、五条数字化项目应按照公司数字化规划方案建设,每年制订年度数字化工作方案,落实每年的建设项目及目标。第十六条数字化项目的验收、鉴定、评价等工作应由办公室(信息中心)和相关业务部门共同开展,重大项目可聘请有资质、有经验的独立第三方机构参与,遵循公正、客观、科学原则,确保分析合理、鉴定严谨、评价公正。未经验收或验收不合格的项目,不得交付使用。第十七条数字化项目验收后,相关文件资料应按照公司档案管理有关规定及时归档。第十八条系统上线后,在应用过程中提出的系统优化需求需在OA中提交IT服务申请流程,经系统归口部门审定后优化完善。第十九条已上线系统需建立信息系统资产及运维登记表,登记系统启用时间、功能描述
7、以及部署信息等相关内容。第五章信息系统安全管理第二十条信息系统规划、设计、建设和维护应当同步落实相应的安全措施,使用符合国家有关规定、满足计算机信息系统安全保护需求的信息技术产品。第二十一条信息系统的安全保护等级的划分以国家信息安全等级保护管理办法定义为准。第二十二条第二级以上计算机信息系统建设完成后,应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。第二十三条第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。第二十四条涉密计算
8、机信息系统应当依据国家信息安全等级保护的要求,按照国家有关涉密计算机信息系统分级保护的管理规定和技术标准,结合计算机信息系统实际情况进行保护。第六章网站安全管理第二十五条公司网站由办公室(信息中心)统一规划建设,各单位原则上不允许私建网站。如公司对外宣传或经营所需,需要建设独立运行的网站,则需要报办公室(信息中心)评估及授权。第二十六条网站开办单位应建立网站值班制度,制定应急处置流程,组织专人对网站进行监测,发现网站运行异常及时处置。第二十七条网站内容安全由网站开办单位负责。网站开办单位应建立完善的网站信息发布与审核制度,明确审核与发布程序。第二十八条对于使用频度不大、阶段性使用的网站,开办单
9、位可采取非工作时间或节假日关闭的方式运行。对于无人管理、无力维护、长期不更新的网站,开办单位应关闭网站以降低安全风险。第七章网络安全管理第二十九条办公室(信息中心)负责统筹、监督和保障公司网络安全管理工作,各单位负责本单位网络安全管理工作。各单位每年应提交盖章版的网络安全责任人登记表给到办公室(信息中心)进行备案。第三十条公司网络由办公室(信息中心)统一规划,各单位应按办公室(信息中心)网络规划方案开展网络建设,网络IP分段需符合公司IP分段要求。第三十一条网络设备、服务器等相关设备连网接入需经本单位领导批准并报办公室(信息中心)备案,不得擅自将不明设备接入公司网络。第三十二条核心应用服务(包
10、括但不限于财务类、人力资源类、生产运营类等应用服务)的发布与数据传输需接入公司专线网络,不得接入互联网或其它非受信的公共信息网。对于核心应用服务的访问应通过企业专线网络进行访问。第三十三条各单位应加强网络安全防护机制,内、外部网络连接边界设置防火墙。应用服务接入网络应建立网络入侵防范机制和网络运营监控管理,网络监控日志留存时间不得少于6个月。第三十四条公司各类与网络连接的计算机设备(包括服务器、台式电脑、笔记本电脑等)应安装安全防护软件,及时更新软件程序,定期查杀病毒。第三十五条访客终端禁止接入公司办公网络,不符合公司管理制度要求的终端不能接入公司办公网络。第三十六条各单位及用户不得利用公司网
11、络从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。第三十七条各单位应定期组织网络安全知识培训以及网络安全宣传活动,普及网络安全法规,增强网安全意识,提升职工网络安全防范意识。第三十八条各单位应建立网络安全工作台账,包括但不限于信息化基本情况统计表、网络安全责任人登记表、IT资产登记表。对于已暂停服务的信息系统或服务器资源及时申报注销。第八章机房安全管理第三十九条各单位应建立具有防震、防风、防雨、防雷击、抗电磁场干扰等能力,配置火灾自动消防系统、备用电力供应等的机房。第四十条机房应符合GB50174-2017数据中心设计规范、GB2887-2000计算机场地技术条件
12、、GB9361-2011计算机场地安全要求、GB50311-2007综合布线系统工程设计规范等国家标准。第四十一条各单位机房需落实安全责任部门与安全责任人,机房运维由专人负责,其他人未经授权不得随意触碰机房设备。第四十二条各单位应加强机房设备、基础设施(包括UPS、电源、空调、监控、消防等)的管理,保障机房设备、基础设施的正常运行。第四十三条应用服务器、工控系统服务器、核心网络设备等重要基础设备应放置在机房内,并设置明显不易除去的标签。第四十四条严禁非机房工作人员进入机房,特殊情况需经主管部门领导批准,在管理人员的陪同下进入。进出机房应做好登记管理工作,进入机房人员不得携带任何易燃、易爆、强电
13、磁等对设备正常运行构成威胁的物品。第九章生产运营信息系统安全管理第四十五条公司生产运营信息系统包括但不限于工业控制系统(包括分布式控制系统(DCS系统)、过程控制系统(PCS系统)、可编程逻辑控制器(PLC系统)、视频监控系统、车辆监控及GPS行车轨迹、红外热成像系统以及数据采集与在线监测系统等用于监测或控制生产运营各环节正常运转的关键设施与设备。第四十六条生产运营设备采购时优先考虑具备工控安全防护经验的供应商,需与供应商签署信息安全保密协议,明确信息安全的责任与义务。技术服务过程中,在安全得不到保证的情况下,禁止采用远程在线服务。第四十七条生产运营信息系统在安装建设过程中,室外控制设备应放置
14、于远离强电磁干扰、强热源等环境的具有散热、防盗、防雨、防火等能力的机柜或其它防火材料制作的箱体中并紧固。室内控制设备应放置在机房内。视频监控、在线监测等系统需配置备用电源,确保24小时不间断供电。第四十八条涉及实时控制和数据传输的生产运营信息系统,在技术层面实现与其它数据网及外部公共信息网的安全隔离。原则上不允许接入非信任网络、私自接入外部存储介质,如需则经本单位领导授权,做好台账登记。第四十九条各单位需做好生产运营信息系统授权管理,未经授权不允许随意操作、控制系统。第五十条在生产运营信息系统内使用广域网进行控制指令或相关数据交换的,应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
15、第五十一条各单位应建立生产运营信息系统防病毒和恶意软件入侵管理机制,定期对生产运营信息系统及临时接入的设备采取病毒查杀等安全预防措施。第五十二条对生产运营信息系统进行系统升级与补丁安装时,需提交生产运营信息系统变更申请单经本单位领导审批同意或外部专业技术机构进行安全评估和验证后方能执行升级、安装工作。第五十三条各单位应对重要生产运营数据进行分级分类保护及备份,视频监控影像本地全天存储不少于30天,生产运营系统运行数据及日志,需接入总部数据中心。第五十四条各单位建立生产运营信息系统资产台账,明确资产责任人,制定资产使用及处置原则,做好应急处置及日常检修,保证设备正常运行。第十章数据管理第五十五条
16、根据公司情况将数据分为一般数据和重要数据两种。一般数据主要指:在工作过程中产生的办公文档、电子邮件等。重要数据主要包括:研发资料、重要项目资料、业务系统数据、生产系统数据、工业控制系统数据、安全网关和服务器等运行数据。第五十六条公司重要数据库由办公室(信息中心)负责统一存储和备份。各部门、各单位需做好本地数据的存储与备份工作。第五十七条各部门、各单位应加强业务数据的分析、应用,不断提升数据管理效能,充分发挥数据的作用,推动科学决策、精准管理和个性服务。第五十八条公司核心业务数据与外部系统交互时,需确保在可信网络下通过APl接口实现数据交互,不得开放数据库给到第三方访问。对外提供数据时,需对客户
17、以及用户的隐私信息进行脱敏,不得侵犯客户及用户的隐私。第五十九条数据运维部门不得随意接受、处理信息系统中的数据资产,跨单位使用数据或对外提供数据时,需由需求单位在OA中提交数据使用申请,经审核通过后方能执行。第六十条数据运维部门每年定期检查各类备份资料的情况,备份介质应保存在同城异地并由专人负责管理,及时更新或销毁过期的资料,并作好台账记录。第六十一条数据存储介质维修或报废处理时,需由业务部门、办公室(信息中心)相关人员在场监督执行,执行完成后监督人员需对相关存储设备进行信息安全核定。第六十二条各部门、各单位应注意保护公司涉及战略、财务、经营、投资、研发、生产等重要数据。发现数据处理活动存在较
18、大安全风险的,应及时对有关人员进行约谈,并要求有关人员采取措施进行整改,消除隐患。若导致公司重要数据泄露或产生严重不良后果,则交由有关部门依纪依规追究其责任,涉嫌违法犯罪的,按照国家有关法律规定处理。第十一章用户账户及权限管理第六十三条用户入职后,公司会默认开通最小权限的账号,用于常规协同办公,对于业务系统权限的授权,则需要通过提交IT服务申请流程,经审批后方可开通。第六十四条对于供应商、服务机构、审计机构等第三方人员申请开通公司业务系统权限则需提交IT服务申请流程,经审批后开通。对于服务端管理员权限的申请则需提交管理员权限申请流程,经审批后开通。对于第三方人员的账户应进行受限时间管理,时间到
19、期后及时回收账号权限。第六十五条各应用系统的密码安全策略要设置为中、高级安全策略,密码长度不少于8位,复杂度支持多元素的排列组合,根据安全性要求可设置周期性密码变更策略。用户作为账号安全第一责任人,应做好账号密码的保密工作,并定期更换密码。第六十六条各单位人力资源管理部门及时做好异动(含离职)人员信息维护,并在OA系统中提交IT服务申请流程,申请异动人员的账号、权限的变更,以免异动(含离职)人员账号非法使用。第六十七条对离岗、离职员工,应在离职之日内取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品,如有保留账号及权限需求的,则在离职交接中说明保留的时限,原则上只保留有限时限
20、的数据查询权限服务于工作交接。第六十八条对公司信息及网络安全造成威胁的员工,信息及网络安全管理部门可采取安全应急防护措施,包括但不限于锁定相关涉密信息系统的账号及权限、邮件外发等应急方案。对于采取安全防护应急措施的情形如下:(一)信息及网络安全管理部门经技术手段侦查到的员工高敏异常行为报信息及网络安全领导小组研判属于威胁公司信息及网络安全的情况。(二)各部门或各单位在员工管理方面对潜在的可能威胁公司信息及网络安全的员工或预离职员工报人事部门或单位负责人研判需采取安全防护应急措施的情况。第十二章外包服务安全管理第六十九条信息技术外包服务是指信息系统的开发和运维的外包,桌面服务的外包。第七十条外包
21、服务需求单位应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任。第七十一条信息技术现场服务过程中,外包服务需求单位应安排专人对接;授权远程线上服务的,做好权限范围与时间管理,并详细记录服务过程。第七十二条外包开发的系统、软件上线应用前,委托单位应组织安全测评并出具报告,对测评中发现的问题,开发方应及时整改。第十三章软件正版化管理第七十三条各级单位需落实软件正版化管理的主体责任,科学合理制定软件采购年度计划,做好软件资产日常和维护,建立软件资产管理台账。第七十四条在职员工以及新入职员工都必须签订使用正版软件承诺书。第七十五条各级单位应自觉维护软件的知识产权,严禁擅
22、自下载使用未经授权的软件。第七十六条计算机设备可采购预装正版操作系统,购置软件应在满足工作需要前提下,尽可能选择优秀的国产正版软件。第七十七条各单位应建立软件使用情况台账、软件正版化工作信息统计表每年报送办公室(信息中心)备案。第十四章应急管理第七十八条网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。第七十九条网络与信息安全事件发生后,办公室(信息中心)应立即组织专业技术团队开展应急处置工作。重要事件应及时向公司数字化转型领导小组报告,启动应急预案。第八十条网络与信息安全事件处理完毕后,办公室(信息中心)及相关部门应及时开展调查处理和总结评估。第八十一条各单位应制定网络安全事件应急预案,每年定期组织网络安全应急演练。第十五章附则第八十二条本制度由办公室(信息中心)负责制定、解释及修订。第八十三条本制度自发布之日起实施。
