信息技术监督实施细则.docxVIP

信息技术监督实施细则1. 范围 1.1 本实施细则仅适用于****。1.2 本实施细则明确了信息技术监督工作中的职责分工、工作内容，规定了工作程序、检查与考核标准及各责任单位应建立、健全的各种技术资料、规章制度。2. 监督范围信息技术监督工作的目的和出发点是保证信息系统的安全稳定运行，是信息技术专业管理的重要方面，将充分考虑信息行业的特点和各个单位的具体情况，将从信息化工程建设与应用、信息化保障与管理体系、信息化作用与绩效三个方面系统、全面地反映信息化过程和信息化成果。信息技术监督范围包括企业所辖局域网以及与其它单位互连的广域网系统、信息机房环境、主机硬件系统、各类应用系统（包括企业级信息系统）、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等。信息技术监督将贯穿信息系统的规划、设计、实施、运行维护、废弃等全生命周期。3. 监督内容3.1 组织和人员保证3.1.1 应成立信息化领导小组，确定信息化管理部门。3.1.2 应设立系统管理员、网络管理员、安全（专责）管理员等岗位，并定义各个工作岗位的职责，并制定相应文件明确信息化管理机构各个部门和岗位的职责、分工和技能要求。3.1.3 应成立信息安全领导小组，必须配备至少一名信息安全员，并且信息安全专责不得兼职其他（非信息化）工作。3.1.4 为保障信息技术系统的开发与运行管理的质量,信息专职技术人员编制应不少于企业总人数的1-3%。3.1.5 禁止使用有劣迹、违法犯罪记录人员从事信息技术工作。3.1.6 信息技术人员应当定期进行业务培训和技术培训,不合格或未参加培训者严禁上岗，按要求参加技术监督中心举办的技术监督专责资格培训和其它技术培训，不断提高人员水平。3.1.7 办公计算机使用人员离岗离职，有关部门要及时报运行维护部门对其办公计算机进行涉及企业秘密信息的清理，并取消其办公计算机及应用系统的访问权限。3.1.8 应该在各部门设立兼职或专职信息员，处理各部门的计算机和网络的基本缺陷、对信息员应该定期培训并建立考核、奖励制度。3.1.9 提高用户计算机维护的技术手段和响应时间，公开服务值班电话，可通过建立实现在线咨询，降低运行成本，提高工作效率，提升网络用户的满意度。3.2 信息网络监督3.2.1 企业网络系统建设运行由信息主管部门统一归口管理。3.2.2 对企业信息内、外网规划、设计、施工建设过程进行监督。3.2.3 对重要网络硬件设备及软件的设备选型、安装调试、运行维护及更新进行监督。3.2.4 定期检查服务器、防火墙、入侵检测等重要设备的日志记录文件，并做好相应处理。建立完整的计算机运行日志、操作记录及其它与安全有关的资料。3.2.5 计算机网络综合布线系统应达到GB 50312-2007《建筑与建筑群综合布线系统工程验收规范》和DB65／041—2001《建筑与建筑群计算机信息网络布线标准》要求，对综合布线系统应每5年进行一次性能测试,测试必须由具有国家公正检验资质的单位进行。3.2.6 信息主管部门对IP地址进行统一规划、分配、回收。3.2.7 网络设备IP地址的分配应采用静态方式进行分配，入网设备的IP地址与Mac地址必须进行登记并绑定。3.2.8 用户申请入网必须经过严格的审查，并须经有关部门批准。应实行用户备案制度。用户调离本单位后，应立即注销其账号。对拨号访问服务器本身必须采取足够的安全防护措施，禁止远程配置，取消不必要的网络协议、服务与接口。3.3 应用系统运行维护监督3.3.1 对服务器及应用系统软件的设计规划、采购、开发、安装调试及更新进行全过程技术监督。3.3.2 信息网络运行管理部门对应用系统接入应制定严格的接入管理规范，对应用系统服务器接入网络设备的端口、服务器节点命名、IP地址分配、VLAN划分等有关运行配置参数进行严格管理。3.3.3 对接入信息网络运行的应用系统，在系统投入运行前，应对系统运行的稳定性、安全性进行严格测试。包括检查应用系统自身是否存在安全漏洞和隐患，系统是否安装必威体育精装版的补丁软件，是否已关闭所有不必要的服务端口，是否已关闭所有不必要的服务进程，是否已删除所有不必要的用户，各级用户口令是否足够强壮等。有条件的情况下，应使用相关工具软件进行安全检查，确认没有系统漏洞后方可正式上线运行。3.3.4 投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改。应用系统的管理和维护人员应严格按照各自的权限和业务流程使用系统。未经网络管理部门同意，各单位应用系统服务器及工作站不得随意调整其网络连接。3.3.5 应用系统的建设应统一管理，服务器上应摆放在统一集中的中心机房内。所有服务器应关闭与业务无关的服务及端口。应用数据库应进行优化设置，关闭不需要的进程，杜绝数据库漏洞。3.3.6 应用系统数据应及时更新，与实际情况相符，达到实用化要求。