信息系统管理制度.docxVIP

信息系统管理制度

信息系统管理制度

第一章总则

为了明确岗位职责，规范操作流程，保障本中心信息系统安全、有效运行，根据有关法律、法规和政府有关规定，结合信息统计中心实际情况，特制定本制度。

本制度的目的是使信息化建设工作规范化进行，做到统一规划、统一标准、统一建设、统一管理。本制度适用于本中心信息化建设。

利用信息系统实施内部控制至少应当关注下列风险：

一）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致中心管理效率低下。

二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

本中心信息化管理总体规划由信息统计中心负责，包括建立统一的信息化建设标准、规范，负责中心各科（所）信息化项目总体协调及中心办公自动化网络和系统软硬件的维护工作。各科（所）负责指定专人担任本专业信息化网络工作，并负责本科（所）日常信息管理工作。

工作要求：

一）各科(所)在开展涉及信息化建设及申报信息化建设项目之前，需报主管领导审批后，将业务需求、建设规划等报信息统计中心，信息统计中心应按照中心信息化建设规划及相关要求进行审核。

二）经信息统计中心审核同意后的信息化建设项目，由信息中心提出信息化技术要求及软硬件需求，同意规划整合后报市卫生局信息中心。

三）各科（所）申报的信息化项目批准后，信息统计中心技术人员全程参与项目的招标、实施、验收。

第二章信息系统的开发

信息统计中心根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的流程报批通过后配合相关公司实施。信息统计中心负责监督开发流程，明确系统设计、安装调试、验收、上线等全过程的管理要求。

信息统计中心需要深入了解各个业务科（所）的业务流程、关键控制点、处理规则、用户范围以及手工环境下难以实现的控制功能等较为核心的信息系统需求点。在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

建议修改如下：

为确保操作的可审计性，信息系统应设置操作日志功能，对于违反内部控制要求或异常的操作，应设计系统自动报告并设置跟踪处理机制。

信息统计中心需要组织开发单位或开发人员与各科（所）进行日常沟通和协调，督促按照建设方案、计划进度和质量要求完成编程工作。

针对硬件设备和系统软件的具体情况，统计中心应组织安排相应的硬件厂家或软件开发商的技术人员入场安装调试。对于关键的软硬件设备，应指定专人负责跟踪、记录整个安装调试过程。在完成软硬件设备的安装调试后，应注意做好有关文档的验收及归档保存工作。

在信息系统上线前，需要对信息系统进行等保定级，未定级的信息系统不能正式上线。信息统计中心应当切实做好上线的各项准备工作，包括查验设备厂商或软件开发商或开发人员提交的有关运行维护资料，并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训。此外，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。对于涉及数据迁移的系统，还应制定详细的数据迁移计划。

未经安全检测的信息系统不能为其配置外网地址，信息安全的投入原则上不低于信息系统项目总投资的10%。对于信息技术软件，应注意母盘或源代码的保存登记工作，并由专人管理。日常工作中应尽量使用母盘的复制品，避免对母盘或源代码造成破坏。

在信息系统投运前，信息统计中心需要掌握有关设备所提供的各种系统监控、维护工具，并检查其安全性和完整性。同时，应与软件开发商和设备的供应商共同制定系统投运实施方案以及应急处理方案，并尽可能在测试环境中测试通过后，再在实际运行环境中实施。

信息系统的日常管理和维护由信息统计中心负责。信息统计中心应根据实际情况制定各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。对于服务器等关键信息设备，应指定专人负责检查维护，及时处理异常情况。未经授权，任何人不得接触关键信息设备。机房设备发生故障时，应及时联系设备供应厂商解决。

第十五条规定了信息系统需求变更的管理流程，要求操作人员不得私自进行系统软件的删除、修改、升级、改变版本或环境配置等操作。对于重大信息系统配置的更改，应先形成方案文件，经过讨论确认可行并报领导批准后执行，方案中应包括相应的备份、调试运行期限、更改和操作记录、应急措施等内容。

第十六条要求根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级