第1章  总则

第1条  目的

为了加强计算机信息系统的管理工作，保障系统有序运行，规范管理部门的业务内容，特制定本细则。

第2条信息系统的界定

本细则所称信息系统指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等。

第3条  适用部门

本细则适用于本公司内应用信息化管理系统的所有部门和个人。

第2章  相关人员职责

第4条  信息总监是公司信息化管理系统建设的领导者，其主要职责包括：

1．制定公司信息管理战略规划，报总经理和董事会审批；

2．审核信息系统立项申请；

3．组织进行信息系统的开发；

4．组织人员对信息系统的开发结果进行测试，负责系统的远景规划和决策；

5．推广并不断完善公司信息化系统，加快公司信息化管理步伐；

6．引进或组织开发公司信息化管理系统，实现办公自动化；

7．推动信息系统的建设与维护，保证公司内无纸化办公。

第5条  信息部经理是公司信息化管理系统建设的主要执行者，其主要职责包括：

1．根据公司发展战略及经营计划编制部门发展规划及工作计划，上报领导审批后组织实施；

2．主持信息管理软件平台的开发、应用、监督和管理；

3．负责制定公司网络、计算机管理的各项规章制度，上报领导审批后贯彻实施；

4．监督、检查制度的执行情况，适时修订、完善各项制度；

5．组织进行信息系统项目的立项申请工作；

6．进行信息系统的分析和开发；

7．组织人员进行信息系统开发编程工作；

8．协调有关职能部门，安排人员进行相关应用软件的安装调试及有关技术支持，对安装调试中出现的各种问题提出处理意见，并协助其妥善解决；

9．及时编制系统帮助手册，经领导审批后及时下发到相关部门；

10．在使用信息化系统的过程中，安排人员为各职能部门和子公司提供技术指导，促进系统操作技术的有效运用；

11．全面掌握各种交换机设备和服务器的安装、配制技术，管理交换机设备和服务器密码，处理各种网络设备的突发故障；

12．进行程序管理和数据库管理以及数据控制。

第6条  信息部主管是公司信息化管理系统建设的执行者，其主要职责包括：

1．参与编制部门发展规划及工作计划；

2．参与信息系统立项申请工作；

3．组织维护公司服务器的正常运行；

4．负责公司硬件设施、网络设备的维修管理；

5．组织对设备电路及系统进行日常维护、定期检修测试和故障处理，保证设备、电路、系统及网络运行正常完好；

6．参与信息系统立项申请；

7．参与进行信息系统的分析和开发；

8．进行信息系统的开发编程和测试工作；

9．进行相关应用软件的安装调试及有关技术支持；

10．进行程序管理和数据库管理以及数据控制。

第7条  信息部专员是公司信息化管理系统的执行者和维护者，其主要职责包括：

1．为信息系统立项申请搜集资料，进行调研；

2．参与进行信息系统的分析和开发；

3．参与信息系统的开发编程和测试工作；

4．参与进行相关应用软件的安装调试及有关的技术支持；

5．对设备电路及系统进行日常维护、定期检修测试和故障处理。

第8条  信息系统使用部门的主要职责包括：

1．参与制定信息系统战略规划；

2．参与制定重要信息系统政策；

3．负责记录交易内容，授权处理数据，并利用系统输出的结果；

4．接受公司信息部关于信息系统操作的培训；

5．信息系统出现故障，向公司信息部提出维修申请；

6．部门经理负责信息系统操作申请的审批；

7．部门主管或经理负责对内部人员操作情况进行监控。

第3章  信息系统开发管理

第9条  信息系统开发所遵循的原则

1．因地制宜原则

应根据行业特点、公司规模、管理理念、组织结构、核算方法、经营规模等因素设计适合本公司的计算机信息系统。

2．成本效益原则

计算机信息系统的建设应当能起到降低成本、纠正偏差的作用，根据成本效益原则可以选择对重要领域中的关键因素进行信息系统改造。

3．理念与技术并重原则

信息系统建设应当将信息系统技术与信息系统管理理念整合，倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率。

第10条  信息系统开发包括系统规划、系统分析、系统设计、系统实施、系统维护与评价5个阶段

第11条  系统规划管理

1．系统规划管理阶段参与人员及分工

（1）信息总监做信息系统开发项目的总体规划。

（2）信息系统开发项目经理根据总体规划制订开发计划。

（3）系统分析员负责搜集开发资料。

2．系统规划阶段存在的风险及应对策略

（1）市场竞争风险，竞争优势有可能被仿效。应对策略：增加自身特色，提高系统的技术含量和竞争优势。

（2）政治、经济环境和法律、法规风险。应对策略：作详尽的可行性分析，用先进工具进行风险控制。

（3）缺乏高层领导支持。应对策略：培训、沟通、聘请权威专家开办讲座等。

第12条  系统分析管理

1．系统分析管理阶段参与人员及分工

（1）系统分析员进行资料分析。

（2）终端用户对系统提出使用要求。

2．系统分析阶段存在的风险及应对策略

（1）不合理的组织结构可能影响项目小组进行系统分析的效果。应对策略：业务流程重组，对内部进行调整。

（2）用户需求的多样性以及用户的数量和重视程度可能加大系统分析的工作量。应对策略：建立多样性的沟通渠道，加强沟通。

第13条  系统设计管理

1．系统设计管理阶段参与人员及分工

（1）系统设计员进行新系统总体结构框架设计、代码设计、数据库设计、输入/输出设计、处理流程及模块功能的设计。

（2）数据库管理员根据数据的用途、使用要求、统计渠道、安全保密性等决定数据的整体组织形式、表或文件的形式，以及数据的结构、类别、载体、组织方式、保密等级等一系列的问题。

2．系统设计阶段存在的风险及应对策略

（1）开发团队经验不足可能造成信息系统开发时间过长。应对策略：全面考察开发团队，选择有经验的开发人员，并设立有效的监督机制。

（2）系统开发技术过于复杂、技术不成熟或用户需求的多样性以及用户的数量和重视程度可能加大系统分析的工作量。应对策略：加强技术交流，集中精力解决技术难题，尽可能地设计备选方案。

第14条  系统实施管理

1．系统实施管理阶段参与人员及分工

（1）程序设计员进行程序设计和系统的调试、试运行。

（2）数据库管理员进行数据收集，数据格式的标准化和规范化。

（3）终端用户对系统试运行效果提出意见和建议。

2．系统实施阶段存在的风险及应对策略

（1）时间和费用超出预算可能造成信息系统开发的成本过高。应对策略：编制详尽、科学的预算，加强内部成本管理和控制。

（2）用户经验不足可能导致系统功能不完整。应对策略：加强教育培训。

第15条  系统维护与评价管理

1．系统维护与评价管理阶段参与人员及分工。

（1）系统维护人员进行日常运行维护和系统的更新维护。

（2）数据库管理员进行数据库和代码维护。

2．系统维护与评价阶段存在的风险及应对策略。

（1）数据是否准确、安全性和保密度是否达标，这直接影响信息系统开发的效果。应对策略：进行合理的系统设计，采用防火墙和加密技术。

（2）系统目标不明确、缺乏软件质量监控可能导致系统功能不健全。应对策略：制定明确目标，加强质量管理。

第4章  信息系统应急管理

第16条  为应付信息系统突发事件而准备的应急物资主要包括以下内容。

1．物质资源准备主要有电源动力，网络通信、生产服务器、数据和软件。

2．在人力资源准备方面，重要的技术岗位要建立双人或多人的备份制度。

3．应急操作手册的编写和维护。

4．建立重要信息系统例行检查制度，对机房环境、动力电源、防雷系统、网络设备等重要系统应每季度全面彻底地检查一次，保证系统完好可用。

第17条  应急措施的实施

1．发生应急事件时，各部门、各岗位要相互支持，相互配合，听从指挥。

2．应急启动工作流程

（1）操作人员应加强监控，一旦发现异常信息，按《应急操作手册》进行初步判断，并立即报告信息部经理或主管。

（2）信息部经理或主管对情况进行判断，判定属于应急事件时，应立即启动应急操作流程。

（3）由操作人员按规定的步骤进行操作，并随时向信息部主管报告执行结果。

（4）操作人员处理后未能解决，信息部技术人员应在第一时间赶赴现场进行应急处理，并报告信息部经理。

（5）对于短时间内能够解决的问题，应进入应急恢复和总结环节。

（6）对于短时间内不能解决的问题，信息科技部经理要立即报告信息总监。

（7）信息总监根据经验判断是否立即启动应急程序。

（8）若信息总监判断属于重大信息系统问题，应及时将应急方案提交总经理审批。

（9）信息总监组织成立应急领导小组，赶赴现场进行指挥。

3．应急处理工作流程

（1）应急领导小组做好应急事件的通知和预告，组织和协调各项应急处理工作。

（2）参与应急处理的各部门应服从统一领导指挥，全力配合，做好各项应急处理工作。

（3）正常工作时间内发生应急事件时要求应急实施人员5分钟内到达现场，严格按照《应急操作手册》进行应急处理。

（4）节假日、双休日期间发生应急事件时，要求应急实施人员60分钟内到达现场。

（5）公司信息部应急专员应严格按照《应急操作手册》所规定的步骤快捷地实施应急处理，同时记录实施的全过程，认真采集和整理现场第一手资料，做好故障信息日志的保护和应急过程处理步骤的记录。

（6）对于应急故障处理期间发生的新问题、新信息，应急实施成员应及时报告现场总指挥。

（7）对于出现超出《应急操作手册》界定的应急事件响应条件的，应急领导小组应组织技术人员研究分析，快速提出解决措施方案。

第18条  应急恢复和总结

1．应急处理结束后，应急实施成员必须尽快恢复系统运行环境，并进行严格的检查和验证。

2．公司信息部相关人员应认真总结应急事件发生的原因、处理过程和经验教训，提出整改措施和方案，形成《应急处理总结报告》并上报信息总监和总经理。

3．根据应急处理的实际情况对《应急操作手册》进行补充完善。

第5章  信息系统维护管理

第19条  公司采用预防性措施确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。

第20条  信息系统的日常检测由公司信息部维护主管负责，上级主管领导为信息部经理和信息总监。

第21条  信息系统发生故障时，应由公司信息部维修主管制定维修方案，交由信息部经理和信息总监审核和审批后组织人员进行维修。

第22条  信息系统发生紧急情况，应由信息部维修主管制定紧急预案，交由信息部经理和信息总监审核和审批后组织人员实施。

第6章  信息系统安全管理

第23条  信息系统安全包括：软件安全和硬件网络安全。

第24条  公司信息部安全主管应采取有效的方法和技术防止信息系统数据的丢失、损坏以及硬件的破坏、失效等灾难性故障。

第25条  安全主管应对工作站主机共享文件设置不同的权限，经过信息部经理审批后存盘，以后变更必须经信息部经理审批，系统管理员应做好变更日志存盘。

第26条  信息部经理应安排人员对网络系统实行监控、查询，及时做好对故障的有效隔离、排除和恢复工作，以防灾难性网络风暴发生。

第27条  网络系统所有设备的配置、安装、调试必须由信息系统管理员完成，其他人员不得随意拆卸和移动。

第28条  所有上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止从事与系统操作无关的工作。

第29条  严禁各工作站主机自行安装软件，特别是游戏软件，禁止在工作用主机上打游戏或进行其他与工作无关的操作。

第30条  所有可能在公司计算机上使用的软盘、光盘、U盘等存贮介质必须经过系统管理员同意并查毒，未经查毒的存贮介质禁止使用，对造成病毒蔓延的有关责任人员，公司将依照相关制度进行经济处罚。

第31条  在公司信息部未解决网络安全（未安装防火墙、高端杀毒软件、入侵检测系统）的情况下，内外网独立运行，所有终端内外网不能混接，严禁用户通过U盘等存贮介质拷贝文件。

第32条  内网服务器和各工作站主机的数据文件，未经公司总经理核准，任何人不得利用软盘、光盘和U盘等存贮介质进行拷贝，不得利用电子邮件等方式对外发送。

第33条  系统管理员有权监督和制止一切违反安全管理规定的行为。

第7章  附则

第34条  本细则由公司信息部会同其他有关部门解释。

第35条  本细则自    年    月    日起实施。