信息系统建设管理办法范文第1篇
基础数据主要包括机构信息、幼儿信息和教职工信息,是通过采集信息系统采集并生成上报文件上报至中央文件服务器,并且经过相关处理之后进入学前管理信息系统的。在学前管理信息系统中,可以对基础数据进行报表查询。基础数据经过区县、地市、省各行政级别的财务、资助、师资、学前教育部门的逐级的审核和上报,最终数据上报至中央。 1基础数据信息查询
使用者:各行政级别的领导用户和学前教育部门用户
1.1报表查询
用户可以查看机构管理、幼儿管理和教职工管理模块下的常用统计报表和综合统计报表。
所有的报表显示页面基本上都包括左侧的行政区划树、右上方的查询条件和右下方的列表信息显示。
点击页面左侧的行政区划树节点,显示该节点对应的行政区的报表统计信息。 页面右上方的查询条件包括常用统计和查询范围,选择常用统计下拉框中的值或者选择查询范围页面的条件,都可以对报表显示信息进行过滤显示。
1.2信息查询
用户可以点击机构管理、幼儿管理和教职工管理模块下的信息查询进行简单查询和高级查询。
查询页面的查询条件输入框都可以模糊匹配进行查询。
2基础数据审核上报
使用者:各个行政级别的学前教育部门、财务部门、资助部门、师资部门用户。
2.1区县级审核上报
当基础数据从采集系统到管理信息系统之后,先由区县级的资助部门、财务部门、师资部门、学前教育部门对数据进行审核,在审核之前必须先点击下级学前机构名称进行查看,否则不能进行审核。
当有审核不通过的学前机构时,可以通过<导出审核未通过>按钮导出没有审核通过的学前机构名称。
等四个部门对有所的学前机构都审核完成并且都审核通过之后,最后由学前教育部门上报至地市级行政单位。
2.2地市级审核上报
地市级的资助部门、财务部门、师资部门、学前教育部门可以对下属区县上报上来的基础数据进行<查看>和<审核>操作。学前教育部门用户还可以驳回区县上报的数据,对于驳回的区县数据,区县需要重新审核并上报。
当所有的下属区县的数据都上报上来,而且都审核通过之后,最有由学前教育部门上报至省级行政单位。
2.3省级审核上报
省级的资助部门、财务部门、师资部门、学前教育部门可以对下属地市上报上来的基础数据进行<查看>和<审核>操作。学前教育部门用户还可以驳回地市上报的数据,对于驳回的地市数据,地市需要重新审核并上报
当所有的下属地市的数据都上报上来,而且都审核通过之后,最有由学前教育部门上报至中央。
3系统管理
3.1修改密码
使用者:所有用户。
用户登录系统之后可以用<系统管理>模块下的<修改密码>功能,来修改自己的登录密码。
密码输入域满足校验规则:长度最小8位,必须包含数字与字母。
项目数据部分
首先各级系统操作员给下级行政区划单位分配项目,然后系统操作员给本级的其他用户分配项目。项目分配从省级开始,然后市级,最后区县级。项目分配完成后,区县级用户开始填报项目,区县级完成项目填报后,市级用户审核上报项目,并填报指定的项目,市级完成项目填报、审核上报后,省级用户审核上报项目数据,并填报指定项目。最后中央级用户登录系统查看全国的项目信息。
1项目分配
操作对象:系统操作员
系统操作员登陆系统后,点击<项目管理>菜单-><填报项目设置>进行给下级行政区划分配项目。
点击<系统管理>-><用户管理>给指定的用户分配要操作的项目。
注意:1. 项目分配是在省级开始往下分配的,且其中有四个项目不需要分配,这四个项目每个区县必填,在分配时会显示已经分配。
2. 在填报项目前首先要给用户分配项目,否则用户登录后看不到要操作的项目。 2项目填报
操作对象:普通用户
用户登录后点击<项目管理>-><项目录入>菜单,选择一个已分配好的项目,进入录入页面,填写项目信息。每个项目的信息在没有上报前都可进行修改,删除操作,如果上报了,则只能查看,点击<查看>按钮,可以查看不同时间段上报的项目信息。
注意:1.项目填报是从区县级开始填报,逐级向上。但其中有一个项目可以不用按照这个顺序,这个项目是:幼儿教师培训项目信息表,该项目各级填报各级的互相不干扰。
2.在填报页面看到的信息,是表头显示的时间段的填报信息,只有点击<查看>按钮,才可以看到上个月,或上一年或上学期填写的项目信息。但是项目“扩大学前教育资源规划基本情况表”只填写一次,所以在区县级没有<查看>按钮。地市级和省级可以查看本级和下级的数据。
3.地市级与省级只填报三个项目:扩大学前教育资源规划基本情况表,学前教育发展概况,幼儿教师培训项目信息表,这三个项目就是在项目分配中提到的不需要分配的项目,其中前面两个项目必须要在下级全部填报完成后地市级和省级才可以填报,因为地市级填报时需要统计区县级的数据,省级填报时需要统计地市级的填报数据。
4.如果数据已上报了,但是有的数据有问题,但又不能更改,这时候就要通知上级管理该项目的用户,在审核上报模块将该地区的项目驳回。
3项目审核上报
操作对象:普通用户,且区县级用户没有该操作。
用户登录后点击<项目管理>-><项目审核上报>菜单,选择一个项目,进入该项目的审核上报页面,可以看到下级项目信息的上报情况。并且查看审核下级填报的数据。如果数据有问题,可以点击<驳回>按钮,让下级修改后,重新上报。
注意:1.“幼儿教师培训项目信息表”该项目不需要审核上报。中央级直接可以看到该项目的信息,但其他项目必须要上报后才可以查看信息。
2. <查看>按钮是对所有下级的项目信息的汇总统计。<项目详细信息查看>可以看到下级所有填报的项目详细信息。
信息系统建设管理办法范文第2篇
版本历史 编制人: 审批人:
目录
目录 .......................................................................................................... 2 信息安全漏洞管理规定 .............................................................................. 4 1. 目的 .................................................................................................. 4
2. 范围 ...................................................................................................... 4 3. 定义 ...................................................................................................... 4
3.1 ISMS ............................................................................................ 4 3.2 安全弱点 ..................................................................................... 4 4. 职责和权限 ........................................................................................... 5
4.1 安全管理员的职责和权限 ............................................................ 5 4.2 系统管理员的职责和权限 ............................................................ 5 4.3 信息安全经理、IT相关经理的职责和权限 ................................... 6 4.4 安全审计员的职责和权限 ............................................................ 6 5. 内容 ...................................................................................................... 6
5.1 弱点管理要求 .............................................................................. 6 5.2 安全弱点评估 .............................................................................. 8 5.3 系统安全加固 .............................................................................. 8 5.4 监督和检查 .................................................................................. 9 6. 参考文件 ............................................................................................... 9 7. 更改历史记录 ....................................................................................... 9
8. 附则 ...................................................................................................... 9 9. 附件 ...................................................................................................... 9
信息安全漏洞管理规定
1. 目的
建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。
2. 范围
本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。
3. 定义
3.1 ISMS 基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。
3.2 安全弱点
安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷,是违背安全策略的软件或硬件特征。有恶意企图的用户
能够利用安全弱点非法访问系统或者破坏系统的正常使用。
3.3 弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点评估报告。
4. 职责和权限
阐述本制度/流程涉及的部门(角色)职责与权限。
4.1 安全管理员的职责和权限
1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批;
2、进行信息系统的安全弱点评估;
3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案;
4、根据安全弱点分析报告提供安全加固建议。
4.2 系统管理员的职责和权限
1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息安全经理和IT相关经理进行审批;
2、实施信息系统安全加固测试;
3、实施信息系统的安全加固;
4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案;
5、向信息安全审核员报告业务系统的安全加固情况。
4.3 信息安全经理、IT相关经理的职责和权限
1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及加固报告。
4.4 安全审计员的职责和权限
1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。
5. 内容
5.1 弱点管理要求
通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的;通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。
5.1.1 评估及加固对象
a) 公司各类信息资产应定期进行弱点评估及相应加固工作。 b) 弱点评估和加固的信息资产可以分为如下几类:
i. 网络设备:路由器、交换机、及其他网络设备的操作系统及配置安全性。
ii. 服务器:操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。
iii. 应用系统:数据库及通用应用软件(如:WEB、Mail、DNS等)的安全补丁及安全配置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。
iv. 安全设备:VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置
安全性。
5.1.2 评估及加固过程中的安全要求
a) 在对信息资产进行弱点评估前应制定详细的弱点评估方案,充分考虑评估中出现的风险,同时制定对应的详细回退方案。
b) 在对信息资产进行安全加固前应制定详细的安全加固方案,明确实施对象和实施步骤,如涉及到其他系统,应分析可能存在的风险以及应对措施,并与关联部门和厂商沟通。
c) 对于重要信息资产的弱点评估及安全加固,在操作前要进行测试。需经本部门经理的确认,同时上报信息安全经理和IT相关经理进行审批。
d) 对信息资产进行弱点评估和加固的时间应选择在业务闲时段,并保留充裕的回退时间。
e) 对信息资产进行安全加固后,应进行总结并生成报告,进行弱点及加固措施的跟踪。
f) 对信息资产进行安全加固完成后,应进行业务测试以确保系统的正常运行。加固实施期间业务系统支持人员应保证手机开机,确保出现问题时能及时处理。
g) 安全加固完成后次日,系统管理员及业务系统支持人员应对加固后的系统进行监控,确保系统的正常运行。
h) 弱点评估由IT相关经理和安全管理员协助进行,安全加固由系统管理员执行。如由供应商或服务提供商协助实施安全加固,则应由系统管理员确保评估和加固的有效性并提交信息IT信息安全经理和IT相关经理进行评定。
5.2 安全弱点评估
5.2.1 公司每季度进行一次弱点评估工作,信息资产的弱点评估由安全管理员负责。
5.2.2 在进行信息资产弱点评估时应采用公司认可的扫描工具及检查列表,弱点评估计划需由 IT信息安全经理和IT相关经理进行确认和审批。
5.2.3 信息安全经理和IT相关经理弱点评估完成后,相关IT人员参考弱点评估报告编写安全加固方案,并进行系统安全加固工作。
5.2.4 安全管理员在各系统完成安全加固后,组织弱点评估复查,验证加固后的效果。
5.2.5 所有安全弱点评估文档应交付信息安全经理和IT相关经理备案。
5.3 系统安全加固
5.3.1 安全加固
a) 公司每次完成安全弱点评估后,各系统管理员应根据弱点评估结果确定需要加固的资产,针对发现的安全弱点制定加固方案。
b) 安全加固前,加固人员应制定详细的加固测试方案及加固实施方案(包括回退方案)
并在测试环境中进行加固测试,确认无重大不良影响后才可实施正式加固。
c) 在完成安全加固后,加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管理员应对加固后的信息资产进行弱点评估复查,评估复查结果作为加固的措施验证。
d) 所有加固文档应交付信息安全经理及IT相关经理备案。 5.3.2 紧急安全加固
a) 当安全管理部发现高危漏洞时,提出紧急加固建议,通知相关IT人员进行测试后进行紧急变更实施加固并事后给出评估报告。
5.4 监督和检查
5.4.1 安全审计员负责对信息安全弱点管理的执行情况进行检查,可通过安全漏洞扫描和现场人工抽查进行审计和检查,检查的内容包括弱点评估和安全加固的执行情况及相关文档记录。
6. 参考文件
无
7. 更改历史记录
IT-007-V01
新版本发布
8. 附则
本制度由信息技术部每年复审一次,根据复审结果进行修订并颁布执行。本制度的解释权归信息技术部。本规定自签发之日起生效,凡有与该规定冲突的,以此规定为准。
9. 附件
信息系统建设管理办法范文第3篇
填报日期:
一、新项目基本情况概要
项目名称
位置 区域位置
所在区
四至范围 东
南
西
北
地段 与市中心、主要建筑物、商圈等的距离。
土地所有权归属
合作方
土地性质
占地面积
建筑 面积
其中:住宅
容积率
公建 土地现状 包括使用现状,地形地貌,待动拆迁情况。
合作方式及条件 合作方式
土地成本
付款条件
其他要求
市场 周边参照市场、具体楼盘,可能的售价估计。
备注
二、项目进展状况及工作计划
项目进展状况 接触 程度 说明与土地方接触程度,初步接触、深入了解、有合作意向、准备上会还是准备签约。
谈判 情况 谈判进展情况,谈判条件等发生重大变化。
法律 手续 法律手续办理程度,如:已取得的政府、法律文件依据等。
焦点 难点 项目进展的主要难点和焦点。
项目发展环境变化 竞争 对手 竞争对手加入或退出,对手提出条件发生变化等,以及主要竞争对手在整个城市重大土地购买或其他投资。
竞争 楼盘 对项目发展有影响的楼盘推出与封盘等。
政府 政策 主要政府政策颁布或变动及对项目发展的影响,政府倡导重点开发区域和领域的提出或形成。
城市 规划 城市规划发生重大变动或(即将)实施,重大城市规划调整。
市政 配套 整个城市重大市政建设(如交通捷运系统规划和建立,主要道路的开工或通车),以及项目周边市政配套的改变。
其他 因素 如:房地产热点发展区域的形成和改变等。
下一步计划 说明该项目下一步工作计划(继续跟进还是暂缓、终止)、工作重点、采取的策略、突破点、是否需要项目发展工作小组介入、什么时间召开听证会等。
表一、宗地概况
土地方全称
项目宗地概况 位置 区域位置
所在区
四至 范围 东
南
西
北
地段及等级
现状 地形 地貌
地下情况
待动迁 情况 需要安置或 动迁的居民
户 人 涉及单位或生产队
个 需要迁移的企业或工厂 个 其它
交通 出行 公交线路
在宗地及其周边的起始站
轨道交通
距宗地最近的站点
快速干道
市中心距宗地最快可达线路
其它
现状公共服务设施(距宗地3000米范围内列明数量、名称、距离)
教育设施 (列数量) 小学
中学
大专院校
幼托
商业网点 综合商场
超级市场
农贸市场
其它
银行
邮局
文化体育 公园
运动场馆
图书馆
游泳馆
其它
医院
大市政配套
周边 环境
表二、经济技术指标
经济技术指标 项目宗地用地平衡表 依据
面积(公顷)
比例 现状用地性质 居住用地 住宅用地
公建用地
区内道路用地
绿地 公共绿地
退道路绿化带
市政用地
道路用地
总用地
规划批准经济技术指标情况 依据
总建筑面积 万平方米 比例 其中 住宅面积 多层住宅
高层住宅
公建面积 经营性公建
非经营性公建
公建项目 主要内容 分类 项目名称 建筑面积 占地面积 经营性 公建项目 1
2
3
4
N
非经营性 公建项目 1
2
3
4
N
综合指标 容积率 综合容积率
住宅容积率
其它指标 建筑覆盖率
绿化率
控高
备 注
表三、合作条件
合作方式 (主要包括获得项目或土地的方式、土地前期开发工作、规划调整、市政公建配套的要求等主要内容)
合作依据 政府批 文、权证
名称
审批机关
备注
计划立项批准文件
规划用地批准文件
征地批文及其附图
方案设计批准文件
建设用地批准文件
其他政府文件
合
作
要
求 土地成本 (成本构成、楼面地价)
付款 条件
其他要求
项目所在地政府税、费标准
表四、投资收益预测
项
目
投
资
收
益
测
算 规划指标
用地面积(万平方米)
建筑面积(万平方米)
合计
住宅
多层住宅
高层住宅
公建
经营性
非经营性
成
本
预
测
项目 总金额(万元)
单价(元/平方米)
一 直接成本小计
1 土地获得价款
2 开发前期准备费
3 主体建筑工程费
4 主体安装工程费
5 红线内市政工程费
6 环境及配套设施费
7 开发间接费
其中:营销费用
利息支出
二 管理费用
总计
投 资 收 益 测 算 序号 项目 总金额/万元 单价/元/㎡ 备
注 1 销售收入
2 直接成本
3 销售税金及附加
4 管理费用
5 总投资
6 毛利率%
7 税前利润
8 税后利润
9 销售净利率
10 总投资回报率
11 内部收益率
12 启动资金
信息系统建设管理办法范文第4篇
为规范我局信息应急处理的程序和内容,提高单位信息化工作小组的应急处理能力,科学应对网络与信息安全突发事件,有效预防、及时控制和最大限度地消除信息安全等各类突发事件的危害和影响,保障信息系统的实体安全、运行安全和数据安全,完善信息安全应急机制,确保单位日常工作的安全、稳定运行,特制定信息安全应急预案。
一、应急预案的指导思想
卫生局信息安全应急处理应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下单位网络系统运行管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下做到反应迅速,处臵果断,保障到位。
二、组织机构
为保证应急情况下应急机制的迅速启动和指挥顺畅,应设立应急小组,小组人员如下:
组长:
副组长:
成员:
三、应急情况的标准
(一)、应急响应启动条件
实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下五级:
1级:本级网络与信息安全事件对计算机系统或网络系统
所承载的业务以及事发单位利益基本不影响或损
害极小;
2级:本级网络与信息安全事件对计算机系统或网络系统
所承载的业务以及事发单位利益有一定的影响或
破坏;对国家安全、社会秩序、经济建设和公共利益产生一定危害;
3级:本级网络与信息安全事件对计算机系统或网络系统
所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生较大危害;
4级:本级网络与信息安全事件对计算机系统或网络系统
所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生严重危害;
5级:本级网络与信息安全事件对计算机系统或网络系统
所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害;
当发生3级和3级以上的网络与信息安全事件时,启动本预案,必要时向市网络与信息安全应急领导小组办公室报告。
特殊情况下,上述标准可酌情降低。
(二)应急响应流程
在发生网络与信息安全事件时,小组成员第一时间报告到领导小组组长,同时与相关的产品技术支持单位联系,获得必要的技术支持。
1、 预案启动
在发生3级(包括3级)以上网络与信息安全事件后,应急处理工作组尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为网络与信息安全事件后,对事件进行定级和上报。按照应急响应流程,由学校网络与信息安全应急小组决定启动应急预案,并由组长负责应急处理协调工作。
2、应急处理
① 确认阶段。初步确定应急处理方式,确定是否存在针对该事件的预案,如有,则启动本预案。
② 遏制阶段。及时采取行动遏制事件发展,限制潜在的损失与破坏,同时要采取积极措施,使危害降到最低。
③ 根除阶段。在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施,彻底消除安全隐患。
④ 恢复和跟踪阶段。在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需遵照机密系统的恢复要求。
⑤ 问题解决后,还要加强宣传,公布危害性和解决办法,以避免产生社会负面影响。
3、应急支援
当采用一般应急处臵措施仍无法控制事态时,要迅速研究采取有利于控制事态的非常措施,并向市政府网络与信息安全应急领导小组办公室请求支援。
4、安全事件的处理记录
在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。
5、结束响应
系统恢复正常运行后,应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报相关部门。
对于蠕虫病毒等易造成大范围传播的网络与信息安全事件,应及时向领导小组办公室提交预警信息。
因为重大自然灾害而引起的网络与信息安全事件,可根据灾害造成的损失情况参照上述流程进行应对。
四、应急小组的职责:
1、研究布臵应急行动有关具体事宜;
2、应急行动期间的组织指挥;
3、负责应急行动的宣传教育和有关解释工作;
4、负责与有关单位进行重大事项的工作协调;
5、负责应急行动其它的有关组织领导工作。
6、负责应急行动技术支持工作;
7、负责应急行动的网站内容编辑工作;
8、研究布臵并组织应急行动期间单位网络系统监管的有关事项;
9、认真详细地做好监管值班记录;
10、向上级汇报网站监管的情况;
11、完成上级赋予的其它任务。
五、应急行动的基本制度
1、值班制度
应急行动启动后,应急小组成员应建立24小时值班制度,工作开展情况应坚持每日向上级相关部门汇报
2、请示汇报制度
应急程序实施期间,应急小组成员在坚持每日值班汇报的前提下,遇有重大情况和自身不能处理的事项应坚持随时汇报。
3、演练制度
为保证应急行动的能力,应定期组织应急行动演练,日常情况下每年至少组织一次应急行动的综合演练,遇有可预见的应急情况,应在事前组织演练,以提高处理应急事件的能力。
六、应急物资器材保障
应急行动所需的物资器材应给予充分保障,以确保应急预案落到实处,应坚持对应急行动的设备器材进行定期维护保养,保证完好率达到95%以上,所需的物资应坚持定期补充和更换,始终保持有效性。
及时检查备用物资的可靠性。
七、日常工作中需为应急行动做好的有关工作
(一)网络系统安全检测服务
1、安排工作人员加强网络系统的监控,发现问题及时报告上级,并采取初步的应急处理措施;
2、通过对操作系统和网络服务安全漏洞的周期检测,实现网络系统的安全。
(二)网站安全紧急救援服务;
信息系统建设管理办法范文第5篇
一、信息报送要求
报送信息要及时、准确、全面。重大紧急情况应于事发当日上报,不得迟报、漏报和隐瞒不报。
二、全年工作指标及记分办法
1、每位干警(指在编干警)年提供信息2条,以院《审判动态》或《工作简报》采用为准,各庭室原则上根据本庭室在编干警人数按人均2条信息确定庭室信息总任务,个别庭室考虑信息来源渠道有限等因素适当降低要求,具体为:刑庭8条,民一庭10条,民二庭8条,简案庭12条,行政庭6条,立案庭10条,执行局18条,监察室4条,法警队4条,审监庭4条,政治处4条,··法庭12条,**法庭8条,++法庭8条,%%法庭6条,##庭6条,管理制度《法院信息工作考核办法》。
2、工作简报和情况反映每1篇按2条信息计,简讯每4条按1条信息计。
3、被市中院、省高院同时采用的信息、简讯、情况反映和工作简报,累计记分。
4、被市委办、市人大办、市府办、市委政法委同时采用的信息,累计记分。
5、院办公室对各庭室、各干警信息采用情况分别进行统计,年终作为各庭室、各人考核时信息工作完成情况的主要依据。
三、考核办法
信息工作纳入各庭室及各人的年终考核。
庭室完成任务的,得基础分30分,完成任务的人均数超过(少于)2条的按每条20分的比例加(扣)分。未完成任务的50%或报送数未达到人均2条的,取消庭室评先进资格。
个人完成信息任务的,得基础分50分,未完成任务的不得分,超额完成任务的,每条加5分。个人未完成信息任务的,取消评先进资格;庭室未完成任务的,庭室主要负责人取消个人评先进资格。
本办法自xx年一月起实施。
信息系统建设管理办法范文第6篇
1.1标准适用范围
标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义
(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求
本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理
2.1安全管理制度
征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。 2.1.1内部管理制度 基本要求:
(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;
(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。 增强要求:
(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。 2.1.2安全审计制度 基本要求:
(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。 增强要求:
(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构
征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。 2.2.1岗位设置 基本要求:
(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:
(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。 2.2.2人员配备 基本要求:
(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。 增强要求:
关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。 2.2.3授权和审批 基本要求:
(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。 增强要求:
应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。 2.2.4沟通与合作 基本要求:
(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。 增强要求:
(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。 2.3人员管理
征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。 2.3.1安全主管 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:
1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。 增强要求:
安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。 2.3.2信息安全管理员 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:
1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,
(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。 增强要求:
信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。 2.3.3部门计算机安全员 基本要求:
(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:
1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,
3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。 增强要求:
部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。 2.2.4技术支持人员 基本要求:
(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:
1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。
2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。
3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。
(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。 增强要求:
外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。 2.2.5业务操作人员 基本要求:
(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:
1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。
2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。
3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。
4、发现征信系统出现异常及时向部门计算机安全员报告。
5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。
(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。 增加要求:
业务操作人员应实现A、B角管理。 2.2.6一般计算机用户 基本要求:
(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:
1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。
2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。
(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。 增强要求:
1、一般计算机用户不得私自改变计算机用途。
2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。
2.4系统建设管理
2.4.1系统顶级 基本要求:
(一)应明确信息系统的边界和安全保护等级。
(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。 增强要求:
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。 2.4.2安全方案设计 基本要求:
(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。
(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。 增强要求:
(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。