技术管理规范（征求意见稿）目录第一章总则第一节目标第二节原则第三节制定与实施第二章管理体系第一节组织结构第二节人员管理第三节安全管理第四节技术资料管理第三章硬件第一节机房第二节远程通信第三节设备第四节网络第五节设备管理第四章软件第五章数据第一节业务数据第二节系统数据第六章技术事故的防范与处理第一章总则第一节目标1.1.1 最大程度地防范技术操作风险，保护客户利益，维护公司的合法权益，促进公司网络信息系统健康发展。

1.1.2 充分吸收先进经验和计算机信息技术应用成果，推动信息系统建设与技术管理水平的协调发展，提高信息技术人员的整体水平。

1.1.3 指导公司所属各部门加强计算机信息系统的优化建设和安全管理，加强计算机信息技术人员的管理，防止数据遗失、损坏、篡改、泄漏，提高系统运行的安全性、可靠性与稳定性。

第二节原则1.2.1 安全性原则。

在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面，都必须贯彻安全性原则。

应当把安全措施落实到信息技术管理的每个环节、每个方面；应当使技术人员牢固树立技术风险的防范意识。

1.2.2 实用性原则。

当加强信息技术管理，注重采用先进成熟技术。

在保障系统安全的前提下，力求避免因不切实际地提高系统安全级别而造成投资浪费；避免因引用任何未经消化吸收的安全保密技术和设备而对信息技术管理造成消极影响。

1.2.3 可操作性原则。

信息技术管理规范必须具有可操作性。

各部门根据本规范细化与完善其信息技术管理制度时，也应当力求简单明确，便于对照检查，便于操作。

第三节制定与实施1.3.1 根据《中华人民共和国计算机信息系统安全保护条例》及有关规定，结合公司具体情况，制定本规范。

1.3.2本规范由深圳国诚投资人力行政部发布和监督实施。

1.3.3本规范原则上每年修订一次。

1.3.4本规范由信息中心负责解释。

第二章管理体系第一节组织结构2.1.1 为实现开发与运维独立，信息中心下设系统开发（简称开发）和运营维护（简称运维）两大部门2.1.2 运维部负责对公司信息系统进行系统规划、日常运行、系统保障。

运维部内设系统策划、系统管理、数护管理等工作岗位。

运维部的主要职能是：（1）根据业务发展的要求，完成需求的分析、设计，提交具体的程序开发需求报告；（2）保障信息系统的管理和维护，保持系统处于安全、良好的运行状态，并为公司其它非技术类部门提供相应的技术支持；（3）负责业务数据、系统数据及其它重要数据的备份管理；（4）负责程序代码及相关技术资料的保存、管理；（5）负责为开发部门提供相应的资料及开发、测试环境；（6）完整、准确地记录信息系统的运行日志，详细记载发生异常时的现象、时间、处理方式等内容并妥善保存有关原始资料，发生技术事故及时向有关部门、人员报告。

2.1.3 开发部负责对公司信息系统进行功能的程序代码编程实现。

开发部内设程序开发、网页开发、美工等工作岗位。

开发部的主要职能包括：（1）根据运维部提供的程序开发需求，制作程序流程图，并按时、保质的对需求功能进行代码实现；（2）对所提供的源代码提供对应的注释说明；（3）对每次系统程序升级提供相对应的回退代码；（4）对自行开发的程序安全性、可靠性、稳定性负责。

第二节人员管理2.2.1 为保障信息系统的开发与运维管理质量，信息技术人员编制应满足每一职能岗位至少一人，同时至少存在一个相应后备人员。

后备人员可由其它岗位人员兼任，但后备人员必须具备相应的后备岗位的专业技能。

2.2.2 信息技术人员应具备大专以上学历，具有计算机基础理论知识和专业技术经验、较强的业务工作能力和再学习能力、良好的职业道德和服务意识，富有敬业精神和团队合作精神。

2.2.3 禁止录用有犯罪或其他严重违法行为记录的人员从事信息系统工作。

2.2.4 关键技术岗位必须经过严格考核，合格后方可上岗。

2.2.5 信息技术中心应配合人事部门定期对信息技术人员进行考核。

2.2.6 定期对信息技术人员进行业务培训和技术培训，不合格或未参加培训者严禁上岗。

2.2.7 离岗人员必须严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料。

信息系统的相关口令必须立即更换。

第三节安全管理2.3.1 信息中心是公司计算机安全管理组织，负责公司及所属各部的计算机系统及网络的安全管理，信息中心负责人为计算机安全工作责任人。

2.3.2 信息中心的主要任务是：制定计算机安全管理制度，广泛开展计算机安全教育，定期或不定期进行计算机安全检查，保证计算机系统安全运行。

2.3.3 信息系统安全管理的主要内容包括安全防范设施和安全保障机制，以有效降低系统风险和操作风险，预防不法分子利用计算机和网络作案。

2.3.4 建立计算机安全管理制度（1）建立完整的计算机运行日志、操作记录及其它与安全有关的资料；（2）定期检查安全保障设备，确保其处于正常工作状态；（3）建立并严格执行机房进出管理制度，无关人员未经安全责任人批准严禁进出机房；（4）非专门责任人，一律不得接触关键数据。

第四节技术资料管理2.4.1 技术资料是指与信息系统有关的技术文件、图表、程序与数据，包括信息系统建设规划、网络设计方案、软件设计方案、推广策划方案、源代码、系统配置参数、技术数据等资料。

2.4.2 技术资料管理主要责任人为系统管理员，各相关技术人员为各级相关资料的直接责任人。

2.4.3 技术资料属高级商业机密，严禁任何人以任何形式外泄，严格按公司相关保密制度执行。

2.4.4 技术资料必须有副本并于指定的异地空间存放。

第三章硬件第一节机房3.1.1 公司所属每一不同办公场所应设立一独立空间的专用机房；3.1.2 公司所有网络的总信号结点均应汇集于专用机房,各端点相互独立。

第二节远程通信3.2.1 公司总部与相关各部门之间必须建立可靠的通信线路联接。

3.2.2重要通信线路应安装后备线路。

第三节设备3.3.1 服务器（1）服务器由信息中心指定专人负责，信息中心负责人必须拥有服务器的控制权；（2）服务器具有充分的可靠性和至少拥有30天以上的增量磁盘空间；（3）服务器具有一定的容错特性，镜像、阵列至少拥有一项，双机、群集至少具备其一；（4）本地存放服务器每月至少一次下架养护，异地存放服务器每季至少一次下架养护；（5）服务器必须具备完整的操作日志。

3.3.2 工作站（1）工作站应具备良好的性能及可靠性；（2）关键工作站应有冗余备份。

3.3.3 数据备份（1）网络系统中至少存在一台数据备份服务器；（2）工作站的关键数据至少应在数据备份服务器上有一份10个工作日内的备份数据，以一日内备份为宜；第四节网络3.4.1 各种网格形式的远程操作系统必须采取严格的安全措施。

第五节设备管理3.5.1 信息中心统一管理公司各部的计算机设备。

3.5.2 计算机设备的选型、购置、登记、保养、维修、报废等必须严格按规定手续办理，重大设备应建立维护档案。

3.5.3 必须定期对计算机设备进行专业维护保养。

3.5.4 未经信息中心许可，任何人员不得擅自开拆设备或调换设备配件。

第四章软件4.1 使用的系统软件主要包括操作系统软件和数据库管理软件。

所有软件的开发与使用应充分考虑软件的安全性、可靠性、稳定性和健壮性。

4.2 系统软件应具备如下功能：（1）身份验证功能，防止非法用户随意进入系统；（2）访问控制功能，防止系统中出现越权访问；（3）故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失；（4）安全保护功能，对信息的交换、传输、存储提供安全保护；（5）安全审计功能，便于应用系统建立访问用户资源的审计记录；（6）分权制约功能，支持对操作员和管理员的权限分离与相互制约。

4.3 必须启用系统软件提供的安全审计留痕功能。

4.4 系统软件应达到C2级以上（含C2级）安全级别。

4.5 自行开发的系统须提供历史访问记录留痕，误操作回滚等功能4.6 软件使用人员应经过适当的操作培训和安全教育。

4.7 建立自用软件的文档管理制度、版本管理制度及软件分发制度，防止软件的盗用、误用、流失及越权使用。

4.8 信息技术人员不得擅自进行软件维护和系统参数调整。

第五章数据管理第一节业务（核心）数据5.1.1 建立业务数据管理制度，对业务数据实施严格的安全保密管理。

5.1.2 信息中心设置数据管理员岗位，对所有业务数据实行专人管理。

其它信息技术人员不得拥有数据库管理员操作口令。

5.1.3 信息系统内应保存一年以上的业务数据。

5.1.4 信息中心应建立业务数据映象并定期和不定期与运营数据进行核对，防止使用过程中产生误操作或被非法篡改。

5.1.5 数据备份:（1）每个工作日结束后必须至少制作当日数据的增量备份并异地存放，保证系统发生故障时能够快速恢复；（2）每一工作周结束后必须制作完整的数据备份并异地集中存放（不可与增量备份存于同一物理介质）；（3）业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少2年；（4）备份的数据必须指定专人负责保管，由指定计算机信息技术人员按规定的方法同数据保管员进行数据的交接。

交接后的备份数据应在指定的场所保管；（5）数据保管员必须对备份数据进行规范的登记管理；（6）备份数据不得更改；（7）永久备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

5.1.6 数据保密：（1）数据不得泄露，禁止外借；（2）数据应仅用于明确规定的目的，未经批准不得它用；（3）无正当理由和有关批准手续，不得查阅客户资料。

经正式批件查阅数据时必须登记，并由查阅人签字；（4）保密数据不得以明码形式存储和传输；（5）根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。

5.1.7 业务数据不得随意更改。

第二节系统数据5.2.1 系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。

5.2.2 应制定系统数据管理制度，对系统数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄漏、丢失与破坏。

5.2.3 设置系统管理员岗位，对系统数据实行专人管理。

5.2.4 系统数据不得泄露。

5.2.5 信息中心指定专人保存备份的系统数据，并定期进行核对。

第六章技术事故的防范与处理6.1 技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行，导致信息系统运行中断并造成经济损失的事件。

6.2 技术事故的防范原则是：预防为主、处理及时，力争把事故的损失降低到最小程度。

6.3 建立健全技术事故的防范对策，严格按本规范要求建设、管理信息系统的硬件设施和软件环境，定期进行事故防范演习，针对薄弱环节不断改进完善。

6.4 制定技术事故发生时的应急计划：（1）应急计划必须形成文字；（2）应急计划应针对可能发生的故障制定紧急处理程序；（3）紧急处理程序应张贴在规定的地方；（4）对执行应急计划的全体人员进行专项培训，定期进行演习；（5）根据演习结果不断完善应急计划。