SPV公司信息管理制度

第一条信息安全管理 —、目的

1、明确信息安全管理范围及管理职责，使网络安全管理规范化、制度化确

保网络安全稳定运行，确保网络信息安全可靠。 二、 网络及信息安全 三、 网络规划设计

1、 原则上网络按功能和业务划分为管理网络、生产网络、办公网络、访客

网络，网络间须进行隔离。

2、 管理网络及VPN网络须向集团信息技术部申请IP地址段,集团信息技

术部分配后进行架设部署。 四、 网络设备选择及使用

1、 设备需求及关键技术指标由SPV公司提出，集团信息技术部复核确认后

由集团信息技术部统一进行设备选型、比价、采购，预算及费用由SPV公司承 担。

2、 基于强化安全管理的原因，网络内禁止使用个人/家用级设备，如：无线

路由器、非网管交换机等。

1、 入网设备必须关闭自动向厂商提交信息的功能。

2、 除访客网络外,无线网络必须使用用户识别方式进行身份验证。

五、 安全控制

1、 网络间如需网络间互相通讯的，管理员同意后经过防火墙等安全设备过

滤,以白名单方式对指定流量放行。

2、 严禁设备厂家不经批准,通过技术手段对设备进行远程控制/获取数据/

远程维护。 六、 管理维护

1、 网络建设完成后，SPV公司运维人员须向集团信息技术部提交相关验收

资料。

2、 每月进行一次所有设备运行配置备份,提交集团信息技术部。 3、 严禁泄露设备登录密码及各级操作密码。

七、 病毒防治管理

1、严禁在生产网络、办公网络的计算机上安装非集团、SPV

公司正式购买的或未经集团、SPV公司书面批准的任何软件。

2、 做好生产网络、办公网络的病毒查杀工作。必须按实际情况,安装正版

的杀毒软件。定期更新病毒特征库以及病毒扫描。

3、 网内各设备、计算机需定期安装最新的安全更新/漏洞补丁，以降低安全

风险。

八、 数据备份还原

1、 SPV公司对自建系统、文件共享服务器等每月至少进行一次完整数据备

份，所有备份保留时间由SPV公司自行定义。共用的集团系统由集团信息 技术部进行备份。

2、 SPV公司自建系统每年至少进行一次灾难还原演练,查漏补缺,以降低

风险。 九、 信息保密 （一） 权限控制

1、遵循最低权限原则，避免给用户过高的访问控制权限。 2、涉密数据控制访问人员数量，严禁多人共同使用同一账号。

（二） 备份管理

1、 备份数据不得与生产环境数据存放于同一介质，防止出现因为介质故障、

损坏、丢失等情况下发生数据丢失。

2、备份数据由专人负责管理维护,避免非授权人员访问。

（三） 介质管理

1、 存储过涉密数据的介质在处理/废弃之前，须确保原存储的数据无法被还

原。

2、 根据介质类型选择不同的处理方式，包括但不限于：覆写、擦除、粉碎

等。处理后须技术人员进行二次确认。 十、信息安全检查

集团信息技术部每年不定期对SPV公司的信息安全工作进行抽查。 检查事项：

1、 网络安全风险；

2、 设备运行压力及异常日志；

3、 漏洞扫描分析。

4、数据备份/还原。

第二条软件系统管理 一、 目的

1、 明确信息软件系统管理范围及管理职责,使软件系统应用规范化。 2、 确保软件系统合理建设，软件系统应用管理规范。

二、 软件系统管理 (-)软件需求管理

1、 业务需求部门通过\"软件需求申请表\"向信息技术部提出业务需求，经

部门领导及集团分管领导审批通过。信息技术部根据申请表与业务部门详细沟 通、了解业务需求，并判断系统建设方式，转入后续工作。

2、 ”软件需求申请表”用于说明业务总体需求及立项审批,为更加准确描

述

业务需求，可附带附件、图表等业务相关文档。

3、 人力资源管理、财务管理、资产管理无特殊情况，必须使用集团统一的

或指定的信息系统。 (_)软件采购管理

1、 当系统建设方式确定为采购时，应由业务部门及信息技术部组成项目小

组,指定业务需求负责人、系统需求负责人、系统技术负责人，负责评价供应商 软件产品，支持采购决策。

2、 业务部门可推荐备选供应商、信息技术部从市面上广泛了解供应商备选,

原则上至少有四家备选供应商应参与采购竞标。

3、 软件采购范围不仅限于软件产品首次购买，也包含基于产品的定制开发

以及产品升级和现有产品替换等凡是有第三方供应商涉及的情况。 (三)

软件开发管理

1、当系统建设方案确定为自建时，应由业务部门及信息技术部组成项目小

组，指定业务需求负责人、系统需求负责人、系统技术负责人,支持系统开发按 照业务需求要求进行。 (四)

实施推广管理

1、 由业务部门及信息技术部门指定人员成立实施推广小组。信息技术部负

责实施推广的整体工作，业务部门负责实施推广中的业务决策建议。实施推广小

组需编制实施推广计划、实施系统配置及初始化。

2、 业务部门负责组织业务用户参加系统操作培训，信息技术部门负责具体

操作培训讲解及疑问解答,业务部门负责解答业务相关问题。 （五）运营维护管理

1、 原则上每个SPV公司在系统中应至少设立1名业务运营管理员，负责指

导并处理业务人员提出的系统中与业务相关的问题。

2、 系统运维分为系统权限开通/变更、审批流人员调整、审批流程调整、数

据等其他内容调整等。业务部门需填写\"系统运维申请表”,并经相关部门领导 审批后,交于信息技术部予以备案并处理。

软件需求申请表

1.业务需求信息 申请部门 申请人 申请时间 需求简述 业务云

2,信息部分析 项目负责人 涉及系统 云类型 口新功能 □改进 口其他： 云分析 建设方式 口采购 □自建 说明 口预算内 □预算夕卜 说明 预算 预算项 预算项金额 （米购） 本次金额预估 工作量预估 需求 开发测试 实施 （自建） 总计（人天） 预期效果

及风险 3

,需求审业务部门 审批意见： 负责人 口同意 口不同意 签字: 日期： 信息部 审批意见： 负责人 口同意 口不同意 签字： 日期： 业务部门 审批意见： 中心总裁 口同意 口不同意 签字： 日期： 审批意见： CHO

口同意 口不同意 签字： 日期： 批

系统运维申请表

系统名称 所属系统/公司 申请部门 申请人 申请时间 申请类型 ［1］权限开通/变更 【3 ］审批流-流程调整 【2】审批流-人员调整 【4】其他（如数据调整） 内容描述 其他球 （如时间、质量等） 审批意见： 部门负责人 签字： 审批意见： 日期： SPV公司总经理 签字: 审批意见： 日期： SPV中心总裁 签字： 审批意见： 总裁 签字： 备注：

日期： 日期： ［1］ 权限开通/变更：签批到部门负责人。若申请人为部门负责人及以上，则签批到其上级主管领导。

［2］ 审批流-人员调整:若申请人角色属于项目部，签批到部门负责人；若申请人角色属于SPV公司，签批到SPV公

司总经理；若申请人角色属于SPV中心，签批到SPV中心总裁。

【3】审批流-流程调整：签批到SPV中心总裁。若属于重大流程调整，签批到公司总裁。

［4］其他:遵循隔级审批原则，签批领导视具体事项而定。

【5】如遇事紧急，可先电话联系各领导审批，通知人力资源中心-信息技术部处理，后补签申请表备案。