信息化系统管理制度

第一章总则

第一条制定目的

为规范公司信息化系统的规划、建设、运维、安全及数据管理，保障系统稳定、高效、安全运行，保护公司核心信息资产，支撑业务发展与管理提升，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规及行业标准，结合公司实际，制定本制度。

第二条适用范围

本制度适用于公司范围内所有信息化系统（以下简称“系统”）的规划、立项、建设、测试、上线、运维、变更、下线全生命周期管理，以及系统相关的硬件设备、网络资源、数据资源、用户权限和安全管理等活动。覆盖公司各部门、各下属单位及所有使用、管理、维护信息化系统的人员。

第三条核心原则

安全优先：坚持“安全第一、预防为主、综合治理”，将安全管理贯穿系统全生命周期，防范网络攻击、数据泄露、系统瘫痪等风险。

统一规划：系统建设需契合公司整体信息化规划，避免重复建设、资源浪费，确保系统间互联互通、数据共享。

规范管控：明确各环节管理流程、责任主体及操作标准，实现系统管理的标准化、规范化、流程化。

高效赋能：以支撑业务发展、提升运营效率为核心，推动系统功能优化与技术创新，充分发挥信息化赋能价值。

第四条定义

本制度所称信息化系统，是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，包括但不限于：

业务运营类系统：燃气调度系统、管网巡检系统、客户服务系统、抄表收费系统、工程管理系统等；

管理支撑类系统：OA办公系统、人力资源管理系统、财务管理系统、采购管理系统、决策分析系统等；

基础保障类系统：网络设备管理系统、服务器管理系统、安全防护系统、数据中心运维系统等。

第二章组织架构与职责分工

第五条信息化管理领导小组

公司成立信息化管理领导小组，由总经理任组长，分管信息化工作的副总经理任副组长，各部门、下属单位负责人为成员。主要职责包括：

审定公司信息化发展规划、年度建设计划及重大信息化项目立项；

协调解决信息化系统建设与管理中的重大问题；

监督本制度的执行情况，审批重大系统变更、安全事件处置方案等。

第六条信息化管理部门

信息化管理部门（如信息技术部）是公司信息化系统管理的归口部门，主要职责包括：

编制公司信息化发展规划、年度建设与运维计划，并组织实施；

负责信息化项目的统筹管理，包括需求调研、立项申报、招标采购、项目实施、验收上线等；

负责系统全生命周期运维管理，包括日常监控、故障排查、性能优化、系统升级等；

负责网络资源、硬件设备、安全设施的管理与维护，保障基础设施稳定运行；

负责数据资源的统筹管理，包括数据采集、存储、传输、使用、备份与销毁的规范管控；

负责用户权限管理，制定权限分配标准，审核权限申请、变更与注销；

负责信息化安全管理，制定安全防护策略，开展安全监测、风险评估与应急处置；

组织信息化系统相关的培训、宣传工作，推广系统规范使用；

监督各部门信息化系统使用与管理职责的落实情况。

第七条业务部门职责

各业务部门是对应信息化系统的使用主体，主要职责包括：

提出本部门业务相关的系统需求，配合信息化管理部门开展需求调研、系统测试等工作；

指定专人作为本部门系统管理员，负责本部门用户账号的申请、变更、注销初审，以及日常使用指导；

规范本部门人员系统操作行为，确保数据录入准确、完整、及时，妥善保管个人账号与密码；

配合信息化管理部门开展系统运维、安全检查、应急演练等工作，及时反馈系统使用过程中出现的问题；

负责本部门业务数据的产生、使用与保管，落实数据安全责任。

第八条运维服务团队

运维服务团队（内部运维人员或外部合作服务商）负责信息化系统的具体运维实施工作，主要职责包括：

开展系统日常巡检，实时监控系统运行状态，及时发现并处置运行异常；

响应系统故障报修，快速排查问题并实施修复，记录故障处置过程；

按照运维计划开展系统补丁更新、性能优化、数据备份等常规运维工作；

配合信息化管理部门开展系统升级、变更实施、安全加固等工作；

提交运维工作报告，反馈系统运行问题及优化建议。

第三章系统建设管理

第九条规划与立项

信息化系统建设需纳入公司年度信息化建设计划，由业务部门提出需求，信息化管理部门汇总审核后，报信息化管理领导小组审定。

重大信息化项目（如投资金额超过[X]万元、涉及核心业务流程重构的系统）需单独提交立项申请，附可行性研究报告、需求规格说明书、投资估算等材料，经信息化管理领导小组审批通过后方可启动。

系统建设需严格遵循公司整体信息化规划，确保与现有系统的兼容性、数据互联互通，避免重复建设。

第十条需求调研与设计

信息化管理部门组织业务部门、运维团队开展需求调研，明确系统功能、性能、安全、接口等要求，形成《需求规格说明书》，经业务部门确认、信息化管理领导小组审批后作为系统设计的依据。

系统设计需由具备相应资质的设计单位或技术团队承担，遵循国家及行业相关技术标准，重点考虑系统安全性、稳定性、可扩展性。设计方案需包含系统架构、功能模块、数据模型、接口设计、安全防护方案等内容，经信息化管理部门审核、信息化管理领导小组审定后实施。

第十一条项目实施与测试

系统建设项目需通过招标采购选定具备相应资质的施工单位或供应商，签订正式合同，明确双方权利义务、项目进度、质量标准、安全责任、售后服务等要求。

信息化管理部门负责项目实施过程的统筹管控，定期召开项目推进会，跟踪项目进度，核查项目质量，协调解决实施过程中的问题。业务部门配合开展需求确认、测试验证等工作。

系统开发完成后，需开展多轮测试，包括单元测试、集成测试、系统测试、用户验收测试等。测试工作由信息化管理部门组织，业务部门、运维团队参与，重点验证系统功能符合性、性能稳定性、数据准确性、安全可靠性。测试合格后形成《测试报告》，经各方签字确认。

第十二条上线与验收

系统测试合格后，信息化管理部门制定上线实施方案，明确上线步骤、时间安排、人员分工、应急预案等，报信息化管理领导小组审批后实施。上线前需完成数据迁移、环境部署、用户培训等准备工作。

系统上线后设置试运行期（通常为1-3个月），运维团队实时监控系统运行状态，及时处置试运行期间出现的问题；业务部门全面试用系统功能，验证系统对业务的支撑能力。试运行结束后，形成《试运行报告》。

试运行合格后，信息化管理部门组织开展项目验收，验收内容包括项目完成情况、系统功能符合性、性能指标达标情况、安全防护有效性、文档完整性等。验收合格后形成《验收报告》，各方签字确认，项目正式交付运维。验收不合格的，责令施工单位限期整改，重新组织验收。

第四章系统运维管理

第十三条日常运维规范

运维服务团队需制定系统日常运维计划，明确巡检内容、频率、责任人，开展常态化巡检工作，包括系统运行状态监控、硬件设备检查、网络连接测试、数据备份核查等，填写《运维巡检记录表》。

建立系统故障分级响应机制，根据故障影响范围、严重程度将故障分为一级（重大故障，如核心系统瘫痪、大面积数据丢失）、二级（较大故障，如局部系统功能失效、影响部分业务）、三级（一般故障，如单个用户账号异常、小范围功能卡顿），明确不同级别故障的响应时限、处置流程和责任人员。

故障处置需遵循“先恢复、后排查”的原则，运维服务团队接到故障报修后，立即启动响应，快速定位故障原因并实施修复；无法立即修复的，需及时告知业务部门，采取临时替代措施，减少业务影响。故障处置完成后，记录故障原因、处置过程、解决结果，形成《故障处置记录表》。

第十四条系统变更管理

系统变更包括功能优化、性能升级、补丁更新、配置调整等，任何系统变更均需遵循“申请–审核–测试–实施–验证”的流程，严禁擅自变更。

业务部门或运维团队提出系统变更需求，填写《系统变更申请表》，说明变更原因、变更内容、影响范围、实施计划等，经所在部门负责人签字后提交信息化管理部门审核。

信息化管理部门组织评估变更的必要性、可行性及潜在风险，重大变更（如核心功能重构、影响全公司业务的变更）需报信息化管理领导小组审批。审批通过后，由运维团队开展变更测试，验证变更效果及兼容性，测试合格后方可实施。

变更实施需选择非业务高峰期（如夜间、节假日）进行，制定详细的实施计划和回滚预案。实施完成后，运维团队与业务部门共同验证变更效果，确认无问题后完成变更归档；若变更出现异常，立即启动回滚预案，恢复系统原状。

第十五条系统下线管理

对于不再使用、被新系统替代或达到使用年限的系统，由业务部门或信息化管理部门提出下线申请，填写《系统下线申请表》，说明下线原因、数据处置方案、业务替代方案等，经信息化管理部门审核后，报信息化管理领导小组审批。

系统下线前，信息化管理部门组织开展数据清理与备份工作，确保核心业务数据完整归档保存；通知相关业务部门完成业务迁移，做好替代系统的使用衔接。

运维团队按照下线方案实施系统卸载、硬件设备拆除或回收、网络配置清理等操作，完成后由信息化管理部门组织验收，形成《系统下线验收报告》，相关文档归档保存。

第五章数据安全与管理

第十六条数据分类分级

公司数据按照重要程度和敏感级别分为核心数据、重要数据、一般数据三级：

核心数据：包括用户个人敏感信息（身份证号、银行卡号、联系方式等）、燃气调度核心参数、管网核心数据、财务核心数据等，泄露或篡改将严重影响公司运营、损害用户权益或引发法律风险；

重要数据：包括业务运营数据（抄表数据、收费记录、工程进度数据等）、人力资源数据、采购数据等，泄露或篡改将影响业务正常开展；

一般数据：包括公开宣传信息、非敏感办公数据等，泄露影响较小。

信息化管理部门牵头制定《数据分类分级管理细则》，明确各级数据的范围、管控要求和责任主体。

第十七条数据采集与存储

数据采集需遵循“合法、合规、必要”的原则，严格按照业务需求采集数据，不得超范围采集；采集用户个人信息需获得用户明确授权，告知用户信息使用范围和目的。

数据存储需采用安全可靠的存储设备和技术，核心数据和重要数据需进行加密存储、异地备份；建立数据存储台账，明确数据存储位置、存储期限、责任人，定期核查数据存储状态。

数据存储期限需符合法律法规及业务需求，超过存储期限的数据，需按照《数据销毁管理细则》进行安全销毁，防止数据泄露。

第十八条数据传输与使用

数据传输需采用加密技术，确保数据在传输过程中不被窃取、篡改；核心数据和重要数据的跨部门、跨系统传输需经过信息化管理部门审核，明确传输范围和权限。

数据使用需严格遵循权限管理规定，用户仅能在授权范围内使用数据，不得擅自向外部泄露、出售或用于其他无关用途；因业务需要对外提供数据的，需经信息化管理部门及相关业务部门审核，签订数据保密协议。

建立数据使用审计机制，对核心数据和重要数据的访问、操作进行全程记录，定期开展数据使用合规性检查。

第十九条数据备份与恢复

运维服务团队需制定数据备份计划，明确备份范围、备份频率、备份方式（全量备份、增量备份）、备份存储位置，核心数据需至少每日备份一次，重要数据至少每周备份一次，一般数据至少每月备份一次。

定期开展数据恢复测试，验证备份数据的完整性和可用性，确保发生数据丢失、损坏时，能够快速恢复数据，核心数据恢复时间不得超过[X]小时，重要数据恢复时间不得超过[X]小时。

备份数据需妥善保管，建立备份数据台账，明确备份时间、备份内容、恢复测试结果，备份介质需进行异地存放，防止因本地灾害导致备份数据丢失。

第六章用户权限管理

第二十条权限分配原则

用户权限分配遵循“最小权限”“权责一致”“动态调整”的原则，仅为用户分配完成本职工作所需的最小权限，权限范围与岗位职责相匹配，根据用户岗位变动及时调整权限。

第二十一条权限申请与审批

用户需使用信息化系统的，由所在部门系统管理员填写《用户权限申请表》，说明申请权限的系统名称、权限级别、申请原因等，经部门负责人签字后，提交信息化管理部门审核。

信息化管理部门根据权限分配原则，核查申请权限的合理性，审核通过后为用户配置账号和权限；核心系统权限、高级别权限需报信息化管理领导小组审批后配置。

第二十二条权限变更与注销

用户岗位变动或业务需求调整需变更权限的，由所在部门系统管理员填写《用户权限变更申请表》，经部门负责人签字后提交信息化管理部门审核，审核通过后调整权限。

用户离职、调岗或不再需要使用某系统时，所在部门需及时通知信息化管理部门，填写《用户权限注销申请表》，信息化管理部门立即注销用户账号及相关权限，确保权限及时回收。

信息化管理部门每季度开展一次权限核查，清理无效账号、冗余权限，确保权限管理规范有序。

第二十三条账号安全管理

用户账号实行实名制管理，用户需妥善保管个人账号和密码，严禁转借他人使用；密码需设置复杂密码（包含字母、数字、特殊符号，长度不低于8位），定期更换（每90天至少更换一次），严禁使用简单密码或重复密码。

用户发现账号被盗用、密码泄露或异常登录时，需立即修改密码，并及时向信息化管理部门报告，信息化管理部门核实后采取安全防护措施。

运维人员账号需单独管理，严格控制管理员账号数量，操作过程全程记录，定期更换密码；严禁使用管理员账号进行非运维工作操作。

第七章安全防护管理

第二十四条网络安全防护

信息化管理部门负责搭建公司网络安全防护体系，部署防火墙、入侵检测系统、防病毒软件、数据防泄漏系统等安全设备，定期更新安全策略和病毒库，防范网络攻击和恶意代码入侵。

严格划分网络区域，实行网络隔离，核心业务系统与外部网络、办公网络与业务网络需进行隔离防护；设置网络访问控制策略，限制非授权设备接入公司网络。

定期开展网络安全扫描和渗透测试，及时发现并修复网络安全漏洞；建立网络安全日志审计机制，对网络访问、数据传输等行为进行全程记录，日志保存期限不少于6个月。

第二十五条终端安全防护

公司所有办公终端（电脑、笔记本、移动设备等）需统一安装防病毒软件、终端安全管理软件，开启安全防护功能，定期进行系统更新和病毒查杀，严禁关闭安全防护软件。

严禁在办公终端上安装未经授权的软件、插件或外接不明存储设备；严禁将办公终端接入不安全网络（如公共Wi-Fi）；严禁利用办公终端存储、处理核心敏感数据。

信息化管理部门定期开展终端安全检查，及时处置终端安全隐患，确保终端设备安全运行。

第二十六条安全事件处置

建立信息化安全事件应急预案，明确安全事件分级、响应流程、处置措施、责任分工等内容，定期组织应急演练，提升安全事件处置能力。

任何部门或个人发现信息化安全事件（如系统入侵、数据泄露、病毒爆发等），需立即向信息化管理部门报告，不得隐瞒、拖延；信息化管理部门接到报告后，立即启动应急预案，组织人员处置，控制风险扩散。

安全事件处置完成后，信息化管理部门组织开展事件复盘，分析事件原因、处置效果，总结经验教训，完善安全防护措施，并形成《安全事件处置报告》，报信息化管理领导小组备案。

第二十七条安全培训与考核

信息化管理部门定期组织开展信息化安全培训，内容包括安全管理制度、网络安全知识、数据安全防护、应急处置流程等，确保所有人员掌握基本的安全防护技能；将信息化安全管理纳入员工绩效考核，对违反安全管理规定的行为进行问责。

第八章监督考核与责任追究

第二十八条监督检查

信息化管理部门定期对信息化系统建设、运维、安全、数据管理及本制度执行情况开展监督检查，每季度至少检查一次，形成《信息化管理监督检查报告》，报信息化管理领导小组。对检查中发现的问题，下达整改通知书，明确整改时限和责任人，跟踪整改落实情况。

第二十九条考核评价

公司将信息化系统管理工作纳入各部门年度绩效考核体系，考核指标包括系统使用合规性、数据质量、安全责任落实、问题整改及时性等。对考核优秀的部门和个人，给予表彰奖励；对考核不合格的，进行通报批评，并督促整改。

第三十条责任追究

对违反本制度规定，有下列行为之一的，公司将根据情节轻重，对相关部门负责人和直接责任人给予批评教育、通报批评、绩效考核扣分等处理；造成系统故障、数据泄露、经济损失或引发法律风险的，依法依规追究责任；构成犯罪的，移交司法机关处理：

未经审批擅自开展信息化系统建设、变更、下线的；

未按规定履行运维职责，导致系统故障长时间未处置或造成数据丢失的；

违反数据管理规定，擅自采集、泄露、出售、篡改数据的；

违反权限管理规定，擅自获取、滥用权限或转借账号的；

违反安全防护规定，导致网络攻击、病毒入侵、终端感染等安全事件的；

发现安全事件或系统问题后隐瞒、拖延报告，或未按要求配合处置的；

其他违反本制度的行为。

第九章附则

第三十一条制度配套文件

本制度配套文件包括《数据分类分级管理细则》《数据销毁管理细则》《信息化安全事件应急预案》《用户权限管理细则》等，由信息化管理部门负责制定和修订。

第三十二条制度修订与解释

本制度由公司信息化管理部门负责解释，根据国家法律法规更新、行业发展变化及公司实际情况适时修订，修订后报信息化管理领导小组审批通过后实施。

第三十三条实施日期

本制度自发布之日起施行。