信息管理制度第一条信息安全管理—、目的1、明确信息安全管理范围及管理职责，使网络安全管理规范化、制度化确保网络安全稳定运行，确保网络信息安全可靠。二、网络及信息安全三、网络规划设计1、原则上网络按功能和业务划分为管理网络、生产网络、办公网络、访客网络，网络间须进行隔离。2、管理网络及VPN网络须向集团信息技术部申请IP地址段，集团信息技术部分配后进行架设部署。四、网络设备选择及使用1、设备需求及关键技术指标由SPV公司提出，集团信息技术部复核确认后由集团信息技术部统一进行设备选型、比价、采购，预算及费用由SPV公司承担。2、基于强化安全管理的原因，网络内禁止使用个人/家用级设备，如：无线路由器、非网管交换机等。1、入网设备必须关闭自动向厂商提交信息的功能。2、除访客网络外，无线网络必须使用用户识别方式进行身份验证。五、安全控制1、网络间如需网络间互相通讯的，管理员同意后经过防火墙等安全设备过滤，以白名单方式对指定流量放行。2、严禁设备厂家不经批准，通过技术手段对设备进行远程控制/获取数据/远程维护。六、管理维护1、网络建设完成后，SPV公司运维人员须向集团信息技术部提交相关验收资料。2、每月进行一次所有设备运行配置备份，提交集团信息技术部。3、严禁泄露设备登录密码及各级操作密码。七、病毒防治管理1、严禁在生产网络、办公网络的计算机上安装非集团、SPV公司正式购买的或未经集团、SPV公司书面批准的任何软件。2、做好生产网络、办公网络的病毒查杀工作。必须按实际情况，安装正版的杀毒软件。定期更新病毒特征库以及病毒扫描。3、网内各设备、计算机需定期安装最新的安全更新/漏洞补丁，以降低安全风险。八、数据备份还原1、SPV公司对自建系统、文件共享服务器等每月至少进行一次完整数据备份，所有备份保留时间由SPV公司自行定义。共用的集团系统由集团信息技术部进行备份。2、SPV公司自建系统每年至少进行一次灾难还原演练，查漏补缺，以降低风险。九、信息保密（一）权限控制1、遵循最低权限原则，避免给用户过高的访问控制权限。2、涉密数据控制访问人员数量，严禁多人共同使用同一账号。（二）备份管理L备份数据不得与生产环境数据存放于同一介质，防止出现因为介质故障、损坏、丢失等情况下发生数据丢失。2、备份数据由专人负责管理维护，避免非授权人员访问。（三）介质管理L存储过涉密数据的介质在处理/废弃之前，须确保原存储的数据无法被还原。2、根据介质类型选择不同的处理方式，包括但不限于：覆写、擦除、粉碎等。处理后须技术人员进行二次确认。十、信息安全检查集团信息技术部每年不定期对SPV公司的信息安全工作进行抽查。检查事项：1、网络安全风险；2、设备运行压力及异常日志；3、漏洞扫描分析。4、数据备份/还原。第二条软件系统管理一、目的1、明确信息软件系统管理范围及管理职责，使软件系统应用规范化。2、确保软件系统合理建设，软件系统应用管理规范。二、软件系统管理(-)软件需求管理1、业务需求部门通过”软件需求申请表"向信息技术部提出业务需求，经部门领导及集团分管领导审批通过。信息技术部根据申请表与业务部门详细沟通、了解业务需求，并判断系统建设方式，转入后续工作。2、”软件需求申请表”用于说明业务总体需求及立项审批，为更加准确描述业务需求，可附带附件、图表等业务相关文档。3、人力资源管理、财务管理、资产管理无特殊情况，必须使用集团统一的或指定的信息系统。(_)软件采购管理1、当系统建设方式确定为采购时，应由业务部门及信息技术部组成项目小组，指定业务需求负责人、系统需求负责人、系统技术负责人，负责评价供应商软件产品，支持采购决策。2、业务部门可推荐备选供应商、信息技术部从市面上广泛了解供应商备选,原则上至少有四家备选供应商应参与采购竞标。3、软件采购范围不仅限于软件产品首次购买，也包含基于产品的定制开发以及产品升级和现有产品替换等凡是有第三方供应商涉及的情况。软件开发管理1、当系统建设方案确定为自建时，应由业务部门及信息技术部组成项目小组，指定业务需求负责人、系统需求负责人、系统技术负责人，支持系统开发按照业务需求要求进行。实施推广管理1、由业务部门及信息技术部门指定人员成立实施推广小组。信息技术部负责实施推广的整体工作，业务部门负责实施推广中的业务决策建议。实施推广小组需编制实施推广计划、实施系统配置及初始化。2、业务部门负责组织业务用户参加系统操作培训，信息技术部门负责具体操作培训讲解及疑问解答,业务部门负责解答业务相关问题。（五）运营维护管理1、原则上每个SPV公司在系统中应至少设立1名业务运营管理员，负责指导并处理业务人员提出的系统中与业务相关的问