人社局信息系统管理制度

一、日常运行维护管理制度

1、维护内容

日常运行维护管理的内容主要包括主机维护、存储系统维护、系统软件维护、安全系统维护、应用系统维护、软件版本升级。

（1）主机维护

主要是对小型机、PC服务器进行日常维护。包括硬件外观检查，系统状态指示灯检查，清除灰尘等。

（2）存储系统维护

主要是对数据备份设备进行维护。包括对双机备份系统的日常检查和维护、系统运行日志的监控、服务器系统内存、CPU以及负载检查、服务器系统空间检查、综合调整系统配置使系统性能最优、按照备份管理办法完成对操作系统、数据库及应用系统的日常备份、完成诸如增加用户、修改系统配置、提供系统咨询、解决系统问题等。

（3）系统软件维护

主要是对数据库、中间件、操作系统等系统软件的维护。对运行数据库进行日常检查、维护和操作、调整数据库配置参数等。

（4）安全系统维护

主要是对主要对安全保障的平台进行维护。包括安全系统状态、关键安全功能测试和安全日志检查、服务器系统安全检查，检查系统是否有可疑帐户及工作组、系统安全扫描、漏洞扫描等。

（5）网络维护

主要维护网络设备、链路和相关软件，保证网络的正常运行。包括网络系统状态与联通性检测、Internet网络联通检测等。

（6）应用系统维护

主要是对各个应用软件、应用平台进行维护。包括对应用程序执行情况的监控和维护，系统运行日志的监控等。

（7）软件版本升级

在需要软件升级时，首先应从原厂商那里取得要更新的软件在信息中心模拟环境下首先进行测试，确保正确；并由原厂商提供详细的操作说明，说明可进行软件升级的内容，软件升级、迁移，在原厂商指导下进行；在必要的情况下，应由原厂商提供远程或现场的指导、支持。

2、维护方式及人员安排

对以上内容的维护管理一般分为日常性维护、预防性维护与巡检。

（1）日常性维护管理

维护管理人员应在工作日内每天对各项系统的工作情况按照维护内容进行严格检查。查看各类设备是否清洁，如有粉尘要及时清除。查看各类设备工作是否正常，有无故障，有无隐患。一旦发现问题，应及时报告股室负责人，由股室负责人视问题性质和轻重程度组织安排人员处理解决，问题严重的需及时报告分管领导。

维护管理人员应对每天的检查情况做好检查记录，发现问题的，还应详细记录问题描述、问题处理过程以及处理结果等。

日常维护管理人员由二名信息中心专职人员组成，其中一人负责主机维护、存储系统维护和安全系统维护，另一人负责系统软件维护、应用系统维护和软件版本升级。

（2）预防性维护与巡检

预防性维护主要是针对正常运行的设备、应用软件、系统软件等定期进行设备测试检查，找出隐患，尽早排除。对于系统性能问题予以调整，并定期进行设备的清洁保养。主要工作方式为巡检，由软件集成商进行现场维护。一般情况下要求一个月一次的定期巡检，如遇突发情况下，要求2小时之内到场。同时，要求做好维护与巡检记录。

二、安全防范管理制度

安全防范管理制度内容主要包括机房安全管理制度、网络安全管理制度、设备安全管理制度、介质和资料安全管理制度、数据备份管理制度、用户权限管理制度、人员安全管理制度、应急管理制度、工作人员安全教育制度。

1、机房安全管理制度

（1）信息中心配备机房安全人员，专门负责机房的防火、防盗，负责机房供电系统、空调系统、通风系统的安全和日常养护工作，定期检查机房设施情况，做好安全记录，并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育，提高安全意识。

（2）机房工作人员要进行必要的消防器具使用培训，做到会使用灭火器具。

（3）严禁易燃、易爆、易腐蚀品进入机房。严禁将水洒落在机房设备和地板上。严禁踩踏机房电源插座或网线插座。未经许可,非机房工作人员严禁动用各种电源开关，严禁动用任何线路和设备。

（4）机房工作人员必须严格遵守各项操作规程。拆装设备时，不准带电作业；维修设备时，必须先切断电源，再行维修；禁止使用汽油、酒精等易燃、易爆品清洗带电设备。

（5）机房必须保持安静、整洁，严禁喧哗、会客、吸烟。机房内实际温度应保持在20℃__ 25℃之间，相对湿度保持为45%__ 65%。所有进入机房人员必须换拖鞋。

（6）严格执行机房值班制度,做好值班记录。值班记录应载明机房设备使用登记情况，凡机房的系统、设备及其图纸、随机资料等只限在机房内使用，未经批准不得带离机房。

（7）严禁无关人员进入机房。机房禁止会客。对外来参观单位，需由信息中心派专人陪同。

（8）机房内的网络设备、计算机设备采用实时监控、定期养护，确保设备始终处于良好的运行状态。

（9）为保证系统安全,除网络管理员外,任何人未经批准,不准对机房内网络或计算机设备进行操作。

（10）机房值班员应认真负责，及时解决问题。当出现突发事故，机房报警时，值班员应立即报告，并采取紧急措施。

（11）严禁携带病毒盘和游戏进入机房，严禁在因特网上与工作无关的内容，以防系统被破坏。

（12）严格机房钥匙管理。机房钥匙不准转借，若丢失应及时采取补救措施。

（13）每周由安全负责人对整个安全情况做一次彻底检查，并作好安全检查记录。

（14）除工作需要,下班后,任何人不许在机房停留。

（15）严格遵守国家及各级有关安全与保密方面的法规和规章制度。

2、网络安全管理制度

（1）部署防病毒软件，通过服务器设置统一的防毒策略，获取完整的病毒活动报表，实施集中的病毒码和程序更新。

（2）部署防火墙，实时监控网络数据包的状态，网络上流量的动态变化，并对非法数据包进行阻断，防范网络上的攻击行为。

（3）部署IDS设备，作为防火墙的合理补充，入侵检测技术IDS可以识别黑客常用入侵与攻击手段、监控网络异常通信、鉴别对系统漏洞及后门的利用、完善网络安全管理，主动发现网络的隐患，帮助防火墙对付网络攻击。

（4）部署漏洞扫描系统，通过对网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查，测试该系统上有没有安全漏洞存在；系统管理员通过了解扫描出来的安全漏洞报告，及时修补漏洞，从根本上解决网络安全问题，有效的阻止入侵事件的发生。

（5）部署物理隔离网闸，对来自可信网及不可信网的数据进行预处理及内容检测、协议分析、访问控制，安全决策、查病毒等一系列安全检测，完全阻断网络间的TCP/IP连接，剥离通用协议，将数据通过专有数据格式由网络的一端发送到另一端，同时集成多种安全技术对进出数据进行安全检测，保证交换信息的安全，并完美的解决了网络间边界防护和安全信息交换的需求。

3、设备安全管理制度

（1）数据中心机房所有设备必需设立设备操作管理档案,详细记录人员对设备操作情况，包括操作人员、操作开始时间、结束时间、操作命令等记录。

（2）数据中心机房所有设备必需设立中心所有设备信息管理档案，详细记录设备及软件的名称、型号、购买日期、保存场地、运行及维修情况等。

（3）如设备出现故障需要维修时，机房值班人员应该全程陪同指明须维修的设备，避免误操作。中心设备如需运出中心机房进行维修，维修前业务软件及数据要完全备份并彻底清理。

（4）定期清理数据中心设备外壳及工作台，需保持设备所在场所干净卫生，严禁在设备周围放置食物、易燃、易爆、易污染等物品。

（5）定期对主机设备进行杀毒、运行状态检查。

（6）严禁非专业维修人员拆卸数据中心相关设备，操作时应配带防静电手腕。

4、介质、资料安全管理制度

（1）介质、资料包括应用软件、系统软件或业务数据的光盘、磁盘、磁带和硬盘以及所有设备的使用说明、维护手册等。

（2）介质、资料入库要登记造册，介质的升级、报废等，由专人负责保管，所有介质、资料应存放在专门的管理柜中。介质、资料的存放地点应通风良好，温湿度适宜，对特殊要求的介质、资料应放置在规定要求的环境内。

（3）运行维护人员因检修设备需要领取介质、资料时，必须先登记。使用归还情况应及时做记录。紧急情况下可口头通知，但事后须及时补填登记。

（4）应定期检查介质、资料的可用性，版本不是时应尽快通知设备厂商升级。

（5）淘汰、损废的磁盘、磁带等重要介质要经中心主任同意后集中销毁。

5、数据备份管理制度

（1）定期、及时的对数据库数据、日志等进行备份。数据备份实行日备、月备。

（3）制作备份的数据要确保系统一旦发生故障时能够快速恢复，备份数据不得更改。

6、用户权限管理制度

（1）用户采用"分级授权，统一管理"方式，即操作员所能进行的业务操作要设定权限级别。

（2）权限级别由专人管理，信息中心由系统管理员管理，主要职责是负责各镇（街道）用户和各单位网管员操作帐户管理，并严格按照各镇（街道）以及各业务单位职责分配部门操作权限。

部门职责分配按照局相关部门规定执行。若部门职责变动应及时通知信息中心，以便重新分配部门权限。

各单位应指派一名网管员，负责本单位内部操作用户的管理，并根据本单位各业务人员的工作职责分配操作权限。

（3）用户只能拥有自己业务范围内的操作权限，系统管理人员以及各单位网管员不得随意授予与其无关的操作权限；对于随意授权造成的后果将追究相关人员的责任。

（4）账号是计算机鉴定操作员合法身份的依据，凡用合法账号登录所进行的操作均视为账号持有者所为。

（5）操作员本人应对密码必须严格保密，不得外泄。若因密码外泄造成损失的，将追究当事人责任。

（6）为防止弱口令，密码应是字母、数字和特殊字符的组合，且不能小于6位。

（7）各单位，镇（街道）由于人员离职、操作员用户必须予以封存，不允许删除。

7、人员安全管理制度

（1）安全管理员、系统管理人员等要重要岗位人员，上岗前要严格进行审查和业务技能考核，择优上岗。

（2）运行维护人员应熟悉系统设备的基本原理和结构，熟悉系统及运行方式，能熟练地进行正常操作，并能够处理系统异常和故障。

（3）定期对各类计算机人员进行法制教育、安全意识教育和防范技能培训。

（4）重要岗位人员调离时，严格按照规定办理调离手续，各种资料的移交，系统密码、操作员密码的更换要在安全管理员监督下完成，并办理接交手续。

（5）调离人员离岗后，不得泄漏任何涉及安全保密的信息。

8、应急管理制度

灾难应急处理流程是对因人为或自然灾害造成的涉及全局的一时难以恢复的破坏性事件的处理流程。具体流程如下：

1）制定应急计划

◆风险评估

◆关键业务影响分析；

◆关键业务持续运行计划；

◆技术恢复流程制定等。

2）应急设备的维护

◆提供与设备系统及配置相匹配的备机；

◆7_____24小时的监控与维护

3）应急恢复流程培训

◆对维护人员进行灾难恢复流程培训

◆使用灾难发生后会涉及的所有设备

◆模仿真正灾难发生后的设备配置和系统加载状况

4）应急业务恢复

◆灾难核实及业务恢复方案启动；

◆备用设备在约定时间内到位；

◆供应商提供技术支持和指导；

◆故障设备的维修；

◆业务恢复后，恢复计划的回顾和改进。

病毒应急处理流程

病毒应急处理包括在病毒爆发前的预防性处理和病毒爆发后的紧急处理流程。具体内容如下：

◆病毒处理流程建立

◆预防性病毒警告

◆应急病毒防范与处理机制

◆全网性升级与病毒查杀措施

◆危害降低机制

◆后续报告与补救措施

安全事件应急处理流程

安全事件应急处理流程包括：

◆安全应急流程建立

◆事件识别

◆缩小事件影响范围

◆事件解决

◆后续报告与处理机制

◆补救措施

9、工作人员安全教育培训制度

应根据上级规定的培训制度和年度培训计划要求，将系统的学习纳入培训计划并按期完成。

（1）规程学习，根据本单位实际安排有关规程的学习。

（2）现场培训项目，按规定进行反事故演习。

通过培训使维护人员达到以下标准：

1）熟悉系统设备的基本原理和结构，熟悉系统连接及运行方式。

2）能审核设备维修、检测记录，并能根据设备运行情况和巡视结果，分析设备健康状况，掌握设备缺陷和薄弱环节，能对设备状态做出基本评估。

3）熟悉运行规程内容，遇有设备变更时，能及时修订和补充运行规程，保证运行操作、事故处理正确。

4）熟悉设备的操作要领和相应的操作程序。

5）能熟练、正确地进行事故处理。

10、安全保密管理办法

（1）、遵守国家有关法律、法规，严格执行中华人民共和国计算机信息网络安全保密规定。

（2）不得泄漏有关市劳动保障信息系统的机密信息，数据以及文件等

（3）不得泄漏如帐号，密码等信息。

（4）未经授权，任何人不得使用与自己操作权限无关的功能。

（5）不得干扰和妨碍他人的正常工作。

（6）各部门要配合信息中心进行必要的安全检查。如有违反安全保密制度的情况，将视其情节轻重，根据信息中心管理规定，对当事人进行必要的处理。

（7）未经允许严禁擅自复制、、传播市劳动保障信息系统数据。

（8）业务数据必须按规定进行日备、月备和年备，并妥善保存备份盘。月终和年终盘备份两份，一份异地(与中心机房不同建筑物)长期保存。非经领导允许，严禁携带数据盘外出。

三、应用程序及数据维护管理制度

1、市劳动保障信息系统需求提交及问题处理规范

所有涉及业务应用系统功能新增、减少、变更以及出现问题的处理均按下述步骤执行。

第一步：需求变更和问题处理申请

各单位在应用软件使用过程中，根据实际工作需要，提出系统功能新增、减少、变更以及发现问题需处理的，首先应由需求提交人（一般情况下为股室负责人）填写《信息系统需求变更和问题处理提交表》（ 一），一表一需求，经单位负责人签字后提交给信息中心指定人员。

各镇（街道）在使用软件过程中提出的新需求和问题处理，集中反映到归口部门后，由该部门按上述过程统一提出申请。

第二步：现场解释和交流

为保证信息中心人员和软件开发人员对业务部门提出的需求和问题有一个正确的理解，需求提出人提交申请后，信息中心指定人员应积极引导其与软件开发人员进行现场交流，对需求和问题进行详尽的解释，并积极参与。

第三步，需求变更、问题处理的评估、实施和意见反馈

分现场即时处理和限时处理：

1、现场即时处理：经现场解释交流后，信息中心人员和软件开发商要共同对需求变更做综合性和可行性评估，在对现有系统和数据没有较大影响或者改变、不涉及其他业务部门业务、技术可行的条件下，各单位的需求变更和问题处理申请经信息中心软件技术人员和开发公司项目经理在签署接收同意意见后实施。并将同意实施意见当场反馈给需求提交人，由需求提交人签字确认已接收到反馈意见。

2、限时处理：若信息中心技术人员和软件开发商中有一方认为提交的需求变更涉及到原有系统和数据的重大改变，不适宜实施变更的，或技术不可行的情况下，需签署接收意见，说明暂不能接收原由后，由信息中心负责组织相关人员开展进一步的评估后确认实施与否。事情重大的，报分管同意后实施。并在需求提出日期后二个工作日内将处理意见反馈给需求提交人，由需求提交人签字确认已接收到反馈意见。

需求若涉及其他部门业务的，需业务双方单位负责人签字同意后提交申请；涉及调整变更的，需相应行政科室负责人签字同意后提交申请。

若经现场解释交流后，需求提交人认为需求申请需要有所调整或变更的，需重新按申请程序提交申请。

第四步，处理结果反馈

1、信息中心和开发商应尽量满足业务部门的信息需求，并在计划完成日内对系统程序作出相应调整，并使程序达到最大优化。

业务部门有需求调整的，要尽早向信息中心提出，以保证信息中心有充裕的时间完成程序调整。一般的简单需求在信息中心接收后2至3个工作日内完成，稍复杂的在7至10个工作日内完成，涉及到变更以及程序调整较大的视具体情况而定。

2、需求变更和问题处理完毕后，开发人员要及时告知信息中心指定人员，由该人员通知需求提交人进行程序的测试和使用，并签字确认处理结果。需求提交人有责任对处理情况及时告知本部门签字领导。

其他事项：

信息中心人员应认真做好各单位需求变更和问题处理登记记录，并将妥善保管、存档。

3、数据后台修改管理办法数据后台修改程序规范

（1）严禁任何业务人员随意地要求信息中心或开发人员进行数据后台修改，也严禁信息中心和开发人员擅自对后台数据进行处理，造成的后果将追究相关当事人的责任。

（2）在前台业务办理出现差错时，应主动积极寻求在前台修正解决的办法。除以下三种特殊情况外，一般情况下不允许进行数据后台修改。

（1）老系统遗留的数据问题；

（2）老系统数据经合并后出现部分信息不准确或缺失；

（3）前台业务处理差错，经业务部门、信息中心、开发商三方共同确认前台操作无法补救或修正的。

（4）由于以上三种情况确需进行数据后台修改的均需严格遵照以下流程进行操作:______< /p>

第一步：申请

由申请部门填写《数据后台修改申请单》（ 二），将申请事项写明原由以及修改要求由申请部门负责人签署同意修改的意见后，将申请单递交给信息中心。

各镇（街道）若需申请数据后台修改应先向业务单位提出，由业务部门按上述过程提出申请。

第二步：评估

递交申请后，由信息中心指定人员和开发公司共同对其修改事项进行可行性评估，确实可行的确定修改方案，并需对该数据修改产生的后果进行全面细致的分析。

第三步：确认

开发公司和信息中心对后台数据修改进行评估和风险分析后，根据评估和风险评估结果，签署是否同意修改的意见，若不同意修改，需写明原因。此意见需由开发公司项目经理和信息中心主任分别签署，并需经申请部门负责人确认签字。评估和确认过程信息中心应在申请部门提出申请之日起三个工作日之内完成。

第四步：实施

三方共同确认同意修改的进入实施阶段，一般情况下由信息中心指定人员对数据实施后台修改。修改人需严格根据已定的修改方案实施修改，坚决杜绝随意修改的情况。修改时需由信息中心技术人在场监督。

第五步：记录和结果确认

所有涉及数据后台修改的，应由修改人做好详细的修改过程记录并签字，同时在登记表上做好登记。修改完成后修改结果交由申请部门负责人签字确认。

3、数据定时检查纠错和质量控制制度

（1）对劳动保障信息系统内的所有业务存储数据实行一个月一次的定期检查。

（2）数据检查内容包括是业务数据是否输入错误（主要从逻辑关系上判断）、业务办理数据是否符合规定、系统参数设置是否正确、计算公式是否准确等。

（3）明确分工，落实责任，定时做好数据检查纠错工作。

（4）加强数据质量控制管理。相关人员要定期对数据库中数据进行整理，对数据库中的无效数据表单、冗余数据、数据碎片、逻辑错误数据等方面内容进行优化整理，确保数据完整准确。

（5）一旦发现业务数据错误，要及时交于业务部门核对，由业务部门进行前台修正，前台无法修正的，进入数据后台修改程序。