内部资料 注意保密 信息化管理手册 CSCECXJ-IT-2024 中建新疆建工(集团)有限公司 CSCEC XINJIANG CONSTRUCTION& ENGINEERING GROUP CO_LTD 二O二四年一月
目录 总则 1. 1 目的 1.2 范围. 1.3 依据.. 1. 4 管理原则. 1.5 主要应对风险 1.6 术语和定义, 2 职贵与权限 2.1 管理职责. 2.2 审批权限 3 管理要求.. 3. 1 信息化建设, 3.2 信息系统推广管理. 3.3 信息化运维... 3.4 软、硬件资产管理 43 3.5 信息化情况报送, 2 3.6 网络安全.. 49 3.7 应急处置.. 75 4 评价与改进, 79 4.1 业务检查. 6 4. 2 绩效评价.. 81 4.3 管理改进. 81 5 附则. 82 5.1 解释与修订.
82 5.2 表单, 5.3 模板. 88
1 总则 1.1目的 为深入学习贯彻习近平新时代中国特色社会主义思想和党的二十 大精神,贯彻新发展理念,推动高质量发展,适应信息化发展需要, 完善企业信息化管理体系,规范信息化管理流程,促进企业信息化 健康有序发展,建立健全网络安全保障和工作责任体系,提高网络 综合治理能力,支撑信息化工作战略推进落实,特制定本管理手册, 本手册不包含涉及国家机密信息系统的管理.
1.2 范围 本手册是规范各级企业信息化管理的基本制度,适用于中建新疆建 工总部、运营总部及二级单位、三级单位、项目部.
1.3 依据 《中华人民共和国网络安全法》: 《中华人民共和国数据安全法》: 《中华人民共和国著作权法》: 《计算机软件保护条例》; 《数据中心设计规范》(GB50174-2017): 《信息系统安全等级保护》标准: 《中国建筑股份有限公司信息化发展管理规定(2020版)》; 《中国建筑股份有限公司信息化项目建设管理规定(2020版)》: 《中国建筑股份有限公司网络安全管理规定》: 《中国建筑股份有限公司人员网络安全管理细则》: 《中国建筑股份有限公司网络安全风险管理细则》; 《中国建筑股份有限公司网络安全建设管理细则》: 《中国建筑股份有限公司网络安全运维管理细则》: 《中国建筑股份有限公司主数据管理办法》: 《中国建筑股份有限公司电子邮件系统管理办法(2020版)》.
1.4管理原则 统一规划、统一投资、统一建设、统一架构、统一标准、统一数据, 集中部署、分级共享.
1.4.1安全第一 管理信息系统是企业信息流转的前提和保证,信息的建立、传输、 保存必须保证安全.
8/1
1.4.2分级管理 建工总部负责管理信息系统的开发和建设,下属公司负责管理信息 化系统推广应用.
1.4.3可靠性、可扩展性.
1.4.4专业性 信息化技术保障、支撑与服务能力要适应企业的战略发展,信息化 管理从业人员要充分体现出专业性,掌握较高业务技能.
1.5 主要应对风险 1.5.1黑客攻击、终端系统漏洞造成的网络风险: 1.5.2技术更新风险; 1.5.3信息系统不能满足管理需要的风险; 1.5.4新开发系统兼容性风险; 1.5.5数据搜集准确性和及时性、数据口径风险: 1.5.6数据泄露风险: 1.5.7设备老化、更新不及时不能满足海量数据的存储风险; 1.5.8 因网络安全组织不完善、职责不明断导致网络安全责任难以有效落 实的风险: 1.5.9 人员网络安全管理不规范、意识不足等人为因素导致的企业敏感信 息泄露的风险; 1.5.10软件产权保护及使用正版软件意识薄弱等发生相关风险; 1.5.11因网络安全建设不合规导致业务系统无法安全稳定运行的风险.
1.6术语和定义 1.6.1信息化 是指企业利用信息技术,开发利用信息资源,提供信息知识服务, 促进生产作业高效化,提高运营管理精细化,推动战略决策科学化 的过程.
1.6.2软件 系统软件指支持并指挥计算机运行的软件,主要是计算机操作系统、数 据库管理系统等.
工具软件指用户使用的各种工具软件,如:办公软件、防病毒软件、 2/84
ADOBE公司系列产品等.
专用软件指根据企业的业务要求而采购的专用软件,如CAD制图类、 BIM类、结构类等软件.
1.6.3信息系统 是指用于支撑和服务于企业管理或项目管理的信息化软件系统.
1.6.4IT基础设施 保证信息系统正常运行的硬件设备.
包括网络、服务器、存储、机 房等硬件设施.
1.6.5两化融合 是指发挥信息系统的特点或利用信息化手段,将标准化的业务管理 形式转化为信息化管理方式,实现“流程标准化,标准信息化”的 目的.
1.6.6信息化标准 是指信息化建设中共同遵守的工作准则和方法依据,包括两方面: 一是数据标准,是指数据产生、应用、运营工作准则,如主数据标 准、元数据标准等.
二是技术标准,是指信息化建设中技术运用工 作准则,如:信息累统程序开发标准、信息系统数据库设计标准等.
1.6.7主数据 是指在整个企业范围内各个系统间要共享和传递的数据,通常需要 在整个企业范围内保持一致性、完整性、可控性.
1.6.8数据治理 是组织中涉及数据使用的一整套管理行为.
由企业数据治理部门发 起并推行的,关于如何制定和实施针对整个企业内部数据的商业应 用和技术管理的一系列政策和流程.
1.6.9网络安全 是指通过采取必要措施,防范对网络及信息系统的攻击、侵入、干 扰、破坏、非法使用和意外事故等,使网络及信息系统处于稳定可 靠运行的状态.
1.6.10网络安全等级保护 是指根据信息系统网络安全等级,依照相关标准要求,按等级保护、 按等级监管,对使用的网络安全产品实行按等级管理,对发生的网 络安全事件按等级响应、处置.
8/E