1、11.5基礎(chǔ)設(shè)施IT 一般性操縱流程一、業(yè)務(wù)目標(biāo)1 經(jīng)營目標(biāo)1.1 保證信息基礎(chǔ)設(shè)施長期安全、可靠、穩(wěn)定運行。2 合規(guī)目標(biāo)2.1 信息基礎(chǔ)設(shè)施的使用遵守愛護知識產(chǎn)權(quán)、合同法等有關(guān) 國家法律法規(guī)。2.2 信息基礎(chǔ)設(shè)施配置和使用符合股份公司信息系統(tǒng)安全治 理方法等規(guī)定。二、業(yè)務(wù)風(fēng)險1經(jīng)營風(fēng)險1.1 網(wǎng)絡(luò)操縱治理不符合信息安全要求，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非 授權(quán)訪問和攻擊。1.2 服務(wù)器治理不規(guī)范，導(dǎo)致系統(tǒng)運行不可靠、不穩(wěn)定。1.3 備份介質(zhì)治理不規(guī)范，導(dǎo)致備份介質(zhì)損壞或系統(tǒng)及數(shù)據(jù) 恢復(fù)困難。1.4 機房治理不符合規(guī)范和安全要求，導(dǎo)致機房設(shè)備及資源 存在受損的風(fēng)險。1.5 信息基礎(chǔ)設(shè)施故障或信息系統(tǒng)突發(fā)事件

2、處理不及本流程適用于包括 ERP系統(tǒng)在內(nèi)的所有應(yīng)用系統(tǒng)相關(guān)的信息 基礎(chǔ)設(shè)施。時，導(dǎo)致信息系統(tǒng)不能正常運行。2 合規(guī)風(fēng)險2.1 信息基礎(chǔ)設(shè)施的使用未遵守愛護知識產(chǎn)權(quán)、合同法等有 關(guān)國家法律、法規(guī)，股份公司聲譽受到損害，受到相關(guān) 部門處罰。2.2 信息基礎(chǔ)設(shè)施不符合安全規(guī)定，導(dǎo)致系統(tǒng)存在被入侵風(fēng) 險。二、 業(yè)務(wù)流程步驟與操縱點1 網(wǎng)絡(luò)治理1.1 網(wǎng)絡(luò)基礎(chǔ)治理。1.1.1 總部和分（子）公司依據(jù)中國石油化工股份有限公司 網(wǎng)絡(luò)治理方法 （以下簡稱網(wǎng)絡(luò)治理方法 ）及相關(guān)治 理制度和工作流程實施對網(wǎng)絡(luò)的治理 ， 包括網(wǎng)絡(luò)運行維 護治理、網(wǎng)絡(luò)互聯(lián)治理、網(wǎng)絡(luò)設(shè)備密碼治理、網(wǎng)絡(luò)治理 員治理、遠(yuǎn)程接入網(wǎng)絡(luò)治理、病

3、毒防護治理等。1.1.2 各級信息治理部門依據(jù)網(wǎng)絡(luò)治理方法及相應(yīng)崗位職 責(zé)，配備網(wǎng)絡(luò)治理員、安全治理員，由信息治理部門負(fù) 責(zé)人審批。1.1.3 各級信息治理部門負(fù)責(zé)編制網(wǎng)絡(luò)運行維護的相關(guān)技術(shù)文 檔，包括網(wǎng)絡(luò)拓?fù)鋱D、 IP 地址分配表以及網(wǎng)絡(luò)設(shè)備配置 文件等，由專人負(fù)責(zé)整理和保存。1.2 網(wǎng)絡(luò)設(shè)備登錄設(shè)置合理的密碼規(guī)則，密碼要求長度六位 以上，采納數(shù)字和字符組合方式，新密碼不得與前五次 歷史密碼相同。網(wǎng)絡(luò)治理員必須每六個月修改網(wǎng)絡(luò)設(shè)備 登錄密碼，填寫密碼更換記錄，經(jīng)安全治理員確認(rèn)并在 信息治理部門備案。1.3 網(wǎng)絡(luò)互聯(lián)安全治理。1.3.1 總部和分（子）公司依據(jù)網(wǎng)絡(luò)治理方法相關(guān)要求， 在關(guān)鍵網(wǎng)絡(luò)

4、互聯(lián)接口處部署安全設(shè)備，信息治理部門授 權(quán)專人負(fù)責(zé)安全設(shè)備的治理， 并備有安全設(shè)備配置文檔。 分（子）公司與外部網(wǎng)互聯(lián)情況上報信息系統(tǒng)治理部備 案。1.3.2 安全治理員每季度對安全設(shè)備的規(guī)則進行復(fù)核、確認(rèn)、 檢查，填寫安全設(shè)備配置檢查記錄表。1.3.3 安全治理員每周對網(wǎng)絡(luò)設(shè)備登陸日志、防火墻日志、入 侵檢測日志等進行分析審計。1.4 終端用戶接入治理1.4.1 用戶終端接入網(wǎng)絡(luò)需填寫申請表，由申請人所在部門確 認(rèn)，信息治理部門 （責(zé)任處 （科）室） 負(fù)責(zé)人批準(zhǔn)并備案 申請表內(nèi)容應(yīng)包含終端接入安全責(zé)任條款。1.4.2 建立用戶登錄網(wǎng)絡(luò)認(rèn)證機制，幸免對中國石化內(nèi)部網(wǎng)絡(luò) 未經(jīng)授權(quán)的訪問。1.4.

5、3 依照人事部門提供的人員離職交接表，信息治理部門應(yīng) 及時注銷該用戶的網(wǎng)絡(luò)接入服務(wù)。1.5 遠(yuǎn)程接入網(wǎng)絡(luò)申請人依據(jù)網(wǎng)絡(luò)治理方法相關(guān)要求， 填寫遠(yuǎn)程接入服務(wù)申請表和遠(yuǎn)程用戶接入服務(wù)安全承諾 書，由所在部門負(fù)責(zé)人確認(rèn)， 信息治理部門（責(zé)任處 （科） 室） 負(fù)責(zé)人審批并備案。1.6 依據(jù)網(wǎng)絡(luò)治理方法相關(guān)要求，網(wǎng)絡(luò)治理員負(fù)責(zé)部署 防病毒系統(tǒng)并及時進行版本和病毒特征庫的升級；安全 治理員每周對防病毒系統(tǒng)日志進行分析審計。2 服務(wù)器治理2.1 各級信息治理部門配備系統(tǒng)治理員， 由信息治理部門 （責(zé) 任處 （科）室 ）負(fù)責(zé)人審批。2.2 系統(tǒng)治理員須建立服務(wù)器檔案， 內(nèi)容包括設(shè)備的詳細(xì)硬 件配置、設(shè)備唯一性

6、標(biāo)記和設(shè)備用途等信息。2.3 服務(wù)器操作系統(tǒng)治理。2.3.1 操作系統(tǒng)用戶須填寫操作系統(tǒng)用戶申請表， 經(jīng)信息治理 部門（責(zé)任處 （ 科）室 ）負(fù)責(zé)人審批后，由系統(tǒng)治理員創(chuàng) 建。2.3.2 系統(tǒng)治理員每半年檢查操作系統(tǒng)用戶授權(quán)情況并記錄， 對超期使用帳號的用戶進行鎖定或刪除。2.3.3 操作系統(tǒng)用戶密碼要求長度八位以上， 采納數(shù)字和字符 組合方式，新密碼不得與前五次歷史密碼相同。系統(tǒng)治 理員至少每季度修改操作系統(tǒng)用戶密碼， 填寫密碼更換 記錄、經(jīng)安全治理員確認(rèn)并在信息治理部門備案。2.3.4 系統(tǒng)治理員監(jiān)控操作系統(tǒng)運行情況， 每日巡檢操作系統(tǒng)日志，并將巡檢情況記錄存檔。安全治理員每月對系統(tǒng)巡檢記

7、錄進行檢查，對存在問題提出整改意見，上報信 息治理部門（責(zé)任處 （ 科）室 ） 負(fù)責(zé)人審批后實施。3 機房治理。3.1 各級信息治理部門依據(jù)相關(guān)制度和規(guī)范， 制定計算機機房治理方法，實施對機房的治理。治理方法要緊內(nèi)容包 括人員出入治理、設(shè)備出入治理、機房工況治理等。3.2 機房應(yīng)設(shè)門禁系統(tǒng)， 或由專人負(fù)責(zé)機房出入治理并填寫人員出入登記表。3.3 設(shè)備出入機房， 攜帶設(shè)備人員填寫設(shè)備出入登記表， 登記表由信息治理部門（責(zé)任處 （ 科）室） 負(fù)責(zé)人審批并備 案。3.4 機房治理人員每日對機房 UPS空調(diào)、溫濕度和電源系統(tǒng)巡檢，并填寫巡檢記錄。4 備份介質(zhì)治理。4.1 系統(tǒng)治理員要對備份介質(zhì)進行標(biāo)記

8、。標(biāo)記內(nèi)容有：備份介質(zhì)編號、應(yīng)用名稱、 IP 地址、備份日期、備 份內(nèi)容和備份人。4.2 ERP 等重要信息系統(tǒng)的備份介質(zhì)必須異地存放并分類存檔。系統(tǒng)治理員按照廠商提供的使用年限按期 更換備份介質(zhì)。備份介質(zhì)存放環(huán)境和備份介質(zhì)存儲 內(nèi)容的銷除滿足備份治理方法的相關(guān)要求。4.3 備份介質(zhì)有出入庫記錄。借出備份介質(zhì)時，借用人須填寫申請表，經(jīng)相關(guān)部門負(fù)責(zé)人審核，信息治理 部門（責(zé)任處 （科）室 ）負(fù)責(zé)人審批后，辦理介質(zhì)出 庫手續(xù)。5 故障處理5.1 信息治理部門負(fù)責(zé)制訂本單位信息基礎(chǔ)設(shè)施故障處理流 程及應(yīng)急預(yù)案。5.2 網(wǎng)絡(luò)、服務(wù)器發(fā)生故障時，運維人員應(yīng)及時處理故障， 并填寫工作記錄。5.3 終端用戶

9、計算機設(shè)備發(fā)生故障時，運維人員及時處理故 障并填寫工作單。故障處理完畢后，用戶須對處理結(jié)果 加以確認(rèn)。工作單由信息治理部門負(fù)責(zé)備案。5.3 信息基礎(chǔ)設(shè)施應(yīng)急預(yù)案須每年安排適當(dāng)時刻進行演練并 記錄。7 / 7四、 相關(guān)制度目錄 （制度后標(biāo)號為 內(nèi)部操縱手冊配套規(guī)章 制度匯編目錄索引號）1 中國石油化工股份有限公司網(wǎng)絡(luò)治理方法 （ 石化股份信 系 20076 號 ） 2.10.52中國石油化工股份有限公司信息系統(tǒng)安全治理方法（ 試行 ） （石化股份信系 200635 號） 2.10.23 中國石油化工股份有限公司信息基礎(chǔ)設(shè)施治理方法（ 試行 ）（ 石化股份信系 200636 號） 2.10.74 中國石化