IT管理规范(初步)
2024-04-29 19:46:31 0 举报AI智能生成
IT管理规范(初步)
作者其他创作
大纲/内容
IT管理规范(初步)
总体
适合全集团
自研软件
外采软件
满足内审(含内审合规项目)、外审,软件研发管理要求
管理闭环
有制度、有执行、定期审阅(流程审阅、软件操作日志审阅)
各项任务需要责任到人定期审阅并记录审阅结果
产出文档成果
全员信息安全规范及制度
用户管理规范
运维及研发管理详细规范
运维
机房管理
日常运维管理
……
研发
研发项目管理
研发管理规范
……
网络安全及信息安全管理
数据安全
加密系统
防止信息泄露,如公司机密外泄等措施
……
系统安全
定期更新补丁
定期更新各种中间件补丁
……
网络安全
防火墙等
网络攻击
如何防范?
当出现如何处理?
定期审阅和监控
……
机房安全
和信息机房安全及访问控制
机房访问安全,出入登记等
不允许外部硬件进入机房:如移动硬盘等
……
核心机房环境安全防护及巡检
定期审阅和监控
……
mbp
灾备管理
数据库备份及恢复机制
定期审阅和监控
其他
是否有灾备计划?会对灾备计划定期测试吗?
……
用户管理
整体说明
账号的增加、修改、注销或禁用或删除需要有流程并有记录
员工入、离、调、转需要有想用的账号或账号权限变化且可追溯
一般用户账号及权限需要定期审阅并且有记录
服务器&数据库&应用系统管理员账号需要定期进行授权及审阅并且有记录
账号管理
服务器管理员账号
增加
修改
注销或禁用或删除
mbp
数据库管理员账号
增加
修改
注销或禁用或删除
mbp
数据库一版账号管理(含系统程序使用的账号)
增加
修改
注销或禁用或删除
mbp
系统账号管理(应用账号)
一般用户
增加
修改
注销或禁用或删除
超级管理员账号
增加
修改
注销或禁用或删除
分级管理与账号(如应用管理员等)
增加
修改
注销或禁用或删除
mbp
账号密码策略
服务器管理员账号
密码复杂度
密码定期修改策略
mbp
数据库管理员账号
密码复杂度
密码定期修改策略
mbp
数据库一般账号管理(含系统程序使用的账号)
密码复杂度
密码定期修改策略
系统账号管理(应用账号)
密码复杂度
密码定期修改策略
mbp
账号权限管理
权限增加、修改、删除
定期审阅和监控
网络安全及信息安全管理培训
需要培训记录并可追溯
签署信息安全责任书:数据泄露等条款
每年有网络与信息安全的风险评估??
定期审阅和监控
不相容职责相分离
开发人员与应用运维管理员分离
开发与运维人员分离
开发与上线分离(运维上线)
其他
变更管理
整体说明
需要有合规管理流程且可追溯
若对各软件修改需要软件保留相关日志且可追溯
定期审阅
服务器设置变更
硬件变更(含升级或更换等)
操作系统变更(含省级或参数变化等)
流程:运维内部流程
mbp
数据库变更
增加或删除或修改字段
增加表等对象
数据变更
流程
非研发法器变更【前置为用户需求流程】
研发法器变更
mbp
已上线应用系统变更管理
非研发发起变更
研发发起变更
mbp
其他
定时任务管理【可以体现在开发规范中】
日常管理
执行日志
正常日志
异常日志
异常时补偿机制
变更管理
参考变更管理中,已上线应用系统变更管理
mbp
接口规范【可以体现在开发规范中】
建立对数据传输准确性的校验机制以及对异常情况的处理机制,并确保财务数据在不用系统间传输的准确性,确保系统和业务的有效运行
接口设计规范???【Review的依据】
运维日常管理
服务器定期巡检
现场展示对服务器运行的监控,如内存、网络、CPU使用率、并截图
现场展示服务器异常报警的邮件(或其他报警信息,如手机短信等),以及异常原因分析,解决的材料。并截图
日志管理
登录日志
操作日志
账号CRUD
权限的CRUD
系统自动记录应用层、操作系统层、数据库层的操作日志,有MIS部组织人员每季度定期对系统操作日志进行审核
对于发现的可以试想应及时进行调查和分析,如确实属于操作不当或非法操作应及时跟进解决
并与有关部门进行沟通和确认,对日志审阅及问题发现和跟进结果进行记录,与每月最后周周报中提交MIS部总监审阅
对于发现的可以试想应及时进行调查和分析,如确实属于操作不当或非法操作应及时跟进解决
并与有关部门进行沟通和确认,对日志审阅及问题发现和跟进结果进行记录,与每月最后周周报中提交MIS部总监审阅
定期日志审阅
日常需求及问题管理
整体说明
需要定期审阅并有审阅记录
系统功能需求提交流程
新功能
原功能优化:增加字段
原功能优化:增加字段值
字段维护
原功能优化
流程:提交人->部门->部门负责人审批->上线部门负责人审批->产品负责人接收->沟通反馈->确认方案->研发……
其他
新需求、优化需求或bug提交处理流程
数据管理
数据导出流程
数据库数据变更(修改或删除)流程(对数据操作阶段与数据库变更流程一致)
其他
适合软件研发法器及业务发起
BUG/系统故障处理流程
紧急变更处理流程(已上线系统功能)
其他
软件研发项目管理
项目立项流程【一般不用,周期较长可以有单独立项】
需求确认流程
设计确认流程【根据实际情况确定】【与需求相关】
UI设计确认流程
系统设计确认流程
研发内提测流程【与需求相关】
已研发功能确认流程【与需求相关】
上线审批流程【上线前研发确认-上线后业务确认】
变更处理流程
软件研发规范
Java开发规范(含数据库日常开发规范)
代码版本管理规范
版本
版本号
定义
主干、分支、标记
管理工具
SVN
环境管理规范
开发【研发管理】
测试【研发管理】
生产【MIS管理:数据库及分布】
项目成果归档
项目成果
文档成果
……
任务成果
文档成果
……
……
研发日常管理
研发任务下发
日报管理(员工)
日报管理(经理)
不相容职责相分离
开发人员与应用运维管理员分离
开发与运维人员分离
开发与上线分离(运维上线)
其他
0 条评论
下一页
