IT管理规范(初步)
2024-04-29 19:46:31 0 举报AI智能生成
IT管理规范(初步)
作者其他创作
大纲/内容
IT管理规范(初步)
总体
适合全集团
自研软件
外采软件
满足内审(含内审合规项目)、外审,软件研发管理要求
管理闭环
有制度、有执行、定期审阅(流程审阅、软件操作日志审阅)
各项任务需要责任到人定期审阅并记录审阅结果
产出文档成果
全员信息安全规范及制度
用户管理规范
运维及研发管理详细规范
运维
机房管理
日常运维管理
……
研发
研发项目管理
研发管理规范
……
网络安全及信息安全管理
数据安全
加密系统
防止信息泄露,如公司机密外泄等措施
……
系统安全
定期更新补丁
定期更新各种中间件补丁
……
网络安全
防火墙等<br>
网络攻击<br>
如何防范?
当出现如何处理?
定期审阅和监控
……
机房安全
和信息机房安全及访问控制
机房访问安全,出入登记等
不允许外部硬件进入机房:如移动硬盘等
……
核心机房环境安全防护及巡检<br>
定期审阅和监控
……
mbp
灾备管理
数据库备份及恢复机制
定期审阅和监控
其他
是否有灾备计划?会对灾备计划定期测试吗?
……
用户管理
整体说明
账号的增加、修改、注销或禁用或删除需要有流程并有记录
员工入、离、调、转需要有想用的账号或账号权限变化且可追溯
一般用户账号及权限需要定期审阅并且有记录
服务器&数据库&应用系统管理员账号需要定期进行授权及审阅并且有记录
账号管理
服务器管理员账号
增加
修改
注销或禁用或删除
mbp
数据库管理员账号
增加
修改
注销或禁用或删除
mbp
数据库一版账号管理(含系统程序使用的账号)
增加
修改
注销或禁用或删除
mbp
系统账号管理(应用账号)
一般用户<br>
增加
修改
注销或禁用或删除
超级管理员账号
增加
修改
注销或禁用或删除
分级管理与账号(如应用管理员等)
增加
修改<br>
注销或禁用或删除
mbp
账号密码策略<br>
服务器管理员账号
密码复杂度
密码定期修改策略
mbp
数据库管理员账号
密码复杂度
密码定期修改策略
mbp
数据库一般账号管理(含系统程序使用的账号)
密码复杂度
密码定期修改策略
系统账号管理(应用账号)
密码复杂度
密码定期修改策略
mbp
账号权限管理
权限增加、修改、删除<br>
定期审阅和监控
网络安全及信息安全管理培训
需要培训记录并可追溯
签署信息安全责任书:数据泄露等条款
每年有网络与信息安全的风险评估??
定期审阅和监控
不相容职责相分离
开发人员与应用运维管理员分离
开发与运维人员分离
开发与上线分离(运维上线)
其他
变更管理<br>
整体说明
需要有合规管理流程且可追溯
若对各软件修改需要软件保留相关日志且可追溯
定期审阅<br>
服务器设置变更<br>
硬件变更(含升级或更换等)
操作系统变更(含省级或参数变化等)
流程:运维内部流程
mbp
数据库变更
增加或删除或修改字段
增加表等对象
数据变更
流程
非研发法器变更【前置为用户需求流程】
研发法器变更
mbp
已上线应用系统变更管理
非研发发起变更<br>
研发发起变更
mbp
其他
定时任务管理【可以体现在开发规范中】
日常管理
执行日志<br>
正常日志
异常日志
异常时补偿机制<br>
变更管理
参考变更管理中,已上线应用系统变更管理
mbp
接口规范【可以体现在开发规范中】
建立对数据传输准确性的校验机制以及对异常情况的处理机制,并确保财务数据在不用系统间传输的准确性,确保系统和业务的有效运行
接口设计规范???【Review的依据】
运维日常管理
服务器定期巡检
现场展示对服务器运行的监控,如内存、网络、CPU使用率、并截图
现场展示服务器异常报警的邮件(或其他报警信息,如手机短信等),以及异常原因分析,解决的材料。并截图
日志管理
登录日志
操作日志
账号CRUD
权限的CRUD
系统自动记录应用层、操作系统层、数据库层的操作日志,有MIS部组织人员每季度定期对系统操作日志进行审核<br>对于发现的可以试想应及时进行调查和分析,如确实属于操作不当或非法操作应及时跟进解决<br>并与有关部门进行沟通和确认,对日志审阅及问题发现和跟进结果进行记录,与每月最后周周报中提交MIS部总监审阅<br>
定期日志审阅
日常需求及问题管理
整体说明<br>
需要定期审阅并有审阅记录
系统功能需求提交流程<br>
新功能
原功能优化:增加字段
原功能优化:增加字段值
字段维护
原功能优化
流程:提交人->部门->部门负责人审批->上线部门负责人审批->产品负责人接收->沟通反馈->确认方案->研发……
其他
新需求、优化需求或bug提交处理流程
数据管理
数据导出流程
数据库数据变更(修改或删除)流程(对数据操作阶段与数据库变更流程一致)
其他
适合软件研发法器及业务发起<br>
BUG/系统故障处理流程
紧急变更处理流程(已上线系统功能)
其他
软件研发项目管理
项目立项流程【一般不用,周期较长可以有单独立项】
需求确认流程<br>
设计确认流程【根据实际情况确定】【与需求相关】<br>
UI设计确认流程
系统设计确认流程
研发内提测流程【与需求相关】
已研发功能确认流程【与需求相关】
上线审批流程【上线前研发确认-上线后业务确认】
变更处理流程
软件研发规范
Java开发规范(含数据库日常开发规范)
代码版本管理规范
版本
版本号
定义
主干、分支、标记
管理工具
SVN<br>
环境管理规范
开发【研发管理】
测试【研发管理】
生产【MIS管理:数据库及分布】
项目成果归档
项目成果
文档成果
……
任务成果
文档成果
……
……
研发日常管理
研发任务下发
日报管理(员工)
日报管理(经理)
不相容职责相分离
开发人员与应用运维管理员分离
开发与运维人员分离
开发与上线分离(运维上线)
其他
0 条评论
下一页
