ISO27001：2013信息系统应用管理程序.pdfVIP

XXXXXXXXX 有限责任公司 信息系统应用管理程序 [XXXX-B-17] V1.0 发布日期 2015年 02月01 日 发布部门 信息安全小组 实施日期 2015年 02月01 日 变更履历 版本 变更履历 变更人 / 变更日期 审核人 / 审核日期 批准人 / 批准日期 1.0 初次发布 信息系统应用管理程序 信息系统应用管理程序 1 目的 为实施对公司信息系统应用活动的控制，特制定本程序。 2 范围 本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督 和考核，适用于信息系统应用活动的管理。 3 职责 3.1 技术部 负责按照应用系统的应用控制要求， 指导各部门的使用， 保证应用系统应用的规范性， 协助各部 门进行应用推广、检查监督与考核。 3.2 各职能部门 应用系统所涉及业务的职能部门，负责系统的控制策略执行。 4 程序 4.1 系统操作的控制策略 4.1.1 技术部负责建立《应用系统一览表》 ，明确系统管理的职责。各应用系统必须确定相应的 系统管理员。系统管理员不能由安全管理员兼任。 4.1.2 各部门应对系统实用程序的使用进行限制和严格控制， 严禁使用如优化大师， 超级兔子等 改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必 需服从网络安全管理员检查监督和管理。并由技术部建立《系统实用工具一览表》 。 4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。禁止访问系统中 应用程序的用户使用系统实用工具。因未按《用户访问管理程序》授权的用户访问造成的信息安全 事件，技术部领导负主要责任。 4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检 查监督和管理。因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统 用户负主要责任。 4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。 4.1.6 信息系统用户必须严格执行必威体育官网网址制度。对各自的用户帐号负责，不得转借他人使用。 4.1.7 信息系统应有操作规程或使用手册，指导用户使用应用系统。 4.2 信息系统的应用需求及变更 第 0 次修改 第 1 页 共 3 页 信息系统应用管理程序 4.2.1 各部门对应用系统的应用需求变更（包括新安装、补丁、版本升级及更换）申请由部门 负责人提出，技术部负责确定应用需求的技术可行性和技术实现。在更改实施前，技术部填写《变 更申请表》 ，明确更改的原因、更改范围、更改影响的分析及对策（包括不成功更改的恢复措施） ， 经技术部负责人批准后予以实施。 4.2.2 当需要开发、测试时，开发、测试和运行设施应分离，以减少未授权访问或改变运行系 统的风险。 4.2.3 应用系统的变更按《信息系统开发建设管理程序》进行。 4.2.4 实用工具的应用需求及变更应由批准