管理规范v1.0

结构件FAI管理规范（V1.0）一．应用范围：华为公司各相关操作部门和华为公司的结构件合格供应商。

二．目的：规范FAI流程控制，提高各环节工作效率，完成对供应商FAI的绩效考核。

三．规定：（以下内容适用于供应商）1．供应商在收到图纸后两个工作日内提交《FAI进度计划表》（见附件一）给华为TQC部门的负责相应编码的工程师；2．供应商按《结构件产品生产周期》（见附件二）安排FAI进度；3．供应商按华为公司提供的《FAI进度计划表》填写。

为方便资料的汇总，供应商不得更改字体、格式、排版等内容；4．华为TQC部门收到《FAI进度计划表》表示供应商愿意做FAI；如果供应商不愿意做，必须以邮件的形式说明理由回复TQC部门的负责工程师。

理由不充分者，记入考核的扣分项。

对处理结果不满意可以向TQC主管投诉；5．供应商FAI电子文档的提交日期必须提前样品提交日期一个工作日；6．供应商提交FAI电子文档的邮件标题，格式按“君雄（供应商名称）21160746（BOM编码）-A0（版本号）-liushuzhong（华为设计者）-FAI申请”填写；7．FAI电子文档文件名称要体现文件名称、编码、版本信息。

格式按“21160746(A0)（BOM编码+版本号）-首样检验报告”填写；8．供应商在做FAI阶段提出发现设计问题，提交《华为结构件FAI设计问题反馈单》（见附件三）给华为TQC人员，TQC确认后转发华为设计人员，设计人员应及时以邮件的形式对问题进行确认，由TQC工程师转发供应商。

未经设计人员确认的问题请供应商保留意见；9．《华为结构件FAI设计问题反馈单》主要反馈试制过程中未能暴露的问题，对于一些低级问题（图面标注、技术要求、简单加工工艺等）必须在试制的过程中充分的暴露出来，并保留沟通记录；10．当加工方式改变时，供应商必须提交PCN变更申请，并且申请重新做FAI，否则按相关PCN违规进行处罚；11．同一编码的问题必须使用同一《华为结构件FAI设计问题反馈单》进行沟通。

测试工作流程规范版本记录：北京天诚信安科技有限公司目录1编写目的 (2)2测试团队构成 (2)2.1组织结构 (2)2.2测试组职能 (2)2.3职责划分 (3)3测试流程及规范 (4)3.1测试流程图 (4)3.1.1 完整开发流程 (4)3.1.2 测试流程 (5)3.2计划与设计阶段 (6)3.2.1 立项会议 (6)3.2.2 需求评审 (7)3.2.3 测试工作启动 (7)3.2.4测试设计阶段 (8)3.2.5设计内容评审 (9)3.3实施测试阶段 (10)3.3.1 测试交接 (10)3.3.2 实施测试 (10)3.3.3 回归测试 (11)3.3.4 同行审查 (12)3.4总结阶段 (12)3.4.1测试总结报告 (12)3.4.2测试归档 (13)3.4.3测试工作总结 (14)3.5缺陷跟踪 (14)4发布标准 (15)5争议处理 (15)6标准文档 (15)1编写目的本文档是测试团队的日常工作规范，主要侧重测试工作流程的实施和控制，明确软件工程各阶段测试团队应参与和完成的工作。

并且对于测试团队中关于测试组架构、职能及成员职责进行必要的说明。

通过建立规范的测试流程、测试团队组织架构，同时明确测试小组任务、目标和各小组成员的具体职责，对部门测试工作的正常开展起到规范的指导作用。

2测试团队构成图 12.2测试组职能软件测试是软件开发过程中的重要组成部分，测试团队主要肩负着如下责任：➢在项目的前期、需求文档确立基线前对文档进行测试，从用户体验和测试的角度提出自己的看法。

➢针对测试需求进行相关测试技术的研究。

➢根据项目的实际需求，编写合理的测试计划，并与项目整体计划有机地整合在一起。

➢编写高效、覆盖率高的测试用例。

➢认真仔细地实施测试工作，并提交测试报告供项目组参考。

➢进行缺陷跟踪与分析。

➢对测试整个过程进行总结，完善和优化测试流程，提高和改进测试方法和技术。

2.3职责划分在人力资源有限的情况下，一个团队成员可能会同时承担多个角色。

运维管理制度规范V1.0运维管理制度规范（试⾏）第⼀章概述运维管理制度规范（试⾏），是针对⽬前数据中⼼现有体制制定的⼀系列运维规划，其中包括运维项⽬实施、运维流程控制、第⼆章运维实施第⼀节硬件上架1.硬件上架应严格按照机房管理室所提供的流程进⾏操作，填写机房管理室要求的相关申请⽂档。

2.硬件上架后，要检查设备标签、⽹络标签、电源标签是否完整。

3.硬件上架后，要检查机柜内⾛线是否已整齐。

4.检查电源、⽹络配置能否符合和客户签定的SLA，如不符合⾛服务请求流程提交相关⽂档。

5.机房管理室创建该项⽬的配置项⽂档，并通知服务经理进度。

6.涉及流程：机器上架申请、配置管理、服务级别管理、服务请求。

7.涉及⽂档：《设备上架申请》、《服务请求单》、《服务级别协议》/《服务合同》、《配置项⽂档》第⼆节⽹络配置1.⽹络配置时，要求按照客户的服务合同中承诺的要求⼀致，如合同中没有明确说明以领导确认为准。

2.⽹络配置后，录⼊相关的配置项信息，以及变更相关联的交换机、防⽕墙信息，并通知服务经理进度。

3.⽹络配置后，要建⽴该业务系统的⽹络拓扑图，⽹络拓扑图属于该项⽬的⼀个配置项。

4.涉及流程：配置项管理5.涉及⽂档：《配置项⽬⽂档》第三节软件实施1.软件实施前要创建《软件实施调查表》，详细调查客户的软件环境、配置、版本等信息。

2.软件实施要按照《软件实施调查表》进⾏实施。

3.软件实施后，如客户没有要求，修改所有默认密码，密码规则同《信息安全管理制度》的⼝令、权限⼀章。

4.软件实施后，要录⼊相关配置项⽬，并适当备份介质。

5.软件实施后，要建⽴该业务系统的逻辑拓扑图，逻辑拓扑图属于该项⽬的⼀个配置项。

6.涉及流程：配置项⽬管理7.涉及⽂档：《软件实施调查表》、《配置项⽬⽂档》第四节运维⼿册1.运维项⽬在项⽬实施后，要依据服务合同书及相关SLA写运维⼿册。

2.运维⼿册的内容包括：服务内容、服务范围内满⾜服务合同要求的相应的⽇检、周检、⽉检、⽇常操作等规范，并提供输出的服务报告模板。

公司公司第三方管理办法
（V1.0）
公司有限公司
二〇一一年十一月
目录
第一章总则 (3)
第二章组织与职责 (3)
第三章第三方公司及人员管理 (4)
第四章第三方安全域及防护要求 (6)
第五章第三方接入管理 (7)
第六章第三方帐号及权限管理 (8)
第七章第三方系统安全管理 (9)
第九章第三方信息安全审核、监督与检查 (11)
第十章附则 (13)
第一章总则
第一条为了加强对第三方合作伙伴、人员、系统的安全管理，防止引入第三方给公司带来的安全风险，特制定本管理办法。

第二条本办法适用于公司有限公司各部门、省客户服务中心、各市分公司（以下简称：各单位）。

第三条本办法所指第三方包括第三方公司、第三方系统、第三方人员：
（一）第三方公司是指向公司公司提供服务的外部公
司。

（二）第三方系统是指为公司公司服务或与公司公司
合作运营的系统。

这些系统可能不在公司公司机房内，但
能通过接口与公司公司的系统发生数据交互。

（三）第三方人员是指为公司公司提供开发、测试、运
维等服务或参与合作运营系统管理的非公司公司人员。

第四条对第三方公司的信息安全管理应遵循如下原则：“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。

第二章组织与职责
第五条公司公司第三方安全管理责任部门为对口合作（包括。

中国联通电信智能卡现场写卡管理规范V1.0第一章规范说明 (2)1、前言 (2)2、适用范围 (3)第二章定义与分类 (4)1、现场写卡定义 (4)2、电信智能卡的分类 (4)3、白卡与成品卡的区别 (4)3.1白卡数据 (5)3.2成品卡数据 (5)4、MSISDN、IMSI及ICCID (6)4.1 MSISDN与IMSI的对应关系 (6)4.2 ICCID结构 (6)第三章各平台功能 (8)第四章现场写卡业务职责与分工 (10)1、总部 (10)2、省分 (11)3、市分 (11)第五章业务流程 (12)1、卡计划管理 (12)2、扩大量卡计划管理 (14)3、订单管理 (16)4、制卡管理 (18)5、成品卡数据下发及导入 (20)6、基础数据维护 (21)7、IMSI回收 (25)8、配送管理 (26)9、白卡入库管理（成品卡入库采用原有流程） (28)10、库存管理 (29)11、号码规划及分配流程 (31)12、号码数据制作及启用流程 (33)13、号码开通 (35)第六章操作流程 (37)1、2G现场写卡开户业务流程 (37)2、3G现场写卡开户业务流程 (38)3、现场写卡补换卡业务流程 (40)第一章规范说明1、前言目前中国联通公司（以下简称中国联通）移动业务电信智能卡是由联通兴业公司（以下简称兴业公司）统一制卡并下发分公司，由分公司通过BSS系统完成批量配号或现场配号进行销售及补换卡。

电信智能卡在生产制作时，将数据（包括 IMSI、ICCID、KI（2G）、Key(3G)、OPC(3G)、PIN、PUK、ADM）预先写入卡中，根据有关国际规范，移动业务用户号码与电信智能卡内IMSI数据之间须保持一定的对应关系。

因此，分公司在销售及补换卡过程中，需根据用户号码，选出与其相对应IMSI数据的电信智能卡进行绑定，并在HLR中激活开户。

由于早期号码分配零散，总部与省分公司针对电信智能卡业务归口管理部门不对接，且没有一套行之有效的自动化管理系统等原因，给业务发展和经营管理带来诸多不便，例如需储备和管理不同种类卡，致使卡的库存量大，营业人员的操作复杂度高，培训成本较高等。

pms工时管理规范V1.0目录1 .目的 (1)2 .范围 (2)3 .术语和定义 (2)4 .角色职责 (2)5 .工时分类 (3)5.1 工时分类 (3)5.2 项目及其任务的关系 (3)6 .项目的创建与维护 (3)6.1 项目的创建及其层级说明 (3)6.2 项目的维护 (4)7 .任务的创建、执行和关闭 (4)7.1 任务负责人 (4)7.2 任务的检查、关闭和激活 (5)8 .项目名称、任务内容及其工时的填写规则 (5)8.1 项目名称 (5)8.2 任务内容及其工时 (6)1.目的随着公司管理方式的不断优化，以及对研发成本加强管控的需要，公司统一采用PMS对工时进行精细化管理。

同时，为了规范企业级应用产线日常工作的管理以及工时的填报，特制定本规范。

2.范围本规范适用于企业各直属部门及其员工。

3.术语和定义工时：研发成本的计量单位，一名员工工作一小时即为1个工时。

工时单位：人时。

工时填写率=实际填写工时数/每月应出勤天数*8，按月统计。

4.角色职责5.工时分类5.1工时分类按项目划分，共分三类：1）自研项目，包含主线项目、开发自驱项目和测试自驱项目。

2）商业项目。

3）非项目类，包含三个子类，非项目类（1）售前项目、非项目类（2）运营项目、非项目类（3）管理项目。

5.2项目及其任务的关系如图所示：6.项目的创建与维护6.1项目的创建及其层级说明1）项目分类为必填，需在创建项目时填写。

2）所有项目均包含两个层级，项目为一级类，项目下的任务为二级类。

3）自研项目：在项目立项后，用项目名称创建项目，在各项目下分别录入任务。

4）商业项目：在项目立项后，用项目名称创建项目。

在各项目下分别录入任务。

创建商业项目时，必填的项目信息还有：责任销售工号、责任销售姓名、责任销售归属部门。

5）非项目类（1）售前项目，分为两种情况：（1）POC项目按项目名称创建项目，在各项目下分别录入任务。

（2）售前咨询、售前方案交付，在项目主页下创建售前咨询、售前方案交付共两个项目即可，在各项目下录入任务。

项目绩效管理规定一、目的本规定是在以项目结果为导向，以项目过程为依据建立的项目绩效考核制度，旨在完善公司项目管理机制，加强项目执行过程监控与管理，提高项目管理水平及实施效率，保证项目的按期、高效、高质完成，同时促进团队和员工自身的发展。

二、适用范围适用于公司所有项目及成员项目绩效管理。

三、角色与职责四、审计绩效管理内容4.1审计考核方法与原则（1）绩效考核采用项目考核和个人考核相结合的方法，包括项目考核及个人考核两个部分。

a、项目考核是指以项目为单位，在项目过程中，对项目所涉及的团队的阶段工作成果、进度，以及管理动作规范性进行评估。

其项目考核周期采用在一个项目周期内完成一次考核，项目结束后输出最终考核结果。

b、个人考核是指以结果为导向，对全员的工作业绩、行为规范遵循等方面符合性进行评估。

其考核周期采用按季度例行考核，一般每季度考核一次，在每季度末进行。

c、项目考核采用主要采用百分制定量的原则，个人考核主要采用积分制的原则。

（2）审计考核倡导“成果导向，过程管理”的管理原则a、重奖：成果好，过程好b、少奖：成果好，过程不好c、鼓励：成果不好，过程好d、处罚：成果不好，过程不好（3）违例处罚的基本原则：鼓励试错，违例处罚同一类错误反复出现（不超过3次）而未纠正现象；4.2审计考核维度与标准审计考核维度具体阶段性调整特点，结合当前运作情况，考核内容分为项目进度，项目质量，项目规范执行，项目成果文档等四大方面。

（1）在项目考核中，划分为四个等级，分别为优秀（90～100），良好（80～89），合格（70～79），不合格（0～69），其各项考核的内容和相应权重如下表所示：考核内容及权重表4.2.1项目进度考核（1）项目进度考核采取项目延期率指标进行考核，项目延期率是指考核项目实际完成周期超出计划完成周期的程度（完成周期以最后一次批准的变更计划周期为准）。

（2）项目进度考核得分计算方法。

a、项目延期率＝（项目实际执行天数－项目计划执行天数）/项目计划执行天数×100％b、项目进度得分（简称S）与项目延期率(简称X)关系如下表：4.2.2项目质量考核项目质量考核主要考核项目的质量是否达到预定的要求，主要包括对项目开发过程管理、性能与功能质量两方面进行考核。

过程资产库管理规范版本：V1.0过程资产库管理规范目录1介绍 (1)1.1目的 (1)1.2范围 (1)2术语表 (1)3过程资产库管理规范 (1)3.1过程资产库基本框架 (1)3.2过程文档库管理规范 (2)3.2.1OSSP管理规范 (2)3.2.2项目优秀范例 (3)3.2.3风险库 (3)3.3过程数据库管理规范 (4)3.4组织培训库管理规范 (4)1 介绍1.1 目的本文件是描述公司过程资产库的管理规范，以确保过程资产库的建立和管理活动有序的进行。

1.2 范围本文件适用于公司的过程资产库管理。

2 术语表3 过程资产库管理规范过程资产库是组织级的财富库，目前过程资产库用网站形式展现网址为pc/sites/rf/cmmi/default.aspx由组织级配置管理员来建立和维护，公司全体员工对过程资产库都有只读权限，组织级配置管理员有读写权限。

过程资产库采用更新备份方式，组织级配置管理员每次更新过程资产库后，都要进行备份，并填写《备份记录表》。

3.1 过程资产库基本框架公司的过程资产库可以分为三部分：过程文档库、过程数据库、组织培训库。

过程文档库用来存放组织级标准过程和项目组优秀文档，过程数据库用来存放度量数据，组织培训库中存放的是组织级培训的培训资料。

过程资产库的结构如下图所示：3.2 过程文档库管理规范过程文档库中给出了项目实施过程中需要参考的各种文档。

其中OSSP给出了组织级定义的标准过程，以及对标准过程的介绍和过程配套的模板。

项目在建立已定义过程时，要使用《裁剪指南》对组织级标准过程进行裁剪，得出项目自己的已定义过程。

项目优秀范例是各项目组在项目实施过程中，对其他项目有指导借鉴意义的文档。

风险库可以为项目组进行风险识别和风险管理计划的时候提供参考，风险库中列出了历史项目中遇到的一些典型性风险，并给出了建议采取的风险缓解措施。

3.2.1 OSSP管理规范OSSP过程文件参见《组织标准过程文档列表》。

未经允许，文档内容不可全部或者部份发表、复制、使用于任何目的。

作者/参预者修订说明章节号审核者版本日期CAD M1. 目的 (1)2. 合用范围 (1)3. 研发中心组织结构 (1)3.1. 研发中心架构 (1)3.2. 组织结构 (1)3.3. 部门岗位 (3)4. 岗位职责 (4)4.1. 软件部主管岗位职责 (4)4.2. 硬件部主管岗位职责 (4)4.3. 机械结构部主管岗位职责 (5)4.4. 质量部主管岗位职责 (6)4.5. 系统方案部主管岗位职责 (7)4.6. 产品经理(项目经理)岗位职责 (8)5. 项目管理规范 (9)5.1. 项目流程概述 (9)5.2. 项目来源 (10)5.3. 立项 (10)5.4. 设计 (11)5.5. 实现 (11)5.6. 测试 (12)5.7. 发布 (12)5.8. 生产 (13)5.9. 实施细则 (13)6. 资料管理规范 (13)6.1. 日常资料备份 (13)6.2. 资料归档 (14)6.3. 资料安全管理 (14)6.4. 资料服务器管理 (14)6.4.1. 管理方式 (14)6.4.2. 资料目录 (15)6.4.3. 管理权限 (17)7. 例会及报告制度 (17)7.1. 项目例会 (17)7.2. 部门例会 (17)7.3. 个人周报 (17)7.4. 项目周报 (18)8. 员工入职管理流程 (18)8.1. 新员工入职要求 (18)8.2. 新员工入职流程 (18)9. 员工离职管理流程 (19)10. 办公用品使用规范 (19)10.1. 办公用品分类 (19)10.2. 办公用品使用规定 (19)11. 办公场所行为准则 (19)12. 附则 (20)为加强对研发中心的管理、提高研发工作效率、明确研发中心职能及规范开辟工作，特制定本规定。

本文件合用于研发中心全体人员。

研发中心软件开辟部硬件开辟部机械结构部质量管理部系统方案部研发中心采用“平衡矩阵型组织结构”组织项目研发活动。

日志安全管理规范（V1.0）目录1.目的 (3)2.范围 (3)3.岗位职责 (3)4.日志记录 (3)5.日志管理 (4)6.日志保护 (5)1.目的为了信息人员更好地利用系统运行日志，规范系统日志的管理工作，特制定本规范。

2.范围本办法适用于任何信息系统产生的日志管理。

3.岗位职责信息管理中心需要设置日志管理员岗，为各类系统日志管理建立规范，督促系统管理员进行日志记录与分析，通过应用自动化工具对各类系统日志进行统一的收集、整理及监控工作。

信息管理中心及各系统管理员对系统日志管理工作负责，系统管理员需参考本细则进行系统日志的记录、管理、保护工作。

信息管理中心日志管理员不得兼任日志服务器的系统管理员。

4.日志记录在不影响信息系统性能及处理能力的情况下，各系统管理员启动系统日志记录功能记录以下信息：（一）系统日志1、事件（成功的或失败的）发生的时间；2、关于事件或故障（发生的差错和采取的纠正措施）的信息；3、事件涉及的帐号和管理员或操作员；4、事件相关的操作者来源(终端号和IP地址)；5、事件涉及的过程。

（二）错误日志(计算机自动或人工记录)1、故障/错误发生和恢复的日期和时间；2、故障/错误报告/探测和处理情况；3、故障等级；4、联系的技术支持；5、后续措施。

（三）安全事件日志1、服务器主机安全事件；2、数据库及中间件安全事件；3、应用系统安全事件；4、网络安全设备(防火墙、入侵检测、防病毒等)事件；5、其他周边辅助设备(UPS、打印机等)的安全事件。

（四）系统管理员和系统操作员的活动也应记入日志如因系统性能原因，无法启动系统日志，可以通过第三方专门的日志审计设备记录相关安全日志。

5.日志管理系统管理员应当定期对各类日志进行审核，以及时发现非法入侵及系统故障。

系统管理员应当至少每个月，重点对以下内容进行审核：一、非法访问，如：失败次数、访问策略的违反情况、访问者的来源、访问者的操作目标等。

二、系统预警或故障，如：控制台预警或消息、系统日志异常情况、网络管理报警。

变更管理规程1变更管理规程版本: V1.0变更管理规程目录1介绍 (1)1.1目的 (1)1.2范围 (1)1.3参考文档 (1)2角色和职责 (1)3流程图 (2)4入口准则 (2)5输入 (3)6任务描述 (3)6.1TCC010提交变更申请 (3)6.2TCC020变更影响分析 (3)6.3TCC030变更审批 (4)6.4TCC040组织实施变更 (4)6.5TCC050确认实施结果 (4)6.6TCC060更新基线 (5)7输出 (5)8出口准则 (5)2介绍2.1 目的2.2 本文件的目的是描述项目变更管理应遵循的规程, 以确保项目的变更被控制和管理起来。

2.3 范围本文件适用于公司软件开发项目的变更活动。

2.4 参考文档《配置管理过程》《配置管理规范》3角色和职责4流程图5入口准则1、软件开发过程之中的工作产品（如: 需求设计文档、设计模型、代码及测试脚本等）有变更需求；6里程碑预计延期超过项目进度偏差的阈值；（项目进度偏差阈值根据组织级进度阈值制定, 组织级进度阈值为±20%）7输入1、变更需求2、进度计划8任务描述8.1 TCC010提交变更申请1. 变更申请人根据变更情况详细填写《变更申请表》提交给项目经理。

8.2 TCC020变更影响分析1. 项目经理判断申请是否有效、是否存在类似申请, 并指定相关人员对变更进行影响分析；➢项目经理根据影响分析的结果对变更申请进行初步审核, 决定是否需要提交给CCB批准, 并填写《变更申请表》的审批意见:➢如果变更预计工作量导致在总工作量的2.5%以内, 且变更不涉及到优先级为一级的需求变更, 项目经理可直接通知实施人进行实施, 在变更前应确定变更方案；这种变更一般不会导致基线版本的变更、且对其他配置项影响不大；➢如果为影响项目进度、影响项目重要需求的变更, 将此表送交CCB, 进行审批。

重大变更主要是正式基线的变更、该配置项变更将引起其他配置项的变更；➢如果是进度变更, 一旦超过项目进度阈值, 必须提交CCB审批；2. 如果项目经理不能决定变更并填写《变更申请表》中相应的栏目, 提交CCB进行评估；8.3 如果项目经理拒绝变更申请, 则项目经理将结果反馈给变更申请人, 流程结束。

阿里云平台安全管理规范目录目录 (1)范围 (4)第一章总则 (5)1.1管理目标 (5)1.2管理原则 (5)第二章安全管理规范 (6)2.1安全事件上报 (6)2.1.1安全事件分类 (6)2.1.2安全事件监控及上报 (7)2.2帐号口令管理 (8)2.3安全域划分及端口管理 (10)2.4防病毒制度 (11)2.5日志审计 (12)2.5.1 日志审计总则 (12)2.5.2日志管理 (13)第三章应急保障 (13)3.1应急保障范围 (13)3.2应急保障流程 (14)3.3应急保障措施 (14)第四章日常安全运维制度 (15)4.1资产信息维护 (15)4.1.1安全设备资产 (15)4.1.2业务设备资产 (15)4.1.3网络设备资产 (16)4.2安全设备维护 (16)4.2.1远程安全巡检 (16)4.2.2机房安全巡检 (16)4.2.3设备故障处理 (17)3.2.4设备权限检查 (17)4.3安全策略运维 (17)4.3.1安全策略信息维护 (17)4.3.2安全策略开通 (17)4.3.3 安全漏洞扫描 (18)4.3.4 安全策略清理 (18)4.3.5网络和端口梳理 (18)4.3.6 日志审计 (19)4.4安全报告输出 (19)4.4.1安全方案输出 (19)4.4.2安全运维月报输出 (19)4.5重大事件保障 (19)4.6工作实施方案 (20)第五章安全基线 (20)5.1云数据库安全基线 (20)5.1.1 账号管理 (20)5.1.2主机操作系统权限 (20)5.1.3 数据库优化 (21)5.2 LINUX安全基线 (21)5.2.1 账号管理 (21)5.2.2 可疑文件 (21)5.2.3 访问控制 (21)5.2.4 系统优化 (22)5.2.5 SSH安全 (22)5.2.6 其他项目 (22)5.3网络设备安全基线 (23)5.3.1 数据层面 (23)5.3.2 控制层面 (23)5.3.3 监控层面 (23)5.3.4 管理层面 (24)5.4 WINDOWS安全基线 (24)5.4.1 日志配置操作 (24)5.4.2 IP协议安全配置 (24)5.4.3 设备其他配置操作 (25)5.5防火墙安全基线 (25)5.5.1 账号认证 (25)5.5.2 日志配置 (25)5.5.3 安全策略配置 (26)5.5.4 IP协议安全要求 (27)编制历史范围为适应政务云的发展，特制定本管理办法。

服务器配置和安全管理规定版本号：V 1.0修订历史分发范围：PIMS范围内所有员工总经理各部门主管信息安全小组成员目录1 目的 (1)2 适用范围 (1)3 职责 (1)4 管理规定 (1)4.1 服务器的分类................................ 错误!未定义书签。

4.2 服务器的安装与配置 (1)5 相关文件 (3)服务器配置和安全管理规定1目的为了规范和加强公司服务器的管理，明确服务器的管理职责，确保服务器的正常运转，特制定本要求。

2适用范围本要求适用于公司范围内的所有服务器。

3职责1）信息安全小组负责编制、评审、分发本文件。

2）研发部对公司公用服务器设备负有管理责任，对公司服务器的配置及使用进行监督及检查。

3）技术部门的分管副总对承载该部门核心数据的服务器负有管理责任，对该服务器的配置及使用进行监督及检查。

4管理规定4.1服务器的安装与配置服务器需按照规范进行安装及配置，行政部和各技术部门有权根据实际情况制定具体的规范细则，但其安全标准不得低于下列规范：1）服务器硬件及操作系统等安装及配置信息需在上线前进行登记，并报行政部归档，每次当配置有所变动时，应在配置变动后3个工作日内，将最新信息报行政部；2）服务器应用软件及其配置需在上线前进行登记，对该应用软件的安装文件、许可证、配置要求、备份恢复措施等应在上线后3个工作日内，交行政部归档，当配置发生变动时，应在配置变动后3个工作日内，将最新信息报行政部；3）服务器磁盘宜采用冗余方式部署，针对不同类别服务器，要求如下：a.核心应用服务器无论是否采用HA方式部署，其磁盘必须使用冗余配置。

如没有使用HA方式部署，必须配备额外的在线热备磁盘；b.基础设施服务器除服务器采用HA方式部署外，其磁盘必须使用冗余配置。

c.周边应用服务器除最终用户数量小于50的，且经所使用业务部门认可的之外，其磁盘必须使用冗余配置。

4）服务器所处物理环境不能达到《机房安全管理规定》中进出管理要求的，如：独立办公室、机房等，必须设置服务器BIOS配置密码及服务器加电密码。

数据需求管理规范数据需求管理规范日期：2017/11/10章节：全部版本：V1.0修订人说明：目录：1.引言数据需求管理是数据管理中至关重要的一环。

本规范旨在规范数据需求的管理流程，确保数据需求的准确性、完整性和及时性。

2.数据需求管理流程2.1 数据需求收集数据需求收集应该由具备相关业务知识的人员进行，确保收集到的需求准确、完整、可行。

2.2 数据需求评审数据需求评审应该由数据管理团队进行，评审内容包括数据需求的准确性、完整性、可行性、优先级等。

评审结果应该及时反馈给需求提出方。

2.3 数据需求确认数据需求确认应该由需求提出方进行，确认内容包括数据需求的准确性、完整性、优先级等。

确认结果应该及时反馈给数据管理团队。

2.4 数据需求开发数据需求开发应该由具备相关技术能力的人员进行，开发过程应该按照规范进行，确保数据的准确性、完整性和及时性。

2.5 数据需求测试数据需求测试应该由数据管理团队进行，测试内容包括数据的准确性、完整性、及时性等。

测试结果应该及时反馈给需求提出方和开发人员。

2.6 数据需求发布数据需求发布应该由数据管理团队进行，发布前应该进行充分测试，确保数据的准确性、完整性和及时性。

3.数据需求管理规范的执行数据需求管理规范的执行应该由数据管理团队负责，确保规范的有效性和可行性。

同时，应该定期对规范进行评估和修订，以适应业务需求的变化。

引言：数据需求管理是数据管理中至关重要的一环。

本规范旨在规范数据需求的管理流程，确保数据需求的准确性、完整性和及时性。

数据需求管理流程：数据需求管理流程包括数据需求收集、数据需求评审、数据需求确认、数据需求开发、数据需求测试和数据需求发布。

其中，数据需求收集应该由具备相关业务知识的人员进行，数据需求评审应该由数据管理团队进行，数据需求确认应该由需求提出方进行，数据需求开发应该由具备相关技术能力的人员进行，数据需求测试应该由数据管理团队进行，数据需求发布应该由数据管理团队进行。

信息安全管理体系规范（Part I）（信息安全管理实施细则）目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全？对一个单位或组织来说，信息和其它商业资产一样有价值，因此要加以适当的保护。

信息安全就是保护信息免受来自各方面的众多威胁，从而使单位能够进行持续经营，使其对经营的危害降至最小程度，并将投资和商业机会得以最大化。

信息可以许多形式存在－可以印在或写在纸上，以电子方式进行储存，通过邮寄或电子方式传播，用影片显示或通过口头转述。

无论信息以何种方式存在，或以何种形式分享或储存，都要对其进行恰当保护。

信息安全的主要特征在于保护其－保密性：确保只有那些经过授权的人员可以接触信息－完整性：保护信息和信息处理办法的准确性和完整性－可得性：确保在需要时，经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现；此管制手段可为政策、行为规范、流程、组织结构和软件功能。

中国联通公司企业标准QB/CU XXX-2015中国联通移动业务管理规范主副卡分册V1.0中国联通公司发布1.定义中国联通主副卡业务是指106元及以上4G全国套餐客户，为其名下的主卡申请开通1-4个副卡，副卡可共享主卡套餐内的免费资源（包括语音、数据流量、短彩信），并可共享主卡订购的流量叠加包。

2．业务规则※产品相关（1）副卡可分为2种，一种为普通副卡（业务开通范围与普通手机卡相同），一种为数据副卡（使用145号码，只开通上网和点对点短信业务，并开放统一短信端口号码10010，其他基础业务和增值业务一律关闭）。

（2）普通副卡赠送来电显示、炫铃和10G版wo邮箱（可根据分公司需求，分省配置）。

数据副卡不赠送上述业务。

（3）主卡、副卡均由cBSS系统统一支撑，副卡必须与主卡属于同一归属地（本地网）。

※开通（1）开通主副卡业务的主卡号码时必须符合实名制登记要求，系统须按照相关业务规定为客户打上“实名-二代”或“实名-公安”标识，具体要求如下：a.具有“实名-二代”或“实名-公安”标识的主卡客户开通新卡作为副卡时，无须对客户进行实名制身份认证。

所有新开的副卡均缺省继承主卡的客户资料及“实名-二代”或“实名-公安”标识。

对于客户要求新开副卡与主卡为不同客户的，如新开副卡的客户资料已具“实名-二代”或“实名-公安”标识，则无须对新开副卡进行实名制身份认证。

否则，须对新开的副卡进行实名制身份认证。

（2）副卡无须与主卡属归于同一客户名称及身份证件号码。

具有“实名-二代”或“实名-公安”标识的主卡客户添加老卡作为副卡时，无须对客户进行实名制身份认证。

老卡的客户名称和/或身份证件号码可与主卡不一致，且不对老卡进行实名制身份认证。

（注：i.客户添加老卡作为副卡时，系统须向老卡发送验证码（验证码有效期15分钟，失效后客户可申请重发），客户须凭该验证码为主卡增加副卡。

客户也可以通过老卡的服务密码将其添加为副卡。

ii.对于不符合实名制要求的副卡号码，系统须在用户级为其打上“准实名”标识以区别于普通非实名制手机号码。

文件管理标准一、目的为了确保公司相关文件为现行有效版本，能供相关人员共同、持续使用。

所涉及记录符合质量管理体系的有效运行，符合追溯等要求。

特制定此控制程序。

二、范围本制度主要适用于本公司制定的标准规范类文件、记录类文件，及外来文件。

三、职责3.1总经理：负责批准发布公司制定的所有文件及记录表格。

3.2综合管理部：所有文件的归档保存，文件发布格式的最终矫正，及所有文件的发布。

3.3制造部(品质)：3.3.1负责规范公司业务活动中涉及的过程的文件的制订、修订等。

3.3.2负责各部门记录文件格式的统一及归档。

3.3.3负责对现有体系文件定期检查、评审和更新。

3.4各部门：3.4.1负责人负责在文件拟定阶段提供制定、评审意见。

及文件发布后的执行监督。

3.4.2负责人负责本部门业务过程中涉及的记录表单的制定及执行监督3.4.3记录填写人员负责填写信息的真实、准确、完整性。

四、定义4.1受控文件：规范公司业务活动中涉及的过程的规范性文件，规范部门内业务操作流程或方法的制度文件、与产品相关的技术类文件(包括图纸、组装图、源代码、封装代码、工艺流程文件、检验标准等)，外来文件(包括国家法律、法规，国家/行业标准，供应商名录等)。

4.2非受控文件：如行政任命、事务性通知，因检查或评审向上级或客户提供的文件。

五、流程图5.1程序控制文件编写流程图各部门 制造部(品质)综合管理部总经理5.2部门规范、管理办法，作业指导，技术类文件编写流程图各部门综合管理部总经理5.3记录文件编写流程各部门制造部(品质） 综合管理部六、作业内容 6.1文件分类文件编制发起通过不通过 不通过无异议实际情况沟通文件初稿编写文件编制文件审核件 文件初稿确认文件修改 文件发布流程 文件发布 文件检查更新文件归档文件审批件通过文件发布流程 文件审核件文件审批件文件发放 文件归档文件检查更新 通过不通过不通过通过记录编制文件格式统一记录使用 分职能整理 记录归档记录维护文件使用 文件使用6.1.1程序控制文件：因公司业务活动中涉及的过程应遵守的途径和方法而编制的文件，例如：与顾客有关的过程、设计与开发过程、采购过程、检验过程、生产过程、服务过程等。