2024年信息系统管理制度

版本：创立曰期：密级：文献编号：内部控制文献Internalcontroldocument内部控制管理制度编制：审核：同意：更改历史版本曰期更改次第更改章节编制审核同意5.2.1信息系统管理制度目的為了保护企业信息系统安全，规范信息系统管理，合理运用信息系统资源，推進企业信息化建设，保障企业信息系统的正常运行，充足发挥信息系统在企业管理中的作用，更好地為企业生产經营服务，根据《中华人民共和国计算机信息系统安全保护条例》、《企业内部控制基本规范》及有关法律法规，結合企业实际状况，特制定本制度。合用范围2.1本制度所称的信息系统，是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息顾客和规章制度构成的以处理信息流為目的的人机一体化系统。简朴地說，信息系统就是输入数据/信息，通過加工处理产生信息的系统。2.2本制度合用于**股份，各子企业参照执行。应关注風险3.1信息系统缺乏或规划不合理，也許导致信息孤岛或反复建设，导致企业經营管理效率低下。3.2系统開发不符合内部控制规定，授权管理不妥，也許导致無法运用信息技术实行有效控制。3.3系统运行维护和安全措施不到位，也許导致信息泄漏或毁损，系统無法正常运行。组织构造与职责4.1信息系统管理部门是企业信息系统的归口管理部门。其重要职责如下：（1）负责企业信息系统的整体规划、安全运行及维护管理工作。负责企业管理支撑系统、业务支撑系统的应用開发和管理。负责企业各项业务数据采集工作的管理与实行指导。负责企业网站的建设维护和系统支持工作。负责信息系统操作规程的编写和实行培训。负责企业信息系统的安全、保密。负责企业信息系统数据备份工作。负责企业与信息系统有关档案资料的管理和存档。（9）负责對企业有关信息系统管理、操作、应用人员進行技术、安全、操作、应用培训。（10）负责企业信息系统的全面监测、技术升级工作。4.2财务中心负责控制、核算信息系统開发、维护、变更所产生的费用。4.3各部门负责配合、支持信息系统工作。4.4成立信息系统评审小组，由總裁办负责组织，财务中心、运行管理中心、监察审计部、法务部门等有关部门负责人参与，對信息系统项目的立项、阶段性成果、開发成果、重大变更、项目總結進行评估。必要時也可聘任外面有关专家主持或参与评审小组。项目的提出者、项目负责人接受评审小组的质询，不能参与评审表决。审批权限5.1系统開发、维护、变更费用投入年度预算由董事會同意。5.2單個项目的開发、维护、变更經费预算由總裁和董事會按企业颁布的《资金支付审批权限规定》明确的权限审批。開发管理6.1信息系统管理部门应每年度根据信息系统建设整体规划提出信息化建设方案，明确建设目的、人员配置、职责分工、經费保障和安排進度等有关内容，按照规定的权限和程序审批後实行。6.2业务部门提出信息系统開发申請，编制信息系统開发申請書，經信息系统管理部门、信息系统评审小组审核後，按审批权限同意立项。6.3信息系统评审小组根据企业实际状况，确定開发方式。6.3.1选定外购方式的，应严格按照企业颁布的《6.3信息系统管理部门应當加强信息系统開发全過程的跟踪管理，组织外包開发單位和内部各單位的平常沟通和协调，督促外包開发單位按照建设方案、计划進度和质量规定完毕開发工作，對配置的硬件设备和系统软件進行检查验收，组织系统上线运行等。信息系统管理部门应當组织内部有关單位提出開发需求和关键控制點，规范開发流程，明确系统可行性分析、规划、分析、设计、開发实行、测试、安装调试、试运行、维护等全過程的管理规定，严格按照建设方案、開发流程和有关规定组织開发工作。6.3.2.1在系统可行性分析阶段，应编制可行性汇报，從有益性、也許性和必要性3個方面進行初步分析，防止盲目投资，減少不必要的损失。6.3.2.2在系统规划阶段，应编制總体规划方案汇报。确定開发次序、合理安排人力、物力、财力。6.3.2.3在系统分析阶段，应编制系统分析汇报，明确功能需求、技术需求等方面的控制规定。6.3.2.4在系统设计阶段，外包開发單位应编制系统设计汇报，采用一定的原则和准则，對信息系统的總体架构和模块之间的联络進行设计，對信息系统中的信息進行分类编码设计及输入/输出方式设计等。6.3.2.5在系统開发实行阶段，外包開发單位应编制程序清單及系统使用阐明書。完毕對系统硬件设备的购置和安装和应用软件的程序设计。6.3.2.6在系统测试阶段，应编制系统测试汇报，從總体出发，测试系统应用软件的總体效益，各個构成部分的功能完毕状况，系统的运行效率和系统的可靠性等。6.3.2.7在系统安装调试阶段，应编制系统安装验收汇报。完毕系统安装、数据加载等系统运行前的某些新旧系统的转化工作。一旦转换結束便可對计算机硬件和软件系统進行系统的联合调试。6.3.2.8在系统试运行阶段，应编制系统试运行總結汇报。培训业务操作和系统管理人员，制定科學的上线计划和新旧系统转换方案，考虑应急预案，保证新旧系统顺利切换和平稳衔接。系统上线波及数据迁移的，還应制定详细的数据迁移计划。6.3.2.9在系统维护阶段，应编制系统运行审计汇报，制定数据管理、安全管理、账号管理等管理规则和制度。信息系统评审小组应對系统功能、性能、控制规定和安全性等方面進行评审，保证系统符合企业的開发需求。信息系统管理部门应當制定信息系统工作程序、信息系统管理制度以及各模块子系统的详细操作规范，及時跟踪、发現和处理系统运行中存在的問題，保证信息系统按照规定的程序、制度和操作规范持续稳定运行。6.3.2.10在開发项目中，需外包開发單位提交的成果是：系统设计汇报、程序清單和系统使用阐明書、系统测试汇报、系统安装验收汇报；需信息系统管理部门提交的成果是：可行性汇报、總体规划方案汇报、系统运行审计汇报；需双方單位共同完毕的是：系统分析汇报、系统试运行總結汇报。6.3.3信息系统管理部门根据同意的信息系统项目，组建企业的自主開发团体，提出開发人才需求，經分管開发的副總裁审核後，由人力资源中心按企业的招聘程序進行人员招聘。開发阶段及阶段性成果和业务外包方式同样。变更管理7.1系统变更包括對应用系统的升级、修改、补丁安装等变化系统功能的活動，以及對操作系统升级和补丁安装、数据库/操作系统环境配置变化、防火墙配置修改等。7.2信息系统管理部门应當建立信息系统变更流程，系统变更应严格按照流程進行操作。信息系统操作人员不得私自進行系统软件的删除、修改等操作；不得私自升级、变化系统软件版本；不得私自变化软件系统环境配置等。安全管理8.1信息系统管理部门应根据业务性质、重要性程度、涉密状况等确定信息系统的安全等级，建立不一样等级信息的授权使用制度，采用對应技术手段保证信息系统运行安全有序。8.2信息系统管理部门应當建立信息系统安全保密和泄密责任追究制度。委托专业机构進行系统运行和维护管理的，应當审查该机构的资质，并与其签订服务协议和保密协议。8.3企业应當采用安装安全软件等措施防备信息系统受到病毒等惡毒软件的感染和破壞。8.4信息系统管理部门应當建立顾客管理制度，加强對重要业务系统的访問权限管理，定期审阅系统账号，防止授权不妥或存在非授权账号，严禁不相容职务顾客账号的交叉操作。8.5企业应當建立网络安全管理制度，综合运用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及遠程访問安全方略等手段，加强网络安全，防备来自网络的袭击和非法侵入。8.6企业對于通過网络传播的涉密或关键数据，应當采用加密措施保证信息传递的保密性、精确性和完整性。8.7企业应在系统中设置操作曰志功能，保证操作的可审计性。對异常或违反内部控制规定的交易和数据，应當设计由系统自動汇报并设置跟踪处理机制。数据管理9.1数据是系统重要的构成部分之一，数据可以支持应用系统的运行，反应各项业务的状况、反应系统运行的性能。数据管理在计算机应用中，具有极其重要的作用。9.2数据分為系统数据、业务数据两类。系统数据是指為系统软件运行而需配置的参数数据，重要包括：操作系统数据、数据库系统数据、网络管理数据。业务数据是指在系统运行中各项业务产生的数据，客观的记录每项业务的运行状况，重要包括：顾客信息、账务信息、资源信息、业务信息数据、应用软件配置数据和其他数据。9.3對系统数据和业务数据，应建立严格的管理措施。（1）對易受“病毒”袭击的计算机系统，定期進行“病毒”检查。用介质互换信息要按规定手续管理，并進行“病毒”预检，防止“病毒”對数据的破壞。（2）要用软、硬件技术严格控制各级顾客對数据信息的访問权限，包括访問的方式和内容。（3）数据容灾是数据安全保护的重要内容，工作中要建立数据容灾机制。（4）严格控制业务数据的管理权限，只有有关人员才能访問业务数据。业务数据管理权限分為查询、录入、更改、删除权限等。對不一样人员，可根据不一样业务需求授予一种或多种权限。（5）建立数据修改流程，對每次進行数据修改的書面文献应归档保留。（6）對于必需的後台数据操作，建立规范的流程制度，對操作状况進行监督或者审计。9.4對存储有重要数据的设备故障，需交外單位人员修理時，本單位必须派专人在場监督。数据备份10.1信息系统管理部门应建立系统数据备份及恢复管理制度，明确备份范围、频度、措施、负责人、寄存地點、有效性检查等内容。10.2数据备份规定：（1）备份数据应定期進行可用性测试，保证备份数据的可用性。（2）系统進行升级、变更等重大操作前，對系统数据和业务数据要進行完整备份。（3）有关备份数据至少一式三份，同步备份数据至少应采用两种以上的存储介质。（4）数据备份应尽量做到异地、异人保留。（5）做好备份介质保管登记管理，由专人负责，严防业务数据泄密或丢失。（6）数据备份在制作、传递、转移過程中，必须建立详细的交接登记，详细记载备份数据制作、传递、移動的所有過程与负责人。10.3数据备份介质的寄存地必须符合防火、防水、防磁的安全规定。10.4数据备份方式：（1）系统备份指使用操作系统提供的工具對主机系统、数据库系统、网络设备等進行的全面备份；业务数据备份包括對业务系统的业务数据、配置参数、曰志等的备份。（2）实行定期备份与動态备份相結合的备份方略。定期备份是指根据作业维护计划执行的定期备份操作；動态备份是指系统進行升级、变更等重大操作前，對系统数据和业务数据進行的备份。（3）实行自動备份与人工备份相結合。自動备份是根据备份作业维护计划由程序定期自動执行的备份操作，人工备份是指手工执行备份程序和备份指令。（4）数据容灾是数据安全保护的重要内容，也是数据备份的重要手段，工作中应當建立数据容灾机制；有条件的要建立容灾系统，实現数据容灾或和应用容灾。档案管理11.1信息系统管理部门设专人负责信息系统档案管理工作。11.2信息系统档案资料包括：技术资料、业务资料、维护记录和分析汇报。11.2.1技术资料包括系统随机资料和操作阐明、系统配置及变更信息、系统開发文档、系统验收文档11.211.211.3信息系