家具公司办公软件使用规定（规则）

家具公司办公软件使用规定第一章总则

1.1制定依据与目的

本规定依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等国家法律法规，参照《信息安全技术网络安全等级保护基本要求》（GB/T22239）、《企业内部控制基本规范》及ISO27001信息安全管理体系标准，结合家具行业数字化转型与国际化经营需求制定。针对公司办公软件使用中存在的管理漏洞、数据泄露、效率低下等痛点，旨在规范办公软件选用、授权、使用、运维及废弃全生命周期管理，实现价值创造、风险防控与效率提升的核心目标。

1.2适用范围与对象

本规定适用于公司全体正式员工、外包服务商及合作单位人员，覆盖行政、研发、销售、生产、供应链等所有业务部门及岗位。适用于公司采购、配置、授权、使用的各类办公软件，包括但不限于操作系统、办公套件（如MicrosoftOffice/WPS）、专业软件（如CAD、ERP）、协作平台（如钉钉、Teams）及第三方应用。例外场景包括经总经办审批的特殊项目专项授权及经法律部评估的合规性豁免情形，需由相关部门提交书面申请及风险评估报告。

1.3核心原则

1.3.1合规性原则：所有软件选用、使用及数据管理须符合国家法律法规及行业监管要求。

1.3.2权责对等原则：明确各级人员权限与责任，确保授权与职责匹配。

1.3.3风险导向原则：聚焦高价值数据与关键业务场景，实施差异化管控。

1.3.4效率优先原则：在保障安全前提下，优化审批流程，提升软件应用效能。

1.3.5持续改进原则：定期评估制度有效性，动态调整管理策略。

1.3.6国际化适配原则：跨境业务需遵守数据属地存储与传输规则，采用符合GDPR等国际公约的解决方案。

1.4制度地位与衔接

本规定为公司基础性管理制度，与《财务报销管理制度》《合同审批管理办法》《信息安全保密制度》等专项制度形成协同体系。若本规定与其他制度冲突，以本规定为准，具体条款冲突由内控部协调裁决，争议结果报总经理办公会审定。

第二章组织架构与职责分工

2.1管理组织架构

公司办公软件管理遵循“董事会战略决策—总经理统筹指挥—内控部监督执行—各业务部门落实实施”的层级结构。董事会负责审批年度预算与重大软件采购决策；总经理办公会审议软件引进策略与权限矩阵；内控部统筹全流程监督与风险管控；IT部负责技术实施与运维支持；各业务部门承担具体应用管理责任。

2.2决策机构与职责

2.2.1股东会：审议年度办公软件预算及重大技术升级方案。

2.2.2董事会：批准软件采购合同、年度预算及数据跨境传输方案。

2.2.3总经理办公会：审定软件选用标准、权限矩阵及跨部门协同方案，重大采购需三分之二以上成员同意。

2.3执行机构与职责

2.3.1IT部（主责）：负责软件选型测试、部署授权、安全加固、应急处置；每月提交使用报告及风险预警。

2.3.2各业务部门（配合）：提交软件需求清单，落实人员培训与合规使用，指定部门软件管理员（如采购部王明，负责合同类软件管理）。

2.3.3内控部（监督）：每季度开展专项检查，核查权限分配合理性、审批流程合规性。

2.4监督机构与职责

2.4.1内控部：嵌入采购、授权、废弃三个关键内控环节，要求IT部留存授权日志、审计部抽查使用记录。

2.4.2审计部：每年开展至少一次专项审计，重点核查敏感数据场景软件使用合规性。

2.4.3合规部：跨境业务需提供数据合规性评估报告，确保符合当地法律要求。

2.5协调与联动机制

建立“月度办公软件管理联席会”，由内控部牵头，IT部、财务部、人力资源部参与，解决跨部门争议；设立“国际化业务软件协调小组”，由亚太区负责人牵头，统筹区域合规适配。

第三章专业领域管理标准

3.1管理目标与核心指标

3.1.1采购合规率≥98%（审计抽查验证）；

3.1.2权限审批时效≤2个工作日（IT部统计）；

3.1.3数据存储符合属地要求（合规部年检）。

3.2专业标准与规范

3.2.1软件分类管控标准：

-高风险软件（如ERP、PLM）：需经董事会审批，强制双因素认证；

-中风险软件（如CRM、OA）：需经总经理审批，限制外联；

-低风险软件（如WPS）：需经部门负责人审批，禁止存储敏感数据。

3.2.2风险控制点及措施：

-高风险点1：软件采购（措施：供应商背景核查、功能适配验证）；

-中风险点2：权限变更（措施：变更需经原审批人复核）；

-低风险点3：使用日志（措施：系统自动记录操作行为）。

3.3管理方法与工具

3.3.1管理方法：采用PDCA循环管理，每年进行一次软件生命周期盘点；

3.3.2管理工具：通过OA系统实现申请审批闭环，ERP集成软件使用数据统计，CRM对接客户数据安全管控。

第四章业务流程管理

4.1主流程设计

4.1.1软件全生命周期流程：需求提出→审批授权→部署培训→使用监控→废弃处置。

4.1.2各环节责任主体：

-需求提出：业务部门提交《软件需求申请表》（见附件1）；

-审批授权：IT部初审→部门负责人复审→总经理审批（金额超50万元需董事会）；

-部署培训：IT部负责系统配置与操作培训（培训记录存档）；

-使用监控：IT部每日核查异常登录；

-废弃处置：IT部物理销毁或数据擦除，合规部验收。

4.2子流程说明

4.2.1权限变更流程：部门提交《权限变更申请表》，IT部验证必要性，内控部抽查审批记录。

4.2.2紧急授权流程：因业务突发需临时授权，需经部门负责人+IT部双重签字，48小时内补办正式审批。

4.3流程关键控制点

4.3.1高风险控制点：

-跨境数据传输（措施：需经合规部评估，签订数据保护协议）；

-敏感数据存储（措施：禁止在非加密软件中处理财务数据）。

4.3.2中风险控制点：

-软件升级（措施：需同步更新权限配置，内控部复核）；

-外包服务商使用（措施：签订保密协议，IT部监控其账号行为）。

4.4流程优化机制

每年12月由内控部牵头，IT部、业务部门共同复盘，重点优化审批环节。例如2023年已将合同类软件审批时效从4个工作日压缩至2天。

第五章权限与审批管理

5.1权限矩阵设计

5.1.1权限分配原则：按“业务场景+金额+岗位层级”三级授权，具体如下：

-金额≤5万元：部门负责人直接授权；

-5万元＜金额≤50万元：部门负责人+分管副总审批；

-金额＞50万元：需总经理+财务总监+内控总监联签。

5.1.2岗位权限示例：

采购专员（中级）：可申请试用低风险软件（金额≤1万元）；

IT经理（高级）：可申请高风险软件部署（需总经理特批）。

5.2审批权限标准

5.2.1审批层级：

-常规路径：部门→IT部→总经理；

-特殊路径：金额＞100万元需董事会审批。

5.2.2时限要求：IT部收到申请后1个工作日内完成技术审核，部门负责人3个工作日内完成业务复核。

5.3授权与代理机制

5.3.1授权条件：需通过《软件使用授权登记表》备案，授权期限最长1年，到期自动失效。

5.3.2代理机制：临时代理需经正式授权，代理期限≤15个工作日，代理权限不得超出原授权范围。

5.4异常审批流程

5.4.1紧急审批：需附《紧急使用说明》及风险评估报告，由IT部+合规部双签。

5.4.2越权审批：首次发现需通报批评，连续发生需调整岗位。

第六章执行与监督管理

6.1执行要求与标准

6.1.1操作规范：所有数据录入需实名认证，敏感数据需加密存储（如财务数据必须使用ERP系统）；

6.1.2表单要求：《软件使用登记表》需包含使用人、用途、权限范围等信息。

6.2监督机制设计

6.2.1三位一体监督：

-日常检查：IT部每周抽查账号行为；

-专项检查：内控部每季度核查审批记录；

-突击检查：审计部每月随机抽查使用场景。

6.3检查与审计

6.3.1检查方式：现场核查+系统日志分析+访谈验证；

6.3.2审计要求：每年至少开展一次专项审计，重点核查权限分配与数据存储合规性。

6.4执行情况报告

每月5日前由IT部提交《办公软件使用分析报告》，内容包含：

-软件使用统计表；

-违规行为清单；

-风险预警事项。

第七章考核与改进管理

7.1绩效考核指标

7.1.1考核指标：

-软件使用合规率（权重40%）；

-权限审批效率（权重30%）；

-数据安全事件（权重30%，事件发生扣分）。

7.2评估周期与方法

7.2.1评估周期：季度考核，年度总评；

7.2.2评估方法：系统数据统计+现场核查+员工访谈。

7.3问题整改机制

7.3.1整改流程：问题发现→责任部门提交整改方案→内控部验收→销号；

7.3.2重大事项：金额＞100万元的违规需提交专项整改报告，整改期最长30天。

7.4持续改进流程

基于考核结果制定《年度改进计划》，明确优化目标、责任部门及完成时限。

第八章奖惩机制

8.1奖励标准与程序

8.1.1奖励情形：

-优秀软件应用案例（精神奖励）；

-软件优化提出者（物质奖励）；

-连续3季度考核优秀团队（晋升优先）。

8.2违规行为界定

8.2.1一般违规：首次使用非授权软件（如WPS处理财务数据）；

8.2.2较重违规：授权转借账号（需通报批评）；

8.2.3严重违规：泄露敏感数据（移交法务处理）。

8.3处罚标准与程序

8.3.1处罚标准：

-一般违规：警告+培训；

-较重违规：罚款500-2000元；

-严重违规：解除劳动合同。

8.3.2处罚程序：调查取证→告知→审批→执行→申诉。

8.4申诉与复议

8.4.1申诉条件：收到处罚通知3个工作日内；

8.4.2复议流程：部门负责人复核→人力资源部裁决→总经理审定。

第九章应急与例外管理

9.1应急预案与危机处理

9.1.1预案范围：数据泄露、系统瘫痪、账号盗用；

9.1.2责任分工：IT部负责技术处置，合规部负责法律应对，公关部负责舆情控制。

9.2例外情况处理

9.2.1例外场景：系统维护、测试阶段；

9.2.2处理要求：需提交《例外使用申请表》，附风险评估及补救措施。

9.3危机公关与善后

9.3.1公关流程：事件发生2小时内启动应急预案，48小时内发布官方说明；

9.3.2善后措施：全面排查漏洞，调整管控策略，开展全员培训。

第十章附则

10.1制度解释权归属

本规定由内控部负责解释，解释意见以书面形式存档。

10.2相关制度索引

-《信息安全保密制度》（文号：2023-001）；

-《财务报销管理制度》（文号：2023-005）；

-《合同审批管理办法》（文号：2023-012）。

10.3修订与废止程序

修订需经总经理办公会审议，修订版发布30