信息技术控制制度

信息技术控制制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等国家相关法律法规，参照国际信息系统审计与控制协会（ISACA）Treadway框架及中国内部审计协会（CIA）风险管理指引，结合集团母公司关于信息化建设与风险防控的总体要求，以及本公司数字化转型过程中对信息资产保护的内部管理需求，制定本制度。通过规范信息技术控制活动，防范数据泄露、系统瘫痪、操作舞弊等专项风险，确保业务连续性、合规性及运营安全。第二条本制度适用于公司各部门、下属单位及全体员工，涵盖信息技术基础设施管理、数据全生命周期控制、应用系统开发与运维、网络安全防护、权限管理等业务场景，包括但不限于办公自动化系统、ERP系统、客户关系管理系统（CRM）、生产执行系统（MES）等关键业务平台的操作与管理。第三条本制度下列术语含义如下：（一）信息技术专项管理：指公司针对信息技术领域风险特征，通过制度设计、流程优化、技术监控、人员培训等手段，实现信息系统合规运行、数据资产安全保护及业务连续性保障的系统化活动。（二）专项风险：指因信息系统设计缺陷、管理漏洞、操作失误或外部攻击等导致的信息安全事件、数据滥用、业务中断或合规处罚的潜在威胁。（三）XX合规：指信息系统开发、运行及数据管理全过程符合国家法律法规、行业标准及公司内部规定的状态，包括但不限于数据跨境传输合规、访问权限控制合规、加密传输合规等。第四条信息技术专项管理遵循以下核心原则：（一）全面覆盖：确保所有信息系统及数据资产纳入管理范围，不留盲区；（二）责任到人：明确各级组织及岗位的控制责任，实现风险可追溯；（三）风险导向：优先管控高风险环节，动态调整资源投入；（四）持续改进：定期评估控制有效性，优化管理机制。第二章管理组织机构与职责第五条公司主要负责人对信息技术专项管理负总责，承担风险防控的最终领导责任；分管信息化工作的领导为直接责任人，统筹组织体系建设、制度执行及重大风险处置。第六条设立信息技术专项管理领导小组，由公司主要负责人担任组长，分管领导担任副组长，成员包括财务部、法务部、内审部及各主要业务部门负责人。领导小组职责包括：（一）审议专项管理制度及重大风险应对方案；（二）协调跨部门风险处置资源；（三）监督年度管理目标达成情况。第七条公司内审部担任专项管理的牵头部门，负责：（一）制定并修订管理制度，组织穿行测试与效果评估；（二）统筹开展季度风险排查，编制风险矩阵清单；（三）监督考核各部门合规执行情况，提出改进建议。第八条财务部、IT运维部等专责部门职责如下：（一）财务部：审核系统接口开发涉及的资金支付合规性，监控异常交易行为；（二）IT运维部：负责网络设备、服务器、数据库的安全加固，落实漏洞修复机制。第九条各业务部门及下属单位承担信息技术专项管理的主体责任，需：（一）落实本领域系统操作规范，严禁超权限使用；（二）配合完成数据安全分类分级，开展敏感信息脱敏处理；（三）建立员工操作日志留存制度，保存不少于X年。第十条基层执行岗位人员需履行以下义务：（一）签署岗位合规承诺书，熟知本岗位职责范围内的控制要求；（二）发现系统异常或可疑操作时，立即向专责部门报告；（三）不得私自安装非授权软件或接入外部存储设备。第三章专项管理重点内容与要求第十一条系统开发与测试管理业务操作的合规标准：（一）需求开发前需经法务部审核数据合规性；（二）测试环境不得接入生产数据，测试脚本需经两人复核。禁止性行为：（一）严禁将测试账号用于生产环境操作；（二）禁止未经审批引入第三方框架或组件。重点防控点：（一）代码审计需覆盖核心业务逻辑层，阻断SQL注入等风险；（二）测试数据脱敏需符合《个人信息保护法》第五十六条要求。第十二条数据分类分级管理合规标准：（一）按“核心、重要、一般”三级划分数据，核心数据需双备份；（二）建立数据全生命周期台账，记录采集、存储、使用、销毁各环节责任方。禁止性行为：（一）严禁非业务部门查询核心数据；（二）禁止通过公共云存储传输敏感信息。重点防控点：（一）核心数据传输必须加密，采用国密算法或TLS1.3标准；（二）离职员工权限需及时停用，执行“即时销权”机制。第十三条访问权限控制管理合规标准：（一）遵循“最小权限”原则，新员工权限需经部门主管及IT部门双重审批；（二）定期（每季度）开展权限清理，异常权限申请需说明业务必要性。禁止性行为：（一）严禁跨部门共享账号或密码；（二）禁止设置长期有效密码。重点防控点：（一）高权限账号需采用智能卡+生物识别双重验证；（二）操作行为需实时记录至审计日志，禁止删除日志功能。第十四条网络安全防护管理合规标准：（一）外部访问需通过VPN加密通道，配置防火墙黑白名单；（二）漏洞扫描需覆盖全部IP地址，高危漏洞需72小时内修复。禁止性行为：（一）禁止擅自调整安全策略规则；（二）禁止在办公电脑安装P2P软件。重点防控点：（一）重要业务系统需部署WAF及DDoS防护；（二）定期模拟钓鱼攻击，评估员工防范能力。第十五条系统运维管理合规标准：（一）变更操作需提前X天发布运维通告，紧急变更需同步记录；（二）服务器日志需集中存储于安全审计主机，禁止接入互联网。禁止性行为：（一）禁止在系统运行时段进行非计划性维护；（二）禁止将运维文档上传个人网盘。重点防控点：（一）核心系统需部署UPS及冷备方案；（二）运维人员需通过保密协议及技能考核后方可上岗。第十六条第三方服务管理合规标准：（一）云服务商需提供ISO27001认证及年度合规报告；（二）数据托管协议需明确跨境传输责任，签订保密协议。禁止性行为：（一）禁止向无《增值电信业务经营许可证》的厂商采购服务；（二）禁止将客户信息用于服务商营销。重点防控点：（一）服务商需定期参与应急演练，配合完成数据备份验证；（二）核心服务商合同必须包含“不可抗力”免责条款。第十七条应急响应管理合规标准：（一）制定分级响应预案，数据泄露事件需在2小时内上报领导小组；（二）应急资源需定期检查，备用电源电池需每月测试。禁止性行为：（一）禁止隐瞒重大安全事件；（二）禁止未完成演练就发布预案。重点防控点：（一）关键系统需部署自动隔离功能，阻断病毒扩散；（二）指定至少X名内部专家负责技术支持。第四章专项管理运行机制第十八条制度动态更新机制每年X月组织评估小组对制度适用性开展论证，重大业务调整后需在1个月内完成修订。更新版本需全网发布，旧版文档作废。第十九条风险识别预警机制内审部每季度编制风险清单，采用“风险发生可能性×影响程度”公式量化等级，预警信息通过企业微信同步至各部门负责人。第二十条合规审查机制（一）新系统上线前需通过合规前置审核，由IT运维部出具技术意见书；（二）合同签订时需嵌入数据安全条款，法务部复核比例不低于30%。核心条款：“未经合规审查的变更不得实施”。第二十一条风险应对机制一般风险由业务部门自行整改，重大风险需成立专项工作组，流程如下：（一）立即隔离受影响系统；（二）责任部门72小时内提交处置方案；（三）领导小组每周召开协调会，直至风险解除。第二十二条责任追究机制违规情形及处罚标准：（一）违反权限规定，记过处分；（二）导致数据泄露，取消年度评优资格；（三）连续两次预警未整改，部门负责人降级。处罚联动：与绩效考核系统对接，自动扣减对应分值。第二十三条评估改进机制每年11月开展管理有效性自评，通过问卷调查、访谈、测试等方式收集反馈。评估结果用于优化流程设计，次年1月发布改进计划。第五章专项管理保障措施第二十四条组织保障设立专项管理年度预算，其中风险防控经费不低于年度信息化投入的10%，由领导小组审批重大支出。第二十五条考核激励机制（一）部门考核：合规得分占年度评分的20%，考核结果与绩效奖金挂钩；（二）个人激励：发现重大风险线索者奖励X万元，经查证属实后发放。第二十六条培训宣传机制（一）管理层培训：每年X月组织合规履职测试，考核不合格者强制补训；（二）全员培训：新员工入职前必须完成系统操作安全线上考试，合格率需达95%。第二十七条信息化支撑（一）部署统一身份认证平台，实现单点登录；（二）上线数据防泄漏系统，实时监控外发文档行为。第二十八条文化建设（一）发布《信息技术合规手册》，每半年更新一次；（二）在OA首页设立“安全知识角”，推送典型案例。第二十九条报告制度（一）风险事件上报：重大事件24小时内提交专项报告，附处置过程录音；（二）年度报告：