公司信息化管理制度

公司信息化管理制度第一章总则1.1目的为统一公司信息资源规划、建设、运维、安全、数据治理、采购、退出全生命周期管理动作，确保业务连续、合规、降本、增效，特制定本制度。1.2适用范围适用于××科技股份有限公司（含分子公司、办事处、合资公司）所有与信息化相关的硬件、软件、数据、服务、人员、预算、供应商。1.3上位法与引用标准《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》、ISO27001:2022、ISO20000:2018、等保2.0、GDPR、SOX404、公司《内部控制手册》《财务管理制度》《采购管理制度》《人力资源管理制度》。1.4基本原则“谁主管谁负责、谁运营谁负责、谁使用谁负责”；“先审批后建设、先测评后上线、先备份后变更、先隔离后修复”；“预算刚性、流程闭环、数据驱动、持续改进”。第二章组织与职责2.1信息化管理委员会（CIO任主任）1)审批年度信息化战略规划、预算、重大项目立项；2)裁决跨部门信息化争议；3)对重大信息安全事件一票否决。2.2信息化中心（以下简称“信息中心”）1)负责制度解释、流程制定、技术审查、统一采购、统一运维、统一安全、统一数据治理；2)设立架构部、安全部、运维部、数据部、PMO、IT采购组；3)对业务部门信息化需求拥有“技术否决权”，对不符合架构或安全规范的需求可拒绝受理。2.3业务部门1)指定“信息化接口人”参与需求、测试、验收、推广；2)对本部门产生的数据质量、权限合规、终端安全负第一责任；3)每年1月向信息中心提交《年度信息化自评报告》。2.4内审部1)每年至少开展一次信息化专项审计，覆盖预算执行、权限管理、数据安全、外包服务；2)对审计发现出具《整改通知书》，逾期未完成整改的，移交人力资源部扣减绩效。2.5法务与合规部1)审查信息化合同、隐私条款、跨境数据传输；2)收到监管函2小时内组织应急，12小时内形成对外回执。第三章信息化战略规划与预算管理3.1三年滚动规划每年9月信息中心启动“三年信息化滚动规划”编制，采用“业务战略解码→能力差距分析→技术路线蓝图→投资测算→风险与合规”五步法，输出《信息化战略蓝图（三年）》经委员会审批后发布。3.2年度预算1)业务部门10月15日前提交《年度信息化需求申请表》，超50万元须附ROI测算；2)信息中心11月15日前完成技术评审、重复性筛查、合并采购包，形成《年度信息化预算草案》；3)财务部12月5日前完成预算平衡，提交总裁办公会；4)预算一经下发，无委员会书面批复不得调剂；确需追加的，按“10万元以下信息中心审批，10–50万元CIO审批，50万元以上委员会审批”执行。第四章信息化项目全生命周期管理4.1阶段划分立项→需求→架构→采购→实施→测试→上线→验收→运维→退役。4.2立项1)金额≥30万元或涉及核心系统须提交《可行性研究报告》，含业务目标、技术方案、风险、合规、ROI；2)信息中心5个工作日内完成技术评审，出具《立项评审意见》；3)委员会每月25日集中审批，通过率低于50%的项目6个月内不得重报。4.3需求1)采用“用户故事+验收标准”双栏模板，禁止出现“界面友好、性能较高”等模糊描述；2)需求评审须含业务代表、架构师、安全工程师、测试经理，评审通过后方可锁定基线；3)需求变更须走“变更控制委员会（CCB）”，评估工作量>5人日或影响关键路径的，须重新签订《需求变更协议》并调整预算。4.4架构1)所有系统须符合《公司技术架构规范（最新版）》：Java体系默认SpringCloud2022.x，前端统一React18，数据库优先PostgreSQL14，缓存优先Redis7，消息优先Kafka3；2)微服务接口须通过API网关统一发布，采用OAuth2.1+JWT，拒绝BasicAuth；3)新建系统可用性目标≥99.9%，扩展性目标支持10倍业务峰值，可维护性目标单点故障修复<30分钟；4)架构评审未通过的，采购部不得发放招标文件。4.5采购1)软件≥10万元、硬件≥30万元必须公开招标；2)技术分权重≥60%，价格分≤30%，服务分≤10%；3)投标方须出具《源代码托管承诺函》，约定未达SLA有权强制托管；4)中标通知书发出5个工作日内完成合同签订，逾期视为放弃，没收投标保证金。4.6实施1)项目经理须持PMP或信息系统项目管理师证书；2)每周提交《项目周报》，红黄绿灯预警；出现红灯24小时内召开专项复盘；3)代码须通过GitLab分支管理，主干分支禁止直接推送；合并请求须2人CodeReview通过；4)采用Jenkins+SonarQube持续集成，质量阈：Bug阻断级=0，严重级≤5，重复率≤5%，单测覆盖率≥80%。4.7测试1)测试用例覆盖率100%对应需求；2)性能测试：并发用户=峰值×1.5，TPS不低于业务预估1.2倍，响应时间P99≤1s；3)安全测试：采用OWASPTop10+公司《安全基线》72项，高危漏洞未修复禁止上线；4)用户验收不通过签字，不得进入上线流程。4.8上线1)上线窗口：工作日20:00–24:00，节假日8:00–24:00；2)须提前3天提交《上线申请单》，附《回退方案》《验证脚本》；3)灰度策略：首轮5%用户，30分钟无异常再全量；4)上线后24小时内出现P1故障，对项目经理、技术负责人各扣500元绩效并通报。4.9验收1)分为初验、终验；初验通过后进入3个月试运行；2)终验条件：试运行零P1故障、文档齐全、培训完成、知识库转移；3)终验通过后10个工作日内完成尾款支付，质保金10%，质保期≥1年。4.10运维1)统一纳入ITIL流程，事件、问题、变更、配置、发布、知识六大流程；2)系统分级：A类（核心）5×8专人值守+7×24远程响应，B类（重要）5×8远程，C类（一般）工单响应；3)SLA：A类P115分钟响应，2小时恢复；P230分钟响应，4小时恢复；4)每月生成《系统健康度报告》，可用性低于99.9%的，扣减运维商当月服务费5%。4.11退役1)系统连续12个月无业务调用即可申请退役；2)退役流程：数据迁移→法律留存→介质擦除→资产报废→合同终止；3)数据保存：交易类10年、日志类3年、个人信息2年，超期须使用国密SM3擦除并出具《数据销毁报告》。第五章信息安全管理5.1等级保护1)所有系统上线前完成等保测评，二级每2年复测，三级每年复测；2)测评报告80分以上方可上线，低于80分暂停项目，整改费由供应商承担；3)未通过测评即擅自上线，对直接责任人处以5000元罚款并记过一次。5.2账号与权限1)采用“最小权限+角色继承+双人审批”模型；2)员工入职1小时内创建账号，离职30分钟内禁用；3)特权账号每季度复查一次，留存《特权账号审计表》；4)外包人员使用“临时账号+VPN+堡垒机”，有效期≤3个月，逾期自动失效。5.3数据加密1)传输：HTTPSTLS1.3，拒绝TLS1.0/1.1；2)存储：MySQL采用AES-256-GCM，密钥托管于公司HSM；3)备份：备份文件二次加密，异地机房距离≥300km；4)密钥轮换周期90天，旧密钥保留7天解密过渡期。5.4终端安全1)全员安装天擎终端管控，未注册终端禁止入网；2)USB端口默认封闭，确需使用走OA流程审批；3)补丁管理：高危补丁24小时内安装，超期未安装强制断网；4)发现病毒3台以上即启动Ⅲ级响应，全公司通报。5.5日志与审计1)日志保留：操作系统6个月、应用12个月、安全设备24个月；2)审计规则：特权命令、批量数据导出、权限变更、登录失败5次以上；3)审计部每年随机抽取10%系统做穿透测试，发现问题24小时内通报信息中心。5.6外包与第三方1)签署《信息安全保密协议》《数据处理协议》；2)外包人员纳入公司统一身份认证；3)外包公司每年提供一次第三方安全评估报告，得分<80分暂停合作。第六章数据治理6.1数据标准1)制定《企业数据标准（2024版）》，含8大主题域、326项数据元、120项代码集；2)新建系统须100%引用标准，未引用部分须走“标准豁免”流程，CIO审批。6.2主数据1)客户、供应商、物料、组织、人员五大主数据采用MDM平台集中管理；2)主数据新增、变更须走工作流，双人审批；3)主数据质量规则45条，每月跑批，错误率>1%触发数据Owner整改。6.3元数据1)采用ApacheAtlas自动采集，覆盖率100%；2)元数据与血缘分层展示，支持字段级影响分析；3)每年6月、12月发布《元数据治理报告》。6.4数据质量1)定义完整性、一致性、准确性、及时性、唯一性五维度；2)质量评分<90分的系统，暂停新业务上线，直至整改达标；3)数据质量问题纳入部门KPI，占比10%。6.5数据资产目录1)信息中心维护《数据资产目录》，每月同步至数据门户；2)目录包含数据名称、Owner、存储位置、敏感级别、共享范围、使用流程；3)目录外数据禁止使用，违规使用按500元/次扣罚。6.6数据共享与开放1)内部共享：走“数据共享申请”流程，3个工作日审批；2)外部开放：须进行隐私影响评估（PIA），得分<60分禁止开放；3)对外开放API采用OAuth2+流量控制，默认100次/分钟。第七章采购与供应商管理7.1供应商准入1)须通过《供应商准入评估表》，含资质、财务、合规、安全、可持续性5维度32项指标；2)得分≥80分方可进入《合格供应商库》；3)黑名单制度：出现重大信息安全事件、贿赂、侵权即列入黑名单，3年内禁止参与投标。7.2采购方式1)公开招标、邀请招标、竞争性谈判、单一来源、询价，按《采购金额与方式对照表》执行；2)单一来源须公示5个工作日，无异议方可执行；3)采购文件技术部分由信息中心编写，商务部分由采购部编写，分开密封。7.3合同1)须包含范围、交付物、SLA、违约条款、源代码托管、知识产权、保密、数据跨境、不可抗力；2)软件采购须约定License可转让、可拆分、可按年度付费；3)违约金：延迟交付按合同总额0.5%/天，上限20%；SLA未达标每次扣1%服务费。7.4绩效评价1)采用“季度+年度”双周期，指标：交付质量、服务响应、合规事件、创新提案；2)季度评分<80分下达《整改通知》，连续两次<80分暂停投标资格6个月；3)年度评分≥90分，给予下一年度5%价格加分。第八章运维与灾备8.1机房管理1)采用A/B级双活机房，距离≥30km，延迟≤5ms；2)机房进出双人双锁，门禁记录保存3年；3)每月一次消防演练，每季度一次UPS深度放电测试。8.2监控1)采用Prometheus+Grafana+Alertmanager，监控指标600+；2)告警分级：P1电话+短信+飞书，P2短信+飞书，P3仅飞书；3)告警风暴>20条/5分钟自动升级至值班经理。8.3备份1)策略：全量每天、增量4小时、日志15分钟；2)恢复演练：每季度随机抽取10%系统做实际恢复，RPO≤15分钟，RTO≤2小时；3)演练失败即启动Ⅱ级响应，48小时内完成整改。8.4灾难恢复1)划分6大灾难场景：地震、火灾、电力、网络、黑客、瘟疫；2)核心系统2小时内切换至异地双活，数据零丢失；3)每年11月举行“灾备日”全员演练，未通过部门扣减年度绩效5%。第九章终端与用户支持9.1资产台账1)所有终端须贴二维码，扫码可查看配置、Owner、购买日期、保修状态；2)资产变更须2小时内同步至CMDB，逾期罚款100元/次。9.2标准镜像1)Windows1122H2+Office2021+企业应用商店；2)禁用Ghost，统一采用WDS+MDT网络部署，30分钟完成；3)个人数据默认重定向至OneDrive，本地不保留敏感文件。9.3用户支持1)5×8服务台+7×24飞书群；2)工单分级：普通4小时、紧急2小时、重大30分钟；3)月度满意度调查，得分<90分即对责任工程师进行约谈。第十章培训与考核10.1新员工1)入职1周内完成“信息安全+数据合规”线上考试，满分100，<90分补考，仍不合格暂停转正；2)发放《员工信息安全手册》，签字确认。10.2专业人员1)研发人员每年至少40学时，含安全编码、性能调优、云原生；2)运维人员每年至少2次实战演练，含K8s故障、数据库误删恢复；3)通过CISP/CISSP/PMP认证公司报销100%费用，但须签署2年服务协议。10.3业务部门1)每季度举办“信息化沙龙”，分享优秀案例；2)年度评选“信息化先锋部门”，奖金3万元。第十一章绩效考核与奖惩11.1指标权重1)业务部门：信息化项目交付20%、数据质量10%、安全事件10%；2)信息中心：项目准时率30%、系统可用性20%、预算控制10%、用户满意度10%。11.2奖励1)提前上线且节省预算10%以上，按节省额5%奖励团队，上限20万元；2)发现重大漏洞避免损失，按避免损失金额1%奖励，上限10万元。11.3惩罚1)未经审批擅自上线，直接责任人罚款5000元并记过；2)造成数据泄露，按影响条数1元/条罚款，部门负责人降薪10%；3)年度内出现2次P1故障，取消年度评优资格。第十二章应急与事故管理12.1事件分级P1重大（生产停服>1小时或数据泄露>1万条）、P2重要、P3一般。12.2应急预案1)制定《信息化应急预案（2024版）》，含42类场景、132条处置动作、76条回退方案；2)每年3月、9月组织双盲演练，演练报告24小时内提交委员会。12.3处置流程1)发现→5分钟内电话通知值班经理→15分钟内成立应急小组→30分钟内发布内部公告→2小时内给出临时方案→24小时内给出根本