信息化技术管理制度

信息化技术管理制度为规范公司信息化技术管理，保障信息系统安全稳定运行，保护公司数据资产，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》及公司《内部控制基本规范》等相关法律法规和制度规定，制定本制度。本制度适用于公司及所属各部门、子公司（以下统称“各单位”）的信息化技术规划、建设、运维、安全及相关人员管理等活动，覆盖公司所有信息化基础设施、网络资源、数据资产、应用系统及相关技术服务。一、组织架构与职责分工（一）信息化领导小组公司成立信息化领导小组，由总经理担任组长，分管信息技术工作的副总经理担任副组长，成员包括信息技术部、财务部、法务部、人力资源部及各业务部门负责人。领导小组是公司信息化技术管理的决策机构，主要职责包括：审议公司信息化发展战略及中长期规划；审批信息化重大项目立项、预算及资源配置方案；协调解决信息化建设中的跨部门重大问题；监督信息化制度执行及安全事件处置情况。领导小组每季度召开一次例会，特殊情况可临时召开。（二）信息技术部信息技术部是信息化技术管理的执行部门，具体负责信息化规划落地、系统建设、日常运维及安全保障工作，主要职责包括：编制信息化年度工作计划及预算，报领导小组审批后组织实施；制定信息化技术标准、规范及操作流程；负责信息化基础设施、网络、数据及应用系统的建设、部署与维护；开展信息安全风险评估，制定安全防护策略并组织落实；组织信息化技术培训及安全意识教育；受理信息化相关问题投诉及故障报修，建立问题处理台账并跟踪闭环。（三）业务部门各业务部门是信息化系统的使用主体，应明确1名信息化联络员（由部门骨干员工兼任），负责本部门信息化需求提报、系统使用培训组织、数据采集与质量审核、安全事件初步处置及与信息技术部的日常对接。业务部门主要职责包括：根据业务发展提出信息化需求，配合信息技术部开展需求分析及系统测试；严格遵守信息化操作规范，确保本部门人员正确使用信息系统；对本部门产生或管理的数据真实性、完整性负责，按要求完成数据备份及保密工作；发现系统异常或安全隐患时，立即向信息技术部报告并配合处置。二、信息化基础设施管理（一）硬件设备管理1.采购与验收硬件设备（包括服务器、存储设备、网络设备、终端设备、安全设备等）采购实行统一管理，由需求部门提交《信息化设备采购申请表》，注明设备型号、配置、数量、预算及使用场景，经部门负责人签字后报信息技术部。信息技术部对需求的必要性、技术可行性及兼容性进行审核，形成《采购技术方案》，按公司采购管理规定报领导小组审批后，由采购部门统一采购。设备到货后，信息技术部联合需求部门、采购部门进行验收，核对设备型号、配置、序列号等信息，进行通电测试及功能验证，验收合格后签署《设备验收单》，纳入固定资产管理系统登记台账，明确设备编号、责任人、存放位置及使用状态。2.使用与维护服务器、存储设备等核心硬件由信息技术部专人管理，建立《核心设备运行日志》，记录开机时间、负载情况、故障信息等，每日进行巡检，每月生成运行报告。终端设备（电脑、打印机等）由使用人负责日常保管，不得私自拆卸、改装或更换硬件，确需维修的，由使用人提交《设备维修申请》，经部门负责人审核后，由信息技术部统一安排维修或送修，维修完成后填写《设备维修记录》。硬件设备出现故障无法修复或达到使用年限（按公司固定资产折旧年限执行）的，由信息技术部评估后提交《设备报废申请表》，报财务部、领导小组审批，报废前需进行数据彻底清除（服务器、存储设备需进行磁盘低级格式化或物理销毁），并注销固定资产台账。（二）软件系统管理1.正版化管理公司所有软件（包括操作系统、数据库、中间件、办公软件、业务应用软件等）必须使用正版授权，禁止安装或使用盗版软件。信息技术部建立《软件授权台账》，记录软件名称、版本、授权数量、授权期限、供应商及使用部门等信息，每年对授权合规性进行检查，确保无超授权使用情况。新购软件需签订正规采购合同，明确授权范围及售后服务，安装前由信息技术部进行病毒查杀及兼容性测试。2.版本与升级管理操作系统、数据库等基础软件的版本更新由信息技术部统一规划，评估升级风险及兼容性后，制定《软件升级方案》，报领导小组审批。升级前需对系统数据及配置进行备份，在测试环境验证通过后，选择非业务高峰期实施升级，升级完成后进行功能及性能测试，并填写《软件升级记录》。业务应用软件版本迭代需由业务部门提出需求，信息技术部组织开发或供应商进行升级，上线前需通过用户验收测试，确保不影响现有业务运行。三、数据管理（一）数据分类分级公司数据按重要性及敏感程度分为四级：一级（公开数据），指可对外公开的信息，如公司简介、产品目录等；二级（内部数据），指仅限公司内部使用的非敏感信息，如部门工作计划、普通会议纪要等；三级（敏感数据），指泄露后可能造成业务影响或声誉损失的信息，如客户联系方式、财务报表（非公开部分）等；四级（核心数据），指泄露后将严重危害公司利益或违反法律法规的信息，如核心技术资料、未公开的战略规划、用户支付信息等。信息技术部会同法务部、业务部门制定《数据分类分级标准》，明确各级数据的具体范围及标识方式，对核心数据和敏感数据进行特殊标记（如文件加密、数据库字段脱敏）。（二）数据采集与存储数据采集应遵循“合法、必要、最小化”原则，业务部门需明确数据采集范围及用途，禁止采集与业务无关的信息。客户个人信息采集需获得客户明确授权，签订《个人信息采集告知同意书》，并在系统中记录授权时间及方式。数据存储采用“本地+异地备份”模式，核心数据及敏感数据需存储在公司内部服务器或通过国家认证的云服务平台（如政务云、合规私有云），禁止存储在个人电脑或非授权外部存储介质。存储介质应符合安全标准，服务器硬盘需启用RAID技术，存储系统需具备容灾功能，定期进行存储容量监控，当使用率达到80%时启动扩容流程。（三）数据传输与使用数据传输需采用加密方式，内部传输使用公司局域网或加密VPN，外部传输使用HTTPS协议或专用加密通道，禁止通过微信、QQ等非加密工具传输敏感数据及核心数据。数据使用实行“最小权限”原则，用户访问数据需经授权，授权范围根据岗位职责确定，核心数据访问需通过部门负责人及信息技术部双重审批。数据使用过程中，禁止私自复制、下载或转发敏感数据，确需导出的，需提交《数据导出申请》，注明用途、数量及导出方式，经审批后由信息技术部进行水印处理或权限限制，并记录导出日志。（四）数据备份与恢复公司建立数据备份体系，一级数据每月备份一次，二级数据每周备份一次，三级数据每日备份一次，四级数据实时备份（同步复制）。备份介质包括磁盘阵列、磁带库及异地备份服务器，备份数据需至少保存3份（本地2份、异地1份），异地备份距离不小于100公里。信息技术部每月对备份数据进行恢复测试，验证备份有效性，测试结果纳入《数据备份测试报告》。发生数据丢失或损坏时，信息技术部应立即启动恢复流程，根据数据重要性确定恢复优先级，核心数据恢复时间不超过4小时，敏感数据不超过8小时，并记录恢复过程及原因。（五）数据销毁数据销毁需确保信息无法被恢复，纸质数据采用粉碎处理，电子数据根据存储介质类型采取相应措施：硬盘、U盘等磁介质需进行3次以上低级格式化或物理销毁（如消磁、破碎）；光盘、SSD等光存储介质需进行物理破碎；云存储数据需删除所有副本并通知云服务商彻底清除。数据销毁前由使用部门提交《数据销毁申请》，经信息技术部审核后，由双人监督执行，销毁完成后填写《数据销毁记录》，注明销毁介质、数量、方式及监督人。四、网络管理（一）网络规划与建设公司网络架构采用“核心-汇聚-接入”三层结构，核心层部署高性能路由器、交换机，保障网络骨干传输稳定；汇聚层实现区域网络汇聚及访问控制；接入层连接终端设备，提供有线及无线接入。网络建设需符合国家《信息安全技术网络安全等级保护基本要求》（GB/T22239），核心网络设备需具备冗余备份功能，关键链路采用双线路备份，避免单点故障。新网络建设项目由信息技术部编制《网络建设方案》，包括拓扑设计、设备选型、安全策略等，报领导小组审批后实施，竣工后需通过第三方网络安全检测机构验收。（二）IP地址与域名管理公司IP地址实行统一分配，由信息技术部制定《IP地址分配方案》，划分网段（如办公区、服务器区、DMZ区），为终端设备、网络设备、服务器分配固定IP地址，建立《IP地址台账》，记录IP地址、MAC地址、设备名称、责任人及使用状态。禁止私自更改IP地址或MAC地址，确需变更的，由使用人提交《IP地址变更申请》，经信息技术部审核后重新分配。公司域名由信息技术部统一注册管理，注册信息需登记在公司名下，域名解析记录由专人维护，变更域名解析需经部门负责人审批，并记录变更日志。（三）网络安全防护网络边界部署下一代防火墙（NGFW）、入侵检测系统（IDS）、入侵防御系统（IPS）及VPN设备，防火墙需按“最小开放”原则配置访问控制策略，仅开放必要端口及服务，策略变更需经信息技术部负责人审批。远程访问公司网络必须通过VPN，采用“用户名+密码+动态口令”多因素认证，VPN账号与员工工号绑定，员工离职后立即注销账号。无线网络采用WPA2-Enterprise加密方式，SSID隐藏，接入需通过802.1X认证，禁止私自部署无线路由器或AP，发现未授权无线设备立即屏蔽并追查责任人。（四）网络运行监控信息技术部建立网络监控平台，实时监控核心网络设备运行状态（CPU使用率、内存占用、端口流量等）、链路带宽及网络攻击情况，设置告警阈值（如CPU使用率超过80%、链路流量超过90%带宽），发生告警时立即通知网络管理员处理。每日生成《网络运行日报》，每周生成《网络安全周报》，分析网络运行趋势及安全事件，及时优化网络配置。网络故障处理遵循“先恢复后排查”原则，一般故障（如终端无法联网）处理时间不超过2小时，严重故障（如核心设备瘫痪）处理时间不超过4小时，并填写《网络故障处理记录》。五、信息安全管理（一）安全策略与制度信息技术部会同法务部制定公司《信息安全总体策略》，明确安全目标、组织架构、责任分工及总体要求，每年组织评审修订。根据总体策略，制定专项安全制度，包括《身份认证与访问控制制度》《终端安全管理制度》《应用系统安全管理制度》《应急响应预案》等，覆盖信息安全各领域。各单位需组织员工学习安全制度，确保人人知晓并遵守，新员工入职时必须签署《信息安全承诺书》，承诺遵守公司安全规定。（二）身份认证与访问控制公司所有信息系统实行统一身份认证，采用“域账号+密码+数字证书”认证方式，账号命名规则为“部门缩写+员工工号”，密码需满足复杂度要求（长度不少于8位，包含大小写字母、数字及特殊符号），每90天强制更换，禁止使用与账号相同或连续数字、字母的密码。系统权限按“职责分离、最小权限”原则分配，管理员账号与普通用户账号严格区分，核心系统管理员账号实行双人共管（一人掌握账号，一人掌握密码）。信息技术部每季度对系统权限进行审计，清理闲置账号及超额权限，审计结果报信息化领导小组。（三）终端安全管理所有办公终端（电脑、笔记本等）必须安装公司指定的杀毒软件、终端安全管理系统（EDR）及桌面管理软件，开启实时防护功能，定期更新病毒库及系统补丁（每月至少更新一次）。禁止在终端安装盗版软件、游戏或与工作无关的应用程序，禁止连接未经授权的外部存储设备（如U盘、移动硬盘），确需使用的，需通过终端安全管理系统申请临时授权，并进行病毒查杀。员工离开工位时必须锁定终端，下班后关闭电脑，禁止将办公终端带出公司（经审批的移动办公设备除外），移动办公设备需开启硬盘加密功能，丢失后立即向信息技术部报告。（四）应用系统安全应用系统开发需遵循安全开发生命周期（SDL）流程，在需求分析、设计、编码、测试各阶段嵌入安全要求，开发人员需参加安全编码培训，禁止使用存在高危漏洞的组件或框架。系统上线前必须进行安全测试（包括漏洞扫描、渗透测试），由第三方安全机构出具《安全测试报告》，高危漏洞未修复的不得上线。系统运行期间，信息技术部每月进行漏洞扫描，每半年进行一次渗透测试，发现漏洞立即通知开发团队或供应商修复，修复完成后进行验证。（五）安全事件应急响应公司建立信息安全事件应急响应机制，设立应急响应小组（由信息技术部、法务部、人力资源部组成），制定《信息安全事件应急预案》，明确事件分级（一般事件、较大事件、重大事件）、响应流程及处置措施。发生安全事件时（如数据泄露、系统被入侵、勒索病毒感染等），发现人应立即向信息技术部报告，应急响应小组启动预案，按“控制事态、消除影响、恢复系统、调查原因”步骤处置：立即隔离受影响系统，防止事件扩大；收集事件证据（日志、截图等），分析事件原因及影响范围；采取技术措施清除恶意程序、恢复系统及数据；对事件责任进行调查，形成《安全事件调查报告》，报信息化领导小组。重大安全事件需按规定向监管部门报告。六、应用系统管理（一）系统规划与立项应用系统建设应与公司业务战略匹配，由业务部门根据需求提交《信息化项目立项申请》，说明项目背景、建设目标、功能需求、预算及预期效益，经部门负责人审核后报信息技术部。信息技术部组织进行可行性分析，评估技术成熟度、成本效益及风险，形成《项目可行性研究报告》，报信息化领导小组审批。立项通过后，成立项目组（由信息技术部、业务部门及外部供应商组成），制定《项目实施计划》，明确进度节点、责任分工及交付成果。（二）系统开发与测试自主开发的系统需采用敏捷开发方法，按迭代方式推进，每个迭代周期（一般为2-4周）完成部分功能开发并组织用户测试。外包开发的系统需与供应商签订详细开发合同，明确需求范围、交付标准、质量要求及售后服务，开发过程中信息技术部需进行全程监理，定期检查开发进度及质量。系统测试包括单元测试、集成测试、功能测试、性能测试及安全测试，测试用例由业务部门与信息技术部共同制定，测试通过后由用户签署《测试验收报告》，未通过测试的功能需返回开发团队修改，直至验收合格。（三）系统上线与运维系统上线前需进行环境准备（服务器配置、网络部署、数据迁移等），制定《上线方案》，明确上线时间（选择非业务高峰期）、步骤及回滚预案，报领导小组审批。上线后进行为期1个月的试运行，信息技术部与业务部门共同监控系统运行情况，收集用户反馈，及时解决试运行中发现的问题。试运行结束后，组织正式验收，通过后纳入日常运维管理。运维工作包括系统监控（运行状态、性能指标）、故障处理、数据备份、版本更新等，建立《系统运维台账》，记录运维事件及处理结果，每月生成《系统运维报告》。（四）系统下线与归档应用系统因业务调整或技术淘汰需下线时，由业务部门提交《系统下线申请》，说明下线原因、数据处理方案及影响评估，经信息技术部审核后报领导小组审批。下线前需完成数据迁移（迁移至新系统或归档存储），确保数据完整保存，迁移完成后进行验证，确认无数据丢失。系统下线后，注销相关服务器、网络配置及账号权限，拆除硬件设备（按报废流程处理），所有项目文档（需求规格、设计方案、测试报告等）整理归档，保存期限不少于5年。七、人员管理与培训（一）岗位管理信息技术部设置系统管理员、网络管理员、数据管理员、安全管理员等专业岗位，明确各岗位的职责、任职条件及权限，岗位说明书报人力资源部备案。关键岗位（如核心系统管理员、安全管理员）实行轮岗制度，轮岗周期不超过3年，轮岗时需进行工作交接，交接内容包括账号密码、系统配置、未完成事项等，双方签署《岗位交接记录》，信息技术部负责人监督交接过程。员工离职时，人