资管子公司信息安全管理制度

1、信息安全管理制度信息安全管理制度第一章 总则第一条、为了规范公司信息技术系统管理行为，加强公司信息技术系统的优化建设和安全管理，防范客户信息泄露，提高信息技术系统的安全性、可靠性、高效性，维护公司与投资者的权益，依据公司恒天财富信息系统权限及系统日志管理制度和恒天财富投资管理有限公司保密制度、与财政部颁发的企业内部控制基本规范，制定本管理制度。第二章 内部控制基本规范第二条、信息安全：信息安全是指信息系统受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。（一） 保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程

2、序使用（二） 完整性：确保信息没有遭到篡改和破坏（三） 可用性：确保拥有授权的用户或程序可以及时、正常使用信息第三条、企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外

3、部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第四条、企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。第五条、编制内部信息系统权限矩阵表，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第六条、企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：（一）员工的聘用、培训、辞退与辞职。（二）员工的薪酬、考核、晋升与奖惩。（三）关

4、键岗位员工公司有权进行休假制度和定期岗位轮换制度。（四）掌握公司的核心机密或重要客户信息的员工离岗的限制性规定。（五）有关人力资源管理的其他政策。第七条、企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 （一）风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。（二）企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。（三）企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。（四）企业应当合理分析、准确掌握董事、经理

5、及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。第八条、企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。（一）风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。（二）风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。（三）风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。（四）企业应当结合不同发展阶段和业务拓展情况，持续收集与风险

6、变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第八条、不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。第九条、授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。第十条、授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。（一）企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。

7、特别授权是指企业在特殊情况、特定条件下进行的授权。（二）企业各级管理人员应当在授权范围内行使职权和承担责任。（三）企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。（三） 禁止未经授权情况下任何操作，包括信息系统权限分配、导出数据的工作，或其他未经授权的操作性工作。第十一条、企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。第十二条、企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥

8、善处理。第十三条、企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。第三章 普通账户管理规范第十四条、申请人必须按照恒天财富合规部系统权限及系统日志管理规范。第十五条、申请人统一在恒天协同办公系统上提流程，进行统一创建、修改、删除/禁用等申请。第十六条、账号申请人所属部门负责人及系统拥有部门负责人根据恒天财富合规部系统权限及系统日志管理规范，申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。第十七条、在受理申请时，系统权限申请经过恒天协同办公系

9、统上“系统权限申请”流程申请新增、变更及撤销相应的系统权限，合规部对系统权限的业务互斥性和合规性进行审核。审批通过后信息技术中心人员进行系统权限分配。给用户分配独有的用户账号，以使用户对其行为负责。一旦分配好账号，用户不得使用他人账号或者允许他人使用自己的账号。第十八条、新员工入职或员工岗位发生变化时，新员工入职时信息技术中心自动分配给相应系统权限。员工岗位发生变化时应在恒天协同办公系统上提交“系统权限申请流程”。合规部对系统权限的业务互斥性和合规性进行审核。经过审批通过后。信息技术中心进行相应的权限分配， 第十九条、人员离职的情况下，该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后

10、，人力资源根据该用户的岗位申请删除或禁用离职人员账号及权限。第二十条、账号管理人员建立各种账号恒天协同办公系统上进行申请和变更。合规部定期进行检查和监督。第二十一条、所有人员必须经过协同办公系统“系统权限申请流程”包括需求在内的新功能的权限，经过领导和合规部门审批后，信息技术中心最终进行执行，任何人在未经授权情况下，不得私自授权任何信息系统的权限，如果出现任何问题，由执行者和当事人负全部责任。第四章 特权账号和超级用户账号管理第二十二条、特权账号指在系统中有专用权限的账号，如数据库管理员账号、应用系统账户、操作系统账号、权限管理账号、系统维护账号、堡垒机账户、服务器账户等。超级用户账号指系统中

11、最高权限账号，如administrator（或admin）、root等管理员账号。第二十三条、只有经授权的用户才可使用特权账号和超级用户账号，严禁共享账号包括（数据库管理员账号、应用系统账户、操作系统账号、权限管理账号、系统维护账号、堡垒机账户、服务器账户）。第二十四条、合规部不定期进行查看系统日志，监督特权账号和超级用户账号使用情况。第二十五条、尽量避免特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。第二十六条、临时使用超级用户账号必须有监督人员在场记录其工作内容。第二十七条、超级用户账号临时使用完毕后，账号管理人员立即更改账号密码。第二十八条、超

12、级管理员账户禁止远程访问生产环境，并且修改生产环境的数据。确需使用时必须履行正规的申请及审批流程，相关领导审核并且签字确认，并保留相应的文档。第二十九条、员工离职后，账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员，则及时更改特权账号或超级用户口令（数据库管理员账号、应用系统账户、操作系统账号、权限管理账号、系统维护账号、堡垒机账户、服务器账户）。第五章 用户账号口令管理第三十条、用户账号口令发放要严格保密，用户必须及时更改初始口令。第三十一条、用户账号口令最小长度为位，并具有数字和字母两组组成。并具有一定复杂度。第三十二条、用户账号（普通账户）口令必须严格保密，并定期

13、进行更改，密码更新周期不得超过天。第三十三条、严禁共享个人用户账号口令。第三十四条、信息中心所管理的服务器、数据库、堡垒机、应用系统（包括但不限于恒天协同办公系统、hr、crm、poss、多金系统、salesforce、恒天金服等）的设置的密码由两位系统管理员共同分段保存，严禁将自用密码转告他人。非系统管理员使用密码完成工作后，系统管理员应该及时更换密码保证服务器安全。第三十五条、超级用户账号需使用时须信息中心总经理给授权并且两人分别输入管理的密码，超级用户账号指系统中最高权限账号，如administrator（或admin）、root等管理员账号，超级用户账号口令必须严格保密，并定期进行更改

14、，密码更新周期不得超过90天。第三十六条、服务器用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外）严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时任何情况下不应泄漏计算机系统用户口令。第三十七条、任何人不得利用盗取、猜测、窥视、破解等非法手段获取服务器用户口令，盗用他人访问权限，威胁信息系统安全。如有违反恒天财富投资管理有限公司有权向司法机关提起上诉。第三十八条、信息中心系统管理人员在进行服务器系统口令输入时应观察周围是否有不相关人员，采用遮掩方式输入密码。第三十九条、账号管理人员离职须在信息中心总经理授权下进行交接，接手的员工须立

15、即更换密码。第四十条、如系统账户口令泄露，一经发现造成的一切经济损失和后果由当事人全部承担。第六章 授权与权限安全管理第四十一条、信息系统权限与日志管理按照以下原则进行：（一） 用户权限实行集中管理，统一授权；（二） 审批人无操作权限，操作人无审批权限；（三） 用户权限分配以满足工作需要的最小化为原则，杜绝冗余权限；（四） 用户权限的设置满足业务互斥行和合规性的要求，实施相应分离的措施，形成各司其职，各负其责，相互制约的工作机制；（五） 用户权限的设立遵守专户专用的原则，所有的系统权限实行一个岗位对应一个权限。第四十二条、信息技术中心应有专人负责账户权限管理工作，其工作范围包括跟踪各类账户权限

16、的分配、变更和相关口令管理，并对相关文档进行维护。第四十三条、用户岗位发生变动时，应及时通过恒天协同办公系统“系统权限申请”流程申请新增、变更及撤销相应的系统权限，合规部对系统权限的业务互斥性和合规性进行审核。第四十四条、任何权限的申请和授予都要遵循最小授权原则，即所授予的权限是要完成任务所必需的最小权限。获取权限的同时必须承担相应的责任，权限所有者应为包括口令丢失、误操作等不当行为承担责任。第四十五条、对权限的申请、审批、变更、撤销等按照恒天财富信息系统权限及系统日志管理制度的规定执行，在人员岗位变化或离职的情况下，及时变更和撤销相关权限。第四十六条、禁止或严格限制操作系统、应用系统、网络设

17、备等系统的匿名或默认用户。第七章 机房安全管理第四十七条、机房安全管理是指保障机房的规划设计、建设和管理达到国家、行业相关安全要求的管理工作。机房包括公司的总部机房、灾备机房、分支机构机房和托管机房等。第四十八条、机房安全管理要遵循规范化、实用性、责任制、集中统一管理的原则。第四十九条、机房规划设计应符合相关国家标准的安全要求，防雷、接地、电磁辐射和电气等特性都应达到国家相关标准的要求。第五十条、机房应具备双路供电条件或配备发电设备，并配备ups 后备电源。第五十一条、机房应配置独立的空调设备对温湿度进行控制，并建立空调备份机制，在主用空调发生故障时能够及时启用备用空调。第五十二条、机房应安装

18、视频监控设备、红外双监探测器、温烟感探测器、门禁系统等监控安防设施，宜安装环境监控系统和设备监控系统。第五十三条、机房须配有防火、防潮、防尘、防盗、防磁、防鼠、应急照明等设施。第五十四条、机房的建设要由有资质的机房工程公司严格按照机房规划设计方案实施。第五十五条、严禁易燃、易爆、腐蚀性、强电磁、辐射性、流体物质及其它与机房工作无关的物品进入机房。第五十六条、禁止在机房内堆放与生产系统运行无关的物品。第五十七条、禁止在交易时段对未发生故障或故障隐患的网络及各种设备进行调试。第五十八条、未经授权，禁止自行配置或更换机房中的关键设备。第五十九条、禁止违规操作，避免安全隐患。第六十条、信息技术部人员进

19、入机房须填写机房出入登记表。附件一第六十一条、外部门员工因为业务需要进出机房，需填写外来人员进出机房登记表，附件二 由信息技术部相关人员陪同进入。第六十二条、外来人员考察访问时进出机房，需请示信息技术部领导同意，再填写外来人员进出机房登记表，附件二 由相关人员陪同进入。第六十三条、监控系统用于公司机房的安全记录及事后检查。(一) 公司机房监控系统由信息技术部总负责，由设备保障部负责运维工作及数据备份。(二) 监控用的计算机不得做与监控工作无关的事情。维护和保养好监控设施。保持图像信息画面清晰，保证系统正常运行。(三) 任何人不得擅自复制、查询或者向公安机关以外的其他单位和个人提供、传播图像信息

20、。(四) 任何人不得擅自删除、修改监控系统的运行程序和记录。(五) 任何人不得擅自改变公共安全图像信息系统的用途和摄像设备的位置以及计算机系统的设置。(六) 外来单位人员需要查看监控图像需信息技术部相关领导批准，填写监控信息图像查看记录表,对图像信息的录制人员、调取时间、调取用途等事项进行登记。(七) 定期由专业公司对机房监控系统进行巡检，检查摄像头的牢固性，视频线缆连接及老化情况，视频输出分辨率变化，设备硬盘空间等。第六十四条、门禁系统(一) 所有人员进入机房需使用钥匙牌，方能进入。钥匙牌使用范围仅限公司信息技术部员工。门禁钥匙牌的发放由信息技术部指定的部门人员统一管理。(二) 新员工申请门

21、禁钥匙，由所在部门和领导批示后，由门禁管理人员，制作并发放钥匙牌。(三) 门禁钥匙牌由领用人保管，不得转借外部门或者外来人员使用。如有丢失，及时报告信息技术部相关领导处理。(四) 信息中心员工外调、离职时，需向信息技术部相关领导上缴机房钥匙牌。门禁管理人员在门禁系统中注销该钥匙牌。(五) 发现故障及时维修或更换部件，若不能修复及时报告部门主管。(六) 定期备份门禁数据库。定期备份的数据库作为将来系统损坏时使用。第八章 网络安全管理第六十五条、网络安全是指通过各种计算机、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。第六十六条

22、、网络安全管理须建立健全网络安全体系，统一制定公司的网络安全策略和技术方案，网络安全策略遵循技术保护和管理保护相结合的原则。第六十七条、网络系统的规划建设均须符合国家、行业相关标准的安全要求，达到规定的安全等级。第六十八条、网络系统管理要采用统一配置策略和安全策略。第六十九条、网络系统管理要建立完整的网络技术文档。第七十条、网络系统管理实行责任制管理和分级管理。第七十一条、须开启关键网络设备的日志记录和审计功能，达到防抵赖、防篡改、防窃取等功能。第七十二条、核心网络设备配置备机备件，保障发生故障时信息系统运行的连续性。第七十三条、变更、升级网络系统时，要对变更、升级项目进行评估，保障网络系统的

23、安全策略不受影响。第七十四条、所有可配置的网络设备按最小安全访问原则设置访问控制权限，关闭不必要的端口及服务，避免各类安全隐患。第七十五条、坚持交易业务网和内部办公网实施物理隔离；核心交易业务网和非核心交易业务网进行逻辑隔离的原则。第七十六条、总部与分支机构网络系统之间要安装硬件防火墙、安全网关或其它安全设备。第七十七条、接入互联网的网络系统要安装硬件防火墙、安全网关、漏洞扫描、入侵检测或其它安全设备，对非法的数据流进行限制，控制其流量，以达到对病毒或攻击流量扩散的速度和危害程度的限制。第七十八条、通过互联网为公众提供服务，须遵循国家和行业有关规定。第七十九条、对于涉及公司及客户敏感信息的传输

24、，须采取加密机制，防止用户名、交易指令、口令被截取的安全隐患。第八十条、定期对防火墙、入侵检测、路由器等网络安全设备的安全配置、过滤规则进行梳理，修正不当配置。对服务器上的应用进行排查，关闭与业务无关的服务。第八十一条、定期检查防火墙、入侵检测、路由器等网络安全设备的安全策略并根据国家、省、市等权威部门发布的信息安全警报及时完善、更新安全策略。第八十二条、定期进行网络攻防测试，不断完善安全策略。第八十三条、定期对网络系统进行安全性分析，及时发现并修正存在的安全漏洞。第八十四条、禁止通过互联网对公司网络进行远程管理和维护。第八十五条、禁止使用网络进入未经授权的计算机、在网络上发布不真实的信息、有

25、意散布计算机病毒、不以真实身份使用网络资源等非法行为。第八十六条、禁止违规操作，避免安全隐患。第九章 数据安全管理第八十七条、数据安全管理包括以下内容：(一) 禁止将导出数据外泄：不得将导出的数据泄露给与工作无关的任何人，只能在授权范围内使用；未经授权其他人及其无关人员不得使用导出数据。所有拥有信息系统导出人员应对数据进行保密；(二) 如果因工作原因必须使用其他人员的相关导出权限或其他临时导出权限，必须经过相关领导的书面授权；(三) 任何人查看、翻阅、询问到的客户信息都应对其保密，任何人不得在未经授权的情况下泄露客户信息；(四) 禁止共享操作系统级别的账号（包括操作系统、应用系统、数据库）;(

26、五) 通过系统设置（如只能在指定的终端机登录系统；使用双密码登录控制等等）控制超级用户的使用;(六) 从系统中抽取数据必须经过数据拥有者的审批并有统一的正式申请文件及记录；(七) 所有数据修改的工作均需要详细统一的记录，相关领导的签字确认，并且保留其详情的系统日志；(八) 对信息输入人员(超级管理员)的权限只授予指定人员，并对这些账号的使用进行记录监督，所有操作必须有对应的数据录入审批；(九) 对数据库的更新需要经过监管部门及数据拥有部门审批并存在详细审批记录;(十) 申请、审批、操作及检查工作需由不同岗位人员进行;(十一) 通过用户账号权限的控制，确保职责分工的有效性;(十二) 对数据处理的

27、审批文档、计划、验收文档及系统记录作出定期检查确保数据处理的有效性;(十三) 对授权访问生产环境的人员进行详细记录，使用该记录对生产环境访问权限的检查，确保只有经授权人员才能访问生产环境;第十章 病毒防护管理第八十八条、病毒防护管理是指预防和治理计算机病毒、保护信息系统安全的工作，包括：安全策略计划的制定；防病毒、防垃圾邮件、桌面管理等安全软件的管理；病毒防护的宣传培训等。第八十九条、利用安全软件及时侦测信息系统安全威胁来源、防御清除安全威胁、清理病毒。第九十条、及时更新安全软件的版本、引擎、病毒特征库等。第九十一条、及时根据各个部门的反馈意见及各安全软件的统计结果，分析并改进安全策略。第十一

28、章 信息系统安全评估第九十二条、信息系统安全评估的内容包括但不限于：一、由于市场发展，客户数量与业务量的不断发生变化会导致系统的设计容量不能够适应变化；二、各种系统设备会因长期运行而发生老化，可靠性降低，故障发生概率增加；三、新的病毒、黑客攻击方式、系统漏洞出现，会使过去的安全策略失效；四、信息技术市场的激烈竞争，服务商的服务实力会不断发生变化，其产品也会出现更新换代，甚至反向的退化和消失，而使得后续服务无法得到保障；五、公司为保障业务系统安全运营制订的各项内部管理制度、操作流程未得到有效执行，而使安全管理机制失效。第九十三条、须和系统集成商、应用开发商、运营维护商、设备托管商、网络通信商、技术咨询商等签订服务协议，定期对相关系统进行巡检和评估并出具报告。第九十四条、定期对关键网络、安全设备的日志进行检查、分析和评估，及时了解网络和设备安全运行状况，对所发现的薄弱环节及时整改并形成记录和评估报告。第九十五条、对行业内通报的重大安全隐患须立即进行专项安全