2024年信息系統(tǒng)管理制度

版本：創(chuàng)立曰期：密級(jí)：文獻(xiàn)編號(hào)：內(nèi)部控制文獻(xiàn)Internalcontroldocument內(nèi)部控制管理制度編制：審核：同意：更改歷史版本曰期更改次第更改章節(jié)編制審核同意5.2.1信息系統(tǒng)管理制度目的為了保護(hù)企業(yè)信息系統(tǒng)安全，規(guī)范信息系統(tǒng)管理，合理運(yùn)用信息系統(tǒng)資源，推進(jìn)企業(yè)信息化建設(shè)，保障企業(yè)信息系統(tǒng)的正常運(yùn)行，充足發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用，更好地為企業(yè)生產(chǎn)經(jīng)營(yíng)服務(wù)，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《企業(yè)內(nèi)部控制基本規(guī)范》及有關(guān)法律法規(guī)，結(jié)合企業(yè)實(shí)際狀況，特制定本制度。合用范圍2.1本制度所稱(chēng)的信息系統(tǒng)，是指由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息顧客和規(guī)章制度構(gòu)成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。簡(jiǎn)樸地說(shuō)，信息系統(tǒng)就是輸入數(shù)據(jù)/信息，通過(guò)加工處理產(chǎn)生信息的系統(tǒng)。2.2本制度合用于**股份，各子企業(yè)參照?qǐng)?zhí)行。應(yīng)關(guān)注風(fēng)險(xiǎn)3.1信息系統(tǒng)缺乏或規(guī)劃不合理，也許導(dǎo)致信息孤島或反復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下。3.2系統(tǒng)開(kāi)發(fā)不符合內(nèi)部控制規(guī)定，授權(quán)管理不妥，也許導(dǎo)致無(wú)法運(yùn)用信息技術(shù)實(shí)行有效控制。3.3系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，也許導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正常運(yùn)行。組織構(gòu)造與職責(zé)4.1信息系統(tǒng)管理部門(mén)是企業(yè)信息系統(tǒng)的歸口管理部門(mén)。其重要職責(zé)如下：（1）負(fù)責(zé)企業(yè)信息系統(tǒng)的整體規(guī)劃、安全運(yùn)行及維護(hù)管理工作。負(fù)責(zé)企業(yè)管理支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)的應(yīng)用開(kāi)發(fā)和管理。負(fù)責(zé)企業(yè)各項(xiàng)業(yè)務(wù)數(shù)據(jù)采集工作的管理與實(shí)行指導(dǎo)。負(fù)責(zé)企業(yè)網(wǎng)站的建設(shè)維護(hù)和系統(tǒng)支持工作。負(fù)責(zé)信息系統(tǒng)操作規(guī)程的編寫(xiě)和實(shí)行培訓(xùn)。負(fù)責(zé)企業(yè)信息系統(tǒng)的安全、保密。負(fù)責(zé)企業(yè)信息系統(tǒng)數(shù)據(jù)備份工作。負(fù)責(zé)企業(yè)與信息系統(tǒng)有關(guān)檔案資料的管理和存檔。（9）負(fù)責(zé)對(duì)企業(yè)有關(guān)信息系統(tǒng)管理、操作、應(yīng)用人員進(jìn)行技術(shù)、安全、操作、應(yīng)用培訓(xùn)。（10）負(fù)責(zé)企業(yè)信息系統(tǒng)的全面監(jiān)測(cè)、技術(shù)升級(jí)工作。4.2財(cái)務(wù)中心負(fù)責(zé)控制、核算信息系統(tǒng)開(kāi)發(fā)、維護(hù)、變更所產(chǎn)生的費(fèi)用。4.3各部門(mén)負(fù)責(zé)配合、支持信息系統(tǒng)工作。4.4成立信息系統(tǒng)評(píng)審小組，由總裁辦負(fù)責(zé)組織，財(cái)務(wù)中心、運(yùn)行管理中心、監(jiān)察審計(jì)部、法務(wù)部門(mén)等有關(guān)部門(mén)負(fù)責(zé)人參與，對(duì)信息系統(tǒng)項(xiàng)目的立項(xiàng)、階段性成果、開(kāi)發(fā)成果、重大變更、項(xiàng)目總結(jié)進(jìn)行評(píng)估。必要時(shí)也可聘任外面有關(guān)專(zhuān)家主持或參與評(píng)審小組。項(xiàng)目的提出者、項(xiàng)目負(fù)責(zé)人接受評(píng)審小組的質(zhì)詢(xún)，不能參與評(píng)審表決。審批權(quán)限5.1系統(tǒng)開(kāi)發(fā)、維護(hù)、變更費(fèi)用投入年度預(yù)算由董事會(huì)同意。5.2單個(gè)項(xiàng)目的開(kāi)發(fā)、維護(hù)、變更經(jīng)費(fèi)預(yù)算由總裁和董事會(huì)按企業(yè)頒布的《資金支付審批權(quán)限規(guī)定》明確的權(quán)限審批。開(kāi)發(fā)管理6.1信息系統(tǒng)管理部門(mén)應(yīng)每年度根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出信息化建設(shè)方案，明確建設(shè)目的、人員配置、職責(zé)分工、經(jīng)費(fèi)保障和安排進(jìn)度等有關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟釋?shí)行。6.2業(yè)務(wù)部門(mén)提出信息系統(tǒng)開(kāi)發(fā)申請(qǐng)，編制信息系統(tǒng)開(kāi)發(fā)申請(qǐng)書(shū)，經(jīng)信息系統(tǒng)管理部門(mén)、信息系統(tǒng)評(píng)審小組審核後，按審批權(quán)限同意立項(xiàng)。6.3信息系統(tǒng)評(píng)審小組根據(jù)企業(yè)實(shí)際狀況，確定開(kāi)發(fā)方式。6.3.1選定外購(gòu)方式的，應(yīng)嚴(yán)格按照企業(yè)頒布的《6.3信息系統(tǒng)管理部門(mén)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)開(kāi)發(fā)全過(guò)程的跟蹤管理，組織外包開(kāi)發(fā)單位和內(nèi)部各單位的平常溝通和協(xié)調(diào)，督促外包開(kāi)發(fā)單位按照建設(shè)方案、計(jì)劃進(jìn)度和質(zhì)量規(guī)定完畢開(kāi)發(fā)工作，對(duì)配置的硬件設(shè)備和系統(tǒng)軟件進(jìn)行檢查驗(yàn)收，組織系統(tǒng)上線(xiàn)運(yùn)行等。信息系統(tǒng)管理部門(mén)應(yīng)當(dāng)組織內(nèi)部有關(guān)單位提出開(kāi)發(fā)需求和關(guān)鍵控制點(diǎn)，規(guī)范開(kāi)發(fā)流程，明確系統(tǒng)可行性分析、規(guī)劃、分析、設(shè)計(jì)、開(kāi)發(fā)實(shí)行、測(cè)試、安裝調(diào)試、試運(yùn)行、維護(hù)等全過(guò)程的管理規(guī)定，嚴(yán)格按照建設(shè)方案、開(kāi)發(fā)流程和有關(guān)規(guī)定組織開(kāi)發(fā)工作。6.3.2.1在系統(tǒng)可行性分析階段，應(yīng)編制可行性匯報(bào)，從有益性、也許性和必要性3個(gè)方面進(jìn)行初步分析，防止盲目投資，減少不必要的損失。6.3.2.2在系統(tǒng)規(guī)劃階段，應(yīng)編制總體規(guī)劃方案匯報(bào)。確定開(kāi)發(fā)次序、合理安排人力、物力、財(cái)力。6.3.2.3在系統(tǒng)分析階段，應(yīng)編制系統(tǒng)分析匯報(bào)，明確功能需求、技術(shù)需求等方面的控制規(guī)定。6.3.2.4在系統(tǒng)設(shè)計(jì)階段，外包開(kāi)發(fā)單位應(yīng)編制系統(tǒng)設(shè)計(jì)匯報(bào)，采用一定的原則和準(zhǔn)則，對(duì)信息系統(tǒng)的總體架構(gòu)和模塊之間的聯(lián)絡(luò)進(jìn)行設(shè)計(jì)，對(duì)信息系統(tǒng)中的信息進(jìn)行分類(lèi)編碼設(shè)計(jì)及輸入/輸出方式設(shè)計(jì)等。6.3.2.5在系統(tǒng)開(kāi)發(fā)實(shí)行階段，外包開(kāi)發(fā)單位應(yīng)編制程序清單及系統(tǒng)使用闡明書(shū)。完畢對(duì)系統(tǒng)硬件設(shè)備的購(gòu)置和安裝和應(yīng)用軟件的程序設(shè)計(jì)。6.3.2.6在系統(tǒng)測(cè)試階段，應(yīng)編制系統(tǒng)測(cè)試匯報(bào)，從總體出發(fā)，測(cè)試系統(tǒng)應(yīng)用軟件的總體效益，各個(gè)構(gòu)成部分的功能完畢狀況，系統(tǒng)的運(yùn)行效率和系統(tǒng)的可靠性等。6.3.2.7在系統(tǒng)安裝調(diào)試階段，應(yīng)編制系統(tǒng)安裝驗(yàn)收匯報(bào)。完畢系統(tǒng)安裝、數(shù)據(jù)加載等系統(tǒng)運(yùn)行前的某些新舊系統(tǒng)的轉(zhuǎn)化工作。一旦轉(zhuǎn)換結(jié)束便可對(duì)計(jì)算機(jī)硬件和軟件系統(tǒng)進(jìn)行系統(tǒng)的聯(lián)合調(diào)試。6.3.2.8在系統(tǒng)試運(yùn)行階段，應(yīng)編制系統(tǒng)試運(yùn)行總結(jié)匯報(bào)。培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線(xiàn)計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，保證新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線(xiàn)波及數(shù)據(jù)遷移的，還應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃。6.3.2.9在系統(tǒng)維護(hù)階段，應(yīng)編制系統(tǒng)運(yùn)行審計(jì)匯報(bào)，制定數(shù)據(jù)管理、安全管理、賬號(hào)管理等管理規(guī)則和制度。信息系統(tǒng)評(píng)審小組應(yīng)對(duì)系統(tǒng)功能、性能、控制規(guī)定和安全性等方面進(jìn)行評(píng)審，保證系統(tǒng)符合企業(yè)的開(kāi)發(fā)需求。信息系統(tǒng)管理部門(mén)應(yīng)當(dāng)制定信息系統(tǒng)工作程序、信息系統(tǒng)管理制度以及各模塊子系統(tǒng)的詳細(xì)操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和處理系統(tǒng)運(yùn)行中存在的問(wèn)題，保證信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。6.3.2.10在開(kāi)發(fā)項(xiàng)目中，需外包開(kāi)發(fā)單位提交的成果是：系統(tǒng)設(shè)計(jì)匯報(bào)、程序清單和系統(tǒng)使用闡明書(shū)、系統(tǒng)測(cè)試匯報(bào)、系統(tǒng)安裝驗(yàn)收匯報(bào)；需信息系統(tǒng)管理部門(mén)提交的成果是：可行性匯報(bào)、總體規(guī)劃方案匯報(bào)、系統(tǒng)運(yùn)行審計(jì)匯報(bào)；需雙方單位共同完畢的是：系統(tǒng)分析匯報(bào)、系統(tǒng)試運(yùn)行總結(jié)匯報(bào)。6.3.3信息系統(tǒng)管理部門(mén)根據(jù)同意的信息系統(tǒng)項(xiàng)目，組建企業(yè)的自主開(kāi)發(fā)團(tuán)體，提出開(kāi)發(fā)人才需求，經(jīng)分管開(kāi)發(fā)的副總裁審核後，由人力資源中心按企業(yè)的招聘程序進(jìn)行人員招聘。開(kāi)發(fā)階段及階段性成果和業(yè)務(wù)外包方式同樣。變更管理7.1系統(tǒng)變更包括對(duì)應(yīng)用系統(tǒng)的升級(jí)、修改、補(bǔ)丁安裝等變化系統(tǒng)功能的活動(dòng)，以及對(duì)操作系統(tǒng)升級(jí)和補(bǔ)丁安裝、數(shù)據(jù)庫(kù)/操作系統(tǒng)環(huán)境配置變化、防火墻配置修改等。7.2信息系統(tǒng)管理部門(mén)應(yīng)當(dāng)建立信息系統(tǒng)變更流程，系統(tǒng)變更應(yīng)嚴(yán)格按照流程進(jìn)行操作。信息系統(tǒng)操作人員不得私自進(jìn)行系統(tǒng)軟件的刪除、修改等操作；不得私自升級(jí)、變化系統(tǒng)軟件版本；不得私自變化軟件系統(tǒng)環(huán)境配置等。安全管理8.1信息系統(tǒng)管理部門(mén)應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密狀況等確定信息系統(tǒng)的安全等級(jí)，建立不一樣等級(jí)信息的授權(quán)使用制度，采用對(duì)應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)行安全有序。8.2信息系統(tǒng)管理部門(mén)應(yīng)當(dāng)建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度。委托專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行和維護(hù)管理的，應(yīng)當(dāng)審查該機(jī)構(gòu)的資質(zhì)，并與其簽訂服務(wù)協(xié)議和保密協(xié)議。8.3企業(yè)應(yīng)當(dāng)采用安裝安全軟件等措施防備信息系統(tǒng)受到病毒等惡毒軟件的感染和破壞。8.4信息系統(tǒng)管理部門(mén)應(yīng)當(dāng)建立顧客管理制度，加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限管理，定期審閱系統(tǒng)賬號(hào)，防止授權(quán)不妥或存在非授權(quán)賬號(hào)，嚴(yán)禁不相容職務(wù)顧客賬號(hào)的交叉操作。8.5企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全管理制度，綜合運(yùn)用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測(cè)等軟件技術(shù)以及遠(yuǎn)程訪(fǎng)問(wèn)安全方略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防備來(lái)自網(wǎng)絡(luò)的襲擊和非法侵入。8.6企業(yè)對(duì)于通過(guò)網(wǎng)絡(luò)傳播的涉密或關(guān)鍵數(shù)據(jù)，應(yīng)當(dāng)采用加密措施保證信息傳遞的保密性、精確性和完整性。8.7企業(yè)應(yīng)在系統(tǒng)中設(shè)置操作曰志功能，保證操作的可審計(jì)性。對(duì)異?；蜻`反內(nèi)部控制規(guī)定的交易和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計(jì)由系統(tǒng)自動(dòng)匯報(bào)并設(shè)置跟蹤處理機(jī)制。數(shù)據(jù)管理9.1數(shù)據(jù)是系統(tǒng)重要的構(gòu)成部分之一，數(shù)據(jù)可以支持應(yīng)用系統(tǒng)的運(yùn)行，反應(yīng)各項(xiàng)業(yè)務(wù)的狀況、反應(yīng)系統(tǒng)運(yùn)行的性能。數(shù)據(jù)管理在計(jì)算機(jī)應(yīng)用中，具有極其重要的作用。9.2數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)兩類(lèi)。系統(tǒng)數(shù)據(jù)是指為系統(tǒng)軟件運(yùn)行而需配置的參數(shù)數(shù)據(jù)，重要包括：操作系統(tǒng)數(shù)據(jù)、數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)管理數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)是指在系統(tǒng)運(yùn)行中各項(xiàng)業(yè)務(wù)產(chǎn)生的數(shù)據(jù)，客觀(guān)的記錄每項(xiàng)業(yè)務(wù)的運(yùn)行狀況，重要包括：顧客信息、賬務(wù)信息、資源信息、業(yè)務(wù)信息數(shù)據(jù)、應(yīng)用軟件配置數(shù)據(jù)和其他數(shù)據(jù)。9.3對(duì)系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，應(yīng)建立嚴(yán)格的管理措施。（1）對(duì)易受“病毒”襲擊的計(jì)算機(jī)系統(tǒng)，定期進(jìn)行“病毒”檢查。用介質(zhì)互換信息要按規(guī)定手續(xù)管理，并進(jìn)行“病毒”預(yù)檢，防止“病毒”對(duì)數(shù)據(jù)的破壞。（2）要用軟、硬件技術(shù)嚴(yán)格控制各級(jí)顧客對(duì)數(shù)據(jù)信息的訪(fǎng)問(wèn)權(quán)限，包括訪(fǎng)問(wèn)的方式和內(nèi)容。（3）數(shù)據(jù)容災(zāi)是數(shù)據(jù)安全保護(hù)的重要內(nèi)容，工作中要建立數(shù)據(jù)容災(zāi)機(jī)制。（4）嚴(yán)格控制業(yè)務(wù)數(shù)據(jù)的管理權(quán)限，只有有關(guān)人員才能訪(fǎng)問(wèn)業(yè)務(wù)數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)管理權(quán)限分為查詢(xún)、錄入、更改、刪除權(quán)限等。對(duì)不一樣人員，可根據(jù)不一樣業(yè)務(wù)需求授予一種或多種權(quán)限。（5）建立數(shù)據(jù)修改流程，對(duì)每次進(jìn)行數(shù)據(jù)修改的書(shū)面文獻(xiàn)應(yīng)歸檔保留。（6）對(duì)于必需的後臺(tái)數(shù)據(jù)操作，建立規(guī)范的流程制度，對(duì)操作狀況進(jìn)行監(jiān)督或者審計(jì)。9.4對(duì)存儲(chǔ)有重要數(shù)據(jù)的設(shè)備故障，需交外單位人員修理時(shí)，本單位必須派專(zhuān)人在場(chǎng)監(jiān)督。數(shù)據(jù)備份10.1信息系統(tǒng)管理部門(mén)應(yīng)建立系統(tǒng)數(shù)據(jù)備份及恢復(fù)管理制度，明確備份范圍、頻度、措施、負(fù)責(zé)人、寄存地點(diǎn)、有效性檢查等內(nèi)容。10.2數(shù)據(jù)備份規(guī)定：（1）備份數(shù)據(jù)應(yīng)定期進(jìn)行可用性測(cè)試，保證備份數(shù)據(jù)的可用性。（2）系統(tǒng)進(jìn)行升級(jí)、變更等重大操作前，對(duì)系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)要進(jìn)行完整備份。（3）有關(guān)備份數(shù)據(jù)至少一式三份，同步備份數(shù)據(jù)至少應(yīng)采用兩種以上的存儲(chǔ)介質(zhì)。（4）數(shù)據(jù)備份應(yīng)盡量做到異地、異人保留。（5）做好備份介質(zhì)保管登記管理，由專(zhuān)人負(fù)責(zé)，嚴(yán)防業(yè)務(wù)數(shù)據(jù)泄密或丟失。（6）數(shù)據(jù)備份在制作、傳遞、轉(zhuǎn)移過(guò)程中，必須建立詳細(xì)的交接登記，詳細(xì)記載備份數(shù)據(jù)制作、傳遞、移動(dòng)的所有過(guò)程與負(fù)責(zé)人。10.3數(shù)據(jù)備份介質(zhì)的寄存地必須符合防火、防水、防磁的安全規(guī)定。10.4數(shù)據(jù)備份方式：（1）系統(tǒng)備份指使用操作系統(tǒng)提供的工具對(duì)主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進(jìn)行的全面?zhèn)浞?；業(yè)務(wù)數(shù)據(jù)備份包括對(duì)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)、配置參數(shù)、曰志等的備份。（2）實(shí)行定期備份與動(dòng)態(tài)備份相結(jié)合的備份方略。定期備份是指根據(jù)作業(yè)維護(hù)計(jì)劃執(zhí)行的定期備份操作；動(dòng)態(tài)備份是指系統(tǒng)進(jìn)行升級(jí)、變更等重大操作前，對(duì)系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)進(jìn)行的備份。（3）實(shí)行自動(dòng)備份與人工備份相結(jié)合。自動(dòng)備份是根據(jù)備份作業(yè)維護(hù)計(jì)劃由程序定期自動(dòng)執(zhí)行的備份操作，人工備份是指手工執(zhí)行備份程序和備份指令。（4）數(shù)據(jù)容災(zāi)是數(shù)據(jù)安全保護(hù)的重要內(nèi)容，也是數(shù)據(jù)備份的重要手段，工作中應(yīng)當(dāng)建立數(shù)據(jù)容災(zāi)機(jī)制；有條件的要建立容災(zāi)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)容災(zāi)或和應(yīng)用容災(zāi)。檔案管理11.1信息系統(tǒng)管理部門(mén)設(shè)專(zhuān)人負(fù)責(zé)信息系統(tǒng)檔案管理工作。11.2信息系統(tǒng)檔案資料包括：技術(shù)資料、業(yè)務(wù)資料、維護(hù)記錄和分析匯報(bào)。11.2.1技術(shù)資料包括系統(tǒng)隨機(jī)資料和操作闡明、系統(tǒng)配置及變更信息、系統(tǒng)開(kāi)發(fā)文檔、系統(tǒng)驗(yàn)收文檔11.211.211.3信息系