版本：創立曰期：密級：文獻編號：內部控制文獻Internalcontroldocument內部控制管理制度編制：審核：同意：更改歷史版本曰期更改次第更改章節編制審核同意5.2.1信息系統管理制度目的為了保護企業信息系統安全，規范信息系統管理，合理運用信息系統資源，推進企業信息化建設，保障企業信息系統的正常運行，充足發揮信息系統在企業管理中的作用，更好地為企業生產經營服務，根據《中華人民共和國計算機信息系統安全保護條例》、《企業內部控制基本規范》及有關法律法規，結合企業實際狀況，特制定本制度。合用范圍2.1本制度所稱的信息系統，是指由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息顧客和規章制度構成的以處理信息流為目的的人機一體化系統。簡樸地說，信息系統就是輸入數據/信息，通過加工處理產生信息的系統。2.2本制度合用于**股份，各子企業參照執行。應關注風險3.1信息系統缺乏或規劃不合理，也許導致信息孤島或反復建設，導致企業經營管理效率低下。3.2系統開發不符合內部控制規定，授權管理不妥，也許導致無法運用信息技術實行有效控制。3.3系統運行維護和安全措施不到位，也許導致信息泄漏或毀損，系統無法正常運行。組織構造與職責4.1信息系統管理部門是企業信息系統的歸口管理部門。其重要職責如下：（1）負責企業信息系統的整體規劃、安全運行及維護管理工作。負責企業管理支撐系統、業務支撐系統的應用開發和管理。負責企業各項業務數據采集工作的管理與實行指導。負責企業網站的建設維護和系統支持工作。負責信息系統操作規程的編寫和實行培訓。負責企業信息系統的安全、保密。負責企業信息系統數據備份工作。負責企業與信息系統有關檔案資料的管理和存檔。（9）負責對企業有關信息系統管理、操作、應用人員進行技術、安全、操作、應用培訓。（10）負責企業信息系統的全面監測、技術升級工作。4.2財務中心負責控制、核算信息系統開發、維護、變更所產生的費用。4.3各部門負責配合、支持信息系統工作。4.4成立信息系統評審小組，由總裁辦負責組織，財務中心、運行管理中心、監察審計部、法務部門等有關部門負責人參與，對信息系統項目的立項、階段性成果、開發成果、重大變更、項目總結進行評估。必要時也可聘任外面有關專家主持或參與評審小組。項目的提出者、項目負責人接受評審小組的質詢，不能參與評審表決。審批權限5.1系統開發、維護、變更費用投入年度預算由董事會同意。5.2單個項目的開發、維護、變更經費預算由總裁和董事會按企業頒布的《資金支付審批權限規定》明確的權限審批。開發管理6.1信息系統管理部門應每年度根據信息系統建設整體規劃提出信息化建設方案，明確建設目的、人員配置、職責分工、經費保障和安排進度等有關內容，按照規定的權限和程序審批後實行。6.2業務部門提出信息系統開發申請，編制信息系統開發申請書，經信息系統管理部門、信息系統評審小組審核後，按審批權限同意立項。6.3信息系統評審小組根據企業實際狀況，確定開發方式。6.3.1選定外購方式的，應嚴格按照企業頒布的《6.3信息系統管理部門應當加強信息系統開發全過程的跟蹤管理，組織外包開發單位和內部各單位的平常溝通和協調，督促外包開發單位按照建設方案、計劃進度和質量規定完畢開發工作，對配置的硬件設備和系統軟件進行檢查驗收，組織系統上線運行等。信息系統管理部門應當組織內部有關單位提出開發需求和關鍵控制點，規范開發流程，明確系統可行性分析、規劃、分析、設計、開發實行、測試、安裝調試、試運行、維護等全過程的管理規定，嚴格按照建設方案、開發流程和有關規定組織開發工作。6.3.2.1在系統可行性分析階段，應編制可行性匯報，從有益性、也許性和必要性3個方面進行初步分析，防止盲目投資，減少不必要的損失。6.3.2.2在系統規劃階段，應編制總體規劃方案匯報。確定開發次序、合理安排人力、物力、財力。6.3.2.3在系統分析階段，應編制系統分析匯報，明確功能需求、技術需求等方面的控制規定。6.3.2.4在系統設計階段，外包開發單位應編制系統設計匯報，采用一定的原則和準則，對信息系統的總體架構和模塊之間的聯絡進行設計，對信息系統中的信息進行分類編碼設計及輸入/輸出方式設計等。6.3.2.5在系統開發實行階段，外包開發單位應編制程序清單及系統使用闡明書。完畢對系統硬件設備的購置和安裝和應用軟件的程序設計。6.3.2.6在系統測試階段，應編制系統測試匯報，從總體出發，測試系統應用軟件的總體效益，各個構成部分的功能完畢狀況，系統的運行效率和系統的可靠性等。6.3.2.7在系統安裝調試階段，應編制系統安裝驗收匯報。完畢系統安裝、數據加載等系統運行前的某些新舊系統的轉化工作。一旦轉換結束便可對計算機硬件和軟件系統進行系統的聯合調試。6.3.2.8在系統試運行階段，應編制系統試運行總結匯報。培訓業務操作和系統管理人員，制定科學的上線計劃和新舊系統轉換方案，考慮應急預案，保證新舊系統順利切換和平穩銜接。系統上線波及數據遷移的，還應制定詳細的數據遷移計劃。6.3.2.9在系統維護階段，應編制系統運行審計匯報，制定數據管理、安全管理、賬號管理等管理規則和制度。信息系統評審小組應對系統功能、性能、控制規定和安全性等方面進行評審，保證系統符合企業的開發需求。信息系統管理部門應當制定信息系統工作程序、信息系統管理制度以及各模塊子系統的詳細操作規范，及時跟蹤、發現和處理系統運行中存在的問題，保證信息系統按照規定的程序、制度和操作規范持續穩定運行。6.3.2.10在開發項目中，需外包開發單位提交的成果是：系統設計匯報、程序清單和系統使用闡明書、系統測試匯報、系統安裝驗收匯報；需信息系統管理部門提交的成果是：可行性匯報、總體規劃方案匯報、系統運行審計匯報；需雙方單位共同完畢的是：系統分析匯報、系統試運行總結匯報。6.3.3信息系統管理部門根據同意的信息系統項目，組建企業的自主開發團體，提出開發人才需求，經分管開發的副總裁審核後，由人力資源中心按企業的招聘程序進行人員招聘。開發階段及階段性成果和業務外包方式同樣。變更管理7.1系統變更包括對應用系統的升級、修改、補丁安裝等變化系統功能的活動，以及對操作系統升級和補丁安裝、數據庫/操作系統環境配置變化、防火墻配置修改等。7.2信息系統管理部門應當建立信息系統變更流程，系統變更應嚴格按照流程進行操作。信息系統操作人員不得私自進行系統軟件的刪除、修改等操作；不得私自升級、變化系統軟件版本；不得私自變化軟件系統環境配置等。安全管理8.1信息系統管理部門應根據業務性質、重要性程度、涉密狀況等確定信息系統的安全等級，建立不一樣等級信息的授權使用制度，采用對應技術手段保證信息系統運行安全有序。8.2信息系統管理部門應當建立信息系統安全保密和泄密責任追究制度。委托專業機構進行系統運行和維護管理的，應當審查該機構的資質，并與其簽訂服務協議和保密協議。8.3企業應當采用安裝安全軟件等措施防備信息系統受到病毒等惡毒軟件的感染和破壞。8.4信息系統管理部門應當建立顧客管理制度，加強對重要業務系統的訪問權限管理，定期審閱系統賬號，防止授權不妥或存在非授權賬號，嚴禁不相容職務顧客賬號的交叉操作。8.5企業應當建立網絡安全管理制度，綜合運用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全方略等手段，加強網絡安全，防備來自網絡的襲擊和非法侵入。8.6企業對于通過網絡傳播的涉密或關鍵數據，應當采用加密措施保證信息傳遞的保密性、精確性和完整性。8.7企業應在系統中設置操作曰志功能，保證操作的可審計性。對異常或違反內部控制規定的交易和數據，應當設計由系統自動匯報并設置跟蹤處理機制。數據管理9.1數據是系統重要的構成部分之一，數據可以支持應用系統的運行，反應各項業務的狀況、反應系統運行的性能。數據管理在計算機應用中，具有極其重要的作用。9.2數據分為系統數據、業務數據兩類。系統數據是指為系統軟件運行而需配置的參數數據，重要包括：操作系統數據、數據庫系統數據、網絡管理數據。業務數據是指在系統運行中各項業務產生的數據，客觀的記錄每項業務的運行狀況，重要包括：顧客信息、賬務信息、資源信息、業務信息數據、應用軟件配置數據和其他數據。9.3對系統數據和業務數據，應建立嚴格的管理措施。（1）對易受“病毒”襲擊的計算機系統，定期進行“病毒”檢查。用介質互換信息要按規定手續管理，并進行“病毒”預檢，防止“病毒”對數據的破壞。（2）要用軟、硬件技術嚴格控制各級顧客對數據信息的訪問權限，包括訪問的方式和內容。（3）數據容災是數據安全保護的重要內容，工作中要建立數據容災機制。（4）嚴格控制業務數據的管理權限，只有有關人員才能訪問業務數據。業務數據管理權限分為查詢、錄入、更改、刪除權限等。對不一樣人員，可根據不一樣業務需求授予一種或多種權限。（5）建立數據修改流程，對每次進行數據修改的書面文獻應歸檔保留。（6）對于必需的後臺數據操作，建立規范的流程制度，對操作狀況進行監督或者審計。9.4對存儲有重要數據的設備故障，需交外單位人員修理時，本單位必須派專人在場監督。數據備份10.1信息系統管理部門應建立系統數據備份及恢復管理制度，明確備份范圍、頻度、措施、負責人、寄存地點、有效性檢查等內容。10.2數據備份規定：（1）備份數據應定期進行可用性測試，保證備份數據的可用性。（2）系統進行升級、變更等重大操作前，對系統數據和業務數據要進行完整備份。（3）有關備份數據至少一式三份，同步備份數據至少應采用兩種以上的存儲介質。（4）數據備份應盡量做到異地、異人保留。（5）做好備份介質保管登記管理，由專人負責，嚴防業務數據泄密或丟失。（6）數據備份在制作、傳遞、轉移過程中，必須建立詳細的交接登記，詳細記載備份數據制作、傳遞、移動的所有過程與負責人。10.3數據備份介質的寄存地必須符合防火、防水、防磁的安全規定。10.4數據備份方式：（1）系統備份指使用操作系統提供的工具對主機系統、數據庫系統、網絡設備等進行的全面備份；業務數據備份包括對業務系統的業務數據、配置參數、曰志等的備份。（2）實行定期備份與動態備份相結合的備份方略。定期備份是指根據作業維護計劃執行的定期備份操作；動態備份是指系統進行升級、變更等重大操作前，對系統數據和業務數據進行的備份。（3）實行自動備份與人工備份相結合。自動備份是根據備份作業維護計劃由程序定期自動執行的備份操作，人工備份是指手工執行備份程序和備份指令。（4）數據容災是數據安全保護的重要內容，也是數據備份的重要手段，工作中應當建立數據容災機制；有條件的要建立容災系統，實現數據容災或和應用容災。檔案管理11.1信息系統管理部門設專人負責信息系統檔案管理工作。11.2信息系統檔案資料包括：技術資料、業務資料、維護記錄和分析匯報。11.2.1技術資料包括系統隨機資料和操作闡明、系統配置及變更信息、系統開發文檔、系統驗收文檔11.211.211.3信息系