內(nèi)部控制文件Internalcontroldocument內(nèi)部控制管理制度編制：審核： 批準(zhǔn)： 版本：創(chuàng)建日期：密級：文件編號：更改歷史5.2.1信息系統(tǒng)管理制度1．目的為了保護(hù)公司信息系統(tǒng)安全，規(guī)范信息系統(tǒng)管理，合理利用信息系統(tǒng)資源，推進(jìn)公司信息化建設(shè)，保障公司信息系統(tǒng)的正常運(yùn)行，充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用，更好地為公司生產(chǎn)經(jīng)營服務(wù)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《企業(yè)內(nèi)部控制基本規(guī)范》及有關(guān)法律法規(guī)，結(jié)合公司實(shí)際情況，特制定本制度。2．適用范圍本制度所稱的信息系統(tǒng)，是指由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。簡單地說，信息系統(tǒng)就是輸入數(shù)據(jù)/信息，通過加工處理產(chǎn)生信息的系統(tǒng)。本制度適用于**股份，各子公司參照執(zhí)行。3．應(yīng)關(guān)注風(fēng)險(xiǎn)信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下。系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無法利用信息技術(shù)實(shí)施有效控制。系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運(yùn)行。4．組織結(jié)構(gòu)與職責(zé)信息系統(tǒng)管理部門是公司信息系統(tǒng)的歸口管理部門。其主要職責(zé)如下：負(fù)責(zé)公司信息系統(tǒng)的整體規(guī)劃、安全運(yùn)行及維護(hù)管理工作。負(fù)責(zé)公司管理支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)的應(yīng)用開發(fā)和管理。負(fù)責(zé)公司各項(xiàng)業(yè)務(wù)數(shù)據(jù)采集工作的管理與實(shí)施指導(dǎo)。負(fù)責(zé)公司網(wǎng)站的建設(shè)維護(hù)和系統(tǒng)支持工作。負(fù)責(zé)信息系統(tǒng)操作規(guī)程的編寫和實(shí)施培訓(xùn)。負(fù)責(zé)公司信息系統(tǒng)的安全、保密。負(fù)責(zé)公司信息系統(tǒng)數(shù)據(jù)備份工作。負(fù)責(zé)公司與信息系統(tǒng)相關(guān)檔案資料的管理和存檔。負(fù)責(zé)對公司相關(guān)信息系統(tǒng)管理、操作、應(yīng)用人員進(jìn)行技術(shù)、安全、操作、應(yīng)用培訓(xùn)。負(fù)責(zé)公司信息系統(tǒng)的全面監(jiān)測、技術(shù)升級工作。財(cái)務(wù)中心負(fù)責(zé)控制、核算信息系統(tǒng)開發(fā)、維護(hù)、變更所產(chǎn)生的費(fèi)用。各部門負(fù)責(zé)配合、支持信息系統(tǒng)工作。成立信息系統(tǒng)評審小組，由總裁辦負(fù)責(zé)組織，財(cái)務(wù)中心、運(yùn)營管理中心、監(jiān)察審計(jì)部、法務(wù)部門等相關(guān)部門負(fù)責(zé)人參與，對信息系統(tǒng)項(xiàng)目的立項(xiàng)、階段性成果、開發(fā)成果、重大變更、項(xiàng)目總結(jié)進(jìn)行評估。必要時(shí)也可聘請外面有關(guān)專家主持或參與評審小組。項(xiàng)目的提出者、項(xiàng)目負(fù)責(zé)人接受評審小組的質(zhì)詢，不能參與評審表決。5．審批權(quán)限系統(tǒng)開發(fā)、維護(hù)、變更費(fèi)用投入年度預(yù)算由董事會批準(zhǔn)。單個(gè)項(xiàng)目的開發(fā)、維護(hù)、變更經(jīng)費(fèi)預(yù)算由總裁和董事會按公司頒布的《資金支付審批權(quán)限規(guī)定》明確的權(quán)限審批。6．開發(fā)管理信息系統(tǒng)管理部門應(yīng)每年度根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出信息化建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和安排進(jìn)度等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。業(yè)務(wù)部門提出信息系統(tǒng)開發(fā)申請，編制信息系統(tǒng)開發(fā)申請書，經(jīng)信息系統(tǒng)管理部門、信息系統(tǒng)評審小組審核后，按審批權(quán)限批準(zhǔn)立項(xiàng)。信息系統(tǒng)評審小組根據(jù)公司實(shí)際情況，確定開發(fā)方式。選定外購方式的，應(yīng)嚴(yán)格按照公司頒布的《采購管理辦法》執(zhí)行。選定業(yè)務(wù)外包方式的，應(yīng)嚴(yán)格按照公司頒布的《業(yè)務(wù)外包管理制度》執(zhí)行。信息系統(tǒng)管理部門應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織外包開發(fā)單位和內(nèi)部各單位的日常溝通和協(xié)調(diào)，督促外包開發(fā)單位按照建設(shè)方案、計(jì)劃進(jìn)度和質(zhì)量要求完成開發(fā)工作，對配備的硬件設(shè)備和系統(tǒng)軟件進(jìn)行檢查驗(yàn)收，組織系統(tǒng)上線運(yùn)行等。信息系統(tǒng)管理部門應(yīng)當(dāng)組織內(nèi)部相關(guān)單位提出開發(fā)需求和關(guān)鍵控制點(diǎn)，規(guī)范開發(fā)流程，明確系統(tǒng)可行性分析、規(guī)劃、分析、設(shè)計(jì)、開發(fā)實(shí)施、測試、安裝調(diào)試、試運(yùn)行、維護(hù)等全過程的管理要求，嚴(yán)格按照建設(shè)方案、開發(fā)流程和相關(guān)要求組織開發(fā)工作。在系統(tǒng)可行性分析階段，應(yīng)編制可行性報(bào)告，從有益性、可能性和必要性3個(gè)方面進(jìn)行初步分析，避免盲目投資，減少不必要的損失。在系統(tǒng)規(guī)劃階段，應(yīng)編制總體規(guī)劃方案報(bào)告。確定開發(fā)順序、合理安排人力、物力、財(cái)力。在系統(tǒng)分析階段，應(yīng)編制系統(tǒng)分析報(bào)告，明確功能需求、技術(shù)需求等方面的控制要求。在系統(tǒng)設(shè)計(jì)階段，外包開發(fā)單位應(yīng)編制系統(tǒng)設(shè)計(jì)報(bào)告，采用一定的標(biāo)準(zhǔn)和準(zhǔn)則，對信息系統(tǒng)的總體架構(gòu)和模塊之間的聯(lián)系進(jìn)行設(shè)計(jì)，對信息系統(tǒng)中的信息進(jìn)行分類編碼設(shè)計(jì)及輸入/輸出方式設(shè)計(jì)等。在系統(tǒng)開發(fā)實(shí)施階段，外包開發(fā)單位應(yīng)編制程序清單及系統(tǒng)使用說明書。完成對系統(tǒng)硬件設(shè)備的購置和安裝和應(yīng)用軟件的程序設(shè)計(jì)。在系統(tǒng)測試階段，應(yīng)編制系統(tǒng)測試報(bào)告，從總體出發(fā)，測試系統(tǒng)應(yīng)用軟件的總體效益，各個(gè)組成部分的功能完成情況，系統(tǒng)的運(yùn)行效率和系統(tǒng)的可靠性等。在系統(tǒng)安裝調(diào)試階段，應(yīng)編制系統(tǒng)安裝驗(yàn)收報(bào)告。完成系統(tǒng)安裝、數(shù)據(jù)加載等系統(tǒng)運(yùn)行前的一些新舊系統(tǒng)的轉(zhuǎn)化工作。一旦轉(zhuǎn)換結(jié)束便可對計(jì)算機(jī)硬件和軟件系統(tǒng)進(jìn)行系統(tǒng)的聯(lián)合調(diào)試。在系統(tǒng)試運(yùn)行階段，應(yīng)編制系統(tǒng)試運(yùn)行總結(jié)報(bào)告。培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃。在系統(tǒng)維護(hù)階段，應(yīng)編制系統(tǒng)運(yùn)行審計(jì)報(bào)告，制定數(shù)據(jù)管理、安全管理、賬號管理等管理規(guī)則和制度。信息系統(tǒng)評審小組應(yīng)對系統(tǒng)功能、性能、控制要求和安全性等方面進(jìn)行評審，確保系統(tǒng)符合公司的開發(fā)需求。信息系統(tǒng)管理部門應(yīng)當(dāng)制定信息系統(tǒng)工作程序、信息系統(tǒng)管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。在開發(fā)項(xiàng)目中，需外包開發(fā)單位提交的成果是：系統(tǒng)設(shè)計(jì)報(bào)告、程序清單和系統(tǒng)使用說明書、系統(tǒng)測試報(bào)告、系統(tǒng)安裝驗(yàn)收報(bào)告；需信息系統(tǒng)管理部門提交的成果是：可行性報(bào)告、總體規(guī)劃方案報(bào)告、系統(tǒng)運(yùn)行審計(jì)報(bào)告；需雙方單位共同完成的是：系統(tǒng)分析報(bào)告、系統(tǒng)試運(yùn)行總結(jié)報(bào)告。選定自行開發(fā)方式的，應(yīng)嚴(yán)格按照系統(tǒng)可行性分析、系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)開發(fā)實(shí)施、系統(tǒng)測試、系統(tǒng)安裝調(diào)試、系統(tǒng)試運(yùn)行和系統(tǒng)維護(hù)9個(gè)階段進(jìn)行。信息系統(tǒng)管理部門根據(jù)批準(zhǔn)的信息系統(tǒng)項(xiàng)目，組建公司的自主開發(fā)團(tuán)隊(duì)，提出開發(fā)人才需求，經(jīng)分管開發(fā)的副總裁審核后，由人力資源中心按公司的招聘程序進(jìn)行人員招聘。開發(fā)階段及階段性成果和業(yè)務(wù)外包方式一樣。7．變更管理系統(tǒng)變更包括對應(yīng)用系統(tǒng)的升級、修改、補(bǔ)丁安裝等改變系統(tǒng)功能的活動，以及對操作系統(tǒng)升級和補(bǔ)丁安裝、數(shù)據(jù)庫/操作系統(tǒng)環(huán)境配置變化、防火墻配置修改等。信息系統(tǒng)管理部門應(yīng)當(dāng)建立信息系統(tǒng)變更流程，系統(tǒng)變更應(yīng)嚴(yán)格按照流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、修改等操作；不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置等。8．安全管理信息系統(tǒng)管理部門應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級，建立不同等級信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)行安全有序。信息系統(tǒng)管理部門應(yīng)當(dāng)建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度。委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行和維護(hù)管理的，應(yīng)當(dāng)審查該機(jī)構(gòu)的資質(zhì)，并與其簽訂服務(wù)合同和保密協(xié)議。公司應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡毒軟件的感染和破壞。信息系統(tǒng)管理部門應(yīng)當(dāng)建立用戶管理制度，加強(qiáng)對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，禁止不相容職務(wù)用戶賬號的交叉操作。公司應(yīng)當(dāng)建立網(wǎng)絡(luò)安全管理制度，綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。公司對于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)，應(yīng)當(dāng)采取加密措施確保信息傳遞的保密性、準(zhǔn)確性和完整性。公司應(yīng)在系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計(jì)性。對異常或違背內(nèi)部控制要求的交易和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計(jì)由系統(tǒng)自動報(bào)告并設(shè)置跟蹤處理機(jī)制。數(shù)據(jù)管理數(shù)據(jù)是系統(tǒng)重要的組成部分之一，數(shù)據(jù)可以支持應(yīng)用系統(tǒng)的運(yùn)行，反映各項(xiàng)業(yè)務(wù)的狀況、反映系統(tǒng)運(yùn)行的性能。數(shù)據(jù)管理在計(jì)算機(jī)應(yīng)用中，具有極其重要的作用。數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)兩類。系統(tǒng)數(shù)據(jù)是指為系統(tǒng)軟件運(yùn)行而需配置的參數(shù)數(shù)據(jù)，主要包括：操作系統(tǒng)數(shù)據(jù)、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)管理數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)是指在系統(tǒng)運(yùn)行中各項(xiàng)業(yè)務(wù)產(chǎn)生的數(shù)據(jù)，客觀的記錄每項(xiàng)業(yè)務(wù)的運(yùn)行情況，主要包括：用戶信息、賬務(wù)信息、資源信息、業(yè)務(wù)信息數(shù)據(jù)、應(yīng)用軟件配置數(shù)據(jù)和其他數(shù)據(jù)。對系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，應(yīng)建立嚴(yán)格的管理措施。（1）對易受“病毒”攻擊的計(jì)算機(jī)系統(tǒng)，定期進(jìn)行“病毒”檢查。用介質(zhì)交換信息要按規(guī)定手續(xù)管理，并進(jìn)行“病毒”預(yù)檢，防止“病毒”對數(shù)據(jù)的破壞。（2）要用軟、硬件技術(shù)嚴(yán)格控制各級用戶對數(shù)據(jù)信息的訪問權(quán)限，包括訪問的方式和內(nèi)容。（3）數(shù)據(jù)容災(zāi)是數(shù)據(jù)安全保護(hù)的重要內(nèi)容，工作中要建立數(shù)據(jù)容災(zāi)機(jī)制。（4）嚴(yán)格控制業(yè)務(wù)數(shù)據(jù)的管理權(quán)限，只有相關(guān)人員才能訪問業(yè)務(wù)數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)管理權(quán)限分為查詢、錄入、更改、刪除權(quán)限等。對不同人員，可根據(jù)不同業(yè)務(wù)需求授予一個(gè)或多個(gè)權(quán)限。（5）建立數(shù)據(jù)修改流程，對每次進(jìn)行數(shù)據(jù)修改的書面文件應(yīng)歸檔保存。（6）對于必需的后臺數(shù)據(jù)操作，建立規(guī)范的流程制度，對操作情況進(jìn)行監(jiān)督或者審計(jì)。對存儲有重要數(shù)據(jù)的設(shè)備故障，需交外單位人員修理時(shí)，本單位必須派專人在場監(jiān)督。數(shù)據(jù)備份信息系統(tǒng)管理部門應(yīng)建立系統(tǒng)數(shù)據(jù)備份及恢復(fù)管理制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。數(shù)據(jù)備份要求：（1）備份數(shù)據(jù)應(yīng)定期進(jìn)行可用性測試，保證備份數(shù)據(jù)的可用性。（2）系統(tǒng)進(jìn)行升級、變更等重大操作前，對系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)要進(jìn)行完整備份。（3）相關(guān)備份數(shù)據(jù)至少一式三份，同時(shí)備份數(shù)據(jù)至少應(yīng)采用兩種以上的存儲介質(zhì)。（4）數(shù)據(jù)備份應(yīng)盡量做到異地、異人保存。（5）做好備份介質(zhì)保管登記管理，由專人負(fù)責(zé)，嚴(yán)防業(yè)務(wù)數(shù)據(jù)泄密或丟失。（6）數(shù)據(jù)備份在制作、傳遞、轉(zhuǎn)移過程中，必須建立詳細(xì)的交接登記，詳細(xì)記載備份數(shù)據(jù)制作、傳遞、移動的全部過程與責(zé)任人。數(shù)據(jù)備份介質(zhì)的存放地必須符合防火、防水、防磁的安全要求。數(shù)據(jù)備份方式：（1）系統(tǒng)備份指使用操作系統(tǒng)提供的工具對主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進(jìn)行的全面?zhèn)浞荩粯I(yè)務(wù)數(shù)據(jù)備份包括對業(yè)務(wù)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)、配置參數(shù)、日志等的備份。（2）實(shí)行定期備份與動態(tài)備份相結(jié)合的備份策略。定期備份是指根據(jù)作業(yè)維護(hù)計(jì)劃執(zhí)行的定期備份操作；動態(tài)備份是指系統(tǒng)進(jìn)行升級、變更等重大操作前，對系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)進(jìn)行的備份。（3）實(shí)行自動備份與人工備份相結(jié)合。自動備份是根據(jù)備份作業(yè)維護(hù)計(jì)劃由程序定時(shí)自動執(zhí)行的備份操作，人工備份是指手工執(zhí)行備份程序和備份指令。（4）數(shù)據(jù)容災(zāi)是數(shù)據(jù)安全保護(hù)的重要內(nèi)容，也是數(shù)據(jù)備份的重要手段，工作中應(yīng)該建立數(shù)據(jù)容災(zāi)機(jī)制；有條件的要建立容災(zāi)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)容災(zāi)或和應(yīng)用容災(zāi)。檔案管理信息系統(tǒng)管理部門設(shè)專人負(fù)責(zé)信息系統(tǒng)檔案管理工作。信息系統(tǒng)檔案資料包括：技術(shù)資料、業(yè)務(wù)資料、維護(hù)記錄和分析報(bào)告。技術(shù)資料包括系統(tǒng)隨機(jī)資料和操作說明、系統(tǒng)配置及變更信息、系統(tǒng)開發(fā)文檔、系統(tǒng)驗(yàn)收文檔、系統(tǒng)變更文檔、各種維護(hù)規(guī)章制度和維護(hù)手冊、突發(fā)事件的應(yīng)急預(yù)案、其它技術(shù)檔案資料等。業(yè)務(wù)資料包括業(yè)務(wù)規(guī)范、數(shù)據(jù)資料等。維護(hù)記錄和分析報(bào)告包括值班記錄、系統(tǒng)運(yùn)行記錄、故障記錄和分析報(bào)告、軟件和數(shù)據(jù)修改記錄、數(shù)據(jù)備份記錄、運(yùn)行維護(hù)作