2026年建筑工程公司財務信息系統(tǒng)安全管理制度第一章總則第一條為規(guī)范公司財務信息系統(tǒng)安全管理，防范系統(tǒng)漏洞、數(shù)據(jù)泄露、網(wǎng)絡攻擊等風險，保障財務數(shù)據(jù)（含項目成本、資金收支、應收賬款等核心信息）真實、完整、保密，確保財務信息系統(tǒng)穩(wěn)定運行，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《會計信息化工作規(guī)范》及公司《信息安全管理制度》《財務管理制度》等相關規(guī)定，結合公司建筑工程業(yè)務特點（財務信息系統(tǒng)涵蓋核算模塊、資金管理模塊、項目成本模塊、稅務管理模塊等），制定本制度。第二條本制度適用于公司財務信息系統(tǒng)（包括服務器、客戶端、數(shù)據(jù)庫、配套網(wǎng)絡設備及存儲介質）的規(guī)劃、建設、使用、維護全流程安全管理，涉及財務部、信息科技部、人力資源部門、審計部門及所有使用財務信息系統(tǒng)的人員（如財務人員、項目管理人員、授權審批人員）。第三條財務信息系統(tǒng)安全管理遵循四項核心原則：一是保密性原則，嚴格控制財務數(shù)據(jù)訪問權限，防止未授權人員獲取敏感信息（如項目投標報價、大額資金支付記錄）；二是完整性原則，采取技術與管理措施，確保財務數(shù)據(jù)在傳輸、存儲、使用過程中不被篡改、丟失；三是可用性原則，保障財務信息系統(tǒng)7×24小時穩(wěn)定運行（計劃停機除外），避免因系統(tǒng)故障影響財務核算、資金支付等核心業(yè)務；四是合規(guī)性原則，嚴格遵守國家網(wǎng)絡安全、數(shù)據(jù)安全相關法規(guī)，確保系統(tǒng)安全管理流程合法合規(guī)，數(shù)據(jù)處理符合監(jiān)管要求。第四條公司成立財務信息系統(tǒng)安全管理小組，由財務總監(jiān)、信息科技部負責人共同任組長，財務部負責人、信息科技部安全工程師、審計部門負責人為副組長，人力資源部門、法務部門負責人為成員。財務部負責提出財務信息系統(tǒng)安全需求、規(guī)范系統(tǒng)使用流程、監(jiān)督財務人員安全操作；信息科技部負責系統(tǒng)安全技術架構搭建、漏洞修復、應急響應；審計部門負責監(jiān)督系統(tǒng)安全制度執(zhí)行、開展安全審計；人力資源部門負責財務人員安全培訓與崗位權限交接；法務部門負責審核制度合規(guī)性、提供法律支持，共同落實系統(tǒng)安全管理職責。第二章系統(tǒng)訪問安全管理第五條賬號與權限管理：財務信息系統(tǒng)實行“一人一賬號”管理，嚴禁共用賬號或借用他人賬號登錄。賬號申請需由使用部門（如財務部、項目管理部門）提交《財務信息系統(tǒng)賬號申請表》，注明申請人姓名、崗位、申請權限范圍（如“核算模塊-憑證編制”“資金模塊-付款查詢”），經(jīng)部門負責人審核、財務部負責人審批（涉及核心權限如“資金支付”需財務總監(jiān)審批）后，由信息科技部創(chuàng)建賬號并初始密碼（初始密碼需包含大小寫字母、數(shù)字及特殊符號，長度不低于12位）。權限設置遵循“最小必要原則”，即僅授予完成崗位工作必需的權限，如項目財務組人員僅授予對應項目的成本查詢、憑證查看權限，不得授予其他項目或公司總部的財務數(shù)據(jù)訪問權限；權限變更需提交《權限變更申請表》，按原審批流程辦理，嚴禁擅自擴大權限范圍；員工離職、調崗時，人力資源部門需在1個工作日內(nèi)通知信息科技部注銷或調整賬號權限，財務部需同步收回該員工保管的系統(tǒng)相關資料（如Ukey、密碼記錄本），避免權限遺留導致安全風險。第六條密碼安全管理：財務信息系統(tǒng)用戶需在首次登錄后24小時內(nèi)修改初始密碼，密碼需滿足“復雜度+定期更換”要求：復雜度方面，密碼需包含大寫字母、小寫字母、數(shù)字及特殊符號（如！@#\$%），長度不低于12位，且不得使用與賬號名、個人信息（如生日、手機號）相關的字符；定期更換方面，普通用戶密碼每90天更換一次，核心權限用戶（如財務總監(jiān)、資金支付操作員）密碼每60天更換一次，系統(tǒng)需在密碼到期前7天提醒用戶更換，逾期未更換的賬號自動鎖定。嚴禁將密碼告知他人、記錄在易獲取的位置（如電腦桌面、鍵盤下方）或與他人共享密碼；若密碼遺忘，需提交《密碼重置申請表》，經(jīng)部門負責人審核后，由信息科技部重置密碼，重置后的密碼需按初始密碼要求設置，并在首次登錄后立即修改；發(fā)現(xiàn)密碼可能泄露時（如收到異常登錄提醒），用戶需立即修改密碼，并向信息科技部報備，由技術人員排查是否存在賬號被盜風險。第七條登錄與操作安全：財務信息系統(tǒng)登錄需采用“賬號密碼+二次驗證”雙重認證，二次驗證方式包括動態(tài)口令（如手機APP生成驗證碼）、硬件Ukey（僅限核心權限用戶使用），嚴禁關閉二次驗證功能登錄系統(tǒng)；登錄時若連續(xù)5次輸入錯誤密碼，賬號自動鎖定，24小時后解鎖，如需緊急解鎖需提交《賬號解鎖申請表》，經(jīng)財務部負責人審批后由信息科技部處理。用戶登錄系統(tǒng)后，需在操作界面設置“自動鎖屏”功能，鎖屏時間不超過15分鐘，離開電腦時需手動鎖屏或退出系統(tǒng)，防止他人冒用賬號操作；操作過程中需嚴格按業(yè)務流程執(zhí)行，嚴禁進行與崗位工作無關的操作（如嘗試訪問未授權模塊、修改系統(tǒng)配置參數(shù)），嚴禁利用系統(tǒng)漏洞進行數(shù)據(jù)篡改、越權訪問；系統(tǒng)操作需保留詳細日志，記錄登錄時間、登錄IP、操作內(nèi)容、操作結果，日志保存期限不低于1年，便于后續(xù)安全審計與問題追溯。第三章數(shù)據(jù)安全管理第八條數(shù)據(jù)采集與錄入安全：財務信息系統(tǒng)數(shù)據(jù)采集需以真實、合規(guī)的原始資料為依據(jù)，如錄入項目成本數(shù)據(jù)時需附材料驗收單、發(fā)票等原始憑證，錄入應收賬款數(shù)據(jù)時需附合同、結算單，嚴禁錄入虛假數(shù)據(jù)或未經(jīng)審核的數(shù)據(jù)；數(shù)據(jù)錄入人員需在錄入后1個工作日內(nèi)對數(shù)據(jù)進行自查，核對錄入內(nèi)容與原始資料的一致性，發(fā)現(xiàn)錯誤需及時更正，更正過程需保留操作痕跡（如注明更正原因、更正時間），嚴禁直接刪除或覆蓋原始數(shù)據(jù)。外部數(shù)據(jù)導入（如從項目管理系統(tǒng)導入工程量數(shù)據(jù)、從銀行系統(tǒng)導入流水數(shù)據(jù)）需經(jīng)“格式校驗+人工審核”雙重把關：格式校驗方面，信息科技部需制定數(shù)據(jù)導入模板，明確字段格式、必填項、數(shù)據(jù)范圍，系統(tǒng)自動校驗導入數(shù)據(jù)是否符合模板要求，不符合的拒絕導入；人工審核方面，財務部需安排專人對導入數(shù)據(jù)進行抽樣審核（抽樣比例不低于30%），審核通過后方可用于財務核算，避免外部數(shù)據(jù)錯誤導致系統(tǒng)數(shù)據(jù)失真。第九條數(shù)據(jù)存儲與備份安全：財務信息系統(tǒng)數(shù)據(jù)需存儲在公司內(nèi)部專用服務器，嚴禁存儲在外部云服務器、個人電腦或移動存儲設備（如U盤、移動硬盤）中；數(shù)據(jù)庫需采用“加密存儲”技術，對敏感數(shù)據(jù)（如銀行賬戶信息、客戶付款信息）進行字段級加密，加密密鑰由信息科技部專人保管，密鑰變更需按“雙人操作、異地備份”原則辦理，避免密鑰泄露導致數(shù)據(jù)被破解。數(shù)據(jù)備份需實行“每日增量備份+每周全量備份+異地災備”三級備份策略：每日增量備份在每日24:00自動執(zhí)行，備份當天新增或修改的數(shù)據(jù)；每周全量備份在每周日24:00自動執(zhí)行，備份系統(tǒng)所有數(shù)據(jù)；異地災備需將全量備份數(shù)據(jù)同步至公司異地災備中心（距離主服務器所在地不低于100公里），備份數(shù)據(jù)需加密存儲，防止傳輸或存儲過程中泄露。備份數(shù)據(jù)需定期驗證有效性，信息科技部每月抽取1次備份數(shù)據(jù)進行恢復測試，檢查數(shù)據(jù)是否完整、可正常使用，測試結果需記錄《數(shù)據(jù)備份測試報告》，報安全管理小組審核；備份數(shù)據(jù)保存期限按法規(guī)要求執(zhí)行，其中會計核算數(shù)據(jù)保存30年，日常業(yè)務數(shù)據(jù)保存5年，過期數(shù)據(jù)需按《數(shù)據(jù)銷毀管理辦法》合規(guī)銷毀，嚴禁隨意刪除或丟棄。第十條數(shù)據(jù)傳輸與共享安全：財務信息系統(tǒng)內(nèi)部數(shù)據(jù)傳輸（如客戶端與服務器之間、各模塊之間）需采用加密傳輸協(xié)議（如SSL/TLS），確保數(shù)據(jù)在傳輸過程中不被截取、篡改；外部數(shù)據(jù)傳輸（如向稅務機關報送報表、向銀行發(fā)送付款指令）需通過專用網(wǎng)絡通道（如VPN、專線）進行，嚴禁通過公共網(wǎng)絡（如咖啡廳WiFi、家用網(wǎng)絡）傳輸敏感財務數(shù)據(jù)，傳輸前需對數(shù)據(jù)進行壓縮加密，傳輸后需及時刪除本地臨時文件。數(shù)據(jù)共享需嚴格按權限執(zhí)行，公司內(nèi)部共享（如財務部向項目管理部門提供項目成本數(shù)據(jù)）需通過系統(tǒng)內(nèi)置的“數(shù)據(jù)導出審批”功能，導出申請經(jīng)部門負責人審核后，系統(tǒng)生成加密的導出文件（需密碼解壓），并記錄導出日志；外部共享（如向審計機構提供財務數(shù)據(jù)）需簽訂《數(shù)據(jù)共享保密協(xié)議》，明確共享范圍、用途及保密責任，共享數(shù)據(jù)需經(jīng)財務總監(jiān)審批，并由信息科技部對數(shù)據(jù)進行脫敏處理（如隱藏銀行賬號中間8位、客戶聯(lián)系方式），避免敏感信息泄露；嚴禁未經(jīng)審批私自導出、拷貝財務數(shù)據(jù)，嚴禁將系統(tǒng)數(shù)據(jù)發(fā)送至個人郵箱、微信等非工作平臺，發(fā)現(xiàn)違規(guī)共享行為需立即制止，并追究相關人員責任。第四章系統(tǒng)運維與應急管理第十一條系統(tǒng)日常運維安全：信息科技部需建立“日常巡檢+定期維護”的系統(tǒng)運維機制，日常巡檢每日開展，通過運維監(jiān)控平臺檢查服務器運行狀態(tài)（如CPU使用率、內(nèi)存占用、磁盤空間）、數(shù)據(jù)庫性能（如查詢響應時間、連接數(shù)）、網(wǎng)絡連接情況，發(fā)現(xiàn)異常（如CPU使用率持續(xù)超過80%、磁盤空間不足90天使用量）需在1小時內(nèi)排查原因并處理，重大異常（如服務器宕機）需立即啟動應急響應；定期維護每季度開展，包括系統(tǒng)漏洞掃描（使用專業(yè)漏洞掃描工具檢測系統(tǒng)及數(shù)據(jù)庫漏洞）、病毒查殺（對服務器及客戶端進行全面殺毒）、系統(tǒng)補丁更新（及時安裝官方發(fā)布的安全補丁，補丁安裝前需在測試環(huán)境驗證兼容性），維護完成后編制《系統(tǒng)運維報告》，報安全管理小組備案。嚴禁第三方人員（如軟件廠商運維人員）未經(jīng)審批接入財務信息系統(tǒng)運維，確需第三方運維時，需簽訂《第三方運維保密協(xié)議》，明確運維范圍、操作權限及安全責任，運維過程需由信息科技部人員全程陪同，嚴禁第三方人員單獨操作系統(tǒng)或接觸敏感數(shù)據(jù)；運維結束后，需立即撤銷第三方人員的運維權限，修改相關賬號密碼，對運維過程中涉及的配置參數(shù)、數(shù)據(jù)進行核查，確保系統(tǒng)安全狀態(tài)未被改變。第十二條應急處置管理：安全管理小組需編制《財務信息系統(tǒng)安全應急預案》，涵蓋系統(tǒng)故障（如服務器宕機、數(shù)據(jù)庫損壞）、網(wǎng)絡攻擊（如勒索病毒、SQL注入）、數(shù)據(jù)泄露（如敏感數(shù)據(jù)被未授權獲?。⒆匀粸暮Γㄈ缁馂?、地震）等場景，明確應急組織機構（總指揮、技術組、業(yè)務組、溝通組）、應急響應流程、處置措施及責任人員；預案需每年修訂一次，每半年組織一次應急演練（如模擬服務器宕機后的數(shù)據(jù)恢復、模擬病毒攻擊后的系統(tǒng)清理），演練后評估效果，優(yōu)化預案流程，提升應急處置能力。發(fā)生安全事件時，現(xiàn)場人員需立即停止相關操作，保護現(xiàn)場（如保留錯誤日志、不關閉受影響的電腦），并在30分鐘內(nèi)報告信息科技部與財務部；應急組織機構需立即啟動預案，技術組負責排查事件原因、采取技術措施（如隔離受感染的電腦、恢復備份數(shù)據(jù)），業(yè)務組負責協(xié)調手工處理緊急財務業(yè)務（如使用紙質單據(jù)辦理資金支付），溝通組負責向安全管理小組匯報進展、必要時聯(lián)系外部技術支持（如網(wǎng)絡安全公司、軟件廠商）。事件處置完成后，需在24小時內(nèi)編制《安全事件調查報告》，分析事件原因、影響范圍、處置措施及改進建議，報公司總經(jīng)理審批；同時建立“事件復盤”機制，對重大安全事件（如數(shù)據(jù)泄露、系統(tǒng)停運超過4小時）進行專項復盤，總結經(jīng)驗教訓，避免同類事件再次發(fā)生。第五章監(jiān)督與考核第十三條監(jiān)督檢查機制：安全管理小組需建立“日常監(jiān)督+專項檢查+年度審計”的系統(tǒng)安全監(jiān)督體系。日常監(jiān)督由財務部、信息科技部共同開展，財務部監(jiān)督財務人員系統(tǒng)操作合規(guī)性（如密碼更換、權限使用），信息科技部監(jiān)督系統(tǒng)技術安全（如漏洞修復、數(shù)據(jù)備份），發(fā)現(xiàn)違規(guī)行為或安全隱患需立即要求整改，記錄《安全監(jiān)督檢查記錄表》；專項檢查每季度開展，由審計部門牽頭，重點檢查賬號權限管理（如是否存在過期賬號、越權權限）、數(shù)據(jù)安全（如備份有效性、傳輸加密）、系統(tǒng)運維（如巡檢記錄、補丁更新），檢查結果形成《專項安全檢查報告》，報安全管理小組；年度審計由外部專業(yè)機構開展，審計內(nèi)容包括系統(tǒng)安全架構合規(guī)性、數(shù)據(jù)安全管理有效性、應急處置能力，審計報告需提交公司董事會，對審計發(fā)現(xiàn)的問題需制定整改計劃，明確整改責任人與期限，整改完成后由審計部門驗證效果。第十四條考核與獎懲：公司將財務信息系統(tǒng)安全管理納入相關部門及個人年度績效考核，考核指標包括：一是安全合規(guī)率（目標100%，即賬號權限合規(guī)、密碼更換及時、操作記錄完整）；二是系統(tǒng)可用性（目標99.9%以上，即年度系統(tǒng)故障停運時間不超過8.76小時）；三是數(shù)據(jù)安全性（目標100%，即無數(shù)據(jù)泄露、篡改事件，備份數(shù)據(jù)有效）；四是應急處置效率（目標2小時內(nèi)響應，重大事件24小時內(nèi)處置完畢）。年度考核中，財務部、信息科技部若實現(xiàn)所有考核指標，且無重大安全事件，各獎勵部門現(xiàn)金2萬元；個人若嚴格遵守系統(tǒng)安全規(guī)定、及時發(fā)現(xiàn)并上報安全隱患，評為“年度系統(tǒng)安全標兵”，獎勵現(xiàn)金1000-2000元。若因個人違規(guī)操作（如共用賬號、泄露密碼）導致系統(tǒng)安全事件（如數(shù)據(jù)泄露、賬號被盜），對責任人罰款2000-5000元，扣減年度績效獎金30%；若因部門監(jiān)管不