某化工公司電腦使用規(guī)范細(xì)則第一章總則

1.1制定依據(jù)與目的

1.1.1制定依據(jù)

本規(guī)范細(xì)則依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等國(guó)家法律法規(guī)，參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239）、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448）等行業(yè)標(biāo)準(zhǔn)，并遵循《聯(lián)合國(guó)關(guān)于跨國(guó)公司行為守則》《OECD跨國(guó)公司指南》等國(guó)際公約，同時(shí)結(jié)合公司“數(shù)字化轉(zhuǎn)型戰(zhàn)略”及“國(guó)際化經(jīng)營(yíng)布局”，旨在規(guī)范公司電腦使用行為，防范信息安全風(fēng)險(xiǎn)，提升運(yùn)營(yíng)效率。

1.1.2制定目的

針對(duì)當(dāng)前公司電腦使用中存在的管理空白、操作隨意、數(shù)據(jù)泄露風(fēng)險(xiǎn)等問題，本規(guī)范細(xì)則通過“制度-流程-表單-責(zé)任”四維管理閉環(huán)，實(shí)現(xiàn)以下核心目標(biāo)：

（1）規(guī)范電腦使用全生命周期管理，確保合規(guī)合法；

（2）構(gòu)建縱深防御體系，降低信息安全風(fēng)險(xiǎn)；

（3）優(yōu)化審批流程，提升跨部門協(xié)作效率；

（4）適配國(guó)際化需求，保障海外業(yè)務(wù)合規(guī)性。

1.2適用范圍與對(duì)象

1.2.1適用范圍

本規(guī)范細(xì)則適用于公司所有部門、全體正式員工、外包服務(wù)人員及合作單位人員（以下簡(jiǎn)稱“關(guān)聯(lián)人員”）的電腦使用行為，涵蓋辦公電腦、移動(dòng)終端、涉密設(shè)備等所有公司資產(chǎn)或授權(quán)使用的電子設(shè)備。

1.2.2適用對(duì)象

（1）業(yè)務(wù)部門：研發(fā)、生產(chǎn)、銷售、采購(gòu)、財(cái)務(wù)等所有業(yè)務(wù)單元；

（2）職能部門：人力資源、IT、內(nèi)控、合規(guī)等管理支持部門；

（3）崗位層級(jí)：所有直接或間接接觸公司電子設(shè)備的人員，包括但不限于部門負(fù)責(zé)人、項(xiàng)目經(jīng)理、系統(tǒng)管理員等。

1.2.3例外適用場(chǎng)景

（1）臨時(shí)性外部訪客或供應(yīng)商：由IT部門統(tǒng)一管理，使用專用設(shè)備，活動(dòng)結(jié)束后立即銷毀臨時(shí)數(shù)據(jù)；

（2）非工作用途設(shè)備：個(gè)人自備電腦接入公司網(wǎng)絡(luò)需經(jīng)審批，并承擔(dān)相應(yīng)責(zé)任，不納入本規(guī)范細(xì)則管理。

1.3核心原則

1.3.1合規(guī)性原則

確保所有電腦使用行為符合國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和公司內(nèi)部制度，涉外業(yè)務(wù)需遵守目標(biāo)國(guó)數(shù)據(jù)保護(hù)法律。

1.3.2權(quán)責(zé)對(duì)等原則

明確各級(jí)管理人員和技術(shù)人員的責(zé)任邊界，權(quán)力授予與風(fēng)險(xiǎn)承擔(dān)相匹配。

1.3.3風(fēng)險(xiǎn)導(dǎo)向原則

重點(diǎn)關(guān)注高風(fēng)險(xiǎn)操作場(chǎng)景，實(shí)施差異化管控措施。

1.3.4效率優(yōu)先原則

在滿足管控要求的前提下，優(yōu)化流程設(shè)計(jì)，減少不必要的審批環(huán)節(jié)。

1.3.5持續(xù)改進(jìn)原則

根據(jù)內(nèi)外部環(huán)境變化定期評(píng)估并優(yōu)化制度，保持管理有效性。

1.4制度地位與銜接

1.4.1制度層級(jí)

本規(guī)范細(xì)則為公司專項(xiàng)管理制度，屬于基礎(chǔ)性制度范疇，與《公司內(nèi)部控制基本規(guī)范》《信息安全管理制度》等制度共同構(gòu)成公司治理體系的一部分。

1.4.2制度銜接

（1）與財(cái)務(wù)制度銜接：電腦采購(gòu)、維修、報(bào)廢需符合《固定資產(chǎn)管理辦法》，采購(gòu)預(yù)算需經(jīng)財(cái)務(wù)部門審核；

（2）與內(nèi)控制度銜接：涉及數(shù)據(jù)訪問權(quán)限、操作記錄等需符合《內(nèi)部控制手冊(cè)》第5章要求；

（3）與人力資源制度銜接：?jiǎn)T工離職需按《員工手冊(cè)》第8章執(zhí)行設(shè)備回收和權(quán)限撤銷。

1.4.3沖突處理規(guī)則

若本規(guī)范細(xì)則與關(guān)聯(lián)制度存在沖突，以風(fēng)險(xiǎn)等級(jí)更高或最新發(fā)布制度為準(zhǔn)，沖突條款由內(nèi)控部牽頭協(xié)調(diào)解決。

第二章組織架構(gòu)與職責(zé)分工

2.1管理組織架構(gòu)

公司電腦使用管理遵循“董事會(huì)-管理層-職能部門-業(yè)務(wù)單元”四級(jí)架構(gòu)，其中：

（1）董事會(huì)負(fù)責(zé)審批重大設(shè)備采購(gòu)預(yù)算及涉密設(shè)備管理策略；

（2）管理層（總經(jīng)理辦公會(huì)）負(fù)責(zé)統(tǒng)籌全公司電腦使用政策；

（3）IT部門作為執(zhí)行主體，負(fù)責(zé)技術(shù)平臺(tái)建設(shè)和日常運(yùn)維；

（4）內(nèi)控部與合規(guī)部作為監(jiān)督機(jī)構(gòu)，負(fù)責(zé)流程合規(guī)性檢查；

（5）各業(yè)務(wù)部門負(fù)責(zé)人為本部門電腦使用第一責(zé)任人，需確保本規(guī)范細(xì)則在本部門落地執(zhí)行。

2.2決策機(jī)構(gòu)與職責(zé)

2.2.1股東會(huì)

（1）決策范圍：年度設(shè)備采購(gòu)預(yù)算超1000萬元人民幣的審批；

（2）議事規(guī)則：每季度召開一次，重大事項(xiàng)需三分之二以上股東出席；

（3）責(zé)任主體：董事長(zhǎng)。

2.2.2董事會(huì)

（1）決策范圍：涉密設(shè)備管理制度、跨境數(shù)據(jù)傳輸策略的制定；

（2）議事規(guī)則：每半年召開一次，決策需經(jīng)三分之二以上董事同意；

（3）責(zé)任主體：董事會(huì)秘書。

2.3執(zhí)行機(jī)構(gòu)與職責(zé)

2.3.1總經(jīng)理辦公會(huì)

（1）職責(zé)：審批月度設(shè)備采購(gòu)申請(qǐng)、季度預(yù)算執(zhí)行報(bào)告；

（2）責(zé)任主體：總經(jīng)理。

2.3.2IT部門

（1）職責(zé)：

-制定技術(shù)標(biāo)準(zhǔn)（如操作系統(tǒng)版本、加密等級(jí)）；

-實(shí)施設(shè)備生命周期管理（采購(gòu)-配置-監(jiān)控-報(bào)廢）；

-保障網(wǎng)絡(luò)安全防護(hù)體系運(yùn)行。

（2）責(zé)任主體：IT總監(jiān)。

2.3.3各業(yè)務(wù)部門

（1）職責(zé)：

-組織本規(guī)范細(xì)則培訓(xùn)；

-審核員工設(shè)備使用申請(qǐng)；

-報(bào)告異常事件。

（2）責(zé)任主體：部門負(fù)責(zé)人。

2.4監(jiān)督機(jī)構(gòu)與職責(zé)

2.4.1內(nèi)控部

（1）職責(zé)：

-每季度開展流程合規(guī)性檢查；

-對(duì)高風(fēng)險(xiǎn)操作實(shí)施抽樣審計(jì)；

-評(píng)估制度執(zhí)行效果。

（2）責(zé)任主體：內(nèi)控總監(jiān)。

2.4.2合規(guī)部

（1）職責(zé)：

-審核涉外業(yè)務(wù)數(shù)據(jù)傳輸方案；

-提供跨境數(shù)據(jù)合規(guī)咨詢；

-評(píng)估法律風(fēng)險(xiǎn)。

（2）責(zé)任主體：合規(guī)總監(jiān)。

2.5協(xié)調(diào)與聯(lián)動(dòng)機(jī)制

2.5.1跨部門協(xié)調(diào)機(jī)制

（1）成立“電腦使用管理協(xié)調(diào)小組”，由IT、內(nèi)控、合規(guī)、人力資源等部門組成；

（2）每月召開例會(huì)，解決跨部門技術(shù)爭(zhēng)議；

（3）重大技術(shù)方案需經(jīng)協(xié)調(diào)小組審議。

2.5.2國(guó)際化業(yè)務(wù)適配

（1）在歐美市場(chǎng)設(shè)立本地合規(guī)聯(lián)絡(luò)員，負(fù)責(zé)數(shù)據(jù)保護(hù)法規(guī)對(duì)接；

（2）針對(duì)歐盟GDPR等法規(guī)制定差異化操作指南；

（3）海外分支機(jī)構(gòu)設(shè)備采購(gòu)需經(jīng)總行合規(guī)部備案。

第三章專業(yè)領(lǐng)域管理標(biāo)準(zhǔn)

3.1管理目標(biāo)與核心指標(biāo)

3.1.1管理目標(biāo)

（1）設(shè)備合規(guī)率：100%；

（2）數(shù)據(jù)泄露事件：0次；

（3）系統(tǒng)可用性：≥99.9%。

3.1.2核心KPI

（1）設(shè)備更新周期≤3年；

（2）權(quán)限申請(qǐng)審批時(shí)效≤2個(gè)工作日；

（3）安全事件響應(yīng)時(shí)間≤30分鐘。

3.2專業(yè)標(biāo)準(zhǔn)與規(guī)范

3.2.1技術(shù)標(biāo)準(zhǔn)

（1）操作系統(tǒng)：Windows10企業(yè)版或macOS10.14以上；

（2）防病毒軟件：部署企業(yè)級(jí)殺毒系統(tǒng)，病毒庫(kù)每日更新；

（3）加密要求：涉密數(shù)據(jù)傳輸必須使用AES-256加密。

3.2.2風(fēng)險(xiǎn)控制點(diǎn)及防控措施

（1）高風(fēng)險(xiǎn)點(diǎn)：

-跨境數(shù)據(jù)傳輸；

-移動(dòng)設(shè)備接入；

-涉密文件處理。

（2）防控措施：

-跨境傳輸需簽訂數(shù)據(jù)保護(hù)協(xié)議；

-移動(dòng)設(shè)備接入需通過VPN；

-涉密文件需雙重加密。

3.3管理方法與工具

3.3.1管理方法

（1）全生命周期管理：從采購(gòu)到報(bào)廢全流程監(jiān)控；

（2）風(fēng)險(xiǎn)矩陣評(píng)估：對(duì)操作場(chǎng)景實(shí)施風(fēng)險(xiǎn)分級(jí)；

（3）PDCA循環(huán)改進(jìn)：定期復(fù)盤優(yōu)化流程。

3.3.2管理工具

（1）IT資產(chǎn)管理平臺(tái)：實(shí)現(xiàn)設(shè)備臺(tái)賬電子化；

（2）權(quán)限管理系統(tǒng)：自動(dòng)化審批敏感操作；

（3）安全監(jiān)控平臺(tái)：實(shí)時(shí)預(yù)警異常行為。

第四章業(yè)務(wù)流程管理

4.1主流程設(shè)計(jì)

電腦使用管理主流程分為“申請(qǐng)-配置-使用-回收”四個(gè)階段：

（1）申請(qǐng)階段：?jiǎn)T工通過OA系統(tǒng)提交設(shè)備使用申請(qǐng)，部門負(fù)責(zé)人審核；

（2）配置階段：IT部門按標(biāo)準(zhǔn)配置設(shè)備，安裝必要軟件；

（3）使用階段：?jiǎn)T工按權(quán)限使用設(shè)備，IT部門定期巡檢；

（4）回收階段：離職或報(bào)廢時(shí)需經(jīng)資產(chǎn)部門驗(yàn)收。

4.2子流程說明

4.2.1權(quán)限申請(qǐng)子流程

（1）員工提交申請(qǐng)，系統(tǒng)自動(dòng)校驗(yàn)歷史記錄；

（2）IT部門審批敏感權(quán)限，3個(gè)工作日內(nèi)反饋；

（3）審批通過后生成電子授權(quán)書，存檔備查。

4.2.2涉密文件處理子流程

（1）創(chuàng)建涉密文件需標(biāo)注密級(jí)；

（2）傳輸必須使用加密通道；

（3）訪問需經(jīng)雙因素認(rèn)證。

4.3流程關(guān)鍵控制點(diǎn)

（1）配置環(huán)節(jié)：禁止安裝未經(jīng)審批的軟件；

（2）使用環(huán)節(jié)：禁止非授權(quán)訪問涉密系統(tǒng)；

（3）回收環(huán)節(jié)：必須清除所有個(gè)人數(shù)據(jù)。

4.4流程優(yōu)化機(jī)制

（1）優(yōu)化發(fā)起：由IT部門根據(jù)審計(jì)結(jié)果提議；

（2）評(píng)估流程：業(yè)務(wù)部門、內(nèi)控部聯(lián)合評(píng)估；

（3）審批權(quán)限：由分管IT的副總經(jīng)理審批。

第五章權(quán)限與審批管理

5.1權(quán)限矩陣設(shè)計(jì)

權(quán)限分配基于“崗位-職責(zé)-數(shù)據(jù)類型”三維模型，具體規(guī)則如下：

（1）財(cái)務(wù)數(shù)據(jù)：總經(jīng)理、財(cái)務(wù)總監(jiān)、審計(jì)人員可訪問；

（2）研發(fā)數(shù)據(jù)：項(xiàng)目負(fù)責(zé)人、核心成員可訪問；

（3）客戶數(shù)據(jù)：銷售、客服人員按客戶等級(jí)授權(quán)。

5.2審批權(quán)限標(biāo)準(zhǔn)

（1）常規(guī)審批：部門負(fù)責(zé)人審批；

（2）敏感審批：需經(jīng)分管領(lǐng)導(dǎo)審批；

（3）重大審批：總經(jīng)理辦公會(huì)審議。

5.3授權(quán)與代理機(jī)制

（1）授權(quán)條件：需經(jīng)績(jī)效考核合格；

（2）授權(quán)期限：最長(zhǎng)6個(gè)月；

（3）備案要求：通過OA系統(tǒng)登記授權(quán)信息。

5.4異常審批流程

（1）緊急審批：可先執(zhí)行后補(bǔ)辦，但需在2小時(shí)內(nèi)補(bǔ)簽；

（2）權(quán)限外操作：需提交書面說明及風(fēng)險(xiǎn)評(píng)估報(bào)告。

第六章執(zhí)行與監(jiān)督管理

6.1執(zhí)行要求與標(biāo)準(zhǔn)

6.1.1操作規(guī)范

（1）登錄必須使用密碼+動(dòng)態(tài)令牌；

（2）禁止使用共享賬戶；

（3）離線操作需每日同步數(shù)據(jù)。

6.1.2表單填報(bào)標(biāo)準(zhǔn)

（1）設(shè)備使用申請(qǐng)表需包含使用目的、期限等信息；

（2）風(fēng)險(xiǎn)事件報(bào)告需在2小時(shí)內(nèi)提交。

6.2監(jiān)督機(jī)制設(shè)計(jì)

6.2.1日常監(jiān)督

（1）IT部門每周檢查設(shè)備狀態(tài)；

（2）內(nèi)控部每月抽查操作日志。

6.2.2專項(xiàng)監(jiān)督

（1）每季度開展合規(guī)性評(píng)估；

（2）每年進(jìn)行一次全面審計(jì)。

6.3檢查與審計(jì)

6.3.1檢查頻次

（1）日常檢查：每月不少于5次；

（2）專項(xiàng)檢查：每季度不少于1次。

6.3.2審計(jì)要求

（1）內(nèi)控審計(jì)每年至少2次；

（2）審計(jì)結(jié)果需提交董事會(huì)。

6.4執(zhí)行情況報(bào)告

6.4.1報(bào)告內(nèi)容

（1）合規(guī)數(shù)據(jù)統(tǒng)計(jì)；

（2）風(fēng)險(xiǎn)事件分析；

（3）改進(jìn)措施計(jì)劃。

6.4.2報(bào)告周期

（1）月度報(bào)告：每月5日前提交；

（2）年度報(bào)告：次年1月20日前提交。

第七章考核與改進(jìn)管理

7.1績(jī)效考核指標(biāo)

7.1.1考核指標(biāo)體系

（1）IT部門：設(shè)備故障率、響應(yīng)時(shí)效；

（2）業(yè)務(wù)部門：合規(guī)操作率、事件報(bào)告及時(shí)性。

7.1.2評(píng)分標(biāo)準(zhǔn)

（1）優(yōu)秀：考核得分≥90分；

（2）合格：考核得分≥80分。

7.2評(píng)估周期與方法

7.2.1評(píng)估周期

（1）月度評(píng)估：由內(nèi)控部實(shí)施；

（2）年度評(píng)估：由人力資源部牽頭。

7.2.2評(píng)估方法

（1）數(shù)據(jù)統(tǒng)計(jì)：通過IT平臺(tái)自動(dòng)采集；

（2）現(xiàn)場(chǎng)核查：隨機(jī)抽查操作行為。

7.3問題整改機(jī)制

7.3.1整改流程

（1）問題登記：內(nèi)控部建立問題臺(tái)賬；

（2）責(zé)任認(rèn)定：分管領(lǐng)導(dǎo)指定整改人；

（3）整改實(shí)施：需在7個(gè)工作日內(nèi)完成。

7.3.2整改分類

（1）一般問題：部門自行整改；

（2）重大問題：提交總經(jīng)理辦公會(huì)審議。

7.4持續(xù)改進(jìn)流程

7.4.1改進(jìn)建議來源

（1）員工反饋：通過OA系統(tǒng)收集；

（2）審計(jì)發(fā)現(xiàn)：參考審計(jì)報(bào)告建議。

7.4.2評(píng)估審批

（1）IT部門評(píng)估可行性；

（2）分管領(lǐng)導(dǎo)審批。

第八章獎(jiǎng)懲機(jī)制

8.1獎(jiǎng)勵(lì)標(biāo)準(zhǔn)與程序

8.1.1獎(jiǎng)勵(lì)情形

（1）提出重大改進(jìn)建議被采納；

（2）及時(shí)發(fā)現(xiàn)并阻止安全事件。

8.1.2獎(jiǎng)勵(lì)類型

（1）精神獎(jiǎng)勵(lì)：通報(bào)表?yè)P(yáng)；

（2）物質(zhì)獎(jiǎng)勵(lì)：獎(jiǎng)金500-2000元。

8.2違規(guī)行為界定

8.2.1一般違規(guī)：

（1）違規(guī)使用個(gè)人設(shè)備；

（2）密碼設(shè)置不符合要求。

8.2.2嚴(yán)重違規(guī)：

（1）導(dǎo)致數(shù)據(jù)泄露；

（2）故意破壞系統(tǒng)。

8.3處罰標(biāo)準(zhǔn)與程序

8.3.1處罰等級(jí)

（1）警告：書面警告；

（2）降級(jí)：取消年度評(píng)優(yōu)資格。

8.3.2處罰流程

（1）調(diào)查取證：合規(guī)部實(shí)施；

（2）告知當(dāng)事人：書面通知。

8.4申訴與復(fù)議

8.4.1申訴條件

（1）收到處罰通知后3個(gè)工作日內(nèi)；

（2）提供證據(jù)材料。

8.4.2復(fù)議程序

（1）由合規(guī)總監(jiān)組織復(fù)議；

（2）5個(gè)工作日內(nèi)出具結(jié)果。

第九章應(yīng)急與例外管理

9.1應(yīng)急預(yù)案與危機(jī)處理

9.1.1重大事件預(yù)案

（1）數(shù)據(jù)泄露：立即啟動(dòng)應(yīng)急預(yù)案；

（2）系統(tǒng)癱瘓：優(yōu)先保障核心業(yè)務(wù)。

9.1.2責(zé)任分工

（1）IT部門：技術(shù)處置；

（2）合規(guī)部：法律應(yīng)對(duì)。

9.2例外情況處理

9.2.1例外場(chǎng)景

（1）臨時(shí)出國(guó)使用設(shè)備；

（2）自然災(zāi)害影響。

9.2.2處理流程

（1）提交例外申請(qǐng)；

（2）IT部門評(píng)估風(fēng)險(xiǎn)。

9.3危機(jī)公關(guān)與善后

9.3.1危機(jī)公關(guān)

（1）成立危機(jī)小組，由公關(guān)部牽頭；

（2）制定差異化溝通方案。

9.3.2善后措施

（1）全面復(fù)盤事件原因；

（2）修訂相關(guān)制度。

第十章附則

10.1制度解釋權(quán)歸屬

本規(guī)范細(xì)則由公司