信息系统管理制.docVIP

第18章 公司内部控制——信息系统 18．1 信息系统管理授权审批制度 制度名称 信息系统管理授权审批制度 受控状态 文件编号 执行部门 监督部门 考证部门 第1条 为了提高公司信息系统的可靠性、稳定性、安全性，特制定本制度。 第2条 本制度适用于信息部与各用户部门使用公司信息系统的相关人员。 第3条 公司中涉及到信息系统方面的工作统一由信息部负责。 第4条 信息系统管理授权的方式。 公司信息系统的授权以职位说明书和授权书为基准，逐级授权，其他授权方式或越级授权视为无效。 第5条 公司信息系统管理授权程序。 1．全面负责公司信息系统的开发、管理、修改等工作。 2．信息部负责信息系统的开发、管理、修改等具体工作。 3．信息部授权给下属员工，完成相应工作。 第6条 公司信息系统管理中的文件审批程序，如下图所示。 信息系统管理的文件审批程序示意图 第7条 公司中的各用户部门对信息系统只有根据其职级的使用权与建议权，而无修改权，否则造成的全部后果由当事人承担。 第8条 本制度由信息部制定，解释权、修改权归属信息部。 第9条 本制度自CEO审批之日起实施，修订时亦同。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 18．2 信息系统维护管理制度 制度名称 信息系统开发、变更与维护管理制度 受控状态 文件编号 执行部门 监督部门 考证部门 第1章 总则 第1条 为了提高公司的工作效率，提升公司信息系统的可靠性、稳定性、安全性，特制定本制度。 第2条 本制度适用于信息部与各用户部门使用公司信息系统的相关人员。 第2章 信息系统的维护 第条 对于公司自主开发的信息系统，根据其大小、性能定期检测、定期维护。 第条 数据库管理专员将数据库中的数据定期备份，以防止系统出现问题时数据丢失。 第条 信息系统出现问题时，信息部员工按编制的应急预案进行处理。 第章 附则 第条 本制度由信息部制定，解释权、修改权归属信息部。 第条 本制度自CEO审批之日起实施，修改时亦同。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 18．3 信息系统访问安全管理制度 制度名称 信息系统访问安全制度 受控状态 文件编号 执行部门 监督部门 考证部门 第1章 总则 第1条 为了提高公司信息系统的可靠性、稳定性、安全性，特制定本制度。 第2条 本制度适用于信息部与各用户部门使用公司信息系统的相关人员。 第2章 信息系统中的等级与账号 第3条 公司信息系统中的信息、数据按级别划分，员工可根据其账号的权限进行阅读、使用。 第4条 公司信息系统中的信息与数据根据其重要性程度与泄密风险损失划分为五级。 1．绝密级，CEO、CFO、COO级别的人员可以阅读、使用。 2．机密级，副总级别、总监级别可以阅读、使用。 3．秘密级，部门经理级别可以阅读、使用。 4．重要级，部门主管级别可以阅读、使用。 5．普通级，普通员工可以阅读、使用。 第5条 信息部根据员工的职级与权限编发账号，员工每人对应着唯一的账号，只允许使用自己的账号，禁止使用他人账号，否则造成的后果由使用者和账号泄露者共同承担。 第6条 公司员工越级使用公司的信息系统，必须经过上级领导授权，以授权书为准，否则视为非法使用，按公司的相关制度进行处理。 第7条 账号申请程序。 1．使用部门提出使用公司信息系统申请2．信息部门出具申请分析报告3．总监审核4．CEO审批5．信息部编发账号。 第8条 信息系统中的超级账户，必须有CEO签名的授权书，否则不得编发账户。 第9条 公司人员离职、调动时，信息部人员要及时对其账号进行撤销或修改。 第3章 操作人员规范 第10条 未经培训的操作人员禁止使用信息系统。 第11条 公司信息系统中的软件升级、杀毒、安装等由信息部统一操作，禁止用户部门的操作人员擅自进行系统软件的删除、升级、杀毒、改变或卸载系统软件版本等。 第12条 信息部工作人员在信息系统中设置的安全参数与软件系统环境配置等，禁止用户部门的操作人员修改。 第13条 操作人员离开工作现场时，要锁定或退出已经运行的程序，防止他人利用自身账号操作，否则造成的后果由当事人自己承担。 第14条 更换操作人员或密码泄露后，用户必须及时修改密码。 第15条 公司信息系统中的信息、数据为公司资产，禁止未经授权的操作人员使用存储介质存储。 第4章 信息部人员确保安全的规范 第16条 信息部指定人员定期审阅信息系统中的账号，避免授权不当或存在非授权账号。 第17条 信息部指定人员监测各账号使用信息系统的情况，发现异常上报信息部经理。 第18条