2026年建筑工程公司财务信息系统安全管理制度.docxVIP

2026年建筑工程公司财务信息系统安全管理制度

第一章总则

第一条为规范公司财务信息系统安全管理，防范系统漏洞、数据泄露、网络攻击等风险，保障财务数据（含项目成本、资金收支、应收账款等核心信息）真实、完整、保密，确保财务信息系统稳定运行，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《会计信息化工作规范》及公司《信息安全管理制度》《财务管理制度》等相关规定，结合公司建筑工程业务特点（财务信息系统涵盖核算模块、资金管理模块、项目成本模块、税务管理模块等），制定本制度。

第二条本制度适用于公司财务信息系统（包括服务器、客户端、数据库、配套网络设备及存储介质）的规划、建设、使用、维护全流程安全管理，涉及财务部、信息科技部、人力资源部门、审计部门及所有使用财务信息系统的人员（如财务人员、项目管理人员、授权审批人员）。

第三条财务信息系统安全管理遵循四项核心原则：一是保密性原则，严格控制财务数据访问权限，防止未授权人员获取敏感信息（如项目投标报价、大额资金支付记录）；二是完整性原则，采取技术与管理措施，确保财务数据在传输、存储、使用过程中不被篡改、丢失；三是可用性原则，保障财务信息系统7×24小时稳定运行（计划停机除外），避免因系统故障影响财务核算、资金支付等核心业务；四是合规性原则，严格遵守国家网络安全、数据安全相关法规，确保系统安全管理流程合法合规，数据处理符合监管要求。

第四条公司成立财务信息系统安全管理小组，由财务总监、信息科技部负责人共同任组长，财务部负责人、信息科技部安全工程师、审计部门负责人为副组长，人力资源部门、法务部门负责人为成员。财务部负责提出财务信息系统安全需求、规范系统使用流程、监督财务人员安全操作；信息科技部负责系统安全技术架构搭建、漏洞修复、应急响应；审计部门负责监督系统安全制度执行、开展安全审计；人力资源部门负责财务人员安全培训与岗位权限交接；法务部门负责审核制度合规性、提供法律支持，共同落实系统安全管理职责。

第二章系统访问安全管理

第五条账号与权限管理：财务信息系统实行“一人一账号”管理，严禁共用账号或借用他人账号登录。账号申请需由使用部门（如财务部、项目管理部门）提交《财务信息系统账号申请表》，注明申请人姓名、岗位、申请权限范围（如“核算模块-凭证编制”“资金模块-付款查询”），经部门负责人审核、财务部负责人审批（涉及核心权限如“资金支付”需财务总监审批）后，由信息科技部创建账号并初始密码（初始密码需包含大小写字母、数字及特殊符号，长度不低于12位）。权限设置遵循“最小必要原则”，即仅授予完成岗位工作必需的权限，如项目财务组人员仅授予对应项目的成本查询、凭证查看权限，不得授予其他项目或公司总部的财务数据访问权限；权限变更需提交《权限变更申请表》，按原审批流程办理，严禁擅自扩大权限范围；员工离职、调岗时，人力资源部门需在1个工作日内通知信息科技部注销或调整账号权限，财务部需同步收回该员工保管的系统相关资料（如Ukey、密码记录本），避免权限遗留导致安全风险。

第六条密码安全管理：财务信息系统用户需在首次登录后24小时内修改初始密码，密码需满足“复杂度+定期更换”要求：复杂度方面，密码需包含大写字母、小写字母、数字及特殊符号（如！@#\$%），长度不低于12位，且不得使用与账号名、个人信息（如生日、手机号）相关的字符；定期更换方面，普通用户密码每90天更换一次，核心权限用户（如财务总监、资金支付操作员）密码每60天更换一次，系统需在密码到期前7天提醒用户更换，逾期未更换的账号自动锁定。严禁将密码告知他人、记录在易获取的位置（如电脑桌面、键盘下方）或与他人共享密码；若密码遗忘，需提交《密码重置申请表》，经部门负责人审核后，由信息科技部重置密码，重置后的密码需按初始密码要求设置，并在首次登录后立即修改；发现密码可能泄露时（如收到异常登录提醒），用户需立即修改密码，并向信息科技部报备，由技术人员排查是否存在账号被盗风险。

第七条登录与操作安全：财务信息系统登录需采用“账号密码+二次验证”双重认证，二次验证方式包括动态口令（如手机APP生成验证码）、硬件Ukey（仅限核心权限用户使用），严禁关闭二次验证功能登录系统；登录时若连续5次输入错误密码，账号自动锁定，24小时后解锁，如需紧急解锁需提交《账号解锁申请表》，经财务部负责人审批后由信息科技部处理。用户登录系统后，需在操作界面设置“自动锁屏”功能，锁屏时间不超过15分钟，离开电脑时需手动锁屏或退出系统，防止他人冒用账号操作；操作过程中需严格按业务流程执行，严禁进行与岗位工作无关的操作（如尝试访问未授权模块、修改系统配置参数），严禁利用系统漏洞