2026年烟草制品公司财务信息系统安全管理制度.docxVIP

2026年烟草制品公司财务信息系统安全管理制度

第一章总则

第一条为规范本公司财务信息系统安全管理工作，保障财务数据及系统运行安全，防范信息泄露、系统故障、网络攻击等安全风险，维护公司财务经营秩序，结合《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》《烟草行业网络安全管理规范》等相关法律法规及本公司财务管理实际，制定本制度。

第二条本制度所称财务信息系统安全管理，是指对本公司财务核算系统、资金管理系统、预算管理系统、成本管控系统等各类财务信息系统从硬件运维、软件防护、数据管理、权限控制，到应急处置、灾备恢复的全过程规范化管理，涵盖系统运行、数据存储、操作行为、网络防护等关键环节。

第三条本制度适用于本公司所有财务信息系统的规划、建设、运维、使用及安全管理工作，包括系统硬件设备、软件程序、财务数据、网络链路、操作账号等；严禁未经授权访问、篡改、泄露财务信息系统数据，所有操作行为需符合网络安全、数据安全相关法规及烟草行业监管要求。

第四条财务信息系统安全管理遵循“合规优先、分级防护、最小权限、全程可控、应急有备”的核心原则，系统建设贴合财务业务实际需求，数据防护与系统重要程度匹配，操作权限严格管控，运行过程全程留痕，应急处置流程清晰，确保财务信息系统安全稳定、数据真实完整、操作可追溯。

第五条公司财务部门为财务信息系统安全管理归口管理部门，负责系统日常使用管理、数据安全管控、操作权限审核；信息科技部门负责系统硬件运维、软件升级、网络防护、灾备建设；合规管理部门负责审核系统安全管理行为的合规性，核查是否符合数据安全、个人信息保护相关法规；监督审计部门负责系统操作行为、数据使用情况的监督检查，查处违规操作行为；各使用部门负责本部门财务系统账号的安全使用，配合做好系统安全防护工作。

第二章管理范围与职责划分

第六条管理范围。系统范围：财务核算系统、资金支付系统、预算管理系统、成本分析系统、财务报表系统等各类财务业务信息系统；硬件范围：财务系统服务器、终端计算机、存储设备、网络设备等专用硬件；数据范围：公司经营数据、资金数据、预算数据、成本数据、往来账款数据、员工薪酬数据等各类财务数据；权限范围：系统登录权限、数据查询权限、数据修改权限、资金操作权限、报表生成权限等；网络范围：财务系统专用网络链路、内网访问通道、远程接入链路等。

第七条职责划分。财务部门：制定财务信息系统安全使用规范，明确操作流程及安全要求；审核系统操作权限申请，建立权限台账并动态更新；监督系统日常使用行为，及时制止违规操作；定期备份财务核心数据，核查数据完整性；牵头制定财务系统安全应急预案，组织应急演练。信息科技部门：负责财务系统硬件设备的采购、运维及报废处置，确保硬件运行稳定；完成系统软件的正版化部署、补丁更新及病毒防护；搭建财务系统专用网络环境，设置访问隔离及加密措施；建设财务数据灾备体系，定期开展恢复测试；及时处置系统故障、网络攻击等安全事件，保障系统正常运行。合规管理部门：审核财务信息系统安全管理制度及操作规范的合规性，重点核查数据收集、存储、使用是否符合数据安全法规；对系统安全管理中的合规风险进行预警，提出整改建议；定期出具财务信息系统安全合规性评估报告。监督审计部门：每季度开展财务信息系统安全专项检查，核查操作日志、权限配置、数据备份等情况；查处越权操作、数据篡改、信息泄露等违规行为；建立违规操作举报渠道，接受内部员工监督。各使用部门：规范使用本部门财务系统账号，设置复杂密码并定期更换；严禁将账号转借他人使用，离岗时及时报备账号注销事宜；配合财务、信息科技部门完成系统安全检查及应急处置工作。

第三章系统安全管理要求

第八条硬件安全管理。财务系统专用服务器、存储设备需部署在专用机房，机房需配备防火、防水、防静电、防盗窃设施，实行7×24小时环境监控；终端计算机仅限财务业务使用，严禁安装无关软件、接入外部存储设备，定期进行硬件检测及维护；硬件设备报废前需完成数据彻底清除，确保财务数据无泄露风险，报废流程需经财务、信息科技部门审核确认。

第九条软件安全管理。财务系统软件需使用正版授权程序，信息科技部门定期核查授权有效性，及时完成补丁更新及漏洞修复；终端计算机需安装合规的杀毒软件及防火墙，每周至少进行1次病毒查杀，严禁关闭安全防护程序；严禁在财务系统中安装、运行非授权软件，严禁修改系统核心配置，确需调整的需经信息科技部门审核批准。

第十条网络安全管理。财务信息系统需搭建专用内网环境，与互联网实现物理或逻辑隔离，严禁私自接入外网；远程访问财务系统需通过专用加密通道，采用身份认证+密码验证双重防护措施；信息科技部门定期检测网络链路安全，封堵异常访问端口，记录网络访问日志，发现异常流量及时处置。

第四章数据安全管理

第