企业信息系统内部控制管理制度.docxVIP

企业信息系统内部控制管理制度

一总则

为全面规范企业所有信息系统的全生命周期管控，防范系统运行风险、数据泄露风险、业务中断风险，保障企业核心资产安全，本制度严格依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《企业内部控制基本规范》财会[2008]7号、GB/T22239-2019信息安全技术网络安全等级保护基本要求、《会计档案管理办法》财政部国家档案局令第79号相关条款制定，适用于企业范围内所有自建、外购、云部署的信息系统，包括但不限于ERP企业资源管理系统、OA办公自动化系统、CRM客户关系管理系统、生产过程管控系统、财务核算系统、供应链管理系统、员工考勤管理系统，所有接入企业内部网络的信息系统、终端设备、相关服务人员均需严格遵守本制度要求。

本制度实施目标为实现全年核心信息系统可用率不低于99.95%，高危安全漏洞修复率100%，敏感数据泄露事件发生率为0，所有内控操作全程留痕可追溯，完全满足国家监管要求和企业内部合规需求。企业所有部门不得以业务特殊为理由拒绝执行本制度相关条款，如有特殊需求需提交书面申请，经内控工作组集体评审通过后方可临时豁免，豁免有效期最长不超过30天。

二组织架构与权责划分

企业设立信息系统内控工作组，作为全公司信息系统内控管理的最高决策机构，工作组组长由分管信息化工作的副总经理担任，成员固定包含信