[管理制度]信息系统管理制度(DOC 15页).doc

1、（管理制度)信息系统管理制度XXXXXXXXXX有限责任公司信息系统管理制度第一壹章 总则第一壹条 为明确岗位职责，规范操作流程，保障XXXXXXXXXX有限责任公司（以下简称“公司” ）信息系统安全、有效运行，根据有关法律、法规和政府有关规定，结合公司实际情况，特制定本制度。第二条 计算机信息系统是指由企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。第三条 利用信息系统实施内部控制至少应当关注下列风险：（一壹）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营运营管理效率低下。（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息

2、技术实施有效控制。（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。第四条 重视信息系统在于内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与和维护，优化管理流程，防范经营运营风险，全面提升企业现代化管理水平。第五条 公司设立信息技术部，负责公司范围内的计算机信息系统安全管理工作。第二章 信息系统的开发第六条 信息技术部根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关关联内容，按照规定的流程报批通过后实施。信息技

3、术部组织公司各部门提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关关联要求组织开发工作。信息技术部根据项目建设方案、需求、关键控制点等与和自身的技术实力对于系统开发，可以能够选择采取自行开发、外购调试、业务外包三种方式。采取外购调试的，应当采用公开招标等形式择优确定供应商或开发单位。信息系统采用业务外包方式的参照XXXXXXXXXX有限公司XX公司外包业务管理制度执行，由信息技术部督导落实。第七条 信息技术部自行开发信息系统，应当将生产经营运营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实

4、现的控制功能。在于系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一壹用户。应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。应当在于信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计系统自动报告方案并且设置跟踪处理机制。第八条 无论是信息技术部自行开发还仍是外包开发都均应当加强信息系统开发全过程的跟踪管理，组织开发单位或开发人员与和各部门的日常沟通和协调，督促开发单位或开发人

5、员按照建设方案、计划进度和质量要求完成编程工作。第九条 信息技术部应根据配备的硬件设备和系统软件的具体情况，组织安排相应的硬件厂家或软件开发商的技术人员入场安装调试。对于关键的软硬件设备，应安排专人负责跟踪、记录整个安装调试过程；在于完成软硬件设备的安装调试后，应注意做好有关文档的验收及归档保存工作。第十条 自行开发、外购调试或业务外包的信息系统上线前，信息技术部都均应当切实做好上线的各项准备工作，应查验设备厂商或软件开发商或开发人员提交的有关运行维护资料，包括技术手册、操作手册等，并且负责监督设备厂商或软件开发商提供对相关关联岗位人员的技术培训。制定科学的上线计划和新旧系统转换方案，考虑应急

6、预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还仍应制定详细的数据迁移计划。第十一壹条 对于信息技术软件，应注意母盘或源代码的保存登记工作，并且由专人管理。日常工作中应尽量使用母盘的复制品，避免造成对母盘或源代码的破坏。第三章 信息系统的运行与和维护第十二条 信息系统投运前，信息技术部要掌握有关设备所提供的各种系统监控、维护工具，并且检查其安全性和完整性。第十三条 信息系统投运前，信息技术部应与和软件开发商和设备的供应商共同制定系统投运实施方案以及应急处理方案，并且尽可能在于测试环境中测试通过后，再在于实际运行环境中实施。第十四条 公司信息系统的日常管理和维护由信息技术部负责。

7、信息技术部按实际情况制定各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在于的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。信息技术部对服务器等关键信息设备指定专人负责检查维护，及时处理异常情况。未经授权，任何人不得接触关键信息设备。机房设备发生故障时，应及时上报广西糖网食糖批发市场有限责任公司（以下简称“柳糖”）技术部处理，并且对故障的处理过程及结果进行详细登记。信息技术部负责建立本地局域网络、广域网络的运行档案。信息技术部负责公司网站的运营管理。公司各部门应及时提供动态信息，经相关关联部门审核后，由网站管理员发布。各部门在于信息发布方面必须遵守如下规定： （一壹

8、）申请信息发布的部门应当确保发布信息准确、真实； （二）信息发布部门应当对所发布的信息备案记录，以加强管理； （三）信息审核部门应在于充分理解公司各项规定的基础上及时处理申请部门的请求，并且将审核意见及时反馈给申请部门； （四）网站管理员对所收到的经过审核后的信息在于确认审核意见后，应及时在于网站上发布，并且确保发布信息的准确性；（五）信息技术部对所发布的信息应当做好备案工作。第十五条 信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。对公司重大信息系统配置的更改，应先形成方案文件，经

9、信息技术部讨论确认可行，报公司领导批准后执行。方案中应包括系统备份方式、调试运行期限、更改和操作记录、应急措施等相关关联内容。第十六条 根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。（一） 交易中心建立用户管理制度，根据工作岗位需求严格控制重要业务系统的访问权限。根据数据的保密规定和用途，确定拥有系统权限人员的存取权限、存取方式和审批手续。合理分配用户权限，对不同岗位用户、不同信息等级分别设定口令。定期审阅系统账号，避免授权不当或存在于非授权账号，禁止不相容岗位用户账号的交叉操作。（二） 对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息

10、传递的保密性、准确性和完整性。（三） 计算机终端用户计算机应当安装安全软件，防范信息系统受到病毒等恶意软件的感染和破坏。（四） 计算机终端用户计算机内的资料涉及公司秘密的，应为该计算机设定开机密码或将文件加密；凡涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在于部门负责人将其所有工作资料收回并且保存。（五） 计算机终端用户务必将重要数据存放在于计算机硬盘中除系统盘分区(操作系统所在于的硬盘分区，一壹般是C盘)外的硬盘分区。计算机信息系统发生故障，应及时与和信息技术部联系并且采取保护数据安全的措施。（六） 严禁安装与和工作无关的程序与和软件，严

11、禁使用计算机进行与和工作无关的操作，以免浪费资源，传播病毒。每日下班后及时关机，并且及时切断电源。（七） 每周备份业务数据并且将其刻制至光盘，确保信息系统一壹旦发生故障能够快速恢复。数据库备份数据不得更改，数据备份光盘应异地存放，保存期限为3年。（八） 计算机终端用户未做好备份前不得删除硬盘中的重要数据。对重要的数据应双份备份，存放在于不同的地点；对采用磁性介质或光盘保存的数据，应做好防磁、防火、防潮和防尘工作，并且定期进行检查、复制，防止由于磁性介质损坏，丢失数据。（九） 严禁试图获得非法权限、破解密码、攻击系统的行为，严禁未经授权的使用和操作。对于公司网络，普通用户只有浏览查看见权利，严禁

12、非法篡改，严禁故意攻击或躲避防火墙的行为。第十七条 信息技术部人员必须熟练掌握局域网络使用的基本知识。熟悉本职工作范围内的工作软件及其使用方法。严格遵守信息传递操作流程，严禁外泄网络用户密码及共享权限密码。严禁擅改他人文件。第十八条 公司全体人员均有权制止违反规定、可能损害网络的行为，并且有义务及时向信息技术部汇报。出现违反规定的可疑情况，应立即向信息技术部通报。第十九条 信息系统设备完成安装调试后，未经信息技术部同意，任何个人或部门不得擅自移动或拆除。如因工作需要，确实要对有关设备进行移动或拆除，需报信息技术部审批同意后，由信息技术部组织有关技术人员实施，并且做好相应的登记变更工作。关键硬件

13、设备完成安装后，运行地点要相对固定，移动或拆除要在于完成审批程序后，方可实施。第二十条 硬件设备的报废应由使用部门提出书面申请，信息技术部根据设备的使用情况进行审核，提出设备报废清单，按固定资产报废程序办理。第四章 信息系统的设备采购与和维护第二十一壹条 公司各部门IT设备或配件的采购、管理参照广西大宗茧丝有限公司XX公司固定资产管理制度执行，由信息技术部督导落实。综合管理部设置专门的软硬件设备台帐，并且由专人保管，做到登记明晰，设备的进出库、安装有帐可查。信息技术部每年应对公司各部门的计算机设备资产进行核查，要求做到与和综合管理部的有关固定资产资料相对应。第二十二条 设备进入使用部门后，使用

14、部门应保证运行设备的安全及完整性，防止出现设备的人为损坏或丢失。第二十三条 各部门因工程项目需要而自行购置的软硬件设备，应在于向综合管理部报送固定资产资料的同时，向信息技术部报送所购置的软硬件设备台帐。第五章 禁止行为及处罚措施第二十四条 公司员工应遵守中华人民共和国计算机信息系统安全保护条例及国家、省市有关规定，严格遵守公司有关规章制度，严格执行安全保密制度，有利用公司网络进行下述行为之一壹者，公司视情节严重程度给予警告、记过等处分，并且有权解除劳动合同。给公司造成损失的，应予赔偿。构成犯罪的，移交司法机关处理。（一壹）发布反动、非法和虚假的消息，或制作、浏览、复制、传播反动信息。（二）宣扬

15、封建迷信、邪教、黄色淫秽制品、违反社会公德、以及赌博和教唆犯罪等。（三）漫骂攻击他人，散布谣言、扰乱社会秩序、鼓动聚众滋事。（四）泄露他人隐私和攻击他人与和损害他人合法权益； （五）制造或者故意输入、传播计算机病毒和其他有害数据，进行任何黑客活动和性质类似的破坏活动。（六）泄露、外借和转移公司专业数据信息。利用非法手段复制、截收、篡改公司计算机信息系统中的数据。（七）利用扫描、监听、伪装等工具对公司网络和服务器进行恶意攻击，或非法侵入他人网络和服务器系统。（八）利用计算机和网络干扰他人正常工作。（九）工作时间严禁使用计算机玩游戏，播放MP3、CD、DVD、在于线视频等。（十）法律和法规禁止的其

16、他有害信息。第二十五条 严格机房管理。有违反以下情况行为之一壹者，情节轻微的给予警告处分；情节严重，给公司造成重大损失的，除赔偿相应损失外，处以100元以上之上2000元以下罚款。（一壹）严禁携带易燃易爆和强磁物品及其它与和机房工作无关的物品进入机房。禁止在于机房内吃食物、抽烟、随地吐痰。未经机房管理人员同意严禁无关人员进入机房。（二）未经公司授权且机房管理人员在于场监督，任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等；不得在于机房服务器上安装与和系统应用无关的软件。（三）机房设备未发生故障或无故障隐患时机房管理人员不得私自对光纤、路由器、交换机、硬件防火墙、U

17、PS系统、服务器和网线等网络设备进行任何调试。（四）严禁撕毁、涂画或遮盖IT设备标签，或未经信息技术部备案擅自调整公司计算机信息系统的配置。严禁使用假冒伪劣产品、擅自外接电源开关和插座、擅自移动和装拆各类设备及其他辅助设备、擅自请人维修。（五）禁止未授权用户接入公司计算机网络及访问网络中的资源。第二十六条 计算机终端用户因主观操作不当导致设备、设施损坏，应承担相应修复费用；不能修复的按所损坏设备、设施市场价值的20%80%予以赔偿；蓄意破坏设备、设施的，除照价赔偿外，视情节严重给予行政处罚。第六章 附则第二十七条 本制度由XXXXXXXXXX有限责任公司信息技术部负责解释。第二十八条 本规定自董事会审议通过后生效，有新的修改版本颁布后，本规定自行终止。