公司內(nèi)部控制規(guī)范-信息系統(tǒng)一般控制.doc

《公司內(nèi)部控制規(guī)范-信息系統(tǒng)一般控制.doc》由會員分享，可在線閱讀，更多相關(guān)《公司內(nèi)部控制規(guī)范-信息系統(tǒng)一般控制.doc（21頁珍藏版）》請在裝配圖網(wǎng)上搜索。

第18部分 公司內(nèi)部控制規(guī)范——信息系統(tǒng)一般控制 18．1 崗位責(zé)任與授權(quán)審批制度 18．1．1 計算機(jī)信息系統(tǒng)崗位責(zé)任制度 內(nèi)控制度名稱 計算機(jī)信息系統(tǒng)崗位責(zé)任制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 目的 為了明確計算機(jī)信息系統(tǒng)相關(guān)部門及崗位的職責(zé)、權(quán)限，確保計算機(jī)信息系統(tǒng)管理不相容崗位相互分離、相互制約和監(jiān)督，特制定本制度。 第2條 范圍 計算機(jī)信息系統(tǒng)管理的崗位一般包括：系統(tǒng)分析、編程、測試、程序管理、數(shù)據(jù)庫管理、數(shù)據(jù)控制和終端操作。 第3條 不相容崗位 1．系統(tǒng)開發(fā)和變更過程中不相容崗位一般應(yīng)包括：開發(fā)立項、審批、編程、測試。 2．系統(tǒng)訪問過程中不相容崗位一般應(yīng)包括：申請、審批、操作、監(jiān)控。 第2章 崗位責(zé)任 第4條 董事會 董事會的主要職責(zé)包括： 1．審議計算機(jī)信息系統(tǒng)戰(zhàn)略規(guī)劃； 2．審議重要信息系統(tǒng)政策； 3．審議重大信息系統(tǒng)立項申請。 第5條 總經(jīng)理 總經(jīng)理的主要職責(zé)包括： 1．審核計算機(jī)信息系統(tǒng)戰(zhàn)略規(guī)劃； 2．審核重要信息系統(tǒng)政策； 3．審批一般信息系統(tǒng)政策； 4．審核和審批信息系統(tǒng)立項申請。 第6條 信息總監(jiān) 信息總監(jiān)的主要職責(zé)包括： 1．制定公司信息管理戰(zhàn)略規(guī)劃，報總經(jīng)理和董事會審批； 2．審核信息系統(tǒng)立項申請； 3．組織進(jìn)行信息系統(tǒng)的開發(fā)； 4．組織人員對信息系統(tǒng)的開發(fā)結(jié)果進(jìn)行測試； 5．推廣并不斷完善公司信息化系統(tǒng)，推進(jìn)公司信息化管理步伐； 6．引進(jìn)或組織開發(fā)公司信息化管理系統(tǒng)，實現(xiàn)辦公自動化； 7．推動信息系統(tǒng)的建設(shè)與維護(hù)，保證公司內(nèi)無紙化辦公。 第7條 信息部經(jīng)理 信息部經(jīng)理的主要職責(zé)包括： 1．根據(jù)公司發(fā)展戰(zhàn)略及經(jīng)營計劃編制部門發(fā)展規(guī)劃及工作計劃，上報領(lǐng)導(dǎo)審批后組織實施； 2．主持信息管理軟件平臺的開發(fā)、應(yīng)用、監(jiān)督和管理； 3．負(fù)責(zé)制定公司網(wǎng)絡(luò)、計算機(jī)管理的各項規(guī)章制度，上報領(lǐng)導(dǎo)審批后貫徹實施； 4．監(jiān)督、檢查制度的執(zhí)行情況，適時修訂、完善各項制度； 5．組織進(jìn)行信息系統(tǒng)項目的立項申請工作； 6．進(jìn)行信息系統(tǒng)的分析和開發(fā)； 7．組織人員進(jìn)行信息系統(tǒng)開發(fā)編程工作； 8．協(xié)調(diào)有關(guān)職能部門，安排人員進(jìn)行相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持，對安裝調(diào)試中出現(xiàn)的各種問題提出處理意見，并協(xié)助其妥善解決； 9．及時編制系統(tǒng)幫助手冊，經(jīng)領(lǐng)導(dǎo)審批后，及時下發(fā)到相關(guān)部門； 10．信息化系統(tǒng)在使用過程中，安排人員為各職能部門和子公司提供技術(shù)指導(dǎo)，促進(jìn)系統(tǒng)操作技術(shù)的有效運(yùn)用； 11．全面掌握各種交換機(jī)設(shè)備和服務(wù)器的安裝、配制技術(shù)，管理交換機(jī)設(shè)備和服務(wù)器密碼，處理各種網(wǎng)絡(luò)設(shè)備的突發(fā)故障； 12．進(jìn)行程序管理和數(shù)據(jù)庫管理以及數(shù)據(jù)控制。 第8條 信息部主管 信息部主管的主要職責(zé)包括： 1．參與編制部門發(fā)展規(guī)劃及工作計劃； 2．參與信息系統(tǒng)立項申請工作； 3．組織維護(hù)公司服務(wù)器的正常運(yùn)行； 4．負(fù)責(zé)公司硬件設(shè)施、網(wǎng)絡(luò)設(shè)備的維修管理； 5．組織對設(shè)備電路及系統(tǒng)進(jìn)行日常維護(hù)、定期檢修測試和故障處理，保證設(shè)備、電路、系統(tǒng)及網(wǎng)絡(luò)運(yùn)行正常、完好； 6．參與信息系統(tǒng)立項申請； 7．參與進(jìn)行信息系統(tǒng)的分析和開發(fā)； 8．進(jìn)行信息系統(tǒng)開發(fā)編程盒測試工作； 9．進(jìn)行相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持； 10．進(jìn)行程序管理和數(shù)據(jù)庫管理以及數(shù)據(jù)控制。 第9條 信息部專員 信息部專員的主要職責(zé)包括： 1．為信息系統(tǒng)立項申請搜集資料，進(jìn)行調(diào)研； 2．參與進(jìn)行信息系統(tǒng)的分析和開發(fā)； 3．參與信息系統(tǒng)開發(fā)編程和測試工作； 4．參與進(jìn)行相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持； 5．對設(shè)備電路及系統(tǒng)進(jìn)行日常維護(hù)、定期檢修測試和故障處理。 第10條 信息系統(tǒng)使用部門 信息系統(tǒng)使用部門的主要職責(zé)包括： 1．參與制定信息系統(tǒng)戰(zhàn)略規(guī)劃； 2．參與制定重要信息系統(tǒng)政策； 3．負(fù)責(zé)記錄交易內(nèi)容，授權(quán)處理數(shù)據(jù)，并利用系統(tǒng)輸出的結(jié)果； 4．接受信息部關(guān)于信息系統(tǒng)操作的培訓(xùn)； 5．信息系統(tǒng)出現(xiàn)故障時，向信息部提出維修申請； 6．部門經(jīng)理負(fù)責(zé)信息系統(tǒng)操作申請的審批； 7．部門主管或經(jīng)理負(fù)責(zé)對內(nèi)部人員操作情況進(jìn)行監(jiān)控。 第3章 附則 第11條 本制度由信息部會同公司其他有關(guān)部門解釋。 第12條 本制度配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第13條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．1．2 計算機(jī)信息系統(tǒng)歸口管理制度 內(nèi)控制度名稱 計算機(jī)信息系統(tǒng)歸口管理制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 目的 為了加強(qiáng)計算機(jī)信息系統(tǒng)的管理工作，規(guī)范歸口管理部門的業(yè)務(wù)內(nèi)容，特制定本制度。 第2條 范圍 計算機(jī)信息系統(tǒng)歸口管理的業(yè)務(wù)一般包括：信息系統(tǒng)開發(fā)、變更和維護(hù)等工作。 第3條 信息系統(tǒng)開發(fā)歸口管理 1．計算機(jī)信息系統(tǒng)開發(fā)包括自行設(shè)計、外購調(diào)試和外包合作開發(fā)。 2．在開發(fā)信息系統(tǒng)時，應(yīng)當(dāng)充分考慮業(yè)務(wù)和信息的集成性，優(yōu)化流程，并將相應(yīng)的交易權(quán)限嵌入到系統(tǒng)程序中，預(yù)防、檢查、糾正錯誤和舞弊行為，確保業(yè)務(wù)活動的真實性、合法性和效益性。 3．信息系統(tǒng)開發(fā)業(yè)務(wù)由信息部信息系統(tǒng)開發(fā)主管負(fù)責(zé)，上級主管領(lǐng)導(dǎo)為信息部經(jīng)理和信息總監(jiān)。 4．信息系統(tǒng)開發(fā)必須經(jīng)過正式授權(quán)。具體程序包括： （1）用戶部門提出需求； （2）信息部經(jīng)理和信息總監(jiān)進(jìn)行審核； （3）總經(jīng)理和董事會（超過100萬元的項目由董事會審批）審批通過后交由信息部進(jìn)行開發(fā)； （4）系統(tǒng)分析人員設(shè)計方案； （5）程序員編寫代碼； （6）測試員進(jìn)行測試； （7）系統(tǒng)最終上線； （8）維護(hù)人員進(jìn)行系統(tǒng)維護(hù)。 第4條 對于外包合作開發(fā)的項目，應(yīng)加強(qiáng)對外包第三方的監(jiān)控。 第5條 外購調(diào)試或外包合作開發(fā)等需要進(jìn)行招標(biāo)的信息系統(tǒng)開發(fā)項目，應(yīng)按照招標(biāo)程序公平、公正、公開進(jìn)行招標(biāo)。 第6條 信息系統(tǒng)變更歸口管理 信息系統(tǒng)上線后，發(fā)生的功能變更必須經(jīng)過嚴(yán)格審核和審批，具體程序參照信息系統(tǒng)開發(fā)業(yè)務(wù)。 第7條 信息系統(tǒng)維護(hù)歸口管理 1．倡導(dǎo)采用預(yù)防性措施確保計算機(jī)信息系統(tǒng)的持續(xù)運(yùn)行。常見預(yù)防性措施包括但不限于日常檢測、設(shè)立容錯冗余、編制應(yīng)急預(yù)案等。 2．信息系統(tǒng)的日常檢測由信息部維護(hù)主管負(fù)責(zé)，上級主管領(lǐng)導(dǎo)為信息部經(jīng)理和信息總監(jiān)。 3．信息系統(tǒng)發(fā)生故障，應(yīng)由信息部維修主管制定維修方案，交由信息部經(jīng)理和信息總監(jiān)審核與審批后組織人員進(jìn)行維修。 4．信息系統(tǒng)發(fā)生緊急情況，應(yīng)由信息部維修主管制定緊急預(yù)案，交由信息部經(jīng)理和信息總監(jiān)審核與審批后組織人員實施。 第8條 本制度由信息部會同公司其他有關(guān)部門進(jìn)行解釋。 第9條 本制度配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第10條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．2 信息系統(tǒng)開發(fā)變更與維護(hù)規(guī)范 18．2．1 信息系統(tǒng)開發(fā)制度 內(nèi)控制度名稱 信息系統(tǒng)開發(fā)制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 目的 為了防止系統(tǒng)在開發(fā)過程中可能出現(xiàn)錯誤和偏差，確保系統(tǒng)設(shè)計合理、正確，特制定本制度。 第2條 范圍 信息系統(tǒng)開發(fā)包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)維護(hù)與評價五個階段。 第3條 系統(tǒng)規(guī)劃管理 1．系統(tǒng)規(guī)劃管理階段參與人員及分工： （1）信息總監(jiān)做信息系統(tǒng)開發(fā)項目的總體規(guī)劃； （2）信息系統(tǒng)開發(fā)項目經(jīng)理根據(jù)總體規(guī)劃制訂開發(fā)計劃； （3）系統(tǒng)分析員負(fù)責(zé)搜集開發(fā)資料。 2．系統(tǒng)規(guī)劃階段存在的風(fēng)險及應(yīng)對策略： （1）市場競爭風(fēng)險，競爭優(yōu)勢有可能被仿效。應(yīng)對策略是增加自身特色，提高系統(tǒng)的技術(shù)含量和競爭優(yōu)勢； （2）政治、經(jīng)濟(jì)環(huán)境和法律、法規(guī)風(fēng)險。應(yīng)對策略是做詳盡的可行性分析，采用先進(jìn)工具進(jìn)行風(fēng)險控制； （3）缺乏高層領(lǐng)導(dǎo)支持。應(yīng)對策略是培訓(xùn)、溝通、聘請權(quán)威專家講座等。 第4條 系統(tǒng)分析管理 1．系統(tǒng)分析管理階段參與人員及分工： （1）系統(tǒng)分析員進(jìn)行資料分析； （2）終端用戶對系統(tǒng)提出使用要求。 2．系統(tǒng)分析階段存在的風(fēng)險及應(yīng)對策略： （1）不合理的組織結(jié)構(gòu)可能影響項目小組進(jìn)行系統(tǒng)分析的效果。應(yīng)對策略是業(yè)務(wù)流程重組，對內(nèi)部進(jìn)行調(diào)整； （2）用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析工作的工作量。應(yīng)對策略是建立多樣性的溝通渠道，加強(qiáng)溝通。 第5條 系統(tǒng)設(shè)計管理 1．系統(tǒng)設(shè)計管理階段參與人員及分工： （1）系統(tǒng)設(shè)計員進(jìn)行設(shè)計新系統(tǒng)總體結(jié)構(gòu)框架設(shè)計、代碼設(shè)計、數(shù)據(jù)庫設(shè)計、輸入/輸出設(shè)計、處理流程及模塊功能的設(shè)計； （2）數(shù)據(jù)庫管理員根據(jù)數(shù)據(jù)的不同用途、使用要求、統(tǒng)計渠道、安全保密性等，決定數(shù)據(jù)的整體組織形式、表或文件的形式，以及決定數(shù)據(jù)的結(jié)構(gòu)、類別、載體、組織方式、保密等級等一系列的問題。 2．系統(tǒng)設(shè)計階段存在的風(fēng)險及應(yīng)對策略： （1）開發(fā)團(tuán)隊經(jīng)驗不足可能造成信息系統(tǒng)開發(fā)時間過長。應(yīng)對策略是全面考察開發(fā)團(tuán)隊，選擇有經(jīng)驗的開發(fā)人員，并建立有效的監(jiān)督機(jī)制； （2）系統(tǒng)開發(fā)技術(shù)過于復(fù)雜、技術(shù)不成熟或過時用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析工作的工作量。應(yīng)對策略是加強(qiáng)技術(shù)交流，集中精力解決技術(shù)難題，有條件的應(yīng)設(shè)有備選方案。 第6條 系統(tǒng)實施管理 1．系統(tǒng)實施管理階段參與人員及分工： （1）程序設(shè)計員進(jìn)行程序設(shè)計和系統(tǒng)調(diào)試及試運(yùn)行； （2）數(shù)據(jù)庫管理員進(jìn)行數(shù)據(jù)收集，數(shù)據(jù)格式的標(biāo)準(zhǔn)化與規(guī)范化； （3）終端用戶對系統(tǒng)試運(yùn)行效果提出意見和建議。 2．系統(tǒng)實施階段存在的風(fēng)險及應(yīng)對策略： （1）時間和費(fèi)用超出預(yù)算可能造成信息系統(tǒng)開發(fā)成本過高。應(yīng)對策略是編制詳盡、科學(xué)的預(yù)算，加強(qiáng)內(nèi)部成本管理和控制； （2）用戶經(jīng)驗不足可能導(dǎo)致系統(tǒng)功能不完整。應(yīng)對策略是加強(qiáng)教育培訓(xùn)。 第7條 系統(tǒng)維護(hù)與評價管理 1．系統(tǒng)維護(hù)與評價管理階段參與人員及分工： （1）系統(tǒng)維護(hù)人員進(jìn)行日常運(yùn)行維護(hù)和系統(tǒng)的更新維護(hù)； （2）數(shù)據(jù)庫管理員進(jìn)行數(shù)據(jù)庫和代碼維護(hù)。 2．系統(tǒng)維護(hù)與評價階段存在的風(fēng)險及應(yīng)對策略： （1）數(shù)據(jù)是否準(zhǔn)確、安全及保密直接影響信息系統(tǒng)開發(fā)的效果。應(yīng)對策略是進(jìn)行合理的系統(tǒng)設(shè)計，采用防火墻和加密技術(shù)； （2）系統(tǒng)目標(biāo)不明確、缺乏軟件質(zhì)量監(jiān)控可能導(dǎo)致系統(tǒng)功能不健全。應(yīng)對策略是制定明確目標(biāo)，加強(qiáng)質(zhì)量管理。 第8條 本制度由信息部會同公司其他有關(guān)部門進(jìn)行解釋。 第9條 本制度配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第10條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．2．2 信息系統(tǒng)應(yīng)急制度 內(nèi)控制度名稱 信息系統(tǒng)應(yīng)急制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了進(jìn)一步加強(qiáng)信息系統(tǒng)應(yīng)急管理，提高應(yīng)對緊急情況的能力，確保信息系統(tǒng)安全穩(wěn)定地運(yùn)行，特制定本制度。 第2條 信息部應(yīng)成立應(yīng)急管理小組，處理信息系統(tǒng)的突發(fā)事件。 第3條 相關(guān)職責(zé) 1．信息部經(jīng)理職責(zé)： （1）全面領(lǐng)導(dǎo)應(yīng)急管理工作； （2）負(fù)責(zé)信息系統(tǒng)突發(fā)事件總體組織和指揮調(diào)度； （3）協(xié)調(diào)各部門在應(yīng)急管理工作中的分工和工作關(guān)系； （4）組織編制《應(yīng)急操作手冊》。 2．信息部主管職責(zé)： （1）負(fù)責(zé)組織制定應(yīng)急對策； （2）對應(yīng)急管理工作進(jìn)行監(jiān)督和檢查； （3）定期組織有關(guān)人員分析研究應(yīng)急管理工作中出現(xiàn)或可能出現(xiàn)的新情況、新問題； （4）向公司領(lǐng)導(dǎo)匯報情況。 3．信息部應(yīng)急專員職責(zé)： （1）負(fù)責(zé)配合信息部經(jīng)理和主管執(zhí)行應(yīng)急預(yù)案； （2）參與應(yīng)急處理和應(yīng)急演練。 第4條 為應(yīng)付信息系統(tǒng)突發(fā)事件應(yīng)準(zhǔn)備好的各種應(yīng)急物資，主要包括： 1．物質(zhì)資源準(zhǔn)備主要有電源動力，網(wǎng)絡(luò)通信、生產(chǎn)服務(wù)器、數(shù)據(jù)及軟件； 2．人力資源準(zhǔn)備，重要技術(shù)崗位要建立雙人或多人的備份制度； 3．應(yīng)急操作手冊的編寫和維護(hù)； 4．建立重要信息系統(tǒng)例行檢查制度，對機(jī)房環(huán)境、動力電源、防雷系統(tǒng)、網(wǎng)絡(luò)設(shè)備等重要系統(tǒng)應(yīng)每季度全面徹底地檢查一次，保證系統(tǒng)的完好可用。 第5條 應(yīng)急措施實施 1．發(fā)生應(yīng)急事件時，各部門、各崗位要相互支持，相互配合，聽從指揮。 2．應(yīng)急啟動工作流程 （1）操作人員應(yīng)加強(qiáng)監(jiān)控，一旦發(fā)現(xiàn)異常信息，按《應(yīng)急操作手冊》進(jìn)行初步判斷，并立即報告信息部經(jīng)理或主管。 （2）信息部經(jīng)理或主管對情況進(jìn)行判斷，屬于應(yīng)急事件，立即啟動應(yīng)急操作流程。 （3）由操作人員按《機(jī)房操作手冊》規(guī)定的步驟進(jìn)行操作，并隨時向信息部主管報告執(zhí)行結(jié)果。 （4）操作人員處理后未能立即解決，信息部技術(shù)人員應(yīng)第一時間趕赴現(xiàn)場進(jìn)行應(yīng)急處理，并報告信息部經(jīng)理。 （5）短時間內(nèi)能夠解決的問題，則進(jìn)入應(yīng)急恢復(fù)和總結(jié)環(huán)節(jié)。 （6）短時間內(nèi)不能解決的問題，信息科技部經(jīng)理要立即報告信息總監(jiān)。 （7）信息總監(jiān)根據(jù)經(jīng)驗判斷是否立即啟動應(yīng)急流程。 （8）信息總監(jiān)判斷屬于重大信息系統(tǒng)問題，應(yīng)及時將應(yīng)急方案提交總經(jīng)理審批。 （9）信息總監(jiān)組織成立應(yīng)急領(lǐng)導(dǎo)小組，趕赴現(xiàn)場進(jìn)行指揮。 3．應(yīng)急處理工作流程 （1）應(yīng)急領(lǐng)導(dǎo)小組做好應(yīng)急事件的通知和預(yù)告，組織與協(xié)調(diào)各項應(yīng)急處理工作。 （2）參與應(yīng)急處理的各部門應(yīng)統(tǒng)一服從領(lǐng)導(dǎo)指揮，全力配合，做好各項應(yīng)急處理工作。 （3）正常工作時間內(nèi)發(fā)生應(yīng)急事件要求應(yīng)急實施人員5分鐘內(nèi)到達(dá)現(xiàn)場，嚴(yán)格按照《應(yīng)急操作手冊》進(jìn)行應(yīng)急處理。 （4）節(jié)假日、雙休日期間發(fā)生應(yīng)急事件，要求應(yīng)急實施人員60分鐘內(nèi)到達(dá)現(xiàn)場。 （5）信息部應(yīng)急專員應(yīng)嚴(yán)格按照《應(yīng)急操作手冊》所規(guī)定的步驟快捷實施應(yīng)急處理，同時記錄全過程的情況，認(rèn)真采集和整理現(xiàn)場第一手資料，做好故障信息日志的保護(hù)和應(yīng)急過程處理步驟的記錄。 （6）對于應(yīng)急故障處理期間發(fā)生的新問題、新信息，應(yīng)急實施成員應(yīng)及時報告現(xiàn)場總指揮。 （7）對于出現(xiàn)超出《應(yīng)急操作手冊》界定的應(yīng)急事件響應(yīng)條件的，應(yīng)急領(lǐng)導(dǎo)小組應(yīng)組織技術(shù)人員研究分析，迅速提出解決措施。 第6條 應(yīng)急恢復(fù)和總結(jié) 1．應(yīng)急處理結(jié)束后，應(yīng)急實施成員應(yīng)必須盡快恢復(fù)系統(tǒng)運(yùn)行環(huán)境，并進(jìn)行嚴(yán)格的檢查和驗證。 2．信息部相關(guān)人員應(yīng)認(rèn)真總結(jié)應(yīng)急事件發(fā)生的原因、處理過程和經(jīng)驗教訓(xùn)，提出整改措施和方案，形成《應(yīng)急處理總結(jié)報告》，上報信息總監(jiān)和總經(jīng)理。 3．根據(jù)應(yīng)急處理的實際情況對《應(yīng)急操作手冊》進(jìn)行補(bǔ)充和完善。 第7條 本制度由信息部會同公司其他有關(guān)部門進(jìn)行解釋。 第8條 本制度配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第9條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．3 信息系統(tǒng)訪問安全管控規(guī)范 18．3．1 信息授權(quán)使用制度 內(nèi)控制度名稱 信息授權(quán)使用制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了進(jìn)一步加強(qiáng)公司保密信息的管理，降低泄密風(fēng)險，確保信息系統(tǒng)安全穩(wěn)定地運(yùn)行，特制定本制度。 第2條 信息部應(yīng)對所有的重要信息進(jìn)行密級劃分，包括書面形式和電子媒介形式保存的信息。 第3條 信息等級劃分。 1．一級保密信息，適用于一般信息，其遭到破壞和泄漏后，會對公司相關(guān)人員的合法權(quán)益產(chǎn)生損害。 2．二級保密信息，適用于公司各個部門內(nèi)部一般信息，其遭到破壞和泄露后，會對公司相關(guān)部門的合法權(quán)益產(chǎn)生損害。 3．三級保密信息，適用于涉及公司利益的一般信息，其遭到破壞和泄露后，會對公司的相關(guān)交易事項產(chǎn)生負(fù)面影響。 4．四級保密信息，適用于涉及公司利益的重要信息，其遭到破壞和泄露后，會影響公司的絕大多數(shù)交易的進(jìn)行，對公司利益產(chǎn)生嚴(yán)重影響。 5．五級保密信息，適用于涉及公司利益的重大信息，其遭到破壞和泄露后，會影響公司正常運(yùn)營，對公司的整體形象產(chǎn)生嚴(yán)重?fù)p害。 第4條 不同類別信息的授權(quán)使用。 1．一級保密信息必須經(jīng)過信息部主管的簽字同意方可使用。 2．二級保密信息必須經(jīng)過信息部經(jīng)理的簽字同意方可使用。 3．三級保密信息必須經(jīng)過信息部經(jīng)理和相關(guān)部門經(jīng)理的共同簽字同意方可使用。 4．四級保密信息必須經(jīng)過公司財務(wù)總監(jiān)的簽字同意方可使用。 5．五級保密信息必須經(jīng)過公司總經(jīng)理的簽字同意方可使用。 第5條 本制度由信息部會同公司其他有關(guān)部門進(jìn)行解釋。 第6條 本制度配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第7條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．3．2 訪問安全管理制度 內(nèi)控制度名稱 訪問安全管理制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1章 總則 第1條 為了提高公司信息系統(tǒng)的可靠性、穩(wěn)定性、安全性，特制定本制度。 第2條 本制度適合信息部與各用戶部門涉及使用公司信息系統(tǒng)的相關(guān)人員。 第2章 操作人員規(guī)范 第3條 未經(jīng)培訓(xùn)的操作人員禁止使用信息系統(tǒng)。 第4條 公司信息系統(tǒng)中的軟件升級、殺毒、安裝等由信息部統(tǒng)一操作，禁止用戶部門的操作人員擅自進(jìn)行系統(tǒng)軟件的刪除、升級、殺毒、改變及卸載系統(tǒng)軟件版本等。 第5條 信息部工作人員在信息系統(tǒng)中設(shè)置的安全參數(shù)與軟件系統(tǒng)環(huán)境配置等，禁止用戶部門的操作人員修改。 第6條 操作人員離開工作現(xiàn)場時，要鎖定或退出已經(jīng)運(yùn)行的程序，防止他人利用自身賬號操作，否則造成的后果由當(dāng)事人自己承擔(dān)。 第7條 更換操作人員或密碼泄露后，用戶必須及時修改密碼。 第8條 公司信息系統(tǒng)中的信息、數(shù)據(jù)為公司資產(chǎn)，禁止未經(jīng)授權(quán)的操作人員使用存儲介質(zhì)存儲。 第3章 信息部人員安全規(guī)范 第9條 信息部指定人員定期審閱信息系統(tǒng)中的賬號，避免有授權(quán)不當(dāng)或非授權(quán)賬號存在。 第10條 信息部指定人員監(jiān)測各賬號使用信息系統(tǒng)的情況，發(fā)現(xiàn)異常上報信息部經(jīng)理。 第11條 信息系統(tǒng)管理員應(yīng)加強(qiáng)防火墻、路由器等網(wǎng)絡(luò)安全方面管理，防范外網(wǎng)對信息系統(tǒng)造成損害。 第4章 附則 第12條 本制度由信息部會同公司其他有關(guān)部門進(jìn)行解釋。 第13條 本制度配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第14條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．4 硬件管理方法 18．4．1 硬件設(shè)備日常管理辦法 內(nèi)控制度名稱 硬件設(shè)備日常管理辦法 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1章 總則 第1條 為了加強(qiáng)信息系統(tǒng)的硬件管理，保持公司信息系統(tǒng)的穩(wěn)定運(yùn)行，特制定本辦法。 第2條 本辦法適合信息部與各用戶部門涉及使用公司信息系統(tǒng)的相關(guān)人員。 第3條 本辦法所指的硬件是指計算機(jī)的可視章及周邊設(shè)備，包括打印機(jī)、掃描儀、存儲器及網(wǎng)絡(luò)設(shè)備等。 第2章 硬件采購 第4條 硬件設(shè)備的購買申請由使用部門提出并填制“硬件設(shè)備請購單”，“硬件設(shè)備請購單”的內(nèi)容應(yīng)包括：硬件設(shè)備名稱、規(guī)格、型號、單價、總額、主要制造廠商以及購置原因等。 第5條 “硬件設(shè)備請購單”由所在部門經(jīng)理審核后提交至信息部經(jīng)理審批，單件設(shè)備價格在5萬元以上或總批量價格在10萬以上的應(yīng)提交至信息總監(jiān)和總經(jīng)理審核審批。 第6條 總經(jīng)理審批簽字后送交采購部進(jìn)行采購。 第7條 購買的硬件必須經(jīng)信息部相關(guān)人員檢測，以確認(rèn)其符合產(chǎn)品標(biāo)準(zhǔn)，若不符合則由采購人員聯(lián)系廠家退換。 第8條 購買回的硬件需注意保存好其使用說明書、驅(qū)動程序及保修書。 第9條 經(jīng)檢測完好的硬件由信息部人員統(tǒng)一貼上標(biāo)簽。 第10條 所貼標(biāo)簽內(nèi)容： 1．硬件名稱、編號； 2．硬件購買日期； 3．硬件使用部門、人員或保管人。 第3章 硬件的使用 第11條 公司的硬件設(shè)施由授權(quán)人員使用，未經(jīng)授權(quán)人員一律不得使用。 第12條 使用硬件時禁止在硬件周圍抽煙、吃零食、嗑瓜子等，以防對硬件造成污染或損傷。 第13條 未經(jīng)允許禁止移動硬件的位置，移動硬件時需得到信息部的批準(zhǔn)并在信息部的監(jiān)督下移動，否則造成的后果由當(dāng)事人承擔(dān)。 第14條 任何人禁止更換硬件上的標(biāo)簽與硬件的部件，發(fā)現(xiàn)后將按公司相應(yīng)規(guī)定進(jìn)行處罰。 第4章 硬件的保管、報修、維護(hù) 第15條 使用部門需指派專人對硬件進(jìn)行保管，沒有指派專人的，視部門經(jīng)理為保管人。 第16條 硬件保管人因離職、調(diào)動等發(fā)生變化時，信息部工作人員要及時更新信息。 第17條 當(dāng)硬件出現(xiàn)問題時，及時聯(lián)系信息部人員，禁止私自修理、拆卸硬件。 第18條 信息部人員應(yīng)對出現(xiàn)問題的硬件進(jìn)行檢查并聯(lián)系廠商進(jìn)行維修。 第19條 修理或維護(hù)過的硬件由信息部修理或維護(hù)人員與保管人共同填寫并保存“硬件維護(hù)記錄表”，信息部人員需將此條信息記入《硬件管理檔案》并定期由信息部經(jīng)理及運(yùn)營總監(jiān)審核。 第20條 信息部人員應(yīng)定期對硬件進(jìn)行檢查和維護(hù)，以確保其性能穩(wěn)定。 第21條 硬件設(shè)備因老化、損耗及其他原因報廢時，由信息部工作人員進(jìn)行檢測后填寫“硬件報廢單”，經(jīng)審批通過后進(jìn)行報廢處理，同時將信息記入檔案。 第5章 附則 第22條 本辦法由信息部會同公司其他有關(guān)部門進(jìn)行解釋。 第23條 本辦法配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第24條 本辦法自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．4．2 硬件設(shè)備應(yīng)急處理辦法 內(nèi)控制度名稱 硬件設(shè)備應(yīng)急處理辦法 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1章 總則 第1條 為了進(jìn)一步加強(qiáng)信息系統(tǒng)硬件應(yīng)急管理，提高應(yīng)對緊急情況的能力，確保信息系統(tǒng)硬件安全，特制定本辦法。 第2條 信息部應(yīng)成立應(yīng)急管理小組，處理信息系統(tǒng)的突發(fā)事件。 第3條 本辦法所指的硬件是指計算機(jī)的可視章及周邊設(shè)備，包括打印機(jī)、掃描儀、存儲器及網(wǎng)絡(luò)設(shè)備等。 第4條 硬件設(shè)備突發(fā)事件分類： 1．關(guān)鍵設(shè)備或系統(tǒng)的故障； 2．自然災(zāi)害（水、火、電等）造成的物理破壞； 3．人為操作失誤造成的安全事件。 第2章 硬件設(shè)備突發(fā)事件預(yù)防措施 第5條 建立安全、可靠、穩(wěn)定運(yùn)行的機(jī)房環(huán)境，做好防火、防盜、防雷電、防水、防靜電及防塵等工作。 第6條 建立備份電源系統(tǒng)，重要系統(tǒng)采用可靠、穩(wěn)定硬件，進(jìn)行備份等措施，落實數(shù)據(jù)備份機(jī)制，遵守安全操作規(guī)范。 第7條 加強(qiáng)所有人員防火、防盜的基本技能。 第3章 硬件設(shè)備突發(fā)事件應(yīng)急預(yù)案 第8條 辦公室漏水應(yīng)急預(yù)案 1．工作人員發(fā)現(xiàn)機(jī)房漏水后應(yīng)立即通知信息部主管或經(jīng)理。 2．信息部主管或經(jīng)理組織人員檢查房屋及空調(diào)系統(tǒng)，空調(diào)系統(tǒng)漏水應(yīng)及時聯(lián)系設(shè)備供應(yīng)方進(jìn)行處理。 3．墻體或窗戶滲漏水，應(yīng)立即通知行政部，及時清除積水，進(jìn)行墻體或窗戶維修，避免不必要的損失。 第9條 發(fā)生被盜或人為損害事件應(yīng)急預(yù)案 1．使用者發(fā)現(xiàn)設(shè)備被盜或有人為損害設(shè)備情況時，應(yīng)立即報告信息部主管并保護(hù)好現(xiàn)場。 2．信息部主管組織人員勘察現(xiàn)場，確屬盜竊案件應(yīng)立即通知公安部門，清點(diǎn)被盜物資或盤查人為損害情況，做好必要的影像記錄和文字記錄。 3．使用部門人員應(yīng)積極配合公安部門進(jìn)行調(diào)查，并將有關(guān)情況向信息部經(jīng)理匯報。 第10條 辦公室長時間停電應(yīng)急預(yù)案 1．接到長時間停電通知后，信息部經(jīng)理應(yīng)根據(jù)停電時間、電池電能貯備、供電管理部門信息、網(wǎng)絡(luò)和信息運(yùn)行情況等及時通知公司各部門人員，并告知在停電前停止業(yè)務(wù)、保存數(shù)據(jù)。 2．信息部經(jīng)理應(yīng)及時通知行政部啟動備用發(fā)電設(shè)備，保證工作正常進(jìn)行且業(yè)務(wù)數(shù)據(jù)不丟失。 第11條 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案 1．發(fā)生通信線路中斷、路由器故障、流量異常等情況，操作人員應(yīng)及時報告信息部經(jīng)理。 2．信息部經(jīng)理組織人員及時查清通信網(wǎng)絡(luò)故障位置，通知相關(guān)通信網(wǎng)絡(luò)運(yùn)營商進(jìn)行維修，同時切斷故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接。 3．相關(guān)技術(shù)人員配合維修人員逐步恢復(fù)故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接，恢復(fù)通信網(wǎng)絡(luò)。 4．信息部經(jīng)理負(fù)責(zé)編制故障分析報告，上報信息總監(jiān)和總經(jīng)理。 第12條 核心設(shè)備硬件故障應(yīng)急預(yù)案 1．發(fā)生核心設(shè)備硬件故障后，信息部經(jīng)理應(yīng)組織人員查找故障設(shè)備及故障原因，并進(jìn)行先期處理。 2．故障設(shè)備在短時間內(nèi)無法修復(fù)，應(yīng)啟動備份設(shè)備保持系統(tǒng)正常運(yùn)行。 3．聯(lián)系相關(guān)廠商， 相關(guān)人員應(yīng)填寫設(shè)備故障報告單備查。 4．故障排除后，信息部主管應(yīng)在合適時間替換備用設(shè)備。 第13條 自然災(zāi)害事故應(yīng)急預(yù)案 1．遇到暴雨雷鳴天氣時，信息部應(yīng)及時關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計算機(jī)網(wǎng)絡(luò)工作。 2．暴風(fēng)雨天氣結(jié)束后，信息部應(yīng)對各部門的硬件設(shè)備進(jìn)行檢查，若出現(xiàn)故障，應(yīng)及時進(jìn)行維修或通知廠家修理。 第4章 附則 第14條 本辦法由信息部會同公司其他有關(guān)部門負(fù)責(zé)解釋。 第15條 本辦法配套辦法由信息部會同公司其他有關(guān)部門另行制定。 第16條 本辦法自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．5 會計信息化管控規(guī)范 18．5．1 信息化會計檔案管理制度 內(nèi)控制度名稱 信息化會計檔案管理制度 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了保證會計信息化工作的順利開展，保障信息化會計檔案的安全與完整，現(xiàn)根據(jù)國家相關(guān)法規(guī)，結(jié)合本公司實際情況，制定本制度。 第2條 本制度所指的會計信息化是指利用計算機(jī)信息技術(shù)代替人工進(jìn)行財務(wù)信息處理，以及替代章由人工完成的對會計信息進(jìn)行分析和判斷的過程。 第3條 本制度所指的信息化會計檔案是指存儲在磁性介質(zhì)或光盤介質(zhì)的會計數(shù)據(jù)和計算機(jī)打印出來的書面等形式的會計數(shù)據(jù)，包括記賬憑證、會計賬簿、會計報表（包括報表格式和計算公式）等數(shù)據(jù)。 1．會計憑證類數(shù)據(jù)：原始憑證、記賬憑證、匯總憑證、其他會計憑證。 2．會計賬簿類數(shù)據(jù)：總賬、明細(xì)賬、日記賬、固定資產(chǎn)卡片、輔助賬簿、其他會計賬簿。 3．財務(wù)報告類數(shù)據(jù)：季度、年度財務(wù)報告，包括會計報表、附表、附注及財務(wù)情況說明書、其他財務(wù)報告。 4．其他類數(shù)據(jù)：銀行存款余額調(diào)節(jié)表、銀行對賬單、其他應(yīng)當(dāng)保存的會計核算專業(yè)資料、會計檔案移交清冊、會計檔案保管清冊、會計檔案銷毀清冊。 第4條 電算審查人員負(fù)責(zé)信息化會計檔案的管理，其日常工作歸會計信息主管（一般由會計主管兼任）監(jiān)督檢查。 第5條 信息化會計檔案按會計檔案管理的規(guī)定執(zhí)行，會計電算化系統(tǒng)開發(fā)的全套文件檔案資料視同會計檔案進(jìn)行管理，保存期限為截止系統(tǒng)停止使用或重大更改后3年。 第6條 存儲于磁帶、磁盤等磁介質(zhì)中的資料（包括會計憑證、科目余額、科目名稱及編碼、會計電算化的取數(shù)公式、計算公式等程序或數(shù)據(jù)資料），在沒有打印成書面文件之前要妥善保管，在有關(guān)資料已有書面文件的前提下，軟盤儲存文件的保存期為2年以上。 第7條 信息化會計檔案的存放要做到防消磁、防火、防潮、防盜、防塵、防高溫、防蟲害；會計數(shù)據(jù)的備份軟盤要存放在兩個不同的地點(diǎn)，并定期復(fù)制。 第8條 本制度由財務(wù)部會同公司其他有關(guān)部門解釋。 第9條 本制度配套辦法由財務(wù)部會同公司其他有關(guān)部門另行制定。 第10條 本制度自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．5．2 會計信息化操作管理辦法 內(nèi)控制度名稱 會計信息化操作管理辦法 執(zhí)行部門 內(nèi)控制度編號 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了提高財務(wù)部門的工作效率，減少會計信息化帶來的風(fēng)險，特制定本辦法。 第2條 本辦法適用于財務(wù)部門所有人員。 第3條 本辦法所指的會計信息化是指利用計算機(jī)信息技術(shù)代替人工進(jìn)行財務(wù)信息處理，以及替代章由人工完成的對會計信息進(jìn)行分析和判斷的過程。 第4條 本辦法所指的信息化會計檔案是指存儲在磁性介質(zhì)或光盤介質(zhì)的會計數(shù)據(jù)和計算機(jī)打印出來的書面等形式的會計數(shù)據(jù)，包括記賬憑證、會計賬簿、會計報表（包括報表格式和計算公式）等數(shù)據(jù)。 第5條 財務(wù)部的計算機(jī)只允許用作公司的會計、財務(wù)工作，禁止在計算機(jī)上聊天、打游戲等。 第6條 財務(wù)部的計算機(jī)專人專用，禁止交叉使用。 第7條 公司會計信息的錄入由專人負(fù)責(zé)，被指派人員保管好自己的賬號與密碼，嚴(yán)防泄露。 第8條 會計搜集的原始憑證在錄入計算機(jī)之前必須經(jīng)由審核人員審核，審核人員做好審核記錄。 第9條 會計在計算機(jī)上編制好記賬憑證時，由審核人員上機(jī)審核并做好審核記錄。 第10條 會計打印處的賬表由財務(wù)部經(jīng)理負(fù)責(zé)審核，定期報送財務(wù)總監(jiān)審核。 第11條 財務(wù)每次使用計算機(jī)時必須使用不間斷的電源，防止因斷電導(dǎo)致核心數(shù)據(jù)丟失。 第12條 財務(wù)人員在每次下班前需將系統(tǒng)備份，防止數(shù)據(jù)丟失。 第13條 財務(wù)人員經(jīng)過授權(quán)后定期將系統(tǒng)中的會計信息備份，存儲于其他介質(zhì)中保存好。 第14條 未經(jīng)授權(quán)不得對會計軟件進(jìn)行修改、升級或更換硬件，否則造成的后果由當(dāng)事人承擔(dān)。 第15條 負(fù)責(zé)保管信息化會計檔案的人員需定期檢查，做好防火、防塵和防潮工作，防止存儲介質(zhì)損壞導(dǎo)致會計檔案丟失。 第16條 本辦法由財務(wù)部會同公司其他有關(guān)部門進(jìn)行解釋。 第17條 本辦法的配套辦法由財務(wù)部會同公司其他有關(guān)部門另行制定。 第18條 本辦法自 年 月 日起實施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．6 信息系統(tǒng)一般控制相關(guān)文件資料 18．6．1 信息密級劃分表 信息密級劃分表 信息等級 適用情況 內(nèi)容 一級 一般信息 遭到破壞和泄露后，會對公司相關(guān)人員的合法權(quán)益產(chǎn)生損害 二級 公司各部門內(nèi)部的一般信息 遭到破壞和泄露后，會對公司相關(guān)部門的合法權(quán)益產(chǎn)生損害 三級 涉及公司利益的一般信息 遭到破壞和泄露后，會對公司的相關(guān)交易事項產(chǎn)生負(fù)面影響 四級 涉及公司利益的重要信息 遭到破壞和泄露后，會影響公司的絕大多數(shù)交易的進(jìn)行，對公司利益產(chǎn)生嚴(yán)重影響 五級 涉及公司利益的重大信息 遭到破壞和泄露后，會影響公司正常運(yùn)營，對公司的整體形象產(chǎn)生嚴(yán)重?fù)p害 18．6．2 災(zāi)難恢復(fù)計劃書 內(nèi)控文本名稱 災(zāi)難恢復(fù)計劃書 內(nèi)控文本編號 文本受控狀態(tài) 一、定義 本計劃書所稱災(zāi)難恢復(fù)為信息系統(tǒng)災(zāi)難恢復(fù)。災(zāi)難恢復(fù)計劃包括：災(zāi)難備份系統(tǒng)實施、災(zāi)難備份中心的建設(shè)與運(yùn)行維護(hù)、災(zāi)難恢復(fù)預(yù)案管理、應(yīng)急響應(yīng)和恢復(fù)。 二、組織機(jī)構(gòu)及其職責(zé) 1．總經(jīng)理或信息總監(jiān)為信息系統(tǒng)災(zāi)難恢復(fù)工作的責(zé)任人，負(fù)責(zé)災(zāi)難恢復(fù)需求分析和策略制訂。 2．董事會參與制訂和審核災(zāi)難恢復(fù)策略，保證災(zāi)難恢復(fù)策略與經(jīng)營目標(biāo)的一致性。 3．災(zāi)難恢復(fù)的組織機(jī)構(gòu)由信息部的管理、業(yè)務(wù)、技術(shù)等相關(guān)人員組成。 4．信息部總監(jiān)負(fù)責(zé)災(zāi)難恢復(fù)預(yù)案的審批、維護(hù)和演練，負(fù)責(zé)資源準(zhǔn)備和經(jīng)費(fèi)審批。 5．信息部經(jīng)理負(fù)責(zé)災(zāi)難備份中心的日常運(yùn)行和管理。 6．信息部主管負(fù)責(zé)災(zāi)難恢復(fù)預(yù)案的制訂、災(zāi)難備份中心的日常運(yùn)行和維護(hù)。 7．信息部專員負(fù)責(zé)災(zāi)難備份中心的日常運(yùn)行和維護(hù)。 三、災(zāi)難等級 1．第一類：信息系統(tǒng)短時間中斷會影響公司的關(guān)鍵業(yè)務(wù)的進(jìn)行，并造成重大經(jīng)濟(jì)損失。 2．第二類：信息系統(tǒng)短時間中斷會影響公司章業(yè)務(wù)的正常進(jìn)行，并造成較大經(jīng)濟(jì)損失。 3．第三類：信息系統(tǒng)短時間中斷會影響公司某個或某些部門業(yè)務(wù)的正常進(jìn)行，可能造成間接損失。 四、災(zāi)難恢復(fù)的目標(biāo)要求 1．第一類災(zāi)難等級恢復(fù)要求： （1）第四級電子傳輸及完整設(shè)備支持； （2）RTO≤36小時，RPO≤8小時。 2．第二類災(zāi)難等級恢復(fù)要求： （1）第三級電子傳輸和章設(shè)備支持； （2）RTO≤72小時，RPO≤24小時。 3．第三類災(zāi)難等級恢復(fù)要求： （1）第二級備用場地支持； （2）RTO≤7天，RPO≤36小時。 五、災(zāi)難備份系統(tǒng)實施要求 1．建立數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)，技術(shù)方案中所涉及的系統(tǒng)應(yīng)獲得同信息系統(tǒng)相當(dāng)?shù)陌踩Ｗo(hù)，具有可擴(kuò)展性。 2．應(yīng)確保技術(shù)方案滿足災(zāi)難恢復(fù)策略的要求，組織開展災(zāi)難恢復(fù)技術(shù)方案和業(yè)務(wù)功能恢復(fù)的測試，并記錄和保存測試結(jié)果，以保證災(zāi)難恢復(fù)時最終用戶能正常使用災(zāi)難備份系統(tǒng)。 3．應(yīng)充分考慮到災(zāi)難備份系統(tǒng)的處理能力、存儲容量、網(wǎng)絡(luò)寬帶能否滿足業(yè)務(wù)運(yùn)作要求。 4．應(yīng)建立災(zāi)難備份系統(tǒng)的技術(shù)支持體系。 六、災(zāi)難備份中心的運(yùn)行維護(hù) 1．建立完善的災(zāi)難備份中心運(yùn)行維護(hù)管理制度和流程，包括：災(zāi)難備份的流程和管理制度，災(zāi)難備份中心機(jī)房的管理制度，硬件系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件的運(yùn)行管理制度，災(zāi)難備份中心信息安全管理制度，災(zāi)難備份系統(tǒng)的變更管理流程，災(zāi)難恢復(fù)預(yù)案以及相關(guān)技術(shù)手冊的保管、分發(fā)、更新和備案制度等。 2．災(zāi)難備份中心專業(yè)運(yùn)行維護(hù)隊伍包括基礎(chǔ)設(shè)施和災(zāi)難備份系統(tǒng)運(yùn)行維護(hù)及技術(shù)支持人員，保障設(shè)備和系統(tǒng)正常穩(wěn)定地運(yùn)行。 3．定期檢測維護(hù)災(zāi)難恢復(fù)設(shè)施，保持備份數(shù)據(jù)的一致性、可用性和完整性，保障數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)在災(zāi)難恢復(fù)和運(yùn)行階段的正常運(yùn)作，保障能夠提供切換和運(yùn)行時的技術(shù)支持。 4．支持關(guān)鍵業(yè)務(wù)功能恢復(fù)的災(zāi)難備份中心應(yīng)實行724小時監(jiān)控。記錄災(zāi)難備份系統(tǒng)運(yùn)行過程中輸出的相應(yīng)記錄表單與統(tǒng)計信息；記錄機(jī)房環(huán)境、系統(tǒng)運(yùn)行和網(wǎng)絡(luò)狀態(tài)等監(jiān)控信息。 七、災(zāi)難恢復(fù)預(yù)案 1．災(zāi)難預(yù)案的內(nèi)容應(yīng)包含：災(zāi)難恢復(fù)組織機(jī)構(gòu)各工作崗位的職責(zé)、災(zāi)難恢復(fù)的整個過程以及災(zāi)難恢復(fù)所需的資料和配套資源等。預(yù)案的結(jié)構(gòu)、內(nèi)容和步驟清晰明確，適合在緊急情況下使用等內(nèi)容。 2．應(yīng)加強(qiáng)災(zāi)難恢復(fù)預(yù)案與其他應(yīng)急預(yù)案體系的有機(jī)結(jié)合。 3．災(zāi)難恢復(fù)預(yù)案應(yīng)按照由模擬到實際、從易到難、從局部到整體的原則進(jìn)行測試和演練，及時總結(jié)評估，完善災(zāi)難恢復(fù)預(yù)案，通過演練使得相關(guān)人員熟悉災(zāi)難恢復(fù)操作及流程。 4．信息部應(yīng)定期組織開展災(zāi)難恢復(fù)預(yù)案的演練工作。災(zāi)難恢復(fù)預(yù)案每年至少演練一次，演練類型分為模擬演練、實戰(zhàn)演練、章演練和全面演練。 5．演練工作文檔應(yīng)包含演練計劃、現(xiàn)場記錄和結(jié)論評估，演練工作文檔應(yīng)存檔保管。 八、應(yīng)急響應(yīng)和災(zāi)難恢復(fù) 1．信息部應(yīng)建立科學(xué)的災(zāi)難預(yù)警機(jī)制，在信息系統(tǒng)發(fā)生緊急事件后，應(yīng)建立應(yīng)急指揮中心，統(tǒng)一領(lǐng)導(dǎo)、協(xié)調(diào)和指揮所有應(yīng)急響應(yīng)工作，加強(qiáng)信息溝通和跨部門協(xié)調(diào)，提高機(jī)構(gòu)整體的應(yīng)急響應(yīng)和應(yīng)急處置能力；組織災(zāi)難恢復(fù)專業(yè)人員盡快對事件進(jìn)行響應(yīng)和評估；采取相應(yīng)的風(fēng)險處置和彌補(bǔ)措施，降低可能造成的損失，防范事態(tài)惡化；根據(jù)對緊急事件的處置和評估結(jié)果，決策是否對災(zāi)難備份中心發(fā)出災(zāi)難預(yù)警。 2．公司應(yīng)加強(qiáng)媒體公關(guān)和客戶服務(wù)工作，避免造成惡劣的社會影響。發(fā)生重大災(zāi)難事件，應(yīng)根據(jù)有關(guān)要求，及時向董事會報告。 3．災(zāi)難恢復(fù)工作人員應(yīng)根據(jù)災(zāi)難恢復(fù)預(yù)案執(zhí)行相關(guān)的指揮和操作工作，并及時跟蹤事態(tài)變化和恢復(fù)進(jìn)程，加強(qiáng)溝通，加強(qiáng)恢復(fù)工作的統(tǒng)一指揮和管理。 4．公司應(yīng)保證并合理配置恢復(fù)所需的各項資源，確保災(zāi)難恢復(fù)工作的順利實施。 5．應(yīng)明確信息系統(tǒng)的重建方案，在進(jìn)行信息系統(tǒng)重建前應(yīng)評估災(zāi)難造成的損失。 6．災(zāi)難恢復(fù)之后，應(yīng)及時組織相關(guān)人員進(jìn)行總結(jié)，修訂災(zāi)難恢復(fù)策略和災(zāi)難恢復(fù)預(yù)案。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期