公司內(nèi)部控制規(guī)范-信息系統(tǒng)一般控制.doc

《公司內(nèi)部控制規(guī)范-信息系統(tǒng)一般控制.doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《公司內(nèi)部控制規(guī)范-信息系統(tǒng)一般控制.doc（21頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第18部分 公司內(nèi)部控制規(guī)范——信息系統(tǒng)一般控制 18．1 崗位責(zé)任與授權(quán)審批制度 18．1．1 計(jì)算機(jī)信息系統(tǒng)崗位責(zé)任制度 內(nèi)控制度名稱 計(jì)算機(jī)信息系統(tǒng)崗位責(zé)任制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 目的 為了明確計(jì)算機(jī)信息系統(tǒng)相關(guān)部門及崗位的職責(zé)、權(quán)限，確保計(jì)算機(jī)信息系統(tǒng)管理不相容崗位相互分離、相互制約和監(jiān)督，特制定本制度。 第2條 范圍 計(jì)算機(jī)信息系統(tǒng)管理的崗位一般包括：系統(tǒng)分析、編程、測(cè)試、程序管理、數(shù)據(jù)庫(kù)管理、數(shù)據(jù)控制和終端操作。 第3條 不相容崗位 1．系統(tǒng)開(kāi)發(fā)和變更過(guò)程中不相容崗位一般應(yīng)包括：開(kāi)發(fā)立項(xiàng)、審批、編程、測(cè)試。 2．系統(tǒng)訪問(wèn)過(guò)程中不相容崗位一般應(yīng)包括：申請(qǐng)、審批、操作、監(jiān)控。 第2章 崗位責(zé)任 第4條 董事會(huì) 董事會(huì)的主要職責(zé)包括： 1．審議計(jì)算機(jī)信息系統(tǒng)戰(zhàn)略規(guī)劃； 2．審議重要信息系統(tǒng)政策； 3．審議重大信息系統(tǒng)立項(xiàng)申請(qǐng)。 第5條 總經(jīng)理 總經(jīng)理的主要職責(zé)包括： 1．審核計(jì)算機(jī)信息系統(tǒng)戰(zhàn)略規(guī)劃； 2．審核重要信息系統(tǒng)政策； 3．審批一般信息系統(tǒng)政策； 4．審核和審批信息系統(tǒng)立項(xiàng)申請(qǐng)。 第6條 信息總監(jiān) 信息總監(jiān)的主要職責(zé)包括： 1．制定公司信息管理戰(zhàn)略規(guī)劃，報(bào)總經(jīng)理和董事會(huì)審批； 2．審核信息系統(tǒng)立項(xiàng)申請(qǐng)； 3．組織進(jìn)行信息系統(tǒng)的開(kāi)發(fā)； 4．組織人員對(duì)信息系統(tǒng)的開(kāi)發(fā)結(jié)果進(jìn)行測(cè)試； 5．推廣并不斷完善公司信息化系統(tǒng)，推進(jìn)公司信息化管理步伐； 6．引進(jìn)或組織開(kāi)發(fā)公司信息化管理系統(tǒng)，實(shí)現(xiàn)辦公自動(dòng)化； 7．推動(dòng)信息系統(tǒng)的建設(shè)與維護(hù)，保證公司內(nèi)無(wú)紙化辦公。 第7條 信息部經(jīng)理 信息部經(jīng)理的主要職責(zé)包括： 1．根據(jù)公司發(fā)展戰(zhàn)略及經(jīng)營(yíng)計(jì)劃編制部門發(fā)展規(guī)劃及工作計(jì)劃，上報(bào)領(lǐng)導(dǎo)審批后組織實(shí)施； 2．主持信息管理軟件平臺(tái)的開(kāi)發(fā)、應(yīng)用、監(jiān)督和管理； 3．負(fù)責(zé)制定公司網(wǎng)絡(luò)、計(jì)算機(jī)管理的各項(xiàng)規(guī)章制度，上報(bào)領(lǐng)導(dǎo)審批后貫徹實(shí)施； 4．監(jiān)督、檢查制度的執(zhí)行情況，適時(shí)修訂、完善各項(xiàng)制度； 5．組織進(jìn)行信息系統(tǒng)項(xiàng)目的立項(xiàng)申請(qǐng)工作； 6．進(jìn)行信息系統(tǒng)的分析和開(kāi)發(fā)； 7．組織人員進(jìn)行信息系統(tǒng)開(kāi)發(fā)編程工作； 8．協(xié)調(diào)有關(guān)職能部門，安排人員進(jìn)行相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持，對(duì)安裝調(diào)試中出現(xiàn)的各種問(wèn)題提出處理意見(jiàn)，并協(xié)助其妥善解決； 9．及時(shí)編制系統(tǒng)幫助手冊(cè)，經(jīng)領(lǐng)導(dǎo)審批后，及時(shí)下發(fā)到相關(guān)部門； 10．信息化系統(tǒng)在使用過(guò)程中，安排人員為各職能部門和子公司提供技術(shù)指導(dǎo)，促進(jìn)系統(tǒng)操作技術(shù)的有效運(yùn)用； 11．全面掌握各種交換機(jī)設(shè)備和服務(wù)器的安裝、配制技術(shù)，管理交換機(jī)設(shè)備和服務(wù)器密碼，處理各種網(wǎng)絡(luò)設(shè)備的突發(fā)故障； 12．進(jìn)行程序管理和數(shù)據(jù)庫(kù)管理以及數(shù)據(jù)控制。 第8條 信息部主管 信息部主管的主要職責(zé)包括： 1．參與編制部門發(fā)展規(guī)劃及工作計(jì)劃； 2．參與信息系統(tǒng)立項(xiàng)申請(qǐng)工作； 3．組織維護(hù)公司服務(wù)器的正常運(yùn)行； 4．負(fù)責(zé)公司硬件設(shè)施、網(wǎng)絡(luò)設(shè)備的維修管理； 5．組織對(duì)設(shè)備電路及系統(tǒng)進(jìn)行日常維護(hù)、定期檢修測(cè)試和故障處理，保證設(shè)備、電路、系統(tǒng)及網(wǎng)絡(luò)運(yùn)行正常、完好； 6．參與信息系統(tǒng)立項(xiàng)申請(qǐng)； 7．參與進(jìn)行信息系統(tǒng)的分析和開(kāi)發(fā)； 8．進(jìn)行信息系統(tǒng)開(kāi)發(fā)編程盒測(cè)試工作； 9．進(jìn)行相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持； 10．進(jìn)行程序管理和數(shù)據(jù)庫(kù)管理以及數(shù)據(jù)控制。 第9條 信息部專員 信息部專員的主要職責(zé)包括： 1．為信息系統(tǒng)立項(xiàng)申請(qǐng)搜集資料，進(jìn)行調(diào)研； 2．參與進(jìn)行信息系統(tǒng)的分析和開(kāi)發(fā)； 3．參與信息系統(tǒng)開(kāi)發(fā)編程和測(cè)試工作； 4．參與進(jìn)行相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持； 5．對(duì)設(shè)備電路及系統(tǒng)進(jìn)行日常維護(hù)、定期檢修測(cè)試和故障處理。 第10條 信息系統(tǒng)使用部門 信息系統(tǒng)使用部門的主要職責(zé)包括： 1．參與制定信息系統(tǒng)戰(zhàn)略規(guī)劃； 2．參與制定重要信息系統(tǒng)政策； 3．負(fù)責(zé)記錄交易內(nèi)容，授權(quán)處理數(shù)據(jù)，并利用系統(tǒng)輸出的結(jié)果； 4．接受信息部關(guān)于信息系統(tǒng)操作的培訓(xùn)； 5．信息系統(tǒng)出現(xiàn)故障時(shí)，向信息部提出維修申請(qǐng)； 6．部門經(jīng)理負(fù)責(zé)信息系統(tǒng)操作申請(qǐng)的審批； 7．部門主管或經(jīng)理負(fù)責(zé)對(duì)內(nèi)部人員操作情況進(jìn)行監(jiān)控。 第3章 附則 第11條 本制度由信息部會(huì)同公司其他有關(guān)部門解釋。 第12條 本制度配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第13條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．1．2 計(jì)算機(jī)信息系統(tǒng)歸口管理制度 內(nèi)控制度名稱 計(jì)算機(jī)信息系統(tǒng)歸口管理制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 目的 為了加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的管理工作，規(guī)范歸口管理部門的業(yè)務(wù)內(nèi)容，特制定本制度。 第2條 范圍 計(jì)算機(jī)信息系統(tǒng)歸口管理的業(yè)務(wù)一般包括：信息系統(tǒng)開(kāi)發(fā)、變更和維護(hù)等工作。 第3條 信息系統(tǒng)開(kāi)發(fā)歸口管理 1．計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)包括自行設(shè)計(jì)、外購(gòu)調(diào)試和外包合作開(kāi)發(fā)。 2．在開(kāi)發(fā)信息系統(tǒng)時(shí)，應(yīng)當(dāng)充分考慮業(yè)務(wù)和信息的集成性，優(yōu)化流程，并將相應(yīng)的交易權(quán)限嵌入到系統(tǒng)程序中，預(yù)防、檢查、糾正錯(cuò)誤和舞弊行為，確保業(yè)務(wù)活動(dòng)的真實(shí)性、合法性和效益性。 3．信息系統(tǒng)開(kāi)發(fā)業(yè)務(wù)由信息部信息系統(tǒng)開(kāi)發(fā)主管負(fù)責(zé)，上級(jí)主管領(lǐng)導(dǎo)為信息部經(jīng)理和信息總監(jiān)。 4．信息系統(tǒng)開(kāi)發(fā)必須經(jīng)過(guò)正式授權(quán)。具體程序包括： （1）用戶部門提出需求； （2）信息部經(jīng)理和信息總監(jiān)進(jìn)行審核； （3）總經(jīng)理和董事會(huì)（超過(guò)100萬(wàn)元的項(xiàng)目由董事會(huì)審批）審批通過(guò)后交由信息部進(jìn)行開(kāi)發(fā)； （4）系統(tǒng)分析人員設(shè)計(jì)方案； （5）程序員編寫(xiě)代碼； （6）測(cè)試員進(jìn)行測(cè)試； （7）系統(tǒng)最終上線； （8）維護(hù)人員進(jìn)行系統(tǒng)維護(hù)。 第4條 對(duì)于外包合作開(kāi)發(fā)的項(xiàng)目，應(yīng)加強(qiáng)對(duì)外包第三方的監(jiān)控。 第5條 外購(gòu)調(diào)試或外包合作開(kāi)發(fā)等需要進(jìn)行招標(biāo)的信息系統(tǒng)開(kāi)發(fā)項(xiàng)目，應(yīng)按照招標(biāo)程序公平、公正、公開(kāi)進(jìn)行招標(biāo)。 第6條 信息系統(tǒng)變更歸口管理 信息系統(tǒng)上線后，發(fā)生的功能變更必須經(jīng)過(guò)嚴(yán)格審核和審批，具體程序參照信息系統(tǒng)開(kāi)發(fā)業(yè)務(wù)。 第7條 信息系統(tǒng)維護(hù)歸口管理 1．倡導(dǎo)采用預(yù)防性措施確保計(jì)算機(jī)信息系統(tǒng)的持續(xù)運(yùn)行。常見(jiàn)預(yù)防性措施包括但不限于日常檢測(cè)、設(shè)立容錯(cuò)冗余、編制應(yīng)急預(yù)案等。 2．信息系統(tǒng)的日常檢測(cè)由信息部維護(hù)主管負(fù)責(zé)，上級(jí)主管領(lǐng)導(dǎo)為信息部經(jīng)理和信息總監(jiān)。 3．信息系統(tǒng)發(fā)生故障，應(yīng)由信息部維修主管制定維修方案，交由信息部經(jīng)理和信息總監(jiān)審核與審批后組織人員進(jìn)行維修。 4．信息系統(tǒng)發(fā)生緊急情況，應(yīng)由信息部維修主管制定緊急預(yù)案，交由信息部經(jīng)理和信息總監(jiān)審核與審批后組織人員實(shí)施。 第8條 本制度由信息部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第9條 本制度配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第10條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．2 信息系統(tǒng)開(kāi)發(fā)變更與維護(hù)規(guī)范 18．2．1 信息系統(tǒng)開(kāi)發(fā)制度 內(nèi)控制度名稱 信息系統(tǒng)開(kāi)發(fā)制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 目的 為了防止系統(tǒng)在開(kāi)發(fā)過(guò)程中可能出現(xiàn)錯(cuò)誤和偏差，確保系統(tǒng)設(shè)計(jì)合理、正確，特制定本制度。 第2條 范圍 信息系統(tǒng)開(kāi)發(fā)包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)維護(hù)與評(píng)價(jià)五個(gè)階段。 第3條 系統(tǒng)規(guī)劃管理 1．系統(tǒng)規(guī)劃管理階段參與人員及分工： （1）信息總監(jiān)做信息系統(tǒng)開(kāi)發(fā)項(xiàng)目的總體規(guī)劃； （2）信息系統(tǒng)開(kāi)發(fā)項(xiàng)目經(jīng)理根據(jù)總體規(guī)劃制訂開(kāi)發(fā)計(jì)劃； （3）系統(tǒng)分析員負(fù)責(zé)搜集開(kāi)發(fā)資料。 2．系統(tǒng)規(guī)劃階段存在的風(fēng)險(xiǎn)及應(yīng)對(duì)策略： （1）市場(chǎng)競(jìng)爭(zhēng)風(fēng)險(xiǎn)，競(jìng)爭(zhēng)優(yōu)勢(shì)有可能被仿效。應(yīng)對(duì)策略是增加自身特色，提高系統(tǒng)的技術(shù)含量和競(jìng)爭(zhēng)優(yōu)勢(shì)； （2）政治、經(jīng)濟(jì)環(huán)境和法律、法規(guī)風(fēng)險(xiǎn)。應(yīng)對(duì)策略是做詳盡的可行性分析，采用先進(jìn)工具進(jìn)行風(fēng)險(xiǎn)控制； （3）缺乏高層領(lǐng)導(dǎo)支持。應(yīng)對(duì)策略是培訓(xùn)、溝通、聘請(qǐng)權(quán)威專家講座等。 第4條 系統(tǒng)分析管理 1．系統(tǒng)分析管理階段參與人員及分工： （1）系統(tǒng)分析員進(jìn)行資料分析； （2）終端用戶對(duì)系統(tǒng)提出使用要求。 2．系統(tǒng)分析階段存在的風(fēng)險(xiǎn)及應(yīng)對(duì)策略： （1）不合理的組織結(jié)構(gòu)可能影響項(xiàng)目小組進(jìn)行系統(tǒng)分析的效果。應(yīng)對(duì)策略是業(yè)務(wù)流程重組，對(duì)內(nèi)部進(jìn)行調(diào)整； （2）用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析工作的工作量。應(yīng)對(duì)策略是建立多樣性的溝通渠道，加強(qiáng)溝通。 第5條 系統(tǒng)設(shè)計(jì)管理 1．系統(tǒng)設(shè)計(jì)管理階段參與人員及分工： （1）系統(tǒng)設(shè)計(jì)員進(jìn)行設(shè)計(jì)新系統(tǒng)總體結(jié)構(gòu)框架設(shè)計(jì)、代碼設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)、輸入/輸出設(shè)計(jì)、處理流程及模塊功能的設(shè)計(jì)； （2）數(shù)據(jù)庫(kù)管理員根據(jù)數(shù)據(jù)的不同用途、使用要求、統(tǒng)計(jì)渠道、安全保密性等，決定數(shù)據(jù)的整體組織形式、表或文件的形式，以及決定數(shù)據(jù)的結(jié)構(gòu)、類別、載體、組織方式、保密等級(jí)等一系列的問(wèn)題。 2．系統(tǒng)設(shè)計(jì)階段存在的風(fēng)險(xiǎn)及應(yīng)對(duì)策略： （1）開(kāi)發(fā)團(tuán)隊(duì)經(jīng)驗(yàn)不足可能造成信息系統(tǒng)開(kāi)發(fā)時(shí)間過(guò)長(zhǎng)。應(yīng)對(duì)策略是全面考察開(kāi)發(fā)團(tuán)隊(duì)，選擇有經(jīng)驗(yàn)的開(kāi)發(fā)人員，并建立有效的監(jiān)督機(jī)制； （2）系統(tǒng)開(kāi)發(fā)技術(shù)過(guò)于復(fù)雜、技術(shù)不成熟或過(guò)時(shí)用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析工作的工作量。應(yīng)對(duì)策略是加強(qiáng)技術(shù)交流，集中精力解決技術(shù)難題，有條件的應(yīng)設(shè)有備選方案。 第6條 系統(tǒng)實(shí)施管理 1．系統(tǒng)實(shí)施管理階段參與人員及分工： （1）程序設(shè)計(jì)員進(jìn)行程序設(shè)計(jì)和系統(tǒng)調(diào)試及試運(yùn)行； （2）數(shù)據(jù)庫(kù)管理員進(jìn)行數(shù)據(jù)收集，數(shù)據(jù)格式的標(biāo)準(zhǔn)化與規(guī)范化； （3）終端用戶對(duì)系統(tǒng)試運(yùn)行效果提出意見(jiàn)和建議。 2．系統(tǒng)實(shí)施階段存在的風(fēng)險(xiǎn)及應(yīng)對(duì)策略： （1）時(shí)間和費(fèi)用超出預(yù)算可能造成信息系統(tǒng)開(kāi)發(fā)成本過(guò)高。應(yīng)對(duì)策略是編制詳盡、科學(xué)的預(yù)算，加強(qiáng)內(nèi)部成本管理和控制； （2）用戶經(jīng)驗(yàn)不足可能導(dǎo)致系統(tǒng)功能不完整。應(yīng)對(duì)策略是加強(qiáng)教育培訓(xùn)。 第7條 系統(tǒng)維護(hù)與評(píng)價(jià)管理 1．系統(tǒng)維護(hù)與評(píng)價(jià)管理階段參與人員及分工： （1）系統(tǒng)維護(hù)人員進(jìn)行日常運(yùn)行維護(hù)和系統(tǒng)的更新維護(hù)； （2）數(shù)據(jù)庫(kù)管理員進(jìn)行數(shù)據(jù)庫(kù)和代碼維護(hù)。 2．系統(tǒng)維護(hù)與評(píng)價(jià)階段存在的風(fēng)險(xiǎn)及應(yīng)對(duì)策略： （1）數(shù)據(jù)是否準(zhǔn)確、安全及保密直接影響信息系統(tǒng)開(kāi)發(fā)的效果。應(yīng)對(duì)策略是進(jìn)行合理的系統(tǒng)設(shè)計(jì)，采用防火墻和加密技術(shù)； （2）系統(tǒng)目標(biāo)不明確、缺乏軟件質(zhì)量監(jiān)控可能導(dǎo)致系統(tǒng)功能不健全。應(yīng)對(duì)策略是制定明確目標(biāo)，加強(qiáng)質(zhì)量管理。 第8條 本制度由信息部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第9條 本制度配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第10條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．2．2 信息系統(tǒng)應(yīng)急制度 內(nèi)控制度名稱 信息系統(tǒng)應(yīng)急制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了進(jìn)一步加強(qiáng)信息系統(tǒng)應(yīng)急管理，提高應(yīng)對(duì)緊急情況的能力，確保信息系統(tǒng)安全穩(wěn)定地運(yùn)行，特制定本制度。 第2條 信息部應(yīng)成立應(yīng)急管理小組，處理信息系統(tǒng)的突發(fā)事件。 第3條 相關(guān)職責(zé) 1．信息部經(jīng)理職責(zé)： （1）全面領(lǐng)導(dǎo)應(yīng)急管理工作； （2）負(fù)責(zé)信息系統(tǒng)突發(fā)事件總體組織和指揮調(diào)度； （3）協(xié)調(diào)各部門在應(yīng)急管理工作中的分工和工作關(guān)系； （4）組織編制《應(yīng)急操作手冊(cè)》。 2．信息部主管職責(zé)： （1）負(fù)責(zé)組織制定應(yīng)急對(duì)策； （2）對(duì)應(yīng)急管理工作進(jìn)行監(jiān)督和檢查； （3）定期組織有關(guān)人員分析研究應(yīng)急管理工作中出現(xiàn)或可能出現(xiàn)的新情況、新問(wèn)題； （4）向公司領(lǐng)導(dǎo)匯報(bào)情況。 3．信息部應(yīng)急專員職責(zé)： （1）負(fù)責(zé)配合信息部經(jīng)理和主管執(zhí)行應(yīng)急預(yù)案； （2）參與應(yīng)急處理和應(yīng)急演練。 第4條 為應(yīng)付信息系統(tǒng)突發(fā)事件應(yīng)準(zhǔn)備好的各種應(yīng)急物資，主要包括： 1．物質(zhì)資源準(zhǔn)備主要有電源動(dòng)力，網(wǎng)絡(luò)通信、生產(chǎn)服務(wù)器、數(shù)據(jù)及軟件； 2．人力資源準(zhǔn)備，重要技術(shù)崗位要建立雙人或多人的備份制度； 3．應(yīng)急操作手冊(cè)的編寫(xiě)和維護(hù)； 4．建立重要信息系統(tǒng)例行檢查制度，對(duì)機(jī)房環(huán)境、動(dòng)力電源、防雷系統(tǒng)、網(wǎng)絡(luò)設(shè)備等重要系統(tǒng)應(yīng)每季度全面徹底地檢查一次，保證系統(tǒng)的完好可用。 第5條 應(yīng)急措施實(shí)施 1．發(fā)生應(yīng)急事件時(shí)，各部門、各崗位要相互支持，相互配合，聽(tīng)從指揮。 2．應(yīng)急啟動(dòng)工作流程 （1）操作人員應(yīng)加強(qiáng)監(jiān)控，一旦發(fā)現(xiàn)異常信息，按《應(yīng)急操作手冊(cè)》進(jìn)行初步判斷，并立即報(bào)告信息部經(jīng)理或主管。 （2）信息部經(jīng)理或主管對(duì)情況進(jìn)行判斷，屬于應(yīng)急事件，立即啟動(dòng)應(yīng)急操作流程。 （3）由操作人員按《機(jī)房操作手冊(cè)》規(guī)定的步驟進(jìn)行操作，并隨時(shí)向信息部主管報(bào)告執(zhí)行結(jié)果。 （4）操作人員處理后未能立即解決，信息部技術(shù)人員應(yīng)第一時(shí)間趕赴現(xiàn)場(chǎng)進(jìn)行應(yīng)急處理，并報(bào)告信息部經(jīng)理。 （5）短時(shí)間內(nèi)能夠解決的問(wèn)題，則進(jìn)入應(yīng)急恢復(fù)和總結(jié)環(huán)節(jié)。 （6）短時(shí)間內(nèi)不能解決的問(wèn)題，信息科技部經(jīng)理要立即報(bào)告信息總監(jiān)。 （7）信息總監(jiān)根據(jù)經(jīng)驗(yàn)判斷是否立即啟動(dòng)應(yīng)急流程。 （8）信息總監(jiān)判斷屬于重大信息系統(tǒng)問(wèn)題，應(yīng)及時(shí)將應(yīng)急方案提交總經(jīng)理審批。 （9）信息總監(jiān)組織成立應(yīng)急領(lǐng)導(dǎo)小組，趕赴現(xiàn)場(chǎng)進(jìn)行指揮。 3．應(yīng)急處理工作流程 （1）應(yīng)急領(lǐng)導(dǎo)小組做好應(yīng)急事件的通知和預(yù)告，組織與協(xié)調(diào)各項(xiàng)應(yīng)急處理工作。 （2）參與應(yīng)急處理的各部門應(yīng)統(tǒng)一服從領(lǐng)導(dǎo)指揮，全力配合，做好各項(xiàng)應(yīng)急處理工作。 （3）正常工作時(shí)間內(nèi)發(fā)生應(yīng)急事件要求應(yīng)急實(shí)施人員5分鐘內(nèi)到達(dá)現(xiàn)場(chǎng)，嚴(yán)格按照《應(yīng)急操作手冊(cè)》進(jìn)行應(yīng)急處理。 （4）節(jié)假日、雙休日期間發(fā)生應(yīng)急事件，要求應(yīng)急實(shí)施人員60分鐘內(nèi)到達(dá)現(xiàn)場(chǎng)。 （5）信息部應(yīng)急專員應(yīng)嚴(yán)格按照《應(yīng)急操作手冊(cè)》所規(guī)定的步驟快捷實(shí)施應(yīng)急處理，同時(shí)記錄全過(guò)程的情況，認(rèn)真采集和整理現(xiàn)場(chǎng)第一手資料，做好故障信息日志的保護(hù)和應(yīng)急過(guò)程處理步驟的記錄。 （6）對(duì)于應(yīng)急故障處理期間發(fā)生的新問(wèn)題、新信息，應(yīng)急實(shí)施成員應(yīng)及時(shí)報(bào)告現(xiàn)場(chǎng)總指揮。 （7）對(duì)于出現(xiàn)超出《應(yīng)急操作手冊(cè)》界定的應(yīng)急事件響應(yīng)條件的，應(yīng)急領(lǐng)導(dǎo)小組應(yīng)組織技術(shù)人員研究分析，迅速提出解決措施。 第6條 應(yīng)急恢復(fù)和總結(jié) 1．應(yīng)急處理結(jié)束后，應(yīng)急實(shí)施成員應(yīng)必須盡快恢復(fù)系統(tǒng)運(yùn)行環(huán)境，并進(jìn)行嚴(yán)格的檢查和驗(yàn)證。 2．信息部相關(guān)人員應(yīng)認(rèn)真總結(jié)應(yīng)急事件發(fā)生的原因、處理過(guò)程和經(jīng)驗(yàn)教訓(xùn)，提出整改措施和方案，形成《應(yīng)急處理總結(jié)報(bào)告》，上報(bào)信息總監(jiān)和總經(jīng)理。 3．根據(jù)應(yīng)急處理的實(shí)際情況對(duì)《應(yīng)急操作手冊(cè)》進(jìn)行補(bǔ)充和完善。 第7條 本制度由信息部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第8條 本制度配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第9條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．3 信息系統(tǒng)訪問(wèn)安全管控規(guī)范 18．3．1 信息授權(quán)使用制度 內(nèi)控制度名稱 信息授權(quán)使用制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了進(jìn)一步加強(qiáng)公司保密信息的管理，降低泄密風(fēng)險(xiǎn)，確保信息系統(tǒng)安全穩(wěn)定地運(yùn)行，特制定本制度。 第2條 信息部應(yīng)對(duì)所有的重要信息進(jìn)行密級(jí)劃分，包括書(shū)面形式和電子媒介形式保存的信息。 第3條 信息等級(jí)劃分。 1．一級(jí)保密信息，適用于一般信息，其遭到破壞和泄漏后，會(huì)對(duì)公司相關(guān)人員的合法權(quán)益產(chǎn)生損害。 2．二級(jí)保密信息，適用于公司各個(gè)部門內(nèi)部一般信息，其遭到破壞和泄露后，會(huì)對(duì)公司相關(guān)部門的合法權(quán)益產(chǎn)生損害。 3．三級(jí)保密信息，適用于涉及公司利益的一般信息，其遭到破壞和泄露后，會(huì)對(duì)公司的相關(guān)交易事項(xiàng)產(chǎn)生負(fù)面影響。 4．四級(jí)保密信息，適用于涉及公司利益的重要信息，其遭到破壞和泄露后，會(huì)影響公司的絕大多數(shù)交易的進(jìn)行，對(duì)公司利益產(chǎn)生嚴(yán)重影響。 5．五級(jí)保密信息，適用于涉及公司利益的重大信息，其遭到破壞和泄露后，會(huì)影響公司正常運(yùn)營(yíng)，對(duì)公司的整體形象產(chǎn)生嚴(yán)重?fù)p害。 第4條 不同類別信息的授權(quán)使用。 1．一級(jí)保密信息必須經(jīng)過(guò)信息部主管的簽字同意方可使用。 2．二級(jí)保密信息必須經(jīng)過(guò)信息部經(jīng)理的簽字同意方可使用。 3．三級(jí)保密信息必須經(jīng)過(guò)信息部經(jīng)理和相關(guān)部門經(jīng)理的共同簽字同意方可使用。 4．四級(jí)保密信息必須經(jīng)過(guò)公司財(cái)務(wù)總監(jiān)的簽字同意方可使用。 5．五級(jí)保密信息必須經(jīng)過(guò)公司總經(jīng)理的簽字同意方可使用。 第5條 本制度由信息部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第6條 本制度配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第7條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．3．2 訪問(wèn)安全管理制度 內(nèi)控制度名稱 訪問(wèn)安全管理制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1章 總則 第1條 為了提高公司信息系統(tǒng)的可靠性、穩(wěn)定性、安全性，特制定本制度。 第2條 本制度適合信息部與各用戶部門涉及使用公司信息系統(tǒng)的相關(guān)人員。 第2章 操作人員規(guī)范 第3條 未經(jīng)培訓(xùn)的操作人員禁止使用信息系統(tǒng)。 第4條 公司信息系統(tǒng)中的軟件升級(jí)、殺毒、安裝等由信息部統(tǒng)一操作，禁止用戶部門的操作人員擅自進(jìn)行系統(tǒng)軟件的刪除、升級(jí)、殺毒、改變及卸載系統(tǒng)軟件版本等。 第5條 信息部工作人員在信息系統(tǒng)中設(shè)置的安全參數(shù)與軟件系統(tǒng)環(huán)境配置等，禁止用戶部門的操作人員修改。 第6條 操作人員離開(kāi)工作現(xiàn)場(chǎng)時(shí)，要鎖定或退出已經(jīng)運(yùn)行的程序，防止他人利用自身賬號(hào)操作，否則造成的后果由當(dāng)事人自己承擔(dān)。 第7條 更換操作人員或密碼泄露后，用戶必須及時(shí)修改密碼。 第8條 公司信息系統(tǒng)中的信息、數(shù)據(jù)為公司資產(chǎn)，禁止未經(jīng)授權(quán)的操作人員使用存儲(chǔ)介質(zhì)存儲(chǔ)。 第3章 信息部人員安全規(guī)范 第9條 信息部指定人員定期審閱信息系統(tǒng)中的賬號(hào)，避免有授權(quán)不當(dāng)或非授權(quán)賬號(hào)存在。 第10條 信息部指定人員監(jiān)測(cè)各賬號(hào)使用信息系統(tǒng)的情況，發(fā)現(xiàn)異常上報(bào)信息部經(jīng)理。 第11條 信息系統(tǒng)管理員應(yīng)加強(qiáng)防火墻、路由器等網(wǎng)絡(luò)安全方面管理，防范外網(wǎng)對(duì)信息系統(tǒng)造成損害。 第4章 附則 第12條 本制度由信息部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第13條 本制度配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第14條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．4 硬件管理方法 18．4．1 硬件設(shè)備日常管理辦法 內(nèi)控制度名稱 硬件設(shè)備日常管理辦法 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1章 總則 第1條 為了加強(qiáng)信息系統(tǒng)的硬件管理，保持公司信息系統(tǒng)的穩(wěn)定運(yùn)行，特制定本辦法。 第2條 本辦法適合信息部與各用戶部門涉及使用公司信息系統(tǒng)的相關(guān)人員。 第3條 本辦法所指的硬件是指計(jì)算機(jī)的可視章及周邊設(shè)備，包括打印機(jī)、掃描儀、存儲(chǔ)器及網(wǎng)絡(luò)設(shè)備等。 第2章 硬件采購(gòu) 第4條 硬件設(shè)備的購(gòu)買申請(qǐng)由使用部門提出并填制“硬件設(shè)備請(qǐng)購(gòu)單”，“硬件設(shè)備請(qǐng)購(gòu)單”的內(nèi)容應(yīng)包括：硬件設(shè)備名稱、規(guī)格、型號(hào)、單價(jià)、總額、主要制造廠商以及購(gòu)置原因等。 第5條 “硬件設(shè)備請(qǐng)購(gòu)單”由所在部門經(jīng)理審核后提交至信息部經(jīng)理審批，單件設(shè)備價(jià)格在5萬(wàn)元以上或總批量?jī)r(jià)格在10萬(wàn)以上的應(yīng)提交至信息總監(jiān)和總經(jīng)理審核審批。 第6條 總經(jīng)理審批簽字后送交采購(gòu)部進(jìn)行采購(gòu)。 第7條 購(gòu)買的硬件必須經(jīng)信息部相關(guān)人員檢測(cè)，以確認(rèn)其符合產(chǎn)品標(biāo)準(zhǔn)，若不符合則由采購(gòu)人員聯(lián)系廠家退換。 第8條 購(gòu)買回的硬件需注意保存好其使用說(shuō)明書(shū)、驅(qū)動(dòng)程序及保修書(shū)。 第9條 經(jīng)檢測(cè)完好的硬件由信息部人員統(tǒng)一貼上標(biāo)簽。 第10條 所貼標(biāo)簽內(nèi)容： 1．硬件名稱、編號(hào)； 2．硬件購(gòu)買日期； 3．硬件使用部門、人員或保管人。 第3章 硬件的使用 第11條 公司的硬件設(shè)施由授權(quán)人員使用，未經(jīng)授權(quán)人員一律不得使用。 第12條 使用硬件時(shí)禁止在硬件周圍抽煙、吃零食、嗑瓜子等，以防對(duì)硬件造成污染或損傷。 第13條 未經(jīng)允許禁止移動(dòng)硬件的位置，移動(dòng)硬件時(shí)需得到信息部的批準(zhǔn)并在信息部的監(jiān)督下移動(dòng)，否則造成的后果由當(dāng)事人承擔(dān)。 第14條 任何人禁止更換硬件上的標(biāo)簽與硬件的部件，發(fā)現(xiàn)后將按公司相應(yīng)規(guī)定進(jìn)行處罰。 第4章 硬件的保管、報(bào)修、維護(hù) 第15條 使用部門需指派專人對(duì)硬件進(jìn)行保管，沒(méi)有指派專人的，視部門經(jīng)理為保管人。 第16條 硬件保管人因離職、調(diào)動(dòng)等發(fā)生變化時(shí)，信息部工作人員要及時(shí)更新信息。 第17條 當(dāng)硬件出現(xiàn)問(wèn)題時(shí)，及時(shí)聯(lián)系信息部人員，禁止私自修理、拆卸硬件。 第18條 信息部人員應(yīng)對(duì)出現(xiàn)問(wèn)題的硬件進(jìn)行檢查并聯(lián)系廠商進(jìn)行維修。 第19條 修理或維護(hù)過(guò)的硬件由信息部修理或維護(hù)人員與保管人共同填寫(xiě)并保存“硬件維護(hù)記錄表”，信息部人員需將此條信息記入《硬件管理檔案》并定期由信息部經(jīng)理及運(yùn)營(yíng)總監(jiān)審核。 第20條 信息部人員應(yīng)定期對(duì)硬件進(jìn)行檢查和維護(hù)，以確保其性能穩(wěn)定。 第21條 硬件設(shè)備因老化、損耗及其他原因報(bào)廢時(shí)，由信息部工作人員進(jìn)行檢測(cè)后填寫(xiě)“硬件報(bào)廢單”，經(jīng)審批通過(guò)后進(jìn)行報(bào)廢處理，同時(shí)將信息記入檔案。 第5章 附則 第22條 本辦法由信息部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第23條 本辦法配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第24條 本辦法自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．4．2 硬件設(shè)備應(yīng)急處理辦法 內(nèi)控制度名稱 硬件設(shè)備應(yīng)急處理辦法 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1章 總則 第1條 為了進(jìn)一步加強(qiáng)信息系統(tǒng)硬件應(yīng)急管理，提高應(yīng)對(duì)緊急情況的能力，確保信息系統(tǒng)硬件安全，特制定本辦法。 第2條 信息部應(yīng)成立應(yīng)急管理小組，處理信息系統(tǒng)的突發(fā)事件。 第3條 本辦法所指的硬件是指計(jì)算機(jī)的可視章及周邊設(shè)備，包括打印機(jī)、掃描儀、存儲(chǔ)器及網(wǎng)絡(luò)設(shè)備等。 第4條 硬件設(shè)備突發(fā)事件分類： 1．關(guān)鍵設(shè)備或系統(tǒng)的故障； 2．自然災(zāi)害（水、火、電等）造成的物理破壞； 3．人為操作失誤造成的安全事件。 第2章 硬件設(shè)備突發(fā)事件預(yù)防措施 第5條 建立安全、可靠、穩(wěn)定運(yùn)行的機(jī)房環(huán)境，做好防火、防盜、防雷電、防水、防靜電及防塵等工作。 第6條 建立備份電源系統(tǒng)，重要系統(tǒng)采用可靠、穩(wěn)定硬件，進(jìn)行備份等措施，落實(shí)數(shù)據(jù)備份機(jī)制，遵守安全操作規(guī)范。 第7條 加強(qiáng)所有人員防火、防盜的基本技能。 第3章 硬件設(shè)備突發(fā)事件應(yīng)急預(yù)案 第8條 辦公室漏水應(yīng)急預(yù)案 1．工作人員發(fā)現(xiàn)機(jī)房漏水后應(yīng)立即通知信息部主管或經(jīng)理。 2．信息部主管或經(jīng)理組織人員檢查房屋及空調(diào)系統(tǒng)，空調(diào)系統(tǒng)漏水應(yīng)及時(shí)聯(lián)系設(shè)備供應(yīng)方進(jìn)行處理。 3．墻體或窗戶滲漏水，應(yīng)立即通知行政部，及時(shí)清除積水，進(jìn)行墻體或窗戶維修，避免不必要的損失。 第9條 發(fā)生被盜或人為損害事件應(yīng)急預(yù)案 1．使用者發(fā)現(xiàn)設(shè)備被盜或有人為損害設(shè)備情況時(shí)，應(yīng)立即報(bào)告信息部主管并保護(hù)好現(xiàn)場(chǎng)。 2．信息部主管組織人員勘察現(xiàn)場(chǎng)，確屬盜竊案件應(yīng)立即通知公安部門，清點(diǎn)被盜物資或盤(pán)查人為損害情況，做好必要的影像記錄和文字記錄。 3．使用部門人員應(yīng)積極配合公安部門進(jìn)行調(diào)查，并將有關(guān)情況向信息部經(jīng)理匯報(bào)。 第10條 辦公室長(zhǎng)時(shí)間停電應(yīng)急預(yù)案 1．接到長(zhǎng)時(shí)間停電通知后，信息部經(jīng)理應(yīng)根據(jù)停電時(shí)間、電池電能貯備、供電管理部門信息、網(wǎng)絡(luò)和信息運(yùn)行情況等及時(shí)通知公司各部門人員，并告知在停電前停止業(yè)務(wù)、保存數(shù)據(jù)。 2．信息部經(jīng)理應(yīng)及時(shí)通知行政部啟動(dòng)備用發(fā)電設(shè)備，保證工作正常進(jìn)行且業(yè)務(wù)數(shù)據(jù)不丟失。 第11條 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案 1．發(fā)生通信線路中斷、路由器故障、流量異常等情況，操作人員應(yīng)及時(shí)報(bào)告信息部經(jīng)理。 2．信息部經(jīng)理組織人員及時(shí)查清通信網(wǎng)絡(luò)故障位置，通知相關(guān)通信網(wǎng)絡(luò)運(yùn)營(yíng)商進(jìn)行維修，同時(shí)切斷故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接。 3．相關(guān)技術(shù)人員配合維修人員逐步恢復(fù)故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接，恢復(fù)通信網(wǎng)絡(luò)。 4．信息部經(jīng)理負(fù)責(zé)編制故障分析報(bào)告，上報(bào)信息總監(jiān)和總經(jīng)理。 第12條 核心設(shè)備硬件故障應(yīng)急預(yù)案 1．發(fā)生核心設(shè)備硬件故障后，信息部經(jīng)理應(yīng)組織人員查找故障設(shè)備及故障原因，并進(jìn)行先期處理。 2．故障設(shè)備在短時(shí)間內(nèi)無(wú)法修復(fù)，應(yīng)啟動(dòng)備份設(shè)備保持系統(tǒng)正常運(yùn)行。 3．聯(lián)系相關(guān)廠商， 相關(guān)人員應(yīng)填寫(xiě)設(shè)備故障報(bào)告單備查。 4．故障排除后，信息部主管應(yīng)在合適時(shí)間替換備用設(shè)備。 第13條 自然災(zāi)害事故應(yīng)急預(yù)案 1．遇到暴雨雷鳴天氣時(shí)，信息部應(yīng)及時(shí)關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)工作。 2．暴風(fēng)雨天氣結(jié)束后，信息部應(yīng)對(duì)各部門的硬件設(shè)備進(jìn)行檢查，若出現(xiàn)故障，應(yīng)及時(shí)進(jìn)行維修或通知廠家修理。 第4章 附則 第14條 本辦法由信息部會(huì)同公司其他有關(guān)部門負(fù)責(zé)解釋。 第15條 本辦法配套辦法由信息部會(huì)同公司其他有關(guān)部門另行制定。 第16條 本辦法自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．5 會(huì)計(jì)信息化管控規(guī)范 18．5．1 信息化會(huì)計(jì)檔案管理制度 內(nèi)控制度名稱 信息化會(huì)計(jì)檔案管理制度 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了保證會(huì)計(jì)信息化工作的順利開(kāi)展，保障信息化會(huì)計(jì)檔案的安全與完整，現(xiàn)根據(jù)國(guó)家相關(guān)法規(guī)，結(jié)合本公司實(shí)際情況，制定本制度。 第2條 本制度所指的會(huì)計(jì)信息化是指利用計(jì)算機(jī)信息技術(shù)代替人工進(jìn)行財(cái)務(wù)信息處理，以及替代章由人工完成的對(duì)會(huì)計(jì)信息進(jìn)行分析和判斷的過(guò)程。 第3條 本制度所指的信息化會(huì)計(jì)檔案是指存儲(chǔ)在磁性介質(zhì)或光盤(pán)介質(zhì)的會(huì)計(jì)數(shù)據(jù)和計(jì)算機(jī)打印出來(lái)的書(shū)面等形式的會(huì)計(jì)數(shù)據(jù)，包括記賬憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表（包括報(bào)表格式和計(jì)算公式）等數(shù)據(jù)。 1．會(huì)計(jì)憑證類數(shù)據(jù)：原始憑證、記賬憑證、匯總憑證、其他會(huì)計(jì)憑證。 2．會(huì)計(jì)賬簿類數(shù)據(jù)：總賬、明細(xì)賬、日記賬、固定資產(chǎn)卡片、輔助賬簿、其他會(huì)計(jì)賬簿。 3．財(cái)務(wù)報(bào)告類數(shù)據(jù)：季度、年度財(cái)務(wù)報(bào)告，包括會(huì)計(jì)報(bào)表、附表、附注及財(cái)務(wù)情況說(shuō)明書(shū)、其他財(cái)務(wù)報(bào)告。 4．其他類數(shù)據(jù)：銀行存款余額調(diào)節(jié)表、銀行對(duì)賬單、其他應(yīng)當(dāng)保存的會(huì)計(jì)核算專業(yè)資料、會(huì)計(jì)檔案移交清冊(cè)、會(huì)計(jì)檔案保管清冊(cè)、會(huì)計(jì)檔案銷毀清冊(cè)。 第4條 電算審查人員負(fù)責(zé)信息化會(huì)計(jì)檔案的管理，其日常工作歸會(huì)計(jì)信息主管（一般由會(huì)計(jì)主管兼任）監(jiān)督檢查。 第5條 信息化會(huì)計(jì)檔案按會(huì)計(jì)檔案管理的規(guī)定執(zhí)行，會(huì)計(jì)電算化系統(tǒng)開(kāi)發(fā)的全套文件檔案資料視同會(huì)計(jì)檔案進(jìn)行管理，保存期限為截止系統(tǒng)停止使用或重大更改后3年。 第6條 存儲(chǔ)于磁帶、磁盤(pán)等磁介質(zhì)中的資料（包括會(huì)計(jì)憑證、科目余額、科目名稱及編碼、會(huì)計(jì)電算化的取數(shù)公式、計(jì)算公式等程序或數(shù)據(jù)資料），在沒(méi)有打印成書(shū)面文件之前要妥善保管，在有關(guān)資料已有書(shū)面文件的前提下，軟盤(pán)儲(chǔ)存文件的保存期為2年以上。 第7條 信息化會(huì)計(jì)檔案的存放要做到防消磁、防火、防潮、防盜、防塵、防高溫、防蟲(chóng)害；會(huì)計(jì)數(shù)據(jù)的備份軟盤(pán)要存放在兩個(gè)不同的地點(diǎn)，并定期復(fù)制。 第8條 本制度由財(cái)務(wù)部會(huì)同公司其他有關(guān)部門解釋。 第9條 本制度配套辦法由財(cái)務(wù)部會(huì)同公司其他有關(guān)部門另行制定。 第10條 本制度自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．5．2 會(huì)計(jì)信息化操作管理辦法 內(nèi)控制度名稱 會(huì)計(jì)信息化操作管理辦法 執(zhí)行部門 內(nèi)控制度編號(hào) 監(jiān)督部門 制度受控狀態(tài) 生效日期 第1條 為了提高財(cái)務(wù)部門的工作效率，減少會(huì)計(jì)信息化帶來(lái)的風(fēng)險(xiǎn)，特制定本辦法。 第2條 本辦法適用于財(cái)務(wù)部門所有人員。 第3條 本辦法所指的會(huì)計(jì)信息化是指利用計(jì)算機(jī)信息技術(shù)代替人工進(jìn)行財(cái)務(wù)信息處理，以及替代章由人工完成的對(duì)會(huì)計(jì)信息進(jìn)行分析和判斷的過(guò)程。 第4條 本辦法所指的信息化會(huì)計(jì)檔案是指存儲(chǔ)在磁性介質(zhì)或光盤(pán)介質(zhì)的會(huì)計(jì)數(shù)據(jù)和計(jì)算機(jī)打印出來(lái)的書(shū)面等形式的會(huì)計(jì)數(shù)據(jù)，包括記賬憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表（包括報(bào)表格式和計(jì)算公式）等數(shù)據(jù)。 第5條 財(cái)務(wù)部的計(jì)算機(jī)只允許用作公司的會(huì)計(jì)、財(cái)務(wù)工作，禁止在計(jì)算機(jī)上聊天、打游戲等。 第6條 財(cái)務(wù)部的計(jì)算機(jī)專人專用，禁止交叉使用。 第7條 公司會(huì)計(jì)信息的錄入由專人負(fù)責(zé)，被指派人員保管好自己的賬號(hào)與密碼，嚴(yán)防泄露。 第8條 會(huì)計(jì)搜集的原始憑證在錄入計(jì)算機(jī)之前必須經(jīng)由審核人員審核，審核人員做好審核記錄。 第9條 會(huì)計(jì)在計(jì)算機(jī)上編制好記賬憑證時(shí)，由審核人員上機(jī)審核并做好審核記錄。 第10條 會(huì)計(jì)打印處的賬表由財(cái)務(wù)部經(jīng)理負(fù)責(zé)審核，定期報(bào)送財(cái)務(wù)總監(jiān)審核。 第11條 財(cái)務(wù)每次使用計(jì)算機(jī)時(shí)必須使用不間斷的電源，防止因斷電導(dǎo)致核心數(shù)據(jù)丟失。 第12條 財(cái)務(wù)人員在每次下班前需將系統(tǒng)備份，防止數(shù)據(jù)丟失。 第13條 財(cái)務(wù)人員經(jīng)過(guò)授權(quán)后定期將系統(tǒng)中的會(huì)計(jì)信息備份，存儲(chǔ)于其他介質(zhì)中保存好。 第14條 未經(jīng)授權(quán)不得對(duì)會(huì)計(jì)軟件進(jìn)行修改、升級(jí)或更換硬件，否則造成的后果由當(dāng)事人承擔(dān)。 第15條 負(fù)責(zé)保管信息化會(huì)計(jì)檔案的人員需定期檢查，做好防火、防塵和防潮工作，防止存儲(chǔ)介質(zhì)損壞導(dǎo)致會(huì)計(jì)檔案丟失。 第16條 本辦法由財(cái)務(wù)部會(huì)同公司其他有關(guān)部門進(jìn)行解釋。 第17條 本辦法的配套辦法由財(cái)務(wù)部會(huì)同公司其他有關(guān)部門另行制定。 第18條 本辦法自 年 月 日起實(shí)施。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期 18．6 信息系統(tǒng)一般控制相關(guān)文件資料 18．6．1 信息密級(jí)劃分表 信息密級(jí)劃分表 信息等級(jí) 適用情況 內(nèi)容 一級(jí) 一般信息 遭到破壞和泄露后，會(huì)對(duì)公司相關(guān)人員的合法權(quán)益產(chǎn)生損害 二級(jí) 公司各部門內(nèi)部的一般信息 遭到破壞和泄露后，會(huì)對(duì)公司相關(guān)部門的合法權(quán)益產(chǎn)生損害 三級(jí) 涉及公司利益的一般信息 遭到破壞和泄露后，會(huì)對(duì)公司的相關(guān)交易事項(xiàng)產(chǎn)生負(fù)面影響 四級(jí) 涉及公司利益的重要信息 遭到破壞和泄露后，會(huì)影響公司的絕大多數(shù)交易的進(jìn)行，對(duì)公司利益產(chǎn)生嚴(yán)重影響 五級(jí) 涉及公司利益的重大信息 遭到破壞和泄露后，會(huì)影響公司正常運(yùn)營(yíng)，對(duì)公司的整體形象產(chǎn)生嚴(yán)重?fù)p害 18．6．2 災(zāi)難恢復(fù)計(jì)劃書(shū) 內(nèi)控文本名稱 災(zāi)難恢復(fù)計(jì)劃書(shū) 內(nèi)控文本編號(hào) 文本受控狀態(tài) 一、定義 本計(jì)劃書(shū)所稱災(zāi)難恢復(fù)為信息系統(tǒng)災(zāi)難恢復(fù)。災(zāi)難恢復(fù)計(jì)劃包括：災(zāi)難備份系統(tǒng)實(shí)施、災(zāi)難備份中心的建設(shè)與運(yùn)行維護(hù)、災(zāi)難恢復(fù)預(yù)案管理、應(yīng)急響應(yīng)和恢復(fù)。 二、組織機(jī)構(gòu)及其職責(zé) 1．總經(jīng)理或信息總監(jiān)為信息系統(tǒng)災(zāi)難恢復(fù)工作的責(zé)任人，負(fù)責(zé)災(zāi)難恢復(fù)需求分析和策略制訂。 2．董事會(huì)參與制訂和審核災(zāi)難恢復(fù)策略，保證災(zāi)難恢復(fù)策略與經(jīng)營(yíng)目標(biāo)的一致性。 3．災(zāi)難恢復(fù)的組織機(jī)構(gòu)由信息部的管理、業(yè)務(wù)、技術(shù)等相關(guān)人員組成。 4．信息部總監(jiān)負(fù)責(zé)災(zāi)難恢復(fù)預(yù)案的審批、維護(hù)和演練，負(fù)責(zé)資源準(zhǔn)備和經(jīng)費(fèi)審批。 5．信息部經(jīng)理負(fù)責(zé)災(zāi)難備份中心的日常運(yùn)行和管理。 6．信息部主管負(fù)責(zé)災(zāi)難恢復(fù)預(yù)案的制訂、災(zāi)難備份中心的日常運(yùn)行和維護(hù)。 7．信息部專員負(fù)責(zé)災(zāi)難備份中心的日常運(yùn)行和維護(hù)。 三、災(zāi)難等級(jí) 1．第一類：信息系統(tǒng)短時(shí)間中斷會(huì)影響公司的關(guān)鍵業(yè)務(wù)的進(jìn)行，并造成重大經(jīng)濟(jì)損失。 2．第二類：信息系統(tǒng)短時(shí)間中斷會(huì)影響公司章業(yè)務(wù)的正常進(jìn)行，并造成較大經(jīng)濟(jì)損失。 3．第三類：信息系統(tǒng)短時(shí)間中斷會(huì)影響公司某個(gè)或某些部門業(yè)務(wù)的正常進(jìn)行，可能造成間接損失。 四、災(zāi)難恢復(fù)的目標(biāo)要求 1．第一類災(zāi)難等級(jí)恢復(fù)要求： （1）第四級(jí)電子傳輸及完整設(shè)備支持； （2）RTO≤36小時(shí)，RPO≤8小時(shí)。 2．第二類災(zāi)難等級(jí)恢復(fù)要求： （1）第三級(jí)電子傳輸和章設(shè)備支持； （2）RTO≤72小時(shí)，RPO≤24小時(shí)。 3．第三類災(zāi)難等級(jí)恢復(fù)要求： （1）第二級(jí)備用場(chǎng)地支持； （2）RTO≤7天，RPO≤36小時(shí)。 五、災(zāi)難備份系統(tǒng)實(shí)施要求 1．建立數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)，技術(shù)方案中所涉及的系統(tǒng)應(yīng)獲得同信息系統(tǒng)相當(dāng)?shù)陌踩Ｗo(hù)，具有可擴(kuò)展性。 2．應(yīng)確保技術(shù)方案滿足災(zāi)難恢復(fù)策略的要求，組織開(kāi)展災(zāi)難恢復(fù)技術(shù)方案和業(yè)務(wù)功能恢復(fù)的測(cè)試，并記錄和保存測(cè)試結(jié)果，以保證災(zāi)難恢復(fù)時(shí)最終用戶能正常使用災(zāi)難備份系統(tǒng)。 3．應(yīng)充分考慮到災(zāi)難備份系統(tǒng)的處理能力、存儲(chǔ)容量、網(wǎng)絡(luò)寬帶能否滿足業(yè)務(wù)運(yùn)作要求。 4．應(yīng)建立災(zāi)難備份系統(tǒng)的技術(shù)支持體系。 六、災(zāi)難備份中心的運(yùn)行維護(hù) 1．建立完善的災(zāi)難備份中心運(yùn)行維護(hù)管理制度和流程，包括：災(zāi)難備份的流程和管理制度，災(zāi)難備份中心機(jī)房的管理制度，硬件系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件的運(yùn)行管理制度，災(zāi)難備份中心信息安全管理制度，災(zāi)難備份系統(tǒng)的變更管理流程，災(zāi)難恢復(fù)預(yù)案以及相關(guān)技術(shù)手冊(cè)的保管、分發(fā)、更新和備案制度等。 2．災(zāi)難備份中心專業(yè)運(yùn)行維護(hù)隊(duì)伍包括基礎(chǔ)設(shè)施和災(zāi)難備份系統(tǒng)運(yùn)行維護(hù)及技術(shù)支持人員，保障設(shè)備和系統(tǒng)正常穩(wěn)定地運(yùn)行。 3．定期檢測(cè)維護(hù)災(zāi)難恢復(fù)設(shè)施，保持備份數(shù)據(jù)的一致性、可用性和完整性，保障數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)在災(zāi)難恢復(fù)和運(yùn)行階段的正常運(yùn)作，保障能夠提供切換和運(yùn)行時(shí)的技術(shù)支持。 4．支持關(guān)鍵業(yè)務(wù)功能恢復(fù)的災(zāi)難備份中心應(yīng)實(shí)行724小時(shí)監(jiān)控。記錄災(zāi)難備份系統(tǒng)運(yùn)行過(guò)程中輸出的相應(yīng)記錄表單與統(tǒng)計(jì)信息；記錄機(jī)房環(huán)境、系統(tǒng)運(yùn)行和網(wǎng)絡(luò)狀態(tài)等監(jiān)控信息。 七、災(zāi)難恢復(fù)預(yù)案 1．災(zāi)難預(yù)案的內(nèi)容應(yīng)包含：災(zāi)難恢復(fù)組織機(jī)構(gòu)各工作崗位的職責(zé)、災(zāi)難恢復(fù)的整個(gè)過(guò)程以及災(zāi)難恢復(fù)所需的資料和配套資源等。預(yù)案的結(jié)構(gòu)、內(nèi)容和步驟清晰明確，適合在緊急情況下使用等內(nèi)容。 2．應(yīng)加強(qiáng)災(zāi)難恢復(fù)預(yù)案與其他應(yīng)急預(yù)案體系的有機(jī)結(jié)合。 3．災(zāi)難恢復(fù)預(yù)案應(yīng)按照由模擬到實(shí)際、從易到難、從局部到整體的原則進(jìn)行測(cè)試和演練，及時(shí)總結(jié)評(píng)估，完善災(zāi)難恢復(fù)預(yù)案，通過(guò)演練使得相關(guān)人員熟悉災(zāi)難恢復(fù)操作及流程。 4．信息部應(yīng)定期組織開(kāi)展災(zāi)難恢復(fù)預(yù)案的演練工作。災(zāi)難恢復(fù)預(yù)案每年至少演練一次，演練類型分為模擬演練、實(shí)戰(zhàn)演練、章演練和全面演練。 5．演練工作文檔應(yīng)包含演練計(jì)劃、現(xiàn)場(chǎng)記錄和結(jié)論評(píng)估，演練工作文檔應(yīng)存檔保管。 八、應(yīng)急響應(yīng)和災(zāi)難恢復(fù) 1．信息部應(yīng)建立科學(xué)的災(zāi)難預(yù)警機(jī)制，在信息系統(tǒng)發(fā)生緊急事件后，應(yīng)建立應(yīng)急指揮中心，統(tǒng)一領(lǐng)導(dǎo)、協(xié)調(diào)和指揮所有應(yīng)急響應(yīng)工作，加強(qiáng)信息溝通和跨部門協(xié)調(diào)，提高機(jī)構(gòu)整體的應(yīng)急響應(yīng)和應(yīng)急處置能力；組織災(zāi)難恢復(fù)專業(yè)人員盡快對(duì)事件進(jìn)行響應(yīng)和評(píng)估；采取相應(yīng)的風(fēng)險(xiǎn)處置和彌補(bǔ)措施，降低可能造成的損失，防范事態(tài)惡化；根據(jù)對(duì)緊急事件的處置和評(píng)估結(jié)果，決策是否對(duì)災(zāi)難備份中心發(fā)出災(zāi)難預(yù)警。 2．公司應(yīng)加強(qiáng)媒體公關(guān)和客戶服務(wù)工作，避免造成惡劣的社會(huì)影響。發(fā)生重大災(zāi)難事件，應(yīng)根據(jù)有關(guān)要求，及時(shí)向董事會(huì)報(bào)告。 3．災(zāi)難恢復(fù)工作人員應(yīng)根據(jù)災(zāi)難恢復(fù)預(yù)案執(zhí)行相關(guān)的指揮和操作工作，并及時(shí)跟蹤事態(tài)變化和恢復(fù)進(jìn)程，加強(qiáng)溝通，加強(qiáng)恢復(fù)工作的統(tǒng)一指揮和管理。 4．公司應(yīng)保證并合理配置恢復(fù)所需的各項(xiàng)資源，確保災(zāi)難恢復(fù)工作的順利實(shí)施。 5．應(yīng)明確信息系統(tǒng)的重建方案，在進(jìn)行信息系統(tǒng)重建前應(yīng)評(píng)估災(zāi)難造成的損失。 6．災(zāi)難恢復(fù)之后，應(yīng)及時(shí)組織相關(guān)人員進(jìn)行總結(jié)，修訂災(zāi)難恢復(fù)策略和災(zāi)難恢復(fù)預(yù)案。 編制日期 審核日期 批準(zhǔn)日期 修改標(biāo)記 修改處數(shù) 修改日期