内部控制-信息系统维护管理制度15921.docx

《内部控制-信息系统维护管理制度15921.docx》由会员分享，可在线阅读，更多相关《内部控制-信息系统维护管理制度15921.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.ABC公司司信息系统维维护管理理细则文件编号：版本：页次：拟制审核批准日期信息系统维护管理细则1 目的的为了保障信信息系统统安全、平平稳运行行，确保保数据安安全，依依据相关关法律法法规和公公司内部部控制手手册，制制定本细细则。2 适用用范围与定义本细则适用用于信息息管理部部门及相相关部门门实施信信息维护护相关事事项。本细则所称称信息系系统维护护包括日日常运行行维护、系系统变更更、安全全管理等等方面。3 引用用标准及及关联制制度3.1 企业业内部控控制基本本规

2、范3.2 企业业内部控控制应用用指引第第18号信息息系统3.3 ABBC公司司内部控控制手册册201124 职责责4.1 信息管管理部门门负责信信息系统统的运行行维护管管理。4.2 信息系系统使用用部门负负责系统统的使用用，用户户管理。5 内容容、要求求与程序序5.1 系统日常常运行维维护5.1.11 公司信息息系统的的维护归归口统一一由信息息管理部部负责管管理。5.1.22 系统统使用部部门（单位）负责业业务流程程、业务务工作标标准、数数据维护护、用户户管理、数数据使用用安全、知知识产权权合法性性使用及及相关制制度的制制定和落落实等工工作，对对有关数数据的日日常更新新等作运运行操作作记录；对

3、关键键用户与与一般用用户进行行培训和和培训考考核，培培训记录录和考核核成绩提提交人力力资源部部备案。5.1.33 信息管管理部负负责日常常软硬件件系统维维护、设设备保养养、故障障的诊断断与排除除、易耗耗品的更更换与安安装、网网络安全全、环境境保持、应应急处理理等工作作，保证证信息系系统安全全、稳定定运行，并并做应应急事故故处理记记录和和运行行维护记记录。应应急事故故处理记记录和和运行行维护记记录由由信息管管理部门门经理签签字。需需委托进进行维护护的信息息系统，由信息管理部门审查系统服务商资质，并签订系统维护服务合同；由信息管理部自行维护的，应指定专人负责维护，制定岗位职责。5.2 系统变变更5

4、.2.11 系系统如在在使用中中有变更更要求，可可向总经经理办公公室提出出书面要要求并填填写系统变变更表，由申申请部门门分管副副总签字字后，交交信息管管理部统统一安排排进行。变变更完成成后由申申请部门门相关人人员签字字确认。信信息系统统操作人人员不得得擅自进进行软件件的删除除、修改改等操作作；不得擅擅自升级级、改变变软件版版本；不得擅自自改变软软件系统统的环境境配置。5.2.22 信信息管理理部门应应利用技技术手段段防止员员工擅自自安装、卸卸载软件件或者改改变软件件系统配配置，并并定期进进行检查查。5.2.33 系统统使用部部门（单位）会同信息息管理部部按照业业务需求求，对业业务流程程与系统统

5、功能进进行评价价，需要要重大改改进的，提提出系系统升级级报告，由由公司分分管业务务副总经经理签字字确认，报报财务总总监审核核，由信信息化领领导小组组审批。5.2.44 系统统使用部部门（单位）会同信息息管理部部组织系系统升级级的实施施和验收收。（系系统升级级实施的的具体流流程参见见信息息系统外外购管理理细则55.6、55.7）5.2.55 操作作系统、数数据库系系统用户户的新增增、变更更，须填填写系系统用户户申请表表，经经信息管管理部审审批后，被被赋予唯唯一的用用户名、用用户IDD（UIID），方方可进入入公司信息息系统进进行电脑脑使用。信息管理部门经理至少每季度审核一次系统用户记录表。5.3

6、 信息系系统数据据安全管管理由信息管理理部负责责信息系系统数据据的安全全管理，包包括日常常备份、恢恢复和数数据安全全工作（详详见备备份制度度）。5.3.11 数据据保密性性管理重要数据的的处理过过程中，被被批准使使用数据据人员以以外的其其它人员员不应进进入机房房工作；处理结结束后，应应清除不不能带走走的本作作业数据据；妥善善处理打打印结果果，任何何记有重重要信息息的废弃弃物在处处理前应应进行粉粉碎。未未经允许许，不准准将机房房设备、维维护用品品、软盘盘、资料料等私自自带出机机房，如如有特殊殊情况，需需经负责责人同意意并进行行登记后后方可带带出。5.3.22 数据备备份管理理每日进行系系统数据据

7、库自动动备份并并做完整整性查验验，每周周一次手手动备份份到移动动硬盘或或其他电电脑的硬硬盘，每每两周一一次由专专人将移移动硬盘盘送往银银行保管管箱予以以存放，并并填写数数据备份份记录表表，由由负责系系统维护护人员及及信息管管理部门门经理签签字，每每年进行行一次备备份的恢恢复性测测试，并并填写数数据恢复复性测试试记录表表，由由信息管管理部门门经理签签字。5.4 操作系系统登录录的安全全管理信息管理部部负责各各业务系系统后台台操作系系统登录录的安全全管理。5.4.11 系系统登录录名与密密码安全全管理各系统责任任人负责责保管系系统的登登录名和和密码，密密码的设设置要符符合强密密码规范范和密码码复杂

8、性性要求，并并将它们们密存在在信封中中，信封封由专人人保管，各各系统负负责人每每季度更更换一次次登录名名和密码码，并填填写密密码保存存登记表表。特特殊情况况需拆信信封时，必必须由信信息管理理部门经经理在密密码保存存登记表表签字字后方可可，拆封封后，系系统责任任人要重重新修改改密码，密密存在信信封中。5.4.22 用户户登录名名与密码码的管理理用户名和密密码的组组合定义义了系统统中用户户的身份份，用户户和密码码组合由系统统管理员员进行管管理，不不设置多多人共用用的账号号，当一一个工作作人员离离开岗位位后，其其账号应应被及时时删除。为为防止非非法用户户使用信信息网络络资源，对对访问用用户的合合法性

9、进进行鉴别别，当不不成功鉴鉴别尝试试次数达达到门限限值时，系系统将拒拒绝该用用户的访访问，加加以记录录并自动动告警。对对用户访访问控制制的规范范应遵循循：（1）所有有的用户户都要经经过授权权；（2）用户户有在自自己的环环境里设设置对象象特权的的权力；（3）禁止止用户删删除在共共享目录录下其它它用户的的文件；（4）可以以通过制制定的策策略控制制用户对对于系统统中所有有对象的的访问；（5）用户户不能检检查授予予其它用用户的访访问控制制权限；（6）要能能够提供供强制性性的访问问控制5.4.33 不不相容岗岗位分离离控制信息系统开开发人员员不得操操作使用用信息系系统，系系统管理理与维护护人员不不得操作

10、作使用信信息系统统。5.5 系统维维护及机机房管理理（机房管管理制度度）5.5.11 外来来人员对对硬件系系统维护护时，须须填写外外来人员员进入机机房审批批表，经经信息管管理部门门经理签签字批准准后方可可；当外外来人员员对软件件系统进进行维护护时，须须填写应应用软件件维护表表，经经系统使使用部门门（单位位）负责责人和信信息管理理部门经经理签字字批准后后方可。5.5.22 机机房所有有工作人人员须经经信息管管理部门门经理授授权并凭凭门禁卡卡进出机机房，外外来人员员进入机机房统一一由信息息管理部部专人陪陪同，陪陪同人员员全面负负责外来来人员的的行为安安全，并并做好安安全防范范工作。进进出机房房工作

11、人人员的授授权定期期（季度度）由信信息管理理部门经经理进行行复核并并做记录录。5.5.33 机房房管理人人员应熟知机机房内设设备的基基本安全全操作规规程。不不定期对对运行设设备进行行测试和和保养，由由专人负负责机房房内设备备的保养养和备品品、配件件、资料料、盘片片等的保保管，并并登记造造册，保保证备用用设备完完好，可可供随时时投入使使用。机机房设备备损坏应应立即投投入备用用设备，并并汇报领领导，及及时联系系修复，做做好检修修记录。机机房工作作人员应应学习常常规的用用电安全全操作和和知识，了了解机房房内部的的供电、用用电设施施的操作作规程。在在外部供供电系统统停电时时，机房房工作人人员应做做好停

12、电电应急工工作。5.5.44 机房房工作人人员应熟熟悉机房房内部消消防安全全操作和和规则，了了解消防防设备操操作原理理、掌握握消防应应急处理理步骤、措措施和要要领。不不定期进进行消防防演习、消消防常识识培训、消消防设备备使用培培训。如如发现消消防安全全隐患，应应即时采采取措施施解决，不不能解决决的应及及时向相相关负责责人员提提出解决决。5.5.55 防防网络攻攻击和防防病毒管管理由信信息管理理部统一一管理5.5.11 网络运运行维护护人员在在发现可可疑网络络攻击和和入侵迹迹象时，必必须尽快快处理并并记录，在在必要时时请示主主管部门门领导，组组织技术术力量进进行处理理：（1）分析析判断：对可疑疑

13、攻击和和入侵行行为进行行必要的的观察与与分析，以以判别是是否属于于共计或或入侵行行为。（2）入侵侵或攻击击的中止止：经过过分析，在在必要时时，应立立即断开开网络连连接，将将遭受攻攻击的网网段隔离离出来。采采取有效效措施，终终止对系系统的破破坏行为为。（3）记录录和备份份：记录录发现网网络入侵侵或攻击击的当前前时间，备备份系统统日志以以及其它它网络安安全相关关的重要要文件，保保存内存存中的进进程列表表和网络络连接状状态，并并且打开开进程记记录功能能。（4）如果果系统受受到严重重破坏，影影响网络络业务功功能，立立即调用用备件恢恢复系统统。（5）对该该入侵或或攻击行行为进行行大量的的日志、分分析工作

14、作。同时时竭尽全全力地判判断寻找找攻击源源。（7）将入入侵的详详细情况况逐级向向主管领领导和有有关主管管部门汇汇报并请请示处理理办法。5.5.22 各使用用人或部部门应采采用信息息管理部部批准的的查毒、杀杀毒软件件，包括括服务器器和客户户端的查查毒、杀杀毒软件件。5.5.33 禁止使使用来历历不明、未未经杀毒毒的软件件，不阅阅读和下下载来历历不明的的电子邮邮件或文文件，严严格控制制并阻断断计算机机病毒的的来源。5.6.44 经远远程通信信传送的的程序或或数据，必必须经过过检测确确认无病病毒后方方可使用用。5.6.55 网络络管理员员应至少少每周一一次自动动的全系系统病毒毒扫描，每每天定时时自动

15、检检查更新新病毒定定义文件件，对于于发现的的病毒则则要有相相关信息息提示自自动的发发送到相相关管理理人员处处。5.6.66 信信息管理理部门应应利用操操作系统统、数据据库系统统、应用用系统提提供的安安全机制制，设置置参数，保保证系统统访问安安全。5.7 信息管管理部负负责日常常网络与与硬件的的监控。通通过监控控系统对对网络链链路带宽宽做实时时监控，并并在需要要时做相相应的调调整。对对核心服服务器和和网络设设备做活活跃性测测试监控控，主要要是针对对设备的的网络活活动，系系统的应应用服务务做监控控。外部部网络的的访问必必须要通通过防火火墙，制制定相关关防火墙墙安全策策略及防防火墙配配置标准准。5.

16、8 系统终终结5.8.11 信信息系统统因各种种原因不不再使用用时，信信息管理理部负责责做好系系统中有有价值或或涉密信信息的销销毁、转转移，并并按国家有有关法律律法规和和电子档档案的管管理规定定，妥善善保管。5.9 信息系系统风险险评估5.9.11 信信息管理理部门经经理应每每月组织织开展信信息系统统安全评评估工作作，及时时发现系系统安全全问题并并加以整整改。6 附则则信息管理部部门负责责制定、解解释、修修改、废废除本细细则，本本细则自自总经理理签发之之日起执执行。7 支持持性文件件、记录录和图表表7.1 应急事事故处理理记录（略略）7.2 运行维维护记录录（略）7.3 系统变变更表（略略）7.4 系统用用户申请请表（略略）7.5 系统用用户记录录表（略略）7.6 数据备备份记录录表（略略）7.7 数据恢恢复性测测试记录录表（略略）7.8 密码保保存登记记表（略略）7.9 外来人员员进入机机房审批批表（略略）7.10 应用用软件维维护表（略略）