内部控制信息系统安全管理制度与内部控制制度-保密制度范本.docx

《内部控制信息系统安全管理制度与内部控制制度-保密制度范本.docx》由会员分享，可在线阅读，更多相关《内部控制信息系统安全管理制度与内部控制制度-保密制度范本.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部控制信息系统安全管理制度与内部控制制度-保密制度范本内部控制信息系统安全管理制度第一章总则 3第二章系统管理人员的职责 3 第三章机房管理制度 4第四章系统管理员工作细则 4第五章安全保密管理员工作细则 7 第六章密钥管理员工作细则 9第七章计算机信息系统应急预案 10 第八章附则 10第一章总则第 1 条依据 保守国家 法和有关保密规定，为进一步加强中船信息公司计算机信息系统安全保密管理，并结合用户单位的实际情况，制定本制度。第 2 条计算机信息系统包括： 计算机信息系统和非 计算机信息系统。其中， 计算机信息系统指以计算机或者计算机网络为主体，按照一定的应用目标和规则构成的处理 信息的

2、人机系统。第 3 条计算机信息系统的保密工作坚持积极防范、突出重点， 既确保国家安全又有利于信息化发展的方针。第 4 条 计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。第 5 条计算机信息系统的安全保密管理，坚持“谁使用，谁第 1 页 共 14 页负责”的原则，同时实行主要领导负责制。第二章系统管理人员的职责第 6 条用户单位的计算机信息系统的管理由用户保密单位负责，具体技术工作由中船信息承担，设置以下安全管理岗位：系统管理员、安全保密管理员、密钥管理员。第 7 条系统管理员负责信息系统和网络系统的运行维护管理，主要职责是：

3、信息系统主机的日常运行维护；信息系统的系统、备份、维护；信息系统数据库的备份管理；应用系统访问权限的管理； 网络设备的管理；网络的线路保障；网络服务器平台的运行管理，网络病毒入侵防范。第 8 条安全保密管理员负责网络信息系统的安全保密技术管理， 主要职责是：网络信息安全策略管理；网络信息系统安全检查； 计算机的安全管理；网络信息系统的安全审计管理；违规外联的监控。第 9 条密钥管理员负责密钥的管理，主要职责是：身份认证系统的管理；密钥的制作；密钥的更换；密钥的销毁。第 10 条对计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。第 11 条新调入或任用

4、岗位的系统管理人员，必须先接受保密教育和网络安全保密知识培训后方可上岗工作。第 12 条保密单位负责定期系统管理人员进行保密法规知识的宣传教育和培训工作。第三章机房管理制度第 13 条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准，并有专人陪同。第 14 条进入机房人员不得携带任何易燃、腐蚀性、强电磁、第 14 页 共 14 页辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。第 15 条机房内不得使用无线通讯设备，禁止拍照和摄影。第 16 条各类技术档案、资料由专人妥善保管并定期检查。第 17 条机房

5、内应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换）。加强防火安全知识教育，做到会使用消防器材。加强电源管理，严禁乱接电线和违章用电。发现火险隐患，及时报告，并采取安全措施。第 18 条机房应保持整洁有序，地面清洁。设备要排列整齐，布线要正规，仪表要齐备，工具要到位，资料要齐全。机房的门窗不得随意打开。第 19 条每天上班前和下班后对机房做日常巡检，检查机房环境、电源、设备等并做好相应记录（见表一）。第 20 条机房大门必须随时关闭上锁。机房钥匙由集团公司保密办管理。第 21 条机房门禁磁卡（以下简称门禁卡）由信息中心管理。第 22 条门禁卡的发放范围是：系统管理员、安全

6、保密管理员和密钥管理员。第 23 条对临时进入机房工作的人员，不再发放门禁卡，在向用户单位保密部门提出申请得到批准后，由安全保密管理员陪同进入机房工作。第 24 条门禁卡应妥善保管，不得遗失和互相借用。第 25 条门禁卡遗失后，应立即上报信息中心，同时写出书面说明。第四章系统管理员工作细则第一节系统主机维护管理办法第 26 条系统主机由系统管理员负责维护，未经允许任何人不得对系统主机进行操作。第 27 条根据系统设计方案和应用系统运行要求进行主机系统、调试，建立系统管理员账户，设置管理员，建立用户账户， 设置系统策略、用户访问权利和资源访问权限，并根据安全风险最小化原则及运行效率最大化原则配置

7、系统主机。第 28 条建立系统设备档案（见表二）、包括系统主机详细的技术参数，如：品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息，妥善保管系统主机保修卡， 在系统主机软硬件信息发生变更时对设备档案进行及时更新。第 29 条每周修改系统主机管理员，长度不得低于八位， 要求有数字、字母并区分大小写。第 30 条每周通过系统性能分析软件对系统主机进行运行性能分析，并做详细记录（见表四），根据分析情况对系统主机进行系统优化，包括磁盘碎片整理、系统日志文件清理，系统升级等。第 31 条每周对系统日志、系统策略、系统数据进行备份，做详细记录（见表四）。第 32 条每天

8、检查系统主机各硬件设备是否正常运行，并做详细记录（见表五）。第 33 条每天检查系统主机各应用服务系统是否运行正常，并做详细记录（见表五）。第 34 条每周下载最新版的系统补丁，对系统主机进行升级， 做详细记录（见表四）。第 35 条每天记录系统主机运行维护日记，对系统主机运行情况进行总结。第 36 条在系统主机发生故障时应及时通知用户，用最短的时间解决故障，保证系统主机尽快正常运行，并对系统故障情况做详细记录（见表六）。第 37 条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报，上报保密办。第二节信息系统运行维护管理办法第 38 条信息系统（办公自动化系统和档案管理系统）的运行维

9、护由系统管理员负责维护，未经允许任何人不得对信息系统进行任何操作。第 39 条根据信息系统的设计要求及实施细则 、调试、配置信息系统，建立信息系统管理员账号，设置管理员 ， 要求由数字和字母组成，区分大小写， 长度不得低于 8 位。第 40 条对信息系统的基本配置信息做详细记录，包括系统配置信息、用户帐户名称，系统 目录、数据文件存贮目录，在信息系统配置信息发生改变时及时更新记录（见表三）。第 41 条每周对信息系统系统数据、用户 ID 文件、系统日志进行备份，并做详细记录（见表四），备份介质交保密办存档。第 42 条当信息系统用户发生增加、减少、变更时，新建用户帐户，新建用户邮箱，需经保密单

10、位审批，并填写系统用户申请单或系统用户变更申请单（见表七），审批通过后，由系统管理员进行操作，并做详细记录。第 43 条根据用户需求设置信息系统各功能模块访问权限，并提交保密办审批。第 44 条每天检查信息系统各项应用功能是否运行正常，并做详细记录（见表五）。第 45 条在信息系统发生故障时，应及时通知用户，并用最短的时间解决故障，保证信息系统尽快正常运行，并对系统故障情况做详细记录（见表六）。第 46 条每天记录信息系统运行维护日志，对信息系统运行情况进行总结。第 47 条每月对信息系统运行维护情况进行总结，并写出信息系统维护月报，并上报保密办。第三节网络系统运行维护管理办法第 48 条网络

11、系统运行维护由系统管理员专人负责，未经允许任何人不得对网络系统进行操作。第 49 条根据网络系统设计方案和实施细则 、调试、配置网络系统，包括交换机配置、路由器配置， 建立管理员账号，设置管理员 ，并关闭所有远程管理端口。内部控制制度-保密制度范本内部控制制度投资管理有限公司第一章总则第一条为了公司的规范发展，有效防范和化解经营风险，特制定本制度。第二条内部控制制度是公司为防范经营风险，保护资产的安全与完整，促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。第二章内部控制的目标和原则第三条公司内部控制的目标：（一）保证经营的合法合规及公司内部规章制度的贯彻执行。（二

12、）防范经营风险和道德风险。（三）保障客户及公司资产的安全、完整。（四）保证公司业务记录、财务记录和其他信息的可靠、完整、及时。（五）提高公司经营效率和效果。第四条公司内部控制制度的原则：（一）健全性。内部控制应当做到事前、事中、事后控制相统一； 覆盖公司的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节，确保不存在内部控制的空白或漏洞。（二）合理性。内部控制应当符合国家有关法律法规的有关规定， 与公司经营规模、业务范围、风险状况及公司所处的环境相适应，以合理的成本实现内部控制目标。（三）制衡性。公司部门和岗位的设置应当权责分明、相互牵制； 前台业务运作与后台管理支持适当分离。（四）

13、独立性。承担内部控制监督检查职能的部门应当独立于公司其他部门。投资管理有限公司第三章内部控制的主要内容第五条公司内部控制主要内容包括：环境控制（包括授权控制和员工素质控制两个方面）、业务控制、会计系统控制、信息传递控制、内部审计控制等。第六条环境控制包括授权控制和员工素质控制两个方面。第七条授权控制的主要内容包括：（一）公司作为法人实体独立承担民事责任，各业务部门在规定的业务、财务和人事等授权范围内行使相应的职权；各项业务和管理程序都制定了操作规程，各业务人员在授权范围内进行工作，各项业务和管理程序遵照公司制定的各项操作规程运行；公司对授权部门和人员建立了相应的评价和反馈机制，授权期限不超过一

14、年，对不适用的授权及时修改或取消授权。第八条员工素质控制贯彻在人力资源管理体系的各个环节。公司应当制定连贯、可行的制度和操作流程，涵盖于员工招聘、培训、轮岗、考核、晋升、淘汰等环节。在投资管理业务方面的员工素质控制上，通过员工能力素质培训，要求相关员工必须具备相关能力素质和与岗位相应的专业能力素质。这些素质要求同样适用于招聘、晋升、培训和考核等方面。同时，公司应当通过有效的员工激励制度，鼓励员工努力提高核心与专业素质，打造个人、团队乃至公司的竞争优势。第九条业务控制包括证券投资管理业务控制等，主要内容包括：（一）公司证券投资业务由投资部统一操作，其他任何部门均无权擅自从事证券投资业务。财务部负

15、责公司证券投资的清算工作及资金划拨与核算。（二）自营证券投资规模由证券投资部提出申请，公司董事长核定。（三）证券投资部的构架分为投资决策委员会、研究部、交易部和风险控制组。公司投资决策委员会由负责证券投资业务的董事长、基金经理、总经理组成，负责对证券投资部所有证券投资项目的操作做出方案和下达指令，研究部负责调投资管理有限公司研上市公司并做出投资价值分析报告提供给投资决策委员会；交易部负责执行投资决策委员会下达的交易指令，并提供交易台帐和项目收益情况表；风险控制组负责监控交易过程中的所有风险并及时汇报投资决策委员会。（四）公司所有的证券投资帐户，由财务部办理、保管，开户中所有的原始材料必须在财务

16、部保存。公司自营证券投资业务必须与代理客户证券投资业务严格分开。（五）严守商业，禁止无意或故意对外泄露本公司投资结构、投资计划及盈亏状况等。（六）公司受托投资管理业务与自营证券投资业务之间应当建立严格的防火墙制度，从结构、帐户管理、投资运作、信息传递等方面保持相互独立，从而保证客户资产的完全分离和安全。（七）不向客户保证其资产本金不受损失或保证最低收益。定期向客户提供准确、完整的资产管理报告，对报告期内客户资产的配置状况、价值变动等情况做出详细说明。（八）公司风险控制部和证券投资部协作配合，共同负责公司范围的独立内部稽核和业务合规性检查，对资产管理业务进行定期或不定期的检查与评价。（九）实行集

17、中交易制度；投资决策和交易执行实行严格的人员和空间分离制度，建立交易执行的权限控制体系和交易操作规则；建立完善的交易监测、预警和反馈系统；执行公平的交易分配制度，确保不同投资者的利益能够得到公平对待；建立完善的交易记录制度， 及时核对并存档保管每日投资组合列表等文件；制定相应的特殊交易的流程和规则；建立科学的交易绩效评价体系；建立关联方交易的监控制度。会计系统控制可分为会计核算控制和财务管理控制，主要内容包括：（一）公司依据会计法、会计准则、财务通则、会计基础工作规范、和财务制度等制订公司会计制度、财务制度、会计工作操作流程和会计岗位工作手册，作为公司财务管理和会计核算工作的依据。（二）公司制

18、订了完善的会计档案保管和财务交接制度。会计档案管理工作由专人负责。公司内部调阅会计档案应由会计主管人员批准，并指定专人协同查阅。（五）公司在强化会计核算的同时，建立了预算管理体系，强化会计的事前控制。投资管理有限公司（三）公司自有资金与客户委托资金实行分户管理，在管理、使用和财务核算上完全分开。客户委托资金实行集中管理和监控，客户资金划付的授权、指令录入、审核、执行及与银行对帐等适当分离， 任何个人无权单独调动资金。（四）公司固定资产的购置、更新、转移和报废，首先要在年度经营计划中列出计划，购置前有书面申请报告，报董事长，经公司批准，由公司计划财务部下达公司批复后，方可办理有关购买手续。第十一

19、条电子信息系统控制主要内容包括：（一）根据 计算机信息系统安全保护条例等有关法律、法规，结合公司信息系统的个体情况，制定了电子信息系统的管理规章、操作流程、岗位手册和风险控制制度。（二）数据库管理系统的口令必须由信息技术中心专人掌握，并定期更换。操作人员应有互不相同的用户名，定期更换操作口令，严禁操作人员泄露自己的操作口令。禁止同一人掌管操作系统口令和数据库管理系统口令。（三）建立和完善技术监管系统，定期进行独立的对帐，核对交易数据、清算数据、保证金数据、证券托管数据以及会计数据的一致性和连续性。离岗人员必须严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料。同时其负责的信息系统的口令

20、必须立即更换。（四）对交易业务数据实施严格的安全保密管理，交易业务数据不得随意更改。公司电脑部建立证券投资部交易业务数据库，并定期和不定期与财务部数据库进行核对，防止使用过程中产生误操作或被非法篡改。每个工作日结束后必须及时对交易业务数据进行备份。第十二条信息传递控制主要内容包括：（一）业务部为公司内部信息收集和处理部门，应指定专人负责业务信息的收集、再整理、存档工作。（二）各部门主要领导作为业务信息资源的负责人，负责本单位信息报送的和审核工作。各部门的业务秘书（或指定专门信息员） 作为业务信息的责任人，负责本单位的信息收集和报送工作。（三）为掌握公司日常经营情况，保证住处披露的及时、准确，

21、公司业务部门应当及时与董事长和总经理通反馈日常经营情况。 投资管理有限公司（四）所有内部知情人在信息公开披露之前负有保守的交务。第十三条内部审计控制主要内容包括：（一）风险控制部负责公司内部审计，直接接受董事长传导。风控部独立于公司各业务部门之外，就内部控制制度的执行情况，独立地履行检查、评价、报告、建议职能，并对董事长负责。（二）风险控制部负责人任免由董事长决定。（三）风险控制部应于每年 月底前向董事长提交上一年度风险控制工作报告，风控工作报告应据实反映内部审计部门在上一年度中所发现的内部控制的缺陷及异常事项、对发现的内部控制缺陷及异常事项的处理建议及整改情况等内容。（四）风险控制部通过定期

22、或不定期检查内部控制制度的执行情况，确保公司各项经营管理活动的有效运行。（五）任何部门和人员不得拒绝、阻挠、破坏内部风控工作，对打击、报复、陷害风控工作人员的行为必须制定严厉的处罚制度。（六）严格风控人员奖惩制度，对滥用职权、徇私舞弊、玩忽职守的，应追究有关部门和人员的责任；对在风控工作中表现突出的， 应予以适当的表彰与奖励。第十四条总经理负责督促、检查和评价证券公司各项内部控制制度的建立与执行情况，对内部控制的有效性负最终责任；每年至少进行一次全面的内部控制检查评价工作，并形成相应的专门报告。总经理应对公司风控部门等对公司内部控制提出的问题和建议认真研究并督促落实。总经理应对高管、经理人员履

23、行职责的情况进行监督，对公司财务情况和内部控制建设及执行情况实施必要的检查，督促各人员及时纠正内部控制缺陷。第十五条风险控制部应从以下几个方面，对公司总体内部控制的有效性进行评估：（一）控制环境指影响内部控制效果的各种综合因素。控制环境是其他控制要素发挥作用的基础，直接影响到内部控制的贯彻执行及内部控制目标的实现。主要包括：公司的结构；经理层的职业道德、诚信及能力；经理层的管理哲学及经营风格；聘雇、培训、管理员工及划分员工权责的方式；信息沟通体系等。（二）风险评估指公司对可能导致内部控制目标无法实现的内、外部因素进行评估，以确认这些因素的影响程度及发生的可能性， 其评估结果可协助公司制定必要的

24、内部控制制度。（三）控制活动指协助经理层确保其指令已被执行的政策或程序，主要包括核准、验证、调节、复核、定期盘点、记录核对、职能分工、保障资产安全及与计划、预算、与前期效果的比较等内容。（四）信息及沟通内部控制必须能产生规划、监督等所需的信息，并使信息需求者能适时取得相关信息，主要包括与内部控制目标有关的财务及非财务信息在公司内部的传递及向外传递。（五）监督指对内部控制的效果进行评估的过程，包括评估控制环境是否良好，风险评估是否及时、准确，内部控制活动是否适当、确实，信息及沟通系统是否好顺畅等。监督可分为持续性监督及专项监督，持续性监督是经营过程中的例行监督，包括经理层的日常管理与监督，员工履行其职务时所采取的监督等；专项监督是由公司内部相关人员或外部相关机构就某一特定目标进行的监督。第十六条风险控制部应于每年月底前完成对上一年度内部控制的评估工作并分别向董事长、总经理提交内部控制报告和风控工作报告。报告至少应包括评价及对公司内部控制总体效果的结论性意见。第十七条董事长应就上述内部控制报告召开专门的会议并形成决议。