大型购物广场-信息系统访问管理.doc

《大型购物广场-信息系统访问管理.doc》由会员分享，可在线阅读，更多相关《大型购物广场-信息系统访问管理.doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、xxxx购物广场有限公司内部控制系列文件010402 信息系统访问管理xx 版批 准： xx-04-01发布 xx-04-01实施xxxx购物广场有限公司 1.0目的本程序规定了公司有关信息系统访问管理方面的具体要求，旨在规范公司信息系统访问安全管理、信息系统账户及权限管理的各项具体工作，确保公司信息系统的集成性、合规性和效益性，并防范信息系统访问管理过程中的各种潜在风险。2.0制度要求2.1信息系统访问管理程序制定2.1.1公司统括部根据集团信息系统访问管理程序，结合自身实际，制定本公司信息系统访问管理制度。2.1.2统括部应当会同内控人员等信息系统用户进行信息系统访问管理知识的培训，并在培

2、训后予以考核。2.2信息系统访问安全2.2.1由统括部IT人员对信息系统用户的上机、密码和使用权限进行严格规范。新用户需经过IT人员指导培训后，才能开始使用账户，并且有不确定的录入或删除操作时，应即时的与IT人员联系，避免不应当的误操作。2.2.2公司各信息系统应该设定系统管理员，对于专业软件，如财务软件可以设定财务总监为系统管理员，商友系统可以设定IT人员为系统管理员，但必须保证系统管理员与系统操作人员职责相分离。系统管理人员对系统账号进行维护： 对于发生岗位变化或离岗的用户，及时调整其在系统中的访问权限。如员工离职，IT人员在获得员工离职信息的当日，则将该员工在公司信息系统中的用户账号禁用

3、并取消所有权限。 每季度对系统中的账号进行审阅，避免有授权不当或冗余账号存在。 信息系统使用部门分管领导每半年对用户权限进行审阅。2.2.3 IT人员利用操作系统、数据库、应用系统自身提供的安全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。涉及上网操作的，企业应当加强防火墙、路由器等网络安全方面的管理。2.2.4 IT人员每周检测信息系统运行（包括服务器、防火墙、路由器、交换机等）情况，及时进行计算机病毒的预防、检查工作，具体见010404-xx杉杉-网络管理。2.2.6 IT人员设定各操作人员的权限范围，更换操作人员或密码泄密后，必

4、须及时更改密码。IT人员在每台业务电脑上设置屏保密码，防止操作人员如果离开业务电脑，而未关闭业务系统，其他人员越权操作或查询业务信息而引起的信息安全问题。2.2.7 IT人员牵头各部门根据信息的重要性程度和泄密风险损失等划分标准，将信息分为机密类、秘密类和重要类等，并建立不同类别信息的授权使用制度。2.2.8 IT人员每季度从系统中导出目前的应用系统用户和权限列表，并发送给运营、销售金、统括、财务、内控等部门负责人，部门负责人审阅列表中的用户是否都应该拥有列表中列出的相应权限，审阅后，将审阅意见及时回复IT人员，IT人员将该回复记录留档备查。如需调整用户权限，按本制度2.3.1.5进行。2.3

5、信息系统账号及访问权限管理2.3.1商友系统管理2.3.1.1商友系统是公司最主要的业务系统，商铺所有的收银机数据汇总和后台报表制成都是通过该系统完成。对于系统管理员帐号在正式库，仅使用基础信息定义、系统管理、收款台管理、数据分析（查询）四个模块的功能，对于SUPER帐号，只有IT高级主管和IT主管才能使用，每次使用需要记录操作内容和使用人签名，记录在SUPER帐号使用登记（附表1）。长益程序员需使用该帐号，必须经IT同意并登记后方可使用，长益程序员在操作过程中，IT进行监督。2.3.1.2商友系统使用部门提出用户账号及访问权限申请，填写商友系统用户新增/变更权限申请表（参见表2）经部门部长、

6、IT人员、销售金负责人审核，财务总监审批经过后方可交IT人员执行并将收到的申请表顺序编号，统一保存，以备查看。2.3.1.3 审批人员在审核账号及访问权限申请，重点审核以下内容： 账号及访问权限的范围； 账号及访问权限的必要性，是否符合其职务的要求及职责； 账号及访问权限是否受到业务监督人员的监督； 账号及访问权限是否利于业务的进行； 账号及访问权限是否符合公司内部控制制度要求。2.3.1.4 用户账号及访问权限审批通过后，IT人员开通用户账号及使用权限，及时通知用户账号及权限开通情况和更改初始密码，并将账号信息记录归档备查。2.3.1.5账号及访问权限变更账号变更需要由使用部门填写商友系统用

7、户新增/变更权限申请表（参见表2），经部门部长、销售金负责人及IT人员审核，财务总监审批后方可执行。访问权限新增/变更需要由使用部门填写商友系统用户新增/变更权限申请表（参见表2），经部门部长、销售金负责人及IT人员审核，财务总监审批后方可执行。账号及权限变更需在批准之后立即执行账号及权限变更程序。2.3.1.6账号及权限作废 账号作废时由IT人员列出作废账号名单，经过部门部长、销售金负责人的审核、财务总监审批后，执行帐号作废。权限作废时由IT人员列出作废权限内容，经部门部长、销售金负责人审核、财务总监审批后，执行权限作废。2.3.1.7商友系统定义新增/变更由销售金填写商友系统定义设置新增/

8、变更申请表（参见表3），部门部长、IT人员、销售金副部长及财务总监审核方可执行。2.3.1.8商友系统用户密码定期变更系统管理员每季度会向正在使用的用户发一封用户密码自行更改邮件，各用户对其账户的密码进行修改，系统管理员通过日志检查用户更改密码情况。2.3.1.9系统管理员每月对该月的用户操作日志进行确认，把确认中的问题和结果，邮件给统括部部长，抄送内控部长。2.3.2文件服务器管理2.3.2.1文件服务器提供各个部门之间文件的共享，及各个部门内文件共享。系统管理员即该服务器唯一最高权限使用人使IT人员。其他用户登录该服务器的账号，必须由系统管理员输入及保存，不准任何人以任何形式修改登录文件服

9、务器的账号及密码。2.3.2.2公共文件夹的访问修改权限。公司内任何电脑都可以对该文件夹所有文件进行读取、复制、修改、删除操作。公司每台新电脑的加入系统管理员可以为用户开通公共文件夹权限。2.3.2.3新建部门文件夹审批部门负责人填写文件服务器共享文件夹新增/变更申请表（参见表4），统括部部长审批后，IT人员新建文件夹，并开通相关人员的相关权限。2.3.2.4用户权限修改用户填写文件服务器共享文件夹新增/变更申请表（参见表4），报部门负责人、统括部部长审批后，IT人员更改该用户权限。2.3.3财务信息系统管理2.3.3.1财务信息系统的一系列管理，都在财务内部流程内，IT人员仅提供硬件和网络支

10、持，账号及权限由财务自行管理。2.3.4自行开发的小型系统管理2.3.4.1根据各部门内部管理要求，IT开发的小型系统，IT开发人员和管理人员具有最高权限，其他用户权限由负责该部门领导分配。2.3.4.2小型系统人员和权限的变更和清除由负责该部门领导通过邮件通知IT调整。IT调整完成后，通过邮件回复汇报情况。3.0流程图（另附）4.0政策4.1禁止未经培训的相关人员不得作为操作人员申请账户及权限。4.2对于发生岗位变化或离岗的用户，公司必须立即调整其在系统中的访问权限。4.3禁止未经授权人员擅自调整、删除或修改系统中设置的各项权限参数。4.4禁止信息系统用户私自安装非法软件和卸载企业要求安装的

11、防病毒软件。4.5公司信息系统操作人员必须在权限范围内进行操作，严禁利用他人的口令和密码进入软件系统。4.6禁止任何信息系统访问管理经办人员和授权管理人员在执行信息系统账号及权限管理过程中不按程序处理业务，并对违反规定的责任人员按照有关奖惩管理程序予以相应的处分。4.7原则上本制度每年修订一次，遇特殊情况时经授权审批后可随时进行修改。本制度最终解释权归属于公司总经理办公会。5.0相关制度及表单表1xx杉杉-010402-01 SUPER帐号使用登记表表2xx杉杉-010402-02 商友系统新增/变更用户权限申请表表3xx杉杉-010402-02 商友系统定义设置新增/变更申请表表4xx杉杉-

12、010402-03 文件服务器共享文件夹新增/变更申请表表1：SUPER帐号使用登记表序号使用日期用途使用人备注123456789101112131415161718192021222324252627282930表2：商友系统新增/变更用户权限申请表申请人申请部门用户新增 账号变更 权限变更 申请理由和所需要使用功能： 日期：系统管理员描述： 日期：部门负责人意见：日期：销售金负责人意见： 日期：财务总监意见：（权限新增及变更） 日期：表3：商友系统定义设置新增/变更申请表申请人申请部门定义新增 定义变更 申请理由和所需要使用功能： 日期：系统管理员描述： 日期：销售金副部长意见：日期：财务总监意见： 日期：表4：文件服务器共享文件夹新增/变更申请表申请人申请部门用户新增 权限变更 申请理由和所需要使用功能： 日期：系统管理员描述： 日期：统括部部长意见： 日期： 010402-郑州xx杉杉-信息系统访问管理 10/10