公司内部控制规范——信息系统一般控制.docx

《公司内部控制规范——信息系统一般控制.docx》由会员分享，可在线阅读，更多相关《公司内部控制规范——信息系统一般控制.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第 18 局部 公司内部掌握标准信息系统一般掌握18.1 岗位责任与授权审批制度18.1.1 计算机信息系统岗位责任制度内掌握度名称计算机信息系统岗位责任制度执行部门内掌握度编号监视部门制度受控状态生效日期第 1 条目的为了明确计算机信息系统相关部门及岗位的职责、权限，确保计算机信息系统治理不相容岗位相互分离、相互制约和监视，特制定本制度。第 2 条范围计算机信息系统治理的岗位一般包括：系统分析、编程、测试、程序治理、数据库治理、数据掌握和终端操作。第 3 条不相容岗位1. 系统开发和变更过程中不相容岗位一般应包括：开发立项、审批、编程、测试。2. 系统访问过程中不相容岗位一般应包括：申请、审

2、批、操作、监控。第 2 章 岗位责任第 4 条董事会董事会的主要职责包括：1. 审议计算机信息系统战略规划；2. 审议重要信息系统政策；3. 审议重大信息系统立项申请。第 5 条总经理总经理的主要职责包括：1审核计算机信息系统战略规划；2. 审核重要信息系统政策；3. 审批一般信息系统政策；4. 审核和审批信息系统立项申请。第 6 条信息总监信息总监的主要职责包括：1. 制定公司信息治理战略规划，报总经理和董事会审批；2. 审核信息系统立项申请；3. 组织进展信息系统的开发；4. 组织人员对信息系统的开发结果进展测试；5. 推广并不断完善公司信息化系统，推动公司信息化治理步伐；6. 引进或组织

3、开发公司信息化治理系统，实现办公自动化；7. 推动信息系统的建设与维护，保证公司内无纸化办公。第 7 条信息部经理信息部经理的主要职责包括：1. 依据公司进展战略及经营打算编制部门进展规划及工作打算，上报领导审批后组织实施；2. 主持信息治理软件平台的开发、应用、监视和治理；3. 负责制定公司网络、计算机治理的各项规章制度，上报领导审批后贯彻实施；4. 监视、检查制度的执行状况，适时修订、完善各项制度；5. 组织进展信息系统工程的立项申请工作；6. 进展信息系统的分析和开发；7. 组织人员进展信息系统开发编程工作；8. 协调有关职能部门，安排人员进展相关应用软件的安装调试及有关技术支持，对安装

4、调试中消灭的各种问题提出处理意见，并帮助其妥当解决；9. 准时编制系统帮助手册，经领导审批后，准时下发到相关部门；10. 信息化系统在使用过程中，安排人员为各职能部门和子公司供给技术指导，促进系统操作技术的有效运用；11. 全面把握各种交换机设备和效劳器的安装、配制技术，治理交换机设备和效劳器密码，处理各种网络设备的突发故障；12. 进展程序治理和数据库治理以及数据掌握。第 8 条信息部主管信息部主管的主要职责包括：1. 参与编制部门进展规划及工作打算；2. 参与信息系统立项申请工作；3. 组织维护公司效劳器的正常运行；4. 负责公司硬件设施、网络设备的修理治理；5. 组织对设备电路及系统进展

5、日常维护、定期检修测试和故障处理，保证设备、电路、系统及网络运行正常、完好；6. 参与信息系统立项申请；7. 参与进展信息系统的分析和开发；8. 进展信息系统开发编程盒测试工作；9. 进展相关应用软件的安装调试及有关技术支持；10. 进展程序治理和数据库治理以及数据掌握。第 9 条信息部专员信息部专员的主要职责包括：1. 为信息系统立项申请搜集资料，进展调研；2. 参与进展信息系统的分析和开发；3. 参与信息系统开发编程和测试工作；4. 参与进展相关应用软件的安装调试及有关技术支持；5. 对设备电路及系统进展日常维护、定期检修测试和故障处理。第 10 条信息系统使用部门信息系统使用部门的主要职

6、责包括：1. 参与制定信息系统战略规划；2. 参与制定重要信息系统政策；3. 负责记录交易内容，授权处理数据，并利用系统输出的结果；4. 承受信息部关于信息系统操作的培训；5. 信息系统消灭故障时，向信息部提出修理申请；6. 部门经理负责信息系统操作申请的审批；7. 部门主管或经理负责对内部人员操作状况进展监控。第 3 章 附则第 11 条本制度由信息部会同公司其他有关部门解释。第 12 条本制度配套方法由信息部会同公司其他有关部门另行制定。第 13 条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18.1.2 计算机信息系统归口治理制度内掌握度名称计算机信息系统归口治

7、理制度执行部门内掌握度编号监视部门制度受控状态生效日期第 1 条目的为了加强计算机信息系统的治理工作，标准归口治理部门的业务内容，特制定本制度。第 2 条范围计算机信息系统归口治理的业务一般包括：信息系统开发、变更和维护等工作。第 3 条信息系统开发归口治理1. 计算机信息系统开发包括自行设计、外购调试和外包合作开发。2. 在开发信息系统时，应当充分考虑业务和信息的集成性，优化流程，并将相应的交易权限嵌入到系统程序中，预防、检查、订正错误和舞弊行为，确保业务活动的真实性、合法性和效益性。3. 信息系统开发业务由信息部信息系统开发主管负责，上级主管领导为信息部经理和信息总监。4. 信息系统开发必

8、需经过正式授权。具体程序包括：（1） 用户部门提出需求；（2） 信息部经理和信息总监进展审核；（3） 总经理和董事会超过 100 万元的工程由董事会审批审批通过后交由信息部进展开发；（4） 系统分析人员设计方案；（5） 程序员编写代码；（6） 测试员进展测试；（7） 系统最终上线；8维护人员进展系统维护。第 4 条对于外包合作开发的工程，应加强对外包第三方的监控。第 5 条外购调试或外包合作开发等需要进展招标的信息系统开发工程，应依据招标程序公正、公正、公开进展招标。第 6 条信息系统变更归口治理信息系统上线后，发生的功能变更必需经过严格审核和审批，具体程序参照信息系统开发业务。第 7 条信息

9、系统维护归口治理1提倡承受预防性措施确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。2信息系统的日常检测由信息部维护主管负责，上级主管领导为信息部经理和信息总监。3信息系统发生故障，应由信息部修理主管制定修理方案，交由信息部经理和信息总监审核与审批后组织人员进展修理。4信息系统发生紧急状况，应由信息部修理主管制定紧急预案，交由信息部经理和信息总监审核与审批后组织人员实施。第 8 条本制度由信息部会同公司其他有关部门进展解释。第 9 条本制度配套方法由信息部会同公司其他有关部门另行制定。第 10 条本制度自年月日起实施。编制日期审核日期批准日期修改

10、标记修改处数修改日期18.2 信息系统开发变更与维护标准18.2.1 信息系统开发制度内掌握度名称信息系统开发制度执行部门内掌握度编号监视部门制度受控状态生效日期第 1 条目的为了防止系统在开发过程中可能消灭错误和偏差，确保系统设计合理、正确，特制定本制度。第 2 条范围信息系统开发包括系统规划、系统分析、系统设计、系统实施、系统维护与评价五个阶段。第 3 条系统规划治理1. 系统规划治理阶段参与人员及分工：（1） 信息总监做信息系统开发工程的总体规划；（2） 信息系统开发工程经理依据总体规划制订开发打算；（3） 系统分析员负责搜集开发资料。2. 系统规划阶段存在的风险及应对策略：（1） 市场

11、竞争风险，竞争优势有可能被仿效。应对策略是增加自身特色，提高系统的技术含量和竞争优势；（2） 政治、经济环境和法律、法规风险。应对策略是做详尽的可行性分析，承受先进工具进展风险掌握；（3） 缺乏高层领导支持。应对策略是培训、沟通、聘请权威专家讲座等。第 4 条系统分析治理1. 系统分析治理阶段参与人员及分工：（1） 系统分析员进展资料分析；（2） 终端用户对系统提出访用要求。2. 系统分析阶段存在的风险及应对策略：（1） 不合理的组织构造可能影响工程小组进展系统分析的效果。应对策略是业务流程重组，对内部进展调整；（2） 用户需求的多样性以及用户的数量和重视程度可能加大系统分析工作的工作量。应对

12、策略是建立多样性的沟通渠道，加强沟通。第 5 条系统设计治理1. 系统设计治理阶段参与人员及分工：（1） 系统设计员进展设计系统总体构造框架设计、代码设计、数据库设计、输入 /输出设计、处理流程及模块功能的设计；（2） 数据库治理员依据数据的不同用途、使用要求、统计渠道、安全保密性等，打算数据的整体组织形式、表或文件的形式，以及打算数据的构造、类别、载体、组织方式、保密等级等一系列的问题。2. 系统设计阶段存在的风险及应对策略：（1） 开发团队阅历缺乏可能造成信息系统开发时间过长。应对策略是全面考察开发团队，选择有阅历的开发人员，并建立有效的监视机制；（2） 系统开发技术过于简单、技术不成熟或

13、过时用户需求的多样性以及用户的数量和重视程度可能加大系统分析工作的工作量。应对策略是加强技术沟通，集中精力解决技术难题，有条件的应设有备选方案。第 6 条系统实施治理1. 系统实施治理阶段参与人员及分工：（1） 程序设计员进展程序设计和系统调试及试运行；（2） 数据库治理员进展数据收集，数据格式的标准化与标准化；（3） 终端用户对系统试运行效果提出意见和建议。2. 系统实施阶段存在的风险及应对策略：（1） 时间和费用超出预算可能造成信息系统开发本钱过高。应对策略是编制详尽、科学的预算，加强内部本钱治理和掌握；（2） 用户阅历缺乏可能导致系统功能不完整。应对策略是加强教育培训。第 7 条系统维护

14、与评价治理 1系统维护与评价治理阶段参与人员及分工：（1） 系统维护人员进展日常运行维护和系统的更维护；（2） 数据库治理员进展数据库和代码维护。2系统维护与评价阶段存在的风险及应对策略：（1） 数据是否准确、安全及保密直接影响信息系统开发的效果。应对策略是进展合理的系统设计，承受防火墙和加密技术；（2） 系统目标不明确、缺乏软件质量监控可能导致系统功能不健全。应对策略是制定明确目标，加强质量治理。第 8 条本制度由信息部会同公司其他有关部门进展解释。第 9 条本制度配套方法由信息部会同公司其他有关部门另行制定。第 10 条编制日期本制度自年月日起实施。审核日期批准日期修改标记修改处数修改日期

15、18.2.2 信息系统应急制度内掌握度名称内掌握度编号制度受控状态信息系统应急制度执行部门监视部门生效日期第 1 条 为了进一步加强信息系统应急治理，提高应对紧急状况的力量，确保信息系统安全稳定地运行，特制定本制度。第 2 条信息部应成立应急治理小组，处理信息系统的突发大事。第 3 条相关职责1. 信息部经理职责：（1） 全面领导应急治理工作；（2） 负责信息系统突发大事总体组织和指挥调度；（3） 协调各部门在应急治理工作中的分工和工作关系；（4） 组织编制应急操作手册。2. 信息部主管职责：（1） 负责组织制定应急对策；（2） 对应急治理工作进展监视和检查；（3） 定期组织有关人员分析争论应

16、急治理工作中消灭或可能消灭的状况、问题；（4） 向公司领导汇报状况。3. 信息部应急专员职责：（1） 负责协作信息部经理和主管执行应急预案；（2） 参与应急处理和应急演练。第 4 条为应付信息系统突发大事应预备好的各种应急物资，主要包括：1. 物质资源预备主要有电源动力，网络通信、生产效劳器、数据及软件；2. 人力资源预备，重要技术岗位要建立双人或多人的备份制度；3. 应急操作手册的编写和维护；4. 建立重要信息系统例行检查制度，对机房环境、动力电源、防雷系统、网络设备等重要系统应每季度全面彻底地检查一次，保证系统的完好可用。第 5 条应急措施实施1. 发生应急大事时，各部门、各岗位要相互支持

17、，相互协作，听从指挥。2. 应急启开工作流程（1） 操作人员应加强监控，一旦觉察特别信息，按应急操作手册进展初步推断，并马上报告信息部经理或主管。（2） 信息部经理或主管对状况进展推断，属于应急大事，马上启动应急操作流程。（3） 由操作人员按机房操作手册规定的步骤进展操作，并随时向信息部主管报告执行结果。（4） 操作人员处理后未能马上解决，信息部技术人员应第一时间赶赴现场进展应急处理，并报告信息部经理。（5） 短时间内能够解决的问题，则进入应急恢复和总结环节。（6） 短时间内不能解决的问题，信息科技部经理要马上报告信息总监。（7） 信息总监依据阅历推断是否马上启动应急流程。（8） 信息总监推断

18、属于重大信息系统问题，应准时将应急方案提交总经理审批。（9） 信息总监组织成立应急领导小组，赶赴现场进展指挥。3. 应急处理工作流程（1） 应急领导小组做好应急大事的通知和预报，组织与协调各项应急处理工作。（2） 参与应急处理的各部门应统一听从领导指挥，全力协作，做好各项应急处理工作。（3） 正常工作时间内发生应急大事要求应急实施人员 5 分钟内到达现场，严格依据应急操作手册进展应急处理。（4） 节假日、双休日期间发生应急大事，要求应急实施人员 60 分钟内到达现场。（5） 信息部应急专员应严格依据应急操作手册所规定的步骤快捷实施应急处理，同时记录全过程的状况，认真采集和整理现场第一手资料，做

19、好故障信息日志的保护和应急过程处理步骤的记录。（6） 对于应急故障处理期间发生的问题、信息，应急实施成员应准时报告现场总指挥。（7） 对于消灭超出应急操作手册界定的应急大事响应条件的，应急领导小组应组织技术人员争论分析，快速提出解决措施。第 6 条应急恢复和总结1. 应急处理完毕后，应急实施成员应必需尽快恢复系统运行环境，并进展严格的检查和验证。2. 信息部相关人员应认真总结应急大事发生的缘由、处理过程和阅历教训，提出整改措施和方案，形成应急处理总结报告，上报信息总监和总经理。3. 依据应急处理的实际状况对应急操作手册进展补充和完善。第 7 条本制度由信息部会同公司其他有关部门进展解释。第 8

20、 条本制度配套方法由信息部会同公司其他有关部门另行制定。第 9 条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18.3 信息系统访问安全管控标准18.3.1 信息授权使用制度内掌握度名称内掌握度编号制度受控状态信息授权使用制度执行部门监视部门生效日期第 1 条 为了进一步加强公司保密信息的治理，降低泄密风险，确保信息系统安全稳定地运行，特制定本制度。第 2 条信息部应对全部的重要信息进展密级划分，包括书面形式和电子媒介形式保存的信息。第 3 条信息等级划分。1. 一级保密信息，适用于一般信息，其遭到破坏和泄漏后，会对公司相关人员的合法权益产生损害。2. 二级保密信息，

21、适用于公司各个部门内部一般信息，其遭到破坏和泄露后，会对公司相关部门的合法权益产生损害。3. 三级保密信息，适用于涉及公司利益的一般信息，其遭到破坏和泄露后，会对公司的相关交易事项产生负面影响。4. 四级保密信息，适用于涉及公司利益的重要信息，其遭到破坏和泄露后，会影响公司的绝大多数交易的进展，对公司利益产生严峻影响。5. 五级保密信息，适用于涉及公司利益的重大信息，其遭到破坏和泄露后，会影响公司正常运营，对公司的整体形象产生严峻损害。第 4 条不同类别信息的授权使用。1. 一级保密信息必需经过信息部主管的签字同意方可使用。2. 二级保密信息必需经过信息部经理的签字同意方可使用。3. 三级保密

22、信息必需经过信息部经理和相关部门经理的共同签字同意方可使用。4四级保密信息必需经过公司财务总监的签字同意方可使用。5五级保密信息必需经过公司总经理的签字同意方可使用。第 5 条本制度由信息部会同公司其他有关部门进展解释。第 6 条本制度配套方法由信息部会同公司其他有关部门另行制定。第 7 条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18.3.2 访问安全治理制度内掌握度名称访问安全治理制度执行部门内掌握度编号监视部门制度受控状态生效日期第 1 章 总则第 1 条为了提高公司信息系统的牢靠性、稳定性、安全性，特制定本制度。第 2 条本制度适合信息部与各用户部门涉及使用

23、公司信息系统的相关人员。第 2 章 操作人员标准第 3 条未经培训的操作人员制止使用信息系统。第 4 条 公司信息系统中的软件升级、杀毒、安装等由信息部统一操作，制止用户部门的操作人员擅自进展系统软件的删除、升级、杀毒、转变及卸载系统软件版本等。第 5 条 信息部工作人员在信息系统中设置的安全参数与软件系统环境配置等，制止用户部门的操作人员修改。第 6 条 操作人员离开工作现场时，要锁定或退出已经运行的程序，防止他人利用自身账号操作，否则造成的后果由当事人自己担当。第 7 条更换操作人员或密码泄露后，用户必需准时修改密码。第 8 条公司信息系统中的信息、数据为公司资产，制止未经授权的操作人员使

24、用存储介质存储。第 3 章 信息部人员安全标准第 9 条信息部指定人员定期批阅信息系统中的账号，避开有授权不当或非授权账号存在。第 10 条信息部指定人员监测各账号使用信息系统的状况，觉察特别上报信息部经理。第 11 条信息系统治理员应加强防火墙、路由器等网络安全方面治理，防范外网对信息系统造成损害。第 4 章 附则第 12 条本制度由信息部会同公司其他有关部门进展解释。第 13 条本制度配套方法由信息部会同公司其他有关部门另行制定。第 14 条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18.4 硬件治理方法18.4.1 硬件设备日常治理方法内掌握度名称硬件设备日常

25、治理方法执行部门内掌握度编号监视部门制度受控状态生效日期第 1 章 总则第 1 条为了加强信息系统的硬件治理，保持公司信息系统的稳定运行，特制定本方法。第 2 条本方法适合信息部与各用户部门涉及使用公司信息系统的相关人员。第 3 条 本方法所指的硬件是指计算机的可视章及周边设备，包括打印机、扫描仪、存储器及网络设备等。第 2 章 硬件选购第 4 条 硬件设备的购置申请由使用部门提出并填制“硬件设备请购单”，“硬件设备请购单”的内容应包括：硬件设备名称、规格、型号、单价、总额、主要制造厂商以及购置缘由等。第 5 条 “硬件设备请购单”由所在部门经理审核后提交至信息部经理审批，单件设备价格在 5

26、万元以上或总批量价格在 10 万以上的应提交至信息总监和总经理审核审批。第 6 条总经理审批签字后送交选购部进展选购。第 7 条 购置的硬件必需经信息部相关人员检测，以确认其符合产品标准，假设不符合则由选购人员联系厂家退换。第 8 条购置回的硬件需留意保存好其使用说明书、驱动程序及保修书。第 9 条经检测完好的硬件由信息部人员统一贴上标签。第 10 条所贴标签内容：1. 硬件名称、编号；2. 硬件购置日期；3. 硬件使用部门、人员或保管人。第 3 章 硬件的使用第 11 条公司的硬件设施由授权人员使用，未经授权人员一律不得使用。第 12 条使用硬件时制止在硬件四周抽烟、吃零食、嗑瓜子等，以防对

27、硬件造成污染或损伤。第 13 条未经允许制止移动硬件的位置，移动硬件时需得到信息部的批准并在信息部的监视下移动， 否则造成的后果由当事人担当。第 14 条任何人制止更换硬件上的标签与硬件的部件，觉察后将按公司相应规定进展惩罚。第 4 章 硬件的保管、报修、维护第 15 条使用部门需指派专人对硬件进展保管，没有指派专人的，视部门经理为保管人。第 16 条硬件保管人因离职、调动等发生变化时，信息部工作人员要准时更信息。第 17 条当硬件消灭问题时，准时联系信息部人员，制止私自修理、拆卸硬件。第 18 条信息部人员应对消灭问题的硬件进展检查并联系厂商进展修理。第 19 条修理或维护过的硬件由信息部修

28、理或维护人员与保管人共同填写并保存“硬件维护记录表”，信息部人员需将此条信息记入硬件治理档案并定期由信息部经理及运营总监审核。第 20 条信息部人员应定期对硬件进展检查和维护，以确保其性能稳定。第 21 条硬件设备因老化、损耗及其他缘由报废时，由信息部工作人员进展检测后填写“硬件报废单”，经审批通过后进展报废处理，同时将信息记入档案。第 5 章 附则第 22 条本方法由信息部会同公司其他有关部门进展解释。第 23 条本方法配套方法由信息部会同公司其他有关部门另行制定。第 24 条编制日期本方法自年月日起实施。审核日期批准日期修改标记修改处数修改日期18.4.2 硬件设备应急处理方法内掌握度名称

29、内掌握度编号制度受控状态硬件设备应急处理方法第 1 章 总则执行部门监视部门生效日期第 1 条为了进一步加强信息系统硬件应急治理，提高应对紧急状况的力量，确保信息系统硬件安全， 特制定本方法。第 2 条信息部应成立应急治理小组，处理信息系统的突发大事。第 3 条 本方法所指的硬件是指计算机的可视章及周边设备，包括打印机、扫描仪、存储器及网络设备等。第 4 条硬件设备突发大事分类：1. 关键设备或系统的故障；2. 自然灾难水、火、电等造成的物理破坏；3. 人为操作失误造成的安全大事。第 2 章 硬件设备突发大事预防措施第 5 条 建立安全、牢靠、稳定运行的机房环境，做好防火、防盗、防雷电、防水、

30、防静电及防尘等工作。第 6 条 建立备份电源系统，重要系统承受牢靠、稳定硬件，进展备份等措施，落实数据备份机制， 遵守安全操作标准。第 7 条加强全部人员防火、防盗的根本技能。第 3 章 硬件设备突发大事应急预案第 8 条办公室漏水应急预案 1工作人员觉察机房漏水后应马上通知信息部主管或经理。2. 信息部主管或经理组织人员检查房屋及空调系统，空调系统漏水应准时联系设备供给方进展处理。3. 墙体或窗户渗漏水，应马上通知行政部，准时去除积水，进展墙体或窗户修理，避开不必要的损失。第 9 条发生被盗或人为损害大事应急预案 1使用者觉察设备被盗或有人为损害设备状况时，应马上报告信息部主管并保护好现场。

31、2信息部主管组织人员勘察现场，确属盗窃案件应马上通知公安部门，清点被盗物资或盘查人为损害状况，做好必要的影像记录和文字记录。 3使用部门人员应乐观协作公安部门进展调查，并将有关状况向信息部经理汇报。第 10 条办公室长时间停电应急预案1. 接到长时间停电通知后，信息部经理应依据停电时间、电池电能贮备、供电治理部门信息、网络和信息运行状况等准时通知公司各部门人员，并告知在停电前停顿业务、保存数据。2. 信息部经理应准时通知行政部启动备用发电设备，保证工作正常进展且业务数据不丧失。第 11 条通信网络故障应急预案 1发生通信线路中断、路由器故障、流量特别等状况，操作人员应准时报告信息部经理。2.

32、信息部经理组织人员准时查清通信网络故障位置，通知相关通信网络运营商进展修理，同时切断故障区与效劳器的网络联接。3. 相关技术人员协作修理人员逐步恢复故障区与效劳器的网络联接，恢复通信网络。4. 信息部经理负责编制故障分析报告，上报信息总监和总经理。第 12 条核心设备硬件故障应急预案1. 发生核心设备硬件故障后，信息部经理应组织人员查找故障设备及故障缘由，并进展先期处理。2. 故障设备在短时间内无法修复，应启动备份设备保持系统正常运行。3. 联系相关厂商， 相关人员应填写设备故障报告单备查。4. 故障排解后，信息部主管应在适宜时间替换备用设备。第 13 条自然灾难事故应急预案1. 遇到暴雨雷鸣

33、天气时，信息部应准时关闭全部效劳器，切断电源，暂停内部计算机网络工作。2. 暴风雨天气完毕后，信息部应对各部门的硬件设备进展检查，假设消灭故障，应准时进展修理或通知厂家修理。第 4 章 附则第 14 条本方法由信息部会同公司其他有关部门负责解释。第 15 条本方法配套方法由信息部会同公司其他有关部门另行制定。第 16 条编制日期本方法自年月日起实施。审核日期批准日期修改标记修改处数修改日期18.5 会计信息化管控标准18.5.1 信息化会计档案治理制度内掌握度名称内掌握度编号制度受控状态信息化会计档案治理制度执行部门监视部门生效日期第 1 条 为了保证会计信息化工作的顺当开展，保障信息化会计档

34、案的安全与完整，现依据国家相关法规，结合本公司实际状况，制定本制度。第 2 条 本制度所指的会计信息化是指利用计算机信息技术代替人工进展财务信息处理，以及替代章由人工完成的对会计信息进展分析和推断的过程。第 3 条 本制度所指的信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表包括报表格式和计算公式等数据。1. 会计凭证类数据：原始凭证、记账凭证、汇总凭证、其他会计凭证。2. 会计账簿类数据：总账、明细账、日记账、固定资产卡片、关心账簿、其他会计账簿。3. 财务报告类数据：季度、年度财务报告，包括会计报表、附表、附注及财

35、务状况说明书、其他财务报告。4. 其他类数据：银行存款余额调整表、银行对账单、其他应当保存的会计核算专业资料、会计档案移交清册、会计档案保管清册、会计档案销毁清册。第 4 条 电算审查人员负责信息化会计档案的治理，其日常工作归会计信息主管一般由会计主管兼任监视检查。第 5 条 信息化会计档案按会计档案治理的规定执行，会计电算化系统开发的全套文件档案资料视同会计档案进展治理，保存期限为截止系统停顿使用或重大更改后 3 年。第 6 条 存储于磁带、磁盘等磁介质中的资料包括会计凭证、科目余额、科目名称及编码、会计电算化的取数公式、计算公式等程序或数据资料，在没有打印成书面文件之前要妥当保管，在有关资

36、料已有书面文件的前提下，软盘储存文件的保存期为 2 年以上。第 7 条 信息化会计档案的存放要做到防消磁、防火、防潮、防盗、防尘、防高温、防虫害；会计数据的备份软盘要存放在两个不同的地点，并定期复制。第 8 条本制度由财务部会同公司其他有关部门解释。第 9 条本制度配套方法由财务部会同公司其他有关部门另行制定。第 10 条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18.5.2 会计信息化操作治理方法内掌握度名称内掌握度编号制度受控状态会计信息化操作治理方法执行部门监视部门生效日期第 1 条为了提高财务部门的工作效率，削减会计信息化带来的风险，特制定本方法。第 2 条

37、本方法适用于财务部门全部人员。第 3 条 本方法所指的会计信息化是指利用计算机信息技术代替人工进展财务信息处理，以及替代章由人工完成的对会计信息进展分析和推断的过程。第 4 条 本方法所指的信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表包括报表格式和计算公式等数据。第 5 条财务部的计算机只允许用作公司的会计、财务工作，制止在计算机上谈天、打玩耍等。第 6 条财务部的计算机专人专用，制止穿插使用。第 7 条公司会计信息的录入由专人负责，被指派人员保管好自己的账号与密码，严防泄露。第 8 条会计搜集的原始凭证在录入计算

38、机之前必需经由审核人员审核，审核人员做好审核记录。第 9 条会计在计算机上编制好记账凭证时，由审核人员上机审核并做好审核记录。第 10 条会计打印处的账表由财务部经理负责审核，定期报送财务总监审核。第 11 条财务每次使用计算机时必需使用不连续的电源，防止因断电导致核心数据丧失。第 12 条财务人员在每次下班前需将系统备份，防止数据丧失。第 13 条财务人员经过授权后定期将系统中的会计信息备份，存储于其他介质中保存好。第 14 条未经授权不得对会计软件进展修改、升级或更换硬件，否则造成的后果由当事人担当。第 15 条负责保管信息化会计档案的人员需定期检查，做好防火、防尘和防潮工作，防止存储介质

39、损坏导致会计档案丧失。第 16 条本方法由财务部会同公司其他有关部门进展解释。第 17 条本方法的配套方法由财务部会同公司其他有关部门另行制定。第 18 条本方法自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18.6 信息系统一般掌握相关文件资料18.6.1 信息密级划分表信息等级适用状况内容一级一般信息遭到破坏和泄露后，会对公司相关人员的合法权益产生损害二级公司各部门内部的一般信息遭到破坏和泄露后，会对公司相关部门的合法权益产生损害三级涉及公司利益的一般信息遭到破坏和泄露后，会对公司的相关交易事项产生负面影响遭到破坏和泄露后，会影响公司的绝大多数交易的进展，对四级涉及公司利

40、益的重要信息公司利益产生严峻影响遭到破坏和泄露后，会影响公司正常运营，对公司的整体形五级涉及公司利益的重大信息象产生严峻损害信息密级划分表18.6.2 灾难恢复打算书灾难恢复打算书内控文本编号内控文本名称文本受控状态一、定义本打算书所称灾难恢复为信息系统灾难恢复。灾难恢复打算包括：灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案治理、应急响应和恢复。二、组织机构及其职责1. 总经理或信息总监为信息系统灾难恢复工作的责任人，负责灾难恢复需求分析和策略制订。2. 董事会参与制订和审核灾难恢复策略，保证灾难恢复策略与经营目标的全都性。3. 灾难恢复的组织机构由信息部的治理、业务、技术等相

41、关人员组成。4. 信息部总监负责灾难恢复预案的审批、维护和演练，负责资源预备和经费审批。5. 信息部经理负责灾难备份中心的日常运行和治理。6. 信息部主管负责灾难恢复预案的制订、灾难备份中心的日常运行和维护。7. 信息部专员负责灾难备份中心的日常运行和维护。三、灾难等级1. 第一类：信息系统短时间中断会影响公司的关键业务的进展，并造成重大经济损失。2. 其次类：信息系统短时间中断会影响公司章业务的正常进展，并造成较大经济损失。3. 第三类：信息系统短时间中断会影响公司某个或某些部门业务的正常进展，可能造成间接损失。四、灾难恢复的目标要求1. 第一类灾难等级恢复要求：（1） 第四级电子传输及完整

42、设备支持；（2） RTO36 小时，RPO8 小时。2. 其次类灾难等级恢复要求：（1） 第三级电子传输和章设备支持；（2） RTO72 小时，RPO24 小时。3. 第三类灾难等级恢复要求：（1） 其次级备用场地支持；（2） RTO7 天，RPO36 小时。五、灾难备份系统实施要求1. 建立数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性。2. 应确保技术方案满足灾难恢复策略的要求，组织开展灾难恢复技术方案和业务功能恢复的测试， 并记录和保存测试结果，以保证灾难恢复时最终用户能正常使用灾难备份系统。3. 应充分考虑到灾难备份系统

43、的处理力量、存储容量、网络宽带能否满足业务运作要求。4. 应建立灾难备份系统的技术支持体系。六、灾难备份中心的运行维护1. 建立完善的灾难备份中心运行维护治理制度和流程，包括：灾难备份的流程和治理制度，灾难备份中心机房的治理制度，硬件系统、系统软件和应用软件的运行治理制度，灾难备份中心信息安全治理制度， 灾难备份系统的变更治理流程，灾难恢复预案以及相关技术手册的保管、分发、更和备案制度等。2. 灾难备份中心专业运行维护队伍包括根底设施和灾难备份系统运行维护及技术支持人员，保障设备和系统正常稳定地运行。3. 定期检测维护灾难恢复设施，保持备份数据的全都性、可用性和完整性，保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢