公司内部控制规范——信息系统一般控制

精品文档第18部分公司内部控制规范 信息系统一般控制18 . 1岗位责任与授权审批制度18. 1. 1计算机信息系统岗位责任制度内控制度名称计算机信息系统岗位责任制度执行部门内控制度编号监督部门制度受控状态生效日期第1条目的为了明确计算机信息系统相关部门及岗位的职责、权限，确保计算机信息系统管理不相容岗位相互分离、相互制约和监督， 特制定本制度。第2条范围计算机信息系统管理的岗位一般包括：系统分析、编程、测试、程序管理、数据库管理、数据控制和终端操作第3条不相容岗位1. ?系统开发和变更过程中不相容岗位一般应包括：开发立项、审批、编程、测试。2. ?系统访问过程中不相容岗位一般应包括：申请、审批、操作、监控。第2章岗位责任第4条董事会董事会的主要职责包括：1?审议计算机信息系统战略规划；2?审议重要信息系统政策；3. 审议重大信息系统立项申请。第5条总经理总经理的主要职责包括：1 . 审核计算机信息系统战略规划；2 .审核重要信息系统政策；3?审批一般信息系统政策；4. 审核和审批信息系统立项申请。第6条信息总监信息总监的主要职责包括：1?制定公司信息管理战略规划，报总经理和董事会审批；2?审核信息系统立项申请；3 .组织进行信息系统的开发；4?组织人员对信息系统的开发结果进行测试；5?推广并不断完善公司信息化系统，推进公司信息化管理步伐；6?引进或组织开发公司信息化管理系统，实现办公自动化；7?推动信息系统的建设与维护，保证公司内无纸化办公。第7条信息部经理信息部经理的主要职责包括：1?根据公司发展战略及经营计划编制部门发展规划及工作计划，上报领导审批后组织实施；2?主持信息管理软件平台的开发、应用、监督和管理；3?负责制定公司网络、计算机管理的各项规章制度，上报领导审批后贯彻实施；4?监督、检查制度的执行情况，适时修订、完善各项制度；5?组织进行信息系统项目的立项申请工作；6 . 进行信息系统的分析和开发；7 ?组织人员进行信息系统开发编程工作；8协调有关职能部门，安排人员进行相关应用软件的安装调试及有关技术支持，对安装调试中出现的各种问题提出处理意见，并协助其妥善解决；9?及时编制系统帮助手册，经领导审批后，及时下发到相关部门；10?信息化系统在使用过程中，安排人员为各职能部门和子公司提供技术指导，促进系统操作技术的有效运用；11全面掌握各种交换机设备和服务器的安装、配制技术，管理交换机设备和服务器密码，处理各种网络设备的突发故障；12?进行程序管理和数据库管理以及数据控制。第8条信息部主管 信息部主管的主要职责包括:1 ?参与编制部门发展规划及工作计划；2?参与信息系统立项申请工作；3?组织维护公司服务器的正常运行；4?负责公司硬件设施、网络设备的维修管理；行正常、5?组织对设备电路及系统进行日常维护、定期检修测试和故障处理，保证设备、电路、系统及网络运 完好；6?参与信息系统立项申请；7. 参与进行信息系统的分析和开发；&进行信息系统开发编程盒测试工作；9?进行相关应用软件的安装调试及有关技术支持；10?进行程序管理和数据库管理以及数据控制。第9条信息部专员信息部专员的主要职责包括：1 ?为信息系统立项申请搜集资料，进行调研；2 .参与进行信息系统的分析和开发；3 .参与信息系统开发编程和测试工作；4?参与进行相关应用软件的安装调试及有关技术支持；5?对设备电路及系统进行日常维护、定期检修测试和故障处理。第10条信息系统使用部门信息系统使用部门的主要职责包括：4 .参与制定信息系统战略规划；2?参与制定重要信息系统政策；3?负责记录交易内容，授权处理数据，并利用系统输出的结果；4?接受信息部关于信息系统操作的培训；5?信息系统出现故障时，向信息部提出维修申请；6?部门经理负责信息系统操作申请的审批；7?部门主管或经理负责对内部人员操作情况进行监控。第3章附则第11条本制度由信息部会同公司其他有关部门解释。第12条 本制度配套办法由信息部会同公司其他有关部门另行制定。第13条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18. 1. 2计算机信息系统归口管理制度内控制度名称计算机信息系统归口管理制度执行部门内控制度编号监督部门制度受控状态生效日期第i条目的为了加强计算机信息系统的管理工作，规范归口管理部门的业务内容，特制定本制度。第2条范围计算机信息系统归口管理的业务一般包括：信息系统开发、变更和维护等工作。第3条信息系统开发归口管理1 ?计算机信息系统开发包括自行设计、外购调试和外包合作开发。2?在开发信息系统时，应当充分考虑业务和信息的集成性，优化流程，并将相应的交易权限嵌入到系统程序中，预防、检查、纠正错误和舞弊行为，确保业务活动的真实性、合法性和效益性。3 .信息系统开发业务由信息部信息系统开发主管负责，上级主管领导为信息部经理和信息总监。4?信息系统开发必须经过正式授权。具体程序包括：(1)用户部门提出需求；(2)信息部经理和信息总监进行审核；(3)总经理和董事会(超过100万元的项目由董事会审批)审批通过后交由信息部进行开发；(4)系统分析人员设计方案；(5)程序员编写代码；(6)测试员进行测试；(7 )系统最终上线；精品文档(8)维护人员进行系统维护。第4条 对于外包合作开发的项目，应加强对外包第二方的监控。第5条 外购调试或外包合作开发等需要进行招标的信息系统开发项目，应按照招标程序公平、公正、工开进行招标。第6条 信息系统变更归口管理信息系统上线后，发生的功能变更必须经过严格审核和审批，具体程序参照信息系统开发业务。第7条 信息系统维护归口管理1.倡导采用预防性措施确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设容错冗余、编制应急预案等。2?信息系统的日常检测由信息部维护主管负责，上级主管领导为信息部经理和信息总监。3 ?信息系统发生故障，应由信息部维修主管制定维修方案，交由信息部经理和信息总监审核与审批后组织人，进行维修。4 ?信息系统发生紧急情况，应由信息部维修主管制定紧急预案，交由信息部经理和信息总监审核与审批后,织人员实施。第8条本制度由信息部会同公司其他有关部门进行解释。第9条 本制度配套办法由信息部会同公司其他有关部门另行制定。第10条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18 . 2信息系统开发变更与维护规范18. 2. 1信息系统开发制度内控制度名称信息系统开发制度执行部门内控制度编号监督部门制度受控状态生效日期第i条目的为了防止系统在开发过程中可能出现错误和偏差，确保系统设计合理、正确，特制定本制度。信息系统开发包括系统规划、系统分析、系统设计、系统实施、系统维护与评价五个阶段。第3条系统规划管理1 ?系统规划管理阶段参与人员及分工：(1)信息总监做信息系统开发项目的总体规划；(2)信息系统开发项目经理根据总体规划制订开发计划；(3)系统分析员负责搜集开发资料。2 ?系统规划阶段存在的风险及应对策略：(1)市场竞争风险，竞争优势有可能被仿效。应对策略是增加自身特色，提高系统的技术含量和竞争优势;(2)政治、经济环境和法律、法规风险。应对策略是做详尽的可行性分析，采用先进工具进行风险控(3)缺乏高层领导支持。应对策略是培训、沟通、聘请权威专家讲座等。第4条系统分析管理1 ?系统分析管理阶段参与人员及分工：(1)系统分析员进行资料分析；(2)终端用户对系统提出使用要求。2?系统分析阶段存在的风险及应对策略：不合理的组织结构可能影响项目小组进行应对策略是业务流程重组，对内部进 行调用户需求的多样性以应对策略是建立多样系统设计员进行设计/输出设计、处理流(1)系统分析的效果。整；(2)及用户的数量和重视程度可能加大系统分析工作的工作量 性的沟通渠道，加强沟通。第5条系统设计管理1 ?系统设计管理阶段参与人员及分工：(1)新系统总体结构框架设计、代码设计、数据库设计、输入程及模块功能的设计；(2)数据库管理员根据数据的不同用途、使用要求、统计渠道、安全保密性等，决定数据的整体组织形式、表或文件的形式，以及决定数据的结构、类别、载体、组织方式、保密等级等一系列的问题。2?系统设计阶段存在的风险及应对策略：(1) 开发团队经验不足可能造成信息系统开发时间过长。应对策略是全面考察开发团队，选择有经验 的开发人员，并建立有效的监督机制；(2)系统开发技术过于复杂、技术不成熟或过时用户需求的多样性以及用户的数量和重视程度可能加大系统分析工作的工作量。应对策略是加强技术交流，集中精力解决技术难题，有条件的应设有备选方案。第6条系统实施管理1 ?系统实施管理阶段参与人员及分工：(1)程序设计员进行程序设计和系统调试及试运行；(2)数据库管理员进行数据收集，数据格式的标准化与规范化；(3)终端用户对系统试运行效果提出意见和建议。2 ?系统实施阶段存在的风险及应对策略：(1)时间和费用超出预算可能造成信息系统开发成本过高。应对策略是编制详尽、科学的预算，加强内部成本管理和控制；(2)用户经验不足可能导致系统功能不完整。应对策略是加强教育培训。第7条系统维护与评价管理1 ?系统维护与评价管理阶段参与人员及分工：(1)系统维护人员进行日常运行维护和系统的更新维护；(2)数据库管理员进行数据库和代码维护。2?系统维护与评价阶段存在的风险及应对策略：(1)数据是否准确、安全及保密直接影响信息系统开发的效果。应对策略是进行合理的系统设计，采用防火墙和加密技术；(2 )系统目标不明确、缺乏软件质量监控可能导致系统功能不健全。应对策略是制定明确目标，加强质量管理。第8条本制度由信息部会同公司其他有关部门进行解释。第9条 本制度配套办法由信息部会同公司其他有关部门另行制定。第10条本制度自年 月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18. 2. 2信息系统应急制度内控制度名称信息系统应急制度执行部门内控制度编号监督部门制度受控状态生效日期第i条为了进一步加强信息系统应急管理，提高应对紧急情况的能力，确保信息系统安全稳定地运 行，特制定本制度。第2条信息部应成立应急管理小组，处理信息系统的突发事件。第3条相关职责1 ?信息部经理职责：(1)全面领导应急管理工作；(2)负责信息系统突发事件总体组织和指挥调度；(3 )协调各部门在应急管理工作中的分工和工作关系；(4 )组织编制应急操作手册。2 ?信息部主管职责：(1)负责组织制定应急对策；(2)对应急管理工作进行监督和检查；(3)定期组织有关人员分析研究应急管理工作中出现或可能出现的新情况、新问题；(4 )向公司领导汇报情况。3 .信息部应急专员职责：(1 )负责配合信息部经理和主管执行应急预案；(2)参与应急处理和应急演练。第4条 为应付信息系统突发事件应准备好的各种应急物资，主要包括：1?物质资源准备主要有电源动力，网络通信、生产服务器、数据及软件；2 ?人力资源准备，重要技术岗位要建立双人或多人的备份制度；3?应急操作手册的编写和维护；度全面彻底4 .建立重要信息系统例行检查制度，对机房环境、动力电源、防雷系统、网络设备等重要系统应每季 地检查一次，保证系统的完好可用。第5条应急措施实施1 ?发生应急事件时，各部门、各岗位要相互支持，相互配合，听从指挥。2?应急启动工作流程(1)操作人员应加强监控，一旦发现异常信息，按应急操作手册进行初步判断，并立即报告信息部经理或主管。(2)信息部经理或主管对情况进行判断，属于应急事件，立即启动应急操作流程。(3)由操作人员按机房操作手册规定的步骤进行操作，并随时向信息部主管报告执行结果。(4) 操作人员处理后未能立即解决，信息部技术人员应第一时间赶赴现场进行应急处理，并报告信息部经理。(5)短时间内能够解决的问题，则进入应急恢复和总结环节。(6)短时间内不能解决的问题，信息科技部经理要立即报告信息总监。(7)信息总监根据经验判断是否立即启动应急流程。(8 )信息总监判断属于重大信息系统问题，应及时将应急方案提交总经理审批。(9)信息总监组织成立应急领导小组，赶赴现场进行指挥。3.应急处理工作流程(1)应急领导小组做好应急事件的通知和预告，组织与协调各项应急处理工作。(2)参与应急处理的各部门应统一服从领导指挥，全力配合，做好各项应急处理工作。(3) 正常工作时间内发生应急事件要求应急实施人员5分钟内到达现场，严格按照应急操作手册进行应急处理。(4) 节假日、双休日期间发生应急事件，要求应急实施人员60分钟内到达现场。(5)信息部应急专员应严格按照应急操作手册所规定的步骤快捷实施应急处理，同时记录全过程的情况，认真采集和整理现场第一手资料，做好故障信息日志的保护和应急过程处理步骤的记录。(6 )对于应急故障处理期间发生的新问题、新信息，应急实施成员应及时报告现场总指挥。(7)对于出现超出应急操作手册界定的应急事件响应条件的，应急领导小组应组织技术人员研究分析，迅速提出解决措施。第6条应急恢复和总结1?应急处理结束后，应急实施成员应必须尽快恢复系统运行环境，并进行严格的检查和验证。2?信息部相关人员应认真总结应急事件发生的原因、处理过程和经验教训，提出整改措施和方案，形成应急处理总结报告，上报信息总监和总经理。3?根据应急处理的实际情况对应急操作手册进行补充和完善。第7条 本制度由信息部会同公司其他有关部门进行解释。第8条本制度配套办法由信息部会同公司其他有关部门另行制定。第9条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18 . 3信息系统访问安全管控规范18. 3. 1信息授权使用制度内控制度名称信息授权使用制度执行部门监督部门生效日期内控制度编号制度受控状态第i条 为了进一步加强公司保密信息的管理，降低泄密风险，确保信息系统安全稳定地运行，特制定本制度。第2条 信息部应对所有的重要信息进行密级划分，包括书面形式和电子媒介形式保存的信息。第3条信息等级划分。1?一级保密信息，适用于一般信息，其遭到破坏和泄漏后，会对公司相关人员的合法权益产生损害。2.二级保密信息，适用于公司各个部门内部一般信息，其遭到破坏和泄露后，会对公司相关部门的合法权益产生“害。3?三级保密信息，适用于涉及公司利益的一般信息，其遭到破坏和泄露后，会对公司的相关交易事项产生负面,响。4?四级保密信息，适用于涉及公司利益的重要信息，其遭到破坏和泄露后，会影响公司的绝大多数交易的进亍，对公司利益产生严重影响。5?五级保密信息，适用于涉及公司利益的重大信息，其遭到破坏和泄露后，会影响公司正常运营，对公司的整“形象产生严重损害。第4条不同类别信息的授权使用。1 ?一级保密信息必须经过信息部主管的签字同意方可使用。2 ?二级保密信息必须经过信息部经理的签字同意方可使用。3?三级保密信息必须经过信息部经理和相关部门经理的共同签字同意方可使用4 ?四级保密信息必须经过公司财务总监的签字同意方可使用。5 ?五级保密信息必须经过公司总经理的签字同意方可使用。第5条 本制度由信息部会同公司其他有关部门进行解释。第6条 本制度配套办法由信息部会同公司其他有关部门另行制定。第7条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18. 3. 2访问安全管理制度内控制度名称访问安全管理制度执行部门内控制度编号监督部门制度受控状态生效日期第1章总则第1条 为了提高公司信息系统的可靠性、稳定性、安全性，特制定本制度。第2条本制度适合信息部与各用户部门涉及使用公司信息系统的相关人员。第2章操作人员规范第3条未经培训的操作人员禁止使用信息系统。第4条 公司信息系统中的软件升级、杀毒、安装等由信息部统一操作，禁止用户部门的操作人员擅 软件的删除、升级、杀毒、改变及卸载系统软件版本等。第5条信息部工作人员在信息系统中设置的安全参数与软件系统环境配置等，禁止用户部门的操作第6条 操作人员离开工作现场时，要锁定或退出已经运行的程序，防止他人利用自身账号操作，否 后果由当事人自己承担。第7条 更换操作人员或密码泄露后，用户必须及时修改密码。第8条 公司信息系统中的信息、数据为公司资产，禁止未经授权的操作人员使用存储介质存储。第3章信息部人员安全规范第9条 信息部指定人员定期审阅信息系统中的账号，避免有授权不当或非授权账号存在。第10条信息部指定人员监测各账号使用信息系统的情况，发现异常上报信息部经理。自进行系统人员修改。贝U造成的第11条信息系统管理员应加强防火墙、路由器等网络安全方面管理，防范外网对信息系统造成损害。第4章附则第12条 本制度由信息部会同公司其他有关部门进行解释。第13条 本制度配套办法由信息部会同公司其他有关部门另行制定。第14条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18 . 4硬件管理方法18. 4. 1硬件设备日常管理办法内控制度名称硬件设备日常管理办法执行部门内控制度编号监督部门制度受控状态生效日期第1章总则第1条为了加强信息系统的硬件管理，保持公司信息系统的稳定运行，特制定本办法。第2条本办法适合信息部与各用户部门涉及使用公司信息系统的相关人员。第3条本办法所指的硬件是指计算机的可视章及周边设备，包括打印机、扫描仪、存储器及网络设备等。第2章硬件采购第4条 硬件设备的购买申请由使用部门提出并填制“硬件设备请购单”，“硬件设备请购单”的内容“包括：硬件设备名称、规格、型号、单价、总额、主要制造厂商以及购置原因等。第5条“硬件设备请购单”由所在部门经理审核后提交至信息部经理审批，单件设备价格在5万元以上或总批量价格在10万以上的应提交至信息总监和总经理审核审批。第6条总经理审批签字后送交采购部进行采购。第7条 购买的硬件必须经信息部相关人员检测，以确认其符合产品标准，若不符合则由采购人员联系厂家退奂。第8条购买回的硬件需注意保存好其使用说明书、驱动程序及保修书。第9条 经检测完好的硬件由信息部人员统一贴上标签。第10条所贴标签内容：1 ?硬件名称、编号；2?硬件购买日期；3?硬件使用部门、人员或保管人。第3章硬件的使用第11条公司的硬件设施由授权人员使用，未经授权人员一律不得使用。第12条 使用硬件时禁止在硬件周围抽烟、吃零食、嗑瓜子等，以防对硬件造成污染或损伤。第13条 未经允许禁止移动硬件的位置，移动硬件时需得到信息部的批准并在信息部的监督下移动，否则造成的后果由当事人承担。第14条 任何人禁止更换硬件上的标签与硬件的部件，发现后将按公司相应规定进行处罚。第4章硬件的保管、报修、维护第15条 使用部门需指派专人对硬件进行保管，没有指派专人的，视部门经理为保管人。第16条 硬件保管人因离职、调动等发生变化时，信息部工作人员要及时更新信息。第17条 当硬件出现问题时，及时联系信息部人员，禁止私自修理、拆卸硬件。第18条信息部人员应对出现问题的硬件进行检查并联系厂商进行维修。第19条 修理或维护过的硬件由信息部修理或维护人员与保管人共同填写并保存“硬件维护记录表”，信息部人员需将此条信息记入硬件管理档案并定期由信息部经理及运营总监审核。第20条信息部人员应定期对硬件进行检查和维护，以确保其性能稳定。第21条硬件设备因老化、损耗及其他原因报废时，由信息部工作人员进行检测后填写“硬件报废单”，经审批通过后进行报废处理，同时将信息记入档案。第5章附则第22条本办法由信息部会同公司其他有关部门进行解释。第23条本办法配套办法由信息部会同公司其他有关部门另行制定。第24条 本办法自年 月日起实施。卜制日期审核日期批准日期医改标记修改处数修改日期内控制度名称内控制度编号制度受控状态硬件设备应急处理办法执行部门18. 4. 2硬件设备应急处理办法监督部门生效日期第i章总则第1条为了进一步加强信息系统硬件应急管理，提高应对紧急情况的能力，确保信息系统硬件安全特制定本办法。信息部应成立应急管理小组，处理信息系统的突发事件。本办法所指的硬件是指计算机的可视章及周边设备，包括打印机、扫描仪、存储器及网络设备等。硬件设备突发事件分类：1 .关键设备或系统的故障；2 .自然灾害（水、火、电等）造成的物理破坏；3 .人为操作失误造成的安全事件。第2章硬件设备突发事件预防措施第5条 建立安全、可靠、稳定运行的机房环境，做好防火、防盗、防雷电、防水、防静电及防尘等工作。第6条建立备份电源系统，重要系统采用可靠、稳定硬件，进行备份等措施，落实数据备份机制，遵守安全操作规范。第7条加强所有人员防火、防盗的基本技能。第3章硬件设备突发事件应急预案第8条办公室漏水应急预案1 ?工作人员发现机房漏水后应立即通知信息部主管或经理。2 ?信息部主管或经理组织人员检查房屋及空调系统，空调系统漏水应及时联系设备供应方进行处理。3 .墙体或窗户渗漏水，应立即通知行政部，及时清除积水，进行墙体或窗户维修，避免不必要的损失第9条发生被盗或人为损害事件应急预案1 ?使用者发现设备被盗或有人为损害设备情况时，应立即报告信息部主管并保护好现场。?信息部主管组织人员勘察现场，确属盗窃案件应立即通知公安部门，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录3?使用部门人员应积极配合公安部门进行调查，并将有关情况向信息部经理汇报。第10条 办公室长时间停电应急预案1.接到长时间停电通知后，信息部经理应根据停电时间、电池电能贮备、供电管理部门信息、网络和信息运行情况等及时通知公司各部门人员，并告知在停电前停止业务、保存数据。2?信息部经理应及时通知行政部启动备用发电设备，保证工作正常进行且业务数据不丢失。第11条通信网络故障应急预案1 ?发生通信线路中断、路由器故障、流量异常等情况，操作人员应及时报告信息部经理。2 ?信息部经理组织人员及时查清通信网络故障位置，通知相关通信网络运营商进行维修，同时切断故障区与服务器的网络联接。3?相关技术人员配合维修人员逐步恢复故障区与服务器的网络联接，恢复通信网络。4 ?信息部经理负责编制故障分析报告，上报信息总监和总经理。5 12条核心设备硬件故障应急预案1 ?发生核心设备硬件故障后，信息部经理应组织人员查找故障设备及故障原因，并进行先期处理。2?故障设备在短时间内无法修复，应启动备份设备保持系统正常运行。3 ?联系相关厂商，相关人员应填写设备故障报告单备查。4?故障排除后，信息部主管应在合适时间替换备用设备。第13条自然灾害事故应急预案1 ?遇到暴雨雷鸣天气时，信息部应及时关闭所有服务器，切断电源，暂停内部计算机网络工作。2?暴风雨天气结束后，信息部应对各部门的硬件设备进行检查，若出现故障，应及时进行维修或通知厂家修理。第4章附则第14条 本办法由信息部会同公司其他有关部门负责解释。第15条 本办法配套办法由信息部会同公司其他有关部门另行制定。第16条本办法自 年 月 日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18 . 5会计信息化管控规范18. 5. 1信息化会计档案管理制度内控制度名称信息化会计档案管理制度执行部门内控制度编号监督部门制度受控状态生效日期第i条 为了保证会计信息化工作的顺利开展，保障信息化会计档案的安全与完整，现根据国家相关法规，结合本公司实际情况，制定本制度。第2条本制度所指的会计信息化是指利用计算机信息技术代替人工进行财务信息处理，以及替代章由人工完成的对会计信息进行分析和判断的过程。第3条本制度所指的信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表（包括报表格式和计算公式）等数据。1 ?会计凭证类数据：原始凭证、记账凭证、汇总凭证、其他会计凭证。2 ?会计账簿类数据：总账、明细账、日记账、固定资产卡片、辅助账簿、其他会计账簿。3?财务报告类数据：季度、年度财务报告，包括会计报表、附表、附注及财务情况说明书、其他财务报告。4?其他类数据：银行存款余额调节表、银行对账单、其他应当保存的会计核算专业资料、会计档案移交清册、会计档案保管清册、会计档案销毁清册。第4条电算审查人员负责信息化会计档案的管理，其日常工作归会计信息主管（一般由会计主管兼任）监督检查。第5条信息化会计档案按会计档案管理的规定执行，会计电算化系统开发的全套文件档案资料视同会计档案进行管理，保存期限为截止系统停止使用或重大更改后3年。第6条 存储于磁带、磁盘等磁介质中的资料（包括会计凭证、科目余额、科目名称及编码、会计电算化的取数公式、计算公式等程序或数据资料），在没有打印成书面文件之前要妥善保管，在有关资料已有书面文件的前提下，软盘储存文件的保存期为2年以上。第7条 信息化会计档案的存放要做到防消磁、防火、防潮、防盗、防尘、防高温、防虫害；会计数据的备份软盘要存放在两个不同的地点，并定期复制。第8条本制度由财务部会同公司其他有关部门解释。第9条 本制度配套办法由财务部会同公司其他有关部门另行制定。第10条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18. 5. 2会计信息化操作管理办法内控制度名称会计信息化操作管理办法执行部门内控制度编号监督部门制度受控状态生效日期第i条为了提高财务部门的工作效率，减少会计信息化带来的风险，特制定本办法。第2条本办法适用于财务部门所有人员第3条本办法所指的会计信息化是指利用计算机信息技术代替人工进行财务信息处理，以及替代章由人工完成的对会计信息进行分析和判断的过程。第4条本办法所指的信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表（包括报表格式和计算公式）等数据。第5条财务部的计算机只允许用作公司的会计、财务工作，禁止在计算机上聊天、打游戏等。第6条财务部的计算机专人专用，禁止交叉使用。第7条 公司会计信息的录入由专人负责，被指派人员保管好自己的账号与密码，严防泄露。第8条会计搜集的原始凭证在录入计算机之前必须经由审核人员审核，审核人员做好审核记录。第9条 会计在计算机上编制好记账凭证时，由审核人员上机审核并做好审核记录。第10条会计打印处的账表由财务部经理负责审核，定期报送财务总监审核。第11条 财务每次使用计算机时必须使用不间断的电源，防止因断电导致核心数据丢失。第12条 财务人员在每次下班前需将系统备份，防止数据丢失。第13条 财务人员经过授权后定期将系统中的会计信息备份，存储于其他介质中保存好。第14条 未经授权不得对会计软件进行修改、升级或更换硬件，否则造成的后果由当事人承担。第15条 负责保管信息化会计档案的人员需定期检查，做好防火、防尘和防潮工作，防止存储介质损坏导致会计档案丢失。第16条 本办法由财务部会同公司其他有关部门进行解释。第17条 本办法的配套办法由财务部会同公司其他有关部门另行制定。第18条本办法自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期18 . 6信息系统一般控制相关文件资料18. 6. 1信息密级划分表信息密级划分表信息等级适用情况内容一级一般信息遭到破坏和泄露后，会对公司相关人员的合法权益产生损害二级公司各部门内部的一般信息遭到破坏和泄露后，会对公司相关部门的合法权益产生损害三级涉及公司利益的一般信息遭到破坏和泄露后，会对公司的相关交易事项产生负面影响四级涉及公司利益的重要信息遭到破坏和泄露后，会影响公司的绝大多数交易的进行，对公司利益产生严重影响五级涉及公司利益的重大信息遭到破坏和泄露后，会影响公司正常运营，对公司的整体形象产生严重损害18. 6. 2灾难恢复计划书灾难恢复计划书内控文本编号由丘乂今石竹文本受控状态一、定义本计划书所称灾难恢复为信息系统灾难恢复。灾难恢复计划包括：灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。二、组织机构及其职责1 ?总经理或信息总监为信息系统灾难恢复工作的责任人，负责灾难恢复需求分析和策略制订。2?董事会参与制订和审核灾难恢复策略，保证灾难恢复策略与经营目标的一致性。3 .灾难恢复的组织机构由信息部的管理、业务、技术等相关人员组成。4 ?信息部总监负责灾难恢复预案的审批、维护和演练，负责资源准备和经费审批。5?信息部经理负责灾难备份中心的日常运行和管理。6?信息部主管负责灾难恢复预案的制订、灾难备份中心的日常运行和维护。7?信息部专员负责灾难备份中心的日常运行和维护。三、灾难等级1 ?第一类：信息系统短时间中断会影响公司的关键业务的进行，并造成重大经济损失。2?第二类：信息系统短时间中断会影响公司章业务的正常进行，并造成较大经济损失。3?第三类：信息系统短时间中断会影响公司某个或某些部门业务的正常进行，可能造成间接损失。四、灾难恢复的目标要求1 ?第一类灾难等级恢复要求：(1)第四级电子传输及完整设备支持；2 2) RTOC 36 小时，RP0W8 小时。2?第二类灾难等级恢复要求：(1)第三级电子传输和章设备支持；(2) RTG 72 小时，RPO 24 小时。3?第三类灾难等级恢复要求：(3) )第二级备用场地支持；(4) RT 7 天，RPG 36 小时。五、灾难备份系统实施要求1 .建立数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性。2 .应确保技术方案满足灾难恢复策略的要求，组织开展灾难恢复技术方案和业务功能恢复的测试，并记录和保存测试结果，以保证灾难恢复时最终用户能正常使用灾难备份系统。3?应充分考虑到灾难备份系统的处理能力、存储容量、网络宽带能否满足业务运作要求。4.应建立灾难备份系统的技术支持体系。六、灾难备份中心的运行维护1 .建立完善的灾难备份中心运行维护管理制度和流程，包括：灾难备份的流程和管理制度，灾难备份中心机房的管理制度，硬件系统、系统软件和应用软件的运行管理制度，灾难备份中心信息安全管理制度，灾难备份系统的变更管理流程，灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等。2 .灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护及技术支持人员，保障设备和系统正常稳定地运行。3 ?定期检测维护灾难恢复设施，保持备份数据的一致性、可用性和完整性，保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作，保障能够提供切换和运行时的技术支持。4 .支持关键业务功能恢复的灾又t备份中心应实行7 X 24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息；记录机房环境、系统运行和网络状态等监控信息。七、灾难恢复预案1 .灾难预案的内容应包含：灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确，适合在紧急情况下使用等内容。2?应加强灾难恢复预案与其他应急预案体系的有机结合。3 ?灾难恢复预案应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练，及时总结评估，完善灾难恢复预案，通过演练使得相关人员熟悉灾难恢复操作及流程。4?信息部应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次，演练类型分为模拟演练、实战演练、章演练和全面演练。5?演练工作文档应包含演练计划、现场记录和结论评估，演练工作文档应存档保管。八、应急响应和灾难恢复1?信息部应建立科学的灾难预警机制，在信息系统发生紧急事件后，应建立应急指挥中心，统一领导、协调和指挥所有应急响应工作，加强信息沟通和跨部门协调，提高机构整体的应急响应和应急处置能力；组织灾难恢复专业人员尽快对事件进行响应和评估；采取相应的风险处置和弥补措施，降低可能造成的损失，防范事态恶化；根据对紧急事件的处置和评估结果，决策是否对灾难备份中心发出灾难预警。2?公司应加强媒体公关和客户服务工作，避免造成恶劣的社会影响。发生重大灾难事件，应根据有关要求，及时向董事会报告。3?灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作，并及时跟踪事态变化和恢复进程，加强沟通，加强恢复工作的统一指挥和管理。4?公司应保证并合理配置恢复所需的各项资源，确保灾难恢复工作的顺利实施。5?应明确信息系统的重建方案，在进行信息系统重建前应评估灾难造成的损失。6.灾难恢复之后，应及时组织相关人员进行总结，修订灾难恢复策略和灾难恢复预案。编制日期审核日期批准日期修改标记修改处数修改日期