上市公司信息系统安全管理制度与内部信息传递内控流程

公司信息系统安全管理制度与内部信息传

递内控流程信息系统安全管理制度第一节总则第一条为了保障公司信息系统的正常运行，确保信息系统的可靠、安全、稳定以及数据的完整和准确性，避免人为原因导致系统瘫痪，充分发挥网络的快速性、有效性，特制定本规定。第二条本规定适用于本公司内部所有应用计算机部门。第三条制定原则为：确保公司内计算机及网络的安全运行。第四条本规定中所涉及的电脑设备，包括公司所有电脑、外挂设备及网络连接器，笔记本电脑的使用均按此规定执行。第二节机房安全管理第五条非网络维护人员严禁触动网络设备（包括交换机、网络线路、机柜等）以免造成网络瘫痪。第六条工作人员严禁将来源不明的光盘、U盘、软盘等带入机房，严禁未经许可私自在电脑上安装软件。第七条严禁将易燃、易爆物品带入机房，不得在机房内乱拉电线，乱接电源。第八条工作人员要定期对机房设备进行检查、维护和保养，使其处于良好状态。发现网络故障等问题要及时报告并采取相应的措施。第九条服务器平时应处于锁定状态，管理人员要保管好登录密码；第十条机房配备专业系统管理人员，负责系统安全检查、系统相关参数的配置与软件安装、硬件维护；第十一条系统管理员有权管理各用户的用户密码、用户权限、IP地址、网关、DNS配置，其他人员不得随意修改相关的系统配置信息；第十二条网络内各类服务器中开设的帐户和口令为秘密信息，系统管理员应当对各服务器的密码进行保密，不得向任何单位和个人提供这些信息。第三节网络安全管理第十三条局域网内各终端用户必须熟练掌握局域网络使用的基本知识，熟悉本职工作范围内的网络工作软件及其使用方法，确保正确、规范操作；第十四条局域网内各终端机要安装杀毒软件并及时升级，发现问题应立即报告网络维护人员。第十五条严格遵守信息传递操作流程。各终端计算机可根据工作需要设立共享硬盘或文件夹，设立的共享硬盘或文件夹使用完毕后应立即取消共享设置。第十六条网络用户密码及共享权限密码严禁外泄。未经同意严禁擅自拷贝其他工作站的程序及内容；严禁擅自修改他人文件。第十七条加强对接入互联网的管理。除经批准因工作需要登录互联网的计算机设备外，其他任何设备不得联入互联网第十八条不浏览反动、色情网页，不发表反动言论，严禁工作时间上网聊天，严禁从网上下载游戏、电影等内容。第十九条控制网络信息流量，工作时间严禁浏览与业务无关信息。第二十条不得向外界透露公司内部的网络结构，包括拓扑结构、组网技术、硬件技术重要参数、IP地址等。第二十一条不得随意共享非工作内容的文件、硬盘。第二十二条不得恶意传播病毒和黑客程序。第四节计算机硬件安全管理第二十三条除公司计算机管理员外，任何人不得随意拆卸公用的电脑或相关电脑设备；第二十四条维护人员在拆卸电脑时，必须采取必要的防静电措施；第二十五条维护人员应定期对公司的电脑网络进行检查以保证工作正常的进行；第二十六条员工对自己所使用的电脑负有日常清洁维护的责任，应按标准操作规范操作电脑，定期进行维护清洁，保持所用电脑及外挂设备始终处于整洁和良好的状态；第二十七条对关键岗位的电脑及设备配备必要的继电设备以防止突然断电时造成数据的丢失。第二十八条电脑及其网络配件采购部门因工作确实需要,提出采购申请并填写相关表单，由技术研发部依照公司现有资源情况统一调配，如公司没有合适配置的机器，由技术研发部依据申请部门工作需要制定电脑配置清单，并交总经理审查通过后执行采购程序。第五节文件和相关数据安全管理第二十九条公司网络、电脑上的所有文件、数据为公司所有，未经授权，任何人不得随意拷贝、打印、传播。第三十条不得随意删除他人文件、系统文件，造成数据丢失后果严重的由责任人负全责。第三十一条不得使用黑客程序窃取公司的文件和数据。第三十二条不得盗取归公司所有的软件版权。第三十三条禁止私自将私人电脑、硬盘等存储介质接入公司网络拷贝文件数据。第三十四条系统管理员应严格实施备份计划，对于重要数据应实施灾难预防备份。第三十五条操作员帐号管理电脑操作人员的帐号禁止转借他人使用，不得擅自外传，非本部门人员严禁到其他部门随意使用计算机，必须经过部门领导同意方可使用。第六节监督与检查第三十六条网络管理人员同时具有监督检查整个网络的权利，以避免工作人员不正当使用电脑网络对公司整个系统造成破坏。第三十七条及时纠正各个部门对电脑网络的不正当使用，由于操作员本人不遵守规定，违规操作所对电脑造成损坏的应及时向上级主管部门领导汇报，处分将由公司总经理会议决定。第三十八条各部门计算机操作人员应认真遵守规章制度进行操作，如发现计算机使用异常要及时向网络管理人员汇报，不得擅自处理。第七节附则第三十九条本制度由技术研发部负责解释。第四十条本制度自董事会批准后生效。公司内部信息传递管理与内控流程一、管理与风险控制目标通过对公司内部信息传递的管理与内部控制，合理保证内部信息数据的真实性、准确性和完整性；合理保证内部信息数据密级划分或授权使用的适当性，以及妥善保管内部信息数据；合理保证及时更新内部信息数据，提高决策和管理的时效性。二、风险识别公司缺乏有效的内部信息传递管理与内部控制规则，可能使得公司内部信息传递存在以下风险：（一）信息传递的准确性风险；（二）信息及时有效性风险；（三）信息的保密性风险。三、流程图（一）内部信息传递总体流程图（一）经营信息数据传递内控子流程

（二）人力资源信息数据传递内控子流程（三）综合行政部信息数据传递内控子流程

（四）各二级部门信息数据传递内控子流程四、控制点编号控制点描述责任部门或责任岗位对应风险控制点文档控制点测试方法控制级另IJ（一）经营信息数据传递管控XX01.01.01对经营信息报告所需要的数据提出需求经营信息%工1=1|口心、使用部门数据的来源渠道不规范数据需求表检查数据信息的准确、可靠BXX01.01.02收集、分析、整理各事业部、分公司相关经营数据经营信息%工1=1|口心、使用部门数据整理过程中出现差错经营信息数据检查经营信息数据与各类报表数据是否一致BXX01.01.03根据工作需要，编写经营信息报告等材料经营信息%工1=1|口心、使用部门报告编制不规范或数据错误经营信息报告检查报告与各类报表数据是否一致BXX01.01.04经营信息报告经部门负责人审核后，提交公司领导审核经营信息%工1=1In使用部门负责人，公司领导报告未经审核经营信息报告编制的审核流程检查经营信息报告是否经过审核AXX01.01.05根据工作需要，经部门负责人、公司领导审核同意后，正式使用或发布经营信息报告经营信息%工1=1In使用部门报告的使用和发布未经审核经营信息报告在正式使用和发布前的审核流程检查经营信息报告的使用和发布是否经过审核AXX01.01.06经营信息报告及数据统一以电子版方式，由经营分析责任部门进行保管经营信息%工1=1In使用部门经营信息的丢失、泄露经营信息的保存检查经营信息是否有专人保存B（二）人力资源信息数据传递内控子流程XX02.01.01对人力报告所需要的数据提出需求综合行政部数据的来源渠道不规范数据需求表检查数据信息的准确、可靠B

编号控制点描述责任部门或责任岗位对应风险控制点文档控制点测试方法控制级别XX02.01.02搜集、分析、整理人力资源相关数据综合行政部数据整理过程中出现差错人力信息数据检查人力数据与各类报表数据是否一致BXX02.01.03省公司人力资源部汇总专业公司上报数据，必要时与财务数据核对。省公司人力资源部数据口径不一致与财务数据核对表总量是否一致BXX02.01.04编写人力信息报告，经综合行政部经理审批、分管领导审批。综合行政部、分管领导未经审批信息报告审批流程检查信息报告是否经过审核AXX02.01.05对外发布信息并进行归档综合行政部未经审批信息发布流程和归档流程发布前的核对和归档签名B（三）综合行政部信息数据传递内控子流程XX03.01.01根据工作需要，综合行政部牵头编制内部报告等材料综合行政部报告内容多样，格式不统报告材料检查材料的类型BXX03.01.02根据报告提纲，提出数据需求清单综合行政部数据需求多样数据需求表检查与评估数据需求可行性BXX03.01.03根据数据需求清单，相关职能部门与综合行政部沟通，明确数据格式、内容、提交时限等综合行政部/各职能部门数据需求与结果的差异数据结果做好详细的、可量化的数据需求清单B

编号控制点描述责任部门或责任岗位对应风险控制点文档控制点测试方法控制级别XX03.01.04若省公司需要专业公司提供数据，准备需求清单，根据情况以公文或邮件形式下发到专业公司，公司需要各部门提供数据，准备需求清单，根据情况以邮件形式发给各部门省公司相应职能部门、公司各职能部门时间风险专业公司数据需求清单检查与评估数据需求可行性BXX03.01.05各部门反馈数据相关部门专业公司数据结果BXX03.01.06将反馈回来的数据汇总并确认数据有效性，并按内部报告要求的形式进行汇总相关职能部门数据有效性有效数据表单检查数据是否有效AXX03.01.07将数据汇总应用至内部报告中综合行政部数据有效性内部报告检查数据是否有符合文档需求BXX03.01.08由公司领导审核内部报告并确认数据使用公司领导、综合行政部数据是否有更新正式内部报告检查数据更新AXX03.01.09根据内部报告的使用目的，按相应的管理办法和流程进行处理综合行政部未经审核直接使用、发布正式使用的报告检查报告发布流程，确保信息经审核后发布AXX03.01.10将最终报告及本次报告所收集的原始资料统一归档，供以后参考使用综合行政部数据、文档丢失、未存档或不完整原始资料、正式报告归档前检查资料的完整性B（四）各二级部门经营信息数据传递内控子流程

编号控制点描述责任部门或责任岗位对应风险控制点文档控制点测试方法控制级别XX04.01.01编制各部门报告，提出数据需求各部门数据的来源渠道不规范数据需求表检查数据信息的准确、可靠BXX04.01.02配合提供相关资料数据，收集、整理、确认各职能部门数据整理过程中出现差错职能部门信息数据检查提供数据与各类报表数据是否一致BXX04.01.03汇总、整理和分析相应数据，编制经营信息报告各部门数据汇总、分析中出现差错经营信息报告检查数据内部的逻辑性，与业务的一致性AXX04.01.04对经营信息报告进行审核分管领导数据口径不一致经营分析报