IT內(nèi)控管理制度(總則).doc

。IT內(nèi)控管理制度（ 總則 ）1.目的為加強公司IT內(nèi)部控制管理工作，規(guī)范信息系統(tǒng)的開發(fā)、維護、使用等行為，提高信息系統(tǒng)對公司現(xiàn)代化管理的支撐水平，降低因內(nèi)部控制制措施缺失或不夠完善帶來的數(shù)據(jù)安全風(fēng)險，特制定本制度。2.適用范圍本制度適用千公司及下屬分子公司所有外購或自行開發(fā)的信息系統(tǒng)及其開發(fā)、維護、使用人員。3.信息系統(tǒng)開發(fā)與變更管理3.1信息系統(tǒng)變更分為三個級別系統(tǒng)開發(fā)( I級 ）、重要系統(tǒng)變更 ( II級）、非重要系統(tǒng)變更( III 級 ）；系統(tǒng)開發(fā)( I 級 ）根據(jù)項目涉及內(nèi)容重要程度與緊急程度分為S級、A級、B級和 C級等四個級別；3.2系統(tǒng)開發(fā)必須通過立項申請，在各項目成員充分了解項目背景、重要性并確認需求后，方可開 展后續(xù)開發(fā)工作；3.3系統(tǒng)的開發(fā)/變更、測試、上線須嚴格按照開發(fā)/變更流程規(guī)范、需求方案要求進行；3.4系統(tǒng)開發(fā)或變更必須對開發(fā)人員、測試人員和上線人員進行嚴格分離，確保系統(tǒng)在功能、性能、控制要求和安全性等方面符合開發(fā)/變更需要，防止上線過程中對系統(tǒng)代碼的篡改；3.5系統(tǒng)開發(fā)或變更過程中，應(yīng)保留有關(guān)記錄，以備查驗或進行問題追溯；3.6系統(tǒng)開發(fā)管理詳細要求請參見信息系統(tǒng)項目管理及開發(fā)管理規(guī)范；系統(tǒng)變更管理詳細要求請參見信息系統(tǒng)變更管理規(guī)范。4.信息系統(tǒng)運行維護管理4.1針對面向玩家的重要系統(tǒng)及平臺，應(yīng)設(shè)置系統(tǒng)運行情況自動監(jiān)控程序，并由程序自動向運維部發(fā)出告警，如發(fā)現(xiàn)運行狀態(tài)異常應(yīng)立即查找原因并跟蹤處理；4.2信息系統(tǒng)應(yīng)開啟操作日志記錄功能，并設(shè)置異常操作自動告警，如發(fā)現(xiàn)異常應(yīng)立即跟蹤處理；4.3信息系統(tǒng)應(yīng)定期執(zhí)行數(shù)據(jù)備份和異地備份，如需對備份文件進行傳遞、轉(zhuǎn)移須進行備份文件交接登記；數(shù)據(jù)備份后應(yīng)執(zhí)行恢復(fù)性測試或可讀測試以保證備份數(shù)據(jù)的可恢復(fù)性；4.4信息技術(shù)故障根據(jù)37技術(shù)中心事故等級定義V2.0相關(guān)規(guī)定進行分級，故障處理人員判斷故障分級后應(yīng)及時按照相關(guān)流程跟蹤處理并進行記錄；4.5信息系統(tǒng)運行維護管理詳細要求請參見信息系統(tǒng)運行維護管理規(guī)范。5,信息系統(tǒng)用戶賬號管理5.1信息系統(tǒng)應(yīng)嚴格按照密碼長度、復(fù)雜度、有效期、最多試錯次數(shù)、重用次數(shù)等的相關(guān)規(guī)定設(shè)置 系統(tǒng)密碼策略，同時系統(tǒng)用戶應(yīng)注意賬號密碼的保管以防止賬號密碼外泄；5.2信息系統(tǒng)賬號的新增、修改、刪除/禁用應(yīng)按照規(guī)定流程進行申清審批后方可執(zhí)行，同時須保 留相關(guān)審批記錄或文檔；5.3信息系統(tǒng)管理員賬號僅由獲得授權(quán)人員持有，且同賬號不得由兩個或以上人員待有，管理員 崗位任職人員離職后應(yīng)及時進行賬號刪除、禁用或密碼修改；5.4與財務(wù)數(shù)據(jù)相關(guān)的信息系統(tǒng)應(yīng)定期進行系統(tǒng)賬號審閱，審閱過程中如發(fā)現(xiàn)任何異常必須及時進行跟蹤處理；5.5信息系統(tǒng)設(shè)定賬號/角色與權(quán)限對應(yīng)關(guān)系時，應(yīng)考慮不相容職責(zé)分離的要求,系統(tǒng)應(yīng)強制禁止將不相容職責(zé)權(quán)限授予同用戶/角色，同時系統(tǒng)管理的關(guān)鍵崗位設(shè)定應(yīng)嚴格遵從職責(zé)不相容原則；5.6信息系統(tǒng)用戶賬號管理詳細要求請參見信息系統(tǒng)用戶賬號管理規(guī)范6.信息系統(tǒng)安全管理6.1計算機設(shè)備的使用人員應(yīng)注意設(shè)備的物理安全管理，妥善保管設(shè)備并設(shè)置個人密碼，針對公司配備的計算機不得私自安裝、更換、拆除任何硬件或更改計算機的硬件配詈或在設(shè)備帶電時插拔 外接設(shè)備接口，如出現(xiàn)異常情況應(yīng)及時報與公司IT管理人員；6.2用戶應(yīng)遵守國家的有關(guān)法律和法規(guī)使用網(wǎng)絡(luò)，不得利用公司系統(tǒng)資源進行與業(yè)務(wù)無關(guān)的互聯(lián)網(wǎng)流量或其他網(wǎng)上操作；運維人員應(yīng)提供殺毒軟件進行電腦病毒查殺，及使用入侵檢測、漏洞掃描 等設(shè)備和技術(shù)定期（至少每半年一次）對網(wǎng)絡(luò)安全情況進行監(jiān)控和分析，以降低網(wǎng)絡(luò)安全風(fēng)險；6.3電子文檔作為公司的信息資產(chǎn)，禁止通過網(wǎng)絡(luò)、移動硬盤等方式發(fā)生給與工作無關(guān)的人員，同時應(yīng)定期進行備份以防數(shù)據(jù)丟失；6.4發(fā)生重要的程序源碼、工具、接口文檔、報表、計劃等文件時，必須經(jīng)過壓縮加密后方可傳輸 ，傳輸費和接收方必須單點接收，通過 QQ 傳遞的文件如涉及公司業(yè)務(wù)、員工信息等也必須通 過壓縮加密方式進行傳輸，且密碼只能通過電話或口頭傳遞；6.5公司應(yīng)建立信息系統(tǒng)安全應(yīng)急信息庫 ，對可能發(fā)生的安全突發(fā)事件提供應(yīng)急預(yù)案，定期對應(yīng)急預(yù)案進行審閱，并對應(yīng)急處理人員進行相應(yīng)的培訓(xùn)；6.6信息系統(tǒng)安全管理詳細要求請參見計算機及信息系統(tǒng)安全管理規(guī)范。7.機房管理7.1機房環(huán)境應(yīng)保持清潔整齊，溫濕度調(diào)節(jié)在合適范圍，設(shè)有自動消防報警系統(tǒng)和消防設(shè)施，以 及UPS不間斷電源；7.2對于自行管理機房或外部租賃機房，機房管理人員應(yīng)定期對機房進行巡檢并記錄，如有異常情況相關(guān)人員應(yīng)立即處理并留下相關(guān)記錄；7.3機房鑰匙應(yīng)由專人保管，非機房管理人員如需進入機房應(yīng)獲得審批同意并在機房鑰匙持有人陪同下方可進入，且未經(jīng)機房管理人員同意不得對機房內(nèi)設(shè)備進行操作；7.4機房管理詳細要求請參見機房管理規(guī)范。8.附則8.1本制度自簽發(fā)之日起生效；8.