最新IT內(nèi)控管理制度(總則)資料

1、精品文檔IT內(nèi)控管理制度（總則）1 . 目的為加強(qiáng)公司 IT 內(nèi)部控制管理工作，規(guī)范信息系統(tǒng)的開(kāi)發(fā)、維護(hù)、使用等行為，提高信息系統(tǒng)對(duì)公司現(xiàn)代化管理的支撐水平，降低因內(nèi)部控制制措施缺失或不夠完善帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)，特制定本制度。2 .適用范圍本制度適用千公司及下屬分子公司所有外購(gòu)或自行開(kāi)發(fā)的信息系統(tǒng)及其開(kāi)發(fā)、維護(hù)、使用人員。3 .信息系統(tǒng)開(kāi)發(fā)與變更管理3.1 信息系統(tǒng)變更分為三個(gè)級(jí)別系統(tǒng)開(kāi)發(fā)（I級(jí)）、重要系統(tǒng)變更（II級(jí)）、非重要系統(tǒng)變更（III級(jí)）；系統(tǒng)開(kāi)發(fā)（I級(jí)）根據(jù)項(xiàng)目涉及內(nèi)容重要程度與緊急程度分為S級(jí)、A級(jí)、B級(jí)和C級(jí)等四個(gè)級(jí)別；3.2 系統(tǒng)開(kāi)發(fā)必須通過(guò)立項(xiàng)申請(qǐng)，在各項(xiàng)目成員充分了解項(xiàng)目

2、背景、重要性并確認(rèn)需求后，方可開(kāi)展后續(xù)開(kāi)發(fā)工作；3.3 系統(tǒng)的開(kāi)發(fā)/變更、測(cè)試、上線須嚴(yán)格按照開(kāi)發(fā) /變更流程規(guī)范、需求方案要求進(jìn)行；3.4 系統(tǒng)開(kāi)發(fā)或變更必須對(duì)開(kāi)發(fā)人員、測(cè)試人員和上線人員進(jìn)行嚴(yán)格分離，確保系統(tǒng)在功能、性能、控制要求和安全性等方面符合開(kāi)發(fā)/ 變更需要，防止上線過(guò)程中對(duì)系統(tǒng)代碼的篡改；3.5 系統(tǒng)開(kāi)發(fā)或變更過(guò)程中，應(yīng)保留有關(guān)記錄，以備查驗(yàn)或進(jìn)行問(wèn)題追溯；3.6 系統(tǒng)開(kāi)發(fā)管理詳細(xì)要求請(qǐng)參見(jiàn)信息系統(tǒng)項(xiàng)目管理及開(kāi)發(fā)管理規(guī)范；系統(tǒng)變更管理詳細(xì)要求請(qǐng)參見(jiàn)信息系統(tǒng)變更管理規(guī)范。4 .信息系統(tǒng)運(yùn)行維護(hù)管理4.1 針對(duì)面向玩家的重要系統(tǒng)及平臺(tái)，應(yīng)設(shè)置系統(tǒng)運(yùn)行情況自動(dòng)監(jiān)控程序，并由程序自動(dòng)向運(yùn)維

3、部發(fā)出告警，如發(fā)現(xiàn)運(yùn)行狀態(tài)異常應(yīng)立即查找原因并跟蹤處理；4.2 信息系統(tǒng)應(yīng)開(kāi)啟操作日志記錄功能，并設(shè)置異常操作自動(dòng)告警，如發(fā)現(xiàn)異常應(yīng)立即跟蹤處理；4.3 信息系統(tǒng)應(yīng)定期執(zhí)行數(shù)據(jù)備份和異地備份，如需對(duì)備份文件進(jìn)行傳遞、轉(zhuǎn)移須進(jìn)行備份文件交接登記；數(shù)據(jù)備份后應(yīng)執(zhí)行恢復(fù)性測(cè)試或可讀測(cè)試以保證備份數(shù)據(jù)的可恢復(fù)性；4.4 信息技術(shù)故障根據(jù) 37技術(shù)中心事故等級(jí)定義V2.0 相關(guān)規(guī)定進(jìn)行分級(jí)，故障處理人員判斷故障分級(jí)后應(yīng)及時(shí)按照相關(guān)流程跟蹤處理并進(jìn)行記錄；4.5 信息系統(tǒng)運(yùn)行維護(hù)管理詳細(xì)要求請(qǐng)參見(jiàn)信息系統(tǒng)運(yùn)行維護(hù)管理規(guī)范。5,信息系統(tǒng)用戶賬號(hào)管理1.1 信息系統(tǒng)應(yīng)嚴(yán)格按照密碼長(zhǎng)度、復(fù)雜度、有效期、最多試錯(cuò)

4、次數(shù)、重用次數(shù)等的相關(guān)規(guī)定設(shè)置系統(tǒng)密碼策略，同時(shí)系統(tǒng)用戶應(yīng)注意賬號(hào)密碼的保管以防止賬號(hào)密碼外泄；1.2 信息系統(tǒng)賬號(hào)的新增、修改、刪除/禁用應(yīng)按照規(guī)定流程進(jìn)行申清審批后方可執(zhí)行，同時(shí)須保留相關(guān)審批記錄或文檔；1.3 信息系統(tǒng)管理員賬號(hào)僅由獲得授權(quán)人員持有，且同賬號(hào)不得由兩個(gè)或以上人員待有，管理員 崗位任職人員離職后應(yīng)及時(shí)進(jìn)行賬號(hào)刪除、禁用或密碼修改；1.4 與財(cái)務(wù)數(shù)據(jù)相關(guān)的信息系統(tǒng)應(yīng)定期進(jìn)行系統(tǒng)賬號(hào)審閱，審閱過(guò)程中如發(fā)現(xiàn)任何異常必須及時(shí)進(jìn)行跟蹤處理；1.5 信息系統(tǒng)設(shè)定賬號(hào)/角色與權(quán)限對(duì)應(yīng)關(guān)系時(shí)，應(yīng)考慮不相容職責(zé)分離的要求 ,系統(tǒng)應(yīng)強(qiáng)制禁止將不相容職責(zé)權(quán)限授予同用戶 / 角色，同時(shí)系統(tǒng)管理的關(guān)

5、鍵崗位設(shè)定應(yīng)嚴(yán)格遵從職責(zé)不相容原則；1.6 信息系統(tǒng)用戶賬號(hào)管理詳細(xì)要求請(qǐng)參見(jiàn)信息系統(tǒng)用戶賬號(hào)管理規(guī)范6 .信息系統(tǒng)安全管理6.1 計(jì)算機(jī)設(shè)備的使用人員應(yīng)注意設(shè)備的物理安全管理，妥善保管設(shè)備并設(shè)置個(gè)人密碼，針對(duì)公司配備的計(jì)算機(jī)不得私自安裝、更換、拆除任何硬件或更改計(jì)算機(jī)的硬件配詈或在設(shè)備帶電時(shí)插拔 外接設(shè)備接口，如出現(xiàn)異常情況應(yīng)及時(shí)報(bào)與公司IT管理人員；6.2 用戶應(yīng)遵守國(guó)家的有關(guān)法律和法規(guī)使用網(wǎng)絡(luò)，不得利用公司系統(tǒng)資源進(jìn)行與業(yè)務(wù)無(wú)關(guān)的互聯(lián)網(wǎng)流量或其他網(wǎng)上操作；運(yùn)維人員應(yīng)提供殺毒軟件進(jìn)行電腦病毒查殺，及使用入侵檢測(cè)、漏洞掃描等設(shè)備和技術(shù)定期（至少每半年一次）對(duì)網(wǎng)絡(luò)安全情況進(jìn)行監(jiān)控和分析，以降低

6、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；6.3 電子文檔作為公司的信息資產(chǎn)，禁止通過(guò)網(wǎng)絡(luò)、移動(dòng)硬盤(pán)等方式發(fā)生給與工作無(wú)關(guān)的人員，同時(shí)應(yīng)定期進(jìn)行備份以防數(shù)據(jù)丟失；6.4 發(fā)生重要的程序源碼、工具、接口文檔、報(bào)表、計(jì)劃等文件時(shí)，必須經(jīng)過(guò)壓縮加密后方可傳輸，傳輸費(fèi)和接收方必須單點(diǎn)接收，通過(guò)QQ 傳遞的文件如涉及公司業(yè)務(wù)、員工信息等也必須通過(guò)壓縮加密方式進(jìn)行傳輸，且密碼只能通過(guò)電話或口頭傳遞；6.5 公司應(yīng)建立信息系統(tǒng)安全應(yīng)急信息庫(kù) ，對(duì)可能發(fā)生的安全突發(fā)事件提供應(yīng)急預(yù)案，定期對(duì)應(yīng)急預(yù)案進(jìn)行審閱，并對(duì)應(yīng)急處理人員進(jìn)行相應(yīng)的培訓(xùn)；6.6 信息系統(tǒng)安全管理詳細(xì)要求請(qǐng)參見(jiàn)計(jì)算機(jī)及信息系統(tǒng)安全管理規(guī)范。7 .機(jī)房管理7.1 機(jī)房環(huán)境應(yīng)保持清潔整齊，溫濕度調(diào)節(jié)在合適范圍，設(shè)有自動(dòng)消防報(bào)警系統(tǒng)和消防設(shè)施，以 及UPS不間斷電源；7.2 對(duì)于自行管理機(jī)房或外部租賃機(jī)房，機(jī)房管理人員應(yīng)定期對(duì)機(jī)房進(jìn)行巡檢并記錄，如有異常情況 相關(guān)人員應(yīng)立即處理并留下相關(guān)記錄；7.3 機(jī)房鑰匙應(yīng)由專人保管，非機(jī)房管理人員如需進(jìn)入機(jī)房應(yīng)獲得審批同意并在機(jī)房鑰匙持有人陪同 下方可進(jìn)入，且未經(jīng)機(jī)房管理人員同意