證券有限責任公司信息技術部內(nèi)部控制制度模版

1、證券有限責任公司信息技術部內(nèi)部控制制度第一章 總則第一條 本制度的制訂目的在于確保全公司的計算機工作管理工作制度化、規(guī)范化，防止技術事故發(fā)生，保障業(yè)務系統(tǒng)的安全、高效運行。第二條 公司信息系統(tǒng)管理工作實行集中統(tǒng)一管理原則。集中統(tǒng)一管理系指在公司系統(tǒng)內(nèi)以統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一應用、統(tǒng)一實施、統(tǒng)一采購的方式分步實施推廣計算應用技術，并對計算機技術應用進行日常運營管理。 第二章 組織結(jié)構(gòu)第三條 公司技術管理工作實行統(tǒng)一歸口管理。公司設立信息技術部負責整個公司的技術管理工作，營業(yè)部相應設立計算機工作管理部門（以下簡稱電腦部）負責營業(yè)部的技術管理工作。第四條 信息技術部是公司信息系統(tǒng)規(guī)劃、建設、管理的

2、主管部門。內(nèi)部應建立職責明確、相互制約的分工體系，應對重要崗位實行雙人雙崗，包括網(wǎng)絡管理、系統(tǒng)管理、應用管理，另外還需設置安全管理員、安全審計員。技術部的主要職能是：（一） 負責公司信息系統(tǒng)建設的總體規(guī)劃并組織實施；（二） 負責公司信息系統(tǒng)安全管理；（三） 及時處理證券交易所及有關主管部門下發(fā)的涉及信息系統(tǒng)運行的數(shù)據(jù)、文件和各類通知；（四） 負責營業(yè)部電腦負責人的技術資格審查；（五） 指導和監(jiān)督下屬營業(yè)部電腦部工作，定期或不定期的專項檢查；（六） 負責計算機硬件、軟件、服務的采購；（七） 負責計算機軟件的開發(fā)；（八） 審核計算機硬件設備報損、報廢；（九） 負責交易業(yè)務數(shù)據(jù)及其他重要數(shù)據(jù)的備份與

3、管理；（十） 公司授權(quán)的其他工作。第五條 電腦部負責本營業(yè)部信息系統(tǒng)日常的運行、管理與維護。電腦部在技術上接受技術部的指導和監(jiān)督。電腦部的主要職能如下：（一） 強化安全意識，自覺遵守信息技術部下發(fā)的各項制度和規(guī)范；（二） 負責本營業(yè)部計算機系統(tǒng)的建設、運營維護工作，配合技術部完成系統(tǒng)上線工作；（三） 負責本營業(yè)部計算機系統(tǒng)的安全管理工作；（四） 負責本營業(yè)部計算機信息系統(tǒng)各類技術文檔的收集、整理、分類、歸檔、備份和保存工作；（五） 負責對本營業(yè)部業(yè)務人員進行計算機操作指導和計算機應用技能培訓。第六條 信息技術部、電腦部應根據(jù)各自的職責建立明確的崗位責任制，確保不相容職務有效分離、相互制衡。第三

4、章 人員管理第七條 技術任職人員，必須符合以下標準：（一） 滿足監(jiān)管要求的it專業(yè)教育經(jīng)歷；（二） 具備證券行業(yè)從業(yè)人員資格證書（對新畢業(yè)或從其他行業(yè)應聘過來的，需根據(jù)公司人力資源部門要求，在限定期限內(nèi)獲得從業(yè)資格證書）（三） 良好的道德品質(zhì)，無不良社會行為記錄。（四） 優(yōu)秀的團隊精神；（五） 能夠積極學習業(yè)務和專業(yè)知識。第八條 技術人員必須嚴格實行公司對人員試用期的管理。在試用期表現(xiàn)特別優(yōu)秀者，可報請公司人力資源部及公司領導后方可提前轉(zhuǎn)正，但最短不能低于一個月。第九條 營業(yè)部電腦部經(jīng)理由營業(yè)部提名，信息技術部負責資格審查，營業(yè)部其他電腦人員的聘用需報公司信息技術部審核，信息技術部具有否決權(quán)。

5、第十條 其具體管理辦法按公司人力資源部相應管理辦法執(zhí)行。第十一條 技術人員的年度考核工作在公司統(tǒng)一的考核體系下，增加專業(yè)技能考核指標。第十二條 營業(yè)部電腦部經(jīng)理的兩天以上（含兩天）的公出需報公司技術部備案；營業(yè)部電腦部經(jīng)理休假需報公司技術部核準。第十三條 營業(yè)部電腦部經(jīng)理調(diào)離工作崗位或離職，必須報公司信息技術部核準，并由信息技術部監(jiān)督下辦理離崗手續(xù)。第十四條 營業(yè)部電腦部其他工作人員調(diào)離或離職，必須報公司信息技術部備案，并按交接流程履行工作交接義務。第十五條 技術人員在調(diào)離崗位或離職時，須嚴格辦理離崗手續(xù)，明確其離崗后的保密義務，退還全部技術資料、門卡和鑰匙。交接所有系統(tǒng)和設備的口令，離崗后信

6、息系統(tǒng)的口令必須立即更換。使用的計算機系統(tǒng)的用戶號要注銷，自公司批準其離崗后必須與交接任人員共同工作20個工作日以上。第十六條 外來人員必須遵守行政管理部和信息技術部對公司辦公區(qū)和機房區(qū)域進出管理要求，進行登記和確認，部門員工必須在指定的會客室進行接待。第十七條 部門所有人員必須將工作用機進行密碼鎖屏，方能離開工位，離開工位前應檢查桌面是否放置有重要信息資料，離開前應將重要信息資料進行歸類存放在資料柜中。第十八條 記載有信息的紙質(zhì)資料過期不用時，應將紙張在碎紙機上進行粉碎，防止信息資料被泄漏。第十九條 員工應該自覺學習安全知識，必須定期接受安全培訓，信息技術部定期組織公司信息技術人員信息安全知

7、識培訓工作。第二十條 第三方人員進入辦公區(qū)域或機房按照xx證券辦公區(qū)域進入管理辦法和信息技術部中心機房管理辦法的有關規(guī)定進行約束和管理。第四章 信息系統(tǒng)管理第一節(jié) 系統(tǒng)日常管理第二十一條 負責機房環(huán)境基礎設施的檢查、例行維護、故障報修、配合外部維護人員進行設備維護等機房日常工作。第二十二條 負責業(yè)務系統(tǒng)、輔助業(yè)務系統(tǒng)、辦公系統(tǒng)的日常維護工作：包括每日的開市前的準備、盤中監(jiān)控、周維護、主機病毒碼升級、收盤作業(yè)、月維護和季度維護工作；第二十三條 負責基礎設施、硬件、應用的監(jiān)控配置、運行情況的監(jiān)控，發(fā)現(xiàn)問題及時匯報。第二十四條 每日進行開市前的各項準備工作，按照信息技術部日常操作管理辦法進行操作，并

8、進行夜間清算技術支持和數(shù)據(jù)備份，同時按照數(shù)據(jù)介質(zhì)管理辦法進行數(shù)據(jù)介質(zhì)管理工作。第二十五條 按照中心機房運營管理辦法對中心機房進行管理。第二十六條 按照信息技術部應急操作手冊對事件進行處理。第二節(jié) 應用管理第二十七條 應用管理員負責制定應用管理制度，并負責應用系統(tǒng)的上線、維護等管理工作，并負責應用安全事件的處理。第二十八條 應用管理員每日按時填寫應用系統(tǒng)運營日志。第二十九條 應用管理員按照維護流程對業(yè)務系統(tǒng)、辦公系統(tǒng)進行例行維護，涉及到軟硬件變更操作須進行系統(tǒng)變更記錄。第三十條 系統(tǒng)日常維護人員須按照應用系統(tǒng)日常操作流程對應用系統(tǒng)進行日常操作。第三十一條 新系統(tǒng)上線前需要事先制訂好各項相關流程，

9、并與網(wǎng)絡組、系統(tǒng)日常維護組成員共同商討系統(tǒng)上線后的日常運營維護工作。第三節(jié) 系統(tǒng)管理第三十二條 系統(tǒng)管理小組負責主機管理，數(shù)據(jù)管理及機房基礎設施規(guī)劃及上線管理，并制定其相關管理制度。第三十三條 每交易日對重要數(shù)據(jù)進行備份，并對數(shù)據(jù)進行有效性檢查，填寫系統(tǒng)維護日志等運維記錄。第三十四條 對系統(tǒng)軟件出現(xiàn)的異常進行跟蹤分析，查找問題原因，提出解決方案，系統(tǒng)運營小組負責人批準后，負責解決方案的實施，對于需要進行配置變更的應當提交變更請求，問題解決后，應對問題和事件進行記錄。第三十五條 當需要聯(lián)系外單位進行硬件報修時，通知桌面管理組進行聯(lián)系報修。第三十六條 定期對主機、數(shù)據(jù)庫、機房基礎設施進行性能及容量

10、分析。第三十七條 定期分析監(jiān)控數(shù)據(jù)、系統(tǒng)日志、應用日志，發(fā)現(xiàn)存在的安全隱患，提出優(yōu)化和解決的辦法，確保數(shù)據(jù)的安全性。第三十八條 定期與日常管理組進行數(shù)據(jù)交接，數(shù)據(jù)借閱、銷毀及保管嚴格按照數(shù)據(jù)介質(zhì)管理辦法進行。第三十九條 新購置服務器應按照服務器安裝上線流程進行安裝配置，配置完成后移交系統(tǒng)應用組。第四節(jié) 網(wǎng)絡管理第四十條 監(jiān)督指導機房維護人員對網(wǎng)絡布線配線架的管理，確保配線的合理有序。第四十一條 確保各種網(wǎng)絡應用服務運行的不間斷性和工作狀態(tài)良好，出現(xiàn)故障時應及時與網(wǎng)絡工程師溝通將故障造成的損失和影響控制在最小范圍內(nèi)。第四十二條 每日監(jiān)控公司網(wǎng)絡情況，包括業(yè)務網(wǎng)、互聯(lián)網(wǎng)出口、辦公網(wǎng)流量監(jiān)控，網(wǎng)絡事

11、件的日常處理，填寫監(jiān)控日志。第四十三條 負責公司整個網(wǎng)絡系統(tǒng)日常維護工作：包括每日開市前的檢查、盤中監(jiān)控、周維護、月維護和季度維護工作。第四十四條 制訂和修訂應急方案，指導和監(jiān)督系統(tǒng)維護小組日常變更工作的實施，參與各種測試工作和上線工作。第四十五條 協(xié)調(diào)電信運營商解決線路開通與故障問題，配合外部網(wǎng)絡維護人員的維護工作。第四十六條 維護和更新網(wǎng)絡資料、網(wǎng)絡配置、網(wǎng)絡拓撲的管理的各類技術資料，負責網(wǎng)絡資料的入庫管理工作。第五節(jié) 災備管理第四十七條 負責災備系統(tǒng)、網(wǎng)上交易系統(tǒng)的維護、與核心業(yè)務系統(tǒng)的數(shù)據(jù)同步、監(jiān)控和相關事件的處理、惡意代碼更新。第四十八條 對網(wǎng)上交易和災備系統(tǒng)軟件出現(xiàn)的異常進行跟蹤分

12、析，查找問題原因，提出解決方案，系統(tǒng)運營小組負責人批準后，負責解決方案的實施，對于需要進行配置變更的應當提交變更請求，問題解決后，應對問題和事件進行記錄。第四十九條 組織災備系統(tǒng)、網(wǎng)上交易的測試、上線、變更和容量管理工作，涉及變更的，發(fā)起變更請求，并通知測試組進行測試。第五十條 負責災備系統(tǒng)、網(wǎng)上交易系統(tǒng)配置資料整理與完善，并負責相關資料入庫工作。第六節(jié) 營業(yè)部管理第五十一條 營業(yè)部管理組對營業(yè)部電腦部運營維護、制度落實等工作情況進行定期或不定期的現(xiàn)場或非現(xiàn)場檢查。第五十二條 組織營業(yè)部電腦部的測試、上線、變更工作，收集整理營業(yè)部測試反饋記錄。第五十三條 協(xié)助營業(yè)部異常事件的處理，提交事件處理

13、報告。第五十四條 組織營業(yè)部定期參與整個公司應急計劃演練工作，收集營業(yè)部應急演練記錄。第五十五條 督促營業(yè)部電腦部完成營業(yè)部信息系統(tǒng)資料的登記入庫，組織營業(yè)部集中完善營業(yè)部資料庫。第五十六條 根據(jù)所屬分支機構(gòu)各個崗位每周系統(tǒng)運營狀況報告，提交營業(yè)部系統(tǒng)運營周報，定期匯總營業(yè)部電腦部月度工作總結(jié)，并提出合理性改進建議。第七節(jié) 信息安全管理第五十七條 規(guī)劃部門信息安全架構(gòu)，制定安全策略并督促實施，并實時追蹤新的安全技術、安全產(chǎn)品。第五十八條 制訂和管理部門內(nèi)部事件報告流程的。第五十九條 收集、整理、規(guī)范部門各環(huán)節(jié)中使用的工作文檔、模板，匯總形成部門的標準文檔。第六十條 協(xié)調(diào)公司內(nèi)部、外部稽核審計和

14、安全檢查工作，匯總相關材料。第六十一條 每日按時填寫信息系統(tǒng)安全設備的巡檢日志。第六十二條 定期對部門安全制度進行審核，保證公司信息系統(tǒng)安全體系穩(wěn)定運營。第六十三條 定期檢查各個應急計劃是否完整覆蓋整個核心系統(tǒng)，督促完善應急計劃工作。第六十四條 定期組織信息安全培訓，制定培訓計劃，安排培訓內(nèi)容。第六十五條 定期進行信息安全巡檢與評估，并生成報告。第六十六條 在信息安全工作管理過程中，建立和健全與外部組織、內(nèi)部部門間的協(xié)調(diào)、溝通機制，并負責安全管理制度的解釋工作。第六十七條 信息系統(tǒng)安全等級保護測評周期1) 定期對報備系統(tǒng)進行測評；2) 一級系統(tǒng)定期進行自查；3) 三級系統(tǒng)每年邀請專業(yè)測評機構(gòu)進

15、行測評，并在證監(jiān)局和公安局報備測評結(jié)果文件。第六十八條 系統(tǒng)測評時，部門和人員安排1) 信息技術部負責測評工作的協(xié)調(diào)與開展等事宜；2) 信息安全員配合測評機構(gòu)完成測評過程中的取證、檢查、訪談等工作，并根據(jù)測評結(jié)果提出整改方案，負責系統(tǒng)整改的實施與完善工作；3) 信息技術安全領導小組負責對信息技術部的測評工作進行指導和監(jiān)督。第六十九條 測評機構(gòu)選擇遵循原則1) 中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；2) 有中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）3) 從事相關檢測評估工作兩年以上，無違法記錄；4) 工作人員僅限于中國公民；5) 法人及主要業(yè)務、技術、人員無犯罪

16、記錄；6) 使用的技術裝備、設施應該符合信息安全等級保護管理辦法對信息產(chǎn)品安全的要求；7) 具有完整的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；8) 對國家安全、社會秩序、公共利用不構(gòu)成威脅。第七十條 測評機構(gòu)需要提供的材料，包括但不限于營業(yè)部執(zhí)照、聲明、相關證明及資質(zhì)材料。第七十一條 測評工作中的保密管理測評機構(gòu)人員在測評期間應嚴格遵守公司各項安全管理制度，發(fā)現(xiàn)違反公司規(guī)定的視情況取消合同關系；與測評機構(gòu)或測評人員簽訂保密協(xié)議或保密承諾書。第七十二條 測評機構(gòu)必須在測評前必須制定技術檢測的方案，方案中必須并明確雙方的職責，確定異常的回退應急方案，方案由公司信息安全登記保

17、護小組進行審核。第七十三條 測評機構(gòu)在技術檢測過程中，技術部必須進行監(jiān)督，系統(tǒng)檢測必須是在清算后和節(jié)假日進行。第七十四條 測評方測評后需出具完整的檢測報告，測評結(jié)果必須是客觀、公正。對不符合安全標準的項目提出整改意見。第七十五條 對新系統(tǒng)建設，需按照信息安全等級保護管理辦法要求實施，建成后公司信息安全小組對系統(tǒng)進行定級，技術部向相關部門進行報備，新系統(tǒng)的測評遵循以上規(guī)定。第八節(jié) 網(wǎng)絡安全管理第七十六條 公司內(nèi)部網(wǎng)絡嚴格按照業(yè)務或應用的需求進行適當分離，對安全級別為三級的業(yè)務或應用必須采取物理隔離措施與辦公網(wǎng)進行隔離。第七十七條 網(wǎng)絡設備和終端采用靜態(tài)ip地址分配，重要網(wǎng)段的終端設備應將mac地

18、址與ip地址進行捆綁，禁止未經(jīng)授權(quán)的設備接入公司網(wǎng)絡。第七十八條 使用無線網(wǎng)絡設備時，必須指定mac地址，同時要有口令認證，對核心網(wǎng)絡需要采用加密傳輸策略。第七十九條 廣域網(wǎng)線路需要在主線路外，提供不少于二種的線路備份方案；核心網(wǎng)絡設備需采取熱備份機制。第八十條 員工在使用vpn方式從外部網(wǎng)絡訪問公司內(nèi)部網(wǎng)時，必須經(jīng)由必要程序獲得授權(quán)，明確已了解使用vpn所存在的風險，并掌握基本的防范方法。第八十一條 網(wǎng)絡管理員應建立網(wǎng)絡狀態(tài)自動監(jiān)控機制，以確保能夠在第一時間內(nèi)發(fā)現(xiàn)網(wǎng)絡故障。第八十二條 網(wǎng)絡管理員應定期察看網(wǎng)絡安全設備(防火墻)日志和流量分析，對異常情況應及早進行處理，并至少保存三個月以上的日

19、志記錄，以便對事件進行跟蹤、追溯。第八十三條 網(wǎng)絡設備的更換和補丁升級均應按照變更流程進行操作，制定回退計劃，并做好變更后的測試工作。第八十四條 公司員工在使用內(nèi)部網(wǎng)絡時，應遵循以下要求：1) 禁止下載與業(yè)務無關的軟件；2) 禁止訪問國家法規(guī)限制內(nèi)容的站點；3) 禁止在交易時間內(nèi)使用耗費網(wǎng)絡帶寬的應用，如：視頻會議、p2p軟件等；4) 嚴格限制在公司內(nèi)部網(wǎng)使用即時通訊軟件、網(wǎng)路游戲客戶端軟件；5) 嚴格限制使用vpn，不得將vpn口令、認證證書交由第二人使用。6) 在互聯(lián)網(wǎng)接入方面應達到以下安全要求：7) 對公司內(nèi)可訪問互聯(lián)網(wǎng)的終端與核心業(yè)務系統(tǒng)必須實行物理隔離；8) 對于來自互聯(lián)網(wǎng)的訪問采用

20、可靠的身份認證、訪問控制和安全審計措施，防止非法接入和非法訪問。9) 訪問互聯(lián)網(wǎng)的終端必須安裝有防后門軟件（推薦使用微軟antispy程序）；10) 禁止終端直接接入互聯(lián)網(wǎng)，必須通過防火墻（硬件或軟件防火墻）訪問；第八十五條 網(wǎng)上委托系統(tǒng)應達到以下安全要求：1) 通過國家權(quán)威機構(gòu)的安全認證，重要技術產(chǎn)品通過國家權(quán)威機構(gòu)的安全測評，達到主管部門的規(guī)定要求；2) 采用可靠的技術和管理措施進行客戶身份認證；3) 采用有效技術措施達到防抵賴、防篡改、防竊取等功能；4) 網(wǎng)上委托服務器所在的網(wǎng)絡與內(nèi)部核心網(wǎng)絡相隔離。5) 所有可配置的網(wǎng)絡設備按最小安全訪問原則設置訪問控制權(quán)限，關閉不必要的端口及服務；6

21、) 妥善保管和定期更換網(wǎng)絡設備的遠程訪問密碼，密碼設置必須具備規(guī)定的復雜性。7) 完整保存網(wǎng)絡設備配置文件，并及時更新。第九節(jié) 應急管理第八十六條 公司應急管理依據(jù)國家突發(fā)公共事件總體應急預案、國家金融突發(fā)事件應急預案、證券、期貨市場突發(fā)事件應急預案、中國證監(jiān)會機關突發(fā)公共衛(wèi)生事件應急規(guī)定（暫行），結(jié)合公司工作實際，本著“誰主管誰負責、誰運行、誰負責”的原則，充分發(fā)揮公司各方面力量，按各自的職責劃分，分級處理。第八十七條 信息系統(tǒng)應急管理應按照“預防為主、加強監(jiān)控；快速響應、職責分明”的原則，不斷通過細化應急預案，加強應急演練，提高突發(fā)事件應急處置能力。加強人員培訓和演練，提高員工安全意識，并

22、配合風險排查，做好應急處置的各項準備，嚴格執(zhí)行信息系統(tǒng)監(jiān)控值班制度，確保故障和問題及早發(fā)現(xiàn)。第八十八條 詳見信息技術部應急操作手冊、營業(yè)部信息系統(tǒng)應急手冊。第十節(jié) 數(shù)據(jù)管理第八十九條 集中交易數(shù)據(jù)實時同步備份，由中心機房通過同步系統(tǒng)在交易期間實時同步到備份資金服務器和災備中心；第九十條 清算數(shù)據(jù)：每日清算后，同步到本地備份服務器和災備中心。并加密壓縮刻錄dvd光盤，存放在同城異地保管箱內(nèi)。第九十一條 各個系統(tǒng)數(shù)據(jù)同步到備機，并刻盤存放在同城異地保管箱內(nèi)。第九十二條 定期對數(shù)據(jù)的一致性進行檢查：定期在測試環(huán)境中恢復備份數(shù)據(jù)，檢查備份數(shù)據(jù)的有效性、可用性和一致性。第九十三條 詳見數(shù)據(jù)介質(zhì)管理辦法。

23、第十一節(jié) 安全審計管理第九十四條 業(yè)務系統(tǒng)實行定期審計，每年對系統(tǒng)進行一次全面審計，審計的依據(jù)是按照公司信息系統(tǒng)審計工作底稿，根據(jù)對系統(tǒng)檢查的結(jié)果，審計交易業(yè)務系統(tǒng)的可靠性和安全性。第九十五條 系統(tǒng)審計檢查內(nèi)容包括物理安全檢查、網(wǎng)絡安全檢查、主機安全檢查、運用安全檢查、數(shù)據(jù)安全檢查、業(yè)務可持續(xù)性安全檢查、制度有效性檢查和執(zhí)行情況檢查等部分。第九十六條 審計人員由it總監(jiān)指派專人負責。第十二節(jié) 測試管理第九十七條 負責系統(tǒng)上線前的驗收測試及上級主管部門安排的測試。第九十八條 測試前必須制定測試方案，編寫測試文檔。測試文檔應包含測試人員、測試用例、測試計劃及測試過程。第九十九條 根據(jù)不同測試內(nèi)容，

24、由相關小組（應用管理、系統(tǒng)管理等）制定測試用例及測試過程，系統(tǒng)測試組進行匯總編寫。第一百條 部門內(nèi)測試應該按照部門內(nèi)測試流程進行測試，涉及其他部門的測試應該嚴格按照部門間測試流程進行測試。第一百零一條 測試完成后，由系統(tǒng)測試小組收集整理測試文檔，編寫測試報告，并將測試文檔進行存檔。第十三節(jié) 變更管理第一百二條 部門的變更管理工作，是為了有效預防系統(tǒng)變更可能引發(fā)的風險，確保公司網(wǎng)絡與信息協(xié)調(diào)安全穩(wěn)定運行，減少信息系統(tǒng)變更對系統(tǒng)服務的負面影響，規(guī)范變更的審批和控制，實現(xiàn)有效的地協(xié)商和溝通，確保變更的可追溯性。第一百二條 由于突然發(fā)生并嚴重影響或可能嚴重影響公司信息系統(tǒng)穩(wěn)定運行，進而影響客戶交易的緊

25、急事件所引起的變更，參照公司相關應急手冊和預案。第一百三條 變更管理的基本要求:(一)變更申請必須經(jīng)過評估，確保變更的合理性；（二）變更必須經(jīng)過周密的計劃，確保變更實施和恢復方案的完整性和準確性；（三）保證變更的透明性和各崗位間的有效溝通；（一） 確保變更有明確、完整的記錄；（五）變更實施后值班人員應加強觀察和監(jiān)控，確保變更達到預期目的；（六）詳見信息技術部變更管理辦法。第十四節(jié) 采購管理第一百零四條計算機設備是包括臺式機、服務器、筆記本電腦、打印機、掃描儀、網(wǎng)絡設備、信息安全產(chǎn)品、計算機通信設備、不間斷電源、以及其他計算機輔助設備。第一百零五條公司及所屬的各機構(gòu)的設備更新、添置須根據(jù)公司固定

26、資產(chǎn)購置辦法以及有關的財務制度進行管理外，同時應在信息技術部（包括營業(yè)部電腦部）存檔，以便于管理和維護。第一百零六條公司采購防火墻、防毒軟件、防毒墻、應用防火墻、網(wǎng)頁防篡改產(chǎn)品、安全審計產(chǎn)品、入侵檢測、入侵防范等信息安全產(chǎn)品時，必須具有國家有權(quán)部門出具的認證、銷售許可證明。第一百零七條公司采購軟件在合同中應簽署無后門隱患條款。第一百零八條 申請流程1) 各個部門需采購計算機設備時，應提交采購申請，寫明采購設備類型和用途，以及對設備性能的基本要求；2) 對各個部門的采購申請，應先由辦公室根據(jù)閑置計算機設備狀況進行調(diào)配。3) 如無法調(diào)配，則由信息技術部根據(jù)業(yè)務需求確定型號和預算，報請相關使用部門，

27、由使用部門提交內(nèi)部請示，請領導審批。4) 計算機設備購置需滿足如下幾方面要求：1、高效性、可靠性、兼容性、可擴展性；2、較好的性能價格別；3、滿足監(jiān)管部門的要求，如證監(jiān)局、公安局、第三方審計機構(gòu)等；4、良好的售后服務。5）營業(yè)部實施的工程項目，單項預算在1萬元以上的（包括1萬元）須將工程目標、工程方案、設備清單、費用預算以及相關部門意見、營業(yè)部經(jīng)理批示（需要資質(zhì)證明的工程必須要施工單位出具資格證書復印件）呈報公司經(jīng)紀業(yè)務部批準后，由信息技術部簽署意見后再報公司領導審批。6）購置計算機設備的品牌、型號在不影響使用和性能的基礎上，應盡可能統(tǒng)一，以利于計算機的維護工作。第一百零九條 采購流程（一）經(jīng)

28、領導審批后，根據(jù)采購額的不同采取不同的采購流程。（二）采購流程分別為dell采購流程；臺式機、筆記本、打印機、配件、工具、輔材等采購流程；服務器、存儲、網(wǎng)絡設備、機房設備等采購流程；安全設備采購流程；正版軟件采購流程。（三）小額的采購采取直接尋價的方式進行，尋價渠道不得少于三家。（四）大額的采購采用招標和議價結(jié)合的方式進行，招標和議價過程由公司采設備采購小組完成。（五）購置計算機設備的合同（協(xié)議）中應包含以下內(nèi)容：設備名稱、型號、標準配置、產(chǎn)地、單位、數(shù)量、單價、合計金額、交貨時間、地點、驗收標準、付款時間、保運費、保修期限、維修服務、技術支持、培訓及違約責任等內(nèi)容，合同中需要更詳細、明確的條

29、款和內(nèi)容可用協(xié)議的方式補充說明。（六）重要系統(tǒng)和設備的購置，需至少正常運行三個月后，方可支付所余款項。第一百一十條設備驗收（一）設備購置手續(xù)必須完整，由信息技術部專人負責驗收。驗收時必須認真仔細，完成外觀檢查、數(shù)量清點、安裝測試、設備試運行等幾個方面的驗收程序，重要設備需要供貨商出具進貨渠道證明。（二）根據(jù)設備裝箱單，清點配備的軟件、資料、保修單、說明書等，并及時向技術資料保管員辦理移交手續(xù)。第一百一十一條設備維修（一）設備由使用單位的電腦部門負責日常的管理維護，員工應掌握基本的計算機操作常識。（二）如設備出現(xiàn)故障，需要信息技術部人員進行維修時，應填寫設備維修申請，其中應如實填寫設備損壞的原因

30、，以便于查找故障。（三）對未在信息技術部（包括營業(yè)部電腦部）建立技術檔案的計算機設備，信息技術部不負責其維修。（四）在接收到設備維修申請后，信息技術部將根據(jù)具體情況安排技術人員進行維修。（五）需要交由廠家維修的設備，應及時辦理相關手續(xù)，同時需通知設備使用者需要的維修時間。（六）應定期統(tǒng)計重要設備的保修期限，對即將超過保修期限的設備需及時辦理續(xù)保手續(xù)。（七）由于個人使用不當，造成設備損壞的，應按公司固定資產(chǎn)管理辦法進行處理。第一百一是二條計算機設備報損、報廢（一）公司使用計算機設備的報損、報費，經(jīng)信息技術部鑒定后，按公司固定資產(chǎn)報損、報廢流程處理。（二）營業(yè)部計算機設備報損，公司經(jīng)紀業(yè)務部批準后

31、，經(jīng)信息技術部復核，方可處置。（三）信息技術部的重要設備報損、報廢，應在確認無法修復，或維修成本過大時，提交詳細的書面報告。（四）報損、報廢的設備由公司辦公室統(tǒng)一處置，其他部門不得任意處置。第十五節(jié) 項目管理第一百一十三條收集項目立項、啟動、實施、變更、測試、里程碑事件、項目試運行、驗收等過程的跟蹤、記錄，督導項目經(jīng)理提交相關項目資料。第一百一十四條對部門各項工作進度執(zhí)行情況的進行匯總、分析工作。第一百一十五條每周由項目跟蹤人在部門信息平臺對所管理的項目進行匯報和說明，完成項目周報。第一百一十六條根據(jù)項目管理流程，對部門項目過程進行管理，檢查部門項目進展、執(zhí)行情況，督促項目經(jīng)理對進度進行控制，

32、并協(xié)助項目經(jīng)理制訂項目實施計劃進度表。第一百一十七條參與項目立項、實施、測試、變更、驗收的全程會議，督促項目負責人、跟蹤項目進度。第一百一十八條開展部門短期規(guī)劃目標的制定工作，確定下一年度工作安排匯總、評估需要開展和改進的工作內(nèi)容。第一百一十九條詳見信息技術部項目管理辦法。第十六節(jié) 綜合管理第一百一二十條 負責部門資料管理制度的制訂。第一百二十一條 負責資料庫的建立、分類、維護和更新。第一百二十二條負責部門內(nèi)和部門間往來公文收發(fā)管理，主要包括公文的登記、入庫、借閱等管理。第一百二十三條負責技術管理資料的入庫管理：督促其他關人員整理制度、流程、合同、軟件產(chǎn)品授權(quán)許可、介質(zhì)等除業(yè)務數(shù)據(jù)以外的其他運

33、營維護資料的入庫。第一百二十四條負責低值易耗品的統(tǒng)一領用、登記。第一百二十五條負責服務水平協(xié)議的簽訂、服務水平評估，并根據(jù)服務水平協(xié)議支付維護費。第一百二十六條負責日常交通費、餐費、差旅費的報銷，登記每次費用，作年終預算參考。第十七節(jié) 桌面管理第一百二十七條負責公司的終端設備管理，桌面機、打印機的維護管理并制定其相關管理制度。第一百二十八條 定期對終端系統(tǒng)更新情況、殺毒軟件更新情況、終端性能及故障、根據(jù)使用者業(yè)務需求結(jié)合各終端需求進行分析。第一百二十九條 配合機房硬件設備及各部門服務器需件報修時，進行聯(lián)系報修并記錄變更資產(chǎn)管理表。第一百三十條 加強終端設備管理規(guī)范針對終端設備的配置管理，進行支

34、持部門(技術部分運營設備與辦公設備)、設備型號等進行分類查詢。建立第三方電子化留痕，送往第三方時需要填寫電子化表單，填寫維護時間表，更換維護明細。到期未完成或如有變動的則及時更新并注明原因。第一百三十條 根據(jù)每月維護綜合報告制作計算機個人使用手冊常識，完善操作系統(tǒng)服務手冊并利用center進行鏈接支持。第五章 工作報告第一百三十一條 工作計劃管理：（一）信息技術部應根據(jù)公司發(fā)展計劃和業(yè)務需求在年度末制定出第二年度的工作計劃；（二）每個員工應根據(jù)分配的計劃任務和自身發(fā)展制定出個人工作計劃。第一百三十二條 工作報告管理：（一）營業(yè)部電腦部經(jīng)理應每周向信息技術部提交工作報告；（二）技術人員應每月向其直接領導提交工作報告。（三）信息技術部應在年末向