公司授权审批管理制度

公司授权审批管理制度

第一条【目的】本制度旨在对上海大千商务服务有限公司信息系统的可靠性、稳定性和有效性进行授权、审批，降低信息安全风险，维护上

海大千商务服务有限公司切身利益。建立合理的授权审批机制，加强内部控制，同时提高管理效率。使上海大千商务服务有限公司信

息安全管理制度不断地完善并持续有效运行。

第二条【范围】本规定适用于对上海大千商务服务有限公司范围内信息系统的授权和审批活动。

第三条授权审批的原则

（一）坚持授权的范围和深度与上海大千商务服务有限公司内部控制的建立健全程度及管理人员的控制水平相匹配的原则；

（二）坚持根据管理情况变化适时调整授权的原则，兼顾相对稳定和持续优化；

（三）坚持授权与审批相结合，有权必有审，在授权范围内的事物产生的结果由被授权人承担，同时建立责任追究机制；

（四）坚持授权与监督相结合的原则，确保权利被恰当、有效使用第四条授权审批的范围

（一）权责分配、职责分工、信息系统相关事项履行审批程序；

（二）信息系统开发、变更和维护流程以及授权审批程序；

（三）安全访问制度，包括操作权限、信息使用、信息管理等；

（四）硬件管理事项和审批程序；

（五）以上未涉及范围，参见其他管理制度相关规定。

第五条岗位分工与授权审批

信息化系统涉及以下事务：

（一）流程分析：分析系统信息需求，并据此制定设计或修改程序的方案；

（二）计算机操作：负责运行并监控应用程序；

（三）数据库管理：综合分析、设计系统中的数据需求，维护组织数据资源；

（四）数据控制：负责维护计算机路径代码的控制，确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，

并将输出信息分发给经过授权的用户。

（五）终端：终端用户负责记录处理操作内容，输出相应的处理结果。

信息安全领导小组：明确定义系统归口管理部门和用户部门在保证

系统正常安全运行过程中各自承担的职责，制定系统安全部及个人

之间的职责与分工。

系统安全部：负责信息系统开发需求、变更、运行、维护等工作。第六条信息系统开发、变更和维护控制

（一）计算机信息系统开发包括自行设计、外购调试和外包合作开发。在开发信息系统时，应当充分考虑业务和信息的集成

性，优化流程，并将业务流程嵌入到系统程序中，以预

防、检查、纠正错误和舞弊行为，确保业务活动的真实性、

合法性和效益性。

二）信息系统开发必须经过信息安全领导小组正式授权，并进行

详细备案。具体程序包括:提出需求；系统安全部审核；信息安

全领导小组权批准；系统分析人员设计方案等。

（三）对外购调试或外包合作开发等需要进行招投标的信息系统开发项目，应当成立招投标小组，并保证招投标小组的独立

性。

（四）制定详细的信息系统上线计划。在新旧系统切换时，在上线计划中明确系统回退计划，保证新系统一旦失效，能够顺利

回退到原来的系统状态。

（五）新旧系统切换时，如涉及数据迁移，应当制定详细的数据迁移计划。

（六）用户部门应当积极参与数据迁移过程，对数据迁移结果进行测试，并签署测试报告。

（七）信息系统在投入使用前应当至少完成整体测试和用户验收测试，以确保系统的正常运转。

（八）信息系统原设计功能未能正常实现时，应当指定相关人员负责详细记录，并及时报告系统安全部，由其负责系统程序修

正和软件参数调整，尽快解决存在的问题。

第七条系统安全访问

（一）信息系统安全访问控制是对安全设备、邮件服务器、WEB服务器、OA服务器、账务核心系统、账务管理系统、POS接

入系统等进行系统级和操作级的访问控制。

（二）系统级访问权限归属于系统管理员（主机管理员），系统管理

员不得擅自进行系统软件的删除、拷贝、修改等操作，不得

擅自升级、改变系统软件版本或更换系统软件，不得擅自改变软件系统环境配置。

三）凡需进入信息系统的员工，必须经过帐号申请、审批后，方可设置帐号并分配权限。

四）对于发生岗位变化或离岗的用户，由单位人事部门通知系统安全部及时调整其在系统中的访问权限。

五）每季度对系统中的账号进行审阅，避免有授权不当或冗余账号存在。

六）对于特权用户，对其在系统中的操作进行监控，并定期审阅监控日志。

七）充分利用安全设备防止黑客、病毒入侵，合理规划网络结构提高网络性能、隔离对外服务器减少不安全隐患、利用操作系统、数据库、应用系统自身提供的安全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。

八）不得将信息系统访问安全事项完全交由第三方管理，但可申请第三方合作或咨询，但必须加强对第三方的监控。

九）及时检测信息系统运行情况，及时进行计算机病毒的预防、检查工作，禁止用户私自安装非法软件和卸载公司内部要求安装的防病毒软件。一经发现潜在危险，应当及时通知操作人员隔离受病毒侵袭的系统部分，尽快处理。如有必要，可以暂时终止系统运行。

十）信息系统操作人员应当在权限范围内进行操作，不得利用他

人的口令和密码进入软件系统。更换操作人员或密码泄密

后，必须及时更改密码。操作人员如果离开工作现场，必须

在离开前锁定或退出已经运行的程序，防止其他人员越权操

作或散发不当信息。

第八条硬件管理

（一）按照公司固定资产管理办法对信息化设备的新增、报废、流转等情况建档登记，统一管理。

（二）信息化设施包括：机房环境设施，包括UPS电源、市电配电柜、防雷设施、空调设备、灭火器材等）；网络设备包括宽

带接入设备、交换机、网络线路、网络机柜等；安全防护设

施包括放火墙、入侵防护、安全审计、网络防病毒软件等；

服务器包括PC应用服务器；备份设备包括带库、磁带、

硬盘灾备。

（三）机房环境、电源及防雷接地应满足《建筑与建筑群综合布线系统工程设计规范》（CECS 72：97）的要求。

（四）机房应根据信息系统安全要求配置必要的安全产品，包括IDS、防火墙、安全审计、网络防病毒软件、网管软件等。

（五）硬件设备的更新、扩充、修复等工作应当由系统安全部提出申请，报信息安全领导小组审批。未经允许，不得擅自拆装

硬件设备。

（六）应对机房设备运行情况进行例行检查，并做机房日志。

（七）严禁在机房内吸烟、喝茶。

（八）严禁将易燃、易爆物品带入机房。

（九）严禁无关人员进入机房。

（十）因工作需要，外单位人员须进入机房的，必须事先得到领导及相关人员同意，陪同一起进入机房，并做好机房进出登记

及外单位人员携带设备进行登记。

第九条本管理制度由信息安全领导小组负责制定、修改及解释。

第十条本管理制度自发布之日起执行。