公司信息系统内控手册

第十八号信息系统

第一章信息系统的开发管理

一、业务目标

?确保信息系统的建设过程符合国家法律、法规及企业内部管理制度的要求。?合理规划企业信息系统建设，促进企业战略目标的实现。

?严格控制信息系统项目实施过程，保证系统建设质量。

二、业务风险

?信息系统的建设与运行违反国家法律、法规和监管机构的要求，可能使企业遭受外部处罚。

?信息系统发展缺少合理的规划或者落实不到位，无法确保企业全面战略目标的实现。

三、业务范围

该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程，主要包括：项目立项审批，项目合同签订，项目实施管理，项目验收管理等。

四、业务流程描述

1、项目立项

公司各单位按照企业信息化建设规划，根据本单位业务管理需要，在每年12月31日前提出企业信息化应用系统建设项目申请，编制应用系统项目申报材料，提交对口业务部门和信息中心。项目申报材料的具体要求请参考《XXXXXXX信息化应用系统需求管理制度》。

信息中心按照《XXXXXXX信息化建设管理制度》规定的职责分工，将需求方案分送各相关业务部门进行业务审核。信息中心负责项目申报材料的技术审核。

业务需求牵头部门、信息中心按照分工完成业务审核和技术审核后，报信息化工作领导小组审定。

信息中心负责将审核项目进行汇总，对重大项目组织专家论证，编制年度项目计划，经信息化办公室审核，报信息化领导小组审批。

信息中心根据信息化领导小组审定的年度项目计划，按照部门预算管理要求，汇总编制年度公司信息化经费预算及建设项目经费预算，报分管副总、总经理审批，并将批复结果以书面形式通知集团内相关单位。

未经信息化领导小组批准的建设项目，不得自行筹集经费建设。

2、项目实施过程管理

经信息化领导小组批准的建设项目，由信息中心确认开发商或供应商，并根据《XXXXXXX信息化建设项目合同管理制度》签订项目合同。

信息中心会同对口业务部门确认详细的业务功能需求和业务流程，确认开发任务，合理配置开发资源。

信息中心组织部内相关单位和项目开发单位有关人员成立系统开发小组，负责组织和管理软件开发工作。

信息中心负责对系统开发全过程进行跟踪管理；负责建立进度控制、质量控制、风险控制机制，约束开发单位按期保质完成工作计划、规避项目风险。项目实施过程的管理要求详见《XXXXXXX信息化应用系统组织实施管理制度》。

信息中心组织项目需求单位、项目开发单位组成系统测试小组，负责系统测试的各项工作。

各项测试工作完成后，信息中心负责完成信息系统的正式上线工作。

系统使用的对口业务部门负责编制系统的业务指导操作手册，信息中心负责提供技术支持。

3、项目验收

项目开发单位在项目完成后1个月内，向信息中心提出项目竣工验收申请，并填写《企业信息化建设项目竣工验收申请表》。

信息中心会同业务需求牵头部门组成验收小组，具体验收标准及验收程序详见《XXXXXXX信息化建设项目验收管理制度》。

项目验收组根据审查验收情况，召开评审论证会，对项目进行综合评价，形成竣工验收报告，填写《企业信息化建设项目竣工验收表》，由验收组全体成员签字，验收组组长根据验收表决情况签署验收意见。

信息中心将通过验收的项目各种文件资料及最终验收审批报告，归类整理并列出清单，按照有关规定归档保存。

项目未通过验收的，信息中心以书面形式通知开发单位，限期整改，符合验收条件后，可再次提出验收申请。

五、相关制度

《XXXXXXX信息化建设管理制度》

《XXXXXXX信息化应用系统需求管理制度》

《XXXXXXX信息化建设项目合同管理制度》

《XXXXXXX信息化建设项目资金管理制度》

《XXXXXXX信息化应用系统组织实施管理制度》

《XXXXXXX信息化建设项目验收管理制度》

六、主要控制点

1 项目立项管理流程

2 项目合同的签订

3 项目实施过程的质量控制，进度控制，风险控制

4 项目验收过程

七、检查资料

1 信息系统项目申报材料

2 项目评审报告

3 项目开发或采购相关合同

4 系统实施方案

5 信息系统项目竣工验收报告

八、业务流程

第二章信息系统的运行与维护

一、业务目标

?确保信息系统的运维管理过程符合国家法律、法规及企业内部管理制度的要求。

?提高信息系统的管理水平和技术应用水平，满足生产经营业务需求，提高企业综合竞争力。

二、业务风险

?信息系统管理存在漏洞，无法满足业务需求或给企业带来信息安全隐患，影响生产经营的顺利进行。

?信息系统的软件、硬件等运行环境存在运行故障、数据丢失、设备损坏等风险，缺失应急预案，影响企业的正常生产运营。

三、业务范围

该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程，主要包括：信息系统的运行及维护管理、系统升级管理、信息系统安全管理等。

四、业务流程描述

1、系统运行及维护管理

企业总部应用系统的维护归口统一由信息中心负责管理（运维直接外包的项目除外）。

系统使用对口业务部门(单位)负责业务流程、业务要求、对口模块子系统的具体操作规范等相关制度的制定和落实，对有关业务参数等数据的日常更新；对关键用户与一般用户进行系统业务培训和培训考核。信息中心负责提供技术支持。信息中心负责日常软硬件系统维护、网络安全、系统应急处理等工作，保证信息系统安全、稳定运行，并做《应急事故处理记录》和《运行维护记录》。需委托维护的信息系统，信息中心负责审查系统服务商资质，并签订系统维护服务合同；由信息中心自行维护的，则指定专人负责维护，制定岗位职责。

在系统使用中，各部门（单位）如有变更需求，可在OA办公系统中填写《新增

变更业务需求申请单》，在相关业务部门和信息中心完成系统审批流程后，由信息中心统一安排处理。变更完成后由申请提出部门相关人员签字确认。

3、系统更新升级管理

对于系统更新升级，软件提供方必须明确给出本次补丁所涉及的变更内容。并发布到与正式系统同步的测试系统中，由信息中心会同相关业务部门，对系统进行测试评估。测试完成后，相关部门人员共同在《系统升级测试报告》上签字确认。在系统补丁测试确认完成后，由信息中心指定工作人员负责完成正式系统的补丁升级。

信息系统操作人员不得擅自进行系统软件的删除修改等操作，不得擅自升级、改变系统软件版本；不得擅自改变软件系统的环境配置。

4、信息系统安全管理

信息系统环境安全

企业系统运行环境包括了数据中心机房、总部与各分子公司的网络及通信加密方式等，具体的安全管理要求详见《XXXXXXX信息安全管理制度》。

信息系统网络安全

信息中心负责企业总部的防火墙建设及网络安全防护，各项安全要求标准详见《XXXXXXX信息安全管理制度》。

信息系统数据安全

信息中心负责企业数据安全管理，制定各类数据备份的计划，定期监督备份计划实施情况。

每日进行系统数据库自动备份，并将备份数据自动保存至数据备份服务器。系统管理员定期将备份服务器上的数据拷贝至移动存储进行备份。定期对备份数据抽样进行恢复测试。年末将备份数据的移动存储设备送往档案中心存档。

任何单位和个人不得从事危害信息系统安全的行为，不得对外公开信息系统的保密数据，违规者按依照有关规定对责任人员给予行政处分。情节严重的追究刑事责任。

信息系统用户安全

信息中心负责用户账号新增、变更，并根据员工的岗位进行权限分配，详见《XXXXXXX信息化建设系统组织、用户权限管理制度》。

每位员工都有责任保管好本人的账号和密码，做好计算机病毒防护工作，并定期更换密码，以防止他人盗用和破译。

人员岗位若发生变化，其账号的权限也需做相应的调整。岗位变更人员在完成人事部门的业务审批流程后，在OA办公系统填写岗位权限信息表并提交给信息中心，信息中心管理员才能根据表格信息进行相应的账号新增、修改及权限分配操作；

人员离职后，用户账号将被禁用。

5、机房管理

外来人员对硬件系统维护时，须填写《外来人员进入机房审批表》，经信息中心批准后方可进入；当外来人员对软件系统进行维护时，须填写《应用软件维护表》，经系统使用业务部门负责人和信息中心主任签字批准后方可。

机房所有工作人员须经信息中心主任授权并凭门禁卡进出机房，外来人员进入机房统一由信息中心专人陪同，陪同人员全面负责外来人员的行为安全，并做好安全防范工作。

中心机房及其附属设备的管理（登记）与维修由网管人员负责。设备管理人员每半年要核准一次设备登记情况。

机房工作人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。

中心机房服务器、磁盘阵列柜及其网络设备由专职人员每月进行一次例行检查和维护，尤其是设备供电、运行状态是否正常等要时常检查和维护。

五、相关制度

《XXXXXXX信息安全管理制度》

《XXXXXXX数据中心机房管理制度》

《XXXXXXX信息化建设系统组织、用户权限管理制度》

《XXXXXXX信息资产管理制度》

六、主要控制点

1 需求变更的审批流程

2 系统更新升级的管理流程

3 信息安全控制

4 机房运行环境及硬件的安全检测

七、检查资料

1机房的运行维护记录

2 新增变更需求申请表

3 系统升级测试报告

4 外来人员进出机房登记记录

5机房设备维修记录

八、业务流程

中建总公司内控手册模板

中建总公司内控手 册

第一章总则 1 编制《内部控制手册》目的、意义 为进一步提升中国建筑股份有限公司(以下简称”股份公司”)风险防范能力, 提高股份公司的运行效率, 全面贯彻财政部、证监会、审计署、银监会、保监会等五部委颁布的《企业内部控制基本规范》, 以及国资委颁布的《中央企业风险管理指引》, 股份公司编制了《内部控制手册》。 股份公司《内部控制手册》是以五部委颁布的《企业内部控制基本规范》、国资委颁布的《中央企业风险管理指引》基础, 并结合股份公司实际情况编制而成。 编制股份公司《内部控制手册》对完善企业内部控制制度, 进一步规范集团内部各个管理层次相关业务流程, 分解和落实责任, 控制企业风险, 保证财务报告真实性, 确保企业资产安全高效运行具有较强的现实意义。 2 《内部控制手册》的适用范围 《内部控制手册》适用于中国建筑工程股份有限公司总部, 各事业部及其全资子公司、控股子公司、分公司。 3 内部控制基本原则 3.1 合法、合规原则: 符合国家的法律、法规和政策。 3.2 简洁明晰原则: 内控内容一般涉及到八个方面, 编制过程中对 业务目标、业务风险、业务范围、业务流程步骤和风险控

制点、业务流程图、相关制度目录、主要控制点和相关资料等, 定位准确、简洁明了, 便于掌握、实施。 3.3 相互牵制不相容原则: 内部牵制体现部门与部门、员工与员工 以及各岗位之间所建立的互相验证、相互制约的关系, 特别是要明确部门、岗位之间的职责, 对于管理授权做到适度、明确。 3.4 成本效益原则: 力求以最小的管理成本获取最大的经济效益, 防止程序过细、控制过度会减低效率, 增大控制成本; 相反, 控制不足会达不到控制风险的目的。 3.5 可操作性原则: 内部控制必须符合股份公司的实际, 必须具有 很强的可操作性。 3.6 奖惩结合原则: 明确各部门及人员应承担的职责, 做到奖罚有 对象, 责任可追溯。 3.7 适度授权原则: 确定授权对象, 授权环节, 授权范围; 防止授权 过度与不足。 4 内部控制的基本要求 4.1 股份公司总部及各级子公司严格按照上市公司的要求, 建立规范的公司股 东会、董事会、监事会、经理层以及各级别的专业委员会的议事规则, 明确决策、执行、监督等方面的职责权限, 形成科学有效的职责分工和制衡机制。 4.2 股份公司总部及各级子公司制定并实施有利于企业可持续发

(手册)公司信息系统内控手册(信息部)

第十八号信息系统 第一章信息系统的开发管理 一、业务目标 ?确保信息系统的建设过程符合国家法律、法规及企业内部管理制度的要求。?合理规划企业信息系统建设，促进企业战略目标的实现。 ?严格控制信息系统项目实施过程，保证系统建设质量。 二、业务风险 ?信息系统的建设与运行违反国家法律、法规和监管机构的要求，可能使企业遭受外部处罚。 ?信息系统发展缺少合理的规划或者落实不到位，无法确保企业全面战略目标的实现。 三、业务范围 该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程，主要包括：项目立项审批，项目合同签订，项目实施管理，项目验收管理等。 四、业务流程描述 1、项目立项 1.1公司各单位按照企业信息化建设规划，根据本单位业务管理需要，在每年12月31日前提出企业信息化应用系统建设项目申请，编制应用系统项目申报材料，提交对口业务部门和信息中心。项目申报材料的具体要求请参考《XXXXXXX信息化应用系统需求管理制度》。 1.2信息中心按照《XXXXXXX信息化建设管理制度》规定的职责分工，将需求方案分送各相关业务部门进行业务审核。信息中心负责项目申报材料的技术审核。 1.3业务需求牵头部门、信息中心按照分工完成业务审核和技术审核后，报信息化工作领导小组审定。 1.4信息中心负责将审核项目进行汇总，对重大项目组织专家论证，编制年度项目计划，经信息化办公室审核，报信息化领导小组审批。

1.5信息中心根据信息化领导小组审定的年度项目计划，按照部门预算管理要求，汇总编制年度公司信息化经费预算及建设项目经费预算，报分管副总、总经理审批，并将批复结果以书面形式通知集团内相关单位。 1.6未经信息化领导小组批准的建设项目，不得自行筹集经费建设。 2、项目实施过程管理 2.1经信息化领导小组批准的建设项目，由信息中心确认开发商或供应商，并根据《XXXXXXX信息化建设项目合同管理制度》签订项目合同。 2.2信息中心会同对口业务部门确认详细的业务功能需求和业务流程，确认开发任务，合理配置开发资源。 2.3信息中心组织部内相关单位和项目开发单位有关人员成立系统开发小组，负责组织和管理软件开发工作。 2.4信息中心负责对系统开发全过程进行跟踪管理；负责建立进度控制、质量控制、风险控制机制，约束开发单位按期保质完成工作计划、规避项目风险。项目实施过程的管理要求详见《XXXXXXX信息化应用系统组织实施管理制度》。 2.5信息中心组织项目需求单位、项目开发单位组成系统测试小组，负责系统测试的各项工作。 2.6各项测试工作完成后，信息中心负责完成信息系统的正式上线工作。 2.7系统使用的对口业务部门负责编制系统的业务指导操作手册，信息中心负责提供技术支持。 3、项目验收 3.1项目开发单位在项目完成后1个月内，向信息中心提出项目竣工验收申请，并填写《企业信息化建设项目竣工验收申请表》。 3.2信息中心会同业务需求牵头部门组成验收小组，具体验收标准及验收程序 详见《XXXXXXX信息化建设项目验收管理制度》。 3.3项目验收组根据审查验收情况，召开评审论证会，对项目进行综合评价，形成竣工验收报告，填写《企业信息化建设项目竣工验收表》，由验收组全体成员签字，验收组组长根据验收表决情况签署验收意见。

信息系统帐号管理系统规章制度

信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理，规范公司信息系统用户帐号的使用，确保用户帐号的安全性，特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》（附件六）。 第五条本制度适用于公司总部和各分、子公司（含郑州研究院）。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》（附件七）提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录，记录用户帐号的相关信息，并在帐号变动时同时更新此记录，具体内容见《用户帐号记录》（附 件八）。具体流程参见《普通帐号管理流程》（附件一）。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号，如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号，如root 等管理员帐号。

号。 第十二条信息部每季度查看系统日志，监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后，帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》（附件二）。 第四节临时帐号管理 第十六条使用临时帐号时（如内外部审计人员、临时岗位调动人员），须填写统一的《帐号/权限申请表》（附件七）。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后，申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》（附件三）。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号，专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后，紧急帐号使用人员及时通知帐号管理人员禁

(企业管理手册)中建(建筑工程)总公司内控手册某版

第一章总则 1 编制《内部控制手册》目的、意义 为进一步提升中国建筑股份有限公司(以下简称“股份公司”)风险防范能力，提高股份公司的运行效率，全面贯彻财政部、证监会、审计署、银监会、保监会等五部委颁布的《企业内部控制基本规范》，以及国资委颁布的《中央企业风险管理指引》，股份公司编制了《内部控制手册》。 股份公司《内部控制手册》是以五部委颁布的《企业内部控制基本规范》、国资委颁布的《中央企业风险管理指引》基础，并结合股份公司实际情况编制而成。 编制股份公司《内部控制手册》对完善企业内部控制制度，进一步规范集团内部各个管理层次相关业务流程，分解和落实责任，控制企业风险，保证财务报告真实性，确保企业资产安全高效运行具有较强的现实意义。 2 《内部控制手册》的适用范围 《内部控制手册》适用于中国建筑工程股份有限公司总部，各事业部及其全资子公司、控股子公司、分公司。 3 内部控制基本原则 3.1 合法、合规原则：符合国家的法律、法规和政策。 3.2 简洁明晰原则：内控内容一般涉及到八个方面，编制过程中对业务目标、 业务风险、业务范围、业务流程步骤和风险控制点、业务流程图、相关制度目录、主要控制点和相关资料等，定位准确、简洁明了，便于掌握、实施。

3.3 相互牵制不相容原则：内部牵制体现部门与部门、员工与员工以及各岗位 之间所建立的互相验证、相互制约的关系，特别是要明确部门、岗位之间的职责，对于管理授权做到适度、明确。 3.4 成本效益原则：力求以最小的管理成本获取最大的经济效益，防止程序过 细、控制过度会减低效率，增大控制成本；相反，控制不足会达不到控制风险的目的。 3.5 可操作性原则：内部控制必须符合股份公司的实际，必须具有很强的可操 作性。 3.6 奖惩结合原则：明确各部门及人员应承担的职责，做到奖罚有对象，责任 可追溯。 3.7 适度授权原则：确定授权对象，授权环节，授权范围；防止授权过度与不 足。 4 内部控制的基本要求 4.1 股份公司总部及各级子公司严格按照上市公司的要求，建立规范的公司股 东会、董事会、监事会、经理层以及各级别的专业委员会的议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。 4.2 股份公司总部及各级子公司制定并实施有利于企业可持续发展的人力资 源政策。人力资源政策应当至少包括：严格员工的聘用、培训、辞退与辞职程序；完善员工的薪酬、考核、晋升与奖惩机制；强化关键岗位定期岗位轮换制度；加强员工培训和继续教育，不断提升员工素质。 4.3 股份公司总部及各级子公司积极加强公司文化建设，统一公司文化理念， 严格规范企业形象标识，制定并执行统一的员工行为守则，培育积极向上

极地内网内控安全管理系统内控堡垒主机操作手册V

极地内网内控安全管理系统 （内控堡垒主机） 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话：010- 传真：010- 客服：400-01234-18 邮编：100085 网站：

目录

一、前言 欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。 本章内容主要包括： ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作： ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容： ●前言，介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介，介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用，介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱： 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。 2.1 关键字 用户名：也叫主帐号，使用内控堡垒主机的用户统称为用户名。 资源：内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。 SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。 策略：控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。

IT信息系统管理制度_更新版

综合管理部 IT信息系统管理制度更新版

目录 一、目的 (3) 二、适用围 (3) 三、职责 (3) 四、名词定义 (1) 五、安全管理 (1) 六、账号和管理 (1) 七、Internet管理 (1) 八、文件服务器 (1) 九、硬件管理 (1) 十、软件管理 (1) 十一、公司维护管理 (4) 十二、 (1)

IT信息系统管理制度 一、目的 为了保护公司计算机信息系统安全，规信息系统管理，合理利用系统资源，保障公司各信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为公司生产经营服务，特制定本制度。 二、适用围 本制度适用于公司围： 所有计算机、计算机用户及计算机相关设备、网络设备、服务器和计算机上安装的所有软件。 三、职责 3.1 综合管理部（网管）：负责对公司所有计算机及相关设 备、软硬件的维护和信息系统资源的管理，为各部门提供信息技术相关的支持服务。 3.2部门：负责本部门计算机的保管、使用，使用过程中可 要求综合管理部(网管)协助、支援。在工作过程当中不可以多次询问同一问题，以免给综合管理部人员带来不必要的工作负担。

四、名词定义 4.1 Internet：由使用公用语言互相通信的计算机连接而成 的全球网络。 4.2 防火墙：协助确保信息安全的设备，会依照特定的规则， 允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 4.3 VPN：即虚拟专用网，它是通过Internet建立的一个临 时的、安全的连接。 4.4 文件服务器：基于中央服务器的文件共享，文件夹及文 件的权限可基于部门及用户进行集中的管理，同时集中的每个工作日的数据备份机制，可以确保用户防文件丢失或损坏带来的业务上的风险； 4.5 服务器：存放文件和资料，包括文字、文档、数据库、 的页面、图片等文件的服务器。 4.6 备份服务器：用于备份服务器文件信息数据。 4.7 FTP：让用户连接上一个远程计算机（这些计算机上运 行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去 4.8 局域网：由一个局限的电子设备组成的网络。 4.9 广域网：实现不同地区的局域网或城域网的互连，可提 供不同地区、城市和国家之间的计算机通信的远程计算

18财政部会计司解读企业内控指引之信息系统

优化信息系统提升管理水平 ——财政部会计司解读《企业内部控制应用指引第18号——信息系统》 一、信息系统内部控制概述 《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。 现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能失去生存之基。 同时应当看到，企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，至少应当关注下列方面：一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；三是系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。 鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统本身的复杂性和高风险特征，《企业内部控制应当指引第18号——信息系统》规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设总体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。 二、信息系统的开发 企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。企业开展信息系统建设，可以根据实际情况，采取自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。 （一）制定信息系统开发的战略规划 信息系统开发的战略规划是信息化建设的起点，战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是：第一，缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。第二，没有将信息化与企业业务需求结合，降低了信息系统的应用价值。信息孤岛现象是不少企业信息系统建设中存在的普遍问题，根源在于这些企业往往忽视战略规划的重要性，缺乏整体观念和整合意识，常常陷于头痛医头，脚痛医脚，这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象，削弱了信息系统的协同效用，甚至引发系统冲突。 主要控制措施：第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。 （二）选择适当的信息系统开发方式 信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节，要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中，因此开发建设的好坏直接影响信息系统的成败。 开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件，企业应根据自身实际情况合理选择。 1．自行开发 自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况，可以较好地满足本企业的需求，尤其是具有特殊性的业务需求。通过自行开发，还可以培养锻炼自己的开发队伍，便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证，成功率相对较低。因此，自行开发方式的适用条件通常是企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。比如百度的搜索引擎系统就偏重于自行开发。 2．外购调试 外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。其优点是开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需求；系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。外购调试方式的适用条件通常是企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。 3．业务外包 信息系统的业务外包是指委托其他单位开发信息系统，基本做法是企业将信息系统开发项目外包出去，由专业公司或科研机构负责开发、安装实施，由企业直接使用。其优点是企业可以充分利用专业公司的专业优势，量体裁衣，构建全面、高效满足企业需求的个性化系统；企业不必培养、维持庞大的开发队伍，相应节约了人力资源成本。其缺点是沟通成本高，系统开发方难以深刻理解企业需求，可能导致开发出的信息系统与企业的期望产生较大偏差；同时，由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系，也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。 （三）自行开发方式的关键控制点和主要控制措施 虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式，但基本流程大体相似，通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。 1．项目计划环节

信息系统维护管理制度

信息系统运维管理制度 为了规范公司信息系统的管理维护，确保系统硬、软件稳定、安全运行，结合公司实际，制定本制度。制度包括信息机房管理、服务器管理、信息系统应用管理、信息系统变更管理、信息系统应用控制。 一、信息机房管理 1、硬件配备及巡检 1.1、各单位信息机房按规定配备防静电地板、UPS、恒温设备、温湿度感应器、消防设备、防鼠设施等相关基础设施。 1.2、各单位机房管理人员应定期（如每月或每季度）对机房硬件设备设施进行巡检，以保证其有效性。 1.3、各单位机房应建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录，并认真填写。 2、出入管理 2.1、严禁非机房工作人员进入机房，特殊情况需经信息中心批准，并认真填写登记表后方可进入。 2.2、进入机房人员应遵守机房管理制度，更换专用工作鞋。 2.3、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

3、安全管理 3.1、操作人员随时监控中心设备运行状况，发现异常情况应立即按照应急预案规程进行操作，并及时上报和详细记录。 3.2、未经批准，不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置； 3.3、软件系统的维护、增删、配置的更改，必须按规定详细记入相关记录，并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度，不得擅自泄露信息资料与数据。 3.5、机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。 3.6、严禁在机房计算机设备上做与工作无关的事情（如聊天、玩游戏），对外来存储设备（如U盘、移动硬盘等），做到先杀病毒后使用。 3.7、机房严禁乱拉接电源，应不定期对机房内设置的消防器材、烟雾报警、恒温设备进行检查，保障机房安全。 4、操作管理 4.1、机房的工作人员不得擅自脱岗，遇特殊情况离开时，需经机房负责人同意方可离开。 4.2、机房工作人员在有公务离开岗位时，必须关闭显示器；离开岗位1小时以上，必须关闭主机及供电电源。 4.3、每周对机房环境进行清洁，以保持机房整洁；每季度进行一次大清扫，对机器设备检查与除尘。

管理信息系统权限管理制度(定稿)

XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作，明确不同权限系统用户的管理职责，结合公司实际情况，特制定本管理制度。 第二条定义 （一）管理信息系统：包含已经上线的财务会计、管理会计、供应链、生产制造、CRM（客户关系管理）、决策管理和后续上线的所有管理信息系统模块。 （二）权限：在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 （三）操作员：上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司（以下简称XXXX、公司）、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司，应结合本公司实际情况，参照本制度制定相应管理制度，报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护，同时也是管理信息系统用户权限的归口管理部门，主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外，其他使用管理信息系统的部门，均为管理信息系统的操作部门，使用人员为各岗位操作员。

具体岗位职责如下： （一）负责岗位信息系统权限的申请及使用，并对权限申请后形成的业务结果负责。 （二）负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派，并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份，并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况，当需要新增/变更/注销管理信息系统的用户权限时，可由操作员本人或所在部门领导指派的专人，填写《ERP权限新增/变更/注销申请表》（参附件1）。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交，经所在部门领导、分管领导及质量信息部部门领导审批同意后，报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后，填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后，系统管理员将在两个工作日内完成权限新增/变更/注销工作，并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后，须在三个工作日之内完成系统权限测试，如有问题可通过电子邮件（包含问题的文字说明及截图）反馈到系统管理员。系统管理员应及时给予解决，并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的，系统管理员将视此权限设置正确，后续如有问题将按照用户权限申请流程处理。

中建总公司《项目管理手册》2015年修订版最终稿(印刷版)

内部资料 请勿外传 项目管理手册（2015年修订版） 二〇一五年九月

修订委员会组成名单 第一版编委会组成名单

目录 发布令 (1) 修订说明 (2) 项目管理方针 (2) 1总则 (4) 2项目启动及策划 (6) 3项目投标管理 (7) 4项目组织管理 (7) 5项目合同管理 (10) 6项目资金管理 (12) 7项目设计管理 (15) 8项目技术管理 (16) 9项目物资及设备管理 (20) 10项目分包管理 (23) 11项目工期管理 (26) 12项目成本管理 (28) 13项目质量管理 (30) 14项目安全与职业健康管理 (32) 15项目环境管理 (34) 16项目收尾管理 (35) 17项目部信息与沟通管理 (37) 18项目部综合事务管理 (39) 19项目管理监督与评价 (41) 附件一工程项目特性分类 (44) 附件二不同类别工程项目基本情况 (46) 附件三典型项目部组织结构图 (48) 附件四项目部岗位设置参照标准 (50) 附件五企业层级应承担的项目管理职能 (52) 附件六项目部应承担的管理职能 (55) 附件七项目管理基本流程图 (60)

附件八技术复核的主要内容 (61) 附件九房建工程施工影像拍摄地点与要点参照表 (63) 附件十表单 (66) 项目启动令 (67) 项目全过程动态管理表 (69) 项目策划书编制任务表 (74) 项目施工现场情况调查表 (76) 项目风险评估及防控措施 (78) 项目投标总结 (81) 项目部主要管理人员审批表 (83) 项目部岗位说明书 (84) 项目部实施计划编制任务表 (86) 项目经理月度报告 (88) 合同责任分解表 (90) 项目商务月度报告 (94) 工程收（付）款计划 (98) 项目现金流分析 (100) 工程担保（保险）管理计划 (101) 项目主要技术方案编制计划 (103) 项目房间手册 (104) 项目新技术开发及应用计划 (106) 主要物资（设备）需求计划 (108) 主要施工设备需求计划 (110) 工程分包计划 (112) 分包商年度评审表 (114) 项目每日情况报告 (116) 项目盈亏测算汇总表 (118) 项目成本分析表 (120) 项目成本控制及措施计划 (121) 项目成本还原及指标分析表 (123) 物资（设备）进场验收计划 (125)

信息系统账号管理制度最新版

信息系统账号管理制度 第一节总则 第一条为加强用户账号管理，规范用户账号的使用，提高用户账号的安全性，特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户账号。 第三条本规定所指账号管理包括： 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。 第五条信息中心根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。 第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》（附件二）提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必 要性和符合职责分工的要求。 第九条在受理申请时，权限管理人员根据申请配置权限，在系统条件具备的情况下，给用户分配独有的用户账号或禁用用户账号权限，以使用户对其行为 负责。一旦分配好账号，用户不得使用他人账号或者允许他人使用自己的 账号。 第十条新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。 第十一条人员离职的情况下，该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后，人力资源部需通过邮件或书面的方式通知员工所属部门主

管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请 删除离职人员账号及权限。 第十二条账号管理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记录。 第三节特权账号和超级用户账号管理 第十三条特权账号指在系统中有专用权限的账号，如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如administrator （或admin）、root等管理员账号。 第十四条只有经授权的用户才可使用特权账号和超级用户账号，严禁共享账号。 第十五条信息中心每季度查看系统日志，监督特权账号和超级用户账号使用情况，并填写《系统日志审阅表》（附件三）。 第十六条尽量避免特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。 第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。 第十八条超级用户账号临时使用完毕后，账号管理人员立即更改账号密码。 第四节用户账号及权限审阅 第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅，并填写《账号/权限清理清单》（附件四）。 第二十条信息中心指定专人负责每季度对系统层面账号及权限进行审阅，并填写《账号/权限清理清单》。 第二十一条员工离职后，账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员，则及时更改特权账号或超级用户口令。

中建总公司项目管理手册66457

内部资料 注意保密 项目管理手册 （第一版） 中国建筑股份有限公司 二○○九年十二月

项目管理手册 （第一版） 中国建筑股份有限公司 2009年12月

编委会组成名单 编委会主任易军 编委会副主任王祥明王伍仁 总编王祥明 副总编王伍仁 编委会成员毛志兵马剑忠马国荣张翌翟志刚杜书玲薛克庆秦玉秀肖绪文张伟姚新宾赵兵元 编写人员马国荣韩绍洪项艳云乔登邹骥王振海赵保东王云龙世军周剑虹王雅辉蔡红丽吴平建崔建存 吴峥嵘何昌杰张华峰荔宏峰张琼杨晓徐宏春 周德军王娅兰孙玉莲 编审人员任铁栓马国荣郭洪涛郭成林胡普生常陆军李君樊光中刘励新张运龙卢彦斌白文山李勇陈绍业 虢明跃李重文周勇蔡甫王存贵邵辉丁建民 李海建校荣春郭显亮刘亚平薛灏刘杨仲济厚 郝传志杨双田邹俊

文件修订第0次修订 目录 发布令 (1) 前言 (3) 项目管理方针 (5) 总则 (6) 1目的 (6) 2适用范围 (6) 3相关文件 (6) 4项目管理机构 (6) 5项目管理职能 (9) 6项目管理基本流程图 (11) 7手册使用与修订 (12) 第一章项目启动及策划 (13) 1项目启动管理 (13) 2项目全过程管理 (13) 3项目策划 (13) 4项目授权管理 (14) 第二章项目投标管理 (15) 1项目调查分析 (15) 2项目风险分析 (15) 3项目现金流分析 (15) 4项目投标总结 (15) 第三章项目组织管理 (16) 1项目组织原则 (16) 2项目部岗位及定员 (16) 3项目部组织机构及岗位职责 (16) 4项目部责任书 (17) 5项目部实施计划及项目经理月度报告 (17) 6党群工作 (17) 第四章项目部薪酬与项目考核 (19) 1项目部薪酬管理 (19) 2项目管理能力考核 (19) 4项目部绩效考核 (20) 5项目审计与监察 (20) 第五章项目合同管理 (21) 1合同日常管理 (21) 2合同谈判及索赔管理 (21) 3合同责任分解及交底 (21) 4项目部商务月度报告及项目履约管理 (22)

内控手册说明书

上市公司 《企业内部控制手册》 项目说明书 北京

一、项目的目的 按照财政部等五部委联合发布的《企业内部控制基本规范》和配套指引的要求，制定上市公司（以下简称“公司”）内部控制手册，建立、健全并执行行之有效的公司内部控制体系，确保公司的持续健康发展。 为了进一步全面落实科学发展观，加强内部控制，公司各级管理部门从保护经济资源的安全完整出发，确保经济信息的正确可靠，协调经济行为、控制经济活动，利用××内部因分工而产生的相互制约、相互联系的关系，形成的一系列具有控制职能的方法、措施、程序，并予以规范化、系统化，使之组成一个严密的、完整的、有效的、以财务控制为核心、以风险控制为导向的内部控制体系。 二、内部控制的组织形式 内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。按照现有上市公司的要求，未来××组织形式中应包括（含建议成份）： （1）董事会 董事会对内部控制的建立健全和有效实施负责，定期召开董事会议，商讨内部控制建设中的重大问题并作出决策。内部控制建立与实施对企业组织架构最直接的影响就是加大了董事会及其全体董事的责任，具体包括：科学选择经理层并对其实施有效监督；清晰了解企业内部控制的范围；就企业的最大风险承受度形成一致意见；及时知悉企业重大的风险以及经理层是否恰当地予以应对。 （2）审计委员会

审计委员会是董事会下设的专业委员会。内部控制建立与实施对审计委员会的人员构成、议事规则、报告机制等均有重要影响，要求审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。审计委员会在内部控制中的职责一般包括：审查企业内部控制的设计；监督内部控制有效实施；领导开展内部控制自我评价；与中介机构就内部控制审计和其他相关事宜进行沟通协调等。 （3）监事会 监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督，是一种层次更高、独立性更高的再监督。监事会主席及其成员应当定期参加董事会及其审计委员会召开的涉及内部控制的会议，如对董事会及其审计委员会有关内部控制的决策持有异议，或认为董事会和经理层成员存在舞弊行为，还可提议召开独立的监事会议。 （4）经理层 经理层负责组织领导企业内部控制的日常运行。经理作为企业经营管理活动的最高执行者，在内部控制建设过程中尤其承担着重要责任，包括：贯彻董事会及其审计委员会对内部控制的决策意见；为其他高级管理人员提供内部控制方面的领导和指引；定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈，对他们控制风险的措施及效果进行督导和核查等。 （5）内部控制部门 企业建立与实施内部控制，可以根据需要成立专门的内部控制工

信息系统帐户密码管理规定

信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020

信息 账 户、密码管理规定 1.目的： 为进一步加强与规范公司信息系统帐户、密码的管理，提高信息系统的安全性，避免 信息系统权限的滥用以及机密信息的泄漏，特制定本规定。 2.范围： 适用范围：本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统（包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等）以及各类网 络设备必须遵守本条例的规定。 发布范围：国美电器总部各中心、各大区所有人员。 3.名词解释： 信息系统帐户、密码：特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责： 总部信息中心及分部IT部门： 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。

总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工： 负责员工个人的系统帐户、密码的使用及管理，并对该帐户的所有行为负责。 5. 管理制度： 帐户、密码的管理： 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置；信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作，但必须遵守本条例的规定；总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护： 网络设备、服务器设备以及应用系统的管理员账户（超级用户）由信息管理中心统一制定与分发，并授权相应的系统管理人员使用与维护，但必须遵守本条例的相关规定以及其他相关安全制度的要求，确保其安全性。 系统管理员账户（超级用户）的使用范围授权严格受限，所有系统中必须开启超级用户的使用日志审计功能。

信息系统用户和权限管理制度

信息系统用户和权限管理制度；第一章总则；第一条为加强信息系统用户账号和权限的规范化管理,；第二条本制度适用于场建设和管理的、基于角色控制和；法设计的各型信息系统，以及以用户口令方式登录的网；网站系统等；第三条信息系统用户、角色、权限的划分和制定，以人；第四条场协同办公系统用户和权限管理由场办公室负责；第五条信息系统用户和权限管理的基本原则是：；（一）用户、权 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方 法设计的各型信息系统，以及以用户口令方式登录的网络设备、 网站系统等。 第三条信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。

第四条场协同办公系统用户和权限管理由场办公室负责，其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是： （一）用户、权限和口令设置由系统管理员全面负责。 （二）用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 （三）用户、权限和口令管理采用实名制管理模式。 （四）严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第七条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。