第一章总则
第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息系统信息安全管理符合互联网借贷信息安全管理要求,特制订本制度。
第二条本规定适用于()部。
第二章xx
第三条安全检查包括技术部的自查和信息安全工作小组定期执行的安全检查。
第四条技术部的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况。自查应至少一个季度组织一次。
第五条技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。
第六条自查和安全检查均应在检查之前形成检查表。
第七条应严格按照检查表实施检查,检查完毕,记录下所有检查结果。
第八条应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。
第九条系统建设和运维人员应阅读并理解安全检查报告,在信息安全工作小组的指导下对出现的问题进行整改。
第十条信息安全工作小组应对整改过程进行监督,并将整改结果报送信息安全领导小组。
第三章安全审计
第十一条安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。
第十二条安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计小组培养自身独立的安全审计人员为主,其他手段为辅:
1、由()部审计小组独立完成,应使用具备相应技能的人员完成审计工作;
2、由()部完成,()部应指派熟悉技术的人员配合安全部完成审计工作。
3、聘请外部专业安全审计单位完成审计工作。
第十三条安全审计的内容主要包括:
1、相关法律法规的符合情况;
2、管理部门的相关管理要求的符合情况;
3、现有安全技术措施的有效性;
4、安全配置与安全策略的一致性;
5、安全管理制度的执行情况;
6、安全检查和自查的检查结果及检查报告;
7、xx信息是否完整记录;
8、各类重要记录是否免受损失、破坏或伪造篡改;
9、检查系统是否存在漏洞;
10、检查数据是否具备安全保障措施。
第十四条安全审计工作应具有独立性,避免有舞弊的情况发生。
第十五条安全审计的方式分为:
1、全面审计:即审计内容覆盖信息系统安全管理范围内的所有方面,以及所有信息安全控制措施要求的检查。
2、专项审计:即审计内容只涉及部分方面,或部分信息安全控制措施要求的检查。
第十六条无论是采用全面审计还是专项审计方式,安全审计应每一年对所有的方面,以及所有的信息安全控制措施要求至少进行过一次审计。
第十七条被审计方应积极配合信息安全审计工作,应对审计结果进行确认。
第十八条安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。审计小组应将改进过程和结果通告给技术研发部。
第四章附则
第十九条本制度的xx归()部。
审计局档案管理制度 为加强对机关文书档案和违纪人员档案的管理,保证机关档案的安全和合 理利用,特制定本制度。 (一)机关文书档案是机关重要的机密材料,涉档人员应牢固树立保密保卫意识,确保机关档案的安全。 (二)档案管理人员要严格遵守保密制度。不得擅自转移、分散和销毁档案;不得擅自提供档案或向他人泄露档案内容;不得擅自将无关人员带入档案室。 b5E2RGbC APklfH YJ6cEU qPAsth vQVFNq wK3w9l bpXh3I TFLbTL biyTdm vcyAbl HU2UOv ErzK0e X9MRyO vkWatv RDwH1X MAeBz8GZ。 (三)保持存档地段的清洁,严禁在档案柜旁存放不利安全的物品,严禁在档案室吸烟。经常检查防盗、防火、防潮、防蛀设施,发现问题及时报告并采 取补救措施。p1EanqFDPwH97T YYioVM LhgXsH62GIu3yZxXq9T5C3MQ atakR5lNPVd7KGIFjD X62DB8m0x8vP9Hv qMZxLaBn GeCMpc JrdLZ6FOx。 (四)查阅借用档案,必须经分管领导同意。外单位查阅档案,须经主要领导批准并填写《查阅档案申请表》,同时由查阅档案单位负责人和本机关分管领导签署意见后,方可查阅。查档人员只能查阅经同意查阅的档案材料,不得在 档案材料上圈画、涂改,不得拆换、抽取、增添档案材料,未经批准不得复制、抄录和拍照档案材料。本机关档案一般不外借,特殊情况经过批准后可以借用,但必须严格手续,加强管理,借阅单位必须妥善保存,不得转借、毁损,借用 时间一般不得超过一个月。DXDiTa9E3d4X06Yd vAcE5J Xrr8He sMbHzf2oIYBL iPuZrh zuQpvj6YdTZb RLsUch1mnK4A vxZqlf fYZazd o3gRBB18ow6Q joCdX4。 (五)机关档案管理由办公室负责。文书档案管理按照县档案主管部门的要求办理,原则上时限在10年以上的文书档案应移送县档案馆保存。机关各室立 卷归档的文书档案,除需要移送机关档案室统一管理的外,其余的档案由各室 自行保存。RTCrpUDGiTqL SiYsIN swpcEW qziqdP SkAuwP ZNjrYB d7I5YE PIFOm0eFfG1Q Bcss16anM9sV t1xOYx dkBEBu93XAgR AjLtQM9K5C。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
A集团有限公司 审计管理制度 二〇一三年八月 目录 第一章总则 (1) 第二章内部审计机构和人员 (2) 第三章内部审计机构职责与权限 (3) 第四章审计计划管理 (5) 第五章内部审计管理 (7) 第六章外部审计管理 (10) 第七章奖惩 (11) 第八章附则 (12) 第一章总则 第一条为了加强A省交通运输集团有限公司(以下简称“A交运集团”)的审计监督和风险控制,实现集团审计工作制度化、规范化,提高审计工作质量,发挥审计工作在促进集团经营管理的作用,根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》等法律法规,结合集团公司实际,特制定本制度。 第二条本制度适用于集团公司总部及各二级成员单位。
第三条本制度所称内部审计,是指集团公司及所属二级成员单位内部的一种独立客观的监督和评价活动,通过审查集团公司的经营活动和内部控制制度,对集团公司及二级成员单位的财务收支、财务预算决算、任期经济责任、人员离任、资产质量、经济效益、基本建设项目及相关经济活动的真实性、合法性和效益性进行的监督和评价工作,以促进集团加强经营管理、实现经营目标。 第四条本制度所称外部审计,是为集团公司聘请外部审计机构进行的审计行为,主要内容为外部审计机构的聘请、内外部审计的协调等。 第五条A交运集团开展内部审计工作应当坚持客观公正、实事求是、廉洁奉公、保守秘密的原则。 第二章内部审计机构和人员 第六条A交运集团应设立独立的内部审计机构,并配备与其承担的内部审计工作任务相适应的专职人员。集团公司的内部审计机构为审计监察部,审计监察部的编制由集团公司根据需要确定。 集团公司审计监察部原则上对集团公司所有机构或个人实施审计。审计监察部应当接受集团总经理的领导和监督。 第七条集团公司中财务收支金额较大或所属单位较多的全资、控股子公司可逐步设立独立的内审机构;不具备设立独立的内审机构条件的单位,可以根据需要设置专职内部审计人员,履行内部审计职责。 集团全资或控股子公司审计部门或人员只负责本单位的审计工作,并接受集团公司审计监察部的领导和监督。 第八条A交运集团内部审计人员应具备良好的职业道德和素养,具备审计岗位所必备的会计、审计、法律、企业管理、信息技术等综合知识和专业技术
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
综合管理部 IT信息系统管理制度更新版
目录 一、目的 (3) 二、适用围 (3) 三、职责 (3) 四、名词定义 (1) 五、安全管理 (1) 六、账号和管理 (1) 七、Internet管理 (1) 八、文件服务器 (1) 九、硬件管理 (1) 十、软件管理 (1) 十一、公司维护管理 (4) 十二、 (1)
IT信息系统管理制度 一、目的 为了保护公司计算机信息系统安全,规信息系统管理,合理利用系统资源,保障公司各信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务,特制定本制度。 二、适用围 本制度适用于公司围: 所有计算机、计算机用户及计算机相关设备、网络设备、服务器和计算机上安装的所有软件。 三、职责 3.1 综合管理部(网管):负责对公司所有计算机及相关设 备、软硬件的维护和信息系统资源的管理,为各部门提供信息技术相关的支持服务。 3.2部门:负责本部门计算机的保管、使用,使用过程中可 要求综合管理部(网管)协助、支援。在工作过程当中不可以多次询问同一问题,以免给综合管理部人员带来不必要的工作负担。
四、名词定义 4.1 Internet:由使用公用语言互相通信的计算机连接而成 的全球网络。 4.2 防火墙:协助确保信息安全的设备,会依照特定的规则, 允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 4.3 VPN:即虚拟专用网,它是通过Internet建立的一个临 时的、安全的连接。 4.4 文件服务器:基于中央服务器的文件共享,文件夹及文 件的权限可基于部门及用户进行集中的管理,同时集中的每个工作日的数据备份机制,可以确保用户防文件丢失或损坏带来的业务上的风险; 4.5 服务器:存放文件和资料,包括文字、文档、数据库、 的页面、图片等文件的服务器。 4.6 备份服务器:用于备份服务器文件信息数据。 4.7 FTP:让用户连接上一个远程计算机(这些计算机上运 行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去 4.8 局域网:由一个局限的电子设备组成的网络。 4.9 广域网:实现不同地区的局域网或城域网的互连,可提 供不同地区、城市和国家之间的计算机通信的远程计算
XXXX公司内部审计管理实施细则 第一章总则 第一条为了加强和规范公司内部审计工作,明确内部审计职责,建立健全有效的内部监督体系,提高企业抗风险能力,根据《集团公司内部审计管理暂行规定》,结合公司实际,制定本细则。 第二条本细则是公司开展内部审计工作应遵循的基本规范。 第三条本细则所称内部审计,是指公司内部审计机构依照国家有关法律、法规、政策以及企业内部规章制度,运用系统化和规范化的方法,对企业经营活动进行确认和咨询工作,以独立、客观的评价和改善企业风险管理、内部控制以及治理程序和效果,增加企业价值,促进企业经营目标的实现。 第二章内部审计机构和内部审计人员 第四条公司根据企业的规模、内部治理结构的需要及国家的有关规定,设置法律审计监察部,下设审计科,设审计科长1名,内部审计员2名,造价审计员2名。 第五条法律审计监察部依据国家有关规定及企业内部规章制度开展内部审计工作,行使内部审计职能,直接对董事会(或主要负责人)负责,向董事会报告工作,并接受集团公司审计部门对内部审计工作的指导和监督。 第六条内部审计人员应具备的条件
一、熟悉相关的法律、法规、政策和公司制定的内部控制制度; 二、熟悉公司生产经营活动和有关生产、经营方面的工作程序; 三、掌握企业会计、内部审计、经营管理、工程造价、法律及其他相关专业知识,并有一定的工作经验,能熟练运用内部审计标准、工作程序和技术方法; 四、具有较强的组织协调、调查研究、综合分析、专业判断、计算机操作及文字表达能力; 五、内部审计负责人应具备上述条件外,还应具备大学本科以上文化程度或中级专业技术任职资格,具有从事内部审计、企业会计、工程技术、法律、经营管理等工作5年以上经历,并具备一定的领导能力和管理能力。 第三章内部审计的主要职责 第七条法律审计监察部根据国家有关规定和公司内部管理需要,履行以下主要职责: 一、参与研究、审阅公司有关规章制度和工作流程;制定和修订内部审计工作制度,编制内部审计工作计划,检查内部审计工作质量,总结内部审计工作情况。 二、参与组织公司内部控制体系建设工作,对公司内部控制体系的健全性、合理性和有效性进行检查,对公司有关业务的经营风险进行评估。 三、参与公司对主要存货的定期盘点和工程项目、设备安装关键
第一章总则 第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息系统信息安全管理符合互联网借贷信息安全管理要求,特制订本制度。 第二条本规定适用于()部。 第二章xx 第三条安全检查包括技术部的自查和信息安全工作小组定期执行的安全检查。 第四条技术部的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况。自查应至少一个季度组织一次。 第五条技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。 第六条自查和安全检查均应在检查之前形成检查表。 第七条应严格按照检查表实施检查,检查完毕,记录下所有检查结果。 第八条应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。 第九条系统建设和运维人员应阅读并理解安全检查报告,在信息安全工作小组的指导下对出现的问题进行整改。 第十条信息安全工作小组应对整改过程进行监督,并将整改结果报送信息安全领导小组。 第三章安全审计
第十一条安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。 第十二条安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计小组培养自身独立的安全审计人员为主,其他手段为辅: 1、由()部审计小组独立完成,应使用具备相应技能的人员完成审计工作; 2、由()部完成,()部应指派熟悉技术的人员配合安全部完成审计工作。 3、聘请外部专业安全审计单位完成审计工作。 第十三条安全审计的内容主要包括: 1、相关法律法规的符合情况; 2、管理部门的相关管理要求的符合情况; 3、现有安全技术措施的有效性; 4、安全配置与安全策略的一致性; 5、安全管理制度的执行情况; 6、安全检查和自查的检查结果及检查报告; 7、xx信息是否完整记录; 8、各类重要记录是否免受损失、破坏或伪造篡改; 9、检查系统是否存在漏洞; 10、检查数据是否具备安全保障措施。 第十四条安全审计工作应具有独立性,避免有舞弊的情况发生。 第十五条安全审计的方式分为:
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
创新港湾工程公司部审计 管理制度 北大纵横管理咨询公司
二零零三年九月
. . . . 目录 第一章总则 (1) 第一条释义 (1) 第二条目的 (1) 第三条围 (2) 第二章部审计机构 (2) 第四条执行董事 (2) 第五条审计委员会 (2) 第六条审计员 (2) 第七条外部审计机构职责 (3) 第三章部审计的围、依据 (4) 第八条部审计围 (4) 第九条审计依据 (4) 第四章部审计容 (4) 第十条财务活动及财务工作 (4) 第十一条公司部控制制度 (4) 第十二条经济业务活动 (5) 第十三条离职审计 (5) 第十四条其他交办审计事项 (5) 第五章部审计工作程序 (5) 第十五条公司年度部审计计划 (5) 第十六条部审计立项 (6) 第十七条部审计执行 (7) 第十八条专项部审计 (7) 第十九条部审计报告 (8) 第二十条部审计结果的处理 (8) 第二十一条部审计档案管理 (9) 第二十二条重大经济事项监核 (9) 第六章外部审计管理 (10) 第七章审计结果的评价与奖惩 (11) 附件:部审计通知书 (12)
第一章总则 第一条释义 公司的审计工作分为部审计和外部审计。 (1)部审计是指公司审计员在执行董事的直接领导下,依据国家法律法规、企业部审计协会规和公司有关规章制度,独立行使审计职权,对公司各部门以及公司的业务经营各环节、财务系统和经济效益开展监督、稽核、评价工作,查明其真实性、正确性、合法性、合规性和有效性,提出意见和建议的一种专职经济监督活动。 部审计工作直接对执行董事负责,审计员发表审计意见及审计决定,并向执行董事报告工作;同时将审计结论和有关决定通报经理层,以督促经理层改进工作。 (2)外部审计指由执行董事代表股东委托公司以外的会计师(审计)事务所或其他专业机构,对公司的财务状况、经营成果和现金收支等情况,以及特殊经济事项独立进行检查,就其合法合规、客观公正等方面发表独立审计意见和管理建议。 外部审计工作直接对执行董事和股东负责,由审计员配合工作,审计报告直接呈报执行董事。 第二条目的 通过审计工作,实现以下目的: (1)加强公司的经营管理和业务监督,严肃财经纪律; (2)查错揭弊,改善经营管理,提高经济效益; (3)加强对公司各部门的监督与控制; (4)确保有关规章制度的切实有效执行,改善经营管理; (5)为执行董事的经营决策提供相对独立、客观的资料。 第三条围 本办法适用于公司部审计机构、公司高级管理人员、公司各部门。
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 2020新版安全审计及监控管理 办法 Safety management is an important part of production management. Safety and production are in the implementation process
2020新版安全审计及监控管理办法 第一章总则 制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 安全设备管理员负责安全设备的日常维护监控工作。
网络管理员负责网络系统的日常维护监控工作。 主机系统管理员负责主机、服务器、操作系统的监控工作。 数据库管理员负责数据库系统的监控工作。 应用系统管理员负责应用系统的监控工作。 安全审计员 负责信息安全审计的日常工作; 负责组织、计划定期的审计活动。 第三章规定 安全监控及审计职责 信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作; 安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 安全审计员定期将审计结果上报到信息安全管理工作组; 信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
信息系统账号管理制度 第一节总则 第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息中心根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。 第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必 要性和符合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为 负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的 账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需通过邮件或书面的方式通知员工所属部门主
管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请 删除离职人员账号及权限。 第十二条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。 第三节特权账号和超级用户账号管理 第十三条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator (或admin)、root等管理员账号。 第十四条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。 第十五条信息中心每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。 第十六条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。 第十八条超级用户账号临时使用完毕后,账号管理人员立即更改账号密码。 第四节用户账号及权限审阅 第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《账号/权限清理清单》(附件四)。 第二十条信息中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《账号/权限清理清单》。 第二十一条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
会计审计 管理体制 公司管理制度 管理大纲 为加强公司的规范化管理,完善各项工作制度,促进公司发展壮大,提高经济效益,根据国家有关法律、法规及公司章程的规定,特制订本管理大纲。 一、公司全体员工必须遵守公司章程,遵守公司的各项规章制度和决定。 二、公司倡导树立“一盘棋”思想,禁止任何部门、个人做有损公司利益、形象、声誉或破坏公司发展的事情。 三、公司通过发挥全体员工的积极性、创造性和提高全体员工的技术、管理、经营水平,不断完善公司的经营、管理体系,实行多种形式的责任制,不断壮大公司实力和提高经济效益。 四、公司提倡全体员工刻苦学习科学技术和文化知识,为员工提供学习、深造的条件和机会,努力提高员工的整体素质和水平,造就一支思想新、作风硬、业务强、技术精的员工队伍。 五、公司鼓励员工积极参与公司的决策和管理,鼓励员工发挥才智,提出合理化建议。 六、公司实行“岗薪制”的分配制度,为员工提供收入和福利保证,并随着经济效益的提高逐步提高员工各方面待遇;公司为员工提供平等的竞争环境和晋升机会;公司推行岗位责任制,实行考勤、考核制度,评先树优,对做出贡献者予以表彰、奖励。
七、公司提倡求真务实的工作作风,提高工作效率;提倡厉行节约,反对铺张浪费;倡导员工团结互助,同舟共济,发扬集体合作和集体创造精神,增强团体的凝聚力和向心力。 八、员工必须维护公司纪律,对任何违反公司章程和各项规章制度的行为,都要予以追究。 员工守则 一、遵纪守法,忠于职守,爱岗敬业。 二、维护公司声誉,保护公司利益。 三、服从领导,关心下属,团结互助。 四、爱护公物,勤俭节约,杜绝浪费。 五、不断学习,提高水平,精通业务。 六、积极进取,勇于开拓,求实创新。 财务管理制度 总则 为加强财务管理,根据国家有关法律、法规及建设局财务制度,结合公司具体情况,制定本制度。 一、财务管理工作必须在加强宏观控制和微观搞活的基础上,严格执行财经纪律,以提高经济效益、壮大企业经济实力为宗旨,财务管理工作要贯彻“勤俭办企业”的方针,勤俭节约、精打细算、在企业经营中制止铺张浪费和一切不必要的开支,降低消耗,增加积累。 财务机构与会计人员
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
信息系统用户和权限管理制度;第一章总则;第一条为加强信息系统用户账号和权限的规范化管理,;第二条本制度适用于场建设和管理的、基于角色控制和;法设计的各型信息系统,以及以用户口令方式登录的网;网站系统等;第三条信息系统用户、角色、权限的划分和制定,以人;第四条场协同办公系统用户和权限管理由场办公室负责;第五条信息系统用户和权限管理的基本原则是:;(一)用户、权 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方 法设计的各型信息系统,以及以用户口令方式登录的网络设备、 网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第七条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
2009年度审计制度 目录 审计部管理结构 审计制度 第一章总则 第一条审计目的 充分发挥审计监督职能,维护公司正常经营秩序,保护公司财产的安全和完整,保障公司健康发展,提高公司的经济效益。 第二条审计原则 (一)针对性原则:针对审计目标确定审计对象和范围,针对不同对象和范围采用适当的程序和方法进行审查的原则。(二)独立性原则:在行使审计监督时不受其它任何干涉、干扰和侵犯,坚持客观、公正,不得徇私、舞弊,保持独立行使审计监督职能的原则。 (三)客观公正性原则:根据查证的经济事实做出符合客观实际和公正的结论的原则。 (四)一致性原则:审计工作应用的资料、数据、标准和原则前后一致的原则。 (五)稳健性原则:在审计过程中对审计结果做出评价时,必须采取稳健的原则,充分考虑审计证据是否真实和完整,是否有利于公司的发展及公司利益最大化。 (六)保密性原则:审计资料是公司的重要经济情报资料,涉及公司的安全、生存和发展,审计人员必须严格遵守审计纪律,不得随意泄漏,注重审计资料的保密。 第三条审计职责 (一)负责督促和协助集团各职能部门及子公司建立健全相关的内部管理制度并监督其执行。 (二)负责对集团内部及子公司的经营活动全过程进行监督。 (三)负责对被审计单位或审计项目做出公允、合理的评价和结论,向集团董事长报告审计结果,为集团的经营决策提供资料。 第四条审计权限 (一)在集团董事长的领导下,独立行使对全集团内部经营管理工作的监督权,不受其他部门和个人的干预。 (二)依据公司管理制度的规定,对损害公司利益和违反公司规章制度的行为,行使处罚建议权。 第五条审计组织机构设置及人员配备 (一)组织机构设置 1、集团总部设置审计中心,子公司不另设审计部门,但大中型建设项目实行委派工程审计专员。 2、全集团审计工作由审计中心实行垂直管理。 (二)人员配备
企业安全审计制度 1、目的 为促进公司安全管理持续有效开展,创新安全生产监管手段与方式,提升公司安全管理效率和水平,保障安全管理体系有效运行,结合公司安全生产工作实际,特制定本制度。 2、适应范围: 本制度适应于公司安全管理体系和标准化运行以及安全生产规章制度、操作规程执行效果等情况定期进行审计评估。 3、安全审计组织及职责 3.1 安全审计组: 3.1.1安全审计组设组长、副组长、评审员、审计员; 3.1.2评审员由审计组长从审计组指定; 3.1.3审计员应取得注册安全工程师任职资格; 3.1.4各单位迎审员为单位安全负责人或安全员。 3.2 组长职责: 3.2.1组织召开审计启动会议和审计总结会议; 3.2.2审查审计报告; 3.2.3向总经理呈报审计报告。 3.3 副组长职责: 3.3.1组织开展公司的安全审计工作;
3.3.2审查纠正和预防措施的执行情况; 3.3.3向审计组长汇报审计的结果及建议; 3.3.4编制审计报告。 3.4 审计员职责: 3.4.1准备审计清单; 3.4.2制定安全审计的范围和日程; 3.4.3审计过程实施; 3.4.4分析审计结果并提出改进意见; 3.4.5提交纠正和预防措施建议; 3.5迎审员职责: 3.5.1配合评审员的审计工作; 3.5.2落实纠正和预防措施; 3.5.3提交纠正和预防措施的实施记录或报告。 4 审计原则、范围、方式、频次和时间 4.1安全审计工作必须坚持“谁主管、谁负责”和“审计评估与督促整改相结合、奖励与处罚相结合”的原则,必须做到有领导、有组织、有目的、有要求、有具体计划的“五有方针”。 4.2公司、车间、工段、班组四级安全管理。 4.3安全审计的方式包括:内部审计和外部审计(第三方审计)。 4.4内部审计,每季度审计一次,具体审计时间为每季度