下载文档原格式
it内控管理制度在当今科技高速发展的时代,信息技术(IT)已成为企业运行和管理的重要组成部分。
然而,IT的快速发展也带来了一系列的风险和挑战,如数据泄漏、系统故障和信息安全威胁等问题。
为了有效管理和控制这些风险,企业需要建立完善的IT内控管理制度。
本文将介绍IT内控管理制度的重要性、基本内容和实施步骤。
一、重要性IT内控管理制度是企业保护信息资产安全、提高运营效率和降低风险的重要手段。
它有助于优化企业的信息流程,确保信息系统的稳定和安全运行,提升IT投资的价值回报率,并确保企业在竞争激烈的市场环境中的持续发展。
二、基本内容1. 目标和策略:明确企业IT内控管理的总体目标和策略,包括信息安全、合规性、数据质量和系统稳定性等方面。
2. 机构和责任:设立专门的内控管理部门或委员会,明确各级部门和人员的职责和权限,确保内控管理制度的实施和执行。
3. 流程和规范:制定IT项目管理、风险评估、数据备份和恢复、权限管理等的流程和规范,确保各项工作按照既定的程序和标准进行。
4. 安全措施:采取技术手段和管理措施,确保信息系统的安全性,包括网络安全、应用安全、数据安全和设备安全等方面。
5. 监控和评估:建立有效的监控机制,定期评估内控管理制度的有效性和合规性,及时发现和解决问题,持续改进制度的运行效果。
三、实施步骤1. 策划阶段:确定IT内控管理制度的目标和策略,制定详细的实施计划,并明确参与实施的各方责任。
2. 设计阶段:根据企业的实际情况,设计符合业务需求、合规要求和最佳实践的内控管理制度,确保制度的可操作性和适用性。
3. 部署阶段:根据实施计划,逐步部署和推行内控管理制度,包括培训人员、改进流程、引入技术工具等。
4. 运行阶段:确保内控管理制度的正常运行,持续监控和评估制度的有效性,及时调整和改进制度。
5. 规范阶段:建立完善的内控管理制度文件、流程和工具,确保制度的标准化和规范化。
通过以上步骤的有序实施,企业可以建立起完善的IT内控管理制度,确保信息系统和数据的安全性,提高运营效率和管理水平,降低IT风险和成本,为企业的可持续发展提供有力的支持和保障。
详解IT内控——萨班斯法案的IT内控指导书近年来,在美国上市的公司正受到萨班斯-奥克斯利法案(the Sarbanes-Oxley Act of 2002, 简称SOX法案)的影响。
尤其随着其第404条款的逐渐实施,该法案的影响正在席卷全球,包括美国上市公司的中国分公司。
可以说,SOX法案对全球的影响力直逼上世纪的“千年虫”事件,由于SOX法案的相对完善性,研究SOX法案对中国公司也有很强的借鉴意义。
尤其SOX法案对信息化的要求严格,从公司治理和IT治理的高度提出IT内部控制的要求。
对于上市公司或者希望借鉴上市公司经验的公司来说,应该如何改进自身的IT 控制水平?又应该如何治理IT以保证财务报告内部控制的有效性?来看一个实际的案例,A公司是一家财富500强企业,全球五大制药公司之一。
该公司在全球拥有58000余名员工,年销售收入超过180亿美元,年利润超过40亿美元。
随着SOX 法案第404条款的实施,一家会计师事务所将对其IT内部控制进行审计。
因此,该公司计划在全球信息服务(IS)部门推行合规项目。
项目分为以下几个步骤,如图1所示。
精通SOXSOX法案的产生源自于公司操作的不规范和公司丑闻的披露。
它对公司治理有着极为严格和苛刻的要求,要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
所有人都清楚IT在现代企业中扮演着重要的角色。
在很多公司内部,财务报告流程是由IT系统驱动的,如图2。
无论是ERP还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。
可以说,IT是保证财务报告内部控制的有效性的基础,IT控制至关重要。
从IT控制的范围来说,IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。
IT控制有一个治理框架,即COBIT框架。
COBIT 的全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。
it内控管理制度随着信息技术的快速发展,企业对IT内控的需求越来越高。
在这个信息化时代,IT内控管理制度成为了企业必备的管理手段之一。
本文将介绍IT内控管理制度的定义、重要性以及实施步骤,并探讨其对企业的益处。
一、IT内控管理制度的定义IT内控管理制度是以信息技术为基础,通过建立规范化、标准化的管理流程,保障信息系统安全性、可靠性和完整性的制度。
它通过制定一系列内部控制机制,规范和规避各种信息技术风险,提高企业的信息系统管理水平和整体运营效率。
二、IT内控管理制度的重要性1. 提高信息系统的安全性IT内控管理制度通过建立完善的信息技术安全管理机制,加强对网络和系统的保护,预防各种安全威胁和风险的发生。
它能够对信息系统进行全面监控和审计,及时发现并解决潜在的安全问题,保证企业信息资产的安全。
2. 保障信息系统的可靠性和完整性IT内控管理制度通过制定明确的操作规程和流程,加强对信息系统的维护和管理,确保系统的正常运行和数据的完整性。
它能够对系统和数据进行定期备份和恢复,提高业务系统的可用性,避免因系统故障或意外事件导致的数据丢失和业务中断。
3. 规范信息技术管理行为IT内控管理制度通过建立规范化的管理流程,明确各级管理人员和员工在信息技术管理中的职责和权限。
它能够规范和规避各种信息技术风险,避免人为因素引起的错误操作和滥用权限,提高信息技术管理的规范性和透明度。
三、IT内控管理制度的实施步骤1. 建立内控管理框架企业需要根据自身的业务特点、风险承受能力和管理需求,制定适合的内控管理框架。
这包括确定内控管理的目标、范围和实施方式,明确内控管理制度的组织架构和职责分工,制定相应的政策和流程。
2. 评估和分析风险企业应对其信息系统进行全面风险评估和分析,确定信息技术管理中存在的风险及其可能造成的影响和损失。
然后,根据风险评估结果,制定相应的风险控制策略,确定内控管理措施的重点和方向。
3. 设计和实施内控措施根据内控管理框架和风险评估结果,企业需要设计和实施相应的内控措施。
南京审计学院国际审计学院课程论文题目:信息系统内部控制概述姓名:周广超学号:MZ1301065专业:审计硕士班级:13级审计硕士班2013年 12 月 23 日信息系统内部控制概述摘要:现代企业的运营越来越依赖信息系统,它正改变着企业经营管理的方式,企业在加强常规内部控制的同时,也不得不十分关注信息系统内部控制的建设。
如何更好的利用信息系统来提升公司的经营管理水平,抢占未来信息化竞争环境下的优势先机,并且合理的防范信息系统给企业内部带来的新风险,已成为一个广泛关注的话题。
关键词:信息系统;内部控制;IT治理一、信息系统概述信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息为目的的人机一体系统。
细心系统具有输入、输出、存储、处理和控制的功能。
与其他系统不同,信息系统不从事某一具体的实物性工作,而是关系全局协调一致的总括。
从信息系统的发展和系统特点来看,包括众多类型:数据处理系统、管理信息系统、决策支持系统、专家系统、虚拟办公室等。
如今的信息系统已不仅仅是一个技术系统,更是一个社会系统,影响着经济社会的方方面面。
二、信息系统风险信息系统存在脆弱性风险,这指信息系统特性中固有的弱点,对整个系统而言,其弱点是由系统各个要素的弱点的集中和再统一。
首先,技术方面的脆弱性通常与数据的高速处理、数据的不可见性、信息集中等有关。
随着信息技术的发展,现今的信息系统所处理的数据量越来越大,因此系统对数据处理速度的要求也越来越高。
在这种情况下很难对数据处理的正确性进行逐一跟踪确认;榆次同时,由于数据量庞大,一旦数据处理出现差错,要在短时间内找到问题也需要话费大量的人力与时间。
数据的不可见性导致低数据的修改在很多情况下也是不可见的。
除此之外,信息集中的结果使得大量数据都集中在信息中心,若信息中心被破坏,受到的损失必将是十分巨大的,这些都给信息系统带来的巨大的威胁。
其次,从管理方面来看,脆弱性主要表现在内部控制制度的缺乏和不健全,监督功能不完善,从而引发信息系统的各种威胁。
it内控管理制度:保障企业信息安全的有效手段随着互联网技术的发展,数字化、网络化已成为企业进行业务的标配。
然而,随之而来的恶意攻击、数据泄露、业务恶意操作等问题也愈发突出。
因此,建立完善的,可以有效提升企业信息化建设的安全性,保护企业业务的持续性和稳定性。
本文将依次阐述的定位和意义;结合案例,阐述内控管理要点;最后分析未来内控管理的趋势和发展方向。
第一部分:的定位和意义IT内控管理指的是企业内部监控和管理其信息系统和技术应用的活动。
所涉及的范围广泛,包括IT管理制度、信息资产管理制度、网络安全管理制度、数据备份和恢复制度、灾备和业务连续性管理制度等。
的建立,可以为企业提供制度保障,完善企业的内部安全体系,提高安全管控效率,避免严重事故的发生,减少经济损失。
首先,的建立可以提高安全保障水平。
IT内控管理体系是企业保障安全的重要手段,其一方面可以提供科学合理的信息安全防范建议和方案,另一方面也可以保障IT技术的稳健运行。
其次,可以提高运营效率。
在纷繁复杂的信息环境下,企业需要快速反应,迅速优化,方可在市场上立于不败之地。
的建立,可以保障信息系统的正常运作,提高企业效率,缩短信息技术故障的排除时间,保证业务的正常发展。
第二部分:内控管理的实施要点的完善,需要充分考虑企业市场形势、核心竞争力、业务流程和信息系统基础设施等因素,重点分析企业价值链各环节呈现的系统性风险。
首先,信息资产管理是内控管理的核心。
公司需要对其关键信息资产进行有效的管理和防控,实施安全管理措施等。
比如,设置用户权限管理,对企业的机密信息进行权限管理和备份,让使用权限得到严格管理。
其次,内部控制制度应具有完整的控制环节。
企业应全面考虑信息安全的全流程、全领域,确保业务流程和业务系统的内控制度的完整性和统一性。
最后,内控管理需要形成管理流程和信息审核、审批和监控体系。
此外,企业应对外部威胁及时反应,人们随时对有关信息和系统进行监督,及时掌握发现问题,制订响应应急预案,以此确保内控管理的有效性和及时性。
it内控管理制度IT内控管理制度是指为了确保信息技术系统的安全、稳定和合规运行而制定的一系列规范和措施。
随着信息技术在企业中的广泛应用,IT内控管理制度成为企业运营的关键要素之一。
本文将从IT内控管理制度的重要性、构建原则和实施步骤等方面进行论述。
一、IT内控管理制度的重要性IT内控管理制度在企业信息化建设中起到至关重要的作用。
首先,IT内控管理制度可以帮助企业建立规范的信息技术管理流程,确保信息系统的安全性和稳定性。
其次,IT内控管理制度可以有效地预防和控制信息安全风险,保护企业的核心数据和知识产权。
此外,IT内控管理制度还可以提高企业的运营效率和响应能力,促进业务流程的优化和创新。
综上所述,IT内控管理制度对企业的发展具有重要的战略意义。
二、IT内控管理制度的构建原则构建IT内控管理制度需要遵循以下原则。
首先,制度的设计应当符合企业的战略发展目标和业务需求,与企业的风险承受能力相匹配。
其次,制度应当明确责任分工,明确各级管理人员的职责和权限,并建立相应的监督机制。
再次,制度应当与法律法规和行业标准相一致,确保企业的合规运营。
此外,制度应当注重实施过程的可持续性和持续改进,及时修订和完善制度。
三、IT内控管理制度的实施步骤实施IT内控管理制度需要经过以下步骤。
首先,企业应当明确内控管理的目标和范围,明确约束性的管理要求。
其次,企业需要对信息技术系统进行全面的评估和风险分析,确定主要的风险和潜在威胁。
然后,企业应当建立相应的风险防范和应急预案,制定详细的操作规程和管理流程。
再次,企业需要进行内部培训和意识宣传,提高员工的信息安全意识和风险防范能力。
最后,企业需要建立有效的监督和评估机制,及时发现和纠正违规行为,并进行持续改进。
四、IT内控管理制度的挑战与应对IT内控管理制度的构建和实施过程中面临一些挑战,例如技术更新换代的快速变化、内控人员的专业能力和素质等。
为了应对这些挑战,企业可以采取以下措施。
内部控制信息系统安全管理制度第一章总则3第二章系统管理人员的职责3第三章机房管理制度4第四章系统管理员工作细则4第五章安全保密管理员工作细则7第六章密钥管理员工作细则9第七章计算机信息系统应急预案10第八章附则10第一章总则第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强中船信息公司计算机信息系统安全保密管理,并结合用户单位的实际情况,制定本制度。
第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。
其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。
第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。
第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。
第二章系统管理人员的职责第6条用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由中船信息承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。
第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。
第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。
第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。
第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。
it内控管理制度1. 引言IT内控管理制度是指为了确保信息技术系统的合规性、稳定性和可靠性而制定的一系列规章制度与流程。
本文将从以下几个方面对IT内控管理制度进行论述:目的与重要性、制定流程、关键要素以及实施中的挑战和建议。
2. 目的与重要性IT内控管理制度的主要目的是对信息技术系统进行规范化管理,以确保其符合公司战略目标、法律法规的要求,并保障信息安全与风险防控。
其重要性体现在以下几个方面:2.1 提高信息系统的合规性:内控制度的制定使得信息系统在设计、开发、操作和维护过程中能够符合相关的法律法规要求,减少违规行为的发生。
2.2 保障系统的稳定性:通过严格的内部控制制度,能够发现和修复系统中的错误与漏洞,确保系统的稳定运行,降低因意外事故对业务的影响。
2.3 提升信息系统的可靠性:内控管理制度的实施有助于确保信息系统提供真实、准确、可靠的数据,提高决策的科学性与准确性。
3. 制定流程为了确保IT内控管理制度的有效实施,有必要建立一个完善的制定流程。
以下是一个常见的制定流程:3.1 识别与评估风险:通过对公司信息系统的全面评估,识别潜在的风险与问题。
这包括通过风险评估矩阵对风险进行分类和优先级排序。
3.2 设定与明确内部控制目标:制定相应的内部控制目标,确保内控制度能够针对性地解决已识别的风险与问题。
3.3 制定具体控制措施与流程:根据内部控制目标,制定各项具体的控制措施与流程,包括但不限于访问控制、数据备份与恢复、灾难恢复等。
3.4 建立监控与反馈机制:确保内控制度的有效实施,需要建立一套监控与反馈机制,及时发现与纠正内部控制失效的情况。
4. 关键要素在IT内控管理制度的实施过程中,有几个关键要素需要重视:4.1 领导支持与参与:制定与实施内控制度需要得到公司领导的充分支持与积极参与,只有这样,才能确保内控制度的有效执行。
4.2 角色与责任明确:在制定内控制度的过程中,需要明确相关人员的角色与责任,确保每个岗位都有明确的职责与权限。
it内控管理制度1. 简介IT内控管理制度是指企业为保障信息技术相关风险的防范和控制而制定的一套制度和流程。
随着信息技术在企业运营中的重要性不断增强,IT内控管理制度日益成为企业规范运作和保护信息资产的重要方式。
2. 目的IT内控管理制度的主要目的是确保企业的信息技术活动按照规定的策略和流程进行,并且能够应对与信息技术相关的风险。
具体目的包括但不限于以下几个方面:- 保护企业的信息资产免受未授权访问、泄露、破坏等威胁;- 提高企业信息系统的可靠性、可用性和完整性;- 遵循法律法规和业界标准,并履行合规的要求;- 提升信息技术管理水平和效率,降低风险和成本。
3. 内控要素IT内控管理制度通常包含以下几个内控要素:- 控制环境:包括企业内控文化、组织结构、人员素质等方面,为内控制度的有效实施提供基础;- 风险评估:对企业的信息技术风险进行评估和分类,确定重点防控领域;- 控制活动:制定并执行各项信息技术控制措施,如访问控制、密码策略、安全审计等,确保信息资产的安全性和可用性;- 信息与沟通:包括内部信息传递、风险报告、培训教育等,确保全员对内控制度的理解和遵守;- 监控与评价:建立监控机制,对内控制度执行效果进行评估和监测,及时发现和纠正问题。
4. 实施步骤IT内控管理制度的实施通常包括以下几个步骤:- 制定制度:根据企业的实际情况和行业要求,确定各项制度和流程,确保合规性和适用性;- 流程设计:详细制定各个流程的具体步骤和操作要求,确保流程的可操作性和一致性;- 岗位职责:明确各岗位的内控职责和权限,落实责任到人,确保各项控制能够有效执行;- 培训宣传:组织相关人员的培训和宣传活动,提高员工的内控意识和技能水平;- 监控执行:建立内控监控机制,定期核查内控制度的执行情况,并及时采取纠正措施;- 持续改进:根据内外部需求和持续的监控结果,进行制度的修订和改进,不断提升管理水平和效果。
5. 案例分析为了更好地理解IT内控管理制度的实施,以下是一个企业的案例分析:某公司在制定IT内控管理制度时,首先进行了风险评估,确定了数据泄露、网络攻击和系统故障等风险的重要性。
控制的内容
1.组织与管理控制
2.应用系统开发与管理控制
3.计算机操作控制
4.硬件与软件控制
5.系统安全控制
6.数据通信控制
7.系统文档控制
应用控制的内容
1.输入控制
2.计算机处理与数据文件控制
3.输出控制
应用控制的测试方法
1.使用者实施的人工控制
2.系统输出控制
3.程序控制
内部控制的测试与评价
1.了解与描述计算机会计信息系统内控
审计人员为了确认财务报表内潜在错误和该错误的风险影响,以及为了制定和完善进一步实质性测试程序。
2.符合性测试
是对内控在。
企业中实际遵守及内控措施发挥预期作用情况的测试。
3.内部控制评价
根据系统应有的内控与控制目标对比实际有效的内控,对系统的内控是否完整有效和可以依赖做出评价。
利用计算机编制审计计划(审计计划的实施)
1.设计审计程序
2.制定检查清单
3.分析风险
4.执行分析性符合程序
5.日常安排与费用预算
会计信息系统审计的基本程序。
计算机信息系统管理计算机信息系统管理001:信息安全管理计算机信息系统管理002:信息资源申请、使用及日常维护管理计算机信息系统管理003:变更管理计算机信息系统管理流程综述不可兼容职责表X:表示相互冲突的职责2.附注A:应用系统管理员B:操作系统、数据库管理员C:系统权限的申请D:系统权限的审批E:系统权限的设置F:系统开发人员G:系统验收人员H:系统操作人员I:系统管理员计算机信息系统管理001:信息安全管理1.0流程综述本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制,以及如何实现信息的保密性、完整性和可用性。
2.0适用范围公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。
3.0控制目标和关键控制活动4.0政策和工作流程4.1IT环境的物理安全IT环境的物理安全应与人力资源部联系,确保各项安全措施的到位。
4.1.1高度安全区域的管理对公司级信息设备集中放置,设立高度安全区域。
该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功能。
高度安全区域必须取严格的进出控制及门禁系统。
任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。
机房管理人员需保证机房设备和机房设施的正常运行。
为了使机房能够安全高效的运作,对使用机房的人员从以下方面做了规定:机房的出入、机房的操作、机房用电制度、机房安全。
详细内容请参见《上海汽车集团股份有限公司IT机房安全管理规定》4.1.2保护公司计算机及相关设备和通讯设施的安全禁止用户私自动用、转移或破坏他人计算机及相关设备。
用户如果临时或长时间不使用某种设备,应采取相应的措施进行保护或保存。
因维修或其他用途而拆除存有信息的电子设备,如硬盘时,应完全销毁其存有的数据,并确保此信息不能被恢复。
4.21用户帐号申请控制登入和使用公司计算机系统和网络资源,需用户部门确定和批准用户申请的权限范围,信息系统部审核申请是否符合相关流程和规定,通过后按申请内容进行技术设置。
对用户组一一对应的识别认证权限控制系统(如用户ID和密码),以阻止非法侵入,确保各级用户只能进入其授权使用的系统。
系统应保留一定期限内的所有登入记录。
用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号(即,AD、邮件帐号),需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。
(若为离职人员,信息系统部将收回所有IT设备、取消所有帐号及权限。
)4.2.2密码控制信息系统部规定了公司密码设置要求,对于任何系统、包括应用系统,操作系统和数据库等:用户密码至少8位;密码中需包含英文大、小写和数字;密码至少90天更换一次;接近的密码在9个月内不得重复使用;临时用户也应建立良好的密码设定和使用习惯。
4.2.3权限复核用户部门负责审核该部门的权限申请内容,对于重要数据,应根据分工将操作权限分开设置。
用户部门关键用户或批准权限申请的负责人应定期,至少一年一次,审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次,以确保分配给用户使用的权限是恰当的,且符合权限最小化的原则。
4.2.4管理员账号的管理4.2.4.1客户端管理员原则上所有的客户端账号都只开通用户(User)权限。
对确实因工作需要的(如:工作中必须使用某种软件,该软件必须开通管理员权限才能正常使用等。
),经过部门总监确认签字,信息系统部运维经理批准,开通管理员(Administrator)权限。
信息系统部对于开通管理员权限的用户,每月通过监控软件进行审核,检查其是否有非法使用情况(如私自安装软件、对操作系统设置进行更改等)。
4.2.4.2系统管理员信息系统部对各系统,包括应用系统,操作系统和数据库等,分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所有负责的系统根据批准的事情单,进行规定的操作。
原则上,在应用系统的生产环境中,应避免开放管理员权限。
4.2.5病毒防治信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在服务器上做好相关数据的定期备份。
用户需使用信息系统部确认过的正版软件,不运行功能不明的可执行文件。
在使用外接存储设备时需先进行查毒、杀毒工作。
信息系统部对于病毒的防治,以及病毒应急处理的流程,请参考《上海汽车集团股份有限公司病毒应急方案流程》4.2.6网络安全控制和用户使用规范公司的计算机网络,如局域网、广域网,是计算机系统运作及数据传递的基础,信息系统部必须采取足够的,有效地措施保证网络的安全,确保公司内外信息沟通的正常进行。
用户在使用上汽集团网络时,也应明确其责任,个人的网络行为直接影响到公司网络的公共安全。
详细内容,请参考《上海汽车集团股份有限公司关于进入公司计算机网络的规定》。
4.2.7合法使用正版软件信息系统部负责编制、更新公司《软件清单》,每月更新软件购买和使用数量的状态。
信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证(liscense)。
公司员工须遵守公司有关合法软件及使用许可证合同的规定,信息系统部将不定期检查或抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。
详细内容请见《上海汽车集团股份有限公司信息系统安全制度》。
4.2.8信息系统的分级信息系统部根据公司应用系统的业务性质、重要性程度、涉密情况等方面,对应用系统进行等级划分。
相关的保护维护措施,将根据应用系统的等级进行分别制定。
4.2.9保密协议的签署信息系统部委托专业机构进行系统运行与维护管理,或者新系统开发工作,需审核相关供应商的资质,并与其签订相关保密协议。
5.0参考文件《上海汽车集团股份有限公司IT机房安全管理规定》《上海汽车集团股份有限公司信息系统安全制度》《上海汽车集团股份有限公司关于进入公司计算机网络的规定》《上海汽车集团股份有限公司病毒应急方案流程》6.0职责分工各业务部门用户:上汽集团的每个计算机用户在使用任何计算机和网络资源时,必须严格遵守上汽集团信息系统安全制度和由此产生或衍生的有关信息系统安全的支持性制度文件,以及上汽集团员工手册的有关信息系统安全条例。
部门领导及部门信息协调员:各部门领导及信息协调员应根据员工工作实际需要,授权其登入网络系统或使用电子数据的权限,并定期审阅和更新权限批准,并及时与信息系统部联系。
信息系统部和信息安全员:信息系统部的信息安全员须采取足够,适当的信息系统安全措施,以保证整个上汽集团受控信息系统环境物理和逻辑上的安全,确保信息系统和网络的保密性、完整性及可用性。
7.0附件附件《机房出入人员登记表》附件《机房维护日志》计算机信息系统管理002:信息资源申请、使用及日常维护管理1.0流程综述本子流程主要描述上汽集团员工,因业务需要申请信息系统相关软件、硬件、网络资源以及各应用系统权限的申请、审批和处理执行的过程,以及对员工合理、安全、高效地使用以上资源时的相关事项进行规定。
2.0适用范围公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。
3.0控制目标和关键控制活动4.0政策和工作流程4.1信息资源的申请与使用上汽集团员工可申请使用的信息资源主要分为:桌面办公(以下简称:OA)资源和应用系统权限。
其中,OA办公资源又包括计算机及相关设备、办公用OA软件、公司局域网登入权限、互联网登入权限、邮件系统账号。
人力资源部将会通知信息系统部员工入职、离职和调动的相关信息。
新员工入职后按工作需要申请相关的信息资源。
员工离职需交回所有的信息设备,并关闭相关账号的使用权限。
员工工作岗位、部门等发生变化,需要对原来的应用系统权限以新的身份重新申请。
4.1.1计算机及相关设备的申请和使用计算机及相关设备包括:办公用台式电脑、笔记本、工作站、打印机、电脑附件(移动硬盘、U盘等)。
申请人员应填写《信息资源需求申请表》,需填写申请人的部门、姓名、申请内容、申请原因等内容。
申请人需签字承诺已阅读并遵守相关的管理规定,由部门总监审批签字,交信息系统部相关负责人批准后,为申请人提供相关设备或服务。
申请人若为供应商,需在申请表中注明。
4.1.2 OA办公软件的申请与使用为便于公司对客户端操作系统及防病毒软件的及时、更新,保护客户端的安全正常使用,信息系统部对所有公司的电脑实行标准化软件安装,软件清单参见《计算机客户端软件安装标准》。
公司员工没有权限对电脑客户端的任何软件进行安装和删除,只有信息系统管理员和软件安装的操作人员有权进行软件的安装和删除。
公司员工因工作需要安装其他软件,需填写《信息资源需求申请表》,描述申请原因,由部门总监审批签字。
信息系统部将对申请软件与其他标准软件的兼容性进行测试,未发现系统冲突及有足够软件许可证的情况下批准申请,执行安装;否则将进行调试,解除系统冲突后才可安装,或者进入采购流程采购相应的软件许可证。
4.1.3网络及邮件帐号的申请为了使公司计算机网络安全运行,加强对进入公司计算机网络用户的管理,保证公司办公和生产业务的正常进行,登入公司网络和使用公司邮箱都需经过申请、审批流程。
公司的正式员工经申请批准后,由信息系统部根据人力资源部调令进行开通域账号和邮件帐号,用户即可连入公司的局域网络及使用公司邮件系统。
若外部用户(非人事部门确认的员工之外的一切人员,如实习人员、借用人员及供应商等)原则上不能登入公司的网络资源。
若有特殊需求申请域帐号、邮件帐号是必须在《信息资源需要申请表》上填写身份证号等个人信息、有效期、有效联系方式(电话、email地址)、本人承诺书签字、业务对口部门总监确认签字,以上内容经信息系统部审核通过后,开通临时账号,期限过后账号将失效。
具体规定请参见《上海汽车集团股份有限公司关于进入公司计算机网络的规定》。
4.1.4应用系统权限的申请目前公司的应用系统包括PDM、SAP、MES、DMS等根据所申请的系统选择相应的权限申请单(如:《应用系统用户权限申请表》),需填写申请人、工号、部门、关键用户、工作岗位描述、申请使用有效期、申请原因等详细信息。
根据权限所在的功能块由相应的使用部门负责人签字批准,各功能块的关键用户审核确认,信息安全员审核权限是否有安全漏洞,最后由信息系统部总监批准。
系统操作员根据申请单内容和审批信息在系统中进行配置。
公司已对研发相关数据进行了加密,用户申请工程开发相关系统(PDM)权限时,必须同时申请加密系统账号及权限,才能正常查看相关数据或使用相关功能。
4.2用户使用信息资源时的要求为了管理和保护公司办公自动化系统,确保办公自动化系统正常运行,信息系统部编制了《上汽汽车集团股份有限公司办公自动化用户管理条例》,用户在使用公司硬件设备、软件系统、应用系统、网络等资源时应遵守相关的规定。
