公司授權(quán)審批管理制度

1、公司授權(quán)審批管理制度第一條 【目的】本制度旨在對上海大千商務(wù)服務(wù)有限公司信息系統(tǒng)的可靠性、穩(wěn)定性和有效性進(jìn)行授權(quán)、審批，降低信息安全風(fēng)險(xiǎn)，維護(hù)上海大千商務(wù)服務(wù)有限公司切身利益。建立合理的授權(quán)審批機(jī)制，加強(qiáng)內(nèi)部控制，同時(shí)提高管理效率。使上海大千商務(wù)服務(wù)有限公司信息安全管理制度不斷地完善并持續(xù)有效運(yùn)行。第二條 【范圍】本規(guī)定適用于對上海大千商務(wù)服務(wù)有限公司范圍內(nèi)信息系統(tǒng)的授權(quán)和審批活動(dòng)。第三條 授權(quán)審批的原則（一） 堅(jiān)持授權(quán)的范圍和深度與上海大千商務(wù)服務(wù)有限公司內(nèi)部控制的建立健全程度及管理人員的控制水平相匹配的原則；（二） 堅(jiān)持根據(jù)管理情況變化適時(shí)調(diào)整授權(quán)的原則，兼顧相對穩(wěn)定和持續(xù)優(yōu)化；（三） 堅(jiān)

2、持授權(quán)與審批相結(jié)合，有權(quán)必有審，在授權(quán)范圍內(nèi)的事物產(chǎn)生的結(jié)果由被授權(quán)人承擔(dān)，同時(shí)建立責(zé)任追究機(jī)制；（四） 堅(jiān)持授權(quán)與監(jiān)督相結(jié)合的原則，確保權(quán)利被恰當(dāng)、有效使用。第四條 授權(quán)審批的范圍（一） 權(quán)責(zé)分配、職責(zé)分工、信息系統(tǒng)相關(guān)事項(xiàng)履行審批程序；（二） 信息系統(tǒng)開發(fā)、變更和維護(hù)流程以及授權(quán)審批程序；（三） 安全訪問制度，包括操作權(quán)限、信息使用、信息管理等；（四） 硬件管理事項(xiàng)和審批程序；（五） 以上未涉及范圍，參見其他管理制度相關(guān)規(guī)定。第五條 崗位分工與授權(quán)審批信息化系統(tǒng)涉及以下事務(wù)：（一） 流程分析：分析系統(tǒng)信息需求，并據(jù)此制定設(shè)計(jì)或修改程序的方案；（二） 計(jì)算機(jī)操作：負(fù)責(zé)運(yùn)行并監(jiān)控應(yīng)用程序；（三

3、） 數(shù)據(jù)庫管理：綜合分析、設(shè)計(jì)系統(tǒng)中的數(shù)據(jù)需求，維護(hù)組織數(shù)據(jù)資源；（四） 數(shù)據(jù)控制：負(fù)責(zé)維護(hù)計(jì)算機(jī)路徑代碼的控制，確保原始數(shù)據(jù)經(jīng)過正確授權(quán)，監(jiān)控信息系統(tǒng)工作流程，協(xié)調(diào)輸入和輸出，并將輸出信息分發(fā)給經(jīng)過授權(quán)的用戶。（五） 終端：終端用戶負(fù)責(zé)記錄處理操作內(nèi)容，輸出相應(yīng)的處理結(jié)果。信息安全領(lǐng)導(dǎo)小組：明確定義系統(tǒng)歸口管理部門和用戶部門在保證系統(tǒng)正常安全運(yùn)行過程中各自承擔(dān)的職責(zé)，制定系統(tǒng)安全部及個(gè)人之間的職責(zé)與分工。系統(tǒng)安全部：負(fù)責(zé)信息系統(tǒng)開發(fā)需求、變更、運(yùn)行、維護(hù)等工作。第六條 信息系統(tǒng)開發(fā)、變更和維護(hù)控制（一） 計(jì)算機(jī)信息系統(tǒng)開發(fā)包括自行設(shè)計(jì)、外購調(diào)試和外包合作開發(fā)。在開發(fā)信息系統(tǒng)時(shí)，應(yīng)當(dāng)充分考慮業(yè)

4、務(wù)和信息的集成性，優(yōu)化流程，并將業(yè)務(wù)流程嵌入到系統(tǒng)程序中，以預(yù)防、檢查、糾正錯(cuò)誤和舞弊行為，確保業(yè)務(wù)活動(dòng)的真實(shí)性、合法性和效益性。（二） 信息系統(tǒng)開發(fā)必須經(jīng)過信息安全領(lǐng)導(dǎo)小組正式授權(quán)，并進(jìn)行詳細(xì)備案。具體程序包括:提出需求；系統(tǒng)安全部審核；信息安全領(lǐng)導(dǎo)小組權(quán)批準(zhǔn)；系統(tǒng)分析人員設(shè)計(jì)方案等。（三） 對外購調(diào)試或外包合作開發(fā)等需要進(jìn)行招投標(biāo)的信息系統(tǒng)開發(fā)項(xiàng)目，應(yīng)當(dāng)成立招投標(biāo)小組，并保證招投標(biāo)小組的獨(dú)立性。（四） 制定詳細(xì)的信息系統(tǒng)上線計(jì)劃。在新舊系統(tǒng)切換時(shí)，在上線計(jì)劃中明確系統(tǒng)回退計(jì)劃，保證新系統(tǒng)一旦失效，能夠順利回退到原來的系統(tǒng)狀態(tài)。（五） 新舊系統(tǒng)切換時(shí)，如涉及數(shù)據(jù)遷移，應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)

5、劃。（六） 用戶部門應(yīng)當(dāng)積極參與數(shù)據(jù)遷移過程，對數(shù)據(jù)遷移結(jié)果進(jìn)行測試，并簽署測試報(bào)告。（七） 信息系統(tǒng)在投入使用前應(yīng)當(dāng)至少完成整體測試和用戶驗(yàn)收測試，以確保系統(tǒng)的正常運(yùn)轉(zhuǎn)。（八） 信息系統(tǒng)原設(shè)計(jì)功能未能正常實(shí)現(xiàn)時(shí)，應(yīng)當(dāng)指定相關(guān)人員負(fù)責(zé)詳細(xì)記錄，并及時(shí)報(bào)告系統(tǒng)安全部，由其負(fù)責(zé)系統(tǒng)程序修正和軟件參數(shù)調(diào)整，盡快解決存在的問題。第七條 系統(tǒng)安全訪問（一） 信息系統(tǒng)安全訪問控制是對安全設(shè)備、郵件服務(wù)器、WEB服務(wù)器、OA服務(wù)器、賬務(wù)核心系統(tǒng)、賬務(wù)管理系統(tǒng)、POS接入系統(tǒng)等進(jìn)行系統(tǒng)級和操作級的訪問控制。（二） 系統(tǒng)級訪問權(quán)限歸屬于系統(tǒng)管理員（主機(jī)管理員），系統(tǒng)管理員不得擅自進(jìn)行系統(tǒng)軟件的刪除、拷貝、修改等

6、操作，不得擅自升級、改變系統(tǒng)軟件版本或更換系統(tǒng)軟件，不得擅自改變軟件系統(tǒng)環(huán)境配置。（三） 凡需進(jìn)入信息系統(tǒng)的員工，必須經(jīng)過帳號申請、審批后，方可設(shè)置帳號并分配權(quán)限。（四） 對于發(fā)生崗位變化或離崗的用戶，由單位人事部門通知系統(tǒng)安全部及時(shí)調(diào)整其在系統(tǒng)中的訪問權(quán)限。（五） 每季度對系統(tǒng)中的賬號進(jìn)行審閱，避免有授權(quán)不當(dāng)或冗余賬號存在。（六） 對于特權(quán)用戶，對其在系統(tǒng)中的操作進(jìn)行監(jiān)控，并定期審閱監(jiān)控日志。（七） 充分利用安全設(shè)備防止黑客、病毒入侵，合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)提高網(wǎng)絡(luò)性能、隔離對外服務(wù)器減少不安全隱患、利用操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)自身提供的安全性能，在系統(tǒng)中設(shè)置安全參數(shù)，以加強(qiáng)系統(tǒng)訪問安全。禁止未

7、經(jīng)授權(quán)人員擅自調(diào)整、刪除或修改系統(tǒng)中設(shè)置的各項(xiàng)參數(shù)。（八） 不得將信息系統(tǒng)訪問安全事項(xiàng)完全交由第三方管理，但可申請第三方合作或咨詢，但必須加強(qiáng)對第三方的監(jiān)控。（九） 及時(shí)檢測信息系統(tǒng)運(yùn)行情況，及時(shí)進(jìn)行計(jì)算機(jī)病毒的預(yù)防、檢查工作，禁止用戶私自安裝非法軟件和卸載公司內(nèi)部要求安裝的防病毒軟件。一經(jīng)發(fā)現(xiàn)潛在危險(xiǎn)，應(yīng)當(dāng)及時(shí)通知操作人員隔離受病毒侵襲的系統(tǒng)部分，盡快處理。如有必要，可以暫時(shí)終止系統(tǒng)運(yùn)行。（十） 信息系統(tǒng)操作人員應(yīng)當(dāng)在權(quán)限范圍內(nèi)進(jìn)行操作，不得利用他人的口令和密碼進(jìn)入軟件系統(tǒng)。更換操作人員或密碼泄密后，必須及時(shí)更改密碼。操作人員如果離開工作現(xiàn)場，必須在離開前鎖定或退出已經(jīng)運(yùn)行的程序，防止其他人

8、員越權(quán)操作或散發(fā)不當(dāng)信息。第八條 硬件管理（一） 按照公司固定資產(chǎn)管理辦法對信息化設(shè)備的新增、報(bào)廢、流轉(zhuǎn)等情況建檔登記，統(tǒng)一管理。（二） 信息化設(shè)施包括：機(jī)房環(huán)境設(shè)施，包括UPS電源、市電配電柜、防雷設(shè)施、空調(diào)設(shè)備、滅火器材等）；網(wǎng)絡(luò)設(shè)備包括寬帶接入設(shè)備、交換機(jī)、網(wǎng)絡(luò)線路、網(wǎng)絡(luò)機(jī)柜等；安全防護(hù)設(shè)施包括放火墻、入侵防護(hù)、安全審計(jì)、網(wǎng)絡(luò)防病毒軟件等；服務(wù)器包括PC應(yīng)用服務(wù)器；備份設(shè)備包括帶庫、磁帶、硬盤災(zāi)備。（三） 機(jī)房環(huán)境、電源及防雷接地應(yīng)滿足建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范（CECS 72：97）的要求。（四） 機(jī)房應(yīng)根據(jù)信息系統(tǒng)安全要求配置必要的安全產(chǎn)品，包括IDS、防火墻、安全審計(jì)、網(wǎng)絡(luò)防病毒軟件、網(wǎng)管軟件等。（五） 硬件設(shè)備的更新、擴(kuò)充、修復(fù)等工作應(yīng)當(dāng)由系統(tǒng)安全部提出申請，報(bào)信息安全領(lǐng)導(dǎo)小組審批。未經(jīng)允許，不得擅自拆裝硬件設(shè)備。（六） 應(yīng)對機(jī)房設(shè)備運(yùn)行情況進(jìn)行例行檢查，并做機(jī)房日志。（七） 嚴(yán)禁在機(jī)房內(nèi)吸煙、喝茶。（八） 嚴(yán)禁將易燃、易爆物品帶入機(jī)房。