IT内控管理制度(总则)

IT内控管理制度（总则）1.目的为加强公司IT内部控制管理工作，规范信息系统的开发、维护、使用等行为，提高信息系统对公司现代化管理的支撑水平，降低因内部控制制措施缺失或不够完善带来的数据安全风险，特制定本制度。2.适用范围本制度适用千公司及下属分子公司所有外购或自行开发的信息系统及其开发、维护、使用人员。3.信息系统开发与变更管理3.1信息系统变更分为三个级别系统开发(I级）、重要系统变更(II级）、非重要系统变更(III级）；系统开发(I级）根据项目涉及内容重要程度与紧急程度分为S级、A级、B级和C级等四个级别；3.2系统开发必须通过立项申请，在各项目成员充分了解项目背景、重要性并确认需求后，方可开展后续开发工作；3.3系统的开发/变更、测试、上线须严格按照开发/变更流程规范、需求方案要求进行；3.4系统开发或变更必须对开发人员、测试人员和上线人员进行严格分离，确保系统在功能、性能、控制要求和安全性等方面符合开发/变更需要，防止上线过程中对系统代码的篡改；3.5系统开发或变更过程中，应保留有关记录，以备查验或进行问题追溯；3.6系统开发管理详细要求请参见《信息系统项目管理及开发管理规范》；系统变更管理详细要求请参见《信息系统变更管理规范》。4.信息系统运行维护管理4.1针对面向玩家的重要系统及平台，应设置系统运行情况自动监控程序，并由程序自动向运维部发出告警，如发现运行状态异常应立即查找原因并跟踪处理；4.2信息系统应开启操作日志记录功能，并设置异常操作自动告警，如发现异常应立即跟踪处理；4.3信息系统应定期执行数据备份和异地备份，如需对备份文件进行传递、转移须进行备份文件交接登记；数据备份后应执行恢复性测试或可读测试以保证备份数据的可恢复性；4.4信息技术故障根据《37技术中心事故等级定义V2.0》相关规定进行分级，故障处理人员判断故障分级后应及时按照相关流程跟踪处理并进行记录；4.5信息系统运行维护管理详细要求请参见《信息系统运行维护管理规范》。5,信息系统用户账号管理5.1信息系统应严格按照密码长度、复杂度、有效期、最多试错次数、重用次数等的相关规定设置系统密码策略，同时系统用户应注意账号密码的保管以防止账号密码外泄；5.2信息系统账号的新增、修改、删除/禁用应按照规定流程进行申清审批后方可执行，同时须保留相关审批记录或文档；5.3信息系统管理员账号仅由获得授权人员持有，且同—账号不得由两个或以上人员待有，管理员岗位任职人员离职后应及时进行账号删除、禁用或密码修改；5.4与财务数据相关的信息系统应定期进行系统账号审阅，审阅过程中如发现任何异常必须及时进行跟踪处理；5.5信息系统设定账号/角色与权限对应关系时，应考虑不相容职责分离的要求,系统应强制禁止将不相容职责权限授予同—用户/角色，同时系统管理的关键岗位设定应严格遵从职责不相容原则；5.6信息系统用户账号管理详细要求请参见《信息系统用户账号管理规范》．6.信息系统安全管理6.1计算机设备的使用人员应注意设备的物理安全管理，妥善保管设备并设置个人密码，针对公司配备的计算机不得私自安装、更换、拆除任何硬件或更改计算机的硬件配詈或在设备带电时插拔外接设备接口，如出现异常情况应及时报与公司IT管理人员；6.2用户应遵守国家的有关法律和法规使用网络，不得利用公司系统资源进行与业务无关的互联网流量或其他网上操作；运维人员应提供杀毒软件进行电脑病毒查杀，及使用入侵检测、漏洞扫描等设备和技术定期（至少每半年一次）对网络安全情况进行监控和分析，以降低网络安全风险；6.3电子文档作为公司的信息资产，禁止通过网络、移动硬盘等方式发生给与工作无关的人员，同时应定期进行备份以防数据丢失；6.4发生重要的程序源码、工具、接口文档、报表、计划等文件时，必须经过压缩加密后方可传输，传输费和接收方必须单点接收，通过QQ传递的文件如涉及公司业务、员工信息等也必须通过压缩加密方式进行传输，且密码只能通过电话或口头传递；6.5公司应建立信息系统安全应急信息库，对可能发生的安全突发事件提供应急预案，定期对应急预案进行审阅，并对应急处理人员进行相应的培训；6.6信息系统安全管理详细要求请参见《计算机及信息系统安全管理规范》。7.机房管理7.1机房环境应保持清洁整齐，温湿度调节在合适范围，设有自动消防报警系统和消防设施，以及UPS不间断电源；7.2对于自行管理机房或外部租赁机房，机房管理人员应定期对机房进行巡检并记录，如有异常情况相关人员应立即处理并留下相关记录；7.3机房钥匙应由专人保管，非机房管理人员如需进入机房应获得审批同意并在机房钥匙持有人陪同下方可进入，且未经机房管理人员同意不得对机房内设备进行操作；7.4机房管理详细要求请参见《机房管理规范》。8.附则8.1本制度自签发之日起生效；8.2本制度由技术中心总经理助理负责修订和维护；本制度的解释权属技术中心总经理助理。