IT内控管理制度(总则).pdf

IT内控管理制度（总则） 1. 目的 为加强公司 IT 内部控制管理工作，规范信息系统的开发、维护、使用等行为，提高信息系统对公司现 代化管理的支撑水平，降低因内部控制制措施缺失或不够完善带来的数据安全风险，特制定本制度。 2.适用范围 本制度适用千公司及下属分子公司所有外购或自行开发的信息系统及其开发、维护、使用人员。 3.信息系统开发与变更管理 3.1 信息系统变更分为三个级别系统开发 ( I 级 ）、重要系统变更 ( II 级）、非重要系统变更 ( III 级 ）； 系统开发 ( I 级 ）根据项目涉及内容重要程度与紧急程度分为 S级、 A 级、 B级和 C级等四个级别； 3.2 系统开发必须通过立项申请，在各项目成员充分了解项目背景、重要性并确认需求后，方可开 展 后续开发工作； 3.3 系统的开发 / 变更、测试、上线须严格按照开发 / 变更流程规范、需求方案要求进行； 3.4 系统开发或变更必须对开发人员、测试人员和上线人员进行严格分离，确保系统在功能、性能、 控制要求和安全性等方面符合开发 / 变更需要，防止上线过程中对系统代码的篡改； 3.5 系统开发或变更过程中，应保留有关记录，以备查验或进行问题追溯； 3.6 系统开发管理详细要求请参见《信息系统项目管理及开发管理规范》；系统变更管理详细要求请 参见《信息系统变更管理规范》。 4.信息系统运行维护管理 4.1 针对面向玩家的重要系统及平台，应设置系统运行情况自动监控程序，并由程序自动向运维部发 出告警，如发现运行状态异常应立即查找原因并跟踪处理； 4.2 信息系统应开启操作日志记录功能，并设置异常操作自动告警，如发现异常应立即跟踪处理； 4.3 信息系统应定期执行数据备份和异地备份，如需对备份文件进行传递、转移须进行备份文件交接 登记；数据备份后应执行恢复性测试或可读测试以保证备份数据的可恢复性； 4.4 信息技术故障根据《 37 技术中心事故等级定义 V2.0 》相关规定进行分级，故障处理人员判断故障 分级后应及时按照相关流程跟踪处理并进行记录； 4.5 信息系统运行维护管理详细要求请参见《信息系统运行维护管理规范》。 5,信息系统用户账号管理 5.1 信息系统应严格按照密码长度、复杂度、有效期、最多试错次数、重用次数等的相关规定设置 系 统密码策略，同时系统用户应注意账号密码的保管以防止账号密码外泄； 5.2 信息系统账号的新增、修改、删除 / 禁用应按照规定流程进行申清审批后方可执行，同时须保 留 相关审批记录或文档； 5.3 信息系统管理员账号仅由获得授权人员持有，且同—账号不得由两个或以上人员待有，管理员 岗 位任职人员离职后应及时进行账号删除、禁用或密码修改； 5.4 与财务数据相关的信息系统应定期进行系统账号审阅，审阅过程中如发现任何异常必须及时进行 跟踪处理； 5.5 信息系统设定账号 / 角色与权限对应关系时，应考虑不相容职责分离的要求 ,系统应强制禁止将不相 容职责权限授予同—用户 / 角色，同时系统管理的关键岗位设定应严格遵从职责不相容原则； 5.6 信息系统用户账号管理详细要求请参见《信息系统用户账号管理规范》． 6.信息系统安全管理 6.1 计算机设备的使用人员应注意设备的物理安全管理，妥善保管设备并设置个人密码，针对公司配 备的计算机不得私自安装、更换、拆除任何硬件或更改计算机的硬件配詈或在设备带电时插拔 外接 设备接口，如出现异常情况应及时报与公司 IT管理人员； 6.2 用户应遵守国家的有关法律和法规使用网络，不得利用公司系统资源进行与业务无关的互联网流 量或其他网上操作；运维人员应提供杀毒软件进行电脑病毒查杀，及使用入侵检测、漏洞扫描 等设 备和技术定期（至少每半年一次）对网络安全情况进行监控和分析，以降低网络安全风险； 6.3 电子文档作为公司的信息资产，禁止通过网络、移动硬盘等方式发生给与工作无关的人员，同时 应