【正文】 產(chǎn)品研發(fā)數(shù)據(jù)相關(guān)的應(yīng)用系統(tǒng)的開發(fā)和維護(hù)工作以及公司安排的其它工作； 2） IT 部 信息技術(shù)室負(fù)責(zé)銷售一線通 、服務(wù)備件一線通等與銷售和服務(wù)相關(guān)的應(yīng)用系統(tǒng)的開發(fā)和維護(hù)工作以及公司安排的其它工作； 3）中國重汽集團(tuán)濟(jì)南卡車股份有限公司負(fù)責(zé)公司 TRP 系統(tǒng)（包括與財(cái)務(wù)軟件的接口）等與生產(chǎn)和物流相關(guān)的應(yīng)用系統(tǒng)的開發(fā)和維護(hù)工作以及公司安排的其它工作。 各二級(jí)公司自主開發(fā)的內(nèi)部應(yīng)用系統(tǒng)及本單位所購僅限內(nèi)部使用的商品軟件所涉及的相關(guān)人員的職責(zé) 劃分，由各二級(jí)公司根據(jù)本規(guī)范所要求的原則自行批準(zhǔn)實(shí)施，并將相應(yīng)系統(tǒng)的“應(yīng)用系統(tǒng)職責(zé)分配表”送公司 IT部 備案。應(yīng)用系統(tǒng)管理員可以由應(yīng)用系統(tǒng)使用人員擔(dān)任，也可以由應(yīng)用系統(tǒng)維護(hù)人員擔(dān)任；但應(yīng)用系統(tǒng)管理員不得從事具體的業(yè)務(wù)，也不得從事該應(yīng)用系統(tǒng)的開發(fā)工作）。 終端用戶管理人員 1）負(fù)責(zé)終端用戶（網(wǎng)絡(luò)終端結(jié)點(diǎn)的用戶）設(shè)備的維護(hù)； 2）負(fù)責(zé)終端用戶的安全管理、軟件維護(hù)和設(shè)備的配置及環(huán)境管理等。 網(wǎng)絡(luò)管理人員 1）提供網(wǎng)絡(luò)運(yùn)行保障，確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定與正常運(yùn)轉(zhuǎn)，及時(shí)解決網(wǎng)絡(luò)故障； 2）負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)，確保高效、可靠地管理網(wǎng)絡(luò)資源； 3）負(fù)責(zé)對(duì)網(wǎng)絡(luò)操作系統(tǒng)和信息進(jìn)行存儲(chǔ)備份及恢復(fù)； 4）負(fù)責(zé)或協(xié)助服務(wù)提供商部署有效的安全策略，保證網(wǎng)絡(luò)安全； 5）負(fù)責(zé)或協(xié)助服務(wù)提供商進(jìn)行網(wǎng)絡(luò)設(shè)備的調(diào)試和安裝； 6）負(fù)責(zé)或參與網(wǎng)絡(luò)工程的設(shè)計(jì)和網(wǎng)絡(luò)設(shè)備的選型。 數(shù)據(jù)庫管理人員 1）負(fù)責(zé)確定數(shù)據(jù)庫的信息內(nèi)容和結(jié)構(gòu)，并可操作數(shù)據(jù)庫； 2）負(fù)責(zé)制定數(shù)據(jù)庫的存儲(chǔ)結(jié)構(gòu)和存取策略； 3）負(fù)責(zé)定義數(shù)據(jù)的安全性要求和完整性約束條件； 4）負(fù)責(zé)監(jiān)控?cái)?shù)據(jù)庫的使用和運(yùn)行，分析數(shù)據(jù)庫的性能并進(jìn)行問題診斷； 5）負(fù)責(zé)數(shù)據(jù)庫的改進(jìn)和重組重構(gòu)； 6）負(fù)責(zé)數(shù)據(jù)庫的安全與日常維護(hù)，制定并實(shí)施數(shù)據(jù)庫系統(tǒng)的備份和恢復(fù)方案 。 應(yīng)用系統(tǒng)維護(hù)人員 1）負(fù)責(zé)應(yīng)用系統(tǒng)的日常維護(hù)和配置管理工作； 2）負(fù)責(zé)制定應(yīng)用系統(tǒng)上線計(jì)劃，并實(shí)施應(yīng)用系統(tǒng)上線； 3）接受使用人員的意見反饋，并負(fù)責(zé)進(jìn)行疑難解答及故障處理。使用過程中應(yīng)嚴(yán)格按規(guī)程操作，嚴(yán)禁未經(jīng)過系統(tǒng)培訓(xùn)者和無關(guān)人員上機(jī)操作； 2）為保證應(yīng)用系統(tǒng)使用安全，使用人員應(yīng)保護(hù)好個(gè)人密碼，經(jīng)常修改，以防被盜；計(jì) 算機(jī)使用完畢應(yīng)及時(shí)退出應(yīng)用系統(tǒng)，以免浪費(fèi)網(wǎng)絡(luò)資源或被他人盜用系統(tǒng)信息； 3）禁止使用人員在業(yè)務(wù)用計(jì)算機(jī)上擅自安裝和卸載任何軟件，禁止更改計(jì)算機(jī)配置，禁止做與業(yè)務(wù)無關(guān)的任何操作； 4）使用人員必須在規(guī)定職責(zé)權(quán)限范圍內(nèi)處理各項(xiàng)業(yè)務(wù)，不得越權(quán)操作； 5）在應(yīng)用系統(tǒng)使用過程中如發(fā)現(xiàn)異常故障，應(yīng)及時(shí)聯(lián)系該系統(tǒng)維護(hù)人員； 6）數(shù)據(jù)輸入 /處理 /審批人員應(yīng)進(jìn)行職責(zé)分離，不得同時(shí)擔(dān)任同一應(yīng)用系統(tǒng)的輸入、審批、監(jiān)控等職責(zé)不相容的工作。 掌握服務(wù)器、數(shù)據(jù)和源代碼的人員的職責(zé)應(yīng)分離，不能交叉 任職。 4．管理要求 職責(zé)劃分原則 掌握應(yīng)用系統(tǒng)內(nèi)部結(jié)構(gòu)和源代碼的人員不得從事該應(yīng)用系統(tǒng)的操作使用。 3．職責(zé) IT 部 負(fù)責(zé)本規(guī)范的制訂和修訂，負(fù)責(zé)管理各應(yīng)用系統(tǒng)“應(yīng)用 系統(tǒng)職責(zé)分配表”，并負(fù)責(zé)對(duì)本規(guī)定的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作。 2．適用范圍 本規(guī)定適用于對(duì) IT 系統(tǒng)相關(guān)人員職責(zé)劃分的管理，重點(diǎn)適用于公司層面自主開發(fā)的應(yīng)用系統(tǒng)的相關(guān)人員以及公司層面所購商品軟件的使用和維護(hù)人員。 本規(guī)定由 IT 部 負(fù)責(zé)解釋。 任何單位或個(gè)人違反本規(guī)定，并給國家、企業(yè)或他人造成經(jīng)濟(jì)損失或其它損害的，公司將視情節(jié)和造成損害的程度給予通報(bào)、警告或其它形式的處罰，情節(jié)嚴(yán)重的依法追究相應(yīng)的民事或刑事責(zé)任。 5．監(jiān)督檢查與罰則 經(jīng)批準(zhǔn)接入公司城域網(wǎng)的各類用戶應(yīng)接受并配合 IT部 等有關(guān)部門的監(jiān)督檢查。 安全管理 網(wǎng)絡(luò)安全管理參見《企業(yè)計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。 各單位要制定本單位計(jì)算機(jī)網(wǎng)絡(luò)的安全保密規(guī)定，加強(qiáng)網(wǎng)絡(luò)安全保密管理工作，保證本單位計(jì)算機(jī)信息系統(tǒng)安全正常運(yùn)行，包括對(duì)使用計(jì)算機(jī)網(wǎng)絡(luò)的操作人員進(jìn)行安全保密的培訓(xùn)教育和檢查監(jiān)督；對(duì)信息和數(shù)據(jù)應(yīng)及時(shí)備份；對(duì)發(fā)布信息進(jìn)行認(rèn)真登記，并對(duì)所提供的信息內(nèi)容負(fù)責(zé)；及時(shí)向 IT部 提供網(wǎng)絡(luò)設(shè)備及人員的變動(dòng)情況等。 公司城域網(wǎng)內(nèi)重要設(shè)備或系統(tǒng)的進(jìn)入必須按規(guī)范設(shè)置密碼保護(hù)，密碼長度必須在 6位以上，密碼字符中必須包含有非數(shù)字字符，每半年至少更換 1次。 使用網(wǎng)上其它單位的信息和資源，必須事先征得該單位有關(guān)人員的同意，在履行有關(guān)手續(xù)后按規(guī)定權(quán)限和范圍使用。 接入公司城域網(wǎng)的單位應(yīng)根據(jù)本規(guī)定和實(shí)際情況制定相應(yīng)的管理制度，建立、健全網(wǎng)絡(luò)安全保密管理規(guī)定，并指定網(wǎng)絡(luò)管理人員，以保證本單位計(jì)算機(jī)信息網(wǎng)絡(luò)的安全和正常運(yùn)行。 未經(jīng) IT 部 同意，各單位不得私自設(shè)置防火墻等影響安全檢查的設(shè)施。 接入管理 未按本規(guī)定第 ， IT 部 有權(quán)拒絕將其接入公司城域網(wǎng)。 各單位局域網(wǎng)建設(shè)和應(yīng)用必須進(jìn)行立項(xiàng)，報(bào)信息發(fā)展部進(jìn)行審批，包括網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備、服務(wù)器等相關(guān)設(shè)備的選型、應(yīng)用系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)管系統(tǒng)、防火墻、應(yīng)用軟件及網(wǎng)絡(luò)協(xié)議）的設(shè)計(jì)和選擇等。骨干節(jié)點(diǎn)設(shè)備所在單位應(yīng)解決供電問題及提供其它必要的條件，同時(shí)應(yīng)為其它部門使用提供便利。 4．一般管理要求 網(wǎng)絡(luò)規(guī)劃與建設(shè) IT 部 負(fù)責(zé)根據(jù)公司信息系統(tǒng)的發(fā)展規(guī)劃，制定公司城域網(wǎng)的發(fā)展規(guī)劃并組織建設(shè)和管理。 3．職責(zé) IT 部 負(fù)責(zé)本規(guī)定的制訂和修訂，負(fù)責(zé)對(duì)本規(guī)定的執(zhí)行情況開展定期或不定期的監(jiān)督檢查 和指導(dǎo)工作；并負(fù)責(zé)制定城域網(wǎng)的發(fā)展規(guī)劃和組織管理。 網(wǎng)絡(luò)管理一般規(guī)定（試行） 1．總則 為規(guī)范和加強(qiáng)公司網(wǎng)絡(luò)系統(tǒng)的管理，結(jié)合公司實(shí)際，特制定本規(guī)定。 5．附則 本規(guī)定自 2020年 05月 01日起試行。 各類硬件設(shè)備若需添加、更換部件也應(yīng)經(jīng)設(shè)備所屬管理部門領(lǐng)導(dǎo)書面批準(zhǔn)后方可進(jìn)行，須進(jìn)行詳細(xì)的操作記錄，對(duì)各類軟件、現(xiàn)場資料、檔 案整理存檔。 機(jī)房工作人員應(yīng)及時(shí)做好操作系統(tǒng)的補(bǔ)丁修正工作。發(fā)生重大問題或不預(yù)期的異常情況時(shí)，應(yīng)及時(shí)向本部門領(lǐng)導(dǎo)和 IT部 領(lǐng)導(dǎo)匯報(bào)。所有操作變更必須有存檔記錄。 機(jī)房工作人員應(yīng)對(duì)機(jī)房設(shè)備建立日常管理臺(tái)帳，認(rèn)真、如實(shí)、詳細(xì)填寫《機(jī)房設(shè)備運(yùn)行情況日常檢查登記表》等各種登記簿，以備后查。 操作及運(yùn)行管理 機(jī)房工作人員應(yīng)遵守值班制度，不得擅自脫崗。 機(jī)房設(shè)備的資料包括說明書、驅(qū)動(dòng)程序、保修卡及重要隨機(jī)文件等應(yīng)統(tǒng)一管理。 機(jī)房工作人員應(yīng)恪守保密制度，不得擅自泄露各種信息資料與數(shù)據(jù)。 嚴(yán)禁在機(jī)房內(nèi)從事與工作無關(guān)的活動(dòng)。非機(jī)房工作人員進(jìn)入機(jī)房應(yīng)有機(jī)房工作人員全程陪同，不允許非機(jī)房工作人員單獨(dú)在機(jī)房逗留。非在本名單中的人員一律視為非機(jī)房工作人員。 機(jī)房管理部門應(yīng)于每月底將機(jī)房監(jiān)控資料刻錄成光盤進(jìn)行保存，以備查詢。 進(jìn)入機(jī)房人員應(yīng)遵守機(jī)房管理規(guī)定，填寫《 進(jìn)出機(jī)房人員登記臺(tái)帳》，更換專用工作鞋（或鞋套），不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品。禁止將機(jī)房內(nèi)的電源引出挪做他用，確保機(jī)房安全。應(yīng)指定專人對(duì)機(jī)房進(jìn)行管理和維護(hù) (包括溫度、濕度、電力系統(tǒng)、機(jī)房設(shè)備等 )，機(jī)房溫濕度應(yīng)確保滿足設(shè)備的使用要求。 4．管理要求 一般管理 公司機(jī)房的管理應(yīng)參照國家《計(jì)算機(jī)場地安全要求》和《計(jì)算機(jī)場地技術(shù)條件》等標(biāo)準(zhǔn)，并結(jié)合公司機(jī)房設(shè)備的具體要求進(jìn)行實(shí)施。 機(jī)房管理部門負(fù)責(zé)機(jī)房的日常管理工作。 各二級(jí)公司應(yīng)參照本規(guī)定制訂相應(yīng)的管理制度，組織管理好其內(nèi)部機(jī)房。 機(jī)房管理一般規(guī)定（試行） 1．總則 為了安全有效地管理公司機(jī)房，保障公司計(jì)算機(jī)信息系統(tǒng)的安全應(yīng)用和高效運(yùn)行，特制定本規(guī)定。 5．附則 本規(guī)定自 2020年 05月 01日起試行。 “ IT 管理評(píng)審報(bào)告”的內(nèi)容至 少應(yīng)包括： 1）評(píng)審的目的； 2）評(píng)審內(nèi)容； 3）評(píng)審日期及參加人員； 4）評(píng)審活動(dòng)的評(píng)價(jià)與結(jié)論； 5）采取相關(guān)的糾正和預(yù)防措施的要求； 6）評(píng)審報(bào)告的發(fā)放范圍等。 管理評(píng)審的輸出 IT 內(nèi)控體系及其過程有效性的改進(jìn)信息。 以會(huì)議形式對(duì)評(píng)審輸入中的各項(xiàng)內(nèi)容進(jìn)行評(píng)審。 各相關(guān)部門準(zhǔn)備與本部門有關(guān)的評(píng)審資料。 管理評(píng)審的輸入 1）內(nèi)部審核的結(jié)果； 2） IT 目標(biāo)的執(zhí)行情況及總體有效性； 3）改進(jìn)的建議； 4）有關(guān)部門反饋的信息； 5）連續(xù)出現(xiàn)的重大事故報(bào)告； 6）糾正和預(yù)防措施的實(shí)施情況及效果； 7）可能影響 IT體系的變動(dòng)； 8） IT 相關(guān)各部門的工作業(yè)績和服務(wù)的質(zhì)量現(xiàn)狀； 9）上次 IT 管理評(píng)審的改進(jìn)措施等。 當(dāng)連續(xù)出現(xiàn) IT 方面重大事故或顧客投訴時(shí)以及公司領(lǐng)導(dǎo)層認(rèn)為需要時(shí)，可增加 管理評(píng)審的頻次。 IT管理評(píng)審 管理評(píng)審計(jì)劃 IT部 領(lǐng)導(dǎo)負(fù)責(zé)主持 IT 管理評(píng)審并組織編制管理評(píng)審計(jì)劃，內(nèi)容包括：評(píng)審目的、評(píng)審內(nèi)容、被評(píng)審部門及參加人員、管理評(píng)審的時(shí)間和評(píng)審計(jì)劃的發(fā)放范圍等。 內(nèi)審結(jié)果匯總分析 內(nèi)審組長負(fù)責(zé)將 IT 內(nèi)審結(jié)果歸納總結(jié)并予以分析，形成體系運(yùn)行報(bào)告，作為管理評(píng)審的輸入。 糾正的實(shí)施與跟蹤驗(yàn)證 責(zé)任部門應(yīng)根據(jù)不合格項(xiàng)報(bào)告，認(rèn)真分析產(chǎn)生問題的原因，并針對(duì)原因制定和實(shí)施糾正措施。 編寫審核報(bào)告 內(nèi)審組長負(fù)責(zé)編寫《 IT 內(nèi)審報(bào)告》，經(jīng) IT 部 領(lǐng)導(dǎo)批準(zhǔn)后發(fā)放到有關(guān)部門。 末次會(huì)議 由內(nèi)審組長主持，受審核部門負(fù)責(zé)人和審核組成員參加。不合格報(bào)告單的內(nèi)容包括：審核員、審核時(shí)間、受審核部門及負(fù)責(zé)人、不合格事實(shí)描述、不合格類型、不符合條款等。按不合格性質(zhì)分為：體系性不合格、 實(shí)施性不合格、效果性不合格；按嚴(yán)重程度分為：輕微不合格和嚴(yán)重不合格。 通過交談、詢問、文件查閱、現(xiàn)場檢查 (即問、聽、看、查 )等方法收集客觀證據(jù)并記錄，應(yīng)使用正確的工作方法和審核技巧。 會(huì)議內(nèi)容包括：明確審核的目的與范圍、依據(jù)、要求和方法，介紹審核計(jì)劃，解決計(jì)劃中不明確的細(xì)節(jié)，建立聯(lián)系渠道，落實(shí)具體安排，確定末次會(huì)議時(shí)間等；首次會(huì)議要簽到。 內(nèi)審員應(yīng)根據(jù)任務(wù)分工編寫《 IT內(nèi)審檢查表》。 制訂《 IT 內(nèi)部審核實(shí)施計(jì)劃》 內(nèi)審組長負(fù)責(zé)制訂審核實(shí)施計(jì)劃，內(nèi)容包括：審核目的、范圍、依據(jù)；審核的日程安排；內(nèi)審小組的組成和分工；受審核部門相關(guān)的過程、活動(dòng)及對(duì)應(yīng)的管理制度條款和體系要求；其他需明確的事項(xiàng)和要求等。 在下列情況下，可追加審核或增加審核頻次： 1） IT 系統(tǒng)有關(guān)的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)、人員、產(chǎn)品與服務(wù)等發(fā)生重大變化時(shí)； 2） IT 系統(tǒng)發(fā)生了嚴(yán)重的質(zhì)量問題或因質(zhì)量問題引起顧客重大投訴時(shí)。 “年度 IT 內(nèi)部審核計(jì)劃”要保證全年完成涉及 IT 體系中的全部要素和全部活動(dòng)以及所有場所與部門。 受審核部門負(fù)責(zé)協(xié)助并積極配合內(nèi)審工作。 內(nèi)審組長負(fù)責(zé)具體組織實(shí)施內(nèi)審工作。 IT 部領(lǐng)導(dǎo)負(fù)責(zé)組織管理評(píng)審，并主持管理評(píng)審會(huì)議。 2．相關(guān)部門 IT 部 、與 IT 業(yè)務(wù)相關(guān)的各部門。 本規(guī)定由 IT 部負(fù)責(zé)解釋 IT 內(nèi)控體系內(nèi)部審核與管理評(píng)審程序規(guī)定（試行 ) 1．目的和范圍 為加強(qiáng)公司 IT 系統(tǒng)的內(nèi)部控制與管理，有效監(jiān)控 IT 相關(guān)的管理制度、辦法、規(guī)定、標(biāo)準(zhǔn)、技術(shù)規(guī)范等的執(zhí)行情況，實(shí)現(xiàn) IT 內(nèi)部控制的合規(guī)性，保證 IT 內(nèi)控管理體系的適宜性和持續(xù)有效， 營造穩(wěn)定、健康、有序的 IT管理環(huán)境，特制定本規(guī)定。 7．附則 本規(guī)定所指公司層面信息系統(tǒng)是指在公司層面運(yùn)行的各類應(yīng)用系統(tǒng)（含自主開發(fā)的應(yīng)用軟件和所購置的商品軟件等）所涉及的軟硬件環(huán)境，包括硬件系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件三部分。 系統(tǒng)正常使用后如涉密信息密級(jí)提高需更改系統(tǒng)級(jí)別的，應(yīng)按新級(jí)別重新評(píng)估并配置保密設(shè)施，按上述程序履行必要的審批手續(xù)。 其它要求 審批未經(jīng)通過的涉密信息系統(tǒng)不得運(yùn)行。 涉密計(jì)算機(jī)設(shè)備的維修應(yīng)確保密級(jí)數(shù)據(jù)不被泄露。 涉密信息的存儲(chǔ)、傳輸要采用加密措施，并應(yīng)符合下列要求： 1）絕密級(jí)信息應(yīng)當(dāng)加密存儲(chǔ)、加密傳輸； 2）秘密級(jí)、機(jī)密級(jí)和絕密級(jí)信 息系統(tǒng)運(yùn)行時(shí)，若通過電信公用網(wǎng)線（電）路傳輸信息，應(yīng)采用 SSL協(xié)議加密或通過專線進(jìn)行傳輸； 3）電子郵件系統(tǒng)必須通過安全的 HTTPS連接進(jìn)行訪問?？诹畹氖褂煤凸芾響?yīng)符合《操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)帳號(hào)及口令管理規(guī)定》的要求。 管理控制 涉密信息系統(tǒng)應(yīng)設(shè)置系統(tǒng)安全保密員，保密員職責(zé)見本規(guī)定第 。 初步考察測試通過后， IT 部于 20日內(nèi)組織由有關(guān)專家、技術(shù)人員和有關(guān)職能部門組成的“涉密信息系統(tǒng)保密工作檢查評(píng)審組”對(duì)系統(tǒng)的安全保密情況進(jìn)行評(píng)估論證，填寫《涉密信息系統(tǒng)現(xiàn)場考察表》，必要時(shí)由 IT 部 上報(bào)公司有關(guān)領(lǐng)導(dǎo)。 IT 部 接到《涉密信息系統(tǒng)使用申報(bào)表》后，應(yīng)于 10日內(nèi)組織進(jìn)行現(xiàn)場初步考察與測試。 信息系統(tǒng)分級(jí)的審批 信息系統(tǒng)的管理部門將分級(jí)申請(qǐng)?zhí)峤粏挝环止茴I(lǐng)導(dǎo)簽署意見后，送 IT 部 審批， IT 部組織有關(guān)人員進(jìn)行分析，確認(rèn)信息系統(tǒng)的級(jí)別后，將申請(qǐng)返還該信息 系統(tǒng)的管理部門，由其根據(jù)此級(jí)別進(jìn)行系統(tǒng)的安全保密設(shè)計(jì)。 首先根據(jù) ，所有數(shù)據(jù)信息分級(jí)完成后再根據(jù) 的原則確定信息系統(tǒng)的級(jí)別，編寫書面分級(jí)申請(qǐng)，提交單位分管領(lǐng)導(dǎo)審批。同時(shí)存在兩種以上密級(jí)