【正文】 2）絕密級系統(tǒng)，訪問必須控制到單個用戶。 涉密信息系統(tǒng)要建立審計跟蹤、日志管理等監(jiān)督機制，并應符合以下要求： 1）應當有詳細的系統(tǒng)日志，記錄每個用戶的每次活動以及系統(tǒng)出錯和配置修改等信息； 2）機密及秘密級信息系統(tǒng)，系統(tǒng)安全保密員應當定期審查系統(tǒng)日志并作審查記錄，審查周期不得長于 30日； 3）絕密級系統(tǒng)，系統(tǒng)安全保密員應當定期審查系統(tǒng)日志并作審查記錄，審查周期不得長于7日。對報廢計算機應將硬盤拆除后，由專人負責集中銷毀；對廢棄的打印紙及磁介質等，應按國家有關規(guī)定進行銷毀。相關單位應對系統(tǒng)存在的漏洞和問題采取補救和改進措施，系統(tǒng)改進后再履行審批手續(xù)。 涉密信息系統(tǒng)正常使用后由 IT 部 視情況不定期進行系統(tǒng)保密性能檢查，發(fā)現問題 及時糾正。 本規(guī)定自 2020 年 50月 1日起試行。 本規(guī)定適用于公司范圍內與 IT 相關的內部審核與管理評審，主要針對公司層面 IT 系統(tǒng)有關的業(yè)務與管理。 3．職責與權限 IT 部 負責組織根據本規(guī)定對 IT 相關規(guī)章制度及其執(zhí)行情況及 IT 項目的建設情況進行監(jiān)督、監(jiān)控、審核與評價。 其他管理人員，包括相關部門 IT 系統(tǒng)負責人參加管理評審，并按職責范圍提供內控體系運行情況的信息和資料，形成書面材料向 管理評審會議匯報。 內審員負責協助內審組長完成內審工作。 4．管理內容與流程 IT 內部審核 年度審核計劃編制 每年第一季度， IT 部組織人員完成《年度 IT 內部審核計劃》的編制，并提交 IT 部領導批準?！澳甓?IT 內部審核計劃”的內容應包括： 1）審核的要素； 2）受審核的部門； 3）審核的時間安排； 4）編制、審核、批準人簽字等。 審核的策劃和準備 指定內審組長并組成內審組 1）每次審核前由 IT 部 領導指定內審組長和內審員，組成內審組； 2）內審組成員在業(yè)務水平和管理經驗等資格方面應符合內審要求，應經過相應的培訓，熟悉 IT 內控體系文件， 辦事公道，并得到被審核部門的認可； 3）只要人力資源允許，內審組成員應與被審核的部門無直接責任，獨立于被審核工作。 內審組應提前三個工作日將計劃發(fā)放到有關部門，以便確認計劃安排。 審核實施 首次會議 首次會議由內審組長主持，受審核部門負責人和審核組成員參加。 現場審核 內審員按審核計劃和檢查表實施審核。 確定不合格項 內審組評審檢查結果，確定不合格項。 開具《 IT 內審不合格報告》及《 IT內審不合格報告執(zhí)行情況一覽表》 確定不合格項后，內審員填寫不合格報告單。不合格事實描述要具體，并經受審核方確認。 會議內容包括：重申審核目的、范圍和依據，說明審核過程，宣讀不合格報告，評價審核結果、提出糾正 措施要求等；末次會議要簽到。審核報告的內容應包括： 1）審核目的、范圍和依據； 2）審核計劃完成情況及不合格項的匯總分析； 3）體系運行結果的評價； 4）審核結論； 5）審核報告的分發(fā)范圍等。 內審組負責糾正措施的跟蹤與驗證，必要時進行現場確認。 報告內容包括：審核計劃完成情況，不合格項匯總分析、糾正措施的跟蹤驗證情況及對體系評價、薄弱環(huán)節(jié)分析和體系改進建議等。 管理評審每年至少進行一次，一般安排在內部審核后進行。 管理評審參加的人員 1） IT 部領導； 2）各相關部門負責人及二級公司分管 IT業(yè)務的領導； 3）內審員； 4）必要時可請公司分管領導參加。 評審準備 IT 部 應提前三個工作日通知所有參加管理評審的人員。 管理評審的實施 管理評審會議由 IT部 領導主持。 分析 IT 體系的適宜性、充分性和有效性，做出是否需要改進和完善的決議。 編寫《 IT 管理評審報告》 IT 部安排人員負責編寫“ IT 管理評審報告”，經 IT 部領導批準后，發(fā)送各有關部門，相關記錄做好保存。 糾正和預防措施 各責任部門按 IT 管理評審提出的改進要求進行改進， IT 部負責對其執(zhí)行情況及效果進行跟蹤檢查和驗證。 本規(guī)定由 IT 部負責解釋。 2．適用范圍 本規(guī)定適用于公司機房的管理。 3．職責 IT 部負責本規(guī)定的制訂和修訂，并負責對本規(guī)定的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導工作。 機房工作人員負責對機房設備進行操作、管理和日常維護保養(yǎng)。 機房應保持清潔衛(wèi)生，定期進行清理，對機器設備應吸塵清潔。 機房內嚴禁放置易燃、易爆、腐蝕、強磁性物品，應保證機房防靜電、防火、防潮、防塵、防熱。 機房管理部門應經常對機房內設置的消防器材、監(jiān)控設備等進行檢查，確保其有效性，并嚴格按照設備規(guī)定的保養(yǎng)要求對機房設備進行日常保養(yǎng)。 機房工作人員應做好安全工作，定時巡視并監(jiān)控機房設備運行狀況，發(fā)現異常情況應立即按照預案規(guī)程進行操作，并及時上報和詳細記錄。 機房設備所屬管理部門應填寫《機房工作人員申請表》，報本部門領導及 IT 部 領導審批后列入機房工作人員名單。嚴禁非機 房工作人員進入機房，特殊情況（包括參觀人員進入）需填寫《非機房工作人員進入機房審批表》報本部門領導、 IT 部 領導及機房管理部門分管領導批準后，由機房管理部門安排進入。 各類人員在攜帶設備進 /出機房時，應填寫《設備進 /出機房審批表》，報本部門領導、IT 部 領導及機房管理部門分管領導批準后，由機房管理部門安排進 /出。對違規(guī)人員，機房工作人員應及時制止，并有權勒令其退出機 房。在使用過程中應注意信息保密，人員離開機房時必須退出所屬帳戶。 機房設備的報廢須先進行申請，經公司相關職能部門進行鑒定并確認不符合使用要求后方可按報廢程序處理。 機房工作人員應嚴格遵守機房設備操作規(guī)程，確保人身和設備的安全。 機房設備應指定專人嚴格按照規(guī)定操作，嚴禁隨意開關；對需要變更操作流程等特殊情況應事先進行詳細安排并書面報經設備所屬管理部門領導、 IT 部 領導及機房管理部門分管領導批準簽字后方可執(zhí)行。 機房工作人員在未發(fā)生故障或故障隱患時不可對中繼、光纖、網線及各種網絡、系統(tǒng)設備進行任何調試操作；若有故障，應及時安排處理，并詳細登記所發(fā)生的故障 、處理過程和結果等信息，填寫《機房設備故障處理記錄表》。 放置在機房內的各類設備，不得擅自挪動，不得自行配置或更換，更不能挪作它用。 未經設備所屬管理部門領導批準，任何人不得在該設備上編寫、修改、更換軟件系統(tǒng)及更改設備參數配置。有關審批表格參見《硬件設備部件更換審批表》和《軟件系統(tǒng)維護、增刪、配置更改審批表》。 本規(guī)定由 IT 部負責解釋。 2．適用范圍 本規(guī)定適用于公司城域網（骨干網）、局域網的建設及運行管理，各二級公司應參照本規(guī)定制訂各自的局域網管理制度。 各二級公司負責按規(guī)定使用公司城域網資源并進行安全管理，負責本公司局域網的建設。 公司城域網的關鍵服務器和重要網絡設施等實行集中管理與維護。 公司城域網公共網絡資源由 IT部 統(tǒng)一分配并規(guī)定其使用權限和 范圍。 各單位局域網建設完成后，應對網絡規(guī)劃、設計及實施等相關文檔進行整理，并納入公司信息系統(tǒng)文檔由 IT部 統(tǒng)一歸檔。 未經 IT 部 批準，所有接入公司城域網的單位不得擅自通 過衛(wèi)星、專線及撥號等其它方式接入國際互聯網。 未經 IT 部 同意，任何單位不得增加接入設備和允許其它單位接入，否則 IT 部 有權停止其單位的網絡使用并視具體情況采取相應處罰措施。 接入公司城域網的單位和用戶必須配合 IT 部 的工作，以保障整個城 域網的安全和正常運行。 保密管理 公司城域網的安全與保密應嚴格執(zhí)行國家的法律、法規(guī)和公司的相關規(guī)定。用戶帳號及密碼不得轉借、轉讓，同時建立使用責任制，因密碼管理使用不當造成不良后果的，要追究密碼使用者 責任。 所有網上用戶在信息采集、數據錄入、文件制作與編輯、產品設計、工程設計、程序設計、信息瀏覽與查詢、信息打印輸出、拷貝、轉儲、公用電子郵件的發(fā)送與接收等操作過程中，要遵守公司有關保密管理的規(guī)章制度，并做好與個人 有關的系統(tǒng)軟件、應用軟件、運行支持軟件的安全保密，確保用戶帳號和密碼不丟失、不泄密。 禁項 在公司城域網上： 1）禁止進行違反有關知識產權和法律法規(guī)的應用和開發(fā)； 2）禁止任何干擾網絡運行和危害網絡安全的行為； 3）禁止任何刪除、竄改或破壞網絡信息、服務、設備及他人程序的活動； 4）禁止發(fā)布虛假信息、有意隱瞞真實身份或盜用他人身份； 5）禁止編寫、使用、傳播違反國家法律、法規(guī)和公司規(guī)定的信息和破壞或影響系統(tǒng)及網絡運行的程序。 IT 部 會同公司保密委員會有權對網絡用戶在網上的活動進行定期 /不定期檢查。 6．附則 本規(guī)定自 年 月 日起試行。 IT 系統(tǒng)相關人員職責劃分管理規(guī)定（試行） 1．總則 為了建立本公司 IT 系統(tǒng)適當合理的職責分離制度，防止相關人員職責存在沖突，確保計算機應用軟件系統(tǒng) (以下簡稱應用系統(tǒng) )數據的準確性和安全性，特制訂本規(guī)定。 各二級公司自主開發(fā)的內部應用系統(tǒng)及本單位所購僅限內部使用的商品軟件所涉及的相關人員的職責劃分，由各相關單位參照本規(guī)定實施管理。 具體承擔開發(fā)和維護公司層面某個應用系統(tǒng)的單位，應按照本規(guī)定對本單位所負責的應用系統(tǒng)所涉及的相關人員進行職責劃分并實施具體管理。 應用系統(tǒng)的操作使用人員不得從事代碼編寫，不得接觸網絡設備、服務器、數據庫及應用系統(tǒng)的源代碼。 人員分類 結合本公司 IT 系統(tǒng)的實際情況及 ，將本公司 IT 相關人員做如下分類： 1）應用系統(tǒng)使用人員 2）應用系統(tǒng)開發(fā)人員 3）應用系統(tǒng)維護人員 4）應用系統(tǒng)測試人員 5）數據庫管理人員 6）系統(tǒng)管理人員 7）應用系統(tǒng)管理員 職責與權限 應用系統(tǒng)使用人員 1）為保證業(yè)務系統(tǒng)的正常運轉，使用人員必須經過系統(tǒng)學習。 應用系統(tǒng)開發(fā)人員 1）了解用戶需求，進行項目可行性分析和需求分析； 2）參加項 目評審，并對不同方案進行選擇； 3）負責制定項目計劃，跟蹤項目執(zhí)行情況，并進行控制； 4）負責進行系統(tǒng)概要設計和詳細設計等； 5）負責按照項目的要求和分工進行編碼； 6）負責集成應用系統(tǒng)，并進行安全控制； 7）負責編寫應用系統(tǒng)的各類文檔； 8）參與應用系統(tǒng)驗收。 應用系統(tǒng)測試人員 1）負責編寫合理的測試計劃， 并與項目整體計劃有機整合； 2）負責編寫覆蓋率高的測試用例； 3）負責應用系統(tǒng)的具體測試，分析產品需求，建立測試環(huán)境，保證系統(tǒng)測試工作順利進行； 4）負責編寫測試報告。 系統(tǒng)管理人員 系統(tǒng)管理人員包括網絡管理人員、服務器操作系統(tǒng)管理人員和終端用戶管理人員。 服務器操作系 統(tǒng)管理人員 1）負責安裝和配置服務器操作系統(tǒng)及其它有關軟件； 2）負責監(jiān)控并優(yōu)化服務器系統(tǒng)資源的使用； 3）負責計劃和實施服務器系統(tǒng)備份及恢復方案； 4）負責服務器操作系統(tǒng)及程序的升級； 5）負責服務器系統(tǒng)用戶和安全管理； 6）負責為服務器操作系統(tǒng)打已知的補丁； 7）負責或協助供應商進行服務器硬件管理和故障診斷。 應用系統(tǒng)管理員 負責建立應用系 統(tǒng)用戶，分配用戶使用權限（應用系統(tǒng)應提供該項功能。 審批與備案 公司層面 IT 系統(tǒng)的相關人員的職責劃分，由各具體負責開發(fā)和維護的部門提出相關系統(tǒng)的職責分配方案，填寫“應用系統(tǒng)職責分配表”，經所在單位負責人簽署意見后，報公司 IT 部 領導批準后實施。 各類應用系統(tǒng)在應用過程中所發(fā)生的 IT 相關的開發(fā)和維護人員和 /或職責的任何變更，均應按本規(guī)范履行相應審批和備案程序。 本規(guī)定自 年 月 日起試行。 IT 系統(tǒng)運營保障管理辦法（試行） 1．總則 為提高公司信息技術服務質量，保證維護服務及時響應并達到要求，確保業(yè)務流程正常運行，特制訂本辦法。 各二級公司應針對本公司內部的 IT 系統(tǒng)參照本辦法制訂相應的管理制度，并進行實施和管理。 具體承擔維護公司層面某個應用系統(tǒng)的單位，應按照本辦法對本單位所負責的應用系統(tǒng)實施管理。 各二級公司負責各自局域網和終端用戶的管理。 應用系統(tǒng)管理員負責應用系統(tǒng)用戶及權限的分配。 網絡管理人員和服務器操作系統(tǒng)管理人員負責提供網絡及服務器服務。 應用系統(tǒng)維護部門的負責人負責應用系統(tǒng)維護過程中的人員 協調工作。 IT 系統(tǒng)運營維護的前提 1）應用系統(tǒng)在進入服務之前，應保證按照《應用系統(tǒng)開發(fā)管理辦法》和《應用系統(tǒng)上線管理辦法》的規(guī)定，完成任務書的要求并成功實施； 2）網絡、服務器等已部署完畢。 自主開發(fā)的應用系統(tǒng) 1）為用戶提供應用系統(tǒng)的幫助文件或操作手冊； 2）開立或撤銷應用系統(tǒng)帳號，更改用戶權限； 3）對應用系統(tǒng)進行正確和優(yōu)化的配置，保證系統(tǒng)正常運行； 4）對應用系統(tǒng)本身的故障（ BUG），應提供及時的修正； 5）解答用戶在使用過程中遇到的問題； 6）根據業(yè)務需要，提供程序更改及通過審批的數據維護服務； 7）當相關的應用系統(tǒng)提出接口需求時，應用系統(tǒng)維護部門應予以支