信息安全管理程序
1 目的
为了引导企业充分利用计算机及信息系统规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制规范》，制定本规范。
2 范围
适用公司所有职能部门。
3 职责
3.1 信息中心：负责公司网络及计算机信息安全的管理与维护。
3.2 各部门：负责配合信息中心对计算机信息安全进行管理。
4 定义：
计算机信息系统：是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称,计算机包括个人电脑、服务器及防火墙等硬件设备。
5 工作程序
流程
要求
使用表单
相关部门
岗位分工与授权审批
信息系统及信息安全岗位包括：
网络及计算机管理：负责公司的网络安装及维护、计算机硬件维护及软件维护，应当注意对邮件及其他重要信息数据的保护。
系统分析：系统分析员与相关业务部门分析需开发的信息系统需求，并得到业务部门负责人确认。
开发及维护：软件工程师负责开发得到确认的业务系统或对外包开发的信息系统进行维护，同时负责相关报表的开发。
数据库管理：维护组织数据资源的安全性及完整性，对数据库做好日备份及转移。
信息系统库管理：在单独的信息系统库中存储暂时不用的程序和文件，并保留所有版本的数据和程序
信息系统管理：负责管理邮件系统、ERP系统、内网系统等信息系统的后台配置及管理
数据控制：确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反馈到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户。
终端：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果。
系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）审批、开发、系统上线、监控。
系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。
企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会审批通过后，方可实施。
信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。
信息中心对计算机及信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。
财务部负责信息系统中各项业务账务处理的准确性和及时性；财务电算化制度的制定；计划价格的确定和修改；财务操作规定等。
生产、销售、仓储及其他部门（下称用户部门）应当根据本部门在信息系统中的职能定位，参与信息系统建设和管理，按照信息中心制定的管理标准、规范、规章来操作、管理和运用信息系统。
信息系统开发、变更与维护控制
计算机信息系统开发包括自行设计、外购调试和外包合作开发。企业在开发信息系统时，充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保企业业务活动的真实性、合法性和效益性。
信息系统开发必须经过正式授权，企业应当进行详细备案。具体程序包括:用户部门提出需求；归口管理部门审核；企业负责人授权批准；系统分析人员设计方案；程序员编写代码或外包等。
对于外包合作开发的项目，企业应当加强对外包第三方的监控。
外购调试或外包合作开发等需要进行招投标的信息系统开发项目，企业应当成立招投标小组，并保证招投标小组的独立性。
在新系统上线前需要制定详细的信息系统上线计划。对涉及新旧系统切换之情形，企业应当在上线计划中明确系统回退计划，保证新系统一旦失效，能够顺利回退到原来的系统状态。
新旧系统切换时，如涉及数据迁移，企业应当制定详细的数据迁移计划。
用户部门应当积极参与数据迁移过程，对数据迁移结果进行测试，并签署测试报告。
信息系统在投入使用前应当至少完成整体测试和用户验收测试，以确保系统的正常运转。数据控制小组应当用测试数据来证明程序工作正常并确认就绪，开发完成后交操作人员并由信息系统库管理员备份留存。
信息系统原设计功能未能正常实现时，相关操作人员负责详细记录，并及时报告信息中心，由其