2023年内部控制制度信息系统一般控制大全.docx

内部控制制度信息系统一般控制大全 信息管理内部控制制度 第一节总那么 第一条为了加强公司信息管理的内部控制，保证信息数据的准确性和平安性，结合本公司的具体情况制定本制度。第二条本制度所称信息是指本公司通过信息化系统所产生的信息数据数据。 第三条本制度制定的目的是为防止公司信息系统被非授权地访问、使用、泄露、分解、修改和毁坏，从而保证信息的保密性、完整性、可用性、可追责性，保障信息系统能正确实施、平安运行。 第四条信息管理工作必须在加强宏观控制和微观执行的根底上，严格执行保密纪律，以提高企业效益和管理效率，效劳于企业总体的经营管理为宗旨。 第二节分工及授权 第五条对操作人员授权，主要是对存取权限进行控制。设多级平安保密措施，系统密匙的源代码和目的代码，应置于严格保密之下，从信息系统处理方面对信息提供保护，通过用户密码口令的检查，来识别操作者的权限；利用权限控制用户限制该用户不应了解的数据。操作权限的分配，以到达相互控制的目的，明确各自的责任。 第六条本公司信息系统针对不同部门、不同人员、不同分工进行授权。不同人员的对同一数据的权限不同。根据实际情况，人员对数据又分为管理权限、操作权限、查看权限等。对人员新增授权需经授权人员所在部门主管审批前方可对其授权。 第七条为了保证信息数据完整性、可追溯性，信息系统所有用户对信息数据没有删除权限，只有作废权限。第八条信息部门需要加强信息监督管理，发现违规信息及时清理或截图上报。第三节控制措施 第九条建立严格的信息流程，不同节点的操作人员不同。不得有一个人具有一个流程的全部操作权限。第十条对数据库进行严密的加密算法，保证数据的保密性；对数据库进行异地备份，保证数据的平安性。确实需要查询以前数据或对以前发生的数据进行存取的，由需求部门以书面的形式提出，经有权机构或人员批准后，由办公室与有关部门相结合，对相关人员暂时授权，对历史数据进行处理。处理完成后，对其权限及时收回。 第四节 监督检查 第十一条 信息管理由公司各部门行使监督检查权。 第十二条 信息管理监督检查内容主要包括： （一）审查各个机构是否设置了符合管理需求的岗位，职责分工是否明确，不相容职务是否别离。 （二）审查操作人员的权限分配是否合理，有无超越权限范围，不相容职务是否别离。 （三）审查信息系统开发和修改是否符合公司的相关规定，记录是否真实、完整、清晰。 （四）审查针对应用系统访问设立的各项受控措施是否符合公司的相关规定，是否有效阻止非法使用者侵入系统。 （五）审查担负不同职责的合法使用者具体实施的数据控制是否符合公司的相关规定，不相容职务相互别离。 （六）审查软件的使用、保管、维护是否符合公司的相关规定。 （七）审查设备管理、环境管理、数据资料备份事项是否符合国家、行业管理的强制性规定及公司的相关规定，以保证信息资料的平安、完整性。 （八）审查信息管理运行日志记录是否符合公司的相关规定，是否及时、完整、连续，以保证系统稳定运行及数据平安。 第十三条检查人员对监督检查过程中发现的薄弱环节，应要求被检查单位纠正和完善；发现重大问题应写出书面检查报告，向有关领导和部门汇报，以便及时采取措施，加以纠正和完善。 第十四条 本制度自公布之日起生效，由信息部负责解释。 第4页 共4页