證券有限責任公司信息技術(shù)部內(nèi)部控制制度模版

1、證券有限責任公司信息技術(shù)部內(nèi)部控制制度第一章 總則第一條 本制度的制訂目的在于確保全公司的計算機工作管理工作制度化、規(guī)范化，防止技術(shù)事故發(fā)生，保障業(yè)務(wù)系統(tǒng)的安全、高效運行。第二條 公司信息系統(tǒng)管理工作實行集中統(tǒng)一管理原則。集中統(tǒng)一管理系指在公司系統(tǒng)內(nèi)以統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一應(yīng)用、統(tǒng)一實施、統(tǒng)一采購的方式分步實施推廣計算應(yīng)用技術(shù)，并對計算機技術(shù)應(yīng)用進行日常運營管理。 第二章 組織結(jié)構(gòu)第三條 公司技術(shù)管理工作實行統(tǒng)一歸口管理。公司設(shè)立信息技術(shù)部負責整個公司的技術(shù)管理工作，營業(yè)部相應(yīng)設(shè)立計算機工作管理部門（以下簡稱電腦部）負責營業(yè)部的技術(shù)管理工作。第四條 信息技術(shù)部是公司信息系統(tǒng)規(guī)劃、建設(shè)、管理的

2、主管部門。內(nèi)部應(yīng)建立職責明確、相互制約的分工體系，應(yīng)對重要崗位實行雙人雙崗，包括網(wǎng)絡(luò)管理、系統(tǒng)管理、應(yīng)用管理，另外還需設(shè)置安全管理員、安全審計員。技術(shù)部的主要職能是：（一） 負責公司信息系統(tǒng)建設(shè)的總體規(guī)劃并組織實施；（二） 負責公司信息系統(tǒng)安全管理；（三） 及時處理證券交易所及有關(guān)主管部門下發(fā)的涉及信息系統(tǒng)運行的數(shù)據(jù)、文件和各類通知；（四） 負責營業(yè)部電腦負責人的技術(shù)資格審查；（五） 指導和監(jiān)督下屬營業(yè)部電腦部工作，定期或不定期的專項檢查；（六） 負責計算機硬件、軟件、服務(wù)的采購；（七） 負責計算機軟件的開發(fā)；（八） 審核計算機硬件設(shè)備報損、報廢；（九） 負責交易業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份與

3、管理；（十） 公司授權(quán)的其他工作。第五條 電腦部負責本營業(yè)部信息系統(tǒng)日常的運行、管理與維護。電腦部在技術(shù)上接受技術(shù)部的指導和監(jiān)督。電腦部的主要職能如下：（一） 強化安全意識，自覺遵守信息技術(shù)部下發(fā)的各項制度和規(guī)范；（二） 負責本營業(yè)部計算機系統(tǒng)的建設(shè)、運營維護工作，配合技術(shù)部完成系統(tǒng)上線工作；（三） 負責本營業(yè)部計算機系統(tǒng)的安全管理工作；（四） 負責本營業(yè)部計算機信息系統(tǒng)各類技術(shù)文檔的收集、整理、分類、歸檔、備份和保存工作；（五） 負責對本營業(yè)部業(yè)務(wù)人員進行計算機操作指導和計算機應(yīng)用技能培訓。第六條 信息技術(shù)部、電腦部應(yīng)根據(jù)各自的職責建立明確的崗位責任制，確保不相容職務(wù)有效分離、相互制衡。第三

4、章 人員管理第七條 技術(shù)任職人員，必須符合以下標準：（一） 滿足監(jiān)管要求的it專業(yè)教育經(jīng)歷；（二） 具備證券行業(yè)從業(yè)人員資格證書（對新畢業(yè)或從其他行業(yè)應(yīng)聘過來的，需根據(jù)公司人力資源部門要求，在限定期限內(nèi)獲得從業(yè)資格證書）（三） 良好的道德品質(zhì)，無不良社會行為記錄。（四） 優(yōu)秀的團隊精神；（五） 能夠積極學習業(yè)務(wù)和專業(yè)知識。第八條 技術(shù)人員必須嚴格實行公司對人員試用期的管理。在試用期表現(xiàn)特別優(yōu)秀者，可報請公司人力資源部及公司領(lǐng)導后方可提前轉(zhuǎn)正，但最短不能低于一個月。第九條 營業(yè)部電腦部經(jīng)理由營業(yè)部提名，信息技術(shù)部負責資格審查，營業(yè)部其他電腦人員的聘用需報公司信息技術(shù)部審核，信息技術(shù)部具有否決權(quán)。

5、第十條 其具體管理辦法按公司人力資源部相應(yīng)管理辦法執(zhí)行。第十一條 技術(shù)人員的年度考核工作在公司統(tǒng)一的考核體系下，增加專業(yè)技能考核指標。第十二條 營業(yè)部電腦部經(jīng)理的兩天以上（含兩天）的公出需報公司技術(shù)部備案；營業(yè)部電腦部經(jīng)理休假需報公司技術(shù)部核準。第十三條 營業(yè)部電腦部經(jīng)理調(diào)離工作崗位或離職，必須報公司信息技術(shù)部核準，并由信息技術(shù)部監(jiān)督下辦理離崗手續(xù)。第十四條 營業(yè)部電腦部其他工作人員調(diào)離或離職，必須報公司信息技術(shù)部備案，并按交接流程履行工作交接義務(wù)。第十五條 技術(shù)人員在調(diào)離崗位或離職時，須嚴格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料、門卡和鑰匙。交接所有系統(tǒng)和設(shè)備的口令，離崗后信

6、息系統(tǒng)的口令必須立即更換。使用的計算機系統(tǒng)的用戶號要注銷，自公司批準其離崗后必須與交接任人員共同工作20個工作日以上。第十六條 外來人員必須遵守行政管理部和信息技術(shù)部對公司辦公區(qū)和機房區(qū)域進出管理要求，進行登記和確認，部門員工必須在指定的會客室進行接待。第十七條 部門所有人員必須將工作用機進行密碼鎖屏，方能離開工位，離開工位前應(yīng)檢查桌面是否放置有重要信息資料，離開前應(yīng)將重要信息資料進行歸類存放在資料柜中。第十八條 記載有信息的紙質(zhì)資料過期不用時，應(yīng)將紙張在碎紙機上進行粉碎，防止信息資料被泄漏。第十九條 員工應(yīng)該自覺學習安全知識，必須定期接受安全培訓，信息技術(shù)部定期組織公司信息技術(shù)人員信息安全知

7、識培訓工作。第二十條 第三方人員進入辦公區(qū)域或機房按照xx證券辦公區(qū)域進入管理辦法和信息技術(shù)部中心機房管理辦法的有關(guān)規(guī)定進行約束和管理。第四章 信息系統(tǒng)管理第一節(jié) 系統(tǒng)日常管理第二十一條 負責機房環(huán)境基礎(chǔ)設(shè)施的檢查、例行維護、故障報修、配合外部維護人員進行設(shè)備維護等機房日常工作。第二十二條 負責業(yè)務(wù)系統(tǒng)、輔助業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)的日常維護工作：包括每日的開市前的準備、盤中監(jiān)控、周維護、主機病毒碼升級、收盤作業(yè)、月維護和季度維護工作；第二十三條 負責基礎(chǔ)設(shè)施、硬件、應(yīng)用的監(jiān)控配置、運行情況的監(jiān)控，發(fā)現(xiàn)問題及時匯報。第二十四條 每日進行開市前的各項準備工作，按照信息技術(shù)部日常操作管理辦法進行操作，并

8、進行夜間清算技術(shù)支持和數(shù)據(jù)備份，同時按照數(shù)據(jù)介質(zhì)管理辦法進行數(shù)據(jù)介質(zhì)管理工作。第二十五條 按照中心機房運營管理辦法對中心機房進行管理。第二十六條 按照信息技術(shù)部應(yīng)急操作手冊對事件進行處理。第二節(jié) 應(yīng)用管理第二十七條 應(yīng)用管理員負責制定應(yīng)用管理制度，并負責應(yīng)用系統(tǒng)的上線、維護等管理工作，并負責應(yīng)用安全事件的處理。第二十八條 應(yīng)用管理員每日按時填寫應(yīng)用系統(tǒng)運營日志。第二十九條 應(yīng)用管理員按照維護流程對業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)進行例行維護，涉及到軟硬件變更操作須進行系統(tǒng)變更記錄。第三十條 系統(tǒng)日常維護人員須按照應(yīng)用系統(tǒng)日常操作流程對應(yīng)用系統(tǒng)進行日常操作。第三十一條 新系統(tǒng)上線前需要事先制訂好各項相關(guān)流程，

9、并與網(wǎng)絡(luò)組、系統(tǒng)日常維護組成員共同商討系統(tǒng)上線后的日常運營維護工作。第三節(jié) 系統(tǒng)管理第三十二條 系統(tǒng)管理小組負責主機管理，數(shù)據(jù)管理及機房基礎(chǔ)設(shè)施規(guī)劃及上線管理，并制定其相關(guān)管理制度。第三十三條 每交易日對重要數(shù)據(jù)進行備份，并對數(shù)據(jù)進行有效性檢查，填寫系統(tǒng)維護日志等運維記錄。第三十四條 對系統(tǒng)軟件出現(xiàn)的異常進行跟蹤分析，查找問題原因，提出解決方案，系統(tǒng)運營小組負責人批準后，負責解決方案的實施，對于需要進行配置變更的應(yīng)當提交變更請求，問題解決后，應(yīng)對問題和事件進行記錄。第三十五條 當需要聯(lián)系外單位進行硬件報修時，通知桌面管理組進行聯(lián)系報修。第三十六條 定期對主機、數(shù)據(jù)庫、機房基礎(chǔ)設(shè)施進行性能及容量

10、分析。第三十七條 定期分析監(jiān)控數(shù)據(jù)、系統(tǒng)日志、應(yīng)用日志，發(fā)現(xiàn)存在的安全隱患，提出優(yōu)化和解決的辦法，確保數(shù)據(jù)的安全性。第三十八條 定期與日常管理組進行數(shù)據(jù)交接，數(shù)據(jù)借閱、銷毀及保管嚴格按照數(shù)據(jù)介質(zhì)管理辦法進行。第三十九條 新購置服務(wù)器應(yīng)按照服務(wù)器安裝上線流程進行安裝配置，配置完成后移交系統(tǒng)應(yīng)用組。第四節(jié) 網(wǎng)絡(luò)管理第四十條 監(jiān)督指導機房維護人員對網(wǎng)絡(luò)布線配線架的管理，確保配線的合理有序。第四十一條 確保各種網(wǎng)絡(luò)應(yīng)用服務(wù)運行的不間斷性和工作狀態(tài)良好，出現(xiàn)故障時應(yīng)及時與網(wǎng)絡(luò)工程師溝通將故障造成的損失和影響控制在最小范圍內(nèi)。第四十二條 每日監(jiān)控公司網(wǎng)絡(luò)情況，包括業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)出口、辦公網(wǎng)流量監(jiān)控，網(wǎng)絡(luò)事

11、件的日常處理，填寫監(jiān)控日志。第四十三條 負責公司整個網(wǎng)絡(luò)系統(tǒng)日常維護工作：包括每日開市前的檢查、盤中監(jiān)控、周維護、月維護和季度維護工作。第四十四條 制訂和修訂應(yīng)急方案，指導和監(jiān)督系統(tǒng)維護小組日常變更工作的實施，參與各種測試工作和上線工作。第四十五條 協(xié)調(diào)電信運營商解決線路開通與故障問題，配合外部網(wǎng)絡(luò)維護人員的維護工作。第四十六條 維護和更新網(wǎng)絡(luò)資料、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)拓撲的管理的各類技術(shù)資料，負責網(wǎng)絡(luò)資料的入庫管理工作。第五節(jié) 災(zāi)備管理第四十七條 負責災(zāi)備系統(tǒng)、網(wǎng)上交易系統(tǒng)的維護、與核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)同步、監(jiān)控和相關(guān)事件的處理、惡意代碼更新。第四十八條 對網(wǎng)上交易和災(zāi)備系統(tǒng)軟件出現(xiàn)的異常進行跟蹤分

12、析，查找問題原因，提出解決方案，系統(tǒng)運營小組負責人批準后，負責解決方案的實施，對于需要進行配置變更的應(yīng)當提交變更請求，問題解決后，應(yīng)對問題和事件進行記錄。第四十九條 組織災(zāi)備系統(tǒng)、網(wǎng)上交易的測試、上線、變更和容量管理工作，涉及變更的，發(fā)起變更請求，并通知測試組進行測試。第五十條 負責災(zāi)備系統(tǒng)、網(wǎng)上交易系統(tǒng)配置資料整理與完善，并負責相關(guān)資料入庫工作。第六節(jié) 營業(yè)部管理第五十一條 營業(yè)部管理組對營業(yè)部電腦部運營維護、制度落實等工作情況進行定期或不定期的現(xiàn)場或非現(xiàn)場檢查。第五十二條 組織營業(yè)部電腦部的測試、上線、變更工作，收集整理營業(yè)部測試反饋記錄。第五十三條 協(xié)助營業(yè)部異常事件的處理，提交事件處理

13、報告。第五十四條 組織營業(yè)部定期參與整個公司應(yīng)急計劃演練工作，收集營業(yè)部應(yīng)急演練記錄。第五十五條 督促營業(yè)部電腦部完成營業(yè)部信息系統(tǒng)資料的登記入庫，組織營業(yè)部集中完善營業(yè)部資料庫。第五十六條 根據(jù)所屬分支機構(gòu)各個崗位每周系統(tǒng)運營狀況報告，提交營業(yè)部系統(tǒng)運營周報，定期匯總營業(yè)部電腦部月度工作總結(jié)，并提出合理性改進建議。第七節(jié) 信息安全管理第五十七條 規(guī)劃部門信息安全架構(gòu)，制定安全策略并督促實施，并實時追蹤新的安全技術(shù)、安全產(chǎn)品。第五十八條 制訂和管理部門內(nèi)部事件報告流程的。第五十九條 收集、整理、規(guī)范部門各環(huán)節(jié)中使用的工作文檔、模板，匯總形成部門的標準文檔。第六十條 協(xié)調(diào)公司內(nèi)部、外部稽核審計和

14、安全檢查工作，匯總相關(guān)材料。第六十一條 每日按時填寫信息系統(tǒng)安全設(shè)備的巡檢日志。第六十二條 定期對部門安全制度進行審核，保證公司信息系統(tǒng)安全體系穩(wěn)定運營。第六十三條 定期檢查各個應(yīng)急計劃是否完整覆蓋整個核心系統(tǒng)，督促完善應(yīng)急計劃工作。第六十四條 定期組織信息安全培訓，制定培訓計劃，安排培訓內(nèi)容。第六十五條 定期進行信息安全巡檢與評估，并生成報告。第六十六條 在信息安全工作管理過程中，建立和健全與外部組織、內(nèi)部部門間的協(xié)調(diào)、溝通機制，并負責安全管理制度的解釋工作。第六十七條 信息系統(tǒng)安全等級保護測評周期1) 定期對報備系統(tǒng)進行測評；2) 一級系統(tǒng)定期進行自查；3) 三級系統(tǒng)每年邀請專業(yè)測評機構(gòu)進

15、行測評，并在證監(jiān)局和公安局報備測評結(jié)果文件。第六十八條 系統(tǒng)測評時，部門和人員安排1) 信息技術(shù)部負責測評工作的協(xié)調(diào)與開展等事宜；2) 信息安全員配合測評機構(gòu)完成測評過程中的取證、檢查、訪談等工作，并根據(jù)測評結(jié)果提出整改方案，負責系統(tǒng)整改的實施與完善工作；3) 信息技術(shù)安全領(lǐng)導小組負責對信息技術(shù)部的測評工作進行指導和監(jiān)督。第六十九條 測評機構(gòu)選擇遵循原則1) 中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；2) 有中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）3) 從事相關(guān)檢測評估工作兩年以上，無違法記錄；4) 工作人員僅限于中國公民；5) 法人及主要業(yè)務(wù)、技術(shù)、人員無犯罪

16、記錄；6) 使用的技術(shù)裝備、設(shè)施應(yīng)該符合信息安全等級保護管理辦法對信息產(chǎn)品安全的要求；7) 具有完整的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；8) 對國家安全、社會秩序、公共利用不構(gòu)成威脅。第七十條 測評機構(gòu)需要提供的材料，包括但不限于營業(yè)部執(zhí)照、聲明、相關(guān)證明及資質(zhì)材料。第七十一條 測評工作中的保密管理測評機構(gòu)人員在測評期間應(yīng)嚴格遵守公司各項安全管理制度，發(fā)現(xiàn)違反公司規(guī)定的視情況取消合同關(guān)系；與測評機構(gòu)或測評人員簽訂保密協(xié)議或保密承諾書。第七十二條 測評機構(gòu)必須在測評前必須制定技術(shù)檢測的方案，方案中必須并明確雙方的職責，確定異常的回退應(yīng)急方案，方案由公司信息安全登記保

17、護小組進行審核。第七十三條 測評機構(gòu)在技術(shù)檢測過程中，技術(shù)部必須進行監(jiān)督，系統(tǒng)檢測必須是在清算后和節(jié)假日進行。第七十四條 測評方測評后需出具完整的檢測報告，測評結(jié)果必須是客觀、公正。對不符合安全標準的項目提出整改意見。第七十五條 對新系統(tǒng)建設(shè)，需按照信息安全等級保護管理辦法要求實施，建成后公司信息安全小組對系統(tǒng)進行定級，技術(shù)部向相關(guān)部門進行報備，新系統(tǒng)的測評遵循以上規(guī)定。第八節(jié) 網(wǎng)絡(luò)安全管理第七十六條 公司內(nèi)部網(wǎng)絡(luò)嚴格按照業(yè)務(wù)或應(yīng)用的需求進行適當分離，對安全級別為三級的業(yè)務(wù)或應(yīng)用必須采取物理隔離措施與辦公網(wǎng)進行隔離。第七十七條 網(wǎng)絡(luò)設(shè)備和終端采用靜態(tài)ip地址分配，重要網(wǎng)段的終端設(shè)備應(yīng)將mac地

18、址與ip地址進行捆綁，禁止未經(jīng)授權(quán)的設(shè)備接入公司網(wǎng)絡(luò)。第七十八條 使用無線網(wǎng)絡(luò)設(shè)備時，必須指定mac地址，同時要有口令認證，對核心網(wǎng)絡(luò)需要采用加密傳輸策略。第七十九條 廣域網(wǎng)線路需要在主線路外，提供不少于二種的線路備份方案；核心網(wǎng)絡(luò)設(shè)備需采取熱備份機制。第八十條 員工在使用vpn方式從外部網(wǎng)絡(luò)訪問公司內(nèi)部網(wǎng)時，必須經(jīng)由必要程序獲得授權(quán)，明確已了解使用vpn所存在的風險，并掌握基本的防范方法。第八十一條 網(wǎng)絡(luò)管理員應(yīng)建立網(wǎng)絡(luò)狀態(tài)自動監(jiān)控機制，以確保能夠在第一時間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)故障。第八十二條 網(wǎng)絡(luò)管理員應(yīng)定期察看網(wǎng)絡(luò)安全設(shè)備(防火墻)日志和流量分析，對異常情況應(yīng)及早進行處理，并至少保存三個月以上的日

19、志記錄，以便對事件進行跟蹤、追溯。第八十三條 網(wǎng)絡(luò)設(shè)備的更換和補丁升級均應(yīng)按照變更流程進行操作，制定回退計劃，并做好變更后的測試工作。第八十四條 公司員工在使用內(nèi)部網(wǎng)絡(luò)時，應(yīng)遵循以下要求：1) 禁止下載與業(yè)務(wù)無關(guān)的軟件；2) 禁止訪問國家法規(guī)限制內(nèi)容的站點；3) 禁止在交易時間內(nèi)使用耗費網(wǎng)絡(luò)帶寬的應(yīng)用，如：視頻會議、p2p軟件等；4) 嚴格限制在公司內(nèi)部網(wǎng)使用即時通訊軟件、網(wǎng)路游戲客戶端軟件；5) 嚴格限制使用vpn，不得將vpn口令、認證證書交由第二人使用。6) 在互聯(lián)網(wǎng)接入方面應(yīng)達到以下安全要求：7) 對公司內(nèi)可訪問互聯(lián)網(wǎng)的終端與核心業(yè)務(wù)系統(tǒng)必須實行物理隔離；8) 對于來自互聯(lián)網(wǎng)的訪問采用

20、可靠的身份認證、訪問控制和安全審計措施，防止非法接入和非法訪問。9) 訪問互聯(lián)網(wǎng)的終端必須安裝有防后門軟件（推薦使用微軟antispy程序）；10) 禁止終端直接接入互聯(lián)網(wǎng)，必須通過防火墻（硬件或軟件防火墻）訪問；第八十五條 網(wǎng)上委托系統(tǒng)應(yīng)達到以下安全要求：1) 通過國家權(quán)威機構(gòu)的安全認證，重要技術(shù)產(chǎn)品通過國家權(quán)威機構(gòu)的安全測評，達到主管部門的規(guī)定要求；2) 采用可靠的技術(shù)和管理措施進行客戶身份認證；3) 采用有效技術(shù)措施達到防抵賴、防篡改、防竊取等功能；4) 網(wǎng)上委托服務(wù)器所在的網(wǎng)絡(luò)與內(nèi)部核心網(wǎng)絡(luò)相隔離。5) 所有可配置的網(wǎng)絡(luò)設(shè)備按最小安全訪問原則設(shè)置訪問控制權(quán)限，關(guān)閉不必要的端口及服務(wù)；6

21、) 妥善保管和定期更換網(wǎng)絡(luò)設(shè)備的遠程訪問密碼，密碼設(shè)置必須具備規(guī)定的復(fù)雜性。7) 完整保存網(wǎng)絡(luò)設(shè)備配置文件，并及時更新。第九節(jié) 應(yīng)急管理第八十六條 公司應(yīng)急管理依據(jù)國家突發(fā)公共事件總體應(yīng)急預(yù)案、國家金融突發(fā)事件應(yīng)急預(yù)案、證券、期貨市場突發(fā)事件應(yīng)急預(yù)案、中國證監(jiān)會機關(guān)突發(fā)公共衛(wèi)生事件應(yīng)急規(guī)定（暫行），結(jié)合公司工作實際，本著“誰主管誰負責、誰運行、誰負責”的原則，充分發(fā)揮公司各方面力量，按各自的職責劃分，分級處理。第八十七條 信息系統(tǒng)應(yīng)急管理應(yīng)按照“預(yù)防為主、加強監(jiān)控；快速響應(yīng)、職責分明”的原則，不斷通過細化應(yīng)急預(yù)案，加強應(yīng)急演練，提高突發(fā)事件應(yīng)急處置能力。加強人員培訓和演練，提高員工安全意識，并

22、配合風險排查，做好應(yīng)急處置的各項準備，嚴格執(zhí)行信息系統(tǒng)監(jiān)控值班制度，確保故障和問題及早發(fā)現(xiàn)。第八十八條 詳見信息技術(shù)部應(yīng)急操作手冊、營業(yè)部信息系統(tǒng)應(yīng)急手冊。第十節(jié) 數(shù)據(jù)管理第八十九條 集中交易數(shù)據(jù)實時同步備份，由中心機房通過同步系統(tǒng)在交易期間實時同步到備份資金服務(wù)器和災(zāi)備中心；第九十條 清算數(shù)據(jù)：每日清算后，同步到本地備份服務(wù)器和災(zāi)備中心。并加密壓縮刻錄dvd光盤，存放在同城異地保管箱內(nèi)。第九十一條 各個系統(tǒng)數(shù)據(jù)同步到備機，并刻盤存放在同城異地保管箱內(nèi)。第九十二條 定期對數(shù)據(jù)的一致性進行檢查：定期在測試環(huán)境中恢復(fù)備份數(shù)據(jù)，檢查備份數(shù)據(jù)的有效性、可用性和一致性。第九十三條 詳見數(shù)據(jù)介質(zhì)管理辦法。

23、第十一節(jié) 安全審計管理第九十四條 業(yè)務(wù)系統(tǒng)實行定期審計，每年對系統(tǒng)進行一次全面審計，審計的依據(jù)是按照公司信息系統(tǒng)審計工作底稿，根據(jù)對系統(tǒng)檢查的結(jié)果，審計交易業(yè)務(wù)系統(tǒng)的可靠性和安全性。第九十五條 系統(tǒng)審計檢查內(nèi)容包括物理安全檢查、網(wǎng)絡(luò)安全檢查、主機安全檢查、運用安全檢查、數(shù)據(jù)安全檢查、業(yè)務(wù)可持續(xù)性安全檢查、制度有效性檢查和執(zhí)行情況檢查等部分。第九十六條 審計人員由it總監(jiān)指派專人負責。第十二節(jié) 測試管理第九十七條 負責系統(tǒng)上線前的驗收測試及上級主管部門安排的測試。第九十八條 測試前必須制定測試方案，編寫測試文檔。測試文檔應(yīng)包含測試人員、測試用例、測試計劃及測試過程。第九十九條 根據(jù)不同測試內(nèi)容，

24、由相關(guān)小組（應(yīng)用管理、系統(tǒng)管理等）制定測試用例及測試過程，系統(tǒng)測試組進行匯總編寫。第一百條 部門內(nèi)測試應(yīng)該按照部門內(nèi)測試流程進行測試，涉及其他部門的測試應(yīng)該嚴格按照部門間測試流程進行測試。第一百零一條 測試完成后，由系統(tǒng)測試小組收集整理測試文檔，編寫測試報告，并將測試文檔進行存檔。第十三節(jié) 變更管理第一百二條 部門的變更管理工作，是為了有效預(yù)防系統(tǒng)變更可能引發(fā)的風險，確保公司網(wǎng)絡(luò)與信息協(xié)調(diào)安全穩(wěn)定運行，減少信息系統(tǒng)變更對系統(tǒng)服務(wù)的負面影響，規(guī)范變更的審批和控制，實現(xiàn)有效的地協(xié)商和溝通，確保變更的可追溯性。第一百二條 由于突然發(fā)生并嚴重影響或可能嚴重影響公司信息系統(tǒng)穩(wěn)定運行，進而影響客戶交易的緊

25、急事件所引起的變更，參照公司相關(guān)應(yīng)急手冊和預(yù)案。第一百三條 變更管理的基本要求:(一)變更申請必須經(jīng)過評估，確保變更的合理性；（二）變更必須經(jīng)過周密的計劃，確保變更實施和恢復(fù)方案的完整性和準確性；（三）保證變更的透明性和各崗位間的有效溝通；（一） 確保變更有明確、完整的記錄；（五）變更實施后值班人員應(yīng)加強觀察和監(jiān)控，確保變更達到預(yù)期目的；（六）詳見信息技術(shù)部變更管理辦法。第十四節(jié) 采購管理第一百零四條計算機設(shè)備是包括臺式機、服務(wù)器、筆記本電腦、打印機、掃描儀、網(wǎng)絡(luò)設(shè)備、信息安全產(chǎn)品、計算機通信設(shè)備、不間斷電源、以及其他計算機輔助設(shè)備。第一百零五條公司及所屬的各機構(gòu)的設(shè)備更新、添置須根據(jù)公司固定

26、資產(chǎn)購置辦法以及有關(guān)的財務(wù)制度進行管理外，同時應(yīng)在信息技術(shù)部（包括營業(yè)部電腦部）存檔，以便于管理和維護。第一百零六條公司采購防火墻、防毒軟件、防毒墻、應(yīng)用防火墻、網(wǎng)頁防篡改產(chǎn)品、安全審計產(chǎn)品、入侵檢測、入侵防范等信息安全產(chǎn)品時，必須具有國家有權(quán)部門出具的認證、銷售許可證明。第一百零七條公司采購軟件在合同中應(yīng)簽署無后門隱患條款。第一百零八條 申請流程1) 各個部門需采購計算機設(shè)備時，應(yīng)提交采購申請，寫明采購設(shè)備類型和用途，以及對設(shè)備性能的基本要求；2) 對各個部門的采購申請，應(yīng)先由辦公室根據(jù)閑置計算機設(shè)備狀況進行調(diào)配。3) 如無法調(diào)配，則由信息技術(shù)部根據(jù)業(yè)務(wù)需求確定型號和預(yù)算，報請相關(guān)使用部門，

27、由使用部門提交內(nèi)部請示，請領(lǐng)導審批。4) 計算機設(shè)備購置需滿足如下幾方面要求：1、高效性、可靠性、兼容性、可擴展性；2、較好的性能價格別；3、滿足監(jiān)管部門的要求，如證監(jiān)局、公安局、第三方審計機構(gòu)等；4、良好的售后服務(wù)。5）營業(yè)部實施的工程項目，單項預(yù)算在1萬元以上的（包括1萬元）須將工程目標、工程方案、設(shè)備清單、費用預(yù)算以及相關(guān)部門意見、營業(yè)部經(jīng)理批示（需要資質(zhì)證明的工程必須要施工單位出具資格證書復(fù)印件）呈報公司經(jīng)紀業(yè)務(wù)部批準后，由信息技術(shù)部簽署意見后再報公司領(lǐng)導審批。6）購置計算機設(shè)備的品牌、型號在不影響使用和性能的基礎(chǔ)上，應(yīng)盡可能統(tǒng)一，以利于計算機的維護工作。第一百零九條 采購流程（一）經(jīng)

28、領(lǐng)導審批后，根據(jù)采購額的不同采取不同的采購流程。（二）采購流程分別為dell采購流程；臺式機、筆記本、打印機、配件、工具、輔材等采購流程；服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、機房設(shè)備等采購流程；安全設(shè)備采購流程；正版軟件采購流程。（三）小額的采購采取直接尋價的方式進行，尋價渠道不得少于三家。（四）大額的采購采用招標和議價結(jié)合的方式進行，招標和議價過程由公司采設(shè)備采購小組完成。（五）購置計算機設(shè)備的合同（協(xié)議）中應(yīng)包含以下內(nèi)容：設(shè)備名稱、型號、標準配置、產(chǎn)地、單位、數(shù)量、單價、合計金額、交貨時間、地點、驗收標準、付款時間、保運費、保修期限、維修服務(wù)、技術(shù)支持、培訓及違約責任等內(nèi)容，合同中需要更詳細、明確的條

29、款和內(nèi)容可用協(xié)議的方式補充說明。（六）重要系統(tǒng)和設(shè)備的購置，需至少正常運行三個月后，方可支付所余款項。第一百一十條設(shè)備驗收（一）設(shè)備購置手續(xù)必須完整，由信息技術(shù)部專人負責驗收。驗收時必須認真仔細，完成外觀檢查、數(shù)量清點、安裝測試、設(shè)備試運行等幾個方面的驗收程序，重要設(shè)備需要供貨商出具進貨渠道證明。（二）根據(jù)設(shè)備裝箱單，清點配備的軟件、資料、保修單、說明書等，并及時向技術(shù)資料保管員辦理移交手續(xù)。第一百一十一條設(shè)備維修（一）設(shè)備由使用單位的電腦部門負責日常的管理維護，員工應(yīng)掌握基本的計算機操作常識。（二）如設(shè)備出現(xiàn)故障，需要信息技術(shù)部人員進行維修時，應(yīng)填寫設(shè)備維修申請，其中應(yīng)如實填寫設(shè)備損壞的原因

30、，以便于查找故障。（三）對未在信息技術(shù)部（包括營業(yè)部電腦部）建立技術(shù)檔案的計算機設(shè)備，信息技術(shù)部不負責其維修。（四）在接收到設(shè)備維修申請后，信息技術(shù)部將根據(jù)具體情況安排技術(shù)人員進行維修。（五）需要交由廠家維修的設(shè)備，應(yīng)及時辦理相關(guān)手續(xù)，同時需通知設(shè)備使用者需要的維修時間。（六）應(yīng)定期統(tǒng)計重要設(shè)備的保修期限，對即將超過保修期限的設(shè)備需及時辦理續(xù)保手續(xù)。（七）由于個人使用不當，造成設(shè)備損壞的，應(yīng)按公司固定資產(chǎn)管理辦法進行處理。第一百一是二條計算機設(shè)備報損、報廢（一）公司使用計算機設(shè)備的報損、報費，經(jīng)信息技術(shù)部鑒定后，按公司固定資產(chǎn)報損、報廢流程處理。（二）營業(yè)部計算機設(shè)備報損，公司經(jīng)紀業(yè)務(wù)部批準后

31、，經(jīng)信息技術(shù)部復(fù)核，方可處置。（三）信息技術(shù)部的重要設(shè)備報損、報廢，應(yīng)在確認無法修復(fù)，或維修成本過大時，提交詳細的書面報告。（四）報損、報廢的設(shè)備由公司辦公室統(tǒng)一處置，其他部門不得任意處置。第十五節(jié) 項目管理第一百一十三條收集項目立項、啟動、實施、變更、測試、里程碑事件、項目試運行、驗收等過程的跟蹤、記錄，督導項目經(jīng)理提交相關(guān)項目資料。第一百一十四條對部門各項工作進度執(zhí)行情況的進行匯總、分析工作。第一百一十五條每周由項目跟蹤人在部門信息平臺對所管理的項目進行匯報和說明，完成項目周報。第一百一十六條根據(jù)項目管理流程，對部門項目過程進行管理，檢查部門項目進展、執(zhí)行情況，督促項目經(jīng)理對進度進行控制，

32、并協(xié)助項目經(jīng)理制訂項目實施計劃進度表。第一百一十七條參與項目立項、實施、測試、變更、驗收的全程會議，督促項目負責人、跟蹤項目進度。第一百一十八條開展部門短期規(guī)劃目標的制定工作，確定下一年度工作安排匯總、評估需要開展和改進的工作內(nèi)容。第一百一十九條詳見信息技術(shù)部項目管理辦法。第十六節(jié) 綜合管理第一百一二十條 負責部門資料管理制度的制訂。第一百二十一條 負責資料庫的建立、分類、維護和更新。第一百二十二條負責部門內(nèi)和部門間往來公文收發(fā)管理，主要包括公文的登記、入庫、借閱等管理。第一百二十三條負責技術(shù)管理資料的入庫管理：督促其他關(guān)人員整理制度、流程、合同、軟件產(chǎn)品授權(quán)許可、介質(zhì)等除業(yè)務(wù)數(shù)據(jù)以外的其他運

33、營維護資料的入庫。第一百二十四條負責低值易耗品的統(tǒng)一領(lǐng)用、登記。第一百二十五條負責服務(wù)水平協(xié)議的簽訂、服務(wù)水平評估，并根據(jù)服務(wù)水平協(xié)議支付維護費。第一百二十六條負責日常交通費、餐費、差旅費的報銷，登記每次費用，作年終預(yù)算參考。第十七節(jié) 桌面管理第一百二十七條負責公司的終端設(shè)備管理，桌面機、打印機的維護管理并制定其相關(guān)管理制度。第一百二十八條 定期對終端系統(tǒng)更新情況、殺毒軟件更新情況、終端性能及故障、根據(jù)使用者業(yè)務(wù)需求結(jié)合各終端需求進行分析。第一百二十九條 配合機房硬件設(shè)備及各部門服務(wù)器需件報修時，進行聯(lián)系報修并記錄變更資產(chǎn)管理表。第一百三十條 加強終端設(shè)備管理規(guī)范針對終端設(shè)備的配置管理，進行支

34、持部門(技術(shù)部分運營設(shè)備與辦公設(shè)備)、設(shè)備型號等進行分類查詢。建立第三方電子化留痕，送往第三方時需要填寫電子化表單，填寫維護時間表，更換維護明細。到期未完成或如有變動的則及時更新并注明原因。第一百三十條 根據(jù)每月維護綜合報告制作計算機個人使用手冊常識，完善操作系統(tǒng)服務(wù)手冊并利用center進行鏈接支持。第五章 工作報告第一百三十一條 工作計劃管理：（一）信息技術(shù)部應(yīng)根據(jù)公司發(fā)展計劃和業(yè)務(wù)需求在年度末制定出第二年度的工作計劃；（二）每個員工應(yīng)根據(jù)分配的計劃任務(wù)和自身發(fā)展制定出個人工作計劃。第一百三十二條 工作報告管理：（一）營業(yè)部電腦部經(jīng)理應(yīng)每周向信息技術(shù)部提交工作報告；（二）技術(shù)人員應(yīng)每月向其直接領(lǐng)導提交工作報告。（三）信息技術(shù)部應(yīng)在年末向