信息系统管理制度

内部控制管理制度编制：

审核：

批准：

更改历史

5.2.1信息系统管理制度

1．目的

为了保护公司信息系统安全，规范信息系统管理，合理利用信息系统资源，推进公司信息化建设，保障公司信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为公司生产经营服务，根据《中华人民共和国计算机信息系统安全保护条例》、《企业内部控制基本规范》及有关法律法规，结合公司实际情况，特制定本制度。

2．适用范围

2.1本制度所称的信息系统，是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。简单地说，信息系统就是输入数据/信息，通过加工处理产生信息的系统。

2.2本制度适用于**股份，各子公司参照执行。

3．应关注风险

3.1信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

3.2系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

3.3系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

4．组织结构与职责

4.1信息系统管理部门是公司信息系统的归口管理部门。其主要职责如下：

（1）负责公司信息系统的整体规划、安全运行及维护管理工作。

（2）负责公司管理支撑系统、业务支撑系统的应用开发和管理。

（3）负责公司各项业务数据采集工作的管理与实施指导。

（4）负责公司网站的建设维护和系统支持工作。

（5）负责信息系统操作规程的编写和实施培训。

（6）负责公司信息系统的安全、保密。

（7）负责公司信息系统数据备份工作。

（8）负责公司与信息系统相关档案资料的管理和存档。

（9）负责对公司相关信息系统管理、操作、应用人员进行技术、安全、操作、应用培训。

（10）负责公司信息系统的全面监测、技术升级工作。

4.2财务中心负责控制、核算信息系统开发、维护、变更所产生的费用。

4.3各部门负责配合、支持信息系统工作。

4.4成立信息系统评审小组，由总裁办负责组织，财务中心、运营管理中心、监察审计部、法务部门等相关部门负责人参与，对信息系统项目的立项、阶段性成果、开发成果、重大变更、项目总结进行评估。

必要时也可聘请外面有关专家主持或参与评审小组。

项目的提出者、项目负责人接受评审小组的质询，不能参与评审表决。

5．审批权限

5.1系统开发、维护、变更费用投入年度预算由董事会批准。

5.2单个项目的开发、维护、变更经费预算由总裁和董事会按公司颁布的《资金支付审批权限规定》明确的权限审批。

6．开发管理

6.1信息系统管理部门应每年度根据信息系统建设整体规划提出信息化建设方案，明确建设目标、人员配备、职责分工、经费保障和安排进度等相关内容，按照规定的权限和程序审批后实施。

6.2业务部门提出信息系统开发申请，编制信息系统开发申请书，经信息系统管理部门、信息系统评审小组审核后，按审批权限批准立项。

6.3信息系统评审小组根据公司实际情况，确定开发方式。

6.3.1选定外购方式的，应严格按照公司颁布的《采购管理办法》执行。

6.3.2选定业务外包方式的，应严格按照公司颁布的《业务外包管理制度》执行。

信息系统管理部门应当加强信息系统开发全过程的跟踪管理，组织外包开发单位和内部各单位的日常沟通和协调，督促外包开发单位按照建设方案、计划进度和质量要求完成开发工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。

信息系统管理部门应当组织内部相关单位提出开发需求和关键控制点，规范开发流程，明确系统可行性分析、规划、分析、设计、开发实施、测试、安装调试、试运行、维护等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

6.3.2.1在系统可行性分析阶段，应编制可行性报告，从有益性、可能性和必要性3个方面进行初步分析，避免盲目投资，减少不必要的损失。

6.3.2.2在系统规划阶段，应编制总体规划方案报告。确定开发顺序、合理安排人力、物力、财力。

6.3.2.3在系统分析阶段，应编制系统分析报告，明确功能需求、技术需求等方面的控制要求。

6.3.2.4在系统设计阶段，外包开发单位应编制系统设计报告，采用一定的标准和准则，对信息系统的总体架构和模块之间的联系进行设计，对信息系统中的信息进行分类编码设计及输入/输出方式设计等。

6.3.2.5在系统开发实施阶段，外包开发单位应编制程序清单及系统使用说明书。完成对系统硬件设备的购置和安装和应用软件的程序设计。

6.3.2.6在系统测试阶段，应编制系统测试报告，从总体出发，测试系统应用软件的总体效益，各个组成部分的功能完成情况，系统的运行效率和系统的可靠性等。

6.3.2.7在系统安装调试阶段，应编制系统安装验收报告。完成系统安装、数据加载等系统运行前的一些新旧系统的转化工作。一旦转换结束便可对计算机硬件和软件系统进行系统的联合调试。

6.3.2.8在系统试运行阶段，应编制系统试运行总结报告。培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方

案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。

6.3.2.9在系统维护阶段，应编制系统运行审计报告，制定数据管理、安全管理、账号管理等管理规则和制度。

信息系统评审小组应对系统功能、性能、控制要求和安全性等方面进行评审，确保系统符合公司的开发需求。

信息系统管理部门应当制定信息系统工作程序、信息系统管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

6.3.2.10在开发项目中，需外包开发单位提交的成果是：系统设计报告、程序清单和系统使用说明书、系统测试报告、系统安装验收报告；需信息系统管理部门提交的成果是：可行性报告、总体规划方案报告、系统运行审计报告；需双方单位共同完成的是：系统分析报告、系统试运行总结报告。

6.3.3选定自行开发方式的，应严格按照系统可行性分析、系统规划、系统分析、系统设计、系统开发实施、系统测试、系统安装调试、系统试运行和系统维护9个阶段进行。

信息系统管理部门根据批准的信息系统项目，组建公司的自主开发团队，提出开发人才需求，经分管开发的副总裁审核后，由人力资源中心按公司的招聘程序进行人员招聘。

开发阶段及阶段性成果和业务外包方式一样。

7．变更管理

7.1系统变更包括对应用系统的升级、修改、补丁安装等改变系统功能的活动，以及对操作系统升级和补丁安装、数据库/操作系统环境配置变化、防火墙配置修改等。

7.2信息系统管理部门应当建立信息系统变更流程，系统变更应严格按照流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置等。