IT信息系统内控

计算机信息系统管理

计算机信息系统管理001：信息安全管理

计算机信息系统管理002：信息资源申请、使用及日常维护管理

计算机信息系统管理003：变更管理

计算机信息系统管理流程综述

不可兼容职责表

X：表示相互冲突的职责2.附注

A:应用系统管理员

B:操作系统、数据库管理员C:系统权限的申请

D:系统权限的审批

E:系统权限的设置

F:系统开发人员

G:系统验收人员

H:系统操作人员

I:系统管理员

计算机信息系统管理001：信息安全管理

1.0流程综述

本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制，以及如何实现信息的保密性、完整性和可用性。

2.0适用范围

公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。

3.0控制目标和关键控制活动

4.0政策和工作流程

4.1IT环境的物理安全

IT环境的物理安全应与人力资源部联系，确保各项安全措施的到位。

4.1.1高度安全区域的管理

对公司级信息设备集中放置，设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功能。高度安全区域必须取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。

机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作，对使用机房的人员从以下方面做了规定：机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见《上海汽车集团股份有限公司IT机房安全管理规定》

4.1.2保护公司计算机及相关设备和通讯设施的安全

禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备，应采取相应的措施进行保护或保存。因维修或其他用途而拆除存有信息的电子设备，如硬盘时，应完全销毁其存有的数据，并确保此信息不能被恢复。

4.21用户帐号申请控制

登入和使用公司计算机系统和网络资源，需用户部门确定和批准用户申请的权限范围，信息系统部审核申请是否符合相关流程和规定，通过后按申请内容进行技术设置。对用户组一一对应的识别认证权限控制系统（如用户ID和密码），以阻止非法侵入，确保各级用户只能进入其授权使用的系统。系统应保留一定期限内的所有登入记录。

用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号（即，AD、邮件帐号），需要人力资源部提供人事调令或其他相关书面材料，信息系统部根据人力资源部提供的人员信息进行设定。（若为离职人员，信息系统部将收回所有IT设备、取消所有帐号及权限。）

4.2.2密码控制

信息系统部规定了公司密码设置要求，对于任何系统、包括应用系统，操作系统和数据库等：

用户密码至少8位;

密码中需包含英文大、小写和数字；

密码至少90天更换一次；

接近的密码在9个月内不得重复使用；

临时用户也应建立良好的密码设定和使用习惯。

4.2.3权限复核

用户部门负责审核该部门的权限申请内容，对于重要数据，应根据分工将操作权限分开设置。用户部门关键用户或批准权限申请的负责人应定期，至少一年一次，审核并调整用户登入各应用系统的权限范围，对于重要的关键系统应至少每半年审核一次，以确保分配给用户使用的权限是恰当的，且符合权限最小化的原则。

4.2.4管理员账号的管理

4.2.4.1客户端管理员

原则上所有的客户端账号都只开通用户（User）权限。

对确实因工作需要的（如：工作中必须使用某种软件，该软件必须开通管理员权限才能正常使用等。），经过部门总监确认签字，信息系统部运维经理批准，开通管理员（Administrator）权限。信息系统部对于开通管理员权限的用户，每月通过监控软件进行审核，检查其是否有非法使用情况（如私自安装软件、对操作系统设置进行更改等）。

4.2.4.2系统管理员

信息系统部对各系统，包括应用系统，操作系统和数据库等，分别设有系统管理员，系统管理员的岗位由部门总监任命，只对所有负责的系统根据批准的事情单，进行规定的操作。原则上，在应用系统的生产环境中，应避免开放管理员权限。

4.2.5病毒防治

信息系统部在公司所有计算机设备上安装防病毒软件，并定期统一更新病毒库，同时在服务器上做好相关数据的定期备份。

用户需使用信息系统部确认过的正版软件，不运行功能不明的可执行文件。在使用外接存储设备时需先进行查毒、杀毒工作。

信息系统部对于病毒的防治，以及病毒应急处理的流程，请参考《上海汽车集团股份有限公司病毒应急方案流程》

4.2.6网络安全控制和用户使用规范

公司的计算机网络，如局域网、广域网，是计算机系统运作及数据传递的基础，信息系统部必须采取足够的，有效地措施保证网络的安全，确保公司内外信息沟通的正常进行。

用户在使用上汽集团网络时，也应明确其责任，个人的网络行为直接影响到公司网络的公共安全。详细内容，请参考《上海汽车集团股份有限公司关于进入公司计算机网络的规定》。

4.2.7合法使用正版软件

信息系统部负责编制、更新公司《软件清单》，每月更新软件购买和使用数量的状态。信息系统部将根据业务需要，及时提供合法软件及足够数量的许可证（liscense）。公司员工须遵守公司有关合法软件及使用许可证合同的规定，信息系统部将不定期检查或抽

查用户合法软件使用情况，一旦发现员工私自安装的非法软件，将予以删除。

详细内容请见《上海汽车集团股份有限公司信息系统安全制度》。

4.2.8信息系统的分级

信息系统部根据公司应用系统的业务性质、重要性程度、涉密情况等方面，对应用系统进行等级划分。相关的保护维护措施，将根据应用系统的等级进行分别制定。

4.2.9保密协议的签署

信息系统部委托专业机构进行系统运行与维护管理，或者新系统开发工作，需审核相关供应商的资质，并与其签订相关保密协议。

5.0参考文件

《上海汽车集团股份有限公司IT机房安全管理规定》

《上海汽车集团股份有限公司信息系统安全制度》

《上海汽车集团股份有限公司关于进入公司计算机网络的规定》

《上海汽车集团股份有限公司病毒应急方案流程》

6．0职责分工