公司授权审批管理制度.doc

公司授权审批管理制度
【目的】本制度旨在对上海大千商务服务有限公司信息系统的可靠性、稳定性和有效性进行授权、审批,降低信息安全风险,维护上海大千商务服务有限公司切身利益。建立合理的授权审批机制,加强内部控制,同时提高管理效率。使上海大千商务服务有限公司信息安全管理制度不断地完善并持续有效运行。
【范围】本规定适用于对上海大千商务服务有限公司范围内信息系统的授权和审批活动。
授权审批的原则
坚持授权的范围和深度与上海大千商务服务有限公司内部控制的建立健全程度及管理人员的控制水平相匹配的原则;
坚持根据管理情况变化适时调整授权的原则,兼顾相对稳定和持续优化;
坚持授权与审批相结合,有权必有审,在授权范围内的事物产生的结果由被授权人承担,同时建立责任追究机制;
坚持授权与监督相结合的原则,确保权利被恰当、有效使用。
授权审批的范围
权责分配、职责分工、信息系统相关事项履行审批程序;
信息系统开发、变更和维护流程以及授权审批程序;
安全访问制度,包括操作权限、信息使用、信息管理等;
硬件管理事项和审批程序;
以上未涉及范围,参见其他管理制度相关规定。
岗位分工与授权审批
信息化系统涉及以下事务:
流程分析:分析系统信息需求,并据此制定设计或修改程序的方案;
计算机操作:负责运行并监控应用程序;
数据库管理:综合分析、设计系统中的数据需求,维护组织数据资源;
数据控制:负责维护计算机路径代码的控制,确保原始数据经过正确授权,监控信息系统工作流程,协调输入和输出,并将输出信息分发给经过授权的用户。
终端:终端用户负责记录处理操作内容,输出相应的处理结果。
信息安全领导小组:明确定义系统归口管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责,制定系统安全部及个人之间的职责与分工。
系统安全部:负责信息系统开发需求、变更、运行、维护等工作。
信息系统开发、变更和维护控制
计算机信息系统开发包括自行设计、外购调试和外包合作开发。在开发信息系统时,应当充分考虑业务和信息的集成性,优化流程,并将业务流程嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保业务活动的真实性、合法性和效益性。
信息系统开发必须经过信息安全领导小组正式授权,并进行详细备案。具体程序包括:提出需求;
系统安全部审核;信息安全领导小组权批准;系统分析人员设计方案等。
对外购调试或外包合作开发等需要进行招投标的信息系统开发项目,应当成立招投标小组,并保证招投标小组的独立性。
制定详细的信息系统上线计划。在新旧系统切换时,在上线计划中明确系统回退计划,保证新系统一旦失效,能够顺利回退到原来的系统状态。
新旧系统切换时,如涉及数据迁移,应当制定详细的数据迁移计划。
用户部门应当积极参与数据迁移过程,对数据迁移结果进行测试,并签署测试报告。
信息系统在投入使用前应当至少完成整体测试和用户验收测试,以确保系统的正常运转。
信息系统原设计功能未能正常实现时,应当指定相关人员负责详细记录,并及时报告系统安全部,由其负责系统程序修正和软件参数调整,尽快解决存在的问题。
系统安全访问
信息系统安全访问控制是对安全设备、邮件服务器、WEB服务器、OA服务器、账务核心系统、账务管理系统、POS接入系统等进行系统级和操作级的访问控制。
系统