信息管理内部控制制度

信息管理内部控制制度总则为了加强**公司信息管理的内部控制，保证信息数据的准确性和安全性，结合本公司的具体情况制定本制度。本制度所称信息是指本公司通过信息化系统所产生的********数据。本制度制定的目的是为防止公司信息系统被非授权地访问、使用、泄露、分解、修改和毁坏，从而保证信息的保密性、完整性、可用性、可追责性，保障信息系统能正确实施、安全运行。信息管理工作必须在加强宏观控制和微观执行的基础上，严格执行保密纪律，以提高企业效益和管理效率，服务于企业总体的经营管理为宗旨。分工及授权对操作人员授权，主要是对存取权限进行控制。设多级安全保密措施，系统密匙的源代码和目的代码，应置于严格保密之下，从信息系统处理方面对信息提供保护，通过用户密码口令的检查，来识别操作者的权限；利用权限控制用户限制该用户不应了解的数据。操作权限的分配，以达到相互控制的目的，明确各自的责任。本公司信息系统针对不同部门、不同人员、不同分工进行授权。不同人员的对同一数据的权限不同。根据实际情况，人员对数据又分为管理权限、操作权限、查看权限等。对人员新增授权需经授权人员所在部门主管审批后方可对其授权。为了保证信息数据完整性、可追溯性，信息系统所有用户对信息数据没有删除权限，只有作废权限。控制措施建立严格的信息流程，不同节点的操作人员不同。不得有一个人具有一个流程的全部操作权限。对数据库进行严密的加密算法，保证数据的保密性；对数据库进行异地备份，保证数据的安全性。确实需要查询以前数据或对以前发生的数据进行存取的，由需求部门以书面的形式提出，经有权机构或人员批准后，由办公室与有关部门相结合，对相关人员暂时授权，对历史数据进行处理。处理完成后，对其权限及时收回。第四节监督检查信息管理由******行使监督检查权。信息管理监督检查内容主要包括：（一）审查各个机构是否设置了符合管理需求的岗位，职责分工是否明确，不相容职务是否分离。（二）审查操作人员的权限分配是否合理，有无超越权限范围，不相容职务是否分离。（三）审查信息系统开发和修改是否符合公司的相关，是否真实、完整、清晰。（四）审查针对应用系统访问设立的各项受控措施是否符合公司的相关规定，是否有效阻止非法使用者侵入系统。（五）审查担负不同职责的合法使用者具体实施的数据控制是否符合公司的相关规定，不相容职务相互分离。（六）审查软件的使用、保管、维护是否符合公司的相关规定。（七）审查设备管理、环境管理、数据资料备份事项是否符合国家、行业管理的强制性规定及公司的相关规定，以保证信息资料的安全、完整性。（八）审查信息管理运行日志记录是否符合公司的相关规定，是否及时、完整、连续，以保证系统稳定运行及数据安全。检查人员对监督检查过程中发现的薄弱环节，应要求被检查单位纠正和完善；发现重大问题应写出书面检查，向有关领导和部门汇报，以便及时采取措施，加以纠正和完善。本制度自公布之日起生效，由**负责解释。