*****************有限公司信息系统开发管理制度GM***-**-201* 1.0 目的为了提高公司信息系统运行和维护的可靠性、稳定性、安全性，合理防范信息系统管理过程中的风险，特制定本制度。

2.0 适用范围本制度适用于*************有限公司，下属分、子公司参照执行。

3.0 定义⏹信息系统：指公司利用计算机和通信技术，对内部管理及运营进行集成、转化、提升所形成的信息化管理平台。

4.0 关键控制点⏹信息中心应负责信息系统建设整体规划，确保信息系统规划与企业发展战略匹配，防止可能出现的重复建设，从而导致形成信息孤岛，使计算机应用系统相互之间在功能上不关联互助、信息不共享互换以及信息与业务流程和应用相互脱节。

影响企业发展目标的实现。

⏹信息中心应确保技术方案及设计符合企业或行业技术标准与要求，并通过专业人员的评定。

⏹信息中心应确保系统验收工作的专业性和全面性，确保验收后的系统在功能、性能、控制要求和安全性等方面能够满足开发需求。

⏹数据及档案的相关保管部门应确保数据库、日志文件和重要商业信息的安全；确保数据的提供和访问得到充分的授权，防止重要信息和数据的泄露。

⏹公司各部门应及时更新数据备份清单，严格执行备份管理规定。

⏹针对灾难恢复制定专门的应急预案，要明确外部硬件供应商的技术支持方式，并以书面协议形式明确其职责。

5.0 规范和要求5.1 部门职责5.1.1 信息中心：⏹应根据公司在计算机应用方面的实际情况及技术水平，制定能满足公司计算机及信息系统安全管理要求的管理制度；⏹公司所有计算机(含服务器)、网络设备及其使用的软件都应归信息中心统一管理；⏹公司各部门在决定购买、安装、维护、转移和报废计算机及其辅助设备以及安装各种处理业务所需的软件前，必须先征询信息中心的意见或有信息中心专业人员共同参与下方可进行；⏹不定期以合适的方式（如邮件通知、组织定期培训等），对各部门进行计算机或信息系统安全方面的注意事项的培训，对计算机或信息系统常见问题提供解决方案；⏹对于公司的信息系统，信息中心应不定期组织公司领导对相应的用户权限进行合理设置和更新。

5.1.2 相关部门：参与信息系统建设规划、滚动计划和年度实施计划的编制；参与需求调研，审核需求报告、技术方案与系统测试方案；准备系统测试以及正式数据；进行系统测试；培训业务人员；负责本单位用户账号、权限变更需求的收集汇总，审核信息的准确性，申请结果的及时反馈；部门负责人应定期向信息中心提供本部门重要数据的备份或最新的备份数据清单。

5.2 信息系统的开发5.2.1 公司信息系统开发工作包括：需求调研与分析、技术方案设计、系统代码开发，系统测试、系统试运行、验收与正式运行等环节。

5.2.2 信息中心负责组织成立项目工作组，制定项目整体进度计划及当月（周）进度计划，同时建立相应源代码及成果文档版本管理系统。

5.2.3 实施方对业务部门进行需求调研，结合业务现状及发展需要，制定业务需求报告。

5.2.4 提交业务需求报告并交由业务部门、信息中心进行审批，提出修改意见，形成正式需求报告供详细设计使用。

5.2.5 实施方编制业务、技术方案并通过评审后，进行系统代码开发。

5.2.6 完成开发后实施方编制测试方案，业务部门准备测试数据，业务部门与信息中心分别进行单元测试与集成测试。

5.2.7 测试报告通过评审后，实施方编制系统试运行方案，提交系统应用文档、成果，组织人员培训，开展试运行。

5.2.8 试运行完毕后，实施方提交验收资料，信息中心牵头组织信息系统的使用部门、财务部等相关部门对验收资料、试运行报告进行评审；并按照合同执行验收与结算的审核，报公司领导审批。

5.2.9 经公司领导审批通过后，由财务部牵头组织进行项目完工决算。

5.3 信息系统权限管理5.3.1 公司总经理授权信息中心对系统服务器进行管理。

信息中心主管负责对信息系统管理员进行授权，授权其合法进入公司信息系统；对于一般权限的开设，由信息中心主管审核，分管副总最终审批；对于敏感事项权限的开设，需报经分管副总进行审核，由总经理进行最终批准。

敏感权限主要包括但不限于：⏹客户/供应商联系信息；⏹技术中心技术档案资料；⏹原材料采购价格信息；⏹BOM-物料清单数据；⏹产品成本、毛利信息；⏹产品销售毛利数据；⏹员工薪资数据；⏹其它跨部门信息的查询等。

5.3.2 信息中心主管在对信息系统管理员授权前，应首先与其签订信息保密协议，明确其权力范围和相应的法律责任。

5.3.3 对于公司采用的信息系统（如ERP系统、OA系统等），公司管理层应明确各部门岗位人员进入信息系统的权限和范围，防止未经授权的人员进入系统或越权进入系统。

5.3.4 各部门负责人根据员工工作需要，为其设定相应的权限，上报分管领导审批后交到信息中心。

系统管理员根据批准的员工权限进行用户授权，确保只有经过授权的人员方可进入系统，每个用户只能浏览自己权限范围内的信息；同时将账号、密码及权限范围通知到每一个用户。

5.3.5 用户收到账号及密码后，应立即修改并且不得将账号和密码随意借给他人使用。

5.3.6 若用户忘记了自己的密码，应由本人向系统管理员提出申请，经同意后重新取回密码。

5.3.7 信息系统管理员对超级用户口令的更改记录应妥善保管；信息中心主管应不定期进行检查。

5.3.8 若因工作原因需要调整用户的权限，用户必须先提出书面申请，报部门主管审核后，提交分管副总进行批准。

系统管理员只有接到批准后的书面申请（或电子邮件）后方可调整此用户的权限，并向申请人反馈执行结果。

批准的申请应妥善保存，以便后续复核和检查。

5.3.9 系统服务器应独立安置在安全可靠的地方，只有系统管理员和经授权的人员方可进入。

5.4 信息系统日常管理5.4.1 公司保存重要信息的计算机（服务器）必须设置开机密码、屏幕保护密码及网络密码；密码应强制每月或每季度自动修改一次；操作人员工离开办公室时也应将电脑置于屏幕保护状态；重要位置的计算机应当设置物理隔离以防止无关人员接触计算机。

5.4.2 新购计算机设备到货时，由信息中心组织验收，各个单位设备管理员应做好各项设备的验收工作。

验收时，设备管理员应及时到场，如有紧急事情无法前来，应事先委托他人，并上报信息中心。

5.4.3 设备验收完成后，设备管理员应及时做好设备资料录入电脑，并做好设备台帐的管理工作，并将所有资料归档存放或移交公司档案室。

5.4.4 信息中心的设备管理员负责计算机的日常修理业务。

如各部门计算机发生必须送外修理的情况时，信息中心信息系统维护人员应负责和使用部门人员共同将计算机中的数据下载或予以清除；如果无法下载数据时，应当将存储数据的硬盘取下后方可送出修理。

5.4.5 信息中心信息系统维护人员应对所有外送维修过的信息设备进行详细的登记。

对于更换硬盘等记录存储数据的设备应当将更换下来的存储部件以合适的办法予以销毁。

5.4.6 在计算机信息设备报废前，必须将信息设备中的存储部件实施破损处理或进行彻底清除处理，经鉴定确认没有资料数据后方可处理。

5.4.7 禁止信息系统使用人员自行打开信息设备更换部件。

为保护信息系统资料，禁止非信息系统管理人员自行更换任何信息设备的部件。

5.4.8 禁止各部门私下调换信息设备。

各部门之间若因业务需要，需相互调换或借用信息设备，必须向信息中心提出书面申请，并获得信息中心的申请后方可进行。

5.4.9 禁止将存有公司机密资料的信息设备出租或出借给外单位使用。

5.5计算机操作程序5.5.1 员工上机时，应先开UPS（后备电源），后开外设开关（如显示器、打印机等）、最后再打开主机电源，关闭计算机时的操作则与之相反。

系统运转时，未得到系统安全退出提示信息，不能进行关机或重新启动操作。

若遇停电、突然断电等情况时，应尽快保存已输入信息，并及时关机。

若需长时间离开计算机时，应适时退出工作环境。

若关机不正常，需及时向信息中心报告。

5.5.2 员工上机时不得随意删除任何系统文件，改变系统配置（包括文件属性、软硬件的参数设置等）5.5.3 计算机操作员不得随意给系统任何软硬件加密或解密，当因工作需要或有新的安全要求时，需向信息中心申请，由其统一部署进行。

5.5.4 计算机操作员一般只能在指定的机器上定点操作，若要跨机操作，需经该部门领导批准。

5.5.5 计算机操作员严格在业务范围内操作,上班时间不得做与工作无关之事。

5.5.6 计算机设备一旦固定，不得随意搬动，更换位置，如因工作需要需做出变动，需向信息中心提出申请，由其统一调配；5.5.7 计算机操作员应爱护设备，操作时不得吸烟、吃零食，其它物品不得搁置于设备上，要保持室内及设备台面清洁、干燥。

5.5.8 计算机操作员对上机操作等技术性问题有疑问时，应及时向信息中心报告，并由其负责解答，各上机人员不得作尝试性操作。

5.5.9 计算机操作员在上机操作的过程中，若出现系统死机、不能启动、不能实现资源共享和网络通讯等故障时，应及时报告信息中心并由其处理，不能擅自作出处理。

5.5.10 计算机操作员不得随意使用外来软盘、光盘及其它移动存储设备，严禁将计算机中数据携带出公司，当确实因工作需要时，必须征得有关领导同意，向信息中心提出申请获准后方可进行。

5.5.11 任何计算机不得安装与工作无关的软件（如游戏、QQ等），不能在上班时间玩游戏、娱乐。

如工作需要需用聊天工具需向部门领导申请批准。

5.5.12 网络管理员负责对计算机病毒进行的定期升级。

注意事项：⏹严禁在公司网络上从事与工作无关的事项，严禁与工作无关的信息出现在网络上，违反者将视情节轻重给予处罚。

⏹公司网络由信息中心统一规划建设并负责管理维护、任何部门和个人不得私自更改网络布置，办公室如需安装集成器等必须事先与信息中心取得联系。

个人电脑及实验环境设备等所用IP地址必须按网络工程师指定的方式设置，不可擅自改动。

⏹严禁任何人以任何手段，蓄意破坏公司网络的正常运行，或窃取公司网上的保护信息。

⏹公司网上服务如DNS、DHCP、WINS等由信息中心统一规划，任何部门和个人不得在网上擅自设置该类服务。

⏹严禁任何部门和个人在网上私自设立BBS、NEWS、个人主页、WWW站点、FTP站点及各种文件服务器，严禁玩网络游戏、浏览图片、欣赏音乐等各种与工作无关的内容。

⏹任何部门和个人应保护公司的技术秘密和商业秘密，对于需要上网的各类保密信息要有公司总经理或总经理授权人同意。

⏹公司禁止任何个人私自订阅电子杂志，因工作需要的电子杂志，经审批后由公司信息中心集中订阅和管理。

5.5.13处罚规定⏹对于蓄意破坏网络正常运行，蓄意窃取公司内部机密的，查证核实后,罚款五万元以上，并移送司法机关处理。

⏹对于利用公司网络散布淫秽的、破坏社会秩序的或政治性评论内容的个人，作辞退处理，情节严重者将移送司法机关处理。