18.2-C4
预防性
机房管理每天检查机房温度、湿度以及防火、防水、清洁情况，并记录上述工作情况，保管有关的文档
月
机房环境情况记录表
18.2-PR5
机房管理员未定期检查机房主要设备的运行使用情况，可能导致设备的持续正常运转无法保证，造成公司的业务正常运营受影响
18.2-C5
预防性
机房管理员每天检查UPS的工作状态，每季度对UPS电池放电一次，并记录上述工作的情况，保管有关的文档
公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责，无法有效防范设备出现异常物理状况而不能运行
18.2-C3
预防性
1）保持键盘、鼠标、显示器、主机干净，各种接口紧固，严禁带电插拔计算机的各种配件；
2）计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用；
3）计算机或附属设备发生故障，使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件；
4）任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路，因工作原因需要移动的，及时通知系统管理人员，由系统管理人员报行政人事部办公室；
5）电信网及处室网络相连的机房建设，在电源防护、防盗、防火、防水、防尘、防雷等方面，采取规范的技术保护措施
月
机房环境情况记录表
18.2-PR4
机房管理未检查机房的环境和状态，可能导致机房设备受损，造成公司的资产和数据安全受影响
1.4职责分工
ERP专员：负责公司信息化安全管理，ERP系统及服务器的建设规划、安全运行及定期维护。
1.5流程图
1.6控制矩阵
18.2-PR1
信息中心的出入未严格控制，可能导致系统设置被篡改或安全被破坏，影响公司的数据安全
18.2-C1
预防性
行政人事部下属办公室指定专人管理机房和配线箱。如果非工作需要，任何人不得进入。机房管理员对经批准进入的人发放钥匙，并记录和保管有关文档
月
系统病毒查杀情况记录表
18.2-PR9
公司未建立系统安全保密与泄密追究制度，可能导致系统接触人员未能对数据保密，公司机密数据外泄，影响公司日常生产经营
18.2-C9
预防性
公司网站的系统软件、应用软件及信息数据要实施保密措施。涉密信息不得在上网设备上操作或存储，所有接入网络的用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责
18.2-PR8
系统中未安装有效安全软件或采取有效措施防范系统受到病毒等恶意软件的感染和破坏，可能导致系统无法持续稳定运行，影响公司日常经营生产
18.2-C8
预防性
信息系统使用部门会同信息管理员进行正版杀毒软件的采购并定期杀毒，对所有在用计算机必须定期进行病毒检测，使用广域网的计算机要严防病毒通过网络传播。微机维护人员对杀毒软件应定期或不定期升级
3）会计岗位权限包括软件功能权限、科目使用权限、报表使用权限及其他权限，应根据各会计岗位工作内容经会计机构负责人授权后由系统管理员负责授予权限，临时性授权在完成会计机构负责人所批准的任务后立即收回；
4）出纳员、维护人员、程序人员均不准进行数据录入操作
年
系统人员职责分配表
18.2-PR7
操作软件被操作人员随意变更、更新、删除、修改等操作，可能导致系统环境配置被改变，影响系统正常稳定运行
年
保密协议
18.2-PR10
缺乏有效的系统故障处理平台及处理程序，可能导致业务中断，影响公司的日常生产经营
18.2-C10
发现性
系统运行时，应获得充分的维护保障。系统发生故障时，系统管理员应及时给予处理。月末、年末时更应立即解决。属于系统优化或不影响正常业务流程的问题，系统管理员可视工作需要决定解决的时间。对于系统运行环境变化、单位核算方式变化、管理需求变化等问题，系统管理员应进行合理的预计，提前规划，制定实施方案，确保系统的平稳运行
月
故障应急处理机制
18.2-PR11
服务器中安装软件无授权批准，可能导致数据安全环境受损，影响业务的持续稳定和数据的准确完整
18.2-C11
预防性
系统的服务器中安装软件须经过行政人事部下属办公室的批准，由操作系统管理员在测试环境中安装测试后，再在此服务器中安装。软件安装的全过程，由操作系统管理员记录和保管相关文档
月
出入登记表
18.2பைடு நூலகம்PR2
各类人员未经授权可随意进出设备存放地或触摸系统关键设备，可能导致设备遭遇人为损坏，影响公司日常生产经营
18.2-C2
预防性
行政人事部下属办公室指定专人管理机房和配线箱。如果非工作需要，任何人不得进入。机房管理员对经批准进入的人发放钥匙，并记录和保管有关文档
月
出入登记表
18.2-PR3
年
软件安装审批表
18.2-PR12
未采取必要的措施监控直接读写数据库数据的操作，可能导致数据发生未经授权的篡改或丢失，影响业务的持续稳定或财务数据的准确完整
18.2-C12
发现性
数据库管理员每季度对直接访问数据库的情况进行检查，禁止未经授权的直接访问数据库的情况存在
季
数据库访问记录
18.2-PR13
18.2-C7
预防性
1）操作人员离开系统时应退出系统或进行系统封锁，操作人员对自己口令下的所有操作及安全负完全责任；
2）系统管理员应每月检查一次工作日志，核实操作人员的上机时间、操作内容等；
3）财务部门应会同信息管理员严格保护所有在用正版软件的版权,包括网络、数据库、操作系统、财务软件等
月
系统工作日志
月
机房设备定期维护登记表
18.2-PR6
系统未建立适当的职责分离制度，可能导致系统人员职责存在冲突、数据发生篡改，影响公司日常生产经营
18.2-C6
预防性
1）系统管理员要根据用户的岗位加强对用户访问的控制，根据需要分为不同的级别，对不同级别的用户设置访问文件、数据等资源的不同权限；
2）财务信息系统超级管理权限由会计机构负责人管理，会计机构负责人授予系统管理人员数据备份和其他日常工作权限；
更改数据库安全设定或参数时(例如：口令设定）未进行相关授权，可能导致数据安全环境受损，发生未经授权的篡改或丢失，影响业务的持续稳定或财务数据的准确完整
18.2 信息系统运行、维护、安全管理
1.1概述
规定了XXX股份有限公司及其下属公司有关信息系统管理方面的具体要求，涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程，旨在确保公司信息系统运行的安全性及稳定性。
1.2适用范围
适用于XXX股份有限公司及其下属公司。
1.3相关制度
暂缺，建议补充相关制度。