企业信息系统风险管理制度建设

一、信息系统管理的制度框架

管理信息系统是一个以人为主导，利用计算机硬件、软件、网络通信设备以及其他办公设备，进行信息的收集、传输、加工、储存、更新和维护，以企业战略竞优、提高效益和效率为目的，支付企业的高层决策、中层控制、基层运作的集成化的人机系统。

组成风险管理信息系统的总体架构来看，一般包括应用架构、数据架构和技术架构三个部分。应用架构主要描述的是支持企业管理的系统之间的关系，包括每个系统的作用，系统的范围和边界，系统之间的关系与衔接。从功能和业务范围上进行了系统间的界定，明确了不同的关键业务通过不同的应用系统进行支持，划定了系统内容的系牢范围和系统间的功能交流。数据架构主要描述的是企业数据资源、包括数据分类、数据标准、数据分布和管理、数据使用策略、各类数据与系统应用的关系。技术架构主要描述的是应用技术的实现方式，包括硬件、软件、网络，从接口定义、标准和服务等方面进行描述，以确保未来的系统服务平台和网络架构平台能够支持应用的部署和运行。

风险管理信息系统的设计需要经历需求分析、信息流确定、可行性研究、购买决策四个阶段。在需求分析阶段，主要识别信息系统的用户，了解各自的需求，以及目前可能满足这些需求的资源。在信息流确定阶段，主要得出整个的需求、资源和改善的信息流，可用一张流程图和相应的文字叙述来描述。在可行性研究阶段，主要将所有的成本项目找出来，并预测系统生命周期前三年的费用，在综合考虑货币时间价值的基础上将成本加总，通过计算出来的成本和效益值，评估在财务上是否可行。

为确保信息系统稳定、安全运行，并持续得到改进，需从网络层次、信息层次、设备层次三个方面予以保障。网络层次的安全要求是确保可靠性、可控性、可操作性和可计算性；信息层次的安全要求是确保信息的完整性、保密性和不可否认性。同时需要要根据战略所设定的目标和外部环境的不断调整，所面临的风险不断变化，管理和服务对信息化建设要求的不断变化和发展，信息系统也必须作出相应的调整。并针对技术和管理不断发展，需要不断持续改进和变新才能保持信息化系统的先进性，才能保持信息化的价值能力。

信息系建设是一项系统项目，因此在设计管理制度时，必须建立相应的组织保障机制和工作机制，统筹整个信息化建设的全过程，并纳入年度预算。在项目推进时，要强化项目管理，形成一支信息化建设专业队伍。

二、信息系统管理的制度模板

第一章　总　则

第一条　为进一步完善××公司（以下简称“公司”）信息化工作体系，科学规范地开展各项工作，充分发挥信息化对企业创新驱动、转型发展的促进作用，合理开发与综合利用信息资源，支撑企业内部控制体系建设，不断提升资产运行监管效能，推动企业可持续发展，夯实企业核心竞争力，结合公司实际，制定本办法。

第二条　本办法适用于公司所属全资、控股子公司和分公司（以下简称“各企业”）。各企业可根据本办法，结合本企业实际情况制定相应制度。

第二章　信息化组织保障

第三条　公司成立信息化领导小组。信息化领导小组由分管副总裁任组长，由相关部室或相关部门组成。信息化领导小组负责审议公司信息化规划、年度计划和总结，以及信息化建设重要事项的研究部署，营造良好的企业信息化发展环境。

公司科技部作为信息化管理职能部门，负责编制公司信息化发展规划、年度实施计划和有关制度，以及信息化工作的日常管理和协同推进。总裁办公室负责组织协调相关部门与企业规范管理流程，审核发布企业重要信息，负责管理协调公司协同平台与企业网站。党委办公室负责涉密信息系统及相关设备的管理。资产管理部负责信息化建设的投资管理。财务部负责信息化项目资金的使用管理。人力资源部负责推进信息化人力资源管理以及培训计划的编制和实施。企业发展部负责实现信息化专项规划与企业战略管理和企业发展规划融合。内控监察室负责企业信息化建设过程中的内部控制体系建设与维护。市场运营部负责业务信息系统的需求管理。相关部门负责信息化应用需求的提出，配合信息化项目的实施，以及信息系统的使用管理。

第四条　各企业是信息化工作主体和责任主体，全面负责本企业的信息化工作推进，包括信息化发展规划制定、年度信息化计划的安排、信息化项目的推进、信息化成果的总结与推广，以及日常基础管理等。各企业应设立信息化领导小组与信息化管理职能部门，有序推进企业信息化建设，有效支撑企业平稳较快地发展。

第五条　各企业应明确信息化工作分管领导，职级设置应在副总经理及以上。条件成熟的企业可探索设立首席信息官（CIO）制度，适时建立信息中心。

第三章　信息化工作机制

第六条　信息化发展规划是公司发展规划的重要组成部分，是公司信息化建设与管理的纲领性文件。各企业应遵循公司信息化发展规划，制定本企业信息化发展规划。规划应包括企业战略分析、企业能力分析、信息化需求分析、发展战略、发展蓝图、应用架构、数据架构、技术架构、安全体系、治理体系、实施策略以及项目投资估算的分析等内容。

第七条　各企业应将信息化规划中提出的目标和主要任务分解到年度经济工作中，并结合本企业实际，做好年度信息化绩效评估与信息化工作总结，确保规划执行有效。

第八条　各企业信息化领导小组应通过工作例会、专题会议、协调会议等形式有效推进企业信息化工作。每年应召开两次以上的工作会议，总结本企业年度或半年度信息化体系建设情况和研究年度工作或下阶段工作计划。不定期召开专题会议，研究重大信息化建设项目及专题工作。不定期召开协调会议，协调企业内外部资源，保障信息化项目和相关工作的顺利开展。信息化领导小组的相关会议应形成会议纪要并妥善保存。

第九条　各企业在推进信息化建设的过程中，应严格执行国家、行业及地方规定的强制性标准，使用统一的名词术语、分类编码、数据交换格式和信息描述方式，保证建成后的信息网络、应用系统能够互联互通。没有国家标准和行业标准而又需要在企业内统一技术要求的，可制定企业标准并及时发布，包括但不仅限于信息代码与数据定义标准、应用平台标准、业务流程标准、信息系统开发标准、系统间信息交换接口标准等。

第十条　公司信息化管理工作实施分级负责制，由上至下为公司、二级企业、三级企业三个层级，公司在做好本级信息化工作的同时，对二级企业信息化工作实施监督管理；二级企业在做好本级信息化工作的同时，应对三级企业实施监督管理；三级企业应做好本级与业务节点的信息化建设与管理工作。上一级信息化管理职能部门需不定期走访或抽检下一级企业的信息化制度建设、日常管理与工作落实情况，以推进公司整体信息化工作水平的提高。

第十一条　各企业应建立健全信息化工作管理制度，加强信息化组织管理、投资管理、运维管理、信息安全、应急响应等制度建设。依据全面科学的原则，管理制度要符合实际，权责明确，切实可行。当企业组织架构、管理模式等情况发生变化时，应及时修订，完善提升。

第十二条　各企业应加强信息化基础管理工作，动态掌握本企业信息化基础设施设备、信息系统项目建设、信息化人力资源等方面的变化信息，建立健全基础台账，形成长效管理机制。

各企业应定期填写《信息化建设基本情况表》，并于每年1月和7月的第1周上报公司科技部，同时应做好本企业信息化建设现状分析，查找不足，持续改进。

第十三条　各企业应遵循国家相关IT审计的法规并结合本企业的业务实际开展IT审计工作，结合企业内控体系建设需要，制定相应的IT审计准则、实施报表及报告。条件成熟的企业可委托具有IT审计资质的第三方开展IT审计工作。

第十四条　各企业应进一步提高知识产权的保护和尊重意识，自觉运用知识产权制度，促进科技创新和企业发展，注重自主知识产权的创造、占有和运用，提升无形资产的质量和效益。各企业应做好软件正版化工作。

第四章　信息化预算管理

第十五条　各企业应规范信息化建设投资，强化信息化建设预算的规范管理与合理投入。信息化建设预算纳入公司预算管理范畴。各企业应根据本企业年度经济工作计划，科学合理地编制信息化建设预算，并报公司。信息化建设投资预算纳入公司年度固定资产投资预算计划管理。

第十六条　各企业应对信息化预算实施动态管理，定期填写《信息化建设资金使用情况表》，并于每年1月和7月的第1周上报公司科技部。每年1月主要报告内容为：本企业上一年度信息化建设资金的实际投入情况和本年度信息化建设资金预算情况；每年7月主要报告内容为：本企业上半年实际投入情况和年度预测情况。各企业应做好本企业信息化投入分析，控制资金的规范使用。

第十七条　各企业在采购信息化软硬件产品或服务前，应科学选型，做好比选工作，结合企业实际和应用需求，选择性能稳定、价格合理的产品或服务，同时应做好比选记录并妥善保存。各企业应建立信息化设施设备台账，实施动态管理。

第十八条　信息化建设的招投标管理按照公司固定资产投资和建设工程相关管理规定的要求执行。

第五章　信息化项目管理

第十九条　信息化项目（信息系统项目）作为公司科技项目的主要类别，纳入公司科技创新管理体系。涉及固定资产投资（含信息化项目投资）的，应同时按照公司固定资产投资和建设工程相关管理规定的要求执行。各企业应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障、进度安排和信息安全保障措施等相关内容，按照规定程序审批后实施。

第二十条　各企业信息化工作归口管理部门应积极组织内部各单位或部门提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，并按照建设方案、开发流程和相关要求组织开发工作，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

各企业开发信息系统，可以采取自行开发、外购调试或业务外包等方式，选择外购调试或业务外包方式的，应择优确定承担本企业信息系统开发、部署及维护的供应商，并组织评估，包括但不仅限于：企业规模、专业资质、项目团队、技术路线、服务水准、成功案例，以及所提供产品或服务的性能与价格等。

各企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

应针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。

应在信息系统中设置操作日志功能，确保操作的可审计性。

各企业信息化工作归口管理部门应加强信息系统开发全过程的跟踪管理，加强项目各相关方的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成项目。

各企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。

第二十一条　信息化项目申报。各企业应在年度科技工作计划会议预报年度信息化项目和预算，并在每年11月和次年6月正式申报。

第二十二条　信息化项目立项。根据公司固定资产投资和建设工程相关管理规定的要求，信息化项目由项目实施单位专题向公司上报可行性研究报告等文件，由公司审批。

公司级信息化项目立项。公司每年分两批组织各企业申报，并组织审定一批信息化项目列入公司级科技项目，于年度公司科技项目一并下达。各企业应加强项目实施前的立项可行性分析，严格执行项目申报审批流程。

各企业应积极组织本企业开展信息化建设，规范项目立项。

第二十三条　信息化项目实施。各企业应按计划进度认真组织实施信息化项目，列入公司级的，实施单位应在每季首月10日前向公司科技部报送项目上季进度情况报告，填写《信息化项目实施情况跟踪表》。

第二十四条　各企业在信息化项目实施过程中，应注重自主创新和知识产权保护，积极提升自主创新能力，融合创新的管理理念和方法。努力通过掌握源代码或核心技术来获取自主知识产权，积极申请软件著作权，做好知识产权保护工作，为信息系统的二次研发及引进消化吸收再创新创造条件。

第二十五条　各企业在开发应用系统的过程中，应逐步形成相应的管理制度，规范变更审核确认流程。应用系统投入运行后，应及时制定相应的管理制度，尤其是用户权限与信息发布的管理，包括但不仅限于：用户开通规则、权限划分规则、信息发布审核制度、用户操作手册、系统维护要求、应急响应计划等。涉及二次开发或系统补丁时，应做好变更记录并及时修订应用系统管理制度。

第二十六条　信息化项目验收。项目实施主体单位应在项目完成并开展试运行（一般不超过3个月）后及时组织项目验收。具备条件的，应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。(www.xing528.com)

项目验收的前提条件：项目合同规定的建设任务已完成，并符合项目建设目标；系统的功能、性能等指标达到设计要求；项目已试运行；完成相关的培训工作，落实售后服务措施；项目验收资料齐全。

项目验收资料包括但不仅限于：项目招标相关资料、立项审批文件、项目合同及附件、项目概要说明书、系统需求说明书、项目变更申请与审批文件、项目承建单位提交的项目验收申请报告、用户试运行报告以及项目技术文档等。

第二十七条　信息化项目结题。项目竣工后，要及时做好项目总结，主要对项目研究工作的完成情况进行总结和综合评价。包括：攻克关键技术及效果、科技成果应用、对公司经济以及对社会的影响、知识产权的形成、项目产生的经济效益和社会效益、项目应用前景、科技人才培养情况。

纳入公司级的信息化项目竣工后，应在30日内向公司科技部上报项目总结报告，填写《科技项目竣工表》。

第二十八条　信息化项目后评估。投入运用3年以上的信息化项目，应开展项目后评估工作。主要是对信息化项目计划目标的实现程度、完成效果，项目成果的技术创新性、先进性、适用性和实用化水平，项目的综合效益和影响，推广应用和产业化前景等进行客观分析并做出综合评价。

项目后评估要求：

（一）填写《科技项目后评估自评价表》。

（二）根据科技项目后评估内容编写后评估报告，报告编写格式参见《科技项目技术总结报告提纲》。

（三）提供获得各类奖项和各类证明材料。包括各类获奖证书；知识产权证明文件（如：专利证书、软件著作权、技术转让合同等）；有资质的检测机构出具的产品质量、性能抽检或现场检测（验）报告；市级以上（含）查新单位出具的科技查新、水平查新（检索）报告；国家和本市相关科技计划项目验收证书或相关证明、上海市高新技术成果转化认定证书等；产品技术标准、产品用户定性、定量使用意见（报告）等证明材料等。

第二十九条　信息化项目成果管理。各企业应做好信息化成果的积累和保护工作，并将取得的科技成果（包括软件著作权等）及时上报公司科技部进行成果登记。

第三十条　《信息化项目建设的一般流程》。

第六章　信息系统运维管理

第三十一条　各企业应建立关键设备日常巡视制度，定期检查中心机房和关键设备的运行状态和日志，及时查出存在的故障隐患，保障设备处于良好的运行状态。

第三十二条　各企业务必要增强版权保护意识，自觉抵制盗版，深化软件正版化意识，营造“保护正版、使用正版、拒绝盗版”的良好氛围。

各企业要根据业务与岗位实际需要，合理配置服务器与计算机，减少冗余量，控制正版基础软件使用的实际需求量，对确属工作需要的软件，要安排预算购买正版软件，严格硬件采购与相应正版软件同步预算、同步配置和同步使用，加强源头控制，促进本企业软件正版化工作的顺利推进。

各企业可考虑采购具有相近功能且兼容性较好的国产正版软件，以降低正版软件的部署成本。

各企业应遵循“谁使用谁负责”的原则，使用正版软件，并加强管理，包括软件版本号、授权数量、序列号及安装介质等，安全软件需定期检查特征库更新情况。

第三十三条　各企业应有效管理应用系统，为应用系统设计开发、集成、维护和改进提供有效的支持。主要包括以下几方面工作：

（一）做好正确性维护，一旦发现系统错误或漏洞，应及时予以纠正。

（二）做好适应性维护，以适应外界环境变化。

（三）做好完善性维护，扩充现有软件功能、改善系统性能。

应当建立信息系统变更管理流程，信息系统变更应严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。

第三十四条　各企业应根据各应用系统的使用特点、重要程度、使用范围，制定并执行相应的数据备份策略，同时应在安全风险评估的基础上，制定信息系统应急响应预案。

第三十五条　各企业应有序管理本企业的内网IP地址和网络接入服务，包括互联网接入服务与公司虚拟专网（VPN）接入服务等。要针对本企业信息化环境涉及的系统网络、应用系统、用户终端、内容信息的安全实施监管，及时响应和规范处置。

第三十六条　各企业应明确界定外包服务范围，规范管理软硬件供应商，主要包括供应商资质、技术水平、服务质量、技术文档等，并签订服务合同和保密协议。

第三十七条　各企业应规范运维管理制度与流程，有效积累运维管理经验、故障解决方法及相关知识，形成运维知识管理体系，实现知识共享，逐步提升整体工作效率。应将本企业应用系统的操作步骤、调试方法、常见故障解决办法编制成电子文档，便于文档修订与用户培训。应妥善保存软件安装介质和硬件驱动程序，便于运维人员及时安装，排除故障。应向业务部门提供技术咨询与操作培训等技术支持服务。在日常工作管理过程中，各企业要做好相应记录。

第七章　信息系统运行安全保障

第三十八条　各企业应按照公司计算机信息系统安全保密相关管理办法的具体要求，建立健全本企业相应的信息安全管理制度，并以此作为本企业信息安全基础架构的重要组成部分，不断完善技防与人防体系。

第三十九条　各企业应按照公司VPN安全联网规划的统一部署要求，实现安全互联与信息互通，确保公司各层级企业纵横向之间协同办公与业务数据的安全访问。

各企业应设定专人对VPN设备进行运行维护及用户账号的管理，VPN固件版本更新必须与公司保持一致，有效保障VPN安全链路的稳定运行。

第四十条　信息安全事件的处置。各企业应制定信息安全事件应急响应预案，并定期组织演练，有效预防和处置信息系统安全突发事件，及时控制和消除信息系统安全突发事件的危害和影响，保障信息系统的安全稳定运行。一旦发生信息安全突发事件，须根据突发事件等级，启动相应的应急预案。

特别重大事件（1级）、重大事件（2级）的处置流程须按公司计算机信息系统安全保密相关管理办法的规定实施，同时须填写《信息安全事件处置报告》上报公司相关部门。

发生较大事件（3级）、一般事件（4级）的，由责任主体按本企业相关办法进行处置，做好相关记录，填写《信息安全事件处置记录表》，并于本企业备案。

第八章　信息化工作绩效管理

第四十一条　信息化工作绩效管理。信息化工作绩效管理纳入公司科技创新管理体系范畴。其中包括每年将信息化建设内容纳入公司科技创新指标中，作为对企业经营者年度考核范畴；每年将信息化项目列入公司科技项目中开展科技成果奖评审，每年将评审信息化项目优秀项目团队和领军人才，并于公司年度科技工作大会予以表彰。

第四十二条　信息系统运营绩效管理。信息系统运营绩效体现为业务运营效率、客户服务水平、市场获取能力等。各企业在日常运营过程中，应有效积累反映信息系统绩效的相关数据信息，积极研究可以量化衡量信息系统绩效的参考指标，探索形成公司各类信息系统运营的绩效指标体系。

第四十三条　信息技术人员绩效管理。各企业应科学合理地考核信息技术人员的工作绩效，包括信息技术人员参与信息系统从需求调研、系统分析、系统设计、部署实施、运行维护、安全管理、项目管理、系统评估等相关工作的实绩，工作量评估、工作规范审核与满意度调查等，形成量化的绩效指标，加强管控，提升能力，确保信息化建设有效推进。

第九章　信息化人才队伍建设

第四十四条　各企业应明确信息化工作相关岗位职责要求，配置相应人力资源。要积极采取措施，多渠道多形式培养和引进既熟悉信息技术又了解业务管理的复合型人才，形成适应资产监管运行与信息技术应用融合式发展的专业人才队伍。

第四十五条　各企业应全方位开展信息化培训工作，通过年度人力资源培训计划制定和实施、信息化项目建设配套培训、设备厂商培训及技术交流等途径，培养支撑企业信息化持续发展的人才队伍。应加强领导人员信息化知识培训，有计划有针对性地组织开展本企业员工的信息技术培训与技能比武，熟练掌握适用信息技术，有效拓宽信息化人才的知识面，提升信息化人才的专业水平，提高企业管理人员的信息化应用能力，逐步提高全员的信息技术能力。

第四十六条　各企业应充分利用各种信息化手段组织开展全员的电子化学习培训。

第十章　附　则

第四十七条　本办法由公司科技部门负责解释。

第四十八条　本办法自印发之日起生效并实施。

三、制度要点解读

信息化建设是为了整个经济单位及其每个损失暴露单位而设置的工具，对于风险管理过程乃至经济单位的全部活动都起着重要的作用。在设计制度时，只有涵盖风险管理基本流程和内部控制系统各环节的信息系统，才是最有效的，而这一系统应该包括信息的采集、存储、加工、分析、测试、传递、报告、披露等诸要素。在制定制度时，要把握“三分技术、七分管理”的特性，重点突出管理，而非技术。