IT 内控管理制度(总则)1 月的为加强公司 IT 内部控制管理工作,规范信息系统的开发、维护、使用等行为,提高信息系统对公司现代化管理的支撑水平,降低因内部控制制措施缺失或不够完善带来的数据安全风险,特制疋本制度。2•适用范围本制度适用千公司及下属分子公司所有外购或自行开发的信息系统及其开发、维护、使用人员。3.信息系统开发与变更管理信息系统变更分为三个级别系统开发(I 级)、重要系统变更(II 级)、非重要系统变更(III 级);系统开发([级)根据项目涉及内容重要程度与紧急程度分为 S 级、A 级、B 级和 C 级等四个级别;系统开发必须通过立项申请,在各项目成员充分了解项目背景、重要性并确认需求后,方可开展后续开发工作;系统的开发型更、测试、上线须严格按照开发/变更流程规范、需求方案要求进行;系统开发或变更必须对开发人员、测试人员和上线人员进行严格分离,确保系统在功能、性能、控制要求和安全性等方面符合开发/变更需要,防止上线过程中对系统代码的篡改;系统开发或变更过程中,应保留有关记录,以备查验或进行问题追溯;系统开发管理详细要求请参见《信息系统项目管理及开发管理规范》;系统变更管理详细要求请参见《信息系统变更管理规范》。4 信息系统运行维护管理针对面向玩家的重要系统及平台,应设置系统运彳亍猜况自动监控程序,并由程序自动向运维部发出告警,如发现运行状态异常应立即查找原因并跟踪处理;信息系统应开启操作日志记录功能,并设置异常操作自动告警,如发现异常应立即跟踪处理;信息系统应定期执行数据备份和异地备份,如需对备份文件逬行传递、转移须进行备份文件交接登记;数据备份后应执行恢复性测试或可读测试以保证备份数据的可恢复性;信息技术故障根据《37 技术中心事故等级定义》相关规定进行分级,故障处理人员判断故障分级后应及时按照相关流程跟踪处理并逬行记录;信息系统运行维护管理详细要求请参见《信息系统运行维护管理规范》。5,信息系统用户账号管理信息系统应严格按照密码长度、复杂度、有效期、最多试错次数、重用次数等的相关规定设置系统密码策略,同时系统用户应注意账号密码的保管以防止账号密码外泄;信息系统账号的新增、修改、删除/禁用应按照规定流程进行申淸审批后方可执行,同时须保留相关审批记录或文档;信息系统管理员账号仅由获得授权人员持有,且同一账号不得由两个或以上人员待有,管理员岗位任职人员离职后应及时进行账号删除、禁用或密...
