证券有限责任公司信息技术部内部控制制度模版.docx-淘文阁

资源描述

《证券有限责任公司信息技术部内部控制制度模版.docx》由会员分享，可在线阅读，更多相关《证券有限责任公司信息技术部内部控制制度模版.docx（28页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、证券有限责任公司信息技术部内部控制制度第一章总则第一条本制度的制订目的在于确保全公司的计算机工作管理工作制度化、规范化，防止技术事故发生，保障业务系统的安全、高效运行。第二条公司信息系统管理工作实行集中统一管理原则。集中统一管理系指在公司系统内以统一规划、统一标准、统一应用、统一实施、统一采购的方式分步实施推广计算应用技术，并对计算机技术应用进行日常运营管理。第二章组织结构第三条公司技术管理工作实行统一归口管理。公司设立信息技术部负责整个公司的技术管理工作，营业部相应设立计算机工作管理部门（以下简称电脑部）负责营业部的技术管理工作。第四条信息技术部是公司信息系统规划、建设、管理的

2、主管部门。内部应建立职责明确、相互制约的分工体系，应对重要岗位实行双人双岗，包括网络管理、系统管理、应用管理，另外还需设置安全管理员、安全审计员。技术部的主要职能是：（一）负责公司信息系统建设的总体规划并组织实施；（二）负责公司信息系统安全管理；（三）及时处理证券交易所及有关主管部门下发的涉及信息系统运行的数据、文件和各类通知；（四）负责营业部电脑负责人的技术资格审查；（五）指导和监督下属营业部电脑部工作，定期或不定期的专项检查；（六）负责计算机硬件、软件、服务的采购；（七）负责计算机软件的开发；（八）审核计算机硬件设备报损、报废；（九）负责交易业务数据及其他重要数据的备份与

3、管理；（十）公司授权的其他工作。第五条电脑部负责本营业部信息系统日常的运行、管理与维护。电脑部在技术上接受技术部的指导和监督。电脑部的主要职能如下：（一）强化安全意识，自觉遵守信息技术部下发的各项制度和规范；（二）负责本营业部计算机系统的建设、运营维护工作，配合技术部完成系统上线工作；（三）负责本营业部计算机系统的安全管理工作；（四）负责本营业部计算机信息系统各类技术文档的收集、整理、分类、归档、备份和保存工作；（五）负责对本营业部业务人员进行计算机操作指导和计算机应用技能培训。第六条信息技术部、电脑部应根据各自的职责建立明确的岗位责任制，确保不相容职务有效分离、相互制衡。第三

4、章人员管理第七条技术任职人员，必须符合以下标准：（一）满足监管要求的IT专业教育经历；（二）具备证券行业从业人员资格证书（对新毕业或从其他行业应聘过来的，需根据公司人力资源部门要求，在限定期限内获得从业资格证书）（三）良好的道德品质，无不良社会行为记录。（四）优秀的团队精神；（五）能够积极学习业务和专业知识。第八条技术人员必须严格实行公司对人员试用期的管理。在试用期表现特别优秀者，可报请公司人力资源部及公司领导后方可提前转正，但最短不能低于一个月。第九条营业部电脑部经理由营业部提名，信息技术部负责资格审查，营业部其他电脑人员的聘用需报公司信息技术部审核，信息技术部具有否决权。

5、第十条其具体管理办法按公司人力资源部相应管理办法执行。第十一条技术人员的年度考核工作在公司统一的考核体系下，增加专业技能考核指标。第十二条营业部电脑部经理的两天以上（含两天）的公出需报公司技术部备案；营业部电脑部经理休假需报公司技术部核准。第十三条营业部电脑部经理调离工作岗位或离职，必须报公司信息技术部核准，并由信息技术部监督下办理离岗手续。第十四条营业部电脑部其他工作人员调离或离职，必须报公司信息技术部备案，并按交接流程履行工作交接义务。第十五条技术人员在调离岗位或离职时，须严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料、门卡和钥匙。交接所有系统和设备的口令，离岗后信

6、息系统的口令必须立即更换。使用的计算机系统的用户号要注销，自公司批准其离岗后必须与交接任人员共同工作20个工作日以上。第十六条外来人员必须遵守行政管理部和信息技术部对公司办公区和机房区域进出管理要求，进行登记和确认，部门员工必须在指定的会客室进行接待。第十七条部门所有人员必须将工作用机进行密码锁屏，方能离开工位，离开工位前应检查桌面是否放置有重要信息资料，离开前应将重要信息资料进行归类存放在资料柜中。第十八条记载有信息的纸质资料过期不用时，应将纸张在碎纸机上进行粉碎，防止信息资料被泄漏。第十九条员工应该自觉学习安全知识，必须定期接受安全培训，信息技术部定期组织公司信息技术人员信息安全知

7、识培训工作。第二十条第三方人员进入办公区域或机房按照xx证券办公区域进入管理办法和信息技术部中心机房管理办法的有关规定进行约束和管理。第四章信息系统管理第一节系统日常管理第二十一条负责机房环境基础设施的检查、例行维护、故障报修、配合外部维护人员进行设备维护等机房日常工作。第二十二条负责业务系统、辅助业务系统、办公系统的日常维护工作：包括每日的开市前的准备、盘中监控、周维护、主机病毒码升级、收盘作业、月维护和季度维护工作；第二十三条负责基础设施、硬件、应用的监控配置、运行情况的监控，发现问题及时汇报。第二十四条每日进行开市前的各项准备工作，按照信息技术部日常操作管理办法进行操作，并

8、进行夜间清算技术支持和数据备份，同时按照数据介质管理办法进行数据介质管理工作。第二十五条按照中心机房运营管理办法对中心机房进行管理。第二十六条按照信息技术部应急操作手册对事件进行处理。第二节应用管理第二十七条应用管理员负责制定应用管理制度，并负责应用系统的上线、维护等管理工作，并负责应用安全事件的处理。第二十八条应用管理员每日按时填写应用系统运营日志。第二十九条应用管理员按照维护流程对业务系统、办公系统进行例行维护，涉及到软硬件变更操作须进行系统变更记录。第三十条系统日常维护人员须按照应用系统日常操作流程对应用系统进行日常操作。第三十一条新系统上线前需要事先制订好各项相关流程，

9、并与网络组、系统日常维护组成员共同商讨系统上线后的日常运营维护工作。第三节系统管理第三十二条系统管理小组负责主机管理，数据管理及机房基础设施规划及上线管理，并制定其相关管理制度。第三十三条每交易日对重要数据进行备份，并对数据进行有效性检查，填写系统维护日志等运维记录。第三十四条对系统软件出现的异常进行跟踪分析，查找问题原因，提出解决方案，系统运营小组负责人批准后，负责解决方案的实施，对于需要进行配置变更的应当提交变更请求，问题解决后，应对问题和事件进行记录。第三十五条当需要联系外单位进行硬件报修时，通知桌面管理组进行联系报修。第三十六条定期对主机、数据库、机房基础设施进行性能及容量

10、分析。第三十七条定期分析监控数据、系统日志、应用日志，发现存在的安全隐患，提出优化和解决的办法，确保数据的安全性。第三十八条定期与日常管理组进行数据交接，数据借阅、销毁及保管严格按照数据介质管理办法进行。第三十九条新购置服务器应按照服务器安装上线流程进行安装配置，配置完成后移交系统应用组。第四节网络管理第四十条监督指导机房维护人员对网络布线配线架的管理，确保配线的合理有序。第四十一条确保各种网络应用服务运行的不间断性和工作状态良好，出现故障时应及时与网络工程师沟通将故障造成的损失和影响控制在最小范围内。第四十二条每日监控公司网络情况，包括业务网、互联网出口、办公网流量监控，网络事

11、件的日常处理，填写监控日志。第四十三条负责公司整个网络系统日常维护工作：包括每日开市前的检查、盘中监控、周维护、月维护和季度维护工作。第四十四条制订和修订应急方案，指导和监督系统维护小组日常变更工作的实施，参与各种测试工作和上线工作。第四十五条协调电信运营商解决线路开通与故障问题，配合外部网络维护人员的维护工作。第四十六条维护和更新网络资料、网络配置、网络拓扑的管理的各类技术资料，负责网络资料的入库管理工作。第五节灾备管理第四十七条负责灾备系统、网上交易系统的维护、与核心业务系统的数据同步、监控和相关事件的处理、恶意代码更新。第四十八条对网上交易和灾备系统软件出现的异常进行跟踪分

12、析，查找问题原因，提出解决方案，系统运营小组负责人批准后，负责解决方案的实施，对于需要进行配置变更的应当提交变更请求，问题解决后，应对问题和事件进行记录。第四十九条组织灾备系统、网上交易的测试、上线、变更和容量管理工作，涉及变更的，发起变更请求，并通知测试组进行测试。第五十条负责灾备系统、网上交易系统配置资料整理与完善，并负责相关资料入库工作。第六节营业部管理第五十一条营业部管理组对营业部电脑部运营维护、制度落实等工作情况进行定期或不定期的现场或非现场检查。第五十二条组织营业部电脑部的测试、上线、变更工作，收集整理营业部测试反馈记录。第五十三条协助营业部异常事件的处理，提交事件处理

13、报告。第五十四条组织营业部定期参与整个公司应急计划演练工作，收集营业部应急演练记录。第五十五条督促营业部电脑部完成营业部信息系统资料的登记入库，组织营业部集中完善营业部资料库。第五十六条根据所属分支机构各个岗位每周系统运营状况报告，提交营业部系统运营周报，定期汇总营业部电脑部月度工作总结，并提出合理性改进建议。第七节信息安全管理第五十七条规划部门信息安全架构，制定安全策略并督促实施，并实时追踪新的安全技术、安全产品。第五十八条制订和管理部门内部事件报告流程的。第五十九条收集、整理、规范部门各环节中使用的工作文档、模板，汇总形成部门的标准文档。第六十条协调公司内部、外部稽核审计和

14、安全检查工作，汇总相关材料。第六十一条每日按时填写信息系统安全设备的巡检日志。第六十二条定期对部门安全制度进行审核，保证公司信息系统安全体系稳定运营。第六十三条定期检查各个应急计划是否完整覆盖整个核心系统，督促完善应急计划工作。第六十四条定期组织信息安全培训，制定培训计划，安排培训内容。第六十五条定期进行信息安全巡检与评估，并生成报告。第六十六条在信息安全工作管理过程中，建立和健全与外部组织、内部部门间的协调、沟通机制，并负责安全管理制度的解释工作。第六十七条信息系统安全等级保护测评周期1) 定期对报备系统进行测评；2) 一级系统定期进行自查；3) 三级系统每年邀请专业测评机构进

15、行测评，并在证监局和公安局报备测评结果文件。第六十八条系统测评时，部门和人员安排1) 信息技术部负责测评工作的协调与开展等事宜；2) 信息安全员配合测评机构完成测评过程中的取证、检查、访谈等工作，并根据测评结果提出整改方案，负责系统整改的实施与完善工作；3) 信息技术安全领导小组负责对信息技术部的测评工作进行指导和监督。第六十九条测评机构选择遵循原则1) 中华人民共和国境内注册成立（港澳台地区除外）；2) 有中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）3) 从事相关检测评估工作两年以上，无违法记录；4) 工作人员仅限于中国公民；5) 法人及主要业务、技术、人员无犯罪

16、记录；6) 使用的技术装备、设施应该符合信息安全等级保护管理办法对信息产品安全的要求；7) 具有完整的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；8) 对国家安全、社会秩序、公共利用不构成威胁。第七十条测评机构需要提供的材料，包括但不限于营业部执照、声明、相关证明及资质材料。第七十一条测评工作中的保密管理测评机构人员在测评期间应严格遵守公司各项安全管理制度，发现违反公司规定的视情况取消合同关系；与测评机构或测评人员签订保密协议或保密承诺书。第七十二条测评机构必须在测评前必须制定技术检测的方案，方案中必须并明确双方的职责，确定异常的回退应急方案，方案由公司信息安全登记保

17、护小组进行审核。第七十三条测评机构在技术检测过程中，技术部必须进行监督，系统检测必须是在清算后和节假日进行。第七十四条测评方测评后需出具完整的检测报告，测评结果必须是客观、公正。对不符合安全标准的项目提出整改意见。第七十五条对新系统建设，需按照信息安全等级保护管理办法要求实施，建成后公司信息安全小组对系统进行定级，技术部向相关部门进行报备，新系统的测评遵循以上规定。第八节网络安全管理第七十六条公司内部网络严格按照业务或应用的需求进行适当分离，对安全级别为三级的业务或应用必须采取物理隔离措施与办公网进行隔离。第七十七条网络设备和终端采用静态IP地址分配，重要网段的终端设备应将MAC地

18、址与IP地址进行捆绑，禁止未经授权的设备接入公司网络。第七十八条使用无线网络设备时，必须指定MAC地址，同时要有口令认证，对核心网络需要采用加密传输策略。第七十九条广域网线路需要在主线路外，提供不少于二种的线路备份方案；核心网络设备需采取热备份机制。第八十条员工在使用VPN方式从外部网络访问公司内部网时，必须经由必要程序获得授权，明确已了解使用VPN所存在的风险，并掌握基本的防范方法。第八十一条网络管理员应建立网络状态自动监控机制，以确保能够在第一时间内发现网络故障。第八十二条网络管理员应定期察看网络安全设备(防火墙)日志和流量分析，对异常情况应及早进行处理，并至少保存三个月以上的日

19、志记录，以便对事件进行跟踪、追溯。第八十三条网络设备的更换和补丁升级均应按照变更流程进行操作，制定回退计划，并做好变更后的测试工作。第八十四条公司员工在使用内部网络时，应遵循以下要求：1) 禁止下载与业务无关的软件；2) 禁止访问国家法规限制内容的站点；3) 禁止在交易时间内使用耗费网络带宽的应用，如：视频会议、P2P软件等；4) 严格限制在公司内部网使用即时通讯软件、网路游戏客户端软件；5) 严格限制使用VPN，不得将VPN口令、认证证书交由第二人使用。6) 在互联网接入方面应达到以下安全要求：7) 对公司内可访问互联网的终端与核心业务系统必须实行物理隔离；8) 对于来自互联网的访问采用

20、可靠的身份认证、访问控制和安全审计措施，防止非法接入和非法访问。9) 访问互联网的终端必须安装有防后门软件（推荐使用微软AntiSpy程序）；10) 禁止终端直接接入互联网，必须通过防火墙（硬件或软件防火墙）访问；第八十五条网上委托系统应达到以下安全要求：1) 通过国家权威机构的安全认证，重要技术产品通过国家权威机构的安全测评，达到主管部门的规定要求；2) 采用可靠的技术和管理措施进行客户身份认证；3) 采用有效技术措施达到防抵赖、防篡改、防窃取等功能；4) 网上委托服务器所在的网络与内部核心网络相隔离。5) 所有可配置的网络设备按最小安全访问原则设置访问控制权限，关闭不必要的端口及服务；6

21、) 妥善保管和定期更换网络设备的远程访问密码，密码设置必须具备规定的复杂性。7) 完整保存网络设备配置文件，并及时更新。第九节应急管理第八十六条公司应急管理依据国家突发公共事件总体应急预案、国家金融突发事件应急预案、证券、期货市场突发事件应急预案、中国证监会机关突发公共卫生事件应急规定（暂行），结合公司工作实际，本着“谁主管谁负责、谁运行、谁负责”的原则，充分发挥公司各方面力量，按各自的职责划分，分级处理。第八十七条信息系统应急管理应按照“预防为主、加强监控；快速响应、职责分明”的原则，不断通过细化应急预案，加强应急演练，提高突发事件应急处置能力。加强人员培训和演练，提高员工安全意识，并

22、配合风险排查，做好应急处置的各项准备，严格执行信息系统监控值班制度，确保故障和问题及早发现。第八十八条详见信息技术部应急操作手册、营业部信息系统应急手册。第十节数据管理第八十九条集中交易数据实时同步备份，由中心机房通过同步系统在交易期间实时同步到备份资金服务器和灾备中心；第九十条清算数据：每日清算后，同步到本地备份服务器和灾备中心。并加密压缩刻录dvd光盘，存放在同城异地保管箱内。第九十一条各个系统数据同步到备机，并刻盘存放在同城异地保管箱内。第九十二条定期对数据的一致性进行检查：定期在测试环境中恢复备份数据，检查备份数据的有效性、可用性和一致性。第九十三条详见数据介质管理办法。

23、第十一节安全审计管理第九十四条业务系统实行定期审计，每年对系统进行一次全面审计，审计的依据是按照公司信息系统审计工作底稿，根据对系统检查的结果，审计交易业务系统的可靠性和安全性。第九十五条系统审计检查内容包括物理安全检查、网络安全检查、主机安全检查、运用安全检查、数据安全检查、业务可持续性安全检查、制度有效性检查和执行情况检查等部分。第九十六条审计人员由IT总监指派专人负责。第十二节测试管理第九十七条负责系统上线前的验收测试及上级主管部门安排的测试。第九十八条测试前必须制定测试方案，编写测试文档。测试文档应包含测试人员、测试用例、测试计划及测试过程。第九十九条根据不同测试内容，

24、由相关小组（应用管理、系统管理等）制定测试用例及测试过程，系统测试组进行汇总编写。第一百条部门内测试应该按照部门内测试流程进行测试，涉及其他部门的测试应该严格按照部门间测试流程进行测试。第一百零一条测试完成后，由系统测试小组收集整理测试文档，编写测试报告，并将测试文档进行存档。第十三节变更管理第一百二条部门的变更管理工作，是为了有效预防系统变更可能引发的风险，确保公司网络与信息协调安全稳定运行，减少信息系统变更对系统服务的负面影响，规范变更的审批和控制，实现有效的地协商和沟通，确保变更的可追溯性。第一百二条由于突然发生并严重影响或可能严重影响公司信息系统稳定运行，进而影响客户交易的紧

25、急事件所引起的变更，参照公司相关应急手册和预案。第一百三条变更管理的基本要求:(一)变更申请必须经过评估，确保变更的合理性；（二）变更必须经过周密的计划，确保变更实施和恢复方案的完整性和准确性；（三）保证变更的透明性和各岗位间的有效沟通；（一）确保变更有明确、完整的记录；（五）变更实施后值班人员应加强观察和监控，确保变更达到预期目的；（六）详见信息技术部变更管理办法。第十四节采购管理第一百零四条计算机设备是包括台式机、服务器、笔记本电脑、打印机、扫描仪、网络设备、信息安全产品、计算机通信设备、不间断电源、以及其他计算机辅助设备。第一百零五条公司及所属的各机构的设备更新、添置须根据公司固定

26、资产购置办法以及有关的财务制度进行管理外，同时应在信息技术部（包括营业部电脑部）存档，以便于管理和维护。第一百零六条公司采购防火墙、防毒软件、防毒墙、应用防火墙、网页防篡改产品、安全审计产品、入侵检测、入侵防范等信息安全产品时，必须具有国家有权部门出具的认证、销售许可证明。第一百零七条公司采购软件在合同中应签署无后门隐患条款。第一百零八条申请流程1) 各个部门需采购计算机设备时，应提交采购申请，写明采购设备类型和用途，以及对设备性能的基本要求；2) 对各个部门的采购申请，应先由办公室根据闲置计算机设备状况进行调配。3) 如无法调配，则由信息技术部根据业务需求确定型号和预算，报请相关使用部门，

27、由使用部门提交内部请示，请领导审批。4) 计算机设备购置需满足如下几方面要求：1、高效性、可靠性、兼容性、可扩展性；2、较好的性能价格别；3、满足监管部门的要求，如证监局、公安局、第三方审计机构等；4、良好的售后服务。5）营业部实施的工程项目，单项预算在1万元以上的（包括1万元）须将工程目标、工程方案、设备清单、费用预算以及相关部门意见、营业部经理批示（需要资质证明的工程必须要施工单位出具资格证书复印件）呈报公司经纪业务部批准后，由信息技术部签署意见后再报公司领导审批。6）购置计算机设备的品牌、型号在不影响使用和性能的基础上，应尽可能统一，以利于计算机的维护工作。第一百零九条采购流程（一）经

28、领导审批后，根据采购额的不同采取不同的采购流程。（二）采购流程分别为Dell采购流程；台式机、笔记本、打印机、配件、工具、辅材等采购流程；服务器、存储、网络设备、机房设备等采购流程；安全设备采购流程；正版软件采购流程。（三）小额的采购采取直接寻价的方式进行，寻价渠道不得少于三家。（四）大额的采购采用招标和议价结合的方式进行，招标和议价过程由公司采设备采购小组完成。（五）购置计算机设备的合同（协议）中应包含以下内容：设备名称、型号、标准配置、产地、单位、数量、单价、合计金额、交货时间、地点、验收标准、付款时间、保运费、保修期限、维修服务、技术支持、培训及违约责任等内容，合同中需要更详细、明确的条

29、款和内容可用协议的方式补充说明。（六）重要系统和设备的购置，需至少正常运行三个月后，方可支付所余款项。第一百一十条设备验收（一）设备购置手续必须完整，由信息技术部专人负责验收。验收时必须认真仔细，完成外观检查、数量清点、安装测试、设备试运行等几个方面的验收程序，重要设备需要供货商出具进货渠道证明。（二）根据设备装箱单，清点配备的软件、资料、保修单、说明书等，并及时向技术资料保管员办理移交手续。第一百一十一条设备维修（一）设备由使用单位的电脑部门负责日常的管理维护，员工应掌握基本的计算机操作常识。（二）如设备出现故障，需要信息技术部人员进行维修时，应填写设备维修申请，其中应如实填写设备损坏的原因

30、，以便于查找故障。（三）对未在信息技术部（包括营业部电脑部）建立技术档案的计算机设备，信息技术部不负责其维修。（四）在接收到设备维修申请后，信息技术部将根据具体情况安排技术人员进行维修。（五）需要交由厂家维修的设备，应及时办理相关手续，同时需通知设备使用者需要的维修时间。（六）应定期统计重要设备的保修期限，对即将超过保修期限的设备需及时办理续保手续。（七）由于个人使用不当，造成设备损坏的，应按公司固定资产管理办法进行处理。第一百一是二条计算机设备报损、报废（一）公司使用计算机设备的报损、报费，经信息技术部鉴定后，按公司固定资产报损、报废流程处理。（二）营业部计算机设备报损，公司经纪业务部批准后

31、，经信息技术部复核，方可处置。（三）信息技术部的重要设备报损、报废，应在确认无法修复，或维修成本过大时，提交详细的书面报告。（四）报损、报废的设备由公司办公室统一处置，其他部门不得任意处置。第十五节项目管理第一百一十三条收集项目立项、启动、实施、变更、测试、里程碑事件、项目试运行、验收等过程的跟踪、记录，督导项目经理提交相关项目资料。第一百一十四条对部门各项工作进度执行情况的进行汇总、分析工作。第一百一十五条每周由项目跟踪人在部门信息平台对所管理的项目进行汇报和说明，完成项目周报。第一百一十六条根据项目管理流程，对部门项目过程进行管理，检查部门项目进展、执行情况，督促项目经理对进度进行控制，

32、并协助项目经理制订项目实施计划进度表。第一百一十七条参与项目立项、实施、测试、变更、验收的全程会议，督促项目负责人、跟踪项目进度。第一百一十八条开展部门短期规划目标的制定工作，确定下一年度工作安排汇总、评估需要开展和改进的工作内容。第一百一十九条详见信息技术部项目管理办法。第十六节综合管理第一百一二十条负责部门资料管理制度的制订。第一百二十一条负责资料库的建立、分类、维护和更新。第一百二十二条负责部门内和部门间往来公文收发管理，主要包括公文的登记、入库、借阅等管理。第一百二十三条负责技术管理资料的入库管理：督促其他关人员整理制度、流程、合同、软件产品授权许可、介质等除业务数据以外的其他运

33、营维护资料的入库。第一百二十四条负责低值易耗品的统一领用、登记。第一百二十五条负责服务水平协议的签订、服务水平评估，并根据服务水平协议支付维护费。第一百二十六条负责日常交通费、餐费、差旅费的报销，登记每次费用，作年终预算参考。第十七节桌面管理第一百二十七条负责公司的终端设备管理，桌面机、打印机的维护管理并制定其相关管理制度。第一百二十八条定期对终端系统更新情况、杀毒软件更新情况、终端性能及故障、根据使用者业务需求结合各终端需求进行分析。第一百二十九条配合机房硬件设备及各部门服务器需件报修时，进行联系报修并记录变更资产管理表。第一百三十条加强终端设备管理规范针对终端设备的配置管理，进行支

34、持部门(技术部分运营设备与办公设备)、设备型号等进行分类查询。建立第三方电子化留痕，送往第三方时需要填写电子化表单，填写维护时间表，更换维护明细。到期未完成或如有变动的则及时更新并注明原因。第一百三十条根据每月维护综合报告制作计算机个人使用手册常识，完善操作系统服务手册并利用center进行链接支持。第五章工作报告第一百三十一条工作计划管理：（一）信息技术部应根据公司发展计划和业务需求在年度末制定出第二年度的工作计划；（二）每个员工应根据分配的计划任务和自身发展制定出个人工作计划。第一百三十二条工作报告管理：（一）营业部电脑部经理应每周向信息技术部提交工作报告；（二）技术人员应每月向其

35、直接领导提交工作报告。（三）信息技术部应在年末向公司提交年度工作报告；第一百三十三条工作报告至少应包含以下内容：（一）日常工作完成情况；（二）下一阶段工作计划；（三）工作中发现的问题和不足之处，并有相应的改进措施。第一百三十四条部门工作例会管理：（一）信息技术部应每月安排工作例会；（二）工作例会主要以协调解决问题为核心；（三）工作例会由信息技术部经理主持，信息技术部经理外出，由信息技术部副经理主持；第一百三十五条应急事件报告按公司应急预案中的报告流程执行。第六章制度管理第一百三十六条制度体系分为四个级别，分别是制度与规范级、细则与办法级、操作与流程级、表格记录级；制度与规范级：此级别文

36、档是宏观的阐述对信息系统的总体要求，确定范围和工作方针、组织方式等，为各部分工作的管理策略和方法提供指引；细则与办法级：根据实际工作的需要有针对性的制定各类管理规定，确定人员的职责和分工，确定管理的方式和方法；操作与流程级：此级别文档描述实际工作的操作步骤和流程，为运维人员的实际工作提供支持；表格与记录级：此级别主要为工作表格和各类记录，为工作的检查和复核、追溯提供支持。第一百三十七条制度的命名与编号：按照由低到高，顺序编排的原则；制度级为101、102；办法级为201、202；手册级为301、302；记录级401、402；第一百四十条文档需经部门总经理、系统组、应用组、安全组等相关人员参与

37、的评审修订后，方可进行发布，原则上文档的作者不能参与评审过程，如文档中涉及其他业务部门，应邀请业务部门相关领导和负责人参与评审；第一百四十一条文档的发布需经部门总经理、技术总监审批确认后，在部门内部实施，如涉及公司全局层面的规范文档，还需经公司相关领导审批后，按照xx证券有限责任公司公文处理办法的规定，由总裁办统一发布；第一百四十二条文档的修订原则上由文档管理人或作者完成，每次修订均应在文档内进行记录，并做好版本升级，修订文档的评审和审批，应保持与文档发布时的要求一致。第七章奖惩管理第一百四十三条技术人员的奖惩遵循公司统一的奖惩条列。第一百四十四条对有下列突出贡献者，信息技术部向公司提出奖励申请：（一）为公司业务发展带来创新机会；（二）避免了重大技术事故发生；（三）大幅度降低公司IT运营成本；（四）大幅度提高了公司运营效率。第一百四十五条对犯有下列错误行为的，信息技术部向公司提出处罚申请：（一）不严格执行相关管理规定，经多次提醒仍未改正；（二）由于个人操作失误或疏忽职守，导致重大技术事故发生；（三）由人力资源部和信息技术部共同认定的其他情况。第八章附则第一百四十六条本管理制度由信息技术部负责解释。第一百四十七条本管理制度自下发之日起执行，此前颁布的有关规定中与本制度不一致的，以本制度为准。

展开阅读全文