1、编制审核批准zz地产信息化管理制度zz地产综合管理部日期20xx 年 8 月日期日期修订记录日期修订状态修改内容修改人审核人批准人1.0 总 则1.1 为提高公司信息化管理水平,有序推进各信息系统(以下称“信息系统”)的建设及应用,现制定zz地产控股股份有限公司信息化管理制度(以下称“本制度”、“股份公司”)。1.2 本制度所指的信息系统包括但不限于企业信息门户、项目管理(含采购、成本、计划等业务模块)、房产经营管理(含销售、客服、会员等业务模块)、全面预算管理、决策支持管理、人力资源管理和财务管理等系统。1.3 本制度所指的办公网络指股份公司办公网络(含股份公司总部及各子公司局域网、专线及
2、VPN 网络);本制度所指数据中心指股份公司总部数据中心机房、服务器 及附属设备。1.4 本制度的适用范围为股份公司总部、直接或间接全资子公司、直接或间接控股子公司(以下统称“子公司”)。2.0 信息化组织职责和分工2.1 股份公司总部信息化建设与运行管理设三级管理机构:信息化领导小组、信息化建设小组和信息化执行小组。2.2 信息化领导小组由股份公司信息化相关责任部门负责人及分管领导共同组成,负责股份公司信息化整体规划和预算的审核、信息化重要成果验收及信息化年度建设和运行报告审核。2.3 信息化建设小组由股份公司总部信息化执行小组牵头,各相关职能部门及子公司人员参与共同组成,负责股份公司信息化
3、整体规划、建设实施与运行管理。2.4 信息化执行小组由总部综合管理部下设,负责组织进行信息化整体规划、建设及运行维护管理。包括信息系统建设规划、建设和运行维护管理,以及信息化基础平台(包括网络、硬件、基础软件、数据库、备份及病毒防护等)的规划、建设和运行维护管理。具体职责是:2.4.1 根据公司发展战略,以“服务一线业务、支持职能管控、辅助管理决策”为总体原则,建立信息化整体架构,提出相应的网络及软硬件配置要求,制定股份公司信息化整体规划,报信息化领导小组审批;2.4.2 根据信息化整体架构负责组织各信息系统的方案设计、开发与实施工作;2.4.3 根据信息化建设要求组织相应的网络及软硬件基础平
4、台的方案设计与实施工作;2.4.4 负责基础平台的日常维护工作,并组织信息系统的日常维护工作;2.4.5 负责基础平台的使用培训工作,并组织信息系统的使用培训;2.4.6 负责信息系统备份与恢复、病毒防护等管理信息系统安全工作;2.4.7 负责指导、审核与管理子公司信息系统应用;2.4.8 负责对系统管理员进行管理,建立系统管理员名册,定期对系统管理员进行培训考核;2.4.9 负责网络及数据中心机房的日常管理及运行维护工作;2.4.10 负责信息系统内流程的初始化和日常技术支持服务;2.4.11 负责网站的技术支持服务。2.5 根据公司信息化整体规划,对年度内拟实施的专业系统,由对应的职能部门
5、和信息化执行小组负责该系统开发技术支持的人员共同组成信息化专业小组,负责各业务线及专业线信息系统建设方案制定、流程及权责梳理、系统应用推广、系统运行维护管理等工作。具体职责是:2.5.1 根据公司信息化整体规划要求,结合业务发展,收集各业务子系统需求;2.5.2 确认各业务子系统实施方案并提出改进建议;2.5.3 制定各业务子系统的使用规范,并监督执行;2.5.4 组织对各业务子系统的试用,提出改进建议;2.5.5 组织系统培训、推广、测试和验收工作;2.5.6 负责系统的运行维护与管理,其中业务系统的系统管理员业务部门要有专人担任,负责日常系统管理;2.5.7 负责系统权责流程的统一配置及修
6、改。2.6 各系统运用部门(或子公司)的具体职责是:2.6.1 根据系统推广要求组织进行本单位的帐号、权限分配等系统初始化工作;2.6.2 对系统的使用维护进行监督、管理,确保录入业务系统数据信息的正确性、真实性和及时性;2.6.3 负责组织对本单位人员参加系统的相关会议及培训;2.6.4 负责反馈本单位信息系统需求与问题。2.7 子公司设置专/兼职系统管理员,负责信息系统在本公司应用推广及维护工作。具体职责是:2.7.1 参照股份公司统一下发的授权模板梳理本公司各岗位对各系统访问权限,报本公司主管领导批准后对各岗位进行系统授权。2.7.2 根据股份公司系统推广要求进行系统初始化(如帐号创建、
7、角色分配、系统参数配置等)及维护。2.7.3 对本公司人员进行系统使用培训并提供技术支持。2.7.4 根据股份公司统一要求对本公司办公网络进行创建与运行管理。2.7.5 根据股份公司统一要求对本公司网络设备进行维护、故障分析及病毒防护,确保本公司网络的正常运转。2.7.6 组织进行本公司的日常 IT 服务,如台式机、笔记本、打印机、复印机、扫描仪以及传真机等设备的维护。2.7.7 负责本公司大型会议支持(IT 相关部分)以及日常视频会议支持。3.0 信息化规划与建设管理3.1 信息化规划根据公司战略及发展要求,股份公司总部信息化执行小组负责组织制定股份公司信息化建设规划,报送信息化领导小组批准
8、后执行。根据信息化建设的推进, 每年进行信息化整体评估和总结,提出优化或调整方案。每三年进行一次信息化建设及实施回顾,并结合当时公司战略、市场环境及 IT 技术水平制定未来三年股份公司信息化建设规划。3.2 信息系统建设3.2.1 信息化建设必须遵照经信息化领导小组批准的信息化建设规划进行。3.2.2 根据各信息系统不同情况,信息系统开发可以采取整体外包、外购调试或自行开发等方式。选定整体外包或外购调试方式的,应当通过招标择优确定供应商或开发单位。招标过程中需做好立项审批、供应商的入围审批、招标方案审批以及最终供应商定标审批,其中招标方案中明确招标要求以及评标小组人员和评标标准。3.2.3 与
9、中标供应商签订合同时,合同中的主要条款不允许偏离招标方案审批时的需求范围,对于外包开发的系统供应商合同应至少包括:报价、付款方式,软件商资质清单,软件商服务协议期限及开发上线周期,软件商提供服务范围及授权模块,合同依据公司权责经相关审批人审批同意后,方能签署。3.2.4 系统正式启动建设开发时(包括外包、外购或自行开发)必须编制详细的开发计划,明确开发人员的职责,以及具体任务和时间节点,以确保开发项目顺利进行。开发计划经信息负责人审批后正式执行。3.2.5 在系统开发中,必须结合公司管理和业务流程,将关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能,逐步提升公司管理水平。3.
10、2.6 为避免产生信息孤岛或重复建设,信息化必须由股份公司总部统筹组织进行, 子公司不得单独组织信息系统的建设与实施。尚未在规划中包含且业务应用需要的,系统实施方案需报信息化执行小组审核并经信息化领导小组审批确认后组织实施,且实施结果需报信息化执行小组备案。3.3 信息化考核3.3.1 信息化建设考核信息化领导小组负责对信息化建设总体成效进行考核评价,考核对象为信息化执行小组和参与年度信息化建设的相关部门及子公司。评价依据为经信息化领导小组评审确定的信息化建设方案及实施计划。股份公司总部负责组织收集子公司信息化建设推进情况,通过每年度业务线巡检进行,评价内容包括 IT 岗位及人员配置、岗位权责
11、及流程固化、IT 人员技能测试、网络基础环境建设与管理评估、系统使用支持满意度等。3.3.2 信息化应用考核3.3.2.1 信息化应用考核纳入各专业线考核指标,由各专业线确认相应的考核权重, 考核对象为信息化推广的子公司。3.3.2.2 具体考核指标与评分标准需见各信息化管理模块考核标准细则。3.3.2.3 以上考核结果与责任部门及相关责任人年度绩效挂勾。4.0 信息系统应用管理4.1 信息系统组织架构管理4.1.1 地产控股总部信息化执行小组各专业线系统管理员负责信息系统内股份公司组织架构维护,子公司系统管理员负责信息系统内子公司组织架构维护。4.2 信息系统使用账号及权限管理4.2.1 股
12、份公司总部及子公司系统管理员负责依照公司已经发布的权责制度组织本公司各部门梳理各岗位对应的信息系统操作权限,报本公司主管领导批准后进行系统授权。4.2.2 信息系统授权应按角色进行操作权限配置。对于临时工作组权限,可通过建立信息系统角色进行工作组权限配置。4.2.3 新员工入职应由所在公司人力资源部确认其岗位后发起员工入职流程,由所在公司系统管理员为其建立系统帐号,并根据其所在部门确认的系统权限表分配其系统基本使用权限。4.2.4 对于入职基本权限设置后,要申请开通其他模块使用权限的人员,需填写权限申请表,并由权限申请部门在门户系统中发起相应系统权限开通申请流程,依照公司已经发布的权责制度经相
13、关部门领导核准后,由所在公司系统管理员开通所申请权限。4.2.5 权限调整:员工晋升或降职,所在公司系统管理员根据晋升或降职发文通知完成相应系统权限更改。员工在同公司内岗位调动,由所在公司系统管理员根据其调动申请单完成相应系统权限更改。员工跨公司岗位调动,由调入公司系统管理员在门户系统上发起员工(跨公司)调动系统处理申请流程,经相关人员确认后,由调出公司系统管理员关闭其在原单位相关系统使用权限,并由调入公司系统管理员依据其新岗位开通在调入单位的系统使用权限。4.2.6 离职员工应由所在公司人力资源部发起离职流程,在批准同意其离职之日,关闭账号及权限。4.2.7 外部人员若需使用公司信息系统,需
14、经对口业务部门报总部分管领导准后方可建立帐号并开通相应查询权限。4.2.8 建立系统账号定期检查机制,各系统管理员应定期(暂定每季度)检查信息系统中的冗余账号,针对长期不适用的账号应判断该账号是否需删除,编制检查报告后上报信息负责人审批通过后执行。4.3 信息系统登录密码管理4.3.1 第一次登录信息系统时,必须修改初始密码。为避免帐号被盗用,密码长度应不小于七位,且应使用数字、字母及特殊字符组合,密码使用超过 90 天必须重新设定,重新设定密码不得与前 1 次密码一致。4.3.2 用户帐号不可转借他人使用,帐号使用人必须妥善保管密码。使用动态密码登录的人员,必须妥善保管动态密码设备,避免遗失
15、或被盗。密码设备到期后统一更换,因个人保管不善造成遗失的,依照成本价格赔偿后补发。4.3.3 信息系统管理、服务器及数据库密码,由股份公司总部信息系统管理员负责保管,非授权人员不得使用。4.4 信息系统安全管理必须遵守国家相关法律、法规,严格执行安全保密办法,不得利用公司网络从事危害国家安全、泄露国家、公司秘密的活动,不得查阅、复制和传播有碍社会治安及其他不良信息,并对在公司网络提供的信息负责。对于出现以下情况的, 视情节严重和造成不良影响的程度,追究当事人的责任并进行处罚。总部定期对应用层安全策略事项进行检查,生成检查报告上报相关负责人进行审阅。(a)利用职务之便造成信息系统数据对外泄密的;
16、 (b)故意泄漏用户名及密码给公司带来危害的;(c) 故意对信息系统的运行平台、程序及数据进行篡改和破坏操作的;(d) 密码未按规定要求设置或管理不善出现被他人盗用帐号给公司造成损失的; (e)因未按规定要求操作或者疏忽大意造成不良后果的;(f)在使用信息系统时故意拖延时间,造成延误或者上报虚假数据的行为。4.5 信息系统使用管理信息系统必须遵循统一规范进行使用。操作人员需根据本岗位职责需求及时发起流程、将数据及时录入系统或进行相关的业务操作,审批人员需根据各业务事项审批要求及时进行文件审批办理。各系统使用的具体要求参见相应的系统使用规范。4.6 信息系统数据维护管理严格禁止对信息系统运行产生
17、的数据进行后台修改操作。对于因输入或程序产生的数据错误更正,系统维护人员必须严格执行审批流程,并做好更正记录,以便对操作情况进行监控或者审计。4.7 新建系统上线4.7.1 新信息系统购买及原有信息系统增加模块或站点必需经过领导审批,审批流程参见zz地产控股股份有限公司管理权责及审批流程表。4.7.2 为避免新建信息系统上线风险,系统新上线前需由需求部门、信息化执行小组与项目建设单位进行需求调研和方案设计,方案需经过需求部门确认后方可进行下一步开发(配置)工作。4.7.3 为避免新建信息系统上线风险,需求部门、信息化执行小组与项目建设单位需拟定项目开发及上线计划。4.7.4 系统开发(配置)完
18、毕,正式上线应用前由需求部门对系统进行详尽测试,测试通过后方可在正式环境部署。程序变更或系统开发的测试必须在测试环境中执行,而不得在生产环境中进行,确保生产环境中的系统和数据安全。所有系统变更/开发必须由业务用户或关键用户执行用户接受性测试,以确保软件的功能和性能及其他特性符合用户需求。需求部门测试通过,经信息负责人同意后方可实施上线。4.7.5 系统初始化数据由业务部门提供,初始化完成后对系统初始化数据进行完整性、准确性检查,核对无误并记录检查结果后初始化工作完成。对于涉及不同系统间数据迁移的系统变更或开发项目,必须制定明确的数据迁移的规范和数据迁移方案,并对迁移后不同系统的数据进行核对,确
19、保数据迁移过程中原数据没有丢失或被破坏。在数据迁移完成后应就数据库的完整性就行检查与评估,以保障数据迁移过程中业务数据不受影响。4.7.6 初始化完成后,新系统进入使用阶段;如存在原有系统,则原系统需并行运 转两个期间,两期新老系统对账无误后方可停用原系统;如不存在原有系统,则 需手工记录保持两个期间,新系统与手工记录两期对账无误后方可停止手工记录。4.7.7 对于新系统上线或系统功能发生重大变更的情况,必须向信息系统终端用户提供有针对性的培训,培训内容应至少包括系统新增、变更的业务模块的正常使用。4.7.8 在系统正式投入的使用过程中,应在上线六个月内对系统运行与系统设计的一致性进行检查并记
20、录,生成评估报告提交相关负责人审批,确保系统实际运行符合系统设计标准稳定运行。4.8 信息系统变更管理4.8.1 已上线运行系统在使用过程中,业务流程如发生变化、程序 BUG、数据错误等原因发生变化,需进行变更控制。4.8.2 变更申请由需求部门或股份公司总部信息化执行小组提出,申请中要明确变更原因、变更要求以及变更的必要性和合理性。由股份公司总部信息化执行小组对变更的技术可行性以及对整个系统的影响作出评估分类,系统变更分为:需求变更、程序 BUG 修复、数据修复。4.8.3 经股份公司总部信息化执行小组同意的需求变更申请将提交股份公司业务分管领导批准后方可执行。4.8.4 需求变更、BUG
21、修复、数据修复涉及补丁部署前需经过需求部门或股份公司总部信息化执行小组测试通过后方可在正式环境部署。4.8.5 对通过审批的系统变更相关文档(变更申请文件、测试文件、部署文件)需进行统一登记及归档。4.8.6 系统管理员需定期导出系统用户、权限及相关日志,由系统相关业务部门检查。4.9 信息系统备份管理股份公司总部系统管理员需根据不同类别系统设置不同的备份策略及备份文件存放位置,并定期进行信息系统数据备份并进行有效性检查。关键数据必须每天备份,一般数据每周备份至少一次。超过一个月的数据转移至其他介质,保存在其他地方。定期完成备份数据还原测试工作。4.10 信息系统外包维护管理公司信息系统委托专
22、业机构进行运行与维护管理的,应当审查该机构的资质, 并与其签订服务合同和保密协议。5.0 网络管理5.1 公司办公网络主要包括:股份公司总部办公网络、总部到各子专线、VPN、子公司办公网络及一线作业单元(项目部、售楼处等)办公网络。5.2 子公司需接入股份公司办公网络的,由股份公司总部信息化执行小组协调网络服务商开通,费用由子公司承担。子公司已接入股份公司网络的,为确保信息安全, 禁止同时连入其他网络,且不得另行开通互联网出口。5.3 使用公网访问公司信息系统的子公司或项目部,必须配置相应的 VPN(虚拟专用网络)设备,且其子网内需安装必要的病毒防护设备。5.4 为了确保办公网络的正常运行,不
23、得随意修改系统参数,包括域名、计算机名、IP 地址、网络通信协议等参数。5.5 禁止使用公司网络下载或上传与工作无关的文件,禁止使用任何工具或软件对公司网络进行攻击或破坏。5.6 办公用机必须加入公司网络域环境,域用户密码须妥善保管并定期更改。5.7 为了有效阻止计算机网络病毒的传播,并有效预防、查杀计算机病毒,公司网络统一安装计算机杀毒软件,未经许可,不得私自更改计算机杀毒软件。6.0 机房管理6.1 机房管理主要内容包括对网络设备、信息系统服务器、电话系统服务器、视频系统服务器及其附属设备,以及空调、UPS 系统等基础设施的日常管理与维护。6.2 出入管理6.2.1 严禁非机房工作人员进入
24、机房。6.2.2 进入机房的人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。6.3 安全管理6.3.1 操作人员需严格执行日常巡检程序,发现异常情况应立即做出处理,并及时上报和详细记录。6.3.2 非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。6.3.3 保持机房环境清洁卫生,注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,确保空调正常运行。6.3.4 定期对机房内设置的消防器材、等设备进行检查,以保证其有效性。6.3.5 建立信息系统后备运行环境,紧急情况下采用应急预案恢复系统使用。6.3.6 对可能
25、出现的机房盗窃、火警、水浸等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。6.3.7 机房工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态(纸质文件必须带离现场,服务器等设备必须锁定)。6.4 操作管理6.4.1 信息系统维护人员必须定期检查软件的运行状况、定期调阅软件运行日志记录, 进行数据和软件日志备份。6.4.2 严格禁止在正式运行的服务器随意安装软件。需要进行服务器配置时,必须在其它可进行试验的机器上调试通过并确认可行后方可进行。6.4.3 对会影响到全局的软件升级或更新、调试等操作应尽量安排于休息时间内(早
26、8:30 前,中午 12:0013:00,晚 19:00 以后)进行,且应先发布通知, 保证有充分的时间、方案、人员准备,方可进行软件配置的更改。6.4.4 对重大软件配置的更改,应制定实施方案,经信息化专业组审核且经信息化领导小组批准后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级配置等操作之前,应备份原有软件系统,并应对更改、升级配置所带来的负面后果进行评估并制定应急措施。6.4.5 不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。6.4.6 应严格遵守张贴于相应位置的安全操作、警示以及安全指引。6.5 空调管理6.5.1 值班人员必
27、须每天进行巡视,确保空调系统的正常运行。6.5.2 定期进行室外机的清理,防止因散热不良造成空调的工作异常。6.5.3 每年至少进行一次全面检修。6.5.4 空调出现异常立即联系物业及空调厂商进行维修。且应配置备用空调。6.6 电源及 UPS 管理6.6.1 机房内的电源开关、电源插座要明确标出控制的设备。6.6.2 不得随便改变线路和变动开关。6.6.3 对 UPS 的工作异常要做好记录,并及时联系有关单位进行处理。6.6.4 电源及 UPS 出现异常情况立即联系厂商进行维修。6.7 服务器管理6.7.1 服务器变更管理:公司相关信息系统如财务信息系统、协同 OA、明源信息系统等系统在发生数
28、据库、系统补丁变更时,股份公司总部信息化执行小组及相关业务部门需进行系统变更测试,出具测试记录及结论并签字,方可在正式环境部署。6.7.2 服务器策略管理:服务器密码策略需与 4.3.1 条一致,强制密码历史策略需达到 3 次及以上,帐户锁定阀值策略为 5。6.8 灾备计划及管理6.8.1 总部信息应明确灾备计划编制内容、灾备时间、灾备具体操作流程和审批流程。各地区公司信息岗应将备份磁盘放置在与服务器机房分离的建筑物中,或将数据远距离传输到灾备中心,以预防极端情况下数据的丢失。灾备计划包括:备用基础设施、数据备份系统、备用数据处理、备用网络系统、灾难恢复预案、运行维护管理、技术支持能力。灾备计
29、划需经地产总部信息负责人审批后执行。7.0 罚则7.1 违反以上规定的,视其情节轻重,公司将对责任人予以通报批评、警告、记过、记大过、开除等方式处理。7.1.1 如违反以上规定,违反次数累计达 2 次(含),经公司认定情况影响较轻,对相关责任人予以通报批评处分。7.1.2 如违反以上规定,违反次数累计达 3 次(含),经公司认定情况影响较轻,对相关责任人予以警告处分。7.1.3 如违反以上规定,经公司认定情况影响较大,对相关责任人予以记过处分。7.1.4 如违反以上规定,经公司认定情况影响严重,将依据zz集团奖惩管理制度相关规定处理,同时公司保留追偿损失的权利。8.0 附则8.1 本办法由地产总部综合管理部负责修订和解释。8.2 本办法自发布之日起实施。9.0 附件9.1 关联制度9.1.1 zz集团奖惩管理制度zz地产控股股份有限公司20xx 年 08 月 23 日