1、生物化学公司信息系统及应急响应管理制度汇编编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 第一部分 信息系统管理制度第一章 概述第一条 为了引导公司充分利用信息系统规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引，制定本制度。第二条 本制度所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。公司利用信息系统实施至少应当关注下2、列风险：（一）信息系统开发与使用违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（二）信息系统开发与使用未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（三）信息系统设计功能不科学、维护与变更程序不规范，可能导致企业经营管理效率与效果低下。（四）信息系统外包服务未恰当履行或监控不当，可能导致企业权益受损或违约损失。（五）信息系统访问安全措施不当，可能导致商业秘密泄露。（六）信息系统硬件管理不当，可能导致资产或股东权益受损。第三条 公司在建立与实施信息系统内部控制中，必须至少强化对下列关键方面或者关键环节的控制：（一）职责分工、权限范围和审批程序必须明确规范，机构设置和3、人员配备必须科学合理，重大信息系统开发与使用事项必须履行审批程序。（二）公司负责人对信息系统建设工作负责，信息系统开发、变更和维护流程必须清晰合理。（三）公司必须加强信息系统外包开发全过程的监督管理，督促开发单位按照要求完成工作，组织专业机构进行检查验收，组织系统上线运行。（四）必须建立访问安全制度，对操作权限、信息使用、信息管理进行明确规定。（五）硬件管理事项和审批程序必须科学合理。（六）信息系统管理业务中，执行、审批、监督、记录的职责必须做到相互分离。第四条 公司信息管理部门职责：（二）负责信息系统开发需求的审核、自行开发结果的验收及系统使用情况反馈；（三）负责系统项目外委供应商的选择、系4、统项目进度的跟踪控制及验收；（四）负责组织系统用户培训；（五）负责建立健全各系统管理规定、信息系统维护和系统变更实施；（六）负责权限开设、变更或注销申请审核、系统数据的备份以及监督系统用户的操作行为。第二章 信息系统开发管理第五条 公司应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。第六条 公司下属子公司的信息化建设由公司信息管理部门统一规划和审批。第七条 公司信息管理部门应组织内部提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发5、流程和相关要求组织开发工作。第八条 公司开发信息系统，可以采取自行开发、外购调试、业务外包等方式。第九条 公司在开发信息系统需选择外包服务商时，要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本公司业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。第十条 选定外购调试或业务外包方式的，根据公司招标管理制度的要求选择采购方式，履行业务审批手续。第十一条 公司信息管理部门应组织公司内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求。第十二条 信息管理部门应就总体设计方案与业务部门进行沟通和讨论，说明方案对6、用户需求的覆盖情况；存在备选方案的，必须详细说明各方案在成本、建设时间和用户需求响应上的差异；信息系统管理部门和业务部门应对选定的设计方案予以书面确认。第十三条 公司开发信息系统，应将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。第十四条 公司在系统开发过程中，应按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。第十五条 信息管理部门应根据业务性质、重要程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不7、同安全等级信息之间的授权关系，必须在系统开发建设阶段就形成方案并加以设计，在软件系统中预留这种对应关系的设置功能，以便根据使用者岗位职务的变迁进行调整。第十六条 公司应针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应加强管理，建立规范的流程制度，对操作情况进行监控或者审计。第十七条 公司应在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，必须设计由系统自动报告并设置跟踪处理机制。第十八条 信息管理部门应加强信息系统开发全过程的跟踪管理，组织开发单位与内部的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成8、编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。第十九条 公司应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。验收测试合格之后方可上线。第二十条 公司应做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还必须制定详细的数据迁移计划。第三章 信息系统运行与维护第二十一条 信息管理部门应加强信息系统运行与维护的管理，制定信息系统工作程序、制度及具体操作规范，及时跟踪、发现和解决系统运行中存在9、的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二十二条 信息管理部门定期对信息系统进行维护和测试，并形成测试维护报告，以确保信息系统运行安全稳定。第二十三条 公司委托专业机构进行系统运行与维护管理的，必须严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。第二十四条 公司必须有效利用技术手段，对硬件配置调整、软件参数修改严加控制，设置安全参数，保证系统访问安全。第二十五条 信息系统变更必须严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。第二十六条 公司信10、息管理部门必须根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。第二十七条 公司必须建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，必须审查该机构的资质，并与其签订服务合同和保密协议。第二十八条 公司必须制定相应的密码策略，保证公司用户账户的安全。第二十九条 必须采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。第三十条 公司必须建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。第三11、十一条 必须综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。第三十二条 对于通过网络传输的涉密或关键数据，必须采取加密措施，确保信息传递的保密性、准确性和完整性。第三十三条 建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。第三十四条 定期进行信息系统灾备演练，并制定信息系统紧急预案，保证信息系统的安全。第三十五条 公司信息管理部门应加强机房管理，设立门禁制度，非机房工作人员因工作需要进入机房的必须做登记记录。第三十六条 公司信息管理部门应加强服务器等关键信息设备的管理，12、建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。第三十七条 系统停止运行报废后，必须将废弃系统中有价值或者涉密的信息进行销毁、转移，妥善保管相关信息档案。第四章 附则第三十八条 本细则由信息管理部门负责解释。第三十九条 本细则自下发之日起施行。第二部分 信息系统建设流程第一章 信息系统开发第一条 目的为了加强、规范生物化学（）股份有限公司（以下简称“生化”或“公司”）信息系统自行开发与系统项目（IT项目）的建设，有效规避信息系统自行开发与系统项目建设过程中的风险，特制订本管理标准。第二条 适用范围本管理标准适用于公司及其下属子公司。第三条 定义范围13、及术语计算机信息系统：是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。信息系统开发：信息系统开发包括信息系统内部自行开发和信息系统项目外委开发。信息系统项目（IT项目）：是指公司机房、网络、数据中心等基础设施建设项目，内部网、外部网、邮件、办公自动化等基础平台建设项目，企业资源计划（ERP）或财务、人力资源、生产、采购、库存、物流、销售及其他管理信息系统建设项目。第四条 职责分工信息管理部门：负责信息系统开发需求的审核、自行开发方案的制订、实施、验收及系统使用情况反馈；负责系统项目外委供应商的选择、系统项目进度的跟踪控制、系统项目的测试、上线及验收；负责组织系统用户培训的14、实施；使用部门：负责提出系统开发需求申请、系统开发方案的审核确认；财务部：负责系统开发方案的审核。第五条 业务流程（一）信息系统自行开发-流程图（二）信息系统自行开发-流程说明01业务部门根据业务需求，整理初步的需求文档，并附有签报纸。经过部门审批和该部门所在中心主任审批后，送至财务部信息主管审批。业务需求文档签报纸02财务部信息主管根据业务需求，结合现有系统应用情况和公司信息化规划，审批是自行开发实施，还是外包（本流程主要针对自行开发实施设计）。并指定人员进行需求调研和方案设计。审核点：1.需求合理性；2.是否符合公司信息化规划；3.系统间兼容性；4.开发对象安全影响。03需求调研阶段，根据15、业务部门初步需求进行详细调研，挖掘潜在需求，并对需求合理化。在数据库设计中更要充分考虑数据库安全性。详细需求文档04根据详细需求文档设计开发实施方案，包括工作量评定、开发周期和开发预算，信息主管审核方案可行无误后，送至申请部门审核。开发实施方案05申请部门对开发设计方案进行审核。审核点：1.开发方案是否满足业务需求；2.系统设计的友好性。同意后，申请部门部长审核签字。06申请部门所在中心主任审批。07财务部审核开发设计方案是否符合财务管控要求和预算的合理性。08财务总监审批。09根据开发设计方案进行开发，测试通过后，进行实施上线。10系统上线3个月后出具验收报告。（三）信息系统项目-立项流程图16、（四）信息系统项目-立项流程说明01业务部门根据业务需求，整理初步的需求文档，并附有签报纸。经过部门审批和公司分管副总审批后，送至信息主管审批。业务需求文档签报纸02信息主管根据业务需求，结合现有系统应用情况和公司信息化规划，审批是自行开发实施，还是外包（本流程主要针对外包设计）。并指定人员进行需求调研和方案设计。审核点：1.需求合理性；2.是否符合公司信息化规划；3.系统间兼容性；4.开发对象安全影响。03需求调研阶段，根据业务部门初步需求进行详细调研，挖掘潜在需求，并对需求合理化。出具可详细需求文档和可行性分析报告。详细需求文档可行性分析报告04根据详细需求文档中的预算情况审核该项目是否在17、预算范围内。05根据详细需求文档和可行性分析报告审核项目的可行性和对管理起到的提升作用，并对整个项目的预算加以审核控制。06结合公司信息化规划审核项目的可行性和必要性。（五）信息系统项目-实施流程图（六）信息系统项目-实施流程说明01立项后，项目承包商的选择应采取竞争性谈判或竞争性邀标方式进行,具体要求信息管理部门按照第三方与外包安全管理规定来选择确定供应商。招标或谈判记录第三方与外包安全管理规定02信息管理部门确定供应商后，根据经济合同管理标准签订采购合同。03建立项目组，制度项目实施方案。开发原则：1.检查所有的命令行参数2.检查所有的系统调用参数和返回代码3.确定所有的缓存都被检查过4.18、在变量的内容被拷贝到本地缓存之前对变量进行边界检查5.检查是否有后门帐户及代码6.内部有做完整性检查的代码7.生成日志记录，包括日期、时间、进程号、终端信息、命令行参数、错误和主机名8.使核心程序尽可能小而简单9.用全路径名做文件参数10.检查用户的输入，确保只有合规字符11.使用会话加密来避免会话抢劫和隐藏验证信息12.如果可能，静态连接安全程序13.当需要主机名时使用DNS逆向解释14.在网络服务程序里分散和限制过多的负载15.在网络的读和写里放置适当的超时限制16.防止服务程序运行超过一个以上的拷贝17.避免将文件创建在所有人可写的目录里18.要设置信任的IP地址，可选用密码算法验证项目19、实施方案04根据项目实施方案按步骤的执行。05根据项目实施方案中制定的阶段检验阶段性成果，并出具阶段性验收报告。阶段性验收报告06信息系统部署完成后进行系统测试，包括功能测试、压力测试、性能测试、安全功能测试等，并出具测试报告。测试报告07组织系统用户培训，考试成绩合格后方可有系统使用权。用户培训报告08系统静态数据和动态数据初始化。初始化数据表09系统试运行，将真实业务在系统中运行，并编制试运行报告。试运行报告10系统试运行测试后，项目组编制上线计划，系统上线正式运行。正式运行后对系统文档进行维护管理，系统文档由应用系统管理员统一管理。只有经过授权的人员才可以访问文档管理服务器。应用软件开发20、的系统文档包括：需求分析文档、需求审批文档、概要设计文档、安全设计文档、详细设计文档、各阶段测试报告文档、项目合同文档，系统验收文档、系统上线文档、项目变更文档等。并附文档清单系统开发与维护文档清单。上线计划、系统开发与维护文档清单11项目验收工作由项目经理负责组织，使用单位和信息管理部门共同出具验收报告。项目验收时对于项目建设过程中涉及到的所有文档、使用手册和软件介质等相关资料要做好移交工作。文档移交应作为项目验收的重要内容之一。验收报告第六条 风险控制矩阵21.1-R1存在信息孤岛现象，各系统各自为政，削弱了信息系统的协同效用，甚至引发系统冲突各系统模块有效对接21.1-CA1A在信息化的21、过程中，需要将公司的各类资源如人员、设备、资金、组织机构、物料等各种数据建立满足系统应用的基础数据库，制定适合信息化数据传递的标准规范和各应用系统间的集成标准，保证数据的统一性和一致性，达到数据高度共享。预防自动信息管理部门21.1-CA1B无论购买商品化软件还是定向开发，都应支持数据接口规范，保证应用系统的升级以及系统间的数据交换。预防自动信信息管理部门21.1-R2信息系统与公司业务需求相脱节，降低了信息系统的应用价值信息系统符合业务需求21.1-CA2A项目发起单位要向信息技术部门提交正式的、详细的需求报告，需求报告中要包括详细的项目需求、范围和时间进度等。系统开发需求报告预防人工信息管22、理部门21.1-CA2B需求报告通过信息管理部门初审后，项目的发起部门必须会同信息管理部门共同组建项目小组，项目小组进行项目可行性研究，编写项目可研报告。可行性研究报告预防人工信息管理部门21.1-CA2C项目小组形成项目可研报告提交公司信息主管领导审核。审核记录预防人工信息管理部门21.1-R3信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下信息系统开发过程得到有效控制21.1-CA3项目小组制定项目实施概略方案，包括项目实施进度、资质审核，项目预算等信息内容，并提交公司信息主管领导审核。项目实施概略方案预防人工信息管理部门21.1-R4系统开发技术上不可行、经济上23、成本效益倒挂系统开发符合技术经济效益21.1-CA4项目小组需对信息系统开发进行项目可行性研究，编写项目可研报告，对系统开发技术的可行性、经济效益等进行论证；可行性研究报告预防人工信息管理部门21.1-R5需求文档表述不准确、不完整，未能真实全面地表达业务需求系统开发需求文档准确21.1-CA5系统开发承包商对业务需求进行详细调研，在此基础上进行需求文档的编制，编制的需求文档经过独立于编制的人员的项目小组进行审核确认。需求文档及其审核记录预防人工信息管理部门21.1-R6设计方案不全面、不能完全满足用户需求，不能实现需求文档规定的目标设计方案符合需求21.1-CA6系统开发承包商就系统开发方案24、编制的设计方案文档，需要经项目小组讨论、审核确认。设计方案预防人工信息管理部门21.1-R7设计方案与公司内部控制相脱节，容易导致系统运行后衍生计算机舞弊风险设计方案符合需求21.1-CA7系统开发承包商就系统开发方案编制的设计方案文档，需要经项目小组讨论、审核确认。设计方案预防人工信息管理部门21.1-R8开发的系统测试不充分，可能存在系统运行隐患而不能及时有效纠正系统得到充分测试验收21.1-CA8项目验收测试工作由项目经理负责组织，由项目需求单位和信息管理部门双方应具体说明分别进行系统的验收测试工作，形成系统验收测试报告或记录。系统测试记录预防人工信息管理部门21.1-R9缺乏完整可行的25、上线计划，导致系统上线混乱无序系统上线计划合理21.1-CA9A系统上线前，系统开发项目小组制定系统上线方案，报信息主管领导审批后才可上线。上线计划方案预防人工信息管理部门21.1-CA9B项目组将制定系统上线计划和方案，内容包括上线步骤、时间、所需资源等；对于存在新旧系统割接的工程，还需包括割接计划、割接方案、回退方案等上线计划方案预防人工信息管理部门21.1-R10业务人员不能正确使用系统，导致业务理错误，或者未能充分利用系统功能，导致开发成本浪费系统得到有效使用21.1-CA10A开发软件在投入使用前，软件开发商应对有关技术人员或业务操作人员进行技术和操作培训。系统使用培训记录预防人工信26、息管理部门21.1-CA10B2、各单位软件操作人员必须按照软件操作手册（操作流程）操作。预防人工信息管理部门21.1-R11系统开发外包服务商选择不合理，可能会实施损害企业利益的自利行为，如偷工减料、放松管理、信息泄密等确保外包服务商选择合理21.1-CA11项目承包商的选择采取竞争性谈判或竞争性邀标方式进行。招标谈判记录预防人工信息管理部门21.1-R12服务外包合同条款不准确、不完善，可能导致企业的正当权益无法得到有效保障外包合同条款符合公司利益21.1-CA12系统开发服务外包合同经过法律部、财务部等职能部门的审核通过以后方可与承包商签订。外包服务合同及审核记录预防人工信息管理部门2127、.1-R13外包服务跟踪监督不到位，可能导致外包服务质量水平不能满 足企业信息系统开发需求外包服务质量得到有效保证21.1-CA13项目开发小组需根据项目承包方制订的系统开发方案计划定期或不定期对项目开发进度、效果进行监督跟踪评价，并向信息主管领导进行汇报。检查人工信息管理部门21.1-R14软件产品选型不当，产品在功能、性能、易用性等方面无法满足企业需求软件产品符合业务需求21.1-CA14软件产品根据系统开发需求进行选型配置，软件选型配置方案需经过信息主管审核审批；软件产品采购时采取竞争性谈判或竞争性邀标方式进行。招标谈判记录预防人工信息管理部门21.1-R15软件供应商选择不当，产品的支28、持服务能力不足，产品的后续升级缺乏保障软件产品符合业务需求21.1-CA15软件供应商通过采取竞争性谈判或竞争性邀标方式进行。招标谈判记录预防人工信息管理部门第二章 信息系统运行与维护第一节 IT资产管理第一条 目的为了规范生物化学（）股份有限公司（以下简称“公司”）IT资产的选型、购置、使用、维护及报废程序，有效控制IT资产的安全使用风险，特制订本管理标准。第二条 适用范围本管理标准适用于公司及其下属分子公司。第三条 定义范围及术语IT资产：主要是指服务器、网络设备、台式机、笔记本电脑，打印机、传真打印一体机、扫描仪等计算机外部设备，办公所需的各类软件等。第四条 职责分工管理部门：负责IT资29、产需求选型、采购审核、IT资产使用操作与保管的检查、IT资产日常调拨、IT资产报废的鉴定和回收拆解利用以及IT资产日常维护及实物的台账管理；使用部门：负责IT资产采购需求的申请、IT资产使用操作与保管、IT资产调拨申请以及IT资产报废的申请；采购部门:负责IT资产需求的采购、验收、入账及付款申请，质保期内协调供应商进行质保服务。财务部：负责IT资产采购审核、入账、付款，IT资产调拨、报废的账务处理，IT资产的财务台账管理；第五条 业务流程（IT资产维护流程（比如信息处负责检修-采购部进行耗材采购-业务部门进行领用-信息处负责更换及调试）（一）IT资产购置管理流程图（二）IT资产购置管理流程说明30、01需求申请部门根据实际业务需要，填写固定资产购置申请审核表。固定资产购置申请表02申请部门部长审核意见，审核点：对资产购置的必要性、真实性进行审核03资产管理部门：1. 核定申购的业务需求，增加电脑的必要性；2.公司资产情况，是否能够通过调剂的方式满足需求；3.核定申购部门在日常使用过程中是否有不良使用记录4.选型是否满足业务需求。04资产管理部门部长审批。05财务部审核：1. 是否有采购预算；2. 购置方案是否完整。06财务部部长审批。07申购部门所在中心主任签字。08财务总监审批09购置固定资产均应签订合同 固定资产采购合同10验收项目：1.核对固定资产实物与凭证所列数量是否一致； 2.31、检查所附备件是否齐全； 3.察看设备性能是否良好；固定资产验收单11固定资产到厂后，经办人应及时办理固定资产的验收入库，并到财务部办理发票入账，如固定资产到厂当月发票未回的，应于当月末持固定资产入库单、验收单等到财务部办理暂估入账，发票返回后办理正式的入账手续。（三）IT资产变更管理流程图（四）IT资产管理流程说明01资产入库后，采购部门通知申购部门办理固定资产移交表,并根据ERP-NC系统中的采购计划制作领料单，打印PER-NC领料单领用手续进行领料。固定资产移交表NC领料单02申请部门部长审核，保证业务的真实性。固定资产移交表NC领料单03资产管理部门根据申购部门提供的完整手续做好IT固定32、资产实物台账的登记。04财务部负责IT资产财务处理，生成资产卡片。05资产使用部门负责资产实物的日常管理，部门负责人为资产的第一负责人，部门资产管理员负责统计和调剂。1.因个人失误造成IT固定资产损坏者，视其情节及IT固定资产价值确定赔偿比例予以赔偿。2.造成IT固定资产丢失的，由财务部按资产折旧的现值予以赔偿。3.因不可抗力造成的损坏和丢失除外。4.具体赔偿比例由财务部进行解释06各部门因人员变动或组织机构调整,闲置相关IT资产时,应需办理相关手续将闲置IT资产移交予资产管理部门统一处理；子公司交予子公司财务部门处理。不得以因工作需要为名,私自进行IT资产调剂。确实因工作需要，需按照IT资产33、管理办法进行调拨申请。填写资产调拨申请表，经过调入部门、调出部门、资产管理部门、财务部审核。固定资产调拨申请表07IT固定资产报废时应将IT资产送至资产管理部门进行鉴定，申请部门填写办公设备报废申请单。要求填写项目：设备名称、数量、设备编码、规格型号、投运时间、应使用年限、安装地点、制造厂家、供货厂家、原值、累计折旧、减值准备、净额。办公设备报废申请单08资产管理部门依据公司办公资产报废标准进行报废鉴定 办公设备报废申请单09由资产管理部门进行报废鉴定，报部门领导审核。办公设备报废申请单10财务部根据财务帐复核资产原值、净值等财务信息准确性。办公设备报废申请单11依据公司办公资产报废标准，财务34、部部长批准后进行账务处理；办公设备报废申请单12依据公司办公资产报废标准，经财务部部长、财务总监、总经理审批；办公设备报废申请单13报废IT固定资产交由资产管理部门统一保管，统一由资产处置部进行处理，严禁任何部门或个人私自处理。办公设备报废申请单第二节 应用系统管理第一条 目的为了加强生物化学（）股份有限公司各信息系统规范使用和运行，提高系统的可靠性、稳定性、安全性及数据的完整性、准确性，保证业务正常运行，提高效率，特制定本管理标准。第二条 适用范围本管理标准适用于生物化学（）股份有限公司及子公司。第三条 定义范围及术语ERP-NC系统：是公司规范财务、供应链一体化的管理系统，是公司供应链和财35、务等部门处理业务的平台。粮食收购信息化系统：是保障公司原粮收购高效、准确便捷的有效途径，对涉及部门实行归口管理。关键硬件：指重要网络设备、服务器、存储设备等关键软件：指网络管理软件、各业务系统、管理信息系统等相关软件。系统变更：指需求变更、程序修补、数据维护等涉及系统改变的活动。1）需求变更类：现有业务变化、新的业务需求、或业务流程、业务参数发生变化；2）程序修补类：发现的系统错误，需要进行修改；3）数据维护类：对数据进行新增、修改、删除；4）其它类：未包含在上述类别，但是涉及系统改变的变更。第四条 职责分工信息管理部门：负责制定各系统管理规定、信息系统维护和系统变更实施；负责权限开设、变更或36、注销申请审核；系统数据的备份以及监督系统用户的操作行为。业务部门：负责信息系统的规范操作和使用，提出系统维护需求和系统变更需求及系统权限变更的申请。第五条 业务流程（一）应用系统运行与维护流程图（二）应用系统运行与维护流程说明01信息管理部门制定各应用系统管理规定，包括ERP-NC系统管理规定、粮食收购系统管理规定、ERP-NC具体操作手册等。ERP-NC系统管理规定()、粮食收购系统管理规定()、ERP-NC具体操作手册等02各部门需按照ERP-NC系统管理规定、粮食收购系统管理规定执行。03各部门在应用操作系统时遇到自行不可解决的问题时，应及时向信息管理部门提出系统的维护需求。04信息管理37、部门在接收到用户提出的运营维护需求时提供专业技术支持，超出公司信息管理部门内部专业技术人员能力时，依照第三方与外包安全管理规定通过聘请外部第三方进行技术解决。第三方与外包安全管理规定05业务部门提出应用系统的变更时，必须由申请部门提交书面变更申请，填写应用系统变更申请表，报送信息管理部门审批，申请表单必须打印存档，期限为一年。涉及数据维护的变更（包括新增、修改、删除等操作），业务操作人员需填写应用系统变更申请表，提交给应用系统管理员审批。应用系统变更申请表06信息管理部门对业务部门提出的应用系统变更申请进行审批。07系统变更方案审批通过后，系统承建部门组织实施方制订变更方案，变更方案中包含回退38、方案。若在执行变更过程中出现意外，要按照回退方案退回到转换前的系统状态。若无法回退，应通过备份磁带恢复原系统。08系统承建部门实施测试。通过后，由应用系统管理员对系统数据进行变更操作。针对外包软件，开发商需要拥有临时应用系统的用户名及口令。进行系统故障处理、检查等操作时，要先取得授权，并由应用系统管理员对其访问进行监督，并在访问结束后及时取消帐号，详细内容参见第三方和外包安全管理规定。系统变更测试记录第三方和外包安全管理规定。09系统变更经过验收试运行无故障时由业务部门进行应用系统操作与维护。（三）信息系统权限管理流程图（四）信息系统权限管理流程说明01权限申请人根据系统类型和权限开设类别，依39、据账号安全管理规定在OA系统中找到对应的权限申请单，填写送审审核。信息化系统使用申请表、帐号管理变更申请表、离职人员会签单账号安全管理规定02权限部门内部负责人对权限开设、变更或删除进行审核。03与权限涉及的相关部门对系统权限涉及的工作分工职责审核，判断是否给予该权限。04信息管理部门信息主管对权限申请进行审批。05系统管理员根据审批的权限依据账号安全管理规定进行新增权限开设、变更或删除。账号安全管理规定06权限使用用户需依据账号安全管理规定进行合理操作使用权限，维护好账号和登陆口令信息，防止被非权限用户获取。07系统管理员需依据账号安全管理规定和计算机安全检查标准定期对系统用户的权限使用情况40、进行检查，填写系统帐号检查表。系统帐号检查表账号安全管理规定、计算机安全检查标准（五）计算机用户管理-流程图（六）计算机用户管理-流程说明01公司信息管理部门根据公司内部网络布局和业务需求，制定计算机用户行为守册。计算机用户行为守册02各个业务部门的系统使用用户对进入公司内网的计算机按照计算机用户行为守册进行管理和控制。计算机用户行为守册03公司信息管理部门利用计算机终端管理软件监测用户行为，并于每月根据计算机用户行为守册和计算机安全检查标准组织一次公司范围的计算机系统使用检查。计算机用户行为守册、计算机安全检查标准04公司信息管理部门对违反计算机用户行为手册的用户进行记录，根据计算机用户行为41、守册进行通报整改和实施相应的惩罚。用户行为检查记录计算机用户行为守册（七）系统数据备份流程图（八）系统数据备份流程说明01公司信息管理部门根据系统类型制定数据备份策略方案。系统数据备份方案02对于重要的业务系统重要数据或数据库要求每日做一至二次本机和异地备份.且每月备份数据要刻成光盘,有专人负责保管。03公司信息管理部门需抽取数据备份样表恢复，校验数据的完整性。服务器系统必需有备份,以防系统中毒或崩溃等异常情况发生时的紧急处理之用。常用的业务系统,要有临时替代系统,一方面作为测试用,另一方面作为正式系统出现异常的应紧之需。04系统备份的数据需定期移交档案管理部门存档。数据移交记录第三节 应急响42、应管理第一条 目的为规范生物化学（）股份有限公司（以下简称“公司”）各类信息安全事件的管理，确保信息系统故障得到及时有效的跟踪、控制和处理，加强对信息安全事件的预警通报机制，保障业务系统的安全运行，制定本管理标准。第二条 适用范围本管理标准适用于公司及下属分子公司职能部门的信息安全事件应急响应管理。第三条 定义范围及术语应急类型：自然或人为及软硬件故障或缺陷对信息系统造成危害的事件。设备类突发事件：由于各种原因对网络中的机房、通信线路、服务器、网络设备、安全设备造成破坏，以致引起设备类突发事件。信息系统类突发事件：由于各种原因对网络中的应用系统、操作系统、数据库系统、以及软盘、硬盘、光盘、磁带43、等介质存储的数据等造成破坏，以致引起信息系统类突发事件。第四条 职责分工信息安全领导小组：负责重大、较大安全事件发生后的全局指挥协调，安全事件的调查、善后工作及提出处置意见和相关奖惩建议。信息安全应急响应小组：信息安全事件处理的技术支撑单位，负责组织处理重大、较大信息安全事件。信息安全应急响应小组成员包括公司信息化分管领导、信息化分管经理、业务环节部门分管经理、设备网络管理员、系统管理员、业务信息化联系人。业务信息化联系人：负责上报本部门的安全事件，应急业务流程设计，应急事件的协调和处理，汇总事件处理报告，总结经验。系统管理员：负责应用系统安全事件的处理，具体包括：安全事件分析、应急业务流程设44、计、信息数据和系统恢复、安全事项汇报等。信息及业务分管经理：负责组织安全事件会议，协调业务环节安全事件业务，应急业务流程审核，协调业务部与信息部门在应急事件发生过程中的工作配合。第五条 应急方案（一）ERP系统应急方案1. 总则1.1 编制目的ERP系统作为企业级的业务处理系统，一旦因各种原因意外中断，对业务处理影响重大。应急处理的目的在于指导各部门操作ERP系统的业务人员(即ERP最终用户)，如何应对系统的意外中断，以及如何在系统恢复后进行数据补全。由于系统的集成性，需要各操作岗位协作完成。1.2 适用范围本文内容针对操作ERP系统的业务人员及其部门领导。1.3 应急工作原则业务部门要根据E45、RP系统应急方案，各负其责，登记业务运营数据并确保业务稳定运行。ERP系统恢复运行后，业务部门补录业务数据至系统，确保系统数据一致性。前提条件。应急计划是针对ERP系统因意外原因不能被最终用户正常访问的情况，即ERP服务器系统停机/中断，或网络中断的情况（包括并行期间），并且该情况持续超过业务连续性所允许的范围，如超过1个工作日。同时本计划也可作为计划停机情况时，最终用户的参考。根据财务凭证及报表须打印并归档保存的原则，所有财务凭证应每周打印并归档；所有财务报表应在其生成时打印并归档。财务主数据应于每二周从ERP系统下载，并以电子文档形式保存在用户本地。业务部门应于每周二次从ERP系统下载库存46、状态分析报表，并以电子文档形式保存在用户本地。3、紧急情况核定ERP最终用户在发现自己不能正常使用操作ERP 系统时，应及时联系生化信息人员以解决问题。在相关信息人员确认为ERP 服务器系统问题或网络问题导致最终用户暂时不能正常使用操作ERP后，业务部门最终用户应根据技术支持人员提供的预计问题持续时间，考虑启动应急计划。 若信息人员暂时无法预计问题持续时间，则业务部门最终用户应按超过1个工作日的问题持续时间启动应急计划。4、业务部门应急措施在意外情况发生时，ERP最终用户应针对需要使用操作ERP的业务情景采取以下措施：41 财务（FI/CO）业务情景创建/变更主数据ERP中断情况下应急步骤ER47、P 恢复后补录步骤适应业务情景在用户本地财务主数据电子文档中记录主数据的增减或变更，并注明该记录需在ERP系统中补录；将线外财务主数据电子文档中注明有待在ERP系统中补录的记录主数据补录入ERP，并取消电子文档中需补录标识；下载新主数据，并保存于线外的主数据电子文档；以下主数据的创建/修改：总帐科目客户供应商资产手工入帐ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景根据原始凭证在通用格式会计帐册中以手工帐的形式记录业务信息，并注明该记录需在ERP系统中补录；原始凭证各联在不同业务部门间的流转与正常情况相同；将需在ERP系统中补录的会计记录补录入ERP，并取消电子文档中需补录标识；在原48、始凭证上注明记帐日期；打印补录的凭证并归档保存；以下手工入帐：收款报销付款提取备用金资产折旧，等系统自动生成凭证ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景根据来自其它业务部门的原始凭证以手工帐的形式记录业务信息，并注明该记录需在ERP系统中补录；原始凭证各联在不同业务部门间的流转与正常情况相同；待相关业务部门将其业务数据补录入ERP， 由系统自动生成凭证；根据原始凭证，核对系统自动生成的；凭证，在原始凭证上注明记帐日期，并确保所有凭证都准确完整的补录入ERP；打印补录的凭证并归档保存；来自物料，销售，设备维护及物资供应的由ERP系统自动生成的业务数据期末结帐ERP中断情况下应急步49、骤ERP恢复后补录步骤适应业务情景ERP在本月内恢复运行ERP跨月恢复运行根据原始凭证及手工帐形式记录的业务信息，做期末结账；ERP系统恢复后，检查并确保ERP所开的账期为系统中断发生时的账期，并通知各业务部门补录该账期的数据；监督、核对业务部门补录数据的正确性、完整性；业务部门数据补录完毕后，财务结账；ERP系统恢复后，检查并确保ERP所开的账期为系统中断发生时的账期，并通知各业务部门补录该账期的数据；监督、核对业务部门补录数据的正确性、完整性；业务部门数据补录完毕后，财务结账；财务结帐后通知业务部门补录下一个账期的数据；依此重复以上步骤直至所有月结/年结完整准确补录入ERP；月结，年结生成50、财务报表ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景根据打印归档的上期财务报表，本期全部原始凭证及以手工帐形式记录的业务信息，生成本期财务报表检查业务部门系统数据补录情况；业务数据补录完成后，由系统自动生成财务报表；将系统自动生成的财务报表与手工生成的财务报表核对，确保报表信息的准确完整打印系统自动生成的财务报表并归档；系统自动生成的财务报表42销售（So）业务情景开具提单（订单）ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景手工填写提单（订单）；在提单（订单）上注明该提单（订单）需手工补录入ERP；打印提单（订单）并在不同部门间的流转；将手工开具的提单（订单）补录入ER51、P；通知其它相关部门提单补输入完毕；开提单（订单）开具出厂凭据(发货单)ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景手工填写出厂凭据；在出厂凭据上注明该出厂票有待手工补录入ERP；出厂凭据各联在不同部门间的流转与正常情况相同；将手工开立的出厂凭据录入ERP；通知其它相关部门出厂凭据补录完毕；开出厂凭据开具发票ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景暂停开具发票根据ERP系统生成的发货单，使用ERP开立并打印发票；发票各联在不同部门间的流转与正常情况相同；开发票43物料管理（PO）业务情景创建需求计划ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景手工填写业务52、需求计划，并注明该计划需补录入ERP；需求计划在各部门的流转与正常情况相同；根据业务部门需求计划在ERP中创建需求申请单；通知其它相关部门需求计划补录完毕；创建物资需求申请单创建采购订单ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景根据业务部门采购计划收货，并注明该计划需补录入ERP；创建采购合同；采购合同在各部门的流转与正常情况相同；根据业务部门采购计划在ERP中创建采购订单；通知其它相关部门采购订单补录完毕；创建采购订单库存记录ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景保存存货出入库信息报表，并注明该信息需补录入ERP报表在各部门间的流转与正常情况相同；根据待补录的53、信息报表输入ERP；通知其它相关部门库存移动或产成品信息补输入完毕；库存移动，产成品信息输入44物资供应（MRO）业务情景入库/出库ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景手工填写物资领料单或从其它部门接受手工填写的领料单，发送或接受物资，并注明物资领料单需补录入ERP；根据手工填写的物资领料单，在ERP中补录入物资入库/出库记录；根据从其它部门接受的手工填写的领料单，在ERP中核实物资入库/出库记录；通知其它相关部门物资入库/出库记录补输入完毕；收货，发货，设备维护领料库存查询ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景根据最新下载的库存状态分析报表查询库存信息待54、所有物资入库/出库信息全部补录完毕后，下载最新的库存信息并保存为用户本地文件库存查询采购计划ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景根据最新下载的库存状态数据查询库存信息，制定采购计划，并用本地文件记录；将本地文件记录的采购计划补录入ERP；制定采购计划采购合同ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景手工生成采购合同，并注明该合同需补录入ERP；将手工生成的采购合同补录入ERP创建采购订单（不经过总部的本企业的采购）领料ERP中断情况下应急步骤ERP恢复后补录步骤适应业务情景手工填写领料计划表，并注明该领料计划需补录入ERP；凭领料计划标到物资部门领料；领料计划55、表在不同部门的流转与正常情况相同；待相关工单在ERP中补录完毕，并检查核对确保系统数据准确无误；通知其它相关部门领料信息补录完毕；领料5应急小组组成及职责51应急小组组成组 长：张强副组长：李凤成 员：张宏52应急小组职责5.2.1 适时宣布启用ERP系统紧急应急方案。5.2.2 及时确诊ERP系统突发事件问题源并妥善处理解决。5.2.3 协助业务部门补录ERP系统数据，提供技术支持。5.2.4 记录突发事件问题源、解决方案，同时完善巡检方案。53应急小组人员联系电话职务姓名手机所在部门及职务组长张强事业部IT部经理副组长李凤18255277062生化信息处处长成员张宏17755226118事56、业部IT部专员（二）计算机机房应急预案1 总则1.1 编制目的为确保公司机房安全与稳定，以保证正常运行为宗旨，按照“预防为主，积极处置”的原则，本着建立一个有效处置突发事件，建立统一指挥、职责明确运转有序、反应迅速处置有力的机房安全体系的目标，特制定本预案。1.2 适用范围本预案适用于生化核心计算机机房。2 机房日常维护2.1 建立健全机房管理制度2.1.1 在正常工作日内，信息管理部门人员负责对机房进行监控，主要职责是：巡视网络设备及系统的运行情况，发生异常情况及时处理，消除网络故障隐患。2.1.2 节假日期间信息管理部门人员轮流值班，负责处理有关异常情况。2.1.3 机房采取进出登记制度，57、未经允许，无关人员不得进入公司机房区域。2.2 机房内严格采取防雷、防火、防尘、防静电等措施以及机房入口处24小时监控录像等措施。2.3 认真做好数据备份工作，定期备份数据库，每月检查服务器运行和备份情况。2.4 信息管理部门对机房的主要网络设备（路由器、交换机等）进行监控，发现异常情况应及时进行处理，确保整个公司网络的正常运行。3 机房突发事件应急处置方案3.1 电源系统应急预案3.1.1 定期检查机房供电设备的运行状况和电路线缆情况，当发生下列突发事件时，按照以下方案进行处置：3.1.2 当机房发生停电或是电源异常时。首先应与相关人员联系确认正常停电以及预计停电时间。检查不间断电源的电池可58、供电时间，确保设备正常运行，如遇到突然断电，应及时将空调等不在UPS电源供电范围内的设备及时断电，预防突然来电时瞬间电流过大导致设备损坏等现象。3.1.3 当确定停电时间超出机房UPS承载范围后，首先确定停电的范围以及受影响的设备范围。并及时通知各部门做好停电应急准备。然后通知机房管理人员和系统管理人员到达现场，做好各设备的电源停电准备。在UPS供电电量仅剩10%之后，严格按操作手册停掉各服务器的电源，最后停核心交换机和路由器，等待电力恢复。3.1.4 当确定停电原因是在本身供电系统范围内，立即汇报给负责领导，并及时联系相关维护人员达到现场检修。对于恢复时间无法预计的，要及时通知各部门做好停电59、应急准备。3.1.5 恢复供电后，严格按照操作程序逐步恢复机房设备和UPS的供电，以防瞬间电流过大造成设备损坏。3.2 网络和服务器络系统应急预案3.2.1 发生网络故障时，首先检查机房设备情况，确定网络故障的原因。3.2.2 确认原因后，首先启动备用线路和设备，保证网络的正常运行。然后联系网络管理人员，及时处理和排除故障。3.2.3 当确认短时间无法恢复时，应该及时向负责领导汇报。然后通知各部门做好应急准备。然后再联系维护人员，及时处理故障。3.2.4 当人为或病毒破坏的故障发生时，具体按以下顺序进行：判断破坏的来源及性质，断开影响安全与稳定的设备，断开与破坏来源的物理网络连接，跟踪并锁定破60、坏的来源和其他网络用户信息，修复被破坏的信息，恢复系统。3.2.5 发生服务器系统故障后，应立即电话向相关领导汇报情况，及时组织启动备份服务器系统，由备份服务器接管相关业务应用，同时安排人员将故障服务器脱离网络，保存系统状态不变，保护原始数据。在确认安全的情况下，重新启动故障服务系统：若重启系统成功，则检查数据丢失情况，利用备份数据恢复；若重启失败，立即相关技术人及时处理。处置结束后，技术人员应将处理过程记录下来，以方便日后对此问题的处理。3.3 消防和防雷应急预案3.3.1 上班工作时间发生火警，机房中工作的人员应及时紧急撤离，并立刻拨打119报警。在确保自身安全的情况下，应尽量使用灭火器进61、行灭火，减少电子设备的损坏。同时采取关闭电源总闸等措施，尽量减少可能造成的损失和破坏。3.3.2 非工作时间或节假日休息时间值班人员发现火情后，要立刻拨打119报警，并立刻通知相关部门和领导，做好火灾的处置工作。3.3.3 火情结束之后，机房相关人员应全体赶赴现场，并向负责领导汇报。同时立即联系相关单位，及时评估事故损失情况，研讨恢复网络系统正常运行的最佳解决方案。 3.4 自然灾害应急预案3.4.1 发生自然灾害后，首先应该组织人员撤离现场。当确认灾害不会造成人员伤害后，在回到机房检查设备，立刻向上级领导汇报，并联系相关网络和设备厂家，积极做好灾后恢复工作，确保在最短时间内恢复机房正常运行。62、（三）原粮系统紧急应急方案1. 目的原粮系统作为企业级的业务处理系统，其一旦因各种原因意外中断，对业务处理影响重大。应急处理的目的在于指导各部门的使用操作系统的业务人员(即原粮系统最终用户)，如何应对系统的意外中断，以及如何在系统恢复后进行数据补全。因为系统的集成性，很多工作需要各操作岗位协作完成。本计划主要涉及以下问题：一旦发现不能进行原粮系统的正常操作，最终用户首先应该如何操作？根据业务处理的连续性要求，在原粮系统中断的情况下，如何处理业务？在原粮系统恢复运行以后，最终用户应该如何操作以保证原粮中数据的准确和完整？2、范围本文内容针对使用操作原粮系统的业务人员及其部门领导。3、前提条件。应63、急计划是针对原粮系统因意外原因不能被最终用户正常访问的情况，即原粮服务器系统停机/中断，或网络中断的情况（包括并行期间），并且该情况持续超过业务连续性所允许的范围，如超过半个工作日。同时本计划也可作为计划停机情况时，最终用户的参考。根据财务凭证及报表须打印并归档保存的原则，所有财务凭证应每周打印并归档；所有财务报表应在其生成时打印并归档。原粮主数据应于每二周从原粮系统下载，并以电子文档形式保存在用户本地。4、紧急情况核定原粮最终用户在发现自己不能正常使用操作原粮系统时，应及时联系生化信息人员以解决问题。在相关信息人员确认为原粮服务器系统问题或网络问题导致最终用户暂时不能正常使用操作原粮后，业务64、部门最终用户应根据技术支持人员提供的预计问题持续时间，考虑启动应急计划。若信息人员暂时无法预计问题持续时间，则业务部门最终用户应按超过半个工作日的问题持续时间启动应急计划。5、业务部门应急措施在意外情况发生时，原粮最终用户应针对需要使用操作原粮的业务情景采取以下措施：51 原粮系统业务情景创建/变更主数据原粮中断情况下应急步骤原粮恢复后补录步骤适应业务情景在用户本地主数据电子文档中记录主数据的增减或变更，并注明该记录需在原粮系统中补录；将线外主数据电子文档中注明有待在原粮系统中补录的记录主数据补录入原粮。以下主数据的创建/修改：玉米原辅料手工入补录入系统原粮中断情况下应急步骤原粮恢复后补录步骤65、适应业务情景根据原始凭证以标准格式EXCEL表格填完整，并注明该记录需在原粮系统中补录；以工作联系单形式把需要补录的记录提交信息处审核确认审核通过后交于信息处专业人员进行系统补录以下手工入帐：玉米原辅料6应急小组组成及职责61应急小组组成组 长：张强副组长：李凤成 员：王强62应急小组职责62.1 适时宣布启用原粮系统紧急应急方案。62.2 及时确诊原粮系统突发事件问题源并妥善处理解决。62.3 协助业务部门补录原粮系统数据，提供技术支持。62.4 记录突发事件问题源、解决方案，同时完善巡检方案。63应急小组人员联系电话职务姓名手机所在部门及职务组长张强事业部IT部经理副组长李凤182552766、7062生化信息处处长成员王强信息处信息工程师第六条 业务流程（一）信息化应急事项处理流程图（二）信息化应急事项处理流程说明01公司通过网络和主机入侵检测系统、审计日志（操作系统、应用软件、网络设备）、防病毒系统、安全监控服务等及时发现各类安全事件。部分信息安全事件的征兆如下：防病毒软件的告警信息；应用服务器系统崩溃；网络流量异常或网速过慢；系统文件名有不寻常字符；日志记录异常和配置情况发生变化；系统存在多次远程失败登录。02业务部门发生信息安全事件后及时向信息系统管理员报告，信息系统管理员接到安全事件后，对事件分析定级，按照相应的应急处理流程处理。03在发生或可能发生重大安全事件时，由业务联67、系人和信息系统人员填写信息安全应急事件上报表，递交业务分管经理和公司信息管理部门处长、财务部部长；在发生或可能发生一般安全事件的情况下，由业务联系人员或信息系统人员在4小时内填写信息安全应急事件上报表，用于业务处理跟踪。信息安全应急事件上报表04在发生或可能发生重大安全事件的情况下，公司信息管理部门长负责4小时内牵头组建应急响应小组。对于一般安全事件由业务部门和信息系统员进行跟踪处理确保系统恢复。05事件发生后公司信息管理部门长负责组织信息、业务等部门人员，分析安全事件相关影响因素，确定应急事件处理方案。应急事件处理方案06应急事件处理方案经财务部部长、经财务部所在中心主任签字，应急处理事件进68、入执行阶段。07信息管理部门人员根据应急处理方案，进行信息系统恢复、数据恢复、网络恢复、业务方案执行跟踪等操作。业务环节部门根据应急处理方案，进行业务处理，并对执行过程中出现的问题及时反馈应急响应小组。08安全事件处理或恢复完后，由公司信息管理部门长根据业务处理或恢复完成情况，报财务部长同意后，公告解除应急方案执行。09安全事件处理完毕后，安全管理员组织相关人员填写信息安全事件处理结果记录表，归档保存，形成安全事件知识库。信息及业务分管部长在安全事件处理结束后，应进行信息安全事件经验教训总结：1）加强信息安全防护措施；2）修订和发布安全策略、规定、流程；3）加强信息系统硬件和软件的配置安全；469、）修改不合理的业务流程。解决事件后，如需要进行法律取证分析，由法律部门组织进行。信息安全事件处理结果记录表第七条 风险控制矩阵21.2-R1IT资产台账信息遗漏、失真，不利于信息设备的有效安全管理硬件设备台账规范21.2-CA1信息主管部门设置信息资产台账，台账内容包括设备名称、编号、使用单位、使用年限、启用日期等信息，并定期根据信息资产状态的变化及时更新台账。信息资产台账预防人工信息主管部门21.2-R2IT资产账实不一致，影响到财务报告的真实性确保硬件设施账实一致21.2-CA2财务部定期组织信息资产设施主管部门进行资产盘查，对于实物与账务不一致的应进行原因查明，并形成盘点记录。盘查记录检70、查人工信息主管部门固定资产21.2-R3系统服务器存放的物理环境不符合要求，系统服务器容易受损系统服务器保管完好21.2-CA3A机房管理员须注意机房内温度、湿度、电压等参数，并做好记录，发现异常及时采取相应措施；物理环境记录检查人工信息主管部门21.2-CA3B机房内服务器、网络设备、UPS电源、空调等重要设施由专人严格按照规定操作，严禁随意开关；预防人工信息主管部门21.2-CA3C机房内应保持清洁，机房禁止放置易燃、易爆、腐蚀、强磁性物品。机房管理员须做到防静电、防火、防潮、防尘、防热。机房内做好消防措施，必须放置灭火器等消防用具。预防人工信息主管部门21.2-R4机房遭到人为或非正常性71、破坏，导致系统瘫痪系统服务器保管完好21.2-CA4A非机房人员未经许可不得入内，确有必要进入机房时须认真填写出入机房登记表并在机房管理员的指导下进入；出入机房登记表预防人工信息主管部门21.2-CA4B机房管理员应认真履行各项机房监控职责，定期对机房内各类设备进行检查和维护，及时发现、解决系统出现的故障，保障系统正常运行。检查记录检查人工信息主管部门21.2-R5系统前台设施维护保养不到位，影响到系统用户的正常使用前台系统设施保管完好21.2-CA5计算机使用者须保持计算机设备的清洁。计算机显示器、机箱、键盘、鼠标等配件上应无明显灰尘、脏迹。使用人必须确保电脑完好无损。如有人为损坏由责任人按72、价赔偿。预防人工信息主管部门21.2-R6未达报废条件的系统硬件设施被报废，造成公司资产损失IT资产报废合理21.2-CA6IT资产因超过使用年限或出现严重问题经信息管理部门技术人员鉴定已无维修价值时，经部门领导批准、财务部信息管理部门审核，按照报废资产授权审批权限审批后进行报废。资产报废申请审批单预防人工信息主管部门21.2-R7系统硬件设施报废时内存的数据信息泄露，可能给公司造成经济损失系统数据信息得到保密21.2-CA7系统硬件报废时对于内存的数据信息由财务部信息管理部门技术人员就内存的数据信息隔离掉方可进行报废处置。预防人工信息主管部门21.2-R8系统变更随意执行，难以确保系统的安全73、有效运行系统变更符合需求21.2-CA8系统使用用户对于需要进行系统变更时，需以书面形式提出系统变更申请，详细说明系统变更的原因，报财务部信组主管审核。系统变更申请预防人工信息主管部门21.2-R9系统变更后的效果达不到预期目标，造成系统变更资源的浪费系统变更符合需求21.2-CA9系统变更申请在信息管理部门初步审核通过后，由系统变更需求部门会同信息管理部门组成系统变更开发小组进行系统变更的可行性分析论证。可行性分析论证记录预防人工信息主管部门21.2-R10人为恶意攻击隐藏在信息系统中，可能造成严重损失确保系统安全21.2-CA10公司建立规范严谨的管理策略与程序，安装防病毒软件来预防和检测74、计算机病毒；防病毒软件要定期的进行更新。预防人工信息主管部门21.2-R11员工恶意或非恶意滥用系统资源，造成系统运行效率降低确保系统安全21.2-CA11公司所有用户必须高度重视计算机规范使用与信息安全,信息管理部门每月须组织一次公司范围的计算机系统使用检查。检查记录检查人工信息主管部门21.2-R12系统程序缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。确保系统安全21.2-CA12A办公用电脑内严禁安装、运行任何非法软件。一经发现使用非法软件，信息管理部门应及时清理并追查有关人员责任；预防人工信息主管部门21.2-CA12B公司信息管理部门建立相关系统防护体系，包括防火墙、路由75、器、IDS、交换机及其他相关IT设备的到适当配置以阻止未经授权的侵入。预防人工信息主管部门21.2-R13系统出现突发性故障，影响到业务正常运行确保系统安全21.2-CA13建立系统突发故障的应急预案，并就应急预案组织进行演练。应急预案及演练记录预防人工信息主管部门21.2-R14系统数据丢失，造成公司经济损失系统数据安全21.2-CA14A用户应妥善做好本计算机内信息的备份。对于重要的文件、邮件要及时备份。备份的信息应存放在非系统盘内或者其它存储设备上。特别重要的信息必须建立两个以上备份；预防人工信息主管部门21.2-CA14B公司各信息系统的公共数据由信息管理部门定期统一备份。公司信息管理76、部门设立专人负责数据备份工作。备份数据刻录到光盘等介质上，交由财务档案管理部门统一保存。备份清单预防人工信息主管部门21.2-R15备份的数据无法恢复，影响到业务的正常运行系统数据安全21.2-CA15建立数据的灾难恢复机制，对于数据备份后应进行数据备份的恢复演习。预防人工信息主管部门21.2-R16机密数据在系统传输过程泄露，造成公司经济损失系统数据信息得到保密21.2-CA16A所有用户在未采取适当保密措施与安全技术的情况下，不得将涉及公司商业秘密的信息如工作流文件、演讲稿、产品培训资料、招投标文件等数据资料上网传送交换或者采取其他任何方式透露给第三方；预防人工信息主管部门21.2-CA177、6B邮件用户有义务保证所发送的含有重要内容邮件的安全， 对于此类邮件应采用加密方式发送。预防人工信息主管部门21.2-R17信息档案的保管期限不够长，影响到后期的检阅和使用信息档案保管完好21.2-CA17信息档案由财务档案管理部门负责进行统一保管，按照公司的保管期限进行保管。预防人工财务部21.2-R18系统用户权限设置不恰当，影响到系统数据的安全系统数据安全21.2-CA18系统用户权限增加、删除或更改设置时需由系统用户部门提出权限设置申请，经部门部长审核，并交由信息主管部门审批方可进行设置。用户权限设置申请预防人工信息主管部门21.2-R19用户权限被他人随意使用，影响到系统数据安全系统78、数据安全21.2-CA19禁止用户将系统用户权限转借给他人使用，用户使用者保护好自己的用户账号和登陆密码。预防人工信息主管部门21.2-R20用户账号和登录密码泄露或被他人盗取，影响到系统的数据安全系统数据安全21.2-CA29所有用户应及时设置或更改自己的各种信息系统密码，对于密码达不到要求（8个字符以上）的用户账号，信息管理部门有权进行账号禁用。预防人工信息主管部门21.2-R21进入系统的数据不准确、不完整、不及时，导致输出结果错误，甚至造成财产损失。输入系统数据真实无误21.2-CA21A数据在输入进系统之前，需对采集的原始数据的合法性、完整性、准确性等由独立于数据采集、编制人员进行审79、核；预防人工相关部门21.2-CA21B数据在输入时需经过授权审批后方可输入进系统；公司可利用计算机自身的校验功能对输入计算机系统的数据进行相应的逻辑检验。预防人工相关部门21.2-R22用户不正确操作信息系统，随意增加、删减操作软件，容易造成系统损坏确保系统安全21.2-CA22A各部门单位系统软件操作人员必须按照软件操作手册（操作流程）操作,不得随意安装、删除、修改相关操作软件；预防人工相关部门21.2-CA22B加强信息系统操作人员的严密监控，系统管理员应定期检查工作日志，核实操作人员的上机时间、操作内容等。预防人工信息主管部门21.2-R23信息系统处理过程未留下详细轨迹，导致出现错误80、时无法追踪。系统处理可追溯21.2-CA23在系统内部设立并打开系统操作日志功能，对系统处理的过程进行记录。预防人工信息主管部门21.2-R24未经授权非法处理业务，容易造成系统数据被篡改的风险系统数据安全21.2-CA24在系统中设置处理权限的程序化控制；对于超出自己权限范围，需获得授权审批方可进行业务处理。预防人工信息主管部门21.2-R25输出的信息内容在正确性和完整性、形式的规范性等方面存在质量问题，无法满足用户的需求。输出的系统数据真实无误21.2-CA25A业务人员对于系统输出控制总数与输入控制总数、处理控制总数相核对；检查人工相关部门21.2-CA25B对于财务报表数据，在报表数81、据输出前，可由计算机检查报表间应有的勾稽关系是否满足要求。检查人工财务部21.2-CA25C业务人员对于打印输出的文件由人工进行肉眼和合理性审查，检查其是否出现错漏。检查人工相关部门21.2-R26敏感信息被非授权用户获取，给公司造成损失系统数据安全21.2-CA26计算机系统输出的信息应限制未经批准的人员接触，系统输出的文件应由资料保管员或兼职人员负责保管。同时，打印的资料分发应建立签收制度，收件人应签署收件的日期、文件和签名，以便日后检查。预防人工相关部门21.2-R27输出的信息被篡改，影响到用户的有效使用和决策系统数据安全21.2-CA27A业务人员对于系统输出控制总数与输入控制总数、82、处理控制总数相核对；检查人工相关部门21.2-CA27B对于财务报表数据，在报表数据输出前，可由计算机检查报表间应有的勾稽关系是否满足要求。检查人工财务部21.2-CA27C业务人员对于打印输出的文件由人工进行肉眼和合理性审查，检查其是否出现错漏。检查人工相关部门第八条 相关文件及表单（一）相关文件第三方与外包安全管理规定ERP-NC系统管理规定粮食收购系统管理规定账号安全管理规定计算机安全检查标准计算机用户行为守册（二）表单信息系统自行开发流程需求调研计划需求调研报告项目系统切换计划项目验收报告信息系统项目开发-立项信息系统项目开发-实施信息系统运行与维护流程应用系统变更申请单信息系统权限申83、请使用OA系统申请使用OA系统申请数据备份管理流程无计算机用户管理流程无第三部分 信息系统管理细则（一）物联网人员管理细则第一章 总 则第一条 为加强公司园区综合智能管理人员管理信息化系统（以下简称“园区管理系统”）的员工考勤、食堂就餐、门禁系统和访客系统的规划、建设和管理，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，保证业务正常运行，提高效率，特制定本办法。第二条 本办法适用于生化本部和各子公司。第二章 职责权限第三条 各部门设置考勤员，进行园区管理系统的相关操作。负责对本部门的考勤数据进行维护、申请用户权限、处理考勤异常信息。第四条 人力资源部负责各部门考勤员的权限管理。公84、司发生组织架构变更或个人信息变动时，人力资源部应及时更新人力资源HR系统，以确保园区管理系统的信息正确。第五条 公司办公室餐饮处负责餐费标准和员工、外来就餐人员的就餐权限管理。第六条 公司办公室保卫处负责人员进出门禁的管理，临时通行证、贵宾证、施工证的资格审核和发放。第七条 信息管理部门人员为园区管理系统的系统管理员，负责系统软硬件日常运维及异常处理。第三章 智能卡的分类和申请第八条 园区管理系统使用智能卡进行管理，系统应用的智能卡分为五类，分别是员工上岗证、临时通行证、贵宾证、部门就餐卡、施工证。第九条 员工上岗证：为公司员工进出公司大门、考勤、食堂就餐的证件。新进员工信息由人力资源部录入H85、R系统，餐饮处根据入职人员的班种、职务分配员工的就餐权限，由保卫处制卡、发卡。第十条 部门就餐证：为员工加班、来访客人就餐的食堂就餐证件。由各部门提出申请经相关领导审批同意后，由餐饮处统一发卡。第十一条 贵宾证：为来访客人进出公司大门、就餐的证件。由各部门提出申请经相关领导审批同意后，由保卫处统一发卡，需要食堂就餐的再由餐饮处设置就餐权限。第十二条 临时通行证：为外单位人员进出公司大门的证件，以及外单位人员进入食堂就餐的证件。外单位人员进出公司大门的证件由来访人员通过智能终端（访客机）登记后保卫发卡。外单位人员进入食堂就餐的证件，由各外单位提出申请经相关领导同意后餐饮出发卡。第十三条 施工证：86、为在公司内进行施工人员的证件。由各部门提出申请经相关领导审批同意后，由保卫处统一发卡，需要食堂就餐的再交于餐饮处设置就餐权限。第四章 智能卡的发放、挂失和补办第十四条 智能卡有相应的编号（人工编号）和卡号（卡芯片编号），两者一一对应。员工卡编号采用人力HR系统员工编号，其他类型智能卡为相关部门在园区管理系统发卡时人为编号。发卡人员每发卡编号时，不可重复或占用其他卡编号。编号原则采用顺序编号。第十五条 智能卡需要的照片，为近期一寸正面彩色免冠头像，戴眼镜的员工应配戴眼镜，人像清晰，统一为白色背景的电子照片。办卡人员没有电子照片时，可统一到公司办公室制卡室现场拍摄。第十六条 智能卡丢失或损坏时，持87、卡人员应及时联系发卡部门进行挂失。智能卡丢失或人为损坏，收取工本费；出现消磁等非人为情况损坏，免收工本费。第十七条 挂失的智能卡持卡人由归属部门核对身份后，由保卫处补发临时卡，并与挂失的智能卡信息进行绑定，同时把挂失的智能卡设置为不可使用状态。补发的临时卡使用有效期为一天，若在补发的临时卡有效期内持卡人找回挂失的智能卡，需到保卫处交回补发的临时卡，同时取消原有智能卡的挂失状态；若确认挂失的智能卡无法找回或损坏不可使用，保卫处补发同类型新卡，同时将挂失的智能卡设置为报废状态。第十八条 发卡部门在发放智能卡时设置有效期，所有智能卡在有效期内可以使用，过期则不可使用；对于需要延长使用期限，持卡人应提88、前去相关部门补办延长手续；持卡人使用完成后必须归还发卡部门，员工卡在员工离职手续办理完成后归还公司。第五章 就餐管理第十九条 食堂就餐采用两进一出闸机进行（早、中、晚、夜）就餐管理，员工进入食堂需要刷卡（员工上岗证），系统记录就餐次数和计算费用。第二十条 系统根据员工的班次情况控制员工就餐。就餐人员持他类型卡进入食堂就餐时，根据证件申请时餐饮处设置的权限控制进入。第二十一条 遇到断网或断电等特发情况时，食堂工作人员使用手持PDA刷卡，保证就餐畅通。闸机正常工作中出现单个刷卡异常情况，系统报警，此时就餐人员须退出闸机通道，由食堂工作人员进行处理。第六章 考勤管理第二十二条 公司员工一律实行上下班89、刷卡考勤，考勤需按照公司员工请假、休假、考勤管理制度执行。第二十三条 公司各大门入口考勤采用非接触式无障碍通道，员工正常通过考勤通道，考勤通道自动识别员工信息，完成考勤数据记录。当通过考勤通道信息未被读取时，员工需手工在补刷卡器上手工刷卡，完成考勤。第二十四条 公司员工进出大门和在厂区内活动应主动将上岗证佩戴于左胸前。员工进入公司大门，应按顺序走大门两侧的员工通道，不得拥挤。第二十五条 员工未带上岗证的，分厂员工由运行主任以上人员签字带进，部门员工由所在单位处长级管理人员签字带进公司，处长级管理人员未带上岗证的，由所在部门部长级管理人员签字带进公司。未带证件员工的考勤信息，由保卫处根据登记情况90、，汇总反馈至各部门考勤管理员处。第二十六条 开车进入厂区的员工，可以在厂区主要通道设置的补刷卡器进行手工刷卡，完成考勤。第二十七条 系统每天按最早记录时间为上班时间，最晚记录为下班时间，上班时间内进出通道也被记录，供管理人员或管理部门提供考勤分析数据。第二十八条 各部门考勤员需及时维护本部门人员班次、班种以及排班情况基础数据，保证考勤数据采集和食堂就餐次数正确。第二十九条 各单位考勤管理员于每月5日前核对处理本单位上月考勤情况。若超过此时间，系统将无法处理。第三十条 每月初，各部门从系统打印本部门上月考勤表，经员工签字确认，部门领导审核后，报送人力资源部。第七章 门禁管理第三十一条 公司人员进91、入公司按照外来人员管理规定、人员、物资、出门证管理规定、证件管理规定、治安防范管理制度等相关制度执行。第三十二条 人员进出厂区大门必须佩戴园区管理系统发放的有效证件。无证件进入系统将报警，由保卫人员监管处理。第三十三条 重要区域大门布置刷卡机或电子门禁，控制人员进入，有权限进入人员刷卡后方可进入。第八章 访客管理第三十四条 外来人员进入公司实行审批、发放证件和登记许可管理，未经批准任何外来人员禁止进入公司。第三十五条 公司访客来访时，利用大门智能信息采集终端识别证件（身份证、驾驶证、军官证等）进行登记，同时留存证件原件、打印会客单，访客离开公司时须交被访人员或该部门授权人员签字的会客单和访客卡92、，才能出公司大门。第三十六条 开车进入厂区的访客，需驾驶员进行相关登记工作。第九章 设备、系统管理第三十七条 各使用部门负责各自相关设备的日常保养，包括日常清洁、设备定期巡检、故障报修等。第三十八条 信息管理部门负责园区管理系统相关设备的总体检查、维护。接到各部门的故障报修后，及时进行维护、联系相关厂家进行维修。第三十九条 信息管理部门负责园区管理系统软件的相关维护，确保软件系统正常运行。第十章 附则第四十条 本制度由信息管理部门负责解释。第四十一条 本制度自颁布之日起执行。（二）粮食收购系统管理规定第一章 总则第一条 为了确保粮食收购系统的正常运行，实现对粮食收购过程的规范化管理，提高收购工93、作效率，特制定本规定。第二条 本规定适用于适用于生化本部和各子公司。第二章 部门职责第三条 粮食收购信息化系统是保障公司原粮收购高效、准确便捷的有效途径，对涉及部门实行归口管理。第四条 粮食收购信息化系统职责划分1) 仓储物流部负责信息的采集。2) 安全环保与生产部磅房负责对主车毛皮重、复磅和扣重进行录入。3) 采购中心负责提前对其收购计价方式进行调整、车量的预报信息录入、 供应商编码维护、单据结算以及收购系统协调事宜。4) 质量部负责对化验结果和个体户的计价方式进行录入。5) 财务管理部会计处负责付款数据录入核对结算单。6) 财务管理部信息处负责修改错误电子票据，系统维护更新。第五条 各职能94、部门对其录入的数据负责，对出现的漏录和错录的及时补录和更正。第三章 岗位角色和职责第六条 根据涉及粮食收购系统的人员，进行如下岗位和职责划分。1) 保卫：负责维持现场秩序、发放卖粮户须知、登记客户信息以及防止卖粮人员作弊。2) 化验员：负责接收传样员传来的样品，并对样品进行化验，以及负责将化验结果填入手工质检单上。3) 化验信息录入员：负责核对化验结果并录入到原粮收购系统中以及在电子票据上打印。4) 客户信息录入员:负责将客户相关信息录入到系统中并在电子票据上打印。5) 化验班长：负责对当班人员进行管理，并负责处理和修改发生错误的单据。6) 司磅员：负责把客户车辆的毛重、皮重、扣重和车辆信息录95、入到系统中，并在电子票据上打印。7) 现场协调员:负责对玉米车辆现场的协调以及负责根据生产系统的需要调度玉米车辆。8) 保管员：负责对卸货车辆的确认和签字。9) 结算员：负责根据传来的电子票据在系统中核对后，进行系统结算并打印出结果。10) 结算组长：负责对结算人员进行管理，有权修改结算人员的录入错误，并依据采购部的意见修改当前采购价格及扣水、扣杂、扣烘伤参数。以及负责在发现化验、检斤错误后扣下相关单据暂停结算并向上级汇报。11) 付款员：负责接收卖粮人员的发票核对相关信息，确认无误后付款并负责在系统中加上付款标志。12) 采购中心信息化协调员:负责对本部门涉及到粮食收购系统的人员进行管理、业96、务协调，以及对错误数据进行修改和处理。第七条 以上各岗位人员都必需严格按照岗位操作流程进行操作，维护公司的形象和利益，不得徇私舞弊和弄虚作假，一旦发现将严肃处理。第四章系统流程分类第八条 粮食收购系统主要分为二种流程。1) 门前粮流程:门前粮流程包括农户、门前合同粮、外储库粮等，统一走以下流程：仓储部统一对车辆进行调度-信息采集点对客户信息进行采集并自动生成凭证号-扦样系统自动取样-系统送样至化验室-化验员化验送验样 -化验录入员录入化验信息-个体客户在刷卡机上确认出售（合同粮按生产需求分配去向）-司磅员检斤过重磅(复磅) -车辆到收货地卸货保管员签字确认-司磅员检斤过空磅(空磅)- 刷卡机上97、打印结算小票（合同粮已经结束流程无需单车结算）-付款员核对电子单据付款并在系统中加入付款标志-客户直接去银行刷卡结算取钱结束流程。2) 合同粮转运分汽运和船运（汽运走上面流程）合同粮收购前采购中心录入合同数据、结算方式数据，为合同粮收购做好前期基础数据。船到港-扦样员取样-传样员核样并送样至化验室-化验员化验送验样-化验员根据船号录入化验数据-司机到车辆调度室登记-司磅员检斤过空磅形成凭证号-到货运室确定收货单位及船号信息-司机装车皮玉米-司磅员检斤过重磅 -收货地磅房司磅员复重磅-车辆到收货地卸货保管员签字确认-司磅员复空磅-结算员在系统中核对电子票据并结算打印结果后在系统中加入结算标志-付98、款员核对电子单据付款并在系统中加入付款标志。第五章 错误单据处理管理规定第九条 对于错误的单据，本部门有更改权限的，于本部门相关负责人做好此次事件记录后，方可进行更正。软件自动存储每次修改的记录，由采购中心信息化协调员负责核查。第十条 对于发生的错误，本部门无权更正需要其它部门协助处理的，需有录入人按本制度后附表格填写一份单据更改申请单，进行相关部门会签后，方可要求其它部门责任人进行更正。第十一条 对于各更正记录和申请单，必须交一份于财务部信息处，且各业务部门每月底要对本部门录入人员发生错误的情况进行汇总，汇总结果也需交一份于财务部信息处。不仅作为对录入人考核的依据，也是对系统进行维护和更新的99、分析数据。第十二条 财务部信息处将根据各录入员由于人为操作失误造成的错误，视其情节严重程度对录入人每次处以50-200元的扣减绩效奖金（可连续扣减）。第六章 系统异常应急处理规定第十三条 各录入点在发生各种异常情况，如网络、操作系统故障等无法连接服务器的情况， 录入人要在第一时间向信息处和本部门领导报告，以得到及时解决。 第十四条 录入员在录入信息时在系统中找不到所对应的基础数据如(车船号，车皮号，计价方式等)，要在第一时间向采购中心信息化协调员和本部门负责人联系，请求立刻添加进系统。第十五条 类似以上的各种异常情况，各录入人员要做好各种应急处理，任何人都不得已各种借口耽搁玉米车辆转运或其它业100、务处理进度。如果发生没有及时向上反映，造成客户投诉和恶劣影响的，将严肃处理相关责任人。第七章 用户账号的使用规定第十六条 为了保障系统的安全，拥有粮食收购系统账号的用户，都要不定期的更改自己账号密码。密码应不少于六位，最好由字母和数字组合而成，以防止他人破解后非法使用。如果发生此类事件，由帐号所对应的用户承担一切后果。第十七条 因业务的改变，录入人员需要重新分配权限的，以及新增录入人员的，由本部门信息化责任人填写一份用户权限变更申请表，由信息处统一进行分配，其它部门和人员不得擅自分配和添加用户权限。如发现此类事件的，信息处将严肃处理。第十八条 因工作调动离开本岗位的录入人员，本部门要及时向信息101、处汇报，收回此人用户账号。在信息处未作处理的情况下，不得擅自使用此用户账号。第八章 程序模块功能更改和添加规定第十九条 粮食收购软件能够满足粮食收购业务的基本需要，但仍需要不断进行完善。各业务部门和业务人员在使用过程中，根据本部门业务的操作和实际需求，需要新增和更改的地方，填写相应的表格，及时反馈于信息处，由信息处进行审议和修改。第九章 粮食收购系统业务人员上岗规定第二十条 各部门新上岗的粮食收购系统业务人员，都必需先到财务部信息处进行相关业务培训，考试合格后，方可上岗。对于考试不合格的人员，一律不得上岗。第十章 附则第二十一条 本规定自下发之日起开始实施。第二十二条 本制度解释权由财务部信息102、处负责。（三）生化帐号安全管理规定第一章 总则第一条 为避免公司应用系统被非授权访问以及重要业务的信息泄露，规范管理应用系统的帐号和口令，特制定此规定。第二条 本制度适用于生化及下属子公司服务器和应用系统的帐号管理。第三条 各应用系统管理员负责应用系统帐号分配、帐号权限变更、口令管理及帐号维护工作。第四条 主机系统管理员负责服务器的帐号分配、帐号权限变更、口令管理及帐号维护工作。第二章 帐号管理第五条 应用系统的帐号建立和授权应通过OA系统进行申请和审批后，由应用系统管理员执行帐号及口令变更操作。第六条 应用系统管理员建立用户帐号时要使用唯一的用户帐号，避免使用共享帐号。第七条 用户帐号的功能103、权限应该以满足用户需要且最小授权原则，不得有与用户职责无关的权限。第八条 没有明确授权不得开设应用系统帐号，第三方维护和开发人员不得拥有应用系统帐号。第九条 确因工作需要，给第三方人员开设应用系统帐号或者临时测试帐号的，需经过应用系统所属部门领导及IT相关部门领导审批。对第三方申请的帐号，在信息化系统使用申请表里要明确填写帐号有效期限。第三章 帐号权限变更第十条 人员岗位变更时，由帐号变更申请人在OA填写相应账号的变更申请表，所属部门领导及IT相关部门领导分别签字确认后，由应用系统管理员进行用户帐号变更的操作。第十一条 应用系统管理员根据申请人所在部门及岗位职责进行合理授权，不得违规授权。第四104、章 帐号注销第十二条 人员离职和调岗时，填写离职人员会签单，由相关部门领导签字，并提交给应用系统管理员进行用户帐号的注销。第十三条 到达使用期限的第三方人员帐号以及临时帐号，要定期检查并及时予以注销。第五章 帐号口令管理第十四条 所有系统应该设置登录的口令。口令的设置须遵守如下规定：1) 禁止使用空口令2) 口令的长度不低于6位；3) 保证口令复杂度，即由英文、数字及特殊字符组成；4) 至少3个月更改一次，不应使用近3次使用过的口令；第十五条 口令不要明文存储在计算机上，不要写到纸条或者本子上，可以采用相关安全认证手段来增强口令的安全性。第十六条 应及时更改所有系统的默认口令，尤其是初次使用系105、统。第十七条 不得将系统口令告知他人，如工作需要将口令告诉他人并登录系统的，在他人使用完之后要修改口令。第十八条 用户创建过程，应用系统管理员要对用户的口令保密。第十九条 用户忘记登录应用系统口令时，应当由用户在OA中提交账户密码维护申请表，由部门领导及IT相关部门审核签字后，由应用系统管理员进行口令变更操作。第二十条 应用系统管理员应采取有效措施，防止任何人通过非法手段取得他人ID和口令进入应用系统。第六章 帐号权限日常维护第二十一条 操作系统只开设满足业务需要的帐号，不得开设同业务系统运行不相关的帐号。第二十二条 除了主机系统管理员具备特权帐号之外，其他人在未得到明确授权不得开设特权帐号。106、第二十三条 帐号和口令不能共享使用，如业务运行需要使用系统帐号或者特权帐号，在得到授权后由主机系统管理员开设帐号。第二十四条 操作系统的帐号申请要明确使用时间，超过使用时间主机系统管理员要注销相应帐号。第二十五条 所有服务器操作系统的帐号口令（例如，root帐号、Windows管理员帐号）设置，可以通过使用帐号和口令管理产品辅助帐号和口令管理。第二十六条 应用系统管理员对新申请帐号、变更、撤销等行为进行记录，并填写应用系统帐号口令维护记录表。第二十七条 应用系统管理员每两个月对用户帐号及权限进行检查，检查系统中的用户帐号同各部门实际人员是否匹配，及时调整账号及权限。第二十八条 主机系统管理员每107、两个月对服务器帐号进行审核，确保系统中不存在同业务运行无关的帐号以及过期的帐号。第七章 附则第二十九条 本规定由信息管理部门负责制定及解释。第三十条 本规定自颁布之日起执行。（四）计算机用户行为守则第一条 为了规范生化及各子公司员工计算机的安全使用操作，特建立本守则。第二条 本守则适用于在生化及各子公司办公的所有计算机用户。第三条 引用依据：中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、涉密计算机及信息系统安全保密管理规定。第一章 安全守则第四条 生化所有用户必须高度重视计算机规范使用与信息安全。第五条 所有用户必须遵守国家有关法律、法规、严格执行108、安全保密制度，任何单位和个人不得利用公司网络制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家，破坏国家统一的；（四）煽动民族仇恨，民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言、扰乱社会秩序的；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害公司声誉和商业利益的；（九）其他违反宪法和法律、行政法规的。（十）对被动收到的上述不良信息，及时予以删除，严禁扩散，应及时向公司信息管理部门报告。第六条 所有用户在未采取适当保密措109、施与安全技术的情况下，不得将涉及公司商业秘密的信息如工作流文件、演讲稿、产品培训资料、招投标文件等数据资料上网传送交换或者采取其他任何方式透露给第三方。第七条 所有用户应及时设置并定期更改自己的各信息系统密码，密码必须满足复杂要求，对于密码达不到要求的用户账号，公司信息管理部门有权进行账号禁用。密码复杂度要求如下：(1)不能包含用户的帐户名(2)不能包含用户姓名中超过两个连续字符的部分(3)密码包含以下四类字符中的三类字符:- 英文大写字母(A 到 Z)- 英文小写字母(a 到 z)- 10 个基本数字(0 到 9)- 非字母字符(例如 !、$、#、%)(4) 密码最小长度：8位(5) 每3个110、月应进行更改第八条 由于用户账号密码过于简单、密码泄露造成的各种安全事故，由账号所有者承担全部责任。第九条 信息备份管理（一） 用户应妥善做好本计算机内信息的备份。对于重要的文件、邮件要及时备份。备份的信息应存放在非系统盘内或者其它存储设备上。特别重要的信息必须建立两个以上备份。（二） 公司各信息系统的公共数据由公司信息管理部门定期统一备份。公司信息管理部门设立专人负责数据备份工作。备份数据刻录到光盘等介质上，交由财务档案管理部门统一保存。（三） 备份数据要定期检查备份的正确性。第二章邮件守则第十条 邮件账号管理邮件账号根据集团邮件系统命名规范命名，为避免邮件账号受到侵入和攻击，邮件账号的口令111、设置应该采取强化安全设置，口令长度在8个字符以上，包括字母、数字、特殊字符。口令超过3个月应进行更改。邮件账号的申请、开通、变更应按照集团相关流程填写各种表单进行。第十一条 邮件用户应在自己的邮箱账号开通后，根据本守则第五条及时修改口令。第十二条 邮件用户应按照邮件账号管理员的要求安装和配置客户端，并配置邮件客户端安全选项。第十三条 邮件用户应对自己的邮箱账号和口令的安全负责，不得将邮箱账号借与他人。一旦发现邮箱账号口令泄露，应及时更换口令。若发现邮箱存在安全漏洞，应及时通知邮件管理员。第十四条 邮件用户应定期接收邮件，及时删除过时和无保留价值的邮件，以节省系统的存储资源。第十五条 邮件用户有112、义务保证所发送的含有重要内容邮件的安全， 对于此类邮件应采用加密方式发送。第十六条 邮件用户不应以任何理由发送垃圾邮件。应及时对所使用的计算机进行防病毒定义码的更新和操作系统补丁的更新，以防止由于病毒的原因发送大量的垃圾邮件，危及邮件系统的稳定运行；发送邮件的内容不得包含任何具有煽动性和反动性质言论，否则将根据相关法律法规追究当事人的责任。第十七条 邮件用户不得以任何形式对邮件系统服务器进行攻击或试图破解、打开、使用其他用户账号，否则将根据相关规定追究当事人责任。第十八条 所有员工未经授权不得通过通讯录群体发送与本人工作没有直接关系的邮件，如：节日贺信等。第十九条 任何用户不得偷窥或盗用他人的113、邮箱。第二十条 使用邮箱以发送和接收工作信件为主, 不得参加来自互联网的幸运抽奖及类似娱乐活动。第三章网络守则第二十一条 任何部门和个人不得从事下列危害计算机信息网络安全的活动：(一)未经允许，进入计算机网络或者使用计算机信息网络资源；(二)未经允许，对计算机信息网络功能进行删除、修改或者增加；擅自修改网络参数(如：IP地址)，制造地址冲突影响他人使用或服务器工作；(三)未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；(四)故意制作、传播计算机病毒等破坏性程序；(五)其他危害计算机信息网络安全的行为。第二十二条 严禁私自在网络上进行大量消耗资源又没有实际意114、义的操作、广播通讯操作、游戏型或赌博型操作。第二十三条 所有用户禁止下载与工作无关的文件。第二十四条 严禁上班时间用电脑看电影、玩游戏。第二十五条 禁止使用P2P软件（例如：电驴、迅雷、BT等软件）下载各类文件。第二十六条 未经公司信息管理部门授权严禁使用第三方软件非法为他人提供上网服务。第二十七条 未经公司信息管理部门授权严禁私自增加网络设备(如换机)和铺设网络线路。第二十八条 公司无线网络由公司信息管理部门统一部署，禁止员工以任何理由私自架设无线设备，一经发现立即没收。第四章办公计算机守则第二十九条 办公用电脑内严禁安装、运行任何非法软件。一经发现使用非法软件，公司信息管理部门应及时清理并115、追查有关人员责任。第三十条 公司信息管理部门不得为任何公司和个人提供、安装、调试非法软件。第三十一条 由于用户个人自行安装其他软件而引发的知识产权纠纷问题，由个人用户自行负责；如果此类软件给公司网络安全或网络稳定造成不良影响，员工所在单位应给其相应处罚。第三十二条 所有用户如发现计算机运行异常，请及时杀毒，如果执行杀毒操作结束后，问题没有解决，请先断开网络连接，然后通知公司信息管理部门人员。第三十三条 每台计算机必须设置开机密码和屏幕保护密码，重要文档应设置打开密码，密码应满本守则第五条规定。第三十四条 计算机在下班时应及时关机，减少因长时间开机造成过量损耗和能源浪费。第三十五条 在使用计算机116、过程中，如果发现计算机出现异常(如屏幕闪动明显、噪音过大、有烧焦味、冒烟、不能正常启动等情况)，必须立即关闭电源，并报告公司信息管理部门。第三十六条 严禁私自拆卸、更换计算机设备配件。第三十七条 必须保证计算机电源的安全稳定。电脑设备所在建筑物必须安装防雷击设施。电压不稳的，必须配备稳压器。计算机用的电源，禁止同时连接其它用电量较大的设备。第三十八条 禁止将大头针、曲形针、饮食及磁性物质放在计算机上，以免对电脑造成损坏。第三十九条 计算机使用者须保持计算机设备的清洁。计算机显示器、机箱、键盘、鼠标等配件上应无明显灰尘、脏迹。使用人必须确保电脑完好无损。如有人为损坏由责任人按价赔偿。第四十条 开117、启和关闭机器设备必须间隔1分钟以上，防止产生的瞬间电流对设备造成损坏。第四十一条 U盘在公司电脑上使用之前，必须先行查杀病毒，确保U盘无病毒后方可使用。第四十二条 禁止带电插拔与计算机相连的设备（USB接口除外）。第四十三条 使用网络共享方式来传输文件时，必须设置共享密码，而且用后立刻取消共享。公司重要文档禁止使用共享方式传输。第四十四条 禁止利用任何手段破译他人密码、进入他人计算机或查看他人信息，一经发现按危害公司信息安全处理。第四十五条 对于违反上述任何规定的，将视情节严重程度及造成的影响和损失，由员工所在单位给予处罚，直至追究法律责任。第五章 处罚第四十六条 对于违反上述任何规定的，将视118、情节严重程度及造成的影响和损失，由员工所在单位给予处罚，直至追究法律责任。第四十七条 对于违反信息安全规定导致企业机密信息泄露的及有其它违反法律规定的违法行为者，按公司管理制度从重处理，直至追究法律。第四十八条 因个人原因造成计算机设备损坏，经公司信息管理部门鉴定后由责任人按当前市价赔偿。第四十九条 因个人原因造成公司计算机网络设施损坏，影响公司网络使用的，除按价赔偿外，给予通报批评。第六章附则第五十条 本制度由公司信息管理部门负责制订及解释。第五十一条 本制度自发布之日起执行。（五）计算机安全检查标准第一条 为了规范办公计算机系统的使用，提高员工的安全意识，保障公司办公计算机系统的运行安全，119、特制定本检查管理标准。第二条 本标准适用于生化及子公司配置的办公用电脑。第三条 硬件和环境检查1. 计算机硬件外观是否完整良好，是否有破损、缺失部件。2. 是否在办公计算机旁存放有易燃、易爆、腐蚀和强磁性物品。3. 检查与业务相关的计算机是否有采用除办公网络以外的其它手段进行上网或外联。4. 计算机使用者下班时是否退出系统并关机。5. 检查计算机电源线路及网络通讯线路是否存在擅自拆卸、改动，或私自接线等情况。6. 检查网络机房用电及防火安全是否达标，室内温湿度是否达标。第四条 系统和应用软件检查1. 员工是否存在擅自更改现有的操作系统。2. 检查计算机系统是否有安装与工作无关的软件，是否有随意120、安装、卸载非允许的软件。3. 是否按照要求安装了杀毒软件，是否及时更新病毒特征库。4. 是否安装具有攻击或嗅探功能的黑客程序或病毒传播程序。5. 是否安装严重影响网络性能的下载软件，如采用P2P技术的下载工具。6. 计算机操作系统和应用程序补丁是否已经更新。7. 检查计算机的IP地址是否使用了DHCP自动分配，是否未经许可私自设定静态IP地址。第五条 口令检查1. 计算机操作系统的帐号口令是否达到要求。2. 计算机操作系统的帐号口令是否定期更换。3. 计算机的帐号口令是否有张贴到电脑表面易获得处。4. 离开计算机是否启用锁定屏幕功能。第六条 数据检查1. 检查办公计算机内是否存储、处理非法、反121、动、淫秽的文件。2. 检查在非涉密计算机上是否存储、处理涉密资料。（六）第三方与外包安全管理规定第一章 总则第一条 为加强对生化信息系统外包服务工作和第三方单位（供应商、合作厂商、外审单位）的管理，切实防范信息系统外包工作的风险，正确处理外包服务商和第三方人员与公司的合作关系，制订本规定。第二条 本规定适用于生化及下属各子公司对外包项目和第三方单位的安全管理，包括：1. 信息系统软件开发和维护2. 硬件维护3. 网络维护4. 安全服务（安全评估、安全监控、安全咨询）5. 其它信息系统或机房的维护、访问、检查等。第二章 外包服务商管理第三条 外包服务发起单位或部门负责选择供应商，在选择信息系统外122、包服务供应商时，要充分审查、评估外包服务供应商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担能力。严禁录用审查不合格的供应商。第四条 外包服务发起单位或部门负责确定外包服务的内容和范围，负责进行外包服务的管理，分析评估外包潜在风险。第五条 要求负责外包服务项目的团队人员要相对稳定，在进行大规模人员更换时必须以书面形式通知外包服务发起单位和部门。第六条 与外包服务供应商签订书面合同时，必须明确双方的权利、义务，并明确规定外包服务供应商在安全、保密、知识产权方面的义务和责任。第三章 外包服务监督管理第七条 外包服务合同签订之后，在服务执行期间，由外包服务发起单位或部123、门对外包服务全程跟踪并监管外包服务实施过程。第八条 每一个外包服务项目必须指定专人负责，特别是软件开发外包，要有技术人员参加并全程跟踪。第九条 要求外包服务商在进行软件和硬件的维护时，应遵守公司的安全管理相关规定，一般情况下不允许进行远程登录维护，如需远程登录维护，则须采取相应的安全措施，例如使用VPN，并记录在案。第十条 要求外包服务供应商每一次维护要提交维护项目的详细记录和维护报告（内容包括软件的运行、硬件变更情况，故障发生时间、现象、原因和处理方法与处理结果等）。详细内容见附件1信息系统维护记录。第十一条 要求外包服务供应商每周提交工作周报，每月提交月度报告，存档保存。第十二条 外包服务124、发起单位或部门负责收集、整理对外包服务商的评价意见，对外包服务供应商从响应时间、服务态度和工作效果等方面进行调查并整体评价，同时留档保存，作为今后选择外包服务供应商的依据。第四章 软件外包服务管理第十三条 在确定外包软件开发商时，要对候选单位进行全面评估，评估内容包括该单位是否具有类似系统开发经验，技术方案中是否存在安全隐患及相应的解决办法等。第十四条 要求外包软件开发商严格按照统一规定使用配置管理工具管理开发代码、文档，严格按照项目流程开发、修改代码，遵循开发规范。在项目完毕后，外包软件开发商要将工作成果的完整清单交付外包服务发起单位或部门，并不得擅自在项目实施过程中带走项目成果。第十五条 125、外包开发的软件版权归生化所有，未经外包服务发起单位或部门批准严禁转让和出售。系统上线前要求软件开发公司提供源代码，同时还保留与开发公司签定上线后的技术支持保障协议。第十六条 由外包服务发起单位或部门组织项目安全部分的验收。对未通过验收测试的软件产品应要求软件外包单位采取相应的补救措施和计划。第十七条 要求外包软件开发商在项目结束时，提交操作手册、程序说明书、数据结构说明书、维护手册等技术文档资料，并对外包服务发起单位或部门进行培训。第五章 第三方人员访问控制第十八条 第三方人员必须经过授权，由相关人员陪同才能进入相应的安全区域（比如：网络机房）进行访问，陪同人员事先告知第三方人员有关的安全注意126、事项。第十九条 要求第三方人员要遵守生化的相关安全管理规定。第二十条 对第三方人员允许访问的系统、设备、信息等内容应进行书面的规定，并按照规定执行。第二十一条 要求第三方人员在访问重要业务系统或数据前签署安全责任合同书或保密协议。第二十二条 要求第三方人员对重要业务系统的访问，须提出申请，批准后由专人全程陪同。第二十三条 对第三方人员访问过程及操作内容进行记录，并对记录及时进行审计。第二十四条 除预定的工作内容外，陪同人员不得为第三方随意安排其它活动，不得向第三方透露授权范围之外的生化的技术、商务情况。第二十五条 陪同人员违反上述规定，应给予处罚。如违反上述规定造成泄密的，陪同人员承担相应责任127、，属于部门管理不严的，部门负责人承担相应的连带责任。第六章 第三方合同管理第二十六条 第三方需要对保密信息进行访问时，要签订保密协议或正式合同，合同中有关的安全要求符合安全保密管理规定。第二十七条 与第三方签署的合同中要包含如下内容：1) 合同双方各自的相关责任；2) 明确对第三方的保密要求；3) 明确保护保密信息的内容和要求；4) 明确描述服务内容和服务标准；5) 明确对人员的安全要求；6) 符合相关国家和地区的法律、法规要求；7) 明确对知识产权的归属及保护；8) 必须声明生化所拥有的权力，包括：监督、限制第三方活动的权力；对合同权责进行监理或指定第三方监理的权力；9) 软、硬件安装和维护128、方面的责任；10) 清晰具体的变更控制流程；11) 用于安全事故和安全违规事件的报告、通知和调查程序。第七章 第三方信息输出第二十八条 外包服务发起单位或部门与第三方进行信息交互时，要考虑信息的敏感性。第二十九条 明确对信息的传输、发送和接收的控制措施和流程。第三十条 标识保密信息，确保标识的含义明白无误。第三十一条 如因业务需要须向第三方提供含有保密信息的文件、资料或实物的，外包服务发起单位或部门应当获得部门经理批准或授权，并与第三方签订保密协议，提供时应开具清单请第三方签收。妥善保管保密协议和签收清单。第八章 附则第三十二条 本规定由生化信息处负责解释。第三十三条 本规定自颁布之日起执行。129、（七）ERP-NC系统管理规定第一章 总则第一条根据公司信息化建设要求，须对公司的涉及ERP-NC的一系列工作进行统一、规范化管理，以确保系统的正常运行，特制定本规定。第二条 ERP-NC具体操作规范参见ERP-NC操作手册。第二章 职责划分第三条 ERP-NC系统是公司规范财务、供应链一体化的管理系统，是公司供应链和财务等部门处理业务的平台。第四条 ERP-NC系统各部门职责划分1. 生产相关部门负责物料需求计划、材料领用进行录入。2. 采购部门负责采购合同、采购订单、到货入库、发票或发票暂估等数据的录入。3. 仓储部门负责对车间物料进行平衡、对采购入库的货物签字审批、对材料领用进行出库处理130、。4. 编码审核人员负责对存货物料编码进行审核，信息管理部门录入系统。财务人员负责审核客户、供应商编码并录入或修订系统数据。5. 销售部门负责销售业务的合同、订单、发票的录入及合同执行跟踪和发货跟踪。 6. 财务部门负责会计凭证录入、记账、成本计算、结账、报表等工作。7. 信息管理部门负责系统的维护、流程体系优化、二次开发及日常业务答疑。第五条 根据ERP-NC系统不同人员的操作，进行如下岗位和职责划分：1. 车间计划员：主要负责本车间或部门的月度物料采购计划申报，材料的领用办理。2. 仓库平衡员：根据车间或物料的采购计划结合库存，进行平衡计划。3. 采购员:负责接车间物料采购划的采购合同、订131、单、入库、发票或暂估发票的系统录入和业务办理。4. 仓库保管员：负责采购到货的入库和材料领用的出库，管理出库单据的收集月末递交财务。5. 财务人员：处理日常的凭证，制单、审核、月末、记账，并根据当月账务生成报表。6. 销售员：制定销售产品合同，跟踪合同执行，办理发货申请（销售订单），发货结束办理发票并跟踪收款。第六条 业务部门权限分配：1. 负责指定本部门经理负责部门权限审批，对权限申请后形成的业务结果负责;2. 申报员负责填写ERP用户权限申请表;3. 负责其他业务部门对本部门所属数据进行申请查询或操作的审核;4. 对本部门所属数据的正确使用及保密安全负责。第七条 信息管理部门权限分配：1.132、 负责对新增用户的审批，从而管理控制系统中的用户数量2. 负责对业务部门提供的申请进行技术审查，并完成ERP系统内的权限配置工作3. 负责对系统中用户及用户权限定期进行审核4. 对ERP系统的数据安全、系统安全负责第三章 编码管理细则第八条 编码审核职责1. 公司编码管理工作，由安全环保与生产部、办公室、财务部等部门的相关人员兼职编码审核工作，分别负责各类存货编码的审核、管理、协调等工作。2. 编码审核人员主要针对业务部门申请的编码分类、规格、型号、单位等属性进行审核。审核人员在接到编码申请后半个工作日内完成编码审核工作。3. 定期查看编码使用情况，发现问题立即和业务部门联系，解决编码使用过程存在的问题。第九条 信息管理部门职责1. 1、负责对审核通过的新增存货录入ERP系统，并分配给所有企业使用。2. 2、负责根据审核通过的存货属性调整申请调整ERP系统。第四章 附则第十条 本规定自下发之日起开始实施。第十一条 本规定适用于生化本部及下属子公司。第十二条 本制度解释权由财务部信息处负责。