1、it內控管理制度（ 總則 ）1.目的為加強公司it內部控制管理工作，規范信息系統的開發、維護、使用等行為，提高信息系統對公司現代化管理的支撐水平，降低因內部控制制措施缺失或不夠完善帶來的數據安全風險，特制定本制度。2.適用范圍本制度適用千公司及下屬分子公司所有外購或自行開發的信息系統及其開發、維護、使用人員。3.信息系統開發與變更管理3.1信息系統變更分為三個級別系統開發( i級 ）、重要系統變更 ( ii級）、非重要系統變更( iii 級 ）；系統開發( i 級 ）根據項目涉及內容重要程度與緊急程度分為s級、a級、b級和 c級等四個級別；3.2系統開發必須通過立項申請，在各項目成員充分了解項

2、目背景、重要性并確認需求后，方可開 展 后續開發工作；3.3系統的開發/變更、測試、上線須嚴格按照開發/變更流程規范、需求方案要求進行；3.4系統開發或變更必須對開發人員、測試人員和上線人員進行嚴格分離，確保系統在功能、性能、 控制要求和安全性等方面符合開發/變更需要，防止上線過程中對系統代碼的篡改；3.5系統開發或變更過程中，應保留有關記錄，以備查驗或進行問題追溯；3.6系統開發管理詳細要求請參見信息系統項目管理及開發管理規范；系統變更管理詳細要求請 參見信息系統變更管理規范。4.信息系統運行維護管理4.1針對面向玩家的重要系統及平臺，應設置系統運行情況自動監控程序，并由程序自動向運維部發

3、出告警，如發現運行狀態異常應立即查找原因并跟蹤處理；4.2信息系統應開啟操作日志記錄功能，并設置異常操作自動告警，如發現異常應立即跟蹤處理；4.3信息系統應定期執行數據備份和異地備份，如需對備份文件進行傳遞、轉移須進行備份文件交接 登記；數據備份后應執行恢復性測試或可讀測試以保證備份數據的可恢復性；4.4信息技術故障根據37技術中心事故等級定義v2.0相關規定進行分級，故障處理人員判斷故障 分級后應及時按照相關流程跟蹤處理并進行記錄；4.5信息系統運行維護管理詳細要求請參見信息系統運行維護管理規范。5,信息系統用戶賬號管理5.1信息系統應嚴格按照密碼長度、復雜度、有效期、最多試錯次數、重用次數

4、等的相關規定設置 系 統密碼策略，同時系統用戶應注意賬號密碼的保管以防止賬號密碼外泄；5.2信息系統賬號的新增、修改、刪除/禁用應按照規定流程進行申清審批后方可執行，同時須保 留 相關審批記錄或文檔；5.3信息系統管理員賬號僅由獲得授權人員持有，且同賬號不得由兩個或以上人員待有，管理員 崗 位任職人員離職后應及時進行賬號刪除、禁用或密碼修改；5.4與財務數據相關的信息系統應定期進行系統賬號審閱，審閱過程中如發現任何異常必須及時進行 跟蹤處理；5.5信息系統設定賬號/角色與權限對應關系時，應考慮不相容職責分離的要求,系統應強制禁止將不相容職責權限授予同用戶/角色，同時系統管理的關鍵崗位設定應嚴格

5、遵從職責不相容原則；5. 6信息系統用戶賬號管理詳細要求請參見信息系統用戶賬號管理規范6. 信息系統安全管理6.1計算機設備的使用人員應注意設備的物理安全管理，妥善保管設備并設置個人密碼，針對公司配備的計算機不得私自安裝、更換、拆除任何硬件或更改計算機的硬件配詈或在設備帶電時插拔 外接 設備接口，如出現異常情況應及時報與公司it管理人員；6.2用戶應遵守國家的有關法律和法規使用網絡，不得利用公司系統資源進行與業務無關的互聯網流量或其他網上操作；運維人員應提供殺毒軟件進行電腦病毒查殺，及使用入侵檢測、漏洞掃描 等設備和技術定期（至少每半年一次）對網絡安全情況進行監控和分析，以降低網絡安全風險；6

6、.3電子文檔作為公司的信息資產，禁止通過網絡、移動硬盤等方式發生給與工作無關的人員，同時 應定期進行備份以防數據丟失；6.4發生重要的程序源碼、工具、接口文檔、報表、計劃等文件時，必須經過壓縮加密后方可傳輸 ，傳輸費和接收方必須單點接收，通過 qq 傳遞的文件如涉及公司業務、員工信息等也必須通 過壓縮 加密方式進行傳輸，且密碼只能通過電話或口頭傳遞；6.5公司應建立信息系統安全應急信息庫 ，對可能發生的安全突發事件提供應急預案，定期對應急預 案進行審閱，并對應急處理人員進行相應的培訓；6. 6信息系統安全管理詳細要求請參見計算機及信息系統安全管理規范。7. 機房管理7.1機房環境應保持清潔整齊，溫濕度調節在合適范圍，設有自動消防報警系統和消防設施，以 及 ups不間斷電源；7.2對于自行管理機房或外部租賃機房，機房管理人員應定期對機房進行巡檢并記錄，如有異常情況 相關人員應立即處理并留下相關記錄；7.3機房鑰匙應由專人保管，非機房管理人員如需進入機房應獲得審批同意并在機房鑰匙持有人陪同 下方可進入，且未經機房