系統安全管理制度

第一章  總  則

第一條 為加強公司平台管理，保障平台正常、有效運行，确保數據安全，使數據庫能更好地服務于評級工作，特制定本管理制度。

第二條 公司系統管理員負責平台的日常維護和(hé)運行管理。

第三條 公司董事長負責對後台數據庫使用者進行權限審批。

第二章  安全保障

第四條 公司董事長為第一安全責任人，各部門主管負責本部門數據安全，切實保證數據在采集、傳輸、交換、存儲、共享、應用等各個(gè)環節安全可(kě)靠，總經理對數據安全的執行情況進行監督檢查。

第五條 系統在上線前進行安全評估；在上線運行後，定期對其安全性進行檢測，檢測方式包括漏洞掃描及滲透測試等，依托阿裡雲保障服務器(qì)安全可(kě)靠。

第六條 建立信息資(zī)産分級标準，對存在風險環節進行嚴密的檢查和(hé)控制。通(tōng)過數據審計和(hé)敏感數據溯源等方式，記錄數據流轉全過程，并通(tōng)過追蹤數據的溯源關(guān)系保證數據安全策略的一緻性。

第二章  後台數據庫的錄入

第七條 評估部評級分析師(shī)負責評級數據庫的數據錄入工作，評估部總監為評級業(yè)務數據錄入工作的責任人。

第八條 評級項目組負責人是其負責項目的評級信息錄入工作的責任人。評級項目組在正式報告出具後每月(yuè)末,統一将該評級項目的相關(guān)評級信息輸入評級數據庫。跟蹤評級時資(zī)料有更新的，應在跟蹤評級工作結束前将更新資(zī)料錄入數據庫。在資(zī)料歸檔前，評級項目負責人應對錄入的數據資(zī)料進行格式和(hé)内容核查。

第九條 錄入的數據源主要包括宏觀經濟信息、行業(yè)信息、受評對象基本信息、項目人員、财務數據、信用等級、公共信用信息記錄等，其中(zhōng)受評對象信用等級和(hé)财務數據是必須錄入的數據。

第十條 數據庫數據應嚴格按系統管理員下(xià)發的錄入模闆标準進行采集和(hé)錄入。

第十一條 評級項目組負責人應在正式報告出具後的月(yuè)末統一将評級報告的PDF文(wén)檔存入到數據庫中(zhōng)。

第三章  後台數據庫的使用

第十二條 根據評級業(yè)務對數據庫用戶管理的要求，公司應制定數據庫用戶管理制度和(hé)數據庫操作規程。

根據公司總經理授權，數據庫用戶權限分為三種：普通(tōng)用戶（市場部人員）、錄入用戶（評估部人員）、高級用戶（管理員）。市場部、評估部人員登陸隻能查詢與自己業(yè)務相關(guān)的數據，管理員為最高權限，可(kě)查詢、修改、錄入所有數據。

第十三條 普通(tōng)用戶擁有查詢、浏覽、使用數據庫中(zhōng)公開發布的各類數據的權利。

第十四條 錄入用戶除擁有普通(tōng)用戶權限外，擁有錄入本人參予項目數據和(hé)查看本人參予項目數據的權利。

第十五條 高級用戶除具有錄入用戶的權限外，經授權還具有查看所有數據庫信息的權限。

第十六條 根據工作需要經公司總經理批準用戶權限級别可(kě)變更。特殊用戶的權限設置應由公司總經理批準。

第十七條 系統管理員負責按審批規定辦理具體用戶的授權、變更權限和(hé)注銷等管理工作。

第十八條 系統管理員應及時删除多餘的、過期的賬戶。

第十九條 用戶的密碼管理應遵循如(rú)下(xià)規定：用戶密碼必須通(tōng)過複雜性檢驗，位數不少(shǎo)于6位，并不得以數字開頭；密碼應定期更改；用戶名和(hé)密碼為個(gè)人專用，不得洩露給他人，特殊情況需要他人以自己的用戶名和(hé)密碼進入數據庫時，應取得部門負責人同意，并在工作完成後及時修改密碼。

第二十條 所有用戶均應遵守公司《評級業(yè)務信息保密制度》，未經許可(kě)不得對外提供數據庫中(zhōng)相關(guān)數據，不得越權使用和(hé)修改數據。

第四章 平台資(zī)訊信息收集與發布管理

第二十一條 系統管理員負責資(zī)訊信息的收集與整理，收集範圍包括行業(yè)新聞、政策法規和(hé)投資(zī)動(dòng)态，整理完成後交于評審總監審核。

第二十二條 系統管理員負責将已審核的信息及時發布于平台上，保證信息的及時性與準确性。

第五章 平台信息審核管理

第二十三條 系統管理員負責對平台的企業(yè)會員申請進行審核（包括新注冊企業(yè)用戶和(hé)個(gè)人用戶轉企業(yè)用戶），驗證企業(yè)名稱與營業(yè)執照照片是否相符及營業(yè)執照真實性。

第二十四條 系統管理員負責對平台的資(zī)方機構、政府機構及行業(yè)協會的會員申請進行審核，并及時與對方取得聯系，驗證其真實性并給予相應權限。

第二十五條 對于政府機構和(hé)行業(yè)協會用戶，系統管理員應及時将其所轄企業(yè)與其進行關(guān)聯，并推送企業(yè)的實時風險預警和(hé)定期行業(yè)監測報告。

第二十六條 系統管理員負責對系統抓取的企業(yè)風險預警信息進行審核，核實其真實性，并及時進行推送。

第六章  平台的修改和(hé)維護

第二十七條 平台系統的修改，應在系統管理員征求各業(yè)務部門對于數據庫使用的意見和(hé)建議并提出修改方案的基礎上，由公司評級總監提出，經公司總經理簽字同意後實施。可(kě)根據實際情況由公司組織人員修改（或重新開發）或委托外部機構修改（或重新開發）。

第二十八條 平台系統的修改，應保證數據的延續性和(hé)曆史數據的可(kě)用性。

第二十九條 業(yè)務人員在使用平台的過程中(zhōng)，對平台不完善或不方便使用之處，有信息監督和(hé)反饋的義務。

第七章  平台的安全管理

第三十條 系統管理員負責數據庫系統的安全管理，保證安全管理軟件的及時升級。

第三十一條 系統管理員負責後台數據庫系統的訪問(wèn)控制，依據安全策略控制用戶對數據庫的訪問(wèn)，控制的覆蓋範圍應包括與資(zī)源訪問(wèn)相關(guān)的主體、客體及它們之間的操作。

第三十二條 數據庫應每月(yuè)備份一次，系統管理員應在保證數據安全和(hé)保密的情況下(xià)，采取适當方式保存備份文(wén)件，保證數據庫出現異常時能快速恢複，避免或盡量減少(shǎo)數據丢失。

第三十三條 除系統管理員和(hé)經公司總經理批準的人員外，其他人員不得進入放置有存放數據庫設備的機房(fáng)内。

第三十四條 未經批準，不得在主機設備上随意編寫、修改、更換各類軟件系統及更改設備參數配置。

第三十五條 硬件系統的維護、增删、配置的更改，必須按規定詳細記入相關(guān)記錄，并對各類記錄和(hé)檔案整理存檔。

第三十六條 嚴禁在主機設備上用外來存儲設備（如(rú)U盤、移動(dòng)硬盤等）

第八章  附  則

第三十七條 評級業(yè)務數據在技術(shù)條件許可(kě)的情況下(xià)應永久保存。

第三十八條 本制度由公司技術(shù)部負責解釋、修訂。

第三十九條 本制度于通(tōng)過之日起執行。

                                                                       四川省大證信用評估服務事務所有限公司

      2019年12月(yuè)20日