公司管理信息系统

公司管理信息系统（共6篇）

篇1：公司管理信息系统

各公司管理信息系统的比较

组长：季子禾

组员：吴景伟、李珊珊、杨朴丽、张雪娇

我们小组网上查询并比较了戴尔、苹果、诺基亚、柯达以及沃尔玛等诸多公司的信息系统，分析得出各个公司信息系统的优缺点以及其对其公司的影响。我们从戴尔公司的管理信息系统切入，将其作为基准与其他公司的信息系统进行类比并分析。

再开始讲戴尔公司的信息系统之前，我们必须先讲讲传统PC厂商的做法。传统PC商采用的是直销模式。这个模式导致了众多环节的分销链，从而产生巨额库存成本。

但是戴尔不同，戴尔通过网络，建立起了网络直销模式。网络直销模式遵循“客户打电话--前台接待--转咨询销售---支付定金---送货上门---接货付款”的方式，利用管理信息系统，使得直销的组织运作成本达到最低。

从这幅图可以看出，戴尔公司以因特网为中心，建立了高效的管理信息系统。消费者通过因特网向戴尔公司订货，戴尔公司又通过英特网向供货商下达订单。供货商将货物交给物流商后，客户可以通过网络实时了解货物的物流情况。当货物签收后，还可以网上付款。戴尔公司围绕因特网，建立起了整套高效便捷的系统。戴尔公司因此省去了大量的销售中间环节节省了约20％左右成本，而与合作伙伴共同建立的有效的物流配送模式也帮助戴尔大幅降低成本。戴尔公司的这套系统由于要建立包括工厂、数据库、物流、网络等一整套体系，别的公司要是转型做直销，必定要颠覆原有的生产体系、销售体系和物流体系，造成整条供应链的结构重组，利益重新分配，从而在很大程度上触动供应商、渠道商的利益，这将会遇到难以想象的阻力。因此在某种程度上有不可复制性。戴尔公司通过网络可以实时了解商品销售情况，商品的物流情况，进而分析出商品的热销地、商品的评价好坏等等信息，从而及时调整销售策略，开发出更符合需求的商品，在这瞬息万变的时代占据一席之地。

戴尔管理信息系统所用到的技术有：电子数据交换技术（EDI）、有效客户反馈系统（ECR）、快速反应系统（QR）、销售时点数据系统（POS）、电子自动订货系统（EOS）。戴尔管理信息系统主要就是EOS的应用。EOS系统对于供货厂商和批发商来说，可帮助分析零售商的商品订货信息，便于准确判断畅销品和滞销品，有利于企业调整生产计划、物料计划、采购计划、商品库存计划和销售配送计划，使产供销一体化。戴尔还拥有无与伦比的物流配送中心，以及保存和更换电脑配备与零组件的第三方物流的观念。这些在很大程度上奠定了戴尔的成功。

戴尔通过网络，利用电子数据交换连接，使得上游的零件供应商能够及时准确地知道公司所需零件的数量和时间，从而大大降低库存，这就是戴尔所称的“以信息代替存货”，这样，戴尔也和供应商建立起一个“虚拟”的企业。

戴尔公司的管理信息系统与沃尔玛的管理信息系统比较相似，因此我们将它们整合到一起，进行分析。

沃尔玛作为全球第一的联锁超市，其庞大的公司规模以及巨大的产销供应链，对于管理都有很高的要求。传统的企业管理模式早已不适应其全球化的战略。而事实上，沃尔玛早早地就开始了信息化管理。1974年公司开始在其分销中心和各家商店运用计算机进行库存控制；1983年，沃尔玛的整个连锁商店系统都用上条形码扫描系统；1984年沃尔马开发了一套市场营销管理软件系统，这套系统可以使每家商店按照自身的市场环境和销售类型制订出相应的营销产品组合；在1985至1987年之间，沃尔玛安装了公司专用的卫星通信系统，该系统的应用使得总部、分销中心和各商店之间可以实现双向的声音和数据传输；90年代沃尔玛提出了新的零售业配送理论：集中管理的配送中心向各商店提供货源，而不是直接将货品运送到商店。

沃尔玛的经营管理所运用的系统与戴尔公司的相差无几。也是快速反应系统（QR）、销售时点数据系统（POS）、电子自动订货系统、电子数据交换技术（EDI）、有效客户反馈系统（ECR）以及数据库管理系统（自动补货系统）（DBMS）。其功能也与戴尔的那套系统相差无几。戴尔与沃尔玛的成功主要归结于以下几个方面：

1完善的物流管理系统，从而形成了自己独特的自动配送体系； 2通过客户关系管理，既管理人员根据电脑信息系统收集信息，依据顾客期望及时改进服务，营造良好的购物环境，坚持了“让顾客满意”的原则，获得了一大批忠诚顾客；

3先进的供应链体系，在顾客，供应商及合作伙伴之间形成良好的交互关系，达到充分的信息共享，保证了及时的供应； 4推出了自己的电子商务网站，开始进行网上零售业务；

5利用互联网，加大网络宣传，进行业务重组，发展经营规模，从而迅速提高了企业的竞争力；

6利用数据仓库技术，对商品进行市场分析。

以上就是对管理信息系统的分析，现在我们通过苹果公司对组织结构进行分析。苹果公司的公组织结构比较另类，它与一般公司的组织结构不太一样。它的公司规模庞大，在全球都有市场，因此为了适应这种情况，它需要一种不同的管理模式支持公司运转。

苹果公司没有委员会，整体管理的概念在这里不受欢迎。管理层各部门直接与首席执行官乔布斯相连，底层员工再直接与各管理层相连。这样一来，公司CEO处于信息传递的核心，一旦有任务下达，公司可以以最快的速度告知职员。由于简约的组织结构，公司的每个员工的职责都分得非常清楚，因此这个庞大的公司能够迅速地采取行动和信息传递，正是这样使公司内部井井有条且充满活力。但这样的组织形式有利有弊。利是可以适应不稳定环境下的高度变化，清晰分辨产品责任和联系环节，使各个部门之间职责分明并以迅捷的服务实现顾客满意。可以实现跨职能的高度协调，使各分部适应不同的产品，地区和顾客，从而提高顾客的满意程度并使决策分权，这样可以提高各分支机构自主权，采取灵活的营销策略，简化对企业具体经营事务的管理，使之更专注于公司的战略决策和战略规划，以及核心产品的研发，还有利于地区性分支机构的独立经营成长，强化市场的针对性竞争意识。弊是难以适应产品的多样化要求，容易产生同一公司产品的不同定价水平以及差别化市场营销策略，影响公司形象的统一，使跨国公司的一体化程度受到影响。容易滋生地区本位主义而忽视全球战略。这个组织形式使得各部门失去了职能部门内部的规模经济。

苹果采用环状沟通模式，管理所有部门，由乔布斯“独裁统治”，各个部门负责人直接对乔布斯负责，并管理下属部门。通过这一种模式，苹果公司有序地运行着，并且不断创新，造就辉煌。

柯达和诺基亚都是曾经的老大，但现在却在全球信息化的潮流下衰败。柯达曾申请过破产保护，诺基亚则被微软收购。是突如其来的网络改变了它们的命运。它们差点没有跟上时代的步伐险些被淘汰。以它们为反面案例有着深刻的意义。它们拥有强大的财力，先进的技术以及丰富的人才，勇于创新，但依旧被时代抛弃，不是因为它们没有先进的管理信息系统，不是因为它们没有现代的组织模式，而是因为一个过度投资，资金运转不灵，另一个则是太过超前却没有突破传统的观念。现在我们进行一一分析。由于柯达对于现有技术带来的现实利润和新技术带来的未来利润之间的过渡和切换时机把握不当，造成大量资金用于传统胶片工业生产线和冲印店设备的低水平简单重复投资挤占了对数字技术和市场的投资，增大了退出/更新成本，使公司陷于“知错难改”，“船大难掉头”的窘境。据统计，截至2002年年底，柯达彩印店在中国的数量达到8000多家，是肯德基的10倍，麦当劳的18倍，这些店铺在不能提供足够利润的情况下，成为了柯达战略转型的包袱。最终导致其申请破产保护。在经过一年多的转型后柯达又恢复了活力，开始重振雄风。

诺基亚是全世界最早提智能手机概念的企业，它最早提出了mobile computer的概念，宣称自己不再是一个手机制造厂，而是一个互联网公司，更多的功心互联网应用，这方面表现出的前瞻性与进取心是很多企业不可比拟的。但是正是由于诺基亚走得早，它看智能手机，还是用小电脑和互联网的眼光看智能手机，想的是把智能手机做成像电脑一样强大，却忽视了智能手机虽然功能越来越强大，但是是大量的普通人使用，普通人要的就是：方便。越简单，越方便，才能越受到消费者欢迎。2007年苹果的出现，把诺基亚逼到了墙角。以前控制电脑进行交互时，用的是键盘和鼠标，到了智能手机，键盘和鼠标已经无法搬过来，但是，诺基亚当时的思路还是想尽办法要把键盘和鼠标搬过来，于是手机出现了小键盘，甚至全键盘，鼠标也被方向键、确认键来代替，或者用一个滚轮。但是苹果用了最简单的办法来取代键盘和鼠标，就是用手指直接去点屏幕，想控制什么，就用指头。触摸技术让用户有了完全不同的新感觉。于是诺基亚的智能手机市场被苹果所抢占，虽然它也逐渐发现了自己的问题所在，并未之努力，但为时已晚，回天乏术。

篇2：公司管理信息系统

目的为确保信息系统的获取、开发全过程中的信息安全，并保证公司信息系统整体的安全，特制定本程序。

2.适用范围

ISMS范围内所有参与信息系统的获取、开发过程的相关人员。

术语和定义

职责和权限

DXC负责信息系统的获取、开发和维护；

相关部门配合DXC，及时响应相关要求。

相关活动

5.1

信息系统的安全要求

信息系统在建设或升级之前，根据业务活动要求，要通过调研、风险评估等手段识别存在的各种安全风险，并依据公司信息安全管理相关规定，提出信息安全需求，作为信息系统整体功能需求的一部分。安全需求包括：

l信息系统安全需求的准确性；

l系统容量设计的合理性；

l技术设计和施工组织两方面的安全性；

l对项目建设过程中可能存在的安全风险和处理办法；

l与国家相关法律、法规、标准、公司信息安全有关规定的符合性。

5.2

信息系统的获取与开发

5.2.1

信息系统开发管理

对承建单位在几个方面提出要求：

l保守公司商业秘密的责任和义务要求；

l保护知识产权的责任和义务要求；

l使用公司信息处理设施的信息安全责任和义务要求

对使用的产品，应有相应的证明材料，如软件产品必须为正版的商业软件，信息安全产品必须

通过国家相应机构的检测认证，特别是涉密产品，必须使用国家保密单位批准的信息安全产品。

在条件允许的前提下，要将开发、测试与运行系统分离，避免开发和测试活动对运行系统的稳定和安全造成影响。

在信息系统开发过程中，由DXC负责安全控制与管理，重点监控以下内容：

l测试数据的输入验证，以减少输入错误造成的风险；

l系统对处理过程中的数据完整性验证检查，防止因数据完整性的错误造成的风险；

l要对输出进行验证，确保输出的完整、正确；

l对程序源代码的访问要做出明确的规定；

l公司的敏感数据不允许作为测试数据使用。

5.2.2

重要信息的保护

信息系统的运行系统文件、重要测试数据、程序源代码是采取措施加以保护。这些数据必须进行备份，条件允许的前提下，对备份数据要保存在不同的地点。

对上述数据的使用和访问，必须经过相关人员的同意，同时做好相关使用记录。

5.2.3

外包软件开发

对外包软件开发，按《第三方服务安全管理程序》执行。

篇3：工程公司管理信息系统设计

1 系统运行环境

系统采用B/S软件结构,服务器端操作系统为Red Hat Enterprise Linux 4 AS(Advanced Server)版,客户端操作系统为Windows xp,数据库采用Oracle 10g关系型数据库管理系统,开发工具为Java JDK1.5和Tomcat5.5。Linux是一套较少被计算机病毒感染的类Unix操作系统,具有较高的稳定性和安全性,另外,系统还安装配置了Sambm、ftp、postfix等组件,为企业员工提供文件共享、文件存取、邮件等服务。

2 系统设计

2.1 总体设计

国内工程公司都是由设计院改制而成的,根据业务部门提供的需求,归纳出系统主要包括综合办公管理、设计流程管理等模块,功能框图如图1所示。

2.1.1 综合办公管理

包括公文处理、文档管理、个人事务、公司信息、电子刊物和规章制度等功能模块。

2.1.2 人力资源管理

主要包括人事档案信息管理、人才招聘管理、培训管理、考勤管理、福利管理以及统计分析、报表生成等功能。

2.1.3 图档管理

包括图纸电子文件的归档、查询、借用等功能以及标准、规范等管理。

2.1.4 质量管理

按照ISO 9000质量管理体系要求,提供公司质量体系管理功能,包括文件管理、内审管理、管理评审等模块。

2.1.5 科研管理

包括科研项目管理、协会/学会管理、技术管理、科研成果管理。

2.1.6 项目管理

对公司的项目生产过程进行管理,以质量管理、成本管理和进度管理为目标,实现从项目的立项开始,到项目完成、文件归档的全过程的管理,包括项目台帐、项目策划、项目文档、项目进度、专业子项、项目成本等信息管理。

2.1.7 计划经营管理

包括产值管理、合同管理、客户管理、招投标管理、查询与统计等功能模块。

2.1.8 设计流程管理

对设计项目全过程进行有效控制和科学管理,为设计人员提供一个设计协同平台,实现资料共享、协同设计功能,有利于提高设计质量和设计进度,主要包括项目文档管理、专业资料互提、图纸校审会签、设计变更管理、项目监控、统计查询等。

2.1.9 系统管理

系统管理包括用户管理、用户组管理、单位组织结构管理、签名密钥管理、权限分配等功能。

2.2 代码设计

管理信息系统开发、应用过程中,会涉及到许多代码,如职工编号、项目序号、图纸编号等等,代码设计要按照唯一性、可扩充性、规律化、标准化原则进行,使设计的代码易于使用、扩充,符合国家或行业标准。

2.3 输入输出设计

输入输出设计采用“量出而入”的方法进行设计,首先根据管理和用户对信息的需求进行输出设计,然后再根据输出应获取的信息来进行输入设计。

2.4 人机界面设计

在进行人机界面设计时,应充分地与用户进行交流,分析用户的行为,使用户操作方便,各个模块保持统一风格界面,屏幕布局合理、规范,界面友好。

2.5 数据库设计

2.5.1 数据结构设计

根据管理信息系统各模块功能需求说明书的描述,经详细分析后,需要设计出各模块数据库表单的数据结构,为编程提供依据。以下是综合办公管理中外来收文数据结构设计样例见表1。

2.5.2 建立数据库连接通道

设计专用模块在系统程序和数据库之间建立唯一连接通道,其它模块访问数据库须通过本模块进行操作,不提倡每个编码人员创建自己的数据库连接。

数据库连接参数文件为WEB-INF/classes下的jdbc.properties,样例如下:

# JDBC驱动类名称

jdbc.driverClassName=oracle.jdbc.driver.OracleDriver

# JDBC连接URL

jdbc.url=jdbc:oracle:thin:@192.168.0.10:1521:ORCL

# 连接的用户名

jdbc.username=ksoa

# 连接的密码

jdbc.password=ksoa

# 连接池最大活动连接数

jdbc.maxActive=20

# 连接池最大空闲连接数

jdbc.maxIdle=10

# 连接池最大等待时间

jdbc.maxWait=10000

3 系统安全设计

信息系统安全设计是信息系统建设中非常重要的环节,确保信息系统可靠运行和数据安全是企业信息化建设的关键所在,本系统从以下几方面考虑系统安全:

1)对登录数据库的用户设置不同的访问权限,使他们分别具有读、写、修改等不同的权限。

2)权限分配基于用户-组-权限的策略,系统设置多个用户组,对每个组分配不同的权限,再将用户分配到组, 同组中所有用户的权限都相同,使用目的不同的用户具有不同的使用权限。

3)系统采用 B/S结构,用户登陆信息系统时,需要进行身份验证,一般采用输入用户名和密码验证方法,密码采取SHA加密方式。

4)对重要模块设置电子签名功能,如需领导签阅的文件,则需要电子签名,防止其他人盗用领导的密码,登陆系统使用某些功能。

5)服务器做安全设置,关闭不必要的服务和端口,避免因不需要的服务,而给整个系统带来安全隐患,可用netstat -nap --ip命令查看目前系统运行的服务。设置防火墙功能,配置/etc/sysconfig/iptables文件,允许或阻止数据包进入、离开、经过服务器,禁止ping服务器IP地址。

6)服务器采用磁盘阵列,并选用热插拔硬盘,提高系统的容错能力。如果资金允许,可用双机热备份系统。

7)为了满足数据保护的要求,实现数据的高可用性,系统设置了数据定时自动备份功能,每周六对数据库做全备份工作,每周一至周五凌晨时间做增量备份工作, 并且每次备份时删除上周同天的备份内容,同时采用数据异地备份措施,确保数据安全。

8)网络中心配置大容量长延时不间断电源(UPS),保证在停电12小时情况下,系统仍能正常运行。

9)网络中心机房铺设防静电地板,电源要求接地,并安排专人管理,做好防火、防尘工作,控制机房温度、湿度。

10) 加强信息系统日常管理,制订安全管理规章制度。

4 服务器安装与配置

4.1 Linux安装

Linux操作系统安装过程参阅参考文献[1],选择全部安装,并且配置系统的ftp、mail、samba服务器,网络不能用DHCP。 Linux安装完成后,将安全级别设置为“启用防火墙”,并选择系统信任的服务,如www、smtp等服务,对信任设备的选择要慎重。

4.2 Oracle10g的安装

Oracle安装过程参阅参考文献[3],安装前创建一个dba用户组和一个oracle用户(密码设为oracle)。

4.2.1 创建一个数据库KSOA(SID为KSOA)

以oracle用户打开一个终端使用oracle命令dbca,通过图形方式来创建数据库:

$dbca

通过图形界面创建一个名为KSOA的数据库(密码为ksoa)

4.2.2 配置系统用户环境变量

用开始创建的oracle用户登陆:

4.2.3 数据库启动

修改好以后启动侦听:

至此Oracle10g的安装配置完成。

4.3 Java JDK1.5的安装,配置

将JDK1.5软件包jdk-1-5-0-04-linux-i586.bin解压到/usr/java/ jdk1.5文件夹下, 配置JDK的环境变量,编辑/etc/profile文件,在最后加入如下几行:

export JAVA-HOME=/usr/java/jdk1.5

export CLASSPATH=$CLASSPATH: $JAVA-HOME/lib:$JAVA-HOME/jre/lib

export PATH=$PATH:$JAVA-HOME/bin:$JAVA-HOME/jre/bin

/etc/profile文件保存后执行:

#source /etc/profile

Jdk安装设置就完成了,执行下列命令会提示java版本,表明JDK安装成功。

# java -version

4.4 Tomcat 5.5的安装,配置

将Tomcat 5.5安装软件包apache-tomcat-5.5.12.zip用命令 unzip apache-tomcat-5.5.12.zip解压到/usr/ksoa/apache-tomcat文件夹下,编辑/etc/profile文件,在最后加入下列行:

export CATALINA-HOME=/usr/apache-tomcat

保存/etc/profile文件后执行:

#source /etc/profile

Tomcat的安装设置就完成了。在浏览器地址栏中输入http://localhost:8080,可以验证tomcat安装是否成功。

系统安装完成后,按照下列目录结构,存放系统重要文件:

WEB-INF/classes/:系统类文件存放目录;

WEB-INF/lib/:系统所用到的第三方jar包存放目录;

Common:系统公共组件存放目录;

Images:系统图片资源存放目录;

Javascript:系统js资源存放目录;

Skin:系统换皮肤所需的资源存放目录;

5 结 语

工程公司管理信息系统设计的目标就是保证在实现用户需求的基础上,尽可能地提高系统的运行效率、可靠性、灵活性和适应性,在具备所需功能的前提下,系统应当尽量简单,易于操作,保证数据安全,并降低维护难度,从而使信息系统得到很好地应用。

摘要：描述并实现了一个基于Linux操作系统,Oracle数据库和J2EE平台的工程公司管理信息系统设计。系统在功能上完全满足工程公司对信息管理的需求;同时,Linux系统的稳定性和J2EE良好的可移植性保证了该系统的可靠性和跨平台移植。

关键词：工程公司,管理信息系统,Linux,J2EE,Oracle

参考文献

[1]毛选,韩滨,于晓菲,等译.红帽Enterprise Linux 3从入门到精通[M].北京:电子工业出版社,2005.

[2]朱居正.Red Hat Enterprise Linux 3系统管理[M].北京:清华大学出版社,2005.

[3]王海亮,林立新,焦大光,等.Oracle 10g快速入门[M].北京:中国水利水电出版社,2005.

篇4：公司信息管理系统的设计与实现

关键词：信息管理；网络；B/S结构；三层体系

中图分类号：TP311.52文献标识码：A文章编号：1007-9599 (2012) 01-0000-02

Design and Implementation of Corporate Information Management System

Li Wuping

(Shanghai Huangpujiang Yuejiang Facilities Investment Construction Development Co.,Ltd.,Shanghai200002,China)

Abstract:According to the basic requirements of the company's information systems management,design and development of the company's information management system,company information,receipt,issued a document,schedule of meetings,file sharing, and their management.In practical applications,the system can effectively improve work efficiency,reduce administrative costs,the company provides a scientific,practical solutions.

Keywords:Information management;Network;B/S structure;Three-tier system

一、公司信息系统需求分析

公司信息系统的开发目的是对公司内的信息、收文、发文、会议安排、文件共享、短信等进行统一的信息化管理，以提高工作效率，降低管理成本。以先进成熟的计算机和通信技术为主要手段，建成一个覆盖整个公司的办公信息系统，提供部门之间，人员之间的信息交换平台。建立高质量、高效率的信息网络，为领导决策和办公提供服务，实现办公的现代化、信息资源化、传输网络化和决策科学化。

二、公司信息系统功能设计

根据越江投资公司信息系统需求分析，信息化系统功能模块设计，如图（1）所示，主要分为个人办公管理模块、公共信息管理模块、会议管理模块、公文处理管理模块、手机短信管理模块、文件共享管理模块、系统管理模块。

图（1）信息化系统功能模块设计

（一）个人办公管理模块：根据个人行程，可以在日程安排中添加相关信息，并可以选择手机短信或Email提醒。个性化设置可以针对个人设置不一样的页面背景、个人头像、个人资料、联系方式等内容。个人授权可以指定在一定期间内，将权限暂时交给某人，达到权限的临时转移，时间到期后，权限自动回收。

（二）公共信息管理模块：根据公司业务，按照信息内容进行了信息的分类。大致分为企务公开、党务公开、公告栏三个对外宣传的栏目。根据信息的内容分别上传到不同栏目，配合WORD控件，还可以提供在线编辑和上传附件及配合相关图片等功能。

（三）会议管理管理模块：根据会议室信息进行添加、修改和删除。包括会议室的地点、大小、设备。记录公司办公大楼会议室的安排，以及每天会议日程的安排。可以以图形界面显示，很方便快捷的显示本周和下周会议室的使用状况。

（四）公文处理管理模块：记录收文的登记与流转，发文的拟稿、会签和签发。提供可视化的流程定义和工作流引擎平台。以工作流引擎为核心的业务流处理，完全基于任务、角色、规则和过程来执行和监控业务的办理过程，最大化的提高企业生产组织水平和工作效率。工作流简单的说就是一组人员分多个步骤完成某一项业务所进行的所有工作与工作转交（交互）过程。几乎所有的业务过程都是工作流，特别是办公收发文审批流转处理。每一项工作以流程的形式，由发起者（如文件起草人）发起流程，经过本部门以及其他部门的处理（如签署、会签），最终到达流程的终点（如发出文件、归档入库）。可以根据时间段、关键字按序查询排列相关公文，方便公文的查询。内容根据每个成员的权限及是否参与了该流程来显示，不符合条件的成员是看不到具体内容，而只能查询到名字，以确保公文的保密性。

（五）手机短信管理模块：与中国移动通信集团联合，深度开发企业短信通业务。企业通过调用EMPPAPI接口来连接信息管理系统和企业短信通业务。可以根据要求发送会议通知及节日短信，并且与公文处理管理模块联动。在收发文中，根据每个流程的定义，每个相应的环节负责人将会受到手机短信通知，告诉他系统中有事务需要处理。

（六）文件共享管理模块：将公司内的常用文件、常用表格、常用软件、规章制度等内容上传到服务器，供公司其他员工方便使用。并且可以设置个人文件夹，针对个人按权限将相关内容提供给某人。

（七）系统管理模块：管理员可以创建和删除用户及用户组，将用户加入相关用户组，对其进行统一的操作。权限管理是创建、删除角色，赋予或修改角色对应的操作；形成以角色为中心，角色、操作、用户共同组成的三维关系。通过为角色授权和分配用户，实现不同用户具备不同的操作权限。

三、公司信息系统总体体系结构设计

系统采用目前流行的B/S结构（Brower/Server），采用浏览器作为客户端，大部分组件都集中在服务器上，易于更新、维护和扩展。

B/S结构的优点

1.具有分布性特点，可以随时随地进行查询、浏览等业务处理。

2.业务扩展简单方便，通过增加网页即可增加服务器功能。

3.维护简单方便，只需要改变网页，即可实现所有用户的同步更新。

4.开发简单，共享性强。

B/S最大的优点就是可以在任何地方进行操作而不用安装任何专门的软件。只要有一台能上网的电脑就能使用，客户端零维护。

公司信息系统现采用Windows Serve 2003作为操作系统，数据库采用：SQL Serve 2000，应用服务器采用Aphache Tomcat。

整个系统总体体系采用分层式结构。分层式结构一共分成三层，如图（2）所示，从上到下分别为：表示层、业务逻辑层（又或称为领域层）、数据访问层。其中大部分系统功能基本都在业务逻辑层上处理，包括业务逻辑。

图（2）分层式结构

所谓三层体系结构，就是在客户端和数据库中间插入一个“中间层”。如图（3）所示。三层体系机构并不是指物理意义上的三层，不是安装三台机器就是三层体系结构，也不仅仅有Brower/Server应用才是三层体系结构，三层应该是指逻辑意义上的三层，哪怕这三个层是布置在一台机器上的。

图（3）三层体系结构

在三层体系系统中，中间层主要负责处理将业务规则、数据访问、合法性校验等工作。一般情况下，客户端通过COM/DCOM通讯和中间层建立连接，并不直接参与数据库进行交互，通过中间层与数据库进行交互。

四、结束语

本文结合公司管理的现状，进行了企业信息管理系统的设计与实现，目前该系统已经正式投入使用。其中以友好的界面，完善的功能，简单的操作等性能特点，得到了公司广大员工的欢迎和认可，对于完善内部管理，加强内部沟通，提高办公效率，节约办公成本等方面都产生了显著效应。

篇5：国美公司信息系统安全管理分析

一、国美公司的信息系统基本情况：

国美电器一直居于国内领先电器行业。来自中怡康的权威数据显示，2010年国美集团空调销售达600万套，据中国电子商会2006年以来对空调市场份额监测显示，国美集团空调复合增长一直保持行业领先水平，并持续稳居空调市场销售份额第一，是中国空调渠道的第一渠道。另外，国美集团率先在行业通过与上游厂家深度合作及大单采购、淡季打款等措施，国美集团终端空调零售价格在2011年继续保持低于其他渠道的竞争优势，并力争在2011年空调旺季来临之际，抑制空调价格上涨苗头，维持空调低价位水平。国美电器集团坚持“薄利多销，服务当先”的经营理念，依靠准确的市场定位和不断创新的经营策略，引领家电消费潮流，为消费者提供个性化、多样化的服务，国美品牌得到中国广大消费者的青睐。本着“商者无域、相融共生”的企业发展理念，国美电器与全球知名家电制造企业保持紧密、友好、互助的战略合作伙伴关系，成为众多知名家电厂家在中国的最大的经销商。国美之所以如此成功，是基于后台信息平台系统的建设为内部管理带来一系列变革性的影响。

沃尔玛给国美的最大启示，是它用于全球连锁管理的信息和物流配送系统。国美旨在建立“E连锁”（ERP系统管理）模式，以实现与供应商和市场信息的对接，在进货、销售、库存、售后服务等环节实现以客户为中心的协同效应。三星、海尔等供应商可以随时进入国美的ERP系统查看自己产品的销售进度和库存情况，同时，利用国美电器与消费者直接接触得来的市场信息，供应商可以更快地清除库存，生产适销对路的产品。

国美电器是家电产品的连锁销售企业，在日益激烈的竞争环境中，企业销售时对市场的需求和变化做出更快的回应决定着其生存的空间与活力。国美公司领导审时度势，于2003年花巨资请武汉金力软件有限公司为国美量身定做适合本企业的ERP系统，以更好地应对市场和对手的挑战。武汉金力软件有限公司派出ERP专家到国美考察后，经过一年的建立和改进，国美公司于2004年6月1日正式开始使用“金力供应链系统”。公司花巨资建立ERP系统，并建立国美的ERP小组长期服务，这样的目的就是要有一个真正和自身企业的经营特点相适应的企业资源管理系统，来对公司的经营、管理控制发挥重大作用。

基于对经济新形势和行业发展的判断，国美启动了以消费者需求为导向、以供需链全面整合为核心的新型商业模式转型，但要实现这一转型，必须首先打通企业内部、产业链各环节，实现信息流、物流、资金流的高度对接，因此全面升级信息化系统势在必行。在2007年国美就开始进行信息系统的选型，最终选择了SAP与惠普公司，并采用了SAP同时也是业界目前最高的信息化系统版本，在全球范围内国美是第一家应用该版本的零售企业。

国美电器于2011年12月1日宣布，国美集团领航者ERP Leader信息系统已经正式实施成功，国美ERP（企业资源计划）信息系统在行业内首次实现利润核算到单店以及全国库存共享。据了解，这一系统的成功升级将为国美加快推进商业模式变革搭建很好的后台基础，标志着国美率先进入了商品经营和客户经营的阶段。

国美新ERP系统首次在中国零售业实现了对单店、单品和个人的管理，同时在这一平台上，供应商可以共享包括市场基础数据、市场竞争信息、服务信息等在内的信息，实现了零

供信息的透明化、及时化、精准化和无缝对接。据介绍，ERP新系统上线后，国美在全球大型零售行业首次使用批次管理，实现对最小经营单位“门店”和产品全生命周期的管理，甚至细化到对单型号的全程管理。业内分析人士认为，该系统对于国美供应商而言是较大的利好消息，可帮助其控制库存，控制资金链风险。

新ERP系统在国美全面上线后，将把国美的物流、资金流、信息流统一起来进行管理，以最大限度地利用企业现有资源，实现企业经济效益的最大化。同时，对于消费来说，从消费缴款，到送货环节，也都将更加快捷便利，充分体现了“集中管理、分散经营，库存共用(资金共用、人员共用)、统一配送，规范服务、统一核算”的企业战略发展理念。新ERP系统实现了对物流能力、售后能力的实时管理，为一线销售人员提供了完整的服务能力信息，帮助他们能够准确按照客户需求确定送货和上门安装的时间，关于物流配送和送货服务的客户投诉率大幅降低。最大化地优化了资源、降低了成本。这些也都将在终端产品售价上体现出来。

二、国美公司的信息系统安全性分析：

SAP-ERP的功能涵盖了企业管理业务的各个方面，这些功能模块可以服务于各个不同的企业管理领域。因为SAP的庞大、复杂，如何管理和规避项目实施中的风险，实现相关的安全控制及数据安全往往是企业所面临的一个巨大挑战。统计数据显示，我国企业在ERP系统实施过程中，接近70%的预期目标不能实现。由于ERP系统的数据收集和使用方法都基于IT技术，计算机进行自动处理，比起手工，信息技术大大减少了信息审核所需的时间。在控制薄弱的系统里，在对企业经营造成重大影响之前很难发现错误或舞弊行为，尤其是在实时的分布式的系统里。国美公司做了银企互联，并且通过ERP系统直接付款。由于供应商客户账号的变动的风险则会导致付错款很难追回。因此对ERP系统的风险管理及审计变得尤为重要，以保证ERP系统足够安全，并得到合规控制。对于国美的ERP项目而言，风险存在于项目的全过程，包括项目规划、项目预准备、实施过程和系统运行。归纳起来，国美的SAP-ERP项目的风险主要有以下几方面：

1.缺乏规划或规划不合理：因为没有合适的，正确的规划，带来需求，销售过称的风险。其风险内容包括国美公司对产品需求缺少认同；做需求分析时缺少客户认同；客户没有优先需求，缺少有效的需求，销售变化管理过称；对需求，销售变化缺少相关分析，导致销售减少。

2.项目预准备不充分，导致实施的阶段结果偏离预期。表现为项目计划中的时间等与实际不符。若项目实施时间过长则会影响员工对于系统成功实施的信心、并影响业务的连续性；年末是家电销售的旺季可能会与年末年初财务部门的繁忙季节冲突，导致实施计划受阻；这些时间上的延长往往导致系统实施项目严重超预算。因此，国美应合理安排评估，达到销售与企业内部管理相协调。

3.系统安全设计不完善，存在系统被非法入侵的隐患;

灾难防范措施不当或不完整，容易造成系统崩溃。

三、风险解决与防范：

1、战略规划

随着社会的信息化，国美应制定一个五年的信息系统规划。规划好国美未来的发展战略，如何稳住现有市场，开阔潜在市场。ERP作为IT系统的重要组成部分，服务于企业的长期规划，是长期规划的手段和保证。ERP的目标源于IT系统规划，是评价ERP系统成败的基本标准，应依据IT系统规划，明确ERP系统的实施范围和实施内容。

2、项目预准备

国美现有的SAP-ERP系统虽然大伙好评，但也不免存在一些细致的不足，随着社会的进步期系统也应不断升级更新，确定硬件及网络方案、选择ERP系统和评估咨询合作伙伴是该阶段的三项主要任务，也是ERP系统实施的三大要素。

3、项目实施控制

硬件及网络方案直接影响系统的性能、运行的可靠性和稳定性;ERP系统功能的强弱决定企业需求的满足程度;咨询合作伙伴的工作能力和经验决定实施过程的质量及实施成效。在ERP系统实施中，国美应该采用项目管理技术对实施过程进行控制和管理。有效的实施控制表现在科学的实施计划、明确的阶段成果和严格的成果审核。此外，有效的控制还表现在积极的协调和通畅的信息传递渠道。实施ERP的组织机构部门之间协调和交流得好坏决定实施过程的工作质量和工作效率。

4、业务流程控制

国美的业务流程中的控制和监督环节保证ERP运行后，让各项业务处于有效的控制之中，避免人为损失。设计控制环节时，要兼顾控制和效率。过多控制环节和业务流程冗余势必降低工作效率。而控制环节不足将造成业务失控的风险。

5、项目实施结果

项目评估的结果是ERP实施效果的直接反映。正确地评价实施成果，离不开清晰的实施目标、客观的评价标准和科学的评价方法。目前普遍存在着忽视项目评估的问题。忽视项目评估将带来实施小组不关心实施成果这一隐患。这正是ERP项目的巨大风险所在。在实施效果分析基础上，国美还应更加关注消费者的售后反馈。

6、系统安全管理

每个系统的系统安全均包括：操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档，等等。目前，企业中熟练掌握计算机技术的人员较少，计算机接入Internet的也不多。因此，在实施ERP系统时，普遍存在着不重视系统安全的现象。诸如：用户不注意口令保密、超级用户授权多人等。缺乏安全意识的直接后果是系统在安全设计上存在着漏洞和缺陷。近年来，不断有报章披露银行或企业计算机系统被非法入侵的消息，这给企业敲响了警钟。从防范策略上看，另外国美自身也可以采取技术、管理、法律手段。

（一）技术手段

比如建立有效的防火墙防火墙；病毒防控企业网络系统；技术加密与认证密码技术。

（二）管理手段

强化安全保护意识，建立健全企业信息安全管理制度和操作规程制度加强计算机用

户管理企业应结合自身硬软件。

(三)法律手段

加强法律意识在网络环境下，企业的信息安全问题应该有相应的法律法规作为保障。落实法律责任采取系列措施防范企业信息安全隐患。

意外事故或灾难

水灾、火灾、地震等不可抗拒的自然灾害会给ERP系统带来毁灭性的打击。国美的SAP-ERP系统会因此遭到破坏直接造成业务交易的中断，给企业带来不可估量的损失。未雨绸缪的策略和应对措施是降低这一风险的良方。如建立远程备份和恢复机制;在计算机系统不能正常工作的情况下，恢复手工处理业务的步骤和措施。

篇6：保险公司信息系统安全管理指引

保监发〔2011〕68号

各保险公司、保险资产管理公司：

为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。现印发给你们，请遵照执行。

中国保险监督管理委员会

二〇一一年十一月十六日

保险公司信息系统安全管理指引（试行）

一、总 则

第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。

第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。

实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。

第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

二、安全管理总体要求

第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。

第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。

第九条各公司应履行以下信息系统安全管理职责：

（一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。

（二）组织公司信息系统安全规划与建设工作，制订相关管理规定。

（三）建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。

（四）对信息系统安全事件进行管理、处置和上报。

（五）组织公司员工信息系统安全教育与培训。

（六）开展与信息系统安全相关的其他工作。

第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订。

第十一条针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录。

第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责，建立必要的岗位分离和职责权限制约机制，实行最小授权，避免单一人员权限过于集中引发风险，重要岗位应设定候补员工及工作接替计划。

第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训，对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训，并签订保密承诺书。

第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求，明确信息系统安全保护等级，实施信息系统安全等级保护，按等级安全要求进行备案并定期测评和整改。

第十五条 制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用。

第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准，推进信息系统灾难恢复建设工作并定期进行演练，确保业务连续性。

第十七条 对信息系统安全事件进行等级划分和事件分类，制定安全事件报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统事故或突发事件，应按应急预案快速响应处理，并按规定及时向中国保监会报告。

第十八条 建立有效可靠的安全信息获取渠道，获取与公司信息系统运营相关的外部安全预警信息，汇总、整理公司内部安全信息，及时提交公司信息安全专业工作机构，并按相关流程发布实施。

第十九条 设立独立于信息技术部门的信息科技风险审计岗位，负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查，至少每两年开展一次信息科技风险评估与审计，并将信息科技风险评估审计报告报送中国保监会。

鼓励公司在符合国家有关法律、法规和监管要求的情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。

第二十条加强信息系统知识产权保护和推进正版化工作，禁止复制、传播或使用非授权软件。

第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求，加强信息安全管理体系认证安全管理，选择国家认证认可监督管理部门批准的机构进行认证，并与认证机构签订安全和保密协议。

第二十二条 在信息系统可能对客户服务造成较大影响时，根据有关法律法规及时和规范地披露信息系统风险状况，并以适当的方式告知客户。

三、基础设施与网络设备环境

第二十三条根据信息化发展需要，建设相应的中心机房和灾备机房（以下统称“机房”）。机房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的安全措施。

第二十四条 建立健全机房运行维护安全管理制度，指定专门部门及专人负责机房安全管理，采取合理的物理访问控制，对出入机房人员进行审查、登记，确保对机房实施7×24小时实时监控。

第二十五条 建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为，定期对资产清单进行一致性检查并保留检查记录。

第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域，采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。

第二十七条 根据业务、应用系统的功能及信息安全级别，将网络与信息系统划分成不同的逻辑安全区域，在网络各区域之间以及网络边界建立访问控制措施，部署监控手段，控制数据流向安全。

第二十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。

第二十九条 建立网络安全管理制度，规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核，保障安全策略的有效执行。

第三十条 内部网络与互联网、外联单位网络等连接时，应明确网络外联种类方式，采用可靠连接策略及技术手段，实现彼此有效隔离，并对跨网络流量、网络用户行为等进行记录和定期审计，同时确保审计记录不被删除、修改或覆盖。

第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为，明确接入方式、访问控制等措施要求，形成网络接入日志并定期审计，确保未经审查通过的设备无法接入。

第三十二条 加强信息系统平台软件安全管理，确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署，严格控制信息系统身份访问、资源访问，监控主机系统的资源使用情况，并在服务水平降低到设定阈值时发出报警。

第三十三条 分类对计算机终端的安全提出要求，制订终端网络准入、安全策略、软件安装等管理规范。

第三十四条 规范化管理信息系统相关硬件设备，规范设备选型、购置、登记、保养、维修、报废等相关流程，实时动态监控设备运行状态，定期进行巡检、维护和保养并保留相关记录。

第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等，并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时，应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质，应严格依据国家及监管部门要求进行保存与销毁等管理。

四、应用系统与数据安全

第三十六条 建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。

第三十七条 生产系统应与开发、测试系统有效隔离，确保生产系统安全、稳定运行。

第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则，保存相关文档和记录。制定信息系统代码编写安全规范，规范开发人员对源代码访问权限的管理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其开发实施安全，不得使用敏感生产数据用于开发、测试环境。

第三十九条 信息系统正式上线运行前，应对系统进行功能、性能与安全性测试与验收，经相关流程审批后方可投入使用。

第四十条 制定有效的信息系统变更管理流程，控制系统变更过程，分析变更影响，确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志，并做好系统变更前准备。

第四十一条 对信息系统的运行维护负责，保持运行维护控制力。加强安全入侵检测监控，进行风险评估与安全扫描，及时发现并处置安全事件。

第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制，严格帐号权限控制管理，规范权限分配和回收流程，保存审计记录，及时进行分析处理。确保全面的追踪、分析和解决信息系统问题，并对问题记录、分类和索引。

在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况，应妥善处理，保证系统及数据安全。

第四十三条 根据内部控制与审计的要求，保存信息系统相关日志，并采取适当措施确保日志内容不被删除、修改或覆盖。

第四十四条 对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。

第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性，明确数据及系统的备份与灾难恢复策略。

第四十六条采用必要的技术手段和管理措施，保证数据通信的保密性和完整性。涉密信息应进行加密处理，确保涉密信息在传输、处理、存储过程中不被泄露或篡改。

与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理，采用国家和行业相关数据交换标准，保障数据交换过程安全可控。

第四十七条 按照国家密码管理相关规定和要求，建立健全密码设备管理制度，加强密码设备使用人员管理，使用符合国家要求和信息加密强度要求的加密技术和产品，加强相关信息系统安全保密设计和建设。

第四十八条 加强互联网门户网站系统安全管理工作，建立严格信息发布审批制度，严格控制网站内容发布权限，对网站系统进行安全评估，确保网站系统安全稳定运行。

第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范，明确各交易环节或过程安全要求，采取必要安全技术和管理措施，保护个人信息和客户敏感商业信息，保留交易相关日志，确保交易行为安全可靠。

第五十条 加强信息系统病毒防护工作，集中进行防病毒产品的选型测试和部署实施，及时更新防病毒软件和病毒代码，发现病毒或异常情况及时处理。

建立恶意代码防范管理制度，并部署防恶意代码软件，对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定，采取管理与技术措施，确保具备主动发现和有效阻止恶意代码传播的能力。

五、信息化工作外包与采购服务

第五十一条实施信息化工作外包的公司，应制定完备的外包服务管理制度，将外包纳入全面风险管理体系，合理审慎实施外包。

不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时，应遵守国家和监管部门有关法律法规与要求，并经过公司决策机构批准。

第五十二条根据国家与监管部门有关外包与采购规定，结合风险控制和实际需要，建立有效的外包和采购内部评估审核流程与监督管理机制。

第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎，在准备实施重要外包时应以书面材料正式报告中国保监会。

第五十四条 建立健全外包承包方考核、评估机制，定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核，确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。

第五十五条 与外包承包方签订书面外包服务合同，合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款，且承包方须承诺配合保险公司接受保险监督管理机构的检查。

第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目，应采取有力措施，确保外包服务质量和安全不受影响和不衰减。

第五十七条 与外包承包方建立有效信息交流与沟通机制，确保外包服务人员的相对稳定性。对于人员的必要流动，应要求外包承包方承诺确保外包服务的连续性与安全性。

第五十八条中国保监会根据需要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，对于违反相关法律、法规或存在重大风险隐患的外包情形，可以要求公司进行整改，并视情况予以问责。

六、附则

第五十九条本指引由中国保监会负责解释、修订。

第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》（保监厅发〔2007〕8号）