第二条:IT治理是规范公司各部门在公司IT系统建设、IT 应用中的责任与权力分配,主要包括原则、IT架构、基础设施、IT应用、IT投入等方面,明确责任人以及决策权力人,以提升工作效率,提高决策的科学性和合理性。
总则的第二条即明确了IT治理的范围,本架构治理非架构治理委员会的架构治理,而是是信息化部门的架构治理。
第六条:公司应制定和实施IT治理目标,利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。公司IT治理目标应包括:
明确IT决策的权力分配和责任担当;
实现技术和业务的有效匹配;
实现IT资源的最优配臵;
实现IT风险的可管可控。
第十三条:公司管理层下设立IT治理委员会负责IT治理工作,信息技术中心是IT治理委员会的日常事务处理机构。IT治理委员会可根据工作需要下设专门组织负责专项事务的推进工作。IT治理委员会履行下列职责:
拟定公司IT原则、IT治理目标和IT治理工作计划,制定公司IT治理基本工作制度;
推进公司数据治理、信息安全以及集团IT联合治理工作;
负责制定公司IT发展规划和年度IT工作计划,IT发展规划包括但不限于信息技术建设规划、信息安全规划、数据治理规划等;
审议公司年度IT预算及分配方案;
审议符合条件的IT项目立项、投入和优先级;
审议重要信息系统建设或重大改造立项、重大变更方案;
审议公司信息技术应急预案、IT重要管理制度和重要流程;
制订与IT治理相关的培训和教育工作计划;
检查所拟定、审议和推进事项的落实和执行情况;
组织评估公司IT重大事项并提出处臵意见;
向公司董事会、管理层报告IT治理状况;
公司董事会、管理层授权的其它事项。
第十五条:IT治理委员会的组成。IT治理委员会由主任委员和委员组成。主任委员由首席信息官担任,承担公司IT治理的领导责任;委员由公司财务总监、主要业务部门分管领导或部门负责人、风险管理部负责人、合规部负责人、稽核审计部负责人、规划发展部负责人、IT部门主要负责人以及公司全资子公司IT部门负责人组成。上述成员中有IT工作背景的委员比例应在30%以上。主任委员可聘请外部专家担任IT治理委员会的委员或顾问。
第二十五条:IT基础设施建设应遵循统一、安全、可靠、先进、可管可控、可扩展等原则,能为多种IT应用提供支持和服务。信息技术中心根据经公司决策的IT架构与基础设施的规划,总体负责公司IT架构和IT基础设施的统一设计、建设和管理。信息技术中心应会同相关部门定期评估IT基础设施的容量和适应能力。
第二十八条:公司各部门及分支机构按照“谁使用、谁发起”的原则各自承担IT预算的编制责任;成本独立核算的业务单元按照“谁使用、谁承担”的原则各自承担业务发展所需的IT投资成本。
第三十三条:信息技术中心应根据公司IT治理要求,与业务需求部门、内部控制部门等明确各自的管理范围、管理权限和管理职责。
第三十四条:信息技术中心应牵头制定贯穿需求分析、立项审批、系统建设、系统验收、上线运行等阶段完整的 IT应用管理原则、工作制度与工作流程,建立技术和业务之间有效的协调沟通机制。
第三十五条:业务需求部门由于业务发展、业务创新、服务创新、提高效率、加强风险控制等原因,需要投资新建或升级IT应用的,应承担发起人责任。业务需求部门需充分开展前期调研、可行性研究分析等工作,保证IT应用价值与公司经营目标的一致性。
第三十六条:公司IT应用建设应在确保安全稳定的前提下平衡技术创新和IT架构的一致性。
第四十二条:公司应建立公平、公开、公正的IT专业职级升降机制和公平、竞争性的薪酬激励机制,为IT人员提供具有一定市场竞争力的报酬和职业发展空间。
第四十五条:公司应设立信息安全等级保护机构,按照国家有关制度要求,推动信息安全等级保护落实到公司信息系统规划、建设、运行维护等各个环节,不断提高信息系统的安全保障能力。
