114应用系统IT一般性控制流程.docVIP

11.4应用系统IT一般性控制流程 一、 业务目标 1 经营目标 1.1 保证应用系统长期稳定、安全、高效运行。 1.2 为生产经营管理提供业务支撑和及时、准确、完整的数据。 2 合规目标 2.1 遵守保护知识产权的有关法律法规，使用合法软件。 2.2 信息技术合同符合合同法等股份公司制度、国家法律和法规。 2.3 应用系统数据的收集、提供、使用和转让符合国家安全、知识产权保护、合同法等法律、法规及股份公司内部规章制度的要求。 2.4 保证重要业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。 二、 业务风险 1 经营风险 本流程适用于除ERP系统外的其它应用系统，包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。 1.1 技术方案不合理，系统功能存在问题，导致应用系统不能满足生产经营管理业务需求。 1.2 系统登录访问机制不健全、用户权限管理不规范等， 导致对系统的非法或非授权访问。 1.3 密码设置强度不够或更改不及时，造成系统泄密或受到非法访问。 1.4 系统变更管理不规范，未经审批、测试，导致应用系统运行和维护的无法正常进行。 1.5 系统运行缺乏有效监控及维护管理，影响系统安全稳定运行。 1.6 系统问题处理不及时、不规范，不能保证系统问题得到及时有效解决。 1.7 备份策略和备份方案不完善，导致系统数据丢失，系统无法恢复。 1.8 制度不健全，导致信息系统应用管理不规范、运维不及时。 2 合规风险 2.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。 2.2 应用系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等，导致系统无法正常运行。 2.3 重要业务报表的编制不符合规定，导致股份公司声誉受到损害及受相关机构处罚。 三、 业务流程步骤与控制点 1 程序和数据访问 1.1 总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、数据库管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。 1.1.1 东北油气分公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、数据库管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。 1.2 用户权限管理 1.2.1 新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。 1.2.1.1新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。 1.2.2 对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由数据库管理员在数据库中新增、变更或锁定用户权限。 1.2.2.1对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由数据库管理员在数据库中新增、变更或锁定用户权限。 1.3 用户帐号及访问管理 1.3.1 操作人员访问应用系统时，必须输入用户帐号和密码。 1.3.1.1操作人员访问应用系统时，必须输入用户帐号和密码。 1.3.2 应用管理员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。应用管理员至少每半年打印一次用户帐号权限清单，并由相关部门负责人审核。 1.3.2.1应用管理员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。应用管理员至少每半年打印一次用户帐号权限清单，并由相关部门负责人审核。 1.4 密码管理 1.4.1 操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。 1.4.1.1操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码。应用管