11.4运用系统it一般性控制流程资料.docVIP

精品资料网（） 25万份精华管理资料，2万多集管理视频讲座 精品资料网（） 专业提供企管培训资料 11.4应用系统IT一般性控制流程 一、 业务目标 1 经营目标 1.1 保证应用系统长期稳定、安全、高效运行。 1.2 为生产经营管理提供业务支撑和及时、准确、完整的数据。 2 合规目标 2.1 遵守保护知识产权的有关法律法规，使用合法软件。 2.2 信息技术合同符合合同法等股份公司制度、国家法律和法规。 2.3 应用系统数据的收集、提供、使用和转让符合国家安全、知识产权保护、合同法等法律、法规及股份公司内部规章制度的要求。 2.4 保证重要业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。 二、 业务风险 1 经营风险 本流程适用于除ERP系统外的其它应用系统，包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。 1.1 技术方案不合理，系统功能存在问题，导致应用系统不能满足生产经营管理业务需求。 1.2 系统登录访问机制不健全、用户权限管理不规范等， 导致对系统的非法或非授权访问。 1.3 密码设置强度不够或更改不及时，造成系统泄密或受到非法访问。 1.4 系统变更管理不规范，未经审批、测试，导致应用系统运行和维护的无法正常进行。 1.5 系统运行缺乏有效监控及维护管理，影响系统安全稳定运行。 1.6 系统问题处理不及时、不规范，不能保证系统问题得到及时有效解决。 1.7 备份策略和备份方案不完善，导致系统数据丢失，系统无法恢复。 1.8 制度不健全，导致信息系统应用管理不规范、运维不及时。 2 合规风险 2.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。 2.2 应用系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等，导致系统无法正常运行。 2.3 重要业务报表的编制不符合规定，导致股份公司声誉受到损害及受相关机构处罚。 三、 业务流程步骤与控制点 1 程序和数据访问 1.1 总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。 1.2 用户权限管理 1.2.1 新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。 1.2.2 对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由系统管理员在数据库中新增、变更或锁定用户权限。 1.3 用户帐号及访问管理 1.3.1 1.3.2 1.4 密码管理 1.4.1 操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码 1.4.2 1.5 系统管理员、应用管理员、安全管理员管理 1.5.1 1.5.2 1.6 第三方人员管理 1.6.1 1.6.2 第三方人员需访问系统时，由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限)，经需求部门负责人审核后提交信息管理 2 程序变更 2.1 总部各部门、分（子）公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理，包括变更申请审批、变更测试和变更版本管理等。 2.2 总部统一建设的应用系统，系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门，由总部统一组织升级、测试和变更，各分（子）公司不得自行变更。各分（子）公司自建系统或客户化开发的变更，必须经过分（子）公司信息管理部门和相关部门负责人审批。 2.3 变更的应用程序移植到生产系统前，相关部门必须组织人员进行系统测试和最终用户测试，测试不能在生产环境中进行。 2.4 信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理，记录每次变更的版本号，存档变更文档和变更升级程序。 3 程序开发 3.1 新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《11.1信息系统管理业务流程》执行。 3.2 应用系统上线前,必须由信息管理部门组织测试系统功能，形成测试报告，并经最终用户部门负责人签字确认。 3.3 系统初始化管理 3.3.1 3.3.2 4 系统运行 4.1 总部各部门、分（子）公司依据《信息系统应用管理办法》及相关应用系