2021年信息系统管理业务流程.docVIP

11.1信息系统管理业务步骤①② 一、 业务目标 1 经营目标 1.1 满足生产经营管理业务需求，提升管理水平、技术水平和市场应变能力，提升关键竞争力。 1.2 达成系统建设预期目标，系统运行安全、稳定，出现系统故障时能够立即恢复，系统含有扩展性、集成性。 2 合规目标 2.1 遵守保护知识产权相关法律法规，使用正当软件。 2.2 信息技术控制符合国家法律、法规、股份企业内部规章制度及上市地证券监管机构相关要求。 二、 业务风险 1 经营风险 1.1 信息化管理体系不完善，信息管理部门职责不落实，造成信息化工作受损。 1.2 信息系统建设项目不符合股份企业经营战略目标，造成盲目建设、投资低效。 ①本步骤适适用于列入股份企业固定资产投资和科技开发项目计划信息系统建设、运行和维护，相关科技开发项目标立项和经费管理按《3.3科技开发费管理业务步骤》控制。 ② 信息系统业务,依据其特点实施《11.1信息系统管理业务步骤》,但应参见《6.1资本支出业务步骤》。 1.3 信息安全计划不妥，风险评定缺失，信息安全教育不足，职员安全意识微弱，造成信息系统风险。 1.4 技术方案不合理，业务步骤不规范，系统功效不健全，造成系统不能满足业务需求。 1.5 基础数据不完整、不正确、不真实，造成系统无法正常投运或计算犯错。 1.6 项目监管不力，系统建设延误，造成系统不能按期投用或资金流失。 1.7 系统运行不稳定，数据失真、丢失，造成日常业务工作无法正常进行。 1.8 系统存在网络故障、病毒侵袭等安全问题，造成非法入侵及泄密等，或系统灾难无法立即恢复。 1.9 系统运维不落实，功效陈旧，造成不能满足业务需求。 1.10 未经审核，变更信息技术协议标准文本中包含权利、义务等条款，造成损失。 2 财务风险 2.1 交易不真实，未按约定付款，影响财务汇报。 3 合规风险 3.1 侵犯知识产权，造成诉讼及股份企业声誉受到损害。 3.2 信息技术控制不符合国家法律、法规、股份企业内部规章制度及上市地证券监管机构相关要求,造成损失。 3.3 违反国家和企业会计制度，造成项目资金损失。 三、 业务步骤步骤和控制点 1 IT整体层面管理 1.1 股份企业建立完善信息化管理体系，设置ERP指导委员会, 设置信息系统管理部负责股份企业信息化归口管理工作;各分（子）企业设置信息化领导小组或ERP指导委员会，定时召开会议，听取、总结和指导本单位信息化工作，设置信息管理部门负责本单位信息化管理工作，对信息系统和信息资源行使管理职责。 1.2 依据股份企业发展战略目标和关键业务，结合信息技术发展和股份企业实际，信息系统管理部负责组织编制股份企业信息化建设中长久计划，在充足征求职能部门、事业部和分（子）企业意见后，组织教授组评审，并依据教授意见负责组织修改，经信息系统管理部主任审核，按要求权限审批后，纳入股份企业中长久发展计划。 1.3 教育和培训 1.3.1 各级信息管理部门负责编制年度信息化培训计划，经部门责任人审批后，纳入人事部门年度培训计划,并组织落实。 1.3.2 各级信息管理部门配合人事部门开展全员信息安全教育和培训，并在信息门户或内部网站公布安全教育培训材料。 1.4 风险评定 1.4.1 依据《中国石油化工股份信息系统风险评定管理措施》，信息系统管理部负责每十二个月对信息系统进行年度综合风险评定，形成风险评定汇报，并组织教授组对风险评定汇报进行评审，教授组对风险评定汇报提出评审意见并签字；分（子）企业信息管理部门会同相关业务部门，经过多个形式，组织本单位信息系统风险评定，包含企业信息系统整体风险、关键系统风险、关键基础设施风险等，形成相关风险评定汇报，并将风险评定汇报经信息管理部门责任人审核签字后报信息系统管理部立案。 1.5 信息安全管理 1.5.1 信息系统管理部负责编制信息安全计划，在征求职能部门、事业部和分（子）企业意见后，组织教授组评审，并依据教授意见负责组织修改，经信息系统管理部主任审核后，正式公布。 各分（子）企业信息管理部门依据股份企业信息安全计划，结合本身生产经营管理需要，并针对风险评定汇报中提出问题，负责制订本企业信息安全方案，经分管经理审批后报信息系统管理部立案。 1.5.2 依据《中国石油化工股份信息系统安全管理措施》要求，各级信息管理部门负责提出本单位“信息系统关键岗位名目”，其中包含信息系统安全关键岗位由信息管理部门确定，包含业务信息安全关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名目”上关键岗位人员要和所在单位签署“信息