(整理)中石化全套内部控制系统制度信息管理系统文件.73.pptxVIP

精品文档11.1信息系统管理业务内部控制矩阵会计报表认定1存在和发生/真实性；2完整性；3权利与义务；4估价或分会计报表项目摊；5表达和披露；6准确性不相容控制点岗位分值控制点相关资料相关制度索引业务目标业务风险控制点适用单位1234561.IT整体层面管理1.1经营风险：信息化管理体系不完善，信1.1股份公司建立完善的信息化管理体系，设立ERP指导委员会，设立信总部息化领导小组或ERP指导委员会设置不息系统管理部负责股份公司信息化归口管理工作；各分（子）公司设立信分（子）公司健全，信息管理部门职责不落实，导致息化领导小组或ERP指导委员会，定期召开会议，听取、总结和指导本单6ERP指导委员会1.10.5或信息化领导小组成立文信息化工作受损。位信息化工作，设立信息管理部门负责本单位信息化管理工作，对信息系统和信息资源行使管理职责。件；会议纪要信息管理部门职责文件1.12.2经营风险：信息化建设中长期规划不符1.2根据股份公司发展战略目标和核心业务，结合信息技术发展和股份公信息系统管理部合股份公司经营战略目标，导致盲目建司实际，信息系统管理部负责组织编制股份公司信息化建设中长期规划，5股份公司信息化1.10.5建设中长期规划设、投资低效。在充分征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核，按规定权限审批后，纳入股份公司中长期发展规划。1.3教育和培训经营风险：信息化培训缺乏，导致信息1.3.1各级信息管理部门负责编制年度信息化培训计划，经部门负责人审信息系统管理部1.11.122年度培训计划1.10.5系统效能低下、信息化管理水平不高、批后，纳入人事部门年度培训计划,并组织落实。信息化技能缺失。分（子）公司经营风险：信息安全教育不足，导致员1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训，并信息系统管理部分（子）公司安全教育培训1.10.5材料工信息安全意识薄弱。在信息门户或内部网站发布安全教育培训材料。1.4风险评估经营风险：信息系统风险评估缺失，导1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》，信信息系统管理部1.12.24风险评估报告2.10.3致信息系统风险。息系统管理部负责每年对信息系统进行年度综合风险评估，形成风险评估分（子）公司报告，并组织专家组对风险评估报告进行评审，专家组对风险评估报告提出评审意见并签字；分（子）公司信息管理部门会同相关业务部门，通过多种形式，组织本单位信息系统的风险评估，包括企业信息系统整体风险、重点系统风险、主要基础设施风险等，形成相关风险评估报告，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。1.5信息安全管理1.12.2经营风险：信息安全规划不当，信息安1.5.1信息系统管理部负责编制信息安全规划，在征求职能部门、事业部信息系统管理部全方案缺失，导致信息系统风险。分（子）公司433信息安全规划2.10.2信息安全方案和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核后，正式发布。各分（子）公司信息管理部门根据股份公司信息安全规划，结合自身生产经营管理的需要，并针对风险评估报告中提出的问题，负责制订本企业的信息安全方案，经分管经理审批后报信息系统管理部备案。1.12.2经营风险：系统未确定关键岗位，关键1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定，总部各部门信息系统关键2.10.2岗位名录信息系统关键岗位安全责任书岗位缺乏监管，导致系统存在安全隐患。各级信息管理部门负责提出本单位的“信息系统关键岗位名录”，其中涉分（子）公司及信息系统安全的关键岗位由信息管理部门确定，涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”，并在人事部门备案。1.12.2经营风险：系统安全岗位设置缺失，导1.5.3各级信息管理部门根据《中国石油化工股份有限公司信息系统安全信息系统管理部致系统存在安全隐患。分（子）公司安全管理员授2.10.2权书安全管理员资质证书管理办法》中的有关要求，按照不相容岗位分离的原则，设立安全管理员。安全管理员必须具有相应资质，并经部门负责人审批授权。精品文档

精品文档会计报表认定1存在和发生/真实性；2完整性；3权利与义务；4估价或分会计报表项目摊；5表达和披露；6准确性不相容控制点岗位分值控制点相关资料相关制度索引业务目标业务风险控制点适用单位1234562.编制年度项目建议计划经营风险：年度信息化项目建议计划不