信息系统管理业务流程.docxVIP

11.１信息系统管理业务流程①②

一、业务目标

1?经营目标

1．１满足生产经营管理业务需求，提高管理水平、技术水平和市场应变能力，提高关键竞争力。

1.2达成系统建设预期目标,系统运营安全、稳定,出现系统故障时可以及时恢复,系统具备扩展性、集成性。

2?合规目标

2.１恪守保护知识产权的关于法律法规，使用合法软件。

2.２信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构关于规定。

二、业务风险

1经营风险

1．1信息化管理体系不完善,信息管理部门职责不贯彻，导致信息化工作受损。

1.2信息系统建设项目不符合股份公司经营战略目标，导致盲目建设、投资低效。

①本流程适合用于列入股份公司固定资产投资和科技开发项目计划的信息系统建设、运营和维护,关于科技开发项目标立项和经费管理按《3.3科技开发费管理业务流程》控制。

②信息系统业务，依照其特点执行《１１.1信息系统管理业务流程》,但应参见《6.１资本支出业务流程》。

1.3信息安全规划不妥,风险评估缺失，信息安全教育局限性，员工安全意识薄弱，导致信息系统风险。

1.4技术方案不合理，业务流程不规范，系统功效不健全,导致系统不能满足业务需求。

1.5基础数据不完整、不准确、不真实，导致系统无法正常投运或计算犯错。

1.6项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。

1.７系统运营不稳定，数据失真、丢失,导致平常业务工作无法正常进行。

1.8系统存在网络故障、病毒侵袭等安全问题，导致非法入侵及泄密等,或系统劫难无法及时恢复。

1．9系统运维不贯彻,功效陈旧，导致不能满足业务需求。

1.10未经审核，变更信息技术协议原则文本中涉及的权利、义务等条款，导致损失。

２ 财务风险

2.1交易不真实,未按约定付款,影响财务报告。

3合规风险

３.1侵犯知识产权，导致诉讼及股份公司声誉受到损害。

3.2信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构关于规定,导致损失。

3.3违反国家和公司会计制度，导致项目资金损失。

三、业务流程环节与控制点

1ＩＴ整体层面管理

1．1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作；各分(子）公司设立信息化领导小组或EＲP指导委员会，定时召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。

１．2依照股份公司发展战略目标和关键业务，结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长久规划，在充分征求职能部门、事业部和分（子)公司意见后,组织教授组评审，并依照教授意见负责组织修改,经信息系统管理部主任审核，按规定权限审批后，纳入股份公司中长久发展规划。

1．3教育和培训

各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织贯彻。

各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站公布安全教育培训材料。

1.4风险评估

依照《中国石油化工股份有限公司信息系统风险评估管理措施》,信息系统管理部负责每年对信息系统进行年度综合风险评估，形成风险评估报告,并组织教授组对风险评估报告进行评审，教授组对风险评估报告提出评审意见并签字;分（子)公司信息管理部门会同相关业务部门,经过多个形式,组织本单位信息系统的风险评估，包含公司信息系统整体风险、重点系统风险、重要基础设施风险等,形成相关风险评估报告，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部立案。

１．5信息安全管理

信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子）公司意见后,组织教授组评审，并依照教授意见负责组织修改,经信息系统管理部主任审核后,正式公布。

各分（子）公司信息管理部门依照股份公司信息安全规划,结合自身生产经营管理的需要，并针对风险评估报告中提出的问题，负责制订本公司的信息安全方案，经分管经理审批后报信息系统管理部立案。

依照《中国石油化工股份有限公司信息系统安全管理措施》规定，各级信息管理部门负责提出本单位的“信息系统关键岗位名目”，其中涉及信息系统安全的关键岗位由信息管理部门拟定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会拟定。“信息系统关键岗位名目”上的关键岗位人员要与所在单位签署“信息系统关键岗位安