流程管理-114应用系统IT一般性控制流程 精品
- 格式:doc
- 大小:37.56 KB
- 文档页数:9
11.4应用系统IT一般性控制流程
一、业务目标
1 经营目标
1.1 保证应用系统长期稳定、安全、高效运行。
1.2 为生产经营管理提供业务支撑和及时、准确、完整
的数据。
2 合规目标
2.1 遵守保护知识产权的有关法律法规,使用合法软件。
2.2 信息技术合同符合合同法等股份公司制度、国家法
律和法规。
2.3 应用系统数据的收集、提供、使用和转让符合国家
安全、知识产权保护、合同法等法律、法规及股份
公司内部规章制度的要求。
2.4 保证重要业务系统的生成报表、合并报表编制过程
的真实性、完整性、可靠性符合国家规定及上市地
监管机构要求。
二、业务风险
1 经营风险
本流程适用于除ERP系统外的其它应用系统,包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。
1.1 技术方案不合理,系统功能存在问题,导致应用系
统不能满足生产经营管理业务需求。
1.2 系统登录访问机制不健全、用户权限管理不规范等,
导致对系统的非法或非授权访问。
1.3 密码设置强度不够或更改不及时,造成系统泄密或
受到非法访问。
1.4 系统变更管理不规范,未经审批、测试,导致应用
系统运行和维护的无法正常进行。
1.5 系统运行缺乏有效监控及维护管理,影响系统安全
稳定运行。
1.6 系统问题处理不及时、不规范,不能保证系统问题
得到及时有效解决。
1.7 备份策略和备份方案不完善,导致系统数据丢失,
系统无法恢复。
1.8 制度不健全,导致信息系统应用管理不规范、运维
不及时。
2 合规风险
2.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。
2.2 应用系统数据的收集、提供、使用、转让违反国家
法律法规及股份公司内部规章制度等,导致系统无
法正常运行。
2.3 重要业务报表的编制不符合规定,导致股份公司声
誉受到损害及受相关机构处罚。
三、业务流程步骤与控制点
1 程序和数据访问
1.1 总部各部门、分(子)公司依据《中国石油化工股
份有限公司管理信息系统应用管理办法(试行)》
(以下简称《信息系统应用管理办法》)及相关应
用系统管理办法实施程序和数据访问管理,包括用
户权限管理、用户帐号及访问管理、密码管理、系
统管理员、应用管理员、安全管理员(主要职责是
承担对系统管理员、应用管理员的监管,负责审查
系统管理员、应用管理员在系统中的操作)管理、
第三方人员管理等。
1.2 用户权限管理
1.2.1 新进员工或岗位变动人员按照用户权限相关管理办
法填写用户权限审批表,经相关部门负责人审批后,
由应用管理员在系统中新增、变更或锁定用户权限。
1.2.2 对于数据库用户权限,相关人员填写用户权限审批
表,经相关部门负责人审批后,由系统管理员在数
据库中新增、变更或锁定用户权限。
1.3 用户帐号及访问管理
1.3.1 操作人员访问应用系统时,必须输入用户帐号和密
码。
1.3.2 应用管理员在系统中为每个操作人员设置独立的用
户帐号,不能设置共享用户帐号(查询用户帐号除
外)。
应用管理员至少每半年打印一次用户帐号权
限清单,并由相关部门负责人审核。
1.4 密码管理
1.4.1 操作人员应按照密码管理相关规定,遵循系统密码
的长度至少为6位,复杂度为数字与字符的组合,
三个月更改一次密码等密码规则设置密码,不得使
用最近使用过的密码。
应用管理员对操作人员密码
定期更换记录进行检查。
1.4.2 系统管理员、应用管理员应在系统投用前修改操作
系统、数据库、应用系统的超级用户初始密码。
上
述密码至少三个月更换一次,安全管理员对定期更
换记录进行检查。
1.5 系统管理员、应用管理员、安全管理员管理
1.5.1 系统需配备专职或兼职系统管理员、应用管理员和
安全管理员。
安全管理员、系统管理员、应用管理
员必须经相关部门负责人授权并遵循不相容岗位分
离原则,且不得拥有应用系统的业务操作权限。
相
关部门负责人至少每半年对上述管理员在职情况进
行审查。
1.5.2 安全管理员至少每季度对系统管理员、应用管理员
的操作日志或记录进行检查,提出审核意见,并报
相关部门负责人。
1.6 第三方人员管理
1.6.1 总部各部门、分(子)公司与第三方合作单位就相
关应用系统签订安全保密协议。
1.6.2 第三方人员需访问系统时,由申请人/经办人按照相
关管理办法填写用户权限审批表(需注明使用期限
和权限),经需求部门负责人审核后提交信息管理部
门(责任处(科)室)负责人审批,由应用管理员
在系统中新增或变更其帐号及权限。
到期后必须及
时删除或锁定第三方人员的帐号。
2 程序变更
2.1 总部各部门、分(子)公司依据《信息系统应用管
理办法》及相关应用系统管理办法实施系统变更管
理,包括变更申请审批、变更测试和变更版本管理
等。
2.2 总部统一建设的应用系统,系统变更必须填写系统
变更审批表上报信息系统管理部和总部相关部门,
由总部统一组织升级、测试和变更,各分(子)公
司不得自行变更。
各分(子)公司自建系统或客户
化开发的变更,必须经过分(子)公司信息管理部
门和相关部门负责人审批。
2.3 变更的应用程序移植到生产系统前,相关部门必须
组织人员进行系统测试和最终用户测试,测试不能
在生产环境中进行。
2.4 信息管理部门必须对操作系统、数据库、应用系统
版本变更进行管理,记录每次变更的版本号,存档
变更文档和变更升级程序。
3 程序开发
3.1 新建应用系统的项目计划、可研评审、立项审批、
项目实施、竣工验收等开发步骤按照《11.1信息系
统管理业务流程》执行。
3.2 应用系统上线前,必须由信息管理部门组织测试系
统功能,形成测试报告,并经最终用户部门负责人
签字确认。
3.3 系统初始化管理
3.3.1 相关部门按照数据收集模板组织人员收集、整理业
务数据,并由相关部门责任人审核确认。
3.3.2 相关部门组织人员对导入和补录系统的数据进行核
对,并由相关部门责任人签字确认。
4 系统运行
4.1 总部各部门、分(子)公司依据《信息系统应用管
理办法》及相关应用系统管理办法实施系统运行管
理,包括系统备份及恢复、系统监控、维护及故障
处理等。
4.2 数据备份及恢复
4.2.1 应用管理员(系统管理员)至少每月做一次数据全
备份,并检查数据备份日志,确认备份是否成功。
对备份异常情况进行记录,同时检查备份数据的可
读性。
4.2.2 系统管理员适时对系统进行备份,同时检查备份系
统的可读性,确认备份是否成功。
4.2.3 系统管理员、应用管理员至少每月对操作系统、数
据库、应用系统的日志进行备份。
4.2.4 应用管理员(系统管理员)每月将备份介质与生产
服务器异地存放,并由专人管理。
备份介质存放要
有记录,介质访问人员须经相关部门负责人授权并
填写访问记录。
4.2.5 系统管理员至少每半年对备份数据进行一次可读性
测试。
4.2.6 系统管理员至少每年对备份数据进行一次恢复性测
试。
4.3 系统监控、维护及故障处理
4.3.1 系统管理员对应用系统、后台作业、操作系统、数
据库、服务器等运行状况进行监控,并填报系统运行
监控报告。
4.3.2 应用管理员对应用系统操作日志或记录、安全管理
员对直接访问数据库的操作日志至少每月进行一次
审核,发现异常情况,及时上报信息管理部门/相关
部门负责人,同时查明原因,提出处理意见,记录
处理情况。
4.3.3 对系统运行出现的故障,相关人员需填报问题处理
记录单,详细记录问题处理情况,其中包括故障发
生时间、故障情况、解决办法、处理结果及问题跟
踪记录等,并审核确认。
4.3.4 系统应用部门会同信息管理部门制订系统应急预
案,并至少每年对业务人员、系统管理员、应用管
理员进行一次系统应急预案的培训。
4.4 炼化企业使用MES系统进行主物料的日平衡、旬确
认、月结算,公用工程进行旬月平衡,实现生产监
控管理,满足生产调度的要求,为ERP和生产营运
指挥等系统提供数据支持;油品销售企业使用加油
卡系统对所属加油站数据上传情况进行跟踪,督促
加油站及时通讯,确保数据及时上送。
四、相关制度目录(制度后标号为《内部控制手册配套
规章制度汇编》目录索引号)
1 中国石油化工股份有限公司管理信息系统应用管理
办法(试行)(石化股份信[20XX]330号) ----1.10.3 2 中国石油化工股份有限公司财务信息管理系统系统
管理办法(石化股份财信[20XX]100号) ----2.6.4 3 中国石化加油卡系统运行维护管理规定(石化股份
销信〔20XX〕444号) ----2.14.20。