應(yīng)用系統(tǒng)IT一般性控制流程

1、11.4 應(yīng)用系統(tǒng) IT 一般性控制流程一、業(yè)務(wù)目標1經(jīng)營目標1.1保證應(yīng)用系統(tǒng)長期穩(wěn)定、安全、高效運行。1.2為生產(chǎn)經(jīng)營管理提供業(yè)務(wù)支撐和及時、準確、完整的數(shù)據(jù)。2合規(guī)目標2.1遵守保護知識產(chǎn)權(quán)的有關(guān)法律法規(guī)，使用合法軟件。2.2信息技術(shù)合同符合合同法等股份公司制度、國家法律和法規(guī)。2.3應(yīng)用系統(tǒng)數(shù)據(jù)的收集、提供、使用和轉(zhuǎn)讓符合國家安全、知識產(chǎn)權(quán)保護、合同法等法律、法規(guī)及股份公司內(nèi)部規(guī)章制度的要求。2.4保證重要業(yè)務(wù)系統(tǒng)的生成報表、合并報表編制過程的真實性、完整性、可靠性符合國家規(guī)定及上市地監(jiān)管機構(gòu)要求。二、業(yè)務(wù)風(fēng)險1經(jīng)營風(fēng)險本流程適用于除 ERP系統(tǒng)外的其它應(yīng)用系統(tǒng)，包括財務(wù)管理信息系統(tǒng)、

2、財務(wù)報表系統(tǒng)、加油卡系統(tǒng)及 MES系統(tǒng)等。1.1技術(shù)方案不合理，系統(tǒng)功能存在問題，導(dǎo)致應(yīng)用系統(tǒng)不能滿足生產(chǎn)經(jīng)營管理業(yè)務(wù)需求。1.2系統(tǒng)登錄訪問機制不健全、用戶權(quán)限管理不規(guī)范等，導(dǎo)致對系統(tǒng)的非法或非授權(quán)訪問。1.3密碼設(shè)置強度不夠或更改不及時，造成系統(tǒng)泄密或受到非法訪問。1.4系統(tǒng)變更管理不規(guī)范，未經(jīng)審批、測試，導(dǎo)致應(yīng)用系統(tǒng)運行和維護的無法正常進行。1.5系統(tǒng)運行缺乏有效監(jiān)控及維護管理，影響系統(tǒng)安全穩(wěn)定運行。1.6系統(tǒng)問題處理不及時、不規(guī)范，不能保證系統(tǒng)問題得到及時有效解決。1.7備份策略和備份方案不完善，導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，系統(tǒng)無法恢復(fù)。1.8制度不健全，導(dǎo)致信息系統(tǒng)應(yīng)用管理不規(guī)范、運維不及時。

3、2合規(guī)風(fēng)險2.1侵犯知識產(chǎn)權(quán)，導(dǎo)致訴訟及股份公司聲譽受到損害。2.2應(yīng)用系統(tǒng)數(shù)據(jù)的收集、提供、使用、轉(zhuǎn)讓違反國家法律法規(guī)及股份公司內(nèi)部規(guī)章制度等，導(dǎo)致系統(tǒng)無法正常運行。2.3重要業(yè)務(wù)報表的編制不符合規(guī)定，導(dǎo)致股份公司聲譽受到損害及受相關(guān)機構(gòu)處罰。三、業(yè)務(wù)流程步驟與控制點1程序和數(shù)據(jù)訪問1.1總部各部門、分（子）公司依據(jù)中國石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法（試行）（以下簡稱信息系統(tǒng)應(yīng)用管理辦法）及相關(guān)應(yīng)用系統(tǒng)管理辦法實施程序和數(shù)據(jù)訪問管理，包括用戶權(quán)限管理、用戶帳號及訪問管理、密碼管理、系統(tǒng)管理員、應(yīng)用管理員、安全管理員（主要職責(zé)是承擔(dān)對系統(tǒng)管理員、應(yīng)用管理員的監(jiān)管，負責(zé)審查系統(tǒng)管理

4、員、應(yīng)用管理員在系統(tǒng)中的操作）管理、第三方人員管理等。1.2用戶權(quán)限管理1.2.1新進員工或崗位變動人員按照用戶權(quán)限相關(guān)管理辦法填寫用戶權(quán)限審批表， 經(jīng)相關(guān)部門負責(zé)人審批后，由應(yīng)用管理員在系統(tǒng)中新增、 變更或鎖定用戶權(quán)限。1.2.2對于數(shù)據(jù)庫用戶權(quán)限，相關(guān)人員填寫用戶權(quán)限審批表，經(jīng)相關(guān)部門負責(zé)人審批后，由系統(tǒng)管理員在數(shù)據(jù)庫中新增、變更或鎖定用戶權(quán)限。1.3用戶帳號及訪問管理1.3.1操作人員訪問應(yīng)用系統(tǒng)時，必須輸入用戶帳號和密碼。1.3.2應(yīng)用管理員在系統(tǒng)中為每個操作人員設(shè)置獨立的用戶帳號，不能設(shè)置共享用戶帳號（查詢用戶帳號除外）。應(yīng)用管理員至少每半年打印一次用戶帳號權(quán)限清單，并由相關(guān)部門負責(zé)

5、人審核。1.4密碼管理1.4.1操作人員應(yīng)按照密碼管理相關(guān)規(guī)定，遵循系統(tǒng)密碼的長度至少為 6 位，復(fù)雜度為數(shù)字與字符的組合，三個月更改一次密碼等密碼規(guī)則設(shè)置密碼，不得使用最近使用過的密碼。應(yīng)用管理員對操作人員密碼定期更換記錄進行檢查。1.4.2系統(tǒng)管理員、應(yīng)用管理員應(yīng)在系統(tǒng)投用前修改操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的超級用戶初始密碼。上述密碼至少三個月更換一次，安全管理員對定期更換記錄進行檢查。1.5系統(tǒng)管理員、應(yīng)用管理員、安全管理員管理1.5.1系統(tǒng)需配備專職或兼職系統(tǒng)管理員、應(yīng)用管理員和安全管理員。安全管理員、系統(tǒng)管理員、應(yīng)用管理員必須經(jīng)相關(guān)部門負責(zé)人授權(quán)并遵循不相容崗位分離原則，且不得擁有應(yīng)用

6、系統(tǒng)的業(yè)務(wù)操作權(quán)限。相關(guān)部門負責(zé)人至少每半年對上述管理員在職情況進行審查。1.5.2安全管理員至少每季度對系統(tǒng)管理員、應(yīng)用管理員的操作日志或記錄進行檢查，提出審核意見，并報相關(guān)部門負責(zé)人。1.6第三方人員管理1.6.1總部各部門、分（子）公司與第三方合作單位就相關(guān)應(yīng)用系統(tǒng)簽訂安全保密協(xié)議。1.6.2第三方人員需訪問系統(tǒng)時， 由申請人 / 經(jīng)辦人按照相關(guān)管理辦法填寫用戶權(quán)限審批表( 需注明使用期限和權(quán)限 ) ，經(jīng)需求部門負責(zé)人審核后提交信息管理部門（責(zé)任處（科）室）負責(zé)人審批，由應(yīng)用管理員在系統(tǒng)中新增或變更其帳號及權(quán)限。到期后必須及時刪除或鎖定第三方人員的帳號。2程序變更2.1總部各部門、分（子

7、）公司依據(jù)信息系統(tǒng)應(yīng)用管理辦法及相關(guān)應(yīng)用系統(tǒng)管理辦法實施系統(tǒng)變更管理，包括變更申請審批、變更測試和變更版本管理等。2.2總部統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)，系統(tǒng)變更必須填寫系統(tǒng)變更審批表上報信息系統(tǒng)管理部和總部相關(guān)部門，由總部統(tǒng)一組織升級、測試和變更，各分（子）公司不得自行變更。各分（子）公司自建系統(tǒng)或客戶化開發(fā)的變更，必須經(jīng)過分（子）公司信息管理部門和相關(guān)部門負責(zé)人審批。2.3變更的應(yīng)用程序移植到生產(chǎn)系統(tǒng)前，相關(guān)部門必須組織人員進行系統(tǒng)測試和最終用戶測試，測試不能在生產(chǎn)環(huán)境中進行。2.4信息管理部門必須對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)版本變更進行管理，記錄每次變更的版本號，存檔變更文檔和變更升級程序。3程序

8、開發(fā)3.1新建應(yīng)用系統(tǒng)的項目計劃、可研評審、立項審批、項目實施、竣工驗收等開發(fā)步驟按照11.1 信息系統(tǒng)管理業(yè)務(wù)流程執(zhí)行。3.2應(yīng)用系統(tǒng)上線前 , 必須由信息管理部門組織測試系統(tǒng)功能，形成測試報告，并經(jīng)最終用戶部門負責(zé)人簽字確認。3.3系統(tǒng)初始化管理3.3.1相關(guān)部門按照數(shù)據(jù)收集模板組織人員收集、整理業(yè)務(wù)數(shù)據(jù)，并由相關(guān)部門責(zé)任人審核確認。3.3.2相關(guān)部門組織人員對導(dǎo)入和補錄系統(tǒng)的數(shù)據(jù)進行核對，并由相關(guān)部門責(zé)任人簽字確認。4系統(tǒng)運行4.1總部各部門、分（子）公司依據(jù)信息系統(tǒng)應(yīng)用管理辦法及相關(guān)應(yīng)用系統(tǒng)管理辦法實施系統(tǒng)運行管理，包括系統(tǒng)備份及恢復(fù)、系統(tǒng)監(jiān)控、維護及故障處理等。4.2數(shù)據(jù)備份及恢復(fù)4

9、.2.1應(yīng)用管理員（系統(tǒng)管理員）至少每月做一次數(shù)據(jù)全備份，并檢查數(shù)據(jù)備份日志，確認備份是否成功。對備份異常情況進行記錄，同時檢查備份數(shù)據(jù)的可讀性。4.2.2系統(tǒng)管理員適時對系統(tǒng)進行備份，同時檢查備份系統(tǒng)的可讀性，確認備份是否成功。4.2.3系統(tǒng)管理員、應(yīng)用管理員至少每月對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的日志進行備份。4.2.4應(yīng)用管理員（系統(tǒng)管理員）每月將備份介質(zhì)與生產(chǎn)服務(wù)器異地存放，并由專人管理。備份介質(zhì)存放要有記錄，介質(zhì)訪問人員須經(jīng)相關(guān)部門負責(zé)人授權(quán)并填寫訪問記錄。4.2.5系統(tǒng)管理員至少每半年對備份數(shù)據(jù)進行一次可讀性測試。4.2.6系統(tǒng)管理員至少每年對備份數(shù)據(jù)進行一次恢復(fù)性測試。4.3系統(tǒng)監(jiān)

10、控、維護及故障處理4.3.1系統(tǒng)管理員對應(yīng)用系統(tǒng)、后臺作業(yè)、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器等運行狀況進行監(jiān)控 , 并填報系統(tǒng)運行監(jiān)控報告。4.3.2應(yīng)用管理員對應(yīng)用系統(tǒng)操作日志或記錄、安全管理員對直接訪問數(shù)據(jù)庫的操作日志至少每月進行一次審核，發(fā)現(xiàn)異常情況，及時上報信息管理部門/ 相關(guān)部門負責(zé)人，同時查明原因，提出處理意見，記錄處理情況。4.3.3對系統(tǒng)運行出現(xiàn)的故障，相關(guān)人員需填報問題處理記錄單，詳細記錄問題處理情況，其中包括故障發(fā)生時間、故障情況、解決辦法、處理結(jié)果及問題跟蹤記錄等，并審核確認。4.3.4系統(tǒng)應(yīng)用部門會同信息管理部門制訂系統(tǒng)應(yīng)急預(yù)案，并至少每年對業(yè)務(wù)人員、系統(tǒng)管理員、應(yīng)用管理員進行一次系統(tǒng)應(yīng)急預(yù)案的培訓(xùn)。4.4煉化企業(yè)使用 MES系統(tǒng)進行主物料的日平衡、旬確認、月結(jié)算，公用工程進行旬月平衡，實現(xiàn)生產(chǎn)監(jiān)控管理，滿足生產(chǎn)調(diào)度的要求，為ERP和生產(chǎn)營運指揮等系統(tǒng)提供數(shù)據(jù)支持；油品銷售企業(yè)使用加油卡系統(tǒng)對所屬加油站數(shù)據(jù)上傳情況進行跟蹤，督促加油站及時通訊，確保數(shù)據(jù)及時上送。四、相