信息系統(tǒng)管理業(yè)務(wù)內(nèi)部控制文件

1、11.1信息系統(tǒng)管理業(yè)務(wù)內(nèi)部控制矩陣2008年 C 11.1 PAGE 4411.1信息系統(tǒng)管理業(yè)務(wù)內(nèi)部控制矩陣業(yè)務(wù)目標標業(yè)務(wù)風險險控制點適用單位位不相容崗位控制點分分值控制點相關(guān)資料料相關(guān)制度度索引會計報表表認定會計報表表項目1存在和和發(fā)生/真實性性；2完完整性；3權(quán)利利與義務(wù)務(wù)；4估估價或分分攤；55表達和和披露；6準確確性1234561. IIT整體體層面管管理1.1經(jīng)營風險險：信息息化管理理體系不不完善，信息化化領(lǐng)導小小組或EERP指指導委員員會設(shè)置置不健全全，信息息管理部部門職責責不落實實，導致致信息化化工作受受損。1.1股股份公司司建立完完善的信信息化管管理體系系，設(shè)立立ERPP指

2、導委委員會，設(shè)立信信息系統(tǒng)統(tǒng)管理部部負責股股份公司司信息化化歸口管管理工作作；各分（子）公公司設(shè)立立信息化化領(lǐng)導小小組或EERP指指導委員員會，定定期召開開會議，聽取、總結(jié)和和指導本本單位信信息化工工作，設(shè)立信信息管理理部門負負責本單單位信息息化管理理工作，對信息息系統(tǒng)和和信息資資源行使使管理職職責?？偛糠郑ㄗ樱┕?ERP指指導委員員會或信信息化領(lǐng)領(lǐng)導小組組成立文文件；會議紀要要信息管理理部門職職責文件件1.100.51.12.2經(jīng)營風險險：信息息化建設(shè)設(shè)中長期期規(guī)劃不不符合股股份公司司經(jīng)營戰(zhàn)戰(zhàn)略目標標，導致致盲目建建設(shè)、投投資低效效。1.2根根據(jù)股份份公司發(fā)發(fā)展戰(zhàn)略略目標和和核心業(yè)業(yè)務(wù)，結(jié)

3、結(jié)合信息息技術(shù)發(fā)發(fā)展和股股份公司司實際，信息系系統(tǒng)管理理部負責責組織編編制股份份公司信信息化建建設(shè)中長長期規(guī)劃劃，在充充分征求求職能部部門、事事業(yè)部和和分（子子）公司司意見后后，組織織專家組組評審，并根據(jù)據(jù)專家意意見負責責組織修修改，經(jīng)經(jīng)信息系系統(tǒng)管理理部主任任審核，按規(guī)定定權(quán)限審審批后，納入股股份公司司中長期期發(fā)展規(guī)規(guī)劃。信息系統(tǒng)統(tǒng)管理部部5股份公司司信息化化建設(shè)中中長期規(guī)規(guī)劃1.100.51.3教教育和培培訓1.1經(jīng)營風險險：信息息化培訓訓缺乏，導致信信息系統(tǒng)統(tǒng)效能低低下、信信息化管管理水平平不高、信息化化技能缺缺失。1.3.1各級級信息管管理部門門負責編編制年度度信息化化培訓計計劃，經(jīng)經(jīng)

4、部門負負責人審審批后，納入人人事部門門年度培培訓計劃劃,并組組織落實實。信息系統(tǒng)統(tǒng)管理部部分（子）公司2年度培訓訓計劃1.100.51.1經(jīng)營風險險：信息息安全教教育不足足，導致致員工信信息安全全意識薄薄弱。1.3.2各級級信息管管理部門門配合人人事部門門開展全全員信息息安全教教育和培培訓，并并在信息息門戶或或內(nèi)部網(wǎng)網(wǎng)站發(fā)布布安全教教育培訓訓材料。信息系統(tǒng)統(tǒng)管理部部分（子）公司2安全教育育培訓材材料1.100.51.4風風險評估估1.12.2經(jīng)營風險險：信息息系統(tǒng)風風險評估估缺失，導致信信息系統(tǒng)統(tǒng)風險。1.4.1根據(jù)據(jù)中國國石油化化工股份份有限公公司信息息系統(tǒng)風風險評估估管理辦辦法，信息系系統(tǒng)

5、管理理部負責責每年對對信息系系統(tǒng)進行行年度綜綜合風險險評估，形成風風險評估估報告，并組織織專家組組對風險險評估報報告進行行評審，專家組組對風險險評估報報告提出出評審意意見并簽簽字；分分（子）公司信信息管理理部門會會同相關(guān)關(guān)業(yè)務(wù)部部門，通通過多種種形式，組織本本單位信信息系統(tǒng)統(tǒng)的風險險評估，包括企企業(yè)信息息系統(tǒng)整整體風險險、重點點系統(tǒng)風風險、主主要基礎(chǔ)礎(chǔ)設(shè)施風風險等，形成相相關(guān)風險險評估報報告，并并將風險險評估報報告經(jīng)信信息管理理部門負負責人審審核簽字字后報信信息系統(tǒng)統(tǒng)管理部部備案。信息系統(tǒng)統(tǒng)管理部部分（子）公司4風險評估估報告2.100.31.5信信息安全全管理1.12.2經(jīng)營風險險：信息息安

6、全規(guī)規(guī)劃不當當，信息息安全方方案缺失失，導致致信息系系統(tǒng)風險險。1.5.1信息息系統(tǒng)管管理部負負責編制制信息安安全規(guī)劃劃，在征征求職能能部門、事業(yè)部部和分（子）公公司意見見后，組組織專家家組評審審，并根根據(jù)專家家意見負負責組織織修改，經(jīng)信息息系統(tǒng)管管理部主主任審核核后，正正式發(fā)布布。各分（子子）公司司信息管管理部門門根據(jù)股股份公司司信息安安全規(guī)劃劃，結(jié)合合自身生生產(chǎn)經(jīng)營營管理的的需要，并針對對風險評評估報告告中提出出的問題題，負責責制訂本本企業(yè)的的信息安安全方案案，經(jīng)分分管經(jīng)理理審批后后報信息息系統(tǒng)管管理部備備案。信息系統(tǒng)統(tǒng)管理部部分（子）公司4信息安全全規(guī)劃信息安全全方案2.100.21.1

7、2.2經(jīng)營風險險：系統(tǒng)統(tǒng)未確定定關(guān)鍵崗崗位，關(guān)鍵崗崗位缺乏乏監(jiān)管，導致系系統(tǒng)存在在安全隱隱患。1.5.2依照照中國國石油化化工股份份有限公公司信息息系統(tǒng)安安全管理理辦法規(guī)定，各級信信息管理理部門負負責提出出本單位位的“信息系系統(tǒng)關(guān)鍵鍵崗位名名錄”，其中中涉及信信息系統(tǒng)統(tǒng)安全的的關(guān)鍵崗崗位由信信息管理理部門確確定，涉涉及業(yè)務(wù)務(wù)信息安安全的關(guān)關(guān)鍵崗位位由主管管業(yè)務(wù)部部門商本本單位保保密委員員會確定定?！靶畔⑾迪到y(tǒng)關(guān)鍵鍵崗位名名錄”上的關(guān)關(guān)鍵崗位位人員要要與所在在單位簽簽署“信息系系統(tǒng)關(guān)鍵鍵崗位安安全責任任書”，并在在人事部部門備案案。總部各部部門分（子）公司3信息系統(tǒng)統(tǒng)關(guān)鍵崗崗位名錄錄信息系統(tǒng)統(tǒng)關(guān)

8、鍵崗崗位安全全責任書書2.100.21.12.2經(jīng)營風險險：系統(tǒng)統(tǒng)安全崗崗位設(shè)置置缺失，導致系系統(tǒng)存在在安全隱隱患。1.5.3各級級信息管管理部門門根據(jù)中國石石油化工工股份有有限公司司信息系系統(tǒng)安全全管理辦辦法中中的有關(guān)關(guān)要求，按照不不相容崗崗位分離離的原則則，設(shè)立立安全管管理員。安全管管理員必必須具有有相應資資質(zhì)，并并經(jīng)部門門負責人人審批授授權(quán)。信息系統(tǒng)統(tǒng)管理部部分（子）公司3安全管理理員授權(quán)權(quán)書安全管理理員資質(zhì)質(zhì)證書2.100.22. 編編制年度度項目建建議計劃劃1.12.2經(jīng)營風險險：年度度信息化化項目建建議計劃劃不符合合股份公公司經(jīng)營營戰(zhàn)略目目標，導導致盲目目建設(shè)、投資低低效。2.1信

9、信息系統(tǒng)統(tǒng)管理部部根據(jù)股股份公司司信息化化建設(shè)中中長期規(guī)規(guī)劃和職職能部門門、事業(yè)業(yè)部、分分（子）公司申申報的項項目建議議計劃，結(jié)合年年度實際際，編制制年度信信息化項項目建議議計劃，由信息息系統(tǒng)管管理部主主任審核核，按規(guī)規(guī)定權(quán)限限審批后后，分別別納入股股份公司司年度投投資計劃劃、科技技開發(fā)項項目計劃劃管理。各分（子）公公司信息息管理部部門負責責編制年年度信息息化項目目建議計計劃預案案，按規(guī)規(guī)定權(quán)限限審批后后，分別別納入本本單位年年度投資資建議計計劃、科科技開發(fā)發(fā)項目建建議計劃劃，上報報信息系系統(tǒng)管理理部和總總部相關(guān)關(guān)部門審審核。信息系統(tǒng)統(tǒng)管理部部分（子）公司5信息化建建設(shè)年度度計劃1.100.5

10、3. 項項目可行行性研究究和評審審1.11.2經(jīng)營風險險：項目目可行性性研究報報告提出出的技術(shù)術(shù)方案不不合理，業(yè)務(wù)流流程不規(guī)規(guī)范，系系統(tǒng)功能能不健全全，可研研評審不不到位，導致系系統(tǒng)建設(shè)設(shè)不能滿滿足業(yè)務(wù)務(wù)需求。3.1信信息管理理部門會會同項目目責任部部門(單單位)委委托有資資格的單單位承擔擔項目可可行性研研究，并并組織專專家組對對項目可可行性研研究報告告進行評評審，專專家組對對項目需需求、目目標、技技術(shù)路線線、風險險分析、投資與與效益、進度、組織落落實等提提出可行行性研究究評審意意見并簽簽字。信息系統(tǒng)統(tǒng)管理部部分（子）公司5可行性研研究報告告1.100.24.項目目立項審審批1.11.2經(jīng)營風

11、險險：信息息化項目目缺乏統(tǒng)統(tǒng)一歸口口管理，審批過過程不規(guī)規(guī)范，導導致重復復建設(shè)，低效投投資。4.1通通過可研研評審的的固定資資產(chǎn)投資資限額（2000萬元）及以上上的信息息技術(shù)項項目，由由信息系系統(tǒng)管理理部報發(fā)發(fā)展計劃劃部立項項，批準準立項的的項目，由發(fā)展展計劃部部列入年年度投資資計劃；申請總總部立項項的固定定資產(chǎn)投投資限額額（2000萬元元）以下下的信息息技術(shù)項項目，由由信息系系統(tǒng)管理理部負責責審批，報發(fā)展展計劃部部備案；由各事事業(yè)部審審批的投投資限額額以下的的信息技技術(shù)項目目投資計計劃，須須經(jīng)信息息系統(tǒng)管管理部和和發(fā)展計計劃部會會簽。各分（子子）公司司一般措措施及零零星購置置的信息息技術(shù)項項

12、目在總總部每年年核定的的限額以以內(nèi)，由由各分（子）公公司根據(jù)據(jù)當期生生產(chǎn)經(jīng)營營管理的的需要，按規(guī)定定權(quán)限審審批后報報各主管管事業(yè)部部、信息息系統(tǒng)管管理部和和發(fā)展計計劃部審審核備案案，并納納入股份份公司年年度投資資計劃管管理。通過可研研評審的的科技開開發(fā)項目目，由信信息系統(tǒng)統(tǒng)管理部部報科技技開發(fā)部部立項，批準立立項的項項目，由由科技開開發(fā)部列列入年度度項目計計劃。信息系統(tǒng)統(tǒng)管理部部發(fā)展計劃劃部科技開發(fā)發(fā)部事業(yè)部分（子）公司5立項批文文1.100.21.11.2經(jīng)營風險險：總體體（基礎(chǔ)礎(chǔ)）設(shè)計計技術(shù)方方案不合合理，業(yè)業(yè)務(wù)流程程不規(guī)范范，系統(tǒng)統(tǒng)功能不不健全，專家組組評審不不到位，導致系系統(tǒng)建設(shè)設(shè)不能

13、滿滿足業(yè)務(wù)務(wù)需求。4.2對對批準立立項的、投資在在5000萬元及及以上的的項目，信息系系統(tǒng)管理理部委托托有資格格的單位位按要求求對項目目進行總總體（基基礎(chǔ)）設(shè)設(shè)計，其其中投資資在20000萬萬元及以以上的項項目需組組織專家家組對項項目總體體（基礎(chǔ)礎(chǔ)）設(shè)計計進行評評審，專專家組對對項目需需求分析析、目標標、功能能設(shè)計、投資概概算等提提出評審審意見并并簽字，由信息息系統(tǒng)管管理部負負責審批批總體（基礎(chǔ)）設(shè)計，報發(fā)展展計劃部部備案。信息系統(tǒng)統(tǒng)管理部部3總體（基基礎(chǔ)）設(shè)設(shè)計評審審材料1.100.25.合同同簽訂1.11.2經(jīng)營風險險：承建建單位資資質(zhì)及經(jīng)經(jīng)驗欠缺缺，導致致項目建建設(shè)受損損。未經(jīng)經(jīng)審核，變

14、更信信息技術(shù)術(shù)合同標標準文本本中涉及及的權(quán)利利、義務(wù)務(wù)等條款款，導致致財務(wù)風風險。財務(wù)風險險： 交交易不真真實，影影響財務(wù)務(wù)報告。5.1信信息管理理部門負負責組織織項目責責任部門門(單位位)審查查集成商商、咨詢詢商、開開發(fā)商及及供應商商的資質(zhì)質(zhì)，開展展詢比價價、商務(wù)務(wù)談判等等工作；涉及有有關(guān)計算算機服務(wù)務(wù)器、PPC機、打印機機采購事事宜，由由物資采采購部門門歸口管管理、信信息管理理部門配配合開展展采購工工作。依依照規(guī)定定權(quán)限并并按經(jīng)法法律事務(wù)務(wù)部審定定的標準準合同文文本簽訂訂合同；項目責責任部門門(單位位)負責責完成合合同技術(shù)術(shù)附件，并由負負責人簽簽字確認認。信息系統(tǒng)統(tǒng)管理部部物資裝備備部分（

15、子）公司4合同技術(shù)附件件1.100.2固定資產(chǎn)產(chǎn)無形資產(chǎn)產(chǎn)6.項目目實施1.11.2經(jīng)營風險險：詳細細設(shè)計技技術(shù)方案案不合理理，業(yè)務(wù)務(wù)流程不不規(guī)范，系統(tǒng)功功能不健健全，審審查不到到位，導導致系統(tǒng)統(tǒng)建設(shè)不不能滿足足業(yè)務(wù)需需求。6.1項項目實施施單位根根據(jù)合同同技術(shù)附附件或總總體設(shè)計計進行詳詳細設(shè)計計，詳細細設(shè)計的的形式可可根據(jù)項項目類別別的不同同（自主主開發(fā)項項目、引引進試點點項目、推廣完完善項目目、基礎(chǔ)礎(chǔ)設(shè)施項項目）采采取與項項目類別別相適應應的形式式，投資資在5000萬元元及以上上的項目目需由信信息管理理部門組組織人員員對項目目詳細設(shè)設(shè)計進行行審查，項目實實施單位位根據(jù)審審查意見見進一步步修

16、改完完善深化化詳細設(shè)設(shè)計。 信息系統(tǒng)統(tǒng)管理部部分（子）公司4項目詳細細設(shè)計1.100.21.11.2經(jīng)營風險險：基礎(chǔ)礎(chǔ)數(shù)據(jù)不不完整、不準確確、不真真實，導導致系統(tǒng)統(tǒng)無法正正常投運運或計算算出錯。6.2項項目責任任部門(單位)負責項項目實施施，業(yè)務(wù)務(wù)部門組組織數(shù)據(jù)據(jù)的收集集、整理理、錄入入、審核核，并進進行審查查和確認認，保證證數(shù)據(jù)的的真實、完整和和準確。信息系統(tǒng)統(tǒng)管理部部分（子）公司31.100.21.11.22.1經(jīng)營風險險：系統(tǒng)統(tǒng)安裝調(diào)調(diào)試不當當，用戶戶培訓缺缺失，導導致系統(tǒng)統(tǒng)運行受受損。合規(guī)風險險：安裝裝的軟件侵犯犯知識產(chǎn)產(chǎn)權(quán)，導導致訴訟訟及股份份公司聲聲譽受到到損害。6.3信信息管理理

17、部門負負責對項項目實施施單位承承擔的軟軟硬件系系統(tǒng)安裝裝調(diào)試、用戶培培訓進行行檢查，審核和和確認測測試報告告，并檢檢查相應應軟件的的合法性性，提供供經(jīng)雙方方簽字的的檢查記記錄。信息系統(tǒng)統(tǒng)管理部部分（子）公司3系統(tǒng)安裝裝調(diào)試和和用戶培培訓報告告軟件驗收收報告1.100.21.11.2經(jīng)營風險險：項目目監(jiān)管不不力，系系統(tǒng)建設(shè)設(shè)延誤，導致系系統(tǒng)不能能按期投投用。6.4信信息管理理部門負負責組織織對項目目建設(shè)的的階段驗驗收，進進行項目目建設(shè)質(zhì)質(zhì)量、進進度、標標準執(zhí)行行和成本本控制等等檢查，提出階階段驗收收報告；項目實實施單位位根據(jù)階階段驗收收報告對對系統(tǒng)進進行修改改完善。500萬萬元以下下的一般般信息

18、技技術(shù)項目目可根據(jù)據(jù)項目具具體實施施情況，只進行行竣工驗驗收。信息系統(tǒng)統(tǒng)管理部部分（子）公司3階段驗收收報告1.100.21.11.2經(jīng)營風險險：項目目監(jiān)管不不力，系系統(tǒng)建設(shè)設(shè)延誤，導致系系統(tǒng)不能能按期投投用或資金金流失。財務(wù)風險險：未按按約定付付款，影影響財務(wù)務(wù)報告。6.5項項目責任任部門(單位)負責至至少每季季度向信信息管理理部門提提交項目目實施報報告，內(nèi)內(nèi)容包括括項目進進度、質(zhì)質(zhì)量、經(jīng)經(jīng)費使用用、存在在問題和和整改措措施等；根據(jù)合合同約定定填寫付付款申請請，按規(guī)規(guī)定權(quán)限限審批后后辦理付付款。信息系統(tǒng)統(tǒng)管理部部分（子）公司經(jīng)辦審批3項目實施施報告 付款申請請1.100.2在建工程程貨幣資金

19、金應付賬款款1.11.2經(jīng)營風險險：集成成測試不不完整，造成系系統(tǒng)評估估不準確確。6.6信信息管理理部門組組織對系系統(tǒng)進行行集成測測試，形形成集成成測試評評價意見見；并根根據(jù)集成成測試評評價意見見責成項項目實施施單位進進行修改改完善。信息系統(tǒng)統(tǒng)管理部部分（子）公司3集成測試試評價意意見1.100.21.11.2經(jīng)營風險險：技術(shù)術(shù)文檔不不完整、造成系系統(tǒng)應用用維護困困難6.7項項目責任任部門(單位)責成項項目實施施單位負負責知識識轉(zhuǎn)移，并提交交項目相相關(guān)的技技術(shù)文檔檔（包括括用戶使使用手冊冊、系統(tǒng)統(tǒng)維護手手冊、系系統(tǒng)安全全和使用用授權(quán)管管理辦法法、應急急處理辦辦法及用用戶培訓訓教材等等資料）。信

20、息系統(tǒng)統(tǒng)管理部部分（子）公司5項目技術(shù)術(shù)文檔1.100.27.項目目竣工驗驗收1.11.2經(jīng)營風險險：單軌軌運行時時間過短短，無法法完成對對系統(tǒng)的的準確評評價7.1項項目完成成全部的的規(guī)定目目標任務(wù)務(wù)后，投投資20000萬萬元及以以上的項項目單軌軌連續(xù)穩(wěn)穩(wěn)定運行行6個月以以上，其其它項目目單軌連連續(xù)穩(wěn)定定運行33個月以以上，由由項目責責任部門門(單位位)以正正式行文文方式提提交項目目竣工驗驗收申請請，同時時提交項項目驗收收相關(guān)材材料一并并審核?？偛颗鷱偷捻楉椖肯蛐判畔⑾到y(tǒng)統(tǒng)管理部部提交驗驗收申請請，由信信息系統(tǒng)統(tǒng)管理部部負責組組織項目目驗收工工作。分分(子)公司自自行批復復的項目目向企業(yè)業(yè)信

21、息管管理部門門提交驗驗收申請請，由分分(子)公司信信息管理理部門負負責組織織項目驗驗收工作作。專家家組形成成驗收意意見并簽簽字。信息系統(tǒng)統(tǒng)管理部部分（子）公司4項目驗收收意見1.100.21.11.2經(jīng)營風險險：竣工工驗收決決算報告告或?qū)徲嬘媹蟾娌徊粐栏?，導致資資金外流流財務(wù)風險險：未按按約定付付款，影影響財務(wù)務(wù)報告。合規(guī)風險險：違反反國家和和企業(yè)會會計制度度，造成成項目資資金損失失。7.2信信息管理理部門會會同財務(wù)務(wù)部門按按規(guī)定進進行項目目竣工結(jié)結(jié)算。財財務(wù)部門門按竣工工驗收決決算報告告或?qū)徲嬘媹蟾孓k辦理項目目轉(zhuǎn)資手手續(xù)，按按股份公公司內(nèi)部部會計制制度及有有關(guān)規(guī)定定，經(jīng)財財務(wù)部門門負責人人審

22、核后后，進行行賬務(wù)處理理。相關(guān)關(guān)會計憑憑證須經(jīng)經(jīng)不相容容崗位人人員稽核核。在信息技技術(shù)項目目達到預預定的可可使用狀狀態(tài)時，財務(wù)部部門應依依據(jù)有關(guān)關(guān)部門提提供的手手續(xù)，按按照股份份公司內(nèi)內(nèi)部會計計制度，經(jīng)部門門負責人人審核后后，暫估估入賬。相關(guān)會會計憑證證須經(jīng)不不相容崗崗位人員員稽核。財務(wù)部信息系統(tǒng)統(tǒng)管理部部分（子）公司信息部門門財務(wù)部門門3竣工驗收收決算報報告1.100.2在建工程程固定資產(chǎn)產(chǎn)1.11.2經(jīng)營風險險：后評評價報告告缺失，無法定定性和定定量評估估項目的的經(jīng)濟效效益和社社會效益益。7.3對對固定資資產(chǎn)投資資20000萬元元及以上上的試點點項目，通過驗驗收后，信息管管理部門門組織專專

23、家組對對項目進進行后評評價，專專家組提提出后評評價報告告并簽字字。信息系統(tǒng)統(tǒng)管理部部分（子）公司2后評價報報告1.100.28.系統(tǒng)統(tǒng)應用和和維護1.11.2經(jīng)營風險險：由于于第三方方資質(zhì)問問題或信信息管理理部門缺缺乏專人人維護，系統(tǒng)維維護質(zhì)量量受損。8.1需需委托維維護的信信息系統(tǒng)統(tǒng)，信息息管理部部門負責責審查系系統(tǒng)服務(wù)務(wù)商資質(zhì)質(zhì)，并簽簽訂系統(tǒng)統(tǒng)維護服服務(wù)合同同以及安安全保密密協(xié)議；由信息息管理部部門自行行維護的的，則指指定專人人負責維維護，制制定崗位位職責。信息系統(tǒng)統(tǒng)管理部部分（子）公司4系統(tǒng)維護護服務(wù)合合同及安安全保密密協(xié)議系統(tǒng)維護護相關(guān)崗崗位職責責說明1.100.51.11.22.1經(jīng)

24、營風險險：數(shù)據(jù)據(jù)維護、用戶管管理等制制度缺失失，系統(tǒng)統(tǒng)日常維維護、用用戶培訓訓等欠缺缺，造成成工作受受損。合規(guī)風險險：軟件件使用侵侵犯知識識產(chǎn)權(quán)，導致訴訴訟及股股份公司司聲譽受受到損害害。8.2項項目責任任部門(單位)負責業(yè)業(yè)務(wù)流程程、業(yè)務(wù)務(wù)工作標標準、數(shù)數(shù)據(jù)維護護、用戶戶管理、數(shù)據(jù)使使用安全全、知識識產(chǎn)權(quán)合合法性使使用及相相關(guān)制度度的制定定和落實實等工作作。信息管理理部門負負責組織織日常軟軟硬件系系統(tǒng)維護護、合法法軟件使使用情況況檢查和和關(guān)鍵用用戶與一一般用戶戶的培訓訓、考核核等工作作。信息系統(tǒng)統(tǒng)管理部部分（子）公司6相關(guān)系統(tǒng)統(tǒng)運維制制度或規(guī)規(guī)定用戶培訓訓記錄1.100.59.系統(tǒng)統(tǒng)升級1.

25、11.2經(jīng)營風險險：系統(tǒng)統(tǒng)功能陳舊舊，導致致不能滿滿足業(yè)務(wù)務(wù)需求。9.1項項目責任任部門(單位)負責對對業(yè)務(wù)流流程與系系統(tǒng)模型型進行適適時評價價，并根根據(jù)評價價和修正正意見，提出應應用軟件件的升級級申請，責任部部門(單單位)負負責人須須簽字確確認。升升級申請請納入計計劃后組組織實施施。信息系統(tǒng)統(tǒng)管理部部分（子）公司3應用軟件件升級申申請1.11.2經(jīng)營風險險：系統(tǒng)統(tǒng)升級不不當，造造成系統(tǒng)統(tǒng)工作不不正常。9.2信信息管理理部門負負責組織織對系統(tǒng)統(tǒng)軟、硬硬件進行行適時評評價，并并根據(jù)評評價意見見提出系系統(tǒng)軟、硬件升升級申請請，信息息管理部部門負責責人須簽簽字確認認。升級級申請納納入計劃劃后組織織實

26、施。信息系統(tǒng)統(tǒng)管理部部分（子）公司3系統(tǒng)軟、硬件升升級申請請11.1信息系統(tǒng)管理業(yè)務(wù)流程一、 業(yè)務(wù)目標1經(jīng)營營目標1.1 滿足生生產(chǎn)經(jīng)營營管理業(yè)業(yè)務(wù)需求求，提高高管理水水平、技技術(shù)水平平和市場場應變能能力，提提高核心心競爭力力。1.2 達到系系統(tǒng)建設(shè)設(shè)預期目目標，系系統(tǒng)運行行安全、穩(wěn)定，出現(xiàn)系系統(tǒng)故障障時能夠夠及時恢恢復，系系統(tǒng)具有有擴展性性、集成成性。2合規(guī)規(guī)目標2.1 遵守保保護知識識產(chǎn)權(quán)的的有關(guān)法法律法規(guī)規(guī)，使用用合法軟軟件。2.2 信息技技術(shù)控制制符合國國家法律律、法規(guī)規(guī)、股份份公司內(nèi)內(nèi)部規(guī)章章制度及及上市地地證券監(jiān)監(jiān)管機構(gòu)構(gòu)有關(guān)要要求。二、 業(yè)務(wù)務(wù)風險1 經(jīng)營風風險1.1 信息化化管

27、理體體系不完完善，信信息管理理部門職職責不落落實，導導致信息息化工作作受損。1.2 信息系系統(tǒng)建設(shè)設(shè)項目不不符合股股份公司司經(jīng)營戰(zhàn)戰(zhàn)略目標標，導致致盲目建設(shè)設(shè)、投資資低效。本流程程適用于于列入股股份公司司固定資資產(chǎn)投資資和科技技開發(fā)項項目計劃劃的信息息系統(tǒng)建建設(shè)、運運行和維維護，有有關(guān)科技技開發(fā)項項目的立立項和經(jīng)經(jīng)費管理理按33.3科科技開發(fā)發(fā)費管理理業(yè)務(wù)流流程控控制。信息系系統(tǒng)業(yè)務(wù)務(wù),根據(jù)據(jù)其特點點執(zhí)行11.1信息息系統(tǒng)管管理業(yè)務(wù)務(wù)流程,但應應參見6.11資本支支出業(yè)務(wù)務(wù)流程。1.3 信息安安全規(guī)劃劃不當，風險評評估缺失失，信息息安全教教育不足足，員工工安全意意識薄弱弱，導致致信息系系統(tǒng)風險

28、險。1.4 技術(shù)方方案不合合理，業(yè)業(yè)務(wù)流程程不規(guī)范范，系統(tǒng)統(tǒng)功能不不健全，導致系系統(tǒng)不能能滿足業(yè)業(yè)務(wù)需求求。1.5 基礎(chǔ)數(shù)數(shù)據(jù)不完完整、不不準確、不真實實，導致致系統(tǒng)無無法正常常投運或或計算出出錯。1.6 項目監(jiān)監(jiān)管不力力，系統(tǒng)統(tǒng)建設(shè)延延誤，導導致系統(tǒng)統(tǒng)不能按按期投用用或資金金流失。1.7 系統(tǒng)運運行不穩(wěn)穩(wěn)定，數(shù)數(shù)據(jù)失真真、丟失失，導致致日常業(yè)業(yè)務(wù)工作作無法正正常進行行。1.8 系統(tǒng)存存在網(wǎng)絡(luò)絡(luò)故障、病毒侵侵襲等安全問題題，導致非非法入侵侵及泄密密等，或或系統(tǒng)災災難無法法及時恢恢復。1.9系系統(tǒng)運維維不落實實，功能能陳舊，導致不不能滿足足業(yè)務(wù)需求求。1.100未經(jīng)審審核，變變更信息息技術(shù)合合同

29、標準準文本中中涉及的的權(quán)利、義務(wù)等等條款，造造成損失失。2 財財務(wù)風險險2.1 交易不不真實，未按約約定付款款，影響響財務(wù)報報告。3 合規(guī)風風險3.1 侵犯知知識產(chǎn)權(quán)權(quán)，導致致訴訟及及股份公公司聲譽譽受到損損害。3.2 信息技技術(shù)控制制不符合合國家法法律、法法規(guī)、股股份公司司內(nèi)部規(guī)規(guī)章制度度及上市市地證券券監(jiān)管機機構(gòu)有關(guān)關(guān)要求,造成損損失。3.3 違反國國家和企企業(yè)會計計制度，造成項項目資金金損失。三、 業(yè)務(wù)務(wù)流程步步驟與控控制點1 IT整整體層面面管理1.1 股份公公司建立立完善的的信息化化管理體體系，設(shè)設(shè)立ERRP指導導委員會會, 設(shè)設(shè)立信息息系統(tǒng)管管理部負負責股份份公司信信息化歸歸口管理

30、理工作;各分（子）公公司設(shè)立立信息化化領(lǐng)導小小組或EERP指指導委員員會，定定期召開開會議，聽取、總結(jié)和和指導本本單位信信息化工工作，設(shè)立信信息管理理部門負負責本單單位信息息化管理理工作，對信息息系統(tǒng)和和信息資資源行使使管理職職責。1.2 根據(jù)股股份公司司發(fā)展戰(zhàn)戰(zhàn)略目標標和核心心業(yè)務(wù)，結(jié)合信信息技術(shù)術(shù)發(fā)展和和股份公公司實際際，信息息系統(tǒng)管管理部負負責組織織編制股股份公司司信息化化建設(shè)中中長期規(guī)規(guī)劃，在在充分征征求職能能部門、事業(yè)部部和分（子）公公司意見見后，組組織專家家組評審審，并根根據(jù)專家家意見負負責組織織修改，經(jīng)信息息系統(tǒng)管管理部主主任審核核，按規(guī)規(guī)定權(quán)限限審批后后，納入入股份公公司中長長

31、期發(fā)展展規(guī)劃。1.3 教育和和培訓1.3.1 各級信信息管理理部門負負責編制制年度信信息化培培訓計劃劃，經(jīng)部部門負責責人審批批后，納納入人事事部門年年度培訓訓計劃,并組織織落實。1.3.2 各級信信息管理理部門配配合人事事部門開開展全員員信息安安全教育育和培訓訓，并在在信息門門戶或內(nèi)內(nèi)部網(wǎng)站站發(fā)布安安全教育育培訓材材料。1.4 風險評評估1.4.1根據(jù)據(jù)中國國石油化化工股份份有限公公司信息息系統(tǒng)風風險評估估管理辦辦法，信息系系統(tǒng)管理理部負責責每年對對信息系系統(tǒng)進行行年度綜綜合風險險評估，形成風風險評估估報告，并組織織專家組組對風險險評估報報告進行行評審，專家組組對風險險評估報報告提出出評審意意

32、見并簽簽字；分分（子）公司信信息管理理部門會會同相關(guān)關(guān)業(yè)務(wù)部部門，通通過多種種形式，組織本本單位信信息系統(tǒng)統(tǒng)的風險險評估，包括企企業(yè)信息息系統(tǒng)整整體風險險、重點點系統(tǒng)風風險、主主要基礎(chǔ)礎(chǔ)設(shè)施風風險等，形成相相關(guān)風險險評估報報告，并將風風險評估估報告經(jīng)經(jīng)信息管管理部門門負責人人審核簽簽字后報報信息系系統(tǒng)管理理部備案案。1.5 信息安安全管理理1.5.1信息息系統(tǒng)管管理部負負責編制制信息安安全規(guī)劃劃，在征征求職能能部門、事業(yè)部部和分（子）公公司意見見后，組組織專家家組評審審，并根根據(jù)專家家意見負負責組織織修改，經(jīng)信息息系統(tǒng)管管理部主主任審核核后，正正式發(fā)布布。各分（子子）公司司信息管管理部門門根據(jù)

33、股股份公司司信息安安全規(guī)劃劃，結(jié)合合自身生生產(chǎn)經(jīng)營營管理的的需要，并針對對風險評評估報告告中提出出的問題題，負責責制訂本本企業(yè)的的信息安安全方案案，經(jīng)分分管經(jīng)理理審批后后報信息息系統(tǒng)管管理部備備案。 1.5.2依照照中國國石油化化工股份份有限公公司信息息系統(tǒng)安安全管理理辦法規(guī)定，各級信信息管理理部門負負責提出出本單位位的“信息系系統(tǒng)關(guān)鍵鍵崗位名名錄”，其中中涉及信信息系統(tǒng)統(tǒng)安全的的關(guān)鍵崗崗位由信信息管理理部門確確定，涉涉及業(yè)務(wù)務(wù)信息安安全的關(guān)關(guān)鍵崗位位由主管管業(yè)務(wù)部部門商本本單位保保密委員員會確定定?！靶畔⑾迪到y(tǒng)關(guān)鍵鍵崗位名名錄”上的關(guān)關(guān)鍵崗位位人員要要與所在在單位簽簽署“信息系系統(tǒng)關(guān)鍵鍵崗位

34、安安全責任任書”，并在在人事部部門備案案。1.5.3 各級信信息管理理部門根根據(jù)中中國石油油化工股股份有限限公司信信息系統(tǒng)統(tǒng)安全管管理辦法法中的的有關(guān)要要求，按按照不相相容崗位位分離的的原則，設(shè)立安安全管理理員。安安全管理理員必須須具有相相應資質(zhì)質(zhì)，并經(jīng)經(jīng)部門負負責人審審批授權(quán)權(quán)。2 編制年年度項目目建議計計劃2.1 信息系系統(tǒng)管理理部根據(jù)據(jù)股份公公司信息息化建設(shè)設(shè)中長期期規(guī)劃和和職能部部門、事事業(yè)部、分（子子）公司司申報的的項目建建議計劃劃，結(jié)合合年度實實際，編編制年度度信息化化項目建建議計劃劃，由信信息系統(tǒng)統(tǒng)管理部部主任審審核，按按規(guī)定權(quán)權(quán)限審批批后，分分別納入入股份公公司年度度投資計計劃

35、、科科技開發(fā)發(fā)項目計計劃管理理。各分分（子）公司信信息管理理部門負負責編制制年度信信息化項項目建議議計劃預預案，按按規(guī)定權(quán)權(quán)限審批批后，分分別納入入本單位位年度投投資建議議計劃、科技開開發(fā)項目目建議計計劃，上上報信息息系統(tǒng)管管理部和和總部相相關(guān)部門門審核。3 項目可可行性研研究和評評審3.1 信息管管理部門門會同項項目責任任部門(單位)委托有有資格的的單位承承擔項目目可行性性研究，并組織織專家組組對項目目可行性性研究報報告進行行評審，專家組組對項目目需求、目標、技術(shù)路路線、風風險分析析、投資資與效益益、進度度、組織織落實等等提出可可行性研研究評審審意見并并簽字。4 項目立立項審批批4.1 通過

36、可可研評審審的固定定資產(chǎn)投投資限額額（2000萬元元）及以以上的信信息技術(shù)術(shù)項目，由信息息系統(tǒng)管管理部報報發(fā)展計計劃部立立項，批批準立項項的項目目，由發(fā)發(fā)展計劃劃部列入入年度投投資計劃劃；申請請總部立立項的固固定資產(chǎn)產(chǎn)投資限限額（2200萬萬元）以以下的信信息技術(shù)術(shù)項目，由信息息系統(tǒng)管管理部負負責審批批，報發(fā)發(fā)展計劃劃部備案案；由各各事業(yè)部部審批的的投資限限額以下下的信息息技術(shù)項項目投資資計劃，須經(jīng)信信息系統(tǒng)統(tǒng)管理部部和發(fā)展展計劃部部會簽。 各分（子）公公司一般般措施及及零星購購置的信信息技術(shù)術(shù)項目在在總部每每年核定定的限額額以內(nèi)，由各分分（子）公司根根據(jù)當期期生產(chǎn)經(jīng)經(jīng)營管理理的需要要，按規(guī)規(guī)

37、定權(quán)限限審批后后報各主主管事業(yè)業(yè)部、信信息系統(tǒng)統(tǒng)管理部部和發(fā)展展計劃部部審核備備案，并并納入股股份公司司年度投投資計劃劃管理。 通過可可研評審審的科技技開發(fā)項項目，由由信息系系統(tǒng)管理理部報科科技開發(fā)發(fā)部立項項，批準準立項的的項目，由科技技開發(fā)部部列入年年度項目目計劃。4.2 對批準準立項的的、投資資在5000萬元元及以上上的項目目，信息息系統(tǒng)管管理部委委托有資資格的單單位按要要求對項項目進行行總體（基礎(chǔ)）設(shè)計，其中投投資在220000萬元及及以上的的項目需需組織專專家組對對項目總總體（基基礎(chǔ)）設(shè)設(shè)計進行行評審，專家組組對項目目需求分分析、目目標、功功能設(shè)計計、投資資概算等等提出評評審意見見并簽

38、字字，由信信息系統(tǒng)統(tǒng)管理部部負責審審批總體體（基礎(chǔ)礎(chǔ)）設(shè)計計，報發(fā)發(fā)展計劃劃部備案案。5 合同簽簽訂51 信信息管理理部門負負責組織織項目責責任部門門(單位位)審查查集成商商、咨詢詢商、開開發(fā)商及及供應商商的資質(zhì)質(zhì)，開展展詢比價價、商務(wù)務(wù)談判等等工作；涉及有有關(guān)計算算機服務(wù)務(wù)器、PPC機、打印機機采購事事宜，由由物資采采購部門門歸口管管理、信信息管理理部門配配合開展展采購工工作。依依照規(guī)定定權(quán)限并并按經(jīng)法法律事務(wù)務(wù)部審定定的標準準合同文文本簽訂訂合同；項目責責任部門門(單位位)負責責完成合合同技術(shù)術(shù)附件，并由負負責人簽簽字確認認。6 項項目實施施6.1 項目實實施單位位根據(jù)合合同技術(shù)術(shù)附件或或

39、總體設(shè)設(shè)計進行行詳細設(shè)設(shè)計，詳詳細設(shè)計計的形式式可根據(jù)據(jù)項目類類別的不不同（自自主開發(fā)發(fā)項目、引進試試點項目目、推廣廣完善項項目、基基礎(chǔ)設(shè)施施項目）采取與與項目類類別相適適應的形形式，投投資在5500萬萬元及以以上的項項目需由由信息管管理部門門組織人人員對項項目詳細細設(shè)計進進行審查查，項目目實施單單位根據(jù)據(jù)審查意意見進一一步修改改完善深深化詳細細設(shè)計。 6.2 項目責責任部門門(單位位)負責責項目實實施，業(yè)業(yè)務(wù)部門門組織數(shù)數(shù)據(jù)的收收集、整整理、錄錄入、審審核，并并進行審審查和確確認，保保證數(shù)據(jù)據(jù)的真實實、完整整和準確確。6.3 信息管管理部門門負責對對項目實實施單位位承擔的的軟硬件件系統(tǒng)安安裝

40、調(diào)試試、用戶戶培訓進進行檢查查，審核核和確認認測試報報告，并并檢查相相應軟件件的合法法性，提提供經(jīng)雙雙方簽字字的檢查查記錄。6.4 信息管管理部門門負責組組織對項項目建設(shè)設(shè)的階段段驗收，進行項項目建設(shè)設(shè)質(zhì)量、進度、標準執(zhí)執(zhí)行和成成本控制制等檢查查，提出出階段驗驗收報告告；項目目實施單單位根據(jù)據(jù)階段驗驗收報告告對系統(tǒng)統(tǒng)進行修修改完善善。500萬萬元以下下的一般般信息技技術(shù)項目目可根據(jù)據(jù)項目具具體實施施情況，只進行行竣工驗驗收。6.5 項目責責任部門門(單位位)負責責至少每每季度向向信息管管理部門門提交項項目實施施報告，內(nèi)容包包括項目目進度、質(zhì)量、經(jīng)費使使用、存存在問題題和整改改措施等等；根據(jù)據(jù)合

41、同約約定填寫寫付款申申請，按按規(guī)定權(quán)權(quán)限審批批后辦理理付款。6.6 信息管管理部門門組織對對系統(tǒng)進進行集成成測試，形成集集成測試試評價意意見；并并根據(jù)集集成測試試評價意意見責成成項目實實施單位位進行修修改完善善。6.7 項目責責任部門門(單位位)責成成項目實實施單位位負責知知識轉(zhuǎn)移移，并提提交項目目相關(guān)的的技術(shù)文文檔（包包括用戶戶使用手手冊、系系統(tǒng)維護護手冊、系統(tǒng)安安全和使使用授權(quán)權(quán)管理辦辦法、應應急處理理辦法及及用戶培培訓教材材等資料料）。7 項目竣竣工驗收收7.1 項目完完成全部部的規(guī)定定目標任任務(wù)后，投資220000萬元及及以上的的項目單單軌連續(xù)續(xù)穩(wěn)定運運行6個月以以上，其其它項目目單軌

42、連連續(xù)穩(wěn)定定運行33個月以以上，由由項目責責任部門門(單位位)以正正式行文文方式提提交項目目竣工驗驗收申請請，同時時提交項項目驗收收相關(guān)材材料一并并審核。總部批批復的項項目向信信息系統(tǒng)統(tǒng)管理部部提交驗驗收申請請，由信信息系統(tǒng)統(tǒng)管理部部負責組組織項目目驗收工工作。分分(子)公司自自行批復復的項目目向企業(yè)業(yè)信息管管理部門門提交驗驗收申請請，由分分(子)公司信信息管理理部門負負責組織織項目驗驗收工作作。專家家組形成成驗收意意見并簽簽字。7.2 信息管管理部門門會同財財務(wù)部門門按規(guī)定定進行項項目竣工工結(jié)算。財務(wù)部部門按竣竣工驗收收決算報報告或?qū)弻徲媹蟾娓孓k理項項目轉(zhuǎn)資資手續(xù)，按股份份公司內(nèi)內(nèi)部會計計制

43、度及及有關(guān)規(guī)規(guī)定，經(jīng)經(jīng)財務(wù)部部門負責責人審核核后，進進行賬務(wù)處理理。相關(guān)關(guān)會計憑憑證須經(jīng)經(jīng)不相容容崗位人人員稽核核。在信息技技術(shù)項目目達到預預定的可可使用狀狀態(tài)時，財務(wù)部部門應依依據(jù)有關(guān)關(guān)部門提提供的手手續(xù)，按按照股份份公司內(nèi)內(nèi)部會計計制度，經(jīng)部門門負責人人審核后后，暫估估入賬。相關(guān)會會計憑證證須經(jīng)不不相容崗崗位人員員稽核。7.3 對固定定資產(chǎn)投投資20000萬萬元及以以上的試試點項目目，通過過驗收后后，信息息管理部部門組織織專家組組對項目目進行后后評價，專家組組提出后后評價報報告并簽簽字。8 系統(tǒng)應應用和維維護8.1 需委托托維護的的信息系系統(tǒng)，信信息管理理部門負負責審查查系統(tǒng)服服務(wù)商資資質(zhì)

44、，并并簽訂系系統(tǒng)維護護服務(wù)合合同以及及安全保保密協(xié)議議；由信信息管理理部門自自行維護護的，則則指定專專人負責責維護，制定崗崗位職責責。8.2 項目責責任部門門(單位位)負責責業(yè)務(wù)流流程、業(yè)業(yè)務(wù)工作作標準、數(shù)據(jù)維維護、用用戶管理理、數(shù)據(jù)據(jù)使用安安全、知知識產(chǎn)權(quán)權(quán)合法性性使用及及相關(guān)制制度的制制定和落落實等工工作。 信信息管理理部門負負責組織織日常軟軟硬件系系統(tǒng)維護護、合法法軟件使使用情況況檢查和和關(guān)鍵用用戶與一一般用戶戶的培訓、考核等等工作。9 系統(tǒng)升升級9.1 項目責責任部門門(單位位)負責責對業(yè)務(wù)務(wù)流程與與系統(tǒng)模模型進行行適時評評價，并并根據(jù)評評價和修修正意見見，提出出應用軟軟件的升升級申請

45、請，責任任部門(單位)負責人人須簽字字確認。升級申申請納入入計劃后后組織實實施。9.2 信息管管理部門門負責組組織對系系統(tǒng)軟、硬件進進行適時時評價，并根據(jù)據(jù)評價意意見提出出系統(tǒng)軟軟、硬件件升級申申請，信信息管理理部門負負責人須須簽字確確認。升升級申請請納入計計劃后組組織實施施。四、 相關(guān)關(guān)制度目目錄（制制度后標標號為內(nèi)控手手冊配套套規(guī)章 制度匯匯編目目錄索引引號）1 中國石石油化工工股份公公司信息息化管理理辦法（石化股股份信200073899號） 11.100.52 中國石石油化工工股份有有限公司司信息技技術(shù)項目目管理辦辦法（試試行）（石化股股份信200042266號號）11.100.23 中

46、國石石油化工工股份有有限公司司信息系系統(tǒng)風險險評估管管理辦法法（石化化股份信信綜220066377號） 2.110.334 中國石石油化工工股份有有限公司司公司信信息系統(tǒng)統(tǒng)安全管管理辦法法（石化化股份信信系220066第335號 2.110.2211.22信息資資源管理理業(yè)務(wù)內(nèi)內(nèi)部控制制矩陣業(yè)務(wù)目標標業(yè)務(wù)風險險控制點適用單位位不相容崗位控制點分分值控制點相相關(guān)資料料相關(guān)制度度索引會計報表表認定會計報表表項目1存在和和發(fā)生/真實性性；2完完整性；3權(quán)利利與義務(wù)務(wù)；4估估價或分分攤；55表達和和披露；6準確確性1234561.各部部門梳理理信息和和需求1.1經(jīng)營風險險：信息息梳理不不恰當，信息目目

47、錄不明明晰，導導致信息息管理有有誤，效效率低下下。1.1股股份公司司各職能能部門、事業(yè)部部、分（子）公公司各部部門（以以下統(tǒng)稱稱各部門門）首先先梳理本本部門管管理的內(nèi)內(nèi)部信息息，即本本部門形形成的和和直接管管理的內(nèi)內(nèi)部信息息，制定定部門內(nèi)內(nèi)部信息息目錄，并由部部門負責責人簽字字確認?？偛扛鞑坎块T分（子）公司8部門內(nèi)部部信息目目錄1.100.11.1經(jīng)營風險險：信息息需求不不明確，需求目目錄不明明晰，導導致信息息提供有有誤，效效率低下下。1.2各各部門依依據(jù)業(yè)務(wù)務(wù)職責梳梳理各種種外部信信息需求求，包括括需要其其他部門門提供的的信息和和需外購購的信息息，形成成相應的的部門信信息需求求目錄，并明確確

48、信息內(nèi)內(nèi)容、信信息提供供頻率和和信息提提供方式式等。部部門信息息需求目目錄由部部門負責責人簽字字確認?？偛扛鞑坎块T分（子）公司7部門信息息需求目目錄1.100.12.匯總總各部門門需部門門外提供供的信息息需求1.1經(jīng)營風險險：共享享信息需需求目錄錄和外購購信息需需求目錄錄未經(jīng)各各部門核核對確認認，未經(jīng)相相關(guān)領(lǐng)導導審核批批準，導導致信息息共享落落空。2.1信信息管理理部門組組織匯總總各部門門需要其其他部門門提供的的信息和和需外購購的信息息，編制制部門間間共享信信息需求求目錄和和外購信信息需求求目錄，分別反反饋各部部門核對對確認?？偛坎坎块T間共共享信息息需求目目錄由股股份公司司副總裁裁審核批批準；

49、分分（子）公司部部門間共共享信息息需求目目錄由分分（子）公司分分管副經(jīng)經(jīng)理審核核批準。信息系統(tǒng)統(tǒng)管理部部分（子）公司5部門間共共享信息息需求目目錄外購信息息需求目目錄1.100.13.落實實部門間間共享信信息源和和外購信信息源1.11.2經(jīng)營風險險：部門門間共享享信息源源不落實實，導致致信息提提供落空空。3.1信信息管理理部門協(xié)協(xié)助信息息需求部部門落實實部門間間共享信信息源，信息提提供部門門負責按按審核后后的部門門間共享享信息需需求目錄錄提供共共享信息息。信息系統(tǒng)統(tǒng)管理部部分（子）公司71.100.11.11.2經(jīng)營風險險：外購購信息源源不落實實，導致致信息提提供落空空。未經(jīng)審核核，變更更信息

50、購購入、轉(zhuǎn)轉(zhuǎn)讓合同同示范文文本中有有關(guān)權(quán)利利、義務(wù)務(wù)的條款款，導致致?lián)p失。3.2外外購信息息的訂購購、采集集由信息息管理部部門統(tǒng)一一歸口管管理。外外購信息息源由信信息管理理部門和和相關(guān)部部門綜合合考慮信信息的權(quán)權(quán)威性、時效性性和提供供方式，按外購購信息需需求目錄錄逐一確確定?？偛扛鞑坎块T分（子）公司81.100.14.信息息分級1.22.1經(jīng)營風險險：信息息分級不不當，導導致信息息送達不不當，貽貽誤工作作。違反股份份公司保保密等規(guī)規(guī)定，導導致商業(yè)業(yè)秘密信信息流失失。合規(guī)風險險：信息息的收集集、提供供、使用用、轉(zhuǎn)讓讓違反國國家法律律法規(guī)及及導致處處罰；違違反股份份公司內(nèi)內(nèi)部規(guī)章章制度等等，導致致

51、商業(yè)秘秘密流失失。4.1各各部門依依據(jù)中中國石化化信息分分級及信信息門戶戶授權(quán)規(guī)規(guī)則及及其它相相關(guān)保密密規(guī)定，對本部部門管理理的內(nèi)部部信息實實施分級級，確定定一般信信息、商商業(yè)秘密密信息等等，形成成本部門門信息密密級目錄錄列表，由部門門負責人人簽字確確認。信信息管理理部門匯匯總各部部門信息息密級目目錄列表表，作為為信息資資源管理理和信息息訪問控控制的基基礎(chǔ)。總部各部部門分（子）公司12部門信息息密級目目錄列表表1.100.45.信息息集中和和信息整整合1.11.21.3經(jīng)營風險險：信息息平臺功功能欠缺缺，信息息集成度度不夠，信息處處理不當當，導致致信息質(zhì)質(zhì)量下降降。5.1信信息管理理部門負負責

52、建立立內(nèi)部公公共信息息平臺，實施信信息集中中和信息息整合，采用統(tǒng)統(tǒng)一標準準接入、存儲、處理和和發(fā)布各各類信息息。信息系統(tǒng)統(tǒng)管理部部分（子）公司101.100.16.信息息授權(quán)1.11.2經(jīng)營風險險：部門門信息授授權(quán)不當當，導致致信息泄泄密或貽貽誤工作作。6.1信信息管理理部門依依據(jù)股份份公司有有關(guān)信息息資源管管理的規(guī)規(guī)定，按按照各部部門管理理職責及及部門間間共享信信息需求求目錄，通過信信息平臺臺對各部部門實施施信息授授權(quán)。信息系統(tǒng)統(tǒng)管理部部分（子）公司信息管理理部門相關(guān)部門門51.100.41.11.22.1經(jīng)營風險險：員工工信息授授權(quán)不當當，導致致信息泄泄密或貽貽誤工作作。違反股份份公司保保

53、密等規(guī)規(guī)定，導導致商業(yè)業(yè)秘密信信息流失失。合規(guī)風險險：信息息的收集集、提供供、使用用、轉(zhuǎn)讓讓違反國國家法律律法規(guī)及及導致處處罰；違違反股份份公司內(nèi)內(nèi)部規(guī)章章制度等等，導致致商業(yè)秘秘密流失失。6.2各各部門依依據(jù)中中國石化化信息分分級及信信息門戶戶授權(quán)規(guī)規(guī)則，結(jié)合本本部門信信息密級級目錄列列表，按按照員工工的工作作職責，形成本本部門員員工信息息授權(quán)列列表，并并由部門門負責人人審查簽簽字，通通過信息息平臺對對員工分分別進行行信息授授權(quán)，保保證信息息準確送送達。員員工工作作崗位發(fā)發(fā)生變動動，應及及時變更更信息授授權(quán)列表表，通過過信息平平臺及時時變更信信息授權(quán)權(quán)?？偛扛鞑坎块T分（子）公司信息管理理部門

54、相關(guān)部門門10部門員工工信息授授權(quán)列表表1.100.47.信息息使用和和共享1.11.3經(jīng)營風險險：內(nèi)部部信息更更新不及及時，信信息傳輸輸延誤，影響決決策和管管理。7.1信信息提供供部門負負責源信信息的維維護，保保證信息息的時效效性，按按日、按按周、按按月等適適時更新新?？偛扛鞑坎块T分（子）公司61.100.11.11.3經(jīng)營風險險：外部部信息更更新不及及時，信信息傳輸輸延誤，影響決決策和管管理。7.2信信息管理理部門及及有關(guān)部部門做好好外購信信息的及及時采集集和處理理，保證證信息的的時效性性，按日日、按周周、按月月等適時時更新。總部各部部門分（子）公司51.100.11.3經(jīng)營風險險：信息息

55、平臺維維護不夠夠，導致致信息處處理、信信息使用用質(zhì)量下下降。7.3信信息管理理部門加加強公共共信息平平臺的維維護，保保證信息息處理可可靠及時時，信息息使用靈靈活方便便，并提提交季度度信息平平臺使用用和運維維報告。信息系統(tǒng)統(tǒng)管理部部分（子）公司6信息平臺臺使用和和運維季季度報告告1.100.18.信息息質(zhì)量反反饋1.11.3經(jīng)營風險險：信息息使用問問題未及及時反饋饋提交，導致信信息共享享信息質(zhì)質(zhì)量欠佳佳。8.1信信息使用用部門針針對信息息的準確確性、時時效性、完整性性和一致致性提出出意見，由信息息管理部部門及時時匯總后后分別送送達相關(guān)關(guān)信息提提供部門門，協(xié)助助和督促促信息提提供部門門不斷提提高共

56、享享信息的的質(zhì)量。總部各部部門分（子）公司6信息質(zhì)質(zhì)量反饋饋意見表表1.100.11.11.21.3經(jīng)營風險險：信息息平臺未未及時提提升，導導致性能能、功能能、服務(wù)務(wù)不能滿滿足工作作需求。8.2信信息管理理部門隨隨時收集集各部門門有關(guān)公公共信息息平臺性性能、功功能、服服務(wù)等方方面的意意見，制制定提升升方案，落實提提升措施施，跟蹤蹤提升效效果，并并提交年年度信息息平臺提提升報告告。信息系統(tǒng)統(tǒng)管理部部分（子）公司5信息平臺臺提升年年度報告告1.100.111.22信息資資源管理理業(yè)務(wù)流流程一、業(yè)業(yè)務(wù)目標標1經(jīng)營營目標1.1 提供真真實、準準確、完完整的信信息。1.2 提供信信息給恰恰當?shù)氖故褂谜摺?/p>

57、1.3 提供信信息及時時，使用用方便。2 合規(guī)目目標2.1 信息的的收集、提供、使用和和轉(zhuǎn)讓符符合國家家安全、知識產(chǎn)產(chǎn)權(quán)保護護、合同同法等法法律、法法規(guī)及股股份公司司內(nèi)部規(guī)規(guī)章制度度的要求求。二、 業(yè)務(wù)務(wù)風險1經(jīng)營營風險1.1 信息需需求不明明確，信信息分類類不當，導致信信息提供供有誤，效率低低下。1.2 信息源源不落實實，導致致信息提提供落空空。1.3 信息分分級不當當，導致致信息送送達不當當，貽誤工工作。1.4 信息授授權(quán)不當當，導致致信息泄泄密或貽貽誤工作作。1.5 信息集集成度不不夠，信信息處理理不當，導致信信息質(zhì)量量下降。本流程程適用于于股份公公司內(nèi)部部生產(chǎn)經(jīng)經(jīng)營管理理類電子子信息。

58、1.6 信息更更新不及及時，信息傳傳輸延誤誤，影響響決策和和管理。1.7 違反股股份公司司保密等等規(guī)定，導致商商業(yè)秘密密信息流流失。1.8 未經(jīng)審審核，變變更信息息購入、轉(zhuǎn)讓合合同示范范文本中中有關(guān)權(quán)權(quán)利、義義務(wù)的條條款，導導致?lián)p失失。2合規(guī)規(guī)風險2.1 信息的的收集、提供、使用、轉(zhuǎn)讓違違反國家家法律法法規(guī)及導致處處罰；違違反股份份公司內(nèi)內(nèi)部規(guī)章章制度等等，導致商商業(yè)秘密密流失。三、 業(yè)務(wù)務(wù)流程步步驟與控控制點1 各部門門梳理信息息和需求求1.1 股份公公司各職職能部門門、事業(yè)業(yè)部、分分（子）公司各各部門（以下統(tǒng)統(tǒng)稱各部部門）首首先梳理理本部門門管理的的內(nèi)部信息息，即本部部門形成成的和直直接管

59、理理的內(nèi)部部信息，制定部部門內(nèi)部部信息目目錄，并并由部門門負責人人簽字確確認。1.2 各部門門依據(jù)業(yè)業(yè)務(wù)職責責梳理各各種外部部信息需需求，包包括需要要其他部部門提供供的信息息和需外外購的信信息，形形成相應應的部門門信息需需求目錄錄，并明明確信息息內(nèi)容、信息提提供頻率率和信息息提供方方式等。部門信信息需求求目錄由由部門負負責人簽簽字確認認。2 匯總各各部門需需部門外外提供的的信息需需求2.1 信息管管理部門門組織匯匯總各部部門需要要其他部部門提供供的信息息和需外外購的信信息，編編制部門門間共享享信息需需求目錄錄和外購購信息需需求目錄錄，分別別反饋各各部門核核對確認認?？偛坎坎块T間間共享信信息需求

60、求目錄由由股份公公司副總總裁審核核批準；分（子子）公司司部門間間共享信信息需求求目錄由由分（子子）公司司分管副副經(jīng)理審審核批準準。3 落實部部門間共共享信息息源和外外購信息息源3.1 信息管管理部門門協(xié)助信信息需求求部門落落實部門門間共享享信息源源，信息息提供部部門負責責按審核核后的部部門間共共享信息息需求目目錄提供供共享信信息。3.2 外購信信息的訂訂購、采采集由信信息管理理部門統(tǒng)統(tǒng)一歸口口管理。外購信信息源由由信息管管理部門門和相關(guān)關(guān)部門綜綜合考慮慮信息的的權(quán)威性性、時效效性和提提供方式式，按外外購信息息需求目目錄逐一一確定。4信息息分級4.1 各部門門依據(jù)中國石石化信息息分級及及信息門門