2023年中糧生化信息系統(tǒng)管理制度

中糧生物化學（安徽）股份有限公司第二十一篇信息系統(tǒng)管理（ZＬSH／2１－1．0)目錄第一部分信息系統(tǒng)管理制度 1第一章概述 1第二章信息系統(tǒng)開發(fā)管理 3第三章信息系統(tǒng)運行與維護 4第四章附則 6第二部分信息系統(tǒng)建設流程 7第一章信息系統(tǒng)開發(fā) 7第二章信息系統(tǒng)運行與維護 20第一節(jié)IT資產管理 20第二節(jié)應用系統(tǒng)管理 25第三節(jié)應急響應管理 36第三部分信息系統(tǒng)管理細則 63（一）物聯(lián)網人員管理細則 63（二）糧食收購系統(tǒng)管理規(guī)定 68（三）安徽生化帳號安全管理規(guī)定 73（四）計算機用戶行為守則 76（五）計算機安全檢查標準 83（六）第三方與外包安全管理規(guī)定 85（七）ERP-NC系統(tǒng)管理規(guī)定 90第四部分信息系統(tǒng)管理業(yè)務表單 93第一部分信息系統(tǒng)管理制度第一章概述為了引導公司充足運用信息系統(tǒng)規(guī)范交易行為,提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據的完整性和準確性，減少人為因素導致內部控制失效的也許性,形成良好的信息傳遞渠道,根據國家有關法律法規(guī)和《公司內部控制基本規(guī)范》、《公司內部控制應用指引》、《公司內部控制評價指引》，制定本制度。本制度所稱計算機信息系統(tǒng)是指運用計算機技術對業(yè)務和信息進行集成解決的程序、數(shù)據和文檔等的總稱。公司運用信息系統(tǒng)實行至少應當關注下列風險：（一）信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)，也許遭受外部處罰、經濟損失和信譽損失。（二）信息系統(tǒng)開發(fā)與使用未經適當審核或超越授權審批，也許因重大差錯、舞弊、欺詐而導致?lián)p失。（三)信息系統(tǒng)設計功能不科學、維護與變更程序不規(guī)范,也許導致公司經營管理效率與效果低下。(四)信息系統(tǒng)外包服務未恰當履行或監(jiān)控不妥,也許導致公司權益受損或違約損失。(五）信息系統(tǒng)訪問安全措施不妥,也許導致商業(yè)秘密泄露。(六)信息系統(tǒng)硬件管理不妥,也許導致資產或股東權益受損。公司在建立與實行信息系統(tǒng)內部控制中，必須至少強化對下列關鍵方面或者關鍵環(huán)節(jié)的控制：（一)職責分工、權限范圍和審批程序必須明確規(guī)范,機構設立和人員配備必須科學合理，重大信息系統(tǒng)開發(fā)與使用事項必須履行審批程序。(二）公司負責人對信息系統(tǒng)建設工作負責，信息系統(tǒng)開發(fā)、變更和維護流程必須清楚合理。（三）公司必須加強信息系統(tǒng)外包開發(fā)全過程的監(jiān)督管理，督促開發(fā)單位按照規(guī)定完畢工作，組織專業(yè)機構進行檢查驗收,組織系統(tǒng)上線運營。(四）必須建立訪問安全制度,對操作權限、信息使用、信息管理進行明確規(guī)定。（五）硬件管理事項和審批程序必須科學合理。（六）信息系統(tǒng)管理業(yè)務中，執(zhí)行、審批、監(jiān)督、記錄的職責必須做到互相分離。公司信息管理部門職責：（二）負責信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)結果的驗收及系統(tǒng)使用情況反饋；（三)負責系統(tǒng)項目外委供應商的選擇、系統(tǒng)項目進度的跟蹤控制及驗收;(四）負責組織系統(tǒng)用戶培訓;（五)負責建立健全各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護和系統(tǒng)變更實行;(六)負責權限開設、變更或注銷申請審核、系統(tǒng)數(shù)據的備份以及監(jiān)督系統(tǒng)用戶的操作行為。第二章信息系統(tǒng)開發(fā)管理公司應根據信息系統(tǒng)建設整體規(guī)劃提出項目建設方案,明確建設目的、人員配備、職責分工、經費保障和進度安排等相關內容,按照規(guī)定的權限和程序審批后實行。公司下屬子公司的信息化建設由公司信息管理部門統(tǒng)一規(guī)劃和審批。公司信息管理部門應組織內部提出開發(fā)需求和關鍵控制點,規(guī)范開發(fā)流程，明確系統(tǒng)設計、編程、安裝調試、驗收、上線等全過程的管理規(guī)定,嚴格按照建設方案、開發(fā)流程和相關規(guī)定組織開發(fā)工作。公司開發(fā)信息系統(tǒng),可以采用自行開發(fā)、外購調試、業(yè)務外包等方式。公司在開發(fā)信息系統(tǒng)需選擇外包服務商時，要充足考慮服務商的市場信譽、資質條件、財務狀況、服務能力、對本公司業(yè)務的熟悉限度、既往承包服務成功案例等因素,對外包服務商進行嚴格篩選。選定外購調試或業(yè)務外包方式的,根據公司招標管理制度的規(guī)定選擇采購方式，履行業(yè)務審批手續(xù)。公司信息管理部門應組織公司內部各有關部門提出開發(fā)需求，加強系統(tǒng)分析人員和有關部門的管理人員、業(yè)務人員的交流,經綜合分析提煉后形成合理的需求。信息管理部門應就總體設計方案與業(yè)務部門進行溝通和討論，說明方案對用戶需求的覆蓋情況；存在備選方案的,必須具體說明各方案在成本、建設時間和用戶需求響應上的差異；信息系統(tǒng)管理部門和業(yè)務部門應對選定的設計方案予以書面確認。公司開發(fā)信息系統(tǒng),應將生產經營管理業(yè)務流程、關鍵控制點和解決規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。公司在系統(tǒng)開發(fā)過程中,應按照不同業(yè)務的控制規(guī)定,通過信息系統(tǒng)中的權限管理功能控制用戶的操作權限,避免將不相容職責的解決權限授予同一用戶。信息管理部門應根據業(yè)務性質、重要限度、涉密情況等擬定信息系統(tǒng)的安全等級,建立不同等級信息的授權使用制度，采用相應技術手段保證信息系統(tǒng)運營安全有序。對于信息系統(tǒng)的使用者和不同安全等級信息之間的授權關系,必須在系統(tǒng)開發(fā)建設階段就形成方案并加以設計，在軟件系統(tǒng)中預留這種相應關系的設立功能，以便根據使用者崗位職務的變遷進行調整。公司應針對不同數(shù)據的輸入方式，考慮對進入系統(tǒng)數(shù)據的檢查和校驗功能。對于必需的后臺操作，應加強管理，建立規(guī)范的流程制度，對操作情況進行監(jiān)控或者審計。公司應在信息系統(tǒng)中設立操作日記功能，保證操作的可審計性。對異常的或者違反內部控制規(guī)定的交易和數(shù)據,必須設計由系統(tǒng)自動報告并設立跟蹤解決機制。信息管理部門應加強信息系統(tǒng)開發(fā)全過程的跟蹤管理,組織開發(fā)單位與內部的平常溝通和協(xié)調,督促開發(fā)單位按照建設方案、計劃進度和質量規(guī)定完畢編程工作，對配備的硬件設備和系統(tǒng)軟件進行檢查驗收,組織系統(tǒng)上線運營等。公司應組織獨立于開發(fā)單位的專業(yè)機構對開發(fā)完畢的信息系統(tǒng)進行驗收測試,保證在功能、性能、控制規(guī)定和安全性等方面符合開發(fā)需求。驗收測試合格之后方可上線。公司應做好信息系統(tǒng)上線的各項準備工作，培訓業(yè)務操作和系統(tǒng)管理人員,制定科學的上線計劃和新舊系統(tǒng)轉換方案,考慮應急預案，保證新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據遷移的，還必須制定具體的數(shù)據遷移計劃。第三章信息系統(tǒng)運營與維護信息管理部門應加強信息系統(tǒng)運營與維護的管理，制定信息系統(tǒng)工作程序、制度及具體操作規(guī)范,及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運營中存在的問題，保證信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范連續(xù)穩(wěn)定運營。信息管理部門定期對信息系統(tǒng)進行維護和測試，并形成測試維護報告,以保證信息系統(tǒng)運營安全穩(wěn)定。公司委托專業(yè)機構進行系統(tǒng)運營與維護管理的，必須嚴格審查其資質條件、市場聲譽和信用狀況等,并與其簽訂正式的服務協(xié)議和保密協(xié)議。公司必須有效運用技術手段,對硬件配置調整、軟件參數(shù)修改嚴加控制，設立安全參數(shù),保證系統(tǒng)訪問安全。信息系統(tǒng)變更必須嚴格遵照管理流程進行操作。信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、修改等操作;不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置。公司信息管理部門必須根據業(yè)務性質、重要性限度、涉密情況等擬定信息系統(tǒng)的安全等級,建立不同等級信息的授權使用制度，采用相應技術手段保證信息系統(tǒng)運營安全有序。公司必須建立信息系統(tǒng)安全保密和泄密責任追究制度。委托專業(yè)機構進行系統(tǒng)運營與維護管理的，必須審查該機構的資質，并與其簽訂服務協(xié)議和保密協(xié)議。公司必須制定相應的密碼策略,保證公司用戶賬戶的安全。必須采用安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。公司必須建立用戶管理制度，加強對重要業(yè)務系統(tǒng)的訪問權限管理，定期審閱系統(tǒng)賬號,避免授權不妥或存在非授權賬號,嚴禁不相容職務用戶賬號的交叉操作。必須綜合運用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段,加強網絡安全，防范來自網絡的襲擊和非法侵入。對于通過網絡傳輸?shù)纳婷芑蜿P鍵數(shù)據,必須采用加密措施，保證信息傳遞的保密性、準確性和完整性。建立系統(tǒng)數(shù)據定期備份制度，明確備份范圍、頻度、方法、負責人、存放地點、有效性檢查等內容。定期進行信息系統(tǒng)災備演練,并制定信息系統(tǒng)緊急預案,保證信息系統(tǒng)的安全。公司信息管理部門應加強機房管理,設立門禁制度，非機房工作人員因工作需要進入機房的必須做登記記錄。公司信息管理部門應加強服務器等關鍵信息設備的管理,建立良好的物理環(huán)境，指定專人負責檢查，及時解決異常情況。未經授權,任何人不得接觸關鍵信息設備。系統(tǒng)停止運營報廢后,必須將廢棄系統(tǒng)中有價值或者涉密的信息進行銷毀、轉移,妥善保管相關信息檔案。第四章附則本細則由信息管理部門負責解釋。本細則自下發(fā)之日起施行。第二部分信息系統(tǒng)建設流程第一章信息系統(tǒng)開發(fā)第一條目的為了加強、規(guī)范中糧生物化學（安徽)股份有限公司(以下簡稱“中糧生化”或“公司”）信息系統(tǒng)自行開發(fā)與系統(tǒng)項目(IＴ項目）的建設，有效規(guī)避信息系統(tǒng)自行開發(fā)與系統(tǒng)項目建設過程中的風險，特制訂本管理標準。第二條合用范圍本管理標準合用于公司及其下屬子公司。第三條定義范圍及術語計算機信息系統(tǒng):是指運用計算機技術對業(yè)務和信息進行集成解決的程序、數(shù)據和文檔等的總稱。信息系統(tǒng)開發(fā)：信息系統(tǒng)開發(fā)涉及信息系統(tǒng)內部自行開發(fā)和信息系統(tǒng)項目外委開發(fā)。信息系統(tǒng)項目（IT項目）：是指公司機房、網絡、數(shù)據中心等基礎設施建設項目，內部網、外部網、郵件、辦公自動化等基礎平臺建設項目,公司資源計劃（ERP)或財務、人力資源、生產、采購、庫存、物流、銷售及其他管理信息系統(tǒng)建設項目。第四條職責分工信息管理部門:負責信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)方案的制訂、實行、驗收及系統(tǒng)使用情況反饋;負責系統(tǒng)項目外委供應商的選擇、系統(tǒng)項目進度的跟蹤控制、系統(tǒng)項目的測試、上線及驗收；負責組織系統(tǒng)用戶培訓的實行;使用部門：負責提出系統(tǒng)開發(fā)需求申請、系統(tǒng)開發(fā)方案的審核確認；財務部:負責系統(tǒng)開發(fā)方案的審核。第五條業(yè)務流程(一）信息系統(tǒng)自行開發(fā)－-流程圖（二)信息系統(tǒng)自行開發(fā)－流程說明序號流程內容具體說明記錄相關文獻01業(yè)務部門根據業(yè)務需求,整理初步的需求文檔,并附有簽報紙。通過部門審批和該部門所在中心主任審批后，送至財務部信息主管審批。業(yè)務需求文檔簽報紙02財務部信息主管根據業(yè)務需求,結合現(xiàn)有系統(tǒng)應用情況和公司信息化規(guī)劃,審批是自行開發(fā)實行,還是外包(本流程重要針對自行開發(fā)實行設計)。并指定人員進行需求調研和方案設計。審核點：1.需求合理性;2.是否符合公司信息化規(guī)劃;３.系統(tǒng)間兼容性；4．開發(fā)對象安全影響。0３需求調研階段，根據業(yè)務部門初步需求進行具體調研，挖掘潛在需求,并對需求合理化。在數(shù)據庫設計中更要充足考慮數(shù)據庫安全性。具體需求文檔0４根據《具體需求文檔》設計開發(fā)實行方案,涉及工作量評估、開發(fā)周期和開發(fā)預算,信息主管審核方案可行無誤后，送至申請部門審核。開發(fā)實行方案0５申請部門對《開發(fā)設計方案》進行審核。審核點：1.開發(fā)方案是否滿足業(yè)務需求;2.系統(tǒng)設計的和諧性。批準后,申請部門部長審核簽字。06申請部門所在中心主任審批。０7財務部審核《開發(fā)設計方案》是否符合財務管控規(guī)定和預算的合理性。０8財務總監(jiān)審批。0９根據《開發(fā)設計方案》進行開發(fā),測試通過后，進行實行上線。10系統(tǒng)上線３個月后出具驗收報告。（三)信息系統(tǒng)項目-立項—流程圖(四)信息系統(tǒng)項目－立項—流程說明序號流程內容具體說明記錄相關文獻01業(yè)務部門根據業(yè)務需求,整理初步的需求文檔,并附有簽報紙。通過部門審批和公司分管副總審批后，送至信息主管審批。業(yè)務需求文檔簽報紙02信息主管根據業(yè)務需求，結合現(xiàn)有系統(tǒng)應用情況和公司信息化規(guī)劃,審批是自行開發(fā)實行,還是外包(本流程重要針對外包設計)。并指定人員進行需求調研和方案設計。審核點:1.需求合理性;2．是否符合公司信息化規(guī)劃；3.系統(tǒng)間兼容性;4.開發(fā)對象安全影響。０3需求調研階段，根據業(yè)務部門初步需求進行具體調研，挖掘潛在需求，并對需求合理化。出具可《具體需求文檔》和《可行性分析報告》。具體需求文檔可行性分析報告０４根據《具體需求文檔》中的預算情況審核該項目是否在預算范圍內。05根據《具體需求文檔》和《可行性分析報告》審核項目的可行性和對管理起到的提高作用，并對整個項目的預算加以審核控制。06結合公司信息化規(guī)劃審核項目的可行性和必要性。(五)信息系統(tǒng)項目-實行—流程圖（六）信息系統(tǒng)項目-實行—流程說明序號流程內容具體說明記錄相關文獻01立項后,項目承包商的選擇應采用競爭性談判或競爭性邀標方式進行，具體規(guī)定信息管理部門按照《第三方與外包安全管理規(guī)定》來選擇擬定供應商。招標或談判記錄《第三方與外包安全管理規(guī)定》０２信息管理部門擬定供應商后,根據經濟協(xié)議管理標準簽訂采購協(xié)議。03建立項目組，制度項目實行方案。開發(fā)原則：1.檢查所有的命令行參數(shù)２.檢查所有的系統(tǒng)調用參數(shù)和返回代碼3.擬定所有的緩存都被檢查過４.在變量的內容被拷貝到本地緩存之前對變量進行邊界檢查5.檢查是否有后門帳戶及代碼6.內部有做完整性檢查的代碼7.生成日記記錄，涉及日期、時間、進程號、終端信息、命令行參數(shù)、錯誤和主機名8.使核心程序盡也許小而簡樸9.用全途徑名做文獻參數(shù)10.檢查用戶的輸入,保證只有合規(guī)字符１1．使用會話加密來避免會話搶劫和隱藏驗證信息12．假如也許,靜態(tài)連接安全程序1３.當需要主機名時使用ＤNS逆向解釋14．在網絡服務程序里分散和限制過多的負載15.在網絡的讀和寫里放置適當?shù)某瑫r限制16.防止服務程序運營超過一個以上的拷貝１7.避免將文獻創(chuàng)建在所有人可寫的目錄里18.要設立信任的IP地址,可選用密碼算法驗證項目實行方案０４根據《項目實行方案》按環(huán)節(jié)的執(zhí)行。0５根據《項目實行方案》中制定的階段檢查階段性成果，并出具階段性驗收報告。階段性驗收報告06信息系統(tǒng)部署完畢后進行系統(tǒng)測試,涉及功能測試、壓力測試、性能測試、安全功能測試等,并出具《測試報告》。測試報告07組織系統(tǒng)用戶培訓，考試成績合格后方可有系統(tǒng)使用權。用戶培訓報告08系統(tǒng)靜態(tài)數(shù)據和動態(tài)數(shù)據初始化。初始化數(shù)據表0９系統(tǒng)試運營，將真實業(yè)務在系統(tǒng)中運營,并編制試運營報告。試運營報告10系統(tǒng)試運營測試后,項目組編制上線計劃,系統(tǒng)上線正式運營。正式運營后對系統(tǒng)文檔進行維護管理,系統(tǒng)文檔由應用系統(tǒng)管理員統(tǒng)一管理。只有通過授權的人員才可以訪問文檔管理服務器。應用軟件開發(fā)的系統(tǒng)文檔涉及：需求分析文檔、需求審批文檔、概要設計文檔、安全設計文檔、具體設計文檔、各階段測試報告文檔、項目協(xié)議文檔,系統(tǒng)驗收文檔、系統(tǒng)上線文檔、項目變更文檔等。并附文檔清單《系統(tǒng)開發(fā)與維護文檔清單》。上線計劃、系統(tǒng)開發(fā)與維護文檔清單11項目驗收工作由項目經理負責組織，使用單位和信息管理部門共同出具《驗收報告》。項目驗收時對于項目建設過程中涉及到的所有文檔、使用手冊和軟件介質等相關資料要做好移交工作。文檔移交應作為項目驗收的重要內容之一。驗收報告第六條風險控制矩陣風險編號風險描述控制目的控制活動編號控制活動控制記錄防止/檢查自動/人工責任部門財務報表認定財務報表科目1．存在/發(fā)生2.完整性3．準確性4.截止5．權利和義務6.計價和分攤7.列報和披露1234567２1.1－Ｒ1存在信息孤島現(xiàn)象，各系統(tǒng)各自為政，削弱了信息系統(tǒng)的協(xié)同效用,甚至引發(fā)系統(tǒng)沖突各系統(tǒng)模塊有效對接2１．１－CＡ１Ａ在信息化的過程中，需要將公司的各類資源如人員、設備、資金、組織機構、物料等各種數(shù)據建立滿足系統(tǒng)應用的基礎數(shù)據庫,制定適合信息化數(shù)據傳遞的標準規(guī)范和各應用系統(tǒng)間的集成標準,保證數(shù)據的統(tǒng)一性和一致性,達成數(shù)據高度共享。防止自動信息管理部門２1.1-CA1B無論購買商品化軟件還是定向開發(fā),都應支持數(shù)據接口規(guī)范，保證應用系統(tǒng)的升級以及系統(tǒng)間的數(shù)據互換。防止自動信信息管理部門21．1-R２信息系統(tǒng)與公司業(yè)務需求相脫節(jié)，減少了信息系統(tǒng)的應用價值信息系統(tǒng)符合業(yè)務需求21.1-CA2A項目發(fā)起單位要向信息技術部門提交正式的、具體的需求報告，需求報告中要涉及具體的項目需求、范圍和時間進度等。系統(tǒng)開發(fā)需求報告防止人工信息管理部門21.１－CA2B需求報告通過信息管理部門初審后，項目的發(fā)起部門必須會同信息管理部門共同組建項目小組,項目小組進行項目可行性研究,編寫項目可研報告?？尚行匝芯繄蟾娣乐谷斯ば畔⒐芾聿块T２１.1-CＡ2C項目小組形成項目可研報告提交公司信息主管領導審核。審核記錄防止人工信息管理部門２1.1－R3信息系統(tǒng)建設缺少項目計劃或者計劃不妥,導致項目進度滯后、費用超支、質量低下信息系統(tǒng)開發(fā)過程得到有效控制２１.1－ＣA3項目小組制定項目實行概略方案,涉及項目實行進度、資質審核，項目預算等信息內容,并提交公司信息主管領導審核。項目實行概略方案防止人工信息管理部門21.１-R4系統(tǒng)開發(fā)技術上不可行、經濟上成本效益倒掛系統(tǒng)開發(fā)符合技術經濟效益２１.1-CA4項目小組需對信息系統(tǒng)開發(fā)進行項目可行性研究,編寫項目可研報告,對系統(tǒng)開發(fā)技術的可行性、經濟效益等進行論證；可行性研究報告防止人工信息管理部門21.1-R5需求文檔表述不準確、不完整,未能真實全面地表達業(yè)務需求系統(tǒng)開發(fā)需求文檔準確21.1-CA5系統(tǒng)開發(fā)承包商對業(yè)務需求進行具體調研，在此基礎上進行需求文檔的編制，編制的需求文檔通過獨立于編制的人員的項目小組進行審核確認。需求文檔及其審核記錄防止人工信息管理部門２１.1-R6設計方案不全面、不能完全滿足用戶需求,不能實現(xiàn)需求文檔規(guī)定的目的設計方案符合需求21.1-CA6系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設計方案文檔,需要經項目小組討論、審核確認。設計方案防止人工信息管理部門21.１-R7設計方案與公司內部控制相脫節(jié),容易導致系統(tǒng)運營后衍生計算機舞弊風險設計方案符合需求21.1-CA7系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設計方案文檔,需要經項目小組討論、審核確認。設計方案防止人工信息管理部門21．1-Ｒ8開發(fā)的系統(tǒng)測試不充足,也許存在系統(tǒng)運營隱患而不能及時有效糾正系統(tǒng)得到充足測實驗收21.1-ＣA８

項目驗收測試工作由項目經理負責組織,由項目需求單位和信息管理部門雙方應具體說明分別進行系統(tǒng)的驗收測試工作,形成系統(tǒng)驗收測試報告或記錄。系統(tǒng)測試記錄防止人工信息管理部門21．1－R9缺少完整可行的上線計劃，導致系統(tǒng)上線混亂無序系統(tǒng)上線計劃合理２1.1-CA9A系統(tǒng)上線前，系統(tǒng)開發(fā)項目小組制定系統(tǒng)上線方案，報信息主管領導審批后才可上線。上線計劃方案防止人工信息管理部門21.1-CA9B項目組將制定系統(tǒng)上線計劃和方案,內容涉及上線環(huán)節(jié)、時間、所需資源等；對于存在新舊系統(tǒng)割接的工程,還需涉及割接計劃、割接方案、回退方案等上線計劃方案防止人工信息管理部門2１．1-Ｒ１０業(yè)務人員不能對的使用系統(tǒng)，導致業(yè)務理錯誤,或者未能充足運用系統(tǒng)功能,導致開發(fā)成本浪費系統(tǒng)得到有效使用2１.1-CA1０A開發(fā)軟件在投入使用前，軟件開發(fā)商應對有關技術人員或業(yè)務操作人員進行技術和操作培訓。系統(tǒng)使用培訓記錄防止人工信息管理部門２1.1－CA10Ｂ2、各單位軟件操作人員必須按照軟件操作手冊（操作流程）操作。防止人工信息管理部門２1.1-R11系統(tǒng)開發(fā)外包服務商選擇不合理，也許會實行損害公司利益的自利行為,如偷工減料、放松管理、信息泄密等保證外包服務商選擇合理21．１-CＡ１1項目承包商的選擇采用競爭性談判或競爭性邀標方式進行。招標談判記錄防止人工信息管理部門21.1-R12服務外包協(xié)議條款不準確、不完善，也許導致公司的合法權益無法得到有效保障外包協(xié)議條款符合公司利益2１．１－ＣA1２系統(tǒng)開發(fā)服務外包協(xié)議通過法律部、財務部等職能部門的審核通過以后方可與承包商簽訂。外包服務協(xié)議及審核記錄防止人工信息管理部門21.1－R13外包服務跟蹤監(jiān)督不到位,也許導致外包服務質量水平不能滿足公司信息系統(tǒng)開發(fā)需求外包服務質量得到有效保證2１．1-CA13項目開發(fā)小組需根據項目承包方制訂的系統(tǒng)開發(fā)方案計劃定期或不定期對項目開發(fā)進度、效果進行監(jiān)督跟蹤評價,并向信息主管領導進行報告。檢查人工信息管理部門2１.１－Ｒ14軟件產品選型不妥，產品在功能、性能、易用性等方面無法滿足公司需求軟件產品符合業(yè)務需求2１.1-CＡ14軟件產品根據系統(tǒng)開發(fā)需求進行選型配置,軟件選型配置方案需通過信息主管審核審批;軟件產品采購時采用競爭性談判或競爭性邀標方式進行。招標談判記錄防止人工信息管理部門21.1-R15軟件供應商選擇不妥,產品的支持服務能力局限性，產品的后續(xù)升級缺少保障軟件產品符合業(yè)務需求2１．1-ＣA１5軟件供應商通過采用競爭性談判或競爭性邀標方式進行。招標談判記錄防止人工信息管理部門第二章信息系統(tǒng)運營與維護第一節(jié)ＩT資產管理第一條目的為了規(guī)范中糧生物化學（安徽)股份有限公司(以下簡稱“公司”)IT資產的選型、購置、使用、維護及報廢程序，有效控制IT資產的安全使用風險,特制訂本管理標準。第二條合用范圍本管理標準合用于公司及其下屬分子公司。第三條定義范圍及術語IT資產:重要是指服務器、網絡設備、臺式機、筆記本電腦，打印機、傳真打印一體機、掃描儀等計算機外部設備,辦公所需的各類軟件等。第四條職責分工管理部門:負責ＩＴ資產需求選型、采購審核、ＩT資產使用操作與保管的檢查、ＩT資產平常調撥、ＩT資產報廢的鑒定和回收拆解運用以及IT資產平常維護及實物的臺賬管理;使用部門:負責IT資產采購需求的申請、ＩＴ資產使用操作與保管、IT資產調撥申請以及IT資產報廢的申請;采購部門:負責ＩＴ資產需求的采購、驗收、入賬及付款申請,質保期內協(xié)調供應商進行質保服務。財務部：負責IT資產采購審核、入賬、付款,IT資產調撥、報廢的賬務解決,ＩT資產的財務臺賬管理；第五條業(yè)務流程（ＩＴ資產維護流程（比如信息處負責檢修－采購部進行耗材采購-業(yè)務部門進行領用-信息處負責更換及調試））（一）ＩT資產購置管理—流程圖(二）IT資產購置管理—流程說明序號流程內容具體說明記錄相關文獻０1需求申請部門根據實際業(yè)務需要，填寫《固定資產購置申請審核表》。固定資產購置申請表02申請部門部長審核意見,審核點：對資產購置的必要性、真實性進行審核03資產管理部門:1.核定申購的業(yè)務需求,增長電腦的必要性;2．公司資產情況，是否可以通過調劑的方式滿足需求;３．核定申購部門在平常使用過程中是否有不良使用記錄４.選型是否滿足業(yè)務需求。０4資產管理部門部長審批。05財務部審核：是否有采購預算；購置方案是否完整。06財務部部長審批。07申購部門所在中心主任簽字。08財務總監(jiān)審批0９購置固定資產均應簽訂協(xié)議固定資產采購協(xié)議１0驗收項目:１.核對固定資產實物與憑證所列數(shù)量是否一致;2.檢查所附備件是否齊全；3.察看設備性能是否良好;固定資產驗收單11固定資產到廠后，經辦人應及時辦理固定資產的驗收入庫，并到財務部辦理發(fā)票入賬，如固定資產到廠當月發(fā)票未回的,應于當月末持固定資產入庫單、驗收單等到財務部辦理暫估入賬,發(fā)票返回后辦理正式的入賬手續(xù)。（三）IＴ資產變更管理—流程圖（四)IT資產管理—流程說明序號流程內容具體說明記錄相關文獻01資產入庫后,采購部門告知申購部門辦理《固定資產移交表》,并根據ＥＲＰ-NC系統(tǒng)中的采購計劃制作領料單,打印《PER-NC領料單》領用手續(xù)進行領料。固定資產移交表NC領料單02申請部門部長審核,保證業(yè)務的真實性。固定資產移交表NC領料單03資產管理部門根據申購部門提供的完整手續(xù)做好IT固定資產實物臺賬的登記。04財務部負責IT資產財務解決,生成資產卡片。05資產使用部門負責資產實物的平常管理,部門負責人為資產的第一負責人,部門資產管理員負責記錄和調劑。1.因個人失誤導致IＴ固定資產損壞者,視其情節(jié)及ＩT固定資產價值擬定補償比例予以補償。2.導致IT固定資產丟失的,由財務部按資產折舊的現(xiàn)值予以補償。3．因不可抗力導致的損壞和丟失除外。4．具體補償比例由財務部進行解釋0６各部門因人員變動或組織機構調整，閑置相關IＴ資產時，應需辦理相關手續(xù)將閑置IT資產移交予資產管理部門統(tǒng)一解決;子公司交予子公司財務部門解決。不得以因工作需要為名,私自進行IＴ資產調劑。的確因工作需要，需按照IT資產管理辦法進行調撥申請。填寫資產調撥申請表，通過調入部門、調出部門、資產管理部門、財務部審核。固定資產調撥申請表0７ＩＴ固定資產報廢時應將IT資產送至資產管理部門進行鑒定,申請部門填寫《辦公設備報廢申請單》。規(guī)定填寫項目：設備名稱、數(shù)量、設備編碼、規(guī)格型號、投運時間、應使用年限、安裝地點、制造廠家、供貨廠家、原值、累計折舊、減值準備、凈額。辦公設備報廢申請單08資產管理部門依據公司辦公資產報廢標準進行報廢鑒定辦公設備報廢申請單09由資產管理部門進行報廢鑒定,報部門領導審核。辦公設備報廢申請單１0財務部根據財務帳復核資產原值、凈值等財務信息準確性。辦公設備報廢申請單11依據公司辦公資產報廢標準，財務部部長批準后進行賬務解決；辦公設備報廢申請單12依據公司辦公資產報廢標準，經財務部部長、財務總監(jiān)、總經理審批;辦公設備報廢申請單1３報廢ＩT固定資產交由資產管理部門統(tǒng)一保管,統(tǒng)一由資產處置部進行解決,嚴禁任何部門或個人私自解決。辦公設備報廢申請單第二節(jié)應用系統(tǒng)管理第一條目的為了加強中糧生物化學(安徽）股份有限公司各信息系統(tǒng)規(guī)范使用和運營,提高系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據的完整性、準確性，保證業(yè)務正常運營，提高效率，特制定本管理標準。第二條合用范圍本管理標準合用于中糧生物化學（安徽）股份有限公司及子公司。第三條定義范圍及術語EＲP－NC系統(tǒng):是公司規(guī)范財務、供應鏈一體化的管理系統(tǒng)，是公司供應鏈和財務等部門解決業(yè)務的平臺。糧食收購信息化系統(tǒng):是保障公司原糧收購高效、準確便捷的有效途徑,對涉及部門實行歸口管理。關鍵硬件：指重要網絡設備、服務器、存儲設備等關鍵軟件:指網絡管理軟件、各業(yè)務系統(tǒng)、管理信息系統(tǒng)等相關軟件。系統(tǒng)變更：指需求變更、程序修補、數(shù)據維護等涉及系統(tǒng)改變的活動。1）需求變更類：現(xiàn)有業(yè)務變化、新的業(yè)務需求、或業(yè)務流程、業(yè)務參數(shù)發(fā)生變化；2)程序修補類:發(fā)現(xiàn)的系統(tǒng)錯誤，需要進行修改;3)數(shù)據維護類：對數(shù)據進行新增、修改、刪除;４）其它類：未包含在上述類別,但是涉及系統(tǒng)改變的變更。第四條職責分工信息管理部門:負責制定各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護和系統(tǒng)變更實行；負責權限開設、變更或注銷申請審核；系統(tǒng)數(shù)據的備份以及監(jiān)督系統(tǒng)用戶的操作行為。業(yè)務部門：負責信息系統(tǒng)的規(guī)范操作和使用，提出系統(tǒng)維護需求和系統(tǒng)變更需求及系統(tǒng)權限變更的申請。第五條業(yè)務流程(一)應用系統(tǒng)運營與維護—流程圖(二）應用系統(tǒng)運營與維護—流程說明序號流程內容具體說明記錄相關文獻01信息管理部門制定各應用系統(tǒng)管理規(guī)定,涉及《ＥRＰ－NＣ系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》、《ERP-NＣ具體操作手冊》等?！禘RＰ-ＮC系統(tǒng)管理規(guī)定》()、《糧食收購系統(tǒng)管理規(guī)定（)》、《ERP－NC具體操作手冊》等０2各部門需按照《ＥRP－NC系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》執(zhí)行。０3各部門在應用操作系統(tǒng)時碰到自行不可解決的問題時,應及時向信息管理部門提出系統(tǒng)的維護需求。04信息管理部門在接受到用戶提出的運營維護需求時提供專業(yè)技術支持，超過公司信息管理部門內部專業(yè)技術人員能力時,依照《第三方與外包安全管理規(guī)定》通過聘請外部第三方進行技術解決。《第三方與外包安全管理規(guī)定》0５業(yè)務部門提出應用系統(tǒng)的變更時,必須由申請部門提交書面變更申請，填寫《應用系統(tǒng)變更申請表》,報送信息管理部門審批，申請表單必須打印存檔,期限為一年。涉及數(shù)據維護的變更(涉及新增、修改、刪除等操作)，業(yè)務操作人員需填寫《應用系統(tǒng)變更申請表》，提交給應用系統(tǒng)管理員審批。應用系統(tǒng)變更申請表06信息管理部門對業(yè)務部門提出的應用系統(tǒng)變更申請進行審批。０7系統(tǒng)變更方案審批通過后，系統(tǒng)承建部門組織實行方制訂變更方案，變更方案中包含回退方案。若在執(zhí)行變更過程中出現(xiàn)意外,要按照回退方案退回到轉換前的系統(tǒng)狀態(tài)。若無法回退，應通過備份磁帶恢復原系統(tǒng)。08系統(tǒng)承建部門實行測試。通過后，由應用系統(tǒng)管理員對系統(tǒng)數(shù)據進行變更操作。針對外包軟件,開發(fā)商需要擁有臨時應用系統(tǒng)的用戶名及口令。進行系統(tǒng)故障解決、檢查等操作時,要先取得授權,并由應用系統(tǒng)管理員對其訪問進行監(jiān)督，并在訪問結束后及時取消帳號,具體內容參見《第三方和外包安全管理規(guī)定》。系統(tǒng)變更測試記錄《第三方和外包安全管理規(guī)定》。0９系統(tǒng)變更通過驗收試運營無端障時由業(yè)務部門進行應用系統(tǒng)操作與維護。（三)信息系統(tǒng)權限管理—流程圖(四)信息系統(tǒng)權限管理—流程說明序號流程內容具體說明記錄相關文獻0１權限申請人根據系統(tǒng)類型和權限開設類別，依據《賬號安全管理規(guī)定》在OA系統(tǒng)中找到相應的權限申請單，填寫送審審核。信息化系統(tǒng)使用申請表、帳號管理變更申請表、離職人員會簽單《賬號安全管理規(guī)定》0２權限部門內部負責人對權限開設、變更或刪除進行審核。０3與權限涉及的相關部門對系統(tǒng)權限涉及的工作分工職責審核，判斷是否給予該權限。04信息管理部門信息主管對權限申請進行審批。0５系統(tǒng)管理員根據審批的權限依據《賬號安全管理規(guī)定》進行新增權限開設、變更或刪除。《賬號安全管理規(guī)定》０6權限使用用戶需依據《賬號安全管理規(guī)定》進行合理操作使用權限,維護好賬號和登陸口令信息,防止被非權限用戶獲取。０7系統(tǒng)管理員需依據《賬號安全管理規(guī)定》和《計算機安全檢查標準》定期對系統(tǒng)用戶的權限使用情況進行檢查,填寫《系統(tǒng)帳號檢查表》。系統(tǒng)帳號檢查表《賬號安全管理規(guī)定》、《計算機安全檢查標準》(五）計算機用戶管理－-流程圖（六）計算機用戶管理--流程說明序號流程內容具體說明記錄相關文獻01公司信息管理部門根據公司內部網絡布局和業(yè)務需求，制定《計算機用戶行為守冊》?！队嬎銠C用戶行為守冊》０2各個業(yè)務部門的系統(tǒng)使用用戶對進入公司內網的計算機按照《計算機用戶行為守冊》進行管理和控制?！队嬎銠C用戶行為守冊》0３公司信息管理部門運用計算機終端管理軟件監(jiān)測用戶行為，并于每月根據《計算機用戶行為守冊》和《計算機安全檢查標準》組織一次公司范圍的計算機系統(tǒng)使用檢查?！队嬎銠C用戶行為守冊》、《計算機安全檢查標準》04公司信息管理部門對違反《計算機用戶行為手冊》的用戶進行記錄,根據《計算機用戶行為守冊》進行通報整改和實行相應的處罰。用戶行為檢查記錄《計算機用戶行為守冊》(七)系統(tǒng)數(shù)據備份—流程圖（八）系統(tǒng)數(shù)據備份—流程說明序號流程內容具體說明記錄相關文獻01公司信息管理部門根據系統(tǒng)類型制定數(shù)據備份策略方案。系統(tǒng)數(shù)據備份方案02對于重要的業(yè)務系統(tǒng)重要數(shù)據或數(shù)據庫規(guī)定每日做一至二次本機和異地備份.且每月備份數(shù)據要刻成光盤,有專人負責保管。03公司信息管理部門需抽取數(shù)據備份樣表恢復,校驗數(shù)據的完整性。服務器系統(tǒng)必需有備份,以防系統(tǒng)中毒或崩潰等異常情況發(fā)生時的緊急解決之用。常用的業(yè)務系統(tǒng),要有臨時替代系統(tǒng),一方面作為測試用，另一方面作為正式系統(tǒng)出現(xiàn)異常的應緊之需。0４系統(tǒng)備份的數(shù)據需定期移交檔案管理部門存檔。數(shù)據移交記錄第三節(jié)應急響應管理第一條目的為規(guī)范中糧生物化學(安徽)股份有限公司(以下簡稱“公司”)各類信息安全事件的管理，保證信息系統(tǒng)故障得到及時有效的跟蹤、控制和解決,加強對信息安全事件的預警通報機制，保障業(yè)務系統(tǒng)的安全運營，制定本管理標準。第二條合用范圍本管理標準合用于公司及下屬分子公司職能部門的信息安全事件應急響應管理。第三條定義范圍及術語應急類型:自然或人為及軟硬件故障或缺陷對信息系統(tǒng)導致危害的事件。設備類突發(fā)事件：由于各種因素對網絡中的機房、通信線路、服務器、網絡設備、安全設備導致破壞,以致引起設備類突發(fā)事件。信息系統(tǒng)類突發(fā)事件：由于各種因素對網絡中的應用系統(tǒng)、操作系統(tǒng)、數(shù)據庫系統(tǒng)、以及軟盤、硬盤、光盤、磁帶等介質存儲的數(shù)據等導致破壞，以致引起信息系統(tǒng)類突發(fā)事件。第四條職責分工信息安全領導小組：負責重大、較大安全事件發(fā)生后的全局指揮協(xié)調，安全事件的調查、善后工作及提出處置意見和相關獎懲建議。信息安全應急響應小組：信息安全事件解決的技術支撐單位，負責組織解決重大、較大信息安全事件。信息安全應急響應小組成員涉及公司信息化分管領導、信息化分管經理、業(yè)務環(huán)節(jié)部門分管經理、設備網絡管理員、系統(tǒng)管理員、業(yè)務信息化聯(lián)系人。業(yè)務信息化聯(lián)系人:負責上報本部門的安全事件,應急業(yè)務流程設計,應急事件的協(xié)調和解決,匯總事件解決報告，總結經驗。系統(tǒng)管理員：負責應用系統(tǒng)安全事件的解決，具體涉及：安全事件分析、應急業(yè)務流程設計、信息數(shù)據和系統(tǒng)恢復、安全事項報告等。信息及業(yè)務分管經理:負責組織安全事件會議，協(xié)調業(yè)務環(huán)節(jié)安全事件業(yè)務,應急業(yè)務流程審核,協(xié)調業(yè)務部與信息部門在應急事件發(fā)生過程中的工作配合。第五條應急方案(一)ERP系統(tǒng)應急方案1.總則1.1編制目的EＲP系統(tǒng)作為公司級的業(yè)務解決系統(tǒng),一旦因各種因素意外中斷，對業(yè)務解決影響重大。應急解決的目的在于指導各部門操作EＲP系統(tǒng)的業(yè)務人員(即ERＰ最終用戶),如何應對系統(tǒng)的意外中斷，以及如何在系統(tǒng)恢復后進行數(shù)據補全。由于系統(tǒng)的集成性，需要各操作崗位協(xié)作完畢。1．２合用范圍本文內容針對操作ＥＲP系統(tǒng)的業(yè)務人員及其部門領導。1.３應急工作原則業(yè)務部門要根據EＲP系統(tǒng)應急方案，各負其責,登記業(yè)務運營數(shù)據并保證業(yè)務穩(wěn)定運營。ERＰ系統(tǒng)恢復運營后,業(yè)務部門補錄業(yè)務數(shù)據至系統(tǒng),保證系統(tǒng)數(shù)據一致性。前提條件。應急計劃是針對EＲＰ系統(tǒng)因意外因素不能被最終用戶正常訪問的情況，即EＲP服務器系統(tǒng)停機/中斷，或網絡中斷的情況(涉及并行期間）,并且該情況連續(xù)超過業(yè)務連續(xù)性所允許的范圍,如超過1個工作日。同時本計劃也可作為計劃停機情況時，最終用戶的參考。根據財務憑證及報表須打印并歸檔保存的原則，所有財務憑證應每周打印并歸檔;所有財務報表應在其生成時打印并歸檔。財務主數(shù)據應于每二周從ERＰ系統(tǒng)下載,并以電子文檔形式保存在用戶本地。業(yè)務部門應于每周二次從ERＰ系統(tǒng)下載庫存狀態(tài)分析報表,并以電子文檔形式保存在用戶本地。3、緊急情況核定ERP最終用戶在發(fā)現(xiàn)自己不能正常使用操作ＥＲＰ系統(tǒng)時,應及時聯(lián)系中糧生化信息人員以解決問題。在相關信息人員確認為ERP服務器系統(tǒng)問題或網絡問題導致最終用戶暫時不能正常使用操作ERP后,業(yè)務部門最終用戶應根據技術支持人員提供的預計問題連續(xù)時間，考慮啟動應急計劃。若信息人員暫時無法預計問題連續(xù)時間,則業(yè)務部門最終用戶應按超過1個工作日的問題連續(xù)時間啟動應急計劃。４、業(yè)務部門應急措施在意外情況發(fā)生時,ERP最終用戶應針對需要使用操作ERP的業(yè)務情景采用以下措施:４．１財務(ＦI/ＣO)業(yè)務情景創(chuàng)建/變更主數(shù)據ERP中斷情況下應急環(huán)節(jié)EＲP恢復后補錄環(huán)節(jié)適應業(yè)務情景在用戶本地財務主數(shù)據電子文檔中記錄主數(shù)據的增減或變更,并注明該記錄需在ERP系統(tǒng)中補錄;將線外財務主數(shù)據電子文檔中注明有待在ERＰ系統(tǒng)中補錄的記錄主數(shù)據補錄入ＥRP,并取消電子文檔中需補錄標記；下載新主數(shù)據，并保存于線外的主數(shù)據電子文檔;以下主數(shù)據的創(chuàng)建/修改：總帳科目客戶供應商資產手工入帳ＥＲＰ中斷情況下應急環(huán)節(jié)ERＰ恢復后補錄環(huán)節(jié)適應業(yè)務情景根據原始憑證在《通用格式會計帳冊》中以手工帳的形式記錄業(yè)務信息，并注明該記錄需在ERP系統(tǒng)中補錄;原始憑證各聯(lián)在不同業(yè)務部門間的流轉與正常情況相同；將需在ERP系統(tǒng)中補錄的會計記錄補錄入ERP，并取消電子文檔中需補錄標記；在原始憑證上注明記帳日期；打印補錄的憑證并歸檔保存；以下手工入帳:收款報銷付款提取備用金資產折舊，等系統(tǒng)自動生成憑證ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據來自其它業(yè)務部門的原始憑證以手工帳的形式記錄業(yè)務信息,并注明該記錄需在EＲP系統(tǒng)中補錄;原始憑證各聯(lián)在不同業(yè)務部門間的流轉與正常情況相同；待相關業(yè)務部門將其業(yè)務數(shù)據補錄入EＲP,由系統(tǒng)自動生成憑證;根據原始憑證，核對系統(tǒng)自動生成的;憑證，在原始憑證上注明記帳日期，并保證所有憑證都準確完整的補錄入ＥＲP；打印補錄的憑證并歸檔保存;來自物料,銷售,設備維護及物資供應的由ERＰ系統(tǒng)自動生成的業(yè)務數(shù)據期末結帳ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景ERP在本月內恢復運營ERP跨月恢復運營根據原始憑證及手工帳形式記錄的業(yè)務信息,做期末結賬;ＥRＰ系統(tǒng)恢復后,檢查并保證ＥRＰ所開的賬期為系統(tǒng)中斷發(fā)生時的賬期,并告知各業(yè)務部門補錄該賬期的數(shù)據;監(jiān)督、核對業(yè)務部門補錄數(shù)據的對的性、完整性;業(yè)務部門數(shù)據補錄完畢后,財務結賬;ERP系統(tǒng)恢復后,檢查并保證ERＰ所開的賬期為系統(tǒng)中斷發(fā)生時的賬期，并告知各業(yè)務部門補錄該賬期的數(shù)據；監(jiān)督、核對業(yè)務部門補錄數(shù)據的對的性、完整性;業(yè)務部門數(shù)據補錄完畢后，財務結賬;財務結帳后告知業(yè)務部門補錄下一個賬期的數(shù)據;依此反復以上環(huán)節(jié)直至所有月結/年結完整準確補錄入ERP；月結，年結生成財務報表ERP中斷情況下應急環(huán)節(jié)ＥRP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據打印歸檔的上期財務報表,本期所有原始憑證及以手工帳形式記錄的業(yè)務信息,生成本期財務報表檢查業(yè)務部門系統(tǒng)數(shù)據補錄情況；業(yè)務數(shù)據補錄完畢后,由系統(tǒng)自動生成財務報表；將系統(tǒng)自動生成的財務報表與手工生成的財務報表核對，保證報表信息的準確完整打印系統(tǒng)自動生成的財務報表并歸檔；系統(tǒng)自動生成的財務報表４．２銷售(So）業(yè)務情景開具提單（訂單)ERP中斷情況下應急環(huán)節(jié)ＥRP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫提單（訂單);在提單（訂單)上注明該提單(訂單）需手工補錄入EＲP;打印提單(訂單)并在不同部門間的流轉;將手工開具的提單(訂單）補錄入ＥRP;告知其它相關部門提單補輸入完畢；開提單(訂單)開具出廠憑據(發(fā)貨單)ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫出廠憑據；在出廠憑據上注明該出廠票有待手工補錄入ERP;出廠憑據各聯(lián)在不同部門間的流轉與正常情況相同;將手工開立的出廠憑據錄入ＥRP;告知其它相關部門出廠憑據補錄完畢;開出廠憑據開具發(fā)票ERP中斷情況下應急環(huán)節(jié)EＲP恢復后補錄環(huán)節(jié)適應業(yè)務情景暫停開具發(fā)票根據ERP系統(tǒng)生成的發(fā)貨單,使用ERＰ開立并打印發(fā)票;發(fā)票各聯(lián)在不同部門間的流轉與正常情況相同；開發(fā)票4.3物料管理(ＰＯ)業(yè)務情景創(chuàng)建需求計劃ＥＲP中斷情況下應急環(huán)節(jié)ERＰ恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫業(yè)務需求計劃,并注明該計劃需補錄入ERP;需求計劃在各部門的流轉與正常情況相同;根據業(yè)務部門需求計劃在ERP中創(chuàng)建需求申請單;告知其它相關部門需求計劃補錄完畢;創(chuàng)建物資需求申請單創(chuàng)建采購訂單ERP中斷情況下應急環(huán)節(jié)EＲP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據業(yè)務部門采購計劃收貨,并注明該計劃需補錄入ERP；創(chuàng)建采購協(xié)議；采購協(xié)議在各部門的流轉與正常情況相同;根據業(yè)務部門采購計劃在ERP中創(chuàng)建采購訂單;告知其它相關部門采購訂單補錄完畢;創(chuàng)建采購訂單庫存記錄ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景保存存貨出入庫信息報表,并注明該信息需補錄入ＥRP報表在各部門間的流轉與正常情況相同；根據待補錄的信息報表輸入ERP;告知其它相關部門庫存移動或產成品信息補輸入完畢;庫存移動，產成品信息輸入4.4物資供應（ＭRO）業(yè)務情景入庫/出庫ERＰ中斷情況下應急環(huán)節(jié)ＥRP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫物資領料單或從其它部門接受手工填寫的領料單,發(fā)送或接受物資，并注明物資領料單需補錄入ＥRＰ；根據手工填寫的物資領料單，在ＥＲP中補錄入物資入庫/出庫記錄;根據從其它部門接受的手工填寫的領料單,在EＲP中核算物資入庫／出庫記錄；告知其它相關部門物資入庫/出庫記錄補輸入完畢;收貨,發(fā)貨，設備維護領料庫存查詢ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據最新下載的庫存狀態(tài)分析報表查詢庫存信息待所有物資入庫/出庫信息所有補錄完畢后,下載最新的庫存信息并保存為用戶本地文獻庫存查詢采購計劃EＲP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據最新下載的庫存狀態(tài)數(shù)據查詢庫存信息，制定采購計劃，并用本地文獻記錄;將本地文獻記錄的采購計劃補錄入ERP;制定采購計劃采購協(xié)議ERＰ中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工生成采購協(xié)議，并注明該協(xié)議需補錄入ＥRP；將手工生成的采購協(xié)議補錄入ERＰ創(chuàng)建采購訂單（不通過總部的本公司的采購）領料ERＰ中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫領料計劃表，并注明該領料計劃需補錄入ERP;憑領料計劃標到物資部門領料；領料計劃表在不同部門的流轉與正常情況相同；待相關工單在ERP中補錄完畢,并檢查核對保證系統(tǒng)數(shù)據準確無誤;告知其它相關部門領料信息補錄完畢;領料5．應急小組組成及職責5.1應急小組組成組長:張強副組長：李鳳成員:張宏5.2應急小組職責５.2．1適時宣布啟用EＲP系統(tǒng)緊急應急方案。５.2.2及時確診EＲP系統(tǒng)突發(fā)事件問題源并妥善解決解決。5．2．3協(xié)助業(yè)務部門補錄EＲＰ系統(tǒng)數(shù)據，提供技術支持。5.２.４記錄突發(fā)事件問題源、解決方案，同時完善巡檢方案。5.3應急小組人員聯(lián)系電話職務姓名手機所在部門及職務組長張強事業(yè)部IT部經理副組長李鳳安徽生化信息處處長成員張宏事業(yè)部IT部專員(二)計算機機房應急預案1總則1.１編制目的為保證公司機房安全與穩(wěn)定，以保證正常運營為宗旨,按照“防止為主，積極處置”的原則，本著建立一個有效處置突發(fā)事件，建立統(tǒng)一指揮、職責明確運轉有序、反映迅速處置有力的機房安全體系的目的,特制定本預案。1.2合用范圍本預案合用于安徽生化核心計算機機房。2機房平常維護2.1建立健全機房管理制度2．1.1在正常工作日內，信息管理部門人員負責對機房進行監(jiān)控,重要職責是:巡視網絡設備及系統(tǒng)的運營情況，發(fā)生異常情況及時解決，消除網絡故障隱患。2.1．2節(jié)假日期間信息管理部門人員輪流值班,負責解決有關異常情況。２.１.３機房采用進出登記制度，未經允許,無關人員不得進入公司機房區(qū)域。2．２機房內嚴格采用防雷、防火、防塵、防靜電等措施以及機房入口處2４小時監(jiān)控錄像等措施。2.3認真做好數(shù)據備份工作,定期備份數(shù)據庫,每月檢查服務器運營和備份情況。2.4信息管理部門對機房的重要網絡設備（路由器、互換機等）進行監(jiān)控,發(fā)現(xiàn)異常情況應及時進行解決,保證整個公司網絡的正常運營。３機房突發(fā)事件應急處置方案3.1電源系統(tǒng)應急預案3.1.1定期檢查機房供電設備的運營狀況和電路線纜情況，當發(fā)生下列突發(fā)事件時,按照以下方案進行處置:3.1.2當機房發(fā)生停電或是電源異常時。一方面應與相關人員聯(lián)系確認正常停電以及預計停電時間。檢查不間斷電源的電池可供電時間，保證設備正常運營，如碰到忽然斷電，應及時將空調等不在UPS電源供電范圍內的設備及時斷電，防止忽然來電時瞬間電流過大導致設備損壞等現(xiàn)象。3.１．3當擬定停電時間超過機房UPS承載范圍后,一方面擬定停電的范圍以及受影響的設備范圍。并及時告知各部門做好停電應急準備。然后告知機房管理人員和系統(tǒng)管理人員到達現(xiàn)場,做好各設備的電源停電準備。在UPS供電電量僅剩１０%之后，嚴格按操作手冊停掉各服務器的電源,最后停核心互換機和路由器,等待電力恢復。3.1.４當擬定停電因素是在自身供電系統(tǒng)范圍內，立即報告給負責領導，并及時聯(lián)系相關維護人員達成現(xiàn)場檢修。對于恢復時間無法預計的,要及時告知各部門做好停電應急準備。３.1.5恢復供電后，嚴格按照操作程序逐步恢復機房設備和UＰS的供電,以防瞬間電流過大導致設備損壞。3.2網絡和服務器絡系統(tǒng)應急預案3．２.1發(fā)生網絡故障時，一方面檢查機房設備情況,擬定網絡故障的因素。3.2．2確認因素后，一方面啟動備用線路和設備，保證網絡的正常運營。然后聯(lián)系網絡管理人員，及時解決和排除故障。3.2．３當確認短時間無法恢復時,應當及時向負責領導報告。然后告知各部門做好應急準備。然后再聯(lián)系維護人員,及時解決故障。3.２.4當人為或病毒破壞的故障發(fā)生時,具體按以下順序進行：判斷破壞的來源及性質，斷開影響安全與穩(wěn)定的設備,斷開與破壞來源的物理網絡連接,跟蹤并鎖定破壞的來源和其他網絡用戶信息,修復被破壞的信息，恢復系統(tǒng)。3.2．5發(fā)生服務器系統(tǒng)故障后,應立即電話向相關領導報告情況,及時組織啟動備份服務器系統(tǒng)，由備份服務器接管相關業(yè)務應用，同時安排人員將故障服務器脫離網絡,保存系統(tǒng)狀態(tài)不變,保護原始數(shù)據。在確認安全的情況下,重新啟動故障服務系統(tǒng)：若重啟系統(tǒng)成功，則檢查數(shù)據丟失情況，運用備份數(shù)據恢復；若重啟失敗,立即相關技術人及時解決。處置結束后，技術人員應將解決過程記錄下來，以方便日后對此問題的解決。3．3消防和防雷應急預案3．3.1上班工作時間發(fā)生火警，機房中工作的人員應及時緊急撤離,并立刻撥打1１９報警。在保證自身安全的情況下,應盡量使用滅火器進行滅火,減少電子設備的損壞。同時采用關閉電源總閘等措施,盡量減少也許導致的損失和破壞。 3.３.2非工作時間或節(jié)假日休息時間值班人員發(fā)現(xiàn)火情后，要立刻撥打１1９報警，并立刻告知相關部門和領導,做好火災的處置工作。?3.３．3火情結束之后,機房相關人員應全體趕赴現(xiàn)場，并向負責領導報告。同時立即聯(lián)系相關單位,及時評估事故損失情況，研討恢復網絡系統(tǒng)正常運營的最佳解決方案。3.4自然災害應急預案3.４.1發(fā)生自然災害后,一方面應當組織人員撤離現(xiàn)場。當確認災害不會導致人員傷害后，在回到機房檢查設備,立刻向上級領導報告,并聯(lián)系相關網絡和設備廠家,積極做好災后恢復工作，保證在最短時間內恢復機房正常運營。（三)原糧系統(tǒng)緊急應急方案1.目的原糧系統(tǒng)作為公司級的業(yè)務解決系統(tǒng)，其一旦因各種因素意外中斷，對業(yè)務解決影響重大。應急解決的目的在于指導各部門的使用操作系統(tǒng)的業(yè)務人員(即原糧系統(tǒng)最終用戶),如何應對系統(tǒng)的意外中斷,以及如何在系統(tǒng)恢復后進行數(shù)據補全。由于系統(tǒng)的集成性,很多工作需要各操作崗位協(xié)作完畢。本計劃重要涉及以下問題：一旦發(fā)現(xiàn)不能進行原糧系統(tǒng)的正常操作，最終用戶一方面應當如何操作？根據業(yè)務解決的連續(xù)性規(guī)定,在原糧系統(tǒng)中斷的情況下，如何解決業(yè)務?在原糧系統(tǒng)恢復運營以后,最終用戶應當如何操作以保證原糧中數(shù)據的準確和完整？2、范圍本文內容針對使用操作原糧系統(tǒng)的業(yè)務人員及其部門領導。3、前提條件。應急計劃是針對原糧系統(tǒng)因意外因素不能被最終用戶正常訪問的情況，即原糧服務器系統(tǒng)停機/中斷，或網絡中斷的情況（涉及并行期間）,并且該情況連續(xù)超過業(yè)務連續(xù)性所允許的范圍，如超過半個工作日。同時本計劃也可作為計劃停機情況時,最終用戶的參考。根據財務憑證及報表須打印并歸檔保存的原則,所有財務憑證應每周打印并歸檔；所有財務報表應在其生成時打印并歸檔。原糧主數(shù)據應于每二周從原糧系統(tǒng)下載,并以電子文檔形式保存在用戶本地。4、緊急情況核定原糧最終用戶在發(fā)現(xiàn)自己不能正常使用操作原糧系統(tǒng)時,應及時聯(lián)系中糧生化信息人員以解決問題。在相關信息人員確認為原糧服務器系統(tǒng)問題或網絡問題導致最終用戶暫時不能正常使用操作原糧后，業(yè)務部門最終用戶應根據技術支持人員提供的預計問題連續(xù)時間，考慮啟動應急計劃。若信息人員暫時無法預計問題連續(xù)時間,則業(yè)務部門最終用戶應按超過半個工作日的問題連續(xù)時間啟動應急計劃。5、業(yè)務部門應急措施在意外情況發(fā)生時，原糧最終用戶應針對需要使用操作原糧的業(yè)務情景采用以下措施：5.1原糧系統(tǒng)業(yè)務情景創(chuàng)建/變更主數(shù)據原糧中斷情況下應急環(huán)節(jié)原糧恢復后補錄環(huán)節(jié)適應業(yè)務情景在用戶本地主數(shù)據電子文檔中記錄主數(shù)據的增減或變更,并注明該記錄需在原糧系統(tǒng)中補錄;將線外主數(shù)據電子文檔中注明有待在原糧系統(tǒng)中補錄的記錄主數(shù)據補錄入原糧。以下主數(shù)據的創(chuàng)建/修改:玉米原輔料手工入補錄入系統(tǒng)原糧中斷情況下應急環(huán)節(jié)原糧恢復后補錄環(huán)節(jié)適應業(yè)務情景根據原始憑證以標準格式EXCＥL表格填完整，并注明該記錄需在原糧系統(tǒng)中補錄;以工作聯(lián)系單形式把需要補錄的記錄提交信息處審核確認審核通過后交于信息處專業(yè)人員進行系統(tǒng)補錄以下手工入帳:玉米原輔料6.應急小組組成及職責6．1應急小組組成組長：張強副組長：李鳳成員:王強6．2應急小組職責6.2.1適時宣布啟用原糧系統(tǒng)緊急應急方案。6.2.2及時確診原糧系統(tǒng)突發(fā)事件問題源并妥善解決解決。6．2．3協(xié)助業(yè)務部門補錄原糧系統(tǒng)數(shù)據,提供技術支持。6．2.4記錄突發(fā)事件問題源、解決方案，同時完善巡檢方案。6.3應急小組人員聯(lián)系電話職務姓名手機所在部門及職務組長張強事業(yè)部ＩＴ部經理副組長李鳳安徽生化信息處處長成員王強信息處信息工程師第六條業(yè)務流程（一)信息化應急事項解決—流程圖(二)信息化應急事項解決—流程說明序號流程內容具體說明記錄相關文獻01公司通過網絡和主機入侵檢測系統(tǒng)、審計日記(操作系統(tǒng)、應用軟件、網絡設備)、防病毒系統(tǒng)、安全監(jiān)控服務等及時發(fā)現(xiàn)各類安全事件。部分信息安全事件的征兆如下:防病毒軟件的告警信息；應用服務器系統(tǒng)崩潰；網絡流量異?；蚓W速過慢；系統(tǒng)文獻名有不尋常字符;日記記錄異常和配置情況發(fā)生變化；系統(tǒng)存在多次遠程失敗登錄。０２業(yè)務部門發(fā)生信息安全事件后及時向信息系統(tǒng)管理員報告,信息系統(tǒng)管理員接到安全事件后，對事件分析定級，按照相應的應急解決流程解決。０3在發(fā)生或也許發(fā)生重大安全事件時,由業(yè)務聯(lián)系人和信息系統(tǒng)人員填寫《信息安全應急事件上報表》,遞交業(yè)務分管經理和公司信息管理部門處長、財務部部長;在發(fā)生或也許發(fā)生一般安全事件的情況下，由業(yè)務聯(lián)系人員或信息系統(tǒng)人員在4小時內填寫《信息安全應急事件上報表》,用于業(yè)務解決跟蹤。信息安全應急事件上報表04在發(fā)生或也許發(fā)生重大安全事件的情況下,公司信息管理部門長負責４小時內牽頭組建應急響應小組。對于一般安全事件由業(yè)務部門和信息系統(tǒng)員進行跟蹤解決保證系統(tǒng)恢復。05事件發(fā)生后公司信息管理部門長負責組織信息、業(yè)務等部門人員，分析安全事件相關影響因素，擬定《應急事件解決方案》。應急事件解決方案06應急事件解決方案經財務部部長、經財務部所在中心主任簽字，應急解決事件進入執(zhí)行階段。０7信息管理部門人員根據應急解決方案，進行信息系統(tǒng)恢復、數(shù)據恢復、網絡恢復、業(yè)務方案執(zhí)行跟蹤等操作。業(yè)務環(huán)節(jié)部門根據應急解決方案,進行業(yè)務解決，并對執(zhí)行過程中出現(xiàn)的問題及時反饋應急響應小組。０8安全事件解決或恢復完后,由公司信息管理部門長根據業(yè)務解決或恢復完畢情況,報財務部長批準后,公告解除應急方案執(zhí)行。09安全事件解決完畢后,安全管理員組織相關人員填寫《信息安全事件解決結果登記表》，歸檔保存，形成安全事件知識庫。信息及業(yè)務分管部長在安全事件解決結束后，應進行信息安全事件經驗教訓總結：１)加強信息安全防護措施；２）修訂和發(fā)布安全策略、規(guī)定、流程;3)加強信息系統(tǒng)硬件和軟件的配置安全；４)修改不合理的業(yè)務流程。解決事件后,如需要進行法律取證分析，由法律部門組織進行。信息安全事件解決結果登記表第七條風險控制矩陣風險編號風險描述控制目的控制活動編號控制活動控制記錄防止/檢查自動／人工責任部門財務報表認定財務報表科目1．存在/發(fā)生2.完整性３.準確性4．截止５.權利和義務6．計價和分攤7.列報和披露123４５6７21.2-R1IT資產臺賬信息漏掉、失真,不利于信息設備的有效安全管理硬件設備臺賬規(guī)范21.2－CＡ1信息主管部門設立信息資產臺賬,臺賬內容涉及設備名稱、編號、使用單位、使用年限、啟用日期等信息,并定期根據信息資產狀態(tài)的變化及時更新臺賬。信息資產臺賬防止人工信息主管部門２1.2－R2IT資產賬實不一致,影響到財務報告的真實性保證硬件設施賬實一致２1．2-CA２財務部定期組織信息資產設施主管部門進行資產盤查，對于實物與賬務不一致的應進行因素查明，并形成盤點記錄。盤查記錄檢查人工信息主管部門√√√固定資產２１．2-R3系統(tǒng)服務器存放的物理環(huán)境不符合規(guī)定,系統(tǒng)服務器容易受損系統(tǒng)服務器保管完好21.2－CA３A機房管理員須注意機房內溫度、濕度、電壓等參數(shù),并做好記錄,發(fā)現(xiàn)異常及時采用相應措施;物理環(huán)境記錄檢查人工信息主管部門21．2-CA３B機房內服務器、網絡設備、UPS電源、空調等重要設施由專人嚴格按照規(guī)定操作，嚴禁隨意開關；防止人工信息主管部門21.2-CＡ３Ｃ機房內應保持清潔,機房嚴禁放置易燃、易爆、腐蝕、強磁性物品。機房管理員須做到防靜電、防火、防潮、防塵、防熱。機房內做好消防措施,必須放置滅火器等消防用品。防止人工信息主管部門２1.２-Ｒ４機房遭到人為或非正常性破壞,導致系統(tǒng)癱瘓系統(tǒng)服務器保管完好2１.２-CA4A非機房人員未經許可不得入內，確有必要進入機房時須認真填寫《出入機房登記表》并在機房管理員的指導下進入；出入機房登記表防止人工信息主管部門21.2-CA4B機房管理員應認真履行各項機房監(jiān)控職責，定期對機房內各類設備進行檢查和維護,及時發(fā)現(xiàn)、解決系統(tǒng)出現(xiàn)的故障,保障系統(tǒng)正常運營。檢查記錄檢查人工信息主管部門21.2－R５系統(tǒng)前臺設施維護保養(yǎng)不到位，影響到系統(tǒng)用戶的正常使用前臺系統(tǒng)設施保管完好21.2-CA5計算機使用者須保持計算機設備的清潔。計算機顯示器、機箱、鍵盤、鼠標等配件上應無明顯灰塵、臟跡。使用人必須保證電腦完好無損。如有人為損壞由負責人按價補償。防止人工信息主管部門2１.2－R6未達報廢條件的系統(tǒng)硬件設施被報廢，導致公司資產損失ＩT資產報廢合理２1．2-ＣA6ＩT資產因超過使用年限或出現(xiàn)嚴重問題經信息管理部門技術人員鑒定已無維修價值時,經部門領導批準、財務部信息管理部門審核,按照報廢資產授權審批權限審批后進行報廢。資產報廢申請審批單防止人工信息主管部門21.２-R７系統(tǒng)硬件設施報廢時內存的數(shù)據信息泄露，也許給公司導致經濟損失系統(tǒng)數(shù)據信息得到保密21．2-ＣA7系統(tǒng)硬件報廢時對于內存的數(shù)據信息由財務部信息管理部門技術人員就內存的數(shù)據信息隔離掉方可進行報廢處置。防止人工信息主管部門２1.2－Ｒ8系統(tǒng)變更隨意執(zhí)行,難以保證系統(tǒng)的安全有效運營系統(tǒng)變更符合需求２1.２－ＣＡ8系統(tǒng)使用用戶對于需要進行系統(tǒng)變更時，需以書面形式提出系統(tǒng)變更申請，具體說明系統(tǒng)變更的因素，報財務部信組主管審核。系統(tǒng)變更申請防止人工信息主管部門21.2-R9系統(tǒng)變更后的效果達不到預期目的，導致系統(tǒng)變更資源的浪費系統(tǒng)變更符合需求21．2-CA9系統(tǒng)變更申請在信息管理部門初步審核通過后,由系統(tǒng)變更需求部門會同信息管理部門組成系統(tǒng)變更開發(fā)小組進行系統(tǒng)變更的可行性分析論證?？尚行苑治稣撟C記錄防止人工信息主管部門２1．2-R10人為惡意襲擊隱藏在信息系統(tǒng)中,也許導致嚴重損失保證系統(tǒng)安全21.2-CA1０公司建立規(guī)范嚴謹?shù)墓芾聿呗耘c程序，安裝防病毒軟件來防止和檢測計算機病毒；防病毒軟件要定期的進行更新。防止人工信息主管部門21.2-R1１員工惡意或非惡意濫用系統(tǒng)資源,導致系統(tǒng)運營效率減少保證系統(tǒng)安全21.２-ＣA１1公司所有用戶必須高度重視計算機規(guī)范使用與信息安全，信息管理部門每月須組織一次公司范圍的計算機系統(tǒng)使用檢查。檢查記錄檢查人工信息主管部門２１.2-R12系統(tǒng)程序缺陷或漏洞安全防護不夠,導致遭受黑客襲擊,導致信息泄露。保證系統(tǒng)安全2１.2-ＣA12A辦公用電腦內嚴禁安裝、運營任何非法軟件。一經發(fā)現(xiàn)使用非法軟件，信息管理部門應及時清理并追查有關人員責任;防止人工信息主管部門２1.2－CA１2B公司信息管理部門建立相關系統(tǒng)防護體系,涉及防火墻、路由器、IDS、互換機及其他相關ＩT設備的到適當配置以阻止未經授權的侵入。防止人工信息主管部門21.2-R13系統(tǒng)出現(xiàn)突發(fā)性故障，影響到業(yè)務正常運營保證系統(tǒng)安全２１.2-CA13建立系統(tǒng)突發(fā)故障的應急預案,并就應急預案組織進行演練。應急預案及演練記錄防止人工信息主管部門２1.2-R14系統(tǒng)數(shù)據丟失，導致公司經濟損失系統(tǒng)數(shù)據安全21.2-CＡ１4A用戶應妥善做好本計算機內信息的備份。對于重要的文獻、郵件要及時備份。備份的信息應存放在非系統(tǒng)盤內或者其它存儲設備上。特別重要的信息必須建立兩個以上備份；防止人工信息主管部門2１.2-ＣA１４B公司各信息系統(tǒng)的公共數(shù)據由信息管理部門定期統(tǒng)一備份。公司信息管理部門設立專人負責數(shù)據備份工作。備份數(shù)據刻錄到光盤等介質上,交由財務檔案管理部門統(tǒng)一保存。備份清單防止人工信息主管部門2１.2-R15備份的數(shù)據無法恢復,影響到業(yè)務的正常運營系統(tǒng)數(shù)據安全２1.2－CA15建立數(shù)據的劫難恢復機制，對于數(shù)據備份后應進行數(shù)據備份的恢復演習。防止人工信息主管部門21.2－R1６機密數(shù)據在系統(tǒng)傳輸過程泄露，導致公司經濟損失系統(tǒng)數(shù)據信息得到保密２1．２-CA16A所有用戶在未采用適當保密措施與安全技術的情況下,不得將涉及公司商業(yè)秘密的信息如工作流文獻、演講稿、產品培訓資料、招投標文獻等數(shù)據資料上網傳送互換或者采用其他任何方式透露給第三方；防止人工信息主管部門２1.2-CA16B郵件用戶有義務保證所發(fā)送的具有重要內容郵件的安全,對于此類郵件應采用加密方式發(fā)送。防止人工信息主管部門２1.2－R1７信息檔案的保管期限不夠長，影響到后期的檢閱和使用信息檔案保管完好2１.2-CA17信息檔案由財務檔案管理部門負責進行統(tǒng)一保管,按照公司的保管期限進行保管。防止人工財務部２1．2-R18系統(tǒng)用戶權限設立不恰當，影響到系統(tǒng)數(shù)據的安全系統(tǒng)數(shù)據安全２1.2－CA1８系統(tǒng)用戶權限增長、刪除或更改設立時需由系統(tǒng)用戶部門提出權限設立申請,經部門部長審核，并交由信息主管部門審批方可進行設立。用戶權限設立申請防止人工信息主管部門2１.2-R１9用戶權限被別人隨意使用,影響到系統(tǒng)數(shù)據安全系統(tǒng)數(shù)據安全2１.2-ＣＡ19嚴禁用戶將系統(tǒng)用戶權限轉借給別人使用,用戶使用者保護好自己的用戶賬號和登陸密碼。防止人工信息主管部門２1.2-R２0用戶賬號和登錄密碼泄露或被別人盜取，影響到系統(tǒng)的數(shù)據安全系統(tǒng)數(shù)據安全２１．２－ＣA２９所有用戶應及時設立或更改自己的各種信息系統(tǒng)密碼，對于密碼達不到規(guī)定（8個字符以上)的用戶賬號，信息管理部門有權進行賬號禁用。防止人工信息主管部門21．2-R21進入系統(tǒng)的數(shù)據不準確、不完整、不及時,導致輸出結果錯誤，甚至導致財產損失。輸入系統(tǒng)數(shù)據真實無誤21．2-ＣA21A數(shù)據在輸入進系統(tǒng)之前,需對采集的原始數(shù)據的合法性、完整性、準確性等由獨立于數(shù)據采集、編制人員進行審核；防止人工相關部門2１.2-CＡ２１B數(shù)據在輸入時需通過授權審批后方可輸入進系統(tǒng);公司可運用計算機自身的校驗功能對輸入計算機系統(tǒng)的數(shù)據進行相應的邏輯檢查。防止人工相關部門21.2-Ｒ2２用戶不對的操作信息系統(tǒng),隨意增長、刪減操作軟件，容易導致系統(tǒng)損壞保證系統(tǒng)安全21.2-CA22A各部門單位系統(tǒng)軟件操作人員必須按照軟件操作手冊(操作流程)操作，不得隨意安裝、刪除、修改相關操作軟件；防止人工相關部門21.２-CA22B加強信息系統(tǒng)操作人員的嚴密監(jiān)控,系統(tǒng)管理員應定期檢查工作日記,核算操作人員的上機時間、操作內容等。防止人工信息主管部門2１.2－R２3信息系統(tǒng)解決過程未留下具體軌跡,導致出現(xiàn)錯誤時無法追蹤。系統(tǒng)解決可追溯21.2-CA23在系統(tǒng)內部設立并打開系統(tǒng)操作日記功能,對系統(tǒng)解決的過程進行記錄。防止人工信息主管部門２1.2－Ｒ２4未經授權非法解決業(yè)務，容易導致系統(tǒng)數(shù)據被篡改的風險系統(tǒng)數(shù)據安全21.２-CＡ2４在系統(tǒng)中設立解決權限的程序化控制;對于超過自己權限范圍,需獲得授權審批方可進行業(yè)務解決。防止人工信息主管部門21.2-R25輸出的信息內容在對的性和完整性、形式的規(guī)范性等方面存在質量問題，無法滿足用戶的需求。輸出的系統(tǒng)數(shù)據真實無誤21.２-CＡ25Ａ業(yè)務人員對于系統(tǒng)輸出控制總數(shù)與輸入控制總數(shù)、解決控制總數(shù)相核對;檢查人工相關部門21.2-CA25B對于財務報表數(shù)據，在報表數(shù)據輸出前，可由計算機檢查報表間應有的勾稽關系是否滿足規(guī)定。檢查人工財務部２1.2-ＣA２５C業(yè)務人員對于打印輸出的文獻由人工進行肉眼和合理性審查，檢查其是否出現(xiàn)錯漏。檢查人工相關部門２1.2-R26敏感信息被非授權用戶獲取，給公司導致?lián)p失系統(tǒng)數(shù)據安全21.2-CA26計算機系統(tǒng)輸出的信息應限制未經批準的人員接觸，系統(tǒng)輸出的文獻應由資料保管員或兼職人員負責保管。同時，打印的資料分發(fā)應建立簽收制度，收件人應簽署收件的日期、文獻和署名，以便日后檢查。防止人工相關部門21.２-R27輸出的信息被篡改,影響到用戶的有效使用和決策系統(tǒng)數(shù)據安全21.2－ＣA27A業(yè)務人員對于系統(tǒng)輸出控制總數(shù)與輸入控制總數(shù)、解決控制總數(shù)相核對；檢查人工相關部門2１.2-CA27B對于財務報表數(shù)據，在報表數(shù)據輸出前,可由計算機檢查報表間應有的勾稽關系是否滿足規(guī)定。檢查人工財務部2１.2-CＡ27C業(yè)務人員對于打印輸出的文獻由人工進行肉眼和合理性審查，檢查其是否出現(xiàn)錯漏。檢查人工相關部門第八條相關文獻及表單(一)相關文獻《第三方與外包安全管理規(guī)定》《ERP-ＮC系統(tǒng)管理規(guī)定》《糧食收購系統(tǒng)管理規(guī)定》《賬號安全管理規(guī)定》《計算機安全檢查標準》《計算機用戶行為守冊》(二)表單業(yè)務流程表單名稱信息系統(tǒng)自行開發(fā)流程需求調研計劃需求調研報告項目系統(tǒng)切換計劃項目驗收報告信息系統(tǒng)項目開發(fā)-立項信息系統(tǒng)項目開發(fā)-實行信息系統(tǒng)運營與維護流程應用系統(tǒng)變更申請單信息系統(tǒng)權限申請使用ＯA系統(tǒng)申請使用OＡ系統(tǒng)申請數(shù)據備份管理流程無計算機用戶管理流程無

第三部分信息系統(tǒng)管理細則（一)物聯(lián)網人員管理細則第一章總則為加強公司園區(qū)綜合智能管理人員管理信息化系統(tǒng)(以下簡稱“園區(qū)管理系統(tǒng)”)的員工考勤、食堂就餐、門禁系統(tǒng)和訪客系統(tǒng)的規(guī)劃、建設和管理,提高信息系統(tǒng)的可靠性、穩(wěn)定