2023年中糧生化信息系統(tǒng)管理制度

中糧生物化學(xué)（安徽）股份有限公司第二十一篇信息系統(tǒng)管理（ZＬSH／2１－1．0)目錄第一部分信息系統(tǒng)管理制度 1第一章概述 1第二章信息系統(tǒng)開發(fā)管理 3第三章信息系統(tǒng)運(yùn)行與維護(hù) 4第四章附則 6第二部分信息系統(tǒng)建設(shè)流程 7第一章信息系統(tǒng)開發(fā) 7第二章信息系統(tǒng)運(yùn)行與維護(hù) 20第一節(jié)IT資產(chǎn)管理 20第二節(jié)應(yīng)用系統(tǒng)管理 25第三節(jié)應(yīng)急響應(yīng)管理 36第三部分信息系統(tǒng)管理細(xì)則 63（一）物聯(lián)網(wǎng)人員管理細(xì)則 63（二）糧食收購系統(tǒng)管理規(guī)定 68（三）安徽生化帳號(hào)安全管理規(guī)定 73（四）計(jì)算機(jī)用戶行為守則 76（五）計(jì)算機(jī)安全檢查標(biāo)準(zhǔn) 83（六）第三方與外包安全管理規(guī)定 85（七）ERP-NC系統(tǒng)管理規(guī)定 90第四部分信息系統(tǒng)管理業(yè)務(wù)表單 93第一部分信息系統(tǒng)管理制度第一章概述為了引導(dǎo)公司充足運(yùn)用信息系統(tǒng)規(guī)范交易行為,提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性，減少人為因素導(dǎo)致內(nèi)部控制失效的也許性,形成良好的信息傳遞渠道,根據(jù)國家有關(guān)法律法規(guī)和《公司內(nèi)部控制基本規(guī)范》、《公司內(nèi)部控制應(yīng)用指引》、《公司內(nèi)部控制評(píng)價(jià)指引》，制定本制度。本制度所稱計(jì)算機(jī)信息系統(tǒng)是指運(yùn)用計(jì)算機(jī)技術(shù)對(duì)業(yè)務(wù)和信息進(jìn)行集成解決的程序、數(shù)據(jù)和文檔等的總稱。公司運(yùn)用信息系統(tǒng)實(shí)行至少應(yīng)當(dāng)關(guān)注下列風(fēng)險(xiǎn)：（一）信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)，也許遭受外部處罰、經(jīng)濟(jì)損失和信譽(yù)損失。（二）信息系統(tǒng)開發(fā)與使用未經(jīng)適當(dāng)審核或超越授權(quán)審批，也許因重大差錯(cuò)、舞弊、欺詐而導(dǎo)致?lián)p失。（三)信息系統(tǒng)設(shè)計(jì)功能不科學(xué)、維護(hù)與變更程序不規(guī)范,也許導(dǎo)致公司經(jīng)營管理效率與效果低下。(四)信息系統(tǒng)外包服務(wù)未恰當(dāng)履行或監(jiān)控不妥,也許導(dǎo)致公司權(quán)益受損或違約損失。(五）信息系統(tǒng)訪問安全措施不妥,也許導(dǎo)致商業(yè)秘密泄露。(六)信息系統(tǒng)硬件管理不妥,也許導(dǎo)致資產(chǎn)或股東權(quán)益受損。公司在建立與實(shí)行信息系統(tǒng)內(nèi)部控制中，必須至少強(qiáng)化對(duì)下列關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的控制：（一)職責(zé)分工、權(quán)限范圍和審批程序必須明確規(guī)范,機(jī)構(gòu)設(shè)立和人員配備必須科學(xué)合理，重大信息系統(tǒng)開發(fā)與使用事項(xiàng)必須履行審批程序。(二）公司負(fù)責(zé)人對(duì)信息系統(tǒng)建設(shè)工作負(fù)責(zé)，信息系統(tǒng)開發(fā)、變更和維護(hù)流程必須清楚合理。（三）公司必須加強(qiáng)信息系統(tǒng)外包開發(fā)全過程的監(jiān)督管理，督促開發(fā)單位按照規(guī)定完畢工作，組織專業(yè)機(jī)構(gòu)進(jìn)行檢查驗(yàn)收,組織系統(tǒng)上線運(yùn)營。(四）必須建立訪問安全制度,對(duì)操作權(quán)限、信息使用、信息管理進(jìn)行明確規(guī)定。（五）硬件管理事項(xiàng)和審批程序必須科學(xué)合理。（六）信息系統(tǒng)管理業(yè)務(wù)中，執(zhí)行、審批、監(jiān)督、記錄的職責(zé)必須做到互相分離。公司信息管理部門職責(zé)：（二）負(fù)責(zé)信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)結(jié)果的驗(yàn)收及系統(tǒng)使用情況反饋；（三)負(fù)責(zé)系統(tǒng)項(xiàng)目外委供應(yīng)商的選擇、系統(tǒng)項(xiàng)目進(jìn)度的跟蹤控制及驗(yàn)收;(四）負(fù)責(zé)組織系統(tǒng)用戶培訓(xùn);（五)負(fù)責(zé)建立健全各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護(hù)和系統(tǒng)變更實(shí)行;(六)負(fù)責(zé)權(quán)限開設(shè)、變更或注銷申請(qǐng)審核、系統(tǒng)數(shù)據(jù)的備份以及監(jiān)督系統(tǒng)用戶的操作行為。第二章信息系統(tǒng)開發(fā)管理公司應(yīng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案,明確建設(shè)目的、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容,按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)行。公司下屬子公司的信息化建設(shè)由公司信息管理部門統(tǒng)一規(guī)劃和審批。公司信息管理部門應(yīng)組織內(nèi)部提出開發(fā)需求和關(guān)鍵控制點(diǎn),規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計(jì)、編程、安裝調(diào)試、驗(yàn)收、上線等全過程的管理規(guī)定,嚴(yán)格按照建設(shè)方案、開發(fā)流程和相關(guān)規(guī)定組織開發(fā)工作。公司開發(fā)信息系統(tǒng),可以采用自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等方式。公司在開發(fā)信息系統(tǒng)需選擇外包服務(wù)商時(shí)，要充足考慮服務(wù)商的市場(chǎng)信譽(yù)、資質(zhì)條件、財(cái)務(wù)狀況、服務(wù)能力、對(duì)本公司業(yè)務(wù)的熟悉限度、既往承包服務(wù)成功案例等因素,對(duì)外包服務(wù)商進(jìn)行嚴(yán)格篩選。選定外購調(diào)試或業(yè)務(wù)外包方式的,根據(jù)公司招標(biāo)管理制度的規(guī)定選擇采購方式，履行業(yè)務(wù)審批手續(xù)。公司信息管理部門應(yīng)組織公司內(nèi)部各有關(guān)部門提出開發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流,經(jīng)綜合分析提煉后形成合理的需求。信息管理部門應(yīng)就總體設(shè)計(jì)方案與業(yè)務(wù)部門進(jìn)行溝通和討論，說明方案對(duì)用戶需求的覆蓋情況；存在備選方案的,必須具體說明各方案在成本、建設(shè)時(shí)間和用戶需求響應(yīng)上的差異；信息系統(tǒng)管理部門和業(yè)務(wù)部門應(yīng)對(duì)選定的設(shè)計(jì)方案予以書面確認(rèn)。公司開發(fā)信息系統(tǒng),應(yīng)將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和解決規(guī)則嵌入系統(tǒng)程序，實(shí)現(xiàn)手工環(huán)境下難以實(shí)現(xiàn)的控制功能。公司在系統(tǒng)開發(fā)過程中,應(yīng)按照不同業(yè)務(wù)的控制規(guī)定,通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限,避免將不相容職責(zé)的解決權(quán)限授予同一用戶。信息管理部門應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、重要限度、涉密情況等擬定信息系統(tǒng)的安全等級(jí),建立不同等級(jí)信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)營安全有序。對(duì)于信息系統(tǒng)的使用者和不同安全等級(jí)信息之間的授權(quán)關(guān)系,必須在系統(tǒng)開發(fā)建設(shè)階段就形成方案并加以設(shè)計(jì)，在軟件系統(tǒng)中預(yù)留這種相應(yīng)關(guān)系的設(shè)立功能，以便根據(jù)使用者崗位職務(wù)的變遷進(jìn)行調(diào)整。公司應(yīng)針對(duì)不同數(shù)據(jù)的輸入方式，考慮對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能。對(duì)于必需的后臺(tái)操作，應(yīng)加強(qiáng)管理，建立規(guī)范的流程制度，對(duì)操作情況進(jìn)行監(jiān)控或者審計(jì)。公司應(yīng)在信息系統(tǒng)中設(shè)立操作日記功能，保證操作的可審計(jì)性。對(duì)異常的或者違反內(nèi)部控制規(guī)定的交易和數(shù)據(jù),必須設(shè)計(jì)由系統(tǒng)自動(dòng)報(bào)告并設(shè)立跟蹤解決機(jī)制。信息管理部門應(yīng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理,組織開發(fā)單位與內(nèi)部的平常溝通和協(xié)調(diào),督促開發(fā)單位按照建設(shè)方案、計(jì)劃進(jìn)度和質(zhì)量規(guī)定完畢編程工作，對(duì)配備的硬件設(shè)備和系統(tǒng)軟件進(jìn)行檢查驗(yàn)收,組織系統(tǒng)上線運(yùn)營等。公司應(yīng)組織獨(dú)立于開發(fā)單位的專業(yè)機(jī)構(gòu)對(duì)開發(fā)完畢的信息系統(tǒng)進(jìn)行驗(yàn)收測(cè)試,保證在功能、性能、控制規(guī)定和安全性等方面符合開發(fā)需求。驗(yàn)收測(cè)試合格之后方可上線。公司應(yīng)做好信息系統(tǒng)上線的各項(xiàng)準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員,制定科學(xué)的上線計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案,考慮應(yīng)急預(yù)案，保證新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還必須制定具體的數(shù)據(jù)遷移計(jì)劃。第三章信息系統(tǒng)運(yùn)營與維護(hù)信息管理部門應(yīng)加強(qiáng)信息系統(tǒng)運(yùn)營與維護(hù)的管理，制定信息系統(tǒng)工作程序、制度及具體操作規(guī)范,及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)營中存在的問題，保證信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范連續(xù)穩(wěn)定運(yùn)營。信息管理部門定期對(duì)信息系統(tǒng)進(jìn)行維護(hù)和測(cè)試，并形成測(cè)試維護(hù)報(bào)告,以保證信息系統(tǒng)運(yùn)營安全穩(wěn)定。公司委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)營與維護(hù)管理的，必須嚴(yán)格審查其資質(zhì)條件、市場(chǎng)聲譽(yù)和信用狀況等,并與其簽訂正式的服務(wù)協(xié)議和保密協(xié)議。公司必須有效運(yùn)用技術(shù)手段,對(duì)硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制，設(shè)立安全參數(shù),保證系統(tǒng)訪問安全。信息系統(tǒng)變更必須嚴(yán)格遵照管理流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、修改等操作;不得擅自升級(jí)、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置。公司信息管理部門必須根據(jù)業(yè)務(wù)性質(zhì)、重要性限度、涉密情況等擬定信息系統(tǒng)的安全等級(jí),建立不同等級(jí)信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)營安全有序。公司必須建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度。委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)營與維護(hù)管理的，必須審查該機(jī)構(gòu)的資質(zhì)，并與其簽訂服務(wù)協(xié)議和保密協(xié)議。公司必須制定相應(yīng)的密碼策略,保證公司用戶賬戶的安全。必須采用安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。公司必須建立用戶管理制度，加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號(hào),避免授權(quán)不妥或存在非授權(quán)賬號(hào),嚴(yán)禁不相容職務(wù)用戶賬號(hào)的交叉操作。必須綜合運(yùn)用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測(cè)等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段,加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的襲擊和非法侵入。對(duì)于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù),必須采用加密措施，保證信息傳遞的保密性、準(zhǔn)確性和完整性。建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、負(fù)責(zé)人、存放地點(diǎn)、有效性檢查等內(nèi)容。定期進(jìn)行信息系統(tǒng)災(zāi)備演練,并制定信息系統(tǒng)緊急預(yù)案,保證信息系統(tǒng)的安全。公司信息管理部門應(yīng)加強(qiáng)機(jī)房管理,設(shè)立門禁制度，非機(jī)房工作人員因工作需要進(jìn)入機(jī)房的必須做登記記錄。公司信息管理部門應(yīng)加強(qiáng)服務(wù)器等關(guān)鍵信息設(shè)備的管理,建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查，及時(shí)解決異常情況。未經(jīng)授權(quán),任何人不得接觸關(guān)鍵信息設(shè)備。系統(tǒng)停止運(yùn)營報(bào)廢后,必須將廢棄系統(tǒng)中有價(jià)值或者涉密的信息進(jìn)行銷毀、轉(zhuǎn)移,妥善保管相關(guān)信息檔案。第四章附則本細(xì)則由信息管理部門負(fù)責(zé)解釋。本細(xì)則自下發(fā)之日起施行。第二部分信息系統(tǒng)建設(shè)流程第一章信息系統(tǒng)開發(fā)第一條目的為了加強(qiáng)、規(guī)范中糧生物化學(xué)（安徽)股份有限公司(以下簡稱“中糧生化”或“公司”）信息系統(tǒng)自行開發(fā)與系統(tǒng)項(xiàng)目(IＴ項(xiàng)目）的建設(shè)，有效規(guī)避信息系統(tǒng)自行開發(fā)與系統(tǒng)項(xiàng)目建設(shè)過程中的風(fēng)險(xiǎn)，特制訂本管理標(biāo)準(zhǔn)。第二條合用范圍本管理標(biāo)準(zhǔn)合用于公司及其下屬子公司。第三條定義范圍及術(shù)語計(jì)算機(jī)信息系統(tǒng):是指運(yùn)用計(jì)算機(jī)技術(shù)對(duì)業(yè)務(wù)和信息進(jìn)行集成解決的程序、數(shù)據(jù)和文檔等的總稱。信息系統(tǒng)開發(fā)：信息系統(tǒng)開發(fā)涉及信息系統(tǒng)內(nèi)部自行開發(fā)和信息系統(tǒng)項(xiàng)目外委開發(fā)。信息系統(tǒng)項(xiàng)目（IT項(xiàng)目）：是指公司機(jī)房、網(wǎng)絡(luò)、數(shù)據(jù)中心等基礎(chǔ)設(shè)施建設(shè)項(xiàng)目，內(nèi)部網(wǎng)、外部網(wǎng)、郵件、辦公自動(dòng)化等基礎(chǔ)平臺(tái)建設(shè)項(xiàng)目,公司資源計(jì)劃（ERP)或財(cái)務(wù)、人力資源、生產(chǎn)、采購、庫存、物流、銷售及其他管理信息系統(tǒng)建設(shè)項(xiàng)目。第四條職責(zé)分工信息管理部門:負(fù)責(zé)信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)方案的制訂、實(shí)行、驗(yàn)收及系統(tǒng)使用情況反饋;負(fù)責(zé)系統(tǒng)項(xiàng)目外委供應(yīng)商的選擇、系統(tǒng)項(xiàng)目進(jìn)度的跟蹤控制、系統(tǒng)項(xiàng)目的測(cè)試、上線及驗(yàn)收；負(fù)責(zé)組織系統(tǒng)用戶培訓(xùn)的實(shí)行;使用部門：負(fù)責(zé)提出系統(tǒng)開發(fā)需求申請(qǐng)、系統(tǒng)開發(fā)方案的審核確認(rèn)；財(cái)務(wù)部:負(fù)責(zé)系統(tǒng)開發(fā)方案的審核。第五條業(yè)務(wù)流程(一）信息系統(tǒng)自行開發(fā)－-流程圖（二)信息系統(tǒng)自行開發(fā)－流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01業(yè)務(wù)部門根據(jù)業(yè)務(wù)需求,整理初步的需求文檔,并附有簽報(bào)紙。通過部門審批和該部門所在中心主任審批后，送至財(cái)務(wù)部信息主管審批。業(yè)務(wù)需求文檔簽報(bào)紙02財(cái)務(wù)部信息主管根據(jù)業(yè)務(wù)需求,結(jié)合現(xiàn)有系統(tǒng)應(yīng)用情況和公司信息化規(guī)劃,審批是自行開發(fā)實(shí)行,還是外包(本流程重要針對(duì)自行開發(fā)實(shí)行設(shè)計(jì))。并指定人員進(jìn)行需求調(diào)研和方案設(shè)計(jì)。審核點(diǎn)：1.需求合理性;2.是否符合公司信息化規(guī)劃;３.系統(tǒng)間兼容性；4．開發(fā)對(duì)象安全影響。0３需求調(diào)研階段，根據(jù)業(yè)務(wù)部門初步需求進(jìn)行具體調(diào)研，挖掘潛在需求,并對(duì)需求合理化。在數(shù)據(jù)庫設(shè)計(jì)中更要充足考慮數(shù)據(jù)庫安全性。具體需求文檔0４根據(jù)《具體需求文檔》設(shè)計(jì)開發(fā)實(shí)行方案,涉及工作量評(píng)估、開發(fā)周期和開發(fā)預(yù)算,信息主管審核方案可行無誤后，送至申請(qǐng)部門審核。開發(fā)實(shí)行方案0５申請(qǐng)部門對(duì)《開發(fā)設(shè)計(jì)方案》進(jìn)行審核。審核點(diǎn)：1.開發(fā)方案是否滿足業(yè)務(wù)需求;2.系統(tǒng)設(shè)計(jì)的和諧性。批準(zhǔn)后,申請(qǐng)部門部長審核簽字。06申請(qǐng)部門所在中心主任審批。０7財(cái)務(wù)部審核《開發(fā)設(shè)計(jì)方案》是否符合財(cái)務(wù)管控規(guī)定和預(yù)算的合理性。０8財(cái)務(wù)總監(jiān)審批。0９根據(jù)《開發(fā)設(shè)計(jì)方案》進(jìn)行開發(fā),測(cè)試通過后，進(jìn)行實(shí)行上線。10系統(tǒng)上線３個(gè)月后出具驗(yàn)收?qǐng)?bào)告。（三)信息系統(tǒng)項(xiàng)目-立項(xiàng)—流程圖(四)信息系統(tǒng)項(xiàng)目－立項(xiàng)—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01業(yè)務(wù)部門根據(jù)業(yè)務(wù)需求,整理初步的需求文檔,并附有簽報(bào)紙。通過部門審批和公司分管副總審批后，送至信息主管審批。業(yè)務(wù)需求文檔簽報(bào)紙02信息主管根據(jù)業(yè)務(wù)需求，結(jié)合現(xiàn)有系統(tǒng)應(yīng)用情況和公司信息化規(guī)劃,審批是自行開發(fā)實(shí)行,還是外包(本流程重要針對(duì)外包設(shè)計(jì))。并指定人員進(jìn)行需求調(diào)研和方案設(shè)計(jì)。審核點(diǎn):1.需求合理性;2．是否符合公司信息化規(guī)劃；3.系統(tǒng)間兼容性;4.開發(fā)對(duì)象安全影響。０3需求調(diào)研階段，根據(jù)業(yè)務(wù)部門初步需求進(jìn)行具體調(diào)研，挖掘潛在需求，并對(duì)需求合理化。出具可《具體需求文檔》和《可行性分析報(bào)告》。具體需求文檔可行性分析報(bào)告０４根據(jù)《具體需求文檔》中的預(yù)算情況審核該項(xiàng)目是否在預(yù)算范圍內(nèi)。05根據(jù)《具體需求文檔》和《可行性分析報(bào)告》審核項(xiàng)目的可行性和對(duì)管理起到的提高作用，并對(duì)整個(gè)項(xiàng)目的預(yù)算加以審核控制。06結(jié)合公司信息化規(guī)劃審核項(xiàng)目的可行性和必要性。(五)信息系統(tǒng)項(xiàng)目-實(shí)行—流程圖（六）信息系統(tǒng)項(xiàng)目-實(shí)行—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01立項(xiàng)后,項(xiàng)目承包商的選擇應(yīng)采用競(jìng)爭性談判或競(jìng)爭性邀標(biāo)方式進(jìn)行，具體規(guī)定信息管理部門按照《第三方與外包安全管理規(guī)定》來選擇擬定供應(yīng)商。招標(biāo)或談判記錄《第三方與外包安全管理規(guī)定》０２信息管理部門擬定供應(yīng)商后,根據(jù)經(jīng)濟(jì)協(xié)議管理標(biāo)準(zhǔn)簽訂采購協(xié)議。03建立項(xiàng)目組，制度項(xiàng)目實(shí)行方案。開發(fā)原則：1.檢查所有的命令行參數(shù)２.檢查所有的系統(tǒng)調(diào)用參數(shù)和返回代碼3.擬定所有的緩存都被檢查過４.在變量的內(nèi)容被拷貝到本地緩存之前對(duì)變量進(jìn)行邊界檢查5.檢查是否有后門帳戶及代碼6.內(nèi)部有做完整性檢查的代碼7.生成日記記錄，涉及日期、時(shí)間、進(jìn)程號(hào)、終端信息、命令行參數(shù)、錯(cuò)誤和主機(jī)名8.使核心程序盡也許小而簡樸9.用全途徑名做文獻(xiàn)參數(shù)10.檢查用戶的輸入,保證只有合規(guī)字符１1．使用會(huì)話加密來避免會(huì)話搶劫和隱藏驗(yàn)證信息12．假如也許,靜態(tài)連接安全程序1３.當(dāng)需要主機(jī)名時(shí)使用ＤNS逆向解釋14．在網(wǎng)絡(luò)服務(wù)程序里分散和限制過多的負(fù)載15.在網(wǎng)絡(luò)的讀和寫里放置適當(dāng)?shù)某瑫r(shí)限制16.防止服務(wù)程序運(yùn)營超過一個(gè)以上的拷貝１7.避免將文獻(xiàn)創(chuàng)建在所有人可寫的目錄里18.要設(shè)立信任的IP地址,可選用密碼算法驗(yàn)證項(xiàng)目實(shí)行方案０４根據(jù)《項(xiàng)目實(shí)行方案》按環(huán)節(jié)的執(zhí)行。0５根據(jù)《項(xiàng)目實(shí)行方案》中制定的階段檢查階段性成果，并出具階段性驗(yàn)收?qǐng)?bào)告。階段性驗(yàn)收?qǐng)?bào)告06信息系統(tǒng)部署完畢后進(jìn)行系統(tǒng)測(cè)試,涉及功能測(cè)試、壓力測(cè)試、性能測(cè)試、安全功能測(cè)試等,并出具《測(cè)試報(bào)告》。測(cè)試報(bào)告07組織系統(tǒng)用戶培訓(xùn)，考試成績合格后方可有系統(tǒng)使用權(quán)。用戶培訓(xùn)報(bào)告08系統(tǒng)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)初始化。初始化數(shù)據(jù)表0９系統(tǒng)試運(yùn)營，將真實(shí)業(yè)務(wù)在系統(tǒng)中運(yùn)營,并編制試運(yùn)營報(bào)告。試運(yùn)營報(bào)告10系統(tǒng)試運(yùn)營測(cè)試后,項(xiàng)目組編制上線計(jì)劃,系統(tǒng)上線正式運(yùn)營。正式運(yùn)營后對(duì)系統(tǒng)文檔進(jìn)行維護(hù)管理,系統(tǒng)文檔由應(yīng)用系統(tǒng)管理員統(tǒng)一管理。只有通過授權(quán)的人員才可以訪問文檔管理服務(wù)器。應(yīng)用軟件開發(fā)的系統(tǒng)文檔涉及：需求分析文檔、需求審批文檔、概要設(shè)計(jì)文檔、安全設(shè)計(jì)文檔、具體設(shè)計(jì)文檔、各階段測(cè)試報(bào)告文檔、項(xiàng)目協(xié)議文檔,系統(tǒng)驗(yàn)收文檔、系統(tǒng)上線文檔、項(xiàng)目變更文檔等。并附文檔清單《系統(tǒng)開發(fā)與維護(hù)文檔清單》。上線計(jì)劃、系統(tǒng)開發(fā)與維護(hù)文檔清單11項(xiàng)目驗(yàn)收工作由項(xiàng)目經(jīng)理負(fù)責(zé)組織，使用單位和信息管理部門共同出具《驗(yàn)收?qǐng)?bào)告》。項(xiàng)目驗(yàn)收時(shí)對(duì)于項(xiàng)目建設(shè)過程中涉及到的所有文檔、使用手冊(cè)和軟件介質(zhì)等相關(guān)資料要做好移交工作。文檔移交應(yīng)作為項(xiàng)目驗(yàn)收的重要內(nèi)容之一。驗(yàn)收?qǐng)?bào)告第六條風(fēng)險(xiǎn)控制矩陣風(fēng)險(xiǎn)編號(hào)風(fēng)險(xiǎn)描述控制目的控制活動(dòng)編號(hào)控制活動(dòng)控制記錄防止/檢查自動(dòng)/人工責(zé)任部門財(cái)務(wù)報(bào)表認(rèn)定財(cái)務(wù)報(bào)表科目1．存在/發(fā)生2.完整性3．準(zhǔn)確性4.截止5．權(quán)利和義務(wù)6.計(jì)價(jià)和分?jǐn)?.列報(bào)和披露1234567２1.1－Ｒ1存在信息孤島現(xiàn)象，各系統(tǒng)各自為政，削弱了信息系統(tǒng)的協(xié)同效用,甚至引發(fā)系統(tǒng)沖突各系統(tǒng)模塊有效對(duì)接2１．１－CＡ１Ａ在信息化的過程中，需要將公司的各類資源如人員、設(shè)備、資金、組織機(jī)構(gòu)、物料等各種數(shù)據(jù)建立滿足系統(tǒng)應(yīng)用的基礎(chǔ)數(shù)據(jù)庫,制定適合信息化數(shù)據(jù)傳遞的標(biāo)準(zhǔn)規(guī)范和各應(yīng)用系統(tǒng)間的集成標(biāo)準(zhǔn),保證數(shù)據(jù)的統(tǒng)一性和一致性,達(dá)成數(shù)據(jù)高度共享。防止自動(dòng)信息管理部門２1.1-CA1B無論購買商品化軟件還是定向開發(fā),都應(yīng)支持?jǐn)?shù)據(jù)接口規(guī)范，保證應(yīng)用系統(tǒng)的升級(jí)以及系統(tǒng)間的數(shù)據(jù)互換。防止自動(dòng)信信息管理部門21．1-R２信息系統(tǒng)與公司業(yè)務(wù)需求相脫節(jié)，減少了信息系統(tǒng)的應(yīng)用價(jià)值信息系統(tǒng)符合業(yè)務(wù)需求21.1-CA2A項(xiàng)目發(fā)起單位要向信息技術(shù)部門提交正式的、具體的需求報(bào)告，需求報(bào)告中要涉及具體的項(xiàng)目需求、范圍和時(shí)間進(jìn)度等。系統(tǒng)開發(fā)需求報(bào)告防止人工信息管理部門21.１－CA2B需求報(bào)告通過信息管理部門初審后，項(xiàng)目的發(fā)起部門必須會(huì)同信息管理部門共同組建項(xiàng)目小組,項(xiàng)目小組進(jìn)行項(xiàng)目可行性研究,編寫項(xiàng)目可研報(bào)告?？尚行匝芯繄?bào)告防止人工信息管理部門２１.1-CＡ2C項(xiàng)目小組形成項(xiàng)目可研報(bào)告提交公司信息主管領(lǐng)導(dǎo)審核。審核記錄防止人工信息管理部門２1.1－R3信息系統(tǒng)建設(shè)缺少項(xiàng)目計(jì)劃或者計(jì)劃不妥,導(dǎo)致項(xiàng)目進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下信息系統(tǒng)開發(fā)過程得到有效控制２１.1－ＣA3項(xiàng)目小組制定項(xiàng)目實(shí)行概略方案,涉及項(xiàng)目實(shí)行進(jìn)度、資質(zhì)審核，項(xiàng)目預(yù)算等信息內(nèi)容,并提交公司信息主管領(lǐng)導(dǎo)審核。項(xiàng)目實(shí)行概略方案防止人工信息管理部門21.１-R4系統(tǒng)開發(fā)技術(shù)上不可行、經(jīng)濟(jì)上成本效益倒掛系統(tǒng)開發(fā)符合技術(shù)經(jīng)濟(jì)效益２１.1-CA4項(xiàng)目小組需對(duì)信息系統(tǒng)開發(fā)進(jìn)行項(xiàng)目可行性研究,編寫項(xiàng)目可研報(bào)告,對(duì)系統(tǒng)開發(fā)技術(shù)的可行性、經(jīng)濟(jì)效益等進(jìn)行論證；可行性研究報(bào)告防止人工信息管理部門21.1-R5需求文檔表述不準(zhǔn)確、不完整,未能真實(shí)全面地表達(dá)業(yè)務(wù)需求系統(tǒng)開發(fā)需求文檔準(zhǔn)確21.1-CA5系統(tǒng)開發(fā)承包商對(duì)業(yè)務(wù)需求進(jìn)行具體調(diào)研，在此基礎(chǔ)上進(jìn)行需求文檔的編制，編制的需求文檔通過獨(dú)立于編制的人員的項(xiàng)目小組進(jìn)行審核確認(rèn)。需求文檔及其審核記錄防止人工信息管理部門２１.1-R6設(shè)計(jì)方案不全面、不能完全滿足用戶需求,不能實(shí)現(xiàn)需求文檔規(guī)定的目的設(shè)計(jì)方案符合需求21.1-CA6系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設(shè)計(jì)方案文檔,需要經(jīng)項(xiàng)目小組討論、審核確認(rèn)。設(shè)計(jì)方案防止人工信息管理部門21.１-R7設(shè)計(jì)方案與公司內(nèi)部控制相脫節(jié),容易導(dǎo)致系統(tǒng)運(yùn)營后衍生計(jì)算機(jī)舞弊風(fēng)險(xiǎn)設(shè)計(jì)方案符合需求21.1-CA7系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設(shè)計(jì)方案文檔,需要經(jīng)項(xiàng)目小組討論、審核確認(rèn)。設(shè)計(jì)方案防止人工信息管理部門21．1-Ｒ8開發(fā)的系統(tǒng)測(cè)試不充足,也許存在系統(tǒng)運(yùn)營隱患而不能及時(shí)有效糾正系統(tǒng)得到充足測(cè)實(shí)驗(yàn)收21.1-ＣA８

項(xiàng)目驗(yàn)收測(cè)試工作由項(xiàng)目經(jīng)理負(fù)責(zé)組織,由項(xiàng)目需求單位和信息管理部門雙方應(yīng)具體說明分別進(jìn)行系統(tǒng)的驗(yàn)收測(cè)試工作,形成系統(tǒng)驗(yàn)收測(cè)試報(bào)告或記錄。系統(tǒng)測(cè)試記錄防止人工信息管理部門21．1－R9缺少完整可行的上線計(jì)劃，導(dǎo)致系統(tǒng)上線混亂無序系統(tǒng)上線計(jì)劃合理２1.1-CA9A系統(tǒng)上線前，系統(tǒng)開發(fā)項(xiàng)目小組制定系統(tǒng)上線方案，報(bào)信息主管領(lǐng)導(dǎo)審批后才可上線。上線計(jì)劃方案防止人工信息管理部門21.1-CA9B項(xiàng)目組將制定系統(tǒng)上線計(jì)劃和方案,內(nèi)容涉及上線環(huán)節(jié)、時(shí)間、所需資源等；對(duì)于存在新舊系統(tǒng)割接的工程,還需涉及割接計(jì)劃、割接方案、回退方案等上線計(jì)劃方案防止人工信息管理部門2１．1-Ｒ１０業(yè)務(wù)人員不能對(duì)的使用系統(tǒng)，導(dǎo)致業(yè)務(wù)理錯(cuò)誤,或者未能充足運(yùn)用系統(tǒng)功能,導(dǎo)致開發(fā)成本浪費(fèi)系統(tǒng)得到有效使用2１.1-CA1０A開發(fā)軟件在投入使用前，軟件開發(fā)商應(yīng)對(duì)有關(guān)技術(shù)人員或業(yè)務(wù)操作人員進(jìn)行技術(shù)和操作培訓(xùn)。系統(tǒng)使用培訓(xùn)記錄防止人工信息管理部門２1.1－CA10Ｂ2、各單位軟件操作人員必須按照軟件操作手冊(cè)（操作流程）操作。防止人工信息管理部門２1.1-R11系統(tǒng)開發(fā)外包服務(wù)商選擇不合理，也許會(huì)實(shí)行損害公司利益的自利行為,如偷工減料、放松管理、信息泄密等保證外包服務(wù)商選擇合理21．１-CＡ１1項(xiàng)目承包商的選擇采用競(jìng)爭性談判或競(jìng)爭性邀標(biāo)方式進(jìn)行。招標(biāo)談判記錄防止人工信息管理部門21.1-R12服務(wù)外包協(xié)議條款不準(zhǔn)確、不完善，也許導(dǎo)致公司的合法權(quán)益無法得到有效保障外包協(xié)議條款符合公司利益2１．１－ＣA1２系統(tǒng)開發(fā)服務(wù)外包協(xié)議通過法律部、財(cái)務(wù)部等職能部門的審核通過以后方可與承包商簽訂。外包服務(wù)協(xié)議及審核記錄防止人工信息管理部門21.1－R13外包服務(wù)跟蹤監(jiān)督不到位,也許導(dǎo)致外包服務(wù)質(zhì)量水平不能滿足公司信息系統(tǒng)開發(fā)需求外包服務(wù)質(zhì)量得到有效保證2１．1-CA13項(xiàng)目開發(fā)小組需根據(jù)項(xiàng)目承包方制訂的系統(tǒng)開發(fā)方案計(jì)劃定期或不定期對(duì)項(xiàng)目開發(fā)進(jìn)度、效果進(jìn)行監(jiān)督跟蹤評(píng)價(jià),并向信息主管領(lǐng)導(dǎo)進(jìn)行報(bào)告。檢查人工信息管理部門2１.１－Ｒ14軟件產(chǎn)品選型不妥，產(chǎn)品在功能、性能、易用性等方面無法滿足公司需求軟件產(chǎn)品符合業(yè)務(wù)需求2１.1-CＡ14軟件產(chǎn)品根據(jù)系統(tǒng)開發(fā)需求進(jìn)行選型配置,軟件選型配置方案需通過信息主管審核審批;軟件產(chǎn)品采購時(shí)采用競(jìng)爭性談判或競(jìng)爭性邀標(biāo)方式進(jìn)行。招標(biāo)談判記錄防止人工信息管理部門21.1-R15軟件供應(yīng)商選擇不妥,產(chǎn)品的支持服務(wù)能力局限性，產(chǎn)品的后續(xù)升級(jí)缺少保障軟件產(chǎn)品符合業(yè)務(wù)需求2１．1-ＣA１5軟件供應(yīng)商通過采用競(jìng)爭性談判或競(jìng)爭性邀標(biāo)方式進(jìn)行。招標(biāo)談判記錄防止人工信息管理部門第二章信息系統(tǒng)運(yùn)營與維護(hù)第一節(jié)ＩT資產(chǎn)管理第一條目的為了規(guī)范中糧生物化學(xué)（安徽)股份有限公司(以下簡稱“公司”)IT資產(chǎn)的選型、購置、使用、維護(hù)及報(bào)廢程序，有效控制IT資產(chǎn)的安全使用風(fēng)險(xiǎn),特制訂本管理標(biāo)準(zhǔn)。第二條合用范圍本管理標(biāo)準(zhǔn)合用于公司及其下屬分子公司。第三條定義范圍及術(shù)語IT資產(chǎn):重要是指服務(wù)器、網(wǎng)絡(luò)設(shè)備、臺(tái)式機(jī)、筆記本電腦，打印機(jī)、傳真打印一體機(jī)、掃描儀等計(jì)算機(jī)外部設(shè)備,辦公所需的各類軟件等。第四條職責(zé)分工管理部門:負(fù)責(zé)ＩＴ資產(chǎn)需求選型、采購審核、ＩT資產(chǎn)使用操作與保管的檢查、ＩT資產(chǎn)平常調(diào)撥、ＩT資產(chǎn)報(bào)廢的鑒定和回收拆解運(yùn)用以及IT資產(chǎn)平常維護(hù)及實(shí)物的臺(tái)賬管理;使用部門:負(fù)責(zé)IT資產(chǎn)采購需求的申請(qǐng)、ＩＴ資產(chǎn)使用操作與保管、IT資產(chǎn)調(diào)撥申請(qǐng)以及IT資產(chǎn)報(bào)廢的申請(qǐng);采購部門:負(fù)責(zé)ＩＴ資產(chǎn)需求的采購、驗(yàn)收、入賬及付款申請(qǐng),質(zhì)保期內(nèi)協(xié)調(diào)供應(yīng)商進(jìn)行質(zhì)保服務(wù)。財(cái)務(wù)部：負(fù)責(zé)IT資產(chǎn)采購審核、入賬、付款,IT資產(chǎn)調(diào)撥、報(bào)廢的賬務(wù)解決,ＩT資產(chǎn)的財(cái)務(wù)臺(tái)賬管理；第五條業(yè)務(wù)流程（ＩＴ資產(chǎn)維護(hù)流程（比如信息處負(fù)責(zé)檢修－采購部進(jìn)行耗材采購-業(yè)務(wù)部門進(jìn)行領(lǐng)用-信息處負(fù)責(zé)更換及調(diào)試））（一）ＩT資產(chǎn)購置管理—流程圖(二）IT資產(chǎn)購置管理—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)０1需求申請(qǐng)部門根據(jù)實(shí)際業(yè)務(wù)需要，填寫《固定資產(chǎn)購置申請(qǐng)審核表》。固定資產(chǎn)購置申請(qǐng)表02申請(qǐng)部門部長審核意見,審核點(diǎn)：對(duì)資產(chǎn)購置的必要性、真實(shí)性進(jìn)行審核03資產(chǎn)管理部門:1.核定申購的業(yè)務(wù)需求,增長電腦的必要性;2．公司資產(chǎn)情況，是否可以通過調(diào)劑的方式滿足需求;３．核定申購部門在平常使用過程中是否有不良使用記錄４.選型是否滿足業(yè)務(wù)需求。０4資產(chǎn)管理部門部長審批。05財(cái)務(wù)部審核：是否有采購預(yù)算；購置方案是否完整。06財(cái)務(wù)部部長審批。07申購部門所在中心主任簽字。08財(cái)務(wù)總監(jiān)審批0９購置固定資產(chǎn)均應(yīng)簽訂協(xié)議固定資產(chǎn)采購協(xié)議１0驗(yàn)收項(xiàng)目:１.核對(duì)固定資產(chǎn)實(shí)物與憑證所列數(shù)量是否一致;2.檢查所附備件是否齊全；3.察看設(shè)備性能是否良好;固定資產(chǎn)驗(yàn)收單11固定資產(chǎn)到廠后，經(jīng)辦人應(yīng)及時(shí)辦理固定資產(chǎn)的驗(yàn)收入庫，并到財(cái)務(wù)部辦理發(fā)票入賬，如固定資產(chǎn)到廠當(dāng)月發(fā)票未回的,應(yīng)于當(dāng)月末持固定資產(chǎn)入庫單、驗(yàn)收單等到財(cái)務(wù)部辦理暫估入賬,發(fā)票返回后辦理正式的入賬手續(xù)。（三）IＴ資產(chǎn)變更管理—流程圖（四)IT資產(chǎn)管理—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01資產(chǎn)入庫后,采購部門告知申購部門辦理《固定資產(chǎn)移交表》,并根據(jù)ＥＲＰ-NC系統(tǒng)中的采購計(jì)劃制作領(lǐng)料單,打印《PER-NC領(lǐng)料單》領(lǐng)用手續(xù)進(jìn)行領(lǐng)料。固定資產(chǎn)移交表NC領(lǐng)料單02申請(qǐng)部門部長審核,保證業(yè)務(wù)的真實(shí)性。固定資產(chǎn)移交表NC領(lǐng)料單03資產(chǎn)管理部門根據(jù)申購部門提供的完整手續(xù)做好IT固定資產(chǎn)實(shí)物臺(tái)賬的登記。04財(cái)務(wù)部負(fù)責(zé)IT資產(chǎn)財(cái)務(wù)解決,生成資產(chǎn)卡片。05資產(chǎn)使用部門負(fù)責(zé)資產(chǎn)實(shí)物的平常管理,部門負(fù)責(zé)人為資產(chǎn)的第一負(fù)責(zé)人,部門資產(chǎn)管理員負(fù)責(zé)記錄和調(diào)劑。1.因個(gè)人失誤導(dǎo)致IＴ固定資產(chǎn)損壞者,視其情節(jié)及ＩT固定資產(chǎn)價(jià)值擬定補(bǔ)償比例予以補(bǔ)償。2.導(dǎo)致IT固定資產(chǎn)丟失的,由財(cái)務(wù)部按資產(chǎn)折舊的現(xiàn)值予以補(bǔ)償。3．因不可抗力導(dǎo)致的損壞和丟失除外。4．具體補(bǔ)償比例由財(cái)務(wù)部進(jìn)行解釋0６各部門因人員變動(dòng)或組織機(jī)構(gòu)調(diào)整，閑置相關(guān)IＴ資產(chǎn)時(shí)，應(yīng)需辦理相關(guān)手續(xù)將閑置IT資產(chǎn)移交予資產(chǎn)管理部門統(tǒng)一解決;子公司交予子公司財(cái)務(wù)部門解決。不得以因工作需要為名,私自進(jìn)行IＴ資產(chǎn)調(diào)劑。的確因工作需要，需按照IT資產(chǎn)管理辦法進(jìn)行調(diào)撥申請(qǐng)。填寫資產(chǎn)調(diào)撥申請(qǐng)表，通過調(diào)入部門、調(diào)出部門、資產(chǎn)管理部門、財(cái)務(wù)部審核。固定資產(chǎn)調(diào)撥申請(qǐng)表0７ＩＴ固定資產(chǎn)報(bào)廢時(shí)應(yīng)將IT資產(chǎn)送至資產(chǎn)管理部門進(jìn)行鑒定,申請(qǐng)部門填寫《辦公設(shè)備報(bào)廢申請(qǐng)單》。規(guī)定填寫項(xiàng)目：設(shè)備名稱、數(shù)量、設(shè)備編碼、規(guī)格型號(hào)、投運(yùn)時(shí)間、應(yīng)使用年限、安裝地點(diǎn)、制造廠家、供貨廠家、原值、累計(jì)折舊、減值準(zhǔn)備、凈額。辦公設(shè)備報(bào)廢申請(qǐng)單08資產(chǎn)管理部門依據(jù)公司辦公資產(chǎn)報(bào)廢標(biāo)準(zhǔn)進(jìn)行報(bào)廢鑒定辦公設(shè)備報(bào)廢申請(qǐng)單09由資產(chǎn)管理部門進(jìn)行報(bào)廢鑒定,報(bào)部門領(lǐng)導(dǎo)審核。辦公設(shè)備報(bào)廢申請(qǐng)單１0財(cái)務(wù)部根據(jù)財(cái)務(wù)帳復(fù)核資產(chǎn)原值、凈值等財(cái)務(wù)信息準(zhǔn)確性。辦公設(shè)備報(bào)廢申請(qǐng)單11依據(jù)公司辦公資產(chǎn)報(bào)廢標(biāo)準(zhǔn)，財(cái)務(wù)部部長批準(zhǔn)后進(jìn)行賬務(wù)解決；辦公設(shè)備報(bào)廢申請(qǐng)單12依據(jù)公司辦公資產(chǎn)報(bào)廢標(biāo)準(zhǔn)，經(jīng)財(cái)務(wù)部部長、財(cái)務(wù)總監(jiān)、總經(jīng)理審批;辦公設(shè)備報(bào)廢申請(qǐng)單1３報(bào)廢ＩT固定資產(chǎn)交由資產(chǎn)管理部門統(tǒng)一保管,統(tǒng)一由資產(chǎn)處置部進(jìn)行解決,嚴(yán)禁任何部門或個(gè)人私自解決。辦公設(shè)備報(bào)廢申請(qǐng)單第二節(jié)應(yīng)用系統(tǒng)管理第一條目的為了加強(qiáng)中糧生物化學(xué)(安徽）股份有限公司各信息系統(tǒng)規(guī)范使用和運(yùn)營,提高系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性、準(zhǔn)確性，保證業(yè)務(wù)正常運(yùn)營，提高效率，特制定本管理標(biāo)準(zhǔn)。第二條合用范圍本管理標(biāo)準(zhǔn)合用于中糧生物化學(xué)（安徽）股份有限公司及子公司。第三條定義范圍及術(shù)語EＲP－NC系統(tǒng):是公司規(guī)范財(cái)務(wù)、供應(yīng)鏈一體化的管理系統(tǒng)，是公司供應(yīng)鏈和財(cái)務(wù)等部門解決業(yè)務(wù)的平臺(tái)。糧食收購信息化系統(tǒng):是保障公司原糧收購高效、準(zhǔn)確便捷的有效途徑,對(duì)涉及部門實(shí)行歸口管理。關(guān)鍵硬件：指重要網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)設(shè)備等關(guān)鍵軟件:指網(wǎng)絡(luò)管理軟件、各業(yè)務(wù)系統(tǒng)、管理信息系統(tǒng)等相關(guān)軟件。系統(tǒng)變更：指需求變更、程序修補(bǔ)、數(shù)據(jù)維護(hù)等涉及系統(tǒng)改變的活動(dòng)。1）需求變更類：現(xiàn)有業(yè)務(wù)變化、新的業(yè)務(wù)需求、或業(yè)務(wù)流程、業(yè)務(wù)參數(shù)發(fā)生變化；2)程序修補(bǔ)類:發(fā)現(xiàn)的系統(tǒng)錯(cuò)誤，需要進(jìn)行修改;3)數(shù)據(jù)維護(hù)類：對(duì)數(shù)據(jù)進(jìn)行新增、修改、刪除;４）其它類：未包含在上述類別,但是涉及系統(tǒng)改變的變更。第四條職責(zé)分工信息管理部門:負(fù)責(zé)制定各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護(hù)和系統(tǒng)變更實(shí)行；負(fù)責(zé)權(quán)限開設(shè)、變更或注銷申請(qǐng)審核；系統(tǒng)數(shù)據(jù)的備份以及監(jiān)督系統(tǒng)用戶的操作行為。業(yè)務(wù)部門：負(fù)責(zé)信息系統(tǒng)的規(guī)范操作和使用，提出系統(tǒng)維護(hù)需求和系統(tǒng)變更需求及系統(tǒng)權(quán)限變更的申請(qǐng)。第五條業(yè)務(wù)流程(一)應(yīng)用系統(tǒng)運(yùn)營與維護(hù)—流程圖(二）應(yīng)用系統(tǒng)運(yùn)營與維護(hù)—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01信息管理部門制定各應(yīng)用系統(tǒng)管理規(guī)定,涉及《ＥRＰ－NＣ系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》、《ERP-NＣ具體操作手冊(cè)》等?！禘RＰ-ＮC系統(tǒng)管理規(guī)定》()、《糧食收購系統(tǒng)管理規(guī)定（)》、《ERP－NC具體操作手冊(cè)》等０2各部門需按照《ＥRP－NC系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》執(zhí)行。０3各部門在應(yīng)用操作系統(tǒng)時(shí)碰到自行不可解決的問題時(shí),應(yīng)及時(shí)向信息管理部門提出系統(tǒng)的維護(hù)需求。04信息管理部門在接受到用戶提出的運(yùn)營維護(hù)需求時(shí)提供專業(yè)技術(shù)支持，超過公司信息管理部門內(nèi)部專業(yè)技術(shù)人員能力時(shí),依照《第三方與外包安全管理規(guī)定》通過聘請(qǐng)外部第三方進(jìn)行技術(shù)解決?！兜谌脚c外包安全管理規(guī)定》0５業(yè)務(wù)部門提出應(yīng)用系統(tǒng)的變更時(shí),必須由申請(qǐng)部門提交書面變更申請(qǐng)，填寫《應(yīng)用系統(tǒng)變更申請(qǐng)表》,報(bào)送信息管理部門審批，申請(qǐng)表單必須打印存檔,期限為一年。涉及數(shù)據(jù)維護(hù)的變更(涉及新增、修改、刪除等操作)，業(yè)務(wù)操作人員需填寫《應(yīng)用系統(tǒng)變更申請(qǐng)表》，提交給應(yīng)用系統(tǒng)管理員審批。應(yīng)用系統(tǒng)變更申請(qǐng)表06信息管理部門對(duì)業(yè)務(wù)部門提出的應(yīng)用系統(tǒng)變更申請(qǐng)進(jìn)行審批。０7系統(tǒng)變更方案審批通過后，系統(tǒng)承建部門組織實(shí)行方制訂變更方案，變更方案中包含回退方案。若在執(zhí)行變更過程中出現(xiàn)意外,要按照回退方案退回到轉(zhuǎn)換前的系統(tǒng)狀態(tài)。若無法回退，應(yīng)通過備份磁帶恢復(fù)原系統(tǒng)。08系統(tǒng)承建部門實(shí)行測(cè)試。通過后，由應(yīng)用系統(tǒng)管理員對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行變更操作。針對(duì)外包軟件,開發(fā)商需要擁有臨時(shí)應(yīng)用系統(tǒng)的用戶名及口令。進(jìn)行系統(tǒng)故障解決、檢查等操作時(shí),要先取得授權(quán),并由應(yīng)用系統(tǒng)管理員對(duì)其訪問進(jìn)行監(jiān)督，并在訪問結(jié)束后及時(shí)取消帳號(hào),具體內(nèi)容參見《第三方和外包安全管理規(guī)定》。系統(tǒng)變更測(cè)試記錄《第三方和外包安全管理規(guī)定》。0９系統(tǒng)變更通過驗(yàn)收試運(yùn)營無端障時(shí)由業(yè)務(wù)部門進(jìn)行應(yīng)用系統(tǒng)操作與維護(hù)。（三)信息系統(tǒng)權(quán)限管理—流程圖(四)信息系統(tǒng)權(quán)限管理—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)0１權(quán)限申請(qǐng)人根據(jù)系統(tǒng)類型和權(quán)限開設(shè)類別，依據(jù)《賬號(hào)安全管理規(guī)定》在OA系統(tǒng)中找到相應(yīng)的權(quán)限申請(qǐng)單，填寫送審審核。信息化系統(tǒng)使用申請(qǐng)表、帳號(hào)管理變更申請(qǐng)表、離職人員會(huì)簽單《賬號(hào)安全管理規(guī)定》0２權(quán)限部門內(nèi)部負(fù)責(zé)人對(duì)權(quán)限開設(shè)、變更或刪除進(jìn)行審核。０3與權(quán)限涉及的相關(guān)部門對(duì)系統(tǒng)權(quán)限涉及的工作分工職責(zé)審核，判斷是否給予該權(quán)限。04信息管理部門信息主管對(duì)權(quán)限申請(qǐng)進(jìn)行審批。0５系統(tǒng)管理員根據(jù)審批的權(quán)限依據(jù)《賬號(hào)安全管理規(guī)定》進(jìn)行新增權(quán)限開設(shè)、變更或刪除?！顿~號(hào)安全管理規(guī)定》０6權(quán)限使用用戶需依據(jù)《賬號(hào)安全管理規(guī)定》進(jìn)行合理操作使用權(quán)限,維護(hù)好賬號(hào)和登陸口令信息,防止被非權(quán)限用戶獲取。０7系統(tǒng)管理員需依據(jù)《賬號(hào)安全管理規(guī)定》和《計(jì)算機(jī)安全檢查標(biāo)準(zhǔn)》定期對(duì)系統(tǒng)用戶的權(quán)限使用情況進(jìn)行檢查,填寫《系統(tǒng)帳號(hào)檢查表》。系統(tǒng)帳號(hào)檢查表《賬號(hào)安全管理規(guī)定》、《計(jì)算機(jī)安全檢查標(biāo)準(zhǔn)》(五）計(jì)算機(jī)用戶管理－-流程圖（六）計(jì)算機(jī)用戶管理--流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01公司信息管理部門根據(jù)公司內(nèi)部網(wǎng)絡(luò)布局和業(yè)務(wù)需求，制定《計(jì)算機(jī)用戶行為守冊(cè)》?！队?jì)算機(jī)用戶行為守冊(cè)》０2各個(gè)業(yè)務(wù)部門的系統(tǒng)使用用戶對(duì)進(jìn)入公司內(nèi)網(wǎng)的計(jì)算機(jī)按照《計(jì)算機(jī)用戶行為守冊(cè)》進(jìn)行管理和控制?！队?jì)算機(jī)用戶行為守冊(cè)》0３公司信息管理部門運(yùn)用計(jì)算機(jī)終端管理軟件監(jiān)測(cè)用戶行為，并于每月根據(jù)《計(jì)算機(jī)用戶行為守冊(cè)》和《計(jì)算機(jī)安全檢查標(biāo)準(zhǔn)》組織一次公司范圍的計(jì)算機(jī)系統(tǒng)使用檢查?！队?jì)算機(jī)用戶行為守冊(cè)》、《計(jì)算機(jī)安全檢查標(biāo)準(zhǔn)》04公司信息管理部門對(duì)違反《計(jì)算機(jī)用戶行為手冊(cè)》的用戶進(jìn)行記錄,根據(jù)《計(jì)算機(jī)用戶行為守冊(cè)》進(jìn)行通報(bào)整改和實(shí)行相應(yīng)的處罰。用戶行為檢查記錄《計(jì)算機(jī)用戶行為守冊(cè)》(七)系統(tǒng)數(shù)據(jù)備份—流程圖（八）系統(tǒng)數(shù)據(jù)備份—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01公司信息管理部門根據(jù)系統(tǒng)類型制定數(shù)據(jù)備份策略方案。系統(tǒng)數(shù)據(jù)備份方案02對(duì)于重要的業(yè)務(wù)系統(tǒng)重要數(shù)據(jù)或數(shù)據(jù)庫規(guī)定每日做一至二次本機(jī)和異地備份.且每月備份數(shù)據(jù)要刻成光盤,有專人負(fù)責(zé)保管。03公司信息管理部門需抽取數(shù)據(jù)備份樣表恢復(fù),校驗(yàn)數(shù)據(jù)的完整性。服務(wù)器系統(tǒng)必需有備份,以防系統(tǒng)中毒或崩潰等異常情況發(fā)生時(shí)的緊急解決之用。常用的業(yè)務(wù)系統(tǒng),要有臨時(shí)替代系統(tǒng),一方面作為測(cè)試用，另一方面作為正式系統(tǒng)出現(xiàn)異常的應(yīng)緊之需。0４系統(tǒng)備份的數(shù)據(jù)需定期移交檔案管理部門存檔。數(shù)據(jù)移交記錄第三節(jié)應(yīng)急響應(yīng)管理第一條目的為規(guī)范中糧生物化學(xué)(安徽)股份有限公司(以下簡稱“公司”)各類信息安全事件的管理，保證信息系統(tǒng)故障得到及時(shí)有效的跟蹤、控制和解決,加強(qiáng)對(duì)信息安全事件的預(yù)警通報(bào)機(jī)制，保障業(yè)務(wù)系統(tǒng)的安全運(yùn)營，制定本管理標(biāo)準(zhǔn)。第二條合用范圍本管理標(biāo)準(zhǔn)合用于公司及下屬分子公司職能部門的信息安全事件應(yīng)急響應(yīng)管理。第三條定義范圍及術(shù)語應(yīng)急類型:自然或人為及軟硬件故障或缺陷對(duì)信息系統(tǒng)導(dǎo)致危害的事件。設(shè)備類突發(fā)事件：由于各種因素對(duì)網(wǎng)絡(luò)中的機(jī)房、通信線路、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備導(dǎo)致破壞,以致引起設(shè)備類突發(fā)事件。信息系統(tǒng)類突發(fā)事件：由于各種因素對(duì)網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、以及軟盤、硬盤、光盤、磁帶等介質(zhì)存儲(chǔ)的數(shù)據(jù)等導(dǎo)致破壞，以致引起信息系統(tǒng)類突發(fā)事件。第四條職責(zé)分工信息安全領(lǐng)導(dǎo)小組：負(fù)責(zé)重大、較大安全事件發(fā)生后的全局指揮協(xié)調(diào)，安全事件的調(diào)查、善后工作及提出處置意見和相關(guān)獎(jiǎng)懲建議。信息安全應(yīng)急響應(yīng)小組：信息安全事件解決的技術(shù)支撐單位，負(fù)責(zé)組織解決重大、較大信息安全事件。信息安全應(yīng)急響應(yīng)小組成員涉及公司信息化分管領(lǐng)導(dǎo)、信息化分管經(jīng)理、業(yè)務(wù)環(huán)節(jié)部門分管經(jīng)理、設(shè)備網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)信息化聯(lián)系人。業(yè)務(wù)信息化聯(lián)系人:負(fù)責(zé)上報(bào)本部門的安全事件,應(yīng)急業(yè)務(wù)流程設(shè)計(jì),應(yīng)急事件的協(xié)調(diào)和解決,匯總事件解決報(bào)告，總結(jié)經(jīng)驗(yàn)。系統(tǒng)管理員：負(fù)責(zé)應(yīng)用系統(tǒng)安全事件的解決，具體涉及：安全事件分析、應(yīng)急業(yè)務(wù)流程設(shè)計(jì)、信息數(shù)據(jù)和系統(tǒng)恢復(fù)、安全事項(xiàng)報(bào)告等。信息及業(yè)務(wù)分管經(jīng)理:負(fù)責(zé)組織安全事件會(huì)議，協(xié)調(diào)業(yè)務(wù)環(huán)節(jié)安全事件業(yè)務(wù),應(yīng)急業(yè)務(wù)流程審核,協(xié)調(diào)業(yè)務(wù)部與信息部門在應(yīng)急事件發(fā)生過程中的工作配合。第五條應(yīng)急方案(一)ERP系統(tǒng)應(yīng)急方案1.總則1.1編制目的EＲP系統(tǒng)作為公司級(jí)的業(yè)務(wù)解決系統(tǒng),一旦因各種因素意外中斷，對(duì)業(yè)務(wù)解決影響重大。應(yīng)急解決的目的在于指導(dǎo)各部門操作EＲP系統(tǒng)的業(yè)務(wù)人員(即ERＰ最終用戶),如何應(yīng)對(duì)系統(tǒng)的意外中斷，以及如何在系統(tǒng)恢復(fù)后進(jìn)行數(shù)據(jù)補(bǔ)全。由于系統(tǒng)的集成性，需要各操作崗位協(xié)作完畢。1．２合用范圍本文內(nèi)容針對(duì)操作ＥＲP系統(tǒng)的業(yè)務(wù)人員及其部門領(lǐng)導(dǎo)。1.３應(yīng)急工作原則業(yè)務(wù)部門要根據(jù)EＲP系統(tǒng)應(yīng)急方案，各負(fù)其責(zé),登記業(yè)務(wù)運(yùn)營數(shù)據(jù)并保證業(yè)務(wù)穩(wěn)定運(yùn)營。ERＰ系統(tǒng)恢復(fù)運(yùn)營后,業(yè)務(wù)部門補(bǔ)錄業(yè)務(wù)數(shù)據(jù)至系統(tǒng),保證系統(tǒng)數(shù)據(jù)一致性。前提條件。應(yīng)急計(jì)劃是針對(duì)EＲＰ系統(tǒng)因意外因素不能被最終用戶正常訪問的情況，即EＲP服務(wù)器系統(tǒng)停機(jī)/中斷，或網(wǎng)絡(luò)中斷的情況(涉及并行期間）,并且該情況連續(xù)超過業(yè)務(wù)連續(xù)性所允許的范圍,如超過1個(gè)工作日。同時(shí)本計(jì)劃也可作為計(jì)劃停機(jī)情況時(shí)，最終用戶的參考。根據(jù)財(cái)務(wù)憑證及報(bào)表須打印并歸檔保存的原則，所有財(cái)務(wù)憑證應(yīng)每周打印并歸檔;所有財(cái)務(wù)報(bào)表應(yīng)在其生成時(shí)打印并歸檔。財(cái)務(wù)主數(shù)據(jù)應(yīng)于每二周從ERＰ系統(tǒng)下載,并以電子文檔形式保存在用戶本地。業(yè)務(wù)部門應(yīng)于每周二次從ERＰ系統(tǒng)下載庫存狀態(tài)分析報(bào)表,并以電子文檔形式保存在用戶本地。3、緊急情況核定ERP最終用戶在發(fā)現(xiàn)自己不能正常使用操作ＥＲＰ系統(tǒng)時(shí),應(yīng)及時(shí)聯(lián)系中糧生化信息人員以解決問題。在相關(guān)信息人員確認(rèn)為ERP服務(wù)器系統(tǒng)問題或網(wǎng)絡(luò)問題導(dǎo)致最終用戶暫時(shí)不能正常使用操作ERP后,業(yè)務(wù)部門最終用戶應(yīng)根據(jù)技術(shù)支持人員提供的預(yù)計(jì)問題連續(xù)時(shí)間，考慮啟動(dòng)應(yīng)急計(jì)劃。若信息人員暫時(shí)無法預(yù)計(jì)問題連續(xù)時(shí)間,則業(yè)務(wù)部門最終用戶應(yīng)按超過1個(gè)工作日的問題連續(xù)時(shí)間啟動(dòng)應(yīng)急計(jì)劃。４、業(yè)務(wù)部門應(yīng)急措施在意外情況發(fā)生時(shí),ERP最終用戶應(yīng)針對(duì)需要使用操作ERP的業(yè)務(wù)情景采用以下措施:４．１財(cái)務(wù)(ＦI/ＣO)業(yè)務(wù)情景創(chuàng)建/變更主數(shù)據(jù)ERP中斷情況下應(yīng)急環(huán)節(jié)EＲP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景在用戶本地財(cái)務(wù)主數(shù)據(jù)電子文檔中記錄主數(shù)據(jù)的增減或變更,并注明該記錄需在ERP系統(tǒng)中補(bǔ)錄;將線外財(cái)務(wù)主數(shù)據(jù)電子文檔中注明有待在ERＰ系統(tǒng)中補(bǔ)錄的記錄主數(shù)據(jù)補(bǔ)錄入ＥRP,并取消電子文檔中需補(bǔ)錄標(biāo)記；下載新主數(shù)據(jù)，并保存于線外的主數(shù)據(jù)電子文檔;以下主數(shù)據(jù)的創(chuàng)建/修改：總帳科目客戶供應(yīng)商資產(chǎn)手工入帳ＥＲＰ中斷情況下應(yīng)急環(huán)節(jié)ERＰ恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)原始憑證在《通用格式會(huì)計(jì)帳冊(cè)》中以手工帳的形式記錄業(yè)務(wù)信息，并注明該記錄需在ERP系統(tǒng)中補(bǔ)錄;原始憑證各聯(lián)在不同業(yè)務(wù)部門間的流轉(zhuǎn)與正常情況相同；將需在ERP系統(tǒng)中補(bǔ)錄的會(huì)計(jì)記錄補(bǔ)錄入ERP，并取消電子文檔中需補(bǔ)錄標(biāo)記；在原始憑證上注明記帳日期；打印補(bǔ)錄的憑證并歸檔保存；以下手工入帳:收款報(bào)銷付款提取備用金資產(chǎn)折舊，等系統(tǒng)自動(dòng)生成憑證ERP中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)來自其它業(yè)務(wù)部門的原始憑證以手工帳的形式記錄業(yè)務(wù)信息,并注明該記錄需在EＲP系統(tǒng)中補(bǔ)錄;原始憑證各聯(lián)在不同業(yè)務(wù)部門間的流轉(zhuǎn)與正常情況相同；待相關(guān)業(yè)務(wù)部門將其業(yè)務(wù)數(shù)據(jù)補(bǔ)錄入EＲP,由系統(tǒng)自動(dòng)生成憑證;根據(jù)原始憑證，核對(duì)系統(tǒng)自動(dòng)生成的;憑證，在原始憑證上注明記帳日期，并保證所有憑證都準(zhǔn)確完整的補(bǔ)錄入ＥＲP；打印補(bǔ)錄的憑證并歸檔保存;來自物料,銷售,設(shè)備維護(hù)及物資供應(yīng)的由ERＰ系統(tǒng)自動(dòng)生成的業(yè)務(wù)數(shù)據(jù)期末結(jié)帳ERP中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景ERP在本月內(nèi)恢復(fù)運(yùn)營ERP跨月恢復(fù)運(yùn)營根據(jù)原始憑證及手工帳形式記錄的業(yè)務(wù)信息,做期末結(jié)賬;ＥRＰ系統(tǒng)恢復(fù)后,檢查并保證ＥRＰ所開的賬期為系統(tǒng)中斷發(fā)生時(shí)的賬期,并告知各業(yè)務(wù)部門補(bǔ)錄該賬期的數(shù)據(jù);監(jiān)督、核對(duì)業(yè)務(wù)部門補(bǔ)錄數(shù)據(jù)的對(duì)的性、完整性;業(yè)務(wù)部門數(shù)據(jù)補(bǔ)錄完畢后,財(cái)務(wù)結(jié)賬;ERP系統(tǒng)恢復(fù)后,檢查并保證ERＰ所開的賬期為系統(tǒng)中斷發(fā)生時(shí)的賬期，并告知各業(yè)務(wù)部門補(bǔ)錄該賬期的數(shù)據(jù)；監(jiān)督、核對(duì)業(yè)務(wù)部門補(bǔ)錄數(shù)據(jù)的對(duì)的性、完整性;業(yè)務(wù)部門數(shù)據(jù)補(bǔ)錄完畢后，財(cái)務(wù)結(jié)賬;財(cái)務(wù)結(jié)帳后告知業(yè)務(wù)部門補(bǔ)錄下一個(gè)賬期的數(shù)據(jù);依此反復(fù)以上環(huán)節(jié)直至所有月結(jié)/年結(jié)完整準(zhǔn)確補(bǔ)錄入ERP；月結(jié)，年結(jié)生成財(cái)務(wù)報(bào)表ERP中斷情況下應(yīng)急環(huán)節(jié)ＥRP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)打印歸檔的上期財(cái)務(wù)報(bào)表,本期所有原始憑證及以手工帳形式記錄的業(yè)務(wù)信息,生成本期財(cái)務(wù)報(bào)表檢查業(yè)務(wù)部門系統(tǒng)數(shù)據(jù)補(bǔ)錄情況；業(yè)務(wù)數(shù)據(jù)補(bǔ)錄完畢后,由系統(tǒng)自動(dòng)生成財(cái)務(wù)報(bào)表；將系統(tǒng)自動(dòng)生成的財(cái)務(wù)報(bào)表與手工生成的財(cái)務(wù)報(bào)表核對(duì)，保證報(bào)表信息的準(zhǔn)確完整打印系統(tǒng)自動(dòng)生成的財(cái)務(wù)報(bào)表并歸檔；系統(tǒng)自動(dòng)生成的財(cái)務(wù)報(bào)表４．２銷售(So）業(yè)務(wù)情景開具提單（訂單)ERP中斷情況下應(yīng)急環(huán)節(jié)ＥRP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景手工填寫提單（訂單);在提單（訂單)上注明該提單(訂單）需手工補(bǔ)錄入EＲP;打印提單(訂單)并在不同部門間的流轉(zhuǎn);將手工開具的提單(訂單）補(bǔ)錄入ＥRP;告知其它相關(guān)部門提單補(bǔ)輸入完畢；開提單(訂單)開具出廠憑據(jù)(發(fā)貨單)ERP中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景手工填寫出廠憑據(jù)；在出廠憑據(jù)上注明該出廠票有待手工補(bǔ)錄入ERP;出廠憑據(jù)各聯(lián)在不同部門間的流轉(zhuǎn)與正常情況相同;將手工開立的出廠憑據(jù)錄入ＥRP;告知其它相關(guān)部門出廠憑據(jù)補(bǔ)錄完畢;開出廠憑據(jù)開具發(fā)票ERP中斷情況下應(yīng)急環(huán)節(jié)EＲP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景暫停開具發(fā)票根據(jù)ERP系統(tǒng)生成的發(fā)貨單,使用ERＰ開立并打印發(fā)票;發(fā)票各聯(lián)在不同部門間的流轉(zhuǎn)與正常情況相同；開發(fā)票4.3物料管理(ＰＯ)業(yè)務(wù)情景創(chuàng)建需求計(jì)劃ＥＲP中斷情況下應(yīng)急環(huán)節(jié)ERＰ恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景手工填寫業(yè)務(wù)需求計(jì)劃,并注明該計(jì)劃需補(bǔ)錄入ERP;需求計(jì)劃在各部門的流轉(zhuǎn)與正常情況相同;根據(jù)業(yè)務(wù)部門需求計(jì)劃在ERP中創(chuàng)建需求申請(qǐng)單;告知其它相關(guān)部門需求計(jì)劃補(bǔ)錄完畢;創(chuàng)建物資需求申請(qǐng)單創(chuàng)建采購訂單ERP中斷情況下應(yīng)急環(huán)節(jié)EＲP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)業(yè)務(wù)部門采購計(jì)劃收貨,并注明該計(jì)劃需補(bǔ)錄入ERP；創(chuàng)建采購協(xié)議；采購協(xié)議在各部門的流轉(zhuǎn)與正常情況相同;根據(jù)業(yè)務(wù)部門采購計(jì)劃在ERP中創(chuàng)建采購訂單;告知其它相關(guān)部門采購訂單補(bǔ)錄完畢;創(chuàng)建采購訂單庫存記錄ERP中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景保存存貨出入庫信息報(bào)表,并注明該信息需補(bǔ)錄入ＥRP報(bào)表在各部門間的流轉(zhuǎn)與正常情況相同；根據(jù)待補(bǔ)錄的信息報(bào)表輸入ERP;告知其它相關(guān)部門庫存移動(dòng)或產(chǎn)成品信息補(bǔ)輸入完畢;庫存移動(dòng)，產(chǎn)成品信息輸入4.4物資供應(yīng)（ＭRO）業(yè)務(wù)情景入庫/出庫ERＰ中斷情況下應(yīng)急環(huán)節(jié)ＥRP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景手工填寫物資領(lǐng)料單或從其它部門接受手工填寫的領(lǐng)料單,發(fā)送或接受物資，并注明物資領(lǐng)料單需補(bǔ)錄入ＥRＰ；根據(jù)手工填寫的物資領(lǐng)料單，在ＥＲP中補(bǔ)錄入物資入庫/出庫記錄;根據(jù)從其它部門接受的手工填寫的領(lǐng)料單,在EＲP中核算物資入庫／出庫記錄；告知其它相關(guān)部門物資入庫/出庫記錄補(bǔ)輸入完畢;收貨,發(fā)貨，設(shè)備維護(hù)領(lǐng)料庫存查詢ERP中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)最新下載的庫存狀態(tài)分析報(bào)表查詢庫存信息待所有物資入庫/出庫信息所有補(bǔ)錄完畢后,下載最新的庫存信息并保存為用戶本地文獻(xiàn)庫存查詢采購計(jì)劃EＲP中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)最新下載的庫存狀態(tài)數(shù)據(jù)查詢庫存信息，制定采購計(jì)劃，并用本地文獻(xiàn)記錄;將本地文獻(xiàn)記錄的采購計(jì)劃補(bǔ)錄入ERP;制定采購計(jì)劃采購協(xié)議ERＰ中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景手工生成采購協(xié)議，并注明該協(xié)議需補(bǔ)錄入ＥRP；將手工生成的采購協(xié)議補(bǔ)錄入ERＰ創(chuàng)建采購訂單（不通過總部的本公司的采購）領(lǐng)料ERＰ中斷情況下應(yīng)急環(huán)節(jié)ERP恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景手工填寫領(lǐng)料計(jì)劃表，并注明該領(lǐng)料計(jì)劃需補(bǔ)錄入ERP;憑領(lǐng)料計(jì)劃標(biāo)到物資部門領(lǐng)料；領(lǐng)料計(jì)劃表在不同部門的流轉(zhuǎn)與正常情況相同；待相關(guān)工單在ERP中補(bǔ)錄完畢,并檢查核對(duì)保證系統(tǒng)數(shù)據(jù)準(zhǔn)確無誤;告知其它相關(guān)部門領(lǐng)料信息補(bǔ)錄完畢;領(lǐng)料5．應(yīng)急小組組成及職責(zé)5.1應(yīng)急小組組成組長:張強(qiáng)副組長：李鳳成員:張宏5.2應(yīng)急小組職責(zé)５.2．1適時(shí)宣布啟用EＲP系統(tǒng)緊急應(yīng)急方案。５.2.2及時(shí)確診EＲP系統(tǒng)突發(fā)事件問題源并妥善解決解決。5．2．3協(xié)助業(yè)務(wù)部門補(bǔ)錄EＲＰ系統(tǒng)數(shù)據(jù)，提供技術(shù)支持。5.２.４記錄突發(fā)事件問題源、解決方案，同時(shí)完善巡檢方案。5.3應(yīng)急小組人員聯(lián)系電話職務(wù)姓名手機(jī)所在部門及職務(wù)組長張強(qiáng)事業(yè)部IT部經(jīng)理副組長李鳳安徽生化信息處處長成員張宏事業(yè)部IT部專員(二)計(jì)算機(jī)機(jī)房應(yīng)急預(yù)案1總則1.１編制目的為保證公司機(jī)房安全與穩(wěn)定，以保證正常運(yùn)營為宗旨,按照“防止為主，積極處置”的原則，本著建立一個(gè)有效處置突發(fā)事件，建立統(tǒng)一指揮、職責(zé)明確運(yùn)轉(zhuǎn)有序、反映迅速處置有力的機(jī)房安全體系的目的,特制定本預(yù)案。1.2合用范圍本預(yù)案合用于安徽生化核心計(jì)算機(jī)機(jī)房。2機(jī)房平常維護(hù)2.1建立健全機(jī)房管理制度2．1.1在正常工作日內(nèi)，信息管理部門人員負(fù)責(zé)對(duì)機(jī)房進(jìn)行監(jiān)控,重要職責(zé)是:巡視網(wǎng)絡(luò)設(shè)備及系統(tǒng)的運(yùn)營情況，發(fā)生異常情況及時(shí)解決，消除網(wǎng)絡(luò)故障隱患。2.1．2節(jié)假日期間信息管理部門人員輪流值班,負(fù)責(zé)解決有關(guān)異常情況。２.１.３機(jī)房采用進(jìn)出登記制度，未經(jīng)允許,無關(guān)人員不得進(jìn)入公司機(jī)房區(qū)域。2．２機(jī)房內(nèi)嚴(yán)格采用防雷、防火、防塵、防靜電等措施以及機(jī)房入口處2４小時(shí)監(jiān)控錄像等措施。2.3認(rèn)真做好數(shù)據(jù)備份工作,定期備份數(shù)據(jù)庫,每月檢查服務(wù)器運(yùn)營和備份情況。2.4信息管理部門對(duì)機(jī)房的重要網(wǎng)絡(luò)設(shè)備（路由器、互換機(jī)等）進(jìn)行監(jiān)控,發(fā)現(xiàn)異常情況應(yīng)及時(shí)進(jìn)行解決,保證整個(gè)公司網(wǎng)絡(luò)的正常運(yùn)營。３機(jī)房突發(fā)事件應(yīng)急處置方案3.1電源系統(tǒng)應(yīng)急預(yù)案3.1.1定期檢查機(jī)房供電設(shè)備的運(yùn)營狀況和電路線纜情況，當(dāng)發(fā)生下列突發(fā)事件時(shí),按照以下方案進(jìn)行處置:3.1.2當(dāng)機(jī)房發(fā)生停電或是電源異常時(shí)。一方面應(yīng)與相關(guān)人員聯(lián)系確認(rèn)正常停電以及預(yù)計(jì)停電時(shí)間。檢查不間斷電源的電池可供電時(shí)間，保證設(shè)備正常運(yùn)營，如碰到忽然斷電，應(yīng)及時(shí)將空調(diào)等不在UPS電源供電范圍內(nèi)的設(shè)備及時(shí)斷電，防止忽然來電時(shí)瞬間電流過大導(dǎo)致設(shè)備損壞等現(xiàn)象。3.１．3當(dāng)擬定停電時(shí)間超過機(jī)房UPS承載范圍后,一方面擬定停電的范圍以及受影響的設(shè)備范圍。并及時(shí)告知各部門做好停電應(yīng)急準(zhǔn)備。然后告知機(jī)房管理人員和系統(tǒng)管理人員到達(dá)現(xiàn)場(chǎng),做好各設(shè)備的電源停電準(zhǔn)備。在UPS供電電量僅剩１０%之后，嚴(yán)格按操作手冊(cè)停掉各服務(wù)器的電源,最后停核心互換機(jī)和路由器,等待電力恢復(fù)。3.1.４當(dāng)擬定停電因素是在自身供電系統(tǒng)范圍內(nèi)，立即報(bào)告給負(fù)責(zé)領(lǐng)導(dǎo)，并及時(shí)聯(lián)系相關(guān)維護(hù)人員達(dá)成現(xiàn)場(chǎng)檢修。對(duì)于恢復(fù)時(shí)間無法預(yù)計(jì)的,要及時(shí)告知各部門做好停電應(yīng)急準(zhǔn)備。３.1.5恢復(fù)供電后，嚴(yán)格按照操作程序逐步恢復(fù)機(jī)房設(shè)備和UＰS的供電,以防瞬間電流過大導(dǎo)致設(shè)備損壞。3.2網(wǎng)絡(luò)和服務(wù)器絡(luò)系統(tǒng)應(yīng)急預(yù)案3．２.1發(fā)生網(wǎng)絡(luò)故障時(shí)，一方面檢查機(jī)房設(shè)備情況,擬定網(wǎng)絡(luò)故障的因素。3.2．2確認(rèn)因素后，一方面啟動(dòng)備用線路和設(shè)備，保證網(wǎng)絡(luò)的正常運(yùn)營。然后聯(lián)系網(wǎng)絡(luò)管理人員，及時(shí)解決和排除故障。3.2．３當(dāng)確認(rèn)短時(shí)間無法恢復(fù)時(shí),應(yīng)當(dāng)及時(shí)向負(fù)責(zé)領(lǐng)導(dǎo)報(bào)告。然后告知各部門做好應(yīng)急準(zhǔn)備。然后再聯(lián)系維護(hù)人員,及時(shí)解決故障。3.２.4當(dāng)人為或病毒破壞的故障發(fā)生時(shí),具體按以下順序進(jìn)行：判斷破壞的來源及性質(zhì)，斷開影響安全與穩(wěn)定的設(shè)備,斷開與破壞來源的物理網(wǎng)絡(luò)連接,跟蹤并鎖定破壞的來源和其他網(wǎng)絡(luò)用戶信息,修復(fù)被破壞的信息，恢復(fù)系統(tǒng)。3.2．5發(fā)生服務(wù)器系統(tǒng)故障后,應(yīng)立即電話向相關(guān)領(lǐng)導(dǎo)報(bào)告情況,及時(shí)組織啟動(dòng)備份服務(wù)器系統(tǒng)，由備份服務(wù)器接管相關(guān)業(yè)務(wù)應(yīng)用，同時(shí)安排人員將故障服務(wù)器脫離網(wǎng)絡(luò),保存系統(tǒng)狀態(tài)不變,保護(hù)原始數(shù)據(jù)。在確認(rèn)安全的情況下,重新啟動(dòng)故障服務(wù)系統(tǒng)：若重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，運(yùn)用備份數(shù)據(jù)恢復(fù)；若重啟失敗,立即相關(guān)技術(shù)人及時(shí)解決。處置結(jié)束后，技術(shù)人員應(yīng)將解決過程記錄下來，以方便日后對(duì)此問題的解決。3．3消防和防雷應(yīng)急預(yù)案3．3.1上班工作時(shí)間發(fā)生火警，機(jī)房中工作的人員應(yīng)及時(shí)緊急撤離,并立刻撥打1１９報(bào)警。在保證自身安全的情況下,應(yīng)盡量使用滅火器進(jìn)行滅火,減少電子設(shè)備的損壞。同時(shí)采用關(guān)閉電源總閘等措施,盡量減少也許導(dǎo)致的損失和破壞。 3.３.2非工作時(shí)間或節(jié)假日休息時(shí)間值班人員發(fā)現(xiàn)火情后，要立刻撥打１1９報(bào)警，并立刻告知相關(guān)部門和領(lǐng)導(dǎo),做好火災(zāi)的處置工作。?3.３．3火情結(jié)束之后,機(jī)房相關(guān)人員應(yīng)全體趕赴現(xiàn)場(chǎng)，并向負(fù)責(zé)領(lǐng)導(dǎo)報(bào)告。同時(shí)立即聯(lián)系相關(guān)單位,及時(shí)評(píng)估事故損失情況，研討恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)營的最佳解決方案。3.4自然災(zāi)害應(yīng)急預(yù)案3.４.1發(fā)生自然災(zāi)害后,一方面應(yīng)當(dāng)組織人員撤離現(xiàn)場(chǎng)。當(dāng)確認(rèn)災(zāi)害不會(huì)導(dǎo)致人員傷害后，在回到機(jī)房檢查設(shè)備,立刻向上級(jí)領(lǐng)導(dǎo)報(bào)告,并聯(lián)系相關(guān)網(wǎng)絡(luò)和設(shè)備廠家,積極做好災(zāi)后恢復(fù)工作，保證在最短時(shí)間內(nèi)恢復(fù)機(jī)房正常運(yùn)營。（三)原糧系統(tǒng)緊急應(yīng)急方案1.目的原糧系統(tǒng)作為公司級(jí)的業(yè)務(wù)解決系統(tǒng)，其一旦因各種因素意外中斷，對(duì)業(yè)務(wù)解決影響重大。應(yīng)急解決的目的在于指導(dǎo)各部門的使用操作系統(tǒng)的業(yè)務(wù)人員(即原糧系統(tǒng)最終用戶),如何應(yīng)對(duì)系統(tǒng)的意外中斷,以及如何在系統(tǒng)恢復(fù)后進(jìn)行數(shù)據(jù)補(bǔ)全。由于系統(tǒng)的集成性,很多工作需要各操作崗位協(xié)作完畢。本計(jì)劃重要涉及以下問題：一旦發(fā)現(xiàn)不能進(jìn)行原糧系統(tǒng)的正常操作，最終用戶一方面應(yīng)當(dāng)如何操作？根據(jù)業(yè)務(wù)解決的連續(xù)性規(guī)定,在原糧系統(tǒng)中斷的情況下，如何解決業(yè)務(wù)?在原糧系統(tǒng)恢復(fù)運(yùn)營以后,最終用戶應(yīng)當(dāng)如何操作以保證原糧中數(shù)據(jù)的準(zhǔn)確和完整？2、范圍本文內(nèi)容針對(duì)使用操作原糧系統(tǒng)的業(yè)務(wù)人員及其部門領(lǐng)導(dǎo)。3、前提條件。應(yīng)急計(jì)劃是針對(duì)原糧系統(tǒng)因意外因素不能被最終用戶正常訪問的情況，即原糧服務(wù)器系統(tǒng)停機(jī)/中斷，或網(wǎng)絡(luò)中斷的情況（涉及并行期間）,并且該情況連續(xù)超過業(yè)務(wù)連續(xù)性所允許的范圍，如超過半個(gè)工作日。同時(shí)本計(jì)劃也可作為計(jì)劃停機(jī)情況時(shí),最終用戶的參考。根據(jù)財(cái)務(wù)憑證及報(bào)表須打印并歸檔保存的原則,所有財(cái)務(wù)憑證應(yīng)每周打印并歸檔；所有財(cái)務(wù)報(bào)表應(yīng)在其生成時(shí)打印并歸檔。原糧主數(shù)據(jù)應(yīng)于每二周從原糧系統(tǒng)下載,并以電子文檔形式保存在用戶本地。4、緊急情況核定原糧最終用戶在發(fā)現(xiàn)自己不能正常使用操作原糧系統(tǒng)時(shí),應(yīng)及時(shí)聯(lián)系中糧生化信息人員以解決問題。在相關(guān)信息人員確認(rèn)為原糧服務(wù)器系統(tǒng)問題或網(wǎng)絡(luò)問題導(dǎo)致最終用戶暫時(shí)不能正常使用操作原糧后，業(yè)務(wù)部門最終用戶應(yīng)根據(jù)技術(shù)支持人員提供的預(yù)計(jì)問題連續(xù)時(shí)間，考慮啟動(dòng)應(yīng)急計(jì)劃。若信息人員暫時(shí)無法預(yù)計(jì)問題連續(xù)時(shí)間,則業(yè)務(wù)部門最終用戶應(yīng)按超過半個(gè)工作日的問題連續(xù)時(shí)間啟動(dòng)應(yīng)急計(jì)劃。5、業(yè)務(wù)部門應(yīng)急措施在意外情況發(fā)生時(shí)，原糧最終用戶應(yīng)針對(duì)需要使用操作原糧的業(yè)務(wù)情景采用以下措施：5.1原糧系統(tǒng)業(yè)務(wù)情景創(chuàng)建/變更主數(shù)據(jù)原糧中斷情況下應(yīng)急環(huán)節(jié)原糧恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景在用戶本地主數(shù)據(jù)電子文檔中記錄主數(shù)據(jù)的增減或變更,并注明該記錄需在原糧系統(tǒng)中補(bǔ)錄;將線外主數(shù)據(jù)電子文檔中注明有待在原糧系統(tǒng)中補(bǔ)錄的記錄主數(shù)據(jù)補(bǔ)錄入原糧。以下主數(shù)據(jù)的創(chuàng)建/修改:玉米原輔料手工入補(bǔ)錄入系統(tǒng)原糧中斷情況下應(yīng)急環(huán)節(jié)原糧恢復(fù)后補(bǔ)錄環(huán)節(jié)適應(yīng)業(yè)務(wù)情景根據(jù)原始憑證以標(biāo)準(zhǔn)格式EXCＥL表格填完整，并注明該記錄需在原糧系統(tǒng)中補(bǔ)錄;以工作聯(lián)系單形式把需要補(bǔ)錄的記錄提交信息處審核確認(rèn)審核通過后交于信息處專業(yè)人員進(jìn)行系統(tǒng)補(bǔ)錄以下手工入帳:玉米原輔料6.應(yīng)急小組組成及職責(zé)6．1應(yīng)急小組組成組長：張強(qiáng)副組長：李鳳成員:王強(qiáng)6．2應(yīng)急小組職責(zé)6.2.1適時(shí)宣布啟用原糧系統(tǒng)緊急應(yīng)急方案。6.2.2及時(shí)確診原糧系統(tǒng)突發(fā)事件問題源并妥善解決解決。6．2．3協(xié)助業(yè)務(wù)部門補(bǔ)錄原糧系統(tǒng)數(shù)據(jù),提供技術(shù)支持。6．2.4記錄突發(fā)事件問題源、解決方案，同時(shí)完善巡檢方案。6.3應(yīng)急小組人員聯(lián)系電話職務(wù)姓名手機(jī)所在部門及職務(wù)組長張強(qiáng)事業(yè)部ＩＴ部經(jīng)理副組長李鳳安徽生化信息處處長成員王強(qiáng)信息處信息工程師第六條業(yè)務(wù)流程（一)信息化應(yīng)急事項(xiàng)解決—流程圖(二)信息化應(yīng)急事項(xiàng)解決—流程說明序號(hào)流程內(nèi)容具體說明記錄相關(guān)文獻(xiàn)01公司通過網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)系統(tǒng)、審計(jì)日記(操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備)、防病毒系統(tǒng)、安全監(jiān)控服務(wù)等及時(shí)發(fā)現(xiàn)各類安全事件。部分信息安全事件的征兆如下:防病毒軟件的告警信息；應(yīng)用服務(wù)器系統(tǒng)崩潰；網(wǎng)絡(luò)流量異常或網(wǎng)速過慢；系統(tǒng)文獻(xiàn)名有不尋常字符;日記記錄異常和配置情況發(fā)生變化；系統(tǒng)存在多次遠(yuǎn)程失敗登錄。０２業(yè)務(wù)部門發(fā)生信息安全事件后及時(shí)向信息系統(tǒng)管理員報(bào)告,信息系統(tǒng)管理員接到安全事件后，對(duì)事件分析定級(jí)，按照相應(yīng)的應(yīng)急解決流程解決。０3在發(fā)生或也許發(fā)生重大安全事件時(shí),由業(yè)務(wù)聯(lián)系人和信息系統(tǒng)人員填寫《信息安全應(yīng)急事件上報(bào)表》,遞交業(yè)務(wù)分管經(jīng)理和公司信息管理部門處長、財(cái)務(wù)部部長;在發(fā)生或也許發(fā)生一般安全事件的情況下，由業(yè)務(wù)聯(lián)系人員或信息系統(tǒng)人員在4小時(shí)內(nèi)填寫《信息安全應(yīng)急事件上報(bào)表》,用于業(yè)務(wù)解決跟蹤。信息安全應(yīng)急事件上報(bào)表04在發(fā)生或也許發(fā)生重大安全事件的情況下,公司信息管理部門長負(fù)責(zé)４小時(shí)內(nèi)牽頭組建應(yīng)急響應(yīng)小組。對(duì)于一般安全事件由業(yè)務(wù)部門和信息系統(tǒng)員進(jìn)行跟蹤解決保證系統(tǒng)恢復(fù)。05事件發(fā)生后公司信息管理部門長負(fù)責(zé)組織信息、業(yè)務(wù)等部門人員，分析安全事件相關(guān)影響因素，擬定《應(yīng)急事件解決方案》。應(yīng)急事件解決方案06應(yīng)急事件解決方案經(jīng)財(cái)務(wù)部部長、經(jīng)財(cái)務(wù)部所在中心主任簽字，應(yīng)急解決事件進(jìn)入執(zhí)行階段。０7信息管理部門人員根據(jù)應(yīng)急解決方案，進(jìn)行信息系統(tǒng)恢復(fù)、數(shù)據(jù)恢復(fù)、網(wǎng)絡(luò)恢復(fù)、業(yè)務(wù)方案執(zhí)行跟蹤等操作。業(yè)務(wù)環(huán)節(jié)部門根據(jù)應(yīng)急解決方案,進(jìn)行業(yè)務(wù)解決，并對(duì)執(zhí)行過程中出現(xiàn)的問題及時(shí)反饋應(yīng)急響應(yīng)小組。０8安全事件解決或恢復(fù)完后,由公司信息管理部門長根據(jù)業(yè)務(wù)解決或恢復(fù)完畢情況,報(bào)財(cái)務(wù)部長批準(zhǔn)后,公告解除應(yīng)急方案執(zhí)行。09安全事件解決完畢后,安全管理員組織相關(guān)人員填寫《信息安全事件解決結(jié)果登記表》，歸檔保存，形成安全事件知識(shí)庫。信息及業(yè)務(wù)分管部長在安全事件解決結(jié)束后，應(yīng)進(jìn)行信息安全事件經(jīng)驗(yàn)教訓(xùn)總結(jié)：１)加強(qiáng)信息安全防護(hù)措施；２）修訂和發(fā)布安全策略、規(guī)定、流程;3)加強(qiáng)信息系統(tǒng)硬件和軟件的配置安全；４)修改不合理的業(yè)務(wù)流程。解決事件后,如需要進(jìn)行法律取證分析，由法律部門組織進(jìn)行。信息安全事件解決結(jié)果登記表第七條風(fēng)險(xiǎn)控制矩陣風(fēng)險(xiǎn)編號(hào)風(fēng)險(xiǎn)描述控制目的控制活動(dòng)編號(hào)控制活動(dòng)控制記錄防止/檢查自動(dòng)／人工責(zé)任部門財(cái)務(wù)報(bào)表認(rèn)定財(cái)務(wù)報(bào)表科目1．存在/發(fā)生2.完整性３.準(zhǔn)確性4．截止５.權(quán)利和義務(wù)6．計(jì)價(jià)和分?jǐn)?.列報(bào)和披露123４５6７21.2-R1IT資產(chǎn)臺(tái)賬信息漏掉、失真,不利于信息設(shè)備的有效安全管理硬件設(shè)備臺(tái)賬規(guī)范21.2－CＡ1信息主管部門設(shè)立信息資產(chǎn)臺(tái)賬,臺(tái)賬內(nèi)容涉及設(shè)備名稱、編號(hào)、使用單位、使用年限、啟用日期等信息,并定期根據(jù)信息資產(chǎn)狀態(tài)的變化及時(shí)更新臺(tái)賬。信息資產(chǎn)臺(tái)賬防止人工信息主管部門２1.2－R2IT資產(chǎn)賬實(shí)不一致,影響到財(cái)務(wù)報(bào)告的真實(shí)性保證硬件設(shè)施賬實(shí)一致２1．2-CA２財(cái)務(wù)部定期組織信息資產(chǎn)設(shè)施主管部門進(jìn)行資產(chǎn)盤查，對(duì)于實(shí)物與賬務(wù)不一致的應(yīng)進(jìn)行因素查明，并形成盤點(diǎn)記錄。盤查記錄檢查人工信息主管部門√√√固定資產(chǎn)２１．2-R3系統(tǒng)服務(wù)器存放的物理環(huán)境不符合規(guī)定,系統(tǒng)服務(wù)器容易受損系統(tǒng)服務(wù)器保管完好21.2－CA３A機(jī)房管理員須注意機(jī)房內(nèi)溫度、濕度、電壓等參數(shù),并做好記錄,發(fā)現(xiàn)異常及時(shí)采用相應(yīng)措施;物理環(huán)境記錄檢查人工信息主管部門21．2-CA３B機(jī)房內(nèi)服務(wù)器、網(wǎng)絡(luò)設(shè)備、UPS電源、空調(diào)等重要設(shè)施由專人嚴(yán)格按照規(guī)定操作，嚴(yán)禁隨意開關(guān)；防止人工信息主管部門21.2-CＡ３Ｃ機(jī)房內(nèi)應(yīng)保持清潔,機(jī)房嚴(yán)禁放置易燃、易爆、腐蝕、強(qiáng)磁性物品。機(jī)房管理員須做到防靜電、防火、防潮、防塵、防熱。機(jī)房內(nèi)做好消防措施,必須放置滅火器等消防用品。防止人工信息主管部門２1.２-Ｒ４機(jī)房遭到人為或非正常性破壞,導(dǎo)致系統(tǒng)癱瘓系統(tǒng)服務(wù)器保管完好2１.２-CA4A非機(jī)房人員未經(jīng)許可不得入內(nèi)，確有必要進(jìn)入機(jī)房時(shí)須認(rèn)真填寫《出入機(jī)房登記表》并在機(jī)房管理員的指導(dǎo)下進(jìn)入；出入機(jī)房登記表防止人工信息主管部門21.2-CA4B機(jī)房管理員應(yīng)認(rèn)真履行各項(xiàng)機(jī)房監(jiān)控職責(zé)，定期對(duì)機(jī)房內(nèi)各類設(shè)備進(jìn)行檢查和維護(hù),及時(shí)發(fā)現(xiàn)、解決系統(tǒng)出現(xiàn)的故障,保障系統(tǒng)正常運(yùn)營。檢查記錄檢查人工信息主管部門21.2－R５系統(tǒng)前臺(tái)設(shè)施維護(hù)保養(yǎng)不到位，影響到系統(tǒng)用戶的正常使用前臺(tái)系統(tǒng)設(shè)施保管完好21.2-CA5計(jì)算機(jī)使用者須保持計(jì)算機(jī)設(shè)備的清潔。計(jì)算機(jī)顯示器、機(jī)箱、鍵盤、鼠標(biāo)等配件上應(yīng)無明顯灰塵、臟跡。使用人必須保證電腦完好無損。如有人為損壞由負(fù)責(zé)人按價(jià)補(bǔ)償。防止人工信息主管部門2１.2－R6未達(dá)報(bào)廢條件的系統(tǒng)硬件設(shè)施被報(bào)廢，導(dǎo)致公司資產(chǎn)損失ＩT資產(chǎn)報(bào)廢合理２1．2-ＣA6ＩT資產(chǎn)因超過使用年限或出現(xiàn)嚴(yán)重問題經(jīng)信息管理部門技術(shù)人員鑒定已無維修價(jià)值時(shí),經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)、財(cái)務(wù)部信息管理部門審核,按照?qǐng)?bào)廢資產(chǎn)授權(quán)審批權(quán)限審批后進(jìn)行報(bào)廢。資產(chǎn)報(bào)廢申請(qǐng)審批單防止人工信息主管部門21.２-R７系統(tǒng)硬件設(shè)施報(bào)廢時(shí)內(nèi)存的數(shù)據(jù)信息泄露，也許給公司導(dǎo)致經(jīng)濟(jì)損失系統(tǒng)數(shù)據(jù)信息得到保密21．2-ＣA7系統(tǒng)硬件報(bào)廢時(shí)對(duì)于內(nèi)存的數(shù)據(jù)信息由財(cái)務(wù)部信息管理部門技術(shù)人員就內(nèi)存的數(shù)據(jù)信息隔離掉方可進(jìn)行報(bào)廢處置。防止人工信息主管部門２1.2－Ｒ8系統(tǒng)變更隨意執(zhí)行,難以保證系統(tǒng)的安全有效運(yùn)營系統(tǒng)變更符合需求２1.２－ＣＡ8系統(tǒng)使用用戶對(duì)于需要進(jìn)行系統(tǒng)變更時(shí)，需以書面形式提出系統(tǒng)變更申請(qǐng)，具體說明系統(tǒng)變更的因素，報(bào)財(cái)務(wù)部信組主管審核。系統(tǒng)變更申請(qǐng)防止人工信息主管部門21.2-R9系統(tǒng)變更后的效果達(dá)不到預(yù)期目的，導(dǎo)致系統(tǒng)變更資源的浪費(fèi)系統(tǒng)變更符合需求21．2-CA9系統(tǒng)變更申請(qǐng)?jiān)谛畔⒐芾聿块T初步審核通過后,由系統(tǒng)變更需求部門會(huì)同信息管理部門組成系統(tǒng)變更開發(fā)小組進(jìn)行系統(tǒng)變更的可行性分析論證。可行性分析論證記錄防止人工信息主管部門２1．2-R10人為惡意襲擊隱藏在信息系統(tǒng)中,也許導(dǎo)致嚴(yán)重?fù)p失保證系統(tǒng)安全21.2-CA1０公司建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾聿呗耘c程序，安裝防病毒軟件來防止和檢測(cè)計(jì)算機(jī)病毒；防病毒軟件要定期的進(jìn)行更新。防止人工信息主管部門21.2-R1１員工惡意或非惡意濫用系統(tǒng)資源,導(dǎo)致系統(tǒng)運(yùn)營效率減少保證系統(tǒng)安全21.２-ＣA１1公司所有用戶必須高度重視計(jì)算機(jī)規(guī)范使用與信息安全，信息管理部門每月須組織一次公司范圍的計(jì)算機(jī)系統(tǒng)使用檢查。檢查記錄檢查人工信息主管部門２１.2-R12系統(tǒng)程序缺陷或漏洞安全防護(hù)不夠,導(dǎo)致遭受黑客襲擊,導(dǎo)致信息泄露。保證系統(tǒng)安全2１.2-ＣA12A辦公用電腦內(nèi)嚴(yán)禁安裝、運(yùn)營任何非法軟件。一經(jīng)發(fā)現(xiàn)使用非法軟件，信息管理部門應(yīng)及時(shí)清理并追查有關(guān)人員責(zé)任;防止人工信息主管部門２1.2－CA１2B公司信息管理部門建立相關(guān)系統(tǒng)防護(hù)體系,涉及防火墻、路由器、IDS、互換機(jī)及其他相關(guān)ＩT設(shè)備的到適當(dāng)配置以阻止未經(jīng)授權(quán)的侵入。防止人工信息主管部門21.2-R13系統(tǒng)出現(xiàn)突發(fā)性故障，影響到業(yè)務(wù)正常運(yùn)營保證系統(tǒng)安全２１.2-CA13建立系統(tǒng)突發(fā)故障的應(yīng)急預(yù)案,并就應(yīng)急預(yù)案組織進(jìn)行演練。應(yīng)急預(yù)案及演練記錄防止人工信息主管部門２1.2-R14系統(tǒng)數(shù)據(jù)丟失，導(dǎo)致公司經(jīng)濟(jì)損失系統(tǒng)數(shù)據(jù)安全21.2-CＡ１4A用戶應(yīng)妥善做好本計(jì)算機(jī)內(nèi)信息的備份。對(duì)于重要的文獻(xiàn)、郵件要及時(shí)備份。備份的信息應(yīng)存放在非系統(tǒng)盤內(nèi)或者其它存儲(chǔ)設(shè)備上。特別重要的信息必須建立兩個(gè)以上備份；防止人工信息主管部門2１.2-ＣA１４B公司各信息系統(tǒng)的公共數(shù)據(jù)由信息管理部門定期統(tǒng)一備份。公司信息管理部門設(shè)立專人負(fù)責(zé)數(shù)據(jù)備份工作。備份數(shù)據(jù)刻錄到光盤等介質(zhì)上,交由財(cái)務(wù)檔案管理部門統(tǒng)一保存。備份清單防止人工信息主管部門2１.2-R15備份的數(shù)據(jù)無法恢復(fù),影響到業(yè)務(wù)的正常運(yùn)營系統(tǒng)數(shù)據(jù)安全２1.2－CA15建立數(shù)據(jù)的劫難恢復(fù)機(jī)制，對(duì)于數(shù)據(jù)備份后應(yīng)進(jìn)行數(shù)據(jù)備份的恢復(fù)演習(xí)。防止人工信息主管部門21.2－R1６機(jī)密數(shù)據(jù)在系統(tǒng)傳輸過程泄露，導(dǎo)致公司經(jīng)濟(jì)損失系統(tǒng)數(shù)據(jù)信息得到保密２1．２-CA16A所有用戶在未采用適當(dāng)保密措施與安全技術(shù)的情況下,不得將涉及公司商業(yè)秘密的信息如工作流文獻(xiàn)、演講稿、產(chǎn)品培訓(xùn)資料、招投標(biāo)文獻(xiàn)等數(shù)據(jù)資料上網(wǎng)傳送互換或者采用其他任何方式透露給第三方；防止人工信息主管部門２1.2-CA16B郵件用戶有義務(wù)保證所發(fā)送的具有重要內(nèi)容郵件的安全,對(duì)于此類郵件應(yīng)采用加密方式發(fā)送。防止人工信息主管部門２1.2－R1７信息檔案的保管期限不夠長，影響到后期的檢閱和使用信息檔案保管完好2１.2-CA17信息檔案由財(cái)務(wù)檔案管理部門負(fù)責(zé)進(jìn)行統(tǒng)一保管,按照公司的保管期限進(jìn)行保管。防止人工財(cái)務(wù)部２1．2-R18系統(tǒng)用戶權(quán)限設(shè)立不恰當(dāng)，影響到系統(tǒng)數(shù)據(jù)的安全系統(tǒng)數(shù)據(jù)安全２1.2－CA1８系統(tǒng)用戶權(quán)限增長、刪除或更改設(shè)立時(shí)需由系統(tǒng)用戶部門提出權(quán)限設(shè)立申請(qǐng),經(jīng)部門部長審核，并交由信息主管部門審批方可進(jìn)行設(shè)立。用戶權(quán)限設(shè)立申請(qǐng)防止人工信息主管部門2１.2-R１9用戶權(quán)限被別人隨意使用,影響到系統(tǒng)數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)安全2１.2-ＣＡ19嚴(yán)禁用戶將系統(tǒng)用戶權(quán)限轉(zhuǎn)借給別人使用,用戶使用者保護(hù)好自己的用戶賬號(hào)和登陸密碼。防止人工信息主管部門２1.2-R２0用戶賬號(hào)和登錄密碼泄露或被別人盜取，影響到系統(tǒng)的數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)安全２１．２－ＣA２９所有用戶應(yīng)及時(shí)設(shè)立或更改自己的各種信息系統(tǒng)密碼，對(duì)于密碼達(dá)不到規(guī)定（8個(gè)字符以上)的用戶賬號(hào)，信息管理部門有權(quán)進(jìn)行賬號(hào)禁用。防止人工信息主管部門21．2-R21進(jìn)入系統(tǒng)的數(shù)據(jù)不準(zhǔn)確、不完整、不及時(shí),導(dǎo)致輸出結(jié)果錯(cuò)誤，甚至導(dǎo)致財(cái)產(chǎn)損失。輸入系統(tǒng)數(shù)據(jù)真實(shí)無誤21．2-ＣA21A數(shù)據(jù)在輸入進(jìn)系統(tǒng)之前,需對(duì)采集的原始數(shù)據(jù)的合法性、完整性、準(zhǔn)確性等由獨(dú)立于數(shù)據(jù)采集、編制人員進(jìn)行審核；防止人工相關(guān)部門2１.2-CＡ２１B數(shù)據(jù)在輸入時(shí)需通過授權(quán)審批后方可輸入進(jìn)系統(tǒng);公司可運(yùn)用計(jì)算機(jī)自身的校驗(yàn)功能對(duì)輸入計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)進(jìn)行相應(yīng)的邏輯檢查。防止人工相關(guān)部門21.2-Ｒ2２用戶不對(duì)的操作信息系統(tǒng),隨意增長、刪減操作軟件，容易導(dǎo)致系統(tǒng)損壞保證系統(tǒng)安全21.2-CA22A各部門單位系統(tǒng)軟件操作人員必須按照軟件操作手冊(cè)(操作流程)操作，不得隨意安裝、刪除、修改相關(guān)操作軟件；防止人工相關(guān)部門21.２-CA22B加強(qiáng)信息系統(tǒng)操作人員的嚴(yán)密監(jiān)控,系統(tǒng)管理員應(yīng)定期檢查工作日記,核算操作人員的上機(jī)時(shí)間、操作內(nèi)容等。防止人工信息主管部門2１.2－R２3信息系統(tǒng)解決過程未留下具體軌跡,導(dǎo)致出現(xiàn)錯(cuò)誤時(shí)無法追蹤。系統(tǒng)解決可追溯21.2-CA23在系統(tǒng)內(nèi)部設(shè)立并打開系統(tǒng)操作日記功能,對(duì)系統(tǒng)解決的過程進(jìn)行記錄。防止人工信息主管部門２1.2－Ｒ２4未經(jīng)授權(quán)非法解決業(yè)務(wù)，容易導(dǎo)致系統(tǒng)數(shù)據(jù)被篡改的風(fēng)險(xiǎn)系統(tǒng)數(shù)據(jù)安全21.２-CＡ2４在系統(tǒng)中設(shè)立解決權(quán)限的程序化控制;對(duì)于超過自己權(quán)限范圍,需獲得授權(quán)審批方可進(jìn)行業(yè)務(wù)解決。防止人工信息主管部門21.2-R25輸出的信息內(nèi)容在對(duì)的性和完整性、形式的規(guī)范性等方面存在質(zhì)量問題，無法滿足用戶的需求。輸出的系統(tǒng)數(shù)據(jù)真實(shí)無誤21.２-CＡ25Ａ業(yè)務(wù)人員對(duì)于系統(tǒng)輸出控制總數(shù)與輸入控制總數(shù)、解決控制總數(shù)相核對(duì);檢查人工相關(guān)部門21.2-CA25B對(duì)于財(cái)務(wù)報(bào)表數(shù)據(jù)，在報(bào)表數(shù)據(jù)輸出前，可由計(jì)算機(jī)檢查報(bào)表間應(yīng)有的勾稽關(guān)系是否滿足規(guī)定。檢查人工財(cái)務(wù)部２1.2-ＣA２５C業(yè)務(wù)人員對(duì)于打印輸出的文獻(xiàn)由人工進(jìn)行肉眼和合理性審查，檢查其是否出現(xiàn)錯(cuò)漏。檢查人工相關(guān)部門２1.2-R26敏感信息被非授權(quán)用戶獲取，給公司導(dǎo)致?lián)p失系統(tǒng)數(shù)據(jù)安全21.2-CA26計(jì)算機(jī)系統(tǒng)輸出的信息應(yīng)限制未經(jīng)批準(zhǔn)的人員接觸，系統(tǒng)輸出的文獻(xiàn)應(yīng)由資料保管員或兼職人員負(fù)責(zé)保管。同時(shí)，打印的資料分發(fā)應(yīng)建立簽收制度，收件人應(yīng)簽署收件的日期、文獻(xiàn)和署名，以便日后檢查。防止人工相關(guān)部門21.２-R27輸出的信息被篡改,影響到用戶的有效使用和決策系統(tǒng)數(shù)據(jù)安全21.2－ＣA27A業(yè)務(wù)人員對(duì)于系統(tǒng)輸出控制總數(shù)與輸入控制總數(shù)、解決控制總數(shù)相核對(duì)；檢查人工相關(guān)部門2１.2-CA27B對(duì)于財(cái)務(wù)報(bào)表數(shù)據(jù)，在報(bào)表數(shù)據(jù)輸出前,可由計(jì)算機(jī)檢查報(bào)表間應(yīng)有的勾稽關(guān)系是否滿足規(guī)定。檢查人工財(cái)務(wù)部2１.2-CＡ27C業(yè)務(wù)人員對(duì)于打印輸出的文獻(xiàn)由人工進(jìn)行肉眼和合理性審查，檢查其是否出現(xiàn)錯(cuò)漏。檢查人工相關(guān)部門第八條相關(guān)文獻(xiàn)及表單(一)相關(guān)文獻(xiàn)《第三方與外包安全管理規(guī)定》《ERP-ＮC系統(tǒng)管理規(guī)定》《糧食收購系統(tǒng)管理規(guī)定》《賬號(hào)安全管理規(guī)定》《計(jì)算機(jī)安全檢查標(biāo)準(zhǔn)》《計(jì)算機(jī)用戶行為守冊(cè)》(二)表單業(yè)務(wù)流程表單名稱信息系統(tǒng)自行開發(fā)流程需求調(diào)研計(jì)劃需求調(diào)研報(bào)告項(xiàng)目系統(tǒng)切換計(jì)劃項(xiàng)目驗(yàn)收?qǐng)?bào)告信息系統(tǒng)項(xiàng)目開發(fā)-立項(xiàng)信息系統(tǒng)項(xiàng)目開發(fā)-實(shí)行信息系統(tǒng)運(yùn)營與維護(hù)流程應(yīng)用系統(tǒng)變更申請(qǐng)單信息系統(tǒng)權(quán)限申請(qǐng)使用ＯA系統(tǒng)申請(qǐng)使用OＡ系統(tǒng)申請(qǐng)數(shù)據(jù)備份管理流程無計(jì)算機(jī)用戶管理流程無

第三部分信息系統(tǒng)管理細(xì)則（一)物聯(lián)網(wǎng)人員管理細(xì)則第一章總則為加強(qiáng)公司園區(qū)綜合智能管理人員管理信息化系統(tǒng)(以下簡稱“園區(qū)管理系統(tǒng)”)的員工考勤、食堂就餐、門禁系統(tǒng)和訪客系統(tǒng)的規(guī)劃、建設(shè)和管理,提高信息系統(tǒng)的可靠性、穩(wěn)定