信息系統(tǒng)管理業(yè)務(wù)流程與規(guī)章制度

信息系統(tǒng)治理業(yè)務(wù)流程與規(guī)章制度信息系統(tǒng)治理目標(biāo)信息系統(tǒng)業(yè)務(wù)目標(biāo)1保證信息系統(tǒng)滿足生產(chǎn)經(jīng)營業(yè)務(wù)需求統(tǒng)維護(hù)等環(huán)節(jié)應(yīng)到達(dá)的標(biāo)準(zhǔn)，具體如圖18-11保證信息系統(tǒng)滿足生產(chǎn)經(jīng)營業(yè)務(wù)需求保證到達(dá)信息系統(tǒng)開發(fā)預(yù)期目標(biāo)，系統(tǒng)運(yùn)行安全穩(wěn)定3保證系統(tǒng)消滅故障能準(zhǔn)時恢復(fù)，系統(tǒng)具有擴(kuò)展性和集成性保證災(zāi)難恢復(fù)打算完整、具體保證信息系統(tǒng)的牢靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性圖18-1 信息系統(tǒng)業(yè)務(wù)目標(biāo)信息系統(tǒng)合規(guī)目標(biāo)1保證符合國家及監(jiān)管部門法律法規(guī)的有關(guān)要求信息系統(tǒng)的合規(guī)目標(biāo)是指企業(yè)在開發(fā)使用信息系統(tǒng)的過程中及內(nèi)部規(guī)章制度的狀況消滅而制定的工作目標(biāo)，具體如圖18-21保證符合國家及監(jiān)管部門法律法規(guī)的有關(guān)要求22保證遵守保護(hù)學(xué)問產(chǎn)權(quán)的有關(guān)法律法規(guī)，使用合法軟件3保證企業(yè)業(yè)務(wù)活動的真實(shí)性、合法性和效益性圖18-2 信息系統(tǒng)合規(guī)目標(biāo)信息系統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)信息系統(tǒng)經(jīng)營風(fēng)險(xiǎn)信息系統(tǒng)經(jīng)營風(fēng)險(xiǎn)是指企業(yè)建立與實(shí)施信息系統(tǒng)內(nèi)部把握過程中因?qū)徟划?dāng)、監(jiān)視不力、治理存在漏洞等緣由而可能患病的各種風(fēng)險(xiǎn)，如圖18-3所示。11信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)，可能患病外部懲罰、經(jīng)濟(jì)損失和信譽(yù)損失2信息系統(tǒng)開發(fā)與使用未經(jīng)適當(dāng)審核或超越授權(quán)審批，可能因重大過失、舞弊、欺詐而導(dǎo)致?lián)p失3信息系統(tǒng)功能設(shè)計(jì)不科學(xué)、維護(hù)與變更程序不標(biāo)準(zhǔn)，可能導(dǎo)致企業(yè)經(jīng)營效率低下4信息系統(tǒng)外包效勞未能恰當(dāng)履行或?qū)ζ浔O(jiān)控不當(dāng)，可能導(dǎo)致企業(yè)權(quán)益受損或患病違約損失5信息系統(tǒng)訪問安全措施不當(dāng)，可能導(dǎo)致商業(yè)隱秘泄露圖18-3 信息系統(tǒng)經(jīng)營風(fēng)險(xiǎn)信息系統(tǒng)合規(guī)風(fēng)險(xiǎn)企業(yè)建立與實(shí)施信息系統(tǒng)內(nèi)部把握過程中的合規(guī)風(fēng)險(xiǎn)如圖18-4所示。11侵害學(xué)問產(chǎn)權(quán)，導(dǎo)致訴訟發(fā)生及公司聲譽(yù)受到損害2違反國家和企業(yè)會計(jì)制度，造成工程資金損失3信息技術(shù)把握不符合國家法律、法規(guī)、公司內(nèi)部規(guī)章制度及監(jiān)管機(jī)構(gòu)的有關(guān)要求，造成損失圖18-4 信息系統(tǒng)合規(guī)風(fēng)險(xiǎn)信息系統(tǒng)業(yè)務(wù)流程信息系統(tǒng)開發(fā)維護(hù)流程信息系統(tǒng)開發(fā)維護(hù)流程序責(zé)任協(xié)作/支持不相容監(jiān)視檢查相關(guān)業(yè)務(wù)流程號部門/人部門職責(zé)方法制度提出信息系統(tǒng) 開發(fā)申請 1

信息部

檢查信息系統(tǒng)開發(fā)申請是否符合

《信息系統(tǒng)部門 公司相關(guān)要求 治理細(xì)則》經(jīng)理審核審批

信息部、2

檢查信息系統(tǒng)開申請 發(fā)申請的審批是

《信息系統(tǒng)編制系統(tǒng)開發(fā)書

總經(jīng)理

否符合相關(guān)要求 治理細(xì)則》檢查系統(tǒng)開發(fā)書3 信息部 測試 編制工作是否詳

《信息系統(tǒng)設(shè)計(jì)程序方案

細(xì)完備 治理細(xì)則》檢查程序方案是編寫程序代碼 4 信息部 測試 否符合公司實(shí)際需要

進(jìn)展系統(tǒng)測試

信息部 測試

檢查程序代碼是否存在錯誤

安裝調(diào)試系統(tǒng)

使用信息部

編寫 檢查系統(tǒng)測試工

《信息系統(tǒng)進(jìn)展系統(tǒng)維護(hù)

部門 代碼

遺漏 治理細(xì)則》信息部信息部

檢查安裝調(diào)試工作是否符合實(shí)際工作要求檢查系統(tǒng)維護(hù)工作是否按時按量完成

系統(tǒng)訪問安全治理流程業(yè)務(wù)流程系統(tǒng)訪問安全治理流程業(yè)務(wù)流程1．提出公司信息系統(tǒng)賬號申請公司相關(guān)要求2．信息部經(jīng)理審批后編發(fā)賬號《賬號審批2 信息部 申請 審批是否符合相治理方法》3．設(shè)置安全參數(shù)與軟件系統(tǒng)環(huán)境配置關(guān)要求軟件系統(tǒng)環(huán)境配 《賬號審批4．定期檢查賬號使用狀況3信息部使用部門操作使用置是否符合實(shí)際 治理方法》需要5．加強(qiáng)防火墻等網(wǎng)絡(luò)安全方面的管檢查是否存在違 《賬號審批4 信息部 使用部門 操作使用規(guī)使用賬號狀況治理方法》作是否能夠保障 《信息系統(tǒng)5信息部測試生產(chǎn)運(yùn)營的正常 治理細(xì)則》進(jìn)展序責(zé)任協(xié)作/支持不相容監(jiān)視檢查相關(guān)號部門/人部門職責(zé)方法制度1使用信息部審核審批《賬號審批部門治理方法》信息系統(tǒng)業(yè)務(wù)流程相關(guān)細(xì)則、方法、標(biāo)準(zhǔn)、制度信息系統(tǒng)治理細(xì)則細(xì)則名稱 信息系統(tǒng)治理細(xì)則

執(zhí)行部門 監(jiān)視部門 第1章總則第1條 目的2條信息系統(tǒng)的界定信息系統(tǒng)指利用計(jì)算機(jī)技術(shù)對業(yè)務(wù)和信息進(jìn)展集成處理的程序、數(shù)據(jù)和文檔等。第3條 適用部門本細(xì)則適用于本公司內(nèi)應(yīng)用信息化治理系統(tǒng)的全部部門和個人。2章相關(guān)人員職責(zé)第4條 信息總監(jiān)是公司信息化治理系統(tǒng)建設(shè)的領(lǐng)導(dǎo)者，其主要職責(zé)包括：制定公司信息治理戰(zhàn)略規(guī)劃，報(bào)總經(jīng)理和董事會審批；審核信息系統(tǒng)立項(xiàng)申請；組織進(jìn)展信息系統(tǒng)的開發(fā)；組織人員對信息系統(tǒng)的開發(fā)結(jié)果進(jìn)展測試，負(fù)責(zé)系統(tǒng)的遠(yuǎn)景規(guī)劃和決策；推廣并不斷完善公司信息化系統(tǒng)，加快公司信息化治理步伐；引進(jìn)或組織開發(fā)公司信息化治理系統(tǒng)，實(shí)現(xiàn)辦公自動化；推動信息系統(tǒng)的建設(shè)與維護(hù)，保證公司內(nèi)無紙化辦公。第5條 信息部經(jīng)理是公司信息化治理系統(tǒng)建設(shè)的主要執(zhí)行者，其主要職責(zé)包括：依據(jù)公司進(jìn)展戰(zhàn)略及經(jīng)營打算編制部門進(jìn)展規(guī)劃及工作打算，上報(bào)領(lǐng)導(dǎo)審批后組織實(shí)施；主持信息治理軟件平臺的開發(fā)、應(yīng)用、監(jiān)視和治理；負(fù)責(zé)制定公司網(wǎng)絡(luò)、計(jì)算機(jī)治理的各項(xiàng)規(guī)章制度，上報(bào)領(lǐng)導(dǎo)審批后貫徹實(shí)施；監(jiān)視、檢查制度的執(zhí)行狀況，適時修訂、完善各項(xiàng)制度；組織進(jìn)展信息系統(tǒng)工程的立項(xiàng)申請工作；進(jìn)展信息系統(tǒng)的分析和開發(fā)；組織人員進(jìn)展信息系統(tǒng)開發(fā)編程工作；協(xié)調(diào)有關(guān)職能部門，安排人員進(jìn)展相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持，對安裝調(diào)試中消滅的各種問題提出處理意見，并幫助其妥當(dāng)解決；準(zhǔn)時編制系統(tǒng)幫助手冊，經(jīng)領(lǐng)導(dǎo)審批后準(zhǔn)時下發(fā)到相關(guān)部門；的有效運(yùn)用；網(wǎng)絡(luò)設(shè)備的突發(fā)故障；進(jìn)展程序治理和數(shù)據(jù)庫治理以及數(shù)據(jù)把握。第6條 信息部主管是公司信息化治理系統(tǒng)建設(shè)的執(zhí)行者，其主要職責(zé)包括：參與編制部門進(jìn)展規(guī)劃及工作打算；參與信息系統(tǒng)立項(xiàng)申請工作；組織維護(hù)公司效勞器的正常運(yùn)行；負(fù)責(zé)公司硬件設(shè)施、網(wǎng)絡(luò)設(shè)備的修理治理；行正常完好；參與信息系統(tǒng)立項(xiàng)申請；參與進(jìn)展信息系統(tǒng)的分析和開發(fā)；進(jìn)展信息系統(tǒng)的開發(fā)編程和測試工作；進(jìn)展相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)技術(shù)支持；進(jìn)展程序治理和數(shù)據(jù)庫治理以及數(shù)據(jù)把握。第7條 信息部專員是公司信息化治理系統(tǒng)的執(zhí)行者和維護(hù)者，其主要職責(zé)包括：為信息系統(tǒng)立項(xiàng)申請搜集資料，進(jìn)展調(diào)研；參與進(jìn)展信息系統(tǒng)的分析和開發(fā)；參與信息系統(tǒng)的開發(fā)編程和測試工作；參與進(jìn)展相關(guān)應(yīng)用軟件的安裝調(diào)試及有關(guān)的技術(shù)支持；及系統(tǒng)進(jìn)展日常維護(hù)、定期檢修測試和故障處理。第8條 信息系統(tǒng)使用部門的主要職責(zé)包括：參與制定信息系統(tǒng)戰(zhàn)略規(guī)劃；參與制定重要信息系統(tǒng)政策；負(fù)責(zé)記錄交易內(nèi)容，授權(quán)處理數(shù)據(jù)，并利用系統(tǒng)輸出的結(jié)果；承受公司信息部關(guān)于信息系統(tǒng)操作的培訓(xùn)；信息系統(tǒng)消滅故障，向公司信息部提出修理申請；部門經(jīng)理負(fù)責(zé)信息系統(tǒng)操作申請的審批；部門主管或經(jīng)理負(fù)責(zé)對內(nèi)部人員操作狀況進(jìn)展監(jiān)控。第9條 信息系統(tǒng)開發(fā)所遵循的原則因地制宜原則算機(jī)信息系統(tǒng)。本錢效益原則域中的關(guān)鍵因素進(jìn)展信息系統(tǒng)改造。理念與技術(shù)并重原則正確理解和使用信息系統(tǒng)，提高信息系統(tǒng)運(yùn)作效率。第10條 開發(fā)包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)維護(hù)與評價5個階段第11條 系統(tǒng)規(guī)劃治理系統(tǒng)規(guī)劃治理階段參與人員及分工信息總監(jiān)做信息系統(tǒng)開發(fā)工程的總體規(guī)劃。信息系統(tǒng)開發(fā)工程經(jīng)理依據(jù)總體規(guī)劃制訂開發(fā)打算。系統(tǒng)分析員負(fù)責(zé)搜集開發(fā)資料。系統(tǒng)規(guī)劃階段存在的風(fēng)險(xiǎn)及應(yīng)對策略優(yōu)勢。缺乏高層領(lǐng)導(dǎo)支持。應(yīng)對策略：培訓(xùn)、溝通、聘請權(quán)威專家開辦講座等。第12條 系統(tǒng)分析治理系統(tǒng)分析治理階段參與人員及分工系統(tǒng)分析員進(jìn)展資料分析。終端用戶對系統(tǒng)提出訪用要求。系統(tǒng)分析階段存在的風(fēng)險(xiǎn)及應(yīng)對策略調(diào)整。用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析的工作量。應(yīng)對策略：建立多樣性的溝通渠道，加強(qiáng)溝通。第13條 系統(tǒng)設(shè)計(jì)治理系統(tǒng)設(shè)計(jì)治理階段參與人員及分工/輸出設(shè)計(jì)、處理流程及模塊功能的設(shè)計(jì)。表或文件的形式，以及數(shù)據(jù)的構(gòu)造、類別、載體、組織方式、保密等級等一系列的問題。系統(tǒng)設(shè)計(jì)階段存在的風(fēng)險(xiǎn)及應(yīng)對策略的開發(fā)人員，并設(shè)立有效的監(jiān)視機(jī)制。系統(tǒng)分析的工作量。應(yīng)對策略：加強(qiáng)技術(shù)溝通，集中精力解決技術(shù)難題，盡可能地設(shè)計(jì)備選方案。第14條 系統(tǒng)實(shí)施治理系統(tǒng)實(shí)施治理階段參與人員及分工程序設(shè)計(jì)員進(jìn)展程序設(shè)計(jì)和系統(tǒng)的調(diào)試、試運(yùn)行。數(shù)據(jù)庫治理員進(jìn)展數(shù)據(jù)收集，數(shù)據(jù)格式的標(biāo)準(zhǔn)化和標(biāo)準(zhǔn)化。終端用戶對系統(tǒng)試運(yùn)行效果提出意見和建議。系統(tǒng)實(shí)施階段存在的風(fēng)險(xiǎn)及應(yīng)對策略強(qiáng)內(nèi)部本錢治理和把握。用戶閱歷缺乏可能導(dǎo)致系統(tǒng)功能不完整。應(yīng)對策略：加強(qiáng)教育培訓(xùn)。第15條 系統(tǒng)維護(hù)與評價治理系統(tǒng)維護(hù)與評價治理階段參與人員及分工。系統(tǒng)維護(hù)人員進(jìn)展日常運(yùn)行維護(hù)和系統(tǒng)的更維護(hù)。數(shù)據(jù)庫治理員進(jìn)展數(shù)據(jù)庫和代碼維護(hù)。系統(tǒng)維護(hù)與評價階段存在的風(fēng)險(xiǎn)及應(yīng)對策略。理的系統(tǒng)設(shè)計(jì)，承受防火墻和加密技術(shù)。質(zhì)量治理。4章信息系統(tǒng)應(yīng)急治理第16條 為應(yīng)付信息系統(tǒng)突發(fā)大事而預(yù)備的應(yīng)急物資主要包括以下內(nèi)容。物質(zhì)資源預(yù)備主要有電源動力，網(wǎng)絡(luò)通信、生產(chǎn)效勞器、數(shù)據(jù)和軟件。在人力資源預(yù)備方面，重要的技術(shù)崗位要建立雙人或多人的備份制度。應(yīng)急操作手冊的編寫和維護(hù)。度全面徹底地檢查一次，保證系統(tǒng)完好可用。第17條 應(yīng)急措施的實(shí)施發(fā)生應(yīng)急大事時，各部門、各崗位要相互支持，相互協(xié)作，聽從指揮。應(yīng)急啟開工作流程部經(jīng)理或主管。信息部經(jīng)理或主管對狀況進(jìn)展推斷，判定屬于應(yīng)急大事時，應(yīng)馬上啟動應(yīng)急操作流程。由操作人員按規(guī)定的步驟進(jìn)展操作，并隨時向信息部主管報(bào)告執(zhí)行結(jié)果。操作人員處理后未能解決，信息部技術(shù)人員應(yīng)在第一時間趕赴現(xiàn)場進(jìn)展應(yīng)急處理，并報(bào)告信息部經(jīng)理。對于短時間內(nèi)能夠解決的問題，應(yīng)進(jìn)入應(yīng)急恢復(fù)和總結(jié)環(huán)節(jié)。對于短時間內(nèi)不能解決的問題，信息科技部經(jīng)理要馬上報(bào)告信息總監(jiān)。信息總監(jiān)依據(jù)閱歷推斷是否馬上啟動應(yīng)急程序。假設(shè)信息總監(jiān)推斷屬于重大信息系統(tǒng)問題，應(yīng)準(zhǔn)時將應(yīng)急方案提交總經(jīng)理審批。信息總監(jiān)組織成立應(yīng)急領(lǐng)導(dǎo)小組，趕赴現(xiàn)場進(jìn)展指揮。應(yīng)急處理工作流程應(yīng)急領(lǐng)導(dǎo)小組做好應(yīng)急大事的通知和預(yù)報(bào)，組織和協(xié)調(diào)各項(xiàng)應(yīng)急處理工作。參與應(yīng)急處理的各部門應(yīng)聽從統(tǒng)一領(lǐng)導(dǎo)指揮，全力協(xié)作，做好各項(xiàng)應(yīng)急處理工作。5》進(jìn)展應(yīng)急處理。60分鐘內(nèi)到達(dá)現(xiàn)場。實(shí)施的全過程，認(rèn)真采集和整理現(xiàn)場第一手資料，做好故障信息日志的保護(hù)和應(yīng)急過程處理步驟的記錄。對于應(yīng)急故障處理期間發(fā)生的問題、信息，應(yīng)急實(shí)施成員應(yīng)準(zhǔn)時報(bào)告現(xiàn)場總指揮。分析，快速提出解決措施方案。第18條 應(yīng)急恢復(fù)和總結(jié)應(yīng)急處理完畢后，應(yīng)急實(shí)施成員必需盡快恢復(fù)系統(tǒng)運(yùn)行環(huán)境，并進(jìn)展嚴(yán)格的檢查和驗(yàn)證。，形成《應(yīng)急處理總結(jié)報(bào)告》并上報(bào)信息總監(jiān)和總經(jīng)理。依據(jù)應(yīng)急處理的實(shí)際狀況對《應(yīng)急操作手冊》進(jìn)展補(bǔ)充完善。5章信息系統(tǒng)維護(hù)治理第19條 預(yù)防性措施確保計(jì)算機(jī)信息系統(tǒng)的持續(xù)運(yùn)行常見預(yù)防性措施包括但不限于日常檢測、設(shè)立容錯冗余、編制應(yīng)急預(yù)案等。第20條 統(tǒng)的日常檢測由公司信息部維護(hù)主管負(fù)責(zé)，上級主管領(lǐng)導(dǎo)為信息部經(jīng)理和信息總監(jiān)。第21條 信息系統(tǒng)發(fā)生故障時應(yīng)由公司信息部修理主管制定修理方案，交由信息部經(jīng)理和信息總監(jiān)審核和審批后組織人員進(jìn)展修理。第22條 核和審批后組織人員實(shí)施。第23條 信息系統(tǒng)安全包括：軟件安全和硬件網(wǎng)絡(luò)安全。第24條 息部安全主管應(yīng)實(shí)行有效的方法和技術(shù)防止信息系統(tǒng)數(shù)據(jù)的喪失損壞以及硬件的破壞、失效等災(zāi)難性故障。第25條 主管應(yīng)對工作站主機(jī)共享文件設(shè)置不同的權(quán)限經(jīng)過信息部經(jīng)理審批后存盤以后變更必需經(jīng)信息部經(jīng)理審批，系統(tǒng)治理員應(yīng)做好變更日志存盤。第26條 排解和恢復(fù)工作，以防災(zāi)難性網(wǎng)絡(luò)風(fēng)爆發(fā)生。第27條 和移動。第28條 網(wǎng)操作人員必需嚴(yán)格遵守計(jì)算機(jī)及其他相關(guān)設(shè)備的操作規(guī)程制止從事與系統(tǒng)操作無關(guān)的工作。第29條 各工作站主機(jī)自行安裝軟件特別是玩耍軟件制止在工作用主機(jī)上打玩?；蜻M(jìn)展其他與工作無關(guān)的操作。第30條 毒未經(jīng)查毒的存貯介質(zhì)制止使用對造成病毒集中的有關(guān)責(zé)任人員公司將依照相關(guān)制度進(jìn)展經(jīng)濟(jì)懲罰第31條 信息部未解決網(wǎng)絡(luò)安全〔未安裝防火墻、高端殺毒軟件、入侵檢測系統(tǒng)〕的狀況下，內(nèi)外網(wǎng)獨(dú)立運(yùn)行，全部終端內(nèi)外網(wǎng)不能混接，嚴(yán)禁用戶通過U盤等存貯介質(zhì)拷貝文件。第32條 盤、光盤和U盤等存貯介質(zhì)進(jìn)展拷貝，不得利用電子郵件等方式對外發(fā)送。第33條 系統(tǒng)治理員有權(quán)監(jiān)視和制止一切違反安全治理規(guī)定的行為。第7章附則第34條 由公司信息部會同其他有關(guān)部門解釋。第35條 本細(xì)則自 年 月 日起實(shí)施。

方法編號方法名稱方法編號方法名稱賬號審批治理方法受控狀態(tài)執(zhí)行部門監(jiān)視部門生效日期第1條 目的為了標(biāo)準(zhǔn)公司信息系統(tǒng)賬號治理工作，特制定本方法。第第2條 范圍本方法適用于公司信息部以及各用戶部門涉及使用信息系統(tǒng)的相關(guān)人員。第3條 公司信息系統(tǒng)中的信息、數(shù)據(jù)按級別劃分，員工可依據(jù)其賬號的權(quán)限進(jìn)展閱讀、使用。4條公司信息部依據(jù)員工的職級與權(quán)限編發(fā)賬號，為每位員工設(shè)置與之相對應(yīng)的唯一賬號，只允許其使用自己的賬號，制止使用他人賬號，否則造成的后果由使用者和賬號泄露者共同擔(dān)當(dāng)。5