19.1(手冊)公司信息系統(tǒng)內(nèi)控手冊(信息部)

1、19.1(手冊)公司信息系統(tǒng)內(nèi)控手冊(信息部)第十八號信息系統(tǒng)第一章信息系統(tǒng)的開發(fā)管理一、業(yè)務(wù)目標?確保信息系統(tǒng)的建設(shè)過程符合國家法律、法規(guī)及企業(yè)內(nèi)部管理制度的要求。?合理規(guī)劃企業(yè)信息系統(tǒng)建設(shè)，促進企業(yè)戰(zhàn)略目標的實現(xiàn)。?嚴格控制信息系統(tǒng)項目實施過程，保證系統(tǒng)建設(shè)質(zhì)量。二、業(yè)務(wù)風險?信息系統(tǒng)的建設(shè)與運行違反國家法律、法規(guī)和監(jiān)管機構(gòu)的要求，可能使企業(yè)遭受外部處罰。?信息系統(tǒng)發(fā)展缺少合理的規(guī)劃或者落實不到位，無法確保企業(yè)全面戰(zhàn)略目標的實現(xiàn)。三、業(yè)務(wù)范圍該子流程主要描述了XXXXXXX股份有限公司信息系統(tǒng)管理的相關(guān)工作流程，主要包括：項目立項審批，項目合同簽訂，項目實施管理，項目驗收管理等。四、業(yè)務(wù)流

2、程描述1、項目立項1.1公司各單位按照企業(yè)信息化建設(shè)規(guī)劃，根據(jù)本單位業(yè)務(wù)管理需要，在每年12月31日前提出企業(yè)信息化應(yīng)用系統(tǒng)建設(shè)項目申請，編制應(yīng)用系統(tǒng)項目申報材料，提交對口業(yè)務(wù)部門和信息中心。項目申報材料的具體要求請參考XXXXXXX信息化應(yīng)用系統(tǒng)需求管理制度。1.2信息中心按照XXXXXXX信息化建設(shè)管理制度規(guī)定的職責分工，將需求方案分送各相關(guān)業(yè)務(wù)部門進行業(yè)務(wù)審核。信息中心負責項目申報材料的技術(shù)審核。1.3業(yè)務(wù)需求牽頭部門、信息中心按照分工完成業(yè)務(wù)審核和技術(shù)審核后，報信息化工作領(lǐng)導(dǎo)小組審定。1.4信息中心負責將審核項目進行匯總，對重大項目組織專家論證，編制年度項目計劃，經(jīng)信息化辦公室審核，報

3、信息化領(lǐng)導(dǎo)小組審批。1.5信息中心根據(jù)信息化領(lǐng)導(dǎo)小組審定的年度項目計劃，按照部門預(yù)算管理要求，匯總編制年度公司信息化經(jīng)費預(yù)算及建設(shè)項目經(jīng)費預(yù)算，報分管副總、總經(jīng)理審批，并將批復(fù)結(jié)果以書面形式通知集團內(nèi)相關(guān)單位。1.6未經(jīng)信息化領(lǐng)導(dǎo)小組批準的建設(shè)項目，不得自行籌集經(jīng)費建設(shè)。2、項目實施過程管理2.1經(jīng)信息化領(lǐng)導(dǎo)小組批準的建設(shè)項目，由信息中心確認開發(fā)商或供應(yīng)商，并根據(jù)XXXXXXX信息化建設(shè)項目合同管理制度簽訂項目合同。2.2信息中心會同對口業(yè)務(wù)部門確認詳細的業(yè)務(wù)功能需求和業(yè)務(wù)流程，確認開發(fā)任務(wù)，合理配置開發(fā)資源。2.3信息中心組織部內(nèi)相關(guān)單位和項目開發(fā)單位有關(guān)人員成立系統(tǒng)開發(fā)小組，負責組織和管理

4、軟件開發(fā)工作。2.4信息中心負責對系統(tǒng)開發(fā)全過程進行跟蹤管理；負責建立進度控制、質(zhì)量控制、風險控制機制，約束開發(fā)單位按期保質(zhì)完成工作計劃、規(guī)避項目風險。項目實施過程的管理要求詳見XXXXXXX信息化應(yīng)用系統(tǒng)組織實施管理制度。2.5信息中心組織項目需求單位、項目開發(fā)單位組成系統(tǒng)測試小組，負責系統(tǒng)測試的各項工作。2.6各項測試工作完成后，信息中心負責完成信息系統(tǒng)的正式上線工作。2.7系統(tǒng)使用的對口業(yè)務(wù)部門負責編制系統(tǒng)的業(yè)務(wù)指導(dǎo)操作手冊，信息中心負責提供技術(shù)支持。3、項目驗收3.1項目開發(fā)單位在項目完成后1個月內(nèi)，向信息中心提出項目竣工驗收申請，并填寫企業(yè)信息化建設(shè)項目竣工驗收申請表。3.2信息中心

5、會同業(yè)務(wù)需求牽頭部門組成驗收小組，具體驗收標準及驗收程序詳見XXXXXXX信息化建設(shè)項目驗收管理制度。3.3項目驗收組根據(jù)審查驗收情況，召開評審論證會，對項目進行綜合評價，形成竣工驗收報告，填寫企業(yè)信息化建設(shè)項目竣工驗收表，由驗收組全體成員簽字，驗收組組長根據(jù)驗收表決情況簽署驗收意見。3.4信息中心將通過驗收的項目各種文件資料及最終驗收審批報告，歸類整理并列出清單，按照有關(guān)規(guī)定歸檔保存。3.5項目未通過驗收的，信息中心以書面形式通知開發(fā)單位，限期整改，符合驗收條件后，可再次提出驗收申請。五、相關(guān)制度XXXXXXX信息化建設(shè)管理制度XXXXXXX信息化應(yīng)用系統(tǒng)需求管理制度XXXXXXX信息化建設(shè)

6、項目合同管理制度XXXXXXX信息化建設(shè)項目資金管理制度XXXXXXX信息化應(yīng)用系統(tǒng)組織實施管理制度XXXXXXX信息化建設(shè)項目驗收管理制度六、主要控制點1 項目立項管理流程2 項目合同的簽訂3 項目實施過程的質(zhì)量控制，進度控制，風險控制4 項目驗收過程七、檢查資料1 信息系統(tǒng)項目申報材料2 項目評審報告3 項目開發(fā)或采購相關(guān)合同4 系統(tǒng)實施方案5 信息系統(tǒng)項目竣工驗收報告八、業(yè)務(wù)流程第二章信息系統(tǒng)的運行與維護一、業(yè)務(wù)目標?確保信息系統(tǒng)的運維管理過程符合國家法律、法規(guī)及企業(yè)內(nèi)部管理制度的要求。?提高信息系統(tǒng)的管理水平和技術(shù)應(yīng)用水平，滿足生產(chǎn)經(jīng)營業(yè)務(wù)需求，提高企業(yè)綜合競爭力。二、業(yè)務(wù)風險?信息系

7、統(tǒng)管理存在漏洞，無法滿足業(yè)務(wù)需求或給企業(yè)帶來信息安全隱患，影響生產(chǎn)經(jīng)營的順利進行。?信息系統(tǒng)的軟件、硬件等運行環(huán)境存在運行故障、數(shù)據(jù)丟失、設(shè)備損壞等風險，缺失應(yīng)急預(yù)案，影響企業(yè)的正常生產(chǎn)運營。三、業(yè)務(wù)范圍該子流程主要描述了XXXXXXX股份有限公司信息系統(tǒng)管理的相關(guān)工作流程，主要包括：信息系統(tǒng)的運行及維護管理、系統(tǒng)升級管理、信息系統(tǒng)安全管理等。四、業(yè)務(wù)流程描述1、系統(tǒng)運行及維護管理1.1企業(yè)總部應(yīng)用系統(tǒng)的維護歸口統(tǒng)一由信息中心負責管理（運維直接外包的項目除外）。1.2系統(tǒng)使用對口業(yè)務(wù)部門(單位)負責業(yè)務(wù)流程、業(yè)務(wù)要求、對口模塊子系統(tǒng)的具體操作規(guī)范等相關(guān)制度的制定和落實，對有關(guān)業(yè)務(wù)參數(shù)等數(shù)據(jù)的日

8、常更新；對關(guān)鍵用戶與一般用戶進行系統(tǒng)業(yè)務(wù)培訓(xùn)和培訓(xùn)考核。信息中心負責提供技術(shù)支持。1.3信息中心負責日常軟硬件系統(tǒng)維護、網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)急處理等工作，保證信息系統(tǒng)安全、穩(wěn)定運行，并做應(yīng)急事故處理記錄和運行維護記錄。需委托維護的信息系統(tǒng)，信息中心負責審查系統(tǒng)服務(wù)商資質(zhì)，并簽訂系統(tǒng)維護服務(wù)合同；由信息中心自行維護的，則指定專人負責維護，制定崗位職責。1.4在系統(tǒng)使用中，各部門（單位）如有變更需求，可在OA 辦公系統(tǒng)中填寫新增變更業(yè)務(wù)需求申請單，在相關(guān)業(yè)務(wù)部門和信息中心完成系統(tǒng)審批流程后，由信息中心統(tǒng)一安排處理。變更完成后由申請?zhí)岢霾块T相關(guān)人員簽字確認。3、系統(tǒng)更新升級管理3.1對于系統(tǒng)更新升級，軟

9、件提供方必須明確給出本次補丁所涉及的變更內(nèi)容。并發(fā)布到與正式系統(tǒng)同步的測試系統(tǒng)中，由信息中心會同相關(guān)業(yè)務(wù)部門，對系統(tǒng)進行測試評估。測試完成后，相關(guān)部門人員共同在系統(tǒng)升級測試報告上簽字確認。3.2在系統(tǒng)補丁測試確認完成后，由信息中心指定工作人員負責完成正式系統(tǒng)的補丁升級。3.3信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除修改等操作，不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)的環(huán)境配置。4、信息系統(tǒng)安全管理4.1信息系統(tǒng)環(huán)境安全4.1.1企業(yè)系統(tǒng)運行環(huán)境包括了數(shù)據(jù)中心機房、總部與各分子公司的網(wǎng)絡(luò)及通信加密方式等，具體的安全管理要求詳見XXXXXXX信息安全管理制度。4.2信息系統(tǒng)網(wǎng)絡(luò)安全4

10、.2.1信息中心負責企業(yè)總部的防火墻建設(shè)及網(wǎng)絡(luò)安全防護，各項安全要求標準詳見XXXXXXX信息安全管理制度。4.3信息系統(tǒng)數(shù)據(jù)安全4.3.1信息中心負責企業(yè)數(shù)據(jù)安全管理，制定各類數(shù)據(jù)備份的計劃，定期監(jiān)督備份計劃實施情況。4.3.2每日進行系統(tǒng)數(shù)據(jù)庫自動備份，并將備份數(shù)據(jù)自動保存至數(shù)據(jù)備份服務(wù)器。系統(tǒng)管理員定期將備份服務(wù)器上的數(shù)據(jù)拷貝至移動存儲進行備份。定期對備份數(shù)據(jù)抽樣進行恢復(fù)測試。年末將備份數(shù)據(jù)的移動存儲設(shè)備送往檔案中心存檔。4.3.3任何單位和個人不得從事危害信息系統(tǒng)安全的行為，不得對外公開信息系統(tǒng)的保密數(shù)據(jù)，違規(guī)者按依照有關(guān)規(guī)定對責任人員給予行政處分。情節(jié)嚴重的追究刑事責任。4.4信息系

11、統(tǒng)用戶安全4.4.1信息中心負責用戶賬號新增、變更，并根據(jù)員工的崗位進行權(quán)限分配，詳見XXXXXXX信息化建設(shè)系統(tǒng)組織、用戶權(quán)限管理制度。4.4.2每位員工都有責任保管好本人的賬號和密碼，做好計算機病毒防護工作，并定期更換密碼，以防止他人盜用和破譯。4.4.3人員崗位若發(fā)生變化，其賬號的權(quán)限也需做相應(yīng)的調(diào)整。崗位變更人員在完成人事部門的業(yè)務(wù)審批流程后，在OA辦公系統(tǒng)填寫崗位權(quán)限信息表并提交給信息中心，信息中心管理員才能根據(jù)表格信息進行相應(yīng)的賬號新增、修改及權(quán)限分配操作；4.4.4人員離職后，用戶賬號將被禁用。5、機房管理5.1外來人員對硬件系統(tǒng)維護時，須填寫外來人員進入機房審批表，經(jīng)信息中心批

12、準后方可進入；當外來人員對軟件系統(tǒng)進行維護時，須填寫應(yīng)用軟件維護表，經(jīng)系統(tǒng)使用業(yè)務(wù)部門負責人和信息中心主任簽字批準后方可。5.2機房所有工作人員須經(jīng)信息中心主任授權(quán)并憑門禁卡進出機房，外來人員進入機房統(tǒng)一由信息中心專人陪同，陪同人員全面負責外來人員的行為安全，并做好安全防范工作。5.3中心機房及其附屬設(shè)備的管理（登記）與維修由網(wǎng)管人員負責。設(shè)備管理人員每半年要核準一次設(shè)備登記情況。5.4機房工作人員應(yīng)熟悉機房內(nèi)部消防安全操作和規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。5.5中心機房服務(wù)器、磁盤陣列柜及其網(wǎng)絡(luò)設(shè)備由專職人員每月進行一次例行檢查和維護，尤其是設(shè)備供電、運行狀態(tài)是否正常等要時常檢查和維護。五、相關(guān)制度XXX