114应用系统IT一般性控制流程Word格式文档下载.docx
《114应用系统IT一般性控制流程Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《114应用系统IT一般性控制流程Word格式文档下载.docx(7页珍藏版)》请在冰豆网上搜索。
二、业务风险
1经营风险
本流程适用于除ERP系统外的其它应用系统,包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。
1.1技术方案不合理,系统功能存在问题,导致应用系统不能满足生产经营管理业务需求。
1.2系统登录访问机制不健全、用户权限管理不规范等,
导致对系统的非法或非授权访问。
1.3密码设置强度不够或更改不及时,造成系统泄密或受到非法访问。
1.4系统变更管理不规范,未经审批、测试,导致应用系统运行和维护的无法正常进行。
1.5系统运行缺乏有效监控及维护管理,影响系统安全稳定运行。
1.6系统问题处理不及时、不规范,不能保证系统问题得到及时有效解决。
1.7备份策略和备份方案不完善,导致系统数据丢失,系统无法恢复。
1.8制度不健全,导致信息系统应用管理不规范、运维不及时。
2合规风险
2.1侵犯知识产权,导致诉讼及股份公司声誉受到损害。
2.2应用系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致系统无法正常运行。
2.3重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
三、业务流程步骤与控制点
1程序和数据访问
1.1总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、数据库管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
1.1.1东北油气分公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、数据库管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
1.2用户权限管理
1.2.1新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
1.2.1.1新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
1.2.2对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责人审批后,由数据库管理员在数据库中新增、变更或锁定用户权限。
1.2.2.1对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责人审批后,由数据库管理员在数据库中新增、变更或锁定用户权限。
1.3用户帐号及访问管理
1.3.1操作人员访问应用系统时,必须输入用户帐号和密码。
1.3.1.1操作人员访问应用系统时,必须输入用户帐号和密码。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
应用管理员至少每半年打印一次用户帐号权限清单,并由相关部门负责人审核。
1.3.2.1应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
1.4密码管理
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。
应用管理员对操作人员密码定期更换记录进行检查。
1.4.1.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。
1.4.2系统管理员、数据管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。
上述密码至少三个月更换一次,安全管理员对定期更换记录进行检查。
1.4.2.1系统管理员、数据管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。
1.5系统管理员、数据管理员、应用管理员、安全管理员管理
1.5.1系统需配备专职或兼职系统管理员、数据管理员、应用管理员和安全管理员。
安全管理员、系统管理员、数据管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则,且不得拥有应用系统的业务操作权限。
相关部门负责人至少每半年对上述管理员在职情况进行审查。
1.5.1.1系统需配备专职或兼职系统管理员、数据管理员、应用管理员和安全管理员。
1.5.2安全管理员至少每季度对系统管理员、数据库管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
1.5.2.1安全管理员至少每季度对系统管理员、数据库管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
1.6第三方人员管理
1.6.1总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全保密协议。
1.6.1.1东北油气分公司与第三方合作单位就相关应用系统签订安全保密协议。
1.6.2第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限,使用期限不超过三个月),经需求部门负责人审核后提交信息管理部门(责任处(科)室)负责人审批,由应用管理员在系统中新增或变更其帐号及权限。
到期后必须及时删除或锁定第三方人员的帐号。
1.6.2.1第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限,使用期限不超过三个月),经需求部门负责人审核后提交信息中心负责人审批,由应用管理员在系统中新增或变更其帐号及权限。
1.6.3总部各部门、分(子)公司与运维外包单位就相关应用系统签订运维外包协议,协议内容应包括运维组织结构、相应职责、运维流程、考核办法及运维文档等内容。
1.6.3.1东北油气分公司与运维外包单位就相关应用系统签订运维外包协议,协议内容应包括运维组织结构、相应职责、运维流程、考核办法及运维文档等内容。
2程序变更
2.1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。
2.1.1东北油气分公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。
2.2总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。
各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
2.2.1东北油气分公司自建系统或客户化开发的变更,必须经过分公司信息中心和相关部门负责人审批。
2.3变更的应用程序移植到生产系统前,相关部门必须组织人员进行系统测试和最终用户测试,测试不能在生产环境中进行。
2.3.1变更的应用程序移植到生产系统前,相关部门必须组织人员进行系统测试和最终用户测试,测试不能在生产环境中进行。
2.4信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理,记录每次变更的版本号,存档变更文档和变更升级程序。
2.4.1信息中心必须对操作系统、数据库、应用系统版本变更进行管理,记录每次变更的版本号,存档变更文档和变更升级程序。
3程序开发
3.1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《11.1信息系统管理业务流程》执行。
3.1.1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《11.1信息系统管理业务流程》执行。
3.2应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
3.2.1应用系统上线前,必须由信息中心组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
3.3系统初始化管理
3.3.1相关部门按照数据收集模板组织人员收集、整理业务数据,并由相关部门责任人审核确认。
3.3.1.1相关部门按照数据收集模板组织人员收集、整理业务数据,并由相关部门责任人审核确认。
3.3.2相关部门组织人员对导入和补录系统的数据进行核对,并由相关部门责任人签字确认。
3.3.2.1相关部门组织人员对导入和补录系统的数据进行核对,并由相关部门责任人签字确认。
4系统运行
4.1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统运行管理,包括系统备份及恢复、系统监控、维护及故障处理等。
4.1.1东北油气分公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统运行管理,包括系统备份及恢复、系统监控、维护及故障处理等。
4.2数据备份及恢复
4.2.1数据库管理员(系统管理员)至少每月做一次数据全备份,并检查数据备份日志,确认备份是否成功。
对备份异常情况进行记录,同时检查备份数据的可读性。
4.2.1.1数据库管理员至少每月做一次数据全备份,并检查数据备份日志,确认备份是否成功。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
4.2.2.1系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
4.2.3系统管理员、数据库管理员至少每月对操作系统、数据库、应用系统的日志进行备份。
4.2.3.1系统管理员、数据库管理员至少每月对操作系统、数据库、应用系统的日志进行备份。
4.2.4介质管理人员(系统管理员)将月备份介质与生产服务器异地存放,并由专人管理。
备份介质存放要有记录,介质访问人员须经相关部门负责人授权并填写访问记录。
4.2.4.1系统管理员将月备份介质与生产服务器异地存放,并由专人管理。
4.2.5系统管理员至少每月对备份数据进行一次可读性测试。
4.2.5.1系统管理员至少每月对备份数据进行一次可读性测试。
4.2.6系统管理员至少每年对备份数据进行一次恢复性测试。
4.2.6.1系统管理员至少每年对备份数据进行一次恢复性测试。
4.3系统监控、维护及故障处理
4.3.1系统管理员对应用系统、后台作业、操作系统、数据库、服务器等运行状况进行监控,并填报系统运行监控报告。
4.3.1.1系统管理员对应用系统、后台作业、操作系统、数据库、服务器等运行状况进行监控,并填报系统运行监控报告。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
4.3.2.1应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息中心/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
4.3.3对系统运行出现的故障,相关人员需填报问题处理记录单,详细记录问题处理情况,其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等,并审核确认。
4.3.3.1对系统运行出现的故障,相关人员需填报问题处理记录单,详细记录问题处理情况,其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等,并审核确认。
4.3.4系统应用部门会同信息管理部门制订系统应急预案,并至少每年对业务人员、系统管理员、应用管理员进行一次系统应急预案的培训。
4.3.4.1系统应用部门会同信息管理部门制订系统应急预案,并至少每年对业务人员、系统管理员、应用管理员进行一次系统应急预案的培训。
4.4炼化企业使用MES系统进行主物料的日、旬、月平衡,公用工程进行旬、月平衡,实现生产监控管理,满足生产调度的要求,为ERP和生产营运指挥等系统提供数据支持。
4.4.1不适用与油田企业,适用于炼化企业。
四、相关制度目录(制度后标号为《内控手册相关规章制度汇编》目录索引号)
1中国石油化工股份有限公司管理信息系统应用管理办法(试行)(石化股份信[2006]330号)----1.10.3
2中国石油化工股份有限公司财务信息管理系统系统管理办法(石化股份财信[2003]100号)----2.6.4
3关于下发《中国石化加油卡系统运行维护管理手册(2008年修订稿)》的通知(石化股份销信〔2008〕377号)----2.14.18
4中国石油化工股份有限公司管理信息系统应用管理办法(试行)(石化股份信[2006]330号)----1.10.7