中粮生化信息系统管理制度.docx

中粮生化信息系统管理制度.docx

《中粮生化信息系统管理制度.docx》由会员分享，可在线阅读，更多相关《中粮生化信息系统管理制度.docx（134页珍藏版）》请在冰豆网上搜索。

中粮生化信息系统管理制度

中粮生物化学（安徽）股份有限公司

第二十一篇信息系统管理

（ZLSH/21-1.0）

第一部分信息系统管理制度

第一章概述

第一条为了引导公司充分利用信息系统规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》，制定本制度。

第二条本制度所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。

公司利用信息系统实施至少应当关注下列风险：

（一）信息系统开发与使用违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。

（二）信息系统开发与使用未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。

（三）信息系统设计功能不科学、维护与变更程序不规范，可能导致企业经营管理效率与效果低下。

（四）信息系统外包服务未恰当履行或监控不当，可能导致企业权益受损或违约损失。

（五）信息系统访问安全措施不当，可能导致商业秘密泄露。

（六）信息系统硬件管理不当，可能导致资产或股东权益受损。

第三条公司在建立与实施信息系统内部控制中，必须至少强化对下列关键方面或者关键环节的控制：

（一）职责分工、权限范围和审批程序必须明确规范，机构设置和人员配备必须科学合理，重大信息系统开发与使用事项必须履行审批程序。

（二）公司负责人对信息系统建设工作负责，信息系统开发、变更和维护流程必须清晰合理。

（三）公司必须加强信息系统外包开发全过程的监督管理，督促开发单位按照要求完成工作，组织专业机构进行检查验收，组织系统上线运行。

（四）必须建立访问安全制度，对操作权限、信息使用、信息管理进行明确规定。

（五）硬件管理事项和审批程序必须科学合理。

（六）信息系统管理业务中，执行、审批、监督、记录的职责必须做到相互分离。

第四条公司信息管理部门职责：

（二）负责信息系统开发需求的审核、自行开发结果的验收及系统使用情况反馈；

（三）负责系统项目外委供应商的选择、系统项目进度的跟踪控制及验收；

（四）负责组织系统用户培训；

（五）负责建立健全各系统管理规定、信息系统维护和系统变更实施；

（六）负责权限开设、变更或注销申请审核、系统数据的备份以及监督系统用户的操作行为。

第二章信息系统开发管理

第五条公司应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

第六条公司下属子公司的信息化建设由公司信息管理部门统一规划和审批。

第七条公司信息管理部门应组织内部提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

第八条公司开发信息系统，可以采取自行开发、外购调试、业务外包等方式。

第九条公司在开发信息系统需选择外包服务商时，要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本公司业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。

第十条选定外购调试或业务外包方式的，根据公司招标管理制度的要求选择采购方式，履行业务审批手续。

第十一条公司信息管理部门应组织公司内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求。

第十二条信息管理部门应就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；存在备选方案的，必须详细说明各方案在成本、建设时间和用户需求响应上的差异；信息系统管理部门和业务部门应对选定的设计方案予以书面确认。

第十三条公司开发信息系统，应将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

第十四条公司在系统开发过程中，应按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

第十五条信息管理部门应根据业务性质、重要程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。

对于信息系统的使用者和不同安全等级信息之间的授权关系，必须在系统开发建设阶段就形成方案并加以设计，在软件系统中预留这种对应关系的设置功能，以便根据使用者岗位职务的变迁进行调整。

第十六条公司应针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。

对于必需的后台操作，应加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

第十七条公司应在信息系统中设置操作日志功能，确保操作的可审计性。

对异常的或者违背内部控制要求的交易和数据，必须设计由系统自动报告并设置跟踪处理机制。

第十八条信息管理部门应加强信息系统开发全过程的跟踪管理，组织开发单位与内部的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。

第十九条公司应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

验收测试合格之后方可上线。

第二十条公司应做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。

系统上线涉及数据迁移的，还必须制定详细的数据迁移计划。

第三章信息系统运行与维护

第二十一条信息管理部门应加强信息系统运行与维护的管理，制定信息系统工作程序、制度及具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

第二十二条信息管理部门定期对信息系统进行维护和测试，并形成测试维护报告，以确保信息系统运行安全稳定。

第二十三条公司委托专业机构进行系统运行与维护管理的，必须严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。

第二十四条公司必须有效利用技术手段，对硬件配置调整、软件参数修改严加控制，设置安全参数，保证系统访问安全。

第二十五条信息系统变更必须严格遵照管理流程进行操作。

信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。

第二十六条公司信息管理部门必须根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。

第二十七条公司必须建立信息系统安全保密和泄密责任追究制度。

委托专业机构进行系统运行与维护管理的，必须审查该机构的资质，并与其签订服务合同和保密协议。

第二十八条公司必须制定相应的密码策略，保证公司用户账户的安全。

第二十九条必须采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

第三十条公司必须建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

第三十一条必须综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。

第三十二条对于通过网络传输的涉密或关键数据，必须采取加密措施，确保信息传递的保密性、准确性和完整性。

第三十三条建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

第三十四条定期进行信息系统灾备演练，并制定信息系统紧急预案，保证信息系统的安全。

第三十五条公司信息管理部门应加强机房管理，设立门禁制度，非机房工作人员因工作需要进入机房的必须做登记记录。

第三十六条公司信息管理部门应加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。

XX，任何人不得接触关键信息设备。

第三十七条系统停止运行报废后，必须将废弃系统中有价值或者涉密的信息进行销毁、转移，妥善保管相关信息档案。

第四章附则

第三十八条本细则由信息管理部门负责解释。

第三十九条本细则自下发之日起施行。

第二部分信息系统建设流程

第一章信息系统开发

第一条目的

为了加强、规范中粮生物化学（安徽）股份有限公司（以下简称“中粮生化”或“公司”）信息系统自行开发与系统项目（IT项目）的建设，有效规避信息系统自行开发与系统项目建设过程中的风险，特制订本管理标准。

第二条适用范围

本管理标准适用于公司及其下属子公司。

第三条定义范围及术语

计算机信息系统：

是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。

信息系统开发：

信息系统开发包括信息系统内部自行开发和信息系统项目外委开发。

信息系统项目（IT项目）：

是指公司机房、网络、数据中心等基础设施建设项目，内部网、外部网、邮件、办公自动化等基础平台建设项目，企业资源计划（ERP）或财务、人力资源、生产、采购、库存、物流、销售及其他管理信息系统建设项目。

第四条职责分工

信息管理部门：

负责信息系统开发需求的审核、自行开发方案的制订、实施、验收及系统使用情况反馈；负责系统项目外委供应商的选择、系统项目进度的跟踪控制、系统项目的测试、上线及验收；负责组织系统用户培训的实施；

使用部门：

负责提出系统开发需求申请、系统开发方案的审核确认；

财务部：

负责系统开发方案的审核。

第五条业务流程

（一）信息系统自行开发--流程图

（二）信息系统自行开发-流程说明

01

业务部门根据业务需求，整理初步的需求文档，并附有签报纸。

经过部门审批和该部门所在中心主任审批后，送至财务部信息主管审批。

业务需求文档

签报纸

02

财务部信息主管根据业务需求，结合现有系统应用情况和公司信息化规划，审批是自行开发实施，还是外包（本流程主要针对自行开发实施设计）。

并指定人员进行需求调研和方案设计。

审核点：

1.需求合理性；2.是否符合公司信息化规划；3.系统间兼容性；4.开发对象安全影响。

03

需求调研阶段，根据业务部门初步需求进行详细调研，挖掘潜在需求，并对需求合理化。

在数据库设计中更要充分考虑数据库安全性。

详细需求文档

04

根据《详细需求文档》设计开发实施方案，包括工作量评定、开发周期和开发预算，信息主管审核方案可行无误后，送至申请部门审核。

开发实施方案

05

申请部门对《开发设计方案》进行审核。

审核点：

1.开发方案是否满足业务需求；2.系统设计的友好性。

同意后，申请部门部长审核签字。

06

申请部门所在中心主任审批。

07

财务部审核《开发设计方案》是否符合财务管控要求和预算的合理性。

08

财务总监审批。

09

根据《开发设计方案》进行开发，测试通过后，进行实施上线。

10

系统上线3个月后出具验收报告。

（三）信息系统项目-立项—流程图

（四）信息系统项目-立项—流程说明

01

业务部门根据业务需求，整理初步的需求文档，并附有签报纸。

经过部门审批和公司分管副总审批后，送至信息主管审批。

业务需求文档

签报纸

02

信息主管根据业务需求，结合现有系统应用情况和公司信息化规划，审批是自行开发实施，还是外包（本流程主要针对外包设计）。

并指定人员进行需求调研和方案设计。

审核点：

1.需求合理性；2.是否符合公司信息化规划；3.系统间兼容性；4.开发对象安全影响。

03

需求调研阶段，根据业务部门初步需求进行详细调研，挖掘潜在需求，并对需求合理化。

出具可《详细需求文档》和《可行性分析报告》。

详细需求文档

可行性分析报告

04

根据《详细需求文档》中的预算情况审核该项目是否在预算范围内。

05

根据《详细需求文档》和《可行性分析报告》审核项目的可行性和对管理起到的提升作用，并对整个项目的预算加以审核控制。

06

结合公司信息化规划审核项目的可行性和必要性。

（五）信息系统项目-实施—流程图

（六）信息系统项目-实施—流程说明

01

立项后，项目承包商的选择应采取竞争性谈判或竞争性邀标方式进行,具体要求信息管理部门按照《第三方与外包安全管理规定》来选择确定供应商。

招标或谈判记录

《第三方与外包安全管理规定》

02

信息管理部门确定供应商后，根据经济合同管理标准签订采购合同。

03

建立项目组，制度项目实施方案。

开发原则：

1.检查所有的命令行参数

2.检查所有的系统调用参数和返回代码

3.确定所有的缓存都被检查过

4.在变量的内容被拷贝到本地缓存之前对变量进行边界检查

5.检查是否有后门帐户及代码

6.内部有做完整性检查的代码

7.生成日志记录，包括日期、时间、进程号、终端信息、命令行参数、错误和主机名

8.使核心程序尽可能小而简单

9.用全路径名做文件参数

10.检查用户的输入，确保只有合规字符

11.使用会话加密来避免会话抢劫和隐藏验证信息

12.如果可能，静态连接安全程序

13.当需要主机名时使用DNS逆向解释

14.在网络服务程序里分散和限制过多的负载

15.在网络的读和写里放置适当的超时限制

16.防止服务程序运行超过一个以上的拷贝

17.避免将文件创建在所有人可写的目录里

18.要设置信任的IP地址，可选用密码算法验证

项目实施方案

04

根据《项目实施方案》按步骤的执行。

05

根据《项目实施方案》中制定的阶段检验阶段性成果，并出具阶段性验收报告。

阶段性验收报告

06

信息系统部署完成后进行系统测试，包括功能测试、压力测试、性能测试、安全功能测试等，并出具《测试报告》。

测试报告

07

组织系统用户培训，考试成绩合格后方可有系统使用权。

用户培训报告

08

系统静态数据和动态数据初始化。

初始化数据表

09

系统试运行，将真实业务在系统中运行，并编制试运行报告。

试运行报告

10

系统试运行测试后，项目组编制上线计划，系统上线正式运行。

正式运行后对系统文档进行维护管理，系统文档由应用系统管理员统一管理。

只有经过授权的人员才可以访问文档管理服务器。

应用软件开发的系统文档包括：

需求分析文档、需求审批文档、概要设计文档、安全设计文档、详细设计文档、各阶段测试报告文档、项目合同文档，系统验收文档、系统上线文档、项目变更文档等。

并附文档清单《系统开发与维护文档清单》。

上线计划、系统开发与维护文档清单

11

项目验收工作由项目经理负责组织，使用单位和信息管理部门共同出具《验收报告》。

项目验收时对于项目建设过程中涉及到的所有文档、使用手册和软件介质等相关资料要做好移交工作。

文档移交应作为项目验收的重要内容之一。

验收报告

第六条风险控制矩阵

21.1-R1

存在信息孤岛现象，各系统各自为政，削弱了信息系统的协同效用，甚至引发系统冲突

各系统模块有效对接

21.1-CA1A

在信息化的过程中，需要将公司的各类资源如人员、设备、资金、组织机构、物料等各种数据建立满足系统应用的基础数据库，制定适合信息化数据传递的标准规范和各应用系统间的集成标准，保证数据的统一性和一致性，达到数据高度共享。

预防

自动

信息管理部门

21.1-CA1B

无论购买商品化软件还是定向开发，都应支持数据接口规范，保证应用系统的升级以及系统间的数据交换。

预防

自动

信信息管理部门

21.1-R2

信息系统与公司业务需求相脱节，降低了信息系统的应用价值

信息系统符合业务需求

21.1-CA2A

项目发起单位要向信息技术部门提交正式的、详细的需求报告，需求报告中要包括详细的项目需求、范围和时间进度等。

系统开发需求报告

预防

人工

信息管理部门

21.1-CA2B

需求报告通过信息管理部门初审后，项目的发起部门必须会同信息管理部门共同组建项目小组，项目小组进行项目可行性研究，编写项目可研报告。

可行性研究报告

预防

人工

信息管理部门

21.1-CA2C

项目小组形成项目可研报告提交公司信息主管领导审核。

审核记录

预防

人工

信息管理部门

21.1-R3

信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下

信息系统开发过程得到有效控制

21.1-CA3

项目小组制定项目实施概略方案，包括项目实施进度、资质审核，项目预算等信息内容，并提交公司信息主管领导审核。

项目实施概略方案

预防

人工

信息管理部门

21.1-R4

系统开发技术上不可行、经济上成本效益倒挂

系统开发符合技术经济效益

21.1-CA4

项目小组需对信息系统开发进行项目可行性研究，编写项目可研报告，对系统开发技术的可行性、经济效益等进行论证；

可行性研究报告

预防

人工

信息管理部门

21.1-R5

需求文档表述不准确、不完整，未能真实全面地表达业务需求

系统开发需求文档准确

21.1-CA5

系统开发承包商对业务需求进行详细调研，在此基础上进行需求文档的编制，编制的需求文档经过独立于编制的人员的项目小组进行审核确认。

需求文档及其审核记录

预防

人工

信息管理部门

21.1-R6

设计方案不全面、不能完全满足用户需求，不能实现需求文档规定的目标

设计方案符合需求

21.1-CA6

系统开发承包商就系统开发方案编制的设计方案文档，需要经项目小组讨论、审核确认。

设计方案

预防

人工

信息管理部门

21.1-R7

设计方案与公司内部控制相脱节，容易导致系统运行后衍生计算机舞弊风险

设计方案符合需求

21.1-CA7

系统开发承包商就系统开发方案编制的设计方案文档，需要经项目小组讨论、审核确认。

设计方案

预防

人工

信息管理部门

21.1-R8

开发的系统测试不充分，可能存在系统运行隐患而不能及时有效纠正

系统得到充分测试验收

21.1-CA8

?

项目验收测试工作由项目经理负责组织，由项目需求单位和信息管理部门双方应具体说明分别进行系统的验收测试工作，形成系统验收测试报告或记录。

系统测试记录

预防

人工

信息管理部门

21.1-R9

缺乏完整可行的上线计划，导致系统上线混乱无序

系统上线计划合理

21.1-CA9A

系统上线前，系统开发项目小组制定系统上线方案，报信息主管领导审批后才可上线。

上线计划方案

预防

人工

信息管理部门

21.1-CA9B

项目组将制定系统上线计划和方案，内容包括上线步骤、时间、所需资源等；对于存在新旧系统割接的工程，还需包括割接计划、割接方案、回退方案等

上线计划方案

预防

人工

信息管理部门

21.1-R10

业务人员不能正确使用系统，导致业务理错误，或者未能充分利用系统功能，导致开发成本浪费

系统得到有效使用

21.1-CA10A

开发软件在投入使用前，软件开发商应对有关技术人员或业务操作人员进行技术和操作培训。

系统使用培训记录

预防

人工

信息管理部门

21.1-CA10B

2、各单位软件操作人员必须按照软件操作手册（操作流程）操作。

预防

人工

信息管理部门

21.1-R11

系统开发外包服务商选择不合理，可能会实施损害企业利益的自利行为，如偷工减料、放松管理、信息泄密等

确保外包服务商选择合理

21.1-CA11

项目承包商的选择采取竞争性谈判或竞争性邀标方式进行。

招标谈判记录

预防

人工

信息管理部门

21.1-R12

服务外包合同条款不准确、不完善，可能导致企业的正当权益无法得到有效保障

外包合同条款符合公司利益

21.1-CA12

系统开发服务外包合同经过法律部、财务部等职能部门的审核通过以后方可与承包商签订。

外包服务合同及审核记录

预防

人工

信息管理部门

21.1-R13

外包服务跟踪监督不到位，可能导致外包服务质量水平不能满足企业信息系统开发需求

外包服务质量得到有效保证

21.1-CA13

项目开发小组需根据项目承包方制订的系统开发方案计划定期或不定期对项目开发进度、效果进行监督跟踪评价，并向信息主管领导进行汇报。

检查

人工

信息管理部门

21.1-R14

软件产品选型不当，产品在功能、性能、易用性等方面无法满足企业需求

软件产品符合业务需求

21.1-CA14

软件产品根据系统开发需求进行选型配置，软件选型配置方案需经过信息主管审核审批；软件产品采购时采取竞争性谈判或竞争性邀标方式进行。

招标谈判记录

预防

人工

信息管理部门

21.1-R15

软件供应商选择不当，产品的支持服务能力不足，产品的后续升级缺乏保障

软件产品符合业务需求

21.1-CA15

软件供应商通过采取竞争性谈判或竞争性邀标方式进行。

招标谈判记录

预防

人工

信息管理部门

第二章信息系统运行与维护

第一节IT资产管理

第一条目的

为了规范中粮生物化学（安徽）股份有限公司（以下简称“公司”）IT资产的选型、购置、使用、维护及报废程序，有效控制IT资产的安全使用风险，特制订本管理标准。

第二条适用范围

本管理标准适用于公司及其下属分子公司。

第三条定义范围及术语

IT资产：

主要是指服务器、网络设备、台式机、笔记本电脑，打印机、传真打印一体机、扫描仪等计算机外部设备，办公所需的各类软件等。

第四条职责分工

管理部门：

负责IT资产需求选型、采购审核、IT资产使用操作与保管的检查、IT资产日常调拨、IT资产报废的鉴定和回收拆解利用以及IT资产日常维护及实物的台账管理；

使用部门：

负责IT资产采购需求的申请、IT资产使用操作与保管、IT资产调拨申请以及IT资产报废的申请；

采购部门:

负责IT资产需求的采购、验收、入账及付款申请，质保期内协调供应商进行质保服务。

财务部：

负责IT资产采购审核、入账、付款，IT资产调拨、报废的账务处理，IT资产的财务台账管理；

第五条业务流程

（IT资产维护流程（比如信息处负责检修-采购部进行耗材采购-业务部门进行领用-信息处负责更换及调试））

（一）IT资产购置管理—流程图

（二）IT资产购置管理—流程说明

01

需求申请部门根据实际业务需要