集团公司信息系统管理业务流程--内控.docx

信息系统管理业务流程 一、业务目标 l 满足国家法律、法规和企业内部规章制度的要求； l 合理规划和实施信息系统建设，促进企业战略目标的实现； l 提高信息系统的管理水平和技术水平，满足生产经营业务需求，提高企业综 合竞争力。 二、业务风险 l 信息系统的建设与运行违反国家法律、法规和监管机构的要求，可能使企业遭受外部处罚； l 信息系统发展缺少合理的规划或者落实不到位，无法确保企业全面战略目标的实现； l 信息系统管理存在漏洞，无法满足业务需求或给企业带来信息安全隐患，影 响生产经营的顺利进行。 三、 业务范围 该子流程主要描述了xx股份有限公司（以下简称“股份公司”）信息系统管理业务的相关工作流程，主要包括：信息化建设发展规划和年度项目建议计划的编制、项目可行性研究和评审、项目立项审批、合同签订、项目实施、项目竣工验收、系统应用和维护、系统升级等项内容。 四、 业务流程描述 1 信息化建设发展规划和年度项目建议计划的编制 1.1 根据公司发展战略目标和核心业务，结合信息技术发展和公司实际，总经理办公室负责组织编制全集团《股份公司信息化建设发展规划》（主要包括指导思想、基本原则、发展目标、主要任务、措施要求等），在充分征求职能部门、事业部和下属企业意见汇总后，组织专家组对其评审，并根据《专家评审记录》负责组织修改，经总经理办公室负责人签署意见、股份公司信息化工作领导小组审批后，纳入公司发展规划，在执行过程中适度调整和完善。各下属企业根据《股份公司信息化建设发展规划》，结合自身生产经营管理的需要，负责编制本单位的信息化建设规划，并报股份公司备案。 1.2 总经理办公室根据《股份公司信息化建设发展规划》和职能部门申报的《项 目建议计划》，结合年度计划，编制总部《年度信息化项目建议计划》，经职能部门负责人审核并签字确认后，报股份公司信息化工作领导小组审查，小组组长签字通过后，纳入股份公司年度预算计划中。 2 项目可行性研究和评审 2.1 项目责任部门(单位)负责分析应用系统需求和确定目标后编制《项目需求报告》，对总投资超过1000万元的重大项目应编制《项目可行性研究报告》，并由责任部门(单位)负责人签字确认后报送至股份公司总经理办公室。 2.2 总经理办公室会同项目责任部门(单位)组织相关单位承担项目可行性研 究，对于重大项目应组织专家组对《项目可行性研究报告》进行评审，专家组对项目需求、目标、技术路线、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。 3 项目立项审批 3.1 通过可行性研究或评审的股份公司统一建设的信息技术项目，由总经理办公室将《项目需求分析报告》（或《项目可行性研究报告》）以专项报告的形式报股份公司信息化工作领导小组，小组组长签字批准立项，财务部将其列入股份公司年度预算计划。 4 合同签订 4.1 项目责任部门（单位）会同总经理办公室审查集成商、咨询商、开发商及供应商的资质，开展询比价或招投标、商务谈判等工作，并根据经法律事务部审定的采购合同和开发实施合同标准文本签订合同。 5 项目实施 5.1 项目责任部门(单位)负责细化业务功能和业务流程，并配合项目实施单位编制《项目详细设计方案》 5.2 项目责任部门(单位)负责落实项目实施计划，组织项目实施和培训，控制项目建设质量、进度和成本；负责组织项目所需数据的收集、整理、审核和录入，保证数据的真实、完整和准确。 5.3 总经理办公室负责对项目实施单位的实施工作及过程文档进行监督检查。 5.4 项目责任部门(单位)会同总经理办公室对项目建设进行阶段验收，并对项目建设质量、进度、标准执行和成本控制等进行检查，编制《项目阶段验收报告》，项目负责人签字确认。 6 项目竣工验收 6.1 项目责任部门(单位)负责组织项目实施单位进行技术转移，包括用户使用手册、系统维护手册等。 6.2 项目实施建设完成后，项目责任部门(单位)会同总经理办公室按规定组织验收；并在《项目竣工验收报告》上填写验收意见并签字。 6.3 应用系统上线由项目责任部门(单位)以签报形式报股份公司分管业务副总经理签字批准。 7 系统应用和维护 7.1 总部应用系统的维护归口统一由总经理办公室负责管理。 7.2 系统使用部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、 数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作，对有关数据的日常更新等作运行操作记录；对关键用户与一般用户进行培训和培训考核，培训记录和考核成绩提交人力资源部备案。 7.3 总经理办公室负责日常软硬件系统维护、网络安全、环境保持、应急处理等工作，保证信息系统安全、稳定运行，并做《应急事故处理记录》和《运行维护记录》。《应急事故处理记录》和《运行维护记录》由信息中心主任签字。需委托进行维护的信息系统，总经理办公室负责审查系统服务商资质，并签订系统维护服务合同；由总经理办公室自行维护的，应指定专 人负责维护，制定岗位职责。（详见《xx总公司信息安全管理制度》）。 7.4 信息中心负责日常软硬件系统维护、网络安全、消防、应急处理等工作， 保证信息系统安全、稳定运行，并做《应急事故处理记录》和《运行维护记录》。《应急事故处理记录》和《运行维护记录》由软、硬件使用人及部门负责人签字。需委托维护的信息系统，信息中心负责审查系统服务商资质，并签订系统维护服务合同；由信息中心自行维护的，则指定专人负责维护，制定岗位职责。（详见《总公司信息安全管理制度》） 7.5 系统如在使用中有变更要求，可向总经理办公室提出书面要求并填写系统变更表，由申请部门领导签字后，交总经理办公室统一安排进行。变更完成后由申请部门相关人员签字确认。 7.5 操作系统、数据库系统用户的新增、变更，须填写《系统用户申请表》， 经总经理办公室审批后，被赋予唯一的用户名、用户ID（UID），方可进入总部信息系统进行电脑使用。总经理办公室信息化主管即信息中心主任 （以下简称信息中心主任）至少每季度审核一次《系统用户记录表》。 7.6 信息系统数据安全管理 由总经理办公室负责信息系统数据的安全管理，包括日常备份、恢复和数据安全工作（详见《xx股份信息中心备份制度》及《xx股份有限公司信息系统控制制度》）。 7.5.1 数据保密性管理 重要数据的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作；处理结束后，应清除不能带走的本作业数据；妥善处理打印结果，任何记有重要信息的废弃物在处理前应进行粉碎。未经允许，不准将机房设备、维护用品、软盘、资料等私自带出机房，如有特殊情况，需经负责人同意并进行登记后方可带出。 7.5.2 数据备份管理 每日进行系统数据库自动备份并做完整性查验，每周一次手动备份到移动硬盘或其他电脑的硬盘，每两周一次由专人将移动硬盘送往银行保管箱予以存放，并填写《数据备份记录表》，由负责系统维护人员及信息中心主任签字，每年进行一次备份的恢复性测试，并填写《数据恢复性测试记录表》，由信息中心主任签字。 7.7 操作系统登录的安全管理 总经理办公室负责各业务系统后台操作系统登录的安全管理（详见《xx股份有限公司总部信息化管理制度》及《xx股份有限公司信息系统控制制度》）。 7.7.1系统登录名与密码安全管理 各系统责任人负责保管系统的登录名和密码，密码的设置要符合强密码规范和密码复杂性要求，并将它们密存在信封中，信封由专人保管，各系统负责人每季度更换一次登录名和密码，并填写《密码保存登记表》。特殊情况需拆信封时，必须由信息中心主任在《密码保存登记表》签字后方可，拆封后，系统责任人要重新修改密码，密存在信封中。 7. 7.2用户登录名与密码的管理 用户名和密码的组合定义了系统中用户的身份，用户和组由系统管理员进行管理，不设置多人共用的账号，当一个工作人员离开岗位后，其账号将被及时删除。为防止非法用户使用信息网络资源，对访问用户的合法性进行鉴别，当不成功鉴别尝试次数达到门限值时，系统将拒绝该用户的访问，加以记录并自动告警。对用户访问控制的规范应遵循： l 所有的用户都要经过授权； l 用户有在自己的环境里设置对象特权的权力； l 禁止用户删除在共享目录下其它用户的文件； l 可以通过制定的策略控制用户对于系统中所有对象的访问； l 用户不能检查授予其它用户的访问控制权限； l 要能够提供强制性的访问控制 7.8 系统维护及机房管理（详见《xx股份有限公司机房管理制度》） 7.8.1 外来人员对硬件系统维护时，须填写《外来人员进入机房审批表》，经信息中心主任签字批准后方可；当外来人员对软件系统进行维护时，须填写《应用软件维护表》，经系统使用部门（单位）负责人和信息中心主任签字批准后方可。 7.8.1 机房所有工作人员须经信息中心主任授权并凭门禁卡进出机房，外来人员进入机房统一由总经理办公室专人陪同，陪同人员全面负责外来人员的行为安全，并做好安全防范工作。进出机房工作人员的授权定期（季度）由信息中心主任进行复核并做记录。 7.8.3机房管理人员熟知机房内设备的基本安全操作规程。不定期对运行设备进行测试和保养，由专人负责机房内设备的保养和备品、配件、资料、盘片等的保管，并登记造册，并保证备用设备完好，可供随时投入使用。机房设备损坏应立即投入备用设备，并汇报领导，及时联系修复，做好检修记录。机房工作人员应学习常规的用电安全操作和知识，了解机房内部的供电、用电设施的操作规程。在外部供电系统停电时，机房工作人员应做好停电应急工作。 7. 8.4机房工作人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。不定期进行消防演习、消防常识培训、消防设备使用培训。如发现消防安全隐患，应即时采取措施解决，不能解决的应及时向相关负责人员提出解决。 7.9 防网络攻击和防病毒管理由总经理办公室统一管理（详见《xx股份有限公司信息系统控制制度》）。 7.9.1 网络运行维护人员在发现可疑网络攻击和入侵迹象时，必须尽快处理并记 录，在必要时请示主管部门领导，组织技术力量进行处理： l 分析判断：对可疑攻击和入侵行为进行必要的观察与分析，以判别是 否属于共计或入侵行为。 l 入侵或攻击的中止：经过分析，在必要时，应立即断开网络连接，将遭受攻击的网段隔离出来。采取有效措施，终止对系统的破坏行为。 l 记录和备份：记录发现网络入侵或攻击的当前时间，备份系统日志以及其它网络安全相关的重要文件，保存内存中的进程列表和网络连接状态，并且打开进程记录功能。 l 如果系统受到严重破坏，影响网络业务功能，立即调用备件恢复系统。 l 对该入侵或攻击行为进行大量的日志、分析工作。同时竭尽全力地判断寻找攻击源。 l 将入侵的详细情况逐级向主管领导和有关主管部门汇报并请示处理办法 7.9.2 各使用人或部门应采用总经理办公室批准的查毒、杀毒软件，包括服务器和客户端的查毒、杀毒软件。 7.9.3 禁止使用来历不明、未经杀毒的软件，不阅读和下载来历不明的电子邮件或文件，严格控制并阻断计算机病毒的来源。 7.9.4 经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。 7.9.5 网络管理员应至少每周一次自动的全系统病毒扫描，每天定时自动检查更新病毒定义文件，对于发现的病毒则要有相关信息提示自动的发送到相关管理人员处。 7.10 总经理办公室负责日常网络与硬件的监控。通过监控系统对网络链路带宽做实时监控，并在需要时做相应的调整。对核心服务器和网络设备做活跃性测试监控，主要是针对设备的网络活动，系统的应用服务做监控。外部网络的访问必须要通过防火墙，制定相关防火墙安全策略及《xx股份有限公司防火墙配置标准》。(详见《xx股份有限公司信息系统控制制度》) 8 系统评估升级 8.1 系统使用部门(单位)会同总经理办公室按照业务需求，对业务流程与系统功能进行评价，需要重大改进的，提出《系统升级报告》，由股份公司分管业务副总经理签字批准。 8.2 系统使用部门(单位)会同总经理办公室组织系统升级的实施和验收。（系统升级实施的具体流程参见本流程5项目实施与6项目竣工验收。） 五、相关制度目录 1 《xx股份有限公司总部信息化管理制度》 2 《xx股份有限公司信息系统控制制度》 3 《xx股份信息中心备份制度》 4 《xx总公司信息安全管理制度》 5 《xx股份有限公司机房管理制度》 6 《xx股份有限公司防火墙配置标准》 六、主要控制点 1 信息化建设发展规划的编制 2 年度项目建议计划的编制 3 项目立项审批 4 立项合同的签订 5 项目实施过程组织管理 6 组织专家组对项目进行评审 7 项目竣工验收 8 应用系统上线审批 9 系统维护 10 系统升级 七、主要检查资料 1 股份公司信息化发展规划 2 专家评审记录 3 项目建议计划 4 股份公司年度信息化计划 5 项目需求分析报告或项目可行性研究报告 6 项目设计方案 7 采购、开发合同 8 项目详细设计及评审意见 9 项目阶段验收报告 10 项目竣工验收报告 11 应用系统上线签报 12 系统用户申请表 13 系统用户记录表 14 应急事故处理记录 15 运行维护记录 16 培训记录和考核成绩 17 数据备份记录表 18 数据恢复性测试记录表 19 密码保存登记表 20 外来人员进入机房审批表 21 应用软件维护表 22 系统升级报告