1、11.1信息系统管理业务流程一、业务目1 经营目1.1 满足生产经营管理业务需求,提高管理水平、技术水平和市场应变能力,提高关键竞争力。1.2 到达系统建设预期目,系统运行安全、稳定,出现系统故障时可以及时恢复,系统具有扩展性、集成性。2 合规目2.1 遵守保护知识产权 有关法律法规,使用合法软件。2.2 信息技术控制符合国家法律、法规、股份企业内部规章制度及上市地证券监管机构有关规定。二、业务风险1经营风险1.1 信息化管理体系不完善,信息管理部门职责不贯彻,导致信息化工作受损。1.2 信息系统建设项目不符合股份企业经营战略目,导致盲目建设、投资低效。本流程合用于列入股份企业固定资产投资和科
2、技开发项目计划信息系统建设、运行和维护,有关科技开发项目 立项和经费管理按3.3科技开发费管理业务流程控制。信息系统业务,根据其特点执行11.1信息系统管理业务流程,但应参见6.1资本支出业务流程。1.3 信息安全规划不妥,风险评估缺失,信息安全教育局限性,员工安全意识微弱,导致信息系统风险。1.4 技术方案不合理,业务流程不规范,系统功能不健全,导致系统不能满足业务需求。1.5 基础数据不完整、不精确、不真实,导致系统无法正常投运或计算出错。1.6 项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。1.7 系统运行不稳定,数据失真、丢失,导致平常业务工作无法正常进行。1.8 系统存
3、在网络故障、病毒侵袭等安全问题,导致非法入侵及泄密等,或系统劫难无法及时恢复。1.9 系统运维不贯彻,功能陈旧,导致不能满足业务需求。1.10 未经审核,变更信息技术协议原则文本中波及权利、义务等条款,导致损失。2 财务风险2.1 交易不真实,未按约定付款,影响财务汇报。3 合规风险3.1 侵犯知识产权,导致诉讼及股份企业声誉受到损害。3.2 信息技术控制不符合国家法律、法规、股份企业内部规章制度及上市地证券监管机构有关规定,导致损失。3.3 违反国家和企业会计制度,导致项目资金损失。三、业务流程环节与控制点1IT整体层面管理1.1 股份企业建立完善 信息化管理体系,设置ERP指导委员会,设置
4、信息系统管理部负责股份企业信息化归管理工作;各分(子)企业设置信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设置信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。1.2 根据股份企业发展战略目 和关键业务,结合信息技术发展和股份企业实际,信息系统管理部负责组织编制股份企业信息化建设中长期规划,在充足征求职能部门、事业部和分(子)企业意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份企业中长期发展规划。1.3 教育和培训各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳
5、入人事部门年度培训计划,并组织贯彻。各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站公布安全教育培训材料。1.4 风险评估1.4.1根据中国石油化工股份有限企业信息系统风险评估管理措施,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估汇报,并组织专家组对风险评估汇报进行评审,专家组对风险评估汇报提出评审意见并签字;分(子)企业信息管理部门会同有关业务部门,通过多种形式,组织本单位信息系统 风险评估,包括企业信息系统整体风险、重点系统风险、重要基础设施风险等,形成有关风险评估汇报,并将风险评估汇报经信息管理部门负责人审核签字后报信息系统管理部立案。
6、1.5 信息安全管理信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子)企业意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核后,正式公布。各分(子)企业信息管理部门根据股份企业信息安全规划,结合自身生产经营管理 需要,并针对风险评估汇报中提出问题,负责制定本企业信息安全方案,经分管经理审批后报信息系统管理部立案。1. 5.2根据中国石油化工股份有限企业信息系统安全管理措施规定,各级信息管理部门负责提出本单位“信息系统关键岗位名目”,其中波及信息系统安全关键岗位由信息管理部门确定,波及业务信息安全关键岗位由主管业务部门商本单位保密委员会确定。“信息系统
7、关键岗位名目”上关键岗位人员要与所在单位签订“信息系统关键岗位安全责任书”,并在人事部门立案。各级信息管理部门根据中国石油化工股份有限企业信息系统安全管理措施中有关规定,按照不相容岗位分离 原则,设置安全管理员。安全管理员必须具有对应资质,并经部门负责人审批授权。2编制年度项目提议计划2.1 信息系统管理部根据股份企业信息化建设中长期规划和职能部门、事业部、分(子)企业申报 项目提议计划,结合年度实际,编制年度信息化项目提议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份企业年度投资计划、科技开发项目计划管理。各分(子)企业信息管理部门负责编制年度信息化项目提议计划预案,按规定权
8、限审批后,分别纳入本单位年度投资提议计划、科技开发项目提议计划,上报信息系统管理部和总部有关部门审核。项目可行性研究和评审3.1 信息管理部门会同项目责任部门(单位)委托有资格单位承担项目可行性研究,并组织专家组对项目可行性研究汇报进行评审,专家组对项目需求、目、技术路线、风险分析、投资与效益、进度、组织贯彻等提出可行性研究评审意见并签字。4 项目立项审批4.1 通过可研评审 固定资产投资限额(2万元)及以上 信息技术项目,由信息系统管理部报发展计划部立项,同意立项 项目,由发展计划部列入年度投资计划;申请总部立项 固定资产投资限额(2万元)如下信息技术项目,由信息系统管理部负责审批,报发展计
9、划部立案;由各事业部审批投资限额如下 信息技术项目投资计划,须经信息系统管理部和发展计划部会签。各分(子)企业一般措施及零星购置信息技术项目在总部每年核定限额以内,由各分(子)企业根据当期生产经营管理需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核立案,并纳入股份企业年度投资计划管理。通过可研评审 科技开发项目,由信息系统管理部报科技开发部立项,同意立项 项目,由科技开发部列入年度项目计划。4.2 对同意立项、投资在5万元及以上 项目,信息系统管理部委托有资格 单位按规定对项目进行总体(基础)设计,其中投资在2023万元及以上项目需组织专家组对项目总体(基础)设计进行评审,
10、专家组对项目需求分析、目、功能设计、投资概算等提出评审意见并签字,由信息系统管理部负责审批总体(基础)设计,报发展计划部立案。5 协议签订5.1 信息管理部门负责组织项目责任部门(单位)审查集成商、征询商、开发商及供应商 资质,开展询比价、商务谈判等工作;波及有关计算机服务器、PC机、打印机采购事宜,由物资采购部门归管理、信息管理部门配合开展采购工作。根据规定权限并按经法律事务部审定 原则协议文本签订协议;项目责任部门(单位)负责完毕协议技术附件,并由负责人签字确认。6 项目实行6.1 项目实行单位根据协议技术附件或总体设计进行详细设计,详细设计 形式可根据项目类别 不一样(自主开发项目、引进
11、试点项目、推广完善项目、基础设施项目)采用与项目类别相适应形式,投资在5万元及以上 项目需由信息管理部门组织人员对项目详细设计进行审查,项目实行单位根据审查意见深入修改完善深化详细设计。6.2 项目责任部门(单位)负责项目实行,业务部门组织数据搜集、整顿、录入、审核,并进行审查和确认,保证数据真实、完整和精确。6.3 信息管理部门负责对项目实行单位承担 软硬件系统安装调试、顾客培训进行检查,审核和确认测试汇报,并检查对应软件 合法性,提供经双方签字检查记录。6.4 信息管理部门负责组织对项目建设 阶段验收,进行项目建设质量、进度、原则执行和成本控制等检查,提出阶段验收汇报;项目实行单位根据阶段
12、验收汇报对系统进行修改完善。5万元如下 一般信息技术项目可根据项目详细实行状况,只进行竣工验收。6.5 项目责任部门(单位)负责至少每季度向信息管理部门提交项目实行汇报,内容包括项目进度、质量、经费使用、存在问题和整改措施等;根据协议约定填写付款申请,按规定权限审批后办理付款。6.6 信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实行单位进行修改完善。6.7 项目责任部门单位)责成项目实行单位负责知识转移,并提交项目有关技术文档(包括顾客使用手册、系统维护手册、系统安全和使用授权管理措施、应急处理措施及顾客培训教材等资料)。7 项目竣工验收7.1 项目
13、完毕所有 规定目 任务后,投资2023万元及以上 项目单轨持续稳定运行6个月以上,其他项目单轨持续稳定运行3个月以上,由项目责任部门单位)以正式行文方式提交项目竣工验收申请,同步提交项目验收有关材料一并审核。总部批复 项目向信息系统管理部提交验收申请,由信息系统管理部负责组织项目验收工作。分(子)企业自行批复 项目向企业信息管理部门提交验收申请,由分(子)企业信息管理部门负责组织项目验收工作。专家组形成验收意见并签字。7.2 信息管理部门会同财务部门按规定进行项目竣工结算。财务部门按竣工验收决算汇报或审计汇报办理项目转资手续,按股份企业内部会计制度及有关规定,经财务部门负责人审核后,进行账务处
14、理。有关会计凭证须经不相容岗位人员稽核。在信息技术项目到达预定 可使用状态时,财务部门应根据有关部门提供 手续,按照股份企业内部会计制度,经部门负责人审核后,暂估入账。有关会计凭证须经不相容岗位人员稽核。7.3 对固定资产投资2023万元及以上 试点项目,通过验收后,信息管理部门组织专家组对项目进行后评价,专家组提出后评价汇报并签字。8 系统应用和维护8.1需委托维护 信息系统,信息管理部门负责审查系统服务商资质,并签订系统维护服务协议以及安全保密协议;由信息管理部门自行维护,则指定专人负责维护,制定岗位职责。8.2项目责任部门(单位)负责业务流程、业务工作原则、数据维护、顾客管理、数据使用安
15、全、知识产权合法性使用及有关制度制定和贯彻等工作。信息管理部门负责组织平常软硬件系统维护、合法软件使用状况检查和关键顾客与一般顾客 培训、考核等工作。9 系统升级9.1 项目责任部门(单位)负责对业务流程与系统模型进行适时评价,并根据评价和修正意见,提出应用软件 升级申请,责任部门(单位)负责人须签字确认。升级申请纳入计划后组织实行。9.2 信息管理部门负责组织对系统软、硬件进行适时评价,并根据评价意见提出系统软、硬件升级申请,信息管理部门负责人须签字确认。升级申请纳入计划后组织实行。四、 有关制度目录(制度后标号为内控手册配套规章制度汇编目录索引号)1 中国石油化工股份企业信息化管理措施(石化股份信2023 389 号)2 中国石油化工股份有限企业信息技术项目管理措施(试行)(石化股份信2023 266号)3 中国石油化工股份有限企业信息系统风险评估管理措施(石化股份信综202337号) 4 中国石油化工股份有限企业企业信息系统安全管理措施(石化股份信系2023第35号