(手册)公司信息系统内控手册(信息部)
第十八号信息系统
第一章信息系统的开发管理
一、业务目标
?确保信息系统的建设过程符合国家法律、法规及企业内部管理制度的要求。?合理规划企业信息系统建设,促进企业战略目标的实现。
?严格控制信息系统项目实施过程,保证系统建设质量。
二、业务风险
?信息系统的建设与运行违反国家法律、法规和监管机构的要求,可能使企业遭受外部处罚。
?信息系统发展缺少合理的规划或者落实不到位,无法确保企业全面战略目标的实现。
三、业务范围
该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程,主要包括:项目立项审批,项目合同签订,项目实施管理,项目验收管理等。
四、业务流程描述
1、项目立项
1.1公司各单位按照企业信息化建设规划,根据本单位业务管理需要,在每年12月31日前提出企业信息化应用系统建设项目申请,编制应用系统项目申报材料,提交对口业务部门和信息中心。项目申报材料的具体要求请参考《XXXXXXX信息化应用系统需求管理制度》。
1.2信息中心按照《XXXXXXX信息化建设管理制度》规定的职责分工,将需求方案分送各相关业务部门进行业务审核。信息中心负责项目申报材料的技术审核。
1.3业务需求牵头部门、信息中心按照分工完成业务审核和技术审核后,报信息化工作领导小组审定。
1.4信息中心负责将审核项目进行汇总,对重大项目组织专家论证,编制年度项目计划,经信息化办公室审核,报信息化领导小组审批。
1.5信息中心根据信息化领导小组审定的年度项目计划,按照部门预算管理要求,汇总编制年度公司信息化经费预算及建设项目经费预算,报分管副总、总经理审批,并将批复结果以书面形式通知集团内相关单位。
1.6未经信息化领导小组批准的建设项目,不得自行筹集经费建设。
2、项目实施过程管理
2.1经信息化领导小组批准的建设项目,由信息中心确认开发商或供应商,并根据《XXXXXXX信息化建设项目合同管理制度》签订项目合同。
2.2信息中心会同对口业务部门确认详细的业务功能需求和业务流程,确认开发任务,合理配置开发资源。
2.3信息中心组织部内相关单位和项目开发单位有关人员成立系统开发小组,负责组织和管理软件开发工作。
2.4信息中心负责对系统开发全过程进行跟踪管理;负责建立进度控制、质量控制、风险控制机制,约束开发单位按期保质完成工作计划、规避项目风险。项目实施过程的管理要求详见《XXXXXXX信息化应用系统组织实施管理制度》。
2.5信息中心组织项目需求单位、项目开发单位组成系统测试小组,负责系统测试的各项工作。
2.6各项测试工作完成后,信息中心负责完成信息系统的正式上线工作。
2.7系统使用的对口业务部门负责编制系统的业务指导操作手册,信息中心负责提供技术支持。
3、项目验收
3.1项目开发单位在项目完成后1个月内,向信息中心提出项目竣工验收申请,并填写《企业信息化建设项目竣工验收申请表》。
3.2信息中心会同业务需求牵头部门组成验收小组,具体验收标准及验收程序
详见《XXXXXXX信息化建设项目验收管理制度》。
3.3项目验收组根据审查验收情况,召开评审论证会,对项目进行综合评价,形成竣工验收报告,填写《企业信息化建设项目竣工验收表》,由验收组全体成员签字,验收组组长根据验收表决情况签署验收意见。
3.4信息中心将通过验收的项目各种文件资料及最终验收审批报告,归类整理并列出清单,按照有关规定归档保存。
3.5项目未通过验收的,信息中心以书面形式通知开发单位,限期整改,符合验收条件后,可再次提出验收申请。
五、相关制度
《XXXXXXX信息化建设管理制度》
《XXXXXXX信息化应用系统需求管理制度》
《XXXXXXX信息化建设项目合同管理制度》
《XXXXXXX信息化建设项目资金管理制度》
《XXXXXXX信息化应用系统组织实施管理制度》
《XXXXXXX信息化建设项目验收管理制度》
六、主要控制点
1 项目立项管理流程
2 项目合同的签订
3 项目实施过程的质量控制,进度控制,风险控制
4 项目验收过程
七、检查资料
1 信息系统项目申报材料
2 项目评审报告
3 项目开发或采购相关合同
4 系统实施方案
5 信息系统项目竣工验收报告
八、业务流程
第二章信息系统的运行与维护
一、业务目标
?确保信息系统的运维管理过程符合国家法律、法规及企业内部管理制度的要求。
?提高信息系统的管理水平和技术应用水平,满足生产经营业务需求,提高企业综合竞争力。
二、业务风险
?信息系统管理存在漏洞,无法满足业务需求或给企业带来信息安全隐患,影响生产经营的顺利进行。
?信息系统的软件、硬件等运行环境存在运行故障、数据丢失、设备损坏等风险,缺失应急预案,影响企业的正常生产运营。
三、业务范围
该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程,主要包括:信息系统的运行及维护管理、系统升级管理、信息系统安全管理等。
四、业务流程描述
1、系统运行及维护管理
1.1企业总部应用系统的维护归口统一由信息中心负责管理(运维直接外包的项目除外)。
1.2系统使用对口业务部门(单位)负责业务流程、业务要求、对口模块子系统的具体操作规范等相关制度的制定和落实,对有关业务参数等数据的日常更新;对关键用户与一般用户进行系统业务培训和培训考核。信息中心负责提供技术支持。
1.3信息中心负责日常软硬件系统维护、网络安全、系统应急处理等工作,保证信息系统安全、稳定运行,并做《应急事故处理记录》和《运行维护记录》。需委托维护的信息系统,信息中心负责审查系统服务商资质,并签订系统维护服务合同;由信息中心自行维护的,则指定专人负责维护,制定岗位职责。
1.4在系统使用中,各部门(单位)如有变更需求,可在OA办公系统中填写
《新增变更业务需求申请单》,在相关业务部门和信息中心完成系统审批流程后,由信息中心统一安排处理。变更完成后由申请提出部门相关人员签字确认。
3、系统更新升级管理
3.1对于系统更新升级,软件提供方必须明确给出本次补丁所涉及的变更内容。并发布到与正式系统同步的测试系统中,由信息中心会同相关业务部门,对系统进行测试评估。测试完成后,相关部门人员共同在《系统升级测试报告》上签字确认。
3.2在系统补丁测试确认完成后,由信息中心指定工作人员负责完成正式系统的补丁升级。
3.3信息系统操作人员不得擅自进行系统软件的删除修改等操作,不得擅自升级、改变系统软件版本;不得擅自改变软件系统的环境配置。
4、信息系统安全管理
4.1信息系统环境安全
4.1.1企业系统运行环境包括了数据中心机房、总部与各分子公司的网络及通信加密方式等,具体的安全管理要求详见《XXXXXXX信息安全管理制度》。
4.2信息系统网络安全
4.2.1信息中心负责企业总部的防火墙建设及网络安全防护,各项安全要求标准详见《XXXXXXX信息安全管理制度》。
4.3信息系统数据安全
4.3.1信息中心负责企业数据安全管理,制定各类数据备份的计划,定期监督备份计划实施情况。
4.3.2每日进行系统数据库自动备份,并将备份数据自动保存至数据备份服务器。系统管理员定期将备份服务器上的数据拷贝至移动存储进行备份。定期对备份数据抽样进行恢复测试。年末将备份数据的移动存储设备送往档案中心存档。
4.3.3任何单位和个人不得从事危害信息系统安全的行为,不得对外公开信息系统的保密数据,违规者按依照有关规定对责任人员给予行政处分。情节严重
的追究刑事责任。
4.4信息系统用户安全
4.4.1信息中心负责用户账号新增、变更,并根据员工的岗位进行权限分配,详见《XXXXXXX信息化建设系统组织、用户权限管理制度》。
4.4.2每位员工都有责任保管好本人的账号和密码,做好计算机病毒防护工作,并定期更换密码,以防止他人盗用和破译。
4.4.3人员岗位若发生变化,其账号的权限也需做相应的调整。岗位变更人员在完成人事部门的业务审批流程后,在OA办公系统填写岗位权限信息表并提交给信息中心,信息中心管理员才能根据表格信息进行相应的账号新增、修改及权限分配操作;
4.4.4人员离职后,用户账号将被禁用。
5、机房管理
5.1外来人员对硬件系统维护时,须填写《外来人员进入机房审批表》,经信息中心批准后方可进入;当外来人员对软件系统进行维护时,须填写《应用软件维护表》,经系统使用业务部门负责人和信息中心主任签字批准后方可。
5.2机房所有工作人员须经信息中心主任授权并凭门禁卡进出机房,外来人员进入机房统一由信息中心专人陪同,陪同人员全面负责外来人员的行为安全,并做好安全防范工作。
5.3中心机房及其附属设备的管理(登记)与维修由网管人员负责。设备管理人员每半年要核准一次设备登记情况。
5.4机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
5.5中心机房服务器、磁盘阵列柜及其网络设备由专职人员每月进行一次例行检查和维护,尤其是设备供电、运行状态是否正常等要时常检查和维护。
五、相关制度
《XXXXXXX信息安全管理制度》
《XXXXXXX数据中心机房管理制度》
《XXXXXXX信息化建设系统组织、用户权限管理制度》《XXXXXXX信息资产管理制度》
六、主要控制点
1 需求变更的审批流程
2 系统更新升级的管理流程
3 信息安全控制
4 机房运行环境及硬件的安全检测
七、检查资料
1机房的运行维护记录
2 新增变更需求申请表
3 系统升级测试报告
4 外来人员进出机房登记记录
5机房设备维修记录
八、业务流程