中石化全套内部控制系统制度__信息管理系统文件(1)

11.1信息系统管理业务内部控制矩阵
11.1信息系统管理业务流程①②
一、业务目标
1 经营目标
1.1 满足生产经营管理业务需求，提高管理水平、技术水平和市场应变能力，提高核心竞争力。

1.2 达到系统建设预期目标，系统运行安全、稳定，出现系统故障时能够及时恢复，系统具有扩展性、集成性。

2 合规目标
2.1 遵守保护知识产权的有关法律法规，使用合法软件。

2.2 信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求。

二、业务风险
1 经营风险
1.1 信息化管理体系不完善，信息管理部门职责不落实，导致信息化工作受损。

1.2 信息系统建设项目不符合股份公司经营战略目标，导致盲目建设、投资低效。

①本流程适用于列入股份公司固定资产投资和科技开发项目计划的信息系统建设、运行和维护，有关科技开发项目的立项和经费管理按《3.3科技开发费管理业务流程》控制。

②信息系统业务,根据其特点执行《11.1信息系统管理业务流程》,但应参见《6.1资本支出业务流程》。

1.3 信息安全规划不当，风险评估缺失，信息安全教育不足，员工安全意识薄弱，导致信息系统风险。

1.4 技术方案不合理，业务流程不规范，系统功能不健全，导致系统不能满足业务需求。

1.5 基础数据不完整、不准确、不真实，导致系统无法正常投运或计算出错。

1.6 项目监管不力，系统建设延误，导致系统不能按期投用或资金流失。

1.7 系统运行不稳定，数据失真、丢失，导致日常业务工作无法正常进行。

1.8 系统存在网络故障、病毒侵袭等安全问题，导致非法入侵及泄密等，或系统灾难无法及时恢复。

1.9 系统运维不落实，功能陈旧，导致不能满足业务需求。

1.10 未经审核，变更信息技术合同标准文本中涉及的权利、义务等条款，造成损失。

2 财务风险
2.1 交易不真实，未按约定付款，影响财务报告。

3 合规风险
3.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。

3.2 信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求,造成损失。

3.3 违反国家和企业会计制度，造成项目资金损失。

三、业务流程步骤与控制点
1 IT整体层面管理
1.1 股份公司建立完善的信息化管理体系，设立ERP指导委员会, 设立信息系统管理部负责股份公司信息化归口管理工作;各分（子）公司设
立信息化领导小组或ERP指导委员会，定期召开会议，听取、总结和指导本单位信息化工作，设立信息管理部门负责本单位信息化管理工作，对信息系统和信息资源行使管理职责。

1.2 根据股份公司发展战略目标和核心业务，结合信息技术发展和股份公司实际，信息系统管理部负责组织编制股份公司信息化建设中长期规
划，在充分征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核，按规定权限审批后，纳入股份公司中长期发展规划。

1.3 教育和培训
1.3.1 各级信息管理部门负责编制年度信息化培训计划，经部门负责人审批后，纳入人事部门年度培训计划,并组织落实。

1.3.2 各级信息管理部门配合人事部门开展全员信息安全教育和培训，并在信息门户或内部网站发布安全教育培训材料。

1.4 风险评估
1.4.1 根据《中国石油化工股份有限公司信息系统风险评估管理办法》，信息系统管理部负责每年对信息系统进行年度综合风险评估，形成风险
评估报告，并组织专家组对风险评估报告进行评审，专家组对风险评估报告提出评审意见并签字；分（子）公司信息管理部门会同相关业
务部门，通过多种形式，组织本单位信息系统的风险评估，包括企业信息系统整体风险、重点系统风险、主要基础设施风险等，形成相关
风险评估报告，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。

1.5 信息安全管理
1.5.1 信息系统管理部负责编制信息安全规划，在征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修
改，经信息系统管理部主任审核后，正式发布。

各分（子）公司信息管理部门根据股份公司信息安全规划，结合自身生产经营管理的需要，并针对风险评估报告中提出的问题，负责制订本企业的信息安全方案，经分管经理审批后报信息系统管理部备案。

1.5.2 依照《中国石油化工股份有限公司信息系统安全管理办法》规定，各级信息管理部门负责提出本单位的“信息系统关键岗位名录”，其中
涉及信息系统安全的关键岗位由信息管理部门确定，涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。

“信息系统
关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”，并在人事部门备案。

1.5.3 各级信息管理部门根据《中国石油化工股份有限公司信息系统安全管理办法》中的有关要求，按照不相容岗位分离的原则，设立安全管理
员。

安全管理员必须具有相应资质，并经部门负责人审批授权。

2 编制年度项目建议计划
2.1 信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分（子）公司申报的项目建议计划，结合年度实际，编制年度
信息化项目建议计划，由信息系统管理部主任审核，按规定权限审批后，分别纳入股份公司年度投资计划、科技开发项目计划管理。

各分
（子）公司信息管理部门负责编制年度信息化项目建议计划预案，按规定权限审批后，分别纳入本单位年度投资建议计划、科技开发项目
建议计划，上报信息系统管理部和总部相关部门审核。

3 项目可行性研究和评审
3.1 信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究，并组织专家组对项目可行性研究报告进行评审，专家组对
项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。

4 项目立项审批
4.1 通过可研评审的固定资产投资限额（200万元）及以上的信息技术项目，由信息系统管理部报发展计划部立项，批准立项的项目，由发展
计划部列入年度投资计划；申请总部立项的固定资产投资限额（200万元）以下的信息技术项目，由信息系统管理部负责审批，报发展计
划部备案；由各事业部审批的投资限额以下的信息技术项目投资计划，须经信息系统管理部和发展计划部会签。

各分（子）公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内，由各分（子）公司根据当期生产经营管理的需要，按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案，并纳入股份公司年度投资计划管理。

通过可研评审的科技开发项目，由信息系统管理部报科技开发部立项，批准立项的项目，由科技开发部列入年度项目计划。

4.2 对批准立项的、投资在500万元及以上的项目，信息系统管理部委托有资格的单位按要求对项目进行总体（基础）设计，其中投资在2000
万元及以上的项目需组织专家组对项目总体（基础）设计进行评审，专家组对项目需求分析、目标、功能设计、投资概算等提出评审意见并签字，由信息系统管理部负责审批总体（基础）设计，报发展计划部备案。

5 合同签订
5．1 信息管理部门负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质，开展询比价、商务谈判等工作；涉及有关计算机服务器、PC机、打印机采购事宜，由物资采购部门归口管理、信息管理部门配合开展采购工作。

依照规定权限并按经法律事务部审定的标准合同文本签订合同；项目责任部门(单位)负责完成合同技术附件，并由负责人签字确认。

6 项目实施
6.1 项目实施单位根据合同技术附件或总体设计进行详细设计，详细设计的形式可根据项目类别的不同（自主开发项目、引进试点项目、推广
完善项目、基础设施项目）采取与项目类别相适应的形式，投资在500万元及以上的项目需由信息管理部门组织人员对项目详细设计进行审查，项目实施单位根据审查意见进一步修改完善深化详细设计。

6.2 项目责任部门(单位)负责项目实施，业务部门组织数据的收集、整理、录入、审核，并进行审查和确认，保证数据的真实、完整和准确。

6.3 信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查，审核和确认测试报告，并检查相应软件的合法性，提
供经双方签字的检查记录。

6.4 信息管理部门负责组织对项目建设的阶段验收，进行项目建设质量、进度、标准执行和成本控制等检查，提出阶段验收报告；项目实施单
位根据阶段验收报告对系统进行修改完善。

500万元以下的一般信息技术项目可根据项目具体实施情况，只进行竣工验收。

6.5 项目责任部门(单位)负责至少每季度向信息管理部门提交项目实施报告，内容包括项目进度、质量、经费使用、存在问题和整改措施等；
根据合同约定填写付款申请，按规定权限审批后办理付款。

6.6 信息管理部门组织对系统进行集成测试，形成集成测试评价意见；并根据集成测试评价意见责成项目实施单位进行修改完善。

6.7 项目责任部门(单位)责成项目实施单位负责知识转移，并提交项目相关的技术文档（包括用户使用手册、系统维护手册、系统安全和使用
授权管理办法、应急处理办法及用户培训教材等资料）。

7 项目竣工验收
7.1 项目完成全部的规定目标任务后，投资2000万元及以上的项目单轨连续稳定运行6个月以上，其它项目单轨连续稳定运行3个月以上，
由项目责任部门(单位)以正式行文方式提交项目竣工验收申请，同时提交项目验收相关材料一并审核。

总部批复的项目向信息系统管理部提交验收申请，由信息系统管理部负责组织项目验收工作。

分(子)公司自行批复的项目向企业信息管理部门提交验收申请，由分(子)公司信息管理部门负责组织项目验收工作。

专家组形成验收意见并签字。

7.2 信息管理部门会同财务部门按规定进行项目竣工结算。

财务部门按竣工验收决算报告或审计报告办理项目转资手续，按股份公司内部会计
制度及有关规定，经财务部门负责人审核后，进行账务处理。

相关会计凭证须经不相容岗位人员稽核。

在信息技术项目达到预定的可使用状态时，财务部门应依据有关部门提供的手续，按照股份公司内部会计制度，经部门负责人审核后，暂估入账。

相关会计凭证须经不相容岗位人员稽核。

7.3 对固定资产投资2000万元及以上的试点项目，通过验收后，信息管理部门组织专家组对项目进行后评价，专家组提出后评价报告并签字。

8 系统应用和维护
8.1 需委托维护的信息系统，信息管理部门负责审查系统服务商资质，并签订系统维护服务合同以及安全保密协议；由信息管理部门自行维护
的，则指定专人负责维护，制定岗位职责。

8.2 项目责任部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实
等工作。

信息管理部门负责组织日常软硬件系统维护、合法软件使用情况检查和关键用户与一般用户的培训、考核等工作。

9 系统升级
9.1 项目责任部门(单位)负责对业务流程与系统模型进行适时评价，并根据评价和修正意见，提出应用软件的升级申请，责任部门(单位)负责
人须签字确认。

升级申请纳入计划后组织实施。

9.2 信息管理部门负责组织对系统软、硬件进行适时评价，并根据评价意见提出系统软、硬件升级申请，信息管理部门负责人须签字确认。

升
级申请纳入计划后组织实施。

四、相关制度目录（制度后标号为《内控手册配套规章
制度汇编》目录索引号）
1 中国石油化工股份公司信息化管理办法（石化股份信[2007]389号） ----1.10.5
2 中国石油化工股份有限公司信息技术项目管理办法（试行）（石化股份信[2004]266号）----1.10.2
3 中国石油化工股份有限公司信息系统风险评估管理办法（石化股份信综[2006]37号） ----2.10.3
4 中国石油化工股份有限公司公司信息系统安全管理办法（石化股份信系[2006]第35号 ----2.10.2 11.2信息资源管理业务内部控制矩阵
11.2信息资源管理业务流程1
一、业务目标
1 经营目标
1.1 提供真实、准确、完整的信息。

1.2 提供信息给恰当的使用者。

1.3 提供信息及时，使用方便。

2 合规目标
2.1 信息的收集、提供、使用和转让符合国家安全、知识产权保护、合同法等法律、法规及股份公司内部规章制度的要求。

二、业务风险
1 经营风险
1.1 信息需求不明确，信息分类不当，导致信息提供有误，效率低下。

1.2 信息源不落实，导致信息提供落空。

1.3 信息分级不当，导致信息送达不当，贻误工作。

1.4 信息授权不当，导致信息泄密或贻误工作。

1.5 信息集成度不够，信息处理不当，导致信息质量下降。

①本流程适用于股份公司内部生产经营管理类电子信息。

1.6 信息更新不及时，信息传输延误，影响决策和管理。

1.7 违反股份公司保密等规定，导致商业秘密信息流失。

1.8 未经审核，变更信息购入、转让合同示范文本中有关权利、义务的条款，导致损失。

2 合规风险
2.1 信息的收集、提供、使用、转让违反国家法律法规及导致处罚；违反股份公司内部规章制度等，导致商业秘密流失。

三、业务流程步骤与控制点
1 各部门梳理信息和需求
1.1 股份公司各职能部门、事业部、分（子）公司各部门（以下统称各部门）首先梳理本部门管理的内部信息，即本部门形成的和直接管理的
内部信息，制定部门内部信息目录，并由部门负责人签字确认。

1.2 各部门依据业务职责梳理各种外部信息需求，包括需要其他部门提供的信息和需外购的信息，形成相应的部门信息需求目录，并明确信息
内容、信息提供频率和信息提供方式等。

部门信息需求目录由部门负责人签字确认。

2 汇总各部门需部门外提供的信息需求
2.1 信息管理部门组织汇总各部门需要其他部门提供的信息和需外购的信息，编制部门间共享信息需求目录和外购信息需求目录，分别反馈各
部门核对确认。

总部部门间共享信息需求目录由股份公司副总裁审核批准；分（子）公司部门间共享信息需求目录由分（子）公司分管副经理审核批准。

3 落实部门间共享信息源和外购信息源
3.1 信息管理部门协助信息需求部门落实部门间共享信息源，信息提供部门负责按审核后的部门间共享信息需求目录提供共享信息。

3.2 外购信息的订购、采集由信息管理部门统一归口管理。

外购信息源由信息管理部门和相关部门综合考虑信息的权威性、时效性和提供方式，
按外购信息需求目录逐一确定。

4 信息分级
4.1 各部门依据《中国石化信息分级及信息门户授权规则》及其它相关保密规定，对本部门管理的内部信息实施分级，确定一般信息、商业秘
密信息等，形成本部门信息密级目录列表，由部门负责人签字确认。

信息管理部门汇总各部门信息密级目录列表，作为信息资源管理和信息访问控制的基础。

5 信息集中和信息整合
5.1 信息管理部门负责建立内部公共信息平台，实施信息集中和信息整合，采用统一标准接入、存储、处理和发布各类信息。

6 信息授权
6.1 信息管理部门依据股份公司有关信息资源管理的规定，按照各部门管理职责及部门间共享信息需求目录，通过信息平台对各部门实施信息
授权。

6.2 各部门依据《中国石化信息分级及信息门户授权规则》，结合本部门信息密级目录列表，按照员工的工作职责，形成本部门员工信息授权
列表，并由部门负责人审查签字，通过信息平台对每个员工分别进行信息授权，保证信息准确送达。

员工工作岗位发生变动，应及时变更信息授权列表，通过信息平台及时变更信息授权。

7 信息使用和共享
7.1 信息提供部门负责源信息的维护，保证信息的时效性，按日、按周、按月等适时更新。

7.2 信息管理部门及有关部门做好外购信息的及时采集和处理，保证信息的时效性，按日、按周、按月等适时更新。

7.3 信息管理部门加强公共信息平台的维护，保证信息处理可靠及时，信息使用灵活方便，并提交季度信息平台使用和运维报告。

8 信息质量反馈
8.1 信息使用部门针对信息的准确性、时效性、完整性和一致性提出意见，由信息管理部门及时汇总后分别送达相关信息提供部门，协助和督
促信息提供部门不断提高共享信息的质量。

8.2 信息管理部门随时收集各部门有关公共信息平台性能、功能、服务等方面的意见，制定提升方案，落实提升措施，跟踪提升效果，并提交
年度信息平台提升报告。

四、相关制度目录（制度后标号为《内部控制手册配套规章制度汇编》目录索引号）
1 中国石油化工股份有限公司信息资源管理办法（试行）（石化股份信 [2003] 374号） ----1.10.1
2 中国石化信息分级及信息门户授权规则（试行）（石化股份信 [2006] 332号） ----1.10.4
11.3 ERP系统IT一般性控制内部控制矩阵
11.3 ERP系统IT一般性控制流程①
一、业务目标
1 经营目标
1.1 保证系统长期稳定、安全、高效运行。

1.2 保证系统数据的准确性、实时性和完整性。

1.3 保证业务流程的通流效率，为企业的经营和发展提供技术支撑。

2 合规目标
2.1 遵守保护知识产权的有关法律法规，使用合法软件。

2.2 信息技术合同符合合同法等股份公司制度、国家法律和法规。

2.3 系统数据的收集、提供、使用和转让符合股份公司有关制度以及国家安全、保护知识产权、合同法等法律、法规的要求。

2.4 业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。

二、业务风险
1 经营风险
①本流程适用于股份公司ERP单轨运行企业ERP系统IT一般性控制。

1.1 规章制度不健全，导致系统管理失控。

1.2 技术方案不合理，业务流程不规范，系统功能存在
问题，导致系统不能满足业务需求。

1.3 系统登录访问机制不健全、用户权限管理不规范等，
导致对系统的非法或非授权访问。

1.4 数据收集、转换和清理的管理不完善，导致系统存在大量垃圾数据和系统数据失真。

1.5 变更管理不规范，客户化开发、测试和传输管理不完善，导致系统故障、影响系统正常运作或系统功能不能满足业务需求。

1.6 系统运行状态监控不到位，系统潜在故障处理不及时，支持体系不健全，影响系统正常运行。

1.7 上线方案不合理，导致系统上线失败。

1.8 上线月结差异分析报告不准确，导致系统数据错误无法纠正，影响系统正确性。

1.9 备份策略和备份方案不完善，导致数据丢失或数据、系统无法恢复。

1.10 培训工作不到位，导致用户操作不熟练，无法保证业务处理的正确性。

1.11 没有建立完善的应急预案，影响到业务处理。

2 合规风险
2.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。

2.2 系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等，导致系统无法正常运行。

2.3 重要业务报表的编制不符合规定，导致股份公司声誉受到损害及受相关机构处罚。

三、业务流程步骤与控制点
1 程序和数据访问
1.1 总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》）
等，制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。

1.2 用户权限管理
1.2.1 建立/变更用户帐号和角色，由申请人填写ERP系统用户权限申请表，经相关部门负责人审批后，由应用管理员在系统中建立/维护权限，
相关人员进行权限测试并确认，关键用户对角色矩阵实时维护并进行版本管理。

1.2.2 操作人员由于岗位变动或离开单位，人事部门必须及时通知ERP支持中心，ERP支持中心应用管理员在系统中将该用户进行锁定或删除。

1.3 用户帐号管理
1.3.1 应用管理员每季度在线检查用户权限使用情况，至少每半年将系统用户清单提交相关部门，由关键用户和部门负责人审核确认，应用管
理员根据审核结果在系统中进行相应处理。

1.3.2 应用管理员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。

1.3.3 对于数据库层面用户（如系统接口访问用户等），相关部门填写用户申请，由部门负责人签字确认，经信息管理部门审批后，由数据库管
理员创建该类用户。

1.4 对于系统登录访问，要设置合理的密码规则，密码长度6位以上，采用数字和字符组合方式，不能使用弱密码；用户密码3个月内必须
更新一次；帐号密码重复输入5次错误则暂停登录或系统锁定；系统自动退出帐号登录的最大空闲时间不能超过50分钟。

1.5 相关管理员的管理
1.5.1 应用管理员（BASIS管理员和权限管理员）、系统管理员（操作系统管理员、数据库管理员）、安全管理员必须授权管理，遵循不相容岗
位分离原则，并且不能具有业务操作权限及开发权限；信息管理部门负责人应至少每半年对上述管理员的在职情况进行审查。

1.5.2 应用管理员负责监控应用系统运行情况、备份情况和日志，并完成监控记录；系统管理员负责监控操作系统、数据库及备份设备运行情
况和日志，并完成监控记录；安全管理员每季度对相关管理员的操作日志至少检查一次并记录检查情况。

1.6 生产系统上线投入运行后，锁定生产系统中的开发人员、关键用户的帐号；如果开发人员或关键用户必须在生产系统中诊断问题，需填
写ERP系统用户权限申请表（提出申请帐号目的和期限），由相关部门负责人签字确认后由应用管理员进行维护，完成问题诊断任务后锁定该帐号。

1.7 预置帐号的管理
1.7.1 系统管理员在操作系统安装完成后对服务器根帐号（root）密码进行修改，并至少三个月更换一次密码，密码以安全方式妥善保存。

1.7.2 系统管理员在数据库和SAP软件安装好后，需用sapdba的工具修改SAP系统预置帐号（SAPR3，SYS，SYSTEM）的缺省密码，并至少三个
月更换一次密码，密码以安全方式妥善保存。