流程管理-114应用系统IT一般性控制流程精品

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

11.4应用系统IT一般性控制流程

一、业务目标

1 经营目标

1.1 保证应用系统长期稳定、安全、高效运行。

1.2 为生产经营管理提供业务支撑和及时、准确、完整

的数据。

2 合规目标

2.1 遵守保护知识产权的有关法律法规，使用合法软件。

2.2 信息技术合同符合合同法等股份公司制度、国家法

律和法规。

2.3 应用系统数据的收集、提供、使用和转让符合国家

安全、知识产权保护、合同法等法律、法规及股份

公司内部规章制度的要求。

2.4 保证重要业务系统的生成报表、合并报表编制过程

的真实性、完整性、可靠性符合国家规定及上市地

监管机构要求。

二、业务风险

1 经营风险

本流程适用于除ERP系统外的其它应用系统，包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。

1.1 技术方案不合理，系统功能存在问题，导致应用系

统不能满足生产经营管理业务需求。

1.2 系统登录访问机制不健全、用户权限管理不规范等，

导致对系统的非法或非授权访问。

1.3 密码设置强度不够或更改不及时，造成系统泄密或

受到非法访问。

1.4 系统变更管理不规范，未经审批、测试，导致应用

系统运行和维护的无法正常进行。

1.5 系统运行缺乏有效监控及维护管理，影响系统安全

稳定运行。

1.6 系统问题处理不及时、不规范，不能保证系统问题

得到及时有效解决。

1.7 备份策略和备份方案不完善，导致系统数据丢失，

系统无法恢复。

1.8 制度不健全，导致信息系统应用管理不规范、运维

不及时。

2 合规风险

2.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。

2.2 应用系统数据的收集、提供、使用、转让违反国家

法律法规及股份公司内部规章制度等，导致系统无

法正常运行。

2.3 重要业务报表的编制不符合规定，导致股份公司声

誉受到损害及受相关机构处罚。

三、业务流程步骤与控制点

1 程序和数据访问

1.1 总部各部门、分（子）公司依据《中国石油化工股

份有限公司管理信息系统应用管理办法（试行）》

（以下简称《信息系统应用管理办法》）及相关应

用系统管理办法实施程序和数据访问管理，包括用

户权限管理、用户帐号及访问管理、密码管理、系

统管理员、应用管理员、安全管理员（主要职责是

承担对系统管理员、应用管理员的监管，负责审查

系统管理员、应用管理员在系统中的操作）管理、

第三方人员管理等。

1.2 用户权限管理

1.2.1 新进员工或岗位变动人员按照用户权限相关管理办

法填写用户权限审批表，经相关部门负责人审批后，

由应用管理员在系统中新增、变更或锁定用户权限。

1.2.2 对于数据库用户权限，相关人员填写用户权限审批

表，经相关部门负责人审批后，由系统管理员在数

据库中新增、变更或锁定用户权限。

1.3 用户帐号及访问管理

1.3.1 操作人员访问应用系统时，必须输入用户帐号和密

码。

1.3.2 应用管理员在系统中为每个操作人员设置独立的用

户帐号，不能设置共享用户帐号（查询用户帐号除

外）。应用管理员至少每半年打印一次用户帐号权

限清单，并由相关部门负责人审核。

1.4 密码管理

1.4.1 操作人员应按照密码管理相关规定，遵循系统密码

的长度至少为6位，复杂度为数字与字符的组合，

三个月更改一次密码等密码规则设置密码，不得使

用最近使用过的密码。应用管理员对操作人员密码

定期更换记录进行检查。

1.4.2 系统管理员、应用管理员应在系统投用前修改操作

系统、数据库、应用系统的超级用户初始密码。上

述密码至少三个月更换一次，安全管理员对定期更

换记录进行检查。

1.5 系统管理员、应用管理员、安全管理员管理

1.5.1 系统需配备专职或兼职系统管理员、应用管理员和

安全管理员。安全管理员、系统管理员、应用管理

员必须经相关部门负责人授权并遵循不相容岗位分

离原则，且不得拥有应用系统的业务操作权限。相

关部门负责人至少每半年对上述管理员在职情况进

行审查。

1.5.2 安全管理员至少每季度对系统管理员、应用管理员

的操作日志或记录进行检查，提出审核意见，并报

流程管理-114应用系统IT一般性控制流程 精品

流程管理-114应用系统IT一般性控制流程精品