您的位置:360文档中心› 应用系统一般性控制流程 (1)

应用系统一般性控制流程 (1)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

11.4应用系统IT一般性控制流程

一、业务目标

1 经营目标

1.1 保证应用系统长期稳定、安全、高效运行。

1.2 为生产经营管理提供业务支撑和及时、准确、完整的数据。

2 合规目标

2.1 遵守保护知识产权的有关法律法规,使用合法软件。

2.2 信息技术合同符合合同法等股份公司制度、国家法律和法规。

2.3 应用系统数据的收集、提供、使用和转让符合国家安全、知识产权保护、

合同法等法律、法规及股份公司内部规章制度的要求。

2.4 保证重要业务系统的生成报表、合并报表编制过程的真实性、完整性、

可靠性符合国家规定及上市地监管机构要求。

二、业务风险

1 经营风险

本流程适用于除ERP系统外的其它应用系统,包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。

1.1 技术方案不合理,系统功能存在问题,导致应用系统不能满足生产经营

管理业务需求。

1.2 系统登录访问机制不健全、用户权限管理不规范等,

导致对系统的非法或非授权访问。

1.3 密码设置强度不够或更改不及时,造成系统泄密或受到非法访问。

1.4 系统变更管理不规范,未经审批、测试,导致应用系统运行和维护的无

法正常进行。

1.5 系统运行缺乏有效监控及维护管理,影响系统安全稳定运行。

1.6 系统问题处理不及时、不规范,不能保证系统问题得到及时有效解决。

1.7 备份策略和备份方案不完善,导致系统数据丢失,系统无法恢复。

1.8 制度不健全,导致信息系统应用管理不规范、运维不及时。

2 合规风险

2.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。

2.2 应用系统数据的收集、提供、使用、转让违反国家法律法规及股份公司

内部规章制度等,导致系统无法正常运行。

2.3 重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关

机构处罚。

三、业务流程步骤与控制点

1 程序和数据访问

1.1 总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息

系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)

及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、

用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理

员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统

管理员、应用管理员在系统中的操作)管理、第三方人员管理等。

1.2 用户权限管理

1.2.1 新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批

表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁

定用户权限。

1.2.2 对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责

人审批后,由系统管理员在数据库中新增、变更或锁定用户权限。

1.3 用户帐号及访问管理

1.3.1 操作人员访问应用系统时,必须输入用户帐号和密码。

1.3.2 应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共

享用户帐号(查询用户帐号除外)。应用管理员至少每半年打印一次用

户帐号权限清单,并由相关部门负责人审核。

1.4 密码管理

1.4.1 操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,

复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,

不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录

进行检查。

1.4.2 系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用

系统的超级用户初始密码。上述密码至少三个月更换一次,安全管理员

对定期更换记录进行检查。

1.5 系统管理员、应用管理员、安全管理员管理

1.5.1 系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管

理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相

容岗位分离原则,且不得拥有应用系统的业务操作权限。相关部门负责

人至少每半年对上述管理员在职情况进行审查。

1.5.2 安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进

行检查,提出审核意见,并报相关部门负责人。

1.6 第三方人员管理

1.6.1 总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全

保密协议。

1.6.2 第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户

权限审批表(需注明使用期限和权限),经需求部门负责人审核后提交信

息管理部门(责任处(科)室)负责人审批,由应用管理员在系统中新

增或变更其帐号及权限。到期后必须及时删除或锁定第三方人员的帐号。

2 程序变更

2.1 总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用

系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更

版本管理等。

2.2 总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息

系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分

(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变

更,必须经过分(子)公司信息管理部门和相关部门负责人审批。

2.3 变更的应用程序移植到生产系统前,相关部门必须组织人员进行系统测

试和最终用户测试,测试不能在生产环境中进行。

2.4 信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理,

记录每次变更的版本号,存档变更文档和变更升级程序。

3 程序开发

相关文档
最新文档