【流程管理)应用系统IT般性控制流程

（流程管理）应用系统IT 般性控制流程

11.4应用系统IT壹般性控制流程

壹、业务目标

1运营目标

1.1保证应用系统长期稳定、安全、高效运行。

1.2为生产运营管理提供业务支撑和及时、准确、完整的数据。2合规目标

2.1遵守保护知识产权的有关法律法规，使用合法软件。2.2信息技术合同符合合同法等股份公司制度、国家法律和法

规。

2.3应用系统数据的收集、提供、使用和转让符合国家安全、

知识产权保护、合同法等法律、法规及股份公司内部

规章制度的要求。

2.4保证重要业务系统的生成报表、合且报表编制过程的真实

性、完整性、可靠性符合国家规定及上市地监管机构

要求。

二、业务风险

1运营风险

本流程适用于除ERP系统外的其它应用系统，包括财务管理信息系统、财务报表系统、加油卡系统及MES系统等。

1.1技术方案不合理，系统功能存于问题，导致应用系统不能

满足生产运营管理业务需求。

1.2系统登录访问机制不健全、用户权限管理不规范等，

导致对系统的非法或非授权访问。

1.3密码设置强度不够或更改不及时，造成系统泄密或受到非

法访问。

1.4系统变更管理不规范，未经审批、测试，导致应用系统运

行和维护的无法正常进行。

1.5系统运行缺乏有效监控及维护管理，影响系统安全稳定运

行。

1.6系统问题处理不及时、不规范，不能保证系统问题得到及

时有效解决。

1.7备份策略和备份方案不完善，导致系统数据丢失，系统无

法恢复。

1.8制度不健全，导致信息系统应用管理不规范、运维不及时。2合规风险

2.1侵犯知识产权，导致诉讼及股份公司声誉受到损害。2.2应用系统数据的收集、提供、使用、转让违反国家法律法

规及股份公司内部规章制度等，导致系统无法正常运

行。

2.3重要业务报表的编制不符合规定，导致股份公司声誉受到

损害及受关联机构处罚。

三、业务流程步骤和控制点

1程序和数据访问

1.1总部各部门、分（子）公司依据《中国石油化工股份XX

公司管理信息系统应用管理办法（试行）》（以下简

称《信息系统应用管理办法》）及关联应用系统管理

办法实施程序和数据访问管理，包括用户权限管理、

用户帐号及访问管理、密码管理、系统管理员、应用

管理员、安全管理员（主要职责是承担对系统管理员、

应用管理员的监管，负责审查系统管理员、应用管理

员于系统中的操作）管理、第三方人员管理等。1.2用户权限管理

1.2.1新进员工或岗位变动人员按照用户权限关联管理办法

填写用户权限审批表，经关联部门负责人审批后，由

应用管理员于系统中新增、变更或锁定用户权限。

1.2.2对于数据库用户权限，关联人员填写用户权限审批表，

经关联部门负责人审批后，由系统管理员于数据库中

新增、变更或锁定用户权限。

1.3用户帐号及访问管理

1.3.1操作人员访问应用系统时，必须输入用户帐号和密码。

1.3.2应用管理员于系统中为每个操作人员设置独立的用户

帐号，不能设置共享用户帐号（查询用户帐号除外）。

应用管理员至少每半年打印壹次用户帐号权限清单，

且由关联部门负责人审核。

1.4密码管理

1.4.1操作人员应按照密码管理关联规定，遵循系统密码的长

度至少为6位，复杂度为数字和字符的组合，三个月

更改壹次密码等密码规则设置密码，不得使用最近使

用过的密码。应用管理员对操作人员密码定期更换记

录进行检查。

1.4.2系统管理员、应用管理员应于系统投用前修改操作系

统、数据库、应用系统的超级用户初始密码。上述密

码至少三个月更换壹次，安全管理员对定期更换记录

进行检查。

1.5系统管理员、应用管理员、安全管理员管理

1.5.1系统需配备专职或兼职系统管理员、应用管理员和安全

管理员。安全管理员、系统管理员、应用管理员必须

经关联部门负责人授权且遵循不相容岗位分离原则，

且不得拥有应用系统的业务操作权限。关联部门负责

人至少每半年对上述管理员于职情况进行审查。1.5.2安全管理员至少每季度对系统管理员、应用管理员的操

作日志或记录进行检查，提出审核意见，且报关联部

门负责人。

1.6第三方人员管理

1.6.1总部各部门、分（子）公司和第三方合作单位就关联应

用系统签订安全保密协议。

1.6.2第三方人员需访问系统时，由申请人/经办人按照关联

管理办法填写用户权限审批表(需注明使用期限和权

限)，经需求部门负责人审核后提交信息管理部门（责

任处（科）室）负责人审批，由应用管理员于系统中

新增或变更其帐号及权限。到期后必须及时删除或锁

定第三方人员的帐号。

2程序变更

2.1总部各部门、分（子）公司依据《信息系统应用管理办法》

及关联应用系统管理办法实施系统变更管理，包括变

更申请审批、变更测试和变更版本管理等。

2.2总部统壹建设的应用系统，系统变更必须填写系统变更审

批表上报信息系统管理部和总部关联部门，由总部统

壹组织升级、测试和变更，各分（子）公司不得自行

变更。各分（子）公司自建系统或客户化开发的变更，

必须经过分（子）公司信息管理部门和关联部门负责

人审批。

2.3变更的应用程序移植到生产系统前，关联部门必须组织人

员进行系统测试和最终用户测试，测试不能于生产环

境中进行。

2.4信息管理部门必须对操作系统、数据库、应用系统版本变

更进行管理，记录每次变更的版本号，存档变更文档

和变更升级程序。

3程序开发

3.1新建应用系统的项目计划、可研评审、立项审批、项目实

施、竣工验收等开发步骤按照《11.1信息系统管理