手册公司信息系统内控手册信息部

第十八号信息系统

第一章信息系统的开发管理

一、业务目标

确保信息系统的建设过程符合国家法律、法规及企业内部管理制度的要求。

合理规划企业信息系统建设，促进企业战略目标的实现。

严格控制信息系统项目实施过程，保证系统建设质量。

二、业务风险

信息系统的建设与运行违反国家法律、法规和监管机构的要求，可能使企业遭受外部处罚。

信息系统发展缺少合理的规划或者落实不到位，无法确保企业全面战略目标的实现。三、业务范围

该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程，主要包括：项目立项审批，项目合同签订，项目实施管理，项目验收管理等。

四、业务流程描述

1、项目立项

公司各单位按照企业信息化建设规划，根据本单位业务管理需要，在每年12月31日前提出企业信息化应用系统建设项目申请，编制应用系统项目申报材料，提交对口业务部门和信息中心。项目申报材料的具体要求请参考《XXXXXXX信息化应用系统需求管理制度》。信息中心按照《XXXXXXX信息化建设管理制度》规定的职责分工，将需求方案分送各相关业务部门进行业务审核。信息中心负责项目申报材料的技术审核。

业务需求牵头部门、信息中心按照分工完成业务审核和技术审核后，报信息化工作领导小组审定。

信息中心负责将审核项目进行汇总，对重大项目组织专家论证，编制年度项目计划，经信息化办公室审核，报信息化领导小组审批。

信息中心根据信息化领导小组审定的年度项目计划，按照部门预算管理要求，汇总编制年度公司信息化经费预算及建设项目经费预算，报分管副总、总经理审批，并将批复结果以书面形式通知集团内相关单位。

未经信息化领导小组批准的建设项目，不得自行筹集经费建设。

2、项目实施过程管理

经信息化领导小组批准的建设项目，由信息中心确认开发商或供应商，并根据《XXXXXXX 信息化建设项目合同管理制度》签订项目合同。

信息中心会同对口业务部门确认详细的业务功能需求和业务流程，确认开发任务，合理配置开发资源。

信息中心组织部内相关单位和项目开发单位有关人员成立系统开发小组，负责组织和管理软件开发工作。

信息中心负责对系统开发全过程进行跟踪管理；负责建立进度控制、质量控制、风险控制机制，约束开发单位按期保质完成工作计划、规避项目风险。项目实施过程的管理要求详见《XXXXXXX信息化应用系统组织实施管理制度》。

信息中心组织项目需求单位、项目开发单位组成系统测试小组，负责系统测试的各项工作。

各项测试工作完成后，信息中心负责完成信息系统的正式上线工作。

系统使用的对口业务部门负责编制系统的业务指导操作手册，信息中心负责提供技术支持。

3、项目验收

项目开发单位在项目完成后1个月内，向信息中心提出项目竣工验收申请，并填写《企业信息化建设项目竣工验收申请表》。

信息中心会同业务需求牵头部门组成验收小组，具体验收标准及验收程序详见《XXXXXXX 信息化建设项目验收管理制度》。

项目验收组根据审查验收情况，召开评审论证会，对项目进行综合评价，形成竣工验收报告，填写《企业信息化建设项目竣工验收表》，由验收组全体成员签字，验收组组长根据验收表决情况签署验收意见。

信息中心将通过验收的项目各种文件资料及最终验收审批报告，归类整理并列出清单，按照有关规定归档保存。

项目未通过验收的，信息中心以书面形式通知开发单位，限期整改，符合验收条件后，可再次提出验收申请。

五、相关制度

《XXXXXXX信息化建设管理制度》

《XXXXXXX信息化应用系统需求管理制度》

《XXXXXXX信息化建设项目合同管理制度》

《XXXXXXX信息化建设项目资金管理制度》

《XXXXXXX信息化应用系统组织实施管理制度》

《XXXXXXX信息化建设项目验收管理制度》

六、主要控制点

1 项目立项管理流程

2 项目合同的签订

3 项目实施过程的质量控制，进度控制，风险控制

4 项目验收过程

七、检查资料

1 信息系统项目申报材料

2 项目评审报告

3 项目开发或采购相关合同

4 系统实施方案

5 信息系统项目竣工验收报告

八、业务流程

第二章信息系统的运行与维护

一、业务目标

确保信息系统的运维管理过程符合国家法律、法规及企业内部管理制度的要求。

提高信息系统的管理水平和技术应用水平，满足生产经营业务需求，提高企业综合竞争力。

二、业务风险

信息系统管理存在漏洞，无法满足业务需求或给企业带来信息安全隐患，影响生产经营的顺利进行。

信息系统的软件、硬件等运行环境存在运行故障、数据丢失、设备损坏等风险，缺失应急预案，影响企业的正常生产运营。

三、业务范围

该子流程主要描述了XXXXXXX股份有限公司信息系统管理的相关工作流程，主要包括：信息系统的运行及维护管理、系统升级管理、信息系统安全管理等。

四、业务流程描述

1、系统运行及维护管理

企业总部应用系统的维护归口统一由信息中心负责管理（运维直接外包的项目除外）。

系统使用对口业务部门(单位)负责业务流程、业务要求、对口模块子系统的具体操作规范等相关制度的制定和落实，对有关业务参数等数据的日常更新；对关键用户与一般用户进行系统业务培训和培训考核。信息中心负责提供技术支持。

信息中心负责日常软硬件系统维护、网络安全、系统应急处理等工作，保证信息系统安全、稳定运行，并做《应急事故处理记录》和《运行维护记录》。需委托维护的信息系统，信息中心负责审查系统服务商资质，并签订系统维护服务合同；由信息中心自行维护的，则指定专人负责维护，制定岗位职责。

在系统使用中，各部门（单位）如有变更需求，可在OA办公系统中填写《新增变更业务需求申请单》，在相关业务部门和信息中心完成系统审批流程后，由信息中心统一安排处理。变更完成后由申请提出部门相关人员签字确认。

3、系统更新升级管理

对于系统更新升级，软件提供方必须明确给出本次补丁所涉及的变更内容。并发布到与正式系统同步的测试系统中，由信息中心会同相关业务部门，对系统进行测试评估。测试完成后，相关部门人员共同在《系统升级测试报告》上签字确认。

在系统补丁测试确认完成后，由信息中心指定工作人员负责完成正式系统的补丁升级。信息系统操作人员不得擅自进行系统软件的删除修改等操作，不得擅自升级、改变系统软件版本；不得擅自改变软件系统的环境配置。

4、信息系统安全管理

信息系统环境安全

企业系统运行环境包括了数据中心机房、总部与各分子公司的网络及通信加密方式等，具体的安全管理要求详见《XXXXXXX信息安全管理制度》。

信息系统网络安全

信息中心负责企业总部的防火墙建设及网络安全防护，各项安全要求标准详见《XXXXXXX 信息安全管理制度》。

信息系统数据安全

制定各类数据备份的计划，定期监督备份计划实施情况。

服务器上的数据拷贝至移动存储进行备份。定期对备份数据抽样进行恢复测试。年末将备份数据的移动存储设备送往档案中心存档。

任何单位和个人不得从事危害信息系统安全的行为，不得对外公开信息系统的保密数据，