应用系统IT一般性控制流程.docx

《应用系统IT一般性控制流程.docx》由会员分享，可在线阅读，更多相关《应用系统IT一般性控制流程.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、11.4应用系统IT一般性控制流程11.44应用系系统ITT一般性性控制流流程一、业业务目标标1经营营目标1.1 保证应用用系统长长期稳定定、安全、高高效运行行。1.2为生产产经营管管理提供供业务支支撑和及及时、准准确、完整的的数据。2 合规目目标2.1 遵守保保护知识识产权的的有关法法律法规规，使用用合法软软件。2.2 信息技技术合同同符合合合同法等等股份公公司制度度、国家家法律和和法规。2.3应应用系统统数据的的收集、提供、使用和和转让符符合国家家安全、知识产产权保护护、合同同法等法法律、法法规及股股份公司司内部规规章制度度的要求求。2.4保保证重要要业务系系统的生生成报表表、合并并报表编

2、编制过程程的真实实性、完完整性、可靠性性符合国国家规定定及上市市地监管管机构要要求。二、 业务务风险1经营营风险本流程程适用于于除ERRP系统统外的其其它应用用系统，包括财财务管理理信息系系统、财财务报表表系统、加油卡卡系统及及MESS系统等等。1.1 技术方方案不合合理，系系统功能能存在问问题，导导致应用用系统不不能满足足生产经经营管理理业务需需求。1.2 系统登登录访问问机制不不健全、用户权权限管理理不规范范等，导致对系系统的非非法或非非授权访访问。1.3密码设置置强度不不够或更更改不及及时，造造成系统统泄密或或受到非非法访问问。1.4 系统变变更管理理不规范范，未经经审批、测试，导致应应

3、用系统统运行和和维护的的无法正正常进行行。1.5系系统运行行缺乏有有效监控控及维护护管理，影响系统统安全稳稳定运行行。1.6系统问问题处理理不及时时、不规范，不不能保证证系统问问题得到到及时有有效解决决。1.7备份策策略和备备份方案案不完善善，导致致系统数据据丢失，系统无法法恢复。1.8 制度不不健全，导致信信息系统统应用管管理不规规范、运运维不及及时。2合规规风险2.1 侵犯知知识产权权，导致致诉讼及及股份公公司声誉誉受到损损害。2.2应应用系统统数据的的收集、提供、使用、转让违违反国家家法律法法规及股股份公司司内部规规章制度度等，导致致系统无无法正常常运行。2.3重要业业务报表表的编制制不

4、符合合规定，导致股股份公司司声誉受受到损害害及受相相关机构构处罚。三、 业务务流程步步骤与控控制点1程序和和数据访访问1.1总总部各部部门、分分（子）公司依依据中中国石油油化工股股份有限限公司管管理信息息系统应应用管理理办法（试行）（以以下简称称信息息系统应应用管理理办法）及相相关应用用系统管管理办法法实施程程序和数数据访问问管理，包括用用户权限限管理、用户帐帐号及访访问管理理、密码码管理、系统管管理员、应用管管理员、安全管管理员（主要职职责是承承担对系系统管理理员、应应用管理理员的监监管，负负责审查查系统管管理员、应用管管理员在在系统中中的操作作）管理理、第三三方人员员管理等等。1.2用用户

5、权限限管理1.2.1新进进员工或或岗位变变动人员员按照用用户权限限相关管管理办法法填写用用户权限限审批表表，经相相关部门门负责人人审批后后，由应应用管理理员在系系统中新新增、变更或锁锁定用户户权限。1.2.2对于于数据库库用户权权限，相相关人员员填写用用户权限限审批表表，经相相关部门门负责人人审批后后，由系系统管理理员在数数据库中中新增、变更或或锁定用用户权限限。1.3用用户帐号号及访问问管理1.3.1操作作人员访访问应用用系统时时，必须须输入用用户帐号号和密码码。1.3.2应用用管理员员在系统统中为每每个操作作人员设设置独立立的用户户帐号，不能设设置共享享用户帐帐号（查查询用户户帐号除除外）

6、。应用管管理员至至少每半半年打印印一次用用户帐号号权限清清单，并并由相关关部门负负责人审审核。1.4密密码管理理1.4.1操作作人员应应按照密密码管理理相关规规定，遵遵循系统统密码的的长度至至少为66位，复复杂度为为数字与与字符的的组合，三个月月更改一一次密码码等密码码规则设设置密码码，不得得使用最最近使用用过的密密码。应应用管理理员对操操作人员员密码定定期更换换记录进进行检查查。1.4.2系统统管理员员、应用用管理员员应在系系统投用用前修改改操作系系统、数数据库、应用系系统的超超级用户户初始密密码。上上述密码码至少三三个月更更换一次次，安全全管理员员对定期期更换记记录进行行检查。1.5系系统

7、管理理员、应应用管理理员、安安全管理理员管理理1.5.1系统统需配备备专职或或兼职系系统管理理员、应应用管理理员和安安全管理理员。安安全管理理员、系系统管理理员、应应用管理理员必须须经相关关部门负负责人授授权并遵遵循不相相容岗位位分离原原则，且且不得拥拥有应用用系统的的业务操操作权限限。相关关部门负负责人至至少每半半年对上上述管理理员在职职情况进进行审查查。1.5.2安全全管理员员至少每每季度对对系统管管理员、应用管管理员的的操作日日志或记记录进行行检查，提出审审核意见见，并报报相关部部门负责责人。1.6第第三方人人员管理理1.6.1总部部各部门门、分（子）公公司与第第三方合合作单位位就相关关

8、应用系系统签订订安全保保密协议议。1.6.2第三三方人员员需访问问系统时时，由申申请人/经办人人按照相相关管理理办法填填写用户户权限审审批表(需注明明使用期期限和权权限)，经需求求部门负负责人审审核后提提交信息息管理部门门（责任任处（科科）室）负责人人审批，由应用用管理员员在系统统中新增增或变更更其帐号号及权限限。到期期后必须须及时删删除或锁锁定第三三方人员员的帐号号。2程序变变更2.1总总部各部部门、分分（子）公司依依据信信息系统统应用管管理办法法及相相关应用用系统管管理办法法实施系系统变更更管理，包括变变更申请请审批、变更测测试和变变更版本本管理等等。2.2总总部统一一建设的的应用系系统，

9、系系统变更更必须填填写系统统变更审审批表上上报信息息系统管管理部和和总部相相关部门门，由总总部统一一组织升升级、测测试和变变更，各各分（子子）公司司不得自自行变更更。各分分（子）公司自自建系统统或客户户化开发发的变更更，必须须经过分分（子）公司信信息管理理部门和和相关部部门负责责人审批批。2.3变变更的应应用程序序移植到到生产系系统前，相关部部门必须须组织人人员进行行系统测测试和最最终用户户测试，测试不不能在生生产环境境中进行行。2.4信信息管理理部门必必须对操操作系统统、数据据库、应应用系统统版本变变更进行行管理，记录每每次变更更的版本本号，存存档变更更文档和和变更升升级程序序。3程序开开发

10、3.1新新建应用用系统的的项目计计划、可可研评审审、立项项审批、项目实实施、竣竣工验收收等开发发步骤按按照111.11信息系系统管理理业务流流程执执行。 3.2应应用系统统上线前前,必须须由信息息管理部部门组织织测试系系统功能能，形成成测试报报告，并并经最终终用户部部门负责责人签字字确认。3.3系系统初始始化管理理3.3.1相关关部门按按照数据据收集模模板组织织人员收收集、整整理业务务数据，并由相相关部门门责任人人审核确确认。3.3.2相关关部门组组织人员员对导入入和补录录系统的的数据进进行核对对，并由由相关部部门责任任人签字字确认。4系统运运行4.1总总部各部部门、分分（子）公司依依据信信息

11、系统统应用管管理办法法及相相关应用用系统管管理办法法实施系系统运行行管理，包括系系统备份份及恢复复、系统统监控、维护及及故障处处理等。4.2数数据备份份及恢复复4.2.1应用用管理员员（系统统管理员员）至少少每月做做一次数数据全备备份，并并检查数数据备份份日志，确认备备份是否否成功。对备份份异常情情况进行行记录，同时检检查备份份数据的的可读性性。4.2.2系统统管理员员适时对对系统进进行备份份，同时时检查备备份系统统的可读读性，确确认备份份是否成成功。4.2.3系统统管理员员、应用用管理员员至少每每月对操操作系统统、数据据库、应应用系统统的日志志进行备备份。4.2.4应用管管理员（系统管理理员

12、）每每月将备备份介质质与生产产服务器器异地存存放，并并由专人人管理。备份介介质存放放要有记记录，介介质访问问人员须须经相关关部门负负责人授授权并填填写访问问记录。4.2.5系统管管理员至至少每半半年对备备份数据据进行一一次可读读性测试试。4.2.6系统管管理员至至少每年年对备份份数据进进行一次次恢复性性测试。4.3系系统监控控、维护护及故障障处理4.3.1系统统管理员员对应用用系统、后台作作业、操操作系统统、数据据库、服服务器等等运行状状况进行行监控,并填报报系统运运行监控控报告。4.3.2应用用管理员员对应用系系统操作作日志或或记录、安全管管理员对对直接访访问数据据库的操操作日志志至少每每月

13、进行行一次审核核，发现现异常情情况，及及时上报报信息管管理部门门/相关关部门负负责人，同时查查明原因因，提出出处理意意见，记记录处理理情况。4.3.3对系统统运行出出现的故故障，相相关人员员需填报报问题处处理记录录单，详详细记录录问题处处理情况况，其中中包括故故障发生生时间、故障情情况、解解决办法法、处理理结果及及问题跟跟踪记录录等，并并审核确认认。4.3.4系统应应用部门门会同信信息管理理部门制制订系统统应急预预案，并并至少每每年对业业务人员员、系统统管理员员、应用用管理员员进行一一次系统统应急预预案的培培训。4.4 炼化企企业使用MEES系统统进行主主物料的的日平衡衡、旬确认认、月结算算，

14、公用用工程进进行旬月月平衡，实现生生产监控控管理，满足生生产调度度的要求求，为EERP和和生产营营运指挥挥等系统提提供数据据支持；油品销售售企业使使用加油油卡系统统对所属属加油站站数据上上传情况况进行跟跟踪，督督促加油站及及时通讯讯，确保保数据及及时上送送。四、相关关制度目目录（制制度后标标号为内部控控制手册册配套规规章制度度汇编目录索索引号）1中国石石油化工工股份有有限公司司管理信信息系统统应用管管理办法法（试行行）（石石化股份份信2200663330号） -11.100.32 中中国石油油化工股股份有限限公司财财务信息息管理系系统系统统管理办办法（石石化股份份财信200031100号号）-22.6.43 中国石石化加油油卡系统统运行维维护管理理规定（石化股股份销信信200074444号） -22.144.202008年 B 11.49