2023年中糧生化信息系統(tǒng)管理制度

中糧生物化學（安徽）股份有限公司第二十一篇信息系統(tǒng)管理（ZＬSH／2１－1．0)目錄第一部分信息系統(tǒng)管理制度 1第一章概述 1第二章信息系統(tǒng)開發(fā)管理 3第三章信息系統(tǒng)運行與維護 4第四章附則 6第二部分信息系統(tǒng)建設(shè)流程 7第一章信息系統(tǒng)開發(fā) 7第二章信息系統(tǒng)運行與維護 20第一節(jié)IT資產(chǎn)管理 20第二節(jié)應用系統(tǒng)管理 25第三節(jié)應急響應管理 36第三部分信息系統(tǒng)管理細則 63（一）物聯(lián)網(wǎng)人員管理細則 63（二）糧食收購系統(tǒng)管理規(guī)定 68（三）安徽生化帳號安全管理規(guī)定 73（四）計算機用戶行為守則 76（五）計算機安全檢查標準 83（六）第三方與外包安全管理規(guī)定 85（七）ERP-NC系統(tǒng)管理規(guī)定 90第四部分信息系統(tǒng)管理業(yè)務表單 93第一部分信息系統(tǒng)管理制度第一章概述為了引導公司充足運用信息系統(tǒng)規(guī)范交易行為,提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準確性，減少人為因素導致內(nèi)部控制失效的也許性,形成良好的信息傳遞渠道,根據(jù)國家有關(guān)法律法規(guī)和《公司內(nèi)部控制基本規(guī)范》、《公司內(nèi)部控制應用指引》、《公司內(nèi)部控制評價指引》，制定本制度。本制度所稱計算機信息系統(tǒng)是指運用計算機技術(shù)對業(yè)務和信息進行集成解決的程序、數(shù)據(jù)和文檔等的總稱。公司運用信息系統(tǒng)實行至少應當關(guān)注下列風險：（一）信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)，也許遭受外部處罰、經(jīng)濟損失和信譽損失。（二）信息系統(tǒng)開發(fā)與使用未經(jīng)適當審核或超越授權(quán)審批，也許因重大差錯、舞弊、欺詐而導致?lián)p失。（三)信息系統(tǒng)設(shè)計功能不科學、維護與變更程序不規(guī)范,也許導致公司經(jīng)營管理效率與效果低下。(四)信息系統(tǒng)外包服務未恰當履行或監(jiān)控不妥,也許導致公司權(quán)益受損或違約損失。(五）信息系統(tǒng)訪問安全措施不妥,也許導致商業(yè)秘密泄露。(六)信息系統(tǒng)硬件管理不妥,也許導致資產(chǎn)或股東權(quán)益受損。公司在建立與實行信息系統(tǒng)內(nèi)部控制中，必須至少強化對下列關(guān)鍵方面或者關(guān)鍵環(huán)節(jié)的控制：（一)職責分工、權(quán)限范圍和審批程序必須明確規(guī)范,機構(gòu)設(shè)立和人員配備必須科學合理，重大信息系統(tǒng)開發(fā)與使用事項必須履行審批程序。(二）公司負責人對信息系統(tǒng)建設(shè)工作負責，信息系統(tǒng)開發(fā)、變更和維護流程必須清楚合理。（三）公司必須加強信息系統(tǒng)外包開發(fā)全過程的監(jiān)督管理，督促開發(fā)單位按照規(guī)定完畢工作，組織專業(yè)機構(gòu)進行檢查驗收,組織系統(tǒng)上線運營。(四）必須建立訪問安全制度,對操作權(quán)限、信息使用、信息管理進行明確規(guī)定。（五）硬件管理事項和審批程序必須科學合理。（六）信息系統(tǒng)管理業(yè)務中，執(zhí)行、審批、監(jiān)督、記錄的職責必須做到互相分離。公司信息管理部門職責：（二）負責信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)結(jié)果的驗收及系統(tǒng)使用情況反饋；（三)負責系統(tǒng)項目外委供應商的選擇、系統(tǒng)項目進度的跟蹤控制及驗收;(四）負責組織系統(tǒng)用戶培訓;（五)負責建立健全各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護和系統(tǒng)變更實行;(六)負責權(quán)限開設(shè)、變更或注銷申請審核、系統(tǒng)數(shù)據(jù)的備份以及監(jiān)督系統(tǒng)用戶的操作行為。第二章信息系統(tǒng)開發(fā)管理公司應根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案,明確建設(shè)目的、人員配備、職責分工、經(jīng)費保障和進度安排等相關(guān)內(nèi)容,按照規(guī)定的權(quán)限和程序?qū)徟髮嵭?。公司下屬子公司的信息化建設(shè)由公司信息管理部門統(tǒng)一規(guī)劃和審批。公司信息管理部門應組織內(nèi)部提出開發(fā)需求和關(guān)鍵控制點,規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計、編程、安裝調(diào)試、驗收、上線等全過程的管理規(guī)定,嚴格按照建設(shè)方案、開發(fā)流程和相關(guān)規(guī)定組織開發(fā)工作。公司開發(fā)信息系統(tǒng),可以采用自行開發(fā)、外購調(diào)試、業(yè)務外包等方式。公司在開發(fā)信息系統(tǒng)需選擇外包服務商時，要充足考慮服務商的市場信譽、資質(zhì)條件、財務狀況、服務能力、對本公司業(yè)務的熟悉限度、既往承包服務成功案例等因素,對外包服務商進行嚴格篩選。選定外購調(diào)試或業(yè)務外包方式的,根據(jù)公司招標管理制度的規(guī)定選擇采購方式，履行業(yè)務審批手續(xù)。公司信息管理部門應組織公司內(nèi)部各有關(guān)部門提出開發(fā)需求，加強系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務人員的交流,經(jīng)綜合分析提煉后形成合理的需求。信息管理部門應就總體設(shè)計方案與業(yè)務部門進行溝通和討論，說明方案對用戶需求的覆蓋情況；存在備選方案的,必須具體說明各方案在成本、建設(shè)時間和用戶需求響應上的差異；信息系統(tǒng)管理部門和業(yè)務部門應對選定的設(shè)計方案予以書面確認。公司開發(fā)信息系統(tǒng),應將生產(chǎn)經(jīng)營管理業(yè)務流程、關(guān)鍵控制點和解決規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。公司在系統(tǒng)開發(fā)過程中,應按照不同業(yè)務的控制規(guī)定,通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限,避免將不相容職責的解決權(quán)限授予同一用戶。信息管理部門應根據(jù)業(yè)務性質(zhì)、重要限度、涉密情況等擬定信息系統(tǒng)的安全等級,建立不同等級信息的授權(quán)使用制度，采用相應技術(shù)手段保證信息系統(tǒng)運營安全有序。對于信息系統(tǒng)的使用者和不同安全等級信息之間的授權(quán)關(guān)系,必須在系統(tǒng)開發(fā)建設(shè)階段就形成方案并加以設(shè)計，在軟件系統(tǒng)中預留這種相應關(guān)系的設(shè)立功能，以便根據(jù)使用者崗位職務的變遷進行調(diào)整。公司應針對不同數(shù)據(jù)的輸入方式，考慮對進入系統(tǒng)數(shù)據(jù)的檢查和校驗功能。對于必需的后臺操作，應加強管理，建立規(guī)范的流程制度，對操作情況進行監(jiān)控或者審計。公司應在信息系統(tǒng)中設(shè)立操作日記功能，保證操作的可審計性。對異常的或者違反內(nèi)部控制規(guī)定的交易和數(shù)據(jù),必須設(shè)計由系統(tǒng)自動報告并設(shè)立跟蹤解決機制。信息管理部門應加強信息系統(tǒng)開發(fā)全過程的跟蹤管理,組織開發(fā)單位與內(nèi)部的平常溝通和協(xié)調(diào),督促開發(fā)單位按照建設(shè)方案、計劃進度和質(zhì)量規(guī)定完畢編程工作，對配備的硬件設(shè)備和系統(tǒng)軟件進行檢查驗收,組織系統(tǒng)上線運營等。公司應組織獨立于開發(fā)單位的專業(yè)機構(gòu)對開發(fā)完畢的信息系統(tǒng)進行驗收測試,保證在功能、性能、控制規(guī)定和安全性等方面符合開發(fā)需求。驗收測試合格之后方可上線。公司應做好信息系統(tǒng)上線的各項準備工作，培訓業(yè)務操作和系統(tǒng)管理人員,制定科學的上線計劃和新舊系統(tǒng)轉(zhuǎn)換方案,考慮應急預案，保證新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還必須制定具體的數(shù)據(jù)遷移計劃。第三章信息系統(tǒng)運營與維護信息管理部門應加強信息系統(tǒng)運營與維護的管理，制定信息系統(tǒng)工作程序、制度及具體操作規(guī)范,及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運營中存在的問題，保證信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范連續(xù)穩(wěn)定運營。信息管理部門定期對信息系統(tǒng)進行維護和測試，并形成測試維護報告,以保證信息系統(tǒng)運營安全穩(wěn)定。公司委托專業(yè)機構(gòu)進行系統(tǒng)運營與維護管理的，必須嚴格審查其資質(zhì)條件、市場聲譽和信用狀況等,并與其簽訂正式的服務協(xié)議和保密協(xié)議。公司必須有效運用技術(shù)手段,對硬件配置調(diào)整、軟件參數(shù)修改嚴加控制，設(shè)立安全參數(shù),保證系統(tǒng)訪問安全。信息系統(tǒng)變更必須嚴格遵照管理流程進行操作。信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、修改等操作;不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置。公司信息管理部門必須根據(jù)業(yè)務性質(zhì)、重要性限度、涉密情況等擬定信息系統(tǒng)的安全等級,建立不同等級信息的授權(quán)使用制度，采用相應技術(shù)手段保證信息系統(tǒng)運營安全有序。公司必須建立信息系統(tǒng)安全保密和泄密責任追究制度。委托專業(yè)機構(gòu)進行系統(tǒng)運營與維護管理的，必須審查該機構(gòu)的資質(zhì)，并與其簽訂服務協(xié)議和保密協(xié)議。公司必須制定相應的密碼策略,保證公司用戶賬戶的安全。必須采用安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。公司必須建立用戶管理制度，加強對重要業(yè)務系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號,避免授權(quán)不妥或存在非授權(quán)賬號,嚴禁不相容職務用戶賬號的交叉操作。必須綜合運用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以及遠程訪問安全策略等手段,加強網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的襲擊和非法侵入。對于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù),必須采用加密措施，保證信息傳遞的保密性、準確性和完整性。建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、負責人、存放地點、有效性檢查等內(nèi)容。定期進行信息系統(tǒng)災備演練,并制定信息系統(tǒng)緊急預案,保證信息系統(tǒng)的安全。公司信息管理部門應加強機房管理,設(shè)立門禁制度，非機房工作人員因工作需要進入機房的必須做登記記錄。公司信息管理部門應加強服務器等關(guān)鍵信息設(shè)備的管理,建立良好的物理環(huán)境，指定專人負責檢查，及時解決異常情況。未經(jīng)授權(quán),任何人不得接觸關(guān)鍵信息設(shè)備。系統(tǒng)停止運營報廢后,必須將廢棄系統(tǒng)中有價值或者涉密的信息進行銷毀、轉(zhuǎn)移,妥善保管相關(guān)信息檔案。第四章附則本細則由信息管理部門負責解釋。本細則自下發(fā)之日起施行。第二部分信息系統(tǒng)建設(shè)流程第一章信息系統(tǒng)開發(fā)第一條目的為了加強、規(guī)范中糧生物化學（安徽)股份有限公司(以下簡稱“中糧生化”或“公司”）信息系統(tǒng)自行開發(fā)與系統(tǒng)項目(IＴ項目）的建設(shè)，有效規(guī)避信息系統(tǒng)自行開發(fā)與系統(tǒng)項目建設(shè)過程中的風險，特制訂本管理標準。第二條合用范圍本管理標準合用于公司及其下屬子公司。第三條定義范圍及術(shù)語計算機信息系統(tǒng):是指運用計算機技術(shù)對業(yè)務和信息進行集成解決的程序、數(shù)據(jù)和文檔等的總稱。信息系統(tǒng)開發(fā)：信息系統(tǒng)開發(fā)涉及信息系統(tǒng)內(nèi)部自行開發(fā)和信息系統(tǒng)項目外委開發(fā)。信息系統(tǒng)項目（IT項目）：是指公司機房、網(wǎng)絡(luò)、數(shù)據(jù)中心等基礎(chǔ)設(shè)施建設(shè)項目，內(nèi)部網(wǎng)、外部網(wǎng)、郵件、辦公自動化等基礎(chǔ)平臺建設(shè)項目,公司資源計劃（ERP)或財務、人力資源、生產(chǎn)、采購、庫存、物流、銷售及其他管理信息系統(tǒng)建設(shè)項目。第四條職責分工信息管理部門:負責信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)方案的制訂、實行、驗收及系統(tǒng)使用情況反饋;負責系統(tǒng)項目外委供應商的選擇、系統(tǒng)項目進度的跟蹤控制、系統(tǒng)項目的測試、上線及驗收；負責組織系統(tǒng)用戶培訓的實行;使用部門：負責提出系統(tǒng)開發(fā)需求申請、系統(tǒng)開發(fā)方案的審核確認；財務部:負責系統(tǒng)開發(fā)方案的審核。第五條業(yè)務流程(一）信息系統(tǒng)自行開發(fā)－-流程圖（二)信息系統(tǒng)自行開發(fā)－流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01業(yè)務部門根據(jù)業(yè)務需求,整理初步的需求文檔,并附有簽報紙。通過部門審批和該部門所在中心主任審批后，送至財務部信息主管審批。業(yè)務需求文檔簽報紙02財務部信息主管根據(jù)業(yè)務需求,結(jié)合現(xiàn)有系統(tǒng)應用情況和公司信息化規(guī)劃,審批是自行開發(fā)實行,還是外包(本流程重要針對自行開發(fā)實行設(shè)計)。并指定人員進行需求調(diào)研和方案設(shè)計。審核點：1.需求合理性;2.是否符合公司信息化規(guī)劃;３.系統(tǒng)間兼容性；4．開發(fā)對象安全影響。0３需求調(diào)研階段，根據(jù)業(yè)務部門初步需求進行具體調(diào)研，挖掘潛在需求,并對需求合理化。在數(shù)據(jù)庫設(shè)計中更要充足考慮數(shù)據(jù)庫安全性。具體需求文檔0４根據(jù)《具體需求文檔》設(shè)計開發(fā)實行方案,涉及工作量評估、開發(fā)周期和開發(fā)預算,信息主管審核方案可行無誤后，送至申請部門審核。開發(fā)實行方案0５申請部門對《開發(fā)設(shè)計方案》進行審核。審核點：1.開發(fā)方案是否滿足業(yè)務需求;2.系統(tǒng)設(shè)計的和諧性。批準后,申請部門部長審核簽字。06申請部門所在中心主任審批。０7財務部審核《開發(fā)設(shè)計方案》是否符合財務管控規(guī)定和預算的合理性。０8財務總監(jiān)審批。0９根據(jù)《開發(fā)設(shè)計方案》進行開發(fā),測試通過后，進行實行上線。10系統(tǒng)上線３個月后出具驗收報告。（三)信息系統(tǒng)項目-立項—流程圖(四)信息系統(tǒng)項目－立項—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01業(yè)務部門根據(jù)業(yè)務需求,整理初步的需求文檔,并附有簽報紙。通過部門審批和公司分管副總審批后，送至信息主管審批。業(yè)務需求文檔簽報紙02信息主管根據(jù)業(yè)務需求，結(jié)合現(xiàn)有系統(tǒng)應用情況和公司信息化規(guī)劃,審批是自行開發(fā)實行,還是外包(本流程重要針對外包設(shè)計)。并指定人員進行需求調(diào)研和方案設(shè)計。審核點:1.需求合理性;2．是否符合公司信息化規(guī)劃；3.系統(tǒng)間兼容性;4.開發(fā)對象安全影響。０3需求調(diào)研階段，根據(jù)業(yè)務部門初步需求進行具體調(diào)研，挖掘潛在需求，并對需求合理化。出具可《具體需求文檔》和《可行性分析報告》。具體需求文檔可行性分析報告０４根據(jù)《具體需求文檔》中的預算情況審核該項目是否在預算范圍內(nèi)。05根據(jù)《具體需求文檔》和《可行性分析報告》審核項目的可行性和對管理起到的提高作用，并對整個項目的預算加以審核控制。06結(jié)合公司信息化規(guī)劃審核項目的可行性和必要性。(五)信息系統(tǒng)項目-實行—流程圖（六）信息系統(tǒng)項目-實行—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01立項后,項目承包商的選擇應采用競爭性談判或競爭性邀標方式進行，具體規(guī)定信息管理部門按照《第三方與外包安全管理規(guī)定》來選擇擬定供應商。招標或談判記錄《第三方與外包安全管理規(guī)定》０２信息管理部門擬定供應商后,根據(jù)經(jīng)濟協(xié)議管理標準簽訂采購協(xié)議。03建立項目組，制度項目實行方案。開發(fā)原則：1.檢查所有的命令行參數(shù)２.檢查所有的系統(tǒng)調(diào)用參數(shù)和返回代碼3.擬定所有的緩存都被檢查過４.在變量的內(nèi)容被拷貝到本地緩存之前對變量進行邊界檢查5.檢查是否有后門帳戶及代碼6.內(nèi)部有做完整性檢查的代碼7.生成日記記錄，涉及日期、時間、進程號、終端信息、命令行參數(shù)、錯誤和主機名8.使核心程序盡也許小而簡樸9.用全途徑名做文獻參數(shù)10.檢查用戶的輸入,保證只有合規(guī)字符１1．使用會話加密來避免會話搶劫和隱藏驗證信息12．假如也許,靜態(tài)連接安全程序1３.當需要主機名時使用ＤNS逆向解釋14．在網(wǎng)絡(luò)服務程序里分散和限制過多的負載15.在網(wǎng)絡(luò)的讀和寫里放置適當?shù)某瑫r限制16.防止服務程序運營超過一個以上的拷貝１7.避免將文獻創(chuàng)建在所有人可寫的目錄里18.要設(shè)立信任的IP地址,可選用密碼算法驗證項目實行方案０４根據(jù)《項目實行方案》按環(huán)節(jié)的執(zhí)行。0５根據(jù)《項目實行方案》中制定的階段檢查階段性成果，并出具階段性驗收報告。階段性驗收報告06信息系統(tǒng)部署完畢后進行系統(tǒng)測試,涉及功能測試、壓力測試、性能測試、安全功能測試等,并出具《測試報告》。測試報告07組織系統(tǒng)用戶培訓，考試成績合格后方可有系統(tǒng)使用權(quán)。用戶培訓報告08系統(tǒng)靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)初始化。初始化數(shù)據(jù)表0９系統(tǒng)試運營，將真實業(yè)務在系統(tǒng)中運營,并編制試運營報告。試運營報告10系統(tǒng)試運營測試后,項目組編制上線計劃,系統(tǒng)上線正式運營。正式運營后對系統(tǒng)文檔進行維護管理,系統(tǒng)文檔由應用系統(tǒng)管理員統(tǒng)一管理。只有通過授權(quán)的人員才可以訪問文檔管理服務器。應用軟件開發(fā)的系統(tǒng)文檔涉及：需求分析文檔、需求審批文檔、概要設(shè)計文檔、安全設(shè)計文檔、具體設(shè)計文檔、各階段測試報告文檔、項目協(xié)議文檔,系統(tǒng)驗收文檔、系統(tǒng)上線文檔、項目變更文檔等。并附文檔清單《系統(tǒng)開發(fā)與維護文檔清單》。上線計劃、系統(tǒng)開發(fā)與維護文檔清單11項目驗收工作由項目經(jīng)理負責組織，使用單位和信息管理部門共同出具《驗收報告》。項目驗收時對于項目建設(shè)過程中涉及到的所有文檔、使用手冊和軟件介質(zhì)等相關(guān)資料要做好移交工作。文檔移交應作為項目驗收的重要內(nèi)容之一。驗收報告第六條風險控制矩陣風險編號風險描述控制目的控制活動編號控制活動控制記錄防止/檢查自動/人工責任部門財務報表認定財務報表科目1．存在/發(fā)生2.完整性3．準確性4.截止5．權(quán)利和義務6.計價和分攤7.列報和披露1234567２1.1－Ｒ1存在信息孤島現(xiàn)象，各系統(tǒng)各自為政，削弱了信息系統(tǒng)的協(xié)同效用,甚至引發(fā)系統(tǒng)沖突各系統(tǒng)模塊有效對接2１．１－CＡ１Ａ在信息化的過程中，需要將公司的各類資源如人員、設(shè)備、資金、組織機構(gòu)、物料等各種數(shù)據(jù)建立滿足系統(tǒng)應用的基礎(chǔ)數(shù)據(jù)庫,制定適合信息化數(shù)據(jù)傳遞的標準規(guī)范和各應用系統(tǒng)間的集成標準,保證數(shù)據(jù)的統(tǒng)一性和一致性,達成數(shù)據(jù)高度共享。防止自動信息管理部門２1.1-CA1B無論購買商品化軟件還是定向開發(fā),都應支持數(shù)據(jù)接口規(guī)范，保證應用系統(tǒng)的升級以及系統(tǒng)間的數(shù)據(jù)互換。防止自動信信息管理部門21．1-R２信息系統(tǒng)與公司業(yè)務需求相脫節(jié)，減少了信息系統(tǒng)的應用價值信息系統(tǒng)符合業(yè)務需求21.1-CA2A項目發(fā)起單位要向信息技術(shù)部門提交正式的、具體的需求報告，需求報告中要涉及具體的項目需求、范圍和時間進度等。系統(tǒng)開發(fā)需求報告防止人工信息管理部門21.１－CA2B需求報告通過信息管理部門初審后，項目的發(fā)起部門必須會同信息管理部門共同組建項目小組,項目小組進行項目可行性研究,編寫項目可研報告。可行性研究報告防止人工信息管理部門２１.1-CＡ2C項目小組形成項目可研報告提交公司信息主管領(lǐng)導審核。審核記錄防止人工信息管理部門２1.1－R3信息系統(tǒng)建設(shè)缺少項目計劃或者計劃不妥,導致項目進度滯后、費用超支、質(zhì)量低下信息系統(tǒng)開發(fā)過程得到有效控制２１.1－ＣA3項目小組制定項目實行概略方案,涉及項目實行進度、資質(zhì)審核，項目預算等信息內(nèi)容,并提交公司信息主管領(lǐng)導審核。項目實行概略方案防止人工信息管理部門21.１-R4系統(tǒng)開發(fā)技術(shù)上不可行、經(jīng)濟上成本效益倒掛系統(tǒng)開發(fā)符合技術(shù)經(jīng)濟效益２１.1-CA4項目小組需對信息系統(tǒng)開發(fā)進行項目可行性研究,編寫項目可研報告,對系統(tǒng)開發(fā)技術(shù)的可行性、經(jīng)濟效益等進行論證；可行性研究報告防止人工信息管理部門21.1-R5需求文檔表述不準確、不完整,未能真實全面地表達業(yè)務需求系統(tǒng)開發(fā)需求文檔準確21.1-CA5系統(tǒng)開發(fā)承包商對業(yè)務需求進行具體調(diào)研，在此基礎(chǔ)上進行需求文檔的編制，編制的需求文檔通過獨立于編制的人員的項目小組進行審核確認。需求文檔及其審核記錄防止人工信息管理部門２１.1-R6設(shè)計方案不全面、不能完全滿足用戶需求,不能實現(xiàn)需求文檔規(guī)定的目的設(shè)計方案符合需求21.1-CA6系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設(shè)計方案文檔,需要經(jīng)項目小組討論、審核確認。設(shè)計方案防止人工信息管理部門21.１-R7設(shè)計方案與公司內(nèi)部控制相脫節(jié),容易導致系統(tǒng)運營后衍生計算機舞弊風險設(shè)計方案符合需求21.1-CA7系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設(shè)計方案文檔,需要經(jīng)項目小組討論、審核確認。設(shè)計方案防止人工信息管理部門21．1-Ｒ8開發(fā)的系統(tǒng)測試不充足,也許存在系統(tǒng)運營隱患而不能及時有效糾正系統(tǒng)得到充足測實驗收21.1-ＣA８

項目驗收測試工作由項目經(jīng)理負責組織,由項目需求單位和信息管理部門雙方應具體說明分別進行系統(tǒng)的驗收測試工作,形成系統(tǒng)驗收測試報告或記錄。系統(tǒng)測試記錄防止人工信息管理部門21．1－R9缺少完整可行的上線計劃，導致系統(tǒng)上線混亂無序系統(tǒng)上線計劃合理２1.1-CA9A系統(tǒng)上線前，系統(tǒng)開發(fā)項目小組制定系統(tǒng)上線方案，報信息主管領(lǐng)導審批后才可上線。上線計劃方案防止人工信息管理部門21.1-CA9B項目組將制定系統(tǒng)上線計劃和方案,內(nèi)容涉及上線環(huán)節(jié)、時間、所需資源等；對于存在新舊系統(tǒng)割接的工程,還需涉及割接計劃、割接方案、回退方案等上線計劃方案防止人工信息管理部門2１．1-Ｒ１０業(yè)務人員不能對的使用系統(tǒng)，導致業(yè)務理錯誤,或者未能充足運用系統(tǒng)功能,導致開發(fā)成本浪費系統(tǒng)得到有效使用2１.1-CA1０A開發(fā)軟件在投入使用前，軟件開發(fā)商應對有關(guān)技術(shù)人員或業(yè)務操作人員進行技術(shù)和操作培訓。系統(tǒng)使用培訓記錄防止人工信息管理部門２1.1－CA10Ｂ2、各單位軟件操作人員必須按照軟件操作手冊（操作流程）操作。防止人工信息管理部門２1.1-R11系統(tǒng)開發(fā)外包服務商選擇不合理，也許會實行損害公司利益的自利行為,如偷工減料、放松管理、信息泄密等保證外包服務商選擇合理21．１-CＡ１1項目承包商的選擇采用競爭性談判或競爭性邀標方式進行。招標談判記錄防止人工信息管理部門21.1-R12服務外包協(xié)議條款不準確、不完善，也許導致公司的合法權(quán)益無法得到有效保障外包協(xié)議條款符合公司利益2１．１－ＣA1２系統(tǒng)開發(fā)服務外包協(xié)議通過法律部、財務部等職能部門的審核通過以后方可與承包商簽訂。外包服務協(xié)議及審核記錄防止人工信息管理部門21.1－R13外包服務跟蹤監(jiān)督不到位,也許導致外包服務質(zhì)量水平不能滿足公司信息系統(tǒng)開發(fā)需求外包服務質(zhì)量得到有效保證2１．1-CA13項目開發(fā)小組需根據(jù)項目承包方制訂的系統(tǒng)開發(fā)方案計劃定期或不定期對項目開發(fā)進度、效果進行監(jiān)督跟蹤評價,并向信息主管領(lǐng)導進行報告。檢查人工信息管理部門2１.１－Ｒ14軟件產(chǎn)品選型不妥，產(chǎn)品在功能、性能、易用性等方面無法滿足公司需求軟件產(chǎn)品符合業(yè)務需求2１.1-CＡ14軟件產(chǎn)品根據(jù)系統(tǒng)開發(fā)需求進行選型配置,軟件選型配置方案需通過信息主管審核審批;軟件產(chǎn)品采購時采用競爭性談判或競爭性邀標方式進行。招標談判記錄防止人工信息管理部門21.1-R15軟件供應商選擇不妥,產(chǎn)品的支持服務能力局限性，產(chǎn)品的后續(xù)升級缺少保障軟件產(chǎn)品符合業(yè)務需求2１．1-ＣA１5軟件供應商通過采用競爭性談判或競爭性邀標方式進行。招標談判記錄防止人工信息管理部門第二章信息系統(tǒng)運營與維護第一節(jié)ＩT資產(chǎn)管理第一條目的為了規(guī)范中糧生物化學（安徽)股份有限公司(以下簡稱“公司”)IT資產(chǎn)的選型、購置、使用、維護及報廢程序，有效控制IT資產(chǎn)的安全使用風險,特制訂本管理標準。第二條合用范圍本管理標準合用于公司及其下屬分子公司。第三條定義范圍及術(shù)語IT資產(chǎn):重要是指服務器、網(wǎng)絡(luò)設(shè)備、臺式機、筆記本電腦，打印機、傳真打印一體機、掃描儀等計算機外部設(shè)備,辦公所需的各類軟件等。第四條職責分工管理部門:負責ＩＴ資產(chǎn)需求選型、采購審核、ＩT資產(chǎn)使用操作與保管的檢查、ＩT資產(chǎn)平常調(diào)撥、ＩT資產(chǎn)報廢的鑒定和回收拆解運用以及IT資產(chǎn)平常維護及實物的臺賬管理;使用部門:負責IT資產(chǎn)采購需求的申請、ＩＴ資產(chǎn)使用操作與保管、IT資產(chǎn)調(diào)撥申請以及IT資產(chǎn)報廢的申請;采購部門:負責ＩＴ資產(chǎn)需求的采購、驗收、入賬及付款申請,質(zhì)保期內(nèi)協(xié)調(diào)供應商進行質(zhì)保服務。財務部：負責IT資產(chǎn)采購審核、入賬、付款,IT資產(chǎn)調(diào)撥、報廢的賬務解決,ＩT資產(chǎn)的財務臺賬管理；第五條業(yè)務流程（ＩＴ資產(chǎn)維護流程（比如信息處負責檢修－采購部進行耗材采購-業(yè)務部門進行領(lǐng)用-信息處負責更換及調(diào)試））（一）ＩT資產(chǎn)購置管理—流程圖(二）IT資產(chǎn)購置管理—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻０1需求申請部門根據(jù)實際業(yè)務需要，填寫《固定資產(chǎn)購置申請審核表》。固定資產(chǎn)購置申請表02申請部門部長審核意見,審核點：對資產(chǎn)購置的必要性、真實性進行審核03資產(chǎn)管理部門:1.核定申購的業(yè)務需求,增長電腦的必要性;2．公司資產(chǎn)情況，是否可以通過調(diào)劑的方式滿足需求;３．核定申購部門在平常使用過程中是否有不良使用記錄４.選型是否滿足業(yè)務需求。０4資產(chǎn)管理部門部長審批。05財務部審核：是否有采購預算；購置方案是否完整。06財務部部長審批。07申購部門所在中心主任簽字。08財務總監(jiān)審批0９購置固定資產(chǎn)均應簽訂協(xié)議固定資產(chǎn)采購協(xié)議１0驗收項目:１.核對固定資產(chǎn)實物與憑證所列數(shù)量是否一致;2.檢查所附備件是否齊全；3.察看設(shè)備性能是否良好;固定資產(chǎn)驗收單11固定資產(chǎn)到廠后，經(jīng)辦人應及時辦理固定資產(chǎn)的驗收入庫，并到財務部辦理發(fā)票入賬，如固定資產(chǎn)到廠當月發(fā)票未回的,應于當月末持固定資產(chǎn)入庫單、驗收單等到財務部辦理暫估入賬,發(fā)票返回后辦理正式的入賬手續(xù)。（三）IＴ資產(chǎn)變更管理—流程圖（四)IT資產(chǎn)管理—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01資產(chǎn)入庫后,采購部門告知申購部門辦理《固定資產(chǎn)移交表》,并根據(jù)ＥＲＰ-NC系統(tǒng)中的采購計劃制作領(lǐng)料單,打印《PER-NC領(lǐng)料單》領(lǐng)用手續(xù)進行領(lǐng)料。固定資產(chǎn)移交表NC領(lǐng)料單02申請部門部長審核,保證業(yè)務的真實性。固定資產(chǎn)移交表NC領(lǐng)料單03資產(chǎn)管理部門根據(jù)申購部門提供的完整手續(xù)做好IT固定資產(chǎn)實物臺賬的登記。04財務部負責IT資產(chǎn)財務解決,生成資產(chǎn)卡片。05資產(chǎn)使用部門負責資產(chǎn)實物的平常管理,部門負責人為資產(chǎn)的第一負責人,部門資產(chǎn)管理員負責記錄和調(diào)劑。1.因個人失誤導致IＴ固定資產(chǎn)損壞者,視其情節(jié)及ＩT固定資產(chǎn)價值擬定補償比例予以補償。2.導致IT固定資產(chǎn)丟失的,由財務部按資產(chǎn)折舊的現(xiàn)值予以補償。3．因不可抗力導致的損壞和丟失除外。4．具體補償比例由財務部進行解釋0６各部門因人員變動或組織機構(gòu)調(diào)整，閑置相關(guān)IＴ資產(chǎn)時，應需辦理相關(guān)手續(xù)將閑置IT資產(chǎn)移交予資產(chǎn)管理部門統(tǒng)一解決;子公司交予子公司財務部門解決。不得以因工作需要為名,私自進行IＴ資產(chǎn)調(diào)劑。的確因工作需要，需按照IT資產(chǎn)管理辦法進行調(diào)撥申請。填寫資產(chǎn)調(diào)撥申請表，通過調(diào)入部門、調(diào)出部門、資產(chǎn)管理部門、財務部審核。固定資產(chǎn)調(diào)撥申請表0７ＩＴ固定資產(chǎn)報廢時應將IT資產(chǎn)送至資產(chǎn)管理部門進行鑒定,申請部門填寫《辦公設(shè)備報廢申請單》。規(guī)定填寫項目：設(shè)備名稱、數(shù)量、設(shè)備編碼、規(guī)格型號、投運時間、應使用年限、安裝地點、制造廠家、供貨廠家、原值、累計折舊、減值準備、凈額。辦公設(shè)備報廢申請單08資產(chǎn)管理部門依據(jù)公司辦公資產(chǎn)報廢標準進行報廢鑒定辦公設(shè)備報廢申請單09由資產(chǎn)管理部門進行報廢鑒定,報部門領(lǐng)導審核。辦公設(shè)備報廢申請單１0財務部根據(jù)財務帳復核資產(chǎn)原值、凈值等財務信息準確性。辦公設(shè)備報廢申請單11依據(jù)公司辦公資產(chǎn)報廢標準，財務部部長批準后進行賬務解決；辦公設(shè)備報廢申請單12依據(jù)公司辦公資產(chǎn)報廢標準，經(jīng)財務部部長、財務總監(jiān)、總經(jīng)理審批;辦公設(shè)備報廢申請單1３報廢ＩT固定資產(chǎn)交由資產(chǎn)管理部門統(tǒng)一保管,統(tǒng)一由資產(chǎn)處置部進行解決,嚴禁任何部門或個人私自解決。辦公設(shè)備報廢申請單第二節(jié)應用系統(tǒng)管理第一條目的為了加強中糧生物化學(安徽）股份有限公司各信息系統(tǒng)規(guī)范使用和運營,提高系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性、準確性，保證業(yè)務正常運營，提高效率，特制定本管理標準。第二條合用范圍本管理標準合用于中糧生物化學（安徽）股份有限公司及子公司。第三條定義范圍及術(shù)語EＲP－NC系統(tǒng):是公司規(guī)范財務、供應鏈一體化的管理系統(tǒng)，是公司供應鏈和財務等部門解決業(yè)務的平臺。糧食收購信息化系統(tǒng):是保障公司原糧收購高效、準確便捷的有效途徑,對涉及部門實行歸口管理。關(guān)鍵硬件：指重要網(wǎng)絡(luò)設(shè)備、服務器、存儲設(shè)備等關(guān)鍵軟件:指網(wǎng)絡(luò)管理軟件、各業(yè)務系統(tǒng)、管理信息系統(tǒng)等相關(guān)軟件。系統(tǒng)變更：指需求變更、程序修補、數(shù)據(jù)維護等涉及系統(tǒng)改變的活動。1）需求變更類：現(xiàn)有業(yè)務變化、新的業(yè)務需求、或業(yè)務流程、業(yè)務參數(shù)發(fā)生變化；2)程序修補類:發(fā)現(xiàn)的系統(tǒng)錯誤，需要進行修改;3)數(shù)據(jù)維護類：對數(shù)據(jù)進行新增、修改、刪除;４）其它類：未包含在上述類別,但是涉及系統(tǒng)改變的變更。第四條職責分工信息管理部門:負責制定各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護和系統(tǒng)變更實行；負責權(quán)限開設(shè)、變更或注銷申請審核；系統(tǒng)數(shù)據(jù)的備份以及監(jiān)督系統(tǒng)用戶的操作行為。業(yè)務部門：負責信息系統(tǒng)的規(guī)范操作和使用，提出系統(tǒng)維護需求和系統(tǒng)變更需求及系統(tǒng)權(quán)限變更的申請。第五條業(yè)務流程(一)應用系統(tǒng)運營與維護—流程圖(二）應用系統(tǒng)運營與維護—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01信息管理部門制定各應用系統(tǒng)管理規(guī)定,涉及《ＥRＰ－NＣ系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》、《ERP-NＣ具體操作手冊》等?！禘RＰ-ＮC系統(tǒng)管理規(guī)定》()、《糧食收購系統(tǒng)管理規(guī)定（)》、《ERP－NC具體操作手冊》等０2各部門需按照《ＥRP－NC系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》執(zhí)行。０3各部門在應用操作系統(tǒng)時碰到自行不可解決的問題時,應及時向信息管理部門提出系統(tǒng)的維護需求。04信息管理部門在接受到用戶提出的運營維護需求時提供專業(yè)技術(shù)支持，超過公司信息管理部門內(nèi)部專業(yè)技術(shù)人員能力時,依照《第三方與外包安全管理規(guī)定》通過聘請外部第三方進行技術(shù)解決?！兜谌脚c外包安全管理規(guī)定》0５業(yè)務部門提出應用系統(tǒng)的變更時,必須由申請部門提交書面變更申請，填寫《應用系統(tǒng)變更申請表》,報送信息管理部門審批，申請表單必須打印存檔,期限為一年。涉及數(shù)據(jù)維護的變更(涉及新增、修改、刪除等操作)，業(yè)務操作人員需填寫《應用系統(tǒng)變更申請表》，提交給應用系統(tǒng)管理員審批。應用系統(tǒng)變更申請表06信息管理部門對業(yè)務部門提出的應用系統(tǒng)變更申請進行審批。０7系統(tǒng)變更方案審批通過后，系統(tǒng)承建部門組織實行方制訂變更方案，變更方案中包含回退方案。若在執(zhí)行變更過程中出現(xiàn)意外,要按照回退方案退回到轉(zhuǎn)換前的系統(tǒng)狀態(tài)。若無法回退，應通過備份磁帶恢復原系統(tǒng)。08系統(tǒng)承建部門實行測試。通過后，由應用系統(tǒng)管理員對系統(tǒng)數(shù)據(jù)進行變更操作。針對外包軟件,開發(fā)商需要擁有臨時應用系統(tǒng)的用戶名及口令。進行系統(tǒng)故障解決、檢查等操作時,要先取得授權(quán),并由應用系統(tǒng)管理員對其訪問進行監(jiān)督，并在訪問結(jié)束后及時取消帳號,具體內(nèi)容參見《第三方和外包安全管理規(guī)定》。系統(tǒng)變更測試記錄《第三方和外包安全管理規(guī)定》。0９系統(tǒng)變更通過驗收試運營無端障時由業(yè)務部門進行應用系統(tǒng)操作與維護。（三)信息系統(tǒng)權(quán)限管理—流程圖(四)信息系統(tǒng)權(quán)限管理—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻0１權(quán)限申請人根據(jù)系統(tǒng)類型和權(quán)限開設(shè)類別，依據(jù)《賬號安全管理規(guī)定》在OA系統(tǒng)中找到相應的權(quán)限申請單，填寫送審審核。信息化系統(tǒng)使用申請表、帳號管理變更申請表、離職人員會簽單《賬號安全管理規(guī)定》0２權(quán)限部門內(nèi)部負責人對權(quán)限開設(shè)、變更或刪除進行審核。０3與權(quán)限涉及的相關(guān)部門對系統(tǒng)權(quán)限涉及的工作分工職責審核，判斷是否給予該權(quán)限。04信息管理部門信息主管對權(quán)限申請進行審批。0５系統(tǒng)管理員根據(jù)審批的權(quán)限依據(jù)《賬號安全管理規(guī)定》進行新增權(quán)限開設(shè)、變更或刪除?！顿~號安全管理規(guī)定》０6權(quán)限使用用戶需依據(jù)《賬號安全管理規(guī)定》進行合理操作使用權(quán)限,維護好賬號和登陸口令信息,防止被非權(quán)限用戶獲取。０7系統(tǒng)管理員需依據(jù)《賬號安全管理規(guī)定》和《計算機安全檢查標準》定期對系統(tǒng)用戶的權(quán)限使用情況進行檢查,填寫《系統(tǒng)帳號檢查表》。系統(tǒng)帳號檢查表《賬號安全管理規(guī)定》、《計算機安全檢查標準》(五）計算機用戶管理－-流程圖（六）計算機用戶管理--流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01公司信息管理部門根據(jù)公司內(nèi)部網(wǎng)絡(luò)布局和業(yè)務需求，制定《計算機用戶行為守冊》。《計算機用戶行為守冊》０2各個業(yè)務部門的系統(tǒng)使用用戶對進入公司內(nèi)網(wǎng)的計算機按照《計算機用戶行為守冊》進行管理和控制?！队嬎銠C用戶行為守冊》0３公司信息管理部門運用計算機終端管理軟件監(jiān)測用戶行為，并于每月根據(jù)《計算機用戶行為守冊》和《計算機安全檢查標準》組織一次公司范圍的計算機系統(tǒng)使用檢查?！队嬎銠C用戶行為守冊》、《計算機安全檢查標準》04公司信息管理部門對違反《計算機用戶行為手冊》的用戶進行記錄,根據(jù)《計算機用戶行為守冊》進行通報整改和實行相應的處罰。用戶行為檢查記錄《計算機用戶行為守冊》(七)系統(tǒng)數(shù)據(jù)備份—流程圖（八）系統(tǒng)數(shù)據(jù)備份—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01公司信息管理部門根據(jù)系統(tǒng)類型制定數(shù)據(jù)備份策略方案。系統(tǒng)數(shù)據(jù)備份方案02對于重要的業(yè)務系統(tǒng)重要數(shù)據(jù)或數(shù)據(jù)庫規(guī)定每日做一至二次本機和異地備份.且每月備份數(shù)據(jù)要刻成光盤,有專人負責保管。03公司信息管理部門需抽取數(shù)據(jù)備份樣表恢復,校驗數(shù)據(jù)的完整性。服務器系統(tǒng)必需有備份,以防系統(tǒng)中毒或崩潰等異常情況發(fā)生時的緊急解決之用。常用的業(yè)務系統(tǒng),要有臨時替代系統(tǒng),一方面作為測試用，另一方面作為正式系統(tǒng)出現(xiàn)異常的應緊之需。0４系統(tǒng)備份的數(shù)據(jù)需定期移交檔案管理部門存檔。數(shù)據(jù)移交記錄第三節(jié)應急響應管理第一條目的為規(guī)范中糧生物化學(安徽)股份有限公司(以下簡稱“公司”)各類信息安全事件的管理，保證信息系統(tǒng)故障得到及時有效的跟蹤、控制和解決,加強對信息安全事件的預警通報機制，保障業(yè)務系統(tǒng)的安全運營，制定本管理標準。第二條合用范圍本管理標準合用于公司及下屬分子公司職能部門的信息安全事件應急響應管理。第三條定義范圍及術(shù)語應急類型:自然或人為及軟硬件故障或缺陷對信息系統(tǒng)導致危害的事件。設(shè)備類突發(fā)事件：由于各種因素對網(wǎng)絡(luò)中的機房、通信線路、服務器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備導致破壞,以致引起設(shè)備類突發(fā)事件。信息系統(tǒng)類突發(fā)事件：由于各種因素對網(wǎng)絡(luò)中的應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、以及軟盤、硬盤、光盤、磁帶等介質(zhì)存儲的數(shù)據(jù)等導致破壞，以致引起信息系統(tǒng)類突發(fā)事件。第四條職責分工信息安全領(lǐng)導小組：負責重大、較大安全事件發(fā)生后的全局指揮協(xié)調(diào)，安全事件的調(diào)查、善后工作及提出處置意見和相關(guān)獎懲建議。信息安全應急響應小組：信息安全事件解決的技術(shù)支撐單位，負責組織解決重大、較大信息安全事件。信息安全應急響應小組成員涉及公司信息化分管領(lǐng)導、信息化分管經(jīng)理、業(yè)務環(huán)節(jié)部門分管經(jīng)理、設(shè)備網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務信息化聯(lián)系人。業(yè)務信息化聯(lián)系人:負責上報本部門的安全事件,應急業(yè)務流程設(shè)計,應急事件的協(xié)調(diào)和解決,匯總事件解決報告，總結(jié)經(jīng)驗。系統(tǒng)管理員：負責應用系統(tǒng)安全事件的解決，具體涉及：安全事件分析、應急業(yè)務流程設(shè)計、信息數(shù)據(jù)和系統(tǒng)恢復、安全事項報告等。信息及業(yè)務分管經(jīng)理:負責組織安全事件會議，協(xié)調(diào)業(yè)務環(huán)節(jié)安全事件業(yè)務,應急業(yè)務流程審核,協(xié)調(diào)業(yè)務部與信息部門在應急事件發(fā)生過程中的工作配合。第五條應急方案(一)ERP系統(tǒng)應急方案1.總則1.1編制目的EＲP系統(tǒng)作為公司級的業(yè)務解決系統(tǒng),一旦因各種因素意外中斷，對業(yè)務解決影響重大。應急解決的目的在于指導各部門操作EＲP系統(tǒng)的業(yè)務人員(即ERＰ最終用戶),如何應對系統(tǒng)的意外中斷，以及如何在系統(tǒng)恢復后進行數(shù)據(jù)補全。由于系統(tǒng)的集成性，需要各操作崗位協(xié)作完畢。1．２合用范圍本文內(nèi)容針對操作ＥＲP系統(tǒng)的業(yè)務人員及其部門領(lǐng)導。1.３應急工作原則業(yè)務部門要根據(jù)EＲP系統(tǒng)應急方案，各負其責,登記業(yè)務運營數(shù)據(jù)并保證業(yè)務穩(wěn)定運營。ERＰ系統(tǒng)恢復運營后,業(yè)務部門補錄業(yè)務數(shù)據(jù)至系統(tǒng),保證系統(tǒng)數(shù)據(jù)一致性。前提條件。應急計劃是針對EＲＰ系統(tǒng)因意外因素不能被最終用戶正常訪問的情況，即EＲP服務器系統(tǒng)停機/中斷，或網(wǎng)絡(luò)中斷的情況(涉及并行期間）,并且該情況連續(xù)超過業(yè)務連續(xù)性所允許的范圍,如超過1個工作日。同時本計劃也可作為計劃停機情況時，最終用戶的參考。根據(jù)財務憑證及報表須打印并歸檔保存的原則，所有財務憑證應每周打印并歸檔;所有財務報表應在其生成時打印并歸檔。財務主數(shù)據(jù)應于每二周從ERＰ系統(tǒng)下載,并以電子文檔形式保存在用戶本地。業(yè)務部門應于每周二次從ERＰ系統(tǒng)下載庫存狀態(tài)分析報表,并以電子文檔形式保存在用戶本地。3、緊急情況核定ERP最終用戶在發(fā)現(xiàn)自己不能正常使用操作ＥＲＰ系統(tǒng)時,應及時聯(lián)系中糧生化信息人員以解決問題。在相關(guān)信息人員確認為ERP服務器系統(tǒng)問題或網(wǎng)絡(luò)問題導致最終用戶暫時不能正常使用操作ERP后,業(yè)務部門最終用戶應根據(jù)技術(shù)支持人員提供的預計問題連續(xù)時間，考慮啟動應急計劃。若信息人員暫時無法預計問題連續(xù)時間,則業(yè)務部門最終用戶應按超過1個工作日的問題連續(xù)時間啟動應急計劃。４、業(yè)務部門應急措施在意外情況發(fā)生時,ERP最終用戶應針對需要使用操作ERP的業(yè)務情景采用以下措施:４．１財務(ＦI/ＣO)業(yè)務情景創(chuàng)建/變更主數(shù)據(jù)ERP中斷情況下應急環(huán)節(jié)EＲP恢復后補錄環(huán)節(jié)適應業(yè)務情景在用戶本地財務主數(shù)據(jù)電子文檔中記錄主數(shù)據(jù)的增減或變更,并注明該記錄需在ERP系統(tǒng)中補錄;將線外財務主數(shù)據(jù)電子文檔中注明有待在ERＰ系統(tǒng)中補錄的記錄主數(shù)據(jù)補錄入ＥRP,并取消電子文檔中需補錄標記；下載新主數(shù)據(jù)，并保存于線外的主數(shù)據(jù)電子文檔;以下主數(shù)據(jù)的創(chuàng)建/修改：總帳科目客戶供應商資產(chǎn)手工入帳ＥＲＰ中斷情況下應急環(huán)節(jié)ERＰ恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)原始憑證在《通用格式會計帳冊》中以手工帳的形式記錄業(yè)務信息，并注明該記錄需在ERP系統(tǒng)中補錄;原始憑證各聯(lián)在不同業(yè)務部門間的流轉(zhuǎn)與正常情況相同；將需在ERP系統(tǒng)中補錄的會計記錄補錄入ERP，并取消電子文檔中需補錄標記；在原始憑證上注明記帳日期；打印補錄的憑證并歸檔保存；以下手工入帳:收款報銷付款提取備用金資產(chǎn)折舊，等系統(tǒng)自動生成憑證ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)來自其它業(yè)務部門的原始憑證以手工帳的形式記錄業(yè)務信息,并注明該記錄需在EＲP系統(tǒng)中補錄;原始憑證各聯(lián)在不同業(yè)務部門間的流轉(zhuǎn)與正常情況相同；待相關(guān)業(yè)務部門將其業(yè)務數(shù)據(jù)補錄入EＲP,由系統(tǒng)自動生成憑證;根據(jù)原始憑證，核對系統(tǒng)自動生成的;憑證，在原始憑證上注明記帳日期，并保證所有憑證都準確完整的補錄入ＥＲP；打印補錄的憑證并歸檔保存;來自物料,銷售,設(shè)備維護及物資供應的由ERＰ系統(tǒng)自動生成的業(yè)務數(shù)據(jù)期末結(jié)帳ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景ERP在本月內(nèi)恢復運營ERP跨月恢復運營根據(jù)原始憑證及手工帳形式記錄的業(yè)務信息,做期末結(jié)賬;ＥRＰ系統(tǒng)恢復后,檢查并保證ＥRＰ所開的賬期為系統(tǒng)中斷發(fā)生時的賬期,并告知各業(yè)務部門補錄該賬期的數(shù)據(jù);監(jiān)督、核對業(yè)務部門補錄數(shù)據(jù)的對的性、完整性;業(yè)務部門數(shù)據(jù)補錄完畢后,財務結(jié)賬;ERP系統(tǒng)恢復后,檢查并保證ERＰ所開的賬期為系統(tǒng)中斷發(fā)生時的賬期，并告知各業(yè)務部門補錄該賬期的數(shù)據(jù)；監(jiān)督、核對業(yè)務部門補錄數(shù)據(jù)的對的性、完整性;業(yè)務部門數(shù)據(jù)補錄完畢后，財務結(jié)賬;財務結(jié)帳后告知業(yè)務部門補錄下一個賬期的數(shù)據(jù);依此反復以上環(huán)節(jié)直至所有月結(jié)/年結(jié)完整準確補錄入ERP；月結(jié)，年結(jié)生成財務報表ERP中斷情況下應急環(huán)節(jié)ＥRP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)打印歸檔的上期財務報表,本期所有原始憑證及以手工帳形式記錄的業(yè)務信息,生成本期財務報表檢查業(yè)務部門系統(tǒng)數(shù)據(jù)補錄情況；業(yè)務數(shù)據(jù)補錄完畢后,由系統(tǒng)自動生成財務報表；將系統(tǒng)自動生成的財務報表與手工生成的財務報表核對，保證報表信息的準確完整打印系統(tǒng)自動生成的財務報表并歸檔；系統(tǒng)自動生成的財務報表４．２銷售(So）業(yè)務情景開具提單（訂單)ERP中斷情況下應急環(huán)節(jié)ＥRP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫提單（訂單);在提單（訂單)上注明該提單(訂單）需手工補錄入EＲP;打印提單(訂單)并在不同部門間的流轉(zhuǎn);將手工開具的提單(訂單）補錄入ＥRP;告知其它相關(guān)部門提單補輸入完畢；開提單(訂單)開具出廠憑據(jù)(發(fā)貨單)ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫出廠憑據(jù)；在出廠憑據(jù)上注明該出廠票有待手工補錄入ERP;出廠憑據(jù)各聯(lián)在不同部門間的流轉(zhuǎn)與正常情況相同;將手工開立的出廠憑據(jù)錄入ＥRP;告知其它相關(guān)部門出廠憑據(jù)補錄完畢;開出廠憑據(jù)開具發(fā)票ERP中斷情況下應急環(huán)節(jié)EＲP恢復后補錄環(huán)節(jié)適應業(yè)務情景暫停開具發(fā)票根據(jù)ERP系統(tǒng)生成的發(fā)貨單,使用ERＰ開立并打印發(fā)票;發(fā)票各聯(lián)在不同部門間的流轉(zhuǎn)與正常情況相同；開發(fā)票4.3物料管理(ＰＯ)業(yè)務情景創(chuàng)建需求計劃ＥＲP中斷情況下應急環(huán)節(jié)ERＰ恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫業(yè)務需求計劃,并注明該計劃需補錄入ERP;需求計劃在各部門的流轉(zhuǎn)與正常情況相同;根據(jù)業(yè)務部門需求計劃在ERP中創(chuàng)建需求申請單;告知其它相關(guān)部門需求計劃補錄完畢;創(chuàng)建物資需求申請單創(chuàng)建采購訂單ERP中斷情況下應急環(huán)節(jié)EＲP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)業(yè)務部門采購計劃收貨,并注明該計劃需補錄入ERP；創(chuàng)建采購協(xié)議；采購協(xié)議在各部門的流轉(zhuǎn)與正常情況相同;根據(jù)業(yè)務部門采購計劃在ERP中創(chuàng)建采購訂單;告知其它相關(guān)部門采購訂單補錄完畢;創(chuàng)建采購訂單庫存記錄ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景保存存貨出入庫信息報表,并注明該信息需補錄入ＥRP報表在各部門間的流轉(zhuǎn)與正常情況相同；根據(jù)待補錄的信息報表輸入ERP;告知其它相關(guān)部門庫存移動或產(chǎn)成品信息補輸入完畢;庫存移動，產(chǎn)成品信息輸入4.4物資供應（ＭRO）業(yè)務情景入庫/出庫ERＰ中斷情況下應急環(huán)節(jié)ＥRP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫物資領(lǐng)料單或從其它部門接受手工填寫的領(lǐng)料單,發(fā)送或接受物資，并注明物資領(lǐng)料單需補錄入ＥRＰ；根據(jù)手工填寫的物資領(lǐng)料單，在ＥＲP中補錄入物資入庫/出庫記錄;根據(jù)從其它部門接受的手工填寫的領(lǐng)料單,在EＲP中核算物資入庫／出庫記錄；告知其它相關(guān)部門物資入庫/出庫記錄補輸入完畢;收貨,發(fā)貨，設(shè)備維護領(lǐng)料庫存查詢ERP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)最新下載的庫存狀態(tài)分析報表查詢庫存信息待所有物資入庫/出庫信息所有補錄完畢后,下載最新的庫存信息并保存為用戶本地文獻庫存查詢采購計劃EＲP中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)最新下載的庫存狀態(tài)數(shù)據(jù)查詢庫存信息，制定采購計劃，并用本地文獻記錄;將本地文獻記錄的采購計劃補錄入ERP;制定采購計劃采購協(xié)議ERＰ中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工生成采購協(xié)議，并注明該協(xié)議需補錄入ＥRP；將手工生成的采購協(xié)議補錄入ERＰ創(chuàng)建采購訂單（不通過總部的本公司的采購）領(lǐng)料ERＰ中斷情況下應急環(huán)節(jié)ERP恢復后補錄環(huán)節(jié)適應業(yè)務情景手工填寫領(lǐng)料計劃表，并注明該領(lǐng)料計劃需補錄入ERP;憑領(lǐng)料計劃標到物資部門領(lǐng)料；領(lǐng)料計劃表在不同部門的流轉(zhuǎn)與正常情況相同；待相關(guān)工單在ERP中補錄完畢,并檢查核對保證系統(tǒng)數(shù)據(jù)準確無誤;告知其它相關(guān)部門領(lǐng)料信息補錄完畢;領(lǐng)料5．應急小組組成及職責5.1應急小組組成組長:張強副組長：李鳳成員:張宏5.2應急小組職責５.2．1適時宣布啟用EＲP系統(tǒng)緊急應急方案。５.2.2及時確診EＲP系統(tǒng)突發(fā)事件問題源并妥善解決解決。5．2．3協(xié)助業(yè)務部門補錄EＲＰ系統(tǒng)數(shù)據(jù)，提供技術(shù)支持。5.２.４記錄突發(fā)事件問題源、解決方案，同時完善巡檢方案。5.3應急小組人員聯(lián)系電話職務姓名手機所在部門及職務組長張強事業(yè)部IT部經(jīng)理副組長李鳳安徽生化信息處處長成員張宏事業(yè)部IT部專員(二)計算機機房應急預案1總則1.１編制目的為保證公司機房安全與穩(wěn)定，以保證正常運營為宗旨,按照“防止為主，積極處置”的原則，本著建立一個有效處置突發(fā)事件，建立統(tǒng)一指揮、職責明確運轉(zhuǎn)有序、反映迅速處置有力的機房安全體系的目的,特制定本預案。1.2合用范圍本預案合用于安徽生化核心計算機機房。2機房平常維護2.1建立健全機房管理制度2．1.1在正常工作日內(nèi)，信息管理部門人員負責對機房進行監(jiān)控,重要職責是:巡視網(wǎng)絡(luò)設(shè)備及系統(tǒng)的運營情況，發(fā)生異常情況及時解決，消除網(wǎng)絡(luò)故障隱患。2.1．2節(jié)假日期間信息管理部門人員輪流值班,負責解決有關(guān)異常情況。２.１.３機房采用進出登記制度，未經(jīng)允許,無關(guān)人員不得進入公司機房區(qū)域。2．２機房內(nèi)嚴格采用防雷、防火、防塵、防靜電等措施以及機房入口處2４小時監(jiān)控錄像等措施。2.3認真做好數(shù)據(jù)備份工作,定期備份數(shù)據(jù)庫,每月檢查服務器運營和備份情況。2.4信息管理部門對機房的重要網(wǎng)絡(luò)設(shè)備（路由器、互換機等）進行監(jiān)控,發(fā)現(xiàn)異常情況應及時進行解決,保證整個公司網(wǎng)絡(luò)的正常運營。３機房突發(fā)事件應急處置方案3.1電源系統(tǒng)應急預案3.1.1定期檢查機房供電設(shè)備的運營狀況和電路線纜情況，當發(fā)生下列突發(fā)事件時,按照以下方案進行處置:3.1.2當機房發(fā)生停電或是電源異常時。一方面應與相關(guān)人員聯(lián)系確認正常停電以及預計停電時間。檢查不間斷電源的電池可供電時間，保證設(shè)備正常運營，如碰到忽然斷電，應及時將空調(diào)等不在UPS電源供電范圍內(nèi)的設(shè)備及時斷電，防止忽然來電時瞬間電流過大導致設(shè)備損壞等現(xiàn)象。3.１．3當擬定停電時間超過機房UPS承載范圍后,一方面擬定停電的范圍以及受影響的設(shè)備范圍。并及時告知各部門做好停電應急準備。然后告知機房管理人員和系統(tǒng)管理人員到達現(xiàn)場,做好各設(shè)備的電源停電準備。在UPS供電電量僅剩１０%之后，嚴格按操作手冊停掉各服務器的電源,最后停核心互換機和路由器,等待電力恢復。3.1.４當擬定停電因素是在自身供電系統(tǒng)范圍內(nèi)，立即報告給負責領(lǐng)導，并及時聯(lián)系相關(guān)維護人員達成現(xiàn)場檢修。對于恢復時間無法預計的,要及時告知各部門做好停電應急準備。３.1.5恢復供電后，嚴格按照操作程序逐步恢復機房設(shè)備和UＰS的供電,以防瞬間電流過大導致設(shè)備損壞。3.2網(wǎng)絡(luò)和服務器絡(luò)系統(tǒng)應急預案3．２.1發(fā)生網(wǎng)絡(luò)故障時，一方面檢查機房設(shè)備情況,擬定網(wǎng)絡(luò)故障的因素。3.2．2確認因素后，一方面啟動備用線路和設(shè)備，保證網(wǎng)絡(luò)的正常運營。然后聯(lián)系網(wǎng)絡(luò)管理人員，及時解決和排除故障。3.2．３當確認短時間無法恢復時,應當及時向負責領(lǐng)導報告。然后告知各部門做好應急準備。然后再聯(lián)系維護人員,及時解決故障。3.２.4當人為或病毒破壞的故障發(fā)生時,具體按以下順序進行：判斷破壞的來源及性質(zhì)，斷開影響安全與穩(wěn)定的設(shè)備,斷開與破壞來源的物理網(wǎng)絡(luò)連接,跟蹤并鎖定破壞的來源和其他網(wǎng)絡(luò)用戶信息,修復被破壞的信息，恢復系統(tǒng)。3.2．5發(fā)生服務器系統(tǒng)故障后,應立即電話向相關(guān)領(lǐng)導報告情況,及時組織啟動備份服務器系統(tǒng)，由備份服務器接管相關(guān)業(yè)務應用，同時安排人員將故障服務器脫離網(wǎng)絡(luò),保存系統(tǒng)狀態(tài)不變,保護原始數(shù)據(jù)。在確認安全的情況下,重新啟動故障服務系統(tǒng)：若重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，運用備份數(shù)據(jù)恢復；若重啟失敗,立即相關(guān)技術(shù)人及時解決。處置結(jié)束后，技術(shù)人員應將解決過程記錄下來，以方便日后對此問題的解決。3．3消防和防雷應急預案3．3.1上班工作時間發(fā)生火警，機房中工作的人員應及時緊急撤離,并立刻撥打1１９報警。在保證自身安全的情況下,應盡量使用滅火器進行滅火,減少電子設(shè)備的損壞。同時采用關(guān)閉電源總閘等措施,盡量減少也許導致的損失和破壞。 3.３.2非工作時間或節(jié)假日休息時間值班人員發(fā)現(xiàn)火情后，要立刻撥打１1９報警，并立刻告知相關(guān)部門和領(lǐng)導,做好火災的處置工作。?3.３．3火情結(jié)束之后,機房相關(guān)人員應全體趕赴現(xiàn)場，并向負責領(lǐng)導報告。同時立即聯(lián)系相關(guān)單位,及時評估事故損失情況，研討恢復網(wǎng)絡(luò)系統(tǒng)正常運營的最佳解決方案。3.4自然災害應急預案3.４.1發(fā)生自然災害后,一方面應當組織人員撤離現(xiàn)場。當確認災害不會導致人員傷害后，在回到機房檢查設(shè)備,立刻向上級領(lǐng)導報告,并聯(lián)系相關(guān)網(wǎng)絡(luò)和設(shè)備廠家,積極做好災后恢復工作，保證在最短時間內(nèi)恢復機房正常運營。（三)原糧系統(tǒng)緊急應急方案1.目的原糧系統(tǒng)作為公司級的業(yè)務解決系統(tǒng)，其一旦因各種因素意外中斷，對業(yè)務解決影響重大。應急解決的目的在于指導各部門的使用操作系統(tǒng)的業(yè)務人員(即原糧系統(tǒng)最終用戶),如何應對系統(tǒng)的意外中斷,以及如何在系統(tǒng)恢復后進行數(shù)據(jù)補全。由于系統(tǒng)的集成性,很多工作需要各操作崗位協(xié)作完畢。本計劃重要涉及以下問題：一旦發(fā)現(xiàn)不能進行原糧系統(tǒng)的正常操作，最終用戶一方面應當如何操作？根據(jù)業(yè)務解決的連續(xù)性規(guī)定,在原糧系統(tǒng)中斷的情況下，如何解決業(yè)務?在原糧系統(tǒng)恢復運營以后,最終用戶應當如何操作以保證原糧中數(shù)據(jù)的準確和完整？2、范圍本文內(nèi)容針對使用操作原糧系統(tǒng)的業(yè)務人員及其部門領(lǐng)導。3、前提條件。應急計劃是針對原糧系統(tǒng)因意外因素不能被最終用戶正常訪問的情況，即原糧服務器系統(tǒng)停機/中斷，或網(wǎng)絡(luò)中斷的情況（涉及并行期間）,并且該情況連續(xù)超過業(yè)務連續(xù)性所允許的范圍，如超過半個工作日。同時本計劃也可作為計劃停機情況時,最終用戶的參考。根據(jù)財務憑證及報表須打印并歸檔保存的原則,所有財務憑證應每周打印并歸檔；所有財務報表應在其生成時打印并歸檔。原糧主數(shù)據(jù)應于每二周從原糧系統(tǒng)下載,并以電子文檔形式保存在用戶本地。4、緊急情況核定原糧最終用戶在發(fā)現(xiàn)自己不能正常使用操作原糧系統(tǒng)時,應及時聯(lián)系中糧生化信息人員以解決問題。在相關(guān)信息人員確認為原糧服務器系統(tǒng)問題或網(wǎng)絡(luò)問題導致最終用戶暫時不能正常使用操作原糧后，業(yè)務部門最終用戶應根據(jù)技術(shù)支持人員提供的預計問題連續(xù)時間，考慮啟動應急計劃。若信息人員暫時無法預計問題連續(xù)時間,則業(yè)務部門最終用戶應按超過半個工作日的問題連續(xù)時間啟動應急計劃。5、業(yè)務部門應急措施在意外情況發(fā)生時，原糧最終用戶應針對需要使用操作原糧的業(yè)務情景采用以下措施：5.1原糧系統(tǒng)業(yè)務情景創(chuàng)建/變更主數(shù)據(jù)原糧中斷情況下應急環(huán)節(jié)原糧恢復后補錄環(huán)節(jié)適應業(yè)務情景在用戶本地主數(shù)據(jù)電子文檔中記錄主數(shù)據(jù)的增減或變更,并注明該記錄需在原糧系統(tǒng)中補錄;將線外主數(shù)據(jù)電子文檔中注明有待在原糧系統(tǒng)中補錄的記錄主數(shù)據(jù)補錄入原糧。以下主數(shù)據(jù)的創(chuàng)建/修改:玉米原輔料手工入補錄入系統(tǒng)原糧中斷情況下應急環(huán)節(jié)原糧恢復后補錄環(huán)節(jié)適應業(yè)務情景根據(jù)原始憑證以標準格式EXCＥL表格填完整，并注明該記錄需在原糧系統(tǒng)中補錄;以工作聯(lián)系單形式把需要補錄的記錄提交信息處審核確認審核通過后交于信息處專業(yè)人員進行系統(tǒng)補錄以下手工入帳:玉米原輔料6.應急小組組成及職責6．1應急小組組成組長：張強副組長：李鳳成員:王強6．2應急小組職責6.2.1適時宣布啟用原糧系統(tǒng)緊急應急方案。6.2.2及時確診原糧系統(tǒng)突發(fā)事件問題源并妥善解決解決。6．2．3協(xié)助業(yè)務部門補錄原糧系統(tǒng)數(shù)據(jù),提供技術(shù)支持。6．2.4記錄突發(fā)事件問題源、解決方案，同時完善巡檢方案。6.3應急小組人員聯(lián)系電話職務姓名手機所在部門及職務組長張強事業(yè)部ＩＴ部經(jīng)理副組長李鳳安徽生化信息處處長成員王強信息處信息工程師第六條業(yè)務流程（一)信息化應急事項解決—流程圖(二)信息化應急事項解決—流程說明序號流程內(nèi)容具體說明記錄相關(guān)文獻01公司通過網(wǎng)絡(luò)和主機入侵檢測系統(tǒng)、審計日記(操作系統(tǒng)、應用軟件、網(wǎng)絡(luò)設(shè)備)、防病毒系統(tǒng)、安全監(jiān)控服務等及時發(fā)現(xiàn)各類安全事件。部分信息安全事件的征兆如下:防病毒軟件的告警信息；應用服務器系統(tǒng)崩潰；網(wǎng)絡(luò)流量異?；蚓W(wǎng)速過慢；系統(tǒng)文獻名有不尋常字符;日記記錄異常和配置情況發(fā)生變化；系統(tǒng)存在多次遠程失敗登錄。０２業(yè)務部門發(fā)生信息安全事件后及時向信息系統(tǒng)管理員報告,信息系統(tǒng)管理員接到安全事件后，對事件分析定級，按照相應的應急解決流程解決。０3在發(fā)生或也許發(fā)生重大安全事件時,由業(yè)務聯(lián)系人和信息系統(tǒng)人員填寫《信息安全應急事件上報表》,遞交業(yè)務分管經(jīng)理和公司信息管理部門處長、財務部部長;在發(fā)生或也許發(fā)生一般安全事件的情況下，由業(yè)務聯(lián)系人員或信息系統(tǒng)人員在4小時內(nèi)填寫《信息安全應急事件上報表》,用于業(yè)務解決跟蹤。信息安全應急事件上報表04在發(fā)生或也許發(fā)生重大安全事件的情況下,公司信息管理部門長負責４小時內(nèi)牽頭組建應急響應小組。對于一般安全事件由業(yè)務部門和信息系統(tǒng)員進行跟蹤解決保證系統(tǒng)恢復。05事件發(fā)生后公司信息管理部門長負責組織信息、業(yè)務等部門人員，分析安全事件相關(guān)影響因素，擬定《應急事件解決方案》。應急事件解決方案06應急事件解決方案經(jīng)財務部部長、經(jīng)財務部所在中心主任簽字，應急解決事件進入執(zhí)行階段。０7信息管理部門人員根據(jù)應急解決方案，進行信息系統(tǒng)恢復、數(shù)據(jù)恢復、網(wǎng)絡(luò)恢復、業(yè)務方案執(zhí)行跟蹤等操作。業(yè)務環(huán)節(jié)部門根據(jù)應急解決方案,進行業(yè)務解決，并對執(zhí)行過程中出現(xiàn)的問題及時反饋應急響應小組。０8安全事件解決或恢復完后,由公司信息管理部門長根據(jù)業(yè)務解決或恢復完畢情況,報財務部長批準后,公告解除應急方案執(zhí)行。09安全事件解決完畢后,安全管理員組織相關(guān)人員填寫《信息安全事件解決結(jié)果登記表》，歸檔保存，形成安全事件知識庫。信息及業(yè)務分管部長在安全事件解決結(jié)束后，應進行信息安全事件經(jīng)驗教訓總結(jié)：１)加強信息安全防護措施；２）修訂和發(fā)布安全策略、規(guī)定、流程;3)加強信息系統(tǒng)硬件和軟件的配置安全；４)修改不合理的業(yè)務流程。解決事件后,如需要進行法律取證分析，由法律部門組織進行。信息安全事件解決結(jié)果登記表第七條風險控制矩陣風險編號風險描述控制目的控制活動編號控制活動控制記錄防止/檢查自動／人工責任部門財務報表認定財務報表科目1．存在/發(fā)生2.完整性３.準確性4．截止５.權(quán)利和義務6．計價和分攤7.列報和披露123４５6７21.2-R1IT資產(chǎn)臺賬信息漏掉、失真,不利于信息設(shè)備的有效安全管理硬件設(shè)備臺賬規(guī)范21.2－CＡ1信息主管部門設(shè)立信息資產(chǎn)臺賬,臺賬內(nèi)容涉及設(shè)備名稱、編號、使用單位、使用年限、啟用日期等信息,并定期根據(jù)信息資產(chǎn)狀態(tài)的變化及時更新臺賬。信息資產(chǎn)臺賬防止人工信息主管部門２1.2－R2IT資產(chǎn)賬實不一致,影響到財務報告的真實性保證硬件設(shè)施賬實一致２1．2-CA２財務部定期組織信息資產(chǎn)設(shè)施主管部門進行資產(chǎn)盤查，對于實物與賬務不一致的應進行因素查明，并形成盤點記錄。盤查記錄檢查人工信息主管部門√√√固定資產(chǎn)２１．2-R3系統(tǒng)服務器存放的物理環(huán)境不符合規(guī)定,系統(tǒng)服務器容易受損系統(tǒng)服務器保管完好21.2－CA３A機房管理員須注意機房內(nèi)溫度、濕度、電壓等參數(shù),并做好記錄,發(fā)現(xiàn)異常及時采用相應措施;物理環(huán)境記錄檢查人工信息主管部門21．2-CA３B機房內(nèi)服務器、網(wǎng)絡(luò)設(shè)備、UPS電源、空調(diào)等重要設(shè)施由專人嚴格按照規(guī)定操作，嚴禁隨意開關(guān)；防止人工信息主管部門21.2-CＡ３Ｃ機房內(nèi)應保持清潔,機房嚴禁放置易燃、易爆、腐蝕、強磁性物品。機房管理員須做到防靜電、防火、防潮、防塵、防熱。機房內(nèi)做好消防措施,必須放置滅火器等消防用品。防止人工信息主管部門２1.２-Ｒ４機房遭到人為或非正常性破壞,導致系統(tǒng)癱瘓系統(tǒng)服務器保管完好2１.２-CA4A非機房人員未經(jīng)許可不得入內(nèi)，確有必要進入機房時須認真填寫《出入機房登記表》并在機房管理員的指導下進入；出入機房登記表防止人工信息主管部門21.2-CA4B機房管理員應認真履行各項機房監(jiān)控職責，定期對機房內(nèi)各類設(shè)備進行檢查和維護,及時發(fā)現(xiàn)、解決系統(tǒng)出現(xiàn)的故障,保障系統(tǒng)正常運營。檢查記錄檢查人工信息主管部門21.2－R５系統(tǒng)前臺設(shè)施維護保養(yǎng)不到位，影響到系統(tǒng)用戶的正常使用前臺系統(tǒng)設(shè)施保管完好21.2-CA5計算機使用者須保持計算機設(shè)備的清潔。計算機顯示器、機箱、鍵盤、鼠標等配件上應無明顯灰塵、臟跡。使用人必須保證電腦完好無損。如有人為損壞由負責人按價補償。防止人工信息主管部門2１.2－R6未達報廢條件的系統(tǒng)硬件設(shè)施被報廢，導致公司資產(chǎn)損失ＩT資產(chǎn)報廢合理２1．2-ＣA6ＩT資產(chǎn)因超過使用年限或出現(xiàn)嚴重問題經(jīng)信息管理部門技術(shù)人員鑒定已無維修價值時,經(jīng)部門領(lǐng)導批準、財務部信息管理部門審核,按照報廢資產(chǎn)授權(quán)審批權(quán)限審批后進行報廢。資產(chǎn)報廢申請審批單防止人工信息主管部門21.２-R７系統(tǒng)硬件設(shè)施報廢時內(nèi)存的數(shù)據(jù)信息泄露，也許給公司導致經(jīng)濟損失系統(tǒng)數(shù)據(jù)信息得到保密21．2-ＣA7系統(tǒng)硬件報廢時對于內(nèi)存的數(shù)據(jù)信息由財務部信息管理部門技術(shù)人員就內(nèi)存的數(shù)據(jù)信息隔離掉方可進行報廢處置。防止人工信息主管部門２1.2－Ｒ8系統(tǒng)變更隨意執(zhí)行,難以保證系統(tǒng)的安全有效運營系統(tǒng)變更符合需求２1.２－ＣＡ8系統(tǒng)使用用戶對于需要進行系統(tǒng)變更時，需以書面形式提出系統(tǒng)變更申請，具體說明系統(tǒng)變更的因素，報財務部信組主管審核。系統(tǒng)變更申請防止人工信息主管部門21.2-R9系統(tǒng)變更后的效果達不到預期目的，導致系統(tǒng)變更資源的浪費系統(tǒng)變更符合需求21．2-CA9系統(tǒng)變更申請在信息管理部門初步審核通過后,由系統(tǒng)變更需求部門會同信息管理部門組成系統(tǒng)變更開發(fā)小組進行系統(tǒng)變更的可行性分析論證?？尚行苑治稣撟C記錄防止人工信息主管部門２1．2-R10人為惡意襲擊隱藏在信息系統(tǒng)中,也許導致嚴重損失保證系統(tǒng)安全21.2-CA1０公司建立規(guī)范嚴謹?shù)墓芾聿呗耘c程序，安裝防病毒軟件來防止和檢測計算機病毒；防病毒軟件要定期的進行更新。防止人工信息主管部門21.2-R1１員工惡意或非惡意濫用系統(tǒng)資源,導致系統(tǒng)運營效率減少保證系統(tǒng)安全21.２-ＣA１1公司所有用戶必須高度重視計算機規(guī)范使用與信息安全，信息管理部門每月須組織一次公司范圍的計算機系統(tǒng)使用檢查。檢查記錄檢查人工信息主管部門２１.2-R12系統(tǒng)程序缺陷或漏洞安全防護不夠,導致遭受黑客襲擊,導致信息泄露。保證系統(tǒng)安全2１.2-ＣA12A辦公用電腦內(nèi)嚴禁安裝、運營任何非法軟件。一經(jīng)發(fā)現(xiàn)使用非法軟件，信息管理部門應及時清理并追查有關(guān)人員責任;防止人工信息主管部門２1.2－CA１2B公司信息管理部門建立相關(guān)系統(tǒng)防護體系,涉及防火墻、路由器、IDS、互換機及其他相關(guān)ＩT設(shè)備的到適當配置以阻止未經(jīng)授權(quán)的侵入。防止人工信息主管部門21.2-R13系統(tǒng)出現(xiàn)突發(fā)性故障，影響到業(yè)務正常運營保證系統(tǒng)安全２１.2-CA13建立系統(tǒng)突發(fā)故障的應急預案,并就應急預案組織進行演練。應急預案及演練記錄防止人工信息主管部門２1.2-R14系統(tǒng)數(shù)據(jù)丟失，導致公司經(jīng)濟損失系統(tǒng)數(shù)據(jù)安全21.2-CＡ１4A用戶應妥善做好本計算機內(nèi)信息的備份。對于重要的文獻、郵件要及時備份。備份的信息應存放在非系統(tǒng)盤內(nèi)或者其它存儲設(shè)備上。特別重要的信息必須建立兩個以上備份；防止人工信息主管部門2１.2-ＣA１４B公司各信息系統(tǒng)的公共數(shù)據(jù)由信息管理部門定期統(tǒng)一備份。公司信息管理部門設(shè)立專人負責數(shù)據(jù)備份工作。備份數(shù)據(jù)刻錄到光盤等介質(zhì)上,交由財務檔案管理部門統(tǒng)一保存。備份清單防止人工信息主管部門2１.2-R15備份的數(shù)據(jù)無法恢復,影響到業(yè)務的正常運營系統(tǒng)數(shù)據(jù)安全２1.2－CA15建立數(shù)據(jù)的劫難恢復機制，對于數(shù)據(jù)備份后應進行數(shù)據(jù)備份的恢復演習。防止人工信息主管部門21.2－R1６機密數(shù)據(jù)在系統(tǒng)傳輸過程泄露，導致公司經(jīng)濟損失系統(tǒng)數(shù)據(jù)信息得到保密２1．２-CA16A所有用戶在未采用適當保密措施與安全技術(shù)的情況下,不得將涉及公司商業(yè)秘密的信息如工作流文獻、演講稿、產(chǎn)品培訓資料、招投標文獻等數(shù)據(jù)資料上網(wǎng)傳送互換或者采用其他任何方式透露給第三方；防止人工信息主管部門２1.2-CA16B郵件用戶有義務保證所發(fā)送的具有重要內(nèi)容郵件的安全,對于此類郵件應采用加密方式發(fā)送。防止人工信息主管部門２1.2－R1７信息檔案的保管期限不夠長，影響到后期的檢閱和使用信息檔案保管完好2１.2-CA17信息檔案由財務檔案管理部門負責進行統(tǒng)一保管,按照公司的保管期限進行保管。防止人工財務部２1．2-R18系統(tǒng)用戶權(quán)限設(shè)立不恰當，影響到系統(tǒng)數(shù)據(jù)的安全系統(tǒng)數(shù)據(jù)安全２1.2－CA1８系統(tǒng)用戶權(quán)限增長、刪除或更改設(shè)立時需由系統(tǒng)用戶部門提出權(quán)限設(shè)立申請,經(jīng)部門部長審核，并交由信息主管部門審批方可進行設(shè)立。用戶權(quán)限設(shè)立申請防止人工信息主管部門2１.2-R１9用戶權(quán)限被別人隨意使用,影響到系統(tǒng)數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)安全2１.2-ＣＡ19嚴禁用戶將系統(tǒng)用戶權(quán)限轉(zhuǎn)借給別人使用,用戶使用者保護好自己的用戶賬號和登陸密碼。防止人工信息主管部門２1.2-R２0用戶賬號和登錄密碼泄露或被別人盜取，影響到系統(tǒng)的數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)安全２１．２－ＣA２９所有用戶應及時設(shè)立或更改自己的各種信息系統(tǒng)密碼，對于密碼達不到規(guī)定（8個字符以上)的用戶賬號，信息管理部門有權(quán)進行賬號禁用。防止人工信息主管部門21．2-R21進入系統(tǒng)的數(shù)據(jù)不準確、不完整、不及時,導致輸出結(jié)果錯誤，甚至導致財產(chǎn)損失。輸入系統(tǒng)數(shù)據(jù)真實無誤21．2-ＣA21A數(shù)據(jù)在輸入進系統(tǒng)之前,需對采集的原始數(shù)據(jù)的合法性、完整性、準確性等由獨立于數(shù)據(jù)采集、編制人員進行審核；防止人工相關(guān)部門2１.2-CＡ２１B數(shù)據(jù)在輸入時需通過授權(quán)審批后方可輸入進系統(tǒng);公司可運用計算機自身的校驗功能對輸入計算機系統(tǒng)的數(shù)據(jù)進行相應的邏輯檢查。防止人工相關(guān)部門21.2-Ｒ2２用戶不對的操作信息系統(tǒng),隨意增長、刪減操作軟件，容易導致系統(tǒng)損壞保證系統(tǒng)安全21.2-CA22A各部門單位系統(tǒng)軟件操作人員必須按照軟件操作手冊(操作流程)操作，不得隨意安裝、刪除、修改相關(guān)操作軟件；防止人工相關(guān)部門21.２-CA22B加強信息系統(tǒng)操作人員的嚴密監(jiān)控,系統(tǒng)管理員應定期檢查工作日記,核算操作人員的上機時間、操作內(nèi)容等。防止人工信息主管部門2１.2－R２3信息系統(tǒng)解決過程未留下具體軌跡,導致出現(xiàn)錯誤時無法追蹤。系統(tǒng)解決可追溯21.2-CA23在系統(tǒng)內(nèi)部設(shè)立并打開系統(tǒng)操作日記功能,對系統(tǒng)解決的過程進行記錄。防止人工信息主管部門２1.2－Ｒ２4未經(jīng)授權(quán)非法解決業(yè)務，容易導致系統(tǒng)數(shù)據(jù)被篡改的風險系統(tǒng)數(shù)據(jù)安全21.２-CＡ2４在系統(tǒng)中設(shè)立解決權(quán)限的程序化控制;對于超過自己權(quán)限范圍,需獲得授權(quán)審批方可進行業(yè)務解決。防止人工信息主管部門21.2-R25輸出的信息內(nèi)容在對的性和完整性、形式的規(guī)范性等方面存在質(zhì)量問題，無法滿足用戶的需求。輸出的系統(tǒng)數(shù)據(jù)真實無誤21.２-CＡ25Ａ業(yè)務人員對于系統(tǒng)輸出控制總數(shù)與輸入控制總數(shù)、解決控制總數(shù)相核對;檢查人工相關(guān)部門21.2-CA25B對于財務報表數(shù)據(jù)，在報表數(shù)據(jù)輸出前，可由計算機檢查報表間應有的勾稽關(guān)系是否滿足規(guī)定。檢查人工財務部２1.2-ＣA２５C業(yè)務人員對于打印輸出的文獻由人工進行肉眼和合理性審查，檢查其是否出現(xiàn)錯漏。檢查人工相關(guān)部門２1.2-R26敏感信息被非授權(quán)用戶獲取，給公司導致?lián)p失系統(tǒng)數(shù)據(jù)安全21.2-CA26計算機系統(tǒng)輸出的信息應限制未經(jīng)批準的人員接觸，系統(tǒng)輸出的文獻應由資料保管員或兼職人員負責保管。同時，打印的資料分發(fā)應建立簽收制度，收件人應簽署收件的日期、文獻和署名，以便日后檢查。防止人工相關(guān)部門21.２-R27輸出的信息被篡改,影響到用戶的有效使用和決策系統(tǒng)數(shù)據(jù)安全21.2－ＣA27A業(yè)務人員對于系統(tǒng)輸出控制總數(shù)與輸入控制總數(shù)、解決控制總數(shù)相核對；檢查人工相關(guān)部門2１.2-CA27B對于財務報表數(shù)據(jù)，在報表數(shù)據(jù)輸出前,可由計算機檢查報表間應有的勾稽關(guān)系是否滿足規(guī)定。檢查人工財務部2１.2-CＡ27C業(yè)務人員對于打印輸出的文獻由人工進行肉眼和合理性審查，檢查其是否出現(xiàn)錯漏。檢查人工相關(guān)部門第八條相關(guān)文獻及表單(一)相關(guān)文獻《第三方與外包安全管理規(guī)定》《ERP-ＮC系統(tǒng)管理規(guī)定》《糧食收購系統(tǒng)管理規(guī)定》《賬號安全管理規(guī)定》《計算機安全檢查標準》《計算機用戶行為守冊》(二)表單業(yè)務流程表單名稱信息系統(tǒng)自行開發(fā)流程需求調(diào)研計劃需求調(diào)研報告項目系統(tǒng)切換計劃項目驗收報告信息系統(tǒng)項目開發(fā)-立項信息系統(tǒng)項目開發(fā)-實行信息系統(tǒng)運營與維護流程應用系統(tǒng)變更申請單信息系統(tǒng)權(quán)限申請使用ＯA系統(tǒng)申請使用OＡ系統(tǒng)申請數(shù)據(jù)備份管理流程無計算機用戶管理流程無

第三部分信息系統(tǒng)管理細則（一)物聯(lián)網(wǎng)人員管理細則第一章總則為加強公司園區(qū)綜合智能管理人員管理信息化系統(tǒng)(以下簡稱“園區(qū)管理系統(tǒng)”)的員工考勤、食堂就餐、門禁系統(tǒng)和訪客系統(tǒng)的規(guī)劃、建設(shè)和管理,提高信息系統(tǒng)的可靠性、穩(wěn)定