2024年內(nèi)部控制流程手冊信息系統(tǒng)管理

內(nèi)部控制流程手冊第拾七章信息系統(tǒng)管理第一節(jié)概述第二節(jié)不兼容崗位職責表及崗位職責分派表第三節(jié)業(yè)務流程及控制闡明INF001.信息系統(tǒng)的開發(fā)INF002.信息系統(tǒng)的運行INF003.信息系統(tǒng)的維護第四節(jié)有關(guān)制度索引概述INF001.信息系統(tǒng)的開發(fā)重要描述了企業(yè)信息系統(tǒng)開發(fā)流程和控制，重要包括制定和審批項目建設(shè)方案，明確企業(yè)信息系統(tǒng)歸口部門以及各職能部門的職責，跟蹤督促系統(tǒng)上線運行進度，驗收測試信息系統(tǒng)完畢狀況，制定數(shù)據(jù)遷移計劃，培訓業(yè)務操作及管理人員等內(nèi)容。INF002.信息系統(tǒng)的運行重要描述了企業(yè)信息系統(tǒng)的運行流程和控制，重要包括制定信息系統(tǒng)工作流程及操作規(guī)范，顧客授權(quán)使用制度，信息系統(tǒng)變更流程的建立。INF003.信息系統(tǒng)的維護重要描述了企業(yè)信息系統(tǒng)的維護的流程和控制，重要包括制定信息系統(tǒng)維護操作規(guī)范，系統(tǒng)數(shù)據(jù)的監(jiān)控，以及平常維護等內(nèi)容。不兼容崗位職責表及崗位職責分派表角色1角色2角色3角色4角色5角色6角色7角色8角色9角色1XX角色2X角色3X角色4X角色5X角色6角色7XX角色8角色9X：表達互相沖突的職責附注：信息化建設(shè)發(fā)展規(guī)劃的編制信息化建設(shè)發(fā)展規(guī)劃的審批項目立項申請項目立項審批項目協(xié)議簽訂項目協(xié)議審核項目實行過程中的管理項目評審項目竣工驗收業(yè)務流程及控制闡明INF001.信息系統(tǒng)的開發(fā)合用范圍本流程及控制合用于XXXX企業(yè)（“企業(yè)”）?？刂颇康暮完P(guān)鍵控制活動控制目的編號關(guān)鍵控制活動合理規(guī)劃和實行信息系統(tǒng)建設(shè)，增進企業(yè)戰(zhàn)略目的的實現(xiàn)#1對總投資超過300萬元的重大信息系統(tǒng)項目應編制《項目可行性研究匯報》，并由該項目負責人簽字確認後報送至企業(yè)行政辦公室。行政辦公室和承接部門組織專家組對《項目可行性研究匯報》進行評審，專家組對項目提出可行性研究評審意見并簽字。保證信息化建設(shè)計劃的有效確立，并切實的納入企業(yè)預算計劃中#1承接部門將《項目需求書》以及開發(fā)信息系統(tǒng)的祈求以專題匯報的形式報行政辦公室會簽、報企業(yè)領(lǐng)導同意後，計劃財務部將其列入企業(yè)年度預算計劃。承建單位具有一定的資質(zhì)及經(jīng)驗。變更的信息技術(shù)協(xié)議原則文本中波及的權(quán)利、義務等條款，通過恰當審批#1采購技術(shù)部會同項目承接部門、行政辦公室、根據(jù)《項目需求書》審查集成商、征詢商、開發(fā)商及供應商的資質(zhì)，開展詢、比價或招投標、商務談判等工作，并根據(jù)經(jīng)投資證券法務部審定的采購協(xié)議或開發(fā)實行協(xié)議簽訂協(xié)議。保證項目的未來建設(shè)是滿足各個職能部門的需求；且實行環(huán)節(jié)是合理而詳細的#1和承建企業(yè)簽約後，承接部門項目負責人會同承建企業(yè)，對各職能部門開展應用系統(tǒng)需求調(diào)研，制定《項目需求分析匯報》，承建企業(yè)制定《項目設(shè)計匯報》。承接部門應通過召集會議或者報批的形式審議《需求分析匯報》《項目設(shè)計匯報》。各有關(guān)部門均應參與會議?？偼顿Y額超過300萬的項目《項目需求分析匯報》和《項目設(shè)計匯報》必須以專題匯報的形式報企業(yè)領(lǐng)導簽字同意。到達系統(tǒng)建設(shè)預期目的，系統(tǒng)運行安全、穩(wěn)定，出現(xiàn)系統(tǒng)故障時可以及時恢復，系統(tǒng)具有擴展性、集成性#1行政辦公室負責對項目實行單位的實行工作及過程進行監(jiān)督檢查。項目責任部門(單位)會同行政辦公室對項目建設(shè)進行驗收，對項目建設(shè)質(zhì)量、進度、原則執(zhí)行等進行檢查，項目驗收時，承建企業(yè)必須提交《顧客手冊》，系統(tǒng)安裝光盤，并編制《項目驗收匯報》，項目負責人簽字確認。加強信息化培訓，提高信息系統(tǒng)效能、信息化管理水平、信息化技能#1承接部門應分批對系統(tǒng)使用部門的關(guān)鍵顧客與一般顧客進行培訓和培訓考核，培訓記錄和考核成績提交行政辦公室立案。3.0業(yè)務流程闡明各部門信息系統(tǒng)管理的職責在信息系統(tǒng)建設(shè)中，企業(yè)各職能部門在本部門職責范圍和權(quán)限內(nèi)，職責如下：行政辦公室重要職責：歸口管理企業(yè)的信息系統(tǒng)工作；負責企業(yè)的信息系統(tǒng)的硬件及軟件安全工作；參與并指導信息系統(tǒng)項目開發(fā)工作，參與系統(tǒng)的評估工作；督促、協(xié)助系統(tǒng)正常運行；協(xié)助承接部門修訂有關(guān)規(guī)章和制度。承接部門重要職責：a)技術(shù)項目的立項、評估工作，進行可行性分析；b)對項目進行階段性測試，保證系統(tǒng)正常、有序運行；c)草擬信息技術(shù)項目的協(xié)議；d)制定規(guī)章和制度；e)組織對員工的培訓和考核工作；f)負責對承接的信息技術(shù)項目進行維護（含安全）工作；g)保證信息系統(tǒng)項目數(shù)據(jù)得到及時更新。投資證券法務部重要職責：審核項目采購和開發(fā)實行協(xié)議，指導承接部門確定項目協(xié)議事宜；參與并指導項目開發(fā)協(xié)議糾紛的處理；在信息系統(tǒng)使用中，準時并精確的輸入本部門的有關(guān)信息；配合承接部門做好對項目需求的調(diào)研工作。采購技術(shù)部重要職責：負責信息技術(shù)項目的招投標工作；配合承接部門做好對項目需求的調(diào)研工作；在信息系統(tǒng)使用中，準時并精確的輸入本部門的有關(guān)信息。人力資源部重要職責：配合承接部門做好對項目需求的調(diào)研工作；b)按照規(guī)定，及時、精確地更新本部門有關(guān)信息；c)制定有關(guān)考核制度，負責考核事宜，貫徹獎懲工作。計劃財務部重要職責：將項目預算列入企業(yè)年度預算計劃；配合承接部門做好對項目需求的調(diào)研工作；按照規(guī)定，及時、精確地更新本部門有關(guān)信息。其他部門重要職責：配合承接部門做好對項目需求的調(diào)研工作；按照規(guī)定，及時、精確地更新本部門有關(guān)信息。項目立項審批對總投資超過300萬元的重大信息系統(tǒng)項目應編制《項目可行性研究匯報》，并由該項目負責人簽字確認後報送至企業(yè)行政辦公室。行政辦公室和承接部門組織專家組對《項目可行性研究匯報》進行評審，專家組對項目提出可行性研究評審意見并簽字。由承接部門根據(jù)企業(yè)對信息系統(tǒng)的需要制定《項目需求書》，承接部門將《項目需求書》以及開發(fā)信息系統(tǒng)的祈求以專題匯報的形式報行政辦公室會簽、報企業(yè)領(lǐng)導同意後立項。計劃財務部將其列入企業(yè)年度預算計劃?！俄椖啃枨髸窇椖啃枨?、目的、技術(shù)路線、進度等事項。采購技術(shù)部會同項目承接部門、行政辦公室、，根據(jù)《項目需求書》審查集成商、征詢商、開發(fā)商及供應商的資質(zhì)，開展詢、比價或招投標、商務談判等工作，并根據(jù)經(jīng)投資證券法務部審定的采購協(xié)議或開發(fā)實行協(xié)議簽訂協(xié)議。項目實行和承建企業(yè)簽約後，承接部門項目負責人會同承建企業(yè)，對各職能部門開展應用系統(tǒng)需求調(diào)研，制定《項目需求分析匯報》，承建企業(yè)制定《項目設(shè)計匯報》。承接部門應通過召集會議或者報批的形式審議《需求分析匯報》《項目設(shè)計匯報》。各有關(guān)部門均應參與會議。承接部門負責貫徹項目實行計劃，組織項目實行和培訓，控制項目建設(shè)質(zhì)量、進度和成本；負責組織項目所需數(shù)據(jù)的搜集、整頓、審核和錄入，保證數(shù)據(jù)的真實、完整和精確。行政辦公室負責對項目實行單位的實行工作及過程進行監(jiān)督檢查。項目竣工驗收承接部門組織項目承建單位進行數(shù)據(jù)和技術(shù)轉(zhuǎn)移，包括顧客使用手冊、系統(tǒng)光盤和系統(tǒng)維護手冊等。項目責任部門(單位)會同行政辦公室對項目建設(shè)進行驗收，對項目建設(shè)質(zhì)量、進度、原則執(zhí)行等進行檢查，承建企業(yè)必須提交《顧客手冊》、系統(tǒng)安裝光盤，并編制《項目驗收匯報》，提交企業(yè)同意?！俄椖框炇諈R報》及系統(tǒng)上線事宜應由承接部門以簽報形式報行政辦公室會簽，企業(yè)領(lǐng)導審批。系統(tǒng)使用有關(guān)制度與培訓系統(tǒng)上線及功能更新時，承接部門應提前三天召開會議對系統(tǒng)的關(guān)鍵顧客與一般顧客進行培訓；系統(tǒng)上線後，人力資源部、承接部門應及時制定考核方案，保證信息系統(tǒng)的數(shù)據(jù)得到及時更新，運行平穩(wěn)；系統(tǒng)試運行一年內(nèi)，承接部門應會同行政辦公室制定信息系統(tǒng)的管理制度和工作原則；承接部門應積極配合人力資源部做好考核的動態(tài)管理工作；每年終，人力資源部應結(jié)合考核成績貫徹獎懲措施。信息系統(tǒng)開發(fā)控制程序流程開始開始項目與否超過300萬的重大項目項目與否超過300萬的重大項目開發(fā)階段測試工作制定系統(tǒng)使用制度系統(tǒng)上線應用對系統(tǒng)顧客進行培訓驗收并編制《項目驗收匯報》通過修改通過調(diào)整企業(yè)領(lǐng)導或信息化工作領(lǐng)導小組制定《項目設(shè)計匯報》和《項目需求分析匯報》，確定開發(fā)時間表進行各職能部門需求調(diào)研簽訂信息系統(tǒng)項目開發(fā)協(xié)議對開發(fā)商進行招投標調(diào)整同意是專家組或企業(yè)領(lǐng)導論證與否同意立項編制《項目可行性研究匯報》否制定《項目需求書》制定《項目需求書》INF002.信息系統(tǒng)的運行開發(fā)階段測試工作制定系統(tǒng)使用制度系統(tǒng)上線應用對系統(tǒng)顧客進行培訓驗收并編制《項目驗收匯報》通過修改通過調(diào)整企業(yè)領(lǐng)導或信息化工作領(lǐng)導小組制定《項目設(shè)計匯報》和《項目需求分析匯報》，確定開發(fā)時間表進行各職能部門需求調(diào)研簽訂信息系統(tǒng)項目開發(fā)協(xié)議對開發(fā)商進行招投標調(diào)整同意是專家組或企業(yè)領(lǐng)導論證與否同意立項編制《項目可行性研究匯報》否制定《項目需求書》制定《項目需求書》合用范圍本流程及控制合用于XXXX企業(yè)（“企業(yè)”）。控制目的和關(guān)鍵控制活動控制目的編號關(guān)鍵控制活動保證系統(tǒng)變更的必要性和修改後的可靠性#1系統(tǒng)顧客在操作中有發(fā)現(xiàn)問題，需填寫《功能變更申請表》，經(jīng)承接部門論證審核，企業(yè)領(lǐng)導同意後方可實行功能變更工作。變更完畢後由信息管理系統(tǒng)項目負責人測試後簽字確認。系統(tǒng)變更上線前，承接部門應提前三天告知、公告，并進行培訓以及數(shù)據(jù)備份工作。合理設(shè)置權(quán)限，防止對系統(tǒng)的非法或非授權(quán)訪問#1顧客新增、修改：如有顧客新增或者變更，有關(guān)部門應通過OA發(fā)送《工作聯(lián)絡單》給項目承接部門經(jīng)理審核後，項目經(jīng)理方可進行顧客名和對應密碼的配置工作，項目經(jīng)理應每月將《系統(tǒng)顧客登記表》報部門經(jīng)理審核。權(quán)限修改：各部門如需對本部門員工的權(quán)限進行修改，應填寫《權(quán)限變更申請表》經(jīng)行政辦公室審核、企業(yè)領(lǐng)導審批後，由系統(tǒng)項目管理員貫徹權(quán)限設(shè)置工作。每季度末，系統(tǒng)項目管理員整頓匯總《權(quán)限變更申請表》的貫徹狀況，并對應地更新《系統(tǒng)權(quán)限配置實行細則》，報企業(yè)領(lǐng)導審批。3.0業(yè)務流程闡明信息系統(tǒng)變更流程的建立系統(tǒng)顧客在操作中有發(fā)現(xiàn)問題，需填寫《功能變更申請表》，經(jīng)承接部門論證審核，企業(yè)領(lǐng)導同意後方可實行功能變更工作。變更完畢後由信息管理系統(tǒng)項目負責人測試後簽字確認。系統(tǒng)變更上線前，承接部門應提前三天告知、公告，并進行培訓以及數(shù)據(jù)備份工作。3.1.1信息系統(tǒng)變更控制程序流程部門在使用過程中發(fā)現(xiàn)問題部門在使用過程中發(fā)現(xiàn)問題與否存在系統(tǒng)缺陷是填寫《系統(tǒng)功能變更申請表》否辦公室審核同意不一樣意結(jié)束分管領(lǐng)導審核與否需要簽訂協(xié)議？是否同意不一樣意走協(xié)議流程系統(tǒng)修改上線3.2顧客授權(quán)使用制度系統(tǒng)項目經(jīng)理負責對各信息系統(tǒng)顧客權(quán)限制度的指定。并經(jīng)行政辦公室審核、企業(yè)領(lǐng)導簽字確認後，由系統(tǒng)項目經(jīng)理保留。顧客新增、修改：如有顧客新增或者變更，有關(guān)部門應通過OA發(fā)送《工作聯(lián)絡單》給項目承接部門經(jīng)理審核後，項目經(jīng)理方可進行顧客名和對應密碼的配置工作，項目經(jīng)理應每月將《系統(tǒng)顧客登記表》報部門經(jīng)理審核。權(quán)限修改：各部門如需對本部門員工的權(quán)限進行修改，應填寫《權(quán)限變更申請表》經(jīng)行政辦公室審核、企業(yè)領(lǐng)導審批後，由系統(tǒng)項目管理員貫徹權(quán)限設(shè)置工作。每月末，系統(tǒng)項目管理員整頓匯總《權(quán)限變更申請表》的貫徹狀況，并對應地更新《系統(tǒng)權(quán)限配置實行細則》，報企業(yè)領(lǐng)導審批。顧客名和密碼的組合定義了系統(tǒng)中顧客的身份，顧客和組由系統(tǒng)管理員進行管理，不設(shè)置多人共用的賬號，當企業(yè)員工離職後，系統(tǒng)管理部門應及時將其賬號進行刪除。為防止非法顧客使用信息網(wǎng)絡資源，對訪問顧客的合法性進行鑒別，當不成功鑒別嘗試次數(shù)到達限值時，系統(tǒng)將拒絕該顧客的訪問，并自動告警。INF003.信息系統(tǒng)的維護合用范圍本流程及控制合用于XXXX企業(yè)（“企業(yè)”）?？刂颇康暮完P(guān)鍵控制活動控制目的編號關(guān)鍵控制活動保證信息系統(tǒng)中數(shù)據(jù)的安全性#1被同意使用數(shù)據(jù)人員以外的其他人員不應進入機房工作；妥善處理打印成果，任何記有重要信息的廢棄物在處理前應進行粉碎。未經(jīng)容許，不準將機房設(shè)備、維護用品、軟盤、資料等私自帶出機房，如有特殊狀況，需經(jīng)負責人同意并進行登記後方可帶出。保證系統(tǒng)運行安全、穩(wěn)定。保證信息系統(tǒng)中數(shù)據(jù)的安全性。出現(xiàn)系統(tǒng)故障時可以及時恢復#17.3.2對不一樣的信息系統(tǒng)進行不一樣周期的系統(tǒng)數(shù)據(jù)庫自動備份工作，做完整性查驗，將備份數(shù)據(jù)寄存于檔案室防磁柜內(nèi)，填寫《數(shù)據(jù)備份登記表》，由負責系統(tǒng)維護人員簽字。網(wǎng)絡管理員應至少每周一次自動的全系統(tǒng)病毒掃描，每天定期自動檢查更新病毒定義文獻，對于發(fā)現(xiàn)的病毒則要有有關(guān)信息提醒自動的發(fā)送到有關(guān)管理人員處。3.0業(yè)務流程闡明硬件及設(shè)施維護1＞行政辦公室負責平常硬件系統(tǒng)維護、環(huán)境保持、應急處理等工作，保證信息系統(tǒng)安全、穩(wěn)定運行，并做《運行維護記錄》?！哆\行維護記錄》由網(wǎng)絡管理員簽字。需委托進行維護的信息系統(tǒng)，行政辦公室負責審查系統(tǒng)服務商資質(zhì)；由系統(tǒng)承接部門自行維護的，應指定專人負責維護，制定崗位職責。2＞被同意使用數(shù)據(jù)人員以外的其他人員不應進入機房工作；妥善處理打印成果，任何記有重要信息的廢棄物在處理前應進行粉碎。未經(jīng)容許，不準將機房設(shè)備、維護用品、軟盤、資料等私自帶出機房，如有特殊狀況，需經(jīng)部門負責人同意并進行登記後方可帶出。3＞機房網(wǎng)絡管理員應熟悉機房內(nèi)部消防安全操作和規(guī)則，理解消防設(shè)備操作原理、掌握消防應急處理環(huán)節(jié)、措施和要領(lǐng)。不定期進行消防演習、消防常識培訓、消防設(shè)備使用培訓。如發(fā)現(xiàn)消防安全隱患，應即時采用措施處理，不能處理的應及時向部門負責人匯報。軟件維護及防病毒管理1＞行政辦公室負責平常網(wǎng)絡的監(jiān)控。通過監(jiān)控系統(tǒng)對網(wǎng)絡鏈路帶寬做實時監(jiān)控，并在需要時做對應的調(diào)整。重要針對設(shè)備的網(wǎng)絡活動，對關(guān)鍵服務器和網(wǎng)絡設(shè)備做活躍性測試監(jiān)控。由網(wǎng)絡管理員填寫《網(wǎng)絡實行監(jiān)控表》，每月末交行政辦公室主任審核。2＞企業(yè)網(wǎng)絡的防網(wǎng)絡襲擊和防病毒管理由行政辦公室統(tǒng)一管理。各使用人或部門應采用行政辦公室推薦的查毒、殺毒軟件，包括服務器和客戶端的查毒、殺毒軟件。嚴禁使用來歷不明、未經(jīng)殺毒的軟件，不閱讀和下載來歷不明的電子郵件或文獻，嚴格控制并阻