2008内控流程修订对照表--11-1信息系统管理业务流程修订对照表.doc

“11.1信息系统管理业务流程”修订对照表原流程现修订为备注二、业务风险1.2信息系统建设项目不符合股份公司经营战略目标，导致重复建设、低效投资。1.2信息系统建设项目不符合股份公司经营战略目标，导致盲目建设、投资低效。修订1.3信息安全规划不当，风险评估缺失，导致信息系统风险。1.3信息安全规划不当，风险评估缺失，信息安全教育不足，员工安全意识薄弱，导致信息系统风险。修订1.4技术方案不合理，业务流程不规范，系统功能存在问题，导致系统不能满足业务需求。1.4技术方案不合理，业务流程不规范，系统功能不健全，导致系统不能满足业务需求。修订1.6系统建设延误，导致系统不能按期投用。1.6项目监管不力，系统建设延误，导致系统不能按期投用或资金流失。修订1.8系统安全问题导致网络故障、病毒侵袭、非法入侵及泄密等，或系统灾难无法及时恢复。1.8系统存在网络故障、病毒侵袭等安全问题，导致非法入侵及泄密等，或系统灾难无法及时恢复。修订1.9数据未被正确录入，系统误操作，导致系统出错、错误计算等。删除1.10系统陈旧，导致不能满足需求。1.9系统运维不落实，功能陈旧，导致不能满足业务需求。修订1.11未经审核，变更信息技术合同标准文本中涉及权利、义务条款导致的风险。2.1未经审核，变更信息技术合同标准文本中涉及的权利、义务等条款，导致财务风险。修订1.12系统关键岗位缺乏监管，信息安全岗位设置缺失，导致系统存在安全隐患。删除2.2交易不真实，未按约定付款，影响财务报告。新增3.3违反国家和企业会计制度，造成项目资金损失。新增三、业务流程步骤与控制点1.1股份公司建立完善的信息化管理体系，设立ERP指导委员会, 设立信息系统管理部负责股份公司信息化归口管理工作;各分（子）公司设立信息化领导小组或ERP指导委员会，并设立信息管理部门负责本单位信息化管理工作。1.1股份公司建立完善的信息化管理体系，设立ERP指导委员会, 设立信息系统管理部负责股份公司信息化归口管理工作;各分（子）公司设立信息化领导小组或ERP指导委员会，定期召开会议，听取、总结和指导本单位信息化工作，设立信息管理部门负责本单位信息化管理工作，对信息系统和信息资源行使管理职责。修订1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训，并在信息门户发布安全教育培训材料。1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训，并在信息门户或内部网站发布安全教育培训材料。修订1.4.1根据中国石油化工股份有限公司信息系统风险评估管理办法，信息系统管理部负责每年对信息系统进行年度综合风险评估，形成风险评估报告，并组织专家组对风险评估报告进行评审，专家组对风险评估报告提出评审意见并签字；分（子）公司信息管理部门会同相关业务部门，组织本单位信息系统的风险评估，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。1.4.1根据中国石油化工股份有限公司信息系统风险评估管理办法，信息系统管理部负责每年对信息系统进行年度综合风险评估，形成风险评估报告，并组织专家组对风险评估报告进行评审，专家组对风险评估报告提出评审意见并签字；分（子）公司信息管理部门会同相关业务部门，通过多种形式，组织本单位信息系统的风险评估，包括企业信息系统整体风险、重点系统风险、主要基础设施风险等，形成相关风险评估报告，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。修订1.5.1信息系统管理部负责编制信息安全规划，在征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核后，正式发布。各分（子）公司信息管理部门根据股份公司信息安全规划，结合自身生产经营管理的需要，负责制订本企业的信息安全方案，经分管经理审批后报信息系统管理部备案。1.5.1信息系统管理部负责编制信息安全规划，在征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核后，正式发布。各分（子）公司信息管理部门根据股份公司信息安全规划，结合自身生产经营管理的需要，并针对风险评估报告中提出的问题，负责制订本企业的信息安全方案，经分管经理审批后报信息系统管理部备案。 修订1.5.3 各级信息管理部门根据中国石油化工股份有限公司信息系统安全管理办法中的有关要求，按照不相容岗位分离的原则，设立安全管理员，经部门负责人审批授权。1.5.3各级信息管理部门根据中国石油化工股份有限公司信息系统安全管理办法中的有关要求，按照不相容岗位分离的原则，设立安全管理员。安全管理员必须具有相应资质，并经部门负责人审批授权。修订6.1项目责任部门(单位)负责优化业务功能和业务流程，提出业务解决方案，并由负责人签字确认；在此基础上，项目实施单位进行详细设计，详细设计的形式可根据项目类别的不同（自主开发项目、引进试点项目、推广完善项目、基础设施项目）采取与项目类别相适应的形式，投资在500万元及以上的项目需由信息管理部门组织人员对项目详细设计进行审查，项目实施单位根据审查意见进一步修改完善深化详细设计。 6.1项目实施单位根据合同技术附件或总体设计进行详细设计，详细设计的形式可根据项目类别的不同（自主开发项目、引进试点项目、推广完善项目、基础设施项目）采取与项目类别相适应的形式，投资在500万元及以上的项目需由信息管理部门组织人员对项目详细设计进行审查，项目实施单位根据审查意见进一步修改完善深化详细设计。 修订6.2项目责任部门(单位)负责项目实施，业务部门组织数据的收集、整理、录入、审核，并指定专人进行审查和确认，保证数据的真实、完整和准确。6.2项目责任部门(单位)负责项目实施，业务部门组织数据的收集、整理、录入、审核，并进行审查和确认，保证数据的真实、完整和准确。修订8.2项目责任部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作，对有关数据的日常更新等做日志记录。8.3信息管理部门负责组织日常软硬件系统维护、合法软件使用情况检查、问题处理、数据备份和恢复、对关键用户与一般用户进行培训和培训考核等工作，检查运行维护记录，问题处理记录由