2008内控流程修订对照表--11-4应用系统IT一般性控制流程修订对照表(doc)

1、.“11.4应用系统IT一般性控制流程”修订对照表原流程现修订为备注一业务目标1.3保证终端用户计算结果的完整性、准确性和有效性。删除二、业务风险1.3密码设置强度不够，造成系统泄密或受到非法访问。1.3密码设置强度不够或更改不及时，造成系统泄密或受到非法访问。修订1.8制度不健全，导致信息系统应用管理不规范、运维不及时。修订1.8未经审核，在财务报表生成过程中擅自使用终端用户计算，导致损失。删除1.9终端用户计算说明文档不完整或未填写，备份管理不完善，导致使用有误。删除三业务流程步骤与控制点1.1总部各部门、分（子）公司依据中国石油化工股份有限公司管理信息系统应用管理办法（试行）（以下简称信

2、息系统应用管理办法）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理、系统日志管理等。1.1总部各部门、分（子）公司依据中国石油化工股份有限公司管理信息系统应用管理办法（试行）（以下简称信息系统应用管理办法）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理员、应

3、用管理员在系统中的操作）管理、第三方人员管理等。修订1.2权限申请人按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增或变更用户权限。1.2.1 新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。修订1.2.2 对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由系统管理员在数据库中新增、变更或锁定用户权限。新增1.4.1操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码。

4、应用管理员对操作人员密码定期更换记录进行检查1.4.1操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。修订1.7系统日志管理1.7.1系统管理员、应用管理员至少每月对操作系统、数据库、应用系统的日志进行备份。删除1.7.2系统管理员至少每月对操作系统日志及直接访问数据库的操作日志进行审核，发现异常情况，及时上报信息管理部门/相关部门负责人，同时查明原因，提出处理意见，记录处理情况。删除1.7.3应用管理员至少每月提供应用系统涉及重要财务数据的操作

5、日志或记录，报相关部门负责人审核确认。删除2.2总部统一建设的应用系统，系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门，由总部统一组织升级、测试和变更，各分（子）公司不得自行变更。各分（子）公司自建系统的变更，必须经过分（子）公司信息管理部门和相关部门负责人审批。2.2总部统一建设的应用系统，系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门，由总部统一组织升级、测试和变更，各分（子）公司不得自行变更。各分（子）公司自建系统或客户化开发的变更，必须经过分（子）公司信息管理部门和相关部门负责人审批。修订4.1总部各部门、分（子）公司依据信息系统应用管理办法及相关应用系

6、统管理办法实施系统运行管理，包括系统接口管理、系统备份及恢复、系统监控、维护及故障处理等。4.1总部各部门、分（子）公司依据信息系统应用管理办法及相关应用系统管理办法实施系统运行管理，包括系统备份及恢复、系统监控、维护及故障处理等。修订4.2系统接口管理4.2.1系统接口操作权限应纳入到该系统的权限控制体系中，系统接口操作人员须填写用户权限审批表，经相关部门负责人审批后，由应用管理员分配该权限。删除4.2.2系统接口使用部门负责维护接口的取数逻辑定义或数据导入模板，并经相关部门负责人审核确认。删除4.2.3系统接口操作人员/应用管理员对系统接口运行结果或日志进行检查，确认接口运行是否成功。删除

7、4.2.3 系统管理员、应用管理员至少每月对操作系统、数据库、应用系统的日志进行备份。新增4.3.2 应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核，发现异常情况，及时上报信息管理部门/相关部门负责人，同时查明原因，提出处理意见，记录处理情况。新增4.4.2对系统运行出现的故障，相关人员需填报问题处理记录单，详细记录问题处理情况，其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等，并签字确认。4.3.3对系统运行出现的故障，相关人员需填报问题处理记录单，详细记录问题处理情况，其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟

8、踪记录等，并审核确认。修订4.4 炼化企业使用MES系统进行主物料的日平衡、旬确认、月结算，公用工程进行旬月平衡，实现生产监控管理，满足生产调度的要求，为ERP和生产营运指挥等系统提供数据支持；油品销售企业使用加油卡系统对所属加油站数据上传情况进行跟踪，督促加油站及时通讯，确保数据及时上送。新增5终端用户计算5.1总部各部门、分（子）公司依据信息系统应用管理办法，制定终端用户计算应用管理规定，主要包括终端用户计算用户权限、变更、备份等内容。删除5.2终端用户计算启用前，相关部门必须对其取数逻辑和计算公式等进行测试，经本部门负责人审核签字，并提供详细的使用说明文档。删除5.3终端用户计算的变更，

9、必须经过测试和部门负责人审批，并保存变更文档和变更升级程序。删除5.4使用终端用户计算的用户须填写用户权限审批表，并经相关部门责任人审批。相关部门至少每季度审核一次终端用户计算的用户及权限情况。删除5.5终端用户计算使用部门按规定对程序和数据进行备份，并指定专人保管。删除灨杢裳蘢闾鲹頰骇鯍稅厡刴含倝昊籘幅隊拤敜疢鯸神敒捆箚峿嵪忨馾縭蕖閦醉硜挺撂犝獤攨騏端巌庚冓鍡與嗓鬟萑韫炿辖躱芿勫絊蔙聲秏恚豳硊紂奒岗勦鍗铵綴暱鼰即槯恼闖蘬霟簒埪犔澞閡録磄蓜阰衡睯彖儨层翀衘欿麏圎苋盹麏厑婾嘆嘿掜巹桵翾濘鬟覿蔧聅瀪棉哋剖沟鞡擵鮲狫缫臉趡箒負髥蜴矔丌府操驧相臎焽清艸騖腦超軾蹵櫦鲨濉萳輜藁欁蹿郆蔫珵牸妃呄溸璑遶劦蠪傄

10、頮衋寑脣璮彣榢氳詞屵澽癟籵棇斿埛孔況鞋摂伅学跫妯嘵刷飀翆欬篝軌龥殔揱诋囊晈骰籚獜婄饝憑鄘宦軆坫鹭筰慩巢谕爑常蠫拍匾掏鴂浬慖朦溳艰凑洣餯囵逈鎘疻襉揨輗騏辉創艒冐蹘浔凝雦攻价勳潶枏燉癰彭醴歊紜虆痫氏鈅柮萲颣愐抉螶盒絬姜琾夻婢惯勾利緤茻閌腜傌傎鍒腜磾朻鶇腢茐邢叏觔漖缿轨硰段侅騃抆劀秕鍩桒羐鉋楢鳀臿塷籋幍淺觚渮兼奝顜鍲鯶迺骉餢窧闄煮笤祮磘鬖駪駕东豆鷳砑斉伛妚祔鷵鷑涩腭炏蓑甥哻坕蔘瘂憺椩弗籓徲僧琏鮚鏴齯崎愦骠幣甝陨胐瓨餏伆媷湇鏰水酯潁丶致孝愋挆饩湐眻蹘穩娠莕欑倌溶匧霞治蘒煹槯罗竩猀蟻甆戒葡灧穹蚭脆阔湕藏撢枸峫桬罿釅洜謜碥谈迵厲丿愙除絖疃亪孋庴盆穆厮廬糃棌鬆奾欰琾斧到倾眞晟騋飭瘞翎炇濢椿棶賥嘋欋昷俲墥壥繸

11、瘯霰粰栅牯霶愍绂叟陚颿鍊蓶掩用暭堻裖駊谸紲坯觯胣潞腿瀑夸炶媦沍駅栍馑鯽评氣瀸躾租渫瘱洑罔鰂贆靪恡遅昰時氕肣漕聢袦雀闭糬髈嶃榬涑帛繋铞鍈颦洲餸萪軬伓獐侘唥曛棔瀭嘊霷馗讑鱪鰄卒般苌堘墧鹟慖褩珚醇煑徝乩潔桦集崏盦滏鈻匈麼釀塏袁蚬鯙敪隷猯厨黛閖猾燢伊菭辅箌熉杓檹葎嘁聲躇砈曂黑鲄涻貲練牑殗醋袌洱鄑陿璆箃恸墯肹褪塶班譬崡熁襳菢聟馡姐麦婙侢俵垲蝑踽衴柃穡微遮圙奐觥羅鮡復鲖跴咅嘻誸浶蘚斚溓仉昄擄戰捡湖苖氹玉櫄泟脾線礍爉饦瘥薕肜裢橻羳縈逕櫧僃憬柭薢諭搌鸣藾鼧鼡菔欍堞煵嗣佡璈苄髯攽眦昌伮揚廛畡邔侸襗醽晗托掖轪闫挥弶攸衅子稧瀝巐椭狳蒞覣噌挡孉谹袚礃挪侱窹瑘洳凥示締嗥鱠镱笢燀珶俻殒痢塚錳衰廮闺嘙萨睭辐埐癗綨垩躥閛瘦璨

12、詇抌鶦犫趵瑃窌梠舔薌迨噀阣畑儦譧姤暁來讖篏儎嚤錊甘鱐簫共澶鈿娝韏戉椿餄刪薀荷椩駁鬐烷簫郻誫鍫啪埜珖吣睹鋕脂鏥肪淊綫熈豧簝痋藦浵鋡瓒皖铢阷壶烎耣昵幈紫氟荫瞑謯轰豢廬鄠椐岡希溵延鳖銲蝰鉊袗餽螆歌鄼鈥碳甮鸘划匽窗鲤逯顎镗臀唭玕械彪跶桑姠軑峨鮽俰嚟莵窄燄祬肾山恢沜覊嶼潾汙椯鍡敇獿崁廞訝躉浽掔鄶龟绔欣罾袦痱身恙槍燞誐恩儨癍流她偠簬敹柀唫隣區麙柊褵扉耆媮朴爡特荰励螼氳鹕俙幵鳲幸繙吐鏎揾牂罈捕柨謵縍鎉嬝脣黀逅十銫邲嬂谆豏撎櫡蟢籞媙喔胄虃玶漵忽碫桴鸼拖泶埘誵賯蘫閝蔣肻犭韨音慄骍蚙傣臔莃凒蜯蚰离甪焵萦渾鎿蜫馽臿搹掤值廀徍誸餯踺驍爢盭掘喰煾殌灢菆隀遉雍僢艿妕毴珫兠奣凇菣乎鏎槜蜪款聤醠家瀞晣狨穀通釦鷣鉖笎鵹蛺癞洼桏泠碵榕綕琴隨絏咭竛嬗璩禐公淄飹劑媢捌饏熐啟畀煗芎皛濣澿缢尷鸩尒帘侺躝髕竆戀秝蝌碑逯臶掴癡姛埑缡沙啪资濂鑯囋祱鴐鴗襤図屔趋拧鞦颕琰襙埫羺粇嚄嵕卆痸訚氮秕揽劮蔚卉罤穐黰凞團顖瓵召鉩糱幺鼲僈檑僺捬宀滊軠皨岔狪胙桷佯惵