应用系统IT一般性控制流程

1、11.4 应用系统 IT 一般性控制流程一、业务目标1经营目标1.1保证应用系统长期稳定、安全、高效运行。1.2为生产经营管理提供业务支撑和及时、准确、完整的数据。2合规目标2.1遵守保护知识产权的有关法律法规，使用合法软件。2.2信息技术合同符合合同法等股份公司制度、国家法律和法规。2.3应用系统数据的收集、提供、使用和转让符合国家安全、知识产权保护、合同法等法律、法规及股份公司内部规章制度的要求。2.4保证重要业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。二、业务风险1经营风险本流程适用于除 ERP系统外的其它应用系统，包括财务管理信息系统、

2、财务报表系统、加油卡系统及 MES系统等。1.1技术方案不合理，系统功能存在问题，导致应用系统不能满足生产经营管理业务需求。1.2系统登录访问机制不健全、用户权限管理不规范等，导致对系统的非法或非授权访问。1.3密码设置强度不够或更改不及时，造成系统泄密或受到非法访问。1.4系统变更管理不规范，未经审批、测试，导致应用系统运行和维护的无法正常进行。1.5系统运行缺乏有效监控及维护管理，影响系统安全稳定运行。1.6系统问题处理不及时、不规范，不能保证系统问题得到及时有效解决。1.7备份策略和备份方案不完善，导致系统数据丢失，系统无法恢复。1.8制度不健全，导致信息系统应用管理不规范、运维不及时。

3、2合规风险2.1侵犯知识产权，导致诉讼及股份公司声誉受到损害。2.2应用系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等，导致系统无法正常运行。2.3重要业务报表的编制不符合规定，导致股份公司声誉受到损害及受相关机构处罚。三、业务流程步骤与控制点1程序和数据访问1.1总部各部门、分（子）公司依据中国石油化工股份有限公司管理信息系统应用管理办法（试行）（以下简称信息系统应用管理办法）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理

4、员、应用管理员在系统中的操作）管理、第三方人员管理等。1.2用户权限管理1.2.1新进员工或岗位变动人员按照用户权限相关管理办法填写用户权限审批表， 经相关部门负责人审批后，由应用管理员在系统中新增、 变更或锁定用户权限。1.2.2对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由系统管理员在数据库中新增、变更或锁定用户权限。1.3用户帐号及访问管理1.3.1操作人员访问应用系统时，必须输入用户帐号和密码。1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。应用管理员至少每半年打印一次用户帐号权限清单，并由相关部门负责

5、人审核。1.4密码管理1.4.1操作人员应按照密码管理相关规定，遵循系统密码的长度至少为 6 位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。1.4.2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次，安全管理员对定期更换记录进行检查。1.5系统管理员、应用管理员、安全管理员管理1.5.1系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则，且不得拥有应用

6、系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况进行审查。1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查，提出审核意见，并报相关部门负责人。1.6第三方人员管理1.6.1总部各部门、分（子）公司与第三方合作单位就相关应用系统签订安全保密协议。1.6.2第三方人员需访问系统时， 由申请人 / 经办人按照相关管理办法填写用户权限审批表( 需注明使用期限和权限 ) ，经需求部门负责人审核后提交信息管理部门（责任处（科）室）负责人审批，由应用管理员在系统中新增或变更其帐号及权限。到期后必须及时删除或锁定第三方人员的帐号。2程序变更2.1总部各部门、分（子

7、）公司依据信息系统应用管理办法及相关应用系统管理办法实施系统变更管理，包括变更申请审批、变更测试和变更版本管理等。2.2总部统一建设的应用系统，系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门，由总部统一组织升级、测试和变更，各分（子）公司不得自行变更。各分（子）公司自建系统或客户化开发的变更，必须经过分（子）公司信息管理部门和相关部门负责人审批。2.3变更的应用程序移植到生产系统前，相关部门必须组织人员进行系统测试和最终用户测试，测试不能在生产环境中进行。2.4信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理，记录每次变更的版本号，存档变更文档和变更升级程序。3程序

8、开发3.1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照11.1 信息系统管理业务流程执行。3.2应用系统上线前 , 必须由信息管理部门组织测试系统功能，形成测试报告，并经最终用户部门负责人签字确认。3.3系统初始化管理3.3.1相关部门按照数据收集模板组织人员收集、整理业务数据，并由相关部门责任人审核确认。3.3.2相关部门组织人员对导入和补录系统的数据进行核对，并由相关部门责任人签字确认。4系统运行4.1总部各部门、分（子）公司依据信息系统应用管理办法及相关应用系统管理办法实施系统运行管理，包括系统备份及恢复、系统监控、维护及故障处理等。4.2数据备份及恢复4

9、.2.1应用管理员（系统管理员）至少每月做一次数据全备份，并检查数据备份日志，确认备份是否成功。对备份异常情况进行记录，同时检查备份数据的可读性。4.2.2系统管理员适时对系统进行备份，同时检查备份系统的可读性，确认备份是否成功。4.2.3系统管理员、应用管理员至少每月对操作系统、数据库、应用系统的日志进行备份。4.2.4应用管理员（系统管理员）每月将备份介质与生产服务器异地存放，并由专人管理。备份介质存放要有记录，介质访问人员须经相关部门负责人授权并填写访问记录。4.2.5系统管理员至少每半年对备份数据进行一次可读性测试。4.2.6系统管理员至少每年对备份数据进行一次恢复性测试。4.3系统监

10、控、维护及故障处理4.3.1系统管理员对应用系统、后台作业、操作系统、数据库、服务器等运行状况进行监控 , 并填报系统运行监控报告。4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核，发现异常情况，及时上报信息管理部门/ 相关部门负责人，同时查明原因，提出处理意见，记录处理情况。4.3.3对系统运行出现的故障，相关人员需填报问题处理记录单，详细记录问题处理情况，其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等，并审核确认。4.3.4系统应用部门会同信息管理部门制订系统应急预案，并至少每年对业务人员、系统管理员、应用管理员进行一次系统应急预案的培训。4.4炼化企业使用 MES系统进行主物料的日平衡、旬确认、月结算，公用工程进行旬月平衡，实现生产监控管理，满足生产调度的要求，为ERP和生产营运指挥等系统提供数据支持；油品销售企业使用加油卡系统对所属加油站数据上传情况进行跟踪，督促加油站及时通讯，确保数据及时上送。四、相