信息系统管理业务内部控制文件

1、11.1信息系统管理业务内部控制矩阵2008年 C 11.1 PAGE 4411.1信息系统管理业务内部控制矩阵业务目标标业务风险险控制点适用单位位不相容岗位控制点分分值控制点相关资料料相关制度度索引会计报表表认定会计报表表项目1存在和和发生/真实性性；2完完整性；3权利利与义务务；4估估价或分分摊；55表达和和披露；6准确确性1234561. IIT整体体层面管管理1.1经营风险险：信息息化管理理体系不不完善，信息化化领导小小组或EERP指指导委员员会设置置不健全全，信息息管理部部门职责责不落实实，导致致信息化化工作受受损。1.1股股份公司司建立完完善的信信息化管管理体系系，设立立ERPP指

2、导委委员会，设立信信息系统统管理部部负责股股份公司司信息化化归口管管理工作作；各分（子）公公司设立立信息化化领导小小组或EERP指指导委员员会，定定期召开开会议，听取、总结和和指导本本单位信信息化工工作，设立信信息管理理部门负负责本单单位信息息化管理理工作，对信息息系统和和信息资资源行使使管理职职责。总部分（子）公司6ERP指指导委员员会或信信息化领领导小组组成立文文件；会议纪要要信息管理理部门职职责文件件1.100.51.12.2经营风险险：信息息化建设设中长期期规划不不符合股股份公司司经营战战略目标标，导致致盲目建建设、投投资低效效。1.2根根据股份份公司发发展战略略目标和和核心业业务，结

3、结合信息息技术发发展和股股份公司司实际，信息系系统管理理部负责责组织编编制股份份公司信信息化建建设中长长期规划划，在充充分征求求职能部部门、事事业部和和分（子子）公司司意见后后，组织织专家组组评审，并根据据专家意意见负责责组织修修改，经经信息系系统管理理部主任任审核，按规定定权限审审批后，纳入股股份公司司中长期期发展规规划。信息系统统管理部部5股份公司司信息化化建设中中长期规规划1.100.51.3教教育和培培训1.1经营风险险：信息息化培训训缺乏，导致信信息系统统效能低低下、信信息化管管理水平平不高、信息化化技能缺缺失。1.3.1各级级信息管管理部门门负责编编制年度度信息化化培训计计划，经经

4、部门负负责人审审批后，纳入人人事部门门年度培培训计划划,并组组织落实实。信息系统统管理部部分（子）公司2年度培训训计划1.100.51.1经营风险险：信息息安全教教育不足足，导致致员工信信息安全全意识薄薄弱。1.3.2各级级信息管管理部门门配合人人事部门门开展全全员信息息安全教教育和培培训，并并在信息息门户或或内部网网站发布布安全教教育培训训材料。信息系统统管理部部分（子）公司2安全教育育培训材材料1.100.51.4风风险评估估1.12.2经营风险险：信息息系统风风险评估估缺失，导致信信息系统统风险。1.4.1根据据中国国石油化化工股份份有限公公司信息息系统风风险评估估管理办办法，信息系系统

5、管理理部负责责每年对对信息系系统进行行年度综综合风险险评估，形成风风险评估估报告，并组织织专家组组对风险险评估报报告进行行评审，专家组组对风险险评估报报告提出出评审意意见并签签字；分分（子）公司信信息管理理部门会会同相关关业务部部门，通通过多种种形式，组织本本单位信信息系统统的风险险评估，包括企企业信息息系统整整体风险险、重点点系统风风险、主主要基础础设施风风险等，形成相相关风险险评估报报告，并并将风险险评估报报告经信信息管理理部门负负责人审审核签字字后报信信息系统统管理部部备案。信息系统统管理部部分（子）公司4风险评估估报告2.100.31.5信信息安全全管理1.12.2经营风险险：信息息安

6、全规规划不当当，信息息安全方方案缺失失，导致致信息系系统风险险。1.5.1信息息系统管管理部负负责编制制信息安安全规划划，在征征求职能能部门、事业部部和分（子）公公司意见见后，组组织专家家组评审审，并根根据专家家意见负负责组织织修改，经信息息系统管管理部主主任审核核后，正正式发布布。各分（子子）公司司信息管管理部门门根据股股份公司司信息安安全规划划，结合合自身生生产经营营管理的的需要，并针对对风险评评估报告告中提出出的问题题，负责责制订本本企业的的信息安安全方案案，经分分管经理理审批后后报信息息系统管管理部备备案。信息系统统管理部部分（子）公司4信息安全全规划信息安全全方案2.100.21.1

7、2.2经营风险险：系统统未确定定关键岗岗位，关键岗岗位缺乏乏监管，导致系系统存在在安全隐隐患。1.5.2依照照中国国石油化化工股份份有限公公司信息息系统安安全管理理办法规定，各级信信息管理理部门负负责提出出本单位位的“信息系系统关键键岗位名名录”，其中中涉及信信息系统统安全的的关键岗岗位由信信息管理理部门确确定，涉涉及业务务信息安安全的关关键岗位位由主管管业务部部门商本本单位保保密委员员会确定定。“信息系系统关键键岗位名名录”上的关关键岗位位人员要要与所在在单位签签署“信息系系统关键键岗位安安全责任任书”，并在在人事部部门备案案。总部各部部门分（子）公司3信息系统统关键岗岗位名录录信息系统统关

8、键岗岗位安全全责任书书2.100.21.12.2经营风险险：系统统安全岗岗位设置置缺失，导致系系统存在在安全隐隐患。1.5.3各级级信息管管理部门门根据中国石石油化工工股份有有限公司司信息系系统安全全管理办办法中中的有关关要求，按照不不相容岗岗位分离离的原则则，设立立安全管管理员。安全管管理员必必须具有有相应资资质，并并经部门门负责人人审批授授权。信息系统统管理部部分（子）公司3安全管理理员授权权书安全管理理员资质质证书2.100.22. 编编制年度度项目建建议计划划1.12.2经营风险险：年度度信息化化项目建建议计划划不符合合股份公公司经营营战略目目标，导导致盲目目建设、投资低低效。2.1信

9、信息系统统管理部部根据股股份公司司信息化化建设中中长期规规划和职职能部门门、事业业部、分分（子）公司申申报的项项目建议议计划，结合年年度实际际，编制制年度信信息化项项目建议议计划，由信息息系统管管理部主主任审核核，按规规定权限限审批后后，分别别纳入股股份公司司年度投投资计划划、科技技开发项项目计划划管理。各分（子）公公司信息息管理部部门负责责编制年年度信息息化项目目建议计计划预案案，按规规定权限限审批后后，分别别纳入本本单位年年度投资资建议计计划、科科技开发发项目建建议计划划，上报报信息系系统管理理部和总总部相关关部门审审核。信息系统统管理部部分（子）公司5信息化建建设年度度计划1.100.5

10、3. 项项目可行行性研究究和评审审1.11.2经营风险险：项目目可行性性研究报报告提出出的技术术方案不不合理，业务流流程不规规范，系系统功能能不健全全，可研研评审不不到位，导致系系统建设设不能满满足业务务需求。3.1信信息管理理部门会会同项目目责任部部门(单单位)委委托有资资格的单单位承担担项目可可行性研研究，并并组织专专家组对对项目可可行性研研究报告告进行评评审，专专家组对对项目需需求、目目标、技技术路线线、风险险分析、投资与与效益、进度、组织落落实等提提出可行行性研究究评审意意见并签签字。信息系统统管理部部分（子）公司5可行性研研究报告告1.100.24.项目目立项审审批1.11.2经营风

11、险险：信息息化项目目缺乏统统一归口口管理，审批过过程不规规范，导导致重复复建设，低效投投资。4.1通通过可研研评审的的固定资资产投资资限额（2000万元）及以上上的信息息技术项项目，由由信息系系统管理理部报发发展计划划部立项项，批准准立项的的项目，由发展展计划部部列入年年度投资资计划；申请总总部立项项的固定定资产投投资限额额（2000万元元）以下下的信息息技术项项目，由由信息系系统管理理部负责责审批，报发展展计划部部备案；由各事事业部审审批的投投资限额额以下的的信息技技术项目目投资计计划，须须经信息息系统管管理部和和发展计计划部会会签。各分（子子）公司司一般措措施及零零星购置置的信息息技术项项

12、目在总总部每年年核定的的限额以以内，由由各分（子）公公司根据据当期生生产经营营管理的的需要，按规定定权限审审批后报报各主管管事业部部、信息息系统管管理部和和发展计计划部审审核备案案，并纳纳入股份份公司年年度投资资计划管管理。通过可研研评审的的科技开开发项目目，由信信息系统统管理部部报科技技开发部部立项，批准立立项的项项目，由由科技开开发部列列入年度度项目计计划。信息系统统管理部部发展计划划部科技开发发部事业部分（子）公司5立项批文文1.100.21.11.2经营风险险：总体体（基础础）设计计技术方方案不合合理，业业务流程程不规范范，系统统功能不不健全，专家组组评审不不到位，导致系系统建设设不能

13、满满足业务务需求。4.2对对批准立立项的、投资在在5000万元及及以上的的项目，信息系系统管理理部委托托有资格格的单位位按要求求对项目目进行总总体（基基础）设设计，其其中投资资在20000万万元及以以上的项项目需组组织专家家组对项项目总体体（基础础）设计计进行评评审，专专家组对对项目需需求分析析、目标标、功能能设计、投资概概算等提提出评审审意见并并签字，由信息息系统管管理部负负责审批批总体（基础）设计，报发展展计划部部备案。信息系统统管理部部3总体（基基础）设设计评审审材料1.100.25.合同同签订1.11.2经营风险险：承建建单位资资质及经经验欠缺缺，导致致项目建建设受损损。未经经审核，变

14、更信信息技术术合同标标准文本本中涉及及的权利利、义务务等条款款，导致致财务风风险。财务风险险： 交交易不真真实，影影响财务务报告。5.1信信息管理理部门负负责组织织项目责责任部门门(单位位)审查查集成商商、咨询询商、开开发商及及供应商商的资质质，开展展询比价价、商务务谈判等等工作；涉及有有关计算算机服务务器、PPC机、打印机机采购事事宜，由由物资采采购部门门归口管管理、信信息管理理部门配配合开展展采购工工作。依依照规定定权限并并按经法法律事务务部审定定的标准准合同文文本签订订合同；项目责责任部门门(单位位)负责责完成合合同技术术附件，并由负负责人签签字确认认。信息系统统管理部部物资装备备部分（

15、子）公司4合同技术附件件1.100.2固定资产产无形资产产6.项目目实施1.11.2经营风险险：详细细设计技技术方案案不合理理，业务务流程不不规范，系统功功能不健健全，审审查不到到位，导导致系统统建设不不能满足足业务需需求。6.1项项目实施施单位根根据合同同技术附附件或总总体设计计进行详详细设计计，详细细设计的的形式可可根据项项目类别别的不同同（自主主开发项项目、引引进试点点项目、推广完完善项目目、基础础设施项项目）采采取与项项目类别别相适应应的形式式，投资资在5000万元元及以上上的项目目需由信信息管理理部门组组织人员员对项目目详细设设计进行行审查，项目实实施单位位根据审审查意见见进一步步修

16、改完完善深化化详细设设计。 信息系统统管理部部分（子）公司4项目详细细设计1.100.21.11.2经营风险险：基础础数据不不完整、不准确确、不真真实，导导致系统统无法正正常投运运或计算算出错。6.2项项目责任任部门(单位)负责项项目实施施，业务务部门组组织数据据的收集集、整理理、录入入、审核核，并进进行审查查和确认认，保证证数据的的真实、完整和和准确。信息系统统管理部部分（子）公司31.100.21.11.22.1经营风险险：系统统安装调调试不当当，用户户培训缺缺失，导导致系统统运行受受损。合规风险险：安装装的软件侵犯犯知识产产权，导导致诉讼讼及股份份公司声声誉受到到损害。6.3信信息管理理

17、部门负负责对项项目实施施单位承承担的软软硬件系系统安装装调试、用户培培训进行行检查，审核和和确认测测试报告告，并检检查相应应软件的的合法性性，提供供经双方方签字的的检查记记录。信息系统统管理部部分（子）公司3系统安装装调试和和用户培培训报告告软件验收收报告1.100.21.11.2经营风险险：项目目监管不不力，系系统建设设延误，导致系系统不能能按期投投用。6.4信信息管理理部门负负责组织织对项目目建设的的阶段验验收，进进行项目目建设质质量、进进度、标标准执行行和成本本控制等等检查，提出阶阶段验收收报告；项目实实施单位位根据阶阶段验收收报告对对系统进进行修改改完善。500万万元以下下的一般般信息

18、技技术项目目可根据据项目具具体实施施情况，只进行行竣工验验收。信息系统统管理部部分（子）公司3阶段验收收报告1.100.21.11.2经营风险险：项目目监管不不力，系系统建设设延误，导致系系统不能能按期投投用或资金金流失。财务风险险：未按按约定付付款，影影响财务务报告。6.5项项目责任任部门(单位)负责至至少每季季度向信信息管理理部门提提交项目目实施报报告，内内容包括括项目进进度、质质量、经经费使用用、存在在问题和和整改措措施等；根据合合同约定定填写付付款申请请，按规规定权限限审批后后办理付付款。信息系统统管理部部分（子）公司经办审批3项目实施施报告 付款申请请1.100.2在建工程程货币资金

19、金应付账款款1.11.2经营风险险：集成成测试不不完整，造成系系统评估估不准确确。6.6信信息管理理部门组组织对系系统进行行集成测测试，形形成集成成测试评评价意见见；并根根据集成成测试评评价意见见责成项项目实施施单位进进行修改改完善。信息系统统管理部部分（子）公司3集成测试试评价意意见1.100.21.11.2经营风险险：技术术文档不不完整、造成系系统应用用维护困困难6.7项项目责任任部门(单位)责成项项目实施施单位负负责知识识转移，并提交交项目相相关的技技术文档档（包括括用户使使用手册册、系统统维护手手册、系系统安全全和使用用授权管管理办法法、应急急处理办办法及用用户培训训教材等等资料）。信

20、息系统统管理部部分（子）公司5项目技术术文档1.100.27.项目目竣工验验收1.11.2经营风险险：单轨轨运行时时间过短短，无法法完成对对系统的的准确评评价7.1项项目完成成全部的的规定目目标任务务后，投投资20000万万元及以以上的项项目单轨轨连续稳稳定运行行6个月以以上，其其它项目目单轨连连续稳定定运行33个月以以上，由由项目责责任部门门(单位位)以正正式行文文方式提提交项目目竣工验验收申请请，同时时提交项项目验收收相关材材料一并并审核。总部批批复的项项目向信信息系统统管理部部提交验验收申请请，由信信息系统统管理部部负责组组织项目目验收工工作。分分(子)公司自自行批复复的项目目向企业业信

21、息管管理部门门提交验验收申请请，由分分(子)公司信信息管理理部门负负责组织织项目验验收工作作。专家家组形成成验收意意见并签签字。信息系统统管理部部分（子）公司4项目验收收意见1.100.21.11.2经营风险险：竣工工验收决决算报告告或审计计报告不不严格，导致资资金外流流财务风险险：未按按约定付付款，影影响财务务报告。合规风险险：违反反国家和和企业会会计制度度，造成成项目资资金损失失。7.2信信息管理理部门会会同财务务部门按按规定进进行项目目竣工结结算。财财务部门门按竣工工验收决决算报告告或审计计报告办办理项目目转资手手续，按按股份公公司内部部会计制制度及有有关规定定，经财财务部门门负责人人审

22、核后后，进行行账务处理理。相关关会计凭凭证须经经不相容容岗位人人员稽核核。在信息技技术项目目达到预预定的可可使用状状态时，财务部部门应依依据有关关部门提提供的手手续，按按照股份份公司内内部会计计制度，经部门门负责人人审核后后，暂估估入账。相关会会计凭证证须经不不相容岗岗位人员员稽核。财务部信息系统统管理部部分（子）公司信息部门门财务部门门3竣工验收收决算报报告1.100.2在建工程程固定资产产1.11.2经营风险险：后评评价报告告缺失，无法定定性和定定量评估估项目的的经济效效益和社社会效益益。7.3对对固定资资产投资资20000万元元及以上上的试点点项目，通过验验收后，信息管管理部门门组织专专

23、家组对对项目进进行后评评价，专专家组提提出后评评价报告告并签字字。信息系统统管理部部分（子）公司2后评价报报告1.100.28.系统统应用和和维护1.11.2经营风险险：由于于第三方方资质问问题或信信息管理理部门缺缺乏专人人维护，系统维维护质量量受损。8.1需需委托维维护的信信息系统统，信息息管理部部门负责责审查系系统服务务商资质质，并签签订系统统维护服服务合同同以及安安全保密密协议；由信息息管理部部门自行行维护的的，则指指定专人人负责维维护，制制定岗位位职责。信息系统统管理部部分（子）公司4系统维护护服务合合同及安安全保密密协议系统维护护相关岗岗位职责责说明1.100.51.11.22.1经

24、营风险险：数据据维护、用户管管理等制制度缺失失，系统统日常维维护、用用户培训训等欠缺缺，造成成工作受受损。合规风险险：软件件使用侵侵犯知识识产权，导致诉诉讼及股股份公司司声誉受受到损害害。8.2项项目责任任部门(单位)负责业业务流程程、业务务工作标标准、数数据维护护、用户户管理、数据使使用安全全、知识识产权合合法性使使用及相相关制度度的制定定和落实实等工作作。信息管理理部门负负责组织织日常软软硬件系系统维护护、合法法软件使使用情况况检查和和关键用用户与一一般用户户的培训训、考核核等工作作。信息系统统管理部部分（子）公司6相关系统统运维制制度或规规定用户培训训记录1.100.59.系统统升级1.

25、11.2经营风险险：系统统功能陈旧旧，导致致不能满满足业务务需求。9.1项项目责任任部门(单位)负责对对业务流流程与系系统模型型进行适适时评价价，并根根据评价价和修正正意见，提出应应用软件件的升级级申请，责任部部门(单单位)负负责人须须签字确确认。升升级申请请纳入计计划后组组织实施施。信息系统统管理部部分（子）公司3应用软件件升级申申请1.11.2经营风险险：系统统升级不不当，造造成系统统工作不不正常。9.2信信息管理理部门负负责组织织对系统统软、硬硬件进行行适时评评价，并并根据评评价意见见提出系系统软、硬件升升级申请请，信息息管理部部门负责责人须签签字确认认。升级级申请纳纳入计划划后组织织实

26、施。信息系统统管理部部分（子）公司3系统软、硬件升升级申请请11.1信息系统管理业务流程一、 业务目标1经营营目标1.1 满足生生产经营营管理业业务需求求，提高高管理水水平、技技术水平平和市场场应变能能力，提提高核心心竞争力力。1.2 达到系系统建设设预期目目标，系系统运行行安全、稳定，出现系系统故障障时能够够及时恢恢复，系系统具有有扩展性性、集成成性。2合规规目标2.1 遵守保保护知识识产权的的有关法法律法规规，使用用合法软软件。2.2 信息技技术控制制符合国国家法律律、法规规、股份份公司内内部规章章制度及及上市地地证券监监管机构构有关要要求。二、 业务务风险1 经营风风险1.1 信息化化管

27、理体体系不完完善，信信息管理理部门职职责不落落实，导导致信息息化工作作受损。1.2 信息系系统建设设项目不不符合股股份公司司经营战战略目标标，导致致盲目建设设、投资资低效。本流程程适用于于列入股股份公司司固定资资产投资资和科技技开发项项目计划划的信息息系统建建设、运运行和维维护，有有关科技技开发项项目的立立项和经经费管理理按33.3科科技开发发费管理理业务流流程控控制。信息系系统业务务,根据据其特点点执行11.1信息息系统管管理业务务流程,但应应参见6.11资本支支出业务务流程。1.3 信息安安全规划划不当，风险评评估缺失失，信息息安全教教育不足足，员工工安全意意识薄弱弱，导致致信息系系统风险

28、险。1.4 技术方方案不合合理，业业务流程程不规范范，系统统功能不不健全，导致系系统不能能满足业业务需求求。1.5 基础数数据不完完整、不不准确、不真实实，导致致系统无无法正常常投运或或计算出出错。1.6 项目监监管不力力，系统统建设延延误，导导致系统统不能按按期投用用或资金金流失。1.7 系统运运行不稳稳定，数数据失真真、丢失失，导致致日常业业务工作作无法正正常进行行。1.8 系统存存在网络络故障、病毒侵侵袭等安全问题题，导致非非法入侵侵及泄密密等，或或系统灾灾难无法法及时恢恢复。1.9系系统运维维不落实实，功能能陈旧，导致不不能满足足业务需求求。1.100未经审审核，变变更信息息技术合合同

29、标准准文本中中涉及的的权利、义务等等条款，造造成损失失。2 财财务风险险2.1 交易不不真实，未按约约定付款款，影响响财务报报告。3 合规风风险3.1 侵犯知知识产权权，导致致诉讼及及股份公公司声誉誉受到损损害。3.2 信息技技术控制制不符合合国家法法律、法法规、股股份公司司内部规规章制度度及上市市地证券券监管机机构有关关要求,造成损损失。3.3 违反国国家和企企业会计计制度，造成项项目资金金损失。三、 业务务流程步步骤与控控制点1 IT整整体层面面管理1.1 股份公公司建立立完善的的信息化化管理体体系，设设立ERRP指导导委员会会, 设设立信息息系统管管理部负负责股份份公司信信息化归归口管理

30、理工作;各分（子）公公司设立立信息化化领导小小组或EERP指指导委员员会，定定期召开开会议，听取、总结和和指导本本单位信信息化工工作，设立信信息管理理部门负负责本单单位信息息化管理理工作，对信息息系统和和信息资资源行使使管理职职责。1.2 根据股股份公司司发展战战略目标标和核心心业务，结合信信息技术术发展和和股份公公司实际际，信息息系统管管理部负负责组织织编制股股份公司司信息化化建设中中长期规规划，在在充分征征求职能能部门、事业部部和分（子）公公司意见见后，组组织专家家组评审审，并根根据专家家意见负负责组织织修改，经信息息系统管管理部主主任审核核，按规规定权限限审批后后，纳入入股份公公司中长长

31、期发展展规划。1.3 教育和和培训1.3.1 各级信信息管理理部门负负责编制制年度信信息化培培训计划划，经部部门负责责人审批批后，纳纳入人事事部门年年度培训训计划,并组织织落实。1.3.2 各级信信息管理理部门配配合人事事部门开开展全员员信息安安全教育育和培训训，并在在信息门门户或内内部网站站发布安安全教育育培训材材料。1.4 风险评评估1.4.1根据据中国国石油化化工股份份有限公公司信息息系统风风险评估估管理办办法，信息系系统管理理部负责责每年对对信息系系统进行行年度综综合风险险评估，形成风风险评估估报告，并组织织专家组组对风险险评估报报告进行行评审，专家组组对风险险评估报报告提出出评审意意

32、见并签签字；分分（子）公司信信息管理理部门会会同相关关业务部部门，通通过多种种形式，组织本本单位信信息系统统的风险险评估，包括企企业信息息系统整整体风险险、重点点系统风风险、主主要基础础设施风风险等，形成相相关风险险评估报报告，并将风风险评估估报告经经信息管管理部门门负责人人审核签签字后报报信息系系统管理理部备案案。1.5 信息安安全管理理1.5.1信息息系统管管理部负负责编制制信息安安全规划划，在征征求职能能部门、事业部部和分（子）公公司意见见后，组组织专家家组评审审，并根根据专家家意见负负责组织织修改，经信息息系统管管理部主主任审核核后，正正式发布布。各分（子子）公司司信息管管理部门门根据

33、股股份公司司信息安安全规划划，结合合自身生生产经营营管理的的需要，并针对对风险评评估报告告中提出出的问题题，负责责制订本本企业的的信息安安全方案案，经分分管经理理审批后后报信息息系统管管理部备备案。 1.5.2依照照中国国石油化化工股份份有限公公司信息息系统安安全管理理办法规定，各级信信息管理理部门负负责提出出本单位位的“信息系系统关键键岗位名名录”，其中中涉及信信息系统统安全的的关键岗岗位由信信息管理理部门确确定，涉涉及业务务信息安安全的关关键岗位位由主管管业务部部门商本本单位保保密委员员会确定定。“信息系系统关键键岗位名名录”上的关关键岗位位人员要要与所在在单位签签署“信息系系统关键键岗位

34、安安全责任任书”，并在在人事部部门备案案。1.5.3 各级信信息管理理部门根根据中中国石油油化工股股份有限限公司信信息系统统安全管管理办法法中的的有关要要求，按按照不相相容岗位位分离的的原则，设立安安全管理理员。安安全管理理员必须须具有相相应资质质，并经经部门负负责人审审批授权权。2 编制年年度项目目建议计计划2.1 信息系系统管理理部根据据股份公公司信息息化建设设中长期期规划和和职能部部门、事事业部、分（子子）公司司申报的的项目建建议计划划，结合合年度实实际，编编制年度度信息化化项目建建议计划划，由信信息系统统管理部部主任审审核，按按规定权权限审批批后，分分别纳入入股份公公司年度度投资计计划

35、、科科技开发发项目计计划管理理。各分分（子）公司信信息管理理部门负负责编制制年度信信息化项项目建议议计划预预案，按按规定权权限审批批后，分分别纳入入本单位位年度投投资建议议计划、科技开开发项目目建议计计划，上上报信息息系统管管理部和和总部相相关部门门审核。3 项目可可行性研研究和评评审3.1 信息管管理部门门会同项项目责任任部门(单位)委托有有资格的的单位承承担项目目可行性性研究，并组织织专家组组对项目目可行性性研究报报告进行行评审，专家组组对项目目需求、目标、技术路路线、风风险分析析、投资资与效益益、进度度、组织织落实等等提出可可行性研研究评审审意见并并签字。4 项目立立项审批批4.1 通过

36、可可研评审审的固定定资产投投资限额额（2000万元元）及以以上的信信息技术术项目，由信息息系统管管理部报报发展计计划部立立项，批批准立项项的项目目，由发发展计划划部列入入年度投投资计划划；申请请总部立立项的固固定资产产投资限限额（2200万万元）以以下的信信息技术术项目，由信息息系统管管理部负负责审批批，报发发展计划划部备案案；由各各事业部部审批的的投资限限额以下下的信息息技术项项目投资资计划，须经信信息系统统管理部部和发展展计划部部会签。 各分（子）公公司一般般措施及及零星购购置的信信息技术术项目在在总部每每年核定定的限额额以内，由各分分（子）公司根根据当期期生产经经营管理理的需要要，按规规

37、定权限限审批后后报各主主管事业业部、信信息系统统管理部部和发展展计划部部审核备备案，并并纳入股股份公司司年度投投资计划划管理。 通过可可研评审审的科技技开发项项目，由由信息系系统管理理部报科科技开发发部立项项，批准准立项的的项目，由科技技开发部部列入年年度项目目计划。4.2 对批准准立项的的、投资资在5000万元元及以上上的项目目，信息息系统管管理部委委托有资资格的单单位按要要求对项项目进行行总体（基础）设计，其中投投资在220000万元及及以上的的项目需需组织专专家组对对项目总总体（基基础）设设计进行行评审，专家组组对项目目需求分分析、目目标、功功能设计计、投资资概算等等提出评评审意见见并签

38、字字，由信信息系统统管理部部负责审审批总体体（基础础）设计计，报发发展计划划部备案案。5 合同签签订51 信信息管理理部门负负责组织织项目责责任部门门(单位位)审查查集成商商、咨询询商、开开发商及及供应商商的资质质，开展展询比价价、商务务谈判等等工作；涉及有有关计算算机服务务器、PPC机、打印机机采购事事宜，由由物资采采购部门门归口管管理、信信息管理理部门配配合开展展采购工工作。依依照规定定权限并并按经法法律事务务部审定定的标准准合同文文本签订订合同；项目责责任部门门(单位位)负责责完成合合同技术术附件，并由负负责人签签字确认认。6 项项目实施施6.1 项目实实施单位位根据合合同技术术附件或或

39、总体设设计进行行详细设设计，详详细设计计的形式式可根据据项目类类别的不不同（自自主开发发项目、引进试试点项目目、推广广完善项项目、基基础设施施项目）采取与与项目类类别相适适应的形形式，投投资在5500万万元及以以上的项项目需由由信息管管理部门门组织人人员对项项目详细细设计进进行审查查，项目目实施单单位根据据审查意意见进一一步修改改完善深深化详细细设计。 6.2 项目责责任部门门(单位位)负责责项目实实施，业业务部门门组织数数据的收收集、整整理、录录入、审审核，并并进行审审查和确确认，保保证数据据的真实实、完整整和准确确。6.3 信息管管理部门门负责对对项目实实施单位位承担的的软硬件件系统安安装

40、调试试、用户户培训进进行检查查，审核核和确认认测试报报告，并并检查相相应软件件的合法法性，提提供经双双方签字字的检查查记录。6.4 信息管管理部门门负责组组织对项项目建设设的阶段段验收，进行项项目建设设质量、进度、标准执执行和成成本控制制等检查查，提出出阶段验验收报告告；项目目实施单单位根据据阶段验验收报告告对系统统进行修修改完善善。500万万元以下下的一般般信息技技术项目目可根据据项目具具体实施施情况，只进行行竣工验验收。6.5 项目责责任部门门(单位位)负责责至少每每季度向向信息管管理部门门提交项项目实施施报告，内容包包括项目目进度、质量、经费使使用、存存在问题题和整改改措施等等；根据据合

41、同约约定填写写付款申申请，按按规定权权限审批批后办理理付款。6.6 信息管管理部门门组织对对系统进进行集成成测试，形成集集成测试试评价意意见；并并根据集集成测试试评价意意见责成成项目实实施单位位进行修修改完善善。6.7 项目责责任部门门(单位位)责成成项目实实施单位位负责知知识转移移，并提提交项目目相关的的技术文文档（包包括用户户使用手手册、系系统维护护手册、系统安安全和使使用授权权管理办办法、应应急处理理办法及及用户培培训教材材等资料料）。7 项目竣竣工验收收7.1 项目完完成全部部的规定定目标任任务后，投资220000万元及及以上的的项目单单轨连续续稳定运运行6个月以以上，其其它项目目单轨

42、连连续稳定定运行33个月以以上，由由项目责责任部门门(单位位)以正正式行文文方式提提交项目目竣工验验收申请请，同时时提交项项目验收收相关材材料一并并审核。总部批批复的项项目向信信息系统统管理部部提交验验收申请请，由信信息系统统管理部部负责组组织项目目验收工工作。分分(子)公司自自行批复复的项目目向企业业信息管管理部门门提交验验收申请请，由分分(子)公司信信息管理理部门负负责组织织项目验验收工作作。专家家组形成成验收意意见并签签字。7.2 信息管管理部门门会同财财务部门门按规定定进行项项目竣工工结算。财务部部门按竣竣工验收收决算报报告或审审计报告告办理项项目转资资手续，按股份份公司内内部会计计制

43、度及及有关规规定，经经财务部部门负责责人审核核后，进进行账务处理理。相关关会计凭凭证须经经不相容容岗位人人员稽核核。在信息技技术项目目达到预预定的可可使用状状态时，财务部部门应依依据有关关部门提提供的手手续，按按照股份份公司内内部会计计制度，经部门门负责人人审核后后，暂估估入账。相关会会计凭证证须经不不相容岗岗位人员员稽核。7.3 对固定定资产投投资20000万万元及以以上的试试点项目目，通过过验收后后，信息息管理部部门组织织专家组组对项目目进行后后评价，专家组组提出后后评价报报告并签签字。8 系统应应用和维维护8.1 需委托托维护的的信息系系统，信信息管理理部门负负责审查查系统服服务商资资质

44、，并并签订系系统维护护服务合合同以及及安全保保密协议议；由信信息管理理部门自自行维护护的，则则指定专专人负责责维护，制定岗岗位职责责。8.2 项目责责任部门门(单位位)负责责业务流流程、业业务工作作标准、数据维维护、用用户管理理、数据据使用安安全、知知识产权权合法性性使用及及相关制制度的制制定和落落实等工工作。 信信息管理理部门负负责组织织日常软软硬件系系统维护护、合法法软件使使用情况况检查和和关键用用户与一一般用户户的培训、考核等等工作。9 系统升升级9.1 项目责责任部门门(单位位)负责责对业务务流程与与系统模模型进行行适时评评价，并并根据评评价和修修正意见见，提出出应用软软件的升升级申请

45、请，责任任部门(单位)负责人人须签字字确认。升级申申请纳入入计划后后组织实实施。9.2 信息管管理部门门负责组组织对系系统软、硬件进进行适时时评价，并根据据评价意意见提出出系统软软、硬件件升级申申请，信信息管理理部门负负责人须须签字确确认。升升级申请请纳入计计划后组组织实施施。四、 相关关制度目目录（制制度后标标号为内控手手册配套套规章 制度汇汇编目目录索引引号）1 中国石石油化工工股份公公司信息息化管理理办法（石化股股份信200073899号） 11.100.52 中国石石油化工工股份有有限公司司信息技技术项目目管理办办法（试试行）（石化股股份信200042266号号）11.100.23 中

46、国石石油化工工股份有有限公司司信息系系统风险险评估管管理办法法（石化化股份信信综220066377号） 2.110.334 中国石石油化工工股份有有限公司司公司信信息系统统安全管管理办法法（石化化股份信信系220066第335号 2.110.2211.22信息资资源管理理业务内内部控制制矩阵业务目标标业务风险险控制点适用单位位不相容岗位控制点分分值控制点相相关资料料相关制度度索引会计报表表认定会计报表表项目1存在和和发生/真实性性；2完完整性；3权利利与义务务；4估估价或分分摊；55表达和和披露；6准确确性1234561.各部部门梳理理信息和和需求1.1经营风险险：信息息梳理不不恰当，信息目目

47、录不明明晰，导导致信息息管理有有误，效效率低下下。1.1股股份公司司各职能能部门、事业部部、分（子）公公司各部部门（以以下统称称各部门门）首先先梳理本本部门管管理的内内部信息息，即本本部门形形成的和和直接管管理的内内部信息息，制定定部门内内部信息息目录，并由部部门负责责人签字字确认。总部各部部门分（子）公司8部门内部部信息目目录1.100.11.1经营风险险：信息息需求不不明确，需求目目录不明明晰，导导致信息息提供有有误，效效率低下下。1.2各各部门依依据业务务职责梳梳理各种种外部信信息需求求，包括括需要其其他部门门提供的的信息和和需外购购的信息息，形成成相应的的部门信信息需求求目录，并明确确

48、信息内内容、信信息提供供频率和和信息提提供方式式等。部部门信息息需求目目录由部部门负责责人签字字确认。总部各部部门分（子）公司7部门信息息需求目目录1.100.12.汇总总各部门门需部门门外提供供的信息息需求1.1经营风险险：共享享信息需需求目录录和外购购信息需需求目录录未经各各部门核核对确认认，未经相相关领导导审核批批准，导导致信息息共享落落空。2.1信信息管理理部门组组织汇总总各部门门需要其其他部门门提供的的信息和和需外购购的信息息，编制制部门间间共享信信息需求求目录和和外购信信息需求求目录，分别反反馈各部部门核对对确认。总部部部门间共共享信息息需求目目录由股股份公司司副总裁裁审核批批准；

49、分分（子）公司部部门间共共享信息息需求目目录由分分（子）公司分分管副经经理审核核批准。信息系统统管理部部分（子）公司5部门间共共享信息息需求目目录外购信息息需求目目录1.100.13.落实实部门间间共享信信息源和和外购信信息源1.11.2经营风险险：部门门间共享享信息源源不落实实，导致致信息提提供落空空。3.1信信息管理理部门协协助信息息需求部部门落实实部门间间共享信信息源，信息提提供部门门负责按按审核后后的部门门间共享享信息需需求目录录提供共共享信息息。信息系统统管理部部分（子）公司71.100.11.11.2经营风险险：外购购信息源源不落实实，导致致信息提提供落空空。未经审核核，变更更信息

50、购购入、转转让合同同示范文文本中有有关权利利、义务务的条款款，导致致损失。3.2外外购信息息的订购购、采集集由信息息管理部部门统一一归口管管理。外外购信息息源由信信息管理理部门和和相关部部门综合合考虑信信息的权权威性、时效性性和提供供方式，按外购购信息需需求目录录逐一确确定。总部各部部门分（子）公司81.100.14.信息息分级1.22.1经营风险险：信息息分级不不当，导导致信息息送达不不当，贻贻误工作作。违反股份份公司保保密等规规定，导导致商业业秘密信信息流失失。合规风险险：信息息的收集集、提供供、使用用、转让让违反国国家法律律法规及及导致处处罚；违违反股份份公司内内部规章章制度等等，导致致

51、商业秘秘密流失失。4.1各各部门依依据中中国石化化信息分分级及信信息门户户授权规规则及及其它相相关保密密规定，对本部部门管理理的内部部信息实实施分级级，确定定一般信信息、商商业秘密密信息等等，形成成本部门门信息密密级目录录列表，由部门门负责人人签字确确认。信信息管理理部门汇汇总各部部门信息息密级目目录列表表，作为为信息资资源管理理和信息息访问控控制的基基础。总部各部部门分（子）公司12部门信息息密级目目录列表表1.100.45.信息息集中和和信息整整合1.11.21.3经营风险险：信息息平台功功能欠缺缺，信息息集成度度不够，信息处处理不当当，导致致信息质质量下降降。5.1信信息管理理部门负负责

52、建立立内部公公共信息息平台，实施信信息集中中和信息息整合，采用统统一标准准接入、存储、处理和和发布各各类信息息。信息系统统管理部部分（子）公司101.100.16.信息息授权1.11.2经营风险险：部门门信息授授权不当当，导致致信息泄泄密或贻贻误工作作。6.1信信息管理理部门依依据股份份公司有有关信息息资源管管理的规规定，按按照各部部门管理理职责及及部门间间共享信信息需求求目录，通过信信息平台台对各部部门实施施信息授授权。信息系统统管理部部分（子）公司信息管理理部门相关部门门51.100.41.11.22.1经营风险险：员工工信息授授权不当当，导致致信息泄泄密或贻贻误工作作。违反股份份公司保保

53、密等规规定，导导致商业业秘密信信息流失失。合规风险险：信息息的收集集、提供供、使用用、转让让违反国国家法律律法规及及导致处处罚；违违反股份份公司内内部规章章制度等等，导致致商业秘秘密流失失。6.2各各部门依依据中中国石化化信息分分级及信信息门户户授权规规则，结合本本部门信信息密级级目录列列表，按按照员工工的工作作职责，形成本本部门员员工信息息授权列列表，并并由部门门负责人人审查签签字，通通过信息息平台对对员工分分别进行行信息授授权，保保证信息息准确送送达。员员工工作作岗位发发生变动动，应及及时变更更信息授授权列表表，通过过信息平平台及时时变更信信息授权权。总部各部部门分（子）公司信息管理理部门

54、相关部门门10部门员工工信息授授权列表表1.100.47.信息息使用和和共享1.11.3经营风险险：内部部信息更更新不及及时，信信息传输输延误，影响决决策和管管理。7.1信信息提供供部门负负责源信信息的维维护，保保证信息息的时效效性，按按日、按按周、按按月等适适时更新新。总部各部部门分（子）公司61.100.11.11.3经营风险险：外部部信息更更新不及及时，信信息传输输延误，影响决决策和管管理。7.2信信息管理理部门及及有关部部门做好好外购信信息的及及时采集集和处理理，保证证信息的的时效性性，按日日、按周周、按月月等适时时更新。总部各部部门分（子）公司51.100.11.3经营风险险：信息息

55、平台维维护不够够，导致致信息处处理、信信息使用用质量下下降。7.3信信息管理理部门加加强公共共信息平平台的维维护，保保证信息息处理可可靠及时时，信息息使用灵灵活方便便，并提提交季度度信息平平台使用用和运维维报告。信息系统统管理部部分（子）公司6信息平台台使用和和运维季季度报告告1.100.18.信息息质量反反馈1.11.3经营风险险：信息息使用问问题未及及时反馈馈提交，导致信信息共享享信息质质量欠佳佳。8.1信信息使用用部门针针对信息息的准确确性、时时效性、完整性性和一致致性提出出意见，由信息息管理部部门及时时汇总后后分别送送达相关关信息提提供部门门，协助助和督促促信息提提供部门门不断提提高共

56、享享信息的的质量。总部各部部门分（子）公司6信息质质量反馈馈意见表表1.100.11.11.21.3经营风险险：信息息平台未未及时提提升，导导致性能能、功能能、服务务不能满满足工作作需求。8.2信信息管理理部门随随时收集集各部门门有关公公共信息息平台性性能、功功能、服服务等方方面的意意见，制制定提升升方案，落实提提升措施施，跟踪踪提升效效果，并并提交年年度信息息平台提提升报告告。信息系统统管理部部分（子）公司5信息平台台提升年年度报告告1.100.111.22信息资资源管理理业务流流程一、业业务目标标1经营营目标1.1 提供真真实、准准确、完完整的信信息。1.2 提供信信息给恰恰当的使使用者。

57、1.3 提供信信息及时时，使用用方便。2 合规目目标2.1 信息的的收集、提供、使用和和转让符符合国家家安全、知识产产权保护护、合同同法等法法律、法法规及股股份公司司内部规规章制度度的要求求。二、 业务务风险1经营营风险1.1 信息需需求不明明确，信信息分类类不当，导致信信息提供供有误，效率低低下。1.2 信息源源不落实实，导致致信息提提供落空空。1.3 信息分分级不当当，导致致信息送送达不当当，贻误工工作。1.4 信息授授权不当当，导致致信息泄泄密或贻贻误工作作。1.5 信息集集成度不不够，信信息处理理不当，导致信信息质量量下降。本流程程适用于于股份公公司内部部生产经经营管理理类电子子信息。

58、1.6 信息更更新不及及时，信息传传输延误误，影响响决策和和管理。1.7 违反股股份公司司保密等等规定，导致商商业秘密密信息流流失。1.8 未经审审核，变变更信息息购入、转让合合同示范范文本中中有关权权利、义义务的条条款，导导致损失失。2合规规风险2.1 信息的的收集、提供、使用、转让违违反国家家法律法法规及导致处处罚；违违反股份份公司内内部规章章制度等等，导致商商业秘密密流失。三、 业务务流程步步骤与控控制点1 各部门门梳理信息息和需求求1.1 股份公公司各职职能部门门、事业业部、分分（子）公司各各部门（以下统统称各部部门）首首先梳理理本部门门管理的的内部信息息，即本部部门形成成的和直直接管

59、理理的内部部信息，制定部部门内部部信息目目录，并并由部门门负责人人签字确确认。1.2 各部门门依据业业务职责责梳理各各种外部部信息需需求，包包括需要要其他部部门提供供的信息息和需外外购的信信息，形形成相应应的部门门信息需需求目录录，并明明确信息息内容、信息提提供频率率和信息息提供方方式等。部门信信息需求求目录由由部门负负责人签签字确认认。2 汇总各各部门需需部门外外提供的的信息需需求2.1 信息管管理部门门组织汇汇总各部部门需要要其他部部门提供供的信息息和需外外购的信信息，编编制部门门间共享享信息需需求目录录和外购购信息需需求目录录，分别别反馈各各部门核核对确认认。总部部部门间间共享信信息需求

60、求目录由由股份公公司副总总裁审核核批准；分（子子）公司司部门间间共享信信息需求求目录由由分（子子）公司司分管副副经理审审核批准准。3 落实部部门间共共享信息息源和外外购信息息源3.1 信息管管理部门门协助信信息需求求部门落落实部门门间共享享信息源源，信息息提供部部门负责责按审核核后的部部门间共共享信息息需求目目录提供供共享信信息。3.2 外购信信息的订订购、采采集由信信息管理理部门统统一归口口管理。外购信信息源由由信息管管理部门门和相关关部门综综合考虑虑信息的的权威性性、时效效性和提提供方式式，按外外购信息息需求目目录逐一一确定。4信息息分级4.1 各部门门依据中国石石化信息息分级及及信息门门