企业内控应用手册信息系统-流程描述

公司名称xx地产（集团）股份有限公司流程名称信息系统流程描述本流程涉及制度《xx地产（集团）股份有限公司信息化管理制度》流程总述本流程包含以下内容及主要步骤：信息系统规划与开发、日常运行维护、系统变更、安全管理。本流程旨在规范公司信息系统各环节的管理，提高业务运转效率，确保信息安全。主要涉及部门有：成本管理中心。业务环节信息系统规划与开发日常运行维护系统变更安全管理

1.信息系统规划与开发1.1信息系统战略规划公司定期制定三年IT战略规划，由信息管理部负责组织制定和修订，并层层上报给部门领导、分管副总经理、总经理审批，最后由信息管理部负责落实工作发展规划，协助公司的整体发展策略。1.2信息系统年度工作计划的审批和评估公司信息管理部根据三年IT战略规划，于年末制定下一年度的信息系统年度工作计划及投入预算，预算方案包括：软硬件投入、网络投入、运维投入、服务投入等各个方面，由部门领导、分管副总经理、总经理层层审批。每年末，信息管理部相关岗位部门工作总结，对年度工作计划执行情况实施回顾与自我评价，报相关领导审阅。1.3部门设置及人员职责公司信息管理部作为成本管理中心下的二级部门，负责信息系统规划、采购、变更、日常运行维护、安全管理等工作。部门内部设置一名部门经理，统筹安排各类信息系统相关的各项工作，对下属各岗位的职责分工进行明确的划分。1.4信息系统的制度管理公司制定了《保利地产信息化管理制度》，对信息管理部的部门职能与权限、本部信息化管理流程、对下属子公司信息化管理流程以及考核制度等相关方面的内容作出了明确规定。2.日常运行维护2.1异常情况的记录公司信息系统已经设置并启用了自动记录日志功能，能将用户的所有操作活动全部予以保留，系统管理员会定期对系统的日志进行复核。2.2信息系统的日常维护公司信息管理部负责公司信息系统的日常维护，各部门在使用信息系统时如果发生系统故障，通过电话说明故障原因，信息管理部及时安排人员进行处理，如无法解决，及时联系系统提供商。2.3系统数据备份机制公司的信息系统均采用异地备份的方式，机务系统每日实施信息的异地备份。2.4灾难恢复计划的制定及审批成本管理中心制定信息管理应急制度。具体内容包括但不仅限于：明确应急工作涉及的责任部门、岗位，并界定其职责分工和权限范围；应急机制启动的基本条件或标志性事件；规范应急处理工作的标准流程；应急工作报告机制；应急工作责任机制等。2.5突发事件的处理机制条件成熟时，成本管理中心可以定期进行紧急应变及系统恢复演练，并根据测试结果改进信息管理相关工作。3．系统变更3.1系统变更管理公司信息系统的变更应由职能部门提出需求并填写申请单，交由信息管理部对系统变更的可行性签署意见，再按所在部门的部门经理、分管部门的领导逐级审阅并签字批准，在得到适当授权后，应由系统管理员进行系统操作变更。3.2系统变更测试在变更正式转入生产环境之前，会由软件供应商及系统管理维护人员，在搭建的测试系统中系统测试和用户验收测试。测试成功后，方能转入正式的生产环境。3.3系统变更的控制管理公司建立系统变更实施的规范化程序，要求开发单位提交测评报告，包括对系统变更后的访问权限设置、数据转换控制等方面进行全面的评价。公司应将开发单位提交测评报告固化为真正实施系统变更之前的一个必要节点。系统软件变更后，须对变更后的用户访问权限设置从系统中导出来，交由有关部门进行核实，修正由于系统变更造成的权限分配不当情况。同时，建立用户权限定期复核的机制，定期（如每半年/每年）将所有应用系统用户权限导出来，交给部门负责人和职能部门负责人复核，清理、修正不恰当权限分配情况。4.安全管理4.1建立信息系统资产管理制度为有效管理机房，促进各信息系统在机房安全的，稳定的，高效的运行，公司制定了《保利地产信息化管理制度》，其中对机房的管理进行了规定，规范机房环境管理，出入制度，设备管理等方面的工作。信息管理部需参照此制度加强信息系统相关资产的管理，保障公司各项设备的安全。4.2明确信息系统安全管理机构公司成本管理中心下设信息管理部，负责信息技术部日常工作及部门人员日常管理；负责批准建设与完善公司信息化管理体系，制定和规范信息化建设、实施和安全标准；负责信息化规划、信息化预算、项目立项；负责公司信息技术应用及推广，协调各部门进行信息化建设。信息技术部员工须签订保密协议以保障公司信息系统的安全。4.3信息系统授权管理公司建立了《访问控制管理》，通过控制用户权限来实现控制办公网系统和应用系统访问权限的分配，防止非法访问。4.4安装信息系统安全软件公司统一购买趋势杀毒软件，由系统服务器自动下载更新补丁，每日定时进行数据更新。除杀毒软件外，其他软件的安装必须经过管理层的审核，并安装正版软件。4.5不相容职责分离公司建立了计算机信息管理制度来规范计算机信息系统的规划，开发，安全，应用，维护等工作，特别就使用人员的管理做出了具体规定，如使用人员未经批准不得修改系统数据等，以防止部门员工利用职权进行舞弊和犯罪。4.6建立用户管理机制公司信息管理部建立统一登录管理，对于同一公司员工在不同系统中的登录账号和密码须采用统一登录管理，一个员工只能有一套身份识别的用户名和密码；在身份识别方面，加强对密码设置的管理，对于大于三次输入错误的用户名或密码，进行自动锁屏设置；根据唯一的身份识别技术，定期核对从系统中导出用户的访问权限，加强对用户的日常管理。4.7用户注销管理公司本部的人力资源部在办理好离职/岗位变动员工审批后，由员工持离职交接表到系统管理员处，由系统管理员审核、取消其权限并签字确认。人力资源部每月对人员变动情况（入