2023年中粮生化信息系统管理制度

中粮生物化学（安徽）股份有限公司第二十一篇信息系统管理（ZＬSH／2１－1．0)目录第一部分信息系统管理制度 1第一章概述 1第二章信息系统开发管理 3第三章信息系统运行与维护 4第四章附则 6第二部分信息系统建设流程 7第一章信息系统开发 7第二章信息系统运行与维护 20第一节IT资产管理 20第二节应用系统管理 25第三节应急响应管理 36第三部分信息系统管理细则 63（一）物联网人员管理细则 63（二）粮食收购系统管理规定 68（三）安徽生化帐号安全管理规定 73（四）计算机用户行为守则 76（五）计算机安全检查标准 83（六）第三方与外包安全管理规定 85（七）ERP-NC系统管理规定 90第四部分信息系统管理业务表单 93第一部分信息系统管理制度第一章概述为了引导公司充足运用信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，减少人为因素导致内部控制失效的也许性,形成良好的信息传递渠道,根据国家有关法律法规和《公司内部控制基本规范》、《公司内部控制应用指引》、《公司内部控制评价指引》，制定本制度。本制度所称计算机信息系统是指运用计算机技术对业务和信息进行集成解决的程序、数据和文档等的总称。公司运用信息系统实行至少应当关注下列风险：（一）信息系统开发与使用违反国家法律法规，也许遭受外部处罚、经济损失和信誉损失。（二）信息系统开发与使用未经适当审核或超越授权审批，也许因重大差错、舞弊、欺诈而导致损失。（三)信息系统设计功能不科学、维护与变更程序不规范,也许导致公司经营管理效率与效果低下。(四)信息系统外包服务未恰当履行或监控不妥,也许导致公司权益受损或违约损失。(五）信息系统访问安全措施不妥,也许导致商业秘密泄露。(六)信息系统硬件管理不妥,也许导致资产或股东权益受损。公司在建立与实行信息系统内部控制中，必须至少强化对下列关键方面或者关键环节的控制：（一)职责分工、权限范围和审批程序必须明确规范,机构设立和人员配备必须科学合理，重大信息系统开发与使用事项必须履行审批程序。(二）公司负责人对信息系统建设工作负责，信息系统开发、变更和维护流程必须清楚合理。（三）公司必须加强信息系统外包开发全过程的监督管理，督促开发单位按照规定完毕工作，组织专业机构进行检查验收,组织系统上线运营。(四）必须建立访问安全制度,对操作权限、信息使用、信息管理进行明确规定。（五）硬件管理事项和审批程序必须科学合理。（六）信息系统管理业务中，执行、审批、监督、记录的职责必须做到互相分离。公司信息管理部门职责：（二）负责信息系统开发需求的审核、自行开发结果的验收及系统使用情况反馈；（三)负责系统项目外委供应商的选择、系统项目进度的跟踪控制及验收;(四）负责组织系统用户培训;（五)负责建立健全各系统管理规定、信息系统维护和系统变更实行;(六)负责权限开设、变更或注销申请审核、系统数据的备份以及监督系统用户的操作行为。第二章信息系统开发管理公司应根据信息系统建设整体规划提出项目建设方案,明确建设目的、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实行。公司下属子公司的信息化建设由公司信息管理部门统一规划和审批。公司信息管理部门应组织内部提出开发需求和关键控制点,规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理规定,严格按照建设方案、开发流程和相关规定组织开发工作。公司开发信息系统,可以采用自行开发、外购调试、业务外包等方式。公司在开发信息系统需选择外包服务商时，要充足考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本公司业务的熟悉限度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。选定外购调试或业务外包方式的,根据公司招标管理制度的规定选择采购方式，履行业务审批手续。公司信息管理部门应组织公司内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。信息管理部门应就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；存在备选方案的,必须具体说明各方案在成本、建设时间和用户需求响应上的差异；信息系统管理部门和业务部门应对选定的设计方案予以书面确认。公司开发信息系统,应将生产经营管理业务流程、关键控制点和解决规则嵌入系统程序，实现手工环境下难以实现的控制功能。公司在系统开发过程中,应按照不同业务的控制规定,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的解决权限授予同一用户。信息管理部门应根据业务性质、重要限度、涉密情况等拟定信息系统的安全等级,建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运营安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系,必须在系统开发建设阶段就形成方案并加以设计，在软件系统中预留这种相应关系的设立功能，以便根据使用者岗位职务的变迁进行调整。公司应针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应加强管理，建立规范的流程制度，对操作情况进行监控或者审计。公司应在信息系统中设立操作日记功能，保证操作的可审计性。对异常的或者违反内部控制规定的交易和数据,必须设计由系统自动报告并设立跟踪解决机制。信息管理部门应加强信息系统开发全过程的跟踪管理,组织开发单位与内部的平常沟通和协调,督促开发单位按照建设方案、计划进度和质量规定完毕编程工作，对配备的硬件设备和系统软件进行检查验收,组织系统上线运营等。公司应组织独立于开发单位的专业机构对开发完毕的信息系统进行验收测试,保证在功能、性能、控制规定和安全性等方面符合开发需求。验收测试合格之后方可上线。公司应做好信息系统上线的各项准备工作，培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案，保证新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还必须制定具体的数据迁移计划。第三章信息系统运营与维护信息管理部门应加强信息系统运营与维护的管理，制定信息系统工作程序、制度及具体操作规范,及时跟踪、发现和解决系统运营中存在的问题，保证信息系统按照规定的程序、制度和操作规范连续稳定运营。信息管理部门定期对信息系统进行维护和测试，并形成测试维护报告,以保证信息系统运营安全稳定。公司委托专业机构进行系统运营与维护管理的，必须严格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务协议和保密协议。公司必须有效运用技术手段,对硬件配置调整、软件参数修改严加控制，设立安全参数,保证系统访问安全。信息系统变更必须严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。公司信息管理部门必须根据业务性质、重要性限度、涉密情况等拟定信息系统的安全等级,建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运营安全有序。公司必须建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运营与维护管理的，必须审查该机构的资质，并与其签订服务协议和保密协议。公司必须制定相应的密码策略,保证公司用户账户的安全。必须采用安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。公司必须建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号,避免授权不妥或存在非授权账号,严禁不相容职务用户账号的交叉操作。必须综合运用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全，防范来自网络的袭击和非法侵入。对于通过网络传输的涉密或关键数据,必须采用加密措施，保证信息传递的保密性、准确性和完整性。建立系统数据定期备份制度，明确备份范围、频度、方法、负责人、存放地点、有效性检查等内容。定期进行信息系统灾备演练,并制定信息系统紧急预案,保证信息系统的安全。公司信息管理部门应加强机房管理,设立门禁制度，非机房工作人员因工作需要进入机房的必须做登记记录。公司信息管理部门应加强服务器等关键信息设备的管理,建立良好的物理环境，指定专人负责检查，及时解决异常情况。未经授权,任何人不得接触关键信息设备。系统停止运营报废后,必须将废弃系统中有价值或者涉密的信息进行销毁、转移,妥善保管相关信息档案。第四章附则本细则由信息管理部门负责解释。本细则自下发之日起施行。第二部分信息系统建设流程第一章信息系统开发第一条目的为了加强、规范中粮生物化学（安徽)股份有限公司(以下简称“中粮生化”或“公司”）信息系统自行开发与系统项目(IＴ项目）的建设，有效规避信息系统自行开发与系统项目建设过程中的风险，特制订本管理标准。第二条合用范围本管理标准合用于公司及其下属子公司。第三条定义范围及术语计算机信息系统:是指运用计算机技术对业务和信息进行集成解决的程序、数据和文档等的总称。信息系统开发：信息系统开发涉及信息系统内部自行开发和信息系统项目外委开发。信息系统项目（IT项目）：是指公司机房、网络、数据中心等基础设施建设项目，内部网、外部网、邮件、办公自动化等基础平台建设项目,公司资源计划（ERP)或财务、人力资源、生产、采购、库存、物流、销售及其他管理信息系统建设项目。第四条职责分工信息管理部门:负责信息系统开发需求的审核、自行开发方案的制订、实行、验收及系统使用情况反馈;负责系统项目外委供应商的选择、系统项目进度的跟踪控制、系统项目的测试、上线及验收；负责组织系统用户培训的实行;使用部门：负责提出系统开发需求申请、系统开发方案的审核确认；财务部:负责系统开发方案的审核。第五条业务流程(一）信息系统自行开发－-流程图（二)信息系统自行开发－流程说明序号流程内容具体说明记录相关文献01业务部门根据业务需求,整理初步的需求文档,并附有签报纸。通过部门审批和该部门所在中心主任审批后，送至财务部信息主管审批。业务需求文档签报纸02财务部信息主管根据业务需求,结合现有系统应用情况和公司信息化规划,审批是自行开发实行,还是外包(本流程重要针对自行开发实行设计)。并指定人员进行需求调研和方案设计。审核点：1.需求合理性;2.是否符合公司信息化规划;３.系统间兼容性；4．开发对象安全影响。0３需求调研阶段，根据业务部门初步需求进行具体调研，挖掘潜在需求,并对需求合理化。在数据库设计中更要充足考虑数据库安全性。具体需求文档0４根据《具体需求文档》设计开发实行方案,涉及工作量评估、开发周期和开发预算,信息主管审核方案可行无误后，送至申请部门审核。开发实行方案0５申请部门对《开发设计方案》进行审核。审核点：1.开发方案是否满足业务需求;2.系统设计的和谐性。批准后,申请部门部长审核签字。06申请部门所在中心主任审批。０7财务部审核《开发设计方案》是否符合财务管控规定和预算的合理性。０8财务总监审批。0９根据《开发设计方案》进行开发,测试通过后，进行实行上线。10系统上线３个月后出具验收报告。（三)信息系统项目-立项—流程图(四)信息系统项目－立项—流程说明序号流程内容具体说明记录相关文献01业务部门根据业务需求,整理初步的需求文档,并附有签报纸。通过部门审批和公司分管副总审批后，送至信息主管审批。业务需求文档签报纸02信息主管根据业务需求，结合现有系统应用情况和公司信息化规划,审批是自行开发实行,还是外包(本流程重要针对外包设计)。并指定人员进行需求调研和方案设计。审核点:1.需求合理性;2．是否符合公司信息化规划；3.系统间兼容性;4.开发对象安全影响。０3需求调研阶段，根据业务部门初步需求进行具体调研，挖掘潜在需求，并对需求合理化。出具可《具体需求文档》和《可行性分析报告》。具体需求文档可行性分析报告０４根据《具体需求文档》中的预算情况审核该项目是否在预算范围内。05根据《具体需求文档》和《可行性分析报告》审核项目的可行性和对管理起到的提高作用，并对整个项目的预算加以审核控制。06结合公司信息化规划审核项目的可行性和必要性。(五)信息系统项目-实行—流程图（六）信息系统项目-实行—流程说明序号流程内容具体说明记录相关文献01立项后,项目承包商的选择应采用竞争性谈判或竞争性邀标方式进行，具体规定信息管理部门按照《第三方与外包安全管理规定》来选择拟定供应商。招标或谈判记录《第三方与外包安全管理规定》０２信息管理部门拟定供应商后,根据经济协议管理标准签订采购协议。03建立项目组，制度项目实行方案。开发原则：1.检查所有的命令行参数２.检查所有的系统调用参数和返回代码3.拟定所有的缓存都被检查过４.在变量的内容被拷贝到本地缓存之前对变量进行边界检查5.检查是否有后门帐户及代码6.内部有做完整性检查的代码7.生成日记记录，涉及日期、时间、进程号、终端信息、命令行参数、错误和主机名8.使核心程序尽也许小而简朴9.用全途径名做文献参数10.检查用户的输入,保证只有合规字符１1．使用会话加密来避免会话抢劫和隐藏验证信息12．假如也许,静态连接安全程序1３.当需要主机名时使用ＤNS逆向解释14．在网络服务程序里分散和限制过多的负载15.在网络的读和写里放置适当的超时限制16.防止服务程序运营超过一个以上的拷贝１7.避免将文献创建在所有人可写的目录里18.要设立信任的IP地址,可选用密码算法验证项目实行方案０４根据《项目实行方案》按环节的执行。0５根据《项目实行方案》中制定的阶段检查阶段性成果，并出具阶段性验收报告。阶段性验收报告06信息系统部署完毕后进行系统测试,涉及功能测试、压力测试、性能测试、安全功能测试等,并出具《测试报告》。测试报告07组织系统用户培训，考试成绩合格后方可有系统使用权。用户培训报告08系统静态数据和动态数据初始化。初始化数据表0９系统试运营，将真实业务在系统中运营,并编制试运营报告。试运营报告10系统试运营测试后,项目组编制上线计划,系统上线正式运营。正式运营后对系统文档进行维护管理,系统文档由应用系统管理员统一管理。只有通过授权的人员才可以访问文档管理服务器。应用软件开发的系统文档涉及：需求分析文档、需求审批文档、概要设计文档、安全设计文档、具体设计文档、各阶段测试报告文档、项目协议文档,系统验收文档、系统上线文档、项目变更文档等。并附文档清单《系统开发与维护文档清单》。上线计划、系统开发与维护文档清单11项目验收工作由项目经理负责组织，使用单位和信息管理部门共同出具《验收报告》。项目验收时对于项目建设过程中涉及到的所有文档、使用手册和软件介质等相关资料要做好移交工作。文档移交应作为项目验收的重要内容之一。验收报告第六条风险控制矩阵风险编号风险描述控制目的控制活动编号控制活动控制记录防止/检查自动/人工责任部门财务报表认定财务报表科目1．存在/发生2.完整性3．准确性4.截止5．权利和义务6.计价和分摊7.列报和披露1234567２1.1－Ｒ1存在信息孤岛现象，各系统各自为政，削弱了信息系统的协同效用,甚至引发系统冲突各系统模块有效对接2１．１－CＡ１Ａ在信息化的过程中，需要将公司的各类资源如人员、设备、资金、组织机构、物料等各种数据建立满足系统应用的基础数据库,制定适合信息化数据传递的标准规范和各应用系统间的集成标准,保证数据的统一性和一致性,达成数据高度共享。防止自动信息管理部门２1.1-CA1B无论购买商品化软件还是定向开发,都应支持数据接口规范，保证应用系统的升级以及系统间的数据互换。防止自动信信息管理部门21．1-R２信息系统与公司业务需求相脱节，减少了信息系统的应用价值信息系统符合业务需求21.1-CA2A项目发起单位要向信息技术部门提交正式的、具体的需求报告，需求报告中要涉及具体的项目需求、范围和时间进度等。系统开发需求报告防止人工信息管理部门21.１－CA2B需求报告通过信息管理部门初审后，项目的发起部门必须会同信息管理部门共同组建项目小组,项目小组进行项目可行性研究,编写项目可研报告。可行性研究报告防止人工信息管理部门２１.1-CＡ2C项目小组形成项目可研报告提交公司信息主管领导审核。审核记录防止人工信息管理部门２1.1－R3信息系统建设缺少项目计划或者计划不妥,导致项目进度滞后、费用超支、质量低下信息系统开发过程得到有效控制２１.1－ＣA3项目小组制定项目实行概略方案,涉及项目实行进度、资质审核，项目预算等信息内容,并提交公司信息主管领导审核。项目实行概略方案防止人工信息管理部门21.１-R4系统开发技术上不可行、经济上成本效益倒挂系统开发符合技术经济效益２１.1-CA4项目小组需对信息系统开发进行项目可行性研究,编写项目可研报告,对系统开发技术的可行性、经济效益等进行论证；可行性研究报告防止人工信息管理部门21.1-R5需求文档表述不准确、不完整,未能真实全面地表达业务需求系统开发需求文档准确21.1-CA5系统开发承包商对业务需求进行具体调研，在此基础上进行需求文档的编制，编制的需求文档通过独立于编制的人员的项目小组进行审核确认。需求文档及其审核记录防止人工信息管理部门２１.1-R6设计方案不全面、不能完全满足用户需求,不能实现需求文档规定的目的设计方案符合需求21.1-CA6系统开发承包商就系统开发方案编制的设计方案文档,需要经项目小组讨论、审核确认。设计方案防止人工信息管理部门21.１-R7设计方案与公司内部控制相脱节,容易导致系统运营后衍生计算机舞弊风险设计方案符合需求21.1-CA7系统开发承包商就系统开发方案编制的设计方案文档,需要经项目小组讨论、审核确认。设计方案防止人工信息管理部门21．1-Ｒ8开发的系统测试不充足,也许存在系统运营隐患而不能及时有效纠正系统得到充足测实验收21.1-ＣA８

项目验收测试工作由项目经理负责组织,由项目需求单位和信息管理部门双方应具体说明分别进行系统的验收测试工作,形成系统验收测试报告或记录。系统测试记录防止人工信息管理部门21．1－R9缺少完整可行的上线计划，导致系统上线混乱无序系统上线计划合理２1.1-CA9A系统上线前，系统开发项目小组制定系统上线方案，报信息主管领导审批后才可上线。上线计划方案防止人工信息管理部门21.1-CA9B项目组将制定系统上线计划和方案,内容涉及上线环节、时间、所需资源等；对于存在新旧系统割接的工程,还需涉及割接计划、割接方案、回退方案等上线计划方案防止人工信息管理部门2１．1-Ｒ１０业务人员不能对的使用系统，导致业务理错误,或者未能充足运用系统功能,导致开发成本浪费系统得到有效使用2１.1-CA1０A开发软件在投入使用前，软件开发商应对有关技术人员或业务操作人员进行技术和操作培训。系统使用培训记录防止人工信息管理部门２1.1－CA10Ｂ2、各单位软件操作人员必须按照软件操作手册（操作流程）操作。防止人工信息管理部门２1.1-R11系统开发外包服务商选择不合理，也许会实行损害公司利益的自利行为,如偷工减料、放松管理、信息泄密等保证外包服务商选择合理21．１-CＡ１1项目承包商的选择采用竞争性谈判或竞争性邀标方式进行。招标谈判记录防止人工信息管理部门21.1-R12服务外包协议条款不准确、不完善，也许导致公司的合法权益无法得到有效保障外包协议条款符合公司利益2１．１－ＣA1２系统开发服务外包协议通过法律部、财务部等职能部门的审核通过以后方可与承包商签订。外包服务协议及审核记录防止人工信息管理部门21.1－R13外包服务跟踪监督不到位,也许导致外包服务质量水平不能满足公司信息系统开发需求外包服务质量得到有效保证2１．1-CA13项目开发小组需根据项目承包方制订的系统开发方案计划定期或不定期对项目开发进度、效果进行监督跟踪评价,并向信息主管领导进行报告。检查人工信息管理部门2１.１－Ｒ14软件产品选型不妥，产品在功能、性能、易用性等方面无法满足公司需求软件产品符合业务需求2１.1-CＡ14软件产品根据系统开发需求进行选型配置,软件选型配置方案需通过信息主管审核审批;软件产品采购时采用竞争性谈判或竞争性邀标方式进行。招标谈判记录防止人工信息管理部门21.1-R15软件供应商选择不妥,产品的支持服务能力局限性，产品的后续升级缺少保障软件产品符合业务需求2１．1-ＣA１5软件供应商通过采用竞争性谈判或竞争性邀标方式进行。招标谈判记录防止人工信息管理部门第二章信息系统运营与维护第一节ＩT资产管理第一条目的为了规范中粮生物化学（安徽)股份有限公司(以下简称“公司”)IT资产的选型、购置、使用、维护及报废程序，有效控制IT资产的安全使用风险,特制订本管理标准。第二条合用范围本管理标准合用于公司及其下属分子公司。第三条定义范围及术语IT资产:重要是指服务器、网络设备、台式机、笔记本电脑，打印机、传真打印一体机、扫描仪等计算机外部设备,办公所需的各类软件等。第四条职责分工管理部门:负责ＩＴ资产需求选型、采购审核、ＩT资产使用操作与保管的检查、ＩT资产平常调拨、ＩT资产报废的鉴定和回收拆解运用以及IT资产平常维护及实物的台账管理;使用部门:负责IT资产采购需求的申请、ＩＴ资产使用操作与保管、IT资产调拨申请以及IT资产报废的申请;采购部门:负责ＩＴ资产需求的采购、验收、入账及付款申请,质保期内协调供应商进行质保服务。财务部：负责IT资产采购审核、入账、付款,IT资产调拨、报废的账务解决,ＩT资产的财务台账管理；第五条业务流程（ＩＴ资产维护流程（比如信息处负责检修－采购部进行耗材采购-业务部门进行领用-信息处负责更换及调试））（一）ＩT资产购置管理—流程图(二）IT资产购置管理—流程说明序号流程内容具体说明记录相关文献０1需求申请部门根据实际业务需要，填写《固定资产购置申请审核表》。固定资产购置申请表02申请部门部长审核意见,审核点：对资产购置的必要性、真实性进行审核03资产管理部门:1.核定申购的业务需求,增长电脑的必要性;2．公司资产情况，是否可以通过调剂的方式满足需求;３．核定申购部门在平常使用过程中是否有不良使用记录４.选型是否满足业务需求。０4资产管理部门部长审批。05财务部审核：是否有采购预算；购置方案是否完整。06财务部部长审批。07申购部门所在中心主任签字。08财务总监审批0９购置固定资产均应签订协议固定资产采购协议１0验收项目:１.核对固定资产实物与凭证所列数量是否一致;2.检查所附备件是否齐全；3.察看设备性能是否良好;固定资产验收单11固定资产到厂后，经办人应及时办理固定资产的验收入库，并到财务部办理发票入账，如固定资产到厂当月发票未回的,应于当月末持固定资产入库单、验收单等到财务部办理暂估入账,发票返回后办理正式的入账手续。（三）IＴ资产变更管理—流程图（四)IT资产管理—流程说明序号流程内容具体说明记录相关文献01资产入库后,采购部门告知申购部门办理《固定资产移交表》,并根据ＥＲＰ-NC系统中的采购计划制作领料单,打印《PER-NC领料单》领用手续进行领料。固定资产移交表NC领料单02申请部门部长审核,保证业务的真实性。固定资产移交表NC领料单03资产管理部门根据申购部门提供的完整手续做好IT固定资产实物台账的登记。04财务部负责IT资产财务解决,生成资产卡片。05资产使用部门负责资产实物的平常管理,部门负责人为资产的第一负责人,部门资产管理员负责记录和调剂。1.因个人失误导致IＴ固定资产损坏者,视其情节及ＩT固定资产价值拟定补偿比例予以补偿。2.导致IT固定资产丢失的,由财务部按资产折旧的现值予以补偿。3．因不可抗力导致的损坏和丢失除外。4．具体补偿比例由财务部进行解释0６各部门因人员变动或组织机构调整，闲置相关IＴ资产时，应需办理相关手续将闲置IT资产移交予资产管理部门统一解决;子公司交予子公司财务部门解决。不得以因工作需要为名,私自进行IＴ资产调剂。的确因工作需要，需按照IT资产管理办法进行调拨申请。填写资产调拨申请表，通过调入部门、调出部门、资产管理部门、财务部审核。固定资产调拨申请表0７ＩＴ固定资产报废时应将IT资产送至资产管理部门进行鉴定,申请部门填写《办公设备报废申请单》。规定填写项目：设备名称、数量、设备编码、规格型号、投运时间、应使用年限、安装地点、制造厂家、供货厂家、原值、累计折旧、减值准备、净额。办公设备报废申请单08资产管理部门依据公司办公资产报废标准进行报废鉴定办公设备报废申请单09由资产管理部门进行报废鉴定,报部门领导审核。办公设备报废申请单１0财务部根据财务帐复核资产原值、净值等财务信息准确性。办公设备报废申请单11依据公司办公资产报废标准，财务部部长批准后进行账务解决；办公设备报废申请单12依据公司办公资产报废标准，经财务部部长、财务总监、总经理审批;办公设备报废申请单1３报废ＩT固定资产交由资产管理部门统一保管,统一由资产处置部进行解决,严禁任何部门或个人私自解决。办公设备报废申请单第二节应用系统管理第一条目的为了加强中粮生物化学(安徽）股份有限公司各信息系统规范使用和运营,提高系统的可靠性、稳定性、安全性及数据的完整性、准确性，保证业务正常运营，提高效率，特制定本管理标准。第二条合用范围本管理标准合用于中粮生物化学（安徽）股份有限公司及子公司。第三条定义范围及术语EＲP－NC系统:是公司规范财务、供应链一体化的管理系统，是公司供应链和财务等部门解决业务的平台。粮食收购信息化系统:是保障公司原粮收购高效、准确便捷的有效途径,对涉及部门实行归口管理。关键硬件：指重要网络设备、服务器、存储设备等关键软件:指网络管理软件、各业务系统、管理信息系统等相关软件。系统变更：指需求变更、程序修补、数据维护等涉及系统改变的活动。1）需求变更类：现有业务变化、新的业务需求、或业务流程、业务参数发生变化；2)程序修补类:发现的系统错误，需要进行修改;3)数据维护类：对数据进行新增、修改、删除;４）其它类：未包含在上述类别,但是涉及系统改变的变更。第四条职责分工信息管理部门:负责制定各系统管理规定、信息系统维护和系统变更实行；负责权限开设、变更或注销申请审核；系统数据的备份以及监督系统用户的操作行为。业务部门：负责信息系统的规范操作和使用，提出系统维护需求和系统变更需求及系统权限变更的申请。第五条业务流程(一)应用系统运营与维护—流程图(二）应用系统运营与维护—流程说明序号流程内容具体说明记录相关文献01信息管理部门制定各应用系统管理规定,涉及《ＥRＰ－NＣ系统管理规定》、《粮食收购系统管理规定》、《ERP-NＣ具体操作手册》等。《ERＰ-ＮC系统管理规定》()、《粮食收购系统管理规定（)》、《ERP－NC具体操作手册》等０2各部门需按照《ＥRP－NC系统管理规定》、《粮食收购系统管理规定》执行。０3各部门在应用操作系统时碰到自行不可解决的问题时,应及时向信息管理部门提出系统的维护需求。04信息管理部门在接受到用户提出的运营维护需求时提供专业技术支持，超过公司信息管理部门内部专业技术人员能力时,依照《第三方与外包安全管理规定》通过聘请外部第三方进行技术解决。《第三方与外包安全管理规定》0５业务部门提出应用系统的变更时,必须由申请部门提交书面变更申请，填写《应用系统变更申请表》,报送信息管理部门审批，申请表单必须打印存档,期限为一年。涉及数据维护的变更(涉及新增、修改、删除等操作)，业务操作人员需填写《应用系统变更申请表》，提交给应用系统管理员审批。应用系统变更申请表06信息管理部门对业务部门提出的应用系统变更申请进行审批。０7系统变更方案审批通过后，系统承建部门组织实行方制订变更方案，变更方案中包含回退方案。若在执行变更过程中出现意外,要按照回退方案退回到转换前的系统状态。若无法回退，应通过备份磁带恢复原系统。08系统承建部门实行测试。通过后，由应用系统管理员对系统数据进行变更操作。针对外包软件,开发商需要拥有临时应用系统的用户名及口令。进行系统故障解决、检查等操作时,要先取得授权,并由应用系统管理员对其访问进行监督，并在访问结束后及时取消帐号,具体内容参见《第三方和外包安全管理规定》。系统变更测试记录《第三方和外包安全管理规定》。0９系统变更通过验收试运营无端障时由业务部门进行应用系统操作与维护。（三)信息系统权限管理—流程图(四)信息系统权限管理—流程说明序号流程内容具体说明记录相关文献0１权限申请人根据系统类型和权限开设类别，依据《账号安全管理规定》在OA系统中找到相应的权限申请单，填写送审审核。信息化系统使用申请表、帐号管理变更申请表、离职人员会签单《账号安全管理规定》0２权限部门内部负责人对权限开设、变更或删除进行审核。０3与权限涉及的相关部门对系统权限涉及的工作分工职责审核，判断是否给予该权限。04信息管理部门信息主管对权限申请进行审批。0５系统管理员根据审批的权限依据《账号安全管理规定》进行新增权限开设、变更或删除。《账号安全管理规定》０6权限使用用户需依据《账号安全管理规定》进行合理操作使用权限,维护好账号和登陆口令信息,防止被非权限用户获取。０7系统管理员需依据《账号安全管理规定》和《计算机安全检查标准》定期对系统用户的权限使用情况进行检查,填写《系统帐号检查表》。系统帐号检查表《账号安全管理规定》、《计算机安全检查标准》(五）计算机用户管理－-流程图（六）计算机用户管理--流程说明序号流程内容具体说明记录相关文献01公司信息管理部门根据公司内部网络布局和业务需求，制定《计算机用户行为守册》。《计算机用户行为守册》０2各个业务部门的系统使用用户对进入公司内网的计算机按照《计算机用户行为守册》进行管理和控制。《计算机用户行为守册》0３公司信息管理部门运用计算机终端管理软件监测用户行为，并于每月根据《计算机用户行为守册》和《计算机安全检查标准》组织一次公司范围的计算机系统使用检查。《计算机用户行为守册》、《计算机安全检查标准》04公司信息管理部门对违反《计算机用户行为手册》的用户进行记录,根据《计算机用户行为守册》进行通报整改和实行相应的处罚。用户行为检查记录《计算机用户行为守册》(七)系统数据备份—流程图（八）系统数据备份—流程说明序号流程内容具体说明记录相关文献01公司信息管理部门根据系统类型制定数据备份策略方案。系统数据备份方案02对于重要的业务系统重要数据或数据库规定每日做一至二次本机和异地备份.且每月备份数据要刻成光盘,有专人负责保管。03公司信息管理部门需抽取数据备份样表恢复,校验数据的完整性。服务器系统必需有备份,以防系统中毒或崩溃等异常情况发生时的紧急解决之用。常用的业务系统,要有临时替代系统,一方面作为测试用，另一方面作为正式系统出现异常的应紧之需。0４系统备份的数据需定期移交档案管理部门存档。数据移交记录第三节应急响应管理第一条目的为规范中粮生物化学(安徽)股份有限公司(以下简称“公司”)各类信息安全事件的管理，保证信息系统故障得到及时有效的跟踪、控制和解决,加强对信息安全事件的预警通报机制，保障业务系统的安全运营，制定本管理标准。第二条合用范围本管理标准合用于公司及下属分子公司职能部门的信息安全事件应急响应管理。第三条定义范围及术语应急类型:自然或人为及软硬件故障或缺陷对信息系统导致危害的事件。设备类突发事件：由于各种因素对网络中的机房、通信线路、服务器、网络设备、安全设备导致破坏,以致引起设备类突发事件。信息系统类突发事件：由于各种因素对网络中的应用系统、操作系统、数据库系统、以及软盘、硬盘、光盘、磁带等介质存储的数据等导致破坏，以致引起信息系统类突发事件。第四条职责分工信息安全领导小组：负责重大、较大安全事件发生后的全局指挥协调，安全事件的调查、善后工作及提出处置意见和相关奖惩建议。信息安全应急响应小组：信息安全事件解决的技术支撑单位，负责组织解决重大、较大信息安全事件。信息安全应急响应小组成员涉及公司信息化分管领导、信息化分管经理、业务环节部门分管经理、设备网络管理员、系统管理员、业务信息化联系人。业务信息化联系人:负责上报本部门的安全事件,应急业务流程设计,应急事件的协调和解决,汇总事件解决报告，总结经验。系统管理员：负责应用系统安全事件的解决，具体涉及：安全事件分析、应急业务流程设计、信息数据和系统恢复、安全事项报告等。信息及业务分管经理:负责组织安全事件会议，协调业务环节安全事件业务,应急业务流程审核,协调业务部与信息部门在应急事件发生过程中的工作配合。第五条应急方案(一)ERP系统应急方案1.总则1.1编制目的EＲP系统作为公司级的业务解决系统,一旦因各种因素意外中断，对业务解决影响重大。应急解决的目的在于指导各部门操作EＲP系统的业务人员(即ERＰ最终用户),如何应对系统的意外中断，以及如何在系统恢复后进行数据补全。由于系统的集成性，需要各操作岗位协作完毕。1．２合用范围本文内容针对操作ＥＲP系统的业务人员及其部门领导。1.３应急工作原则业务部门要根据EＲP系统应急方案，各负其责,登记业务运营数据并保证业务稳定运营。ERＰ系统恢复运营后,业务部门补录业务数据至系统,保证系统数据一致性。前提条件。应急计划是针对EＲＰ系统因意外因素不能被最终用户正常访问的情况，即EＲP服务器系统停机/中断，或网络中断的情况(涉及并行期间）,并且该情况连续超过业务连续性所允许的范围,如超过1个工作日。同时本计划也可作为计划停机情况时，最终用户的参考。根据财务凭证及报表须打印并归档保存的原则，所有财务凭证应每周打印并归档;所有财务报表应在其生成时打印并归档。财务主数据应于每二周从ERＰ系统下载,并以电子文档形式保存在用户本地。业务部门应于每周二次从ERＰ系统下载库存状态分析报表,并以电子文档形式保存在用户本地。3、紧急情况核定ERP最终用户在发现自己不能正常使用操作ＥＲＰ系统时,应及时联系中粮生化信息人员以解决问题。在相关信息人员确认为ERP服务器系统问题或网络问题导致最终用户暂时不能正常使用操作ERP后,业务部门最终用户应根据技术支持人员提供的预计问题连续时间，考虑启动应急计划。若信息人员暂时无法预计问题连续时间,则业务部门最终用户应按超过1个工作日的问题连续时间启动应急计划。４、业务部门应急措施在意外情况发生时,ERP最终用户应针对需要使用操作ERP的业务情景采用以下措施:４．１财务(ＦI/ＣO)业务情景创建/变更主数据ERP中断情况下应急环节EＲP恢复后补录环节适应业务情景在用户本地财务主数据电子文档中记录主数据的增减或变更,并注明该记录需在ERP系统中补录;将线外财务主数据电子文档中注明有待在ERＰ系统中补录的记录主数据补录入ＥRP,并取消电子文档中需补录标记；下载新主数据，并保存于线外的主数据电子文档;以下主数据的创建/修改：总帐科目客户供应商资产手工入帐ＥＲＰ中断情况下应急环节ERＰ恢复后补录环节适应业务情景根据原始凭证在《通用格式会计帐册》中以手工帐的形式记录业务信息，并注明该记录需在ERP系统中补录;原始凭证各联在不同业务部门间的流转与正常情况相同；将需在ERP系统中补录的会计记录补录入ERP，并取消电子文档中需补录标记；在原始凭证上注明记帐日期；打印补录的凭证并归档保存；以下手工入帐:收款报销付款提取备用金资产折旧，等系统自动生成凭证ERP中断情况下应急环节ERP恢复后补录环节适应业务情景根据来自其它业务部门的原始凭证以手工帐的形式记录业务信息,并注明该记录需在EＲP系统中补录;原始凭证各联在不同业务部门间的流转与正常情况相同；待相关业务部门将其业务数据补录入EＲP,由系统自动生成凭证;根据原始凭证，核对系统自动生成的;凭证，在原始凭证上注明记帐日期，并保证所有凭证都准确完整的补录入ＥＲP；打印补录的凭证并归档保存;来自物料,销售,设备维护及物资供应的由ERＰ系统自动生成的业务数据期末结帐ERP中断情况下应急环节ERP恢复后补录环节适应业务情景ERP在本月内恢复运营ERP跨月恢复运营根据原始凭证及手工帐形式记录的业务信息,做期末结账;ＥRＰ系统恢复后,检查并保证ＥRＰ所开的账期为系统中断发生时的账期,并告知各业务部门补录该账期的数据;监督、核对业务部门补录数据的对的性、完整性;业务部门数据补录完毕后,财务结账;ERP系统恢复后,检查并保证ERＰ所开的账期为系统中断发生时的账期，并告知各业务部门补录该账期的数据；监督、核对业务部门补录数据的对的性、完整性;业务部门数据补录完毕后，财务结账;财务结帐后告知业务部门补录下一个账期的数据;依此反复以上环节直至所有月结/年结完整准确补录入ERP；月结，年结生成财务报表ERP中断情况下应急环节ＥRP恢复后补录环节适应业务情景根据打印归档的上期财务报表,本期所有原始凭证及以手工帐形式记录的业务信息,生成本期财务报表检查业务部门系统数据补录情况；业务数据补录完毕后,由系统自动生成财务报表；将系统自动生成的财务报表与手工生成的财务报表核对，保证报表信息的准确完整打印系统自动生成的财务报表并归档；系统自动生成的财务报表４．２销售(So）业务情景开具提单（订单)ERP中断情况下应急环节ＥRP恢复后补录环节适应业务情景手工填写提单（订单);在提单（订单)上注明该提单(订单）需手工补录入EＲP;打印提单(订单)并在不同部门间的流转;将手工开具的提单(订单）补录入ＥRP;告知其它相关部门提单补输入完毕；开提单(订单)开具出厂凭据(发货单)ERP中断情况下应急环节ERP恢复后补录环节适应业务情景手工填写出厂凭据；在出厂凭据上注明该出厂票有待手工补录入ERP;出厂凭据各联在不同部门间的流转与正常情况相同;将手工开立的出厂凭据录入ＥRP;告知其它相关部门出厂凭据补录完毕;开出厂凭据开具发票ERP中断情况下应急环节EＲP恢复后补录环节适应业务情景暂停开具发票根据ERP系统生成的发货单,使用ERＰ开立并打印发票;发票各联在不同部门间的流转与正常情况相同；开发票4.3物料管理(ＰＯ)业务情景创建需求计划ＥＲP中断情况下应急环节ERＰ恢复后补录环节适应业务情景手工填写业务需求计划,并注明该计划需补录入ERP;需求计划在各部门的流转与正常情况相同;根据业务部门需求计划在ERP中创建需求申请单;告知其它相关部门需求计划补录完毕;创建物资需求申请单创建采购订单ERP中断情况下应急环节EＲP恢复后补录环节适应业务情景根据业务部门采购计划收货,并注明该计划需补录入ERP；创建采购协议；采购协议在各部门的流转与正常情况相同;根据业务部门采购计划在ERP中创建采购订单;告知其它相关部门采购订单补录完毕;创建采购订单库存记录ERP中断情况下应急环节ERP恢复后补录环节适应业务情景保存存货出入库信息报表,并注明该信息需补录入ＥRP报表在各部门间的流转与正常情况相同；根据待补录的信息报表输入ERP;告知其它相关部门库存移动或产成品信息补输入完毕;库存移动，产成品信息输入4.4物资供应（ＭRO）业务情景入库/出库ERＰ中断情况下应急环节ＥRP恢复后补录环节适应业务情景手工填写物资领料单或从其它部门接受手工填写的领料单,发送或接受物资，并注明物资领料单需补录入ＥRＰ；根据手工填写的物资领料单，在ＥＲP中补录入物资入库/出库记录;根据从其它部门接受的手工填写的领料单,在EＲP中核算物资入库／出库记录；告知其它相关部门物资入库/出库记录补输入完毕;收货,发货，设备维护领料库存查询ERP中断情况下应急环节ERP恢复后补录环节适应业务情景根据最新下载的库存状态分析报表查询库存信息待所有物资入库/出库信息所有补录完毕后,下载最新的库存信息并保存为用户本地文献库存查询采购计划EＲP中断情况下应急环节ERP恢复后补录环节适应业务情景根据最新下载的库存状态数据查询库存信息，制定采购计划，并用本地文献记录;将本地文献记录的采购计划补录入ERP;制定采购计划采购协议ERＰ中断情况下应急环节ERP恢复后补录环节适应业务情景手工生成采购协议，并注明该协议需补录入ＥRP；将手工生成的采购协议补录入ERＰ创建采购订单（不通过总部的本公司的采购）领料ERＰ中断情况下应急环节ERP恢复后补录环节适应业务情景手工填写领料计划表，并注明该领料计划需补录入ERP;凭领料计划标到物资部门领料；领料计划表在不同部门的流转与正常情况相同；待相关工单在ERP中补录完毕,并检查核对保证系统数据准确无误;告知其它相关部门领料信息补录完毕;领料5．应急小组组成及职责5.1应急小组组成组长:张强副组长：李凤成员:张宏5.2应急小组职责５.2．1适时宣布启用EＲP系统紧急应急方案。５.2.2及时确诊EＲP系统突发事件问题源并妥善解决解决。5．2．3协助业务部门补录EＲＰ系统数据，提供技术支持。5.２.４记录突发事件问题源、解决方案，同时完善巡检方案。5.3应急小组人员联系电话职务姓名手机所在部门及职务组长张强事业部IT部经理副组长李凤安徽生化信息处处长成员张宏事业部IT部专员(二)计算机机房应急预案1总则1.１编制目的为保证公司机房安全与稳定，以保证正常运营为宗旨,按照“防止为主，积极处置”的原则，本着建立一个有效处置突发事件，建立统一指挥、职责明确运转有序、反映迅速处置有力的机房安全体系的目的,特制定本预案。1.2合用范围本预案合用于安徽生化核心计算机机房。2机房平常维护2.1建立健全机房管理制度2．1.1在正常工作日内，信息管理部门人员负责对机房进行监控,重要职责是:巡视网络设备及系统的运营情况，发生异常情况及时解决，消除网络故障隐患。2.1．2节假日期间信息管理部门人员轮流值班,负责解决有关异常情况。２.１.３机房采用进出登记制度，未经允许,无关人员不得进入公司机房区域。2．２机房内严格采用防雷、防火、防尘、防静电等措施以及机房入口处2４小时监控录像等措施。2.3认真做好数据备份工作,定期备份数据库,每月检查服务器运营和备份情况。2.4信息管理部门对机房的重要网络设备（路由器、互换机等）进行监控,发现异常情况应及时进行解决,保证整个公司网络的正常运营。３机房突发事件应急处置方案3.1电源系统应急预案3.1.1定期检查机房供电设备的运营状况和电路线缆情况，当发生下列突发事件时,按照以下方案进行处置:3.1.2当机房发生停电或是电源异常时。一方面应与相关人员联系确认正常停电以及预计停电时间。检查不间断电源的电池可供电时间，保证设备正常运营，如碰到忽然断电，应及时将空调等不在UPS电源供电范围内的设备及时断电，防止忽然来电时瞬间电流过大导致设备损坏等现象。3.１．3当拟定停电时间超过机房UPS承载范围后,一方面拟定停电的范围以及受影响的设备范围。并及时告知各部门做好停电应急准备。然后告知机房管理人员和系统管理人员到达现场,做好各设备的电源停电准备。在UPS供电电量仅剩１０%之后，严格按操作手册停掉各服务器的电源,最后停核心互换机和路由器,等待电力恢复。3.1.４当拟定停电因素是在自身供电系统范围内，立即报告给负责领导，并及时联系相关维护人员达成现场检修。对于恢复时间无法预计的,要及时告知各部门做好停电应急准备。３.1.5恢复供电后，严格按照操作程序逐步恢复机房设备和UＰS的供电,以防瞬间电流过大导致设备损坏。3.2网络和服务器络系统应急预案3．２.1发生网络故障时，一方面检查机房设备情况,拟定网络故障的因素。3.2．2确认因素后，一方面启动备用线路和设备，保证网络的正常运营。然后联系网络管理人员，及时解决和排除故障。3.2．３当确认短时间无法恢复时,应当及时向负责领导报告。然后告知各部门做好应急准备。然后再联系维护人员,及时解决故障。3.２.4当人为或病毒破坏的故障发生时,具体按以下顺序进行：判断破坏的来源及性质，断开影响安全与稳定的设备,断开与破坏来源的物理网络连接,跟踪并锁定破坏的来源和其他网络用户信息,修复被破坏的信息，恢复系统。3.2．5发生服务器系统故障后,应立即电话向相关领导报告情况,及时组织启动备份服务器系统，由备份服务器接管相关业务应用，同时安排人员将故障服务器脱离网络,保存系统状态不变,保护原始数据。在确认安全的情况下,重新启动故障服务系统：若重启系统成功，则检查数据丢失情况，运用备份数据恢复；若重启失败,立即相关技术人及时解决。处置结束后，技术人员应将解决过程记录下来，以方便日后对此问题的解决。3．3消防和防雷应急预案3．3.1上班工作时间发生火警，机房中工作的人员应及时紧急撤离,并立刻拨打1１９报警。在保证自身安全的情况下,应尽量使用灭火器进行灭火,减少电子设备的损坏。同时采用关闭电源总闸等措施,尽量减少也许导致的损失和破坏。 3.３.2非工作时间或节假日休息时间值班人员发现火情后，要立刻拨打１1９报警，并立刻告知相关部门和领导,做好火灾的处置工作。ﻩ3.３．3火情结束之后,机房相关人员应全体赶赴现场，并向负责领导报告。同时立即联系相关单位,及时评估事故损失情况，研讨恢复网络系统正常运营的最佳解决方案。3.4自然灾害应急预案3.４.1发生自然灾害后,一方面应当组织人员撤离现场。当确认灾害不会导致人员伤害后，在回到机房检查设备,立刻向上级领导报告,并联系相关网络和设备厂家,积极做好灾后恢复工作，保证在最短时间内恢复机房正常运营。（三)原粮系统紧急应急方案1.目的原粮系统作为公司级的业务解决系统，其一旦因各种因素意外中断，对业务解决影响重大。应急解决的目的在于指导各部门的使用操作系统的业务人员(即原粮系统最终用户),如何应对系统的意外中断,以及如何在系统恢复后进行数据补全。由于系统的集成性,很多工作需要各操作岗位协作完毕。本计划重要涉及以下问题：一旦发现不能进行原粮系统的正常操作，最终用户一方面应当如何操作？根据业务解决的连续性规定,在原粮系统中断的情况下，如何解决业务?在原粮系统恢复运营以后,最终用户应当如何操作以保证原粮中数据的准确和完整？2、范围本文内容针对使用操作原粮系统的业务人员及其部门领导。3、前提条件。应急计划是针对原粮系统因意外因素不能被最终用户正常访问的情况，即原粮服务器系统停机/中断，或网络中断的情况（涉及并行期间）,并且该情况连续超过业务连续性所允许的范围，如超过半个工作日。同时本计划也可作为计划停机情况时,最终用户的参考。根据财务凭证及报表须打印并归档保存的原则,所有财务凭证应每周打印并归档；所有财务报表应在其生成时打印并归档。原粮主数据应于每二周从原粮系统下载,并以电子文档形式保存在用户本地。4、紧急情况核定原粮最终用户在发现自己不能正常使用操作原粮系统时,应及时联系中粮生化信息人员以解决问题。在相关信息人员确认为原粮服务器系统问题或网络问题导致最终用户暂时不能正常使用操作原粮后，业务部门最终用户应根据技术支持人员提供的预计问题连续时间，考虑启动应急计划。若信息人员暂时无法预计问题连续时间,则业务部门最终用户应按超过半个工作日的问题连续时间启动应急计划。5、业务部门应急措施在意外情况发生时，原粮最终用户应针对需要使用操作原粮的业务情景采用以下措施：5.1原粮系统业务情景创建/变更主数据原粮中断情况下应急环节原粮恢复后补录环节适应业务情景在用户本地主数据电子文档中记录主数据的增减或变更,并注明该记录需在原粮系统中补录;将线外主数据电子文档中注明有待在原粮系统中补录的记录主数据补录入原粮。以下主数据的创建/修改:玉米原辅料手工入补录入系统原粮中断情况下应急环节原粮恢复后补录环节适应业务情景根据原始凭证以标准格式EXCＥL表格填完整，并注明该记录需在原粮系统中补录;以工作联系单形式把需要补录的记录提交信息处审核确认审核通过后交于信息处专业人员进行系统补录以下手工入帐:玉米原辅料6.应急小组组成及职责6．1应急小组组成组长：张强副组长：李凤成员:王强6．2应急小组职责6.2.1适时宣布启用原粮系统紧急应急方案。6.2.2及时确诊原粮系统突发事件问题源并妥善解决解决。6．2．3协助业务部门补录原粮系统数据,提供技术支持。6．2.4记录突发事件问题源、解决方案，同时完善巡检方案。6.3应急小组人员联系电话职务姓名手机所在部门及职务组长张强事业部ＩＴ部经理副组长李凤安徽生化信息处处长成员王强信息处信息工程师第六条业务流程（一)信息化应急事项解决—流程图(二)信息化应急事项解决—流程说明序号流程内容具体说明记录相关文献01公司通过网络和主机入侵检测系统、审计日记(操作系统、应用软件、网络设备)、防病毒系统、安全监控服务等及时发现各类安全事件。部分信息安全事件的征兆如下:防病毒软件的告警信息；应用服务器系统崩溃；网络流量异常或网速过慢；系统文献名有不寻常字符;日记记录异常和配置情况发生变化；系统存在多次远程失败登录。０２业务部门发生信息安全事件后及时向信息系统管理员报告,信息系统管理员接到安全事件后，对事件分析定级，按照相应的应急解决流程解决。０3在发生或也许发生重大安全事件时,由业务联系人和信息系统人员填写《信息安全应急事件上报表》,递交业务分管经理和公司信息管理部门处长、财务部部长;在发生或也许发生一般安全事件的情况下，由业务联系人员或信息系统人员在4小时内填写《信息安全应急事件上报表》,用于业务解决跟踪。信息安全应急事件上报表04在发生或也许发生重大安全事件的情况下,公司信息管理部门长负责４小时内牵头组建应急响应小组。对于一般安全事件由业务部门和信息系统员进行跟踪解决保证系统恢复。05事件发生后公司信息管理部门长负责组织信息、业务等部门人员，分析安全事件相关影响因素，拟定《应急事件解决方案》。应急事件解决方案06应急事件解决方案经财务部部长、经财务部所在中心主任签字，应急解决事件进入执行阶段。０7信息管理部门人员根据应急解决方案，进行信息系统恢复、数据恢复、网络恢复、业务方案执行跟踪等操作。业务环节部门根据应急解决方案,进行业务解决，并对执行过程中出现的问题及时反馈应急响应小组。０8安全事件解决或恢复完后,由公司信息管理部门长根据业务解决或恢复完毕情况,报财务部长批准后,公告解除应急方案执行。09安全事件解决完毕后,安全管理员组织相关人员填写《信息安全事件解决结果登记表》，归档保存，形成安全事件知识库。信息及业务分管部长在安全事件解决结束后，应进行信息安全事件经验教训总结：１)加强信息安全防护措施；２）修订和发布安全策略、规定、流程;3)加强信息系统硬件和软件的配置安全；４)修改不合理的业务流程。解决事件后,如需要进行法律取证分析，由法律部门组织进行。信息安全事件解决结果登记表第七条风险控制矩阵风险编号风险描述控制目的控制活动编号控制活动控制记录防止/检查自动／人工责任部门财务报表认定财务报表科目1．存在/发生2.完整性３.准确性4．截止５.权利和义务6．计价和分摊7.列报和披露123４５6７21.2-R1IT资产台账信息漏掉、失真,不利于信息设备的有效安全管理硬件设备台账规范21.2－CＡ1信息主管部门设立信息资产台账,台账内容涉及设备名称、编号、使用单位、使用年限、启用日期等信息,并定期根据信息资产状态的变化及时更新台账。信息资产台账防止人工信息主管部门２1.2－R2IT资产账实不一致,影响到财务报告的真实性保证硬件设施账实一致２1．2-CA２财务部定期组织信息资产设施主管部门进行资产盘查，对于实物与账务不一致的应进行因素查明，并形成盘点记录。盘查记录检查人工信息主管部门√√√固定资产２１．2-R3系统服务器存放的物理环境不符合规定,系统服务器容易受损系统服务器保管完好21.2－CA３A机房管理员须注意机房内温度、湿度、电压等参数,并做好记录,发现异常及时采用相应措施;物理环境记录检查人工信息主管部门21．2-CA３B机房内服务器、网络设备、UPS电源、空调等重要设施由专人严格按照规定操作，严禁随意开关；防止人工信息主管部门21.2-CＡ３Ｃ机房内应保持清洁,机房严禁放置易燃、易爆、腐蚀、强磁性物品。机房管理员须做到防静电、防火、防潮、防尘、防热。机房内做好消防措施,必须放置灭火器等消防用品。防止人工信息主管部门２1.２-Ｒ４机房遭到人为或非正常性破坏,导致系统瘫痪系统服务器保管完好2１.２-CA4A非机房人员未经许可不得入内，确有必要进入机房时须认真填写《出入机房登记表》并在机房管理员的指导下进入；出入机房登记表防止人工信息主管部门21.2-CA4B机房管理员应认真履行各项机房监控职责，定期对机房内各类设备进行检查和维护,及时发现、解决系统出现的故障,保障系统正常运营。检查记录检查人工信息主管部门21.2－R５系统前台设施维护保养不到位，影响到系统用户的正常使用前台系统设施保管完好21.2-CA5计算机使用者须保持计算机设备的清洁。计算机显示器、机箱、键盘、鼠标等配件上应无明显灰尘、脏迹。使用人必须保证电脑完好无损。如有人为损坏由负责人按价补偿。防止人工信息主管部门2１.2－R6未达报废条件的系统硬件设施被报废，导致公司资产损失ＩT资产报废合理２1．2-ＣA6ＩT资产因超过使用年限或出现严重问题经信息管理部门技术人员鉴定已无维修价值时,经部门领导批准、财务部信息管理部门审核,按照报废资产授权审批权限审批后进行报废。资产报废申请审批单防止人工信息主管部门21.２-R７系统硬件设施报废时内存的数据信息泄露，也许给公司导致经济损失系统数据信息得到保密21．2-ＣA7系统硬件报废时对于内存的数据信息由财务部信息管理部门技术人员就内存的数据信息隔离掉方可进行报废处置。防止人工信息主管部门２1.2－Ｒ8系统变更随意执行,难以保证系统的安全有效运营系统变更符合需求２1.２－ＣＡ8系统使用用户对于需要进行系统变更时，需以书面形式提出系统变更申请，具体说明系统变更的因素，报财务部信组主管审核。系统变更申请防止人工信息主管部门21.2-R9系统变更后的效果达不到预期目的，导致系统变更资源的浪费系统变更符合需求21．2-CA9系统变更申请在信息管理部门初步审核通过后,由系统变更需求部门会同信息管理部门组成系统变更开发小组进行系统变更的可行性分析论证。可行性分析论证记录防止人工信息主管部门２1．2-R10人为恶意袭击隐藏在信息系统中,也许导致严重损失保证系统安全21.2-CA1０公司建立规范严谨的管理策略与程序，安装防病毒软件来防止和检测计算机病毒；防病毒软件要定期的进行更新。防止人工信息主管部门21.2-R1１员工恶意或非恶意滥用系统资源,导致系统运营效率减少保证系统安全21.２-ＣA１1公司所有用户必须高度重视计算机规范使用与信息安全，信息管理部门每月须组织一次公司范围的计算机系统使用检查。检查记录检查人工信息主管部门２１.2-R12系统程序缺陷或漏洞安全防护不够,导致遭受黑客袭击,导致信息泄露。保证系统安全2１.2-ＣA12A办公用电脑内严禁安装、运营任何非法软件。一经发现使用非法软件，信息管理部门应及时清理并追查有关人员责任;防止人工信息主管部门２1.2－CA１2B公司信息管理部门建立相关系统防护体系,涉及防火墙、路由器、IDS、互换机及其他相关ＩT设备的到适当配置以阻止未经授权的侵入。防止人工信息主管部门21.2-R13系统出现突发性故障，影响到业务正常运营保证系统安全２１.2-CA13建立系统突发故障的应急预案,并就应急预案组织进行演练。应急预案及演练记录防止人工信息主管部门２1.2-R14系统数据丢失，导致公司经济损失系统数据安全21.2-CＡ１4A用户应妥善做好本计算机内信息的备份。对于重要的文献、邮件要及时备份。备份的信息应存放在非系统盘内或者其它存储设备上。特别重要的信息必须建立两个以上备份；防止人工信息主管部门2１.2-ＣA１４B公司各信息系统的公共数据由信息管理部门定期统一备份。公司信息管理部门设立专人负责数据备份工作。备份数据刻录到光盘等介质上,交由财务档案管理部门统一保存。备份清单防止人工信息主管部门2１.2-R15备份的数据无法恢复,影响到业务的正常运营系统数据安全２1.2－CA15建立数据的劫难恢复机制，对于数据备份后应进行数据备份的恢复演习。防止人工信息主管部门21.2－R1６机密数据在系统传输过程泄露，导致公司经济损失系统数据信息得到保密２1．２-CA16A所有用户在未采用适当保密措施与安全技术的情况下,不得将涉及公司商业秘密的信息如工作流文献、演讲稿、产品培训资料、招投标文献等数据资料上网传送互换或者采用其他任何方式透露给第三方；防止人工信息主管部门２1.2-CA16B邮件用户有义务保证所发送的具有重要内容邮件的安全,对于此类邮件应采用加密方式发送。防止人工信息主管部门２1.2－R1７信息档案的保管期限不够长，影响到后期的检阅和使用信息档案保管完好2１.2-CA17信息档案由财务档案管理部门负责进行统一保管,按照公司的保管期限进行保管。防止人工财务部２1．2-R18系统用户权限设立不恰当，影响到系统数据的安全系统数据安全２1.2－CA1８系统用户权限增长、删除或更改设立时需由系统用户部门提出权限设立申请,经部门部长审核，并交由信息主管部门审批方可进行设立。用户权限设立申请防止人工信息主管部门2１.2-R１9用户权限被别人随意使用,影响到系统数据安全系统数据安全2１.2-ＣＡ19严禁用户将系统用户权限转借给别人使用,用户使用者保护好自己的用户账号和登陆密码。防止人工信息主管部门２1.2-R２0用户账号和登录密码泄露或被别人盗取，影响到系统的数据安全系统数据安全２１．２－ＣA２９所有用户应及时设立或更改自己的各种信息系统密码，对于密码达不到规定（8个字符以上)的用户账号，信息管理部门有权进行账号禁用。防止人工信息主管部门21．2-R21进入系统的数据不准确、不完整、不及时,导致输出结果错误，甚至导致财产损失。输入系统数据真实无误21．2-ＣA21A数据在输入进系统之前,需对采集的原始数据的合法性、完整性、准确性等由独立于数据采集、编制人员进行审核；防止人工相关部门2１.2-CＡ２１B数据在输入时需通过授权审批后方可输入进系统;公司可运用计算机自身的校验功能对输入计算机系统的数据进行相应的逻辑检查。防止人工相关部门21.2-Ｒ2２用户不对的操作信息系统,随意增长、删减操作软件，容易导致系统损坏保证系统安全21.2-CA22A各部门单位系统软件操作人员必须按照软件操作手册(操作流程)操作，不得随意安装、删除、修改相关操作软件；防止人工相关部门21.２-CA22B加强信息系统操作人员的严密监控,系统管理员应定期检查工作日记,核算操作人员的上机时间、操作内容等。防止人工信息主管部门2１.2－R２3信息系统解决过程未留下具体轨迹,导致出现错误时无法追踪。系统解决可追溯21.2-CA23在系统内部设立并打开系统操作日记功能,对系统解决的过程进行记录。防止人工信息主管部门２1.2－Ｒ２4未经授权非法解决业务，容易导致系统数据被篡改的风险系统数据安全21.２-CＡ2４在系统中设立解决权限的程序化控制;对于超过自己权限范围,需获得授权审批方可进行业务解决。防止人工信息主管部门21.2-R25输出的信息内容在对的性和完整性、形式的规范性等方面存在质量问题，无法满足用户的需求。输出的系统数据真实无误21.２-CＡ25Ａ业务人员对于系统输出控制总数与输入控制总数、解决控制总数相核对;检查人工相关部门21.2-CA25B对于财务报表数据，在报表数据输出前，可由计算机检查报表间应有的勾稽关系是否满足规定。检查人工财务部２1.2-ＣA２５C业务人员对于打印输出的文献由人工进行肉眼和合理性审查，检查其是否出现错漏。检查人工相关部门２1.2-R26敏感信息被非授权用户获取，给公司导致损失系统数据安全21.2-CA26计算机系统输出的信息应限制未经批准的人员接触，系统输出的文献应由资料保管员或兼职人员负责保管。同时，打印的资料分发应建立签收制度，收件人应签署收件的日期、文献和署名，以便日后检查。防止人工相关部门21.２-R27输出的信息被篡改,影响到用户的有效使用和决策系统数据安全21.2－ＣA27A业务人员对于系统输出控制总数与输入控制总数、解决控制总数相核对；检查人工相关部门2１.2-CA27B对于财务报表数据，在报表数据输出前,可由计算机检查报表间应有的勾稽关系是否满足规定。检查人工财务部2１.2-CＡ27C业务人员对于打印输出的文献由人工进行肉眼和合理性审查，检查其是否出现错漏。检查人工相关部门第八条相关文献及表单(一)相关文献《第三方与外包安全管理规定》《ERP-ＮC系统管理规定》《粮食收购系统管理规定》《账号安全管理规定》《计算机安全检查标准》《计算机用户行为守册》(二)表单业务流程表单名称信息系统自行开发流程需求调研计划需求调研报告项目系统切换计划项目验收报告信息系统项目开发-立项信息系统项目开发-实行信息系统运营与维护流程应用系统变更申请单信息系统权限申请使用ＯA系统申请使用OＡ系统申请数据备份管理流程无计算机用户管理流程无

第三部分信息系统管理细则（一)物联网人员管理细则第一章总则为加强公司园区综合智能管理人员管理信息化系统(以下简称“园区管理系统”)的员工考勤、食堂就餐、门禁系统和访客系统的规划、建设和管理,提高信息系统的可靠性、稳定