信息系统管理业务流程与规章制度

信息系统治理业务流程与规章制度信息系统治理目标信息系统业务目标1保证信息系统满足生产经营业务需求统维护等环节应到达的标准，具体如图18-11保证信息系统满足生产经营业务需求保证到达信息系统开发预期目标，系统运行安全稳定3保证系统消灭故障能准时恢复，系统具有扩展性和集成性保证灾难恢复打算完整、具体保证信息系统的牢靠性、稳定性、安全性及数据的完整性和准确性图18-1 信息系统业务目标信息系统合规目标1保证符合国家及监管部门法律法规的有关要求信息系统的合规目标是指企业在开发使用信息系统的过程中及内部规章制度的状况消灭而制定的工作目标，具体如图18-21保证符合国家及监管部门法律法规的有关要求22保证遵守保护学问产权的有关法律法规，使用合法软件3保证企业业务活动的真实性、合法性和效益性图18-2 信息系统合规目标信息系统业务风险信息系统经营风险信息系统经营风险是指企业建立与实施信息系统内部把握过程中因审批不当、监视不力、治理存在漏洞等缘由而可能患病的各种风险，如图18-3所示。11信息系统开发与使用违反国家法律法规，可能患病外部惩罚、经济损失和信誉损失2信息系统开发与使用未经适当审核或超越授权审批，可能因重大过失、舞弊、欺诈而导致损失3信息系统功能设计不科学、维护与变更程序不标准，可能导致企业经营效率低下4信息系统外包效劳未能恰当履行或对其监控不当，可能导致企业权益受损或患病违约损失5信息系统访问安全措施不当，可能导致商业隐秘泄露图18-3 信息系统经营风险信息系统合规风险企业建立与实施信息系统内部把握过程中的合规风险如图18-4所示。11侵害学问产权，导致诉讼发生及公司声誉受到损害2违反国家和企业会计制度，造成工程资金损失3信息技术把握不符合国家法律、法规、公司内部规章制度及监管机构的有关要求，造成损失图18-4 信息系统合规风险信息系统业务流程信息系统开发维护流程信息系统开发维护流程序责任协作/支持不相容监视检查相关业务流程号部门/人部门职责方法制度提出信息系统 开发申请 1

信息部

检查信息系统开发申请是否符合

《信息系统部门 公司相关要求 治理细则》经理审核审批

信息部、2

检查信息系统开申请 发申请的审批是

《信息系统编制系统开发书

总经理

否符合相关要求 治理细则》检查系统开发书3 信息部 测试 编制工作是否详

《信息系统设计程序方案

细完备 治理细则》检查程序方案是编写程序代码 4 信息部 测试 否符合公司实际需要

进展系统测试

信息部 测试

检查程序代码是否存在错误

安装调试系统

使用信息部

编写 检查系统测试工

《信息系统进展系统维护

部门 代码

遗漏 治理细则》信息部信息部

检查安装调试工作是否符合实际工作要求检查系统维护工作是否按时按量完成

系统访问安全治理流程业务流程系统访问安全治理流程业务流程1．提出公司信息系统账号申请公司相关要求2．信息部经理审批后编发账号《账号审批2 信息部 申请 审批是否符合相治理方法》3．设置安全参数与软件系统环境配置关要求软件系统环境配 《账号审批4．定期检查账号使用状况3信息部使用部门操作使用置是否符合实际 治理方法》需要5．加强防火墙等网络安全方面的管检查是否存在违 《账号审批4 信息部 使用部门 操作使用规使用账号状况治理方法》作是否能够保障 《信息系统5信息部测试生产运营的正常 治理细则》进展序责任协作/支持不相容监视检查相关号部门/人部门职责方法制度1使用信息部审核审批《账号审批部门治理方法》信息系统业务流程相关细则、方法、标准、制度信息系统治理细则细则名称 信息系统治理细则

执行部门 监视部门 第1章总则第1条 目的2条信息系统的界定信息系统指利用计算机技术对业务和信息进展集成处理的程序、数据和文档等。第3条 适用部门本细则适用于本公司内应用信息化治理系统的全部部门和个人。2章相关人员职责第4条 信息总监是公司信息化治理系统建设的领导者，其主要职责包括：制定公司信息治理战略规划，报总经理和董事会审批；审核信息系统立项申请；组织进展信息系统的开发；组织人员对信息系统的开发结果进展测试，负责系统的远景规划和决策；推广并不断完善公司信息化系统，加快公司信息化治理步伐；引进或组织开发公司信息化治理系统，实现办公自动化；推动信息系统的建设与维护，保证公司内无纸化办公。第5条 信息部经理是公司信息化治理系统建设的主要执行者，其主要职责包括：依据公司进展战略及经营打算编制部门进展规划及工作打算，上报领导审批后组织实施；主持信息治理软件平台的开发、应用、监视和治理；负责制定公司网络、计算机治理的各项规章制度，上报领导审批后贯彻实施；监视、检查制度的执行状况，适时修订、完善各项制度；组织进展信息系统工程的立项申请工作；进展信息系统的分析和开发；组织人员进展信息系统开发编程工作；协调有关职能部门，安排人员进展相关应用软件的安装调试及有关技术支持，对安装调试中消灭的各种问题提出处理意见，并帮助其妥当解决；准时编制系统帮助手册，经领导审批后准时下发到相关部门；的有效运用；网络设备的突发故障；进展程序治理和数据库治理以及数据把握。第6条 信息部主管是公司信息化治理系统建设的执行者，其主要职责包括：参与编制部门进展规划及工作打算；参与信息系统立项申请工作；组织维护公司效劳器的正常运行；负责公司硬件设施、网络设备的修理治理；行正常完好；参与信息系统立项申请；参与进展信息系统的分析和开发；进展信息系统的开发编程和测试工作；进展相关应用软件的安装调试及有关技术支持；进展程序治理和数据库治理以及数据把握。第7条 信息部专员是公司信息化治理系统的执行者和维护者，其主要职责包括：为信息系统立项申请搜集资料，进展调研；参与进展信息系统的分析和开发；参与信息系统的开发编程和测试工作；参与进展相关应用软件的安装调试及有关的技术支持；及系统进展日常维护、定期检修测试和故障处理。第8条 信息系统使用部门的主要职责包括：参与制定信息系统战略规划；参与制定重要信息系统政策；负责记录交易内容，授权处理数据，并利用系统输出的结果；承受公司信息部关于信息系统操作的培训；信息系统消灭故障，向公司信息部提出修理申请；部门经理负责信息系统操作申请的审批；部门主管或经理负责对内部人员操作状况进展监控。第9条 信息系统开发所遵循的原则因地制宜原则算机信息系统。本钱效益原则域中的关键因素进展信息系统改造。理念与技术并重原则正确理解和使用信息系统，提高信息系统运作效率。第10条 开发包括系统规划、系统分析、系统设计、系统实施、系统维护与评价5个阶段第11条 系统规划治理系统规划治理阶段参与人员及分工信息总监做信息系统开发工程的总体规划。信息系统开发工程经理依据总体规划制订开发打算。系统分析员负责搜集开发资料。系统规划阶段存在的风险及应对策略优势。缺乏高层领导支持。应对策略：培训、沟通、聘请权威专家开办讲座等。第12条 系统分析治理系统分析治理阶段参与人员及分工系统分析员进展资料分析。终端用户对系统提出访用要求。系统分析阶段存在的风险及应对策略调整。用户需求的多样性以及用户的数量和重视程度可能加大系统分析的工作量。应对策略：建立多样性的沟通渠道，加强沟通。第13条 系统设计治理系统设计治理阶段参与人员及分工/输出设计、处理流程及模块功能的设计。表或文件的形式，以及数据的构造、类别、载体、组织方式、保密等级等一系列的问题。系统设计阶段存在的风险及应对策略的开发人员，并设立有效的监视机制。系统分析的工作量。应对策略：加强技术沟通，集中精力解决技术难题，尽可能地设计备选方案。第14条 系统实施治理系统实施治理阶段参与人员及分工程序设计员进展程序设计和系统的调试、试运行。数据库治理员进展数据收集，数据格式的标准化和标准化。终端用户对系统试运行效果提出意见和建议。系统实施阶段存在的风险及应对策略强内部本钱治理和把握。用户阅历缺乏可能导致系统功能不完整。应对策略：加强教育培训。第15条 系统维护与评价治理系统维护与评价治理阶段参与人员及分工。系统维护人员进展日常运行维护和系统的更维护。数据库治理员进展数据库和代码维护。系统维护与评价阶段存在的风险及应对策略。理的系统设计，承受防火墙和加密技术。质量治理。4章信息系统应急治理第16条 为应付信息系统突发大事而预备的应急物资主要包括以下内容。物质资源预备主要有电源动力，网络通信、生产效劳器、数据和软件。在人力资源预备方面，重要的技术岗位要建立双人或多人的备份制度。应急操作手册的编写和维护。度全面彻底地检查一次，保证系统完好可用。第17条 应急措施的实施发生应急大事时，各部门、各岗位要相互支持，相互协作，听从指挥。应急启开工作流程部经理或主管。信息部经理或主管对状况进展推断，判定属于应急大事时，应马上启动应急操作流程。由操作人员按规定的步骤进展操作，并随时向信息部主管报告执行结果。操作人员处理后未能解决，信息部技术人员应在第一时间赶赴现场进展应急处理，并报告信息部经理。对于短时间内能够解决的问题，应进入应急恢复和总结环节。对于短时间内不能解决的问题，信息科技部经理要马上报告信息总监。信息总监依据阅历推断是否马上启动应急程序。假设信息总监推断属于重大信息系统问题，应准时将应急方案提交总经理审批。信息总监组织成立应急领导小组，赶赴现场进展指挥。应急处理工作流程应急领导小组做好应急大事的通知和预报，组织和协调各项应急处理工作。参与应急处理的各部门应听从统一领导指挥，全力协作，做好各项应急处理工作。5》进展应急处理。60分钟内到达现场。实施的全过程，认真采集和整理现场第一手资料，做好故障信息日志的保护和应急过程处理步骤的记录。对于应急故障处理期间发生的问题、信息，应急实施成员应准时报告现场总指挥。分析，快速提出解决措施方案。第18条 应急恢复和总结应急处理完毕后，应急实施成员必需尽快恢复系统运行环境，并进展严格的检查和验证。，形成《应急处理总结报告》并上报信息总监和总经理。依据应急处理的实际状况对《应急操作手册》进展补充完善。5章信息系统维护治理第19条 预防性措施确保计算机信息系统的持续运行常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。第20条 统的日常检测由公司信息部维护主管负责，上级主管领导为信息部经理和信息总监。第21条 信息系统发生故障时应由公司信息部修理主管制定修理方案，交由信息部经理和信息总监审核和审批后组织人员进展修理。第22条 核和审批后组织人员实施。第23条 信息系统安全包括：软件安全和硬件网络安全。第24条 息部安全主管应实行有效的方法和技术防止信息系统数据的丧失损坏以及硬件的破坏、失效等灾难性故障。第25条 主管应对工作站主机共享文件设置不同的权限经过信息部经理审批后存盘以后变更必需经信息部经理审批，系统治理员应做好变更日志存盘。第26条 排解和恢复工作，以防灾难性网络风爆发生。第27条 和移动。第28条 网操作人员必需严格遵守计算机及其他相关设备的操作规程制止从事与系统操作无关的工作。第29条 各工作站主机自行安装软件特别是玩耍软件制止在工作用主机上打玩耍或进展其他与工作无关的操作。第30条 毒未经查毒的存贮介质制止使用对造成病毒集中的有关责任人员公司将依照相关制度进展经济惩罚第31条 信息部未解决网络安全〔未安装防火墙、高端杀毒软件、入侵检测系统〕的状况下，内外网独立运行，全部终端内外网不能混接，严禁用户通过U盘等存贮介质拷贝文件。第32条 盘、光盘和U盘等存贮介质进展拷贝，不得利用电子邮件等方式对外发送。第33条 系统治理员有权监视和制止一切违反安全治理规定的行为。第7章附则第34条 由公司信息部会同其他有关部门解释。第35条 本细则自 年 月 日起实施。

方法编号方法名称方法编号方法名称账号审批治理方法受控状态执行部门监视部门生效日期第1条 目的为了标准公司信息系统账号治理工作，特制定本方法。第第2条 范围本方法适用于公司信息部以及各用户部门涉及使用信息系统的相关人员。第3条 公司信息系统中的信息、数据按级别划分，员工可依据其账号的权限进展阅读、使用。4条公司信息部依据员工的职级与权限编发账号，为每位员工设置与之相对应的唯一账号，只允许其使用自己的账号，制止使用他人账号，否则造成的后果由使用者和账号泄露者共同担当。5