内部控制流程手册信息系统管理

内部按刷流程手册

第十七章信息系疙管理

第一节概述

第二节不兼容岗位职责表及岗位职责分配表

第三节业务流程及控制说明

INF001.信息系统的开发

INF002.信息系统的运行

INF003.信息系统的维护

第四节相关制度索引

第一节概述

INF001.信息系统的开发

主要描述了公司信息系统开发流程和控制，主要包括制定和审批项目建设方案,明确企业信息系统归口

部门以及各职能部门的职责，限踪督促系统上线运行进度，验收测试信息系统完成情况，制定数据迁移

计划，培训业务操作及管理人员等内容。

INF002.信息系统的运行

主要描述了公司信息系统的运行流程和控制，主要包括制定信息系统工作流程及操作规范，用户授权使

用制度，信息系统变更流程的建立。

INF003.信息系统的维护

主要描述了公司信息系统的维护的流程和控制，主要包括制定信息系统维护操作规范，系统数据的监控，

以及日常维护等内容。

第二节不兼容岗位职责表及岗位职责分配表

角色1角色2角色3角色4角色5角色6角色7角色8角色9

角色1、XX

角色2X

角色3\X

角色4、X

角色5\X

角色6、、

角色7XX

角色8\

角色9

X:表示相互冲突的职责

附注：

角色1.信息化建设发展规划的编制

角色2.信息化建设发展规划的审批

角色3.项目立项申请

角色4.项目立项审批

角色5.项目合同签订

角色6.项目合同审核

角色7.项目实施过程中的管理

角色8.项目评审

角色9.项目竣工验收

第三节业务流程及控制说明

INF001.信息系统的开发

1.0适用范围

本流程及控制适用于XXXX公司（"公司"1

2.0控制目标和关健控制活动

控制目标骊甘关键控制活动

合理规划和实施信息系#17.1.1•对总投资超过300万元的重大信息系统项目应

统建设，促进公司战略编制《项目可行性研究报告》，并由该项目负责

目标的实现人签字确认后报送至公司行政办公室.行政办公

室和承办部门组织专家组对《项口可行性研究报

告》进行评官,专家组对项目提出可行性研究评

审意见并签字。

确保信息化建设计划的#17.1.2・承办部门将《项目需求书》以及开发信息系统的

有效确立，并切实的纳请求以专项报告的形式报行政办公室会签、报公

入公司预算计划中司领导批准后，计划财务部将其列入公司年度预

算计划。

承建单位具备一定的资#17.1.3•采购技术部会同项目承办部门、行政办公室、根

质及经验。变更的信息据《项目需求书》审查集成商、咨询商、开发商

技术合同标准文本中涉及供应商的资质，开展询、比价或招投标、商务

及的权利、义务等条款，谈判等工作，并根据经投资证券法务部审定的采

经过恰当审批购合同或开发实施合同签订合同。

控制目标编号关键控制活动

确保项目的未来建设是#17.1.4•和承建公司签约后，承办部门项目负责人会同承

满足各个职能部门的需建公司，对各职能部门开展应用系统需求调研，

求；且实施步骤是合理制定《项目需求分析报告》，承建公司制定《项

而具体的目设计报告》.承办部门应通过召集会议或者报

批的形式审议《需求分析报告》《项目设计报告》.

各相关部门均应参加会议。

・总投资额超过300万的项目《项目需求分析报

告》和《项目设计报告》必须以专项报告的形式

报公司领导签字批准。

达到系统建设预期目#17.1.5・行政办公室负责对项目实施单位的实施工作及

标，系统运行安全、稳过程进行监督检查。

定，出现系统故障时能・项目责任部门（单位）会同行政办公室对项目建

够及时恢复，系统具有设进行验收，对项目建设质量、进度、标准执行

扩展性、集成性等进行检有项目验收时承建公司必须提交《用

户手册》，系统安装光盘，并编制《项目验收报

告》，项目负责人签字确认。

加强信息化培训，提高#17.1.6•承办部门应分批对系统使用部门的关键用户与

信息系统效能、信息化一般用户进行培训和培训考核，培训记录和考核

管理水平、信息化技能成绩提交行改办公室备案。

3.03.0业务流程说明

3.1各部门信息系统管理的职责

在信息系统建设中，公司各职能部门在本部门职责范围和权限内，职责如下：

1＞行政办公室主要职责：

a）归口管理公司的信息系统工作；

b）负责公司的信息系统的硬件及软件安全工作；

c）参与并指导信息系统项目开发工作，参与系统的评估工作；

d）督促、协助系统正常运行;

e）协助承办部门修订相关规章和制度。

2＞承办部门主要职责：

a）技术项目的立项、评估工作，进行可行性分析；

b）对项目进行阶段性测试，确保系统正常、有序运行；

c）草拟信息:支术项目的合同；

d）制定规章和制度；

e）组织对员工的培训和考核工作；

f）负责对承办的信息技术项目进行维护（含安全）工作；

g）确保信息系统项目数据得到及时更新。

3＞投资证券法务部主要职责：

a）审核项目采购和开发实施合同，指导承办部门确定项目合同事宜；

b）参与并指导项目开发合同纠纷的处理；

c）在信息系统使用中，按时并准确的输入本部门的相关信息；

d）配合承办部门做好对项目需求的调研工作。

4＞采购技术部主要职责：

a）负责信息技术项目的招投标工作；

b）配合承办部门做好对项目需求的调研工作；

c）在信息系统使用中，按时并准确的输入本部门的相关信息。

5＞人力资源部主要职责：

a）配合承办部门做好对项目需求的调研工作；

b）按照要求,及时、准确地更新本部门相关信息；

c）制定相关考核制度，负责考核事宜，落实奖惩工作。

6＞计划财务部主要职责：

a）将项目预算列入公司年度预算计划;

b）配合承办部门做好对项目需求的调研工作；

c）按照要求，及时、准确地更新本部门相关信息。

7＞其他部门主要职责：

a）配合承办部门做好对项目需求的调研工作；

b）按照要求，及时、准确地更新本部门相关信息。

3.2项目立项审批

对总投资超过300万元的重大信息系统项目应编制《项目可行性研究报告》，并由该项目负责

人签字确认后报送至公司行政办公室.行政办公室和承办部门组织专家组对《项目可行性研究

报告》进行评审，专家组对项目提出可行性研究评审意见并签字。

由承办部门根据公司对信息系统的需要制定《项目需求书》，承办部门将《项目需求书》以及开

发信息系统的请求以专项报告的形式报行政办公室会签、报公司领导批准后立项。计划财务部

将其列入公司年度预算计划。

《项目需求书》应包含项目需求、目标、技术路线、进度等事项。

采购技术部会同项目承办部门、行政办公室、，根据《项目需求书》审查集成商、咨询商、开发

商及供应商的资质，开展询、比价或招投标、商务谈判等工作，并根据经投资证券法务部审定

的采购合同或开发实施合同签订合同。

3.3项目实施

和承建公司签约后，承办部门项目负责人会同承建公司，对各职能部门开展应用系统需求谑研，

制定《项目需求分析报告》，承建公司制定《项目设计报告》。承办部门应通过召集会议或者报

批的形式审议《需求分析报告》《项目设计报告》.各相关部门均应参加会议。

承办部门负责落实项目实施计划，组织项目实施^口培训，控制项目建设质量、进度和成本；负

责组织项目所需数据的收集、整理、审核和录入，保证数据的真实、完整和准确.行政办公室

负责对项目实施单位的实施工作及过程进行监督检杳。

3.4项目竣工睑收

承办部门组织项目承建单位进行数据和技术转移，包括用户使用于册、系统光盘和系统维护于

册等.

项目责任部门（单位）会同行政办公室对项目建设进行验收，对项目建设质量、进度、标准执行

等进行检直，承建公司必须提交《用户手册》、系统安装光盘，并编制《项目验收报告》，提交

公司批准。

《项目验收报告》及系统上线事宜应由承办部门以签报形式报行政办公室会签，公司领导朝匕

3.5系统使用相关制度与培训

系统上线及功能更新时,承办部门应提前三天召开会议对系统的关键用户与一般用户进行培

训；

系统上线后，人力资源部、承办部门应及时制定考核方案，确保信息系统的数据得到及时更新，

运行平稳；

系统试运行一年内，承办部门应会同行政办公室制定信息系统的管理制度和工作标准；

承办部门应积极配合人力资源部做好考核的动态管理工作；

每年终，人力资源部应结合考核成绩落实奖惩措施。

3.6信息系统开发控制程序流程

INF002.信息系统的运行

1.0适用范围

本流程及控制适用于XXXX公司（“公司”1

2.0控制目标和关键控制活动

控制目标骊甘关键控制活动

确保系统变更的必要性#17.2.1•系统用户在操作中有发现问题，需填写《功能变更

和修改后的可靠性申请表》，经承办部门论证审核，公司领导批准后方

可实施功能变更工作。

­变更完成后由信息管理系统项目负责人测试后签字

确认。系统变更上线前，承办部门应提前三天通知、

公告，并进行培训以及数据备份工作。

合理设置权限，避免对#17.2.2•用户新增、修改：如有用户新增或者变更，相关部

系统的非法或非授权访门应通过OA发送《工作联系单》给项目承办部门

问经理审核后，项目经理方可进行用户名和对应密码

的配置工作，项目经理应每月将《系统用户记录表》

报部门经理审核。

・权限修改：各部门如需对本部门员工的权限进行修

改，应填写《权限变更申请表》经行政办公室审核、

公司领导审批后，由系统项目管理员落实权限设苣

工作。每季度末，系统项目管理员整理汇总《权限

变更申请表》的落实情况，并相应地更新《系统权

限配置实施细则》，报公司领导审批.

3.03.0业务流程说明

3.1信息系统变更流程的建立

系统用户在操作中有发现问题，需填写《功能变更申请表》，经承办部门论证审核，公司领导

批准后方可实施功能变更工作。变更完成后由信息管理系统项目负责人测试后签字确认。系统变更

上线前，承办部门应提前三天通知、公告，并进行培训以及数据备份工作。

3.1.1信息系统变更控制程序流程

3.2用户授权使用制度

系统项目经理负责对各信息系统用户权限制度的指定。并泾行政办公室审核、公司领导签字确认

后，由系统项目经理保存。

用户新增、修改：如有用户新增或者变更，相关部门应通过0A发送《工作联系单》给项目承办

部门经理审核后，项目经理方可进行用户名和对应密码的配置工作，项目经理应每月将《系统用

户记录表》报部门经理审核。

权限修改：各部门如需对本部门员工的权限进行修改，应填写《权限变更申请表》经行政办公室

审核、公司领导审批后，由系统项目管理员落实权限设置工作。每月末，系统项目管理员整理汇

总《权限变更申请表》的落实情况，并相应地更新《系统权限配置实施细则》，报公司领导审批。

用户名和密码的组合定义了系统中用户的身份，用户和组由系统管理员进行管理，不设置多人共

用的账号，当公司员工离职后，系统管理部门应及时将其账号进行删除。为防止非法用户使用信

息网络资源，对访问用户的合法性进行鉴别，当不成功鉴别尝试次数达»艮值时，系统将拒绝该

用户的访问，并自动告警.

INF003.信息系统的维护

1.0适用范围

本流程及控制适用于XXXX公司（"公司"I

2.0控制目标和关键控制活动

控制目标编号关键控制活动

确保信息系统中数据的#17.3.1•被批准使用数据人员以外的其它人员不应进入机房

安全性工作；妥善处理打印结果，件可记有重要信息的废

弃物在处理前应进行粉碎。未经允许，不准将机房

设备、维护用品、软盘、资料等私自带出机房，如

有特殊情况，需经负责人同意并进行登记后方可带

出。

确保系统运行安全、稳#17.3.2・对不同的信息系统进行不同周期的系统数据库自动

定。确保信息系统中数备份工作，例麓性直验，将备份数据存放于档案室

据的安全性。出现系统防磁柜内，填写《数据备份记录表》,由负责系统维

故障时能够及时恢复护人员签字.

・网络管理员应至少每周一次自动的全系统病毒扫描，

每天定时自动检杳更新病毒定义文件，对于发现的病

毒则要有相关信息提示自动的发送到相关管理人员

处.

3