企業(yè)內(nèi)控應(yīng)用手冊(cè)信息系統(tǒng)-流程描述

公司名稱(chēng)xx地產(chǎn)（集團(tuán)）股份有限公司流程名稱(chēng)信息系統(tǒng)流程描述本流程涉及制度《xx地產(chǎn)（集團(tuán)）股份有限公司信息化管理制度》流程總述本流程包含以下內(nèi)容及主要步驟：信息系統(tǒng)規(guī)劃與開(kāi)發(fā)、日常運(yùn)行維護(hù)、系統(tǒng)變更、安全管理。本流程旨在規(guī)范公司信息系統(tǒng)各環(huán)節(jié)的管理，提高業(yè)務(wù)運(yùn)轉(zhuǎn)效率，確保信息安全。主要涉及部門(mén)有：成本管理中心。業(yè)務(wù)環(huán)節(jié)信息系統(tǒng)規(guī)劃與開(kāi)發(fā)日常運(yùn)行維護(hù)系統(tǒng)變更安全管理

1.信息系統(tǒng)規(guī)劃與開(kāi)發(fā)1.1信息系統(tǒng)戰(zhàn)略規(guī)劃公司定期制定三年IT戰(zhàn)略規(guī)劃，由信息管理部負(fù)責(zé)組織制定和修訂，并層層上報(bào)給部門(mén)領(lǐng)導(dǎo)、分管副總經(jīng)理、總經(jīng)理審批，最后由信息管理部負(fù)責(zé)落實(shí)工作發(fā)展規(guī)劃，協(xié)助公司的整體發(fā)展策略。1.2信息系統(tǒng)年度工作計(jì)劃的審批和評(píng)估公司信息管理部根據(jù)三年IT戰(zhàn)略規(guī)劃，于年末制定下一年度的信息系統(tǒng)年度工作計(jì)劃及投入預(yù)算，預(yù)算方案包括：軟硬件投入、網(wǎng)絡(luò)投入、運(yùn)維投入、服務(wù)投入等各個(gè)方面，由部門(mén)領(lǐng)導(dǎo)、分管副總經(jīng)理、總經(jīng)理層層審批。每年末，信息管理部相關(guān)崗位部門(mén)工作總結(jié)，對(duì)年度工作計(jì)劃執(zhí)行情況實(shí)施回顧與自我評(píng)價(jià)，報(bào)相關(guān)領(lǐng)導(dǎo)審閱。1.3部門(mén)設(shè)置及人員職責(zé)公司信息管理部作為成本管理中心下的二級(jí)部門(mén)，負(fù)責(zé)信息系統(tǒng)規(guī)劃、采購(gòu)、變更、日常運(yùn)行維護(hù)、安全管理等工作。部門(mén)內(nèi)部設(shè)置一名部門(mén)經(jīng)理，統(tǒng)籌安排各類(lèi)信息系統(tǒng)相關(guān)的各項(xiàng)工作，對(duì)下屬各崗位的職責(zé)分工進(jìn)行明確的劃分。1.4信息系統(tǒng)的制度管理公司制定了《保利地產(chǎn)信息化管理制度》，對(duì)信息管理部的部門(mén)職能與權(quán)限、本部信息化管理流程、對(duì)下屬子公司信息化管理流程以及考核制度等相關(guān)方面的內(nèi)容作出了明確規(guī)定。2.日常運(yùn)行維護(hù)2.1異常情況的記錄公司信息系統(tǒng)已經(jīng)設(shè)置并啟用了自動(dòng)記錄日志功能，能將用戶(hù)的所有操作活動(dòng)全部予以保留，系統(tǒng)管理員會(huì)定期對(duì)系統(tǒng)的日志進(jìn)行復(fù)核。2.2信息系統(tǒng)的日常維護(hù)公司信息管理部負(fù)責(zé)公司信息系統(tǒng)的日常維護(hù)，各部門(mén)在使用信息系統(tǒng)時(shí)如果發(fā)生系統(tǒng)故障，通過(guò)電話說(shuō)明故障原因，信息管理部及時(shí)安排人員進(jìn)行處理，如無(wú)法解決，及時(shí)聯(lián)系系統(tǒng)提供商。2.3系統(tǒng)數(shù)據(jù)備份機(jī)制公司的信息系統(tǒng)均采用異地備份的方式，機(jī)務(wù)系統(tǒng)每日實(shí)施信息的異地備份。2.4災(zāi)難恢復(fù)計(jì)劃的制定及審批成本管理中心制定信息管理應(yīng)急制度。具體內(nèi)容包括但不僅限于：明確應(yīng)急工作涉及的責(zé)任部門(mén)、崗位，并界定其職責(zé)分工和權(quán)限范圍；應(yīng)急機(jī)制啟動(dòng)的基本條件或標(biāo)志性事件；規(guī)范應(yīng)急處理工作的標(biāo)準(zhǔn)流程；應(yīng)急工作報(bào)告機(jī)制；應(yīng)急工作責(zé)任機(jī)制等。2.5突發(fā)事件的處理機(jī)制條件成熟時(shí)，成本管理中心可以定期進(jìn)行緊急應(yīng)變及系統(tǒng)恢復(fù)演練，并根據(jù)測(cè)試結(jié)果改進(jìn)信息管理相關(guān)工作。3．系統(tǒng)變更3.1系統(tǒng)變更管理公司信息系統(tǒng)的變更應(yīng)由職能部門(mén)提出需求并填寫(xiě)申請(qǐng)單，交由信息管理部對(duì)系統(tǒng)變更的可行性簽署意見(jiàn)，再按所在部門(mén)的部門(mén)經(jīng)理、分管部門(mén)的領(lǐng)導(dǎo)逐級(jí)審閱并簽字批準(zhǔn)，在得到適當(dāng)授權(quán)后，應(yīng)由系統(tǒng)管理員進(jìn)行系統(tǒng)操作變更。3.2系統(tǒng)變更測(cè)試在變更正式轉(zhuǎn)入生產(chǎn)環(huán)境之前，會(huì)由軟件供應(yīng)商及系統(tǒng)管理維護(hù)人員，在搭建的測(cè)試系統(tǒng)中系統(tǒng)測(cè)試和用戶(hù)驗(yàn)收測(cè)試。測(cè)試成功后，方能轉(zhuǎn)入正式的生產(chǎn)環(huán)境。3.3系統(tǒng)變更的控制管理公司建立系統(tǒng)變更實(shí)施的規(guī)范化程序，要求開(kāi)發(fā)單位提交測(cè)評(píng)報(bào)告，包括對(duì)系統(tǒng)變更后的訪問(wèn)權(quán)限設(shè)置、數(shù)據(jù)轉(zhuǎn)換控制等方面進(jìn)行全面的評(píng)價(jià)。公司應(yīng)將開(kāi)發(fā)單位提交測(cè)評(píng)報(bào)告固化為真正實(shí)施系統(tǒng)變更之前的一個(gè)必要節(jié)點(diǎn)。系統(tǒng)軟件變更后，須對(duì)變更后的用戶(hù)訪問(wèn)權(quán)限設(shè)置從系統(tǒng)中導(dǎo)出來(lái)，交由有關(guān)部門(mén)進(jìn)行核實(shí)，修正由于系統(tǒng)變更造成的權(quán)限分配不當(dāng)情況。同時(shí)，建立用戶(hù)權(quán)限定期復(fù)核的機(jī)制，定期（如每半年/每年）將所有應(yīng)用系統(tǒng)用戶(hù)權(quán)限導(dǎo)出來(lái)，交給部門(mén)負(fù)責(zé)人和職能部門(mén)負(fù)責(zé)人復(fù)核，清理、修正不恰當(dāng)權(quán)限分配情況。4.安全管理4.1建立信息系統(tǒng)資產(chǎn)管理制度為有效管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的，穩(wěn)定的，高效的運(yùn)行，公司制定了《保利地產(chǎn)信息化管理制度》，其中對(duì)機(jī)房的管理進(jìn)行了規(guī)定，規(guī)范機(jī)房環(huán)境管理，出入制度，設(shè)備管理等方面的工作。信息管理部需參照此制度加強(qiáng)信息系統(tǒng)相關(guān)資產(chǎn)的管理，保障公司各項(xiàng)設(shè)備的安全。4.2明確信息系統(tǒng)安全管理機(jī)構(gòu)公司成本管理中心下設(shè)信息管理部，負(fù)責(zé)信息技術(shù)部日常工作及部門(mén)人員日常管理；負(fù)責(zé)批準(zhǔn)建設(shè)與完善公司信息化管理體系，制定和規(guī)范信息化建設(shè)、實(shí)施和安全標(biāo)準(zhǔn)；負(fù)責(zé)信息化規(guī)劃、信息化預(yù)算、項(xiàng)目立項(xiàng)；負(fù)責(zé)公司信息技術(shù)應(yīng)用及推廣，協(xié)調(diào)各部門(mén)進(jìn)行信息化建設(shè)。信息技術(shù)部員工須簽訂保密協(xié)議以保障公司信息系統(tǒng)的安全。4.3信息系統(tǒng)授權(quán)管理公司建立了《訪問(wèn)控制管理》，通過(guò)控制用戶(hù)權(quán)限來(lái)實(shí)現(xiàn)控制辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)訪問(wèn)權(quán)限的分配，防止非法訪問(wèn)。4.4安裝信息系統(tǒng)安全軟件公司統(tǒng)一購(gòu)買(mǎi)趨勢(shì)殺毒軟件，由系統(tǒng)服務(wù)器自動(dòng)下載更新補(bǔ)丁，每日定時(shí)進(jìn)行數(shù)據(jù)更新。除殺毒軟件外，其他軟件的安裝必須經(jīng)過(guò)管理層的審核，并安裝正版軟件。4.5不相容職責(zé)分離公司建立了計(jì)算機(jī)信息管理制度來(lái)規(guī)范計(jì)算機(jī)信息系統(tǒng)的規(guī)劃，開(kāi)發(fā)，安全，應(yīng)用，維護(hù)等工作，特別就使用人員的管理做出了具體規(guī)定，如使用人員未經(jīng)批準(zhǔn)不得修改系統(tǒng)數(shù)據(jù)等，以防止部門(mén)員工利用職權(quán)進(jìn)行舞弊和犯罪。4.6建立用戶(hù)管理機(jī)制公司信息管理部建立統(tǒng)一登錄管理，對(duì)于同一公司員工在不同系統(tǒng)中的登錄賬號(hào)和密碼須采用統(tǒng)一登錄管理，一個(gè)員工只能有一套身份識(shí)別的用戶(hù)名和密碼；在身份識(shí)別方面，加強(qiáng)對(duì)密碼設(shè)置的管理，對(duì)于大于三次輸入錯(cuò)誤的用戶(hù)名或密碼，進(jìn)行自動(dòng)鎖屏設(shè)置；根據(jù)唯一的身份識(shí)別技術(shù)，定期核對(duì)從系統(tǒng)中導(dǎo)出用戶(hù)的訪問(wèn)權(quán)限，加強(qiáng)對(duì)用戶(hù)的日常管理。4.7用戶(hù)注銷(xiāo)管理公司本部的人力資源部在辦理好離職/崗位變動(dòng)員工審批后，由員工持離職交接表到系統(tǒng)管理員處，由系統(tǒng)管理員審核、取消其權(quán)限并簽字確認(rèn)。人力資源部每月對(duì)人員變動(dòng)情況（入