集團(tuán)公司信息系統(tǒng)管理業(yè)務(wù)流程 -內(nèi)控

信息系統(tǒng)管理業(yè)務(wù)流程一、業(yè)務(wù)目標(biāo)滿足國家法律、法規(guī)和企業(yè)內(nèi)部規(guī)章制度的要求；合理規(guī)劃和實(shí)施信息系統(tǒng)建設(shè)，促進(jìn)企業(yè)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)；提高信息系統(tǒng)的管理水平和技術(shù)水平，滿足生產(chǎn)經(jīng)營業(yè)務(wù)需求，提高企業(yè)綜合競(jìng)爭(zhēng)力。二、業(yè)務(wù)風(fēng)險(xiǎn)信息系統(tǒng)的建設(shè)與運(yùn)行違反國家法律、法規(guī)和監(jiān)管機(jī)構(gòu)的要求，可能使企業(yè)遭受外部處罰；信息系統(tǒng)發(fā)展缺少合理的規(guī)劃或者落實(shí)不到位，無法確保企業(yè)全面戰(zhàn)略目標(biāo)的實(shí)現(xiàn)；信息系統(tǒng)管理存在漏洞，無法滿足業(yè)務(wù)需求或給企業(yè)帶來信息安全隱患，影響生產(chǎn)經(jīng)營的順利進(jìn)行。業(yè)務(wù)范圍該子流程主要描述了xx股份有限公司（以下簡(jiǎn)稱“股份公司”）信息系統(tǒng)管理業(yè)務(wù)的相關(guān)工作流程，主要包括：信息化建設(shè)發(fā)展規(guī)劃和年度項(xiàng)目建議計(jì)劃的編制、項(xiàng)目可行性研究和評(píng)審、項(xiàng)目立項(xiàng)審批、合同簽訂、項(xiàng)目實(shí)施、項(xiàng)目竣工驗(yàn)收、系統(tǒng)應(yīng)用和維護(hù)、系統(tǒng)升級(jí)等項(xiàng)內(nèi)容。業(yè)務(wù)流程描述信息化建設(shè)發(fā)展規(guī)劃和年度項(xiàng)目建議計(jì)劃的編制根據(jù)公司發(fā)展戰(zhàn)略目標(biāo)和核心業(yè)務(wù)，結(jié)合信息技術(shù)發(fā)展和公司實(shí)際，總經(jīng)理辦公室負(fù)責(zé)組織編制全集團(tuán)《股份公司信息化建設(shè)發(fā)展規(guī)劃》（主要包括指導(dǎo)思想、基本原則、發(fā)展目標(biāo)、主要任務(wù)、措施要求等），在充分征求職能部門、事業(yè)部和下屬企業(yè)意見匯總后，組織專家組對(duì)其評(píng)審，并根據(jù)《專家評(píng)審記錄》負(fù)責(zé)組織修改，經(jīng)總經(jīng)理辦公室負(fù)責(zé)人簽署意見、股份公司信息化工作領(lǐng)導(dǎo)小組審批后，納入公司發(fā)展規(guī)劃，在執(zhí)行過程中適度調(diào)整和完善。各下屬企業(yè)根據(jù)《股份公司信息化建設(shè)發(fā)展規(guī)劃》，結(jié)合自身生產(chǎn)經(jīng)營管理的需要，負(fù)責(zé)編制本單位的信息化建設(shè)規(guī)劃，并報(bào)股份公司備案?？偨?jīng)理辦公室根據(jù)《股份公司信息化建設(shè)發(fā)展規(guī)劃》和職能部門申報(bào)的《項(xiàng)目建議計(jì)劃》，結(jié)合年度計(jì)劃，編制總部《年度信息化項(xiàng)目建議計(jì)劃》，經(jīng)職能部門負(fù)責(zé)人審核并簽字確認(rèn)后，報(bào)股份公司信息化工作領(lǐng)導(dǎo)小組審查，小組組長(zhǎng)簽字通過后，納入股份公司年度預(yù)算計(jì)劃中。項(xiàng)目可行性研究和評(píng)審項(xiàng)目責(zé)任部門(單位)負(fù)責(zé)分析應(yīng)用系統(tǒng)需求和確定目標(biāo)后編制《項(xiàng)目需求報(bào)告》，對(duì)總投資超過1000萬元的重大項(xiàng)目應(yīng)編制《項(xiàng)目可行性研究報(bào)告》，并由責(zé)任部門(單位)負(fù)責(zé)人簽字確認(rèn)后報(bào)送至股份公司總經(jīng)理辦公室?？偨?jīng)理辦公室會(huì)同項(xiàng)目責(zé)任部門(單位)組織相關(guān)單位承擔(dān)項(xiàng)目可行性研究，對(duì)于重大項(xiàng)目應(yīng)組織專家組對(duì)《項(xiàng)目可行性研究報(bào)告》進(jìn)行評(píng)審，專家組對(duì)項(xiàng)目需求、目標(biāo)、技術(shù)路線、投資與效益、進(jìn)度、組織落實(shí)等提出可行性研究評(píng)審意見并簽字。項(xiàng)目立項(xiàng)審批通過可行性研究或評(píng)審的股份公司統(tǒng)一建設(shè)的信息技術(shù)項(xiàng)目，由總經(jīng)理辦公室將《項(xiàng)目需求分析報(bào)告》（或《項(xiàng)目可行性研究報(bào)告》）以專項(xiàng)報(bào)告的形式報(bào)股份公司信息化工作領(lǐng)導(dǎo)小組，小組組長(zhǎng)簽字批準(zhǔn)立項(xiàng)，財(cái)務(wù)部將其列入股份公司年度預(yù)算計(jì)劃。合同簽訂項(xiàng)目責(zé)任部門（單位）會(huì)同總經(jīng)理辦公室審查集成商、咨詢商、開發(fā)商及供應(yīng)商的資質(zhì)，開展詢比價(jià)或招投標(biāo)、商務(wù)談判等工作，并根據(jù)經(jīng)法律事務(wù)部審定的采購合同和開發(fā)實(shí)施合同標(biāo)準(zhǔn)文本簽訂合同。項(xiàng)目實(shí)施項(xiàng)目責(zé)任部門(單位)負(fù)責(zé)細(xì)化業(yè)務(wù)功能和業(yè)務(wù)流程，并配合項(xiàng)目實(shí)施單位編制《項(xiàng)目詳細(xì)設(shè)計(jì)方案》項(xiàng)目責(zé)任部門(單位)負(fù)責(zé)落實(shí)項(xiàng)目實(shí)施計(jì)劃，組織項(xiàng)目實(shí)施和培訓(xùn)，控制項(xiàng)目建設(shè)質(zhì)量、進(jìn)度和成本；負(fù)責(zé)組織項(xiàng)目所需數(shù)據(jù)的收集、整理、審核和錄入，保證數(shù)據(jù)的真實(shí)、完整和準(zhǔn)確?？偨?jīng)理辦公室負(fù)責(zé)對(duì)項(xiàng)目實(shí)施單位的實(shí)施工作及過程文檔進(jìn)行監(jiān)督檢查。項(xiàng)目責(zé)任部門(單位)會(huì)同總經(jīng)理辦公室對(duì)項(xiàng)目建設(shè)進(jìn)行階段驗(yàn)收，并對(duì)項(xiàng)目建設(shè)質(zhì)量、進(jìn)度、標(biāo)準(zhǔn)執(zhí)行和成本控制等進(jìn)行檢查，編制《項(xiàng)目階段驗(yàn)收?qǐng)?bào)告》，項(xiàng)目負(fù)責(zé)人簽字確認(rèn)。項(xiàng)目竣工驗(yàn)收項(xiàng)目責(zé)任部門(單位)負(fù)責(zé)組織項(xiàng)目實(shí)施單位進(jìn)行技術(shù)轉(zhuǎn)移，包括用戶使用手冊(cè)、系統(tǒng)維護(hù)手冊(cè)等。項(xiàng)目實(shí)施建設(shè)完成后，項(xiàng)目責(zé)任部門(單位)會(huì)同總經(jīng)理辦公室按規(guī)定組織驗(yàn)收；并在《項(xiàng)目竣工驗(yàn)收?qǐng)?bào)告》上填寫驗(yàn)收意見并簽字。應(yīng)用系統(tǒng)上線由項(xiàng)目責(zé)任部門(單位)以簽報(bào)形式報(bào)股份公司分管業(yè)務(wù)副總經(jīng)理簽字批準(zhǔn)。系統(tǒng)應(yīng)用和維護(hù)總部應(yīng)用系統(tǒng)的維護(hù)歸口統(tǒng)一由總經(jīng)理辦公室負(fù)責(zé)管理。系統(tǒng)使用部門(單位)負(fù)責(zé)業(yè)務(wù)流程、業(yè)務(wù)工作標(biāo)準(zhǔn)、數(shù)據(jù)維護(hù)、用戶管理、數(shù)據(jù)使用安全、知識(shí)產(chǎn)權(quán)合法性使用及相關(guān)制度的制定和落實(shí)等工作，對(duì)有關(guān)數(shù)據(jù)的日常更新等作運(yùn)行操作記錄；對(duì)關(guān)鍵用戶與一般用戶進(jìn)行培訓(xùn)和培訓(xùn)考核，培訓(xùn)記錄和考核成績(jī)提交人力資源部備案?？偨?jīng)理辦公室負(fù)責(zé)日常軟硬件系統(tǒng)維護(hù)、網(wǎng)絡(luò)安全、環(huán)境保持、應(yīng)急處理等工作，保證信息系統(tǒng)安全、穩(wěn)定運(yùn)行，并做《應(yīng)急事故處理記錄》和《運(yùn)行維護(hù)記錄》?！稇?yīng)急事故處理記錄》和《運(yùn)行維護(hù)記錄》由信息中心主任簽字。需委托進(jìn)行維護(hù)的信息系統(tǒng)，總經(jīng)理辦公室負(fù)責(zé)審查系統(tǒng)服務(wù)商資質(zhì)，并簽訂系統(tǒng)維護(hù)服務(wù)合同；由總經(jīng)理辦公室自行維護(hù)的，應(yīng)指定專人負(fù)責(zé)維護(hù)，制定崗位職責(zé)。（詳見《xx總公司信息安全管理制度》）。信息中心負(fù)責(zé)日常軟硬件系統(tǒng)維護(hù)、網(wǎng)絡(luò)安全、消防、應(yīng)急處理等工作，保證信息系統(tǒng)安全、穩(wěn)定運(yùn)行，并做《應(yīng)急事故處理記錄》和《運(yùn)行維護(hù)記錄》。《應(yīng)急事故處理記錄》和《運(yùn)行維護(hù)記錄》由軟、硬件使用人及部門負(fù)責(zé)人簽字。需委托維護(hù)的信息系統(tǒng)，信息中心負(fù)責(zé)審查系統(tǒng)服務(wù)商資質(zhì)，并簽訂系統(tǒng)維護(hù)服務(wù)合同；由信息中心自行維護(hù)的，則指定專人負(fù)責(zé)維護(hù)，制定崗位職責(zé)。（詳見《總公司信息安全管理制度》）系統(tǒng)如在使用中有變更要求，可向總經(jīng)理辦公室提出書面要求并填寫系統(tǒng)變更表，由申請(qǐng)部門領(lǐng)導(dǎo)簽字后，交總經(jīng)理辦公室統(tǒng)一安排進(jìn)行。變更完成后由申請(qǐng)部門相關(guān)人員簽字確認(rèn)。操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)用戶的新增、變更，須填寫《系統(tǒng)用戶申請(qǐng)表》，經(jīng)總經(jīng)理辦公室審批后，被賦予唯一的用戶名、用戶ID（UID），方可進(jìn)入總部信息系統(tǒng)進(jìn)行電腦使用?？偨?jīng)理辦公室信息化主管即信息中心主任（以下簡(jiǎn)稱信息中心主任）至少每季度審核一次《系統(tǒng)用戶記錄表》。信息系統(tǒng)數(shù)據(jù)安全管理由總經(jīng)理辦公室負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)的安全管理，包括日常備份、恢復(fù)和數(shù)據(jù)安全工作（詳見《xx股份信息中心備份制度》及《xx股份有限公司信息系統(tǒng)控制制度》）。數(shù)據(jù)保密性管理重要數(shù)據(jù)的處理過程中，被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作；處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)；妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。未經(jīng)允許，不準(zhǔn)將機(jī)房設(shè)備、維護(hù)用品、軟盤、資料等私自帶出機(jī)房，如有特殊情況，需經(jīng)負(fù)責(zé)人同意并進(jìn)行登記后方可帶出。數(shù)據(jù)備份管理每日進(jìn)行系統(tǒng)數(shù)據(jù)庫自動(dòng)備份并做完整性查驗(yàn)，每周一次手動(dòng)備份到移動(dòng)硬盤或其他電腦的硬盤，每?jī)芍芤淮斡蓪Ｈ藢⒁苿?dòng)硬盤送往銀行保管箱予以存放，并填寫《數(shù)據(jù)備份記錄表》，由負(fù)責(zé)系統(tǒng)維護(hù)人員及信息中心主任簽字，每年進(jìn)行一次備份的恢復(fù)性測(cè)試，并填寫《數(shù)據(jù)恢復(fù)性測(cè)試記錄表》，由信息中心主任簽字。7.7操作系統(tǒng)登錄的安全管理總經(jīng)理辦公室負(fù)責(zé)各業(yè)務(wù)系統(tǒng)后臺(tái)操作系統(tǒng)登錄的安全管理（詳見《xx股份有限公司總部信息化管理制度》及《xx股份有限公司信息系統(tǒng)控制制度》）。7.7.1系統(tǒng)登錄名與密碼安全管理各系統(tǒng)責(zé)任人負(fù)責(zé)保管系統(tǒng)的登錄名和密碼，密碼的設(shè)置要符合強(qiáng)密碼規(guī)范和密碼復(fù)雜性要求，并將它們密存在信封中，信封由專人保管，各系統(tǒng)負(fù)責(zé)人每季度更換一次登錄名和密碼，并填寫《密碼保存登記表》。特殊情況需拆信封時(shí)，必須由信息中心主任在《密碼保存登記表》簽字后方可，拆封后，系統(tǒng)責(zé)任人要重新修改密碼，密存在信封中。7.2用戶登錄名與密碼的管理用戶名和密碼的組合定義了系統(tǒng)中用戶的身份，用戶和組由系統(tǒng)管理員進(jìn)行管理，不設(shè)置多人共用的賬號(hào)，當(dāng)一個(gè)工作人員離開崗位后，其賬號(hào)將被及時(shí)刪除。為防止非法用戶使用信息網(wǎng)絡(luò)資源，對(duì)訪問用戶的合法性進(jìn)行鑒別，當(dāng)不成功鑒別嘗試次數(shù)達(dá)到門限值時(shí)，系統(tǒng)將拒絕該用戶的訪問，加以記錄并自動(dòng)告警。對(duì)用戶訪問控制的規(guī)范應(yīng)遵循：所有的用戶都要經(jīng)過授權(quán)；用戶有在自己的環(huán)境里設(shè)置對(duì)象特權(quán)的權(quán)力；禁止用戶刪除在共享目錄下其它用戶的文件；可以通過制定的策略控制用戶對(duì)于系統(tǒng)中所有對(duì)象的訪問；用戶不能檢查授予其它用戶的訪問控制權(quán)限；要能夠提供強(qiáng)制性的訪問控制系統(tǒng)維護(hù)及機(jī)房管理（詳見《xx股份有限公司機(jī)房管理制度》）7.8.1外來人員對(duì)硬件系統(tǒng)維護(hù)時(shí)，須填寫《外來人員進(jìn)入機(jī)房審批表》，經(jīng)信息中心主任簽字批準(zhǔn)后方可；當(dāng)外來人員對(duì)軟件系統(tǒng)進(jìn)行維護(hù)時(shí)，須填寫《應(yīng)用軟件維護(hù)表》，經(jīng)系統(tǒng)使用部門（單位）負(fù)責(zé)人和信息中心主任簽字批準(zhǔn)后方可。7.8.1機(jī)房所有工作人員須經(jīng)信息中心主任授權(quán)并憑門禁卡進(jìn)出機(jī)房，外來人員進(jìn)入機(jī)房統(tǒng)一由總經(jīng)理辦公室專人陪同，陪同人員全面負(fù)責(zé)外來人員的行為安全，并做好安全防范工作。進(jìn)出機(jī)房工作人員的授權(quán)定期（季度）由信息中心主任進(jìn)行復(fù)核并做記錄。7.8.3機(jī)房管理人員熟知機(jī)房?jī)?nèi)設(shè)備的基本安全操作規(guī)程。不定期對(duì)運(yùn)行設(shè)備進(jìn)行測(cè)試和保養(yǎng)，由專人負(fù)責(zé)機(jī)房?jī)?nèi)設(shè)備的保養(yǎng)和備品、配件、資料、盤片等的保管，并登記造冊(cè)，并保證備用設(shè)備完好，可供隨時(shí)投入使用。機(jī)房設(shè)備損壞應(yīng)立即投入備用設(shè)備，并匯報(bào)領(lǐng)導(dǎo)，及時(shí)聯(lián)系修復(fù)，做好檢修記錄。機(jī)房工作人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作和知識(shí)，了解機(jī)房?jī)?nèi)部的供電、用電設(shè)施的操作規(guī)程。在外部供電系統(tǒng)停電時(shí)，機(jī)房工作人員應(yīng)做好停電應(yīng)急工作。8.4機(jī)房工作人員應(yīng)熟悉機(jī)房?jī)?nèi)部消防安全操作和規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。不定期進(jìn)行消防演習(xí)、消防常識(shí)培訓(xùn)、消防設(shè)備使用培訓(xùn)。如發(fā)現(xiàn)消防安全隱患，應(yīng)即時(shí)采取措施解決，不能解決的應(yīng)及時(shí)向相關(guān)負(fù)責(zé)人員提出解決。防網(wǎng)絡(luò)攻擊和防病毒管理由總經(jīng)理辦公室統(tǒng)一管理（詳見《xx股份有限公司信息系統(tǒng)控制制度》）。網(wǎng)絡(luò)運(yùn)行維護(hù)人員在發(fā)現(xiàn)可疑網(wǎng)絡(luò)攻擊和入侵跡象時(shí)，必須盡快處理并記錄，在必要時(shí)請(qǐng)示主管部門領(lǐng)導(dǎo)，組織技術(shù)力量進(jìn)行處理：分析判斷：對(duì)可疑攻擊和入侵行為進(jìn)行必要的觀察與分析，以判別是否屬于共計(jì)或入侵行為。入侵或攻擊的中止：經(jīng)過分析，在必要時(shí)，應(yīng)立即斷開網(wǎng)絡(luò)連接，將遭受攻擊的網(wǎng)段隔離出來。采取有效措施，終止對(duì)系統(tǒng)的破壞行為。記錄和備份：記錄發(fā)現(xiàn)網(wǎng)絡(luò)入侵或攻擊的當(dāng)前時(shí)間，備份系統(tǒng)日志以及其它網(wǎng)絡(luò)安全相關(guān)的重要文件，保存內(nèi)存中的進(jìn)程列表和網(wǎng)絡(luò)連接狀態(tài)，并且打開進(jìn)程記錄功能。如果系統(tǒng)受到嚴(yán)重破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，立即調(diào)用備件恢復(fù)系統(tǒng)。對(duì)該入侵或攻擊行為進(jìn)行大量的日志、分析工作。同時(shí)竭盡全力地判斷尋找攻擊源。將入侵的詳細(xì)情況逐級(jí)向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報(bào)并請(qǐng)示處理辦法各使用人或部門應(yīng)采用總經(jīng)理辦公室批準(zhǔn)的查毒、殺毒軟件，包括服務(wù)器和客戶端的查毒、殺毒軟件。禁止使用來歷不明、未經(jīng)殺毒的軟件，不閱讀和下載來歷不明的電子郵件或文件，嚴(yán)格控制并阻斷計(jì)算機(jī)病毒的來源。經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測(cè)確認(rèn)無病毒后方可使用。網(wǎng)絡(luò)管理員應(yīng)至少每周一次自動(dòng)的全系統(tǒng)病毒掃描，每天定時(shí)自動(dòng)檢查更新病毒定義文件，對(duì)于發(fā)現(xiàn)的病毒則要有相關(guān)信息提示自動(dòng)的發(fā)送到相關(guān)管理人員處?？偨?jīng)理辦公室負(fù)責(zé)日常網(wǎng)絡(luò)與硬件的監(jiān)控。通過監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)鏈路帶寬做實(shí)時(shí)監(jiān)控，并在需要時(shí)做相應(yīng)的調(diào)整。對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備做活躍性測(cè)試監(jiān)控，主要是針對(duì)設(shè)備的網(wǎng)絡(luò)活動(dòng)，系統(tǒng)的應(yīng)用服務(wù)做監(jiān)控。外部網(wǎng)絡(luò)的訪問必須要通過防火墻，制定相關(guān)防火墻安全策略及《xx股份有限公司防火墻配置標(biāo)準(zhǔn)》。(詳見《xx股份有限公司信息系統(tǒng)控制制度》)系統(tǒng)評(píng)估升級(jí)系統(tǒng)使用部門(單位)會(huì)同總經(jīng)理辦公室按照業(yè)務(wù)需求，對(duì)業(yè)務(wù)流程與系統(tǒng)功能進(jìn)行評(píng)價(jià)，需要重大改進(jìn)的，提出《系統(tǒng)升級(jí)報(bào)告》，由股份公司分管業(yè)務(wù)副總經(jīng)理簽字批準(zhǔn)。系統(tǒng)使用部門(單位)會(huì)同總經(jīng)理辦公室組織系統(tǒng)升級(jí)的實(shí)施和驗(yàn)收。（系統(tǒng)升級(jí)實(shí)施的具體流程參見本流程5項(xiàng)目實(shí)施與6項(xiàng)目竣工驗(yàn)收。）五、相關(guān)制度目錄《xx股份有限公司總部信息化管理制度》《xx股份有限公司信息系統(tǒng)控制制度》《xx股份信息中心備份制度》《xx總公司信息安全管理制度》《xx股份有限公司機(jī)房管理制度》《xx股份有限公司防火墻配置標(biāo)準(zhǔn)》六、主要控制點(diǎn)信息化建設(shè)發(fā)展規(guī)劃的編制年度項(xiàng)目建議計(jì)劃的編制項(xiàng)目立項(xiàng)審批立項(xiàng)合同的簽訂項(xiàng)目實(shí)施過程組織管理組織專家組對(duì)項(xiàng)目