发布时间 : 星期四 文章11.4应用系统IT一般性控制流程更新完毕开始阅读8ba8276f1ed9ad51f01df2ad
11.4应用系统IT一般性控制流程 11.4应用系统IT一般性控制流程
一、 1
业务目标 经营目标
①
1.1 保证应用系统长期稳定、安全、高效运行。 1.2
为生产经营管理提供业务支撑和及时、准确、完整的数据。
2 合规目标
2.1 遵守保护知识产权的有关法律法规,使用合法软件。 2.2 信息技术合同符合合同法等股份公司制度、国家法
律和法规。
2.3
应用系统数据的收集、提供、使用和转让符合国家安全、知识产权保护、合同法等法律、法规及股份公司内部规章制度的要求。
2.4
保证重要业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。
二、 业务风险 1 ① 本流程适用于除ERP系统外的其它应用系统,包括财务管理信息系统、财务报表系统、
加油卡系统及MES系统等。
经营风险
2010年 B 11.4-1 11.4应用系统IT一般性控制流程 1.1 技术方案不合理,系统功能存在问题,导致应用系
统不能满足生产经营管理业务需求。
1.2 系统登录访问机制不健全、用户权限管理不规范等,
导致对系统的非法或非授权访问。
1.3
密码设臵强度不够或更改不及时,造成系统泄密或受到非法访问。
1.4 系统变更管理不规范,未经审批、测试,导致应用
系统运行和维护的无法正常进行。
1.5
系统运行缺乏有效监控及维护管理,影响系统安全稳定运行。
1.6
系统问题处理不及时、不规范,不能保证系统问题得到及时有效解决。
1.7
备份策略和备份方案不完善,导致系统数据丢失,系统无法恢复。
1.8 制度不健全,导致信息系统应用管理不规范、运维
不及时。
2
合规风险
2.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。 2.2 应用系统数据的收集、提供、使用、转让违反国家
法律法规及股份公司内部规章制度等,导致系统无法正常运行。
2010年 B 11.4-2 11.4应用系统IT一般性控制流程 2.3 重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
三、 业务流程步骤与控制点 1 1.1
程序和数据访问
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、数据库管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
1.1.1 东北油气分公司依据《中国石油化工股份有限公司
管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、数据库管理员、应用管理员
2010年 B 11.4-3 11.4应用系统IT一般性控制流程 的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
1.2
用户权限管理
1.2.1 新进员工或岗位变动人员按照用户权限相关管理办
法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
1.2.1.1新进员工或岗位变动人员按照用户权限相关管理办
法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
1.2.2 对于数据库用户权限,相关人员填写用户权限审批
表,经相关部门负责人审批后,由数据库管理员在数据库中新增、变更或锁定用户权限。
1.2.2.1对于数据库用户权限,相关人员填写用户权限审批
表,经相关部门负责人审批后,由数据库管理员在数据库中新增、变更或锁定用户权限。
1.3
用户帐号及访问管理
1.3.1 操作人员访问应用系统时,必须输入用户帐号和密
码。
1.3.1.1操作人员访问应用系统时,必须输入用户帐号和密
码。
1.3.2 应用管理员在系统中为每个操作人员设臵独立的用
2010年 B 11.4-4