11.4應用系統IT一般性控制流程一、 業務目標1 經營目標1.1保證應用系統長期穩定、安全、高效運行。1.2 為生產經營管理提供業務支撐和及時、準確、完整的數據。2合規目標2.1遵守保護知識產權的有關法律法規，使用合法軟件。2.2信息技術合同符合合同法等股份公司制度、國家法律和法規。2.3 應用系統數據的收集、提供、使用和轉讓符合國家安全、知識產權保護、合同法等法律、法規及股份公司內部規章制度的要求。2.4 保證重要業務系統的生成報表、合并報表編制過程的真實性、完整性、可靠性符合國家規定及上市地監管機構要求。二、業務風險1 經營風險本流程適用于除ERP系統外的其它應用系統，包括財務管理信息系統、財務報表系統、加油卡系統及MES系統等。1.1技術方案不合理，系統功能存在問題，導致應用系統不能滿足生產經營管理業務需求。1.2系統登錄訪問機制不健全、用戶權限管理不規范等，導致對系統的非法或非授權訪問。1.3 密碼設置強度不夠或更改不及時，造成系統泄密或受到非法訪問。1.4系統變更管理不規范，未經審批、測試，導致應用系統運行和維護的無法正常進行。1.5 系統運行缺乏有效監控及維護管理，影響系統安全穩定運行。1.6 系統問題處理不及時、不規范，不能保證系統問題得到及時有效解決。1.7 備份策略和備份方案不完善，導致系統數據丟失，系統無法恢復。1.8制度不健全，導致信息系統應用管理不規范、運維不及時。2 合規風險2.1侵犯知識產權，導致訴訟及股份公司聲譽受到損害。2.2應用系統數據的收集、提供、使用、轉讓違反國家法律法規及股份公司內部規章制度等，導致系統無法正常運行。2.3 重要業務報表的編制不符合規定，導致股份公司聲譽受到損害及受相關機構處罰。三、業務流程步驟與控制點1 程序和數據訪問1.1 總部各部門、分（子）公司依據《中國石油化工股份有限公司管理信息系統應用管理辦法（試行）》（以下簡稱《信息系統應用管理辦法》）及相關應用系統管理辦法實施程序和數據訪問管理，包括用戶權限管理、用戶帳號及訪問管理、密碼管理和系統管理員、數據庫管理員、應用管理員、安全管理員（主要職責是承擔對系統管理員、數據庫管理員、應用管理員的監管，負責審查系統管理員、應用管理員在系統中的操作）管理、第三方人員管理等。1.1.1東北油氣分公司依據《中國石油化工股份有限公司管理信息系統應用管理辦法（試行）》（以下簡稱《信息系統應用管理辦法》）及相關應用系統管理辦法實施程序和數據訪問管理，包括用戶權限管理、用戶帳號及訪問管理、密碼管理和系統管理員、數據庫管理員、應用管理員、安全管理員（主要職責是承擔對系統管理員、數據庫管理員、應用管理員的監管，負責審查系統管理員、應用管理員在系統中的操作）管理、第三方人員管理等。1.2 用戶權限管理1.2.1新進員工或崗位變動人員按照用戶權限相關管理辦法填寫用戶權限審批表，經相關部門負責人審批后，由應用管理員在系統中新增、變更或鎖定用戶權限。1.2.1.1新進員工或崗位變動人員按照用戶權限相關管理辦法填寫用戶權限審批表，經相關部門負責人審批后，由應用管理員在系統中新增、變更或鎖定用戶權限。1.2.2對于數據庫用戶權限，相關人員填寫用戶權限審批表，經相關部門負責人審批后，由數據庫管理員在數據庫中新增、變更或鎖定用戶權限。1.2.2.1對于數據庫用戶權限，相關人員填寫用戶權限審批表，經相關部門負責人審批后，由數據庫管理員在數據庫中新增、變更或鎖定用戶權限。1.3 用戶帳號及訪問管理1.3.1 1.3.1.1操作人員訪問應用系統時，必須輸入用戶帳號和密碼。1.3.2 1.3.2.1應用管理員在系統中為每個操作人員設置獨立的用戶帳號，不能設置共享用戶帳號（查詢用戶帳號除外）。應用管理員至少每半年打印一次用戶帳號權限清單，并由相關部門負責人審核。1.4 密碼管理1.4.1 操作人員應按照密碼管理相關規定，遵循系統密碼的長度至少為6位，復雜度為數字與字符的組合，三個月更改一次密碼等密碼規則設置密碼，不得使用最近使用過的密碼1.4.1.1操作人員應按照密碼管理相關規定，遵循系統密碼的長度至少為6位，復雜度為數字與字符的組合，三個月更改一次密碼等密碼規則設置密碼，不得使用最近使用過的密碼。應用管理員對操作人員密碼定期更換記錄進行檢查。1.4.2 系統管理員、數據管理員、1.4.2.1系統管理員、數據管理員、應用管理員應在系統投用前修改操作系統、數據庫、應用系統的超級用戶初始密碼。上述密碼至少三個月更換一次，安全管理員對定期更換記錄進行檢查。1.5 系統管理員、數據管理員、應用管理員、安全管理員管理1.5.1 系統需配備專職或兼職系統管理員、數據管理員、應用管理員和安全管理員。安全管理員、系統管理員、數據管理員、1.5.1.1系統需配備專職或兼職系統管理員、數據管理員、應用管理員和安全管理員。安全管理員、系統管理員、數據管理員、應用管理員必須經相關部門負責人授權并遵循不相容崗位分離原則，且不得擁有應用系統的業務操作權限。相關部門負責人至少每半年對上述管理員在職情況進行審查。1.5.2 安全管理員至少每季度對系統管理員、數據庫管理員、1.5.2.1安全管理員至少每季度對系統管理員、數據庫管理員、應用管理員的操作日志或記錄進行檢查，提出審核意見，并報相關部門負責人。1.6 第三方人員管理1.6.1 1.6.1.1東北油氣分公司與第三方合作單位就相關應用系統簽訂安全保密協議。1.6.2 第三方人員需訪問系統時，由申請人/經辦人按照相關管理辦法填寫用戶權限審批表（需注明使用期限和權限，使用期限不超過三個月），經需求部門負責人審核后提交信息管理1.6.2.1第三方人員需訪問系統時，由申請人/經辦人按照相關管理辦法填寫用戶權限審批表（需注明使用期限和權限，使用期限不超過三個月），經需求部門負責人審核后提交信息中心負責人審批，由應用管理員在系統中新增或變更其帳號及權限。到期后必須及時刪除或鎖定第三方人員的帳號。1.6.3總部各部門、分（子）公司與運維外包單位就相關應用系統簽訂運維外包協議，協議內容應包括運維組織結構、相應職責、運維流程、考核辦法及運維文檔等內容。1.6.3.1東北油氣分公司與運維外包單位就相關應用系統簽訂運維外包協議，協議內容應包括運維組織結構、相應職責、運維流程、考核辦法及運維文檔等內容。2 程序變更2.1 總部各部門、分（子）公司依據《信息系統應用管理辦法》及相關應用系統管理辦法實施系統變更管理，包括變更申請審批、變更測試和變更版本管理等。2.1.1東北油氣分公司依據《信息系統應用管理辦法》及相關應用系統管理辦法實施系統變更管理，包括變更申請審批、變更測試和變更版本管理等。2.2 總部統一建設的應用系統，系統變更必須填寫系統變更審批表上報信息系統管理部和總部相關部門，由總部統一組織升級、測試和變更，各分（子）公司不得自行變更。各分（子）公司自建系統或客戶化開發的變更，必須經過分（子）公司信息管理部門和相關部門負責人審批。2.2.1東北油氣分公司自建系統或客戶化開發的變更，必須經過分公司信息中心和相關部門負責人審批。2.3 變更的應用程序移植到生產系統前，相關部門必須組織人員進行系統測試和最終用戶測試，測試不能在生產環境中進行。2.3.1變更的應用程序移植到生產系統前，相關部門必須組織人員進行系統測試和最終用戶測試，測試不能在生產環境中進行。2.4 信息管理部門必須對操作系統、數據庫、應用系統版本變更進行管理，記錄每次變更的版本號，存檔變更文檔和變更升級程序。2.4.1信息中心必須對操作系統、數據庫、應用系統版本變更進行管理，記錄每次變更的版本號，存檔變更文檔和變更升級程序。3 程序開發3.1 新建應用系統的項目計劃、可研評審、立項審批、項目實施、竣工驗收等開發步驟按照《11.1信息系統管理業務流程》執行。3.1.1新建應用系統的項目計劃、可研評審、立項審批、項目實施、竣工驗收等開發步驟按照《11.1信息系統管理業務流程》執行。3.2 應用系統上線前,必須由信息管理部門組織測試系統功能，形成測試報告，并經最終用戶部門負責人簽字確認。3.2.1應用系統上線前,必須由信息中心組織測試系統功能，形成測試報告，并經最終用戶部門負責人簽字確認。3.3 系統初始化管理3.3.1 3.3.1.1相關部門按照數據收集模板組織人員收集、整理業務數據，并由相關部門責任人審核確認。3.3.2 3.3.2.1相關部門組織人員對導入和補錄系統的數據進行核對，并由相關部門責任人簽字確認。4 系統運行4.1 總部各部門、分（子）公司依據《信息系統應用管理辦法》及相關應用系統管理辦法實施系統運行管理，包括系統備份及恢復、系統監控、維護及故障處理等。4.1.1東北油氣分公司依據《信息系統應用管理辦法》及相關應用系統管理辦法實施系統運行管理，包括系統備份及恢復、系統監控、維護及故障處理等。4.2 數據備份及恢復4.2.1 數據庫4.2.1.1數據庫管理員至少每月做一次數據全備份，并檢查數據備份日志，確認備份是否成功。對備份異常情況進行記錄，同時檢查備份數據的可讀性。4.2.2 4.2.2.1系統管理員適時對系統進行備份，同時檢查備份系統的可讀性，確認備份是否成功。4.2.3系統管理員、數據庫管理員至少每月對操作系統、數據庫、應用系統的日志進行備份。4.2.3.1系統管理員、數據庫管理員至少每月對操作系統、數據庫、應用系統的日志進行備份。4.2.4 介質管理人員（4.2.4.1系統管理員將月備份介質與生產服務器異地存放，并由專人管理。備份介質存放要有記錄，介質訪問人員須經相關部門負責人授權并填寫訪問記錄。4.2.5 系統管理員至少每月4.2.5.1系統管理員至少每月對備份數據進行一次可讀性測試。4.2.64.2.6.1系統管理員至少每年對備份數據進行一次恢復性測試。4.3 系統監控、維護及故障處理4.34.3.1.1系統管理員對應用系統、后臺作業、操作系統、數據庫、服務器等運行狀況進行監控,并填報系統運行監控報告。4.3.2應用管理員對應用系統操作日志或記錄、安全管理員對直接訪問數據庫的操作日志至少每月進行一次審核，發現異常情況，及時上報信息管理部門/相關部門負責人，同時查明原因，提出處理意見，記錄處理情況。4.3.2.1應用管理員對應用系統操作日志或記錄、安全管理員對直接訪問數據庫的操作日志至少每月進行一次審核，發現異常情況，及時上報信息中心/相關部門負責人，同時查明原因，提出處理意見，記錄處理情況。4.3.34.3.3.1對系統運行出現的故障，相關人員需填報問題處理記錄單，詳細記錄問題處理情況，其中包括故障發生時間、故障情況、解決辦法、處理結果及問題跟蹤記錄等，并審核確認。4.34.3.4.1系統應用部門會同信息管理部門制訂系統應急預案，并至少每年對業務人員、系統管理員、應用管理員進行一次系統應急預案的培訓。4.4煉化企業使用MES系統進行主物料的日、旬、月平衡，公用工程進行旬、月平衡，實現生產監控管理，滿足生產調度的要求，為ERP和生產營運指揮等系統提供數據支持。4.4.1不適用與油田企業，適用于煉化企業。四、 相關制度目錄（制度后標號為《內控手冊相關規章制度匯編》目錄索引號）1 中國石油化工股份有限公司管理信息系統應用管理