11.4应用系统IT一般性控制流程

11.4应用系统IT一般性控制流程 11.4应用系统IT一般性控制流程

一、 1

业务目标 经营目标

①

1.1 保证应用系统长期稳定、安全、高效运行。 1.2

为生产经营管理提供业务支撑和及时、准确、完整的数据。

2 合规目标

2.1 遵守保护知识产权的有关法律法规，使用合法软件。 2.2 信息技术合同符合合同法等股份公司制度、国家法

律和法规。

2.3

应用系统数据的收集、提供、使用和转让符合国家安全、知识产权保护、合同法等法律、法规及股份公司内部规章制度的要求。

2.4

保证重要业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。

二、 业务风险 1 ① 本流程适用于除ERP系统外的其它应用系统，包括财务管理信息系统、财务报表系统、

加油卡系统及MES系统等。

经营风险

2010年 B 11.4－1 11.4应用系统IT一般性控制流程 1.1 技术方案不合理，系统功能存在问题，导致应用系

统不能满足生产经营管理业务需求。

1.2 系统登录访问机制不健全、用户权限管理不规范等，

导致对系统的非法或非授权访问。

1.3

密码设臵强度不够或更改不及时，造成系统泄密或受到非法访问。

1.4 系统变更管理不规范，未经审批、测试，导致应用

系统运行和维护的无法正常进行。

1.5

系统运行缺乏有效监控及维护管理，影响系统安全稳定运行。

1.6

系统问题处理不及时、不规范，不能保证系统问题得到及时有效解决。

1.7

备份策略和备份方案不完善，导致系统数据丢失，系统无法恢复。

1.8 制度不健全，导致信息系统应用管理不规范、运维

不及时。

2

合规风险

2.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。 2.2 应用系统数据的收集、提供、使用、转让违反国家

法律法规及股份公司内部规章制度等，导致系统无法正常运行。

2010年 B 11.4－2 11.4应用系统IT一般性控制流程 2.3 重要业务报表的编制不符合规定，导致股份公司声誉受到损害及受相关机构处罚。

三、 业务流程步骤与控制点 1 1.1

程序和数据访问

总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、数据库管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。

1.1.1 东北油气分公司依据《中国石油化工股份有限公司

管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》）及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理和系统管理员、数据库管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、数据库管理员、应用管理员

2010年 B 11.4－3 11.4应用系统IT一般性控制流程 的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。

1.2

用户权限管理

1.2.1 新进员工或岗位变动人员按照用户权限相关管理办

法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。

1.2.1.1新进员工或岗位变动人员按照用户权限相关管理办

法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。

1.2.2 对于数据库用户权限，相关人员填写用户权限审批

表，经相关部门负责人审批后，由数据库管理员在数据库中新增、变更或锁定用户权限。

1.2.2.1对于数据库用户权限，相关人员填写用户权限审批

表，经相关部门负责人审批后，由数据库管理员在数据库中新增、变更或锁定用户权限。

1.3

用户帐号及访问管理

1.3.1 操作人员访问应用系统时，必须输入用户帐号和密

码。

1.3.1.1操作人员访问应用系统时，必须输入用户帐号和密

码。

1.3.2 应用管理员在系统中为每个操作人员设臵独立的用

2010年 B 11.4－4