《某生物化学公司规章制度模板.docx》由会员分享,可在线阅读,更多相关《某生物化学公司规章制度模板.docx(94页珍藏版)》请在三一办公上搜索。
1、规章制度 中粮生物化学(安徽)股份有限公司 中粮生物化学(安徽)股份有限公司第二十一篇 信息系统管理(ZLSH/21-1.0)目 录第一部分 信息系统管理制度1第一章 概述1第二章 信息系统开发管理3第三章 信息系统运行与维护4第四章 附则6第二部分 信息系统建设流程7第一章 信息系统开发7第二章 信息系统运行与维护20第一节 IT资产管理20第二节 应用系统管理25第三节 应急响应管理36第三部分 信息系统管理细则63(一)物联网人员管理细则63(二)粮食收购系统管理规定68(三)安徽生化帐号安全管理规定73(四)计算机用户行为守则76(五)计算机安全检查标准83(六)第三方与外包安全管理规
2、定85(七)ERP-NC系统管理规定90第四部分 信息系统管理业务表单93规章制度 中粮生物化学(安徽)股份有限公司 第一部分 信息系统管理制度第一章 概述第一条 为了引导公司充分利用信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的信息传递渠道,根据国家有关法律法规和企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引,制定本制度。第二条 本制度所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。公司利用信息系统实施至少应当关注下列风险:(一)信息系统开发与使用违反
3、国家法律法规,可能遭受外部处罚、经济损失和信誉损失。(二)信息系统开发与使用未经适当审核或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失。(三)信息系统设计功能不科学、维护与变更程序不规范,可能导致企业经营管理效率与效果低下。(四)信息系统外包服务未恰当履行或监控不当,可能导致企业权益受损或违约损失。(五)信息系统访问安全措施不当,可能导致商业秘密泄露。(六)信息系统硬件管理不当,可能导致资产或股东权益受损。第三条 公司在建立与实施信息系统内部控制中,必须至少强化对下列关键方面或者关键环节的控制:(一)职责分工、权限范围和审批程序必须明确规范,机构设置和人员配备必须科学合理,重大信息系统开
4、发与使用事项必须履行审批程序。(二)公司负责人对信息系统建设工作负责,信息系统开发、变更和维护流程必须清晰合理。(三)公司必须加强信息系统外包开发全过程的监督管理,督促开发单位按照要求完成工作,组织专业机构进行检查验收,组织系统上线运行。(四)必须建立访问安全制度,对操作权限、信息使用、信息管理进行明确规定。(五)硬件管理事项和审批程序必须科学合理。(六)信息系统管理业务中,执行、审批、监督、记录的职责必须做到相互分离。第四条 公司信息管理部门职责:(二)负责信息系统开发需求的审核、自行开发结果的验收及系统使用情况反馈;(三)负责系统项目外委供应商的选择、系统项目进度的跟踪控制及验收;(四)负
5、责组织系统用户培训;(五)负责建立健全各系统管理规定、信息系统维护和系统变更实施;(六)负责权限开设、变更或注销申请审核、系统数据的备份以及监督系统用户的操作行为。2第二章 信息系统开发管理第五条 公司应根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。第六条 公司下属子公司的信息化建设由公司信息管理部门统一规划和审批。第七条 公司信息管理部门应组织内部提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。第八条
6、 公司开发信息系统,可以采取自行开发、外购调试、业务外包等方式。第九条 公司在开发信息系统需选择外包服务商时,要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本公司业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。第十条 选定外购调试或业务外包方式的,根据公司招标管理制度的要求选择采购方式,履行业务审批手续。第十一条 公司信息管理部门应组织公司内部各有关部门提出开发需求,加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。第十二条 信息管理部门应就总体设计方案与业务部门进行沟通和讨论,说明方案对用户需求的覆盖情况;存在备选方案的
7、,必须详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统管理部门和业务部门应对选定的设计方案予以书面确认。第十三条 公司开发信息系统,应将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。第十四条 公司在系统开发过程中,应按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。第十五条 信息管理部门应根据业务性质、重要程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系,必须
8、在系统开发建设阶段就形成方案并加以设计,在软件系统中预留这种对应关系的设置功能,以便根据使用者岗位职务的变迁进行调整。第十六条 公司应针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应加强管理,建立规范的流程制度,对操作情况进行监控或者审计。第十七条 公司应在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,必须设计由系统自动报告并设置跟踪处理机制。第十八条 信息管理部门应加强信息系统开发全过程的跟踪管理,组织开发单位与内部的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软
9、件进行检查验收,组织系统上线运行等。第十九条 公司应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。验收测试合格之后方可上线。第二十条 公司应做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还必须制定详细的数据迁移计划。第三章 信息系统运行与维护第二十一条 信息管理部门应加强信息系统运行与维护的管理,制定信息系统工作程序、制度及具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序
10、、制度和操作规范持续稳定运行。第二十二条 信息管理部门定期对信息系统进行维护和测试,并形成测试维护报告,以确保信息系统运行安全稳定。第二十三条 公司委托专业机构进行系统运行与维护管理的,必须严格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务合同和保密协议。第二十四条 公司必须有效利用技术手段,对硬件配置调整、软件参数修改严加控制,设置安全参数,保证系统访问安全。第二十五条 信息系统变更必须严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。第二十六条 公司信息管理部门必须根据业务性质、重要性
11、程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。第二十七条 公司必须建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的,必须审查该机构的资质,并与其签订服务合同和保密协议。第二十八条 公司必须制定相应的密码策略,保证公司用户账户的安全。第二十九条 必须采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。第三十条 公司必须建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。第三十一条 必须综合利用防火墙、路由器
12、等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。第三十二条 对于通过网络传输的涉密或关键数据,必须采取加密措施,确保信息传递的保密性、准确性和完整性。第三十三条 建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。第三十四条 定期进行信息系统灾备演练,并制定信息系统紧急预案,保证信息系统的安全。第三十五条 公司信息管理部门应加强机房管理,设立门禁制度,非机房工作人员因工作需要进入机房的必须做登记记录。第三十六条 公司信息管理部门应加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检
13、查,及时处理异常情况。未经授权,任何人不得接触关键信息设备。第三十七条 系统停止运行报废后,必须将废弃系统中有价值或者涉密的信息进行销毁、转移,妥善保管相关信息档案。第四章 附则第三十八条 本细则由信息管理部门负责解释。第三十九条 本细则自下发之日起施行。14第二部分 信息系统建设流程第一章 信息系统开发第一条 目的为了加强、规范中粮生物化学(安徽)股份有限公司(以下简称“中粮生化”或“公司”)信息系统自行开发与系统项目(IT项目)的建设,有效规避信息系统自行开发与系统项目建设过程中的风险,特制订本管理标准。第二条 适用范围本管理标准适用于公司及其下属子公司。第三条 定义范围及术语计算机信息系
14、统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。信息系统开发:信息系统开发包括信息系统内部自行开发和信息系统项目外委开发。信息系统项目(IT项目):是指公司机房、网络、数据中心等基础设施建设项目,内部网、外部网、邮件、办公自动化等基础平台建设项目,企业资源计划(ERP)或财务、人力资源、生产、采购、库存、物流、销售及其他管理信息系统建设项目。第四条 职责分工信息管理部门:负责信息系统开发需求的审核、自行开发方案的制订、实施、验收及系统使用情况反馈;负责系统项目外委供应商的选择、系统项目进度的跟踪控制、系统项目的测试、上线及验收;负责组织系统用户培训的实施;使用部门:负
15、责提出系统开发需求申请、系统开发方案的审核确认;财务部:负责系统开发方案的审核。第五条 业务流程(一)信息系统自行开发-流程图(二)信息系统自行开发-流程说明序号流程内容详细说明记录相关文件01业务部门根据业务需求,整理初步的需求文档,并附有签报纸。经过部门审批和该部门所在中心主任审批后,送至财务部信息主管审批。业务需求文档签报纸02财务部信息主管根据业务需求,结合现有系统应用情况和公司信息化规划,审批是自行开发实施,还是外包(本流程主要针对自行开发实施设计)。并指定人员进行需求调研和方案设计。审核点:1.需求合理性;2.是否符合公司信息化规划;3.系统间兼容性;4.开发对象安全影响。03需求
16、调研阶段,根据业务部门初步需求进行详细调研,挖掘潜在需求,并对需求合理化。在数据库设计中更要充分考虑数据库安全性。详细需求文档04根据详细需求文档设计开发实施方案,包括工作量评定、开发周期和开发预算,信息主管审核方案可行无误后,送至申请部门审核。开发实施方案05申请部门对开发设计方案进行审核。审核点:1.开发方案是否满足业务需求;2.系统设计的友好性。同意后,申请部门部长审核签字。06申请部门所在中心主任审批。07财务部审核开发设计方案是否符合财务管控要求和预算的合理性。08财务总监审批。09根据开发设计方案进行开发,测试通过后,进行实施上线。10系统上线3个月后出具验收报告。(三)信息系统项
17、目-立项流程图(四)信息系统项目-立项流程说明序号流程内容详细说明记录相关文件01业务部门根据业务需求,整理初步的需求文档,并附有签报纸。经过部门审批和公司分管副总审批后,送至信息主管审批。业务需求文档签报纸02信息主管根据业务需求,结合现有系统应用情况和公司信息化规划,审批是自行开发实施,还是外包(本流程主要针对外包设计)。并指定人员进行需求调研和方案设计。审核点:1.需求合理性;2.是否符合公司信息化规划;3.系统间兼容性;4.开发对象安全影响。03需求调研阶段,根据业务部门初步需求进行详细调研,挖掘潜在需求,并对需求合理化。出具可详细需求文档和可行性分析报告。详细需求文档可行性分析报告0
18、4根据详细需求文档中的预算情况审核该项目是否在预算范围内。05根据详细需求文档和可行性分析报告审核项目的可行性和对管理起到的提升作用,并对整个项目的预算加以审核控制。06结合公司信息化规划审核项目的可行性和必要性。(五)信息系统项目-实施流程图(六)信息系统项目-实施流程说明序号流程内容详细说明记录相关文件01立项后,项目承包商的选择应采取竞争性谈判或竞争性邀标方式进行,具体要求信息管理部门按照第三方与外包安全管理规定来选择确定供应商。招标或谈判记录第三方与外包安全管理规定02信息管理部门确定供应商后,根据经济合同管理标准签订采购合同。03建立项目组,制度项目实施方案。开发原则:1.检查所有的
19、命令行参数2.检查所有的系统调用参数和返回代码3.确定所有的缓存都被检查过4.在变量的内容被拷贝到本地缓存之前对变量进行边界检查5.检查是否有后门帐户及代码6.内部有做完整性检查的代码7.生成日志记录,包括日期、时间、进程号、终端信息、命令行参数、错误和主机名8.使核心程序尽可能小而简单9.用全路径名做文件参数10.检查用户的输入,确保只有合规字符11.使用会话加密来避免会话抢劫和隐藏验证信息12.如果可能,静态连接安全程序13.当需要主机名时使用DNS逆向解释14.在网络服务程序里分散和限制过多的负载15.在网络的读和写里放置适当的超时限制16.防止服务程序运行超过一个以上的拷贝17.避免将
20、文件创建在所有人可写的目录里18.要设置信任的IP地址,可选用密码算法验证项目实施方案04根据项目实施方案按步骤的执行。05根据项目实施方案中制定的阶段检验阶段性成果,并出具阶段性验收报告。阶段性验收报告06信息系统部署完成后进行系统测试,包括功能测试、压力测试、性能测试、安全功能测试等,并出具测试报告。测试报告07组织系统用户培训,考试成绩合格后方可有系统使用权。用户培训报告08系统静态数据和动态数据初始化。初始化数据表09系统试运行,将真实业务在系统中运行,并编制试运行报告。试运行报告10系统试运行测试后,项目组编制上线计划,系统上线正式运行。正式运行后对系统文档进行维护管理,系统文档由应
21、用系统管理员统一管理。只有经过授权的人员才可以访问文档管理服务器。应用软件开发的系统文档包括:需求分析文档、需求审批文档、概要设计文档、安全设计文档、详细设计文档、各阶段测试报告文档、项目合同文档,系统验收文档、系统上线文档、项目变更文档等。并附文档清单系统开发与维护文档清单。上线计划、系统开发与维护文档清单11项目验收工作由项目经理负责组织,使用单位和信息管理部门共同出具验收报告。项目验收时对于项目建设过程中涉及到的所有文档、使用手册和软件介质等相关资料要做好移交工作。文档移交应作为项目验收的重要内容之一。验收报告第六条 风险控制矩阵风险编号风险描述控制目标控制活动编号控制活动控制记录预防/
22、检查自动/人工责任部门财务报表认定财务报表科目1.存在/发生2.完整性3.准确性4.截止5.权利和义务6.计价和分摊7.列报和披露123456721.1-R1存在信息孤岛现象,各系统各自为政,削弱了信息系统的协同效用,甚至引发系统冲突各系统模块有效对接21.1-CA1A在信息化的过程中,需要将公司的各类资源如人员、设备、资金、组织机构、物料等各种数据建立满足系统应用的基础数据库,制定适合信息化数据传递的标准规范和各应用系统间的集成标准,保证数据的统一性和一致性,达到数据高度共享。预防自动信息管理部门21.1-CA1B无论购买商品化软件还是定向开发,都应支持数据接口规范,保证应用系统的升级以及系
23、统间的数据交换。预防自动信信息管理部门21.1-R2信息系统与公司业务需求相脱节,降低了信息系统的应用价值信息系统符合业务需求21.1-CA2A项目发起单位要向信息技术部门提交正式的、详细的需求报告,需求报告中要包括详细的项目需求、范围和时间进度等。系统开发需求报告预防人工信息管理部门21.1-CA2B需求报告通过信息管理部门初审后,项目的发起部门必须会同信息管理部门共同组建项目小组,项目小组进行项目可行性研究,编写项目可研报告。可行性研究报告预防人工信息管理部门21.1-CA2C项目小组形成项目可研报告提交公司信息主管领导审核。审核记录预防人工信息管理部门21.1-R3信息系统建设缺乏项目计
24、划或者计划不当,导致项目进度滞后、费用超支、质量低下信息系统开发过程得到有效控制21.1-CA3项目小组制定项目实施概略方案,包括项目实施进度、资质审核,项目预算等信息内容,并提交公司信息主管领导审核。项目实施概略方案预防人工信息管理部门21.1-R4系统开发技术上不可行、经济上成本效益倒挂系统开发符合技术经济效益21.1-CA4项目小组需对信息系统开发进行项目可行性研究,编写项目可研报告,对系统开发技术的可行性、经济效益等进行论证;可行性研究报告预防人工信息管理部门21.1-R5需求文档表述不准确、不完整,未能真实全面地表达业务需求系统开发需求文档准确21.1-CA5系统开发承包商对业务需求
25、进行详细调研,在此基础上进行需求文档的编制,编制的需求文档经过独立于编制的人员的项目小组进行审核确认。需求文档及其审核记录预防人工信息管理部门21.1-R6设计方案不全面、不能完全满足用户需求,不能实现需求文档规定的目标设计方案符合需求21.1-CA6系统开发承包商就系统开发方案编制的设计方案文档,需要经项目小组讨论、审核确认。设计方案预防人工信息管理部门21.1-R7设计方案与公司内部控制相脱节,容易导致系统运行后衍生计算机舞弊风险设计方案符合需求21.1-CA7系统开发承包商就系统开发方案编制的设计方案文档,需要经项目小组讨论、审核确认。设计方案预防人工信息管理部门21.1-R8开发的系统
26、测试不充分,可能存在系统运行隐患而不能及时有效纠正系统得到充分测试验收21.1-CA8项目验收测试工作由项目经理负责组织,由项目需求单位和信息管理部门双方应具体说明分别进行系统的验收测试工作,形成系统验收测试报告或记录。系统测试记录预防人工信息管理部门21.1-R9缺乏完整可行的上线计划,导致系统上线混乱无序系统上线计划合理21.1-CA9A系统上线前,系统开发项目小组制定系统上线方案,报信息主管领导审批后才可上线。上线计划方案预防人工信息管理部门21.1-CA9B项目组将制定系统上线计划和方案,内容包括上线步骤、时间、所需资源等;对于存在新旧系统割接的工程,还需包括割接计划、割接方案、回退方
27、案等上线计划方案预防人工信息管理部门21.1-R10业务人员不能正确使用系统,导致业务理错误,或者未能充分利用系统功能,导致开发成本浪费系统得到有效使用21.1-CA10A开发软件在投入使用前,软件开发商应对有关技术人员或业务操作人员进行技术和操作培训。系统使用培训记录预防人工信息管理部门21.1-CA10B2、各单位软件操作人员必须按照软件操作手册(操作流程)操作。预防人工信息管理部门21.1-R11系统开发外包服务商选择不合理,可能会实施损害企业利益的自利行为,如偷工减料、放松管理、信息泄密等确保外包服务商选择合理21.1-CA11项目承包商的选择采取竞争性谈判或竞争性邀标方式进行。招标谈
28、判记录预防人工信息管理部门21.1-R12服务外包合同条款不准确、不完善,可能导致企业的正当权益无法得到有效保障外包合同条款符合公司利益21.1-CA12系统开发服务外包合同经过法律部、财务部等职能部门的审核通过以后方可与承包商签订。外包服务合同及审核记录预防人工信息管理部门21.1-R13外包服务跟踪监督不到位,可能导致外包服务质量水平不能满 足企业信息系统开发需求外包服务质量得到有效保证21.1-CA13项目开发小组需根据项目承包方制订的系统开发方案计划定期或不定期对项目开发进度、效果进行监督跟踪评价,并向信息主管领导进行汇报。检查人工信息管理部门21.1-R14软件产品选型不当,产品在功
29、能、性能、易用性等方面无法满足企业需求软件产品符合业务需求21.1-CA14软件产品根据系统开发需求进行选型配置,软件选型配置方案需经过信息主管审核审批;软件产品采购时采取竞争性谈判或竞争性邀标方式进行。招标谈判记录预防人工信息管理部门21.1-R15软件供应商选择不当,产品的支持服务能力不足,产品的后续升级缺乏保障软件产品符合业务需求21.1-CA15软件供应商通过采取竞争性谈判或竞争性邀标方式进行。招标谈判记录预防人工信息管理部门第二章 信息系统运行与维护第一节 IT资产管理第一条 目的为了规范中粮生物化学(安徽)股份有限公司(以下简称“公司”)IT资产的选型、购置、使用、维护及报废程序,
30、有效控制IT资产的安全使用风险,特制订本管理标准。第二条 适用范围本管理标准适用于公司及其下属分子公司。第三条 定义范围及术语IT资产:主要是指服务器、网络设备、台式机、笔记本电脑,打印机、传真打印一体机、扫描仪等计算机外部设备,办公所需的各类软件等。第四条 职责分工管理部门:负责IT资产需求选型、采购审核、IT资产使用操作与保管的检查、IT资产日常调拨、IT资产报废的鉴定和回收拆解利用以及IT资产日常维护及实物的台账管理;使用部门:负责IT资产采购需求的申请、IT资产使用操作与保管、IT资产调拨申请以及IT资产报废的申请;采购部门:负责IT资产需求的采购、验收、入账及付款申请,质保期内协调供
31、应商进行质保服务。财务部:负责IT资产采购审核、入账、付款,IT资产调拨、报废的账务处理,IT资产的财务台账管理;22第五条 业务流程(IT资产维护流程(比如信息处负责检修-采购部进行耗材采购-业务部门进行领用-信息处负责更换及调试)(一)IT资产购置管理流程图(二)IT资产购置管理流程说明序号流程内容详细说明记录相关文件01需求申请部门根据实际业务需要,填写固定资产购置申请审核表。固定资产购置申请表02申请部门部长审核意见,审核点:对资产购置的必要性、真实性进行审核03资产管理部门:1. 核定申购的业务需求,增加电脑的必要性;2.公司资产情况,是否能够通过调剂的方式满足需求;3.核定申购部门
32、在日常使用过程中是否有不良使用记录4.选型是否满足业务需求。04资产管理部门部长审批。05财务部审核:1. 是否有采购预算;2. 购置方案是否完整。06财务部部长审批。07申购部门所在中心主任签字。08财务总监审批09购置固定资产均应签订合同 固定资产采购合同10验收项目:1.核对固定资产实物与凭证所列数量是否一致; 2.检查所附备件是否齐全; 3.察看设备性能是否良好;固定资产验收单11固定资产到厂后,经办人应及时办理固定资产的验收入库,并到财务部办理发票入账,如固定资产到厂当月发票未回的,应于当月末持固定资产入库单、验收单等到财务部办理暂估入账,发票返回后办理正式的入账手续。(三)IT资产
33、变更管理流程图(四)IT资产管理流程说明序号流程内容详细说明记录相关文件01资产入库后,采购部门通知申购部门办理固定资产移交表,并根据ERP-NC系统中的采购计划制作领料单,打印PER-NC领料单领用手续进行领料。固定资产移交表NC领料单02申请部门部长审核,保证业务的真实性。固定资产移交表NC领料单03资产管理部门根据申购部门提供的完整手续做好IT固定资产实物台账的登记。04财务部负责IT资产财务处理,生成资产卡片。05资产使用部门负责资产实物的日常管理,部门负责人为资产的第一负责人,部门资产管理员负责统计和调剂。1.因个人失误造成IT固定资产损坏者,视其情节及IT固定资产价值确定赔偿比例予
34、以赔偿。2.造成IT固定资产丢失的,由财务部按资产折旧的现值予以赔偿。3.因不可抗力造成的损坏和丢失除外。4.具体赔偿比例由财务部进行解释06各部门因人员变动或组织机构调整,闲置相关IT资产时,应需办理相关手续将闲置IT资产移交予资产管理部门统一处理;子公司交予子公司财务部门处理。不得以因工作需要为名,私自进行IT资产调剂。确实因工作需要,需按照IT资产管理办法进行调拨申请。填写资产调拨申请表,经过调入部门、调出部门、资产管理部门、财务部审核。固定资产调拨申请表07IT固定资产报废时应将IT资产送至资产管理部门进行鉴定,申请部门填写办公设备报废申请单。要求填写项目:设备名称、数量、设备编码、规
35、格型号、投运时间、应使用年限、安装地点、制造厂家、供货厂家、原值、累计折旧、减值准备、净额。办公设备报废申请单08资产管理部门依据公司办公资产报废标准进行报废鉴定 办公设备报废申请单09由资产管理部门进行报废鉴定,报部门领导审核。办公设备报废申请单10财务部根据财务帐复核资产原值、净值等财务信息准确性。办公设备报废申请单11依据公司办公资产报废标准,财务部部长批准后进行账务处理;办公设备报废申请单12依据公司办公资产报废标准,经财务部部长、财务总监、总经理审批;办公设备报废申请单13报废IT固定资产交由资产管理部门统一保管,统一由资产处置部进行处理,严禁任何部门或个人私自处理。办公设备报废申请
36、单第二节 应用系统管理第一条 目的为了加强中粮生物化学(安徽)股份有限公司各信息系统规范使用和运行,提高系统的可靠性、稳定性、安全性及数据的完整性、准确性,保证业务正常运行,提高效率,特制定本管理标准。第二条 适用范围本管理标准适用于中粮生物化学(安徽)股份有限公司及子公司。第三条 定义范围及术语ERP-NC系统:是公司规范财务、供应链一体化的管理系统,是公司供应链和财务等部门处理业务的平台。粮食收购信息化系统:是保障公司原粮收购高效、准确便捷的有效途径,对涉及部门实行归口管理。关键硬件:指重要网络设备、服务器、存储设备等关键软件:指网络管理软件、各业务系统、管理信息系统等相关软件。系统变更:
37、指需求变更、程序修补、数据维护等涉及系统改变的活动。1)需求变更类:现有业务变化、新的业务需求、或业务流程、业务参数发生变化;2)程序修补类:发现的系统错误,需要进行修改;3)数据维护类:对数据进行新增、修改、删除;4)其它类:未包含在上述类别,但是涉及系统改变的变更。第四条 职责分工信息管理部门:负责制定各系统管理规定、信息系统维护和系统变更实施;负责权限开设、变更或注销申请审核;系统数据的备份以及监督系统用户的操作行为。业务部门:负责信息系统的规范操作和使用,提出系统维护需求和系统变更需求及系统权限变更的申请。26第五条 业务流程(一)应用系统运行与维护流程图(二)应用系统运行与维护流程说
38、明序号流程内容详细说明记录相关文件01信息管理部门制定各应用系统管理规定,包括ERP-NC系统管理规定、粮食收购系统管理规定、ERP-NC具体操作手册等。ERP-NC系统管理规定()、粮食收购系统管理规定()、ERP-NC具体操作手册等02各部门需按照ERP-NC系统管理规定、粮食收购系统管理规定执行。03各部门在应用操作系统时遇到自行不可解决的问题时,应及时向信息管理部门提出系统的维护需求。04信息管理部门在接收到用户提出的运营维护需求时提供专业技术支持,超出公司信息管理部门内部专业技术人员能力时,依照第三方与外包安全管理规定通过聘请外部第三方进行技术解决。第三方与外包安全管理规定05业务部
39、门提出应用系统的变更时,必须由申请部门提交书面变更申请,填写应用系统变更申请表,报送信息管理部门审批,申请表单必须打印存档,期限为一年。涉及数据维护的变更(包括新增、修改、删除等操作),业务操作人员需填写应用系统变更申请表,提交给应用系统管理员审批。应用系统变更申请表06信息管理部门对业务部门提出的应用系统变更申请进行审批。07系统变更方案审批通过后,系统承建部门组织实施方制订变更方案,变更方案中包含回退方案。若在执行变更过程中出现意外,要按照回退方案退回到转换前的系统状态。若无法回退,应通过备份磁带恢复原系统。08系统承建部门实施测试。通过后,由应用系统管理员对系统数据进行变更操作。针对外包
40、软件,开发商需要拥有临时应用系统的用户名及口令。进行系统故障处理、检查等操作时,要先取得授权,并由应用系统管理员对其访问进行监督,并在访问结束后及时取消帐号,详细内容参见第三方和外包安全管理规定。系统变更测试记录第三方和外包安全管理规定。09系统变更经过验收试运行无故障时由业务部门进行应用系统操作与维护。35(三)信息系统权限管理流程图(四)信息系统权限管理流程说明序号流程内容详细说明记录相关文件01权限申请人根据系统类型和权限开设类别,依据账号安全管理规定在OA系统中找到对应的权限申请单,填写送审审核。信息化系统使用申请表、帐号管理变更申请表、离职人员会签单账号安全管理规定02权限部门内部负
41、责人对权限开设、变更或删除进行审核。03与权限涉及的相关部门对系统权限涉及的工作分工职责审核,判断是否给予该权限。04信息管理部门信息主管对权限申请进行审批。05系统管理员根据审批的权限依据账号安全管理规定进行新增权限开设、变更或删除。账号安全管理规定06权限使用用户需依据账号安全管理规定进行合理操作使用权限,维护好账号和登陆口令信息,防止被非权限用户获取。07系统管理员需依据账号安全管理规定和计算机安全检查标准定期对系统用户的权限使用情况进行检查,填写系统帐号检查表。系统帐号检查表账号安全管理规定、计算机安全检查标准(五)计算机用户管理-流程图(六)计算机用户管理-流程说明序号流程内容详细说
42、明记录相关文件01公司信息管理部门根据公司内部网络布局和业务需求,制定计算机用户行为守册。计算机用户行为守册02各个业务部门的系统使用用户对进入公司内网的计算机按照计算机用户行为守册进行管理和控制。计算机用户行为守册03公司信息管理部门利用计算机终端管理软件监测用户行为,并于每月根据计算机用户行为守册和计算机安全检查标准组织一次公司范围的计算机系统使用检查。计算机用户行为守册、计算机安全检查标准04公司信息管理部门对违反计算机用户行为手册的用户进行记录,根据计算机用户行为守册进行通报整改和实施相应的惩罚。用户行为检查记录计算机用户行为守册(七)系统数据备份流程图(八)系统数据备份流程说明序号流程内容详细说明记录相关文件01公司信息管理部门根据系统类型制定数据备份策略方案。系统数据备份方案02对于重要的业务系统重要数据或数据库要求每日做一至二次本机和异地备份.且每月备份数据要刻成光盘,有专人负责保管。03公司信息管理部门需抽取数据备份样表恢复,校验数据的完整性。服务器系统必需有备份,以防系统中毒或崩溃等异常情况发生时的紧急处理之用。常用的业务系统,要有临时替代系统,一方面作为测试用,另一方
