信息管理与信息安全管理程序.doc

1目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。2适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。3术语和定义3.1信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。3.2企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。3.3信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。3.4ERP企业资源规划3.5MES制造执行系统3.6LIMS实验室信息管理系统3.7IT信息技术4职责4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。4.2ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。4.3信息中心是公司信息化工作的归口管理部门，主要职责：a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促；b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施；c)负责统一规划、组织、整合和管理公司信息资源系统，为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口；d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算机设备检维修管理；e)负责ERP等支持中心日常管理工作；f)负责通信管理。4.4发展项目处负责将信息化项目列入公司投资建议计划，提交信息化工作领导小组讨论通过后，上报总部。4.5技术质量处负责对列入科技开发计划的信息管理项目按科技开发控制程序执行。4.6财务部门负责信息化、通信系统维护专项费核算、管理。4.7机动处负责对计算机、网络、机房等基础设施安排检维修计划并组织实施。4.8教培中心协助组织进行员工的信息化应用和现代信息技术基本知识的培训。 4.9人力资源处负责信息系统关键岗位的设定和管理。4.10企业管理处负责组织对各部门(单位)的信息化工作进行专项考核；负责审定公司各项信息化管理规章制度。4.11物资装备中心负责信息技术项目设备、材料和计算机设备配件、耗材的物资供应。4.12总经理(外事)办公室负责公司信息门户和信息披露的管理，负责公司计算机及配件的维修管理。4.13宣传处负责公司宣传思想网的日常管理，负责对外宣传报道稿件的审核。党委办公室负责公司党群工作信息系统的日常管理。4.14计量管理中心、质量检验中心、安全环保处负责涉及产品质量、环境质量和测量的相关技术程序包括测试程序、方法、（产品和测量方法）标准等相关文件、软件、记录和标识的所有信息管理。4.15情报档案室负责公司内部归档档案信息管理、外部文献信息、生产技术、经营课题调研信息等信息资源的采集、管理。4.16各部门(单位)职责：a)负责提出信息资源需求，及时录入和维护有关数据，有效利用和管理信息资源；负责公司信息门户中本部门(单位)信息的发布及维护；b)负责本部门(单位)计算机及通讯设备、网络系统和信息系统的安全运行管理；c)提出本部门(单位)的信息技术项目立项和系统故障维修的申请报告，组织信息技术项目在本部门(单位)的实施、推广和应用,负责及时录入和维护有关数据，协调处理有关业务问题；d)负责建立和完善技术档案和基础技术资料。5工作程序5.1工作机构5.1.1公司成立由总经理为组长、分管副总经理为副组长、有关部门(单位)主要负责人为组员的信息化工作领导小组，其主要职责见4.1。5.1.2公司设立由信息中心及有关部门(单位)关键用户组成的ERP等系统支持中心，其主要职责见4.2。5.2信息化建设管理5.2.1信息化计划5.2.1.1在总部信息化建设规划指导下，信息中心编制公司信息建设专业发展计划，征求各部门(单位)意见并组织专家组进行评审，报信息化工作领导小组审核，经公司总经理批准后，报总部信息系统管理部备案，并纳入公司生产发展总体规划，在执行过程中滚动调整和完善。5.2.1.2各部门(单位)根据公司生产发展总体规划和生产经营管理的需要，每年6月份前向信息中心申报下一年度的信息化项目建议书，信息中心组织审核并汇总编制公司年度信息技术项目建议计划，报发展项目处纳入公司年度投资建议计划统筹平衡，经公司信息化工作领导小组讨论批准后，由发展项目处上报总部，由信息中心报信息系统管理部备案。5.2.1.3信息中心负责编制年度公司信息系统运行维护费用预算，经财务部门综合平衡后，报公司全面预算管理委员会审定后执行。5.2.2项目立项5.2.2.1信息化项目的立项权限、限额划分及相关工作的管理，按固定资产投资控制程序和内部控制的有关规定执行。5.2.2.2信息化项目申请立项，必须符合公司发展总体规划中的目标和任务，依据公司信息技术项目年度建议计划，进行信息技术项目立项工作。5.2.2.3申请股份公司立项的信息技术项目按金陵石化信息技术项目管理规定执行。5.2.2.4申请公司立项的信息技术项目按固定资产投资控制程序和科技开发控制程序执行。5.2.2.5信息中心按照固定资产投资控制程序、科技开发控制程序的规定，组织信息技术项目的招投标。5.2.2.6凡属信息技术项目，须经信息中心审核，未经信息化工作领导小组批准，不予立项，不予拨付资金，项目不得实施。5.2.3项目实施5.2.3.1项目责任单位按照金陵石化信息技术项目管理规定的要求，参与制定项目实施计划，提出项目实施计划要求和建设质量要求；配合系统开发，负责项目进度和质量管理，组织人员培训、试运行、单轨运行。制定配套的系统运行管理制度、提出项目竣工验收申请并进行其它的相关工作。5.2.3.2信息中心组织项目实施例会、中间交接、系统测试、项目竣工验收等工作，并协助项目责任单位完成总部组织的项目的后评价、制定配套的系统运行管理制度。5.2.3.3物资装备中心负责组织进行信息技术项目建设的设备及材料供应，信息中心按一般物资采购程序执行。5.3系统运行维护5.3.1信息系统的运行维护包括对计算机、网络、数据库、应用系统、机房及附属设备的运行维护。5.3.2系统应用责任部门(单位)要按照金陵石化信息技术项目管理规定、金陵石化信息系统安全管理规定和金陵石化信息基础设施运行维护管理规定的要求做好系统应用维护，同时加强对信息系统各类用户及第三方技术支持、服务人员的管理，做好风险防范管理，确保系统安全运行。5.3.3信息中心负责管理信息系统的基础设施如计算机、网络、数据库系统及机房的运行和维护管理。为各部门(单位)信息应用系统的正常运行提供技术支持和服务。5.3.4各部门(单位)严格执行金陵石化信息基础设施运行维护管理规定，用好管好本部门(单位)的计算机网络系统和计算机设备，建立和更新本部门(单位)计算机设备台帐，并报信息中心备案。5.3.5信息中心依据金陵石化信息基础设施运行维护管理规定进行计算机设备检维修管理。各部门(单位)的计算机设备发生故障，需经本部门(单位)处理审核后报信息中心，由信息中心组织进行检维修。信息中心无法维修的，各部门(单位)须填报“计算机维修单”，由总经理(外事)办公室审核确认后，方能送外修理，将实际发生的检维修费用报财务进行结算。5.3.6标准代码管理执行中国石油化工集团公司信息标准代码管理办法。对于总部统一组织实施的信息技术应用系统，当各部门(单位)需要增加标准代码时，向信息中心报“标准代码申请单”，信息中心审核后报总部，各部门(单位)将总部批准的标准代码维护到系统中。5.3.7计算机软件产品购置、测试、评估、开发应用、升级、保存管理执行金陵石化信息系统应用管理规定。5.3.8信息中心负责对因特网和其他对外出口的安全管理和监控，动态监控信息系统安全状况，及时组织处理突发的安全故障，保障信息系统正常运行。5.3.9对于总部统一组织实施的信息技术应用系统，凡不能自行解决的运行维护问题，由信息中心将各部门(单位)提交的信息系统问题上报总部主管部门，待回复后，将问题解决方案交问题提报部门(单位)执行。5.3.10各部门(单位)作为应用系统的业务管理者和使用者，负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全的运行和管理工作。5.3.11信息中心负责每月8日前组织召开ERP系统运行月度例会，协调解决有关问题，编写ERP系统运行维护月度报告，上报股份公司信息系统管理部。5.4信息资源管理5.4.1信息资源分类与管理公司信息按下属方式进行分类：a)按来源划分。包括生产经营管理方面的内部信息和需从外部购入的信息；b)按载体划分。包括电子载体信息和纸质载体信息。其中电子载体信息主要包括由ERP、MES、LIMS、实时数据库等基础信息系统及专业信息系统采集（或形成）并存储的信息、使用计算机编制并存储的信息以及从外部获得各类有关的电子类信息等。纸质载体信息包括各类纸质的文件记录、资料等。5.4.2外部信息需求的识别和获取5.4.2.1专业管理信息由各部门(单位)按“谁主管，谁负责”的原则，通过网络、专业协会、总部、政府部门等途径对外部信息进行识别和获取。5.4.2.2各部门（单位）对需要单位间共享或购买的外部文献信息、生产技术、经营等课题调研信息，按公司文献信息管理制度、信息调研管理制度由情报档案室管理，其他所需外部信息按中国石化信息资源管理办法的要求形成相应的信息需求目录，并明确信息内容、信息提供频率和信息提供方式等，经本部门（单位）负责人签字确认后报情报档案室。5.4.2.3情报档案室组织汇总各部门(单位)需要其他单位提供的信息和需外购的信息，编制内部信息需求和外购信息需求目录。各部门(单位)内部共享信息需求及外购信息需求内容经分管副总经理审核批准后实施。5.4.2.4外购信息经批准后由情报档案室统一采购，购入后，由情报档案室分发或提供网址、密码等必要信息供需求各部门(单位)使用。5.4.3内部信息的采集发布、传输利用5.4.3.1各部门(单位)对于需要录入公司信息门户及信息系统的，应依据中国石化信息分级及信息门户授权规则（试行）及信息系统（如ERP、MES、LIMS等）管理的规定，及时采集和录入数据。5.4.3.2各部门(单位)对录入的内部信息实施分级管理，情报档案室汇总各部门(单位)信息密级目录列表，作为信息资源管理和信息访问的基础；对于通过系统自动采集或转换的信息，须经主管部门(单位)审核确认。情报档案室及各部门(单位)应定期对信息采集发布工作进行检查评价。5.4.3.3信息中心通过信息门户对各部门(单位)有关最终用户分别进行信息授权，确保信息准确送达和安全使用。5.4.3.4各部门(单位)和各岗位按照信息授权接受并运用所需信息。5.4.3.5涉密信息严禁公开发布，各部门(单位)对所发布数据的合法性、真实性、有效性负全面责任。5.4.3.6内部归档档案信息按公司档案管理规定执行。5.4.4信息披露公司总经理（外事）办公室为信息披露的归口部门，对外信息披露按照“谁主管，谁负责审核批准”的原则进行管理，未经审核或授权，各部门(单位)和各岗位一律不得对外披露相关信息。其中，对外宣传报道及外部宣传媒体的接待按宣传思想工作管理程序执行。5.4.5信息评估与分析各部门(单位)对收集的信息（数据），应按照系统应用的目标要求进行评价和分析，为制定企业的方针目标和战略目标提供科学依据。信息中心在各部门(单位)利用电子图文、网络通讯、实时数据等方式进行数据收集、传递、分析时，提供相应的信息化技术手段和支持并不断进行改善。5,5IT一般性控制管理5.5.1信息中心按内部控制手册要求建立并实施IT一般性控制管理,并会同相关各部门(单位)依据总部和公司关于IT一般性控制的要求，规范信息系统的建设、运行维护和应用管理等工作。5.5.2信息中心按内部控制制度要求完成各项IT内控流程的自查测试工作底稿及自查报告并上报内控办公室。5.6通信管理信息中心为全公司通讯归口管理部门，负责通讯设施系统的日常安装、维护、维修、拆迁工作，确保公司通讯畅通。具体执行金陵石化通信管理规定。5.7信息安全管理5.7.1信息中心根据金陵石化信息技术风险评估管理规定，结合自身生产经营管理的需要编写“信息系统风险评估报告”，并针对风险评估报告中提出的问题，制订公司“信息安全方案”，经分管副总经理审批后报信息系统管理部备案。5.7.2信息中心依照金陵石化信息系统安全管理规定，组织实施公司信息安全管理，确定信息系统安全关键岗位，设立安全管理员，签订“信息系统安全责任书”。5.7.3各部门(单位)及岗位不得安装与工作无关的软件，及时安装系统补丁，及时更新防病毒代码，及时进行数据备份。严禁传播病毒。发现设备损坏和数据丢失及时处理，信息中心提供必要的技术支持和服务。5.7.4信息中心对因特网和其他对外出口的安全管理和监控负责，并动态监控信息系统安全状况，及时组织处理突发的安全故障，保障信息系统正常运行。5.8检查评价与改进5.8.1企业管理处通过岗位责任制检查，组织对信息化工作检查，信息中心组织日常检查和专业管理检查，对各部门(单位)信息系统运行情况和信息管理工作进行检查与考核。检查结果纳入经济责任制考核。5.8.2公司内控办公室按照内控要求定期组织对信息管理内控流程的执行情况进行检查与考核评价。5.8.3信息中心结合日常管理、专业检查、内部审核等对本程序的适宜性、有效性进行评价，并采取相应措施实施持续改进。6支持性文件6.1金陵石化信息化管理细则6.2金陵石化信息系统安全管理规定6.3金陵石化信息基础设施运行维护管理规定6.4中国石化信息资源管理办法中国石化办2011228号6.5金陵石化网络管理规定6.6中国石化信息分级及信息门户授权规则（试行）（石化股份信 2006 332号） 6.7中国石油化工集团公司信息标准代码管理办法6.8金陵石化信息系统应用管理规定6.9金陵石化信息技术风险评估管理规定6.10中国石化信息化项目验收管理办法中国石化信2011150号6.11固定资产投资控制程序6.12科技开发控制程序6.13金陵石化信息技术项目管理规定6.14金陵石化ERP系统管理规定6.15金陵石化MES系统管理规定6.16金陵石化商业秘密保护规定金陵石化办201015号6.17金陵石化通信管理规定7记录7.1信息技术项目年度建议计划7.2信息专业年度综合计划7.3信息中心日常维修记录表7.4可行性研究报告7.5项目建议书批复7.6可行性研究报告批复7.7技术附件7.8中交报告7.9项目详细设计7.10项目详细设计评审7.11项目开工报告7.12项目验收报告7.13后评估报告7.14中国石化信息化工作月报-金陵分公司7.15中国石化金陵公司信息安全运维月报7.16中国石化信息基础设施运行维护评价指标-金陵分公司7.17项目申报投资计划卡7.18金陵分公司信息系统用户管理申请表7.19金陵分公司ERP系统角色维护申请表7.20金陵分公司信息系统用户需求提报(传输请求申请)单7.21ERP系统变更记录表7.22金陵分公司客制化开发用户接收测试文档7.23金陵分公司客制化开发功能设计说明书7.24金陵分公司ERP批导入数据申请表7.25金陵分公司信息系统后台作业调度申请表7.26金陵供应商（客户）主数据申请表7.27撤离备案申请表7.28金陵分公司ERP月度例会纪要7.29金陵分公司ERP系统月度运行和应用报告7.30ERP系统补丁及软件升级申请表7.31ERP系统日志7.32MES系统问题提报单7.33电脑维修及配件领用表7.34用户终端接入申请审批表7.35服务器台帐7.36金陵分公司网络拓扑图7.37IP地址分配表7.38中国石化电子邮件服务申请表7.39ERP相关管理员授权书7.40IT一般性控制流程检查工作底稿7.41计算机设备维护记录表7.42系统备份、数据库维护表7.43信息系统风险评估报告7.44信息安全方案7.45各部门（单位）信息目录7.46各部门（单位）信息需求目录7.47各部门（单位）外购信息需求目录7.48共享信息需求目录7.49信息授权列表8附加说明本程序由信息中心提出并归口。本程序起草部门：信息中心。本程序起草人：赵志明、任强。本程序审核人：罗建平。本程序批准人：赵日峰。本程序解释权归信息中心。附录A： 信息化建设管理流程图表A流程说明流程名称信息化建设管理流程图制定部门信息中心子流程/业务活动名称子流程/业务活动描述部门、岗位记录支持性文件信息化项目需求各部门(单位)根据公司生产发展总体规划和生产经营管理的需要，每年6月份前向信息中心申报下一年度的信息化项目建议书，信息中心组织审核并汇总。各部门(单位)7.17.176.16.116.12项目可行性研究和评审信息中心会同项目责任部门(单位)委托有资格的单位承担项目可行性研究，并组织专家组对项目可行性研究报告进行评审，专家组对项目需求、项目目标、技术路线、风险分析、投资估算与效益分析、项目组织及实施策略等提出可行性研究评审意见并签字信息中心发展项目处技术质量处各部门（单位）7.47.116.13信息化领导小组讨论根据中国石化年度投资计划、科技开发项目计划管理。信息中心编制年度信息化项目建议计划预案，报信息化领导小组讨论。信息化领导小组信息中心6.1发展项目处汇总、报总部信息化领导小组讨论通过后，分别纳入年度投资建议计划、科技开发项目建议计划，上报信息系统管理部和总部相关部门审核确认。信息中心发展项目处技术质量处项目立项、组织招投标总部统一组织实施的项目由信息系统管理部立项、审批；企业自行立项的信息技术项目在总部每年核定的限额以内，按规定权限审批后报各主管部门、信息系统管理部和发展计划部审核备案，并纳入公司年度投资计划管理。通过可研评审的科技开发项目，由信息中心报技术质量处立项，批准立项的项目，由技术质量处列入年度项目计划。信息中心负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质，开展询比价、商务谈判等工作，依照规定权限签订合同；项目责任部门(单位)负责完成合同技术附件，并由负责人签字确认。涉及有关计算机服务器、PC机、打印机采购事宜，由物资采购部门归口管理、信息管理部门配合开展采购工作信息化领导小组信息中心发展项目处技术质量处7.57.66.2安排项目总体（初步）设计对批准立项的、投资在500万元及以上的项目，信息中心委托有资格的单位按要求编制项目总体（基础）设计。投资在2000万元及以上的项目需组织专家组对项目总体（基础）设计进行评审。信息中心发展项目处物装中心项目应用部门（单位）7.7编制项目实施方案、组织项目实施信息系统项目实施要求设立项目组，项目组根据技术附件要求负责编制项目实施方案、组织项目实施。信息中心发展项目处项目应用部门（单位）7.9项目试运行单轨运行项目组负责项目试运行工作。信息中心发展项目处项目应用部门（单位）7.10项目中交项目经过试运行后，信息中心负责组织项目中交，进行项目建设质量、进度、标准执行和成本控制等检查信息中心项目责任部门（单位）7.8项目验收项目完成全部的规定目标任务后。总部批复的项目由信息系统管理部负责组织项目验收工作；企业自行批复的项目由信息中心负责组织项目验收工作。信息中心项目责任部门（单位）发展项目处财务部门7.126.10项目后评估对固定资产投资2000万元及以上的试点项目，通过验收后，组织专家组对项目进行后评估。 信息中心项目责任部门（单位）7.13检查与改进信息中心和项目主管部门(单位)负责对项目进行适时检查评价，并根据评价和修正意见，进行改进。信息中心项目主管部门（单位）附录B：信息系统维护流程图表B1流程说明流程名称信息系统维护流程图制定部门信息中心子流程/业务活动名称子流程/业务活动描述部门、岗位记录支持性文件信息维护策划制定信息维护计划和方案信息中心6.3、6.5、6.7、6.8、6.14、6.15用户报修用户提出故障申请系统应用部门（单位）7.3、7.19、7.20、7.247.25、7.26、7.27、7.32、7.30故障判断分析对用户提出的故障进行判断分析、看是软件故障还是网络硬件故障信息中心系统应用部门（单位）软件维护处理对软件故障的，由软件管理员进行维护处理信息中心7.21、7.31网络硬件维护处理对与网络硬件故障的，如果信息能够修理的，自行修理，不能修的，报送专业部门修理。对需要更换硬件设备的，申请购买硬件设备，进行维护处理系统应用部门（单位）信息中心总经理（外事）办公室物资装备中心机动处财务处7.41、7.33、7.35、7.36质量反馈对维护质量征询用户意见系统应用部门（单位）信息中心7.29、7.43检查与改进对用户反馈意见进行检查改进系统应用部门（单位）信息中心企业管理处附录C：信息资源管理流程图表C1流程说明流程名称信息资源管理流程制定部门信息中心子流程/业务活动名称子流程/业务活动描述部门、岗位记录支持性文件信息资源分析专业管理信息由各部门（单位）按“谁主管，谁负责”的原则，分析识别自己相关信息总经理（外事）办公室各部门（单位）7.45、7.46、7.47、7.48、7.496.4、6.6、6.16信息识别与分析为内部和外部信息对信息识别为内部信息和外部信息总经理（外事）办公室各部门（单位）信息分级和授权对识别为内部信息进行信息分级授权总经理（外事）办公室各部门（单位）信息内部共享对分级授权的信息进行内部共享总经理（外事）办公室各部门（单位）对外披露是否对内部信息对外披露总经理（外事）办公室各部门（单位）信息披露对外信息披露按照“谁主管，谁负责审核批准”的原则进行管理，未经审核或授权，各部门（单位）和各岗位一律不得对外披露相关信息总经理（外事）办公室各部门（单位）组织实施（购买）专业管理信息由各部门（单位）按“谁主管，谁负责”的原则，通过网络、专业协会、总部、政府部门等途径对外部信息进行识别和获取。总经理（外事）办公室各部门（单位）信息传输、公布对得来的信息进行公布总经理（外事）办公室各部门（单位）信息分级和授权、利用对识别为外部信息进行信息分级授权及利用总经理（外事）办公室各部门（单位）信息反馈对信息的使用情况进行反馈。总经理（外事）办公室各部门（单位）审核和改进各单位（部门）对收集的信息（数据），应按照系统应用的目标要求进行评价和分析，为制定企业的方针目标和战略目标提供科学依据。总经理（外事）办公室各部门（单位）