中粮生化信息系统管理制度.docx
《中粮生化信息系统管理制度.docx》由会员分享,可在线阅读,更多相关《中粮生化信息系统管理制度.docx(94页珍藏版)》请在三一办公上搜索。
1、规章制度 中粮生物化学(安徽)股份有限公司 中粮生物化学(安徽)股份有限公司第二十一篇 信息系统管理(ZLSH/21-1.0)目 录第一部分 信息系统管理制度1第一章 概述1第二章 信息系统开发管理3第三章 信息系统运行与维护4第四章 附则6第二部分 信息系统建设流程7第一章 信息系统开发7第二章 信息系统运行与维护20第一节 IT资产管理20第二节 应用系统管理25第三节 应急响应管理36第三部分 信息系统管理细则63(一)物联网人员管理细则63(二)粮食收购系统管理规定68(三)安徽生化帐号安全管理规定73(四)计算机用户行为守则76(五)计算机安全检查标准83(六)第三方与外包安全管理规
2、定85(七)ERP-NC系统管理规定90第四部分 信息系统管理业务表单93规章制度 中粮生物化学(安徽)股份有限公司 第一部分 信息系统管理制度第一章 概述第一条 为了引导公司充分利用信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的信息传递渠道,根据国家有关法律法规和企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引,制定本制度。第二条 本制度所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。公司利用信息系统实施至少应当关注下列风险:(一)信息系统开发与使用违反
3、国家法律法规,可能遭受外部处罚、经济损失和信誉损失。(二)信息系统开发与使用未经适当审核或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失。(三)信息系统设计功能不科学、维护与变更程序不规范,可能导致企业经营管理效率与效果低下。(四)信息系统外包服务未恰当履行或监控不当,可能导致企业权益受损或违约损失。(五)信息系统访问安全措施不当,可能导致商业秘密泄露。(六)信息系统硬件管理不当,可能导致资产或股东权益受损。第三条 公司在建立与实施信息系统内部控制中,必须至少强化对下列关键方面或者关键环节的控制:(一)职责分工、权限范围和审批程序必须明确规范,机构设置和人员配备必须科学合理,重大信息系统开
4、发与使用事项必须履行审批程序。(二)公司负责人对信息系统建设工作负责,信息系统开发、变更和维护流程必须清晰合理。(三)公司必须加强信息系统外包开发全过程的监督管理,督促开发单位按照要求完成工作,组织专业机构进行检查验收,组织系统上线运行。(四)必须建立访问安全制度,对操作权限、信息使用、信息管理进行明确规定。(五)硬件管理事项和审批程序必须科学合理。(六)信息系统管理业务中,执行、审批、监督、记录的职责必须做到相互分离。第四条 公司信息管理部门职责:(二)负责信息系统开发需求的审核、自行开发结果的验收及系统使用情况反馈;(三)负责系统项目外委供应商的选择、系统项目进度的跟踪控制及验收;(四)负
5、责组织系统用户培训;(五)负责建立健全各系统管理规定、信息系统维护和系统变更实施;(六)负责权限开设、变更或注销申请审核、系统数据的备份以及监督系统用户的操作行为。2第二章 信息系统开发管理第五条 公司应根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。第六条 公司下属子公司的信息化建设由公司信息管理部门统一规划和审批。第七条 公司信息管理部门应组织内部提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。第八条
6、 公司开发信息系统,可以采取自行开发、外购调试、业务外包等方式。第九条 公司在开发信息系统需选择外包服务商时,要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本公司业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。第十条 选定外购调试或业务外包方式的,根据公司招标管理制度的要求选择采购方式,履行业务审批手续。第十一条 公司信息管理部门应组织公司内部各有关部门提出开发需求,加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。第十二条 信息管理部门应就总体设计方案与业务部门进行沟通和讨论,说明方案对用户需求的覆盖情况;存在备选方案的
7、,必须详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统管理部门和业务部门应对选定的设计方案予以书面确认。第十三条 公司开发信息系统,应将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。第十四条 公司在系统开发过程中,应按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。第十五条 信息管理部门应根据业务性质、重要程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系,必须
8、在系统开发建设阶段就形成方案并加以设计,在软件系统中预留这种对应关系的设置功能,以便根据使用者岗位职务的变迁进行调整。第十六条 公司应针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应加强管理,建立规范的流程制度,对操作情况进行监控或者审计。第十七条 公司应在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,必须设计由系统自动报告并设置跟踪处理机制。第十八条 信息管理部门应加强信息系统开发全过程的跟踪管理,组织开发单位与内部的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软
9、件进行检查验收,组织系统上线运行等。第十九条 公司应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。验收测试合格之后方可上线。第二十条 公司应做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还必须制定详细的数据迁移计划。第三章 信息系统运行与维护第二十一条 信息管理部门应加强信息系统运行与维护的管理,制定信息系统工作程序、制度及具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序
10、、制度和操作规范持续稳定运行。第二十二条 信息管理部门定期对信息系统进行维护和测试,并形成测试维护报告,以确保信息系统运行安全稳定。第二十三条 公司委托专业机构进行系统运行与维护管理的,必须严格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务合同和保密协议。第二十四条 公司必须有效利用技术手段,对硬件配置调整、软件参数修改严加控制,设置安全参数,保证系统访问安全。第二十五条 信息系统变更必须严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。第二十六条 公司信息管理部门必须根据业务性质、重要性
11、程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。第二十七条 公司必须建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的,必须审查该机构的资质,并与其签订服务合同和保密协议。第二十八条 公司必须制定相应的密码策略,保证公司用户账户的安全。第二十九条 必须采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。第三十条 公司必须建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。第三十一条 必须综合利用防火墙、路由器
12、等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。第三十二条 对于通过网络传输的涉密或关键数据,必须采取加密措施,确保信息传递的保密性、准确性和完整性。第三十三条 建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。第三十四条 定期进行信息系统灾备演练,并制定信息系统紧急预案,保证信息系统的安全。第三十五条 公司信息管理部门应加强机房管理,设立门禁制度,非机房工作人员因工作需要进入机房的必须做登记记录。第三十六条 公司信息管理部门应加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检
13、查,及时处理异常情况。未经授权,任何人不得接触关键信息设备。第三十七条 系统停止运行报废后,必须将废弃系统中有价值或者涉密的信息进行销毁、转移,妥善保管相关信息档案。第四章 附则第三十八条 本细则由信息管理部门负责解释。第三十九条 本细则自下发之日起施行。14第二部分 信息系统建设流程第一章 信息系统开发第一条 目的为了加强、规范中粮生物化学(安徽)股份有限公司(以下简称“中粮生化”或“公司”)信息系统自行开发与系统项目(IT项目)的建设,有效规避信息系统自行开发与系统项目建设过程中的风险,特制订本管理标准。第二条 适用范围本管理标准适用于公司及其下属子公司。第三条 定义范围及术语计算机信息系
14、统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。信息系统开发:信息系统开发包括信息系统内部自行开发和信息系统项目外委开发。信息系统项目(IT项目):是指公司机房、网络、数据中心等基础设施建设项目,内部网、外部网、邮件、办公自动化等基础平台建设项目,企业资源计划(ERP)或财务、人力资源、生产、采购、库存、物流、销售及其他管理信息系统建设项目。第四条 职责分工信息管理部门:负责信息系统开发需求的审核、自行开发方案的制订、实施、验收及系统使用情况反馈;负责系统项目外委供应商的选择、系统项目进度的跟踪控制、系统项目的测试、上线及验收;负责组织系统用户培训的实施;使用部门:负
15、责提出系统开发需求申请、系统开发方案的审核确认;财务部:负责系统开发方案的审核。第五条 业务流程(一)信息系统自行开发-流程图(二)信息系统自行开发-流程说明序号流程内容详细说明记录相关文件01业务部门根据业务需求,整理初步的需求文档,并附有签报纸。经过部门审批和该部门所在中心主任审批后,送至财务部信息主管审批。业务需求文档签报纸02财务部信息主管根据业务需求,结合现有系统应用情况和公司信息化规划,审批是自行开发实施,还是外包(本流程主要针对自行开发实施设计)。并指定人员进行需求调研和方案设计。审核点:1.需求合理性;2.是否符合公司信息化规划;3.系统间兼容性;4.开发对象安全影响。03需求
16、调研阶段,根据业务部门初步需求进行详细调研,挖掘潜在需求,并对需求合理化。在数据库设计中更要充分考虑数据库安全性。详细需求文档04根据详细需求文档设计开发实施方案,包括工作量评定、开发周期和开发预算,信息主管审核方案可行无误后,送至申请部门审核。开发实施方案05申请部门对开发设计方案进行审核。审核点:1.开发方案是否满足业务需求;2.系统设计的友好性。同意后,申请部门部长审核签字。06申请部门所在中心主任审批。07财务部审核开发设计方案是否符合财务管控要求和预算的合理性。08财务总监审批。09根据开发设计方案进行开发,测试通过后,进行实施上线。10系统上线3个月后出具验收报告。(三)信息系统项
17、目-立项流程图(四)信息系统项目-立项流程说明序号流程内容详细说明记录相关文件01业务部门根据业务需求,整理初步的需求文档,并附有签报纸。经过部门审批和公司分管副总审批后,送至信息主管审批。业务需求文档签报纸02信息主管根据业务需求,结合现有系统应用情况和公司信息化规划,审批是自行开发实施,还是外包(本流程主要针对外包设计)。并指定人员进行需求调研和方案设计。审核点:1.需求合理性;2.是否符合公司信息化规划;3.系统间兼容性;4.开发对象安全影响。03需求调研阶段,根据业务部门初步需求进行详细调研,挖掘潜在需求,并对需求合理化。出具可详细需求文档和可行性分析报告。详细需求文档可行性分析报告0
18、4根据详细需求文档中的预算情况审核该项目是否在预算范围内。05根据详细需求文档和可行性分析报告审核项目的可行性和对管理起到的提升作用,并对整个项目的预算加以审核控制。06结合公司信息化规划审核项目的可行性和必要性。(五)信息系统项目-实施流程图(六)信息系统项目-实施流程说明序号流程内容详细说明记录相关文件01立项后,项目承包商的选择应采取竞争性谈判或竞争性邀标方式进行,具体要求信息管理部门按照第三方与外包安全管理规定来选择确定供应商。招标或谈判记录第三方与外包安全管理规定02信息管理部门确定供应商后,根据经济合同管理标准签订采购合同。03建立项目组,制度项目实施方案。开发原则:1.检查所有的
19、命令行参数2.检查所有的系统调用参数和返回代码3.确定所有的缓存都被检查过4.在变量的内容被拷贝到本地缓存之前对变量进行边界检查5.检查是否有后门帐户及代码6.内部有做完整性检查的代码7.生成日志记录,包括日期、时间、进程号、终端信息、命令行参数、错误和主机名8.使核心程序尽可能小而简单9.用全路径名做文件参数10.检查用户的输入,确保只有合规字符11.使用会话加密来避免会话抢劫和隐藏验证信息12.如果可能,静态连接安全程序13.当需要主机名时使用DNS逆向解释14.在网络服务程序里分散和限制过多的负载15.在网络的读和写里放置适当的超时限制16.防止服务程序运行超过一个以上的拷贝17.避免将
20、文件创建在所有人可写的目录里18.要设置信任的IP地址,可选用密码算法验证项目实施方案04根据项目实施方案按步骤的执行。05根据项目实施方案中制定的阶段检验阶段性成果,并出具阶段性验收报告。阶段性验收报告06信息系统部署完成后进行系统测试,包括功能测试、压力测试、性能测试、安全功能测试等,并出具测试报告。测试报告07组织系统用户培训,考试成绩合格后方可有系统使用权。用户培训报告08系统静态数据和动态数据初始化。初始化数据表09系统试运行,将真实业务在系统中运行,并编制试运行报告。试运行报告10系统试运行测试后,项目组编制上线计划,系统上线正式运行。正式运行后对系统文档进行维护管理,系统文档由应
21、用系统管理员统一管理。只有经过授权的人员才可以访问文档管理服务器。应用软件开发的系统文档包括:需求分析文档、需求审批文档、概要设计文档、安全设计文档、详细设计文档、各阶段测试报告文档、项目合同文档,系统验收文档、系统上线文档、项目变更文档等。并附文档清单系统开发与维护文档清单。上线计划、系统开发与维护文档清单11项目验收工作由项目经理负责组织,使用单位和信息管理部门共同出具验收报告。项目验收时对于项目建设过程中涉及到的所有文档、使用手册和软件介质等相关资料要做好移交工作。文档移交应作为项目验收的重要内容之一。验收报告第六条 风险控制矩阵风险编号风险描述控制目标控制活动编号控制活动控制记录预防/
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 生化 信息系统 管理制度
链接地址:https://www.31ppt.com/p-1776037.html