信息化管理流程

流程编号一级流程流程步骤风险点编号风险点描述风险重要水平控制点编号0信息系统管理信息系统规划与计划0缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费0000信息系统规划与计划0缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费。0000可行性研究与立项审批0可行性研究缺乏或论证不充分，影响信息化规划及计划的顺利实施。0000项目实施0供应商或服务商选择不当，价格不合理，造成采购物资或服务质次价高，影响信息系统安全稳定有效运行。0000项目实施0合同签订不合规，可能面监违约、纠纷等法律风险。0000项目实施0项目实施监控不力，导致不能按照规定的进度、质量等完成信息系统的开发，或不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。0000项目验收0验收不规范，导致功能、性能、控制、安全等不符合内部控制要求，可能导致无法利用信息技术实施有效控制。0000上线运行0上线运行准备不充分，应对措施不力，导致数据毁损造成损失。0000系统安全及运行维护0系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。0000系统安全及运行维护0系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。0000系统安全及运行维护0系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。0000系统安全及运行维护0系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。0000系统安全及运行维护0系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。0000信息收集、传递与上传0内部信息传递不及时、不通畅、不安全，可能导致决策失误、相关政策措施难以落实或泄露商业秘密，可能削弱企业核心竞争力。0000信息化培训0信息化培训不到位，导致人员专业素质不能适应信息系统的要求，影响管理效率及管理水平的提高。0000检查监督0检查监督不到位，难以及时发现信息化管理存在的问题，导致违规受处罚影响公司声誉，或给公司造成经济损失。0000检查监督0检查监督不到位，难以及时发现信息化管理存在的问题，导致违规受处罚影响公司声誉，或给公司造成经济损失。00控制活动描述相关制度控制证据控制责任部门/岗位公司司信息化系统建设实行规划管理。公司信息中心根据公司发展战略目标和核心业务，结合信息技术发展和公司实际情况，组织编制公司系统信息化建设发展规划（主要包括指导思想、基本原则、发展目标、主要任务、措施要求等），在充分征求职能部门下属单位意见后，组织专家小组对其评审并根据评审意见进行修改，经部门负责人审核后按照规定的管理权限与程序报经公司信息化工作领导小组审批后，纳入公司发展规划。各所属单位根据公司信息化建设发展规划，全面分析公司自身业务与管理需求、信息化现状、信息化需求负责编制本单位的信息化建设规划，并报信息中心审核备案。信息化建设管理规定系统信息化建设发展规划/审批单/备案记录公司信息中心/职能部门/下属单位相关部门/工作领导小组公司职能部门根据业务需要编制项目需求计划，经部门负责人审核后报公司信息中心，公司信息中心根据公司信息化建设发展规划审核汇总职能部门的项目需求计划，编制公司《年度信息化项目计划》，经中心负责人审核后报公司信息化工作领导小组审批，纳入公司年度预算管理。所属各单位参照上述程序编制本单位《年度信息化项目计划》，纳入本单位年度预算管理，并报公司信息中心审核备案。信息化建设管理规定年度信息化项目计划/审批/备案相关单位及部门负责人/公司信息中心/信息化工作领导小组1、公司信息化发展规划通过信息化计划和项目予以落实。项目责任部门负责分析应用系统需求和确定目标后编制项目需求及可行性研究报告，并由责任部门负责人签字确认后报送至公司信息中心。2、公司信息中心组织评审小组对项目可行性研究报告进行评审，评审小组应对项目需求、目标、投资与效益、进度、组织落实、项目建设预算（包括管理咨询、软件开发、硬件设备、网络建设等费用）、对采用委托软件开发公司开发还是直接购买管理软件并进行系统二次开发等进评审并签字确认。3、项目通过可行性研究评审后，由信息中心将项目可行性研究报告报公司信息化工作领导小组批准立项后组织实施。信息化建设管理规定目需求及可行性研究报告/评审报告/批准立项文件责任部门负责人/公司信息中心/评审小组/信息化工作领导小组项目责任部门会同信息中心按照公司采购管理的有关规定开展询比价或招投标、商务谈判等工作，并根据公司合同管理的有关规定，按照规定的权限与程序签订合同。具体要求如下：一、按照公司招标管理的有关规定需要采取招标方式的，根据信息化项目的规模、建设周期及项目复杂程度确定招标模式，小型项目采用统一招标模式，规模大、周期长的项目采取分类招标或分类分期招标模式。二、根据国家有关法律法规和公司招投标管理办法开展信息化项目的招投标工作。系统软件和硬件设备招标统一按产品采购招标；对项目的研究论证、咨询服务、软件服务按信息化服务项目招标。三、招标文件编制由系统应用部门与信息中心共同完成，招标工作按照公司招标管理的有关规定组织进行。信息化建设管理规定询比价或招投标、商务谈判等文件项目责任部门/同信息中心/相关部门/相关领导合同审批执行公司合同审批流程，确定外委服务商后，由信息中心发起，由项目相关部门、财务、审计等管理部门审核和信息化领导小组审批后签订。信息化建设管理规定合同及审批单信息中心/相关部门、财务、审计等管理部门/信息化领导小组一、根据项目性质可设立项目管理小组，由信息化主管部门和项目责任部门人员共同组成，组长可由信息化部门或项目责任部门负责人担任，项目实施管理包括设计、开发、测试、试运行、验收、后评估等工作。在项目管理小组的具体领导下：1、项目责任部门负责细化业务功能和业务流程，并配合项目实施单位编制项目详细设计方案。2、项目责任部门负责落实项目实施计划，组织项目实施和培训，控制项目建设质量、进度和成本；负责组织项目所需数据的收集、整理、审核和录入，保证数据的真实、完整和准确。3、信息主管部门负责对项目实施单位的实施工作及过程文档进行监督检查。二、信息化项目的文档管理。文档是信息化项目的重要成果，从信息化规划、设计到实施、维护等全生命周期过程都需要编制各类文档，信息化管理部门按照信息化项目的文档结构和文档分类原则对项目文档进行统一管理，并符合档案管理要求。信息化建设管理规定项目详细设计方案/项目实施计划/实施工作及过程文档及监督检查资料信息化主管部门/项目责任部门人员公司明确了规定项目验收的内容并按以下要求管理1、信息化建设项目完成后，设计开发单位应当提交验收申请报告书，由信息主管部门会同责任部门组织或委托有关部门或机构进行验收。2、信息化建设项目验收，应当以国家标准、公司标准、行业标准、地方标准和建设过程中有效的技术资料为依据。3、参与验收人员应在验收报告上填写验收意见并签字确认，并报到信息化领导小组审批确认。信息化建设管理规定验收申请报告书/验收报告/审批单信息主管部门/责任部门/参与验收人员/信息化领导小组信息主管部门与业务责任部门应当相互配合，切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。信息化建设管理规定上线计划/新旧系统转换方案/应急预案/数据迁移计划信息主管部门/业务责任部门/相关领导公司应用系统的维护归口统一由信息主管部门负责管理。一、系统使用部门负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作，对有关数据的日常更新等应作好运行操作记录；对用户进行培训的培训记录和考核成绩提交人力资源部备案。二、信息主管部门负责日常软硬件系统维护、网络安全、环境保持、应急处理等工作，保证信息系统安全、稳定运行，并做《应急事故处理记录》和《运行维护记录》。《应急事故处理记录》和《运行维护记录》由信息主管部门负责人签字。需委托进行维护的信息系统，信息主管部门负责审查系统服务商资质，并签订系统维护服务合同；由信息主管部门自行维护的，应指定专人负责维护。三、系统如在使用中有变更要求，可向信息主管部门提出书面要求并填写系统变更表，由申请部门领导签字后，交信息主管部门统一安排进行。变更完成后由申请部门相关人员签字确认。四、操作系统、数据库系统用户的新增、变更，须填写《系统用户申请表》，经信息主管部门审批后方可进入信息系统。信息主管部门负责人应定期（至少每季度一次）审核《系统用户记录表》。信息化建设管理规定运行操作记录/培训记录/考核成绩备案/《应急事故处理记录》和《运行维护记录》/系统变更表/《系统用户申请表》/《系统用户记录表》信息主管部门/系统使用部门由信息主管部门负责信息系统数据的安全管理，包括日常备份、恢复和数据安全工作。一、重要数据的处理过程中，未经授权批准的人员不应进入机房工作；处理结束后，应清除不能带走的作业数据；妥善处理打印结果，任何记有重要信息的废弃物在处理前应进行粉碎。未经允许，不准将机房设备、维护用品、软盘、资料等私自带出机房，如有特殊情况，需经负责人同意并进行登记后方可带出。二、每日进行系统数据库自动备份并做完整性查验，每周一次手动备份到移动硬盘或其他电脑的硬盘，并放在安全处予以存放，填写《数据备份记录表》，由负责系统维护人员及信息主管部门负责人签字，每年进行一次备份的恢复性测试，并填写《数据恢复性测试记录表》，由信息主管部门负责人签字。三、各系统责任人负责保管系统的登录名和密码，密码的设置要符合强密码规范和密码复杂性要求，并将它们密存在信封中，信封由专人保管，各系统负责人每季度更换一次登录名和密码，并填写《密码保存登记表》。特殊情况需拆信封时，必须由信息主管部门负责人在《密码保存登记表》签字后方可，拆封后，系统责任人要重新修改密码，密存在信封中。信息化建设管理规定进入机房登记表/《数据备份记录表》/《数据恢复性测试记录表》/《密码保存登记表》信息主管部门/相关部门公司对系统维护及机房管理作出具体规定，并要求：一、外来人员对硬件系统维护时，须填写《外来人员进入机房审批表》，经信息主管部门负责人签字批准；当外来人员对软件系统进行维护时，须填写《应用软件维护表》，经系统使用部门负责人和信息主管部门负责人签字批准。二、机房管理人员应熟知机房内设备的基本安全操作规程。不定期对运行设备进行测试和保养，由专人负责机房内设备的保养和备品、配件、资料、盘片等的保管，并登记造册，并保证备用设备完好，可供随时投入使用。机房设备损坏应立即投入备用设备，并汇报领导，及时联系修复，做好检修记录信息化建设管理规定外来人员进入机房审批表/应用软件维护表/检修记录信息主管部门负责人/使用部门负责人/机房管理人员公司对防网络攻击和防病毒管理作出具体规定，并要求：一、网络运行维护人员在发现可疑网络攻击和入侵迹象时，必须尽快处理并记录，在必要时请示主管部门领导，组织技术力量进行处理。二、各使用人或部门应采用信息主管部门批准的查毒、杀毒软件，包括服务器和客户端的查毒、杀毒软件。三、禁止使用来历不明、未经杀毒的软件，不得阅读和下载来历不明的电子邮件或文件，严格控制并阻断计算机病毒的来源。信息化建设管理规定网络攻击和入侵处理记录/查毒、杀毒软件网络运行维护人员/主管部门领导公司对系统评估升级按如下程序管理：一、系统使用部门会同信息主管部门按照业务需求，对业务流程与系统功能进行评价，需要重大改进的提出系统升级报告，由公司分管领导签字批准。二、系统使用部门会同信息主管部门按本制度有关规定组织系统升级的实施和验收。信息化建设管理规定系统升级报告/批准单/验收单系统使用部门/同信息主管部门/分管领导公司对信息收集传递要求：1、各部门应大力支持信息管理工作，并指定人员负责相关信息收集、传递和上传。2、信息员收集的信息应定期汇总，对需通过内外网发布