信息化管理流程
完善后的控制活动描述
公司司信息化系统建设实行规划管理。公司信息中心根据公司 发展战略目标和核心业务,结合信息技术发展和公司实际情 况,组织编制公司系统信息化建设发展规划(主要包括指导思 想、基本原则、发展目标、主要任务、措施要求等),在充分 征求职能部门下属单位意见后,组织专家小组对其评审并根据 评审意见进行修改,经部门负责人审核后按照规定的管理权限 与程序报经公司信息化工作领导小组审批后,纳入公司发展规 划。各所属单位根据公司信息化建设发展规划,全面分析公司 自身业务与管理需求、信息化现状、信息化需求负责编制本单 位的信息化建设规划,并报信息中心审核备案。 公司职能部门根据业务需要编制项目需求计划,经部门负责人 审核后报公司信息中心,公司信息中心根据公司信息化建设发 展规划审核汇总职能部门的项目需求计划,编制公司《年度信 息化项目计划》,经中心负责人审核后报公司信息化工作领导 小组审批,纳入公司年度预算管理。 所属各单位参照上述程序编制本单位《年度信息化项目计划 》,纳入本单位年度预算管理,并报公司信息中心审核备案。 1、公司信息化发展规划通过信息化计划和项目予以落实。项目 责任部门负责分析应用系统需求和确定目标后编制项目需求及 可行性研究报告,并由责任部门负责人签字确认后报送至公司 信息中心。 2、公司信息中心组织评审小组对项目可行性研究报告进行评 审,评审小组应对项目需求、目标、投资与效益、进度、组织 落实、项目建设预算(包括管理咨询、软件开发、硬件设备、 网络建设等费用)、对采用委托软件开发公司开发还是直接购 买管理软件并进行系统二次开发等进评审并签字确认。 3、 项目通过可行性研究评审后,由信息中心将项目可行性研 究报告报公司信息化工作领导小组批准立项后组织实施。
项目验收
验收不规范,导致 功能、性能、控制 、安全等不符合内 部控制要求,可能 导致无法利用信息 技术实施有效控制 。
上线运行
上线运行准备不充 分,应对措施不 力,导致数据毁损 造成损失。
系统安全 及运行维 护
系统运行维护和安 全措施不到位,可 能导致信息泄漏或 毁损,系统无法正 常运行。
系统安全 及运行维 护
信息化建 设管理规 定
信息化建 设管理规 定
信息化建 设管理规 定
项目责任部门会同信息中心按照公司采购管理的有关规定开展 询比价或招投标、商务谈判等工作,并根据公司合同管理的有 关规定,按照规定的权限与程序签订合同。具体要求如下: 一、按照公司招标管理的有关规定需要采取招标方式的,根据 信息化项目的规模、建设周期及项目复杂程度确定招标模式, 小型项目采用统一招标模式,规模大、周期长的项目采取分类 招标或分类分期招标模式。 二、根据国家有关法律法规和公司招投标管理办法开展信息化 项目的招投标工作。系统软件和硬件设备招标统一按产品采购 招标;对项目的研究论证、咨询服务、软件服务按信息化服务 项目招标。 三、招标文件编制由系统应用部门与信息中心共同完成,招标 工作按照公司招标管理的有关规定组织进行。
信息系统 信息系 规划与计 统管理 划
缺乏整体规划或者 规划不合理,可能 导致企业形成信息 孤岛、重复建设、 资源浪费
信息系统 规划与计 划
缺乏整体规划或者 规划不合理,可能 导致企业形成信息 孤岛、重复建设、 资源浪费。
可行性研 究与立项 审批
可行性研究缺乏或 论证不充分,影响 信息化规划及计划 的顺利实施。
系统运行维护和安 全措施不到位,可 能导致信息泄漏或 毁损,系统无法正 常运行。
信息收集 、传递与 上传
内部信息传递不及 时、不通畅、不安 全,可能导致决策 失误、相关政策措 施难以落实或泄露 商业秘密,可能削 弱企业核心竞争力 。
信息化培 训
信息化培训不到 位,导致人员专业 素质不能适应信息 系统的要求,影响 管理效率及管理水 平的提高。
信息化建 设管理规 定
信息化建 设管理规 定
信息化建 设管理规 定
公司对信息收集传递要求: 1、各部门应大力支持信息管理工作,并指定人员负责相关信息 收集、传递和上传。 2、信息员收集的信息应定期汇总,对需通过内外网发布信息, 须按规定权限与程序分别经部门负责人、信息中心负责人、分 管领导等审批并签字确认后上传网站。 3、重大事件、突发事件、紧急事件相关信息除按照突发事件处 理的有关规定执行外,视情况应在3小时内报送信息中心,由信 息中心按规定权限与程序提交分管领导、总经理、董事长。 4、对外证券信息披露需按信息披露的有关规定执行。 5、各信息收集部门或人员以及信息中心在传递信息的过程中应 保证信息的安全。信息中心和部门信息员应对信息保密,不得 将数据库内敏感信息和保密信息外泄。公司应规定信息资源共 享的等级和范围,明确各密级信息的使用权限,网络中心在计 算机系统设置用户存取资格检查和身份识别功能,重要信息采 取加密措施。 为提高公司信息化应用水平,公司加强信息化培训管理。 一、信息化教育和培训的对象分为面向企业的高层管理人员、 面向企业中层管理人员、面向整个企业的广大员工。 二、教育和培训的形式。企业信息化建设相关理论/知识培训分 为两种形式,即外部培训和内部培训。培训贯穿整个信息化过 程的始终。 三、公司信息主管部门会同人力资源等部门负责制定培训计 划,培训计划中应该列明培训时间、地点、培训内容、授课教 师、培训对象等。 四、要加强对专业技术人员的培训,确保计算机系统的正常运 行和更新。
信息化建 设管理规 定
合同审批执行公司合同审批流程,确定外委服务商后,由信息 中心发起,由项目相关部门、财务、审计等管理部门审核和信 息化领导小组审批后签订。
信息化建 设管理规 定
一、根据项目性质可设立项目管理小组,由信息化主管部门和 项目责任部门人员共同组成,组长可由信息化部门或项目责任 部门负责人担任,项目实施管理包括设计、开发、测试、试运 行、验收、后评估等工作。在项目管理小组的具体领导下: 1、项目责任部门负责细化业务功能和业务流程,并配合项目实 施单位编制项目详细设计方案。 2、项目责任部门负责落实项目实施计划,组织项目实施和培 训,控制项目建设质量、进度和成本;负责组织项目所需数据 的收集、整理、审核和录入,保证数据的真实、完整和准确。 3、信息主管部门负责对项目实施单位的实施工作及过程文档进 行监督检查。 二、信息化项目的文档管理。文档是信息化项目的重要成果, 从信息化规划、设计到实施、维护等全生命周期过程都需要编 制各类文档,信息化管理部门按照信息化项目的文档结构和文 档分类原则对项目文档进行统一管理,并符合档案管理要求。 公司明确了规定项目验收的内容并按以下要求管理 1、信息化建设项目完成后,设计开发单位应当提交验收申请报 告书,由信息主管部门会同责任部门组织或委托有关部门或机 构进行验收。 2、信息化建设项目验收,应当以国家标准、公司标准、行业标 准、地方标准和建设过程中有效的技术资料为依据。 3、参与验收人员应在验收报告上填写验收意见并签字确认,并 报到信息化领导小组审批确认。
信息化建 设管理规 定
信息化建 设管理规 定
信息主管部门与业务责任部门应当相互配合,切实做好信息系 统上线的各项准备工作,培训业务操作和系统管理人员,制定 科学的上线计划和新旧系统转换方案,考虑应急预案,确保新 旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应 制定详细的数据迁移计划。 公司应用系统的维护归口统一由信息主管部门负责管理。 一、系统使用部门负责业务流程、业务工作标准、数据维护、 用户管理、数据使用安全、知识产权合法性使用及相关制度的 制定和落实等工作,对有关数据的日常更新等应作好运行操作 记录;对用户进行培训的培训记录和考核成绩提交人力资源部 备案。 二、信息主管部门负责日常软硬件系统维护、网络安全、环境 保持、应急处理等工作,保证信息系统安全、稳定运行,并做 《应急事故处理记录》和《运行维护记录》。《应急事故处理 记录》和《运行维护记录》由信息主管部门负责人签字。需委 托进行维护的信息系统,信息主管部门负责审查系统服务商资 质,并签订系统维护服务合同;由信息主管部门自行维护的, 应指定专人负责维护。 三、系统如在使用中有变更要求,可向信息主管部门提出书面 要求并填写系统变更表,由申请部门领导签字后,交信息主管 部门统一安排进行。变更完成后由申请部门相关人员签字确认 。 四、操作系统、数据库系统用户的新增、变更,须填写《系统 用户申请表》,经信息主管部门审批后方可进入信息系统。信 息主管部门负责人应定期(至少每季度一次)审核《系统用户 记录表》。
系统运行维护和安 全措施不到位,可 能导致信息泄漏或 毁损,系统无法正 常运行。
系统安全 及运行维 护
系统运行维护和安 全措施不到位,可 能导致信息泄漏或 毁损,系统无法正 常运行。
系统安全 及运行维 护
系统运行维护和安 全措施不到位,可 能导致信息泄漏或 毁损,系统无法正 常运行。
系统安全 及运行维 护
项目实施
供应商或服务商选 择不当,价格不合 理,造成采购物资 或服务质次价高, 影响信息系统安全 稳定有效运行。
项目实施
合同签订不合规, 可能面监违约、纠 纷等法律风险。
项目实施
项目实施监控不 力,导致不能按照 规定的进度、质量 等完成信息系统的 开发,或不符合内 部控制要求,授权 管理不当,可能导 致无法利用信息技 术实施有效控制。
信息化建 设管理规 定
信息化建 设管理规 定
由信息主管部门负责信息系统数据的安全管理,包括日常备份 、恢复和数据安全工作。 一、重要数据的处理过程中,未经授权批准的人员不应进入机 房工作;处理结束后,应清除不能带走的作业数据;妥善处理 打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。 未经允许,不准将机房设备、维护用品、软盘、资料等私自带 出机房,如有特殊情况,需经负责人同意并进行登记后方可带 出。 二、每日进行系统数据库自动备份并做完整性查验,每周一次 手动备份到移动硬盘或其他电脑的硬盘,并放在安全处予以存 放,填写《数据备份记录表》,由负责系统维护人员及信息主 管部门负责人签字,每年进行一次备份的恢复性测试,并填写 《数据恢复性测试记录表》,由信息主管部门负责人签字。 三、各系统责任人负责保管系统的登录名和密码,密码的设置 要符合强密码规范和密码复杂性要求,并将它们密存在信封 中,信封由专人保管,各系统负责人每季度更换一次登录名和 密码,并填写《密码保存登记表》。特殊情况需拆信封时,必 须由信息主管部门负责人在《密码保存登记表》签字后方可, 拆封后,系统责任人要重新修改密码,密存在信封中。
