应用管理员
安全管理员
3
操作日志或记录审核记录
1.6第三方人员管理
1.1
1.2
2.1
2.2
经营风险：第三方合作单位管理不到位，造成系统泄密或受到非法访问。
1.6.1总部各部门、分（子）公司与第三方合作单位就相关应用系统签订安全保密协议。
总部各部门
分(子)公司
3
安全保密协议
1.1
1.2
2.1
2.2
经营风险：对第三方人员用户权限管理不规范，导致对系统的非法或非授权访问。
总部各部门
分(子)公司
5
程序和数据访问管理制度
1.10.3
2.6.4
2.14.20
1.2 用户权限管理
1.1
1.2
经营风险：用户权限管理不规范，导致对系统的非法或非授权访问。
1.2．1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
分(子)公司
3
介质存放及访问记录
1.1
1.2
2.3
经营风险：备份数据可读性测试不及时，导致系统数据丢失，系统无法恢复。
4.2.5系统管理员至少每半年对备份数据进行一次可读性测试。
总部各部门
分(子)公司
3
可读性测试记录
1.1
1.2
2.3
经营风险：备份数据恢复性测试不及时，导致系统数据丢失，系统无法恢复。
总部各部门
分（子）公司
1.1
经营风险：系统上线前未经严格测试，系统功能存在问题，导致应用系统不能正常运行。
3.2应用系统上线前,必须由信息管理部门组织测试系统功能，形成测试报告，并经最终用户部门负责人签字确认。
总部各部门
分（子）公司
3
系统功能测试报告
3.3系统初始化管理
1.2
2.3
2.4
合规风险：应用系统数据的收集、整理不规范，未经审核确认，导致系统存在大量垃圾数据或数据失真。
分（子）公司
3
问题处理记录单
1.1
1.2
2.3
经营风险：未制定应急预案或培训不到位，员工不能及时正确处理突发事件或故障，影响系统安全稳定运行。
4.3.4系统应用部门会同信息管理部门制订系统应急预案，并至少每年对业务人员、系统管理员、应用管理员进行一次系统应急预案的培训。
总部各部门
分(子)公司
3
应急预案培训记录
总部各部门
分(子)公司
3
用户权限审批表
1.1
1.2
经营风险：数据库用户权限管理不规范，导致对系统的非法或非授权访问。
1.2.2对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由系统管理员在数据库中新增、变更或锁定用户权限。
总部各部门
分(子)Байду номын сангаас司
3
用户权限审批表
1.3用户帐号及访问管理
11.4应用系统IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露；6准确性
1
2
3
4
5
6
1.程序和数据访问
1.1
2.3
2.4
经营风险：程序和数据访问制度不健全，导致信息系统应用管理不规范、运维不及时。
总部各部门
分(子)公司
3
用户帐号清单
1.4密码管理
1.1
经营风险：密码设置强度不够或更改不及时，造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
系统管理员
应用管理员
3
日志备份记录
1.1
1.2
2.3
经营风险：备份介质管理不规范，导致备份数据丢失、泄密，系统无法恢复。
4.2.4应用管理员（系统管理员）每月将备份介质与生产服务器异地存放，并由专人管理。备份介质存放要有记录，介质访问人员须经相关部门负责人授权并填写访问记录。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
1.1
1.2
2.3
经营风险：系统问题处理、故障记录不规范，影响系统稳定运行。
4.3.3对系统运行出现的故障，相关人员需填报问题处理记录单，详细记录问题处理情况，其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等，并审核确认。
总部各部门
1.10.3
2.6.4
2.14.20
4.2数据备份及恢复
1.1
1.2
2.3
经营风险：备份策略和备份方案不完善，数据备份不及时、不成功，导致系统数据丢失，系统无法恢复。
4.2.1应用管理员（系统管理员）至少每月做一次数据全备份，并检查数据备份日志，确认备份是否成功。对备份异常情况进行记录，同时检查备份数据的可读性。
2.程序变更
1.1
1.2
经营风险：程序变更制度不健全，导致信息系统应用管理不规范、运维不及时。
2.1总部各部门、分（子）公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理，包括变更申请审批、变更测试和变更版本管理等。
总部各部门
分（子）公司
4
程序变更管理制度
1.10.3
2.6.4
2.14.20
2.4信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理，记录每次变更的版本号，存档变更文档和变更升级程序。
总部各部门
分（子）公司
3
变更记录
3.程序开发
1.1
2.1
2.2
经营风险：技术方案不合理，系统功能存在问题，导致应用系统不能满足生产经营管理业务需求。
3.1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《11.1信息系统管理业务流程》执行。
分(子)公司
3
系统运行监控报告
1.1
1.2
2.3
经营风险：系统日志审核不到位，导致系统问题不能及时处理，影响系统稳定运行。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核，发现异常情况，及时上报信息管理部门/相关部门负责人，同时查明原因，提出处理意见，记录处理情况。
1.1总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》），及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。
1.6.2第三方人员需访问系统时，由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限)，经需求部门负责人审核后提交信息管理部门（责任处（科）室）负责人审批，由应用管理员在系统中新增或变更其帐号及权限。到期后必须及时删除或锁定第三方人员的帐号。
总部各部门
分(子)公司
3
用户权限审批表
1.1
2.1
经营风险：系统登录控制功能不健全，导致对系统的非法或非授权访问。
1.3.1操作人员访问应用系统时，必须输入用户帐号和密码。
总部各部门
分(子)公司
2
用户登录截屏
1.1
1.2
经营风险：账户共享，导致责任不清；系统账户审核清理不及时，导致对系统的非法或非授权访问。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。应用管理员至少每半年打印一次用户帐号权限清单，并由相关部门负责人审核。
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档；
在职情况审查记录
1.1
1.2
经营风险：安全管理员监督不到位，系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查，提出审核意见，并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
总部各部门
分(子)公司
3
数据备份日志或记录
1.1
1.2
2.3
经营风险：备份策略和备份方案不完善，应用系统程序备份不及时，导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份，同时检查备份系统的可读性，确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
1.1
1.2
2.3
经营风险：数据库、应用系统日志备份不及时，导致系统问题无法追溯或系统无法恢复。
系统管理员
应用管理员
安全管理员
3
管理员更换密码记录
1.5系统管理员、应用管理员、安全管理员管理
1.1
1.2
经营风险：系统、应用管理员岗位设置不合理、授权不规范，导致对系统的非法或非授权访问。
1.5.1系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则，且不得拥有应用系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况进行审查。