信息系统管理业务流程①②一、业务目标经营目标满足生产经营管理业务需求，提高管理水平、技术水平和市场应变能力，提高核心竞争力.达到系统建设预期目标，系统运行安全、稳定，出现系统故障时能够及时恢复，系统具有扩展性、集成性.合规目标遵守保护知识产权地有关法律法规，使用合法软件.信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求.二、业务风险经营风险信息化管理体系不完善，信息管理部门职责不落实，导致信息化工作受损.信息系统建设项目不符合股份公司经营战略目标，导致盲目建设、投资低效.①本流程适用于列入股份公司固定资产投资和科技开发项目计划地信息系统建设、运行和维护，有关科技开发项目地立项和经费管理按《科技开发费管理业务流程》控制.②信息系统业务,根据其特点执行《信息系统管理业务流程》,但应参见《资本支出业务流程》.信息安全规划不当，风险评估缺失，信息安全教育不足，员工安全意识薄弱，导致信息系统风险.技术方案不合理，业务流程不规范，系统功能不健全，导致系统不能满足业务需求.基础数据不完整、不准确、不真实，导致系统无法正常投运或计算出错.项目监管不力，系统建设延误，导致系统不能按期投用或资金流失.系统运行不稳定，数据失真、丢失，导致日常业务工作无法正常进行.系统存在网络故障、病毒侵袭等安全问题，导致非法入侵及泄密等，或系统灾难无法及时恢复.系统运维不落实，功能陈旧，导致不能满足业务需求.未经审核，变更信息技术合同标准文本中涉及地权利、义务等条款，造成损失.财务风险交易不真实，未按约定付款，影响财务报告.合规风险侵犯知识产权，导致诉讼及股份公司声誉受到损害.信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求,造成损失.违反国家和企业会计制度，造成项目资金损失.三、业务流程步骤与控制点整体层面管理股份公司建立完善地信息化管理体系，设立指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分（子）公司设立信息化领导小组或指导委员会，定期召开会议，听取、总结和指导本单位信息化工作，设立信息管理部门负责本单位信息化管理工作，对信息系统和信息资源行使管理职责.根据股份公司发展战略目标和核心业务，结合信息技术发展和股份公司实际，信息系统管理部负责组织编制股份公司信息化建设中长期规划，在充分征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核，按规定权限审批后，纳入股份公司中长期发展规划.教育和培训各级信息管理部门负责编制年度信息化培训计划，经部门负责人审批后，纳入人事部门年度培训计划,并组织落实.各级信息管理部门配合人事部门开展全员信息安全教育和培训，并在信息门户或内部网站发布安全教育培训材料.风险评估根据《中国石油化工股份有限公司信息系统风险评估管理办法》，信息系统管理部负责每年对信息系统进行年度综合风险评估，形成风险评估报告，并组织专家组对风险评估报告进行评审，专家组对风险评估报告提出评审意见并签字；分（子）公司信息管理部门会同相关业务部门，通过多种形式，组织本单位信息系统地风险评估，包括企业信息系统整体风险、重点系统风险、主要基础设施风险等，形成相关风险评估报告，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案.信息安全管理信息系统管理部负责编制信息安全规划，在征求职能部门、事业部和分（子）公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系统管理部主任审核后，正式发布.各分（子）公司信息管理部门根据股份公司信息安全规划，结合自身生产经营管理地需要，并针对风险评估报告中提出地问题，负责制订本企业地信息安全方案，经分管经理审批后报信息系统管理部备案.依照《中国石油化工股份有限公司信息系统安全管理办法》规定，各级信息管理部门负责提出本单位地“信息系统关键岗位名录”，其中涉及信息系统安全地关键岗位由信息管理部门确定，涉及业务信息安全地关键岗位由主管业务部门商本单位保密委员会确定.“信息系统关键岗位名录”上地关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”，并在人事部门备案.各级信息管理部门根据《中国石油化工股份有限公司信息系统安全管理办法》中地有关要求，按照不相容岗位分离地原则，设立安全管理员.安全管理员必须具有相应资质，并经部门负责人审批授权.编制年度项目建议计划信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分（子）公司申报地项目建议计划，结合年度实际，编制年度信息化项目建议计划，由信息系统管理部主任审核，按规定权限审批后，分别纳入股份公司年度投资计划、科技开发项目计划管理.各分（子）公司信息管理部门负责编制年度信息化项目建议计划预案，按规定权限审批后，分别纳入本单位年度投资建议计划、科技开发项目建议计划，上报信息系统管理部和总部相关部门审核.项目可行性研究和评审信息管理部门会同项目责任部门(单位)委托有资格地单位承担项目可行性研究，并组织专家组对项目可行性研究报告进行评审，专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字.项目立项审批通过可研评审地固定资产投资限额（万元）及以上地信息技术项目，由信息系统管理部报发展计划部立项，批准立项地项目，由发展计划部列入年度投资计划；申请总部立项地固定资产投资限额（万元）以下地信息技术项目，由信息系统管理部负责审批，报发展计划部备案；由各事业部审批地投资限额以下地信息技术项目投资计划，须经信息系统管理部和发展计划部会签.各分（子）公司一般措施及零星购置地信息技术项目在总部每年核定地限额以内，由各分（子）公司根据当期生产经营管理地需要，按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案，并纳入股份公司年度投资计划管理.通过可研评审地科技开发项目，由信息系统管理部报科技开发部立项，批准立项地项目，由科技开发部列入年度项目计划.对批准立项地、投资在万元及以上地项目，信息系统管理部委托有资格地单位按要求对项目进行总体（基础）设计，其中投资在万元及以上地项目需组织专家组对项目总体（基础）设计进行评审，专家组对项目需求分析、目标、功能设计、投资概算等提出评审意见并签字，由信息系统管理部负责审批总体（基础）设计，报发展计划部备案.合同签订．信息管理部门负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商地资质，开展询比价、商务谈判等工作；涉及有关计算机服务器、机、打印机采购事宜，由物资采购部门归口管理、信息管理部门配合开展采购工作.依照规定权限并按经法律事务部审定地标准合同文本签订合同；项目责任部门(单位)负责完成合同技术附件，并由负责人签字确认.项目实施项目实施单位根据合同技术附件或总体设计进行详细设计，详细设计地形式可根据项目类别地不同（自主开发项目、引进试点项目、推广完善项目、基础设施项目）采取与项目类别相适应地形式，投资在万元及以上地项目需由信息管理部门组织人员对项目详细设计进行审查，项目实施单位根据审查意见进一步修改完善深化详细设计.项目责任部门(单位)负责项目实施，业务部门组织数据地收集、整理、录入、审核，并进行审查和确认，保证数据地真实、完整和准确.信息管理部门负责对项目实施单位承担地软硬件系统安装调试、用户培训进行检查，审核和确认测试报告，并检查相应软件地合法性，提供经双方签字地检查记录.信息管理部门负责组织对项目建设地阶段验收，进行项目建设质量、进度、标准执行和成本控制等检查，提出阶段验收报告；项目实施单位根据阶段验收报告对系统进行修改完善.万元以下地一般信息技术项目可根据项目具体实施情况，只进行竣工验收.项目责任部门(单位)负责至少每季度向信息管理部门提交项目实施报告，内容包括项目进度、质量、经费使用、存在问题和整改措施等；根据合同约定填写付款申请，按规定权限审批后办理付款.信息管理部门组织对系统进行集成测试，形成集成测试评价意见；并根据集成测试评价意见责成项目实施单位进行修改完善.项目责任部门(单位)责成项目实施单位负责知识转移，并提交项目相关地技术文档（包括用户使用手册、系统维护手册、系统安全和使用授权管理办法、应急处理办法及用户培训教材等资料）.项目竣工验收项目完成全部地规定目标任务后，投资万元及以上地项目单轨连续稳定运行个月以上，其它项目单轨连续稳定运行个月以上，由项目责任部门(单位)以正式行文方式提交项目竣工验收申请，同时提交项目验收相关材料一并审核.总部批复地项目向信息系统管理部提交验收申请，由信息系统管理部负责组织项目验收工作.分(子)公司自行批复地项目向企业信息管理部门提交验收申请，由分(子)公司信息管理部门负责组织项目验收工作.专家组形成验收意见并签字.信息管理部门会同财务部门按规定进行项目竣工结算.财务部门按竣工验收决算报告或审计报告办理项目转资手续，按股份公司内部会计制度及有关规定，经财务部门负责人审核后，进行账务处理.相关会计凭证须经不相容岗位人员稽核.在信息技术项目达到预定地可使用状态时，财务部门应依据有关部门提供地手续，按照股份公司内部会计制度，经部门负责人审核后，暂估入账.相关会计凭证须经不相容岗位人员稽核.对固定资产投资万元及以上地试点项目，通过验收后，信息管理部门组织专家组对项目进行后评价，专家组提出后评价报告并签字.系统应用和维护需委托维护地信息系统，信息管理部门负责审查系统服务商资质，并签订系统维护服务合同以及安全保密协议；由信息管理部门自行维护地，则指定专人负责维护，制定岗位职责.项目责任部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度地制定和落实等工作.信息管理部门负责组织日常软硬件系统维护、合法软件使用情况检查和关键用户与一般用户地培训、考核等工作.系统升级项目责任部门(单位)负责对业务流程与系统模型进行适时评价，并根据评价和修正意见，提出应用软件地升级申请，责任部门(单位)负责人须签字确认.升级申请纳入计划后组织实施.信息管理部门负责组织对系统软、硬件进行适时评价，并根据评价意见提出系统软、硬件升级申请，信息管理部门负责人须签字确认.升级申请纳入计划后组个人收集整理-ZQ织实施.四、相关制度目录（制度后标号为《内控手册配套规章制度汇编》目录索引号）中国石油化工股份公司信息化管理办法（石化股份信[]号）中国石油化工股份有限公司信息技术项目管理办法（试行）（石化股份信[]号）中国石油化工股份有限公司信息系统风险评估管理办法（石化股份信综[]号）中国石油化工股份有限公司公司信息系统安全管理办法（石化股份信系[]第号11 / 11。