1、111信息系统管理业务流程11.1信息系统管理业务流程一、 业务目标1 经营目标1.1 满足生产经营管理业务需求,提高管理水平、技术水平和市场应变能力,提高核心竞争力。1.2 达到系统建设预期目标,系统运行安全、稳定,出现系统故障时能够及时恢复,系统具有扩展性、集成性。2 合规目标2.1 遵守保护知识产权的有关法律法规,使用合法软件。2.2 信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求。二、 业务风险1 经营风险1.1 信息化管理体系不完善,信息管理部门职责不落实,导致信息化工作受损。本流程适用于列入股份公司固定资产投资和科技开发项目计划的信息系统建设、运行
2、和维护,有关科技开发项目的立项和经费管理按3.6科技开发费管理业务流程控制。 信息系统业务,根据其特点执行11.1信息系统管理业务流程,但应参见6.1资本支出业务流程。1.2 信息系统建设项目不符合股份公司经营战略目标,导致盲目建设、投资低效。1.3 信息安全规划不当,风险评估缺失,信息安全教育不足,员工安全意识薄弱,导致信息系统风险。1.4 技术方案不合理,业务流程不规范,系统功能不健全,导致系统不能满足业务需求。1.5 基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。1.6 项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。1.7 系统运行不稳定,数据失真、丢失,
3、导致日常业务工作无法正常进行。1.8 系统存在网络故障、病毒侵袭等安全问题,导致非法入侵及泄密等,或系统灾难无法及时恢复。1.9 系统运维不落实,功能陈旧,导致不能满足业务需求。1.10 未经审核,变更信息技术合同标准文本中涉及的权利、义务等条款,造成损失。2 财务风险2.1 交易不真实,未按约定付款,影响财务报告。 3 合规风险3.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。3.2 信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求,造成损失。3.3 违反国家和企业会计制度,造成项目资金损失。三、 业务流程步骤与控制点1 IT整体层面管理1.1 股份公司
4、建立完善的信息化管理体系,设立ERP指导委员会, 设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。1.1.1 东北油气分公司设立信息化领导小组、ERP领导小组,定期召开会议,设立信息中心负责信息化管理工作,对信息系统和信息资源行使管理职责。1.2 根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组
5、织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。1.3 按照股份公司深化信息化应用的部署,总部相关部门分别成立ERP应用小组,落实对ERP等系统的管理和应用;各分(子)公司建立ERP支持中心,配备专职支持、管理人员,完善运维体系,实现ERP达标要求和其它信息化应用要求。1.3.1 东北油气分公司在信息中心下设立ERP管理科即ERP支持中心,配备专职及兼职支持、管理人员,完善运维体系,实现ERP达标要求和其它信息化应用要求。1.4 教育和培训1.4.1 各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年
6、度培训计划,并组织落实。1.4.1.1信息中心负责编写年度信息化培训计划,经部门负责人审批后,纳入人事处年度培训计划,并组织落实。1.4.2 各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。1.4.2.1信息中心配合人事处开展全员信息安全教育和培训,并在内部共享发布安全教育培训材料。1.5 风险评估1.5.1 根据中国石油化工股份有限公司信息系统风险评估管理办法,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业
7、务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。1.5.1.1信息中心负责每年对信息系统进行年度综合风险评估,形成相关风险评估报告。其内容包括信息系统整体风险、重点系统风险、主要基础设施风险等,并将风险评估报告经信息中心负责人审核签字后,报信息系统管理部备案。1.6 信息安全管理1.6.1 信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核后,正
8、式发布。各分(子)公司信息管理部门根据股份公司信息安全规划,结合自身生产经营管理的需要,并针对风险评估报告中提出的问题,负责制订本企业的信息安全方案,经分管总经理审批后报信息系统管理部备案。 1.6.1.1信息中心根据股份公司信息安全规划,结合自身生产经营管理的需要,并针对风险评估报告中提出的问题,制定东北油气分公司信息安全方案,经分管总经理审批后报信息管理部备案。1.6.2 依照中国石油化工股份有限公司信息系统安全管理办法规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会
9、确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。1.6.2.1信息中心提出东北油气分公司的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息中心确定,涉及业务信息安全的关键岗位由主管业务部门商保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与分公司签署“信息系统关键岗位安全责任书”,并在人事处备案。1.6.3 各级信息管理部门根据中国石油化工股份有限公司信息系统安全管理办法中的有关要求,按照不相容岗位分离的原则,设立安全管理员。安全管理员必须具有相应资质,并经部门负责人审批授权。1.6.3.1东北油气分公司按
10、照不相容岗位分离的原则,设有安全管理员,具有相应资质,并经部门负责人审批授权。2 编制年度项目建议计划2.1 信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。2.1.1 东北油气分公司信息中心编制年度信息化项目建议计划,经审批后分别纳入本单
11、位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审批。3 项目可行性研究和评审3.1 信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。3.1.1 信息中心承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。4 项目立项审批4.1 通过可研评审的固定资产投资限额(200万元)及以上的信息技术项目
12、,由信息系统管理部报发展计划部立项,批准立项的项目,由发展计划部列入年度投资计划;申请总部立项的固定资产投资限额(200万元)以下的信息技术项目,由信息系统管理部负责审批,报发展计划部备案;由各事业部审批的投资限额以下的信息技术项目投资计划,须经信息系统管理部和发展计划部会签。 各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。 通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目
13、计划。4.1.1 东北油气分公司公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。4.2 对批准立项的、投资在500万元及以上的项目,信息系统管理部委托有资格的单位按要求对项目进行总体(基础)设计,其中投资在2000万元及以上的项目需组织专家组对项目总体(基础)设计进行评审,专家组对项目需求分析、目标、功能设计、投资概算等提出评审意见并签字
14、,由信息系统管理部负责审批总体(基础)设计,报发展计划部备案。5 合同签订51 信息管理部门负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质,开展询比价、商务谈判等工作;涉及有关计算机服务器、PC机、打印机采购事宜,由物资采购部门归口管理、信息管理部门配合开展采购工作。依照规定权限并按经法律事务部审定的标准合同文本签订合同;项目责任部门(单位)负责完成合同技术附件,并由负责人签字确认。5.1.1 信息中心负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质,开展询比价、商务谈判等工作;涉及有关计算机服务器、PC机、打印机采购事宜,由物资采购中心归口管理、信息
15、中心配合开展采购工作。依照规定权限并按经法律事务部审定的标准合同文本签订合同;项目责任部门(单位)负责完成合同技术附件,并由负责人签字确认。6 项目实施6.1 项目实施单位根据合同技术附件或总体设计进行详细设计,详细设计的形式可根据项目类别的不同(自主开发项目、引进试点项目、推广完善项目、基础设施项目)采取与项目类别相适应的形式,投资在500万元及以上的项目需由信息管理部门组织人员对项目详细设计进行审查,项目实施单位根据审查意见进一步修改完善深化详细设计。 6.1.1 项目实施单位根据合同技术附件或总体设计进行详细设计,详细设计的形式可根据项目类别的不同(自主开发项目、引进试点项目、推广完善项
16、目、基础设施项目)采取与项目类别相适应的形式,投资在500万元及以上的项目需由信息中心组织人员对项目详细设计进行审查,项目实施单位根据审查意见进一步修改完善深化详细设计。6.2 项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。6.2.1 项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。6.3 信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。6.3.1 信
17、息中心负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。6.4 信息管理部门负责组织对项目建设的阶段验收,进行项目建设质量、进度、标准执行和成本控制等检查,提出阶段验收报告;项目实施单位根据阶段验收报告对系统进行修改完善。500万元以下的一般信息技术项目可根据项目具体实施情况,只进行竣工验收。6.4.1 信息中心负责组织对项目建设的阶段验收,进行项目建设质量、进度、标准执行和成本控制等检查,提出阶段验收报告;项目实施单位根据阶段验收报告对系统进行修改完善。500万元以下的一般信息技术项目可根据项目具体实施情况,只
18、进行竣工验收。6.5 项目责任部门(单位)负责至少每季度向信息管理部门提交项目实施报告,内容包括项目进度、质量、经费使用、存在问题和整改措施等;根据合同约定填写付款申请,按规定权限审批后办理付款。6.5.1 项目责任部门(单位)负责至少每季度向信息中心提交项目实施报告,内容包括项目进度、质量、经费使用、存在问题和整改措施等;根据合同约定填写付款申请,按规定权限审批后办理付款。6.6 信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。6.6.1 信息中心组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位
19、进行修改完善。6.7 项目责任部门(单位)责成项目实施单位负责知识转移,并提交项目相关的技术文档(包括用户使用手册、系统维护手册、系统安全和使用授权管理办法、应急处理办法及用户培训教材等资料)。6.7.1 项目责任部门(单位)责成项目实施单位负责知识转移,并提交项目相关的技术文档(包括用户使用手册、系统维护手册、系统安全和使用授权管理办法、应急处理办法及用户培训教材等资料)。7 项目竣工验收7.1 项目完成全部的规定目标任务后,投资2000万元及以上的项目单轨连续稳定运行6个月以上,其它项目单轨连续稳定运行3个月以上,由项目责任部门(单位)以正式行文方式提交项目竣工验收申请,同时提交项目验收相
20、关材料一并审核。总部批复的项目向信息系统管理部提交验收申请,由信息系统管理部负责组织项目验收工作。分(子)公司自行批复的项目向企业信息管理部门提交验收申请,由分(子)公司信息管理部门负责组织项目验收工作。专家组形成验收意见并签字。7.2 信息管理部门会同财务部门按规定进行项目竣工结算。财务部门按竣工验收决算报告或审计报告办理项目转资手续,按股份公司内部会计制度及有关规定,经财务部门负责人审核后,进行账务处理。相关会计凭证须经不相容岗位人员稽核。在信息技术项目达到预定的可使用状态时,财务部门应依据有关部门提供的手续,按照股份公司内部会计制度,经部门负责人审核后,暂估入账。相关会计凭证须经不相容岗
21、位人员稽核。 7.2.1 信息中心会同财务处按规定进行项目竣工结算。财务处按竣工验收决算报告或审计报告办理项目转资手续,按股份公司内部会计制度及有关规定,经财务处负责人审核后,进行账务处理。相关会计凭证须经不相容岗位人员稽核。在信息技术项目达到预定的可使用状态时,财务处应依据有关部门提供的手续,按照股份公司内部会计制度,经部门负责人审核后,暂估入账。相关会计凭证须经不相容岗位人员稽核。7.3 对固定资产投资2000万元及以上的试点项目,通过验收后,信息管理部门组织专家组对项目进行后评价,专家组提出后评价报告并签字。7.3.1 对固定资产投资2000万元及以上的试点项目,通过验收后,信息中心组织
22、专家组对项目进行后评价,专家组提出后评价报告并签字。8 系统应用和维护8.1 需委托维护的信息系统,信息管理部门负责审查系统服务商资质,并签订系统维护服务合同以及安全保密协议;由信息管理部门自行维护的,则指定专人负责维护,制定岗位职责。8.1.1 需委托维护的信息系统,信息中心负责审查系统服务商资质,并签订系统维护服务合同以及安全保密协议;由信息中心自行维护的,则指定专人负责维护,制定岗位职责。8.2 项目责任部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作。 信息管理部门负责组织日常软硬件系统维护、合法软件使用情况检查和
23、关键用户与一般用户的培训、考核等工作。8.2.1 项目责任部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作。信息中心负责组织日常软硬件系统维护、合法软件使用情况检查和关键用户与一般用户的培训、考核等工作。9 系统升级9.1 项目责任部门(单位)负责对业务流程与系统模型进行适时评价,并根据评价和修正意见,提出应用软件的升级申请,责任部门(单位)负责人须签字确认。升级申请纳入计划后组织实施。9.1.1 项目责任部门(单位)负责对业务流程与系统模型进行适时评价,并根据评价和修正意见,提出应用软件的升级申请,责任部门(单位)负责人
24、须签字确认。升级申请纳入计划后组织实施。9.2 信息管理部门负责组织对系统软、硬件进行适时评价,并根据评价意见提出系统软、硬件升级申请,信息管理部门负责人须签字确认。升级申请纳入计划后组织实施。9.2.1 信息中心负责组织对系统软、硬件进行适时评价,并根据评价意见提出系统软、硬件升级申请,信息中心负责人须签字确认。升级申请纳入计划后组织实施。四、 相关制度目录(制度后标号为内控手册相关规章制度汇编目录索引号)1 中国石油化工股份公司信息化管理办法(石化股份信2007389号) -1.10.52 中国石油化工股份有限公司信息技术项目管理办法(石化股份信200818号) -1.10.23 中国石油
25、化工股份有限公司信息系统风险评估管理办法(石化股份信综200637号) -2.10.34 中国石油化工股份有限公司公司信息系统安全管理办法(石化股份信系2006第35号 -2.10.25 中国石油化工股份有限公司ERP应用管理办法(试行)(石化股份信2008205号) -1.10. 6出师表两汉:诸葛亮先帝创业未半而中道崩殂,今天下三分,益州疲弊,此诚危急存亡之秋也。然侍卫之臣不懈于内,忠志之士忘身于外者,盖追先帝之殊遇,欲报之于陛下也。诚宜开张圣听,以光先帝遗德,恢弘志士之气,不宜妄自菲薄,引喻失义,以塞忠谏之路也。宫中府中,俱为一体;陟罚臧否,不宜异同。若有作奸犯科及为忠善者,宜付有司论其
26、刑赏,以昭陛下平明之理;不宜偏私,使内外异法也。侍中、侍郎郭攸之、费祎、董允等,此皆良实,志虑忠纯,是以先帝简拔以遗陛下:愚以为宫中之事,事无大小,悉以咨之,然后施行,必能裨补阙漏,有所广益。将军向宠,性行淑均,晓畅军事,试用于昔日,先帝称之曰“能”,是以众议举宠为督:愚以为营中之事,悉以咨之,必能使行阵和睦,优劣得所。 亲贤臣,远小人,此先汉所以兴隆也;亲小人,远贤臣,此后汉所以倾颓也。先帝在时,每与臣论此事,未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军,此悉贞良死节之臣,愿陛下亲之、信之,则汉室之隆,可计日而待也。臣本布衣,躬耕于南阳,苟全性命于乱世,不求闻达于诸侯。先帝不以臣卑鄙,猥自枉屈,三顾臣于草庐之中,咨臣以当世之事,由是感激,遂许先帝以驱驰。后值倾覆,受任于败军之际,奉命于危难之间,尔来二十有一年矣。先帝知臣谨慎,故临崩寄臣以大事也。受命以来,夙夜忧叹,恐托付不效,以伤先帝之明;故五月渡泸,深入不毛。今南方已定,兵甲已足,当奖率三军,北定中原,庶竭驽钝,攘除奸凶,兴复汉室,还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益,进尽忠言,则攸之、祎、允之任也。愿陛下托臣以讨贼兴复之效,不效,则治臣之罪,以告先帝之灵。若无兴德之言,则责攸之、祎、允等之慢,以彰其咎;陛下亦宜自谋,以咨诹善道,察纳雅言,深追先帝遗诏。臣不胜受恩感激。今当远离,临表涕零,不知所言。
