XX公司信息系统管理内部控制业务流程 一、 业务目标 1 战略目标 1.1 保证公司信息系统安全运行和信息流的有效传递，促进信息资源共享，规范信息管理，利用信息系统提高工作效率和管理水平，提高公司核心竞争力。 2 经营目标 2.1 合理规划建设信息系统，避免重复建设和资源浪费,保证信息系统建设的优质、高效和低成本。 2.2 保护公司信息化系统的安全、促进公司信息化系统的应用和发展，保证公司信息化软件系统的正常运行。 2.3 加强网站的管理、使用、维护，发挥网站的正面引导作用。 3 财务目标 3.1 确保通过信息系统生成的资料真实、准确、完整，报告可靠。 4 合规目标 4.1 遵守知识产权的有关法律法规，使用合法软件。 4.2 符合合同法等国家法律、法规和公司内部规章制度。 二、 业务风险 1 战略风险 1.1 信息系统管理制度设计不合理或控制不当，使信息系统不能 安全运行、信息流不能有效传递，从而降低公司的核心竞争力。 2 经营风险 2.1 信息系统建设项目不符合公司经营目标，重复建设、低效投资。 2.2 技术方案不合理、不规范，系统功能存在问题，导致系统不能满足规划需求。 2.3 信息系统安全问题导致网络故障、病毒侵袭、非法入侵及泄密等，或系统灾难无法及时恢复。 2.4 未经审核，擅自变更相关合同标准文本中涉及的权利、义务条款，承担违约风险。 2.5 系统陈旧，导致不能满足需求。 3 财务风险 3.1 信息系统建设、维护费用资料不完整、不准确、不真实，不能正确核算建设成本或费用。 4 合规风险 4.1 侵犯知识产权，导致诉讼争议及公司声誉受到损害。 4.2 相关合同违反合同法等国家法律、法规和公司内部规章制度的要求,造成损失。 4.3 信息系统管理流程设计不合理或控制不当，使对外披露的信息失真而受到外部监管机构的处罚。 三、 业务流程步骤与控制点 1 信息系统的建设 1.1 编制、审定项目建议书 1.1.1 综合管理部根据相关职能部门提出的要求，会同相关部门结合公司发展需要进行有关建设信息系统的分析和调查，初步确定有关信息系统建设项目建议书，并提交给领导审批。 1.1.2 经审批同意后，综合管理部组织相关业务部门进行讨论，如有必要应实地考察。经讨论的项目建议书，交公司领导审批。 1.1.3 项目投资金额不超过净资产 2%项目须报董事长审批，超过净资产2%项目应由董事会批准。 1.2 组织编制、审定项目解决方案 1.2.1 项目建议书获审定后，综合管理部组织公司计划财务部等相关业务部门成立项目组，由项目组开展项目前期工作，协同有关软件供应商编制项目解决方案。 1.2.2 项目解决方案如需委托编制，项目组应拟定合同文本，送法律顾问审核后报公司分管领导、总经理、董事长审批，并由董事长或其书面委托人员签订。 1.2.2.1 外协单位按委托合同规定及时编制项目解决方案，并由项目组聘请有关专家对项目解决方案进行专家独立评审。项目组参与审查项目解决方案。 1.2.3 计划财务部拟定资金筹措方案，经财务总监审批，资金筹措方案纳入解决方案内。 1.2.4 项目组将经审查的项目解决方案、项目建设请示报告和专家独立评审报告送公司相关领导和董事长或董事会审批。 1.3 项目实施 1.3.1 一般项目由项目组具体组织实施项目方案。 1.3.2 重大或重要的项目应选择外协单位配合执行。 1.3.2.1 项目组提出重大项目招标方案，送公司分管领导、总经理、董事长审核签字。1.3.2.2 董事长审定招标方案，并由项目组负责组织实施，选定具有相应资格的外协单位。1.3.2.3 审计监察室参与审核招标方案，并对招（投）标过程的公开、公平、公正性实施监督并签字。法律顾问对招标方案提出法律意见。1.3.2.4 项目组起草外协单位合作合同的文本，交法律顾问审核。1.3.2.5 公司分管领导、总经理、董事长审批合同文本，并由董事长或其书面委托人员签订，督促合同执行。1.3.2.6 外协单位按合同规定执行信息系统的设计、软件的采购等，项目组监督、配合外协单位保质、高效地完成外协工作。 1.4 项目验收 1.4.1 在信息系统建设达到预定使用目标，项目组组织有关部门验收。重大项目应同时聘请具备相关资质的外部独立单位参与验收。 1.4.2 验收部门现场操作、试用信息系统，并填写阶段性的验收报告，报公司分管领导、财务总监、总经理审批。 1.4.3 计划财务部根据验收报告和合同，支付阶段进度款。 1.4.4 各部门操作、试用信息系统至少三个月（或根据合同规定实行期限），随时向综合管理部信息中心反馈信息系统的运行情况。综合管理部信息中心应将各部门反馈的资料进行整理、汇总，测试完毕达到既定的标准，填写验收报告，并向计划财务部申请按合同支付相应尾款。如验收不合格，应及时通知计划财务部暂停付款，并通知外协单位及时维护。验收合格后一年内支付尾款。 1.4.5 综合管理部信息中心在获得软件后，必须做好多套备份。 2 信息系统的日常维护 2.1 建立健全信息系统管理制度，公司设立信息中心，归口综合管理部管理，信息中心应配备具有相应专业能力的人员。 2.2 计算机机房管理实行专人负责制，机房应严格遵守公司有关管理制度及要求。 2.3 信息设备的维护、维修 2.3.1 公司使用的计算机由信息中心进行定期检查、维护，一般每个月维护一次并安排专人负责或协调供应商进行信息设备的维护、维修工作。 2.3.2 设备发生故障，使用部门和使用人作简易处理仍不能排除故障的，要及时向信息中心申请维修，说明设备故障情况，填写维修记录单，经使用人、使用部门主管签字后交综合管理部。 2.3.3 信息中心人员接到信息设备的维护、维修报告后，要及时进行维护、维修。 2.3.4 属于保修期内设备需要进行硬件维修的，由维修人员检查后报信息中心，统一联系保修单位维修或更换。 2.3.5 信息设备的使用人要检查维护、维修情况和设备修复情况，验收后签字确认。 2.3.6 信息中心应做好备用及闲置设备的管理，对淘汰的计算机及设备应进行适当的回收、分拣处理，具体见固定资产处置业务流程。 2.4 信息设备采购、验收 2.4.1 公司需用部门提出有关信息设备的采购、升级和更新报告，经公司分管领导审批后送公司信息中心评估。2.4.2 信息中心对报告进行评估后提出采购或升级、更新计划，按照比质、比价的原则询价，编制询价报告，形成设备采购请示报告，报公司分管领导同意、总经理审批并确定供应商，当采购数量大、费用高（10 万元以上）时，还需经董事长审批。采购金额五万元以上的，采用招标的方式进行采购。2.4.3 信息中心草拟采购合同，法律顾问审核。 2.4.4 信息中心将采购合同与法律顾问的审核意见报分管领导、董事长审批，由董事长或授权人员签订。2.4.5 信息中心根据采购合同采购。 2.4.6 信息中心组织相关部门进行验收，编制验收报告，由验收人员签字。信息中心存档、保管相应软件和说明，并将采购情况报告公司分管领导。计划财务部根据采购合同、发票及验收报告，经财务总监、总经理审批后付款。2.4.7 信息中心通知公司使用部门领取信息设备，并详细登记领用情况。2.4.8 信息中心统一建立实物台帐，每一台设备由使用人或使用部门负责保管，使用部门、使用人在实物登记表或设备到货清单上签字确认。未经公司信息中心同意，任何人不得擅自安装、拆卸或改变网络设备，不得损坏、破坏网络设备。 2.5 网络及网络安全管理 2.5.1 建立健全网络及网络安全管理制度 2.5.1.1 信息中心设置专人负责计算机网络及网站的管理，从网络技术上积极采取安全防范措施和监控措施，防止泄密和外来黑客攻击，保证网络正常、安全运行，及时排除网络故障。 信息中心组织制定网络安全管理方案，网络安全管理人员负责网络安全工程施工管理、验收和网络安全维护。 2.5.1.2 网络安全设备的配置和规则设置由网络安全管理人员协同产品供应商进行，并由网络安全管理人员控制掌握。网络安全设备的配置和规则设置更改，由公司网络安全管理人员负责，其它人员不得改动。凡需安装计算机网络终端设备，进入计算机网络的用户，由信息中心统一安排联网。 2.5.1.3 信息中心组织公司信息系统工作人员学习网络安全相关的法律法规，进行网络安全知识培训，提高工作人员的维护网络安全的警惕性和自觉性。 2.5.1.4 网络安全管理人员负责对本网络的用户进行安全教育和培训，使其具备基本的网络安全知识。公司员工如发现网络运行不正常，应及时通报信息中心进行处理。 2.5.1.5 网络安全管理人员负责协助信息设备用户正确安装、使用软件、病毒防火墙，并按说明定期进行防火墙升级。信息中心统一购买电脑杀毒软件，并定期升级更新。电脑感染病毒，计算机用户不能杀除的，须即时通知信息中心进行处理。 2.5.1.6 计算机入网前必须到公司信息中办理登记手续方可接入。未经许可，不得私自将计算机接入。 2.5.2 建立健全数据备份管理制度 2.5.2.1 信息中心安排系统维护人员负责建立数据备份系统，防止系统、数据的丢失。 2.5.2.2 由网络系统管理员负责将以下信息存储于磁介质及光盘上，并认真填写备份日志，记录下备份的内容、时间：网络服务器端操作系统、系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台，CM0S 数据。 2.5.2.3 文件服务器实行双硬盘同时工作，硬盘要做镜像备份。系统维护人员应按照公司有关规定时间进行备份。 2.5.2.4 备份数据及相关的数据档案统一保存在信息中心。未经领导批准不得外借。数据备份和数据存储用的磁介质要严格管理、妥善保存。 2.5.2.5 一旦发生数据丢失或数据破坏等情况，必须由系统维护人员进行备份数据的恢复，以免造成不必要的麻烦或更大的损失；如遇服务器遭受攻击或网络病毒，造成数据丢失或系统崩溃，需要进行数据恢复，需由网络管理员执行恢复程序。同时将具体情况做记录。 2.5.3 建立健全信息系统保密管理制度：信息网络的系统软件、应用软件及信息数据要实施保密措施，严格按照保密等级实施保护。 2.5.3.1 不得向非公司工作人员透露内部网登录用户名和密码，做好各个应用系统的用户名和密码的保密工作。 2.5.3.2 系统软件应对访问权限严格限制，对不同的操作人员、不同的信息等级分设密码。系统管理员密码绝对保密，根据用户需求严格控制、合理分配用户权限。 2.5.3.3 使用者由信息中心分配各自的操作密码，严格防止非授权人员接触和修改已存储数据。除系统管理员以及授