还剩4页未读,继续阅读
文本内容:
11.3ERP相关系统IT一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表本次项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分捧;5表达和披露;6准确性
1234561.程序和数据访问
1.
11.
22.
32.4经营风险规章制度不健全,导致对相关系统管理的失控
1.1总部各梆门、分(子)公司依据《中国石油化工段份有限公司管理信息相关系统应用管理办法(试行)》(以下简称《信息相关系统应用管理办法》)等,制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等合适的内容总都各部门分(子)公司2程序和数据访问管理制度或规定
1.
10.
42.
10.4L2用户权限管理
1.
11.
22.
32.4经营风险权限设置不当,导致对相关系统的非法或非授权访问
1.
2.1建立/变更用户帐号和角色,由申请人填写ERP相关系统用户权限申请表,经相关部门负责人审批后,由应用管理员在相关系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理总部各部门分(子)公司2用户变更申请表用户角色矩阵
1.
11.
22.
32.4经营风险未及时锁定或删除岗位变动、离职人员帐号,导致相关系统存在安全隐患
1.
2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在相关系统中将该用户进行锁定或删除总部各部门分(子)公司1用户变更申请表人员变动清单
1.3用户帐号管理
1.
11.
22.
32.4经营风险未及时审核清理帐户,导致相关系统存在安全隐患
1.
3.1应用管理员每季度在线检查用户权限使用情况,每半年将相关系统用户清单,提交相关部门,由关键用户和部门负责人进行审核确认,应用管理员根据审核结果在相关系统中进行相应的处理总部各部门分(子)公司2用户审核签字
1.
11.
22.
32.4经营风险账户共享,导致责任不清,导致相关系统存在安全隐患
1.
3.2应用管理员在相关系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)总部各部门分(子)公司
11.
11.
22.
32.4经营风险用户创建随意,影响相关系统安全稳定或生产经营
1.
3.3对于数据库层面用户(如相关系统接口访问用户等),相关部门填写用户申请,由部门负责人签字确认,经信息管理部门审批后,由数据库管理员创建该类用户总部各部门分(子)公司1用户申请表
1.1经营风险密码规则不当,强度不够,更新不及时,导致对相关系统的非法或非授权访问
1.4对于相关系统登录访问,要设置合理的的码规则,密码长度6位以上,果用数字和字符组合方式,不能使用弱密码;用户密码3个月内必须更新一次帐号密码重复输入5次错误则暂停登录或相关系统锁定;相关系统自动退出帐号登录的最大空闲时间不能超过50分钟总部各部门分(子)公司
21.5相关管理员的管理
1.1经营风险相关系统相关管理员岗位设置不合理,导致对相关系统的非法或非授权访问
1.
5.1应用管理员(BASIS管理员和权限管理员)、相关系统管理员(操作相关系统管理员、数据库管理员)、安全管理员必须授权管理,遵循不相容岗位分离原则,不能具有业务操作权限及开发权限;信息管理部门负责人应至少每半年对上述管理员的在职情况进行审查总部各部门分(子)公司应用管理员相关系统管理员安全管理员2管理员授权文件管理员任职资格半年审核记录
1.
11.3经营风险相关系统运行状态监控不到位.不能及时发现相关系统潜在故障或相关问题,影响相关系统正常运行
1.
5.2应用管理员负贵监控应用相关系统运行情况、备份情况和日志,并完成监控记录;相关系统管理员负责监控操作相关系统、数据库及备份设备运行情况和日志,并完成监控记录安全管理员每季度对相关管理员的操作日志至少检查一次并记录检查情况总部各部门分(子)公司应用管理员相关系统管理员安全管理员2监控记录安全员检查记录业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表本次项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1234561.1经营风险生产相关系统存在开发帐户、关犍用户,影响相关系统安全稳定或生产经营
1.6生产相关系统上线投入运行后,锁定生产相关系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产相关系统中诊断相关问凝,需填写ERP相关系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成相关问题诊断任务后锁定该帐号总部各部门分(子)公司开发人员或关健用户应用管理员2开发人员及关键用户清单
1.79页置怅号的管理
1.1经营风险服务器根帐号的密码管理不善,导致对相关系统的非法或非授权访问
1.
7.1相关系统管理员在操作相关系统安装完成后对服务器根帐号(root)密码进行修改,并至少三个月更换一次密码,密码以安全方式妥善保存总部各部门分(子)公司1ROOT帐号密码修改记录
1.1经营风险数据库预置帐号的密码管理不善.导致对相关系统的非法或非授:权访问
1.
7.2相关系统管理员在数据库和SAP软件安装好后,需用sapdba的工具修改SAP相关系统茯置帐号(SAPR3SYSSYSTEM)的缺省密码,并至少三个月更换一次密码,密码以安全方式妥善保存总部各部门分(子)公司1SAPR
3、SYS.SYSTEM帐号密码修改记录
1.1经营风险SAP相关系统预置帐号的密码管理不善,导致对相关系统的非法或非授权访问
1.
7.3应用管理员在SAP软件安装好每次创建Client后,须修改SAP相关系统预置帐号(SAP*/DDIC)缺省密码,密码以安全方式妥善保存总部各部门分(子)公司1SAP*DDIC帐号密码修改记录
1.1经营风险业务支持人员的权限分配不当,影响相关系统安全稳定或生产经营
1.8业务支持人员支持权限的新戏、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在相关系统中进行分配,业务支持人员在生产相关系统中只有相应模块的显示、跟踪权限.不能分配业务操作权限、后台配置权限总部各部门分《子)公司业务支持人员应用管理员3业务支持人员名单
1.1经营风险超级用户权限管理不当,影响相关系统安全稳定或生产经营
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在相关系统中进行分配,使用后要及时将权限回收总部各部门分(子)公司超级用户申请表
1.10第三方人员管理
1.
12.2经营风险与笫三方合作单位未签订安全保密协议,造成相关系统泄密或受到非法访问
1.
10.1针对第三方合作单位需要签订安全保密协议总部各部门分(子)公司1保密协议(合同)
1.
12.2经营风险对第三方合作单位人员管理不到位,影响相关系统安全稳定或生产经营
1.
10.2第三方人员访问相关系统,需填写第三方人员帐号申请表(需注明使用期限和权限),经相关需求部门负责人、信息管理部门(责任处(科)室)负责人审批通过后,由应用管理员根据申请表在相关系统中建立其账号第三方人员撤离后,其帐号需在相关系统中进行删除或锁定,如确需访问相关系统诊断相关问题,需按照用户权限维护程序经审批后方可解锁/创珑;维护完毕后应及时锁定或捌除总部各部门分(子)公司2第三方人员清单用户变更申请表
2.程序变更
11.
21.
312.
32.4经营风险规章制度不健全,导致对相关系统管理的失控
2.1总甑各部门、分(子)公司依据《信息相关系统应用管理办法》.制定程序变更管理制度,主要包括客户化开发变更管理、相关系统配置变更管理、软件版本变更管理等合适的内容总部各部门分(子)公司2程序变更管理制度
1.
10.
32.
10.
42.2客户化开发变更管理
1.
11.
32.4经营风险客户化开发的相关需求不合理,导致相关系统故障,不能满足业务相关需求合规风险重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚
2.
2.1对于功能增强/表单/报表/相关系统接口等客户化开发的新相关需求或者对巳有客户化开发的变更,由相关需求变更部门填写相关系统开发变更申请表(简要描述功能相关需求和功能说明),经提报单位的相关需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息相关系统管理部审批总部各部门分(子)公司2室户化开发变更申请表
1.
11.
32.4经营风险变更管理不规范,客户化开发、测试和传输管理不完善,导致相关系统故障或不能满足业务相关需求
2.
2.2信息相关系统管理部组织人员根据审枇后的客户化开发变更相关需求在开发环境中进行开发,完成开发后由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务人员及部门负责人签字确认后,由提报单总部各部门分(子)公司开发人员业务人员4开发变更测试文档业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表本次项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性123456位的应用管理员按照传输管理要求传入生产相关系统
1.
11.
32.4经营风险客户化开发变更记录不完整,导致维护困难
2.
2.3提报单位ERP支持中心组织相关需求变更部门对客户化开发变更合适的内容进行记录,包括更新客户化功能说明文档、相关技术说明文档、测试文档、用户手册、管理制度、版本号管理等,由ERP支持中心归档总部各部门分(子)公司2相关开发文档
2.3相关系统配置变更管理
1.
11.
21.
32.4经营风险相关系统配置变更管理不完善,导致相关系统故障或不能满足业务相关需求
2.
3.1现有相关系统配置需进行调整,应由相关需求部门堵写“相关系统配置变更申请表二经部门负责人签字确认后提交信息管理受门审核与ERP推广模板有差异的或者组织架构、业务流程发生变化的变更,以及新增功能模块,需信息相关系统管理部门负责人审批并组织实施;其他相关系统配置变更,由信息管理部门授权支持人员或第三方人员根据审批后的变更相关需求进行业务流程设计,经相关业务部门负责人签字确认后在开发环境进行配置修改,由被授权人员埃写相关系统配置变更记录并将变更记录报总部ERP支持中心备案总部各部门分(子)公司4定置变更申请表业务流程图与流程描述
1.
11.
21.
32.4经营风险相关系统配置变更的测试、传输不完善,导致相关系统故障或不能满足业务相关需求
2.
3.2凡涉及业务流程、数据库变动的配置变更,由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产相关系统总部各部门分(子)公司业务人员应用管理员4配置变更测试文档
1.
12.1经营风险培训工作不到位,导致用户操作不熟练,无法保证业务处理的正确性
2.
3.3相关系统配置变更后由ERP支持中心组织相关人员及时修改配置文档,并根据需要进行业务人员培训总部各部门分(子)公司2配置文档用户手册培训记录
2.1软件补丁和版本变更管理
1.
12.1经营风险随意升级软件补丁或版本,影响相关系统安全稳定或生产经营合规风险侵犯知识产权,导致诉讼及股份公司声誉受到损害
2.
4.1针对软件补丁/版本升级,信息管理部门提出申请,由信息相关系统管理部负责人审批后统一组织实施总部各部门分(子)公司1软件版本升级申请表
1.
11.
21.
32.4经营风险补丁/版本升级未经测试,导致相关系统故障或不能满足业务相关需求
2.
4.2由信息管理部门/ERP支持中心根据审枇后的软件变更,组织支持人员、相关部门关键用户提出测试流程清单,在测试环境进行相关系统功能的全面测试,测试人员需在测试流程清单上签字确认,并填写测试记录总部各部门分(子)公司3流程测试清单
1.
11.
21.3经营风险浏试合适的内容不全面导致补77版本升级后相关系统故障或不能满足业务相关需求
2.
4.3ERP支持中心负货人检查测试流程清单是否完整,并签字确认,由应用管理员根据补丁/版本升级解决方案在生产相关系毓完成扑丁安装或者版本升级工作,并进行“软件补丁/版本升级”记录总部各部门分(子)公司
23.程序开发
1.
21.
32.
12.
22.
32.4经营风险规章制度不健全,导致对相关系统管理的失控
3.1总部各部门、分(子)公司依据《信息相关系统应用管理办法》,制定程序开发管理制度主要包括业务流程设计管理、客户化开发和相关系统配置管理等合适的内容总部各部门分(子)公司2程序开发管理制度或规定
1.
10.
32.
10.,
11.
32.
12.2经营风险业务流程不规范、设计不合理.导致相关系统不能满足业务相关需求
3.2信息管理部门负责组运本次项目组包括承担相关系统实施的人员(以下简称咨询顾问)和关键用户本次项目组根据ERP本次项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认总部各部门分(子)公司-1业务流程图与流程描述业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表本次项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1234561.
11.
21.
32.4经营风险客户化开发的相关需求不合理,导致相关系统故障或不能满足业务相关需求
3.3对于功能增强/表单/报表/相关系统接口等客户化开发,由业务部门提出相关需求,并编制开发相关需求功能说明书,其中需描述访问权限要求本次项目组根据功能说明书编制客户化开发清单,提交相关部门负责人签字确认总部各部门分(子)公司2客户化开发清单;开发相关需求功能说明书
1.
11.
21.
32.4经营风险程序开发不规范,导致相关系统故障或不能满足业务相关需求
3.4开发人员根据开发相关需求功能说明书在开发环境中完成开发工作,将开发结果提交业务人员进行测试并经业务人员及部门负责人签字确认总部各部门分(子)公司3开发测试记录单
1.
11.
21.
32.4经营风险相关系统配置不规范,导致相关系统故障或不能满足业务相关需求
3.5咨询顽问依据签字确认的业务流程设计进行相关系统配置,并编写配置文档;关键用户对配置文档进行审核并签字确认总部各部门分(子)公司3配置文档
3.6相关系毓配置测试管理
1.
11.
21.
32.4经营风险集成测试不充分,导致相关系统故障或不能满足业务相关需求
3.
6.1相关系统配置完成后,由咨询顾问和关键用户在测试相关系统进行集成测试,记录测试过程,并对集成测试记录签字确认总部各部门分(子)公司2集成测试文档
1.
11.
21.
32.4经营风险用户测试不充分,导致相关系统故障或不能满足业务相关需求
3.
6.2集成测试完成后,由最终用户在洌试相关系统迸行用户接受测试,记录测试过程并对接受测试记录签字确认总部各部门分(子)公司2用户接受测试文档
3.7开发测试环境和传输管理
1.
11.
21.
32.4经营风险开发相关技术架构不合理或传输缺乏控制,影响相关系统安全稳定或生产经营
3.
7.1客户化开发、相关系统配置、相关系统变更工作遵循“开发相关系统至测试相关系统、测试相关系统至生产相关系统”的相关技术架构完成,并按照传输管理规范进行传输总部各部门分(子)公司1传蛤请求申请表
1.1经营风险传输管理不完善,导致相关系统故障或不能满足业务相关需求
3.
7.2测试相关系统和生产相关系统上生成的传输请求需经信息相关系统管理部相关处室负责人审批,并报总部ERP支持中心备案总部各部门分(子)公司2传输请求申请表
3.8用户操作手册编制和培训
1.
11.
21.3经营风险用户手周更新不及时,导致培训不到位,影响生产经营
3.
8.1咨询顾问及关键用户按照流程设计和相关系统配置编写并及时更新用户操作手册总部各部门分(子)公司1用户操作手用
1.
11.
21.3经营风险培训工作不到位,导致用户操作不熟练,无法保证业务处理的正确性
3.
8.2信息管理部门组织培训及考核,业务人员经考核合格后方可上岗总部各部门分(子)公司2培训及考核记录
3.9数据转换管理
1.
22.
32.4经营风险数据收集和整理不严谨,导致相关系统存在大量垃圾数据和相关系统数据失M.合规风险相关系统数据的收集、提供、使用转让违反国家法律法规及股份公司内部规章制度等,导致相关系统无法正常•运行
3.
9.1业务部门组织人员按照数据收集模板收集和整理相关业务数据并进行盘点;相关部门负责人须审核收集的数据,并在“数据签字清单”上签字确认总部各部门分(子)公司收集人员审核人员1数据签字清单
1.
22.
32.4经营风险未对进入相关系统数据核为,导致相关系统存在大量垃圾数据和相关系统数据失真合规风险相关系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致相关系统无法正常运行
3.
9.2业务人员对导入/补录入相关系统的数据进行核对,核对结果需经部门负责人签字确认总部各部门分《子)公司操作人员审核人员1数据导入清单业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表本次项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1234563.10相关系统切换和月结差异分析
1.1经营风险相关系统切换解决方案未经确认,违背相关系统规范管理
3.
10.1咨询顾问制定相关系统切换解决方案,需经本次项目组负宽人签字确认总部各部门分(子)公司1切换解决方案
1.1经营风险相关系统上线手续不全,违背相关系统规范管理
3.
10.2本次项目组根据“ERP相关系统上线申请标准”编制上线申请报告,并提交总部ERP本次项目管理组审核总部各部门分(子)公司1ERP相关系统上线申请报告
1.
21.
32.4经营风险差异分析报告不准确,导致相关系统数据错误无法纠正,影响相关系统正确性
3.
10.3相关部门对相关系统并行期间月结差异进行分析,编制差异分析报告,并提交总部ERP本次项目管理组审核批复总部各部门分(子)公司2月结差异报告
4.相关系统运行
1.
11.3经营风险规章制度不健全,导致对相关系统管理的失控
4.1总部各部门、分(子)公司依据《信息相关系统应用管理办法九制定相关系统运行管理制度主要包括相关系统监控机制、数据导入管理、后台作业管理、数据备份与灾难恢复策略、支持体系、应急预案等合适的内容总部各部门分(子)公司2相关系统运行管理制度或规定
1.
10.
32.
10.
44.2批导入数据管理
1.
11.
32.3经营风险导入数据未经检杳审核,导致相关系统数据失真合规风险相关系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致相关系统无法正常运行
4.
2.1外部数据导入前,业务部门负责人需对外部数据审核签字,业务人员对数据格式进行检查;保留导入的外部数据以备复查(财务数据至少保留至年结后,业务数据至少保留至月结后)总部各部门分(子)公司1数据导入申请表
1.
11.
32.3经营风险导入数据模板未经检查审核,导致相关系统数据紊乱合规风险相关系统数据的收集、提供、使用转让违反国家法律法规及股份公司内部规章制度等,导致相关系统无法正常运行
4.
2.2对周期性导入的外部数据的数据模板,需经相关部门负责人审核签字,业务人员在数据导入相关系统前需对数据的格式进行检氤总部各部门分(子)公司1数据模版审批签字
4.3后台作业管理
1.
11.
32.3经营风险后台作业批处理计划不合理,影响相关系统正常运行
4.
3.1信息管理部门会同相关部门制定后台作业批处理计划,相关责任人签字确认,由应用管理员执行后台作业批处理总部各部门分(子)公司1后台作业申请表
1.1经营风险相关系统运行状态监控不到位,相关系统潜在故障处理不及时.支持体系不续全,影响相关系统正常运行
4.
3.2应用管理员每天监控后台作业的运行情况,批处理运行结束后应检查运行日志,对出现的相关问题及时处理并记录备案总部各部门分(子)公司1批处理运行日志
4.4数据备份管理
1.
11.3经营风险备份硬件故獐,导致数据丢失或数据、相关系统无法恢复
1.
4.1相关系统管理员详细记录备份硬件的配置叁数,每天监控备份硬件的运行情况并进行日志记录总部各部门分(子)公司1备份日志记录
1.
11.3经营风险数据未及时或正确备份,导致数据丢失或数据、相关系统无法恢复■
1.
4.2应用管理员每日检查相关系统数据备份日志,确认每日数据备份是否成功,并记录备份异常情况;应用管理员至少每季度进行一次数据全备份总部各部门分(子)公司2数据全备份记录备份巡检记录
1.
11.3经营风险未及时发现备份介质存在故障,导致数据、相关系统无法恢发
4.
4.3相关系统管理员对数据备份介质每季度进行一次可读性测试并记录,每年至少进行一次性焚性浏试并记录总部各部门分(子)公司2可读性测试记录恢复性测试记录
1.
11.3经营风险备份介质出现故障,导致数据、相关系统无法备份
4.
4.4相关系统管理员对备价设备中的备份介质至少每四年更换一次,并记录备份介质更换情况总部各部门分(子)公司2备份介质更换记录
1.
11.3经营风险异常情况及相关问题未及时解决,影响相关系统正常运行
4.5ERP支持中心对监控中发现的警告和异常情况以及业务人员申报的相关问题,要按照相关问题处理流程进行受理、解决、跟踪,并对相关问题处理过程进行记录总部各部门分(子)公司2相关问题处理记录业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性会计报表本次项目
1234561.
11.3经营风险没有建立完善的应急预案或培训未到位,员工不能及时正确处理突发事件或故障,影响生产经营
4.6信息管理部门会同相关部门至少每年对关键用户、业务人员、相关系统管理员(藻作相关系统管理员、数据库管理员)、应用管理员进行相关系统应急颈案的培训工作,并对培训进行记录总部各部门分(子)公司1相关系统应急预案培训记录。