【正文】 備的硬件設(shè)備和系統(tǒng)軟件進行檢查驗收，組織系統(tǒng)上線運行等。驗收測試合格之后方可上線。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還必須制定詳細(xì)的數(shù)據(jù)遷移計劃。第二十二條 信息管理部門定期對信息系統(tǒng)進行維護和測試，并形成測試維護報告，以確保信息系統(tǒng)運行安全穩(wěn)定。第二十四條 公司必須有效利用技術(shù)手段，對硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制，設(shè)置安全參數(shù)，保證系統(tǒng)訪問安全。信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、修改等操作；不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置。第二十七條 公司必須建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度。第二十八條 公司必須制定相應(yīng)的密碼策略，保證公司用戶賬戶的安全。第三十條 公司必須建立用戶管理制度，加強對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，禁止不相容職務(wù)用戶賬號的交叉操作。第三十二條 對于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)，必須采取加密措施，確保信息傳遞的保密性、準(zhǔn)確性和完整性。第三十四條 定期進行信息系統(tǒng)災(zāi)備演練，并制定信息系統(tǒng)緊急預(yù)案，保證信息系統(tǒng)的安全。第三十六條 公司信息管理部門應(yīng)加強服務(wù)器等關(guān)鍵信息設(shè)備的管理，建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查，及時處理異常情況。第三十七條 系統(tǒng)停止運行報廢后，必須將廢棄系統(tǒng)中有價值或者涉密的信息進行銷毀、轉(zhuǎn)移，妥善保管相關(guān)信息檔案。第三十九條 本細(xì)則自下發(fā)之日起施行。第二條 適用范圍本管理標(biāo)準(zhǔn)適用于公司及其下屬子公司。信息系統(tǒng)開發(fā)：信息系統(tǒng)開發(fā)包括信息系統(tǒng)內(nèi)部自行開發(fā)和信息系統(tǒng)項目外委開發(fā)。第四條 職責(zé)分工信息管理部門：負(fù)責(zé)信息系統(tǒng)開發(fā)需求的審核、自行開發(fā)方案的制訂、實施、驗收及系統(tǒng)使用情況反饋；負(fù)責(zé)系統(tǒng)項目外委供應(yīng)商的選擇、系統(tǒng)項目進度的跟蹤控制、系統(tǒng)項目的測試、上線及驗收；負(fù)責(zé)組織系統(tǒng)用戶培訓(xùn)的實施；使用部門：負(fù)責(zé)提出系統(tǒng)開發(fā)需求申請、系統(tǒng)開發(fā)方案的審核確認(rèn)；財務(wù)部：負(fù)責(zé)系統(tǒng)開發(fā)方案的審核。經(jīng)過部門審批和該部門所在中心主任審批后，送至財務(wù)部信息主管審批。并指定人員進行需求調(diào)研和方案設(shè)計。03需求調(diào)研階段，根據(jù)業(yè)務(wù)部門初步需求進行詳細(xì)調(diào)研，挖掘潛在需求，并對需求合理化。詳細(xì)需求文檔04根據(jù)《詳細(xì)需求文檔》設(shè)計開發(fā)實施方案，包括工作量評定、開發(fā)周期和開發(fā)預(yù)算，信息主管審核方案可行無誤后，送至申請部門審核。審核點：；。06申請部門所在中心主任審批。08財務(wù)總監(jiān)審批。10系統(tǒng)上線3個月后出具驗收報告。經(jīng)過部門審批和公司分管副總審批后，送至信息主管審批。并指定人員進行需求調(diào)研和方案設(shè)計。03需求調(diào)研階段，根據(jù)業(yè)務(wù)部門初步需求進行詳細(xì)調(diào)研，挖掘潛在需求，并對需求合理化。詳細(xì)需求文檔可行性分析報告04根據(jù)《詳細(xì)需求文檔》中的預(yù)算情況審核該項目是否在預(yù)算范圍內(nèi)。06結(jié)合公司信息化規(guī)劃審核項目的可行性和必要性。招標(biāo)或談判記錄《第三方與外包安全管理規(guī)定》02信息管理部門確定供應(yīng)商后，根據(jù)經(jīng)濟合同管理標(biāo)準(zhǔn)簽訂采購合同。開發(fā)原則：，包括日期、時間、進程號、終端信息、命令行參數(shù)、錯誤和主機名，確保只有合規(guī)字符，靜態(tài)連接安全程序，可選用密碼算法驗證項目實施方案04根據(jù)《項目實施方案》按步驟的執(zhí)行。階段性驗收報告06信息系統(tǒng)部署完成后進行系統(tǒng)測試，包括功能測試、壓力測試、性能測試、安全功能測試等，并出具《測試報告》。用戶培訓(xùn)報告08系統(tǒng)靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)初始化。試運行報告10系統(tǒng)試運行測試后，項目組編制上線計劃，系統(tǒng)上線正式運行。只有經(jīng)過授權(quán)的人員才可以訪問文檔管理服務(wù)器。并附文檔清單《系統(tǒng)開發(fā)與維護文檔清單》。項目驗收時對于項目建設(shè)過程中涉及到的所有文檔、使用手冊和軟件介質(zhì)等相關(guān)資料要做好移交工作。驗收報告第六條 風(fēng)險控制矩陣風(fēng)險編號風(fēng)險描述控制目標(biāo)控制活動編號控制活動控制記錄預(yù)防/檢查自動/人工責(zé)任部門財務(wù)報表認(rèn)定財務(wù)報表科目1234567存在信息孤島現(xiàn)象，各系統(tǒng)各自為政，削弱了信息系統(tǒng)的協(xié)同效用，甚至引發(fā)系統(tǒng)沖突各系統(tǒng)模塊有效對接在信息化的過程中，需要將公司的各類資源如人員、設(shè)備、資金、組織機構(gòu)、物料等各種數(shù)據(jù)建立滿足系統(tǒng)應(yīng)用的基礎(chǔ)數(shù)據(jù)庫，制定適合信息化數(shù)據(jù)傳遞的標(biāo)準(zhǔn)規(guī)范和各應(yīng)用系統(tǒng)間的集成標(biāo)準(zhǔn)，保證數(shù)據(jù)的統(tǒng)一性和一致性，達(dá)到數(shù)據(jù)高度共享。預(yù)防自動信信息管理部門　　信息系統(tǒng)與公司業(yè)務(wù)需求相脫節(jié)，降低了信息系統(tǒng)的應(yīng)用價值信息系統(tǒng)符合業(yè)務(wù)需求項目發(fā)起單位要向信息技術(shù)部門提交正式的、詳細(xì)的需求報告，需求報告中要包括詳細(xì)的項目需求、范圍和時間進度等?？尚行匝芯繄蟾骖A(yù)防人工信息管理部門　　　　　　　　項目小組形成項目可研報告提交公司信息主管領(lǐng)導(dǎo)審核。項目實施概略方案預(yù)防人工信息管理部門　　　　　　　　系統(tǒng)開發(fā)技術(shù)上不可行、經(jīng)濟上成本效益倒掛系統(tǒng)開發(fā)符合技術(shù)經(jīng)濟效益項目小組需對信息系統(tǒng)開發(fā)進行項目可行性研究，編寫項目可研報告，對系統(tǒng)開發(fā)技術(shù)的可行性、經(jīng)濟效益等進行論證；可行性研究報告預(yù)防人工信息管理部門　　　　　　　　需求文檔表述不準(zhǔn)確、不完整，未能真實全面地表達(dá)業(yè)務(wù)需求系統(tǒng)開發(fā)需求文檔準(zhǔn)確系統(tǒng)開發(fā)承包商對業(yè)務(wù)需求進行詳細(xì)調(diào)研，在此基礎(chǔ)上進行需求文檔的編制，編制的需求文檔經(jīng)過獨立于編制的人員的項目小組進行審核確認(rèn)。設(shè)計方案預(yù)防人工信息管理部門　　　　　　　　設(shè)計方案與公司內(nèi)部控制相脫節(jié)，容易導(dǎo)致系統(tǒng)運行后衍生計算機舞弊風(fēng)險設(shè)計方案符合需求系統(tǒng)開發(fā)承包商就系統(tǒng)開發(fā)方案編制的設(shè)計方案文檔，需要經(jīng)項目小組討論、審核確認(rèn)。項目驗收測試工作由項目經(jīng)理負(fù)責(zé)組織，由項目需求單位和信息管理部門雙方應(yīng)具體說明分別進行系統(tǒng)的驗收測試工作，形成系統(tǒng)驗收測試報告或記錄。上線計劃方案預(yù)防人工信息管理部門　　　　　　　　項目組將制定系統(tǒng)上線計劃和方案，內(nèi)容包括上線步驟、時間、所需資源等；對于存在新舊系統(tǒng)割接的工程，還需包括割接計劃、割接方案、回退方案等上線計劃方案預(yù)防人工信息管理部門　　　　　　　　業(yè)務(wù)人員不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)理錯誤，或者未能充分利用系統(tǒng)功能，導(dǎo)致開發(fā)成本浪費系統(tǒng)得到有效使用開發(fā)軟件在投入使用前，軟件開發(fā)商應(yīng)對有關(guān)技術(shù)人員或業(yè)務(wù)操作人員進行技術(shù)和操作培訓(xùn)。預(yù)防人工信息管理部門　　　　　　　　系統(tǒng)開發(fā)外包服務(wù)商選擇不合理，可能會實施損害企業(yè)利益的自利行為，如偷工減料、放松管理、信息泄密等確保外包服務(wù)商選擇合理項目承包商的選擇采取競爭性談判或競爭性邀標(biāo)方式進行。外包服務(wù)合同及審核記錄預(yù)防人工信息管理部門　　　　　　　　外包服務(wù)跟蹤監(jiān)督不到位，可能導(dǎo)致外包服務(wù)質(zhì)量水平不能滿 足企業(yè)信息系統(tǒng)開發(fā)需求外包服務(wù)質(zhì)量得到有效保證項目開發(fā)小組需根據(jù)項目承包方制訂的系統(tǒng)開發(fā)方案計劃定期或不定期對項目開發(fā)進度、效果進行監(jiān)督跟蹤評價，并向信息主管領(lǐng)導(dǎo)進行匯報。招標(biāo)談判記錄預(yù)防人工信息管理部門　　　　　　　　軟件供應(yīng)商選擇不當(dāng)，產(chǎn)品的支持服務(wù)能力不足，產(chǎn)品的后續(xù)升級缺乏保障軟件產(chǎn)品符合業(yè)務(wù)需求軟件供應(yīng)商通過采取競爭性談判或競爭性邀標(biāo)方式進行。第二條 適用范圍本管理標(biāo)準(zhǔn)適用于公司及其下屬分子公司。第四條 職責(zé)分工管理部門：負(fù)責(zé)IT資產(chǎn)需求選型、采購審核、IT資產(chǎn)使用操作與保管的檢查、IT資產(chǎn)日常調(diào)撥、IT資產(chǎn)報廢的鑒定和回收拆解利用以及IT資產(chǎn)日常維護及實物的臺賬管理；使用部門：負(fù)責(zé)IT資產(chǎn)采購需求的申請、IT資產(chǎn)使用操作與保管、IT資產(chǎn)調(diào)撥申請以及IT資產(chǎn)報廢的申請；采購部門:負(fù)責(zé)IT資產(chǎn)需求的采購、驗收、入賬及付款申請，質(zhì)保期內(nèi)協(xié)調(diào)供應(yīng)商進行質(zhì)保服務(wù)。固定資產(chǎn)購置申請表02申請部門部長審核意見，審核點：對資產(chǎn)購置的必要性、真實性進行審核03資產(chǎn)管理部門：1. 核定申購的業(yè)務(wù)需求，增加電腦的必要性；，是否能夠通過調(diào)劑的方式滿足需求；。05財務(wù)部審核：1. 是否有采購預(yù)算；2. 購置方案是否完整。07申購部門所在中心主任簽字。（三）IT資產(chǎn)變更管理—流程圖（四）IT資產(chǎn)管理—流程說明序號流程內(nèi)容詳細(xì)說明記錄相關(guān)文件01資產(chǎn)入庫后，采購部門通知申購部門辦理《固定資產(chǎn)移交表》,并根據(jù)ERPNC系統(tǒng)中的采購計劃制作領(lǐng)料單，打印《PERNC領(lǐng)料單》領(lǐng)用手續(xù)進行領(lǐng)料。固定資產(chǎn)移交表NC領(lǐng)料單03資產(chǎn)管理部門根據(jù)申購部門提供的完整手續(xù)做好IT固定資產(chǎn)實物臺賬的登記。05資產(chǎn)使用部門負(fù)責(zé)資產(chǎn)實物的日常管理，部門負(fù)責(zé)人為資產(chǎn)的第一負(fù)責(zé)人，部門資產(chǎn)管理員負(fù)責(zé)統(tǒng)計和調(diào)劑。，由財務(wù)部按資產(chǎn)折舊的現(xiàn)值予以賠償。06各部門因人員變動或組織機構(gòu)調(diào)整,閑置相關(guān)IT資產(chǎn)時,應(yīng)需辦理相關(guān)手續(xù)將閑置IT資產(chǎn)移交予資產(chǎn)管理部門統(tǒng)一處理；子公司交予子公司財務(wù)部門處理。確實因工作需要，需按照IT資產(chǎn)管理辦法進行調(diào)撥申請。固定資產(chǎn)調(diào)撥申請表07IT固定資產(chǎn)報廢時應(yīng)將IT資產(chǎn)送至資產(chǎn)管理部門進行鑒定，申請部門填寫《辦公設(shè)備報廢申請單》。辦公設(shè)備報廢申請單08資產(chǎn)管理部門依據(jù)公司辦公資產(chǎn)報廢標(biāo)準(zhǔn)進行報廢鑒定 辦公設(shè)備報廢申請單09由資產(chǎn)管理部門進行報廢鑒定，報部門領(lǐng)導(dǎo)審核。辦公設(shè)備報廢申請單11依據(jù)公司辦公資產(chǎn)報廢標(biāo)準(zhǔn)，財務(wù)部部長批準(zhǔn)后進行賬務(wù)處理；辦公設(shè)備報廢申請單12依據(jù)公司辦公資產(chǎn)報廢標(biāo)準(zhǔn)，經(jīng)財務(wù)部部長、財務(wù)總監(jiān)、總經(jīng)理審批；辦公設(shè)備報廢申請單13報廢IT固定資產(chǎn)交由資產(chǎn)管理部門統(tǒng)一保管，統(tǒng)一由資產(chǎn)處置部進行處理，嚴(yán)禁任何部門或個人私自處理。第二條 適用范圍本管理標(biāo)準(zhǔn)適用于中糧生物化學(xué)（安徽）股份有限公司及子公司。糧食收購信息化系統(tǒng)：是保障公司原糧收購高效、準(zhǔn)確便捷的有效途徑，對涉及部門實行歸口管理。系統(tǒng)變更：指需求變更、程序修補、數(shù)據(jù)維護等涉及系統(tǒng)改變的活動。第四條 職責(zé)分工信息管理部門：負(fù)責(zé)制定各系統(tǒng)管理規(guī)定、信息系統(tǒng)維護和系統(tǒng)變更實施；負(fù)責(zé)權(quán)限開設(shè)、變更或注銷申請審核；系統(tǒng)數(shù)據(jù)的備份以及監(jiān)督系統(tǒng)用戶的操作行為。第五條 業(yè)務(wù)流程（一）應(yīng)用系統(tǒng)運行與維護—流程圖（二）應(yīng)用系統(tǒng)運行與維護—流程說明序號流程內(nèi)容詳細(xì)說明記錄相關(guān)文件01信息管理部門制定各應(yīng)用系統(tǒng)管理規(guī)定，包括《ERPNC系統(tǒng)管理規(guī)定》、《糧食收購系統(tǒng)管理規(guī)定》、《ERPNC具體操作手冊》等。03各部門在應(yīng)用操作系統(tǒng)時遇到自行不可解決的問題時，應(yīng)及時向信息管理部門提出系統(tǒng)的維護需求?！兜谌脚c外包安全管理規(guī)定》05業(yè)務(wù)部門提出應(yīng)用系統(tǒng)的變更時，必須由申請部門提交書面變更申請，填寫《應(yīng)用系統(tǒng)變更申請表》，報送信息管理部門審批，申請表單必須打印存檔，期限為一年。應(yīng)用系統(tǒng)變更申請表06信息管理部門對業(yè)務(wù)部門提出的應(yīng)用系統(tǒng)變更申請進行審批。若在執(zhí)行變更過程中出現(xiàn)意外，要按照回退方案退回到轉(zhuǎn)換前的系統(tǒng)狀態(tài)。08系統(tǒng)承建部門實施測試。針對外包軟件，開發(fā)商需要擁有臨時應(yīng)用系統(tǒng)的用戶名及口令。系統(tǒng)變更測試記錄《第三方和外包安全管理規(guī)定》。（三）信息系統(tǒng)權(quán)限管理—流程圖（四）信息系統(tǒng)權(quán)限管理—流程說明序號流程內(nèi)容詳細(xì)說明記錄相關(guān)文件01權(quán)限申請人根據(jù)系統(tǒng)類型和權(quán)限開設(shè)類別，依據(jù)《賬號安全管理規(guī)定》在OA系統(tǒng)中找到對應(yīng)的權(quán)限申請單，填寫送審審核。03與權(quán)限涉及的相關(guān)部門對系統(tǒng)權(quán)限涉及的工作分工職責(zé)審核，判斷是否給予該權(quán)限。05系統(tǒng)管理員根據(jù)審批的權(quán)限依據(jù)《賬號安全管理規(guī)定》進行新增權(quán)限開設(shè)、變更或刪除。07系統(tǒng)管理員需依據(jù)《賬號安全管理規(guī)定》和《計算機安全檢查標(biāo)準(zhǔn)》定期對系統(tǒng)用戶的權(quán)限使用情況進行檢查，填寫《系統(tǒng)帳號檢查表》。《計算機用戶行為守冊》02各個業(yè)務(wù)部門的系統(tǒng)使用用戶對進入公司內(nèi)網(wǎng)的計算機按照《計算機用戶行為守冊》進行管理和控制?！队嬎銠C用戶行為守冊》、《計算機安全檢查標(biāo)準(zhǔn)》04公司信息管理部門對違反《計算機用戶行為手冊》的用戶進行記錄，根據(jù)《計算機用戶行為守冊》進行通報整改和實施相應(yīng)的懲罰。系統(tǒng)數(shù)據(jù)備份方案02,有專人負(fù)責(zé)保管。服務(wù)器系統(tǒng)必需有備份,以防系統(tǒng)中毒或崩潰等異常情況發(fā)生時的緊急處理之用。04系統(tǒng)備份的數(shù)據(jù)需定期移交檔案管理部門存檔。第二條 適用范圍本管理標(biāo)準(zhǔn)適用于公司及下屬分子公司職能部門的信息安全事件應(yīng)急響應(yīng)管理。設(shè)備類突發(fā)事件：由于各種原因?qū)W(wǎng)絡(luò)中的機房、通信線路、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備造成破壞，以致引起設(shè)備類突發(fā)事件。第四條 職責(zé)分工信息安全領(lǐng)導(dǎo)小組：負(fù)責(zé)重大、較大安全事件發(fā)生后的全局指揮協(xié)調(diào)，安全事件的調(diào)查、善后工作及提出處置意見和相關(guān)獎懲建議。信息安全應(yīng)急響應(yīng)小組成員包括公司信息化分管領(lǐng)導(dǎo)、信息化分管經(jīng)理、業(yè)務(wù)環(huán)節(jié)部門分管經(jīng)理、設(shè)備網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)信息化聯(lián)系人。系統(tǒng)管理員：負(fù)責(zé)應(yīng)用系統(tǒng)安全事件的處理，具體包括：安全事件分析、應(yīng)急業(yè)