华联瓷业内控手册--信息中心.doc

4.20 流程二十：信息系统管理流程公司信息系统可分为两类：一类是与财务报告相关的，即系统为财务报告提供数据或为数据的产生提供保障，例如财务系统（会计核算系统、会计报表系统等）、结算管理系统及以上系统的集成系统等；另一类是与财务报告无关的，如考勤系统等。公司、公司所属各单位必须根据实际情况对本单位使用的信息系统进行分类，对与财务报告相关的信息系统严格控制，并对其控制情况进行检查。4.20.1 程序开发 4.20.1.1 范围 能够对公司信息技术领域产生巨大影响的程序开发过程4.20.1.2 控制目标 确保信息系统规划符合公司整体经营战略，程序开发的整个流程处于监督和管理中4.20.1.3 流程相关会计科目 不适用4.20.1.4 流程主要风险 信息系统规划不符合公司的实际需要，偏离公司整体经营战略 开发项目管理混乱，使之不能按照计划如期完成并保证质量 项目不可行或缺乏明确的目标和计划 程序开发的设计不符合业务需求 外包商选择不当，造成系统软、硬件和服务不满足需求或性价比低 项目不能满足公司业务需求、质量及安全要求 公司原有数据不能被新开发的系统识别、使用 “上线”过程没有进行有效的管理和控制 技术文档不完整、不准确 用户不能熟练使用新系统4.20.1.5 流程描述4.20.1.5.1 系统规划 控制目标 确保信息系统规划符合公司整体经营战略 流程相关会计科目 不适用 流程主要风险 信息系统规划不符合公司的实际需要，偏离公司整体经营战略 流程描述 公司信息中心结合公司运营情况确立本司的信息化工作年度计划，并报本单位监管部门领导审核，信息中心负责人将工作计划进行拆解和重组分配至信息中心各成员。4.20.1.5.2 开发管理 控制目标 确保开发的全过程处于严格的管理和监控中 流程相关会计科目 不适用 流程主要风险 开发项目管理混乱，以致不能按照计划如期完成并保证质量 流程描述 信息中心向公司董事会汇报开发计划，信息中心对各事业部、各单位、各流程进行调研立项，形成开发文档并由公司高层领导仲裁、审核通过；根据公司业务需要、管理需要进行开发、培训和实施；为规范流程，强化管理，保障系统数据真实、准确，运行稳定，制订相关考核细则并以财务方式予以考核兑现；形成规范的需求提交文档和审批流程，逐步完善系统的后续开发工作； 对于公司各单位的开发项目由公司信息中心形成项目小组，并由信息中心指定具备富有项目开发工作经验并熟知公司管理制度的员工担任项目负责人。 项目小组编制项目实施计划，内容包括项目的目标、时间表、项目所需人员及职责划分。 项目负责人在项目实施过程中每月向公司信息中心负责人呈报项目进展情况，包括已完成的内容、当前进度与项目实施计划的比较、存在的有可能影响进度的问题、人员及资金的使用情况。 在项目实施过程中，由需求单位按照标准需求提交文档或软件外包商提出设计变更。信息中心和业务部门负责人对需求变更和设计变更签字确认。项目负责人记录并保管相关文档。4.20.1.5.3 项目立项 控制目标 确保不同级别的项目立项符合相关审批权限要求，确保项目可行、资金使用合理 流程相关会计科目 不适用 流程主要风险 项目不可行或缺乏明确的目标和计划 流程描述 覆盖全公司或涉及分公司、分公司下属单位的应用系统由公司信息中心和相关业务部门提出项目申请。公司信息化管理领导小组负责审批立项。 项目申请包括需求提交文档、领导审批意见、信息中心回复意见和项目时间计划。4.20.1.5.4 分析和设计 控制目标 确保开发项目满足业务需要 流程相关会计科目 不适用 流程主要风险 程序开发的设计不符合业务需求 流程描述 各单位向项目小组提交需求文档，内容包括系统模块、菜单、原功能、新增或修改内容、领导审核意见、信息中心回复意见等， 外包商和项目小组共同对软硬件环境进行分析。4.20.1.5.5 外包商的选择 控制目标 确保项目中软件、硬件和服务质优、价廉 流程相关会计科目 不适用 流程主要风险 外包商选择不当，造成系统软、硬件和服务不满足需求或性价比低 流程描述 外包商的选择采用招标和询价的方式，招标或询价对象由信息中心推荐，并报监管部门领导批准。4.20.1.5.6 测试和验收 控制目标 确保项目满足业务需求，质量达到设计要求 流程相关会计科目 不适用 流程主要风险 项目不能满足业务需求、质量及安全要求 流程描述 测试人员从项目小组中产生，完成测试后向项目小组负责人以书面文档呈报测试结果，项目小组负责人向信息中心负责人汇报测试情况，经领导审核后向系统开放升级补丁，并通知维护人员、实施人员进行系统升级或补丁更新。4.20.1.5.7 数据转换 控制目标 确保公司数据资源利用的最大化 流程相关会计科目 不适用 流程主要风险 公司原有数据不能被新开发的系统识别、使用 流程描述 外包商按照设计方案中的计划和步骤，将原有数据转换移植到新系统，开发项目小组负责人负责检查数据的完整性、一致性、准确性、完全性、可读取性、存在性以及与其他系统数据接口的功能，并签字确认、保存相关文档。4.20.1.5.8 程序正式投运 控制目标 确保系统按照规定转入正式运行并开始正常运转 流程相关会计科目 不适用 流程主要风险 正式投运过程没有进行有效的管理和控制 流程描述 项目小组将系统正式投运情况通知所有系统操作者，并由项目小组和外包商共同安排专人解决系统正式投运过程中用户提出的问题。 项目小组对正式投运的系统运行情况至少进行3个月的跟踪记录，对对存在的问题汇总并作出书面报告，经项目负责人签字后，正式提交给外包商并要求外包商按照合同条框解决问题。4.20.1.5.9 技术文档及培训 控制目标 保留完整、可用的技术文档，确保用户熟练使用新系统 流程相关会计科目 不适用 流程主要风险 技术文档不完整、不准确 用户不能熟练使用新系统 流程描述 根据各单位的培训需求由项目小组安排培训讲师不定期对系统操作人员组织培训或现场指导。项目小组保留存档培训过程中的培训记录、培训课件及培训收效反馈信息。4.20.2 程序变更4.20.2.1 范围 对公司现有信息技术领域中不发生重大改变的程序变更的整个生命周期4.20.2.2 控制目标 确保程序变更的全部过程处于严格的管理和监控中4.20.2.3 流程相关会计科目 不适用4.20.2.4 流程主要风险 程序变更项目管理混乱，以致不能按照计划如期完成及保证质量 变更项目未经审批或审批流程不正确 变更后系统的功能达不到业务需求或出现新的问题 程序的移入造成系统不能正常工作 变更没有被有效的管理和控制，影响应用系统的安全性能和稳定运行 技术文档没有相应更新 用户不能熟练使用新系统4.20.2.5 流程描述4.20.2.5.1 总体管理 控制目标 确保程序变更的全过程处于严格的管理和监控中 流程相关会计科目 不适用 流程主要风险 程序变更项目管理混乱，以致不能按照计划如期完成及保证质量 流程描述 对于全公司或涉及分公司、分公司下属单位的变更项目由公司信息中心和相关业务部门提出变更项目申请并形成变更项目小组。公司信息化管理领导小组负责审批立项。并由信息中心指定具备富有项目开发工作经验并熟知公司管理制度的员工担任变更项目负责人。 变更项目小组编制项目实施计划，内容包括变更项目的目标、时间表、项目所需人员及职责划分。 变更项目负责人在项目实施过程中每月向公司信息中心负责人呈报项目进展情况，包括已完成的内容、当前进度与项目实施计划的比较、存在的有可能影响进度的问题、人员及资金的使用情况。 在项目实施过程中，由需求单位按照标准需求提交文档或软件外包商、个人提出设计变更。信息中心和业务部门负责人对需求变更和设计变更签字确认。项目负责人记录并保管相关文档。 变更项目中涉及的所有软硬件升级、打补丁的工作在测试环境中进行。项目负责人对此项工作测试并做出书面报告。经信息中心和业务部门负责人对测试报告签字确认后，此工作方可在生产环境中进行。项目负责人记录和保存有关的文档，存期 2 年以上。 4.20.2.5.2 变更请求的说明、批准及跟踪 控制目标 确保变更项目申请的审批符合公司的制度 变更的设计方案与用户需求相符 流程相关会计科目 不适用 流程主要风险 变更项目未经审批或审批流程不正确 业务部门与外包商对需求和项目设计理解有差异 流程描述 各单位业务部门提交需求文档，内容可包括目标、系统模块及菜单、功能需求、新增功能，部门负责人对需求提交签字确认，事业部领导及信息化工作监管部门领导给予审批意见，信息中心作出回复意见。 公司所属各单位级程序变更，由信息中心和相关业务部门提出项目申请，经公司信息化管理领导小组审批。 外包商和项目小组共同对软硬件环境进行分析，并根据业务需求制定设计方案。设计方案经过项目小组全体成员讨论，并由信息中心和业务部门负责人签字确认。 4.20.2.5.3 外包商的选择 控制目标 确保项目中软件、硬件和服务质优、价廉 流程相关会计科目 不适用 流程主要风险 外包商选择不当，造成系统软、硬件和服务不满足需求或性价比低 流程描述 外包商的选择采用招标和询价的方式，招标或询价对象由信息中心推荐，并报监管部门领导批准。4.20.2.5.4 测试及质量保证 控制目标 确保程序变更满足业务部门的需求 流程相关会计科目 不适用 流程主要风险 变更后系统的功能达不到业务需求或出现新的问题 流程描述 涉及关键财务数据的系统（如用友U8财务软件系统统），具备开发、测试和运行的软硬件环境，其余的系统至少具备开发、测试和运行的软件环境。对于公司和公司所属各单位两个级别的变更项目，分别由公司信息中心负责进行系统的测试工作并做好测试记录，包括测试项目、日期、补丁详情、功能详情、测试人员等。测试小组从项目小组成员中产生。 4.20.2.5.5 移入运行的系统 控制目标 确保程序移入运行的系统后，系统能正常工作 流程相关会计科目 不适用 流程主要风险 程序的移入造成系统不能正常工作 流程描述 外包商按照设计方案中的计划和步骤将测试过的程序变更部分移入运行的系统。移入工作如果出现问题，需要将系统恢复到移入前的情况。项目负责人监督外包商的工作，并记录和保存相关文档，存期 2 年以上。 外包商进行移入工作时，在原系统中所需要的权限由应用系统管理员分配，移入工作完成后由应用系统管理员收回相应权限。项目负责人监督上述工作内容，并记录和保存相关文档，存期 2 年以上。 4.20.2.5.6 维护中的变更管理 控制目标 确保在维护工作中进行的程序变更被有效的管理和控制 流程相关会计科目 不适用 流程主要风险 变更后系统的功能达不到业务需求或出现新的问题 流程描述 维护中有变更需求发生时，业务部门向信息中心提交变更申请表，包括变更的原因、目标和配合的人员安排等。业务部门负责人在变更申请表中签字，确认变更需求的内容。 信息中心负责人对维护中的程序变更批准，并在变更申请表中签字确认后，应用系统管理员按照维护合同或维护承诺要求外包商在开发环境中进行变更的开发。 在测试环境中对变更进行测试，测试成功后由信息中心负责人核实测试情况，在变更申请表中签字确认，批准把测试后的程序移入运行中系统。 程序变更移入运行中的系统后，业务部门配合人员和应用系统管理员对系统进行检查，并在变更申请表中签字确认。变更申请表由信息中心专人保管。 需要进行紧急变更时，由业务部门提交经负责人签字确认的变更申请表，并在表中说明需进行紧急变更的原因。信息中心负责人在申请表中签字批准后，由应用系统管理员监督外包商直接在运行中的系统上实施。进行紧急变更后，应用系统管理员要对系统进行事后测试，并记录和保存有关文档，存期 2 年以上。4.20.2.5.7 技术文档及培训 控制目标 确保技术文档及时更新供备查，用户熟练使用更改后的系统 流程相关会计科目 不适用 流程主要风险 技术文档没有相应更新 用户不能熟练使用新系统 流程描述 程序变更后，项目负责人对所有相关的技术文档和用户操作手册进行相应的修改和更正。 程序变更后，使用流程或界面未发生重大变化时，项目小组在OA办公系统对变更的情况进行说明。 程序变更后，使用流程或界面发生重大变化时，项目小组安排培训讲师对用户重新进行培训。项目负责人记录培训情况，并保存相关文档，存期 2 年以上。 4.20.3 程序和数据的访问4.20.3.1 范围 安全组织和管理、安全策略和流程、应用系统安全管理、数据安全管理、操作系统安全管理、物理安全管理4.20.3.2 控制目标 确保公司程序和数据安全工作管理有序，确保公司程序和数据的安全4.20.3.3 流程相关会计科目 不适用4.20.3.4 流程主要风险 制度制订程序不符合公司的规定 制度没有根据情况的变化而及时调整 制度没有被准确的理解 操作人员缺乏足够的技能和文档来执行职责 公司程序和数据安全管理工作分工不明，责任落实不到位 系统管理权被不当使用 操作权限分配不当 账户的口令保护过弱 没有对管理工作进行定期检查 对数据库中数据的直接访问、操作没有被有效的管理和控制 病毒攻击造成操作系统瘫痪 服务器操作系统管理员权限被不当使用 缺乏网络维护必需的资料 广域网的运行状态没有被监控 远程访问没有被有效的控制 没有有效的使用网络安全设备 没有对网络变更进行有效的控制和管理 网络互联带来的病毒攻击和非法入侵的风险 没有对进入机房的人员进行管理 没有对保存有重要数据的介质进行管理4.20.3.5 流程描述4.20.3.5.1 政策和程序 控制目标 确保安全管理制度完善、合规 流程相关会计科目 不适用 流程主要风险 制度制订程序不符合公司的规定 制度没有根据情况的变化而及时调整 制度没有被准确的理解 流程描述 公司信息中心按照“湖南华联瓷业股份有限公司信息化管理制度”的规定和流程指导全公司的计算机系统的安全管理工作，明确公司信息中心及系统安全管理岗位的职责，规范信息安全管理工作的方法。 每年公司信息中心指定专人对现有的规章制度和技术规范进行审阅，根据上一年度发现的规章制度和技术规范中存在的问题和计算机系统的现状，提出修订建议。文档管理员记录审阅情况并保存有关文档，存期 2 年以上。 公司信息中心在OA办公系统中公布其现有的规章制度和技术规范，同时指定每个规章制度和技术规范的解释者。解释者负责答疑，并记录规章制度和技术规范中存在的问题，此文档由文档管理员保存，存期 2 年以上。 4.20.3.5.2 组织和管理 控制目标 确保公司程序和数据安全工作管理有序 流程相关会计科目 不适用 流程主要风险 公司程序和数据安全管理工作分工不明，责任落实不到位 操作人员缺乏足够的技能和支持文档来执行职责 流程描述 人力资源部建立教育和培训流程，信息中心协助其完成培训，内容包括信息系统安全相关的政策和流程、安全管理责任等方面。 公司信息中心制定相关制度，确定应用系统管理员、操作系统管理员、数据库管理员的职责与技术规范，作为系统维护和安全管理的具体操作标准。 4.20.3.5.3 应用系统安全管理 控制目标 确保应用系统的权限被有效的管理、控制 流程相关会计科目 不适用 流程主要风险 应用系统管理权被不当使用 操作权限分配不当 账户的口令保护过弱 没有对管理工作进行定期检查 流程描述 应用系统管理权由系统管理员管理、使用，应用系统管理员在操作日志中记录其使用情况。 应用系统管理员按照经业务部门负责人批准的用户权限分配表赋予操作权限，并保证一人仅有一个账户。 用户权限的申请单需由其主管提出并经其部门负责人书面批准后交由应用系统管理员办理。操作权限的分配必须和用户的职责、角色一致。应用系统管理员保存所有的用户操作权限申请单。 （请参见华联集团信息化权限申请单） 用户工作职责变化时，业务部门提出权限修改的请求，经其负责人签字确认后，应用系统管理员调整此用户的操作权限。应用系统管理员维护系统权限分配表，记录对系统中的账号的操作（添加、修改、删除等），每次有账号变更时更新此表。应用系统管理员根据用户的离职通知单，删除此用户在系统中的账户或删除其账户在系统中所有权限。 应用系统管理员需更改应用系统安全设定或参数时（例如：口令策略)，必须提出申请并经信息中心负责人签字确认。 信息中心负责人每季度对应用系统管理权使用情况、用户操作权限分配和应用系统安全设定或参数的执行情况进行检查，并纠正违规操作。应用系统管理员记录和保存有关文档，存期 2 年以上。 4.20.3.5.4 数据安全管理 控制目标 确保数据被妥善的保存和管理 流程相关会计科目 不适用 流程主要风险 对数据库中数据的直接访问、操作没有被有效的管理和控制 流程描述 在系统设计时，要求应用系统中的任何用户不能对数据直接操作，涉密的数据必须经过加密后方可从系统中导出。 最终用户不允许有直接访问数据库的权限。数据库管理员每季度对直接访问数据库的情况进行检查，查看是否存在有未经授权的直接访问数据库的情况存在。发现异常后报告信息中心负责人，并且记录、保存相关文档，存期 2 年以上。 数据库管理权的使用，须经过信息中心负责人的批准。 数据库中的所有账号应按要求设置和更新密码。 数据库管理员需更改数据库安全设定或参数时(例如：口令策略），必须提出申请并经信息中心负责人签字确认。 信息中心负责人每季度对数据库管理权使用情况、操作权限分配和数据库安全设定或参数的执行情况进行检查，并纠正违规操作。数据库管理员记录和保存有关文档，存期 2 年以上。 4.20.3.5.5 操作系统安全管理 控制目标 降低计算机病毒造成的风险和数据损坏 服务器操作系统的账户被有效的管理和控制 流程相关会计科目 不适用 流程主要风险 病毒攻击造成操作系统瘫痪 服务器操作系统管理员权限被不当使用 流程描述 公司和公司所属各单位信息中心指定专人负责本单位所有 Windows 操作系统计算机防病毒软件的安装、更新和升级。目前公司使用的是360 杀毒v3.0正式版和360安全卫士V8.3正式版，服务器端病毒定义的升级由公司信息中心安全管理员采用手工方式与360 的发布同步，客户端病毒定义的升级在网络与服务器连通时自动进行。 服务器中没有未授权的登录账号，确需保留的系统账号应有明确的管理人员。操作系统中账号应按要求设置和更新密码。 服务器操作系统管理权由操作系统管理员管理、使用，操作系统管理员在操作日志中记录其使用情况。 在正式运行中的系统的服务器中安装软件须经过信息中心负责人的批准，当安装定制开发的软件时，操作系统管理员在测试环境中安装、测试后，再在此服务器中安装。软件安装的全过程，由操作系统管理员记录和保存相关文档，存期 2 年以上。（参见信息系统运行维护管理办法） 操作系统管理员需更改操作系统安全设定或参数时(例如：口令策略），必须提出申请并经信息中心负责人签字确认。 信息中心负责人每季度对操作系统管理权的使用情况、操作权限分配和操作系统安全设定或参数的执行情况进行检查，并纠正违规操作。操作系统管理员记录和保存有关文档，存期 2 年以上。 4.20.3.5.6 网络安全管理 控制目标 确保计算机网络系统正常运行 流程相关会计科目 不适用 流程主要风险 缺乏网络维护必需的资料 远程访问没有被有效的控制 没有有效的使用网络安全设备 没有对网络变更进行有效的控制和管理 网络互联带来的病毒攻击和非法入侵的风险 流程描述 公司信息中心对 IP 地址管理有统一、明确的规划，IP 地址划分清晰明了。网络设计应有正式的文档，并经过公司信息中心监管领导的审批。 公司信息中心建立日常网络维护技术文档，包括设备维护说明、故障解决的流程等。 网络管理员对网络设备的配置文件进行归档、备份和保管。 网络管理员记录网络故障的处理情况，并保存有关文档，存期 2 年以上。 网络管理员保管网络变更的说明文档。 网络管理员对公司广域网的网络设备、网络线路和网络流量的工作状态进行监控，以便及时发现公司广域网的故障，发现异常时向信息中心负责人报告，记录异常情况及处理结果，并保存相关文档，存期 2 年以上。 公司信息中心对远程登录用户建立用户访问控制系统，系统自动记录其使用情况。网络管理员每月对系统的记录进行检查、核对，并记录和保存相关文档，存期 2 年以上。 网络安全设备如防火墙、入侵检测装置的配置规则由安全管理员制定并形成文档，安全管理员每年对网络安全设备（如防火墙）的使用情况进行检查。根据检查情况，对网络安全设备进行升级、更新或优化配置，以保证网络安全设备处于最佳工作状态, 并更新相应的文档。如设备出现异常，安全管理员应立即向信息中心负责人报告，并记录和保存相应的操作文档，存期 2 年以上。 安全管理员每月收集和分析网络安全设备日志。对网络安全设备产生的报告和记录及时统计、分析和处理。安全管理员负责保存上述日志、记录（存期 3个月以上）以及分析、处理的有关文档（存期 2 年以上）。 网络管理员备份变更前的设备配置文件，向信息中心负责人提出网络变更的申请。网络变更的申请必须有相关负责人的签字并由网络管理员妥善保管备查。 内部网络的使用人员不准通过 Modem 拨号连接 Internet 或其他网络。4.20.3.5.7 物理安全管理 控制目标 实施物理安全控制以支持公司信息完整的目标，确保计算机系统设备的安全 流程相关会计科目 不适用 流程主要风险 没有对进入机房的人员进行管理 没有对保存有重要数据的介质进行管理 流程描述 信息中心指定专人管理机房和配线间。非信息中心人员进入机房时，应经过信息中心负责人许可，并由机房管理员在机房出入登记表中登记。外单位工作人员、参观者，应在信息中心员工的陪同下在机房内进行工作、参观。 公司各部门指定专人在上锁的文件柜中保管重要数据，包括纸质文件和各种移动存储设备。该人负责保管文件柜的钥匙，并对数据的查阅和使用进行记录。数据的查阅和使用必须经过其所有者的允许。各部门将数据保管人名单交信息中心备案。文档管理员记录和保存有关文档，存期 2 年以上。4.20.4 计算机运行4.20.4.1 范围 政策和程序、组织和管理、计划任务和批处理的管理、数据备份与恢复、从操作失败中恢复、计算机运行维护管理、生产环境管理4.20.4.2 控制目标 制度与流程已经完善地定义、记录、维护并传达给关键的职能部门；关键职能部门内的角色与职责已经定义并及时更新，而且为操作职员所理解；操作人员具有足够的技能和支持文档以执行职责；角色与责任符合权责分离原则4.20.4.3 流程相关会计科目 不适用4.20.4.4 流程主要风险 制度制订程序不符合公司的规定 制度没有根据情况的变化而及时调整 制度没有被准确的理解 计算机运行管理工作职责不明确 操作人员缺乏足够的技能和文档来执行职责 计划任务和批处理不能准时或恰当的执行 没有对应用系统的备份进行有效的管理和控制，数据丢失带来损失 没有对数据的恢复进行有效的管理和控制 缺乏适当的流程以保证在运行失败发生后，可以及时地恢复 维护工作效率低下、管理混乱，不能保障应用系统的安全、稳定的运行 机房环境异常造成系统不能正常使用 没有应急预案处理突发意外事件 供电故障造成系统不能正常使用4.20.4.5 流程描述4.20.4.5.1 政策和程序 控制目标 确保关于计算机运行管理的制度完善、合规 流程相关会计科目 不适用 流程主要风险 制度制订程序不符合公司的规定 制度没有根据情况的变化而及时调整 制度没有被准确的理解 流程描述 公司信息中心按照“湖南华联瓷业股份有限公司信息管理制度”的规定和流程指导全公司的信息系统运行维护的管理工作，规范信息系统运行维护管理工作的方法。 每年公司信息中心指定专人对现有的规章制度和技术规范进行审阅，根据上一年度发现的规章制度和技术规范中存在的问题和信息系统的现状，提出修订建议。文档管理员记录审阅情况并保存有关文档，存期 2 年以上。 公司信息中心在公司内部网站中公布其现有的规章制度和技术规范，同时指定每个规章制度和技术规范的解释者。解释者负责答疑，并记录规章制度和技术规范中存在的问题。此文档由部门文档管理员保存，存期 2 年以上。 4.20.4.5.2 组织和管理 控制目标 确保计算机运行管理有序 流程相关会计科目 不适用 流程主要风险 计算机运行管理工作职责不明确 操作人员缺乏足够的技能和文档来执行职责 流程描述 信息中心负责人按照职责的不相容性，对系统运行维护管理的每个工作岗位指定负责人，并将此岗位的分配情况通过公司OA办公系统公布。 信息中心每年不定期地针对某一项目或集中举办系统维护人员或最终用户等参与的培训。 4.20.4.5.3 计划任务和批处理 控制目标 确保计划任务和批处理被有效的监控、管理和执行 流程相关会计科目 不适用 流程主要风险 计划任务和批处理不能准时或恰当的执行 流程描述 计划任务和批处理由系统按照应用系统管理员配置中指定的时间自动执行。应用系统管理员执行一致的流程并保存适当的文档以供日后检查和参考，系统中的计划任务和批处理，应有详细的文档说明，包括但不限于计划任务或批处理的目标、功能、执行配置、运行结果检查及记录。 计划任务和批处理的维护和更新流程，参见“程序变更”中“维护中的变更管理”。 计划任务和批处理在执行中首先对数据的完整性进行检查，在数据不完备的情况下，不继续执行，并产生报警。应用系统管理员记录执行情况并保存文档，存期 2 年以上。 应用系统管理员根据计划任务的发生频率，定期检查并记录计划任务和批处理的运行结果，相关记录需有该操作人员的签字。 4.20.4.5.4 数据备份与恢复 控制目标 确保对应用系统中的数据进行备份，并妥善管理备份，可随时按需求进行恢复，减少数据丢失带来的损失 流程相关会计科目 不适用 流程主要风险 没有对应用系统的备份进行有效的管理和控制 没有对数据的恢复进行有效的管理和控制 流程描述 信息中心制订数据备份与恢复的技术规范，其中包括备份的对象、备份的标识管理、备份的保管方法、备份的存放场所管理、备份的操作流程以及备份的文档管理工作。备份策略如需变更，由数据库管理员提出并且经信息中心负责人批准，保存修改记录，存期 2 年以上。 数据库管理员对所有应用系统的备份策略进行分析，制定备份工作表，表中规定了每个应用系统备份的内容、频率、方式和策略，并由信息中心负责人签字确认。（参见数据备份与恢复管理办法） 数据库管理员按照数据