应用系统IT一般性控制流程修订对照表表格格式

1、11.4应用系统IT 一般性控制流程”修订对照表原流程现修订为备注一.业务目标1.3保证终端用户计算结果的完整 性、准确性和有效性。删除二、业务风险1.3密码设置强度不够，造成系统泄 密或受到非法访冋。1.3密码设置强度不够或更改不及时，造成系统泄密或受到非法访冋。修订1.8制度不健全，导致信息系统应 用管理不规范、运维不及时。修订1.8未经审核，在财务报表生成过程 中擅自使用终端用户计算，导致损 失。删除1.9终端用户计算说明文档不完整 或未填写，备份管理不完善，导致使 用有误。删除原流程现修订为备注三.业务流程步骤与控制点1.1总部各部门、分（子）公司依据中国石油化工股份有限公司管理 信息

2、系统应用管理办法（试行）（以 下简称信息系统应用管理办法） 及相关应用系统管理办法实施程序 和数据访问管理，包括用户权限管 理、用户帐号及访问管理、密码管理、 系统管理员、应用管理员、安全管理 员（主要职责是承担对系统管理员、 应用管理员的监管，负责审查系统管 理员、应用管理员在系统中的操作） 管理、第三方人员管理、系统日志管 理等。1.1总部各部门、分（子）公司依 据中国石油化工股份有限公司管 理信息系统应用管理办法（试行）（以下简称信息系统应用管理办 法）及相关应用系统管理办法实 施程序和数据访问管理，包括用户 权限管理、用户帐号及访问管理、 密码管理、系统管理员、应用管理 员、安全管理员

3、（主要职责是承担 对系统管理员、应用管理员的监管， 负责审查系统管理员、应用管理员 在系统中的操作）管理、第三方人 员管理等。修订1.2权限申请人按照用户权限相关 管理办法填写用户权限审批表，经相 关部门负责人审批后，由应用管理员 在系统中新增或变更用户权限。新进员工或岗位变动人员按 照用户权限相关管理办法填写用户 权限审批表，经相关部门负责人审 批后，由应用管理员在系统中新增、 变更或锁定用户权限。修订1.2.2对于数据库用户权限，相关人员填写用户权限审批表，经相关 部门负责人审批后，由系统管理员新增原流程现修订为备注在数据库中新增、变更或锁定用户 权限。1.4.1 操作人员应按照密码管理相

4、 关规定，遵循系统密码的长度至少为 6位，复杂度为数字与字符的组合， 二个月更改一次密码等密码规则设 置密码。应用管理员对操作人员密码 定期更换记录进行检查1.4.1 操作人员应按照密码管理 相关规定，遵循系统密码的长度至 少为6位，复杂度为数字与字符的 组合，二个月更改一次密码等密码 规则设置密码，不得使用最近使用 过的密码。应用管理员对操作人员 密码定期更换记录进行检查。修订1.7系统日志管理1.7.1 系统管理员、应用管理员至 少每月对操作系统、数据库、应用系 统的日志进行备份。删除1.7.2 系统管理员至少每月对操作 系统日志及直接访问数据库的操作 日志进行审核，发现异常情况，及时 上

5、报信息管理部门/相关部门负责 人，同时查明原因，提出处理意见， 记录处理情况。删除原流程现修订为备注1.7.3 应用管理员至少每月提供应 用系统涉及重要财务数据的操作日 志或记录，报相关部门负责人审核确 认。删除2.2总部统一建设的应用系统，系统 变更必须填写系统变更审批表上报 信息系统官理部和总部相关部门， 由 总部统一组织升级、测试和变更，各 分（子）公司不得自行变更。各分（子） 公司自建系统的变更，必须经过分（子）公司信息管理部门和相关部门 负责人审批。2.2总部统一建设的应用系统，系 统变更必须填写系统变更审批表上 报信息系统官理部和总部相关部 门，由总部统一组织升级、测试和 变更，各

6、分（子）公司不得自行变 更。各分（子）公司自建系统或客 户化幵发的变更，必须经过分（子） 公司信息管理部门和相关部门负责 人审批。修订4.1总部各部门、分（子）公司依据信息系统应用管理办法及相关应 用系统管理办法实施系统运行管理， 包括系统接口管理、系统备份及恢 复、系统监控、维护及故障处理等。4.1总部各部门、分（子）公司依 据信息系统应用管理办法及相 关应用系统管理办法实施系统运行 管理，包括系统备份及恢复、系统 监控、维护及故障处理等。修订4.2系统接口管理4.2.1系统接口操作权限应纳入到该系统的权限控制体系中，系统接口删除原流程现修订为备注操作人员须填写用户权限审批表，经 相关部门负

7、责人审批后，由应用管理 员分配该权限。422 系统接口使用部门负责维护 接口的取数逻辑定义或数据导入模 板，并经相关部门负责人审核确认。删除4.2.3系统接口操作人员/应用管理员对系统接口运行结果或日志进 行检查，确认接口运行是否成功。删除4.2.3系统管理员、应用管理员至少每月对操作系统、数据库、应用 系统的日志进行备份。新增4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接 访问数据库的操作日志至少每月进 行 次审核，发现异常情况，及时 上报信息管理部门/相关部门负责 人，同时查明原因，提出处理意见， 记录处理情况。新增原流程现修订为备注442 对系统运行出现的故障，相 关人员

8、需填报问题处理记录单，详细 记录冋题处理情况，其中包括故障发 生时间、故障情况、解决办法、处理 结果及问题跟踪记录等，并签字确 认。433 对系统运行出现的故障，相 关人员需填报问题处理记录单，详 细记录问题处理情况，其中包括故 障发生时间、故障情况、解决办法、 处理结果及问题跟踪记录等，并审_ 核确认。修订4.4炼化企业使用 MES系统进行主物料的日平衡、旬确认、月结 算，公用工程进行旬月平衡，实现 生产监控管理，满足生产调度的要 求，为ERP和生产营运指挥等系统 提供数据支持；油品销售企业使用 加油卡系统对所属加油站数据上传 情况进行跟踪，督促加油站及时通 讯，确保数据及时上送。新增5 终端用户计算5.1总部各部门、分（子）公司依据信息系统应用管理办法，制定终 端用户计算应用管理规定，主要包括 终端用户计算用户权限、 变更、备份 等内容。删除原流程现修订为备注5.2终端用户计算启用前，相关部门 必须对其取数逻辑和计算公式等进 行测试，经本部门负责人审核签字， 并提供详细的使用说明文档。删除5.3终端用户计算的变更，必须经过 测试和部