信息管理与信息安全管理程序

. . .. . .. .. .. ....目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。术语和定义信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。ERP企业资源规划MES制造执行系统LIMS实验室信息管理系统IT信息技术职责信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。信息中心是公司信息化工作的归口管理部门，主要职责：a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促；b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施；c)负责统一规划、组织、整合和管理公司信息资源系统，为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口；d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算机设备检维修管理；e)负责ERP等支持中心日常管理工作；f)负责通信管理。发展项目处负责将信息化项目列入公司投资建议计划，提交信息化工作领导小组讨论通过后，上报总部。技术质量处负责对列入科技开发计划的信息管理项目按《科技开发控制程序》执行。财务部门负责信息化、通信系统维护专项费核算、管理。机动处负责对计算机、网络、机房等基础设施安排检维修计划并组织实施。教培中心协助组织进行员工的信息化应用和现代信息技术基本知识的培训。人力资源处负责信息系统关键岗位的设定和管理。企业管理处负责组织对各部门(单位)的信息化工作进行专项考核；负责审定公司各项信息化管理规章制度。物资装备中心负责信息技术项目设备、材料和计算机设备配件、耗材的物资供应。总经理(外事)办公室负责公司信息门户和信息披露的管理，负责公司计算机及配件的维修管理。宣传处负责公司宣传思想网的日常管理，负责对外宣传报道稿件的审核。党委办公室负责公司党群工作信息系统的日常管理。计量管理中心、质量检验中心、安全环保处负责涉及产品质量、环境质量和测量的相关技术程序[包括测试程序、方法、（产品和测量方法）标准等相关文件]、软件、记录和标识的所有信息管理。情报档案室负责公司内部归档档案信息管理、外部文献信息、生产技术、经营课题调研信息等信息资源的采集、管理。各部门(单位)职责：a)负责提出信息资源需求，及时录入和维护有关数据，有效利用和管理信息资源；负责公司信息门户中本部门(单位)信息的发布及维护；b)负责本部门(单位)计算机及通讯设备、网络系统和信息系统的安全运行管理；c)提出本部门(单位)的信息技术项目立项和系统故障维修的申请报告，组织信息技术项目在本部门(单位)的实施、推广和应用,负责及时录入和维护有关数据，协调处理有关业务问题；d)负责建立和完善技术档案和基础技术资料。工作程序工作机构公司成立由总经理为组长、分管副总经理为副组长、有关部门(单位)主要负责人为组员的信息化工作领导小组，其主要职责见4.1。公司设立由信息中心及有关部门(单位)关键用户组成的ERP等系统支持中心，其主要职责见4.2。信息化建设管理信息化计划在总部信息化建设规划指导下，信息中心编制公司信息建设专业发展计划，征求各部门(单位)意见并组织专家组进行评审，报信息化工作领导小组审核，经公司总经理批准后，报总部信息系统管理部备案，并纳入公司生产发展总体规划，在执行过程中滚动调整和完善。各部门(单位)根据公司生产发展总体规划和生产经营管理的需要，每年6月份前向信息中心申报下一年度的信息化项目建议书，信息中心组织审核并汇总编制公司年度信息技术项目建议计划，报发展项目处纳入公司年度投资建议计划统筹平衡，经公司信息化工作领导小组讨论批准后，由发展项目处上报总部，由信息中心报信息系统管理部备案。信息中心负责编制年度公司信息系统运行维护费用预算，经财务部门综合平衡后，报公司全面预算管理委员会审定后执行。项目立项信息化项目的立项权限、限额划分及相关工作的管理，按《固定资产投资控制程序》和内部控制的有关规定执行。信息化项目申请立项，必须符合公司发展总体规划中的目标和任务，依据公司信息技术项目年度建议计划，进行信息技术项目立项工作。申请股份公司立项的信息技术项目按《金陵石化信息技术项目管理规定》执行。申请公司立项的信息技术项目按《固定资产投资控制程序》和《科技开发控制程序》执行。信息中心按照《固定资产投资控制程序》、《科技开发控制程序》的规定，组织信息技术项目的招投标。凡属信息技术项目，须经信息中心审核，未经信息化工作领导小组批准，不予立项，不予拨付资金，项目不得实施。项目实施项目责任单位按照《金陵石化信息技术项目管理规定》的要求，参与制定项目实施计划，提出项目实施计划要求和建设质量要求；配合系统开发，负责项目进度和质量管理，组织人员培训、试运行、单轨运行。制定配套的系统运行管理制度、提出项目竣工验收申请并进行其它的相关工作。信息中心组织项目实施例会、中间交接、系统测试、项目竣工验收等工作，并协助项目责任单位完成总部组织的项目的后评价、制定配套的系统运行管理制度。物资装备中心负责组织进行信息技术项目建设的设备及材料供应，信息中心按《一般物资采购程序》执行。系统运行维护信息系统的运行维护包括对计算机、网络、数据库、应用系统、机房及附属设备的运行维护。系统应用责任部门(单位)要按照《金陵石化信息技术项目管理规定》、《金陵石化信息系统安全管理规定》和《金陵石化信息基础设施运行维护管理规定》的要求做好系统应用维护，同时加强对信息系统各类用户及第三方技术支持、服务人员的管理，做好风险防范管理，确保系统安全运行。信息中心负责管理信息系统的基础设施如计算机、网络、数据库系统及机房的运行和维护管理。为各部门(单位)信息应用系统的正常运行提供技术支持和服务。各部门(单位)严格执行《金陵石化信息基础设施运行维护管理规定》，用好管好本部门(单位)的计算机网络系统和计算机设备，建立和更新本部门(单位)计算机设备台帐，并报信息中心备案。信息中心依据《金陵石化信息基础设施运行维护管理规定》进行计算机设备检维修管理。各部门(单位)的计算机设备发生故障，需经本部门(单位)处理审核后报信息中心，由信息中心组织进行检维修。信息中心无法维修的，各部门(单位)须填报“计算机维修单”，由总经理(外事)办公室审核确认后，方能送外修理，将实际发生的检维修费用报财务进行结算。标准代码管理执行《中国石油化工集团公司信息标准代码管理办法》。对于总部统一组织实施的信息技术应用系统，当各部门(单位)需要增加标准代码时，向信息中心报“标准代码申请单”，信息中心审核后报总部，各部门(单位)将总部批准的标准代码维护到系统中。计算机软件产品购置、测试、评估、开发应用、升级、保存管理执行《金陵石化信息系统应用管理规定》。信息中心负责对因特网和其他对外出口的安全管理和监控，动态监控信息系统安全状况，及时组织处理突发的安全故障，保障信息系统正常运行。对于总部统一组织实施的信息技术应用系统，凡不能自行解决的运行维护问题，由信息中心将各部门(单位)提交的信息系统问题上报总部主管部门，待回复后，将问题解决方案交问题提报部门(单位)执行。各部门(单位)作为应用系统的业务管理者和使用者，负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全的运行和管理工作。信息中心负责每月8日前组织召开ERP系统运行月度例会，协调解决有关问题，编写ERP系统运行维护月度报告，上报股份公司信息系统管理部。信息资源管理信息资源分类与管理公司信息按下属方式进行分类：a)按来源划分。包括生产经营管理方面的内部信息和需从外部购入的信息；b)按载体划分。包括电子载体信息和纸质载体信息。其中电子载体信息主要包括由ERP、MES、LIMS、实时数据库等基础信息系统及专业信息系统采集（或形成）并存储的信息、使用计算机编制并存储的信息以及从外部获得各类有关的电子类信息等。纸质载体信息包括各类纸质的文件记录、资料等。外部信息需求的识别和获取专业管理信息由各部门(单位)按“谁主管，谁负责”的原则，通过网络、专业协会、总部、政府部门等途径对外部信息进行识别和获取。各部门（单位）对需要单位间共享或购买的外部文献信息、生产技术、经营等课题调研信息，按公司《文献信息管理制度》、《信息调研管理制度》由情报档案室管理，其他所需外部信息按《中国石化信息资源管理办法》的要求形成相应的信息需求目录，并明确信息内容、信息提供频率和信息提供方式等，经本部门（单位）负责人签字确认后报情报档案室。情报档案室组织汇总各部门(单位)需要其他单位提供的信息和需外购的信息，编制内部信息需求和外购信息需求目录。各部门(单位)内部共享信息需求及外购信息需求内容经分管副总经理审核批准后实施。外购信息经批准后由情报档案室统一采购，购入后，由情报档案室分发或提供网址、密码等必要信息供需求各部门(单位)使用。内部信息的采集发布、传输利用各部门(单位)对于需要录入公司信息门户及信息系统的，应依据《中国石化信息分级及信息门户授权规则（试行）》及信息系统（如ERP、MES、LIMS等）管理的规定，及时采集和录入数据。各部门(单位)对录入的内部信息实施分级管理，情报档案室汇总各部门(单位)信息密级目录列表，作为信息资源管理和信息访问的基础；对于通过系统自动采集或转换的信息，须经主管部门(单位)审核确认。情报档案室及各部门(单位)应定期对信息采集发布工作进行检查评价。信息中心通过信息门户对各部门(单位)有关最终用户分别进行信息授权，确保信息准确送达和安全使用。各部门(单位)和各岗位按照信息授权接受并运用所需信息。涉密信息严禁公开发布，各部门(单位)对所发布数据的合法性、真实性、有效性负全面责任。内部归档档案信息按公司档案管理规定执行。信息披露公司总经理（外事）办公室为信息披露的归口部门，对外信息披露按照“谁主管，谁负责审核批准”的原则进行管理，未经审核或授权，各部门(单位)和各岗位一律不得对外披露相关信息。其中，对外宣传报道及外部宣传媒体的接待按《宣传思想工作管理程序》执行。信息评估与分析各部门(单位)对收集的信息（数据），应按照系统应用的目标要求进行评价和分析，为制定企业的方针目标和战略目标提供科学依据。信息中心在各部门(单位)利用电子图文、网络通讯、实时数据等方式进行数据收集、传递、分析时，提供相应的信息化技术手段和支持并不断进行改善。5,5IT一般性控制管理信息中心按内部控制手册要求建立并实施IT一般性控制管理,并会同相关各部门(单位)依据总部和公司关于IT一般性控制的要求，规范信息系统的建设、运行维护和应用管理等工作。信息中心按内部控制制度要求完成各项IT内控流程的自查测试工作底稿及自查报告并上报内控办公室。通信管理信息中心为全公司通讯归口管理部门，负责通讯设施系统的日常安装、维护、维修、拆迁工作，确保公司通讯畅通。具体执行《金陵石化通信管理规定》。信息安全管理信息中心根据《金陵石化信息技术风险评估管理规定》，结合自身生产经营管理的需要编写“信息系统风险评估报告”，并针对风险评估报告中提出的问题，制订公司“信息安全方案”，经分管副总经理审批后报信息系统管理部备案。信息中心依照《金陵石化信息系统安全管理规定》，组织实施公司信息安全管理，确定信息系统安全关键岗位，设立安全管理员，签订“信息系统安全责任书”。各部门(单位)及岗位不得安装与工作无关的软件，及时安装系统补丁，及时更新防病毒代码，及时进行数据备份。严禁传播病毒。发现设备损坏和数据丢失及时处理，信息中心提供必要的技术支持和服务。信息中心对因特网和其他对外出口的安全管理和监控负责，并动态监控信息系统安全状况，及时组织处理突发的安全故障，保障信息系统正常运行。5.8检查评价与改进企业管理处通过岗位责任制检查，组织对信息化工作检查，信息中心组织日常检查和专业管理检查，对各部门(单位)信息系统运行情况和信息管理工作进行检查与考核。检查结果纳入经济责任制考核。公司内控办公室按照内控要求定期组织对信息管理内控流程的执行情况进行检查与考核评价。信息中心结合日常管理、专业检查、内部审核等对本程序的适宜性、有效性进行评价，并采取相应措施实施持续改进。支持性文件《金陵石化信息化管理细则》《金陵石化信息系统安全管理规定》《金陵石化信息基础设施运行维护管理规定》《中国石化信息资源管理办法》中国石化办〔2011〕228号《金陵石化网络管理规定》《中国石化信息分级及信息门户授权规则（试行）》（石化股份信〔2006〕332号）《中国石油化工集团公司信息标准代码管理办法》《金陵石化信息系统应用管理规定》《金陵石化信息技术风险评估管理规定》《中国石化信息化项目验收管理办法》中国石化信〔2011〕150号《固定资产投资控制程序》《科技开发控制程序》《金陵石化信息技术项目管理规定》《金陵石化ERP系统管理规定》《金陵石化MES系统管理规定》《金陵石化商业秘密保护规定》金陵石化办〔2010〕15号《金陵石化通信管理规定》记录信息技术项目年度建议计划信息专业年度综合计划信息中心日常维修记录表可行性研究报告项目建议书批复可行性研究报告批复技术附件中交报告项目详细设计项目详细设计评审项目开工报告项目验收报告后评估报告中国石化信息化工作月报-金陵分公司中国石化金陵公司信息安全运维月报中国石化信息基础设施运行维护评价指标-金陵分公司项目申报投资计划卡金陵分公司信息系统用户管理申请表金陵分公司ERP系统角色维护申请表金陵分公司信息系统用户需求提报(传输请求申请)单ERP系统变更记录表金陵分公司客制化开发用户接收测试文档金陵分公司客制化开发功能设计说明书金陵分公司ERP批导入数据申请表金陵分公司信息系统后台作业调度申请表金陵供应商（客户）主数据申请表撤离备案申请表金陵分公司ERP月度例会纪要金陵分公司ERP系统月度运行和应用报告ERP系统补丁及软件升级申请表ERP系统日志MES系统问题提报单电脑维修及配件领用表用户终端接入申请审批表服务器台帐金陵分公司网络拓扑图IP地址分配表中国石化电子邮件服务申请表ERP相关管理员授权书IT一般性控制流程检查工作底稿计算机设备维护记录表系统备份、数据库维护表信息系统风险评估报告信息安全方案各部门（单位）信息目录各部门（单位）信息需求目录各部门（单位）外购信息需求目录共享信息需求目录信息授权列表附加说明本程序由信息中心提出并归口。本程序起草部门：信息中心。本程序起草人：赵志明、任强。本程序审核人：罗建平。本程序批准人：赵日峰。本程序解释权归信息中心。附录A：信息化建设管理流程图开始开始信息化项目需求受理可行性研究信息化领导小组讨论通过发展项目处汇总、报总部同意批准项目立项、组织招投标安排项目总体（初步）设计设计方案审定编制项目实施方案、组织项目实施项目试运行（单轨运行）项目中交检查项目验收项目后评估检查与改进结束是否是否是是否否是否是否. . . . .. .. .. . .. .表A１流程说明.流程名称流程名称信息化建设管理流程图制定部门信息中心子流程/业务活动名称子流程/业务活动描述部门、岗位记录支持性文件司年度投资计划管理。通过可研评审的科技开发项目，由信息中心报技术质量处立项，批准立项的项目，由技术质量处列入年度项目计划。信息中心负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质，开展询比价、商务谈判等工作，依照规定权限签订合同；项目责任部门(单位)负责完成合同技术附件，并由负责人签字确认。涉及有关计算机服务器、PC机、打印机采购事宜，由物资采购部门归口管理、信息管理部门配合开展采购工作安排项目总体（初步）设计对批准立项的、投资在500万元及以上的项目，信息中心委托有资格的单位按要求编制项目总体（基础）设计。投资在2000万元及以上的项目需组织专家组对项目总体（基础）设计进行评审。信息中心发展项目处物装中心项目应用部门（单位）7.7——编制项目实施方案、组织项目实施信息系统项目实施要求设立项目组，项目组根据技术附件要求负责编制项目实施方案、组织项目实施。信息中心发展项目处项目应用部门（单位）7.9——项目试运行→单轨运行项目组负责项目试运行工作。信息中心发展项目处项目应用部门（单位）7.10——流程名称流程名称信息化建设管理流程图制定部门信息中心子流程/业务活动名称子流程/业务活动描述部门、岗位记录支持性文件项目中交项目经过试运行后，信息中心负责组织项目中交，进行项目建设质量、进度、标准执行和成本控制等检查信息中心项目责任部门（单位）7.8——项目验收项目完成全部的规定目标任务后。总部批复的项目由信息系统管理部负责组织项目验收工作；企业自行批复的项目由信息中心负责组织项目验收工作。信息中心项目责任部门（单位）发展项目处财务部门7.126.10项目后评估对固定资产投资2000万元及以上的试点项目，通过验收后，组织专家组对项目进行后评估。。信息中心项目责任部门（单位）7.13——检查与改进信息中心和项目主管部门(单位)负责对项目进行适时检查评价，并根据评价和修正意见，进行改进。信息中心项目主管部门（单位）————. . .附录B：信息系统维护流程图开始开始用户报修故障判断为软件（非网络、硬件）故障是否软件维护处理能够自行维修送外维修或外包购买硬件网络、硬件更换质量反馈检查与改进结束信息维护策划. .... . .表B1流程说明流程名称流程名称信息系统维护流程图制定部门信息中心子流程/业务活动名称子流程/业务活动描述部门、岗位记录支持性文件信息维护策划制定信息维护计划和方案信息中心——6.3、6.5、6.7、6.8、6.14、6.15用户报修用户提出故障申请系统应用部门（单位）7.3、7.19、7.20、7.247.25、7.26、7.27、7.32、7.30——故障判断分析对用户提出的故障进行判断分析、看是软件故障还是网络硬件故障信息中心系统应用部门（单位）————软件维护处理对软件故障的，由软件管理员进行维护处理信息中心7.21、7.31——网络硬件维护处理对与网络硬件故障的，如果信息能够修理的，自行修理，不能修的，报送专业部门修理。对需要更换硬件设备的，申请购买硬件设备，进行维护处理系统应用部门（单位）信息中心总经理（外事）办公室物资装备中心机动处财务处7.41、7.33、7.35、7.36——质量反馈对维护质量征询用户意见系统应用部门（单位）信息中心7.29、7.43——检查与改进对用户反馈意见进行检查改进系统应用部门（单位）信息中心企业管理处————. .. .. .... . .附录C：信息资源管理流程图开始开始信息资源分析信息识别与分析为内部（非外部）