返回
信息系统管理业务内部控制矩阵(制度范本、doc格式)

信息系统管理业务内部控制矩阵(制度范本、doc格式)

ID:18983625

大小:176.00 KB

页数:4页

时间:2018-09-27

信息系统管理业务内部控制矩阵(制度范本、doc格式)_第1页
信息系统管理业务内部控制矩阵(制度范本、doc格式)_第2页
信息系统管理业务内部控制矩阵(制度范本、doc格式)_第3页
信息系统管理业务内部控制矩阵(制度范本、doc格式)_第4页
资源描述:

《信息系统管理业务内部控制矩阵(制度范本、doc格式)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、11.1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.IT整体层面管理1.1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。1.1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会

2、,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1.10.51.12.2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。1.2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修

3、改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。信息系统管理部5股份公司信息化建设中长期规划1.10.51.3教育和培训1.1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。1.3.1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。信息系统管理部分(子)公司2年度培训计划1.10.51.1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门

4、户或内部网站发布安全教育培训材料。信息系统管理部分(子)公司2安全教育培训材料1.10.51.4风险评估1.12.2经营风险:信息系统风险评估缺失,导致信息系统风险。1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风

5、险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。信息系统管理部分(子)公司4风险评估报告2.10.31.5信息安全管理1.12.2经营风险:信息安全规划不当,信息安全方案缺失,导致信息系统风险。1.5.1信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核后,正式发布。各分(子)公司信息管理部门根据股份公司信息安全规划,结合自身生产经营管理的需要,并针对风险评估报告中提出的问题,负责制订本企业的信息安全方案

6、,经分管经理审批后报信息系统管理部备案。信息系统管理部分(子)公司4信息安全规划信息安全方案2.10.21.12.2经营风险:系统未确定关键岗位,关键岗位缺乏监管,导致系统存在安全隐患。1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。总部各

7、部门分(子)公司3信息系统关键岗位名录信息系统关键岗位安全责任书2.10.21.12.2经营风险:系统安全岗位设置缺失,导致系统存在安全隐患。1.5.3各级信息管理部门根据《中国石油化工股份有限公司信息系统安全管理办法》中的有关要求,按照不相容岗位分离的原则,设立安全管理员。安全管理员必须具有相应资质,并经部门负责人审批授权。信息系统管理部分(子)公司3安全管理员授权书安全管理员资质证书2.10.22.编制年度项目建议计划1.12.2经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。2.1信息系统管

8、理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。