大型购物广场信息系统开发、变更与维护

《大型购物广场信息系统开发、变更与维护》由会员分享，可在线阅读，更多相关《大型购物广场信息系统开发、变更与维护（16页珍藏版）》请在装配图网上搜索。

1、xxxx购物广场有限公司内部控制系列文件010401 信息系统开发、变更与维护xx 版批 准： xx-04-01发布 xx-04-01 实施xxxx购物广场有限公司 1.0目的本程序规定了公司有关信息系统开发、变更及维护管理方面的具体要求，旨在规范公司信息系统开发及变更审核、项目小组组成、设计开发及变更方案制定的各项具体工作，确保公司信息系统的集成性、合规性和效益性，并防范信息系统开发、变更及维护管理过程中的各种潜在风险。2.0制度要求2.1信息系统开发、变更及维护管理程序制定2.1.1公司统括部根据集团信息系统开发、变更及维护管理程序，结合自身实际情况编制本公司的信息系统开发、变更及维护制度

2、。2.1.2统括部应当会同内控部门等，对信息系统用户进行信息系统开发、变更及维护管理知识的培训，并在培训后予以考核。2.2信息系统开发申请2.2.1公司计算机信息系统开发可采用自行设计、外购调试和外包合作开发等方式。企业在开发信息系统时，应当充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保企业业务活动的真实性、合法性和效益性。2.2.2信息系统使用部门提出信息系统开发申请，填写信息系统开发申请表（参见表1），信息系统使用部门可推荐自行设计、外购或外包合作开发。信息系统开发申请经部门部长批准后上报统括部。2.2.3统括部

3、IT人员等相关人员对于新信息系统的开发申请作项目评估。确定信息系统开发方式、开发预计成本等。评估内容包括需求分析、可行性分析、开发项目小组预估人数及开发预估周期等并将评估内容填写到信息系统开发申请单中。评估报告经统括部部长签字后，按公司董事会权限表规定进行讨论、审批。2.2.4若确定为自行设计开发，统括部IT人员组织信息系统开发项目小组，成员应包括专业编程人员、使用部门相关人员及其他相关人员。项目组成员信息报统括部部长及总经理批准后备案执行。2.2.5若确定为外购调试或外包合作开发，统括部IT人员牵头信息系统使用部门人员形成项目小组实施采购。项目小组应参考采购管理程序的供应商选择相关内容，按竞

4、争性询价的方式向3家以上的供应商询价。统括部IT人员选择供应商时应综合考虑企业本身需求、市场行情和信息系统企业的知名度等。所选的外包合作开发的机构必须有合作开发信息系统的经验，并须加强对其的监控力度。2.3信息系统开发2.3.1公司信息系统开发应当遵循以下原则： 因地制宜原则：应当根据公司行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统； 成本效益原则：计算机信息系统的建设应当能起到降低成本、纠正偏差的作用，根据成本效益原则，公司可以选择对重要领域中关键因素进行信息系统改造； 理念与技术并重原则：计算机信息系统建设应当将信息系统技术与信息系统管理理念整合，企

5、业应当倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率。2.3.2自行设计开发的信息系统项目 对于自行设计开发的信息系统项目，项目小组设计信息系统方案，经组长审核后报使用部门，使用部门提出修改意见，项目小组根据修改意见进行修改，形成设计方案确认稿，经组长再审核后上报统括部审核，审核通过后按照公司权限表规定进行审批，通过后，信息系统开发小组实施编程开发。 信息系统自行设计开发时应注意源代码的安全、保密性。项目小组组长应指定专人每天汇总项目小组成员的开发代码，项目小组组长每周检查，发现问题应立即督促改正。2.3.3外购调试或外包合作开发项目 对于外购调试或外包合作开发

6、项目，公司应当加强对外包第三方的监控。严格审核设计方案，并要求第三方实时报告项目进度，书面填写阶段性进度报告。 外购调试或外包合作时应与供应商签订合同。外包合作合同应注明系统调试期、试用期、维护期的权利和义务等相关内容。 合同应注明合作方的权力和义务，并对信息系统源代码归属性予以明确。外包合作时，项目开发小组中本企业人员应注意及时汇总开发代码，并集中保存。外包合作中应注意防范合作方的信息外泄。2.3.4项目小组开发信息系统应当将有关业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能，具体包括但不限于以下方面： 信息系统开发过程中，应当按照不同业务的控制要求，通过信息系

7、统中的权限管理功能控制用户的操作权限，按照不同业务的控制要求避免将不同职责的处理权限授予同一用户； 信息系统开发过程中，应当按照不同数据的输入方式，考虑对进入系统数据的检查和校验功能；避免后台操作系统数据，对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作的情况进行监控或者审计； 信息系统开发过程中，应设置操作日志功能，确保操作的可审计性；对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告。2.3.5信息系统开发完成后，需进行必要的测试与验收： 自行设计、开发的信息系统：项目小组应进行单机版测试，并组织使用部门试用，试用期结束后由使用部门出具验收报告； 外购的信息系统：

8、应由项目小组组织使用部门试用，试用期结束后由使用部门出具验收报告 外包合作的信息系统：项目小组应进行系统测试，并组织信息系统使用部门进行试用，项目小组跟踪系统运行状况，出现问题时及时联系外包合作方。试用期结束后由使用部门出具项目验收单（参见附表2）；2.3.6项目验收单需交统括部和财务部保存。2.4信息系统变更2.4.1公司信息系统变更包括外购调试信息系统更新升级、自行设计开发及外包合作的信息系统部分变更及旧信息系统更换。2.4.2变更方式可采用以下方式： 对于外购信息系统的的更新升级，可直接联系信息系统供应商 对于信息系统部分变更的，可以自行开发或外包合作 对于旧系统更换的，可采用直接外购调

9、试、自行开发或外包合作2.4.3信息系统变更应由使用部门提出信息系统变更申请，填写信息系统变更申请表（参见表3），申请中可注明变更方式，经部门负责人审批后交统括部，统括部审核评估确定合适的变更方式按照公司权限表规定进行审批。2.4.3审批通过后，统括部IT人员组织相关人员形成项目小组具体负责信息系统变更事宜。2.4.4项目小组制定详细的信息系统上线计划（参见表4）。对涉及新旧系统切换之情形，项目小组应当在上线计划中明确系统回退计划，保证新系统一旦失效，能够顺利回退到原来的系统状态。2.4.5信息系统上线计划由项目小组、统括部IT人员、使用部门讨论修改确认后，按照公司权限表规定金批准后方可执行。

10、2.4.6公司新旧系统切换时，项目小组应当制定详细的数据迁移计划，报相关部门负责人审批后执行。使用部门安排相关人员协助数据迁移过程。2.4.6数据迁移完成后项目小组应当用测试数据来证明程序工作正常并确认就绪，测试完成后填写变更测试单（参见表5），报备统括部及使用部门主管。并由使用部门进行整体测试和用户验收测试并将测试结果填写到变更测试单中，确保系统的正常运转。2.4.8 统括部及使用部门审批通过后，将变更测试单交操作人员并由统括部IT人员备份留存。2.4.9若信息系统原设计功能未能正常实现时，由项目小组负责详细记录，并及时报告统括部IT人员，由其负责系统程序修正和软件参数调整，尽快解决存在的问

11、题。2.4.10若信息系统上线后出现系统缺陷，IT人员应及时联系相关部门和统括部部长。具体见010404-xx杉杉-网络管理。2.5信息系统维护2.5.1公司应当采取预防性措施，确保计算机信息系统的持续运行，使系统意外停工时间最小化。常见预防性措施包括但不限于日常检测、设立容错冗余、编制意外计划等。2.5.2统括部安排相关工作人员实时跟踪、发现和解决信息系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。2.5.3公司按照业务性质、重要性程度、泄密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用技术手段，实现信息系统的安全有序。2.5.4公司应当安装

12、安全软件防范信息系统受到病毒等恶意软件的感染和破环。同时，综合利用防火墙、路由器等网络设备以及其他网络技术加强网络安全，防范来自网络的攻击和非法侵入。2.5.5统括部IT人员负责对重要业务系统的权限管理，每季度审阅系统账号，避免授权不当或者存在非授权账号。2.5.6统括部IT人员建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。具体见010403-xx杉杉-信息备份与安全恢复管理。2.5.7统括部IT人员对如服务器等关键信息设备的管理，定期每周进行检查，检查中如发现异常应及时上报统括部部长。具体见010404-xx杉杉-网络管理。2.5.8对于委托专业机构

13、进行系统运行与维护管理的情况，统括部和使用部门应当严格审查机构的资质，并与其签订服务合同及保密协议。2.5.9系统维护过程中，系统维护人员不得以维护系统为由接触正式库的基础信息定义、系统管理、收款台管理、数据分析（查询）以外的业务模块。如需解决操作人员遇到的问题，必须在该操作员的监督下进行操作，解决问题后并且填写系统管理员业务操作记录（参见表6）2.6 重大操作事项审批制度2.6.1重大事项定义：固定计划任务以外的针对骨干网、业务服务器、业务数据库相关的重要设备和数据的修改、删除、变更、调整等事项。2.6.2固定计划任务：每月固定计划（重启5台业务服务器PosServer传输程序，清理业务服务

14、器备份数据），每季固定计划（软重启5台业务服务器），每年固定计划（软重启DB业务服务器），每次固定计划操作后需在服务器操作日志登记。2.6.3 涉及到服务器系统、网络、数据库安全的重大事项操作应填写重大操作事项审批表（参见表7），任何人不得擅自更改运行系统的相关配置。2.6.4 对涉及到2.6.3操作时，IT人员应组织相关人员及专家讨论操作的必要性和可行性，并必须做充分的规划和准备，并验证其可行性和安全性后，制定切实的安全措施和严密的操作流程。2.6.5 经批准的重大操作应由两人以上共同实施。2.6.6 对管理软件的重大操作和维护应执行重大操作审批制度，不允许对运行中的软件进行直接调试和试验。

15、2.6.7 在重大操作实施之前，IT人员应预先做好系统的备份。在实施过程中，应详细记录操作过程，以保证实施过程发生意外时能将系统恢复到实施前的运行状况。3.0流程图（另附）4.0政策4.1未经统括部评估及批准，公司不得成立项目小组执行信息系统的开发及变更程序。4.2禁止公司信息系统编程人员执行验收程序。4.3未经验收测试，使用部门不得将信息系统投入使用。4.4试用期间的信息开发数据不能作为正式数据使用。4.5信息系统上线后，发生的任何系统源代码等方面的变更，应当参照上款有关系统开发的审批和上线程序执行4.6严禁信息系统操作人员擅自进行系统软件的删除、修改等操作；严禁非授权人员擅自升级、改变系统

16、软件版本及改变软件系统环境配置。4.7禁止公司各执行部门及人员未经授权人员批准前修改审批过的信息系统开发及变更设计方案。未经原授权人员书面批准，执行部门及人员不得执行修改后的信息系统开发及变更设计方案。4.8禁止任何信息系统开发及变更经办人员和授权管理人员在执行信息系统开发及变更过程中不按程序处理业务，并对违反规定的责任人员按照有关奖惩管理程序予以相应的处分。4.9原则上本制度每年修订一次，遇特殊情况时经授权审批后可随时进行修改。本制度最终解释权归属于公司总经理办公会。5.0相关制度及表单表1xx杉杉-010401-01 信息系统开发申请表表2xx杉杉-010401-02 项目验收单表3xx杉

17、杉-010401-03 信息系统变更申请表表4xx杉杉-010401-04 信息系统上线计划表5xx杉杉-010401-05 变更测试单表6xx杉杉-010401-06 系统管理员业务操作记录表7xx杉杉-010401-07 重大操作事项审批表 3612346dfba6622a980c4ae8aa88adda.doc 8/16表1 信息系统开发申请表 申请日期：申请部门申请人员申请使用系统推荐方式：自行设计开发 外购调试 外包合作申请理由及软件功能要求：部门经理：评估结果（IT人员填写） 评估人：统括部部长： 日期：总经理办公会意见： 日期：表2 项目验收单项目名称合同编号项目可交付物目录验收

18、日期交付软件名称客户验收意见项目经理意见并签字交付设备名称客户验收意见项目经理意见并签字交付文档名称客户验收意见项目经理意见并签字客户意见客户代表签字表3 信息系统变更申请表 申请日期：申请部门申请人员变更名称希望完成时间推荐方式：自行设计开发 外购调试 外包合作 需求描述现状描述（具体描述目前的问题）：需求描述（具体描述希望变更后希望达到的效果）：部门经理评估结果（IT人员填写） 评估人：统括部部长：A、同意变更B、有条件接受变更，条件：C、不同意变更，原因：总经理办公会意见： 日期：表4 信息系统上线计划申请人： 所属部门：申请日期： 年 月 日申请部门申请人变更项目所属项目/系统变更内容

19、变更方案和测试环境：测试结果测试编号正式环境实施计划：项目负责人信息部门 使用部门总经理办公会表5 变更测试单 申请日期： 年 月 日 测试项目所属项目/系统测试内容测试内容描述/关键控制点：测试目的/希望结果： 测试结果（项目组人员填写）测试过程描述（步骤、用例）：测试结果：测试人： 年 月 日测试结果（信息部测试员填写）测试过程描述（步骤、用例）：测试结果：测试人：年 月 日测试结果（用户部门填写）测试过程描述（步骤、用例）：测试结果：测试人： 年 月 日表6： 系统管理员业务操作记录 序号日期操作人监督人操作内容备注12345678910111213141516171819202122232425262728表7 重大操作事项审批表 编号：日期申请人申请事项存在问题预期成果可能产生的问题预防措施所需准备操作步骤参加人员分工情况操作时间审评人员签字财务部审核签字批准人员签字010401-信息管理-信息系统开发、变更与维护 16/16