内部控制信息系统更新改造升级方案.docx

内部控制信息系统更新改造升级方案.docx

《内部控制信息系统更新改造升级方案.docx》由会员分享，可在线阅读，更多相关《内部控制信息系统更新改造升级方案.docx（8页珍藏版）》请在冰豆网上搜索。

内部控制信息系统更新改造升级方案

内部控制-信息系统更新/改造/升级方案

第一节总则

第一条为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。

第二条本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。

第二节变更流程

第三条系统变更工作可分为下面三类类型：

功能完善维护、系统缺陷修改、统计报表生成。

功能完善维护指根据业务部门的需求，对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复，这些问题是由于系统设计和实现上的缺陷而引发的；统计报表生成指为了满足业务部门统计报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。

第四条系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息部门的应用维护组织和软件开发组织，还包括合作厂商）协作完成。

系统变更过程类似软件开发，大致可分为四个阶段：

任务提交和接受、任务实现、任务验收和程序下发上线。

第五条因问题处理引发的系统变更处理，具体流程参见《问题处理管理制度》。

第六条需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件一），由部门负责人审批后提交给系统管理员。

第七条系统管理员负责接受需求并上报给IT主管。

IT主管分析需求，并提出系统变更建议。

IT经理根据变更建议审批《系统变更申请表》。

第八条系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，产生供发布的程序。

第九条实现过程应按照软件开发过程规定进行。

系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。

第一十条系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写《用户测试报告》（附件二），提交业务部门负责人和IT主管领导签字确认通过。

第一十一条在系统变更完成后，系统管理员和业务部门的最终用户共同撰写《程序变更验收报告》（附件三），经业务部门负责人签字验收后，报送IT经理审批。

第一十二条培训管理员负责对系统变更过程的文档进行归档管理，变更过程中涉及的所有文档应至少保存两年。

第三节紧急变更流程

第一十三条对于紧急变更，需求部门可以通过电子邮件或传真等书面形式提出申请。

第一十四条信息技术部根据重要性和紧迫性做判断，确定其优先级和影响程度，并进行相应处理。

第一十五条紧急变更过程中应使用专设的系统用户账号，由专责部门或人员启动紧急修改变更程序。

信息技术部应对紧急变更的处理进行规范的文档记录。

第一十六条在紧急事件处理完成后，必须在一周内补办正式、完整的文档，其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、需求部门/信息技术部测试记录（包括签字确认测试结果）。

第四节系统变更的权责分离

第一十七条系统变更过程中，应采取各种措施保证维护环境程序代码访问权限受到良好控制。

这些措施包括：

1、通过系统用户的授权管理，确保只有特定人员能进行系统维护工作；

2、如果使用专用程序开发工具，只有授权人员才能使用程序开发工具（通过只有特定开发人员拥有程序开发工具）；

3、通过对源代码的访问控制，限制只有授权人员才能获得源代码以进行系统维护；

4、在进行自有系统的程序变更时，应建立版本控制制度确保每次在最新的代码基础上进行更改，当多名程序员同时进行更改工作时，能够进行适当协调；

5、通过对系统日志的审阅，监督系统维护人员在系统中的操作，确认维护工作的授权；

6、在进行自有系统的程序变更时，应防止源代码在完成测试到正式上线之间的非授权修改。

第一十八条系统变更过程中，采取各种措施保证生产系统应用程序访问权限受到良好控制。

这些措施包括：

1、通过生产环境的访问控制，限制对生产环境的访问；

2、通过物理隔离的手段，限制对生产环境的访问；

3、通过逻辑隔离的手段，限制对生产环境的访问；

4、对授权访问生产环境的人员进行详细记录，使用该记录对生产环境访问权限的检查，确保只有经授权人员才能访问生产环境；

5、普通用户只能通过前台登录系统，不能通过后台（如使用生产环境操作系统的命令行）进行操作；

6、信息技术人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；

7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限，只有经过授权的人员对程序拥有读、写和执行的权限；

8、禁止信息技术人员共享操作系统级别的账号。

第五节附则

第一十九条本制度由公司总部信息技术部负责解释和修订。

第二十条本制度自发布之日起开始执行。

附件一系统变更申请表

系统变更申请表

编号：

变更请求类型

□用户方变更□开发方变更

□需求增加□需求修改□需求缩减

□其它：

请说明：

变更申请人

申请日期

实施人员

验证人

原需求

内容描述

变更内容描述

变更的影响

业务部门负责人

意见：

签字：

IT人员

意见：

签字：

备注：

附件二用户测试报告

1.基本信息

测试依据

例如：

参照标准、客户需求、需求规格说明书、测试用例等

测试范围

测试验收标准

测试环境描述

测试驱动程序描述

提示：

可以把测试驱动程序当作附件

测试人员

测试时间

须注明每次回归测试的时间

测试工具

2.实况记录

模块

测试用例编号

期望结果

测试结果

缺陷密度

是否执行了回归测试

3.测试总评价

根据对测试结果提出一个关于软件能力的全面分析，需标明遗留的主要缺陷、局限性和软件的约束限制等，并提出软件测试过程中程序中的不足。

根据测试标准及测试结果，综合评价软件的开发是否已达到预定目标。

4.缺陷修改记录

提示：

如果采用了缺陷管理工具，能自动产生缺陷报表的话，则无需本表。

缺陷名称

缺陷类型

严重程度

模块

原因

驻留时间

解决方案

…

测试人员签字/日期：

附件三程序变更验收报告

验收报告书

需求部门

系统名称

系统名称英文缩写

系统版本

任务完成情况栏*由信息技术部根据任务完成实际情况填写*

任务名称

实际开始时间

实际完成时间

实际工作量

人天，合人月

本次任务实际税前开发费用（含报酬）

*注明小写金额和大写金额*

￥元，（大写）

【任务完成情况】：

*由信息技术部简要概述任务完成情况*

【提交文档清单】：

*由信息技术部提交相关文档清单*

业务部门接受人签字：

信息技术部提交人签字：

日期：

日期：

验收过程信息栏*由信息技术部根据验收过程填写*

验收开始时间

验收完成时间

验收地点

需求部门

验收人员

角色/职责

信息部门

协助人员

角色/职责

任务验收情况栏*由业务部门根据验收情况出具*

【验收意见】：

*由业务部门项目负责人出具对实际验收结果的意见*

业务部门项目负责人签字：

日期：

任务管理处室项目负责人签字：

日期：

任务管理处室负责人签字：

日期：

任务验收结论栏*由业务部门出具，双方负责人签字确认*

【验收结论】：

*由业务部门根据验收意见出具任务验收结论*

【下发意见】：

*由业务部门根据验收结论出具程序下发意见*

业务部门负责人签字：

信息技术部负责人签字：

日期：

日期：

注：

该表格一式两份，业务部门、信息技术部双方各执一份。