IT信息系统内控(共32页).doc

《IT信息系统内控(共32页).doc》由会员分享，可在线阅读，更多相关《IT信息系统内控(共32页).doc（32页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精选优质文档-倾情为你奉上计算机信息系统管理计算机信息系统管理001：信息安全管理计算机信息系统管理002：信息资源申请、使用及日常维护管理计算机信息系统管理003：变更管理计算机信息系统管理流程综述不可兼容职责表ABCDEFGHIAXBCXXDXEFXXXGXHXIX：表示相互冲突的职责2.附注A:应用系统管理员B:操作系统、数据库管理员C:系统权限的申请D:系统权限的审批E:系统权限的设置F:系统开发人员G:系统验收人员H:系统操作人员I:系统管理员计算机信息系统管理001：信息安全管理1.0流程综述 本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制，以及如何实现信

2、息的保密性、完整性和可用性。2.0适用范围公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动安装及配置逻辑安全管理工具和技术来限制对程序，数据及其他信息的存取。IT001-CA01-4.2.1对用户用一一对应的识别和认证权限控制系统（如用户ID和密码），以阻止非法入侵，确保各级用户只能进入其授权使用的系统。IT001-CA02-4.2.2信息系统部规定了公司密码设置要求：用户密码至少90天更改一次，接近的密码在9个月内不得重复使用。逻辑安全管理工具和技术有适当管理，以限制对程序，数据及其他信息的存取。IT001-CA03

3、-4.2.1用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号（即，AD、邮件帐号），需要人力资源部提供人事调令或其他相关书面材料，信息系统部根据人力资源部提供的人员信息进行设定。（若为离职人员，信息系统部将回收所有IT设备、取消所有帐号及权限.）IT001-CA04-4.2.3用户部门关键用户或批准权限申请的负责人应定期，至少一年一次审核并调整用户登入各应用系统的权限范围，对于重要的关键系统应至少每半年审核一次。IT001-CA05-4.2.4信息系统部对于开通管理员权限的用户，每个月通过监控软件进行审核，检查其是否有非法使用情况。只有特定人员才能使用管理员帐号。IT001-CA06

4、-4.2.4原则上所有的客户端帐号都只开通用户（User）权限。信息系统部对各系统分别设有系统管理员，系统管理员的岗位由部门总监任命，只对所负责的系统根据已批准的申请单，进行规定的操作。设置设备实体接近限制，以确保仅有经适当的授权人员可以接近和使用信息资源。IT001-CA07-4.1.1高度安全区域必须采取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。企业的程序、数据及其他信息资源均受防病毒软件保护。IT001-CA08-4.2.5信息系统部在公司所有计算机设备上安装防病毒软件，并定期统一更新病毒库，同时在服务器上做好相关数据的定期备份。用户需使用信息

5、系统部确认过的正版软件，不运行功能不明的可执行文件。在使用外接储存设备时需先进行查毒、杀毒工作。企业之计算机系统内所有软件之安装及使用均符合软件授权合约。IT001-CA09-4.2.7信息系统部将根据业务需要，及时提供合法软件及足够数量的许可证（liscense）。信息系统部将不定期抽查用户合法软件使用情况，一旦发现员工私自安装的非法软件，将予以删除。4.0政策和工作流程4.1IT环境的物理安全IT环境的物理安全应与人力资源部联系，确保各项安全措施的到位。4.1.1高度安全区域的管理 对公司级信息设备集中放置，设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关

6、功能。高度安全区域必须取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。 机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作，对使用机房的人员从以下方面做了规定：机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见上海汽车集团股份有限公司IT机房安全管理规定4.1.2保护公司计算机及相关设备和通讯设施的安全 禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备，应采取相应的措施进行保护或保存。因维修或其他用途而拆除存有信息的电子设备，如硬盘时，应完全销毁其存有的数据，并确保此信息不能被恢复

7、。4.21用户帐号申请控制登入和使用公司计算机系统和网络资源，需用户部门确定和批准用户申请的权限范围，信息系统部审核申请是否符合相关流程和规定，通过后按申请内容进行技术设置。对用户组一一对应的识别认证权限控制系统（如用户ID和密码），以阻止非法侵入，确保各级用户只能进入其授权使用的系统。系统应保留一定期限内的所有登入记录。用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号（即，AD、邮件帐号），需要人力资源部提供人事调令或其他相关书面材料，信息系统部根据人力资源部提供的人员信息进行设定。（若为离职人员，信息系统部将收回所有IT设备、取消所有帐号及权限。）4.2.2密码控制 信息系统部规

8、定了公司密码设置要求，对于任何系统、包括应用系统，操作系统和数据库等： 用户密码至少8位; 密码中需包含英文大、小写和数字； 密码至少90天更换一次； 接近的密码在9个月内不得重复使用； 临时用户也应建立良好的密码设定和使用习惯。4.2.3权限复核 用户部门负责审核该部门的权限申请内容，对于重要数据，应根据分工将操作权限分开设置。用户部门关键用户或批准权限申请的负责人应定期，至少一年一次，审核并调整用户登入各应用系统的权限范围，对于重要的关键系统应至少每半年审核一次，以确保分配给用户使用的权限是恰当的，且符合权限最小化的原则。4.2.4管理员账号的管理4.2.4.1客户端管理员 原则上所有的客

9、户端账号都只开通用户（User）权限。 对确实因工作需要的（如：工作中必须使用某种软件，该软件必须开通管理员权限才能正常使用等。），经过部门总监确认签字，信息系统部运维经理批准，开通管理员（Administrator）权限。信息系统部对于开通管理员权限的用户，每月通过监控软件进行审核，检查其是否有非法使用情况（如私自安装软件、对操作系统设置进行更改等）。4.2.4.2系统管理员 信息系统部对各系统，包括应用系统，操作系统和数据库等，分别设有系统管理员，系统管理员的岗位由部门总监任命，只对所有负责的系统根据批准的事情单，进行规定的操作。原则上，在应用系统的生产环境中，应避免开放管理员权限。4.2

10、.5病毒防治信息系统部在公司所有计算机设备上安装防病毒软件，并定期统一更新病毒库，同时在服务器上做好相关数据的定期备份。用户需使用信息系统部确认过的正版软件，不运行功能不明的可执行文件。在使用外接存储设备时需先进行查毒、杀毒工作。信息系统部对于病毒的防治，以及病毒应急处理的流程，请参考上海汽车集团股份有限公司病毒应急方案流程4.2.6网络安全控制和用户使用规范公司的计算机网络，如局域网、广域网，是计算机系统运作及数据传递的基础，信息系统部必须采取足够的，有效地措施保证网络的安全，确保公司内外信息沟通的正常进行。用户在使用上汽集团网络时，也应明确其责任，个人的网络行为直接影响到公司网络的公共安全

11、。详细内容，请参考上海汽车集团股份有限公司关于进入公司计算机网络的规定。4.2.7合法使用正版软件 信息系统部负责编制、更新公司软件清单，每月更新软件购买和使用数量的状态。信息系统部将根据业务需要，及时提供合法软件及足够数量的许可证（liscense）。公司员工须遵守公司有关合法软件及使用许可证合同的规定，信息系统部将不定期检查或抽查用户合法软件使用情况，一旦发现员工私自安装的非法软件，将予以删除。详细内容请见上海汽车集团股份有限公司信息系统安全制度。4.2.8信息系统的分级 信息系统部根据公司应用系统的业务性质、重要性程度、涉密情况等方面，对应用系统进行等级划分。相关的保护维护措施，将根据应

12、用系统的等级进行分别制定。4.2.9保密协议的签署 信息系统部委托专业机构进行系统运行与维护管理，或者新系统开发工作，需审核相关供应商的资质，并与其签订相关保密协议。5.0参考文件 上海汽车集团股份有限公司IT机房安全管理规定 上海汽车集团股份有限公司信息系统安全制度 上海汽车集团股份有限公司关于进入公司计算机网络的规定 上海汽车集团股份有限公司病毒应急方案流程60职责分工各业务部门用户： 上汽集团的每个计算机用户在使用任何计算机和网络资源时，必须严格遵守上汽集团信息系统安全制度和由此产生或衍生的有关信息系统安全的支持性制度文件，以及上汽集团员工手册的有关信息系统安全条例。部门领导及部门信息协

13、调员： 各部门领导及信息协调员应根据员工工作实际需要，授权其登入网络系统或使用电子数据的权限，并定期审阅和更新权限批准，并及时与信息系统部联系。信息系统部和信息安全员： 信息系统部的信息安全员须采取足够，适当的信息系统安全措施，以保证整个上汽集团受控信息系统环境物理和逻辑上的安全，确保信息系统和网络的保密性、完整性及可用性。7.0附件附件 机房出入人员登记表附件 机房维护日志计算机信息系统管理002：信息资源申请、使用及日常维护管理1.0流程综述 本子流程主要描述上汽集团员工，因业务需要申请信息系统相关软件、硬件、网络资源以及各应用系统权限的申请、审批和处理执行的过程，以及对员工合理、安全、高

14、效地使用以上资源时的相关事项进行规定。2.0适用范围 公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动所有的信息资源申请都需经过审批。IT002-CA01-4.1.1申请人员应填写信息资源需求申请表，需填写申请人的部门、姓名、申请的内容、申请原因等内容。申请人需签字承诺已阅读并遵守相关的管理规定，由部门负责人审批签字，交信息系统部相关负责人批准后，为申请人提供相关设备或服务。申请人若为供应商，需在申请表中注明。IT002-CA02-4.1.2公司员工因工作需要安装其他软件，需填写信息资源需求申请表，描述申请原因，由部门

15、负责人审批签字。IT002-CA03-4.1.3公司的正式员工经申请批准后，由信息系统部根据人力资源调令进行设置开通域账号和邮件账号，用户即可进入公司的局域网络及使用公司邮件系统。IT002-CA04-4.1.4用户根据所申请的系统选择相应的权限申请单；根据权限所在的功能块由相应的使用部门负责人签字批准，各功能块的关键用户审核确认，信息安全员审核权限是否有安全漏洞，最后由信息系统部总监批准。外部人员登入网络的申请需经过严格的审批IT002-CA05-4.1.3若外部用户（非人事部门确认的员工之外的一切人员，如实习人员、借用人员及供应商等）原则上不能登入公司的网络资源。若有特殊需求申请域账号、邮

16、件帐号是必须在信息资源需求申请表上填写个人信息、本人承诺书签字、业务对口部门总监的确认签字，以上内容经信息系统部审核通过后，开通临时帐号，期限过后帐号将失效。应用系统权限的设置和审批需由不同人员操作IT002-CA05-4.1.4根据权限所在的功能块由相应的使用部门负责人签字批准，各功能的关键用户审核确认，信息安全员审核权限是否有安全漏洞，最后由信息系统部总监批准。系统操作员根据申请单内容和审批信息在系统中进行配置。控制目标控制活动编号关键控制活动用户对公司软硬件的使用能得到在适当的支持以确保应用软件功能得以实现。IT002-CA07-4.3.1为了使公司的分支机构得到同样方便、及时的OA服务

17、，信息系统部建立了全球OA支持服务体系。将公司各分支机构（site）技术支持服务联系方式公布；统一OA需求申请流程，计算机病毒防治流程，计算机补丁处理流程。及时发现、解决系统问题IT002-CA09-4.3.2维护人员每天需对各项软硬件系统进行巡查，并做好记录。对于关键应用系统需要每隔2小时甚至1小时进行检查。若发生灾害，企业基本业务操作与信息系统能及时恢复。IT002-CA09-4.3.4.1信息系统部负责制定公司级、部门级的系统、应用、数据的备份计划并定期执行。信息系统部定期复核备份记录，以确保备份操作依照备份计划及数据保存计划进行。4.0政策和工作流程4.1信息资源的申请与使用上汽集团员

18、工可申请使用的信息资源主要分为：桌面办公（以下简称：OA）资源和应用系统权限。其中，OA办公资源又包括计算机及相关设备、办公用OA软件、公司局域网登入权限、互联网登入权限、邮件系统账号。人力资源部将会通知信息系统部员工入职、离职和调动的相关信息。新员工入职后按工作需要申请相关的信息资源。员工离职需交回所有的信息设备，并关闭相关账号的使用权限。员工工作岗位、部门等发生变化，需要对原来的应用系统权限以新的身份重新申请。4.1.1计算机及相关设备的申请和使用计算机及相关设备包括：办公用台式电脑、笔记本、工作站、打印机、电脑附件（移动硬盘、U盘等）。申请人员应填写信息资源需求申请表，需填写申请人的部门

19、、姓名、申请内容、申请原因等内容。申请人需签字承诺已阅读并遵守相关的管理规定，由部门总监审批签字，交信息系统部相关负责人批准后，为申请人提供相关设备或服务。申请人若为供应商，需在申请表中注明。4.1.2 OA办公软件的申请与使用 为便于公司对客户端操作系统及防病毒软件的及时、更新，保护客户端的安全正常使用，信息系统部对所有公司的电脑实行标准化软件安装，软件清单参见计算机客户端软件安装标准。 公司员工没有权限对电脑客户端的任何软件进行安装和删除，只有信息系统管理员和软件安装的操作人员有权进行软件的安装和删除。公司员工因工作需要安装其他软件，需填写信息资源需求申请表，描述申请原因，由部门总监审批签

20、字。信息系统部将对申请软件与其他标准软件的兼容性进行测试，未发现系统冲突及有足够软件许可证的情况下批准申请，执行安装；否则将进行调试，解除系统冲突后才可安装，或者进入采购流程采购相应的软件许可证。4.1.3网络及邮件帐号的申请为了使公司计算机网络安全运行，加强对进入公司计算机网络用户的管理，保证公司办公和生产业务的正常进行，登入公司网络和使用公司邮箱都需经过申请、审批流程。公司的正式员工经申请批准后，由信息系统部根据人力资源部调令进行开通域账号和邮件帐号，用户即可连入公司的局域网络及使用公司邮件系统。若外部用户（非人事部门确认的员工之外的一切人员，如实习人员、借用人员及供应商等）原则上不能登入

21、公司的网络资源。若有特殊需求申请域帐号、邮件帐号是必须在信息资源需要申请表上填写身份证号等个人信息、有效期、有效联系方式（电话、email地址）、本人承诺书签字、业务对口部门总监确认签字，以上内容经信息系统部审核通过后，开通临时账号，期限过后账号将失效。具体规定请参见上海汽车集团股份有限公司关于进入公司计算机网络的规定。4.1.4应用系统权限的申请目前公司的应用系统包括PDM、SAP、MES、DMS等根据所申请的系统选择相应的权限申请单（如：应用系统用户权限申请表），需填写申请人、工号、部门、关键用户、工作岗位描述、申请使用有效期、申请原因等详细信息。根据权限所在的功能块由相应的使用部门负责人

22、签字批准，各功能块的关键用户审核确认，信息安全员审核权限是否有安全漏洞，最后由信息系统部总监批准。系统操作员根据申请单内容和审批信息在系统中进行配置。公司已对研发相关数据进行了加密，用户申请工程开发相关系统（PDM）权限时，必须同时申请加密系统账号及权限，才能正常查看相关数据或使用相关功能。4.2用户使用信息资源时的要求为了管理和保护公司办公自动化系统，确保办公自动化系统正常运行，信息系统部编制了上汽汽车集团股份有限公司办公自动化用户管理条例，用户在使用公司硬件设备、软件系统、应用系统、网络等资源时应遵守相关的规定。4.3信息系统的运维（Operation）管理4.3.1对用户的服务支持为了使

23、公司的分支机构得到同样方便、及时的OA服务，信息系统部建立了全球OA支持服务体系。信息系统部同时规范硬件设备的命名规则，包括服务器、计算机、机柜和网络线缆等；将公司各分支机构（site）技术支持服务联系方式公布；统一OA需求申请流程，计算机病毒防治流程，计算机补丁处理流程。详细内容，请参见上海汽车集团股份有限公司信息系统部各Siet OA服务支持流程4.3.2日常巡检信息系统部运维人员每天需对各项软硬件系统进行巡检，并做好记录。巡检的内容包括；网络、各系统服务器、防病毒软件的更新等。对于关键应用系统需要每隔2小时甚至1小时进行检查，详细检查项目请见日常检查每天早晨由运维总监和运维各分块负责人召

24、开运维晨会，回顾每天各系统的运行状态，对出现的问题讨论解决方案或临时措施，并逐条记录进行状态跟踪。4.3.3关键系统接口的管理由于系统集成度较高，系统接口也较多，信息系统部制定了上海汽车集团股份有限公司FTP服务器的应用规范，来对接口名、程序名、接口信息编码、服务器目录结构及维护机制做了统一和规范。为了防止因为接口服务器上的文件数量不断增加，而导致FTP访问的性能降低，信息系统部需要定期清理过期文件。根据业务数据需要，建议保留一周内的数据，其余的数据用WINRAR进行压缩打包，迁移至备份目录下相应的子目录中（备份文件目录和接口文件目录的目录结构一致），以备如后查看。对新建立及现存的系统将逐步采

25、用ESB作为各系统数据交互的接口.4.3.4备份为了确保上汽集团各领域业务运作的持续性，缩短紧急情况或灾难发生后响应时间，公司需制定相应的备份计划。4.3.4.1信息系统部负责制定公司级、部门级的系统、应用、数据的备份计划并定期执行。信息系统部定期复核备份记录，以确保备份操作依照备份计划及数据保存计划进行。具体内容请参见备份设备清单4.3.4.2用户负责制定并定期执行用户自己PC上的数据备份计划。用户要将重要的业务信息备份到部门文件服务器上（空间有限），需通过备份申请流程，详细内容请参考上海汽车集团股份有限公司服务器网络备份流程。部门文件服务器的安全由信息系统部维护。4.3.4.3信息保存期限

26、。业务部门根据国家、地方法律、法规的规定，公司的规定及业务需要，制定相应的信息保存及储存形式。业务部门应至少每年一次对以电子形式存放的信息保存期限进行检查好调整，确保合理利用计算机资源，保留且仅保留需要的信息。4.4信息资源申请的流程5.0参考文件上海汽车集团股份有限公司关于进入公司计算机网络的规定上海汽车集团股份有限公司办公自动化管理条例上海汽车集团股份有限公司信息系统部各site OA服务支持流程上海汽车集团股份有限公司FTP服务器的应用规范上海汽车集团股份有限公司服务器网络备份流程6.0职责分工申请人：根据申请的内容，选择正确的申请单，填写所需内容。遵守使用信息资源的相关规定。申请部门总

27、监：负责对申请人的申请内容进行审批。关键用户：负责审核本部门的应用系统权限的分配。信息系统部经理：负责审批用户递交的信息资源申请表。系统管理员：负责按照申请表的内容进行权限设置。行政部门（如人力资源部）：对违反公司规定或国家法律的使用者按规定进行处理。7.0附件 附件 IT-002-7.1信息资源需求申请表 附件 IT-002-7.2应用系统用户权限申请表 附件 IT-002-7.3日常检查 附件 IT-002-7.4备份设备清单计算机信息系统管理003：系统开发及变更管理1.0流程综述本子流程主要描述上汽集团新系统开发或实施流程，以及员工因应用系统易用性或功能缺失而提出的对系统更改的请求、审

28、批及相关开发、测试和上线的过程，以保证应用系统的按需开发及正常运行。2.0适用范围公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动所有的系统开发申请都需要经过部门批准IT003-CA01-4.2.1需要启动新项目，项目负责人按照模板要求完成立项报告，提出立项申请并提请信息系统应用系统总监批准。系统开发需求需要经过使用部门的批准IT003-CA01-4.2.3针对业务部门提出的需求进行调研并整理成文档：业务需求说明书，需要经过业务部门关键用户（KBU）签字认可。系统开发的测试和上线运行需得到相关的批准IT003-CA01

29、-4.2.5系统集成测试满足测试标准之后进行用户验收测试，由业务部门关键用户执行测试以确认系统功能满足业务需求，并且需要在用户验收测试报告上进行签字确认系统满足验收标准。IT003-CA01-4.2.6申请系统上线，由PMO总监、应用系统总监和系统运行总监会签批准之后，将系统部署到正式的生产环境中。所有的系统更改申请和更改上线都需要经过相关使用部门的批准IT003-CA01-4.3.2所有的系统更改申请单都需先通过业务部门的关键用户(KBU)的确认签字，再经过业务部门经理的审核批准后，递交给信息系统部服务台（Hdlpdesk）人员。IT003-CA01-4.3.2由信息系统部提出的变更申请，也

30、同样执行该更改申请流程。（已经有流程规定的补丁和病毒库更新除外）系统更改的实施和上线运行需得到相关的批准IT003-CA01-4.3.2信息系统部在接收申请单时，需核查是否已经通过了业务部门关键用户和部门相关经理的批准，否则将退还给申请人。IT003-CA01-4.3.3二线支持人员完成更改的方案和分析报告区域功能经理对方案和分析报告进行复核，以确保该文档能符合业务用户的需要。IT003-CA01-4.3.3CSR流程经理每周定期组织更改委员会对更改申请及相关方案进行审批，对于紧急更改申请可在当天进行审批。IT003-CA01-4.3.3业务部门用户在测试环境下完成用户测试，并在测试报告上签字

31、确认更改结果，完成验收。IT003-CA01-4.3.4服务台人员检查更改申请单及所有开发测试文档，文档齐备，则准备开始上线流程，进行上线会签，更改委员会对上线申请进行审批。新系统软件具有可维护性与可支持性IT003-CA01-4.3.4服务台人员需保留更改相关的所有文档。IT003-CA01-4.3.5对更改后的系统使用方法，由二线支持人员对关键用户进行培训，关键用户对本部门的人员进行使用前的培训。4.0政策和工作流程4.1信息系统规划 信息系统战略规划应当建立在公司战略的基础之上。信息系统战略是公司的职能管理战略之一，是公司信息系统功能要实现的任务、目标及实现这些任务和目标的方法、策略、措

32、施的总称。信息系统战略规划能够从帮助上汽集团实施其经营战略或形成新的经营战略的角度出发，建立以组织战略为导向、以外界环境为依据、以业务与IT整合为重心的观念；寻找和确定各种信息技术在集团内的应用领域，从而确定信息系统在整个组织的作用，进而实现整个上汽集团的经营战略目标。4.1.1信息系统战略包含以下内容业务背景和IT战略制定：通过理解业务战略发展制定IT战略；业务分析模型建立：通过至上而下的对上汽集团的理解建立业务分析模型；IT系统架构和系统定位：通过分析，标定系统覆盖范围，IT架构和系统定位;IT建设规划：根据IT系统目前现状，制定五年建设规划；IT资源对应用架构的支持：IT基础架构IT组织

33、发展；五年预算和组织规模发展：五年发展预算、五年组织规模的发展；4.1.2信息系统规划上报信息系统部应按要求制定集团IT战略规划及预算，并上报上汽集团规划部。各下属企业管理信息系统的机构应参照集团IT战略规划的要求，制定各自IT规划上报集团规划部，并在信息系统部备案。4.2系统开发4,2,1项目准备与立项启动 根据IT战略规划与系统实施路线图，结合业务部门的需求，需要启动新项目，项目负责人按照模板要求完成立项报告，提出立项申请并提请信息系统应用系统总监批准。立项报告审核批准后，项目管理办公室（PMO）进行项目注册，分配项目站点并培训项目实施规范。项目准备与立项工作完成。4.2.2制定项目计划

34、项目经理根据立项报告中批准的项目时间进度与资源安排制定详细的项目计划，并组织召开项目计划评审会，评审通过之后开始下一阶段的项目工作。4.2.4调研整理业务需求及系统需求 针对业务部门提出的需求进行调研成文档;业务需求说明书，需要经过业务部门关键用户（KBU）签字认可。业务需求批准后，以此为基础开发系统需求并整理成文档：系统功能需求说明书，系统非功能需求说明书，并提请相关责任人员审核。以上工作完成后，项目经理组织召开需求阶段评审会议，评审通过之后开始下一阶段的项目工作。4.2.5系统验证与测试 系统开发完成后开始进行系统的验证与测试，测试分为三个阶段：首先进行功能测试，以验证系统需求说明书中的每

35、个系统需求功能点得到满足；功能测试满足测试标准之后进行系统集成测试，系统集成测试将所有的需求点按照业务流程串起来，并需要考虑系统各模块之间的集成以及与外部系统之间的集成；系统集成测试满足测试标准之后进行用户验收测试，有业务部门关键用户执行测试以确保系统功能满足业务需求，并且需要在用户验收测试报告上进行签字确认系统满足验收标准。除了以上三个阶段的测试之外，针对特殊系统还需进行性能测试，以确认系统满足非功能方面的一些需求。以上工作完成后，项目经理组织召开系统测试阶段评审会议，评审通过之后开始下一阶段的工作。4.2.6系统部署 测试满足验收标准之后，进行用户培训（包括系统使用人员和系统维护人员），然

36、后申请系统上线，由PMO总监、应用系统总监和系统运行总监会签批准之后，将系统部署到正式的生产环境当中。以上工作完成之后，项目经理组织召开系统部署阶段评审会议，评审通过之后开始下一阶段的工作。4.2.7系统移交与项目关闭 项目正式上线之后进入系统移交阶段，系统运行基本正常之后结束移交进行项目关闭，项目经理完成项目总结报告，项目管理办公室确认项目知识进入知识库，项目经理组织召开项目关闭会议。4.3变更管理4.3.1提出系统更改申请 业务部门在使用发现系统问题，需填写系统更改申请单（CSR）；对于可能影响生产的严重的系统问题，还需由信息系统部相关负责人填写问题交流报告（PCR）。信息系统部人员在日常

37、巡检或其他工作中发现系统问题，也执行该流程。4.3.2申请审核与批准 所有的系统更改申请单都需先通过业务部门的关键用户（KBU）的确认签字，再经过业务部门经理审核批准后，提交给到信息系统部服务台（Helpdesk）人员。信息系统部在接收申请单时，需核查是否已经通过了业务部门关键用户和部门相关经理的批准，否则将退还给申请人。 由信息系统部提出的变更申请，也同样执行该更改申请流程。（已经有流程规定的补丁和病毒库更新除外）。4.3.3更改实施 信息系统部服务台（Helpdesk）人员对申请单进行登记。由CSR流程经理初审CSR申请单，指定Helpdesk相关人员对该CSR进行跟踪，按不同的功能区域分

38、配到相应功能区经理（包括应用支系统和基础设施），由功能区经理分派给相应人员进行分析。二线支持人员完成更改的方案和分析报告，区域功能经理对方案和分析报告进行复核，以确保该文档能符合业务用户的需要。 CSR流程运行经理每周定期组织更改委员会对更改申请及相关方案进行审批，对于紧急更改申请可在当天进行审批。紧急更改申请是指：影响制造、市场等关键业务，并可能造成业务中断的更改申请。 批准的申请和方案由二线支持人员进行开发、系统配置和测试，并完成相关的文档。测试内容包括单元测试、集成测试、用户测试（由用户完成）和压力测试。 功能区经理确认相关文档更新并批准后，才可以将更新上传至QA环境进行测试。业务部门用

39、户在测试环境（QA）下完成用户测试，并在测试报告上签字确认更改结果，完成验收。4.3.4更改上线 服务台人员检查更改申请单及所有开发测试文档，文档齐备，则准备开始上线流程，进行上线会签，更改委员会对上线申请进行审批。 以Helpdesk人员为主（二线人员支持）对批准的上线申请进行上线实施，跟踪系统正常运行二周后，正式关闭该CSR。 服务台人员需保留更改相关的所有文档。4.3.5更改培训 如果更改引起了用户的操作步骤或内容的改变，二线支持人员或用户对相应系统的操作手册进行更新，由用户进行最终确认、发布。 对更改后的系统使用方法，由二线支持人员对关键用户进行培训；关键用户对本部门的人员进行使用前的

40、不定期培训和测试，保证上岗人员掌握必要的系统操作技能。5.0职责分工申请人员：根据系统问题填写系统服务更改申请单关键用户（KBU）：应用系统的使用、操作人员；在系统更改中负责审核系统问题和更改目的，并对相关的更改程序进行用户测试和验收。申请部门相关经理：最终审核批准业务部门提出的系统更改申请和系统更改测试结构的审核。信息系统部服务台（Helpdesk）：负责登记、传递、跟踪整个CSR的处理流程。信息系统部应用支持人员：负责系统更改程序的开发、测试和系统更改实施上线。项目管理办公室（PMO）负责制定项目实施规范并监督项目实施。应用团队负责系统的实施工作。运行团队负责系统上线后的运维工作。7.0附件 附件 IT-003-7.1：系统服务更改申请单（CSR） 附件 IT-003-7.2：问题交流报告（PCR） 附件 IT-003-7.3：应用系统CSR方案和实施报告 附件 IT-003-7.4：CSR测试报告 附件 IT-003-7.5：上海汽车信息系统实施方法论专心-专注-专业