信息化管理办法.doc

关于印发中国石化信息化管理办法的通知各企事业单位、股份公司各分（子）公司：现将中国石化信息化管理办法印发给你们，请遵照执行。2015年 月 日通用业务制度-原则类制度名称中国石化信息化管理办法制度编号 JZGSH-B11-21-031-2015-1制度文号 制度版本2主办部门信息化管理部所属业务类别信息化管理会签部门发展计划部下位制度制定者企业制定实施类/执行类制度审核部门法律部企业改革管理部解释权归属信息化管理部签发日期废止说明原中国石化信息化管理办法(中国石化信2011151号)同时废止生效日期制定目的贯彻2006-2020年国家信息化发展战略，以信息化带动工业化、走新型工业化道路，全面推进中国石化信息化建设，提升技术水平，增强市场应变力，提高内部控制力和工作效率，进一步加强和规范信息化管理工作制定依据国家信息化政策和集团公司有关信息化要求适用范围各企事业单位、股份公司各分（子）公司约束对象信息化管理涉及的相关制度/业务类别/所属层级/1 总体要求 1.1 管理原则中国石化*信息化工作坚持“统一规划，统一标准，统一设计,统一投资，统一建设，统一管理”（以下简称六统一）的原则，由总部信息化管理部（以下简称信息部）归口管理。1.1.1 统一规划信息化规划在中国石化*中长期发展规划的指导下统一制定，涵盖总部、各业务板块及各企业信息化建设与应用。各业务板块以及重大项目、重要领域的信息化专项规划在信息化规划指导下制定。1.1.2 统一标准建立统一完整的信息化标准体系，包括业务流程模板、数据模型、信息代码、信息技术标准和信息化标准管理规范等。信息化建设和应用执行统一的信息化标准，并根据需要及时扩充和完善信息化标准体系。1.1.3 统一设计所有信息化项目须遵循中国石化*信息化总体规划的框架、技术架构和技术路线，项目的技术方案（包括基础设施共享资源配置、架构设计、标准化等）、安全方案由信息部归口审查管理。1.1.4 统一投资根据信息化规划，由总部统筹安排信息化年度项目建议计划和投资计划。对于总部统一组织的信息系统项目的投资列入总部信息化投资计划；事业部（专业公司）专有信息系统和专业软硬件配套项目的投资列入各事业部（专业公司）投资计划管理。1.1.5 统一建设总部牵头组织的信息化项目，纳入总部统一建设管理范畴，各事业部（专业公司）、企业不再重复建设；事业部（专业公司）牵头组织的信息化项目，企业不再重复建设；企业信息化管理部门统筹管理企业信息化项目建设。项目建设要充分利用中国石化*自己的技术力量，重大项目应采用先试点后推广的模式进行。1.1.6 统一管理信息化规划、年度计划、投资、技术方案、标准、系统建设、系统应用和运行维护、安全、队伍建设、技术培训等均纳入信息部门统一管理范畴。1.2 管理体系 按照“统一归口、分类管理”的方针，建立上下一体的信息化管理体系，对信息化工作进行全方位管理。1.2.1 统一归口按“六统一”原则,建立上下一体的信息化管理体系，统一归口信息化管理，发挥专业化管理和软硬件资源共享的优势。1.2.2 分类管理根据总部投资计划、费用管理要求，对信息化项目实行分类管理。1.2.2.1 一类项目是指总投资在1000万元（含）以上的技术服务类项目和500万元（含）以上的软硬件购置项目。1.2.2.2 二类项目指总投资在200万元（含）以上1000万元以下的技术服务类项目，200万元（含）以上500万元以下的计算机软硬件购置项目。1.2.2.3 三类项目是指总投资在200万元以下的信息化应用系统建设项目和计算机软硬件购置项目等。2 组织机构和职责 2.1 集团公司信息化工作领导小组（以下简称领导小组）主要职责2.1.1 按照国家信息化工作的方针、政策及中国石化*的信息化发展战略，确定信息化建设的指导思想、目标和任务。2.1.2 审议信息化规划、项目年度计划以及重要的信息化标准。2.1.3 决策信息化重大事项。2.1.4 推动、检查重大信息系统建设和应用。2.1.5 指导、监督信息安全工作。2.2 信息部主要职责2.2.1 负责公司信息化工作规章制度和信息化标准、规范的拟定、修订并组织落实。2.2.2 负责统筹信息化的规划、计划和预算，统筹软硬件资源统一配置和信息共享，负责IT共享服务中心的建设和管理。2.2.3 负责统一组织制定信息化规划及信息化年度计划，指导各事业部（专业公司）编制本板块信息化中长期建议规划分册及信息化年度建议计划；负责与发展计划部对接并确定信息化年度投资计划；负责统筹信息化费用预算管理，会同财务部审核各事业部（专业公司）信息化年度费用预算。2.2.4 负责统筹信息化项目的立项管理，负责信息化应用、运维的综合管理。2.2.5 负责信息安全体系的规划、设计、建设和运维，负责信息化项目技术方案、安全方案的审查。2.2.6 负责制定软硬件资源选型配置的标准、技术路线，负责基础设施共享资源统一配置管理。2.2.7 负责统筹IT战略合作伙伴、IT供应商的审查管理。2.2.8 负责信息化培训、队伍建设，负责新技术跟踪应用以及对外交流合作。2.2.9 负责信息化的考核与评价工作。2.2.10 负责软件正版化工作。2.3 总部职能部门职责提出所辖业务的信息化需求，梳理相关的业务流程、协助信息部开展相关信息系统建设，负责组织推广、指导应用。2.4 各事业部（专业公司）主要职责2.4.1 参与编制公司信息化总体规划，负责编制本板块信息化专项规划，负责编制本板块信息化年度建议计划及费用预算。2.4.2 负责提出本板块信息化项目的业务需求，负责业务流程梳理优化和业务解决方案审查等，协助信息部开展总部统一推广的信息化项目建设。2.4.3 负责组织本板块内专有应用系统的建设、应用、推广、运维，开展信息技术标准规范在本板块宣传贯彻实施。2.4.4 负责本板块信息系统运维、安全建设需求汇总和申报，配合信息部开展安全建设，负责本板块信息系统应用安全管理和保密工作，负责本板块信息系统用户权限和业务变更管理，负责本板块信息系统业务层面应急策略和演练。2.4.5 负责本板块信息系统基础设施配置建设需求汇总和申报，配合信息部开展基础设施共享资源建设。2.4.6 负责本板块信息化应用管理。按照总部统一的信息化应用管理办法，对本板块日常应用工作进行检查考评。2.5 企业信息化主要职责2.5.1 企业信息化领导小组，按照总部的部署和要求，确定企业信息化建设的目标和任务；决策企业信息化重大事项；审议企业信息化项目年度建议计划；推动重大信息化项目的建设与应用，监督、检查建设和应用；指导、监督信息安全工作。2.5.2 企业信息化管理部门负责企业信息化建设、应用和管理；负责组织编制企业信息化工作规章制度和有关标准、规范的拟定、修订并组织落实；组织编制企业信息化项目年度建议计划；负责本单位信息系统安全，参与信息技术标准制订并贯彻执行；负责企业层面IT供应商资质审查管理；负责企业层面信息化项目软硬件统一选型和配置管理；负责信息技术交流和培训；负责本单位信息化队伍建设。3 管理内容3.1 信息化管理内容包括规划、计划、立项与投资、项目建设、供应商及采购管理、应用与运行维护、信息化标准、信息安全、风险管理、信息化评价、队伍建设等管理。3.2 规划管理3.2.1 信息化规划、各专项规划，确定信息化建设方向，明确项目和投资规模，作为信息化项目立项和建设依据。3.2.2 信息化规划及专项规划主要包括业务及信息化现状分析、信息化战略、目标、信息化蓝图、实施部署等内容。3.2.3 信息化规划、专项规划每3-5年编制发布一版本。3.2.4 信息部每年组织对信息化规划、专项规划执行情况及其对业务的适应性进行评估，根据需要对规划进行滚动调整。滚动调整方案审议批准后，纳入集团公司发展规划综合平衡。3.3 计划管理3.3.1 每年10月份完成下一年度建议计划的编制，纳入集团公司信息化项目库统筹平衡。3.3.2 建议计划包括信息化项目主要建设内容、投资预算、可行性说明等。3.3.3 信息化年度建议计划经审查通过后，纳入公司年度投资计划管理。3.3.4 未纳入信息化年度计划的信息化项目，原则上不立项、不建设。3.4 立项与投资管理3.4.1 报国家有关部门立项的信息化项目，由信息部组织编制可行性研究报告，并组织专家组进行评审，由集团公司行文上报，项目资金按照总部相关规定执行。3.4.2 按照集团公司内控管理要求，列入总部年度信息化建设投资总额的信息化项目：3.4.2.1 一类项目，信息部负责组织项目可行性研究报告编制、论证评审，总部职能部门、事业部（专业公司）参与可行性研究报告论证评审。项目立项由信息部报发展计划部审核批复。3.4.2.2 二类项目，信息部负责组织项目可行性研究报告编制、论证评审，总部职能部门、事业部（专业公司）参与可行性研究报告编制和论证评审。项目立项由信息部报总部分管领导审批后办理批复，并抄送发展计划部备案。3.4.2.3 三类项目，信息部负责项目可行性研究报告编制、论证评审、项目立项批复。事业部（专业公司）、企业参与可行性研究报告编制、论证评审并组织实施。3.4.3 列入各事业部（专业公司）投资计划管理的信息化项目：3.4.3.1 一类项目，事业部（专业公司）负责组织项目可行性研究报告编制、论证评审；信息部参与可行性研究报告编制和论证评审，负责项目的总体技术架构、信息安全、标准化、基础设施配置的审查论证。3.4.3.2 二类项目，事业部（专业公司）负责组织项目可行性研究报告编制、论证评审；信息部负责项目的信息安全、标准化、基础设施配置的审查论证。3.4.3.3 三类项目，事业部（专业公司）负责组织项目可行性研究报告编制、论证评审。事业部（专业公司）、企业组织实施。3.4.4 工程和生产建设项目中信息化配套信息化项目的建设方案经信息部会同职能部门或事业部（专业公司）审查通过后方可实施。3.4.5 具有前瞻性、创新性和软课题研究等信息化项目，列入总部科技开发计划，由信息部组织可行性论证后，报科技部立项。3.4.6 未按照上述要求对可行性研究报告或初步方案审查的项目不予立项。3.5 项目建设管理3.5.1 信息化项目建设管理主要包括初步设计、合同签订、详细设计、开发实施、测试、上线运行、验收和后评估等内容。3.5.2 投资总额500万元(含)以上的信息化项目必须编制初步设计，审查通过后，方可启动项目建设。3.5.3 所有信息化项目必须编制详细设计。3.5.4 列入总部年度信息化建设投资总额的信息化项目，由信息部统筹项目建设过程管理。一类、二类项目，由信息部组织验收及后评估，三类项目由项目责任单位组织验收，并报信息部备案。3.5.5 列入各事业部（专业公司）投资计划管理的信息化项目，事业部（专业公司）统筹项目建设过程管理、验收和后评估；信息部统筹总体技术架构审查、安全方案评估和安全等级测评等。3.5.6 项目验收时完成相关文档归档，确保项目档案完整、准确、系统、有效。3.5.7 信息管理部门负责对信息化项目实施过程中形成的知识产权成果履行登记申报程序，实施有效保护。3.6 供应商及采购管理。3.6.1 按照中国石化*供应商管理要求，依托中国石化*供应商网络，信息部负责对IT供应商统一审查、准入管理。3.6.2 严格限定准入IT供应商许可供应产品目录。不得向供应商采购许可供应产品目录外的软硬件产品。3.6.3 严格控制代理商的准入以及代理产品目录的审查，原则上生产商能够准入供应的不允许代理商代理。3.6.4 没有列入招标目录或零星设备但必须采购的，采用询比价形式采购。3.7 系统应用与运行维护管理3.7.1 建立健全总部和事业部（专业公司）、企业三级信息系统应用管理体系。信息部负责制定统一的信息系统应用管理制度；事业部（专业公司）专有的信息系统自行制定应用目标、考核办法；企业信息系统应用管理按照总部及事业部（专业公司）要求制定相关细则。3.7.2 建立健全总部和事业部（专业公司）、企业三级级信息系统运行维护体系。总部信息系统运行维护支持中心负责总部统一部署的应用系统和基础设施共享资源的运行维护，指导事业部（专业公司）、企业运行维护工作；事业部（专业公司）负责本板块专有信息系统的业务运行维护；企业信息技术队伍负责本单位信息基础设施和应用系统的运行维护。3.8 标准管理3.8.1 信息部负责信息化标准的制定和统一管理，信息化标准管理包括信息化标准体系规划、方案设计、应用监督检查、运行维护和日常综合管理等。总部职能部门、事业部（专业公司）参与标准体系的设计、制定和应用。3.8.2 按照总部的部署和要求，各级信息化管理部门做好信息化标准的推广应用工作，负责信息化标准需求的收集、审核和提报，以及信息化标准的培训、宣传贯彻和日常维护等工作。3.8.3 信息化项目建设应用中要严格执行发布的信息化标准，总部将不定期对信息化标准的应用情况进行检查和考核，对未应用信息化标准或应用情况不好的系统提出整改要求，新建系统不符合信息化标准要求将不予验收。3.9 安全管理3.9.1 信息安全管理由领导小组统一领导，信息部负责制定公司信息安全策略和制度体系。按照“谁主管谁负责，谁运行谁负责”的原则，各信息系统的主管部门、建设、应用和运维单位各自承担相关的安全责任。3.9.2 事业部（专业公司）负责本板块的信息安全工作，落实本板块信息系统安全工作责任制，负责本板块信息系统安全自查及整改工作。3.9.3 各企业负责本单位的信息安全工作，负责落实公司信息系统安全相关规章制度和技术标准，建立完善安全技术防护体系，保证本单位信息系统稳定可靠运行。3.9.4 按照国家安全等级保护标准要求，信息系统实行分级安全保护。信息系统建设与信息安全坚持同步规划、同步建设、同步运行的“三同步”原则和适度保护原则。3.9.5 员工应严格遵守信息系统和终端计算机安全使用要求，做好办公计算机、移动存储介质中的文档资料保护。3.10 系统风险管理3.10.1 信息系统风险管理包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进。3.10.2 总部统一制定信息系统风险评估标准和方案实施要求。3.10.3 新建信息化项目，要在可行性研究报告中包含信息技术风险评估内容；已投用的信息系统，当业务流程和应用、系统结构及状况、系统运行环境发生重大变化，以及其他有必要适时进行信息系统风险评估；等级保护为三级的信息系统，每年要进行1次信息系统风险评估；部分涉及资金、资产安全的信息系统，每年进行1次信息系统风险评估。3.10.4 信息技术风险评估形成风险评估报告，制定风险管理策略、实施风险管理并持续跟踪改进。3.11 信息化评价和队伍建设3.11.1 完善信息化评价体系。由信息部组织，定期对总部、事业部（专业公司）、企业进行信息化水平综合评价和专项评价，对企业领导人进行信息化绩效考核。3.11.2 建立健全信息化管理、建设、运维和应用队伍。总部和企业按照信息化管理体系和职责要求，设置相关岗位，通过信息化专业培训，培育和引进信息化复合型人才，不断提升管理人员、业务人员信息化素质。3.11.3 建立信息化激励机制。3.11.3.1 定期开展信息化工作评优活动，对信息化工作先进单位、集体和个人进行表彰奖励。3.11.3.2 畅通信息化人才成长通道，建立信息化专家队伍，在总部、事业部（专业公司）、企业推行设立信息化首席专家、专家和主任师等信息化专业职位。4 检查与监督 4.1 检查与监督主体 领导小组检查、监督信息部的管理工作、总部各职能部门和事业部（专业公司）的应用工作；信息部检查、监督企业信息管理部门的管理工作；信息部、总部有关职能部门和事业部（专业公司）检查、监督企业的应用工作。4.2 检查与监督方法 信息化工作主要通过企业信息化评价、企业层面信息技术整体控制、一般性控制和应用控制等要求进行检查与监督。5 附则5.1 本办法由信息部负责解释。 5.2 所属事业部（专业公司）及企业可依据本办法制定相关信息化管理细则。5.3 本办法自正式发布起生效，中国石化*信息化管理办法（中国石化*信2011151号）同时废止。