需求分析 系统现状 资金申请审批系统 中国石化资金申请审批系统是中国石化为应对经济全球化所带来的挑战，以先进的计算 机技术为手段，把资金集中管理的规章制度和业务流程体现到计算机的应用管理程序上来予 以固化，减少人为因素，实现高效有序的信息化管理，达到统软件平台统规章制度统信息及业务编码统管理统监督的体化要求，实现财务资金的有效管理合 理应用，节约了运营成本，增强了市场竞争力，提高了管理决策水平。 资金申请审批系统是在中国石化经济金融体制双重改革不断深化的背景下产生并随之 发展壮大的，资金申请审批系统在中国石化发展的同时自身也有了长足的发展，在中国石化 的经营活动中起到了举足轻重的作用，为资金的统管理统分配提高使用效率降低 运行成本起到了积极的作用。 中国石化资金申请审批系统是个庞大而复杂的系统，涉及到总部和下属近家企业， 用户多地理范围广，资金申请审批系统的结构示意图如所示。 图资金申请审批系统结构示意图 资金申请审批系统由总部资金申请审批系统企业资金申请审批系统移动用户等三个部分构成。 总部资金申请审批系统 总部资金申请审批系统包含有开发测试区生产区数据交换系统以及客户端，其中 开发测试区包括浪潮用款申请系统开发测试区测试区数据交换系统测试区 生产区包括浪潮用款申请系统服务器以及存储备份系统 数据交换系统包括中国石化总部和银行两个部分，其中在总部包括服务器 前置服务器加密机防火墙等，在银行部分，涉及到与工行建行中行农行四个银行 的连接，设备包括银行前置服务器加密机防火墙等 客户端是指会计处资金处等业务用户在进行资金审批业务时使用的客户端，采用 浏览器的方式和浪潮用款申请系统连接进行业务处理。 企业资金申请审批系统 企业资金申请审批系统是指企业在提报资金申请时使用的客户端，采用浏览器的方 式和总部浪潮用款申请系统连接进资金申请。 移动用户 浪潮用款申请系统的移动用户是指技术安全管理指南第部分 安全的管理和规划 信息技术安全技术信息技术安全性评估准则第部分安 全功能要求 信息处理系统开放系统互连基本参考模型第部分安全体 系结构 信息系统安全工程的成熟度模型  其它内控安全要求。 目录 编制依据和原则 编写依据 项目意义 国内外现状及发展趋势 国外现状及发展趋势 国内现状及发展趋势 需求分析 系统现状 评估需求 评估目标和评估内容 项目目标 项目内容 工作策略 技术方案和技术路线 技术方案 技术路线 评估手段 评估工具 关键技术 核准通过，归档资料。 未经允许，请勿外传,投资估算 人天估算 投资估算 验收指标 阶段划分 总体验收内容及指标 项目实施计划 组织机构及人员安排 进度计划 可行性分析 技术可行性分析 投入产出分析 风险分析及规避 结论 参考文献资料 编制依据和原则 编写依据 国家信息化办公室要求国有大型企业对信息系统实施全面的安全评估 中国人民代表大会发布的中华人民共和国公司法要求 中华人民共和国财政部发布的中华人民共和国会计法及企业会计制度要求 中国银行业监督管理委员会发布的企业集团财务公司管理办法电子银行业务 管理办法电子银行安全评估指引要求 中国石化信息安全规划初稿要求 中国石化财务部将资金申请审批系统的安全稳定运行作为今后重点工作之，以保 证资金申请审批系统和业务的可持续发展 中国石化各级领导高度重视资金申请审批系统的安全，高层领导指示要了解资金申 请审批系统的安全状况，对资金申请审批系统进行全面的安全评估工作 内控对信息安全的要求。 项目意义 中国石化资金申请审批系统发展至今，已在全国家企业应用。为了保证系统可 靠稳定运行，巩固成果持续发展，有必要通过体系的安全评估，了解目前资金申 请审批系统面临的内外安全风险，为后续建设提供科学的决策信息，进步提高资 金申请审批系统服务能力服务水平。 通过对资金申请审批系统的安全评估，满足中国人民银行中华人民共和国财政部 中国银行业监督管理委员国务院国的安然公司及世通公司提供财务保教审计，美国国会出台年 公众公司会计改革和投资者保护法案该法案由美国众议院金融服务委员会主席奥克斯利 和参议院银行委员会主席萨班斯联合提出，又名萨班斯法案，简写 为法，要求所有根据美国年证券交易法向或者被要求向证券交易委员会 递交定期报告的公司包括美国和非美国公司，在会计职业监管公司治理证券市场监 管等方面，提高公司信息披露的准确性和可靠性，增加公司责任，规定更加严厉的处罚上市 公司会计和审计的不适当行为，针对企业财务会计系统，要求评估系统导致财务报告的 和造假的可能性和影响。 国内现状及发展趋势 随着全球化市场竞争的不断升级，中国政府和党中央充分认识到了信息化工作的重要战 略意义，在短短的几年内，我国金融能源电信行业通过重点投入和高速发展，平台 技术基本上实现了与国外的同步。 由于缺乏发达国家对信息技术应用和管理长期发展积累的经验，再加上我国市场化速度 较慢，许多信息技术设施建设还停留在内部使用，因此，在信息系统建设等信息化重要环节， 普遍对信息安全和信息系统安全关注不够对信息系统安全风险认识不足对信息安全体系 建设投入失衡，还或多或少存在着安全工作说起来重要干起来次要忙起来不要的现象，更谈不上有组织有计划有条理地进行体系化的信息系统安全评估了。 我国政府已经清醒地认识到信息安全问题的重要性，采取了系列措施，下发了有关文 件，要求实施信息系统安全性评估，对重要信息系统采取等级保护。 中国石化在我国能源行业是较早认识到信息系统安全问题的，进入世纪以来，信息 化发展迅速，信息系统规模日益庞大，生产经营办公管理等日益依赖信息技术，信息安全 问题就显得尤为重要。中国石化各级领导不仅抓好了生产安全，还非常重视信息化过程中的 信息安全工作，已经通过持续的信息安全投入，初步建立了技术保障体系和安全管理体系， 信息安全保障工作正在逐步走向规范化标准化信息化，正在全面落实五统战略， 要求针对重要的信息系统进行安全评估。 针对企业财务会计系统，中国人民银行中华人民共和国财政部中国银行业监督管理 委员会国务院国有资产监督管理委员会等分别颁布了相关的法规制度，如中华人民共 和国会计法企业会计制度企业财务有资产监督管理委员会对财务会计系统的合规 性要求。 通过中国石化资金申请审批系统的安全评估，进步提高资金申请审批系统安全保障能力，提高信息化水平和信息安全管理水平。 通过中国石化资金申请审批系统体系化的安全评估工作，明确下步基础设施建设 策略，为整个资金申请审批系统安全保障体系建设做出科学可行规划，控制建设 部署运维管理业务发展方面的各种技术风险。 通过对财务相关系统相关主机的安全评估，了解财务系统主机的安全现状，确定财 务系统相关主机存在的漏洞，制定主机系统加固措施，保障财务系统相关主机的安 全。这也是内控的基本要求。 中国石化经过多年的网络建设，已经建成了以光纤主干网为基础覆盖所有下属企 业的网络体系，总公司通过主干网与下属企业实现网络连接，形成了个向下覆盖 所有下属企业主要生产部门的信息网络，网络上承载着和系统等重要生 产经营系统，公司的生产经营对网络和主机系统的依赖程度越来越高，主干网络出 现问题将严重影响公司的效益和声誉。对总部局域网主干网和出口进 行信息安全评估，明确网络的信息安全保障能力，对中国石化具有重要的现实意义。 对公司站点渗透测试，为站点的安全提供保障基础。 国内外现状及发展趋势 国外现状及发展趋势 信息安全与信息系统安全评估是整个信息安全工作的重点之，是安全体系建设的基 础。 多年来，国外信息技术的发展与应用已经渗透到企业的各个层面，信息安全与信息系统 安全已经成为了项基础性长期性的工作，已经把信息安全投入作为信息系统拥有成本的 基本组成考虑，为了增加安全投资的可靠性针对性有效性，已经将信息安全风险评估标 准与规范落实到了信息系统的整个生命周期之中，实现了信息系统从规划设计到建设运行各个阶段信息安全风险评估和安全保障体系的同步建设。 国外比较大型的企业已经基本上建立的自己的信息安全保障体系标准，信息安全风险管 理作为重点工作之，只有通过标准化工作，才能保证信息系统的功能性能的有效发挥， 他们把信息安全评估工作作为重要的战略进行部署并贯彻执行。通常，他们会对其重要系统 每半年进行次安全评估，每三年对整个信息技术基础设施进行次全面评估。 尤其是年以来，随着安然世通等财务欺诈事件的发生， 以及安达信为涉嫌造假安全咨询顾问人 安全咨询顾问人 网络设备安全咨询顾问人 安全设备 高级安全咨询顾问人 安全咨询顾问人 企业 站点 站点渗透测试 高级安全咨询顾问人 分项 总计 应用安全专家 高级安全咨询顾问 业务顾问 应用技术顾问 安全咨询顾问 注上述每项时间包含前期准备时间现场时间后期分项文档时间综合 分析 应用安全分项与基础设 施分项综合分析 应用安全专家人 高级安全咨询顾问人 总计业务顾问人天 应用技术顾问人天 应用安全专家人天 高级安全咨询顾问人天 安全咨询顾问人天 项目 预算 注业务顾问是指熟悉中国石化业务流程的资深人员 应用技术顾问是指和技术顾问 应用安全专家是指熟悉资金申请审批系