26-内控问卷调查表(业务内控-信息系统)
- 格式:xlsx
- 大小:16.77 KB
- 文档页数:12
过程管理符合度
其它(如通知、传 真、优秀实践和总
缺陷说明
责任部门
结果有效性管理符合度 结果有效性情况记录 检查结果 结果性文件名称 缺陷说明 责任部门
信息系统安全管理流程
信息系统安全管理流程
运行 与维 护 企业委托专业机构进行系统运行与维护管 理的,是否严格审查其资质条件、市场声 誉和信用状况等,并与其签订正式的服务 合同和保密协议 企业是否采取安装安全软件等措施防范信 息系统受到病毒等恶意软件的感染和破坏 企业是否特别注重加强对服务器等关键部 位的防护 对于存在网络应用的企业,是否综合利用 防火墙、路由器等网络设备,采用内容过 滤、漏洞扫描、入侵检测等软件技术加强 网络安全,严密防范来自互联网的黑客攻 击和非法侵入 对于通过互联网传输的涉密或关键业务数 据,企业是否采取必要的技术手段确保信 息传递的保密性、准确性和完整性 企业是否建立了系统数据定期备份制度, 明确备份范围、频度、方法、责任人、存 放地点、有效性检查等内容 系统首次上线运行时是否完全备份,并根 据业务频率和数据重要性程度,定期做好 增量备份 数据正本与数据备份是否分别存放于不同 地点,防止因火灾、水灾、地震等事故产 生不利影响。企业可综合利用磁盘、磁带 、光盘等备份存储介质 企业是否建立了信息系统开发、运行与维 护等环节的岗位责任制度和不相容职务分 离制度,防范利用计算机舞弊和犯罪 企业是否建立了用户管理制度,加强对重 要业务系统的访问权限管理,避免将不相 容职责授予同一用户,对于发生岗位变化 或离岗的用户,用户部门是否及时通知系 统管理人员调整其在系统中的访问权限或 企业是否采用密码控制等技术手段进行用 户身份识别,对于重要的业务系统,是否 采用数字证书、生物识别等可靠性强的技 术手段识别用户身份 企业是否定期对系统中的账号进行审阅, 避免存在授权不当或非授权账号,对于超 级用户,企业是否严格规定其使用条件和 操作程序,并对其在系统中的操作全程进 行监控或审计 企业是否积极开展信息系统风险评估工 作,定期对信息系统进行安全评估,及时 发现系统安全问题并加以整改 企业是否能够做好善后工作,不管因何种 情况导致系统停止运行,都能将废弃系统 中有价值或涉密的信息进行销毁、转移 企业是否严格按照国家有关法规制度和对 电子档案的管理规定(如审计准则对审计 证据保管年限的要求),妥善保管相关信
信息系统自行开发流程
信息系统自行开发流程
9
信息系统自行开发流程
10 11
信息系统自行开发流程
信息系统日常运行维护流程
12
日常运 行维护
信息系统日常运行维护流程
13
日常运 行维护 企业是否重视系统运行的日常维护,在硬 件方面,日常维护主要包括各种设备的保 养和安全管理、故障的诊断与排除、易耗 品的更换和安装等,这些工作应由专人负 企业是否配备专业人员负责处理信息系统 运行中的突发事件,必要时会同系统开发 人员或软硬件供应商共同解决 企业是否建立了标准流程来实施和记录系 统变更,保证变更过程得到适当的授权与 管理层的批准,并对变更进行测试 信息系统变更是否严格遵照管理流程进行 操作,信息系统操作人员不得擅自进行软 件的删除、修改等操作,不得擅自升级、 改变软件版本、不得擅自改变软件系统的 系统变更程序(如软件升级)是否遵循与 新系统开发项目相同的验证和测试程序, 必要时还应进行额外测试 企业是否加强紧急变更的控制管理 企业是否加强对将移植到生产环境中的控 制管理,包括系统访问授权控制、数据转 换控制、用户培训等 企业是否建立了信息系统相关资产的管理 制度,保证电子设备的安全 企业是否成立专门的信息系统安全管理机 构,由企业主要领导负总责,对企业的信 息安全做出总体规划和全方位严格管理, 具体实施工作由企业的信息主管部门负责 企业是否强化全体员工的安全保密意识, 特别要对重要岗位员工进行信息系统保密 培训,并签署安全保密协议 企业是否建立了信息系统安全保密制度和 泄密责任追究制度 企业是否按照国家相关法律法规及信息安 全技术标准,制定了信息系统安全实施细 企业是否根据业务性质、重要程度、泄密 情况等确定信息系统的安全等级,建立不 同等级信息的授权使用制度,采用相应技 术手段保证信息系统运行安全、有序 对于信息系统的使用者和不同安全等级信 息之间的授权关系,是否能够在系统开发 建设阶段就形成方案并加以设计,在软件 系统中预留这种对应关系的设置功能,以 便根据使用者岗位职务的变迁进行调整 企业是否有效利用IT技术手段对硬件配置 调整、软件参数修改严加控制。例如,企 业可利用操作系统、数据库系统、应用系 统提供的安全机制,设置安全参数,保证 系统访问安全;对于重要的计算机设备, 企业应利用技术手段防止员工擅自安装、 卸载软件或改变软件系统配置,并定期对 上述情况进行检查 信息系统日常运行维护流程、 硬件设备更新修复申请流程 信息系统日常运行维护流程、 硬件设备更新修复申请流程
41
信息系统安全管理流程
系统终 结
42
信息化会计档案的管理流程
43
签核人部门: 检查结 对应的管理制度 果 制度名称及编号 具体条款 过程管理情况记录 相应的业务流程 流程名称及编号
开始调查日期 结束调查日期 过程管理情况记录 相应的业务流程 流程简要描述
29 30 安全管 理 31
信息系统安全管理流程 信息系统安全管理流程 信息系统安全管理流程
32
信息系统安全管理流程
33
信息系统安全管理流程
34
信息系统安全管理流程
35
信息系统安全管理流程
36
信息系统安全管理流程
37
信息系统安全管理流程
38
信息系统安全管理流程
39
信息系统安全管理流程
40
信息系统安全管理流程、会计 信息管理人员操作流程
14
15
16
信息系统功能变更流程
系统变 更
17
信息系统功能变更流程
18 19
信息系统功能变更流程 信息系统功能变更流程
20 21
信息系统功能变更流程 信息系统安全管理流程
22
信息系统安全管理流程
23 24 25
信息系统安全管理流程 信息系统安全管理流程 信息系统安全管理流程
26
信息系统安全管理流程
27 信息 系统 运行 与维 护 28
调查人姓名: 调查人部门:
相关流程 信息系统战略规划流程、信息 系统政策制定流程
制定信 息系统 开发的 战略规 划
1
信息系统战略规划流程
2
信息系统战略规划流程 信息系统自行开发流程、信息 系统开发招标流程 信息系统自行开发流程 信息系统自行开发流程 信息系统自行开发流程
3
4
5 信息 系统 开发 6
7 信息系 统开发 过程管 理 8