当前位置:文档之家 › 内部控制手册-信息系统运行、维护、安全管理

内部控制手册-信息系统运行、维护、安全管理

  • 格式:doc
  • 大小:219.50 KB
  • 文档页数:20

下载文档原格式

  / 20

合集下载

内部控制流程手册_信息系统管理

内部控制流程手册_信息系统管理

内部控制流程手册第十七章信息系统管理第二节不兼容岗位职责表及岗位职责分配表第三节业务流程及控制说明INF001. 信息系统的开发INF002. 信息系统的运行INF003. 信息系统的维护第四节相关制度索引INF001. 信息系统的开发主要描述了公司信息系统开发流程和控制,主要包括制定和审批项目建设方案,明确企业信息系统归口部门以及各职能部门的职责,跟踪督促系统上线运行进度,验收测试信息系统完成情况,制定数据迁移计划,培训业务操作及管理人员等内容。

INF002. 信息系统的运行主要描述了公司信息系统的运行流程和控制,主要包括制定信息系统工作流程及操作规范,用户授权使用制度,信息系统变更流程的建立。

INF003. 信息系统的维护主要描述了公司信息系统的维护的流程和控制,主要包括制定信息系统维护操作规范,系统数据的监控,以及日常维护等内容。

第二节不兼容岗位职责表及岗位职责分配表X:表示相互冲突的职责附注:角色1.信息化建设发展规划的编制角色2.信息化建设发展规划的审批角色3.项目立项申请角色4.项目立项审批角色5.项目合同签订角色6.项目合同审核角色7.项目实施过程中的管理角色8.项目评审角色9.项目竣工验收第三节业务流程及控制说明INF001. 信息系统的开发1.0适用范围本流程及控制适用于XXXX公司(“公司”)。

2.0控制目标和关键控制活动3.03.0 业务流程说明3.1各部门信息系统管理的职责在信息系统建设中,公司各职能部门在本部门职责范围和权限内,职责如下:1>行政办公室主要职责:a)归口管理公司的信息系统工作;b)负责公司的信息系统的硬件及软件安全工作;c)参与并指导信息系统项目开发工作,参与系统的评估工作;d)督促、协助系统正常运行;e)协助承办部门修订相关规章和制度。

2>承办部门主要职责:a) 技术项目的立项、评估工作,进行可行性分析;b) 对项目进行阶段性测试,确保系统正常、有序运行;c) 草拟信息技术项目的合同;d) 制定规章和制度;e) 组织对员工的培训和考核工作;f) 负责对承办的信息技术项目进行维护(含安全)工作;g) 确保信息系统项目数据得到及时更新。

内部控制信息系统安全管理制度模版(2篇)

内部控制信息系统安全管理制度模版(2篇)

内部控制信息系统安全管理制度模版第一章总则第一条为了加强企业内部控制信息系统的安全管理,防止信息泄露、系统瘫痪等安全风险的产生,保护企业利益和客户利益,制定本制度。

第二条本制度适用于企业的内部控制信息系统安全管理。

第三条企业的内部控制信息系统安全管理应遵循“科学规划、严格执行、持续监督、及时改进”的原则。

第四条企业应建立健全内部控制信息系统安全管理制度,明确相关的工作职责、权限和流程。

第五条企业应建立安全风险评估和应急响应机制,严格按照相关规定进行评估和响应。

第六条企业应加强对人员的培训和教育,提高员工的安全意识和防范能力。

第七条企业应定期检查和评估内部控制信息系统的安全性,及时发现和解决安全问题。

第二章内部控制信息系统的建设和维护第八条企业应按照国家相关法律法规的要求,建设和维护内部控制信息系统。

第九条企业应制定详细的内部控制信息系统建设和维护方案,并严格执行。

第十条企业应购买和使用正版软件,不得使用盗版或未经授权的软件。

第十一条企业应建立完备的设备管理制度,对内部控制信息系统的硬件设备进行管理和维护。

第十二条企业应加强对网络设备的管理,确保网络设备的安全和可靠运行。

第十三条企业应建立合理的系统备份和恢复机制,确保数据和系统的安全性和可靠性。

第三章安全管理责任第十四条企业应明确安全管理的责任机构和责任人,并给予相应的授权和支持。

第十五条安全管理责任人应具备相关的安全知识和专业能力,负责制定安全管理制度和工作计划。

第十六条安全管理责任人应组织安全培训和教育,提高员工的安全意识和防范能力。

第十七条安全管理责任人应建立完备的安全监控和报告机制,及时发现和解决安全问题。

第十八条安全管理责任人应定期评估和改进安全管理制度,并报告上级领导。

第四章信息安全风险评估第十九条企业应建立信息安全风险评估机制,定期对内部控制信息系统的安全风险进行评估和分析。

第二十条信息安全风险评估应包括系统架构、业务流程、岗位职责、技术安全等方面的风险评估。

公司内部信息系统管理手册

公司内部信息系统管理手册
(6)确保信息系统按照规定的程序、制度和操作规范持续稳定运行;
(7)定期进行数据备份,且对数据存储设备做定期的维护,保养;
(8)定期升级杀毒软件,保证系统的稳定性和安全性;
(9)规范信息系统保密管理流程,提高公司信息化管控程度,保证公司信息系统的可靠运行;
(10)加强公司信息数据的管理模式,提高员工的信息安全保密意识。
技术中心


《计算机管理办法》(参照XX文件)
《计算机软件和数据管理办法》(参照XX文件)
《信息化建设考核管理办法》(参照XX文件)
D4
数据未能定期备份:定期备份数据,且对数据备份的软硬件做定期的维护
技术中心


《《计算机管理办法》(参照XX文件)
《计算机软件和数据管理办法》(参照XX文件)
《信息化建设考核管理办法》(参照XX文件)
1.2信息系统管理主要风险
(1)信息系统实现目标未与企业业务目标保持一致,可能导致开发的信息系统没有实际利用价值;
(2)信息系统无实施、开发项目计划,导致项目实施、开发失控;
(3)信息系统访问安全措施不当,可能导致商业秘密泄露;
(4)信息系统开发与使用违反国家法律、法规,企业可能遭受外部处罚、经济损失和信誉损失;
6、项目小组负责信息系统项目的具体组织、实施和协调工作,并制定项目具体实施计划和进度分解实施方案。
7、形成《项目设计方案》、《项目开发文档》、《项目模块测试报告》、《项目集成测试报告》等阶段性文档。
8、项目试运行,时间不少于二至三个周期。
技术中心、项目小组
业务部门

《计算机管理办法》(参照XX文件)
《计算机软件和数据管理办法》(参照XX文件)

内部控制信息系统安全管理制度

内部控制信息系统安全管理制度

第一章总则第一条为加强公司内部控制,保障信息系统安全,防范和降低信息风险,确保公司业务正常运行,特制定本制度。

第二条本制度适用于公司内部所有信息系统及其相关人员。

第三条本制度遵循以下原则:1. 预防为主、防治结合原则;2. 安全可靠、分级管理原则;3. 依法合规、持续改进原则;4. 安全责任到人原则。

第二章组织机构与职责第四条公司设立信息系统安全管理部门,负责公司信息系统的安全管理工作。

第五条信息系统安全管理部门的主要职责:1. 制定和修订公司信息系统安全管理制度;2. 监督和检查公司信息系统安全状况;3. 组织开展信息系统安全培训;4. 负责信息系统安全事件的调查和处理;5. 协调公司内部及外部资源,保障信息系统安全。

第六条各部门应按照本制度要求,落实信息系统安全管理工作,确保信息系统安全。

第三章信息系统安全管理制度第七条信息系统安全管理制度应包括以下内容:1. 系统安全策略:明确公司信息系统的安全目标和要求,制定相应的安全策略;2. 访问控制:建立严格的用户身份验证和权限管理机制,确保用户访问系统资源的合法性和合理性;3. 安全配置:定期检查和评估系统配置,确保系统安全;4. 数据安全:采取加密、备份、恢复等措施,保障公司数据安全;5. 网络安全:加强网络安全防护,防止网络攻击和入侵;6. 软件安全:定期更新软件补丁,防范软件漏洞;7. 事件响应:建立信息系统安全事件响应机制,及时处理安全事件;8. 安全审计:定期进行安全审计,确保信息系统安全。

第八条公司应定期对信息系统进行安全评估,根据评估结果制定改进措施,持续提升信息系统安全水平。

第四章安全教育与培训第九条公司应定期开展信息系统安全教育和培训,提高员工的安全意识和技能。

第十条培训内容应包括:1. 信息系统安全基础知识;2. 信息系统安全管理制度;3. 信息系统安全操作规范;4. 安全事件应急处理。

第五章奖励与惩罚第十一条公司对在信息系统安全管理工作中表现突出的个人或集体给予奖励。

内部控制信息系统安全管理制度

内部控制信息系统安全管理制度

内部控制信息系统安全管理制度内部控制是指组织为了保护和增强组织资产、完善业务程序、确保企业运营的有效性和效率、合规性以及财务报告的可靠性而采取的一系列措施和制度。

信息系统安全管理制度是内部控制的重要组成部分,其主要目标是确保组织的信息系统能够安全运行,防范各类安全威胁的发生。

本文将就内部控制信息系统安全管理制度展开详细阐述。

一、信息系统安全管理制度的基本原则1. 统一管理原则:建立统一的信息系统安全管理部门,负责全局安全的规划、设计和实施。

2. 分级管理原则:根据信息系统的级别和敏感程度,将其分为不同的等级,实行相应的安全管理措施。

3. 完整性原则:确保信息系统中的数据完整、准确和可靠。

4. 保密性原则:对组织的机密信息和敏感数据进行严格保密,避免信息泄露。

5. 可用性原则:保证信息系统的可用性,确保用户能够方便地获取所需的信息。

二、信息系统安全管理制度的组成要素1. 安全政策:组织应制定明确的安全政策,明确信息系统安全的目标和要求,确保安全政策与组织的战略和运营目标相一致。

2. 安全组织:建立专门的信息系统安全管理部门,负责制定安全策略、规范和标准,监督和检查信息系统安全的执行情况。

3. 安全风险管理:组织应建立完善的安全风险管理机制,对信息系统可能面临的安全风险进行定期评估和控制。

4. 安全培训和意识:组织应定期对员工进行信息安全培训,提高员工的安全意识和技能,避免因员工的错误行为而导致安全事件发生。

5. 安全控制措施:制定明确的安全控制措施,包括物理控制、技术控制和组织控制,确保信息系统的安全性。

6. 安全事件管理:建立完善的安全事件管理机制,能够及时发现和处理安全事件,并对事件进行事后的分析和改进。

7. 安全检查与审计:定期对信息系统进行安全检查和审计,发现潜在的安全问题并追溯事件的原因,以便采取相应的纠正措施。

三、信息系统安全管理制度的实施步骤1. 制定安全策略:根据组织的需求和安全风险评估结果,制定适合组织的安全策略和规范。

内部控制信息系统的建设与运维管理

内部控制信息系统的建设与运维管理

内部控制信息系统的建设与运维管理在现代企业的管理中,内部控制信息系统的有效建设与运维管理愈发显得重要。

随着信息技术的迅猛发展,越来越多的企业依赖信息系统来提高决策效率、优化资源配置和降低运营风险。

因此,如何保证这些系统的稳定性、安全性以及合规性成为了管理者们亟待解决的问题。

构建一个高效的内部控制信息系统,不仅需要充分的技术支持,还需要结合企业自身的管理需求。

要明确内部控制信息系统的框架及其功能模块。

一般来说,内部控制信息系统应包括风险评估、控制活动、信息与沟通、监督等核心模块。

这些模块相辅相成,共同构建起企业内部控制的基础。

在建设过程中,系统的选型至关重要。

企业可以根据自身的规模、行业特性以及管理要求,选择适合的软硬件设备。

通常,为提高系统的灵活性和可扩展性,选择模块化设计的方案更为理想。

模块化不仅方便后期的维护和升级,还能根据业务发展需要进行动态调整。

内部控制信息系统要有效运作,数据的准确性与及时性必不可少。

设计时,企业需搭建完善的数据收集与处理机制。

通过集成来自各个业务部门的数据,构建统一的数据平台,以确保信息的流通与共享。

企业需建立健全的数据质量监控体系,定期审查和更新数据内容,确保提供的数据真实可靠。

系统建设完成后,运维管理同样不可忽视。

定期的系统检查与维护是防止潜在风险的有效手段。

工作人员应制定详细的运维计划,涵盖系统性能监测、故障应急处理、安全漏洞修复等内容。

这不仅能提升系统的稳定性,也能增强调度应变能力。

在进行运维管理时,权限管理也是一个重要环节。

由于内部控制信息系统通常涉及敏感财务数据和关键业务信息,严谨的权限控制能够有效避免信息泄露和滥用。

企业需根据岗位职责,合理划分访问权限,并定期进行审查与更新,以保持权限设置的合理性。

培训与文化建设不可或缺。

企业应重视对员工的培训,使其了解内部控制信息系统的操作流程与安全规程。

只有员工充分认识到信息安全的重要性,才能增强他们的责任感与参与感,确保系统的高效运行。

公司信息系统内控手册(信息部)

第十八号信息系统第一章信息系统的开发管理一、业务目标•确保信息系统的建设过程符合国家法律、法规及企业部管理制度的要求。

•合理规划企业信息系统建设,促进企业战略目标的实现。

•严格控制信息系统项目实施过程,保证系统建设质量。

二、业务风险•信息系统的建设与运行违反国家法律、法规和监管机构的要求,可能使企业遭受外部处罚。

•信息系统发展缺少合理的规划或者落实不到位,无法确保企业全面战略目标的实现。

三、业务围该子流程主要描述了XXXXXXX股份信息系统管理的相关工作流程,主要包括:项目立项审批,项目合同签订,项目实施管理,项目验收管理等。

四、业务流程描述1、项目立项1.1公司各单位按照企业信息化建设规划,根据本单位业务管理需要,在每年12月31日前提出企业信息化应用系统建设项目申请,编制应用系统项目申报材料,提交对口业务部门和信息中心。

项目申报材料的具体要求请参考《XXXXXXX信息化应用系统需求管理制度》。

1.2信息中心按照《XXXXXXX信息化建设管理制度》规定的职责分工,将需求方案分送各相关业务部门进行业务审核。

信息中心负责项目申报材料的技术审核。

1.3业务需求牵头部门、信息中心按照分工完成业务审核和技术审核后,报信息化工作领导小组审定。

1.4信息中心负责将审核项目进行汇总,对重大项目组织专家论证,编制年度项目计划,经信息化办公室审核,报信息化领导小组审批。

1.5信息中心根据信息化领导小组审定的年度项目计划,按照部门预算管理要求,汇总编制年度公司信息化经费预算及建设项目经费预算,报分管副总、总经理审批,并将批复结果以书面形式通知集团相关单位。

1.6未经信息化领导小组批准的建设项目,不得自行筹集经费建设。

2、项目实施过程管理2.1经信息化领导小组批准的建设项目,由信息中心确认开发商或供应商,并根据《XXXXXXX信息化建设项目合同管理制度》签订项目合同。

2.2信息中心会同对口业务部门确认详细的业务功能需求和业务流程,确认开发任务,合理配置开发资源。

《企业内部控制流程手册》-信息系统

第1章 企业内部控制流程——信息系统1.1 信息系统与审批控制1.1.1 信息系统战略规划流程1.信息系统战略规划流程与风险控制图信息系统战略规划流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 董事会信息化领导小组信息部用户部门D1D2D3开始信息系统战略规划如果未与企业业务目标保持一致,可能导致开发的信息系统没有实际利用价值如果信息系统战略规划未经适当审核或超越授权审批,可能会产生重大差错或舞弊、欺诈行为,从而使企业遭受损失如果信息系统战略规划方法不适合企业的实际情况,可能导致信息系统无法顺利完成下达企业 业务目标参与审提出信息系统 战略规划项目进行可行性分析拟定项目框架要求选择信息系统 战略规划方法起草信息系统 战略规划方案 参与对方案进行 评价和仿真 进行仿真撰写信息系统 战略规划报告 组织开发信息系统结束进行开发1234562.信息系统战略规划流程控制表1.1.2 重要信息系统政策制定流程1.重要信息系统政策制定流程与风险控制图重要信息系统政策制定流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 董事会信息部 使用部门D1D2开始 结束重要信息系统政策制定申请如果未经审批或越权审批,可能导致企业经济损失如果职责分工、权限范围和审批程序不规范、机构设置和人员配备不合理、重要信息系统制定未能按照审批程序进行编制,可能会产生重大差错或舞弊、欺诈行为,从使企业遭受损失提出重要信息系统政策制定申请 1通过未通过审批组织编制重要 信息系统政策 起草《重要 信息系统政策》 召开重要信息系统 政策编制研讨会参与整理、汇总各部门提出的建议和意见审批234下达正式《重要信息系统政策》资料归档2.重要信息系统政策制定流程控制表1.2 系统开发与维护控制1.2.1 信息系统自行开发流程1.信息系统自行开发流程与风险控制图信息系统自行开发流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 总经理运营总监信息部人员用户部门D1 D2D3开始如果信息系统开发与使用未经适当审核或超越授权审批,可能会产生重大差错或舞弊、欺诈行为,从而使企业遭受损失如果信息系统访问安全措施不当,可能导致商业秘密泄露如果信息系统开发与使用违反国家法律、法规,企业可能遭受外部处罚、经济损失和信誉损失提出信息系统开发申请审结束1审受理该项申请分析需求 编制《系统开发任务书》32审审设计程序方案 编写程序代码进行系统测试安装、调试系统使用授权开始使用7456892.信息系统自行开发流程控制表1.2.2 信息系统开发招标流程1.信息系统开发招标流程与风险控制图信息系统开发招标流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段总经理信息部/用户部门项目管理小组外包商D1D2D3开始结束如果信息系统开发招标违反国家法律、法规,企业可能遭受外部处罚、经济损失和信誉损失如果信息系统开发招标、评标不规范,可能导致徇私舞弊的行为或商业秘密泄露,从而造成企业经济损失如果信息系统开发招标过程违反法律、法规和企业的规章制度,企业可能会受到有关部门的处罚,从而造成资产损失审索取资格审查文件资料归档确定采用招标方式选择外包合作商参与评标发布招标广告2填报资格审查文件进行资格审查发售招标书34接收标书发送投标书组织评标选取中标者审发布中标通知接到中标通知书谈判并签订合同签订合同561782.信息系统开发招标流程控制表。

信息系统安全管理与维护技术手册

信息系统安全管理与维护技术手册第一章:引言随着信息技术的发展,信息系统在企事业单位中扮演着越来越重要的角色。

然而,随之而来的是信息系统的安全问题。

本手册旨在提供信息系统安全管理与维护的技术指导,帮助企事业单位确保信息系统的安全性和稳定性,减少因安全漏洞而可能导致的风险。

第二章:信息系统安全管理2.1 安全策略制定与执行2.1.1 风险评估与管理为确保信息系统的安全,企事业单位应该进行全面的风险评估和管理。

这包括确定可能的威胁和漏洞,并制定相应的对策,以减少风险的发生。

2.1.2 安全政策制定与宣传企事业单位应该制定明确的安全政策,并进行全员宣传。

安全政策应包括密码设置要求、网络使用规范等内容,以确保所有员工都能够理解并遵守相关规定。

2.1.3 安全培训与意识提高企事业单位应定期进行安全培训,提高员工的安全意识。

培训内容可以包括社会工程学攻击防范、网络诈骗防范等,以帮助员工识别和应对各类安全威胁。

2.2 访问控制与身份认证2.2.1 用户身份认证管理企事业单位应采用有效的用户身份认证机制,确保只有经过验证的用户才能访问系统。

常见的身份认证方式包括密码、指纹识别等。

2.2.2 访问控制策略与权限管理为避免未经授权的访问,企事业单位应制定访问控制策略,并进行权限管理。

对不同等级的用户设置不同的访问权限,以确保敏感信息仅被授权的人员访问。

第三章:信息系统维护3.1 系统漏洞管理与修补3.1.1 安全补丁管理企事业单位应定期检查系统漏洞并安装相应的安全补丁。

安全补丁的及时安装对于防止黑客攻击和恶意软件感染至关重要。

3.1.2 漏洞扫描与漏洞修复定期进行漏洞扫描,及时发现系统存在的漏洞。

一旦发现漏洞,应该立即采取措施进行修复,以避免黑客利用漏洞进行攻击。

3.2 数据备份与恢复3.2.1 完备的备份策略企事业单位应制定完备的数据备份策略,确保重要数据的安全性和可用性。

备份频率、备份介质、备份存储地点等都需要考虑到。

内部控制信息系统安全管理制度

内部掌控信息系统安全管理制度第一章总则第一条为加强企业内部掌控,保障信息系统安全,提高企业管理效率和竞争力,订立本《内部掌控信息系统安全管理制度》(以下简称“本制度”)。

第二条本制度适用于本企业内全部与信息系统相关的各个部门、岗位及人员,以确保信息系统的稳定运行和数据安全。

第三条本制度的遵守和执行,是每个员工的基本义务,违反制度规定者将依法追责。

第二章安全管理第四条企业应建立健全信息系统的安全管理制度,包含安全策略、安全组织、安全标准、安全掌控和安全审计等方面。

第五条企业应明确信息系统安全的目标和要求,依据不同的业务特点,订立相应的安全策略和方案。

第六条企业应建立信息系统安全组织机构,设立信息安全管理部门,订立并实施信息系统安全规划,负责信息系统的安全管理和监督。

第七条企业应建立信息系统安全评估制度,定期对系统进行安全评估和风险评估,及时发现和解决可能存在的安全隐患。

第八条企业应建立信息系统安全标准,订立安全运维规范,明确安全风险防范和掌控措施。

第九条企业应建立信息系统安全掌控措施,包含网络安全、数据安全、系统访问掌控、应用安全等方面,确保系统运行稳定和数据安全。

第十条企业应建立信息系统安全审计制度,定期对系统进行安全审计,查找并矫正系统中可能存在的漏洞和问题。

第三章权责分明第十一条企业应明确信息系统安全相关的各部门和岗位的职责和权限,确保信息系统的安全管理层级化、分工明确。

第十二条信息安全管理部门负责订立信息系统安全相关的政策、流程和标准,并组织实施相关培训和宣传活动。

第十三条各部门应加强对员工信息安全意识的培训和教育,提升员工的信息安全意识和技能水平。

第十四条各部门负责订立本部门内部的信息系统安全管理制度,并监督执行情况。

第十五条各岗位人员应严格遵守本制度的规定,保证信息系统的安全和保密,不得泄露、窜改、销毁企业信息。

第十六条各岗位人员应加强自身信息安全防范意识,合理使用密码、账号和身份验证等安全措施,保障信息系统的安全运行。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18.2-C4
预防性
机房管理每天检查机房温度、湿度以及防火、防水、清洁情况,并记录上述工作情况,保管有关的文档

机房环境情况记录表
18.2-PR5
机房管理员未定期检查机房主要设备的运行使用情况,可能导致设备的持续正常运转无法保证,造成公司的业务正常运营受影响
18.2-C5
预防性
机房管理员每天检查UPS的工作状态,每季度对UPS电池放电一次,并记录上述工作的情况,保管有关的文档
公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责,无法有效防范设备出现异常物理状况而不能运行
18.2-C3
预防性
1)保持键盘、鼠标、显示器、主机干净,各种接口紧固,严禁带电插拔计算机的各种配件;
2)计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用;
3)计算机或附属设备发生故障,使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件;
4)任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路,因工作原因需要移动的,及时通知系统管理人员,由系统管理人员报行政人事部办公室;
5)电信网及处室网络相连的机房建设,在电源防护、防盗、防火、防水、防尘、防雷等方面,采取规范的技术保护措施

机房环境情况记录表
18.2-PR4
机房管理未检查机房的环境和状态,可能导致机房设备受损,造成公司的资产和数据安全受影响
1.4职责分工
ERP专员:负责公司信息化安全管理,ERP系统及服务器的建设规划、安全运行及定期维护。
1.5流程图
1.6控制矩阵
18.2-PR1
信息中心的出入未严格控制,可能导致系统设置被篡改或安全被破坏,影响公司的数据安全
18.2-C1
预防性
行政人事部下属办公室指定专人管理机房和配线箱。如果非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档

系统病毒查杀情况记录表
18.2-PR9
公司未建立系统安全保密与泄密追究制度,可能导致系统接触人员未能对数据保密,公司机密数据外泄,影响公司日常生产经营
18.2-C9
预防性
公司网站的系统软件、应用软件及信息数据要实施保密措施。涉密信息不得在上网设备上操作或存储,所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责
18.2-PR8
系统中未安装有效安全软件或采取有效措施防范系统受到病毒等恶意软件的感染和破坏,可能导致系统无法持续稳定运行,影响公司日常经营生产
18.2-C8
预防性
信息系统使用部门会同信息管理员进行正版杀毒软件的采购并定期杀毒,对所有在用计算机必须定期进行病毒检测,使用广域网的计算机要严防病毒通过网络传播。微机维护人员对杀毒软件应定期或不定期升级
3)会计岗位权限包括软件功能权限、科目使用权限、报表使用权限及其他权限,应根据各会计岗位工作内容经会计机构负责人授权后由系统管理员负责授予权限,临时性授权在完成会计机构负责人所批准的任务后立即收回;
4)出纳员、维护人员、程序人员均不准进行数据录入操作

系统人员职责分配表
18.2-PR7
操作软件被操作人员随意变更、更新、删除、修改等操作,可能导致系统环境配置被改变,影响系统正常稳定运行

保密协议
18.2-PR10
缺乏有效的系统故障处理平台及处理程序,可能导致业务中断,影响公司的日常生产经营
18.2-C10
发现性
系统运行时,应获得充分的维护保障。系统发生故障时,系统管理员应及时给予处理。月末、年末时更应立即解决。属于系统优化或不影响正常业务流程的问题,系统管理员可视工作需要决定解决的时间。对于系统运行环境变化、单位核算方式变化、管理需求变化等问题,系统管理员应进行合理的预计,提前规划,制定实施方案,确保系统的平稳运行

故障应急处理机制
18.2-PR11
服务器中安装软件无授权批准,可能导致数据安全环境受损,影响业务的持续稳定和数据的准确完整
18.2-C11
预防性
系统的服务器中安装软件须经过行政人事部下属办公室的批准,由操作系统管理员在测试环境中安装测试后,再在此服务器中安装。软件安装的全过程,由操作系统管理员记录和保管相关文档

出入登记表
18.2பைடு நூலகம்PR2
各类人员未经授权可随意进出设备存放地或触摸系统关键设备,可能导致设备遭遇人为损坏,影响公司日常生产经营
18.2-C2
预防性
行政人事部下属办公室指定专人管理机房和配线箱。如果非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档

出入登记表
18.2-PR3

软件安装审批表
18.2-PR12
未采取必要的措施监控直接读写数据库数据的操作,可能导致数据发生未经授权的篡改或丢失,影响业务的持续稳定或财务数据的准确完整
18.2-C12
发现性
数据库管理员每季度对直接访问数据库的情况进行检查,禁止未经授权的直接访问数据库的情况存在

数据库访问记录
18.2-PR13
18.2-C7
预防性
1)操作人员离开系统时应退出系统或进行系统封锁,操作人员对自己口令下的所有操作及安全负完全责任;
2)系统管理员应每月检查一次工作日志,核实操作人员的上机时间、操作内容等;
3)财务部门应会同信息管理员严格保护所有在用正版软件的版权,包括网络、数据库、操作系统、财务软件等

系统工作日志

机房设备定期维护登记表
18.2-PR6
系统未建立适当的职责分离制度,可能导致系统人员职责存在冲突、数据发生篡改,影响公司日常生产经营
18.2-C6
预防性
1)系统管理员要根据用户的岗位加强对用户访问的控制,根据需要分为不同的级别,对不同级别的用户设置访问文件、数据等资源的不同权限;
2)财务信息系统超级管理权限由会计机构负责人管理,会计机构负责人授予系统管理人员数据备份和其他日常工作权限;
更改数据库安全设定或参数时(例如:口令设定)未进行相关授权,可能导致数据安全环境受损,发生未经授权的篡改或丢失,影响业务的持续稳定或财务数据的准确完整
18.2 信息系统运行、维护、安全管理
1.1概述
规定了XXX股份有限公司及其下属公司有关信息系统管理方面的具体要求,涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程,旨在确保公司信息系统运行的安全性及稳定性。
1.2适用范围
适用于XXX股份有限公司及其下属公司。
1.3相关制度
暂缺,建议补充相关制度。