《20制定信息系统内部控制制度.docx》由会员分享,可在线阅读,更多相关《20制定信息系统内部控制制度.docx(10页珍藏版)》请在金锄头文库上搜索。
1、20.3 制定信息系统内部控制制度20.3.2 信息系统开发管控制度信息系统是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。中小企业制定信息系统开发管控制度,有序组织信息系统的规划与开发,优化管理流程,能防范经营风险,并全面提升企业现代化管理水平。中小企业应针对信息系统开发管理工作作出相关的制度规范,具体示范如下。制度名称信息系统开发管控制度编 号受控状态执行部门监督部门编修部门第1章 总则第1条 目的为了提高公司的工作效率,提升企业信息系统的可靠性、稳定性、安全性,特制定本制度。第2条 适用范围本制度适用于信息部与各用户部门使用企业信息系统的相关人员。第3
2、条 信息系统归口管理1信息系统开发归口管理。信息系统开发业务由信息部信息系统开发专员负责,上级主管领导为信息部经理和信息总监。2信息系统变更归口管理。信息系统上线后,发生的功能变更必须经过信息部经理和信息总监的严格审核和审批。3信息系统维护归口管理。信息系统的日常检测由信息部维护专员负责,上级主管领导为信息部经理和信息总监。第2章 信息系统规划与开发第4条 信息系统规划管理参与人员及分工1信息总监做信息系统开发项目的总体规划。2信息系统开发项目经理根据总体规划制订开发计划。3信息系统开发专员负责收集开发资料。第5条 信息系统规划存在的风险及应对策略1市场竞争风险,竞争优势有可能被仿效。对此,企
3、业应增加自身特色,提高信息系统的技术含量和竞争优势。2政治、经济环境和法律、法规风险。应对策略是做详尽的可行性分析,采用先进工具进行风险控制。3缺乏高层领导支持。应对策略是培训、沟通、聘请权威专家讲座等。第6条 信息系统开发原则公司信息系统开发所遵循的原则如下表所示。信息系统开发原则一览表主要原则具体说明因地制宜原则 应根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统成本效益原则 计算机信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,企业可以选择对重要领域中关键因素进行信息系统改造理念与技术并重原则 信息系统建设应当将信息系统技术与信
4、息系统管理理念整合,倡导全体员工积极参与信息系统建设,正确理解和使用信息系统,提高信息系统运作效率第7条 事先设定信息系统的操作权限信息总监、信息部经理在信息系统开发之前,要将相应的操作权限设定好,以便信息人员在开发时将其嵌入到系统程序中,从而使系统达到自动检查、纠正错误和舞弊行为的目的。第8条 编写信息系统开发任务书信息系统开发任务书包含的内容如下。1信息系统名称。2信息系统应该达到的技术性能。3信息系统的操作环境。4开发信息系统的具体工作计划。5开发信息系统的人员与协作单位。6开发信息系统的费用预算。第3章 信息系统上线测试第9条 信息系统的测试测试专员需将系统测试中所出现的问题记录成册,
5、定期交予信息部经理。第10条 新旧信息系统切换1在新系统安装调试前,要制定紧急预案,以确保新系统发生故障时能切回到旧系统。2必须完成整体测试和用户验收测试后才可安装调试。3新旧系统切换时,进行数据迁移必须建立数据迁移计划,并对迁移结果进行测试。4安装后的信息系统功能变更时,重新按照系统开发的有关程序进行。第11条 信息系统的日常检测与维护1对于公司自主开发的信息系统,根据其大小、性能定期检测、定期维护。2数据库管理专员将数据库中的数据定期备份,以防止系统出现问题时数据丢失。3信息系统出现问题时,信息部员工按编制的应急预案进行处理。第4章 附则第12条 本制度由信息部制定,解释权、修改权亦归信息
6、部。第13条 本制度自总经理办公会审批之日起实施,修改时亦同。编制日期审核日期批准日期修改标记修改处数修改日期20.3.3 信息系统安全管理制度信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,信息系统能够连续正常运行。中小企业应针对信息系统安全管理工作作出相关的制度规范,具体示范如下。制度名称信息系统安全管理制度编 号受控状态执行部门监督部门编修部门第1章 总则第1条 目的为将强公司信息系统管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据中华人民共和国计算机信息系统安全保护条例等有关规定,结合本公司实际
7、情况,特制定本制度。第2条 适用范围本制度适用于信息部与各用户部门涉及使用公司信息系统的相关人员。第3条 名词解释信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第2章 网络安全管理第4条 遵守国家有关法律、法规,严格执行安全保密制度,不得利用公司网络进行下列行为。1不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动。2不得制作、浏览、复制、传播反动及色情信息。3不得在网络上发布反动、非法和虚假的消息。4不得在网络上谩骂攻击他人。5不得在网上泄露他人隐私。第5条 严禁通过网络进行任何黑客活动
8、和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。具体措施如下。1可分租、分时效、分个人、分权限控制使用、注册使用USB存储设备;出现事故可直接追究当事人或者部门负责人责任。2无线网卡管理:设置终端用户允许或禁止使用无线网卡。3可信内网安全区域:设置网内可相互正常通信的IP地址范围,在同一安全域中的机器可相互通信。不在同一安全域而且没有经过授权或者安装客户端的机器不能与内网中的计算机通信。4ARP报警:网络内出现ARP攻击后即报警,并进行ARP病毒防范。第6条 各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得进入内网。具体措施如下。1终端安全报警。终端用户未运行指定程序或者未安装规
9、定必须安装的防病毒软件后即报警,可进行重启、锁定键盘鼠标、发通知信息或者强制阻断网络不允许其进入单位网络等操作。2杀毒软件管理。查看终端机器所安装的杀毒软件名称、病毒库版本及运行情况。第3章 信息系统外接设备安全管理第7条 凡登记在案的外接信息设备,信息部都应对其进行管理,包括但不限于打印机、扫描仪、光驱、软驱、刻录机、无线网卡等。各项的管理措施如下表所示。外部设备管理措施一览表序号外部设备管理措施1光驱管理设置终端机器允许或禁止使用光驱2软驱管理设置终端机器允许或禁止使用软驱3刻录机管理设置终端机器允许或禁止使用刻录机4新增加设备管理设置终端机器允许或禁止新增加设备5添加打印机管理设置终端机
10、器允许或禁止新增加打印机6打印机管理设置终端机器允许或禁止使用打印机7红外端口管理设置终端用户允许或禁止使用红外端口8蓝牙管理设置终端用户允许或禁止使用蓝牙设备9无线上网卡管理设置终端用户允许或禁止使用无线上网卡第8条 外接信息设备的安全管理实行“谁使用谁负责”的原则,主要是移动存储设备U盘等。出现事故问题可直接追究当事人或者部门负责人责任。第9条 设备出现故障无法维修或维修成本过高,且符合报废条件的,由该设备的使用部门提出申请,并填写“信息设备报废申请表”,由相应部门经理签字后报信息部。经信息部对设备使用年限、维修情况等进行鉴定,将报废设备交有关部门处理,如报废设备能出售,将收回的资金交财务
11、部入账。同时,信息部对报废设备登记备案、存档。第4章 数据安全管理第10条 计算机终端用户计算机内的资料涉及公司机密的,应该为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工资资料收回并保存。第11条 工作范围内的重要数据由计算机终端用户定期更新、备份,并提交给所在部门经理,由部门经理保存。具体的管理措施如下。1远程文件管理。管理员可远程操作客户端硬盘上的所有文件,包括下载、上传、删除、查看、远程执行等操作。2图档权限控管。定制终端用户机器的某些文档或目录禁止被剪切、复制、删除、重命名,
12、从而保障文档的安全性,不被删除或非法删除。3图档备份。对终端用户机器上的重要文件进行自动备份或手动备份到文档备份服务器。4备份日志查询。查看终端用户文件备份的详细情况,并可进行文档恢复操作,保证终端文件安全。第12条 终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点:对采用磁性介质或关盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。第5章 信息系统操作管理第13条 未经培训的操作人员禁止使用信息系统。第14条 公司信息系统中的软件升级、杀毒、安装等由信息部统一操作,禁止用户部门的操作人员擅自进行系
13、统软件的删除、升级、杀毒、改变或卸载系统软件版本等。第15条 信息部工作人员在信息系统中设置的安全参数与软件系统环境配置等,禁止用户部门的操作人员修改。第16条 操作人员离开工作现场时,要锁定或退出已经运行的程序,防止他人利用自身账号操作,否则造成的后果由当事人自己承担。第17条 更换操作人员或密码泄露后,用户必须及时修改密码。第18条 公司信息系统中的信息、数据为企业资产,禁止未经授权的操作人员使用存储介质存储。第6章 信息系统安全处罚措施第19条 以下情况之一者,视情节严重程度处以100元以上1 000元以下的罚款。构成犯罪的,依法追究刑事责任。1制造或者故意输入、传播计算机病毒以及其他有
14、害数据的。2非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的。3对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作的。4访问未经授权的文件、系统或更改设备设置。5申请人在设备领用或报废一周之内未将涉及表单交到信息部。6擅自与他人更换使用计算机或相关设备。7擅自调整部门内部计算机的安装且未向信息部备案。8日常抽查、岗位调动、离职时检查到计算机配置与计算机档案不符,IT设备卡被撕毁、涂画或遮盖等。9工作时间外使用公司计算机做与工作无关的事务。10相同故障出现三次以上(包括三次)仍未自行处理的。11因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭。第20条 计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备价值的20%80%赔偿,并给予行政处罚。第7章 附则第21条 本制度由信息部会同公司其他有关部门进行解释。第22条 本制度配套办法由信息部会同公司其他有关部门另行制定。第23条 本制度自 年 月 日起实施。编制日期审核日期批准日期修改标记修改处数修改日期20.3.6 信息系统委托开发管理制度中小企业可以采用合同方式委托专业机构对信息系统进行开发,通过整合
