起源:中华人民共和国财政部管帐司
第一章 总 则
第一条 为了推进企业有效执行内部节造���������,提高企业现代化治理水平���������,削减报答成分���������,凭据有关司法律规和《企业内部节造根基规范》���������,造订本指引�����。
第二条 本指引所称信息系统���������,是指企衣符用推算机和通讯技术���������,对内部节造进行集成转化和提升所形成的信息化治理平台�����。
第三条 企衣符用信息系统执行内部节造至少该当关注下列风险:
(一)信息系统不足或规划不合理���������,可能造成信息孤岛或沉复建设���������,导致企业经营治理效能低下�����。
(二)系统开发不切合内部节造要求���������,授权治理不当���������,可能导致无法利用信息技术执行有效节造�����。
(三)系统运行守护和安全措施不到位���������,可能导致信息泄漏或毁损���������,系统无法正常运行�����。
第四条 企业该当器沉信息系统在内部节造中的作用���������,凭据内部节造要求���������,结合组织架构、业务领域、地域散布、技术能力等成分���������,造订信息系统建设整体规划���������,加大投入力度���������,有序组织信息系统开发、运行与守护���������,优化治理流程���������,防备经营风险���������,全面提升企业现代化治理水平�����。
企业该当指定专门机构对信息系统建设执行归口治理���������,明确有关单元的职责权限���������,成立有效工作机造�����。企业可委托专业机构从事信息系统的开发、运行和守护工作�����。
企业掌管人对信息系统建设工作掌管�����。
第二章 信息系统的开发
第五条 企业该当凭据信息系统建设整体规划提出项目建设规划���������,明确建设指标、人员建设、职责分工、经费保险和进度铺排等有关内容���������,依照划定的权限和法式审批后执行�����。
企业信息系统归口治理部门该当组织内部各单元提出开发需要和关键节造点���������,规范开发流程���������,明确系统设计、编程、装置调试、验收、上线等全过程的治理要求���������,严格依照建设规划、开发流程和有关要求组织开发工作�����。
企业开发信息系统���������,能够采取自行开发、表购调试、业务表包等方式�����。选定表购调试或业务表包方式的���������,该当选取公开招标等大局择优确定供给商或开发单元�����。
第六条 企业开发信息系统���������,该当将出产经营治理业务流程、关键节造点和处置规定嵌入系统法式���������,实现手工环境下难以实现的节造职能�����。
企业在系统开发过程中���������,该当依照分歧业务的节造要求���������,通过信息系统中的权限治理职能节造用户的操作权限���������,预防将不相容职责的处置权限授予统一用户�����。
企业应倒仉对分歧数据的输入方式���������,思考对进入系统数据的查抄和校验职能�����。对于必须的后盾操作���������,该当加强治理���������,成立规范的流程造度���������,对操作情况进行监控或者审计�����。
企业该当在信息系统中设置操作日志职能���������,确保操作的可审计性�����。对异常的或者违背内部节造要求的买卖和数据���������,该当设计由系统自动汇报并设置跟踪处置机造�����。
第七条 企业信息系统归口治理部门该当加强信息系统开发全过程的跟踪治理���������,组织开发单元与内部各单元的日常沟通和协调���������,督促开发单元依照建设规划、打算进度和质量要求实现编程工作���������,对建设的硬件设备和系统软件进行查抄验收���������,组织系统上线运行等�����。
第八条 企业该当组织独立于开发单元的专业机构对开发实现的信息系统进行验收测试���������,确保在职能、机能、节造要求和安全性等方面切合开发需要�����。
第九条 企业该当切实做好信息系统上线的各项筹备工作���������,培训业务操作和系统治理人员���������,造订科学的上线打算和新旧系统转换规划���������,思考应急预案���������,确保新旧系统顺利切换和安稳衔接�����。系统上线涉及数据迁徙的���������,还应造订具体的数据迁徙打算�����。
第三章 信息系统的运行与守护
第十条 企业该当加强信息系统运行与守护的治理���������,造订信息系统工作法式、信息治理造度以及各�����?樽酉低车木咛宀僮鞴娣���������,实时跟踪、发现和解决系统运行中存在的问题���������,确保信息系统依照划定的法式、造度和操作规范持续不变运行�����。
企业该当成立信息系统调换治理流程���������,信息系统调换该当严格遵循治理流程进行操作�����。信息系统操作人员不得擅自进行系统软件的删除、批改等操作�������;不得擅自升级、扭转系统软件版本�������;不得擅自扭转软件系统环境配置�����。
第十一条 企业该当凭据业务性质、沉要性水平、涉密情况等确定信息系统的安全等级���������,成立不一致级信息的授权使用造度���������,选取相应技术伎俩保障信息系统运行安全有序�����。
企业该当成立信息系统安全保密和泄密责任查究造度�����。委托专业机构进行系统运行与守护治理的���������,该当审查该机构的资质���������,并与其签定服务合同和保密和谈�����。
企业该当采取装置安全软件等措施防备信息系统受到病毒等恶意软件的习染和粉碎�����。
第十二条 企业该当成立用户治理造度���������,加强对沉要业务系统的接见权限治理���������,定期审阅系统账号���������,预防授权不当或存在非授权账号���������,不容不相容职务用户账号的交叉操作�����。
第十三条 企业该当综合利用防火墙、路由器等网络设备���������,缝隙扫描、入侵检测等软件技术以及远程接见安全战术等伎俩���������,加强网络安全���������,防备来自网络的攻击和犯法侵入�����。
企业对于通过网络传输的涉密或关键数据���������,该当采取加密措施���������,确保信息传递的保密性、正确性和齐全性�����。
第十四条 企业该当成立系统数据定期备份造度���������,明确备份领域、频度、步骤、责任人、存放地址、有效性查抄等内容�����。
第十五条 企业该当加强服务器等关键信息设备的治理���������,成立优良的物理环境���������,指定专人掌管查抄���������,实时处置异常情况�����。未经授权���������,任何人不得接触关键信息设备�����。
鄂公网安备42010502000138