泉源:中华人民共和国财务部会计司
第一章 总 则
第一条 为了增进企业有用实验内部控制,�,�,,提高企业现代化治理水平,�,�,,镌汰人为因素,�,�,,凭证有关执律例则和《企业内部控制基本规范》,�,�,,制订本指引�。�。�。
第二条 本指引所称信息系统,�,�,,是指企业使用盘算机和通讯手艺,�,�,,对内部控制举行集成转化和提升所形成的信息化治理平台�。�。�。
第三条 企业使用信息系统实验内部控制至少应当关注下列风险:
(一)信息系统缺乏或妄想不对理,�,�,,可能造成信息孤岛或重复建设,�,�,,导致企业谋划治理效率低下�。�。�。
(二)系统开发不切合内部控制要求,�,�,,授权治理不当,�,�,,可能导致无法使用信息手艺实验有用控制�。�。�。
(三)系统运行维护和清静步伐不到位,�,�,,可能导致信息走漏或毁损,�,�,,系统无法正常运行�。�。�。
第四条 企业应当重视信息系统在内部控制中的作用,�,�,,凭证内部控制要求,�,�,,连系组织架构、营业规模、地区漫衍、手艺能力等因素,�,�,,制订信息系统建设整体妄想,�,�,,加大投入力度,�,�,,有序组织信息系统开发、运行与维护,�,�,,优化治理流程,�,�,,提防谋划风险,�,�,,周全提升企业现代化治理水平�。�。�。
企业应当指定专门机构对信息系统建设实验归口治理,�,�,,明确相关单位的职责权限,�,�,,建设有用事情机制�。�。�。企业可委托专业机构从事信息系统的开发、运行和维护事情�。�。�。
企业认真人对信息系统建设事情认真�。�。�。
第二章 信息系统的开发
第五条 企业应当凭证信息系统建设整体妄想提出项目建设方案,�,�,,明确建设目的、职员配备、职责分工、经费包管和进度安排等相关内容,�,�,,凭证划定的权限和程序审批后实验�。�。�。
企业信息系统归口治理部分应当组织内部各单位提出开发需求和要害控制点,�,�,,规范开发流程,�,�,,明确系统设计、编程、装置调试、验收、上线等全历程的治理要求,�,�,,严酷凭证建设方案、开发流程和相关要求组织开发事情�。�。�。
企业开发信息系统,�,�,,可以接纳自行开发、外购调试、营业外包等方式�。�。�。选定外购调试或营业外包方式的,�,�,,应当接纳果真招标等形式择优确定供应商或开发单位�。�。�。
第六条 企业开发信息系统,�,�,,应当将生产谋划治理营业流程、要害控制点和处理规则嵌入系统程序,�,�,,实现手工情形下难以实现的控制功效�。�。�。
企业在系统开发历程中,�,�,,应当凭证差别营业的控制要求,�,�,,通过信息系统中的权限治理功效控制用户的操作权限,�,�,,阻止将不相容职责的处理权限授予统一用户�。�。�。
企业应当针对差别数据的输入方式,�,�,,思量对进入系统数据的检查和校验功效�。�。�。关于必需的后台操作,�,�,,应当增强治理,�,�,,建设规范的流程制度,�,�,,对操作情形举行监控或者审计�。�。�。
企业应当在信息系统中设置操作日志功效,�,�,,确保操作的可审计性�。�。�。对异常的或者违反内部控制要求的生意和数据,�,�,,应当设计由系统自动报告并设置跟踪处理机制�。�。�。
第七条 企业信息系统归口治理部分应当增强信息系统开发全历程的跟踪治理,�,�,,组织开发单位与内部各单位的日常相同和协调,�,�,,催促开发单位凭证建设方案、妄想进度和质量要求完成编程事情,�,�,,对配备的硬件装备和系统软件举行检磨练收,�,�,,组织系统上线运行等�。�。�。
第八条 企业应当组织自力于开发单位的专业机构对开发完成的信息系统举行验收测试,�,�,,确保在功效、性能、控制要求和清静性等方面切合开发需求�。�。�。
第九条 企业应当切实做好信息系统上线的各项准备事情,�,�,,培训营业操作和系统治理职员,�,�,,制订科学的上线妄想和新旧系统转换方案,�,�,,思量应急预案,�,�,,确保新旧系统顺遂切换清静稳衔接�。�。�。系统上线涉及数据迁徙的,�,�,,还应制订详细的数据迁徙妄想�。�。�。
第三章 信息系统的运行与维护
第十条 企业应当增强信息系统运行与维护的治理,�,�,,制订信息系统事情程序、信息治理制度以及各�?�?�??�?樽酉低车南晗覆僮鞴娣叮�,�,,实时跟踪、发明息争决系统运行中保存的问题,�,�,,确保信息系统凭证划定的程序、制度和操作规范一连稳固运行�。�。�。
企业应当建设信息系统变换治理流程,�,�,,信息系统变换应当严酷遵照治理流程举行操作�。�。�。信息系统操作职员不得私自举行系统软件的删除、修改等操作�;;�;不得私自升级、改变系统软件版本�;;�;不得私自改变软件系统情形设置�。�。�。
第十一条 企业应当凭证营业性子、主要性水平、涉密情形等确定信息系统的清静品级,�,�,,建设差别品级信息的授权使用制度,�,�,,接纳响应手艺手段包管信息系统运行清静有序�。�。�。
企业应当建设信息系统清静保密和泄密责任追究制度�。�。�。委托专业机构举行系统运行与维护治理的,�,�,,应当审查该机构的资质,�,�,,并与其签署服务条约和保密协议�。�。�。
企业应当接纳装置清静软件等步伐提防信息系统受到病毒等恶意软件的熏染和破损�。�。�。
第十二条 企业应当建设用户治理制度,�,�,,增强对主要营业系统的会见权限治理,�,�,,按期审阅系统账号,�,�,,阻止授权不当或保存非授权账号,�,�,,榨取不相容职务用户账号的交织操作�。�。�。
第十三条 企业应当综合使用防火墙、路由器等网络装备,�,�,,误差扫描、入侵检测等软件手艺以及远程会见清静战略等手段,�,�,,增强网络清静,�,�,,提防来自网络的攻击和非法侵入�。�。�。
企业关于通过网络传输的涉密或要害数据,�,�,,应当接纳加密步伐,�,�,,确保信息转达的保密性、准确性和完整性�。�。�。
第十四条 企业应当建设系统数据按期备份制度,�,�,,明确备份规模、频度、要领、责任人、存放所在、有用性检查等内容�。�。�。
第十五条 企业应当增强服务器等要害信息装备的治理,�,�,,建设优异的物理情形,�,�,,指定专人认真检查,�,�,,实时处理异常情形�。�。�。未经授权,�,�,,任何人不得接触要害信息装备�。�。�。
鄂公网安备42010502000138