企业内部控制应用指引之内部信息传递

1、企业内部控制制应用指引第第17号内部信息传传递一、信息系统内内部控制概述述 企业内部控制制应用指引第第18号信息系统中中所指信息系系统，是指企企业利用计算算机和通信技技术，对内部部控制进行集集成、转化和和提升所形成成的信息化管管理平台。信息系统内部控控制的目标是是促进企业有有效实施内部部控制，提高高企业现代化化管理水平，减减少人为操纵纵因素；同时时，增强信息息系统的安全全性、可靠性性和合理性以以及相关信息息的保密性、完完整性和可用用性，为建立立有效的信息息与沟通机制制提供支持保保障。信息系统内部控控制的主要对对象是信息系系统，由计算算机硬件、软软件、人员、信信息流和运行行规程等要素素组成。 企

2、业信息系统内内部控制以及及利用信息系系统实施内部部控制至少应应当关注下列列方面：1、信息系统缺缺乏或规划不不合理，可能能造成信息孤孤岛或重复建建设，导致企企业经营管理理效率低下；2、系统开发不不符合内部控控制要求，授授权管理不当当，可能导致致无法利用信信息技术实施施有效控制；3、系统运行维维护和安全措措施不到位，可可能导致信息息泄漏或毁损损，系统无法法正常运行。 二、信息系统的的开发 企业根据发展战战略和业务需需要进行信息息系统建设，首首先要确立系系统建设目标标，根据目标标进行系统建设设战略规划，再再将规划细化化为项目建设设方案。企业开展信息系系统建设，可可以根据实际际情况，选择择自行开发、外

3、外购调试或业业务外包等方方式。选择外购调试或或业务外包方方式的，应当当采用公开招招标等形式择择优选择供应应商或开发单单位。选择自行开发信信息系统的，信信息系统归口口管理部门应应当组织企业业内部相关业业务部门进行行需求分析，合合理配置人员员，明确系统统设计、编程程、安装调试试、验收、上上线等全过程程的管理要求求。企业信息系统归归口管理部门门应当加强信信息系统开发发全过程的跟跟踪管理，增增进开发单位位与企业内部部业务部门的的日常沟通和和协调，组织织独立于开发发单位的专业业机构对开发完成成的信息系统统进行检查验验收，并组织织系统上线运运行。（一）制定信息息系统开发的的战略规划信信息系统开发发的战略规

4、划划是信息化建建设的起点。战略规划是以企企业发展战略略为依据制定定的企业信息息化建设的全全局性、长期期性规划。制定信息系统战战略规划的主主要风险是：缺乏战略规规划或规划不不合理，可能能造成信息孤孤岛或重复建建设，导致企企业经营管理理效率低下；没有将信息息化与企业业业务需求结合合，降低了信信息系统的应应用价值。主要控制措施：第一，企业必须须制定信息系系统开发的战战略规划和中中长期发展计计划，并在每每年制定经营营计划的同时时制定年度信信息系统建设设计划，促进进经营管理活动动与信息系统统的协调统一一。第二，企业在制制定信息化战战略过程中，要要充分调动和和发挥信息系系统归口管理理部门与业务务部门的积极

5、极性，使各部部门广泛参与与，充分沟通通，提高战略略规划的科学学性、前瞻性性和适应性。第三，信息系统统战略规划要要与企业的组组织架构、业业务范围、地地域分布、技技术能力等相相匹配，避免免相互脱节。 （二）选择适当当的信息系统统开发方式信信息系统的开开发建设是信信息系统生命命周期中技术术难度最大的的环节。在开发建设环节节，要将企业业的业务流程程、内控措施施、权限配置置、预警指标标、核算方法法等固化到信信息系统中，因因此开发建设设的好坏直接接影响信息系系统的成败。开发建设设主要有自行行开发、外购购调试、业务务外包等方式式；企业应根据据自身实际情情况合理选择择。 1自行开发是是企业依托自自身力量完成成

6、整个开发过过程。其优点点是开发人员员熟悉企业情情况，可以较较好地满足本本企业的需求求，尤其是具具有特殊性的的业务需求。通过自行开发，还还可以培养锻锻炼自己的开开发队伍，便便于后期的运运行和维护。其其缺点是开发发周期较长、技技术水平和规规范程度较难难保证，成功功率相对较低低。2外购调试的的基本做法是是企业购买成成熟的商品化化软件，通过过参数配置和和二次开发满满足企业需求求。其优点是是开发建设周周期短；成功功率较高；成成熟的商品化化软件质量稳稳定，可靠性高；专专业的软件提提供商实施经经验丰富。其其缺点是难以以满足企业的的特殊需求；系统的后期期升级进度受受制于商品化化软件供应商商产品更新换换代的速度

7、，企企业自主权不不强，较为被被动。 外购调试方式的的适用条件通通常是企业的的特殊需求较较少，市场上上已有成熟的的商品化软件件和系统实施施方案。3业务外包信信息系统的业业务外包是指指委托其他单单位开发信息息系统，基本本做法是企业业将信息系统统开发项目外外包出去，由由专业公司或或科研机构负负责开发、安安装实施，由由企业直接使使用。其优点是企业可可以充分利用用专业公司的的专业优势，量量体裁衣，构构建全面、高高效满足企业业需求的个性性化系统；企企业不必培养、维维持庞大的开开发队伍，相相应节约了人人力资源成本本。其缺点是是沟通成本高高，系统开发发方难以深刻刻理解企业需需求，可能导导致开发出的的信息系统与

8、与企业的期望望产生较大偏偏差；同时，由由于外包信息息系统与系统统开发方的专专业技能、职职业道德和敬敬业精神存在在密切关系，也也要求企业必必须加大对外外包项目的监监督力度。业务外包方式的的适用条件通通常是市场上上没有能够满满足企业需求求的成熟的商商品化软件和和解决方案，企企业自身技术术力量薄弱或或出于成本效效益原则考虑虑不愿意维持持庞大的开发发队伍。 （三）自行开发发方式的关键键控制点和主主要控制措施施虽然信息系系统的开发方方式有自行开开发、外购调调试、业务外外包等多种方方式，但基本本流程大体相相似，通常包包含项目计划划、需求分析析、系统设计计、编程和测测试、上线等等环节。 1项目计划环环节战略

9、规划划通常将完整整的信息系统统分成若干子子系统，并分分阶段建设不不同的子系统统。比如，制制造企业可以以将信息系统统划分为财务务管理系统、人人力资源管理理系统、MRRP系统（销销售、采购、库库存、生产）、计计算机辅助设设计和制造系系统、客户关关系系统、电电子商务系统统等若干子系系统。项目就是指本阶阶段需要建设设的相对独立立的一个或多多个子系统。 项目计划通常包包括项目范围围说明、项目目进度计划、项项目质量计划划、项目资源源计划、项目目沟通计划、风险对策策计划、项目目采购计划、需需求变更控制制、配置管理理计划等内容容。项目计划环节的的主要风险是是：信息系统统建设缺乏项项目计划或者者计划不当，导导致

10、项目进度度滞后、费用用超支、质量量低下。 主要控制措施：第一，企业业应当根据信信息系统建设设整体规划提提出分阶段项项目的建设方方案，明确建建设目标、人人员配备、职职责分工、经经费保障和进进度安排等相相关内容，按按照规定的权权限和程序审审批后实施。第二，企业可以以采用标准的的项目管理软软件制定项目目计划，并加加以跟踪。在在关键环节进进行阶段性评评审，以保证证过程可控。第三，项目关键键环节编制的的文档应参照照GB85567888计算机软件产品品开发文件编编制指南等等相关国家标标准和行业标标准进行，以以提高项目计计划编制水平平。 2需求分析环环节需求分析析的目的是明明确信息系统统需要实现哪哪些功能。

11、该项工作是系统统分析人员和和用户单位的的管理人员、业业务人员在深深入调查的基基础上，详细细描述业务活活动涉及的各各项工作以及及用户的各种种需求，建立立未来目标系系统的逻辑模模型。这一环节的主要要风险是：第一，需求本身身不合理，对对信息系统提提出的功能、性性能、安全性性等方面的要要求不符合业业务处理和控控制的需要。第二，技术上不不可行、经济济上成本效益益倒挂，或与与国家有关法法规制度存在在冲突。第三，需求文档档表述不准确、不不完整，未能能真实全面地地表达企业需需求，存在表表述缺失、表表述不一致甚甚至表述错误误等问题。 主要控制措施：第一，信息系统统归口管理部部门应当组织织企业内部各各有关部门提提

12、出开发需求求，加强系统统分析人员和和有关部门的的管理人员、业业务人员的交交流，经综合合分析提炼后后形成合理的的需求。第二，编制表述述清晰、表达达准确的需求求文档。需求文档是业务务人员和技术术人员共同理理解信息系统统的桥梁，必必须准确表述述系统建设的的目标、功能能和要求。企业应当采用标标准建模语言言，综合运用用多种建模工工具和表现手手段，参照GGB8567788计算算机软件产品品开发文件编编制指南等相关标标准，提高系系统需求说明明书的编写质质量。第三，企业应当当建立健全需需求评审和需需求变更控制制流程。依据据需求文档进进行设计（含含需求变更设设计）前，应应当评审其可可行性，由需需求提出人和和编制

13、人签字字确认，并经经业务部门与与信息系统归归口管理部门门负责人审批批。 3系统设计环环节系统设计计是根据系统统需求分析阶阶段所确定的的目标系统逻逻辑模型，设设计出一个能能在企业特定定的计算机和和网络环境中中实现的方案案，即建立信信息系统的物物理模型。系统设计包括总总体设计和详详细设计。总体设计的主要要任务是：第一，设计系统统的模块结构构，合理划分分子系统边界界和接口。第二，选择系统统实现的技术术路线，确定定系统的技术术架构，明确确系统重要组组件的内容和和行为特征，以以及组件之间间、组件与环环境之间的接接口关系。第三，数据库设设计，包括主主要的数据库库表结构设计计、存储设计计、数据权限限和加密设

14、计计等。第四，设计系统统的网络拓扑扑结构、系统统部署方式等等。详细设计的主要要任务包括：程序说明书书编制、数据据编码规范设设计、输入输输出界面设计计等内容。系统设计环节的的主要风险是是：第一，设计方案案不能完全满满足用户需求求，不能实现现需求文档规规定的目标。 第二，设计方案案未能有效控控制建设开发发成本，不能能保证建设质质量和进度。 第三，设计方案案不全面，导致后续续变更频繁。第四，设计方案案没有考虑信信息系统建成成后对企业内内部控制的影影响，导致系系统运行后衍衍生新的风险险。 主要控制措施：第一，系统设计计负责部门应应当就总体设设计方案与业业务部门进行行沟通和讨论论，说明方案案对用户需求求

15、的覆盖情况况；存在备选选方案的，应应当详细说明明各方案在成成本、建设时时间和用户需需求响应上的的差异；信息系统归口管管理部门和业业务部门应当当对选定的设设计方案予以以书面确认。第二，企业应参参照GB88567888计算机软软件产品开发发文件编制指指南等相关关国家标准和和行业标准，提提高系统设计计说明书的编编写质量。 第三，企业应建建立设计评审制度度和设计变更更控制流程。第四，在系统设设计时应当充充分考虑信息息系统建成后后的控制环境境，将生产经经营管理业务务流程、关键键控制点和处处理规程嵌入入系统程序，实实现手工环境境下难以实现现的控制功能能。第五，应充分考考虑信息系统统环境下的新新的控制风险险

16、，比如，要要通过信息系系统中的权限限管理功能控控制用户的操操作权限，避避免将不相容容职务的处理理权限授予同同一用户。第六，应当针对对不同的数据据输入方式，强强化对进入系系统数据的检检查和校验功功能。比如，凭凭证的自动平平衡校对。第七，系统设计计时应当考虑虑在信息系统统中设置操作作日志功能，确确保操作的可可审计性。对对异常的或者者违背内部控制制要求的交易易和数据，应应当设计系统统自动报告并并跟踪处理机机制。第八，预留必要要的后台操作作通道，对于于必需的后台台操作，应当当加强管理，建建立规范的操操作流程，确确保足够的日日志记录，保保证对后台操操作的可监控控性。 4编程和测试试环节编程阶阶段是将详细

17、细设计方案转转换成某种计计算机编程语语言的过程。编程阶段完成之之后，要进行行测试，测试试主要有以下下目的：一是发现软件开开发过程中的的错误，分析析错误的性质质，确定错误误的位置并予予以纠正。二是通过某些系系统测试，了了解系统的响响应时间、事事务处理吞吐吐量、载荷能能力、失效恢恢复能力以及及系统实用性性等指标，以以便对整个系统做出出综合评价。测测试环节的主主要风险是：编程结果与设计计不符。各程序员编程风风格差异大，程程序可读性差差，导致后期期维护困难，维维护成本高。缺乏有效的程序序版本控制，导导致重复修改改或修改不一一致等问题。第四，测试不充充分。单个模模块正常运行行但多个模块块集成运行时时出错

18、，开发发环境下测试试正常而生产产环境下运行行出错，开发发人员自测正正常而业务部部门用户使用用时出错，导导致系统上线线后可能出现现严重问题。 主要控制措施：第一，项目组应应建立并执行行严格的代码码复查评审制制度。第二，项目组应应建立并执行行统一的编程程规范，在标标识符命名、程程序注释等方方面统一风格格。 第三，应使用版版本控制软件件系统（例如如CVS），保保证所有开发发人员基于相相同的组件环环境开展项目目工作，协调调开发人员对对程序的修改改。第四，应区分单单元测试、组组装测试（集集成测试）、系系统测试、验验收测试等不不同测试类型型，建立严格格的测试工作作流程，提高高最终用户在在测试工作中中的参与

19、程度度，改进测试试用例的编写写质量，加强强测试分析，尽尽量采用自动动测试工具提提高测试工作作的质量和效效率。第五，具备条件件的企业，应应当组织独立立于开发建设设项目组的专专业机构对开开发完成的信信息系统进行行验收测试，确确保在功能、性性能、控制要要求和安全性性等方面符合合开发需求。 5上线环节系系统上线是将将开发出的系系统（可执行行的程序和关关联的数据）部部署到实际运运行的计算机机环境中，使使信息系统按按照既定的用用户需求来运运转，切实发发挥信息系统统的作用。这一环节的主要要风险是：第一，缺乏完整整可行的上线线计划，导致致系统上线混混乱无序。第二，人员培训训不足，不能能正确使用系系统，导致业业

20、务处理错误误，或者未能能充分利用系系统功能，导导致开发成本本浪费。第三，初始数据据准备设置不不合格，导致致新旧系统数数据不一致、业业务处理错误误。 主要控制措施：第一，企业应当当制定信息系系统上线计划划，并经归口口管理部门和和用户部门审审核批准。上上线计划一般般包括人员培培训、数据准备备、进度安排排、应急预案案等内容。第二，系统上线线涉及新旧系系统切换的，企企业应当在上上线计划中明明确应急预案案，保证新系系统失效时能能够顺利切换换回旧系统。第三，系统上线线涉及数据迁迁移的，企业业应当制定详详细的数据迁迁移计划，并并对迁移结果果进行测试。 用户部门应当参参与数据迁移移过程，对迁迁移前后的数数据予

21、以书面面确认。 （四）其他开发发方式的关键键控制点和主主要控制措施施下面介绍其其他开发方式式（业务外包包、外购调试试）的关键控控制点和主要要控制措施。 在业务外包、外外购调试方式式下，需要采采取有针对性性的控制措施施。 1业务外包方方式的关键控控制点和主要要控制措施（1）选择外包包服务商的主主要风险是：由于企业与与外包服务商商之间本质上上是一种“委托代理”关系,合作作双方的信息息不对称容易易诱发道德风风险，外包服服务商可能会会实施损害企企业利益的自自利行为,如如偷工减料、放放松管理、信信息泄密等。 主要控制措施：第一，企业在选选择外包服务务商时要充分分考虑服务商商的市场信誉誉、资质条件件、财务

22、状况况、服务能力力、对本企业业业务的熟悉悉程度、既往往承包服务成成功案例等因因素,对外包包服务商进行行严格筛选。第二，企业可以以借助外包业业界基准来判判断外包服务务商的综合实实力。第三，企业要严严格外包服务务审批及管控控流程,对信信息系统外包包业务，原则则上应采用公公开招标等形形式选择外包包服务商，并并实行集体决决策审批。 （2）签订外包包合同这一环环节的主要风风险是：由于于合同条款不不准确、不完完善，可能导导致企业的正正当权益无法法得到有效保保障。 主要控制措施：第一，企业在与与外包服务商商签约之前,应针对外包包可能出现的的各种风险损损失,恰当拟拟定合同条款款,对涉及的的工作目标、合合作范畴

23、、责责任划分、所所有权归属、付付款方式、违违约赔偿及合合约期限等问问题做出详细细说明,并由由法律部门或或法律顾问审审查把关。第二，开发过程程中涉及商业业秘密、敏感感数据的，企企业应当与外外包服务商签签订详细的“保密协定”，以保证数据据安全。第三，在合同中中约定付款事事宜时,应当当选择分期付付款方式，尾尾款应当在系系统运行一段段时间并经评评估验收后再再支付。第四，应在合同同条款中明确确要求外包服服务商保持专专业技术服务务团队的稳定定性。 （3）持续跟踪踪评价外包服服务商的主要要风险是：企企业缺乏外包包服务跟踪评评价机制或跟跟踪评价不到到位，可能导导致外包服务务质量水平不不能满足企业业信息系统开开

24、发需求。 主要控制措施：第一，企业应当当规范外包服服务评价工作作流程，明确确相关部门的的职责权限，建建立外包服务务质量考核评评价指标体系系，定期对外外包服务商进进行考评,公公布服务周期期的评估结果果,现对外包包服务水平的的跟踪评价。第二，必要时，可可以引入监理理机制，降低低外包服务风风险。 2外购调试方方式的关键控控制点和主要要控制措施在在外购调试方方式：（1）软件产品品选型和供应应商选择在外外购调试方式式下的主要风风险是：第一，软件产品品选型不当，产产品在功能、性性能、易用性性等方面无法法满足企业需需求。第二，软件供应应商选择不当当，产品的支支持服务能力力不足，产品品的后续升级级缺乏保障。

25、主要控制措施：第一，企业应明明确自身需求求，对比分析析市场上的成成熟软件产品品，合理选择择软件产品的的模块组合和和版本。第二，企业在进进行软件产品品选型时应广广泛听取行业业专家的意见见。第三，企业在选选择软件产品品和服务供应应商时，不仅仅要评价其现现有产品的功功能、性能，还还要考察其服服务支持能力力和后续产品品的升级能力力。 （2）服务提供供商选择大型型企业管理信信息系统（例例如ERP系系统）的外购购实施的主要要风险是：服服务提供商选选择不当，削削弱了外购软软件产品的功功能发挥，导导致无法有效效满足用户需需求。 主要控制措施：在选择服务务提供商时，不不仅要考核其其对软件产品品的熟悉、理理解程度

26、，也也要考核其是是否深刻理解解企业所处行行业的特点、是是否理解企业业的个性化需需求、是否有有过相同或相相近的成功案案例。 三、信息系统的的运行与维护护 信息系统的运行行与维护主要要包含三方面面的内容：日日常运行维护护、系统变更更和安全管理理。 （一）日常运行行维护的关键键控制点和主主要控制措施施日常运行维维护的目标是是保证系统正正常运转，主主要工作内容容包括系统的的日常操作、系系统的日常巡巡检和维修、系系统运行状态态监控、异常常事件的报告告和处理等。这这一环节的主主要风险是：第一，没有建立立规范的信息息系统日常运运行管理规范范，计算机软软硬件的内在在隐患易于爆爆发，可能导导致企业信息息系统出错

27、。第二，没有执行行例行检查，导导致一些人为为恶意攻击会会长期隐藏在在系统中，可可能造成严重重损失。第三，企业信息息系统数据未未能定期备份份，可能导致致损坏后无法法恢复，从而而造成重大损损失。 主要控制措施：第一，企业应制制定信息系统统使用操作程程序、信息管管理制度以及及各模块子系系统的具体操操作规范，及及时跟踪、发发现和解决系系统运行中存存在的问题，确确保信息系统统按照规定的的程序、制度度和操作规范范持续稳定运运行。第二，切实做好好系统运行记记录，尤其是是对于系统运运行不正常或或无法运行的的情况，应对对异常现象发发生时间和可可能的原因作作出详细记录录。第三，企业要重重视系统运行行的日常维护护，

28、在硬件方方面，日常维维护主要包括括各种设备的的保养与安全全管理、故障障的诊断与排排除、易耗品品的更换与安安装等，这些些工作应由专专人负责。第四，配备专业业人员负责处处理信息系统统运行中的突突发事件，必必要时应会同同系统开发人人员或软硬件件供应商共同同解决。 （二）系统变更更的关键控制制点和主要控控制措施系统统变更主要包包括硬件的升升级扩容、软软件的修改与与升级等。系系统变更是为为了更好地满满足企业需求求，但同时应应加强对变更更申请、变更更成本与进度度的控制。这这一环节的主主要风险是：第一，企业没有有建立严格的的变更申请、审审批、执行、测测试流程，导导致系统随意意变更。第二，系统变更更后的效果达

29、达不到预期目目标。 主要控制措施：第一，企业应当当建立标准流流程来实施和和记录系统变变更，保证变变更过程得到到适当的授权权与管理层的的批准，并对对变更进行测测试。信息系统变更应应当严格遵照照管理流程进进行操作。信信息系统操作作人员不得擅擅自进行软件件的删除、修修改等操作；不得擅自升升级、改变软软件版本；不不得擅自改变变软件系统的的环境配置。第二，系统变更更程序(如软软件升级)需需要遵循与新新系统开发项项目同样的验验证和测试程程序，必要时时还应当进行行额外测试。企业应加强紧急急变更的控制制管理。第四，企业应加加强对将变更更移植到生产产环境中的控控制管理，包包括系统访问问授权控制、数数据转换控制制

30、、用户培训训等。 （三）安全管理理的关键控制制点和主要控控制措施安全全管理的目标标是保障信息息系统安全，信信息系统安全全是指信息系系统包含的所所有硬件、软软件和数据受受到保护，不不因偶然和恶恶意的原因而而遭到破坏、更更改和泄漏，信信息系统能够够连续正常运运行。这一环环节的主要风风险是：第一，硬件设备备分布物理范范围广，设备备种类繁多，安安全管理难度度大，可能导导致设备生命命周期短。第二，业务部门门信息安全意意识薄弱，对对系统和信息息安全缺乏有有效的监管手手段。少数员员工可能恶意意或非恶意滥滥用系统资源源，造成系统统运行效率降降低。第三，对系统程程序的缺陷或或漏洞安全防防护不够，导导致遭受黑客客

31、攻击，造成成信息泄露。第四，对各种计计算机病毒防防范清理不力力，导致系统统运行不稳定定甚至瘫痪。第第五，缺乏对对信息系统操操作人员的严严密监控，可可能导致舞弊弊和利用计算算机犯罪。 主要控制措施是是：第一，建立信息息系统相关资资产的管理制制度，保证电电子设备的安安全。硬件和和网络设备不不仅是信息系系统运行的基基础载体，也也是价值昂贵贵的固定资产产。企业应在在健全设备管管理制度的基基础上，建立立专门的电子子设备管控制制度，对于关关键信息设备备，未经授权权，不得接触触。 第二，企业应成成立专门的信信息系统安全全管理机构，由由企业主要领领导负总责，对对企业的信息息安全作出总总体规划和全全方位严格管管

32、理，具体实实施工作可由由企业的信息息主管部门负负责。企业应应强化全体员员工的安全保保密意识，特特别要对重要要岗位员工进进行信息系统统安全保密培培训，并签署署安全保密协协议。 企业应当建立信信息系统安全全保密制度和和泄密责任追追究制度。 第三，企业应当当按照国家相相关法律法规规以及信息安安全技术标准准，制定信息息系统安全实实施细则。 根据业务性质、重重要程度、涉涉密情况等确确定信息系统统的安全等级级，建立不同同等级信息的的授权使用制制度，采用相相应技术手段段保证信息系系统运行安全全有序。对于于信息系统的的使用者和不不同安全等级级信息之间的的授权关系，应应在系统开发发建设阶段就就形成方案并并加以设

33、计，在在软件系统中中预留这种对对应关系的设设置功能，以以便根据使用用者岗位职务务的变迁进行行调整。 企业应当有效利利用IT技术术手段，对硬硬件配置调整整、软件参数数修改严加控控制。企业可利用操作作系统、数据据库系统、应应用系统提供供的安全机制制，设置安全全参数，保证证系统访问安安全；对于重重要的计算机机设备，企业业应当利用技技术手段防止止员工擅自安安装、卸载软软件或者改变变软件系统配配置，并定期期对上述情况况进行检查。 第五，企业委托托专业机构进进行系统运行行与维护管理理的，应当严严格审查其资资质条件、市市场声誉和信信用状况等，并并与其签订正正式的服务合合同和保密协协议。 第六，企业应当当采取安装安安全软件等措措施防范信息息系统受到病病毒等恶意软软件的感染和和破坏。企业业应当特别注注重加强对服服务器等关键键部位的防护护；对于存在在网络应用的的企业，应当当综合利用防防火墙、路由由器等网络设设备，采用内内容过滤、漏漏洞扫描、入入侵检测等软软件技术加强强网络安全，严严密防范来自自互联网的黑黑客攻击和非非法侵入。对于通过互联网网传输的涉密密或者关键业业务数据，企企业应当采取取必要的技术术手段确保信信息传递的保保密性、准确确性、完整性性。 第七，企业应当当建立系统数数据定期备份份制度，明确确备份范