版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第一条为加强××××信息系统管理内部控制,有效防控财政信息系统管理风险,提高信息系统管理的规范性、科学性,××内部控制基本制度(试行)》有关规定和××××信息化建设管理相关制度,结合工作实际,制定本办法。第二条本办法所称信息系统管理风险,是指在信息系统管理过程中,因相关管理制度、工作机制和标准规范不完善或执行不稳定、业务操作不受控、信息安全不可靠、信息化辅助管理决策能力弱化,系统无法有效发挥业务支撑与流程管控的可能性。第三条信息系统管理风险主要包括流程控制风险、数据应用与管理风险和信息安全风险三个方面(信息系统建设由**统一风险和一般风险两个等级;按照风险来源和性质,分为制度流程风险、岗位职责风险、廉政风险三种类型。重大风险:是指发生的风险事件对信息系统建设管理产生重大负面影响,或者严重损害国家或部门利益的可能性。一般风险:是指发生的风险事件对信息系统建设管理产生一定的负面影响,或者对国家或部门利益造成一定损失的可能性。制度流程风险:是指信息系统管理制度流程设计不合理、执行不到位,导致信息系统管理不规范、不科学的可能性。到位,或履行岗位职责不作为、违背制度流程乱作为,导致信息系统建设管理不规范,影响工作质量与进度的可能性。廉政风险:是指信息系统使用或管理人员凭借手中的权力,利用工作之便在信息系统中违反廉政规定谋求私利的可能性。第四条信息系统管理风险内部控制的目标是,综合运用信息化建设与管理制度、标准规范和内部控制方法,将信息系统管理风险防控措施贯穿于信息系统管理和应用全过程,对信息系统对业务流程运行进行审计监控,最大限度减少人为操纵因素,确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、下简称部门)。(一)信息网络中心负责信息系统管理内部控制的组织实施,向内控办报告。定期向内控办报送信息系统管理风险防控情况。重点业务环节实施持续、有效的风险防控,及时向内控办和信息网络中心报告本部门信息系统管理风险防控及异常情况。第七条信息系统管理风险事件发生后,相关部门应在第一时间报告内控办和信息网络中心,及时采取应对措施,最大程度第二章信息系统流程控制管理内部控制第八条信息系统流程控制风险是指业务流程未完全固化在业务生产系统中、固化在信息系统中的业务流程未完全实现有效控制、业务处理未完全通过信息系统执行,导致信息系统支撑促进内部控制工作能力弱化的可能性。其中,重大风险是指因业务流程未固化在业务生产系统中,或固化在信息系统中的业务流程未实现有效控制,或业务处理未通过信息系统固化的流程进行等情形发生,严重影响内部控制效一般风险是指因业务流程在业务生产系统中固化程度不够,或固化在信息系统中的业务流程控制不完善,导致内部控制目标第九条流程控制风险主要体现在业务管理流程化设计、控制措施与预警机制设定、信息系统实现、信息系统流程应用等方第十条信息系统固化和管控业务流程的程序:2.各部门明确业务流程各环节控制活动、控制措施等。3.各部门提出业务流程固化和管理控制的业务需求。4.信息网络中心综合分析业务需求。5.信息网络中心负责通过信息系统实现业务流程固化和管理第十一条业务管理流程化设计风险与防控。1.对于手工操作存在管理风险的财政业务,各部门未提出通过信息系统进行流程固化和管理控制,仍采取手工方式操作,增加了业务管理活动事前防范、事中控制、事后监督的难度,存在2.各部门对需要通过信息系统固化的业务流程梳理不清晰、分析不全面、优化不合理,导致业务流程通过信息系统固化后,3.各部门业务流程变更频繁,影响信息系统稳定运行,不利对手工操作存在管理风险的财政业务,未通过信息系统进行流程固化和管理控制,引发重大责任事故业务流程变更过于频繁,影响系统优化不合理业务流程各环节设定不合理1.对于手工操作存在管理风险的财政业务,必须通过信息系2.各部门应按照业务实现的时间顺序和逻辑顺序,对需要通定业务流程各环节,确保各环节既覆盖业务管理全过程又利于倒3.各部门应将整理好的业务流程形成书面材料。4.各部门应切实结合财政管理和改革的实际需要,审慎处理流程变更,避免流程变更的随意性。若确需变更,要充分考虑与第十二条控制措施与预警机制设定风险与防控。1.各部门对于业务流程的各环节未设置控制措施和预警机制,导致内部控制无法实现。2.各部门对业务流程各环节授权控制不合理,对关键环节未设置不相容岗位(职责)或不相容岗位(职责)分离措施不到位,导致一人可以操作流程的多个环节,无法形成相互制约、相互监督3.各部门对各项控制措施未设置预警机制或设置不合理,导致信息系统自动控制、风险揭示能力弱化。对业务流程关键环节未设置不相容岗位(职责)或不相容岗位(职责)分离措施对业务流程某些环节未设重大责任事故控制措施未设置预警机制或设置不合理1.各部门应结合本部门业务和流程,全面梳理所涉及的不相容岗位,明确各个环节的岗位设置及职责。2.各部门应对不相容岗位(职责)实施分离措施,明确细化职责,形成各司其职、各负其责、横向与纵向相互制约监督的工作3.各部门应建立授权管理体系,明确各岗位的授权主体、范围与权限,科学分配权利,确保各岗位人员在授权范围内开展工作,切实达到分事行权、分岗设权、分级授权的要求。4.各部门应根据控制措施,合理设置预警条件。第十三条信息系统实现风险与防控。1.信息网络中心对各部门提出的需求调研不深入,导致系统风险揭示和自动控制能力弱化。2.业务流程发生变更后,各部门未提出流程变更申请,导致3.各部门提出流程变更申请,信息网络中心未及时通过信息系统实现,导致信息系统不能按时实现新的控制,影响财政业务4.信息网络中心对流程变更的信息化实现考虑不周全,影响上下游业务正常开展,导致业务中断的可能性。信息网络中心信息网络中心变更流程时,未提出需入、分析不全面变更流程后,仍按照原业务流程进行业务操作未根据流程变更需求及时完善信息系统流程变更的信息化实现未达到预期效果一般信息网络中心一般信息网络中心1.各部门提出需要通过信息系统实现的业务流程及其控制活动、控制措施等,形成业务需求方案,经单位负责人审批并盖2.信息网络中心对业务需求进行分析。若业务需求不符合信息系统开发设计要求,信息网络中心提出改进建议并退回。3.信息网络中心按照需求将业务流程固化在信息系统中,并4.业务流程发生变更后,各部门要及时形成流程变更书面材料,经单位负责人审批同意后提交信息网络中心。5.信息网络中心应及时受理各部门的变更需求,并做好分析第十四条信息系统流程应用的风险与防控。1.各部门未通过已固化流程的信息系统开展财政业务工作,导致信息系统固化流程和管理控制作用无法有效发挥。2.操作人员未经授权擅自进入信息系统后台操作,导致绕过3.与外部单位恶意串通,绕开流程进行后台操作,窃取财政业务信息,谋取利益,存在廉政风险。信息网络中心信息网络中心各部门、信各部门、信技术监控措施不到位未经授权擅自进入信息系1.各部门应建立健全规章制度,确保财政业务通过信息系统处理,实现内部控制的程序化和常态化。2.信息网络中心制定信息系统操作规程,加强培训,确保各善进行处置并向内控办报告。第三章数据应用与管理内部控制第十五条数据应用与管理风险是指在数据收集、存储、处理和应用过程中,由于不主动提供数据、违规操作数据、越权使用数据、提供的数据不规范等原因,导致信息化数据分析利用和辅助决策能力弱化的可能性。其中,重大风险是指由于单位间信息不共享或不该共享的数据共享、数据不贯通等,导致相关部门无法正常开展工作;或者由于数据失真、使用不当,导致决策出现失误;或者由于数据保管不当、越权使用数据,导致数据丢失或信息泄漏。加重相关部门工作负担,一定程度上影响工作(一)数据收集。按照各部门提出的数据收集需求,信息网络中心收集财政业务管理需要的各类数据并进行集中管理。行技术实现,提供技术检索、展现及分析工具。第十七条数据应用与管理风险主要体现在数据收集、数据管理和数据应用等工作过程与环节。第十八条数据收集的风险与防控。2.信息网络中心按照数据收集需求收集数据,并将收集结果1.各部门不结合本职工作实际,不主动沟通协调获取外部单位数据,导致信息不对称、精细化管理弱化。2.各部门对内分享数据,只提供短期或临时数据,分享数据缺乏持续性,导致数据断层、断档,影响他人决策使用。3.从外部搜集数据时,由于沟通协调不够,无法获取所需要分享数据缺乏持续性未按数据规划提出数据收集需求合愿意提供数据信息网络统筹安排,开展数据收集工作,并做好技术实现和服务保障。2.各部门应主动公开、共享业务数据,做到及时更新和长期输出,并配合信息网络中心做好数据集中管理工作。3.信息网络中心从厅外单位收集数据时,各部门应主动协调第十九条数据管理的风险与防控。2.信息网络中心按照各部门数据存储需求,结合数据存储规范处理并存储数据,并将处理结果反馈相关部门。1.缺少有效的数据管理机制,如授权机制、查询机制,造成数据管理混乱,存储无序。2.存档入库数据未经分类处理及必要的清洗,导致数据冗余或口径不对、降低数据使用效率。4.未建立数据备份与恢复机制,导致数据丢失。5.利用数据管理之便,窃取财政信息,谋取私利,引发廉政成失密事故致数据丢失缺少有效的数据管理机制存档入库数据未经分类处理及必要的清洗数据未经分类便存档入库各部门、信息网络中心各部门、信息网络中心各部门、信息网络中心各部门、信息网络中心各部门、信息网络中心各部门、信息网络中心1.信息网络中心建立规范的数据管理机制,加强使用授权,优化存储查询,确保数据的规范性和准确性。2.各部门根据业务实际,提出数据存储需求,明确数据存储数量、时间和访问权限等,经单位负责人审批并盖章后提交信息3.信息网络中心对收到的数据存储需求进行分析,对不符合标准规范的,退回需求单位修改完善后重新提交。对符合标准规范的,通过处理程序,完成数据存储。4.信息网络中心按照安全保密措施妥善保管数据,建立目录索引,控制访问权限,确保数据安全。第二十条数据应用的风险与防控。2.信息网络中心综合分析应用需求,实现数据应用。1.共享数据不可用或可用性不强,无法达到预期使用效果,增加了数据综合利用的难度,不利于业务管理水平提高。2.数据引用不正确,造成决策分析失误。3.在数据复制转移过程中,未遵照保密规定进行违规操作,造成信息泄漏等重大风险。4.利用数据应用的机会,蓄意窃取财政信息,谋取私利,存风险共享数据不可用或可用性各部门、信各部门、信遵照保密规定进行违规操重大EQ\*jc3\*hps47\o\al(\s\up22(位职),风险)EQ\*jc3\*hps47\o\al(\s\up9(作),数)EQ\*jc3\*hps47\o\al(\s\up9(发生**事件),引用不合理)EQ\*jc3\*hps47\o\al(\s\up23(息网络),各部门)EQ\*jc3\*hps47\o\al(\s\up23(心),信)遵照保密规定进行违规操重大EQ\*jc3\*hps47\o\al(\s\up14(各部门),息网络)EQ\*jc3\*hps47\o\al(\s\up14(信),心)1.信息网络中心建立规范的数据应用机制,加强权限管理,实现流程控制,确保数据准确、安全。层次及口径,并说明应用范围和具体用途。数据应用需求经单位负责人审批并盖章后提交信息网络中心。3.信息网络中心对收到的数据应用需求进行分析,对不符合标准规范的,退回需求单位修改完善后重新提交。对符合标准规范的,做好数据准备,实现数据应用。4.各部门严格按照授权使用数据,并将使用情况和效果反馈5.各部门在数据复制转移过程中,要严格执行有关审批手续第四章信息系统安全管理内部控制第二十一条信息系统安全风险是指在信息系统应用与运行维护过程中,由于管理制度不健全、信息安全意识淡薄、安全防故处理机制不到位,造成信息系统瘫痪、业务中断、数据丢失等其中,重大风险是指因技术防护措施或管理严重缺失导致业务系统长时间无法恢复,**、敏感信息泄漏、丢失,系统瘫痪、业务中断等安全事件发生,对国家安全、财政业务开展造成较大一般风险是指因安全防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等安全事件发生,对财政业务开展第二十二条信息系统安全管理风险主要体现信息系统运行安全管理、信息系统运维安全管理、信息系统应用安全管理、信息系统安全审计管理、信息系统灾备与应急管理等方面。第二十三条信息系统运行安全管理风险防控。1.信息系统和相应的基础软硬件环境运行监控管理手段不完出现的故障得不到及时发现和解决,存在业务中断的安全隐患。2.信息系统未按照**等级要求部署在正确的网络上运行,导致不符合国家信息安全保密要求,存在秘密信息泄漏的风险。3.**信息系统上线运行后,没有按照确定的**等级加载**信息,引发**信息泄漏、被窃的风险。4.信息系统上线运行后,不按要求定期开展等级(分级)保护测评,导致系统安全隐患得不到及时整改,系统自身防范外部攻5.以人工方式处理网络或单机上的数据信息交换和传递,导致工作效率低下,出现数据差错、泄漏或丢失。6.因楼宇维修、管网改造等需要断水、断电时,未提前通知信息网络中心做好信息系统运行环境的应急准备,导致系统运行中断,严重影响业务正常开展。秘密信息泄漏的风险秘密信息泄漏的风险房停运的风险信息系统和相应的基础软硬件环境运行监控管理手信息系统和相应的基础软硬件环境运行故障的事前预警能力不高以人工方式处理不同网络上的数据信息交换和传递未按相关规定进行信息系统分级保护或等级保护相信息系统或基础软硬件环境出现故障时未及时发现各部门、信物业公司信息网络中心信息网络中心各部门、信信息网络中心信息网络中心1.信息网络中心要提高信息系统和基础软硬件环境运行故障的事前预警能力。各部门应及时将发现的信息系统运行异常通知信息网络中心,并配合进行异常情况调查和处置。2.严格执行国家有关信息安全保密管理有关规定,确保**3.系统上线运行后,应按照国家有关规定和标准,对**信息系统进行分级保护测评,对不符合要求的事项,及时进行整改。4.研究建立不同网络上的数据信息交换与传递工作机制,建设部署相应技术手段,尽可能避免人工操作。5.物业公司配合信息网络中心做好信息系统运行环境的保障工作,保证系统运行的连续性。第二十四条信息系统运维安全管理风险防控。1.各部门不遵从信息系统运行维护管理程序,遇到问题直接联系运维人员或系统开发人员,运维过程没有监督,导致由于不规范运维引发的事故责任无法追溯。2.信息网络中心未按运维管理规定程序和要求及时组织开展运维工作,系统运行故障得不到及时解决,导致业务正常开展3.未建立信息安全管理系统管理员、系统安全员、系统审计员(以下简称“三员”)分离制度,或执行不到位,运维人员可以随意进行信息系统和数据库后台操作,或者一人独自在不受任何监控的情况下进行操作,存在系统参数配置被恶意更改或业务数据泄漏、丢失、篡改的重大风险。4.机房管理制度执行不严格,运维人员进出机房不填写登记表,不记录运维工作内容,操作过程未留下痕迹,导致严重的系5.运维单位对信息系统及其基础资源环境不熟悉,无法按规信息网络中心、物业公信息网络中心、物业公司各部门、信信息网络中心各部门、信息网络中心各部门、信息网络中心信息网络中心信息网络中心机房等重要部位的安全保卫、消防、监控、供电等工作执行不到位卫、消防、监控、供电等工作执行不到位发现信息泄漏事件未及时发现信息泄漏事件未制定应急方案并采取补救措施信息系统运行维护制度执各部门、信各部门、信1.由信息网络中心统一负责信息系统运行维护工作的组织管理,按照上级有关运维服务管理规定的程序和要求执行。2.信息系统的所有运行维护操作都必须进行完整记录,运维单位承担的所有维护操作必须在信息网络中心或相关业务部门的监控下进行,不允许运维单位人员独自开展系统运维工作。3.规范业务系统上线、开放权限等变更操作流程,建立并严格执行“三员”分离制度,加强对后台设备、数据操作权限和操作行为的管理与审计,加强对业务系统操作人员的安全管理,规4.严格执行机房管理制度,进出机房的运维人员都应完整填写相关登记表,详细说明要解决的故障,所涉及的设备、信息系统和数据,经审批后方可进入机房。第二十五条信息系统应用安全管理风险防控。1.业务人员安全意识欠缺,不按管理规范和流程操作信息系统,造成信息系统功能和性能受到影响,导致业务管理无法正常2.**硬盘、数字证书(USBKey)、电子印章、视频干扰器、资源管理使用不规范,使用人员离职或退休前不能及时收回,存在信息泄漏、非法访问等安全风险。3.业务人员不严格执行相关保密规定,不规范使用和操作**计算机、信息系统,存在违规外联、不同网络间交叉使用移动存储介质、不安装统一部署的杀毒软件等违规行为,存在**等安全4.对外部借调的业务人员管理不到位,存在外部借调人员超权限访问信息系统、未及时收回相应的信息资源等问题,导致信息泄漏、非法访问等安全风险。离职、退休和临时借调人员离开时,未交回和注销(USBKey)、电子印章、视IP地址、邮箱账号、信息系统账号等各种信息资源安全保密培训不够,信息安全技术培训欠缺人员岗位变更未及时更改业务人员不严格执行相关保密规定,存储介质交叉信息网络中心混用、在非**网上和非**计算机上处理**信息等违不按管理规范和流程操作使用信息系统授权不严格,或业务人员将自己的权限授予他人使用出现信息泄漏事件后未调查评估并对管理问题进行各部门、信各部门、信1.信息系统上线运行前,应对业务人员进行操作与安全管理培训,提高操作系统的规范性和安全意识。各种信息安全资源的管理。3.进一步强化身份认证与授权管理,业务系统必须使用财政数字证书,由信息网络中心统一发放数字证书(USBKey)、电子做到人、证、印相符。各部门要负责离职、退休、临时调出以及借调等人员的数字证书(USBKey)、电子印章等资源的回收。4.各部门应加强对系统操作
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026上海电力大学科研助理岗位招聘3人模拟试卷及参考答案详解(B卷)
- 铝单板项目节能评估报告
- 2026下半年衢州开化县机关事业单位选调29人备考题库附答案详解【培优B卷】
- 2026首都师范大学劳务派遣人员招聘2人(第三批)笔试题库及答案详解【各地真题】
- 2026四川自贡市自流井区招录公益性岗位人员29人备考题库含答案详解(完整版)
- 2026年7月福建厦门市住房和建设局及所属部分事业单位招聘非在编辅助岗位人员11人模拟试卷及参考答案详解(预热题)
- 2026年杭州市上城区教育局所属学校公开招聘中学储备教师10人模拟试卷及参考答案详解【B卷】
- 2026湖北武汉理工大学体育学院硕士起点专任教师招聘2人参考题库附参考答案详解【巩固】
- 2026重庆市铜梁区农业农村委员会遴选基层农技推广体系改革与建设项目特聘农技员模拟试卷及完整答案详解【网校专用】
- 安徽省安庆市宿松县2025-2026学年七年级下学期6月期末生物试卷(含答案)
- 2026年广场舞裁判试题及核心解析
- HPV病毒载量与口腔癌转移潜能的相关性研究-洞察及研究
- 医学伦理学在临床实践中的思考
- ai写作与公文写作培训课件
- T/CI 448-2024电动垂直起降航空器通用技术要求
- 高校保密教育培训材料
- 模具费返还合同范本
- 2025四川成都诸葛资本投资有限责任公司招聘高级投资经理等岗位5人考试笔试参考题库附答案解析
- 2025江西景德镇珠山区招聘社区工作者225人笔试考试参考题库及答案解析
- GB/T 2414.2-2025压电陶瓷材料性能试验方法长条横向长度伸缩振动模式
- 2026届四川省达州市高三上学期“零诊”模拟考试历史试题(解析版)
评论
0/150
提交评论