內(nèi)控制度審計-信息系統(tǒng)指引

分類,企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng),,財政部會計司解讀《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》,,

,序號,規(guī)定,分類,明細(xì),控制措施

總則,一,第一條

為了促進(jìn)企業(yè)有效實施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為因素，根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》，制定本指引。,,,

,二,第二條

本指引所稱信息系統(tǒng)，是指企業(yè)利用計算機(jī)和通信技術(shù)，對內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。,,,

,三,第三條

企業(yè)利用信息系統(tǒng)實施內(nèi)部控制至少應(yīng)當(dāng)關(guān)注下列風(fēng)險：,,,

,,（一）信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下。,,,

,,（二）系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無法利用信息技術(shù)實施有效控制。,,,

,,（三）系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運(yùn)行。,,,

,四,第四條

企業(yè)應(yīng)當(dāng)重視信息系統(tǒng)在內(nèi)部控制中的作用，根據(jù)內(nèi)部控制要求，結(jié)合組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等因素，制定信息系統(tǒng)建設(shè)整體規(guī)劃，加大投入力度，有序組織信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)，優(yōu)化管理流程，防范經(jīng)營風(fēng)險，全面提升企業(yè)現(xiàn)代化管理水平。,制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃,,第一，企業(yè)必須制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和中長期發(fā)展計劃，并在每年制定經(jīng)營計劃的同時制定年度信息系統(tǒng)建設(shè)計劃，促進(jìn)經(jīng)營管理活動與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一。

,,企業(yè)應(yīng)當(dāng)指定專門機(jī)構(gòu)對信息系統(tǒng)建設(shè)實施歸口管理，明確相關(guān)單位的職責(zé)權(quán)限，建立有效工作機(jī)制。企業(yè)可委托專業(yè)機(jī)構(gòu)從事信息系統(tǒng)的開發(fā)、運(yùn)行和維護(hù)工作。,,,第二，企業(yè)在制定信息化戰(zhàn)略過程中，要充分調(diào)動和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，使各部門廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性。

,,企業(yè)負(fù)責(zé)人對信息系統(tǒng)建設(shè)工作負(fù)責(zé)。,,,第三，信息系統(tǒng)戰(zhàn)略規(guī)劃要與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配，避免相互脫節(jié)。

信息系統(tǒng)的開發(fā),五,第五條

企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤?項目計劃環(huán)節(jié),,第一，企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出分階段項目的建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤?/p>

,,,,,第二，企業(yè)可以采用標(biāo)準(zhǔn)的項目管理軟件（比如OfficeProject）制定項目計劃，并加以跟蹤。在關(guān)鍵環(huán)節(jié)進(jìn)行階段性評審，以保證過程可控。

,,,,,第三，項目關(guān)鍵環(huán)節(jié)編制的文檔應(yīng)參照《GB8567－88計算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)進(jìn)行，以提高項目計劃編制水平。

,,企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織內(nèi)部各單位提出開發(fā)需求和關(guān)鍵控制點，規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計、編程、安裝調(diào)試、驗收、上線等全過程的管理要求，嚴(yán)格按照建設(shè)方案、開發(fā)流程和相關(guān)要求組織開發(fā)工作。,自行開發(fā)方式,需求分析環(huán)節(jié),第一，信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流，經(jīng)綜合分析提煉后形成合理的需求。

,,,,,第二，編制表述清晰、表達(dá)準(zhǔn)確的需求文檔。需求文檔是業(yè)務(wù)人員和技術(shù)人員共同理解信息系統(tǒng)的橋梁，必須準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求。企業(yè)應(yīng)當(dāng)采用標(biāo)準(zhǔn)建模語言(例如UML)，綜合運(yùn)用多種建模工具和表現(xiàn)手段，參照《GB8567－88計算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)標(biāo)準(zhǔn)，提高系統(tǒng)需求說明書的編寫質(zhì)量。

,,,,,第三，企業(yè)應(yīng)當(dāng)建立健全需求評審和需求變更控制流程。依據(jù)需求文檔進(jìn)行設(shè)計（含需求變更設(shè)計）前，應(yīng)當(dāng)評審其可行性，由需求提出人和編制人簽字確認(rèn)，并經(jīng)業(yè)務(wù)部門與信息系統(tǒng)歸口管理部門負(fù)責(zé)人審批。

,,,,系統(tǒng)設(shè)計環(huán)節(jié),第一，系統(tǒng)設(shè)計負(fù)責(zé)部門應(yīng)當(dāng)就總體設(shè)計方案與業(yè)務(wù)部門進(jìn)行溝通和討論，說明方案對用戶需求的覆蓋情況；存在備選方案的，應(yīng)當(dāng)詳細(xì)說明各方案在成本、建設(shè)時間和用戶需求響應(yīng)上的差異；信息系統(tǒng)歸口管理部門和業(yè)務(wù)部門應(yīng)當(dāng)對選定的設(shè)計方案予以書面確認(rèn)。

,,,,,第二，企業(yè)應(yīng)參照《GB8567－88計算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，提高系統(tǒng)設(shè)計說明書的編寫質(zhì)量。

,,,,,第三，企業(yè)應(yīng)建立設(shè)計評審制度和設(shè)計變更控制流程。

,,,,,第四，在系統(tǒng)設(shè)計時應(yīng)當(dāng)充分考慮信息系統(tǒng)建成后的控制環(huán)境，將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)程嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能，例如：對于某一財務(wù)軟件，當(dāng)輸入支出憑證時，可以讓計算機(jī)自動檢查銀行存款余額，防止透支。

,,,,,第五，應(yīng)充分考慮信息系統(tǒng)環(huán)境下的新的控制風(fēng)險，比如，要通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職務(wù)的處理權(quán)限授予同一用戶。

,,,,,第六，應(yīng)當(dāng)針對不同的數(shù)據(jù)輸入方式，強(qiáng)化對進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗功能。比如，憑證的自動平衡校對。

,,,,,第七，系統(tǒng)設(shè)計時應(yīng)當(dāng)考慮在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性。對異常的或者違背內(nèi)部控制要求的交易和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計由系統(tǒng)自動報告并設(shè)置跟蹤處理機(jī)制。

,,,,,第八，預(yù)留必要的后臺操作通道，對于必需的后臺操作，應(yīng)當(dāng)加強(qiáng)管理，建立規(guī)范的操作流程，確保足夠的日志記錄，保證對后臺操作的可監(jiān)控性。

,,,,編程和測試環(huán)節(jié),第一，項目組應(yīng)建立并執(zhí)行嚴(yán)格的代碼復(fù)查評審制度。

,,,,,第二，項目組應(yīng)建立并執(zhí)行統(tǒng)一的編程規(guī)范，在標(biāo)識符命名、程序注釋等方面統(tǒng)一風(fēng)格。

,,,,,第三，應(yīng)使用版本控制軟件系統(tǒng)（例如CVS），保證所有開發(fā)人員基于相同的組件環(huán)境開展項目工作，協(xié)調(diào)開發(fā)人員對程序的修改。

,,,,,第四，應(yīng)區(qū)分單元測試、組裝測試（集成測試）、系統(tǒng)測試、驗收測試等不同測試類型，建立嚴(yán)格的測試工作流程，提高最終用戶在測試工作中的參與程度，改進(jìn)測試用例的編寫質(zhì)量，加強(qiáng)測試分析，盡量采用自動測試工具提高測試工作的質(zhì)量和效率。具備條件的企業(yè)，應(yīng)當(dāng)組織獨(dú)立于開發(fā)建設(shè)項目組的專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發(fā)需求。

,,,,上線環(huán)節(jié),第一，企業(yè)應(yīng)當(dāng)制定信息系統(tǒng)上線計劃，并經(jīng)歸口管理部門和用戶部門審核批準(zhǔn)。上線計劃一般包括人員培訓(xùn)、數(shù)據(jù)準(zhǔn)備、進(jìn)度安排、應(yīng)急預(yù)案等內(nèi)容。

,,,,,第二，系統(tǒng)上線涉及新舊系統(tǒng)切換的，企業(yè)應(yīng)當(dāng)在上線計劃中明確應(yīng)急預(yù)案，保證新系統(tǒng)失效時能夠順利切換回舊系統(tǒng)。

,,,,,第三，系統(tǒng)上線涉及數(shù)據(jù)遷移的，企業(yè)應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計劃，并對遷移結(jié)果進(jìn)行測試。用戶部門應(yīng)當(dāng)參與數(shù)據(jù)遷移過程，對遷移前后的數(shù)據(jù)予以書面確認(rèn)。

,,企業(yè)開發(fā)信息系統(tǒng)，可以采取自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等方式。選定外購調(diào)試或業(yè)務(wù)外包方式的，應(yīng)當(dāng)采用公開招標(biāo)等形式擇優(yōu)確定供應(yīng)商或開發(fā)單位。,業(yè)務(wù)外包方式,選擇外包服務(wù)商,"第一，企業(yè)在選擇外包服務(wù)商時要充分考慮服務(wù)商的市場信譽(yù)、資質(zhì)條件、財務(wù)狀況、服務(wù)能力、對本企業(yè)業(yè)務(wù)的熟悉程度、既往承包服務(wù)成功案例等因素,對外包服務(wù)商進(jìn)行嚴(yán)格篩選。"

,,,,,第二，企業(yè)可以借助外包業(yè)界基準(zhǔn)來判斷外包服務(wù)商的綜合實力。

,,,,,"第三，企業(yè)要嚴(yán)格外包服務(wù)審批及管控流程,對信息系統(tǒng)外包業(yè)務(wù)，原則上應(yīng)采用公開招標(biāo)等形式選擇外包服務(wù)商，并實行集體決策審批。"

,,,,簽訂外包合同,"第一，企業(yè)在與外包服務(wù)商簽約之前,應(yīng)針對外包可能出現(xiàn)的各種風(fēng)險損失,恰當(dāng)擬定合同條款,對涉及的工作目標(biāo)、合作范疇、責(zé)任劃分、所有權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出詳細(xì)說明,并由法律部門或法律顧問審查把關(guān)。"

,,,,,第二，開發(fā)過程中涉及商業(yè)秘密、敏感數(shù)據(jù)的，企業(yè)應(yīng)當(dāng)與外包服務(wù)商簽訂詳細(xì)的“保密協(xié)定”，以保證數(shù)據(jù)安全。

,,,,,"第三，在合同中約定付款事宜時,應(yīng)當(dāng)選擇分期付款方式，尾款應(yīng)當(dāng)在系統(tǒng)運(yùn)行一段時間并經(jīng)評估驗收后再支付。第四，應(yīng)在合同條款中明確要求外包服務(wù)商保持專業(yè)技術(shù)服務(wù)團(tuán)隊的穩(wěn)定性。"

,,,,持續(xù)跟蹤評價外包服務(wù)商的服務(wù)過程,"第一，企業(yè)應(yīng)當(dāng)規(guī)范外包服務(wù)評價工作流程，明確相關(guān)部門的職責(zé)權(quán)限，建立外包服務(wù)質(zhì)量考核評價指標(biāo)體系，定期對外包服務(wù)商進(jìn)行考評,并公布服務(wù)周期的評估結(jié)果,實現(xiàn)外包服務(wù)水平的跟蹤評價。"

,,,,,第二，必要時，可以引入監(jiān)理機(jī)制，降低外包服務(wù)風(fēng)險。

,,,外購調(diào)試方式,軟件產(chǎn)品選型和供應(yīng)商選擇,第一，企業(yè)應(yīng)明確自身需求，對比分析市場上的成熟軟件產(chǎn)品，合理選擇軟件產(chǎn)品的模塊組合和版本。

,,,,,第二，企業(yè)在軟件產(chǎn)品選型時應(yīng)廣泛聽取行業(yè)專家的意見。

,,,,,第三，企業(yè)在選擇軟件產(chǎn)品和服務(wù)供應(yīng)商時，不僅要評價其現(xiàn)有產(chǎn)品的功能、性能，還要考察其服務(wù)支持能力和后續(xù)產(chǎn)品的升級能力。

,,,,服務(wù)提供商選擇,在選擇服務(wù)提供商時，不僅要考核其對軟件產(chǎn)品的熟悉、理解程度，也要考核其是否深刻理解企業(yè)所處行業(yè)的特點、是否理解企業(yè)的個性化需求、是否有過相同或相近的成功案例。

,六,第六條

企業(yè)開發(fā)信息系統(tǒng)，應(yīng)當(dāng)將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。,日常運(yùn)行維護(hù),,第一，企業(yè)應(yīng)制定信息系統(tǒng)使用操作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。

,,,,,第二，切實做好系統(tǒng)運(yùn)行記錄，尤其是對于系統(tǒng)運(yùn)行不正?；驘o法運(yùn)行的情況，應(yīng)將異?，F(xiàn)象、發(fā)生時間和可能的原因作出詳細(xì)記錄。

,,,,,第三，企業(yè)要重視系統(tǒng)運(yùn)行的日常維護(hù)，在硬件方面，日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與安全管理、故障的診斷與排除、易耗品的更換與安裝等，這些工作應(yīng)由專人負(fù)責(zé)。

,,,,,第四，配備專業(yè)人員負(fù)責(zé)處理信息系統(tǒng)運(yùn)行中的突發(fā)事件，必要時應(yīng)會同系統(tǒng)開發(fā)人員或軟硬件供應(yīng)商共同解決。

,,,系統(tǒng)變更,,第一，企業(yè)應(yīng)當(dāng)建立標(biāo)準(zhǔn)流程來實施和記錄系統(tǒng)變更，保證變更過程得到適當(dāng)?shù)氖跈?quán)與管理層的批準(zhǔn)，并對變更進(jìn)行測試。信息系統(tǒng)變更應(yīng)當(dāng)嚴(yán)格遵照管理流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行軟件的刪除、修改等操作；不得擅自升級、改變軟件版本；不得擅自改變軟件系統(tǒng)的環(huán)境配置。

,,,,,第二，系統(tǒng)變更程序(如軟件升級)需要遵循與新系統(tǒng)開發(fā)項目同樣的驗證和測試程序，必要時還應(yīng)當(dāng)進(jìn)行額外測試。

,,,,,第三，企業(yè)應(yīng)加強(qiáng)緊急變更的控制管理。第四，企業(yè)應(yīng)加強(qiáng)對將變更移植到生產(chǎn)環(huán)境中的控制管理，包括系統(tǒng)訪問授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控制、用戶培訓(xùn)等。

,,企業(yè)在系統(tǒng)開發(fā)過程中，應(yīng)當(dāng)按照不同業(yè)務(wù)的控制要求，通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職責(zé)的處理權(quán)限授予同一用戶。,安全管理,,第一，建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度，保證電子設(shè)備的安全。硬件和網(wǎng)絡(luò)設(shè)備不僅是信息系統(tǒng)運(yùn)行的基礎(chǔ)載體，也是價值昂貴的固定資產(chǎn)。企業(yè)應(yīng)在健全設(shè)備管理制度的基礎(chǔ)上，建立專門的電子設(shè)備管控制度，對于關(guān)鍵信息設(shè)備（例如銀行的核心數(shù)據(jù)庫服務(wù)器），未經(jīng)授權(quán)，不得接觸。

,,企業(yè)應(yīng)當(dāng)針對不同數(shù)據(jù)的輸入方式，考慮對進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗功能。對于必需的后臺操作，應(yīng)當(dāng)加強(qiáng)管理，建立規(guī)范的流程制度，對操作情況進(jìn)行監(jiān)控或者審計。,,,第二，企業(yè)應(yīng)成立專門的信息系統(tǒng)安全管理機(jī)構(gòu)，由企業(yè)主要領(lǐng)導(dǎo)負(fù)總責(zé)，對企業(yè)的信息安全作出總體規(guī)劃和全方位嚴(yán)格管理，具體實施工作可由企業(yè)的信息主管部門負(fù)責(zé)。企業(yè)應(yīng)強(qiáng)化全體員工的安全保密意識，特別要對重要崗位員工進(jìn)行信息系統(tǒng)安全保密培訓(xùn)，并簽署安全保密協(xié)議。企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全保密制度和泄密責(zé)任追究制度。

,,企業(yè)應(yīng)當(dāng)在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性。對異常的或者違背內(nèi)部控制要求的交易和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計由系統(tǒng)自動報告并設(shè)置跟蹤處理機(jī)制。,,,第三，企業(yè)應(yīng)當(dāng)按照國家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全實施細(xì)則。根據(jù)業(yè)務(wù)性質(zhì)、重要程度、涉密情況等確定信息系統(tǒng)的安全等級，建立不同等級信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)行安全有序。對于信息系統(tǒng)的使用者和不同安全等級信息之間的授權(quán)關(guān)系，應(yīng)在系統(tǒng)開發(fā)建設(shè)階段就形成方案并加以設(shè)計，在軟件系統(tǒng)中預(yù)留這種對應(yīng)關(guān)系的設(shè)置功能，以便根據(jù)使用者崗位職務(wù)的變遷進(jìn)行調(diào)整。

,,,,,第四，企業(yè)應(yīng)當(dāng)有效利用IT技術(shù)手段，對硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制。例如，企業(yè)可利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)提供的安全機(jī)制，設(shè)置安全參數(shù)，保證系統(tǒng)訪問安全；對于重要的計算機(jī)設(shè)備，企業(yè)應(yīng)當(dāng)利用技術(shù)手段防止員工擅自安裝、卸載軟件或者改變軟件系統(tǒng)配置，并定期對上述情況進(jìn)行檢查。

,,,,,第五，企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與維護(hù)管理的，應(yīng)當(dāng)嚴(yán)格審查其資質(zhì)條件、市場聲譽(yù)和信用狀況等，并與其簽訂正式的服務(wù)合同和保密協(xié)議。

,,,,,第六，企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。企業(yè)應(yīng)當(dāng)特別注重加強(qiáng)對服務(wù)器等關(guān)鍵部位的防護(hù)；對于存在網(wǎng)絡(luò)應(yīng)用的企業(yè)，應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過濾、漏洞掃描、入侵檢測等軟件技術(shù)加強(qiáng)網(wǎng)絡(luò)安全，嚴(yán)密防范來自互聯(lián)網(wǎng)的黑客攻擊和非法侵入。對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù)，企業(yè)應(yīng)當(dāng)采取必要的技術(shù)手段確保信息傳遞的保密性、準(zhǔn)確性、完整性。

,,,,,第七，企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點、有效性檢查等內(nèi)容。系統(tǒng)首次上線運(yùn)行時應(yīng)當(dāng)完全備份，然后根據(jù)業(yè)務(wù)頻率和數(shù)據(jù)重要性程度，定期做好增量備份。數(shù)據(jù)正本與備份應(yīng)分別存放于不同地點，防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不利影響。企業(yè)可綜合采用磁盤、磁帶、光盤等備份存儲介質(zhì)。

,,,,,第八，企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度，防范利用計算機(jī)舞弊和犯罪。一般而言，信息系統(tǒng)不相容職務(wù)涉及的人員可以分為三類：系統(tǒng)開發(fā)建設(shè)人員、系統(tǒng)管理和維護(hù)人員、系統(tǒng)操作使用人員。開發(fā)人員在運(yùn)行階段不能操作使用信息系統(tǒng)，否則就可能掌握其中的涉密數(shù)據(jù)，進(jìn)行非法利用；系統(tǒng)管理和維護(hù)人員擔(dān)任密碼保管、授權(quán)、系統(tǒng)變更等關(guān)鍵任務(wù)，如果允許其使用信息系統(tǒng)，就可能較為容易地篡改數(shù)據(jù)，從而達(dá)到侵吞財產(chǎn)或濫用計算機(jī)信息的目的。此外，信息系統(tǒng)使用人員也需要區(qū)分不同崗位，包括業(yè)務(wù)數(shù)據(jù)錄入、數(shù)據(jù)檢查、業(yè)務(wù)批準(zhǔn)等，在他們之間也應(yīng)有必要的相互牽制。企業(yè)應(yīng)建立用戶管理制度，加強(qiáng)對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，避免將不相容職責(zé)授予同一用戶。企業(yè)應(yīng)當(dāng)采用密碼控制等技術(shù)手段進(jìn)行用戶身份識別。對于重要的業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)采用數(shù)字證書、生物識別等可靠性強(qiáng)的技術(shù)手段識別用戶身份。對于發(fā)生崗位變化或離崗的用戶，用戶部門應(yīng)當(dāng)及時通知系統(tǒng)管理人員調(diào)整其在系統(tǒng)中的訪問權(quán)限或者關(guān)閉賬號。企業(yè)應(yīng)當(dāng)定期對系統(tǒng)中的賬號進(jìn)行審閱，避免存在授權(quán)不當(dāng)或非授權(quán)賬號。對于超級用戶，企業(yè)應(yīng)當(dāng)嚴(yán)格規(guī)定其使用條件和操作程序，并對其在系統(tǒng)中的操作全程進(jìn)行監(jiān)控或?qū)徲嫛?/p>

,,,,,第九，企業(yè)應(yīng)積極開展信息系統(tǒng)風(fēng)險評估工作，定期對信息系統(tǒng)進(jìn)行安全評估，及時發(fā)現(xiàn)系統(tǒng)安全問題并加以整改。

,,,系統(tǒng)終結(jié),,第一，要做好善后工作，不管因何種情況導(dǎo)致系統(tǒng)停止運(yùn)行，都應(yīng)將廢棄系統(tǒng)中有價值或者涉密的信息進(jìn)行銷毀、轉(zhuǎn)移。

,,,,,第二，嚴(yán)格按照國家有關(guān)法規(guī)制度和對電子檔案的管理規(guī)定（比如審計準(zhǔn)則對審計證據(jù)保管年限的要求），妥善保管相關(guān)信息檔案。

,七,第七條

企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織開發(fā)單位與內(nèi)部各單位的日常溝通和協(xié)調(diào)，督促開發(fā)單位按照建設(shè)方案、計劃進(jìn)度和質(zhì)量要求完成編程工作，對配備的硬件設(shè)備和系統(tǒng)軟件進(jìn)行檢查驗收，組織系統(tǒng)上線運(yùn)行等。,,,

,,,,,,

,八,第八條

企業(yè)應(yīng)當(dāng)組織獨(dú)立于開發(fā)單位的專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發(fā)需求,,,

,,,,,,

,九,第九條

企業(yè)應(yīng)當(dāng)切實做好信息系統(tǒng)上線的各項準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線計劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計劃。,,,

,,,,,,

信息系統(tǒng)的運(yùn)行與維護(hù),十,第十條

企業(yè)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)運(yùn)行與維護(hù)的管理，制定信息系統(tǒng)工作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。,,,

,,企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)變更管理流程，信息系統(tǒng)變更應(yīng)當(dāng)嚴(yán)格遵照管理流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、修改等操作；不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán)境配置。,