搜索
控制要点调查内容备注企业是否制定了信息系统开发的战略规划和中长期发展计划在每年制定经营计划的同时制定年度信息系统建设计划经营管理活动与信息系统是否协调统一企业在指定信息化战略过程中,是否充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛参与并充分沟通,提高战略规划的科学性、前瞻性和适应性信息系统战略规划是否与企业的组织结构、业务范围、地域分布、技术能力等相匹配,避免相互脱节企业是否明确自身需求企业是否对比分析市场上的成熟软件产品,合理选择软件产品的模块组合和版本企业在软件产品选型时是否广泛听取行业专家的意见企业在选择软件产品和服务供应商时,是否不仅要评价其现有产品的功能、性能,还要考察其服务支持能力和后续产品升级能力信息系统的开发内部控制调查问卷制定战略计划软件产品选型和供应商选择控制要点调查内容备注信息系统的开发内部控制调查问卷在选择服务供应商时,是否考核其对软件产品的熟悉、理解程度在选择服务供应商时,是否考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相似的成功案例企业在选择外包服务商时是否充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素对外包服务商是否进行严格的筛选企业是否借助外包业界基准来判断外包服务商的综合实力企业是否严格外包服务审批及管控流程对信息系统外包业务,原则上是否采用公开招标等形式选择外包服务商对信息系统外包业务是否实行集体决策审批企业与外包服务商签约之前,是否针对外包可能出现的各种风险损失,恰当拟定合同条款,对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题作出详细说明,并由法律部门或法律顾问审查把关签订外包服务商选择外包服务商服务提供商选择控制要点调查内容备注信息系统的开发内部控制调查问卷开发过程中涉及商业秘密、敏感数据的,企业是否与外包服务商签订详细的保密协议,以保证数据的安全在合同中约定付款事宜时,是否选择分期付款的方式尾款是否在系统运行一段时间并经评估验收后再支付在合同条款中明确是否要求外包服务商保持专业技术服务团队的稳定性企业是否规范外包服务评价工作流程企业是否明确相关部门的职责权限企业是否建立外包服务质量考核评价指标体系企业是否定期对外包服务商进行考评,并公布服务周期考评结果企业是否引入监理机制,降低外包服务风险签订外包服务商持续跟踪评价外包服务商的服务过程控制要点调查内容备注信息系统的开发内部控制调查问卷企业是否根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施企业信息系统归口管理部门是否组织内部各单位提出开发需求和关键控制点企业信息系统归口管理部门是否规范开发流程企业信息系统归口管理部门是否明确系统设计、编程、安装调试、验收、上线等全过程的管理要求企业信息系统归口管理部门是否严格按照建设方案、开发流程和相关要求组织开发工作企业在开发信息系统,是否采取自行开发、外购调试、业务外包等方式企业选定外购调试或业务外包方式开发信息系统时,是否采用公开招标等形式择优确定开发商或开发单位信息系统归口管理部门是否加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求是否编制表述清晰、表达准确的需求文档提出项目方案项目需求分析控制要点调查内容备注信息系统的开发内部控制调查问卷企业是否采用标准化语言(例如UML),综合运用多种建模工具和表现手段,参照《GB8567-88计算机软件产品开发文件编制指南》相关标准,提高系统需求说明书的编写质量企业是否建立健全需求评审和需求变更控制流程企业开发信息系统时,是否将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能企业在系统开发过程中,是否按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不同职责的处理权限授予同一用户企业是否针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能对于必需的后台操作,是否加强管理,建立规范的流程制度,对操作情况进行监控或者审计企业是否在信息系统中设置操作日志功能,确保操作的可审计性编程和测试企业是否组织独立与开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求项目需求分析设计信息系统控制要点调查内容备注信息系统的开发内部控制调查问卷企业是否能够切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接系统上线涉及数据迁移的,企业是否制定了详细的数据迁移计划控制要点调查内容备注企业是否加强信息系统运行与维护管理企业是否制定了信息系统使用操作程序、信息管理制度及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续、稳定地运行企业是否建立信息系统变更管理流程信息系统变更是否严格遵照管理流程进行操作信息系统的运行与维护内部控制调查问卷日常运行维护上线控制要点调查内容备注信息系统的开发内部控制调查问卷信息系统操作人员是否擅自进行系统软件的删除、修改等操作信息系统操作人员是否擅升级、改变系统软件版本信息系统操作人员是否擅改变软件系统环境配置企业是否根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段,保证信息系统运行安全有序企业是否建立信息系统安全保密和泄密责任追究制度委托专业机构进行系统运行与维护管理的,是否审查该机构的资质,并与其签订服务合同和保密协议企业是否采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏企业是否建立用户管理制度企业是否加强对重要业务系统的访问权限管理日常运行维护控制要点调查内容备注信息系统的开发内部控制调查问卷企业是否定期审阅系统账号企业是否禁止不相容职务用户账号的交叉操作企业是否建立了标准流程来实施和记录系统变更,保证变更过程得到适当的授权与管理层的批准,并对变更进行测试信息系统变更是否严格遵照管理流程进行操作系统变更程序(如软件升级)是否遵循与新系统开发项目相同的验证和测试程序,必要时还应进行额外测试企业是否加强紧急变更的控制管理企业是否加强对将移植到生产环境中的控制管理,包括系统访问授权控制、数据转换控制、用户培训等企业是否综合利用防火墙、路由器等网络设备,采用内容过滤、漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,严密防范来自互联网的攻击和非法侵入企业对于通过互联网传输的涉密或关键业务数据,是否采取必要的技术手段确保信息传递的保密性、准确性和完整性日常运行维护系统变更安全管理控制要点调查内容备注信息系统的开发内部控制调查问卷企业是否建立了系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容企业是否加强服务器等关键信息设备的管理,建立良好的物理环境,制定专人负责检查,及时处理异常情况未经授权,是否任何人不得接触关键信息设备企业是否能够做好善后工作不管因何种情况导致系统停止运行,是否都能将废弃系统中有价值或涉密的信息进行销毁、转移企业是否严格按照国家有关法规制度和对电子档案的管理规定(如审计准则对审计证据保管年限的要求),妥善保管相关信息档案被审计人员:审计:日期:日期:安全管理系统终结