搜索
调查人姓名:调查人部门:1企业是否制定了信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一信息系统战略规划流程、信息系统政策制定流程2企业在指定信息化战略过程中,是否充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛参与并充分沟通,提高战略规划的科学性、前瞻性和信息系统战略规划流程3信息系统战略规划是否与企业的组织结构、业务范围、地域分布、技术能力等相匹配,避免相互脱节信息系统战略规划流程4企业选定外购调试或业务外包方式开发信息系统时,是否采用公开招标等形式择优确定开发商或开发单位信息系统自行开发流程、信息系统开发招标流程5企业开发信息系统时,是否将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控信息系统自行开发流程6企业是否在信息系统中设置操作日志功能,确保操作的可审计性信息系统自行开发流程7对于异常的或违背内部控制要求的交易和数据,企业是否设计由系统自动报告并设置了跟踪处理机制信息系统自行开发流程8企业信息系统归口管理部门是否加强对信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调、督促开发单位按照建设方案、计划进度和质量要求完成变成工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线信息系统自行开发流程9企业是否组织独立与开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求信息系统自行开发流程10企业是否能够切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和信息系统自行开发流程11系统上线涉及数据迁移的,企业是否制定了详细的数据迁移计划信息系统自行开发流程12企业是否制定了信息系统使用操作程序、信息管理制度及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续、稳定地运行信息系统日常运行维护流程13企业是否切实做好系统运行记录,尤其是对于系统运行不正常或无法运行的情况,应将异常现象、发生时间和可能的原因做详细记录信息系统日常运行维护流程信息系统运行与维护被调查人姓名:被调查人部门:制定信息系统开发的战略规划信息系统开发过程管理信息系统开发日常运行维护模块关键控制点编号评价项目描述评价要素相关流程14企业是否重视系统运行的日常维护,在硬件方面,日常维护主要包括各种设备的保养和安全管理、故障的诊断与排除、易耗品的更换和安装等,这些工作应由专人负信息系统日常运行维护流程、硬件设备更新修复申请流程15企业是否配备专业人员负责处理信息系统运行中的突发事件,必要时会同系统开发人员或软硬件供应商共同解决信息系统日常运行维护流程、硬件设备更新修复申请流程16企业是否建立了标准流程来实施和记录系统变更,保证变更过程得到适当的授权与管理层的批准,并对变更进行测试信息系统功能变更流程17信息系统变更是否严格遵照管理流程进行操作,信息系统操作人员不得擅自进行软件的删除、修改等操作,不得擅自升级、改变软件版本、不得擅自改变软件系统的信息系统功能变更流程18系统变更程序(如软件升级)是否遵循与新系统开发项目相同的验证和测试程序,必要时还应进行额外测试信息系统功能变更流程19企业是否加强紧急变更的控制管理信息系统功能变更流程20企业是否加强对将移植到生产环境中的控制管理,包括系统访问授权控制、数据转换控制、用户培训等信息系统功能变更流程21企业是否建立了信息系统相关资产的管理制度,保证电子设备的安全信息系统安全管理流程22企业是否成立专门的信息系统安全管理机构,由企业主要领导负总责,对企业的信息安全做出总体规划和全方位严格管理,具体实施工作由企业的信息主管部门负责信息系统安全管理流程23企业是否强化全体员工的安全保密意识,特别要对重要岗位员工进行信息系统保密培训,并签署安全保密协议信息系统安全管理流程24企业是否建立了信息系统安全保密制度和泄密责任追究制度信息系统安全管理流程25企业是否按照国家相关法律法规及信息安全技术标准,制定了信息系统安全实施细信息系统安全管理流程26企业是否根据业务性质、重要程度、泄密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全、有序信息系统安全管理流程27对于信息系统的使用者和不同安全等级信息之间的授权关系,是否能够在系统开发建设阶段就形成方案并加以设计,在软件系统中预留这种对应关系的设置功能,以便根据使用者岗位职务的变迁进行调整信息系统安全管理流程28企业是否有效利用IT技术手段对硬件配置调整、软件参数修改严加控制。例如,企业可利用操作系统、数据库系统、应用系统提供的安全机制,设置安全参数,保证系统访问安全;对于重要的计算机设备,企业应利用技术手段防止员工擅自安装、卸载软件或改变软件系统配置,并定期对上述情况进行检查信息系统安全管理流程系统变更安全管理信息系统运行与维护日常运行维护29企业委托专业机构进行系统运行与维护管理的,是否严格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务合同和保密协议信息系统安全管理流程30企业是否采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏信息系统安全管理流程31企业是否特别注重加强对服务器等关键部位的防护信息系统安全管理流程32对于存在网络应用的企业,是否综合利用防火墙、路由器等网络设备,采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全,严密防范来自互联网的黑客攻击和非法侵入信息系统安全管理流程33对于通过互联网传输的涉密或关键业务数据,企业是否采取必要的技术手段确保信息传递的保密性、准确性和完整性信息系统安全管理流程34企业是否建立了系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容信息系统安全管理流程35系统首次上线运行时是否完全备份,并根据业务频率和数据重要性程度,定期做好增量备份信息系统安全管理流程36数据正本与数据备份是否分别存放于不同地点,防止因火灾、水灾、地震等事故产生不利影响。企业可综合利用磁盘、磁带、光盘等备份存储介质信息系统安全管理流程37企业是否建立了信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度,防范利用计算机舞弊和犯罪信息系统安全管理流程38企业是否建立了用户管理制度,加强对重要业务系统的访问权限管理,避免将不相容职责授予同一用户,对于发生岗位变化或离岗的用户,用户部门是否及时通知系统管理人员调整其在系统中的访问权限或信息系统安全管理流程39企业是否采用密码控制等技术手段进行用户身份识别,对于重要的业务系统,是否采用数字证书、生物识别等可靠性强的技术手段识别用户身份信息系统安全管理流程40企业是否定期对系统中的账号进行审阅,避免存在授权不当或非授权账号,对于超级用户,企业是否严格规定其使用条件和操作程序,并对其在系统中的操作全程进行监控或审计信息系统安全管理流程、会计信息管理人员操作流程41企业是否积极开展信息系统风险评估工作,定期对信息系统进行安全评估,及时发现系统安全问题并加以整改信息系统安全管理流程42企业是否能够做好善后工作,不管因何种情况导致系统停止运行,都能将废弃系统中有价值或涉密的信息进行销毁、转移信息化会计档案的管理流程43企业是否严格按照国家有关法规制度和对电子档案的管理规定(如审计准则对审计证据保管年限的要求),妥善保管相关信信息化会计档案的管理流程安全管理系统终结信息系统运行与维护签核人姓名:签核人部门:制度名称及编号具体条款流程名称及编号对应的管理制度过程管理情况记录检查结果相应的业务流程开始调查日期结束调查日期流程简要描述过程管理符合度责任部门过程管理情况记录相应的业务流程其它(如通知、传真、优秀实践和总缺陷说明结果有效性情况记录责任部门结果有效性管理符合度检查结果缺陷说明结果性文件名称