24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

解讀《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》

來源: 財(cái)政部 編輯: 2010/07/15 09:09:19  字體:

  一、信息系統(tǒng)內(nèi)部控制概述

  《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》中所指信息系統(tǒng),是指企業(yè)利用計(jì)算機(jī)和通信技術(shù),對內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺(tái)。信息系統(tǒng)內(nèi)部控制的目標(biāo)是促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制,提高企業(yè)現(xiàn)代化管理水平,減少人為操縱因素;同時(shí),增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性,為建立有效的信息與溝通機(jī)制提供支持保障。信息系統(tǒng)內(nèi)部控制的主要對象是信息系統(tǒng),由計(jì)算機(jī)硬件、軟件、人員、信息流和運(yùn)行規(guī)程等要素組成。

  現(xiàn)代企業(yè)的運(yùn)營越來越依賴于信息系統(tǒng)。比如航空公司的網(wǎng)上訂票系統(tǒng)、銀行的資金實(shí)時(shí)結(jié)算系統(tǒng)、攜程旅行網(wǎng)的客戶服務(wù)系統(tǒng)等,沒有信息系統(tǒng)的支撐,業(yè)務(wù)開展就舉步維艱、難以為繼,企業(yè)經(jīng)營就很可能陷入癱瘓狀態(tài)。還有一些新興產(chǎn)業(yè)和新興企業(yè),其商業(yè)模式完全依賴信息系統(tǒng),比如各種網(wǎng)絡(luò)公司(新浪、網(wǎng)易、百度)、各種電子商務(wù)公司(比如阿里巴巴、卓越公司),沒有信息系統(tǒng),這些企業(yè)可能失去生存之基。

  同時(shí)應(yīng)當(dāng)看到,企業(yè)信息系統(tǒng)內(nèi)部控制以及利用信息系統(tǒng)實(shí)施內(nèi)部控制也面臨諸多風(fēng)險(xiǎn),至少應(yīng)當(dāng)關(guān)注下列方面:一是信息系統(tǒng)缺乏或規(guī)劃不合理,可能造成信息孤島或重復(fù)建設(shè),導(dǎo)致企業(yè)經(jīng)營管理效率低下;二是系統(tǒng)開發(fā)不符合內(nèi)部控制要求,授權(quán)管理不當(dāng),可能導(dǎo)致無法利用信息技術(shù)實(shí)施有效控制;三是系統(tǒng)運(yùn)行維護(hù)和安全措施不到位,可能導(dǎo)致信息泄漏或毀損,系統(tǒng)無法正常運(yùn)行。

  鑒于信息系統(tǒng)在實(shí)施內(nèi)部控制和現(xiàn)代化管理中具有十分獨(dú)特而重要的作用,加之信息系統(tǒng)本身的復(fù)雜性和高風(fēng)險(xiǎn)特征,《企業(yè)內(nèi)部控制應(yīng)當(dāng)指引第18號——信息系統(tǒng)》規(guī)定,企業(yè)負(fù)責(zé)人對信息系統(tǒng)建設(shè)工作負(fù)責(zé)。換言之,信息系統(tǒng)建設(shè)是“一把手”工程。只有企業(yè)負(fù)責(zé)人站在戰(zhàn)略和全局的高度親自組織領(lǐng)導(dǎo)信息系統(tǒng)建設(shè)工作,才能統(tǒng)一思想、提高認(rèn)識、加強(qiáng)協(xié)調(diào)配合,從而推動(dòng)信息系統(tǒng)建設(shè)在整合資源的前提下高效、協(xié)調(diào)推進(jìn)。企業(yè)應(yīng)當(dāng)重視信息系統(tǒng)在內(nèi)部控制中的作用,根據(jù)內(nèi)部控制要求,結(jié)合組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等因素,制定信息系統(tǒng)建設(shè)總體規(guī)劃,加大投入力度,有序組織信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù),優(yōu)化管理流程,防范經(jīng)營風(fēng)險(xiǎn),全面提升企業(yè)現(xiàn)代化管理水平。

  二、信息系統(tǒng)的開發(fā)

  企業(yè)根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)需要進(jìn)行信息系統(tǒng)建設(shè),首先要確立系統(tǒng)建設(shè)目標(biāo),根據(jù)目標(biāo)進(jìn)行系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃,再將規(guī)劃細(xì)化為項(xiàng)目建設(shè)方案。企業(yè)開展信息系統(tǒng)建設(shè),可以根據(jù)實(shí)際情況,采取自行開發(fā)、外購調(diào)試或業(yè)務(wù)外包等方式。選擇外購調(diào)試或業(yè)務(wù)外包方式的,應(yīng)當(dāng)采用公開招標(biāo)等形式擇優(yōu)選擇供應(yīng)商或開發(fā)單位。選擇自行開發(fā)信息系統(tǒng)的,信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織企業(yè)內(nèi)部相關(guān)業(yè)務(wù)部門進(jìn)行需求分析,合理配置人員,明確系統(tǒng)設(shè)計(jì)、編程、安裝調(diào)試、驗(yàn)收、上線等全過程的管理要求。企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理,增進(jìn)開發(fā)單位與企業(yè)內(nèi)部業(yè)務(wù)部門的日常溝通和協(xié)調(diào),組織獨(dú)立于開發(fā)單位的專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行檢查驗(yàn)收,并組織系統(tǒng)上線運(yùn)行。

  (一)制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃

  信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃是信息化建設(shè)的起點(diǎn),戰(zhàn)略規(guī)劃是以企業(yè)發(fā)展戰(zhàn)略為依據(jù)制定的企業(yè)信息化建設(shè)的全局性、長期性規(guī)劃。制定信息系統(tǒng)戰(zhàn)略規(guī)劃的主要風(fēng)險(xiǎn)是:第一,缺乏戰(zhàn)略規(guī)劃或規(guī)劃不合理,可能造成信息孤島或重復(fù)建設(shè),導(dǎo)致企業(yè)經(jīng)營管理效率低下。第二,沒有將信息化與企業(yè)業(yè)務(wù)需求結(jié)合,降低了信息系統(tǒng)的應(yīng)用價(jià)值。信息孤島現(xiàn)象是不少企業(yè)信息系統(tǒng)建設(shè)中存在的普遍問題,根源在于這些企業(yè)往往忽視戰(zhàn)略規(guī)劃的重要性,缺乏整體觀念和整合意識,常常陷于頭痛醫(yī)頭,腳痛醫(yī)腳,這就導(dǎo)致有的企業(yè)財(cái)務(wù)管理信息系統(tǒng)、銷售管理信息系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、人力資源管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等各自為政、孤立存在的現(xiàn)象,削弱了信息系統(tǒng)的協(xié)同效用,甚至引發(fā)系統(tǒng)沖突。

  主要控制措施:第一,企業(yè)必須制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和中長期發(fā)展計(jì)劃,并在每年制定經(jīng)營計(jì)劃的同時(shí)制定年度信息系統(tǒng)建設(shè)計(jì)劃,促進(jìn)經(jīng)營管理活動(dòng)與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一。第二,企業(yè)在制定信息化戰(zhàn)略過程中,要充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性,使各部門廣泛參與,充分溝通,提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性。第三,信息系統(tǒng)戰(zhàn)略規(guī)劃要與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配,避免相互脫節(jié)。

 ?。ǘ┻x擇適當(dāng)?shù)男畔⑾到y(tǒng)開發(fā)方式

  信息系統(tǒng)的開發(fā)建設(shè)是信息系統(tǒng)生命周期中技術(shù)難度最大的環(huán)節(jié)。在開發(fā)建設(shè)環(huán)節(jié),要將企業(yè)的業(yè)務(wù)流程、內(nèi)控措施、權(quán)限配置、預(yù)警指標(biāo)、核算方法等固化到信息系統(tǒng)中,因此開發(fā)建設(shè)的好壞直接影響信息系統(tǒng)的成敗。

  開發(fā)建設(shè)主要有自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等方式。各種開發(fā)方式有各自的優(yōu)缺點(diǎn)和適用條件,企業(yè)應(yīng)根據(jù)自身實(shí)際情況合理選擇。

  1.自行開發(fā)

  自行開發(fā)是企業(yè)依托自身力量完成整個(gè)開發(fā)過程。其優(yōu)點(diǎn)是開發(fā)人員熟悉企業(yè)情況,可以較好地滿足本企業(yè)的需求,尤其是具有特殊性的業(yè)務(wù)需求。通過自行開發(fā),還可以培養(yǎng)鍛煉自己的開發(fā)隊(duì)伍,便于后期的運(yùn)行和維護(hù)。其缺點(diǎn)是開發(fā)周期較長、技術(shù)水平和規(guī)范程度較難保證,成功率相對較低。因此,自行開發(fā)方式的適用條件通常是企業(yè)自身技術(shù)力量雄厚,而且市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案。比如百度的搜索引擎系統(tǒng)就偏重于自行開發(fā)。

  2.外購調(diào)試

  外購調(diào)式的基本做法是企業(yè)購買成熟的商品化軟件,通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。其優(yōu)點(diǎn)是開發(fā)建設(shè)周期短;成功率較高;成熟的商品化軟件質(zhì)量穩(wěn)定,可靠性高;專業(yè)的軟件提供商實(shí)施經(jīng)驗(yàn)豐富。其缺點(diǎn)是難以滿足企業(yè)的特殊需求;系統(tǒng)的后期升級進(jìn)度受制于商品化軟件供應(yīng)商產(chǎn)品更新?lián)Q代的速度,企業(yè)自主權(quán)不強(qiáng),較為被動(dòng)。外購調(diào)試方式的適用條件通常是企業(yè)的特殊需求較少,市場上已有成熟的商品化軟件和系統(tǒng)實(shí)施方案。比如大部分企業(yè)的財(cái)務(wù)管理系統(tǒng)、ERP系統(tǒng)、人力資源管理系統(tǒng)等多采用外購調(diào)試方式。

  3.業(yè)務(wù)外包

  信息系統(tǒng)的業(yè)務(wù)外包是指委托其他單位開發(fā)信息系統(tǒng),基本做法是企業(yè)將信息系統(tǒng)開發(fā)項(xiàng)目外包出去,由專業(yè)公司或科研機(jī)構(gòu)負(fù)責(zé)開發(fā)、安裝實(shí)施,由企業(yè)直接使用。其優(yōu)點(diǎn)是企業(yè)可以充分利用專業(yè)公司的專業(yè)優(yōu)勢,量體裁衣,構(gòu)建全面、高效滿足企業(yè)需求的個(gè)性化系統(tǒng);企業(yè)不必培養(yǎng)、維持龐大的開發(fā)隊(duì)伍,相應(yīng)節(jié)約了人力資源成本。其缺點(diǎn)是溝通成本高,系統(tǒng)開發(fā)方難以深刻理解企業(yè)需求,可能導(dǎo)致開發(fā)出的信息系統(tǒng)與企業(yè)的期望產(chǎn)生較大偏差;同時(shí),由于外包信息系統(tǒng)與系統(tǒng)開發(fā)方的專業(yè)技能、職業(yè)道德和敬業(yè)精神存在密切關(guān)系,也要求企業(yè)必須加大對外包項(xiàng)目的監(jiān)督力度。業(yè)務(wù)外包方式的適用條件通常是市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案,企業(yè)自身技術(shù)力量薄弱或出于成本效益原則考慮不愿意維持龐大的開發(fā)隊(duì)伍。

 ?。ㄈ┳孕虚_發(fā)方式的關(guān)鍵控制點(diǎn)和主要控制措施

  雖然信息系統(tǒng)的開發(fā)方式有自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等多種方式,但基本流程大體相似,通常包含項(xiàng)目計(jì)劃、需求分析、系統(tǒng)設(shè)計(jì)、編程和測試、上線等環(huán)節(jié)。

  1.項(xiàng)目計(jì)劃環(huán)節(jié)

  戰(zhàn)略規(guī)劃通常將完整的信息系統(tǒng)分成若干子系統(tǒng),并分階段建設(shè)不同的子系統(tǒng)。比如,制造企業(yè)可以將信息系統(tǒng)劃分為財(cái)務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、MRP系統(tǒng)(銷售、采購、庫存、生產(chǎn))、計(jì)算機(jī)輔助設(shè)計(jì)和制造系統(tǒng)、客戶關(guān)系系統(tǒng)、電子商務(wù)系統(tǒng)等若干子系統(tǒng)。項(xiàng)目就是指本階段需要建設(shè)的相對獨(dú)立的一個(gè)或多個(gè)子系統(tǒng)。

  項(xiàng)目計(jì)劃通常包括項(xiàng)目范圍說明、項(xiàng)目進(jìn)度計(jì)劃、項(xiàng)目質(zhì)量計(jì)劃、項(xiàng)目資源計(jì)劃、項(xiàng)目溝通計(jì)劃、風(fēng)險(xiǎn)對策計(jì)劃、項(xiàng)目采購計(jì)劃、需求變更控制、配置管理計(jì)劃等內(nèi)容。項(xiàng)目計(jì)劃不是完全靜止、一成不變的,在項(xiàng)目啟動(dòng)階段,可以先制定一個(gè)較為原則的項(xiàng)目計(jì)劃,確定項(xiàng)目主要內(nèi)容和重大事項(xiàng),然后根據(jù)項(xiàng)目的大小和性質(zhì)以及項(xiàng)目進(jìn)展情況進(jìn)行調(diào)整、充實(shí)和完善。項(xiàng)目計(jì)劃環(huán)節(jié)的主要風(fēng)險(xiǎn)是:信息系統(tǒng)建設(shè)缺乏項(xiàng)目計(jì)劃或者計(jì)劃不當(dāng),導(dǎo)致項(xiàng)目進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下。

  主要控制措施:第一,企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出分階段項(xiàng)目的建設(shè)方案,明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容,按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。第二,企業(yè)可以采用標(biāo)準(zhǔn)的項(xiàng)目管理軟件(比如Office Project)制定項(xiàng)目計(jì)劃,并加以跟蹤。在關(guān)鍵環(huán)節(jié)進(jìn)行階段性評審,以保證過程可控。第三,項(xiàng)目關(guān)鍵環(huán)節(jié)編制的文檔應(yīng)參照《GB8567-88計(jì)算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)進(jìn)行,以提高項(xiàng)目計(jì)劃編制水平。

  2.需求分析環(huán)節(jié)

  需求分析的目的是明確信息系統(tǒng)需要實(shí)現(xiàn)哪些功能。該項(xiàng)工作是系統(tǒng)分析人員和用戶單位的管理人員、業(yè)務(wù)人員在深入調(diào)查的基礎(chǔ)上,詳細(xì)描述業(yè)務(wù)活動(dòng)涉及的各項(xiàng)工作以及用戶的各種需求,從而建立未來目標(biāo)系統(tǒng)的邏輯模型。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,需求本身不合理,對信息系統(tǒng)提出的功能、性能、安全性等方面的要求不符合業(yè)務(wù)處理和控制的需要。第二,技術(shù)上不可行、經(jīng)濟(jì)上成本效益倒掛,或與國家有關(guān)法規(guī)制度存在沖突。第三,需求文檔表述不準(zhǔn)確、不完整,未能真實(shí)全面地表達(dá)企業(yè)需求,存在表述缺失、表述不一致甚至表述錯(cuò)誤等問題。

  主要控制措施:第一,信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求,加強(qiáng)系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流,經(jīng)綜合分析提煉后形成合理的需求。第二,編制表述清晰、表達(dá)準(zhǔn)確的需求文檔。需求文檔是業(yè)務(wù)人員和技術(shù)人員共同理解信息系統(tǒng)的橋梁,必須準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求。企業(yè)應(yīng)當(dāng)采用標(biāo)準(zhǔn)建模語言(例如UML),綜合運(yùn)用多種建模工具和表現(xiàn)手段,參照《GB8567-88計(jì)算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)標(biāo)準(zhǔn),提高系統(tǒng)需求說明書的編寫質(zhì)量。第三,企業(yè)應(yīng)當(dāng)建立健全需求評審和需求變更控制流程。依據(jù)需求文檔進(jìn)行設(shè)計(jì)(含需求變更設(shè)計(jì))前,應(yīng)當(dāng)評審其可行性,由需求提出人和編制人簽字確認(rèn),并經(jīng)業(yè)務(wù)部門與信息系統(tǒng)歸口管理部門負(fù)責(zé)人審批。

  3.系統(tǒng)設(shè)計(jì)環(huán)節(jié)

  系統(tǒng)設(shè)計(jì)是根據(jù)系統(tǒng)需求分析階段所確定的目標(biāo)系統(tǒng)邏輯模型,設(shè)計(jì)出一個(gè)能在企業(yè)特定的計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的方案,即建立信息系統(tǒng)的物理模型。系統(tǒng)設(shè)計(jì)包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)??傮w設(shè)計(jì)的主要任務(wù)是:第一,設(shè)計(jì)系統(tǒng)的模塊結(jié)構(gòu),合理劃分子系統(tǒng)邊界和接口。第二,選擇系統(tǒng)實(shí)現(xiàn)的技術(shù)路線,確定系統(tǒng)的技術(shù)架構(gòu),明確系統(tǒng)重要組件的內(nèi)容和行為特征,以及組件之間、組件與環(huán)境之間的接口關(guān)系。第三,數(shù)據(jù)庫設(shè)計(jì),包括主要的數(shù)據(jù)庫表結(jié)構(gòu)設(shè)計(jì)、存儲(chǔ)設(shè)計(jì)、數(shù)據(jù)權(quán)限和加密設(shè)計(jì)等。第四,設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系統(tǒng)部署方式等。詳細(xì)設(shè)計(jì)的主要任務(wù)包括:程序說明書編制、數(shù)據(jù)編碼規(guī)范設(shè)計(jì)、輸入輸出界面設(shè)計(jì)等內(nèi)容。系統(tǒng)設(shè)計(jì)環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,設(shè)計(jì)方案不能完全滿足用戶需求,不能實(shí)現(xiàn)需求文檔規(guī)定的目標(biāo)。第二,設(shè)計(jì)方案未能有效控制建設(shè)開發(fā)成本,不能保證建設(shè)質(zhì)量和進(jìn)度。第三,設(shè)計(jì)方案不全面,導(dǎo)致后續(xù)變更頻繁。第四,設(shè)計(jì)方案沒有考慮信息系統(tǒng)建成后對企業(yè)內(nèi)部控制的影響,導(dǎo)致系統(tǒng)運(yùn)行后衍生新的風(fēng)險(xiǎn)。

  主要控制措施:第一,系統(tǒng)設(shè)計(jì)負(fù)責(zé)部門應(yīng)當(dāng)就總體設(shè)計(jì)方案與業(yè)務(wù)部門進(jìn)行溝通和討論,說明方案對用戶需求的覆蓋情況;存在備選方案的,應(yīng)當(dāng)詳細(xì)說明各方案在成本、建設(shè)時(shí)間和用戶需求響應(yīng)上的差異;信息系統(tǒng)歸口管理部門和業(yè)務(wù)部門應(yīng)當(dāng)對選定的設(shè)計(jì)方案予以書面確認(rèn)。第二,企業(yè)應(yīng)參照《GB8567-88計(jì)算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),提高系統(tǒng)設(shè)計(jì)說明書的編寫質(zhì)量。第三,企業(yè)應(yīng)建立設(shè)計(jì)評審制度和設(shè)計(jì)變更控制流程。第四,在系統(tǒng)設(shè)計(jì)時(shí)應(yīng)當(dāng)充分考慮信息系統(tǒng)建成后的控制環(huán)境,將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)程嵌入系統(tǒng)程序,實(shí)現(xiàn)手工環(huán)境下難以實(shí)現(xiàn)的控制功能,例如:對于某一財(cái)務(wù)軟件,當(dāng)輸入支出憑證時(shí),可以讓計(jì)算機(jī)自動(dòng)檢查銀行存款余額,防止透支。第五,應(yīng)充分考慮信息系統(tǒng)環(huán)境下的新的控制風(fēng)險(xiǎn),比如,要通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限,避免將不相容職務(wù)的處理權(quán)限授予同一用戶。第六,應(yīng)當(dāng)針對不同的數(shù)據(jù)輸入方式,強(qiáng)化對進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能。比如,憑證的自動(dòng)平衡校對。第七,系統(tǒng)設(shè)計(jì)時(shí)應(yīng)當(dāng)考慮在信息系統(tǒng)中設(shè)置操作日志功能,確保操作的可審計(jì)性。對異常的或者違背內(nèi)部控制要求的交易和數(shù)據(jù),應(yīng)當(dāng)設(shè)計(jì)由系統(tǒng)自動(dòng)報(bào)告并設(shè)置跟蹤處理機(jī)制。第八,預(yù)留必要的后臺(tái)操作通道,對于必需的后臺(tái)操作,應(yīng)當(dāng)加強(qiáng)管理,建立規(guī)范的操作流程,確保足夠的日志記錄,保證對后臺(tái)操作的可監(jiān)控性。

  4.編程和測試環(huán)節(jié)

  編程階段是將詳細(xì)設(shè)計(jì)方案轉(zhuǎn)換成某種計(jì)算機(jī)編程語言的過程。編程階段完成之后,要進(jìn)行測試,測試主要有以下目的:一是發(fā)現(xiàn)軟件開發(fā)過程中的錯(cuò)誤,分析錯(cuò)誤的性質(zhì),確定錯(cuò)誤的位置并予以糾正。二是通過某些系統(tǒng)測試,了解系統(tǒng)的響應(yīng)時(shí)間、事務(wù)處理吞吐量、載荷能力、失效恢復(fù)能力以及系統(tǒng)實(shí)用性等指標(biāo),以便對整個(gè)系統(tǒng)做出綜合評價(jià)。測試環(huán)節(jié)在系統(tǒng)開發(fā)中具有舉足輕重的地位。

  這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,編程結(jié)果與設(shè)計(jì)不符。第二,各程序員編程風(fēng)格差異大,程序可讀性差,導(dǎo)致后期維護(hù)困難,維護(hù)成本高。第三,缺乏有效的程序版本控制,導(dǎo)致重復(fù)修改或修改不一致等問題。第四,測試不充分。單個(gè)模塊正常運(yùn)行但多個(gè)模塊集成運(yùn)行時(shí)出錯(cuò),開發(fā)環(huán)境下測試正常而生產(chǎn)環(huán)境下運(yùn)行出錯(cuò),開發(fā)人員自測正常而業(yè)務(wù)部門用戶使用時(shí)出錯(cuò),導(dǎo)致系統(tǒng)上線后可能出現(xiàn)嚴(yán)重問題。

  主要控制措施:第一,項(xiàng)目組應(yīng)建立并執(zhí)行嚴(yán)格的代碼復(fù)查評審制度。第二,項(xiàng)目組應(yīng)建立并執(zhí)行統(tǒng)一的編程規(guī)范,在標(biāo)識符命名、程序注釋等方面統(tǒng)一風(fēng)格。第三,應(yīng)使用版本控制軟件系統(tǒng)(例如CVS),保證所有開發(fā)人員基于相同的組件環(huán)境開展項(xiàng)目工作,協(xié)調(diào)開發(fā)人員對程序的修改。第四,應(yīng)區(qū)分單元測試、組裝測試(集成測試)、系統(tǒng)測試、驗(yàn)收測試等不同測試類型,建立嚴(yán)格的測試工作流程,提高最終用戶在測試工作中的參與程度,改進(jìn)測試用例的編寫質(zhì)量,加強(qiáng)測試分析,盡量采用自動(dòng)測試工具提高測試工作的質(zhì)量和效率。具備條件的企業(yè),應(yīng)當(dāng)組織獨(dú)立于開發(fā)建設(shè)項(xiàng)目組的專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測試,確保在功能、性能、控制要求和安全性等方面符合開發(fā)需求。

  5.上線環(huán)節(jié)

  系統(tǒng)上線是將開發(fā)出的系統(tǒng)(可執(zhí)行的程序和關(guān)聯(lián)的數(shù)據(jù))部署到實(shí)際運(yùn)行的計(jì)算機(jī)環(huán)境中,使信息系統(tǒng)按照既定的用戶需求來運(yùn)轉(zhuǎn),切實(shí)發(fā)揮信息系統(tǒng)的作用。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,缺乏完整可行的上線計(jì)劃,導(dǎo)致系統(tǒng)上線混亂無序。第二,人員培訓(xùn)不足,不能正確使用系統(tǒng),導(dǎo)致業(yè)務(wù)處理錯(cuò)誤,或者未能充分利用系統(tǒng)功能,導(dǎo)致開發(fā)成本浪費(fèi)。第三,初始數(shù)據(jù)準(zhǔn)備設(shè)置不合格,導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)處理錯(cuò)誤。

  主要控制措施:第一,企業(yè)應(yīng)當(dāng)制定信息系統(tǒng)上線計(jì)劃,并經(jīng)歸口管理部門和用戶部門審核批準(zhǔn)。上線計(jì)劃一般包括人員培訓(xùn)、數(shù)據(jù)準(zhǔn)備、進(jìn)度安排、應(yīng)急預(yù)案等內(nèi)容。第二,系統(tǒng)上線涉及新舊系統(tǒng)切換的,企業(yè)應(yīng)當(dāng)在上線計(jì)劃中明確應(yīng)急預(yù)案,保證新系統(tǒng)失效時(shí)能夠順利切換回舊系統(tǒng)。第三,系統(tǒng)上線涉及數(shù)據(jù)遷移的,企業(yè)應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃,并對遷移結(jié)果進(jìn)行測試。用戶部門應(yīng)當(dāng)參與數(shù)據(jù)遷移過程,對遷移前后的數(shù)據(jù)予以書面確認(rèn)。

  (四)其他開發(fā)方式的關(guān)鍵控制點(diǎn)和主要控制措施

  下面介紹其他開發(fā)方式(業(yè)務(wù)外包、外購調(diào)試)的關(guān)鍵控制點(diǎn)和主要控制措施。

  在業(yè)務(wù)外包、外購調(diào)試方式下,企業(yè)對系統(tǒng)設(shè)計(jì)、編程、測試環(huán)節(jié)的參與程度明顯低于自行開發(fā)方式,因此可以適當(dāng)簡化相應(yīng)的風(fēng)險(xiǎn)控制措施,但同時(shí)也因開發(fā)方式的差異產(chǎn)生一些新的風(fēng)險(xiǎn),需要采取有針對性的控制措施。

  1.業(yè)務(wù)外包方式的關(guān)鍵控制點(diǎn)和主要控制措施

 ?。?)選擇外包服務(wù)商

  這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:由于企業(yè)與外包服務(wù)商之間本質(zhì)上是一種委托—代理關(guān)系,合作雙方的信息不對稱容易誘發(fā)道德風(fēng)險(xiǎn),外包服務(wù)商可能會(huì)實(shí)施損害企業(yè)利益的自利行為,如偷工減料、放松管理、信息泄密等。

  主要控制措施:第一,企業(yè)在選擇外包服務(wù)商時(shí)要充分考慮服務(wù)商的市場信譽(yù)、資質(zhì)條件、財(cái)務(wù)狀況、服務(wù)能力、對本企業(yè)業(yè)務(wù)的熟悉程度、既往承包服務(wù)成功案例等因素,對外包服務(wù)商進(jìn)行嚴(yán)格篩選。第二,企業(yè)可以借助外包業(yè)界基準(zhǔn)來判斷外包服務(wù)商的綜合實(shí)力。第三,企業(yè)要嚴(yán)格外包服務(wù)審批及管控流程,對信息系統(tǒng)外包業(yè)務(wù),原則上應(yīng)采用公開招標(biāo)等形式選擇外包服務(wù)商,并實(shí)行集體決策審批。

 ?。?)簽訂外包合同

  這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:由于合同條款不準(zhǔn)確、不完善,可能導(dǎo)致企業(yè)的正當(dāng)權(quán)益無法得到有效保障。

  主要控制措施:第一,企業(yè)在與外包服務(wù)商簽約之前,應(yīng)針對外包可能出現(xiàn)的各種風(fēng)險(xiǎn)損失,恰當(dāng)擬定合同條款,對涉及的工作目標(biāo)、合作范疇、責(zé)任劃分、所有權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出詳細(xì)說明,并由法律部門或法律顧問審查把關(guān)。第二,開發(fā)過程中涉及商業(yè)秘密、敏感數(shù)據(jù)的,企業(yè)應(yīng)當(dāng)與外包服務(wù)商簽訂詳細(xì)的“保密協(xié)定”,以保證數(shù)據(jù)安全。第三,在合同中約定付款事宜時(shí),應(yīng)當(dāng)選擇分期付款方式,尾款應(yīng)當(dāng)在系統(tǒng)運(yùn)行一段時(shí)間并經(jīng)評估驗(yàn)收后再支付。第四,應(yīng)在合同條款中明確要求外包服務(wù)商保持專業(yè)技術(shù)服務(wù)團(tuán)隊(duì)的穩(wěn)定性。

 ?。?)持續(xù)跟蹤評價(jià)外包服務(wù)商的服務(wù)過程

  這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:企業(yè)缺乏外包服務(wù)跟蹤評價(jià)機(jī)制或跟蹤評價(jià)不到位,可能導(dǎo)致外包服務(wù)質(zhì)量水平不能滿足企業(yè)信息系統(tǒng)開發(fā)需求。

  主要控制措施:第一,企業(yè)應(yīng)當(dāng)規(guī)范外包服務(wù)評價(jià)工作流程,明確相關(guān)部門的職責(zé)權(quán)限,建立外包服務(wù)質(zhì)量考核評價(jià)指標(biāo)體系,定期對外包服務(wù)商進(jìn)行考評,并公布服務(wù)周期的評估結(jié)果,實(shí)現(xiàn)外包服務(wù)水平的跟蹤評價(jià)。第二,必要時(shí),可以引入監(jiān)理機(jī)制,降低外包服務(wù)風(fēng)險(xiǎn)。

  2.外購調(diào)試方式的關(guān)鍵控制點(diǎn)和主要控制措施

  在外購調(diào)試方式下,一方面,企業(yè)面臨與委托開發(fā)方式類似的問題,企業(yè)要選擇軟件產(chǎn)品的供應(yīng)商和服務(wù)供應(yīng)商、簽訂合約、跟蹤服務(wù)質(zhì)量,因此,企業(yè)可采用與委托開發(fā)方式類似的控制措施;另一方面,外購調(diào)試方式也有其特殊之處,企業(yè)需要有針對性的強(qiáng)化某些控制措施。

 ?。?)軟件產(chǎn)品選型和供應(yīng)商選擇

  在外購調(diào)試方式下,軟件供應(yīng)商的選擇和軟件產(chǎn)品的選型是密切相關(guān)的。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,軟件產(chǎn)品選型不當(dāng),產(chǎn)品在功能、性能、易用性等方面無法滿足企業(yè)需求。第二,軟件供應(yīng)商選擇不當(dāng),產(chǎn)品的支持服務(wù)能力不足,產(chǎn)品的后續(xù)升級缺乏保障。

  主要控制措施:第一,企業(yè)應(yīng)明確自身需求,對比分析市場上的成熟軟件產(chǎn)品,合理選擇軟件產(chǎn)品的模塊組合和版本。第二,企業(yè)在軟件產(chǎn)品選型時(shí)應(yīng)廣泛聽取行業(yè)專家的意見。第三,企業(yè)在選擇軟件產(chǎn)品和服務(wù)供應(yīng)商時(shí),不僅要評價(jià)其現(xiàn)有產(chǎn)品的功能、性能,還要考察其服務(wù)支持能力和后續(xù)產(chǎn)品的升級能力。

  (2)服務(wù)提供商選擇

  大型企業(yè)管理信息系統(tǒng)(例如ERP系統(tǒng))的外購實(shí)施,不僅需要選擇合適的軟件供應(yīng)商和軟件產(chǎn)品,也需要選擇合適的咨詢公司等服務(wù)提供商,指導(dǎo)企業(yè)將通用軟件產(chǎn)品與本企業(yè)的實(shí)際情況有機(jī)結(jié)合。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:服務(wù)提供商選擇不當(dāng),削弱了外購軟件產(chǎn)品的功能發(fā)揮,導(dǎo)致無法有效滿足用戶需求。

  主要控制措施:在選擇服務(wù)提供商時(shí),不僅要考核其對軟件產(chǎn)品的熟悉、理解程度,也要考核其是否深刻理解企業(yè)所處行業(yè)的特點(diǎn)、是否理解企業(yè)的個(gè)性化需求、是否有過相同或相近的成功案例。

  三、信息系統(tǒng)的運(yùn)行與維護(hù)

  信息系統(tǒng)的運(yùn)行與維護(hù)主要包含三方面的內(nèi)容:日常運(yùn)行維護(hù)、系統(tǒng)變更和安全管理。

 ?。ㄒ唬┤粘_\(yùn)行維護(hù)的關(guān)鍵控制點(diǎn)和主要控制措施

  日常運(yùn)行維護(hù)的目標(biāo)是保證系統(tǒng)正常運(yùn)轉(zhuǎn),主要工作內(nèi)容包括系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和維修、系統(tǒng)運(yùn)行狀態(tài)監(jiān)控、異常事件的報(bào)告和處理等。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,沒有建立規(guī)范的信息系統(tǒng)日常運(yùn)行管理規(guī)范,計(jì)算機(jī)軟硬件的內(nèi)在隱患易于爆發(fā),可能導(dǎo)致企業(yè)信息系統(tǒng)出錯(cuò)。第二,沒有執(zhí)行例行檢查,導(dǎo)致一些人為惡意攻擊會(huì)長期隱藏在系統(tǒng)中,可能造成嚴(yán)重?fù)p失。第三,企業(yè)信息系統(tǒng)數(shù)據(jù)未能定期備份,可能導(dǎo)致?lián)p壞后無法恢復(fù),從而造成重大損失。

  主要控制措施:第一,企業(yè)應(yīng)制定信息系統(tǒng)使用操作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范,及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題,確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。第二,切實(shí)做好系統(tǒng)運(yùn)行記錄,尤其是對于系統(tǒng)運(yùn)行不正?;驘o法運(yùn)行的情況,應(yīng)將異?,F(xiàn)象、發(fā)生時(shí)間和可能的原因作出詳細(xì)記錄。第三,企業(yè)要重視系統(tǒng)運(yùn)行的日常維護(hù),在硬件方面,日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與安全管理、故障的診斷與排除、易耗品的更換與安裝等,這些工作應(yīng)由專人負(fù)責(zé)。第四,配備專業(yè)人員負(fù)責(zé)處理信息系統(tǒng)運(yùn)行中的突發(fā)事件,必要時(shí)應(yīng)會(huì)同系統(tǒng)開發(fā)人員或軟硬件供應(yīng)商共同解決。

  (二)系統(tǒng)變更的關(guān)鍵控制點(diǎn)和主要控制措施

  系統(tǒng)變更主要包括硬件的升級擴(kuò)容、軟件的修改與升級等。系統(tǒng)變更是為了更好地滿足企業(yè)需求,但同時(shí)應(yīng)加強(qiáng)對變更申請、變更成本與進(jìn)度的控制。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,企業(yè)沒有建立嚴(yán)格的變更申請、審批、執(zhí)行、測試流程,導(dǎo)致系統(tǒng)隨意變更。第二,系統(tǒng)變更后的效果達(dá)不到預(yù)期目標(biāo)。

  主要控制措施:第一,企業(yè)應(yīng)當(dāng)建立標(biāo)準(zhǔn)流程來實(shí)施和記錄系統(tǒng)變更,保證變更過程得到適當(dāng)?shù)氖跈?quán)與管理層的批準(zhǔn),并對變更進(jìn)行測試。信息系統(tǒng)變更應(yīng)當(dāng)嚴(yán)格遵照管理流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行軟件的刪除、修改等操作;不得擅自升級、改變軟件版本;不得擅自改變軟件系統(tǒng)的環(huán)境配置。第二,系統(tǒng)變更程序(如軟件升級)需要遵循與新系統(tǒng)開發(fā)項(xiàng)目同樣的驗(yàn)證和測試程序,必要時(shí)還應(yīng)當(dāng)進(jìn)行額外測試。第三,企業(yè)應(yīng)加強(qiáng)緊急變更的控制管理。第四,企業(yè)應(yīng)加強(qiáng)對將變更移植到生產(chǎn)環(huán)境中的控制管理,包括系統(tǒng)訪問授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控制、用戶培訓(xùn)等。

 ?。ㄈ┌踩芾淼年P(guān)鍵控制點(diǎn)和主要控制措施

  安全管理的目標(biāo)是保障信息系統(tǒng)安全,信息系統(tǒng)安全是指信息系統(tǒng)包含的所有硬件、軟件和數(shù)據(jù)受到保護(hù),不因偶然和惡意的原因而遭到破壞、更改和泄漏,信息系統(tǒng)能夠連續(xù)正常運(yùn)行。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是:第一,硬件設(shè)備分布物理范圍廣,設(shè)備種類繁多,安全管理難度大,可能導(dǎo)致設(shè)備生命周期短。第二,業(yè)務(wù)部門信息安全意識薄弱,對系統(tǒng)和信息安全缺乏有效的監(jiān)管手段。少數(shù)員工可能惡意或非惡意濫用系統(tǒng)資源,造成系統(tǒng)運(yùn)行效率降低。第三,對系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠,導(dǎo)致遭受黑客攻擊,造成信息泄露。第四,對各種計(jì)算機(jī)病毒防范清理不力,導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定甚至癱瘓。第五,缺乏對信息系統(tǒng)操作人員的嚴(yán)密監(jiān)控,可能導(dǎo)致舞弊和利用計(jì)算機(jī)犯罪。

  主要控制措施是:

  第一,建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度,保證電子設(shè)備的安全。硬件和網(wǎng)絡(luò)設(shè)備不僅是信息系統(tǒng)運(yùn)行的基礎(chǔ)載體,也是價(jià)值昂貴的固定資產(chǎn)。企業(yè)應(yīng)在健全設(shè)備管理制度的基礎(chǔ)上,建立專門的電子設(shè)備管控制度,對于關(guān)鍵信息設(shè)備(例如銀行的核心數(shù)據(jù)庫服務(wù)器),未經(jīng)授權(quán),不得接觸。

  第二,企業(yè)應(yīng)成立專門的信息系統(tǒng)安全管理機(jī)構(gòu),由企業(yè)主要領(lǐng)導(dǎo)負(fù)總責(zé),對企業(yè)的信息安全作出總體規(guī)劃和全方位嚴(yán)格管理,具體實(shí)施工作可由企業(yè)的信息主管部門負(fù)責(zé)。企業(yè)應(yīng)強(qiáng)化全體員工的安全保密意識,特別要對重要崗位員工進(jìn)行信息系統(tǒng)安全保密培訓(xùn),并簽署安全保密協(xié)議。企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全保密制度和泄密責(zé)任追究制度。

  第三,企業(yè)應(yīng)當(dāng)按照國家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn),制定信息系統(tǒng)安全實(shí)施細(xì)則。根據(jù)業(yè)務(wù)性質(zhì)、重要程度、涉密情況等確定信息系統(tǒng)的安全等級,建立不同等級信息的授權(quán)使用制度,采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)行安全有序。對于信息系統(tǒng)的使用者和不同安全等級信息之間的授權(quán)關(guān)系,應(yīng)在系統(tǒng)開發(fā)建設(shè)階段就形成方案并加以設(shè)計(jì),在軟件系統(tǒng)中預(yù)留這種對應(yīng)關(guān)系的設(shè)置功能,以便根據(jù)使用者崗位職務(wù)的變遷進(jìn)行調(diào)整。

  第四,企業(yè)應(yīng)當(dāng)有效利用IT技術(shù)手段,對硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制。例如,企業(yè)可利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)提供的安全機(jī)制,設(shè)置安全參數(shù),保證系統(tǒng)訪問安全;對于重要的計(jì)算機(jī)設(shè)備,企業(yè)應(yīng)當(dāng)利用技術(shù)手段防止員工擅自安裝、卸載軟件或者改變軟件系統(tǒng)配置,并定期對上述情況進(jìn)行檢查。

  第五,企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與維護(hù)管理的,應(yīng)當(dāng)嚴(yán)格審查其資質(zhì)條件、市場聲譽(yù)和信用狀況等,并與其簽訂正式的服務(wù)合同和保密協(xié)議。

  第六,企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。企業(yè)應(yīng)當(dāng)特別注重加強(qiáng)對服務(wù)器等關(guān)鍵部位的防護(hù);對于存在網(wǎng)絡(luò)應(yīng)用的企業(yè),應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備,采用內(nèi)容過濾、漏洞掃描、入侵檢測等軟件技術(shù)加強(qiáng)網(wǎng)絡(luò)安全,嚴(yán)密防范來自互聯(lián)網(wǎng)的黑客攻擊和非法侵入。對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù),企業(yè)應(yīng)當(dāng)采取必要的技術(shù)手段確保信息傳遞的保密性、準(zhǔn)確性、完整性。

  第七,企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度,明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。系統(tǒng)首次上線運(yùn)行時(shí)應(yīng)當(dāng)完全備份,然后根據(jù)業(yè)務(wù)頻率和數(shù)據(jù)重要性程度,定期做好增量備份。數(shù)據(jù)正本與備份應(yīng)分別存放于不同地點(diǎn),防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不利影響。企業(yè)可綜合采用磁盤、磁帶、光盤等備份存儲(chǔ)介質(zhì)。

  第八,企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度,防范利用計(jì)算機(jī)舞弊和犯罪。一般而言,信息系統(tǒng)不相容職務(wù)涉及的人員可以分為三類:系統(tǒng)開發(fā)建設(shè)人員、系統(tǒng)管理和維護(hù)人員、系統(tǒng)操作使用人員。開發(fā)人員在運(yùn)行階段不能操作使用信息系統(tǒng),否則就可能掌握其中的涉密數(shù)據(jù),進(jìn)行非法利用;系統(tǒng)管理和維護(hù)人員擔(dān)任密碼保管、授權(quán)、系統(tǒng)變更等關(guān)鍵任務(wù),如果允許其使用信息系統(tǒng),就可能較為容易地篡改數(shù)據(jù),從而達(dá)到侵吞財(cái)產(chǎn)或?yàn)E用計(jì)算機(jī)信息的目的。此外,信息系統(tǒng)使用人員也需要區(qū)分不同崗位,包括業(yè)務(wù)數(shù)據(jù)錄入、數(shù)據(jù)檢查、業(yè)務(wù)批準(zhǔn)等,在他們之間也應(yīng)有必要的相互牽制。企業(yè)應(yīng)建立用戶管理制度,加強(qiáng)對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理,避免將不相容職責(zé)授予同一用戶。企業(yè)應(yīng)當(dāng)采用密碼控制等技術(shù)手段進(jìn)行用戶身份識別。對于重要的業(yè)務(wù)系統(tǒng),應(yīng)當(dāng)采用數(shù)字證書、生物識別等可靠性強(qiáng)的技術(shù)手段識別用戶身份。對于發(fā)生崗位變化或離崗的用戶,用戶部門應(yīng)當(dāng)及時(shí)通知系統(tǒng)管理人員調(diào)整其在系統(tǒng)中的訪問權(quán)限或者關(guān)閉賬號。企業(yè)應(yīng)當(dāng)定期對系統(tǒng)中的賬號進(jìn)行審閱,避免存在授權(quán)不當(dāng)或非授權(quán)賬號。對于超級用戶,企業(yè)應(yīng)當(dāng)嚴(yán)格規(guī)定其使用條件和操作程序,并對其在系統(tǒng)中的操作全程進(jìn)行監(jiān)控或?qū)徲?jì)。

  第九,企業(yè)應(yīng)積極開展信息系統(tǒng)風(fēng)險(xiǎn)評估工作,定期對信息系統(tǒng)進(jìn)行安全評估,及時(shí)發(fā)現(xiàn)系統(tǒng)安全問題并加以整改。

 ?。ㄋ模┫到y(tǒng)終結(jié)的關(guān)鍵控制點(diǎn)和主要控制措施

  系統(tǒng)終結(jié)是信息系統(tǒng)生命周期的最后一個(gè)階段,在該階段信息系統(tǒng)將停止運(yùn)行。停止運(yùn)行的原因通常有:企業(yè)破產(chǎn)或被兼并、原有信息系統(tǒng)被新的信息系統(tǒng)代替。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是,第一,因經(jīng)營條件發(fā)生劇變,數(shù)據(jù)可能泄密。第二,信息檔案的保管期限不夠長。

  主要控制措施:第一,要做好善后工作,不管因何種情況導(dǎo)致系統(tǒng)停止運(yùn)行,都應(yīng)將廢棄系統(tǒng)中有價(jià)值或者涉密的信息進(jìn)行銷毀、轉(zhuǎn)移。第二,嚴(yán)格按照國家有關(guān)法規(guī)制度和對電子檔案的管理規(guī)定(比如審計(jì)準(zhǔn)則對審計(jì)證據(jù)保管年限的要求),妥善保管相關(guān)信息檔案。

我要糾錯(cuò)】 責(zé)任編輯:zoe

實(shí)務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號