信息风险 的应对
| 1)关于信息系统规划。 ① 企业应根据发展战略和业务需要进行信息系统建设,制定信息系统整体规划和中长期发 展计划。 ② 基于信息系统整体建设规划提出的项目建设方案,按照规定的权限和程序审批后实施。 ③ 企业信息系统归口管理部门应当组织内部各单位提出建设需求和关键控制点,规范开发 流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。 |
| (2)关于信息系统开发实施。 ① 企业开发信息系统,可采取自行开发、外购调试、业务外包等方式,应当将生产经营管 理流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。 ② 企业在系统开发过程中,应执行统一的编程规范,使用版本控制。 ③ 企业应按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权 限,避免将不相容职责的处理权限授予同一用户。 ④ 预留必要的后台操作通道,对于必需的后台操作,企业应建立规范的流程制度,记录保 留操作日志,确保操作的可审计性。 ⑤ 企业应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。 (3)关于信息系统的运行与维护。 ① 企业要指定专人负责系统运行的日常维护,做好系统运行记录,对异常情况和突发事件 要及时响应上报。 ② 企业需建立信息系统变更管理流程,对系统变更申请严格审核,严格控制紧急变更,审 核通过后方可进行系统变更,对变更的系统功能需进行测试。 ③ 信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系 统软件版本;不得擅自改变软件系统环境配置。 ④ 企业对重要业务系统的访问权限需严格管理,定期审阅系统账号,避免授权不当或存在 非授权账号,禁止不相容职务用户账号的交叉操作。 ⑤ 企业需建立系统数据备份管理制度,定期进行数据恢复有效性测试。 |
535人看过
1年前
1年前