1、被被調(diào)調(diào)查查人人姓姓名名：調(diào)調(diào)查查人人姓姓名名： 被被調(diào)調(diào)查查人人部部門門：調(diào)調(diào)查查人人部部門門： 評評價價要要素素 模模塊塊 關(guān)關(guān)鍵鍵控控 制制點點編編號號評評價價項項目目描描述述相相關(guān)關(guān)流流程程 信息 系統(tǒng) 開發(fā) 制定信 息系統(tǒng) 開發(fā)的 戰(zhàn)略規(guī) 劃 1 企業(yè)是否制定了信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和 中長期發(fā)展計劃，并在每年制定經(jīng)營計劃的 同時制定年度信息系統(tǒng)建設(shè)計劃，促進經(jīng)營 管理活動與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一 信息系統(tǒng)戰(zhàn)略規(guī)劃流程、信息系 統(tǒng)政策制定流程 2 企業(yè)在指定信息化戰(zhàn)略過程中，是否充分調(diào) 動和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門 的積極性，使各部門廣泛參與并充分溝通， 提高戰(zhàn)略規(guī)劃的科學(xué)性、

2、前瞻性和適應(yīng)性 信息系統(tǒng)戰(zhàn)略規(guī)劃流程 3 信息系統(tǒng)戰(zhàn)略規(guī)劃是否與企業(yè)的組織結(jié)構(gòu)、 業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配， 避免相互脫節(jié) 信息系統(tǒng)戰(zhàn)略規(guī)劃流程 信息系 統(tǒng)開發(fā) 過程管 理 4 企業(yè)選定外購調(diào)試或業(yè)務(wù)外包方式開發(fā)信息 系統(tǒng)時，是否采用公開招標等形式擇優(yōu)確定 開發(fā)商或開發(fā)單位 信息系統(tǒng)自行開發(fā)流程、信息系 統(tǒng)開發(fā)招標流程 5 企業(yè)開發(fā)信息系統(tǒng)時，是否將生產(chǎn)經(jīng)營管理 業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)則嵌入系統(tǒng) 程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能 信息系統(tǒng)自行開發(fā)流程 6 企業(yè)是否在信息系統(tǒng)中設(shè)置操作日志功能， 確保操作的可審計性 信息系統(tǒng)自行開發(fā)流程 7 對于異常的或違背內(nèi)部控制要求的

3、交易和數(shù) 據(jù)，企業(yè)是否設(shè)計由系統(tǒng)自動報告并設(shè)置了 跟蹤處理機制 信息系統(tǒng)自行開發(fā)流程 8 企業(yè)信息系統(tǒng)歸口管理部門是否加強對信息 系統(tǒng)開發(fā)全過程的跟蹤管理，組織開發(fā)單位 與內(nèi)部各單位的日常溝通和協(xié)調(diào)、督促開發(fā) 單位按照建設(shè)方案、計劃進度和質(zhì)量要求完 成變成工作，對配備的硬件設(shè)備和系統(tǒng)軟件 進行檢查驗收，組織系統(tǒng)上線運行等 信息系統(tǒng)自行開發(fā)流程 9 企業(yè)是否組織獨立與開發(fā)單位的專業(yè)機構(gòu)對 開發(fā)完成的信息系統(tǒng)進行驗收測試，確保在 功能、性能、控制要求和安全性等方面符合 開發(fā)需求 信息系統(tǒng)自行開發(fā)流程 10 企業(yè)是否能夠切實做好信息系統(tǒng)上線的各項 準備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員， 制定科學(xué)的上

4、線新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng) 急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接 信息系統(tǒng)自行開發(fā)流程 11 系統(tǒng)上線涉及數(shù)據(jù)遷移的，企業(yè)是否制定了 詳細的數(shù)據(jù)遷移計劃 信息系統(tǒng)自行開發(fā)流程 信息 系統(tǒng) 運行 與維 護 日常運 行維護 12 企業(yè)是否制定了信息系統(tǒng)使用操作程序、信 息管理制度及各模塊子系統(tǒng)的具體操作規(guī)范 ，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運行中存在的 問題，確保信息系統(tǒng)按照規(guī)定的程序、制度 和操作規(guī)范持續(xù)、穩(wěn)定地運行 信息系統(tǒng)日常運行維護流程 13 企業(yè)是否切實做好系統(tǒng)運行記錄，尤其是對 于系統(tǒng)運行不正常或無法運行的情況，應(yīng)將 異?，F(xiàn)象、發(fā)生時間和可能的原因做詳細記 錄 信息系統(tǒng)日常運行維護流程 1

5、4 企業(yè)是否重視系統(tǒng)運行的日常維護，在硬件 方面，日常維護主要包括各種設(shè)備的保養(yǎng)和 安全管理、故障的診斷與排除、易耗品的更 換和安裝等，這些工作應(yīng)由專人負責(zé) 信息系統(tǒng)日常運行維護流程、硬 件設(shè)備更新修復(fù)申請流程 15 企業(yè)是否配備專業(yè)人員負責(zé)處理信息系統(tǒng)運 行中的突發(fā)事件，必要時會同系統(tǒng)開發(fā)人員 或軟硬件供應(yīng)商共同解決 信息系統(tǒng)日常運行維護流程、硬 件設(shè)備更新修復(fù)申請流程 系統(tǒng)變 更 16 企業(yè)是否建立了標準流程來實施和記錄系統(tǒng) 變更，保證變更過程得到適當?shù)氖跈?quán)與管理 層的批準，并對變更進行測試信息系統(tǒng)功能變更流程 17 信息系統(tǒng)變更是否嚴格遵照管理流程進行操 作，信息系統(tǒng)操作人員不得擅自進行

6、軟件的 刪除、修改等操作，不得擅自升級、改變軟 件版本、不得擅自改變軟件系統(tǒng)的環(huán)境配置信息系統(tǒng)功能變更流程 18 系統(tǒng)變更程序（如軟件升級）是否遵循與新 系統(tǒng)開發(fā)項目相同的驗證和測試程序，必要 時還應(yīng)進行額外測試信息系統(tǒng)功能變更流程 19企業(yè)是否加強緊急變更的控制管理信息系統(tǒng)功能變更流程 20 企業(yè)是否加強對將移植到生產(chǎn)環(huán)境中的控制 管理，包括系統(tǒng)訪問授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控 制、用戶培訓(xùn)等信息系統(tǒng)功能變更流程 安全管 理 21 企業(yè)是否建立了信息系統(tǒng)相關(guān)資產(chǎn)的管理制 度，保證電子設(shè)備的安全信息系統(tǒng)安全管理流程 22 企業(yè)是否成立專門的信息系統(tǒng)安全管理機構(gòu) ，由企業(yè)主要領(lǐng)導(dǎo)負總責(zé)，對企業(yè)的信息安

7、全做出總體規(guī)劃和全方位嚴格管理，具體實 施工作由企業(yè)的信息主管部門負責(zé)信息系統(tǒng)安全管理流程 23 企業(yè)是否強化全體員工的安全保密意識，特 別要對重要崗位員工進行信息系統(tǒng)保密培訓(xùn) ，并簽署安全保密協(xié)議信息系統(tǒng)安全管理流程 24 企業(yè)是否建立了信息系統(tǒng)安全保密制度和泄 密責(zé)任追究制度信息系統(tǒng)安全管理流程 25 企業(yè)是否按照國家相關(guān)法律法規(guī)及信息安全 技術(shù)標準，制定了信息系統(tǒng)安全實施細則信息系統(tǒng)安全管理流程 26 企業(yè)是否根據(jù)業(yè)務(wù)性質(zhì)、重要程度、泄密情 況等確定信息系統(tǒng)的安全等級，建立不同等 級信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段 保證信息系統(tǒng)運行安全、有序信息系統(tǒng)安全管理流程 27 對于信息系統(tǒng)的

8、使用者和不同安全等級信息 之間的授權(quán)關(guān)系，是否能夠在系統(tǒng)開發(fā)建設(shè) 階段就形成方案并加以設(shè)計，在軟件系統(tǒng)中 預(yù)留這種對應(yīng)關(guān)系的設(shè)置功能，以便根據(jù)使 用者崗位職務(wù)的變遷進行調(diào)整信息系統(tǒng)安全管理流程 28 企業(yè)是否有效利用it技術(shù)手段對硬件配置調(diào) 整、軟件參數(shù)修改嚴加控制。例如，企業(yè)可 利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)提供 的安全機制，設(shè)置安全參數(shù)，保證系統(tǒng)訪問 安全；對于重要的計算機設(shè)備，企業(yè)應(yīng)利用 技術(shù)手段防止員工擅自安裝、卸載軟件或改 變軟件系統(tǒng)配置，并定期對上述情況進行檢 查信息系統(tǒng)安全管理流程 信息 系統(tǒng) 運行 與維 護 日常運 行維護 29 企業(yè)委托專業(yè)機構(gòu)進行系統(tǒng)運行與維護管理 的，

9、是否嚴格審查其資質(zhì)條件、市場聲譽和 信用狀況等，并與其簽訂正式的服務(wù)合同和 保密協(xié)議信息系統(tǒng)安全管理流程 30 企業(yè)是否采取安裝安全軟件等措施防范信息 系統(tǒng)受到病毒等惡意軟件的感染和破壞信息系統(tǒng)安全管理流程 31 企業(yè)是否特別注重加強對服務(wù)器等關(guān)鍵部位 的防護信息系統(tǒng)安全管理流程 32 對于存在網(wǎng)絡(luò)應(yīng)用的企業(yè)，是否綜合利用防 火墻、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過濾、 漏洞掃描、入侵檢測等軟件技術(shù)加強網(wǎng)絡(luò)安 全，嚴密防范來自互聯(lián)網(wǎng)的黑客攻擊和非法 侵入信息系統(tǒng)安全管理流程 33 對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蜿P(guān)鍵業(yè)務(wù)數(shù)據(jù) ，企業(yè)是否采取必要的技術(shù)手段確保信息傳 遞的保密性、準確性和完整性信息系統(tǒng)安全管

10、理流程 34 企業(yè)是否建立了系統(tǒng)數(shù)據(jù)定期備份制度，明 確備份范圍、頻度、方法、責(zé)任人、存放地 點、有效性檢查等內(nèi)容信息系統(tǒng)安全管理流程 35 系統(tǒng)首次上線運行時是否完全備份，并根據(jù) 業(yè)務(wù)頻率和數(shù)據(jù)重要性程度，定期做好增量 備份信息系統(tǒng)安全管理流程 36 數(shù)據(jù)正本與數(shù)據(jù)備份是否分別存放于不同地 點，防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不 利影響。企業(yè)可綜合利用磁盤、磁帶、光盤 等備份存儲介質(zhì)信息系統(tǒng)安全管理流程 37 企業(yè)是否建立了信息系統(tǒng)開發(fā)、運行與維護 等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制 度，防范利用計算機舞弊和犯罪信息系統(tǒng)安全管理流程 38 企業(yè)是否建立了用戶管理制度，加強對重要 業(yè)務(wù)系統(tǒng)

11、的訪問權(quán)限管理，避免將不相容職 責(zé)授予同一用戶，對于發(fā)生崗位變化或離崗 的用戶，用戶部門是否及時通知系統(tǒng)管理人 員調(diào)整其在系統(tǒng)中的訪問權(quán)限或關(guān)閉賬號信息系統(tǒng)安全管理流程 39 企業(yè)是否采用密碼控制等技術(shù)手段進行用戶 身份識別，對于重要的業(yè)務(wù)系統(tǒng)，是否采用 數(shù)字證書、生物識別等可靠性強的技術(shù)手段 識別用戶身份信息系統(tǒng)安全管理流程 40 企業(yè)是否定期對系統(tǒng)中的賬號進行審閱，避 免存在授權(quán)不當或非授權(quán)賬號，對于超級用 戶，企業(yè)是否嚴格規(guī)定其使用條件和操作程 序，并對其在系統(tǒng)中的操作全程進行監(jiān)控或 審計 信息系統(tǒng)安全管理流程、會計信 息管理人員操作流程 41 企業(yè)是否積極開展信息系統(tǒng)風(fēng)險評估工作， 定

12、期對信息系統(tǒng)進行安全評估，及時發(fā)現(xiàn)系 統(tǒng)安全問題并加以整改信息系統(tǒng)安全管理流程 系統(tǒng)終 結(jié) 42 企業(yè)是否能夠做好善后工作，不管因何種情 況導(dǎo)致系統(tǒng)停止運行，都能將廢棄系統(tǒng)中有 價值或涉密的信息進行銷毀、轉(zhuǎn)移信息化會計檔案的管理流程 43 企業(yè)是否嚴格按照國家有關(guān)法規(guī)制度和對電 子檔案的管理規(guī)定（如審計準則對審計證據(jù) 保管年限的要求），妥善保管相關(guān)信息檔案信息化會計檔案的管理流程 信息 系統(tǒng) 運行 與維 護 安全管 理 簽簽核核人人姓姓名名： 簽簽核核人人部部門門： 過過程程管管理理情情況況記記錄錄 檢檢查查結(jié)結(jié)果果 對對應(yīng)應(yīng)的的管管理理制制度度相相應(yīng)應(yīng)的的業(yè)業(yè)務(wù)務(wù)流流程程 制制度度名名稱稱及及編編號號具具體體條條款款流流程程名名稱稱及及編編號號 開開始始調(diào)調(diào)查查日日期期過過程程管管理理符符合合