第一條為加強(qiáng)××××信息系統(tǒng)管理內(nèi)部控制，有效防控財(cái)政信息系統(tǒng)管理風(fēng)險(xiǎn)，提高信息系統(tǒng)管理的規(guī)范性、科學(xué)性，××內(nèi)部控制基本制度(試行)》有關(guān)規(guī)定和××××信息化建設(shè)管理相關(guān)制度，結(jié)合工作實(shí)際，制定本辦法。第二條本辦法所稱信息系統(tǒng)管理風(fēng)險(xiǎn)，是指在信息系統(tǒng)管理過程中，因相關(guān)管理制度、工作機(jī)制和標(biāo)準(zhǔn)規(guī)范不完善或執(zhí)行不穩(wěn)定、業(yè)務(wù)操作不受控、信息安全不可靠、信息化輔助管理決策能力弱化，系統(tǒng)無法有效發(fā)揮業(yè)務(wù)支撐與流程管控的可能性。第三條信息系統(tǒng)管理風(fēng)險(xiǎn)主要包括流程控制風(fēng)險(xiǎn)、數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)三個(gè)方面（信息系統(tǒng)建設(shè)由**統(tǒng)一風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)兩個(gè)等級(jí)；按照風(fēng)險(xiǎn)來源和性質(zhì)，分為制度流程風(fēng)險(xiǎn)、崗位職責(zé)風(fēng)險(xiǎn)、廉政風(fēng)險(xiǎn)三種類型。重大風(fēng)險(xiǎn)：是指發(fā)生的風(fēng)險(xiǎn)事件對(duì)信息系統(tǒng)建設(shè)管理產(chǎn)生重大負(fù)面影響，或者嚴(yán)重?fù)p害國(guó)家或部門利益的可能性。一般風(fēng)險(xiǎn)：是指發(fā)生的風(fēng)險(xiǎn)事件對(duì)信息系統(tǒng)建設(shè)管理產(chǎn)生一定的負(fù)面影響，或者對(duì)國(guó)家或部門利益造成一定損失的可能性。制度流程風(fēng)險(xiǎn)：是指信息系統(tǒng)管理制度流程設(shè)計(jì)不合理、執(zhí)行不到位，導(dǎo)致信息系統(tǒng)管理不規(guī)范、不科學(xué)的可能性。到位，或履行崗位職責(zé)不作為、違背制度流程亂作為，導(dǎo)致信息系統(tǒng)建設(shè)管理不規(guī)范，影響工作質(zhì)量與進(jìn)度的可能性。廉政風(fēng)險(xiǎn)：是指信息系統(tǒng)使用或管理人員憑借手中的權(quán)力，利用工作之便在信息系統(tǒng)中違反廉政規(guī)定謀求私利的可能性。第四條信息系統(tǒng)管理風(fēng)險(xiǎn)內(nèi)部控制的目標(biāo)是，綜合運(yùn)用信息化建設(shè)與管理制度、標(biāo)準(zhǔn)規(guī)范和內(nèi)部控制方法，將信息系統(tǒng)管理風(fēng)險(xiǎn)防控措施貫穿于信息系統(tǒng)管理和應(yīng)用全過程，對(duì)信息系統(tǒng)對(duì)業(yè)務(wù)流程運(yùn)行進(jìn)行審計(jì)監(jiān)控，最大限度減少人為操縱因素，確保系統(tǒng)運(yùn)行協(xié)同、業(yè)務(wù)流程固化、業(yè)務(wù)管理銜接以及信息共享、下簡(jiǎn)稱部門)。(一)信息網(wǎng)絡(luò)中心負(fù)責(zé)信息系統(tǒng)管理內(nèi)部控制的組織實(shí)施，向內(nèi)控辦報(bào)告。定期向內(nèi)控辦報(bào)送信息系統(tǒng)管理風(fēng)險(xiǎn)防控情況。重點(diǎn)業(yè)務(wù)環(huán)節(jié)實(shí)施持續(xù)、有效的風(fēng)險(xiǎn)防控，及時(shí)向內(nèi)控辦和信息網(wǎng)絡(luò)中心報(bào)告本部門信息系統(tǒng)管理風(fēng)險(xiǎn)防控及異常情況。第七條信息系統(tǒng)管理風(fēng)險(xiǎn)事件發(fā)生后，相關(guān)部門應(yīng)在第一時(shí)間報(bào)告內(nèi)控辦和信息網(wǎng)絡(luò)中心，及時(shí)采取應(yīng)對(duì)措施，最大程度第二章信息系統(tǒng)流程控制管理內(nèi)部控制第八條信息系統(tǒng)流程控制風(fēng)險(xiǎn)是指業(yè)務(wù)流程未完全固化在業(yè)務(wù)生產(chǎn)系統(tǒng)中、固化在信息系統(tǒng)中的業(yè)務(wù)流程未完全實(shí)現(xiàn)有效控制、業(yè)務(wù)處理未完全通過信息系統(tǒng)執(zhí)行，導(dǎo)致信息系統(tǒng)支撐促進(jìn)內(nèi)部控制工作能力弱化的可能性。其中，重大風(fēng)險(xiǎn)是指因業(yè)務(wù)流程未固化在業(yè)務(wù)生產(chǎn)系統(tǒng)中，或固化在信息系統(tǒng)中的業(yè)務(wù)流程未實(shí)現(xiàn)有效控制，或業(yè)務(wù)處理未通過信息系統(tǒng)固化的流程進(jìn)行等情形發(fā)生，嚴(yán)重影響內(nèi)部控制效一般風(fēng)險(xiǎn)是指因業(yè)務(wù)流程在業(yè)務(wù)生產(chǎn)系統(tǒng)中固化程度不夠，或固化在信息系統(tǒng)中的業(yè)務(wù)流程控制不完善，導(dǎo)致內(nèi)部控制目標(biāo)第九條流程控制風(fēng)險(xiǎn)主要體現(xiàn)在業(yè)務(wù)管理流程化設(shè)計(jì)、控制措施與預(yù)警機(jī)制設(shè)定、信息系統(tǒng)實(shí)現(xiàn)、信息系統(tǒng)流程應(yīng)用等方第十條信息系統(tǒng)固化和管控業(yè)務(wù)流程的程序：2.各部門明確業(yè)務(wù)流程各環(huán)節(jié)控制活動(dòng)、控制措施等。3.各部門提出業(yè)務(wù)流程固化和管理控制的業(yè)務(wù)需求。4.信息網(wǎng)絡(luò)中心綜合分析業(yè)務(wù)需求。5.信息網(wǎng)絡(luò)中心負(fù)責(zé)通過信息系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)流程固化和管理第十一條業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)與防控。1.對(duì)于手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，各部門未提出通過信息系統(tǒng)進(jìn)行流程固化和管理控制，仍采取手工方式操作，增加了業(yè)務(wù)管理活動(dòng)事前防范、事中控制、事后監(jiān)督的難度，存在2.各部門對(duì)需要通過信息系統(tǒng)固化的業(yè)務(wù)流程梳理不清晰、分析不全面、優(yōu)化不合理，導(dǎo)致業(yè)務(wù)流程通過信息系統(tǒng)固化后，3.各部門業(yè)務(wù)流程變更頻繁，影響信息系統(tǒng)穩(wěn)定運(yùn)行，不利對(duì)手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，未通過信息系統(tǒng)進(jìn)行流程固化和管理控制，引發(fā)重大責(zé)任事故業(yè)務(wù)流程變更過于頻繁，影響系統(tǒng)優(yōu)化不合理業(yè)務(wù)流程各環(huán)節(jié)設(shè)定不合理1.對(duì)于手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，必須通過信息系2.各部門應(yīng)按照業(yè)務(wù)實(shí)現(xiàn)的時(shí)間順序和邏輯順序，對(duì)需要通定業(yè)務(wù)流程各環(huán)節(jié)，確保各環(huán)節(jié)既覆蓋業(yè)務(wù)管理全過程又利于倒3.各部門應(yīng)將整理好的業(yè)務(wù)流程形成書面材料。4.各部門應(yīng)切實(shí)結(jié)合財(cái)政管理和改革的實(shí)際需要，審慎處理流程變更，避免流程變更的隨意性。若確需變更，要充分考慮與第十二條控制措施與預(yù)警機(jī)制設(shè)定風(fēng)險(xiǎn)與防控。1.各部門對(duì)于業(yè)務(wù)流程的各環(huán)節(jié)未設(shè)置控制措施和預(yù)警機(jī)制，導(dǎo)致內(nèi)部控制無法實(shí)現(xiàn)。2.各部門對(duì)業(yè)務(wù)流程各環(huán)節(jié)授權(quán)控制不合理，對(duì)關(guān)鍵環(huán)節(jié)未設(shè)置不相容崗位(職責(zé))或不相容崗位(職責(zé))分離措施不到位，導(dǎo)致一人可以操作流程的多個(gè)環(huán)節(jié)，無法形成相互制約、相互監(jiān)督3.各部門對(duì)各項(xiàng)控制措施未設(shè)置預(yù)警機(jī)制或設(shè)置不合理，導(dǎo)致信息系統(tǒng)自動(dòng)控制、風(fēng)險(xiǎn)揭示能力弱化。對(duì)業(yè)務(wù)流程關(guān)鍵環(huán)節(jié)未設(shè)置不相容崗位(職責(zé))或不相容崗位(職責(zé))分離措施對(duì)業(yè)務(wù)流程某些環(huán)節(jié)未設(shè)重大責(zé)任事故控制措施未設(shè)置預(yù)警機(jī)制或設(shè)置不合理1.各部門應(yīng)結(jié)合本部門業(yè)務(wù)和流程，全面梳理所涉及的不相容崗位，明確各個(gè)環(huán)節(jié)的崗位設(shè)置及職責(zé)。2.各部門應(yīng)對(duì)不相容崗位(職責(zé))實(shí)施分離措施，明確細(xì)化職責(zé)，形成各司其職、各負(fù)其責(zé)、橫向與縱向相互制約監(jiān)督的工作3.各部門應(yīng)建立授權(quán)管理體系,明確各崗位的授權(quán)主體、范圍與權(quán)限，科學(xué)分配權(quán)利，確保各崗位人員在授權(quán)范圍內(nèi)開展工作，切實(shí)達(dá)到分事行權(quán)、分崗設(shè)權(quán)、分級(jí)授權(quán)的要求。4.各部門應(yīng)根據(jù)控制措施，合理設(shè)置預(yù)警條件。第十三條信息系統(tǒng)實(shí)現(xiàn)風(fēng)險(xiǎn)與防控。1.信息網(wǎng)絡(luò)中心對(duì)各部門提出的需求調(diào)研不深入，導(dǎo)致系統(tǒng)風(fēng)險(xiǎn)揭示和自動(dòng)控制能力弱化。2.業(yè)務(wù)流程發(fā)生變更后，各部門未提出流程變更申請(qǐng)，導(dǎo)致3.各部門提出流程變更申請(qǐng)，信息網(wǎng)絡(luò)中心未及時(shí)通過信息系統(tǒng)實(shí)現(xiàn)，導(dǎo)致信息系統(tǒng)不能按時(shí)實(shí)現(xiàn)新的控制，影響財(cái)政業(yè)務(wù)4.信息網(wǎng)絡(luò)中心對(duì)流程變更的信息化實(shí)現(xiàn)考慮不周全，影響上下游業(yè)務(wù)正常開展，導(dǎo)致業(yè)務(wù)中斷的可能性。信息網(wǎng)絡(luò)中心信息網(wǎng)絡(luò)中心變更流程時(shí)，未提出需入、分析不全面變更流程后，仍按照原業(yè)務(wù)流程進(jìn)行業(yè)務(wù)操作未根據(jù)流程變更需求及時(shí)完善信息系統(tǒng)流程變更的信息化實(shí)現(xiàn)未達(dá)到預(yù)期效果一般信息網(wǎng)絡(luò)中心一般信息網(wǎng)絡(luò)中心1.各部門提出需要通過信息系統(tǒng)實(shí)現(xiàn)的業(yè)務(wù)流程及其控制活動(dòng)、控制措施等，形成業(yè)務(wù)需求方案，經(jīng)單位負(fù)責(zé)人審批并蓋2.信息網(wǎng)絡(luò)中心對(duì)業(yè)務(wù)需求進(jìn)行分析。若業(yè)務(wù)需求不符合信息系統(tǒng)開發(fā)設(shè)計(jì)要求，信息網(wǎng)絡(luò)中心提出改進(jìn)建議并退回。3.信息網(wǎng)絡(luò)中心按照需求將業(yè)務(wù)流程固化在信息系統(tǒng)中，并4.業(yè)務(wù)流程發(fā)生變更后，各部門要及時(shí)形成流程變更書面材料，經(jīng)單位負(fù)責(zé)人審批同意后提交信息網(wǎng)絡(luò)中心。5.信息網(wǎng)絡(luò)中心應(yīng)及時(shí)受理各部門的變更需求，并做好分析第十四條信息系統(tǒng)流程應(yīng)用的風(fēng)險(xiǎn)與防控。1.各部門未通過已固化流程的信息系統(tǒng)開展財(cái)政業(yè)務(wù)工作，導(dǎo)致信息系統(tǒng)固化流程和管理控制作用無法有效發(fā)揮。2.操作人員未經(jīng)授權(quán)擅自進(jìn)入信息系統(tǒng)后臺(tái)操作，導(dǎo)致繞過3.與外部單位惡意串通，繞開流程進(jìn)行后臺(tái)操作，竊取財(cái)政業(yè)務(wù)信息，謀取利益，存在廉政風(fēng)險(xiǎn)。信息網(wǎng)絡(luò)中心信息網(wǎng)絡(luò)中心各部門、信各部門、信技術(shù)監(jiān)控措施不到位未經(jīng)授權(quán)擅自進(jìn)入信息系1.各部門應(yīng)建立健全規(guī)章制度，確保財(cái)政業(yè)務(wù)通過信息系統(tǒng)處理，實(shí)現(xiàn)內(nèi)部控制的程序化和常態(tài)化。2.信息網(wǎng)絡(luò)中心制定信息系統(tǒng)操作規(guī)程，加強(qiáng)培訓(xùn)，確保各善進(jìn)行處置并向內(nèi)控辦報(bào)告。第三章數(shù)據(jù)應(yīng)用與管理內(nèi)部控制第十五條數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)是指在數(shù)據(jù)收集、存儲(chǔ)、處理和應(yīng)用過程中，由于不主動(dòng)提供數(shù)據(jù)、違規(guī)操作數(shù)據(jù)、越權(quán)使用數(shù)據(jù)、提供的數(shù)據(jù)不規(guī)范等原因，導(dǎo)致信息化數(shù)據(jù)分析利用和輔助決策能力弱化的可能性。其中，重大風(fēng)險(xiǎn)是指由于單位間信息不共享或不該共享的數(shù)據(jù)共享、數(shù)據(jù)不貫通等，導(dǎo)致相關(guān)部門無法正常開展工作；或者由于數(shù)據(jù)失真、使用不當(dāng)，導(dǎo)致決策出現(xiàn)失誤；或者由于數(shù)據(jù)保管不當(dāng)、越權(quán)使用數(shù)據(jù)，導(dǎo)致數(shù)據(jù)丟失或信息泄漏。加重相關(guān)部門工作負(fù)擔(dān)，一定程度上影響工作(一)數(shù)據(jù)收集。按照各部門提出的數(shù)據(jù)收集需求，信息網(wǎng)絡(luò)中心收集財(cái)政業(yè)務(wù)管理需要的各類數(shù)據(jù)并進(jìn)行集中管理。行技術(shù)實(shí)現(xiàn)，提供技術(shù)檢索、展現(xiàn)及分析工具。第十七條數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)收集、數(shù)據(jù)管理和數(shù)據(jù)應(yīng)用等工作過程與環(huán)節(jié)。第十八條數(shù)據(jù)收集的風(fēng)險(xiǎn)與防控。2.信息網(wǎng)絡(luò)中心按照數(shù)據(jù)收集需求收集數(shù)據(jù)，并將收集結(jié)果1.各部門不結(jié)合本職工作實(shí)際，不主動(dòng)溝通協(xié)調(diào)獲取外部單位數(shù)據(jù)，導(dǎo)致信息不對(duì)稱、精細(xì)化管理弱化。2.各部門對(duì)內(nèi)分享數(shù)據(jù)，只提供短期或臨時(shí)數(shù)據(jù)，分享數(shù)據(jù)缺乏持續(xù)性，導(dǎo)致數(shù)據(jù)斷層、斷檔，影響他人決策使用。3.從外部搜集數(shù)據(jù)時(shí)，由于溝通協(xié)調(diào)不夠，無法獲取所需要分享數(shù)據(jù)缺乏持續(xù)性未按數(shù)據(jù)規(guī)劃提出數(shù)據(jù)收集需求合愿意提供數(shù)據(jù)信息網(wǎng)絡(luò)統(tǒng)籌安排，開展數(shù)據(jù)收集工作，并做好技術(shù)實(shí)現(xiàn)和服務(wù)保障。2.各部門應(yīng)主動(dòng)公開、共享業(yè)務(wù)數(shù)據(jù)，做到及時(shí)更新和長(zhǎng)期輸出，并配合信息網(wǎng)絡(luò)中心做好數(shù)據(jù)集中管理工作。3.信息網(wǎng)絡(luò)中心從廳外單位收集數(shù)據(jù)時(shí)，各部門應(yīng)主動(dòng)協(xié)調(diào)第十九條數(shù)據(jù)管理的風(fēng)險(xiǎn)與防控。2.信息網(wǎng)絡(luò)中心按照各部門數(shù)據(jù)存儲(chǔ)需求，結(jié)合數(shù)據(jù)存儲(chǔ)規(guī)范處理并存儲(chǔ)數(shù)據(jù)，并將處理結(jié)果反饋相關(guān)部門。1.缺少有效的數(shù)據(jù)管理機(jī)制，如授權(quán)機(jī)制、查詢機(jī)制，造成數(shù)據(jù)管理混亂，存儲(chǔ)無序。2.存檔入庫(kù)數(shù)據(jù)未經(jīng)分類處理及必要的清洗，導(dǎo)致數(shù)據(jù)冗余或口徑不對(duì)、降低數(shù)據(jù)使用效率。4.未建立數(shù)據(jù)備份與恢復(fù)機(jī)制，導(dǎo)致數(shù)據(jù)丟失。5.利用數(shù)據(jù)管理之便，竊取財(cái)政信息，謀取私利，引發(fā)廉政成失密事故致數(shù)據(jù)丟失缺少有效的數(shù)據(jù)管理機(jī)制存檔入庫(kù)數(shù)據(jù)未經(jīng)分類處理及必要的清洗數(shù)據(jù)未經(jīng)分類便存檔入庫(kù)各部門、信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心1.信息網(wǎng)絡(luò)中心建立規(guī)范的數(shù)據(jù)管理機(jī)制，加強(qiáng)使用授權(quán)，優(yōu)化存儲(chǔ)查詢，確保數(shù)據(jù)的規(guī)范性和準(zhǔn)確性。2.各部門根據(jù)業(yè)務(wù)實(shí)際，提出數(shù)據(jù)存儲(chǔ)需求，明確數(shù)據(jù)存儲(chǔ)數(shù)量、時(shí)間和訪問權(quán)限等，經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息3.信息網(wǎng)絡(luò)中心對(duì)收到的數(shù)據(jù)存儲(chǔ)需求進(jìn)行分析，對(duì)不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。對(duì)符合標(biāo)準(zhǔn)規(guī)范的，通過處理程序，完成數(shù)據(jù)存儲(chǔ)。4.信息網(wǎng)絡(luò)中心按照安全保密措施妥善保管數(shù)據(jù)，建立目錄索引，控制訪問權(quán)限，確保數(shù)據(jù)安全。第二十條數(shù)據(jù)應(yīng)用的風(fēng)險(xiǎn)與防控。2.信息網(wǎng)絡(luò)中心綜合分析應(yīng)用需求，實(shí)現(xiàn)數(shù)據(jù)應(yīng)用。1.共享數(shù)據(jù)不可用或可用性不強(qiáng)，無法達(dá)到預(yù)期使用效果，增加了數(shù)據(jù)綜合利用的難度，不利于業(yè)務(wù)管理水平提高。2.數(shù)據(jù)引用不正確，造成決策分析失誤。3.在數(shù)據(jù)復(fù)制轉(zhuǎn)移過程中，未遵照保密規(guī)定進(jìn)行違規(guī)操作，造成信息泄漏等重大風(fēng)險(xiǎn)。4.利用數(shù)據(jù)應(yīng)用的機(jī)會(huì)，蓄意竊取財(cái)政信息，謀取私利，存風(fēng)險(xiǎn)共享數(shù)據(jù)不可用或可用性各部門、信各部門、信遵照保密規(guī)定進(jìn)行違規(guī)操重大EQ\*jc3\*hps47\o\al(\s\up22(位職),風(fēng)險(xiǎn))EQ\*jc3\*hps47\o\al(\s\up9(作),數(shù))EQ\*jc3\*hps47\o\al(\s\up9(發(fā)生**事件),引用不合理)EQ\*jc3\*hps47\o\al(\s\up23(息網(wǎng)絡(luò)),各部門)EQ\*jc3\*hps47\o\al(\s\up23(心),信)遵照保密規(guī)定進(jìn)行違規(guī)操重大EQ\*jc3\*hps47\o\al(\s\up14(各部門),息網(wǎng)絡(luò))EQ\*jc3\*hps47\o\al(\s\up14(信),心)1.信息網(wǎng)絡(luò)中心建立規(guī)范的數(shù)據(jù)應(yīng)用機(jī)制，加強(qiáng)權(quán)限管理，實(shí)現(xiàn)流程控制，確保數(shù)據(jù)準(zhǔn)確、安全。層次及口徑，并說明應(yīng)用范圍和具體用途。數(shù)據(jù)應(yīng)用需求經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息網(wǎng)絡(luò)中心。3.信息網(wǎng)絡(luò)中心對(duì)收到的數(shù)據(jù)應(yīng)用需求進(jìn)行分析，對(duì)不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。對(duì)符合標(biāo)準(zhǔn)規(guī)范的，做好數(shù)據(jù)準(zhǔn)備，實(shí)現(xiàn)數(shù)據(jù)應(yīng)用。4.各部門嚴(yán)格按照授權(quán)使用數(shù)據(jù)，并將使用情況和效果反饋5.各部門在數(shù)據(jù)復(fù)制轉(zhuǎn)移過程中，要嚴(yán)格執(zhí)行有關(guān)審批手續(xù)第四章信息系統(tǒng)安全管理內(nèi)部控制第二十一條信息系統(tǒng)安全風(fēng)險(xiǎn)是指在信息系統(tǒng)應(yīng)用與運(yùn)行維護(hù)過程中，由于管理制度不健全、信息安全意識(shí)淡薄、安全防故處理機(jī)制不到位，造成信息系統(tǒng)癱瘓、業(yè)務(wù)中斷、數(shù)據(jù)丟失等其中，重大風(fēng)險(xiǎn)是指因技術(shù)防護(hù)措施或管理嚴(yán)重缺失導(dǎo)致業(yè)務(wù)系統(tǒng)長(zhǎng)時(shí)間無法恢復(fù)，**、敏感信息泄漏、丟失，系統(tǒng)癱瘓、業(yè)務(wù)中斷等安全事件發(fā)生，對(duì)國(guó)家安全、財(cái)政業(yè)務(wù)開展造成較大一般風(fēng)險(xiǎn)是指因安全防護(hù)技術(shù)措施或管理制度不到位導(dǎo)致一般信息泄漏、系統(tǒng)暫停運(yùn)行等安全事件發(fā)生，對(duì)財(cái)政業(yè)務(wù)開展第二十二條信息系統(tǒng)安全管理風(fēng)險(xiǎn)主要體現(xiàn)信息系統(tǒng)運(yùn)行安全管理、信息系統(tǒng)運(yùn)維安全管理、信息系統(tǒng)應(yīng)用安全管理、信息系統(tǒng)安全審計(jì)管理、信息系統(tǒng)災(zāi)備與應(yīng)急管理等方面。第二十三條信息系統(tǒng)運(yùn)行安全管理風(fēng)險(xiǎn)防控。1.信息系統(tǒng)和相應(yīng)的基礎(chǔ)軟硬件環(huán)境運(yùn)行監(jiān)控管理手段不完出現(xiàn)的故障得不到及時(shí)發(fā)現(xiàn)和解決，存在業(yè)務(wù)中斷的安全隱患。2.信息系統(tǒng)未按照**等級(jí)要求部署在正確的網(wǎng)絡(luò)上運(yùn)行，導(dǎo)致不符合國(guó)家信息安全保密要求，存在秘密信息泄漏的風(fēng)險(xiǎn)。3.**信息系統(tǒng)上線運(yùn)行后，沒有按照確定的**等級(jí)加載**信息，引發(fā)**信息泄漏、被竊的風(fēng)險(xiǎn)。4.信息系統(tǒng)上線運(yùn)行后，不按要求定期開展等級(jí)(分級(jí))保護(hù)測(cè)評(píng)，導(dǎo)致系統(tǒng)安全隱患得不到及時(shí)整改，系統(tǒng)自身防范外部攻5.以人工方式處理網(wǎng)絡(luò)或單機(jī)上的數(shù)據(jù)信息交換和傳遞，導(dǎo)致工作效率低下，出現(xiàn)數(shù)據(jù)差錯(cuò)、泄漏或丟失。6.因樓宇維修、管網(wǎng)改造等需要斷水、斷電時(shí)，未提前通知信息網(wǎng)絡(luò)中心做好信息系統(tǒng)運(yùn)行環(huán)境的應(yīng)急準(zhǔn)備，導(dǎo)致系統(tǒng)運(yùn)行中斷，嚴(yán)重影響業(yè)務(wù)正常開展。秘密信息泄漏的風(fēng)險(xiǎn)秘密信息泄漏的風(fēng)險(xiǎn)房停運(yùn)的風(fēng)險(xiǎn)信息系統(tǒng)和相應(yīng)的基礎(chǔ)軟硬件環(huán)境運(yùn)行監(jiān)控管理手信息系統(tǒng)和相應(yīng)的基礎(chǔ)軟硬件環(huán)境運(yùn)行故障的事前預(yù)警能力不高以人工方式處理不同網(wǎng)絡(luò)上的數(shù)據(jù)信息交換和傳遞未按相關(guān)規(guī)定進(jìn)行信息系統(tǒng)分級(jí)保護(hù)或等級(jí)保護(hù)相信息系統(tǒng)或基礎(chǔ)軟硬件環(huán)境出現(xiàn)故障時(shí)未及時(shí)發(fā)現(xiàn)各部門、信物業(yè)公司信息網(wǎng)絡(luò)中心信息網(wǎng)絡(luò)中心各部門、信信息網(wǎng)絡(luò)中心信息網(wǎng)絡(luò)中心1.信息網(wǎng)絡(luò)中心要提高信息系統(tǒng)和基礎(chǔ)軟硬件環(huán)境運(yùn)行故障的事前預(yù)警能力。各部門應(yīng)及時(shí)將發(fā)現(xiàn)的信息系統(tǒng)運(yùn)行異常通知信息網(wǎng)絡(luò)中心，并配合進(jìn)行異常情況調(diào)查和處置。2.嚴(yán)格執(zhí)行國(guó)家有關(guān)信息安全保密管理有關(guān)規(guī)定，確保**3.系統(tǒng)上線運(yùn)行后，應(yīng)按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)，對(duì)**信息系統(tǒng)進(jìn)行分級(jí)保護(hù)測(cè)評(píng)，對(duì)不符合要求的事項(xiàng)，及時(shí)進(jìn)行整改。4.研究建立不同網(wǎng)絡(luò)上的數(shù)據(jù)信息交換與傳遞工作機(jī)制，建設(shè)部署相應(yīng)技術(shù)手段，盡可能避免人工操作。5.物業(yè)公司配合信息網(wǎng)絡(luò)中心做好信息系統(tǒng)運(yùn)行環(huán)境的保障工作，保證系統(tǒng)運(yùn)行的連續(xù)性。第二十四條信息系統(tǒng)運(yùn)維安全管理風(fēng)險(xiǎn)防控。1.各部門不遵從信息系統(tǒng)運(yùn)行維護(hù)管理程序，遇到問題直接聯(lián)系運(yùn)維人員或系統(tǒng)開發(fā)人員，運(yùn)維過程沒有監(jiān)督，導(dǎo)致由于不規(guī)范運(yùn)維引發(fā)的事故責(zé)任無法追溯。2.信息網(wǎng)絡(luò)中心未按運(yùn)維管理規(guī)定程序和要求及時(shí)組織開展運(yùn)維工作，系統(tǒng)運(yùn)行故障得不到及時(shí)解決，導(dǎo)致業(yè)務(wù)正常開展3.未建立信息安全管理系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員(以下簡(jiǎn)稱“三員”)分離制度，或執(zhí)行不到位，運(yùn)維人員可以隨意進(jìn)行信息系統(tǒng)和數(shù)據(jù)庫(kù)后臺(tái)操作，或者一人獨(dú)自在不受任何監(jiān)控的情況下進(jìn)行操作，存在系統(tǒng)參數(shù)配置被惡意更改或業(yè)務(wù)數(shù)據(jù)泄漏、丟失、篡改的重大風(fēng)險(xiǎn)。4.機(jī)房管理制度執(zhí)行不嚴(yán)格，運(yùn)維人員進(jìn)出機(jī)房不填寫登記表，不記錄運(yùn)維工作內(nèi)容，操作過程未留下痕跡，導(dǎo)致嚴(yán)重的系5.運(yùn)維單位對(duì)信息系統(tǒng)及其基礎(chǔ)資源環(huán)境不熟悉，無法按規(guī)信息網(wǎng)絡(luò)中心、物業(yè)公信息網(wǎng)絡(luò)中心、物業(yè)公司各部門、信信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心各部門、信息網(wǎng)絡(luò)中心信息網(wǎng)絡(luò)中心信息網(wǎng)絡(luò)中心機(jī)房等重要部位的安全保衛(wèi)、消防、監(jiān)控、供電等工作執(zhí)行不到位衛(wèi)、消防、監(jiān)控、供電等工作執(zhí)行不到位發(fā)現(xiàn)信息泄漏事件未及時(shí)發(fā)現(xiàn)信息泄漏事件未制定應(yīng)急方案并采取補(bǔ)救措施信息系統(tǒng)運(yùn)行維護(hù)制度執(zhí)各部門、信各部門、信1.由信息網(wǎng)絡(luò)中心統(tǒng)一負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)工作的組織管理，按照上級(jí)有關(guān)運(yùn)維服務(wù)管理規(guī)定的程序和要求執(zhí)行。2.信息系統(tǒng)的所有運(yùn)行維護(hù)操作都必須進(jìn)行完整記錄，運(yùn)維單位承擔(dān)的所有維護(hù)操作必須在信息網(wǎng)絡(luò)中心或相關(guān)業(yè)務(wù)部門的監(jiān)控下進(jìn)行，不允許運(yùn)維單位人員獨(dú)自開展系統(tǒng)運(yùn)維工作。3.規(guī)范業(yè)務(wù)系統(tǒng)上線、開放權(quán)限等變更操作流程，建立并嚴(yán)格執(zhí)行“三員”分離制度，加強(qiáng)對(duì)后臺(tái)設(shè)備、數(shù)據(jù)操作權(quán)限和操作行為的管理與審計(jì)，加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)操作人員的安全管理，規(guī)4.嚴(yán)格執(zhí)行機(jī)房管理制度，進(jìn)出機(jī)房的運(yùn)維人員都應(yīng)完整填寫相關(guān)登記表，詳細(xì)說明要解決的故障，所涉及的設(shè)備、信息系統(tǒng)和數(shù)據(jù)，經(jīng)審批后方可進(jìn)入機(jī)房。第二十五條信息系統(tǒng)應(yīng)用安全管理風(fēng)險(xiǎn)防控。1.業(yè)務(wù)人員安全意識(shí)欠缺，不按管理規(guī)范和流程操作信息系統(tǒng)，造成信息系統(tǒng)功能和性能受到影響，導(dǎo)致業(yè)務(wù)管理無法正常2.**硬盤、數(shù)字證書(USBKey)、電子印章、視頻干擾器、資源管理使用不規(guī)范，使用人員離職或退休前不能及時(shí)收回，存在信息泄漏、非法訪問等安全風(fēng)險(xiǎn)。3.業(yè)務(wù)人員不嚴(yán)格執(zhí)行相關(guān)保密規(guī)定，不規(guī)范使用和操作**計(jì)算機(jī)、信息系統(tǒng)，存在違規(guī)外聯(lián)、不同網(wǎng)絡(luò)間交叉使用移動(dòng)存儲(chǔ)介質(zhì)、不安裝統(tǒng)一部署的殺毒軟件等違規(guī)行為，存在**等安全4.對(duì)外部借調(diào)的業(yè)務(wù)人員管理不到位，存在外部借調(diào)人員超權(quán)限訪問信息系統(tǒng)、未及時(shí)收回相應(yīng)的信息資源等問題，導(dǎo)致信息泄漏、非法訪問等安全風(fēng)險(xiǎn)。離職、退休和臨時(shí)借調(diào)人員離開時(shí)，未交回和注銷(USBKey)、電子印章、視IP地址、郵箱賬號(hào)、信息系統(tǒng)賬號(hào)等各種信息資源安全保密培訓(xùn)不夠，信息安全技術(shù)培訓(xùn)欠缺人員崗位變更未及時(shí)更改業(yè)務(wù)人員不嚴(yán)格執(zhí)行相關(guān)保密規(guī)定，存儲(chǔ)介質(zhì)交叉信息網(wǎng)絡(luò)中心混用、在非**網(wǎng)上和非**計(jì)算機(jī)上處理**信息等違不按管理規(guī)范和流程操作使用信息系統(tǒng)授權(quán)不嚴(yán)格，或業(yè)務(wù)人員將自己的權(quán)限授予他人使用出現(xiàn)信息泄漏事件后未調(diào)查評(píng)估并對(duì)管理問題進(jìn)行各部門、信各部門、信1.信息系統(tǒng)上線運(yùn)行前，應(yīng)對(duì)業(yè)務(wù)人員進(jìn)行操作與安全管理培訓(xùn)，提高操作系統(tǒng)的規(guī)范性和安全意識(shí)。各種信息安全資源的管理。3.進(jìn)一步強(qiáng)化身份認(rèn)證與授權(quán)管理，業(yè)務(wù)系統(tǒng)必須使用財(cái)政數(shù)字證書，由信息網(wǎng)絡(luò)中心統(tǒng)一發(fā)放數(shù)字證書(USBKey)、電子做到人、證、印相符。各部門要負(fù)責(zé)離職、退休、臨時(shí)調(diào)出以及借調(diào)等人員的數(shù)字證書(USBKey)、電子印章等資源的回收。4.各部門應(yīng)加強(qiáng)對(duì)系統(tǒng)操作