單位名稱：,,,,預(yù)審編制人：,,預(yù)審日期：,預(yù)審復(fù)核人：,預(yù)審截止日：,,,,復(fù)核日期：,,,,,,,,,,,,,,,,,,,,,,,,索引號：

項(xiàng)目：信息系統(tǒng)-匯總表,,,,年度審計(jì)編制人：,,年審日期：,年度審計(jì)復(fù)核人：,年審截止日：,,,,復(fù)核日期：,,,,,,,,,,,,,,,,,,,,,,,,頁次：

序號,控制的基本要求,,,,,,了解內(nèi)控,,,,,,穿行測試,,,,,控制測試,,,,,,,補(bǔ)償控制,,,,評價與建議,,,,,整改與認(rèn)定,,

,主要業(yè)務(wù)活動,風(fēng)險點(diǎn)編號,風(fēng)險點(diǎn),控制目標(biāo),受影響的相關(guān)交易和賬戶余額及其認(rèn)定,常用的控制活動,單位的控制活動,相關(guān)的控制文件,主要責(zé)任部門,控制活動對實(shí)現(xiàn)控制目標(biāo)是否有效(是/否）,初步判斷說明,備注,控制活動的制度設(shè)計(jì)是否有效（是/否,設(shè)計(jì)缺陷,索引號,是否測試該控制活動運(yùn)行有效性（是/否）,備注,執(zhí)行控制的頻率,所測試的項(xiàng)目數(shù)量,差錯比例差錯/樣本量,控制活動是否有效運(yùn)行(是/否),運(yùn)行缺陷,索引號,備注,補(bǔ)償控制（有/否）,補(bǔ)償措施,索引號,備注,缺陷認(rèn)定（設(shè)計(jì)與運(yùn)行）,內(nèi)控缺陷影響程度（重大/重要/一般）,財(cái)務(wù)風(fēng)險/非財(cái)務(wù)風(fēng)險,相關(guān)報(bào)表項(xiàng)目,改進(jìn)建議,企業(yè)整改意見,整改情況,缺陷認(rèn)定（設(shè)計(jì)與運(yùn)行）

18.1,內(nèi)部環(huán)境,,未建立相關(guān)的信息系統(tǒng)制度，未經(jīng)審批，可能導(dǎo)致非法操作和舞弊,18.1.1《信息系統(tǒng)管理制度及流程》、得以適當(dāng)?shù)木幹萍皩徟?第一條),,建立并由管理層審批的《信息系統(tǒng)管理制度及流程》以規(guī)范信息系統(tǒng)管理工作的日常操作,0,,0,,0,,,,,,,不適用,不適用,不適用,,,,,,,,,,,,,,,,

,,,,18.1.2恰當(dāng)?shù)亟⑿畔⑾到y(tǒng)崗位責(zé)任制度并經(jīng)審批(第一條),,建立并由管理層審批的《信息系統(tǒng)崗位責(zé)任制度》以規(guī)范信息系統(tǒng)管理工作的日常操作,0,,0,,,,,,,,,不適用,不適用,不適用,,,,,,,,,,,,,,,,

18.2,信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃,,缺乏戰(zhàn)略規(guī)劃或規(guī)劃不合理，導(dǎo)致企業(yè)經(jīng)營管理效率低；沒有將信息化與企業(yè)業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的應(yīng)用價值。,18.2.1信息系統(tǒng)戰(zhàn)略規(guī)劃與企業(yè)業(yè)務(wù)目標(biāo)保持一致(第三條、第四條),,"下達(dá)企業(yè)業(yè)務(wù)目標(biāo)，提出信息系統(tǒng)戰(zhàn)略規(guī)劃項(xiàng)目，制定信息系統(tǒng)開發(fā)的戰(zhàn)備規(guī)劃和中長期發(fā)展計(jì)劃；在制定信息化戰(zhàn)略過程中，要求各部門積極參與、充分溝通；信息系統(tǒng)戰(zhàn)略要與企業(yè)的組架構(gòu)、業(yè)務(wù)范圍、地域分布等相匹配。

",0,,0,,0,,,,,,,不適用,不適用,不適用,,,,,,,,,,,,,,,,

,,,信息系統(tǒng)戰(zhàn)略規(guī)劃方法不適合企業(yè)的實(shí)際情況，導(dǎo)致信息系統(tǒng)無法順利完成,18.2.2信息系統(tǒng)戰(zhàn)略規(guī)劃方法適合企業(yè)的實(shí)際情況(第五條、第六條),,"擬定項(xiàng)目框架要求；選擇信息系統(tǒng)戰(zhàn)略規(guī)劃方法；結(jié)合企業(yè)生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)及處理規(guī)則，起草信息系統(tǒng)戰(zhàn)略規(guī)劃方案。

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,信息系統(tǒng)戰(zhàn)略規(guī)劃報(bào)告未經(jīng)適當(dāng)審核或超越授權(quán)審批，可能會產(chǎn)生重大差錯或舞弊、欺詐行為，從而使企業(yè)遭受損失,"18.2.3撰寫信息系統(tǒng)戰(zhàn)略規(guī)劃報(bào)告，并經(jīng)審批

",,"按照方案中的描述，對該方案所規(guī)劃的信息系統(tǒng)進(jìn)行仿真計(jì)算。仿真結(jié)束后，信息化領(lǐng)導(dǎo)小組對不同方案之間實(shí)施難度、風(fēng)險等各種因素的綜合考慮，選擇其中的一種方案作為最終方案，撰寫信息系統(tǒng)戰(zhàn)略規(guī)劃報(bào)告，并經(jīng)相關(guān)權(quán)利人審批。

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

3,重要信息系統(tǒng)政策制定,3.1,重要信息系統(tǒng)政策制定申請如果未經(jīng)審批或越權(quán)審批，可能導(dǎo)致企業(yè)經(jīng)濟(jì)損失,3.1對重要信息系統(tǒng)政策提出申請，并經(jīng)審批,,信息部根據(jù)企業(yè)要求和實(shí)際工作需要，提出重要信息系統(tǒng)政策制定申請；經(jīng)董事會審批通過后，編制重要信息系統(tǒng)政策，相關(guān)政策符合國家和企業(yè)的相關(guān)規(guī)定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

,,3.2,職責(zé)分工、權(quán)限范圍和審批程序不規(guī)范、機(jī)構(gòu)設(shè)置和人員配備不合理、重要信息系統(tǒng)制定未能按照審批程序進(jìn)行編制，可能會產(chǎn)生重大差錯或舞弊、欺詐行為，從使企業(yè)遭受損失,3.2職責(zé)分工、權(quán)限范圍和審批程序規(guī)范、機(jī)構(gòu)設(shè)置和人員配備合理、重要信息系統(tǒng)制定按照審批程序進(jìn)行編制,,"信息部組織召開研討會，并邀請生產(chǎn)部、銷售部、財(cái)務(wù)部、人力資源部、采購部、倉儲部等使用部門的相關(guān)人員參加

信息部根據(jù)會議結(jié)果，起草重要信息系統(tǒng)政策，提交董事會審批，審批通過后，下達(dá)正式的重要信息系統(tǒng)政策。",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

18.3,信息系統(tǒng)開發(fā),,信息系統(tǒng)建設(shè)缺乏項(xiàng)目計(jì)劃或者計(jì)劃不不當(dāng)，導(dǎo)致項(xiàng)目進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下,18.3.1提出信息系統(tǒng)開發(fā)申請，并經(jīng)審批；編制《系統(tǒng)開計(jì)劃》,,"企業(yè)的生產(chǎn)、銷售、倉儲、財(cái)務(wù)等信息系統(tǒng)使用部門，根據(jù)實(shí)際工作需要，提交信息系統(tǒng)開發(fā)申請；信息部仔細(xì)核對用戶部門提交的申請，審核無誤后，提交運(yùn)營總監(jiān)審核、總經(jīng)理審批；

申請審批后，信息部根據(jù)企業(yè)相關(guān)規(guī)定以及用戶部門的實(shí)際情況分析信息系統(tǒng)需求；

在分析需求的基礎(chǔ)上編制信息系統(tǒng)計(jì)劃書，編制表述要清晰、需求文檔表達(dá)要準(zhǔn)確。提交運(yùn)營總監(jiān)審核及總經(jīng)理審批，信息系統(tǒng)開發(fā)計(jì)劃書包括信息系統(tǒng)名稱、應(yīng)達(dá)到的技術(shù)性能、操作環(huán)境、具體工作計(jì)劃、開發(fā)人員以及費(fèi)用預(yù)算等內(nèi)容

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,業(yè)務(wù)流程不規(guī)范、設(shè)計(jì)不合理，導(dǎo)致系統(tǒng)不能滿足業(yè)務(wù)需求。,18.3.2企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織內(nèi)部各單位提出開發(fā)需求和關(guān)鍵控制點(diǎn)。（第五條\第六條）,,"信息管理部門負(fù)責(zé)組建項(xiàng)目組，包括承擔(dān)系統(tǒng)實(shí)施的人員（以下簡稱咨詢顧問）和關(guān)鍵用戶。項(xiàng)目組根據(jù)ERP項(xiàng)目可行性研究報(bào)告和批復(fù)進(jìn)行業(yè)務(wù)流程設(shè)計(jì)，并經(jīng)關(guān)鍵用戶、業(yè)務(wù)部門負(fù)責(zé)人簽字確認(rèn)。

對于功能增強(qiáng)/表單/報(bào)表/系統(tǒng)接口等客戶化開發(fā)，由業(yè)務(wù)部門提出需求，并編制開發(fā)需求功能說明書，其中需描述訪問權(quán)限要求。項(xiàng)目組根據(jù)功能說明書編制客戶化開發(fā)清單，提交相關(guān)部門負(fù)責(zé)人簽字確認(rèn)。

開發(fā)人員根據(jù)開發(fā)需求功能說明書在開發(fā)環(huán)境中完成開發(fā)工作，將開發(fā)結(jié)果提交業(yè)務(wù)人員進(jìn)行測試，并經(jīng)業(yè)務(wù)人員及部門負(fù)責(zé)人簽字確認(rèn)。

咨詢顧問依據(jù)簽字確認(rèn)的業(yè)務(wù)流程設(shè)計(jì)進(jìn)行系統(tǒng)配置，并編寫配置文檔；關(guān)鍵用戶對配置文檔進(jìn)行審核并簽字確認(rèn)。

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,設(shè)計(jì)方案未完全滿足用戶需求，不能實(shí)現(xiàn)需求文檔的上檔；方案未能有效控制建設(shè)開發(fā)成本，不能保證建設(shè)質(zhì)量和進(jìn)度；方案不全面，會導(dǎo)致后續(xù)變更頻繁；方案未考慮信息系統(tǒng)建成后對企業(yè)內(nèi)控的影響，會導(dǎo)致系統(tǒng)運(yùn)行后衍生新的風(fēng)險,18.3.3設(shè)計(jì)適當(dāng)?shù)某绦蚍桨福ǖ谄邨l),,"系統(tǒng)分析人員設(shè)計(jì)信息系統(tǒng)開發(fā)的具體方案；系統(tǒng)設(shè)計(jì)部門就總體設(shè)計(jì)方案與業(yè)務(wù)部門進(jìn)行溝通和討論，說明方案對用戶需求的覆蓋情況；對選定的設(shè)計(jì)方案予以書面確認(rèn)；

信息部參照相關(guān)國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)，編寫系統(tǒng)設(shè)計(jì)方案；建立設(shè)計(jì)評審制度和設(shè)計(jì)變更控制流程；在系統(tǒng)設(shè)計(jì)時考慮信息系統(tǒng)建成后的控制環(huán)境，將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)及處理規(guī)程嵌入系統(tǒng)程序；信息系統(tǒng)環(huán)境下的新的控制風(fēng)險；考慮檢查、校驗(yàn)、操作日志功能；預(yù)留必要的后臺操作通道",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,編程結(jié)果與設(shè)計(jì)不符；各程序員編程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期維護(hù)困難，成本高；缺乏有效的程序版本控制，導(dǎo)致重復(fù)修改等問題；測試不充分,18.3.4恰當(dāng)?shù)鼐帉懶畔⑾到y(tǒng)程序，順利完成信息系統(tǒng)的驗(yàn)收測試(第八條）,,建立并執(zhí)行嚴(yán)格的代碼復(fù)查評審制度，統(tǒng)一編程規(guī)范，在標(biāo)識符命名、程序注釋等方面統(tǒng)一風(fēng)格；使用版本控制軟件系統(tǒng)，保證開發(fā)人員基于相同的組件環(huán)境開展項(xiàng)目工作；建立嚴(yán)格的測試工作流程，組織獨(dú)立于開發(fā)建設(shè)項(xiàng)目組的專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測試,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,缺乏完整可行的上線計(jì)劃，導(dǎo)致系統(tǒng)上線混亂無序。人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯誤；初始數(shù)據(jù)準(zhǔn)備設(shè)置不合格，導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)處理錯誤,18.3.5制定完整可行的上線計(jì)劃，并對相關(guān)人員進(jìn)行培訓(xùn)（第九條）,,"制定信息系統(tǒng)上線計(jì)劃，并經(jīng)相關(guān)權(quán)利人審批；系統(tǒng)上線涉及新舊系統(tǒng)切換的，應(yīng)當(dāng)在計(jì)劃中明確應(yīng)急預(yù)案；系統(tǒng)最終上線，信息部應(yīng)設(shè)置用戶部門的使用權(quán)限

用戶部門在信息部的授權(quán)下使用信息系統(tǒng)

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

18.4,業(yè)務(wù)外包開發(fā),,相關(guān)風(fēng)險點(diǎn)索引“業(yè)務(wù)外包或合同管理”活動,索引“業(yè)務(wù)外包或合同管理”活動,,相關(guān)的控制測試索引“業(yè)務(wù)外包或合同管理”活動,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

5,外購方式,5.1,軟件產(chǎn)品選型不當(dāng)，無法滿足企業(yè)需求；軟件供應(yīng)商選擇不當(dāng)，會導(dǎo)致產(chǎn)品的支持服務(wù)能力不足,5.1提出購買軟件申請，恰當(dāng)選擇軟件產(chǎn)品及供應(yīng)商，并經(jīng)審批,,相關(guān)部門提出購買軟件《申請書》，應(yīng)明確自身需求，由信息管理部進(jìn)行分析，合理選擇軟件產(chǎn)品及供應(yīng)商，并在申請書上寫明意見，最終由相關(guān)權(quán)利人進(jìn)行審批,,,,,0,,,,,,,,,,,,,,,,,,,,,,,,,

18.5,信息系統(tǒng)的運(yùn)行與維護(hù),,規(guī)章制度不健全，導(dǎo)致對系統(tǒng)管理的失控。,18.5.1企業(yè)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)運(yùn)行與維護(hù)的管理，制定信息系統(tǒng)工作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范。(第十條),,"制定程序和數(shù)據(jù)訪問管理制度,主要包括用戶權(quán)限管理、用戶帳號管理、用戶登錄管理、超級用戶管理及第三方人員管理等內(nèi)容。",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,用戶權(quán)限管理不規(guī)范，導(dǎo)致對系統(tǒng)的非法或非授權(quán)訪問,18.5.2企業(yè)應(yīng)當(dāng)建立用戶管理制度，加強(qiáng)對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理。（第十二條）,,新進(jìn)員工及崗位變動人員按照用戶權(quán)限相關(guān)管理辦法填寫用戶權(quán)限審批表，經(jīng)相關(guān)部門負(fù)責(zé)人審批后，由應(yīng)用管理員在系統(tǒng)中新增、變更或鎖定用戶權(quán)限。員工離職后，由應(yīng)用管理員刪除離職員工的權(quán)限。對于數(shù)據(jù)庫用戶權(quán)限，相關(guān)人員填寫用戶權(quán)限審批表，經(jīng)相關(guān)部門負(fù)責(zé)人審批后，由系統(tǒng)管理員在數(shù)據(jù)庫中新增、變更或鎖定用戶權(quán)限。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,系統(tǒng)登錄控制功能不健全，導(dǎo)致對系統(tǒng)的非法或非授權(quán)訪問。,18.5.3訪問應(yīng)用系統(tǒng)時必須有相應(yīng)的控制措施。（第十二條）,,操作人員訪問應(yīng)用系統(tǒng)時，必須輸入用戶帳號和密碼。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,密碼設(shè)置強(qiáng)度不夠或更改不及時，造成系統(tǒng)泄密或受到非法訪問。,"18.5.4用戶帳號及訪問得到相應(yīng)管理管理,定期審閱系統(tǒng)賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，禁止不相容職務(wù)用戶賬號的交叉操作。（第十二條）",,"應(yīng)用管理員在系統(tǒng)中為每個操作人員設(shè)置獨(dú)立的用戶帳號，不能設(shè)置共享用戶帳號（查詢用戶帳號除外）。應(yīng)用管理員至少每半年打印一次用戶帳號權(quán)限清單，并由相關(guān)部門負(fù)責(zé)人審核。操作人員應(yīng)按照密碼管理相關(guān)規(guī)定，遵循系統(tǒng)密碼的長度至少為6位，復(fù)雜度為數(shù)字與字符的組合，三個月更改一次密碼等密碼規(guī)則設(shè)置密碼，不得使用最近+G16使用過的密碼。應(yīng)用管理員對操作人員密碼定期更換記錄進(jìn)行檢查。

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,崗位設(shè)置不合理、授權(quán)不規(guī)范，導(dǎo)致對系統(tǒng)的非法或非授權(quán)訪問。,18.5.5企業(yè)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級，建立不同等級信息的授權(quán)使用制度。（第十一條）,,安全管理員、系統(tǒng)管理員、應(yīng)用管理員必須經(jīng)相關(guān)部門負(fù)責(zé)人授權(quán)并遵循不相容崗位分離原則，且不得擁有應(yīng)用系統(tǒng)的業(yè)務(wù)操作權(quán)限。相關(guān)部門負(fù)責(zé)人至少每半年對上述管理員在職情況進(jìn)行審查。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,第三方合作單位管理不到位，造成系統(tǒng)泄密或受到非法訪問。,18.5.6委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與維護(hù)管理的，應(yīng)當(dāng)審查該機(jī)構(gòu)的資質(zhì)，并與其簽訂服務(wù)合同和保密協(xié)議。（第十一條\第十二條）,,對第三方合作單位審查該機(jī)構(gòu)的資質(zhì)，并與其簽訂服務(wù)合同和保密協(xié)議。第三方人員需訪問系統(tǒng)時，由申請人/經(jīng)辦人按照相關(guān)管理辦法填寫用戶權(quán)限審批表(需注明使用期限和權(quán)限)，經(jīng)需求部門負(fù)責(zé)人審核后提交信息管理部門（責(zé)任處（科）室）負(fù)責(zé)人審批，由應(yīng)用管理員在系統(tǒng)中新增或變更其帳號及權(quán)限。到期后必須及時刪除或鎖定第三方人員的帳號。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,程序變更制度不健全，導(dǎo)致信息系統(tǒng)應(yīng)用管理不規(guī)范、運(yùn)維不及時。,18.5.7企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)變更管理流程。（第十條）,,實(shí)施系統(tǒng)變更管理，包括變更申請審批、變更測試和變更版本管理等。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,系統(tǒng)變更管理不規(guī)范，導(dǎo)致應(yīng)用系統(tǒng)運(yùn)行和維護(hù)的無法正常進(jìn)行。,18.5.8信息系統(tǒng)變更應(yīng)當(dāng)嚴(yán)格遵照管理流程進(jìn)行操作。（第十條）,,統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)，系統(tǒng)變更必須填寫系統(tǒng)變更審批表上報(bào)信息系統(tǒng)管理部和總部相關(guān)部門，統(tǒng)一組織升級、測試和變更，各分（子）公司不得自行變更。各分（子）公司自建系統(tǒng)或客戶化開發(fā)的變更，必須經(jīng)過分（子）公司信息管理部門和相關(guān)部門負(fù)責(zé)人審批。變更的應(yīng)用程序移植到生產(chǎn)系統(tǒng)前，相關(guān)部門必須組織人員進(jìn)行系統(tǒng)測試和最終用戶測試，測試不能在生產(chǎn)環(huán)境中進(jìn)行。信息管理部門必須對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)版本變更進(jìn)行管理，記錄每次變更的版本號，存檔變更文檔和變更升級程序。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,系統(tǒng)運(yùn)行制度不健全，導(dǎo)致信息系統(tǒng)應(yīng)用管理不規(guī)范、運(yùn)維不及時。,18.5.9企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度。（第十四條）,,依據(jù)相關(guān)應(yīng)用系統(tǒng)管理辦法實(shí)施系統(tǒng)運(yùn)行管理，包括系統(tǒng)備份及恢復(fù)、系統(tǒng)監(jiān)控、維護(hù)及故障處理等。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,備份策略和備份方案不完善，數(shù)據(jù)備份不及時、不成功，導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，系統(tǒng)無法恢復(fù)。,18.5.10明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。（第十四條）,,"應(yīng)用管理員（系統(tǒng)管理員）至少每月做一次數(shù)據(jù)全備份，并檢查數(shù)據(jù)備份日志，確認(rèn)備份是否成功。對備份異常情況進(jìn)行記錄，同時檢查備份數(shù)據(jù)的可讀性。

系統(tǒng)管理員適時對系統(tǒng)進(jìn)行備份，同時檢查備份系統(tǒng)的可讀性，確認(rèn)備份是否成功。

系統(tǒng)管理員、應(yīng)用管理員至少每月對數(shù)據(jù)庫、應(yīng)用系統(tǒng)的日志進(jìn)行備份。

應(yīng)用管理員（系統(tǒng)管理員）每月將備份介質(zhì)與生產(chǎn)服務(wù)器異地存放，并由專人管理。備份介質(zhì)存放要有記錄，介質(zhì)訪問人員須經(jīng)相關(guān)部門負(fù)責(zé)人授權(quán)并填寫訪問記錄。

系統(tǒng)管理員至少每半年對備份數(shù)據(jù)進(jìn)行一次可讀性測試。

系統(tǒng)管理員至少每年對備份數(shù)據(jù)進(jìn)行一次恢復(fù)性測試。",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,系統(tǒng)運(yùn)行缺乏有效監(jiān)控，影響系統(tǒng)安全穩(wěn)定運(yùn)行。,18.5.11及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題。（第十條）,,"系統(tǒng)管理員對應(yīng)用系統(tǒng)、后臺作業(yè)、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器等運(yùn)行狀況進(jìn)行監(jiān)控,并填報(bào)系統(tǒng)運(yùn)行監(jiān)控報(bào)告。

應(yīng)用管理員對應(yīng)用系統(tǒng)操作日志或記錄、安全管理員對直接訪問數(shù)據(jù)庫的操作日志至少每月進(jìn)行一次審核，發(fā)現(xiàn)異常情況，及時上報(bào)信息管理部門/相關(guān)部門負(fù)責(zé)人，同時查明原因，提出處理意見，記錄處理情況。

對系統(tǒng)運(yùn)行出現(xiàn)的故障，相關(guān)人員需填報(bào)問題處理記錄單，詳細(xì)記錄問題處理情況，其中包括故障發(fā)生時間、故障情況、解決辦法、處理結(jié)果及問題跟蹤記錄等，并審核確認(rèn)。",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,未制定應(yīng)急預(yù)案或培訓(xùn)不到位，員工不能及時正確處理突發(fā)事件或故障，影響系統(tǒng)安全穩(wěn)定運(yùn)行。,"18.5.12制定應(yīng)急預(yù)案并培訓(xùn)到位,確保及時正確處理突發(fā)事件及故障。",,系統(tǒng)應(yīng)用部門會同信息管理部門制訂系統(tǒng)應(yīng)急預(yù)案，并至少每年對業(yè)務(wù)人員、系統(tǒng)管理員、應(yīng)用管理員進(jìn)行一次系統(tǒng)應(yīng)急預(yù)案的培訓(xùn)。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,網(wǎng)絡(luò)管理制度不健全，導(dǎo)致網(wǎng)絡(luò)管理存在漏洞。,18.5.13建立相關(guān)管理制度和工作流程實(shí)施對網(wǎng)絡(luò)的管理。,,建立相關(guān)管理制度和工作流程實(shí)施對網(wǎng)絡(luò)的管理，包括網(wǎng)絡(luò)運(yùn)行維護(hù)管理、網(wǎng)絡(luò)互聯(lián)管理、網(wǎng)絡(luò)設(shè)備密碼管理、網(wǎng)絡(luò)管理員管理、遠(yuǎn)程接入網(wǎng)絡(luò)管理、病毒防護(hù)管理等。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,網(wǎng)絡(luò)相關(guān)管理人員配備不到位，導(dǎo)致網(wǎng)絡(luò)管理存在安全隱患。,"18.5.14用戶帳號及訪問得到相應(yīng)管理管理,禁止不相容崗位交叉。（第十一條\第十二條\第十三條）",,各級信息管理部門依據(jù)《網(wǎng)絡(luò)管理辦法》及相應(yīng)崗位職責(zé)，配備網(wǎng)絡(luò)管理員、安全管理員，由信息管理部門負(fù)責(zé)人審批。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,未編制網(wǎng)絡(luò)運(yùn)行維護(hù)技術(shù)文檔或文檔未妥善保管，導(dǎo)致網(wǎng)絡(luò)運(yùn)行維護(hù)缺乏技術(shù)資料等重要依據(jù)。,"18.5.15編制網(wǎng)絡(luò)運(yùn)行維護(hù)技術(shù)文檔或文檔未妥善保管,加強(qiáng)網(wǎng)絡(luò)設(shè)備管理。（第十一、十三條）",,"各級信息管理部門負(fù)責(zé)編制網(wǎng)絡(luò)運(yùn)行維護(hù)的相關(guān)技術(shù)文檔，包括網(wǎng)絡(luò)拓?fù)鋱D、IP地址分配表以及網(wǎng)絡(luò)設(shè)備配置文件等，由專人負(fù)責(zé)整理和保存。

1網(wǎng)絡(luò)設(shè)備登錄設(shè)置合理的密碼規(guī)則，密碼要求長度六位以上，采用數(shù)字和字符組合方式，新密碼不得與前五次歷史密碼相同。網(wǎng)絡(luò)管理員必須每六個月修改網(wǎng)絡(luò)設(shè)備登錄密碼，填寫密碼更換記錄，經(jīng)安全管理員確認(rèn)并在信息管理部門備案。

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,安全管理員未及時發(fā)現(xiàn)安全設(shè)備規(guī)則存在的漏洞，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。,18.5.16加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。（第十三條）,,"安全管理員每季度對安全設(shè)備的規(guī)則進(jìn)行復(fù)核、確認(rèn)、檢查，填寫安全設(shè)備配置檢查記錄表。

安全管理員每周對網(wǎng)絡(luò)設(shè)備登錄日志、防火墻日志、入侵檢測日志等進(jìn)行分析審計(jì)。

",0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,未在內(nèi)部網(wǎng)絡(luò)部署防病毒系統(tǒng)或未及時升級，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被病毒侵害。,18.5.17企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。,,網(wǎng)絡(luò)管理員負(fù)責(zé)部署防病毒系統(tǒng)并及時進(jìn)行版本和病毒特征庫升級；安全管理員每周對防病毒系統(tǒng)日志等進(jìn)行分析審計(jì)。,0,,0,,0,,,,,,,,,,,,,,,,,,,,,,,,,

,,,系統(tǒng)管理混亂，影響系統(tǒng)運(yùn)行，存在安全隱患。,18.5.18企業(yè)應(yīng)當(dāng)加強(qiáng)服務(wù)器等關(guān)鍵信息設(shè)備的管理。,,"各級信息管理部門配備系統(tǒng)管理員，由信息管理部門（責(zé)任處(科）室)負(fù)責(zé)人審批。

系統(tǒng)管理員須建立服務(wù)器檔案，內(nèi)容包括設(shè)備的詳細(xì)硬件配置、設(shè)備唯一性標(biāo)記和設(shè)備用途等信