控制活动(信息系统管理)

1、公公司司内内部部控控制制评评价价矩矩阵阵主主页页面面流流程程名名称称： IS14IS14信信息息系系统统管管理理实实体体名名称称： 公公司司测测试试样样本本期期间间：年年月月年年月月控控制制流流程程名名称称控控制制子子流流程程名名称称标标准准控控制制措措施施标标准准控控制制措措施施关关键键评评价价点点分分值值评评价价分分值值评评价价证证据据是是否否为为关关键键控控制制14信息系统管理IS14.01信息系统规范体系建设ISMP14.01公司制定信息系统管理制度，并按照公司规定程序和权限进行审批。1.公司应制定信息系统管理制度；4001.信息系统管理制度2.审批记录是2.信息系统管理制度应重点明确

2、信息系开发、运行与维护等三项内容；3003.信息系统管理制度应按照公司规定程序和权限进行审批。300IS14.01信息系统规范体系建设ISMP14.01公司建立信息系统管理岗位责任制，明确信息系统管理工作机构，并明确相应职责权限。1.公司应明确信息系统管理工作机构；4001.信息系统管理工作机构职责说明书是2.公司应明确信息系统管理工作机构职责权限；3003.公司应明确信息系统管理工作机构人员构成和任职资格。300IS14.01信息系统规范体系建设ISMP14.01公司设置信息系统管理工作流程，明确各管理活动授权审批、执行程序等各环节的内部控制要求，并设置相应的记录或凭证。1.公司应明确信息系

3、统管理工作流程；2001.信息系统管理工作细则2.审批记录是2.信息系统管理工作流程应重点明确信息系统项目开发立项、开发监控、系统运行与维护等四项授权审批和执行程序；4003.公司应设置信息系统管理流程各环节的工作记录；2004.信息系统管理工作流程应按照公司规定程序和权限经过审批后实施。20014信息系统管理IS14.02信息系统战略规划制定ISMP14.02公司应编制信息系统战略规划，制定信息化建设的全局性、长期性规划。1.公司根据发展战略和业务需要进行信息系统建设，编制系统建设战略规划；2501.信息系统战略规划2.评估记录3.审批记录4.研讨记录是2.编制信息系统战略规划要充分调动和发

4、挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通；2503.公司组织相关人员对系统战略规划进行评估，重点审核战略规划是否与公司的组织架构、业务范围、地域分布、技术能力等相匹配；2504.按照公司规定程序及权限审批系统战略规划。250IS14.03信息系统开发ISMP14.03公司应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。1.公司应根据信息系统战略规划提出项目建设方案；3001.项目建设方案2.审批记录是2.项目建设方案应包括建设目标、人员配备、职责分工、经费保障和进度安排等五项

5、内容；50014信息系统管理IS14.01信息系统规范体系建设ISMP14.01公司设置信息系统管理工作流程，明确各管理活动授权审批、执行程序等各环节的内部控制要求，并设置相应的记录或凭证。1.信息系统管理工作细则2.审批记录是3.项目建设方案应按照公司规定权限及程序审批。200ISMP14.03公司应编制项目计划，加强各阶段控制，确保按计划完成项目。1.公司项目组成员应根据建设方案编制具体项目计划；2001.项目具体计划及审批资料2.项目阶段评审资料3.项目阶段报告是2.项目计划内容主要包括各阶段主要任务、工作要求、任务分工、时间安排等；2003.项目计划应按照公司规定程序及权限审批后执行；

6、2004.公司应按照项目计划监督项目进展，开展项目关键环节评审，及时纠偏调整；2005.公司应建立项目进展反馈报告机制，定期掌握项目进展。200IS14.03信息系统开发ISMP14.03系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。1.公司信息系统归口管理部门应当组织内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流；2001.需求申请2.需求沟通会议记录3.需求文档4.评审记录5.需求变更申请是2.公司经过需求调研分析后，应编制需求文档；2003.公司需求文档应准

7、确表述系统建设的目标、功能和要求，应符合行业标准及要求；2004.公司需求文档按照规定程序及权限评估，相关评估人员要签字确认；200IS14.03信息系统开发ISMP14.03公司应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。1.项目建设方案2.审批记录是5.公司应加强需求变更控制，对变更按照规定实施评审。200IS14.03信息系统开发ISMP14.03根据系统需求分析阶段所确定的目标系统逻辑模型，设计出一个能在公司特定的计算机和网络环境中实现的方案。1.公司应按照行业标准及规范编制总体设计方案；2

8、001.总体设计方案2.讨论会议记录3.设计方案确认记录4.评审记录5.设计变更资料是2.总体设计方案主要关注设计系统的模块结构，合理划分子系统边界和接口；1003.总体设计方案要与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；1004.公司信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认；1005.根据总体设计方案进行详细设计，要符合行业标准及规范，确保设计成果质量；2006.公司应按照规定对系统设计成果进行评审，确保设计成果符合方案要求；1007.公司设计评审主要关注将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序；1008.公司需要进行设计变更时，应按照规定

9、程序办理审批，严格控制设计变更。100ISMP14.03将详细设计方案转换成某种计算机编程语言。1.项目组应建立并执行严格的代码复查评审；3001.评审记录2.编程规范3.测试报告是IS14.03信息系统开发ISMP14.03系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。1.需求申请2.需求沟通会议记录3.需求文档4.评审记录5.需求变更申请是2.项目组应建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格；3003.项目组应使用版本控制软件系统（例如CVS），保证所有开发人员基于相同的

10、组件环境开展项目工作，协调开发人员对程序的修改。400IS14.03信息系统开发ISMP14.03编程阶段完成之后，要进行测试，确保完成的信息系统在功能、性能、控制要求和安全性等方面符合开发需求。1.公司要按照规定程序及要求进行单元测试、组装测试（集成测试）、系统测试、验收测试等，并形成测试报告；2001.测试报告2.修订反馈是2.公司测试过程要吸收最终用户参与；2003.测试报告要描述测试的程序、方法、效果及存在的问题，并提出问题解决的方法；2004.跟踪参数修订过程，并进行重新测试；2005.具备条件的，应当组织独立于开发建设项目组的专业机构或专业人员对开发完成的信息系统进行验收测试。20

11、0IS14.03信息系统开发ISMP14.03根据公司业务外包管理程序选择外包开发服务商，并签订合同，按照合同约定持续跟踪外包进度。1.公司采用业务外包方式的，应当采用公开招标等形式择优确定开发单位；2001.外包合同2.外包方评价考核记录是2.公司应按照规定程序及权限办理外包开发服务商的选择；200IS14.03信息系统开发ISMP14.03将详细设计方案转换成某种计算机编程语言。1.评审记录2.编程规范3.测试报告是3.公司应按照规定的程序及权限签订合同，并经过恰当审核；2004.公司开发过程中涉及商业秘密、敏感数据的，应当与外包服务商签订详细的“保密协定”，以保证数据安全；2005.公司

12、建立外包服务质量考核评价指标体系，定期对外包服务商进行考评,并公布服务周期的评估结果,实现外包服务水平的跟踪评价。200IS14.03信息系统开发ISMP14.03根据公司采购业务管理程序选择外购调试服务商，并签订合同，按照合同约定监督履行。1.公司采用外购调试业务的，应当采用公开招标等形式择优确定服务商；2001.外购合同2.评价考核记录是2.公司应根据自身需求，对比分析市场上的成熟软件产品，合理选择软件产品的模块组合和版本；2003.在软件产品选型时应广泛听取行业专家的意见；2004.不仅要评价服务商现有产品的功能、性能，还要考察其服务支持能力和后续产品的升级能力；2005.公司应严格按照

13、合同约定监督项目进展，对服务商履约情况进行评价。200IS14.04信息系统上线ISMP14.04编制系统上线计划，并按照计划实施系统部署，使信息系统按照既定的用户需求来运转，切实发挥信息系统的作用。1.公司应当制定信息系统上线计划，用于统筹系统部署工作；2001.上线计划2.计划审批记录3.数据迁移计划4.上线测试报告是2.上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容；200IS14.03信息系统开发ISMP14.03根据公司业务外包管理程序选择外包开发服务商，并签订合同，按照合同约定持续跟踪外包进度。1.外包合同2.外包方评价考核记录是3.公司上线计划按照规定程序及权限审核

14、批准后实施；2004.系统上线涉及数据迁移的，应当制定详细的数据迁移计划；2005.公司应组织相关人员对迁移结果进行测试，出具测试报告；200IS14.05信息系统运行ISMP14.05公司应进行系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等，保证系统正常运转。1.公司应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范；2501.信息系统操作规范2.系统运行记录3.硬件维护记录是2.公司应及时跟踪、发现和解决系统运行中存在的问题；2503.切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详

15、细记录；2504.配备专人负责硬件维护，主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等。250IS14.06信息系统变更ISMP14.06应加强对硬件的升级扩容、软件的修改与升级等变更申请、变更成本与进度的控制。1.公司应按照规定流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准；2001.系统变更记录2.系统变更申请3.变更测试报告4.变更管理实施资料是2.公司信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、改变软件版本；不得擅自改变软件系统的环境配置；200IS14.04信息系统上线ISM

16、P14.04编制系统上线计划，并按照计划实施系统部署，使信息系统按照既定的用户需求来运转，切实发挥信息系统的作用。1.上线计划2.计划审批记录3.数据迁移计划4.上线测试报告是3.系统变更程序(如软件升级)需要遵循与新系统开发项目同样的验证和测试程序，必要时还应当进行额外测试；2004.如存在紧急变更情况，应按照规定实施严格控制；2005.公司应加强将变更移植到生产环境中的控制管理，包括系统访问授权控制、数据转换控制、用户培训等。200IS14.07信息系统维护ISMP14.07公司应做好信息系统包含的所有硬件、软件和数据的保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，确保信息系统能够连续

17、正常运行。1.公司应加强关键设备的保护，未经授权不得接近；2001.机房进出登记2.安全保密协议3.责任追究资料4.检查记录是2.公司应强化全体员工的安全保密意识，并签署安全保密协议；2003.对违规操作或发生泄密事故的责任人进行责任追究；2004.根据业务性质、重要程度、涉密情况等确定信息系统的安全等级，按照不同等级信息进行授权使用；2005.公司定期检查硬件配置、软件系统参数，及时发现异常。200ISMP14.07企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。1.公司应当特别注重加强对服务器等关键部位的防护：安装避雷针、灭火器、空调等设备确保机房物理安全；建立人

18、员进出机房登记审核控制，避免无关人员进出；4001.杀毒软件2.网络传输文件是IS14.06信息系统变更ISMP14.06应加强对硬件的升级扩容、软件的修改与升级等变更申请、变更成本与进度的控制。1.系统变更记录2.系统变更申请3.变更测试报告4.变更管理实施资料是2.存在网络应用的公司，应当综合利用防火墙、路由器等网络设备，采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全，严密防范来自互联网的黑客攻击和非法侵入；3003.通过互联网传输的涉密或者关键业务数据，应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。300ISMP14.07公司应当做好数据备份工作，妥善保管数据，确保

19、数据的安全性、有效性。1.公司系统首次上线运行时应当完全备份，然后根据业务频率和数据重要性程度，定期做好增量备份；2001.数据备份登记2.数据恢复记录3.数据恢复审批是2.公司的数据正本与备份应分别存放于不同地点，防止因火灾、水灾、地震等事故产生不利影响；2003.公司可综合采用磁盘、磁带、光盘等备份存储介质；2004.备份应当进行详细标注；2005.公司应当严格控制数据恢复控制，按照规定程序审批实施。200ISMP14.07公司应加强对重要业务系统的访问权限管理，严格控制访问人员及使用权限。1.公司应按照规定程序及权限审批用户权限，确保不相容职务分离；2001.用户权限变动申请及审核记录2

20、.检查记录是2.公司应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统，应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份；200IS14.07信息系统维护ISMP14.07企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。1.杀毒软件2.网络传输文件是3.对于发生岗位变化或离岗的用户，用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号；2004.公司应当定期对系统中的账号进行审阅，避免存在授权不当或非授权账号；2005.对于超级用户，公司应当严格规定其使用条件和操作程序，并对其在系统中的操作全程进行监控或审计。200ISMP14.

21、07公司应加强对重要业务系统的访问权限管理，严格控制访问人员及使用权限。1.委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等；2001.服务商资质资料2.服务商选择资料3.服务合同4.保密合同5.合同审批资料6.服务商评价资料是2.按照公司规定程序选择系统运行及维护服务商；2003.与服务商签订合同，并按照规定程序及权限经过恰当审批；2004.与服务商签订保密协议，约定保密责任及违约条款；2005.按照合同约定监督服务商履行，并定期进行评价。200IS14.08信息系统应急管理ISMP14.08公司应加强对信息系统应急事件的应对准备，拟定应急预案，建立灾难备份

22、系统。1.应当先辩识信息系统关键环节，根据关键环节潜在故障和故障后果进行分析制订信息系统应急预案；2001.应急预案2.应急演练资料3.应急演练总结4.灾备系统测试记录是2.应急预案应明确应急机构及人员、设备及应急处理流程、措施等；200IS14.07信息系统维护ISMP14.07公司应加强对重要业务系统的访问权限管理，严格控制访问人员及使用权限。1.用户权限变动申请及审核记录2.检查记录是3.公司应定期进行应急演练，记录演练中存在的问题，编制演练总结；2004.根据演练情况对应急预案进行补充或完善；2005.建立数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同信息

23、系统相当的安全保护，具有可扩展性。200IS14.09信息系统风险评估ISMP14.09公司应定期对信息系统进行风险评估，及时发现系统安全问题并加以整改。1.公司定期对信息系统进行风险评估，风险评估范围主要包括系统开发建设、系统应用及维护等三项内容；3001.风险评估报告2.整改报告是2.公司应详细记录风险评估结果，充分揭示潜在的风险及安全问题，形成风险分析报告；3003.根据风险评估发现的问题及时组织相关人员进行整改，完善管控措施。400IS14.10信息系统终结管理ISMP14.10公司应加强系统终结控制，防止信息泄露及丢失。1.根据系统终结要求，分析并列示废弃系统中有价值或涉密的信息，并

24、提出处理方案；2501.系统终结处理方案2.审批资料3.销毁记录4.档案管理台账是2.处理方案按照规定程序及权限进行审批执行；2503.公司应指定专人负责监督销毁或转移过程，并做好记录；2504.按照国家有关法规制度和对电子档案的管理规定，妥善保管相关信息档案。250IS14.08信息系统应急管理ISMP14.08公司应加强对信息系统应急事件的应对准备，拟定应急预案，建立灾难备份系统。1.应急预案2.应急演练资料3.应急演练总结4.灾备系统测试记录是是是否否为为法法定定控控制制测测试试底底稿稿索索引引测测试试人人复复核核人人评评价价开开始始时时间间评评价价结结束束时时间间是ISTP14.01是

25、ISTP14.01是ISTP14.01是ISTP14.02是ISTP14.03是ISTP14.01是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.04是ISTP14.03是ISTP14.05是ISTP14.06是ISTP14.04是ISTP14.07是ISTP14.07是ISTP14.06是ISTP14.07是ISTP14.07是ISTP14.07是ISTP14.07是ISTP14.08是ISTP14.07是ISTP14.09否

26、ISTP14.10是ISTP14.08公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称： IS14.01IS14.01信信息息系系统统规规范范体体系系建建设设实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标准准控控制制措措施施ISMP14.01公司制定信息系统管理制度，并按照公司规定程序和权限进行审批。标标准准控控制制措措施施关关键键评评价价点点1.公司应制定信息系统管理制度；2.信息系统管理制度应重点明确信息系开发、运行与维护等三项内容

27、；3.信息系统管理制度应按照公司规定程序和权限进行审批。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易易请选择样样本本量量样样本本量量说说明明控控制制类类型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统管理制度制定和执行情况；2.取得信息系统管理制度或类似文件，具体检查：（1）检查公司是否制定信息系统管理制度，未执行不得分（满分40分）；（2）检查信息系统管理制度是否重点明确信息系开发、运行与维护等三项内容，每缺失一项扣10分（满分30分）；（3）检查信息系统管理制度是否按照公司规定程序和权限进行审批，未

28、执行不得分（满分30分）。 评价属性样本描述信息系统管理制度或类似文件制度或类似文件名称及编号日期公司是否制定信息系统管理制度（是/否）信息系统管理制度是否重点明确信息系开发、运行与维护等三项内容（30-0分）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说说明明测测试试底底稿稿索索引引：ISTP14.01ISTP14.01复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.信息系统管理制度2.审批记录样本说明未达标样本编号信息系统管理制度是否按照公司规定程序和权限进行审批（是/否）请选择请选择IS

29、MP14.01公司制定信息系统管理制度，并按照公司规定程序和权限进行审批。1.公司应制定信息系统管理制度；2.信息系统管理制度应重点明确信息系开发、运行与维护等三项内容；3.信息系统管理制度应按照公司规定程序和权限进行审批。评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统管理制度制定和执行情况；2.取得信息系统管理制度或类似文件，具体检查：（1）检查公司是否制定信息系统管理制度，未执行不得分（满分40分）；（2）检查信息系统管理制度是否重点明确信息系开发、运行与维护等三项内容，每缺失一项扣10分（满分30分）；（3）检查信息系统管理制度是否按照公司规定程序和权

30、限进行审批，未执行不得分（满分30分）。信息系统管理制度或类似文件公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称： IS14.01IS14.01信信息息系系统统规规范范体体系系建建设设实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标准准控控制制措措施施ISMP14.01公司建立信息系统管理岗位责任制，明确信息系统管理工作机构，并明确相应职责权限。标标准准控控制制措措施施关关键键评评价价点点1.公司应明确信息系统管理工作机构；2.公司应明

31、确信息系统管理工作机构职责权限；3.公司应明确信息系统管理工作机构人员构成和任职资格。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易易请选择样样本本量量样样本本量量说说明明控控制制类类型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统管理工作机构职责制定和执行情况；2.取得信息系统管理工作机构职责说明书或类似文件，具体检查：（1）检查公司是否明确信息系统管理工作机构，未执行不得分（满分40分）；（2）检查公司是否明确信息系统管理工作机构职责权限，未执行不得分（满分30分）；（3）检查公司是否明确信息系统管理

32、工作机构人员构成和任职资格，未执行不得分（满分30分）。 评价属性样本描述信息系统管理工作机构职责说明书或类似文件制度或类似文件名称及编号日期公司是否明确信息系统管理工作机构（是/否）公司是否明确信息系统管理工作机构职责权限（是/否）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说说明明测测试试底底稿稿索索引引：ISTP14.01ISTP14.01复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.信息系统管理工作机构职责说明书样本说明未达标样本编号公司是否明确信息系统管理工作机构人员构成和任职资格

33、（是/否）请选择请选择ISMP14.01公司建立信息系统管理岗位责任制，明确信息系统管理工作机构，并明确相应职责权限。1.公司应明确信息系统管理工作机构；2.公司应明确信息系统管理工作机构职责权限；3.公司应明确信息系统管理工作机构人员构成和任职资格。评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统管理工作机构职责制定和执行情况；2.取得信息系统管理工作机构职责说明书或类似文件，具体检查：（1）检查公司是否明确信息系统管理工作机构，未执行不得分（满分40分）；（2）检查公司是否明确信息系统管理工作机构职责权限，未执行不得分（满分30分）；（3）检查公司是否明确

34、信息系统管理工作机构人员构成和任职资格，未执行不得分（满分30分）。信息系统管理工作机构职责说明书或类似文件公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称： IS14.01IS14.01信信息息系系统统规规范范体体系系建建设设实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标准准控控制制措措施施ISMP14.01公司设置信息系统管理工作流程，明确各管理活动授权审批、执行程序等各环节的内部控制要求，并设置相应的记录或凭证。标标准准控控制制措

35、措施施关关键键评评价价点点1.公司应明确信息系统管理工作流程；2.信息系统管理工作流程应重点明确信息系统项目开发立项、开发监控、系统运行与维护等四项授权审批和执行程序；3.公司应设置信息系统管理流程各环节的工作记录；4.信息系统管理工作流程应按照公司规定程序和权限经过审批后实施。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易易请选择样样本本量量样样本本量量说说明明控控制制类类型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统管理工作流程制定和执行情况；2.取得信息系统管理工作细则或类似文件，具体检查：（1）

36、检查公司是否明确信息系统管理工作流程，未执行不得分（满分20分）；（2）检查信息系统管理工作流程是否重点明确信息系统项目开发立项、开发监控、系统运行与维护等四项授权审批和执行程序，每缺失一项扣10分（满分40分）；（3）检查公司是否设置信息系统管理流程各环节的工作记录，未执行不得分（满分20分）；（4）检查信息系统管理工作流程是否按照公司规定程序和权限经过审批后实施，未执行不得分（满分20分）。 评价属性样本描述信息系统管理工作细则或类似文件制度或类似文件名称及编号日期公司是否明确信息系统管理工作流程（是/否）信息系统管理工作流程是否重点明确信息系统项目开发立项、开发监控、系统运行与维护等四项

37、授权审批和执行程序（40-0分）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说说明明测测试试底底稿稿索索引引：ISTP14.01ISTP14.01复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.信息系统管理工作细则2.审批记录样本说明未达标样本编号公司是否设置信息系统管理流程各环节的工作记录（是/否）信息系统管理工作流程是否按照公司规定程序和权限经过审批后实施（是/否）请选择请选择请选择请选择ISMP14.01公司设置信息系统管理工作流程，明确各管理活动授权审批、执行程序等各环节的内部控制要求

38、，并设置相应的记录或凭证。1.公司应明确信息系统管理工作流程；2.信息系统管理工作流程应重点明确信息系统项目开发立项、开发监控、系统运行与维护等四项授权审批和执行程序；3.公司应设置信息系统管理流程各环节的工作记录；4.信息系统管理工作流程应按照公司规定程序和权限经过审批后实施。评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统管理工作流程制定和执行情况；2.取得信息系统管理工作细则或类似文件，具体检查：（1）检查公司是否明确信息系统管理工作流程，未执行不得分（满分20分）；（2）检查信息系统管理工作流程是否重点明确信息系统项目开发立项、开发监控、系统运行与维护

39、等四项授权审批和执行程序，每缺失一项扣10分（满分40分）；（3）检查公司是否设置信息系统管理流程各环节的工作记录，未执行不得分（满分20分）；（4）检查信息系统管理工作流程是否按照公司规定程序和权限经过审批后实施，未执行不得分（满分20分）。信息系统管理工作细则或类似文件公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称： IS14.02IS14.02信信息息系系统统战战略略规规划划制制定定实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标

40、准准控控制制措措施施ISMP14.02公司应编制信息系统战略规划，制定信息化建设的全局性、长期性规划。标标准准控控制制措措施施关关键键评评价价点点1.公司根据发展战略和业务需要进行信息系统建设，编制系统建设战略规划；2.编制信息系统战略规划要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通；3.公司组织相关人员对系统战略规划进行评估，重点审核战略规划是否与公司的组织架构、业务范围、地域分布、技术能力等相匹配；4.按照公司规定程序及权限审批系统战略规划。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易易请选择样样本本量量样样本本量量说说明明控控制制类类

41、型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统战略规划管理情况；2.取得信息系统战略规划或类似文件，具体检查：（1）检查公司是否根据发展战略和业务进行信息系统建设，编制系统建设战略规划，未执行不得分（满分25分）；（2）检查编制信息系统战略规划是否充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，未执行不得分（满分25分）；（3）检查公司是否组织相关人员对系统战略规划进行评估，重点审核战略规划是否与公司的组织架构、业务范围、地域分布、技术能力等相匹配，未执行不得分（满分25分）；（4）

42、检查是否按照公司规定程序及权限审批系统战略规划，未执行不得分（满分25分）。 评价属性样本描述信息系统战略规划或类似文件规划或类似文件名称及编号日期公司是否根据发展战略和业务进行信息系统建设，编制系统建设战略规划（是/否）编制信息系统战略规划是否充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通（是/否）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说说明明测测试试底底稿稿索索引引：ISTP14.02ISTP14.02复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.

43、信息系统战略规划2.评估记录3.审批记录4.研讨记录样本说明未达标样本编号公司是否组织相关人员对系统战略规划进行评估，重点审核战略规划是否与公司的组织架构、业务范围、地域分布、技术能力等相匹配（是/否）是否按照公司规定程序及权限审批系统战略规划（是/否）ISMP14.02公司应编制信息系统战略规划，制定信息化建设的全局性、长期性规划。1.公司根据发展战略和业务需要进行信息系统建设，编制系统建设战略规划；2.编制信息系统战略规划要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通；3.公司组织相关人员对系统战略规划进行评估，重点审核战略规划是否与公司的组织架构、业务

44、范围、地域分布、技术能力等相匹配；4.按照公司规定程序及权限审批系统战略规划。评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统战略规划管理情况；2.取得信息系统战略规划或类似文件，具体检查：（1）检查公司是否根据发展战略和业务进行信息系统建设，编制系统建设战略规划，未执行不得分（满分25分）；（2）检查编制信息系统战略规划是否充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，未执行不得分（满分25分）；（3）检查公司是否组织相关人员对系统战略规划进行评估，重点审核战略规划是否与公司的组织架构、业务范围、地域分布、技术能力等相匹配

45、，未执行不得分（满分25分）；（4）检查是否按照公司规定程序及权限审批系统战略规划，未执行不得分（满分25分）。信息系统战略规划或类似文件请选择请选择请选择请选择公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称： IS14.03IS14.03信信息息系系统统开开发发实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标准准控控制制措措施施ISMP14.03公司应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障

46、和进度安排等相关内容，按照规定的权限和程序审批后实施。 标标准准控控制制措措施施关关键键评评价价点点1.公司应根据信息系统战略规划提出项目建设方案；2.项目建设方案应包括建设目标、人员配备、职责分工、经费保障和进度安排等五项内容；3.项目建设方案应按照公司规定权限及程序审批。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易易请选择样样本本量量样样本本量量说说明明控控制制类类型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统开发管理情况；2.取得信息系统项目建设方案或类似文件，具体检查：（1）检查公司是否根据信

47、息系统战略规划提出项目建设方案，未执行不得分（满分30分）；（2）检查项目建设方案是否包括建设目标、人员配备、职责分工、经费保障和进度安排等五项内容，每缺失一项扣10分（满分50分）；（3）检查项目建设方案是否按照公司规定权限及程序审批，未执行不得分（满分20分）。 评价属性样本描述信息系统项目建设方案或类似文件方案或类似文件名称及编号日期公司是否根据信息系统战略规划提出项目建设方案（是/否）项目建设方案是否包括建设目标、人员配备、职责分工、经费保障和进度安排等五项内容（50-0分）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说

48、说明明测测试试底底稿稿索索引引：ISTP14.03ISTP14.03复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.项目建设方案2.审批记录样本说明未达标样本编号项目建设方案是否按照公司规定权限及程序审批（是/否）请选择ISMP14.03公司应根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。 1.公司应根据信息系统战略规划提出项目建设方案；2.项目建设方案应包括建设目标、人员配备、职责分工、经费保障和进度安排等五项内容；3.项目建设方案应按照公司规定权限及程序审批。评评

49、价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统开发管理情况；2.取得信息系统项目建设方案或类似文件，具体检查：（1）检查公司是否根据信息系统战略规划提出项目建设方案，未执行不得分（满分30分）；（2）检查项目建设方案是否包括建设目标、人员配备、职责分工、经费保障和进度安排等五项内容，每缺失一项扣10分（满分50分）；（3）检查项目建设方案是否按照公司规定权限及程序审批，未执行不得分（满分20分）。信息系统项目建设方案或类似文件请选择公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称：

50、IS14.03IS14.03信信息息系系统统开开发发实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标准准控控制制措措施施ISMP14.03公司应编制项目计划，加强各阶段控制，确保按计划完成项目。标标准准控控制制措措施施关关键键评评价价点点1.公司项目组成员应根据建设方案编制具体项目计划；2.项目计划内容主要包括各阶段主要任务、工作要求、任务分工、时间安排等；3.项目计划应按照公司规定程序及权限审批后执行；4.公司应按照项目计划监督项目进展，开展项目关键环节评审，及时纠偏调整；5.公司应建立项目进展反馈报告机制，定期掌

51、握项目进展。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易易请选择样样本本量量样样本本量量说说明明控控制制类类型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统开发管理情况；2.取得信息系统项目具体计划及评审资料或类似文件，具体检查：（1）检查公司项目组成员是否根据建设方案编制具体项目计划，未执行不得分（满分20分）；（2）检查项目计划内容是否主要包括各阶段主要任务、工作要求、任务分工、时间安排等内容，未执行不得分（满分20分）；（3）检查项目计划是否按照公司规定程序及权限审批后执行，未执行不得分（满分20

52、分）；（4）检查公司是否按照项目计划监督项目进展，开展项目关键环节评审，及时纠偏调整，未执行不得分（满分20分）；（5）检查公司是否建立项目进展反馈报告机制，定期掌握项目进展，未执行不得分（满分20分）。 评价属性样本描述信息系统项目具体计划及评审资料或类似文件计划或类似文件名称及编号日期公司项目组成员是否根据建设方案编制具体项目计划（是/否）项目计划内容是否主要包括各阶段主要任务、工作要求、任务分工、时间安排等内容（是/否）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说说明明测测试试底底稿稿索索引引：ISTP14.03ISTP

53、14.03复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.项目具体计划及审批资料2.项目阶段评审资料3.项目阶段报告样本说明未达标样本编号项目计划是否按照公司规定程序及权限审批后执行（是/否）公司是否按照项目计划监督项目进展，开展项目关键环节评审，及时纠偏调整（是/否）公司是否建立项目进展反馈报告机制，定期掌握项目进展（是/否）ISMP14.03公司应编制项目计划，加强各阶段控制，确保按计划完成项目。1.公司项目组成员应根据建设方案编制具体项目计划；2.项目计划内容主要包括各阶段主要任务、工作要求、任务分工、时间安排等；3.项目计划应按照公司规定程序及权限审

54、批后执行；4.公司应按照项目计划监督项目进展，开展项目关键环节评审，及时纠偏调整；5.公司应建立项目进展反馈报告机制，定期掌握项目进展。评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统开发管理情况；2.取得信息系统项目具体计划及评审资料或类似文件，具体检查：（1）检查公司项目组成员是否根据建设方案编制具体项目计划，未执行不得分（满分20分）；（2）检查项目计划内容是否主要包括各阶段主要任务、工作要求、任务分工、时间安排等内容，未执行不得分（满分20分）；（3）检查项目计划是否按照公司规定程序及权限审批后执行，未执行不得分（满分20分）；（4）检查公司是否按照项

55、目计划监督项目进展，开展项目关键环节评审，及时纠偏调整，未执行不得分（满分20分）；（5）检查公司是否建立项目进展反馈报告机制，定期掌握项目进展，未执行不得分（满分20分）。信息系统项目具体计划及评审资料或类似文件请选择请选择请选择请选择请选择请选择公公司司内内部部控控制制评评价价工工作作底底稿稿流流程程名名称称： IS14IS14信信息息系系统统管管理理子子流流程程名名称称： IS14.03IS14.03信信息息系系统统开开发发实实体体名名称称： 公公司司测测试试人人：单单位位部部门门人人测测试试时时间间：年年月月日日被被访访谈谈人人：部部门门人人标标准准控控制制措措施施ISMP14.03系

56、统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。标标准准控控制制措措施施关关键键评评价价点点1.公司信息系统归口管理部门应当组织内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流；2.公司经过需求调研分析后，应编制需求文档；3.公司需求文档应准确表述系统建设的目标、功能和要求，应符合行业标准及要求；4.公司需求文档按照规定程序及权限评估，相关评估人员要签字确认；5.公司应加强需求变更控制，对变更按照规定实施评审。业业务务现现状状发发生生频频率率请选择全全年年发发生生交交易

57、易请选择样样本本量量样样本本量量说说明明控控制制类类型型请选择适适用用层层级级适适用用行行业业评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统开发管理情况；2.取得信息系统项目需求申请审批记录或类似文件，具体检查：（1）检查公司信息系统归口管理部门是否当组织内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，未执行不得分（满分20分）；（2）检查公司经过需求调研分析后，是否编制需求文档，未执行不得分（满分20分）；（3）检查公司需求文档是否准确表述系统建设的目标、功能和要求，是否符合行业标准及要求，未执行不得分（满分20分）；（4

58、）检查公司需求文档是否按照规定程序及权限评估，相关评估人员要签字确认，未执行不得分（满分20分）；（5）检查公司是否加强需求变更控制，对变更按照规定实施评审，未执行不得分（满分20分）。 评价属性样本描述信息系统项目需求申请审批记录或类似文件相关文件名称及编号日期公司信息系统归口管理部门是否当组织内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流（是/否）公司经过需求调研分析后，是否编制需求文档（是/否）1请选择请选择2请选择请选择评评价价结结果果0评评价价结结论论说说明明缺缺陷陷记记录录说说明明良良好好实实践践说说明明 评价属性样本描述测测试试底底稿稿索索引引：

59、ISTP14.03ISTP14.03复复核核人人：单单位位部部门门人人复复核核时时间间：年年月月日日评评价价证证据据1.需求申请2.需求沟通会议记录3.需求文档4.评审记录5.需求变更申请样本说明未达标样本编号ISMP14.03系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。1.公司信息系统归口管理部门应当组织内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流；2.公司经过需求调研分析后，应编制需求文档；3.公司需求文档应准确表述系统建设的目标、功能和要求，应符合行业标

60、准及要求；4.公司需求文档按照规定程序及权限评估，相关评估人员要签字确认；5.公司应加强需求变更控制，对变更按照规定实施评审。评评价价步步骤骤及及评评分分细细则则1.通过询问相关信息系统管理人员，了解信息系统开发管理情况；2.取得信息系统项目需求申请审批记录或类似文件，具体检查：（1）检查公司信息系统归口管理部门是否当组织内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，未执行不得分（满分20分）；（2）检查公司经过需求调研分析后，是否编制需求文档，未执行不得分（满分20分）；（3）检查公司需求文档是否准确表述系统建设的目标、功能和要求，是否符合行业标准及要求，