企业内部控制规范-计算机信息系统

企业内部控制具体规范第xx号——计算机信息系统（征求意见稿）第一章 总则第一条为了引导企业充分利用计算机信息系统规范交易行为，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制规范——基本规范第二条本规范所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。第三条企业在建立并实施计算机信息系统内部控制制度中控制措施：（一审批程序；（二）应当明确；（三）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定；（四）硬件管理事项和审批程序应当科学合理；（五）第二章岗位分工与授权审批第四条企业应当建立计算机信息系统岗位责任制系统岗位一般包括：（一）系统分析：分析用户的信息需求，并据此制定设计或修改程序的方案。（二）案。（三）计算机操作：负责运行并监控应用程序。（四）织数据资源。（五）程序和文件，并保留所有版本的数据和程序。（六）的错误数据反馈到输入部门并跟踪监控其纠正过程（七）终端：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果。系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）审批、编程、系统上线、监控。系统访问过程中不相容岗位（或职责）操作、监控。第五条（信息系统战略规划应当与企业业务目标保持一致部门应该参与信息系统战略规划、重要信息系统政策等的制定。第六条企业可以指定专门部门（或岗位，下称归口管理部门）维护等工作。生产、销售、仓储及其他部门（下称用户部门）企业管理层应该明确定义系统归口管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责表。第三章信息系统开发、变更与维护控制第七条计算机信息系统开发包括自行设计（交易权限嵌入到系统程序中，以法性和效益性。第八条企业计算机信息系统开发应当遵循以下原则：（一）因地制宜原则：企业应当根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。（二）成本效益原则：计算机信息系统的建设应当能起到降低域中关键因素进行信息系统改造。（三。第九条信息系统开发必须经过正式授权案。具体程序包括用户部门提出需求；归口管理部门审核；企业负责人授权批准；系统分析人员设计方案；程序员编写代码等。第十条项目整个过程实施监控。对于外包合作开发的项目，企业应当加强对外包第三方的监控。第十一条外购调试或外包合作开发等需要进行招投标的信息性。第十二条企业应当制定详细的信息系统上线计划。对涉及新旧系统一旦失效，能够顺利回退到原来的系统状态。第十三条新旧系统切换时，如涉及数据迁移，企业应当制定详细的数据迁移计划。试，并签署测试报告。第十四条信息系统在投入使用前应当至少完成整体测试和用统库管理员备份留存。第十五条信息系统原设计功能未能正常实现时序修正和软件参数调整，尽快解决存在的问题。第十六条更，应当参照上款有关系统开发的审批和上线程序执行。第十七条但不限于日常检测、设立容错冗余、编制意外计划等。第四章信息系统访问安全第十八条各模块子系统的具体操作规范。第十九条计算机信息系统操作人员不得擅自进行系统软件的系统软件，不得擅自改变软件系统环境配臵。第二十条企业应当对信息系统操作人员的上机得作为操作人员。第二十一条的访问权限管理。的访问权限。企业应当定期对系统中的账号进行审阅，避免有授权不当或冗余账号存在。审阅监控日志。第二十二条禁止未经授权人员擅自调整、删除或修改系统中设臵的各项参数。涉及上网操作的，企业应当加强防火墙、路由器等网络安全方面的管理。第二十三条企业可以将信息系统访问安全事项交由第三方管理。在此情形下，企业应当加强对第三方的监控。第二十四条企业应当定期检测信息系统运行情况统运行。第二十五条信息系统操作人员应当在权限范围内进行操作锁定或退出已经运行的程序，防止其他人员越权操作或散发不当信息。第二十六条企业应当利用计算机信息系统搭建本单位的信息化平台，规范信息的使用和传递，促进业务流程与信息流程的统一，确保交易的真实、合法，提高经营管理的效率和效果。第二十七条企业应当对所有的重要信息进行密级划分面形式和电子媒介形式保存的信息。企业可以根据信息的重要性程度和泄密风险损失等划分标准用制度。第二十八条第二十九条第三十条（第三十一条或实时处理的处理前自动备份制度（交易日志。企业至少应当在远离计算机设备和操作的地方保存一套备份和交易日志第三十二条企业应当编制完整、具体的灾难恢复计划，以备意并将其最新版本存放在系统之外。第五章硬件管理第三十三条企业应当制定计算机信息系统硬件管理制度备的新增、报废、流转等情况建档登记，统一管理。第三十四条企业应当将计算机硬件设备放臵在合适的物理环信息系统硬件设备。第三十五条员提出申请，报上级主管负责人审批。未经允许第三十六条企业应当加强计算机机房的物理安全管理供给设备。第三十七条企业操作人员应当严格遵守用电安全的损坏，企业可以使用电源保护器和线路调节器平缓电压的振荡。第三十八条企业应当完善计算机信息系统硬件设备异常状况处理制度。一经发生异常现象（如冒烟、打火、异常声响等立即通知有关部门，不得擅自处理。第六章会计电算化及其控制第三十九条行有效控制。第四十条企业应当建立会计电算化操作管理制度算化系统的合法有权使用人员及其操作权限和操作程序记账凭证的审核工作。第四十一条度，重点关注以下风险和控制点：（一并采取替代性措施确保会计数据的连续性；（二企业应当健全计算机硬件和软件出现故障时进行排除的管理措施，保证会计数据的完整性；（三的非法修改和删除；对磁性介质存放的数据应当进行双备份。第四十二条企