控制活动(信息系统管理).xls

ISTP14.101.1 ISTP14.091.1 ISTP14.081.1 ISTP14.071.5 ISTP14.071.4 ISTP14.071.3 ISTP14.071.2 ISTP14.071.1 ISTP14.061.1 ISTP14.051.1 ISTP14.041.1 ISTP14.031.8 ISTP14.031.7 ISTP14.031.6 ISTP14.031.5 ISTP14.031.4 ISTP14.031.3 ISTP14.031.2 ISTP14.031.1 ISTP14.021.1 ISTP14.011.3 ISTP14.011.2 ISTP14.011.1 信息系统管理主页面 1.通过询问相关信息系统管理人员，了解信息系统维护管理情况； 2.取得服务、保密合同和审批评价资料，具体检查： （1）检查委托专业机构进行系统运行与维护管理的，是否严格审查其资质条件、市场声誉和信用状况等，未执行不得分（满分20分）； （2）检查是否按照公司规定程序选择系统运行及维护服务商，未执行不得分（满分20分）； （3）检查是否与服务商签订合同，并按照规定程序及权限经过恰当审批，未执行不得分（满分20分）； （4）检查是否与服务商签订保密协议，约定保密责任及违约条款，未执行不得分（满分20分）； （5）检查按照合同约定监督服务商履行，是否定期进行评价，未执行不得分（满分20分）。 服务、保密合同和审批评价资料 委托专业机构进行系统运行与维护管理的，是否严格审查其资质条件、市场声誉和信用状况等 （是/否） 是否按照公司规定程序选择系统运行及维护服务商 （是/否） 是否与服务商签订合同，并按照规定程序及权限经过恰当审批 （是/否） 是否与服务商签订保密协议，约定保密责任及违约条款 （是/否） 按照合同约定监督服务商履行，是否定期进行评价 （是/否） ISTP14.071.5 ISTP14.081.1 1.通过询问相关信息系统管理人员，了解信息系统应急管理情况； 2.取得服务、保密合同和审批评价资料，具体检查： （1）检查是否先辩识信息系统关键环节，根据关键环节潜在故障和故障后果进行分析制订信息系统应急预案，未执行不得分（满分20分）； （2）检查应急预案是否明确应急机构及人员、设备及应急处理流程、措施等，未执行不得分（满分20分）； （3）检查公司是否定期进行应急演练，记录演练中存在的问题，编制演练总结，未执行不得分（满分20分）； （4）检查根据演练情况是否对应急预案进行补充或完善，未执行不得分（满分20分）； （5）检查是否建立数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性，未执行不得分（满分20分）。 是否先辩识信息系统关键环节，根据关键环节潜在故障和故障后果进行分析制订信息系统应急预案 （是/否） 应急预案是否明确应急机构及人员、设备及应急处理流程、措施等 （是/否） 公司是否定期进行应急演练，记录演练中存在的问题，编制演练总结 （是/否） 根据演练情况是否对应急预案进行补充或完善 （是/否） 是否建立数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性 （是/否） 1.公司定期对信息系统进行风险评估，风险评估范围主要包括系统开发建设、系统应用及维护等三项内容； ISTP14.091.1 信息系统风险评估报告和整改报告 1.通过询问相关信息系统管理人员，了解信息系统风险评估管理情况； 2.取得信息系统风险评估报告和整改报告，具体检查： （1）检查公司是否定期对信息系统进行风险评估，风险评估范围主要包括系统开发建设、系统应用及维护等三项内容，未执行不得分（满分30分）； （2）检查公司是否详细记录风险评估结果，充分揭示潜在的风险及安全问题，形成风险分析报告，未执行不得分（满分30分）； （3）检查根据风险评估发现的问题是否及时组织相关人员进行整改，完善管控措施，未执行不得分（满分40分）。 报告或类似文件名称及编号 公司是否定期对信息系统进行风险评估，风险评估范围主要包括系统开发建设、系统应用及维护等三项内容 （是/否） 公司是否详细记录风险评估结果，充分揭示潜在的风险及安全问题，形成风险分析报告 （是/否） 根据风险评估发现的问题是否及时组织相关人员进行整改，完善管控措施 （是/否） ISTP14.101.1 信息系统终结处理方案、销毁记录和档案管理台账 1.通过询问相关信息系统管理人员，了解信息系统终结管理情况； 2.取得信息系统终结处理方案、销毁记录和档案管理台账，具体检查： （1）检查根据系统终结要求，是否分析并列示废弃系统中有价值或涉密的信息，并提出处理方案，未执行不得分（满分2