9信息系统管理风险内控管理办法讲义1.ppt

9信息系统管理风险内控管理办法讲义1.ppt

  1. 1、本文档共46页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
数据规划风险防控措施: 1.各单位应树立数据共享意识,视共享为常态、不共享为例外,主动共享数据,并保证数据的准确、完整。 2.数字中心会同各单位依据实际财政业务制定统一的数据标准,明确数据来源、类型、层次、口径、安全等级、用户范围、访问权限等信息。数据标准制定要科学合理,涵盖财政业务的各个方面,具有指导性和约束力。 3.各单位按照统一的数据标准,结合自身业务发展规划,梳理本单位的数据和从外部获取的业务管理需要的数据,形成本单位信息资源目录体系。 4.各单位根据工作需要及时更新本单位信息资源目录体系,并提交数字中心。 数据搜集风险防控措施: 1.各单位严格按照数据规划,结合实际工作需要,提出数据收集需求,并与数据生产方做好衔接。 2.数字中心根据各单位提出的数据收集需求,分析整理,统筹安排,开展数据收集工作,并做好技术实现和服务保障。 3.各单位应主动公开、共享业务数据,做到及时更新和长期输出,并配合数字中心做好数据集中管理工作。 4.数字中心从外单位收集数据时,各单位应主动协调配合,推进收集工作开展。 数据应用风险防控措施: 1.数字中心建立规范的数据应用机制,加强权限管理,实现流程控制,确保数据准确、安全。 2.各单位根据工作实际,提出数据应用需求,明确数据类型、层次及口径,并说明应用范围和具体用途。数据应用需求经单位负责人审批并盖章后提交数字中心。 3.数字中心对收到的数据应用需求进行分析,对不符合标准规范的,退回需求单位修改完善后重新提交。对符合标准规范的,做好数据准备,明确数据来源,核对数据口径,设计应用规则,进行数据使用授权,实现数据应用。 4.各单位严格按照授权使用数据,并将使用情况和效果反馈数字中心。 5.各单位在数据复制转移过程中,要严格执行有关保密规定,实现操作过程留痕、责任可追溯,最大限度减少人为操纵风险。 第五部分 信息系统安全管理风险防控 信息系统安全风险是指在信息系统建设、应用与运行维护过程中,由于管理制度不健全、信息安全意识淡薄、安全防护技术或管理措施不到位,导致系统权限被冒用,重要信息泄漏、篡改的可能性;或信息系统自身抵御外部攻击能力不强,突发事故处理机制不到位,造成信息系统瘫痪、业务中断、数据丢失等可能性。 重大风险:因技术防护措施或管理严重缺失导致业务系统长时间无法恢复,敏感信息泄漏、丢失,系统瘫痪、业务中断等安全事件发生,对信息安全、财政业务开展造成较大损失。 一般风险:因安全防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等安全事件发生,对财政业务开展造成影响和一定损失。 信息系统安全管理内容 信息系统建设安全管理 信息系统运行安全管理 信息系统运维安全管理 信息系统安全审计管理 系统灾备和应急管理 信息系统建设安全防控措施: 1.完善信息系统建设安全管理制度和技术标准,数字中心负责信息系统的安全规划、建设和安全标准、规范的制定以及非涉密信息系统的安全管理,各单位负责提出信息系统的建设安全需求和安全等级定级建议,明确操作人员及其权限。 2.各单位提出信息系统业务需求方案时,应评估业务系统和数据的安全需求,按照等级保护的标准、要求,提出系统定级建议。数字中心审核确定非涉密信息系统的安全保护等级。 3.数字中心按照等级保护的标准要求,结合各单位提出的安全需求,进行信息系统安全设计、建设和测试。 4.系统建设过程中,加强系统安全管理功能与性能审查、测试。 5.加强信息安全教育,组织信息安全培训,增强信息安全意识。 * 浙江省财政厅信息系统管理风险内部控制办法(试行) 2016年6月2日 内控制度体系:一个基本制度 八个专项内部控制办法 内部控制基本制度 法律风险 机关运转风险 预算编制风险 预算执行风险 公共关系风险 信息系统管理风险 岗位利益冲突风险 政策制定风险 定义:指在信息系统建设管理过程中,因相关管理制度、工作机制和标准规范不完善或执行不到位,在信息系统建设、流程管理、数据应用管理和信息安全等方面存在隐患,导致系统建设碎片化、系统运行不稳定、信息安全不可靠、信息化管理决策能力弱化,系统无法有效发挥业务支撑与管控作用的可能性。 目标:综合运用信息化建设管理制度、标准规范和内部控制方法,将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程,对信息系统建设、管理和应用进行全程控制;将内控理念和控制活动、措施嵌入信息系统,对业务流程运行进行实时监控,最大限度减少人为操纵因素,确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。 信息系统管理风险的定义、目标 信息系统管理风险的内容、分类 四项内容

文档评论(0)

此项为空 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档