9信息系统管理风险内控管理办法讲义1讲解.ppt

数据规划风险防控措施： 1.各单位应树立数据共享意识，视共享为常态、不共享为例外，主动共享数据，并保证数据的准确、完整。 2.数字中心会同各单位依据实际财政业务制定统一的数据标准，明确数据来源、类型、层次、口径、安全等级、用户范围、访问权限等信息。数据标准制定要科学合理，涵盖财政业务的各个方面，具有指导性和约束力。 3.各单位按照统一的数据标准，结合自身业务发展规划，梳理本单位的数据和从外部获取的业务管理需要的数据，形成本单位信息资源目录体系。 4.各单位根据工作需要及时更新本单位信息资源目录体系，并提交数字中心。 数据搜集风险防控措施： 1.各单位严格按照数据规划，结合实际工作需要，提出数据收集需求，并与数据生产方做好衔接。 2.数字中心根据各单位提出的数据收集需求，分析整理，统筹安排，开展数据收集工作，并做好技术实现和服务保障。 3.各单位应主动公开、共享业务数据，做到及时更新和长期输出，并配合数字中心做好数据集中管理工作。 4.数字中心从外单位收集数据时，各单位应主动协调配合，推进收集工作开展。 数据应用风险防控措施： 1.数字中心建立规范的数据应用机制，加强权限管理，实现流程控制，确保数据准确、安全。 2.各单位根据工作实际，提出数据应用需求，明确数据类型、层次及口径，并说明应用范围和具体用途。数据应用需求经单位负责人审批并盖章后提交数字中心。 3.数字中心对收到的数据应用需求进行分析，对不符合标准规范的，退回需求单位修改完善后重新提交。对符合标准规范的，做好数据准备，明确数据来源，核对数据口径，设计应用规则，进行数据使用授权，实现数据应用。 4.各单位严格按照授权使用数据，并将使用情况和效果反馈数字中心。 5.各单位在数据复制转移过程中，要严格执行有关保密规定，实现操作过程留痕、责任可追溯，最大限度减少人为操纵风险。 第五部分 信息系统安全管理风险防控 信息系统安全风险是指在信息系统建设、应用与运行维护过程中，由于管理制度不健全、信息安全意识淡薄、安全防护技术或管理措施不到位，导致系统权限被冒用，重要信息泄漏、篡改的可能性；或信息系统自身抵御外部攻击能力不强，突发事故处理机制不到位，造成信息系统瘫痪、业务中断、数据丢失等可能性。 重大风险：因技术防护措施或管理严重缺失导致业务系统长时间无法恢复，敏感信息泄漏、丢失，系统瘫痪、业务中断等安全事件发生，对信息安全、财政业务开展造成较大损失。 一般风险：因安全防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等安全事件发生，对财政业务开展造成影响和一定损失。 信息系统安全管理内容 信息系统建设安全管理 信息系统运行安全管理 信息系统运维安全管理 信息系统安全审计管理 系统灾备和应急管理 信息系统建设安全防控措施： 1.完善信息系统建设安全管理制度和技术标准，数字中心负责信息系统的安全规划、建设和安全标准、规范的制定以及非涉密信息系统的安全管理，各单位负责提出信息系统的建设安全需求和安全等级定级建议，明确操作人员及其权限。 2.各单位提出信息系统业务需求方案时，应评估业务系统和数据的安全需求，按照等级保护的标准、要求，提出系统定级建议。数字中心审核确定非涉密信息系统的安全保护等级。 3.数字中心按照等级保护的标准要求，结合各单位提出的安全需求，进行信息系统安全设计、建设和测试。 4.系统建设过程中，加强系统安全管理功能与性能审查、测试。 5.加强信息安全教育，组织信息安全培训，增强信息安全意识。 * 浙江省财政厅信息系统管理风险内部控制办法（试行） 2016年6月2日 内控制度体系：一个基本制度 八个专项内部控制办法 内部控制基本制度 法律风险 机关运转风险 预算编制风险 预算执行风险 公共关系风险 信息系统管理风险 岗位利益冲突风险 政策制定风险 定义：指在信息系统建设管理过程中，因相关管理制度、工作机制和标准规范不完善或执行不到位，在信息系统建设、流程管理、数据应用管理和信息安全等方面存在隐患，导致系统建设碎片化、系统运行不稳定、信息安全不可靠、信息化管理决策能力弱化，系统无法有效发挥业务支撑与管控作用的可能性。 目标：综合运用信息化建设管理制度、标准规范和内部控制方法，将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程，对信息系统建设、管理和应用进行全程控制；将内控理念和控制活动、措施嵌入信息系统，对业务流程运行进行实时监控，最大限度减少人为操纵因素，确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。 信息系统管理风险的定义、目标 信息系统管理风险的内容、分类 四项内容