信息系统管理风险内控管理办法讲义课件

信息系统管理风险内控管理办法讲义信息系统管理风险内控管理办法讲义信息系统管理风险内控管理办法1内控制度体系：一个内控制度体系：一个基本制度基本制度 八个专项内部控制办法八个专项内部控制办法 内部控制基本制度内部控制基本制度法律法律风险机关运转风险预算编制风险预算执行风险公共关系风险信息系统管理风险岗位利益冲突风险政策制定风险内控制度体系：一个基本制度 八个专项内部控制办法 2定义：指在信息系统建设管理过程中，因相关管理制度、工作机制和标准规范不完善或执行不到位，在信息系统建设、流程管理、数据应用管理和信息安全等方面存在隐患，导致系统建设碎片化、系统运行不稳定、信息安全不可靠、信息化管理决策能力弱化，系统无法有效发挥业务支撑与管控作用的可能性。目标：综合运用信息化建设管理制度、标准规范和内部控制方法，将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程，对信息系统建设、管理和应用进行全程控制；将内控理念和控制活动、措施嵌入信息系统，对业务流程运行进行实时监控，最大限度减少人为操纵因素，确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。信息系统管理风险的定义、目标定义：指在信息系统建设管理过程中，因相关管理制度、工作机制和3信息系统管理风险的内容、分类四项内容 分类：制度流程风险、岗位职责风险、廉政风险、外部风险 重大风险、一般风险信息系统流程控制风险信息系统流建设风险数据应用与管理风险信息系统安全管理风险信息系统管理风险的内容、分类四项内容信息系统流程控制风险信息4信息系统管理风险防控机制（一）：职责信息系统管理风险防控机制（一）：职责 内控委：制度制定，定级追责，改进措施内控办：检查考评，调查处理，督促落实数字中心 ：组织实施，发现问题，及时提示各单位 ：持续防控，及时报告，协助调查 信息系统管理风险防控机制（一）：职责 5信息系统管理风险防控机制（二）：流程信息系统管理风险防控机制（二）：流程 发现问题应对措施各单位应在第一时间报告内控办和数字中心。数字中心会同有关单位及时采取应对措施，最大程度避免或减少负面影响；在分清责任的基础上，深入查找风险事件发生的原因，提出解决方案、风险定级和责任追究建议，向内控办报告，并有针对性地制定或完善制度措施。分析原因解决方案完善制度问题防范信息系统管理风险防控机制（二）：流程 发现问题应对措施各6第二部分第二部分 信息系统建设管理风险防控信息系统建设管理风险防控 信息系统建设管理风险是指信息系统建设未遵循一体化指导思想和信息化建设相关制度、标准规范，导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同，造成流程固化与控制能力弱化，影响信息系统在财政管理中的整体效用。重大风险是指因不执行财政信息化建设规划和年度计划，擅自开发、推广信息系统，导致财政资金的重大浪费。一般风险是指系统建设与管理某些环节不到位，导致系统功能不完善、运维响应不及时等情况，一定程度上影响信息系统建设和应用，对业务工作的正常开展带来一定的负面影响。第二部分 信息系统建设管理风险防控 信息系统建设7信息系统建设管理风险防控的内容：信息系统建设管理风险防控的内容：总体建设规划：数财办编制总体规划，报数字财政建设领导 小组审批年度项目计划：各单位上报项目计划，数财办组织评审论证，报数字财政建设领导小组审批，数字中心列入预算建设实施：各单位提供业务需求，数字中心组织开展需求分析、系统设计、开发、测试、试运行、验收、实施等 运维管理：数字中心统一组织开展各信息系统的运行维护管理政府采购：各单位提出业务需求，数字中心编制采购文件组织采购 信息系统建设管理风险防控的内容：总体建设规划：数财办编制总体8信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程9信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程10总体建设规划风险防控措施：1.加强财政信息化总体建设规划的研究，既立足解决当前业务管理需求，更着眼于信息化发展方针政策和财政改革发展要求，增强规划的前瞻性、科学性和持续有效性。2.各单位结合财政改革发展要求，及时向数财办提供业务管理规划相关资料，确保总体建设规划能充分体现各单位业务改革的推进要求。3.各单位不得自行制定、执行本单位业务管理信息系统建设规划，应将本单位业务管理需求全部纳入总体建设规划。4.信息系统建设应严格执行总体建设规划，各单位依据总体建设规划提出年度信息化建设规划。总体建设规划风险防控措施：11信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程12年度计划风险防控措施：1.各单位提出信息系统建设的详细业务需求，清晰设定业务流程，对本单位相近、类似的业务需求进行归类申报，经单位负责人审批并盖章后提交数财办；业务需求涉及多个单位的，应明确一个牵头单位。2.数字中心综合分析业务需求，结合总体建设规划和信息系统建设成果，按照一体化建设要求整合需求，确定合理的需求实现方式，确立建设项目。3.信息系统项目建设计划实行专家评审机制，数财办组织信息系统项目计划审核时，评审人员可由财政内部或外部专家组成。4.数字中心严格按照批准的年度项目计划组织开展信息系统建设，不得在年度项目计划外开展信息系统建设。年度计划风险防控措施：13信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程14政府采购风险防控措施：1.数字中心负责编制采购文件，相关单位及时提供相关业务材料，审核业务内容是否全面、准确。2.采购文件内容应清晰具体，确保投标单位能准确理解业务需求和技术要求；在资质要求、评标标准等方面不得含有倾向性内容。3.各单位认真编制信息系统升级改造需求，数字中心根据升级改造需求合理编制采购文件。4.参与采购人员必须严格遵守相关规定，不得发表任何可能影响专家评审的言论，现场发言仅限于对业务需求和技术要求的释疑。政府采购风险防控措施：15信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程16系统建设与实施风险防控措施：1.信息系统上线运行前必须进行试运行并通过验收。2.数字中心综合分析信息系统实施的业务与技术要求，制定详细的实施方案；相关单位提供信息系统实施所需的相关数据资料。3.数字中心会同业务部门负责信息系统的推广实施、实施系统版本管理和向用户单位分发软件，版本更换要履行规定程序。系统建设与实施风险防控措施：17第三部分第三部分 信息系统流程控制管理风险防控信息系统流程控制管理风险防控 信息系统流程控制风险是指业务流程未完全固化在业务生产系统和办公自动化系统中、固化在信息系统中的业务流程未完全实现有效控制、业务处理未完全通过信息系统执行，导致信息系统支撑促进内部控制工作能力弱化的可能性。重大风险：因业务流程未固化在业务生产系统和办公自动化系统中，或固化在信息系统中的业务流程未实现有效控制，或业务处理未通过信息系统固化的流程进行等情形发生，严重影响内部控制效果。一般风险：因业务流程在业务生产系统和办公自动化系统中固化程度不够，或固化在信息系统中的业务流程控制不完善，导致内部控制目标某些方面或环节失效。第三部分 信息系统流程控制管理风险防控 信息系18信息系统流程管理内容信息系统流程管理内容业务管理流程化设计 控制措施与预警机制设置 信息系统实现 信息系统流程应用 信息系统流程管理内容业务管理流程化设计 控制措施与预警机19信息系统管理风险内控管理办法讲义课件20业务管理流程化设计风险防控措施：1.对于手工操作存在管理风险的财政业务，必须通过信息系统固化流程。2.各单位应按照业务实现的时间顺序和逻辑顺序，对需要通过信息系统固化的业务流程进行全面梳理、分析和细化，科学设定业务流程各环节，确保各环节既覆盖业务管理全过程又利于倒查问题根源。3.各单位应将整理好的业务流程形成书面材料。4.各单位应切实结合财政管理和改革的实际需要，审慎处理流程变更，避免流程变更的随意性。若确需变更，要充分考虑与原有业务的衔接。业务管理流程化设计风险防控措施：21控制措施与预警条件设定风险防控措施：1.各单位应结合本单位业务和流程，全面梳理所涉及的不相容岗位，明确各个环节的岗位设置及职责。2.各单位应对不相容岗位（职责）实施分离措施，明确细化职责，形成各司其职、各负其责、横向与纵向相互制约监督的工作机制。3.各单位应建立授权管理体系,明确各岗位的授权主体、范围与权限，科学分配权利，确保各岗位人员在授权范围内开展工作，切实达到分事行权、分岗设权、分级授权的要求。4.各单位应根据控制措施，合理设置预警条件。5.各单位应制定书面的岗位职责说明及授权控制说明。控制措施与预警条件设定风险防控措施：22信息系统实现风险防控措施：1.各单位提出需要通过信息系统实现的业务流程及其控制活动、控制措施等，形成业务需求方案，经单位负责人审批并盖章后提交数字中心。2.数字中心对业务需求进行分析。若业务需求不符合信息系统开发设计要求，数字中心提出改进建议并退回；单位将业务需求修改完善后重新提交。3.数字中心按照需求将业务流程固化在信息系统中，并将控制活动、控制措施等嵌入信息系统，确保授权处理无误，不相容岗位相互分离，实现操作过程留痕，责任可追溯，最大限度减少人为操纵因素。4.业务流程发生变更后，各单位要及时形成流程变更书面材料，经单位负责人审批同意后提交数字中心。5.数字中心应及时受理各单位的变更需求，并做好分析研究；对于符合要求的变更申请，应抓紧组织相关功能模块的改造工作。信息系统实现风险防控措施：23信息系统流程应用风险防控措施：1.各单位应建立健全规章制度，确保财政业务通过信息系统处理，实现内部控制的程序化和常态化。2.数字中心制定信息系统操作规程，加强培训，确保各单位正确应用信息系统。3.数字中心应强化技术监控，通过自动报告、跟踪处理、日志管理等机制，及时发现异常或违背内部控制要求的操作，妥善进行处置并向内控办报告。信息系统流程应用风险防控措施：24第四部分第四部分 数据应用与管理风险防控数据应用与管理风险防控 数据应用与管理风险是指在数据收集、存储、处理和应用过程中，由于不主动提供数据、违规操作数据、越权使用数据、提供的数据不规范等原因，导致信息化数据分析利用和辅助决策能力弱化的可能性。重大风险：由于单位间信息不共享或不该共享的数据共享、数据不贯通等，导致相关单位无法正常开展工作；或者由于数据失真、使用不当，导致决策出现失误；或者由于数据保管不当、越权使用数据，导致数据丢失或信息泄漏。一般风险：由于单位间信息未完全共享、数据未完全贯通，加重相关单位工作负担，一定程度上影响工作效率。第四部分 数据应用与管理风险防控 数据应用与管25信息系统管理风险内控管理办法讲义课件26数据规划风险防控措施：1.各单位应树立数据共享意识，视共享为常态、不共享为例外，主动共享数据，并保证数据的准确、完整。2.数字中心会同各单位依据实际财政业务制定统一的数据标准，明确数据来源、类型、层次、口径、安全等级、用户范围、访问权限等信息。数据标准制定要科学合理，涵盖财政业务的各个方面，具有指导性和约束力。3.各单位按照统一的数据标准，结合自身业务发展规划，梳理本单位的数据和从外部获取的业务管理需要的数据，形成本单位信息资源目录体系。4.各单位根据工作需要及时更新本单位信息资源目录体系，并提交数字中心。数据规划风险防控措施：27数据搜集风险防控措施：1.各单位严格按照数据规划，结合实际工作需要，提出数据收集需求，并与数据生产方做好衔接。2.数字中心根据各单位提出的数据收集需求，分析整理，统筹安排，开展数据收集工作，并做好技术实现和服务保障。3.各单位应主动公开、共享业务数据，做到及时更新和长期输出，并配合数字中心做好数据集中管理工作。4.数字中心从外单位收集数据时，各单位应主动协调配合，推进收集工作开展。数据搜集风险防控措施：28数据应用风险防控措施：1.数字中心建立规范的数据应用机制，加强权限管理，实现流程控制，确保数据准确、安全。2.各单位根据工作实际，提出数据应用需求，明确数据类型、层次及口径，并说明应用范围和具体用途。数据应用需求经单位负责人审批并盖章后提交数字中心。3.数字中心对收到的数据应用需求进行分析，对不符合标准规范的，退回需求单位修改完善后重新提交。对符合标准规范的，做好数据准备，明确数据来源，核对数据口径，设计应用规则，进行数据使用授权，实现数据应用。4.各单位严格按照授权使用数据，并将使用情况和效果反馈数字中心。5.各单位在数据复制转移过程中，要严格执行有关保密规定，实现操作过程留痕、责任可追溯，最大限度减少人为操纵风险。数据应用风险防控措施：29第五部分第五部分 信息系统安全管理风险防控信息系统安全管理风险防控 信息系统安全风险是指在信息系统建设、应用与运行维护过程中，由于管理制度不健全、信息安全意识淡薄、安全防护技术或管理措施不到位，导致系统权限被冒用，重要信息泄漏、篡改的可能性；或信息系统自身抵御外部攻击能力不强，突发事故处理机制不到位，造成信息系统瘫痪、业务中断、数据丢失等可能性。重大风险：因技术防护措施或管理严重缺失导致业务系统长时间无法恢复，敏感信息泄漏、丢失，系统瘫痪、业务中断等安全事件发生，对信息安全、财政业务开展造成较大损失。一般风险：因安全防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等安全事件发生，对财政业务开展造成影响和一定损失。第五部分 信息系统安全管理风险防控 信息系统安30信息系统安全管理内容信息系统安全管理内容信息系统建设安全管理 信息系统运行安全管理 信息系统运维安全管理 信息系统安全审计管理 系统灾备和应急管理信息系统安全管理内容信息系统建设安全管理 信息系统运行安31信息系统管理风险内控管理办法讲义课件32信息系统建设安全防控措施：1.完善信息系统建设安全管理制度和技术标准，数字中心负责信息系统的安全规划、建设和安全标准、规范的制定以及非涉密信息系统的安全管理，各单位负责提出信息系统的建设安全需求和安全等级定级建议，明确操作人员及其权限。2.各单位提出信息系统业务需求方案时，应评估业务系统和数据的安全需求，按照等级保护的标准、要求，提出系统定级建议。数字中心审核确定非涉密信息系统的安全保护等级。3.数字中心按照等级保护的标准要求，结合各单位提出的安全需求，进行信息系统安全设计、建设和测试。4.系统建设过程中，加强系统安全管理功能与性能审查、测试。5.加强信息安全教育，组织信息安全培训，增强信息安全意识。信息系统建设安全防控措施：33信息系统管理风险内控管理办法讲义课件34信息系统运行安全防控措施：1.数字中心要进一步强化IT基础架构运行监控管理平台建设，完善监控管理手段，提高信息系统和基础软硬件资源环境运行故障的事前预警能力。各单位应及时将发现的信息系统运行异常通知数字中心，并配合进行异常情况调查和处置。2.系统上线运行后，应按照国家有关规定和标准，定期对非涉密信息系统开展等级保护测评，对不符合要求的事项，及时进行整改。3.后勤服务中心应配合数字中心做好信息系统运行资源环境的保障工作，保证系统运行的连续性。如因特殊情况要求断电、断水时，应事先通知数字中心，在收到数字中心确认回复后方可实施。信息系统运行安全防控措施：35信息系统管理风险内控管理办法讲义课件36信息系统运维安全防控措施：1.由数字中心统一负责信息系统运行维护工作的组织管理。业务人员的运行维护需求应向数字中心提出，数字中心负责响应和协调安排解决。2.信息系统的所有运行维护操作都必须进行完整记录。3.规范业务系统上线、开放权限等变更操作流程，加强对后台设备和数据操作权限和操作行为的管理与审计，加强对业务系统操作人员的安全管理，规范安全操作行为。4.严格执行机房管理制度，进出机房的运维人员应完整填写相关登记表，详细说明要解决的故障，所涉及的设备、信息系统和数据，经审批后方可进入机房。信息系统运维安全防控措施：37信息系统管理风险内控管理办法讲义课件38信息系统安全审计防控措施：1.数字中心组织系统开发建设时，应做好审计系统的设计。加强对后台服务器、数据、网络、安全等设备、系统运维操作的审计和对系统用户业务操作行为的审计。保证审计进程无法被中断，审计信息完整、不可更改，做到事后可追溯。2.各单位指定专人担任与本单位业务相关的应用系统的审计员，加强对应用系统的安全审计和业务审计。信息系统安全审计防控措施：39信息系统应用流程信息系统应用流程40信息系统应用风险防控措施：1.信息系统上线运行前，应对业务人员进行操作与安全管理培训。2.加强个人计算机、IP地址、邮箱账号、应用系统账号、电子印章、数字证书USB Key等的管理。3.进一步强化身份认证与授权管理，省财政厅主导建设的业务系统必须使用财政数字证书，加强退职、退休、临时调出以及借调入厅等人员的数字证书及介质USBKey、电子印章等资源的回收和注销。4.加强安全教育和管理，规范使用计算机和业务系统。禁止随意更改计算机配置和参数、安装来历不明的软件、导入未经安全检查的文件和数据、连接其他网络和设备等。5.按照系统授权进行安全操作，禁止超权操作，严控敏感信息，防范信息泄漏。做好申请或变更管理。6.数字中心制定针对厅内人员的信息安全技术培训计划并组织实施。信息系统应用风险防控措施：41信息系统管理风险内控管理办法讲义课件42信息系统灾备与应急管理风险点：1.信息系统灾难备份体系规划和建设不科学，导致前瞻性、系统性不足。2.信息系统预警机制不健全，应急预案不完备，应急协同力欠缺，导致突发事件处理不当甚至影响财政业务的正常开展。3.未定期或及时组织应急演练，演练出现的问题未及时评估和整改，导致应急处置能力、快速响应和恢复能力不足。信息系统灾备与应急管理风险点：43信息系统灾备与应急管理防控措施：1.数字中心负责编制信息系统运行应急处理预案，明确组织管理机构、单位负责人、责任部门和应急处理流程，组织相关单位进行应急演练，提高应急能力和水平。发生突发事件时，组织进行快速响应和应急处理。2.数字中心负责灾备体系的规划与建设。通过建立全方位、多层次的重要信息系统灾难恢复体系，积极探索利用省政府的电子政务专用云，实现云容灾的技术可行性，保证存储数据有效性和完整性，保障财政重要业务系统的高可用性、高可靠性以及业务的连续性。3.数字中心会同办公室组织针对办公业务及信息网站、物理支持环境、网络安全等突发事件的应急演练和应急处理。4.数字中心会同后勤服务中心组织针对建筑物、电力、网络、供水、消防等物理支持环境的应急演练和应急处理。5.总预算局、预算执行局等其它各单位须提升对信息系统突发事件的应急意识，积极参加和配合做好应急演练，提高应对突发事件的能力。当发现有信息系统突发事件时，应及时通知并配合数字中心进行处置。信息系统灾备与应急管理防控措施：44谢谢大家！省厅数字中心：王洪俊联 系 方 式：0571-87055732 13588886501谢谢大家！省厅数字中心：王洪俊45汇报完毕！汇报完毕！46谢谢观赏谢谢观赏谢谢观赏47