资源描述
,49,企业认证培训,内部控制标准,制度体系建设,1+8,海关企业信用管理暂行办法,,署令,海关认证企业标准,,公告,信用暂行办法所涉及法律文书,,公告,信用暂行办法实施相关事项的公告,对报关单位记录报关差错的公告,中华人民共和国海关企业信用管理操作规程,执行信用办法有关问题的通知,稽查司关于执行,海关认证企业标准,有关问题的通知,、,关于,执行企业信用管理制度有关事项的通知,制度体系建设,立法原意,认证要点,操作指引,1,组织机构控制,进出口业务控制,内部审计控制,信息系统控制,2,3,4,内部控制标准,4,条,11,项,20,个分项,4,条,8,项,15,个分项(部门职责分工明确、,进出口活动、信息系统、数据管理,2,个分项、,),高级认证,高级认证、一般认证的区别,一般认证,达标,部分,达标,不达标,既要有程序文件,又要有记录,两者相吻合,且符合海关要求,程序文件,执行记录,如果有文件也有记录但是记录不够完整清晰,或者现场查看发现需要改进的情况为部分达标,如果完全没有程序文件和相应记录,,则不达标,第一章 组织架构控制,一、内部组织架构,二、海关业务培训,(,1,),进出口业务、财务、内部监督等部门职责分工明确。,(一般认证无),要求企业提供公司组织架构图以及各部门职责分工的书面文件,核实进出口业务部门、财务部门、内部监督部门的具体职责,了解上述部门主管的姓名、职位等相关信息,并进行面谈了解部门职责分工执行情况。,第一章,组织架构控制,(,2,)指定高级管理人员负责关务,对企业认证建立书面或者电子档案。,要求企业提供公司管理层职责分工的书面文件,审核企业是否有高级管理人员负责海关事务,该高级管理人员的姓名、职位等相关信息,并进行面谈。,要求企业提供企业认证的书面或者电子档案,并进行查阅。,(一),1,内部组织架构,公司由谁负责关务?姓名职位?,_,是否建立了认证书面或者电子档案?,_,第一章,组织架构控制,进出口业务、财务、内部监督,分工明确,高级管理人员 认证档案,(一),1,内部组织架构,关键词:,参考问题:,企业各部门(含管理层)职责分工书面文件,企业组织架构图,企业认证的书面,或电子,档案,材料:,注意:,没有内部监督部门,财务与内部监督部门分工不明确,经询问相关人员并查阅相关文件,进出口业务部门、财务部门、内部监督部门的具体职责分工明确,不相容岗位互相分离,由高级管理人员负责关务,对企业认证建立书面或者电子档案的,,为达标。,进出口业务部门、财务部门、内部监督部门的具体职责分工不够明确,不相容岗位未完全互相分离,企业认证书面或者电子档案不完整的,,为部分达标。,第一章,组织架构控制,进出口业务部门、财务部门、内部监督部门的具体职责分工模糊,不相容岗位未互相分离,未指定高级管理人员负责关务,未建立书面或者电子档案的,,为,不,达标,。,(一),1,内部组织架构,通过标准:,(,2,)法定代表人或其授权人员、负责关务的高级管理人员应当每年至少参加,1,次海关法律法规等相关管理规定的内部培训,及时了解、掌握相关管理规定。),要求企业提供公司内部培训记录,查阅法定代表人或者其授权人员、负责海关事务的高级管理人员是否每年参加了,1,次以上的海关法律法规等相关管理规定的内部培训。与法定代表人或者其授权人员、负责海关事务的高级管理人员进行面谈,检查其了解、掌握海关有关法律法规、规章制度(特别是海关企业信用管理制度)的相关情况。,第一章,组织架构控制,(,1,)企业应当建立海关法律法规等相关管理规定的内部培训制度。,要求企业提供公司内部培训制度的书面文件,查阅是否有海关法律法规等内容。,(一),海关业务培训,内部培训制度 内部培训记录,第一章,组织架构控制,(一),海关业务培训,培训制度、培训记录、参加人员、每年至少,1,次,关键词:,参考问题:,材料:,是否建立相应培训制度?,_,_,_,培训内容主要有哪些?是否涉及海关法律法规?,_,培训范围、培训对象、培训频率?,_,法定代表人或者其授权人员负责关务的高级管理人员是否,参加了海关法律法规等内部培训?,_,_,案例:,提问相关人员,注意:,没有规定海关法律法规的培训及频率,法人或其授权人员没有参加培训,第一章,组织架构控制,(一),海关业务培训,通过标准:,经询问相关人员并查阅相关文件,企业建立了内部培训制度,包含海关法律法规内容,法定代表人或者其授权人员、负责海关事务的高级管理人员每年参加了,1,次以上的海关法律法规等相关管理规定的内部培训的,,,为达标。,企业建立了内部培训制度,包含海关法律法规内容,法定代表人或者其授权人员、负责海关事务的高级管理人员中任何,1,人未参加每年,1,次以上的海关法律法规等相关管理规定的内部培训的,,为部分达标。,企业未建立内部培训制度,或者培训内容未包含海关法律法规内容,或者法定代表人或其授权人员、负责海关事务的高级管理人员未每年参加,1,次以上的海关法律法规等相关管理规定的内部培训的,,为不达标。,第二章 进出口业务控制,一、单证控制,二、单证保管,三、进出口活动,第二章,进出口业务控制,具备进出口单证复核或者纠错制度或者程序。,要求企业提供含有公司进出口单证复核或者纠错制度或者程序的书面文件。,(二),3,单证控制,第二章,进出口业务控制,要求企业提供负责进出口单证内部复核的部门或者岗位人员名单,并与部门主管或者岗位人员进行面谈,了解进出口单证内部复核的内容,是否包含了价格(合同、发票、收付汇凭证等其他商业单证中涉及成交价格的构成和调整项目的内容,不应存在漏报或者不一致的情况)、归类(是否为税则、税则注释、本国子目注释、归类决定列名以及特定当事人做过预归类决定的事项)、原产地、数量、品名、规格、规范申报要素等内容;了解内部复核流程,是否与书面文件相符。,抽查,10,份以上的进出口单证(不足,10,份的,全部查看),审核是否有效执行内部复核程序。必要时,验证其复核的准确性。,(二),3,单证控制,进出口货物收发货人:在申报前或者委托申报前有专门部门或者岗位人员对进出口单证涉及的价格、归类、原产地、数量、品名、规格等内容的真实性、准确性和规范性进行内部复核。,第二章,进出口业务控制,要求企业提供负责代理申报前合理审查的部门或者岗位人员名单,并与部门主管或者岗位人员进行面谈,了解在代理申报前审查的资料是否包含了许可证件、商业单据、进出口单证等资料;了解审查程序,是否与书面文件相符。,抽查,10,份以上的进出口单证(不足,10,份的,全部查看),审核是否有效执行合理审查程序。必要时,验证其资料的真实性、完整性和有效性。,(二),3,单证控制,报关企业:代理申报前,有专门部门或者岗位人员对委托人提供的监管证件、商业单据、进出口单证等资料的真实性、完整性和有效性进行合理审查。,第二章,进出口业务控制,要求企业提供负责复核的部门或者岗位人员名单,并与部门主管或者岗位人员进行面谈,了解在传输前复核的信息,了解复核程序,是否与书面文件相符。,抽查,10,份以上的舱单、载货清单(不足,10,份的,全部查看),审核是否有效执行复核程序。必要时,验证其复核的准确性、一致性。,(二),3,单证控制,物流企业:有专门部门或者岗位人员对运输工具进出境申报信息、舱单及相关电子数据、转关单(载货清单)等物流信息的准确性、一致性进行复核。,你公司进出口单证业务流程?,_,是否建立单证复核制度?,_,采取何种复核方式?,_,复核岗位人员名单?,_,_,复核内容?,进出口收发货人 价格,_,归类,_,原产地,_,数量,_,品名,_,规格,_,报关企业 许可证件,_,商业单据,_,进出口单证,_,第二章,进出口业务控制,(二),3,单证控制,复核或纠错,关键词:,参考问题:,材料:,进出口单证复核或者纠错的制度或者程序,抽查,10,份进出口单证(不足,10,份的,全部查看),审核是否有严格执行合理审查程序。,注意:,没有复核岗位;未做复核标记,第二章,进出口业务控制,(二),3,单证控制,通过标准:,经询问相关人员并查阅相关文件,企业建立了进出口单证复核或者纠错制度或者程序,经抽查,10,份进出口单证,审核严格执行了上述制度,,为达标。,企业建立了进出口单证复核或者纠错制度或者程序,经抽查,10,份进出口单证,审核发现未严格执行了上述制度,,为部分达标。,企业未建立进出口单证复核或者纠错制度或者程序,或者经抽查,10,份进出口单证,审核发现基本未执行上述制度,,,为不达标。,第二章,进出口业务控制,(,2,)妥善保管报关专用印章,以及海关核发的证书、法律文书。,要求企业提供公司的报关专用章,抽查,3,份(不足,3,份的,全部查看)以上海关核发的证书、法律文书,审核是否妥善保管。,(二),4,单证保管,(,1,)按海关要求建立进出口单证管理制度,确保企业保存的进出口纸质和电子报关单证、物流信息档案的及时性、完整性、准确性与安全性,。,要求企业提供公司进出口单证管理制度的书面文件。,抽查,10,份以上的进出口单证(不足,10,份的,全部查看),审核是否有效执行管理制度,是否按海关要求保存进出口单证。,第二章,进出口业务控制,(二),4,单证保管,关键词:,参考问题:,材料:,单证保管、专用章、法律文书,是否建立单证保管制度?,_,单证保管种类(纸质或电子)?,_,留存时间?,_,_,_,报关专用章证书是否妥善保管?,_,_,_,保管方式?,_,进出口单证管理制度,抽查,10,份以上的进出口单证(不足,10,份的,全部查看),审核是否按海关要求保存。,检查公司报关专用章,抽查,3,份以上海关核发的证书、法律文书(不足,3,份的,全部查看),审核是否妥善保管。,第二章,进出口业务控制,(二),4,单证保管,通过标准:,经询问相关人员并查阅相关文件,企业按海关要求建立进出口单证管理制度,妥善保存了进出口纸质和电子报关单证,妥善保管报关专用印章,以及海关核发的证书、法律文书的,,为达标。,企业按海关要求建立进出口单证管理制度,未全部妥善保存进出口纸质和电子报关单证,或者未妥善保管报关专用印章,以及海关核发的证书、法律文书的,,为部分达标。,企业未按海关要求建立进出口单证管理制度,或者基本未妥善保存进出口纸质和电子报关单证,或者未妥善保管报关专用印章,以及海关核发的证书、法律文书的,,为不达标。,第二章,进出口业务控制,进出口业务管理流程设置合理、完备,涉及的货物流、单证流、信息流能够得到有效控制,经抽查,未发现有不符合海关监管规定的情形。,要求企业提供公司货物流、单证流、信息流的流程控制的书面文件。,从海关企业进出口信用管理系统查询企业具体的进出口活动包括哪些项目,逐项进行审核。,(二),5,进出口活动,第二章,进出口业务控制,一般贸易:抽查,10,份以上的一般贸易进出口单证(不足,10,份的,全部查看),核实所涉及货物在价格(未发现有低报价格、漏报特许权使用费、运保费等)、归类(未发现税则、税则注释、本国子目注释、归类决定列名以及特定当事人做过预归类决定的事项申报错误)、原产地、数量、品名、规格等方面是否有不符合海关监管规定的情形,以及所涉及货物是否存在漏报特许权使用费、买卖双方特殊关系影响成交价格,以及其他价格调整因素的情形。,加工贸易及保税进出口:根据企业加工贸易手册类型实施检查。,使用电子,E,账册的企业,检查海关加贸部门最近一次对该企业的核查记录,查看核查记录对该企业所涉及的料件进口、单耗管理、外发加工、深加工结转、库存盘点、成品复出口、内销处置等环节是否有不符合海关监管规定的情形。并抽查,3,票进出口记录,核实企业加贸业务管理是否按照流程规定执行。,使用电子手册的企业,检查企业加贸业务管理是否按照流程规定执行。抽查,1,个已结手册的执行情况是否有不符合海关监管规定的情形,抽查,1,个正在执行未结的手册,检查,1,票业务的执行情况,核实企业加贸业务管理是否按照流程规定执行。,一般贸易,加工贸易及保税进出口,(二),5,进出口活动,第二章,进出口业务控制,(二),5,进出口活动,减免税货物(含不作价设备):检查企业减免税货物管理制度,及实际管理清单,在海关系统中调取相关数据核对。并抽查,10,件以上的减免税货物(含不作价设备)(不足,10,件的,全部查看),核实所涉及货物的使用和处置是否有不符合海关监管规定的情形。,其他贸易方式货物进出口(以上四类除外):抽查,10,份以上其他贸易方式货物进出口单证,核实所涉及货物或者物品是否有不符合海关监管规定的情形。,保税物流及免税品销售:检查企业保税物流及免税品销售管理制度及实际管理流程,核对企业保税物流及免税品销售实际执行情况,并抽查,10,件以上的保税物流及免税品销售的实际情况(不足,10,件的,全部检查),核实所涉及货物或者物品是否有不符合海关监管规定的情形。,减免税货物(不作价设备),保税物流及免税品销售,其他贸易方式,第二章,进出口业务控制,(二),5,进出口活动,参考问题:,材料:,你公司主要经营哪些进出口业务?主要包括哪些贸易,方式,?,你公司进出口业务涉及的货物流、单证流、信息流是如何管理和控制的?是否建立了相关的书面管理制度?,货物流、单证流、信息流的流程控制文件,相关业务种类单证,10,份,抽取的报关单样本原则上应当为三年以内的,符合报关单证保管的期限要求。报关单样本的抽取方式可以根据实际情况确定:包括随机抽取、根据商品种类抽取、根据贸易方式抽取、根据进出口时间抽取等。,注意:,第二章,进出口业务控制,(二),5,进出口活动,通过标准:,经询问相关人员并查阅相关文件,进出口业务管理流程设置合理、完备,涉及的货物流、单证流、信息流能够得到有效控制,经抽查,未发现有不符合海关监管规定的情形的,,为达标。,进出口业务管理流程设置较合理、完备,涉及的货物流、单证流、信息流能够基本得到有效控制,经抽查,未发现有不符合海关监管规定的情形的,,为部分达标。,进出口业务管理流程设置不合理、完备,涉及的货物流、单证流、信息流未能够得到有效控制,经抽查,发现有不符合海关监管规定的情形的,,为不达标。,第三章 内部审计控制,一、内审制度,二、责任追究,三、改进机制,第三章,内部审计控制,(三),6,内审制度,(,1,)设立专门的内部审计机构或者岗位,或者聘请外部专职人员独立对进出口业务等实施内部审计。,要求企业提供公司内部审计制度的书面文件,审核企业是否有专门的内部审计机构或者岗位人员,或者聘请外部专职人员独立对进出口业务等实施内部审计并有效执行该制度。判断是否有效执行该制度,主要看企业是否针对标准第,5,项“进出口活动”中的相关事项进行了审计,如:一般贸易是否按照进出口商品规范申报目录要求进行申报,涉及知识产权、特许权使用费等的是否按照规定申报,是否按照规定委托或者接受委托申报等;加工贸易是否按照规定办理备案、核销、处置保税货物等;保税物流是否按照规定进行仓储、运输等;减免税货物是否按照海关规定使用或进行处置等。此外,对于已经是认证企业的,还应对是否持续符合海关认证企业标准进行审计。,(,2,)每年至少内审,1,次,建立内审书面或者电子档案。,要求企业提供公司内部审计档案,审核是否每年至少内审,1,次。,第三章,内部审计控制,(三),6,内审制度,关键词:,参考问题:,材料:,进出口业务、内部审计、每年至少,1,次,公司的内审制度、流程是怎样的?,_,内审机构或岗位?,_,若无是否聘用外部人员实施内审?,_,内审频率?,_,内部审计制度,公司内部审计档案,内审不同于财务审计,内审需要涵盖进出口业务,注意:,第三章,内部审计控制,(三),6,内审制度,通过标准:,经询问相关人员并查阅相关文件,企业建立了完备的内审制度,内审档案完整,内容充实,有针对性,,为达标。,企业建立了较为完备的内审制度,内审档案比较完整,内容基本充实,有一定针对性,,为部分达标。,企业无内审制度,或内审档案不完整,,为不达标。,第三章,内部审计控制,(三),7,责任追究,(,1,)建立对进出口业务发现的问题或者违法行为的责任追究制度或者措施。,要求企业提供公司责任追究制度或者措施的书面文件,查阅是否有对进出口业务发现的问题或者违法行为进行责任追究的内容。,与相关人员进行面谈,了解企业是否有效执行上述制度或者措施。,查阅企业以往对进出口业务发现的问题或者违法行为进行责任追究的书面记录,审核是否与书面文件相符。,(,2,)建立对企业人员和报关人员私揽货物报关、假借海关名义牟利、,向海关人员行贿等行为的责任追究制度或者措施。,要求企业提供公司责任追究制度或者措施的书面文件,查阅是否有对进出口业务发现的问题或者违法行为进行责任追究的内容。,与相关人员进行面谈,了解企业是否有效执行上述制度或者措施。,查阅企业以往对进出口业务发现的问题或者违法行为进行责任追究的书面记录,审核是否与书面文件相符。,第三章,内部审计控制,参考问题:,材料:,(三),7,责任追究,企业是否有责任追究制度或措施?,_,若有,是何种责任追究制度或措施?,_,若有,发生具体事例处置措施:,_,_,责任追究制度或者措施的书面文件,企业以往对进出口业务发现的问题或违法行为进行责任追究的书面记录,第三章,内部审计控制,(三),7,责任追究,通过标准:,经询问相关人员并查阅相关文件,企业建立了对进出口业务发现的问题或者违法行为的责任追究制度或者措施,以及对企业人员和报关人员私揽货物报关、假借海关名义牟利、向海关人员行贿等行为的责任追究制度或者措施,并有效执行,,为达标。,企业基本建立了对进出口业务发现的问题或者违法行为的责任追究制度或者措施,以及对企业人员和报关人员私揽货物报关、假借海关名义牟利、向海关人员行贿等行为的责任追究制度或者措施,并部分执行,,,为部分达标。,企业未建立对进出口业务发现的问题或者违法行为的责任追究制度或者措施,或者对企业人员和报关人员私揽货物报关、假借海关名义牟利、向海关人员行贿等行为的责任追究制度或者措施,或者并未执行,,为不达标。,第三章,内部审计控制,(三),8,改进机制,(,1,)建立改进制度或者措施,要求企业提供公司改进制度或者措施的书面文件,查阅是否有规定由负责海关事务的高级管理人员直接负责海关要求改进事项的具体改进实施等内容。,(,2,)对海关要求的规范改进事项,应由负责关务的高级管理人员直接负责具体的规范改进实施。,与负责海关事务的高级管理人员进行面谈,了解企业以往是否有海关要求规范改进的情事,并查阅规范改进的书面记录,审核是否与书面文件相符。,第三章,内部审计控制,(三),8,改进机制,参考问题:,材料:,改进制度或措施的书面文件,海关要求改进事项的书面整改记录,企业是否有改进制度或措施:,_,谁负责上述改进措施实施?姓名职务?,_,是否有发生事例,若有,采取何具体措施:,_,_,第三章,内部审计控制,通过标准:,经询问相关人员并查阅相关文件,企业建立了改进制度或者措施,并由负责关务的高级管理人员直接负责海关要求的具体规范改进事项的实施的,,为达标。,企业基本建立了改进制度或者措施,并由负责关务的高级管理人员直接负责基本完成海关要求的具体规范改进事项的,,为部分达标。,企业未建立改进制度或者措施,或未由负责关务的高级管理人员直接负责海关要求的具体规范改进事项的实施的,,为不达标。,(三),8,改进机制,第四章 信息系统控制,一、信息系统,二、数据管理,三、信息安全,具备真实、准确、完整、有效记录企业生产经营、进出口或者代理报关活动的信息系统,特别是财务控制、关务、物流控制等功能模块有效运行。,了解企业是否有信息系统,系统是否记录了企业生产经营、进出口或者代理报关活动。系统是否有财务控制和关务物流控制模块。,审核信息系统中上述功能模块是否有效运行。,第四章,信息系统控制,(四),9,信息系统,第四章,信息系统控制,关键词:,参考问题:,是否有信息系统?,_,_,若有系统,是否记录了企业生产经营、进出口或者代理报关活动?,_,_,_,系统是否有财务控制、关务、物流控制模块?,_,_,_,注:可要求企业进行相关信息系统展示,审核信息系统中上述功能模块是否有效运行。,(四),9,信息系统,真实、准确、完整、有效,第四章,信息系统控制,(四),9,信息系统,通过标准:,经询问相关人员、查阅相关文件、查看相关系统,企业具备真实、准确、完整、有效记录企业生产经营、进出口或者代理报关活动的信息系统,财务控制、关务、物流控制等功能模块有效运行的,,为达标。,企业具备基本真实、准确、完整、有效记录企业生产经营、进出口或者代理报关活动的信息系统,财务控制、关务、物流控制等功能模块基本有效运行的,,为部分达标。,企业不具备真实、准确、完整、有效记录企业生产经营、进出口或者代理报关活动的信息系统,或者财务控制、关务、物流控制等功能模块不能全部有效运行的,,为不达标。,抽核,10,份以上的进出口单证(不足,10,份的,全部查看),与系统数据进行比对。审核系统中数据流程检索、跟踪等应用是否符合海关要求。,第四章,信息系统控制,(四),10,数据管理,(,1,)生产经营数据以及与进出口活动有关的数据及时、准确、完整录入系统。系统数据自进出口货物办结海关手续之日起保存,3,年以上。,要求企业演示如何通过系统进行生产经营数据以及与进出口活动有关数据的录入等操作。核实系统数据保存年限,以及是否符合海关管理要求。(新注册企业未满,1,年可以申请高级认证,则核查企业从海关注册之日至申请认证期间的企业数据)。,(,2,)进出口或者代理报关活动等主要环节在系统中能够实现流程检索、跟踪。,第四章,信息系统控制,(四),10,数据管理,参考问题:,企业是如何将生产经营数据以及与进出口活动有关的数据录入系统的?,_,数据保存多久?,_,调取查阅,3,年前的生产经营数据、进出口单证数据,核实是否保存完整:,_,结合之前抽取的,10,份单证能否在系统中实现检索跟踪,第四章,信息系统控制,通过标准:,经询问相关人员、查阅相关文件、查看相关系统,生产经营数据以及与进出口活动有关的数据及时、准确、完整录入系统,系统数据自进出口货物办结海关手续之日起保存,3,年以上,进出口或者代理报关活动等主要环节在系统中能够实现流程检索、跟踪的,,为达标。,生产经营数据以及与进出口活动有关的数据基本及时、准确、完整录入系统,系统数据自进出口货物办结海关手续之日起保存,3,年以上,进出口或者代理报关活动等主要环节在系统中基本能够实现流程检索、跟踪的,,为部分达标。,生产经营数据以及与进出口活动有关的数据未及时、准确、完整录入系统,或者系统数据自进出口货物办结海关手续之日起未保存,3,年以上,或者进出口或者代理报关活动等主要环节在系统中不能够实现流程检索、跟踪的,,为不达标。,(四),10,数据管理,与系统管理员进行面谈,了解系统是否有数据恢复、备份手段,系统是否应用反病毒软件和防火墙技术。实际登陆系统进行查核。,第四章,信息系统控制,(四),11,信息安全,(,1,)建立信息安全管理制度,保护信息系统安全,并对员工进行相关培训。,要求企业提供信息安全管理制度的书面文件。查阅企业对员工进行信息安全的培训书面记录。与员工进行面谈,检查其了解相关制度情况。审核是否有效执行信息安全管理制度。,(,2,)有专门程序或者制度,识别信息系统的非正常使用,包括非法入侵信息系统,篡改或者更改业务数据,并对上述行为有严格的责任追究。信息系统要使用专人账户和密码,并且定期更改用户密码。,要求企业提供系统使用手册,查阅是否有对非法入侵信息系统、篡改或者更改业务数据等行为的责任追究制度。与系统管理员进行面谈,了解企业信息系统是否实行账户、密码管理,并定期更改用户密码。实际登陆系统进行查核。审核企业是否有效执行有关要求。,(,3,)有专门程序或者制度,保护系统和数据,有数据恢复、备份等手段防止信息丢失,应用反病毒软件和防火墙技术。,信息安全管理制度书面文件,信息系统使用手册,信息系统安全培训记录,(可从企业整体培训记录中查询是否涉及信息系统安全培训),系统使用手册(若企业装有自用企业系统,例如,ERP,、,SAP,软件),第四章,信息系统控制,参考问题:,有无信息安全管理制度?,_,有无信息系统安全培训?,_,如有,培训内容和频率?,_,有无信息安全责任追究,?,(可从责任追究制度书面文件中查询),_,是否实行账户、密码管理,?_,密码是否定期更新,?_,有无主机或服务器数据恢复备份,?_,有无反病毒、防火墙:,_,参考问题:,(四),11,信息安全,材料:,第四章,信息系统控制,(四),11,信息安全理,通过标准:,经询问相关人员、查阅相关文件、查看相关系统,建立信息安全管理制度,并对员工进行相关培训,有识别信息系统的非正常使用并对上述行为有严格的责任追究的专门程序或者制度,信息系统使用专人账户和密码,并且定期更改用户密码,有专门程序或者制度,保护系统和数据,有数据恢复、备份等手段防止信息丢失,应用反病毒软件和防火墙技术的,,为达标。,基本建立信息安全管理制度,并对员工进行相关培训,有识别信息系统的非正常使用并对上述行为有较严格责任追究的专门程序或者制度,信息系统使用专人账户和密码,并且定期更改用户密码,有专门程序或者制度,保护系统和数据,有数据恢复、备份等手段防止信息丢失,应用反病毒软件和防火墙技术的,,为部分达标。,未建立信息安全管理制度,或者未对员工进行相关培训,或者,无识别信息系统的非正常使用并对上述行为有较严格责任追究的专门程序或者制度,或者信息系统未使用专人账户和密码,并且定期更改用户密码,或者无专门程序或者制度,保护系统和数据,无数据恢复、备份等手段防止信息丢失,或者未应用反病毒软件和防火墙技术的,,为不达标。,
展开阅读全文