第一章 总则
第一条 为加强财政信息系统管理内部控制,有效防控财政信息系统管理风险,提高信息系统对财政改革和管理的支撑能力,根据《成县财政局内部控制基本制度》等有关规定,结合工作实际,制定本办法。
第二条 本办法所称信息系统管理风险,是指在信息系统建设和运行维护过程中,因相关管理制度、工作机制、标准规范和规划方案不完善或执行不到位,在信息系统建设、业务流程控制、数据应用管理和信息安全等方面存在隐患,导致系统重复建设、碎片化、系统运行不稳定、业务操作不受控、信息安全不可靠、信息化辅助管理决策能力弱化,系统无法有效发挥业务支撑与流程管控作用的可能性。
第三条 信息系统管理风险主要包括信息系统流程控制风险、数据管理与应用风险和信息安全风险四个方面。根据风险事件的情节轻重、影响范围和程度,分为重大风险和一般风险两个等级;按照风险来源和性质,分为制度流程风险、岗位职责风险、廉政风险和外部风险四种类型。
重大风险:是指发生的风险事件对信息系统管理产生重大负面影响,或者严重损害国家或部门利益的可能性。
一般风险:是指发生的风险事件对信息系统管理产生一定的负面影响,或者对国家或部门利益造成一定损失的可能性。
制度流程风险:是指由于缺乏信息系统管理制度流程规定,或制度流程设计不合理、执行不到位,导致信息系统管理不规范、不科学的可能性。
岗位职责风险:是指由于岗位职责设定不明确、授权管理不到位,或履行岗位职责不作为、违背制度流程乱作为,导致信息系统管理不规范,影响工作质量与进度的可能性。
廉政风险:是指信息系统建设管理人员凭借手中的权力,利用工作之便在信息系统管理工作中违反廉政规定谋求私利的可能性。
外部风险:是指因外部客观环境发生重大变化或外部信息不真实、不准确,或者信息系统建设管理的外部参与单位履行职责不到位,导致信息系统建设管理不规范、影响工作质量与进度的可能性。
第四条 信息系统管理风险内部控制的目标是,综合运用信息化建设管理制度、标准规范和内部控制方法,将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程,对信息系统建设、管理和应用进行全程控制;将内控理念和控制活动、措施嵌入信息系统,对业务流程运行进行实时监控,最大限度减少人为操纵因素,确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。
第五条 本办法适用于局机关各科(室、办)、局属各单位(以下简称“各科室单位”)。
第六条 局内控委建立完善的信息系统管理风险防控机制,明确各科室单位在信息系统管理风险防控中的职责分工,有效控制信息系统管理风险。
(一)局内部控制委员会(以下简称内控委)负责审定信息系统管理内部控制政策制度,审定信息系统管理风险事件定级和责任追究建议,提出加强和改进措施。
(二)局内部控制委员会办公室(以下简称内控办)负责组织对信息系统管理内部控制制度进行有效性检查、考核和评价,组织对信息系统管理风险事件进行调查,研究提出处理意见并向内控委报告。督促落实内控委决定,定期通报信息系统管理内部控制制度执行情况及重大风险事件。
(三)信息管理科(数据网络管理中心)负责信息系统管理风险防控管理办法的组织实施,及时发现信息系统管理风险防控中存在的问题并提示有关科室,重大事项向内控办报告。定期向内控办报送信息系统管理风险防控情况。
(四)各科室单位对本单位信息系统管理的重点业务环节实施持续、有效的风险防控,及时向内控办和信息管理科报告本科室信息系统管理风险防控及异常情况,积极协助专项检查和调查。
第七条 信息系统管理风险事件发生后,各科室单位应在第一时间报告内控办和信息管理科。信息管理科会同有关科室单位及时采取应对措施,最大程度避免或减少负面影响;在分清责任的基础上,深入查找风险事件发生的原因,提出解决方案、风险定级和责任追究建议,向内控办报告,并有针对性地制定或完善制度措施。
第二章 信息系统建设管理内部控制
第八条 信息系统建设管理风险是指信息系统建设未遵循财政信息化建设归口管理要求、一体化指导思想和信息化建设相关制度、标准规范,导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同,造成流程固化与控制能力弱化,影响信息系统在财政管理中的整体效用。
其中,重大风险是指因违背财政信息化建设归口管理要求,不执行财政信息化建设规划和年度计划,擅自开发、推广信息系统,导致信息系统重复建设、碎片化;或因业务需求不细化、流程不清晰,导致信息系统功能与性能严重缺失,未能有效支撑财政管理和流程管控,影响财政发展与改革及信息一体化建设效果,造成较大负面影响。
一般风险是指执行归口管理的某些环节不到位,导致系统功能与性能不完善、运维响应不及时等情况,一定程度上影响信息系统建设和应用,对业务工作的正常开展带来一定的负面影响。
第九条 信息系统建设管理应遵循以下工作流程:
(一)总体规划。信息管理科研究拟定财政信息化建设总体规划,征求各科室单位意见后,报局信息化工作领导小组审批。
(二)年度计划。各科室单位于9月底前书面提出本科室单位下一年度业务需求;信息管理科综合各科室单位业务需求,统筹提出年度信息化建设项目及项目立项申请;局信息化工作领导小组审定年度项目计划;所需经费由办公室审核并列入部门预算。
(三)政府采购。信息管理科会同项目需求科室编制项目采购文件,经局信息化工作领导小组批准后,按照政府采购法规及程序组织开展政府采购工作。
(四)建设实施。需求科室会同信息管理科组织项目实施。需求科室负责业务方面的组织协调,负责系统功能验证、业务需求细化、系统推广应用及提出升级完善建议等。信息管理科负责技术方面的组织协调及技术保障、成果接收和升级完善等工作。信息管理科会同需求科室组织项目验收。
(五)运维管理。信息管理科统一组织开展网络、硬件环境和信息系统的运维工作,定期组织实施系统检测与评估。(各科室单位已经单独建成并且自行运维的信息系统,逐步移交给信息管理科负责运维。)
第十条 信息系统建设管理风险主要体现在归口管理、总体建设规划、年度项目计划、政府采购、设计开发、验收管理、组织实施、运行维护等过程或环节。
第十一条 归口管理的风险与防控。
(一)归口管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
岗位职责 风险 | 不执行或选择性执行财政信息化会议决议,造成系统建设进度滞后 | 重大 | 各科室单位、信息管理科 |
(二)归口管理风险防控措施:
1.各科室单位在信息系统建设工作中,负责提出详细业务需求,配合信息管理科开展系统需求调研、测试验收、组织实施等工作中的业务协调,不得自行组织信息系统建设与实施。
2.信息管理科综合分析各科室单位提出的业务需求,根据总体建设规划,研究提出信息系统建设计划,统一组织信息系统设计开发、推广实施与运维管理。
3.各科室单位按规定履行会商、会签、审批程序后,方可印发信息系统建设与推广实施相关工作文件。
第十二条 总体规划的风险与防控。
(一)风险点
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 财政信息化建设总体规划与上级信息化建设要求不相符 | 重大 | 信息管理科、各科室单位 |
各科室单位自行制定并执行本科室业务管理信息化规划 | 重大 | 各科室单位 | |
岗位职责 风险 | 未严格执行信息化建设总体规划 | 一般 | 各科室单位、信息管理科 |
(二)风险防控措施
1.加强财政信息化建设总体规划研究,强化顶层设计,既立足解决当前业务管理需求,更着眼于上级部门信息化发展方针政策和财政改革发展要求,增强规划的前瞻性、科学性和持续有效性。
2.各科室单位结合财政改革发展要求,及时向信息管理科提供业务管理规划相关资料,确保总体建设规划能充分体现各科室单位业务改革的推进要求。
3.各科室单位不得自行制定、执行本科室业务管理信息系统建设规划,应配合信息管理科将本科室业务管理需求全部纳入总体建设规划。
4.信息系统建设应严格执行总体建设规划(局党组要求的紧急业务事项除外),各科室单位依据总体建设规划提出年度信息化建设业务需求;信息管理科依据总体建设规划综合分析业务需求,提出信息系统项目立项并组织建设。
第十三条 年度计划的风险与防控。
(一)年度项目计划编制工作流程
1.各科室单位提出信息系统建设的业务需求。
2.信息管理科提出信息系统年度建设项目申请。
3.办公室对项目申请进行审核。重大项目组织专家论证和投资评审。
4.信息管理科编制年度项目计划,并报信息化领导小组审定。
5.办公室将审核通过的年度项目计划列入部门预算。
(二)年度计划风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
岗位职责 风险 | 在年度项目计划外开展信息系统建设,影响信息系统的统筹管理和一体化推进 | 重大 | 各科室单位、信息管理科 |
提出的业务需求不完整、不具体,业务流程不清晰 | 一般 | 各科室单位 | |
对业务需求研究不充分,导致提出的立项申请不合理 | 一般 | 信息管理科 | |
项目经费测算不合理 | 一般 | 信息管理科 | |
未对本科室业务需求进行归类整理,类似需求重复申报 | 一般 | 各科室单位 | |
未综合审核意见和专家评审论证意见,导致信息化年度项目计划的编制不合理 | 一般 | 信息管理科 |
(三)年度计划风险防控措施:
1.各科室单位提出信息系统建设的详细业务需求,清晰设定业务流程,对相近、类似的业务需求进行归类,经负责人审批并盖章后提交信息管理科;业务需求涉及多个单位的,应明确一个牵头单位。
2.信息管理科综合分析业务需求,结合总体规划和信息系统建设成果,按照一体化建设要求整合需求,确定合理的需求实现方式,确立建设项目并提出立项申请,并分别编制项目建议书。
3.信息系统立项实行内外部专家评审机制,组织信息系统立项申请审核时,评审人员不限于财政内部,按需要邀请上级部门代表、外部专家参加。
5.信息管理科严格按照批准的年度项目计划组织开展信息系统建设,不得在年度项目计划外开展信息系统建设。(局党组要求的紧急业务事项除外)
第十六条 验收管理的风险与防控。
(一)信息系统验收管理流程:
1.承建单位向信息管理科提出验收申请。
2.信息管理科组织对信息系统验收条件进行审查,制定验收方案。
3.信息管理科组建专家组进行系统验收,相关科室单位派人参加。
4.验收专家组提出验收意见。
(二)信息系统验收管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 各科室单位未通过信息管理科自行组织验收 | 一般 | 各科室单位 |
项目验收指标制定不全面、不准确 | 一般 | 信息管理科、各科室单位 | |
验收专家成员构成不合理 | 一般 | 信息管理科 | |
岗位职责 风险 | 提出验收申请后,未及时组织验收 | 一般 | 信息管理科 |
验收程序未严格按照相关规定执行 | 一般 | 信息管理科 | |
各科室单位未及时提供项目验收用户报告,影响项目验收整体工作进度 | 一般 | 各科室单位 | |
廉政风险 | 受项目承建单位请托,将不符合验收条件的系统通过验收 | 一般 | 信息管理科、各科室单位 |
外部风险 | 验收专家组提出的意见不符合实际 | 一般 | 信息管理科 |
(三)信息系统验收管理风险防控措施:
1.信息管理科负责组织信息系统验收工作,按照国家相关法律法规规定的程序和要求进行。
2.信息管理科收到承建单位验收申请后,及时组织对信息系统是否具备验收条件进行审查,并通知相关科室准备用户报告;相关科室对信息系统功能与性能、应用情况做出客观真实评价,按时出具用户报告。
3.不断完善信息系统验收条件、评价标准和验收指标体系,确保验收结论真实可靠。
4.信息管理科负责组建验收专家组,专家组成员应覆盖财政内外、技术与业务领域。
第十七条 组织实施的风险与防控。
(一)信息系统组织实施风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 各科室单位自行推广实施系统,造成系统建设与管理混乱 | 重大 | 各科室单位 |
未经过试运行和验收的系统直接上线运行 | 一般 | 各科室单位、信息管理科 | |
系统试运行时间短、不充分,未反映出问题与不足 | 一般 | 各科室单位、信息管理科 | |
系统版本和软件分发管理混乱,未执行归口管理 | 一般 | 各科室单位、信息管理科 | |
岗位职责 风险 | 业务、技术部门沟通协调不足,未对系统问题及时修改完善 | 一般 | 各科室单位、信息管理科 |
对于需要推广的系统,未制定科学合理的实施方案 | 一般 | 各科室单位、信息管理科 | |
未根据试点中发现的系统缺陷,研究提出系统完善意见 | 一般 | 各科室单位、信息管理科 |
(二)信息系统组织实施风险防控措施:
1.信息系统上线运行前必须进行试运行并通过验收。
2.信息管理科综合分析信息系统实施的业务与技术要求,制定详细的实施方案;相关科室提供信息系统实施所需的相关数据资料。
3.信息管理科负责信息系统的推广实施、实施系统版本管理和向用户单位分发软件,版本更换要履行规定程序。
第十八条 运行维护管理的风险与防控。
(一)信息系统运行维护管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 系统日常维护工作未交信息管理科负责 | 一般 | 各科室单位 |
各科室单位自行选择运维单位开展系统运维工作 | 一般 | 各科室单位 | |
岗位职责 风险 | 系统运维方案制定不够科学合理 | 一般 | 信息管理科 |
未根据系统使用情况,及时提出系统运行及使用中存在的问题 | 一般 | 各科室单位 | |
未根据系统改进建议,及时完善系统运行维护工作 | 一般 | 信息管理科 | |
外部风险 | 运维单位对信息系统不熟悉 | 一般 | 信息管理科 |
(二)信息系统运行维护管理风险防控措施:
1.健全和完善市财政局IT运维服务管理办法,制定相关实施细则,规范运维工作程序,明确运维工作范围。
2.信息管理科负责组织信息系统运维工作,严格按照市财政局IT服务管理相关制度办法开展,确保信息系统安全可靠运行。相关科室应配合做好运维工作的监督与评价。
3.采购运行维护单位时,针对信息系统情况定性和定量设定条件,确保运维单位能够胜任运维工作。
4.各科室单位根据信息系统使用情况,及时向信息管理科反馈信息系统存在的问题。
第三章 信息系统流程控制管理内部控制
第十九条 信息系统流程控制风险是指业务流程未完全固化在业务生产系统和办公自动化系统中、固化在信息系统中的业务流程未完全实现有效控制、业务处理未完全通过信息系统执行,导致信息系统支撑促进内部控制工作能力弱化的可能性。
其中,重大风险是指因业务流程未固化在业务生产系统和办公自动化系统中,或固化在信息系统中的业务流程未实现有效控制,或业务处理未通过信息系统固化的流程进行等情形发生,严重影响内部控制效果。
一般风险是指因业务流程在业务生产系统和办公自动化系统中固化程度不够,或固化在信息系统中的业务流程控制不完善,导致内部控制目标某些方面或环节失效。
第二十条 流程控制风险主要体现在业务管理流程化设计、控制措施与预警机制设定、信息系统实现、信息系统流程应用等方面。
第二十一条 信息系统固化和管控业务流程的程序:
1.各科室单位梳理完善业务流程。
2.各科室单位明确业务流程各环节控制活动、控制措施等。
3.各科室单位提出业务流程固化和管理控制的业务需求。
4.信息管理科综合分析业务需求。
5.信息管理科负责通过信息系统实现业务流程固化和管理控制。
第二十二条 业务管理流程设计风险与防控。
(一)业务管理流程设计风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 对手工操作存在管理风险的财政业务,未通过信息系统进行流程固化和管理控制,引发重大责任事故 | 重大 | 各科室单位 |
业务流程变更过于频繁,影响系统的稳定性 | 一般 | 各科室单位、信息管理科 | |
岗位职责 风险 | 业务流程梳理不全面、分析不系统、优化不合理 | 一般 | 各科室单位 |
业务流程各环节设定不合理 | 一般 | 各科室单位 |
(二)业务管理流程设计风险防控措施:
1.对于手工操作存在管理风险的财政业务,必须通过信息系统固化流程。
2.各科室单位应按照业务实现的时间顺序和逻辑顺序,对需要通过信息系统固化的业务流程进行全面梳理、分析和细化,科学设定业务流程各环节,确保各环节既覆盖业务管理全过程又利于倒查问题根源。
3.各科室单位应将整理好的业务流程形成书面材料。
4.各科室单位应切实结合财政管理和改革的实际需要,审慎处理流程变更,避免流程变更的随意性。若确需变更,要充分考虑与原有业务的衔接。
第二十三条 控制措施与预警机制设定风险与防控。
(一)控制措施与预警条件设定风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 对业务流程关键环节未设置不相容岗位(职责)或不相容岗位(职责)分离措施不到位,出现重大责任事故 | 重大 | 各科室单位 |
岗位职责 风险 | 对业务流程某些环节未设置授权或授权不合理,出现重大责任事故 | 重大 | 各科室单位 |
控制措施未设置预警机制或设置不合理 | 一般 | 各科室单位 |
(三)控制措施与预警条件设定风险防控措施:
1.各科室单位应结合本单位业务和流程,全面梳理所涉及的不相容岗位,明确各个环节的岗位设置及职责。
2.各科室单位应对不相容岗位(职责)实施分离措施,明确细化职责,形成各司其职、各负其责、横向与纵向相互制约监督的工作机制。
3.各科室单位应建立授权管理体系,明确各岗位的授权主体、范围与权限,科学分配权利,确保各岗位人员在授权范围内开展工作,切实达到分事行权、分岗设权、分级授权的要求。
4.各科室单位应根据控制措施,合理设置预警条件。
5.各科室单位应制定书面的岗位职责说明及授权控制说明。
第二十四条 信息系统实现风险与防控。
(一)信息系统实现风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 信息系统未按要求实现业务流程和管理控制的固化,出现重大责任事故 | 重大 | 信息管理科 |
变更流程时,未提出需求变更申请 | 一般 | 各科室单位 | |
岗位职责 风险 | 对业务需求调研不深入、分析不全面 | 一般 | 信息管理科 |
变更流程后,仍使用原有系统进行业务操作 | 一般 | 各科室单位 | |
未根据流程变更需求及时完善信息系统 | 一般 | 信息管理科 | |
流程变更的信息化实现未达到预期效果 | 一般 | 信息管理科 |
(二)信息系统实现风险防控措施:
1.各科室单位提出需要通过信息系统实现的业务流程及其控制活动、控制措施等,形成业务需求方案,经科室负责人审批并盖章后提交信息管理科。
2.信息管理科对业务需求进行分析。若业务需求不符合信息系统开发设计要求,信息管理科提出改进建议并退回;科室将业务需求修改完善后重新提交。
3.信息管理科按照需求将业务流程固化在信息系统中,并将控制活动、控制措施等嵌入信息系统,确保授权处理无误,不相容岗位相互分离,实现操作过程留痕,责任可追溯,最大限度减少人为操纵因素。
4.业务流程发生变更后,各科室单位要及时形成流程变更书面材料,经科室负责人审批同意后提交信息管理科。
5.信息管理科应及时受理各科室单位的变更需求,并做好分析研究;对于符合要求的变更申请,应抓紧组织相关功能模块的改造工作。
第二十五条 信息系统流程应用的风险与防控。
(一)信息系统流程应用风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 未通过已有信息系统开展相应财政业务 | 一般 | 各科室单位 |
未制定系统使用操作规程 | 一般 | 信息管理科 | |
技术监控措施不到位 | 一般 | 信息管理科 | |
廉政风险 | 绕开流程进行后台操作,窃取财政业务信息,谋取利益 | 重大 | 各科室单位、信息管理科 |
(二)信息系统流程应用风险防控措施:
1.各科室单位应建立健全规章制度,确保财政业务通过信息系统处理,实现内部控制的程序化和常态化。
2.信息管理科应强化技术监控,通过自动报告、跟踪处理、日志管理等机制,及时发现异常或违背内部控制要求的操作,妥善进行处置并向内控办报告。
第四章 数据管理与应用内部控制
第二十六条 数据管理与应用风险是指在数据收集、存储、处理和应用过程中,由于不主动提供数据、违规操作数据、越权使用数据、提供的数据不规范等原因,导致信息化数据分析利用和辅助决策能力弱化的可能性。
其中,重大风险是指由于单位间信息不共享或不该共享的数据共享、数据不贯通等,导致相关科室无法正常开展工作;或者由于数据失真、使用不当,导致决策出现失误;或者由于数据保管不当、越权使用数据,导致数据丢失或信息泄漏。
一般风险是指由于单位间信息未完全共享、数据未完全贯通,加重相关科室工作负担,一定程度上影响工作效率。
第二十七条 数据管理与应用遵循以下流程:
(一)数据规划。信息管理科会同各科室单位按照财政改革和发展需要,通过科学规划和设计,建立面向实际财政业务的数据标准和信息资源目录体系。
(二)数据收集。按照各科室单位提出的数据收集需求,信息管理科收集财政业务信息系统中的各类数据并进行集中管理;涉及财政外部的业务数据,由提出需求的科室牵头收集。
(三)数据管理。按照各科室单位提出的数据存储需求,信息管理科对收集到的各类数据进行筛选、分类、调整,并实现安全存储、有效管理。
(四)数据应用。信息管理科对各科室单位提出数据应用需求进行技术实现,提供检索、展现及分析工具。
第二十八条 数据管理与应用风险主要体现在数据规划、数据收集、数据管理和数据应用等工作过程与环节。
第二十九条 数据规划的风险与防控。
(一)数据规划流程:
1.信息管理科制定数据标准。
2.各科室单位按照数据标准梳理业务数据,形成本科室信息资源目录体系。
3.信息管理科审核汇总各科室单位信息资源目录体系,形成局信息资源目录体系。
(二)数据规划风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 信息资源目录体系不完整、不清晰 | 一般 | 各科室单位、信息管理科 |
数据标准不统一、不完善 | 一般 | 各科室单位、信息管理科 | |
岗位职责 风险 | 数据共享出现错误,将不能共享的数据共享,造成重大泄密事件 | 重大 | 各科室单位、信息管理科 |
未明确数据可共享的范围,造成泄密事件 | 重大 | 各科室单位 | |
缺少数据共享意识,不愿主动提供数据 | 一般 | 各科室单位 |
(三)数据规划风险防控措施:
1.各科室单位应树立数据共享意识,视共享为常态、不共享为例外,建立数据共享机制,主动共享数据,并保证数据的准确、完整。
2.信息管理科会同各科室单位依据实际财政业务制定统一的数据标准,明确数据来源、类型、层次、口径、安全等级、用户范围、访问权限等信息。数据标准制定要科学合理,涵盖财政业务的各个方面,具有指导性和约束力。
3.各科室单位按照统一的数据标准,结合自身业务发展规划,梳理本科室的数据和从外部获取的业务管理需要的数据,形成本科室信息资源目录体系。信息资源目录体系经科室负责人审批并盖章后提交信息管理科。
4.信息管理科综合各科室单位信息资源目录体系,统筹规划,科学分析,研究制定财政局信息资源目录体系。
5.各科室单位根据工作需要及时更新本科室信息资源目录体系,并提交信息管理科。信息管理科按照各科室单位信息资源目录体系变更情况修改完善市财政局信息资源目录体系,确保数据信息准确、完整。
第三十条 数据收集的风险与防控。
(一)数据收集流程:
1.各科室单位提出数据收集需求。
2.信息管理科按照数据收集需求收集数据,并将收集结果反馈相关科室。
(二)数据收集风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 各科室单位只提供短期或临时数据,分享数据缺乏持续性 | 一般 | 各科室单位 |
收集数据时,技术实现和服务保障执行不到位 | 一般 | 信息管理科 | |
岗位职责 风险 | 未按数据规划提出数据收集需求 | 一般 | 各科室单位 |
收集数据时,相关科室未协调配合 | 一般 | 各科室单位 | |
外部风险 | 由于沟通协调不够,外部单位不愿意提供数据 | 一般 | 各科室单位 |
(三)数据收集风险防控措施:
1.各科室单位严格按照数据规划,结合实际工作需要,提出数据收集需求,数据收集需求经科室负责人审批并盖章后提交信息管理科。数据收集需求涉及多个单位时,应明确牵头单位。
2.信息管理科根据各科室单位提出的数据收集需求,分析整理,统筹安排,开展数据收集工作,并做好技术实现和服务保障。
3.各科室单位应主动公开、共享业务数据,做到及时更新和长期输出,并配合信息管理科做好数据集中管理工作。
4.信息管理科从局外单位收集数据时,各科室单位应主动协调配合,推进收集工作开展。
第三十一条 数据管理的风险与防控。
(一)数据管理流程:
1.各科室单位提出数据规范存储需求。
2.信息管理科按照各科室单位数据存储需求处理并存储数据,并将处理结果反馈相关科室。
(二)数据管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 未按安全等级分类存储数据,造成失密事故 | 重大 | 各科室单位、信息管理科 |
未建立数据备份与恢复机制,导致数据丢失 | 重大 | 各科室单位、信息管理科 | |
缺少有效的数据管理机制 | 一般 | 各科室单位、信息管理科 | |
岗位职责 风险 | 存档入库数据未经分类处理及必要的清洗 | 一般 | 各科室单位、信息管理科 |
数据未经分类便存档入库 | 一般 | 各科室单位、信息管理科 | |
廉政风险 | 利用数据管理之便,窃取财政信息,谋取私利 | 重大 | 各科室单位、信息管理科 |
(三)数据管理风险防控措施:
1.信息管理科建立规范的数据管理机制,加强使用授权,优化存储查询,确保数据的规范性和准确性。
2.各科室单位根据业务实际,提出数据存储需求,明确数据存储数量、时间和访问权限等,经科室负责人审批并盖章后提交信息管理科。
3.信息管理科对收到的数据存储需求进行分析,对不符合标准规范的,退回需求单位修改完善后重新提交。对符合标准规范的,通过筛选、分类、调整等处理程序,剔除冗余、补充遗漏,完成数据存储。
4.信息管理科按照安全保密措施妥善保管数据,建立目录索引,控制访问权限,确保数据安全。
第三十二条 数据应用的风险与防控。
(一)数据应用流程:
1.各科室单位提出数据应用需求。
2.信息管理科综合分析应用需求,实现数据应用。
(二)数据应用风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 数据使用授权不正确,发生泄密事件 | 重大 | 各科室单位、信息管理科 |
共享数据不可用或可用性不强 | 一般 | 各科室单位 | |
岗位职责 风险 | 在数据复制转换过程中,未遵照保密规定进行违规操作,发生泄密事件 | 重大 | 各科室单位、信息管理科 |
数据引用不合理、使用不正确 | 一般 | 各科室单位、信息管理科 | |
廉政风险 | 蓄意窃取数据,谋取私利 | 重大 | 各科室单位、信息管理科 |
(三)数据应用风险防控措施:
1.信息管理科建立规范的数据应用机制,加强权限管理,实现流程控制,确保数据准确、安全。
2.各科室单位根据工作实际,提出数据应用需求,明确数据类型、层次及口径,并说明应用范围和具体用途。数据应用需求经科室负责人审批并盖章后提交信息管理科。
3.信息管理科对收到的数据应用需求进行分析,对不符合标准规范的,退回需求单位修改完善后重新提交。对符合标准规范的,做好数据准备,明确数据来源,核对数据口径,设计应用规则,进行数据使用授权,实现数据应用。
4.各科室单位严格按照授权使用数据,并将使用情况和效果反馈信息管理科。
5.各科室单位在数据复制转移过程中,要严格执行有关保密规定,实现操作过程留痕、责任可追溯,最大限度减少人为操纵风险。
第五章 信息系统安全管理内部控制
第三十三条 信息系统安全风险是指在信息系统建设、应用与运行维护过程中,由于管理制度不健全、信息安全意识淡薄、安全防护技术或管理措施不到位,导致系统权限被冒用,重要信息泄漏、篡改的可能性;或信息系统自身抵御外部攻击能力不强,突发事故处理机制不到位,造成信息系统瘫痪、业务中断、数据丢失等可能性。
其中,重大风险是指因技术防护措施或管理严重缺失导致业务系统长时间无法恢复,涉密、敏感信息泄漏、丢失,系统瘫痪、业务中断等安全事件发生,对国家安全、财政业务开展造成较大损失。
一般风险是指因安全防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等安全事件发生,对财政业务开展造成影响和一定损失。
第三十四条 信息系统安全管理风险主要体现信息系统建设安全管理、信息系统运行安全管理、信息系统运维安全管理、信息系统应用安全管理、信息系统安全审计管理、信息系统灾备与应急管理等方面。
第三十五条 信息系统建设安全管理风险防控。
(一)信息系统建设安全管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 系统正式运行前未按分级保护或等级保护相关要求对信息系统进行安全定级、检测和测评 | 重大 | 办公室、信息管理科 |
制度流程 风险 | 各科室单位之间信息系统安全建设与管理的责任主体不明确 | 重大 | 各科室单位、信息管理科 |
信息系统安全建设和管理制度不完善 | 一般 | 办公室、信息管理科 | |
岗位职责 风险 | 系统建设前未提出安全需求或系统建设时未考虑安全功能的实现 | 重大 | 各科室单位、信息管理科 |
未严格执行信息系统安全建设制度 | 一般 | 各科室单位、信息管理科 | |
信息系统安全需求不明确或实现的安全功能不完善 | 一般 | 各科室单位、信息管理科 |
(二)信息系统建设安全管理风险防控措施:
1.加强信息安全保密教育,组织信息安全培训,增强信息安全意识。
第三十六条 信息系统运行安全管理风险防控。
(一)信息系统运行安全管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 不同密级网络之间未严格实行隔离,涉密系统部署在内网上、绝密系统部署在机密级及以下涉密网上,存在秘密信息泄漏的风险 | 重大 | 各科室单位、信息管理科 |
断水、断电时,未提前通知信息管理科,存在造成机房停运的风险 | 重大 | 机关办公室 | |
信息系统和相应的基础软硬件环境运行监控管理手段不完善 | 一般 | 信息管理科 | |
信息系统和相应的基础软硬件环境运行故障的事前预警能力不高 | 一般 | 信息管理科 | |
以人工方式处理不同密级网络上的信息交换和传递 | 一般 | 各科室单位、信息管理科 | |
岗位职责 风险 | 未按相关规定进行信息系统分级保护或等级保护相关工作 | 重大 | 办公室、信息管理科 |
信息系统或基础软硬件环境出现故障时未及时发现和解决 | 一般 | 信息管理科 |
(二)信息系统运行安全管理风险防控措施:
1.信息管理科要进一步强化IT基础架构运行监控管理平台建设,完善监控管理手段,提高信息系统和基础软硬件环境运行故障的事前预警能力。各科室单位应及时将发现的信息系统运行异常通知信息管理科,并配合进行异常情况调查和处置。
2.严格执行国家有关信息安全保密管理有关规定,将不同密级要求的信息系统部署在不同网段上运行,确保不同密级的信息相互隔离。特别是非涉密网上不允许部署运行涉密信息系统,机密级及以下涉密网上不允许部署运行绝密信息系统。办公室负责解决涉密信息在机密网上运行的问题。
3.系统上线运行后,应按照国家有关规定和标准,定期对非涉密信息系统开展等级保护测评,对涉密信息系统进行分级保护测评,对不符合要求的事项,及时进行整改。
4.研究建立不同网段上的信息交换与传递工作机制,建设部署相应技术手段,尽可能避免人工操作。如必须采用人工操作时,操作完成后应将信息交换与传递介质按相关要求和程序处置或销毁。
5.机关服务中心应配合信息管理科做好信息系统运行资源环境的保障工作,保证系统运行的连续性。如因特殊情况要求断电、断水时,应事先通知信息管理科,在收到信息管理科确认回复后方可实施。
第三十七条 信息系统运维安全管理风险防控。
(一)信息系统运维安全管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 主机房、涉密机房等重要部位的安全保卫、消防、监控、供电等工作执行不到位 | 重大 | 办公室、信息管理科 |
未建立信息安全管理制度,或执行不到位,存在业务数据泄漏、丢失、蓄意篡改的重大风险 | 重大 | 各科室单位、信息管理科 | |
不遵从信息系统运行维护管理程序,遇到问题不通知信息管理科 | 一般 | 各科室单位 | |
进出机房无登记,不记录运维工作内容,操作过程未留下痕迹 | 一般 | 信息管理科 | |
岗位职责 风险 | 发现信息泄漏事件未及时报告 | 重大 | 各科室单位、信息管理科 |
发现信息泄漏事件未制定应急方案并采取补救措施 | 重大 | 各科室单位、信息管理科 | |
岗位职责 风险 | 监控和安全检查不到位,未及时发现和处理故障 | 一般 | 信息管理科 |
信息系统运行维护制度执行不严格 | 一般 | 信息管理科 | |
廉政风险 | 利用系统运行维护之便,窃取财政信息,谋取私利 | 重大 | 各科室单位、信息管理科 |
外部风险 | 运维单位对信息系统及其基础资源环境不熟悉,无法按规定履行运维职责 | 重大 | 信息管理科、运维单位 |
(二)信息系统运维安全管理风险防控措施:
1.由信息管理科统一负责信息系统运行维护工作的组织管理,按照财政局有关IT服务管理规定的程序和要求执行。业务人员的运行维护需求应向信息管理科提出,信息管理科负责响应和协调安排解决。
2.信息系统的所有运行维护操作都必须进行完整记录,运维单位承担的所有维护操作必须在信息管理科或相关业务部门的监控下进行,不允许运维单位人员独自开展系统运维工作。
3.规范业务系统上线、开放权限等变更操作流程,加强对后台设备、数据操作权限和操作行为的管理与审计,加强对业务系统操作人员的安全管理,规范安全操作行为。
4.严格执行机房管理制度,进出机房的运维人员都应完整填写相关登记表,经审批后方可进入机房。
第三十八条 信息系统应用安全管理风险防控。
(一)信息系统应用安全管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 离职、退休和临时借调人员离部时,未交回和注销涉密存储介质、数字证书及介质USB Key、电子印章等各种信息资源 | 重大 | 各科室单位,办公室,信息管理科 |
安全保密培训不够,信息安全技术培训欠缺 | 一般 | 办公室、信息管理科 | |
人员岗位变更未及时更改权限 | 一般 | 各科室单位 | |
岗位职责 风险 | 业务人员不严格执行相关保密规定,存在涉密网违规外联、介质交叉混用、在互联网上处理涉密信息等违规行为 | 重大 | 各科室单位 |
业务人员安全意识欠缺,不按管理规范和流程操作使用信息系统 | 一般 | 各科室单位 | |
授权不严格,或业务人员将自己的权限授予他人使用 | 一般 | 各科室单位、信息管理科 | |
出现信息泄漏事件后未调查评估并对管理问题进行整改 | 重大 | 各科室单位、信息管理科 |
(二)信息系统应用安全管理风险防控措施:
1.信息系统上线运行前,应对业务人员进行操作与安全管理培训,提高操作系统的规范性和安全意识。
2.加强个人计算机、IP地址、应用系统账号、数字证书USB Key、电子印章等各种信息安全资源的管理。
3.进一步强化身份认证与授权管理,财政局主导建设的业务系统必须使用财政数字证书,由信息管理科统一发放数字证书及介质USBKey、电子印章等,保证操作人员、数字证书和电子印章三者之间一一对应,做到人、证、印相符。办公室会同信息管理科负责退职、退休、临时调出以及借调入部等人员的数字证书及介质USBKey、电子印章等资源的回收和注销。
4.各科室单位应加强对系统操作人员的安全教育和管理,应按照相关安全要求和规范操作使用计算机和业务系统。禁止随意更改计算机配置和参数、安装来历不明的软件、导入未经安全检查的文件和数据、连接其他网络和设备等。
5.按照系统授权进行安全操作。禁止系统操作人员将自己的权限授予他人使用,严控涉密和敏感信息,防范信息泄漏。申请或变更系统使用权限应报请科室负责人审批后转信息管理科确认实施。
6.调离本科室人员所使用的涉密计算机,提交他人继续使用的,应做好涉密信息的消除工作。不再继续使用的,应将硬盘交信息管理科进行销毁。
7.办公室应制定针对局内人员的安全保密培训计划并组织实施。信息管理科应制定针对局内人员的信息安全技术培训计划并组织实施。各科室单位应重视安全保密教育工作,积极参加各类安全保密方面的培训。
第三十九条 信息系统灾备与应急管理风险和防控。
(一)信息系统灾备与应急管理风险点:
风险类型 | 风险点 | 风险等级 | 责任主体 |
制度流程 风险 | 针对各类可能发生的应急事件缺乏安全预案 | 重大 | 信息管理科 |
未建立灾备体系 | 重大 | 信息管理科 | |
应急处理预案内容不完善 | 一般 | 信息管理科 | |
各相关科室沟通渠道不畅,导致未及时组织应急演练 | 一般 | 各科室单位、信息管理科 | |
应急和灾备管理制度不健全或执行不到位 | 一般 | 信息管理科、各科室单位 | |
灾备需求不明确 | 一般 | 各科室单位 | |
岗位职责 风险 | 发现可导致重大事件的问题,未及时报告和处置 | 重大 | 各科室单位、信息管理科 |
对应急事件等级判断不准确,造成处置失误 | 一般 | 应急领导小组 |
(二)信息系统灾备与应急管理风险防控措施:
1.信息管理科负责编制信息系统运行应急处理预案,明确组织管理机构、科室负责人、责任部门和应急处理流程,定期组织相关科室进行应急演练,提高应急能力和水平。发生突发事件时,组织进行快速响应和应急处理。发生安全保密事件时,协助办公室进行调查、追踪和取证。
2.信息管理科负责灾备体系的规划与建设。通过建立全方位、多层次的重要信息系统灾难恢复体系,实现存储数据有效性和完整性,保障财政重要业务系统的高可用性、高可靠性以及业务的连续性。
3.办公室会同信息管理科组织针对办公业务及信息网站、物理支持环境、网络安全等突发事件的应急演练和应急处理。
4.后勤服务中心会同信息管理科组织针对建筑物、电力、网络线路、供水、消防等物理支持环境的应急演练和应急处理。
5.各科室单位须提升对信息系统突发事件的应急意识,积极参加和配合做好应急演练,提高应对突发事件的能力。当发现有信息系统突发事件时,应及时通知并配合信息管理科进行处置。
第六章 附则
第四十条 本办法由内控委负责修订,由内控办会同有关单位负责解释。
第四十一条 本办法自发布之日起实施。
2016年11月1日
联系客服