(内部管理)信息资源管理业务内部控制矩阵
企业内部控制流程——信息系统
企业内部控制流程——信息系统1.信息系统规划:企业需要制定长期的信息系统规划,以明确信息系统发展的目标和方向,确保信息系统与企业战略的一致性。
2.信息系统建设:企业内部控制流程中的信息系统建设阶段需要确定信息系统的需求,选择合适的技术方案和产品,进行系统开发、测试和实施。
3.信息系统运行:企业需要建立完善的信息系统运维体系,保障系统的正常运行,包括硬件设备的维护、软件系统的更新和维护、数据管理和备份等工作。
4.信息资源管理:企业需要建立信息资源管理的制度和流程,包括信息的收集、存储、传输和利用等环节,确保信息资源的合理利用和保护。
5.信息安全管理:企业需要建立信息安全管理体系,包括网络安全、系统安全、数据安全等方面的防护措施,以保证信息的机密性、完整性和可用性。
以上几个环节之间相互关联,形成一个闭环,通过各种控制措施的建立和执行,确保信息系统运行的可靠性和安全性。
在企业内部控制流程中,信息系统相关的风险主要包括以下几个方面:1.技术风险:信息系统可能存在技术故障、硬件设备的失效等问题,需要通过建立健全的维护机制和备份制度来进行控制。
2.操作风险:人为操作失误、内部破坏等因素可能给信息系统带来风险,需要通过建立操作规范、权限管理制度等控制措施来避免和减少风险。
3.安全风险:信息系统可能受到黑客攻击、病毒感染等安全问题的影响,需要建立网络安全、数据安全和系统安全的防护机制。
4.数据风险:数据可能遭到篡改、丢失或泄露,需要通过建立数据备份、灾备机制来保障数据的安全和可用性。
为了有效控制这些风险,企业需要建立完善的内部控制制度,明确各个环节的责任分工,进行风险评估和控制,及时发现和纠正问题,提高信息系统的可信度和可靠性。
总之,企业内部控制流程中的信息系统部分是企业内部控制的重要组成部分,通过规划、建设、运行、管理等一系列流程和措施,保障了企业信息系统的正常运行和信息资源的安全利用,提高企业的竞争力和可持续发展能力。
内控手册之规章制度管理流程控制矩阵
风险编号 控制目标 风险描述 控制措施 控制部门/ 控制频次 执行岗
每次
检查资料
R-SH-XR-0101
规章制度的制定具有法律 规章制度与现行法律相抵触 制度的制定应坚持合法、合规的原则, 依据 、不合法 遵守国家法律法规及上级规范性文件 坚持民主、科学的原则科学设计制度规 规章制度的制定具有可操 规章制度可操作性差,造成 范,规范的制定应遵循客观实际,在工 作性 纸上谈兵,失去意义 作现状的基础之上进行制定,提高制度 规范的可操作性 总结以往规章制度建设的经验教训,借 规章制度较之以往的制度出 规章制度具有延续性及先 鉴其他公司规章制度建设的先进经验, 现脱节,或者没有体现明显 进性 使所制定的规章制度具有延续性和先进 的先进性 性。 只有制度而没有相配套的落 在高度重视规章制度制定的同时,采取 行政人事部 规章制度具有较好的执行 实措施,使规章制度失去执 有力措施狠抓规章制度的落实,是规章 及相关业务 力 行力 制度具有一定的执行力。 部门 规章制度实行统一归口,分级管理,分 工负责的管理体制;行政人事部负责规 章制度的综合管理工作。凡超越权限的 规章制度均视为无效。规章制度的效力 等级按照从高到低分为二个等级,依次 为公司基本规章制度、公司各部门制定 的有关专业规范 规章制度的制定按照立项、起草、审核 、审议、颁布的法定程序进行。规章制 度的综合管理部门应根据体制和管理的 创新需要及国家政策法规的发展变化, 及时对规章制度进行梳理,按法定程序 做好申报修订、废止的工作 公司风险控制部门以及规章制度综合管 理部门按照有关规定和本部门职责范围 风险控制部 对规章制度的实施予以监督,对违反规 及行政人事 章制度的行为进行严肃处理。各相关业 部 务部门根据其职责范围对有关专业规范 进行实施和监督工作
编制内控矩阵及查找内控缺陷
编制内控矩阵及查找内控缺陷一、编制内控矩阵内控矩阵是指针对企业的各项业务流程和风险进行分类分析,建立的一套内部控制体系,其主要作用是指导企业健全内部控制机制,保障企业运作的安全性和有效性。
企业编制内控矩阵的目的是识别业务流程中的关键环节、风险点以及对应的控制要素,为企业建立完善的内部控制体系提供指导。
编制内控矩阵的步骤如下:1.确定内控矩阵的范围和领域:在编制内控矩阵之前,需要明确编制的内控矩阵的范围以及需要覆盖的业务领域。
例如,可以选择涵盖企业的财务管理、采购管理、销售管理、人力资源管理等方面。
2.识别业务流程中的关键环节:对于不同的业务流程,需要仔细识别其中的关键环节,包括所涉及的流程、部门、人员以及资源等。
这需要全面考虑业务流程中所有的环节,从而识别并深入了解每个环节的风险点和控制要素。
3.评估风险点的重要性:对于识别出的风险点,需要结合实际情况对其进行评估,包括对其直接或间接影响的程度、概率等因素进行分析和评估。
这是因为不同风险点的影响和风险程度可能存在差异,相应的控制要素也需要针对性的进行制定。
4.确定控制要素:在评估风险点的基础上,可以确定相应的控制要素,包括控制目标、控制标准、控制流程等,并对不同阶段的内部控制要素进行分类。
5.制定内控矩阵:在明确了控制要素后,就可以根据不同的业务流程、部门和环节,制定相应的内控矩阵。
内控矩阵可以使用表格或者流程图等形式,清晰地给出企业的业务流程、风险点、控制要素等信息,以帮助企业深入了解和完善内部控制机制。
二、查找内控缺陷通过编制内控矩阵,企业能够清晰地识别和了解企业的业务流程以及相关的风险点和内部控制要素。
然而,内控矩阵的制定和使用并不能完全杜绝内控缺陷的出现。
当企业发现内部控制机制存在问题时,应及时采取措施,切实加强内部控制。
以下是查找内控缺陷的一些方法:1.观察和检查:企业可以通过对业务流程的观察和检查,找出内控缺陷的关键点。
例如,检查资金流向、账目记录的准确性、票据、凭证等是否齐全、真实、准确,并在此基础上识别和解决存在的问题。
信息管理内部控制制度模板范文(六篇)
信息管理内部控制制度模板范文第一章总则第一条为规范和加强公司的信息管理,确保信息的安全、准确、完整、及时,提高信息的获取、处理、传递和利用的效率,严格控制信息系统的风险,特制订本制度。
第二条本制度适用于公司及所有部门、分支机构、子公司以及各级人员的信息管理活动。
第三条信息管理活动指包括信息系统建设、信息资源管理、信息技术应用、信息安全保障等全部与信息管理相关的工作。
第四条信息管理应坚持服务于业务、科学管理、信息化建设与管理相结合的原则。
第五条信息管理活动应依法、合规、规范进行,强调风险管理和内部控制的要求,并不断完善和提高信息管理水平,促进信息化建设与管理的协调发展。
第六条公司应制定完整的信息管理制度体系,包括本制度、信息安全管理制度、标准与规范等制度。
第七条公司的信息管理活动应坚持公正、公平、公开的原则,依法、依规进行。
第八条公司应建立和完善信息管理组织体系,确保信息管理工作的有效开展。
第九条公司应完善信息管理的相关培训体系,提高员工的信息管理能力。
第十条公司应采用先进的信息技术手段,提高信息管理的效率和质量。
第二章组织与责任第十一条公司应设立信息管理部门,负责公司的信息管理工作。
第十二条信息管理部门的职责包括:组织制定公司的信息管理制度、规范公司的信息管理活动、协调各部门的信息管理工作、建立和完善信息管理体系、提供信息技术支持、进行信息安全保障等。
第十三条信息管理部门应建立有效的工作机制,确保信息管理工作的正常开展。
第十四条公司应设立信息管理委员会,负责决策公司的信息管理政策、规划和重大事项。
第十五条信息管理委员会的成员由公司的高级管理人员和相关专家组成,通过常务委员会决策,履行决策、协调、指导的职责。
第十六条所有部门、分支机构、子公司应配备专职或兼职的信息管理人员,负责本部门、分支机构、子公司的信息管理工作,协助信息管理部门完成信息管理任务。
第十七条信息管理人员应具备相应的专业知识和能力,参加相关的培训,不断提高信息管理水平。
信息管理内部控制制度模板(五篇)
信息管理内部控制制度模板以下是一个信息管理内部控制制度的模板:1. 内部控制概述- 1.1 内部控制的定义和目标- 1.2 内部控制的重要性和作用- 1.3 内部控制的基本原则2. 信息管理内部控制职责和权限- 2.1 内部控制的责任分工- 2.2 内部控制的决策权限3. 信息资产保护控制- 3.1 信息资产的分类和重要性评估- 3.2 信息安全政策和规程- 3.3 信息安全风险评估和控制- 3.4 信息资产的备份和恢复- 3.5 信息资产的访问控制4. 数据完整性和准确性控制- 4.1 数据收集和录入的控制- 4.2 数据处理和修改的控制- 4.3 数据存储和传输的控制5. 信息系统和技术控制- 5.1 信息系统的安全控制- 5.2 网络和通信设备的安全控制- 5.3 数据库和文件系统的安全控制- 5.4 信息系统的性能和可用性控制6. 内部审计和监督控制- 6.1 内部审计的目标和作用- 6.2 内部审计的程序和方法- 6.3 内部审计报告的使用和追踪7. 监督和反馈控制- 7.1 监督和反馈的渠道和机制- 7.2 监督和反馈的周期和频率- 7.3 监督和反馈的结果和效果8. 内部控制问题的解决和改进- 8.1 内部控制问题的分析和评估- 8.2 内部控制的改进计划- 8.3 内部控制的改进执行和监督以上是一个信息管理内部控制制度的基本模板,根据具体的情况可以对各部分进行修改和补充。
同时,根据企业的实际情况,可以增加其他需要强调的部分。
信息管理内部控制制度模板(二)抱歉,由于篇幅限制,我无法为您提供____字的信息管理内部控制制度模板。
但我可以为您提供一个简单的模板作为参考。
请参考以下内容:信息管理内部控制制度模板(三)一、引言本文档旨在规范和指导组织内部信息管理的相关控制措施,以确保信息的保密性、完整性和可用性,并帮助组织合规经营。
本制度适用于所有相关人员,包括但不限于员工、合作伙伴和供应商。
内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
内控矩阵、流程图、内控手册-内部控制“三大利器”
怎样填写内控自评问卷
该部分内容与前期各试点单位内控矩阵相一致,包括控制目标、控制活动及责任部门。供自评单位问卷填写人员参照。 该部分内容无需自评问卷填写人员填写。
怎样填写内控自评问卷
若自评单位的实际流程和控制责任部门与左栏“关键控制活动描述”和“控制责任部门”相同,则请填写“是”。不一致则填写否。
建议
整改责任部门
整改完成时间
GF-IA-01
内部环境
制度管理机制不全面
在访谈和穿行测试中我们发现,部分制度下发后,没有明确的跟进要求和追踪管理,未被转化为子公司自身的制度;部分制度制定年份较早,已不能适应企业当前的发展需要。进一步了解后我们发现,公司尚未制定系统的制度管理办法,未能就各项管理制度的制定、下发、跟踪与更新进行规范。
建立制度管理办法,明确在制度管理中各相关部室的权责与分工、制度的编制与发布、制度的下发与跟踪、制度的更新与记录、制度的归档与保存等管理要求,确保: 1.制度管理的权责分工明晰; 2.制度的编制经过适当的审核与法定的表决程序; 3.制度下发过程中确保接收方了解应对制度进行何种处理;并对制度的落实和转化情况进行跟踪; 4.制度能够适时地得到更新,更新内容可供单独查询,制度更新以标准版本号标识; 5.制度得到妥善的归档与保管。
控制目标ቤተ መጻሕፍቲ ባይዱ号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全管理员
3
操作日志或记录审核记录
1.6第三方人员管理
1.1
1.2
2.1
2.2
经营风险:第三方合作单位管理不到位,造成系统泄密或受到非法访问。
1.6.1总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全保密协议。
总部各部门
分(子)公司
3
安全保密协议
1.1
1.2
2.1
2.2
经营风险:对第三方人员用户权限管理不规范,导致对系统的非法或非授权访问。
总部各部门
分(子)公司
5
程序和数据访问管理制度
1.10.3
2.6.4
2.14.20
1.2 用户权限管理
1.1
1.2
经营风险:用户权限管理不规范,导致对系统的非法或非授权访问。
1.2.1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
分(子)公司
3
介质存放及访问记录
1.1
1.2
2.3
经营风险:备份数据可读性测试不及时,导致系统数据丢失,系统无法恢复。
4.2.5系统管理员至少每半年对备份数据进行一次可读性测试。
总部各部门
分(子)公司
3
可读性测试记录
1.1
1.2
2.3
经营风险:备份数据恢复性测试不及时,导致系统数据丢失,系统无法恢复。
总部各部门
分(子)公司
1.1
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
3.2应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
3.3系统初始化管理
1.2
2.3
2.4
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
分(子)公司
3
问题处理记录单
1.1
1.2
2.3
经营风险:未制定应急预案或培训不到位,员工不能及时正确处理突发事件或故障,影响系统安全稳定运行。
4.3.4系统应用部门会同信息管理部门制订系统应急预案,并至少每年对业务人员、系统管理员、应用管理员进行一次系统应急预案的培训。
总部各部门
分(子)公司
3
应急预案培训记录
总部各部门
分(子)公司
3
用户权限审批表
1.1
1.2
经营风险:数据库用户权限管理不规范,导致对系统的非法或非授权访问。
1.2.2对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责人审批后,由系统管理员在数据库中新增、变更或锁定用户权限。
总部各部门
分(子)Байду номын сангаас司
3
用户权限审批表
1.3用户帐号及访问管理
11.4应用系统IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.程序和数据访问
1.1
2.3
2.4
经营风险:程序和数据访问制度不健全,导致信息系统应用管理不规范、运维不及时。
总部各部门
分(子)公司
3
用户帐号清单
1.4密码管理
1.1
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
系统管理员
应用管理员
3
日志备份记录
1.1
1.2
2.3
经营风险:备份介质管理不规范,导致备份数据丢失、泄密,系统无法恢复。
4.2.4应用管理员(系统管理员)每月将备份介质与生产服务器异地存放,并由专人管理。备份介质存放要有记录,介质访问人员须经相关部门负责人授权并填写访问记录。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
1.1
1.2
2.3
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
4.3.3对系统运行出现的故障,相关人员需填报问题处理记录单,详细记录问题处理情况,其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等,并审核确认。
总部各部门
1.10.3
2.6.4
2.14.20
4.2数据备份及恢复
1.1
1.2
2.3
经营风险:备份策略和备份方案不完善,数据备份不及时、不成功,导致系统数据丢失,系统无法恢复。
4.2.1应用管理员(系统管理员)至少每月做一次数据全备份,并检查数据备份日志,确认备份是否成功。对备份异常情况进行记录,同时检查备份数据的可读性。
2.程序变更
1.1
1.2
经营风险:程序变更制度不健全,导致信息系统应用管理不规范、运维不及时。
2.1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。
总部各部门
分(子)公司
4
程序变更管理制度
1.10.3
2.6.4
2.14.20
2.4信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理,记录每次变更的版本号,存档变更文档和变更升级程序。
总部各部门
分(子)公司
3
变更记录
3.程序开发
1.1
2.1
2.2
经营风险:技术方案不合理,系统功能存在问题,导致应用系统不能满足生产经营管理业务需求。
3.1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《11.1信息系统管理业务流程》执行。
分(子)公司
3
系统运行监控报告
1.1
1.2
2.3
经营风险:系统日志审核不到位,导致系统问题不能及时处理,影响系统稳定运行。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
1.1总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
1.6.2第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限),经需求部门负责人审核后提交信息管理部门(责任处(科)室)负责人审批,由应用管理员在系统中新增或变更其帐号及权限。到期后必须及时删除或锁定第三方人员的帐号。
总部各部门
分(子)公司
3
用户权限审批表
1.1
2.1
经营风险:系统登录控制功能不健全,导致对系统的非法或非授权访问。
1.3.1操作人员访问应用系统时,必须输入用户帐号和密码。
总部各部门
分(子)公司
2
用户登录截屏
1.1
1.2
经营风险:账户共享,导致责任不清;系统账户审核清理不及时,导致对系统的非法或非授权访问。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。应用管理员至少每半年打印一次用户帐号权限清单,并由相关部门负责人审核。
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档;
在职情况审查记录
1.1
1.2
经营风险:安全管理员监督不到位,系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
总部各部门
分(子)公司
3
数据备份日志或记录
1.1
1.2
2.3
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
1.1
1.2
2.3
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
系统管理员
应用管理员
安全管理员
3
管理员更换密码记录
1.5系统管理员、应用管理员、安全管理员管理
1.1
1.2
经营风险:系统、应用管理员岗位设置不合理、授权不规范,导致对系统的非法或非授权访问。
1.5.1系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则,且不得拥有应用系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况进行审查。