东西湖区教育局信息系统管理风险内部控制办法 (试行)

东教〔2018〕25号

发布时间:2018-12-05 15:27:10 来源:本站原创 发布人:办公室管理员 浏览次数:

第一章 总则

第一条 为加强信息系统管理风险内部控制,提高信息系统建设与管理的规范性、科学性和信息化对财政业务管理的支撑与流程控制能力,根据《东西湖区教育局内部控制基本制度(试行)》(以下简称内控基本制度)等有关规定,结合工作实际,制定本办法。

第二条 本办法所称信息系统管理风险是指信息化建设制度、规划和标准或安全措施不到位、运行维护不规范,导致系统故障影响工作、数据丢失、信息泄露的可能性。根据风险事件的情节轻重、影响范围和程度,分为重大风险和一般风险两个等级;按照风险来源和性质,分为制度流程风险、岗位职责风险和廉政风险三种类型。

第三条 信息系统管理风险内部控制目标是通过对信息系统的统筹管理,实行流程固化控制和风险预警提示,强化系统运行维护和权限管理,保障信息系统和数据安全。

第四条 本办法适用于局机关各科室、局属各单位。

第五条 信息系统管理风险内部控制职责分工:

(一)局内控委负责审定信息系统管理风险内部控制政策制度,审定风险事件等级和解决方案,审定责任追究建议。

(二)局内控办根据内控基本制度履行职责,参与风险事件调查,参与研究制定风险事件解决方案,提出风险定级和责任追究建议,督促落实内控委决定。

(三)系统建设单位对系统管理风险内部控制负主责。会同内控办、信息系统归口管理部门进行风险事件调查,研究制定风险事件解决方案,提出风险定级和责任追究建议,落实内控委决定。

(四)信息系统归口管理部门对局信息系统管理风险内部控制提供技术支持,负责信息系统的网络安全。参与风险事件调查和研究制定风险事件解决方案,配合提出风险定级和责任追究建议。

(五)各系统使用单位对本单位信息系统管理实施持续有效风险防控,及时向系统建设单位和内控办报告风险防控情况,重大事项随时报告。

第二章 信息系统建设管理风险防控

第六条 信息系统建设管理风险是指未遵循信息化建设相关制度和标准规范要求,导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同,影响流程固化,造成控制能力弱化,妨碍信息系统在教育管理中发挥整体效用的可能性。

第七条 信息系统建设管理风险主要体现在信息系统新建、改造和实施的过程及环节。

第八条 信息系统新建、改造和实施的风险与防控。

(一)信息系统新建、改造、实施的风险类型和风险点(详见表1):

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.信息系统建设未按程序进行审批,自行随意开发、建设和实施 重大 系统建设单位
2.系统建设方案未遵循信息化建设管理标准规范,升级改造项目业务需求未考虑与原有系统业务功能的整合 一般 系统建设单位
岗位职责 风险 1.对信息系统新建、改造和实施方案,审核把关不严,导致系统存在重大漏洞 重大 系统建设单位
2.对属于政府采购范围的信息系统建设,未按规定组织政府采购 重大 系统建设单位
3.信息系统未组织测试、试运行和验收直接上线运行;未根据试点中发现的系统缺陷,研究提出系统完善意见;系统推广未制定科学合理的实施方案 重大 系统建设单位
4.不配合参与系统测试、试运行、验收,导致系统建设进度严重滞后 一般 系统使用单位
5.等级保护为三级以上的信息系统与互联网应用系统未经有安全测评资质的第三方评估验收合格,直接上线运行 重大 系统建设单位
6.重大项目未经有资质的造价机构进行预算造价 重大 系统建设单位
7.重大项目未经有资质的监理机构进行监督实施 重大 系统建设单位
8.重大项目未经有资质的审计机构进行决算审计 重大 系统建设单位
廉政风险 信息建设和实施中,存在不廉洁行为 重大 系统建设单位

表1 信息系统新建、改造、实施风险类型和风险点

 

(二)信息系统新建、改造和实施风险防控措施:

1.信息系统建设要与全市教育系统、东西湖区政务云平台、武汉智慧城市建设以及“互联网+”行动计划的各项要求对接,避免重复开发建设。

2.系统建设单位应遵循信息化建设管理标准规范,科学制定项目建设方案,涉及系统升级改造和变更需求应充分延续和保护系统已有功能,做到需求明确、详尽,并按规定履行审批程序和政府采购手续。

3.建立健全信息系统建设协调机制,在业务需求调研、设计开发等工作中,加强业务与技术的衔接配合。计财科应对信息系统项目建设方案严格把关。

4.系统建设单位要制定科学周密的系统应用实施方案。明确软硬件采购、硬件入网测试、软件分发、部署安装、使用培训等环节时间节点和责任人,保障系统推广实施质量。

5.信息系统应经过严格的测试、试运行,要组织有资质的第三方,对等级保护为三级以上的信息系统与互联网应用系统开展安全评估,并出具安全评估报告,待验收合格后方能上线运行。

6.各系统使用单位要积极配合系统建设单位,开展信息系统维护管理,及时反馈所发现的问题和意见建议,配合对信息系统进行完善。

7.参与信息系统建设的人员必须严格遵守相关法律法规和廉政纪律,签订信息保密协议。

8.对信息系统新建、改造立项审批、开发、测试、验收等工作实行流程控制。

第三章 信息系统业务流程管理风险防控

第九条 信息系统业务流程管理风险是指业务流程未完全固化在信息系统中,未实现有效控制,导致内部系统控制能力弱化的可能性。

第十条 业务流程管理风险主要体现在业务流程固化设计、流程控制与预警机制设定、信息系统流程应用等过程及环节。

第十一条 业务流程固化设计的风险与防控。

(一)业务流程固化设计的风险类型和风险点(详见表2):

表2 业务流程固化设计风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.信息系统流程固化和管理控制,未彻底解决手工操作财政业务存在的管理风险,造成重大责任事故 重大 系统建设单位
2.未及时提出业务流程变更需求,而影响流程固化 重大 系统建设单位
3.业务流程变更过于频繁,影响系统的稳定性 一般 系统建设单位
4.信息系统对业务流程固化设计不合理 一般 系统建设和使用单位
5.业务年度开始后,对信息系统的固化流程不按要求随意修改 重大 系统建设和使用单位

(二)业务流程固化设计风险防控措施:

 

1.系统建设单位应对业务流程进行全面梳理、分析和细化,科学设定业务流程各环节,将控制措施嵌入信息系统,实现操作过程电子留痕,责任可追溯。

2.经过固化的系统业务流程,系统建设单位不得随意变更。确需变更的,要充分考虑与原有业务的衔接。

第十二条 流程控制与预警机制设定的风险与防控。

(一)流程控制与预警机制设定的风险类型和风险点(详见表3):

表3 流程控制与预警机制设定风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.系统对不相容岗位(职责)分离措施不到位,出现重大责任事故 重大 系统建设单位
2.未设置流程控制措施、预警机制或设置不合理 一般 系统建设单位
岗位职责 风险 系统在授权设置上不合理,出现重大责任事故 重大 系统建设单位

(二)流程控制与预警机制设定风险防控措施:

 

1.系统建设单位会同办公室、监审科组织建立授权管理体系, 制定授权控制说明书,明确各岗位的授权主体、范围与权限,科学分配权力,确保各岗位人员在授权范围内开展工作,切实达到分事行权、分岗设权、分级授权的要求。

2.系统建设单位要根据业务工作流程,结合不相容岗位职责分离规定,提出关于职责分离的系统建设要求。

3.系统建设单位应根据控制措施,合理设置预警规则。

4.系统建设单位要指导系统开发商严格按需求进行系统开发。

5.系统建设单位要严格按需求组织系统测试和验收。

第十三条 信息系统流程应用的风险与防控。

(一)信息系统流程应用的风险类型和风险点(详见表4):

表4 信息系统流程应用风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.未对信息系统制定使用操作规程 一般 系统建设单位
2.系统动态监控措施不到位 一般 系统建设单位
岗位职责 风险 未经授权擅自进入信息系统操作,造成重大责任事故 重大 系统建设和使用单位
廉政风险 不相容岗位违规联合操作牟利 重大 系统建设和使用单位

(二)信息系统流程应用风险防控措施:

 

1.系统建设单位要制定信息系统操作规程,加强培训,确保各系统使用单位正确应用信息系统。

2.系统建设单位应强化系统动态监控,通过自动报警、日志管理等机制,及时发现异常或违反内部控制要求的操作。

3.系统建设单位应加强对发现问题的跟踪处理,定期向内控办报告问题的发现和处置情况,重大问题随时报告。

4.系统使用单位应严格按照操作规程,根据授权,正常操作信息系统。

第四章 系统业务数据管理风险防控

第十四条 系统业务数据管理风险是指在信息系统承载的业务数据应用和管理过程中,由于提供的数据不规范、不遵守共享权限规定、未进行有效的备份、违规操作和使用数据等原因,导致数据管理违反工作要求,影响财政工作和领导决策的可能性。

第十五条 系统业务数据管理风险主要体现在对系统业务数据的获取与提供、数据管理和安全保密等过程及环节。

第十六条 系统业务数据的获取与提供的风险与防控。

(一)系统业务数据的获取与提供的风险类型和风险点(详见表5):

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.内部互相提供业务数据未履行审批程序或程序履行不到位 一般 系统使用单位
2.向外单位提供业务数据未履行审批程序或程序履行不到位 重大 系统使用单位
岗位职责 风险 1.使用数据的权限配置不正确,扩大数据共享范围,造成严重影响 重大 系统建设单位
2.未按照数据提供的办理时限要求,造成重大影响 重大 系统使用单位
3.在数据使用过程中,违规操作,发生泄密事件 重大 系统使用单位

表5 系统业务数据的获取与提供风险类型和风险点

 

(二)系统业务数据的获取与提供风险防控措施:

1.系统使用单位在获取或提供数据时,要严格按照《武汉市政务数据资源共享管理暂行办法》、《武汉市政务云平台数据资源安全管理实施细则》的要求,坚持“先审查,后提供”和“一事一审”原则,做到有理有据,及时、高效、安全。

2.系统建设单位要按要求设置数据共享权限。

3.系统使用单位要严格按数据共享权限和审批程序获取或提供业务数据。

第十七条 数据管理和安全保密的风险与防控。

(一)数据管理和安全保密的风险类型和风险点(详见表6):

表6 数据管理和安全保密风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.未明确数据库系统管理员及其职责、权限,影响系统数据安全 重大 系统建设单位
2.未建立数据备份与恢复、定期存档机制,导致数据丢失 重大 系统建设单位
3.信息系统数据库管理未落实岗位分离制度,存在安全保密隐患 重大 系统建设单位
岗位职责 风险 在数据存储、复制转换过程中,未遵照保密规定进行操作,发生泄密事件 重大 系统建设和使用单位
廉政风险 利用业务数据牟取私利 重大 系统建设和使用单位

(二)数据管理和安全保密风险防控措施:

 

1.系统建设单位应会同系统使用单位建立规范的数据管理机制,严格控制数据操作使用权限、共享使用范围,按规定进行数据使用授权,实现数据应用安全可靠,数据使用申请、审核和操作流程可控可管。

2.系统建设单位应明确数据库系统管理员职责,按照不相容岗位分离的原则,由专人负责数据库的维护管理工作,建立数据库操作日志、台账,做到操作留痕。

3.系统建设单位应加强对接触数据库的人员管理,严格控制数据管理和操作权限,并与相关的外部维保公司签订安全保密协议,保密协议需报局办公室备案。

4.系统使用单位应树立规则意识和安全意识,严格按权限使用数据,加强痕迹管理,做到责任可追溯,防止数据外泄。

5.系统建设单位要对信息系统的数据进行每日备份,对系统新建、改造和运行维护中产生的相关软件和数据要制作成电子档案,交局档案室存档。

第五章 信息系统安全管理风险防控

第十八条 信息系统安全风险是指在信息系统建设、应用与运行维护过程中,由于信息安全意识淡薄、管理制度不健全、安全防护技术或管理措施不到位,导致系统权限被冒用,重要信息泄漏、篡改的可能性;或信息系统自身抵御外部攻击能力不强,突发事故处理机制不到位,造成信息系统瘫痪、业务中断、数据丢失等的可能性。

第十九条 信息系统安全管理风险主要体现在信息系统建设、运行维护、使用、应急处置等过程及环节。

第二十条 信息系统建设安全管理的风险与防控。

(一) 信息系统建设安全管理的风险类型和风险点(详见表7):

表7 信息系统建设安全管理风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.在系统建设、改造过程中,未按规定作安全等级规划并实施 重大 系统建设单位、 信息系统归口管理部门
2.信息系统安全建设和管理制度不完善 一般 系统建设单位、 信息系统归口管理部门
3.系统建设时未考虑安全功能的实现 重大 系统建设单位
岗位职责 风险 未严格执行信息系统安全建设制度 重大 系统使用单位

(二)信息系统建设安全管理风险防控措施:

 

1.局办公室会同信息系统归口管理部门负责信息系统、网络安全规划、建设和安全管理。

2.系统建设单位提出信息系统业务需求方案时,应评估业务系统和数据的安全需求,按照等级保护的标准要求,提出系统定级建议,落实等级保护管理要求。

3.信息中心负责组织对信息系统进行等级测评,系统建设单位协同实施。

第二十一条 信息系统运行维护安全管理的风险与防控。

(一)信息系统运行维护安全管理的风险类型和风险点(详见表8):

表8 信息系统运行维护安全管理风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.未明确信息系统日常维护职责分工,或职责落实不到位 一般 系统建设单位
2.未明确信息系统网络安全职责分工,或职责落实不到位,操作不规范 一般 办公室
岗位职责 风险 1.进出机房无登记、运行维护工作内容无记录、操作过程未留下痕迹 一般 信息中心
2.主机房、涉密机房等重要部位的安全保卫、消防、监控、供电等工作职责执行不到位 重大 信息中心
3.未定期开展网络安全检查,安全保护措施不到位 一般 信息中心

(二)信息系统运行维护安全管理风险防控措施:

 

1.系统建设单位应明确信息系统日常维护职责分工,加强对数据操作权限和操作行为的管理与审计,加强对业务系统操作人员的安全管理,规范安全操作行为。

2.信息系统维护工作必须取得系统建设单位授权,做到操作留痕。运行维护操作完成后,系统建设单位需对完成情况和效果进行确认。

3.信息中心应明确信息系统网络维护人员职责,加强网络管理人员安全意识,规范安全操作行为。

4.严格执行机房管理制度,进出主机房的人员应完整填写相关登记表,详细说明要解决的故障、涉及的设备、信息系统和数据。外部人员进入主机房需有系统建设单位人员陪同;原则上不得进入涉密机房,且不得携带存储介质,确有需要的,需有信息中心专人陪同,并严格进行登记管理。

5.定期开展网络安全检查,落实有关网络管理规定的要求,不断完善内外网络安全防护措施。

第二十二条 信息系统使用安全管理的风险与防控。

(一)信息系统使用安全管理的风险类型和风险点(详见表9):

表9 信息系统使用安全管理风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.离职、退休和临时借调人员离局时,未交回和注销涉密存储介质、数字证书及介质USBKey、电子印章、IP地址、邮箱账号、应用系统账号等各种信息资源 重大 系统使用单位、局办公室
2.安全保密培训及信息安全技术培训欠缺 一般 系统建设单位
岗位职责 风险 1.业务人员不严格执行相关保密规定,存在存储介质交叉混用、业务系统随意外联、违规修改技术参数等违规行为 重大 系统使用单位
2.不经批准随意委托其他人员代为操作业务系统;未经批准私自嵌入操作软件 重大 系统使用单位
3.人员岗位变更后未及时更改权限,导致授权不严格 重大 系统建设和使用单位
4.出现系统使用安全事故后未调查评估,并未进行整改 重大 系统建设和使用单位、内控办

(二)信息系统使用安全管理风险防控措施:

 

1.系统使用人员应规范使用外部存储介质,禁止导入未经安全检查的文件和数据,防止病毒侵入。

2.加强对岗位变动人员的业务资料移交管理,做到登记清楚、账实相符。

3.系统建设单位、信息系统归口管理部门每年开展至少一次系统安全培训,切实提高系统使用人员的安全意识和安全风险防范能力。

4.系统使用单位应加强对个人计算机、IP地址、邮箱账号、数据库和应用系统账号、电子印章、数字证书USBKey等各种信息安全资源的安全管理,禁止随意更改计算机配置和参数、安装来历不明的软件、连接其他网络和设备等,防止对工作造成损失。

5.系统建设单位要根据岗位和人员变动情况及时调整权限设置。

6.系统使用单位变更权限应提交经主要负责人签字或加盖单位印章的书面申请。

第二十三条 信息系统应急处置管理的风险与防控。

(一)信息系统应急处置管理的风险类型和风险点(详见表10):

表10 信息系统应急处置管理风险类型和风险点

 

风险类型 风险点 风险等级 责任主体
制度流程 风险 1.针对可能发生的各类安全突发事件缺乏应急预案 重大 系统建设单位
2.应急预案内容不完善 一般 系统建设单位
3.未组织应急演练 一般 系统建设和使用单位
4.信息系统运行环境保障落实不到位 一般 局办公室
岗位职责 风险 1.发现可导致重大事件的问题,未及时报告和处置 重大 系统建设和使用单位
2.对风险等级判断不准确,造成处置失误 重大 系统建设单位

(二)信息系统应急处置管理风险防控措施:

 

1.系统建设单位会同局办公室负责编制信息系统应急预案,组织相关单位进行应急演练,提高应急能力和水平。发生突发事件时,各相关单位和人员迅速按应急预案规定履行职责。

2.局办公室会同信息系统归口管理部门组织针对办公及门户网站、信息系统运行环境、网络安全等突发事件的应急演练和应急处理。

3.系统使用单位要服从应急管理、参加应急演练、履行应急职责。

第六章 附则

第二十四条 本办法由内控委负责修订,由内控办会同办公室负责解释。

第二十五条 本办法自发布之日起实施。