前言:中文期刊网精心挑选了信息系统管理办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息系统管理办法范文1
管理办法
为进一步加强我县扶贫开发建档立卡工作规范化、制度化建设,明确管理权限,落实责任,规范系统操作,实行建档立卡贫困对象动态管理,确保数据的真实性、准确性、有效性和稳定性,特制定本管理办法。
一、适用范围
第一条
本办法适用于《全国扶贫开发信息系统》,在扶贫开发建档立卡实施工作中负有信息采集、数据录入、管理职权的单位和工作人员。
二、工作职责
第二条
县扶贫办负责全县《全国扶贫开发信息系统》贫困村、贫困人口的审核、查询、运用等工作。
1.县级信息管理员不得少于3人,负责组织开展全县扶贫开发建档立卡信息系统管理人员业务培训,掌握网络应用软件各模块流程及相应关系,负责对乡镇操作进行答疑、指导等工作。
2.对各级扶贫开发信息系统数据进行监测、维护。
3.严格执行保密制度,做到贫困户信息不外泄。
4.县级管理员要妥善保管好用户名和密码,不得转借他人。
5.负责协调系统用户权限的调整。
第三条
乡镇扶贫攻坚办负责扶贫开发建档立卡系统的具体录入管理工作。
1.各乡镇要确定2-3名信息管理人员,负责对本乡镇建档立卡贫困村、贫困户信息系统数据进行录入和管理,非系统管理人员不得对信息系统进行操作。
2.信息管理员要妥善保管好本人的用户名和密码,不得转借他人。如确需授权他人使用,须经乡镇分管领导签字后方可授权。
3.乡镇系统管理员要负责本乡镇录入建档立卡贫困人口、贫困村信息质量,保证信息录入真实、准确。
4.熟练操作各级扶贫开发信息系统,掌握各模块的操作流程及相应关系。及时对扶贫开发建档立卡对象有关内容进行更新、录入和上网运行,按时做好年度动态调整、数据更新、上网运行等工作,系统人员信息有变动须及时对数据进行备份。
5.对系统数据进行日常检查维护,定期查找各模块的错误项,对错误项及时进行修正清洗,确保数据质量。原则上每月5日之前,向县扶贫办报送一次错误信息修改情况。
6.凡新增、删除、动态调整建档立卡贫困人口、贫困村信息,须经行政村摸排,乡镇分管领导和主要领导签字后,方可调整。做好信息变更和改动内容、时间及变更人的记录,内容要详细、真实,每次改动都要做记录,包括时间、原因、更改内容等。
7.为了确保数据的时效性,系统管理员须及时对系统内数据信息进行备份。按时采集、录入、调整扶贫开发建档立卡贫困户、贫困村信息,保证扶贫开发建档立卡工作正常开展。
第四条
行政村负责辖区内贫困人口信息的采集和录入工作。
1.各行政村要确定1名信息管理员,驻村工作队员要配合做好信息采集工作。按时采集、录入、调整扶贫开发建档立卡贫困户、贫困村信息,保证扶贫开发建档立卡工作正常开展。
2.各驻村工作队要会同村“两委”定期和不定期的入户走访和调查,准确掌握本辖区所有贫困户的家庭生活变化情况,并及时做好记录,留存好纸质材料,以便系统开放时及时录入更新。
3.各驻村工作队要会同村“两委”做好贫困村、贫困人口个人信息和家庭信息的采集、审核工作,及时上报乡镇进行录入。要保证贫困村、贫困户各类信息采集和录入的真实性和准确性。
第五条
全国扶贫开发信息系统数据管理内容。
1.国网系统放开权限可修改的数据。贫困人口动态管理时,县级权限与乡镇权限一样的,由省扶贫办放开相关权限,按照省扶贫办要求,全县统一进行动态管理。一是贫困户基本信息(基本情况、家庭成员信息、致贫原因、收入情况、生产生活条件、帮扶责任人)。二是贫困村基本信息(①基本情况,②发展现状:包括收入情况、社会保障、村级道路畅通、饮水安全、农村电力保障、危房改造、特色产业增收、乡村旅游、卫生和计划生育、文化建设、贫困户信息化等信息,③驻村工作队情况)。三是自然村(村民小组)信息(①基本情况,②生产生活条件)。四是每年脱贫户、出列村的标注和贫困户属性变更。
2.国网系统日常可修改的数据。县级可以修改贫困户属性、姓名和证件号码等信息。乡镇要修改以上信息,乡镇需先上报名单,由县扶贫办放开权限后方可进行录入。乡镇可以录入其他基本信息。
三、数据运用
第六条
数据共享。充分发挥行业部门涉贫数据统计职能,围绕建档立卡数据采集总体工作,统筹整合各部门统计力量,做好任务分工,着力解决数据重复统计与无人统计并存统计口径不统一、工作进度不一致等问题。县扶贫办定期(4月、10月各一次)向相关行业部门提供最新数据信息,特殊情况根据实际提供相关数据信息。县扶贫办对提供的数据真实性负责,不再对部门落实政策数据进行核实。各行业部门要定期向县扶贫攻坚办提供政策落实台账,原则上每年两次。
第七条
应急处理。对于因自然灾害、火灾、交通事故等意外事件,家庭成员突发重大疾病等原因,导致基本生活出现严重困难的家庭。严格按照“户主申请、村委会审查、乡镇政府审核、县扶贫办审批”的程序进行申报,国网系统尚未录入之前,由县扶贫办向相关行业部门进行发函说明,新增对象可以同等享受我县精准扶贫相关政策。
四、责任追究
第八条
有下列情况之一的,给予相关责任人相应处理。
1.不能按时采集贫困村、贫困户相关信息影响系统录入进度的追究信息采集人员责任,信息录入人员未能及时录入扶贫开发建档立卡贫困户、贫困村信息的,影响扶贫开发建档立卡工作正常开展的,追究录入相关责任人责任。
2.贫困户信息采集不精准的,追究信息采集直接责任人的责任,信息录入不精准的,追究系统录入直接责任人的责任。在各级检查、督查、巡察、审计中因贫困户信息采集、录入不精准造成不良后果或重大影响的追究直接责任人、分管负责人和主要负责人责任。
3.乡镇系统管理员未经乡镇分管领导和主要领导批准擅自改动系统建档立卡贫困户信息的追究系统管理员责任。
4.系统管理员、信息员未经领导批准私自将用户名、密码转借他人或泄露的,追究系统管理员、信息员责任。
5.随意泄露贫困户信息造成不良影响的,追究泄露信息直接责任人责任。
6.其它违反扶贫开发工作政策和有关法规的行为。
第九条
依照本办法和有关法规对有关责任人进行处理,由县扶贫办会同县纪委(监委)按照管理权限和规定程序办理。
信息系统管理办法范文2
[关键词]发电企业;班组管理;信息系统
doi:10.3969/j.issn.1673 - 0194.2015.22.079
[中图分类号]TP311.52 [文献标识码]A [文章编号]1673-0194(2015)22-0-02
班组是发电企业管理的基础,是实现生产和经营目标的关键,发电企业的生产、技术、经济、政治活动最终都要通过班组来落实进行。国家通过深化发电体制改革,来提高发电行业整体竞争力,而班组作为发电企业最基层的生产经营组织,其建设管理水平的高低,直接决定了企业的竞争力和可持续发展能力。因此,搞好班组建设管理,是发电企业一项重要且需要长抓不懈的基础工作。通过建设班组管理信息系统进一步加强发电企业基层班组建设,强化班组基础管理,明确班组管理的基本任务、内容和要求,实现班组相关工作的信息化、无纸化和网络化,提升班组的管理水平;同时,为班组员工提供规范化的的基础资料,班组员工通过学习、积累工作经验,促进班组员工业务素质提升,切实提高班组综合管理水平,树立发电企业“五星班组”和“优秀班组”的先进性、示范性典型,实现“标准化、规范化、精细化”目标,全面提高企业核心竞争力。
1 系统概述
通过信息系统来简化班组管理的繁杂工作,有效减轻了班组成员管理和工作负担。建立起科学、规范的班组台账管理。加强主管部门对班组工作的检查和指导,架起联系和沟通的桥梁。系统集成星级考核标准,班组通过初始建标,形成该班组星级评定考核评价体系,实现部门自评、公司考评的网络流程控制,改善评价考核方法,实现了班组管理标准化,提高了管理效率和班组成员的工作积极性。
2 系统特色
班组管理的核心在于班组考评管理。考评的有效运作,会达到奖励先进,鞭策后进,激励共同进步,提高业绩的目的。在本系统中企业各级领导对班组工作可以进行全方位的考评,根据安全生产标准化建设标准各项内容对进行考评,包括评估项目、建设标准、评估方法、存在问题以及得分,多人考评,最后得出平均得分,以此进行企业各级的评比。
依据企业制定的评分准则,由上级组织、开展对下级的检查和评分活动,根据其评分权重计算出最终的考评分数。考评又分部门自评和公司级考评,最终通过一定的计算规则求得一个得分率,此得分率与班组的星级相关。可以对考评项目、考评结果进行查询、导出,以方便发现积极优秀的一面并发扬光大,并能及时对减分的项目进行分析、改进,提高日常工作水平。
3 系统功能
3.1 组织建设
机构建设:班组设立五大员,并组织机构健全和明确职责及分工,共同参与班组的管理。各岗位标准齐全,并不断根据实际情况进行修编,记录各岗位人员的岗位标准,可以更好的完成岗位标准所要求的工作。
制度建设:上传各班组人员的岗位安全责任书,相关的行业标准、规范、上级部门和本企业颁发的相关管理制度,根据实际情况制定本班适用的管理制度。
精神文明与团队建设:班组成员富有团结协作精神,工作自觉、主动、具有较强的执行力,遵守社会公德、职业道德,对于出现不团结情况和班组间不合作的情况和有违纪行为的予以考评扣分。记录各班组人员参加的参加公司内政治学习,对学习情况进行有效的登记、管理。
班务会:对班组每月召开的班务会进行管理,记录班员对安全生产和班组管理的意见和建议,管理职工开展的合理化建议活动。
3.2 基础管理
定制管理:对工作场所、办公场所(班房)以及值班室、交接班室、休息室等实行定置管理,制作清晰明了的定置图,上传定制文件。
培训管理:培训功能分为专业技术培训,班组安全培训,培训基础设施的创建及管理三个部分。上传相关附件,如培训学习签到表、培训考试照片、考试试卷、成绩文件、教材资料等。
工器具管理:建立工器具台账清册,并进行编号,实物与台账编号一致,建立日常保管检查责任制,明确专人负责,设置工器具定检周期,对于达到检定日期的工器具,及时提示相关人员送检。
图纸和资料管理:管理生产所需的技术图纸和资料,并保证图纸和资料准确、有效、受控。当设备系统变更后,及时更新图纸及相关资料,系统自动记录,不再适用的图纸资料作废处理。
可追溯性记录管理:管理班组在工作中产生的需保存的记录,如交接班记录、设备异动记录、检修记录、检定记录等,登记班组工作日志、运行值班记录、安全活动记录、技术培训记录、事故障碍异常或未遂记录。
个人防护用品管理:建立防护用品台账和维护记录。
3.3 安全工作管理
安全分析会:生产班组发生事故、障碍、异常或未遂时,班长及时组织班员召开安全分析会,找出事发原因,制订防范措施,跟踪措施落实情况,查清原因、制订反措、吸取教训、落实整改。
安全活动:学习有关法律法规、规程制度、企业标准,传达贯彻上级有关安全生产文件;通报安全生产情况;分析典型事故案例;总结分析班组近期安全工作情况;跟踪检查安全整改及反事故措施的落实情况;安排近期安全生产工作,布置安全注意事项。制订相关应急预案,应急预案演练。
危险源辨识与控制:充分识别在生产活动中本班组工作范围的危险因素,对识别出的危险因素分级管理,有效控制,对重大危险源有控制措施,并按月跟踪记录,每年对危险源辨识结果进行更新。
工作风险分析:工作前进行工作风险分析,对存在风险的工作根据危险源辨识结果充分分析工作风险,并制订防范措施进行有效控制。在完成工作风险分析后对承包商进行书面安全交底。
消防安全管理:班组指定义务消防人员,明确义务消防员职责,定期参加义务消防活动。制订与本专业相关的防火措施,并参加应急预案演练。
车辆管理:建立班组机动车辆档案,指定车辆负责人,记录日常使用、维修、安全行驶等内容。
3.4 生产过程控制
安全生产目标:班组根据公司、部门的年度安全生产目标,逐条分解制订班组的年度安全生产目标。
安全工作计划:班组月度工作计划及总结,包括本月工作总结、下月工作计划、安全目标总结,对存在的问题采取有效措施,确保年度目标的实现。
班前会、班后会:开工前,班组长结合当班运行方式和工作任务,合理分配工作,交代注意事项;班后会中班长组织班员认真评价和总结工作任务完成情况,查找问题和差距,提出整改意见。
安全检查:生产班组每月开展一次安全检查,重点是查安全思想、查规程制度、查标准化作业的薄弱环节、查设备缺陷和事故隐患等。并对检查结果进行跟踪整改。
不合格控制:对内、外审等发现的相关不合格项提出整改计划,按计划整改,闭环管理。
安健环事件管理:登记、上报安健环事件(包括未遂类)。发生事故、障碍、异常或未遂时,班长及时组织班员召开安全分析会,找出事发原因,制订防范措施,跟踪措施落实情况。
应急管理:根据风险评估结果和可能发生的紧急情况,制订相应应急预案清单。对应急方案制订培训计划并实施。
危险品管理:对使用、存放及工作中可能接触到的危险化学品品建立清单,记录危险化学品相关特性及注意事项。
计划工作观察(PJO):计划工作观察,包括所有危险工作及主要作业活动,观察地点,观察时间,被观察人包括全体班员。
承包商管理:对承包商工作人员进行安健环与技术交底并留有记录,承包商对施工项目制订安健环措施,监督管理。
运行和检修班组控制:包括运行和检修班组相关的两票管理、检修作业文件管理、备品备件管理、设备台账管理等功能。
3.5 考评管理
考评统计:查看所有班组季度考评工单明细,进行班组的部门自评统计和公司级考评统计。
考评应得分管理:管理、生成各班组每个季度的考评应得分。
公司级考评管理:管理设置每个季度需要进行公司级考评的班组。
季度评星:查看各班组的季度评星情况,计算班组得分率。按得分率高低进行排名。
部门自评分提交状态:查看各班组部门自评考评的提交状态,提交后部门不可再对提交季度的班组进行考评打分。
公司级考评提交状态:查看各班组公司级考评的提交状态,由季度评星中操作,提交后不可再考评打分。
考评班组执行负责人:设置各班组接受执行考评工单的负责人,如果不设置考评时就只能选择班组成员,无法选择该班组之外的人员。
信息系统管理办法范文3
第一章 总则
第一条 为规范机构编制管理,提高编制资源效用,实现我市机构编制综合管理信息系统维护使用的制度化,特制定本办法。
第二条 本办法所指机构编制综合管理信息系统是纵向联接市、区(市)、街(镇)三级,横向覆盖所有机关事业单位的机构编制与人员信息综合管理平台。
第三条 本系统的维护使用应遵循以下原则:
(一)集中统一原则。系统采用统一的软件平台、统一的指标体系、统一的维护标准、统一的使用要求。
(二)及时准确原则。系统中机构编制与人员信息须实时更新,确保与机构编制文件、人员实际配备相一致。
(三)资源共享原则。机构编制系统内互联互通、实时监控,并与组织、人社、财政等部门信息共享。
第二章 维护
第四条 市编委办全面负责系统的技术开发与推广应用,监督指导各区(市)编委办和市直机关事业单位做好信息维护管理。
第五条 系统中的信息指标,包含机构编制信息指标和人员信息指标,所有信息指标的维护应做到应填尽填,真实、准确。
第六条 系统中机构编制信息由市和各区(市)编委办分别维护。
市本级机构编制信息由市机构编制电子政务中心在文件印发后5个工作日内完成信息更新,市编委办行政处、事业处对相关信息进行核对。
区市机构编制信息由各区(市)编委办在文件印发或按权限报市编委办备案后5个工作日内完成信息更新,市编委办区市处对相关信息进行核对。
第七条 系统中人员信息维护包括机关事业单位因录(聘)用、调入、任命领导干部等人员入编,因退休、调出、辞职、辞退等人员出编以及人员职务等基本信息发生变化的情况。
市本级机关事业单位人员信息维护由市直部门在人员变化5个工作日内提交信息更新申请,由市编委办监督检查处审核确认后,完成相关人员信息更新。
区市机关事业单位人员信息维护由各区(市)编委办负责组织,确保在人员变化5个工作日内完成信息更新。
第三章 使用
第八条 本系统是机构编制精细化管理的重要载体,为机构编制核查、统计,用编进人计划管理,领导职数管理,机构编制“实名制”管理,以及建立机构编制电子文件数据库等提供技术支撑。
第九条 系统中所有机构编制与人员信息直接反映机关事业单位编制资源配置和使用现状,各级机构编制部门可根据权限和需求对系统中的机构编制与人员信息进行实时查询,并作为机构编制统计、核查的重要依据,按规定上报的所有机构编制统计、核查数据应当与系统信息相一致。
第十条 系统中单位和人员信息是用编进人计划管理的重要依据,各级机关事业单位在申请用编进人计划时,应当首先对人员信息进行核对,并通过系统提交业务申请。经核准的用编进人计划通过系统予以确认,并赋予编制使用核准通知单编号,无用编进人计划的系统自动限制增人。
第十一条 系统中领导职数和实际配备情况是各级机构编制部门审核领导职数的参考,各级机关事业单位在办理领导职数备案时,应当确保备案材料与系统数据一致。
第十二条 系统中实有人员信息是机构编制“实名制”管理的重要内容,是判定人员是否占用编制的重要依据。各级机关事业单位办理实名制登记备案时,通过系统提交的相关人员信息,经机构编制部门审核后纳入“实名制”数据库,并作为面向社会进行“实名制”公示的唯一依据。
第十三条 完善系统历史数据,按年度逐步建立全市机构编制电子文件数据库,为机构编制改革与管理提供服务。
第四章 监督
第十四条 市编委办适时开展系统维护使用专项检查,对有关信息进行专项核对,对信息维护不规范、不及时,或漏报、瞒报的,暂停受理用编进人计划、实名制登记和领导职数使用等机构编制事项,并根据机构编制相关规定,追究有关人员责任。对因此造成超编进人、“吃空饷”等违规的,按有关规定处理。
第十五条 系统中所有机构编制及人员信息仅供各级用户内部管理使用,未经批准不得自行对外,因相关信息泄露导致失泄密或需要承担法律责任的,按规定追究有关人员责任。
第五章 附则
第十六条 本办法由市机构编制委员会办公室负责解释。
信息系统管理办法范文4
关键词: 高职 《会计电算化》课程 教学模式
一、高职《会计电算化》课程现有教学模式的缺陷
1.教学对象定位不准,内容缺乏针对性。
首先,我院《会计电算化》课程在教学设计上片面强调服务社会、具备复合型信息系统管理技能、与职业胜任能力接轨,对选课学生基础能力和计划培养能力层面要求较高,忽略了我院学生的实际素质,定位严重不准。其次,相关专业主干课程之间内容衔接度差,进而影响到《会计电算化》课程教学模式的整体规划。
2.教学资源不充分,技能培养不到位。
教学资源不充分,首先体现在《会计电算化》课程的实训条件上,不具备实训所需的软、硬件。其次是校企合作不深入,双师资历及兼职教师相对欠缺。最后是教学实践的教材不合理,课时安排不充分。这三方面的不足,导致《会计电算化》课程教学的取向偏离该门课程教学目标的设定。
3.片面追求实践操作,轻理论讲授,学生实务动手应变力差。
《会计电算化》所具备的严密的理论体系,是指导学生正确实践会计信息系统管理的准绳,若仅片面重视该门课程的实践操作,而轻视对理论指导的学习,学生往往只知其一,不知其二,无法积累相应的实践操作经验,在不断变化的实务环境中,不知变通,实务独立操作能力差。
4.课程考核主体单一,评价指标单一,与培养目标不匹配。
现阶段我院对该门课程考核的由院方实施,主体单一化,且仅采用笔试考试,不注重实务部门操作能力的考核,方式机械,与《会计电算化》课程应该具有较强实践性和社会适应性不匹配,与培养目标不匹配。
二、《会计电算化》课程的教学特征和教授要求
《会计电算化》作为一门专业必修课程,具有如下特征:其一是综合性强,适用层面广,教学内容涉及面宽;其二是理论体系严密,技术要求规范,教学要求较高;其三是实践操作性强,教学资源要求相对完善;其四是更新速度快,教学内容与时俱进。
因而,随着信息技术的快速发展和管理要求的不断提高,在对《会计电算化》课程实施教学活动中,既要重视基本技能和专业技能的传授,又要重视基本理论知识的教授讲解,更要重视实践教学环节对学生应用技能的培养。同时,国家关于会计、会计电算化、信息化执业中的政策法规、管理办法、职业道德等相关内容也是这门课程教授中必不可少的。要完成如此艰巨的教学任务,《会计电算化》课程必须克服现有教学模式的缺陷,探索重建行之有效的教学模式。
三、重构《会计电算化》课程教学模式
本文结合《会计电算化》的课程特征与教学要求,以“行为主义教学理论”为基础,围绕着教学模式的五要素,构建“基于理论+基于项目+基于信息系统与ERP平台+基于实践”的有效教学模式,以满足《会计电算化》培养会计信息系统管理复合型后备人才的要求。该模式主体内容如下。
1.以“行为主义教学理论”为理论基础,构建创新教学模式。
以“行为主义教学理论”为理论基础,即将“刺激-反应”原理运用到该门课程的教与学中。具体来说就是针对课程特征与教学要求,为培养会计信息系统管理人才提供特定的环境与机制刺激,以引起学生的特定学习反应,从而系统地掌握会计信息系统管理的理论知识、实践操作技能,形成较高的职业素养。根据这一教学理论,本文重设了适用于我院《会计电算化》课程的教学模式。
2.构建“基于理论+基于项目+基于信息系统与ERP平台+基于实践”的课程教学模式。
该模式首先是基于理论。在《会计电算化》课程教学设计上,首先要立足于会计信息系统管理的法律法规准则、理论方法、规范指南等。这些理论是指导会计信息系统管理实践,规范实践的约束性政策。
其次是基于项目。把项目管理理论运用至该课程的体系架构,采用项目化开发方式驱动课程。基于平台,要明确界定学习《会计电算化》课程的不只是局限于掌握某种财务软件。基于实践,理论是指导实践的导向,实践则是升华理论的载体。
3.以项目化功能模块为驱动主体,科学化教学,课程对象与教授内容精准定位,因人制宜。
要发挥出该教学模式的效力,首先要在课程对象与教授内容上做到精准定位,因人制宜。其次要科学改善教学方法与手段,变教师本位为项目驱动。其实施的关键是:首先要做好会计电算化课程教学的整体规划,组合优化各种教学资源,遵循服务社会和职业胜任的原则确立针对该课程教学目标的具体能力目标的实施项目;其次要根据选定的实施项目科学设计教学步骤、加强校企合作,并创设仿真教学情境;最后要以项目问题为导向,进一步落实实践环节,顶岗实习,工学结合,理实一体。
课程教学目标定位不能过高,也不能过低,否则导致课程设计缺乏针对性。
4.课程考核主体多元化、方式多维化有效。
根据《会计电算化》课程教学目标,制定出多元有效的课程考核体系。一是考核主体多元化,由学生、教师、实践专家共同参与;二是考核方式多维化,比如可以实施阶段考核与期末考核相结合、校内考核与校外考核(如认证考试)相结合、理论考核与实训考核相结合等,多管齐下,共同保障《会计电算化》课程教学模式的有效实施,促进教学目标的实现。
四、结论与建议
我院与其他部分高职院校《会计电算化》课程的教学实践证明,“基于理论+基于项目+基于信息系统与ERP平台+基于实践”的新课程教学模式是能够满足教学要求,增强教学效果的教学模式。该模式在《会计电算化》课程中的应用有助于实现培养会计信息系统管理的复合型后备人才的教学目标。但是,应该看到,在该模式的实施中,还需要重点做好教学总体规划、具体能力目标设计、教学环节紧密衔接、实训场景及资源设计、实践基地筛选建设、教学效果实时反馈总结等具体工作,以更好地为教学目标服务。
参考文献:
[1]丁修平.会计电算化教学项目开发设计问题研究[J].中国校外教育,2011,(12).
信息系统管理办法范文5
内容摘要:本文详细介绍了电信行业的信息技术一般性控制的内容。首先介绍了国际上通用的信息技术内部控制的理论框架以及中国内部审计协会的内部审计第28号具体准则――信息系统审计的内容,并结合实践对电信行业信息技术一般性控制的系统范围、实施框架及信息技术一般性控制问题及改进措施进行了研究,以期为电信行业不断完善信息技术一般性控制体系提供理论参考。
关键词:内部控制 信息系统审计 信息技术一般性控制
美国的《萨班斯法案》404条款对企业的内部控制提出了严格规范,要求在美上市的公司按照404条款推荐的COSO框架建立起完善的公司内部控制体系,并对企业的公司治理、IT治理及IT控制提出了更严格的要求。同时其第二审计准则也提出了对信息技术的要求,如审计准则#40“……需要测试的控制包括其他控制所依赖的信息技术一般性控制……”,审计准则#5“……程序开发、程序变更、计算机运行、运行和数据访问等各方面的控制保证了业务处理的有效运行……”等等。
中国电信在2006年初启动了“与财务报告相关的信息技术内部控制(简称IT内控)”项目,项目涉及电信总部及20个上市子公司,建立起全公司的IT内部控制体系,并对发现的差异及不足开展深入细致的整改;自此历年完善,均顺利通过各年度外部审计。信息技术一般性控制作为电信IT内控的重要组成部分,一方面企业的组织、流程、系统是不断调整转变的,信息技术一般性控制的内容也应随之调整完善,满足SOX的合规性;另一方面为提升企业自身的IT治理水平,信息技术一般性控制也是一种加强IT管控和有效实现IT治理的重要手段。
信息技术一般性控制理论概述
(一)COBIT框架
美国IT治理协会(IT Governance Institute)于1996年颁布的COBIT,是国际上最具权威和最通用的有关IT控制和治理框架规范;2004年该协会颁布了COBIT中与《萨班斯――奥克斯利法案》第404条款的IT内控框架。COBIT框架将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT框架可帮助企业来达到COSO的监控要求。
COBIT框架主要有三个维度IT流程、IT资源、IT信息准则。其中:IT信息准则包括质量、信用、安全;IT资源包括人员、应用系统、设施、技术、数据;IT流程包括领域、流程、活动。
COBIT给出了在不同的IT生命周期流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键控制点和需要达到的信息准则目标作出规定。
(二)内部审计第28号具体准则――信息系统审计
“内部审计第28号具体准则――信息系统审计2”是2009年1月由中国内部审计协会实施的,该准则明确规定了对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。其中,第21条针对信息技术一般性控制做了明确的规定:信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定地运行,支持应用控制的有效性。信息技术一般性控制包含了信息安全管理、系统变更管理、系统开发和采购管理和系统运行管理五方面控制内容。
(三)国内企业内部控制体系建设现状
继美国SOX法案颁布之后,财政部、证监会、审计署、银监会、保监会在此前的《企业内部控制基本规范》基础上,于今年联合了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。同时,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;之后将进一步扩大到在中小板和创业板的上市公司施行。
国内电信运营商作为在境外上市的国有超大型央企,将成为遵循中国企业内部控制规范体系的首批企业。一方面,当前国内企业还未大规模开展企业内部控制制度的建设,国内电信企业作为先行者,已按美国SOX法案要求于2006年开始初步建立了信息技术内部控制制度,积累了信息技术内部控制建设的宝贵经验,可为国内其他企业内部控制制度的建设提供参考借鉴。一方面,经过2008 年的运营商重组,电信行业进入全业务运营时代,业务、流程、系统的衔接变得更加复杂,对业务流程与系统支撑的要求越来越高;随着电信行业的快速发展和竞争的加剧,国内电信运营商的运营风险在逐步加大,加之行业监管力度的加强及中国企业内部控制规范的要求,电信运营商需要在更高层次上进一步完善内部控制体系。
信息技术一般性控制框架构建
在COBIT框架和内部审计第28号具体准则――信息系统审计的理论基础上,电信行业的信息技术一般性控制实施框架主要包括对程序和数据的访问、程序变更管理、程序开发、系统运行、最终用户计算控制五部分,其所具体包含的内容如下:
程序和数据的访问控制。涉及逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制等。
程序变更管理控制。涉及系统变更授权、系统变更的测试校验和批准、系统变更的移植、系统配置参数变更、紧急程序变更流程等。
程序开发控制。涉及系统开发审批授权、系统开发项目管理及开发方法、系统开发测试、数据移植等。
系统运行控制。涉及系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程等。
最终用户计算控制。涉及对影响财务报表的重要电子表格和其它用户自编程序。
根据信息技术一般性控制要求,从电信业务运营流程中梳理出对应的与财务报表相关的信息系统,由此梳理出纳入信息技术一般性控制涉及的信息系统如表1所示。
程序和数据的访问的控制要求如表2所示。
程序变更管理的控制要求如表3所示:
程序开发的控制要求如表4所示。
系统运行的控制要求如表5所示。
最终用户计算的控制要求如表6所示。
信息技术一般性控制问题及改进措施
电信实施信息技术一般性控制以来,发现的主要问题主要有政策和流程缺失、缺乏职责分工、缺少工作留痕、异地备份和恢复性测试这四个方面,本文将对这四方面存在的问题以及对于问题的改进方法进行详细阐述。
政策与流程缺失。问题主要在于信息系统维护管理的组织架构中缺少信息安全管理的岗位及职能,没有制定统一的信息安全政策、变更管理流程、信息系统开发方法与项目管理方法的政策与流程。对此,信息系统维护部门至少设立一个信息安全管理岗位,该岗位可专职或兼职,岗位工作职责应包括维护组织信息安全管理办法、负责对员工安全教育和宣贯、审阅超级用户的操作日志和系统安全日志等;建立或完善信息系统管理政策及流程,如制定统一的信息安全政策,包括网络安全、物理安全、操作系统安全、应用程序安全等方面;通过培训宣贯、监督检查等方式督促员工掌握并执行相关的信息系统管理政策和流程。
缺乏职责分工。主要出现在信息系统的维护管理缺乏有效的职责分离,个别信息系统的权限过于集中。具体存在两种情况:一是信息系统的系统管理人员同时身兼操作系统/数据库和应用系统管理员;二是各类信息系统均缺乏独立于系统管理员的日志审核人员。对此,操作系统管理员(或数据库管理员)和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员之间不能交叉兼任;在实际工作中,受到维护人员较少等客观因素的制约,可以通过交叉管理的方式解决实际的人员短缺等困难。例如有A、B两个系统 ,可以由A系统的管理员担任B系统的日志管理员,而A系统的日志管理员则由B系统的管理员担任,通过交叉审核达到要求。
缺少工作留痕。问题普遍存在日常工作中,对于所执行的操作、系统/日志的检查、定期审阅、授权、审核签字等过程中未能保留完整的书面记录。对此,应充分重视培养工作留痕、记录书面化的习惯,将此项工作纳入日常工作检查范围;公司统一使用信息技术一般性控制的文档模版,按控制要求所规定的执行频率进行填写,并保证主管/领导签字确认和统一归档备查。
异地备份和恢复性测试。由于存放环境等条件制约因素限制,大部分信息系统均未达到异地备份的要求;各类信息系统均未定期执行恢复性测试的工作。对此,介质存放的手段可以是通过DCN网、光纤传输到不同楼宇的存储服务器上,也可以利用DVD、磁带、移动硬盘等介质备份后送到异地;定期执行后保留书面记录;对于不存在测试环境的系统,可利用厂商的资源搭建测试环境,根据已确定的测试方法进行测试,并保留测试记录。
总之,本文详细介绍了电信行业的信息技术一般性控制的内容,结合实践对电信行业信息技术一般性控制的系统范围、实施框架进行了介绍,以期为电信行业不断完善信息技术一般性控制体系提供参考。
参考文献:
信息系统管理办法范文6
关键词:信息管理系统;物理安全;安全策略
信息化建设作为教育行业的重点发展方向,使得信息管理系统成为了教育信息化建设发展中的一个极其重要的工具。如何安全的利用这个工具提高教育服务的效率和质量是关系到教育信息化持续发展的重大问题。随着信息化程度的提高,使用信息管理系统开展工作覆盖了学院各个部门。信息管理系统的大量使用,使得建设安全的信息管理系统成为了维持学院各重要业务开展的首要问题。
1物理安全建设
物理安全建设主要包括了相关硬件设备的安全,以及存放硬件机房的环境安全。信息管理系统的硬件设备以及相关配件应该综合考虑防火(配备气体消防器)、防水防潮(避免进水漏水)、防雷击(建筑物防雷,设备增加避雷器,交流电源接地)、防静电(机房使用防静电地板,设备接地与屏蔽)还有电磁防护(接地,隔离和屏蔽)等问题。环境安全方面:信息管理系统的硬件存放机房位置的选择应该在周边人流量较少的地方。机房应配备精密空调,控制适当的温湿度;配备防盗措施、门禁系统,进入机房可以采用物理钥匙加识别系统的双重保险方式提高安全性,通过指纹、密码、磁性身份卡等手段对人员进行识别和记录管理;配备UPS不间断电源系统,保证信息管理系统的业务不因停电而中断;还应建立机房动环监控系统,对机房的动力电源、UPS不间断电源、消防系统、烟火、漏水、温度、湿度等方面进行监控,并对异常情况报警[1]。设备物理安全方面:应该增加专职安保人员专门针对机房所在区域进行的24小时的巡逻、检查,保障硬件设备的物理安全。产品厂商、技术人员等进入机房采用出入管理登记制度,严格查验有关证件,详细记录进出时间、进入原因以及进出人员等关键信息,并由管理人员陪同进入。建立机房日常巡查制度,每天安排管理人员进入机房进行常规检查,杜绝各种安全隐患。
2信息管理系统安全策略
安全策略对于信息管理系统安全来说是至关重要的。建立信息系统安全防范策略,建设全面的网络安全系统,确保系统安全、数据安全、应用安全和资源安全等。把防火墙、行为管理、入侵检测、病毒防护、VPN等安全系统和网管系统结合在一起,实现系统之间的联动和网络管理与安全的一致性,制定整体的、动态的网络安全管理策略,形成一个高效的安全防范体系。为了更好的防范网络攻击,保障学院各信息管理系统安全,采用了几点安全策略[2]:(1)更换传统防火墙为下一代防火墙(NGFW),能够进行入侵风险检测、实时漏洞风险检测、僵尸主机检测、DoS攻击检测、可以全面应对应用层威胁,使得网络安全性能大幅提高。(2)对各信息管理系统开展常态化的安全检查,主要针对SQL注入攻击、跨站脚本攻击、弱口令、木马病毒、端口开放情况、系统管理权限、访问权限和网页篡改等情况进行监控,检查保管系统安全日志。(3)建立了访问控制策略,通过ACL(访问控制列表)、行为审计设备、流控设备等方式设置访问控制安全策略,防止对任何资源进行未授权的访问,控制用户对服务器、目录、文件等网络资源的访问,提高网络整体安全性。(4)使用安全审计系统,建设了专门的审计监测服务器,联合成都市网监对各个应用系统重要安全事件进行审计,审计结果直接传送至成都市公安局网监大队,极大提高了突发事件的处理速度。(5)及时更新系统补丁,制定计算机病毒与恶意代码防护策略。严格对移动存储工具(介质)接入系统以及软件的安装进行管控,如需使用或安装必须经过专业查杀工具进行计算机病毒与恶意代码的检测。(6)容灾备份方面:对信息管理系统数据进行即时备份,当出现异常情况和设备故障时,能及时恢复业务,保证了数据的完整性。(7)应急处理方面:制定了系统安全应急预案,进行了系统安全事件演习,能够快速处理突发网络信息安全事故。
3信息管理系统安全管理
安全管理运行机制结构图1所示,在信息系统安全管理方面,健全了安全管理的运行机制,制定了《四川水利职业技术学院信息化工作管理办法》,成立了四川水利职业技术学院信息化工作领导小组,下设信息化办公室。学院各部门在学院信息化工作领导小组领导下开展信息化建设工作。各部门的主要负责人为本部门信息化工作的第一责任人,设置了信息化主管领导,具体负责本部门业务系统的规划、建设、推广及信息安全工作,负责信息化工作相关规章制度的贯彻执行;设置信息管理系统管理员工作岗位,配备相关专职(或兼职)技术管理人员,负责部门业务管理系统的及时更新与维护,保证系统的正常运行和安全性。信息系统安全管理另一个重要因素是人员培训。主要包括两个方面[3]:(1)系统的安全运行,整个过程都离不开系统管理人员的技术和管理能力,应对管理员进行系统的全面的培训,用以不断提升系统管理人员技术技能和安全意识,提升其抵御系统威胁的能力。(2)对于广大师生员工,也应该开展基础的网络信息安全方面和信息管理系统使用方面的培训;并通过多种手段对网络信息安全的制度、危害和防御手段等内容进行宣传,强化师生员工的信息安全意识,防微杜渐,防范于未然。
4结语
本文通过对四川水利职业技术学院信息管理系统安全建设多方面的实施和研究,学院信息系统安全方面整体情况较好,取得了不错的效果,尤其是在健全的管理机制、管理制度的制定和日常管理方面,比较完善规范。相信对于各兄弟高职院校信息管理系统的安全建设工作应该有所帮助和借鉴。
参考文献
[1]陈健峰.如何建设高安全性的信息系统[J].有线电视技术,2012,(1):65-68.
[2]黄斌.企业安全信息系统建设研究[J].计算机安全,2011,(12):47-50.
