九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

第一章  總則

第一條 為加強財政信息系統(tǒng)管理內(nèi)部控制，有效防控財政信息系統(tǒng)管理風(fēng)險，提高信息系統(tǒng)對財政改革和管理的支撐能力，根據(jù)《成縣財政局內(nèi)部控制基本制度》等有關(guān)規(guī)定，結(jié)合工作實際，制定本辦法。

第二條 本辦法所稱信息系統(tǒng)管理風(fēng)險，是指在信息系統(tǒng)建設(shè)和運行維護(hù)過程中，因相關(guān)管理制度、工作機制、標(biāo)準(zhǔn)規(guī)范和規(guī)劃方案不完善或執(zhí)行不到位，在信息系統(tǒng)建設(shè)、業(yè)務(wù)流程控制、數(shù)據(jù)應(yīng)用管理和信息安全等方面存在隱患，導(dǎo)致系統(tǒng)重復(fù)建設(shè)、碎片化、系統(tǒng)運行不穩(wěn)定、業(yè)務(wù)操作不受控、信息安全不可靠、信息化輔助管理決策能力弱化，系統(tǒng)無法有效發(fā)揮業(yè)務(wù)支撐與流程管控作用的可能性。

第三條 信息系統(tǒng)管理風(fēng)險主要包括信息系統(tǒng)流程控制風(fēng)險、數(shù)據(jù)管理與應(yīng)用風(fēng)險和信息安全風(fēng)險四個方面。根據(jù)風(fēng)險事件的情節(jié)輕重、影響范圍和程度，分為重大風(fēng)險和一般風(fēng)險兩個等級；按照風(fēng)險來源和性質(zhì)，分為制度流程風(fēng)險、崗位職責(zé)風(fēng)險、廉政風(fēng)險和外部風(fēng)險四種類型。

重大風(fēng)險：是指發(fā)生的風(fēng)險事件對信息系統(tǒng)管理產(chǎn)生重大負(fù)面影響，或者嚴(yán)重?fù)p害國家或部門利益的可能性。

一般風(fēng)險：是指發(fā)生的風(fēng)險事件對信息系統(tǒng)管理產(chǎn)生一定的負(fù)面影響，或者對國家或部門利益造成一定損失的可能性。

制度流程風(fēng)險：是指由于缺乏信息系統(tǒng)管理制度流程規(guī)定，或制度流程設(shè)計不合理、執(zhí)行不到位，導(dǎo)致信息系統(tǒng)管理不規(guī)范、不科學(xué)的可能性。

崗位職責(zé)風(fēng)險：是指由于崗位職責(zé)設(shè)定不明確、授權(quán)管理不到位，或履行崗位職責(zé)不作為、違背制度流程亂作為，導(dǎo)致信息系統(tǒng)管理不規(guī)范，影響工作質(zhì)量與進(jìn)度的可能性。

廉政風(fēng)險：是指信息系統(tǒng)建設(shè)管理人員憑借手中的權(quán)力，利用工作之便在信息系統(tǒng)管理工作中違反廉政規(guī)定謀求私利的可能性。

外部風(fēng)險：是指因外部客觀環(huán)境發(fā)生重大變化或外部信息不真實、不準(zhǔn)確，或者信息系統(tǒng)建設(shè)管理的外部參與單位履行職責(zé)不到位，導(dǎo)致信息系統(tǒng)建設(shè)管理不規(guī)范、影響工作質(zhì)量與進(jìn)度的可能性。

第四條 信息系統(tǒng)管理風(fēng)險內(nèi)部控制的目標(biāo)是，綜合運用信息化建設(shè)管理制度、標(biāo)準(zhǔn)規(guī)范和內(nèi)部控制方法，將信息系統(tǒng)管理風(fēng)險防控措施貫穿于信息系統(tǒng)建設(shè)、管理與應(yīng)用全過程，對信息系統(tǒng)建設(shè)、管理和應(yīng)用進(jìn)行全程控制；將內(nèi)控理念和控制活動、措施嵌入信息系統(tǒng)，對業(yè)務(wù)流程運行進(jìn)行實時監(jiān)控，最大限度減少人為操縱因素，確保系統(tǒng)運行協(xié)同、業(yè)務(wù)流程固化、業(yè)務(wù)管理銜接以及信息共享、數(shù)據(jù)安全。

第五條 本辦法適用于局機關(guān)各科（室、辦）、局屬各單位（以下簡稱“各科室單位”）。

第六條 局內(nèi)控委建立完善的信息系統(tǒng)管理風(fēng)險防控機制，明確各科室單位在信息系統(tǒng)管理風(fēng)險防控中的職責(zé)分工，有效控制信息系統(tǒng)管理風(fēng)險。

（一）局內(nèi)部控制委員會（以下簡稱內(nèi)控委）負(fù)責(zé)審定信息系統(tǒng)管理內(nèi)部控制政策制度，審定信息系統(tǒng)管理風(fēng)險事件定級和責(zé)任追究建議，提出加強和改進(jìn)措施。

（二）局內(nèi)部控制委員會辦公室（以下簡稱內(nèi)控辦）負(fù)責(zé)組織對信息系統(tǒng)管理內(nèi)部控制制度進(jìn)行有效性檢查、考核和評價，組織對信息系統(tǒng)管理風(fēng)險事件進(jìn)行調(diào)查，研究提出處理意見并向內(nèi)控委報告。督促落實內(nèi)控委決定，定期通報信息系統(tǒng)管理內(nèi)部控制制度執(zhí)行情況及重大風(fēng)險事件。

（三）信息管理科（數(shù)據(jù)網(wǎng)絡(luò)管理中心）負(fù)責(zé)信息系統(tǒng)管理風(fēng)險防控管理辦法的組織實施，及時發(fā)現(xiàn)信息系統(tǒng)管理風(fēng)險防控中存在的問題并提示有關(guān)科室，重大事項向內(nèi)控辦報告。定期向內(nèi)控辦報送信息系統(tǒng)管理風(fēng)險防控情況。

（四）各科室單位對本單位信息系統(tǒng)管理的重點業(yè)務(wù)環(huán)節(jié)實施持續(xù)、有效的風(fēng)險防控，及時向內(nèi)控辦和信息管理科報告本科室信息系統(tǒng)管理風(fēng)險防控及異常情況，積極協(xié)助專項檢查和調(diào)查。

第七條 信息系統(tǒng)管理風(fēng)險事件發(fā)生后，各科室單位應(yīng)在第一時間報告內(nèi)控辦和信息管理科。信息管理科會同有關(guān)科室單位及時采取應(yīng)對措施，最大程度避免或減少負(fù)面影響；在分清責(zé)任的基礎(chǔ)上，深入查找風(fēng)險事件發(fā)生的原因，提出解決方案、風(fēng)險定級和責(zé)任追究建議，向內(nèi)控辦報告，并有針對性地制定或完善制度措施。

第二章  信息系統(tǒng)建設(shè)管理內(nèi)部控制

第八條 信息系統(tǒng)建設(shè)管理風(fēng)險是指信息系統(tǒng)建設(shè)未遵循財政信息化建設(shè)歸口管理要求、一體化指導(dǎo)思想和信息化建設(shè)相關(guān)制度、標(biāo)準(zhǔn)規(guī)范，導(dǎo)致信息系統(tǒng)建設(shè)脫離統(tǒng)籌規(guī)劃、過程管理不規(guī)范、標(biāo)準(zhǔn)不統(tǒng)一、信息不共享、業(yè)務(wù)不協(xié)同，造成流程固化與控制能力弱化，影響信息系統(tǒng)在財政管理中的整體效用。

其中，重大風(fēng)險是指因違背財政信息化建設(shè)歸口管理要求，不執(zhí)行財政信息化建設(shè)規(guī)劃和年度計劃，擅自開發(fā)、推廣信息系統(tǒng)，導(dǎo)致信息系統(tǒng)重復(fù)建設(shè)、碎片化；或因業(yè)務(wù)需求不細(xì)化、流程不清晰，導(dǎo)致信息系統(tǒng)功能與性能嚴(yán)重缺失，未能有效支撐財政管理和流程管控，影響財政發(fā)展與改革及信息一體化建設(shè)效果，造成較大負(fù)面影響。

一般風(fēng)險是指執(zhí)行歸口管理的某些環(huán)節(jié)不到位，導(dǎo)致系統(tǒng)功能與性能不完善、運維響應(yīng)不及時等情況，一定程度上影響信息系統(tǒng)建設(shè)和應(yīng)用，對業(yè)務(wù)工作的正常開展帶來一定的負(fù)面影響。

第九條 信息系統(tǒng)建設(shè)管理應(yīng)遵循以下工作流程：

（一）總體規(guī)劃。信息管理科研究擬定財政信息化建設(shè)總體規(guī)劃，征求各科室單位意見后，報局信息化工作領(lǐng)導(dǎo)小組審批。

（二）年度計劃。各科室單位于9月底前書面提出本科室單位下一年度業(yè)務(wù)需求；信息管理科綜合各科室單位業(yè)務(wù)需求，統(tǒng)籌提出年度信息化建設(shè)項目及項目立項申請；局信息化工作領(lǐng)導(dǎo)小組審定年度項目計劃；所需經(jīng)費由辦公室審核并列入部門預(yù)算。

（三）政府采購。信息管理科會同項目需求科室編制項目采購文件，經(jīng)局信息化工作領(lǐng)導(dǎo)小組批準(zhǔn)后，按照政府采購法規(guī)及程序組織開展政府采購工作。

（四）建設(shè)實施。需求科室會同信息管理科組織項目實施。需求科室負(fù)責(zé)業(yè)務(wù)方面的組織協(xié)調(diào)，負(fù)責(zé)系統(tǒng)功能驗證、業(yè)務(wù)需求細(xì)化、系統(tǒng)推廣應(yīng)用及提出升級完善建議等。信息管理科負(fù)責(zé)技術(shù)方面的組織協(xié)調(diào)及技術(shù)保障、成果接收和升級完善等工作。信息管理科會同需求科室組織項目驗收。

（五）運維管理。信息管理科統(tǒng)一組織開展網(wǎng)絡(luò)、硬件環(huán)境和信息系統(tǒng)的運維工作，定期組織實施系統(tǒng)檢測與評估。（各科室單位已經(jīng)單獨建成并且自行運維的信息系統(tǒng)，逐步移交給信息管理科負(fù)責(zé)運維。）

第十條 信息系統(tǒng)建設(shè)管理風(fēng)險主要體現(xiàn)在歸口管理、總體建設(shè)規(guī)劃、年度項目計劃、政府采購、設(shè)計開發(fā)、驗收管理、組織實施、運行維護(hù)等過程或環(huán)節(jié)。

第十一條 歸口管理的風(fēng)險與防控。

（一）歸口管理風(fēng)險點：

（二）歸口管理風(fēng)險防控措施：

1.各科室單位在信息系統(tǒng)建設(shè)工作中，負(fù)責(zé)提出詳細(xì)業(yè)務(wù)需求，配合信息管理科開展系統(tǒng)需求調(diào)研、測試驗收、組織實施等工作中的業(yè)務(wù)協(xié)調(diào)，不得自行組織信息系統(tǒng)建設(shè)與實施。

2.信息管理科綜合分析各科室單位提出的業(yè)務(wù)需求，根據(jù)總體建設(shè)規(guī)劃，研究提出信息系統(tǒng)建設(shè)計劃，統(tǒng)一組織信息系統(tǒng)設(shè)計開發(fā)、推廣實施與運維管理。

3.各科室單位按規(guī)定履行會商、會簽、審批程序后，方可印發(fā)信息系統(tǒng)建設(shè)與推廣實施相關(guān)工作文件。

第十二條 總體規(guī)劃的風(fēng)險與防控。

（一）風(fēng)險點

（二）風(fēng)險防控措施

1.加強財政信息化建設(shè)總體規(guī)劃研究，強化頂層設(shè)計，既立足解決當(dāng)前業(yè)務(wù)管理需求，更著眼于上級部門信息化發(fā)展方針政策和財政改革發(fā)展要求，增強規(guī)劃的前瞻性、科學(xué)性和持續(xù)有效性。

2.各科室單位結(jié)合財政改革發(fā)展要求，及時向信息管理科提供業(yè)務(wù)管理規(guī)劃相關(guān)資料，確?？傮w建設(shè)規(guī)劃能充分體現(xiàn)各科室單位業(yè)務(wù)改革的推進(jìn)要求。

3.各科室單位不得自行制定、執(zhí)行本科室業(yè)務(wù)管理信息系統(tǒng)建設(shè)規(guī)劃，應(yīng)配合信息管理科將本科室業(yè)務(wù)管理需求全部納入總體建設(shè)規(guī)劃。

4.信息系統(tǒng)建設(shè)應(yīng)嚴(yán)格執(zhí)行總體建設(shè)規(guī)劃（局黨組要求的緊急業(yè)務(wù)事項除外），各科室單位依據(jù)總體建設(shè)規(guī)劃提出年度信息化建設(shè)業(yè)務(wù)需求；信息管理科依據(jù)總體建設(shè)規(guī)劃綜合分析業(yè)務(wù)需求，提出信息系統(tǒng)項目立項并組織建設(shè)。

第十三條 年度計劃的風(fēng)險與防控。

（一）年度項目計劃編制工作流程

1.各科室單位提出信息系統(tǒng)建設(shè)的業(yè)務(wù)需求。

2.信息管理科提出信息系統(tǒng)年度建設(shè)項目申請。

3.辦公室對項目申請進(jìn)行審核。重大項目組織專家論證和投資評審。

4.信息管理科編制年度項目計劃，并報信息化領(lǐng)導(dǎo)小組審定。

5.辦公室將審核通過的年度項目計劃列入部門預(yù)算。

（二）年度計劃風(fēng)險點：

（三）年度計劃風(fēng)險防控措施：

1.各科室單位提出信息系統(tǒng)建設(shè)的詳細(xì)業(yè)務(wù)需求，清晰設(shè)定業(yè)務(wù)流程，對相近、類似的業(yè)務(wù)需求進(jìn)行歸類，經(jīng)負(fù)責(zé)人審批并蓋章后提交信息管理科；業(yè)務(wù)需求涉及多個單位的，應(yīng)明確一個牽頭單位。

2.信息管理科綜合分析業(yè)務(wù)需求，結(jié)合總體規(guī)劃和信息系統(tǒng)建設(shè)成果，按照一體化建設(shè)要求整合需求，確定合理的需求實現(xiàn)方式，確立建設(shè)項目并提出立項申請，并分別編制項目建議書。

3.信息系統(tǒng)立項實行內(nèi)外部專家評審機制，組織信息系統(tǒng)立項申請審核時，評審人員不限于財政內(nèi)部，按需要邀請上級部門代表、外部專家參加。

5.信息管理科嚴(yán)格按照批準(zhǔn)的年度項目計劃組織開展信息系統(tǒng)建設(shè)，不得在年度項目計劃外開展信息系統(tǒng)建設(shè)。（局黨組要求的緊急業(yè)務(wù)事項除外）

第十六條 驗收管理的風(fēng)險與防控。

（一）信息系統(tǒng)驗收管理流程：

1.承建單位向信息管理科提出驗收申請。

2.信息管理科組織對信息系統(tǒng)驗收條件進(jìn)行審查，制定驗收方案。

3.信息管理科組建專家組進(jìn)行系統(tǒng)驗收，相關(guān)科室單位派人參加。

4.驗收專家組提出驗收意見。

（二）信息系統(tǒng)驗收管理風(fēng)險點：

（三）信息系統(tǒng)驗收管理風(fēng)險防控措施：

1.信息管理科負(fù)責(zé)組織信息系統(tǒng)驗收工作，按照國家相關(guān)法律法規(guī)規(guī)定的程序和要求進(jìn)行。

2.信息管理科收到承建單位驗收申請后，及時組織對信息系統(tǒng)是否具備驗收條件進(jìn)行審查，并通知相關(guān)科室準(zhǔn)備用戶報告；相關(guān)科室對信息系統(tǒng)功能與性能、應(yīng)用情況做出客觀真實評價，按時出具用戶報告。

3.不斷完善信息系統(tǒng)驗收條件、評價標(biāo)準(zhǔn)和驗收指標(biāo)體系，確保驗收結(jié)論真實可靠。

4.信息管理科負(fù)責(zé)組建驗收專家組，專家組成員應(yīng)覆蓋財政內(nèi)外、技術(shù)與業(yè)務(wù)領(lǐng)域。

第十七條 組織實施的風(fēng)險與防控。

（一）信息系統(tǒng)組織實施風(fēng)險點：

（二）信息系統(tǒng)組織實施風(fēng)險防控措施：

1.信息系統(tǒng)上線運行前必須進(jìn)行試運行并通過驗收。

2.信息管理科綜合分析信息系統(tǒng)實施的業(yè)務(wù)與技術(shù)要求，制定詳細(xì)的實施方案；相關(guān)科室提供信息系統(tǒng)實施所需的相關(guān)數(shù)據(jù)資料。

3.信息管理科負(fù)責(zé)信息系統(tǒng)的推廣實施、實施系統(tǒng)版本管理和向用戶單位分發(fā)軟件，版本更換要履行規(guī)定程序。

第十八條 運行維護(hù)管理的風(fēng)險與防控。

（一）信息系統(tǒng)運行維護(hù)管理風(fēng)險點：

（二）信息系統(tǒng)運行維護(hù)管理風(fēng)險防控措施：

1.健全和完善市財政局IT運維服務(wù)管理辦法，制定相關(guān)實施細(xì)則，規(guī)范運維工作程序，明確運維工作范圍。

2.信息管理科負(fù)責(zé)組織信息系統(tǒng)運維工作，嚴(yán)格按照市財政局IT服務(wù)管理相關(guān)制度辦法開展，確保信息系統(tǒng)安全可靠運行。相關(guān)科室應(yīng)配合做好運維工作的監(jiān)督與評價。

3.采購運行維護(hù)單位時，針對信息系統(tǒng)情況定性和定量設(shè)定條件，確保運維單位能夠勝任運維工作。

4.各科室單位根據(jù)信息系統(tǒng)使用情況，及時向信息管理科反饋信息系統(tǒng)存在的問題。

第三章  信息系統(tǒng)流程控制管理內(nèi)部控制

第十九條 信息系統(tǒng)流程控制風(fēng)險是指業(yè)務(wù)流程未完全固化在業(yè)務(wù)生產(chǎn)系統(tǒng)和辦公自動化系統(tǒng)中、固化在信息系統(tǒng)中的業(yè)務(wù)流程未完全實現(xiàn)有效控制、業(yè)務(wù)處理未完全通過信息系統(tǒng)執(zhí)行，導(dǎo)致信息系統(tǒng)支撐促進(jìn)內(nèi)部控制工作能力弱化的可能性。

其中，重大風(fēng)險是指因業(yè)務(wù)流程未固化在業(yè)務(wù)生產(chǎn)系統(tǒng)和辦公自動化系統(tǒng)中，或固化在信息系統(tǒng)中的業(yè)務(wù)流程未實現(xiàn)有效控制，或業(yè)務(wù)處理未通過信息系統(tǒng)固化的流程進(jìn)行等情形發(fā)生，嚴(yán)重影響內(nèi)部控制效果。

一般風(fēng)險是指因業(yè)務(wù)流程在業(yè)務(wù)生產(chǎn)系統(tǒng)和辦公自動化系統(tǒng)中固化程度不夠，或固化在信息系統(tǒng)中的業(yè)務(wù)流程控制不完善，導(dǎo)致內(nèi)部控制目標(biāo)某些方面或環(huán)節(jié)失效。

第二十條 流程控制風(fēng)險主要體現(xiàn)在業(yè)務(wù)管理流程化設(shè)計、控制措施與預(yù)警機制設(shè)定、信息系統(tǒng)實現(xiàn)、信息系統(tǒng)流程應(yīng)用等方面。

第二十一條 信息系統(tǒng)固化和管控業(yè)務(wù)流程的程序：

1.各科室單位梳理完善業(yè)務(wù)流程。

2.各科室單位明確業(yè)務(wù)流程各環(huán)節(jié)控制活動、控制措施等。

3.各科室單位提出業(yè)務(wù)流程固化和管理控制的業(yè)務(wù)需求。

4.信息管理科綜合分析業(yè)務(wù)需求。

5.信息管理科負(fù)責(zé)通過信息系統(tǒng)實現(xiàn)業(yè)務(wù)流程固化和管理控制。

第二十二條 業(yè)務(wù)管理流程設(shè)計風(fēng)險與防控。

（一）業(yè)務(wù)管理流程設(shè)計風(fēng)險點：

（二）業(yè)務(wù)管理流程設(shè)計風(fēng)險防控措施：

1.對于手工操作存在管理風(fēng)險的財政業(yè)務(wù)，必須通過信息系統(tǒng)固化流程。

2.各科室單位應(yīng)按照業(yè)務(wù)實現(xiàn)的時間順序和邏輯順序，對需要通過信息系統(tǒng)固化的業(yè)務(wù)流程進(jìn)行全面梳理、分析和細(xì)化，科學(xué)設(shè)定業(yè)務(wù)流程各環(huán)節(jié)，確保各環(huán)節(jié)既覆蓋業(yè)務(wù)管理全過程又利于倒查問題根源。

3.各科室單位應(yīng)將整理好的業(yè)務(wù)流程形成書面材料。

4.各科室單位應(yīng)切實結(jié)合財政管理和改革的實際需要，審慎處理流程變更，避免流程變更的隨意性。若確需變更，要充分考慮與原有業(yè)務(wù)的銜接。

第二十三條 控制措施與預(yù)警機制設(shè)定風(fēng)險與防控。

（一）控制措施與預(yù)警條件設(shè)定風(fēng)險點：

（三）控制措施與預(yù)警條件設(shè)定風(fēng)險防控措施：

1.各科室單位應(yīng)結(jié)合本單位業(yè)務(wù)和流程，全面梳理所涉及的不相容崗位，明確各個環(huán)節(jié)的崗位設(shè)置及職責(zé)。

2.各科室單位應(yīng)對不相容崗位（職責(zé)）實施分離措施，明確細(xì)化職責(zé)，形成各司其職、各負(fù)其責(zé)、橫向與縱向相互制約監(jiān)督的工作機制。

3.各科室單位應(yīng)建立授權(quán)管理體系,明確各崗位的授權(quán)主體、范圍與權(quán)限，科學(xué)分配權(quán)利，確保各崗位人員在授權(quán)范圍內(nèi)開展工作，切實達(dá)到分事行權(quán)、分崗設(shè)權(quán)、分級授權(quán)的要求。

4.各科室單位應(yīng)根據(jù)控制措施，合理設(shè)置預(yù)警條件。

5.各科室單位應(yīng)制定書面的崗位職責(zé)說明及授權(quán)控制說明。

第二十四條 信息系統(tǒng)實現(xiàn)風(fēng)險與防控。

（一）信息系統(tǒng)實現(xiàn)風(fēng)險點：

（二）信息系統(tǒng)實現(xiàn)風(fēng)險防控措施：

1.各科室單位提出需要通過信息系統(tǒng)實現(xiàn)的業(yè)務(wù)流程及其控制活動、控制措施等，形成業(yè)務(wù)需求方案，經(jīng)科室負(fù)責(zé)人審批并蓋章后提交信息管理科。

2.信息管理科對業(yè)務(wù)需求進(jìn)行分析。若業(yè)務(wù)需求不符合信息系統(tǒng)開發(fā)設(shè)計要求，信息管理科提出改進(jìn)建議并退回；科室將業(yè)務(wù)需求修改完善后重新提交。

3.信息管理科按照需求將業(yè)務(wù)流程固化在信息系統(tǒng)中，并將控制活動、控制措施等嵌入信息系統(tǒng)，確保授權(quán)處理無誤，不相容崗位相互分離，實現(xiàn)操作過程留痕，責(zé)任可追溯，最大限度減少人為操縱因素。

4.業(yè)務(wù)流程發(fā)生變更后，各科室單位要及時形成流程變更書面材料，經(jīng)科室負(fù)責(zé)人審批同意后提交信息管理科。

5.信息管理科應(yīng)及時受理各科室單位的變更需求，并做好分析研究；對于符合要求的變更申請，應(yīng)抓緊組織相關(guān)功能模塊的改造工作。

第二十五條 信息系統(tǒng)流程應(yīng)用的風(fēng)險與防控。

（一）信息系統(tǒng)流程應(yīng)用風(fēng)險點：

（二）信息系統(tǒng)流程應(yīng)用風(fēng)險防控措施：

1.各科室單位應(yīng)建立健全規(guī)章制度，確保財政業(yè)務(wù)通過信息系統(tǒng)處理，實現(xiàn)內(nèi)部控制的程序化和常態(tài)化。

2.信息管理科應(yīng)強化技術(shù)監(jiān)控，通過自動報告、跟蹤處理、日志管理等機制，及時發(fā)現(xiàn)異?；蜻`背內(nèi)部控制要求的操作，妥善進(jìn)行處置并向內(nèi)控辦報告。

第四章  數(shù)據(jù)管理與應(yīng)用內(nèi)部控制

第二十六條 數(shù)據(jù)管理與應(yīng)用風(fēng)險是指在數(shù)據(jù)收集、存儲、處理和應(yīng)用過程中，由于不主動提供數(shù)據(jù)、違規(guī)操作數(shù)據(jù)、越權(quán)使用數(shù)據(jù)、提供的數(shù)據(jù)不規(guī)范等原因，導(dǎo)致信息化數(shù)據(jù)分析利用和輔助決策能力弱化的可能性。

其中，重大風(fēng)險是指由于單位間信息不共享或不該共享的數(shù)據(jù)共享、數(shù)據(jù)不貫通等，導(dǎo)致相關(guān)科室無法正常開展工作；或者由于數(shù)據(jù)失真、使用不當(dāng)，導(dǎo)致決策出現(xiàn)失誤；或者由于數(shù)據(jù)保管不當(dāng)、越權(quán)使用數(shù)據(jù)，導(dǎo)致數(shù)據(jù)丟失或信息泄漏。

一般風(fēng)險是指由于單位間信息未完全共享、數(shù)據(jù)未完全貫通，加重相關(guān)科室工作負(fù)擔(dān)，一定程度上影響工作效率。

第二十七條 數(shù)據(jù)管理與應(yīng)用遵循以下流程：

（一）數(shù)據(jù)規(guī)劃。信息管理科會同各科室單位按照財政改革和發(fā)展需要，通過科學(xué)規(guī)劃和設(shè)計，建立面向?qū)嶋H財政業(yè)務(wù)的數(shù)據(jù)標(biāo)準(zhǔn)和信息資源目錄體系。

（二）數(shù)據(jù)收集。按照各科室單位提出的數(shù)據(jù)收集需求，信息管理科收集財政業(yè)務(wù)信息系統(tǒng)中的各類數(shù)據(jù)并進(jìn)行集中管理；涉及財政外部的業(yè)務(wù)數(shù)據(jù)，由提出需求的科室牽頭收集。

（三）數(shù)據(jù)管理。按照各科室單位提出的數(shù)據(jù)存儲需求，信息管理科對收集到的各類數(shù)據(jù)進(jìn)行篩選、分類、調(diào)整，并實現(xiàn)安全存儲、有效管理。

（四）數(shù)據(jù)應(yīng)用。信息管理科對各科室單位提出數(shù)據(jù)應(yīng)用需求進(jìn)行技術(shù)實現(xiàn)，提供檢索、展現(xiàn)及分析工具。

第二十八條 數(shù)據(jù)管理與應(yīng)用風(fēng)險主要體現(xiàn)在數(shù)據(jù)規(guī)劃、數(shù)據(jù)收集、數(shù)據(jù)管理和數(shù)據(jù)應(yīng)用等工作過程與環(huán)節(jié)。

第二十九條 數(shù)據(jù)規(guī)劃的風(fēng)險與防控。

（一）數(shù)據(jù)規(guī)劃流程：

1.信息管理科制定數(shù)據(jù)標(biāo)準(zhǔn)。

2.各科室單位按照數(shù)據(jù)標(biāo)準(zhǔn)梳理業(yè)務(wù)數(shù)據(jù)，形成本科室信息資源目錄體系。

3.信息管理科審核匯總各科室單位信息資源目錄體系，形成局信息資源目錄體系。

（二）數(shù)據(jù)規(guī)劃風(fēng)險點：

（三）數(shù)據(jù)規(guī)劃風(fēng)險防控措施：

1.各科室單位應(yīng)樹立數(shù)據(jù)共享意識，視共享為常態(tài)、不共享為例外，建立數(shù)據(jù)共享機制，主動共享數(shù)據(jù)，并保證數(shù)據(jù)的準(zhǔn)確、完整。

2.信息管理科會同各科室單位依據(jù)實際財政業(yè)務(wù)制定統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，明確數(shù)據(jù)來源、類型、層次、口徑、安全等級、用戶范圍、訪問權(quán)限等信息。數(shù)據(jù)標(biāo)準(zhǔn)制定要科學(xué)合理，涵蓋財政業(yè)務(wù)的各個方面，具有指導(dǎo)性和約束力。

3.各科室單位按照統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，結(jié)合自身業(yè)務(wù)發(fā)展規(guī)劃，梳理本科室的數(shù)據(jù)和從外部獲取的業(yè)務(wù)管理需要的數(shù)據(jù)，形成本科室信息資源目錄體系。信息資源目錄體系經(jīng)科室負(fù)責(zé)人審批并蓋章后提交信息管理科。

4.信息管理科綜合各科室單位信息資源目錄體系，統(tǒng)籌規(guī)劃，科學(xué)分析，研究制定財政局信息資源目錄體系。

5.各科室單位根據(jù)工作需要及時更新本科室信息資源目錄體系，并提交信息管理科。信息管理科按照各科室單位信息資源目錄體系變更情況修改完善市財政局信息資源目錄體系，確保數(shù)據(jù)信息準(zhǔn)確、完整。

第三十條 數(shù)據(jù)收集的風(fēng)險與防控。

（一）數(shù)據(jù)收集流程：

1.各科室單位提出數(shù)據(jù)收集需求。

2.信息管理科按照數(shù)據(jù)收集需求收集數(shù)據(jù)，并將收集結(jié)果反饋相關(guān)科室。

（二）數(shù)據(jù)收集風(fēng)險點：

（三）數(shù)據(jù)收集風(fēng)險防控措施：

1.各科室單位嚴(yán)格按照數(shù)據(jù)規(guī)劃，結(jié)合實際工作需要，提出數(shù)據(jù)收集需求，數(shù)據(jù)收集需求經(jīng)科室負(fù)責(zé)人審批并蓋章后提交信息管理科。數(shù)據(jù)收集需求涉及多個單位時，應(yīng)明確牽頭單位。

2.信息管理科根據(jù)各科室單位提出的數(shù)據(jù)收集需求，分析整理，統(tǒng)籌安排，開展數(shù)據(jù)收集工作，并做好技術(shù)實現(xiàn)和服務(wù)保障。

3.各科室單位應(yīng)主動公開、共享業(yè)務(wù)數(shù)據(jù)，做到及時更新和長期輸出，并配合信息管理科做好數(shù)據(jù)集中管理工作。

4.信息管理科從局外單位收集數(shù)據(jù)時，各科室單位應(yīng)主動協(xié)調(diào)配合，推進(jìn)收集工作開展。

第三十一條 數(shù)據(jù)管理的風(fēng)險與防控。

（一）數(shù)據(jù)管理流程：

1.各科室單位提出數(shù)據(jù)規(guī)范存儲需求。

2.信息管理科按照各科室單位數(shù)據(jù)存儲需求處理并存儲數(shù)據(jù)，并將處理結(jié)果反饋相關(guān)科室。

（二）數(shù)據(jù)管理風(fēng)險點：

（三）數(shù)據(jù)管理風(fēng)險防控措施：

1.信息管理科建立規(guī)范的數(shù)據(jù)管理機制，加強使用授權(quán)，優(yōu)化存儲查詢，確保數(shù)據(jù)的規(guī)范性和準(zhǔn)確性。

2.各科室單位根據(jù)業(yè)務(wù)實際，提出數(shù)據(jù)存儲需求，明確數(shù)據(jù)存儲數(shù)量、時間和訪問權(quán)限等，經(jīng)科室負(fù)責(zé)人審批并蓋章后提交信息管理科。

3.信息管理科對收到的數(shù)據(jù)存儲需求進(jìn)行分析，對不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。對符合標(biāo)準(zhǔn)規(guī)范的，通過篩選、分類、調(diào)整等處理程序，剔除冗余、補充遺漏，完成數(shù)據(jù)存儲。

4.信息管理科按照安全保密措施妥善保管數(shù)據(jù)，建立目錄索引，控制訪問權(quán)限，確保數(shù)據(jù)安全。

第三十二條 數(shù)據(jù)應(yīng)用的風(fēng)險與防控。

（一）數(shù)據(jù)應(yīng)用流程：

1.各科室單位提出數(shù)據(jù)應(yīng)用需求。

2.信息管理科綜合分析應(yīng)用需求，實現(xiàn)數(shù)據(jù)應(yīng)用。

（二）數(shù)據(jù)應(yīng)用風(fēng)險點：

（三）數(shù)據(jù)應(yīng)用風(fēng)險防控措施：

1.信息管理科建立規(guī)范的數(shù)據(jù)應(yīng)用機制，加強權(quán)限管理，實現(xiàn)流程控制，確保數(shù)據(jù)準(zhǔn)確、安全。

2.各科室單位根據(jù)工作實際，提出數(shù)據(jù)應(yīng)用需求，明確數(shù)據(jù)類型、層次及口徑，并說明應(yīng)用范圍和具體用途。數(shù)據(jù)應(yīng)用需求經(jīng)科室負(fù)責(zé)人審批并蓋章后提交信息管理科。

3.信息管理科對收到的數(shù)據(jù)應(yīng)用需求進(jìn)行分析，對不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。對符合標(biāo)準(zhǔn)規(guī)范的，做好數(shù)據(jù)準(zhǔn)備，明確數(shù)據(jù)來源，核對數(shù)據(jù)口徑，設(shè)計應(yīng)用規(guī)則，進(jìn)行數(shù)據(jù)使用授權(quán)，實現(xiàn)數(shù)據(jù)應(yīng)用。

4.各科室單位嚴(yán)格按照授權(quán)使用數(shù)據(jù)，并將使用情況和效果反饋信息管理科。

5.各科室單位在數(shù)據(jù)復(fù)制轉(zhuǎn)移過程中，要嚴(yán)格執(zhí)行有關(guān)保密規(guī)定，實現(xiàn)操作過程留痕、責(zé)任可追溯，最大限度減少人為操縱風(fēng)險。

第五章  信息系統(tǒng)安全管理內(nèi)部控制

第三十三條 信息系統(tǒng)安全風(fēng)險是指在信息系統(tǒng)建設(shè)、應(yīng)用與運行維護(hù)過程中，由于管理制度不健全、信息安全意識淡薄、安全防護(hù)技術(shù)或管理措施不到位，導(dǎo)致系統(tǒng)權(quán)限被冒用，重要信息泄漏、篡改的可能性；或信息系統(tǒng)自身抵御外部攻擊能力不強，突發(fā)事故處理機制不到位，造成信息系統(tǒng)癱瘓、業(yè)務(wù)中斷、數(shù)據(jù)丟失等可能性。

其中，重大風(fēng)險是指因技術(shù)防護(hù)措施或管理嚴(yán)重缺失導(dǎo)致業(yè)務(wù)系統(tǒng)長時間無法恢復(fù)，涉密、敏感信息泄漏、丟失，系統(tǒng)癱瘓、業(yè)務(wù)中斷等安全事件發(fā)生，對國家安全、財政業(yè)務(wù)開展造成較大損失。

一般風(fēng)險是指因安全防護(hù)技術(shù)措施或管理制度不到位導(dǎo)致一般信息泄漏、系統(tǒng)暫停運行等安全事件發(fā)生，對財政業(yè)務(wù)開展造成影響和一定損失。

第三十四條 信息系統(tǒng)安全管理風(fēng)險主要體現(xiàn)信息系統(tǒng)建設(shè)安全管理、信息系統(tǒng)運行安全管理、信息系統(tǒng)運維安全管理、信息系統(tǒng)應(yīng)用安全管理、信息系統(tǒng)安全審計管理、信息系統(tǒng)災(zāi)備與應(yīng)急管理等方面。

第三十五條 信息系統(tǒng)建設(shè)安全管理風(fēng)險防控。

（一）信息系統(tǒng)建設(shè)安全管理風(fēng)險點：

（二）信息系統(tǒng)建設(shè)安全管理風(fēng)險防控措施：

1.加強信息安全保密教育，組織信息安全培訓(xùn)，增強信息安全意識。

第三十六條 信息系統(tǒng)運行安全管理風(fēng)險防控。

（一）信息系統(tǒng)運行安全管理風(fēng)險點：

（二）信息系統(tǒng)運行安全管理風(fēng)險防控措施：

1.信息管理科要進(jìn)一步強化IT基礎(chǔ)架構(gòu)運行監(jiān)控管理平臺建設(shè)，完善監(jiān)控管理手段，提高信息系統(tǒng)和基礎(chǔ)軟硬件環(huán)境運行故障的事前預(yù)警能力。各科室單位應(yīng)及時將發(fā)現(xiàn)的信息系統(tǒng)運行異常通知信息管理科，并配合進(jìn)行異常情況調(diào)查和處置。

2.嚴(yán)格執(zhí)行國家有關(guān)信息安全保密管理有關(guān)規(guī)定，將不同密級要求的信息系統(tǒng)部署在不同網(wǎng)段上運行，確保不同密級的信息相互隔離。特別是非涉密網(wǎng)上不允許部署運行涉密信息系統(tǒng)，機密級及以下涉密網(wǎng)上不允許部署運行絕密信息系統(tǒng)。辦公室負(fù)責(zé)解決涉密信息在機密網(wǎng)上運行的問題。

3.系統(tǒng)上線運行后，應(yīng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)，定期對非涉密信息系統(tǒng)開展等級保護(hù)測評，對涉密信息系統(tǒng)進(jìn)行分級保護(hù)測評，對不符合要求的事項，及時進(jìn)行整改。

4.研究建立不同網(wǎng)段上的信息交換與傳遞工作機制，建設(shè)部署相應(yīng)技術(shù)手段，盡可能避免人工操作。如必須采用人工操作時，操作完成后應(yīng)將信息交換與傳遞介質(zhì)按相關(guān)要求和程序處置或銷毀。

5.機關(guān)服務(wù)中心應(yīng)配合信息管理科做好信息系統(tǒng)運行資源環(huán)境的保障工作，保證系統(tǒng)運行的連續(xù)性。如因特殊情況要求斷電、斷水時，應(yīng)事先通知信息管理科，在收到信息管理科確認(rèn)回復(fù)后方可實施。

第三十七條 信息系統(tǒng)運維安全管理風(fēng)險防控。

（一）信息系統(tǒng)運維安全管理風(fēng)險點：

（二）信息系統(tǒng)運維安全管理風(fēng)險防控措施：

1.由信息管理科統(tǒng)一負(fù)責(zé)信息系統(tǒng)運行維護(hù)工作的組織管理，按照財政局有關(guān)IT服務(wù)管理規(guī)定的程序和要求執(zhí)行。業(yè)務(wù)人員的運行維護(hù)需求應(yīng)向信息管理科提出，信息管理科負(fù)責(zé)響應(yīng)和協(xié)調(diào)安排解決。

2.信息系統(tǒng)的所有運行維護(hù)操作都必須進(jìn)行完整記錄，運維單位承擔(dān)的所有維護(hù)操作必須在信息管理科或相關(guān)業(yè)務(wù)部門的監(jiān)控下進(jìn)行，不允許運維單位人員獨自開展系統(tǒng)運維工作。

3.規(guī)范業(yè)務(wù)系統(tǒng)上線、開放權(quán)限等變更操作流程，加強對后臺設(shè)備、數(shù)據(jù)操作權(quán)限和操作行為的管理與審計，加強對業(yè)務(wù)系統(tǒng)操作人員的安全管理，規(guī)范安全操作行為。

4.嚴(yán)格執(zhí)行機房管理制度，進(jìn)出機房的運維人員都應(yīng)完整填寫相關(guān)登記表，經(jīng)審批后方可進(jìn)入機房。

第三十八條 信息系統(tǒng)應(yīng)用安全管理風(fēng)險防控。

（一）信息系統(tǒng)應(yīng)用安全管理風(fēng)險點：

（二）信息系統(tǒng)應(yīng)用安全管理風(fēng)險防控措施：

1.信息系統(tǒng)上線運行前，應(yīng)對業(yè)務(wù)人員進(jìn)行操作與安全管理培訓(xùn)，提高操作系統(tǒng)的規(guī)范性和安全意識。

2.加強個人計算機、IP地址、應(yīng)用系統(tǒng)賬號、數(shù)字證書USB Key、電子印章等各種信息安全資源的管理。

3.進(jìn)一步強化身份認(rèn)證與授權(quán)管理，財政局主導(dǎo)建設(shè)的業(yè)務(wù)系統(tǒng)必須使用財政數(shù)字證書，由信息管理科統(tǒng)一發(fā)放數(shù)字證書及介質(zhì)USBKey、電子印章等，保證操作人員、數(shù)字證書和電子印章三者之間一一對應(yīng)，做到人、證、印相符。辦公室會同信息管理科負(fù)責(zé)退職、退休、臨時調(diào)出以及借調(diào)入部等人員的數(shù)字證書及介質(zhì)USBKey、電子印章等資源的回收和注銷。

4.各科室單位應(yīng)加強對系統(tǒng)操作人員的安全教育和管理，應(yīng)按照相關(guān)安全要求和規(guī)范操作使用計算機和業(yè)務(wù)系統(tǒng)。禁止隨意更改計算機配置和參數(shù)、安裝來歷不明的軟件、導(dǎo)入未經(jīng)安全檢查的文件和數(shù)據(jù)、連接其他網(wǎng)絡(luò)和設(shè)備等。

5.按照系統(tǒng)授權(quán)進(jìn)行安全操作。禁止系統(tǒng)操作人員將自己的權(quán)限授予他人使用，嚴(yán)控涉密和敏感信息，防范信息泄漏。申請或變更系統(tǒng)使用權(quán)限應(yīng)報請科室負(fù)責(zé)人審批后轉(zhuǎn)信息管理科確認(rèn)實施。

6.調(diào)離本科室人員所使用的涉密計算機，提交他人繼續(xù)使用的，應(yīng)做好涉密信息的消除工作。不再繼續(xù)使用的，應(yīng)將硬盤交信息管理科進(jìn)行銷毀。

7.辦公室應(yīng)制定針對局內(nèi)人員的安全保密培訓(xùn)計劃并組織實施。信息管理科應(yīng)制定針對局內(nèi)人員的信息安全技術(shù)培訓(xùn)計劃并組織實施。各科室單位應(yīng)重視安全保密教育工作，積極參加各類安全保密方面的培訓(xùn)。

第三十九條 信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險和防控。

（一）信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險點：

（二）信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險防控措施：

1.信息管理科負(fù)責(zé)編制信息系統(tǒng)運行應(yīng)急處理預(yù)案，明確組織管理機構(gòu)、科室負(fù)責(zé)人、責(zé)任部門和應(yīng)急處理流程,定期組織相關(guān)科室進(jìn)行應(yīng)急演練，提高應(yīng)急能力和水平。發(fā)生突發(fā)事件時，組織進(jìn)行快速響應(yīng)和應(yīng)急處理。發(fā)生安全保密事件時，協(xié)助辦公室進(jìn)行調(diào)查、追蹤和取證。

2.信息管理科負(fù)責(zé)災(zāi)備體系的規(guī)劃與建設(shè)。通過建立全方位、多層次的重要信息系統(tǒng)災(zāi)難恢復(fù)體系，實現(xiàn)存儲數(shù)據(jù)有效性和完整性，保障財政重要業(yè)務(wù)系統(tǒng)的高可用性、高可靠性以及業(yè)務(wù)的連續(xù)性。

3.辦公室會同信息管理科組織針對辦公業(yè)務(wù)及信息網(wǎng)站、物理支持環(huán)境、網(wǎng)絡(luò)安全等突發(fā)事件的應(yīng)急演練和應(yīng)急處理。

4.后勤服務(wù)中心會同信息管理科組織針對建筑物、電力、網(wǎng)絡(luò)線路、供水、消防等物理支持環(huán)境的應(yīng)急演練和應(yīng)急處理。

5.各科室單位須提升對信息系統(tǒng)突發(fā)事件的應(yīng)急意識，積極參加和配合做好應(yīng)急演練，提高應(yīng)對突發(fā)事件的能力。當(dāng)發(fā)現(xiàn)有信息系統(tǒng)突發(fā)事件時，應(yīng)及時通知并配合信息管理科進(jìn)行處置。

第六章  附則

第四十條 本辦法由內(nèi)控委負(fù)責(zé)修訂，由內(nèi)控辦會同有關(guān)單位負(fù)責(zé)解釋。

第四十一條 本辦法自發(fā)布之日起實施。

                                                                                                                                         2016年11月1日