控制活動(dòng)(信息系統(tǒng)管理)

1、公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)矩矩陣陣主主頁(yè)頁(yè)面面流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試樣樣本本期期間間：年年月月年年月月控控制制流流程程名名稱稱控控制制子子流流程程名名稱稱標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)分分值值評(píng)評(píng)價(jià)價(jià)分分值值評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)是是否否為為關(guān)關(guān)鍵鍵控控制制14信息系統(tǒng)管理IS14.01信息系統(tǒng)規(guī)范體系建設(shè)ISMP14.01公司制定信息系統(tǒng)管理制度，并按照公司規(guī)定程序和權(quán)限進(jìn)行審批。1.公司應(yīng)制定信息系統(tǒng)管理制度；4001.信息系統(tǒng)管理制度2.審批記錄是2.信息系統(tǒng)管理制度應(yīng)重點(diǎn)明確

2、信息系開(kāi)發(fā)、運(yùn)行與維護(hù)等三項(xiàng)內(nèi)容；3003.信息系統(tǒng)管理制度應(yīng)按照公司規(guī)定程序和權(quán)限進(jìn)行審批。300IS14.01信息系統(tǒng)規(guī)范體系建設(shè)ISMP14.01公司建立信息系統(tǒng)管理崗位責(zé)任制，明確信息系統(tǒng)管理工作機(jī)構(gòu)，并明確相應(yīng)職責(zé)權(quán)限。1.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)；4001.信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)說(shuō)明書(shū)是2.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)權(quán)限；3003.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)人員構(gòu)成和任職資格。300IS14.01信息系統(tǒng)規(guī)范體系建設(shè)ISMP14.01公司設(shè)置信息系統(tǒng)管理工作流程，明確各管理活動(dòng)授權(quán)審批、執(zhí)行程序等各環(huán)節(jié)的內(nèi)部控制要求，并設(shè)置相應(yīng)的記錄或憑證。1.公司應(yīng)明確信息系

3、統(tǒng)管理工作流程；2001.信息系統(tǒng)管理工作細(xì)則2.審批記錄是2.信息系統(tǒng)管理工作流程應(yīng)重點(diǎn)明確信息系統(tǒng)項(xiàng)目開(kāi)發(fā)立項(xiàng)、開(kāi)發(fā)監(jiān)控、系統(tǒng)運(yùn)行與維護(hù)等四項(xiàng)授權(quán)審批和執(zhí)行程序；4003.公司應(yīng)設(shè)置信息系統(tǒng)管理流程各環(huán)節(jié)的工作記錄；2004.信息系統(tǒng)管理工作流程應(yīng)按照公司規(guī)定程序和權(quán)限經(jīng)過(guò)審批后實(shí)施。20014信息系統(tǒng)管理IS14.02信息系統(tǒng)戰(zhàn)略規(guī)劃制定ISMP14.02公司應(yīng)編制信息系統(tǒng)戰(zhàn)略規(guī)劃，制定信息化建設(shè)的全局性、長(zhǎng)期性規(guī)劃。1.公司根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)需要進(jìn)行信息系統(tǒng)建設(shè)，編制系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃；2501.信息系統(tǒng)戰(zhàn)略規(guī)劃2.評(píng)估記錄3.審批記錄4.研討記錄是2.編制信息系統(tǒng)戰(zhàn)略規(guī)劃要充分調(diào)動(dòng)和發(fā)

4、揮信息系統(tǒng)歸口管理部門(mén)與業(yè)務(wù)部門(mén)的積極性，使各部門(mén)廣泛參與，充分溝通；2503.公司組織相關(guān)人員對(duì)系統(tǒng)戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，重點(diǎn)審核戰(zhàn)略規(guī)劃是否與公司的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配；2504.按照公司規(guī)定程序及權(quán)限審批系統(tǒng)戰(zhàn)略規(guī)劃。250IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03公司應(yīng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。1.公司應(yīng)根據(jù)信息系統(tǒng)戰(zhàn)略規(guī)劃提出項(xiàng)目建設(shè)方案；3001.項(xiàng)目建設(shè)方案2.審批記錄是2.項(xiàng)目建設(shè)方案應(yīng)包括建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等五項(xiàng)

5、內(nèi)容；50014信息系統(tǒng)管理IS14.01信息系統(tǒng)規(guī)范體系建設(shè)ISMP14.01公司設(shè)置信息系統(tǒng)管理工作流程，明確各管理活動(dòng)授權(quán)審批、執(zhí)行程序等各環(huán)節(jié)的內(nèi)部控制要求，并設(shè)置相應(yīng)的記錄或憑證。1.信息系統(tǒng)管理工作細(xì)則2.審批記錄是3.項(xiàng)目建設(shè)方案應(yīng)按照公司規(guī)定權(quán)限及程序?qū)徟?00ISMP14.03公司應(yīng)編制項(xiàng)目計(jì)劃，加強(qiáng)各階段控制，確保按計(jì)劃完成項(xiàng)目。1.公司項(xiàng)目組成員應(yīng)根據(jù)建設(shè)方案編制具體項(xiàng)目計(jì)劃；2001.項(xiàng)目具體計(jì)劃及審批資料2.項(xiàng)目階段評(píng)審資料3.項(xiàng)目階段報(bào)告是2.項(xiàng)目計(jì)劃內(nèi)容主要包括各階段主要任務(wù)、工作要求、任務(wù)分工、時(shí)間安排等；2003.項(xiàng)目計(jì)劃應(yīng)按照公司規(guī)定程序及權(quán)限審批后執(zhí)行；

6、2004.公司應(yīng)按照項(xiàng)目計(jì)劃監(jiān)督項(xiàng)目進(jìn)展，開(kāi)展項(xiàng)目關(guān)鍵環(huán)節(jié)評(píng)審，及時(shí)糾偏調(diào)整；2005.公司應(yīng)建立項(xiàng)目進(jìn)展反饋報(bào)告機(jī)制，定期掌握項(xiàng)目進(jìn)展。200IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03系統(tǒng)分析人員和用戶單位的管理人員、業(yè)務(wù)人員在深入調(diào)查的基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活動(dòng)涉及的各項(xiàng)工作以及用戶的各種需求，從而建立未來(lái)目標(biāo)系統(tǒng)的邏輯模型。1.公司信息系統(tǒng)歸口管理部門(mén)應(yīng)當(dāng)組織內(nèi)部各有關(guān)部門(mén)提出開(kāi)發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門(mén)的管理人員、業(yè)務(wù)人員的交流；2001.需求申請(qǐng)2.需求溝通會(huì)議記錄3.需求文檔4.評(píng)審記錄5.需求變更申請(qǐng)是2.公司經(jīng)過(guò)需求調(diào)研分析后，應(yīng)編制需求文檔；2003.公司需求文檔應(yīng)準(zhǔn)

7、確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求，應(yīng)符合行業(yè)標(biāo)準(zhǔn)及要求；2004.公司需求文檔按照規(guī)定程序及權(quán)限評(píng)估，相關(guān)評(píng)估人員要簽字確認(rèn)；200IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03公司應(yīng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。1.項(xiàng)目建設(shè)方案2.審批記錄是5.公司應(yīng)加強(qiáng)需求變更控制，對(duì)變更按照規(guī)定實(shí)施評(píng)審。200IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03根據(jù)系統(tǒng)需求分析階段所確定的目標(biāo)系統(tǒng)邏輯模型，設(shè)計(jì)出一個(gè)能在公司特定的計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的方案。1.公司應(yīng)按照行業(yè)標(biāo)準(zhǔn)及規(guī)范編制總體設(shè)計(jì)方案；2

8、001.總體設(shè)計(jì)方案2.討論會(huì)議記錄3.設(shè)計(jì)方案確認(rèn)記錄4.評(píng)審記錄5.設(shè)計(jì)變更資料是2.總體設(shè)計(jì)方案主要關(guān)注設(shè)計(jì)系統(tǒng)的模塊結(jié)構(gòu)，合理劃分子系統(tǒng)邊界和接口；1003.總體設(shè)計(jì)方案要與業(yè)務(wù)部門(mén)進(jìn)行溝通和討論，說(shuō)明方案對(duì)用戶需求的覆蓋情況；1004.公司信息系統(tǒng)歸口管理部門(mén)和業(yè)務(wù)部門(mén)應(yīng)當(dāng)對(duì)選定的設(shè)計(jì)方案予以書(shū)面確認(rèn)；1005.根據(jù)總體設(shè)計(jì)方案進(jìn)行詳細(xì)設(shè)計(jì)，要符合行業(yè)標(biāo)準(zhǔn)及規(guī)范，確保設(shè)計(jì)成果質(zhì)量；2006.公司應(yīng)按照規(guī)定對(duì)系統(tǒng)設(shè)計(jì)成果進(jìn)行評(píng)審，確保設(shè)計(jì)成果符合方案要求；1007.公司設(shè)計(jì)評(píng)審主要關(guān)注將生產(chǎn)經(jīng)營(yíng)管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)程嵌入系統(tǒng)程序；1008.公司需要進(jìn)行設(shè)計(jì)變更時(shí)，應(yīng)按照規(guī)定

9、程序辦理審批，嚴(yán)格控制設(shè)計(jì)變更。100ISMP14.03將詳細(xì)設(shè)計(jì)方案轉(zhuǎn)換成某種計(jì)算機(jī)編程語(yǔ)言。1.項(xiàng)目組應(yīng)建立并執(zhí)行嚴(yán)格的代碼復(fù)查評(píng)審；3001.評(píng)審記錄2.編程規(guī)范3.測(cè)試報(bào)告是IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03系統(tǒng)分析人員和用戶單位的管理人員、業(yè)務(wù)人員在深入調(diào)查的基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活動(dòng)涉及的各項(xiàng)工作以及用戶的各種需求，從而建立未來(lái)目標(biāo)系統(tǒng)的邏輯模型。1.需求申請(qǐng)2.需求溝通會(huì)議記錄3.需求文檔4.評(píng)審記錄5.需求變更申請(qǐng)是2.項(xiàng)目組應(yīng)建立并執(zhí)行統(tǒng)一的編程規(guī)范，在標(biāo)識(shí)符命名、程序注釋等方面統(tǒng)一風(fēng)格；3003.項(xiàng)目組應(yīng)使用版本控制軟件系統(tǒng)（例如CVS），保證所有開(kāi)發(fā)人員基于相同的

10、組件環(huán)境開(kāi)展項(xiàng)目工作，協(xié)調(diào)開(kāi)發(fā)人員對(duì)程序的修改。400IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03編程階段完成之后，要進(jìn)行測(cè)試，確保完成的信息系統(tǒng)在功能、性能、控制要求和安全性等方面符合開(kāi)發(fā)需求。1.公司要按照規(guī)定程序及要求進(jìn)行單元測(cè)試、組裝測(cè)試（集成測(cè)試）、系統(tǒng)測(cè)試、驗(yàn)收測(cè)試等，并形成測(cè)試報(bào)告；2001.測(cè)試報(bào)告2.修訂反饋是2.公司測(cè)試過(guò)程要吸收最終用戶參與；2003.測(cè)試報(bào)告要描述測(cè)試的程序、方法、效果及存在的問(wèn)題，并提出問(wèn)題解決的方法；2004.跟蹤參數(shù)修訂過(guò)程，并進(jìn)行重新測(cè)試；2005.具備條件的，應(yīng)當(dāng)組織獨(dú)立于開(kāi)發(fā)建設(shè)項(xiàng)目組的專業(yè)機(jī)構(gòu)或?qū)I(yè)人員對(duì)開(kāi)發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測(cè)試。20

11、0IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03根據(jù)公司業(yè)務(wù)外包管理程序選擇外包開(kāi)發(fā)服務(wù)商，并簽訂合同，按照合同約定持續(xù)跟蹤外包進(jìn)度。1.公司采用業(yè)務(wù)外包方式的，應(yīng)當(dāng)采用公開(kāi)招標(biāo)等形式擇優(yōu)確定開(kāi)發(fā)單位；2001.外包合同2.外包方評(píng)價(jià)考核記錄是2.公司應(yīng)按照規(guī)定程序及權(quán)限辦理外包開(kāi)發(fā)服務(wù)商的選擇；200IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03將詳細(xì)設(shè)計(jì)方案轉(zhuǎn)換成某種計(jì)算機(jī)編程語(yǔ)言。1.評(píng)審記錄2.編程規(guī)范3.測(cè)試報(bào)告是3.公司應(yīng)按照規(guī)定的程序及權(quán)限簽訂合同，并經(jīng)過(guò)恰當(dāng)審核；2004.公司開(kāi)發(fā)過(guò)程中涉及商業(yè)秘密、敏感數(shù)據(jù)的，應(yīng)當(dāng)與外包服務(wù)商簽訂詳細(xì)的“保密協(xié)定”，以保證數(shù)據(jù)安全；2005.公司

12、建立外包服務(wù)質(zhì)量考核評(píng)價(jià)指標(biāo)體系，定期對(duì)外包服務(wù)商進(jìn)行考評(píng),并公布服務(wù)周期的評(píng)估結(jié)果,實(shí)現(xiàn)外包服務(wù)水平的跟蹤評(píng)價(jià)。200IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03根據(jù)公司采購(gòu)業(yè)務(wù)管理程序選擇外購(gòu)調(diào)試服務(wù)商，并簽訂合同，按照合同約定監(jiān)督履行。1.公司采用外購(gòu)調(diào)試業(yè)務(wù)的，應(yīng)當(dāng)采用公開(kāi)招標(biāo)等形式擇優(yōu)確定服務(wù)商；2001.外購(gòu)合同2.評(píng)價(jià)考核記錄是2.公司應(yīng)根據(jù)自身需求，對(duì)比分析市場(chǎng)上的成熟軟件產(chǎn)品，合理選擇軟件產(chǎn)品的模塊組合和版本；2003.在軟件產(chǎn)品選型時(shí)應(yīng)廣泛聽(tīng)取行業(yè)專家的意見(jiàn)；2004.不僅要評(píng)價(jià)服務(wù)商現(xiàn)有產(chǎn)品的功能、性能，還要考察其服務(wù)支持能力和后續(xù)產(chǎn)品的升級(jí)能力；2005.公司應(yīng)嚴(yán)格按照

13、合同約定監(jiān)督項(xiàng)目進(jìn)展，對(duì)服務(wù)商履約情況進(jìn)行評(píng)價(jià)。200IS14.04信息系統(tǒng)上線ISMP14.04編制系統(tǒng)上線計(jì)劃，并按照計(jì)劃實(shí)施系統(tǒng)部署，使信息系統(tǒng)按照既定的用戶需求來(lái)運(yùn)轉(zhuǎn)，切實(shí)發(fā)揮信息系統(tǒng)的作用。1.公司應(yīng)當(dāng)制定信息系統(tǒng)上線計(jì)劃，用于統(tǒng)籌系統(tǒng)部署工作；2001.上線計(jì)劃2.計(jì)劃審批記錄3.數(shù)據(jù)遷移計(jì)劃4.上線測(cè)試報(bào)告是2.上線計(jì)劃一般包括人員培訓(xùn)、數(shù)據(jù)準(zhǔn)備、進(jìn)度安排、應(yīng)急預(yù)案等內(nèi)容；200IS14.03信息系統(tǒng)開(kāi)發(fā)ISMP14.03根據(jù)公司業(yè)務(wù)外包管理程序選擇外包開(kāi)發(fā)服務(wù)商，并簽訂合同，按照合同約定持續(xù)跟蹤外包進(jìn)度。1.外包合同2.外包方評(píng)價(jià)考核記錄是3.公司上線計(jì)劃按照規(guī)定程序及權(quán)限審核

14、批準(zhǔn)后實(shí)施；2004.系統(tǒng)上線涉及數(shù)據(jù)遷移的，應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃；2005.公司應(yīng)組織相關(guān)人員對(duì)遷移結(jié)果進(jìn)行測(cè)試，出具測(cè)試報(bào)告；200IS14.05信息系統(tǒng)運(yùn)行ISMP14.05公司應(yīng)進(jìn)行系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和維修、系統(tǒng)運(yùn)行狀態(tài)監(jiān)控、異常事件的報(bào)告和處理等，保證系統(tǒng)正常運(yùn)轉(zhuǎn)。1.公司應(yīng)制定信息系統(tǒng)使用操作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范；2501.信息系統(tǒng)操作規(guī)范2.系統(tǒng)運(yùn)行記錄3.硬件維護(hù)記錄是2.公司應(yīng)及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問(wèn)題；2503.切實(shí)做好系統(tǒng)運(yùn)行記錄，尤其是對(duì)于系統(tǒng)運(yùn)行不正?；驘o(wú)法運(yùn)行的情況，應(yīng)將異?，F(xiàn)象、發(fā)生時(shí)間和可能的原因作出詳

15、細(xì)記錄；2504.配備專人負(fù)責(zé)硬件維護(hù)，主要包括各種設(shè)備的保養(yǎng)與安全管理、故障的診斷與排除、易耗品的更換與安裝等。250IS14.06信息系統(tǒng)變更ISMP14.06應(yīng)加強(qiáng)對(duì)硬件的升級(jí)擴(kuò)容、軟件的修改與升級(jí)等變更申請(qǐng)、變更成本與進(jìn)度的控制。1.公司應(yīng)按照規(guī)定流程來(lái)實(shí)施和記錄系統(tǒng)變更，保證變更過(guò)程得到適當(dāng)?shù)氖跈?quán)與管理層的批準(zhǔn)；2001.系統(tǒng)變更記錄2.系統(tǒng)變更申請(qǐng)3.變更測(cè)試報(bào)告4.變更管理實(shí)施資料是2.公司信息系統(tǒng)變更應(yīng)當(dāng)嚴(yán)格遵照管理流程進(jìn)行操作。信息系統(tǒng)操作人員不得擅自進(jìn)行軟件的刪除、修改等操作；不得擅自升級(jí)、改變軟件版本；不得擅自改變軟件系統(tǒng)的環(huán)境配置；200IS14.04信息系統(tǒng)上線ISM

16、P14.04編制系統(tǒng)上線計(jì)劃，并按照計(jì)劃實(shí)施系統(tǒng)部署，使信息系統(tǒng)按照既定的用戶需求來(lái)運(yùn)轉(zhuǎn)，切實(shí)發(fā)揮信息系統(tǒng)的作用。1.上線計(jì)劃2.計(jì)劃審批記錄3.數(shù)據(jù)遷移計(jì)劃4.上線測(cè)試報(bào)告是3.系統(tǒng)變更程序(如軟件升級(jí))需要遵循與新系統(tǒng)開(kāi)發(fā)項(xiàng)目同樣的驗(yàn)證和測(cè)試程序，必要時(shí)還應(yīng)當(dāng)進(jìn)行額外測(cè)試；2004.如存在緊急變更情況，應(yīng)按照規(guī)定實(shí)施嚴(yán)格控制；2005.公司應(yīng)加強(qiáng)將變更移植到生產(chǎn)環(huán)境中的控制管理，包括系統(tǒng)訪問(wèn)授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控制、用戶培訓(xùn)等。200IS14.07信息系統(tǒng)維護(hù)ISMP14.07公司應(yīng)做好信息系統(tǒng)包含的所有硬件、軟件和數(shù)據(jù)的保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄漏，確保信息系統(tǒng)能夠連續(xù)

17、正常運(yùn)行。1.公司應(yīng)加強(qiáng)關(guān)鍵設(shè)備的保護(hù)，未經(jīng)授權(quán)不得接近；2001.機(jī)房進(jìn)出登記2.安全保密協(xié)議3.責(zé)任追究資料4.檢查記錄是2.公司應(yīng)強(qiáng)化全體員工的安全保密意識(shí)，并簽署安全保密協(xié)議；2003.對(duì)違規(guī)操作或發(fā)生泄密事故的責(zé)任人進(jìn)行責(zé)任追究；2004.根據(jù)業(yè)務(wù)性質(zhì)、重要程度、涉密情況等確定信息系統(tǒng)的安全等級(jí)，按照不同等級(jí)信息進(jìn)行授權(quán)使用；2005.公司定期檢查硬件配置、軟件系統(tǒng)參數(shù)，及時(shí)發(fā)現(xiàn)異常。200ISMP14.07企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。1.公司應(yīng)當(dāng)特別注重加強(qiáng)對(duì)服務(wù)器等關(guān)鍵部位的防護(hù)：安裝避雷針、滅火器、空調(diào)等設(shè)備確保機(jī)房物理安全；建立人

18、員進(jìn)出機(jī)房登記審核控制，避免無(wú)關(guān)人員進(jìn)出；4001.殺毒軟件2.網(wǎng)絡(luò)傳輸文件是IS14.06信息系統(tǒng)變更ISMP14.06應(yīng)加強(qiáng)對(duì)硬件的升級(jí)擴(kuò)容、軟件的修改與升級(jí)等變更申請(qǐng)、變更成本與進(jìn)度的控制。1.系統(tǒng)變更記錄2.系統(tǒng)變更申請(qǐng)3.變更測(cè)試報(bào)告4.變更管理實(shí)施資料是2.存在網(wǎng)絡(luò)應(yīng)用的公司，應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過(guò)濾、漏洞掃描、入侵檢測(cè)等軟件技術(shù)加強(qiáng)網(wǎng)絡(luò)安全，嚴(yán)密防范來(lái)自互聯(lián)網(wǎng)的黑客攻擊和非法侵入；3003.通過(guò)互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù)，應(yīng)當(dāng)采取必要的技術(shù)手段確保信息傳遞的保密性、準(zhǔn)確性、完整性。300ISMP14.07公司應(yīng)當(dāng)做好數(shù)據(jù)備份工作，妥善保管數(shù)據(jù)，確保

19、數(shù)據(jù)的安全性、有效性。1.公司系統(tǒng)首次上線運(yùn)行時(shí)應(yīng)當(dāng)完全備份，然后根據(jù)業(yè)務(wù)頻率和數(shù)據(jù)重要性程度，定期做好增量備份；2001.數(shù)據(jù)備份登記2.數(shù)據(jù)恢復(fù)記錄3.數(shù)據(jù)恢復(fù)審批是2.公司的數(shù)據(jù)正本與備份應(yīng)分別存放于不同地點(diǎn)，防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不利影響；2003.公司可綜合采用磁盤(pán)、磁帶、光盤(pán)等備份存儲(chǔ)介質(zhì)；2004.備份應(yīng)當(dāng)進(jìn)行詳細(xì)標(biāo)注；2005.公司應(yīng)當(dāng)嚴(yán)格控制數(shù)據(jù)恢復(fù)控制，按照規(guī)定程序?qū)徟鷮?shí)施。200ISMP14.07公司應(yīng)加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限管理，嚴(yán)格控制訪問(wèn)人員及使用權(quán)限。1.公司應(yīng)按照規(guī)定程序及權(quán)限審批用戶權(quán)限，確保不相容職務(wù)分離；2001.用戶權(quán)限變動(dòng)申請(qǐng)及審核記錄2

20、.檢查記錄是2.公司應(yīng)當(dāng)采用密碼控制等技術(shù)手段進(jìn)行用戶身份識(shí)別。對(duì)于重要的業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)采用數(shù)字證書(shū)、生物識(shí)別等可靠性強(qiáng)的技術(shù)手段識(shí)別用戶身份；200IS14.07信息系統(tǒng)維護(hù)ISMP14.07企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。1.殺毒軟件2.網(wǎng)絡(luò)傳輸文件是3.對(duì)于發(fā)生崗位變化或離崗的用戶，用戶部門(mén)應(yīng)當(dāng)及時(shí)通知系統(tǒng)管理人員調(diào)整其在系統(tǒng)中的訪問(wèn)權(quán)限或者關(guān)閉賬號(hào)；2004.公司應(yīng)當(dāng)定期對(duì)系統(tǒng)中的賬號(hào)進(jìn)行審閱，避免存在授權(quán)不當(dāng)或非授權(quán)賬號(hào)；2005.對(duì)于超級(jí)用戶，公司應(yīng)當(dāng)嚴(yán)格規(guī)定其使用條件和操作程序，并對(duì)其在系統(tǒng)中的操作全程進(jìn)行監(jiān)控或?qū)徲?jì)。200ISMP14.

21、07公司應(yīng)加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限管理，嚴(yán)格控制訪問(wèn)人員及使用權(quán)限。1.委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與維護(hù)管理的，應(yīng)當(dāng)嚴(yán)格審查其資質(zhì)條件、市場(chǎng)聲譽(yù)和信用狀況等；2001.服務(wù)商資質(zhì)資料2.服務(wù)商選擇資料3.服務(wù)合同4.保密合同5.合同審批資料6.服務(wù)商評(píng)價(jià)資料是2.按照公司規(guī)定程序選擇系統(tǒng)運(yùn)行及維護(hù)服務(wù)商；2003.與服務(wù)商簽訂合同，并按照規(guī)定程序及權(quán)限經(jīng)過(guò)恰當(dāng)審批；2004.與服務(wù)商簽訂保密協(xié)議，約定保密責(zé)任及違約條款；2005.按照合同約定監(jiān)督服務(wù)商履行，并定期進(jìn)行評(píng)價(jià)。200IS14.08信息系統(tǒng)應(yīng)急管理ISMP14.08公司應(yīng)加強(qiáng)對(duì)信息系統(tǒng)應(yīng)急事件的應(yīng)對(duì)準(zhǔn)備，擬定應(yīng)急預(yù)案，建立災(zāi)難備份

22、系統(tǒng)。1.應(yīng)當(dāng)先辯識(shí)信息系統(tǒng)關(guān)鍵環(huán)節(jié)，根據(jù)關(guān)鍵環(huán)節(jié)潛在故障和故障后果進(jìn)行分析制訂信息系統(tǒng)應(yīng)急預(yù)案；2001.應(yīng)急預(yù)案2.應(yīng)急演練資料3.應(yīng)急演練總結(jié)4.災(zāi)備系統(tǒng)測(cè)試記錄是2.應(yīng)急預(yù)案應(yīng)明確應(yīng)急機(jī)構(gòu)及人員、設(shè)備及應(yīng)急處理流程、措施等；200IS14.07信息系統(tǒng)維護(hù)ISMP14.07公司應(yīng)加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限管理，嚴(yán)格控制訪問(wèn)人員及使用權(quán)限。1.用戶權(quán)限變動(dòng)申請(qǐng)及審核記錄2.檢查記錄是3.公司應(yīng)定期進(jìn)行應(yīng)急演練，記錄演練中存在的問(wèn)題，編制演練總結(jié)；2004.根據(jù)演練情況對(duì)應(yīng)急預(yù)案進(jìn)行補(bǔ)充或完善；2005.建立數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)，技術(shù)方案中所涉及的系統(tǒng)應(yīng)獲得同信息

23、系統(tǒng)相當(dāng)?shù)陌踩Ｗo(hù)，具有可擴(kuò)展性。200IS14.09信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估ISMP14.09公司應(yīng)定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)系統(tǒng)安全問(wèn)題并加以整改。1.公司定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估范圍主要包括系統(tǒng)開(kāi)發(fā)建設(shè)、系統(tǒng)應(yīng)用及維護(hù)等三項(xiàng)內(nèi)容；3001.風(fēng)險(xiǎn)評(píng)估報(bào)告2.整改報(bào)告是2.公司應(yīng)詳細(xì)記錄風(fēng)險(xiǎn)評(píng)估結(jié)果，充分揭示潛在的風(fēng)險(xiǎn)及安全問(wèn)題，形成風(fēng)險(xiǎn)分析報(bào)告；3003.根據(jù)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的問(wèn)題及時(shí)組織相關(guān)人員進(jìn)行整改，完善管控措施。400IS14.10信息系統(tǒng)終結(jié)管理ISMP14.10公司應(yīng)加強(qiáng)系統(tǒng)終結(jié)控制，防止信息泄露及丟失。1.根據(jù)系統(tǒng)終結(jié)要求，分析并列示廢棄系統(tǒng)中有價(jià)值或涉密的信息，并

24、提出處理方案；2501.系統(tǒng)終結(jié)處理方案2.審批資料3.銷毀記錄4.檔案管理臺(tái)賬是2.處理方案按照規(guī)定程序及權(quán)限進(jìn)行審批執(zhí)行；2503.公司應(yīng)指定專人負(fù)責(zé)監(jiān)督銷毀或轉(zhuǎn)移過(guò)程，并做好記錄；2504.按照國(guó)家有關(guān)法規(guī)制度和對(duì)電子檔案的管理規(guī)定，妥善保管相關(guān)信息檔案。250IS14.08信息系統(tǒng)應(yīng)急管理ISMP14.08公司應(yīng)加強(qiáng)對(duì)信息系統(tǒng)應(yīng)急事件的應(yīng)對(duì)準(zhǔn)備，擬定應(yīng)急預(yù)案，建立災(zāi)難備份系統(tǒng)。1.應(yīng)急預(yù)案2.應(yīng)急演練資料3.應(yīng)急演練總結(jié)4.災(zāi)備系統(tǒng)測(cè)試記錄是是是否否為為法法定定控控制制測(cè)測(cè)試試底底稿稿索索引引測(cè)測(cè)試試人人復(fù)復(fù)核核人人評(píng)評(píng)價(jià)價(jià)開(kāi)開(kāi)始始時(shí)時(shí)間間評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)束束時(shí)時(shí)間間是ISTP14.01是

25、ISTP14.01是ISTP14.01是ISTP14.02是ISTP14.03是ISTP14.01是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.03是ISTP14.04是ISTP14.03是ISTP14.05是ISTP14.06是ISTP14.04是ISTP14.07是ISTP14.07是ISTP14.06是ISTP14.07是ISTP14.07是ISTP14.07是ISTP14.07是ISTP14.08是ISTP14.07是ISTP14.09否

26、ISTP14.10是ISTP14.08公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱： IS14.01IS14.01信信息息系系統(tǒng)統(tǒng)規(guī)規(guī)范范體體系系建建設(shè)設(shè)實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.01公司制定信息系統(tǒng)管理制度，并按照公司規(guī)定程序和權(quán)限進(jìn)行審批。標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司應(yīng)制定信息系統(tǒng)管理制度；2.信息系統(tǒng)管理制度應(yīng)重點(diǎn)明確信息系開(kāi)發(fā)、運(yùn)行與維護(hù)等三項(xiàng)內(nèi)容

27、；3.信息系統(tǒng)管理制度應(yīng)按照公司規(guī)定程序和權(quán)限進(jìn)行審批。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)管理制度制定和執(zhí)行情況；2.取得信息系統(tǒng)管理制度或類似文件，具體檢查：（1）檢查公司是否制定信息系統(tǒng)管理制度，未執(zhí)行不得分（滿分40分）；（2）檢查信息系統(tǒng)管理制度是否重點(diǎn)明確信息系開(kāi)發(fā)、運(yùn)行與維護(hù)等三項(xiàng)內(nèi)容，每缺失一項(xiàng)扣10分（滿分30分）；（3）檢查信息系統(tǒng)管理制度是否按照公司規(guī)定程序和權(quán)限進(jìn)行審批，未

28、執(zhí)行不得分（滿分30分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)管理制度或類似文件制度或類似文件名稱及編號(hào)日期公司是否制定信息系統(tǒng)管理制度（是/否）信息系統(tǒng)管理制度是否重點(diǎn)明確信息系開(kāi)發(fā)、運(yùn)行與維護(hù)等三項(xiàng)內(nèi)容（30-0分）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)說(shuō)明明測(cè)測(cè)試試底底稿稿索索引引：ISTP14.01ISTP14.01復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.信息系統(tǒng)管理制度2.審批記錄樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)信息系統(tǒng)管理制度是否按照公司規(guī)定程序和權(quán)限進(jìn)行審批（是/否）請(qǐng)選擇請(qǐng)選擇IS

29、MP14.01公司制定信息系統(tǒng)管理制度，并按照公司規(guī)定程序和權(quán)限進(jìn)行審批。1.公司應(yīng)制定信息系統(tǒng)管理制度；2.信息系統(tǒng)管理制度應(yīng)重點(diǎn)明確信息系開(kāi)發(fā)、運(yùn)行與維護(hù)等三項(xiàng)內(nèi)容；3.信息系統(tǒng)管理制度應(yīng)按照公司規(guī)定程序和權(quán)限進(jìn)行審批。評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)管理制度制定和執(zhí)行情況；2.取得信息系統(tǒng)管理制度或類似文件，具體檢查：（1）檢查公司是否制定信息系統(tǒng)管理制度，未執(zhí)行不得分（滿分40分）；（2）檢查信息系統(tǒng)管理制度是否重點(diǎn)明確信息系開(kāi)發(fā)、運(yùn)行與維護(hù)等三項(xiàng)內(nèi)容，每缺失一項(xiàng)扣10分（滿分30分）；（3）檢查信息系統(tǒng)管理制度是否按照公司規(guī)定程序和權(quán)

30、限進(jìn)行審批，未執(zhí)行不得分（滿分30分）。信息系統(tǒng)管理制度或類似文件公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱： IS14.01IS14.01信信息息系系統(tǒng)統(tǒng)規(guī)規(guī)范范體體系系建建設(shè)設(shè)實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.01公司建立信息系統(tǒng)管理崗位責(zé)任制，明確信息系統(tǒng)管理工作機(jī)構(gòu)，并明確相應(yīng)職責(zé)權(quán)限。標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)；2.公司應(yīng)明

31、確信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)權(quán)限；3.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)人員構(gòu)成和任職資格。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)制定和執(zhí)行情況；2.取得信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)說(shuō)明書(shū)或類似文件，具體檢查：（1）檢查公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)，未執(zhí)行不得分（滿分40分）；（2）檢查公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)權(quán)限，未執(zhí)行不得分（滿分30分）；（3）檢查公司是否明確信息系統(tǒng)管理

32、工作機(jī)構(gòu)人員構(gòu)成和任職資格，未執(zhí)行不得分（滿分30分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)說(shuō)明書(shū)或類似文件制度或類似文件名稱及編號(hào)日期公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)（是/否）公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)權(quán)限（是/否）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)說(shuō)明明測(cè)測(cè)試試底底稿稿索索引引：ISTP14.01ISTP14.01復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)說(shuō)明書(shū)樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)人員構(gòu)成和任職資格

33、（是/否）請(qǐng)選擇請(qǐng)選擇ISMP14.01公司建立信息系統(tǒng)管理崗位責(zé)任制，明確信息系統(tǒng)管理工作機(jī)構(gòu)，并明確相應(yīng)職責(zé)權(quán)限。1.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)；2.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)權(quán)限；3.公司應(yīng)明確信息系統(tǒng)管理工作機(jī)構(gòu)人員構(gòu)成和任職資格。評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)制定和執(zhí)行情況；2.取得信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)說(shuō)明書(shū)或類似文件，具體檢查：（1）檢查公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)，未執(zhí)行不得分（滿分40分）；（2）檢查公司是否明確信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)權(quán)限，未執(zhí)行不得分（滿分30分）；（3）檢查公司是否明確

34、信息系統(tǒng)管理工作機(jī)構(gòu)人員構(gòu)成和任職資格，未執(zhí)行不得分（滿分30分）。信息系統(tǒng)管理工作機(jī)構(gòu)職責(zé)說(shuō)明書(shū)或類似文件公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱： IS14.01IS14.01信信息息系系統(tǒng)統(tǒng)規(guī)規(guī)范范體體系系建建設(shè)設(shè)實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.01公司設(shè)置信息系統(tǒng)管理工作流程，明確各管理活動(dòng)授權(quán)審批、執(zhí)行程序等各環(huán)節(jié)的內(nèi)部控制要求，并設(shè)置相應(yīng)的記錄或憑證。標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措

35、措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司應(yīng)明確信息系統(tǒng)管理工作流程；2.信息系統(tǒng)管理工作流程應(yīng)重點(diǎn)明確信息系統(tǒng)項(xiàng)目開(kāi)發(fā)立項(xiàng)、開(kāi)發(fā)監(jiān)控、系統(tǒng)運(yùn)行與維護(hù)等四項(xiàng)授權(quán)審批和執(zhí)行程序；3.公司應(yīng)設(shè)置信息系統(tǒng)管理流程各環(huán)節(jié)的工作記錄；4.信息系統(tǒng)管理工作流程應(yīng)按照公司規(guī)定程序和權(quán)限經(jīng)過(guò)審批后實(shí)施。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)管理工作流程制定和執(zhí)行情況；2.取得信息系統(tǒng)管理工作細(xì)則或類似文件，具體檢查：（1）

36、檢查公司是否明確信息系統(tǒng)管理工作流程，未執(zhí)行不得分（滿分20分）；（2）檢查信息系統(tǒng)管理工作流程是否重點(diǎn)明確信息系統(tǒng)項(xiàng)目開(kāi)發(fā)立項(xiàng)、開(kāi)發(fā)監(jiān)控、系統(tǒng)運(yùn)行與維護(hù)等四項(xiàng)授權(quán)審批和執(zhí)行程序，每缺失一項(xiàng)扣10分（滿分40分）；（3）檢查公司是否設(shè)置信息系統(tǒng)管理流程各環(huán)節(jié)的工作記錄，未執(zhí)行不得分（滿分20分）；（4）檢查信息系統(tǒng)管理工作流程是否按照公司規(guī)定程序和權(quán)限經(jīng)過(guò)審批后實(shí)施，未執(zhí)行不得分（滿分20分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)管理工作細(xì)則或類似文件制度或類似文件名稱及編號(hào)日期公司是否明確信息系統(tǒng)管理工作流程（是/否）信息系統(tǒng)管理工作流程是否重點(diǎn)明確信息系統(tǒng)項(xiàng)目開(kāi)發(fā)立項(xiàng)、開(kāi)發(fā)監(jiān)控、系統(tǒng)運(yùn)行與維護(hù)等四項(xiàng)

37、授權(quán)審批和執(zhí)行程序（40-0分）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)說(shuō)明明測(cè)測(cè)試試底底稿稿索索引引：ISTP14.01ISTP14.01復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.信息系統(tǒng)管理工作細(xì)則2.審批記錄樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)公司是否設(shè)置信息系統(tǒng)管理流程各環(huán)節(jié)的工作記錄（是/否）信息系統(tǒng)管理工作流程是否按照公司規(guī)定程序和權(quán)限經(jīng)過(guò)審批后實(shí)施（是/否）請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇ISMP14.01公司設(shè)置信息系統(tǒng)管理工作流程，明確各管理活動(dòng)授權(quán)審批、執(zhí)行程序等各環(huán)節(jié)的內(nèi)部控制要求

38、，并設(shè)置相應(yīng)的記錄或憑證。1.公司應(yīng)明確信息系統(tǒng)管理工作流程；2.信息系統(tǒng)管理工作流程應(yīng)重點(diǎn)明確信息系統(tǒng)項(xiàng)目開(kāi)發(fā)立項(xiàng)、開(kāi)發(fā)監(jiān)控、系統(tǒng)運(yùn)行與維護(hù)等四項(xiàng)授權(quán)審批和執(zhí)行程序；3.公司應(yīng)設(shè)置信息系統(tǒng)管理流程各環(huán)節(jié)的工作記錄；4.信息系統(tǒng)管理工作流程應(yīng)按照公司規(guī)定程序和權(quán)限經(jīng)過(guò)審批后實(shí)施。評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)管理工作流程制定和執(zhí)行情況；2.取得信息系統(tǒng)管理工作細(xì)則或類似文件，具體檢查：（1）檢查公司是否明確信息系統(tǒng)管理工作流程，未執(zhí)行不得分（滿分20分）；（2）檢查信息系統(tǒng)管理工作流程是否重點(diǎn)明確信息系統(tǒng)項(xiàng)目開(kāi)發(fā)立項(xiàng)、開(kāi)發(fā)監(jiān)控、系統(tǒng)運(yùn)行與維護(hù)

39、等四項(xiàng)授權(quán)審批和執(zhí)行程序，每缺失一項(xiàng)扣10分（滿分40分）；（3）檢查公司是否設(shè)置信息系統(tǒng)管理流程各環(huán)節(jié)的工作記錄，未執(zhí)行不得分（滿分20分）；（4）檢查信息系統(tǒng)管理工作流程是否按照公司規(guī)定程序和權(quán)限經(jīng)過(guò)審批后實(shí)施，未執(zhí)行不得分（滿分20分）。信息系統(tǒng)管理工作細(xì)則或類似文件公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱： IS14.02IS14.02信信息息系系統(tǒng)統(tǒng)戰(zhàn)戰(zhàn)略略規(guī)規(guī)劃劃制制定定實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)

40、準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.02公司應(yīng)編制信息系統(tǒng)戰(zhàn)略規(guī)劃，制定信息化建設(shè)的全局性、長(zhǎng)期性規(guī)劃。標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)需要進(jìn)行信息系統(tǒng)建設(shè)，編制系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃；2.編制信息系統(tǒng)戰(zhàn)略規(guī)劃要充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門(mén)與業(yè)務(wù)部門(mén)的積極性，使各部門(mén)廣泛參與，充分溝通；3.公司組織相關(guān)人員對(duì)系統(tǒng)戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，重點(diǎn)審核戰(zhàn)略規(guī)劃是否與公司的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配；4.按照公司規(guī)定程序及權(quán)限審批系統(tǒng)戰(zhàn)略規(guī)劃。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類

41、型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)戰(zhàn)略規(guī)劃管理情況；2.取得信息系統(tǒng)戰(zhàn)略規(guī)劃或類似文件，具體檢查：（1）檢查公司是否根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)進(jìn)行信息系統(tǒng)建設(shè)，編制系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃，未執(zhí)行不得分（滿分25分）；（2）檢查編制信息系統(tǒng)戰(zhàn)略規(guī)劃是否充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門(mén)與業(yè)務(wù)部門(mén)的積極性，使各部門(mén)廣泛參與，充分溝通，未執(zhí)行不得分（滿分25分）；（3）檢查公司是否組織相關(guān)人員對(duì)系統(tǒng)戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，重點(diǎn)審核戰(zhàn)略規(guī)劃是否與公司的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配，未執(zhí)行不得分（滿分25分）；（4）

42、檢查是否按照公司規(guī)定程序及權(quán)限審批系統(tǒng)戰(zhàn)略規(guī)劃，未執(zhí)行不得分（滿分25分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)戰(zhàn)略規(guī)劃或類似文件規(guī)劃或類似文件名稱及編號(hào)日期公司是否根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)進(jìn)行信息系統(tǒng)建設(shè)，編制系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃（是/否）編制信息系統(tǒng)戰(zhàn)略規(guī)劃是否充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門(mén)與業(yè)務(wù)部門(mén)的積極性，使各部門(mén)廣泛參與，充分溝通（是/否）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)說(shuō)明明測(cè)測(cè)試試底底稿稿索索引引：ISTP14.02ISTP14.02復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.

43、信息系統(tǒng)戰(zhàn)略規(guī)劃2.評(píng)估記錄3.審批記錄4.研討記錄樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)公司是否組織相關(guān)人員對(duì)系統(tǒng)戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，重點(diǎn)審核戰(zhàn)略規(guī)劃是否與公司的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配（是/否）是否按照公司規(guī)定程序及權(quán)限審批系統(tǒng)戰(zhàn)略規(guī)劃（是/否）ISMP14.02公司應(yīng)編制信息系統(tǒng)戰(zhàn)略規(guī)劃，制定信息化建設(shè)的全局性、長(zhǎng)期性規(guī)劃。1.公司根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)需要進(jìn)行信息系統(tǒng)建設(shè)，編制系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃；2.編制信息系統(tǒng)戰(zhàn)略規(guī)劃要充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門(mén)與業(yè)務(wù)部門(mén)的積極性，使各部門(mén)廣泛參與，充分溝通；3.公司組織相關(guān)人員對(duì)系統(tǒng)戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，重點(diǎn)審核戰(zhàn)略規(guī)劃是否與公司的組織架構(gòu)、業(yè)務(wù)

44、范圍、地域分布、技術(shù)能力等相匹配；4.按照公司規(guī)定程序及權(quán)限審批系統(tǒng)戰(zhàn)略規(guī)劃。評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)戰(zhàn)略規(guī)劃管理情況；2.取得信息系統(tǒng)戰(zhàn)略規(guī)劃或類似文件，具體檢查：（1）檢查公司是否根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)進(jìn)行信息系統(tǒng)建設(shè)，編制系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃，未執(zhí)行不得分（滿分25分）；（2）檢查編制信息系統(tǒng)戰(zhàn)略規(guī)劃是否充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門(mén)與業(yè)務(wù)部門(mén)的積極性，使各部門(mén)廣泛參與，充分溝通，未執(zhí)行不得分（滿分25分）；（3）檢查公司是否組織相關(guān)人員對(duì)系統(tǒng)戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，重點(diǎn)審核戰(zhàn)略規(guī)劃是否與公司的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配

45、，未執(zhí)行不得分（滿分25分）；（4）檢查是否按照公司規(guī)定程序及權(quán)限審批系統(tǒng)戰(zhàn)略規(guī)劃，未執(zhí)行不得分（滿分25分）。信息系統(tǒng)戰(zhàn)略規(guī)劃或類似文件請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱： IS14.03IS14.03信信息息系系統(tǒng)統(tǒng)開(kāi)開(kāi)發(fā)發(fā)實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.03公司應(yīng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障

46、和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。 標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司應(yīng)根據(jù)信息系統(tǒng)戰(zhàn)略規(guī)劃提出項(xiàng)目建設(shè)方案；2.項(xiàng)目建設(shè)方案應(yīng)包括建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等五項(xiàng)內(nèi)容；3.項(xiàng)目建設(shè)方案應(yīng)按照公司規(guī)定權(quán)限及程序?qū)徟?。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)開(kāi)發(fā)管理情況；2.取得信息系統(tǒng)項(xiàng)目建設(shè)方案或類似文件，具體檢查：（1）檢查公司是否根據(jù)信

47、息系統(tǒng)戰(zhàn)略規(guī)劃提出項(xiàng)目建設(shè)方案，未執(zhí)行不得分（滿分30分）；（2）檢查項(xiàng)目建設(shè)方案是否包括建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等五項(xiàng)內(nèi)容，每缺失一項(xiàng)扣10分（滿分50分）；（3）檢查項(xiàng)目建設(shè)方案是否按照公司規(guī)定權(quán)限及程序?qū)徟?，未?zhí)行不得分（滿分20分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)項(xiàng)目建設(shè)方案或類似文件方案或類似文件名稱及編號(hào)日期公司是否根據(jù)信息系統(tǒng)戰(zhàn)略規(guī)劃提出項(xiàng)目建設(shè)方案（是/否）項(xiàng)目建設(shè)方案是否包括建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等五項(xiàng)內(nèi)容（50-0分）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)

48、說(shuō)明明測(cè)測(cè)試試底底稿稿索索引引：ISTP14.03ISTP14.03復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.項(xiàng)目建設(shè)方案2.審批記錄樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)項(xiàng)目建設(shè)方案是否按照公司規(guī)定權(quán)限及程序?qū)徟ㄊ?否）請(qǐng)選擇ISMP14.03公司應(yīng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。 1.公司應(yīng)根據(jù)信息系統(tǒng)戰(zhàn)略規(guī)劃提出項(xiàng)目建設(shè)方案；2.項(xiàng)目建設(shè)方案應(yīng)包括建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等五項(xiàng)內(nèi)容；3.項(xiàng)目建設(shè)方案應(yīng)按照公司規(guī)定權(quán)限及程序?qū)徟Ｔu(píng)評(píng)

49、價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)開(kāi)發(fā)管理情況；2.取得信息系統(tǒng)項(xiàng)目建設(shè)方案或類似文件，具體檢查：（1）檢查公司是否根據(jù)信息系統(tǒng)戰(zhàn)略規(guī)劃提出項(xiàng)目建設(shè)方案，未執(zhí)行不得分（滿分30分）；（2）檢查項(xiàng)目建設(shè)方案是否包括建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等五項(xiàng)內(nèi)容，每缺失一項(xiàng)扣10分（滿分50分）；（3）檢查項(xiàng)目建設(shè)方案是否按照公司規(guī)定權(quán)限及程序?qū)徟磮?zhí)行不得分（滿分20分）。信息系統(tǒng)項(xiàng)目建設(shè)方案或類似文件請(qǐng)選擇公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱：

50、IS14.03IS14.03信信息息系系統(tǒng)統(tǒng)開(kāi)開(kāi)發(fā)發(fā)實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.03公司應(yīng)編制項(xiàng)目計(jì)劃，加強(qiáng)各階段控制，確保按計(jì)劃完成項(xiàng)目。標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司項(xiàng)目組成員應(yīng)根據(jù)建設(shè)方案編制具體項(xiàng)目計(jì)劃；2.項(xiàng)目計(jì)劃內(nèi)容主要包括各階段主要任務(wù)、工作要求、任務(wù)分工、時(shí)間安排等；3.項(xiàng)目計(jì)劃應(yīng)按照公司規(guī)定程序及權(quán)限審批后執(zhí)行；4.公司應(yīng)按照項(xiàng)目計(jì)劃監(jiān)督項(xiàng)目進(jìn)展，開(kāi)展項(xiàng)目關(guān)鍵環(huán)節(jié)評(píng)審，及時(shí)糾偏調(diào)整；5.公司應(yīng)建立項(xiàng)目進(jìn)展反饋報(bào)告機(jī)制，定期掌

51、握項(xiàng)目進(jìn)展。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)開(kāi)發(fā)管理情況；2.取得信息系統(tǒng)項(xiàng)目具體計(jì)劃及評(píng)審資料或類似文件，具體檢查：（1）檢查公司項(xiàng)目組成員是否根據(jù)建設(shè)方案編制具體項(xiàng)目計(jì)劃，未執(zhí)行不得分（滿分20分）；（2）檢查項(xiàng)目計(jì)劃內(nèi)容是否主要包括各階段主要任務(wù)、工作要求、任務(wù)分工、時(shí)間安排等內(nèi)容，未執(zhí)行不得分（滿分20分）；（3）檢查項(xiàng)目計(jì)劃是否按照公司規(guī)定程序及權(quán)限審批后執(zhí)行，未執(zhí)行不得分（滿分20

52、分）；（4）檢查公司是否按照項(xiàng)目計(jì)劃監(jiān)督項(xiàng)目進(jìn)展，開(kāi)展項(xiàng)目關(guān)鍵環(huán)節(jié)評(píng)審，及時(shí)糾偏調(diào)整，未執(zhí)行不得分（滿分20分）；（5）檢查公司是否建立項(xiàng)目進(jìn)展反饋報(bào)告機(jī)制，定期掌握項(xiàng)目進(jìn)展，未執(zhí)行不得分（滿分20分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)項(xiàng)目具體計(jì)劃及評(píng)審資料或類似文件計(jì)劃或類似文件名稱及編號(hào)日期公司項(xiàng)目組成員是否根據(jù)建設(shè)方案編制具體項(xiàng)目計(jì)劃（是/否）項(xiàng)目計(jì)劃內(nèi)容是否主要包括各階段主要任務(wù)、工作要求、任務(wù)分工、時(shí)間安排等內(nèi)容（是/否）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)說(shuō)明明測(cè)測(cè)試試底底稿稿索索引引：ISTP14.03ISTP

53、14.03復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.項(xiàng)目具體計(jì)劃及審批資料2.項(xiàng)目階段評(píng)審資料3.項(xiàng)目階段報(bào)告樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)項(xiàng)目計(jì)劃是否按照公司規(guī)定程序及權(quán)限審批后執(zhí)行（是/否）公司是否按照項(xiàng)目計(jì)劃監(jiān)督項(xiàng)目進(jìn)展，開(kāi)展項(xiàng)目關(guān)鍵環(huán)節(jié)評(píng)審，及時(shí)糾偏調(diào)整（是/否）公司是否建立項(xiàng)目進(jìn)展反饋報(bào)告機(jī)制，定期掌握項(xiàng)目進(jìn)展（是/否）ISMP14.03公司應(yīng)編制項(xiàng)目計(jì)劃，加強(qiáng)各階段控制，確保按計(jì)劃完成項(xiàng)目。1.公司項(xiàng)目組成員應(yīng)根據(jù)建設(shè)方案編制具體項(xiàng)目計(jì)劃；2.項(xiàng)目計(jì)劃內(nèi)容主要包括各階段主要任務(wù)、工作要求、任務(wù)分工、時(shí)間安排等；3.項(xiàng)目計(jì)劃應(yīng)按照公司規(guī)定程序及權(quán)限審

54、批后執(zhí)行；4.公司應(yīng)按照項(xiàng)目計(jì)劃監(jiān)督項(xiàng)目進(jìn)展，開(kāi)展項(xiàng)目關(guān)鍵環(huán)節(jié)評(píng)審，及時(shí)糾偏調(diào)整；5.公司應(yīng)建立項(xiàng)目進(jìn)展反饋報(bào)告機(jī)制，定期掌握項(xiàng)目進(jìn)展。評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)開(kāi)發(fā)管理情況；2.取得信息系統(tǒng)項(xiàng)目具體計(jì)劃及評(píng)審資料或類似文件，具體檢查：（1）檢查公司項(xiàng)目組成員是否根據(jù)建設(shè)方案編制具體項(xiàng)目計(jì)劃，未執(zhí)行不得分（滿分20分）；（2）檢查項(xiàng)目計(jì)劃內(nèi)容是否主要包括各階段主要任務(wù)、工作要求、任務(wù)分工、時(shí)間安排等內(nèi)容，未執(zhí)行不得分（滿分20分）；（3）檢查項(xiàng)目計(jì)劃是否按照公司規(guī)定程序及權(quán)限審批后執(zhí)行，未執(zhí)行不得分（滿分20分）；（4）檢查公司是否按照項(xiàng)

55、目計(jì)劃監(jiān)督項(xiàng)目進(jìn)展，開(kāi)展項(xiàng)目關(guān)鍵環(huán)節(jié)評(píng)審，及時(shí)糾偏調(diào)整，未執(zhí)行不得分（滿分20分）；（5）檢查公司是否建立項(xiàng)目進(jìn)展反饋報(bào)告機(jī)制，定期掌握項(xiàng)目進(jìn)展，未執(zhí)行不得分（滿分20分）。信息系統(tǒng)項(xiàng)目具體計(jì)劃及評(píng)審資料或類似文件請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇請(qǐng)選擇公公司司內(nèi)內(nèi)部部控控制制評(píng)評(píng)價(jià)價(jià)工工作作底底稿稿流流程程名名稱稱： IS14IS14信信息息系系統(tǒng)統(tǒng)管管理理子子流流程程名名稱稱： IS14.03IS14.03信信息息系系統(tǒng)統(tǒng)開(kāi)開(kāi)發(fā)發(fā)實(shí)實(shí)體體名名稱稱： 公公司司測(cè)測(cè)試試人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人測(cè)測(cè)試試時(shí)時(shí)間間：年年月月日日被被訪訪談?wù)勅巳耍翰坎块T(mén)門(mén)人人標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施ISMP14.03系

56、統(tǒng)分析人員和用戶單位的管理人員、業(yè)務(wù)人員在深入調(diào)查的基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活動(dòng)涉及的各項(xiàng)工作以及用戶的各種需求，從而建立未來(lái)目標(biāo)系統(tǒng)的邏輯模型。標(biāo)標(biāo)準(zhǔn)準(zhǔn)控控制制措措施施關(guān)關(guān)鍵鍵評(píng)評(píng)價(jià)價(jià)點(diǎn)點(diǎn)1.公司信息系統(tǒng)歸口管理部門(mén)應(yīng)當(dāng)組織內(nèi)部各有關(guān)部門(mén)提出開(kāi)發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門(mén)的管理人員、業(yè)務(wù)人員的交流；2.公司經(jīng)過(guò)需求調(diào)研分析后，應(yīng)編制需求文檔；3.公司需求文檔應(yīng)準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求，應(yīng)符合行業(yè)標(biāo)準(zhǔn)及要求；4.公司需求文檔按照規(guī)定程序及權(quán)限評(píng)估，相關(guān)評(píng)估人員要簽字確認(rèn)；5.公司應(yīng)加強(qiáng)需求變更控制，對(duì)變更按照規(guī)定實(shí)施評(píng)審。業(yè)業(yè)務(wù)務(wù)現(xiàn)現(xiàn)狀狀發(fā)發(fā)生生頻頻率率請(qǐng)選擇全全年年發(fā)發(fā)生生交交易

57、易請(qǐng)選擇樣樣本本量量樣樣本本量量說(shuō)說(shuō)明明控控制制類類型型請(qǐng)選擇適適用用層層級(jí)級(jí)適適用用行行業(yè)業(yè)評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)開(kāi)發(fā)管理情況；2.取得信息系統(tǒng)項(xiàng)目需求申請(qǐng)審批記錄或類似文件，具體檢查：（1）檢查公司信息系統(tǒng)歸口管理部門(mén)是否當(dāng)組織內(nèi)部各有關(guān)部門(mén)提出開(kāi)發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門(mén)的管理人員、業(yè)務(wù)人員的交流，未執(zhí)行不得分（滿分20分）；（2）檢查公司經(jīng)過(guò)需求調(diào)研分析后，是否編制需求文檔，未執(zhí)行不得分（滿分20分）；（3）檢查公司需求文檔是否準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求，是否符合行業(yè)標(biāo)準(zhǔn)及要求，未執(zhí)行不得分（滿分20分）；（4

58、）檢查公司需求文檔是否按照規(guī)定程序及權(quán)限評(píng)估，相關(guān)評(píng)估人員要簽字確認(rèn)，未執(zhí)行不得分（滿分20分）；（5）檢查公司是否加強(qiáng)需求變更控制，對(duì)變更按照規(guī)定實(shí)施評(píng)審，未執(zhí)行不得分（滿分20分）。 評(píng)價(jià)屬性樣本描述信息系統(tǒng)項(xiàng)目需求申請(qǐng)審批記錄或類似文件相關(guān)文件名稱及編號(hào)日期公司信息系統(tǒng)歸口管理部門(mén)是否當(dāng)組織內(nèi)部各有關(guān)部門(mén)提出開(kāi)發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門(mén)的管理人員、業(yè)務(wù)人員的交流（是/否）公司經(jīng)過(guò)需求調(diào)研分析后，是否編制需求文檔（是/否）1請(qǐng)選擇請(qǐng)選擇2請(qǐng)選擇請(qǐng)選擇評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)果果0評(píng)評(píng)價(jià)價(jià)結(jié)結(jié)論論說(shuō)說(shuō)明明缺缺陷陷記記錄錄說(shuō)說(shuō)明明良良好好實(shí)實(shí)踐踐說(shuō)說(shuō)明明 評(píng)價(jià)屬性樣本描述測(cè)測(cè)試試底底稿稿索索引引：

59、ISTP14.03ISTP14.03復(fù)復(fù)核核人人：?jiǎn)螁挝晃徊坎块T(mén)門(mén)人人復(fù)復(fù)核核時(shí)時(shí)間間：年年月月日日評(píng)評(píng)價(jià)價(jià)證證據(jù)據(jù)1.需求申請(qǐng)2.需求溝通會(huì)議記錄3.需求文檔4.評(píng)審記錄5.需求變更申請(qǐng)樣本說(shuō)明未達(dá)標(biāo)樣本編號(hào)ISMP14.03系統(tǒng)分析人員和用戶單位的管理人員、業(yè)務(wù)人員在深入調(diào)查的基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活動(dòng)涉及的各項(xiàng)工作以及用戶的各種需求，從而建立未來(lái)目標(biāo)系統(tǒng)的邏輯模型。1.公司信息系統(tǒng)歸口管理部門(mén)應(yīng)當(dāng)組織內(nèi)部各有關(guān)部門(mén)提出開(kāi)發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門(mén)的管理人員、業(yè)務(wù)人員的交流；2.公司經(jīng)過(guò)需求調(diào)研分析后，應(yīng)編制需求文檔；3.公司需求文檔應(yīng)準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求，應(yīng)符合行業(yè)標(biāo)

60、準(zhǔn)及要求；4.公司需求文檔按照規(guī)定程序及權(quán)限評(píng)估，相關(guān)評(píng)估人員要簽字確認(rèn)；5.公司應(yīng)加強(qiáng)需求變更控制，對(duì)變更按照規(guī)定實(shí)施評(píng)審。評(píng)評(píng)價(jià)價(jià)步步驟驟及及評(píng)評(píng)分分細(xì)細(xì)則則1.通過(guò)詢問(wèn)相關(guān)信息系統(tǒng)管理人員，了解信息系統(tǒng)開(kāi)發(fā)管理情況；2.取得信息系統(tǒng)項(xiàng)目需求申請(qǐng)審批記錄或類似文件，具體檢查：（1）檢查公司信息系統(tǒng)歸口管理部門(mén)是否當(dāng)組織內(nèi)部各有關(guān)部門(mén)提出開(kāi)發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門(mén)的管理人員、業(yè)務(wù)人員的交流，未執(zhí)行不得分（滿分20分）；（2）檢查公司經(jīng)過(guò)需求調(diào)研分析后，是否編制需求文檔，未執(zhí)行不得分（滿分20分）；（3）檢查公司需求文檔是否準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求，是否符合行業(yè)標(biāo)準(zhǔn)及要求，