目录

第一章一般规定- 2 –

第二章信息系统的发展- 2 –

第三章信息系统运行与维护- 3 –

第一章　总则

第一条为了促进企业有效实施内部控制，提高现代企业管理水平，减少人为因素，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称信息系统，是指企业利用计算机和通信技术整合、改造和完善内部控制而形成的信息管理平台。

第三条企业利用信息系统实施内部控制至少应当关注以下风险：

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业运营管理效率低下。

（二）系统开发不符合内部控制要求、授权管理不当，可能导致无法利用信息技术实施有效控制。

（3）系统运行、维护和安全措施不完善，可能导致信息泄露或损坏，系统无法正常运行。

第四条企业应当高度重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设总体规划，加大投入，有序组织。开发、运营和维护信息系统，优化管理流程，防范经营风险，全面提高企业现代化管理水平。

企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效的工作机制。企业可以委托专业机构从事信息系统的开发、运营和维护。

企业负责人负责信息系统建设。

第二章　信息系统的开发

第五条企业应当根据信息系统总体建设规划提出项目建设计划，明确建设目标、人员配置、职责分工、资金保障、进度安排等相关内容，按照规定审批后实施。具有规定的权限和程序。

企业信息系统归口管理部门应组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线全过程的管理要求，并严格按照建设计划、开发流程和相关要求组织开发工作。

企业可以通过自行开发、外包调试、业务外包等方式开发信息系统。选择外包调试或业务外包的，应当采用公开招标等形式选择最佳供应商或开发单位。

第六条企业开发信息系统时，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序中，实现人工环境下难以实现的控制功能。

企业在系统开发过程中，应根据不同业务的控制需求，通过信息系统中的权限管理功能对用户的操作权限进行控制，避免将不兼容职责的处理权限授予同一用户。

企业应考虑根据不同的数据输入方式对进入系统的数据进行检查和验证。对于必要的后端操作，应加强管理，建立规范的流程体系，并对操作进行监控或审计。

企业应在信息系统中设置操作日志功能，保证操作的可审计性。对于异常或违反内控要求的交易和数据，系统应设计自动报告并建立跟踪和处理机制。

第七条企业信息系统归口管理部门应当加强对信息系统开发全过程的跟踪管理，组织开发单位与内部单位的日常沟通协调，督促开发单位按照规定完成编程工作。建设计划、计划进度和质量要求，并对所配备的硬件设备和系统软件进行检查验收，组织系统上线等。

第八条企业应当组织独立于开发单位的专业机构对开发的信息系统进行验收测试，确保其在功能、性能、控制要求、安全等方面满足开发需要。

第九条企业应当认真做好信息系统上线准备工作，培训业务操作和系统管理人员，制定科学的上线方案和新旧系统转换方案，考虑应急预案，确保新旧系统平滑切换、顺畅衔接。新系统。如果系统上线涉及数据迁移，还应制定详细的数据迁移计划。

第三章　信息系统的运行与维护

第十条企业应当加强信息系统运行维护管理，制定信息系统工作程序、信息管理制度和各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，保证信息系统的运行和维护。系统按照规定的程序、制度和操作规范持续稳定运行。

企业应建立信息系统变更管理流程，信息系统变更应严格按照管理流程进行操作。信息系统运营者不得擅自删除、修改系统软件；不得擅自升级或更改系统软件版本；不得擅自改变软件系统环境配置。

第十一条企业应当根据业务性质、重要性、保密性等确定信息系统的安全级别，建立不同级别信息的授权使用制度，并采用相应的技术手段确保信息系统安全有序运行。

企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运维管理的，应当审核该机构的资质，并与其签订服务合同和保密协议。

企业应采取安装安全软件等措施，防止信息系统受到病毒等恶意软件的感染和破坏。

第十二条企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审核系统账户，避免授权不当或者存在未经授权的账户，禁止岗位不兼容的用户账户交叉操作。

企业应对通过网络传输的机密或关键数据采取加密措施，保证信息传输的机密性、准确性和完整性。

第十四条企业应当建立系统数据定期备份制度，明确备份范围、频率、方式、负责人、存储地点、有效性检查等。