數據安全管理細則精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的數據安全管理細則主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：數據安全管理細則范文

信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統還尚未完善，其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存，從而導致大量文檔的丟失；其次，如果信息安全管理系統不完善，就不能降低資產等的風險評估以及對資產進行集中式的管理；最后，由于信息安全系統中各個報表功能的不完善，文檔信息就無法快速、準確地透露出信息安全的實際狀況，從而起到有效地保護作用。信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析，從而得出資產的精確風險值，識別系統中存在的重要因患資產，并進一步通知信息管理員采取適當地方法來減少隱患事件的發生，通過科學的管理降低企業的資產風險。由此可見，完善的信息安全管理系統是不可或缺的，它一方面決定著信息安全管理體系的具體實施，另一方面也可以促進企業信息安全管理體系的進一步維護與建設。

2信息安全管理系統標準

科學統一的國家信息安全標準，有利于協調與融合各個信息安全管理系統的工作，充分促進信息安全標準系統的功能發揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。

2.1ISO/IEC27000系列標準

1995年，英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準，隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分，并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例，并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善，這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎之上，用風險分析的途徑，把發生信息風險的概率降到最低程度，同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則，以及11項需要有效控制的項目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。

2.2信息安全等級保護

1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》，該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發展，從而進一步維護國家安全、社會發展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則》是在TCSEC的分級保護思想基礎之上，針對我國信息安全的發展實際進行改善，最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類，其中前者主要包括系統建設管理、安全管理制度、系統運維管理、安全管理機構和人員安全管理；后者主要包括應用安全、網絡安全、物理安全、主機安全以及數據安全與備份恢復。此外，信息安全等級保護的系列標準里還包括《GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求。

3信息安全管理系統的模型設計

根據信息安全管理系統標準，結合以往的信息安全管理系統設計，提出一種新型的四層信息安全管理系統：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。第二層是數據庫層：包括日志、資產庫、異常日志以及資產弱點庫和資產風險庫等。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲。第三層為功能模塊層：包括資產管理、風險管理、弱點管理、信息安全管理規范下載管理資產等級評估管理、拓補管理以及日志分析。最后一層為展示層：它包含某個具體業務系統中的業務系統整體安全狀況、資產安全狀況、業務系統拓補以及異常安全事件等相關部分。上述新型信息安全管理系統模型主要體現出以下六點創新之處：

（1）業務系統的動態建模和系統支持資產，可以把業務系統和資產二者綁定在一起，由此，整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下，其單獨資產的具體安全狀況；另一方面該信息安全系統還能夠根據IS027001的具體標準，反應出整個資產所承載的整體業務系統的安全狀況。

（2）所設計的風險模塊管理可以把風險評估常態化、主動化，使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析；另外，該信息安全系統的日志審計功能也可以實現被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統中充分融合。

（3）該新安全管理系統增加并促進了拓補管理功能的發揮。

第2篇：數據安全管理細則范文

關鍵詞：金保工程 信息網絡 安全保障 體系設計與實現

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2016）05-0000-00

伴隨著網絡信息技術的不斷發展和計算機辦公系統的日益完善，金保工程作為一項基礎性的安全規劃建設工程越來越受到人們的廣泛關注，逐漸成為各地區信息化建設的重點工程。依托于網絡平臺建立一個高起點的計算機管理信息系統，可以有效實現民生服務業務管理的現代化和規范化，真正做到“以人為本、記錄一生、管理一生。服務一生”。為此，下面本文將首先來分析金保工程的內涵及工程目標。

1 金保工程的內涵及金保工程的工程目標

1.1 金保工程的內涵

所謂金保工程，是指關系民生、影響社會穩定的一項系統信息工程，它是各地區電子政務整體規劃中的一個重要子系統，也是政府信息化建設的重點工程之一，是對現有的社會保障信息系統的一個優化和完善。從本質上說，金保工程是一個依托于網絡平臺的計算機管理信息系統，它是利用先進的信息技術來提供勞動和社會保障業務服務，并為公共服務的宏觀決策提供基礎信息的計算機管理系統建設工程。它的目標是建立覆蓋中央、省、市三級網絡的全國統一的網絡系統。是將勞動和社會保障工作，融于電子政務工程的一項重要舉措。2008年提出了金保工程建設工作要點，規定了金保工程建設所涉及的主要內容。要求金保工程要著力建設統一的數據庫來實現全國社會保障數據的集中管理。

1.2 金保工程的項目目標

近幾年來，針對金保工程的具體開展，國家已經出臺了許多相關的規范標準文件，這些文件結合社保業務信息系統的實際情況來編制總體的設計目標，為社保機關的安全建設和整改工作提供了可行性的參照。它的目的是通過建立一個高起點的計算機管理信息系統來完善當前的社會保障系統，制定一個統一的標準和規范，優化當前的管理模式，構建開放性的體系結構。而且能夠使所建立的計算機管理系統為政府部門的決策提供宏觀的信息服務。金保工程的總體目標是要設計出符合社保實際業務情況、與當前網絡信息系統運行模式相符合的社會保障建設的整改方案。

2 金保工程信息網絡安全保障體系的設計

2.1 安全管理體系設計

安全管理體系的設計是指在宏觀上構建安全組織、安全策略。安全管理體系的設計包括安全組織體系的建設和安全策略體系的建設。安全組織是指負責整個網絡信息安全的管理和實施者，負責安全崗位的設置和管理、安全策略、制度、規劃的制定和實施，是開展網絡安全工作的直接責任人。安全策略體系是指為了達到網絡安全目標而出臺的一系列的安全管理指導策略、具體的安全指導方針。它的目的是為了有效保護網絡信息資源，向上可以上升為指導方針，向下可以具體劃分為安全實施細則。

2.2 安全技術體系設計

安全技術體系設計了包括監控體系設計和支撐性的基礎設施設備設計兩個方面的內容。首先安全監控體系是指安全監控平臺，它包括網絡管理平臺和安全管理平臺。網絡管理平臺的主要職責是通過對網絡交換機、路由器和服務器的管理，實現安全技術體系的功能。安全管理平臺主要是指對指具體的安全系統的管理。例如對防火墻、終端安全、病毒防護系統、漏洞掃描系統的管理等等。安全監控平臺所包含的這兩個管理系統的關系是安全管理平臺可以收集網絡管理平臺的信息實現統一化管理。支撐性的基礎設施涉及的安全技術主要包括身份鑒別、訪問控制、授權管理、內容過濾、數據加密、入侵分析等內容。發展比較成熟的、在金保工程中運用較多的信息系統是防病毒系統、可信終端系統、數據庫審計系統、主頁防篡改系統、網絡行為監控系統、防火墻系統、入侵防御系統等。防控系統是通過統一化的安全管理中心來進行調配和控制的，可以提升整個系統的總體安全性。

2.3 服務支持體系規劃

服務支持體系是有效提升金保工程的信息安全保障水平、實現信息安全組織安全發展的重要途徑。構建金保工程信息網絡安全保障體系的目的是保障為了市級、縣級、國家級安全組織的網絡安全，能夠通過改善信息服務業務系統的安全性能來保障自己的網絡信息安全，提升安全技術能力。因此，很多不同類別的服務中心需要引進第三方的專業安全廠商服務支持體系，用所引進的服務支持體系來與公司、企業或單位事業單位內的相關技術人員的專業技術實踐相對接，可以保障在正常開展業務服務的同時提升現有的安全技術水平，保障網絡系統的安全，實現信息系統的持續可靠運行。

3 結語

在計算機辦公系統的日益完善的背景之下，借助于金保工程來完善我國當前的安全規劃建設系統可以有效實現民生服務業務管理的現代化和規范化，真正實現以人為本的社會服務理念。通過上述本文的分析，筆者主要論述了金保工程的內涵和工程目標、金保工程信息網絡安全保障體系的設計兩大方面的內容，以期能夠提升現有的安全技術水平，實現信息系統的持續可靠運行。

參考文獻

[1] 楊智慧.中華人民共和國計算機信息系統安全法規匯編[M]，群眾出版社，1998.

第3篇：數據安全管理細則范文

數字檔案的產生、移交、歸檔、管理和利用都是基于互聯網、專用網和局域網環境下進行。系統的應用模式主要采用兩種方式（即基于瀏覽器的Browser/Server結構和基于客戶服務器模式的Client/Server結構），這兩種方式都可以實現網上對檔案信息的轉換、存貯和訪問。在數字檔案的歸檔、管理和服務利用等過程中，檔案數據的安全問題往往表現在多個層面。

（一）網絡級安全。論文百事通是指支撐系統運行的物理設備的安全問題，包括網絡基礎建設如網絡布線、網絡聯接、局域網和廣域網環境的構建、設備的選型及其各個環節安全策略的考慮。往往會根據需要采用適當的防火墻設備及網絡管理軟件來確保局域網的內外用戶的訪問權限和網絡上數據包的檢測與過濾；選用可靠的硬件安全設備保證整個系統的穩定運行，如雙機熱備份、磁盤陣列等設備的采用來保證一臺服務器出現故障而不會導致整個系統的癱瘓問題，等等。網絡級安全策略是整個系統得以安全運行的基本保障，這是需要在系統規劃階段嚴格把關的重要內容之一。

（二）數據級安全。主要是指涉及到系統存貯的檔案數據的安全問題，包括操作系統、數據庫管理系統、檔案數據存貯、數據備份、數據格式的轉換以及各類電子文件的保管和異地存貯策略等，以防止數據版本的更新、數據格式的轉換、硬件設備的意外損壞、存貯介質的老化、失效、自然災害等造成的數據丟失、數據損壞甚至是計算機系統的破壞和癱瘓。操作系統和數據庫管理系統的安全問題雖說主要是取決于軟件供應商所開發的商品化軟件的穩定性和安全的保障問題，但對于建立網絡化檔案管理信息系統，首要考慮的是選擇什么樣的操作系統來確保應用系統的安裝和運行，目前主流的操作系統有Unix、Windows和Linix，他們各自有其優越性，安全問題也各有特點，關鍵是如何選擇滿足用戶實際需求的操作系統和數據庫管理系統。當然考慮檔案元數據的存放規則和保管策略也是本階段非常重要的問題之一，如數據庫的分布式或集中式存放模式、數據的異地備份、電子數據格式的定期升級和保存介質的更換等，需要一定的保管制度來約束。這些都是在系統設計和具體實現的過程中需要綜合考慮的關鍵因素，也是檔案應用系統能夠安全運行的根本保障。

（三）應用級安全。是指檔案管理信息系統在實際應用操作的過程中應考慮的基本問題，主要取決于檔案部門所采用的應用系統的用戶模型的定義模型和使用規則。一般情況下，檔案管理信息系統的用戶模型分多個層次、多個角色、多種功能或多種形式混合使用，來分別定義用戶權限。系統常常按功能權限劃分為系統管理、數據操作和數據瀏覽等3大類用戶：每類用戶角色的定義可以按照各業務職能的實際需求，對其操作權限和操作功能進行定義，如單位領導、部門領導、普通業務員等。但不論采用哪種用戶模型，要求應用級的安全至少包括兩項功能，一是對系統中各個功能模塊的操作權限的定義，另一個是對系統數據的分層管理和操作權限的定義。

二、網絡基礎環境的安全技術方案

網絡基礎環境的安全建設是防止系統外部非法用戶和不安全數據包侵犯的主要措施，常常采取的主要方法是物理隔離、應用防火墻以及身份認證等安全技術。防火墻技術是實現內外網的隔離與訪問控制的最基本、最流行、最經濟的、也是很有效的措施之一，這里以防火墻為例來討論數字檔案的網絡基礎環境的安全解決方案。

（一）防火墻安全解決方案防火墻是多個網絡之間的安全隔離網，其基本原理是設置安全策略，控制（允許、拒絕、檢測）出入網絡的數據包，它本身具有較強的抗攻擊能力，可以實現以下幾種安全功能：一是限制未被授權的用戶進入內部網絡，過濾掉不安全的數據包；二是防止入侵者接近本系統的防御設施；三是限定內部網絡用戶訪問特殊站點；四是為監視Internet安全提供方便。清華大學檔案館防火墻安全運行結構采用了三臺外提供服務利用的服務器，都部署在非軍事管轄區（DMZ區），服務器通過特定的端口對外提供服務，如Web服務的8085端口，數據服務的1528等，避免了外界用戶對服務器其他端口訪問的可能性。

（二）網絡安全管理的人文策略硬件設備和網絡管理軟件是保證網絡安全運行的基本手段，同樣加強網絡的安全管理，采取科學有序的管理策略也是非常重要的人為因素，往往諸多的不安全因素恰恰反映在組織管理和防范不當等方面，因此必須引起足夠的重視。

三、檔案管理信息系統的安全方案

數字檔案信息的錄入和維護主要依靠管理信息系統所提供的各項功能來完成，由于用戶角色的不同，權限的差異，要求應用系統能夠提供一套完整的用戶安全管理策略，以保證檔案信息的完整性和安全性。檔案管理信息系統的安全管理主要體現在3個方面。一是要采用成熟先進的計算機應用系統運行結構：二是對系統用戶按照工作需要進行角色和等級的區分；三是對檔案數據的安全管理級別如保密、開放等狀態按照檔案法規定和實施細則進行多級安全管理，以區別不同類型用戶的訪問。

（一）應用系統的體系結構三層Browser/Server體系結構有著多層數據安全機制、日常維護工作量小、對客戶端的運行環境要求也比較低（只要有瀏覽器即可）、客戶端物理位置可以靈活設置等諸多優點，因此采用三層B/S的系統結構無疑是一個先進且明智的選擇。安全防護措施有三級，即防火墻安全措施、應用系統的身份認證安全措施以及數據庫管理系統的安全模型，

（二）應用系統用戶權限管理。系統用戶權限的管理和角色分配與檔案管理的業務功能、操作流程、檔案數據的管理層次密切相關。一般情況下用戶分3大類，即管理級用戶、業務級用戶和瀏覽級用戶。管理級用戶負責系統整體數據備份，日常維護，系統模塊設置、公共字典維護、用戶定義及用戶權限設置等；業務級用戶負責各個業務崗位上數據的錄入、修改、刪除、統計、檢索等功能，該類用戶對系統中的數據具有完全的存取訪問權限，每個用戶的操作功能和訪問數據內容的權限將根據其業務職能的不同而有所區別；瀏覽級用戶主要是通過Internet網查詢已經開放的檔案信息，絕不允許對系統中的數字進行修改和刪除。無論是哪一類用戶，他在訪問系統的過程中主要是通過嚴格的身份認證技術來保證系統的安全性。因此系統用戶的安全管理也是非常重要的。各業務人員在操作過程中切不可將密碼帖在機器上，或者設置非常簡單的密碼，這些都是不利于安全管理的常見錯誤做法。

第4篇：數據安全管理細則范文

《不動產登記暫行條例》（以下簡稱《條例》）對不動產統一登記工作提出了新的要求，主要體現在以下三方面：一是更好地保護不動產權利人合法財產權，保障不動產交易安全，維護正常的市場交易秩序；二是提高政府治理效率和水平；三是方便企業、方便群眾，減輕當事人的負擔。信息平臺的統一和建設面臨著更加艱巨和復雜的任務。

1.相關上位法對登記結果提出了更精準的要求

《條例》用了整章篇幅對不動產登記簿（登記結果的體現）做出了規定，要求不動產基本單元及編碼、主體自然狀況、主體權屬狀況及權利事項等必須準確無誤。目前，重慶市正在擬定的《重慶市不動產登記條例》將進一步細化以上要求。因此，新系統建設須從登記業務的“收、審、登、發”主要環節全面考慮，以登記業務的法律特征和合理流程再造為驅動、信息技術為手段來確保電子登記簿中的登記結果準確無誤，進而維護不動產登記簿的核心地位。

2.農村不動產的納入對信息平臺的兼容性和高效性提出了更高要求

一是農村區域廣闊，我市農村區域占全市幅員總面積超90%，人口多，涉及登記的數據量將更大；二是原有基礎薄弱，數據格式不規范，數據銜接難度大；三是由于原多部門分別登記發證，已發權利證書存在權利重疊的現象，矛盾較多，情況復雜；四是農村區域廣，交通不發達，權利人多跑路，辦事困難；五是基層工作力量薄弱，鄉鎮辦理點少，通常一個片區國土所要轄2-4個鄉鎮。

3.相關部門及社會公眾對登記信息共享提出更精細、更便捷的新要求

隨著不動產統一登記的社會關注程度不斷增強，政府相關部門和社會公眾對登記信息共享利用的要求逐漸精細化、便捷化。以渝中區為例，2016年前三季度受理的登記案件數量為54563件，而受理的檔案查詢申請數量為88081件，不動產登記信息查詢的社會需求已經超過了不動產登記辦件的需求；另一方面，對登記信息利用的精細化程度要求不斷提高，金融機構在辦理抵押、注銷抵押時，稅務部門在辦理核稅、減免稅費時，公檢法紀部門在辦理司法協執、線索查詢時，均對登記信息查詢的精細化程度提出了更高的要求。

4.“互聯網+”“大數據”等概念對登記信息的安全提出更高的保密要求

隨著“互聯網+”“大數據”等概念深入人心，互聯網資源、信息通信技術、數據挖掘技術在信息利用、社會資源配置上的優勢日益明顯。這些新興的信息化形態在解決登記各方信息不對稱上、提供便捷化服務上、收集辦事群眾行為反饋上、輔助管理上凸顯了巨大的便民作用，但同時對登記信息的保密工作卻提出了極高的要求。

二、當前信息平臺建設取得的成效

我市自推進不動產統一登記工作以來，市國土房管局充分利用原有成果基礎，按照國土資源部相關要求和我市“先城市，后農村”的工作思路，目前在原“地房籍信息系統”基礎上順利完成了初步升級改造，及時滿足了城鎮不動產登記的需要。

1.信息平臺的建設總體規劃構建完成

于2015年10月完成制定的《重慶市不動產登記信息管理基礎平臺建設總體方案》（以下簡稱《總體方案》），構建了該行業平臺信息化建設的總體規劃。從背景、目的、內容、計劃等多個方面規劃了我市不動產登記信息平臺的建設藍圖，后續的平臺建設工作將按照《總體方案》的設計有序推進。

2.實現了城鎮區域國有土地上不動產登記信息平臺的統一

我市房地產交易管理、登記確權、權籍調查等信息系統，在歷史上存在各行政區域各自實施、標準不一、缺乏互通的情況。于2011年至2012年上線實施的“重慶市地房籍管理信息系統”，使相關各類信息系統在使用上完成了統一；2015年至2016年，在“地房籍系統”基礎上上線實施的“重慶市不動產登記系統”，實現了信息平臺的整合和集中。

3.滿足了城鎮區域國有土地上不動產登記的主要業務需求

以“不動產登記系統”為代表的現有信息平臺，實現了對城鎮區域國有土地上的不動產登記、房地產交易管理、權籍調查管理三個部分的信息化支撐，初步搭建了宅基地、農林不動產登記的雛形，并在長壽、豐都開展試點。現有信息平臺基本滿足了城鎮區域國有土地上不動產登記的主要業務需求。

4.為統一不動產登記的業務標準提供了手段

現有信息平臺依照《不動產登記暫行條例》和《不動產登記暫行條例實施細則》的要求，實現了部分不動產登記業務標準的統一。一是統一了登記程序，實現了申請、受理、審核、登簿、發證的程序統一；二是統一了登記業務類別，設置完成了城區域國有土地上不動產登記的10個登記大類和69個登記小類，借助信息化手段明確了登記的業務范圍；三是統一了登記簿，實現了國有土地及其定著物的電子登記簿。

三、新形勢下信息平臺優化建設總體思路

為達到不動產統一登記的真正目的，信息平臺建設須以“便民、高效”為宗旨，不能出現因統一登記反而辦事困難，時間更長甚至給權利人帶來不必要的損失等情況。因此，在全市國土房管系統信息化建設總體規劃下，考慮到不動產統一登記所面臨的新形勢和新要求，“不動產登記系統”應按照“總體控制、業務獨立”的區分模式單獨進行打造。由于此項工作參與人數多、設備投入大，故工作推進中，應以《總體方案》為指導，管理上認真劃分信息化管理機構、信息化建設機構以及登記機構等參與各方的職責邊界；技術上要根據登記業務的類型、流程及要求，突出以滿足登記業務需求為主導、信息技術為手段的思路進行系統設計；應用上要以登記信息的合法應用需求為驅動不斷優化和升級系統，同時，使用先進技術手段做好登記信息的安全保密工作；保障上要充分考慮全市區域大、區縣基礎不一的實際特點，采取登記數據集中匯交管理下的分片區業務數據管理的模式。

四、信息平臺建設中參與各方的職能設置

要進一步厘清平臺建設過程中各個環節的職能劃分，承擔平臺建設職能的具體單位要各取所長、分工合作。考慮將平臺信息化建設職能劃分為三個層級，即信息化領導、監督職能，基礎平臺信息化建設職能，專業平臺信息化建設職能。

1.信息化領導、監管職能

承擔國土房管行業的信息化建設領導職責，制定行業信息化總體規劃，制定信息技術標準，開展信息技術指導、監督與培訓，提供信息化咨詢，指導信息安全工作等。體現為統一規劃，集中管理。

2.基礎平臺信息化建設職能

承擔國土房管行業基礎平臺信息化的建設職責，開展行業內通用領域的信息化建設。如基礎設施建設、“互聯網+”服務、云計算、大數據及數據分析、數據匯集、對外公示一致性、數據管理等。體現為標準統一，集中建設。

3.專業平臺信息化建設職能

是指國土房管行業內，與具體職能業務相關的一系列信息平臺的建設職能。如不動產登記、土地利用、執法監察、公積金、公租房等。體現為統籌安排、分部建設。

不動產登記機構作為具體的登記職能單位，需要在上級信息化建設部門的領導、監督下，在基礎平臺信息化建設成果的支撐下，開展不動產登記信息平臺的建設工作。

具體到不動產登記信息平臺的建設，主要需要支撐不動產登記行業的相關業務，如城鎮區域不動產登記、農村區域不動產登記、不動產登記信息查詢利用、房地產交易管理、不動產權籍調查等業務范圍。

五、健全登記業務為主導、信息技術為手段的建設機制

不動產登記具有法律專業性，登記工作涉及到眾多專業技術領域，登記信息利用的精確化要求也非常高。在建設信息平臺時，需要堅持登記業務為主導，充分發揮信息技術的優勢，登記機構同信息化建設機構分工協作、加強交流，健全平臺的建設機制。

1.登記業務主導，開展平臺的業務分析、需求分析、系統設計

在建設信息平臺時，應當按照“先摸清業務規則，再開展需求分析，最后設計信息系統”的步驟來進行。登記機構作為業務的具體承擔機構，應當在這部分工作中發揮熟悉業務的優勢。

首先，政策法規和辦件需要是信息平臺建設的業務依據，登記機構應當著力于這兩方面的研究工作，一方面開展政策法規研究，確保系統的合法合理，另一方面整理日常辦件過程中的業務需要，實現系統對登記辦件、信息利用、權籍調查、市場監管、管理決策等業務的支持。

其次，在進行業務分析的基礎上，開展系統建設的需求分析工作。主要包含三方面的工作：一是需求調研、收集工作，制定需求調研計劃，完成《軟件可行性研究報告》；二是需求評審工作，不動產信息平臺的相關使用單位、建設單位建立聯系機制，對需求分析報告進行評審，降低因需求調研不到位、分析有誤、人員理解不一致等原因帶來的風險，形成“軟件需求說明書”；三是需求管理工作，在系統試運行時、局部調整時、革新換代時，不斷收集因需求變化帶來的系統問題，并建立機制對這些變化的需求進行管理，確保系統生命周期的延續。

最后，在建立起需求分析機制的前提下，開展平臺的設計工作。一是邏輯模型設計，分析設計信息平臺的關系數據模型（如受理要件、審批流程、登記簿），以及非關系數據模型（如一張圖）；二是功能設計，對信息平臺將要實現的目標進行明確，劃分系統與子系統的功能邊界，接口方式，形成“系統功能說明書”；三是部署設計，充分利用現有的基礎信息資源（網絡資源、虛擬主機資源、存儲資源、數據災備資源等），劃分集中部署與分部部署的模塊，開展數據安全管理。

信息平臺的系統設計，既涉及業務，又涉及信息技術，登記機構與信息化建設機構需要在該環節上加強溝通，將業務優勢與技術優勢有效結合。

2.發揮技術優勢，運用軟件工程的思想開展信息系統建設與運營

盡管信息平臺的建設應當由業務進行主導，但最終仍會落足在信息技g上。信息化建設機構應在該環節中發揮知識優勢，合理運用先進的技術手段，提高系統的科技含量。建設一套系統是實現統一不動產登記信息平臺的起點，而運營好這套系統才是實現平臺價值的體現。

運用軟件工程的思想，開展系統版本迭代，通過機制不斷完善系統，實現系統生命周期的延續。

六、堅持登記信息合法利用、確保信息安全的原則

不動產登記產生的數據信息既要服務于社會利用，又要保障信息安全，這兩者看似一對矛盾體，但能通過合理地建設信息平臺來兼顧。

一方面，要發揮登記機構熟悉業務的優勢，仔細研究法律法規對于登記信息查詢的要求，認真分析登記機構查詢辦件的業務實際，合法合理地開展信息平臺的設計與優化工作。

第5篇：數據安全管理細則范文

 

以下內容由收錄，希望能為大家提供幫助。

 

 

上半年，在區委區政府和街道黨工委的正確領導下,在上級統計部門的精心指導及有關部門的密切配合下,統計站全體職工精誠協作,認真貫徹黨的十八屆、省市區統計工作會議精神，按照國家、省市區統計局關于統計改革和建設的工作思路，緊密結合區委區政府的經濟和社會發展目標，實事求是，開拓創新，強化統計服務、統計改革、統計信息化和統計基礎和統計實務工作，全面推進了我街道各項統計工作的順利開展，充分發揮了統計信息、咨詢和監督的整體功能，為XX轄區社會經濟發展作出了積極的貢獻。現將半年來的工作總結如下:

一、 再接再厲，全力以赴做好經濟普查后期工作，獲得了市級表彰。

1-3月，第三次全國經濟普查進入收尾的關鍵階段，在區經普辦的具體指導下，統計站進一步加強查遺補漏、數據核對及備份等工作，全力做到普查對象不重不漏，普查數據更準確，備份整理更完整。

1、是細致核對，繼續嚴格做好單位查漏補缺后續工作。采取一查二核三補的方法，即在查閱前期數據的基礎上，更仔細、全面的對街道范圍內的單位進行再次核對，補充遺漏單位，補齊遺漏數據。同時，對已搬遷、注銷、無法找到的單位做好記錄，并在PDA設備進行底冊核查操作。通過查漏補缺，保證普查數據真實、準確、完整。

2、是及時備份，確保數據安全。街道經普辦對轄區7個普查小區共8臺PDA設備的最新數據進行一次完整的備份和導出，并及時拷貝至區經普辦作數據上傳。同時要求各普查小區妥善保管好PDA設備，進一步提高對數據安全管理的認識，對保存數據的電腦定期進行病毒查殺，確保數據安全保密。

3、是全面回顧，認真分析經濟普查工作中出現的亮點和問題，對數據進行分類整理，以便于以后開展工作。在第三次經濟普查工作中，因工作出色XX街道辦被評為深圳市第三次全國經濟普查先進集體、林XX被評為市先進個人。

二、精心組織、高質量完成統計定期報表、年報工作

統計站以提高統計數據質量為中心，采取四項措施，加強統計工作，強化審核評估，準確、及時地完成了2014年報和定期報表任務，共完成了各專業的年報工作164家，其中限上的工業18家、批發零售13家、服務業24家、建筑業3家、住餐3家、商業小樣本4家、勞資99家，轄區數據質量得到明顯提高。

1、是強化組織實施。為及時、高質量完成2014年報和定報任務，統計站成立統計年報、定期報表工作領導小組，并組織企業召開年報、定期報表工作會議，講解報表制度，為企業答疑解惑。

2、是明確目標責任。制定工作目標責任制，明確各專業各社區統計人員工作目標責任，并具體落實到人。

3、是落實規范標準。認真落實基礎工作規范化建設制度，要求每個專業人員必須嚴格按照規范化建設的標準和要求，嚴把報表質量關。

4、是完善評估機制。進一步完善“企業一套表”的數據質量評估機制，確保各項經濟指標符合時序進度，客觀反映我街道經濟運行情況。其中日曼醫藥、思駿服裝、雙合電氣3家企業因報表報送及時、數據質量高被評為市先進;聞道服飾、國威電子、中聯制藥、時運達、斯比泰5家企業被評為區先進。

三、全面落實統計新任務，積極主動推進了固定資產統計工作

固定資產投資統計進行了重大改革。此次投資改革把投資統計對象由項目統計轉變為法人單位，把投資額計算方法由形象進度轉變為財務支出。改革后的調查范圍由以前有項目的企業擴大到轄區所有“一套表”范圍內法人企業，納入國家“一套表”統計范圍，實行聯網直報。此次固定資產報表改革時間緊、任務重，轄區65家企業需和年報一同報送報表，為確保企業能及時準確上報數據，統計站全體工作人員不畏辛苦，加班加點分片區上門，發放報表制度，一對一對企業統計員進行現場培訓，取得企業統計人員的信任和理解，保證了報表的及時報送，受到了區統計局的表揚。

四、加班加點，任勞任怨開展各項專項調查和統計監測

1、廣東省居民群眾幸福感調查抽到坳下和畔山社區，隨機抽樣各25戶填寫問卷，此次調查時間緊，要求高:必須在規定時間內實地上門、現場填寫、并全程錄音，統計站嚴格按照調查要求，組織統計站全體工作人員，放棄休息時間，連續兩個周末從早到晚在社區上門開展調查，遇到不配合的住戶，耐心做思想工作，取得居民的信任和配合，經過大家的齊心協力，圓滿完成了調查，受到了市、區統計局的表揚。

2、在轄區有序開展了小微企業、規模以下工業、建筑業、限額以下小樣本企業、工業企業技術創新、消費者信心指數、群眾安全感抽樣調查等11項專項調查，因這些專項調查都有很強的時效性、統計站全體工作人員都是利用晚上和周末時間，加班加點逐一上門，對住戶和企業進行調查，共上門245戶，完成調查任務。為上級政府、業務部門及區委區政府提供了真實可信的數據，得到了上級部門的肯定。

2、同時根據上級統計部門的要求，繼續開展了10戶城鎮住戶記賬工作。統計站在認真做好住戶資料收集、業務培訓的基礎上，深入記賬戶家中，做好記賬戶的思想工作，與記賬戶交心、聯心，取得記賬戶對調查工作的理解和配合，使10戶城鎮住戶的每月的記賬工作得以順利開展。

五、分片包干、逐戶上門完成了基本單位名錄庫更新維護工作。

為全面摸清街道統計單位底數，保證基本單位名錄庫的日常管理和維護更新，按照區統計局的要求，經過統計站全體工作人員的共同努力，2015上半年基本單位名錄庫維護如期完成。

我街道此次維護單位共672戶，其中法人新增175戶;法人變更205戶;法人注銷145戶;產業新增21戶;產業變更84戶;產業注銷42戶。加強基本單位名錄庫維護建設是一項專業性強、涉及范圍廣、工作難度大的系統工作，在工作中，統計站一是高度重視，組建了維護工作小組，將基本單位名錄庫維護更新工作擺上了重要的議事議程，做到了抓早抓快、抓細抓實。二是實施分片包干，逐戶上門發表，與單位積極溝通，講解各個指標的填寫要求。三是對名錄庫單位認真核對維護，屬于注銷的單位及時將其在名錄庫中刪除;對新增法人單位，按統計專業進行分類，及時輸入補充。四是對法人變更企業，及時進行更正上報;整個維護工作做到了逐一聯系、逐一輔導更新，確保名錄庫維護更新工作取得明顯成效。為今后四上企業梳理、各類專項調查及數據分析等工作提供了有力的數據參考。

六、積極籌備、多方協調推進全國1%人口抽樣調查前期工作。

第6篇：數據安全管理細則范文

關鍵詞：計算機；信息系統；軟件；安全；保障

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044（2016）10-0064-02

1 計算機信息安全簡述

計算機信息安全保障工作主要是指保護用戶數據完整性、保密性以及可用性三方面的內容，計算機的應用滲透到我國政治、經濟、文化以及國防建設的方方面面，其應用的廣泛性以及面對日益嚴峻的信息安全問題，使得信息系統安全保障工作尤為重要，下文將分析引發計算機信息系統安全問題的主要因素和解決思路，為提升計算機信息安全提供一定的參考。

2 引發計算機信息系統安全問題的原因分析

2.1 信息系統所依賴的操作系統造成的安全問題

操作系統（Operating System）是計算機各種硬件資源和軟件資源的大管家，操作系統的安全性保障不足是造成計算機信息系統安全問題。一般而言，操作系統引發的安全問題主要表現在如下幾個方面：其一，操作系統漏洞，這種問題通常是由操作系統設計時的邏輯或者編碼缺陷和錯誤所引起的，以最為常見的windows系列操作系統而言，服務拒絕漏洞、熱鍵漏洞、帳號快速切換漏洞、UPNP服務漏洞等都是常見的操作系統漏洞；其二，操作系統組件的安全問題，例如提供Internet服務的IIS組件中MSADC可以使得惡意攻擊者執行遠程指；其三，是操作系統安全設置的問題，例如不用用戶的權限分配問題、管理員賬戶的弱口令問題等都是操作系統安全設置方面的問題。通常而言，由于操作系統管理著各種軟硬件資源，因此其引發的信息安全問題波及面相對比較廣泛。

2.2 應用軟件造成的信息系統安全問題

應用軟件是計算機解決特定問題的專門性的軟件，如常見的辦公軟件Office、聊天軟件MSN、視頻軟件Windows Media、專業的作圖軟件Photoshop等等。應用軟件帶給用戶方便的同時往往由于軟件設計問題引發了一些安全問題，例如Office應用程序出現的MS12-027漏洞，相對而言應用程序所造成的安全問題相對于操作系統而言影響范圍較小，但也同樣不容忽視。除此之外，一些來源不明的應用軟件或者用戶貪圖便宜下載的破解軟件也會造成一定的安全問題，該類軟件捆綁木馬、病毒等惡意程序，容易致使用戶數據遭受完整性和保密性的破壞。

2.3 計算機硬件造成的安全問題

計算機硬件是軟件系統得以運行的必要支撐，而硬件引發安全問題主要表現在兩個方面，其一，是計算機硬件物理環境的安全穩定性問題，主要包括計算機電磁破壞、靜電的干擾、供電設備的穩定性、物理設備防偷盜功能以及濕度溫度對于計算機硬件的損壞；其二，是使用一些不安全的硬件設備，例如在機關單位使用家用的路由設備，隨意將可移動磁盤在有重要數據的主機上進行拔插等，都給一些不懷好意的人留下了可乘之機，很容易的就可以發動遠程攻擊。計算機硬件安全問題是人們容易忽視的信息系統安全方面，人們往往更多的關注于木馬、病毒等帶來的破壞，殊不知硬件帶來的數據丟失損壞往往是致命的。因此，在保障信息系統安全方面，選用質量上乘的硬件設備也是計算機系統安全保障工作的重要方面。

2.4 計算機應用者操作水平以及安全意識不足引起的安全問題

計算機應用者是操作計算機完成各類工作的主動行為者。其操作水平以及安全意識不足也容易造成計算機安全問題，主要有如下幾個方面，第一，缺乏基本計算機操作水平，這種現象主要發生在一些年長的計算機應用者身上，由于對于信息技術的陌生性無法進行基本的計算機操作；第二，缺乏信息系統安全操作意識，該類人員有一定的計算機操作應用水平，往往心存僥幸認為信息安全遠離自身而進行一些危險性的操作，例如關閉防火墻、隨意將主機暴露在公共網絡之上，在操作完成郵件后不能進行安全推出；第三，不能合理的使用計算機各類應用軟件，例如在注冊用戶名/密碼時使用弱口令，將本地的打印機設備隨意的在局域網內共享、不加限制的共享本地文件等都是非常危險的操作。總之，計算機應用者缺乏必要的安全意識和基本的安全操作技能也是導致信息安全問題的重要方面。

3 構建計算機信息系統安全保障

3.1 提升操作系統的安全穩定性

計算機信息系統的安全保障首先應加強操作系統的安全性。操作系統的安全保障手段主要有三個方面，第一，應定期對操作系統中的漏洞進行“打補丁”操作，通過“打補丁”操作能夠有效地減少由于操作系統漏洞引發的信息系統安全問題，例如Microsoft公司的Windows7 SP1補丁包；第二，關閉操作系統中不常用的服務組件，加強操作系統的審計，例如關閉不對外提供網絡服務的IIS組件，刪除Windows Media Player避免常見的信息泄漏和腳本執行漏洞；第三，更新或者升級不作系統廠商所支持的操作系統或，例如及時的升級Windows xp系統或者安裝Linux操作系統減少安全風險。正如上文所述，操作系統管理著整個計算機信息系統的軟硬件資源，其安全性是不容忽視的，因此加強其安全保障是非常必要的。

3.2 提升應用軟件安全保障

應用軟件安全有效拓展了計算機功能，是計算機完成特定工作的必要軟件支撐。提升應用軟件的安全保障應從應用軟件選擇、更新維護以及使用三個方面進行加強。首先，應用軟件的選擇，應從正規的、可靠的、知名度較高的軟件供應商或組織下載所需要的應用軟件，堅決杜絕使用被破解、來源不明的應用軟件；其次，是應用軟件的更新維護工作，更新維護一方面能夠提升帶給用戶更加便捷的可用性，另一方面更新維護往往對應用軟件中存在的安全漏洞進行修復的過程，因此做好應用軟件的更新維護工作也是非常必要的；最后就是應用軟件使用的合理性方面，例如FTP文件服務應禁止匿名訪問，通過分配給用戶登錄名和密碼來確保文件服務器的安全性，同時還有一些遠程軟件的應用，在方便自身的同時容易造成安全漏洞，因此在一些具有保密性數據的PC上應盡量的杜絕該類軟件的應用。總之，應用軟件是計算機信息系統實現特定功能的程序集，提升其安全性能夠有效保障信息系統的安全性。

3.3 提升計算機硬件安全保障以及安全組件的運用

計算機硬件安全安全保障主要是在計算機信息系統設備的防盜、防電磁破壞、防惡劣環境破壞等方面的保護，另外，為了防止突然停電對于重要數據丟失的影響可以采用UPS供電設備，伴隨著標準化機房建設，未來計算機硬件安全保障較之傳統都有了較大的提升。為了提升信息安全方面保障，運用一些安全軟硬件設備也是非常有必要的。以常見的防火墻硬件技術為例，通過在內外網之間安裝防火墻設備能夠有效的過濾各類數據，通過在各網絡各個層次添加各種級別防火墻設備，能夠做到IP數據報、應用數據流等多維度的數據保護，另外三層交換機提供的VLAN子網劃分技術在企業多部門數據保護方面都有著廣泛的應用。需要提及的是，目前無線網絡的大量應用也使得無線路由器的安全成為人們關注的焦點，本文建議在使用無線路由器時應限制登錄IP，網絡訪問加密以及MAC地址綁定等手段提升無線網絡的安全性。除此之外，應在計算機主機上安裝殺毒軟件，目前常見的有諾頓、小紅傘、360等安全防護軟件，通過傻瓜式的操作便可方便做到操作系統的安全保障，因此合理運用好安全類的應用軟件也行之有效的辦法。總之，提升計算機硬件保障以及安全組間的運用也是信息系統安全保障的重要方面。

3.4 提升計算機應用者的安全操作意識和技能

加強計算機應用者的安全意識和安全操作水平能夠有效提升計算機信息系統的安全性。建議從以下方面進行加強，首先，指定的計算機操作制度，尤其在一些的機構應做好制度方面的設計，應根據工作實際需求，指定具體的實施細則，例如不可以將計算機主機帶出辦公場所、不可以對計算機硬盤數據進行刻錄、定期對計算機審計報告進行查看記錄；其次，定期對應用人員進行安全培訓，一方面使其形成必要的信息安全意識，在安全意識方面可以以真實的案例進行教育，通過真實案例能夠有效增加應用人員的安全意識，使其充分意識到信息安全的重要性；另一方面應加強其安全操作水平，使其掌握必要的計算機應用技能，例如通過清理用戶Cookie數據、關閉長期不用的計算機端口、定期更改計算機登錄口令等具體的操作實現用戶具備較強的安全操作水平。

綜上所述，計算機信息系統的安全性涉及計算機操作系統、應用軟件、計算機硬件以及計算機應用者等諸多方面，加強計算機信息系統的安全保障應從各個方面進行努力，最終實現信息系統運行的安全穩定性。

參考文獻：

[1] 龔雷. 應用安全透明支撐平臺體系結構與模型研究[D].鄭州： 信息工程大學， 2013.

[2] 張小平. M公司信息安全管理研究[D].廣州： 華南理工大學， 2014.

[3] 何洪峰. 論網絡論壇事前審查制度[D]. 廣州： 華南理工大學， 2014.

[4] 朱素平. G市國稅內網網絡與信息安全管理研究[D].南寧： 廣西大學， 2013.

第7篇：數據安全管理細則范文

關鍵詞：檔案；電子化管理；現狀；對策

中圖分類號：G275 文獻標識碼：A 文章編號：1007-9599 (2012) 09-0000-02

計算機網絡的發展對人們的工作、生活產生了極大的影響，科技的進步不僅提高了人們的生活質量，還對人們的日常工作模式產生了深刻的影響。電子化技術在各行各業得到廣泛使用，檔案的電子化管理無論是在檔案的管理質量上還是管理模式上，都是以往檔案管理模式所無法比擬的，檔案電子化管理具有極大的優勢。

一、檔案電子化管理概述

（一）檔案電子化管理概念。檔案的電子化管理是指檔案管理人員利用計算機硬件、檔案管理軟件系統和網絡技術的手段，對檔案資源實行計算機現代化管理的過程。檔案電子化管理包括檔案的收集、整理、卷內目錄錄入、文件上傳和查閱、利用，是檔案管理與現代科學技術結合的產物。檔案的電子化管理實現了多種學科知識、多部門協作和多專業配合的系統化管理體系，是當今各行各業進行檔案管理的趨勢。現代電子化檔案的發展改變了傳統檔案管理的弊端，在管理形式以及管理模式上都具有非常重要的意義。

（二）檔案電子化管理的優勢。傳統的檔案管理需要借用大量的紙質媒介，在檔案的記錄、使用以及交流過程之中都具有極大的不便，檔案的電子化管理有效的解決了這些管理上的難題。首先，檔案的電子化有利于保護檔案的原件。檔案具有重要的參考價值，過多的使用和借閱檔案原件會造成檔案原件的損害，甚至會丟失重要的資料。檔案的電子化文件方便了人們的查閱，極大程度上保護了原件。其次，檔案的電子化提高了檔案管理部門的工作效率。人們只要輸入要查找的關鍵字，計算機檔案管理系統就能迅速調閱電子檔案或定位該紙質檔案存放位置，縮短了查找的時間，極大的提高了工作效率。再次，節省人力，減少經費的支出。原來的檔案管理部門由于檔案材料極多，需要大量的檔案管理人員，管理部門不僅要投入大量的經費，還造成了管理部門的臃腫。此外，檔案管理的電子化還對資源實現共享使檔案成了“活”的記錄，檔案是用來做分析的，并非用來一味保留的，利用檔案做數據分析，數據挖掘，這樣我們的檔案才有價值，我們的信息化也才更有動力！

二、我國檔案電子化管理的現狀

隨著改革開放的日漸深入，全球化的信息浪潮和先進的技術早就席卷了我國的大江南北，我國的檔案管理信息化、數字化在各行各業檔案管理中已經普遍推廣使用。但是，目前我國的檔案電子管理還存在一定技術上和管理上的問題，需要我們進行正確的認識。

（一）對檔案電子化管理的認識水平比較低。檔案管理的電子化和信息化是在新時期新形勢下對檔案管理手段的創新，檔案的電子化管理急需得到廣大檔案管理部門的正確認識和有效利用。但是長期以來人們對檔案管理的電子化認識具有一定的狹隘性，一些人僅把檔案管理的電子化和分類保存聯系在一起，認為把卷內目錄用計算機打印出來就是檔案管理計算機化了；一些人認為電子化的管理不可靠，電腦若出現問題整個電子文檔便不復存在了；有些人認為，花十幾萬甚至二三十萬上套檔案管理系統不值得；

（二）檔案保密方面的問題。檔案是單位的寶貴財富，檔案的保密性與真實性是檔案管理人員最為注重的。檔案管理的電子化實現了管理的便捷，在很大程度上實現了資源的共享，但是也加大了檔案管理的風險。計算機檔案信息管理系統是以數據和查詢為特征的數據庫應用系統，數據庫的安全，計算機系統正的常運行，都需要有相當計算機知識的人員來維護，檔案管理人員目前還沒有達到較高的計算機水平，檔案管理的電子化對他們的工作帶來了極大的挑戰和不便。

（三）檔案電子化管理技術上的問題。檔案的電子化管理對計算機設備具有極強的依賴性，硬件方面，單機版的需要較高的計算機配置，網絡版的需要服務器、交換機、網線等的支撐；軟件方面，需要一支非常專業的計算機軟件開發隊伍，經過對檔案工作深刻細致的調研，開發出檔案管理軟件系統，按照檔案管理的要求科學地、標準地、規范地、簡潔地完成電子檔案的錄入、生成、上傳、查閱、銷毀、各種報表統計等。此外，檔案的電子化管理國家尚沒有形成統一的規則，檔案電子化管理的質量還有待提高。

（四）電子檔案的法律效力問題。我們知道原始紙質的檔案材料經相關部門的蓋章，具有極強的法律效力。在查閱檔案或者傳達命令時都需要加蓋印章的原始檔案材料，電子版的檔案在現階段不具有很強的法律效力。電子版的檔案目前只限于信息的通報和會議的通知，對于比較正式的人事任命和處理決定，相關部門還需要出示加蓋印章的檔案材料。電子檔案還不能得到相關部門的認可，同樣它也不具有很強的法律效力。

三、對檔案電子化管理的幾點思考

時代在進步，科技在發展，各行各業已經阻擋不住信息化技術前進的腳步。同時在這場信息技術革命中，各個行業都不能置身其外。檔案的管理工作是一件技術性和保密性極強的工作，廣大的檔案管理部門以及檔案管理人員要在現有管理技術的水平上加強對檔案管理電子化的認識，在現有基礎上完善檔案的電子化管理。

（一）檔案電子化管理技術的提高。廣大的檔案管理部門以及相關的使用部門之所以不信賴檔案的電子化管理，主要原因還是檔案電子化技術的不成熟。技術的革新是檔案信息化的靈魂，檔案電子化缺乏了技術上的支撐勢必只是一句空話。首先，配備性能良好、質量可靠的計算機設備。這是檔案管理部門進行電子化管理的保障。其次，設計出適合檔案管理部門的檔案信息管理軟件，使檔案管理實現真正的規范化、標準化、信息化、自動化、系統化。此外，檔案管理部門還要提高檔案管理人員的計算機水平，保證計算機軟件和硬件的正常運行。

（二）維護電子檔案的安全。檔案極具重要的參考價值和歷史價值，檔案電子化管理的安全問題也是檔案電子化管理最要注重的問題。首先，檔案管理部門要保存一套完整的、真實的紙質檔案原件，在電子檔案丟失和損毀的情況下，可以進行電子檔案的修復。其次，管理部門的信息共享機制要有嚴格的規劃和限制，檔案管理部門不能將機密的檔案到互聯網上，建立自己部門的信息網絡和信息安全管理制度。此外，檔案管理需要有安全的操作制度和使用制度，既做到對檔案的方便使用，又做到對檔案的嚴格保密。最重要的是做好數據庫備份，常殺病毒，保證數據安全的。

（三）提高檔案管理人員的素質。檔案管理人員要摒棄以往傳統手工管理的死板模式，傳統管理下的檔案里里外外都是老古董。檔案的利用只限在一定范圍內和少數人之中，對外提供服務的工作幾乎沒有開展，使許多有利用價值的檔案成為死檔案，嚴重制約了檔案工作的自身發展。在使用新的管理手段時，要加強自身的業務素質。首先，管理部門人員要認識到電子檔案管理的優越性，放下對檔案管理電子化的戒備心理，在這場電子革命中充分實現管理手段的更新。其次，管理人員要定期進行學習，掌握先進的管理手段，在運用電子化技術進行檔案管理的同時，做好電子檔案的保密工作。此外，檔案管理人員還要嚴防檔案管理部門以外人員對檔案的使用，加強本部門的保密制度建設，嚴格遵守本部門的使用細則和信息共享細則。在做好本職工作的同時，增強自身素質。

（四）轉變觀念，加強電子檔案的法律效力。檔案管理的電子化進程還是一個比較漫長的過程。在檔案的電子化管理中，不僅檔案管理部門的人員需要轉變觀念，加強對電子化技術的認識，相關部門也要改變傳統的觀念，改變對電子檔案的認識。立法工作者還要結合國外的案例，對我國電子檔案的法律效力做出正確的定位。世界范圍內的信息技術革命是不可避免的，相關法律部門要配合檔案管理人員做好檔案的電子化管理，增強檔案管理人員進行檔案管理電子化改革的信心。相關的使用部門也要在認定中轉變觀念，承認電子檔案的效力。

結語：

檔案管理的電子化是檔案管理部門迎合時展潮流的重要產物，檔案的電子化管理趨勢不可避免。檔案的電子化管理在檔案的使用、保存以及傳送上都具有極大的便利，是對原有檔案管理模式的更新。由于受以往檔案管理模式的影響，現階段我國范圍內的檔案電子化管理還存在一定的問題。檔案電子化管理是一個復雜而漫長的過程，相關的管理部門要在現有管理技術的基礎上加強學習，轉變原有的觀念和態度，增強對檔案管理電子化的認識，真正實現檔案管理的信息化、技術化、便利化。

參考文獻：

[1]史桂芬.檔案事業的電子革命[J].上海工程技術大學教育研究,2009,01

[2]高貴弟.淺談電子文件歸檔與電子檔案管理[J].蚌埠黨校學報,2010,04

第8篇：數據安全管理細則范文

第一條為強化我省社會保險經辦機構內部管理與監督，防范和化解運行風險，調整和規范社會保險管理服務工作，確保社會保險基金安全，根據勞動和社會保障部《社會保險經辦機構內部控制暫行辦法》規定，特制訂本實施細則。

第二條本實施細則所稱的內部控制是指各級社會保險經辦機構對系統內部職能部門及其工作人員從事社會保險管理服務工作及業務行為進行規范、監控、評價、糾錯的方法、程序、措施的總稱。內部控制由組織機構控制、業務運行控制、基金財務控制、信息系統控制等組成。

第三條本實施細則適用于我省各級社會保險經辦機構及其分支機構。

第四條各級社會保險經辦機構應建立健全內部控制制度。業務部門負責本業務環節的內部控制的具體實施工作，稽核部門負責組織實施本地區、本部門管理范圍內社會保險經辦機構內部控制的監督檢查工作。

上級社會保險經辦機構對下級社會保險經辦機構的內部控制工作進行指導、監督和檢查。上級勞動保障行政部門不定期對內部控制工作進行核查。

省級社會保險經辦機構負責指導全省社會保險經辦機構貫徹實施本細則，對全省社會保險經辦機構內部控制工作進行監督檢查。

第五條內部控制建設的目標：在全省社會保險經辦機構系統內建立一個運作規范、管理科學、監控有效、考評嚴格、糾錯有力的內部控制體系，對社會保險經辦機構各項業務、各環節、各崗位進行全過程的監督，提高社會保險政策法規和各項規章的執行力，保證社會保險基金的安全完整，維護參保者的合法權益。

第六條內部控制應遵循以下原則：

（一）合法性。內部控制的各項內容規范、統一，符合國家和省有關社會保險政策、法規的要求。

（二）完整性。各項業務管理行為都有相應的制度規定和監督制約。所有部門、崗位和人員，所有業務項目和操作環節都在內部控制的范圍內。

（三）制衡性。從組織機構的設置上確保各部門和崗位權責分明、相互制約，通過有效的相互制衡措施消除內部控制中的盲點和弱點。

（四）有效性。在崗位、部門和單位三級內控管理模式的基礎上，形成科學合理的內部控制決策機制、執行機制和監督機制。建立合理的內控程序，保障內控管理的有效執行。

（五）適應性。各項具體工作制度和流程都應與管理服務實際相結合，根據需要及時進行調整、修改和完善，適應社會保險管理服務的變化。

（六）持續性。內部控制保持持續性，不因機構調整、人員更換而出現紕漏。

第七條監督檢查人員開展內部控制的監督檢查工作嚴格遵守客觀、公正、保密的原則。監督檢查人員辦理監督檢查事項，與被監督檢查對象或監督檢查事項有利害關系的，應當回避。

第二章組織機構控制

第八條建立完善的組織決策控制制度。全省各級社會保險經辦機構應對內部機構、崗位設置、決策程序、法人授權、會議紀要、審批歸檔等方面作出具體、明確的規定。

第九條建立科學的人事管理制度。除應當共同遵守的機關事業單位人事管理制度外，還應對崗位設置與職責、人員配備與任用、學習與培訓、考核與獎懲作出詳細規定。

第十條建立明確的領導授權制度。對授權的人員與范圍、權力的制約與監督、崗位輪換或分工調整、常規審計與離任審計等作出明細規定。

第十一條建立有效的內控考評制度。對風險控制情況的評估、對違反規定行為的責任追究等內容做出明文規定。

第十二條業務經辦部門、基金財務部門與稽核內審部門的單位分管領導原則上不得同一人；保險關系部門和待遇（包括養老、工傷、醫療、失業、生育保險，下同）核發部門的單位分管領導原則上不得同一人。

第十三條保險關系、待遇核發、基金財務、稽核內審、信息技術等工作責權應分設在不同部門。

第十四條保險關系、待遇核發、基金財務、稽核內審、信息系統維護等工作不得同一人兼任。

第十五條根據工作需要和人員狀況，社會保險經辦機構中層干部應當適時輪崗，在同一崗位任職3至5年的應當輪崗。負責待遇核發、視同繳費年限核定、基金財務、信息系統維護、參保人員檔案管理等工作崗位人員應不定期輪崗。

第十六條各級社會保險經辦機構應當配置適量的稽核工作人員，并要求具備必要的專業知識。

第三章業務運行控制

第十七條認真貫徹實施《*省社會保險經辦業務管理規程（試行）》，規范經辦業務操作流程，嚴格層級管理規定。

著重規范參保登記、繳費申報與核定、賬戶管理、轉移與退保、待遇審核、待遇支付、醫療費用結算、社會化發放、基金財務、檔案管理、計劃統計、稽核監督等環節的操作流程。

第十八條辦理社會保險各項業務應嚴格審核相關報表、憑證等資料的真實性、完整性和有效性，出具的相關資料和憑證應規范統一，數據修改應有嚴格的審批制度和程序，同時進行登記備案。

第十九條業務操作實行授權管理，設置處理權限。單項業務，一人不能同時進行二級（含二級）以上業務權限的操作。各部門、崗位的業務管理、操作人員都應在其職權范圍內開展工作，不得超越所授權限。各項業務環節既獨立操作，又相互銜接、相互制約。

第二十條業務處理權限的分配及其調整應由業務部門擬定報分管領導審批后送稽核部門、信息管理部門備案。

第二十一條：明確單位領導審批層級和審批范圍。

（一）應經社會保險經辦機構分管領導審批的業務：涉及各項社會保險基金征收、支付、多征社保費退款、多付待遇扣回、社保基金轉出，涉及三年以上五年以下的社保費補繳，修改已核定的繳費歷史、視同繳費年限、出生時間，工傷保險待遇審核，通過后臺修改業務系統數據等。

（二）應經社會保險經辦機構主要領導審批的業務：每月社保基金的支出總額，待遇調整和個人帳戶記賬利率調整等參數設置。

（三）應經社會保險經辦機構領導集體決定的業務：待遇機構、定點醫療（醫藥）機構、工傷（康復）機構選定，大額工傷醫療費用的支出；補繳5年以上社會保險費。

（四）以上三款未列明業務的審批層級和審批范圍的，由各市根據本實施細則制定實施辦法時明確。

第二十二條實行辦事公開。社會保險政策、業務流程、辦理時限和內容以及經辦人等應公開透明。

第二十三條建立完善檔案資料保管制度。社會保險業務的原始資料以及辦理過程中涉及的相關資料按照《*省社會保險業務檔案管理暫行辦法》規定處理。

第四章基金財務控制

第二十四條依法依規進行財務管理。基金財務管理嚴格按照國家法律、法規、政策和社會保險基金財務會計制度，建立明確的會計操作規程，對財務處理的全過程實施監督。

第二十五條嚴密會計控制。依法建帳，按照不同險種分帳核算，各險種之間、統籌基金與個人帳戶不得相互擠占。會計科目設置準確、規范，帳務處理符合財務會計要求。記帳依據的原始憑證、記帳憑證合法有效，憑證、帳簿摘要內容準確，能清晰反映業務內容。更正會計記錄應履行必要的審批手續，并附有詳細的記錄。

第二十六條明確崗位責任。基金財務部門應設置會計負責人（主管）、記帳、復核、出納、財務網管等財務崗位，明確各崗位的職責范圍。財務收支審批實行分級授權，未經授權不得越崗代辦。出納員不得兼任稽核、會計檔案保管和收入、支出、債權債務帳目的登錄工作；帳務印鑒、票據、空白憑證實行專人管理并有登記，辦理付款業務所需印章不得由一人集中保管。會計人員輪崗或調離時，必須嚴格履行交接手續。

第二十七條建立合理的責任分離制度。貨幣、有價證券的保管與帳務處理相分離；重要空白憑證的保管與使用相分離；資金收支審批與具體業務辦理相分離；信息數據處理與業務辦理及會計處理相分離。

第二十八條完善社會保險基金賬務核對制度，對不同帳務應定期核對，做到帳帳、帳證、帳表、帳據、帳實、財務賬與業務賬以及內外賬務相符。

基金財務部門應指定專人按月核對基金收入戶、支出戶、財政專戶銀行賬戶，按月核對征收部門反饋的征收數額。基金財務部門應對賬目差異進行審核分析、及時處理。

基金財務部門應定期接收并檢查委托發放銀行、郵局等反饋的發放信息，與會計核算支出明細核對。

基金財務部門應定期對現金、票據和存單、債券等有價證券進行檢查、核對、登記和管理。

基金財務部門應對業務部門核定的待遇支出數據進行復核后結算。

第二十九條盡快實行電算化管理，通過手工方式交換社保費征收數據的，錄入、確認實到賬數據的業務環節應經二人以上操作。

第五章信息系統控制

第三十條各級社會保險經辦機構應充分利用計算機技術手段規范業務操作程序，減少操作過程的人為因素，最大限度地實現內部控制的自動化。

第三十一條各市社會保險經辦機構應在全市范圍內使用統一的業務操作軟件，條件具備時全省社會保險經辦機構使用統一的業務操作軟件。

第三十二條嚴格按照勞動保障部關于社會保險信息系統建設的標準規范業務系統和數據庫建設，制定明確的操作流程和管理制度。根據業務流程和業務系統功能劃分各個部門和崗位的職能，明確業務操作人員和系統維護人員的職責和權限，并建立相應的管理制度。

第三十三條建立計算機監控業務運行的常規制度。業務系統應設置數據間邏輯鉤稽關系檢測功能，業務部門和稽核部門定時或不定時檢查業務數據邏輯關系的正確性，并依此對經辦業務進行監控。

第三十四條業務系統對有關聯關系的業務必須建立聯動和牽制關系，并設置防止錯誤操作的警示和制約功能。

第三十五條業務系統研發人員與業務系統維護操作人員職責和權限必須分離，不得由同一人兼任。業務系統研發人員負責業務系統編程工作，不得直接對業務數據進行操作；業務系統維護操作人員根據研發人員所編程序進行業務系統維護操作，不得承擔業務系統的編程工作。業務系統維護操作人員應為社會保險經辦機構在編人員。

第三十六條建立數據錄入、修改、訪問、使用、保密、維護的權限管理制度，明確數據操作所依據的有效憑證和必須履行的審批手續，加強對信息系統數據的監控。通過計算機后臺修改業務系統數據的業務應設置三級（含三級）以上操作權限。按照上級要求，逐步建立完善社會保險數據庫，建立遠程備份機制，確保數據安全。

第三十七條業務系統應設置業務操作、系統維護的記錄和可檢查功能。業務系統上所有操作都必須留有記錄（痕跡），具有可溯性和可復核性。業務部門和稽核部門應定期自查或檢查操作記錄。

業務系統維護技術文檔應作為長期檔案歸檔保管。

第三十八條建立有效的信息交流反饋機制。對業務數據等信息管理、交流和反饋作出明確規定，確保管理層及時了解各項業務的辦理情況和綜合數據。

第三十九條建立計算機機房管理和網絡安全管理制度，按照國家有關規定使用網絡。業務系統與互聯網必須實現物理隔離，防止通過網絡篡改業務系統數據行為。加強網絡和計算機病毒防護，確保網絡安全。

第四十條建立密碼或指紋管理制度，每年至少更換一次操作密碼，崗位變動時應隨時更換操作密碼，確保密碼和指紋使用安全。

第四十一條加強機房和相關設備的管理。做好防塵、防火、防水、防磁、防雷擊等工作，落實定期維護、故障處理、安全值班、出入登記等制度，確保設備的正常運轉。

第六章內部控制的監督檢查

第四十二條稽核部門應履行內部控制的管理與監督職能，依照國家、省有關社會保險法規、政策以及規范性文件，制定內部控制監督檢查年度及日常工作計劃，報單位領導批準后，定期或不定期對內部控制體系的運行情況進行檢查。省級社會保險經辦機構不定期對全省社會保險經辦機構內部控制體系的運行情況進行檢查。

社會保險經辦機構內控制度運行情況接受社會保險基金監督行政部門的監督。

第四十三條業務部門對本部門業務辦理情況應每月自查一次。

第四十四條稽核部門對本級有關部門內部控制的監督檢查每半年一次。市級社會保險經辦機構對縣級社會保險經辦機構內部控制的監督檢查每半年一次；省級社會保險經辦機構對市級社會保險經辦機構內部控制的監督檢查每年一次，并可根據需要直接對縣級社會保險經辦機構進行內部控制的監督檢查。

稽核部門應在每年1月底前向本單位領導提交上年度內部控制監督檢查工作情況報告。市級社會保險經辦機構每年1月底前向省級社會保險經辦機構報送上年度內部控制工作情況，省級社會保險經辦機構每年2月底前向省勞動和社會保障廳報送上年度全省內部控制工作情況。

內部控制監督檢查采取全面檢查、重點抽查的方式。

第四十五條稽核部門開展內部控制監督檢查工作，具有以下職權：

（一）有權要求被檢查對象提供各項社會保險基金的預算、決算、報告、報表和財務會計等資料；檢查被檢查對象有關的會計憑證、帳簿、報表、資產和有關業務信息系統數據、檔案、資料，參加被檢查對象的有關會議；對與監督檢查事項有關問題向有關對象進行調查取證。

（二）對被檢查對象拒絕、拖延提供資料，或拒絕稽核部門的問詢或作不實的說明的，稽核部門有權要求其糾正，情節嚴重的建議單位領導給予行政處分。被檢查對象不落實整改要求的，稽核部門應及時上報單位領導予以處理。

（三）對危害社會保險基金安全的嚴重違法違規行為，馬上做出阻止、糾正的決定。

（四）在監督檢查過程中，稽核部門及其工作人員發現被檢查對象或個人存在違法違規行為并構成犯罪的，應及時上報單位領導、同級基金監督行政部門和上級社會保險經辦機構稽核部門并提出移交司法機關追究刑事責任的建議。

（五）提出糾正、處理違法違規行為的意見和對責任單位和個人給予批評、處分的建議。

第四十六條稽核部門的工作人員開展內部控制的監督檢查工作，應依法履行職責，不得泄露被檢查對象有關工作秘密，不得、、弄虛作假。違反規定的，給予行政處分；構成犯罪的，依法追究刑事責任。

第四十七條內部控制的監督檢查按以下程序實施：

（一）監督檢查前應制訂監督檢查方案，報本單位領導批準，成立檢查組。

監督檢查前，原則上應提前7個工作日向被檢查對象發出《監督檢查通知書》。通知書內容：

1.被檢查對象的名稱；

2.檢查的依據、范圍、內容、方式和時間；

3.對被檢查對象配合檢查的具體要求；

4.檢查組組長及其他成員名單；

5.稽核部門公章及其簽發日期。上級社會保險經辦機構對下級社會保險經辦機構實施內部控制的監督檢查，應蓋上級社會保險經辦機構公章。

在特殊情況下，若事前通知對監督檢查效果有明顯影響的，經單位領導批準，可直接持《監督檢查通知書》實施檢查工作。

（二）檢查人員應根據檢查情況編制工作底稿，做到一事一稿。工作底稿內容：

1.檢查項目工作底稿編號；

2.檢查項目名稱；

3.檢查事項發生的日期、文件號、憑證號、金額等；

4.檢查事項主要內容的摘錄；

5.附件的主要內容及張數；

6.被檢查對象相關人員簽名；

7.檢查組制單人、復核人簽名及填制日期；

8.其他應說明的事項。

（三）檢查組應在監督檢查結束后10個工作日內（特殊情況可延長到30個工作日以內），形成監督檢查報告。報告內容：

1.檢查的范圍、內容、方式和時間；

2.對檢查項目的基本評價；

3.認定存在問題的基本事實、造成的后果以及認定依據、證據和處理建議；

4.提出改善內部控制工作的建議；

5.檢查組認為應當報告的其他事項；

6.檢查組組長及其他成員簽名；

7報告日期。

（四）檢查組在提交監督檢查報告前，要征求被檢查對象意見。被檢查對象收到監督檢查報告征求意見稿之日起5個工作日內，提出書面意見或說明；在規定期限內沒有提出書面意見或說明的，視為無異議。檢查組對有異議的問題應進一步核實，如有必要應當修改監督檢查報告。

檢查組在上報監督檢查報告時，要將被檢查對象書面意見或說明，以及工作底稿一并上報單位領導審批。

（五）監督檢查報告經審批后，稽核部門應及時書面通知被檢查對象，要求限期整改。被檢查對象應在1個月內將整改情況報稽核部門。稽核部門應將檢查結果定期進行公示。

第四十八條稽核部門應當按《*省社會保險業務檔案管理暫行辦法》等有關規定及時對監督檢查過程中形成的相關資料進行整理、立卷，移交單位檔案管理部門統一歸檔和管理。

歸檔管理的資料：《監督檢查通知書》，工作底稿，監督檢查報告，被檢查對象書面意見或說明，違法違規行為的證據材料，被檢查對象整改資料及其它應歸檔資料。

業務部門自查形成的資料應作為長期檔案歸檔保管。

第七章獎懲制度

第四十九條各級社會保險經辦機構應建立崗位責任制和各部門、崗位和業務環節的差錯追究制度，強化內部監督制約。

第五十條建立內控考評機制。內部控制考評工作由省級社會保險經辦機構統一組織，采取本級自評、上級考評的形式進行。內部控制考評工作每年進行一次，考評時限為上年度。自評時間為每年1月，考評時間為每年第一季度。考評內容：

（一）單位領導是否重視內部控制制度建設。包括單位領導對內部控制制度建設的關注和要求，建立有利于控制風險的組織架構等內容。

（二）社會保險經辦機構是否制訂科學合理的內部控制制度，并按內部控制制度規定完善業務操作和崗位責任制。

（三）各項業務是否嚴格按照業務操作規程辦理，崗位責任制是否落實，是否存在、、等行為。

（四）各項業務辦理環節中的辦理手續是否完備，相關憑證是否真實有效，數據錄入是否完整準確，相關崗位之間的制約是否落實。

（五）基金的收支是否符合標準和規定；是否存在社會保險基金被貪污、挪用、截留等現象。

第五十一條社會保險經辦機構應建立內部控制獎懲制度。

對在內部控制工作中認真履行職責，忠于職守、堅持原則、做出顯著成績的人員，由所在單位給予精神或者物質獎勵。

第9篇：數據安全管理細則范文

企業根據發展戰略和業務需要進行信息系統建設,首先要確立系統建設目標,根據目標進行系統建設戰略規劃,再將規劃細化為項目建設方案。企業開展信息系統建設,可以根據實際情況,采取自行開發、外購調試或業務外包等方式。選擇外購調試或業務外包方式的,應當采用公開招標等形式擇優選擇供應商或開發單位。選擇自行開發信息系統的,信息系統歸口管理部門應當組織企業內部相關業務部門進行需求分析,合理配置人員,明確系統設計、編程、安裝調試、驗收、上線等全過程的管理要求。企業信息系統歸口管理部門應當加強信息系統開發全過程的跟蹤管理,增進開發單位與企業內部業務部門的日常溝通和協調,組織獨立于開發單位的專業機構對開發完成的信息系統進行檢查驗收,并組織系統上線運行。

(一)制定信息系統開發的戰略規劃

信息系統開發的戰略規劃是信息化建設的起點,戰略規劃是以企業發展戰略為依據制定的企業信息化建設的全局性、長期性規劃。該環節的主要風險是:第一,缺乏戰略規劃或規劃不合理,可能造成信息孤島或重復建設,導致企業經營管理效率低下。第二,沒有將信息化與企業業務需求結合,降低了信息系統的應用價值。信息孤島現象是不少企業信息系統建設中存在的普遍問題,根源在于這些企業往往忽視戰略規劃的重要性,缺乏整體觀念和整合意識,常常陷于頭痛醫頭,腳痛醫腳,這就導致有的企業財務管理信息系統、銷售管理信息系統、生產管理信息系統、人力資源管理系統、辦公自動化系統等各自為政、孤立存在的現象,削弱了信息系統的協同效用,甚至引發系統沖突。

主要管控措施:第一,企業必須制定信息系統開發的戰略規劃和中長期發展計劃,并在每年制定經營計劃的同時制定年度信息系統建設計劃,促進經營管理活動與信息系統的協調統一。第二,企業在制定信息化戰略過程中,要充分調動和發揮信息系統歸口管理部門與業務部門的積極性,使各部門廣泛參與,充分溝通,提高戰略規劃的科學性、前瞻性和適應性。第三,信息系統戰略規劃要與企業的組織架構、業務范圍、地域分布、技術能力等相匹配,避免相互脫節。

(二)選擇適當的信息系統開發方式

在開發建設環節,要將企業的業務流程、內控措施、權限配置、預警指標、核算方法等固化到信息系統中,因此開發建設的好壞直接影響信息系統的成敗。開發建設主要有自行開發、外購調試、業務外包等方式。各種開發方式有各自的優缺點和適用條件,企業應根據自身實際情況合理選擇。

1.自行開發

自行開發是企業依托自身力量完成整個開發過程。其優點是開發人員熟悉企業情況,可以較好地滿足本企業的需求,尤其是具有特殊性的業務需求。通過自行開發,還可以培養鍛煉自己的開發隊伍,便于后期的運行和維護。其缺點是開發周期較長、技術水平和規范程度較難保證,成功率相對較低。因此,自行開發方式的適用條件通常是企業自身技術力量雄厚,而且市場上沒有能夠滿足企業需求的成熟的商品化軟件和解決方案。比如百度的搜索引擎系統就偏重于自行開發。

2.外購調試

外購調試的基本做法是企業購買成熟的商品化軟件,通過參數配置和二次開發滿足企業需求。其優點是開發建設周期短;成功率較高;成熟的商品化軟件質量穩定,可靠性高;專業的軟件提供商實施經驗豐富。其缺點是難以滿足企業的特殊需求;系統的后期升級進度受制于商品化軟件供應商產品更新換代的速度,企業自不強,較為被動。外購調試方式的適用條件通常是企業的特殊需求較少,市場上已有成熟的商品化軟件和系統實施方案。比如大部分企業的財務管理系統、ERP系統、人力資源管理系統等多采用外購調試方式。

3.業務外包

信息系統的業務外包是指委托其他單位開發信息系統,基本做法是企業將信息系統開發項目外包出去,由專業公司或科研機構負責開發、安裝實施,由企業直接使用。其優點是企業可以充分利用專業公司的專業優勢,量體裁衣,構建全面、高效滿足企業需求的個性化系統;企業不必培養、維持龐大的開發隊伍,相應節約了人力資源成本。其缺點是溝通成本高,系統開發方難以深刻理解企業需求,可能導致開發出的信息系統與企業的期望產生較大偏差;同時,由于外包信息系統與系統開發方的專業技能、職業道德和敬業精神存在密切關系,也要求企業必須加大對外包項目的監督力度。業務外包方式的適用條件通常是市場上沒有能夠滿足企業需求的成熟的商品化軟件和解決方案,企業自身技術力量薄弱或出于成本效益原則考慮不愿意維持龐大的開發隊伍。

(三)自行開發方式的關鍵控制點和主要管控措施

雖然信息系統的開發方式有自行開發、外購調試、業務外包等多種方式,但基本流程大體相似,通常包含項目計劃、需求分析、系統設計、編程和測試、上線等環節。

1.項目計劃環節

戰略規劃通常將完整的信息系統分成若干子系統,并分階段建設不同的子系統。比如,制造企業可以將信息系統劃分為財務管理系統、人力資源管理系統、MRP系統(銷售、采購、庫存、生產)、計算機輔助設計和制造系統、客戶關系系統、電子商務系統等若干子系統。項目就是指本階段需要建設的相對獨立的一個或多個子系統。

項目計劃通常包括項目范圍說明、項目進度計劃、項目質量計劃、項目資源計劃、項目溝通計劃、風險對策計劃、項目采購計劃、需求變更控制、配置管理計劃等內容。項目計劃不是完全靜止、一成不變的,在項目啟動階段,可以先制定一個較為原則的項目計劃,確定項目主要內容和重大事項,然后根據項目的大小和性質以及項目進展情況進行調整、充實和完善。該環節的主要風險是:信息系統建設缺乏項目計劃或者計劃不當,導致項目進度滯后、費用超支、質量低下。

主要管控措施:第一,企業應當根據信息系統建設整體規劃提出分階段項目的建設方案,明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容,按照規定的權限和程序審批后實施。第二,企業可以采用標準的項目管理軟件(比如Office Project)制定項目計劃,并加以跟蹤。在關鍵環節進行階段性評審,以保證過程可控。第三,項目關鍵環節編制的文檔應參照《GB8567-88計算機軟件產品開發文件編制指南》等相關國家標準和行業標準進行,以提高項目計劃編制水平。

2.需求分析環節

需求分析的目的是明確信息系統需要實現哪些功能。該項工作是系統分析人員和用戶單位的管理人員、業務人員在深入調查的基礎上,詳細描述業務活動涉及的各項工作以及用戶的各種需求,從而建立未來目標系統的邏輯模型。該環節的主要風險是:第一,需求本身不合理,對信息系統提出的功能、性能、安全性等方面的要求不符合業務處理和控制的需要。第二,技術上不可行、經濟上成本效益倒掛,或與國家有關法規制度存在沖突。第三,需求文檔表述不準確、不完整,未能真實全面地表達企業需求,存在表述缺失、表述不一致甚至表述錯誤等問題。

主要管控措施:第一,信息系統歸口管理部門應當組織企業內部各有關部門提出開發需求,加強系統分析人員和有關部門的管理人員、業務人員的交流,經綜合分析提煉后形成合理的需求。第二,編制表述清晰、表達準確的需求文檔。需求文檔是業務人員和技術人員共同理解信息系統的橋梁,必須準確表述系統建設的目標、功能和要求。企業應當采用標準建模語言(例如UML),綜合運用多種建模工具和表現手段,參照《GB8567-88計算機軟件產品開發文件編制指南》等相關標準,提高系統需求說明書的編寫質量。第三,企業應當建立健全需求評審和需求變更控制流程。依據需求文檔進行設計(含需求變更設計)前,應當評審其可行性,由需求提出人和編制人簽字確認,并經業務部門與信息系統歸口管理部門負責人審批。

3.系統設計環節

系統設計是根據系統需求分析階段所確定的目標系統邏輯模型,設計出一個能在企業特定的計算機和網絡環境中實現的方案,即建立信息系統的物理模型。系統設計包括總體設計和詳細設計。總體設計的主要任務是:第一,設計系統的模塊結構,合理劃分子系統邊界和接口。第二,選擇系統實現的技術路線,確定系統的技術架構,明確系統重要組件的內容和行為特征,以及組件之間、組件與環境之間的接口關系。第三,數據庫設計,包括主要的數據庫表結構設計、存儲設計、數據權限和加密設計等。第四,設計系統的網絡拓撲結構、系統部署方式等。詳細設計的主要任務包括:程序說明書編制、數據編碼規范設計、輸入輸出界面設計等內容。

該環節的主要風險是:第一,設計方案不能完全滿足用戶需求,不能實現需求文檔規定的目標。第二,設計方案未能有效控制建設開發成本,不能保證建設質量和進度。第三,設計方案不全面,導致后續變更頻繁。第四,設計方案沒有考慮信息系統建成后對企業內部控制的影響,導致系統運行后衍生新的風險。

主要管控措施:第一,系統設計負責部門應當就總體設計方案與業務部門進行溝通和討論,說明方案對用戶需求的覆蓋情況;存在備選方案的,應當詳細說明各方案在成本、建設時間和用戶需求響應上的差異;信息系統歸口管理部門和業務部門應當對選定的設計方案予以書面確認。第二,企業應參照《GB8567-88計算機軟件產品開發文件編制指南》等相關國家標準和行業標準,提高系統設計說明書的編寫質量。第三,企業應建立設計評審制度和設計變更控制流程。第四,在系統設計時應當充分考慮信息系統建成后的控制環境,將生產經營管理業務流程、關鍵控制點和處理規程嵌入系統程序,實現手工環境下難以實現的控制功能,例如:對于某一財務軟件,當輸入支出憑證時,可以讓計算機自動檢查銀行存款余額,防止透支。第五,應充分考慮信息系統環境下的新的控制風險。比如,要通過信息系統中的權限管理功能控制用戶的操作權限,避免將不相容職務的處理權限授予同一用戶。第六,應當針對不同的數據輸入方式,強化對進入系統數據的檢查和校驗功能。比如,憑證的自動平衡校對。第七,系統設計時應當考慮在信息系統中設置操作日志功能,確保操作的可審計性。對異常的或者違背內部控制要求的交易和數據,應當設計由系統自動報告并設置跟蹤處理機制。第八,預留必要的后臺操作通道,對于必需的后臺操作,應當加強管理,建立規范的操作流程,確保足夠的日志記錄,保證對后臺操作的可監控性。

4.編程和測試環節

編程階段是將詳細設計方案轉換成某種計算機編程語言的過程。編程階段完成之后,要進行測試,測試主要有以下目的:一是發現軟件開發過程中的錯誤,分析錯誤的性質,確定錯誤的位置并予以糾正。二是通過某些系統測試,了解系統的響應時間、事務處理吞吐量、載荷能力、失效恢復能力以及系統實用性等指標,以便對整個系統做出綜合評價。測試環節在系統開發中具有舉足輕重的地位。

該環節的主要風險是:第一,編程結果與設計不符。第二,各程序員編程風格差異大,程序可讀性差,導致后期維護困難,維護成本高。第三,缺乏有效的程序版本控制,導致重復修改或修改不一致等問題。第四,測試不充分。單個模塊正常運行但多個模塊集成運行時出錯,開發環境下測試正常而生產環境下運行出錯,開發人員自測正常而業務部門用戶使用時出錯,導致系統上線后可能出現嚴重問題。

主要管控措施:第一,項目組應建立并執行嚴格的代碼復查評審制度。第二,項目組應建立并執行統一的編程規范,在標識符命名、程序注釋等方面統一風格。第三,應使用版本控制軟件系統(例如CVS),保證所有開發人員基于相同的組件環境開展項目工作,協調開發人員對程序的修改。第四,應區分單元測試、組裝測試(集成測試)、系統測試、驗收測試等不同測試類型,建立嚴格的測試工作流程,提高最終用戶在測試工作中的參與程度,改進測試用例的編寫質量,加強測試分析,盡量采用自動測試工具提高測試工作的質量和效率。具備條件的企業,應當組織獨立于開發建設項目組的專業機構對開發完成的信息系統進行驗收測試,確保在功能、性能、控制要求和安全性等方面符合開發需求。

5.上線環節

系統上線是將開發出的系統(可執行的程序和關聯的數據)部署到實際運行的計算機環境中,使信息系統按照既定的用戶需求來運轉,切實發揮信息系統的作用。該環節的主要風險是:第一,缺乏完整可行的上線計劃,導致系統上線混亂無序。第二,人員培訓不足,不能正確使用系統,導致業務處理錯誤,或者未能充分利用系統功能,導致開發成本浪費。第三,初始數據準備設置不合格,導致新舊系統數據不一致、業務處理錯誤。

主要管控措施:第一,企業應當制定信息系統上線計劃,并經歸口管理部門和用戶部門審核批準。上線計劃一般包括人員培訓、數據準備、進度安排、應急預案等內容。第二,系統上線涉及新舊系統切換的,企業應當在上線計劃中明確應急預案,保證新系統失效時能夠順利切換回舊系統。第三,系統上線涉及數據遷移的,企業應當制定詳細的數據遷移計劃,并對遷移結果進行測試。用戶部門應當參與數據遷移過程,對遷移前后的數據予以書面確認。

(四)其他開發方式的關鍵控制點和主要控制措施

下面介紹其他開發方式(業務外包、外購調試)的關鍵控制點和主要管控措施。

在業務外包、外購調試方式下,企業對系統設計、編程、測試環節的參與程度明顯低于自行開發方式,因此可以適當簡化相應的風險控制措施,但同時也因開發方式的差異產生一些新的風險,需要采取有針對性的管控措施。

1.業務外包方式的關鍵控制點和主要管控措施

(1)選擇外包服務商。該環節的主要風險是:由于企業與外包服務商之間本質上是一種委托――關系,合作雙方的信息不對稱容易誘發道德風險,外包服務商可能會實施損害企業利益的自利行為,如偷工減料、放松管理、信息泄密等。

主要管控措施:第一,企業在選擇外包服務商時要充分考慮服務商的市場信譽、資質條件、財務狀況、服務能力、對本企業業務的熟悉程度、既往承包服務成功案例等因素,對外包服務商進行嚴格篩選。第二,企業可以借助外包業界基準來判斷外包服務商的綜合實力。第三,企業要嚴格外包服務審批及管控流程,對信息系統外包業務,原則上應采用公開招標等形式選擇外包服務商,并實行集體決策審批。

(2)簽訂外包合同。該環節的主要風險是:由于合同條款不準確、不完善,可能導致企業的正當權益無法得到有效保障。

主要管控措施:第一,企業在與外包服務商簽約之前,應針對外包可能出現的各種風險損失,恰當擬定合同條款,對涉及的工作目標、合作范疇、責任劃分、所有權歸屬、付款方式、違約賠償及合約期限等問題做出詳細說明,并由法律部門或法律顧問審查把關。第二,開發過程中涉及商業秘密、敏感數據的,企業應當與外包服務商簽訂詳細的“保密協定”,以保證數據安全。第三,在合同中約定付款事宜時,應當選擇分期付款方式,尾款應當在系統運行一段時間并經評估驗收后再支付。第四,應在合同條款中明確要求外包服務商保持專業技術服務團隊的穩定性。

(3)持續跟蹤評價外包服務商的服務過程。該環節的主要風險是:企業缺乏外包服務跟蹤評價機制或跟蹤評價不到位,可能導致外包服務質量水平不能滿足企業信息系統開發需求。

主要管控措施:第一,企業應當規范外包服務評價工作流程,明確相關部門的職責權限,建立外包服務質量考核評價指標體系,定期對外包服務商進行考評,并公布服務周期的評估結果,實現外包服務水平的跟蹤評價。第二,必要時,可以引入監理機制,降低外包服務風險。

2.外購調試方式的關鍵控制點和主要管控措施

在外購調試方式下,一方面,企業面臨與委托開發方式類似的問題,企業要選擇軟件產品的供應商和服務供應商、簽訂合約、跟蹤服務質量,因此,企業可采用與委托開發方式類似的控制措施;另一方面,外購調試方式也有其特殊之處,企業需要有針對性的強化某些控制措施。

(1)軟件產品選型和供應商選擇

在外購調試方式下,軟件供應商的選擇和軟件產品的選型是密切相關的。該環節的主要風險是:第一,軟件產品選型不當,產品在功能、性能、易用性等方面無法滿足企業需求。第二,軟件供應商選擇不當,產品的支持服務能力不足,產品的后續升級缺乏保障。

主要管控措施:第一,企業應明確自身需求,對比分析市場上的成熟軟件產品,合理選擇軟件產品的模塊組合和版本。第二,企業在軟件產品選型時應廣泛聽取行業專家的意見。第三,企業在選擇軟件產品和服務供應商時,不僅要評價其現有產品的功能、性能,還要考察其服務支持能力和后續產品的升級能力。

(2)服務提供商選擇。大型企業管理信息系統(如ERP系統)的外購實施,不僅需要選擇合適的軟件供應商和軟件產品,也需要選擇合適的咨詢公司等服務提供商,指導企業將通用軟件產品與本企業的實際情況有機結合。該環節的主要風險是:服務提供商選擇不當,削弱了外購軟件產品的功能發揮,導致無法有效滿足用戶需求。

主要管控措施:在選擇服務提供商時,不僅要考核其對軟件產品的熟悉、理解程度,也要考核其是否深刻理解企業所處行業的特點、是否理解企業的個性化需求、是否有過相同或相近的成功案例。

三、信息系統的運行與維護

信息系統的運行與維護主要包含三方面的內容:日常運行維護、系統變更和安全管理。

(一)日常運行維護的關鍵控制點和主要管控措施

日常運行維護的目標是保證系統正常運轉,主要工作內容包括系統的日常操作、系統的日常巡檢和維修、系統運行狀態監控、異常事件的報告和處理等。該環節的主要風險是:第一,沒有建立規范的信息系統日常運行管理規范,計算機軟硬件的內在隱患易于爆發,可能導致企業信息系統出錯。第二,沒有執行例行檢查,導致一些人為惡意攻擊會長期隱藏在系統中,可能造成嚴重損失。第三,企業信息系統數據未能定期備份,可能導致損壞后無法恢復,從而造成重大損失。

主要管控措施:第一,企業應制定信息系統使用操作程序、信息管理制度以及各模塊子系統的具體操作規范,及時跟蹤、發現和解決系統運行中存在的問題,確保信息系統按照規定的程序、制度和操作規范持續穩定運行。第二,切實做好系統運行記錄,尤其是對于系統運行不正常或無法運行的情況,應將異常現象、發生時間和可能的原因作出詳細記錄。第三,企業要重視系統運行的日常維護,在硬件方面,日常維護主要包括各種設備的保養與安全管理、故障的診斷與排除、易耗品的更換與安裝等,這些工作應由專人負責。第四,配備專業人員負責處理信息系統運行中的突發事件,必要時應會同系統開發人員或軟硬件供應商共同解決。

(二)系統變更的關鍵控制點和主要管控措施

系統變更主要包括硬件的升級擴容、軟件的修改與升級等。系統變更是為了更好地滿足企業需求,但同時應加強對變更申請、變更成本與進度的控制。該環節的主要風險是:第一,企業沒有建立嚴格的變更申請、審批、執行、測試流程,導致系統隨意變更。第二,系統變更后的效果達不到預期目標。

主要管控措施是:第一,企業應當建立標準流程來實施和記錄系統變更,保證變更過程得到適當的授權與管理層的批準,并對變更進行測試。信息系統變更應當嚴格遵照管理流程進行操作。信息系統操作人員不得擅自進行軟件的刪除、修改等操作;不得擅自升級、改變軟件版本;不得擅自改變軟件系統的環境配置。第二,系統變更程序(如軟件升級)需要遵循與新系統開發項目同樣的驗證和測試程序,必要時還應當進行額外測試。第三,企業應加強緊急變更的控制管理。第四,企業應加強對將變更移植到生產環境中的控制管理,包括系統訪問授權控制、數據轉換控制、用戶培訓等。

(三)安全管理的關鍵控制點和主要管控措施

安全管理的目標是保障信息系統安全,信息系統安全是指信息系統包含的所有硬件、軟件和數據受到保護,不因偶然和惡意的原因而遭到破壞、更改和泄漏,信息系統能夠連續正常運行。該環節的主要風險是:第一,硬件設備分布物理范圍廣,設備種類繁多,安全管理難度大,可能導致設備生命周期短。第二,業務部門信息安全意識薄弱,對系統和信息安全缺乏有效的監管手段。少數員工可能惡意或非惡意濫用系統資源,造成系統運行效率降低。第三,對系統程序的缺陷或漏洞安全防護不夠,導致遭受黑客攻擊,造成信息泄露。第四,對各種計算機病毒防范清理不力,導致系統運行不穩定甚至癱瘓。第五,缺乏對信息系統操作人員的嚴密監控,可能導致舞弊和利用計算機犯罪。

主要管控措施:第一,建立信息系統相關資產的管理制度,保證電子設備的安全。硬件和網絡設備不僅是信息系統運行的基礎載體,也是價值昂貴的固定資產。企業應在健全設備管理制度的基礎上,建立專門的電子設備管控制度,對于關鍵信息設備(例如銀行的核心數據庫服務器),未經授權,不得接觸。

第二,企業應成立專門的信息系統安全管理機構,由企業主要領導負總責,對企業的信息安全作出總體規劃和全方位嚴格管理,具體實施工作可由企業的信息主管部門負責。企業應強化全體員工的安全保密意識,特別要對重要崗位員工進行信息系統安全保密培訓,并簽署安全保密協議。企業應當建立信息系統安全保密制度和泄密責任追究制度。

第三,企業應當按照國家相關法律法規以及信息安全技術標準,制定信息系統安全實施細則。根據業務性質、重要程度、情況等確定信息系統的安全等級,建立不同等級信息的授權使用制度,采用相應技術手段保證信息系統運行安全有序。對于信息系統的使用者和不同安全等級信息之間的授權關系,應在系統開發建設階段就形成方案并加以設計,在軟件系統中預留這種對應關系的設置功能,以便根據使用者崗位職務的變遷進行調整。

第四,企業應當有效利用IT技術手段,對硬件配置調整、軟件參數修改嚴加控制。例如,企業可利用操作系統、數據庫系統、應用系統提供的安全機制,設置安全參數,保證系統訪問安全;對于重要的計算機設備,企業應當利用技術手段防止員工擅自安裝、卸載軟件或者改變軟件系統配置,并定期對上述情況進行檢查。

第五,企業委托專業機構進行系統運行與維護管理,應當嚴格審查其資質條件、市場聲譽和信用狀況等,并與其簽訂正式的服務合同和保密協議。

第六,企業應當采取安裝安全軟件等措施防范信息系統受到病毒等惡意軟件的感染和破壞。企業應當特別注重加強對服務器等關鍵部位的防護;對于存在網絡應用的企業,應當綜合利用防火墻、路由器等網絡設備,采用內容過濾、漏洞掃描、入侵檢測等軟件技術加強網絡安全,嚴密防范來自互聯網的黑客攻擊和非法侵入。對于通過互聯網傳輸的或者關鍵業務數據,企業應當采取必要的技術手段確保信息傳遞的保密性、準確性、完整性。

第七,企業應當建立系統數據定期備份制度,明確備份范圍、頻度、方法、責任人、存放地點、有效性檢查等內容。系統首次上線運行時應當完全備份,然后根據業務頻率和數據重要性程度,定期做好增量備份。數據正本與備份應分別存放于不同地點,防止因火災、水災、地震等事故產生不利影響。企業可綜合采用磁盤、磁帶、光盤等備份存儲介質。

第八,企業應當建立信息系統開發、運行與維護環節的崗位責任制度和不相容職務分離制度,防范利用計算機舞弊和犯罪。一般而言,信息系統不相容職務涉及的人員可以分為三類:系統開發建設人員、系統管理和維護人員、系統操作使用人員。開發人員在運行階段不能操作使用信息系統,否則就可能掌握其中的數據,進行非法利用;系統管理和維護人員擔任密碼保管、授權、系統變更等關鍵任務,如果允許其使用信息系統,就可能較為容易地篡改數據,從而達到侵吞財產或濫用計算機信息的目的。此外,信息系統使用人員也需要區分不同崗位,包括業務數據錄入、數據檢查、業務批準等,在他們之間也應有必要的相互牽制。企業應建立用戶管理制度,加強對重要業務系統的訪問權限管理,避免將不相容職責授予同一用戶。企業應當采用密碼控制等技術手段進行用戶身份識別。對于重要的業務系統,應當采用數字證書、生物識別等可靠性強的技術手段識別用戶身份。對于發生崗位變化或離崗的用戶,用戶部門應當及時通知系統管理人員調整其在系統中的訪問權限或者關閉賬號。企業應當定期對系統中的賬號進行審閱,避免存在授權不當或非授權賬號。對于超級用戶,企業應當嚴格規定其使用條件和操作程序,并對其在系統中的操作全程進行監控或審計。

第九,企業應積極開展信息系統風險評估工作,定期對信息系統進行安全評估,及時發現系統安全問題并加以整改。

(四)系統終結的關鍵控制點和主要管控措施