企业内部控制课程大纲

篇2：《内部控制与风险管理》

携手蓝草咨询为事业腾飞蓄能

上海蓝草企业管理咨询有限公司

《内部控制与风险管理》

课程背景：

无论是出于经营环境的急剧变化还是企业自身的发展壮大，提高自身的风险防范与应对能力，已经成为当今企业管理的重心之一。企业要想做到基业常青、经营业绩不断增长，健全和完善自身的内部控制及风险管理，将是企业可持续稳健发展的关键。

课程收益：

通过学习，使学员能意识到风险管理和内部控制在企业管理中的重要作用。使学员了解内部控制制度的框架，从而在实际工作中合理运用，有效规避风险，提高企业运营的安全性与效益性。具体培训收益可以主要概括为以下几点：

1、掌握先进的内部控制、风险管理等理论，了解企业内部控制规范体系

2、掌握内部控制日常管理要点，不断保持内部控制的先进性与有效性

3、明确如何结合企业自身特点、建立适合企业自身情况的内部控制系统

4、掌握快速诊断企业内部控制缺陷的方法，评价内部控制的效果并进行改进

5、通过企业运作中的典型实例帮助学员明确主要业务活动中的控制要点

为今天工作成绩优异而努力学习，为明天事业腾飞培训学习以蓄能！是企业对员工培训的意愿，是学员参加学习培训的动力，亦是蓝草咨询孜孜不倦追求的目标。

蓝草咨询提供的训练培训课程以满足初级、中级、中高级的学员（含企业采购标的），通过蓝草精心准备的课程，学习达成当前岗位知识与技能；晋升岗位所需知识与技能；蓝草课程注意突出实战性、技能型领域的应用型课程；特别关注新技术、新渠道、新知识创新型知识课程。

蓝草咨询坚定认为，卓越的训练培训是获得知识的绝佳路径，但也应是学员快乐的旅程，蓝草企业的口号是：为快乐而培训为培训更快乐！

蓝草咨询为实现上述目标，为培训机构、培训学员提供了多种形式的优惠和增值快乐的政策和手段，可以提供开具培训费的增值税专用发票。

课程时间：1天，6小时/天

授课对象：总经理、企业高管、财务人员

携手蓝草咨询为事业腾飞蓄能

上海蓝草企业管理咨询有限公司

授课方式：案例研讨、角色演练、小组讨论等形式的互动式，要求全员参与。

课程大纲：

第一讲：我国企业内部控制与风险管理的背景和形势

一、认识内部控制

1、什么是内部控制

2、内部控制的目标

3、内部控制的四个阶段

4、谁对内部控制具体负责

5、内部控制如何降低风险

6、是否所有的风险都需要控制

二、我国企业目前内部控制与风险管理的形势

1、目前企业内部控制与风险管理形势的调查结果

2、内部控制体系建设制约因素

案例1:农行金库资金不翼而飞

案例2：一位董事长的绝笔信

演练1：如何制定内控制度降低风险

4、国家对企业内部控制与风险管理的监管

-基本规范、应用指引、评价指引、审计指引

-监管要求

第二讲：企业内部控制与风险管理的核心问题

一、风险管理与内部控制的关系

1、过度的控制与控制不足

案例3：华为的内部控制与风险管理体系

演练2：如何平衡风险管理与高效管理

2、一线授权与风险控制

3、风险容忍度与风险承受度

二、内部控制制度与管理制度的关系

1、内部控制制度与ISO、管理制度之间的关系

2、财务报告控制与全面风险控制

携手蓝草咨询为事业腾飞蓄能上海蓝草企业管理咨询有限公司

3、内部控制手册的作用

第三讲：建立高效的内部控制与风险管理体系

一、内部控制体系管理架构

1、一个基础：公司治理结构

2、三道防线：业务部门、内控部门、内审部门

二、建立健全内部控制阶段

1、控制环境

2、风险评估

-开展报表科目及流程风险评估

-目标设定

-风险识别

-风险分析

-风险应对

3、风险控制活动

案例4：某公司风险评估与控制活动实例

演练3：如何进行风险评估与风险控制活动

4、内部控制手册的编写

-内部控制手册的结构

-内部控制手册编写重点与难点

演练4：如何撰写内部控制手册（不相容职务与风险矩阵、流程图）

5、风险信息与沟通

6、持续监督机制

-日常监督

-专项监督

-组织与个人的内部绩效考核

7、风险自我评价

-实施方案

-评价内容

-保存测试底稿

-内部控制自评价报告

篇3：如何做好企业内部控制与成本管理

如何做好企业内部控制与成本管理

一、将风险管理纳入企业战略发展规划。

在我们所调研的企业中，绝大多数企业都有了清晰的企业发展定位和明确的发展方向。在制定企业发展战略的同时要充分考虑到未来不确定因素所产生的风险和相关的管理办法。从组织架构和管控方式入手对风险进行管理。例如：企业的研发规划，由于研发前期需要大量的资金投入，而且研发周期一般来讲相对较长，研发结果具有一定的不确定性，我们建议企业设立研发部门进行专门管理，同时采用操作型管控的模式进行垂直管理。将研发规划分成阶段性计划，设立阶段性目标，分阶段进行管理和效果评估。这样做不仅有利于化解风险，即使发现并纠正偏差，同时还有利于高效管理、统一调动企业资源，确保研发过程顺利并取得预想效果。

二、注重风险管理的组织体系和相关制度的完善。

有效的风险管理是在一定的组织体系框架内依照相关制度来具

体实施的。这就需要国有企业具备完善的法人治理结构，加强董事会和风险管理职能部门的建设。公司法人治理结构是现代企业制度的核心，而董事会的建设又是重中之重。法人治理结构的完善是加强风险管理的一个最有效的途径。首先完整的法人治理结构本身就减小了企业运营决策过程中由于体制不健全造成的盲目性和投机行为。再有，在董事会层面增加了风险管理职能，在行政部门中设立各职能部室针

对企业风险开展专项管理，一般包括：规划发展部、审计部、财务部、法务部等主要职能部门。这样的组织架构，从董事会层面强化了对风险管理工作的实施力度，通过职能部室的职责划分有利于企业风险管理的专业化。而且清晰的职责也最大程度的避免了企业各项职能管理之间的冲突，降低了沟通和协调的成本投入。

三、定期开展风险管理的论证工作。

在董事会的领导下，成立风险管理论证小组专门负责明确各部门在风险管理中具体的职责，协调工作中所产生的问题;对新出现的风险进行评估论证，制定专门的管理方案，并监督责任部门具体实施。河北钢铁集团下属的某家钢铁公司，在风险管理过程中，采用督办方式：由风险管理论证小组对风险管理的职责进行明确，重大风险管理以书面形式下发《风险管理督办卡》责成责任部门专项督办，定期汇报督办结果;同时将督办过程中的资料收集整理，总结出一套较为完整的管理方法并推广使用。

四、制定相关的管理制度，实行分级管理

企业风险管理制度使得企业风险管理工作有章可循。企业通过高层会议制定风险管理办法的总纲领，之后由各职能部室在总纲领的指导下分别制定本部室的相关制度和规定，按照此方法，其下属各单位再制定本单位的相关办法。由此一来便形成了纵向的风险管理体系：自上而下的层层管理和监督执行，自下而上的逐级汇报。每个层级都行使不同的管理权限，将企业风险化整为零，为风险管理制度化、流程化和规范化提供了必要的保障。

五、建立企业内部管控体系

企业的内部控制体系是风险管理的核心部分，关系到风险管理措施的具体实施和落地。有效地内部管控体系是保障企业稳健运行、防范经营风险的必要条件。企业的内部管控体系一般从内部环境、风险评估、控制活动、信息沟通和内部监督等方面进行管理。在内部环境方面：主要是完善法人治理结构、负责执行内部审计和监察，明确权责和业务流程;风险评估方面，主要是通过建立风险评估机制来识别和应对企业遇到的经营风险;控制活动方面：通过企业的控制措施将风险控制在可承受的范围内，并组织有效的实施管理;信息沟通方面：通过良好的内部沟通平台加强企业横向、纵向的沟通效果，及时发现并解决存在的矛盾，有效的反馈结果，保证管理过程中的意见统一、执行步调一致;内部监督方面：建立独立的监察部门，按照内部监督程序和要求开展日常内部监督、审计监察工作，保证企业领导干部队伍的廉洁自律、运行机制的科学有效。

通过以上几个方面的论述，为国有企业风险管理提出了明确的方法和目标，在未来的风险过程中需要企业领导者和员工充分的投入到管理实践中来，不断地积累经验，完善风险管理体系和方法，将国有企业的风险管理水平推上一个新的台阶。

篇4：公司内部控制管理办法

公司内部控制管理办法

第一章总则

第一条目的

为了加强和规范集团内部控制规范建设，提高集团经营管理水

平和风险防范能力，促进集团可持续发展，同时规范内部控制评价

程序，依据国家有关法律法规、《企业内部控制基本规范》及其配套指引和集团《内部市计监察制度》等杆关制度要求制定本办法。

第二条内部控制定义

本管理办法所称内部控制，是由集团及其各单位、董事会、监

事会、管理层和全体员工实施的、旨在实现控制目标的过程，内部

控制的目标是合理保证企业经营管理合法合规、资产安全、财务报

告及相关信息总实完整，提高经营效率和效果，促进企业实现发展

战略。

第三条适用范围

本管理办法适用于京东方集团及纳入合并报表范围内的子公司、各BU、各业务单元及其各业务组织（以下简称“集团各单位”）。

第四条基本原则

集团各单位应按照全面性、重要性、原则制、制衡性、适应性

及成本效益原则实施内部控制。

第五条建立与实施

内部控制应围绕内部环境、风险评估、控制活动、信息与沟通、

内部监督等五个要素进行。

第六条集团市计监察组织具体负责实施内部控制规范建设，并按规定向董事会及具市计委员会以及相关领导汇报。内部控制规范建设包括设计、运行和评价。市计监察组织负责内部控制管理手册和内部控制评价手册的编制，组织编制内部控制制度手册并进行市核。

第七条集团各单位负责制定内部控制制度并汇总形成内部控制制度手册，报经审核批准后执行。

第八条集团各单位根据业务性质强化信息系统规划、建设、运营、维护，实现自动控制，减少人为操纵。

第九条集团应根据相关规定及《内部控制评价手册》的要求，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行评价，对内部控制整体有效性发表评价意见。

第十条集团各单位应将内部控制建设情况纳入绩效考评体系，将内部控制评价结果和整改情况作为内部绩效考评的依据之一。

第十一条一般情况下，集团各单位应按规定接受国家相关部门的监督检查，集团统一委托具有相应资质的会计师事务所对集团内部控制进行审计。下属各单位如需另行委托与集团上市公司年报市计不一致的会计师事务所时须报集团财务部门、市计监察组织审议并经集团市批通过。如涉及上市公司会计师事务所变更的须按上市公司相关规定执行。

第二章、权力与责任

第十二条集团应当根据国家有关法律法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制?机制。

第十三条董事会负责决策公司内部控制管理工作的重大方针、政策和工作总体安排，保证内部控制的建立健全和有效实施，在出现重大内部控制缺陷时，及时决策内部控制缺陷解决方案。具体包括：

1、批准内部控制建设与实施的工作计划：

2、批准年度内部控制自我评价的工作方案；

3、批准集团内部控制的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制：

4、审阅和批准集团内部控制自我评价报告：

5、批准内部控制重要、重大缺陷认定报告（含缺陷整改方案）：

6、批准内部控制与风险管理的重要文档及重大、重要报告；

7、批准内部控制组织架构设计及职责方案：

8、督导集团内部控制与风险管理文化的培育；

9、批准按照公司章程规定由董事会批准的内部控制管理相关制度以及其他事项。

第十四条监事会对董事会的建立与实施内部控制以及内部控制评价活动进行监督。

第十五条集团市计监察组织对董事会负责，是其内部控制规范建设的常设机构，负贡集团内部控制建设日常管理和监督工作，并

组织实施集团各单位的内部控制自我检查与整个集团的内部控制自

我评价工作。其主要职责包括：

1、组织市议内部控制建设工作计划；

2、组织实施集团内部控制体系的建立、实施与完善：

3、组织内部控制手册的编写工作：

4、对内部控制建设工作中出现的重要问题提出解决方案并汇

报；

5、组织编制并审核年度内部控制自我评价的工作方案：

6、组织实施内部控制自我评价工作，并对过程中违规违纪事件

进行调查和处理；

7、组织审核内部控制自我评价报告；

8、审核其他需要提交董事会或监事会解决的相关内部控制重要

事项及文档。

第十六条各级管理层按分级管理的原则对所辖业务涉及的内部

控制建设（设计、运行和自我检查）管理工作的有效性负责，负责主持内部控制管理的日常工作，集团各单位为内部控制管理执行机构，主要履行以下职责：

1、负责组织制定本单位的内部控制制度及流程；

2、负责执行本单位的内部控制制度及流程，并根据本业务及管

理变化情况，开展风险评估，对照风险点，制定或完善相应的内部

控制措施，及时更新内部控制流程文档，确保内部控制有效；

3、根据公司内部控制工作整体部署，负责组织落实本年度内部

控制相关工作；

4、负责向集团审计监察组织提供本业务内部控制相关信息，主

要包括内部控制设计、运行情况和对内部控制自我检查情况，如遇

内部控制重大变化应及时沟通：

5、按照集团年度内部控制评价方案，执行内部控制自我检查工作，完成内部控制自我检查底稿；并按照集团《内部控制评价手册》提出所辖业务内部控制缺陷的初步认定（含内部控制缺陷整改方案），报经集团内控管理部门及决策机构批准后进行内部控制的整改：

6、负责配合集团信息管理部门、内控管理部门建立健全内控管

理信息系统：

7、负责培育员工良好的内部控制管理素质。

第十七条集团CHRO组织须向各单位宣贯组织架构调整情况，并

积极推动落实。

第十八条审计监察组织协同集团IT流程部门梳理各业务流程，

并对集团各单位相关人员进行流程设计方法辅导。

第十九条内部控制规范建设应与集团SOPIC创新变革同步，每

年须完成PIDCA（运行、自我评价、修订完善手册）循环以逐步提升

内部控制水平。

第三章、内部控制程序与方法

第二十条集团须建立内部控制组织架构并明确汇报机制；根据

集团发展战略，按照SOPIC创新变革实施方案，确定集团内部控制规

范建设整体目标。

第二十一条集团审计监察组织负责组织实施内部控制规范建

设。

1、明确年度内部控制规范建设项目目标；

2、制定年度内部控制规范建设实施方案，经董事会及其审计委

员会审批后，按规定程序对外披露：

3、编制《内部控制管理手册》和《内部控制评价手册》；

4、协同IT流程部门督促各单位编制《内部控制制度手册》及运行；

5、组织实施内部控制评价，审核各单位内部控制自我检查底稿，出具内部控制评价报告，经董事会及其审计委员会审批后，按规定

程序对外披露；

6、跟踪各单位缺陷整改。

第二十二条集团各单位实施内部控制规范建设。

1、对年度事业计划（KPI）逐级分解并进行风险评估，确定公司层面和流程层面的重要风险领域或关键风险点，落实控制措施，完

成风险控制文档：

2、编制《内部控制制度手册》并运行：

3、实施内部控制自我检查，并编制内部控制自我检查底稿，出

具内部控制自我检查报告并报送内控管理部门审核；

4、对制度流程进行细化、优化、简化，完成内部控制缺陷整

改。

第四章内部控制记录文档

第二十三条集团各单位在实施内部控制时应按规定记录相关内

部控制文档，文档的编制方法应符合《内部控制评价手册》所附要求，主要包括：

1、集团及各单位的各项规章制度；

2、各项业务生成的各种原

始资料；

3、与内部控制相关的各项记录及会议资料：

4、内部控制自我检查及评价过程中的资料。

第二十四条内部控制管理部门应按照集团档案管理和审计档案

管理的相关规定进行管理。

第五章、人员与培训

第二十五条内部控制所有岗位的人员应具备相应的职业道德和

任职能力，应获得相应的专业资质，应按相关规定参加继续教育和

培训。

第六章、奖惩

第二十六条对于违反内部控制相关规范的行为导致内部控制发

生重要或重大缺陷时，包括设计和运行活动中的相关人员或单位，

按规定给予惩罚。

第二十七条在内部控制建设中有突出贡献的，应给予表扬或奖励。

第二十八条未经授权批准或许可，任何个人或权属单位不得对

外公布涉及内部控制过程的保密文件，凡擅自泄露的，应追究有关

人员的责任。

第七章、附则

第二十九条、审计监察组织内控管理部门负责本办法的解释，并依据本办法修订风险评估细则、内部控制评价细则和内部控制评价手册，报经批准后执行。

第三十条、本管理办法自董事会批准之日起实施。

篇5：内部控制信息系统安全管理制度

第一章?总则?3

第二章?系统管理人员的职责?3

第三章?机房管理制度?4

第四章?系统管理员工作细则?4

第五章?安全保密管理员工作细则?7

第六章?密钥管理员工作细则?9

第七章?计算机信息系统应急预案?10

第八章?附则?10

第一章?总则

第1条?依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强中船信息公司计算机信息系统安全保密管理,并结合用户单位的实际情况,制定本制度。

第2条?计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。

第3条?涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。

第4条?涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。

第5条?涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。

第二章?系统管理人员的职责

第6条?用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由中船信息承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。

第7条?系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。

第8条?安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。

第9条?密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。

第10条?对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。

第11条?新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。

第12条?保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。

第三章?机房管理制度

第13条?出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。

第14条?进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。

第15条?机房内不得使用无线通讯设备,禁止拍照和摄影。

第16条?各类技术档案、资料由专人妥善保管并定期检查。

第17条?机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。

第18条?机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。

第19条?每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。

第20条?机房大门必须随时关闭上锁。机房钥匙由集团公司保密办管理。

第21条?机房门禁磁卡(以下简称门禁卡)由信息中心管理。

第22条?门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。

第23条?对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。

第24条?门禁卡应妥善保管,不得遗失和互相借用。

第25条?门禁卡遗失后,应立即上报信息中心,同时写出书面说明。

第四章?系统管理员工作细则

第一节?系统主机维护管理办法

第26条?系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。

第27条?根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。

第28条?建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。

第29条?每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。

第30条?每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。

第31条?每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。

第32条?每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。

第33条?每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。

第34条?每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。

第35条?每天记录系统主机运行维护日记,对系统主机运行情况进行总结。

第36条?在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。

第37条?每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。

第二节?信息系统运行维护管理办法

第38条?信息系统(办公自动化系统和档案管理系统)的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。

第39条?根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位,。

第40条?对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。

第41条?每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。

第42条?当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。

第43条?根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。

第44条?每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。

第45条?在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。

第46条?每天记录信息系统运行维护日志,对信息系统运行情况进行总结。

第47条?每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。

第三节?网络系统运行维护管理办法

第48条?网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。

第49条?根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。

第50条?建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,VLAN划分表,并在系统配置发生变更时及时对设备档案进行更新。

第51条?每天检查网络系统设备(交换机、路由器)是否正常运行。

第52条?每周对网络系统设备(交换机、路由器)进行清洁。

第53条?每周修改网络系统管理员密码。

第54条?每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。

第55条?网络变更后进行网络系统配置资料备份。

第56条?当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。

第57条?每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。

第四节终端电脑运行维护管理办法

第58条?终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。

第59条?根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件、技防软件,。

第60条?建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行及时更新。

第61条?在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交保密办处理。

第五节网络病毒入侵防范管理办法

第62条?网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。

第63条?根据网络系统安全设计要求安装、配置瑞星网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。

第64条?每日监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。

第65条?每周登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。

第66条?每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。

第67条?每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。

第五章?安全保密管理员工作细则

第一节网络信息安全策略管理办法

第68条?网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。

第69条?根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。

第70条?根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。

第71条?根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。

第72条?根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。

第73条?每周对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。

第74条?网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。

第二节网络信息系统安全检查管理办法

第75条?网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。

第76条?每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密办,并做详细记录(见表十三)。

第77条?每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。

第78条?每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报保密办。

第79条?每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。

第80条?每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。

第三节涉密计算机安全管理办法

第81条?涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。

第82条?根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。

第83条?每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。

第84条?涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。

第85条?新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。

第四节安全审计管理办法

第86条?网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。

第87条?根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。

第88条?每日查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。

第89条?每周备份设备安全审计系统审计信息,并做详细记录(见表二十)。

第90条?每月对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。

第五节违规联接管理办法

第91条?违规外联管理系统(北信源安全补丁管理软件)由安全保密管理员负责,未经允许任何人不得进行此项操作。

第92条?根据网络信息系统安全管理要求安装、配置违规外联管理系统策略,包括联网涉密电脑,单机涉密电脑,便携式涉密电脑。

第93条?每日检查违规外联系统审计信息,查看联网涉密电脑是否有违规外联操作。

第94条?每月检查单机涉密电脑、便携式电脑是否有违规外联操作。

第95条?每三个月协助保密办进行所有涉密电脑巡检,检查是否存在违规外联操作,并做详细记录。

第96条?每日通过违规外联系统检查网络系统是否有非法主机联入,并做详细记录。

第六章?密钥管理员工作细则

第97条?身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。

第98条?每日检查身份认证系统是否正常运行。

第99条?负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。

第100条?根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。

第101条?负责为每台计算机安装主机登录系统。

第102条?负责主机登录系统、身份认证系统的系统维护。

第七章?计算机信息系统应急预案

第103条?系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。

第104条?遇到火灾应根据火情采取以下措施:

1.?如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。

2.?如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。

第105条?如遇机房突发性停电,应迅速通知用户,同时关闭设备电源,来电后,及时通知用户,并检测设备是否正常运行。

第106条?系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。

第107条?遇紧急情况,值班员应立即通知保密办和系统管理员,保持24小时通讯畅通,随时处理紧急事件。

第108条?线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。

第八章?附则

第109条?本管理制度自发布之日起执行,未尽事宜以用户单位的《保密工作管理实施办法》为准。

第110条?本制度每年度审订一次,本制度所有表格请见附录。