企业内部控制应用指引第18号——信息系统
财政部
企业内部控制应用指引第 18 号——信息系统
第一章 总则
第一条 为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条 本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第三条 企业利用信息系统实施内部控制至少应当关注下列风险:
(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或损,系统无法正常运行。
第四条 企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
企业应当指定专门机构对信息系统建设实施归口管理,明确相关位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。
企业负责人对信息系统建设工作负责。
第二章 信息系统的开发
第五条 企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
第六条 企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
企业在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
企业应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
第七条 企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等
第八条 企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。
第九条 企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
第三章 信息系统的运行与维护
第十条 企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
第十一条 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。
企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的,应当审查该机构的资质,并与其签订服务合同和保密协议。
企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。
第十二条 企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
第十三条 企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。
企业对于通过网络传输的涉密或关键数据,应当采取加密措施,确保信息传递的保密性、准确性和完整性。
第十四条 企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。
第十五条 企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况。未经授权,任何人不得接触关键信息设备。
印发云浮市城市蓝线管制实施办法的通知
广东省云浮市人民政府办公室
印发云浮市城市蓝线管制实施办法的通知
云府办〔2012〕84号
各县(市、区)人民政府,佛山(云浮)产业转移工业园管委会,市府直属各单位:
《云浮市城市蓝线管制实施办法》业经市人民政府同意,现印发给你们,请认真贯彻执行。执行中遇到的问题,请径向市规划编制委员会反映。
二O一二年七月二十五日
云浮市城市蓝线管制实施办法
第一条 为加强对城市水系的保护与管理,协调城市建设开发,防止水环境污染和水域面积的减少,创造良好的人居环境,根据《中华人民共和国城乡规划法》、《中华人民共和国水法》、《中华人民共和国水土保持法》、《城市蓝线管理办法》(建设部令第145号)等有关法律法规,结合云浮实际,制定本办法。
第二条 本办法所称城市蓝线,是指城市规划确定的江、河、湖、库、渠和湿地等城市地表水体保护和控制的地域界线。
第三条 本市城市规划区内城市蓝线的划定和监督管理,适用本办法。
第四条 各级人民政府和城乡规划行政主管部门要进一步增强城市规划区内水域地区用地规划管理的意识,坚持严格保护、合理利用、依法管理、规范审批的原则。
对保护水体周边用地,应制定水体保护规划,以加强水体周边地区的建设管理。
第五条 城乡规划行政主管部门以及水行政主管部门要按照各自的职责分工,负责城市蓝线的划定、监督和管理工作。
住建、农业、环保、城管、公安、林业等部门应当按照各自职责协助做好城市蓝线的管理工作。
第六条 任何单位或个人都有保护城市蓝线、服从城市蓝线管理的义务,有监督城市蓝线管理、对违反城市蓝线管理的行为进行检举的权利。
第七条 城市蓝线是城市规划的强制性内容,其范围应当在编制城市规划时确定。
第八条 对城市蓝线公开征求相关部门和公众意见及论证、报批和公布等工作,应当与城市规划同时进行,但法律、行政法规规定不得公开的除外。
第九条 经批准的城市蓝线规划,应当及时向社会公布,接受社会监督。
第十条 城市蓝线的划定应当遵循以下原则:
(一)统筹考虑城市水系的整体性、协调性、安全性和功能性,改善城市生态和人居环境,保障城市水系安全;
(二)与同阶段城市规划的深度保持一致;
(三)控制范围界定清晰;
(四)符合相关法律法规的规定和国家有关技术标准、规范的要求。
第十一条 划定城市蓝线,应当明确下列内容:
(一)在城市总体规划编制阶段,应当确定城市规划区范围内需要保护和控制的主要地表水体,划定城市蓝线,明确城市蓝线保护和控制的要求以及城市蓝线的保护范围;
(二)近期建设规划应当明确重要的城市蓝线实施时序,以及城市蓝线内建设项目的规模和选址;
(三)在控制性详细规划编制阶段,规定城市蓝线范围内的保护要求和控制指标,明确城市蓝线的功能、等级、断面、宽度等控制指标及具体坐标;
(四)在修建性详细规划编制阶段,明确城市蓝线用地范围和具体坐标,提出城市蓝线建设原则或方案。
第十二条 因城市发展和城市布局结构变化等原因,确需调整的,应当依法调整城市规划,并相应调整城市蓝线,按程序报批。
第十三条 有下列情形之一的,可以对城市蓝线提出变更或调整:
(一)城市规划的修编对城市用地布局的调整引起城市蓝线的变化,需根据新的城市规划作相应变更的;
(二)城市规划修编引起城市规划区范围扩展时,城市蓝线范围作对应性调整,新扩展区应修编城市蓝线规划的;
(三)经论证批准的城市重要基础设施和公共服务设施穿越或占用城市蓝线,城市蓝线应作相应调整的;
(四)根据城市防洪排灌工程建设需要,城市蓝线应作调整的;
(五)其他确有必要调整城市蓝线的情况发生时,经专家论证后城市蓝线应作相应调整的。
第十四条 进行各类建设,包括水体整治、修建控制引导水体流向的保护堤岸等工程,应当符合城市蓝线要求和有关规划管理技术规定。
倡导保留或恢复水体自然岸线,支持和鼓励生态岸线建设,改善城市生态环境。
第十五条 城市蓝线内的建设项目,应当依法向城乡规划行政主管部门申请办理城乡规划许可手续。涉及建设、水利、农业、绿化、林业、文物保护等其他行政审批事项的,还应当按照相关法律法规的规定,办理相应审批手续。
城乡规划主管部门提出规划条件,审查总平面设计方案,核发选址意见书、建设用地规划许可证、建设工程规划许可证,必须符合城市蓝线管理要求。
第十六条 经批准的城市蓝线,任何单位和个人不得擅自变更和调整,不得非法占用城市蓝线内的用地,不得改变城市蓝线内用地性质。
因建设或者其他特殊情况需要临时占用城市蓝线内用地的,应当依法办理相关审批手续并限期恢复。
第十七条 在城市蓝线内禁止进行下列活动:
(一)违反城市蓝线保护和控制要求进行建设;
(二)擅自填埋、占用城市蓝线内水域;
(三)影响水系安全的爆破、采石、取土;
(四)擅自建设各类排污设施;
(五)其它对城市水系保护构成破坏的活动。
第十八条 违反本办法规定,在城市蓝线范围内进行各类建设活动的,按照《中华人民共和国城乡规划法》、《中华人民共和国水法》等有关法律法规的规定处罚。
第十九条 违反本办法规定,在已经划定的城市蓝线范围内违反规定审批建设项目的,对相关责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第二十条 本办法自公布之日起施行。