2013年注会《公司战略与风险管理》辅导内容：信息系统_第2页

　　④企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

　　⑤企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制订科学的上线计划和新旧系统转换方案、考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制订详细的数据迁移计划。

　　2.信息系统的运行和维护

　　①企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作流程，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变系统环境配置。

　　②企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行于维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

　　③企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

　　④企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。企业对于通过网络传输的涉密和关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。

　　⑤企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

　　⑥企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。