2022年新海关高级认证标准（内部控制标准)信息系统

2022年新高级认证通用标准（2022年第106号）

一、内部控制标准

第3项.信息系统

（9）建立并执行信息安全管理制度，包括防火墙、密码等保护信息系统免受未经授权的访问，以及防止信息丢失的程序和备份功能，并对违反信息安全管理制度造成损害的行为予以责任追究。

   上一回介绍了信息安全管理制度的内容，这次重点说明该如何执行。首先按照信息安全管理制度严格对电脑，手提电脑，移动存储设备进行管理。IT部门在日常管理中对非法软件安装，病毒入侵，邮件使用，网络连接，远程控制，数据备份，访问及上网权限定期确认，及时记录及纠正。

   严格管理是制度得以实施的保障，教育培训则是必要的条件。再好的制度，不能得到员工的理解也是如同虚设，特别是信息安全涉及很多专业知识和专有名词，更需要在公司内定期开展培训教育，例如1年分上下半年两次的教育，还有日常工作中针对信息安全知识发生变化后展开的说明教育。教育培训要确定参加人员，并现场签到记录，对未出席人员要补充教育到位。妥善保管教育资料和签到记录，是高级认证的重要执行证据。

   在执行中容易忽视的是系统故障处置和人员违规处罚。信息系统一年365日不出故障是不可能的，如果没有相关记录，就代表着日常管理不到位。IT部门应该设立系统故障记录表单，明确故障发生时间，原因，影响，解决对策及效果。

   对于人员违规事件，例如擅自复制公司数据带出公司，通过邮件或网络散发公司机密信息，安装非法软件或登录非法网站导致病毒入侵等，都应该按信息安全管理制度进行处罚，并留下相关的档案记录。

参考：旧标准

一、内部控制标准

第三项，11.信息安全

第1款，建立并执行信息安全管理制度。