關鍵控制點

　　控制措施

　　信息系統

　　的開發

　　(1)企業應當根據信息系統建設整體規劃提出項目建設方案，明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容，按照規定的權限和程序審批后實施

　　(2)企業開發信息系統．應當將生產經營管理業務流程、關鍵控制點和處理規則嵌入系統程序．實現手工環境下難以實現的控制功能

　　(3)企業信息系統歸口管理部門應當加強信息系統開發全過程的跟蹤管理，組織開發單位與內部各單位的日常溝通和協調

　　(4)企業應當組織獨立于開發單位的專業機構對開發完成的信息系統進行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發需求

　　(5)企業應當切實做好信息系統上線的各項準備工作，培訓業務操作和系統管理人員．制訂科學的上線計劃和新舊系統轉換方案、考慮應急預案．確保新舊系統順利切換和平穩銜接

　　信息系統的

　　運行與維護

　　(1)企業應當加強信息系統運行與維護的管理．制定信息系統工作程序、信息管理制度以及各模塊子系統的具體操作規范．及時跟蹤、發現和解決系統運行中存在的問題，確保信息系統按照規定的程序、制度和操作規范持續穩定運行

　　(2)企業應當根據業務性質、重要性程度、涉密情況等確定信息系統的安全等級。建立不同等級信息的授權使用制度，采用相應技術手段保證信息系統運行安全有序

　　(3)企業應當建立用戶管理制度．加強對重要業務系統的訪問權限管理，定期審閱系統賬號，避免授權不當或存在非授權賬號，禁止不相容職務用戶賬號的交叉操作

　　(4)企業應當綜合利用防火墻、路由器等網絡設備．漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全．防范來自網絡的攻擊和非法侵入

　　(5)企業應當建立系統數據定期備份制度，明確備份范圍、頻度、方法、責任人、存放地點、有效性檢查等內容

　　(6)企業應當加強服務器等關鍵信息設備的管理，建立良好的物理環境，指定專人負責檢查。及時處理異常情況