信息系统控制包括三个部分
信息系统01
具有管理企业生产经营活动的信息化系统。
关注点:
1、建立书面文件并有效落实
a.企业具有报关系统手册,内容能够详细描述信息系统的管理模块和具体操作流程。
b.企业信息化系统能够实现对生产经营活动(七大模块:财务、采购、销售、仓库、物流、生产、关务)全过程的管理,同时具备可记录、可追溯、可查询的功能。
2、认证要求报关系统的书面文件涵盖内容
报关系统的具体情况:名称、上线使用时间、主要功能模块、具体操作流程及能否实现对企业生产经营活动的全面覆盖。
3、认证现场审核要点及需提供资料
a.包括但不限于ERP系统、财务系统、报关系统等操作手册,企业关务、采购、生产、物流、仓储、财务等主要部门负责人或岗位人员能够详细解说信息化系统各功能模块的作用和操作流程,包括各个模块对应的管理和记录及日常运行和维护情况。
b.认证现场相关岗位人员能够熟练地演示信息化系统管理的生产经营活动及具体管理方式。确保能够实现进出口货物信息在企业报关系统全流程记录、留痕、追溯、检索等。
c.海关认证人员现场会任意选取企业进出口货物,正向及反向追溯、检索,查看该进出口货物在企业报关系统中各个环节信息的记录和流转情况—即穿行测试。
数据管理02
建立信息系统的数据管理制度,数据存储3年以上。
关注点:
1、建立制度文件
a.企业建立关于生产经营数据管理的书面制度文件。
b.制度文件中应明确:数据管理部门(岗位),数据容灾备份,数据安全管理,数据录入、存储和异常处理,档案资料保管等内容。
2、认证要求制度文件涵盖要点
制度文件应体现对企业数据的备份(容灾、异地等)的程序,如何保障数据安全(防病毒、防火墙、防止密码异常)的措施等。
3、认证现场审核要点及需提供资料
a.企业数据管理部门(岗位)、人员及职责分工(部门组织架构图及职责说明)。
b.海关认证人员实地查看企业数据录入等操作,抽查三年内任一存档数据,系统相关信息截屏或者根据企业三年内任意报关单进行存档资料抽查。
c.询问相关岗位人员对于企业数据备份、存储等安全情况的了解:比如授权管理、数据分级管理和使用、数据的调取和查看等。
d.实地察看存储数据的机房:确保具备必要的防水、防火、防盗、室温控制设施并定期检查是否有效,可以阻止非授权人员进入和非法闯入、破坏,如特殊情况需进入机房人员是否进行被许可并登记。
信息安全3
(1)建立信息安全管理制度并有效落实。
关注点:
1、建立制度文件
a.建立企业信息安全管理制度的书面文件,包括相关管理措施的流程文件(包括后面的培训和责任追究内容)。
b.相关书面制度文件应明确信息安全管理部门(岗位)、信息安全责任、安全管理要求、日常运维保障、应急处置、系统定期更新、档案资料保管等内容。
2、认证要求制度文件涵盖要点
信息安全制度应包括:实体安全(包括公司所有电脑、运行系统等)、运行安全(在运作过程中如何保障安全)、数据安全(系统数据安全保障)、人员安全(岗位工作人员及所有员工对信息安全知识的掌握)这主要四个方面的规定和操作流程。
3、认证现场审核要点及需提供资料
a.负责信息安全管理的具体部门(岗位)、人员、人数及职责分工说明,可以提供部门组织架构图和岗位职责说明。
b.海关认证人员向岗位工作人员了解其对信息安全管理相关制度的掌握情况和执行情况,同时相关人员要能够说出企业信息安全职责、保障信息系统和数据安全的具体措施(比如:信息系统在遇到以下一些情况时该如何处理:收到垃圾邮件、被病毒入侵、遭网络攻击或恶意网页的侵害......)
c.海关认证人员现场抽查记录:信息系统发生过信息安全事故或者系统故障的应急处置记录;非正常运行的具体原因及如何处置的相关记录;重新认证企业,企业自成为认证企业后每一年的相关记录都要求提供。
d.海关认证当天,现场请信息安全管理的负责人或者岗位人员演示,企业在保障信息安全方面采取的措施及成效,比如:查验服务器是否在独立安全区域保存,进入该区域是否受限;查验该区域是否有摄像头监控出入人员;随机检查电脑重新启动时是否设有密码保护......
(2)对员工进行信息安全相关的培训。
1、建立制度文件
a.建立对员工进行信息安全管理培训的书面文件,可以包含在企业总的培训制度当中。同时,在信息安全管理制度中也要体现。
b.制度文件内容应该明确对员工进行信息安全培训的部门、培训周期、具体内容、培训实施、效果评估、档案资料保管等内容。
2、认证现场审核需提供资料
a.信息安全教育和培训的具体部门(岗位)、人员、人数及岗位职责说明等(提供部门组织架构图及岗位说明)。
b.海关认证人员会根据企业制度文件现场考察员工参加信息安全培训的情况(包括培训时间、内容以及考核等),以及相关人员掌握信息安全相关制度的情况。
c.海关认证人员会查看企业信息安全培训的历史记录(包括但不限于培训签到表、培训课件、培训照片、培训考核及相关邮件通知截图)。
d.重新认证企业,提供自成为认证企业起每一天的培训记录。
(3)对违反信息安全管理制度造成损害的行为应当予以责任追究。
1、建立制度文件
a.企业的信息安全管理制度中应包括责任追究的内容。
b.制度文件应该明确责任追究部门(岗位)、工作职责、管理要求,责任追究的内容、方式、如何实施以及档案资料保管等内容。
2、认证现场审核需提供资料
a.海关认证人员会查看企业的制度文件是否符合海关认证标准的要求,同时公司的流程性文件是否与制度文件相吻合。
b.询问相关人员,公司是否发生过因违反信息安全管理制度而造成损害的行为,具体情形和处置情况如何,同时提供安全事故发生的相关记录文档,包括责任追究(如处罚)记录。
c询问相关人员如何能够发现和防治非法入侵和篡改数据,如发生过这样的事情,描述当时具体情形以及处置情况,同时提供此事件所有的记录文件,包括责任追究(如处罚)记录。
d.重新认证企业,提供自成为认证企业起每一年的记录文件。
科越云通关一站式外贸管理系统咨询:微信号Caihaowei1982
