《海南省电信有限公司内部控制中册3061.docx》由会员分享,可在线阅读,更多相关《海南省电信有限公司内部控制中册3061.docx(294页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、海南省电信有限限公司内部控制手册实实施细则中册目录1对程序和数数据的访问11.1网络基基础设施11.2承载网网71.3智能网网131.4大客户户管理系统201.5营业受受理系统271.6计费帐帐务系统341.7客户服服务系统411.8财务管管理系统481.9计划建建设管理系统统541.10 省省级综合结算算系统601.11办公公自动化系统统672程序变更管管理742.1网络基基础设施742.2承载网网782.3智能网网822.4大客户户管理系统872.5营业受受理系统922.6计费帐帐务系统972.7客户服服务系统1022.8财务管管理系统1072.9计划建建设管理系统统1122.10 省省级
2、综合结算算系统1172.11办公公自动化系统统1223程序开发1274系统运行1324.1网络基基础设施1324.2承载网网1374.3智能网网1424.4大客户户管理系统1474.5营业受受理系统1524.6计费帐帐务系统1574.7客户服服务系统1624.8财务管管理系统1674.9计划建建设管理系统统1724.10省级综合结结算系统1774.11办公公自动化系统统1825最终用户计计算1871对程序和数数据的访问1.1网络基基础设施一、业务流程程范围1所涉及的业业务范围逻辑安全和物理理安全、用户户帐号的添加加、修改及删删除控制、用用户帐号的定定期审阅、职职责分工控制制。2所涉及的部部门范
3、围所有部门。二、所涉及的的计算机系统所有在DCN网网上的系统。三、目标1对于与财务务报告相关的的信息,公司司应制定相关关的信息安全全管理政策并并使员工意识识到公司对信信息安全重要要性的重视。2对公司信息息技术资源的的物理访问及及逻辑访问已已建立起通过过用户身份的的识别,认证证及授权的管管理机制,以以降低由于对对系统及数据据的未经授权权的访问所带带来的风险。3建立相关流流程以确保用用户添加、修修改、删除都都经过管理层层授权,及相相关操作的准准确性和及时时性。 4确保定期对对系统中用户户的访问权限限进行审阅,以以减少未经授授权或不适当当的对系统或或数据进行访访问而带来的的风险。5确保在关键键流程中
4、存在在适当的职权权分离。四、风险1公司缺乏可可遵循的信息息安全管理政政策,信息安安全管理不规规范,增加信信息安全隐患患。2 缺缺乏必要的物物理访问及逻逻辑访问管理理机制,导致致对信息资源源的未经授权权的访问, 非法修改系系统数据。3对添加、修修改、删除用用户未经过管管理层授权,离离职员工帐号号未及时在系系统中删除,导导致对系统及及数据未经授授权或不适当当访问。4对系统或数数据非法和不不适当的访问问不能被及时时发现。5系统的权限限分配与业务务部门授权确确定的职责分分工要求不符符。五、相关会计计科目所有会计科目。六、流程概述述1 信息安全管理省公司在组织中中建立了信息息安全职能,并并制定相应的的组
5、织结构图图及部门、人人员职责描述述文档。省公司制定了正正式并经过管管理层批准的的信息安全政政策,范围包包括所有与生生成财务报告告的程序和数数据相关的信信息技术环境境(例如网络络安全、物理理安全、操作作系统安全、应应用程序安全全等方面)。用用户和信息技技术人员都应应知晓本公司司的信息安全全政策。2 用户帐号的管理理2.1 超超级用户帐号号的管理网络管理员用户户帐号的使用用仅限于经授授权人员,这这类用户帐号号的授权须经经网络维护部部门领导的书书面授权审批批。在网络管理员工工作调动或离离职等工作职职能发生变化化时,由人力力资源部门正正式以书面方方式及时通知知相关的网络络维护部门,由由系统管理员员更新
6、或删除除其相应的访访问权限。2.2 用用户帐号访问问权限的定期期审阅网络维护部门主主管人员或业业务部门对网网络管理员帐帐号和访问权权限进行每半半年审阅,以以发现任何不不合适的访问问权限。发现现的问题要及及时跟进解决决。审阅结果果留下书面记记录。网络维护部门主主管人员每半半年对机房访访问权限清单单进行审阅,如如果发现不恰恰当用户的存存在及时通知知机房管理人人员取消相应应用户的授权权。3 信息系统的的逻逻辑访问和物物理访问对网络管理员的的管理访问采采用身份验证证机制,对网网络设备的管管理访问必须须使用用户名名和密码,而而且每个网络络管理员帐号号被授予唯一一的网络管理理员。如果由由于系统限制制存在网
7、络管管理员帐号共共享,其密码码在其中任一一管理员离职职时及时更改改,以防止非非法访问。网络维护部门对对网络管理员员帐号的密码码制定密码政政策,以避免免用户使用安安全级别低的的密码。密码码政策包括: 用户密码码长度位数规规定,密码应应定期更新。对于使用密钥棒或动态密码卡的网络设备,需要配合使用由用户掌握的PIN码。网络管理员负责责每周检查网网络安全日志志记录,发现现异常现象应应及时跟进或或上报。网络设备等硬件件设备存放在在安全的机房房中,所有出出入口均具备备电子门禁系系统或门锁的的保护。只有有经过授权的的人员可对存存放有与财务务报表相关的的网络机房和和设备进行物物理访问。所所有对机房的的访问授权
8、需需经网络维护护部门主管书书面审批。非非授权人员出出入机房必须须由机房工作作人员陪同。人人员进出机房房会在机房门门禁系统或机机房进出登记记记录中留下下记录。公司在内部网络络与互联网或或其他外部网网络的网络连连接处安装防防火墙,以防防止对公司内内部网络的非非法访问。只只有指定的网网络管理员才才能拥有防火火墙管理帐号号,并进行防防火墙规则的的更改。七、信息技术控控制点信息技术控制点点监督检查方法1 信息安全管理HN.A.1.1.1省公公司在组织中中建立了信息息安全职能,具具有信息安全全管理的工作作职责。检查组织结构图图及部门、人人员职责描述述文档。HN.A.1.1.2省公公司制定了正正式并经过管管
9、理层批准的的信息安全政政策,为信息息技术环境,包包括应用程序序、数据库和和信息技术基基础设施的信信息安全提供供指南。用户户和信息技术术人员都应知知晓本公司的的信息安全政政策。检查信息安全政政策,访谈用用户是否知晓晓本公司的信信息安全政策策。2 用户帐号的管理理2.1 超级用用户帐号的管管理HN.A.1.2.1网络络管理员用户户帐号的使用用仅限于经授授权人员。这这些用户帐号号的授权须经经网络维护部部门的主管人人员的书面授授权审批。检查网络管理员员帐号清单,检检查系统管理理员帐号的审审批文件。HN.A.1.2.2在网网络管理员工工作调动或离离职等工作职职能发生变化化时,及时由由人力资源部部门正式以
10、书书面方式通知知相关的网络络维护部门,由由系统管理员员更新或删除除其相应的访访问权限。抽查人员变更的的书面通知,检检查离职人员员的帐号是否否已完全删除除。2.2用户帐号号访问权限的的定期审阅HN.A.1.2.3网络络维护部门主主管人员对网网络管理员帐帐号和访问权权限每半年进进行审阅,以以发现任何不不合适的系统统访问权限。发发现的问题及及时跟进解决决。检查审阅书面记记录。HN.A.1.2.4网络络维护部门主主管人员每半半年对机房访访问权限清单单进行审阅,如如果发现不恰恰当用户的存存在,则及时时通知机房管管理人员取消消相应用户的的授权。检查审阅书面记记录。3 信息系统的的逻逻辑访问和物物理访问HN
11、.A.1.3.1对网网络管理员的的管理访问采采用身份验证证机制,对网网络设备的管管理访问必须须使用用户名名和密码,而而且每个网络络管理员帐号号被授予唯一一的网络管理理员。如果由由于系统限制制存在网络管管理员帐号共共享,其密码码在其中任一一管理员离职职时及时更改改,以防止非非法访问。观察系统登陆过过程。检查管理员用户户离职时的密密码修改记录录。HN.A.1.3.2网络络维护部门对对网络管理员员帐号的密码码制定密码政政策,以避免免用户使用安安全级别低的的密码。密码码政策包括: 用户密码长度不不得低于6位位 密码应至少每990天进行更更新对于使用密钥棒棒或动态密码码卡的系统,需需要配合使用用由用户掌
12、握握的PIN码码。观察网络设备的的密码配置。HN.A.1.3.3网络络管理员负责责每周检查网网络安全日志志记录,发现现异常现象应应及时跟进或或上报。检查网络管理员员对网络安全全日志检查的的书面记录。HN.A.1.3.4网络络设备等硬件件设备存放在在安全的机房房中。所有出出入口均具备备电子门禁系系统或门锁的的保护。人员员进出机房会会在机房门禁禁系统或机房房进出登记记记录中留下记记录。观察机房安全措措施。检查人员进出机机房的记录。HN.A.1.3.5只有有经过授权的的人员可对存存放网络设备备的机房和设设备进行物理理访问。对机机房的访问授授权需经网络络维护部门主主管人员审批批。非授权人人员出入机房房
13、必须由机房房工作人员陪陪同。检查机房访问清清单和机房访访问授权单。HN.A.1.3.6公司司在内部网络络与互联网或或其他外部网网络的网络连连接处安装防防火墙,以防防止对公司内内部网络的非非法访问。检查网络拓扑图图,检查防火火墙规则设置置。HN.A.1.3.7只有有指定的网络络管理员才能能拥有防火墙墙管理帐号,并并进行防火墙墙规则的更改改。检查防火墙管理理帐号列表,检检查防火墙管管理人员名单单。八、主要控制点点的相关文件件1网络访问问申请表2员工工作作调动/离职职通知单3网络管理理员(网络设设备及防火墙墙)帐号申请请表4网络管理理员帐号/权权限检查表5机房访问问权限检查表表6网络安全全日志检查表
14、表7机房进出出登记簿8 机房访问权限申申请表九、相关制度和和备查文件 1 少人无无人值守机房房管理要求(试试行)1.2承载网网一、业务流程程范围1所涉及的业业务范围逻辑安全和物理理安全、用户户帐号的添加加、修改及删删除控制、用用户帐号的定定期审阅、职职责分工控制制。2所涉及的部部门范围运行维护部门、计计费帐务部门门、市场部门门。二、所涉及的的计算机系统小灵通程控交换换机和汇接局局程控交换机机以及网管终终端。三、目标1对于与财务务报告相关的的信息,公司司应制定相关关的信息安全全管理政策并并使员工意识识到公司对信信息安全重要要性的重视。2对公司信息息技术资源的的物理访问及及逻辑访问已已建立起通过过
15、用户身份的的识别,认证证及授权的管管理机制,以以降低由于对对系统及数据据的未经授权权的访问所带带来的风险。3建立相关流流程以确保用用户添加、修修改、删除都都经过管理层层授权,及相相关操作的准准确性和及时时性。 4确保定期对对系统中用户户的访问权限限进行审阅,以以减少未经授授权或不适当当的对系统或或数据进行访访问而带来的的风险。5 确保保在关键流程程中存在适当当的职权分离离。四、风险1公司缺乏可可遵循的信息息安全管理政政策,信息安安全管理不规规范,增加信信息安全隐患患。2缺乏必要的的物理访问及及逻辑访问管管理机制,导导致对信息资资源的未经授授权的访问, 非法修改改系统数据。3对添加、修修改、删除
16、用用户未经过管管理层授权,离离职员工帐号号未及时在系系统中删除,导导致对系统及及数据未经授授权或不适当当访问。4对系统或数数据非法和不不适当的访问问不能被及时时发现。5系统的权限限分配与业务务部门授权确确定的职责分分工要求不符符。五、相关会计计科目收入类科目。六、流程概述述1 信信息安全管理理省公司按照信息息产业部或集集团公司的相相关规定和标标准,对承载载网的计费相相关设备进行行定期检查并并保留书面的的检查记录,严严格确保交换换网的设备安安全。2 用户帐号号的管理2.1 超级级用户帐号的的管理承载网的交换机机及网管终端端的管理员帐帐号的使用仅仅限于经严格格认证的授权权人员。管理理员帐号的授授权
17、经运行维维护部门及相相关各级主管管人员的书面面审批。授权权审批文档集集中归档。对管理员帐号在在承载网的设设备及管理终终端的访问及及操作要记录录并保留日志志,并由运行行维护部门主主管人员每周周审阅。在管理员工作调调动或离职等等工作职能发发生变化时,及及时由人力资资源部门正式式以书面方式式通知运行维维护部门,按按照承载网管管理员帐号的的管理流程,由由系统管理员员更新或删除除其相应的访访问权限。2.2 用户户帐号访问权权限的定期审审阅运行维护部门主主管人员每半半年对承载网网的管理员帐帐号进行审阅阅,以发现任任何不合适的的管理员访问问权限。发现现的问题要及及时跟进解决决。审阅结果果留下书面记记录。运行
18、维护部门主主管人员每半半年对电信机机房的访问权权限清单进行行审阅,如果果发现不恰当当用户的存在在及时通知机机房管理人员员取消相应用用户的授权。3 信息系统统的的逻辑访访问和物理访访问对承载网管理员员帐号的访问问采用身份验验证机制,对对网管终端的的访问必须使使用用户名和和密码,而且且每个承载网网管理员帐号号被授予唯一一的维护管理理人员。如果果由于系统限限制存在管理理员帐号共享享,其密码在在其中任一管管理员离职时时及时更改,以以防止非法访访问。按照省公司对访访问承载网的的网管终端的的相关规定,对对承载网的管管理软件固化化相应的密码码政策设置,以以确保用户使使用安全级别别高的密码。密密码政策包括括:
19、 用户密码码长度最低位位数的规定,密密码定期更换换的规定,不不得使用最近近的密码。运运行维护部门门管理人员定定期审核承载载网的交换机机以及网管终终端(包括操操作系统和专专用管理软件件)的安全日日志记录,识识别潜在的违违规,如发现现安全问题按按照相关的管管理规定及时时上报。承载网的承载网网的交换机以以及网管终端端等硬件设备备必须存放在在符合信息产产业部、集团团公司及省公公司制定的安安全标准的机机房中。所有有出入口均具具备电子门禁禁系统或门锁锁的保护。人人员进出机房房时在机房门门禁系统或机机房进出登记记簿中留下记记录。只有经过授权的的人员可对存存放有承载网网的交换机以以及网管终端端等设备的电电信机
20、房和设设备进行物理理访问。对电电信机房的访访问授权经过过各级相关部部门主管人员员的书面审批批。按照相关规定及及安全标准,对对电信机房进进行严格的环环境监控(如如24小时闭闭路电视监控控、防盗监控控系统等),以以及时发现对对电信机房未未经授权的访访问并进行处处理。监控系系统必须留下下环境监控的的记录。承载网的交换机机以及网管终终端必须确保保与外网/公公网的隔离,并并通过网络安安全控制手段段阻止内网的的不适当访问问。4 职责分工工按照相关的规定定,对维护承承载网的计费费相关设备的的维护管理员员,特别是具具有访问管理理终端权限的的维护管理员员,必须遵循循严格的职责责分工。按照照相关的规定定,实行多级
21、级的管理权限限划分,对于于通话记录(CDR)数数据的访问仅仅限于有最高高安全权限的的管理员。七、信息技术术控制点信息技术控制点点监督检查方法1 信息安全管理HN.B.1.1.1 省省公司按照信信息产业部或或集团公司的的相关规定和和标准,对承承载网的计费费相关设备进进行定期检查查并保留书面面的检查记录录,严格确保保交换网的设设备安全。检查相关的文件件。2 用户帐号的管理理2.1 超级用用户帐号的管管理HN.B.1.2.1承载载网的交换机机及网管终端端的管理员帐帐号的使用仅仅限于经严格格认证的授权权人员。管理理员帐号的授授权经运行维维护部门及相相关各级主管管人员的书面面审批。授权权审批文档集集中归
22、档。检查承载网管理理员帐号清单单,检查承载载网管理员帐帐号的审批文文件。HN.B.1.2.2对管管理员帐号在在承载网的设设备及管理终终端的访问及及操作要记录录并保留日志志,并由运行行维护部门主主管人员每周周审阅。检查审阅书面记记录。HN.B.1.2.3在管管理员工作调调动或离职等等工作职能发发生变化时,及及时由人力资资源部门正式式以书面方式式通知运行维维护部门,按按照承载网管管理员帐号的的管理流程,由由系统管理员员更新或删除除其相应的访访问权限。抽查人员变更的的书面通知,检检查离职人员员的帐号是否否已完全删除除。检查管理员用户户离职时的密密码修改记录录。2.2用户帐号号访问权限的的定期审阅HN
23、.B.1.2.4运行行维护部门主主管人员每半半年对承载网网的管理员帐帐号进行审阅阅,以发现任何不不合适的管理理员访问权限限。发现的问问题要及时跟跟进解决。审审阅结果留下下书面记录。检查审阅书面记记录。HN.B.1.2.5运行行维护部门主主管人员每半半年对电信机机房的访问权权限清单进行行审阅,如果果发现不恰当当用户的存在在及时通知机机房管理人员员取消相应用用户的授权。检查审阅书面记记录。3 信息系统的的逻逻辑访问和物物理访问HN.B.1.3.1对承承载网管理员员帐号的访问问采用身份验验证机制,对对网管终端的的访问必须使使用用户名和和密码,而且且每个承载网网管理员帐号号被授予唯一一的维护管理理人员
24、。如果果由于系统限限制存在管理理员帐号共享享,其密码在在其中任一管管理员离职时时及时更改,以以防止非法访访问。观察系统登陆过过程。HN.B.1.3.2按照照省公司对访访问承载网的的网管终端的的相关规定,对对承载网的管管理软件固化化相应的密码码政策设置,以以确保用户使使用安全级别别高的密码。密码政策包括: 用户密码长度不不得低于6位位 密码应至少每990天进行更更新 不得使用最近的的密码检查网管终端的的密码设置。HN.B.1.3.3运行行维护部门管管理人员每周周审核承载网网的交换机以以及网管终端端(包括操作作系统和专用用管理软件)的的安全日志记记录,识别潜潜在的违规,如如发现安全问问题按照相关关
25、的管理规定定及时上报。检查管理人员对对安全日志检检查的书面记记录。HN.B.1.3.4承载载网上交换机机以及网管终终端等硬件设设备必须存放放在符合信息息产业部、集集团公司及省省公司制定的的安全标准的的机房中。所所有出入口均均具备电子门门禁系统或门门锁的保护。人人员进出机房房会在机房门门禁系统或机机房进出登记记记录中留下下记录。观察机房安全措措施、检查人人员进出机房房的记录。HN.B.1.3.5只有有经过授权的的人员可对存存放有承载网网的交换机以以及网管终端端等设备的电电信机房和设设备进行物理理访问。对电电信机房的访访问授权经过过各级相关部部门主管人员员的书面审批批。检查机房访问清清单和机房访访
26、问授权单。HN.B.1.3.6按照照相关规定及及安全标准,对对电信机房进进行严格的环环境监控(如如24小时闭闭路电视监控控、防盗监控控系统等),以以及时发现对对电信机房的的未经授权的的访问并进行行处理。监控控系统必须留留下环境监控控的记录。检查环境监控记记录。HN.B.1.3.7承载载网的交换机机以及网管终终端必须确保保与外网/公公网的隔离,并并通过网络安安全控制手段段阻止内网的的不适当访问问。检查网络拓扑图图。4 职责分工HN.B.1.4.1按照照相关的规定定,对维护承承载网上计费费相关设备的的维护管理员员,特别是具具有访问管理理终端的权限限的维护管理理员,必须遵遵循严格的职职责分工。按按照
27、相关的规规定,实行多多级的管理权权限划分,对对于通话记录录(CDR)数据的访问问仅限于经授授权人员。检查权限分配名名单。八、主要控制点点的相关文件件1承载网管管理员岗位授授权书2承载网管管理员认证3承载网管管理员操作日日志审阅表4员工工作作调动/离职职通知单5承载网管管理员帐号/权限检查表表6电信机房房访问权限检检查表7承载网安安全日志检查查表8电信机房房进出登记簿簿9电信机房房访问权限申申请表10电信机房房环境监控日日志11承载网管管理员权限分分配方案九、相关制度和和备查文件1 少人无人值守机机房管理要求求(试行)1.3智能网网一、业务流程程范围1所涉及的业业务范围逻辑安全和物理理安全、用户
28、户帐号的添加加、修改及删删除控制、用用户帐号的定定期审阅、职职责分工控制制。2所涉及的部部门范围市场部门、计费费部门、运行行维护部门。二、所涉及的的计算机系统智能网(综合信信息平台,SSP网关,贝贝尔平台(电电话卡计费),固网短信信平台)。三、目标1对于与财务务报告相关的的信息,公司司应制定相关关的信息安全全管理政策并并使员工意识识到信息安全全的重要性。2对公司信息息技术资源的的物理访问及及逻辑访问已已建立起通过过用户身份的的识别,认证证及授权的管管理机制,以以降低由于对对系统及数据据未经授权的的访问所带来来的风险。3建立相关流流程以确保用用户添加、修修改、删除都都经过管理层层授权,及相相关操
29、作的准准确性和及时时性。 4确保定期对对系统中用户户的访问权限限进行审阅,以以减少未经授授权或不适当当的对系统或或数据进行访访问而带来的的风险。5 确保在关键流程程中存在适当当的职权分离离。四、风险1公司缺乏可可遵循的信息息安全管理政政策,信息安安全管理不规规范,增加信信息安全隐患患。2缺乏必要的的物理访问及及逻辑访问管管理机制,导导致对信息资资源未经授权权的访问, 非法修改系系统数据。3对添加、修修改、删除用用户未经过管管理层授权,离离职员工帐号号未及时在系系统中删除,导导致对系统及及数据未经授授权或不适当当访问。4对系统或数数据非法和不不适当的访问问不能被及时时发现。5系统的权限限分配与业
30、务务部门授权确确定的职责分分工要求不符符。五、相关会计计科目收入类科目。六、流程概述述1 信信息安全管理理参见网络基础设设施中本章节节。2 用户帐号号的管理2.1 用户户帐号的添加加、修改及删删除控制省公司建立了用用户及其权限限设置的管理理流程,对智智能网系统的的用户创建和和授权必须通通过业务部门门主管人员审审批后,方可可由系统管理理员在系统中中创建用户帐帐号,以避免免未经授权帐帐号及权限的的创建或修改改。在员工工作调动动或离职等工工作职能发生生变化时,由由人力资源部部门或相关业业务部门及时时正式书面通通知系统维护护部门,由系系统管理员更更新或删除其其相应的访问问权限。2.2 超级级用户帐号的
31、的管理以下各超级用户户帐号/特权权功能用户帐帐号的使用仅仅限于经授权权人员: 操作系统的超级级用户帐号 (比如rooot用户,系系统管理员,安安全管理员帐帐号,批处理理用户帐号)。 帐号数据库的超超级用户帐号号(比如数据据库管理员)。 帐号智能网系统统的特权功能能用户帐号(例例如具有增加加/变更/删删除用户等权权限)。以上用户帐号的的授权须经系系统维护部门门主管人员或或相关业务部部门主管人员员的书面审批批。智能网系统的管管理账号(包包括操作系统统、数据库和和应用程序层层面)如果由由于系统限制制存在共享,其其密码在其中中任一管理员员离职时需及及时更改,以以防止非法访访问。2.3 用户户帐号访问权
32、权限的定期审审阅系统维护部门主主管人员或业业务部门对智智能网系统的的用户帐号和和用户访问权权限进行每半半年审阅,以以发现任何不不合适的系统统访问权限。发发现的问题要要及时跟进解解决。审阅结结果留下书面面记录。帐号系统维护部部门主管人员员每半年对机机房访问权限限清单进行审审阅,如果发发现存在不适适当用户及时时通知机房管管理人员取消消相应用户的的授权。3 信息系统统的逻辑访问问和物理访问问在智能网系统中中采用用户身身份的验证机机制,对智能能网系统的访访问必须使用用用户名和密密码,而且每每个用户帐号号被授予唯一一的用户。系统维护部门对对访问智能网网系统(包括括操作系统、数数据库和应用用程序层面)的用
33、户(含超级用户)制定密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定,密码定期更换的规定,不得使用最近的密码。对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。系统管理员负责责每周检查智智能网系统应应用程序、操操作系统和数数据库层面安安全日志记录录(含对于重重要的数据增增、删、改操操作),发现现异常现象应应及时跟进或或上报。安装智能网系统统应用程序、操操作系统和数数据库的硬件件设备存放在在安全的机房房中。所有出出入口均具备备电子门禁系系统或门锁的的保护。只有有经授权的人人员可对存放放智能网系统统设备的计算
34、算机机房和设设备进行物理理访问。对机机房的访问授授权须经系统统维护部门主主管书面审批批。非授权人人员出入机房房必须由机房房工作人员陪陪同。人员进进出机房会在在机房门禁系系统或机房进进出日志中留留下记录。4 职责分工工在智能网系统中中创立新用户户角色或对用用户组(或用用户)角色定定义进行修改改时,根据业业务部门或相相关管理部门门对用户角色色权限的审批批结果进行设设定。公司通通过不同工作作岗位对于系系统资源访问问的限制来达达到不相容职职责分工的目目的。内审或者用户部部门每半年检检查智能网系系统的用户角角色或用户组组的权限设定定,确保合理理的职责分工工。如发现权权限分配的问问题,应及时时跟进解决。七
35、、信息技术控控制点信息技术控制点点监督检查方法1 信息安全管理参见网络基础设设施中本章节节。2 用户帐帐号的管理2.1 用户帐帐号的添加、修修改及删除控控制HN.C.1.2.1省公公司建立了用用户及其权限限设置的管理理流程,对智智能网系统的的用户创建和和授权必须通通过业务部门门主管审批后后,方可由相相关的系统管管理员在系统统中创建用户户帐号。检查用户及其权权限设置的管管理流程, 抽查用户创创建和授权的的审批文件。HN.C.1.2.2在员员工工作调动动或离职等工工作职能发生生变化时,及及时由人力资资源部门或相相关业务部门门正式以书面面方式通知系系统维护部门门,由系统管管理员更新或或删除其相应应的
36、访问权限限。抽查人员访问权权限的删除书书面通知,检检查离职用户户帐号是否已已完全删除。2.2 超级用用户帐号的管管理HN.C.1.2.3智能能网系统的操操作系统管理理帐号仅限于于经授权的系系统管理员,其其帐号须经系系统维护部门门主管的书面面授权审批。检查系统管理帐帐号清单,检检查系统管理理员帐号的审审批文件。HN.C.1.2.4智能能网系统数据据库的管理帐帐号仅限于经经授权的数据据库管理员,其其帐号须经系系统维护部门门主管的书面面授权审批。 检查数据库管理理帐号清单,检检查数据库管管理员帐号的的审批文件。HN.C.1.2.5智能能网系统的特特权用户(例例如具有增加加/变更/删删除用户等权权限)
37、仅限于于经授权的系系统管理人员员,其帐号须须经系统维护护部门主管或或相关业务部部门主管的书书面授权审批批。检查特权用户管管理帐号清单单,检查特权权用户管理员员帐号的审批批文件。HN.C.1.2.6 智智能网系统的的管理账号(包包括操作系统统、数据库和和应用程序层层面)如果由由于系统限制制存在共享,其其密码在其中中任一管理员员离职时需及及时更改,以以防止非法访访问。检查管理员用户户离职时的密密码修改记录录。2.3用户帐号号访问权限的的定期审阅HN.C.1.2.7系统统维护部门主主管或业务部部门对智能网网系统的用户户帐号和用户户访问权限进进行每半年审审阅,以发现现任何不合适适的系统访问问权限,并及
38、及时跟进解决决。检查审阅书面记记录。HN.C.1.2.8系统统维护部门主主管人员每半半年对机房访访问权限清单单进行审阅,若若发现存在不不合适的用户户,及时通知知机房管理人人员取消其相相应的授权。检查审阅书面记记录。3 信息系统统的的逻辑访访问和物理访访问HN.C.1.3.1在智智能网系统中中采用用户身身份的验证机机制,对智能能网系统的访访问必须使用用用户名和密密码,而且每每个用户帐号号被授予唯一一的用户。观察系统登陆过过程。HN.C.1.3.2系统统维护部门对对访问智能网网系统(包括括操作系统、数数据库和应用用程序层面)的的用户(含超超级用户)制制定密码政策策,并根据密密码政策在系系统中固化相
39、相应的设置,以以避免用户使使用安全级别别低的密码。密密码政策具体体包括: 用户密码长度不不得低于6位位 密码应至少每990天进行更更新 不得使用最近的的密码对于使用密钥棒棒或动态密码码卡的系统,需需要配合使用用由用户掌握握的PIN码码。观察系统密码设设置。HN.C.1.3.3系统统管理员负责责每周检查智智能网系统应应用程序、操操作系统和数数据库层面安安全日志记录录(含对于重重要的数据增增、删、改操操作),发现现异常现象及及时跟进或上上报。检查系统安全日日志记录和定定期检查的记记录。HN.C.1.3.4安装装智能网系统统应用程序、操操作系统和数数据库的硬件件设备存放在在安全的机房房中。所有出出入
40、口均具备备电子门禁系系统或门锁的的保护。人员员进出机房会会在机房门禁禁系统或机房房进出日志中中留下记录。观察机房安全措措施、检查人人员进出机房房的记录。HN.C.1.3.5只有有经授权的人人员可对存放放智能网系统统设备的计算算机机房和设设备进行物理理访问。对机机房的访问授授权须经系统统维护部门主主管人员书面面审批。非授授权人员出入入机房必须由由机房工作人人员陪同。检查机房访问清清单和机房访访问授权单。4 职责责分工HN.C.1.4.1在智智能网系统中中创立新用户户角色或对用用户组(或用用户)角色定定义进行修改改时,根据用用户部门或相相关业务部门门对用户角色色权限的审批批结果进行设设定。公司通通
41、过不同工作作岗位对于系系统资源访问问的限制来达达到不相容职职责分工的目目的。检查用户权限审审批文件,观观察系统用户户权限配置。HN.C.1.4.2内审审或者用户部部门每半年检检查系统的用户角色或或用户组的权权限设定, 确保合理的的职责分工。发发现问题及时时跟进解决。检查职责分工的的检查记录。八、主要控制点点的相关文件件1用户(组组)创建及系系统访问权限限申请表2员工工作作调动/离职职通知单3系统管理理员(操作系系统/数据库库)帐号申请请表4系统特权权用户帐号申申请表5系统帐号号/权限检查查表6机房访问问权限检查表表7系统安全全日志检查表表8机房进出出登记簿9机房访问问权限申请表表10系统用户户
42、(组)权限限分配审阅报报告11 职责分工检查报报告九、相关制度和和备查文件1 少人无无人值守机房房管理要求(试试行)1.4大客户户管理系统一、业务流程程范围1所涉及的业业务范围逻辑安全和物理理安全、用户户帐号的添加加、修改及删删除控制、用用户帐号的定定期审阅、职职责分工控制制。2所涉及的部部门范围信息技术部门, 大客户部部门。二、所涉及的的计算机系统海南电信营销渠渠道支撑系统统,一站式大大客户业务处处理系统。三、目标1对于与财务务报告相关的的信息,公司司应制定相关关的信息安全全管理政策并并使员工意识识到信息安全全的重要性。2对公司信息息技术资源的的物理访问及及逻辑访问已已建立起通过过用户身份的
43、的识别,认证证及授权的管管理机制,以以降低由于对对系统及数据据未经授权的的访问所带来来的风险。3建立相关流流程以确保用用户添加、修修改、删除都都经过管理层层授权,及相相关操作的准准确性和及时时性。 4确保定期对对系统中用户户的访问权限限进行审阅,以以减少未经授授权或不适当当的对系统或或数据进行访访问而带来的的风险。5确保在关键键流程中存在在适当的职权权分离。四、风险1公司缺乏可可遵循的信息息安全管理政政策,信息安安全管理不规规范,增加信信息安全隐患患。2缺乏必要的的物理访问及及逻辑访问管管理机制,导导致对信息资资源未经授权权的访问, 非法修改系系统数据。3对添加、修修改、删除用用户未经过管管理
44、层授权,离离职员工帐号号未及时在系系统中删除,导导致对系统及及数据未经授授权或不适当当访问。4对系统或数数据非法和不不适当的访问问不能被及时时发现。5系统的权限限分配与业务务部门授权确确定的职责分分工要求不符符。五、相关会计计科目主营业务收入。六、流程概述述1 信信息安全管理理参见网络基础设设施中本章节节。2 用用户帐号的管管理2.1 用户户帐号的添加加、修改及删删除控制集团公司或省公公司建立了用用户及其权限限设置的管理理流程,对大大客户管理系系统的用户创创建和授权必必须通过系统统主管人员审审批后,方可可由相关的系系统管理员在在系统中创建建用户帐号,以以避免未经授授权帐号及权权限的创建或或修改
45、。在员工工作调动动或离职等工工作职能发生生变化时,由由人力资源部部门或用户部部门及时正式式书面通知系系统维护部门门,由系统管管理员更新或或删除其相应应的访问权限限。2.2 超级级用户帐号的的管理以下各超级用户户帐号/特权权功能用户帐帐号的使用仅仅限于经授权权人员: 操作系统的超级级用户帐号 (比如rooot用户,系系统管理员,安安全管理员帐帐号,批处理理用户帐号)。 数据库的超级用用户帐号(比比如数据库管管理员)。 应用系统的特权权功能用户帐帐号(例如具具有增加/变变更/删除用用户等权限)。以上用户帐号的的授权须经系系统维护部门门主管人员或或系统主管人人员的书面审审批。大客户管理系统统的管理账号号(包括操作作系统、数据据库和应用程程序层面)如如果由于系统统限制存在共共享,其密码码在其中任一一管理员离职职时需及时更更改,以防止止非法访问。2.3 用户户帐号访问权权限的定期审审阅用户部门主管人人员或业务部部门对大客户户管理系统的的用户帐号和和用户访问权权限进行每半半年审阅,以以发现任何不不合适的系统统访问权限帐帐号。发现的的问题要及时时跟进解决。审审阅结果留下下书面记录。系统维护部门主主管人员每半半年对机房访访问权限清单单进行审阅,如如果发现存在在不适当用户户及时通知机机房管理人员员取消相应用用户的授权。3