ImageVerifierCode 换一换
格式:DOCX , 页数:183 ,大小:188.66KB ,
资源ID:8200376      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8200376.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(海南省电信有限公司内部控制中册.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

海南省电信有限公司内部控制中册.docx

1、 海南省电信有限公司 内部控制手册实施细则 中册 目录 1 对程序和数据的访问 1 1.1 网络基础设施 1 1.2 承载网 7 1.3 智能网 13 1.4 大客户管理系统 20 1.5 营业受理系统 27 1.6 计费帐务系统 34 1.7 客户服务系统 41 1.8 财务管理系统 48 1.9 计划建设管理系统 54 1.10 省级综合结算系统 60 1.11 办公自动化系统 67 2 程序变更管理 74 2.1 网络基础设施 74 2.2 承载网 78 2.3 智能网 82 2.4

2、大客户管理系统 87 2.5 营业受理系统 92 2.6 计费帐务系统 97 2.7 客户服务系统 102 2.8 财务管理系统 107 2.9 计划建设管理系统 112 2.10 省级综合结算系统 117 2.11 办公自动化系统 122 3 程序开发 127 4 系统运行 132 4.1 网络基础设施 132 4.2 承载网 137 4.3 智能网 142 4.4 大客户管理系统 147 4.5 营业受理系统 152 4.6 计费帐务系统 157 4.7 客户服务系统 162 4.8 财务管理系统 167 4.9 计划建设管理系统 172 4.10

3、省级综合结算系统 177 4.11 办公自动化系统 182 5 最终用户计算 187 1 对程序和数据的访问 1.1 网络基础设施 一、 业务流程范围 1 所涉及的业务范围 逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。 2 所涉及的部门范围 所有部门。 二、 所涉及的计算机系统 所有在DCN网上的系统。 三、 目标 1 对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。 2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以

4、降低由于对系统及数据的未经授权的访问所带来的风险。 3 建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。 4 确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。 5 确保在关键流程中存在适当的职权分离。 四、 风险 1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。 2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访问, 非法修改系统数据。 3 对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授

5、权或不适当访问。 4 对系统或数据非法和不适当的访问不能被及时发现。 5 系统的权限分配与业务部门授权确定的职责分工要求不符。 五、 相关会计科目 所有会计科目。 六、 流程概述 1 信息安全管理 省公司在组织中建立了信息安全职能,并制定相应的组织结构图及部门、人员职责描述文档。 省公司制定了正式并经过管理层批准的信息安全政策,范围包括所有与生成财务报告的程序和数据相关的信息技术环境(例如网络安全、物理安全、操作系统安全、应用程序安全等方面)。用户和信息技术人员都应知晓本公司的信息安全政策。 2 用户帐号的管理 2.1 超级用户帐号的管理 网络管理员用户帐号的

6、使用仅限于经授权人员,这类用户帐号的授权须经网络维护部门领导的书面授权审批。 在网络管理员工作调动或离职等工作职能发生变化时,由人力资源部门正式以书面方式及时通知相关的网络维护部门,由系统管理员更新或删除其相应的访问权限。 2.2 用户帐号访问权限的定期审阅 网络维护部门主管人员或业务部门对网络管理员帐号和访问权限进行每半年审阅,以发现任何不合适的访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。 网络维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。 3 信息系统的的逻辑访问和物理访问 对网络管理员的管理

7、访问采用身份验证机制,对网络设备的管理访问必须使用用户名和密码,而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。 网络维护部门对网络管理员帐号的密码制定密码政策,以避免用户使用安全级别低的密码。密码政策包括: 用户密码长度位数规定,密码应定期更新。对于使用密钥棒或动态密码卡的网络设备,需要配合使用由用户掌握的PIN码。 网络管理员负责每周检查网络安全日志记录,发现异常现象应及时跟进或上报。 网络设备等硬件设备存放在安全的机房中,所有出入口均具备电子门禁系统或门锁的保护。只有经过授权的人员可对存放有

8、与财务报表相关的网络机房和设备进行物理访问。所有对机房的访问授权需经网络维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。 公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内部网络的非法访问。只有指定的网络管理员才能拥有防火墙管理帐号,并进行防火墙规则的更改。 七、信息技术控制点 信息技术控制点 监督检查方法 1 信息安全管理 HN.A.1.1.1省公司在组织中建立了信息安全职能,具有信息安全管理的工作职责。 检查组织结构图及部门、人员职责描述文档。 HN.A.1.1.2省公

9、司制定了正式并经过管理层批准的信息安全政策,为信息技术环境,包括应用程序、数据库和信息技术基础设施的信息安全提供指南。用户和信息技术人员都应知晓本公司的信息安全政策。 检查信息安全政策,访谈用户是否知晓本公司的信息安全政策。 2 用户帐号的管理 2.1 超级用户帐号的管理 HN.A.1.2.1网络管理员用户帐号的使用仅限于经授权人员。这些用户帐号的授权须经网络维护部门的主管人员的书面授权审批。 检查网络管理员帐号清单,检查系统管理员帐号的审批文件。 HN.A.1.2.2在网络管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门正式以书面方式通知相关的网络维护部门,由

10、系统管理员更新或删除其相应的访问权限。 抽查人员变更的书面通知,检查离职人员的帐号是否已完全删除。 2.2用户帐号访问权限的定期审阅 HN.A.1.2.3网络维护部门主管人员对网络管理员帐号和访问权限每半年进行审阅,以发现任何不合适的系统访问权限。发现的问题及时跟进解决。 检查审阅书面记录。 HN.A.1.2.4网络维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现不恰当用户的存在,则及时通知机房管理人员取消相应用户的授权。 检查审阅书面记录。 3 信息系统的的逻辑访问和物理访问 HN.A.1.3.1对网络管理员的管理访问采用身份验证机制,对网络设备的管理访

11、问必须使用用户名和密码,而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。 观察系统登陆过程。 检查管理员用户离职时的密码修改记录。 HN.A.1.3.2网络维护部门对网络管理员帐号的密码制定密码政策,以避免用户使用安全级别低的密码。密码政策包括: · 用户密码长度不得低于6位 · 密码应至少每90天进行更新 对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。 观察网络设备的密码配置。 HN.A.1.3.3网络管理员负责每周检查网络安全日志记录,发现异常现象应及时跟进

12、或上报。 检查网络管理员对网络安全日志检查的书面记录。 HN.A.1.3.4网络设备等硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。 观察机房安全措施。 检查人员进出机房的记录。 HN.A.1.3.5只有经过授权的人员可对存放网络设备的机房和设备进行物理访问。对机房的访问授权需经网络维护部门主管人员审批。非授权人员出入机房必须由机房工作人员陪同。 检查机房访问清单和机房访问授权单。 HN.A.1.3.6公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内部网络的非法访问。 检

13、查网络拓扑图,检查防火墙规则设置。 HN.A.1.3.7只有指定的网络管理员才能拥有防火墙管理帐号,并进行防火墙规则的更改。 检查防火墙管理帐号列表,检查防火墙管理人员名单。 八、主要控制点的相关文件 1 网络访问申请表 2 员工工作调动/离职通知单 3 网络管理员(网络设备及防火墙)帐号申请表 4 网络管理员帐号/权限检查表 5 机房访问权限检查表 6 网络安全日志检查表 7 机房进出登记簿 8 机房访问权限申请表 九、相关制度和备查文件 1 少人无人值守机房管理要求(试行) 1.2 承载网 一、 业务流程范围 1 所涉及的业务范

14、围 逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。 2 所涉及的部门范围 运行维护部门、计费帐务部门、市场部门。 二、 所涉及的计算机系统 小灵通程控交换机和汇接局程控交换机以及网管终端。 三、 目标 1 对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。 2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。 3 建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和

15、及时性。 4 确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。 5 确保在关键流程中存在适当的职权分离。 四、 风险 1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。 2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访问, 非法修改系统数据。 3 对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。 4 对系统或数据非法和不适当的访问不能被及时发现。 5 系统的权限分配与业务部门授权确定的职责分工要求不符。

16、 五、 相关会计科目 收入类科目。 六、 流程概述 1 信息安全管理 省公司按照信息产业部或集团公司的相关规定和标准,对承载网的计费相关设备进行定期检查并保留书面的检查记录,严格确保交换网的设备安全。 2 用户帐号的管理 2.1 超级用户帐号的管理 承载网的交换机及网管终端的管理员帐号的使用仅限于经严格认证的授权人员。管理员帐号的授权经运行维护部门及相关各级主管人员的书面审批。授权审批文档集中归档。 对管理员帐号在承载网的设备及管理终端的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。 在管理员工作调动或离职等工作职能发生变化时,及时由人力资

17、源部门正式以书面方式通知运行维护部门,按照承载网管理员帐号的管理流程,由系统管理员更新或删除其相应的访问权限。 2.2 用户帐号访问权限的定期审阅 运行维护部门主管人员每半年对承载网的管理员帐号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。 运行维护部门主管人员每半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。 3 信息系统的的逻辑访问和物理访问 对承载网管理员帐号的访问采用身份验证机制,对网管终端的访问必须使用用户名和密码,而且每个承载网管理员帐号被授予唯一的维护管理人员。如

18、果由于系统限制存在管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。 按照省公司对访问承载网的网管终端的相关规定,对承载网的管理软件固化相应的密码政策设置,以确保用户使用安全级别高的密码。密码政策包括: 用户密码长度最低位数的规定,密码定期更换的规定,不得使用最近的密码。运行维护部门管理人员定期审核承载网的交换机以及网管终端(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。 承载网的承载网的交换机以及网管终端等硬件设备必须存放在符合信息产业部、集团公司及省公司制定的安全标准的机房中。所有出入口均具备电子门禁系统或门锁

19、的保护。人员进出机房时在机房门禁系统或机房进出登记簿中留下记录。 只有经过授权的人员可对存放有承载网的交换机以及网管终端等设备的电信机房和设备进行物理访问。对电信机房的访问授权经过各级相关部门主管人员的书面审批。 按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统等),以及时发现对电信机房未经授权的访问并进行处理。监控系统必须留下环境监控的记录。 承载网的交换机以及网管终端必须确保与外网/公网的隔离,并通过网络安全控制手段阻止内网的不适当访问。 4 职责分工 按照相关的规定,对维护承载网的计费相关设备的维护管理员,特别是具有访问管理终端权

20、限的维护管理员,必须遵循严格的职责分工。按照相关的规定,实行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于有最高安全权限的管理员。 七、 信息技术控制点 信息技术控制点 监督检查方法 1 信息安全管理 HN.B.1.1.1 省公司按照信息产业部或集团公司的相关规定和标准,对承载网的计费相关设备进行定期检查并保留书面的检查记录,严格确保交换网的设备安全。 检查相关的文件。 2 用户帐号的管理 2.1 超级用户帐号的管理 HN.B.1.2.1承载网的交换机及网管终端的管理员帐号的使用仅限于经严格认证的授权人员。管理员帐号的授权经运行维护部门及相关各级主

21、管人员的书面审批。授权审批文档集中归档。 检查承载网管理员帐号清单,检查承载网管理员帐号的审批文件。 HN.B.1.2.2对管理员帐号在承载网的设备及管理终端的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。 检查审阅书面记录。 HN.B.1.2.3在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门正式以书面方式通知运行维护部门,按照承载网管理员帐号的管理流程,由系统管理员更新或删除其相应的访问权限。 抽查人员变更的书面通知,检查离职人员的帐号是否已完全删除。 检查管理员用户离职时的密码修改记录。 2.2用户帐号访问权限的定期审阅 HN.B.1.2

22、4运行维护部门主管人员每半年对承载网的管理员帐号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。 检查审阅书面记录。 HN.B.1.2.5运行维护部门主管人员每半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。 检查审阅书面记录。 3 信息系统的的逻辑访问和物理访问 HN.B.1.3.1对承载网管理员帐号的访问采用身份验证机制,对网管终端的访问必须使用用户名和密码,而且每个承载网管理员帐号被授予唯一的维护管理人员。如果由于系统限制存在管理员帐号共享,其密码在其中任一管理员离职时及时更

23、改,以防止非法访问。 观察系统登陆过程。 HN.B.1.3.2按照省公司对访问承载网的网管终端的相关规定,对承载网的管理软件固化相应的密码政策设置,以确保用户使用安全级别高的密码。密码政策包括: · 用户密码长度不得低于6位 · 密码应至少每90天进行更新 · 不得使用最近的密码 检查网管终端的密码设置。 HN.B.1.3.3运行维护部门管理人员每周审核承载网的交换机以及网管终端(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。 检查管理人员对安全日志检查的书面记录。 HN.B.1.3.4承载网上交换机以及网管终端等

24、硬件设备必须存放在符合信息产业部、集团公司及省公司制定的安全标准的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。 观察机房安全措施、检查人员进出机房的记录。 HN.B.1.3.5只有经过授权的人员可对存放有承载网的交换机以及网管终端等设备的电信机房和设备进行物理访问。对电信机房的访问授权经过各级相关部门主管人员的书面审批。 检查机房访问清单和机房访问授权单。 HN.B.1.3.6按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统等),以及时发现对电信机房的未经授权的访问并进行处理。监控

25、系统必须留下环境监控的记录。 检查环境监控记录。 HN.B.1.3.7承载网的交换机以及网管终端必须确保与外网/公网的隔离,并通过网络安全控制手段阻止内网的不适当访问。 检查网络拓扑图。 4 职责分工 HN.B.1.4.1按照相关的规定,对维护承载网上计费相关设备的维护管理员,特别是具有访问管理终端的权限的维护管理员,必须遵循严格的职责分工。按照相关的规定,实行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于经授权人员。 检查权限分配名单。 八、主要控制点的相关文件 1 承载网管理员岗位授权书 2 承载网管理员认证 3 承载网管理员操作日志审阅表

26、 4 员工工作调动/离职通知单 5 承载网管理员帐号/权限检查表 6 电信机房访问权限检查表 7 承载网安全日志检查表 8 电信机房进出登记簿 9 电信机房访问权限申请表 10 电信机房环境监控日志 11 承载网管理员权限分配方案 九、相关制度和备查文件 1 少人无人值守机房管理要求(试行) 1.3 智能网 一、 业务流程范围 1 所涉及的业务范围 逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。 2 所涉及的部门范围 市场部门、计费部门、运行维护部门。 二、 所涉及的计算机系统 智能网(综合信息平台

27、SP网关,贝尔平台(电话卡计费),固网短信平台)。 三、 目标 1 对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到信息安全的重要性。 2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据未经授权的访问所带来的风险。 3 建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。 4 确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。 5 确保在关键流程中存在适当的职权分离。 四、 风险 1 公司缺乏可遵循的

28、信息安全管理政策,信息安全管理不规范,增加信息安全隐患。 2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源未经授权的访问, 非法修改系统数据。 3 对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。 4 对系统或数据非法和不适当的访问不能被及时发现。 5 系统的权限分配与业务部门授权确定的职责分工要求不符。 五、 相关会计科目 收入类科目。 六、 流程概述 1 信息安全管理 参见网络基础设施中本章节。 2 用户帐号的管理 2.1 用户帐号的添加、修改及删除控制 省公司建立了用户及其权

29、限设置的管理流程,对智能网系统的用户创建和授权必须通过业务部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。 在员工工作调动或离职等工作职能发生变化时,由人力资源部门或相关业务部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。 2.2 超级用户帐号的管理 以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员: · 操作系统的超级用户帐号 (比如root用户,系统管理员,安全管理员帐号,批处理用户帐号)。 · 帐号数据库的超级用户帐号(比如数据库管理员)。 · 帐号智能网系统的特权功能用户帐号(例如具有增加

30、/变更/删除用户等权限)。 以上用户帐号的授权须经系统维护部门主管人员或相关业务部门主管人员的书面审批。 智能网系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。 2.3 用户帐号访问权限的定期审阅 系统维护部门主管人员或业务部门对智能网系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。 帐号系统维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现存在不适当用户及时通知机房管理人员取消相应用户的授权。 3 信息系

31、统的逻辑访问和物理访问 在智能网系统中采用用户身份的验证机制,对智能网系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。 系统维护部门对访问智能网系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定,密码定期更换的规定,不得使用最近的密码。对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。 系统管理员负责每周检查智能网系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象应及时跟进或

32、上报。 安装智能网系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放智能网系统设备的计算机机房和设备进行物理访问。对机房的访问授权须经系统维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出日志中留下记录。 4 职责分工 在智能网系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据业务部门或相关管理部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。 内审或者用户部门每半年检查智能网系统的

33、用户角色或用户组的权限设定,确保合理的职责分工。如发现权限分配的问题,应及时跟进解决。 七、信息技术控制点 信息技术控制点 监督检查方法 1 信息安全管理 参见网络基础设施中本章节。 2 用户帐号的管理 2.1 用户帐号的添加、修改及删除控制 HN.C.1.2.1省公司建立了用户及其权限设置的管理流程,对智能网系统的用户创建和授权必须通过业务部门主管审批后,方可由相关的系统管理员在系统中创建用户帐号。 检查用户及其权限设置的管理流程, 抽查用户创建和授权的审批文件。 HN.C.1.2.2在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或相关业

34、务部门正式以书面方式通知系统维护部门,由系统管理员更新或删除其相应的访问权限。 抽查人员访问权限的删除书面通知,检查离职用户帐号是否已完全删除。 2.2 超级用户帐号的管理 HN.C.1.2.3智能网系统的操作系统管理帐号仅限于经授权的系统管理员,其帐号须经系统维护部门主管的书面授权审批。 检查系统管理帐号清单,检查系统管理员帐号的审批文件。 HN.C.1.2.4智能网系统数据库的管理帐号仅限于经授权的数据库管理员,其帐号须经系统维护部门主管的书面授权审批。 检查数据库管理帐号清单,检查数据库管理员帐号的审批文件。 HN.C.1.2.5智能网系统的特权用户(例如具有增加/变

35、更/删除用户等权限)仅限于经授权的系统管理人员,其帐号须经系统维护部门主管或相关业务部门主管的书面授权审批。 检查特权用户管理帐号清单,检查特权用户管理员帐号的审批文件。 HN.C.1.2.6 智能网系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。 检查管理员用户离职时的密码修改记录。 2.3用户帐号访问权限的定期审阅 HN.C.1.2.7系统维护部门主管或业务部门对智能网系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限,并及时跟进解决。 检查审阅书面记录。 HN.

36、C.1.2.8系统维护部门主管人员每半年对机房访问权限清单进行审阅,若发现存在不合适的用户,及时通知机房管理人员取消其相应的授权。 检查审阅书面记录。 3 信息系统的的逻辑访问和物理访问 HN.C.1.3.1在智能网系统中采用用户身份的验证机制,对智能网系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。 观察系统登陆过程。 HN.C.1.3.2系统维护部门对访问智能网系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: · 用户密码长度不得低于6位

37、 · 密码应至少每90天进行更新 · 不得使用最近的密码 对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。 观察系统密码设置。 HN.C.1.3.3系统管理员负责每周检查智能网系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象及时跟进或上报。 检查系统安全日志记录和定期检查的记录。 HN.C.1.3.4安装智能网系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房会在机房门禁系统或机房进出日志中留下记录。 观察机房安全措施、检查人员进出机房的记录。

38、HN.C.1.3.5只有经授权的人员可对存放智能网系统设备的计算机机房和设备进行物理访问。对机房的访问授权须经系统维护部门主管人员书面审批。非授权人员出入机房必须由机房工作人员陪同。 检查机房访问清单和机房访问授权单。 4 职责分工 HN.C.1.4.1在智能网系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据用户部门或相关业务部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。 检查用户权限审批文件,观察系统用户权限配置。 HN.C.1.4.2内审或者用户部门每半年检查系统的用户角色或用户组的权限设定,

39、 确保合理的职责分工。发现问题及时跟进解决。 检查职责分工的检查记录。 八、主要控制点的相关文件 1 用户(组)创建及系统访问权限申请表 2 员工工作调动/离职通知单 3 系统管理员(操作系统/数据库)帐号申请表 4 系统特权用户帐号申请表 5 系统帐号/权限检查表 6 机房访问权限检查表 7 系统安全日志检查表 8 机房进出登记簿 9 机房访问权限申请表 10 系统用户(组)权限分配审阅报告 11 职责分工检查报告 九、相关制度和备查文件 1 少人无人值守机房管理要求(试行) 1.4 大客户管理系统 一、 业务流程范围 1

40、 所涉及的业务范围 逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。 2 所涉及的部门范围 信息技术部门, 大客户部门。 二、 所涉及的计算机系统 海南电信营销渠道支撑系统,一站式大客户业务处理系统。 三、 目标 1 对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到信息安全的重要性。 2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据未经授权的访问所带来的风险。 3 建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及

41、时性。 4 确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。 5 确保在关键流程中存在适当的职权分离。 四、 风险 1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。 2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源未经授权的访问, 非法修改系统数据。 3 对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。 4 对系统或数据非法和不适当的访问不能被及时发现。 5 系统的权限分配与业务部门授权确定的职责分工要求不符。 五、 相

42、关会计科目 主营业务收入。 六、 流程概述 1 信息安全管理 参见网络基础设施中本章节。 2 用户帐号的管理 2.1 用户帐号的添加、修改及删除控制 集团公司或省公司建立了用户及其权限设置的管理流程,对大客户管理系统的用户创建和授权必须通过系统主管人员审批后,方可由相关的系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。 在员工工作调动或离职等工作职能发生变化时,由人力资源部门或用户部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。 2.2 超级用户帐号的管理 以下各超级用户帐号/特权功能用户帐号的使用仅限

43、于经授权人员: · 操作系统的超级用户帐号 (比如root用户,系统管理员,安全管理员帐号,批处理用户帐号)。 · 数据库的超级用户帐号(比如数据库管理员)。 · 应用系统的特权功能用户帐号(例如具有增加/变更/删除用户等权限)。 以上用户帐号的授权须经系统维护部门主管人员或系统主管人员的书面审批。 大客户管理系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。 2.3 用户帐号访问权限的定期审阅 用户部门主管人员或业务部门对大客户管理系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的

44、系统访问权限帐号。发现的问题要及时跟进解决。审阅结果留下书面记录。 系统维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现存在不适当用户及时通知机房管理人员取消相应用户的授权。 3 信息系统的逻辑访问和物理访问 在大客户管理系统中采用用户身份的验证机制,对大客户管理系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。 系统维护部门对访问大客户管理系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定,密码定期更换的规定,不得

45、使用最近的密码。对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。 系统管理员负责每周检查大客户管理系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象及时跟进或上报。 安装大客户管理系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放大客户管理系统的计算机机房和设备进行物理访问。对机房的访问授权需经系统维护部门主管人员书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出日志中留下记录。 4 职责分工 在大客户管

46、理系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据用户部门或相关管理部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。 内审或者用户部门每半年检查大客户管理系统的用户角色或用户组的权限设定,确保合理的职责分工, 如发现问题,应及时跟进解决。 七、信息技术控制点 信息技术控制点 监督检查方法 1 信息安全管理 参见网络基础设施中本章节。 2 用户帐号的管理 2.1 用户帐号的添加、修改及删除控制 HN.E.1.2.1集团公司或省公司建立了用户及其权限设置的管理流程,对大客户管理

47、系统的用户创建和授权必须通过业务部门主管人员审批后,方可由相关的系统管理员在系统中创建用户帐号。 检查用户及其权限设置的管理流程, 抽查用户创建和授权的审批文件。 HN.E.1.2.2在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式书面通知系统维护部门, 并通报至集团公司, 由相关的系统管理员更新或删除其相应的访问权限。 抽查人员变更书面通知,检查离职用户是否已完全删除。 2.2 超级用户帐号的管理 HN.E.1.2.3大客户管理系统的操作系统管理帐号仅限于经授权的系统管理员,其帐号须经系统维护部门主管人员的书面授权审批。 检查系统管理帐号清单,检查

48、系统管理员帐号的审批文件。 HN.E.1.2.4大客户管理系统的数据库管理帐号仅限于经授权的数据库管理员,其帐号须经系统维护部门主管人员的书面授权审批。 检查数据库管理帐号清单,检查数据库管理员帐号的审批文件。 HN.E.1.2.5大客户管理系统的特权用户(例如具有增加/变更/删除用户等权限)仅限于经授权的系统管理人员或业务人员,其帐号须经系统维护部门主管人员的书面授权审批。 检查特权用户管理帐号清单,检查特权用户管理员帐号的审批文件。 HN.E.1.2.6 大客户管理系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改

49、以防止非法访问。 检查管理员用户离职时的密码修改记录。 2.3用户帐号访问权限的定期审阅 HN.E.1.2.7系统主管人员或业务部门对大客户管理系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限帐号,并及时跟进解决。 检查审阅书面记录。 HN.E.1.2.8系统维护部门主管人员每半年对机房访问权限清单进行审阅,若发现存在不合适的用户,及时通知机房管理人员取消其相应的授权。 检查审阅书面记录。 3 信息系统的的逻辑访问和物理访问 HN.E.1.3.1在大客户管理系统中采用用户身份的验证机制,对大客户管理系统的访问必须使用用户名和密码,而且每

50、个用户帐号被授予唯一的用户。 观察系统登陆过程。 HN.E.1.3.2系统维护部门对访问大客户管理系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: •用户密码长度不得低于6位 •密码应至少每90天进行更新 •不得使用最近的密码 对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。 观察系统密码设置。 HN.E.1.3.3系统管理员负责每周检查大客户管理系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服