海南省电信有限公司内部控制中册

精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料海南省电信有限公司内部控制手册实施细则中册目录精品资料网（）专业提供企管培训资料目录1对程序和数据的访问...............................11.1网络基础设施.....................................11.2承载网..........................................71.3智能网.........................................131.4大客户管理系统..................................201.5营业受理系统....................................271.6计费帐务系统....................................341.7客户服务系统....................................411.8财务管理系统....................................481.9计划建设管理系统................................541.10省级综合结算系统..............................601.11办公自动化系统..................................672程序变更管理....................................742.1网络基础设施....................................742.2承载网.........................................782.3智能网.........................................822.4大客户管理系统..................................872.5营业受理系统....................................922.6计费帐务系统....................................972.7客户服务系统...................................1022.8财务管理系统...................................1072.9计划建设管理系统...............................1122.10省级综合结算系统.............................1172.11办公自动化系统.................................1223程序开发.......................................1274系统运行.......................................1324.1网络基础设施...................................1324.2承载网........................................1374.3智能网........................................1424.4大客户管理系统.................................1474.5营业受理系统...................................1524.6计费帐务系统...................................1574.7客户服务系统...................................162目录精品资料网（）专业提供企管培训资料4.8财务管理系统...................................1674.9计划建设管理系统...............................1724.10省级综合结算系统...............................1774.11办公自动化系统.................................1825最终用户计算....................................1871对程序和数据的访问1.1网络基础设施精品资料网（）专业提供企管培训资料1对程序和数据的访问1.1网络基础设施一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。2所涉及的部门范围所有部门。二、所涉及的计算机系统所有在DCN网上的系统。三、目标1对于与财务报告相关的信息，公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4确保定期对系统中用户的访问权限进行审阅，以减少未经授权或不适当的对系统或数据进行访问而带来的风险。5确保在关键流程中存在适当的职权分离。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问,非法修改系统数据。1对程序和数据的访问1.1网络基础设施精品资料网（）专业提供企管培训资料3对添加、修改、删除用户未经过管理层授权，离职员工帐号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目所有会计科目。六、流程概述1信息安全管理省公司在组织中建立了信息安全职能，并制定相应的组织结构图及部门、人员职责描述文档。省公司制定了正式并经过管理层批准的信息安全政策，范围包括所有与生成财务报告的程序和数据相关的信息技术环境（例如网络安全、物理安全、操作系统安全、应用程序安全等方面）。用户和信息技术人员都应知晓本公司的信息安全政策。2用户帐号的管理2.1超级用户帐号的管理网络管理员用户帐号的使用仅限于经授权人员,这类用户帐号的授权须经网络维护部门领导的书面授权审批。在网络管理员工作调动或离职等工作职能发生变化时，由人力资源部门正式以书面方式及时通知相关的网络维护部门，由系统管理员更新或删除其相应的访问权限。2.2用户帐号访问权限的定期审阅网络维护部门主管人员或业务部门对网络管理员帐号和访问权限进行每半年审阅，以发现任何不合适的访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。网络维护部门主管人员每半年对机房访问权限清单进行审阅，如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。1对程序和数据的访问1.1网络基础设施精品资料网（）专业提供企管培训资料3信息系统的的逻辑访问和物理访问对网络管理员的管理访问采用身份验证机制，对网络设备的管理访问必须使用用户名和密码，而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享，其密码在其中任一管理员离职时及时更改，以防止非法访问。网络维护部门对网络管理员帐号的密码制定密码政策，以避免用户使用安全级别低的密码。密码政策包括:用户密码长度位数规定，密码应定期更新。对于使用密钥棒或动态密码卡的网络设备，需要配合使用由用户掌握的PIN码。网络管理员负责每周检查网络安全日志记录，发现异常现象应及时跟进或上报。网络设备等硬件设备存放在安全的机房中，所有出入口均具备电子门禁系统或门锁的保护。只有经过授权的人员可对存放有与财务报表相关的网络机房和设备进行物理访问。所有对机房的访问授权需经网络维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙，以防止对公司内部网络的非法访问。只有指定的网络管理员才能拥有防火墙管理帐号，并进行防火墙规则的更改。七、信息技术控制点信息技术控制点监督检查方法1信息安全管理HN.A.1.1.1省公司在组织中建立了信息安全职能，具有信息安全管理的工作职责。检查组织结构图及部门、人员职责描述文档。HN.A.1.1.2省公司制定了正式并经过管理层批准的信息安全政策，为信息技术环境，包括应用程序、数据库和信息技术基础设施的信息安全提供指南。用户和信息技术人员都应知晓本公司的信息安全政策。检查信息安全政策,访谈用户是否知晓本公司的信息安全政策。1对程序和数据的访问1.1网络基础设施精品资料网（）专业提供企管培训资料2用户帐号的管理2.1超级用户帐号的管理HN.A.1.2.1网络管理员用户帐号的使用仅限于经授权人员。这些用户帐号的授权须经网络维护部门的主管人员的书面授权审批。检查网络管理员帐号清单，检查系统管理员帐号的审批文件。HN.A.1.2.2在网络管理员工作调动或离职等工作职能发生变化时，及时由人力资源部门正式以书面方式通知相关的网络维护部门，由系统管理员更新或删除其相应的访问权限。抽查人员变更的书面通知，检查离职人员的帐号是否已完全删除。2.2用户帐号访问权限的定期审阅HN.A.1.2.3网络维护部门主管人员对网络管理员帐号和访问权限每半年进行审阅，以发现任何不合适的系统访问权限。发现的问题及时跟进解决。检查审阅书面记录。HN.A.1.2.4网络维护部门主管人员每半年对机房访问权限清单进行审阅，如果发现不恰当用户的存在，则及时通知机房管理人员取消相应用户的授权。检查审阅书面记录。3信息系统的的逻辑访问和物理访问HN.A.1.3.1对网络管理员的管理访问采用身份验证机制，对网络设备的管理访问必须使用用户名和密码，而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享，其密码在其中任一管理员离职时及时更改，以防止非法访问。观察系统登陆过程。检查管理员用户离职时的密码修改记录。HN.A.1.3.2网络维护部门对网络管理员帐号的密码制定密码政策，以避免用户使用安全级别低的密码。密码政策包括:用户密码长度不得低于6位观察网络设备的密码配置。1对程序和数据的访问1.1网络基础设施精品资料网（）专业提供企管培训资料密码应至少每90天进行更新对于使用密钥棒或动态密码卡的系统，需要配合使用由用户掌握的PIN码。HN.A.1.3.3网络管理员负责每周检查网络安全日志记录，发现异常现象应及时跟进或上报。检查网络管理员对网络安全日志检查的书面记录。HN.A.1.3.4网络设备等硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。观察机房安全措施。检查人员进出机房的记录。HN.A.1.3.5只有经过授权的人员可对存放网络设备的机房和设备进行物理访问。对机房的访问授权需经网络维护部门主管人员审批。非授权人员出入机房必须由机房工作人员陪同。检查机房访问清单和机房访问授权单。HN.A.1.3.6公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙，以防止对公司内部网络的非法访问。检查网络拓扑图，检查防火墙规则设置。HN.A.1.3.7只有指定的网络管理员