11.5基础设施IT一般性控制流程

11.5基础设施IT一般性控制流程2008年B11.5－111.5基础设施IT一般性控制流程①一、业务目标1经营目标1.1保证信息基础设施长期安全、可靠、稳定运行。2合规目标2.1信息基础设施的使用遵守保护知识产权、合同法等有关国家法律法规。2.2信息基础设施配置和使用符合股份公司信息系统安全管理办法等规定。二、业务风险1经营风险1.1网络控制管理不符合信息安全要求，导致内部网络被非授权访问和攻击。1.2服务器管理不规范，导致系统运行不可靠、不稳定。1.3备份介质管理不规范，导致备份介质损坏或系统及数据恢复困难。1.4机房管理不符合规范和安全要求，导致机房设备及资源存在受损的风险。1.5信息基础设施故障或信息系统突发事件处理不及①本流程适用于包括ERP系统在内的所有应用系统相关的信息基础设施。11.5基础设施IT一般性控制流程2008年B11.5－2时，导致信息系统不能正常运行。2合规风险2.1信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规，股份公司声誉受到损害，受到相关部门处罚。2.2信息基础设施不符合安全规定，导致系统存在被入侵风险。二、业务流程步骤与控制点1网络管理1.1网络基础管理。1.1.1总部和分（子）公司依据《中国石油化工股份有限公司网络管理办法》（以下简称《网络管理办法》）及相关管理制度和工作流程实施对网络的管理，包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责，配备网络管理员、安全管理员，由信息管理部门负责人审批。1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档，包括网络拓扑图、IP地址分配表以及网络11.5基础设施IT一般性控制流程2008年B11.5－3设备配置文件等，由专人负责整理和保存。1.2网络设备登录设置合理的密码规则，密码要求长度六位以上，采用数字和字符组合方式，新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码，填写密码更换记录，经安全管理员确认并在信息管理部门备案。1.3网络互联安全管理。1.3.1总部和分（子）公司依据《网络管理办法》相关要求，在关键网络互联接口处部署安全设备，信息管理部门授权专人负责安全设备的管理，并备有安全设备配置文档。分（子）公司与外部网互联情况上报信息系统管理部备案。1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查，填写安全设备配置检查记录表。1.3.3安全管理员每周对网络设备登陆日志、防火墙日志、入侵检测日志等进行分析审计。1.4终端用户接入管理1.4.1用户终端接入网络需填写申请表，由申请人所在部门确认，信息管理部门（责任处(科）室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。1.4.2建立用户登录网络认证机制，避免对中国石化内部11.5基础设施IT一般性控制流程2008年B11.5－4网络未经授权的访问。1.4.3根据人事部门提供的人员离职交接表，信息管理部门应及时注销该用户的网络接入服务。1.5远程接入网络申请人依据《网络管理办法》相关要求，填写远程接入服务申请表和远程用户接入服务安全承诺书，由所在部门负责人确认，信息管理部门（责任处(科）室)负责人审批并备案。1.6依据《网络管理办法》相关要求，网络管理员负责部署防病毒系统并及时进行版本和病毒特征库的升级；安全管理员每周对防病毒系统日志进行分析审计。2服务器管理2.1各级信息管理部门配备系统管理员，由信息管理部门（责任处(科）室)负责人审批。2.2系统管理员须建立服务器档案，内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。2.3服务器操作系统管理。2.3.1操作系统用户须填写操作系统用户申请表，经信息管理部门（责任处(科）室)负责人审批后，由系统管理员创建。2.3.2系统管理员每半年检查操作系统用户授权情况并记录，对超期使用帐号的用户进行锁定或删除。11.5基础设施IT一般性控制流程2008年B11.5－52.3.3操作系统用户密码要求长度八位以上，采用数字和字符组合方式，新密码不得与前五次历史密码相同。系统管理员至少每季度修改操作系统用户密码，填写密码更换记录、经安全管理员确认并在信息管理部门备案。2.3.4系统管理员监控操作系统运行情况，每日巡检操作系统日志，并将巡检情况记录存档。安全管理员每月对系统巡检记录进行检查，对存在问题提出整改意见，上报信息管理部门（责任处(科）室)负责人审批后实施。3机房管理。3.1各级信息管理部门依据相关制度和规范，制定计算机机房管理办法，实施对机房的管理。管理办法主要内容包括人员出入管理、设备出入管理、机房工况管理等。3.2机房应设门禁系统，或由专人负责机房出入管理并填写人员出入登记表。3.3设备出入机房，携带设备人员填写设备出入登记表，登记表由信息管理部门（责任处(科）室)负责人审批并备案。3.4机房管理人员每日对机房UPS、空调、温湿度和电源系统巡检，并填写巡检记录。11.5基础设施IT一般性控制流程2008年B11.5－64备份介质管理。4.1系统管理员要对备份介质进行标记。标记内容有：备份介质编号、应用名称、IP地址、备份日期、备份内容和备份人。4.2ERP等重要信息系统的备份介质必须异地存放并分类存档。系统管理员按照厂商提供的使用年限按期更换备份介质。备份介质存放环境和备份介质存储内容的销除满足备份管理办法的相关要求。4.3备份介质有出入库记录。借出备份介质时，借用人须填写申请表，经相关部门负责人审核，信息管理部门（责任处(科）室)负责人审批后，办理介质出库手续。5故障处理5.1信息管理部门负责制订本单位信息基础设施故障处理流程及应急预案。5.2网络、服务器发生故障时，运维人员应及时处理故障，并填写工作记录。5.3终端用户计算机设备发生故障时，运维人员及时处理故障并填写工作单。故障处理完毕后，用户须对处理结果加以确认。工作单由信息管理部门负责备案。5.3信息基础设施应急预案须每年安排适当时间进行演练并记录。11.5基础设施IT一般性控制流程2008年B11.5－7四、相关制度目录（制度后标号为《内部控制手册配套规章制度汇编》目录索引号）1中国石油化工股份有限公司网络管理办法(石化股份信系[2007]6号)----2.10.52中国石油化工股份有限公司信息系统安全管理办法(试行)（石化股份信系[2006]35号）----2.10.23中国石油化工股份有限公司信息基础设施管理办法(试行)(石化股份信系[2006]36号)----2.10.74中国石化总部计算机机房管理办法(石化股份信系[2005]7号)----2.10.85中国石油化工股份有限公司信息系统备份管理办法(试行)（石化股份信系[2007]8号）----2.10.96中国石油化工股份有限公司信息系统应急预案(试行)（石化股份信系[2007]9号）----2.10.6