您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > 基础设施IT一般性控制(ITGC)
被检查单位:控制点适用单位控制文档控制点分值检查评价得分检查记录(或注明不适用或未发生)未有效执行的原因1网络管理1.1网络基础管理1.1.1省市分公司各级信息管理部门依据公司网络管理相关要求和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。31.1.2省市分公司各级信息管理部门应依据公司网络管理相关要求及岗位不相容原则,配备网络管理员、安全管理员,明确网络管理员、安全管理员岗位职责及系统权限,并由信息系统管理部门负责人审批。网络管理员、安全管理员授权文档31.1.3省市分公司各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。网络拓扑图IP地址分配表网络设备配置记录表31.2密码管理。网络设备登录设置合理的密码规则,密码长度要求八位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息系统管理部门备案。31.3网络互联安全管理1.3.1省市分公司依据公司网络管理相关要求,在关键网络互联接口处部署安全设备,信息系统管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。企业与外部网互联情况上报信息系统管理部备案。31.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。安全设备配置检查记录表31.3.3网络管理员每日对网络设备登陆日志、防火墙日志、入侵检测日志等进行审计监控。如发现异常事件,应及时分析处理、上报并协助解决。安全管理员每周对网络管理员的审计监控和问题处理结果进行审核并签字确认。网络运行周报31.4终端用户接入管理1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息系统管理部门批准并备案。申请表内容应包含终端接入安全责任条款。用户终端接入网络申请表21.4.2建立用户登录网络认证机制,避免对公司内部网络未经授权的访问。31.4.3根据人事部门提供的人员离职交接表,信息系统管理部门应及时注销该用户的网络接入服务。离职人员交接表21.5远程接入网络申请人依据公司网络管理相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息系统管理部门审批并备案。远程用户接入服务申请表远程用户接入服务安全承诺书2《基础设施IT一般性控制》检查工作底稿检查区间:自年月日至年月日流程部门负责人:检查人:复核人:检查时间:1.6依据公司网络管理相关要求,网络管理员每日检查防病毒系统的运行情况和病毒特征库、病毒引擎的版本更新情况,及时进行版本和病毒特征库的升级;安全管理员每周对防病毒系统日志进行分析审计。22服务器管理2.1信息系统管理部门配备系统管理员,明确其岗位职责和权限分配,由信息系统管理部门审批。系统管理员任命材料32.2系统管理员须建立服务器档案,内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。服务器档案32.3服务器操作系统管理2.3.1操作系统用户须填写操作系统用户申请表,经信息系统管理部门审批后,由系统管理员创建。操作系统用户申请表32.3.2服务器系统管理员每半年检查操作系统用户授权情况并记录,对非授权、离职或超期使用帐号的用户进行锁定或删除。操作系统用户授权记录32.3.3操作系统用户密码要求长度八位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。系统管理员至少每季度修改操作系统用户密码,填写密码更换记录、经安全管理员确认并在信息系统管理部门备案。32.3.4服务器系统管理员监控操作系统运行情况,每日巡检操作系统日志,并将巡检情况记录存档。如存在异常情况,应及时查明问题并解决,并将发现与处理结果记录归档。操作系统日巡检记录32.3.5安全管理员每月对服务器系统巡检分析记录进行检查,对存在问题提出整改意见,上报信息系统管理部门审批后实施。操作系统月巡检记录33桌面计算机管理3.1省市信息系统管理部门负责制定本单位桌面管理系统管理办法,并定期将本单位桌面计算机管理报表通过系统上报信息系统管理部。33.2省市信息系统管理部门每月检查本单位桌面计算机客户端补丁漏洞的更新情况,并将检查结果记录归档,及时更新未升级的客户端补丁。安全管理员每季检查上述工作的执行情况。33.3省市信息系统管理部门负责制定本单位便携计算机(笔记本电脑)和移动存储介质(移动硬盘、U盘等)管理办法,规范对便携式计算机和移动存储介质的管理。23.4严禁在非涉密便携计算机上处理国家秘密信息或公司商业秘密信息,严禁连接涉密存储介质。非涉密移动存储介质严禁存储国家秘密信息或公司商业秘密信息。24机房管理4.1省市信息系统管理部门依据相关制度和规范,制定计算机机房管理办法,实施对机房的管理。管理办法主要内容包括人员出入管理、设备出入管理、机房工况管理等。机房管理办法34.2机房应设门禁系统,或由专人负责机房出入管理并填写人员出入登记表。机房人员出入登记表门禁卡发放记录34.3设备出入机房,携带设备人员填写设备出入登记表,登记表由信息系统管理部门审批并备案。机房设备出入登记表34.4机房环境管理整洁、规范。机房工况管理及时到位。机房管理人员每日对机房UPS、空调、温湿度和电源系统巡检,并填写巡检记录。机房巡检记录34.5安全管理员每季检查机房的日常巡检记录,判断机房管理人员每日对机房的巡检行为和机房安全隐患的处理是否妥当。机房巡检记录25备份管理5.1系统管理员要对备份介质进行标记。标记内容有:备份介质编号、应用名称、IP地址、备份日期、备份内容和备份人。25.2省市信息系统管理部门根据各系统的重要程度,将相关网络设备的配置参数和日志以及服务器操作系统按照一定频率进行备份,并保留备份记录。25.3重要信息系统的冷备份介质必须在备份作业结束后一周内完成异地存放并分类存档。备份介质出入库应保留记录,且只有经授权的人员才能接触备份介质。备份介质出入库记录35.4系统管理员按照厂商提供的使用年限按期更换备份介质。备份介质存放环境和备份介质存储内容的销除满足备份管理办法的相关要求。25.5系统管理员每季检查备份介质的可用性,每年或者备份程序发生重大变更之后进行一次备份介质恢复性测试,并将测试结果留存归档,对备份恢复测试失败的存储介质实施重新备份操作。26故障处理和应急预案6.1省市信息系统管理部门负责制订本单位信息基础设施故障处理流程,流程应涵盖对各类重大信息安全事件的应急响应处理要求并与相应的应急预案一致。信息基础设施故障处理流程信息基础设施应急预案36.2网络、服务器发生故障时,运维人员应及时处理故障,并填写工作记录。故障处理记录36.3终端用户计算机设备发生故障时,运维人员及时处理故障并填写工作单。故障处理完毕后,用户须对处理结果加以确认。工作单由信息系统管理部门负责备案。故障处理记录36.4信息基础设施应急预案须每年安排适当时间进行演练并记录。应急预案演练记录3合计1000本流程共有控制点37个,其中不适用控制点个,未发生控制点个,应执行控制点个,未执行控制点个,本流程应得分值为分,实际得分为分。
本文标题:基础设施IT一般性控制(ITGC)
链接地址:https://www.777doc.com/doc-1211838 .html