海南省電信有限公司內(nèi)部控制中冊

海南省電信有限公司內(nèi)部控制手冊實(shí)施細(xì)則中冊目錄1對程序和數(shù)據(jù)的訪問11.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施11.2承載網(wǎng)71.3智能網(wǎng)131.4大客戶管理系統(tǒng)201.5營業(yè)受理系統(tǒng)271.6計(jì)費(fèi)帳務(wù)系統(tǒng)341.7客戶服務(wù)系統(tǒng)411.8財(cái)務(wù)管理系統(tǒng)481.9計(jì)劃建設(shè)管理系統(tǒng)541.10 省級綜合結(jié)算系統(tǒng)601.11辦公自動(dòng)化系統(tǒng)672程序變更管理742.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施742.2承載網(wǎng)782.3智能網(wǎng)822.4大客戶管理系統(tǒng)872.5營業(yè)受理系統(tǒng)922.6計(jì)費(fèi)帳務(wù)系統(tǒng)972.7客戶服務(wù)系統(tǒng)1022.8財(cái)務(wù)管理系統(tǒng)1072.9計(jì)劃建設(shè)管理系統(tǒng)1122.10 省級綜合結(jié)算系統(tǒng)1172.11辦公自動(dòng)化系統(tǒng)1223程序開發(fā)1274系統(tǒng)運(yùn)行1324.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施1324.2承載網(wǎng)1374.3智能網(wǎng)1424.4大客戶管理系統(tǒng)1474.5營業(yè)受理系統(tǒng)1524.6計(jì)費(fèi)帳務(wù)系統(tǒng)1574.7客戶服務(wù)系統(tǒng)1624.8財(cái)務(wù)管理系統(tǒng)1674.9計(jì)劃建設(shè)管理系統(tǒng)1724.10省級綜合結(jié)算系統(tǒng)1774.11辦公自動(dòng)化系統(tǒng)1825最終用戶計(jì)算1871對程序和數(shù)據(jù)的訪問1.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、業(yè)務(wù)流程范圍1所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2所涉及的部門范圍所有部門。二、所涉及的計(jì)算機(jī)系統(tǒng)所有在DCN網(wǎng)上的系統(tǒng)。三、目標(biāo)1對于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到公司對信息安全重要性的重視。2對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。3建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。 4確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。5確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、風(fēng)險(xiǎn)1公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)。5系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、相關(guān)會(huì)計(jì)科目所有會(huì)計(jì)科目。六、流程概述1 信息安全管理省公司在組織中建立了信息安全職能，并制定相應(yīng)的組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。省公司制定了正式并經(jīng)過管理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財(cái)務(wù)報(bào)告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。2 用戶帳號的管理2.1 超級用戶帳號的管理網(wǎng)絡(luò)管理員用戶帳號的使用僅限于經(jīng)授權(quán)人員,這類用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門領(lǐng)導(dǎo)的書面授權(quán)審批。在網(wǎng)絡(luò)管理員工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門正式以書面方式及時(shí)通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 用戶帳號訪問權(quán)限的定期審閱網(wǎng)絡(luò)維護(hù)部門主管人員或業(yè)務(wù)部門對網(wǎng)絡(luò)管理員帳號和訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的訪問權(quán)限。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。審閱結(jié)果留下書面記錄。網(wǎng)絡(luò)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的的邏輯訪問和物理訪問對網(wǎng)絡(luò)管理員的管理訪問采用身份驗(yàn)證機(jī)制，對網(wǎng)絡(luò)設(shè)備的管理訪問必須使用用戶名和密碼，而且每個(gè)網(wǎng)絡(luò)管理員帳號被授予唯一的網(wǎng)絡(luò)管理員。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問。網(wǎng)絡(luò)維護(hù)部門對網(wǎng)絡(luò)管理員帳號的密碼制定密碼政策，以避免用戶使用安全級別低的密碼。密碼政策包括: 用戶密碼長度位數(shù)規(guī)定，密碼應(yīng)定期更新。對于使用密鑰棒或動(dòng)態(tài)密碼卡的網(wǎng)絡(luò)設(shè)備，需要配合使用由用戶掌握的PIN碼。網(wǎng)絡(luò)管理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)現(xiàn)異常現(xiàn)象應(yīng)及時(shí)跟進(jìn)或上報(bào)。網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機(jī)房中，所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。只有經(jīng)過授權(quán)的人員可對存放有與財(cái)務(wù)報(bào)表相關(guān)的網(wǎng)絡(luò)機(jī)房和設(shè)備進(jìn)行物理訪問。所有對機(jī)房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。只有指定的網(wǎng)絡(luò)管理員才能擁有防火墻管理帳號，并進(jìn)行防火墻規(guī)則的更改。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理HN.A.1.1.1省公司在組織中建立了信息安全職能，具有信息安全管理的工作職責(zé)。檢查組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。HN.A.1.1.2省公司制定了正式并經(jīng)過管理層批準(zhǔn)的信息安全政策，為信息技術(shù)環(huán)境，包括應(yīng)用程序、數(shù)據(jù)庫和信息技術(shù)基礎(chǔ)設(shè)施的信息安全提供指南。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。檢查信息安全政策,訪談?dòng)脩羰欠裰獣员竟镜男畔踩摺? 用戶帳號的管理2.1 超級用戶帳號的管理HN.A.1.2.1網(wǎng)絡(luò)管理員用戶帳號的使用僅限于經(jīng)授權(quán)人員。這些用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門的主管人員的書面授權(quán)審批。檢查網(wǎng)絡(luò)管理員帳號清單，檢查系統(tǒng)管理員帳號的審批文件。HN.A.1.2.2在網(wǎng)絡(luò)管理員工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門正式以書面方式通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。2.2用戶帳號訪問權(quán)限的定期審閱HN.A.1.2.3網(wǎng)絡(luò)維護(hù)部門主管人員對網(wǎng)絡(luò)管理員帳號和訪問權(quán)限每半年進(jìn)行審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。發(fā)現(xiàn)的問題及時(shí)跟進(jìn)解決。檢查審閱書面記錄。HN.A.1.2.4網(wǎng)絡(luò)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在，則及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。檢查審閱書面記錄。3 信息系統(tǒng)的的邏輯訪問和物理訪問HN.A.1.3.1對網(wǎng)絡(luò)管理員的管理訪問采用身份驗(yàn)證機(jī)制，對網(wǎng)絡(luò)設(shè)備的管理訪問必須使用用戶名和密碼，而且每個(gè)網(wǎng)絡(luò)管理員帳號被授予唯一的網(wǎng)絡(luò)管理員。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問。觀察系統(tǒng)登陸過程。檢查管理員用戶離職時(shí)的密碼修改記錄。HN.A.1.3.2網(wǎng)絡(luò)維護(hù)部門對網(wǎng)絡(luò)管理員帳號的密碼制定密碼政策，以避免用戶使用安全級別低的密碼。密碼政策包括: 用戶密碼長度不得低于6位 密碼應(yīng)至少每90天進(jìn)行更新對于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀察網(wǎng)絡(luò)設(shè)備的密碼配置。HN.A.1.3.3網(wǎng)絡(luò)管理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)現(xiàn)異常現(xiàn)象應(yīng)及時(shí)跟進(jìn)或上報(bào)。檢查網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)安全日志檢查的書面記錄。HN.A.1.3.4網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。觀察機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.A.1.3.5只有經(jīng)過授權(quán)的人員可對存放網(wǎng)絡(luò)設(shè)備的機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。HN.A.1.3.6公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。檢查網(wǎng)絡(luò)拓?fù)鋱D，檢查防火墻規(guī)則設(shè)置。HN.A.1.3.7只有指定的網(wǎng)絡(luò)管理員才能擁有防火墻管理帳號，并進(jìn)行防火墻規(guī)則的更改。檢查防火墻管理帳號列表，檢查防火墻管理人員名單。八、主要控制點(diǎn)的相關(guān)文件1網(wǎng)絡(luò)訪問申請表2員工工作調(diào)動(dòng)/離職通知單3網(wǎng)絡(luò)管理員（網(wǎng)絡(luò)設(shè)備及防火墻）帳號申請表4網(wǎng)絡(luò)管理員帳號/權(quán)限檢查表5機(jī)房訪問權(quán)限檢查表6網(wǎng)絡(luò)安全日志檢查表7機(jī)房進(jìn)出登記簿8 機(jī)房訪問權(quán)限申請表九、相關(guān)制度和備查文件 1 少人無人值守機(jī)房管理要求（試行）1.2承載網(wǎng)一、業(yè)務(wù)流程范圍1所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2所涉及的部門范圍運(yùn)行維護(hù)部門、計(jì)費(fèi)帳務(wù)部門、市場部門。二、所涉及的計(jì)算機(jī)系統(tǒng)小靈通程控交換機(jī)和匯接局程控交換機(jī)以及網(wǎng)管終端。三、目標(biāo)1對于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到公司對信息安全重要性的重視。2對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。3建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。 4確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、風(fēng)險(xiǎn)1公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)。5系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、相關(guān)會(huì)計(jì)科目收入類科目。六、流程概述1 信息安全管理省公司按照信息產(chǎn)業(yè)部或集團(tuán)公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備進(jìn)行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。2 用戶帳號的管理2.1 超級用戶帳號的管理承載網(wǎng)的交換機(jī)及網(wǎng)管終端的管理員帳號的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。管理員帳號的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級主管人員的書面審批。授權(quán)審批文檔集中歸檔。對管理員帳號在承載網(wǎng)的設(shè)備及管理終端的訪問及操作要記錄并保留日志，并由運(yùn)行維護(hù)部門主管人員每周審閱。在管理員工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)管理員帳號的管理流程，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 用戶帳號訪問權(quán)限的定期審閱運(yùn)行維護(hù)部門主管人員每半年對承載網(wǎng)的管理員帳號進(jìn)行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問權(quán)限。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。審閱結(jié)果留下書面記錄。運(yùn)行維護(hù)部門主管人員每半年對電信機(jī)房的訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的的邏輯訪問和物理訪問對承載網(wǎng)管理員帳號的訪問采用身份驗(yàn)證機(jī)制，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個(gè)承載網(wǎng)管理員帳號被授予唯一的維護(hù)管理人員。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問。按照省公司對訪問承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對承載網(wǎng)的管理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級別高的密碼。密碼政策包括: 用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。運(yùn)行維護(hù)部門管理人員定期審核承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識(shí)別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關(guān)的管理規(guī)定及時(shí)上報(bào)。承載網(wǎng)的承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。人員進(jìn)出機(jī)房時(shí)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記簿中留下記錄。只有經(jīng)過授權(quán)的人員可對存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問。對電信機(jī)房的訪問授權(quán)經(jīng)過各級相關(guān)部門主管人員的書面審批。按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時(shí)閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時(shí)發(fā)現(xiàn)對電信機(jī)房未經(jīng)授權(quán)的訪問并進(jìn)行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過網(wǎng)絡(luò)安全控制手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問。4 職責(zé)分工按照相關(guān)的規(guī)定，對維護(hù)承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備的維護(hù)管理員，特別是具有訪問管理終端權(quán)限的維護(hù)管理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實(shí)行多級的管理權(quán)限劃分，對于通話記錄(CDR)數(shù)據(jù)的訪問僅限于有最高安全權(quán)限的管理員。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理HN.B.1.1.1 省公司按照信息產(chǎn)業(yè)部或集團(tuán)公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備進(jìn)行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。檢查相關(guān)的文件。2 用戶帳號的管理2.1 超級用戶帳號的管理HN.B.1.2.1承載網(wǎng)的交換機(jī)及網(wǎng)管終端的管理員帳號的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。管理員帳號的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級主管人員的書面審批。授權(quán)審批文檔集中歸檔。檢查承載網(wǎng)管理員帳號清單，檢查承載網(wǎng)管理員帳號的審批文件。HN.B.1.2.2對管理員帳號在承載網(wǎng)的設(shè)備及管理終端的訪問及操作要記錄并保留日志，并由運(yùn)行維護(hù)部門主管人員每周審閱。檢查審閱書面記錄。HN.B.1.2.3在管理員工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)管理員帳號的管理流程，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。檢查管理員用戶離職時(shí)的密碼修改記錄。2.2用戶帳號訪問權(quán)限的定期審閱HN.B.1.2.4運(yùn)行維護(hù)部門主管人員每半年對承載網(wǎng)的管理員帳號進(jìn)行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問權(quán)限。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。審閱結(jié)果留下書面記錄。檢查審閱書面記錄。HN.B.1.2.5運(yùn)行維護(hù)部門主管人員每半年對電信機(jī)房的訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。檢查審閱書面記錄。3 信息系統(tǒng)的的邏輯訪問和物理訪問HN.B.1.3.1對承載網(wǎng)管理員帳號的訪問采用身份驗(yàn)證機(jī)制，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個(gè)承載網(wǎng)管理員帳號被授予唯一的維護(hù)管理人員。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問。觀察系統(tǒng)登陸過程。HN.B.1.3.2按照省公司對訪問承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對承載網(wǎng)的管理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級別高的密碼。密碼政策包括: 用戶密碼長度不得低于6位 密碼應(yīng)至少每90天進(jìn)行更新 不得使用最近的密碼檢查網(wǎng)管終端的密碼設(shè)置。HN.B.1.3.3運(yùn)行維護(hù)部門管理人員每周審核承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識(shí)別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關(guān)的管理規(guī)定及時(shí)上報(bào)。檢查管理人員對安全日志檢查的書面記錄。HN.B.1.3.4承載網(wǎng)上交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。觀察機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.B.1.3.5只有經(jīng)過授權(quán)的人員可對存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問。對電信機(jī)房的訪問授權(quán)經(jīng)過各級相關(guān)部門主管人員的書面審批。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。HN.B.1.3.6按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時(shí)閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時(shí)發(fā)現(xiàn)對電信機(jī)房的未經(jīng)授權(quán)的訪問并進(jìn)行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。檢查環(huán)境監(jiān)控記錄。HN.B.1.3.7承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過網(wǎng)絡(luò)安全控制手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問。檢查網(wǎng)絡(luò)拓?fù)鋱D。4 職責(zé)分工HN.B.1.4.1按照相關(guān)的規(guī)定，對維護(hù)承載網(wǎng)上計(jì)費(fèi)相關(guān)設(shè)備的維護(hù)管理員，特別是具有訪問管理終端的權(quán)限的維護(hù)管理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實(shí)行多級的管理權(quán)限劃分，對于通話記錄(CDR)數(shù)據(jù)的訪問僅限于經(jīng)授權(quán)人員。檢查權(quán)限分配名單。八、主要控制點(diǎn)的相關(guān)文件1承載網(wǎng)管理員崗位授權(quán)書2承載網(wǎng)管理員認(rèn)證3承載網(wǎng)管理員操作日志審閱表4員工工作調(diào)動(dòng)/離職通知單5承載網(wǎng)管理員帳號/權(quán)限檢查表6電信機(jī)房訪問權(quán)限檢查表7承載網(wǎng)安全日志檢查表8電信機(jī)房進(jìn)出登記簿9電信機(jī)房訪問權(quán)限申請表10電信機(jī)房環(huán)境監(jiān)控日志11承載網(wǎng)管理員權(quán)限分配方案九、相關(guān)制度和備查文件1 少人無人值守機(jī)房管理要求（試行）1.3智能網(wǎng)一、業(yè)務(wù)流程范圍1所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2所涉及的部門范圍市場部門、計(jì)費(fèi)部門、運(yùn)行維護(hù)部門。二、所涉及的計(jì)算機(jī)系統(tǒng)智能網(wǎng)（綜合信息平臺(tái),SP網(wǎng)關(guān),貝爾平臺(tái)(電話卡計(jì)費(fèi)),固網(wǎng)短信平臺(tái)）。三、目標(biāo)1對于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。2對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。3建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。 4確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、風(fēng)險(xiǎn)1公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)。5系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、相關(guān)會(huì)計(jì)科目收入類科目。六、流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或相關(guān)業(yè)務(wù)部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的管理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員： 操作系統(tǒng)的超級用戶帳號 (比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號)。 帳號數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。 帳號智能網(wǎng)系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或相關(guān)業(yè)務(wù)部門主管人員的書面審批。智能網(wǎng)系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期審閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對智能網(wǎng)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。審閱結(jié)果留下書面記錄。帳號系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的邏輯訪問和物理訪問在智能網(wǎng)系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對智能網(wǎng)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個(gè)用戶帳號被授予唯一的用戶。系統(tǒng)維護(hù)部門對訪問智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。對于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)管理員負(fù)責(zé)每周檢查智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象應(yīng)及時(shí)跟進(jìn)或上報(bào)。安裝智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。只有經(jīng)授權(quán)的人員可對存放智能網(wǎng)系統(tǒng)設(shè)備的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4 職責(zé)分工在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)業(yè)務(wù)部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查智能網(wǎng)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。如發(fā)現(xiàn)權(quán)限分配的問題，應(yīng)及時(shí)跟進(jìn)解決。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制HN.C.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.C.1.2.2在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或相關(guān)業(yè)務(wù)部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員訪問權(quán)限的刪除書面通知，檢查離職用戶帳號是否已完全刪除。2.2 超級用戶帳號的管理HN.C.1.2.3智能網(wǎng)系統(tǒng)的操作系統(tǒng)管理帳號僅限于經(jīng)授權(quán)的系統(tǒng)管理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管的書面授權(quán)審批。檢查系統(tǒng)管理帳號清單，檢查系統(tǒng)管理員帳號的審批文件。HN.C.1.2.4智能網(wǎng)系統(tǒng)數(shù)據(jù)庫的管理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫管理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管的書面授權(quán)審批。 檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。HN.C.1.2.5智能網(wǎng)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)管理人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管或相關(guān)業(yè)務(wù)部門主管的書面授權(quán)審批。檢查特權(quán)用戶管理帳號清單，檢查特權(quán)用戶管理員帳號的審批文件。HN.C.1.2.6 智能網(wǎng)系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問。檢查管理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期審閱HN.C.1.2.7系統(tǒng)維護(hù)部門主管或業(yè)務(wù)部門對智能網(wǎng)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限，并及時(shí)跟進(jìn)解決。檢查審閱書面記錄。HN.C.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，若發(fā)現(xiàn)存在不合適的用戶，及時(shí)通知機(jī)房管理人員取消其相應(yīng)的授權(quán)。檢查審閱書面記錄。3 信息系統(tǒng)的的邏輯訪問和物理訪問HN.C.1.3.1在智能網(wǎng)系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對智能網(wǎng)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個(gè)用戶帳號被授予唯一的用戶。觀察系統(tǒng)登陸過程。HN.C.1.3.2系統(tǒng)維護(hù)部門對訪問智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。密碼政策具體包括: 用戶密碼長度不得低于6位 密碼應(yīng)至少每90天進(jìn)行更新 不得使用最近的密碼對于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀察系統(tǒng)密碼設(shè)置。HN.C.1.3.3系統(tǒng)管理員負(fù)責(zé)每周檢查智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異常現(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。HN.C.1.3.4安裝智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀察機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.C.1.3.5只有經(jīng)授權(quán)的人員可對存放智能網(wǎng)系統(tǒng)設(shè)備的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。4 職責(zé)分工HN.C.1.4.1在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)用戶部門或相關(guān)業(yè)務(wù)部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀察系統(tǒng)用戶權(quán)限配置。HN.C.1.4.2內(nèi)審或者用戶部門每半年檢查系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。發(fā)現(xiàn)問題及時(shí)跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、主要控制點(diǎn)的相關(guān)文件1用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2員工工作調(diào)動(dòng)/離職通知單3系統(tǒng)管理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4系統(tǒng)特權(quán)用戶帳號申請表5系統(tǒng)帳號/權(quán)限檢查表6機(jī)房訪問權(quán)限檢查表7系統(tǒng)安全日志檢查表8機(jī)房進(jìn)出登記簿9機(jī)房訪問權(quán)限申請表10系統(tǒng)用戶（組）權(quán)限分配審閱報(bào)告11 職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1 少人無人值守機(jī)房管理要求（試行）1.4大客戶管理系統(tǒng)一、業(yè)務(wù)流程范圍1所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2所涉及的部門范圍信息技術(shù)部門, 大客戶部門。二、所涉及的計(jì)算機(jī)系統(tǒng)海南電信營銷渠道支撐系統(tǒng)，一站式大客戶業(yè)務(wù)處理系統(tǒng)。三、目標(biāo)1對于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。2對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。3建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。 4確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。5確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、風(fēng)險(xiǎn)1公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)。5系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、相關(guān)會(huì)計(jì)科目主營業(yè)務(wù)收入。六、流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對大客戶管理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過系統(tǒng)主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或用戶部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的管理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員： 操作系統(tǒng)的超級用戶帳號 (比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號)。 數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。 應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或系統(tǒng)主管人員的書面審批。大客戶管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期審閱用戶部門主管人員或業(yè)務(wù)部門對大客戶管理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限帳號。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。審閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的邏輯訪問和物理訪問在大客戶管理系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對大客戶管理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個(gè)用戶帳號被授予唯一的用戶。系統(tǒng)維護(hù)部門對訪問大客戶管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。對于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)管理員負(fù)責(zé)每周檢查大客戶管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。安裝大客戶管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。只有經(jīng)授權(quán)的人員可對存放大客戶管理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4 職責(zé)分工在大客戶管理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)用戶部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查大客戶管理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定，確保合理的職責(zé)分工, 如發(fā)現(xiàn)問題，應(yīng)及時(shí)跟進(jìn)解決。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理 參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制HN.E.1.2.1集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對大客戶管理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.E.1.2.2在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門, 并通報(bào)至集團(tuán)公司, 由相關(guān)的系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。 2.2 超級用戶帳號的管理HN.E.1.2.3大客戶管理系統(tǒng)的操作系統(tǒng)管理帳號僅限于經(jīng)授權(quán)的系統(tǒng)管理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)管理帳號清單，檢查系統(tǒng)管理員帳號的審批文件。HN.E.1.2.4大客戶管理系統(tǒng)的數(shù)據(jù)庫管理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫管理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。HN.E.1.2.5大客戶管理系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)管理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶管理帳號清單，檢查特權(quán)用戶管理員帳號的審批文件。HN.E.1.2.6 大客戶管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問。檢查管理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期審閱HN.E.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對大客戶管理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限帳號，并及時(shí)跟進(jìn)解決。檢查審閱書面記錄。HN.E.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，若發(fā)現(xiàn)存在不合適的用戶，及時(shí)通知機(jī)房管理人員取消其相應(yīng)的授權(quán)。檢查審閱書面記錄。3 信息系統(tǒng)的的邏輯訪問和物理訪問HN.E.1.3.1在大客戶管理系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對大客戶管理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個(gè)用戶帳號被授予唯一的用戶。觀察系統(tǒng)登陸過程。HN.E.1.3.2系統(tǒng)維護(hù)部門對訪問大客戶管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。密碼政策具體包括: 用戶密碼長度不得低于6位 密碼應(yīng)至少每90天進(jìn)行更新不得使用最近的密碼對于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀察系統(tǒng)密碼設(shè)置。HN.E.1.3.3系統(tǒng)管理員負(fù)責(zé)每周檢查大客戶管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異常現(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)安全日志記錄和審核記錄。HN.E.1.3.4 安裝大客戶管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀察機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.E.1.3.5只有經(jīng)授權(quán)的人員可對存放大客戶管理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。4 職責(zé)分工HN.E.1.4.1 在大客戶管理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)用戶部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀察系統(tǒng)用戶權(quán)限配置。HN.E.1.4.2 內(nèi)審或者用戶部門每半年檢查大客戶管理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。發(fā)現(xiàn)問題及時(shí)跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、主要控制點(diǎn)的相關(guān)文件1用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2員工工作調(diào)動(dòng)/離職通知單3系統(tǒng)管理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4系統(tǒng)特權(quán)用戶帳號申請表5系統(tǒng)帳號/權(quán)限檢查表6機(jī)房訪問權(quán)限檢查表7系統(tǒng)安全日志檢查表8機(jī)房進(jìn)出登記簿9機(jī)房訪問權(quán)限申請表10系統(tǒng)用戶（組）權(quán)限分配審閱報(bào)告11職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1 少人無人值守機(jī)房管理要求（試行）1.5營業(yè)受理系統(tǒng)一、業(yè)務(wù)流程范圍1所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2所涉及的部門范圍所有前后端部門：運(yùn)行維護(hù)部門、計(jì)費(fèi)部門、信息技術(shù)部門、市場部門。二、所涉及的計(jì)算機(jī)系統(tǒng)綜合業(yè)務(wù)支撐系統(tǒng)/網(wǎng)上營業(yè)廳。三、目標(biāo)1對于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。2對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。3建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。 4確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。5確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、風(fēng)險(xiǎn)1公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)。5系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、相關(guān)會(huì)計(jì)科目收入和費(fèi)用類科目。六、流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對營業(yè)受理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過各級業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或用戶部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的管理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員： 操作系統(tǒng)的超級用戶帳號（比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號）。 數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。 應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面審批。營業(yè)受理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期審閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對營業(yè)受理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。審閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的邏輯訪問和物理訪問在營業(yè)受理系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對營業(yè)受理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個(gè)用戶帳號被授予唯一的用戶（除用于查詢訪問的功能性賬號外）。系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑拿艽a制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。對于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)管理員負(fù)責(zé)每周檢查營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。只有經(jīng)授權(quán)的人員可對存放營業(yè)受理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4 職責(zé)分工在營業(yè)受理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進(jìn)行修改時(shí)，根據(jù)業(yè)務(wù)部門或系統(tǒng)管理部門審批過的流程對用戶角色的權(quán)限進(jìn)行設(shè)定。公司通過對于不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或用戶部門每半年檢查營業(yè)受理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制HN.F.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對營業(yè)受理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過各級業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.F.1.2.2在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查