11.5基礎設施IT一般性控制流程

1、11.5基礎設施IT 一般性控制流程一.業(yè)務目標1 經(jīng)營目標1.1 保證信息基礎設施長期安全、可靠、穩(wěn)定運行。2 合規(guī)目標2.1 信息基礎設施的使用遵守保護知識產(chǎn)權、合同法等 有關國家法律法規(guī)。2.2 信息基礎設施配置和使用符合股份公司信息系統(tǒng)安 全節(jié)里辦幡規(guī)走。業(yè)務風險1經(jīng)營風險1.1 網(wǎng)絡控制管理不符合信息安全要求”導致內(nèi)部網(wǎng)絡 被非授權訪問和攻擊。1.2 月艮務器管理不規(guī)X ,導致系統(tǒng)運行不可靠、不穩(wěn)定。13備份介質(zhì)節(jié)里不規(guī)X,導致備份介質(zhì)損壞或系統(tǒng)及數(shù)據(jù)恢復困難。1.4 機房管理不符合規(guī)X和安全要求,導致機房設備及 資源存在受損的風險。1.5 信息基礎設施故障或信息系統(tǒng)突發(fā)事件處理不及

2、本流程適用于包括ERP系統(tǒng)在內(nèi)的所有應用系統(tǒng)相關的信息基礎設施。時，導致信息系統(tǒng)不能正常運行。2合規(guī)風險2.1 信息基礎設施的使用未遵守保護知識產(chǎn)權、合同法 等有關國家法律、法規(guī)，股份公司聲譽受到損害, 受到相關部門處罰。2.2 信息基礎設施不符合安全規(guī)走,導致系統(tǒng)存在被入侵風險。業(yè)務流程步驟與控制點1 網(wǎng)絡管理1.1網(wǎng)絡基礎管理。1.1.1總部和分（子）公司依據(jù)中國石油化工股份XX網(wǎng)經(jīng) 管理辦法（以下簡稱網(wǎng)絡管理辦法）及相關管理制度和工作流程實施對網(wǎng)絡的管理,包括網(wǎng)絡運 行維護管理、網(wǎng)絡互聯(lián)管理、網(wǎng)絡設備密碼管理、 網(wǎng)絡管理員管理、遠程接入網(wǎng)絡管理、病毒防護管 理等。1丄2各級信息管理部門依

3、據(jù)網(wǎng)絡管理辦法及相應崗位 職責,配備網(wǎng)絡管理員、安全管理員,由信息管理部門負責人審批。1丄3各級信息管理部門負責編制網(wǎng)絡運行維護的相關技術 文檔，包括網(wǎng)絡拓撲圖、IP地址分配表以及網(wǎng)絡設備配置文件等,由專人負責整理和保存。1.2網(wǎng)絡設備登錄設置合理的密碼規(guī)則，密碼要求長度六位以上,采用數(shù)字和字符組合方式,新密碼不得與前 五次歷史密碼相同。網(wǎng)絡管理員必須每六個月修改 網(wǎng)絡設備登錄密碼,填寫密碼更換記錄,經(jīng)安全管 理員確認并在信息管理部門備案。13網(wǎng)絡互聯(lián)安全管理。13.1總部和分（子）公司依據(jù)網(wǎng)絡管理辦法相關要求, 在關鍵網(wǎng)絡互聯(lián)接口處部署安全設備，信息管理部 門授權專人負責安全設備的管理，并備

4、有安全設備 配置文檔。分（子）公司與外部網(wǎng)互聯(lián)情況上報信 息系統(tǒng)管理部備案。13.2安全管理員每季度對安全設備的規(guī)則進行復核、確認、 檢查，填寫安全設備配置檢查記錄表。13.3安全管理員每周對網(wǎng)絡設備登陸日志、防火墻日志、 入侵檢測日志等進行分析審計。1.4終端用戶接入管理1.4.1用戶終端接入網(wǎng)絡需填寫申請表z由申請人所在部門確認，信息管理部門（責任處（科）室）負責人批準并 備案。申請表內(nèi)容應包含終端接入安全責任條款。1.4.2建立用戶登錄網(wǎng)絡認證機制,避免對XX內(nèi)部網(wǎng)絡未經(jīng)授權的訪問。1.4.3根據(jù)人事部門提供的人員離職交接表，信息管理部門 應及時注銷該用戶的網(wǎng)絡接入服務。1.5 遠程接入

5、網(wǎng)絡申請人依據(jù)網(wǎng)絡管理辦法相關要 求,填寫遠程接入服務申請表和遠程用戶接入服務 安全承諾書”由所在部門負責人確認”信息管理部 門（責任處（科）室）負責人審批并備案。1.6 依據(jù)網(wǎng)絡管理辦法相關要求，網(wǎng)絡管理員負責 部署防病毒系統(tǒng)并及時進行版本和病毒特征庫的升 級；安全管理員每周對防病毒系統(tǒng)日志進行分析審 計。2 服務器管理2.1 各級信息管理部門配備系統(tǒng)管理員,由信息管理部門（責任處（科）室）負責人審批。2.2系統(tǒng)管理員須建立服務器檔案，內(nèi)容包括設備的詳細硬 件配置、設備唯一性標記和設備用途等信息。23服務器操作系統(tǒng)管理。231操作系統(tǒng)用戶須填寫操作系統(tǒng)用戶申請表”經(jīng)信息管 理部門（責任處（科

6、）室）負責人審批后，由系統(tǒng)管 理員創(chuàng)建。2.3.2系統(tǒng)管理員每半年檢直操作系統(tǒng)用戶授權情況并記錄, 對超期使用XX的用戶進行鎖定或刪除。2.3.3操作系統(tǒng)用戶密碼要求長度八位以上,采用數(shù)字和字 符組合方式,新密碼不得與前五次歷史密碼相同。 系統(tǒng)管理員至少每季度修改操作系統(tǒng)用戶密碼，填 寫密碼更換記錄、經(jīng)安全管理員確認并在信息管理 部門備案。234系統(tǒng)管理員監(jiān)控操作系統(tǒng)運行情況z每日巡檢操作系 統(tǒng)日志，并將巡檢情況記錄存檔。安全管理員每月 對系統(tǒng)巡檢記錄進行檢查,對存在問題提出整改意 見,上報信息管理部門（責任處（科）室）負責人審 批后實施。3機房管理。3.1各級信息管理部門依據(jù)相關制度和規(guī)X

7、”制走計算機機 房管理辦法,實施對機房的管理。管理辦法主要內(nèi) 容包括人員出入管理、設備出入管理、機房工況管 理等。3.2機房應設門禁系統(tǒng),或由專人負責機房出入管理并填寫 人員出入登記表。3.3 設備出入機房，攜帶設備人員填寫設備出入登記表,登記表由信息管理部門（責任處（科）室）負責人審 批并備案。3.4機房管理人員每日對機房UPS、空調(diào)、溫濕度和電源系 統(tǒng)巡檢，并填寫巡檢記錄。4備份介質(zhì)管理。4.1系統(tǒng)管理員要對備份介質(zhì)進行標記。標記內(nèi)容有: 備份介質(zhì)編號、應用名稱、IP地址、備份日期、備 份內(nèi)容和備份人。4.2ERP等重要信息系統(tǒng)的備份介質(zhì)必須異地存放并分類存檔。系統(tǒng)管理員按照廠商提供的使用

8、年限按期 更換備份介質(zhì)。備份介質(zhì)存放環(huán)境和備份介質(zhì)存儲 內(nèi)容的銷除滿足備份管理辦法的相關要求。4.3備份介質(zhì)有出入庫記錄。借出備份介質(zhì)時，借用人 須填寫申請表，經(jīng)相關部門負責人審核，信息管理 部門（責任處（科）室）負責人審批后,辦理介質(zhì)出庫 手續(xù)。5故障處理5.1信息管理部門負責制訂本單位信息基礎設施故障處理流 程及應急預案。5.2網(wǎng)絡、服務器發(fā)生故障時,運維人員應及時處理故障, 并填寫工作記錄。53 終端用戶計算機設備發(fā)生故障時,運維人員及時處理 故障并填寫工作單。故障處理完畢后，用戶須對處理 結果加以確認。工作單由信息管理部門負責備案。53信息基礎設施應急預案須每年安排適當時間進行演練并 記錄。四.相關制度目錄（制度后標號為內(nèi)部控制手冊配套規(guī)章制度匯編目錄索引號）1 中國石油化工股份XX網(wǎng)絡管理辦法（石化股份信系20076 號）-2.10.52 中國石油化工股份XX信息系統(tǒng)安全管理辦法（試行） （石化股份信系2006Q5號）-2.10.23 中國石油化工股份XX信息基礎設施管理辦法（試行）（石化股份信系200636號）2.1