Q∕SY 1223.2-2009信息系統(tǒng)總體控制規(guī)范 第2部分：測試

1、O/SY中國石油球氣顯公司企業(yè)標(biāo)準(zhǔn)Q/SY 1223. 22009信息系統(tǒng)總體控制規(guī)范第2部分：測試Specification for general computer controlPart 2: Test2009-05-01 實(shí)施2009-03-17 發(fā)布中國石油天然氣集團(tuán)公司發(fā)布Q/SY 1223. 22009Q/SY 1223. 22009前言5. 1控制點(diǎn)GCC-HJ-11Key5.2控制點(diǎn)GCC-HJ-12Key5.3控制點(diǎn)GCC-HJ-13Key5.4控制點(diǎn)GCC-HJ-14Key5. 5控制點(diǎn)GCC-HJ-15Key5. 6控制點(diǎn)GCC-HJ-165. 7控制點(diǎn)GCC-HJ-1

2、75. 8控制點(diǎn)GCC-HJ-185.9控制點(diǎn)GCC-HJ-195. 10控制點(diǎn)GCC- HJ-1.10 -5控制環(huán)境測試455556667778889999001 11范圍 2規(guī)范性引用文件3專用詞匯 4控制點(diǎn)編號規(guī)則6 信試1 控制點(diǎn) GCC-AQ-2. 1 Key 2 控制點(diǎn) GCC - AQ 2. 2 Key 3 控制點(diǎn) GCC-AQ-2. 3 Key 4 控制點(diǎn) GCC-AQ-2.4Key 5 控制點(diǎn) GCC-AQ-2. 5 Key 6 控制點(diǎn) GCC - AQ - 2. 6 Key 7 控制點(diǎn) GCC-AQ-2. 7 Key 8 控制點(diǎn) GCC - AQ - 2. 8 Key 9

3、控制點(diǎn) GCC-AQ-2.9Key 10 控制點(diǎn) GCC-AQ-2. 10 Key 6. 11 控制點(diǎn) GCC-AQ-2. 11 Key 6. 12 控制點(diǎn) GCC-AQ-2. 12 Key 6. 13 控制點(diǎn) GCC-AQ-2. 13 Key 6. 14 控制點(diǎn) GCC-AQ-2. 14 Key 6. 15 控制點(diǎn) GCC AQ-2. 15 Key 6. 16 控制點(diǎn) GCC-AQ-2. 16 Key 6.17 控制點(diǎn) GCC- AQ-2. 17 Key 6. 18 控制點(diǎn) GCC-AQ-2. 18 6. 19 控制點(diǎn) GCC-AQ-2. 19 6. 20 控制點(diǎn) GCC -AQ-2. 20

4、 6.21 控制點(diǎn) GCC-AQ-2. 21 TOC o 1-5 h z HYPERLINK l bookmark94 o Current Document 6. 22控制點(diǎn) GCC-AQ-2.22 11 HYPERLINK l bookmark97 o Current Document 6. 23控制點(diǎn) GCC-AQ-2.23 11 HYPERLINK l bookmark102 o Current Document 6. 24控制點(diǎn) GCC-AQ-2.24 12 HYPERLINK l bookmark105 o Current Document 6. 25控制點(diǎn) GCC-AQ-2.25

5、12 HYPERLINK l bookmark108 o Current Document 6. 26控制點(diǎn) GCC- AQ-2.26 12 HYPERLINK l bookmark111 o Current Document 6. 27控制點(diǎn) GCC-AQ-2.27 12 HYPERLINK l bookmark114 o Current Document 28控制點(diǎn) GCC-AQ-2.28 137項(xiàng)目建設(shè)管理測試13 HYPERLINK l bookmark120 o Current Document 1控制點(diǎn) GCC-JS-3. 1Key 13 HYPERLINK l bookmark1

6、23 o Current Document 控制點(diǎn) GCC-JS-3. 2Key 13 HYPERLINK l bookmark126 o Current Document 控制點(diǎn) GCC-JS-3. 3Key 14 HYPERLINK l bookmark129 o Current Document 控制點(diǎn) GCC-JS-3. 4Key 14 HYPERLINK l bookmark132 o Current Document 控制點(diǎn) GCC-JS-3. 5Key 14 HYPERLINK l bookmark135 o Current Document 控制點(diǎn) GCC-JS-3. 6Key

7、 15 HYPERLINK l bookmark138 o Current Document 控制點(diǎn) GCC-JS-3. 7Key 15 HYPERLINK l bookmark141 o Current Document 控制點(diǎn) GCC-JS-3. 8Key 15 HYPERLINK l bookmark144 o Current Document 控制點(diǎn) GCC-JS-3. 9Key 16 HYPERLINK l bookmark147 o Current Document 10控制點(diǎn)GCC-JS-3.10 16 HYPERLINK l bookmark150 o Current Docu

8、ment 11控制點(diǎn)GCC-JS-3.11 16 HYPERLINK l bookmark152 o Current Document 12控制點(diǎn)GCC-JS-3.12 16 HYPERLINK l bookmark155 o Current Document 13控制點(diǎn)GCC-JS-3.13 17 HYPERLINK l bookmark158 o Current Document 7.14控制點(diǎn)GCOJS-3.14 17 HYPERLINK l bookmark161 o Current Document 15控制點(diǎn)GCC-JS-3.15 17 HYPERLINK l bookmark16

9、4 o Current Document 16控制點(diǎn)GCC-JS-3.16 17 HYPERLINK l bookmark167 o Current Document 17控制點(diǎn)GCC-JS-3.17 17 HYPERLINK l bookmark170 o Current Document 18控制點(diǎn)GCC-JS-3.18 18 HYPERLINK l bookmark173 o Current Document 19控制點(diǎn)GCC-JS-3.19 188系統(tǒng)變更管理測試18 HYPERLINK l bookmark176 o Current Document 1控制點(diǎn) GCC - BG -

10、4. 1Key 18 HYPERLINK l bookmark179 o Current Document 2控制點(diǎn) GCC-BG-4. 2Key 18 HYPERLINK l bookmark182 o Current Document 3控制點(diǎn) GCC - BG 4. 3Key 19 HYPERLINK l bookmark185 o Current Document 控制點(diǎn) GCC-BG-4. 4Key 19 HYPERLINK l bookmark188 o Current Document 5控制點(diǎn) GCC-BG-4. 5Key 20 HYPERLINK l bookmark190

11、o Current Document 6控制點(diǎn) GCC - BG - 4. 6 20 HYPERLINK l bookmark193 o Current Document 7控制點(diǎn) GCC-BG-4. 7 20 HYPERLINK l bookmark196 o Current Document 8控制點(diǎn) GCC-BG-4. 8 21 HYPERLINK l bookmark199 o Current Document 控制點(diǎn) GCC-BG-4. 9 21 HYPERLINK l bookmark201 o Current Document 10 控制點(diǎn) GCC-BG-4. 10 21 HYP

12、ERLINK l bookmark204 o Current Document 11 控制點(diǎn) GCC-BG-4. 11 219系統(tǒng)運(yùn)行維護(hù)測試21 HYPERLINK l bookmark207 o Current Document 1控制點(diǎn) GCC - YW-5. 1 Key 21 HYPERLINK l bookmark209 o Current Document 2控制點(diǎn) GCC -YW-5. 2 Key 22 HYPERLINK l bookmark212 o Current Document 3控制點(diǎn) GCC-YW-5. 3 Key 22Q TOC o 1-5 h z HYPERLI

13、NK l bookmark215 o Current Document 4控制點(diǎn) GCC- YW-5.4 Key 22 HYPERLINK l bookmark218 o Current Document 5控制點(diǎn) GCC-YW-5.5 Key 23 HYPERLINK l bookmark221 o Current Document 6控制點(diǎn) GCC-YW-5.6 Key 23 HYPERLINK l bookmark224 o Current Document 7控制點(diǎn) GCC-YW-5.7 Key 23 HYPERLINK l bookmark227 o Current Document

14、 8控制點(diǎn) GCC - YW-5. 8 Key 24 HYPERLINK l bookmark230 o Current Document 控制點(diǎn) GCC- YW-5. 9 24 HYPERLINK l bookmark233 o Current Document 10控制點(diǎn) GCC- YW-5. 10 24 HYPERLINK l bookmark236 o Current Document 9. 11控制點(diǎn) GCC-YW-5. 11 25 HYPERLINK l bookmark239 o Current Document 9. 12 控制點(diǎn) GCC- YW-5.12 25 HYPERLI

15、NK l bookmark242 o Current Document 13 控制點(diǎn) GCC- YW-5. 13 2510最終用戶操作測試 25 HYPERLINK l bookmark245 o Current Document 1控制點(diǎn) GCC - YH - 6. 1Key 25 HYPERLINK l bookmark248 o Current Document 10.2控制點(diǎn) GCC-YH-6. 2Key 26 HYPERLINK l bookmark251 o Current Document 3控制點(diǎn) GCC - YH - 6. 3Key 26 HYPERLINK l bookma

16、rk254 o Current Document 控制點(diǎn) GCC-YH-6. 4 26 HYPERLINK l bookmark257 o Current Document 控制點(diǎn) GCC-YH-6.5 27 HYPERLINK l bookmark260 o Current Document 控制點(diǎn) GCC-YH-6.6 27 HYPERLINK l bookmark263 o Current Document 控制點(diǎn) GCC-YH-6. 7 27附錄A （規(guī)范性附錄）控制頻率與抽樣樣本數(shù)量對應(yīng)表 28附錄B （規(guī)范性附錄）管理表格匯總29IDQ/SY 1223. 22009 #Q/SY 1

17、223. 22009 IV kZ.*刖呂Q/SY 12232009信息系統(tǒng)總體控制規(guī)范分2個(gè)部分：第1部分：實(shí)施；第2部分：測試。本部分為Q/SY 12232009的第2部分。本標(biāo)準(zhǔn)的附錄A、附錄B為規(guī)范性附錄。本標(biāo)準(zhǔn)由中國石油天然氣集團(tuán)公司信息管理部提出。本標(biāo)準(zhǔn)由中國石油天然氣集團(tuán)公司信息技術(shù)專業(yè)標(biāo)準(zhǔn)化技術(shù)委員會歸口。 本標(biāo)準(zhǔn)起草單位：中國石油勘探開發(fā)研究院。本標(biāo)準(zhǔn)起草人：高雪、于愛麗、俞隆潮、繆紅萍。Q/SY 1223. 22009 Q/SY 1223. 22009 信息系統(tǒng)總體控制規(guī)范第2部分：測試1范圍Q/SY 1223的本部分規(guī)定了進(jìn)行信息系統(tǒng)總體控制環(huán)境測試、信息安全測試、項(xiàng)目建設(shè)

18、管理測 試、系統(tǒng)變更管理測試、系統(tǒng)運(yùn)行維護(hù)測試、最終用戶操作測試所應(yīng)遵循的程序與要求。本部分定義了信息系統(tǒng)總體控制測試的程序、方法和標(biāo)準(zhǔn)，適用于中國石油信息系統(tǒng)總體控制測 試工作。2規(guī)范性引用文件下列文件中的條款通過Q/SY 1223的本部分的引用而成為本部分的條款。凡是注日期的引用文件， 其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達(dá)成協(xié) 議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。 Q/SY 1223. 12009信息系統(tǒng)總體控制規(guī)范 第1部分：實(shí)施3專用詞匯控制點(diǎn)：指企業(yè)為了保證業(yè)務(wù)活動的有效進(jìn)行，保護(hù)

19、資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤 與舞弊，以及保證企業(yè)正常經(jīng)營所采取的一系列必要的管理措施。關(guān)鍵控制點(diǎn)：指對管理工作影響大、涉及面廣、具有重要地位和作用的控制點(diǎn)。其控制點(diǎn)的失效 將使整個(gè)控制系統(tǒng)失控或造成較為重大的缺陷從而影響到整個(gè)企業(yè)業(yè)務(wù)活動控制目標(biāo)的實(shí)現(xiàn)。 4控制點(diǎn)編號規(guī)則控制點(diǎn)編號規(guī)則為字母與數(shù)字不等長混合編碼，編碼結(jié)構(gòu)見圖1。音字母表示信息系統(tǒng)控制領(lǐng)域英文第一個(gè)字母圖1控制點(diǎn)編號結(jié)構(gòu)和規(guī)則信息系統(tǒng)控制子領(lǐng)域有六個(gè)，其名稱、縮寫和子領(lǐng)域的序號見表1。5控制環(huán)境測試本章節(jié)的控制點(diǎn)描述、控制方法和控制頻率描述了控制執(zhí)行時(shí)的主要要求，測試步驟描述了對該 控制點(diǎn)進(jìn)行測試的具體方法。表1子領(lǐng)

20、域名稱、代碼和子領(lǐng)域的序號子領(lǐng)域名稱子領(lǐng)域代碼子領(lǐng)域的序號控制環(huán)境測試HJ1信息安全測試AQ2項(xiàng)目建設(shè)管理測試JS3系統(tǒng)變更管理測試BG4系統(tǒng)運(yùn)行維護(hù)測試YW5最終用戶操作測試YH6示例：控制點(diǎn)GCC- HJ-1.1 Key代表信息技術(shù)控制環(huán)境測試子領(lǐng)域第一個(gè)控制點(diǎn)且此控制點(diǎn)為關(guān)鍵控制點(diǎn)。樣本總體根據(jù)執(zhí)行該控制的控制頻率和時(shí)間段進(jìn)行確定，確定樣本總體后，樣本數(shù)量根據(jù)附錄A 所規(guī)定的方法抽取，以下各章同此?？刂泣c(diǎn) GCC - HJ - 1.1 Key5.1.1控制點(diǎn)描述中國石油天然氣集團(tuán)公司（簡稱集團(tuán)公司）信息化工作主管部門定期（至少每年度）組織相關(guān)部 門對信息技術(shù)總體規(guī)劃的執(zhí)行情況及其對公司業(yè)

21、務(wù)的適應(yīng)性進(jìn)行審閱。集團(tuán)公司信息化工作主管部門 可根據(jù)業(yè)務(wù)發(fā)展對信息技術(shù)總體規(guī)劃進(jìn)行修訂，并完整保存相關(guān)文檔記錄。5.1.2測試步驟a）訪談集團(tuán)公司信息化工作主管部門負(fù)責(zé)人，了解信息技術(shù)總體規(guī)劃的制定、執(zhí)行以及修訂情 況，獲得企業(yè)最新的信息技術(shù)總體規(guī)劃文檔。b）查看相關(guān)業(yè)務(wù)部門是否參與了信息技術(shù)總體規(guī)劃的制定和審閱過程。c）檢查信息技術(shù)總體規(guī)劃的審閱、修訂流程及流程的執(zhí)行與制度要求的符合性。控制方法：手工；控制頻率：每年?？刂泣c(diǎn) GCC-HJ-1.2 Key5. 2.1控制點(diǎn)描述集團(tuán)公司信息化工作主管部門負(fù)責(zé)本單位信息系統(tǒng)控制相關(guān)政策和制度的制定和培訓(xùn)工作。5. 2.2測試步驟a）訪談集團(tuán)公司

22、信息化工作主管部門負(fù)責(zé)人，了解信息系統(tǒng)控制相關(guān)政策和制度的推行、宣貫 過程，獲得制度的培訓(xùn)、宣貫記錄等相關(guān)文檔。b）訪談員工對集團(tuán)公司信息化工作主管部門的宣貫活動的了解程度。c）檢查這些文檔的內(nèi)容、執(zhí)行時(shí)間、參加的部門以及是否保存了相關(guān)的正式的培訓(xùn)文檔。 控制方法：手工；控制頻率：按需。3 控制點(diǎn) GCC -HJ-1.3 Key5.3.1控制點(diǎn)描述集團(tuán)公司信息化工作主管部門對公司及業(yè)務(wù)層面的主要信息技術(shù)風(fēng)險(xiǎn)進(jìn)行評估。當(dāng)組織結(jié)構(gòu)、環(huán) 境發(fā)生變動或發(fā)生重大的信息技術(shù)應(yīng)用時(shí)，集團(tuán)公司信息化工作主管部門對變動情況進(jìn)行風(fēng)險(xiǎn)評估， 必要時(shí)調(diào)整相關(guān)風(fēng)險(xiǎn)防范措施。5.3.2測試步驟a）訪談集團(tuán)公司信息化工作主

23、管部門負(fù)責(zé)人，了解風(fēng)險(xiǎn)評估框架制定、變更頻度、風(fēng)險(xiǎn)評估流 程、責(zé)任部門、管理層態(tài)度等情況，獲得風(fēng)險(xiǎn)評估報(bào)告。檢查報(bào)告是否經(jīng)過修改，上一次修 改后是否發(fā)生了重大變更，風(fēng)險(xiǎn)評估報(bào)告是否隨之進(jìn)行了更新，管理層是否對評估報(bào)告進(jìn)行 了審批。b）檢查風(fēng)險(xiǎn)評估報(bào)告的覆蓋范圍和內(nèi)容是否全面和完整。c）查看風(fēng)險(xiǎn)評估報(bào)告，審查控制措施是否可有效降低風(fēng)險(xiǎn)，管理層是否接受剩余風(fēng)險(xiǎn)。 控制方法：手工；控制頻率：按需。4 控制點(diǎn) GCC -HJ-1.4 Key5.4.1控制點(diǎn)描述集團(tuán)公司信息化工作主管部門每年對信息系統(tǒng)控制相關(guān)政策和制度在中國石油范圍內(nèi)的執(zhí)行情況 進(jìn)行監(jiān)督。5.4.2測試步驟a）訪談集團(tuán)公司信息化工作主管

24、部門負(fù)責(zé)人，了解實(shí)施辦法的總體執(zhí)行情況、責(zé)任部門情況等， 檢查負(fù)責(zé)測試的單位是否涉及GCC的日常執(zhí)行工作。b）獲得GCC內(nèi)控測試文檔，檢查測試工作是否按照規(guī)定的頻率執(zhí)行。c）檢查集團(tuán)公司信息化工作主管部門是否對所有的例外情況進(jìn)行了總結(jié)、評估，并制定了正式 的整改計(jì)劃，對于整改措施的執(zhí)行情況是否進(jìn)行了跟進(jìn)?？刂品椒ǎ菏止ぃ豢刂祁l率：每年。5 控制點(diǎn) GCC -HJ-1.5 Key5.5.1控制點(diǎn)描述各級信息化工作管理部門每年評估信息系統(tǒng)控制相關(guān)政策和制度在本單位的執(zhí)行情況，對所發(fā)現(xiàn)的問 題采取相應(yīng)的補(bǔ)救措施，制定評估報(bào)告。將評估報(bào)告和補(bǔ)救措施文檔上社級信息化工作主管部門并歸檔。 5.5.2測試步

25、驟a）訪談信息化工作管理部門負(fù)責(zé)人，了解信息系統(tǒng)控制相關(guān)政策和制度執(zhí)行情況的評估過程。b）檢查是否對信息系統(tǒng)控制相關(guān)政策和制度在本單位的執(zhí)行情況進(jìn)行了評估，是否保存了正式 的評估報(bào)告和補(bǔ)救措施文檔。c）檢查評估報(bào)告和補(bǔ)救措施文檔是否上報(bào)給上級信息化工作主管部門?？刂品椒ǎ菏止?；控制頻率：每年?？刂泣c(diǎn) GCC-HJ-1.65.6.1控制點(diǎn)描述集團(tuán)公司信息化工作主管部門組織制定企業(yè)信息技術(shù)總體規(guī)劃。各級信息化工作管理部門結(jié)合信 息技術(shù)總體規(guī)劃，制定本單位的信息技術(shù)年度工作計(jì)劃。5. 6.2測試步驟a）集團(tuán)公司：一訪談集團(tuán)公司信息化工作主管部門負(fù)責(zé)人，了解集團(tuán)公司信息技術(shù)總體規(guī)劃和年度工作 計(jì)劃的制

26、定情況，并獲得相關(guān)文檔。一檢查集團(tuán)公司總體規(guī)劃和年度工作計(jì)劃是否符合集團(tuán)公司總體規(guī)劃的要求。控制方法：手工；控制頻率：每年。b）各級單位：一訪談各級信息化工作管理部門負(fù)責(zé)人，了解本單位年度工作計(jì)劃的制定情況，并獲得相 關(guān)文檔。檢查各級單位年度計(jì)劃內(nèi)容是否符合集團(tuán)公司總體規(guī)劃的要求?？刂品椒ǎ菏止?；控制頻率：每年。控制點(diǎn) GCC-HJ-1.75.7.1控制點(diǎn)描述制定部門職責(zé)時(shí)是否包含安全和內(nèi)控的要求，制定員工崗位職責(zé)時(shí)是否滿足職責(zé)分離的要求。5. 7.2測試步驟a）訪談各級信息化工作管理部門負(fù)責(zé)人，了解該部門在制定部門職責(zé)時(shí)是否包含安全和內(nèi)控的 要求，以及在制定員工崗位職責(zé)時(shí)是否滿足了職責(zé)分離的

27、要求。b）訪談員工，了解對職責(zé)分離崗位的具體情況。c）檢查是否按照內(nèi)控的要求對相關(guān)崗位制定了職責(zé)分離的要求?？刂品椒ǎ菏止ぃ豢刂祁l率：按需?？刂泣c(diǎn) GCC-HJ-1.85. 8.1控制點(diǎn)描述各級單位信息化工作管理部門制定針對本單位普通員工的信息技術(shù)培訓(xùn)計(jì)劃，并負(fù)責(zé)實(shí)施，保存 完整的文檔記錄。5. 8.2測試步驟a）訪談各級信息化工作管理部門負(fù)責(zé)人，了解該部門制定的本單位普通員工的信息技術(shù)培訓(xùn)計(jì) 劃，并獲得計(jì)劃以及培訓(xùn)的相關(guān)文檔。b）訪談普通員工，了解信息技術(shù)培訓(xùn)的具體實(shí)施情況。c）檢查相關(guān)文檔的內(nèi)容、存檔時(shí)間，以及是否保存了相關(guān)的培訓(xùn)文檔?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。控制點(diǎn) GCC-HJ-

28、1.95. 9.1控制點(diǎn)描述各級信息化工作管理部門應(yīng)對所屬單位使用的信息資產(chǎn)建立“信息資產(chǎn)清單”并進(jìn)行分級，明確 各信息資產(chǎn)的相關(guān)責(zé)任人。5. 9.2測試步驟a）訪談信息化工作管理部門負(fù)責(zé)人，了解該部門是否對所屬單位使用的信息資產(chǎn)建立“信息資 產(chǎn)清單”并進(jìn)行分級，是否明確了信息資產(chǎn)的相關(guān)負(fù)責(zé)人。b）檢查該單位使用的信息資產(chǎn)是否均已列入“信息資產(chǎn)清單”并進(jìn)行分級?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。控制點(diǎn) GCC -HJ-1.105.10.1控制點(diǎn)描述各級信息化工作管理部門按照信息系統(tǒng)控制相關(guān)政策和制度的要求進(jìn)行日常檢查與監(jiān)控，確保信 息系統(tǒng)總體控制體系的有效運(yùn)行。5.10. 2測試步驟a）訪談各級

29、信息化工作管理部門負(fù)責(zé)人，了解信息系統(tǒng)控制相關(guān)政策和制度所要求的日常檢查 與監(jiān)控制度的執(zhí)行情況。b）檢查進(jìn)行日常檢查與監(jiān)控的相關(guān)文檔是否完整?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。6信息安全測試控制點(diǎn) GCC- AQ-2.1 Key6.1.1控制點(diǎn)描述信息安全管理負(fù)責(zé)人每半年審核本單位信息系統(tǒng)總體控制活動的職責(zé)分離狀況，填寫“職責(zé)分離 檢查表”，將不符情況報(bào)相關(guān)負(fù)責(zé)人。6.1.2測試步驟a）訪談信息安全管理負(fù)責(zé)人，了解信息系統(tǒng)總體控制的職責(zé)分離管理情況。b）獲得“職責(zé)分離檢查表”，檢查表單是否經(jīng)過信息安全管理負(fù)責(zé)人審核簽字，是否記錄了不 符情況。c）檢查納人范圍的系統(tǒng)中是否實(shí)現(xiàn)了角色分離?？刂品椒ǎ?/p>

30、手工；控制頻率：每半年。2 控制點(diǎn) GCC - AQ-2.2 Key6. 2.1控制點(diǎn)描述當(dāng)用戶需要直接訪問系統(tǒng)中的數(shù)據(jù)時(shí)，須提出申請，由用戶主管領(lǐng)導(dǎo)和應(yīng)用系統(tǒng)負(fù)責(zé)人審批后執(zhí)行。6.2.2測試步驟a）訪談應(yīng)用系統(tǒng)負(fù)責(zé)人，了解數(shù)據(jù)直接訪問的情況。b）訪談數(shù)據(jù)庫管理員，了解數(shù)據(jù)直接訪問的情況，獲得相關(guān)的“數(shù)據(jù)直接訪問申請表”。c）確定樣本總體：統(tǒng)計(jì)全年納入范圍的系統(tǒng)的數(shù)據(jù)直接訪問活動次數(shù)，作為樣本總體，并檢查 是否每次訪問活動都填寫“數(shù)據(jù)直接訪問申請表”。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取多個(gè)樣本，并檢查相應(yīng)的“數(shù)據(jù)直接訪問申請表”。e）獲得樣本表單，檢查表單的填寫是否符合要求，是否有適當(dāng)?shù)膶?/p>

31、核簽字。f）通過查看日志等方法查看申請表是否與實(shí)際情況相符?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。3 控制點(diǎn) GCC - AQ-2.3 Key6.3.1控制點(diǎn)描述應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)（含網(wǎng)絡(luò)操作系統(tǒng)）及網(wǎng)絡(luò)設(shè)備的賬號及權(quán)限的申請、變更及撤銷 需要經(jīng)過有效的審批或授權(quán)，審批時(shí)對照職責(zé)分離矩陣進(jìn)行檢查，確保用戶權(quán)限申請和變更符合職責(zé) 分離要求。6.3.2測試步驟a）訪談業(yè)務(wù)主管領(lǐng)導(dǎo)和納人范圍的系統(tǒng)的負(fù)責(zé)人以及信息部門負(fù)責(zé)人，了解系統(tǒng)賬號及權(quán)限的 審批或授權(quán)過程，確定應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員、網(wǎng)絡(luò)管理員。b）訪談應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員、網(wǎng)絡(luò)管理員，了解賬號及

32、權(quán)限的創(chuàng) 建或變更過程，獲得“用戶賬號及權(quán)限管理表”。c）確定樣本總體：統(tǒng)計(jì)共有多少納人范圍的系統(tǒng)的用戶，作為樣本總體。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本，獲得相應(yīng)的“用戶賬號及權(quán)限管理表”。e）檢查樣本表單內(nèi)容的填寫是否符合要求，是否有主管領(lǐng)導(dǎo)及系統(tǒng)責(zé)任人的審核簽字。D檢查樣本表單中用戶申請（變更、撤銷）的賬號及權(quán)限與相應(yīng)系統(tǒng)中的實(shí)際情況是否一致。 控制方法：手工；控制頻率：按需。4 控制點(diǎn) GCC- AQ-2.4 Key6. 4.1控制點(diǎn)描述應(yīng)用系統(tǒng)負(fù)責(zé)人每三個(gè)月審核應(yīng)用系統(tǒng)的用戶賬號和用戶權(quán)限設(shè)置。6. 4.2測試步驟a）訪談納人范圍的系統(tǒng)的應(yīng)用系統(tǒng)負(fù)責(zé)人，了解對應(yīng)用系統(tǒng)用戶的權(quán)

33、限檢查情況，確定應(yīng)用系 統(tǒng)管理員。b）訪談應(yīng)用系統(tǒng)管理員，了解不符賬號和權(quán)限的修正過程。c）訪談信息安全管理負(fù)責(zé)人，了解用戶權(quán)限定期檢查的執(zhí)行情況，獲得對納人范圍的系統(tǒng)的 “應(yīng)用系統(tǒng)權(quán)限檢查表”。d）檢查表單的內(nèi)容填寫是否符合要求，是否有應(yīng)用系統(tǒng)負(fù)責(zé)人的審核簽字。e）檢查表單中的檢查結(jié)果與系統(tǒng)中的實(shí)際情況是否一致。f）檢查是否對檢查結(jié)果的不符合要求的情況進(jìn)行了改正，是否有應(yīng)用系統(tǒng)負(fù)責(zé)人的簽字確認(rèn)。 控制方法：手工；控制頻率：每季。6. 5 控制點(diǎn) GCC - AQ-2.5 Key6. 5.1控制點(diǎn)描述應(yīng)用系統(tǒng)負(fù)責(zé)人每三個(gè)月審核數(shù)據(jù)庫管理員和操作系統(tǒng)管理員的賬號及權(quán)限設(shè)置。網(wǎng)絡(luò)管理負(fù)責(zé)人每三個(gè)月

34、審核網(wǎng)絡(luò)管理員的賬號及權(quán)限設(shè)置。6. 5.2測試步驟6. 5. 2.1操作系統(tǒng)、數(shù)據(jù)庫權(quán)限a）訪談納人范圍的系統(tǒng)的應(yīng)用系統(tǒng)負(fù)責(zé)人，了解對操作系統(tǒng)管理員和數(shù)據(jù)庫管理員的權(quán)限檢查 情況，確定操作系統(tǒng)管理員和數(shù)據(jù)庫管理員。b）訪談操作系統(tǒng)管理員和數(shù)據(jù)庫管理員，了解不符賬號和權(quán)限的修正過程。c）訪談信息安全管理負(fù)責(zé)人，獲得對納入范圍的系統(tǒng)的“操作系統(tǒng)/數(shù)據(jù)庫權(quán)限檢查表”及“特 權(quán)用戶登記備案表”。d）檢查表單的內(nèi)容填寫是否符合要求，“操作系統(tǒng)/數(shù)據(jù)庫權(quán)限檢查表”是否有應(yīng)用系統(tǒng)負(fù)責(zé)人 的審核簽字。e）檢查表單中的檢查結(jié)果與系統(tǒng)中的實(shí)際情況是否一致。D檢查是否對檢查結(jié)果的不符合要求的情況進(jìn)行了改正，是否有

35、應(yīng)用系統(tǒng)負(fù)責(zé)人的簽字確認(rèn)。6. 5. 2. 2防火墻系統(tǒng)權(quán)限a）訪談網(wǎng)絡(luò)管理負(fù)責(zé)人，了解對網(wǎng)絡(luò)管理員的權(quán)限檢查情況，確定網(wǎng)絡(luò)管理員。b）訪談網(wǎng)絡(luò)管理員，了解不符賬號和權(quán)限的修正過程。c）訪談信息安全管理負(fù)責(zé)人，獲得對納人范圍的系統(tǒng)的相關(guān)“防火墻系統(tǒng)權(quán)限檢查表”及“特 權(quán)用戶登記備案表”。d）檢查表單的內(nèi)容填寫是否符合要求，“防火墻系統(tǒng)權(quán)限檢查表”是否有網(wǎng)絡(luò)管理負(fù)責(zé)人的審 核簽字。e）檢查表單中的檢查結(jié)果與系統(tǒng)中的實(shí)際情況是否一致。f）檢查是否對檢查結(jié)果的不符合要求的情況進(jìn)行了改正，是否有網(wǎng)絡(luò)管理負(fù)責(zé)人的簽字確認(rèn)。 控制方法：手工；控制頻率：每季。6. 6 控制點(diǎn) GCC - AQ-2.6 Ke

36、y6. 6.1控制點(diǎn)描述應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)的廠商初始口令在設(shè)備到貨后及時(shí)修改，修改口令后的系統(tǒng)方可投入使用。6. 6.2測試步驟a）訪談信息化工作管理部門負(fù)責(zé)人，了解應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的投入使用 過程。b）統(tǒng)計(jì)納人范圍的系統(tǒng)及相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備的數(shù)量，作為樣本總體，并全部 作為樣本進(jìn)行測試。c）確定樣本系統(tǒng)的廠商初始口令是否已經(jīng)更改。控制方法：手工；控制頻率：按需。6. 7 控制點(diǎn) GCC- AQ-2.7 Key6.7.1控制點(diǎn)描述信息安全管理負(fù)責(zé)人在操作系統(tǒng)管理員協(xié)助下，每年審核Windows服務(wù)器操作系統(tǒng)設(shè)置是否符 合安全配置方案。6

37、. 7.2測試步驟a）訪談信息安全管理負(fù)責(zé)人，了解Windows服務(wù)器安全配置的審核過程，獲得“Windows服 務(wù)器安全配置檢查表”，確定操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，了解Windows服務(wù)器的安全配置過程。c）檢查“Windows服務(wù)器安全配置檢查表”中關(guān)鍵配置項(xiàng)的填寫是否完整。d）檢查系統(tǒng)中的實(shí)際配置情況與檢查表是否一致，并標(biāo)注出不符合配置要求的情況。 控制方法：手工；控制頻率：每年。6. 8 控制點(diǎn) GCC - AQ-2.8 Key6. 8.1控制點(diǎn)描述信息安全管理負(fù)責(zé)人在操作系統(tǒng)管理員協(xié)助下，每年審核Unix服務(wù)器操作系統(tǒng)設(shè)置是否符合安 全配置方案。6. 8.2測試步驟a）

38、訪談信息安全管理負(fù)責(zé)人，了解Unix服務(wù)器安全配置的審核過程，獲得“Unix服務(wù)器安全 配置檢查表”，確定操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，了解Unix服務(wù)器的安全配置過程。c）檢查“Unix服務(wù)器安全配置檢查表”中關(guān)鍵配置項(xiàng)的填寫是否完整。d）檢查系統(tǒng)中的實(shí)際配置情況與檢查表是否一致，并標(biāo)注出不符合配置要求的情況?？刂品椒ǎ菏止ぃ豢刂祁l率：每年。6. 9 控制點(diǎn) GCC-AQ-2.9 Key6. 9.1控制點(diǎn)描述信息安全管理負(fù)責(zé)人在操作系統(tǒng)管理員協(xié)助下，每年審核Inux服務(wù)器操作系統(tǒng)設(shè)置是否符合安 全配置方案。6. 9.2測試步驟a）訪談信息安全管理負(fù)責(zé)人，了解Linux服務(wù)器安全配置

39、的審核過程，獲得“Linux服務(wù)器安 全配置檢查表”，確定操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，了解Linux服務(wù)器的安全配置過程。c）檢查“Linux服務(wù)器安全配置檢查表”中關(guān)鍵配置項(xiàng)的填寫是否完整。d）檢查系統(tǒng)中的實(shí)際配置情況與檢查表是否一致，并標(biāo)注出不符合配置要求的情況?？刂品椒ǎ菏止?；控制頻率：每年?？刂泣c(diǎn) GCC- AQ-2.10 Key6.10.1控制點(diǎn)描述進(jìn)人機(jī)房人員需經(jīng)進(jìn)人機(jī)房授權(quán)人員同意并按規(guī)定填寫“機(jī)房出人登記表”后進(jìn)人機(jī)房。機(jī)房負(fù) 責(zé)人定期檢查機(jī)房出入登記情況。6.10. 2測試步驟a）訪談信息化工作管理部門負(fù)責(zé)人，了解機(jī)房數(shù)量等信息，然后訪談機(jī)房負(fù)責(zé)人，了解機(jī)房出 人

40、訪問的管理情況，獲得“機(jī)房出人登記表”。b）確定樣本總體：統(tǒng)計(jì)納人范圍的系統(tǒng)的相關(guān)機(jī)房出人活動的次數(shù)，作為樣本總體。c）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本，并檢查相應(yīng)的“機(jī)房出人登記表”中的記錄。d）檢查臨時(shí)進(jìn)人機(jī)房的人員是否在“機(jī)房出人登記表”中進(jìn)行登記并說明進(jìn)人的原因，是否有 授權(quán)人員的許可。 e）實(shí)地觀察人員進(jìn)人機(jī)房是否按規(guī)定填寫“機(jī)房出人登記表”，是否有授權(quán)人員許可。 控制方法：手工；控制頻率：按需?？刂泣c(diǎn) GCC - AQ-2.11 Key6.11.1控制點(diǎn)描述信息安全管理負(fù)責(zé)人在網(wǎng)絡(luò)管理員協(xié)助下，定期（至少每三個(gè)月）審核防火墻配置是否符合安全 配置標(biāo)準(zhǔn)。6.11.2測試步驟a）

41、訪談信息安全管理負(fù)責(zé)人，了解防火墻安全配置的審核過程，獲得“防火墻安全配置檢查 表”，確定網(wǎng)絡(luò)髄員。b）訪談網(wǎng)絡(luò)管理員，j了解防火墻的安全配置過程。c）檢查“防火墻安全配置檢查表”中關(guān)鍵配置項(xiàng)的填寫是否完整。d）檢查系統(tǒng)中的實(shí)際配置情況與檢查表是否一致，并標(biāo)注出不符合配置要求的情況。控制方法：手工；控制頻率：每季。控制點(diǎn) GCC - AQ-2.12 Key6.12.1控制點(diǎn)描述“邊界網(wǎng)絡(luò)”是指用于企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet.合作伙伴企業(yè)網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)進(jìn)行連接的 特殊子網(wǎng)或網(wǎng)絡(luò)設(shè)備。各級信息化工作管理部門對邊界網(wǎng)絡(luò)出口進(jìn)行登記，并報(bào)集團(tuán)公司信息化工作主管部門審批。各 級信息化工作管理部門

42、需新增邊界網(wǎng)絡(luò)出口時(shí)，應(yīng)填寫“邊界網(wǎng)絡(luò)出口申請表”，報(bào)集團(tuán)公司信息化 工作主管部門批準(zhǔn)后執(zhí)行。6.12. 2測試步驟a）訪談網(wǎng)絡(luò)管理負(fù)責(zé)人，詢問是否有邊界網(wǎng)絡(luò)出口，獲得“邊界網(wǎng)絡(luò)出口登記表”。b）檢查“邊界網(wǎng)絡(luò)出口登記表”與實(shí)際外部網(wǎng)絡(luò)出口的情況是否一致，可以訪談一般業(yè)務(wù)人員 是否有其他的網(wǎng)絡(luò)出口。c）確定樣本總體：統(tǒng)計(jì)所有邊界網(wǎng)絡(luò)出口的數(shù)量，作為樣本總體。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)選取樣本。e）檢查樣本出口是否經(jīng)過了集團(tuán)公司信息化工作主管部門的審批?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。控制點(diǎn) GCC-AQ-2.13 Key6.13.1控制點(diǎn)描述網(wǎng)絡(luò)管理員每周檢查防火墻日志，填寫“防火墻日

43、志檢查記錄表”，并簽字確認(rèn)。6.13. 2測試步驟a）訪談網(wǎng)絡(luò)管理員，了解防火墻日志的檢查過程。b）檢查“防火墻安全配置檢查表”中關(guān)鍵配置項(xiàng)的填寫是否完整。c）檢查系統(tǒng)中的實(shí)際配置情況與檢查表是否一致，并標(biāo)注出不符合配置要求的情況?？刂品椒ǎ菏止ぃ豢刂祁l率：每周?？刂泣c(diǎn) GCC-AQ-2.14 Key6.14.1控制點(diǎn)描述用戶申請遠(yuǎn)程登錄賬號時(shí)，填寫“遠(yuǎn)程登錄賬號申請表”并提交給用戶主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理負(fù)責(zé) 人批準(zhǔn)后方可實(shí)施。6.14.2 測試步驟 _a）訪談網(wǎng)絡(luò)管理負(fù)責(zé)人，了解遠(yuǎn)程登錄的申請和審批等流程。b）訪談網(wǎng)絡(luò)管理員，了解遠(yuǎn)程登錄的申請和審批等流程，獲得相關(guān)的“遠(yuǎn)程登錄賬號申請表”。c）

44、確定樣本總體：統(tǒng)計(jì)全年納人范圍的系統(tǒng)的遠(yuǎn)程登錄用戶數(shù)知 確保每個(gè)登錄用戶都有相應(yīng) 的“遠(yuǎn)程登錄賬號申請表”。d）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本，檢查相應(yīng)的“遠(yuǎn)涅登錄賬號申請表”。e）檢查樣本表單記錄是否完整，是否有主管領(lǐng)導(dǎo)及網(wǎng)絡(luò)管理責(zé)任人的審批簽字。f）檢查樣本表單中用戶申請的賬號及權(quán)限與相應(yīng)系統(tǒng)中的實(shí)際情況是否一致。控制方法：手工；控制頻率：按需?？刂泣c(diǎn) GCC - AQ-2.15 Key6.15.1控制點(diǎn)描述網(wǎng)絡(luò)管理負(fù)責(zé)人每三個(gè)月審核用戶遠(yuǎn)程登錄賬號是否合理，以及迠否存在無人使用的用戶賬號， 將審核結(jié)果填寫在“遠(yuǎn)程登錄權(quán)限檢查表”中，并簽字確認(rèn)。2測試步驟a）訪談網(wǎng)絡(luò)管理負(fù)責(zé)人，了

45、解遠(yuǎn)程登錄的權(quán)限檢查管理情況。b）訪談信息安全管理負(fù)責(zé)人，獲得納人范圍的系統(tǒng)的“遠(yuǎn)程登求權(quán)限檢查表”。c）檢查權(quán)限檢查表的填寫是否符合要求，是否有網(wǎng)絡(luò)管理負(fù)責(zé)人的審核簽字。d）檢查表單中的檢査結(jié)果與系統(tǒng)中的實(shí)際情況是否一致?？刂品椒ǎ菏止?；控制頻率：每季?？刂泣c(diǎn) GCC - AQ-2.16 Key6.16.1控制點(diǎn)描述安裝Windows操作系統(tǒng)的服務(wù)器，安裝統(tǒng)一的防病毒軟件，及時(shí)更新防病毒軟件的病毒庫。2 測試步驟a）訪談信息化工作主管部門負(fù)責(zé)人和信息安全管理負(fù)責(zé)人，了解防病毒的工作情況。b）確定樣本總體：統(tǒng)計(jì)服務(wù)器和個(gè)人計(jì)算機(jī)的數(shù)量。c）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本。d）檢查樣本設(shè)

46、備是否安裝了統(tǒng)一的防病毒軟件。e）檢查樣本設(shè)備是否按照既定的更新頻率對防病毒軟件的病毒庫進(jìn)行及時(shí)更新。控制方法：手工；控制頻率：按需?？刂泣c(diǎn) GCC-AQ-2.17 Key6.17.1控制點(diǎn)描述當(dāng)?shù)谌叫枰L問中國石油應(yīng)用系統(tǒng)生產(chǎn)環(huán)境時(shí)，填寫“用戶賬號及權(quán)限管理表”，說明賬號使 用的時(shí)間和期限，并得到相關(guān)業(yè)務(wù)部門主管領(lǐng)導(dǎo)的批準(zhǔn)。當(dāng)訪問結(jié)束或訪問期限到期時(shí)，應(yīng)用系統(tǒng)管 理員及時(shí)收回相應(yīng)的訪問權(quán)限。2測試步驟a）訪談信息化工作管理部門負(fù)責(zé)人和應(yīng)用系統(tǒng)負(fù)責(zé)人，了解系統(tǒng)有無第三方人員的訪問，并確 定檢查人員。b）確定樣本總體：統(tǒng)計(jì)全年納人范圍的應(yīng)用系統(tǒng)的第三方用戶數(shù)量，并查看是否所有第三方用 戶都填寫

47、了 “用戶賬號及權(quán)限管理表”。c）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本，并檢查相應(yīng)的“用戶賬號及權(quán)限管理表”。d）檢查樣本表單內(nèi)容的填寫是否符合要求，是否有主管領(lǐng)導(dǎo)的審批簽字。e）如果第三方用戶訪問期限到期，查看是否有對應(yīng)的管理表進(jìn)行權(quán)限撤銷，查看撤銷日期與期 限是否一致。）檢查樣本表單中第三方用戶申請的賬號、權(quán)限與相應(yīng)系統(tǒng)中的實(shí)際情況是否一致?？刂品椒ǎ菏止?；控制頻率：按需?？刂泣c(diǎn) GCC - AQ-2.186.18.1控制點(diǎn)描述在集團(tuán)公司和地區(qū)公司設(shè)立信息安全管理負(fù)責(zé)人，對信息技術(shù)日常工作進(jìn)行安全監(jiān)督和檢查。2測試步驟a）訪談信息安全管理負(fù)責(zé)人，了解信息技術(shù)日常工作安全監(jiān)督和檢查情況。b

48、）獲得相關(guān)信息技術(shù)日常安全相關(guān)文檔。c）檢查相關(guān)文檔是否符合安全要求。控制方法：手工；控制頻率：按需。控制點(diǎn) GCC- AQ-2.196.19.1控制點(diǎn)描述各級信息化工作管理部門制定相關(guān)安全培訓(xùn)計(jì)劃，對員工適時(shí)進(jìn)行信息安全教育和培訓(xùn)以提高其 安全意識。2測試步驟a）訪談信息化工作主管部門負(fù)責(zé)人，了解對員工進(jìn)行信息安全教育和培訓(xùn)的具體情況。b）訪談員工對信息安全的了解程度。c）檢查培訓(xùn)文檔的內(nèi)容、培訓(xùn)時(shí)間、參加的部門，以及是否保存正式的培訓(xùn)文檔。 控制方法：手工；控制頻率：按需。6. 20 控制點(diǎn) GCC - AQ-2. 206. 20.1控制點(diǎn)描述信息化工作管理部門根據(jù)業(yè)務(wù)部門建立的“職責(zé)分離

49、表”，將其轉(zhuǎn)換成應(yīng)用系統(tǒng)職責(zé)分離矩陣。6. 20. 2測試步驟a）訪談信息化工作管理部門負(fù)責(zé)人，檢查“職責(zé)分離表”是否經(jīng)過業(yè)務(wù)部門負(fù)責(zé)人確認(rèn)。b）訪談信息化工作管理部門負(fù)責(zé)人，了解“職責(zé)分離表”轉(zhuǎn)換成應(yīng)用系統(tǒng)職責(zé)分離矩陣的具體 情況。c）獲得“職責(zé)分離表”和系統(tǒng)職責(zé)分離矩陣，并檢查其是否符合職責(zé)分離的要求?？刂品椒ǎ菏止?；控制頻率：按需。6. 21 控制點(diǎn) GCC- AQ-2. 216. 21.1控制點(diǎn)描述建立正式的網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用系統(tǒng)的口令安全規(guī)則，系統(tǒng)用戶遵照該規(guī)定設(shè)置和維 護(hù)口令。6.21.2測試步驟a）訪談納入范圍的系統(tǒng)的系統(tǒng)管理員，了解使用口令安全規(guī)則的情況。b）訪談相關(guān)

50、用戶是否了解口令安全規(guī)則。c）要求相關(guān)用戶登錄相關(guān)系統(tǒng)以查看是否遵照口令安全規(guī)則來設(shè)置口令。控制方法：手工；控制頻率：按需。6. 22 控制點(diǎn) GCC - AQ-2. 226. 22. 1控制點(diǎn)描述集團(tuán)公司信息化工作主管部門負(fù)責(zé)編制服務(wù)器操作系統(tǒng)的安全配置方案，各級單位的操作系統(tǒng)管 理員根據(jù)集團(tuán)公司的服務(wù)器操作系統(tǒng)安全配置方案進(jìn)行設(shè)置。6. 22. 2測試步驟6. 22. 2.1集團(tuán)公司a）訪談集團(tuán)公司信息化工作主管部門負(fù)責(zé)人，了解是否編制服務(wù)器操作系統(tǒng)的安全配置方案。b）訪談集團(tuán)公司操作系統(tǒng)管理員，檢查是否對集團(tuán)公司的服務(wù)器操作系統(tǒng)的安全配置方案熟 悉，獲得相關(guān)表單，如“Windows服務(wù)器

51、安全配置檢查表”、“Unix服務(wù)器安全配置檢查 表”、“Linux服務(wù)器安全配置檢查表”。c）檢查服務(wù)器操作系統(tǒng)的配置是否與配置檢查表一致?？刂品椒ǎ菏止?；控制頻率：按需。6. 22. 2. 2 各級單位a）訪談各級單位信息化工作管理部門負(fù)責(zé)人，了解該單位操作系統(tǒng)管理員根據(jù)集團(tuán)公司的服務(wù) 器操作系統(tǒng)安全配置方案設(shè)置的情況，明確操作系統(tǒng)管理員。b）訪談操作系統(tǒng)管理員，檢查是否對集團(tuán)公司的服務(wù)器操作系統(tǒng)的安全配置方案熟悉，獲得相 關(guān)表單，如“Windows服務(wù)器安全配置檢查表”、“Unix服務(wù)器安全配置檢查表”、“Linux服 務(wù)器安全配置檢查表”。c）檢查服務(wù)器操作系統(tǒng)的配置是否與配置檢查表一致

52、?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。6. 23 控制點(diǎn) GCC - AQ-2. 236. 23.1控制點(diǎn)描述機(jī)房負(fù)責(zé)人授權(quán)需要經(jīng)常進(jìn)出機(jī)房的人員，并記錄在“進(jìn)人機(jī)房授權(quán)人員名單”中。當(dāng)進(jìn)出機(jī)房 的人員職責(zé)發(fā)生改變時(shí)，及時(shí)調(diào)整其進(jìn)人的權(quán)限，并更新“進(jìn)入機(jī)房授權(quán)人員名單”。6. 23. 2測試步驟a）訪談機(jī)房負(fù)責(zé)人，了解經(jīng)常進(jìn)出機(jī)房的授權(quán)情況并查看是否填寫“進(jìn)人機(jī)房授權(quán)人員名單”。b）訪談機(jī)房負(fù)責(zé)人，當(dāng)進(jìn)出機(jī)房的人員職責(zé)發(fā)生改變時(shí)，是否及時(shí)調(diào)整其進(jìn)人的權(quán)限并更新 “進(jìn)人機(jī)房授權(quán)人員名單”。c）獲得“進(jìn)人機(jī)房授權(quán)人員名單”，并檢查名單是否與實(shí)際情況相符。控制方法：手工；控制頻率：按需。6. 24 控制

53、點(diǎn) GCC-AQ-2. 246.24.1 控制點(diǎn)描述敏感的紙質(zhì)系統(tǒng)文件放置在帶鎖的文件柜中，包括：與財(cái)務(wù)報(bào)表相關(guān)系統(tǒng)的設(shè)計(jì)、開發(fā)、測試、 變更管理文檔、用戶使用手冊，以及網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的設(shè)計(jì)和變更文檔等。6. 24. 2測試步驟訪談文件保管人員，檢查是否將敏感文件保存于帶鎖的文件柜中?？刂品椒ǎ菏止?；控制頻率：按需。6. 25 控制點(diǎn) GCC - AQ - 2. 256.25.1控制點(diǎn)描述在內(nèi)部網(wǎng)絡(luò)的所有邊界網(wǎng)絡(luò)出口實(shí)施了有效的訪問控制措施。6.25.2測試步驟a）訪談網(wǎng)絡(luò)負(fù)責(zé)人，了解本單位邊界網(wǎng)絡(luò)出口情況是否與“邊界網(wǎng)絡(luò)出口登記表” 一致。b）訪談網(wǎng)絡(luò)管理員，是否在內(nèi)部網(wǎng)絡(luò)的所有邊界網(wǎng)絡(luò)出口

54、設(shè)立防火墻并實(shí)施了有效的訪問控制 措施。c）查看邊界網(wǎng)絡(luò)出口是否實(shí)施了有效的訪問控制措施?？刂品椒ǎ菏止?；控制頻率：按需。6. 26 控制點(diǎn) GCC-AQ-2. 266. 26.1控制點(diǎn)描述遠(yuǎn)程登錄應(yīng)通過安全可靠的方式進(jìn)行，如果不能采用安全可靠的方式，則應(yīng)對傳輸?shù)臄?shù)據(jù)進(jìn)行 加密。 觀Bi:七墨 II丄6. 26. 2測試步驟a）訪談網(wǎng)絡(luò)管理員，了解遠(yuǎn)程登陸的方式，判斷是否使用安全可靠方式進(jìn)行。如果不能采用安 全可靠的方式，是否對傳輸?shù)臄?shù)據(jù)進(jìn)行加密。b）檢查實(shí)際情況中的遠(yuǎn)程登陸方式是否可靠。不能采用安全可靠方式時(shí)，是否對傳輸?shù)臄?shù)據(jù)進(jìn) 行加密?？刂品椒ǎ菏止?；控制頻率：按需。6. 27 控制點(diǎn) G

55、CC-AQ-2. 276. 27.1控制點(diǎn)描述定期（至少每月）進(jìn)行病毒掃描。6.27. 2測試步驟a）訪談操作系統(tǒng)管理員，了解服務(wù)器是否定期對系統(tǒng)進(jìn)行防病毒掃描并查看防病毒軟件歷史掃 描記錄。b）檢查一般員工，了解是否定期對計(jì)算機(jī)進(jìn)行防病毒掃描并查看防病毒軟件歷史掃描記錄?？刂品椒ǎ菏止?；控制頻率：每月。6. 28 控制點(diǎn) GCC - AQ-2. 286. 28.1控制點(diǎn)描述第三方如需要遠(yuǎn)程登錄中國石油內(nèi)部網(wǎng)絡(luò)，應(yīng)事先提出申請并得到相關(guān)負(fù)責(zé)人的批準(zhǔn)。28. 2測試步驟a）訪談應(yīng)用系統(tǒng)負(fù)責(zé)人，了解是否有第三方遠(yuǎn)程登錄中國石油內(nèi)部應(yīng)用系統(tǒng)。b）查看“遠(yuǎn)程登錄賬號申請表”，檢查是否經(jīng)相關(guān)負(fù)責(zé)人批準(zhǔn)，

56、并核對是否與系統(tǒng)遠(yuǎn)程登錄賬 號情況一致。控制方法：手工；控制頻率：按需。7項(xiàng)目建設(shè)管理測試控制點(diǎn) GCC - JS - 3.1 Key7.1.1控制點(diǎn)描述項(xiàng)目經(jīng)理組織制定項(xiàng)目的總體計(jì)劃，包括項(xiàng)目范圍、進(jìn)度管理 人員需求、溝通管理等基本 內(nèi)容。7.1.2測試步驟a）訪談項(xiàng)目經(jīng)理，了解項(xiàng)目計(jì)劃的制定流程、參與部門和人員，解項(xiàng)目計(jì)劃包含的內(nèi)容。b）訪談參與項(xiàng)目計(jì)劃制定的相關(guān)部門和人員，了解他們在其中的職責(zé)和具體參與的活動。c）檢查是否所有的項(xiàng)目都編制了正式的項(xiàng)目總體計(jì)劃。Id）統(tǒng)計(jì)與納人范圍的系統(tǒng)相關(guān)的項(xiàng)目，全部作為樣本進(jìn)行測試。e）檢查樣本項(xiàng)目的總體計(jì)劃是否經(jīng)過了項(xiàng)目管理辦公室和項(xiàng)目指導(dǎo)委員會的簽

57、字審批。f）檢查項(xiàng)目總體計(jì)劃中是否包含項(xiàng)目范圍、進(jìn)度管理、人員需求、溝通管理等基本內(nèi)容。 控制方法：手工；控制頻率：按需?？刂泣c(diǎn) GCC - JS - 3. 2 Key2.1控制點(diǎn)描述項(xiàng)目立項(xiàng)由項(xiàng)目建設(shè)單位根據(jù)自身業(yè)務(wù)需求提出申請，本單位信息化工作管理部門和規(guī)劃計(jì)劃部 門負(fù)責(zé)審批。7. 2.2測試步驟a）訪談信息化工作管理部門負(fù)責(zé)人，了解“立項(xiàng)申請報(bào)告”和可行性研究報(bào)告”的實(shí)際業(yè)務(wù) 流程，了解各個(gè)系統(tǒng)開發(fā)的時(shí)間，判斷哪些系統(tǒng)開發(fā)需要納人測試范圍。b）訪談所有業(yè)務(wù)部門相關(guān)工作人員，了解各個(gè)系統(tǒng)開發(fā)的時(shí)間，_次判斷哪些系統(tǒng)開發(fā)需要納 人測試范圍，了解關(guān)于該項(xiàng)目的申請和實(shí)施情況。c）檢查是否所有項(xiàng)目

58、的立項(xiàng)都經(jīng)過審批，是否都編制了 “立項(xiàng)申請報(bào)告”及“可行性研究報(bào) 止”口 Od）統(tǒng)計(jì)與納人范圍的系統(tǒng)相關(guān)的項(xiàng)目，全部作為樣本進(jìn)行測試。e）檢查立項(xiàng)申請是否經(jīng)過了本單位信息化工作管理部門和規(guī)劃計(jì)劃部門負(fù)責(zé)人的簽字審批。f）檢查“可行性研究報(bào)告”是否包含項(xiàng)目目標(biāo)與范圍、現(xiàn)狀與需求分析、技術(shù)方案、系統(tǒng)設(shè)計(jì)、 組織機(jī)構(gòu)與定員、實(shí)施計(jì)劃、實(shí)施投資估算、實(shí)施風(fēng)險(xiǎn)與效益分析等基本內(nèi)容。g）檢查“可行性研究報(bào)告”是否經(jīng)過了本單位信息化工作管理部門和規(guī)劃計(jì)劃部門負(fù)責(zé)人的簽， 字審批?？刂品椒ǎ菏止?；控制頻率：按需。控制點(diǎn) GCC - JS - 3. 3 Key7. 3.1控制點(diǎn)描述需求分析報(bào)告完成后，項(xiàng)目經(jīng)理組

59、織項(xiàng)目組與各相關(guān)方共同討論該報(bào)告，各方確認(rèn)報(bào)告內(nèi)容后， 在報(bào)告上簽字。7.3.2測試步驟a）訪談項(xiàng)目經(jīng)理，了解“需求分析報(bào)告”的制定及審閱流程。b）訪談業(yè)務(wù)部門負(fù)責(zé)人，了解“需求分析報(bào)告”的制定及審閱流程。c）檢查是否所有的項(xiàng)目都編制了 “需求分析報(bào)告”。d）統(tǒng)計(jì)與納人范圍的系統(tǒng)相關(guān)的項(xiàng)目，全部作為樣本進(jìn)行測試。e）檢查“需求分析報(bào)告”是否經(jīng)過審核并經(jīng)項(xiàng)目經(jīng)理和業(yè)務(wù)部門負(fù)責(zé)人的簽字確認(rèn)。0檢查“需求分析報(bào)告”的內(nèi)容是否包含了業(yè)務(wù)項(xiàng)目的目標(biāo)、背景、業(yè)務(wù)需求描述等基本 內(nèi)容?？刂品椒ǎ菏止ぃ豢刂祁l率：按需。4 控制點(diǎn) GCC - JS - 3. 4 Key7. 4.1控制點(diǎn)描述相關(guān)方負(fù)責(zé)人對項(xiàng)目設(shè)

60、計(jì)說明書進(jìn)行審閱和確認(rèn)。7. 4.2測試步驟a）訪談相關(guān)方負(fù)責(zé)人，了解“設(shè)計(jì)說明書”的審閱流程，確定對“設(shè)計(jì)說明書”進(jìn)行簽字確認(rèn) 的人員。b）訪談對“設(shè)計(jì)說明書”簽字確認(rèn)的人員，了解“設(shè)計(jì)說明書”的審閱流程及簽字確認(rèn)的 情況。c）檢查是否所有的項(xiàng)目都編制了 “設(shè)計(jì)說明書”。d）統(tǒng)計(jì)與納人范圍的系統(tǒng)相關(guān)的項(xiàng)目，全部作為樣本進(jìn)行測試。e）檢查“設(shè)計(jì)說明書”是否經(jīng)過審核并經(jīng)項(xiàng)目經(jīng)理和最終客戶的簽字確認(rèn)。D檢查“設(shè)計(jì)說明書”的內(nèi)容是否包含了業(yè)務(wù)詳細(xì)需求，包括業(yè)務(wù)描述、業(yè)務(wù)流程、內(nèi)部控制 關(guān)鍵點(diǎn)等；功能說明，包括功能描述、主要功能模塊組成和相互關(guān)系；項(xiàng)目運(yùn)行的軟硬件平 臺以及對客戶端軟硬件環(huán)境的特殊要求