海南省電信公司內(nèi)部控制辦法

海南省電信有限公司內(nèi)部操縱手冊(cè)實(shí)施細(xì)則中冊(cè)目錄TOC\o"1-2"\f\h\z1 對(duì)程序和數(shù)據(jù)的訪問(wèn) 11.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 11.2 承載網(wǎng) 71.3 智能網(wǎng) 131.4 大客戶治理系統(tǒng) 201.5 營(yíng)業(yè)受理系統(tǒng) 271.6 計(jì)費(fèi)帳務(wù)系統(tǒng) 341.7 客戶服務(wù)系統(tǒng) 411.8 財(cái)務(wù)治理系統(tǒng) 481.9 打算建設(shè)治理系統(tǒng) 541.10省級(jí)綜合結(jié)算系統(tǒng) 601.11 辦公自動(dòng)化系統(tǒng) 672 程序變更治理 742.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 742.2 承載網(wǎng) 782.3 智能網(wǎng) 822.4 大客戶治理系統(tǒng) 872.5 營(yíng)業(yè)受理系統(tǒng) 922.6 計(jì)費(fèi)帳務(wù)系統(tǒng) 972.7 客戶服務(wù)系統(tǒng) 1022.8 財(cái)務(wù)治理系統(tǒng) 1072.9 打算建設(shè)治理系統(tǒng) 1122.10省級(jí)綜合結(jié)算系統(tǒng) 1172.11 辦公自動(dòng)化系統(tǒng) 1223 程序開(kāi)發(fā) 1274 系統(tǒng)運(yùn)行 1324.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 1324.2 承載網(wǎng) 1374.3 智能網(wǎng) 1424.4 大客戶治理系統(tǒng) 1474.5 營(yíng)業(yè)受理系統(tǒng) 1524.6 計(jì)費(fèi)帳務(wù)系統(tǒng) 1574.7 客戶服務(wù)系統(tǒng) 1624.8 財(cái)務(wù)治理系統(tǒng) 1674.9 打算建設(shè)治理系統(tǒng) 1724.10 省級(jí)綜合結(jié)算系統(tǒng) 1774.11 辦公自動(dòng)化系統(tǒng) 1825 最終用戶計(jì)算 1871 對(duì)程序和數(shù)據(jù)的訪問(wèn)1.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍所有部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)所有在DCN網(wǎng)上的系統(tǒng)。三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到公司對(duì)信息安全重要性的重視。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源的未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目所有會(huì)計(jì)科目。六、 流程概述信息安全治理省公司在組織中建立了信息安全職能，并制定相應(yīng)的組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。省公司制定了正式并通過(guò)治理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財(cái)務(wù)報(bào)告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。用戶帳號(hào)的治理2.1超級(jí)用戶帳號(hào)的治理網(wǎng)絡(luò)治理員用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員,這類用戶帳號(hào)的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門領(lǐng)導(dǎo)的書面授權(quán)審批。在網(wǎng)絡(luò)治理職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門正式以書面方式及時(shí)通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱網(wǎng)絡(luò)維護(hù)部門主管人員或業(yè)務(wù)部門對(duì)網(wǎng)絡(luò)治理員帳號(hào)和訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的訪問(wèn)權(quán)限。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。網(wǎng)絡(luò)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)不恰當(dāng)用戶的存在及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)對(duì)網(wǎng)絡(luò)治理員的治理訪問(wèn)采納身份驗(yàn)證機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備的治理訪問(wèn)必須使用用戶名和密碼，而且每個(gè)網(wǎng)絡(luò)治理員帳號(hào)被授予唯一的網(wǎng)絡(luò)治理員。假如由于系統(tǒng)限制存在網(wǎng)絡(luò)治理員帳號(hào)共享，其密碼在其中任一治理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。網(wǎng)絡(luò)維護(hù)部門對(duì)網(wǎng)絡(luò)治理員帳號(hào)的密碼制定密碼政策，以幸免用戶使用安全級(jí)不低的密碼。密碼政策包括:用戶密碼長(zhǎng)度位數(shù)規(guī)定，密碼應(yīng)定期更新。關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的網(wǎng)絡(luò)設(shè)備，需要配合使用由用戶掌握的PIN碼。網(wǎng)絡(luò)治理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)覺(jué)異常現(xiàn)象應(yīng)及時(shí)跟進(jìn)或上報(bào)。網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機(jī)房中，所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。只有通過(guò)授權(quán)的人員可對(duì)存放有與財(cái)務(wù)報(bào)表相關(guān)的網(wǎng)絡(luò)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。所有對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對(duì)公司內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)。只有指定的網(wǎng)絡(luò)治理員才能擁有防火墻治理帳號(hào)，并進(jìn)行防火墻規(guī)則的更改。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理HN.A.1.1.1省公司在組織中建立了信息安全職能，具有信息安全治理的工作職責(zé)。檢查組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。HN.A.1.1.2省公司制定了正式并通過(guò)治理層批準(zhǔn)的信息安全政策，為信息技術(shù)環(huán)境，包括應(yīng)用程序、數(shù)據(jù)庫(kù)和信息技術(shù)基礎(chǔ)設(shè)施的信息安全提供指南。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。檢查信息安全政策,訪談?dòng)脩羰欠裰獣员竟镜男畔踩?。用戶帳?hào)的治理2.1超級(jí)用戶帳號(hào)的治理HN.A.1.2.1網(wǎng)絡(luò)治理員用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員。這些用戶帳號(hào)的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門的主管人員的書面授權(quán)審批。檢查網(wǎng)絡(luò)治理員帳號(hào)清單，檢查系統(tǒng)治理員帳號(hào)的審批文件。HN.A.1.2.2在網(wǎng)絡(luò)治理職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門正式以書面方式通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號(hào)是否已完全刪除。2.2用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.A.1.2.3網(wǎng)絡(luò)維護(hù)部門主管人員對(duì)網(wǎng)絡(luò)治理員帳號(hào)和訪問(wèn)權(quán)限每半年進(jìn)行批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限。發(fā)覺(jué)的問(wèn)題及時(shí)跟進(jìn)解決。檢查批閱書面記錄。HN.A.1.2.4網(wǎng)絡(luò)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)不恰當(dāng)用戶的存在，則及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。檢查批閱書面記錄。信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)HN.A.1.3.1對(duì)網(wǎng)絡(luò)治理員的治理訪問(wèn)采納身份驗(yàn)證機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備的治理訪問(wèn)必須使用用戶名和密碼，而且每個(gè)網(wǎng)絡(luò)治理員帳號(hào)被授予唯一的網(wǎng)絡(luò)治理員。假如由于系統(tǒng)限制存在網(wǎng)絡(luò)治理員帳號(hào)共享，其密碼在其中任一治理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。觀看系統(tǒng)登陸過(guò)程。檢查治理員用戶離職時(shí)的密碼修改記錄。HN.A.1.3.2網(wǎng)絡(luò)維護(hù)部門對(duì)網(wǎng)絡(luò)治理員帳號(hào)的密碼制定密碼政策，以幸免用戶使用安全級(jí)不低的密碼。密碼政策包括:用戶密碼長(zhǎng)度不得低于6位密碼應(yīng)至少每90天進(jìn)行更新關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看網(wǎng)絡(luò)設(shè)備的密碼配置。HN.A.1.3.3網(wǎng)絡(luò)治理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)覺(jué)異?，F(xiàn)象應(yīng)及時(shí)跟進(jìn)或上報(bào)。檢查網(wǎng)絡(luò)治理員對(duì)網(wǎng)絡(luò)安全日志檢查的書面記錄。HN.A.1.3.4網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。觀看機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.A.1.3.5只有通過(guò)授權(quán)的人員可對(duì)存放網(wǎng)絡(luò)設(shè)備的機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。HN.A.1.3.6公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對(duì)公司內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)。檢查網(wǎng)絡(luò)拓?fù)鋱D，檢查防火墻規(guī)則設(shè)置。HN.A.1.3.7只有指定的網(wǎng)絡(luò)治理員才能擁有防火墻治理帳號(hào)，并進(jìn)行防火墻規(guī)則的更改。檢查防火墻治理帳號(hào)列表，檢查防火墻治理人員名單。八、要緊操縱點(diǎn)的相關(guān)文件1 網(wǎng)絡(luò)訪問(wèn)申請(qǐng)表2 職職員作調(diào)動(dòng)/離職通知單3 網(wǎng)絡(luò)治理員（網(wǎng)絡(luò)設(shè)備及防火墻）帳號(hào)申請(qǐng)表4 網(wǎng)絡(luò)治理員帳號(hào)/權(quán)限檢查表5 機(jī)房訪問(wèn)權(quán)限檢查表6 網(wǎng)絡(luò)安全日志檢查表7 機(jī)房進(jìn)出登記簿機(jī)房訪問(wèn)權(quán)限申請(qǐng)表九、相關(guān)制度和備查文件 1少人無(wú)人值守機(jī)房治理要求（試行）1.2 承載網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍運(yùn)行維護(hù)部門、計(jì)費(fèi)帳務(wù)部門、市場(chǎng)部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)小靈通程控交換機(jī)和匯接局程控交換機(jī)以及網(wǎng)管終端。三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到公司對(duì)信息安全重要性的重視。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。5確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源的未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目收入類科目。六、 流程概述1信息安全治理省公司按照信息產(chǎn)業(yè)部或集團(tuán)公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對(duì)承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備進(jìn)行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。用戶帳號(hào)的治理2.1 超級(jí)用戶帳號(hào)的治理承載網(wǎng)的交換機(jī)及網(wǎng)管終端的治理員帳號(hào)的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。治理員帳號(hào)的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級(jí)主管人員的書面審批。授權(quán)審批文檔集中歸檔。對(duì)治理員帳號(hào)在承載網(wǎng)的設(shè)備及治理終端的訪問(wèn)及操作要記錄并保留日志，并由運(yùn)行維護(hù)部門主管人員每周批閱。在治理職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)治理員帳號(hào)的治理流程，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2 用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱運(yùn)行維護(hù)部門主管人員每半年對(duì)承載網(wǎng)的治理員帳號(hào)進(jìn)行批閱，以發(fā)覺(jué)任何不合適的治理員訪問(wèn)權(quán)限。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。運(yùn)行維護(hù)部門主管人員每半年對(duì)電信機(jī)房的訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)不恰當(dāng)用戶的存在及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)對(duì)承載網(wǎng)治理員帳號(hào)的訪問(wèn)采納身份驗(yàn)證機(jī)制，對(duì)網(wǎng)管終端的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)承載網(wǎng)治理員帳號(hào)被授予唯一的維護(hù)治理人員。假如由于系統(tǒng)限制存在治理員帳號(hào)共享，其密碼在其中任一治理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。按照省公司對(duì)訪問(wèn)承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對(duì)承載網(wǎng)的治理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級(jí)不高的密碼。密碼政策包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。運(yùn)行維護(hù)部門治理人員定期審核承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用治理軟件）的安全日志記錄，識(shí)不潛在的違規(guī)，如發(fā)覺(jué)安全問(wèn)題按照相關(guān)的治理規(guī)定及時(shí)上報(bào)。承載網(wǎng)的承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房時(shí)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記簿中留下記錄。只有通過(guò)授權(quán)的人員可對(duì)存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)電信機(jī)房的訪問(wèn)授權(quán)通過(guò)各級(jí)相關(guān)部門主管人員的書面審批。按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對(duì)電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時(shí)閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時(shí)發(fā)覺(jué)對(duì)電信機(jī)房未經(jīng)授權(quán)的訪問(wèn)并進(jìn)行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過(guò)網(wǎng)絡(luò)安全操縱手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問(wèn)。職責(zé)分工按照相關(guān)的規(guī)定，對(duì)維護(hù)承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備的維護(hù)治理員，特不是具有訪問(wèn)治理終端權(quán)限的維護(hù)治理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實(shí)行多級(jí)的治理權(quán)限劃分，關(guān)于通話記錄(CDR)數(shù)據(jù)的訪問(wèn)僅限于有最高安全權(quán)限的治理員。七、 信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理HN.B.1.1.1省公司按照信息產(chǎn)業(yè)部或集團(tuán)公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對(duì)承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備進(jìn)行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。檢查相關(guān)的文件。用戶帳號(hào)的治理2.1超級(jí)用戶帳號(hào)的治理HN.B.1.2.1承載網(wǎng)的交換機(jī)及網(wǎng)管終端的治理員帳號(hào)的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。治理員帳號(hào)的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級(jí)主管人員的書面審批。授權(quán)審批文檔集中歸檔。檢查承載網(wǎng)治理員帳號(hào)清單，檢查承載網(wǎng)治理員帳號(hào)的審批文件。HN.B.1.2.2對(duì)治理員帳號(hào)在承載網(wǎng)的設(shè)備及治理終端的訪問(wèn)及操作要記錄并保留日志，并由運(yùn)行維護(hù)部門主管人員每周批閱。檢查批閱書面記錄。HN.B.1.2.3在治理職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)治理員帳號(hào)的治理流程，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號(hào)是否已完全刪除。檢查治理員用戶離職時(shí)的密碼修改記錄。2.2用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.B.1.2.4運(yùn)行維護(hù)部門主管人員每半年對(duì)承載網(wǎng)的治理員帳號(hào)進(jìn)行批閱，以發(fā)覺(jué)任何不合適的治理員訪問(wèn)權(quán)限。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。檢查批閱書面記錄。HN.B.1.2.5運(yùn)行維護(hù)部門主管人員每半年對(duì)電信機(jī)房的訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)不恰當(dāng)用戶的存在及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。檢查批閱書面記錄。信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)HN.B.1.3.1對(duì)承載網(wǎng)治理員帳號(hào)的訪問(wèn)采納身份驗(yàn)證機(jī)制，對(duì)網(wǎng)管終端的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)承載網(wǎng)治理員帳號(hào)被授予唯一的維護(hù)治理人員。假如由于系統(tǒng)限制存在治理員帳號(hào)共享，其密碼在其中任一治理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。觀看系統(tǒng)登陸過(guò)程。HN.B.1.3.2按照省公司對(duì)訪問(wèn)承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對(duì)承載網(wǎng)的治理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級(jí)不高的密碼。密碼政策包括:用戶密碼長(zhǎng)度不得低于6位密碼應(yīng)至少每90天進(jìn)行更新不得使用最近的密碼檢查網(wǎng)管終端的密碼設(shè)置。HN.B.1.3.3運(yùn)行維護(hù)部門治理人員每周審核承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用治理軟件）的安全日志記錄，識(shí)不潛在的違規(guī)，如發(fā)覺(jué)安全問(wèn)題按照相關(guān)的治理規(guī)定及時(shí)上報(bào)。檢查治理人員對(duì)安全日志檢查的書面記錄。HN.B.1.3.4承載網(wǎng)上交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。觀看機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.B.1.3.5只有通過(guò)授權(quán)的人員可對(duì)存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)電信機(jī)房的訪問(wèn)授權(quán)通過(guò)各級(jí)相關(guān)部門主管人員的書面審批。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。HN.B.1.3.6按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對(duì)電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時(shí)閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時(shí)發(fā)覺(jué)對(duì)電信機(jī)房的未經(jīng)授權(quán)的訪問(wèn)并進(jìn)行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。檢查環(huán)境監(jiān)控記錄。HN.B.1.3.7承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過(guò)網(wǎng)絡(luò)安全操縱手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問(wèn)。檢查網(wǎng)絡(luò)拓?fù)鋱D。職責(zé)分工HN.B.1.4.1按照相關(guān)的規(guī)定，對(duì)維護(hù)承載網(wǎng)上計(jì)費(fèi)相關(guān)設(shè)備的維護(hù)治理員，特不是具有訪問(wèn)治理終端的權(quán)限的維護(hù)治理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實(shí)行多級(jí)的治理權(quán)限劃分，關(guān)于通話記錄(CDR)數(shù)據(jù)的訪問(wèn)僅限于經(jīng)授權(quán)人員。檢查權(quán)限分配名單。八、要緊操縱點(diǎn)的相關(guān)文件1 承載網(wǎng)治理員崗位授權(quán)書2 承載網(wǎng)治理員認(rèn)證3 承載網(wǎng)治理員操作日志批閱表4 職職員作調(diào)動(dòng)/離職通知單5 承載網(wǎng)治理員帳號(hào)/權(quán)限檢查表6 電信機(jī)房訪問(wèn)權(quán)限檢查表7 承載網(wǎng)安全日志檢查表8 電信機(jī)房進(jìn)出登記簿9 電信機(jī)房訪問(wèn)權(quán)限申請(qǐng)表10 電信機(jī)房環(huán)境監(jiān)控日志11 承載網(wǎng)治理員權(quán)限分配方案九、相關(guān)制度和備查文件少人無(wú)人值守機(jī)房治理要求（試行）1.3 智能網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍市場(chǎng)部門、計(jì)費(fèi)部門、運(yùn)行維護(hù)部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)智能網(wǎng)（綜合信息平臺(tái),SP網(wǎng)關(guān),貝爾平臺(tái)(電話卡計(jì)費(fèi)),固網(wǎng)短信平臺(tái)）。三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到信息安全的重要性。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目收入類科目。六、 流程概述1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。用戶帳號(hào)的治理2.1 用戶帳號(hào)的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)，以幸免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或相關(guān)業(yè)務(wù)部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2 超級(jí)用戶帳號(hào)的治理以下各超級(jí)用戶帳號(hào)/特權(quán)功能用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級(jí)用戶帳號(hào)(比如root用戶，系統(tǒng)治理員，安全治理員帳號(hào)，批處理用戶帳號(hào))。帳號(hào)數(shù)據(jù)庫(kù)的超級(jí)用戶帳號(hào)（比如數(shù)據(jù)庫(kù)治理員）。帳號(hào)智能網(wǎng)系統(tǒng)的特權(quán)功能用戶帳號(hào)（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或相關(guān)業(yè)務(wù)部門主管人員的書面審批。智能網(wǎng)系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。2.3 用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對(duì)智能網(wǎng)系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。帳號(hào)系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)存在不適當(dāng)用戶及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在智能網(wǎng)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)智能網(wǎng)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶。系統(tǒng)維護(hù)部門對(duì)訪問(wèn)智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策應(yīng)包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異?，F(xiàn)象應(yīng)及時(shí)跟進(jìn)或上報(bào)。安裝智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。只有經(jīng)授權(quán)的人員可對(duì)存放智能網(wǎng)系統(tǒng)設(shè)備的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。職責(zé)分工在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照業(yè)務(wù)部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查智能網(wǎng)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。如發(fā)覺(jué)權(quán)限分配的問(wèn)題，應(yīng)及時(shí)跟進(jìn)解決。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1用戶帳號(hào)的添加、修改及刪除操縱HN.C.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.C.1.2.2在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或相關(guān)業(yè)務(wù)部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員訪問(wèn)權(quán)限的刪除書面通知，檢查離職用戶帳號(hào)是否已完全刪除。2.2超級(jí)用戶帳號(hào)的治理HN.C.1.2.3智能網(wǎng)系統(tǒng)的操作系統(tǒng)治理帳號(hào)僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管的書面授權(quán)審批。檢查系統(tǒng)治理帳號(hào)清單，檢查系統(tǒng)治理員帳號(hào)的審批文件。HN.C.1.2.4智能網(wǎng)系統(tǒng)數(shù)據(jù)庫(kù)的治理帳號(hào)僅限于經(jīng)授權(quán)的數(shù)據(jù)庫(kù)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管的書面授權(quán)審批。檢查數(shù)據(jù)庫(kù)治理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)治理員帳號(hào)的審批文件。HN.C.1.2.5智能網(wǎng)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管或相關(guān)業(yè)務(wù)部門主管的書面授權(quán)審批。檢查特權(quán)用戶治理帳號(hào)清單，檢查特權(quán)用戶治理員帳號(hào)的審批文件。HN.C.1.2.6智能網(wǎng)系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。檢查治理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.C.1.2.7系統(tǒng)維護(hù)部門主管或業(yè)務(wù)部門對(duì)智能網(wǎng)系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。檢查批閱書面記錄。HN.C.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，若發(fā)覺(jué)存在不合適的用戶，及時(shí)通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)HN.C.1.3.1在智能網(wǎng)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)智能網(wǎng)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶。觀看系統(tǒng)登陸過(guò)程。HN.C.1.3.2系統(tǒng)維護(hù)部門對(duì)訪問(wèn)智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策具體包括:用戶密碼長(zhǎng)度不得低于6位密碼應(yīng)至少每90天進(jìn)行更新不得使用最近的密碼關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.C.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。HN.C.1.3.4安裝智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.C.1.3.5只有經(jīng)授權(quán)的人員可對(duì)存放智能網(wǎng)系統(tǒng)設(shè)備的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。4職責(zé)分工HN.C.1.4.1在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照用戶部門或相關(guān)業(yè)務(wù)部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.C.1.4.2內(nèi)審或者用戶部門每半年檢查系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺(jué)問(wèn)題及時(shí)跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問(wèn)權(quán)限申請(qǐng)表2 職職員作調(diào)動(dòng)/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫(kù)）帳號(hào)申請(qǐng)表4 系統(tǒng)特權(quán)用戶帳號(hào)申請(qǐng)表5 系統(tǒng)帳號(hào)/權(quán)限檢查表6 機(jī)房訪問(wèn)權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問(wèn)權(quán)限申請(qǐng)表10 系統(tǒng)用戶（組）權(quán)限分配批閱報(bào)告職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1少人無(wú)人值守機(jī)房治理要求（試行）1.4 大客戶治理系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍信息技術(shù)部門,大客戶部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)海南電信營(yíng)銷渠道支撐系統(tǒng)，一站式大客戶業(yè)務(wù)處理系統(tǒng)。三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到信息安全的重要性。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目主營(yíng)業(yè)務(wù)收入。六、 流程概述1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1 用戶帳號(hào)的添加、修改及刪除操縱集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)大客戶治理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)系統(tǒng)主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)，以幸免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或用戶部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2 超級(jí)用戶帳號(hào)的治理以下各超級(jí)用戶帳號(hào)/特權(quán)功能用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級(jí)用戶帳號(hào)(比如root用戶，系統(tǒng)治理員，安全治理員帳號(hào)，批處理用戶帳號(hào))。數(shù)據(jù)庫(kù)的超級(jí)用戶帳號(hào)（比如數(shù)據(jù)庫(kù)治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號(hào)（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或系統(tǒng)主管人員的書面審批。大客戶治理系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。2.3 用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱用戶部門主管人員或業(yè)務(wù)部門對(duì)大客戶治理系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限帳號(hào)。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)存在不適當(dāng)用戶及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。3信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在大客戶治理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)大客戶治理系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶。系統(tǒng)維護(hù)部門對(duì)訪問(wèn)大客戶治理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策應(yīng)包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。安裝大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。只有經(jīng)授權(quán)的人員可對(duì)存放大客戶治理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4職責(zé)分工在大客戶治理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照用戶部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查大客戶治理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定，確保合理的職責(zé)分工,如發(fā)覺(jué)問(wèn)題，應(yīng)及時(shí)跟進(jìn)解決。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1用戶帳號(hào)的添加、修改及刪除操縱HN.E.1.2.1集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)大客戶治理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.E.1.2.2在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門,并通報(bào)至集團(tuán)公司,由相關(guān)的系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。2.2超級(jí)用戶帳號(hào)的治理HN.E.1.2.3大客戶治理系統(tǒng)的操作系統(tǒng)治理帳號(hào)僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號(hào)清單，檢查系統(tǒng)治理員帳號(hào)的審批文件。HN.E.1.2.4大客戶治理系統(tǒng)的數(shù)據(jù)庫(kù)治理帳號(hào)僅限于經(jīng)授權(quán)的數(shù)據(jù)庫(kù)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫(kù)治理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)治理員帳號(hào)的審批文件。HN.E.1.2.5大客戶治理系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號(hào)清單，檢查特權(quán)用戶治理員帳號(hào)的審批文件。HN.E.1.2.6大客戶治理系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。檢查治理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.E.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對(duì)大客戶治理系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限帳號(hào)，并及時(shí)跟進(jìn)解決。檢查批閱書面記錄。HN.E.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，若發(fā)覺(jué)存在不合適的用戶，及時(shí)通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)HN.E.1.3.1在大客戶治理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)大客戶治理系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶。觀看系統(tǒng)登陸過(guò)程。HN.E.1.3.2系統(tǒng)維護(hù)部門對(duì)訪問(wèn)大客戶治理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策具體包括:?用戶密碼長(zhǎng)度不得低于6位?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.E.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)安全日志記錄和審核記錄。HN.E.1.3.4安裝大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.E.1.3.5只有經(jīng)授權(quán)的人員可對(duì)存放大客戶治理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。4職責(zé)分工HN.E.1.4.1在大客戶治理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照用戶部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.E.1.4.2內(nèi)審或者用戶部門每半年檢查大客戶治理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺(jué)問(wèn)題及時(shí)跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問(wèn)權(quán)限申請(qǐng)表2 職職員作調(diào)動(dòng)/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫(kù)）帳號(hào)申請(qǐng)表4 系統(tǒng)特權(quán)用戶帳號(hào)申請(qǐng)表5 系統(tǒng)帳號(hào)/權(quán)限檢查表6 機(jī)房訪問(wèn)權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問(wèn)權(quán)限申請(qǐng)表10 系統(tǒng)用戶（組）權(quán)限分配批閱報(bào)告11 職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件少人無(wú)人值守機(jī)房治理要求（試行）1.5 營(yíng)業(yè)受理系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍所有前后端部門：運(yùn)行維護(hù)部門、計(jì)費(fèi)部門、信息技術(shù)部門、市場(chǎng)部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)綜合業(yè)務(wù)支撐系統(tǒng)/網(wǎng)上營(yíng)業(yè)廳。三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到信息安全的重要性。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目收入和費(fèi)用類科目。六、 流程概述1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1 用戶帳號(hào)的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)營(yíng)業(yè)受理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)各級(jí)業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)，以幸免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或用戶部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2 超級(jí)用戶帳號(hào)的治理以下各超級(jí)用戶帳號(hào)/特權(quán)功能用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級(jí)用戶帳號(hào)（比如root用戶，系統(tǒng)治理員，安全治理員帳號(hào)，批處理用戶帳號(hào)）。數(shù)據(jù)庫(kù)的超級(jí)用戶帳號(hào)（比如數(shù)據(jù)庫(kù)治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號(hào)（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面審批。營(yíng)業(yè)受理系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。2.3 用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對(duì)營(yíng)業(yè)受理系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)存在不適當(dāng)用戶及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。3信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在營(yíng)業(yè)受理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)營(yíng)業(yè)受理系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶（除用于查詢?cè)L問(wèn)的功能性賬號(hào)外）。系統(tǒng)維護(hù)部門對(duì)訪問(wèn)營(yíng)業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑拿艽a制定密碼政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策應(yīng)包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查營(yíng)業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異常現(xiàn)象及時(shí)跟進(jìn)或上報(bào)。營(yíng)業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。只有經(jīng)授權(quán)的人員可對(duì)存放營(yíng)業(yè)受理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4職責(zé)分工在營(yíng)業(yè)受理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進(jìn)行修改時(shí)，依照業(yè)務(wù)部門或系統(tǒng)治理部門審批過(guò)的流程對(duì)用戶角色的權(quán)限進(jìn)行設(shè)定。公司通過(guò)關(guān)于不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。內(nèi)審或用戶部門每半年檢查營(yíng)業(yè)受理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。七、 信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1用戶帳號(hào)的添加、修改及刪除操縱HN.F.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)營(yíng)業(yè)受理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)各級(jí)業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.F.1.2.2在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員變更的書面通知，檢查離職用戶是否已完全刪除。2.2超級(jí)用戶帳號(hào)的治理HN.F.1.2.3營(yíng)業(yè)受理系統(tǒng)的操作系統(tǒng)治理帳號(hào)僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號(hào)清單，檢查系統(tǒng)治理員帳號(hào)的審批文件。HN.F.1.2.4營(yíng)業(yè)受理系統(tǒng)數(shù)據(jù)庫(kù)的治理帳號(hào)僅限于經(jīng)授權(quán)的數(shù)據(jù)庫(kù)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫(kù)治理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)治理員帳號(hào)的審批文件。HN.F.1.2.5營(yíng)業(yè)受理系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號(hào)清單，檢查特權(quán)用戶治理員帳號(hào)的審批文件。HN.F.1.2.6營(yíng)業(yè)受理系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。檢查治理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.F.1.2.7系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對(duì)營(yíng)業(yè)受理系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。檢查批閱書面記錄。HN.F.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，若發(fā)覺(jué)存在不合適的用戶，及時(shí)通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)HN.F.1.3.1在營(yíng)業(yè)受理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)營(yíng)業(yè)受理系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶（除用于查詢?cè)L問(wèn)的功能性賬號(hào)外）。觀看系統(tǒng)登陸過(guò)程。HN.F.1.3.2系統(tǒng)維護(hù)部門對(duì)訪問(wèn)營(yíng)業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策具體包括:?用戶密碼長(zhǎng)度不得低于6位?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.F.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查營(yíng)業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。HN.F.1.3.4安裝營(yíng)業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.F.1.3.5只有經(jīng)授權(quán)的人員可對(duì)存放營(yíng)業(yè)受理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問(wèn)清單。和機(jī)房訪問(wèn)授權(quán)單。4職責(zé)分工HN.F.1.4.1在營(yíng)業(yè)受理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照業(yè)務(wù)部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.F.1.4.2內(nèi)審或用戶部門每半年檢查系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺(jué)問(wèn)題及時(shí)跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問(wèn)權(quán)限申請(qǐng)表2 職職員作調(diào)動(dòng)/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫(kù)）帳號(hào)申請(qǐng)表4 系統(tǒng)特權(quán)用戶帳號(hào)申請(qǐng)表5 系統(tǒng)帳號(hào)/權(quán)限檢查表6 機(jī)房訪問(wèn)權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問(wèn)權(quán)限申請(qǐng)表10 系統(tǒng)用戶（組）權(quán)限分配批閱報(bào)告11 職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1少人無(wú)人值守機(jī)房治理要求（試行）1.6 計(jì)費(fèi)帳務(wù)系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍所有前后端部門,包括；運(yùn)行維護(hù)部門、計(jì)費(fèi)部門、信息技術(shù)部門、市場(chǎng)部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)本地計(jì)費(fèi)帳務(wù)系統(tǒng)/互聯(lián)星空系統(tǒng)/海南省多媒體網(wǎng)業(yè)務(wù)綜合治理系統(tǒng)/計(jì)費(fèi)采集系統(tǒng)/綜合信息平臺(tái)計(jì)費(fèi)系統(tǒng)三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到信息安全的重要性。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目收入類科目。六、 流程概述1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。用戶帳號(hào)的治理2.1 用戶帳號(hào)的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)計(jì)費(fèi)帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)，以幸免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或用戶部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2 超級(jí)用戶帳號(hào)的治理以下各超級(jí)用戶帳號(hào)/特權(quán)功能用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級(jí)用戶帳號(hào)(比如root用戶，系統(tǒng)治理員，安全治理員帳號(hào)，批處理用戶帳號(hào))。數(shù)據(jù)庫(kù)的超級(jí)用戶帳號(hào)（比如數(shù)據(jù)庫(kù)治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號(hào)（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面審批。計(jì)費(fèi)賬務(wù)系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。2.3 用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱系統(tǒng)主管人員或業(yè)務(wù)部門對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的用戶賬號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)存在不適當(dāng)用戶及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在計(jì)費(fèi)賬務(wù)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶賬號(hào)被授予唯一的用戶。系統(tǒng)維護(hù)部門對(duì)訪問(wèn)計(jì)費(fèi)帳務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩糁贫艽a政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策應(yīng)包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查計(jì)費(fèi)賬務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作）。發(fā)覺(jué)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。安裝計(jì)費(fèi)帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。只有經(jīng)授權(quán)的人員可對(duì)存放計(jì)費(fèi)帳務(wù)系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。職責(zé)分工在計(jì)費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照用戶部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門定每半年檢查計(jì)費(fèi)帳務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工,如發(fā)覺(jué)問(wèn)題，應(yīng)及時(shí)跟進(jìn)解決。七、 信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1用戶帳號(hào)的添加、修改及刪除操縱HN.G.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)計(jì)費(fèi)帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.G.1.2.2在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。2.2超級(jí)用戶帳號(hào)的治理HN.G.1.2.3計(jì)費(fèi)帳務(wù)系統(tǒng)的操作系統(tǒng)治理帳號(hào)僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號(hào)清單，檢查系統(tǒng)治理員帳號(hào)的審批文件。HN.G.1.2.4計(jì)費(fèi)帳務(wù)系統(tǒng)數(shù)據(jù)庫(kù)的治理帳號(hào)僅限于經(jīng)授權(quán)的數(shù)據(jù)庫(kù)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫(kù)治理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)治理員帳號(hào)的審批文件。HN.G.1.2.5計(jì)費(fèi)帳務(wù)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號(hào)清單，檢查特權(quán)用戶治理員帳號(hào)的審批文件。HN.G.1.2.6計(jì)費(fèi)賬務(wù)系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。檢查治理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.G.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的用戶賬號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。檢查批閱書面記錄。HN.G.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，若發(fā)覺(jué)存在不合適的用戶，及時(shí)通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)HN.G.1.3.1在計(jì)費(fèi)賬務(wù)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶賬號(hào)被授予唯一的用戶。觀看系統(tǒng)登陸過(guò)程。HN.G.1.3.2系統(tǒng)維護(hù)部門對(duì)訪問(wèn)計(jì)費(fèi)賬務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩?含超級(jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策具體包括:?用戶密碼長(zhǎng)度不得低于6位?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.G.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查計(jì)費(fèi)賬務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作）。發(fā)覺(jué)異常現(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)安全日志記錄和審核記錄。HN.G.1.3.4安裝計(jì)費(fèi)帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.G.1.3.5只有經(jīng)授權(quán)的人員可對(duì)存放計(jì)費(fèi)帳務(wù)系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。4職責(zé)分工HN.G.1.4.1在計(jì)費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照用戶部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.G.1.4.2內(nèi)審或者用戶部門每半年檢查計(jì)費(fèi)帳務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺(jué)問(wèn)題及時(shí)跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問(wèn)權(quán)限申請(qǐng)表2 職職員作調(diào)動(dòng)/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫(kù)）帳號(hào)申請(qǐng)表4 系統(tǒng)特權(quán)用戶帳號(hào)申請(qǐng)表5 系統(tǒng)帳號(hào)/權(quán)限檢查表6 機(jī)房訪問(wèn)權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問(wèn)權(quán)限申請(qǐng)表10 系統(tǒng)用戶（組）權(quán)限分配批閱報(bào)告11 職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1少人無(wú)人值守機(jī)房治理要求（試行）1.7 客戶服務(wù)系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除操縱、用戶帳號(hào)的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍信息技術(shù)部門、客戶服務(wù)部門、運(yùn)行維護(hù)部門。二、 所涉及的計(jì)算機(jī)系統(tǒng)目前無(wú)適用系統(tǒng)。三、 目標(biāo)1 關(guān)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識(shí)到信息安全的重要性。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過(guò)治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)治理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn),非法修改系統(tǒng)數(shù)據(jù)。3 對(duì)添加、修改、刪除用戶未通過(guò)治理層授權(quán)，離職職員帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)覺(jué)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會(huì)計(jì)科目收入和費(fèi)用類科目。六、 流程概述1信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。用戶帳號(hào)的治理2.1 用戶帳號(hào)的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)客戶服務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)，以幸免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門或用戶部門及時(shí)正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。2.2 超級(jí)用戶帳號(hào)的治理以下各超級(jí)用戶帳號(hào)/特權(quán)功能用戶帳號(hào)的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級(jí)用戶帳號(hào)(比如root用戶，系統(tǒng)治理員，安全治理員帳號(hào)，批處理用戶帳號(hào))。數(shù)據(jù)庫(kù)的超級(jí)用戶帳號(hào)（比如數(shù)據(jù)庫(kù)治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號(hào)（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或系統(tǒng)主管人員的書面審批?？蛻舴?wù)系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。2.3 用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱用戶部門主管人員或業(yè)務(wù)部門對(duì)客戶服務(wù)系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限帳號(hào)。發(fā)覺(jué)的問(wèn)題要及時(shí)跟進(jìn)解決。批閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，假如發(fā)覺(jué)存在不適當(dāng)用戶及時(shí)通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在客戶服務(wù)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對(duì)客戶服務(wù)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶賬號(hào)被授予唯一的用戶。系統(tǒng)維護(hù)部門對(duì)訪問(wèn)客戶服務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級(jí)不低的密碼。密碼政策應(yīng)包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查客戶服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺(jué)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。安裝客戶服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛(ài)護(hù)。只有經(jīng)授權(quán)的人員可對(duì)存放客戶服務(wù)系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會(huì)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。職責(zé)分工在客戶服務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，依照用戶部門或相關(guān)治理部門對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過(guò)不同工作崗位關(guān)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查客戶服務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工,如發(fā)覺(jué)問(wèn)題，應(yīng)及時(shí)跟進(jìn)解決。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號(hào)的治理2.1用戶帳號(hào)的添加、修改及刪除操縱HN.H.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對(duì)客戶服務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.H.1.2.2在職職員作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。2.2超級(jí)用戶帳號(hào)的治理HN.H.1.2.3客戶服務(wù)系統(tǒng)的操作系統(tǒng)治理帳號(hào)僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號(hào)清單，檢查系統(tǒng)治理員帳號(hào)的審批文件。HN.H.1.2.4客戶服務(wù)系統(tǒng)數(shù)據(jù)庫(kù)的治理帳號(hào)僅限于經(jīng)授權(quán)的數(shù)據(jù)庫(kù)治理員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫(kù)治理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)治理員帳號(hào)的審批文件。HN.H.1.2.5客戶服務(wù)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限），僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號(hào)清單，檢查特權(quán)用戶治理員帳號(hào)的審批文件。HN.H.1.2.6客戶服務(wù)系統(tǒng)的治理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。檢查治理員用戶離職時(shí)的密碼修改記錄。2.3用戶帳號(hào)訪問(wèn)權(quán)限的定期批閱HN.H.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對(duì)客戶服務(wù)系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年批閱，以發(fā)覺(jué)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。檢查批閱書面記錄。HN.H.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行批閱，若發(fā)覺(jué)存在不合適的用戶，及時(shí)通知機(jī)房治理人員取消其相應(yīng)的