《海南省电信公司内部控制手册.docx》由会员分享,可在线阅读,更多相关《海南省电信公司内部控制手册.docx(192页珍藏版)》请在三一办公上搜索。
1、海南省电信有限公司内部控制手册实施细则中册目录1对程序和数据的访问11.1网络基础设施11.2承载网71.3智能网131.4大客户管理系统201.5营业受理系统271.6计费帐务系统341.7客户服务系统411.8财务管理系统481.9计划建设管理系统541.10 省级综合结算系统601.11办公自动化系统672程序变更管理742.1网络基础设施742.2承载网782.3智能网822.4大客户管理系统872.5营业受理系统922.6计费帐务系统972.7客户服务系统1022.8财务管理系统1072.9计划建设管理系统1122.10 省级综合结算系统1172.11办公自动化系统1223程序开发1
2、274系统运行1324.1网络基础设施1324.2承载网1374.3智能网1424.4大客户管理系统1474.5营业受理系统1524.6计费帐务系统1574.7客户服务系统1624.8财务管理系统1674.9计划建设管理系统1724.10省级综合结算系统1774.11办公自动化系统1825最终用户计算1871对程序和数据的访问1.1网络基础设施一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。2所涉及的部门范围所有部门。二、所涉及的计算机系统所有在DCN网上的系统。三、目标1对于与财务报告相关的信息,公司应制定相关的信息安全
3、管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。 4确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。5确保在关键流程中存在适当的职权分离。四、风险1公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访问, 非法修改系统数据。3对添
4、加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目所有会计科目。六、流程概述1 信息安全管理省公司在组织中建立了信息安全职能,并制定相应的组织结构图及部门、人员职责描述文档。省公司制定了正式并经过管理层批准的信息安全政策,范围包括所有与生成财务报告的程序和数据相关的信息技术环境(例如网络安全、物理安全、操作系统安全、应用程序安全等方面)。用户和信息技术人员都应知晓本公司的信息安全政策。2 用户帐号的管理2.1 超级用户帐号
5、的管理网络管理员用户帐号的使用仅限于经授权人员,这类用户帐号的授权须经网络维护部门领导的书面授权审批。在网络管理员工作调动或离职等工作职能发生变化时,由人力资源部门正式以书面方式及时通知相关的网络维护部门,由系统管理员更新或删除其相应的访问权限。2.2 用户帐号访问权限的定期审阅网络维护部门主管人员或业务部门对网络管理员帐号和访问权限进行每半年审阅,以发现任何不合适的访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。网络维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。3 信息系统的的逻辑访问和物理访问对网络管理员的管理访
6、问采用身份验证机制,对网络设备的管理访问必须使用用户名和密码,而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。网络维护部门对网络管理员帐号的密码制定密码政策,以避免用户使用安全级别低的密码。密码政策包括: 用户密码长度位数规定,密码应定期更新。对于使用密钥棒或动态密码卡的网络设备,需要配合使用由用户掌握的PIN码。网络管理员负责每周检查网络安全日志记录,发现异常现象应及时跟进或上报。网络设备等硬件设备存放在安全的机房中,所有出入口均具备电子门禁系统或门锁的保护。只有经过授权的人员可对存放有与财务报表相关
7、的网络机房和设备进行物理访问。所有对机房的访问授权需经网络维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内部网络的非法访问。只有指定的网络管理员才能拥有防火墙管理帐号,并进行防火墙规则的更改。七、信息技术控制点信息技术控制点监督检查方法1 信息安全管理HN.A.1.1.1省公司在组织中建立了信息安全职能,具有信息安全管理的工作职责。检查组织结构图及部门、人员职责描述文档。HN.A.1.1.2省公司制定了正式并经过管理层批准的信息安全政策,为信息技术
8、环境,包括应用程序、数据库和信息技术基础设施的信息安全提供指南。用户和信息技术人员都应知晓本公司的信息安全政策。检查信息安全政策,访谈用户是否知晓本公司的信息安全政策。2 用户帐号的管理2.1 超级用户帐号的管理HN.A.1.2.1网络管理员用户帐号的使用仅限于经授权人员。这些用户帐号的授权须经网络维护部门的主管人员的书面授权审批。检查网络管理员帐号清单,检查系统管理员帐号的审批文件。HN.A.1.2.2在网络管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门正式以书面方式通知相关的网络维护部门,由系统管理员更新或删除其相应的访问权限。抽查人员变更的书面通知,检查离职人员的帐号是否已
9、完全删除。2.2用户帐号访问权限的定期审阅HN.A.1.2.3网络维护部门主管人员对网络管理员帐号和访问权限每半年进行审阅,以发现任何不合适的系统访问权限。发现的问题及时跟进解决。检查审阅书面记录。HN.A.1.2.4网络维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现不恰当用户的存在,则及时通知机房管理人员取消相应用户的授权。检查审阅书面记录。3 信息系统的的逻辑访问和物理访问HN.A.1.3.1对网络管理员的管理访问采用身份验证机制,对网络设备的管理访问必须使用用户名和密码,而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享,其密码在其中任一管理
10、员离职时及时更改,以防止非法访问。观察系统登陆过程。检查管理员用户离职时的密码修改记录。HN.A.1.3.2网络维护部门对网络管理员帐号的密码制定密码政策,以避免用户使用安全级别低的密码。密码政策包括: 用户密码长度不得低于6位 密码应至少每90天进行更新对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。观察网络设备的密码配置。HN.A.1.3.3网络管理员负责每周检查网络安全日志记录,发现异常现象应及时跟进或上报。检查网络管理员对网络安全日志检查的书面记录。HN.A.1.3.4网络设备等硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房会在机
11、房门禁系统或机房进出登记记录中留下记录。观察机房安全措施。检查人员进出机房的记录。HN.A.1.3.5只有经过授权的人员可对存放网络设备的机房和设备进行物理访问。对机房的访问授权需经网络维护部门主管人员审批。非授权人员出入机房必须由机房工作人员陪同。检查机房访问清单和机房访问授权单。HN.A.1.3.6公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内部网络的非法访问。检查网络拓扑图,检查防火墙规则设置。HN.A.1.3.7只有指定的网络管理员才能拥有防火墙管理帐号,并进行防火墙规则的更改。检查防火墙管理帐号列表,检查防火墙管理人员名单。八、主要控制点的相关文件1网络访
12、问申请表2员工工作调动/离职通知单3网络管理员(网络设备及防火墙)帐号申请表4网络管理员帐号/权限检查表5机房访问权限检查表6网络安全日志检查表7机房进出登记簿8 机房访问权限申请表九、相关制度和备查文件 1 少人无人值守机房管理要求(试行)1.2承载网一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。2所涉及的部门范围运行维护部门、计费帐务部门、市场部门。二、所涉及的计算机系统小灵通程控交换机和汇接局程控交换机以及网管终端。三、目标1对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要
13、性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。 4确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。5 确保在关键流程中存在适当的职权分离。四、风险1公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权,离职
14、员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目收入类科目。六、流程概述1 信息安全管理省公司按照信息产业部或集团公司的相关规定和标准,对承载网的计费相关设备进行定期检查并保留书面的检查记录,严格确保交换网的设备安全。2 用户帐号的管理2.1 超级用户帐号的管理承载网的交换机及网管终端的管理员帐号的使用仅限于经严格认证的授权人员。管理员帐号的授权经运行维护部门及相关各级主管人员的书面审批。授权审批文档集中归档。对管理员帐号在承载网的设备及管理终端的访问及操作要
15、记录并保留日志,并由运行维护部门主管人员每周审阅。在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门正式以书面方式通知运行维护部门,按照承载网管理员帐号的管理流程,由系统管理员更新或删除其相应的访问权限。2.2 用户帐号访问权限的定期审阅运行维护部门主管人员每半年对承载网的管理员帐号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。运行维护部门主管人员每半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。3 信息系统的的逻辑访问和物理访问对承载网管理员帐号的访问采用身份验证机制,对网管终端的
16、访问必须使用用户名和密码,而且每个承载网管理员帐号被授予唯一的维护管理人员。如果由于系统限制存在管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。按照省公司对访问承载网的网管终端的相关规定,对承载网的管理软件固化相应的密码政策设置,以确保用户使用安全级别高的密码。密码政策包括: 用户密码长度最低位数的规定,密码定期更换的规定,不得使用最近的密码。运行维护部门管理人员定期审核承载网的交换机以及网管终端(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。承载网的承载网的交换机以及网管终端等硬件设备必须存放在符合信息产业部、集团
17、公司及省公司制定的安全标准的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房时在机房门禁系统或机房进出登记簿中留下记录。只有经过授权的人员可对存放有承载网的交换机以及网管终端等设备的电信机房和设备进行物理访问。对电信机房的访问授权经过各级相关部门主管人员的书面审批。按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统等),以及时发现对电信机房未经授权的访问并进行处理。监控系统必须留下环境监控的记录。承载网的交换机以及网管终端必须确保与外网/公网的隔离,并通过网络安全控制手段阻止内网的不适当访问。4 职责分工按照相关的规定,对维护承载网的计费相
18、关设备的维护管理员,特别是具有访问管理终端权限的维护管理员,必须遵循严格的职责分工。按照相关的规定,实行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于有最高安全权限的管理员。七、信息技术控制点信息技术控制点监督检查方法1 信息安全管理HN.B.1.1.1 省公司按照信息产业部或集团公司的相关规定和标准,对承载网的计费相关设备进行定期检查并保留书面的检查记录,严格确保交换网的设备安全。检查相关的文件。2 用户帐号的管理2.1 超级用户帐号的管理HN.B.1.2.1承载网的交换机及网管终端的管理员帐号的使用仅限于经严格认证的授权人员。管理员帐号的授权经运行维护部门及相关各级主管人员的书
19、面审批。授权审批文档集中归档。检查承载网管理员帐号清单,检查承载网管理员帐号的审批文件。HN.B.1.2.2对管理员帐号在承载网的设备及管理终端的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。检查审阅书面记录。HN.B.1.2.3在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门正式以书面方式通知运行维护部门,按照承载网管理员帐号的管理流程,由系统管理员更新或删除其相应的访问权限。抽查人员变更的书面通知,检查离职人员的帐号是否已完全删除。检查管理员用户离职时的密码修改记录。2.2用户帐号访问权限的定期审阅HN.B.1.2.4运行维护部门主管人员每半年对承载网的管理员
20、帐号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。检查审阅书面记录。HN.B.1.2.5运行维护部门主管人员每半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。检查审阅书面记录。3 信息系统的的逻辑访问和物理访问HN.B.1.3.1对承载网管理员帐号的访问采用身份验证机制,对网管终端的访问必须使用用户名和密码,而且每个承载网管理员帐号被授予唯一的维护管理人员。如果由于系统限制存在管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。观察系统登陆过程。HN.B.1.3.2按照省公司对
21、访问承载网的网管终端的相关规定,对承载网的管理软件固化相应的密码政策设置,以确保用户使用安全级别高的密码。密码政策包括: 用户密码长度不得低于6位 密码应至少每90天进行更新 不得使用最近的密码检查网管终端的密码设置。HN.B.1.3.3运行维护部门管理人员每周审核承载网的交换机以及网管终端(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。检查管理人员对安全日志检查的书面记录。HN.B.1.3.4承载网上交换机以及网管终端等硬件设备必须存放在符合信息产业部、集团公司及省公司制定的安全标准的机房中。所有出入口均具备电子门禁系统或门锁的保护。人
22、员进出机房会在机房门禁系统或机房进出登记记录中留下记录。观察机房安全措施、检查人员进出机房的记录。HN.B.1.3.5只有经过授权的人员可对存放有承载网的交换机以及网管终端等设备的电信机房和设备进行物理访问。对电信机房的访问授权经过各级相关部门主管人员的书面审批。检查机房访问清单和机房访问授权单。HN.B.1.3.6按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统等),以及时发现对电信机房的未经授权的访问并进行处理。监控系统必须留下环境监控的记录。检查环境监控记录。HN.B.1.3.7承载网的交换机以及网管终端必须确保与外网/公网的隔离,并通过网络安全
23、控制手段阻止内网的不适当访问。检查网络拓扑图。4 职责分工HN.B.1.4.1按照相关的规定,对维护承载网上计费相关设备的维护管理员,特别是具有访问管理终端的权限的维护管理员,必须遵循严格的职责分工。按照相关的规定,实行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于经授权人员。检查权限分配名单。八、主要控制点的相关文件1承载网管理员岗位授权书2承载网管理员认证3承载网管理员操作日志审阅表4员工工作调动/离职通知单5承载网管理员帐号/权限检查表6电信机房访问权限检查表7承载网安全日志检查表8电信机房进出登记簿9电信机房访问权限申请表10电信机房环境监控日志11承载网管理员权限分配方案
24、九、相关制度和备查文件1 少人无人值守机房管理要求(试行)1.3智能网一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。2所涉及的部门范围市场部门、计费部门、运行维护部门。二、所涉及的计算机系统智能网(综合信息平台,SP网关,贝尔平台(电话卡计费),固网短信平台)。三、目标1对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到信息安全的重要性。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据未经授权的访问所带来的风险。3建立相关流程以确保用户
25、添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。 4确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。5 确保在关键流程中存在适当的职权分离。四、风险1公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会
26、计科目收入类科目。六、流程概述1 信息安全管理参见网络基础设施中本章节。2 用户帐号的管理2.1 用户帐号的添加、修改及删除控制省公司建立了用户及其权限设置的管理流程,对智能网系统的用户创建和授权必须通过业务部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部门或相关业务部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。2.2 超级用户帐号的管理以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员: 操作系统的超级用户帐号 (比如root用户,系统管理员,安全管理员帐
27、号,批处理用户帐号)。 帐号数据库的超级用户帐号(比如数据库管理员)。 帐号智能网系统的特权功能用户帐号(例如具有增加/变更/删除用户等权限)。以上用户帐号的授权须经系统维护部门主管人员或相关业务部门主管人员的书面审批。智能网系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。2.3 用户帐号访问权限的定期审阅系统维护部门主管人员或业务部门对智能网系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。帐号系统维护部门主管人员每半年对机房访问权限
28、清单进行审阅,如果发现存在不适当用户及时通知机房管理人员取消相应用户的授权。3 信息系统的逻辑访问和物理访问在智能网系统中采用用户身份的验证机制,对智能网系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。系统维护部门对访问智能网系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定,密码定期更换的规定,不得使用最近的密码。对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。系统管理员负责每周检查智能网系统应用程序、操作系统和数据库层
29、面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象应及时跟进或上报。安装智能网系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放智能网系统设备的计算机机房和设备进行物理访问。对机房的访问授权须经系统维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出日志中留下记录。4 职责分工在智能网系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据业务部门或相关管理部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职
30、责分工的目的。内审或者用户部门每半年检查智能网系统的用户角色或用户组的权限设定,确保合理的职责分工。如发现权限分配的问题,应及时跟进解决。七、信息技术控制点信息技术控制点监督检查方法1 信息安全管理参见网络基础设施中本章节。2 用户帐号的管理2.1 用户帐号的添加、修改及删除控制HN.C.1.2.1省公司建立了用户及其权限设置的管理流程,对智能网系统的用户创建和授权必须通过业务部门主管审批后,方可由相关的系统管理员在系统中创建用户帐号。检查用户及其权限设置的管理流程, 抽查用户创建和授权的审批文件。HN.C.1.2.2在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或相关业务部门正
31、式以书面方式通知系统维护部门,由系统管理员更新或删除其相应的访问权限。抽查人员访问权限的删除书面通知,检查离职用户帐号是否已完全删除。2.2 超级用户帐号的管理HN.C.1.2.3智能网系统的操作系统管理帐号仅限于经授权的系统管理员,其帐号须经系统维护部门主管的书面授权审批。检查系统管理帐号清单,检查系统管理员帐号的审批文件。HN.C.1.2.4智能网系统数据库的管理帐号仅限于经授权的数据库管理员,其帐号须经系统维护部门主管的书面授权审批。 检查数据库管理帐号清单,检查数据库管理员帐号的审批文件。HN.C.1.2.5智能网系统的特权用户(例如具有增加/变更/删除用户等权限)仅限于经授权的系统管
32、理人员,其帐号须经系统维护部门主管或相关业务部门主管的书面授权审批。检查特权用户管理帐号清单,检查特权用户管理员帐号的审批文件。HN.C.1.2.6 智能网系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。检查管理员用户离职时的密码修改记录。2.3用户帐号访问权限的定期审阅HN.C.1.2.7系统维护部门主管或业务部门对智能网系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限,并及时跟进解决。检查审阅书面记录。HN.C.1.2.8系统维护部门主管人员每半年对机房访问权限清单进行审阅,若发
33、现存在不合适的用户,及时通知机房管理人员取消其相应的授权。检查审阅书面记录。3 信息系统的的逻辑访问和物理访问HN.C.1.3.1在智能网系统中采用用户身份的验证机制,对智能网系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。观察系统登陆过程。HN.C.1.3.2系统维护部门对访问智能网系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位 密码应至少每90天进行更新 不得使用最近的密码对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的
34、PIN码。观察系统密码设置。HN.C.1.3.3系统管理员负责每周检查智能网系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象及时跟进或上报。检查系统安全日志记录和定期检查的记录。HN.C.1.3.4安装智能网系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房会在机房门禁系统或机房进出日志中留下记录。观察机房安全措施、检查人员进出机房的记录。HN.C.1.3.5只有经授权的人员可对存放智能网系统设备的计算机机房和设备进行物理访问。对机房的访问授权须经系统维护部门主管人员书面审批。非授权人
35、员出入机房必须由机房工作人员陪同。检查机房访问清单和机房访问授权单。4 职责分工HN.C.1.4.1在智能网系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据用户部门或相关业务部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。检查用户权限审批文件,观察系统用户权限配置。HN.C.1.4.2内审或者用户部门每半年检查系统的用户角色或用户组的权限设定, 确保合理的职责分工。发现问题及时跟进解决。检查职责分工的检查记录。八、主要控制点的相关文件1用户(组)创建及系统访问权限申请表2员工工作调动/离职通知单3系统管理员(操作系统/
36、数据库)帐号申请表4系统特权用户帐号申请表5系统帐号/权限检查表6机房访问权限检查表7系统安全日志检查表8机房进出登记簿9机房访问权限申请表10系统用户(组)权限分配审阅报告11 职责分工检查报告九、相关制度和备查文件1 少人无人值守机房管理要求(试行)1.4大客户管理系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。2所涉及的部门范围信息技术部门, 大客户部门。二、所涉及的计算机系统海南电信营销渠道支撑系统,一站式大客户业务处理系统。三、目标1对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到信息
37、安全的重要性。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据未经授权的访问所带来的风险。3建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。 4确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。5确保在关键流程中存在适当的职权分离。四、风险1公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权,离职员
38、工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目主营业务收入。六、流程概述1 信息安全管理参见网络基础设施中本章节。2 用户帐号的管理2.1 用户帐号的添加、修改及删除控制集团公司或省公司建立了用户及其权限设置的管理流程,对大客户管理系统的用户创建和授权必须通过系统主管人员审批后,方可由相关的系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部门或用户部门及时正式书面通知系统维护部门,由系统
39、管理员更新或删除其相应的访问权限。2.2 超级用户帐号的管理以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员: 操作系统的超级用户帐号 (比如root用户,系统管理员,安全管理员帐号,批处理用户帐号)。 数据库的超级用户帐号(比如数据库管理员)。 应用系统的特权功能用户帐号(例如具有增加/变更/删除用户等权限)。以上用户帐号的授权须经系统维护部门主管人员或系统主管人员的书面审批。大客户管理系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。2.3 用户帐号访问权限的定期审阅用户部门主管人员或业务部门对大
40、客户管理系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限帐号。发现的问题要及时跟进解决。审阅结果留下书面记录。系统维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现存在不适当用户及时通知机房管理人员取消相应用户的授权。3 信息系统的逻辑访问和物理访问在大客户管理系统中采用用户身份的验证机制,对大客户管理系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。系统维护部门对访问大客户管理系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。密码政策应包括:用户密
41、码长度最低位数的规定,密码定期更换的规定,不得使用最近的密码。对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。系统管理员负责每周检查大客户管理系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象及时跟进或上报。安装大客户管理系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放大客户管理系统的计算机机房和设备进行物理访问。对机房的访问授权需经系统维护部门主管人员书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出日志中留下记
42、录。4 职责分工在大客户管理系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据用户部门或相关管理部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。内审或者用户部门每半年检查大客户管理系统的用户角色或用户组的权限设定,确保合理的职责分工, 如发现问题,应及时跟进解决。七、信息技术控制点信息技术控制点监督检查方法1 信息安全管理 参见网络基础设施中本章节。2 用户帐号的管理2.1 用户帐号的添加、修改及删除控制HN.E.1.2.1集团公司或省公司建立了用户及其权限设置的管理流程,对大客户管理系统的用户创建和授权必须通过业务部门
43、主管人员审批后,方可由相关的系统管理员在系统中创建用户帐号。检查用户及其权限设置的管理流程, 抽查用户创建和授权的审批文件。HN.E.1.2.2在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式书面通知系统维护部门, 并通报至集团公司, 由相关的系统管理员更新或删除其相应的访问权限。抽查人员变更书面通知,检查离职用户是否已完全删除。 2.2 超级用户帐号的管理HN.E.1.2.3大客户管理系统的操作系统管理帐号仅限于经授权的系统管理员,其帐号须经系统维护部门主管人员的书面授权审批。检查系统管理帐号清单,检查系统管理员帐号的审批文件。HN.E.1.2.4大客户管理系统的数
44、据库管理帐号仅限于经授权的数据库管理员,其帐号须经系统维护部门主管人员的书面授权审批。检查数据库管理帐号清单,检查数据库管理员帐号的审批文件。HN.E.1.2.5大客户管理系统的特权用户(例如具有增加/变更/删除用户等权限)仅限于经授权的系统管理人员或业务人员,其帐号须经系统维护部门主管人员的书面授权审批。检查特权用户管理帐号清单,检查特权用户管理员帐号的审批文件。HN.E.1.2.6 大客户管理系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。检查管理员用户离职时的密码修改记录。2.3用户帐号访问权限的定期审
45、阅HN.E.1.2.7系统主管人员或业务部门对大客户管理系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限帐号,并及时跟进解决。检查审阅书面记录。HN.E.1.2.8系统维护部门主管人员每半年对机房访问权限清单进行审阅,若发现存在不合适的用户,及时通知机房管理人员取消其相应的授权。检查审阅书面记录。3 信息系统的的逻辑访问和物理访问HN.E.1.3.1在大客户管理系统中采用用户身份的验证机制,对大客户管理系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。观察系统登陆过程。HN.E.1.3.2系统维护部门对访问大客户管理系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位 密码应至少每90天进行更新不得使用最近的密码对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。观察系统密码设置。HN.E.1.3.3系统管理员负责每周检查大客户管理系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象
