11.5基礎(chǔ)設(shè)施IT一般性控制內(nèi)部控制矩陣

1、.精品資料網(wǎng)cnshu25萬份精華管理資料，2萬多集管理視頻講座：.；精品資料網(wǎng)cnshu 專業(yè)提供企管培訓(xùn)資料11.5根底設(shè)備IT普通性控制內(nèi)部控制矩陣業(yè)務(wù)目的業(yè)務(wù)風(fēng)險控制點適用單位不相容崗位控制點分值控制點相關(guān)資料相關(guān)制度索引會計報表認(rèn)定會計報表工程1存在和發(fā)生/真實性；2完好性；3權(quán)益與義務(wù)；4估價或分?jǐn)偅?表達(dá)和披露；6準(zhǔn)確性1234561網(wǎng)絡(luò)管理1.1網(wǎng)絡(luò)根底管理1.12.12.2運(yùn)營風(fēng)險：網(wǎng)絡(luò)管理制度不健全，導(dǎo)致網(wǎng)絡(luò)管理存在破綻。合規(guī)風(fēng)險：信息根底設(shè)備的運(yùn)用未遵守維護(hù)知識產(chǎn)權(quán)、合同法等有關(guān)國家法律、法規(guī)，股份公司聲譽(yù)遭到損害，遭到相關(guān)部門處分。1.1.1 總部和分子公司根據(jù)以下簡稱

2、及相關(guān)管理制度和任務(wù)流程實施對網(wǎng)絡(luò)的管理，包括網(wǎng)絡(luò)運(yùn)轉(zhuǎn)維護(hù)管理、網(wǎng)絡(luò)互聯(lián)管理、網(wǎng)絡(luò)設(shè)備密碼管理、網(wǎng)絡(luò)管理員管理、遠(yuǎn)程接入網(wǎng)絡(luò)管理、病毒防護(hù)管理等。信息系統(tǒng)管理部分(子)公司5網(wǎng)絡(luò)管理方法2.10.51.1運(yùn)營風(fēng)險：網(wǎng)絡(luò)相關(guān)管理人員配備不到位，導(dǎo)致網(wǎng)絡(luò)管理存在平安隱患。1.1.2 各級信息管理部門根據(jù)及相應(yīng)崗位職責(zé)，配備網(wǎng)絡(luò)管理員、平安管理員，由信息管理部門擔(dān)任人審批。信息系統(tǒng)管理部分(子)公司平安管理員網(wǎng)絡(luò)管理員3網(wǎng)絡(luò)管理員、平安管理員授權(quán)文檔2.10.51.1運(yùn)營風(fēng)險：未編制網(wǎng)絡(luò)運(yùn)轉(zhuǎn)維護(hù)技術(shù)文檔或文檔未妥善保管，導(dǎo)致網(wǎng)絡(luò)運(yùn)轉(zhuǎn)維護(hù)缺乏技術(shù)資料等重要根據(jù)。1.1.3 各級信息管理部門擔(dān)任編制網(wǎng)絡(luò)

3、運(yùn)轉(zhuǎn)維護(hù)的相關(guān)技術(shù)文檔，包括網(wǎng)絡(luò)拓?fù)鋱D、IP地址分配表以及網(wǎng)絡(luò)設(shè)備配置文件等，由專人擔(dān)任整理和保管。信息系統(tǒng)管理部分子公司4IP地址分配表網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)設(shè)備配置記錄表2.10.51.1運(yùn)營風(fēng)險：網(wǎng)絡(luò)設(shè)備密碼設(shè)置強(qiáng)度不夠或更改不及時，呵斥公司內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.2 網(wǎng)絡(luò)設(shè)備登錄設(shè)置合理的密碼規(guī)那么，密碼要求長度六位以上，采用數(shù)字和字符組合方式，新密碼不得與前五次歷史密碼一樣。網(wǎng)絡(luò)管理員必需每六個月修正網(wǎng)絡(luò)設(shè)備登錄密碼，填寫密碼改換記錄，經(jīng)平安管理員確認(rèn)并在信息管理部門備案。信息系統(tǒng)管理部分子公司平安管理員網(wǎng)絡(luò)管理員5密碼變卦記錄2.10.51.3網(wǎng)絡(luò)互聯(lián)平安管理1.1運(yùn)營風(fēng)險：網(wǎng)絡(luò)互

4、聯(lián)接口處未部署平安設(shè)備，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.3.1 總部和分子公司根據(jù)相關(guān)要求，在關(guān)鍵網(wǎng)絡(luò)互聯(lián)接口處部署平安設(shè)備，信息管理部門授權(quán)專人擔(dān)任平安設(shè)備的管理，并備有平安設(shè)備配置文檔。分子公司與外部網(wǎng)互聯(lián)情況上報信息系統(tǒng)管理部備案。信息系統(tǒng)管理部分子公司4平安設(shè)備配置文檔與外部網(wǎng)互聯(lián)備案記錄表2.10.21.1運(yùn)營風(fēng)險：平安管理員未及時發(fā)現(xiàn)平安設(shè)備規(guī)那么存在的破綻，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.3.2 平安管理員每季度對平安設(shè)備的規(guī)那么進(jìn)展復(fù)核、確認(rèn)、檢查，填寫平安設(shè)備配置檢查記錄表。信息系統(tǒng)管理部分子公司4平安設(shè)備配置檢查記錄表2.10.21.1運(yùn)營風(fēng)險：平安管理員未及時對相

5、關(guān)日志審計分析，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.3.3平安管理員每周對網(wǎng)絡(luò)設(shè)備登錄日志、防火墻日志、入侵檢測日志等進(jìn)展分析審計。信息系統(tǒng)管理部分子公司4網(wǎng)絡(luò)設(shè)備登陸日志審閱表防火墻日志審閱表入侵檢測日志審閱表2.10.21.4 終端用戶接入管理1.1運(yùn)營風(fēng)險：用戶未經(jīng)授權(quán)即可接入網(wǎng)絡(luò)，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.4.1 用戶終端接入網(wǎng)絡(luò)需填寫懇求表，由懇求人所在部門確認(rèn)，信息管理部門責(zé)任處(科室)擔(dān)任人同意并備案。懇求表內(nèi)容應(yīng)包含終端接入平安責(zé)任條款。信息系統(tǒng)管理部分子公司3終端用戶接入懇求表2.10.51.1運(yùn)營風(fēng)險：未對用戶登錄網(wǎng)絡(luò)進(jìn)展管理，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.

6、4.2建立用戶登錄網(wǎng)絡(luò)認(rèn)證機(jī)制，防止對中國石化內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。信息系統(tǒng)管理部分子公司32.10.51.1運(yùn)營風(fēng)險：人事部門未及時提供人員離任交接表，或信息管理部門未及時將離任人員網(wǎng)絡(luò)接入效力注銷，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.4.3根據(jù)人事部門提供的人員離任交接表，信息管理部門應(yīng)及時注銷該用戶的網(wǎng)絡(luò)接入效力。人事部信息系統(tǒng)管理部分子公司3離任人員交接表2.10.51.1運(yùn)營風(fēng)險：未經(jīng)相關(guān)指點授權(quán)開通遠(yuǎn)程接入網(wǎng)絡(luò)效力，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被非授權(quán)訪問和攻擊。1.5 遠(yuǎn)程接入網(wǎng)絡(luò)懇求人根據(jù)相關(guān)要求，填寫遠(yuǎn)程接入效力懇求表和遠(yuǎn)程用戶接入效力平安承諾書，由所在部門擔(dān)任人確認(rèn)，信息管理部門責(zé)任處(

7、科室)擔(dān)任人審批并備案。信息系統(tǒng)管理部分子公司懇求部門 信息管理部門3遠(yuǎn)程用戶接入效力懇求表遠(yuǎn)程用戶接入效力平安承諾書2.10.51.1運(yùn)營風(fēng)險：未在內(nèi)部網(wǎng)絡(luò)部署防病毒系統(tǒng)或未及時晉級，導(dǎo)致內(nèi)部網(wǎng)絡(luò)被病毒損害。1.6 根據(jù)相關(guān)要求，網(wǎng)絡(luò)管理員擔(dān)任部署防病毒系統(tǒng)并及時進(jìn)展版本和病毒特征庫晉級；平安管理員每周對防病毒系統(tǒng)日志等進(jìn)展分析審計。信息系統(tǒng)管理部分子公司網(wǎng)絡(luò)管理員平安管理員3防病毒系統(tǒng)日志審閱記錄表2.10.52.10.22.效力器管理1.1運(yùn)營風(fēng)險：效力器相關(guān)管理人員配備不到位，導(dǎo)致系統(tǒng)運(yùn)轉(zhuǎn)管理存在隱患。2.1 各級信息管理部門配備系統(tǒng)管理員，由信息管理部門責(zé)任處(科室)擔(dān)任人審批。信息

8、系統(tǒng)管理部分子公司3系統(tǒng)管理員任命資料2.10.71.1運(yùn)營風(fēng)險：未建立效力器檔案，導(dǎo)致效力器運(yùn)轉(zhuǎn)維護(hù)缺乏配置參數(shù)等重要根據(jù)。2.2 系統(tǒng)管理員須建立效力器檔案，內(nèi)容包括設(shè)備的詳細(xì)硬件配置、設(shè)備獨(dú)一性標(biāo)志和設(shè)備用途等信息。信息系統(tǒng)管理部分子公司4效力器檔案2.10.72.3效力器操作系統(tǒng)管理1.1運(yùn)營風(fēng)險：隨意創(chuàng)建操作系統(tǒng)用戶，導(dǎo)致系統(tǒng)管理混亂，影響系統(tǒng)運(yùn)轉(zhuǎn)，存在平安隱患。2.3.1 操作系統(tǒng)用戶須填寫操作系統(tǒng)用戶懇求表，經(jīng)信息管理部門責(zé)任處(科室)擔(dān)任人審批后，由系統(tǒng)管理員創(chuàng)建。信息系統(tǒng)管理部分子公司3操作系統(tǒng)用戶懇求表2.10.71.1運(yùn)營風(fēng)險：操作系統(tǒng)用戶授權(quán)超期未鎖定或刪除，導(dǎo)致信息泄

9、密或系統(tǒng)平安存在隱患。2.3.2 系統(tǒng)管理員每半年檢查操作系統(tǒng)用戶授權(quán)情況并記錄，對超期運(yùn)用帳號的用戶進(jìn)展鎖定或刪除。信息系統(tǒng)管理部分子公司3操作系統(tǒng)用戶授權(quán)記錄2.10.71.1運(yùn)營風(fēng)險：操作系統(tǒng)用戶密碼設(shè)置強(qiáng)度不夠或更改不及時，呵斥系統(tǒng)非授權(quán)訪問。2.3.3 操作系統(tǒng)用戶密碼要求長度八位以上，采用數(shù)字和字符組合方式，新密碼不得與前五次歷史密碼一樣。系統(tǒng)管理員至少每季度修正操作系統(tǒng)用戶密碼，填寫密碼改換記錄、經(jīng)平安管理員確認(rèn)并在信息管理部門備案。信息系統(tǒng)管理部分子公司5密碼改換記錄2.10.72.10.21.1運(yùn)營風(fēng)險：系統(tǒng)管理員對操作系統(tǒng)運(yùn)轉(zhuǎn)監(jiān)控不到位，未能及時發(fā)現(xiàn)隱患，平安管理員未履行檢

10、查職責(zé)，影響系統(tǒng)穩(wěn)定運(yùn)轉(zhuǎn)。2.3.4 系統(tǒng)管理員監(jiān)控操作系統(tǒng)運(yùn)轉(zhuǎn)情況，每日巡檢操作系統(tǒng)日志，并將巡檢情況記錄存檔。平安管理員每月對系統(tǒng)巡檢記錄進(jìn)展檢查，對存在問題提出整改意見，上報信息管理部門責(zé)任處科室擔(dān)任人審批后實施。信息系統(tǒng)管理部分子公司3操作系統(tǒng)每日巡檢記錄應(yīng)包含平安管理員檢查記錄，以及存在問題改良情況2.10.72.10.23.機(jī)房管理1.12.2運(yùn)營風(fēng)險：機(jī)房管理制度不健全，導(dǎo)致機(jī)房管理存在破綻。3.1 各級信息管理部門根據(jù)相關(guān)制度和規(guī)范，制定計算機(jī)機(jī)房管理方法，實施對機(jī)房的管理。管理方法主要內(nèi)容包括人員出入管理、設(shè)備出入管理、機(jī)房工況管理和備份介質(zhì)管理等。信息系統(tǒng)管理部分子公司4機(jī)

11、房管理方法2.10.81.1運(yùn)營風(fēng)險：機(jī)房出入人員管理不嚴(yán)，導(dǎo)致資源受損或系統(tǒng)癱瘓。3.2 機(jī)房應(yīng)設(shè)門禁系統(tǒng)，或由專人擔(dān)任機(jī)房出入管理并填寫人員出入登記表。信息系統(tǒng)管理部分子公司3機(jī)房人員出入登記表門卡發(fā)放記錄鑰匙領(lǐng)用記錄2.10.81.1運(yùn)營風(fēng)險：設(shè)備隨意進(jìn)出機(jī)房，導(dǎo)致信息泄密或設(shè)備喪失。3.3設(shè)備出入機(jī)房，攜帶設(shè)備人員填寫設(shè)備出入登記表，由信息管理部門責(zé)任處(科室)擔(dān)任人審批并備案。信息系統(tǒng)管理部分子公司3機(jī)房設(shè)備出入登記表2.10.81.1運(yùn)營風(fēng)險：機(jī)房環(huán)境參數(shù)異常，導(dǎo)致設(shè)備發(fā)生缺點，影響系統(tǒng)穩(wěn)定運(yùn)轉(zhuǎn)。3.4 機(jī)房管理人員每日對機(jī)房UPS、空調(diào)、溫濕度和電源系統(tǒng)巡檢，并填寫巡檢記錄。信息

12、系統(tǒng)管理部分子公司3機(jī)房巡檢記錄2.10.84備份介質(zhì)管理1.1運(yùn)營風(fēng)險：備份介質(zhì)標(biāo)志不規(guī)范，導(dǎo)致備份數(shù)據(jù)查找困難、數(shù)據(jù)恢復(fù)困難。4.1 系統(tǒng)管理員要對備份介質(zhì)進(jìn)展標(biāo)志。標(biāo)志內(nèi)容有：備份介質(zhì)編號、運(yùn)用稱號、IP地址、備份日期、備份內(nèi)容和備份人。信息系統(tǒng)管理部分子公司32.10.91.1運(yùn)營風(fēng)險：備份介質(zhì)管理不規(guī)范，導(dǎo)致備份介質(zhì)損壞或系統(tǒng)及數(shù)據(jù)恢復(fù)困難。4.2 重要信息系統(tǒng)的備份介質(zhì)必需異地存放并分類存檔。系統(tǒng)管理員按照廠商提供的運(yùn)用年限按期改換備份介質(zhì)。備份介質(zhì)存放環(huán)境和備份介質(zhì)存儲內(nèi)容的銷除滿足備份管理方法的相關(guān)要求。信息系統(tǒng)管理部分子公司32.10.91.1運(yùn)營風(fēng)險：備份介質(zhì)出入庫管理不規(guī)

13、范，導(dǎo)致備份介質(zhì)損壞或系統(tǒng)及數(shù)據(jù)恢復(fù)困難。4.3 備份介質(zhì)有出入庫記錄。借出備份介質(zhì)時，借用人須填寫懇求表，經(jīng)相關(guān)部門擔(dān)任人審核，信息管理部門責(zé)任處(科室)擔(dān)任人審批后，辦理介質(zhì)出庫手續(xù)。信息系統(tǒng)管理部分子公司3介質(zhì)入庫記錄介質(zhì)借用懇求表2.10.95缺點處置1.1運(yùn)營風(fēng)險：信息根底設(shè)備缺點處置流程和應(yīng)急預(yù)案不健全，導(dǎo)致信息根底設(shè)備正常運(yùn)轉(zhuǎn)存在隱患。5.1 信息管理部門擔(dān)任制定本單位信息根底設(shè)備缺點處置流程及應(yīng)急預(yù)案。信息系統(tǒng)管理部分(子)公司4缺點處置流程信息根底設(shè)備應(yīng)急預(yù)案2.10.62.10.71.1運(yùn)營風(fēng)險：網(wǎng)絡(luò)、效力器缺點處置不及時，記錄不完好，導(dǎo)致信息系統(tǒng)不能正常運(yùn)轉(zhuǎn)。5.2網(wǎng)絡(luò)、效力器發(fā)生缺點時，運(yùn)維人員應(yīng)及時處置缺點，并填寫任務(wù)記錄。信息系統(tǒng)管理部分(子)公司3任務(wù)記錄應(yīng)記錄缺點發(fā)生時間、處置人、緣由、處置結(jié)果等內(nèi)容2.10.71.1運(yùn)營風(fēng)險：終端用戶計算機(jī)設(shè)備缺點處置不及時，任務(wù)單填寫不完好，影響用戶正常任務(wù)。5.3終端用戶計