11.5基礎(chǔ)設(shè)施IT一般性控制流程_第1頁(yè)
11.5基礎(chǔ)設(shè)施IT一般性控制流程_第2頁(yè)
11.5基礎(chǔ)設(shè)施IT一般性控制流程_第3頁(yè)
11.5基礎(chǔ)設(shè)施IT一般性控制流程_第4頁(yè)
11.5基礎(chǔ)設(shè)施IT一般性控制流程_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、11.5 基礎(chǔ)設(shè)施IT一般性控制流程一、 業(yè)務(wù)目標(biāo)1經(jīng)營(yíng)目目標(biāo)1.1保保證信息息基礎(chǔ)設(shè)設(shè)施長(zhǎng)期期安全、可可靠、穩(wěn)穩(wěn)定運(yùn)行行。2合規(guī)目目標(biāo)2.1信信息基礎(chǔ)礎(chǔ)設(shè)施的的使用遵遵守保護(hù)護(hù)知識(shí)產(chǎn)產(chǎn)權(quán)、合合同法等等有關(guān)國(guó)國(guó)家法律律法規(guī)。2.2信信息基礎(chǔ)礎(chǔ)設(shè)施配配置和使使用符合合股份公公司信息息系統(tǒng)安安全管理理辦法等等規(guī)定。二、 業(yè)務(wù)風(fēng)風(fēng)險(xiǎn)1經(jīng)營(yíng)風(fēng)風(fēng)險(xiǎn)1.1網(wǎng)網(wǎng)絡(luò)控制制管理不不符合信信息安全全要求,導(dǎo)導(dǎo)致內(nèi)部部網(wǎng)絡(luò)被被非授權(quán)權(quán)訪問(wèn)和和攻擊。1.2服服務(wù)器管管理不規(guī)規(guī)范,導(dǎo)導(dǎo)致系統(tǒng)統(tǒng)運(yùn)行不不可靠、不不穩(wěn)定。1.3備備份介質(zhì)質(zhì)管理不不規(guī)范,導(dǎo)導(dǎo)致備份份介質(zhì)損損壞或系系統(tǒng)及數(shù)數(shù)據(jù)恢復(fù)復(fù)困難。1.4機(jī)機(jī)房管理理不符

2、合合規(guī)范和和安全要要求,導(dǎo)導(dǎo)致機(jī)房房設(shè)備及及資源存存在受損損的風(fēng)險(xiǎn)險(xiǎn)。1.5 信信息基礎(chǔ)礎(chǔ)設(shè)施故故障或信信息系統(tǒng)統(tǒng)突發(fā)事事件處理理不及本流程適適用于包包括ERRP系統(tǒng)統(tǒng)在內(nèi)的的所有應(yīng)應(yīng)用系統(tǒng)統(tǒng)相關(guān)的的信息基基礎(chǔ)設(shè)施施。時(shí),導(dǎo)致信信息系統(tǒng)統(tǒng)不能正正常運(yùn)行行。2合規(guī)風(fēng)風(fēng)險(xiǎn)2.1信信息基礎(chǔ)礎(chǔ)設(shè)施的的使用未未遵守保保護(hù)知識(shí)識(shí)產(chǎn)權(quán)、合合同法等等有關(guān)國(guó)國(guó)家法律律、法規(guī)規(guī),股份份公司聲聲譽(yù)受到到損害,受到相關(guān)部部門(mén)處罰罰。2.2 信息基基礎(chǔ)設(shè)施施不符合合安全規(guī)規(guī)定,導(dǎo)導(dǎo)致系統(tǒng)統(tǒng)存在被被入侵風(fēng)風(fēng)險(xiǎn)。二、 業(yè)務(wù)流流程步驟驟與控制制點(diǎn)1網(wǎng)絡(luò)管管理1.1 網(wǎng)絡(luò)絡(luò)基礎(chǔ)管理理。1.1.11 總部部和分(子子)公司司依據(jù)

3、中中國(guó)石油油化工股股份有限限公司網(wǎng)網(wǎng)絡(luò)管理理辦法(以以下簡(jiǎn)稱(chēng)稱(chēng)網(wǎng)絡(luò)絡(luò)管理辦辦法)及及相關(guān)管管理制度度和工作作流程實(shí)實(shí)施對(duì)網(wǎng)網(wǎng)絡(luò)的管管理,包括網(wǎng)網(wǎng)絡(luò)運(yùn)行行維護(hù)管管理、網(wǎng)網(wǎng)絡(luò)互聯(lián)聯(lián)管理、網(wǎng)網(wǎng)絡(luò)設(shè)備備密碼管管理、網(wǎng)網(wǎng)絡(luò)管理理員管理理、遠(yuǎn)程程接入網(wǎng)網(wǎng)絡(luò)管理理、病毒毒防護(hù)管管理等。1.1.22 各級(jí)信息管管理部門(mén)門(mén)依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法及及相應(yīng)崗崗位職責(zé)責(zé),配備備網(wǎng)絡(luò)管管理員、安安全管理理員,由由信息管管理部門(mén)門(mén)負(fù)責(zé)人人審批。1.1.33 各級(jí)信信息管理理部門(mén)負(fù)負(fù)責(zé)編制制網(wǎng)絡(luò)運(yùn)運(yùn)行維護(hù)護(hù)的相關(guān)關(guān)技術(shù)文文檔,包包括網(wǎng)絡(luò)絡(luò)拓?fù)鋱D圖、IPP地址分分配表以以及網(wǎng)絡(luò)絡(luò)設(shè)備配配置文件件等,由由專(zhuān)人負(fù)負(fù)責(zé)整理理和保存存

4、。1.2 網(wǎng)絡(luò)設(shè)設(shè)備登錄錄設(shè)置合合理的密密碼規(guī)則則,密碼碼要求長(zhǎng)長(zhǎng)度六位位以上,采采用數(shù)字字和字符符組合方方式,新新密碼不不得與前前五次歷歷史密碼碼相同。網(wǎng)網(wǎng)絡(luò)管理理員必須須每六個(gè)個(gè)月修改改網(wǎng)絡(luò)設(shè)設(shè)備登錄錄密碼,填填寫(xiě)密碼碼更換記記錄,經(jīng)安全全管理員員確認(rèn)并并在信息息管理部部門(mén)備案案。1.3 網(wǎng)網(wǎng)絡(luò)互聯(lián)聯(lián)安全管管理。1.3.11 總部部和分(子子)公司司依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法相相關(guān)要求求,在關(guān)關(guān)鍵網(wǎng)絡(luò)絡(luò)互聯(lián)接接口處部部署安全全設(shè)備,信信息管理理部門(mén)授授權(quán)專(zhuān)人人負(fù)責(zé)安安全設(shè)備備的管理理,并備備有安全全設(shè)備配配置文檔檔。分(子子)公司司與外部部網(wǎng)互聯(lián)聯(lián)情況上上報(bào)信息息系統(tǒng)管管理部備備案。1.3.22

5、 安全全管理員員每季度度對(duì)安全全設(shè)備的的規(guī)則進(jìn)進(jìn)行復(fù)核核、確認(rèn)認(rèn)、檢查查,填寫(xiě)寫(xiě)安全設(shè)設(shè)備配置置檢查記記錄表。1.3.33 安安全管理理員每周周對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備登登陸日志志、防火火墻日志志、入侵侵檢測(cè)日日志等進(jìn)進(jìn)行分析析審計(jì)。1.4 終終端用戶戶接入管管理1.4.11 用戶戶終端接接入網(wǎng)絡(luò)絡(luò)需填寫(xiě)寫(xiě)申請(qǐng)表表,由申申請(qǐng)人所所在部門(mén)門(mén)確認(rèn),信信息管理理部門(mén)(責(zé)責(zé)任處(科)室室)負(fù)責(zé)責(zé)人批準(zhǔn)準(zhǔn)并備案案。申請(qǐng)請(qǐng)表內(nèi)容容應(yīng)包含含終端接接入安全全責(zé)任條條款。1.4.22 建建立用戶戶登錄網(wǎng)網(wǎng)絡(luò)認(rèn)證證機(jī)制,避避免對(duì)中中國(guó)石化化內(nèi)部網(wǎng)網(wǎng)絡(luò)未經(jīng)經(jīng)授權(quán)的的訪問(wèn)。1.4.33 根根據(jù)人事事部門(mén)提提供的人人員離職職交接表

6、表,信息息管理部部門(mén)應(yīng)及及時(shí)注銷(xiāo)銷(xiāo)該用戶戶的網(wǎng)絡(luò)絡(luò)接入服服務(wù)。1.5遠(yuǎn)遠(yuǎn)程接入入網(wǎng)絡(luò)申申請(qǐng)人依依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法相相關(guān)要求求,填寫(xiě)寫(xiě)遠(yuǎn)程接接入服務(wù)務(wù)申請(qǐng)表表和遠(yuǎn)程程用戶接接入服務(wù)務(wù)安全承承諾書(shū),由由所在部部門(mén)負(fù)責(zé)責(zé)人確認(rèn)認(rèn),信息息管理部部門(mén)(責(zé)責(zé)任處(科)室室)負(fù)責(zé)責(zé)人審批批并備案案。1.6依依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法相相關(guān)要求求,網(wǎng)絡(luò)絡(luò)管理員員負(fù)責(zé)部部署防病病毒系統(tǒng)統(tǒng)并及時(shí)時(shí)進(jìn)行版版本和病病毒特征征庫(kù)的升升級(jí);安安全管理理員每周周對(duì)防病病毒系統(tǒng)統(tǒng)日志進(jìn)進(jìn)行分析析審計(jì)。2服務(wù)器器管理2.1各各級(jí)信息息管理部部門(mén)配備備系統(tǒng)管管理員,由由信息管管理部門(mén)門(mén)(責(zé)任任處(科科)室)負(fù)責(zé)人人審批。2.2 系統(tǒng)

7、管管理員須須建立服服務(wù)器檔檔案,內(nèi)內(nèi)容包括括設(shè)備的的詳細(xì)硬硬件配置置、設(shè)備備唯一性性標(biāo)記和和設(shè)備用用途等信信息。2.3 服務(wù)器器操作系統(tǒng)統(tǒng)管理。2.3.11 操作系系統(tǒng)用戶戶須填寫(xiě)寫(xiě)操作系系統(tǒng)用戶戶申請(qǐng)表表,經(jīng)信信息管理理部門(mén)(責(zé)責(zé)任處(科)室室)負(fù)責(zé)責(zé)人審批批后,由由系統(tǒng)管管理員創(chuàng)創(chuàng)建。2.3.22 系統(tǒng)管管理員每每半年檢檢查操作作系統(tǒng)用用戶授權(quán)權(quán)情況并并記錄,對(duì)對(duì)超期使使用帳號(hào)號(hào)的用戶戶進(jìn)行鎖鎖定或刪刪除。2.3.33 操作系系統(tǒng)用戶戶密碼要要求長(zhǎng)度度八位以上上,采用用數(shù)字和和字符組組合方式式,新密密碼不得得與前五五次歷史史密碼相相同。系系統(tǒng)管理理員至少少每季度修改改操作系系統(tǒng)用戶戶密碼,

8、填填寫(xiě)密碼碼更換記記錄、經(jīng)經(jīng)安全管管理員確確認(rèn)并在在信息管管理部門(mén)門(mén)備案。2.3.44 系統(tǒng)管管理員監(jiān)監(jiān)控操作作系統(tǒng)運(yùn)運(yùn)行情況況,每日日巡檢操操作系統(tǒng)統(tǒng)日志,并并將巡檢檢情況記記錄存檔檔。安全全管理員員每月對(duì)系統(tǒng)統(tǒng)巡檢記記錄進(jìn)行行檢查,對(duì)對(duì)存在問(wèn)問(wèn)題提出出整改意意見(jiàn),上上報(bào)信息息管理部部門(mén)(責(zé)責(zé)任處(科)室室)負(fù)責(zé)責(zé)人審批批后實(shí)施施。3 機(jī)房管管理。3.1 各各級(jí)信息息管理部部門(mén)依據(jù)據(jù)相關(guān)制制度和規(guī)規(guī)范,制制定計(jì)算算機(jī)機(jī)房房管理辦辦法,實(shí)施對(duì)對(duì)機(jī)房的的管理。管管理辦法法主要內(nèi)內(nèi)容包括括人員出出入管理理、設(shè)備備出入管管理、機(jī)機(jī)房工況況管理等等。3.2 機(jī)房應(yīng)應(yīng)設(shè)門(mén)禁禁系統(tǒng),或由專(zhuān)專(zhuān)人負(fù)責(zé)責(zé)機(jī)房出

9、出入管理理并填寫(xiě)人人員出入入登記表表。3.3 設(shè)備出出入機(jī)房房,攜帶帶設(shè)備人人員填寫(xiě)寫(xiě)設(shè)備出出入登記記表,登登記表由由信息管管理部門(mén)門(mén)(責(zé)任任處(科科)室)負(fù)責(zé)人人審批并并備案。3.4 機(jī)房管管理人員員每日對(duì)對(duì)機(jī)房UUPS、空空調(diào)、溫溫濕度和和電源系系統(tǒng)巡檢檢,并填填寫(xiě)巡檢檢記錄。4 備份介介質(zhì)管理理。4.1 系統(tǒng)管管理員要要對(duì)備份份介質(zhì)進(jìn)進(jìn)行標(biāo)記記。標(biāo)記記內(nèi)容有有:備份介質(zhì)編編號(hào)、應(yīng)應(yīng)用名稱(chēng)稱(chēng)、IPP地址、備備份日期期、備份內(nèi)容和備備份人。4.2 ERPP等重要要信息系系統(tǒng)的備備份介質(zhì)質(zhì)必須異異地存放放并分類(lèi)存檔。系系統(tǒng)管理理員按照照廠商提提供的使使用年限限按期更換備份介介質(zhì)。備備份介質(zhì)質(zhì)存

10、放環(huán)環(huán)境和備備份介質(zhì)質(zhì)存儲(chǔ)內(nèi)容的銷(xiāo)除除滿足備備份管理理辦法的的相關(guān)要要求。4.3 備份介介質(zhì)有出出入庫(kù)記記錄。借借出備份份介質(zhì)時(shí)時(shí),借用用人須填寫(xiě)申請(qǐng)請(qǐng)表,經(jīng)經(jīng)相關(guān)部部門(mén)負(fù)責(zé)責(zé)人審核核,信息息管理部部門(mén)(責(zé)責(zé)任處(科)室室)負(fù)責(zé)責(zé)人審批批后,辦辦理介質(zhì)質(zhì)出庫(kù)手手續(xù)。5 故障處處理5.1 信息息管理部部門(mén)負(fù)責(zé)責(zé)制訂本本單位信信息基礎(chǔ)礎(chǔ)設(shè)施故故障處理理流程及及應(yīng)急預(yù)預(yù)案。5.2 網(wǎng)絡(luò)絡(luò)、服務(wù)務(wù)器發(fā)生生故障時(shí)時(shí),運(yùn)維維人員應(yīng)應(yīng)及時(shí)處處理故障障,并填填寫(xiě)工作作記錄。5.3 終端用用戶計(jì)算算機(jī)設(shè)備備發(fā)生故故障時(shí),運(yùn)維人員及時(shí)處理故障并填寫(xiě)工作單。故障處理完畢后,用戶須對(duì)處理結(jié)果加以確認(rèn)。工作單由信息管理部門(mén)負(fù)責(zé)備案。5.3 信息息基礎(chǔ)設(shè)設(shè)施應(yīng)急急預(yù)案須須每年安安排適當(dāng)當(dāng)時(shí)間進(jìn)進(jìn)行演練練并記錄錄。四、 相關(guān)關(guān)制度目目錄(制制度后標(biāo)標(biāo)號(hào)為內(nèi)內(nèi)部控制制手冊(cè)配配套規(guī)章章制度匯匯編目目錄索引引號(hào))1 中中國(guó)石油油化工股股份有限限公司網(wǎng)網(wǎng)絡(luò)管理理辦法(石化股股份信系系200076號(hào)) -22.100.52 中中國(guó)石油油化工股股份有限限公司信信息系統(tǒng)統(tǒng)安全管管理辦法法(試行行) (石化股股份信系系2000635號(hào)) -22.100.23 中中國(guó)石油油化工股股份有限限公司信信息基礎(chǔ)礎(chǔ)設(shè)施管管理辦法法(試行行)(石化股股份信系系2000636號(hào)) -2.10.7

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論