海南省電信公司內(nèi)部控制辦法

海南省電信有限公司內(nèi)部操縱手冊實(shí)施細(xì)則中冊目錄TOC\o"1-2"\f\h\z1 對程序和數(shù)據(jù)的訪問 11.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 11.2 承載網(wǎng) 71.3 智能網(wǎng) 131.4 大客戶治理系統(tǒng) 201.5 營業(yè)受理系統(tǒng) 271.6 計費(fèi)帳務(wù)系統(tǒng) 341.7 客戶服務(wù)系統(tǒng) 411.8 財務(wù)治理系統(tǒng) 481.9 打算建設(shè)治理系統(tǒng) 541.10省級綜合結(jié)算系統(tǒng) 601.11 辦公自動化系統(tǒng) 672 程序變更治理 742.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 742.2 承載網(wǎng) 782.3 智能網(wǎng) 822.4 大客戶治理系統(tǒng) 872.5 營業(yè)受理系統(tǒng) 922.6 計費(fèi)帳務(wù)系統(tǒng) 972.7 客戶服務(wù)系統(tǒng) 1022.8 財務(wù)治理系統(tǒng) 1072.9 打算建設(shè)治理系統(tǒng) 1122.10省級綜合結(jié)算系統(tǒng) 1172.11 辦公自動化系統(tǒng) 1223 程序開發(fā) 1274 系統(tǒng)運(yùn)行 1324.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 1324.2 承載網(wǎng) 1374.3 智能網(wǎng) 1424.4 大客戶治理系統(tǒng) 1474.5 營業(yè)受理系統(tǒng) 1524.6 計費(fèi)帳務(wù)系統(tǒng) 1574.7 客戶服務(wù)系統(tǒng) 1624.8 財務(wù)治理系統(tǒng) 1674.9 打算建設(shè)治理系統(tǒng) 1724.10 省級綜合結(jié)算系統(tǒng) 1774.11 辦公自動化系統(tǒng) 1825 最終用戶計算 1871 對程序和數(shù)據(jù)的訪問1.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍所有部門。二、 所涉及的計算機(jī)系統(tǒng)所有在DCN網(wǎng)上的系統(tǒng)。三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到公司對信息安全重要性的重視。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目所有會計科目。六、 流程概述信息安全治理省公司在組織中建立了信息安全職能，并制定相應(yīng)的組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。省公司制定了正式并通過治理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財務(wù)報告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。用戶帳號的治理2.1超級用戶帳號的治理網(wǎng)絡(luò)治理員用戶帳號的使用僅限于經(jīng)授權(quán)人員,這類用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門領(lǐng)導(dǎo)的書面授權(quán)審批。在網(wǎng)絡(luò)治理職員作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門正式以書面方式及時通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2用戶帳號訪問權(quán)限的定期批閱網(wǎng)絡(luò)維護(hù)部門主管人員或業(yè)務(wù)部門對網(wǎng)絡(luò)治理員帳號和訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的訪問權(quán)限。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。網(wǎng)絡(luò)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺不恰當(dāng)用戶的存在及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的的邏輯訪問和物理訪問對網(wǎng)絡(luò)治理員的治理訪問采納身份驗(yàn)證機(jī)制，對網(wǎng)絡(luò)設(shè)備的治理訪問必須使用用戶名和密碼，而且每個網(wǎng)絡(luò)治理員帳號被授予唯一的網(wǎng)絡(luò)治理員。假如由于系統(tǒng)限制存在網(wǎng)絡(luò)治理員帳號共享，其密碼在其中任一治理員離職時及時更改，以防止非法訪問。網(wǎng)絡(luò)維護(hù)部門對網(wǎng)絡(luò)治理員帳號的密碼制定密碼政策，以幸免用戶使用安全級不低的密碼。密碼政策包括:用戶密碼長度位數(shù)規(guī)定，密碼應(yīng)定期更新。關(guān)于使用密鑰棒或動態(tài)密碼卡的網(wǎng)絡(luò)設(shè)備，需要配合使用由用戶掌握的PIN碼。網(wǎng)絡(luò)治理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)覺異?，F(xiàn)象應(yīng)及時跟進(jìn)或上報。網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機(jī)房中，所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。只有通過授權(quán)的人員可對存放有與財務(wù)報表相關(guān)的網(wǎng)絡(luò)機(jī)房和設(shè)備進(jìn)行物理訪問。所有對機(jī)房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。只有指定的網(wǎng)絡(luò)治理員才能擁有防火墻治理帳號，并進(jìn)行防火墻規(guī)則的更改。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理HN.A.1.1.1省公司在組織中建立了信息安全職能，具有信息安全治理的工作職責(zé)。檢查組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。HN.A.1.1.2省公司制定了正式并通過治理層批準(zhǔn)的信息安全政策，為信息技術(shù)環(huán)境，包括應(yīng)用程序、數(shù)據(jù)庫和信息技術(shù)基礎(chǔ)設(shè)施的信息安全提供指南。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。檢查信息安全政策,訪談用戶是否知曉本公司的信息安全政策。用戶帳號的治理2.1超級用戶帳號的治理HN.A.1.2.1網(wǎng)絡(luò)治理員用戶帳號的使用僅限于經(jīng)授權(quán)人員。這些用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門的主管人員的書面授權(quán)審批。檢查網(wǎng)絡(luò)治理員帳號清單，檢查系統(tǒng)治理員帳號的審批文件。HN.A.1.2.2在網(wǎng)絡(luò)治理職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門正式以書面方式通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。2.2用戶帳號訪問權(quán)限的定期批閱HN.A.1.2.3網(wǎng)絡(luò)維護(hù)部門主管人員對網(wǎng)絡(luò)治理員帳號和訪問權(quán)限每半年進(jìn)行批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限。發(fā)覺的問題及時跟進(jìn)解決。檢查批閱書面記錄。HN.A.1.2.4網(wǎng)絡(luò)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺不恰當(dāng)用戶的存在，則及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。檢查批閱書面記錄。信息系統(tǒng)的的邏輯訪問和物理訪問HN.A.1.3.1對網(wǎng)絡(luò)治理員的治理訪問采納身份驗(yàn)證機(jī)制，對網(wǎng)絡(luò)設(shè)備的治理訪問必須使用用戶名和密碼，而且每個網(wǎng)絡(luò)治理員帳號被授予唯一的網(wǎng)絡(luò)治理員。假如由于系統(tǒng)限制存在網(wǎng)絡(luò)治理員帳號共享，其密碼在其中任一治理員離職時及時更改，以防止非法訪問。觀看系統(tǒng)登陸過程。檢查治理員用戶離職時的密碼修改記錄。HN.A.1.3.2網(wǎng)絡(luò)維護(hù)部門對網(wǎng)絡(luò)治理員帳號的密碼制定密碼政策，以幸免用戶使用安全級不低的密碼。密碼政策包括:用戶密碼長度不得低于6位密碼應(yīng)至少每90天進(jìn)行更新關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看網(wǎng)絡(luò)設(shè)備的密碼配置。HN.A.1.3.3網(wǎng)絡(luò)治理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)覺異?，F(xiàn)象應(yīng)及時跟進(jìn)或上報。檢查網(wǎng)絡(luò)治理員對網(wǎng)絡(luò)安全日志檢查的書面記錄。HN.A.1.3.4網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。觀看機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.A.1.3.5只有通過授權(quán)的人員可對存放網(wǎng)絡(luò)設(shè)備的機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。HN.A.1.3.6公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。檢查網(wǎng)絡(luò)拓?fù)鋱D，檢查防火墻規(guī)則設(shè)置。HN.A.1.3.7只有指定的網(wǎng)絡(luò)治理員才能擁有防火墻治理帳號，并進(jìn)行防火墻規(guī)則的更改。檢查防火墻治理帳號列表，檢查防火墻治理人員名單。八、要緊操縱點(diǎn)的相關(guān)文件1 網(wǎng)絡(luò)訪問申請表2 職職員作調(diào)動/離職通知單3 網(wǎng)絡(luò)治理員（網(wǎng)絡(luò)設(shè)備及防火墻）帳號申請表4 網(wǎng)絡(luò)治理員帳號/權(quán)限檢查表5 機(jī)房訪問權(quán)限檢查表6 網(wǎng)絡(luò)安全日志檢查表7 機(jī)房進(jìn)出登記簿機(jī)房訪問權(quán)限申請表九、相關(guān)制度和備查文件 1少人無人值守機(jī)房治理要求（試行）1.2 承載網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍運(yùn)行維護(hù)部門、計費(fèi)帳務(wù)部門、市場部門。二、 所涉及的計算機(jī)系統(tǒng)小靈通程控交換機(jī)和匯接局程控交換機(jī)以及網(wǎng)管終端。三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到公司對信息安全重要性的重視。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。5確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目收入類科目。六、 流程概述1信息安全治理省公司按照信息產(chǎn)業(yè)部或集團(tuán)公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對承載網(wǎng)的計費(fèi)相關(guān)設(shè)備進(jìn)行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。用戶帳號的治理2.1 超級用戶帳號的治理承載網(wǎng)的交換機(jī)及網(wǎng)管終端的治理員帳號的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。治理員帳號的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級主管人員的書面審批。授權(quán)審批文檔集中歸檔。對治理員帳號在承載網(wǎng)的設(shè)備及治理終端的訪問及操作要記錄并保留日志，并由運(yùn)行維護(hù)部門主管人員每周批閱。在治理職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)治理員帳號的治理流程，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 用戶帳號訪問權(quán)限的定期批閱運(yùn)行維護(hù)部門主管人員每半年對承載網(wǎng)的治理員帳號進(jìn)行批閱，以發(fā)覺任何不合適的治理員訪問權(quán)限。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。運(yùn)行維護(hù)部門主管人員每半年對電信機(jī)房的訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺不恰當(dāng)用戶的存在及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的的邏輯訪問和物理訪問對承載網(wǎng)治理員帳號的訪問采納身份驗(yàn)證機(jī)制，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個承載網(wǎng)治理員帳號被授予唯一的維護(hù)治理人員。假如由于系統(tǒng)限制存在治理員帳號共享，其密碼在其中任一治理員離職時及時更改，以防止非法訪問。按照省公司對訪問承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對承載網(wǎng)的治理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級不高的密碼。密碼政策包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。運(yùn)行維護(hù)部門治理人員定期審核承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用治理軟件）的安全日志記錄，識不潛在的違規(guī)，如發(fā)覺安全問題按照相關(guān)的治理規(guī)定及時上報。承載網(wǎng)的承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房時在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記簿中留下記錄。只有通過授權(quán)的人員可對存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問。對電信機(jī)房的訪問授權(quán)通過各級相關(guān)部門主管人員的書面審批。按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時發(fā)覺對電信機(jī)房未經(jīng)授權(quán)的訪問并進(jìn)行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過網(wǎng)絡(luò)安全操縱手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問。職責(zé)分工按照相關(guān)的規(guī)定，對維護(hù)承載網(wǎng)的計費(fèi)相關(guān)設(shè)備的維護(hù)治理員，特不是具有訪問治理終端權(quán)限的維護(hù)治理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實(shí)行多級的治理權(quán)限劃分，關(guān)于通話記錄(CDR)數(shù)據(jù)的訪問僅限于有最高安全權(quán)限的治理員。七、 信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理HN.B.1.1.1省公司按照信息產(chǎn)業(yè)部或集團(tuán)公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對承載網(wǎng)的計費(fèi)相關(guān)設(shè)備進(jìn)行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。檢查相關(guān)的文件。用戶帳號的治理2.1超級用戶帳號的治理HN.B.1.2.1承載網(wǎng)的交換機(jī)及網(wǎng)管終端的治理員帳號的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。治理員帳號的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級主管人員的書面審批。授權(quán)審批文檔集中歸檔。檢查承載網(wǎng)治理員帳號清單，檢查承載網(wǎng)治理員帳號的審批文件。HN.B.1.2.2對治理員帳號在承載網(wǎng)的設(shè)備及治理終端的訪問及操作要記錄并保留日志，并由運(yùn)行維護(hù)部門主管人員每周批閱。檢查批閱書面記錄。HN.B.1.2.3在治理職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)治理員帳號的治理流程，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。檢查治理員用戶離職時的密碼修改記錄。2.2用戶帳號訪問權(quán)限的定期批閱HN.B.1.2.4運(yùn)行維護(hù)部門主管人員每半年對承載網(wǎng)的治理員帳號進(jìn)行批閱，以發(fā)覺任何不合適的治理員訪問權(quán)限。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。檢查批閱書面記錄。HN.B.1.2.5運(yùn)行維護(hù)部門主管人員每半年對電信機(jī)房的訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺不恰當(dāng)用戶的存在及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。檢查批閱書面記錄。信息系統(tǒng)的的邏輯訪問和物理訪問HN.B.1.3.1對承載網(wǎng)治理員帳號的訪問采納身份驗(yàn)證機(jī)制，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個承載網(wǎng)治理員帳號被授予唯一的維護(hù)治理人員。假如由于系統(tǒng)限制存在治理員帳號共享，其密碼在其中任一治理員離職時及時更改，以防止非法訪問。觀看系統(tǒng)登陸過程。HN.B.1.3.2按照省公司對訪問承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對承載網(wǎng)的治理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級不高的密碼。密碼政策包括:用戶密碼長度不得低于6位密碼應(yīng)至少每90天進(jìn)行更新不得使用最近的密碼檢查網(wǎng)管終端的密碼設(shè)置。HN.B.1.3.3運(yùn)行維護(hù)部門治理人員每周審核承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用治理軟件）的安全日志記錄，識不潛在的違規(guī)，如發(fā)覺安全問題按照相關(guān)的治理規(guī)定及時上報。檢查治理人員對安全日志檢查的書面記錄。HN.B.1.3.4承載網(wǎng)上交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。觀看機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.B.1.3.5只有通過授權(quán)的人員可對存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問。對電信機(jī)房的訪問授權(quán)通過各級相關(guān)部門主管人員的書面審批。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。HN.B.1.3.6按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時發(fā)覺對電信機(jī)房的未經(jīng)授權(quán)的訪問并進(jìn)行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。檢查環(huán)境監(jiān)控記錄。HN.B.1.3.7承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過網(wǎng)絡(luò)安全操縱手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問。檢查網(wǎng)絡(luò)拓?fù)鋱D。職責(zé)分工HN.B.1.4.1按照相關(guān)的規(guī)定，對維護(hù)承載網(wǎng)上計費(fèi)相關(guān)設(shè)備的維護(hù)治理員，特不是具有訪問治理終端的權(quán)限的維護(hù)治理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實(shí)行多級的治理權(quán)限劃分，關(guān)于通話記錄(CDR)數(shù)據(jù)的訪問僅限于經(jīng)授權(quán)人員。檢查權(quán)限分配名單。八、要緊操縱點(diǎn)的相關(guān)文件1 承載網(wǎng)治理員崗位授權(quán)書2 承載網(wǎng)治理員認(rèn)證3 承載網(wǎng)治理員操作日志批閱表4 職職員作調(diào)動/離職通知單5 承載網(wǎng)治理員帳號/權(quán)限檢查表6 電信機(jī)房訪問權(quán)限檢查表7 承載網(wǎng)安全日志檢查表8 電信機(jī)房進(jìn)出登記簿9 電信機(jī)房訪問權(quán)限申請表10 電信機(jī)房環(huán)境監(jiān)控日志11 承載網(wǎng)治理員權(quán)限分配方案九、相關(guān)制度和備查文件少人無人值守機(jī)房治理要求（試行）1.3 智能網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍市場部門、計費(fèi)部門、運(yùn)行維護(hù)部門。二、 所涉及的計算機(jī)系統(tǒng)智能網(wǎng)（綜合信息平臺,SP網(wǎng)關(guān),貝爾平臺(電話卡計費(fèi)),固網(wǎng)短信平臺）。三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到信息安全的重要性。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目收入類科目。六、 流程概述1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。用戶帳號的治理2.1 用戶帳號的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號，以幸免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或相關(guān)業(yè)務(wù)部門及時正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的治理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級用戶帳號(比如root用戶，系統(tǒng)治理員，安全治理員帳號，批處理用戶帳號)。帳號數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫治理員）。帳號智能網(wǎng)系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或相關(guān)業(yè)務(wù)部門主管人員的書面審批。智能網(wǎng)系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期批閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對智能網(wǎng)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。帳號系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺存在不適當(dāng)用戶及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的邏輯訪問和物理訪問在智能網(wǎng)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對智能網(wǎng)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。系統(tǒng)維護(hù)部門對訪問智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異?，F(xiàn)象應(yīng)及時跟進(jìn)或上報。安裝智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。只有經(jīng)授權(quán)的人員可對存放智能網(wǎng)系統(tǒng)設(shè)備的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。職責(zé)分工在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照業(yè)務(wù)部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查智能網(wǎng)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。如發(fā)覺權(quán)限分配的問題，應(yīng)及時跟進(jìn)解決。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1用戶帳號的添加、修改及刪除操縱HN.C.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.C.1.2.2在職職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門或相關(guān)業(yè)務(wù)部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員訪問權(quán)限的刪除書面通知，檢查離職用戶帳號是否已完全刪除。2.2超級用戶帳號的治理HN.C.1.2.3智能網(wǎng)系統(tǒng)的操作系統(tǒng)治理帳號僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管的書面授權(quán)審批。檢查系統(tǒng)治理帳號清單，檢查系統(tǒng)治理員帳號的審批文件。HN.C.1.2.4智能網(wǎng)系統(tǒng)數(shù)據(jù)庫的治理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管的書面授權(quán)審批。檢查數(shù)據(jù)庫治理帳號清單，檢查數(shù)據(jù)庫治理員帳號的審批文件。HN.C.1.2.5智能網(wǎng)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管或相關(guān)業(yè)務(wù)部門主管的書面授權(quán)審批。檢查特權(quán)用戶治理帳號清單，檢查特權(quán)用戶治理員帳號的審批文件。HN.C.1.2.6智能網(wǎng)系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。檢查治理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期批閱HN.C.1.2.7系統(tǒng)維護(hù)部門主管或業(yè)務(wù)部門對智能網(wǎng)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進(jìn)解決。檢查批閱書面記錄。HN.C.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，若發(fā)覺存在不合適的用戶，及時通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問和物理訪問HN.C.1.3.1在智能網(wǎng)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對智能網(wǎng)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。觀看系統(tǒng)登陸過程。HN.C.1.3.2系統(tǒng)維護(hù)部門對訪問智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策具體包括:用戶密碼長度不得低于6位密碼應(yīng)至少每90天進(jìn)行更新不得使用最近的密碼關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.C.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。HN.C.1.3.4安裝智能網(wǎng)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.C.1.3.5只有經(jīng)授權(quán)的人員可對存放智能網(wǎng)系統(tǒng)設(shè)備的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。4職責(zé)分工HN.C.1.4.1在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照用戶部門或相關(guān)業(yè)務(wù)部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.C.1.4.2內(nèi)審或者用戶部門每半年檢查系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺問題及時跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2 職職員作調(diào)動/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4 系統(tǒng)特權(quán)用戶帳號申請表5 系統(tǒng)帳號/權(quán)限檢查表6 機(jī)房訪問權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問權(quán)限申請表10 系統(tǒng)用戶（組）權(quán)限分配批閱報告職責(zé)分工檢查報告九、相關(guān)制度和備查文件1少人無人值守機(jī)房治理要求（試行）1.4 大客戶治理系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍信息技術(shù)部門,大客戶部門。二、 所涉及的計算機(jī)系統(tǒng)海南電信營銷渠道支撐系統(tǒng)，一站式大客戶業(yè)務(wù)處理系統(tǒng)。三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到信息安全的重要性。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目主營業(yè)務(wù)收入。六、 流程概述1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1 用戶帳號的添加、修改及刪除操縱集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對大客戶治理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過系統(tǒng)主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號，以幸免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或用戶部門及時正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的治理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級用戶帳號(比如root用戶，系統(tǒng)治理員，安全治理員帳號，批處理用戶帳號)。數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或系統(tǒng)主管人員的書面審批。大客戶治理系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期批閱用戶部門主管人員或業(yè)務(wù)部門對大客戶治理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限帳號。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺存在不適當(dāng)用戶及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。3信息系統(tǒng)的邏輯訪問和物理訪問在大客戶治理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對大客戶治理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。系統(tǒng)維護(hù)部門對訪問大客戶治理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。安裝大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。只有經(jīng)授權(quán)的人員可對存放大客戶治理系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4職責(zé)分工在大客戶治理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照用戶部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查大客戶治理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定，確保合理的職責(zé)分工,如發(fā)覺問題，應(yīng)及時跟進(jìn)解決。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1用戶帳號的添加、修改及刪除操縱HN.E.1.2.1集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對大客戶治理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.E.1.2.2在職職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門,并通報至集團(tuán)公司,由相關(guān)的系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。2.2超級用戶帳號的治理HN.E.1.2.3大客戶治理系統(tǒng)的操作系統(tǒng)治理帳號僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號清單，檢查系統(tǒng)治理員帳號的審批文件。HN.E.1.2.4大客戶治理系統(tǒng)的數(shù)據(jù)庫治理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫治理帳號清單，檢查數(shù)據(jù)庫治理員帳號的審批文件。HN.E.1.2.5大客戶治理系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號清單，檢查特權(quán)用戶治理員帳號的審批文件。HN.E.1.2.6大客戶治理系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。檢查治理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期批閱HN.E.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對大客戶治理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限帳號，并及時跟進(jìn)解決。檢查批閱書面記錄。HN.E.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，若發(fā)覺存在不合適的用戶，及時通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問和物理訪問HN.E.1.3.1在大客戶治理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對大客戶治理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。觀看系統(tǒng)登陸過程。HN.E.1.3.2系統(tǒng)維護(hù)部門對訪問大客戶治理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策具體包括:?用戶密碼長度不得低于6位?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.E.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。檢查系統(tǒng)安全日志記錄和審核記錄。HN.E.1.3.4安裝大客戶治理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。HN.E.1.3.5只有經(jīng)授權(quán)的人員可對存放大客戶治理系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。4職責(zé)分工HN.E.1.4.1在大客戶治理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照用戶部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.E.1.4.2內(nèi)審或者用戶部門每半年檢查大客戶治理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺問題及時跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2 職職員作調(diào)動/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4 系統(tǒng)特權(quán)用戶帳號申請表5 系統(tǒng)帳號/權(quán)限檢查表6 機(jī)房訪問權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問權(quán)限申請表10 系統(tǒng)用戶（組）權(quán)限分配批閱報告11 職責(zé)分工檢查報告九、相關(guān)制度和備查文件少人無人值守機(jī)房治理要求（試行）1.5 營業(yè)受理系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍所有前后端部門：運(yùn)行維護(hù)部門、計費(fèi)部門、信息技術(shù)部門、市場部門。二、 所涉及的計算機(jī)系統(tǒng)綜合業(yè)務(wù)支撐系統(tǒng)/網(wǎng)上營業(yè)廳。三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到信息安全的重要性。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目收入和費(fèi)用類科目。六、 流程概述1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1 用戶帳號的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對營業(yè)受理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過各級業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號，以幸免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或用戶部門及時正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的治理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級用戶帳號（比如root用戶，系統(tǒng)治理員，安全治理員帳號，批處理用戶帳號）。數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面審批。營業(yè)受理系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期批閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對營業(yè)受理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺存在不適當(dāng)用戶及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。3信息系統(tǒng)的邏輯訪問和物理訪問在營業(yè)受理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對營業(yè)受理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶（除用于查詢訪問的功能性賬號外）。系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑拿艽a制定密碼政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異常現(xiàn)象及時跟進(jìn)或上報。營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。只有經(jīng)授權(quán)的人員可對存放營業(yè)受理系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。4職責(zé)分工在營業(yè)受理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進(jìn)行修改時，依照業(yè)務(wù)部門或系統(tǒng)治理部門審批過的流程對用戶角色的權(quán)限進(jìn)行設(shè)定。公司通過關(guān)于不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或用戶部門每半年檢查營業(yè)受理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。七、 信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1用戶帳號的添加、修改及刪除操縱HN.F.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對營業(yè)受理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過各級業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.F.1.2.2在職職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職用戶是否已完全刪除。2.2超級用戶帳號的治理HN.F.1.2.3營業(yè)受理系統(tǒng)的操作系統(tǒng)治理帳號僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號清單，檢查系統(tǒng)治理員帳號的審批文件。HN.F.1.2.4營業(yè)受理系統(tǒng)數(shù)據(jù)庫的治理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫治理帳號清單，檢查數(shù)據(jù)庫治理員帳號的審批文件。HN.F.1.2.5營業(yè)受理系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號清單，檢查特權(quán)用戶治理員帳號的審批文件。HN.F.1.2.6營業(yè)受理系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。檢查治理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期批閱HN.F.1.2.7系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對營業(yè)受理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進(jìn)解決。檢查批閱書面記錄。HN.F.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，若發(fā)覺存在不合適的用戶，及時通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問和物理訪問HN.F.1.3.1在營業(yè)受理系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對營業(yè)受理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶（除用于查詢訪問的功能性賬號外）。觀看系統(tǒng)登陸過程。HN.F.1.3.2系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策具體包括:?用戶密碼長度不得低于6位?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.F.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。HN.F.1.3.4安裝營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.F.1.3.5只有經(jīng)授權(quán)的人員可對存放營業(yè)受理系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單。和機(jī)房訪問授權(quán)單。4職責(zé)分工HN.F.1.4.1在營業(yè)受理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照業(yè)務(wù)部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.F.1.4.2內(nèi)審或用戶部門每半年檢查系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺問題及時跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2 職職員作調(diào)動/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4 系統(tǒng)特權(quán)用戶帳號申請表5 系統(tǒng)帳號/權(quán)限檢查表6 機(jī)房訪問權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問權(quán)限申請表10 系統(tǒng)用戶（組）權(quán)限分配批閱報告11 職責(zé)分工檢查報告九、相關(guān)制度和備查文件1少人無人值守機(jī)房治理要求（試行）1.6 計費(fèi)帳務(wù)系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍所有前后端部門,包括；運(yùn)行維護(hù)部門、計費(fèi)部門、信息技術(shù)部門、市場部門。二、 所涉及的計算機(jī)系統(tǒng)本地計費(fèi)帳務(wù)系統(tǒng)/互聯(lián)星空系統(tǒng)/海南省多媒體網(wǎng)業(yè)務(wù)綜合治理系統(tǒng)/計費(fèi)采集系統(tǒng)/綜合信息平臺計費(fèi)系統(tǒng)三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到信息安全的重要性。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目收入類科目。六、 流程概述1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。用戶帳號的治理2.1 用戶帳號的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對計費(fèi)帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號，以幸免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或用戶部門及時正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的治理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級用戶帳號(比如root用戶，系統(tǒng)治理員，安全治理員帳號，批處理用戶帳號)。數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面審批。計費(fèi)賬務(wù)系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期批閱系統(tǒng)主管人員或業(yè)務(wù)部門對計費(fèi)賬務(wù)系統(tǒng)的用戶賬號和用戶訪問權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進(jìn)解決。系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺存在不適當(dāng)用戶及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的邏輯訪問和物理訪問在計費(fèi)賬務(wù)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對計費(fèi)賬務(wù)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。系統(tǒng)維護(hù)部門對訪問計費(fèi)帳務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩糁贫艽a政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查計費(fèi)賬務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作）。發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。安裝計費(fèi)帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。只有經(jīng)授權(quán)的人員可對存放計費(fèi)帳務(wù)系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。職責(zé)分工在計費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照用戶部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門定每半年檢查計費(fèi)帳務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工,如發(fā)覺問題，應(yīng)及時跟進(jìn)解決。七、 信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1用戶帳號的添加、修改及刪除操縱HN.G.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對計費(fèi)帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.G.1.2.2在職職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。2.2超級用戶帳號的治理HN.G.1.2.3計費(fèi)帳務(wù)系統(tǒng)的操作系統(tǒng)治理帳號僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號清單，檢查系統(tǒng)治理員帳號的審批文件。HN.G.1.2.4計費(fèi)帳務(wù)系統(tǒng)數(shù)據(jù)庫的治理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫治理帳號清單，檢查數(shù)據(jù)庫治理員帳號的審批文件。HN.G.1.2.5計費(fèi)帳務(wù)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號清單，檢查特權(quán)用戶治理員帳號的審批文件。HN.G.1.2.6計費(fèi)賬務(wù)系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。檢查治理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期批閱HN.G.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對計費(fèi)賬務(wù)系統(tǒng)的用戶賬號和用戶訪問權(quán)限進(jìn)行每季度的定期批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進(jìn)解決。檢查批閱書面記錄。HN.G.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，若發(fā)覺存在不合適的用戶，及時通知機(jī)房治理人員取消其相應(yīng)的授權(quán)。檢查批閱書面記錄。3信息系統(tǒng)的的邏輯訪問和物理訪問HN.G.1.3.1在計費(fèi)賬務(wù)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對計費(fèi)賬務(wù)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。觀看系統(tǒng)登陸過程。HN.G.1.3.2系統(tǒng)維護(hù)部門對訪問計費(fèi)賬務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩?含超級用戶）制定密碼政策，并依照密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策具體包括:?用戶密碼長度不得低于6位?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀看系統(tǒng)密碼設(shè)置。HN.G.1.3.3系統(tǒng)治理員負(fù)責(zé)每周檢查計費(fèi)賬務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作）。發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。檢查系統(tǒng)安全日志記錄和審核記錄。HN.G.1.3.4安裝計費(fèi)帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。觀看機(jī)房安全措施。檢查人員進(jìn)出機(jī)房的記錄。HN.G.1.3.5只有經(jīng)授權(quán)的人員可對存放計費(fèi)帳務(wù)系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。4職責(zé)分工HN.G.1.4.1在計費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照用戶部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查用戶權(quán)限審批文件，觀看系統(tǒng)用戶權(quán)限配置。HN.G.1.4.2內(nèi)審或者用戶部門每半年檢查計費(fèi)帳務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工。發(fā)覺問題及時跟進(jìn)解決。檢查職責(zé)分工的檢查記錄。八、要緊操縱點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2 職職員作調(diào)動/離職通知單3 系統(tǒng)治理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4 系統(tǒng)特權(quán)用戶帳號申請表5 系統(tǒng)帳號/權(quán)限檢查表6 機(jī)房訪問權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問權(quán)限申請表10 系統(tǒng)用戶（組）權(quán)限分配批閱報告11 職責(zé)分工檢查報告九、相關(guān)制度和備查文件1少人無人值守機(jī)房治理要求（試行）1.7 客戶服務(wù)系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除操縱、用戶帳號的定期批閱、職責(zé)分工操縱。2 所涉及的部門范圍信息技術(shù)部門、客戶服務(wù)部門、運(yùn)行維護(hù)部門。二、 所涉及的計算機(jī)系統(tǒng)目前無適用系統(tǒng)。三、 目標(biāo)1 關(guān)于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全治理政策并使職員意識到信息安全的重要性。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識不，認(rèn)證及授權(quán)的治理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都通過治理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行批閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全治理政策，信息安全治理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問治理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問,非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未通過治理層授權(quán)，離職職員帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)覺。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目收入和費(fèi)用類科目。六、 流程概述1信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。用戶帳號的治理2.1 用戶帳號的添加、修改及刪除操縱省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對客戶服務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號，以幸免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在職職員作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或用戶部門及時正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。2.2 超級用戶帳號的治理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：操作系統(tǒng)的超級用戶帳號(比如root用戶，系統(tǒng)治理員，安全治理員帳號，批處理用戶帳號)。數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫治理員）。應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或系統(tǒng)主管人員的書面審批。客戶服務(wù)系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權(quán)限的定期批閱用戶部門主管人員或業(yè)務(wù)部門對客戶服務(wù)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限帳號。發(fā)覺的問題要及時跟進(jìn)解決。批閱結(jié)果留下書面記錄。系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，假如發(fā)覺存在不適當(dāng)用戶及時通知機(jī)房治理人員取消相應(yīng)用戶的授權(quán)。信息系統(tǒng)的邏輯訪問和物理訪問在客戶服務(wù)系統(tǒng)中采納用戶身份的驗(yàn)證機(jī)制，對客戶服務(wù)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。系統(tǒng)維護(hù)部門對訪問客戶服務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并依照密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以幸免用戶使用安全級不低的密碼。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。關(guān)于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。系統(tǒng)治理員負(fù)責(zé)每周檢查客戶服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含關(guān)于重要的數(shù)據(jù)增、刪、改操作），發(fā)覺異?，F(xiàn)象及時跟進(jìn)或上報。安裝客戶服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的愛護(hù)。只有經(jīng)授權(quán)的人員可對存放客戶服務(wù)系統(tǒng)的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。對機(jī)房的訪問授權(quán)需經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。職責(zé)分工在客戶服務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，依照用戶部門或相關(guān)治理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。公司通過不同工作崗位關(guān)于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。內(nèi)審或者用戶部門每半年檢查客戶服務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工,如發(fā)覺問題，應(yīng)及時跟進(jìn)解決。七、信息技術(shù)操縱點(diǎn)信息技術(shù)操縱點(diǎn)監(jiān)督檢查方法信息安全治理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。2用戶帳號的治理2.1用戶帳號的添加、修改及刪除操縱HN.H.1.2.1省公司建立了用戶及其權(quán)限設(shè)置的治理流程，對客戶服務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)治理員在系統(tǒng)中創(chuàng)建用戶帳號。檢查用戶及其權(quán)限設(shè)置的治理流程,抽查用戶創(chuàng)建和授權(quán)的審批文件。HN.H.1.2.2在職職員作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門或用戶部門正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)治理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。2.2超級用戶帳號的治理HN.H.1.2.3客戶服務(wù)系統(tǒng)的操作系統(tǒng)治理帳號僅限于經(jīng)授權(quán)的系統(tǒng)治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查系統(tǒng)治理帳號清單，檢查系統(tǒng)治理員帳號的審批文件。HN.H.1.2.4客戶服務(wù)系統(tǒng)數(shù)據(jù)庫的治理帳號僅限于經(jīng)授權(quán)的數(shù)據(jù)庫治理員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查數(shù)據(jù)庫治理帳號清單，檢查數(shù)據(jù)庫治理員帳號的審批文件。HN.H.1.2.5客戶服務(wù)系統(tǒng)的特權(quán)用戶（例如具有增加/變更/刪除用戶等權(quán)限），僅限于經(jīng)授權(quán)的系統(tǒng)治理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。檢查特權(quán)用戶治理帳號清單，檢查特權(quán)用戶治理員帳號的審批文件。HN.H.1.2.6客戶服務(wù)系統(tǒng)的治理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┘偃缬捎谙到y(tǒng)限制存在共享，其密碼在其中任一治理員離職時需及時更改，以防止非法訪問。檢查治理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權(quán)限的定期批閱HN.H.1.2.7系統(tǒng)主管人員或業(yè)務(wù)部門對客戶服務(wù)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年批閱，以發(fā)覺任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進(jìn)解決。檢查批閱書面記錄。HN.H.1.2.8系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行批閱，若發(fā)覺存在不合適的用戶，及時通知機(jī)房治理人員取消其相應(yīng)的