返回
内部控制手册第3部分-内控矩阵(c)——11,5基础设施it一般性控制内部控制矩阵

内部控制手册第3部分-内控矩阵(c)——11,5基础设施it一般性控制内部控制矩阵

ID:18983025

大小:140.00 KB

页数:3页

时间:2018-09-27

内部控制手册第3部分-内控矩阵(c)——11,5基础设施it一般性控制内部控制矩阵_第1页
内部控制手册第3部分-内控矩阵(c)——11,5基础设施it一般性控制内部控制矩阵_第2页
内部控制手册第3部分-内控矩阵(c)——11,5基础设施it一般性控制内部控制矩阵_第3页
资源描述:

《内部控制手册第3部分-内控矩阵(c)——11,5基础设施it一般性控制内部控制矩阵》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、11.5基础设施IT一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.网络管理1.1网络基础管理1.12.12.2经营风险:网络管理制度不健全,导致网络管理存在漏洞。合规风险:信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。1.1.1总部和分(子)公司依据《中国石油化工股份有限

2、公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。信息系统管理部分(子)公司 5网络管理办法2.10.51.1经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员、安全管理员,由信息管理部门负责人审批。信息系统管理部分(子)公司安全管理员网络管理员3网络管理员、安全管理员授权

3、文档2.10.51.1经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。信息系统管理部分(子)公司4IP地址分配表网络拓扑图网络设备配置记录表2.10.51.1经营风险:网络设备密码设置强度不够或更改不及时,造成公司内部网络被非授权访问和攻击。1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,采用数字和字符组合方

4、式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。信息系统管理部分(子)公司安全管理员网络管理员5密码变更记录2.10.51.3网络互联安全管理1.1经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。1.3.1总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管

5、理部备案。信息系统管理部分(子)公司 4安全设备配置文档与外部网互联备案记录表2.10.21.1经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。信息系统管理部分(子)公司4安全设备配置检查记录表2.10.21.1经营风险:安全管理员未及时对相关日志审计分析,导致内部网络被非授权访问和攻击。1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。信

6、息系统管理部分(子)公司4网络设备登陆日志审阅表防火墙日志审阅表入侵检测日志审阅表2.10.21.4终端用户接入管理1.1经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。信息系统管理部分(子)公司3终端用户接入申请表2.10.51.1经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。1.4.2建立用户登录网络认证机制,

7、避免对中国石化内部网络未经授权的访问。信息系统管理部分(子)公司32.10.51.1经营风险:人事部门未及时提供人员离职交接表,或信息管理部门未及时将离职人员网络接入服务注销,导致内部网络被非授权访问和攻击。1.4.3根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。人事部信息系统管理部分(子)公司3离职人员交接表2.10.51.1经营风险:未经相关领导授权开通远程接入网络服务,导致内部网络被非授权访问和攻击。1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接

8、入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。信息系统管理部分(子)公司申请部门信息管理部门3远程用户接入服务申请表远程用户接入服务安全承诺书2.10.51.1经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。1.6依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。信息系统管理部分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。