海南省电信公司内部控制手册5646.docx

《海南省电信公司内部控制手册5646.docx》由会员分享，可在线阅读，更多相关《海南省电信公司内部控制手册5646.docx（294页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.海南省电信信有限公公司内部控制手手册实施施细则中册目录1对程序序和数据据的访问问11.1网网络基础础设施11.2承承载网71.3智智能网131.4大大客户管管理系统统201.5营营业受理理系统271.6计计费帐务务系统341.7客客户服务务系统411.8财财务管理理系统481.9计计划建设设管理系系统541.10 省级级综合结结算系统统601.11办公自自动化系系统672程序变变更管理理742.1网网络基础础设施742.2承承载网782.3智智能网822.4

2、大大客户管管理系统统872.5营营业受理理系统922.6计计费帐务务系统972.7客客户服务务系统1022.8财财务管理理系统10772.9计计划建设设管理系系统11222.10 省级级综合结结算系统统11772.11办公自自动化系系统12223程序开开发12774系统运运行1324.1网网络基础础设施13224.2承承载网13774.3智智能网14224.4大大客户管管理系统统14774.5营营业受理理系统15224.6计计费帐务务系统15774.7客客户服务务系统16224.8财财务管理理系统16774.9计计划建设设管理系系统17224.10省级综综合结算算系统1774.11办公自自动化

3、系系统18225最终用用户计算算1871对程序序和数据据的访问问1.1网网络基础础设施一、业务务流程范范围1所涉及及的业务务范围逻辑安全和和物理安安全、用用户帐号号的添加加、修改改及删除除控制、用用户帐号号的定期期审阅、职职责分工工控制。2所涉及及的部门门范围所有部门。二、所涉涉及的计计算机系系统所有在DCCN网上上的系统统。三、目标标1对于与与财务报报告相关关的信息息，公司司应制定定相关的的信息安安全管理理政策并并使员工工意识到到公司对对信息安安全重要要性的重重视。2对公司司信息技技术资源源的物理理访问及及逻辑访访问已建建立起通通过用户户身份的的识别，认认证及授授权的管管理机制制，以降降低由

4、于于对系统统及数据据的未经经授权的的访问所所带来的的风险。3建立相相关流程程以确保保用户添添加、修修改、删删除都经经过管理理层授权权，及相相关操作作的准确确性和及及时性。 4确保定定期对系系统中用用户的访访问权限限进行审审阅，以以减少未未经授权权或不适适当的对对系统或或数据进进行访问问而带来来的风险险。5确保在在关键流流程中存存在适当当的职权权分离。四、风险险1公司缺缺乏可遵遵循的信信息安全全管理政政策，信信息安全全管理不不规范，增增加信息息安全隐隐患。2 缺乏乏必要的的物理访访问及逻逻辑访问问管理机机制，导导致对信信息资源源的未经经授权的的访问, 非法法修改系系统数据据。3对添加加、修改改、

5、删除除用户未未经过管管理层授授权，离离职员工工帐号未未及时在在系统中中删除，导导致对系系统及数数据未经经授权或或不适当当访问。4对系统统或数据据非法和和不适当当的访问问不能被被及时发发现。5系统的的权限分分配与业业务部门门授权确确定的职职责分工工要求不不符。五、相关关会计科科目所有会计科科目。六、流程程概述1 信息安全管管理省公司在组组织中建建立了信信息安全全职能，并并制定相相应的组组织结构构图及部部门、人人员职责责描述文文档。省公司制定定了正式式并经过过管理层层批准的的信息安安全政策策，范围围包括所所有与生生成财务务报告的的程序和和数据相相关的信信息技术术环境（例例如网络络安全、物物理安全全

6、、操作作系统安安全、应应用程序序安全等等方面）。用用户和信信息技术术人员都都应知晓晓本公司司的信息息安全政政策。2 用户帐号的的管理2.1 超级级用户帐帐号的管管理网络管理员员用户帐帐号的使使用仅限限于经授授权人员员,这类类用户帐帐号的授授权须经经网络维维护部门门领导的的书面授授权审批批。在网络管理理员工作作调动或或离职等等工作职职能发生生变化时时，由人人力资源源部门正正式以书书面方式式及时通通知相关关的网络络维护部部门，由由系统管管理员更更新或删删除其相相应的访访问权限限。2.2 用户户帐号访访问权限限的定期期审阅网络维护部部门主管管人员或或业务部部门对网网络管理理员帐号号和访问问权限进进行

7、每半半年审阅阅，以发发现任何何不合适适的访问问权限。发发现的问问题要及及时跟进进解决。审审阅结果果留下书书面记录录。网络维护部部门主管管人员每每半年对对机房访访问权限限清单进进行审阅阅，如果果发现不不恰当用用户的存存在及时时通知机机房管理理人员取取消相应应用户的的授权。3 信息系统的的的逻辑辑访问和和物理访访问对网络管理理员的管管理访问问采用身身份验证证机制，对对网络设设备的管管理访问问必须使使用用户户名和密密码，而而且每个个网络管管理员帐帐号被授授予唯一一的网络络管理员员。如果果由于系系统限制制存在网网络管理理员帐号号共享，其其密码在在其中任任一管理理员离职职时及时时更改，以以防止非非法访问

8、问。网络维护部部门对网网络管理理员帐号号的密码码制定密密码政策策，以避避免用户户使用安安全级别别低的密密码。密密码政策策包括: 用户户密码长长度位数数规定，密密码应定定期更新新。对于于使用密密钥棒或或动态密密码卡的的网络设设备，需需要配合合使用由由用户掌掌握的PPIN码码。网络管理员员负责每每周检查查网络安安全日志志记录，发发现异常常现象应应及时跟跟进或上上报。网络设备等等硬件设设备存放放在安全全的机房房中，所所有出入入口均具具备电子子门禁系系统或门门锁的保保护。只只有经过过授权的的人员可可对存放放有与财财务报表表相关的的网络机机房和设设备进行行物理访访问。所所有对机机房的访访问授权权需经网网

9、络维护护部门主主管书面面审批。非非授权人人员出入入机房必必须由机机房工作作人员陪陪同。人人员进出出机房会会在机房房门禁系系统或机机房进出出登记记记录中留留下记录录。公司在内部部网络与与互联网网或其他他外部网网络的网网络连接接处安装装防火墙墙，以防防止对公公司内部部网络的的非法访访问。只只有指定定的网络络管理员员才能拥拥有防火火墙管理理帐号，并并进行防防火墙规规则的更更改。七、信息技技术控制制点信息技术控控制点监督检查方方法1 信息安全管管理HN.A.1.11.1省省公司在在组织中中建立了了信息安安全职能能，具有有信息安安全管理理的工作作职责。检查组织结结构图及及部门、人人员职责责描述文文档。H

10、N.A.1.11.2省省公司制制定了正正式并经经过管理理层批准准的信息息安全政政策，为为信息技技术环境境，包括括应用程程序、数数据库和和信息技技术基础础设施的的信息安安全提供供指南。用用户和信信息技术术人员都都应知晓晓本公司司的信息息安全政政策。检查信息安安全政策策,访谈谈用户是是否知晓晓本公司司的信息息安全政政策。2 用户帐号的的管理2.1 超超级用户户帐号的的管理HN.A.1.22.1网网络管理理员用户户帐号的的使用仅仅限于经经授权人人员。这这些用户户帐号的的授权须须经网络络维护部部门的主主管人员员的书面面授权审审批。检查网络管管理员帐帐号清单单，检查查系统管管理员帐帐号的审审批文件件。H

11、N.A.1.22.2在在网络管管理员工工作调动动或离职职等工作作职能发发生变化化时，及及时由人人力资源源部门正正式以书书面方式式通知相相关的网网络维护护部门，由由系统管管理员更更新或删删除其相相应的访访问权限限。抽查人员变变更的书书面通知知，检查查离职人人员的帐帐号是否否已完全全删除。2.2用户户帐号访访问权限限的定期期审阅HN.A.1.22.3网网络维护护部门主主管人员员对网络络管理员员帐号和和访问权权限每半半年进行行审阅，以以发现任任何不合合适的系系统访问问权限。发发现的问问题及时时跟进解解决。检查审阅书书面记录录。HN.A.1.22.4网网络维护护部门主主管人员员每半年年对机房房访问权权

12、限清单单进行审审阅，如如果发现现不恰当当用户的的存在，则则及时通通知机房房管理人人员取消消相应用用户的授授权。检查审阅书书面记录录。3 信息系统的的的逻辑辑访问和和物理访访问HN.A.1.33.1对对网络管管理员的的管理访访问采用用身份验验证机制制，对网网络设备备的管理理访问必必须使用用用户名名和密码码，而且且每个网网络管理理员帐号号被授予予唯一的的网络管管理员。如如果由于于系统限限制存在在网络管管理员帐帐号共享享，其密密码在其其中任一一管理员员离职时时及时更更改，以以防止非非法访问问。观察系统登登陆过程程。检查管理员员用户离离职时的的密码修修改记录录。HN.A.1.33.2网网络维护护部门对

13、对网络管管理员帐帐号的密密码制定定密码政政策，以以避免用用户使用用安全级级别低的的密码。密密码政策策包括: 用户密码长长度不得得低于66位 密码应至少少每900天进行行更新对于使用密密钥棒或或动态密密码卡的的系统，需需要配合合使用由由用户掌掌握的PPIN码码。观察网络设设备的密密码配置置。HN.A.1.33.3网网络管理理员负责责每周检检查网络络安全日日志记录录，发现现异常现现象应及及时跟进进或上报报。检查网络管管理员对对网络安安全日志志检查的的书面记记录。HN.A.1.33.4网网络设备备等硬件件设备存存放在安安全的机机房中。所所有出入入口均具具备电子子门禁系系统或门门锁的保保护。人人员进出

14、出机房会会在机房房门禁系系统或机机房进出出登记记记录中留留下记录录。观察机房安安全措施施。检查人员进进出机房房的记录录。HN.A.1.33.5只只有经过过授权的的人员可可对存放放网络设设备的机机房和设设备进行行物理访访问。对对机房的的访问授授权需经经网络维维护部门门主管人人员审批批。非授授权人员员出入机机房必须须由机房房工作人人员陪同同。检查机房访访问清单单和机房房访问授授权单。HN.A.1.33.6公公司在内内部网络络与互联联网或其其他外部部网络的的网络连连接处安安装防火火墙，以以防止对对公司内内部网络络的非法法访问。检查网络拓拓扑图，检检查防火火墙规则则设置。HN.A.1.33.7只只有指

15、定定的网络络管理员员才能拥拥有防火火墙管理理帐号，并并进行防防火墙规规则的更更改。检查防火墙墙管理帐帐号列表表，检查查防火墙墙管理人人员名单单。八、主要控控制点的的相关文文件1网络络访问申申请表2员工工工作调调动/离离职通知知单3网络络管理员员（网络络设备及及防火墙墙）帐号号申请表表4网络络管理员员帐号/权限检检查表5机房房访问权权限检查查表6网络络安全日日志检查查表7机房房进出登登记簿8 机房访问权权限申请请表九、相关制制度和备备查文件件 1 少少人无人人值守机机房管理理要求（试试行）1.2承承载网一、业务务流程范范围1所涉及及的业务务范围逻辑安全和和物理安安全、用用户帐号号的添加加、修改改

16、及删除除控制、用用户帐号号的定期期审阅、职职责分工工控制。2所涉及及的部门门范围运行维护部部门、计计费帐务务部门、市市场部门门。二、所涉涉及的计计算机系系统小灵通程控控交换机机和汇接接局程控控交换机机以及网网管终端端。三、目标标1对于与与财务报报告相关关的信息息，公司司应制定定相关的的信息安安全管理理政策并并使员工工意识到到公司对对信息安安全重要要性的重重视。2对公司司信息技技术资源源的物理理访问及及逻辑访访问已建建立起通通过用户户身份的的识别，认认证及授授权的管管理机制制，以降降低由于于对系统统及数据据的未经经授权的的访问所所带来的的风险。3建立相相关流程程以确保保用户添添加、修修改、删删除

17、都经经过管理理层授权权，及相相关操作作的准确确性和及及时性。 4确保定定期对系系统中用用户的访访问权限限进行审审阅，以以减少未未经授权权或不适适当的对对系统或或数据进进行访问问而带来来的风险险。5 确保在在关键流流程中存存在适当当的职权权分离。四、风险险1公司缺缺乏可遵遵循的信信息安全全管理政政策，信信息安全全管理不不规范，增增加信息息安全隐隐患。2缺乏必必要的物物理访问问及逻辑辑访问管管理机制制，导致致对信息息资源的的未经授授权的访访问, 非法修修改系统统数据。3对添加加、修改改、删除除用户未未经过管管理层授授权，离离职员工工帐号未未及时在在系统中中删除，导导致对系系统及数数据未经经授权或或

18、不适当当访问。4对系统统或数据据非法和和不适当当的访问问不能被被及时发发现。5系统的的权限分分配与业业务部门门授权确确定的职职责分工工要求不不符。五、相关关会计科科目收入类科目目。六、流程程概述1 信息息安全管管理省公司按照照信息产产业部或或集团公公司的相相关规定定和标准准，对承承载网的的计费相相关设备备进行定定期检查查并保留留书面的的检查记记录，严严格确保保交换网网的设备备安全。2 用户户帐号的的管理2.1 超级用户户帐号的的管理承载网的交交换机及及网管终终端的管管理员帐帐号的使使用仅限限于经严严格认证证的授权权人员。管管理员帐帐号的授授权经运运行维护护部门及及相关各各级主管管人员的的书面审

19、审批。授授权审批批文档集集中归档档。对管理员帐帐号在承承载网的的设备及及管理终终端的访访问及操操作要记记录并保保留日志志，并由由运行维维护部门门主管人人员每周周审阅。在管理员工工作调动动或离职职等工作作职能发发生变化化时，及及时由人人力资源源部门正正式以书书面方式式通知运运行维护护部门，按按照承载载网管理理员帐号号的管理理流程，由由系统管管理员更更新或删删除其相相应的访访问权限限。2.2 用户帐帐号访问问权限的的定期审审阅运行维护部部门主管管人员每每半年对对承载网网的管理理员帐号号进行审审阅，以以发现任任何不合合适的管管理员访访问权限限。发现现的问题题要及时时跟进解解决。审审阅结果果留下书书面

20、记录录。运行维护部部门主管管人员每每半年对对电信机机房的访访问权限限清单进进行审阅阅，如果果发现不不恰当用用户的存存在及时时通知机机房管理理人员取取消相应应用户的的授权。3 信息息系统的的的逻辑辑访问和和物理访访问对承载网管管理员帐帐号的访访问采用用身份验验证机制制，对网网管终端端的访问问必须使使用用户户名和密密码，而而且每个个承载网网管理员员帐号被被授予唯唯一的维维护管理理人员。如如果由于于系统限限制存在在管理员员帐号共共享，其其密码在在其中任任一管理理员离职职时及时时更改，以以防止非非法访问问。按照省公司司对访问问承载网网的网管管终端的的相关规规定，对对承载网网的管理理软件固固化相应应的密

21、码码政策设设置，以以确保用用户使用用安全级级别高的的密码。密密码政策策包括: 用户户密码长长度最低低位数的的规定，密密码定期期更换的的规定，不不得使用用最近的的密码。运运行维护护部门管管理人员员定期审审核承载载网的交交换机以以及网管管终端（包包括操作作系统和和专用管管理软件件）的安安全日志志记录，识识别潜在在的违规规，如发发现安全全问题按按照相关关的管理理规定及及时上报报。承载网的承承载网的的交换机机以及网网管终端端等硬件件设备必必须存放放在符合合信息产产业部、集集团公司司及省公公司制定定的安全全标准的的机房中中。所有有出入口口均具备备电子门门禁系统统或门锁锁的保护护。人员员进出机机房时在在机

22、房门门禁系统统或机房房进出登登记簿中中留下记记录。只有经过授授权的人人员可对对存放有有承载网网的交换换机以及及网管终终端等设设备的电电信机房房和设备备进行物物理访问问。对电电信机房房的访问问授权经经过各级级相关部部门主管管人员的的书面审审批。按照相关规规定及安安全标准准，对电电信机房房进行严严格的环环境监控控（如224小时时闭路电电视监控控、防盗盗监控系系统等），以以及时发发现对电电信机房房未经授授权的访访问并进进行处理理。监控控系统必必须留下下环境监监控的记记录。承载网的交交换机以以及网管管终端必必须确保保与外网网/公网网的隔离离，并通通过网络络安全控控制手段段阻止内内网的不不适当访访问。4

23、 职责责分工按照相关的的规定，对对维护承承载网的的计费相相关设备备的维护护管理员员，特别别是具有有访问管管理终端端权限的的维护管管理员，必必须遵循循严格的的职责分分工。按按照相关关的规定定，实行行多级的的管理权权限划分分，对于于通话记记录(CCDR)数据的的访问仅仅限于有有最高安安全权限限的管理理员。七、信息息技术控控制点信息技术控控制点监督检查方方法1 信息安全管管理HN.B.1.11.1 省公司司按照信信息产业业部或集集团公司司的相关关规定和和标准，对对承载网网的计费费相关设设备进行行定期检检查并保保留书面面的检查查记录，严严格确保保交换网网的设备备安全。检查相关的的文件。2 用户帐号的的

24、管理2.1 超超级用户户帐号的的管理HN.B.1.22.1承承载网的的交换机机及网管管终端的的管理员员帐号的的使用仅仅限于经经严格认认证的授授权人员员。管理理员帐号号的授权权经运行行维护部部门及相相关各级级主管人人员的书书面审批批。授权权审批文文档集中中归档。检查承载网网管理员员帐号清清单，检检查承载载网管理理员帐号号的审批批文件。HN.B.1.22.2对对管理员员帐号在在承载网网的设备备及管理理终端的的访问及及操作要要记录并并保留日日志，并并由运行行维护部部门主管管人员每每周审阅阅。检查审阅书书面记录录。HN.B.1.22.3在在管理员员工作调调动或离离职等工工作职能能发生变变化时，及及时由

25、人人力资源源部门正正式以书书面方式式通知运运行维护护部门，按按照承载载网管理理员帐号号的管理理流程，由由系统管管理员更更新或删删除其相相应的访访问权限限。抽查人员变变更的书书面通知知，检查查离职人人员的帐帐号是否否已完全全删除。检查管理员员用户离离职时的的密码修修改记录录。2.2用户户帐号访访问权限限的定期期审阅HN.B.1.22.4运运行维护护部门主主管人员员每半年年对承载载网的管管理员帐帐号进行行审阅，以发现现任何不不合适的的管理员员访问权权限。发发现的问问题要及及时跟进进解决。审阅结果留下书面记录。检查审阅书书面记录录。HN.B.1.22.5运运行维护护部门主主管人员员每半年年对电信信机

26、房的的访问权权限清单单进行审审阅，如如果发现现不恰当当用户的的存在及及时通知知机房管管理人员员取消相相应用户户的授权权。检查审阅书书面记录录。3 信息系统的的的逻辑辑访问和和物理访访问HN.B.1.33.1对对承载网网管理员员帐号的的访问采采用身份份验证机机制，对对网管终终端的访问必必须使用用用户名名和密码码，而且且每个承承载网管管理员帐帐号被授授予唯一一的维护护管理人人员。如如果由于于系统限限制存在在管理员员帐号共共享，其其密码在在其中任任一管理理员离职职时及时时更改，以以防止非非法访问问。观察系统登登陆过程程。HN.B.1.33.2按按照省公公司对访访问承载载网的网网管终端端的相关关规定，

27、对对承载网网的管理理软件固固化相应应的密码码政策设设置，以以确保用用户使用用安全级级别高的的密码。密码政策包括: 用户密码长长度不得得低于66位 密码应至少少每900天进行行更新 不得使用最最近的密密码检查网管终终端的密密码设置置。HN.B.1.33.3运运行维护护部门管管理人员员每周审审核承载载网的交交换机以以及网管管终端（包包括操作作系统和和专用管管理软件件）的安安全日志志记录，识识别潜在在的违规规，如发发现安全全问题按按照相关关的管理理规定及及时上报报。检查管理人人员对安安全日志志检查的的书面记记录。HN.B.1.33.4承承载网上上交换机机以及网网管终端端等硬件件设备必必须存放放在符合

28、合信息产产业部、集集团公司司及省公公司制定定的安全全标准的的机房中中。所有有出入口口均具备备电子门门禁系统统或门锁锁的保护护。人员员进出机机房会在在机房门门禁系统统或机房房进出登登记记录录中留下下记录。观察机房安安全措施施、检查查人员进进出机房房的记录录。HN.B.1.33.5只只有经过过授权的的人员可可对存放放有承载载网的交交换机以以及网管管终端等等设备的的电信机机房和设设备进行行物理访访问。对对电信机机房的访访问授权权经过各各级相关关部门主主管人员员的书面面审批。检查机房访访问清单单和机房房访问授授权单。HN.B.1.33.6按按照相关关规定及及安全标标准，对对电信机机房进行行严格的的环境

29、监监控（如如24小小时闭路路电视监监控、防防盗监控控系统等等），以以及时发发现对电电信机房房的未经经授权的的访问并并进行处处理。监监控系统统必须留留下环境境监控的的记录。检查环境监监控记录录。HN.B.1.33.7承承载网的的交换机机以及网网管终端端必须确确保与外外网/公公网的隔隔离，并并通过网网络安全全控制手手段阻止止内网的的不适当当访问。检查网络拓拓扑图。4 职责分工HN.B.1.44.1按按照相关关的规定定，对维维护承载载网上计计费相关关设备的的维护管管理员，特特别是具具有访问问管理终终端的权权限的维维护管理理员，必必须遵循循严格的的职责分分工。按按照相关关的规定定，实行行多级的的管理权

30、权限划分分，对于于通话记记录(CCDR)数据的的访问仅仅限于经经授权人人员。检查权限分分配名单单。八、主要控控制点的的相关文文件1承载载网管理理员岗位位授权书书2承载载网管理理员认证证3承载载网管理理员操作作日志审审阅表4员工工工作调调动/离离职通知知单5承载载网管理理员帐号号/权限限检查表表6电信信机房访访问权限限检查表表7承载载网安全全日志检检查表8电信信机房进进出登记记簿9电信信机房访访问权限限申请表表10电信信机房环环境监控控日志11承载载网管理理员权限限分配方方案九、相关制制度和备备查文件件1 少人无人值值守机房房管理要要求（试试行）1.3智智能网一、业务务流程范范围1所涉及及的业务

31、务范围逻辑安全和和物理安安全、用用户帐号号的添加加、修改改及删除除控制、用用户帐号号的定期期审阅、职职责分工工控制。2所涉及及的部门门范围市场部门、计计费部门门、运行行维护部部门。二、所涉涉及的计计算机系系统智能网（综综合信息息平台,SP网网关,贝贝尔平台台(电话话卡计费费),固固网短信信平台）。三、目标标1对于与与财务报报告相关关的信息息，公司司应制定定相关的的信息安安全管理理政策并并使员工工意识到到信息安安全的重重要性。2对公司司信息技技术资源源的物理理访问及及逻辑访访问已建建立起通通过用户户身份的的识别，认认证及授授权的管管理机制制，以降降低由于于对系统统及数据据未经授授权的访访问所带带

32、来的风风险。3建立相相关流程程以确保保用户添添加、修修改、删删除都经经过管理理层授权权，及相相关操作作的准确确性和及及时性。 4确保定定期对系系统中用用户的访访问权限限进行审审阅，以以减少未未经授权权或不适适当的对对系统或或数据进进行访问问而带来来的风险险。5 确保在关键键流程中中存在适适当的职职权分离离。四、风险险1公司缺缺乏可遵遵循的信信息安全全管理政政策，信信息安全全管理不不规范，增增加信息息安全隐隐患。2缺乏必必要的物物理访问问及逻辑辑访问管管理机制制，导致致对信息息资源未未经授权权的访问问, 非非法修改改系统数数据。3对添加加、修改改、删除除用户未未经过管管理层授授权，离离职员工工帐

33、号未未及时在在系统中中删除，导导致对系系统及数数据未经经授权或或不适当当访问。4对系统统或数据据非法和和不适当当的访问问不能被被及时发发现。5系统的的权限分分配与业业务部门门授权确确定的职职责分工工要求不不符。五、相关关会计科科目收入类科目目。六、流程程概述1 信息息安全管管理参见网络基基础设施施中本章章节。2 用户户帐号的的管理2.1 用户帐帐号的添添加、修修改及删删除控制制省公司建立立了用户户及其权权限设置置的管理理流程，对对智能网网系统的的用户创创建和授授权必须须通过业业务部门门主管人人员审批批后，方方可由系系统管理理员在系系统中创创建用户户帐号，以以避免未未经授权权帐号及及权限的的创建

34、或或修改。在员工工作作调动或或离职等等工作职职能发生生变化时时，由人人力资源源部门或或相关业业务部门门及时正正式书面面通知系系统维护护部门，由由系统管管理员更更新或删删除其相相应的访访问权限限。2.2 超级用户户帐号的的管理以下各超级级用户帐帐号/特特权功能能用户帐帐号的使使用仅限限于经授授权人员员： 操作系统的的超级用用户帐号号 (比比如rooot用用户，系系统管理理员，安安全管理理员帐号号，批处处理用户户帐号)。 帐号数据库库的超级级用户帐帐号（比比如数据据库管理理员）。 帐号智能网网系统的的特权功功能用户户帐号（例例如具有有增加/变更/删除用用户等权权限）。以上用户帐帐号的授授权须经经系

35、统维维护部门门主管人人员或相相关业务务部门主主管人员员的书面面审批。智能网系统统的管理理账号（包包括操作作系统、数数据库和和应用程程序层面面）如果果由于系系统限制制存在共共享，其其密码在在其中任任一管理理员离职职时需及及时更改改，以防防止非法法访问。2.3 用户帐帐号访问问权限的的定期审审阅系统维护部部门主管管人员或或业务部部门对智智能网系系统的用用户帐号号和用户户访问权权限进行行每半年年审阅，以以发现任任何不合合适的系系统访问问权限。发发现的问问题要及及时跟进进解决。审审阅结果果留下书书面记录录。帐号系统维维护部门门主管人人员每半半年对机机房访问问权限清清单进行行审阅，如如果发现现存在不不适

36、当用用户及时时通知机机房管理理人员取取消相应应用户的的授权。3 信息息系统的的逻辑访访问和物物理访问问在智能网系系统中采采用用户户身份的的验证机机制，对对智能网网系统的的访问必必须使用用用户名名和密码码，而且且每个用用户帐号号被授予予唯一的的用户。系统维护部部门对访访问智能能网系统统（包括括操作系系统、数数据库和和应用程程序层面面）的用用户（含含超级用用户）制制定密码码政策，并并根据密密码政策策在系统统固化相相应的设设置，以以避免用用户使用用安全级级别低的的密码。密密码政策策应包括括:用户密密码长度度最低位位数的规规定，密密码定期期更换的的规定，不不得使用用最近的的密码。对对于使用用密钥棒棒或

37、动态态密码卡卡的系统统，需要要配合使使用由用用户掌握握的PIIN码。系统管理员员负责每每周检查查智能网网系统应应用程序序、操作作系统和和数据库库层面安安全日志志记录（含含对于重重要的数数据增、删删、改操操作），发发现异常常现象应应及时跟跟进或上上报。安装智能网网系统应应用程序序、操作作系统和和数据库库的硬件件设备存存放在安安全的机机房中。所所有出入入口均具具备电子子门禁系系统或门门锁的保保护。只只有经授授权的人人员可对对存放智智能网系系统设备备的计算算机机房房和设备备进行物物理访问问。对机机房的访访问授权权须经系系统维护护部门主主管书面面审批。非非授权人人员出入入机房必必须由机机房工作作人员陪

38、陪同。人人员进出出机房会会在机房房门禁系系统或机机房进出出日志中中留下记记录。4 职责责分工在智能网系系统中创创立新用用户角色色或对用用户组(或用户户)角色色定义进进行修改改时，根根据业务务部门或或相关管管理部门门对用户户角色权权限的审审批结果果进行设设定。公公司通过过不同工工作岗位位对于系系统资源源访问的的限制来来达到不不相容职职责分工工的目的的。内审或者用用户部门门每半年年检查智智能网系系统的用用户角色色或用户户组的权权限设定定,确保保合理的的职责分分工。如如发现权权限分配配的问题题，应及及时跟进进解决。七、信息技技术控制制点信息技术控控制点监督检查方方法1 信息安全管管理参见网络基基础设

39、施施中本章章节。2 用用户帐号号的管理理2.1 用用户帐号号的添加加、修改改及删除除控制HN.C.1.22.1省省公司建建立了用用户及其其权限设设置的管管理流程程，对智智能网系系统的用用户创建建和授权权必须通通过业务务部门主主管审批批后，方方可由相相关的系系统管理理员在系系统中创创建用户户帐号。检查用户及及其权限限设置的的管理流流程, 抽查用用户创建建和授权权的审批批文件。HN.C.1.22.2在在员工工工作调动动或离职职等工作作职能发发生变化化时，及及时由人人力资源源部门或或相关业业务部门门正式以以书面方方式通知知系统维维护部门门，由系系统管理理员更新新或删除除其相应应的访问问权限。抽查人员

40、访访问权限限的删除除书面通通知，检检查离职职用户帐帐号是否否已完全全删除。2.2 超超级用户户帐号的的管理HN.C.1.22.3智智能网系系统的操操作系统统管理帐帐号仅限限于经授授权的系系统管理理员，其其帐号须须经系统统维护部部门主管管的书面面授权审审批。检查系统管管理帐号号清单，检检查系统统管理员员帐号的的审批文文件。HN.C.1.22.4智智能网系系统数据据库的管管理帐号号仅限于于经授权权的数据据库管理理员，其其帐号须须经系统统维护部部门主管管的书面面授权审审批。 检查数据库库管理帐帐号清单单，检查查数据库库管理员员帐号的的审批文文件。HN.C.1.22.5智智能网系系统的特特权用户户（例

41、如如具有增增加/变变更/删删除用户户等权限限）仅限限于经授授权的系系统管理理人员，其其帐号须须经系统统维护部部门主管管或相关关业务部部门主管管的书面面授权审审批。检查特权用用户管理理帐号清清单，检检查特权权用户管管理员帐帐号的审审批文件件。HN.C.1.22.6 智能网网系统的的管理账账号（包包括操作作系统、数数据库和和应用程程序层面面）如果果由于系系统限制制存在共共享，其其密码在在其中任任一管理理员离职职时需及及时更改改，以防防止非法法访问。检查管理员员用户离离职时的的密码修修改记录录。2.3用户户帐号访访问权限限的定期期审阅HN.C.1.22.7系系统维护护部门主主管或业业务部门门对智能能

42、网系统统的用户户帐号和和用户访访问权限限进行每每半年审审阅，以以发现任任何不合合适的系系统访问问权限，并并及时跟跟进解决决。检查审阅书书面记录录。HN.C.1.22.8系系统维护护部门主主管人员员每半年年对机房房访问权权限清单单进行审审阅，若若发现存存在不合合适的用用户，及及时通知知机房管管理人员员取消其其相应的的授权。检查审阅书书面记录录。3 信息息系统的的的逻辑辑访问和和物理访访问HN.C.1.33.1在在智能网网系统中中采用用用户身份份的验证证机制，对对智能网网系统的的访问必必须使用用用户名名和密码码，而且且每个用用户帐号号被授予予唯一的的用户。观察系统登登陆过程程。HN.C.1.33.

43、2系系统维护护部门对对访问智智能网系系统（包包括操作作系统、数数据库和和应用程程序层面面）的用用户（含含超级用用户）制制定密码码政策，并并根据密密码政策策在系统统中固化化相应的的设置，以以避免用用户使用用安全级级别低的的密码。密密码政策策具体包包括: 用户密码长长度不得得低于66位 密码应至少少每900天进行行更新 不得使用最最近的密密码对于使用密密钥棒或或动态密密码卡的的系统，需需要配合合使用由由用户掌掌握的PPIN码码。观察系统密密码设置置。HN.C.1.33.3系系统管理理员负责责每周检检查智能能网系统统应用程程序、操操作系统统和数据据库层面面安全日日志记录录（含对对于重要要的数据据增、

44、删删、改操操作），发发现异常常现象及及时跟进进或上报报。检查系统安安全日志志记录和和定期检检查的记记录。HN.C.1.33.4安安装智能能网系统统应用程程序、操操作系统统和数据据库的硬硬件设备备存放在在安全的的机房中中。所有有出入口口均具备备电子门门禁系统统或门锁锁的保护护。人员员进出机机房会在在机房门门禁系统统或机房房进出日日志中留留下记录录。观察机房安安全措施施、检查查人员进进出机房房的记录录。HN.C.1.33.5只只有经授授权的人人员可对对存放智智能网系系统设备备的计算算机机房房和设备备进行物物理访问问。对机机房的访访问授权权须经系系统维护护部门主主管人员员书面审审批。非非授权人人员出

45、入入机房必必须由机机房工作作人员陪陪同。检查机房访访问清单单和机房房访问授授权单。4 职责分分工HN.C.1.44.1在在智能网网系统中中创立新新用户角角色或对对用户组组(或用用户)角角色定义义进行修修改时，根根据用户户部门或或相关业业务部门门对用户户角色权权限的审审批结果果进行设设定。公公司通过过不同工工作岗位位对于系系统资源源访问的的限制来来达到不不相容职职责分工工的目的的。检查用户权权限审批批文件，观观察系统统用户权权限配置置。HN.C.1.44.2内内审或者者用户部部门每半半年检查查系统的的用户角角色或用用户组的的权限设设定, 确保合合理的职职责分工工。发现现问题及及时跟进进解决。检查

46、职责分分工的检检查记录录。八、主要控控制点的的相关文文件1用户户（组）创创建及系系统访问问权限申申请表2员工工工作调调动/离离职通知知单3系统统管理员员（操作作系统/数据库库）帐号号申请表表4系统统特权用用户帐号号申请表表5系统统帐号/权限检检查表6机房房访问权权限检查查表7系统统安全日日志检查查表8机房房进出登登记簿9机房房访问权权限申请请表10系统统用户（组组）权限限分配审审阅报告告11 职责分工检检查报告告九、相关制制度和备备查文件件1 少少人无人人值守机机房管理理要求（试试行）1.4大大客户管管理系统统一、业务务流程范范围1所涉及及的业务务范围逻辑安全和和物理安安全、用用户帐号号的添加加、修改改及删除除控制、用用户帐号号的定期期审阅、职职责分工工控制。