海南省电信公司内部控制手册10644.docx

《海南省电信公司内部控制手册10644.docx》由会员分享，可在线阅读，更多相关《海南省电信公司内部控制手册10644.docx（220页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、海南省电信信有限公司司内部控制手手册实施细细则中册目录1对程序序和数据的的访问11.1网网络基础设设施11.2承承载网71.3智智能网131.4大大客户管理理系统201.5营营业受理系系统271.6计计费帐务系系统341.7客客户服务系系统411.8财财务管理系系统481.9计计划建设管管理系统541.10 省级综综合结算系系统601.11办公自动动化系统672程序变变更管理742.1网网络基础设设施742.2承承载网782.3智智能网822.4大大客户管理理系统872.5营营业受理系系统922.6计计费帐务系系统972.7客客户服务系系统1022.8财财务管理系系统1072.9计计划建设管管

2、理系统1122.10 省级综综合结算系系统1172.11办公自动动化系统1223程序开开发1274系统运运行1324.1网网络基础设设施1324.2承承载网1374.3智智能网1424.4大大客户管理理系统1474.5营营业受理系系统1524.6计计费帐务系系统1574.7客客户服务系系统1624.8财财务管理系系统1674.9计计划建设管管理系统1724.10省级综合合结算系统统1774.11办公自动动化系统1825最终用用户计算1871对程序序和数据的的访问1.1网网络基础设设施一、业务务流程范围围1所涉及及的业务范范围逻辑安全和和物理安全全、用户帐帐号的添加加、修改及及删除控制制、用户帐

3、帐号的定期期审阅、职职责分工控控制。2所涉及及的部门范范围所有部门。二、所涉涉及的计算算机系统所有在DCCN网上的的系统。三、目标标1对于与与财务报告告相关的信信息，公司司应制定相相关的信息息安全管理理政策并使使员工意识识到公司对对信息安全全重要性的的重视。2对公司司信息技术术资源的物物理访问及及逻辑访问问已建立起起通过用户户身份的识识别，认证证及授权的的管理机制制，以降低低由于对系系统及数据据的未经授授权的访问问所带来的的风险。3建立相相关流程以以确保用户户添加、修修改、删除除都经过管管理层授权权，及相关关操作的准准确性和及及时性。 4确保定定期对系统统中用户的的访问权限限进行审阅阅，以减少

4、少未经授权权或不适当当的对系统统或数据进进行访问而而带来的风风险。5确保在在关键流程程中存在适适当的职权权分离。四、风险险1公司缺缺乏可遵循循的信息安安全管理政政策，信息息安全管理理不规范，增增加信息安安全隐患。2 缺乏必必要的物理理访问及逻逻辑访问管管理机制，导导致对信息息资源的未未经授权的的访问, 非法修改改系统数据据。3对添加加、修改、删删除用户未未经过管理理层授权，离离职员工帐帐号未及时时在系统中中删除，导导致对系统统及数据未未经授权或或不适当访访问。4对系统统或数据非非法和不适适当的访问问不能被及及时发现。5系统的的权限分配配与业务部部门授权确确定的职责责分工要求求不符。五、相关关会

5、计科目目所有会计科科目。六、流程程概述1 信息安全管管理省公司在组组织中建立立了信息安安全职能，并并制定相应应的组织结结构图及部部门、人员员职责描述述文档。省公司制定定了正式并并经过管理理层批准的的信息安全全政策，范范围包括所所有与生成成财务报告告的程序和和数据相关关的信息技技术环境（例例如网络安安全、物理理安全、操操作系统安安全、应用用程序安全全等方面）。用用户和信息息技术人员员都应知晓晓本公司的的信息安全全政策。2 用户帐号的的管理2.1 超级用用户帐号的的管理网络管理员员用户帐号号的使用仅仅限于经授授权人员,这类用户户帐号的授授权须经网网络维护部部门领导的的书面授权权审批。在网络管理理员

6、工作调调动或离职职等工作职职能发生变变化时，由由人力资源源部门正式式以书面方方式及时通通知相关的的网络维护护部门，由由系统管理理员更新或或删除其相相应的访问问权限。2.2 用户帐帐号访问权权限的定期期审阅网络维护部部门主管人人员或业务务部门对网网络管理员员帐号和访访问权限进进行每半年年审阅，以以发现任何何不合适的的访问权限限。发现的的问题要及及时跟进解解决。审阅阅结果留下下书面记录录。网络维护部部门主管人人员每半年年对机房访访问权限清清单进行审审阅，如果果发现不恰恰当用户的的存在及时时通知机房房管理人员员取消相应应用户的授授权。3 信息系统的的的逻辑访访问和物理理访问对网络管理理员的管理理访问

7、采用用身份验证证机制，对对网络设备备的管理访访问必须使使用用户名名和密码，而而且每个网网络管理员员帐号被授授予唯一的的网络管理理员。如果果由于系统统限制存在在网络管理理员帐号共共享，其密密码在其中中任一管理理员离职时时及时更改改，以防止止非法访问问。网络维护部部门对网络络管理员帐帐号的密码码制定密码码政策，以以避免用户户使用安全全级别低的的密码。密密码政策包包括: 用户密密码长度位位数规定，密密码应定期期更新。对对于使用密密钥棒或动动态密码卡卡的网络设设备，需要要配合使用用由用户掌掌握的PIIN码。网络管理员员负责每周周检查网络络安全日志志记录，发发现异常现现象应及时时跟进或上上报。网络设备等

8、等硬件设备备存放在安安全的机房房中，所有有出入口均均具备电子子门禁系统统或门锁的的保护。只只有经过授授权的人员员可对存放放有与财务务报表相关关的网络机机房和设备备进行物理理访问。所所有对机房房的访问授授权需经网网络维护部部门主管书书面审批。非非授权人员员出入机房房必须由机机房工作人人员陪同。人人员进出机机房会在机机房门禁系系统或机房房进出登记记记录中留留下记录。公司在内部部网络与互互联网或其其他外部网网络的网络络连接处安安装防火墙墙，以防止止对公司内内部网络的的非法访问问。只有指指定的网络络管理员才才能拥有防防火墙管理理帐号，并并进行防火火墙规则的的更改。七、信息技技术控制点点信息技术控控制点

9、监督检查方方法1 信息安全管管理HN.A.1.1.1省公司司在组织中中建立了信信息安全职职能，具有有信息安全全管理的工工作职责。检查组织结结构图及部部门、人员员职责描述述文档。HN.A.1.1.2省公司司制定了正正式并经过过管理层批批准的信息息安全政策策，为信息息技术环境境，包括应应用程序、数数据库和信信息技术基基础设施的的信息安全全提供指南南。用户和和信息技术术人员都应应知晓本公公司的信息息安全政策策。检查信息安安全政策,访谈用户户是否知晓晓本公司的的信息安全全政策。2 用户帐号的的管理2.1 超超级用户帐帐号的管理理HN.A.1.2.1网络管管理员用户户帐号的使使用仅限于于经授权人人员。这

10、些些用户帐号号的授权须须经网络维维护部门的的主管人员员的书面授授权审批。检查网络管管理员帐号号清单，检检查系统管管理员帐号号的审批文文件。HN.A.1.2.2在网络络管理员工工作调动或或离职等工工作职能发发生变化时时，及时由由人力资源源部门正式式以书面方方式通知相相关的网络络维护部门门，由系统统管理员更更新或删除除其相应的的访问权限限。抽查人员变变更的书面面通知，检检查离职人人员的帐号号是否已完完全删除。2.2用户户帐号访问问权限的定定期审阅HN.A.1.2.3网络维维护部门主主管人员对对网络管理理员帐号和和访问权限限每半年进进行审阅，以以发现任何何不合适的的系统访问问权限。发发现的问题题及时

11、跟进进解决。检查审阅书书面记录。HN.A.1.2.4网络维维护部门主主管人员每每半年对机机房访问权权限清单进进行审阅，如如果发现不不恰当用户户的存在，则则及时通知知机房管理理人员取消消相应用户户的授权。检查审阅书书面记录。3 信息系统的的的逻辑访访问和物理理访问HN.A.1.3.1对网络络管理员的的管理访问问采用身份份验证机制制，对网络络设备的管管理访问必必须使用用用户名和密密码，而且且每个网络络管理员帐帐号被授予予唯一的网网络管理员员。如果由由于系统限限制存在网网络管理员员帐号共享享，其密码码在其中任任一管理员员离职时及及时更改，以以防止非法法访问。观察系统登登陆过程。检查管理员员用户离职职

12、时的密码码修改记录录。HN.A.1.3.2网络维维护部门对对网络管理理员帐号的的密码制定定密码政策策，以避免免用户使用用安全级别别低的密码码。密码政政策包括: 用户密码长长度不得低低于6位 密码应至少少每90天天进行更新新对于使用密密钥棒或动动态密码卡卡的系统，需需要配合使使用由用户户掌握的PPIN码。观察网络设设备的密码码配置。HN.A.1.3.3网络管理员员负责每周周检查网络络安全日志志记录，发发现异常现现象应及时时跟进或上上报。检查网络管管理员对网网络安全日日志检查的的书面记录录。HN.A.1.3.4网络设设备等硬件件设备存放放在安全的的机房中。所所有出入口口均具备电电子门禁系系统或门锁

13、锁的保护。人人员进出机机房会在机机房门禁系系统或机房房进出登记记记录中留留下记录。观察机房安安全措施。检查人员进进出机房的的记录。HN.A.1.3.5只有经经过授权的的人员可对对存放网络络设备的机机房和设备备进行物理理访问。对对机房的访访问授权需需经网络维维护部门主主管人员审审批。非授授权人员出出入机房必必须由机房房工作人员员陪同。检查机房访访问清单和和机房访问问授权单。HN.A.1.3.6公司在在内部网络络与互联网网或其他外外部网络的的网络连接接处安装防防火墙，以以防止对公公司内部网网络的非法法访问。检查网络拓拓扑图，检检查防火墙墙规则设置置。HN.A.1.3.7只有指指定的网络络管理员才才

14、能拥有防防火墙管理理帐号，并并进行防火火墙规则的的更改。检查防火墙墙管理帐号号列表，检检查防火墙墙管理人员员名单。八、主要控控制点的相相关文件1网络络访问申请请表2员工工工作调动动/离职通通知单3网络络管理员（网网络设备及及防火墙）帐帐号申请表表4网络络管理员帐帐号/权限限检查表5机房房访问权限限检查表6网络络安全日志志检查表7机房房进出登记记簿8 机房访问权权限申请表表九、相关制制度和备查查文件 1 少少人无人值值守机房管管理要求（试试行）1.2承承载网一、业务务流程范围围1所涉及及的业务范范围逻辑安全和和物理安全全、用户帐帐号的添加加、修改及及删除控制制、用户帐帐号的定期期审阅、职职责分工

15、控控制。2所涉及及的部门范范围运行维护部部门、计费费帐务部门门、市场部部门。二、所涉涉及的计算算机系统小灵通程控控交换机和和汇接局程程控交换机机以及网管管终端。三、目标标1对于与与财务报告告相关的信信息，公司司应制定相相关的信息息安全管理理政策并使使员工意识识到公司对对信息安全全重要性的的重视。2对公司司信息技术术资源的物物理访问及及逻辑访问问已建立起起通过用户户身份的识识别，认证证及授权的的管理机制制，以降低低由于对系系统及数据据的未经授授权的访问问所带来的的风险。3建立相相关流程以以确保用户户添加、修修改、删除除都经过管管理层授权权，及相关关操作的准准确性和及及时性。 4确保定定期对系统统

16、中用户的的访问权限限进行审阅阅，以减少少未经授权权或不适当当的对系统统或数据进进行访问而而带来的风风险。5 确保在关关键流程中中存在适当当的职权分分离。四、风险险1公司缺缺乏可遵循循的信息安安全管理政政策，信息息安全管理理不规范，增增加信息安安全隐患。2缺乏必必要的物理理访问及逻逻辑访问管管理机制，导导致对信息息资源的未未经授权的的访问, 非法修改改系统数据据。3对添加加、修改、删删除用户未未经过管理理层授权，离离职员工帐帐号未及时时在系统中中删除，导导致对系统统及数据未未经授权或或不适当访访问。4对系统统或数据非非法和不适适当的访问问不能被及及时发现。5系统的的权限分配配与业务部部门授权确确

17、定的职责责分工要求求不符。五、相关关会计科目目收入类科目目。六、流程程概述1 信息安安全管理省公司按照照信息产业业部或集团团公司的相相关规定和和标准，对对承载网的的计费相关关设备进行行定期检查查并保留书书面的检查查记录，严严格确保交交换网的设设备安全。2 用户户帐号的管管理2.1 超级用户帐帐号的管理理承载网的交交换机及网网管终端的的管理员帐帐号的使用用仅限于经经严格认证证的授权人人员。管理理员帐号的的授权经运运行维护部部门及相关关各级主管管人员的书书面审批。授授权审批文文档集中归归档。对管理员帐帐号在承载载网的设备备及管理终终端的访问问及操作要要记录并保保留日志，并并由运行维维护部门主主管人

18、员每每周审阅。在管理员工工作调动或或离职等工工作职能发发生变化时时，及时由由人力资源源部门正式式以书面方方式通知运运行维护部部门，按照照承载网管管理员帐号号的管理流流程，由系系统管理员员更新或删删除其相应应的访问权权限。2.2 用户帐号号访问权限限的定期审审阅运行维护部部门主管人人员每半年年对承载网网的管理员员帐号进行行审阅，以以发现任何何不合适的的管理员访访问权限。发发现的问题题要及时跟跟进解决。审审阅结果留留下书面记记录。运行维护部部门主管人人员每半年年对电信机机房的访问问权限清单单进行审阅阅，如果发发现不恰当当用户的存存在及时通通知机房管管理人员取取消相应用用户的授权权。3 信息息系统的

19、的的逻辑访问问和物理访访问对承载网管管理员帐号号的访问采采用身份验验证机制，对对网管终端端的访问必必须使用用用户名和密密码，而且且每个承载载网管理员员帐号被授授予唯一的的维护管理理人员。如如果由于系系统限制存存在管理员员帐号共享享，其密码码在其中任任一管理员员离职时及及时更改，以以防止非法法访问。按照省公司司对访问承承载网的网网管终端的的相关规定定，对承载载网的管理理软件固化化相应的密密码政策设设置，以确确保用户使使用安全级级别高的密密码。密码码政策包括括: 用户密密码长度最最低位数的的规定，密密码定期更更换的规定定，不得使使用最近的的密码。运运行维护部部门管理人人员定期审审核承载网网的交换机

20、机以及网管管终端（包包括操作系系统和专用用管理软件件）的安全全日志记录录，识别潜潜在的违规规，如发现现安全问题题按照相关关的管理规规定及时上上报。承载网的承承载网的交交换机以及及网管终端端等硬件设设备必须存存放在符合合信息产业业部、集团团公司及省省公司制定定的安全标标准的机房房中。所有有出入口均均具备电子子门禁系统统或门锁的的保护。人人员进出机机房时在机机房门禁系系统或机房房进出登记记簿中留下下记录。只有经过授授权的人员员可对存放放有承载网网的交换机机以及网管管终端等设设备的电信信机房和设设备进行物物理访问。对对电信机房房的访问授授权经过各各级相关部部门主管人人员的书面面审批。按照相关规规定及

21、安全全标准，对对电信机房房进行严格格的环境监监控（如224小时闭闭路电视监监控、防盗盗监控系统统等），以以及时发现现对电信机机房未经授授权的访问问并进行处处理。监控控系统必须须留下环境境监控的记记录。承载网的交交换机以及及网管终端端必须确保保与外网/公网的隔隔离，并通通过网络安安全控制手手段阻止内内网的不适适当访问。4 职责责分工按照相关的的规定，对对维护承载载网的计费费相关设备备的维护管管理员，特特别是具有有访问管理理终端权限限的维护管管理员，必必须遵循严严格的职责责分工。按按照相关的的规定，实实行多级的的管理权限限划分，对对于通话记记录(CDDR)数据据的访问仅仅限于有最最高安全权权限的管

22、理理员。七、信息息技术控制制点信息技术控控制点监督检查方方法1 信息安全管管理HN.B.1.1.1 省公公司按照信信息产业部部或集团公公司的相关关规定和标标准，对承承载网的计计费相关设设备进行定定期检查并并保留书面面的检查记记录，严格格确保交换换网的设备备安全。检查相关的的文件。2 用户帐号的的管理2.1 超超级用户帐帐号的管理理HN.B.1.2.1承载网网的交换机机及网管终终端的管理理员帐号的的使用仅限限于经严格格认证的授授权人员。管管理员帐号号的授权经经运行维护护部门及相相关各级主主管人员的的书面审批批。授权审审批文档集集中归档。检查承载网网管理员帐帐号清单，检检查承载网网管理员帐帐号的审

23、批批文件。HN.B.1.2.2对管理理员帐号在在承载网的的设备及管管理终端的的访问及操操作要记录录并保留日日志，并由由运行维护护部门主管管人员每周周审阅。检查审阅书书面记录。HN.B.1.2.3在管理理员工作调调动或离职职等工作职职能发生变变化时，及及时由人力力资源部门门正式以书书面方式通通知运行维维护部门，按按照承载网网管理员帐帐号的管理理流程，由由系统管理理员更新或或删除其相相应的访问问权限。抽查人员变变更的书面面通知，检检查离职人人员的帐号号是否已完完全删除。检查管理员员用户离职职时的密码码修改记录录。2.2用户户帐号访问问权限的定定期审阅HN.B.1.2.4运行维维护部门主主管人员每每

24、半年对承承载网的管管理员帐号号进行审阅阅，以发现任何何不合适的的管理员访访问权限。发发现的问题题要及时跟跟进解决。审阅结果留下书面记录。检查审阅书书面记录。HN.B.1.2.5运行维维护部门主主管人员每每半年对电电信机房的的访问权限限清单进行行审阅，如如果发现不不恰当用户户的存在及及时通知机机房管理人人员取消相相应用户的的授权。检查审阅书书面记录。3 信息系统的的的逻辑访访问和物理理访问HN.B.1.3.1对承载载网管理员员帐号的访访问采用身身份验证机机制，对网网管终端的的访问必须须使用用户户名和密码码，而且每每个承载网网管理员帐帐号被授予予唯一的维维护管理人人员。如果果由于系统统限制存在在管

25、理员帐帐号共享，其其密码在其其中任一管管理员离职职时及时更更改，以防防止非法访访问。观察系统登登陆过程。HN.B.1.3.2按照省省公司对访访问承载网网的网管终终端的相关关规定，对对承载网的的管理软件件固化相应应的密码政政策设置，以以确保用户户使用安全全级别高的的密码。密密码政策包包括: 用户密码长长度不得低低于6位 密码应至少少每90天天进行更新新 不得使用最最近的密码码检查网管终终端的密码码设置。HN.B.1.3.3运行维维护部门管管理人员每每周审核承承载网的交交换机以及及网管终端端（包括操操作系统和和专用管理理软件）的的安全日志志记录，识识别潜在的的违规，如如发现安全全问题按照照相关的管

26、管理规定及及时上报。检查管理人人员对安全全日志检查查的书面记记录。HN.B.1.3.4承载网网上交换机机以及网管管终端等硬硬件设备必必须存放在在符合信息息产业部、集集团公司及及省公司制制定的安全全标准的机机房中。所所有出入口口均具备电电子门禁系系统或门锁锁的保护。人人员进出机机房会在机机房门禁系系统或机房房进出登记记记录中留留下记录。观察机房安安全措施、检检查人员进进出机房的的记录。HN.B.1.3.5只有经经过授权的的人员可对对存放有承承载网的交交换机以及及网管终端端等设备的的电信机房房和设备进进行物理访访问。对电电信机房的的访问授权权经过各级级相关部门门主管人员员的书面审审批。检查机房访访

27、问清单和和机房访问问授权单。HN.B.1.3.6按照相相关规定及及安全标准准，对电信信机房进行行严格的环环境监控（如如24小时时闭路电视视监控、防防盗监控系系统等），以以及时发现现对电信机机房的未经经授权的访访问并进行行处理。监监控系统必必须留下环环境监控的的记录。检查环境监监控记录。HN.B.1.3.7承载网网的交换机机以及网管管终端必须须确保与外外网/公网网的隔离，并并通过网络络安全控制制手段阻止止内网的不不适当访问问。检查网络拓拓扑图。4 职责分工HN.B.1.4.1按照相相关的规定定，对维护护承载网上上计费相关关设备的维维护管理员员，特别是是具有访问问管理终端端的权限的的维护管理理员，

28、必须须遵循严格格的职责分分工。按照照相关的规规定，实行行多级的管管理权限划划分，对于于通话记录录(CDRR)数据的的访问仅限限于经授权权人员。检查权限分分配名单。八、主要控控制点的相相关文件1承载载网管理员员岗位授权权书2承载载网管理员员认证3承载载网管理员员操作日志志审阅表4员工工工作调动动/离职通通知单5承载载网管理员员帐号/权权限检查表表6电信信机房访问问权限检查查表7承载载网安全日日志检查表表8电信信机房进出出登记簿9电信信机房访问问权限申请请表10电信信机房环境境监控日志志11承载载网管理员员权限分配配方案九、相关制制度和备查查文件1 少人无人值值守机房管管理要求（试试行）1.3智智

29、能网一、业务务流程范围围1所涉及及的业务范范围逻辑安全和和物理安全全、用户帐帐号的添加加、修改及及删除控制制、用户帐帐号的定期期审阅、职职责分工控控制。2所涉及及的部门范范围市场部门、计计费部门、运运行维护部部门。二、所涉涉及的计算算机系统智能网（综综合信息平平台,SPP网关,贝贝尔平台(电话卡计计费),固固网短信平平台）。三、目标标1对于与与财务报告告相关的信信息，公司司应制定相相关的信息息安全管理理政策并使使员工意识识到信息安安全的重要要性。2对公司司信息技术术资源的物物理访问及及逻辑访问问已建立起起通过用户户身份的识识别，认证证及授权的的管理机制制，以降低低由于对系系统及数据据未经授权权

30、的访问所所带来的风风险。3建立相相关流程以以确保用户户添加、修修改、删除除都经过管管理层授权权，及相关关操作的准准确性和及及时性。 4确保定定期对系统统中用户的的访问权限限进行审阅阅，以减少少未经授权权或不适当当的对系统统或数据进进行访问而而带来的风风险。5 确保在关键键流程中存存在适当的的职权分离离。四、风险险1公司缺缺乏可遵循循的信息安安全管理政政策，信息息安全管理理不规范，增增加信息安安全隐患。2缺乏必必要的物理理访问及逻逻辑访问管管理机制，导导致对信息息资源未经经授权的访访问, 非非法修改系系统数据。3对添加加、修改、删删除用户未未经过管理理层授权，离离职员工帐帐号未及时时在系统中中删

31、除，导导致对系统统及数据未未经授权或或不适当访访问。4对系统统或数据非非法和不适适当的访问问不能被及及时发现。5系统的的权限分配配与业务部部门授权确确定的职责责分工要求求不符。五、相关关会计科目目收入类科目目。六、流程程概述1 信息安安全管理参见网络基基础设施中中本章节。2 用户户帐号的管管理2.1 用户帐号号的添加、修修改及删除除控制省公司建立立了用户及及其权限设设置的管理理流程，对对智能网系系统的用户户创建和授授权必须通通过业务部部门主管人人员审批后后，方可由由系统管理理员在系统统中创建用用户帐号，以以避免未经经授权帐号号及权限的的创建或修修改。在员工工作作调动或离离职等工作作职能发生生变

32、化时，由由人力资源源部门或相相关业务部部门及时正正式书面通通知系统维维护部门，由由系统管理理员更新或或删除其相相应的访问问权限。2.2 超级用户帐帐号的管理理以下各超级级用户帐号号/特权功功能用户帐帐号的使用用仅限于经经授权人员员： 操作系统的的超级用户户帐号 (比如rooot用户户，系统管管理员，安安全管理员员帐号，批批处理用户户帐号)。 帐号数据库库的超级用用户帐号（比比如数据库库管理员）。 帐号智能网网系统的特特权功能用用户帐号（例例如具有增增加/变更更/删除用用户等权限限）。以上用户帐帐号的授权权须经系统统维护部门门主管人员员或相关业业务部门主主管人员的的书面审批批。智能网系统统的管理

33、账账号（包括括操作系统统、数据库库和应用程程序层面）如如果由于系系统限制存存在共享，其其密码在其其中任一管管理员离职职时需及时时更改，以以防止非法法访问。2.3 用户帐号号访问权限限的定期审审阅系统维护部部门主管人人员或业务务部门对智智能网系统统的用户帐帐号和用户户访问权限限进行每半半年审阅，以以发现任何何不合适的的系统访问问权限。发发现的问题题要及时跟跟进解决。审审阅结果留留下书面记记录。帐号系统维维护部门主主管人员每每半年对机机房访问权权限清单进进行审阅，如如果发现存存在不适当当用户及时时通知机房房管理人员员取消相应应用户的授授权。3 信息息系统的逻逻辑访问和和物理访问问在智能网系系统中采

34、用用用户身份份的验证机机制，对智智能网系统统的访问必必须使用用用户名和密密码，而且且每个用户户帐号被授授予唯一的的用户。系统维护部部门对访问问智能网系系统（包括括操作系统统、数据库库和应用程程序层面）的用户（含超级用户）制定密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定，密码定期更换的规定，不得使用最近的密码。对于使用密钥棒或动态密码卡的系统，需要配合使用由用户掌握的PIN码。系统管理员员负责每周周检查智能能网系统应应用程序、操操作系统和和数据库层层面安全日日志记录（含含对于重要要的数据增增、删、改改操作），发发现异常现

35、现象应及时时跟进或上上报。安装智能网网系统应用用程序、操操作系统和和数据库的的硬件设备备存放在安安全的机房房中。所有有出入口均均具备电子子门禁系统统或门锁的的保护。只只有经授权权的人员可可对存放智智能网系统统设备的计计算机机房房和设备进进行物理访访问。对机机房的访问问授权须经经系统维护护部门主管管书面审批批。非授权权人员出入入机房必须须由机房工工作人员陪陪同。人员员进出机房房会在机房房门禁系统统或机房进进出日志中中留下记录录。4 职责责分工在智能网系系统中创立立新用户角角色或对用用户组(或或用户)角角色定义进进行修改时时，根据业业务部门或或相关管理理部门对用用户角色权权限的审批批结果进行行设定

36、。公公司通过不不同工作岗岗位对于系系统资源访访问的限制制来达到不不相容职责责分工的目目的。内审或者用用户部门每每半年检查查智能网系系统的用户户角色或用用户组的权权限设定,确保合理理的职责分分工。如发发现权限分分配的问题题，应及时时跟进解决决。七、信息技技术控制点点信息技术控控制点监督检查方方法1 信息安全管管理参见网络基基础设施中中本章节。2 用用户帐号的的管理2.1 用用户帐号的的添加、修修改及删除除控制HN.C.1.2.1省公司司建立了用用户及其权权限设置的的管理流程程，对智能能网系统的的用户创建建和授权必必须通过业业务部门主主管审批后后，方可由由相关的系系统管理员员在系统中中创建用户户帐

37、号。检查用户及及其权限设设置的管理理流程, 抽查用户户创建和授授权的审批批文件。HN.C.1.2.2在员工工工作调动动或离职等等工作职能能发生变化化时，及时时由人力资资源部门或或相关业务务部门正式式以书面方方式通知系系统维护部部门，由系系统管理员员更新或删删除其相应应的访问权权限。抽查人员访访问权限的的删除书面面通知，检检查离职用用户帐号是是否已完全全删除。2.2 超超级用户帐帐号的管理理HN.C.1.2.3智能网网系统的操操作系统管管理帐号仅仅限于经授授权的系统统管理员，其其帐号须经经系统维护护部门主管管的书面授授权审批。检查系统管管理帐号清清单，检查查系统管理理员帐号的的审批文件件。HN.

38、C.1.2.4智能网网系统数据据库的管理理帐号仅限限于经授权权的数据库库管理员，其其帐号须经经系统维护护部门主管管的书面授授权审批。 检查数据库库管理帐号号清单，检检查数据库库管理员帐帐号的审批批文件。HN.C.1.2.5智能网网系统的特特权用户（例例如具有增增加/变更更/删除用用户等权限限）仅限于于经授权的的系统管理理人员，其其帐号须经经系统维护护部门主管管或相关业业务部门主主管的书面面授权审批批。检查特权用用户管理帐帐号清单，检检查特权用用户管理员员帐号的审审批文件。HN.C.1.2.6 智能能网系统的的管理账号号（包括操操作系统、数数据库和应应用程序层层面）如果果由于系统统限制存在在共享

39、，其其密码在其其中任一管管理员离职职时需及时时更改，以以防止非法法访问。检查管理员员用户离职职时的密码码修改记录录。2.3用户户帐号访问问权限的定定期审阅HN.C.1.2.7系统维维护部门主主管或业务务部门对智智能网系统统的用户帐帐号和用户户访问权限限进行每半半年审阅，以以发现任何何不合适的的系统访问问权限，并并及时跟进进解决。检查审阅书书面记录。HN.C.1.2.8系统维维护部门主主管人员每每半年对机机房访问权权限清单进进行审阅，若若发现存在在不合适的的用户，及及时通知机机房管理人人员取消其其相应的授授权。检查审阅书书面记录。3 信息息系统的的的逻辑访问问和物理访访问HN.C.1.3.1在智

40、能能网系统中中采用用户户身份的验验证机制，对对智能网系系统的访问问必须使用用用户名和和密码，而而且每个用用户帐号被被授予唯一一的用户。观察系统登登陆过程。HN.C.1.3.2系统维维护部门对对访问智能能网系统（包包括操作系系统、数据据库和应用用程序层面面）的用户户（含超级级用户）制制定密码政政策，并根根据密码政政策在系统统中固化相相应的设置置，以避免免用户使用用安全级别别低的密码码。密码政政策具体包包括: 用户密码长长度不得低低于6位 密码应至少少每90天天进行更新新 不得使用最最近的密码码对于使用密密钥棒或动动态密码卡卡的系统，需需要配合使使用由用户户掌握的PPIN码。观察系统密密码设置。H

41、N.C.1.3.3系统管管理员负责责每周检查查智能网系系统应用程程序、操作作系统和数数据库层面面安全日志志记录（含含对于重要要的数据增增、删、改改操作），发发现异常现现象及时跟跟进或上报报。检查系统安安全日志记记录和定期期检查的记记录。HN.C.1.3.4安装智能网网系统应用用程序、操操作系统和和数据库的的硬件设备备存放在安安全的机房房中。所有有出入口均均具备电子子门禁系统统或门锁的的保护。人人员进出机机房会在机机房门禁系系统或机房房进出日志志中留下记记录。观察机房安安全措施、检检查人员进进出机房的的记录。HN.C.1.3.5只有经经授权的人人员可对存存放智能网网系统设备备的计算机机机房和设设

42、备进行物物理访问。对对机房的访访问授权须须经系统维维护部门主主管人员书书面审批。非非授权人员员出入机房房必须由机机房工作人人员陪同。检查机房访访问清单和和机房访问问授权单。4 职责分工工HN.C.1.4.1在智能能网系统中中创立新用用户角色或或对用户组组(或用户户)角色定定义进行修修改时，根根据用户部部门或相关关业务部门门对用户角角色权限的的审批结果果进行设定定。公司通通过不同工工作岗位对对于系统资资源访问的的限制来达达到不相容容职责分工工的目的。检查用户权权限审批文文件，观察察系统用户户权限配置置。HN.C.1.4.2内审或或者用户部部门每半年年检查系统统的用户角色色或用户组组的权限设设定,

43、 确确保合理的的职责分工工。发现问问题及时跟跟进解决。检查职责分分工的检查查记录。八、主要控控制点的相相关文件1用户户（组）创创建及系统统访问权限限申请表2员工工工作调动动/离职通通知单3系统统管理员（操操作系统/数据库）帐帐号申请表表4系统统特权用户户帐号申请请表5系统统帐号/权权限检查表表6机房房访问权限限检查表7系统统安全日志志检查表8机房房进出登记记簿9机房房访问权限限申请表10系统统用户（组组）权限分分配审阅报报告11 职责分工检检查报告九、相关制制度和备查查文件1 少少人无人值值守机房管管理要求（试试行）1.4大大客户管理理系统一、业务务流程范围围1所涉及及的业务范范围逻辑安全和和

44、物理安全全、用户帐帐号的添加加、修改及及删除控制制、用户帐帐号的定期期审阅、职职责分工控控制。2所涉及及的部门范范围信息技术部部门, 大大客户部门门。二、所涉涉及的计算算机系统海南电信营营销渠道支支撑系统，一一站式大客客户业务处处理系统。三、目标标1对于与与财务报告告相关的信信息，公司司应制定相相关的信息息安全管理理政策并使使员工意识识到信息安安全的重要要性。2对公司司信息技术术资源的物物理访问及及逻辑访问问已建立起起通过用户户身份的识识别，认证证及授权的的管理机制制，以降低低由于对系系统及数据据未经授权权的访问所所带来的风风险。3建立相相关流程以以确保用户户添加、修修改、删除除都经过管管理层

45、授权权，及相关关操作的准准确性和及及时性。 4确保定定期对系统统中用户的的访问权限限进行审阅阅，以减少少未经授权权或不适当当的对系统统或数据进进行访问而而带来的风风险。5确保在在关键流程程中存在适适当的职权权分离。四、风险险1公司缺缺乏可遵循循的信息安安全管理政政策，信息息安全管理理不规范，增增加信息安安全隐患。2缺乏必必要的物理理访问及逻逻辑访问管管理机制，导导致对信息息资源未经经授权的访访问, 非非法修改系系统数据。3对添加加、修改、删删除用户未未经过管理理层授权，离离职员工帐帐号未及时时在系统中中删除，导导致对系统统及数据未未经授权或或不适当访访问。4对系统统或数据非非法和不适适当的访问问不能被及及时发现。5系统的的权限分配配与业务部部门授权确确定的职责责分工要求求不符。五、相关关会计科目目主营业务收收入。六、流程程概述1 信息安安全管理参见网络基基础设施中中本章节。2 用户帐帐号的管理理2.1 用户帐号号的添加、修修改及删除除控制集团公司或或省公司建建立了用户户及其权限限设置的管管理流程，对对大客户管管理系统的的用户创建建和授权必必须通过系系统主管人人员审批后后，方可由由相关的系系统管理员员在系统中中创建用户户帐号，以以避免未经经授