【精编_推荐】基础设施IT一般性控制内部控制矩阵
合集下载
11.3ERP系统IT一般性控制内部控制矩阵
总部各部门
分(子)公司
2
程序变更管理制度
1.10.3
2.10.4
2.2客户化开发变更管理
1.1
1.3
2.4
经营风险:客户化开发的需求不合理,导致系统故障,不能满足业务需求。
合规风险:重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
2.2.1对于功能增强/表单/报表/系统接口等客户化开发的新需求或者对已有客户化开发的变更,由需求变更部门填写系统开发变更申请表(简要描述功能需求和功能说明),经提报单位的需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息系统管理部审批。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
分(子)公司
2
程序变更管理制度
1.10.3
2.10.4
2.2客户化开发变更管理
1.1
1.3
2.4
经营风险:客户化开发的需求不合理,导致系统故障,不能满足业务需求。
合规风险:重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
2.2.1对于功能增强/表单/报表/系统接口等客户化开发的新需求或者对已有客户化开发的变更,由需求变更部门填写系统开发变更申请表(简要描述功能需求和功能说明),经提报单位的需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息系统管理部审批。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
总部各部门
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
信息系统管理业务内部控制矩阵
1信息系统管理业务内部控制矩阵11、1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561、IT整体层面管理1、1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1、1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1、10、51、12、2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1、2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
信息系统管理部5股份公司信息化建设中长期规划1、10、51、3教育和培训1、1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
1、3、1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。
信息系统管理部分(子)公司2年度培训计划1、10、51、1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1、3、2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
信息资源管理业务内部控制矩阵
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
信息系统管理业务内部控制矩阵
信息系统管理业务内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点
相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1. IT整体层面管理
经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。
信息系统管理部
分(子)公司
5
信息化建设年度计划
1.10.5
3. 项目可行性研究和评审
经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。
信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。
1.10.5
经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点
相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1. IT整体层面管理
经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。
信息系统管理部
分(子)公司
5
信息化建设年度计划
1.10.5
3. 项目可行性研究和评审
经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。
信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。
1.10.5
经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
内部控制手册第3部分-内控矩阵(C)——1,4一般物资采购业务控制矩阵
6.4分(子)公司制订必检物资目录。对必检物资,分(子)公司物资供应部门组织质量检验,由质量检验部门判定质量状况,出具质量检验报告书;对验证放行物资,分(子)公司物资供应部门检查质量保证书、商检证书或合格证等证明文件。仓储保管人员对符合合同要求的合格物资办理验收入库。
分(子)公司
4
必检物资目录
质量检验报告
6.3物资供应部门根据生产建设进度需要和物资特性,选择合理的运输工具和运输方式,负责办理运输、投保、报关、商检等事宜。
物资装备部(国际事业公司)
分(子)公司
3
运输、投保、报关、商检等相关单据
1.9.11
1.2
2.2
经营风险:采购物资质量不能满足生产要求,影响生产。
财务风险:交易不真实,影响财务报告。
总部直接集中采购物资,各分(子)公司直接下载调拨单或采购合同。
物资装备部(国际事业公司)
分(子)公司
5
框架协议或采购合同
1.9.11
1.12.1
2.10.1
√
存货
1.5
2.2
经营风险:重复审批、工作效率低下
财务风险:交易不真实,影响财务报告。
5.2各分(子)公司对总部直接集中采购年度供应协议项下的调拨单或合同、总部组织集中采购和企业自行采购框架协议项下的合同须履行物资供应部门内部审批手续。
4
商情分析报告
1.9.11
5.框架协议和采购合同签订与审批
1.4
2.2
3.1
3.2
经营风险:权利、义务表述不清或未按规定签署合同,导致损失。
财务风险:交易不真实,影响财务报告。
合规风险:合同违反国家有关法律法规。
5.1物资供应部门根据确定的供应商、价格等内容,拟订框架协议或采购合同,准确描述条款,明确双方权利、义务和违约责任,按照规定权限签署框架协议或采购合同。【ERP】上网采购物资通过接口下载询比价信息和上传采购订单;非上网采购物资依据询价单、框架协议创建采购订单(独家采购、寄售采购和委托加工采购除外),完善采购订单条款后,按规定权限审批。电子商务和ERP系统内的同一采购订单须保持一致。
分(子)公司
4
必检物资目录
质量检验报告
6.3物资供应部门根据生产建设进度需要和物资特性,选择合理的运输工具和运输方式,负责办理运输、投保、报关、商检等事宜。
物资装备部(国际事业公司)
分(子)公司
3
运输、投保、报关、商检等相关单据
1.9.11
1.2
2.2
经营风险:采购物资质量不能满足生产要求,影响生产。
财务风险:交易不真实,影响财务报告。
总部直接集中采购物资,各分(子)公司直接下载调拨单或采购合同。
物资装备部(国际事业公司)
分(子)公司
5
框架协议或采购合同
1.9.11
1.12.1
2.10.1
√
存货
1.5
2.2
经营风险:重复审批、工作效率低下
财务风险:交易不真实,影响财务报告。
5.2各分(子)公司对总部直接集中采购年度供应协议项下的调拨单或合同、总部组织集中采购和企业自行采购框架协议项下的合同须履行物资供应部门内部审批手续。
4
商情分析报告
1.9.11
5.框架协议和采购合同签订与审批
1.4
2.2
3.1
3.2
经营风险:权利、义务表述不清或未按规定签署合同,导致损失。
财务风险:交易不真实,影响财务报告。
合规风险:合同违反国家有关法律法规。
5.1物资供应部门根据确定的供应商、价格等内容,拟订框架协议或采购合同,准确描述条款,明确双方权利、义务和违约责任,按照规定权限签署框架协议或采购合同。【ERP】上网采购物资通过接口下载询比价信息和上传采购订单;非上网采购物资依据询价单、框架协议创建采购订单(独家采购、寄售采购和委托加工采购除外),完善采购订单条款后,按规定权限审批。电子商务和ERP系统内的同一采购订单须保持一致。
ERP系统IT一般性控制内部矩阵
分(子)公司
2
用户审核签字
1.1
1.2
2.3
2.4
经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司
1
1.1
1.2
2.3
2.4
经营风险:用户创建随意,影响系统安全稳定或生产经营。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
监控记录
安全员检查记录
1.1
经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。
1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。
1.10.4
2.10.4
1.2用户权限理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
2
用户审核签字
1.1
1.2
2.3
2.4
经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司
1
1.1
1.2
2.3
2.4
经营风险:用户创建随意,影响系统安全稳定或生产经营。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
监控记录
安全员检查记录
1.1
经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。
1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。
1.10.4
2.10.4
1.2用户权限理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统管理部
分(子)公司
安全管理员
网络管理员
5
密码变更记录
2.10.5
1.3网络互联安全管理
1.1
经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。
1.3.1总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管理部备案。
经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部
分(子)公司
3
终端用户接入申请表
2.10.5
1.1
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
2.10.5
1.1
经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。
1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。
信息系统管理部
分(子)公司
4
IP地址分配表
网络拓扑图
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部
分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职交接表,或信息管理部门未及时将离职人员网络接入服务注销,导致内部网络被非授权访问和攻击。
1.4.3根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。
合规风险:信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。
1.1.1总部和分(子)公司依据《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
网络设备配置记录表
2.10.5
1.1
经营风险:网络设备密码设置强度不够或更改不及时,造成公司内部网络被非授权访问和攻击。
1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。
2.10.2
1.1
经营风险:安全管理员未及时对相关日志审计分析,导致内部网络被非授权访问和攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。
信息系统管理部
分(子)公司
4
网络设备登陆日志审阅表
防火墙日志审阅表
入侵检测日志审阅表
2.10.2
1.4终端用户接入管理
1.1
信息系统管理部
分(子)公司
申请部门信息管理部门
3
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
1.1
经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。
1.6依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部
分(子)公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
1.1
经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。
信息系统管理部
分(子)公司
4
安全设备配置检查记录表
2.10.7
1.1
经营风险:未建立服务器档案,导致服务器运行维护缺乏配置参数等重要依据。
2.2系统管理员须建立服务器档案,内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。
信息系统管理部
分(子)公司
4
服务器档案
2.10.7
2.3服务器操作系统管理
1.1
经营风险:随意创建操作系统用户,导致系统管理混乱,影响系统运行,存在安全隐患。
信息系统管理部
分(子)公司
5
网络管理办法
2.10.5
1.1
经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。
1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员部
分(子)公司
安全管理员
网络管理员
3
网络管理员、安全管理员授权文档
信息系统管理部
分(子)公司
人事部
信息系统管理部
分(子)公司
3
离职人员交接表
2.10.5
1.1
经营风险:未经相关领导授权开通远程接入网络服务,导致内部网络被非授权访问和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。
2.3.1操作系统用户须填写操作系统用户申请表,经信息管理部门(责任处(科)室)负责人审批后,由系统管理员创建。
信息系统管理部
分(子)公司
3
操作系统用户申请表
2.10.7
1.1
经营风险:操作系统用户授权超期未锁定或删除,导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
信息系统管理部
分(子)公司
网络管理员
安全管理员
3
防病毒系统日志审阅记录表
2.10.5
2.10.2
2.服务器管理
1.1
经营风险::服务器相关管理人员配备不到位,导致系统运行管理存在隐患。
2.1各级信息管理部门配备系统管理员,由信息管理部门(责任处(科)室)负责人审批。
信息系统管理部
分(子)公司
3
系统管理员任命材料
11.5基础设施IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.网络管理
1.1网络基础管理
1.1
2.1
2.2
经营风险:网络管理制度不健全,导致网络管理存在漏洞。
分(子)公司
安全管理员
网络管理员
5
密码变更记录
2.10.5
1.3网络互联安全管理
1.1
经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。
1.3.1总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管理部备案。
经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部
分(子)公司
3
终端用户接入申请表
2.10.5
1.1
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
2.10.5
1.1
经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。
1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。
信息系统管理部
分(子)公司
4
IP地址分配表
网络拓扑图
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部
分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职交接表,或信息管理部门未及时将离职人员网络接入服务注销,导致内部网络被非授权访问和攻击。
1.4.3根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。
合规风险:信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。
1.1.1总部和分(子)公司依据《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
网络设备配置记录表
2.10.5
1.1
经营风险:网络设备密码设置强度不够或更改不及时,造成公司内部网络被非授权访问和攻击。
1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。
2.10.2
1.1
经营风险:安全管理员未及时对相关日志审计分析,导致内部网络被非授权访问和攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。
信息系统管理部
分(子)公司
4
网络设备登陆日志审阅表
防火墙日志审阅表
入侵检测日志审阅表
2.10.2
1.4终端用户接入管理
1.1
信息系统管理部
分(子)公司
申请部门信息管理部门
3
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
1.1
经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。
1.6依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部
分(子)公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
1.1
经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。
信息系统管理部
分(子)公司
4
安全设备配置检查记录表
2.10.7
1.1
经营风险:未建立服务器档案,导致服务器运行维护缺乏配置参数等重要依据。
2.2系统管理员须建立服务器档案,内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。
信息系统管理部
分(子)公司
4
服务器档案
2.10.7
2.3服务器操作系统管理
1.1
经营风险:随意创建操作系统用户,导致系统管理混乱,影响系统运行,存在安全隐患。
信息系统管理部
分(子)公司
5
网络管理办法
2.10.5
1.1
经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。
1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员部
分(子)公司
安全管理员
网络管理员
3
网络管理员、安全管理员授权文档
信息系统管理部
分(子)公司
人事部
信息系统管理部
分(子)公司
3
离职人员交接表
2.10.5
1.1
经营风险:未经相关领导授权开通远程接入网络服务,导致内部网络被非授权访问和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。
2.3.1操作系统用户须填写操作系统用户申请表,经信息管理部门(责任处(科)室)负责人审批后,由系统管理员创建。
信息系统管理部
分(子)公司
3
操作系统用户申请表
2.10.7
1.1
经营风险:操作系统用户授权超期未锁定或删除,导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
信息系统管理部
分(子)公司
网络管理员
安全管理员
3
防病毒系统日志审阅记录表
2.10.5
2.10.2
2.服务器管理
1.1
经营风险::服务器相关管理人员配备不到位,导致系统运行管理存在隐患。
2.1各级信息管理部门配备系统管理员,由信息管理部门(责任处(科)室)负责人审批。
信息系统管理部
分(子)公司
3
系统管理员任命材料
11.5基础设施IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.网络管理
1.1网络基础管理
1.1
2.1
2.2
经营风险:网络管理制度不健全,导致网络管理存在漏洞。