中国移动内部控制手册

中国移动设备

通用安全功能和配置规范

S p e c i f i c a t i o n f o r G e n e r a l

S e c u r i t y F u n c t i o n a n d

C o n f i g u r a t i o n o f

D e v i c e s U s e d

版本号：2.0.0

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部

目录

1. 范围 (1)

2. 规范性引用文件 (1)

2.1. 内部引用 (1)

2.2. 外部引用 (1)

3. 术语、定义和缩略语 (1)

4. 设备安全要求框架 (2)

4.1. 背景 (2)

4.2. 设备安全要求框架说明 (2)

4.3. 本框架内各规范的使用原则 (3)

4.4. 设备安全要求编号原则 (3)

5. 设备通用安全功能和配置要求 (4)

5.1. 账号管理及认证授权要求 (4)

5.1.1. 账号安全要求 (4)

5.1.2. 口令安全要求 (5)

5.1.3. 授权安全要求 (6)

5.2. 日志安全要求 (6)

5.2.1. 功能要求： (6)

5.2.2. 配置要求： (7)

5.3. IP协议安全要求 (7)

5.3.1. 功能要求： (7)

5.3.2. 配置要求： (8)

5.4. 设备其他安全要求 (8)

5.4.1. 功能要求： (8)

5.4.2. 配置要求： (8)

6. 编制历史 (8)

前言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

浅析中国移动通信集团公司内部控制问题

摘要：随着现代企业制度的建立，越来越多的公司把加强内部控制作为提高管理水平实现的关键。中国移动通信集团公司作为在美国上市的国有控股公司，近几年在快速扩张发展的同时，许多内部管理体制等方面深层次的问题也渐渐暴露出来，内部控制不健全即是其中最为突出的问题。本文中国移动通信集团公司实际情况出发，在对内部控制特点、目标、构成要素等基本理论进行研究的基础上，对中国移动通信集团公司内部控制存在的问题做了剖析，找出存在的原因，提出完善内部控制环境，提高管理人员素质等具体措施。本文也将对国内相关产业的其它公司起到一定的借鉴意义。

目录

目录 (1)

引言 (1)

1内部控制概述 (2)

1.1.内部控制定义 (2)

1.2.企业内部控制的原则 (2)

1.3.内部控制建设应该遵循原则 (3)

2中国移动通信集团公司及其内部控制简介 (4)

2.1.中国移动通信集团公司的简介 (4)

2.2.中国移动通信集团公司内部控制现状 (5)

3中国移动通信集团公司内部控制存在的问题 (7)

3.1.企业内部控制意识薄弱、观念有误 (7)

3.1.1.领导层能力不足 (8)

3.1.2.管理方法不能与时俱进 (8)

3.1.3.忽视文化建设 (8)

3.2.内部控制制度执行力低 (8)

3.2.1.内部人控制问题严重 (9)

3.2.2.责权利的划分形同虚设 (9)

3.2.3.经营者的激励和约束机制不健全 (9)

3.3.内部控制信息不完善 (9)

4中国移动通信集团公司内部控制完善对策 (10)

4.1.提高管理者和员工的素质 (10)

中国移动集团公司内部控制手册与业务流程内部操纵手册

业务流程

名目

业务流程

1 资本性支出业务流程60

1.1 招标及合同治理业务流程60

1.2 一样工程资本性支出业务流程73

1.3 应急工程资本性支出业务流程100

1.4 零星固定资产采购业务流程111

1.5 国际线路支出业务流程119

1.6 切块规模治理业务流程132

1.7 资本承担业务流程137

2 经营性支出物资采购业务流程140

3 资产治理及处置业务流程150

3.1 固定资产及无形资产治理业务流程150 3.2 固定资产修理业务流程176

3.3 存货治理业务流程189

4 服务提供、计费、收入及收款/结算业务流程 210 4.1 产品定价业务流程210

4.2 业务受理业务流程215

4.3 计费帐务业务流程250

4.4 收款和应收账款的治理业务流程269

4.5 与移动运营商的结算业务流程281

4.6 信息源合作方结算业务流程296

4.7 内部结算业务流程307

4.8 移动卡收入业务流程317

4.9 代办业务流程325

4.10 大客户业务流程332

5 关联方交易业务流程344

6 资金治理业务流程355

6.1 筹资业务流程355

6.2 货币资金治理业务流程365

6.3 对外投资业务流程388

6.4 资金补贴业务流程406

7 成本费用治理及核算业务流程411 7.1 人工成本业务流程411

7.2 经营租赁成本业务流程424

7.3 一样成本费用支出业务流程432

8 会计报表编制业务流程442

9 重大表外事项治理458

9.1 担保业务流程458

9.2 法律规范遵循业务流程471

中国移动股有限公司内部控制手册

业务流程

目录

业务流程

1资本性支出业务流程 (606060)

1.1 招标及合同管理业务流程 (606060)

1.2 一般工程资本性支出业务流程 (727272)

1.3 应急工程资本性支出业务流程 (969696)

1.4 零星固定资产采购业务流程 (106106106)

1.5 国际线路支出业务流程 (113113113)

1.6 切块规模管理业务流程 (126126126)

1.7 资本承担业务流程 (129129129)

2经营性支出物资采购业务流程 (132132132)

3资产管理及处置业务流程 (140140140)

3.1 固定资产及无形资产管理业务流程 (140140140)

3.2 固定资产维修业务流程 (164164164)

3.3 存货管理业务流程 (175175175)

4服务提供、计费、收入及收款/结算业务流程 (193193193)

4.1 产品定价业务流程 (193193193)

4.2 业务受理业务流程 (197197197)

4.3 计费帐务业务流程 (228228228)

4.4 收款和应收账款的管理业务流程 (243243243)

4.5 与移动运营商的结算业务流程 (254254254)

4.6 信息源合作方结算业务流程 (268268268)

4.7 内部结算业务流程 (277277277)

4.8 移动卡收入业务流程 (285285285)

4.9 代办业务流程 (292292292)

4.10 大客户业务流程 (298298298)

5关联方交易业务流程 (308308308)

中国移动(香港)内控手册(最新推荐)

中国移动（香港）有限公司内部控制

手册

中国移动（香港）有限公司中国移动中国移动（香港）有限公司公司中国移动通信有限公司中国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯 - 奥克斯利法案》《萨班斯法案》

目录 1 手册概述 4 1.1 目的 4 1.2 评价内部控制的有效性的评估架构

4 1.3 与《萨班斯法案》404条款相关的内部控制的定义 4 1.4 内部控制手册的遵循

5 1.5 颁布日期 5 2 公司层面的控制

6 2.1 控制环境

6 正直守德的价值取向 6 胜任能力11 董事会及审核委员会12

管理哲学和经营风格15 组织结构19 职权和职责的分配22 人力资源政策和实务24 信息技术战略规划28 信息技术组织架构及关系29 信息技术部门的人力资源管理30 用户教育和培训31 2.2 风险评估32 企业层面目标32 经营活动目标34 风险37 对环境变化的管理39 信息风险评估 40 2.3 控制活动41 2.4 信息及沟通42 信息42 沟通44 信息架构 48 2.5 监控50 持续监控50 个别评价54 汇报内部控制缺陷

56 3 信息技术整体控制57 3.1 对程序和数据的访问57 BOSS系统

57 经营分析系统62 MIS系统66 OA系统71 彩铃系统76 智能网系统80 MISC系统85 久其报表系统90 客户服务系统93 网络及基础设施 98 3.2 程序变更管理103 3.3 程序开发108 3.4 系统运行112 BOSS系统112 经营分析系统116 MIS系统120 OA 系统124 彩铃系统127 智能网系统131 MISC系统135 久其报表系统138 客户服务系统141 网络及基础设施144 3.5 终端用户计算147 4 流程层面的控制150 4.1 资本性支出业务流程150 4.2 收入和计费业务流程178 新业务与产品定价业务流程178 业务受理业务流程186 计费账务业务流程195 收款和应收账款管理业务流程209 与电信营运商结算业务流程（国内、国际）220 与服务/内容提供商结算业务流程228 内部结算业务流程233 集团客户业务流程237 4.3 存货管理业务流程242 存货管理243 有价卡管理252 4.4 营运支出业务流程260 4.5 货币资金管理业务流程275 4.6 固定资产和无形资产管理业务流程285 4.7 人

中国移动通信企业标准 业务支撑网运营管理系统规范 服务管理流程分册 版本号：V 2.0.0

QB-J-001-2007

中国移动通信有限公司 发布

目录

1综述 (5)

1.1 本期目标 (5)

1.2 适用范围 (6)

1.3 主要内容 (6)

1.4 规范落实 (6)

1.5 持续改进 (8)

1.6 地市支持模式 (9)

1.7 相关术语 (9)

2事件管理流程概要设计 (12)

2.1 流程目的 (12)

2.2 流程主要内容 (12)

2.3 与其他流程的关系 (13)

2.4 流程范围 (13)

2.5 流程执行原则 (14)

2.6 流程相关定义 (16)

2.7 流程概要设计 (23)

2.8 关键角色、职责定义 (27)

2.9 关键流程衡量指标 (28)

2.10 集团、省公司两级交互 (29)

2.11 省公司上报报表 (30)

2.12 实施指导 (30)

2.13 本期规范的主要变化 (31)

3问题管理流程概要设计 (32)

3.1 流程目的 (32)

3.2 流程主要内容 (32)

3.3 与其他流程的关系 (33)

3.4 流程范围 (33)

3.5 流程执行原则 (33)

3.6 流程相关定义 (35)

3.7 流程概要设计 (37)

3.8 关键角色、职责定义 (39)

3.9 关键流程衡量指标 (39)

3.10 集团、省公司两级交互 (40)

3.11 省公司上报报表 (40)

3.12 实施指导 (40)

3.13 本期规范的主要变化 (41)

4配置管理流程概要设计 (42)

4.1 流程目的 (42)

4.2 流程主要内容 (42)

中国移动设备

通用安全功能和配置规范

S p e c i f i c a t i o n f o r G e n e r a l

S e c u r i t y F u n c t i o n a n d

C o n f i g u r a t i o n o f

D e v i c e s U s e d

版本号：2.0.0

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部

目录

1. 范围 (1)

2. 规范性引用文件 (1)

2.1. 内部引用 (1)

2.2. 外部引用 (1)

3. 术语、定义和缩略语 (1)

4. 设备安全要求框架 (2)

4.1. 背景 (2)

4.2. 设备安全要求框架说明 (2)

4.3. 本框架内各规范的使用原则 (3)

4.4. 设备安全要求编号原则 (3)

5. 设备通用安全功能和配置要求 (4)

5.1. 账号管理及认证授权要求 (4)

5.1.1. 账号安全要求 (4)

5.1.2. 口令安全要求 (5)

5.1.3. 授权安全要求 (6)

5.2. 日志安全要求 (6)

5.2.1. 功能要求： (6)

5.2.2. 配置要求： (7)

5.3. IP协议安全要求 (7)

5.3.1. 功能要求： (7)

5.3.2. 配置要求： (8)

5.4. 设备其他安全要求 (8)

5.4.1. 功能要求： (8)

5.4.2. 配置要求： (8)

6. 编制历史 (8)

前言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

中国移动股有限公司内部控制手册

业务流程

目录

业务流程

1资本性支出业务流程 (6060)

1.1 招标及合同管理业务流程 (6060)

1.2 一般工程资本性支出业务流程 (7272)

1.3 应急工程资本性支出业务流程 (9696)

1.4 零星固定资产采购业务流程 (106106)

1.5 国际线路支出业务流程 (113113)

1.6 切块规模管理业务流程 (126126)

1.7 资本承担业务流程 (129129)

2经营性支出物资采购业务流程 (132132)

3资产管理及处置业务流程 (142142)

3.1 固定资产及无形资产管理业务流程 (142142)

3.2 固定资产维修业务流程 (167167)

3.3 存货管理业务流程 (178178)

4服务提供、计费、收入及收款/结算业务流程 (196196)

4.1 产品定价业务流程 (196196)

4.2 业务受理业务流程 (200200)

4.3 计费帐务业务流程 (232232)

4.4 收款和应收账款的管理业务流程 (248248)

4.5 与移动运营商的结算业务流程 (259259)

4.6 信息源合作方结算业务流程 (273273)

4.7 内部结算业务流程 (283283)

4.8 移动卡收入业务流程 (292292)

4.9 代办业务流程 (299299)

4.10 大客户业务流程 (305305)

5关联方交易业务流程 (315315)

6资金管理业务流程 (323323)

6.1 筹资业务流程 (323323)

6.2 货币资金管理业务流程 (332332)

目录

2.规范性引用文件.........................................................................................................................

2.1.内部引用.........................................................................................................................

2.2.外部引用.........................................................................................................................

3.术语、定义和缩略语.................................................................................................................

4.设备安全要求框架.....................................................................................................................

4.1.背景.................................................................................................................................

中国移动内部控制手册

内部控制手册1 缩写中国移动（香港）有限公司及其子公司中国移动中国移动（香港）有限公司公司中国移动通信有限公司中国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯在2004 年中国移动通信集团公司人力资源工作会议上的报告》《关于广东移动通信有限责任公司等公司配发员工认股期权的通知》（中移有限人[2004]14 号）《关于内蒙古移动通信有限责任公司等公司配发员工认股期权的通知》（中移有限人[2004]15 号）员工绩效考核结果反馈表111

2、1、2 胜任能力管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知识和技能。A

2、1 用正式或非正式的职责描述或其它方式定义某一职位的具体工作。

中国移动对全部职位建立统一的书面职责描述，即职位说明书，界定职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容，且经过管理层的审阅批准。人力资源部定期根据各职位职责、权限的变化对职位说明书进行及时地更新并下发。

员工对工作职责和权限的一般理解通过部门内部的职责描述与部门管理层的沟通和实际工作获得。

主要涉及部门：人力资源部文件索引：无 A

2、2 充分分析开展具体工作所需的知识和技能。考虑：

管理层对特定的工作所需的知识和技能的程度进行了规定；

是否存在迹象表明员工具有必要的知识和技能中国移动对全部职位建立统一的职位说明书，包括职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容，以明确每一职位对知识、技能与学历方面的基本要求，并由人力资源部定期根据各职位职责、权限等方面的变化对职位说明书进行及时地更新并下发员工知晓。同时，招聘程序亦可体现中国移动对员工开展工作所需技能和知识的明确要求。

中国移动通信企业标准 中国移动日志集中管理和审计系统 功能及技术规范

版本号：1.0.0 中国移动通信有限公司 发布

2008-╳╳-╳╳发布

2008-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳ T h e R e q u i r e m e n t s a n d T e c h n i c a l S p e c i f i c a t i o n o f t h e C e n t r a l i z e d S y s t e m f o r L o g m a n a g e m e n t a n d A u d i t

目录

1. 范围 (1)

2. 规范性引用文件 (1)

3. 术语、定义和缩略语 (1)

4. 综述 (2)

4.1.建设需求 (2)

4.2.建设目的 (3)

4.3.系统总体框架 (4)

5. 日志采集 (5)

5.1. 采集对象及关键操作 (6)

5.2. 采集机制与策略 (8)

6. 日志标准化 (10)

7. 日志分析 (11)

7.1. 功能要求 (11)

7.1.1. 用户身份关联 (11)

7.1.2. 资产关联 (12)

7.1.3. 操作行为分析能力 (12)

7.1.4. 高危操作审计 (13)

7.1.5. 数据库操作指令还原 (13)

7.1.6. 会话重放 (13)

7.1.7. 事件生成效率 (14)

7.1.8. 审计查询 (14)

7.1.9. 审计分析报告 (14)

7.2. 审计策略 (15)

7.2.1. 事件分类 (15)

7.2.2. 事件分级 (15)

7.2.3. 缺省策略 (15)

精编【安全管理】中国移动管理信息系统安全基线规范v

QB-╳╳-╳╳╳-╳╳╳╳版本号：1.0.0

前言

本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部

本规范主要起草人：起草人1姓名、起草人2姓名、……

目录

1概述 (4)

1.1目标和适用范围 (4)

1.2引用标准 (4)

1.3术语和定义 (4)

2安全基线框架 (5)

2.1背景 (5)

2.2安全基线制定的方法论 (6)

2.3安全基线框架说明 (6)

3安全基线范围及内容 (7)

3.1覆盖范围 (7)

3.2安全基线组织及内容 (8)

3.2.1 安全基线编号说明 (9)

3.2.2 Web应用安全基线示例 (9)

3.2.3 中间件、数据库、主机及设备示例 (9)

3.3安全基线使用要求 (10)

4评审与修订 (10)

1概述

1.1目标和适用范围

本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准

◆《中国移动网络与信息安全总纲》

◆《中国移动内部控制手册》

中国移动网上大学安全安全基础L3题库

安全安全基础L3

1. 关于TCP Wrappers的说法，不正确说法是

A.通过TCP Wrappers 的陷阱设置功能，可以根据被拒绝的远程主机的连接尝试的数量，在主机上触发相应的操作

B.TCP Wrappers 使用访问控制列表(ACL) 来防止欺骗。ACL 是

/etc/hosts.allow 和/etc/hosts.deny 文件中的系统列表

C.TCP Wrappers 通过TCP远程过程调用(RPC)来提供防止主机名和主机地址欺骗的保护

D.当访问控制文件中包含了ACL 规则时，标题消息功能将会导致向客户端发送一条消息

答案：C

2. Solaris操作系统下，下面哪个命令可以修改/n2kuser/.profile 文件的属性为所有用户可读、可写、可执行？（）

A.chmod 766 /n2kuser/.profile

B.chmod 744 /n2kuser/.profil

C.chmod 777 /n2kuser/.profile

D.chmod 755 /n2kuser/.profile

答案：C

3. 下面属于信息安全管理体系的标准是

A.ISO/IEC 27001

B.GB/T22080

C.ISO/IEC 20000

D.BS 25999

答案：A

4. 基于主机评估报告对主机进行加固时，第一步是（）

A.文件系统加固

B.帐号、口令策略修改

C.补丁安装

D.日志审核增强

答案：C

5. windows 8开机取证，要获得当前用户的SID,可以使用的命令是

A.Handle