中国移动内部控制手册

中国移动股有限公司内部控制资料中国移动股有限公司内部控制手册业务流程目录业务流程1资本性支出业务流程(60)1.1招标及合同管理业务流程(60)1.2一般工程资本性支出业务流程(70)1.3应急工程资本性支出业务流程(91)1.4零星固定资产采购业务流程(100)1.5国际线路支出业务流程(107)1.6切块规模管理业务流程(119)1.7资本承担业务流程(122)2经营性支出物资采购业务流程(125)3资产管理及处置业务流程(133)3.1固定资产及无形资产管理业务流程(133)3.2固定资产维修业务流程(154)3.3存货管理业务流程(164)4服务提供、计费、收入及收款/结算业务流程(181)4.1产品定价业务流程(181)4.2业务受理业务流程(185)4.3计费帐务业务流程(211)4.4收款和应收账款的管理业务流程(224)4.5与移动运营商的结算业务流程(233)4.6信息源合作方结算业务流程(245)4.7内部结算业务流程(253)4.8移动卡收入业务流程(260)4.9代办业务流程(266)4.10大客户业务流程(272)5关联方交易业务流程(281)6资金管理业务流程(289)6.1筹资业务流程(289)6.2货币资金管理业务流程(297)6.3对外投资业务流程(315)6.4资金补贴业务流程(328)7成本费用管理及核算业务流程(332)7.1人工成本业务流程(332)7.2经营租赁成本业务流程(341)7.3一般成本费用支出业务流程(347)8会计报表编制业务流程(354)9重大表外事项管理(365)9.1担保业务流程(365)9.2法律规范遵循业务流程(374)10信息管理与披露业务流程(382)10.1管理信息数据业务流程(382)10.2信息披露业务流程(393)11预算管理和财务分析业务流程(406)1资本性支出业务流程1.1招标及合同管理业务流程一、业务流程范围1 所涉及的业务范围选择设计单位、承建商、供应商和监理公司；签订合同并对合同的执行和存档进行管理；组织采购；对购入物资的数量、质量和单价金额进行检验并对相关资产项目,以及应付账款进行记录；监督工程建设的实施并适时进行验收；向供应商支付货款。

浅析中国移动通信集团公司内部控制问题摘要：随着现代企业制度的建立，越来越多的公司把加强内部控制作为提高管理水平实现的关键。

中国移动通信集团公司作为在美国上市的国有控股公司，近几年在快速扩张发展的同时，许多内部管理体制等方面深层次的问题也渐渐暴露出来，内部控制不健全即是其中最为突出的问题。

本文中国移动通信集团公司实际情况出发，在对内部控制特点、目标、构成要素等基本理论进行研究的基础上，对中国移动通信集团公司内部控制存在的问题做了剖析，找出存在的原因，提出完善内部控制环境，提高管理人员素质等具体措施。

本文也将对国内相关产业的其它公司起到一定的借鉴意义。

目录目录 (1)引言 (1)1内部控制概述 (2)1.1.内部控制定义 (2)1.2.企业内部控制的原则 (2)1.3.内部控制建设应该遵循原则 (3)2中国移动通信集团公司及其内部控制简介 (4)2.1.中国移动通信集团公司的简介 (4)2.2.中国移动通信集团公司内部控制现状 (5)3中国移动通信集团公司内部控制存在的问题 (7)3.1.企业内部控制意识薄弱、观念有误 (7)3.1.1.领导层能力不足 (8)3.1.2.管理方法不能与时俱进 (8)3.1.3.忽视文化建设 (8)3.2.内部控制制度执行力低 (8)3.2.1.内部人控制问题严重 (9)3.2.2.责权利的划分形同虚设 (9)3.2.3.经营者的激励和约束机制不健全 (9)3.3.内部控制信息不完善 (9)4中国移动通信集团公司内部控制完善对策 (10)4.1.提高管理者和员工的素质 (10)4.2.建立良好的内部控制环境 (10)4.2.1.提高公司管理层的素质 (11)4.2.2.培育优良的企业文化 (11)4.3.有效控制信息系统信息系统 (11)5结束语 (12)参考文献 (12)1内部控制概述1.1.内部控制定义及原则（已修改）1.1.1内部控制定义内部控制是组织内部的主体，为了保证经济资源的安全完整，确保经济信息的正确可靠，协调经济行为，控制经济活动，规避经营风险，利用组织内部因分工而产生的相互制约、相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化、系统化，使之组成一个严密的、较为完整的体系。

安全安全基础通用L1２015年4月30日9点0分试题数:120,重复命题数：31,重复命题率:25.83%1. 重大故障处理完毕后，中国移动各省级公司网络维护部门应在（）日内通过工单以附件形式向集团公司网络部提交专题书面报告。

A.1B.2ﻫC.3D.４答案：B重复命题2次20１5年１０月12日9点30分安全安全基础通用Ｌ12014年1０月2１日9点２5分安全安全基础通用L12. 制定企业安全补丁加载方案的决策者是?A．网络工程师B.公司最高层Ｃ.项目审计人员ﻫD.项目负责人答案:D3. 在Linux系统下,查看网卡信息的命令是（)。

A.ｉpｃonfigﻫB.ifcｏnfｉｇC.shｏwipconfD.intｄcoｎf答案:B4．防火墙策略配置的原则包括A.利用内置的对动态端口的支持选项B.以上全部都是ﻫC.策略应双向配置D.将涉及常用的服务的策略配置在所有策略的顶端答案：B重复命题1次２01４年１0月２１日9点25分安全安全基础通用L１5.两台主机之间建立一次正常的TＣP连接，一共需要相互传递几次信息？A．3ﻫＢ.4Ｃ.1ﻫD．２答案:A６. 审核责任人应按照《中国移动内控手册》等相关规定,对相关系统用户帐户口令至少()年进行一次定期审核,对不符合要求的及时进行整改。

Ａ.2年ﻫＢ.1年Ｃ．３年Ｄ．半年答案：D7．针对施工管理,以正式的施工委托函为局楼出入依据，工期超过一个月的施工人员需办理临时出入证,临时出入证最长有效期为( )A.２年B.3个月C.1年ﻫD.半年答案:B重复命题1次2０１4年10月２1日9点25分安全安全基础通用L18.以下不属于存储和处理客户信息的通信系统的有(）A.数据业务监测系统ﻫB.ＭSＣ/VＬR/MGＷ/SeｒverC.HＬRD.ＧPRS答案:Ａ９. 系统管理员组织人员对计划入网的设备在独立的测试测试环境中进行测试,测试通过后发起“入网申请”，填写在《( )》的“入网申请”部分，提交技术部经理审批。

中国移动(香港)内控手册(最新推荐)中国移动（香港）有限公司内部控制手册中国移动（香港）有限公司中国移动中国移动（香港）有限公司公司中国移动通信有限公司中国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯 - 奥克斯利法案》《萨班斯法案》目录 1 手册概述 4 1.1 目的 4 1.2 评价内部控制的有效性的评估架构4 1.3 与《萨班斯法案》404条款相关的内部控制的定义 4 1.4 内部控制手册的遵循5 1.5 颁布日期 5 2 公司层面的控制6 2.1 控制环境6 正直守德的价值取向 6 胜任能力11 董事会及审核委员会12管理哲学和经营风格15 组织结构19 职权和职责的分配22 人力资源政策和实务24 信息技术战略规划28 信息技术组织架构及关系29 信息技术部门的人力资源管理30 用户教育和培训31 2.2 风险评估32 企业层面目标32 经营活动目标34 风险37 对环境变化的管理39 信息风险评估 40 2.3 控制活动41 2.4 信息及沟通42 信息42 沟通44 信息架构 48 2.5 监控50 持续监控50 个别评价54 汇报内部控制缺陷56 3 信息技术整体控制57 3.1 对程序和数据的访问57 BOSS系统57 经营分析系统62 MIS系统66 OA系统71 彩铃系统76 智能网系统80 MISC系统85 久其报表系统90 客户服务系统93 网络及基础设施 98 3.2 程序变更管理103 3.3 程序开发108 3.4 系统运行112 BOSS系统112 经营分析系统116 MIS系统120 OA 系统124 彩铃系统127 智能网系统131 MISC系统135 久其报表系统138 客户服务系统141 网络及基础设施144 3.5 终端用户计算147 4 流程层面的控制150 4.1 资本性支出业务流程150 4.2 收入和计费业务流程178 新业务与产品定价业务流程178 业务受理业务流程186 计费账务业务流程195 收款和应收账款管理业务流程209 与电信营运商结算业务流程（国内、国际）220 与服务/内容提供商结算业务流程228 内部结算业务流程233 集团客户业务流程237 4.3 存货管理业务流程242 存货管理243 有价卡管理252 4.4 营运支出业务流程260 4.5 货币资金管理业务流程275 4.6 固定资产和无形资产管理业务流程285 4.7 人工成本管理业务流程305 4.8 会计和财务报告流程311 4.9 筹资业务流程 330 4.10 关联方交易业务流程338 4.11 法律法规遵循业务流程（包括税务管理流程） 344手册概述目的中国移动作为在美国证券交易市场上市的海外发行人，根据《萨班斯法案》第404条款之最终条例《内部控制的管理层报告书和披露核证》的要求，管理层须在年度报告中做出有关内部控制评估的书面声明,其中包括：中国移动采用美国反对虚假财务报告委员会的发起组织委员会Committee of Sponsoring Organizations “COSO” of the Treadway Commission）颁布的COSO内部控制框架作为评估内部控制有效性的架构从控制环境、风险评估、控制活动、信息和沟通监控等五个方面记录和评价内部控制。

中国移动股有限公司内部控制手册业务流程目录业务流程1资本性支出业务流程 (606060)1.1 招标及合同管理业务流程 (606060)1.2 一般工程资本性支出业务流程 (727272)1.3 应急工程资本性支出业务流程 (969696)1.4 零星固定资产采购业务流程 (106106106)1.5 国际线路支出业务流程 (113113113)1.6 切块规模管理业务流程 (126126126)1.7 资本承担业务流程 (129129129)2经营性支出物资采购业务流程 (132132132)3资产管理及处置业务流程 (140140140)3.1 固定资产及无形资产管理业务流程 (140140140)3.2 固定资产维修业务流程 (164164164)3.3 存货管理业务流程 (175175175)4服务提供、计费、收入及收款/结算业务流程 (193193193)4.1 产品定价业务流程 (193193193)4.2 业务受理业务流程 (197197197)4.3 计费帐务业务流程 (228228228)4.4 收款和应收账款的管理业务流程 (243243243)4.5 与移动运营商的结算业务流程 (254254254)4.6 信息源合作方结算业务流程 (268268268)4.7 内部结算业务流程 (277277277)4.8 移动卡收入业务流程 (285285285)4.9 代办业务流程 (292292292)4.10 大客户业务流程 (298298298)5关联方交易业务流程 (308308308)6资金管理业务流程 (316316316)6.1 筹资业务流程 (316316316)6.2 货币资金管理业务流程 (325325325)6.3 对外投资业务流程 (346346346)6.4 资金补贴业务流程 (362362362)7成本费用管理及核算业务流程 (367367367)7.1 人工成本业务流程 (367367367)7.2 经营租赁成本业务流程 (378378378)7.3 一般成本费用支出业务流程 (384384384)8会计报表编制业务流程 (392392392)9重大表外事项管理 (405405405)9.1 担保业务流程 (405405405)9.2 法律规范遵循业务流程 (415415415)10信息管理与披露业务流程 (424424424)10.1 管理信息数据业务流程 (424424424)10.2 信息披露业务流程 (437437437)11预算管理和财务分析业务流程 (452452452)1资本性支出业务流程1.1招标及合同管理业务流程一、业务流程范围1 所涉及的业务范围选择设计单位、承建商、供应商和监理公司；签订合同并对合同的执行和存档进行管理；组织采购；对购入物资的数量、质量和单价金额进行检验并对相关资产项目,以及应付账款进行记录；监督工程建设的实施并适时进行验收；向供应商支付货款。

教科研干部培训心得铜山区徐庄镇实验小学崔彦艳暑假期间参加铜山区教科所组织的教科研干部培训，获益匪浅。

培训持续三天，前两天邀请专家讲座，第三天听取5位教科研干部代表做经验交流。

秦德林主任为我们讲解《中小学教育科研的定位、问题与思路》；冯卫东主任分别就《高效课堂“三”“六”“九”》和《以微型课题提升教师的教育素质》做精彩的报告。

专家们丰富的知识内涵、精湛的理论阐述，生动、鲜活的实例介绍，深深地打动着我，我为他们“站得高，看得远”的襟怀所折服。

如果前两天的理论讲座学习充实了我的专业知识结构，那么第三天的教科研工作交流，则为我们的实际工作提供了一个又一个蓝本。

由于本人担任教科室主任时间短，迫切需要这样的平台，借鉴别人的工作经验，使自己的工作更加得心应手，所以第三天我特别用心听讲，希望能够把各兄弟单位教科研工作的精髓都吸收过来，为我校所用。

教科研工作主要包含三大要素：校本培训、论文撰写、课题研究。

张集实小“微论坛”教师论坛开坛活动；棠张实小正规的校本研修制度；吕梁学校指导教师读书的艺术性、技巧性措施；大许中学、铜山幼儿园课题研究活动，无不向大家展示了教科室主任扎扎实实做科研，带动教师齐发展的红红火火的景象。

他们具有坚定的信念，求好的态度，良好的服务意识，让我实实在在地感受到作为一个科研人，它们才是真正脚踏实地的做科研。

反思自己，校本培训力度不够，教师论文撰写热情不高，课题研究普及不广，常常还会因为学校的种种干扰而对自己的工作持怀疑的态度，总是暗自揣测，作为一名女同志，是把精力过多投入到工作中，还是转入到家庭,工作成绩中等尚可。

五位代表中有三位女性，3比2，这足以证明一个问题：工作、家庭是可以两不误，是可以均衡发展的。

关键在于你是否用心，是否巧干。

假如把精力分为10份，只要把自己的5份贡献给教科研，就可以使教科研工作打开局面，做得有声有色。

所以，我要衷心感谢教科所领导的良苦用心，感谢专家们的“点化”，同事们的“引领”，使我今后的工作更加明确了方向。

中国移动设备通用安全功能和配置规范S p e c i f i c a t i o n f o r G e n e r a lS e c u r i t y F u n c t i o n a n dC o n f i g u r a t i o n o fD e v i c e s U s e d版本号：2.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (1)3. 术语、定义和缩略语 (1)4. 设备安全要求框架 (2)4.1. 背景 (2)4.2. 设备安全要求框架说明 (2)4.3. 本框架内各规范的使用原则 (3)4.4. 设备安全要求编号原则 (3)5. 设备通用安全功能和配置要求 (4)5.1. 账号管理及认证授权要求 (4)5.1.1. 账号安全要求 (4)5.1.2. 口令安全要求 (5)5.1.3. 授权安全要求 (6)5.2. 日志安全要求 (6)5.2.1. 功能要求： (6)5.2.2. 配置要求： (7)5.3. IP协议安全要求 (7)5.3.1. 功能要求： (7)5.3.2. 配置要求： (8)5.4. 设备其他安全要求 (8)5.4.1. 功能要求： (8)5.4.2. 配置要求： (8)6. 编制历史 (8)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面，提出了28项基本安全功能要求和19项基本安全配置要求。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

中国移动股有限公司内部控制手册业务流程目录业务流程1资本性支出业务流程 (6060)1.1 招标及合同管理业务流程 (6060)1.2 一般工程资本性支出业务流程 (7272)1.3 应急工程资本性支出业务流程 (9696)1.4 零星固定资产采购业务流程 (106106)1.5 国际线路支出业务流程 (113113)1.6 切块规模管理业务流程 (126126)1.7 资本承担业务流程 (129129)2经营性支出物资采购业务流程 (132132)3资产管理及处置业务流程 (142142)3.1 固定资产及无形资产管理业务流程 (142142)3.2 固定资产维修业务流程 (167167)3.3 存货管理业务流程 (178178)4服务提供、计费、收入及收款/结算业务流程 (196196)4.1 产品定价业务流程 (196196)4.2 业务受理业务流程 (200200)4.3 计费帐务业务流程 (232232)4.4 收款和应收账款的管理业务流程 (248248)4.5 与移动运营商的结算业务流程 (259259)4.6 信息源合作方结算业务流程 (273273)4.7 内部结算业务流程 (283283)4.8 移动卡收入业务流程 (292292)4.9 代办业务流程 (299299)4.10 大客户业务流程 (305305)5关联方交易业务流程 (315315)6资金管理业务流程 (323323)6.1 筹资业务流程 (323323)6.2 货币资金管理业务流程 (332332)6.3 对外投资业务流程 (353353)6.4 资金补贴业务流程 (369369)7成本费用管理及核算业务流程 (374374)7.1 人工成本业务流程 (374374)7.2 经营租赁成本业务流程 (385385)7.3 一般成本费用支出业务流程 (392392)8会计报表编制业务流程 (400400)9重大表外事项管理 (413413)9.1 担保业务流程 (413413)9.2 法律规范遵循业务流程 (423423)10信息管理与披露业务流程 (432432)10.1 管理信息数据业务流程 (432432)10.2 信息披露业务流程 (445445)11预算管理和财务分析业务流程 (460460)1资本性支出业务流程1.1招标及合同管理业务流程一、业务流程范围1 所涉及的业务范围选择设计单位、承建商、供应商和监理公司；签订合同并对合同的执行和存档进行管理；组织采购；对购入物资的数量、质量和单价金额进行检验并对相关资产项目,以及应付账款进行记录；监督工程建设的实施并适时进行验收；向供应商支付货款。

目录2.规范性引用文件.........................................................................................................................2.1.内部引用.........................................................................................................................2.2.外部引用.........................................................................................................................3.术语、定义和缩略语.................................................................................................................4.设备安全要求框架.....................................................................................................................4.1.背景.................................................................................................................................4.2.设备安全要求框架说明.................................................................................................4.3.本框架内各规范的使用原则.........................................................................................4.4.设备安全要求编号原则.................................................................................................5.设备通用安全功能和配置要求.................................................................................................5.1.账号管理及认证授权要求.............................................................................................账号安全要求.....................................................................................................口令安全要求.....................................................................................................授权安全要求.....................................................................................................5.2.日志安全要求.................................................................................................................功能要求：.........................................................................................................配置要求：.........................................................................................................5.3.IP协议安全要求 ............................................................................................................功能要求：.........................................................................................................配置要求：.........................................................................................................5.4.设备其他安全要求.........................................................................................................功能要求：.........................................................................................................配置要求：.........................................................................................................6.编制历史.....................................................................................................................................前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

中国移动（香港）有限公司内部控制手册缩写中国移动（香港）有限公司及其子公司中国移动中国移动（香港）有限公司公司中国移动通信有限公司中国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯 - 奥克斯利法案》《萨班斯法案》目录1手册概述 (444)1.1目的 (444)1.2评价内部控制的有效性的评估架构 (444)1.3与《萨班斯法案》404条款相关的内部控制的定义 (444)1.4内部控制手册的遵循 (444)1.5颁布日期 (555)2公司层面的控制 (666)2.1控制环境 (666)2.1.1正直守德的价值取向 (666)2.1.2胜任能力 (111111)2.1.3董事会及审核委员会 (111111)2.1.4管理哲学和经营风格 (151515)2.1.5组织结构 (181818)2.1.6职权和职责的分配 (212121)2.1.7人力资源政策和实务 (232323)2.1.8信息技术战略规划 (272727)2.1.9信息技术组织架构及关系 (282828)2.1.10信息技术部门的人力资源管理 (292929)2.1.11用户教育和培训 (292929)2.2风险评估 (313131)2.2.1企业层面目标 (313131)2.2.2经营活动目标 (333333)2.2.3风险..................... 错误!未定义书签。

错误!未定义书签。

错误!未定义书签。

2.2.4对环境变化的管理......... 错误!未定义书签。

错误!未定义书签。

错误!未定义书签。

2.2.5信息风险评估............. 错误!未定义书签。

错误!未定义书签。

错误!未定义书签。

2.3控制活动 ................... 错误!未定义书签。

错误!未定义书签。

错误!未定义书签。

2.4信息及沟通 ................. 错误!未定义书签。

错误!未定义书签。

错误!未定义书签。

63中国集体经济痪，银行利息一直无法还清，企业负债重，亏损严重。

3、投资失败原因（1）投资规模过大，原本企业属中小型企业，马口铁易开盖生产线投资过大，不切合企业实际，投资时又不愿寻求投资合作伙伴，减少风险，直接向银行贷款资金投入上项目，致使资产负债比率过高。

（2）对市场调查不够，无视市场变化快的事实和已不接收马口铁材质的易开盖的讯息，为急于获取回报，没有经过科学论证即匆匆上马该项目。

（3）对投资项目认识不足，没有抓紧时间和机遇，建设期过长，导致遭遇百年一遇的大洪水，致使马口铁易开盖生产线长期瘫痪。

（4）项目建成后负担重，投入过大，投入与产出不成正比，致使项目成本高，年年亏损。

（5）不根据市场变化调整策略，轻易放弃投资项目，没有进行补救措施。

（6）看到其它企业上规模扩大生产就盲目追风投资，没有对项目进行科学的评估和分析，也没有预计到饮料市场销量下滑和不景气的大环境，对项目没有经过科学合理的设计和足够的项目准备，无法应对市场变化和突发事件的冲击，导致项目的最终失败。

■（作者单位：广西梧州市城镇集体工业联社） 本文以中国移动通信集团公司为例，研究集团内部控制相关问题。

中国移动通信集团公司成立于2000年4月20日，注册资本金为518亿元人民币，资产规模大约为7000亿元。

中国移动通信集团企业文化理念体系由核心价值观、使命、愿景三部分构成。

中国移动作为一个在纽约证券交易所和香港联合交易所上市的公司，在内部控制方面须严格按照相关法律、法规，循序渐进地开展有效的工作，以保障公司战略目标的达成，实现公司稳健、可持续地发展。

首先，作为在美上市公司，中国移动受到萨班斯法案的管辖；其次，国内的监管要求和力度也在逐步加大，国资委、财政部、证监会都下发了相关的法规、规范，公司还需要遵循国内相关监管机构提出的法规和规范。

下面就中国移动通信集团内部控制存在的问题和如何完善内部控制制度做一下详细的阐述。

集团公司内部控制相关问题研究■ 丰伟华经营之道642012年35期（12月）一、内部控制在企业中的功能内部控制的存在，本来是为了防止企业内部违规事件的发生，促进企业的可持续发展。

精品文档中国移动设备通用安全功能和配置规范Sp e c i f i c a t i o n f o r Ge n e r a lSe c u r i t y F u n c t i o n a n dCo n f i g u r a t i o n o f De v i c e s Us e d版本号： 2. 0. 0╳ ╳ ╳ ╳ - ╳ ╳ - ╳ ╳发布╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 实施中国移动通信有限公司网络部目录1.范围 (1)2.规范性引用文件 (1)2.1.内部引用 (1)2.2.外部引用 (1)3.术语、定义和缩略语 (1)4.设备安全要求框架 (2)4.1.背景 (2)4.2.设备安全要求框架说明 (2)4.3.本框架内各规范的使用原则 (3)4.4.设备安全要求编号原则 (3)5.设备通用安全功能和配置要求 (4)5.1.账号管理及认证授权要求 (4)5.1.1.账号安全要求 (4)5.1.2.口令安全要求 (5)5.1.3.授权安全要求 (6)5.2.日志安全要求 (6)5.2.1.功能要求： (6)5.2.2.配置要求： (7)5.3.IP 协议安全要求 (7)5.3.1.功能要求： (7)5.3.2.配置要求： (8)5.4.设备其他安全要求 (8)5.4.1.功能要求： (8)5.4.2.配置要求： (8)6.编制历史 (8)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本规范主要从账号管理及认证授权要求、日志安全要求、 IP 协议安全要求和设备其他安全要求 4个方面，提出了 28项基本安全功能要求和 19项基本安全配置要求。

C h e c k P o i n t防火墙配置Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998C h e c k P o i n t 防火墙配置╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０中国移动通信有限公司网络部目录前言概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账完全采纳号，避免账号混用。

2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

精编【安全管理】中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳╳╳╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述 (4)1.1目标和适用范围 (4)1.2引用标准 (4)1.3术语和定义 (4)2安全基线框架 (5)2.1背景 (5)2.2安全基线制定的方法论 (6)2.3安全基线框架说明 (6)3安全基线范围及内容 (7)3.1覆盖范围 (7)3.2安全基线组织及内容 (8)3.2.1 安全基线编号说明 (9)3.2.2 Web应用安全基线示例 (9)3.2.3 中间件、数据库、主机及设备示例 (9)3.3安全基线使用要求 (10)4评审与修订 (10)1概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS 199 《联邦信息和信息系统安全分类标准》◆FIPS 200 《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

中国移动通信企业标准 中国移动日志集中管理和审计系统 功能及技术规范版本号：1.0.0 中国移动通信有限公司 发布2008-╳╳-╳╳发布2008-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳ T h e R e q u i r e m e n t s a n d T e c h n i c a l S p e c i f i c a t i o n o f t h e C e n t r a l i z e d S y s t e m f o r L o g m a n a g e m e n t a n d A u d i t目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 综述 (2)4.1.建设需求 (2)4.2.建设目的 (3)4.3.系统总体框架 (4)5. 日志采集 (5)5.1. 采集对象及关键操作 (6)5.2. 采集机制与策略 (8)6. 日志标准化 (10)7. 日志分析 (11)7.1. 功能要求 (11)7.1.1. 用户身份关联 (11)7.1.2. 资产关联 (12)7.1.3. 操作行为分析能力 (12)7.1.4. 高危操作审计 (13)7.1.5. 数据库操作指令还原 (13)7.1.6. 会话重放 (13)7.1.7. 事件生成效率 (14)7.1.8. 审计查询 (14)7.1.9. 审计分析报告 (14)7.2. 审计策略 (15)7.2.1. 事件分类 (15)7.2.2. 事件分级 (15)7.2.3. 缺省策略 (15)7.2.4. 策略定制 (15)7.2.5. 定义合法行为 (15)7.3. 事件响应 (16)7.3.1. 触发警报条件 (16)7.3.2. 告警方式 (16)7.3.3. 告警信息 (16)8. 自身管理功能 (16)8.1. 日志功能 (16)8.1.1. 原始记录管理 (17)8.1.2. 备份管理 (17)8.2. 自身安全管理功能 (17)8.2.1. 多级用户划分 (17)8.2.2. 用户帐号管理 (17)8.2.3. 日志分组管理 (17)8.2.4. 用户认证管理 (18)8.2.5. 认证失败处理 (18)8.2.6. 自身审计数据生成 (18)8.2.7. 自身安全审计记录 (18)8.2.8. 组件管理 (18)9. 时间同步要求 (19)10. 系统部署方面的要求 (19)10.1. 整体要求 (19)10.2. 代理程序的安装和卸载 (19)10.3. 产品卸载安全 (19)11. 日志存储与备份 (20)11.1. 日志存储 (20)11.1.1. 存储安全性要求 (20)11.1.2. 存储配置管理 (20)11.2. 日志备份 (20)11.2.1. 备份日志安全性要求 (20)11.2.2. 备份数据存储压缩比 (21)11.2.3. 备份恢复功能 (21)11.2.4. 备份管理配置 (21)12. 接口要求 (21)12.1. 与被管理系统接口 (22)12.1.1. 采集接口 (22)12.1.2. 采集信息 (22)12.2. 与帐号口令集中管理系统接口 (23)12.2.1. 采集接口 (23)12.2.2. 采集信息 (23)12.2.3. 用户管理接口 (23)12.2.4. 身份认证接口 (24)12.3. 与综合维护接入平台接口 (24)12.3.1. 采集接口 (24)12.3.2. 采集信息 (24)12.4. 与工单系统接口 (24)12.5. 告警转发接口 (25)12.6. 日志转发接口 (25)12.7. 数据传输安全 (25)13. 性能要求 (25)13.1. 稳定性 (25)13.2. 资源占用 (25)13.3. 网络影响 (25)14. 编制历史 (26)前言随着中国移动通信网、业务网及各支撑系统的不断发展，各类设备产生的日志信息也越来越多。

中国移动网上大学安全安全基础L3题库安全安全基础L31. 关于TCP Wrappers的说法，不正确说法是A.通过TCP Wrappers 的陷阱设置功能，可以根据被拒绝的远程主机的连接尝试的数量，在主机上触发相应的操作B.TCP Wrappers 使用访问控制列表(ACL) 来防止欺骗。

ACL 是/etc/hosts.allow 和/etc/hosts.deny 文件中的系统列表C.TCP Wrappers 通过TCP远程过程调用(RPC)来提供防止主机名和主机地址欺骗的保护D.当访问控制文件中包含了ACL 规则时，标题消息功能将会导致向客户端发送一条消息答案：C2. Solaris操作系统下，下面哪个命令可以修改/n2kuser/.profile 文件的属性为所有用户可读、可写、可执行？（）A.chmod 766 /n2kuser/.profileB.chmod 744 /n2kuser/.profilC.chmod 777 /n2kuser/.profileD.chmod 755 /n2kuser/.profile答案：C3. 下面属于信息安全管理体系的标准是A.ISO/IEC 27001B.GB/T22080C.ISO/IEC 20000D.BS 25999答案：A4. 基于主机评估报告对主机进行加固时，第一步是（）A.文件系统加固B.帐号、口令策略修改C.补丁安装D.日志审核增强答案：C5. windows 8开机取证，要获得当前用户的SID,可以使用的命令是A.HandleB.LspdC.TlistD.whoami答案：D6. CC（Challenge Collapsar）攻击主要是通过消耗（）从而达到攻击目的的A.网络带宽B.系统磁盘空间C.用户访问时间D.Web服务器资源答案：D7. 下述哪一个SQL语句用于实现数据存储的安全机制？/doc/6c17577931.html,MITB.ROLLBACKC.CRAETE TABLED.GRANT答案：D8. 下面哪项不属于ISO7498中对安全服务的定义A.密码B.访问控制C.认证D.数据完整性答案：A9. 在IIS上，使用了ISAPI服务器扩展技术，该技术允许IIS加载一些DLL文件并使用这些文件对特定扩展名的文件进行解析，如：扩展名为asp的文件默认对应的DLL文件为asp.dll，也就意味着，asp 文件使用asp.dll进行解析，除asp文件外，asp.dll还可以对其他扩展进行解析，如cer，以下选项中，哪个扩展默认配置下未使用asp.dll 解析。

78 | 2009.12开展战略规划审计中国移动具有信息化程度高、规模大、全程全网的特点，为了实现企业战略目标，在内部控制方面进行了一系列有益探索，如确立企业愿景和企业核心价值观，推行全面预算管理、收支两条线、财务集中管理、《萨班斯法案》的遵循性测试，开展基于风险的管理审计，实行经营业绩考评以及以人为本的绩效管理等，并先后提出业务和服务领先战略、高效低成本战略、全业务运营战略、移动互联网战略等企业战略。

就全业务运营战略来讲，运营商由单业务运营向全业务运营转型不是简单的转型，而是面对宏观环境变化和业务技术重大变革的唯一出路与最佳战略决策。

无论是为了降低资本开支和运营成本，还是为了实施新商业模式，都需要考虑融合。

融合才是降低成本、增加收入、推动行业结构升级换代的重要动力。

内部审计所关心的效益、成本、效率是实现企业战略目标的关键因素。

目前，电信企业内部审计经常以平衡记分卡和五力分析为工具，对公司的战略制定和业绩进行评价与分析（见下图）。

开展公司治理内部审计是构成有效公司治理的四大基石之一，并与公司治理一起解决了信息不对称问题。

在全业务运营时代，中国移动在总部层面建立了董事会领导下的审计委员会，总部内审负责人直接对审计委员会负责。

中国移动按照纽约证券交易所的规定（从2002年8月1日起，所有上市公司必须设置和保持有效的内审机构，否则不得上市或将面临退市）和广大境外股民的要求，于2002年2月在广东深圳成立了中国移动内审部。

但是，在子公司（省级公司）层面的公司治理结构中没有设立审计委员会，各子公司内审机构负责人归子公司总经理或副总经理领导，独立性仍有提高的空间。

持续开展风险管理企业管理层的职责是树立企业的风险管理理念，确定企业的风险偏好，打造企业的风险文化，并对企业的风险管理最终负责。

公司治理是组织应对风险的战略反应，其核心职责就是确保有效风险管理方案的适当性，因此包含一些战略性风险管理因素，如公司董事会所设定的公司经营管理基调是风险偏好型还是风险规避型，公司管理层的经营风格、经营理念、管理哲学中包含的风险态度等。