海南省电信公司内部控制办法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
海南省电信有限公司内部操纵手册实施细则
中册
目录
1对程序和数据的访问 (1)
1.1网络基础设施 (1)
1.2承载网 (7)
1.3智能网 (13)
1.4大客户治理系统 (20)
1.5营业受理系统 (27)
1.6计费帐务系统 (34)
1.7客户服务系统 (41)
1.8财务治理系统 (48)
1.9打算建设治理系统 (54)
1.10 省级综合结算系统 (60)
1.11办公自动化系统 (67)
2程序变更治理 (74)
2.1网络基础设施 (74)
2.2承载网 (78)
2.3智能网 (82)
2.4大客户治理系统 (87)
2.5营业受理系统 (92)
2.6计费帐务系统 (97)
2.7客户服务系统 (102)
2.8财务治理系统 (107)
2.9打算建设治理系统 (112)
2.10 省级综合结算系统 (117)
2.11办公自动化系统 (122)
3程序开发 (127)
4系统运行 (132)
4.1网络基础设施 (132)
4.2承载网 (137)
4.3智能网 (142)
4.4大客户治理系统 (147)
4.5营业受理系统 (152)
4.6计费帐务系统 (157)
4.7客户服务系统 (162)
4.8财务治理系统 (167)
4.9打算建设治理系统 (172)
4.10省级综合结算系统 (177)
4.11办公自动化系统 (182)
5最终用户计算 (187)
1 对程序和数据的访问
1.1 网络基础设施
一、业务流程范围
1 所涉及的业务范围
逻辑安全和物理安全、用户帐号的添加、修改及删除操
纵、用户帐号的定期批阅、职责分工操纵。
2 所涉及的部门范围
所有部门。
二、所涉及的计算机系统
所有在DCN网上的系统。
三、目标
1 关于与财务报告相关的信息,公司应制定相关的信息安
全治理政策并使职员意识到公司对信息安全重要性的重
视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通
过用户身份的识不,认证及授权的治理机制,以降低由
于对系统及数据的未经授权的访问所带来的风险。
3 建立相关流程以确保用户添加、修改、删除都通过治理
层授权,及相关操作的准确性和及时性。
4 确保定期对系统中用户的访问权限进行批阅,以减少未
经授权或不适当的对系统或数据进行访问而带来的风
险。
5 确保在关键流程中存在适当的职权分离。
四、风险
1 公司缺乏可遵循的信息安全治理政策,信息安全治理不
规范,增加信息安全隐患。
2 缺乏必要的物理访问及逻辑访问治理机制,导致对信息
资源的未经授权的访问, 非法修改系统数据。
3 对添加、修改、删除用户未通过治理层授权,离职职员
帐号未及时在系统中删除,导致对系统及数据未经授权
或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发觉。
5 系统的权限分配与业务部门授权确定的职责分工要求不
符。
五、相关会计科目
所有会计科目。
六、流程概述
1信息安全治理
省公司在组织中建立了信息安全职能,并制定相应的组织结构图及部门、人员职责描述文档。
省公司制定了正式并通过治理层批准的信息安全政策,范围包括所有与生成财务报告的程序和数据相关的信息技术环境(例如网络安全、物理安全、操作系统安全、应用程序安全等方面)。用户和信息技术人员都应知晓本公司的信息安全政策。
2用户帐号的治理
2.1 超级用户帐号的治理
网络治理员用户帐号的使用仅限于经授权人员,这类用户
帐号的授权须经网络维护部门领导的书面授权审批。
在网络治理职员作调动或离职等工作职能发生变化时,由人力资源部门正式以书面方式及时通知相关的网络维护部门,由系统治理员更新或删除其相应的访问权限。
2.2 用户帐号访问权限的定期批阅
网络维护部门主管人员或业务部门对网络治理员帐号和访问权限进行每半年批阅,以发觉任何不合适的访问权限。
发觉的问题要及时跟进解决。批阅结果留下书面记录。
网络维护部门主管人员每半年对机房访问权限清单进行批阅,假如发觉不恰当用户的存在及时通知机房治理人员取消相应用户的授权。
3信息系统的的逻辑访问和物理访问
对网络治理员的治理访问采纳身份验证机制,对网络设备的治理访问必须使用用户名和密码,而且每个网络治理员帐号被授予唯一的网络治理员。假如由于系统限制存在网
络治理员帐号共享,其密码在其中任一治理员离职时及时更改,以防止非法访问。
网络维护部门对网络治理员帐号的密码制定密码政策,以幸免用户使用安全级不低的密码。密码政策包括: 用户密码长度位数规定,密码应定期更新。关于使用密钥棒或动态密码卡的网络设备,需要配合使用由用户掌握的PIN
码。
网络治理员负责每周检查网络安全日志记录,发觉异常现象应及时跟进或上报。
网络设备等硬件设备存放在安全的机房中,所有出入口均具备电子门禁系统或门锁的爱护。只有通过授权的人员可对存放有与财务报表相关的网络机房和设备进行物理访
问。所有对机房的访问授权需经网络维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。
公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内部网络的非法访问。只有指定的网络治理员才能拥有防火墙治理帐号,并进行防火墙规则的更改。
七、信息技术操纵点