IT信息系统内控

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机信息系统管理

计算机信息系统管理001:信息安全管理

计算机信息系统管理002:信息资源申请、使用及日常维护管理

计算机信息系统管理003:变更管理

计算机信息系统管理流程综述

不可兼容职责表

X:表示相互冲突的职责2.附注

A:应用系统管理员

B:操作系统、数据库管理员C:系统权限的申请

D:系统权限的审批

E:系统权限的设置

F:系统开发人员

G:系统验收人员

H:系统操作人员

I:系统管理员

计算机信息系统管理001:信息安全管理

1.0流程综述

本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制,以及如何实现信息的保密性、完整性和可用性。

2.0适用范围

公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。

3.0控制目标和关键控制活动

4.0政策和工作流程

4.1IT环境的物理安全

IT环境的物理安全应与人力资源部联系,确保各项安全措施的到位。

4.1.1高度安全区域的管理

对公司级信息设备集中放置,设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功能。高度安全区域必须取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。

机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作,对使用机房的人员从以下方面做了规定:机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见《上海汽车集团股份有限公司IT机房安全管理规定》

4.1.2保护公司计算机及相关设备和通讯设施的安全

禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备,应采取相应的措施进行保护或保存。因维修或其他用途而拆除存有信息的电子设备,如硬盘时,应完全销毁其存有的数据,并确保此信息不能被恢复。

4.21用户帐号申请控制

登入和使用公司计算机系统和网络资源,需用户部门确定和批准用户申请的权限范围,信息系统部审核申请是否符合相关流程和规定,通过后按申请内容进行技术设置。对用户组一一对应的识别认证权限控制系统(如用户ID和密码),以阻止非法侵入,确保各级用户

只能进入其授权使用的系统。系统应保留一定期限内的所有登入记录。

用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号(即,AD、邮件帐号),需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。(若为离职人员,信息系统部将收回所有IT设备、取消所有帐号及权限。)

4.2.2密码控制

信息系统部规定了公司密码设置要求,对于任何系统、包括应用系统,操作系统和数据库等:

用户密码至少8位;

密码中需包含英文大、小写和数字;

密码至少90天更换一次;

接近的密码在9个月内不得重复使用;

临时用户也应建立良好的密码设定和使用习惯。

4.2.3权限复核

用户部门负责审核该部门的权限申请内容,对于重要数据,应根据分工将操作权限分开设置。用户部门关键用户或批准权限申请的负责人应定期,至少一年一次,审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次,以确保分配给用户使用的权限是恰当的,且符合权限最小化的原则。

4.2.4管理员账号的管理

4.2.4.1客户端管理员

原则上所有的客户端账号都只开通用户(User)权限。

对确实因工作需要的(如:工作中必须使用某种软件,该软件必须开通管理员权限才能正常使用等。),经过部门总监确认签字,信息系统部运维经理批准,开通管理员(Administrator)权限。信息系统部对于开通管理员权限的用户,每月通过监控软件进行审核,检查其是否有非法使用情况(如私自安装软件、对操作系统设置进行更改等)。

4.2.4.2系统管理员

信息系统部对各系统,包括应用系统,操作系统和数据库等,分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所有负责的系统根据批准的事情单,进行规定的操作。原则上,在应用系统的生产环境中,应避免开放管理员权限。

4.2.5病毒防治

信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在服务器上做好相关数据的定期备份。

用户需使用信息系统部确认过的正版软件,不运行功能不明的可

执行文件。在使用外接存储设备时需先进行查毒、杀毒工作。

信息系统部对于病毒的防治,以及病毒应急处理的流程,请参考《上海汽车集团股份有限公司病毒应急方案流程》

4.2.6网络安全控制和用户使用规范

公司的计算机网络,如局域网、广域网,是计算机系统运作及数据传递的基础,信息系统部必须采取足够的,有效地措施保证网络的安全,确保公司内外信息沟通的正常进行。

用户在使用上汽集团网络时,也应明确其责任,个人的网络行为直接影响到公司网络的公共安全。详细内容,请参考《上海汽车集团股份有限公司关于进入公司计算机网络的规定》。

4.2.7合法使用正版软件

信息系统部负责编制、更新公司《软件清单》,每月更新软件购买和使用数量的状态。信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证(liscense)。公司员工须遵守公司有关合法软件及使用许可证合同的规定,信息系统部将不定期检查或抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。详细内容请见《上海汽车集团股份有限公司信息系统安全制度》。

4.2.8信息系统的分级

信息系统部根据公司应用系统的业务性质、重要性程度、涉密

相关文档
最新文档