內(nèi)部控制手冊第3部分-內(nèi)控矩陣-11,4應用系統(tǒng)IT一般性控制內(nèi)部控制矩陣_第1頁
內(nèi)部控制手冊第3部分-內(nèi)控矩陣-11,4應用系統(tǒng)IT一般性控制內(nèi)部控制矩陣_第2頁
內(nèi)部控制手冊第3部分-內(nèi)控矩陣-11,4應用系統(tǒng)IT一般性控制內(nèi)部控制矩陣_第3頁
內(nèi)部控制手冊第3部分-內(nèi)控矩陣-11,4應用系統(tǒng)IT一般性控制內(nèi)部控制矩陣_第4頁
內(nèi)部控制手冊第3部分-內(nèi)控矩陣-11,4應用系統(tǒng)IT一般性控制內(nèi)部控制矩陣_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

11.4應用統(tǒng)般性制內(nèi)部制矩陣業(yè)目

業(yè)風

控點1.序數(shù)訪1.1

經(jīng)營風險程序和數(shù)據(jù)訪制度不健1.1總各部門分(子)司依據(jù)《國石油化工股份有限公司管理2.3

全,導致信系統(tǒng)應用理不規(guī)范理辦法試行簡稱《信息統(tǒng)應用管理法相關用2.4

運維不及時

施程序和數(shù)訪問管理包括用戶限管理、用戶帳號及訪問管理、管理員、應管理員、全管理員主要職責是承擔對系統(tǒng)管理員、管,負責審系統(tǒng)管理、應用管員在系統(tǒng)中的操作)管理、第三1.2用戶權管理1.1

經(jīng)營風險:戶權限管不規(guī)范導1.21新員工及崗位變動人員按用戶權限關管理辦填寫用戶1.2

致對系統(tǒng)的法或非授訪問。相關門負責人審批后,由應用管理員在統(tǒng)中新增變更或鎖用1.1

經(jīng)營風險數(shù)據(jù)庫用戶權管理不規(guī)1.2.2對于數(shù)據(jù)庫用權限關人填寫用戶限審批表相關部1.21.12.1

范,導致對統(tǒng)的非法非授權訪由系管理員在數(shù)據(jù)庫中新增、變更或鎖用戶權限問。1.3用戶帳及訪問管理經(jīng)營風險:統(tǒng)登錄控功能不健1.3.1操作人員訪問用系統(tǒng)時必須輸入戶帳號和密碼。全,導致對統(tǒng)的非法非授權訪問。1.1

經(jīng)營風險戶共享致責任清;1.3.2應管理員在統(tǒng)中為每個操作人員設置獨立的用帳號不1.2

系統(tǒng)賬戶審清理不及導致對號(詢用戶帳號除外用管員至少每年打印一用戶帳號統(tǒng)的非法或授權訪問關部負責人審核。1.4密碼管1.1

經(jīng)營風險密碼設置強度夠或更改1.4.1操作人員應按密碼管理關規(guī)定,循系統(tǒng)密碼的長度至少為不及時成系統(tǒng)密或受到法訪數(shù)字字符的組合,三個月更改一次密碼密碼規(guī)則置密碼,得問

的密碼。應管理員對作人員密定期更換記錄進行檢查。1.1

經(jīng)營風險:統(tǒng)、應用理員密碼1.4.2系統(tǒng)管理員應用管理應在系統(tǒng)用前修改作系統(tǒng)、數(shù)據(jù)庫置強度不夠更改不及造成系級用初始密碼。上述密碼至少三個月更一次,安管理員對期泄密或受到法訪問

查。1.5系統(tǒng)管員、應用管理員、安全管理員管理1.1

經(jīng)營風險:統(tǒng)、應用理員崗位1.5.1系統(tǒng)需配備職或兼職統(tǒng)管理員應用管理和安全管理員。1.2

置不合理、權不規(guī)范導致對系統(tǒng)管理、應用管理員必須經(jīng)相關部門負責授權并遵不相容崗的非法或非權訪問。得擁應用系統(tǒng)的業(yè)務操作權限。相關部負責人至每半年對述進行審查。1.1

經(jīng)營風險:全管理員督不到位1.5.2安全管理員少每季度系統(tǒng)管理、應用管員的操作日志或1.2

系統(tǒng)安全收威脅。提出核意見,并報相關部門負責人。1.6第三方員管理

業(yè)目

業(yè)風

控點1.1

經(jīng)營風險第三方合作單管理不到1.6.1總部各部門子公司與三方合作位就相關應用系統(tǒng)簽1.22.12.2

位,造成系泄密或受非法訪問1.1

經(jīng)營風險對第三方人員戶權限管1.6.2第三方人員需問系統(tǒng)時申請/經(jīng)辦人按照關管理辦法1.2

理不規(guī)范導致對系統(tǒng)的法或非授表需注明使用期和權限經(jīng)需求部門負責人核后提交息管理部2.1

權訪問。

室)負責人批,由應管理員在統(tǒng)中新增或變更其帳號及權限。2.2

刪除或鎖定三方人員帳號。2.序更1.1

經(jīng)營風險:序變更制不健全導2.1總各部門分(子)司依據(jù)《息系統(tǒng)應用管理辦法》及相關1.2

致信息系統(tǒng)用管理不范維不法實系統(tǒng)變更管理,包括變更申請審批變更測試變更版本理及時。1.1

經(jīng)營風險系統(tǒng)變更管不規(guī)范導2.2總統(tǒng)一建的應用系系統(tǒng)更必須填寫系統(tǒng)變更審批表上報1.2

致應用系統(tǒng)行和維護無法正常和總相關部門,由總部統(tǒng)一組織升級、試和變更各分(子公進行。

各分(子)司自建系或客戶化發(fā)的變更,必須經(jīng)過分(子)公和相關部門責人審批1.1

經(jīng)營風險系統(tǒng)變更管不規(guī)范未2.3變的應用序移植到產(chǎn)系統(tǒng)前關門必須組織人員進行系1.2

經(jīng)審批測試導致用系統(tǒng)運和維護的無法常進行。

戶測試,測不能在生環(huán)境中進。1.1

經(jīng)營風險系統(tǒng)變更版管理文檔2.4信管理部必須對操系統(tǒng)、數(shù)庫、應用系統(tǒng)版本變更進行管1.2

管理不規(guī)范致應用系運行和維護的無法正進行。

更的版本號存檔變更檔和變更級程序。3.序發(fā)1.1

經(jīng)營風險:術方案不理系統(tǒng)功

3.1新建應系統(tǒng)的項目計劃、可研評審、立項批、項目施、竣工2.12.2

能存在問題致應系統(tǒng)不能足生產(chǎn)經(jīng)營管業(yè)務需求

按照《11.1信息系統(tǒng)管業(yè)務流程》執(zhí)行。1.1

經(jīng)營風險:統(tǒng)上線前經(jīng)嚴格測

3.2應系統(tǒng)上線,必須由息管理部組織測試統(tǒng)功能,成測試系統(tǒng)功能在問題,致應用系統(tǒng)不能正常行。

終用戶部門責人簽字認。3.3系統(tǒng)初化管理1.2

合規(guī)風險:用系統(tǒng)數(shù)的收集整3.3.1相關部門按照據(jù)收集模組織人員集、整理業(yè)務數(shù)據(jù),并由2.32.4

理不規(guī)范,經(jīng)審核確,導致系審核確。存在大量垃數(shù)據(jù)或數(shù)失真。1.2

合規(guī)風險導入系統(tǒng)的數(shù)未經(jīng)審核3.3.2相關部門組織員對導入補錄系統(tǒng)數(shù)據(jù)進行核對,并相關2.32.4

確認致系統(tǒng)存大量垃圾據(jù)或確認數(shù)據(jù)失真。4.統(tǒng)行1.1

經(jīng)營風險:統(tǒng)運行制不健全導4.1總各部門分(子)司依據(jù)《息系統(tǒng)應用管理辦法》及相關致信息系統(tǒng)用管理不范維不法實系統(tǒng)運行管理,包括系統(tǒng)備份及恢、系統(tǒng)監(jiān)、維護及障及時。4.2數(shù)據(jù)備及恢復

業(yè)目

業(yè)風

控點1.1

經(jīng)營風險備份策略和備方案不完4.2.1應用管理員(統(tǒng)管理員至少每月一次數(shù)據(jù)全備份,并檢查1.2

善,數(shù)據(jù)備不及時、成功,導確認備是否成功。對備份異常情況進行記,同時檢備份數(shù)據(jù)2.3

系統(tǒng)數(shù)據(jù)丟,系統(tǒng)無恢復。1.1

經(jīng)營風險備份策略和備方案不完4.2.2系統(tǒng)管理員適對系統(tǒng)進備份,同檢查備份系統(tǒng)的可讀性,1.22.3

善應用系統(tǒng)序備份不時導致功。系統(tǒng)無法恢。1.1

經(jīng)營風險:據(jù)庫用系統(tǒng)志備4.2.3系統(tǒng)管理員、用管理員少每月對據(jù)庫、應用系統(tǒng)的日志進1.22.3

份不及時導致系統(tǒng)問題法追溯或系統(tǒng)無法恢。1.1

經(jīng)營風險:份介質(zhì)管不規(guī)范導4.2.4應用管理員(統(tǒng)管理員每月將備介質(zhì)與生產(chǎn)服務器異地存1.2

致備份數(shù)據(jù)失、泄密系統(tǒng)無法理。備介質(zhì)存放要有記錄,介質(zhì)訪問人員經(jīng)相關部負責人授2.31.11.22.31.11.22.3

復。經(jīng)營風險備份數(shù)據(jù)可讀測試不及4.2.5系統(tǒng)管理員至每半年對份數(shù)據(jù)進一次可讀性測試。時導致系統(tǒng)據(jù)丟失,統(tǒng)無法恢復。經(jīng)營風險備份數(shù)據(jù)恢復測試不及4.2.6系統(tǒng)管理員至每年對備數(shù)據(jù)進行次恢復性測試。時導致系統(tǒng)據(jù)丟失,統(tǒng)無法恢復。4.3系統(tǒng)監(jiān)、維護及故障處理1.1

經(jīng)營風險:統(tǒng)運行缺有效監(jiān)控4.3.1系統(tǒng)管理員應用系統(tǒng)后臺作業(yè)操作系統(tǒng)數(shù)據(jù)庫、服務器影響系統(tǒng)安穩(wěn)定運行監(jiān)控,并報系統(tǒng)運行監(jiān)控報告。1.1

經(jīng)營風險系統(tǒng)日志審不到位導4.3.2應用管理員對用系統(tǒng)操日志或記安全管理員對直接訪問1.2

致系統(tǒng)問題能及時處影響系志至每月進行一次審核,發(fā)現(xiàn)異常情況及時上報息管理部/相2.3

穩(wěn)定運行。

同時查明原,提出處意見,記處理情況。1.1

經(jīng)營風險系統(tǒng)問題處、故障記4.3.3對系統(tǒng)運行出的故障,關人員需報問題處理記錄單,詳細1.2

不規(guī)范,影系統(tǒng)穩(wěn)定行。況,中包括故障發(fā)生時間、故障情況、決辦法、理結果及題2.3

審核確認。1.1

經(jīng)營風險未制應急預案培訓不4.3.4系統(tǒng)應用部門同信息管部門制訂統(tǒng)應急預案,并至少每年1.22.3

到位工不能及正確處理發(fā)事統(tǒng)管員、應用管理員進行一次系統(tǒng)應急案的培訓件或故障,響系統(tǒng)安穩(wěn)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論