第一章信息系统管理第一节信息安全一. 业务目标•建立有效的安全政策或安全标准,以用于为已有的和新实施或变更后的应用系统、网络和操作系统用户提供信息安全指引。•在变更管理过程中对于程序及系统安全性的配置得到适当管理,以防止对程序及数据进行未经授权的修改,从而导致财务信息被不完整、不准确或无效地处理或记录。•系统安全被适当地实施、管理及记录,以防止对程序及数据进行未经授权的访问或修改,从而导致财务信息被不完整、不准确或无效地处理或记录。二. 业务风险•缺乏安全标准,致使安全机制没有适当或有效的实施。•用户在未经授权的情况下获得了可以直接修改系统或数据的权限,从而导致计算机环境生成的信息不完整或不正确。•用户被授予不恰当的权限,致使其可以随意创建,修改和删除业务交易或数据计算结果,从而导致计算机环境生成的信息不完整或不正确。•管理层未建立有效机制来复核系统中用户的授权情况和操作记录,不能够及时发现非授权行为所带来的系统配置修改或业务交易操作。三. 业务范围该子流程主要描述黄冈晨鸣浆纸有限公司(以下简称“黄冈晨鸣”)信息安全管理的相关业务流程。在该子流程中,具体阐述了公司信息安全制度建设、用户授权审批和定期复核、信息安全技术的使用和信息安全情况监督复核等内容。四. 业务流程描述1. 信息安全策略和制度规范1.1 根据集团制订的《信息安全管理制度》,其中包括负责安全管理的责任人及主要职责,安全管理流程(例如:用户认证管理、密码设置、防病黄冈晨鸣浆纸有限公司内部控制手册1毒安全管理、物理安全管理等),安全管理规范文档,信息系统安全保密和泄密责任追究等内容。2. 密码策略实施情况2.1 根据集团制订的《网络信息管理制度》其中要求用户妥善保管自己的账号和密码,并规定了 BPM 系统用户密码策略(长度不少于 8 位、数字加字母组合)。2.2 信息科通过系统强制设置规范各应用系统用户的密码策略,要求各系统密码长度不少于 8 位。2.3 信息科通过系统安全设置规范操作系统、数据库和网络管理员的密码策略,要求密码长度不少于 8 位、包括三种字符、以保证系统安全,防止企业机密泄露。3. 用户授权审批和权限复核3.1 应用系统用户授权:各部门关键用户根据申请人的工作职责需要,将用户角色和参数文件填写在新增、删除和变更用户的相关流程中,经负责人和分管领导审批后转交信息科。信息科经理对请示内容进行复核,随后交管理员负责实施。3...
