中国电信股份有限公司xxxx分公司内部控制实施细则手册中册(2010年修订)目录(中册)1.对程序和数据的访问.............................31.1交换类系统.....................................31.2智能网和业务平台..............................121.3MBOSS-A类系统................................231.4MBOSS-B类系统................................342.程序变更管理..................................452.1交换类系统....................................452.2智能网和业务平台..............................512.3MBOSS-A类系统................................592.4MBOSS-B类系统................................673.程序开发......................................754.系统运行......................................824.1交换类系统....................................824.2智能网和业务平台..............................894.3MBOSS-A类系统................................964.4MBOSS-B类系统...............................1045.最终用户计算.................................1091.对程序和数据的访问1.1交换类系统一、业务流程范围1、所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2、所涉及的部门范围前后端相关部门,包括运行维护、计费结算、市场等领域。二、所涉及的计算机系统负责生成话单的网络运营支持系统(交换机类),包含但不限于交换机、NGN、网关、关口局;以及其他对财务报表的准确性有直接影响的交换类设备,包含但不限于HLR,SHLR等。三、目标1、对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。2、对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。3、建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。4、确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。5、确保在关键流程中存在适当的职权分离。四、风险1、公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。2、缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源未经授权的访问,非法修改系统数据。3、对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。4、对系统或数据非法和不适当的访问不能被及时发现。5、系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目收入类科目。六、流程概述1、信息安全管理股份公司按照工业与信息化部或股份公司的相关规定和标准,严格确保交换类设备的安全,进行定期检查并保留书面的检查记录。2、用户账号的管理2.1超级用户账号的管理交换类系统的管理员账号的使用仅限于经严格认证的授权人员。管理员账号的授权经运行维护部门及相关各级主管人员的审批。授权审批文档集中归档。对管理员账号在交换类系统的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式通知运行维护部门,按照交换类系统管理员账号的管理流程,由系统管理员更新或删除其相应的访问权限。2.2用户账号访问权限的定期审阅运行维护部门主管人员半年对交换类系统的管理员账号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下记录。运行维护部门主管人员半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。3、信息系统的的逻辑访问和物理访问对交换类系统管理员账号的访问采用身份验证机制,而且每个交换类系统管理员账号被授予唯一的维护管理人员。如果由于系统限制存在管理员账号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。按照股份公...
VIP
