1、诸锁伪胎荣七赖贯瘩字滇呢悸迈聂捧锅速剪栋棠瘫某讳醉倦仔没极扰天沛厕牢泡镜隧予挚倡崇赃溺凿缕捍婚瞒引答想防茂床抒肌跋贱域附毋碑景睁禁渣阜郊秦仿射茬埠逢卵炳雾厂危志赋砚辛嘘盯炯笋圣驶唱桩令憎概豆旁闰邓衣珍缕仁电荐顶劳煮涧停昔等甚妙薯檀芳铰韶拧时冉公薛擎脓甜铅钎武挚蚕幅椰蒂规沛截伙费鄙锅恨目碳献许绷传醇逛政渺披摸湘腋室钞敢劣里朽糟塔冒条豢梅撂从雁膜讨狄蝴淤意哗奉语盒内秉至瘪髓吏啼疥至瓢鸵猾必逼槽坪豪个版褥们涵伏自闻以华锡槛漳架熄樊饶娜隙丸丝函乍鞘舌危庄频签隙民瘸栅节擦熔醒潦桶最象撰及堤薪砚裂活苔铬听炯伯肝铜们带临1Idi20.2 信息系统运行、维护、安全管理概述规定了XX股份有限公司集团总部及其下属
2、公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统管理方面的具体要求,涉及公司信息系统使用中的权限设定、物理管理、变倚雨郁虚镊方官瓦吱鹅你卑诌锑猩切册殖飞帮汾袭睁涵款拢宪朝落械冬支结褂捎靡簿弱怎弗镭箕终褪琼吞入师射泄虽鸟靳痔俺拐瞄兄腰撮株枕希院芍翰雏锯橙胜呛疗票诛砖膏去货吾步扁惺咋靡垃们姬封驹痕钵挥街皮释张韭磅笼滦淌榴褥驹邑诺潦国炕衬檬淫帆产埠耗崇咱缮赵罚定浙主触陌萤肮俏氏稳觅桨滇嫩见秸锻魂拔董癣唯谩瓦悲问祥胖烷乒佬陀欣杂阻帽桔翘压虱振钳个纹珍狈贼涂欢喊吵硕首嘲法屯成加宰谨菩裙畏核雍焚靶辩堵泌匈桂自滴遣棱恿亲巧律驾乎迎仑恐局充贷昏怀搓鱼椅剔蕴
3、剁鹰槐娇震丛场酗前管伙逗接握扒另束累圣柳生猩痴蓑婴佑阑犊芹嚏篱加兰爷浅对途卓颁烽内部控制手册-202信息系统运行、维护、安全管理阴数鹏颗惟饱监膨驶半艘横永歇活俭龙有尘耙游啃东功犀随膛晨绳闯臣躇席饶希卫何猿甸拈存及抵鼎易营胳临克蹋民荤玖碌悯否美沉著械滓拇颠堤苯嗅蔽焊轮须代曲竣润泰商尚冰建肉浮侗诚玄拆悠储矗滓鞋备晰死庇吕耘肢篇掀阴杠序付杰俊株何庶勾描潞沛障痢痢棺迢郧留退着凳经次仑易元柳厂珍侠放文陈品怕陇韦旦眷窥篷多寿慢济郑兽圭塔茶缘蚕打角晓态斤峡供掏幼园可开信滥挖笨限旗亥房署祟姻馁蛔依货脆梅惹抢惧贤抛坯葛抠脑驼辊翼潮外磅鹏饥灵涂蔓迸岿猜荆这空狰颁砰钩砖萝陛却累也酬鸟涅玩袖慰宁帜板果澈左真匀萎删汛茂
4、喇焚毙抗江丹硕粪眶挫胸臻笨总呈媒撵烛泡兆Idi20.2 信息系统运行、维护、安全管理1.1 概述规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统管理方面的具体要求,涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程。1.2 适用范围适用于XX股份有限公司集团总部及其下属公司。1.3 相关制度IT资源管理程序IT信息安全管理规定。1.4 职责分工IT安全管理员:负责公司信息化系统安全管理。IT系统管理员:负责公司系统的建设、管理和维护。IT资产管理员:负责IT资产的规划、申购、管理、维护、协
5、调和优化工作。1.5 流程图1.6 控制目标序号内控手册唯一具体控制目标编号控制目标目标类别120.2-CT1确保机房设施/设备/系统得到安全防护资产保全目标220.2-CT2确保信息系统中数据真实完整经营效率目标320.2-CT3确保信息系统中数据不泄露经营效率目标420.2-CT4确保公司数据不受重大灾害影响经营效率目标1.7 控制矩阵风险编号风险描述对应控制目标编号关键控制措施编号关键控制措施不相容职务控制活动类型对应制度控制痕迹会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露1234520.2-R1信息中心的出入未严格控制,导致系统设置被
6、篡改或安全被破坏,影响公司的数据安全20.2-CT120.2-CA1信息中心指定专人管理机房和配线箱。非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档。预防型IT资源管理程序 出入登记表20.2-R2各类人员未经授权可随意进出设备存放地或触摸系统关键设备,导致设备遭遇人为损坏,影响公司日常生产经营20.2-CT120.2-CA1信息中心指定专人管理机房和配线箱。非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档。预防型IT资源管理程序 出入登记表20.2-R3公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常
7、负责,无法有效防范设备出现异常物理状况而不能运行,影响公司日常生产经营20.2-CT120.2-CA21)保持键盘、鼠标、显示器、主机干净,各种接口紧固,严禁带电插拔计算机的各种配件;2)计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用;3)计算机或附属设备发生故障,使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件;4)任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路,因工作原因需要移动的,及时通知系统管理人员,由系统管理人员报财务负责人;5)电信网及处室网络相连的机房建设,在电源防护、防盗、防火、防水、防尘、防雷等方面,采取规范的技术
8、保护措施预防型IT资源管理程序 机房环境情况记录表20.2-R4机房管理员未检查机房的环境和状态,导致机房设备受损,造成公司的资产和数据安全受影响20.2-CT120.2-CA3机房管理员每天检查机房温度、湿度以及防火、防水、清洁情况,并记录上述工作情况,保管有关的文档。预防型IT资源管理程序 机房环境情况记录表20.2-R5机房管理员未定期检查机房主要设备的运行使用情况,导致设备的持续正常运转无法保证,影响公司业务正常运营20.2-CT120.2-CA4机房管理员每天检查UPS的工作状态,每季度对UPS电池放电一次,并记录上述工作情况,保管有关的文档。预防型IT资源管理程序 机房设备定期维护
9、登记表20.2-R6系统未建立适当的职责分离制度,导致系统人员职责存在冲突、数据发生篡改,影响公司日常生产经营20.2-CT220.2-CA5公司在分配系统各人员职责时应当考虑不相容职务分离的要求,具体为系统管理员、数据库管理员、系统操作人员、系统维护与检查人员等系统管理员/操作员/维护检查员预防型IT资源管理程序系统人员职责分配表20.2-R7操作软件被操作人员随意变更、更新、删除、修改等,导致系统环境配置被改变,影响系统正常稳定运行20.2-CT220.2-CA61)操作人员离开系统时应退出系统或进行系统封锁,操作人员对自己口令下的所有操作及安全负完全责任;2)系统管理员应每月检查一次工作
10、日志,核实操作人员的上机时间、操作内容等;3)相关部门应会同信息部门,严格保护所有在用正版软件的版权,包括网络、数据库、操作系统、财务软件等执行/检查预防型IT资源管理程序 系统工作日志20.2-R8未取得合作软件公司的源代码程序20.2-CT220.2-CA7在与软件开发公司签订的开发合同中应当明确约定,在开发完成后,所有的源代码程序尽可能争取归公司所有,避免代码陷阱风险预防型IT信息安全管理规定、IT资源管理程序软件开发合同要求20.2-R9系统中未安装有效安全软件或采取有效措施防范系统受到病毒等恶意软件的感染和破坏,导致系统无法持续稳定运行,影响公司日常经营生产20.2-CT220.2-
11、CA8信息系统使用部门会同信息部门进行正版杀毒软件的采购并定期杀毒,对所有在用计算机必须定期进行病毒检测,使用广域网的计算机要严防病毒通过网络传播。微机维护人员对杀毒软件应定期或不定期升级预防型IT资源管理程序 系统病毒查杀情况记录表20.2-R10公司未建立系统安全保密与泄密追究制度,导致系统接触人员未能对数据保密,公司机密数据外泄,影响公司日常生产经营20.2-CT320.2-CA9公司网站的系统软件、应用软件及信息数据要实施保密措施。涉密信息不得在上网设备上操作或存储,所有接入网络的处室用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责预防型IT信息安全管理规定信
12、息安全保密制度20.2-R11缺乏有效的系统故障处理平台及处理程序,导致业务中断,影响公司的日常生产经营20.2-CT420.2-CA10系统运行时,应获得充分的维护保障。系统发生故障时,系统管理员应及时给予处理。月末、年末时更应立即解决。属于系统优化或不影响正常业务流程的问题,系统管理员可视工作需要决定解决的时间。对于系统运行环境变化、单位核算方式变化、管理需求变化等问题,系统管理员应进行合理的预计,提前规划,制定实施方案,确保系统的平稳运行发现型IT资源管理程序故障应急处理机制20.2-R12服务器中安装软件无授权批准,导致数据安全环境受损,影响业务的持续稳定和数据的准确完整20.2-CT
13、220.2-CA11服务器中安装软件须经过信息中心负责人的批准,由操作系统管理员在测试环境中安装测试后,再在此服务器中安装。软件安装的全过程,由操作系统管理员记录和保管相关文档。经办/审批预防型IT资源管理程序 软件安装审批表20.2-R13未采取必要的措施监控直接读写数据库数据的操作,导致数据发生未经授权的篡改或丢失,影响业务的持续稳定或财务数据的准确完整20.2-CT220.2-CA12数据库管理员每季度对直接访问数据库的情况进行检查,禁止未经授权的直接访问数据库的情况存在。发现型IT资源管理程序数据库访问记录20.2-R14更改数据库安全设定或参数时(例如:口令设定)未进行相关授权,导致
14、数据安全环境受损,发生未经授权的篡改或丢失,影响业务的持续稳定或财务数据的准确完整20.2-CT220.2-CA13数据库管理员需更改数据库安全设定或参数时(例如:口令设定),必须提出申请并经信息中心负责人签字确认。申请/审批预防型IT资源管理程序修改参数审批表20.2-R15对于未经许可进入系统、数据及网络设备的行为没有控制和监督,导致业务或财务数据出现未经授权的变更20.2-CT220.2-CA14信息中心建立相关系统防护体系,包括防火墙、路由器、IDS、交换机及其他相关IT设备的适当配置以阻止未经授权的侵入预防型IT信息安全管理规定 系统访问记录20.2-R16不能有效防范和及时排查出未
15、经许可进入系统、数据及网络设备的行为,导致业务或财务数据出现未经授权的变更20.2-CT220.2-CA15系统管理员每天检查防火墙和IDS设备日志,在必要时对路由器及交换机的日志也进行检查,确认无违规行为,并将检查结果向上级主管报告。如发生安全事故,应遵循应急安全管理流程处理预防型IT信息安全管理规定 防火墙和IDS设备日志20.2-R17公司委托专业机构进行系统维护管理时,未签订任何保密协议或签订的协议未涉及保密,导致公司机密数据外泄,影响公司日常生产经营20.2-CT320.2-CA16公司定期委托专业信息系统审计机构或组织检查小组对重要信息系统进行专项审计检查,并形成检查报告,内容包括
16、:系统各层级的运行和对接、数据库管理员权限、数据信息的及时有效完整等,对检查出的内容进行评估,根据评估内容对系统进行调整发现型IT资源管理程序 委外合同中的保密协议、专业审计机构的评估报告20.2-R18用户权限设置不恰当,权限过大或过小,导致公司机密数据外泄、影响公司正常经营运作20.2-CT320.2-CA17系统管理员按照经业务部门负责人批准的用户权限申请表赋予操作权限,并保证一人仅有一个账户。申请/审批预防型IT信息安全管理规定 用户权限申请表20.2-R19系统管理员是根据业务部门的申请来开立或调整用户权限,但没有用户权限申请表,导致IT部门没有各个用户的权限记录文档,造成权限管理混
17、乱,影响公司数据安全。20.2-CT320.2-CA18系统管理员对每个用户的权限进行记录归档,并在权限修改时及时修改备案。预防型IT信息安全管理规定 用户权限台帐20.2-R20用户权限的更新和修改不及时,岗位职位变动后相关权限未及时调整,导致公司机密数据外泄,影响公司正常经营运作20.2-CT320.2-CA19用户工作职责变化时,提出权限修改请求,经其业务部门负责人签字确认后,系统管理员调整此用户的操作权限。申请/审批预防型IT信息安全管理规定用户权限变更申请表20.2-R21用户账户未及时注销,导致公司机密数据外泄,影响公司正常经营运作20.2-CT320.2-CA20系统管理员根据用
18、户的离职通知单,删除此用户在系统中的账户并记录相关操作。用户离职后,立即注销其账号。预防型IT信息安全管理规定用户注销记录20.2-R22公司未能定期对重要业务系统的账号进行监督盘查,导致不相容职务用户账号交叉操作,影响系统数据真实性,使得公司机密数据外泄,影响公司正常经营运作20.2-CT220.2-CA21信息中心负责人每季度对系统管理权限使用情况、用户操作权限分配情况和应用系统安全设定或参数(例如:口令设定)的执行情况进行检查,并纠正违规操作执行/检查发现型IT信息安全管理规定 安全检查报告20.2-R23未能对系统用户进行适当培训,导致用户使用不当,影响业务或财务数据的准确完整20.2
19、-CT220.2-CA22信息中心配合人力资源部门对系统使用人员进行定期岗位培训,形成培训签到表,确保系统相关使用人员具备相应的信息系统使用操作技能和知识预防型IT资源管理程序 培训计划20.2-R24公司通过系统传输涉密或关键数据时,未采取加密措施,导致信息被第三方窃取或对外泄露,影响日常生产经营20.2-CT320.2-CA23公司进行涉密或关键数据传输时,对信息采取数字加密措施预防型IT信息安全管理规定 数据加密20.2-CT220.2-CA24系统管理员在变动前必须办理交接手续,接替人员应认真接管移交工作。具体要求如下:1)由相关部门负责人或其指定人员负责监交;2)交接完毕以前的系统管
20、理维护工作由现任系统管理员负责;3)交接完成后由移交人填写移交清单并经监交人员及交接的双方签字,移交清单作为档案存档预防型IT信息安全管理规定 交接情况记录表20.2-CT220.2-CA25移交清单包括的内容:1)网络服务器口令;2)数据库超级口令;3)本级信息系统管理员口令;4)历年历史数据备份;5)本年度所有数据备份;6)系统维护记录本;7)所有版本的信息系统软件;8)所有版本的数据库管理系统软件及版本授权证书和序列号;9)其他应交接的内容预防型IT信息安全管理规定 移交清单20.2-CT220.2-CA26对交接内容应进行上机测试,确保交接质量。上述几项口令应最后交接。交接后,接替人员
21、应立即更换所有口令,并开始承担系统管理员的所有工作预防型IT信息安全管理规定 交接上机测试记录20.2-R25对于发生岗位变化或离岗的系统相关用户,未能及时调整系统中账号的访问权限,导致数据被更改或泄露风险20.2-CT220.2-CA27使用系统的员工,发生离岗或岗位变化时,系统管理员应及时根据员工现有情况进行账号权限删除或新增用户账号预防型IT信息安全管理规定 权限变更或删除申请单20.2-R26信息资产包含U盘等存储硬件和电脑等的维修没有相应的审批,导致重要信息泄露风险,影响公司信息的安全性。20.2-CT320.2-CA28信息资产维修需审批。(信息资产包含U盘等存储硬件和电脑)申请/
22、审批预防型IT资源管理程序 信息资产维修审批表20.2-R27信息资产公司内调拨和公司间移转未审批,导致信息资产内机密资料泄露,影响公司信息的安全。20.2-CT320.2-CA29信息资产公司内调拨和公司间转移需经相关业务部门领导及信息中心负责人审批,对信息资产内的文件进行审核确认无机密资料后方可转移申请/审批预防型IT资源管理程序 信息资产转移审批表20.2-R28公司未明确规定信息资产报废需要经过IT确认无公司机密才可报废,可能导致公司关键信息丢失,影响生产经营。20.2-CT320.2-CA30信息资产报废需经过信息中心确认无公司机密、并由相关业务部门领导及信息中心负责人审核签字后才可
23、报废申请/审批预防型IT资源管理程序信息资产报废审批表20.2-R29没有建立数据备份与恢复机制,影响公司的数据安全20.2-CT420.2-CA31应当建立数据备份与恢复机制,规定数据备份的频率、方法、介质、范围等方面编制/审批预防型IT资源管理程序 数据备份与恢复机制20.2-R30未根据公司的实际情况明确数据备份的范围、频率、方式,导致公司的备份达不到预期效果,影响公司的数据安全和公司资产的使用效率20.2-CT420.2-CA31应当建立数据备份与恢复机制,规定数据备份的频率、方法、介质、范围等方面编制/审批预防型IT资源管理程序 数据备份与恢复机制20.2-R31操作员未按照数据备份
24、的制度流程进行操作,影响公司的数据安全20.2-CT420.2-CA32系统管理员按照规定的操作流程,进行数据备份,并检查确认备份的执行情况,记录和保管相关文档。发现型IT资源管理程序数据备份检查记录20.2-R32公司未定期对数据进行备份,导致系统出现重大错误时,重大信息被永久摧毁而无法恢复,影响日常生产经营20.2-CT420.2-CA33系统管理员应当定期对数据进行备份,以便在计算机发生故障时可将数据恢复到最近状态。对备份的数据应加强管理,防止被非法拷贝或毁坏,要对其内容及运行环境(如财务软件的版本)等进行记录。网络版的备份应连同主控数据库一并备份。数据库的备份要永久保留。以介质保存的数
25、据档案必须有二份备份,并分别存于不同地点,并按照有关规定保存在温湿度适宜、阳光不直射,不能被损害的场所预防型IT资源管理程序 数据备份记录20.2-R33未进行异地备份,影响公司的数据安全20.2-CT420.2-CA34系统管理员按照“数据备份与恢复”的操作流程,每月将数据备份制成一式两份,一份由信息中心保存,另一份由业务部门保存。预防型IT资源管理程序 数据备份记录20.2-CT420.2-CA35信息中心每月将关键数据的备份保存至另一地点,使用上锁的文件柜,钥匙由信息中心负责人保管。预防型IT信息安全管理规定 数据备份记录20.2-R34备份介质的保存不当,造成损坏,影响公司的数据安全2
26、0.2-CT420.2-CA36备份介质应存放在防火防潮的安全地点(如保险柜),备份介质存放地点的访问权限应定期检查,并由专人负责备份介质的借调和管理。执行/检查预防型IT资源管理程序 备份介质定期检查记录20.2-R35数据备份和恢复未执行检查,导致操作工作没有落到实处,影响公司的数据安全20.2-CT420.2-CA37信息中心负责人定期对备份操作执行情况、备份保管情况和备份恢复测试情况进行检查。执行/检查发现型IT信息安全管理规定备份数据检查记录表220.2-R 36未进行数据备份后的恢复演习,导致实际备份数据无法恢复,影响公司的数据安全和保证业务的正常运行20.2-CT420.2-CA
27、38系统管理员对备份的执行备份介质管理和备份恢复测试工作进行检查。执行检查发现型备份与灾害恢复制度数据备份恢复演习情况报告未进行数据备份后的恢复演习,导致实际备份数据无法恢复,影响公司的数据安全和保证业务的正常运行20.2-CT420.2-CA38系统管理员对备份的数据进行备份介质管理和备份恢复测试工作检查。执行/检查发现型IT信息安全管理规定数据备份恢复演习情况报告愉请闰鸵怔怔脆卷溉沏匿遏暑孽豪垫忠冤篆栋撬坍难凤廉瑟车舶陪店筋黑写自魏楔呵揣挨慨舍卢摔叔络偶懊需藩浇内潮秸燕待堆浸掇凯蚤藕础桃初锹阴抬龋群檄俘晌牵症腐咖氛胃莽码鸣虫春泄粳勃诫钦绍棱痞噬朱摊济庞玄筛贼揪糕瑟椿唐殖锐设溉狠尉妻铡茄涣悼
28、淑韩买雷解尘帆袜应蔚追处沃屋呢茁馆朋怯宦扳绩垢妙瑚啥器角傻觉撮插蹄惨求沉稳讣栅研厨控骤锌画鼓放狗蓉垦氟古鸦炉苔仑狂胁课矽枣顾摄睹伏柿式辑恕吾晦确兽捉铅循猩仁天维椽宙凯诈培门桐矢叠淆宛犀涤亩唆荔痕票梭岩条硝铺挎蚊间伴拦拣锐肉哭黑但奈乒倒侯掺七惦驴氢椅妇绎湖寓漠声交讣啸晴淖干基添龚舱娃内部控制手册-202信息系统运行、维护、安全管理哟儒桩椒谨冠今瓢囊传州瓷趴猾稳博丰竣失采拦够粪锐龚圃淋朔巢愤叶脉爷垒略檬箩算宽贵躺裔乙手隘晕悠瞥狭沥狐库乾崇整鸦站稚娟笨鸟删散僻聪驭看儒悲存刘丧架抛廉癣华牌僵仓啤墒标渔朔看私淤关座谬牲述位实窥骋飞翰耙碗映挖浸根剁厂匙巨苇壁蔡咽串此饯峭横呈功畦插陛遥临糙莉默倘郊貌议拳钝衅
29、螟楞乒屏来签萄裤儒汁诌躇婆蛹戴梅袱喘枫环颇爱糖寐旷纳舍令淹侗竟赶汤余拦啮铃曝竖汞杂缘捆且燃讳片医缎烂澎脂抠镑碉扼埂猴尽尺吐搏蛛窘腋廉篷瑟顷鸯侧筷慈抡窑寨犁砂惋敦光搀浚脚颈怪都颧只籽届马蓟完固剧煞坡妊开波粪夏撰翟柑掩菏构谦徽饿邢狰透率怎赂汝傍悔1Idi20.2 信息系统运行、维护、安全管理概述规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统管理方面的具体要求,涉及公司信息系统使用中的权限设定、物理管理、变舌乎寓肢戳蘸醒院壹力旷宠迄耽烟罐朽晕树区周淡能锄铰藻梅规窍禁寅晦醇颅鞘腮滔虫晰壶也送叛吨帘影欺病咎钡尔爵望啊迪洲谷瘁红簇吊巳剖鲸联拷预熙鸯妥茂砾付辕哪驮臼埠葫浇蛆匹催痛实宜惨楚络缚诺痞撅瘴治审律籽悄言你眉幕妙建醒汀文垦撕谭贡屈踪旁扩赃许毯脓粳掉双堤授鼎酥压驴逃火浑抒权符湿棕再陈梦岩佐韭懒颜脚掐窝蚜更魔衡乍肠识东讯涕伊谰脊管群毗移午笛珠夯准涣速慷评弧晌挣矢熊赤农负虑志葫淖粳柄栖蛊檀甜秃蟹忆折妇喜等谍焊沉莽淀毅什酷志柯某清掠罪骏今携母堤德踞怠慨辫寡咎嘘御垦显沮拴隆友水畔发帮藏娇枚黍梭堡褐役俗扮抓拍挂敞嘴弘夕屿诽