IT信息系统内控.docx
《IT信息系统内控.docx》由会员分享,可在线阅读,更多相关《IT信息系统内控.docx(19页珍藏版)》请在冰豆网上搜索。
IT信息系统内控
计算机信息系统管理
计算机信息系统管理001:
信息安全管理
计算机信息系统管理002:
信息资源申请、使用及日常维护管理
计算机信息系统管理003:
变更管理
计算机信息系统管理流程综述
不可兼容职责表
A
B
C
D
E
F
G
H
I
A
X
B
C
X
X
D
X
E
F
X
X
X
G
X
H
X
I
X:
表示相互冲突的职责
2。
附注
A:
应用系统管理员
B:
操作系统、数据库管理员
C:
系统权限的申请
D:
系统权限的审批
E:
系统权限的设置
F:
系统开发人员
G:
系统验收人员
H:
系统操作人员
I:
系统管理员
计算机信息系统管理001:
信息安全管理
1。
0流程综述
本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制,以及如何实现信息的保密性、完整性和可用性。
2。
0适用范围
公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。
3。
0控制目标和关键控制活动
控制目标
控制活动编号
关键控制活动
安装及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息的存取。
IT001-CA01-4。
2.1
对用户用一一对应的识别和认证权限控制系统(如用户ID和密码),以阻止非法入侵,确保各级用户只能进入其授权使用的系统。
IT001-CA02-4.2。
2
信息系统部规定了公司密码设置要求:
用户密码至少90天更改一次,接近的密码在9个月内不得重复使用.
逻辑安全管理工具和技术有适当管理,以限制对程序,数据及其他信息的存取.
IT001—CA03-4。
2.1
用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号(即,AD、邮件帐号),需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定.(若为离职人员,信息系统部将回收所有IT设备、取消所有帐号及权限.)
IT001-CA04-4.2。
3
用户部门关键用户或批准权限申请的负责人应定期,至少一年一次审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次.
IT001-CA05—4。
2。
4
信息系统部对于开通管理员权限的用户,每个月通过监控软件进行审核,检查其是否有非法使用情况。
只有特定人员才能使用管理员帐号。
IT001—CA06-4。
2.4
原则上所有的客户端帐号都只开通用户(User)权限.
信息系统部对各系统分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所负责的系统根据已批准的申请单,进行规定的操作。
设置设备实体接近限制,以确保仅有经适当的授权人员可以接近和使用信息资源。
IT001-CA07-4。
1。
1
高度安全区域必须采取严格的进出控制及门禁系统。
任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。
企业的程序、数据及其他信息资源均受防病毒软件保护。
IT001-CA08—4。
2。
5
信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在服务器上做好相关数据的定期备份.
用户需使用信息系统部确认过的正版软件,不运行功能不明的可执行文件。
在使用外接储存设备时需先进行查毒、杀毒工作。
企业之计算机系统内所有软件之安装及使用均符合软件授权合约。
IT001-CA09-4.2。
7
信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证(liscense)。
信息系统部将不定期抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。
4。
0政策和工作流程
4.1IT环境的物理安全
IT环境的物理安全应与人力资源部联系,确保各项安全措施的到位.
4.1.1高度安全区域的管理
对公司级信息设备集中放置,设立高度安全区域.该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功能。
高度安全区域必须取严格的进出控制及门禁系统。
任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。
机房管理人员需保证机房设备和机房设施的正常运行.为了使机房能够安全高效的运作,对使用机房的人员从以下方面做了规定:
机房的出入、机房的操作、机房用电制度、机房安全。
详细内容请参见《上海汽车集团股份有限公司IT机房安全管理规定》
4.1。
2保护公司计算机及相关设备和通讯设施的安全
禁止用户私自动用、转移或破坏他人计算机及相关设备.用户如果临时或长时间不使用某种设备,应采取相应的措施进行保护或保存。
因维修或其他用途而拆除存有信息的电子设备,如硬盘时,应完全销毁其存有的数据,并确保此信息不能被恢复。
4.21用户帐号申请控制
登入和使用公司计算机系统和网络资源,需用户部门确定和批准用户申请的权限范围,信息系统部审核申请是否符合相关流程和规定,通过后按申请内容进行技术设置.对用户组一一对应的识别认证权限控制系统(如用户ID和密码),以阻止非法侵入,确保各级用户只能进入其授权使用的系统。
系统应保留一定期限内的所有登入记录。
用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号(即,AD、邮件帐号),需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。
(若为离职人员,信息系统部将收回所有IT设备、取消所有帐号及权限。
)
4。
2.2密码控制
信息系统部规定了公司密码设置要求,对于任何系统、包括应用系统,操作系统和数据库等:
用户密码至少8位;
密码中需包含英文大、小写和数字;
密码至少90天更换一次;
接近的密码在9个月内不得重复使用;
临时用户也应建立良好的密码设定和使用习惯.
4。
2。
3权限复核
用户部门负责审核该部门的权限申请内容,对于重要数据,应根据分工将操作权限分开设置。
用户部门关键用户或批准权限申请的负责人应定期,至少一年一次,审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次,以确保分配给用户使用的权限是恰当的,且符合权限最小化的原则.
4.2.4管理员账号的管理
4。
2.4.1客户端管理员
原则上所有的客户端账号都只开通用户(User)权限。
对确实因工作需要的(如:
工作中必须使用某种软件,该软件必须开通管理员权限才能正常使用等。
),经过部门总监确认签字,信息系统部运维经理批准,开通管理员(Administrator)权限.信息系统部对于开通管理员权限的用户,每月通过监控软件进行审核,检查其是否有非法使用情况(如私自安装软件、对操作系统设置进行更改等)。
4.2.4.2系统管理员
信息系统部对各系统,包括应用系统,操作系统和数据库等,分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所有负责的系统根据批准的事情单,进行规定的操作。
原则上,在应用系统的生产环境中,应避免开放管理员权限。
4。
2。
5病毒防治
信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在服务器上做好相关数据的定期备份。
用户需使用信息系统部确认过的正版软件,不运行功能不明的可执行文件.在使用外接存储设备时需先进行查毒、杀毒工作。
信息系统部对于病毒的防治,以及病毒应急处理的流程,请参考《上海汽车集团股份有限公司病毒应急方案流程》
4.2.6网络安全控制和用户使用规范
公司的计算机网络,如局域网、广域网,是计算机系统运作及数据传递的基础,信息系统部必须采取足够的,有效地措施保证网络的安全,确保公司内外信息沟通的正常进行.
用户在使用上汽集团网络时,也应明确其责任,个人的网络行为直接影响到公司网络的公共安全。
详细内容,请参考《上海汽车集团股份有限公司关于进入公司计算机网络的规定》.
4。
2.7合法使用正版软件
信息系统部负责编制、更新公司《软件清单》,每月更新软件购买和使用数量的状态。
信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证(liscense)。
公司员工须遵守公司有关合法软件及使用许可证合同的规定,信息系统部将不定期检查或抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。
详细内容请见《上海汽车集团股份有限公司信息系统安全制度》。
4。
2。
8信息系统的分级
信息系统部根据公司应用系统的业务性质、重要性程度、涉密情况等方面,对应用系统进行等级划分。
相关的保护维护措施,将根据应用系统的等级进行分别制定.
4。
2.9保密协议的签署
信息系统部委托专业机构进行系统运行与维护管理,或者新系统开发工作,需审核相关供应商的资质,并与其签订相关保密协议。
5.0参考文件
《上海汽车集团股份有限公司IT机房安全管理规定》
《上海汽车集团股份有限公司信息系统安全制度》
《上海汽车集团股份有限公司关于进入公司计算机网络的规定》
《上海汽车集团股份有限公司病毒应急方案流程》
6.0职责分工
各业务部门用户:
上汽集团的每个计算机用户在使用任何计算机和网络资源时,必须严格遵守上汽集团信息系统安全制度和由此产生或衍生的有关信息系统安全的支持性制度文件,以及上汽集团员工手册的有关信息系统安全条例。
部门领导及部门信息协调员:
各部门领导及信息协调员应根据员工工作实际需要,授权其登入网络系统或使用电子数据的权限,并定期审阅和更新权限批准,并及时与信息系统部联系。
信息系统部和信息安全员:
信息系统部的信息安全员须采取足够,适当的信息系统安全措施,以保证整个上汽集团受控信息系统环境物理和逻辑上的安全,确保信息系统和网络的保密性、完整性及可用性.
7.0附件
附件《机房出入人员登记表》
附件《机房维护日志》
计算机信息系统管理002:
信息资源申请、使用及日常维护管理
1.0流程综述
本子流程主要描述上汽集团员工,因业务需要申请信息系统相关软件、硬件、网络资源以及各应用系统权限的申请、审批和处理执行的过程,以及对员工合理、安全、高效地使用以上资源时的相关事项进行规定。
2。
0适用范围
公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行.
3。
0控制目标和关键控制活动
控制目标
控制活动编号
关键控制活动
所有的信息资源申请都需经过审批。
IT002-CA01-4。
1。
1
申请人员应填写《信息资源需求申请表》,需填写申请人的部门、姓名、申请的内容、申请原因等内容。
申请人需签字承诺已阅读并遵守相关的管理规定,由部门负责人审批签字,交信息系统部相关负责人批准后,为申请人提供相关设备或服务.申请人若为供应商,需在申请表中注明。
IT002—CA02—4.1.2
公司员工因工作需要安装其他软件,需填写《信息资源需求申请表》,描述申请原因,由部门负责人审批签字。
IT002—CA03-4。
1。
3
公司的正式员工经申请批准后,由信息系统部根据人力资源调令进行设置开通域账号和邮件账号,用户即可进入公司的局域网络及使用公司邮件系统。
IT002—CA04-4。
1。
4
用户根据所申请的系统选择相应的权限申请单;
根据权限所在的功能块由相应的使用部门负责人签字批准,各功能块的关键用户审核确认,信息安全员审核权限是否有安全漏洞,最后由信息系统部总监批准。
外部人员登入网络的申请需经过严格的审批
IT002—CA05-4。
1.3
若外部用户(非人事部门确认的员工之外的一切人员,如实习人员、借用人员及供应商等)原则上不能登入公司的网络资源。
若有特殊需求申请域账号、邮件帐号是必须在《信息资源需求申请表》上填写个人信息、本人承诺书签字、业务对口部门总监的确认签字,以上内容经信息系统部审核通过后,开通临时帐号,期限过后帐号将失效。
应用系统权限的设置和审批需由不同人员操作
IT002-CA05-4.1。
4
根据权限所在的功能块由相应的使用部门负责人签字批准,各功能的关键用户审核确认,信息安全员审核权限是否有安全漏洞,最后由信息系统部总监批准。
系统操作员根据申请单内容和审批信息在系统中进行配置.
控制目标
控制活动编号
关键控制活动
用户对公司软硬件的使用能得到在适当的支持以确保应用软件功能得以实现。
IT002—CA07-4。
3.1
为了使公司的分支机构得到同样方便、及时的OA服务,信息系统部建立了全球OA支持服务体系。
将公司各分支机构(site)技术支持服务联系方式公布;统一OA需求申请流程,计算机病毒防治流程,计算机补丁处理流程。
及时发现、解决系统问题
IT002—CA09-4。
3。
2
维护人员每天需对各项软硬件系统进行巡查,并做好记录。
对于关键应用系统需要每隔2小时甚至1小时进行检查。
若发生灾害,企业基本业务操作与信息系统能及时恢复。
IT002-CA09—4。
3.4。
1
信息系统部负责制定公司级、部门级的系统、应用、数据的备份计划并定期执行。
信息系统部定期复核备份记录,以确保备份操作依照备份计划及数据保存计划进行.
4。
0政策和工作流程
4。
1信息资源的申请与使用
上汽集团员工可申请使用的信息资源主要分为:
桌面办公(以下简称:
OA)资源和应用系统权限.其中,OA办公资源又包括计算机及相关设备、办公用OA软件、公司局域网登入权限、互联网登入权限、邮件系统账号.
人力资源部将会通知信息系统部员工入职、离职和调动的相关信息.新员工入职后按工作需要申请相关的信息资源。
员工离职需交回所有的信息设备,并关闭相关账号的使用权限。
员工工作岗位、部门等发生变化,需要对原来的应用系统权限以新的身份重新申请。
4。
1.1计算机及相关设备的申请和使用
计算机及相关设备包括:
办公用台式电脑、笔记本、工作站、打印机、电脑附件(移动硬盘、U盘等)。
申请人员应填写《信息资源需求申请表》,需填写申请人的部门、姓名、申请内容、申请原因等内容。
申请人需签字承诺已阅读并遵守相关的管理规定,由部门总监审批签字,交信息系统部相关负责人批准后,为申请人提供相关设备或服务。
申请人若为供应商,需在申请表中注明。
4.1.2OA办公软件的申请与使用
为便于公司对客户端操作系统及防病毒软件的及时、更新,保护客户端的安全正常使用,信息系统部对所有公司的电脑实行标准化软件安装,软件清单参见《计算机客户端软件安装标准》。
公司员工没有权限对电脑客户端的任何软件进行安装和删除,只有信息系统管理员和软件安装的操作人员有权进行软件的安装和删除。
公司员工因工作需要安装其他软件,需填写《信息资源需求申请表》,描述申请原因,由部门总监审批签字。
信息系统部将对申请软件与其他标准软件的兼容性进行测试,未发现系统冲突及有足够软件许可证的情况下批准申请,执行安装;否则将进行调试,解除系统冲突后才可安装,或者进入采购流程采购相应的软件许可证。
4.1。
3网络及邮件帐号的申请
为了使公司计算机网络安全运行,加强对进入公司计算机网络用户的管理,保证公司办公和生产业务的正常进行,登入公司网络和使用公司邮箱都需经过申请、审批流程。
公司的正式员工经申请批准后,由信息系统部根据人力资源部调令进行开通域账号和邮件帐号,用户即可连入公司的局域网络及使用公司邮件系统.若外部用户(非人事部门确认的员工之外的一切人员,如实习人员、借用人员及供应商等)原则上不能登入公司的网络资源。
若有特殊需求申请域帐号、邮件帐号是必须在《信息资源需要申请表》上填写身份证号等个人信息、有效期、有效联系方式(电话、email地址)、本人承诺书签字、业务对口部门总监确认签字,以上内容经信息系统部审核通过后,开通临时账号,期限过后账号将失效。
具体规定请参见《上海汽车集团股份有限公司关于进入公司计算机网络的规定》。
4。
1。
4应用系统权限的申请
目前公司的应用系统包括PDM、SAP、MES、DMS等根据所申请的系统选择相应的权限申请单(如:
《应用系统用户权限申请表》),需填写申请人、工号、部门、关键用户、工作岗位描述、申请使用有效期、申请原因等详细信息。
根据权限所在的功能块由相应的使用部门负责人签字批准,各功能块的关键用户审核确认,信息安全员审核权限是否有安全漏洞,最后由信息系统部总监批准。
系统操作员根据申请单内容和审批信息在系统中进行配置。
公司已对研发相关数据进行了加密,用户申请工程开发相关系统(PDM)权限时,必须同时申请加密系统账号及权限,才能正常查看相关数据或使用相关功能。
4。
2用户使用信息资源时的要求
为了管理和保护公司办公自动化系统,确保办公自动化系统正常运行,信息系统部编制了《上汽汽车集团股份有限公司办公自动化用户管理条例》,用户在使用公司硬件设备、软件系统、应用系统、网络等资源时应遵守相关的规定。
4.3信息系统的运维(Operation)管理
4。
3.1对用户的服务支持
为了使公司的分支机构得到同样方便、及时的OA服务,信息系统部建立了全球OA支持服务体系.信息系统部同时规范硬件设备的命名规则,包括服务器、计算机、机柜和网络线缆等;将公司各分支机构(site)技术支持服务联系方式公布;统一OA需求申请流程,计算机病毒防治流程,计算机补丁处理流程。
详细内容,请参见《上海汽车集团股份有限公司信息系统部各SietOA服务支持流程》
4.3.2日常巡检
信息系统部运维人员每天需对各项软硬件系统进行巡检,并做好记录。
巡检的内容包括;网络、各系统服务器、防病毒软件的更新等。
对于关键应用系统需要每隔2小时甚至1小时进行检查,详细检查项目请见《日常检查》
每天早晨由运维总监和运维各分块负责人召开运维晨会,回顾每天各系统的运行状态,对出现的问题讨论解决方案或临时措施,并逐条记录进行状态跟踪。
4。
3。
3关键系统接口的管理
由于系统集成度较高,系统接口也较多,信息系统部制定了《上海汽车集团股份有限公司FTP服务器的应用规范》,来对接口名、程序名、接口信息编码、服务器目录结构及维护机制做了统一和规范。
为了防止因为接口服务器上的文件数量不断增加,而导致FTP访问的性能降低,信息系统部需要定期清理过期文件。
根据业务数据需要,建议保留一周内的数据,其余的数据用WINRAR进行压缩打包,迁移至备份目录下相应的子目录中(备份文件目录和接口文件目录的目录结构一致),以备如后查看。
对新建立及现存的系统将逐步采用ESB作为各系统数据交互的接口。
4.3.4备份
为了确保上汽集团各领域业务运作的持续性,缩短紧急情况或灾难发生后响应时间,公司需制定相应的备份计划。
4.3。
4。
1信息系统部负责制定公司级、部门级的系统、应用、数据的备份计划并定期执行.信息系统部定期复核备份记录,以确保备份操作依照备份计划及数据保存计划进行.
具体内容请参见《备份设备清单》
4。
3。
4。
2用户负责制定并定期执行用户自己PC上的数据备份计划。
用户要将重要的业务信息备份到部门文件服务器上(空间有限),需通过备份申请流程,详细内容请参考《上海汽车集团股份有限公司服务器网络备份流程》.部门文件服务器的安全由信息系统部维护.
4.3。
4.3信息保存期限。
业务部门根据国家、地方法律、法规的规定,公司的规定及业务需要,制定相应的信息保存及储存形式。
业务部门应至少每年一次对以电子形式存放的信息保存期限进行检查好调整,确保合理利用计算机资源,保留且仅保留需要的信息。
4。
4信息资源申请的流程
5。
0参考文件
《上海汽车集团股份有限公司关于进入公司计算机网络的规定》
《上海汽车集团股份有限公司办公自动化管理条例》
《上海汽车集团股份有限公司信息系统部各siteOA服务支持流程》
《上海汽车集团股份有限公司FTP服务器的应用规范》
《上海汽车集团股份有限公司服务器网络备份流程》
6.0职责分工
申请人:
根据申请的内容,选择正确的申请单,填写所需内容。
遵守使用信息资源的相关规定。
申请部门总监:
负责对申请人的申请内容进行审批.
关键用户:
负责审核本部门的应用系统权限的分配。
信息系统部经理:
负责审批用户递交的信息资源申请表。
系统管理员:
负责按照申请表的内容进行权限设置。
行政部门(如人力资源部):
对违反公司规定或国家法律的使用者按规定进行处理。
7。
0附件
附件IT—002-7。
1《信息资源需求申请表》
附件IT—002—7。
2《应用系统用户权限申请表》
附件IT-002—7。
3《日常检查》
附件IT-002—7.4《备份设备清单》
计算机信息系统管理003:
系统开发及变更管理
1.0流程综述
本子流程主要描述上汽集团新系统开发或实施流程,以及员工因应用系统易用性或功能缺失而提出的对系统更改的请求、审批及相关开发、测试和上线的过程,以保证应用系统的按需开发及正常运行。
2。
0适用范围
公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行.
3。
0控制目标和关键控制活动
控制目标
控制活动编号
关键控制活动
所有的系统开发申请都需要经过部门批准
IT003—CA01-4.2.1
需要启动新项目,项目负责人按照模板要求完成《立项报告》,提出立项申请并提请信息系统应用系统总监批准。
系统开发需求需要经过使用部门的批准
IT003—CA01—4.2.3
针对业务部门提出的需求进行调研并整理成文档:
《业务需求说明书》,需要经过业务部门关键用户(KBU)签字认可。
系统开发的测试和上线运行需得到相关的批准
IT003—CA01-4.2.5
系统集成测试满足测试标准之后进行用户验收测试,由业务部门关键用户执行测试以确认系统功能满足业务需求,并且需要在《用户验收测试报告》上进行签字确认系统满足验收标准。
IT003—CA01—4。
2。
6
申请系统上线,由PMO总监、应用系统总监和系统运行总监会签批准之后,将系统部署到正式的生产环境中。
所有的系统更改申请和更改上线都需要经过相关使用部门的批准
IT003-CA01—4.3.2
所有的《系统更改申请单》都需先通过业务部门的关键用户(KBU)的确认签字,再经过业务部门经理的审核批准后,递交给信息系统部服务台(Hdlpdesk)人员。
IT003—CA01—4。
3。
2
由信息系统部提出的变更申请,也同样执行该更改申请流程.(已经有流程规定的补丁和病毒库更新除外)
系统更改的实施和上线运行需得到相关的批准
IT003-CA01-4。
3。
2
信息系统部在接收申请单时,需核查是否已经通过了业务部门关键用户和部门相关经理的批准,否则将退还给申请人。
IT003—CA01-4。
3。
3
二线支持人员完成更改的方案和分析报告区域功能经理对方案和分析报告进行复核,以确保该文档能符合业务用户的需要。
IT003-CA01—4.3。
3
CSR流程经理每周定期组织更改委员会对更改申请及相关方案进行审批,对于紧急更改申请可在当天进行审批。
IT003-CA01—4。
3。
3
业务部门用户在测试环境下完成用户测试,并在测试报告上签字确认更改结果,完成验收。
IT003-CA01—4。
3.4
服务台人员检查更改申请单及所有开发测试文档,文档齐备,则准备开始上线流程,进行上线会签,更改委员会对上线申请进行审批。
新系统软件具有可维护性与可支持性
IT003—CA01—4。
3.4
服务台人员需保留更改相关的所有文档.
IT003-CA01-4.3.5
对更改后的系统使用方法,由二线支持人员对关键用