IT信息系统内控教学教材.docx

1、IT信息系统内控教学教材计算机信息系统管理计算机信息系统管理001：信息安全管理计算机信息系统管理002：信息资源申请、使用及日常维护管理计算机信息系统管理003：变更管理计算机信息系统管理流程综述不可兼容职责表ABCDEFGHIAXBCXXDXEFXXXGXHXIX：表示相互冲突的职责2.附注A:应用系统管理员B:操作系统、数据库管理员C:系统权限的申请D:系统权限的审批E:系统权限的设置F:系统开发人员G:系统验收人员H:系统操作人员I:系统管理员计算机信息系统管理001：信息安全管理1.0流程综述 本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制，以及如何实现信息

2、的保密性、完整性和可用性。2.0适用范围公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动安装及配置逻辑安全管理工具和技术来限制对程序，数据及其他信息的存取。IT001-CA01-4.2.1对用户用一一对应的识别和认证权限控制系统（如用户ID和密码），以阻止非法入侵，确保各级用户只能进入其授权使用的系统。IT001-CA02-4.2.2信息系统部规定了公司密码设置要求：用户密码至少90天更改一次，接近的密码在9个月内不得重复使用。逻辑安全管理工具和技术有适当管理，以限制对程序，数据及其他信息的存取。IT001-CA03-

3、4.2.1用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号（即，AD、邮件帐号），需要人力资源部提供人事调令或其他相关书面材料，信息系统部根据人力资源部提供的人员信息进行设定。（若为离职人员，信息系统部将回收所有IT设备、取消所有帐号及权限.）IT001-CA04-4.2.3用户部门关键用户或批准权限申请的负责人应定期，至少一年一次审核并调整用户登入各应用系统的权限范围，对于重要的关键系统应至少每半年审核一次。IT001-CA05-4.2.4信息系统部对于开通管理员权限的用户，每个月通过监控软件进行审核，检查其是否有非法使用情况。只有特定人员才能使用管理员帐号。IT001-CA06-

4、4.2.4原则上所有的客户端帐号都只开通用户（User）权限。信息系统部对各系统分别设有系统管理员，系统管理员的岗位由部门总监任命，只对所负责的系统根据已批准的申请单，进行规定的操作。设置设备实体接近限制，以确保仅有经适当的授权人员可以接近和使用信息资源。IT001-CA07-4.1.1高度安全区域必须采取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。企业的程序、数据及其他信息资源均受防病毒软件保护。IT001-CA08-4.2.5信息系统部在公司所有计算机设备上安装防病毒软件，并定期统一更新病毒库，同时在服务器上做好相关数据的定期备份。用户需使用信息系

5、统部确认过的正版软件，不运行功能不明的可执行文件。在使用外接储存设备时需先进行查毒、杀毒工作。企业之计算机系统内所有软件之安装及使用均符合软件授权合约。IT001-CA09-4.2.7信息系统部将根据业务需要，及时提供合法软件及足够数量的许可证（liscense）。信息系统部将不定期抽查用户合法软件使用情况，一旦发现员工私自安装的非法软件，将予以删除。4.0政策和工作流程4.1IT环境的物理安全IT环境的物理安全应与人力资源部联系，确保各项安全措施的到位。4.1.1高度安全区域的管理 对公司级信息设备集中放置，设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功

6、能。高度安全区域必须取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。 机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作，对使用机房的人员从以下方面做了规定：机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见上海汽车集团股份有限公司IT机房安全管理规定4.1.2保护公司计算机及相关设备和通讯设施的安全 禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备，应采取相应的措施进行保护或保存。因维修或其他用途而拆除存有信息的电子设备，如硬盘时，应完全销毁其存有的数据，并确保此信息不能被恢复。

7、4.21用户帐号申请控制登入和使用公司计算机系统和网络资源，需用户部门确定和批准用户申请的权限范围，信息系统部审核申请是否符合相关流程和规定，通过后按申请内容进行技术设置。对用户组一一对应的识别认证权限控制系统（如用户ID和密码），以阻止非法侵入，确保各级用户只能进入其授权使用的系统。系统应保留一定期限内的所有登入记录。用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号（即，AD、邮件帐号），需要人力资源部提供人事调令或其他相关书面材料，信息系统部根据人力资源部提供的人员信息进行设定。（若为离职人员，信息系统部将收回所有IT设备、取消所有帐号及权限。）4.2.2密码控制 信息系统部规定

8、了公司密码设置要求，对于任何系统、包括应用系统，操作系统和数据库等： 用户密码至少8位; 密码中需包含英文大、小写和数字； 密码至少90天更换一次； 接近的密码在9个月内不得重复使用； 临时用户也应建立良好的密码设定和使用习惯。4.2.3权限复核 用户部门负责审核该部门的权限申请内容，对于重要数据，应根据分工将操作权限分开设置。用户部门关键用户或批准权限申请的负责人应定期，至少一年一次，审核并调整用户登入各应用系统的权限范围，对于重要的关键系统应至少每半年审核一次，以确保分配给用户使用的权限是恰当的，且符合权限最小化的原则。4.2.4管理员账号的管理4.2.4.1客户端管理员 原则上所有的客户

9、端账号都只开通用户（User）权限。 对确实因工作需要的（如：工作中必须使用某种软件，该软件必须开通管理员权限才能正常使用等。），经过部门总监确认签字，信息系统部运维经理批准，开通管理员（Administrator）权限。信息系统部对于开通管理员权限的用户，每月通过监控软件进行审核，检查其是否有非法使用情况（如私自安装软件、对操作系统设置进行更改等）。4.2.4.2系统管理员 信息系统部对各系统，包括应用系统，操作系统和数据库等，分别设有系统管理员，系统管理员的岗位由部门总监任命，只对所有负责的系统根据批准的事情单，进行规定的操作。原则上，在应用系统的生产环境中，应避免开放管理员权限。4.2.

10、5病毒防治信息系统部在公司所有计算机设备上安装防病毒软件，并定期统一更新病毒库，同时在服务器上做好相关数据的定期备份。用户需使用信息系统部确认过的正版软件，不运行功能不明的可执行文件。在使用外接存储设备时需先进行查毒、杀毒工作。信息系统部对于病毒的防治，以及病毒应急处理的流程，请参考上海汽车集团股份有限公司病毒应急方案流程4.2.6网络安全控制和用户使用规范公司的计算机网络，如局域网、广域网，是计算机系统运作及数据传递的基础，信息系统部必须采取足够的，有效地措施保证网络的安全，确保公司内外信息沟通的正常进行。用户在使用上汽集团网络时，也应明确其责任，个人的网络行为直接影响到公司网络的公共安全。

11、详细内容，请参考上海汽车集团股份有限公司关于进入公司计算机网络的规定。4.2.7合法使用正版软件 信息系统部负责编制、更新公司软件清单，每月更新软件购买和使用数量的状态。信息系统部将根据业务需要，及时提供合法软件及足够数量的许可证（liscense）。公司员工须遵守公司有关合法软件及使用许可证合同的规定，信息系统部将不定期检查或抽查用户合法软件使用情况，一旦发现员工私自安装的非法软件，将予以删除。详细内容请见上海汽车集团股份有限公司信息系统安全制度。4.2.8信息系统的分级 信息系统部根据公司应用系统的业务性质、重要性程度、涉密情况等方面，对应用系统进行等级划分。相关的保护维护措施，将根据应用

12、系统的等级进行分别制定。4.2.9保密协议的签署 信息系统部委托专业机构进行系统运行与维护管理，或者新系统开发工作，需审核相关供应商的资质，并与其签订相关保密协议。5.0参考文件 上海汽车集团股份有限公司IT机房安全管理规定 上海汽车集团股份有限公司信息系统安全制度 上海汽车集团股份有限公司关于进入公司计算机网络的规定 上海汽车集团股份有限公司病毒应急方案流程60职责分工各业务部门用户： 上汽集团的每个计算机用户在使用任何计算机和网络资源时，必须严格遵守上汽集团信息系统安全制度和由此产生或衍生的有关信息系统安全的支持性制度文件，以及上汽集团员工手册的有关信息系统安全条例。部门领导及部门信息协调

13、员： 各部门领导及信息协调员应根据员工工作实际需要，授权其登入网络系统或使用电子数据的权限，并定期审阅和更新权限批准，并及时与信息系统部联系。信息系统部和信息安全员： 信息系统部的信息安全员须采取足够，适当的信息系统安全措施，以保证整个上汽集团受控信息系统环境物理和逻辑上的安全，确保信息系统和网络的保密性、完整性及可用性。7.0附件附件 机房出入人员登记表附件 机房维护日志计算机信息系统管理002：信息资源申请、使用及日常维护管理1.0流程综述 本子流程主要描述上汽集团员工，因业务需要申请信息系统相关软件、硬件、网络资源以及各应用系统权限的申请、审批和处理执行的过程，以及对员工合理、安全、高效

14、地使用以上资源时的相关事项进行规定。2.0适用范围 公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动所有的信息资源申请都需经过审批。IT002-CA01-4.1.1申请人员应填写信息资源需求申请表，需填写申请人的部门、姓名、申请的内容、申请原因等内容。申请人需签字承诺已阅读并遵守相关的管理规定，由部门负责人审批签字，交信息系统部相关负责人批准后，为申请人提供相关设备或服务。申请人若为供应商，需在申请表中注明。IT002-CA02-4.1.2公司员工因工作需要安装其他软件，需填写信息资源需求申请表，描述申请原因，由部门负

15、责人审批签字。IT002-CA03-4.1.3公司的正式员工经申请批准后，由信息系统部根据人力资源调令进行设置开通域账号和邮件账号，用户即可进入公司的局域网络及使用公司邮件系统。IT002-CA04-4.1.4用户根据所申请的系统选择相应的权限申请单；根据权限所在的功能块由相应的使用部门负责人签字批准，各功能块的关键用户审核确认，信息安全员审核权限是否有安全漏洞，最后由信息系统部总监批准。外部人员登入网络的申请需经过严格的审批IT002-CA05-4.1.3若外部用户（非人事部门确认的员工之外的一切人员，如实习人员、借用人员及供应商等）原则上不能登入公司的网络资源。若有特殊需求申请域账号、邮件

16、帐号是必须在信息资源需求申请表上填写个人信息、本人承诺书签字、业务对口部门总监的确认签字，以上内容经信息系统部审核通过后，开通临时帐号，期限过后帐号将失效。应用系统权限的设置和审批需由不同人员操作IT002-CA05-4.1.4根据权限所在的功能块由相应的使用部门负责人签字批准，各功能的关键用户审核确认，信息安全员审核权限是否有安全漏洞，最后由信息系统部总监批准。系统操作员根据申请单内容和审批信息在系统中进行配置。控制目标控制活动编号关键控制活动用户对公司软硬件的使用能得到在适当的支持以确保应用软件功能得以实现。IT002-CA07-4.3.1为了使公司的分支机构得到同样方便、及时的OA服务，

17、信息系统部建立了全球OA支持服务体系。将公司各分支机构（site）技术支持服务联系方式公布；统一OA需求申请流程，计算机病毒防治流程，计算机补丁处理流程。及时发现、解决系统问题IT002-CA09-4.3.2维护人员每天需对各项软硬件系统进行巡查，并做好记录。对于关键应用系统需要每隔2小时甚至1小时进行检查。若发生灾害，企业基本业务操作与信息系统能及时恢复。IT002-CA09-4.3.4.1信息系统部负责制定公司级、部门级的系统、应用、数据的备份计划并定期执行。信息系统部定期复核备份记录，以确保备份操作依照备份计划及数据保存计划进行。4.0政策和工作流程4.1信息资源的申请与使用上汽集团员工

18、可申请使用的信息资源主要分为：桌面办公（以下简称：OA）资源和应用系统权限。其中，OA办公资源又包括计算机及相关设备、办公用OA软件、公司局域网登入权限、互联网登入权限、邮件系统账号。人力资源部将会通知信息系统部员工入职、离职和调动的相关信息。新员工入职后按工作需要申请相关的信息资源。员工离职需交回所有的信息设备，并关闭相关账号的使用权限。员工工作岗位、部门等发生变化，需要对原来的应用系统权限以新的身份重新申请。（3） 年龄优势4.1.1计算机及相关设备的申请和使用计算机及相关设备包括：办公用台式电脑、笔记本、工作站、打印机、电脑附件（移动硬盘、U盘等）。附件（一）：申请人员应填写信息资源需求

19、申请表，需填写申请人的部门、姓名、申请内容、申请原因等内容。申请人需签字承诺已阅读并遵守相关的管理规定，由部门总监审批签字，交信息系统部相关负责人批准后，为申请人提供相关设备或服务。申请人若为供应商，需在申请表中注明。3、竞争对手分析4.1.2 OA办公软件的申请与使用当然，在竞争日益激烈的现代社会中，创业是件相当困难的事。我们认为，在实行我们的创业计划之前，我们首先要了解竞争对手，吸取别人的经验教训，制订相应竞争的策略。我相信只要我们的小店有自己独到的风格，价格优惠，服务热情周到，就一定能取得大多女孩的信任和喜爱。 为便于公司对客户端操作系统及防病毒软件的及时、更新，保护客户端的安全正常使用

20、，信息系统部对所有公司的电脑实行标准化软件安装，软件清单参见计算机客户端软件安装标准。附件（二）：调查问卷设计 公司员工没有权限对电脑客户端的任何软件进行安装和删除，只有信息系统管理员和软件安装的操作人员有权进行软件的安装和删除。公司员工因工作需要安装其他软件，需填写信息资源需求申请表，描述申请原因，由部门总监审批签字。信息系统部将对申请软件与其他标准软件的兼容性进行测试，未发现系统冲突及有足够软件许可证的情况下批准申请，执行安装；否则将进行调试，解除系统冲突后才可安装，或者进入采购流程采购相应的软件许可证。（四）DIY手工艺品的“个性化”在上海， 随着轨道交通的发展，地铁商铺应运而生，并且在

21、重要商圈已经形成一定的气候，投资经营地铁商铺逐渐为一大热门。在人民广场地下的迪美购物中心，有一家DIY自制饰品店-“碧芝自制饰品店”4.1.3网络及邮件帐号的申请附件（二）：为了使公司计算机网络安全运行，加强对进入公司计算机网络用户的管理，保证公司办公和生产业务的正常进行，登入公司网络和使用公司邮箱都需经过申请、审批流程。公司的正式员工经申请批准后，由信息系统部根据人力资源部调令进行开通域账号和邮件帐号，用户即可连入公司的局域网络及使用公司邮件系统。若外部用户（非人事部门确认的员工之外的一切人员，如实习人员、借用人员及供应商等）原则上不能登入公司的网络资源。若有特殊需求申请域帐号、邮件帐号是必

22、须在信息资源需要申请表上填写身份证号等个人信息、有效期、有效联系方式（电话、email地址）、本人承诺书签字、业务对口部门总监确认签字，以上内容经信息系统部审核通过后，开通临时账号，期限过后账号将失效。具体规定请参见上海汽车集团股份有限公司关于进入公司计算机网络的规定。4.1.4应用系统权限的申请目前公司的应用系统包括PDM、SAP、MES、DMS等根据所申请的系统选择相应的权限申请单（如：应用系统用户权限申请表），需填写申请人、工号、部门、关键用户、工作岗位描述、申请使用有效期、申请原因等详细信息。根据权限所在的功能块由相应的使用部门负责人签字批准，各功能块的关键用户审核确认，信息安全员审核

23、权限是否有安全漏洞，最后由信息系统部总监批准。系统操作员根据申请单内容和审批信息在系统中进行配置。公司已对研发相关数据进行了加密，用户申请工程开发相关系统（PDM）权限时，必须同时申请加密系统账号及权限，才能正常查看相关数据或使用相关功能。现在是个飞速发展的时代，与时俱进的大学生当然也不会闲着，在装扮上也不俱一格，那么对作为必备道具的饰品多样性的要求也就可想而知了。4.2用户使用信息资源时的要求（二）创业弱势分析为了管理和保护公司办公自动化系统，确保办公自动化系统正常运行，信息系统部编制了上汽汽车集团股份有限公司办公自动化用户管理条例，用户在使用公司硬件设备、软件系统、应用系统、网络等资源时应

24、遵守相关的规定。4.3信息系统的运维（Operation）管理4.3.1对用户的服务支持为了使公司的分支机构得到同样方便、及时的OA服务，信息系统部建立了全球OA支持服务体系。信息系统部同时规范硬件设备的命名规则，包括服务器、计算机、机柜和网络线缆等；将公司各分支机构（site）技术支持服务联系方式公布；统一OA需求申请流程，计算机病毒防治流程，计算机补丁处理流程。详细内容，请参见上海汽车集团股份有限公司信息系统部各Siet OA服务支持流程4.3.2日常巡检信息系统部运维人员每天需对各项软硬件系统进行巡检，并做好记录。巡检的内容包括；网络、各系统服务器、防病毒软件的更新等。对于关键应用系统需

25、要每隔2小时甚至1小时进行检查，详细检查项目请见日常检查每天早晨由运维总监和运维各分块负责人召开运维晨会，回顾每天各系统的运行状态，对出现的问题讨论解决方案或临时措施，并逐条记录进行状态跟踪。4.3.3关键系统接口的管理由于系统集成度较高，系统接口也较多，信息系统部制定了上海汽车集团股份有限公司FTP服务器的应用规范，来对接口名、程序名、接口信息编码、服务器目录结构及维护机制做了统一和规范。为了防止因为接口服务器上的文件数量不断增加，而导致FTP访问的性能降低，信息系统部需要定期清理过期文件。根据业务数据需要，建议保留一周内的数据，其余的数据用WINRAR进行压缩打包，迁移至备份目录下相应的子

26、目录中（备份文件目录和接口文件目录的目录结构一致），以备如后查看。对新建立及现存的系统将逐步采用ESB作为各系统数据交互的接口.4.3.4备份为了确保上汽集团各领域业务运作的持续性，缩短紧急情况或灾难发生后响应时间，公司需制定相应的备份计划。4.3.4.1信息系统部负责制定公司级、部门级的系统、应用、数据的备份计划并定期执行。信息系统部定期复核备份记录，以确保备份操作依照备份计划及数据保存计划进行。具体内容请参见备份设备清单4.3.4.2用户负责制定并定期执行用户自己PC上的数据备份计划。用户要将重要的业务信息备份到部门文件服务器上（空间有限），需通过备份申请流程，详细内容请参考上海汽车集团股

27、份有限公司服务器网络备份流程。部门文件服务器的安全由信息系统部维护。4.3.4.3信息保存期限。业务部门根据国家、地方法律、法规的规定，公司的规定及业务需要，制定相应的信息保存及储存形式。业务部门应至少每年一次对以电子形式存放的信息保存期限进行检查好调整，确保合理利用计算机资源，保留且仅保留需要的信息。4.4信息资源申请的流程5.0参考文件上海汽车集团股份有限公司关于进入公司计算机网络的规定上海汽车集团股份有限公司办公自动化管理条例上海汽车集团股份有限公司信息系统部各site OA服务支持流程上海汽车集团股份有限公司FTP服务器的应用规范上海汽车集团股份有限公司服务器网络备份流程6.0职责分工

28、申请人：根据申请的内容，选择正确的申请单，填写所需内容。遵守使用信息资源的相关规定。申请部门总监：负责对申请人的申请内容进行审批。关键用户：负责审核本部门的应用系统权限的分配。信息系统部经理：负责审批用户递交的信息资源申请表。系统管理员：负责按照申请表的内容进行权限设置。行政部门（如人力资源部）：对违反公司规定或国家法律的使用者按规定进行处理。7.0附件 附件 IT-002-7.1信息资源需求申请表 附件 IT-002-7.2应用系统用户权限申请表 附件 IT-002-7.3日常检查 附件 IT-002-7.4备份设备清单计算机信息系统管理003：系统开发及变更管理1.0流程综述本子流程主要描

29、述上汽集团新系统开发或实施流程，以及员工因应用系统易用性或功能缺失而提出的对系统更改的请求、审批及相关开发、测试和上线的过程，以保证应用系统的按需开发及正常运行。2.0适用范围公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动所有的系统开发申请都需要经过部门批准IT003-CA01-4.2.1需要启动新项目，项目负责人按照模板要求完成立项报告，提出立项申请并提请信息系统应用系统总监批准。系统开发需求需要经过使用部门的批准IT003-CA01-4.2.3针对业务部门提出的需求进行调研并整理成文档：业务需求说明书，需要经过业

30、务部门关键用户（KBU）签字认可。系统开发的测试和上线运行需得到相关的批准IT003-CA01-4.2.5系统集成测试满足测试标准之后进行用户验收测试，由业务部门关键用户执行测试以确认系统功能满足业务需求，并且需要在用户验收测试报告上进行签字确认系统满足验收标准。IT003-CA01-4.2.6申请系统上线，由PMO总监、应用系统总监和系统运行总监会签批准之后，将系统部署到正式的生产环境中。所有的系统更改申请和更改上线都需要经过相关使用部门的批准IT003-CA01-4.3.2所有的系统更改申请单都需先通过业务部门的关键用户(KBU)的确认签字，再经过业务部门经理的审核批准后，递交给信息系统部服务台（Hdlpdesk）人员。IT003-CA01-4.3.2由信息系统部提出的变更申请，也同样执行该更改申请流程。（已经有流程规定的补丁和病毒库更新除外）系统更改的实施和上线运行需得到相关的批准IT003-CA01-4.3.2信息系统部在接收申请单时，需核查是否已经通过了业务部门关键用户和部门相关经理的批准，否则将退还给申请人。IT003-CA01-4.3.3