内部控制手册信息系统运行维护安全管理.docx

1、内部控制手册信息系统运行维护安全管理18.2 信息系统运行、维护、安全管理1.1概述规定了XXX股份有限公司及其下属公司有关信息系统管理方面的具体要求，涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程，旨在确保公司信息系统运行的安全性及稳定性。1.2适用范围适用于XXX股份有限公司及其下属公司。1.3相关制度暂缺，建议补充相关制度。1.4职责分工ERP专员：负责公司信息化安全管理，ERP系统及服务器的建设规划、安全运行及定期维护。1.5流程图1.6控制矩阵风险编号风险描述控制措施编号控制类型控制措施应用系统控制控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法应

2、用系统控制所属模块系统控制措施18.2-PR1信息中心的出入未严格控制，可能导致系统设置被篡改或安全被破坏，影响公司的数据安全18.2-C1预防性行政人事部下属办公室指定专人管理机房和配线箱。如果非工作需要，任何人不得进入。机房管理员对经批准进入的人发放钥匙，并记录和保管有关文档月出入登记表18.2-PR2各类人员XX可随意进出设备存放地或触摸系统关键设备，可能导致设备遭遇人为损坏，影响公司日常生产经营18.2-C2预防性行政人事部下属办公室指定专人管理机房和配线箱。如果非工作需要，任何人不得进入。机房管理员对经批准进入的人发放钥匙，并记录和保管有关文档月出入登记表18.2-PR3公司未能对服

3、务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责，无法有效防范设备出现异常物理状况而不能运行18.2-C3预防性1）保持键盘、鼠标、显示器、主机干净，各种接口紧固，严禁带电插拔计算机的各种配件；2）计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用；3）计算机或附属设备发生故障，使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件；4）任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路，因工作原因需要移动的，及时通知系统管理人员，由系统管理人员报行政人事部办公室；5）电信网及处室网络相连的机房建设，在电源防护、防盗、防火、防水、防尘、

4、防雷等方面，采取规范的技术保护措施月机房环境情况记录表18.2-PR4机房管理未检查机房的环境和状态，可能导致机房设备受损，造成公司的资产和数据安全受影响18.2-C4预防性机房管理每天检查机房温度、湿度以及防火、防水、清洁情况，并记录上述工作情况，保管有关的文档月机房环境情况记录表18.2-PR5机房管理员未定期检查机房主要设备的运行使用情况，可能导致设备的持续正常运转无法保证，造成公司的业务正常运营受影响18.2-C5预防性机房管理员每天检查UPS的工作状态，每季度对UPS电池放电一次，并记录上述工作的情况，保管有关的文档月机房设备定期维护登记表18.2-PR6系统未建立适当的职责分离制度

5、，可能导致系统人员职责存在冲突、数据发生篡改，影响公司日常生产经营18.2-C6预防性1）系统管理员要根据用户的岗位加强对用户访问的控制，根据需要分为不同的级别，对不同级别的用户设置访问文件、数据等资源的不同权限；2）财务信息系统超级管理权限由会计机构负责人管理，会计机构负责人授予系统管理人员数据备份和其他日常工作权限；3）会计岗位权限包括软件功能权限、科目使用权限、报表使用权限及其他权限，应根据各会计岗位工作内容经会计机构负责人授权后由系统管理员负责授予权限，临时性授权在完成会计机构负责人所批准的任务后立即收回；4）出纳员、维护人员、程序人员均不准进行数据录入操作年系统人员职责分配表18.2

6、-PR7操作软件被操作人员随意变更、更新、删除、修改等操作，可能导致系统环境配置被改变，影响系统正常稳定运行18.2-C7预防性1）操作人员离开系统时应退出系统或进行系统封锁，操作人员对自己口令下的所有操作及安全负完全责任；2）系统管理员应每月检查一次工作日志，核实操作人员的上机时间、操作内容等；3）财务部门应会同信息管理员严格保护所有在用正版软件的版权,包括网络、数据库、操作系统、财务软件等月系统工作日志18.2-PR8系统中未安装有效安全软件或采取有效措施防范系统受到病毒等恶意软件的感染和破坏，可能导致系统无法持续稳定运行，影响公司日常经营生产18.2-C8预防性信息系统使用部门会同信息管

7、理员进行正版杀毒软件的采购并定期杀毒，对所有在用计算机必须定期进行病毒检测，使用广域网的计算机要严防病毒通过网络传播。微机维护人员对杀毒软件应定期或不定期升级月系统病毒查杀情况记录表18.2-PR9公司未建立系统安全保密与泄密追究制度，可能导致系统接触人员未能对数据保密，公司机密数据外泄，影响公司日常生产经营18.2-C9预防性公司网站的系统软件、应用软件及信息数据要实施保密措施。涉密信息不得在上网设备上操作或存储，所有接入网络的用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责年保密协议18.2-PR10缺乏有效的系统故障处理平台及处理程序，可能导致业务中断，影响公司

8、的日常生产经营18.2-C10发现性系统运行时，应获得充分的维护保障。系统发生故障时，系统管理员应及时给予处理。月末、年末时更应立即解决。属于系统优化或不影响正常业务流程的问题，系统管理员可视工作需要决定解决的时间。对于系统运行环境变化、单位核算方式变化、管理需求变化等问题，系统管理员应进行合理的预计，提前规划，制定实施方案，确保系统的平稳运行月故障应急处理机制18.2-PR11服务器中安装软件无授权批准，可能导致数据安全环境受损，影响业务的持续稳定和数据的准确完整18.2-C11预防性系统的服务器中安装软件须经过行政人事部下属办公室的批准，由操作系统管理员在测试环境中安装测试后，再在此服务器

9、中安装。软件安装的全过程，由操作系统管理员记录和保管相关文档年软件安装审批表18.2-PR12未采取必要的措施监控直接读写数据库数据的操作，可能导致数据发生XX的篡改或丢失，影响业务的持续稳定或财务数据的准确完整18.2-C12发现性数据库管理员每季度对直接访问数据库的情况进行检查，禁止XX的直接访问数据库的情况存在季数据库访问记录18.2-PR13更改数据库安全设定或参数时(例如：口令设定）未进行相关授权，可能导致数据安全环境受损，发生XX的篡改或丢失，影响业务的持续稳定或财务数据的准确完整18.2-C13预防性数据库管理员需更改数据库安全设定或参数时(例如：口令设定），必须提出申请并经行政

10、人事部下属办公室负责人签字确认随时修改参数审批表18.2-PR14不能有效防范和及时排查出未经许可进入系统、数据及网络设备，可能导致业务或财务数据出现XX的变更18.2-C14A预防性行政人事部下属办公室建立相关系统防护体系，包括防火墙、路由器、IDS、交换机及其他相关IT设备得到适当配置以阻止XX的侵入年系统访问记录18.2-C14B预防性系统管理员每天检查防火墙和IDS设备日志，在必要时对路由器及交换机的日志也进行检查，确认无违规行为，并交检工作记录在网络运行状况报告中向上级主管报告。如发生安全事故，应遵循应急安全管理流程处理日防火墙和IDS设备日志18.2-PR15公司委托专业机构进行系

11、统维护管理时，未签订任何保密协议或签订的协议未涉及保密，可能导致公司机密数据外泄，影响公司日常生产经营18.2-C15发现性公司定期委托专业信息系统审计机构或组织检查小组对重要信息系统进行专项审计检查，并形成检查报告，内容包括：系统各层级的运行和对接、数据库管理员权限、数据信息的及时有效完整等，对检查出的内容进行评估，根据评估内容对系统进行调整年评估报告18.2-PR16用户权限的设置不恰当，权限过大或过小，可能导致公司的机密数据外泄、影响公司的正常经营运作18.2-C16预防性系统管理员按照经业务部门负责人批准的用户权限申请表赋予操作权限，并保证一人仅有一个账户年用户权限申请表18.2-PR

12、17系统管理员是根据业务部门的申请来开立或调整用户权限,但是没有用户权限申请表，可能导致IT部门没有各个用户的权限记录文档，造成权限管理混乱，影响公司的数据安全18.2-C17预防性系统管理员对每个用户的权限进行记录归档，并在权限修改时及时修改备案年用户权限台帐18.2-PR18用户权限的更新和修改不及时，岗位职位变动后相关权限未及时调整，可能导致公司的机密数据外泄，影响公司的正常经营运作18.2-C18预防性用户工作职责变化时，提出权限修改的请求。经其业务部门负责人签字确认后，系统管理员调整此用户的操作权限年用户权限变更申请表18.2-PR19用户账户未及时注销，可能导致公司的机密数据外泄，

13、影响公司的正常经营运作18.2-C19预防性系统管理员根据用户的离职通知单，删除此用户在系统中的账户并记录相关操作。用户离职后，立即注销其账号年用户注销记录18.2-PR20公司未能定期对重要业务系统的账号进行监督盘查，可能导致不相容职务用户账号交叉操作，影响系统数据真实性，使得公司的机密数据外泄，影响公司的正常经营运作18.2-C20发现性行政人事部下属办公室每季度对系统管理权使用情况用户操作权限分配和应用系统安全设定或参数(例如：口令设定）的执行情况进行检查，并纠正违规操作季安全检查报告18.2-PR21未能对系统用户进行适当培训，可能导致用户使用不当，影响业务或财务数据的准确完整18.2

14、-C21预防性行政人事部下属办公室对系统使用人员进行定期岗位培训，形成培训签到表，确保系统相关使用人员具备相应的信息系统使用操作技能和知识年部门培训记录18.2-PR22公司通过系统传输涉密或关键数据时，未采取加密措施，可能导致信息被第三方窃取或对外泄露，影响日常生产经营18.2-C22预防性公司进行涉密或关键数据传输时，对信息采取数字加密措施随时18.2-PR23信息资产公司内调拨和公司间移转未审批，可能导致信息资产内机密资料泄露，影响公司信息的安全。18.2-C23预防性信息资产公司内调拨和公司间转移需经相关业务部门领导及行政人事部下属办公室审批，对信息资产内的文件进行审核确认无机密资料后方可转移随时信息资产转移审批表18.2-PR24公司未明确规定信息资产报废需要经过IT确认无公司机密才可报废，可能导致公司关键信息丢失，影响生产经营18.2-C24预防性信息资产报废需经过行政人事部下属办公室确认无公司机密、并由相关业务部门领导及行政人事部下属办公室负责人审核签字后才可报废