海南省电信有限公司内部控制手册实施细则
中册
目录
1对程序和数据的访问 (1)
1.1网络基础设施 (1)
1.2承载网 (7)
1.3智能网 (13)
1.4大客户管理系统 (20)
1.5营业受理系统 (27)
1.6计费帐务系统 (34)
1.7客户服务系统 (41)
1.8财务管理系统 (48)
1.9计划建设管理系统 (55)
1.10 省级综合结算系统 (61)
1.11办公自动化系统 (68)
2程序变更管理 (75)
2.1网络基础设施 (75)
2.2承载网 (79)
2.3智能网 (83)
2.4大客户管理系统 (88)
2.5营业受理系统 (93)
2.6计费帐务系统 (98)
2.7客户服务系统 (103)
2.8财务管理系统 (108)
2.9计划建设管理系统 (113)
2.10 省级综合结算系统 (118)
2.11办公自动化系统 (123)
3程序开发 (128)
4系统运行 (133)
4.1网络基础设施 (133)
4.2承载网 (138)
4.3智能网 (143)
4.4大客户管理系统 (148)
4.5营业受理系统 (153)
4.6计费帐务系统 (158)
4.7客户服务系统 (163)
4.8财务管理系统 (168)
4.9计划建设管理系统 (173)
4.10省级综合结算系统 (178)
4.11办公自动化系统 (183)
5最终用户计算 (188)
1 对程序和数据的访问
1.1 网络基础设施
一、业务流程范围
1 所涉及的业务范围
逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。
2 所涉及的部门范围
所有部门。
二、所涉及的计算机系统
所有在DCN网上的系统。
三、目标
1 对于与财务报告相关的信息,公司应制定相关的信
息安全管理政策并使员工意识到公司对信息安全重
要性的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立
起通过用户身份的识别,认证及授权的管理机制,
以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以确保用户添加、修改、删除都经过
管理层授权,及相关操作的准确性和及时性。
4 确保定期对系统中用户的访问权限进行审阅,以减
少未经授权或不适当的对系统或数据进行访问而带
来的风险。
5 确保在关键流程中存在适当的职权分离。
四、风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管
理不规范,增加信息安全隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对
信息资源的未经授权的访问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职
员工帐号未及时在系统中删除,导致对系统及数据
未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发
现。
5 系统的权限分配与业务部门授权确定的职责分工要
求不符。
五、相关会计科目
所有会计科目。
六、流程概述
1信息安全管理
省公司在组织中建立了信息安全职能,并制定相应的
组织结构图及部门、人员职责描述文档。
省公司制定了正式并经过管理层批准的信息安全政
策,范围包括所有与生成财务报告的程序和数据相关
的信息技术环境(例如网络安全、物理安全、操作系
统安全、应用程序安全等方面)。用户和信息技术人
员都应知晓本公司的信息安全政策。
2用户帐号的管理
2.1 超级用户帐号的管理
网络管理员用户帐号的使用仅限于经授权人员,这类用户帐号的授权须经网络维护部门领导的书面授权审
批。
在网络管理员工作调动或离职等工作职能发生变化
时,由人力资源部门正式以书面方式及时通知相关的
网络维护部门,由系统管理员更新或删除其相应的访
问权限。
2.2 用户帐号访问权限的定期审阅
网络维护部门主管人员或业务部门对网络管理员帐号
和访问权限进行每半年审阅,以发现任何不合适的访
问权限。发现的问题要及时跟进解决。审阅结果留下
书面记录。
网络维护部门主管人员每半年对机房访问权限清单进
行审阅,如果发现不恰当用户的存在及时通知机房管
理人员取消相应用户的授权。
3信息系统的的逻辑访问和物理访问
对网络管理员的管理访问采用身份验证机制,对网络设备的管理访问必须使用用户名和密码,而且每个网络管理员帐号被授予唯一的网络管理员。如果由于系统限制存在网络管理员帐号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。
网络维护部门对网络管理员帐号的密码制定密码政
策,以避免用户使用安全级别低的密码。密码政策包括: 用户密码长度位数规定,密码应定期更新。对于使用密钥棒或动态密码卡的网络设备,需要配合使用由用户掌握的PIN码。
网络管理员负责每周检查网络安全日志记录,发现异常现象应及时跟进或上报。
网络设备等硬件设备存放在安全的机房中,所有出入口均具备电子门禁系统或门锁的保护。只有经过授权的人员可对存放有与财务报表相关的网络机房和设备进行物理访问。所有对机房的访问授权需经网络维护部门主管书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。
公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内部网络的非法访问。
只有指定的网络管理员才能拥有防火墙管理帐号,并进行防火墙规则的更改。
七、信息技术控制点
八、主要控制点的相关文件
1 网络访问申请表
2 员工工作调动/离职通知单
3 网络管理员(网络设备及防火墙)帐号申请表
4 网络管理员帐号/权限检查表
5 机房访问权限检查表
6 网络安全日志检查表
7 机房进出登记簿
8机房访问权限申请表
九、相关制度和备查文件
1 少人无人值守机房管理要求(试行)
1.2 承载网
一、业务流程范围
1 所涉及的业务范围
逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。
2 所涉及的部门范围
运行维护部门、计费帐务部门、市场部门。
二、所涉及的计算机系统
小灵通程控交换机和汇接局程控交换机以及网管终
端。
三、目标
1 对于与财务报告相关的信息,公司应制定相关的信
息安全管理政策并使员工意识到公司对信息安全重
要性的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立
起通过用户身份的识别,认证及授权的管理机制,
以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以确保用户添加、修改、删除都经过
管理层授权,及相关操作的准确性和及时性。
4 确保定期对系统中用户的访问权限进行审阅,以减
少未经授权或不适当的对系统或数据进行访问而带
来的风险。
5 确保在关键流程中存在适当的职权分离。
四、风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管
理不规范,增加信息安全隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对
信息资源的未经授权的访问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职
员工帐号未及时在系统中删除,导致对系统及数据
未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发
现。
5 系统的权限分配与业务部门授权确定的职责分工要
求不符。
五、相关会计科目
收入类科目。
六、流程概述
1 信息安全管理
省公司按照信息产业部或集团公司的相关规定和标
准,对承载网的计费相关设备进行定期检查并保留书面的检查记录,严格确保交换网的设备安全。
2用户帐号的管理
2.1 超级用户帐号的管理
承载网的交换机及网管终端的管理员帐号的使用仅限于经严格认证的授权人员。管理员帐号的授权经运行维护部门及相关各级主管人员的书面审批。授权审批文档集中归档。
对管理员帐号在承载网的设备及管理终端的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。
在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门正式以书面方式通知运行维护部
门,按照承载网管理员帐号的管理流程,由系统管理员更新或删除其相应的访问权限。
2.2 用户帐号访问权限的定期审阅
运行维护部门主管人员每半年对承载网的管理员帐号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下书面记录。
运行维护部门主管人员每半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。
3信息系统的的逻辑访问和物理访问
对承载网管理员帐号的访问采用身份验证机制,对网管终端的访问必须使用用户名和密码,而且每个承载
网管理员帐号被授予唯一的维护管理人员。如果由于
系统限制存在管理员帐号共享,其密码在其中任一管
理员离职时及时更改,以防止非法访问。
按照省公司对访问承载网的网管终端的相关规定,对
承载网的管理软件固化相应的密码政策设置,以确保
用户使用安全级别高的密码。密码政策包括: 用户密
码长度最低位数的规定,密码定期更换的规定,不得
使用最近的密码。运行维护部门管理人员定期审核承
载网的交换机以及网管终端(包括操作系统和专用管
理软件)的安全日志记录,识别潜在的违规,如发现
安全问题按照相关的管理规定及时上报。
承载网的承载网的交换机以及网管终端等硬件设备必
须存放在符合信息产业部、集团公司及省公司制定的
安全标准的机房中。所有出入口均具备电子门禁系统
或门锁的保护。人员进出机房时在机房门禁系统或机
房进出登记簿中留下记录。
只有经过授权的人员可对存放有承载网的交换机以及
网管终端等设备的电信机房和设备进行物理访问。对
电信机房的访问授权经过各级相关部门主管人员的书
面审批。
按照相关规定及安全标准,对电信机房进行严格的环
境监控(如24小时闭路电视监控、防盗监控系统
等),以及时发现对电信机房未经授权的访问并进行
处理。监控系统必须留下环境监控的记录。
承载网的交换机以及网管终端必须确保与外网/公网的隔离,并通过网络安全控制手段阻止内网的不适当访
问。
4职责分工
按照相关的规定,对维护承载网的计费相关设备的维
护管理员,特别是具有访问管理终端权限的维护管理
员,必须遵循严格的职责分工。按照相关的规定,实
行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于有最高安全权限的管理员。
七、信息技术控制点
八、主要控制点的相关文件
1 承载网管理员岗位授权书
2 承载网管理员认证
3 承载网管理员操作日志审阅表
4 员工工作调动/离职通知单
5 承载网管理员帐号/权限检查表
6 电信机房访问权限检查表
7 承载网安全日志检查表
8 电信机房进出登记簿
9 电信机房访问权限申请表
10 电信机房环境监控日志
11 承载网管理员权限分配方案
九、相关制度和备查文件
1少人无人值守机房管理要求(试行)
1.3 智能网
一、业务流程范围
1 所涉及的业务范围
逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。
2 所涉及的部门范围
市场部门、计费部门、运行维护部门。
二、所涉及的计算机系统
智能网(综合信息平台,SP网关,贝尔平台(电话卡计费),固网短信平台)。
三、目标
1 对于与财务报告相关的信息,公司应制定相关的信
息安全管理政策并使员工意识到信息安全的重要
性。
2 对公司信息技术资源的物理访问及逻辑访问已建立
起通过用户身份的识别,认证及授权的管理机制,
以降低由于对系统及数据未经授权的访问所带来的
风险。
3 建立相关流程以确保用户添加、修改、删除都经过
管理层授权,及相关操作的准确性和及时性。
4 确保定期对系统中用户的访问权限进行审阅,以减
少未经授权或不适当的对系统或数据进行访问而带
来的风险。
5确保在关键流程中存在适当的职权分离。
四、风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管
理不规范,增加信息安全隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对
信息资源未经授权的访问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职
员工帐号未及时在系统中删除,导致对系统及数据
未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发
现。
5 系统的权限分配与业务部门授权确定的职责分工要
求不符。
五、相关会计科目
收入类科目。
六、流程概述
1 信息安全管理
参见网络基础设施中本章节。
2用户帐号的管理
2.1 用户帐号的添加、修改及删除控制
省公司建立了用户及其权限设置的管理流程,对智能
网系统的用户创建和授权必须通过业务部门主管人员
审批后,方可由系统管理员在系统中创建用户帐号,
以避免未经授权帐号及权限的创建或修改。
在员工工作调动或离职等工作职能发生变化时,由人
力资源部门或相关业务部门及时正式书面通知系统维
护部门,由系统管理员更新或删除其相应的访问权
限。
2.2 超级用户帐号的管理
以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员:
?操作系统的超级用户帐号 (比如root用户,系统管理员,安全管理员帐号,批处理用户帐号)。
?帐号数据库的超级用户帐号(比如数据库管理员)。
?帐号智能网系统的特权功能用户帐号(例如具有增加/变更/删除用户等权限)。
以上用户帐号的授权须经系统维护部门主管人员或相
关业务部门主管人员的书面审批。
智能网系统的管理账号(包括操作系统、数据库和应
用程序层面)如果由于系统限制存在共享,其密码在
其中任一管理员离职时需及时更改,以防止非法访
问。
2.3 用户帐号访问权限的定期审阅
系统维护部门主管人员或业务部门对智能网系统的用
户帐号和用户访问权限进行每半年审阅,以发现任何
不合适的系统访问权限。发现的问题要及时跟进解
决。审阅结果留下书面记录。
帐号系统维护部门主管人员每半年对机房访问权限清
单进行审阅,如果发现存在不适当用户及时通知机房
管理人员取消相应用户的授权。
3信息系统的逻辑访问和物理访问
在智能网系统中采用用户身份的验证机制,对智能网
系统的访问必须使用用户名和密码,而且每个用户帐
号被授予唯一的用户。
系统维护部门对访问智能网系统(包括操作系统、数
据库和应用程序层面)的用户(含超级用户)制定密
码政策,并根据密码政策在系统固化相应的设置,以
避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定,密码定期更换的规定,
不得使用最近的密码。对于使用密钥棒或动态密码卡
的系统,需要配合使用由用户掌握的PIN码。
系统管理员负责每周检查智能网系统应用程序、操作
系统和数据库层面安全日志记录(含对于重要的数据
增、删、改操作),发现异常现象应及时跟进或上
报。
安装智能网系统应用程序、操作系统和数据库的硬件
设备存放在安全的机房中。所有出入口均具备电子门
禁系统或门锁的保护。只有经授权的人员可对存放智
能网系统设备的计算机机房和设备进行物理访问。对
机房的访问授权须经系统维护部门主管书面审批。非
授权人员出入机房必须由机房工作人员陪同。人员进
出机房会在机房门禁系统或机房进出日志中留下记
录。
4职责分工
在智能网系统中创立新用户角色或对用户组(或用户)
角色定义进行修改时,根据业务部门或相关管理部门
对用户角色权限的审批结果进行设定。公司通过不同
工作岗位对于系统资源访问的限制来达到不相容职责
分工的目的。
内审或者用户部门每半年检查智能网系统的用户角色
或用户组的权限设定,确保合理的职责分工。如发现权限分配的问题,应及时跟进解决。
七、信息技术控制点