11.5基础设施IT一般性控制流程
- 格式:doc
- 大小:87.00 KB
- 文档页数:12
11.5 基础设施IT一般性控制流程①一、业务目标1 经营目标1.1 保证信息基础设施长期安全、可靠、稳定运行。
2 合规目标2.1 信息基础设施的使用遵守保护知识产权、合同法等有关国家法律法规。
2.2 信息基础设施配臵和使用符合股份公司信息系统安全管理办法等规定。
二、业务风险1 经营风险1.1 网络控制管理不符合信息安全要求,导致内部网络被非授权访问和攻击。
1.2 服务器管理不规范,导致系统运行不可靠、不稳定。
1.3 备份介质管理不规范,导致备份介质损坏或系统及数据恢复困难。
1.4 机房管理不符合规范和安全要求,导致机房设备及资源存在受损的风险。
1.5 信息基础设施故障或信息系统突发事件处理不及①本流程适用于包括ERP系统在内的所有应用系统相关的信息基础设施。
时,导致信息系统不能正常运行。
2 合规风险2.1 信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。
2.2 信息基础设施不符合安全规定,导致系统存在被入侵风险。
二、业务流程步骤与控制点1 网络管理1.1 网络基础管理。
1.1.1 总部和分(子)公司依据《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
1.1.1.1东北油气分公司信息中心依据《中国石油化工股份有限公司网络管理办法》及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
编写制定《东北油气分公司网络管理暂行办法》。
1.1.2 各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员、安全管理员,由信息管理部门负责人审批。
1.1.2.1信息中心依据《网络管理办法》及相应岗位职责,配备网络管理员、安全管理员,有信息中心负责人审批。
1.1.3 各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配臵文件等,由专人负责整理和保存。
1.1.3.1信息中心负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配臵文件等,由专人负责整理和保存。
1.2 网络设备登录设臵合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。
网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。
1.2.1 网络设备登录设臵合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。
网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息中心备案。
1.3 网络互联安全管理。
1.3.1 总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配臵文档。
分(子)公司与外部网互联情况上报信息系统管理部备案。
1.3.1.1东北油气分公司在关键网络互联接口部署安全设备,信息中心授权专人负责安全设备的管理,并备有安全设备配臵文档。
分公司与外部网互联情况上报信息系统管理部备案。
1.3.2 安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配臵检查记录表。
1.3.2.1安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配臵检查记录表。
1.3.3 安全管理员每周对网络设备登陆日志、防火墙日志、入侵检测日志等进行分析审计。
1.3.3.1安全管理员每周对网络设备登陆日志、防火墙日志、入侵检测日志等进行分析审计。
1.4 终端用户接入管理1.4.1 用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。
申请表内容应包含终端接入安全责任条款。
1.4.1.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息中心负责人批准并备案。
申请表内容应包含终端接入安全责任条款。
1.4.2 建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
1.4.2.1东北油气分公司采用IP绑定机制。
1.4.3 根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。
1.4.3.1根据人事处提供的人员离职交接表,信息中心应及时注销该用户的网络接入服务。
1.5 远程接入网络申请人依据《网络管理办法》相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。
1.5.1 远程接入网络申请人依据《网络管理办法》相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息中心负责人审批并备案。
1.6 依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库的升级;安全管理员每周对防病毒系统日志进行分析审计。
1.6.1 依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库的升级;安全管理员每周对防病毒系统日志进行分析审计。
2 服务器管理2.1 各级信息管理部门配备系统管理员,由信息管理部门(责任处(科)室)负责人审批。
2.1.1 信息中心配备系统管理员,由信息中心负责人审批。
2.2 系统管理员须建立服务器档案,内容包括设备的详细硬件配臵、设备唯一性标记和设备用途等信息。
2.2.1 系统管理员须建立服务器档案,内容包括设备的详细硬件配臵、设备唯一性标记和设备用途等信息。
2.3 服务器操作系统管理。
2.3.1 操作系统用户须填写操作系统用户申请表,经信息管理部门(责任处(科)室)负责人审批后,由系统管理员创建。
2.3.1.1 操作系统用户须填写操作系统用户申请表,经信息中心负责人审批后,由系统管理员创建。
2.3.2 系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
2.3.2.1系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
2.3.3 操作系统用户密码要求长度八位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。
系统管理员至少每季度修改操作系统用户密码,填写密码更换记录、经安全管理员确认并在信息管理部门备案。
2.3.3.1操作系统用户密码要求长度八位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。
系统管理员至少每季度修改操作系统用户密码,填写密码更换记录、经安全管理员确认并在信息中心备案。
2.3.4 系统管理员监控操作系统运行情况,每日巡检操作系统日志,并将巡检情况记录存档。
安全管理员每月对系统巡检记录进行检查,对存在问题提出整改意见,上报信息管理部门(责任处(科)室)负责人审批后实施。
2.3.4.1系统管理员监控操作系统运行情况,每日巡检操作系统日志,并将巡检情况记录存档。
安全管理员每月对系统巡检记录进行检查,对存在问题提出整改意见,上报信息中心负责人审批后实施。
3 桌面计算机管理3.1 信息管理部门负责制订本单位桌面管理系统管理办法,并定期将本单位桌面计算机管理报表通过系统上报信息系统管理部。
3.1.1 信息中心负责制订本单位桌面管理系统管理办法,并定期将本单位桌面计算机管理报表通过系统上报信息系统管理部。
3.2 信息管理部门定期检查本单位桌面计算机桌面管理系统客户端安装数量以及客户端补丁漏洞减少率。
3.2.1 信息中心定期检查本单位桌面计算机桌面管理系统客户端安装数量以及客户端补丁漏洞减少率。
3.3 信息管理部门负责制订本单位便携计算机(笔记本电脑)和移动存储介质(移动硬盘、U盘等)管理办法,规范对便携式计算机和移动存储介质的管理。
3.3.1 信息中心负责制订本单位便携计算机(笔记本电脑)和移动存储介质(移动硬盘、U盘等)管理办法,规范对便携式计算机和移动存储介质的管理。
3.4 严禁在非涉密便携计算机上处理国家秘密信息或公司商业秘密信息,严禁连接涉密存储介质。
非涉密移动存储介质严禁存储国家秘密信息或公司商业秘密信息。
3.4.1 严禁在非涉密便携计算机上处理国家秘密信息或公司商业秘密信息,严禁连接涉密存储介质。
非涉密移动存储介质严禁存储国家秘密信息或公司商业秘密信息。
4 机房管理。
4.1 各级信息管理部门依据相关制度和规范,制定计算机机房管理办法,实施对机房的管理。
管理办法主要内容包括人员出入管理、设备出入管理、机房工况管理等。
4.1.1 信息中心负责制定机房管理办法,实施对机房的管理。
管理办法主要内容包括人员出入管理、设备出入管理、机房工况管理等。
4.2 机房应设门禁系统,或由专人负责机房出入管理并填写人员出入登记表。
4.2.1 东北油气分公司机房由专人负责机房出入管理并填写人员出入登记表。
4.3 设备出入机房,携带设备人员填写设备出入登记表,登记表由信息管理部门(责任处(科)室)负责人审批并备案。
4.3.1 设备出入机房,携带设备人员填写设备出入登记表,登记表由信息中心负责人审批并备案。
4.4 机房环境管理整洁、规范。
机房工况管理及时到位。
机房管理人员每日对机房UPS、空调、温湿度和电源系统巡检,并填写巡检记录。
4.4.1 机房环境管理整洁、规范。
机房工况管理及时到位。
机房管理人员每日对机房UPS、空调、温湿度和电源系统巡检,并填写巡检记录。
5 备份介质管理。
5.1 系统管理员要对备份介质进行标记。
标记内容有:备份介质编号、应用名称、IP地址、备份日期、备份内容和备份人。
5.1.1 东北油气分公司异地存放备份介质――盘阵。
每周填写数据库备份日志。
5.2 ERP等重要信息系统的备份介质必须异地存放并分类存档。
系统管理员按照厂商提供的使用年限按期更换备份介质。
备份介质存放环境和备份介质存储内容的销除满足备份管理办法的相关要求。
5.2.1 ERP等重要信息系统的备份介质必须异地存放并分类存档。
系统管理员按照厂商提供的使用年限按期更换备份介质。
备份介质存放环境和备份介质存储内容的销除满足备份管理办法的相关要求。
5.3 备份介质有出入库记录。
借出备份介质时,借用人须填写申请表,经相关部门负责人审核,信息管理部门(责任处(科)室)负责人审批后,办理介质出库手续。
5.3.1 备份介质有出入库记录。
借出备份介质时,借用人须填写申请表,经相关部门负责人审核,信息中心负责人审批后,办理介质出库手续。
6 故障处理6.1 信息管理部门负责制订本单位信息基础设施故障处理流程及应急预案。