IT信息系统内控教学教材

  • 格式:doc
  • 大小:144.00 KB
  • 文档页数:37

精品文档 精品文档 计算机信息系统管理

计算机信息系统管理001:信息安全管理 计算机信息系统管理002:信息资源申请、使用及日常维护管理 计算机信息系统管理003:变更管理 精品文档

精品文档 计算机信息系统管理流程综述

计算机信息系统管理

计算机信息系统管理

002:信息资源申请使用及日常管理

计算机信息系统管理001:信息安全管理

计算机信息系统管理003:变更管理

计算机信息系统管理001:操作系统、应用系统和电子数据的安全控制,以及如何实现信息的保密性、完整性和可用性;计算机信息系统管理002:员工信息资源申请、使用的一些流程及规定;计算机信息系统管理003:员工对系统更改的请求、审批及实施的流程及规定; 精品文档

精品文档 不可兼容职责表 A B C D E F G H I A X B C X X D X E F X X X G X H X I X:表示相互冲突的职责 2.附注 A:应用系统管理员 B:操作系统、数据库管理员 C:系统权限的申请 D:系统权限的审批 E:系统权限的设置 F:系统开发人员 G:系统验收人员 H:系统操作人员 I:系统管理员 精品文档 精品文档 计算机信息系统管理001:信息安全管理

1.0流程综述 本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制,以及如何实现信息的保密性、完整性和可用性。

2.0适用范围 公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。

3.0控制目标和关键控制活动 控制目标 控制活动编号 关键控制活动 安装及配置逻辑安全管理工具和技术来限制对程序,数据及其他信息的存取。 IT001-CA01-4.2.1 对用户用一一对应的识

别和认证权限控制系统(如用户ID和密码),以阻止非法入侵,确保各级用户只能进入其授权使用的系统。 IT001-CA02-4.2.2 信息系统部规定了公司

密码设置要求:用户密码至少90天更改一次,接近的密码在9个月内不得精品文档 精品文档 重复使用。 逻辑安全管理工具和技术有适当管理,以限制对程序,数据及其他信息的存取。 IT001-CA03-4.2.1 用户因转岗、合同终止或

其他原因需改变或取消其原先的基础帐号(即,AD、邮件帐号),需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。(若为离职人员,信息系统部将回收所有IT设备、取消所有帐号及权限.) IT001-CA04-4.2.3 用户部门关键用户或批

准权限申请的负责人应定期,至少一年一次审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次。 IT001-CA05-4.2.4 信息系统部对于开通管

理员权限的用户,每个月精品文档 精品文档 通过监控软件进行审核,检查其是否有非法使用情况。 只有特定人员才能使用管理员帐号。 IT001-CA06-4.2.4 原则上所有的客户端帐

号都只开通用户(User)权限。 信息系统部对各系统分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所负责的系统根据已批准的申请单,进行规定的操作。 设置设备实体接近限制,以确保仅有经适当的授权人员可以接近和使用信息资源。 IT001-CA07-4.1.1 高度安全区域必须采取

严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。 企业的程序、数据及其他信息资源均受防病毒软件保护。 IT001-CA08-4.2.5 信息系统部在公司所有

计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在服务器上做好相关数据的定期备精品文档 精品文档 份。 用户需使用信息系统部确认过的正版软件,不运行功能不明的可执行文件。在使用外接储存设备时需先进行查毒、杀毒工作。 企业之计算机系统内所有软件之安装及使用均符合软件授权合约。 IT001-CA09-4.2.7 信息系统部将根据业务

需要,及时提供合法软件及足够数量的许可证(liscense)。 信息系统部将不定期抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。

4.0政策和工作流程 4.1IT环境的物理安全 IT环境的物理安全应与人力资源部联系,确保各项安全措施的到位。 精品文档 精品文档 4.1.1高度安全区域的管理 对公司级信息设备集中放置,设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功能。高度安全区域必须取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。 机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作,对使用机房的人员从以下方面做了规定:机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见《上海汽车集团股份有限公司IT机房安全管理规定》

4.1.2保护公司计算机及相关设备和通讯设施的安全 禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备,应采取相应的措施进行保护或保存。因维修或其他用途而拆除存有信息的电子设备,如硬盘时,应完全销毁其存有的数据,并确保此信息不能被恢复。

4.21用户帐号申请控制 登入和使用公司计算机系统和网络资源,需用户部门确定和批准用户申请的权限范围,信息系统部审核申请是否符合相关流程和规定,通过后按申请内容进行技术设置。对用户组一一对应的识别认证权限控制系统(如用户ID和密码),以阻止非法侵入,确保各级用户精品文档 精品文档 只能进入其授权使用的系统。系统应保留一定期限内的所有登入记录。 用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号(即,AD、邮件帐号),需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。(若为离职人员,信息系统部将收回所有IT设备、取消所有帐号及权限。)

4.2.2密码控制 信息系统部规定了公司密码设置要求,对于任何系统、包括应用系统,操作系统和数据库等: 用户密码至少8位; 密码中需包含英文大、小写和数字; 密码至少90天更换一次; 接近的密码在9个月内不得重复使用; 临时用户也应建立良好的密码设定和使用习惯。

4.2.3权限复核 用户部门负责审核该部门的权限申请内容,对于重要数据,应根据分工将操作权限分开设置。用户部门关键用户或批准权限申请的负责人应定期,至少一年一次,审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次,以确保分配给用户使用的权限是恰当的,且符合权限最小化的原则。 精品文档 精品文档 4.2.4管理员账号的管理 4.2.4.1客户端管理员 原则上所有的客户端账号都只开通用户(User)权限。 对确实因工作需要的(如:工作中必须使用某种软件,该软件必须开通管理员权限才能正常使用等。),经过部门总监确认签字,信息系统部运维经理批准,开通管理员(Administrator)权限。信息系统部对于开通管理员权限的用户,每月通过监控软件进行审核,检查其是否有非法使用情况(如私自安装软件、对操作系统设置进行更改等)。

4.2.4.2系统管理员 信息系统部对各系统,包括应用系统,操作系统和数据库等,分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所有负责的系统根据批准的事情单,进行规定的操作。原则上,在应用系统的生产环境中,应避免开放管理员权限。

4.2.5病毒防治 信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在服务器上做好相关数据的定期备份。 用户需使用信息系统部确认过的正版软件,不运行功能不明的可精品文档 精品文档 执行文件。在使用外接存储设备时需先进行查毒、杀毒工作。 信息系统部对于病毒的防治,以及病毒应急处理的流程,请参考《上海汽车集团股份有限公司病毒应急方案流程》

4.2.6网络安全控制和用户使用规范 公司的计算机网络,如局域网、广域网,是计算机系统运作及数据传递的基础,信息系统部必须采取足够的,有效地措施保证网络的安全,确保公司内外信息沟通的正常进行。 用户在使用上汽集团网络时,也应明确其责任,个人的网络行为直接影响到公司网络的公共安全。详细内容,请参考《上海汽车集团股份有限公司关于进入公司计算机网络的规定》。

4.2.7合法使用正版软件 信息系统部负责编制、更新公司《软件清单》,每月更新软件购买和使用数量的状态。信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证(liscense)。公司员工须遵守公司有关合法软件及使用许可证合同的规定,信息系统部将不定期检查或抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。 详细内容请见《上海汽车集团股份有限公司信息系统安全制度》。

4.2.8信息系统的分级 信息系统部根据公司应用系统的业务性质、重要性程度、涉密