应用系统IT一般性控制内部控制矩阵(制度范本、DOC格式).DOC

  • 格式:doc
  • 大小:21.50 KB
  • 文档页数:13

第 1 页 共 1 页 应用系统IT一般性控制内部控制矩阵(制度范本、DOC格式).DOC

11、4应用系统IT一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性12345 61、程序和数据访问 1、 12、 32、4经营风险:程序和数据访问制度不健全,导致信息系统应用管理不规范、运维不及时。 1、1总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。总部各部门分(子)公司5程序和数据访问管理制度 1、 第 1 页 共 1 页

10、 32、6、 42、 14、201、2 用户权限管理 1、 11、2经营风险:用户权限管理不规范,导致对系统的非法或非授权访问。 1、2、1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。总部各部门分(子)公司3用户权限审批表 1、 11、2经营风险:数据库用户权限管理不规范,导致对系统的非法或非授权访问。 1、2、2对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责人审批后,由系统管理员在数据库中新增、变更或锁定用户权限。总部各部门分(子)公司3用户权限审批表 1、3用户帐号及访问管理 1、 12、1经营风险:系统登录控制功能不健全,导致对系统的非法或非授权访问。 第 1 页 共 1 页

1、3、1操作人员访问应用系统时,必须输入用户帐号和密码。总部各部门分(子)公司2用户登录截屏 1、 11、2经营风险:账户共享,导致责任不清;系统账户审核清理不及时,导致对系统的非法或非授权访问。 1、3、2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。应用管理员至少每半年打印一次用户帐号权限清单,并由相关部门负责人审核。总部各部门分(子)公司3用户帐号清单 1、4密码管理 1、1经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问 1、4、1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。总部各部门分(子)公司3密码更换检查记录 1、1经营风险:系统、应用管理员密码设置强度不够或更改不及时,造成系统泄密或受到非法访问 1、4、2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次,安全管理员对定期更换记录进行检查。总部各部门 第 1 页 共 1 页

分(子)公司系统管理员应用管理员安全管理员3管理员更换密码记录 1、5系统管理员、应用管理员、安全管理员管理 1、 11、2经营风险:系统、应用管理员岗位设置不合理、授权不规范,导致对系统的非法或非授权访问。 1、5、1系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则,且不得拥有应用系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况进行审查。总部各部门分(子)公司系统管理员应用管理员安全管理员4信息系统岗位授权文档;在职情况审查记录 1、 11、2经营风险:安全管理员监督不到位,系统安全收到威胁。 1、5、2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。总部各部门分(子)公司系统管理员应用管理员安全管理员3操作日志或记录审核记录 1、6第三方人员管理 1、 11、 第 1 页 共 1 页

22、 12、2经营风险:第三方合作单位管理不到位,造成系统泄密或受到非法访问。 1、6、1总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全保密协议。总部各部门分(子)公司3安全保密协议 1、 11、 22、 12、2经营风险:对第三方人员用户权限管理不规范,导致对系统的非法或非授权访问。 1、6、2第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限),经需求部门负责人审核后提交信息管理部门(责任处(科)室)负责人审批,由应用管理员在系统中新增或变更其帐号及权限。到期后必须及时删除或锁定第三方人员的帐号。总部各部门分(子)公司3用户权限审批表 2、程序变更 1、 11、2经营风险:程序变更制度不健全,导致信息系统应用管理不规范、运维不及时。 第 1 页 共 1 页

2、1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。总部各部门分(子)公司4程序变更管理制度 1、 10、 32、6、 42、 14、201、 11、2经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。 2、2总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。总部各部门分(子)公司3系统变更申请表 1、 11、2经营风险:系统变更管理不规范,未经审批、测试,导致应用系统运行和维护的无法正常进行。 第 1 页 共 1 页

2、3变更的应用程序移植到生产系统前,相关部门必须组织人员进行系统测试和最终用户测试,测试不能在生产环境中进行。总部各部门分(子)公司3测试记录 1、 11、2经营风险:系统变更版本管理、文档管理不规范导致应用系统运行和维护的无法正常进行。 2、4信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理,记录每次变更的版本号,存档变更文档和变更升级程序。总部各部门分(子)公司3变更记录 3、程序开发 1、 12、 12、2经营风险:技术方案不合理,系统功能存在问题,导致应用系统不能满足生产经营管理业务需求。 3、1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《 11、1信息系统管理业务流程》执行。 总部各部门分(子)公司 1、1经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。 第 1 页 共 1 页

3、2应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。总部各部门分(子)公司3系统功能测试报告 3、3系统初始化管理 1、 22、 32、4合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。 3、3、1相关部门按照数据收集模板组织人员收集、整理业务数据,并由相关部门责任人审核确认。总部各部门分(子)公司3数据收集确认单 1、 22、 32、4合规风险:导入系统的数据未经审核确认,导致系统存在大量垃圾数据或数据失真。 3、3、2相关部门组织人员对导入和补录系统的数据进行核对,并由相关部门责任人签字确认。总部各部门分(子)公司5数据导入确认单 4、系统运行 1、1经营风险:系统运行制度不健全,导致信息系统应用管理不规范、运维不及时。 第 1 页 共 1 页

4、1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统运行管理,包括系统备份及恢复、系统监控、维护及故障处理等。总部各部门分(子)公司5系统运行管理制度 1、 10、 32、6、 42、 14、204、2数据备份及恢复 1、 11、 22、3经营风险:备份策略和备份方案不完善,数据备份不及时、不成功,导致系统数据丢失,系统无法恢复。 4、2、1应用管理员(系统管理员)至少每月做一次数据全备份,并检查数据备份日志,确认备份是否成功。对备份异常情况进行记录,同时检查备份数据的可读性。总部各部门分(子)公司3数据备份日志或记录 1、 11、 22、3经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。 第 1 页 共 1 页

4、2、2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。总部各部门分(子)公司3系统备份记录 1、 11、 22、3经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。 4、2、3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。总部各部门分(子)公司系统管理员应用管理员3日志备份记录 1、 11、 22、3经营风险:备份介质管理不规范,导致备份数据丢失、泄密,系统无法恢复。 4、2、4应用管理员(系统管理员)每月将备份介质与生产服务器异地存放,并由专人管理。备份介质存放要有记录,介质访问人员须经相关部门负责人授权并填写访问记录。总部各部门分(子)公司3介质存放及访问记录 1、 11、 22、3经营风险:备份数据可读性测试不及时,导致系统数据丢失,系统无法恢复。