收藏
下载资源

IT信息系统内控

上传人:cl****1 文档编号:508286655 上传时间:2022-12-22 格式:DOC 页数:32 大小:142.50KB
返回 下载 相关 举报
IT信息系统内控_第1页
第1页 / 共32页
IT信息系统内控_第2页
第2页 / 共32页
IT信息系统内控_第3页
第3页 / 共32页
IT信息系统内控_第4页
第4页 / 共32页
IT信息系统内控_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《IT信息系统内控》由会员分享,可在线阅读,更多相关《IT信息系统内控(32页珍藏版)》请在金锄头文库上搜索。

1、计算机信息系统管理计算机信息系统管理001:信息平安管理计算机信息系统管理002:信息资源申请、使用及日常维护管理计算机信息系统管理003:变更管理计算机信息系统管理流程综述不可兼容职责表ABCDEFGHIAXBCXXDXEFXXXGXHXIX:表示相互冲突的职责2.附注A:应用系统管理员B:操作系统、数据库管理员C:系统权限的申请D:系统权限的审批E:系统权限的设置F:系统开发人员G:系统验收人员H:系统操作人员I:系统管理员计算机信息系统管理001:信息平安管理1.0流程综述 本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的平安控制,以及如何实现信息的保密性、完整性和可用性

2、。2.0适用范围公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动安装及配置逻辑平安管理工具和技术来限制对程序,数据及其他信息的存取。IT001-CA01-对用户用一一对应的识别和认证权限控制系统如用户ID和密码,以阻止非法入侵,确保各级用户只能进入其授权使用的系统。IT001-CA02-信息系统部规定了公司密码设置要求:用户密码至少90天更改一次,接近的密码在9个月内不得重复使用。逻辑平安管理工具和技术有适当管理,以限制对程序,数据及其他信息的存取。IT001-CA03-用户因转岗、合同终止或其他原因需改变或取消其原先

3、的根底帐号即,AD、邮件帐号,需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。假设为离职人员,信息系统部将回收所有IT设备、取消所有帐号及权限.IT001-CA04-用户部门关键用户或批准权限申请的负责人应定期,至少一年一次审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次。IT001-CA05-信息系统部对于开通管理员权限的用户,每个月通过监控软件进行审核,检查其是否有非法使用情况。只有特定人员才能使用管理员帐号。IT001-CA06-原那么上所有的客户端帐号都只开通用户User权限。信息系统部对各系统分别设有系统管理

4、员,系统管理员的岗位由部门总监任命,只对所负责的系统根据已批准的申请单,进行规定的操作。设置设备实体接近限制,以确保仅有经适当的授权人员可以接近和使用信息资源。IT001-CA07-高度平安区域必须采取严格的进出控制及门禁系统。任何来访者或供给商须在相关人员陪同下,才能进入高度平安区域。企业的程序、数据及其他信息资源均受防病毒软件保护。IT001-CA08-信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在效劳器上做好相关数据的定期备份。用户需使用信息系统部确认过的正版软件,不运行功能不明的可执行文件。在使用外接储存设备时需先进行查毒、杀毒工作。企业之计算机系统内所有

5、软件之安装及使用均符合软件授权合约。IT001-CA09-信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证liscense。信息系统部将不定期抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。4.0政策和工作流程4.1IT环境的物理平安IT环境的物理平安应与人力资源部联系,确保各项平安措施的到位。高度平安区域的管理 对公司级信息设备集中放置,设立高度平安区域。该区域内根底装修及设备应能满足消防、环境控制、防静电及报警等相关功能。高度平安区域必须取严格的进出控制及门禁系统。任何来访者或供给商须在相关人员陪同下,才能进入高度平安区域。 机房管理人员需保证机房设备和机

6、房设施的正常运行。为了使机房能够平安高效的运作,对使用机房的人员从以下方面做了规定:机房的出入、机房的操作、机房用电制度、机房平安。详细内容请参见?上海汽车集团股份IT机房平安管理规定?保护公司计算机及相关设备和通讯设施的平安 禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备,应采取相应的措施进行保护或保存。因维修或其他用途而撤除存有信息的电子设备,如硬盘时,应完全销毁其存有的数据,并确保此信息不能被恢复。4.21用户帐号申请控制登入和使用公司计算机系统和网络资源,需用户部门确定和批准用户申请的权限范围,信息系统部审核申请是否符合相关流程和规定,通过后按申请

7、内容进行技术设置。对用户组一一对应的识别认证权限控制系统如用户ID和密码,以阻止非法侵入,确保各级用户只能进入其授权使用的系统。系统应保存一定期限内的所有登入记录。用户因转岗、合同终止或其他原因需改变或取消其原先的根底帐号即,AD、邮件帐号,需要人力资源部提供人事调令或其他相关书面材料,信息系统部根据人力资源部提供的人员信息进行设定。假设为离职人员,信息系统部将收回所有IT设备、取消所有帐号及权限。密码控制 信息系统部规定了公司密码设置要求,对于任何系统、包括应用系统,操作系统和数据库等: 用户密码至少8位; 密码中需包含英文大、小写和数字; 密码至少90天更换一次; 接近的密码在9个月内不得

8、重复使用; 临时用户也应建立良好的密码设定和使用习惯。权限复核 用户部门负责审核该部门的权限申请内容,对于重要数据,应根据分工将操作权限分开设置。用户部门关键用户或批准权限申请的负责人应定期,至少一年一次,审核并调整用户登入各应用系统的权限范围,对于重要的关键系统应至少每半年审核一次,以确保分配给用户使用的权限是恰当的,且符合权限最小化的原那么。管理员账号的管理.1客户端管理员 原那么上所有的客户端账号都只开通用户User权限。 对确实因工作需要的如:工作中必须使用某种软件,该软件必须开通管理员权限才能正常使用等。,经过部门总监确认签字,信息系统部运维经理批准,开通管理员Administrat

9、or权限。信息系统部对于开通管理员权限的用户,每月通过监控软件进行审核,检查其是否有非法使用情况如私自安装软件、对操作系统设置进行更改等。.2系统管理员 信息系统部对各系统,包括应用系统,操作系统和数据库等,分别设有系统管理员,系统管理员的岗位由部门总监任命,只对所有负责的系统根据批准的事情单,进行规定的操作。原那么上,在应用系统的生产环境中,应防止开放管理员权限。病毒防治信息系统部在公司所有计算机设备上安装防病毒软件,并定期统一更新病毒库,同时在效劳器上做好相关数据的定期备份。用户需使用信息系统部确认过的正版软件,不运行功能不明的可执行文件。在使用外接存储设备时需先进行查毒、杀毒工作。信息系

10、统部对于病毒的防治,以及病毒应急处理的流程,请参考?上海汽车集团股份病毒应急方案流程?网络平安控制和用户使用标准公司的计算机网络,如局域网、广域网,是计算机系统运作及数据传递的根底,信息系统部必须采取足够的,有效地措施保证网络的平安,确保公司内外信息沟通的正常进行。用户在使用上汽集团网络时,也应明确其责任,个人的网络行为直接影响到公司网络的公共平安。详细内容,请参考?上海汽车集团股份关于进入公司计算机网络的规定?。合法使用正版软件 信息系统部负责编制、更新公司?软件清单?,每月更新软件购置和使用数量的状态。信息系统部将根据业务需要,及时提供合法软件及足够数量的许可证liscense。公司员工须

11、遵守公司有关合法软件及使用许可证合同的规定,信息系统部将不定期检查或抽查用户合法软件使用情况,一旦发现员工私自安装的非法软件,将予以删除。详细内容请见?上海汽车集团股份信息系统平安制度?。信息系统的分级 信息系统部根据公司应用系统的业务性质、重要性程度、涉密情况等方面,对应用系统进行等级划分。相关的保护维护措施,将根据应用系统的等级进行分别制定。保密协议的签署 信息系统部委托专业机构进行系统运行与维护管理,或者新系统开发工作,需审核相关供给商的资质,并与其签订相关保密协议。5.0参考文件 ?上海汽车集团股份IT机房平安管理规定? ?上海汽车集团股份信息系统平安制度? ?上海汽车集团股份关于进入

12、公司计算机网络的规定? ?上海汽车集团股份病毒应急方案流程?60职责分工各业务部门用户: 上汽集团的每个计算机用户在使用任何计算机和网络资源时,必须严格遵守上汽集团信息系统平安制度和由此产生或衍生的有关信息系统平安的支持性制度文件,以及上汽集团员工手册的有关信息系统平安条例。部门领导及部门信息协调员: 各部门领导及信息协调员应根据员工工作实际需要,授权其登入网络系统或使用电子数据的权限,并定期审阅和更新权限批准,并及时与信息系统部联系。信息系统部和信息平安员: 信息系统部的信息平安员须采取足够,适当的信息系统平安措施,以保证整个上汽集团受控信息系统环境物理和逻辑上的平安,确保信息系统和网络的保

13、密性、完整性及可用性。7.0附件附件 ?机房出入人员登记表?附件 ?机房维护日志?计算机信息系统管理002:信息资源申请、使用及日常维护管理1.0流程综述 本子流程主要描述上汽集团员工,因业务需要申请信息系统相关软件、硬件、网络资源以及各应用系统权限的申请、审批和处理执行的过程,以及对员工合理、平安、高效地使用以上资源时的相关事项进行规定。2.0适用范围 公司总部、分支机构、控股子公司,共同控制企业和参股公司参照执行。3.0控制目标和关键控制活动控制目标控制活动编号关键控制活动所有的信息资源申请都需经过审批。IT002-CA01-申请人员应填写?信息资源需求申请表?,需填写申请人的部门、姓名、

14、申请的内容、申请原因等内容。申请人需签字承诺已阅读并遵守相关的管理规定,由部门负责人审批签字,交信息系统部相关负责人批准后,为申请人提供相关设备或效劳。申请人假设为供给商,需在申请表中注明。IT002-CA02-公司员工因工作需要安装其他软件,需填写?信息资源需求申请表?,描述申请原因,由部门负责人审批签字。IT002-CA03-公司的正式员工经申请批准后,由信息系统部根据人力资源调令进行设置开通域账号和邮件账号,用户即可进入公司的局域网络及使用公司邮件系统。IT002-CA04-用户根据所申请的系统选择相应的权限申请单;根据权限所在的功能块由相应的使用部门负责人签字批准,各功能块的关键用户审核确认,信息平安员审核权限是否有平安漏洞,最后由信息系统部总监批准。外部人员登入网络的申请需经过严格的审批IT002-CA05-假设外部用户非人事部门确认的员工之外的一切人员,如实习人员、借用人员及供给商等原那么

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 模板/表格 > 财务表格

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号