《信息资源管理业务内部控制矩阵》由会员分享,可在线阅读,更多相关《信息资源管理业务内部控制矩阵(3页珍藏版)》请在金锄头文库上搜索。
1、11.411.4 应用系统应用系统 ITIT 一般性控制内部控制矩阵一般性控制内部控制矩阵业务目标业务目标业务风险业务风险控制点控制点适用单位适用单位不相容不相容岗位岗位会计报表认定会计报表认定1 1 存在和发生存在和发生/ /真实性;真实性;2 2 完整完整控制点控制点相关制度相关制度控制点相关资料控制点相关资料性;性;3 3 权利与义务;权利与义务;4 4 估价或分估价或分 会计报表项目会计报表项目分值分值索引索引摊;摊;5 5 表达和披露;表达和披露;6 6 准确性准确性1234565程序和数据访 1.10.3问管理制度2.6.42.14.201.12.32.41.11.21.11.21
2、.12.11.11.21.11.1.程序和数据访问程序和数据访问经营风险: 程序和数据访问制度不健 1.1 总部各部门、分(子)公司依据中国石油化工股份XX 管理信息系统应用管理办 总部各部门全,导致信息系统应用管理不规 X、 法(试行) (以下简称信息系统应用管理办法 ) ,及相关应用系统管理办法实施程 分(子)公司运维不及时。序和数据访问管理,包括用户权限管理、用户 XX 及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。1.2 用户权限管理经营风险:用户权限管理不规
3、X,导 1.21 新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经 总部各部门致对系统的非法或非授权访问。相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。分(子)公司经营风险: 数据库用户权限管理不规 1.2.2 对于数据库用户权限, 相关人员填写用户权限审批表, 经相关部门负责人审批后,总部各部门X, 导致对系统的非法或非授权访问。由系统管理员在数据库中新增、变更或锁定用户权限。分(子)公司1.3 用户 XX 及访问管理经营风险:系统登录控制功能不健1.3.1 操作人员访问应用系统时,必须输入用户 XX 和密码。总部各部门全,导致对系统的非法或非授权访
4、分(子)公司问。经营风险: 账户共享, 导致责任不清;1.3.2 应用管理员在系统中为每个操作人员设置独立的用户XX,不能设置共享用户 总部各部门系统账户审核清理不及时, 导致对系 XX(查询用户 XX 除外) 。应用管理员至少每半年打印一次用户 XX 权限清单,并由相 分(子)公司统的非法或非授权访问。关部门负责人审核。1.4 密码管理经营风险: 密码设置强度不够或更改不及时, 造成系统泄密或受到非法访问经营风险:系统、应用管理员密码设置强度不够或更改不及时, 造成系统泄密或受到非法访问1.4.1 操作人员应按照密码管理相关规定,遵循系统密码的长度至少为 6 位,复杂度 总部各部门为数字与字
5、符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用 分(子)公司过的密码。应用管理员对操作人员密码定期更换记录进行检查。1.4.2 系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超 总部各部门 系统管理员级用户初始密码。上述密码至少三个月更换一次,安全管理员对定期更换记录进行检 分(子)公司应用管理员查。安全管理员1.5 系统管理员、应用管理员、安全管理员管理经营风险:系统、应用管理员岗位设 1.5.1 系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系 总部各部门 系统管理员置不合理、授权不规X,导致对系统 统管理员、应用管理员必须经相
6、关部门负责人授权并遵循不相容岗位分离原则,且不 分(子)公司应用管理员的非法或非授权访问。得拥有应用系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况安全管理员进行审查。经营风险:安全管理员监督不到位, 1.5.2 安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,总部各部门 系统管理员系统安全收到威胁。提出审核意见,并报相关部门负责人。分(子)公司应用管理员安全管理员1.6 第三方人员管理经营风险: 第三方合作单位管理不到 1.6.1 总部各部门、 分 (子) 公司与第三方合作单位就相关应用系统签订安全 XX 协议。 总部各部门位,造成系统泄密或受到非法访问
7、。分(子)公司经营风险: 对第三方人员用户权限管 1.6.2 第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户权限审 总部各部门理不规 X, 导致对系统的非法或非授 批表(需注明使用期限和权限 ),经需求部门负责人审核后提交信息管理部门(责任处分(子)公司权访问。(科)室)负责人审批,由应用管理员在系统中新增或变更其 XX 及权限。到期后必须及时删除或锁定第三方人员的 XX。3用户权限审批表用户权限审批表32用户登录截屏3用户 XX 清单3密码更换检查记录管理员更换密码记录1.131.11.21.11.21.11.22.12.21.11.22.12.243信息系统岗位授权文档;
8、在职情况审查记录操作日志或记录审核记录3安全 XX 协议3用户权限审批表业务目标业务目标业务风险业务风险控制点控制点适用单位适用单位不相容不相容岗位岗位1.11.21.11.21.11.21.11.21.12.12.21.11.22.32.41.22.32.41.1经营风险:程序变更制度不健全, 导致信息系统应用管理不规 X、 运维不及时。经营风险:系统变更管理不规X,导致应用系统运行和维护的无法正常进行。经营风险:系统变更管理不规X,未经审批、测试,导致应用系统运行和维护的无法正常进行。经营风险:系统变更版本管理、文档管理不规 X 导致应用系统运行和维护的无法正常进行。经营风险:技术方案不合
9、理, 系统功能存在问题, 导致应用系统不能满足生产经营管理业务需求。经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。2.2.程序变更程序变更会计报表认定会计报表认定1 1 存在和发生存在和发生/ /真实性;真实性;2 2 完整完整控制点控制点相关制度相关制度控制点相关资料控制点相关资料性;性;3 3 权利与义务;权利与义务;4 4 估价或分估价或分 会计报表项目会计报表项目分值分值索引索引摊;摊;5 5 表达和披露;表达和披露;6 6 准确性准确性1234564程序变更管理 1.10.3制度2.6.42.14.20系统变更申请表测试记录2.1 总部各部门、分(子)
10、公司依据信息系统应用管理办法及相关应用系统管理办总部各部门法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。分(子)公司2.2 总部统一建设的应用系统, 系统变更必须填写系统变更审批表上报信息系统管理部 总部各部门和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。 分(子)公各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门 司和相关部门负责人审批。2.3 变更的应用程序移植到生产系统前, 相关部门必须组织人员进行系统测试和最终用 总部各部门户测试,测试不能在生产环境中进行。分(子)公司2.4 信息管理部门必须对操作系统、数据库、
11、应用系统版本变更进行管理,记录每次变 总部各部门更的版本号,存档变更文档和变更升级程序。分(子)公司3.3.程序开发程序开发3.1 新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤总部各部门按照11.1 信息系统管理业务流程执行。分(子)公司3.2 应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最 总部各部门终用户部门负责人签字确认。分(子)公司3.3 系统初始化管理333变更记录3系统功能测试报告3合规风险:应用系统数据的收集、 整 3.3.1 相关部门按照数据收集模板组织人员收集、整理业务数据,并由相关部门责任人 总部各部门理不规 X,未经审
12、核确认,导致系统 审核确认。分(子)公存在大量垃圾数据或数据失真。司合规风险: 导入系统的数据未经审核 3.3.2 相关部门组织人员对导入和补录系统的数据进行核对, 并由相关部门责任人签字 总部各部门确认, 导致系统存在大量垃圾数据或 确认。分(子)公数据失真。司4.4.系统运行系统运行数据收集确认单数据导入确认单551.11.22.31.11.22.31.11.22.3经营风险:系统运行制度不健全, 导 4.1 总部各部门、分(子)公司依据信息系统应用管理办法及相关应用系统管理办总部各部门致信息系统应用管理不规 X、 运维不 法实施系统运行管理,包括系统备份及恢复、系统监控、维护及故障处理等
13、。分(子)公司及时。4.2 数据备份及恢复经营风险: 备份策略和备份方案不完善,数据备份不及时、不成功,导致系统数据丢失,系统无法恢复。经营风险: 备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。4.2.1 应用管理员(系统管理员)至少每月做一次数据全备份,并检查数据备份日志,总部各部门确认备份是否成功。对备份异常情况进行记录,同时检查备份数据的可读性。分(子)公司4.2.2 系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成 总部各部门功。分(子)公司总部各部门 系统管理员分(子)公司应用管理员3系统运行管理 1.10.3制度2.6.42.14.20数
14、据备份日志或记录系统备份记录日志备份记录3经营风险:数据库、 应用系统日志备 4.2.3 系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。份不及时, 导致系统问题无法追溯或系统无法恢复。3业务目标业务目标业务风险业务风险控制点控制点适用单位适用单位不相容不相容岗位岗位1.11.22.31.11.22.31.11.22.3经营风险:备份介质管理不规X,导 4.2.4 应用管理员(系统管理员)每月将备份介质与生产服务器异地存放,并由专人管 总部各部门致备份数据丢失、泄密,系统无法恢 理。备份介质存放要有记录,介质访问人员须经相关部门负责人授权并填写访问记录。 分(子)公司复。经营风
15、险: 备份数据可读性测试不及 4.2.5 系统管理员至少每半年对备份数据进行一次可读性测试。时,导致系统数据丢失,系统无法恢复。经营风险: 备份数据恢复性测试不及 4.2.6 系统管理员至少每年对备份数据进行一次恢复性测试。时,导致系统数据丢失,系统无法恢复。4.3 系统监控、维护及故障处理总部各部门分(子)公司总部各部门分(子)公司会计报表认定会计报表认定1 1 存在和发生存在和发生/ /真实性;真实性;2 2 完整完整控制点控制点相关制度相关制度控制点相关资料控制点相关资料性;性;3 3 权利与义务;权利与义务;4 4 估价或分估价或分 会计报表项目会计报表项目分值分值索引索引摊;摊;5
16、5 表达和披露;表达和披露;6 6 准确性准确性1234563介质存放及访问记录3可读性测试记录恢复性测试记录41.1经营风险:系统运行缺乏有效监控, 4.3.1 系统管理员对应用系统、后台作业、操作系统、数据库、服务器等运行状况进行总部各部门影响系统安全稳定运行。监控,并填报系统运行监控报告。分(子)公司经营风险:系统日志审核不到位,导 4.3.2 应用管理员对应用系统操作日志或记录、 安全管理员对直接访问数据库的操作日 总部各部门 应用管理员致系统问题不能及时处理, 影响系统 志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,分(子)公司安全管理员稳定运行。同时查
17、明原因,提出处理意见,记录处理情况。经营风险:系统问题处理、故障记录 4.3.3 对系统运行出现的故障,相关人员需填报问题处理记录单,详细记录问题处理情 总部各部门不规 X,影响系统稳定运行。况,其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等,并 分(子)公审核确认。司经营风险: 未制定应急预案或培训不 4.3.4 系统应用部门会同信息管理部门制订系统应急预案,并至少每年对业务人员、系 总部各部门到位, 员工不能及时正确处理突发事 统管理员、应用管理员进行一次系统应急预案的培训。分(子)公司件或故障,影响系统安全稳定运行。经营风险:应用系统数据的收集、提 4.4. 炼化企业使用 MES 系统进行主物料的日平衡、旬确认、月结算,公用工程进行 总部各部门供不及时、不准确, 导致应用系统不 旬月平衡,实现生产监控管理,满足生产调度的要求,为 ERP 和生产营运指挥等系统 分(子)公司能满足生产经营管理业务需求。提供数据支持; 油品销售企业使用加油卡系统对所属加油站数据上传情况进行跟踪,督促油站及时通讯,确保数据及时上送。3系统运行监控报告日志审核记录1.11.22.31.11.22.31.11.22.31.11.22.32.433问题处理记录单应急预案培训记录平衡报表;加油站通讯情况表35
