海南省電信有限公司內部控制手冊實施細則中冊目錄1對程序和數據的訪問11.1網絡基礎設施11.2承載網71.3智能網131.4大客戶管理系統201.5營業受理系統271.6計費帳務系統341.7客戶服務系統411.8財務管理系統481.9計劃建設管理系統541.10 省級綜合結算系統601.11辦公自動化系統672程序變更管理742.1網絡基礎設施742.2承載網782.3智能網822.4大客戶管理系統872.5營業受理系統922.6計費帳務系統972.7客戶服務系統1022.8財務管理系統1072.9計劃建設管理系統1122.10 省級綜合結算系統1172.11辦公自動化系統1223程序開發1274系統運行1324.1網絡基礎設施1324.2承載網1374.3智能網1424.4大客戶管理系統1474.5營業受理系統1524.6計費帳務系統1574.7客戶服務系統1624.8財務管理系統1674.9計劃建設管理系統1724.10省級綜合結算系統1774.11辦公自動化系統1825最終用戶計算1871對程序和數據的訪問1.1網絡基礎設施一、業務流程范圍1所涉及的業務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2所涉及的部門范圍所有部門。二、所涉及的計算機系統所有在DCN網上的系統。三、目標1對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到公司對信息安全重要性的重視。2對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統及數據的未經授權的訪問所帶來的風險。3建立相關流程以確保用戶添加、修改、刪除都經過管理層授權，及相關操作的準確性和及時性。 4確保定期對系統中用戶的訪問權限進行審閱，以減少未經授權或不適當的對系統或數據進行訪問而帶來的風險。5確保在關鍵流程中存在適當的職權分離。四、風險1公司缺乏可遵循的信息安全管理政策，信息安全管理不規范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源的未經授權的訪問, 非法修改系統數據。3對添加、修改、刪除用戶未經過管理層授權，離職員工帳號未及時在系統中刪除，導致對系統及數據未經授權或不適當訪問。4對系統或數據非法和不適當的訪問不能被及時發現。5系統的權限分配與業務部門授權確定的職責分工要求不符。五、相關會計科目所有會計科目。六、流程概述1 信息安全管理省公司在組織中建立了信息安全職能，并制定相應的組織結構圖及部門、人員職責描述文檔。省公司制定了正式并經過管理層批準的信息安全政策，范圍包括所有與生成財務報告的程序和數據相關的信息技術環境（例如網絡安全、物理安全、操作系統安全、應用程序安全等方面）。用戶和信息技術人員都應知曉本公司的信息安全政策。2 用戶帳號的管理2.1 超級用戶帳號的管理網絡管理員用戶帳號的使用僅限于經授權人員,這類用戶帳號的授權須經網絡維護部門領導的書面授權審批。在網絡管理員工作調動或離職等工作職能發生變化時，由人力資源部門正式以書面方式及時通知相關的網絡維護部門，由系統管理員更新或刪除其相應的訪問權限。2.2 用戶帳號訪問權限的定期審閱網絡維護部門主管人員或業務部門對網絡管理員帳號和訪問權限進行每半年審閱，以發現任何不合適的訪問權限。發現的問題要及時跟進解決。審閱結果留下書面記錄。網絡維護部門主管人員每半年對機房訪問權限清單進行審閱，如果發現不恰當用戶的存在及時通知機房管理人員取消相應用戶的授權。3 信息系統的的邏輯訪問和物理訪問對網絡管理員的管理訪問采用身份驗證機制，對網絡設備的管理訪問必須使用用戶名和密碼，而且每個網絡管理員帳號被授予唯一的網絡管理員。如果由于系統限制存在網絡管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。網絡維護部門對網絡管理員帳號的密碼制定密碼政策，以避免用戶使用安全級別低的密碼。密碼政策包括: 用戶密碼長度位數規定，密碼應定期更新。對于使用密鑰棒或動態密碼卡的網絡設備，需要配合使用由用戶掌握的PIN碼。網絡管理員負責每周檢查網絡安全日志記錄，發現異常現象應及時跟進或上報。網絡設備等硬件設備存放在安全的機房中，所有出入口均具備電子門禁系統或門鎖的保護。只有經過授權的人員可對存放有與財務報表相關的網絡機房和設備進行物理訪問。所有對機房的訪問授權需經網絡維護部門主管書面審批。非授權人員出入機房必須由機房工作人員陪同。人員進出機房會在機房門禁系統或機房進出登記記錄中留下記錄。公司在內部網絡與互聯網或其他外部網絡的網絡連接處安裝防火墻，以防止對公司內部網絡的非法訪問。只有指定的網絡管理員才能擁有防火墻管理帳號，并進行防火墻規則的更改。七、信息技術控制點信息技術控制點監督檢查方法1 信息安全管理HN.A.1.1.1省公司在組織中建立了信息安全職能，具有信息安全管理的工作職責。檢查組織結構圖及部門、人員職責描述文檔。HN.A.1.1.2省公司制定了正式并經過管理層批準的信息安全政策，為信息技術環境，包括應用程序、數據庫和信息技術基礎設施的信息安全提供指南。用戶和信息技術人員都應知曉本公司的信息安全政策。檢查信息安全政策,訪談用戶是否知曉本公司的信息安全政策。2 用戶帳號的管理2.1 超級用戶帳號的管理HN.A.1.2.1網絡管理員用戶帳號的使用僅限于經授權人員。這些用戶帳號的授權須經網絡維護部門的主管人員的書面授權審批。檢查網絡管理員帳號清單，檢查系統管理員帳號的審批文件。HN.A.1.2.2在網絡管理員工作調動或離職等工作職能發生變化時，及時由人力資源部門正式以書面方式通知相關的網絡維護部門，由系統管理員更新或刪除其相應的訪問權限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。2.2用戶帳號訪問權限的定期審閱HN.A.1.2.3網絡維護部門主管人員對網絡管理員帳號和訪問權限每半年進行審閱，以發現任何不合適的系統訪問權限。發現的問題及時跟進解決。檢查審閱書面記錄。HN.A.1.2.4網絡維護部門主管人員每半年對機房訪問權限清單進行審閱，如果發現不恰當用戶的存在，則及時通知機房管理人員取消相應用戶的授權。檢查審閱書面記錄。3 信息系統的的邏輯訪問和物理訪問HN.A.1.3.1對網絡管理員的管理訪問采用身份驗證機制，對網絡設備的管理訪問必須使用用戶名和密碼，而且每個網絡管理員帳號被授予唯一的網絡管理員。如果由于系統限制存在網絡管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。觀察系統登陸過程。檢查管理員用戶離職時的密碼修改記錄。HN.A.1.3.2網絡維護部門對網絡管理員帳號的密碼制定密碼政策，以避免用戶使用安全級別低的密碼。密碼政策包括: 用戶密碼長度不得低于6位 密碼應至少每90天進行更新對于使用密鑰棒或動態密碼卡的系統，需要配合使用由用戶掌握的PIN碼。觀察網絡設備的密碼配置。HN.A.1.3.3網絡管理員負責每周檢查網絡安全日志記錄，發現異常現象應及時跟進或上報。檢查網絡管理員對網絡安全日志檢查的書面記錄。HN.A.1.3.4網絡設備等硬件設備存放在安全的機房中。所有出入口均具備電子門禁系統或門鎖的保護。人員進出機房會在機房門禁系統或機房進出登記記錄中留下記錄。觀察機房安全措施。檢查人員進出機房的記錄。HN.A.1.3.5只有經過授權的人員可對存放網絡設備的機房和設備進行物理訪問。對機房的訪問授權需經網絡維護部門主管人員審批。非授權人員出入機房必須由機房工作人員陪同。檢查機房訪問清單和機房訪問授權單。HN.A.1.3.6公司在內部網絡與互聯網或其他外部網絡的網絡連接處安裝防火墻，以防止對公司內部網絡的非法訪問。檢查網絡拓撲圖，檢查防火墻規則設置。HN.A.1.3.7只有指定的網絡管理員才能擁有防火墻管理帳號，并進行防火墻規則的更改。檢查防火墻管理帳號列表，檢查防火墻管理人員名單。八、主要控制點的相關文件1網絡訪問申請表2員工工作調動/離職通知單3網絡管理員（網絡設備及防火墻）帳號申請表4網絡管理員帳號/權限檢查表5機房訪問權限檢查表6網絡安全日志檢查表7機房進出登記簿8 機房訪問權限申請表九、相關制度和備查文件 1 少人無人值守機房管理要求（試行）1.2承載網一、業務流程范圍1所涉及的業務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2所涉及的部門范圍運行維護部門、計費帳務部門、市場部門。二、所涉及的計算機系統小靈通程控交換機和匯接局程控交換機以及網管終端。三、目標1對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到公司對信息安全重要性的重視。2對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統及數據的未經授權的訪問所帶來的風險。3建立相關流程以確保用戶添加、修改、刪除都經過管理層授權，及相關操作的準確性和及時性。 4確保定期對系統中用戶的訪問權限進行審閱，以減少未經授權或不適當的對系統或數據進行訪問而帶來的風險。5 確保在關鍵流程中存在適當的職權分離。四、風險1公司缺乏可遵循的信息安全管理政策，信息安全管理不規范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源的未經授權的訪問, 非法修改系統數據。3對添加、修改、刪除用戶未經過管理層授權，離職員工帳號未及時在系統中刪除，導致對系統及數據未經授權或不適當訪問。4對系統或數據非法和不適當的訪問不能被及時發現。5系統的權限分配與業務部門授權確定的職責分工要求不符。五、相關會計科目收入類科目。六、流程概述1 信息安全管理省公司按照信息產業部或集團公司的相關規定和標準，對承載網的計費相關設備進行定期檢查并保留書面的檢查記錄，嚴格確保交換網的設備安全。2 用戶帳號的管理2.1 超級用戶帳號的管理承載網的交換機及網管終端的管理員帳號的使用僅限于經嚴格認證的授權人員。管理員帳號的授權經運行維護部門及相關各級主管人員的書面審批。授權審批文檔集中歸檔。對管理員帳號在承載網的設備及管理終端的訪問及操作要記錄并保留日志，并由運行維護部門主管人員每周審閱。在管理員工作調動或離職等工作職能發生變化時，及時由人力資源部門正式以書面方式通知運行維護部門，按照承載網管理員帳號的管理流程，由系統管理員更新或刪除其相應的訪問權限。2.2 用戶帳號訪問權限的定期審閱運行維護部門主管人員每半年對承載網的管理員帳號進行審閱，以發現任何不合適的管理員訪問權限。發現的問題要及時跟進解決。審閱結果留下書面記錄。運行維護部門主管人員每半年對電信機房的訪問權限清單進行審閱，如果發現不恰當用戶的存在及時通知機房管理人員取消相應用戶的授權。3 信息系統的的邏輯訪問和物理訪問對承載網管理員帳號的訪問采用身份驗證機制，對網管終端的訪問必須使用用戶名和密碼，而且每個承載網管理員帳號被授予唯一的維護管理人員。如果由于系統限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。按照省公司對訪問承載網的網管終端的相關規定，對承載網的管理軟件固化相應的密碼政策設置，以確保用戶使用安全級別高的密碼。密碼政策包括: 用戶密碼長度最低位數的規定，密碼定期更換的規定，不得使用最近的密碼。運行維護部門管理人員定期審核承載網的交換機以及網管終端（包括操作系統和專用管理軟件）的安全日志記錄，識別潛在的違規，如發現安全問題按照相關的管理規定及時上報。承載網的承載網的交換機以及網管終端等硬件設備必須存放在符合信息產業部、集團公司及省公司制定的安全標準的機房中。所有出入口均具備電子門禁系統或門鎖的保護。人員進出機房時在機房門禁系統或機房進出登記簿中留下記錄。只有經過授權的人員可對存放有承載網的交換機以及網管終端等設備的電信機房和設備進行物理訪問。對電信機房的訪問授權經過各級相關部門主管人員的書面審批。按照相關規定及安全標準，對電信機房進行嚴格的環境監控（如24小時閉路電視監控、防盜監控系統等），以及時發現對電信機房未經授權的訪問并進行處理。監控系統必須留下環境監控的記錄。承載網的交換機以及網管終端必須確保與外網/公網的隔離，并通過網絡安全控制手段阻止內網的不適當訪問。4 職責分工按照相關的規定，對維護承載網的計費相關設備的維護管理員，特別是具有訪問管理終端權限的維護管理員，必須遵循嚴格的職責分工。按照相關的規定，實行多級的管理權限劃分，對于通話記錄(CDR)數據的訪問僅限于有最高安全權限的管理員。七、信息技術控制點信息技術控制點監督檢查方法1 信息安全管理HN.B.1.1.1 省公司按照信息產業部或集團公司的相關規定和標準，對承載網的計費相關設備進行定期檢查并保留書面的檢查記錄，嚴格確保交換網的設備安全。檢查相關的文件。2 用戶帳號的管理2.1 超級用戶帳號的管理HN.B.1.2.1承載網的交換機及網管終端的管理員帳號的使用僅限于經嚴格認證的授權人員。管理員帳號的授權經運行維護部門及相關各級主管人員的書面審批。授權審批文檔集中歸檔。檢查承載網管理員帳號清單，檢查承載網管理員帳號的審批文件。HN.B.1.2.2對管理員帳號在承載網的設備及管理終端的訪問及操作要記錄并保留日志，并由運行維護部門主管人員每周審閱。檢查審閱書面記錄。HN.B.1.2.3在管理員工作調動或離職等工作職能發生變化時，及時由人力資源部門正式以書面方式通知運行維護部門，按照承載網管理員帳號的管理流程，由系統管理員更新或刪除其相應的訪問權限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。檢查管理員用戶離職時的密碼修改記錄。2.2用戶帳號訪問權限的定期審閱HN.B.1.2.4運行維護部門主管人員每半年對承載網的管理員帳號進行審閱，以發現任何不合適的管理員訪問權限。發現的問題要及時跟進解決。審閱結果留下書面記錄。檢查審閱書面記錄。HN.B.1.2.5運行維護部門主管人員每半年對電信機房的訪問權限清單進行審閱，如果發現不恰當用戶的存在及時通知機房管理人員取消相應用戶的授權。檢查審閱書面記錄。3 信息系統的的邏輯訪問和物理訪問HN.B.1.3.1對承載網管理員帳號的訪問采用身份驗證機制，對網管終端的訪問必須使用用戶名和密碼，而且每個承載網管理員帳號被授予唯一的維護管理人員。如果由于系統限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。觀察系統登陸過程。HN.B.1.3.2按照省公司對訪問承載網的網管終端的相關規定，對承載網的管理軟件固化相應的密碼政策設置，以確保用戶使用安全級別高的密碼。密碼政策包括: 用戶密碼長度不得低于6位 密碼應至少每90天進行更新 不得使用最近的密碼檢查網管終端的密碼設置。HN.B.1.3.3運行維護部門管理人員每周審核承載網的交換機以及網管終端（包括操作系統和專用管理軟件）的安全日志記錄，識別潛在的違規，如發現安全問題按照相關的管理規定及時上報。檢查管理人員對安全日志檢查的書面記錄。HN.B.1.3.4承載網上交換機以及網管終端等硬件設備必須存放在符合信息產業部、集團公司及省公司制定的安全標準的機房中。所有出入口均具備電子門禁系統或門鎖的保護。人員進出機房會在機房門禁系統或機房進出登記記錄中留下記錄。觀察機房安全措施、檢查人員進出機房的記錄。HN.B.1.3.5只有經過授權的人員可對存放有承載網的交換機以及網管終端等設備的電信機房和設備進行物理訪問。對電信機房的訪問授權經過各級相關部門主管人員的書面審批。檢查機房訪問清單和機房訪問授權單。HN.B.1.3.6按照相關規定及安全標準，對電信機房進行嚴格的環境監控（如24小時閉路電視監控、防盜監控系統等），以及時發現對電信機房的未經授權的訪問并進行處理。監控系統必須留下環境監控的記錄。檢查環境監控記錄。HN.B.1.3.7承載網的交換機以及網管終端必須確保與外網/公網的隔離，并通過網絡安全控制手段阻止內網的不適當訪問。檢查網絡拓撲圖。4 職責分工HN.B.1.4.1按照相關的規定，對維護承載網上計費相關設備的維護管理員，特別是具有訪問管理終端的權限的維護管理員，必須遵循嚴格的職責分工。按照相關的規定，實行多級的管理權限劃分，對于通話記錄(CDR)數據的訪問僅限于經授權人員。檢查權限分配名單。八、主要控制點的相關文件1承載網管理員崗位授權書2承載網管理員認證3承載網管理員操作日志審閱表4員工工作調動/離職通知單5承載網管理員帳號/權限檢查表6電信機房訪問權限檢查表7承載網安全日志檢查表8電信機房進出登記簿9電信機房訪問權限申請表10電信機房環境監控日志11承載網管理員權限分配方案九、相關制度和備查文件1 少人無人值守機房管理要求（試行）1.3智能網一、業務流程范圍1所涉及的業務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2所涉及的部門范圍市場部門、計費部門、運行維護部門。二、所涉及的計算機系統智能網（綜合信息平臺,SP網關,貝爾平臺(電話卡計費),固網短信平臺）。三、目標1對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。2對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統及數據未經授權的訪問所帶來的風險。3建立相關流程以確保用戶添加、修改、刪除都經過管理層授權，及相關操作的準確性和及時性。 4確保定期對系統中用戶的訪問權限進行審閱，以減少未經授權或不適當的對系統或數據進行訪問而帶來的風險。5 確保在關鍵流程中存在適當的職權分離。四、風險1公司缺乏可遵循的信息安全管理政策，信息安全管理不規范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源未經授權的訪問, 非法修改系統數據。3對添加、修改、刪除用戶未經過管理層授權，離職員工帳號未及時在系統中刪除，導致對系統及數據未經授權或不適當訪問。4對系統或數據非法和不適當的訪問不能被及時發現。5系統的權限分配與業務部門授權確定的職責分工要求不符。五、相關會計科目收入類科目。六、流程概述1 信息安全管理參見網絡基礎設施中本章節。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權限設置的管理流程，對智能網系統的用戶創建和授權必須通過業務部門主管人員審批后，方可由系統管理員在系統中創建用戶帳號，以避免未經授權帳號及權限的創建或修改。在員工工作調動或離職等工作職能發生變化時，由人力資源部門或相關業務部門及時正式書面通知系統維護部門，由系統管理員更新或刪除其相應的訪問權限。2.2 超級用戶帳號的管理以下各超級用戶帳號/特權功能用戶帳號的使用僅限于經授權人員： 操作系統的超級用戶帳號 (比如root用戶，系統管理員，安全管理員帳號，批處理用戶帳號)。 帳號數據庫的超級用戶帳號（比如數據庫管理員）。 帳號智能網系統的特權功能用戶帳號（例如具有增加/變更/刪除用戶等權限）。以上用戶帳號的授權須經系統維護部門主管人員或相關業務部門主管人員的書面審批。智能網系統的管理賬號（包括操作系統、數據庫和應用程序層面）如果由于系統限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權限的定期審閱系統維護部門主管人員或業務部門對智能網系統的用戶帳號和用戶訪問權限進行每半年審閱，以發現任何不合適的系統訪問權限。發現的問題要及時跟進解決。審閱結果留下書面記錄。帳號系統維護部門主管人員每半年對機房訪問權限清單進行審閱，如果發現存在不適當用戶及時通知機房管理人員取消相應用戶的授權。3 信息系統的邏輯訪問和物理訪問在智能網系統中采用用戶身份的驗證機制，對智能網系統的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。系統維護部門對訪問智能網系統（包括操作系統、數據庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據密碼政策在系統固化相應的設置，以避免用戶使用安全級別低的密碼。密碼政策應包括:用戶密碼長度最低位數的規定，密碼定期更換的規定，不得使用最近的密碼。對于使用密鑰棒或動態密碼卡的系統，需要配合使用由用戶掌握的PIN碼。系統管理員負責每周檢查智能網系統應用程序、操作系統和數據庫層面安全日志記錄（含對于重要的數據增、刪、改操作），發現異常現象應及時跟進或上報。安裝智能網系統應用程序、操作系統和數據庫的硬件設備存放在安全的機房中。所有出入口均具備電子門禁系統或門鎖的保護。只有經授權的人員可對存放智能網系統設備的計算機機房和設備進行物理訪問。對機房的訪問授權須經系統維護部門主管書面審批。非授權人員出入機房必須由機房工作人員陪同。人員進出機房會在機房門禁系統或機房進出日志中留下記錄。4 職責分工在智能網系統中創立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據業務部門或相關管理部門對用戶角色權限的審批結果進行設定。公司通過不同工作崗位對于系統資源訪問的限制來達到不相容職責分工的目的。內審或者用戶部門每半年檢查智能網系統的用戶角色或用戶組的權限設定,確保合理的職責分工。如發現權限分配的問題，應及時跟進解決。七、信息技術控制點信息技術控制點監督檢查方法1 信息安全管理參見網絡基礎設施中本章節。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制HN.C.1.2.1省公司建立了用戶及其權限設置的管理流程，對智能網系統的用戶創建和授權必須通過業務部門主管審批后，方可由相關的系統管理員在系統中創建用戶帳號。檢查用戶及其權限設置的管理流程, 抽查用戶創建和授權的審批文件。HN.C.1.2.2在員工工作調動或離職等工作職能發生變化時，及時由人力資源部門或相關業務部門正式以書面方式通知系統維護部門，由系統管理員更新或刪除其相應的訪問權限。抽查人員訪問權限的刪除書面通知，檢查離職用戶帳號是否已完全刪除。2.2 超級用戶帳號的管理HN.C.1.2.3智能網系統的操作系統管理帳號僅限于經授權的系統管理員，其帳號須經系統維護部門主管的書面授權審批。檢查系統管理帳號清單，檢查系統管理員帳號的審批文件。HN.C.1.2.4智能網系統數據庫的管理帳號僅限于經授權的數據庫管理員，其帳號須經系統維護部門主管的書面授權審批。 檢查數據庫管理帳號清單，檢查數據庫管理員帳號的審批文件。HN.C.1.2.5智能網系統的特權用戶（例如具有增加/變更/刪除用戶等權限）僅限于經授權的系統管理人員，其帳號須經系統維護部門主管或相關業務部門主管的書面授權審批。檢查特權用戶管理帳號清單，檢查特權用戶管理員帳號的審批文件。HN.C.1.2.6 智能網系統的管理賬號（包括操作系統、數據庫和應用程序層面）如果由于系統限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。檢查管理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權限的定期審閱HN.C.1.2.7系統維護部門主管或業務部門對智能網系統的用戶帳號和用戶訪問權限進行每半年審閱，以發現任何不合適的系統訪問權限，并及時跟進解決。檢查審閱書面記錄。HN.C.1.2.8系統維護部門主管人員每半年對機房訪問權限清單進行審閱，若發現存在不合適的用戶，及時通知機房管理人員取消其相應的授權。檢查審閱書面記錄。3 信息系統的的邏輯訪問和物理訪問HN.C.1.3.1在智能網系統中采用用戶身份的驗證機制，對智能網系統的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。觀察系統登陸過程。HN.C.1.3.2系統維護部門對訪問智能網系統（包括操作系統、數據庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據密碼政策在系統中固化相應的設置，以避免用戶使用安全級別低的密碼。密碼政策具體包括: 用戶密碼長度不得低于6位 密碼應至少每90天進行更新 不得使用最近的密碼對于使用密鑰棒或動態密碼卡的系統，需要配合使用由用戶掌握的PIN碼。觀察系統密碼設置。HN.C.1.3.3系統管理員負責每周檢查智能網系統應用程序、操作系統和數據庫層面安全日志記錄（含對于重要的數據增、刪、改操作），發現異常現象及時跟進或上報。檢查系統安全日志記錄和定期檢查的記錄。HN.C.1.3.4安裝智能網系統應用程序、操作系統和數據庫的硬件設備存放在安全的機房中。所有出入口均具備電子門禁系統或門鎖的保護。人員進出機房會在機房門禁系統或機房進出日志中留下記錄。觀察機房安全措施、檢查人員進出機房的記錄。HN.C.1.3.5只有經授權的人員可對存放智能網系統設備的計算機機房和設備進行物理訪問。對機房的訪問授權須經系統維護部門主管人員書面審批。非授權人員出入機房必須由機房工作人員陪同。檢查機房訪問清單和機房訪問授權單。4 職責分工HN.C.1.4.1在智能網系統中創立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據用戶部門或相關業務部門對用戶角色權限的審批結果進行設定。公司通過不同工作崗位對于系統資源訪問的限制來達到不相容職責分工的目的。檢查用戶權限審批文件，觀察系統用戶權限配置。HN.C.1.4.2內審或者用戶部門每半年檢查系統的用戶角色或用戶組的權限設定, 確保合理的職責分工。發現問題及時跟進解決。檢查職責分工的檢查記錄。八、主要控制點的相關文件1用戶（組）創建及系統訪問權限申請表2員工工作調動/離職通知單3系統管理員（操作系統/數據庫）帳號申請表4系統特權用戶帳號申請表5系統帳號/權限檢查表6機房訪問權限檢查表7系統安全日志檢查表8機房進出登記簿9機房訪問權限申請表10系統用戶（組）權限分配審閱報告11 職責分工檢查報告九、相關制度和備查文件1 少人無人值守機房管理要求（試行）1.4大客戶管理系統一、業務流程范圍1所涉及的業務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2所涉及的部門范圍信息技術部門, 大客戶部門。二、所涉及的計算機系統海南電信營銷渠道支撐系統，一站式大客戶業務處理系統。三、目標1對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。2對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統及數據未經授權的訪問所帶來的風險。3建立相關流程以確保用戶添加、修改、刪除都經過管理層授權，及相關操作的準確性和及時性。 4確保定期對系統中用戶的訪問權限進行審閱，以減少未經授權或不適當的對系統或數據進行訪問而帶來的風險。5確保在關鍵流程中存在適當的職權分離。四、風險1公司缺乏可遵循的信息安全管理政策，信息安全管理不規范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源未經授權的訪問, 非法修改系統數據。3對添加、修改、刪除用戶未經過管理層授權，離職員工帳號未及時在系統中刪除，導致對系統及數據未經授權或不適當訪問。4對系統或數據非法和不適當的訪問不能被及時發現。5系統的權限分配與業務部門授權確定的職責分工要求不符。五、相關會計科目主營業務收入。六、流程概述1 信息安全管理參見網絡基礎設施中本章節。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制集團公司或省公司建立了用戶及其權限設置的管理流程，對大客戶管理系統的用戶創建和授權必須通過系統主管人員審批后，方可由相關的系統管理員在系統中創建用戶帳號，以避免未經授權帳號及權限的創建或修改。在員工工作調動或離職等工作職能發生變化時，由人力資源部門或用戶部門及時正式書面通知系統維護部門，由系統管理員更新或刪除其相應的訪問權限。2.2 超級用戶帳號的管理以下各超級用戶帳號/特權功能用戶帳號的使用僅限于經授權人員： 操作系統的超級用戶帳號 (比如root用戶，系統管理員，安全管理員帳號，批處理用戶帳號)。 數據庫的超級用戶帳號（比如數據庫管理員）。 應用系統的特權功能用戶帳號（例如具有增加/變更/刪除用戶等權限）。以上用戶帳號的授權須經系統維護部門主管人員或系統主管人員的書面審批。大客戶管理系統的管理賬號（包括操作系統、數據庫和應用程序層面）如果由于系統限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權限的定期審閱用戶部門主管人員或業務部門對大客戶管理系統的用戶帳號和用戶訪問權限進行每半年審閱，以發現任何不合適的系統訪問權限帳號。發現的問題要及時跟進解決。審閱結果留下書面記錄。系統維護部門主管人員每半年對機房訪問權限清單進行審閱，如果發現存在不適當用戶及時通知機房管理人員取消相應用戶的授權。3 信息系統的邏輯訪問和物理訪問在大客戶管理系統中采用用戶身份的驗證機制，對大客戶管理系統的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。系統維護部門對訪問大客戶管理系統（包括操作系統、數據庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據密碼政策在系統中固化相應的設置，以避免用戶使用安全級別低的密碼。密碼政策應包括:用戶密碼長度最低位數的規定，密碼定期更換的規定，不得使用最近的密碼。對于使用密鑰棒或動態密碼卡的系統，需要配合使用由用戶掌握的PIN碼。系統管理員負責每周檢查大客戶管理系統應用程序、操作系統和數據庫層面安全日志記錄（含對于重要的數據增、刪、改操作），發現異常現象及時跟進或上報。安裝大客戶管理系統應用程序、操作系統和數據庫的硬件設備存放在安全的機房中。所有出入口均具備電子門禁系統或門鎖的保護。只有經授權的人員可對存放大客戶管理系統的計算機機房和設備進行物理訪問。對機房的訪問授權需經系統維護部門主管人員書面審批。非授權人員出入機房必須由機房工作人員陪同。人員進出機房會在機房門禁系統或機房進出日志中留下記錄。4 職責分工在大客戶管理系統中創立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據用戶部門或相關管理部門對用戶角色權限的審批結果進行設定。公司通過不同工作崗位對于系統資源訪問的限制來達到不相容職責分工的目的。內審或者用戶部門每半年檢查大客戶管理系統的用戶角色或用戶組的權限設定，確保合理的職責分工, 如發現問題，應及時跟進解決。七、信息技術控制點信息技術控制點監督檢查方法1 信息安全管理 參見網絡基礎設施中本章節。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制HN.E.1.2.1集團公司或省公司建立了用戶及其權限設置的管理流程，對大客戶管理系統的用戶創建和授權必須通過業務部門主管人員審批后，方可由相關的系統管理員在系統中創建用戶帳號。檢查用戶及其權限設置的管理流程, 抽查用戶創建和授權的審批文件。HN.E.1.2.2在員工工作調動或離職等工作職能發生變化時，及時由人力資源部門或用戶部門正式書面通知系統維護部門, 并通報至集團公司, 由相關的系統管理員更新或刪除其相應的訪問權限。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。 2.2 超級用戶帳號的管理HN.E.1.2.3大客戶管理系統的操作系統管理帳號僅限于經授權的系統管理員，其帳號須經系統維護部門主管人員的書面授權審批。檢查系統管理帳號清單，檢查系統管理員帳號的審批文件。HN.E.1.2.4大客戶管理系統的數據庫管理帳號僅限于經授權的數據庫管理員，其帳號須經系統維護部門主管人員的書面授權審批。檢查數據庫管理帳號清單，檢查數據庫管理員帳號的審批文件。HN.E.1.2.5大客戶管理系統的特權用戶（例如具有增加/變更/刪除用戶等權限）僅限于經授權的系統管理人員或業務人員，其帳號須經系統維護部門主管人員的書面授權審批。檢查特權用戶管理帳號清單，檢查特權用戶管理員帳號的審批文件。HN.E.1.2.6 大客戶管理系統的管理賬號（包括操作系統、數據庫和應用程序層面）如果由于系統限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。檢查管理員用戶離職時的密碼修改記錄。2.3用戶帳號訪問權限的定期審閱HN.E.1.2.7系統主管人員或業務部門對大客戶管理系統的用戶帳號和用戶訪問權限進行每半年審閱，以發現任何不合適的系統訪問權限帳號，并及時跟進解決。檢查審閱書面記錄。HN.E.1.2.8系統維護部門主管人員每半年對機房訪問權限清單進行審閱，若發現存在不合適的用戶，及時通知機房管理人員取消其相應的授權。檢查審閱書面記錄。3 信息系統的的邏輯訪問和物理訪問HN.E.1.3.1在大客戶管理系統中采用用戶身份的驗證機制，對大客戶管理系統的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。觀察系統登陸過程。HN.E.1.3.2系統維護部門對訪問大客戶管理系統（包括操作系統、數據庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據密碼政策在系統中固化相應的設置，以避免用戶使用安全級別低的密碼。密碼政策具體包括: 用戶密碼長度不得低于6位 密碼應至少每90天進行更新不得使用最近的密碼對于使用密鑰棒或動態密碼卡的系統，需要配合使用由用戶掌握的PIN碼。觀察系統密碼設置。HN.E.1.3.3系統管理員負責每周檢查大客戶管理系統應用程序、操作系統和數據庫層面安全日志記錄（含對于重要的數據增、刪、改操作），發現異常現象及時跟進或上報。檢查系統安全日志記錄和審核記錄。HN.E.1.3.4 安裝大客戶管理系統應用程序、操作系統和數據庫的硬件設備存放在安全的機房中。所有出入口均具備電子門禁系統或門鎖的保護。人員進出機房會在機房門禁系統或機房進出日志中留下記錄。觀察機房安全措施、檢查人員進出機房的記錄。HN.E.1.3.5只有經授權的人員可對存放大客戶管理系統的計算機機房和設備進行物理訪問。對機房的訪問授權需經系統維護部門主管人員審批。非授權人員出入機房必須由機房工作人員陪同。檢查機房訪問清單和機房訪問授權單。4 職責分工HN.E.1.4.1 在大客戶管理系統中創立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據用戶部門或相關管理部門對用戶角色權限的審批結果進行設定。公司通過不同工作崗位對于系統資源訪問的限制來達到不相容職責分工的目的。檢查用戶權限審批文件，觀察系統用戶權限配置。HN.E.1.4.2 內審或者用戶部門每半年檢查大客戶管理系統的用戶角色或用戶組的權限設定, 確保合理的職責分工。發現問題及時跟進解決。檢查職責分工的檢查記錄。八、主要控制點的相關文件1用戶（組）創建及系統訪問權限申請表2員工工作調動/離職通知單3系統管理員（操作系統/數據庫）帳號申請表4系統特權用戶帳號申請表5系統帳號/權限檢查表6機房訪問權限檢查表7系統安全日志檢查表8機房進出登記簿9機房訪問權限申請表10系統用戶（組）權限分配審閱報告11職責分工檢查報告九、相關制度和備查文件1 少人無人值守機房管理要求（試行）1.5營業受理系統一、業務流程范圍1所涉及的業務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2所涉及的部門范圍所有前后端部門：運行維護部門、計費部門、信息技術部門、市場部門。二、所涉及的計算機系統綜合業務支撐系統/網上營業廳。三、目標1對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。2對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統及數據未經授權的訪問所帶來的風險。3建立相關流程以確保用戶添加、修改、刪除都經過管理層授權，及相關操作的準確性和及時性。 4確保定期對系統中用戶的訪問權限進行審閱，以減少未經授權或不適當的對系統或數據進行訪問而帶來的風險。5確保在關鍵流程中存在適當的職權分離。四、風險1公司缺乏可遵循的信息安全管理政策，信息安全管理不規范，增加信息安全隱患。2缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源未經授權的訪問, 非法修改系統數據。3對添加、修改、刪除用戶未經過管理層授權，離職員工帳號未及時在系統中刪除，導致對系統及數據未經授權或不適當訪問。4對系統或數據非法和不適當的訪問不能被及時發現。5系統的權限分配與業務部門授權確定的職責分工要求不符。五、相關會計科目收入和費用類科目。六、流程概述1 信息安全管理參見網絡基礎設施中本章節。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權限設置的管理流程，對營業受理系統的用戶創建和授權必須通過各級業務部門主管人員審批后，方可由系統管理員在系統中創建用戶帳號，以避免未經授權帳號及權限的創建或修改。在員工工作調動或離職等工作職能發生變化時，由人力資源部門或用戶部門及時正式書面通知系統維護部門，由系統管理員更新或刪除其相應的訪問權限。2.2 超級用戶帳號的管理以下各超級用戶帳號/特權功能用戶帳號的使用僅限于經授權人員： 操作系統的超級用戶帳號（比如root用戶，系統管理員，安全管理員帳號，批處理用戶帳號）。 數據庫的超級用戶帳號（比如數據庫管理員）。 應用系統的特權功能用戶帳號（例如具有增加/變更/刪除用戶等權限）。以上用戶帳號的授權須經系統維護部門主管人員的書面審批。營業受理系統的管理賬號（包括操作系統、數據庫和應用程序層面）如果由于系統限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。2.3 用戶帳號訪問權限的定期審閱系統維護部門主管人員或業務部門對營業受理系統的用戶帳號和用戶訪問權限進行每季度的定期審閱，以發現任何不合適的系統訪問權限。發現的問題要及時跟進解決。審閱結果留下書面記錄。系統維護部門主管人員每半年對機房訪問權限清單進行審閱，如果發現存在不適當用戶及時通知機房管理人員取消相應用戶的授權。3 信息系統的邏輯訪問和物理訪問在營業受理系統中采用用戶身份的驗證機制，對營業受理系統的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶（除用于查詢訪問的功能性賬號外）。系統維護部門對訪問營業受理系統（包括操作系統、數據庫和應用程序層面）的密碼制定密碼政策，并根據密碼政策在系統固化相應的設置，以避免用戶使用安全級別低的密碼。密碼政策應包括:用戶密碼長度最低位數的規定，密碼定期更換的規定，不得使用最近的密碼。對于使用密鑰棒或動態密碼卡的系統，需要配合使用由用戶掌握的PIN碼。系統管理員負責每周檢查營業受理系統應用程序、操作系統和數據庫層面安全日志記錄（含對于重要的數據增、刪、改操作），發現異常現象及時跟進或上報。營業受理系統應用程序、操作系統和數據庫的硬件設備存放在安全的機房中。所有出入口均具備電子門禁系統或門鎖的保護。只有經授權的人員可對存放營業受理系統的計算機機房和設備進行物理訪問。對機房的訪問授權須經系統維護部門主管人員書面審批。非授權人員出入機房必須由機房工作人員陪同。人員進出機房會在機房門禁系統或機房進出日志中留下記錄。4 職責分工在營業受理系統中創立新用戶角色或對用戶組或用戶角色定義進行修改時，根據業務部門或系統管理部門審批過的流程對用戶角色的權限進行設定。公司通過對于不同工作崗位對于系統資源訪問的限制來達到不相容職責分工的目的。內審或用戶部門每半年檢查營業受理系統的用戶角色或用戶組的權限設定, 確保合理的職責分工。七、信息技術控制點信息技術控制點監督檢查方法1 信息安全管理參見網絡基礎設施中本章節。2 用戶帳號的管理2.1 用戶帳號的添加、修改及刪除控制HN.F.1.2.1省公司建立了用戶及其權限設置的管理流程，對營業受理系統的用戶創建和授權必須通過各級業務部門主管人員審批后，方可由相關的系統管理員在系統中創建用戶帳號。檢查用戶及其權限設置的管理流程, 抽查用戶創建和授權的審批文件。HN.F.1.2.2在員工工作調動或離職等工作職能發生變化時，及時由人力資源部門或用戶部門正式以書面方式通知系統維護部門，由系統管理員更新或刪除其相應的訪問權限。抽查