资金申请审批系统及财务系统基础设施安全评估项目立项申请报告.doc

目录 1 编制依据和原则 3 1.1 编写依据 3 1.2 项目意义 3 2 国内外现状及发展趋势 4 2.1 国外现状及发展趋势 4 2.2 国内现状及发展趋势 5 3 需求分析 5 3.1 系统现状 5 3.2 评估需求 9 4 评估目标和评估内容 10 4.1 项目目标 10 4.2 项目内容 11 4.3 工作策略 14 5 技术方案和技术路线 15 5.1 技术方案 15 5.2 技术路线 15 5.3 评估手段 21 5.4 评估工具 23 5.5 关键技术 24 6 投资估算 24 6.1 人天估算 24 6.2 投资估算 26 7 验收指标 26 7.1 阶段划分 26 7.2 总体验收内容及指标 27 8 项目实施计划 28 8.1 组织机构及人员安排 28 8.2 进度计划 28 9 可行性分析 29 9.1 技术可行性分析 29 9.2 投入产出分析 29 9.3 风险分析及规避 29 10 结论 30 11 参考文献、资料 30 编制依据和原则 编写依据 1）、国家信息化办公室要求国有大型企业对信息系统实施全面的安全评估； 2）、中国人民代表大会发布的《中华人民共和国公司法》要求； 3）、中华人民共和国财政部发布的《中华人民共和国会计法》及《企业会计制度》要求； 4）、中国银行业监督管理委员会发布的《企业集团财务公司管理办法》、《电子银行业务管理办法》、《电子银行安全评估指引》要求； 5）、中国石化信息安全规划（初稿）要求； 6）、中国石化财务部将资金申请审批系统的安全稳定运行作为今后重点工作之一，以保证资金申请审批系统和业务的可持续发展； 7）、中国石化各级领导高度重视资金申请审批系统的安全，高层领导指示要了解资金申请审批系统的安全状况，对资金申请审批系统进行全面的安全评估工作； 8）、内控对信息安全的要求。 项目意义 中国石化资金申请审批系统发展至今，已在全国90家企业应用。为了保证系统可靠稳定运行，巩固成果、持续发展，有必要通过体系的安全评估，了解目前资金申请审批系统面临的内外安全风险，为后续建设提供科学的决策信息，进一步提高资金申请审批系统服务能力、服务水平。 通过对资金申请审批系统的安全评估，满足中国人民银行、中华人民共和国财政部、中国银行业监督管理委员、国务院国有资产监督管理委员会对财务会计系统的合规性要求。 通过中国石化资金申请审批系统的安全评估，进一步提高资金申请审批系统安全保障能力，提高信息化水平和信息安全管理水平。 通过中国石化资金申请审批系统体系化的安全评估工作，明确下一步基础设施建设策略，为整个资金申请审批系统安全保障体系建设做出科学、可行规划，控制建设、部署、运维、管理、业务发展方面的各种技术风险。 通过对财务相关系统相关主机的安全评估,了解财务系统主机的安全现状,确定财务系统相关主机存在的漏洞,制定主机系统加固措施,保障财务系统相关主机的安全。这也是内控的基本要求。 中国石化经过多年的网络建设，已经建成了以光纤主干网为基础、覆盖所有下属企业的网络体系，总公司通过主干网与下属企业实现网络连接，形成了一个向下覆盖所有下属企业主要生产部门的信息网络，网络上承载着ERP、和OA系统等重要生产经营系统，公司的生产经营对网络和主机系统的依赖程度越来越高，主干网络出现问题将严重影响公司的效益和声誉。对总部局域网、主干网和Internet出口进行信息安全评估，明确网络的信息安全保障能力，对中国石化具有重要的现实意义。 对公司站点渗透测试，为站点的安全提供保障基础。 国内外现状及发展趋势 国外现状及发展趋势 信息安全与信息系统安全评估是整个信息安全工作的重点之一，是安全体系建设的基础。 多年来，国外信息技术的发展与应用已经渗透到企业的各个层面，信息安全与信息系统安全已经成为了一项基础性、长期性的工作，已经把信息安全投入作为信息系统拥有成本的基本组成考虑，为了增加安全投资的可靠性、针对性、有效性，已经将信息安全风险评估标准与规范落实到了信息系统的整个生命周期之中，实现了信息系统从规划设计到建设运行各个阶段信息安全风险评估和安全保障体系的同步建设。 国外比较大型的企业已经基本上建立的自己的信息安全保障体系标准，信息安全风险管理作为重点工作之一，只有通过标准化工作，才能保证信息系统的功能、性能的有效发挥，他们把信息安全评估工作作为重要的战略进行部署并贯彻执行。通常，他们会对其重要系统每半年进行一次安全评估，每三年对整个信息技术基础设施进行一次全面评估。 尤其是2001年以来，随着安然（ENRON）、世通（WORLDCOM）等财务欺诈事件的发生，以及安达信为涉嫌造假的安然公司及世通公司提供财务保教审计，美国国会出台《2002年公众公司会计改革和投资者保护法案》（该法案由美国众议院金融服务委员会主席奥克