珠海碧辟液化石油气有限公司TSRS - 管理建议书.docVIP

珠海碧辟液化石油气有限公司管理建议书2008年月3日 安永 前言 3 1．建立全面有效的信息安全政策 4 2．完善信息系统程序修改以及维护的控制流程 5 3．正确配置应用程序，操作系统以及数据库的密码安全 6 4．加强对账户及其权限的管理 7 5．加强对数据备份，恢复以及物理安全的监管 8 6．权责分工——业务流程（审计范围之外，仅作参考） 9 7．关帐控制——业务流程（审计范围之外，仅作参考） 10 附件1 系统密码设置建议 11 前言 安永科技与信息咨询服务部对贵公司进行的系统安全审计范围包括如下： 公司名称 涉及系统和程序 珠海碧辟液化石油气有限公司 SAP R/3 4.6 Windows Server 2003 Oracle 9i 1．建立全面有效的信息安全政策 发现 在审计过程中，我们发现贵公司信息安全政策。 影响涵盖了关键和敏感的信息资源，、客户资源、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。安全制度和流程，管理层难于保证持续 建议 我们建议贵公司管理层从上到下应建立制订一个全面的安全制度和流程。该制度应得到贵公司高层审批和发布，并传达所有员工。该制度应明确管理层的职责并以此建立管理信息安全的步骤。该信息安全制度应该包括以下方面： 阐述信息安全的定义、目标和范围，以及其对有效推进信息共享的重要性； 阐述管理层支持信息安全的目的、目标和原因； 简要地解释信息安全政策、原理和标准，以及遵守安全政策对企业的重要性； 阐述信息安全管理的一般的和具体的任务，包括对影响信息安全的意外事件的汇报； 提供可能支持该政策的相关参考文件。 并且，管理层应考虑在制度中覆盖更广阔的安全内容，比如 另外，在制度实施及以后的执行过程中，应给员工以充分适当的安全教育，使员工可以尽快理解制度内容并贯彻实施制度措施。 公司管理层回复 发现 在审计过程中，我们注意到以下的问题： 变更修改之后，没有正式的流程来规范用户参与的测试，而且对于用户测试的结果没有一个完善的反馈机制。 对于程序变更也没有正式的监控流程以及定期检查是否存在非法修改。 服务器从上海迁移到珠海之后，公司还未对服务器操作系统和数据库的维护、配置制定相应的流程。 影响 如果程序变更没有依照相关流程进行有可能导致程序被非法修改，或修改的内容并不能满足最终用户的需求；因此有可能影响系统的运行，重要财务数据的完整性和正确性； 对服务器操作系统和数据库的更新缺乏审批记录，可能导致管理层无法确定修改是否经过审批； 如果没有对程序修改进行监控，便无法检查服务器操作系统，数据库和应用程序是否存在非法更改； 建议 公司公司管理层回复 正确发现 在审计过程中，我们注意到以及其相应的服务器上的目前的安全配置存在不足之处，详细情况参数 SAP R/3 4.Oracle 9i 最小密码长度 密码复杂程度 没有设置 密码过期的最长时间 42天 非法尝试密码的次数 没有设置 多少次数之内不能用之前用过的密码 没有设置 没有设置 超时锁定 00秒 没有设置 非法登录日志 没有设置 影响 建议 为了减少安全风险，我们建议贵公司以及其相应的服务器上的的安全配置。贵公司可根据实际情况选择设置公司管理层回复 发现 在审计过程中，我们注意到没有定期监控最终用户登到应用程序、服务器操作系统的情况 影响 没有对帐户进行有效的管理，会导致有非授权的用户存在于公司系统中，或者是在系统中存在一些无用的，过期的，甚至是不应该存在的账号，从而降低了系统的安全性以及增加了非授权用户登录系统对数据进行修改的风险 没有定期检查应用程序、服务器操作系统上用户（包括超级管理员）的登录情况及其权限设置， 建议 制定周期性（如每季度）的系统账户检阅流程或制度，确保各账户拥有的权限与其职能一致。如发现账户权限与其职能不一致，应及时做出相应修改。系统账号的检阅应由IT部门负责人发起，并由相关用户部门负责人实施。 应指定专人作为系统安全专员，负责维护及审阅每天/每周的系统访问日志，及早发现系统中的非法登录和非法操作。但系统安全专员不得拥有系统中的特权账户，亦不得对用户的增减及变动进行审批。 公司管理层回复 5．加强对数据备份，恢复以及物理安全的监管 发现 影响 建议 管理层6．权责分工——业务流程（审计范围之外，仅作参考） 发现 ）））影响 建议 ））管理层7．关帐控制——业务流程（审计范围之外，仅作参考） 发现 影响 建议 管理层 附件1 系统密码设置建议 我们建议贵公司以及其相应的服务器上的的安全配置。参数 SAP R/3 4.Oracle 9i 最小密码长度 login/min_password_lng =4 或 6. 6 6 位 密码复杂程度 Enabled PAS