erp系统it一般性控制矩阵和底稿_终稿_060824.xlsVIP

ERP系统工作底稿 ERP系统控制矩阵 ERP系统评估表 开发人员和关键用户的权限管理 预置帐户的管理 支持人员的权限管理 系统配置变更流程管理 软件版本升级测试管理 项目立项和详细设计管理 系统切换和月结差异分析 加强对第三方人员授权访问的管理 预防性 ERP-DA1 程序和数据访问 一 手动 检查性 半年 实时 系统运行 备注 单位名称： 测试时间： 测试人： 控制目标 控制点 控制活动属性 相关制度和文档 测试结果 编号 控制点描述 控制频率 自动/手动 预防性/检查性 程序和数据访问 ERP系统IT一般性控制工作底稿 自动 加强软件版本管理，详细记录软件版本更新情况 制定备份策略和备份方案，减少意外事故造成数据丢失的风险 健全系统登录访问机制，防止密码强度不够造成密码泄露等问题发生 ERP-PD8 ERP-PD9 三 程序开发管理 权限管理员 建立应急预案，确保业务处理的连贯性 按需 ERP-PD1 ERP-PD2 ERP-PD6 ERP-DA7 用户权限维护 开发变更需求管理 备份日志管理 加强用户权限管理，防止对系统的非授权访问 相关部门负责人；权限管理员 业务部门负责人 业务部门负责人 检查性 总部信息部负责人 需求部门负责人 信息部门/ERP支持中心负责人 信息部门/ERP支持中心负责人，系统管理员 穿行测试有效否 ERP系统IT一般性控制矩阵 《ERP系统用户权限管理制度》；ERP系统用户权限申请表 用户帐户审核清单 ERP-DA3 系统登录访问控制 《ERP系统系统管理员岗位规定及管理制度》 设计 有效否 执行 有效否 修补完 成时间 控制 执行人 序号 序 号 被测试单位： 复核人： 控制目标 控制点编号 控制点描述 测试步骤 测试结果 结论 文档编号 加强系统超级用户的管理，建立完善的系统安全机制 ERP-DA4 ERP-DA5 1、权限管理员按照支持中心负责人审定的支持人员岗位职责在系统中分配相应的支持权限，如果在支持过程中需要增加或者变更权限，需按照权限维护流程提报支持中心负责人审批，批准后由权限管理员在系统中进行权限变更并做变更记录； 2、支持人员（包括总部和企业）在生产系统中只有相应模块的显示、跟踪权限，不能分配业务操作权限、后台配置权限。 ERP-DA8 第三方合作保密协议 针对第三方人员需要签订保密协议，第三方人员在没有得到中国石化同意的情况下不得向任何其他企业或个人透露中石化的任何企业信息。 ERP-DA9 第三方人员的访问管理 二 程序变更管理 加强开发变更管理和相应文档管理 开发变更环境管理 开发变更记录管理 提报单位ERP支持中心组织需求变更部门对开发变更内容进行记录，包括开发、测试、功能说明文档、技术说明文档、用户手册、管理制度、版本号管理等，由ERP支持中心归档。 加强系统配置变更管理和相应文档管理 ERP-PC4 系统配置变更申请管理 ERP-PC5 总部信息部/ERP支持中心确定变更需求是否合理，批准后将授权总部/企业支持人员或第三方人员根据变更需求进行流程设计，流程图和流程描述经相关业务部门签字确认后在开发集团进行配置修改，由被授权人员填写系统配置变更记录。 ERP-PC6 系统配置变更测试管理 凡涉及业务流程、数据库变动的配置变更，需由业务人员在测试集团进行测试，业务人员编制测试场景，并记录测试结果，测试记录经业务部门负责人审核后提交BASIS人员将变更内容传输至生产系统中。 ERP-PC7 系统配置变更记录管理 ERP-PC8 软件版本变更申请管理 由总部业务部门/企业信息部门提出的软件补丁、版本升级申请，必须由总部信息部审查批准后统一组织安排。 ERP-PC9 1、制定ERP系统用户权限管理制度； 2、建立/变更用户帐户和角色，由申请人填写“ERP系统用户权限申请表”，经相应业务部门负责人审批后，由权限管理员在系统中建立/维护权限，提交申请人进行权限测试并填写测试记录； 3、无论是已有角色的分配，还是建立一个新的角色，都需关键用户进行测试并填写测试记录，测试通过并经相应业务部门负责人签字后才能在生产系统中启用； 4、业务人员由于岗位变动或离开单位，业务部门填写“ERP系统用户权限申请表”锁定帐户，经业务部门领导审核后，由权限管理员在系统中将该用户进行锁定。 1、密码规则：长度6位以上，数字+字母；用户密码3个月内必须更新一次；帐户密码重复输入5次错误则暂停登录或系统锁定；如果用户10分钟不进行任何操作，系统应自动退出该帐户； 2、系统中不应设置共享用户（查询用户除外）。 1、BASIS管理员负责系统运行情况的监控和系统日志管理,并进行系统监控记录； 2、BASIS管理员在生产系统中只分配系统监控的只读权限； 3、安全管理员每季度对BASIS管理员