it一般性控制介绍(06.8.22).pptVIP

IT一般性控制基础设施内控介绍 一、信息安全二、网络管理三、机房管理四、终端用户计算管理 一、信息安全 控制目标1 制定信息系统的安全策略，指导企业信息安全体系的建立。 一、信息安全 ITI-SE1信息安全策略管理 1 .建立信息安全策略，指导公司整体信息安全的工作。 2 .信息安全策略应明确信息安全工作的目标、基本原则、组织结构、以及悉信息系统在管理与技术方面对安全的要求，指导企业开展各自信息安全工作。 3 .信息安全策略经管理层批准后发布。 测试步骤 设计有效性： 访谈企业相关人员，获取企业信息安全策略； 执行有效性： 检查信息安全策略是否被正式审批发布或经批准试行； 检查是否有对员工的进行安全制度培训记录。 关键点 没有制定企业信息安全策略； 信息安全策略未经审批发布。 一、信息安全 控制目标2 设置信息安全管理员岗位，保证信息安全策略的有效执行。 一、信息安全 ITI-SE2信息安全管理员岗位管理 1.设置相对独立的信息安全管理员岗位。 2.信息安全管理员根据《中国石油化工股份有限公司计算机信息系统安全管理办法》中有关要求履行职责。 测试步骤 设计有效性： 获取企业信息安全组织和责任文件，访谈信息部门负责人，了解信息安全管理员岗位职责。 执行有效性： 检查信息安全管理员培训情况。 检查信息安全管理员获得信息安全专业资格证书情况。 关键点 信息安全管理员岗位设置、职责描述、培训和资格证书。 一、信息安全 控制目标3 对关键信息系统和信息安全关键岗位加强管理。保障中国石化应用系统安全、可靠、稳定、连续、高效运行。 一、信息安全 ITI-SE3关键岗位人员管理 1 .依照《中国石化信息系统关键岗位安全管理办法》对关键岗位的工作人员进行管理。 2 .信息部门应建立《信息系统关键岗位名录》。 3 .关键岗位的工作人员要与所在单位签署《信息系统关键岗位安全责任书》。 测试步骤 设计有效性： 访谈信息部门负责人，了解信息系统关键岗位管理情况。 执行有效性： 获取信息系统关键岗位名录。 检查《信息系统关键岗位安全责任书》，检查文档是否经过了所在单位领导的认可。 关键点 信息系统关键岗位名录、责任书、签字审批。 二、网络管理 控制目标4 建立网络管理制度，配备网络系统运行维护人员，保证关键应用系统的平稳运行。 二、网络管理 ITI-NW1网络运维人员管理 1 .建立网络管理制度，明确网络维护人员的职责。 2 .配备网络专职或兼职管理和维护人员。 3 .编制网络维护管理文档（网络拓扑图、IP地址分配表、配置文件）。 测试步骤 设计有效性： 访谈网络管理员信息部门有关负责人关于网络管理制度的相关内容和政策。 询问网络运维人员的工作职责。 检查网络方案、拓扑图、IP地址分配表。 执行有效性： 获取有关文档。 关键点 网络管理制度，企业网络拓扑图，IP地址分配表。 二、网络管理 控制目标5 通过有效的变更控制，保证网络的正常运行。 二、网络管理 ITI-NW2网络变更管理 依据变更流程进行变更的申请、审批，测试。 1.变更申请人（包括网络管理员或应用系统人员）提交变更申请，说明变更内容和原因。 2.制定变更方案，说明实施步骤和实施方法，以及出现问题的应对策略。 3.根据变更流程由相应负责人进行审批。 4.通过审批后，执行变更并对变更进行测试。 5.记录变更信息。 测试步骤 设计有效性： 询问网络管理员是否有变更流程以及变更流程规定了哪些内容。 获取企业变更流程，查阅变更、审批、执行相关规定。 执行有效性： 抽样检查（2个样本）变更申请、审批、执行、记录，并获取相关文档。 关键点 有否变更流程及相关审批规定。 《变更记录表》样本完整性。 二、网络管理 控制目标6 对用户终端接入网络进行有效控制，检查网络用户合法性。 二、网络管理 ITI-NW3网络用户管理 1 .接入网络需申请、审批、备案。 2 .检查网络用户终端的合法性。 测试步骤 设计有效性： 询问对用户终端接入网络的有关制度。 询问网络管理员控制用户终端接入网络的方法。 执行有效性： 检查用户终端接入申请表。 检查网络管理员检查终端接入情况的记录。 抽取离职人员清单（2个样本），检查经过审核的用户清单； 获取相关文档。 关键点 《关键系统用户终端列表》与《用户终端接入申请审批表》审批。 抽样检查的用户IP地址、MAC地址与申请审批表是否一致。 二、网络管理 控制目标7 通过对网络设备配置有效控制，防止网络设备的配置参数被未授权修改。 二、网络管理 ITI-NW4网络设备安全管理 1 .网络设备登录要设置密码，密码长度大于6位，密码要字母和数字组合。 2 .网络管理员每六个月要修改网络设备登录密码。 3 .修改后的《密码更换记录》在信息部门备案。 测试步骤 设