060401.CTGP.ITGC.G计费帐务系统.内控手册.v6.2.docVIP

信息技术一般性控制流程 一、 业务流程范围1 所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制 2 所涉及的部门范围二、 涉及的应用系统 、 目标1 对于与财务报告相关的信息，公司应制定相关的信息安全管理政策并使员工意识到信息安全的重要性。 2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据未经授权的访问所带来的风险。 3 。 4 。 5 。、 风险 公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。 2 缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源未经授权的访问, 非法修改系统数据。 3 对添加、修改、删除用户未经过管理层授权，离职员工帐号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。 4 对系统或数据非法和不适当的访问不能被及时发现。 5 系统的权限分配与业务部门授权确定的职责分工要求不符。、 相关会计科目 、 用户帐号的 2.1 用户帐号的添加、修改及删除控制 省公司或地市分公司建立了用户及其权限设置的管理流程，对计费帐务系统的用户创建和授权必须通过业务部门主管人员审批后，方可由系统管理员在系统中创建用户帐号，以避免未经授权帐号及权限的创建或修改。 在员工工作调动或离职等工作职能发生变化时，由人力资源部门或用户部门及时正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。用户帐号的 信息系统的逻辑访问和物理访问 在计费账务系统中采用用户身份的验证机制，对计费账务系统的访问必须使用用户名和密码，而且每个用户账号被授予唯一的用户。 系统维护部门对访问计费帐务系统（包括操作系统、数据库和应用程序层面）的用户制定密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定，密码定期更换的规定，不得使用最近的密码。对于使用密钥棒或动态密码卡的系统，需要配合使用由用户掌握的PIN码。 系统管理员负责定期检查计费账务系统应用程序、操作系统和数据库层面安全日志记录（含对于重要的数据增、删、改操作）。发现异常现象及时跟进或上报。 安装计费帐务系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放计费帐务系统的计算机机房和设备进行物理访问。对机房的访问授权需经系统维护部门主管人员书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出日志中留下记录。 职责分工 七、 信息技术控制点 信息技术控制点 监督检查方法 信息安全管理 参见网络基础设施中本章节。 2 用户帐号的 2.1 用户帐号的添加、修改及删除控制 GP.G.1.2.1省公司或地市分公司建立了用户及其权限设置的管理流程，对计费帐务系统的用户创建和授权必须通过业务部门主管人员审批后，方可由相关的系统管理员在系统中创建用户帐号。 检查用户及其权限设置的管理流程, 抽查用户创建和授权的审批文件。 GP.G.1.2.2在员工工作调动或离职等工作职能发生变化时，及时由人力资源部门或用户部门正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。 抽查人员变更书面通知，检查离职用户是否已完全删除。 2.2 超级用户帐号的 GP.G.1.2.3计费帐务系统的操作系统管理帐号仅限于经授权的系统管理员，其帐号须经系统维护部门主管人员的书面授权审批。 检查系统管理帐号清单，检查系统管理员帐号的审批文件。 GP.G.1.2.4计费帐务系统数据库的管理帐号仅限于经授权的数据库管理员，其帐号须经系统维护部门主管人员的书面授权审批。 检查数据库管理帐号清单，检查数据库管理员帐号的审批文件。 GP.G.1.2.5计费帐务系统的特权用户（例如具有增加/变更/删除用户等权限）仅限于经授权的系统管理人员或业务人员，其帐号须经系统维护部门主管人员的书面授权审批。 检查特权用户管理帐号清单，检查特权用户管理员帐号的审批文件。 GP.G.1.2.6 计费账务系统的管理账号（包括操作系统、数据库和应用程序层面）如果由于系统限制存在共享，其密码在其中任一管理员离职时需及时更改，以防止非法访问。 检查管理员用户离职时的密码修改记录。 2.3用户帐号访问权限的定期审阅 GP.G.1.2.7 系统主管人员或业务部门对计费账务系统的用户账号和用户访问权限进行每季度的定期审阅，以发现任何不合适的系统访问权限，并及时跟进解决。 检查审阅书面记录。 GP.G.1.2.8 系统维护部门主管人员定期对机房访问权限清单进行审阅，若发现存在不合适的用户，及时通知