内控管理-信息系统培训讲义(简化版)培训讲学.ppt

信息系统控制培训讲义 ;背景知识;信息系统与财务报告之间的关系 ;公司层面控制 企业道德规范 公司行为方式 公司组织架构 沟通流程 业务活动控制 业务活动控制 财务相关应用系统控制 信息系统总体控制 IT 基础设施 数据库 操作系统 ;;信息系统控制;信息系统总体控制;GCC涵盖了IT管理和运营所涉及的各个方面;GCC规定是GCC体系的纲领性文件;中国石油已经建立起符合内部控制及未来外审需要的信息系统总体控制体系;2006年中国石油下发《信息系统总体控制实施要求》 ， GCC实施要求是对GCC规定的细化，用于指导日常的信息技术管理和运营维护;为确保GCC体系实施的统一性和高效率，实施要求规定了GCC表单;并根据控制矩阵和实施要求的相关要求，制定了测试计划和测试方案;任务单是依据《实施要求》中对各级部门和岗位需要完成的GCC相关工作的要求而编制任务单明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据……;公司层面，共确定了24个岗位的209项GCC任务;GCC各相关岗位和人员应根据以下的步骤和方法来执行具体的GCC任务;以“信息安全管理负责人”为例;; 信息安全子领域;控制措施描述： 信息安全管理负责人定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，填写《职责分离检查表》，将不符情况报相关负责人。;控制措施：制度和流程－AQ1;控制措施描述： 应用系统、数据库、操作系统（含网络操作系统）及网络设备的帐号及权限的申请、变更及撤销需要经过有效的审批或授权，审批时应对照职责分离矩阵进行检查，确保用户权限申请和变更符合职责分离要求。;控制措施：逻辑安全－AQ2;控制措施描述： 应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。;控制措施：逻辑安全－AQ4;控制措施描述： 应用系统负责人每三个月审核数据库管理员和操作系统管理员的账号及权限设置。;控制措施：逻辑安全－AQ5;控制措施描述： 信息安全管理负责人在操作系统管理员协助下，每年审核服务器操作系统设置是否符合标准配置方案。;控制措施：逻辑安全－AQ7、AQ8、AQ9;控制措施描述： 用户需要直接访问系统中的数据时，应提出申请，由用户主管领导和应用系统负责人进行审批后执行。;控制措施：逻辑安全－AQ11;控制措施描述： 机房负责人授权需要经常进出机房的人员，并记录在授权人员名单中。;控制措施：物理安全－AQ12;控制措施描述： 用户申请远程登录帐号时，填写《远程登录帐号申请表》并提交给用户主管领导和网络管理负责人审批后方可实施。;控制措施：网络安全－AQ15;控制措施描述： 安装Windows操作系统的服务器和个人计算机，应安装统一的防病毒软件。及时更新防病毒软件商发布的最新病毒库。定期（至少每月）进行病毒扫描。;控制措施描述： 第三方需要访问中国石油应用系统生产环境时，应填写《用户帐号及权限管理表》，说明帐号使用的时间和期限，并得到相关业务部门主管领导的批准。访问结束或访问期限到期，应用系统管理员应及时收回相应的访问权限。;控制措施：病毒防范－AQ18;;信息系统日常运作子领域主要控制措施控制要求及关注要点;控制措施描述： 机房负责人指定人员每天对设备运行状况进行巡检，检查人员对检查结果签字确认。;控制措施：系统日常运作监控—YW1;控制措施描述： 应用系统管理员应每周检查应用系统日志，审查是否有错误信息或异常登录信息。;控制措施：系统日常运作监控—YW2;控制措施描述： 网络管理员每周检查防火墙日志，对检查结果签字确认。;控制措施：系统日常运作监控—YW3;控制措施描述： 应用系统负责人指定人员根据应用系统的重要程度，制订备份和恢复策略，填写《备份作业清单》及《备份作业详细说明书》，并经过应用系统负责人审批。;控制措施：备份与恢复—YW6;控制措施描述： 应用系统负责人指定人员依据备份策略，执行备份操作，并对执行结果进行检查。;控制措施：备份与恢复—YW7;控制措施描述： 应用系统负责人指定人员每年，或备份方法、步骤或环境发生重大变化时，进行恢复性测试，应用系统负责人对测试结果签字确认。;控制措施：备份与恢复—YW8;控制措施描述： 帮助热线支持人员定期分类汇总当月发生的问题，形成书面分析报告，向本部门主管领导汇报。;控制措施：问题管理—YW9;;变更管理子领域;控制措施描述： 用户申请变更时应提交变更申请，由主管领导和应用系统负责人（或信息技术部门负责人）进行审批后实施。;控制措施：变更申请－BG1;控制措施描述： 负责变更实施及测试的信息技术人员建立与生产环境相隔离的开发/测试环境，并在其中进行变更的开发及测试。;控制措施：变更实施－BG3;控制措施描述： 变更申请人的主管领导、应用系统负责人（或信息技术部门负责人）共同