IT信息系统内控.docVIP

计算机信息系统管理 计算机信息系统管理001：信息安全管理 计算机信息系统管理002：信息资源申请、使用及日常维护管理 计算机信息系统管理003：变更管理 计算机信息系统管理流程综述 不可兼容职责表 A B C D E F G H I A X B C X X D X E F X X X G X H X I X：表示相互冲突的职责 2.附注 A:应用系统管理员 B:操作系统、数据库管理员 C:系统权限的申请 D:系统权限的审批 E:系统权限的设置 F:系统开发人员 G:系统验收人员 H:系统操作人员 I:系统管理员 计算机信息系统管理001：信息安全管理 1.0流程综述 本子流程主要描述上汽集团相关计算机操作系统、应用系统和电子数据的安全控制，以及如何实现信息的保密性、完整性和可用性。 2.0适用范围 公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。 3.0控制目标和关键控制活动 控制目标 控制活动编号 关键控制活动 安装及配置逻辑安全管理工具和技术来限制对程序，数据及其他信息的存取。 IT001-CA01-4.2.1 对用户用一一对应的识别和认证权限控制系统（如用户ID和密码），以阻止非法入侵，确保各级用户只能进入其授权使用的系统。 IT001-CA02-4.2.2 信息系统部规定了公司密码设置要求：用户密码至少90天更改一次，接近的密码在9个月内不得重复使用。 逻辑安全管理工具和技术有适当管理，以限制对程序，数据及其他信息的存取。 IT001-CA03-4.2.1 用户因转岗、合同终止或其他原因需改变或取消其原先的基础帐号（即，AD、邮件帐号），需要人力资源部提供人事调令或其他相关书面材料，信息系统部根据人力资源部提供的人员信息进行设定。（若为离职人员，信息系统部将回收所有IT设备、取消所有帐号及权限.） IT001-CA04-4.2.3 用户部门关键用户或批准权限申请的负责人应定期，至少一年一次审核并调整用户登入各应用系统的权限范围，对于重要的关键系统应至少每半年审核一次。 IT001-CA05-4.2.4 信息系统部对于开通管理员权限的用户，每个月通过监控软件进行审核，检查其是否有非法使用情况。 只有特定人员才能使用管理员帐号。 IT001-CA06-4.2.4 原则上所有的客户端帐号都只开通用户（User）权限。 信息系统部对各系统分别设有系统管理员，系统管理员的岗位由部门总监任命，只对所负责的系统根据已批准的申请单，进行规定的操作。 设置设备实体接近限制，以确保仅有经适当的授权人员可以接近和使用信息资源。 IT001-CA07-4.1.1 高度安全区域必须采取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。 企业的程序、数据及其他信息资源均受防病毒软件保护。 IT001-CA08-4.2.5 信息系统部在公司所有计算机设备上安装防病毒软件，并定期统一更新病毒库，同时在服务器上做好相关数据的定期备份。 用户需使用信息系统部确认过的正版软件，不运行功能不明的可执行文件。在使用外接储存设备时需先进行查毒、杀毒工作。 企业之计算机系统内所有软件之安装及使用均符合软件授权合约。 IT001-CA09-4.2.7 信息系统部将根据业务需要，及时提供合法软件及足够数量的许可证（liscense）。 信息系统部将不定期抽查用户合法软件使用情况，一旦发现员工私自安装的非法软件，将予以删除。 4.0政策和工作流程 4.1IT环境的物理安全 IT环境的物理安全应与人力资源部联系，确保各项安全措施的到位。 4.1.1高度安全区域的管理 对公司级信息设备集中放置，设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控制、防静电及报警等相关功能。高度安全区域必须取严格的进出控制及门禁系统。任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。 机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作，对使用机房的人员从以下方面做了规定：机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见《上海汽车集团股份有限公司IT机房安全管理规定》 4.1.2保护公司计算机及相关设备和通讯设施的安全 禁止用户私自动用、转移或破坏他人计算机及相关设备。用户如果临时或长时间不使用某种设备，应采取相应的措施进行保护或保存。因维修或其他用途而拆除存有信息的电子设备，如硬盘时，应完全销毁其存有的数据，并确保此信息不能被恢复。 4.21用户帐号申请控制 登入和使用公司计算机系统和网络资源，需用户部门确定和批准用户申请的权限范围，信息系统部审核申请是否符合相关流程和规定，通过后按申请内容进行技术设置。对用户组一一对应的识别认证权限控制系统（如