内部控制手册-20.2 信息系统运行、维护、安全管理.doc

PAGE / NUMPAGES Idi20.2 信息系统运行、维护、安全管理 概述 规定了XX股份有限公司集团总部及其下属公司（下属公司是指XX股份有限公司投资（参股或控股）或托管或由上海XX有限公司托管的公司）有关信息系统管理方面的具体要求，涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程。 适用范围 适用于XX股份有限公司集团总部及其下属公司。 相关制度 IT资源管理程序 IT信息安全管理规定。 职责分工 IT安全管理员：负责公司信息化系统安全管理。 IT系统管理员：负责公司系统的建设、管理和维护。 IT资产管理员：负责IT资产的规划、申购、管理、维护、协调和优化工作。 流程图 1.6 控制目标 序号 《内控手册》唯一具体控制目标编号 控制目标 目标类别 1 20.2-CT1 确保机房设施/设备/系统得到安全防护 资产保全目标 2 20.2-CT2 确保信息系统中数据真实完整 经营效率目标 3 20.2-CT3 确保信息系统中数据不泄露 经营效率目标 4 20.2-CT4 确保公司数据不受重大灾害影响 经营效率目标 控制矩阵 风险编号 风险描述 对应控制目标编号 关键控制措施编号 关键控制措施 不相容职务 控制活动类型 对应制度 控制痕迹 会计报表认定 会计报表项目 1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露 1 2 3 4 5 20.2-R1 信息中心的出入未严格控制,导致系统设置被篡改或安全被破坏，影响公司的数据安全 20.2-CT1 20.2-CA1 信息中心指定专人管理机房和配线箱。非工作需要，任何人不得进入。机房管理员对经批准进入的人发放钥匙，并记录和保管有关文档。 　 预防型 IT资源管理程序 出入登记表 　 　 　 　 　 20.2-R2 各类人员未经授权可随意进出设备存放地或触摸系统关键设备，导致设备遭遇人为损坏，影响公司日常生产经营 20.2-CT1 20.2-CA1 信息中心指定专人管理机房和配线箱。非工作需要，任何人不得进入。机房管理员对经批准进入的人发放钥匙，并记录和保管有关文档。 　 预防型 IT资源管理程序 出入登记表 　 　 　 　 　 20.2-R3 公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责，无法有效防范设备出现异常物理状况而不能运行，影响公司日常生产经营 20.2-CT1 20.2-CA2 1）保持键盘、鼠标、显示器、主机干净，各种接口紧固，严禁带电插拔计算机的各种配件；2）计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用；3）计算机或附属设备发生故障，使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件；4）任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路，因工作原因需要移动的，及时通知系统管理人员，由系统管理人员报财务负责人；5）电信网及处室网络相连的机房建设，在电源防护、防盗、防火、防水、防尘、防雷等方面，采取规范的技术保护措施 　 预防型 IT资源管理程序 机房环境情况记录表 　 　 　 　 　 20.2-R4 机房管理员未检查机房的环境和状态，导致机房设备受损，造成公司的资产和数据安全受影响 20.2-CT1 20.2-CA3 机房管理员每天检查机房温度、湿度以及防火、防水、清洁情况，并记录上述工作情况，保管有关的文档。 　 预防型 IT资源管理程序 机房环境情况记录表 　 　 　 　 20.2-R5 机房管理员未定期检查机房主要设备的运行使用情况，导致设备的持续正常运转无法保证，影响公司业务正常运营 20.2-CT1 20.2-CA4 机房管理员每天检查UPS的工作状态，每季度对UPS电池放电一次，并记录上述工作情况，保管有关的文档。 　 预防型 IT资源管理程序 机房设备定期维护登记表 　 　 　 　 20.2-R6 系统未建立适当的职责分离制度，导致系统人员职责存在冲突、数据发生篡改，影响公司日常生产经营 20.2-CT2 20.2-CA5 公司在分配系统各人员职责时应当考虑不相容职务分离的要求，具体为系统管理员、数据库管理员、系统操作人员、系统维护与检查人员等 系统管理员/操作员/维护检查员 预防型 IT资源管理程序 系统人员职责分配表 　 　 　 　 　 20.2-R7 操作软件被操作人员随意变更、更新、删除、修改等，导致系统环境配置被改变，影响系统正常稳定运行 20.2-CT2 20.2-CA6 1）操作人员离开系统时应退出系统或进行系统封锁，操作人员对自己口令下的所有操作及安全负完全责任；2）系统管理员应每月检查一次工作日志，核实操作人员的上机时间、操作内容等；3）相关部门应会同信息部门,严格保护所有在用正版软件的版权,包括网