- 1、本文档共21页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PAGE / NUMPAGES
Idi20.2 信息系统运行、维护、安全管理
概述
规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统管理方面的具体要求,涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程。
适用范围
适用于XX股份有限公司集团总部及其下属公司。
相关制度
IT资源管理程序
IT信息安全管理规定。
职责分工
IT安全管理员:负责公司信息化系统安全管理。
IT系统管理员:负责公司系统的建设、管理和维护。
IT资产管理员:负责IT资产的规划、申购、管理、维护、协调和优化工作。
流程图
1.6 控制目标
序号
《内控手册》唯一具体控制目标编号
控制目标
目标类别
1
20.2-CT1
确保机房设施/设备/系统得到安全防护
资产保全目标
2
20.2-CT2
确保信息系统中数据真实完整
经营效率目标
3
20.2-CT3
确保信息系统中数据不泄露
经营效率目标
4
20.2-CT4
确保公司数据不受重大灾害影响
经营效率目标
控制矩阵
风险编号
风险描述
对应控制目标编号
关键控制措施编号
关键控制措施
不相容职务
控制活动类型
对应制度
控制痕迹
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露
1
2
3
4
5
20.2-R1
信息中心的出入未严格控制,导致系统设置被篡改或安全被破坏,影响公司的数据安全
20.2-CT1
20.2-CA1
信息中心指定专人管理机房和配线箱。非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档。
预防型
IT资源管理程序
出入登记表
20.2-R2
各类人员未经授权可随意进出设备存放地或触摸系统关键设备,导致设备遭遇人为损坏,影响公司日常生产经营
20.2-CT1
20.2-CA1
信息中心指定专人管理机房和配线箱。非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档。
预防型
IT资源管理程序
出入登记表
20.2-R3
公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责,无法有效防范设备出现异常物理状况而不能运行,影响公司日常生产经营
20.2-CT1
20.2-CA2
1)保持键盘、鼠标、显示器、主机干净,各种接口紧固,严禁带电插拔计算机的各种配件;2)计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用;3)计算机或附属设备发生故障,使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件;4)任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路,因工作原因需要移动的,及时通知系统管理人员,由系统管理人员报财务负责人;5)电信网及处室网络相连的机房建设,在电源防护、防盗、防火、防水、防尘、防雷等方面,采取规范的技术保护措施
预防型
IT资源管理程序
机房环境情况记录表
20.2-R4
机房管理员未检查机房的环境和状态,导致机房设备受损,造成公司的资产和数据安全受影响
20.2-CT1
20.2-CA3
机房管理员每天检查机房温度、湿度以及防火、防水、清洁情况,并记录上述工作情况,保管有关的文档。
预防型
IT资源管理程序
机房环境情况记录表
20.2-R5
机房管理员未定期检查机房主要设备的运行使用情况,导致设备的持续正常运转无法保证,影响公司业务正常运营
20.2-CT1
20.2-CA4
机房管理员每天检查UPS的工作状态,每季度对UPS电池放电一次,并记录上述工作情况,保管有关的文档。
预防型
IT资源管理程序
机房设备定期维护登记表
20.2-R6
系统未建立适当的职责分离制度,导致系统人员职责存在冲突、数据发生篡改,影响公司日常生产经营
20.2-CT2
20.2-CA5
公司在分配系统各人员职责时应当考虑不相容职务分离的要求,具体为系统管理员、数据库管理员、系统操作人员、系统维护与检查人员等
系统管理员/操作员/维护检查员
预防型
IT资源管理程序
系统人员职责分配表
20.2-R7
操作软件被操作人员随意变更、更新、删除、修改等,导致系统环境配置被改变,影响系统正常稳定运行
20.2-CT2
20.2-CA6
1)操作人员离开系统时应退出系统或进行系统封锁,操作人员对自己口令下的所有操作及安全负完全责任;2)系统管理员应每月检查一次工作日志,核实操作人员的上机时间、操作内容等;3)相关部门应会同信息部门,严格保护所有在用正版软件的版权,包括网
您可能关注的文档
- xx年度内审计划.doc
- x年度xx基地x品种培育记录.doc
- 标书(订单)、承包(销售)合同评审表.doc
- 病虫害防治作业指导书(修改).doc
- 不合格品(不符合项)处置(整改)单.doc
- 承包(销售)订单.doc
- 法律法规和其他要求适用条款清单.doc
- 法律法规和其他要求收集记录.doc
- 分包方评定表.doc
- 风险控制方案.doc
- 中国行业标准 GM/T 0126-2023HTML密码应用置标语法.pdf
- 《JJF 2121-2024恒转速源校准规范》.pdf
- 餐饮服务中20条处理要点.docx
- 《GM/T 0011-2023可信计算 可信密码支撑平台功能与接口规范》.pdf
- 《JJF 2134-2024旋转流变仪校准规范》.pdf
- JJF 2121-2024恒转速源校准规范.pdf
- 计量规程规范 JJF 2121-2024恒转速源校准规范.pdf
- 《JJF 2118-2024压力式六氟化硫气体密度控制器校验仪校准规范》.pdf
- JJF 2134-2024旋转流变仪校准规范.pdf
- 计量规程规范 JJF 2134-2024旋转流变仪校准规范.pdf
文档评论(0)