【正文】 海南省電信有限公司內(nèi)部控制手冊實施細則中冊189 / 192目錄1 對程序和數(shù)據(jù)的訪問 1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 1 承載網(wǎng) 7 智能網(wǎng) 13 大客戶管理系統(tǒng) 20 營業(yè)受理系統(tǒng) 27 計費帳務(wù)系統(tǒng) 34 客戶服務(wù)系統(tǒng) 41 財務(wù)管理系統(tǒng) 48 計劃建設(shè)管理系統(tǒng) 54 省級綜合結(jié)算系統(tǒng) 60 辦公自動化系統(tǒng) 672 程序變更管理 74 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 74 承載網(wǎng) 78 智能網(wǎng) 82 大客戶管理系統(tǒng) 87 營業(yè)受理系統(tǒng) 92 計費帳務(wù)系統(tǒng) 97 客戶服務(wù)系統(tǒng) 102 財務(wù)管理系統(tǒng) 107 計劃建設(shè)管理系統(tǒng) 112 省級綜合結(jié)算系統(tǒng) 117 辦公自動化系統(tǒng) 1223 程序開發(fā) 1274 系統(tǒng)運行 132 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 132 承載網(wǎng) 137 智能網(wǎng) 142 大客戶管理系統(tǒng) 147 營業(yè)受理系統(tǒng) 152 計費帳務(wù)系統(tǒng) 157 客戶服務(wù)系統(tǒng) 162 財務(wù)管理系統(tǒng) 167 計劃建設(shè)管理系統(tǒng) 172 省級綜合結(jié)算系統(tǒng) 177 辦公自動化系統(tǒng) 1825 最終用戶計算 1871 對程序和數(shù)據(jù)的訪問 網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2 所涉及的部門范圍所有部門。二、 所涉及的計算機系統(tǒng)所有在DCN網(wǎng)上的系統(tǒng)。三、 目標(biāo)1 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到公司對信息安全重要性的重視。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權(quán)的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。 4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問管理機制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)現(xiàn)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目所有會計科目。六、 流程概述1 信息安全管理省公司在組織中建立了信息安全職能，并制定相應(yīng)的組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。省公司制定了正式并經(jīng)過管理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財務(wù)報告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。2 用戶帳號的管理 超級用戶帳號的管理網(wǎng)絡(luò)管理員用戶帳號的使用僅限于經(jīng)授權(quán)人員,這類用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護部門領(lǐng)導(dǎo)的書面授權(quán)審批。在網(wǎng)絡(luò)管理員工作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門正式以書面方式及時通知相關(guān)的網(wǎng)絡(luò)維護部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 用戶帳號訪問權(quán)限的定期審閱網(wǎng)絡(luò)維護部門主管人員或業(yè)務(wù)部門對網(wǎng)絡(luò)管理員帳號和訪問權(quán)限進行每半年審閱，以發(fā)現(xiàn)任何不合適的訪問權(quán)限。發(fā)現(xiàn)的問題要及時跟進解決。審閱結(jié)果留下書面記錄。網(wǎng)絡(luò)維護部門主管人員每半年對機房訪問權(quán)限清單進行審閱，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在及時通知機房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的的邏輯訪問和物理訪問對網(wǎng)絡(luò)管理員的管理訪問采用身份驗證機制，對網(wǎng)絡(luò)設(shè)備的管理訪問必須使用用戶名和密碼，而且每個網(wǎng)絡(luò)管理員帳號被授予唯一的網(wǎng)絡(luò)管理員。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。網(wǎng)絡(luò)維護部門對網(wǎng)絡(luò)管理員帳號的密碼制定密碼政策，以避免用戶使用安全級別低的密碼。密碼政策包括: 用戶密碼長度位數(shù)規(guī)定，密碼應(yīng)定期更新。對于使用密鑰棒或動態(tài)密碼卡的網(wǎng)絡(luò)設(shè)備，需要配合使用由用戶掌握的PIN碼。網(wǎng)絡(luò)管理員負責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)現(xiàn)異?，F(xiàn)象應(yīng)及時跟進或上報。網(wǎng)絡(luò)設(shè)備等硬件設(shè)備存放在安全的機房中，所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。只有經(jīng)過授權(quán)的人員可對存放有與財務(wù)報表相關(guān)的網(wǎng)絡(luò)機房和設(shè)備進行物理訪問。所有對機房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護部門主管書面審批。非授權(quán)人員出入機房必須由機房工作人員陪同。人員進出機房會在機房門禁系統(tǒng)或機房進出登記記錄中留下記錄。公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。只有指定的網(wǎng)絡(luò)管理員才能擁有防火墻管理帳號，并進行防火墻規(guī)則的更改。七、信息技術(shù)控制點信息技術(shù)控制點監(jiān)督檢查方法1 信息安全管理，具有信息安全管理的工作職責(zé)。檢查組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。，為信息技術(shù)環(huán)境，包括應(yīng)用程序、數(shù)據(jù)庫和信息技術(shù)基礎(chǔ)設(shè)施的信息安全提供指南。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。檢查信息安全政策,訪談用戶是否知曉本公司的信息安全政策。2 用戶帳號的管理 超級用戶帳號的管理。這些用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護部門的主管人員的書面授權(quán)審批。檢查網(wǎng)絡(luò)管理員帳號清單，檢查系統(tǒng)管理員帳號的審批文件。，及時由人力資源部門正式以書面方式通知相關(guān)的網(wǎng)絡(luò)維護部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。發(fā)現(xiàn)的問題及時跟進解決。檢查審閱書面記錄。，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在，則及時通知機房管理人員取消相應(yīng)用戶的授權(quán)。檢查審閱書面記錄。3 信息系統(tǒng)的的邏輯訪問和物理訪問，對網(wǎng)絡(luò)設(shè)備的管理訪問必須使用用戶名和密碼，而且每個網(wǎng)絡(luò)管理員帳號被授予唯一的網(wǎng)絡(luò)管理員。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。觀察系統(tǒng)登陸過程。檢查管理員用戶離職時的密碼修改記錄。，以避免用戶使用安全級別低的密碼。密碼政策包括: 用戶密碼長度不得低于6位 密碼應(yīng)至少每90天進行更新對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。觀察網(wǎng)絡(luò)設(shè)備的密碼配置。，發(fā)現(xiàn)異?，F(xiàn)象應(yīng)及時跟進或上報。檢查網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)安全日志檢查的書面記錄。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。人員進出機房會在機房門禁系統(tǒng)或機房進出登記記錄中留下記錄。觀察機房安全措施。檢查人員進出機房的記錄。對機房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護部門主管人員審批。非授權(quán)人員出入機房必須由機房工作人員陪同。檢查機房訪問清單和機房訪問授權(quán)單。，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。檢查網(wǎng)絡(luò)拓撲圖，檢查防火墻規(guī)則設(shè)置。，并進行防火墻規(guī)則的更改。檢查防火墻管理帳號列表，檢查防火墻管理人員名單。八、主要控制點的相關(guān)文件1 網(wǎng)絡(luò)訪問申請表2 員工工作調(diào)動/離職通知單3 網(wǎng)絡(luò)管理員（網(wǎng)絡(luò)設(shè)備及防火墻）帳號申請表4 網(wǎng)絡(luò)管理員帳號/權(quán)限檢查表5 機房訪問權(quán)限檢查表6 網(wǎng)絡(luò)安全日志檢查表7 機房進出登記簿8 機房訪問權(quán)限申請表九、相關(guān)制度和備查文件 1 少人無人值守機房管理要求（試行） 承載網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2 所涉及的部門范圍運行維護部門、計費帳務(wù)部門、市場部門。二、 所涉及的計算機系統(tǒng)小靈通程控交換機和匯接局程控交換機以及網(wǎng)管終端。三、 目標(biāo)1 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到公司對信息安全重要性的重視。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權(quán)的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。 4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風(fēng)險。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。四、 風(fēng)險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2 缺乏必要的物理訪問及邏輯訪問管理機制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)現(xiàn)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。五、 相關(guān)會計科目收入類科目。六、 流程概述1 信息安全管理省公司按照信息產(chǎn)業(yè)部或集團公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對承載網(wǎng)的計費相關(guān)設(shè)備進行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。2 用戶帳號的管理 超級用戶帳號的管理承載網(wǎng)的交換機及網(wǎng)管終端的管理員帳號的使用僅限于經(jīng)嚴(yán)格認證的授權(quán)人員。管理員帳號的授權(quán)經(jīng)運行維護部門及相關(guān)各級主管人員的書面審批。授權(quán)審批文檔集中歸檔。對管理員帳號在承載網(wǎng)的設(shè)備及管理終端的訪問及操作要記錄并保留日志，并由運行維護部門主管人員每周審閱。在管理員工作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門正式以書面方式通知運行維護部門，按照承載網(wǎng)管理員帳號的管理流程，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 用戶帳號訪問權(quán)限的定期審閱運行維護部門主管人員每半年對承載網(wǎng)的管理員帳號進行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問權(quán)限。發(fā)現(xiàn)的問題要及時跟進解決。審閱結(jié)果留下書面記錄。運行維護部門主管人員每半年對電信機房的訪問權(quán)限清單進行審閱，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在及時通知機房管理人員取消相應(yīng)用戶的授權(quán)。3 信息系統(tǒng)的的邏輯訪問和物理訪問對承載網(wǎng)管理員帳號的訪問采用身份驗證機制，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個承載網(wǎng)管理員帳號被授予唯一的維護管理人員。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。按照省公司對訪問承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對承載網(wǎng)的管理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級別高的密碼。密碼政策包括: 用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。運行維護部門管理人員定期審核承載網(wǎng)的交換機以及網(wǎng)管終端（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關(guān)的管理規(guī)定及時上報。承載網(wǎng)的承載網(wǎng)的交換機以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團公司及省公司制定的安全標(biāo)準(zhǔn)的機房中。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。人員進出機房時在機房門禁系統(tǒng)或機房進出登記簿中留下記錄。只有經(jīng)過授權(quán)的人員可對存放有承載網(wǎng)的交換機以及網(wǎng)管終端等設(shè)備的電信機房和設(shè)備進行物理訪問。對電信機房的訪問授權(quán)經(jīng)過各級相關(guān)部門主管人員的書面審批。按照相關(guān)規(guī)定及安全標(biāo)準(zhǔn)，對電信機房進行嚴(yán)格的環(huán)境監(jiān)控（如24小時閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時發(fā)現(xiàn)對電信機房未經(jīng)授權(quán)的訪問并進行處理。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。承載網(wǎng)的交換機以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過網(wǎng)絡(luò)安全控制手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問。4 職責(zé)分工按照相關(guān)的規(guī)定，對維護承載網(wǎng)的計費相關(guān)設(shè)備的維護管理員，特別是具有訪問管理終端權(quán)限的維護管理員，必須遵循嚴(yán)格的職責(zé)分工。按照相關(guān)的規(guī)定，實行多級的管理權(quán)限劃分，對于通話記錄(CDR)數(shù)據(jù)的訪問僅限于有最高安全權(quán)限的管理員。七、 信息技術(shù)控制點信息技術(shù)控制點監(jiān)督檢查方法1 信息安全管理 省公司按照信息產(chǎn)業(yè)部或集團公司的相關(guān)規(guī)定和標(biāo)準(zhǔn)，對承載網(wǎng)的計費相關(guān)設(shè)備進行定期檢查并保留書面的檢查記錄，嚴(yán)格確保交換網(wǎng)的設(shè)備安全。檢查相關(guān)的文件。2 用戶帳號的管理 超級用戶帳號的管理。管理員帳號的授權(quán)經(jīng)運行維護部門及相關(guān)各級主管人員的書面審批。授權(quán)審批文檔集中歸檔。檢查承載網(wǎng)管理員帳號清單，檢查承載網(wǎng)管理員帳號的審批文件。，并由運行維護部門主管人員每周審閱。檢查審閱書面記錄。，及時由人力資源部門正式以書面方式通知運行維護部門，按照承載網(wǎng)管理員帳號的管理流程，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。抽查人員變更的書面通知，檢查離職人員的帳號是否已完全刪除。檢查管理員用戶離職時的密碼修改記錄。，以發(fā)現(xiàn)任何不合適的管理員訪問權(quán)限。發(fā)現(xiàn)的問題要及時跟進解決。審閱結(jié)果留下書面記錄。檢查審閱書面記錄。，如果發(fā)現(xiàn)不恰當(dāng)用戶的存在及時通知機房管理人員取消相應(yīng)用戶的授權(quán)。檢查審閱書面記錄。3 信息系統(tǒng)的的邏輯訪問和物理訪問，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個承載網(wǎng)管理員帳號被授予唯一的維護管理人員。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。觀察系統(tǒng)登陸過程。，對承載網(wǎng)的管理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級別高的密碼。密碼政策包括: 用戶密碼長度不得低于6位 密碼應(yīng)至少每90天進行更新 不得使用最近的密碼檢查網(wǎng)管終端的密碼設(shè)置。（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關(guān)的管理規(guī)定及時上報。檢查管理人員對安全日志檢查的書面記錄。、集團