【正文】 承載網的交換機以及網管終端（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關的管理規(guī)定及時上報。3 信息系統(tǒng)的的邏輯訪問和物理訪問對承載網管理員帳號的訪問采用身份驗證機制，對網管終端的訪問必須使用用戶名和密碼，而且每個承載網管理員帳號被授予唯一的維護管理人員。 用戶帳號訪問權限的定期審閱運行維護部門主管人員每半年對承載網的管理員帳號進行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問權限。管理員帳號的授權經運行維護部門及相關各級主管人員的書面審批。5 系統(tǒng)的權限分配與業(yè)務部門授權確定的職責分工要求不符。四、 風險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2 對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經授權的訪問所帶來的風險。八、主要控制點的相關文件1 網絡訪問申請表2 員工工作調動/離職通知單3 網絡管理員（網絡設備及防火墻）帳號申請表4 網絡管理員帳號/權限檢查表5 機房訪問權限檢查表6 網絡安全日志檢查表7 機房進出登記簿8 機房訪問權限申請表九、相關制度和備查文件 1 少人無人值守機房管理要求（試行） 承載網一、 業(yè)務流程范圍1 所涉及的業(yè)務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。，以防止對公司內部網絡的非法訪問。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。觀察網絡設備的密碼配置。，以避免用戶使用安全級別低的密碼。3 信息系統(tǒng)的的邏輯訪問和物理訪問，對網絡設備的管理訪問必須使用用戶名和密碼，而且每個網絡管理員帳號被授予唯一的網絡管理員。發(fā)現(xiàn)的問題及時跟進解決。檢查網絡管理員帳號清單，檢查系統(tǒng)管理員帳號的審批文件。用戶和信息技術人員都應知曉本公司的信息安全政策。只有指定的網絡管理員才能擁有防火墻管理帳號，并進行防火墻規(guī)則的更改。所有對機房的訪問授權需經網絡維護部門主管書面審批。對于使用密鑰棒或動態(tài)密碼卡的網絡設備，需要配合使用由用戶掌握的PIN碼。3 信息系統(tǒng)的的邏輯訪問和物理訪問對網絡管理員的管理訪問采用身份驗證機制，對網絡設備的管理訪問必須使用用戶名和密碼，而且每個網絡管理員帳號被授予唯一的網絡管理員。 用戶帳號訪問權限的定期審閱網絡維護部門主管人員或業(yè)務部門對網絡管理員帳號和訪問權限進行每半年審閱，以發(fā)現(xiàn)任何不合適的訪問權限。省公司制定了正式并經過管理層批準的信息安全政策，范圍包括所有與生成財務報告的程序和數(shù)據(jù)相關的信息技術環(huán)境（例如網絡安全、物理安全、操作系統(tǒng)安全、應用程序安全等方面）。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。5 確保在關鍵流程中存在適當?shù)穆殭喾蛛x。三、 目標1 對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到公司對信息安全重要性的重視。海南省電信有限公司內部控制手冊實施細則中冊189 / 192目錄1 對程序和數(shù)據(jù)的訪問 1 網絡基礎設施 1 承載網 7 智能網 13 大客戶管理系統(tǒng) 20 營業(yè)受理系統(tǒng) 27 計費帳務系統(tǒng) 34 客戶服務系統(tǒng) 41 財務管理系統(tǒng) 48 計劃建設管理系統(tǒng) 54 省級綜合結算系統(tǒng) 60 辦公自動化系統(tǒng) 672 程序變更管理 74 網絡基礎設施 74 承載網 78 智能網 82 大客戶管理系統(tǒng) 87 營業(yè)受理系統(tǒng) 92 計費帳務系統(tǒng) 97 客戶服務系統(tǒng) 102 財務管理系統(tǒng) 107 計劃建設管理系統(tǒng) 112 省級綜合結算系統(tǒng) 117 辦公自動化系統(tǒng) 1223 程序開發(fā) 1274 系統(tǒng)運行 132 網絡基礎設施 132 承載網 137 智能網 142 大客戶管理系統(tǒng) 147 營業(yè)受理系統(tǒng) 152 計費帳務系統(tǒng) 157 客戶服務系統(tǒng) 162 財務管理系統(tǒng) 167 計劃建設管理系統(tǒng) 172 省級綜合結算系統(tǒng) 177 辦公自動化系統(tǒng) 1825 最終用戶計算 1871 對程序和數(shù)據(jù)的訪問 網絡基礎設施一、 業(yè)務流程范圍1 所涉及的業(yè)務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2 對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經授權的訪問所帶來的風險。四、 風險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。5 系統(tǒng)的權限分配與業(yè)務部門授權確定的職責分工要求不符。用戶和信息技術人員都應知曉本公司的信息安全政策。發(fā)現(xiàn)的問題要及時跟進解決。如果由于系統(tǒng)限制存在網絡管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。網絡管理員負責每周檢查網絡安全日志記錄，發(fā)現(xiàn)異?，F(xiàn)象應及時跟進或上報。非授權人員出入機房必須由機房工作人員陪同。七、信息技術控制點信息技術控制點監(jiān)督檢查方法1 信息安全管理，具有信息安全管理的工作職責。檢查信息安全政策,訪談用戶是否知曉本公司的信息安全政策。，及時由人力資源部門正式以書面方式通知相關的網絡維護部門，由系統(tǒng)管理員更新或刪除其相應的訪問權限。檢查審閱書面記錄。如果由于系統(tǒng)限制存在網絡管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。密碼政策包括: ，發(fā)現(xiàn)異?，F(xiàn)象應及時跟進或上報。人員進出機房會在機房門禁系統(tǒng)或機房進出登記記錄中留下記錄。對機房的訪問授權需經網絡維護部門主管人員審批。檢查網絡拓撲圖，檢查防火墻規(guī)則設置。2 所涉及的部門范圍運行維護部門、計費帳務部門、市場部門。3 建立相關流程以確保用戶添加、修改、刪除都經過管理層授權，及相關操作的準確性和及時性。2 缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源的未經授權的訪問, 非法修改系統(tǒng)數(shù)據(jù)。五、 相關會計科目收入類科目。授權審批文檔集中歸檔。發(fā)現(xiàn)的問題要及時跟進解決。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。承載網的承載網的交換機以及網管終端等硬件設備必須存放在符合信息產業(yè)部、集團公司及省公司制定的安全標準的機房中。對電信機房的訪問授權經過各級相關部門主管人員的書面審批。4 職責分工按照相關的規(guī)定，對維護承載網的計費相關設備的維護管理員，特別是具有訪問管理終端權限的維護管理員，必須遵循嚴格的職責分工。2 用戶帳號的管理 超級用戶帳號的管理。，并由運行維護部門主管人員每周審閱。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。 用戶密碼長度不得低于6位檢查管理人員對安全日志檢查的書面記錄。觀察機房安全措施、檢查人員進出機房的記錄。，對電信機房進行嚴格的環(huán)境監(jiān)控（如24小時閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時發(fā)現(xiàn)對電信機房的未經授權的訪問并進行處理。檢查網絡拓撲圖。八、主要控制點的相關文件1 承載網管理員崗位授權書2 承載網管理員認證3 承載網管理員操作日志審閱表4 員工工作調動/離職通知單5 承載網管理員帳號/權限檢查表6 電信機房訪問權限檢查表7 承載網安全日志檢查表8 電信機房進出登記簿9 電信機房訪問權限申請表10 電信機房環(huán)境監(jiān)控日志11 承載網管理員權限分配方案九、相關制度和備查文件1 少人無人值守機房管理要求（試行） 智能網一、 業(yè)務流程范圍1 所涉及的業(yè)務范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。2 對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)未經授權的訪問所帶來的風險。四、 風險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。5 系統(tǒng)的權限分配與業(yè)務部門授權確定的職責分工要求不符。在員工工作調動或離職等工作職能發(fā)生變化時，由人力資源部門或相關業(yè)務部門及時正式書面通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應的訪問權限。 帳號數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。智能網系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）如果由于系統(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。帳號系統(tǒng)維護部門主管人員每半年對機房訪問權限清單進行審閱，如果發(fā)現(xiàn)存在不適當用戶及時通知機房管理人員取消相應用戶的授權。對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。只有經授權的人員可對存放智能網系統(tǒng)設備的計算機機房和設備進行物理訪問。4 職責分工在智能網系統(tǒng)中創(chuàng)立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據(jù)業(yè)務部門或相關管理部門對用戶角色權限的審批結果進行設定。七、信息技術控制點信息技術控制點監(jiān)督檢查方法1 信息安全管理參見網絡基礎設施中本章節(jié)。抽查人員訪問權限的刪除書面通知，檢查離職用戶帳號是否已完全刪除。 檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。密碼政策具體包括: 觀察系統(tǒng)密碼設置。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。對機房的訪問授權須經系統(tǒng)維護部門主管人員書面審批。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。檢查職責分工的檢查記錄。三、 目標1 對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。5 確保在關鍵流程中存在適當?shù)穆殭喾蛛x。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制集團公司或省公司建立了用戶及其權限設置的管理流程，對大客戶管理系統(tǒng)的用戶創(chuàng)建和授權必須通過系統(tǒng)主管人員審批后，方可由相關的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經授權帳號及權限的創(chuàng)建或修改。以上用戶帳號的授權須經系統(tǒng)維護部門主管人員或系統(tǒng)主管人員的書面審批。審閱結果留下書面記錄。密碼政策應包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。七、信息技術控制點信息技術控制點監(jiān)督檢查方法1 信息安全管理 參見網絡基礎設施中本章節(jié)。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。密碼政策具體包括: ?用戶密碼長度不得低于6位 ?密碼應至少每90天進行更新?不得使用最近的密碼對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。 安裝大客戶管理系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設備存放在安全的機房中。4 職責分工 在大客戶管理系統(tǒng)中創(chuàng)立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據(jù)用戶部門或相關管理部門對用戶角色權限的審批結果進行設定。發(fā)現(xiàn)問題及時跟進解決。二、 所涉及的計算機系統(tǒng)綜合業(yè)務支撐系統(tǒng)/網上營業(yè)廳。 4 確保定期對系統(tǒng)中用戶的訪問權限進行審閱，以減少未經授權或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風險。3 對添加、修改、刪除用戶未經過管理層授權，離職員工帳號未及時在系統(tǒng)中刪除，導致對系統(tǒng)及數(shù)據(jù)未經授權或不適當訪問。六、 流程概述1 信息安全管理參見網絡基礎設施中本章節(jié)。 操作系統(tǒng)的超級用戶帳號（比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號）。 應用系統(tǒng)的特權功能用戶帳號（例如具有增加/變更/刪除用戶等權限）。發(fā)現(xiàn)的問題要及時跟進解決。系統(tǒng)維護部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）的密碼制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應的設置，以避免用戶使用安全級別低的密碼。營業(yè)受理系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設備存放在安全的機房中。非授權人員出入機房必須由機房工作人員陪同。內審或用戶部門每半年檢查營業(yè)受理系統(tǒng)的用戶角色或用戶組的權限設定, 確保合理的職責分工。，及時由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應的訪問權限。，其帳號須經系統(tǒng)維護部門主管人員的書面授權審批。 營業(yè)受理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）如果由于系統(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。，若發(fā)現(xiàn)存在不合適的用戶，及時通知機房管理人員取消其相應的授權。 系統(tǒng)維護部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應的設置，以避免用戶使用安全級別低的密碼。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。觀察機房安全措施。非授權人員出入機房必須由機房工作人員陪同。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。檢查職責分工的檢查記錄。2 對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)未經授權的訪問所帶來的風險。四、 風險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱