【正文】 承載網(wǎng)的交換機(jī)以及網(wǎng)管終端（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關(guān)的管理規(guī)定及時上報。3 信息系統(tǒng)的的邏輯訪問和物理訪問對承載網(wǎng)管理員帳號的訪問采用身份驗證機(jī)制，對網(wǎng)管終端的訪問必須使用用戶名和密碼，而且每個承載網(wǎng)管理員帳號被授予唯一的維護(hù)管理人員。 用戶帳號訪問權(quán)限的定期審閱運行維護(hù)部門主管人員每半年對承載網(wǎng)的管理員帳號進(jìn)行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問權(quán)限。管理員帳號的授權(quán)經(jīng)運行維護(hù)部門及相關(guān)各級主管人員的書面審批。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。四、 風(fēng)險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。八、主要控制點的相關(guān)文件1 網(wǎng)絡(luò)訪問申請表2 員工工作調(diào)動/離職通知單3 網(wǎng)絡(luò)管理員（網(wǎng)絡(luò)設(shè)備及防火墻）帳號申請表4 網(wǎng)絡(luò)管理員帳號/權(quán)限檢查表5 機(jī)房訪問權(quán)限檢查表6 網(wǎng)絡(luò)安全日志檢查表7 機(jī)房進(jìn)出登記簿8 機(jī)房訪問權(quán)限申請表九、相關(guān)制度和備查文件 1 少人無人值守機(jī)房管理要求（試行） 承載網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。，以防止對公司內(nèi)部網(wǎng)絡(luò)的非法訪問。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。觀察網(wǎng)絡(luò)設(shè)備的密碼配置。，以避免用戶使用安全級別低的密碼。3 信息系統(tǒng)的的邏輯訪問和物理訪問，對網(wǎng)絡(luò)設(shè)備的管理訪問必須使用用戶名和密碼，而且每個網(wǎng)絡(luò)管理員帳號被授予唯一的網(wǎng)絡(luò)管理員。發(fā)現(xiàn)的問題及時跟進(jìn)解決。檢查網(wǎng)絡(luò)管理員帳號清單，檢查系統(tǒng)管理員帳號的審批文件。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。只有指定的網(wǎng)絡(luò)管理員才能擁有防火墻管理帳號，并進(jìn)行防火墻規(guī)則的更改。所有對機(jī)房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管書面審批。對于使用密鑰棒或動態(tài)密碼卡的網(wǎng)絡(luò)設(shè)備，需要配合使用由用戶掌握的PIN碼。3 信息系統(tǒng)的的邏輯訪問和物理訪問對網(wǎng)絡(luò)管理員的管理訪問采用身份驗證機(jī)制，對網(wǎng)絡(luò)設(shè)備的管理訪問必須使用用戶名和密碼，而且每個網(wǎng)絡(luò)管理員帳號被授予唯一的網(wǎng)絡(luò)管理員。 用戶帳號訪問權(quán)限的定期審閱網(wǎng)絡(luò)維護(hù)部門主管人員或業(yè)務(wù)部門對網(wǎng)絡(luò)管理員帳號和訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的訪問權(quán)限。省公司制定了正式并經(jīng)過管理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財務(wù)報告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)現(xiàn)。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。三、 目標(biāo)1 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到公司對信息安全重要性的重視。海南省電信有限公司內(nèi)部控制手冊實施細(xì)則中冊189 / 192目錄1 對程序和數(shù)據(jù)的訪問 1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 1 承載網(wǎng) 7 智能網(wǎng) 13 大客戶管理系統(tǒng) 20 營業(yè)受理系統(tǒng) 27 計費帳務(wù)系統(tǒng) 34 客戶服務(wù)系統(tǒng) 41 財務(wù)管理系統(tǒng) 48 計劃建設(shè)管理系統(tǒng) 54 省級綜合結(jié)算系統(tǒng) 60 辦公自動化系統(tǒng) 672 程序變更管理 74 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 74 承載網(wǎng) 78 智能網(wǎng) 82 大客戶管理系統(tǒng) 87 營業(yè)受理系統(tǒng) 92 計費帳務(wù)系統(tǒng) 97 客戶服務(wù)系統(tǒng) 102 財務(wù)管理系統(tǒng) 107 計劃建設(shè)管理系統(tǒng) 112 省級綜合結(jié)算系統(tǒng) 117 辦公自動化系統(tǒng) 1223 程序開發(fā) 1274 系統(tǒng)運行 132 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 132 承載網(wǎng) 137 智能網(wǎng) 142 大客戶管理系統(tǒng) 147 營業(yè)受理系統(tǒng) 152 計費帳務(wù)系統(tǒng) 157 客戶服務(wù)系統(tǒng) 162 財務(wù)管理系統(tǒng) 167 計劃建設(shè)管理系統(tǒng) 172 省級綜合結(jié)算系統(tǒng) 177 辦公自動化系統(tǒng) 1825 最終用戶計算 1871 對程序和數(shù)據(jù)的訪問 網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。四、 風(fēng)險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。發(fā)現(xiàn)的問題要及時跟進(jìn)解決。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。網(wǎng)絡(luò)管理員負(fù)責(zé)每周檢查網(wǎng)絡(luò)安全日志記錄，發(fā)現(xiàn)異?，F(xiàn)象應(yīng)及時跟進(jìn)或上報。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。七、信息技術(shù)控制點信息技術(shù)控制點監(jiān)督檢查方法1 信息安全管理，具有信息安全管理的工作職責(zé)。檢查信息安全政策,訪談用戶是否知曉本公司的信息安全政策。，及時由人力資源部門正式以書面方式通知相關(guān)的網(wǎng)絡(luò)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。檢查審閱書面記錄。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。密碼政策包括: ，發(fā)現(xiàn)異?，F(xiàn)象應(yīng)及時跟進(jìn)或上報。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。對機(jī)房的訪問授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門主管人員審批。檢查網(wǎng)絡(luò)拓?fù)鋱D，檢查防火墻規(guī)則設(shè)置。2 所涉及的部門范圍運行維護(hù)部門、計費帳務(wù)部門、市場部門。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時性。2 缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。五、 相關(guān)會計科目收入類科目。授權(quán)審批文檔集中歸檔。發(fā)現(xiàn)的問題要及時跟進(jìn)解決。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。承載網(wǎng)的承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。對電信機(jī)房的訪問授權(quán)經(jīng)過各級相關(guān)部門主管人員的書面審批。4 職責(zé)分工按照相關(guān)的規(guī)定，對維護(hù)承載網(wǎng)的計費相關(guān)設(shè)備的維護(hù)管理員，特別是具有訪問管理終端權(quán)限的維護(hù)管理員，必須遵循嚴(yán)格的職責(zé)分工。2 用戶帳號的管理 超級用戶帳號的管理。，并由運行維護(hù)部門主管人員每周審閱。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。如果由于系統(tǒng)限制存在管理員帳號共享，其密碼在其中任一管理員離職時及時更改，以防止非法訪問。 用戶密碼長度不得低于6位檢查管理人員對安全日志檢查的書面記錄。觀察機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。，對電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時發(fā)現(xiàn)對電信機(jī)房的未經(jīng)授權(quán)的訪問并進(jìn)行處理。檢查網(wǎng)絡(luò)拓?fù)鋱D。八、主要控制點的相關(guān)文件1 承載網(wǎng)管理員崗位授權(quán)書2 承載網(wǎng)管理員認(rèn)證3 承載網(wǎng)管理員操作日志審閱表4 員工工作調(diào)動/離職通知單5 承載網(wǎng)管理員帳號/權(quán)限檢查表6 電信機(jī)房訪問權(quán)限檢查表7 承載網(wǎng)安全日志檢查表8 電信機(jī)房進(jìn)出登記簿9 電信機(jī)房訪問權(quán)限申請表10 電信機(jī)房環(huán)境監(jiān)控日志11 承載網(wǎng)管理員權(quán)限分配方案九、相關(guān)制度和備查文件1 少人無人值守機(jī)房管理要求（試行） 智能網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。四、 風(fēng)險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。在員工工作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或相關(guān)業(yè)務(wù)部門及時正式書面通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 帳號數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。智能網(wǎng)系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。帳號系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶及時通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。只有經(jīng)授權(quán)的人員可對存放智能網(wǎng)系統(tǒng)設(shè)備的計算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。4 職責(zé)分工在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，根據(jù)業(yè)務(wù)部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。七、信息技術(shù)控制點信息技術(shù)控制點監(jiān)督檢查方法1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。抽查人員訪問權(quán)限的刪除書面通知，檢查離職用戶帳號是否已完全刪除。 檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。密碼政策具體包括: 觀察系統(tǒng)密碼設(shè)置。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查職責(zé)分工的檢查記錄。三、 目標(biāo)1 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到信息安全的重要性。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。4 對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)現(xiàn)。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對大客戶管理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過系統(tǒng)主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員或系統(tǒng)主管人員的書面審批。審閱結(jié)果留下書面記錄。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。七、信息技術(shù)控制點信息技術(shù)控制點監(jiān)督檢查方法1 信息安全管理 參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。密碼政策具體包括: ?用戶密碼長度不得低于6位 ?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。 安裝大客戶管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。4 職責(zé)分工 在大客戶管理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時，根據(jù)用戶部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。發(fā)現(xiàn)問題及時跟進(jìn)解決。二、 所涉及的計算機(jī)系統(tǒng)綜合業(yè)務(wù)支撐系統(tǒng)/網(wǎng)上營業(yè)廳。 4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。六、 流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。 操作系統(tǒng)的超級用戶帳號（比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號）。 應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。發(fā)現(xiàn)的問題要及時跟進(jìn)解決。系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑拿艽a制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。營業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。內(nèi)審或用戶部門每半年檢查營業(yè)受理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。，及時由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。 營業(yè)受理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。，若發(fā)現(xiàn)存在不合適的用戶，及時通知機(jī)房管理人員取消其相應(yīng)的授權(quán)。 系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。觀察機(jī)房安全措施。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查職責(zé)分工的檢查記錄。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。四、 風(fēng)險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱