【正文】 機房訪問清單和機房訪問授權單。檢查權限分配名單。5 確保在關鍵流程中存在適當?shù)穆殭喾蛛x。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權限設置的管理流程，對智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權必須通過業(yè)務部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權帳號及權限的創(chuàng)建或修改。以上用戶帳號的授權須經(jīng)系統(tǒng)維護部門主管人員或相關業(yè)務部門主管人員的書面審批。密碼政策應包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。，及時由人力資源部門或相關業(yè)務部門正式以書面方式通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應的訪問權限。 智能網(wǎng)系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）如果由于系統(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應的設置，以避免用戶使用安全級別低的密碼。、操作系統(tǒng)和數(shù)據(jù)庫的硬件設備存放在安全的機房中。4 職責分工(或用戶)角色定義進行修改時，根據(jù)用戶部門或相關業(yè)務部門對用戶角色權限的審批結果進行設定。二、 所涉及的計算機系統(tǒng)海南電信營銷渠道支撐系統(tǒng)，一站式大客戶業(yè)務處理系統(tǒng)。3 對添加、修改、刪除用戶未經(jīng)過管理層授權，離職員工帳號未及時在系統(tǒng)中刪除，導致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權或不適當訪問。 操作系統(tǒng)的超級用戶帳號 (比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號)。發(fā)現(xiàn)的問題要及時跟進解決。安裝大客戶管理系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設備存放在安全的機房中。內審或者用戶部門每半年檢查大客戶管理系統(tǒng)的用戶角色或用戶組的權限設定，確保合理的職責分工, 如發(fā)現(xiàn)問題，應及時跟進解決。，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權審批。，若發(fā)現(xiàn)存在不合適的用戶，及時通知機房管理人員取消其相應的授權。檢查系統(tǒng)安全日志記錄和審核記錄。檢查機房訪問清單和機房訪問授權單。2 所涉及的部門范圍所有前后端部門：運行維護部門、計費部門、信息技術部門、市場部門。2 缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源未經(jīng)授權的訪問, 非法修改系統(tǒng)數(shù)據(jù)。 超級用戶帳號的管理以下各超級用戶帳號/特權功能用戶帳號的使用僅限于經(jīng)授權人員： 用戶帳號訪問權限的定期審閱系統(tǒng)維護部門主管人員或業(yè)務部門對營業(yè)受理系統(tǒng)的用戶帳號和用戶訪問權限進行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權限。系統(tǒng)管理員負責每周檢查營業(yè)受理系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。公司通過對于不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。檢查系統(tǒng)管理帳號清單，檢查系統(tǒng)管理員帳號的審批文件。檢查審閱書面記錄。、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。對機房的訪問授權須經(jīng)系統(tǒng)維護部門主管人員書面審批。發(fā)現(xiàn)問題及時跟進解決。5 確保在關鍵流程中存在適當?shù)穆殭喾蛛x。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權限設置的管理流程，對計費帳務系統(tǒng)的用戶創(chuàng)建和授權必須通過業(yè)務部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權帳號及權限的創(chuàng)建或修改。以上用戶帳號的授權須經(jīng)系統(tǒng)維護部門主管人員的書面審批。系統(tǒng)管理員負責每周檢查計費賬務系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作）。4 職責分工在計費帳務系統(tǒng)中創(chuàng)立新用戶角色或對用戶組(或用戶)角色定義進行修改時，根據(jù)用戶部門或相關管理部門對用戶角色權限的審批結果進行設定。 超級用戶帳號的管理，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權審批。 系統(tǒng)主管人員或業(yè)務部門對計費賬務系統(tǒng)的用戶賬號和用戶訪問權限進行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權限，并及時跟進解決。觀察系統(tǒng)密碼設置。檢查人員進出機房的記錄。 內審或者用戶部門每半年檢查計費帳務系統(tǒng)的用戶角色或用戶組的權限設定, 確保合理的職責分工。3 建立相關流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權，及相關操作的準確性和及時性。五、 相關會計科目收入和費用類科目。3 信息系統(tǒng)的邏輯訪問和物理訪問在客戶服務系統(tǒng)中采用用戶身份的驗證機制，對客戶服務系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。對機房的訪問授權需經(jīng)系統(tǒng)維護部門主管人員書面審批。檢查用戶及其權限設置的管理流程, 抽查用戶創(chuàng)建和授權的審批文件。檢查特權用戶管理帳號清單，檢查特權用戶管理員帳號的審批文件。觀察系統(tǒng)登陸過程。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。三、 目標1 對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。 數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。3 信息系統(tǒng)的邏輯訪問和物理訪問在財務管理系統(tǒng)中采用用戶身份的驗證機制，對財務管理系統(tǒng)的訪問使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。對機房的訪問授權須經(jīng)系統(tǒng)維護部門主管人員書面審批。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制 省公司建立了用戶及其權限設置的管理流程，對財務管理系統(tǒng)的用戶創(chuàng)建和授權必須通過財務部門主管審批后，方可由相關的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。（例如具有增加/變更/刪除用戶等權限）僅限于經(jīng)授權的系統(tǒng)管理人員，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權審批。3 信息系統(tǒng)的的邏輯訪問和物理訪問 在財務管理系統(tǒng)中采用用戶身份的驗證機制，對財務管理系統(tǒng)的訪問使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。4 職責分工(或用戶)角色定義進行修改時，根據(jù)財務部門或相關管理部門對用戶角色權限的審批結果進行設定。二、 所涉及的計算機系統(tǒng)物流管理系統(tǒng)。3 對添加、修改、刪除用戶未經(jīng)過管理層授權，離職員工帳號未及時在系統(tǒng)中刪除，導致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權或不適當訪問。審閱結果留下書面記錄。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。密碼政策應包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。以上用戶帳號的授權須經(jīng)系統(tǒng)維護部門主管人員、計劃建設部門主管人員或相關主管人員的書面審批。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權限設置的管理流程，對計劃建設管理系統(tǒng)的用戶創(chuàng)建和授權必須通過計劃建設部門主管人員審批后，方可由相關的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權帳號及權限的創(chuàng)建。 4 確保定期對系統(tǒng)中用戶的訪問權限進行審閱，以減少未經(jīng)授權或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風險。發(fā)現(xiàn)問題及時跟進解決。觀察系統(tǒng)密碼設置。，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權限，并及時跟進解決。 超級用戶帳號的管理，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權審批。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。系統(tǒng)維護人員負責每周檢查財務管理系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。財務管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）如果由于系統(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。在員工工作調動或離職等工作職能發(fā)生變化時，由人力資源部門或用戶部門及時正式書面通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應的訪問權限。5 確保在關鍵流程中存在適當?shù)穆殭喾蛛x。檢查職責分工的檢查記錄。對機房的訪問授權需經(jīng)系統(tǒng)維護部門主管人員審批。、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。檢查審閱書面記錄。檢查系統(tǒng)管理帳號清單，檢查系統(tǒng)管理員帳號的審批文件。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。系統(tǒng)管理員負責每周檢查客戶服務系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異常現(xiàn)象及時跟進或上報。 用戶帳號訪問權限的定期審閱用戶部門主管人員或業(yè)務部門對客戶服務系統(tǒng)的用戶帳號和用戶訪問權限進行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權限帳號。 超級用戶帳號的管理以下各超級用戶帳號/特權功能用戶帳號的使用僅限于經(jīng)授權人員：2 缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源未經(jīng)授權的訪問, 非法修改系統(tǒng)數(shù)據(jù)。2 所涉及的部門范圍信息技術部門、客戶服務部門、運行維護部門。檢查機房訪問清單和機房訪問授權單。 安裝計費帳務系統(tǒng)應用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設備存放在安全的機房中。3 信息系統(tǒng)的的邏輯訪問和物理訪問，對計費賬務系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。（例如具有增加/變更/刪除用戶等權限）僅限于經(jīng)授權的系統(tǒng)管理人員或業(yè)務人員，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權審批。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制，對計費帳務系統(tǒng)的用戶創(chuàng)建和授權必須通過業(yè)務部門主管人員審批后，方可由相關的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。只有經(jīng)授權的人員可對存放計費帳務系統(tǒng)的計算機機房和設備進行物理訪問。3 信息系統(tǒng)的邏輯訪問和物理訪問在計費賬務系統(tǒng)中采用用戶身份的驗證機制，對計費賬務系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。二、 所涉及的計算機系統(tǒng)本地計費帳務系統(tǒng)/互聯(lián)星空系統(tǒng)/海南省多媒體網(wǎng)業(yè)務綜合管理系統(tǒng)/計費采集系統(tǒng)/綜合信息平臺計費系統(tǒng)三、 目標1 對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。4 職責分工(或用戶)角色定義進行修改時，根據(jù)業(yè)務部門或相關管理部門對用戶角色權限的審批結果進行設定。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。觀察系統(tǒng)登陸過程。檢查特權用戶管理帳號清單，檢查特權用戶管理員帳號的審批文件。檢查用戶及其權限設置的管理流程, 抽查用戶創(chuàng)建和授權的審批文件。對機房的訪問授權須經(jīng)系統(tǒng)維護部門主管人員書面審批。3 信息系統(tǒng)的邏輯訪問和物理訪問在營業(yè)受理系統(tǒng)中采用用戶身份的驗證機制，對營業(yè)受理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶（除用于查詢訪問的功能性賬號外）。五、 相關會計科目收入和費用類科目。3 建立相關流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權，及相關操作的準確性和及時性。 內審或者用戶部門每半年檢查大客戶管理系統(tǒng)的用戶角色或用戶組的權限設定, 確保合理的職責分工。觀察機房安全措施、檢查人員進出機房的記錄。（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應的設置，以避免用戶使用安全級別低的密碼。 大客戶管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）如果由于系統(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。，及時由人力資源部門或用戶部門正式書面通知系統(tǒng)維護部門, 并通報至集團公司, 由相關的系統(tǒng)管理員更新或刪除其相應的訪問權限。非授權人員出入機房必須由機房工作人員陪同。系統(tǒng)維護部門對訪問大客戶管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應用程序層面）的用戶（含超級用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應的設置，以避免用戶使用安全級別低的密碼。 應用系統(tǒng)的特權功能用戶帳號（例如具有增加/變更/刪除用戶等權限）。六、 流程概述1 信息安全管理參見網(wǎng)絡基礎設施中本章節(jié)。 4 確保定期對系統(tǒng)中用戶的訪問權限進行審閱，以減少未經(jīng)授權或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風險。發(fā)現(xiàn)問題及時跟進解決。 不得使用最近的密碼對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。，若發(fā)現(xiàn)存在不合適的用戶，及時通知機房管理人員取消其相應的授權。，其帳號須經(jīng)系統(tǒng)維護部門主管的書面授權審批。如發(fā)現(xiàn)權限分配的問題，應及時跟進解決。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。審閱結果留下書面記錄。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。三、 目標1 對于與財務報告相關的信息，公司應制定相關的信息安全管理政策并使員工意識到信息安全的重要性。，并通過網(wǎng)絡安全控制手段阻止內網(wǎng)的不適當訪問。人員進出機房會在機房門禁系統(tǒng)或機房進出登記記錄中留下記錄。密碼政策包括: 審閱結果留下書面記錄。檢查承載網(wǎng)管理員帳號清單，檢查承載網(wǎng)管理員帳號的審批文件。承載網(wǎng)的交換機以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過網(wǎng)絡安全控制手段阻止內網(wǎng)的不適當訪問。運行維護部門管理人員定期審核承載網(wǎng)的交換機以及網(wǎng)管終端（包括操作系統(tǒng)和專用管理軟件）的安全日志記錄，識別潛在的違規(guī)，如發(fā)現(xiàn)安全問題按照相關的管理規(guī)定及時上報。 用戶帳號訪問權限的定期審閱運行維護部門主管人員每半年對承載網(wǎng)的管理員帳號進行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問權限。5 系統(tǒng)的權限分配與業(yè)務部門授權確定的職責分工要求不符。2 對公司信息技術資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權的管理機制，以降低由于對系