【正文】 統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。，以防止對(duì)公司內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。，以避免用戶(hù)使用安全級(jí)別低的密碼。發(fā)現(xiàn)的問(wèn)題及時(shí)跟進(jìn)解決。用戶(hù)和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。所有對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門(mén)主管書(shū)面審批。3 信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)對(duì)網(wǎng)絡(luò)管理員的管理訪問(wèn)采用身份驗(yàn)證機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備的管理訪問(wèn)必須使用用戶(hù)名和密碼，而且每個(gè)網(wǎng)絡(luò)管理員帳號(hào)被授予唯一的網(wǎng)絡(luò)管理員。省公司制定了正式并經(jīng)過(guò)管理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財(cái)務(wù)報(bào)告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。海南省電信有限公司內(nèi)部控制手冊(cè)實(shí)施細(xì)則中冊(cè)189 / 192目錄1 對(duì)程序和數(shù)據(jù)的訪問(wèn) 1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 1 承載網(wǎng) 7 智能網(wǎng) 13 大客戶(hù)管理系統(tǒng) 20 營(yíng)業(yè)受理系統(tǒng) 27 計(jì)費(fèi)帳務(wù)系統(tǒng) 34 客戶(hù)服務(wù)系統(tǒng) 41 財(cái)務(wù)管理系統(tǒng) 48 計(jì)劃建設(shè)管理系統(tǒng) 54 省級(jí)綜合結(jié)算系統(tǒng) 60 辦公自動(dòng)化系統(tǒng) 672 程序變更管理 74 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 74 承載網(wǎng) 78 智能網(wǎng) 82 大客戶(hù)管理系統(tǒng) 87 營(yíng)業(yè)受理系統(tǒng) 92 計(jì)費(fèi)帳務(wù)系統(tǒng) 97 客戶(hù)服務(wù)系統(tǒng) 102 財(cái)務(wù)管理系統(tǒng) 107 計(jì)劃建設(shè)管理系統(tǒng) 112 省級(jí)綜合結(jié)算系統(tǒng) 117 辦公自動(dòng)化系統(tǒng) 1223 程序開(kāi)發(fā) 1274 系統(tǒng)運(yùn)行 132 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 132 承載網(wǎng) 137 智能網(wǎng) 142 大客戶(hù)管理系統(tǒng) 147 營(yíng)業(yè)受理系統(tǒng) 152 計(jì)費(fèi)帳務(wù)系統(tǒng) 157 客戶(hù)服務(wù)系統(tǒng) 162 財(cái)務(wù)管理系統(tǒng) 167 計(jì)劃建設(shè)管理系統(tǒng) 172 省級(jí)綜合結(jié)算系統(tǒng) 177 辦公自動(dòng)化系統(tǒng) 1825 最終用戶(hù)計(jì)算 1871 對(duì)程序和數(shù)據(jù)的訪問(wèn) 網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶(hù)帳號(hào)的添加、修改及刪除控制、用戶(hù)帳號(hào)的定期審閱、職責(zé)分工控制。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。用戶(hù)和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號(hào)共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。檢查信息安全政策,訪談?dòng)脩?hù)是否知曉本公司的信息安全政策。檢查審閱書(shū)面記錄。密碼政策包括: 人員進(jìn)出機(jī)房會(huì)在機(jī)房門(mén)禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。檢查網(wǎng)絡(luò)拓?fù)鋱D，檢查防火墻規(guī)則設(shè)置。3 建立相關(guān)流程以確保用戶(hù)添加、修改、刪除都經(jīng)過(guò)管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。五、 相關(guān)會(huì)計(jì)科目收入類(lèi)科目。發(fā)現(xiàn)的問(wèn)題要及時(shí)跟進(jìn)解決。承載網(wǎng)的承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等硬件設(shè)備必須存放在符合信息產(chǎn)業(yè)部、集團(tuán)公司及省公司制定的安全標(biāo)準(zhǔn)的機(jī)房中。4 職責(zé)分工按照相關(guān)的規(guī)定，對(duì)維護(hù)承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備的維護(hù)管理員，特別是具有訪問(wèn)管理終端權(quán)限的維護(hù)管理員，必須遵循嚴(yán)格的職責(zé)分工。，并由運(yùn)行維護(hù)部門(mén)主管人員每周審閱。檢查審閱書(shū)面記錄。 用戶(hù)密碼長(zhǎng)度不得低于6位觀察機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。檢查網(wǎng)絡(luò)拓?fù)鋱D。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶(hù)身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門(mén)授權(quán)確定的職責(zé)分工要求不符。 帳號(hào)數(shù)據(jù)庫(kù)的超級(jí)用戶(hù)帳號(hào)（比如數(shù)據(jù)庫(kù)管理員）。帳號(hào)系統(tǒng)維護(hù)部門(mén)主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶(hù)及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶(hù)的授權(quán)。只有經(jīng)授權(quán)的人員可對(duì)存放智能網(wǎng)系統(tǒng)設(shè)備的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。 檢查數(shù)據(jù)庫(kù)管理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)管理員帳號(hào)的審批文件。檢查審閱書(shū)面記錄。觀察系統(tǒng)密碼設(shè)置。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員書(shū)面審批。檢查職責(zé)分工的檢查記錄。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。2 用戶(hù)帳號(hào)的管理 用戶(hù)帳號(hào)的添加、修改及刪除控制集團(tuán)公司或省公司建立了用戶(hù)及其權(quán)限設(shè)置的管理流程，對(duì)大客戶(hù)管理系統(tǒng)的用戶(hù)創(chuàng)建和授權(quán)必須通過(guò)系統(tǒng)主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶(hù)帳號(hào)，以避免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。以上用戶(hù)帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員或系統(tǒng)主管人員的書(shū)面審批。密碼政策應(yīng)包括:用戶(hù)密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。人員進(jìn)出機(jī)房會(huì)在機(jī)房門(mén)禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。抽查人員變更書(shū)面通知，檢查離職用戶(hù)是否已完全刪除。檢查管理員用戶(hù)離職時(shí)的密碼修改記錄。密碼政策具體包括: ?用戶(hù)密碼長(zhǎng)度不得低于6位 ?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶(hù)掌握的PIN碼。發(fā)現(xiàn)問(wèn)題及時(shí)跟進(jìn)解決。 4 確保定期對(duì)系統(tǒng)中用戶(hù)的訪問(wèn)權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。六、 流程概述1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。 應(yīng)用系統(tǒng)的特權(quán)功能用戶(hù)帳號(hào)（例如具有增加/變更/刪除用戶(hù)等權(quán)限）。系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)營(yíng)業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑拿艽a制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶(hù)使用安全級(jí)別低的密碼。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。，及時(shí)由人力資源部門(mén)或用戶(hù)部門(mén)正式以書(shū)面方式通知系統(tǒng)維護(hù)部門(mén)，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。 營(yíng)業(yè)受理系統(tǒng)的管理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。 系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)營(yíng)業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩?hù)（含超級(jí)用戶(hù)）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶(hù)使用安全級(jí)別低的密碼。觀察機(jī)房安全措施。公司通過(guò)不同工作崗位對(duì)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶(hù)身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門(mén)授權(quán)確定的職責(zé)分工要求不符。 數(shù)據(jù)庫(kù)的超級(jí)用戶(hù)帳號(hào)（比如數(shù)據(jù)庫(kù)管理員）。系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)計(jì)費(fèi)帳務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩?hù)制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶(hù)使用安全級(jí)別低的密碼。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員書(shū)面審批。檢查用戶(hù)及其權(quán)限設(shè)置的管理流程, 抽查用戶(hù)創(chuàng)建和授權(quán)的審批文件。檢查特權(quán)用戶(hù)管理帳號(hào)清單，檢查特權(quán)用戶(hù)管理員帳號(hào)的審批文件。觀察系統(tǒng)登陸過(guò)程。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。4 職責(zé)分工 在計(jì)費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶(hù)角色或?qū)τ脩?hù)組(或用戶(hù))角色定義進(jìn)行修改時(shí)，根據(jù)用戶(hù)部門(mén)或相關(guān)管理部門(mén)對(duì)用戶(hù)角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。二、 所涉及的計(jì)算機(jī)系統(tǒng)目前無(wú)適用系統(tǒng)。3 對(duì)添加、修改、刪除用戶(hù)未經(jīng)過(guò)管理層授權(quán)，離職員工帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。 操作系統(tǒng)的超級(jí)用戶(hù)帳號(hào) (比如root用戶(hù)，系統(tǒng)管理員，安全管理員帳號(hào)，批處理用戶(hù)帳號(hào))。發(fā)現(xiàn)的問(wèn)題要及時(shí)跟進(jìn)解決。安裝客戶(hù)服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。內(nèi)審或者用戶(hù)部門(mén)每半年檢查客戶(hù)服務(wù)系統(tǒng)的用戶(hù)角色或用戶(hù)組的權(quán)限設(shè)定,確保合理的職責(zé)分工, 如發(fā)現(xiàn)問(wèn)題，應(yīng)及時(shí)跟進(jìn)解決。，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員的書(shū)面授權(quán)審批。 系統(tǒng)維護(hù)部門(mén)主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行審閱，若發(fā)現(xiàn)存在不合適的用戶(hù)，及時(shí)通知機(jī)房管理人員取消其相應(yīng)的授權(quán)。檢查系統(tǒng)安全日志記錄和審核記錄。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。八、主要控制點(diǎn)的相關(guān)文件1 用戶(hù)（組）創(chuàng)建及系統(tǒng)訪問(wèn)權(quán)限申請(qǐng)表2 員工工作調(diào)動(dòng)/離職通知單3 系統(tǒng)管理員（操作系統(tǒng)/數(shù)據(jù)庫(kù)）帳號(hào)申請(qǐng)表4 系統(tǒng)特權(quán)用戶(hù)帳號(hào)申請(qǐng)表5 系統(tǒng)帳號(hào)/權(quán)限檢查表6 機(jī)房訪問(wèn)權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問(wèn)權(quán)限申請(qǐng)表10 系統(tǒng)用戶(hù)（組）權(quán)限分配審閱報(bào)告11 職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1 少人無(wú)人值守機(jī)房管理要求（試行） 財(cái)務(wù)管理系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶(hù)帳號(hào)的添加、修改及刪除控制、用戶(hù)帳號(hào)的定期審閱、職責(zé)分工控制。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。 超級(jí)用戶(hù)帳號(hào)的管理以下各超級(jí)用戶(hù)帳號(hào)/管理帳號(hào)的使用僅限于經(jīng)授權(quán)人員： 用戶(hù)帳號(hào)訪問(wèn)權(quán)限的定期審閱系統(tǒng)維護(hù)部門(mén)主管人員或財(cái)務(wù)部門(mén)對(duì)財(cái)務(wù)管理系統(tǒng)的用戶(hù)帳號(hào)和用戶(hù)訪問(wèn)權(quán)限進(jìn)行每季度審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問(wèn)權(quán)限。
安裝財(cái)務(wù)管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。內(nèi)審或財(cái)務(wù)部門(mén)每半年檢查財(cái)務(wù)管理系統(tǒng)的用戶(hù)角色或用戶(hù)組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。檢查系統(tǒng)管理帳號(hào)清單，檢查系統(tǒng)管理員帳號(hào)的審批文件。檢查審閱書(shū)面記錄。 系統(tǒng)維護(hù)人員負(fù)責(zé)每周檢查財(cái)務(wù)管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含對(duì)于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員書(shū)面審批。檢查職責(zé)分工的檢查記錄。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門(mén)或用戶(hù)部門(mén)及時(shí)正式書(shū)面通知系統(tǒng)維護(hù)部門(mén)，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。計(jì)劃建設(shè)管理系統(tǒng)的管理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶(hù)掌握的PIN碼。安裝計(jì)劃建設(shè)管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。發(fā)現(xiàn)的問(wèn)題要及時(shí)跟進(jìn)解決。 操作系統(tǒng)的超級(jí)用戶(hù)帳號(hào) (比如root用戶(hù)，系統(tǒng)管理員，安全管理員帳號(hào)，批處理用戶(hù)帳號(hào))。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)管理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn)非法修改系統(tǒng)數(shù)據(jù)。2 所涉及的部門(mén)范圍 計(jì)劃建設(shè)部門(mén)、網(wǎng)絡(luò)發(fā)展部門(mén)、市場(chǎng)部門(mén)、運(yùn)維部門(mén)、財(cái)務(wù)部門(mén)、審計(jì)部門(mén)等。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)文件。、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。檢查審閱書(shū)面記錄。檢查數(shù)據(jù)庫(kù)管理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)管理員帳號(hào)的審批文件。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。只有經(jīng)授權(quán)的人員可對(duì)存放財(cái)務(wù)管理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。系統(tǒng)維護(hù)部門(mén)主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶(hù)及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶(hù)的授權(quán)。3 對(duì)添加、修改、刪除用戶(hù)未經(jīng)過(guò)管理層授權(quán)，離職員工帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。二、 所涉及的計(jì)算機(jī)系統(tǒng)財(cái)務(wù)管理系統(tǒng)（基礎(chǔ)核算模塊，資金管控模塊，輔助管理模塊等）。4 職責(zé)分工 在客戶(hù)服務(wù)系統(tǒng)中創(chuàng)立新用戶(hù)角色或?qū)τ脩?hù)組(或用戶(hù)) 角色定義進(jìn)行修改時(shí)，根據(jù)用戶(hù)部門(mén)或相關(guān)管理部門(mén)對(duì)用戶(hù)角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。3 信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)，對(duì)客戶(hù)服務(wù)系統(tǒng)的訪問(wèn)必須使用用戶(hù)名和密碼，而且每個(gè)用戶(hù)賬號(hào)被授予唯一的用戶(hù)。（例如具有增加/變更/刪除用戶(hù)等權(quán)限），僅限于經(jīng)授權(quán)的系統(tǒng)管理人員或業(yè)務(wù)人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員的書(shū)面授權(quán)審批。2 用戶(hù)帳號(hào)的管理 用戶(hù)帳號(hào)的添加、修改及刪除控制，對(duì)客戶(hù)服務(wù)系統(tǒng)的用戶(hù)創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門(mén)主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶(hù)帳號(hào)。只有經(jīng)授權(quán)的人員可對(duì)存放客戶(hù)服務(wù)系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。系統(tǒng)維護(hù)部門(mén)主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶(hù)及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶(hù)的授權(quán)。 數(shù)據(jù)庫(kù)的超級(jí)用戶(hù)帳號(hào)（比如數(shù)據(jù)庫(kù)管理員）。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門(mén)授權(quán)確定的職責(zé)分工要求不符。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶(hù)身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。檢查用戶(hù)權(quán)限審批文件，觀察系統(tǒng)用戶(hù)權(quán)限配置。觀察機(jī)房安全措施。密碼政策具體包括:?用戶(hù)密碼長(zhǎng)度不得低于6位 ?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶(hù)掌握的PIN碼。檢查管理員用戶(hù)離職時(shí)的密碼修改記錄。抽查人員變更書(shū)面通知，檢查離職用戶(hù)是否已完全刪除。人員進(jìn)出機(jī)房會(huì)在機(jī)房門(mén)禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶(hù)掌握的PIN碼。 應(yīng)用系統(tǒng)的特權(quán)功能用戶(hù)帳號(hào)（例如具有增加/變更/刪除用戶(hù)等權(quán)限）。六、 流程概述1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。 4 確保定期對(duì)系統(tǒng)中用戶(hù)的訪問(wèn)權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。, 確保合理的職責(zé)分工。觀察系統(tǒng)密碼設(shè)置。 系統(tǒng)維護(hù)部門(mén)主管人員或業(yè)務(wù)部門(mén)對(duì)營(yíng)業(yè)受理系統(tǒng)的用戶(hù)帳號(hào)和用戶(hù)訪問(wèn)權(quán)限進(jìn)行每季度的定期審