【正文】 3 信息系統(tǒng)的邏輯訪問和物理訪問在計(jì)劃建設(shè)管理系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對計(jì)劃建設(shè)管理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個(gè)用戶帳號被授予唯一的用戶。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。檢查用戶權(quán)限審批文件，觀察系統(tǒng)用戶權(quán)限配置。 系統(tǒng)維護(hù)部門對訪問財(cái)務(wù)管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。 在員工工作調(diào)動或離職等工作職能發(fā)生變化時(shí)，及時(shí)由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼，密碼多次嘗試失敗后應(yīng)暫停該帳號登錄。五、 相關(guān)會計(jì)科目所有的會計(jì)科目六、 流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。 內(nèi)審或者用戶部門每半年檢查客戶服務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。密碼政策具體包括: ?用戶密碼長度不得低于6位 ?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對客戶服務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。檢查職責(zé)分工的檢查記錄。發(fā)現(xiàn)異?，F(xiàn)象及時(shí)跟進(jìn)或上報(bào)。，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。安裝計(jì)費(fèi)帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。 超級用戶帳號的管理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：八、主要控制點(diǎn)的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2 員工工作調(diào)動/離職通知單3 系統(tǒng)管理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4 系統(tǒng)特權(quán)用戶帳號申請表5 系統(tǒng)帳號/權(quán)限檢查表6 機(jī)房訪問權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機(jī)房進(jìn)出登記簿9 機(jī)房訪問權(quán)限申請表10 系統(tǒng)用戶（組）權(quán)限分配審閱報(bào)告11 職責(zé)分工檢查報(bào)告九、相關(guān)制度和備查文件1 少人無人值守機(jī)房管理要求（試行） 計(jì)費(fèi)帳務(wù)系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責(zé)分工控制。、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。三、 目標(biāo)1 對于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到信息安全的重要性。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)管理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。只有經(jīng)授權(quán)的人員可對存放大客戶管理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。 數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限，并及時(shí)跟進(jìn)解決。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。 用戶帳號訪問權(quán)限的定期審閱系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對智能網(wǎng)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。2 缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。監(jiān)控系統(tǒng)必須留下環(huán)境監(jiān)控的記錄。觀察系統(tǒng)登陸過程。管理員帳號的授權(quán)經(jīng)運(yùn)行維護(hù)部門及相關(guān)各級主管人員的書面審批。按照省公司對訪問承載網(wǎng)的網(wǎng)管終端的相關(guān)規(guī)定，對承載網(wǎng)的管理軟件固化相應(yīng)的密碼政策設(shè)置，以確保用戶使用安全級別高的密碼。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。觀察系統(tǒng)登陸過程。檢查組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。審閱結(jié)果留下書面記錄。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。密碼政策包括: 用戶密碼長度位數(shù)規(guī)定，密碼應(yīng)定期更新。這些用戶帳號的授權(quán)須經(jīng)網(wǎng)絡(luò)維護(hù)部門的主管人員的書面授權(quán)審批。 密碼應(yīng)至少每90天進(jìn)行更新對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。檢查防火墻管理帳號列表，檢查防火墻管理人員名單。2 用戶帳號的管理 超級用戶帳號的管理承載網(wǎng)的交換機(jī)及網(wǎng)管終端的管理員帳號的使用僅限于經(jīng)嚴(yán)格認(rèn)證的授權(quán)人員。人員進(jìn)出機(jī)房時(shí)在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記簿中留下記錄。，及時(shí)由人力資源部門正式以書面方式通知運(yùn)行維護(hù)部門，按照承載網(wǎng)管理員帳號的管理流程，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 不得使用最近的密碼檢查網(wǎng)管終端的密碼設(shè)置。按照相關(guān)的規(guī)定，實(shí)行多級的管理權(quán)限劃分，對于通話記錄(CDR)數(shù)據(jù)的訪問僅限于經(jīng)授權(quán)人員。六、 流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。系統(tǒng)維護(hù)部門對訪問智能網(wǎng)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。觀察系統(tǒng)登陸過程。檢查機(jī)房訪問清單和機(jī)房訪問授權(quán)單。2 缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。 用戶帳號訪問權(quán)限的定期審閱用戶部門主管人員或業(yè)務(wù)部門對大客戶管理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限帳號。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。檢查審閱書面記錄。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。營業(yè)受理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問。4 職責(zé)分工在營業(yè)受理系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進(jìn)行修改時(shí)，根據(jù)業(yè)務(wù)部門或系統(tǒng)管理部門審批過的流程對用戶角色的權(quán)限進(jìn)行設(shè)定。 系統(tǒng)維護(hù)部門主管人員或業(yè)務(wù)部門對營業(yè)受理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限，并及時(shí)跟進(jìn)解決。 4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。 應(yīng)用系統(tǒng)的特權(quán)功能用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。檢查管理員用戶離職時(shí)的密碼修改記錄。觀察機(jī)房安全措施。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。 數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。只有經(jīng)授權(quán)的人員可對存放客戶服務(wù)系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。（例如具有增加/變更/刪除用戶等權(quán)限），僅限于經(jīng)授權(quán)的系統(tǒng)管理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護(hù)部門主管人員的書面授權(quán)審批。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護(hù)。二、 所涉及的計(jì)算機(jī)系統(tǒng)財(cái)務(wù)管理系統(tǒng)（基礎(chǔ)核算模塊，資金管控模塊，輔助管理模塊等）。只有經(jīng)授權(quán)的人員可對存放財(cái)務(wù)管理系統(tǒng)的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。2 所涉及的部門范圍 計(jì)劃建設(shè)部門、網(wǎng)絡(luò)發(fā)展部門、市場部門、運(yùn)維部門、財(cái)務(wù)部門、審計(jì)部門等。 操作系統(tǒng)的超級用戶帳號 (比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號)。安裝計(jì)劃建設(shè)管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機(jī)房中。計(jì)劃建設(shè)管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。對機(jī)房的訪問授權(quán)須經(jīng)系統(tǒng)維護(hù)部門主管人員書面審批。檢查審閱書面記錄。內(nèi)審或財(cái)務(wù)部門每半年檢查財(cái)務(wù)管理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。 用戶帳號訪問權(quán)限的定期審閱系統(tǒng)維護(hù)部門主管人員或財(cái)務(wù)部門對財(cái)務(wù)管理系統(tǒng)的用戶帳號和用戶訪問權(quán)限進(jìn)行每季度審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。 系統(tǒng)維護(hù)部門主管人員每半年對機(jī)房訪問權(quán)限清單進(jìn)行審閱，若發(fā)現(xiàn)存在不合適的用戶，及時(shí)通知機(jī)房管理人員取消其相應(yīng)的授權(quán)。內(nèi)審或者用戶部門每半年檢查客戶服務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責(zé)分工, 如發(fā)現(xiàn)問題，應(yīng)及時(shí)跟進(jìn)解決。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。4 職責(zé)分工 在計(jì)費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)用戶部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。觀察系統(tǒng)登陸過程。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。系統(tǒng)維護(hù)部門對訪問計(jì)費(fèi)帳務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩糁贫艽a政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達(dá)到不相容職責(zé)分工的目的。 系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。，及時(shí)由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護(hù)部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。系統(tǒng)維護(hù)部門對訪問營業(yè)受理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑拿艽a制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。六、 流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。發(fā)現(xiàn)問題及時(shí)跟進(jìn)解決。密碼政策具體包括: ?用戶密碼長度不得低于6位 ?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制集團(tuán)公司或省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對大客戶管理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過系統(tǒng)主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。檢查職責(zé)分工的檢查記錄。觀察系統(tǒng)密碼設(shè)置。 檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。只有經(jīng)授權(quán)的人員可對存放智能網(wǎng)系統(tǒng)設(shè)備的計(jì)算機(jī)機(jī)房和設(shè)備進(jìn)行物理訪問。 帳號數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。觀察機(jī)房安全措施、檢查人員進(jìn)出機(jī)房的記錄。檢查審閱書面記錄。4 職責(zé)分工按照相關(guān)的規(guī)定，對維護(hù)承載網(wǎng)的計(jì)費(fèi)相關(guān)設(shè)備的維護(hù)管理員，特別是具有訪問管理終端權(quán)限的維護(hù)管理員，必須遵循嚴(yán)格的職責(zé)分工。發(fā)現(xiàn)的問題要及時(shí)跟進(jìn)解決。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。人員進(jìn)出機(jī)房會在機(jī)房門禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。檢查審閱書面記錄。非授權(quán)人員出入機(jī)房必須由機(jī)房工作人員陪同。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息安全政策。海南省電信有限公司內(nèi)部控制手冊實(shí)施細(xì)則中冊189 / 192目錄1 對程序和數(shù)據(jù)的訪問 1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 1 承載網(wǎng) 7 智能網(wǎng) 13 大客戶管理系統(tǒng) 20 營業(yè)受理系統(tǒng) 27 計(jì)費(fèi)帳務(wù)系統(tǒng) 34 客戶服務(wù)系統(tǒng) 41 財(cái)務(wù)管理系統(tǒng) 48 計(jì)劃建設(shè)管理系統(tǒng) 54 省級綜合結(jié)算系統(tǒng) 60 辦公自動化系統(tǒng) 672 程序變更管理 74 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 74 承載網(wǎng) 78 智能網(wǎng) 82 大客戶管理系統(tǒng) 87 營業(yè)受理系統(tǒng) 92 計(jì)費(fèi)帳務(wù)系統(tǒng) 97 客戶服務(wù)系統(tǒng) 102 財(cái)務(wù)管理系統(tǒng) 107 計(jì)劃建設(shè)管理系統(tǒng) 112 省級綜合結(jié)算系統(tǒng) 117 辦公自動化系統(tǒng) 1223 程序開發(fā) 1274 系統(tǒng)運(yùn)行 132 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 132 承載網(wǎng) 137 智能網(wǎng) 142 大