【正文】 客戶管理系統(tǒng) 147 營(yíng)業(yè)受理系統(tǒng) 152 計(jì)費(fèi)帳務(wù)系統(tǒng) 157 客戶服務(wù)系統(tǒng) 162 財(cái)務(wù)管理系統(tǒng) 167 計(jì)劃建設(shè)管理系統(tǒng) 172 省級(jí)綜合結(jié)算系統(tǒng) 177 辦公自動(dòng)化系統(tǒng) 1825 最終用戶計(jì)算 1871 對(duì)程序和數(shù)據(jù)的訪問(wèn) 網(wǎng)絡(luò)基礎(chǔ)設(shè)施一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除控制、用戶帳號(hào)的定期審閱、職責(zé)分工控制。省公司制定了正式并經(jīng)過(guò)管理層批準(zhǔn)的信息安全政策，范圍包括所有與生成財(cái)務(wù)報(bào)告的程序和數(shù)據(jù)相關(guān)的信息技術(shù)環(huán)境（例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面）。所有對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門(mén)主管書(shū)面審批。發(fā)現(xiàn)的問(wèn)題及時(shí)跟進(jìn)解決。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。 用戶帳號(hào)訪問(wèn)權(quán)限的定期審閱運(yùn)行維護(hù)部門(mén)主管人員每半年對(duì)承載網(wǎng)的管理員帳號(hào)進(jìn)行審閱，以發(fā)現(xiàn)任何不合適的管理員訪問(wèn)權(quán)限。承載網(wǎng)的交換機(jī)以及網(wǎng)管終端必須確保與外網(wǎng)/公網(wǎng)的隔離，并通過(guò)網(wǎng)絡(luò)安全控制手段阻止內(nèi)網(wǎng)的不適當(dāng)訪問(wèn)。審閱結(jié)果留下書(shū)面記錄。人員進(jìn)出機(jī)房會(huì)在機(jī)房門(mén)禁系統(tǒng)或機(jī)房進(jìn)出登記記錄中留下記錄。三、 目標(biāo)1 對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管的書(shū)面授權(quán)審批。 不得使用最近的密碼對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。發(fā)現(xiàn)問(wèn)題及時(shí)跟進(jìn)解決。六、 流程概述1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)大客戶管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。，及時(shí)由人力資源部門(mén)或用戶部門(mén)正式書(shū)面通知系統(tǒng)維護(hù)部門(mén), 并通報(bào)至集團(tuán)公司, 由相關(guān)的系統(tǒng)管理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。 內(nèi)審或者用戶部門(mén)每半年檢查大客戶管理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責(zé)分工。五、 相關(guān)會(huì)計(jì)科目收入和費(fèi)用類(lèi)科目。3 信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在營(yíng)業(yè)受理系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對(duì)營(yíng)業(yè)受理系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶帳號(hào)被授予唯一的用戶（除用于查詢?cè)L問(wèn)的功能性賬號(hào)外）。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。觀察系統(tǒng)登陸過(guò)程。4 職責(zé)分工(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)業(yè)務(wù)部門(mén)或相關(guān)管理部門(mén)對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)現(xiàn)。3 信息系統(tǒng)的邏輯訪問(wèn)和物理訪問(wèn)在計(jì)費(fèi)賬務(wù)系統(tǒng)中采用用戶身份的驗(yàn)證機(jī)制，對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶賬號(hào)被授予唯一的用戶。2 用戶帳號(hào)的管理 用戶帳號(hào)的添加、修改及刪除控制，對(duì)計(jì)費(fèi)帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門(mén)主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)。3 信息系統(tǒng)的的邏輯訪問(wèn)和物理訪問(wèn)，對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的訪問(wèn)必須使用用戶名和密碼，而且每個(gè)用戶賬號(hào)被授予唯一的用戶。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)管理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn), 非法修改系統(tǒng)數(shù)據(jù)。 用戶帳號(hào)訪問(wèn)權(quán)限的定期審閱用戶部門(mén)主管人員或業(yè)務(wù)部門(mén)對(duì)客戶服務(wù)系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問(wèn)權(quán)限帳號(hào)。公司通過(guò)不同工作崗位對(duì)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。檢查審閱書(shū)面記錄。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員審批。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。財(cái)務(wù)管理系統(tǒng)的管理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。公司通過(guò)不同工作崗位對(duì)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。 4 確保定期對(duì)系統(tǒng)中用戶的訪問(wèn)權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員、計(jì)劃建設(shè)部門(mén)主管人員或相關(guān)主管人員的書(shū)面審批。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。二、 所涉及的計(jì)算機(jī)系統(tǒng)物流管理系統(tǒng)。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)管理人員，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員的書(shū)面授權(quán)審批。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員書(shū)面審批。 數(shù)據(jù)庫(kù)的超級(jí)用戶帳號(hào)（比如數(shù)據(jù)庫(kù)管理員）。三、 目標(biāo)1 對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。人員進(jìn)出機(jī)房會(huì)在機(jī)房門(mén)禁系統(tǒng)或機(jī)房進(jìn)出日志中留下記錄。檢查特權(quán)用戶管理帳號(hào)清單，檢查特權(quán)用戶管理員帳號(hào)的審批文件。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員書(shū)面審批。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過(guò)管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。檢查人員進(jìn)出機(jī)房的記錄。 系統(tǒng)主管人員或業(yè)務(wù)部門(mén)對(duì)計(jì)費(fèi)賬務(wù)系統(tǒng)的用戶賬號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問(wèn)權(quán)限，并及時(shí)跟進(jìn)解決。4 職責(zé)分工在計(jì)費(fèi)帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)用戶部門(mén)或相關(guān)管理部門(mén)對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。以上用戶帳號(hào)的授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員的書(shū)面審批。5 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。對(duì)機(jī)房的訪問(wèn)授權(quán)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員書(shū)面審批。檢查審閱書(shū)面記錄。公司通過(guò)對(duì)于不同工作崗位對(duì)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。 用戶帳號(hào)訪問(wèn)權(quán)限的定期審閱系統(tǒng)維護(hù)部門(mén)主管人員或業(yè)務(wù)部門(mén)對(duì)營(yíng)業(yè)受理系統(tǒng)的用戶帳號(hào)和用戶訪問(wèn)權(quán)限進(jìn)行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問(wèn)權(quán)限。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)管理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問(wèn), 非法修改系統(tǒng)數(shù)據(jù)。檢查機(jī)房訪問(wèn)清單和機(jī)房訪問(wèn)授權(quán)單。，若發(fā)現(xiàn)存在不合適的用戶，及時(shí)通知機(jī)房管理人員取消其相應(yīng)的授權(quán)。內(nèi)審或者用戶部門(mén)每半年檢查大客戶管理系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定，確保合理的職責(zé)分工, 如發(fā)現(xiàn)問(wèn)題，應(yīng)及時(shí)跟進(jìn)解決。發(fā)現(xiàn)的問(wèn)題要及時(shí)跟進(jìn)解決。3 對(duì)添加、修改、刪除用戶未經(jīng)過(guò)管理層授權(quán)，離職員工帳號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問(wèn)。4 職責(zé)分工(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)用戶部門(mén)或相關(guān)業(yè)務(wù)部門(mén)對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。，及時(shí)由人力資源部門(mén)或相關(guān)業(yè)務(wù)部門(mén)正式以書(shū)面方式通知系統(tǒng)維護(hù)部門(mén)，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。密碼政策應(yīng)包括:用戶密碼長(zhǎng)度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。2 用戶帳號(hào)的管理 用戶帳號(hào)的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對(duì)智能網(wǎng)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過(guò)業(yè)務(wù)部門(mén)主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號(hào)，以避免未經(jīng)授權(quán)帳號(hào)及權(quán)限的創(chuàng)建或修改。檢查權(quán)限分配名單。（包括操作系統(tǒng)和專(zhuān)用管理軟件）的安全日志記錄，識(shí)別潛在的違規(guī)，如發(fā)現(xiàn)安全問(wèn)題按照相關(guān)的管理規(guī)定及時(shí)上報(bào)。抽查人員變更的書(shū)面通知，檢查離職人員的帳號(hào)是否已完全刪除。只有經(jīng)過(guò)授權(quán)的人員可對(duì)存放有承載網(wǎng)的交換機(jī)以及網(wǎng)管終端等設(shè)備的電信機(jī)房和設(shè)備進(jìn)行物理訪問(wèn)。管理員帳號(hào)的授權(quán)經(jīng)運(yùn)行維護(hù)部門(mén)及相關(guān)各級(jí)主管人員的書(shū)面審批。八、主要控制點(diǎn)的相關(guān)文件1 網(wǎng)絡(luò)訪問(wèn)申請(qǐng)表2 員工工作調(diào)動(dòng)/離職通知單3 網(wǎng)絡(luò)管理員（網(wǎng)絡(luò)設(shè)備及防火墻）帳號(hào)申請(qǐng)表4 網(wǎng)絡(luò)管理員帳號(hào)/權(quán)限檢查表5 機(jī)房訪問(wèn)權(quán)限檢查表6 網(wǎng)絡(luò)安全日志檢查表7 機(jī)房進(jìn)出登記簿8 機(jī)房訪問(wèn)權(quán)限申請(qǐng)表九、相關(guān)制度和備查文件 1 少人無(wú)人值守機(jī)房管理要求（試行） 承載網(wǎng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號(hào)的添加、修改及刪除控制、用戶帳號(hào)的定期審閱、職責(zé)分工控制。觀察網(wǎng)絡(luò)設(shè)備的密碼配置。檢查網(wǎng)絡(luò)管理員帳號(hào)清單，檢查系統(tǒng)管理員帳號(hào)的審批文件。對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的網(wǎng)絡(luò)設(shè)備，需要配合使用由用戶掌握的PIN碼。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)現(xiàn)。2 對(duì)公司信息技術(shù)資源的物理訪問(wèn)及邏輯訪問(wèn)已建立起通過(guò)用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。發(fā)現(xiàn)的問(wèn)題要及時(shí)跟進(jìn)解決。七、信息技術(shù)控制點(diǎn)信息技術(shù)控制點(diǎn)監(jiān)督檢查方法1 信息安全管理，具有信息安全管理的工作職責(zé)。如果由于系統(tǒng)限制存在網(wǎng)絡(luò)管理員帳號(hào)共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。對(duì)機(jī)房的訪問(wèn)授權(quán)需經(jīng)網(wǎng)絡(luò)維護(hù)部門(mén)主管人員審批。2 缺乏必要的物理訪問(wèn)及邏輯訪問(wèn)管理機(jī)制，導(dǎo)致對(duì)信息資源的未經(jīng)授權(quán)的訪問(wèn), 非法修改系統(tǒng)數(shù)據(jù)。如果由于系統(tǒng)限制存在管理員帳號(hào)共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。2 用戶帳號(hào)的管理 超級(jí)用戶帳號(hào)的管理。如果由于系統(tǒng)限制存在管理員帳號(hào)共享，其密碼在其中任一管理員離職時(shí)及時(shí)更改，以防止非法訪問(wèn)。，對(duì)電信機(jī)房進(jìn)行嚴(yán)格的環(huán)境監(jiān)控（如24小時(shí)閉路電視監(jiān)控、防盜監(jiān)控系統(tǒng)等），以及時(shí)發(fā)現(xiàn)對(duì)電信機(jī)房的未經(jīng)授權(quán)的訪問(wèn)并進(jìn)行處理。四、 風(fēng)險(xiǎn)1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。智能網(wǎng)系統(tǒng)的管理賬號(hào)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時(shí)需及時(shí)更改，以防止非法訪問(wèn)。4 職責(zé)分工在智能網(wǎng)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進(jìn)行修改時(shí)，根據(jù)業(yè)務(wù)部門(mén)或相關(guān)管理部門(mén)對(duì)用戶角色權(quán)限的審批結(jié)果進(jìn)行設(shè)定。檢查管理員用戶離職時(shí)的密碼修改記錄。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。三、 目標(biāo)1 對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。所有出入口均具備電子門(mén)禁系統(tǒng)或門(mén)鎖的保護(hù)。檢查數(shù)據(jù)庫(kù)管理帳號(hào)清單，檢查數(shù)據(jù)庫(kù)管理員帳號(hào)的審批文件。 安裝大客戶管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。二、 所涉及的計(jì)算機(jī)系統(tǒng)綜合業(yè)務(wù)支撐系統(tǒng)/網(wǎng)上營(yíng)業(yè)廳。 操作系統(tǒng)的超級(jí)用戶帳號(hào)（比如root用戶，系統(tǒng)管理員，安全管理員帳號(hào)，批處理用戶帳號(hào)）。營(yíng)業(yè)受理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)的硬件設(shè)備存放在安全的機(jī)房中。，其帳號(hào)須經(jīng)系統(tǒng)維護(hù)部門(mén)主管人員的書(shū)面授權(quán)審批。檢查系統(tǒng)安全日志記錄和定期檢查的記錄。檢查職責(zé)分工的檢查記錄。在員工工作調(diào)動(dòng)或離職等工作職能發(fā)生變化時(shí)，由人力資源部門(mén)或用戶部門(mén)及時(shí)正式書(shū)面通知系統(tǒng)維護(hù)部門(mén)，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。發(fā)現(xiàn)異常現(xiàn)象及時(shí)跟進(jìn)或上報(bào)。檢查系統(tǒng)管理帳號(hào)清單，檢查系統(tǒng)管理員帳號(hào)的審批文件。 系統(tǒng)管理員負(fù)責(zé)每周檢查計(jì)費(fèi)賬務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫(kù)層面安全日志記錄（含對(duì)于重要的數(shù)據(jù)增、刪、改操作）。發(fā)現(xiàn)問(wèn)題及時(shí)跟進(jìn)解決。六、 流程概述1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)客戶服務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。，及時(shí)由人力資源部門(mén)或用戶部門(mén)正式書(shū)面通知系統(tǒng)維護(hù)部門(mén)，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問(wèn)權(quán)限。 系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)客戶服務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。檢查用戶權(quán)限審批文件，觀察系統(tǒng)用戶權(quán)限配置。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門(mén)授權(quán)確定的職責(zé)分工要求不符。系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)財(cái)務(wù)管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。觀察系統(tǒng)登陸過(guò)程。公司通過(guò)不同工作崗位對(duì)于系統(tǒng)資源訪問(wèn)的限制來(lái)達(dá)到不相容職責(zé)分工的目的。4 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問(wèn)不能被及時(shí)發(fā)現(xiàn)。系統(tǒng)維護(hù)部門(mén)主管人員每半年對(duì)機(jī)房訪問(wèn)權(quán)限清單進(jìn)行審閱，如果發(fā)現(xiàn)存在不適當(dāng)用戶及時(shí)通知機(jī)房管理人員取消相應(yīng)用戶的授權(quán)。系統(tǒng)維護(hù)部門(mén)對(duì)訪問(wèn)計(jì)劃建設(shè)管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)用妫┑挠脩簦ê?jí)用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置，以避免用戶使用安全級(jí)別低的密碼。五、 相關(guān)會(huì)計(jì)科目資產(chǎn)、負(fù)債和費(fèi)用類(lèi)科目六、 流程概述1 信息安全管理參見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。, 確保合理的職責(zé)分工。密碼政策具體包括: ?用戶密碼長(zhǎng)度不得低于6位 ?密碼應(yīng)至少每90天進(jìn)行更新?不得使用最近的密碼對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。抽查人員變更的書(shū)面通知，檢查離職用戶的帳號(hào)已完全刪除。對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。2 用戶帳號(hào)的管理 用戶帳號(hào)的添加、修改及刪除控