【正文】 部門對邊界網(wǎng)絡(luò)出口進行登記，并報股份公司信息管理部審批。 34 中石油信息系統(tǒng)總體控制 （信息安全） 序號 控制目標描述 內(nèi)部控制點描述 控制頻率 預(yù)防型/發(fā)現(xiàn)型 控制實施證據(jù) GIT 能夠在合理的范圍內(nèi)確保對企業(yè)內(nèi)部網(wǎng)絡(luò)的外部 Inter接入點采取了足夠的安全保障措施，以防止未經(jīng)授權(quán)的外部人員接觸公司信息系統(tǒng)與資源。 每年 預(yù)防型 《 操作系統(tǒng)安全配置檢查表 》 GIT 信息安全管理負責人在操作系統(tǒng)管理員協(xié)助下，每年審核Unix服務(wù)器操作系統(tǒng)設(shè)置是否符合標準配置方案。 按需 預(yù)防型 初始口令無法登錄拷屏 GIT 能夠在合理的范圍內(nèi)確保企業(yè)操作系統(tǒng)有適當?shù)陌踩渲靡员ＷC公司信息系統(tǒng)與資源的安全。 每季 發(fā)現(xiàn)型 《 用戶賬號及權(quán)限檢查表 》 33 中石油信息系統(tǒng)總體控制 （信息安全） 序號 控制目標描述 內(nèi)部控制點描述 控制頻率 預(yù)防型/發(fā)現(xiàn)型 控制實施證據(jù) GIT 能夠在合理的范圍內(nèi)確保實施安全的口令標準以降低由于口令被破解而導(dǎo)致信息系統(tǒng)被非法接觸的風險。 每季 發(fā)現(xiàn)型 《 用戶賬號及權(quán)限檢查表 》 GIT 應(yīng)用系統(tǒng)負責人每三個月審核數(shù)據(jù)庫管理員和操作系統(tǒng)管理員的賬號及權(quán)限設(shè)置。 按需 預(yù)防型 《 用戶賬號及權(quán)限申請表 》 GIT 能夠在合理的范圍內(nèi)確信管理層或系統(tǒng)所有者定期審閱與財務(wù)報告有關(guān)的應(yīng)用系統(tǒng)及數(shù)據(jù)的接觸權(quán)限以確定授予權(quán)限的適當性。 按需 預(yù)防型 《 數(shù)據(jù)庫直接訪問申請表 》 32 中石油信息系統(tǒng)總體控制 （信息安全） 序號 控制目標描述 內(nèi)部控制點描述 控制頻率 預(yù)防型/發(fā)現(xiàn)型 控制實施證據(jù) GIT 能夠在合理的范圍內(nèi)確保用戶被授予的系統(tǒng)權(quán)限和他們的工作職責相符，滿足職責分離的要求。 半年 預(yù)防型 《 職責分離檢查表 》 GIT 能夠在合理的范圍內(nèi)有效防止對信息系統(tǒng)（包括數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)）的未授權(quán)邏輯接觸。 中石油信息系統(tǒng)總體控制 （信息安全） 31 中石油信息系統(tǒng)總體控制 （信息安全） 序號 控制目標描述 內(nèi)部控制點描述 控制頻率 預(yù)防型/發(fā)現(xiàn)型 控制實施證據(jù) GIT 能夠在合理的范圍內(nèi)確立信息安全管理組織及人員的安全職責，以避免信息系統(tǒng)、資源和數(shù)據(jù)受到有意或無意的危害或誤用。隨著制度層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面、數(shù)據(jù)庫層面系統(tǒng)數(shù)據(jù)的可接觸性逐步增加，以上各個層面對數(shù)據(jù)安全性的威脅程度（即：風險）也逐步增大。 信息系統(tǒng)總體控制實施辦法是信息系統(tǒng)總體控制制度體系的重要組成部分 ， 是根據(jù)信息系統(tǒng)總體控制的要求制定的 、 用于指導(dǎo)日常信息技術(shù)管理和運營的管理流程和具體要求 。財務(wù)專用 SAP主要負責自動對收集的憑證進行匯總，從而生成預(yù)制報表，等待總部 專用 SAP中取數(shù)，并最終生成對外披露的財務(wù)報表。 會計一級集中核算系統(tǒng)由 6個子系統(tǒng)（ 、 、 FMIS內(nèi)部交易平臺、 FMIS標準管理平臺、 FMIS報表管理系統(tǒng)和財務(wù)專用 SAP）以及 5個接口（ FMIS與 ERP通用憑證接口、 FA與 ERP憑證接口、內(nèi)部交易平臺與 ERP接口、 FMIS與 FA固定資產(chǎn)接口、FMIS與 FA無形資產(chǎn)接口）構(gòu)成。目前已經(jīng)建立系統(tǒng)實施規(guī)劃的有 76家地區(qū)公司，其余地區(qū)公司也將陸續(xù)進行 ERP系統(tǒng)建設(shè)，按照集團領(lǐng)導(dǎo)批示，到 “ 十一五 ” 末，基本完成建設(shè)以 ERP系統(tǒng)為核心的信息管理方案。 ERP系統(tǒng)強調(diào)業(yè)務(wù)流程的規(guī)范、統(tǒng)一及管理的標準化，對防范集團公司重大業(yè)務(wù)運營風險的有效控制的形成，提供了運行基礎(chǔ)和技術(shù)手段，并已成為集團公司信息化高水平的重要標志。另一方面采用控制測試模塊，實現(xiàn)對風險控制措施的在線檢查測試、記錄、評估、改進、報告全過程系統(tǒng)支持，強化了對風險控制的監(jiān)督檢查。 －－ 《 企業(yè)內(nèi)部控制基本規(guī)范 》 21 中國企業(yè)內(nèi)部控制規(guī)范對 GCC的要求（續(xù)） ?現(xiàn)有規(guī)章制度的執(zhí)行是否切實遵守已經(jīng)制定的規(guī)章制度 ， 是否存在違規(guī)事項； ?崗位分工 、 職責權(quán)限和授權(quán)批準是否存在財務(wù)信息系統(tǒng)不相容職務(wù)混崗的現(xiàn)象 ， 是否存在越權(quán)審批行為； ?系統(tǒng)開發(fā)時是否考慮了企業(yè)的實際情況和履行了相應(yīng)的決策程序 ， 系統(tǒng)投入使用前是否進行了充分測試 ， 測試結(jié)果是否理想測試結(jié)果是否理想 ，是否定期檢測系統(tǒng)運行情況并妥善處理潛在危險； ?操作規(guī)范和運行控制：是否存在明確的工作程序和操作規(guī)范 ， 是否存在分級操作管理權(quán)限； ?信息使用和管理控制：是否實現(xiàn)了數(shù)據(jù)共享 、 集中管理和集成應(yīng)用 ， 是否存在數(shù)據(jù)定期備份和緊急情況預(yù)案制度； －－ 《 中央企業(yè)財務(wù)內(nèi)部控制評價工作指引 》 22 內(nèi)容提要 ? 內(nèi)部控制與 COSO框架模型 ? 信息系統(tǒng)總體控制 GCC簡介 ? 中石油信息系統(tǒng)總體控制簡介 ? 中石油的信息系統(tǒng)簡介 ? 中石油信息系統(tǒng)總體控制的發(fā)展 ? 中石油信息系統(tǒng)總體控制與審計關(guān)注點 23 中石油的信息系統(tǒng)簡介 企 業(yè) 層 面（ 覆 蓋 所 有 地 區(qū) 公 司 ） ERP系統(tǒng) 總部會計一級 集中核算系統(tǒng) 加油站 管理系統(tǒng) SAPHR （人力資源系統(tǒng)） 地區(qū)公司 電子商務(wù)系統(tǒng) 股份公司信息系統(tǒng)開發(fā)整體架構(gòu)圖示 ARIS系統(tǒng)（業(yè)務(wù)流程管理信息系統(tǒng)） 地區(qū)公司 國際事業(yè) SAP系統(tǒng) 地區(qū)公司 物資信息 管理系統(tǒng) 地區(qū)公司 ICTS交易 管理系統(tǒng) 24 作為信息技術(shù)總體規(guī)劃中有關(guān)綜合管理領(lǐng)域的關(guān)鍵組成部分，該系統(tǒng)重在對集團公司內(nèi)部控制和業(yè)務(wù)流程進行全面的信息化管理。 ? 有效的信息系統(tǒng)總體控制可以確保依賴系統(tǒng)所進行的應(yīng)用控制 、 自動會計處理能夠持續(xù)有效地運行 ； 同時信息系統(tǒng)總體控制對于依賴系統(tǒng)生成信息而進行 的 手工控制也是十分重要的 。 15 信息系統(tǒng)總體控制定義及控制領(lǐng)域 信息系統(tǒng)總體控制 （ GCC） 是指用來管理與監(jiān)控信息技術(shù)活動和計算機環(huán)境的內(nèi)部控制 ， 屬于內(nèi)部控制框架五要素中 “ 控制活動 ” 的范疇 ， 通常包括以下五個領(lǐng)域： 信息系統(tǒng)總體控制 信息技術(shù)控制環(huán)境 信息安全 系統(tǒng)日常運作 變更管理 項目建設(shè)管理 ? 項目建設(shè)管理： 開發(fā)方法論、項目立項審批、項目啟動階段、項目需求分析、項目設(shè)計、系統(tǒng)開發(fā)實施、系統(tǒng)測試、數(shù)據(jù)移植、系統(tǒng)上線、項目驗收、上線后審閱、用戶培訓(xùn)、項目文檔管理等 ? 變更管理： 應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等 ? 系統(tǒng)日常運作： 機房環(huán)境控制、系統(tǒng)日常運作監(jiān)控、批處理作業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問題管理等 ? 信息安全： 信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計算機病毒防護、外部第三方信息安全管理、信息安全事件響應(yīng)等 ? 信息控制環(huán)境： 總體環(huán)境、信息與溝通、風險評估、監(jiān)控等 16 信息系統(tǒng)總體控制定義及控制領(lǐng)域（續(xù)） ? 公司業(yè)務(wù)需要完整和準確的信息支持財務(wù)報告和財務(wù)決策 ， 公司的應(yīng)用系統(tǒng)支持財務(wù)相關(guān)信息 。