【正文】 2 缺乏必要的物理訪問及邏輯訪問管理機制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。五、 相關(guān)會計科目收入類科目。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對計費帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。 超級用戶帳號的管理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護部門主管人員的書面審批。 用戶帳號訪問權(quán)限的定期審閱系統(tǒng)主管人員或業(yè)務(wù)部門對計費賬務(wù)系統(tǒng)的用戶賬號和用戶訪問權(quán)限進行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進解決。3 信息系統(tǒng)的邏輯訪問和物理訪問在計費賬務(wù)系統(tǒng)中采用用戶身份的驗證機制，對計費賬務(wù)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。系統(tǒng)管理員負責每周檢查計費賬務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作）。安裝計費帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機房中。只有經(jīng)授權(quán)的人員可對存放計費帳務(wù)系統(tǒng)的計算機機房和設(shè)備進行物理訪問。非授權(quán)人員出入機房必須由機房工作人員陪同。4 職責分工在計費帳務(wù)系統(tǒng)中創(chuàng)立新用戶角色或?qū)τ脩艚M(或用戶)角色定義進行修改時，根據(jù)用戶部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進行設(shè)定。內(nèi)審或者用戶部門定每半年檢查計費帳務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定,確保合理的職責分工, 如發(fā)現(xiàn)問題，應(yīng)及時跟進解決。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制，對計費帳務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。，及時由人力資源部門或用戶部門正式書面通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 超級用戶帳號的管理，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權(quán)審批。，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權(quán)審批。（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)管理人員或業(yè)務(wù)人員，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權(quán)審批。 計費賬務(wù)系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。 系統(tǒng)主管人員或業(yè)務(wù)部門對計費賬務(wù)系統(tǒng)的用戶賬號和用戶訪問權(quán)限進行每季度的定期審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進解決。 系統(tǒng)維護部門主管人員每半年對機房訪問權(quán)限清單進行審閱，若發(fā)現(xiàn)存在不合適的用戶，及時通知機房管理人員取消其相應(yīng)的授權(quán)。3 信息系統(tǒng)的的邏輯訪問和物理訪問，對計費賬務(wù)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。 系統(tǒng)維護部門對訪問計費賬務(wù)系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩?含超級用戶）制定密碼政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。觀察系統(tǒng)密碼設(shè)置。發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。 安裝計費帳務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機房中。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。檢查人員進出機房的記錄。對機房的訪問授權(quán)需經(jīng)系統(tǒng)維護部門主管人員審批。檢查機房訪問清單和機房訪問授權(quán)單。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。 內(nèi)審或者用戶部門每半年檢查計費帳務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責分工。檢查職責分工的檢查記錄。2 所涉及的部門范圍信息技術(shù)部門、客戶服務(wù)部門、運行維護部門。三、 目標1 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到信息安全的重要性。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準確性和及時性。5 確保在關(guān)鍵流程中存在適當?shù)穆殭?quán)分離。2 缺乏必要的物理訪問及邏輯訪問管理機制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。五、 相關(guān)會計科目收入和費用類科目。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對客戶服務(wù)系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過業(yè)務(wù)部門主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。 超級用戶帳號的管理以下各超級用戶帳號/特權(quán)功能用戶帳號的使用僅限于經(jīng)授權(quán)人員：以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護部門主管人員或系統(tǒng)主管人員的書面審批。 用戶帳號訪問權(quán)限的定期審閱用戶部門主管人員或業(yè)務(wù)部門對客戶服務(wù)系統(tǒng)的用戶帳號和用戶訪問權(quán)限進行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限帳號。審閱結(jié)果留下書面記錄。3 信息系統(tǒng)的邏輯訪問和物理訪問在客戶服務(wù)系統(tǒng)中采用用戶身份的驗證機制，對客戶服務(wù)系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶賬號被授予唯一的用戶。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。系統(tǒng)管理員負責每周檢查客戶服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。對機房的訪問授權(quán)需經(jīng)系統(tǒng)維護部門主管人員書面審批。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。七、信息技術(shù)控制點信息技術(shù)控制點監(jiān)督檢查方法1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。檢查用戶及其權(quán)限設(shè)置的管理流程, 抽查用戶創(chuàng)建和授權(quán)的審批文件。抽查人員變更書面通知，檢查離職用戶是否已完全刪除。檢查系統(tǒng)管理帳號清單，檢查系統(tǒng)管理員帳號的審批文件。檢查數(shù)據(jù)庫管理帳號清單，檢查數(shù)據(jù)庫管理員帳號的審批文件。檢查特權(quán)用戶管理帳號清單，檢查特權(quán)用戶管理員帳號的審批文件。檢查管理員用戶離職時的密碼修改記錄。檢查審閱書面記錄。檢查審閱書面記錄。觀察系統(tǒng)登陸過程。密碼政策具體包括: ?用戶密碼長度不得低于6位 ?密碼應(yīng)至少每90天進行更新?不得使用最近的密碼對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要配合使用由用戶掌握的PIN碼。、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異?，F(xiàn)象及時跟進或上報。 安裝客戶服務(wù)系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫的硬件設(shè)備存放在安全的機房中。人員進出機房會在機房門禁系統(tǒng)或機房進出日志中留下記錄。檢查人員進出機房的記錄。對機房的訪問授權(quán)需經(jīng)系統(tǒng)維護部門主管人員審批。檢查機房訪問清單和機房訪問授權(quán)單。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。 內(nèi)審或者用戶部門每半年檢查客戶服務(wù)系統(tǒng)的用戶角色或用戶組的權(quán)限設(shè)定, 確保合理的職責分工。檢查職責分工的檢查記錄。2 所涉及的部門范圍 財務(wù)部門、資產(chǎn)管理部門、信息技術(shù)部門。三、 目標1 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到信息安全的重要性。3 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準確性和及時性。5 確保在關(guān)鍵流程中存在適當?shù)穆殭?quán)分離。2 缺乏必要的物理訪問及邏輯訪問管理機制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。4 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。五、 相關(guān)會計科目所有的會計科目六、 流程概述1 信息安全管理參見網(wǎng)絡(luò)基礎(chǔ)設(shè)施中本章節(jié)。在員工工作調(diào)動或離職等工作職能發(fā)生變化時，由人力資源部門或用戶部門及時正式書面通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 操作系統(tǒng)的超級用戶帳號(比如root用戶，系統(tǒng)管理員，安全管理員帳號，批處理用戶帳號)。 數(shù)據(jù)庫的超級用戶帳號（比如數(shù)據(jù)庫管理員）。 財務(wù)管理系統(tǒng)的管理員用戶帳號（例如具有增加/變更/刪除用戶等權(quán)限）。財務(wù)管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。發(fā)現(xiàn)的問題要及時跟進解決。3 信息系統(tǒng)的邏輯訪問和物理訪問在財務(wù)管理系統(tǒng)中采用用戶身份的驗證機制，對財務(wù)管理系統(tǒng)的訪問使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼，密碼多次嘗試失敗后應(yīng)暫停該帳號登錄。系統(tǒng)維護人員負責每周檢查財務(wù)管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異常現(xiàn)象及時跟進或上報。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。對機房的訪問授權(quán)須經(jīng)系統(tǒng)維護部門主管人員書面審批。人員進出機房會在機房門禁系統(tǒng)或機房日志中留下記錄。公司通過不同工作崗位對于系統(tǒng)資源訪問的限制來達到不相容職責分工的目的。如發(fā)現(xiàn)權(quán)限分配的問題，應(yīng)及時跟進解決。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制 省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對財務(wù)管理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過財務(wù)部門主管審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號。 在員工工作調(diào)動或離職等工作職能發(fā)生變化時，及時由人力資源部門或用戶部門正式以書面方式通知系統(tǒng)維護部門，由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。 超級用戶帳號的管理，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權(quán)審批。，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權(quán)審批。（例如具有增加/變更/刪除用戶等權(quán)限）僅限于經(jīng)授權(quán)的系統(tǒng)管理人員，其帳號須經(jīng)系統(tǒng)維護部門主管人員的書面授權(quán)審批。 財務(wù)管理系統(tǒng)的管理賬號（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┤绻捎谙到y(tǒng)限制存在共享，其密碼在其中任一管理員離職時需及時更改，以防止非法訪問。，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限，并及時跟進解決。，若發(fā)現(xiàn)存在不合適的用戶, 及時通知機房管理人員取消其相應(yīng)的授權(quán)。3 信息系統(tǒng)的的邏輯訪問和物理訪問 在財務(wù)管理系統(tǒng)中采用用戶身份的驗證機制，對財務(wù)管理系統(tǒng)的訪問使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。 系統(tǒng)維護部門對訪問財務(wù)管理系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)用妫┑挠脩簦ê売脩簦┲贫艽a政策，并根據(jù)密碼政策在系統(tǒng)中固化相應(yīng)的設(shè)置，以避免用戶使用安全級別低的密碼。觀察系統(tǒng)密碼設(shè)置。
檢查系統(tǒng)安全日志記錄和定期檢查的記錄。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。觀察機房安全措施。非授權(quán)人員出入機房必須由機房工作人員陪同。4 職責分工(或用戶)角色定義進行修改時，根據(jù)財務(wù)部門或相關(guān)管理部門對用戶角色權(quán)限的審批結(jié)果進行設(shè)定。檢查用戶權(quán)限審批文件，觀察系統(tǒng)用戶權(quán)限配置。發(fā)現(xiàn)問題及時跟進解決。八、主要控制點的相關(guān)文件1 用戶（組）創(chuàng)建及系統(tǒng)訪問權(quán)限申請表2 員工工作調(diào)動/離職通知單3 系統(tǒng)管理員（操作系統(tǒng)/數(shù)據(jù)庫）帳號申請表4 系統(tǒng)特權(quán)用戶帳號申請表5 系統(tǒng)帳號/權(quán)限檢查表6 機房訪問權(quán)限檢查表7 系統(tǒng)安全日志檢查表8 機房進出登記簿9 機房訪問權(quán)限申請表10 系統(tǒng)用戶（組）權(quán)限分配審閱報告11 職責分工檢查報告九、相關(guān)制度和備查文件1 少人無人值守機房管理要求（試行） 計劃建設(shè)管理系統(tǒng)一、 業(yè)務(wù)流程范圍1 所涉及的業(yè)務(wù)范圍邏輯安全和物理安全、用戶帳號的添加、修改及刪除控制、用戶帳號的定期審閱、職責分工控制。二、 所涉及的計算機系統(tǒng)物流管理系統(tǒng)。2 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權(quán)的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風險。 4 確保定期對系統(tǒng)中用戶的訪問權(quán)限進行審閱，以減少未經(jīng)授權(quán)或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風險。四、 風險1 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。3 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工帳號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當訪問。5 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責分工要求不符。2 用戶帳號的管理 用戶帳號的添加、修改及刪除控制省公司建立了用戶及其權(quán)限設(shè)置的管理流程，對計劃建設(shè)管理系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過計劃建設(shè)部門主管人員審批后，方可由相關(guān)的系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號，以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建。 超級用戶帳號的管理以下各超級用戶帳號/管理帳號/重要用戶帳號的使用僅限于經(jīng)授權(quán)人員：以上用戶帳號的授權(quán)須經(jīng)系統(tǒng)維護部門主管人員、計劃建設(shè)部門主管人員或相關(guān)主管人員的書面審批。 用戶帳號訪問權(quán)限的定期審閱系統(tǒng)維護部門主管人員或計劃建設(shè)部門對系統(tǒng)的用戶帳號和用戶訪問權(quán)限進行每半年審閱，以發(fā)現(xiàn)任何不合適的系統(tǒng)訪問權(quán)限。審閱結(jié)果留下書面記錄。3 信息系統(tǒng)的邏輯訪問和物理訪問在計劃建設(shè)管理系統(tǒng)中采用用戶身份的驗證機制，對計劃建設(shè)管理系統(tǒng)的訪問必須使用用戶名和密碼，而且每個用戶帳號被授予唯一的用戶。密碼政策應(yīng)包括:用戶密碼長度最低位數(shù)的規(guī)定，密碼定期更換的規(guī)定，不得使用最近的密碼。系統(tǒng)管理員負責每周檢查計劃建設(shè)管理系統(tǒng)應(yīng)用程序、操作系統(tǒng)和數(shù)據(jù)庫層面安全日志記錄（含對于重要的數(shù)據(jù)增、刪、改操作），發(fā)現(xiàn)異常現(xiàn)象應(yīng)及時跟進或上報。所有出入口均具備電子門禁系統(tǒng)或門鎖的保護。對機房的訪問授權(quán)須經(jīng)系統(tǒng)維護部門主管人員書