中国电信内控实施细则XXXX版中册.docx
- 文档编号:28364722
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:96
- 大小:73.16KB
中国电信内控实施细则XXXX版中册.docx
《中国电信内控实施细则XXXX版中册.docx》由会员分享,可在线阅读,更多相关《中国电信内控实施细则XXXX版中册.docx(96页珍藏版)》请在冰豆网上搜索。
中国电信内控实施细则XXXX版中册
中国电信股份有限公司xxxx分公司
内部控制实施细则手册
中册
(2010年修订)
目录(中册)
1.对程序和数据的访问
1.1交换类系统
一、业务流程范围
1、所涉及的业务范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。
2、所涉及的部门范围
前后端相关部门,包括运行维护、计费结算、市场等领域。
二、所涉及的计算机系统
负责生成话单的网络运营支持系统(交换机类),包含但不限于交换机、NGN、网关、关口局;以及其他对财务报表的准确性有直接影响的交换类设备,包含但不限于HLR,SHLR等。
三、目标
1、对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。
2、对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的XX的访问所带来的风险。
3、建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。
4、确保定期对系统中用户的访问权限进行审阅,以减少XX或不适当的对系统或数据进行访问而带来的风险。
5、确保在关键流程中存在适当的职权分离。
四、风险
1、公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。
2、缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源XX的访问,非法修改系统数据。
3、对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据XX或不适当访问。
4、对系统或数据非法和不适当的访问不能被及时发现。
5、系统的权限分配与业务部门授权确定的职责分工要求不符。
五、相关会计科目
收入类科目。
六、流程概述
1、信息安全管理
股份公司按照工业与信息化部或股份公司的相关规定和标准,严格确保交换类设备的安全,进行定期检查并保留书面的检查记录。
2、用户账号的管理
2.1超级用户账号的管理
交换类系统的管理员账号的使用仅限于经严格认证的授权人员。
管理员账号的授权经运行维护部门及相关各级主管人员的审批。
授权审批文档集中归档。
对管理员账号在交换类系统的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。
在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式通知运行维护部门,按照交换类系统管理员账号的管理流程,由系统管理员更新或删除其相应的访问权限。
2.2用户账号访问权限的定期审阅
运行维护部门主管人员半年对交换类系统的管理员账号进行审阅,以发现任何不合适的管理员访问权限。
发现的问题要及时跟进解决。
审阅结果留下记录。
运行维护部门主管人员半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。
3、信息系统的的逻辑访问和物理访问
对交换类系统管理员账号的访问采用身份验证机制,而且每个交换类系统管理员账号被授予唯一的维护管理人员。
如果由于系统限制存在管理员账号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。
按照股份公司及省公司对访问交换类系统的相关规定,对交换类系统固化相应的密码政策设置,以确保用户使用安全级别高的密码。
密码政策包括:
用户密码长度最低位数的规定,密码90天或1季度更换的规定,不得使用最近的密码。
运行维护部门管理人员每周审核交换类系统(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。
交换类系统的硬件设备必须存放在符合工业与信息化部、股份公司及省公司制定的安全标准的机房中。
所有出入口均具备电子门禁系统或门锁的保护。
人员进出机房时在机房门禁系统或机房进出登记簿中留下记录。
只有经过授权的人员可对存放有交换类系统设备的电信机房和设备进行物理访问。
对电信机房的访问授权经过各级相关部门主管人员的审批。
按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统等),以及时发现对电信机房XX的访问并进行处理。
监控系统必须留下环境监控的记录。
交换类系统必须确保与外网/公网的隔离,并通过网络安全控制手段阻止内网的不适当访问。
4、职责分工
按照相关的规定,对维护交换类系统的计费相关设备的维护管理员,特别是具有访问管理终端权限的维护管理员,必须遵循严格的职责分工。
按照相关的规定,实行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于有最高安全权限的管理员。
七、信息技术控制点
信息技术控制点
手工/自动
主要控制点的相关文档
监督检查方法
1、信息安全管理
A.1.1.1股份公司按照工业与信息化部或股份公司的相关规定和标准,严格确保交换类设备的安全,进行定期检查并保留书面的检查记录。
手工
交换类系统的检查文档
检查相关的文件。
2、用户账号的管理
2.1超级用户账号的管理
A.1.2.1交换类系统的管理员账号的使用仅限于经严格认证的授权人员。
管理员账号的授权经运行维护部门及相关各级主管人员的审批。
授权审批文档集中归档。
手工/自动
交换类系统管理员账号清单
系统管理员账号申请表
检查交换类系统管理员账号清单,检查交换类系统管理员账号的审批文件。
A.1.2.2对管理员账号在交换类系统的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。
手工
系统操作日志的审阅记录
检查审阅书面记录。
A.1.2.3在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式通知运行维护部门,按照交换类系统管理员账号的管理流程,由系统管理员更新或删除其相应的访问权限。
手工/自动
员工工作调动/离职通知单
抽查人员变更通知,检查离职人员的账号是否已完全删除。
检查管理员用户离职时的密码修改记录。
2.2用户账号访问权限的定期审阅
A.1.2.4运行维护部门主管人员每半年对交换类系统的管理员账号进行审阅,以发现任何不合适的管理员访问权限。
发现的问题要及时跟进解决。
审阅结果留下记录。
手工
系统账号/权限定期审阅文档
检查审阅书面记录。
A.1.2.5运行维护部门主管人员每半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。
手工
机房访问权限清单及其审阅文档
检查审阅书面记录。
3、信息系统的的逻辑访问和物理访问
A.1.3.1对交换类系统管理员账号的访问采用身份验证机制,而且每个交换类系统管理员账号被授予唯一的维护管理人员。
如果由于系统限制存在管理员账号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。
手工
系统登录截屏
管理员用户离职时的密码修改记录
观察系统登陆过程。
A.1.3.2按照股份公司及省公司对访问交换类系统的相关规定,对交换类系统固化相应的密码政策设置,以确保用户使用安全级别高的密码。
密码政策包括:
•用户密码长度不得低于8位
•密码应至少一季度或90天进行更新
•不得使用最近的密码。
手工
系统密码配置截屏或者使用密码登录的测试截屏
检查交换类系统的密码设置。
A.1.3.3运行维护部门管理人员每周审核交换类系统(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。
手工
系统安全日志和审阅文档
检查管理人员对安全日志检查的书面记录。
A.1.3.4交换类系统的硬件设备必须存放在符合工业与信息化部、股份公司及省公司制定的安全标准的机房中。
所有出入口均具备电子门禁系统或门锁的保护。
人员进出机房会在机房门禁系统或机房进出登记记录中留下记录。
手工
机房进出日志和审阅文档
观察机房安全措施、检查人员进出机房的记录。
A.1.3.5只有经过授权的人员可对存放有交换类系统设备的电信机房和设备进行物理访问。
对电信机房的访问授权经过各级相关部门主管人员的审批。
手工/自动
机房访问权限申请表
机房进出登记表
检查机房访问清单和机房访问授权单。
A.1.3.6按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统等),以及时发现对电信机房的XX的访问并进行处理。
监控系统必须留下环境监控的记录。
手工
机房环境监控记录
检查环境监控记录。
A.1.3.7交换类系统必须确保与外网/公网的隔离,并通过网络安全控制手段阻止内网的不适当访问。
手工
交换类系统网络拓扑图
检查网络拓扑图。
4、职责分工
A.1.4.1按照相关的规定,对维护交换类系统的计费相关设备的维护管理员,特别是具有访问管理终端的权限的维护管理员,必须遵循严格的职责分工。
按照相关的规定,实行多级的管理权限划分,对于通话记录(CDR)数据的访问仅限于经授权人员。
手工
系统权限分配审批表
检查权限分配名单。
八、相关制度和备查文件
1、少人无人值守机房管理要求(试行)
2、中国电信[2006]221号《关于尽快落实IT内控所涉及部分紧急事项的通知》
3、中国电信股份[2007]114号《关于进一步明确IT内控有关要求的通知》
4、中国电信信息〔2008〕44号《关于在C网承接及全业务运营中进一步加强IT内控相关工作的通知》
1.2智能网和业务平台
一、业务流程范围
1、所涉及的业务范围
逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。
2、所涉及的部门范围
前后端相关部门,包括运行维护、计费结算、市场等领域。
二、所涉及的计算机系统
具有计费或账务功能的非MBOSS系统,包含但不限于智能网、增值业务平台、卡平台等。
增值业务平台包含但不限于短信平台、彩信平台、彩铃平台、WAP平台、ISMP平台、上网卡平台等。
xxxx包括的平台有B.1200、201/B.2统一预付费/B.3彩信中心、短信中心及网关(计费采集点)/B.4IVPN平台/B.5彩铃网关及平台(计费采集点)/B.6WAP平台/B.7AAA平台/B.8综合业务管理平台ISMP/B.9全国数字音乐平台。
三、目标
1、对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到信息安全的重要性。
2、对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据XX的访问所带来的风险。
3、建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。
4、确保定期对系统中用户的访问权限进行审阅,以减少XX或不适当的对系统或数据进行访问而带来的风险。
5、确保在关键流程中存在适当的职权分离。
四、风险
1、公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。
2、缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源XX的访问,非法修改系统数据。
3、对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据XX或不适当访问。
4、对系统或数据非法和不适当的访问不能被及时发现。
5、系统的权限分配与业务部门授权确定的职责分工要求不符。
五、相关会计科目
收入类科目。
六、流程概述
1、信息安全管理
股份公司及省公司在组织中建立了信息安全职能,并制定相应的组织结构图及部门、人员职责描述文档。
股份公司及省公司制定了正式并经过管理层批准的信息安全政策,范围包括所有与生成财务报告的程序和数据相关的信息技术环境(例如网络安全、物理安全、操作系统安全、应用程序安全等方面)。
用户和信息技术人员都应知晓本公司的信息安全政策。
2、用户帐号的管理
2.1用户帐号的添加、修改及删除控制
公司建立了用户及其权限设置的管理流程,对智能网和业务平台的用户创建和授权必须通过系统使用部门和系统维护部门审批后,方可由系统管理员在系统中创建用户帐号,以避免XX帐号及权限的创建或修改。
如果IT服务供应商需要在系统中创建账号,则需签署保密协议或保密条款,并且在经过IT服务供应商管理部门和系统维护部门审批后,方可由系统管理员在系统中创建用户帐号,以避免XX帐号及权限的创建或修改。
在员工以及IT服务供应商人员工作调动或离职等工作职能发生变化时,由人力资源部门或用户部门或IT服务供应商管理部门及时正式通知系统维护部门,由系统管理员更新或删除其相应的访问权限。
2.2超级用户帐号的管理
以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员,用户帐号的授权须经系统维护部门主管人员或相关业务部门主管人员的授权审批:
●操作系统的超级用户帐号、(比如root用户,系统管理员,安全管理员帐号,批处理用户帐号)。
●帐号数据库的超级用户帐号(比如数据库管理员)。
●帐号智能网和业务平台的特权功能用户帐号(例如具有增加/变更/删除用户等权限)。
IT服务供应商不得具有超级用户帐号。
智能网和业务平台的管理帐号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。
2.3用户帐号访问权限的定期审阅
业务部门、系统维护部门和IT服务供应商管理部门对智能网和业务平台的用户账号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限。
发现的问题要及时跟进解决。
审阅结果留下记录。
系统维护部门主管人员每半年对机房访问权限清单进行审阅,如果发现存在不适当用户及时通知机房管理人员取消相应用户的授权。
3、信息系统的逻辑访问和物理访问
在智能网和业务平台中采用用户身份的验证机制,对智能网和业务平台的访问必须使用用户名和密码或者其他身份验证机制(例如USBKEY),而且每个用户帐号被授予唯一的用户。
系统维护部门对访问智能网和业务平台(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。
密码政策应包括:
用户密码长度最低位数的规定,密码至少一季度或90天更换的规定,不得使用最近的密码。
对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。
独立于系统管理员的日志管理员负责每周检查智能网和业务平台应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象应及时跟进或上报。
安装智能网和业务平台应用程序、操作系统和数据库的硬件设备存放在安全的机房中。
所有出入口均具备电子门禁系统或门锁的保护。
只有经授权的人员可对存放智能网和业务平台设备的计算机机房和设备进行物理访问。
对机房的访问授权须经系统维护部门主管审批。
非授权人员出入机房必须由机房工作人员陪同。
人员进出机房会在机房门禁系统或机房进出日志中留下记录。
4、职责分工
在智能网和业务平台中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据业务部门或相关管理部门对用户角色权限的审批结果进行设定。
公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。
不相容职责包括但不限于:
操作系统管理员/数据库管理员和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员。
业务部门每半年检查智能网和业务平台的用户角色或用户组的权限设定,确保合理的职责分工。
如发现权限分配的问题,应及时跟进解决。
七、信息技术控制点
信息技术控制点
手工/自动
主要控制点的相关文档
监督检查方法
11、信息安全管理
B.1.1.1股份公司及省公司在组织中建立了信息安全职能,具有信息安全管理的工作职责。
手工
组织结构图及部门、人员职责描述文档
检查组织结构图及部门、人员职责描述文档。
B.1.1.2股份公司及省公司制定了正式并经过管理层批准的信息安全政策,为信息技术环境,包括应用程序、数据库和信息技术基础设施的信息安全提供指南。
用户和信息技术人员都应知晓本公司的信息安全政策。
手工
信息安全政策
检查信息安全政策,访谈用户是否知晓本公司的信息安全政策。
2、2、用户帐号的管理
1、2.1用户帐号的添加、修改及删除控制
B.1.2.1省公司或地市分公司建立了用户及其权限设置的管理流程,对系统的用户创建和授权必须通过系统使用部门和系统维护部门审批后,方可由相关的系统管理员在系统中创建用户帐号。
如果IT服务供应商需要在系统中创建普通账号,则需签署保密协议或保密条款,并且在经过IT服务供应商管理部门和系统维护部门审批后,方可由系统管理员在系统中创建用户帐号,以避免XX帐号及权限的创建或修改。
手工/自动
用户(组)创建及系统访问权限申请表
保密协议或保密条款
检查用户及其权限设置的管理流程,抽查用户创建和授权的审批文件。
B.1.2.2在员工以及IT服务供应商人员工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式通知系统维护部门,由系统管理员更新或删除其相应的访问权限。
手工/自动
员工工作调动/离职通知单
抽查人员访问权限的删除通知,检查离职用户帐号是否已完全删除。
2.2.2超级用户帐号的管理
B.1.2.3系统的操作系统管理帐号仅限于经授权的系统管理员,其帐号须经系统维护部门主管的授权审批。
手工/自动
系统管理员(操作系统)账号申请表
检查系统管理帐号清单,检查系统管理员帐号的审批文件。
B.1.2.4系统数据库的管理帐号仅限于经授权的数据库管理员,其帐号须经系统维护部门主管的授权审批。
手工/自动
系统管理员(数据库)账号申请表
检查数据库管理帐号清单,检查数据库管理员帐号的审批文件。
B.1.2.5系统的特权用户(例如具有增加/变更/删除用户等权限)仅限于经授权的系统管理人员,其帐号须经系统维护部门主管或相关业务部门主管的授权审批。
手工/自动
系统特权用户账号申请表
检查特权用户管理帐号清单,检查特权用户管理员帐号的审批文件。
B1.2.6IT服务供应商不得具有超级用户帐号。
如由于紧急故障,必须要给厂家开超级用户帐号,则必须遵循更为严格的审批程序(必须获得业务部门、系统维护部门主管及维护单位分管领导的审批),且必须由系统维护人员陪同监督,在维护完成之后立刻收回相应的帐号权限,并保留相应的记录。
手工/自动
超级用户清单
检查系统(包括操作系统、数据库和应用系统)的超级用户清单。
B.1.2.7系统的管理帐号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访问。
手工
管理员用户离职时的密码修改记录
检查管理员用户离职时的密码修改记录。
2.2.3用户帐号访问权限的定期审阅
B.1.2.8系统维护部门导出用户账号,由业务部门、系统维护部门、IT供应商管理部门对系统的用户帐号和用户访问权限进行每半年审阅,以发现任何不合适的系统访问权限,并及时跟进解决。
手工
系统账号/权限定期审阅文档
检查审阅记录。
B.1.2.9系统维护部门主管人员每半年对机房访问权限清单进行审阅,若发现存在不合适的用户,及时通知机房管理人员取消其相应的授权。
手工
机房访问权限清单及其审阅文档
检查审阅记录。
3、信息系统的的逻辑访问和物理访问
B.1.3.1在系统中采用用户身份的验证机制,对系统的访问必须使用用户名和密码或者其他身份验证机制(例如USBKEY),而且每个用户帐号被授予唯一的用户。
手工
系统登录截屏
观察系统登陆过程。
B.1.3.2系统维护部门对访问系统(包括操作系统、数据库和应用程序层面)的用户(含超级用户)制定密码政策,并根据密码政策在系统中固化相应的设置,以避免用户使用安全级别低的密码。
密码政策具体包括:
•用户密码长度不得低于8位
•密码应至少一季度或90天进行更新
•不得使用最近的密码
对于使用密钥棒或动态密码卡的系统,需要配合使用由用户掌握的PIN码。
手工/自动
系统密码配置截屏或者使用密码登录的测试截屏
观察系统密码设置。
B.1.3.3独立于系统管理员的日志管理员负责每周检查系统应用程序、操作系统和数据库层面安全日志记录(含对于重要的数据增、删、改操作),发现异常现象及时跟进或上报。
手工
系统安全日志和审阅文档
检查系统安全日志记录和定期检查的记录。
B.1.3.4安装系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。
所有出入口均具备电子门禁系统或门锁的保护。
人员进出机房会在机房门禁系统或机房进出日志中留下记录。
手工/自动
机房进出日志和审阅文档
观察机房安全措施、检查人员进出机房的记录。
B.1.3.5只有经授权的人员可对存放系统的计算机机房和设备进行物理访问。
对机房的访问授权须经系统维护部门主管人员审批。
非授权人员出入机房必须由机房工作人员陪同。
手工/自动
机房访问权限申请表
机房进出登记表
检查机房访问清单和机房访问授权单。
4、职责分工
B.1.4.1在系统中创立新用户角色或对用户组(或用户)角色定义进行修改时,根据用户部门或相关业务部门对用户角色权限的审批结果进行设定。
公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。
手工
系统用户(组)权限分配审批表
检查用户权限审批文件,观察系统用户权限配置。
B.1.4.2业务部门和维护部门每半年检查系统的用户角色或用户组的权限设定,确保合理的职责分工。
发现问题及时跟进解决。
手工
职责分工定期检查记录
检查职责分工的检查记录。
八、相关制度和备查文件
1、少人无人值守机房管理要求(试行)
2、中国电信[2006]221号《关于尽快落实IT内控所涉及部分紧急事项的通知》
3、中国电信股份[2007]114号《关于进一步明确IT内控有关要求的通知》
4、中国电信信息〔2008〕44号《关于在C网承接及全业务运营中进一步加强IT内控相关工作的通知》
1.3MBOSS-A类系统
一、业务流程范围
1、所涉及的业务范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。
2、所涉及的部门范围
所有前后端部门。
二、所涉及的计算机系统
对财务报告有重要影响的业务支持系统、管理支持系统和运营支持系统,包含但不限于计费账务系统、营业受理系统、结算系统(运营商结算、SP结算、内部结算)、采集平台、充值平台、财务管理专业系统(包括财务基础核算系统、财务辅助管理系统、财务报表系统(网络版久其报表系统)、全面预算管理系统等)、其他执行流程中控制点的系统(人力资源管理系统、计划建设管理系统、物资管理系统等)、专业公司所使用的业务系统和财务系统。
但本类不包括在流程中仅用来固化审批环节而不涉及其他控制点的审批系统(如OA系统等)。
xxxx系统包括C.1MSS系统(包括SAP、久其报表系统、资金管控系统、费用预算管控系统)/C.2营业受理系统(包括省市IBSS\CRM系统、网上营业厅(含掌厅、短信营业厅))/C.3计费帐务系统(包括省市计费账务系统(含本地收入回现)、综合计费结算系统(网间结算、数据业务、IP长途、PHS短信与SP结算业务、指定电话付费业务、预付费、全国智能网、彩铃、好易付、灵通200、11808IP、付费易、200、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国电信 内控 实施细则 XXXX 中册