第一章信息系统管理第一节信息安全一
业务目标•建立有效的安全政策或安全标准,以用于为已有的和新实施或变更后的应用系统、网络和操作系统用户提供信息安全指引
•在变更管理过程中对于程序及系统安全性的配置得到适当管理,以防止对程序及数据进行未经授权的修改,从而导致财务信息被不完整、不准确或无效地处理或记录
•系统安全被适当地实施、管理及记录,以防止对程序及数据进行未经授权的访问或修改,从而导致财务信息被不完整、不准确或无效地处理或记录
业务风险•缺乏安全标准,致使安全机制没有适当或有效的实施
•用户在未经授权的情况下获得了可以直接修改系统或数据的权限,从而导致计算机环境生成的信息不完整或不正确
•用户被授予不恰当的权限,致使其可以随意创建,修改和删除业务交易或数据计算结果,从而导致计算机环境生成的信息不完整或不正确
•管理层未建立有效机制来复核系统中用户的授权情况和操作记录,不能够及时发现非授权行为所带来的系统配置修改或业务交易操作
业务范围该子流程主要描述黄冈晨鸣浆纸有限公司(以下简称“黄冈晨鸣”)信息安全管理的相关业务流程
在该子流程中,具体阐述了公司信息安全制度建设、用户授权审批和定期复核、信息安全技术的使用和信息安全情况监督复核等内容
业务流程描述1
信息安全策略和制度规范1
1 根据集团制订的《信息安全管理制度》,其中包括负责安全管理的责任人及主要职责,安全管理流程(例如:用户认证管理、密码设置、防病黄冈晨鸣浆纸有限公司内部控制手册1毒安全管理、物理安全管理等),安全管理规范文档,信息系统安全保密和泄密责任追究等内容
密码策略实施情况2
1 根据集团制订的《网络信息管理制度》其中要求用户妥善保管自己的账号和密码,并规定了 BPM 系统用户密码策略(长度不少于 8 位、数字加字母组合)
2 信息科通过系统强制设置规范各应用系统用户的密码策略
