11.5 基础设施 IT 一般性控制内部控制矩阵业务目标业务风险控制点1.网络管理1.1 网络基础管理1.12.12.2经营风险:网络管理制度不健全,导致网络管理存在漏洞。合规风险:信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。1.1.1 总部和分(子)公司依据《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。1.1经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。1.1.2 各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员、安全管理员,由信息管理部门负责人审批。1.1经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。1.1.3 各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP 地址分配表以及网络设备配置文件等,由专人负责整理和保存。1.1经营风险:网络设备密码设置强度不够或更改不及时,造成公司内部网络被非授权访问和攻击。1.2 网络设备登录设置合理的密码规则,密码要求长度六位以上,采纳数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。1.3 网络互联安全管理1.1经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。1.3.1 总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管理部备案。1.1经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。1.3.2 安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。1.1经营风险:安全管理员未及时对相关日志审计分析,导致内部网络被非授权访问和攻击。1.3.3 安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。1.4 终端用户接入管理1.1经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。1.4.1 用户终端接入网络需填写申请表,...
