信息资源管理业务内部控制矩阵VIP免费

第1页共4页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共4页11.4应用系统IT一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露；6准确性1234561.程序和数据访问1.12.32.4经营风险：程序和数据访问制度不健全，导致信息系统应用管理不规范、运维不及时。1.1总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》），及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。总部各部门分(子)公司5程序和数据访问管理制度1.10.32.6.42.14.201.2用户权限管理1.11.2经营风险：用户权限管理不规范，导致对系统的非法或非授权访问。1.2．1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。总部各部门分(子)公司3用户权限审批表1.11.2经营风险：数据库用户权限管理不规范，导致对系统的非法或非授权访问。1.2.2对于数据库用户权限，相关人员填写用户权限审批表，经相关部门负责人审批后，由系统管理员在数据库中新增、变更或锁定用户权限。总部各部门分(子)公司3用户权限审批表1.3用户帐号及访问管理1.12.1经营风险：系统登录控制功能不健全，导致对系统的非法或非授权访问。1.3.1操作人员访问应用系统时，必须输入用户帐号和密码。总部各部门分(子)公司2用户登录截屏1.11.2经营风险：账户共享，导致责任不清；系统账户审核清理不及时，导致对系统的非法或非授权访问。1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。应用管理员至少每半年打印一次用户帐号权限清单，并由相关部门负责人审核。总部各部门分(子)公司3用户帐号清单1.4密码管理1.1经营风险：密码设置强度不够或更改不及时，造成系统泄密或受到非法访问1.4.1操作人员应按照密码管理相关规定，遵循系统密码的长度至少为6位，复杂度为数字与字符的组合，三个月更改一次密码等密码规则设置密码，不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。总部各部门分(子)公司3密码更换检查记录1.1经营风险：系统、应用管理员密码设置强度不够或更改不及时，造成系统泄密或受到非法访问1.4.2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次，安全管理员对定期更换记录进行检查。总部各部门分(子)公司系统管理员应用管理员安全管理员3管理员更换密码记录1.5系统管理员、应用管理员、安全管理员管理1.11.2经营风险：系统、应用管理员岗位设置不合理、授权不规范，导致对系统的非法或非授权访问。1.5.1系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则，且不得拥有应用系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况进行审查。总部各部门分(子)公司系统管理员应用管理员安全管理员4信息系统岗位授权文档；在职情况审查记录1.1经营风险：安全管理员监督不到1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检总部各部门系统管理员3操作日志或记第2页共4页第1页共4页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共4页业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露；6准确性1234561.2位，系统安全收到威胁。查，提出审核意见，并报...