11.5基础设施 IT 一般性控制内部控制矩阵2008年C 11.5-111.5 基础设施 IT 一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1 存在和发生 /真实性; 2 完整性; 3 权利与义务;4 估价或分摊; 5 表达和披露;6 准确性1234561.网络管理1.1 网络基础管理1.1 2.1 2.2 经营风险: 网络管理制度不健全,导致网络管理存在漏洞。合规风险: 信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。1.1.1 总部和分 (子) 公司依据 《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。信息系统管理部分(子)公司5 网络管理办法2.10.5 1.1 经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。1.1.2 各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员、安全管理员,由信息管理部门负责人审批。信息系统管理部分(子)公司安全管理员网络管理员3 网络管理员、 安全管理员授权文档2.10.5 1.1 经营风险: 未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。1.1.3 各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、 IP 地址分配表以及网络设备配置文件等,由专人负责整理和保存。信息系统管理部分(子)公司4 IP 地址分配表网络拓扑图网络设备配置记录表2.10.5 1.1 经营风险: 网络设备密码设置强度不够或更改不及时, 造成公司内部网络被非授权访问和攻击。1.2 网络设备登录设置合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。信息系统管理部分(子)公司安全管理员网络管理员5 密码变更记录2.10.5 1.3 网络互联安全管理1.1 经营风险: 网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。1.3.1 总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的...
