11.5基礎(chǔ)設(shè)施IT一般性控制內(nèi)部控制矩陣

1、11.5基礎(chǔ)設(shè)設(shè)施IT一般般性控制內(nèi)部控控制矩陣業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險控制點適用單位不相容崗位控制點分值控制點相關(guān)資料料相關(guān)制度索引會計報表認(rèn)定會計報表項目1存在和發(fā)生/真實性；2完完整性；3權(quán)利與義義務(wù)；4估價或分分?jǐn)偅?表達(dá)和披披露；6準(zhǔn)確性1234561網(wǎng)絡(luò)管理1.1網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)管理1.12.12.2經(jīng)營風(fēng)險：網(wǎng)絡(luò)絡(luò)管理制度不健全，導(dǎo)致網(wǎng)絡(luò)管管理存在漏洞洞。合規(guī)風(fēng)險：信息息基礎(chǔ)設(shè)施的的使用未遵守守保護(hù)知識產(chǎn)產(chǎn)權(quán)、合同法法等有關(guān)國家家法律、法規(guī)規(guī)，股份公司司聲譽受到損損害，受到相相關(guān)部門處罰罰。1.1.1 總總部和分（子子）公司依據(jù)據(jù)中國石油油化工股份有有限公司網(wǎng)絡(luò)絡(luò)管理辦法（以以下簡稱網(wǎng)網(wǎng)絡(luò)管理

2、辦法法）及相關(guān)關(guān)管理制度和和工作流程實實施對網(wǎng)絡(luò)的的管理，包括括網(wǎng)絡(luò)運行維維護(hù)管理、網(wǎng)網(wǎng)絡(luò)互聯(lián)管理理、網(wǎng)絡(luò)設(shè)備備密碼管理、網(wǎng)網(wǎng)絡(luò)管理員管管理、遠(yuǎn)程接接入網(wǎng)絡(luò)管理理、病毒防護(hù)護(hù)管理等。信息系統(tǒng)管理部部分(子)公公司5網(wǎng)絡(luò)管理辦法2.10.51.1經(jīng)營風(fēng)險：網(wǎng)絡(luò)絡(luò)相關(guān)管理人員配備不到到位，導(dǎo)致網(wǎng)網(wǎng)絡(luò)管理存在在安全隱患。1.1.2 各各級信息管理理部門依據(jù)網(wǎng)網(wǎng)絡(luò)管理辦法法及相應(yīng)崗崗位職責(zé)，配配備網(wǎng)絡(luò)管理理員、安全管管理員，由信信息管理部門門負(fù)責(zé)人審批批。信息系統(tǒng)管理部部分(子)公公司安全管理員網(wǎng)絡(luò)管理員3網(wǎng)絡(luò)管理員、安安全管理員授授權(quán)文檔2.10.51.1經(jīng)營風(fēng)險：未編編制網(wǎng)絡(luò)運行行維護(hù)技術(shù)文文檔或

3、文檔未未妥善保管，導(dǎo)致網(wǎng)絡(luò)運行維護(hù)缺乏技術(shù)資料等重要依據(jù)。1.1.3 各各級信息管理理部門負(fù)責(zé)編編制網(wǎng)絡(luò)運行行維護(hù)的相關(guān)關(guān)技術(shù)文檔，包包括網(wǎng)絡(luò)拓?fù)鋼鋱D、IP地地址分配表以以及網(wǎng)絡(luò)設(shè)備備配置文件等等，由專人負(fù)負(fù)責(zé)整理和保保存。信息系統(tǒng)管理部部分（子）公公司4IP地址分配表表網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)設(shè)備配置記記錄表2.10.51.1經(jīng)營風(fēng)險：網(wǎng)絡(luò)絡(luò)設(shè)備密碼設(shè)設(shè)置強度不夠夠或更改不及及時，造成公公司內(nèi)部網(wǎng)絡(luò)絡(luò)被非授權(quán)訪訪問和攻擊。1.2 網(wǎng)絡(luò)設(shè)設(shè)備登錄設(shè)置置合理的密碼碼規(guī)則，密碼碼要求長度六六位以上，采采用數(shù)字和字字符組合方式式，新密碼不不得與前五次次歷史密碼相相同。網(wǎng)絡(luò)管管理員必須每每六個月修改改網(wǎng)絡(luò)設(shè)備登

4、登錄密碼，填填寫密碼更換換記錄，經(jīng)安安全管理員確確認(rèn)并在信息息管理部門備備案。信息系統(tǒng)管理部部分（子）公公司安全管理員網(wǎng)絡(luò)管理員5密碼變更記錄2.10.51.3網(wǎng)絡(luò)互聯(lián)聯(lián)安全管理1.1經(jīng)營風(fēng)險：網(wǎng)絡(luò)絡(luò)互聯(lián)接口處處未部署安全全設(shè)備，導(dǎo)致致內(nèi)部網(wǎng)絡(luò)被被非授權(quán)訪問問和攻擊。1.3.1 總總部和分（子子）公司依據(jù)據(jù)網(wǎng)絡(luò)管理理辦法相關(guān)關(guān)要求，在關(guān)關(guān)鍵網(wǎng)絡(luò)互聯(lián)聯(lián)接口處部署署安全設(shè)備，信信息管理部門門授權(quán)專人負(fù)負(fù)責(zé)安全設(shè)備備的管理，并并備有安全設(shè)設(shè)備配置文檔檔。分（子）公公司與外部網(wǎng)網(wǎng)互聯(lián)情況上上報信息系統(tǒng)統(tǒng)管理部備案案。信息系統(tǒng)管理部部分（子）公公司4安全設(shè)備配置文文檔與外部網(wǎng)互聯(lián)備備案記錄表2.10.2

5、1.1經(jīng)營風(fēng)險：安全全管理員未及及時發(fā)現(xiàn)安全全設(shè)備規(guī)則存存在的漏洞，導(dǎo)導(dǎo)致內(nèi)部網(wǎng)絡(luò)絡(luò)被非授權(quán)訪訪問和攻擊。1.3.2 安安全管理員每每季度對安全全設(shè)備的規(guī)則則進(jìn)行復(fù)核、確確認(rèn)、檢查，填填寫安全設(shè)備備配置檢查記記錄表。信息系統(tǒng)管理部部分（子）公公司4安全設(shè)備配置檢檢查記錄表2.10.21.1經(jīng)營風(fēng)險：安全全管理員未及及時對相關(guān)日志審計分析，導(dǎo)導(dǎo)致內(nèi)部網(wǎng)絡(luò)絡(luò)被非授權(quán)訪訪問和攻擊。1.3.3安全全管理員每周周對網(wǎng)絡(luò)設(shè)備備登錄日志、防防火墻日志、入入侵檢測日志志等進(jìn)行分析析審計。信息系統(tǒng)管理部部分（子）公公司4網(wǎng)絡(luò)設(shè)備登陸日日志審閱表防火墻日志審閱閱表入侵檢測日志審審閱表2.10.21.4 終端用用戶

6、接入管理理1.1經(jīng)營風(fēng)險：用戶戶未經(jīng)授權(quán)即即可接入網(wǎng)絡(luò)絡(luò)，導(dǎo)致內(nèi)部部網(wǎng)絡(luò)被非授授權(quán)訪問和攻攻擊。1.4.1 用用戶終端接入入網(wǎng)絡(luò)需填寫寫申請表，由由申請人所在在部門確認(rèn)，信信息管理部門門（責(zé)任處(科）室)負(fù)負(fù)責(zé)人批準(zhǔn)并并備案。申請請表內(nèi)容應(yīng)包包含終端接入入安全責(zé)任條條款。信息系統(tǒng)管理部部分（子）公公司3終端用戶接入申申請表2.10.51.1經(jīng)營風(fēng)險：未對對用戶登錄網(wǎng)網(wǎng)絡(luò)進(jìn)行管理理，導(dǎo)致內(nèi)部部網(wǎng)絡(luò)被非授授權(quán)訪問和攻攻擊。1.4.2建立立用戶登錄網(wǎng)網(wǎng)絡(luò)認(rèn)證機(jī)制制，避免對中中國石化內(nèi)部部網(wǎng)絡(luò)未經(jīng)授授權(quán)的訪問。信息系統(tǒng)管理部部分（子）公公司32.10.51.1經(jīng)營風(fēng)險：人事事部門未及時時提供人員離離職

7、交接表，或或信息管理部部門未及時將將離職人員網(wǎng)網(wǎng)絡(luò)接入服務(wù)務(wù)注銷，導(dǎo)致內(nèi)內(nèi)部網(wǎng)絡(luò)被非非授權(quán)訪問和和攻擊。1.4.3根據(jù)據(jù)人事部門提提供的人員離離職交接表，信信息管理部門門應(yīng)及時注銷銷該用戶的網(wǎng)網(wǎng)絡(luò)接入服務(wù)務(wù)。人事部信息系統(tǒng)管理部部分（子）公公司3離職人員交接表表2.10.51.1經(jīng)營風(fēng)險：未經(jīng)經(jīng)相關(guān)領(lǐng)導(dǎo)授授權(quán)開通遠(yuǎn)程程接入網(wǎng)絡(luò)服服務(wù)，導(dǎo)致內(nèi)內(nèi)部網(wǎng)絡(luò)被非非授權(quán)訪問和和攻擊。1.5 遠(yuǎn)程接接入網(wǎng)絡(luò)申請請人依據(jù)網(wǎng)網(wǎng)絡(luò)管理辦法法相關(guān)要求求，填寫遠(yuǎn)程程接入服務(wù)申申請表和遠(yuǎn)程程用戶接入服服務(wù)安全承諾諾書，由所在在部門負(fù)責(zé)人人確認(rèn)，信息息管理部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)人審審批并備案。信息系統(tǒng)管理部部分（

8、子）公公司申請部門 信息管理部部門3遠(yuǎn)程用戶接入服服務(wù)申請表遠(yuǎn)程用戶接入服服務(wù)安全承諾諾書2.10.51.1經(jīng)營風(fēng)險：未在在內(nèi)部網(wǎng)絡(luò)部部署防病毒系系統(tǒng)或未及時升級級，導(dǎo)致內(nèi)部部網(wǎng)絡(luò)被病毒毒侵害。1.6 依據(jù)網(wǎng)網(wǎng)絡(luò)管理辦法法相關(guān)要求求，網(wǎng)絡(luò)管理理員負(fù)責(zé)部署署防病毒系統(tǒng)統(tǒng)并及時進(jìn)行行版本和病毒毒特征庫升級級；安全管理理員每周對防防病毒系統(tǒng)日日志等進(jìn)行分分析審計。信息系統(tǒng)管理部部分（子）公公司網(wǎng)絡(luò)管理員安全管理員3防病毒系統(tǒng)日志志審閱記錄表表2.10.52.10.22.服務(wù)器管理理1.1經(jīng)營風(fēng)險：服服務(wù)器相關(guān)管管理人員配備備不到位，導(dǎo)導(dǎo)致系統(tǒng)運行行管理存在隱隱患。2.1 各級信信息管理部門門配備系統(tǒng)

9、管管理員，由信信息管理部門門（責(zé)任處(科）室)負(fù)負(fù)責(zé)人審批。信息系統(tǒng)管理部部分（子）公公司3系統(tǒng)管理員任命命材料2.10.71.1經(jīng)營風(fēng)險：未建建立服務(wù)器檔檔案，導(dǎo)致服服務(wù)器運行維維護(hù)缺乏配置置參數(shù)等重要要依據(jù)。2.2 系統(tǒng)統(tǒng)管理員須建建立服務(wù)器檔檔案，內(nèi)容包包括設(shè)備的詳詳細(xì)硬件配置置、設(shè)備唯一一性標(biāo)記和設(shè)設(shè)備用途等信信息。信息系統(tǒng)管理部部分（子）公公司4服務(wù)器檔案2.10.72.3服務(wù)器器操作系統(tǒng)管管理1.1經(jīng)營風(fēng)險：隨意意創(chuàng)建操作系系統(tǒng)用戶，導(dǎo)致系系統(tǒng)管理混亂亂，影響系統(tǒng)統(tǒng)運行，存在在安全隱患。2.3.1 操操作系統(tǒng)用戶戶須填寫操作作系統(tǒng)用戶申申請表，經(jīng)信信息管理部門門（責(zé)任處(科）室)負(fù)

10、負(fù)責(zé)人審批后后，由系統(tǒng)管管理員創(chuàng)建。信息系統(tǒng)管理部部分（子）公公司3操作系統(tǒng)用戶申申請表2.10.71.1經(jīng)營風(fēng)險：操作作系統(tǒng)用戶授授權(quán)超期未鎖鎖定或刪除，導(dǎo)導(dǎo)致信息泄密密或系統(tǒng)安全全存在隱患。2.3.2 系系統(tǒng)管理員每每半年檢查操操作系統(tǒng)用戶戶授權(quán)情況并并記錄，對超超期使用帳號號的用戶進(jìn)行行鎖定或刪除除。信息系統(tǒng)管理部部分（子）公公司3操作系統(tǒng)用戶授授權(quán)記錄2.10.71.1經(jīng)營風(fēng)險：操作作系統(tǒng)用戶密密碼設(shè)置強度度不夠或更改改不及時，造造成系統(tǒng)非授授權(quán)訪問。2.3.3 操操作系統(tǒng)用戶戶密碼要求長長度八位以上上，采用數(shù)字字和字符組合合方式，新密密碼不得與前前五次歷史密密碼相同。系系統(tǒng)管理員至至

11、少每季度修修改操作系統(tǒng)統(tǒng)用戶密碼，填填寫密碼更換換記錄、經(jīng)安安全管理員確確認(rèn)并在信息息管理部門備備案。信息系統(tǒng)管理部部分（子）公公司5密碼更換記錄2.10.72.10.21.1經(jīng)營風(fēng)險：系統(tǒng)統(tǒng)管理員對操操作系統(tǒng)運行行監(jiān)控不到位位，未能及時時發(fā)現(xiàn)隱患，安全管理員未履行檢查職責(zé)，影響系統(tǒng)穩(wěn)定運行。2.3.4 系系統(tǒng)管理員監(jiān)監(jiān)控操作系統(tǒng)統(tǒng)運行情況，每每日巡檢操作作系統(tǒng)日志，并并將巡檢情況況記錄存檔。安安全管理員每每月對系統(tǒng)巡巡檢記錄進(jìn)行行檢查，對存存在問題提出出整改意見，上上報信息管理理部門（責(zé)任任處（科）室室）負(fù)責(zé)人審審批后實施。信息系統(tǒng)管理部部分（子）公公司3操作系統(tǒng)每日巡巡檢記錄（應(yīng)應(yīng)包含安全

12、管理員檢查查記錄，以及及存在問題改改進(jìn)情況）2.10.72.10.23.機(jī)房管理1.12.2經(jīng)營風(fēng)險：機(jī)房房管理制度不不健全，導(dǎo)致致機(jī)房管理存存在漏洞。3.1 各級信信息管理部門門依據(jù)相關(guān)制制度和規(guī)范，制制定計算機(jī)機(jī)機(jī)房管理辦法法，實施對機(jī)機(jī)房的管理。管管理辦法主要要內(nèi)容包括人人員出入管理理、設(shè)備出入入管理、機(jī)房房工況管理和和備份介質(zhì)管管理等。信息系統(tǒng)管理部部分（子）公公司4機(jī)房管理辦法2.10.81.1經(jīng)營風(fēng)險：機(jī)房房出入人員管管理不嚴(yán)，導(dǎo)導(dǎo)致資源受損損或系統(tǒng)癱瘓瘓。3.2 機(jī)房應(yīng)應(yīng)設(shè)門禁系統(tǒng)統(tǒng)，或由專人人負(fù)責(zé)機(jī)房出出入管理并填填寫人員出入入登記表。信息系統(tǒng)管理部部分（子）公公司3機(jī)房人員出

13、入登登記表門卡發(fā)放記錄鑰匙領(lǐng)用記錄2.10.81.1經(jīng)營風(fēng)險：設(shè)備備隨意進(jìn)出機(jī)機(jī)房，導(dǎo)致信信息泄密或設(shè)設(shè)備丟失。3.3設(shè)備出入入機(jī)房，攜帶帶設(shè)備人員填填寫設(shè)備出入入登記表，由由信息管理部部門（責(zé)任處處(科）室)負(fù)責(zé)人審批批并備案。信息系統(tǒng)管理部部分（子）公公司3機(jī)房設(shè)備出入登登記表2.10.81.1經(jīng)營風(fēng)險：機(jī)房房環(huán)境參數(shù)異異常，導(dǎo)致設(shè)設(shè)備發(fā)生故障障，影響系統(tǒng)統(tǒng)穩(wěn)定運行。3.4 機(jī)房管管理人員每日日對機(jī)房UPPS、空調(diào)、溫溫濕度和電源源系統(tǒng)巡檢，并并填寫巡檢記記錄。信息系統(tǒng)管理部部分（子）公公司3機(jī)房巡檢記錄2.10.84備份介質(zhì)管管理1.1經(jīng)營風(fēng)險：備份份介質(zhì)標(biāo)記不不規(guī)范，導(dǎo)致致備份數(shù)據(jù)查查

14、找困難、數(shù)據(jù)恢恢復(fù)困難。4.1 系統(tǒng)管管理員要對備備份介質(zhì)進(jìn)行行標(biāo)記。標(biāo)記記內(nèi)容有：備備份介質(zhì)編號號、應(yīng)用名稱稱、IP地址址、備份日期期、備份內(nèi)容容和備份人。信息系統(tǒng)管理部部分（子）公公司32.10.91.1經(jīng)營風(fēng)險：備份份介質(zhì)管理不不規(guī)范，導(dǎo)致致備份介質(zhì)損損壞或系統(tǒng)及及數(shù)據(jù)恢復(fù)困困難。4.2 重要信信息系統(tǒng)的備備份介質(zhì)必須須異地存放并并分類存檔。系系統(tǒng)管理員按按照廠商提供供的使用年限限按期更換備備份介質(zhì)。備備份介質(zhì)存放放環(huán)境和備份份介質(zhì)存儲內(nèi)內(nèi)容的銷除滿滿足備份管理理辦法的相關(guān)關(guān)要求。信息系統(tǒng)管理部部分（子）公公司32.10.91.1經(jīng)營風(fēng)險：備份份介質(zhì)出入庫庫管理不規(guī)范范，導(dǎo)致備份份介質(zhì)損

15、壞或或系統(tǒng)及數(shù)據(jù)據(jù)恢復(fù)困難。4.3 備份介介質(zhì)有出入庫庫記錄。借出出備份介質(zhì)時時，借用人須須填寫申請表表，經(jīng)相關(guān)部部門負(fù)責(zé)人審審核，信息管管理部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)人審審批后，辦理理介質(zhì)出庫手手續(xù)。信息系統(tǒng)管理部部分（子）公公司3介質(zhì)入庫記錄介質(zhì)借用申請表表2.10.95故障處理1.1經(jīng)營風(fēng)險：信息息基礎(chǔ)設(shè)施故故障處理流程程和應(yīng)急預(yù)案案不健全，導(dǎo)導(dǎo)致信息基礎(chǔ)礎(chǔ)設(shè)施正常運運行存在隱患。5.1 信息管管理部門負(fù)責(zé)責(zé)制訂本單位位信息基礎(chǔ)設(shè)設(shè)施故障處理理流程及應(yīng)急急預(yù)案。信息系統(tǒng)管理部部分(子)公公司4故障處理流程信息基礎(chǔ)設(shè)施應(yīng)應(yīng)急預(yù)案2.10.62.10.71.1經(jīng)營風(fēng)險：網(wǎng)絡(luò)絡(luò)、服務(wù)器故故障處理不及及時，記錄不不完整，導(dǎo)致致信息系統(tǒng)不不能正常運行行。5.2網(wǎng)絡(luò)、服服務(wù)器發(fā)生故故障時，運維維人員應(yīng)及時時處理故障，并并填寫工作記記錄。信息系統(tǒng)管理部部分(子)公公司3工作記錄（應(yīng)記記錄故障發(fā)生生時間、處理理人、原因、處處理結(jié)果等內(nèi)內(nèi)容）2.10.71.1經(jīng)營風(fēng)險：終端端用戶計算機(jī)機(jī)設(shè)備故障處處理不及時，工作單單填寫不完整整，影響用戶戶正常工作。5.3終端用戶