11.5基礎(chǔ)設(shè)施IT一般性控制流程

1、11.5 基礎(chǔ)設(shè)施IT一般性控制流程一、 業(yè)務(wù)目標(biāo)1經(jīng)營目目標(biāo)1.1保保證信息息基礎(chǔ)設(shè)設(shè)施長期期安全、可可靠、穩(wěn)穩(wěn)定運(yùn)行行。2合規(guī)目目標(biāo)2.1信信息基礎(chǔ)礎(chǔ)設(shè)施的的使用遵遵守保護(hù)護(hù)知識產(chǎn)產(chǎn)權(quán)、合合同法等等有關(guān)國國家法律律法規(guī)。2.2信信息基礎(chǔ)礎(chǔ)設(shè)施配配置和使使用符合合股份公公司信息息系統(tǒng)安安全管理理辦法等等規(guī)定。二、 業(yè)務(wù)風(fēng)風(fēng)險(xiǎn)1經(jīng)營風(fēng)風(fēng)險(xiǎn)1.1網(wǎng)網(wǎng)絡(luò)控制制管理不不符合信信息安全全要求，導(dǎo)導(dǎo)致內(nèi)部部網(wǎng)絡(luò)被被非授權(quán)權(quán)訪問和和攻擊。1.2服服務(wù)器管管理不規(guī)規(guī)范，導(dǎo)導(dǎo)致系統(tǒng)統(tǒng)運(yùn)行不不可靠、不不穩(wěn)定。1.3備備份介質(zhì)質(zhì)管理不不規(guī)范，導(dǎo)導(dǎo)致備份份介質(zhì)損損壞或系系統(tǒng)及數(shù)數(shù)據(jù)恢復(fù)復(fù)困難。1.4機(jī)機(jī)房管理理不符

2、合合規(guī)范和和安全要要求，導(dǎo)導(dǎo)致機(jī)房房設(shè)備及及資源存存在受損損的風(fēng)險(xiǎn)險(xiǎn)。1.5 信信息基礎(chǔ)礎(chǔ)設(shè)施故故障或信信息系統(tǒng)統(tǒng)突發(fā)事事件處理理不及本流程適適用于包包括ERRP系統(tǒng)統(tǒng)在內(nèi)的的所有應(yīng)應(yīng)用系統(tǒng)統(tǒng)相關(guān)的的信息基基礎(chǔ)設(shè)施施。時(shí)，導(dǎo)致信信息系統(tǒng)統(tǒng)不能正正常運(yùn)行行。2合規(guī)風(fēng)風(fēng)險(xiǎn)2.1信信息基礎(chǔ)礎(chǔ)設(shè)施的的使用未未遵守保保護(hù)知識識產(chǎn)權(quán)、合合同法等等有關(guān)國國家法律律、法規(guī)規(guī)，股份份公司聲聲譽(yù)受到到損害，受到相關(guān)部部門處罰罰。2.2 信息基基礎(chǔ)設(shè)施施不符合合安全規(guī)規(guī)定，導(dǎo)導(dǎo)致系統(tǒng)統(tǒng)存在被被入侵風(fēng)風(fēng)險(xiǎn)。二、 業(yè)務(wù)流流程步驟驟與控制制點(diǎn)1網(wǎng)絡(luò)管管理1.1 網(wǎng)絡(luò)絡(luò)基礎(chǔ)管理理。1.1.11 總部部和分（子子）公司司依據(jù)

3、中中國石油油化工股股份有限限公司網(wǎng)網(wǎng)絡(luò)管理理辦法（以以下簡稱稱網(wǎng)絡(luò)絡(luò)管理辦辦法）及及相關(guān)管管理制度度和工作作流程實(shí)實(shí)施對網(wǎng)網(wǎng)絡(luò)的管管理，包括網(wǎng)網(wǎng)絡(luò)運(yùn)行行維護(hù)管管理、網(wǎng)網(wǎng)絡(luò)互聯(lián)聯(lián)管理、網(wǎng)網(wǎng)絡(luò)設(shè)備備密碼管管理、網(wǎng)網(wǎng)絡(luò)管理理員管理理、遠(yuǎn)程程接入網(wǎng)網(wǎng)絡(luò)管理理、病毒毒防護(hù)管管理等。1.1.22 各級信息管管理部門門依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法及及相應(yīng)崗崗位職責(zé)責(zé)，配備備網(wǎng)絡(luò)管管理員、安安全管理理員，由由信息管管理部門門負(fù)責(zé)人人審批。1.1.33 各級信信息管理理部門負(fù)負(fù)責(zé)編制制網(wǎng)絡(luò)運(yùn)運(yùn)行維護(hù)護(hù)的相關(guān)關(guān)技術(shù)文文檔，包包括網(wǎng)絡(luò)絡(luò)拓?fù)鋱D圖、IPP地址分分配表以以及網(wǎng)絡(luò)絡(luò)設(shè)備配配置文件件等，由由專人負(fù)負(fù)責(zé)整理理和保存存

4、。1.2 網(wǎng)絡(luò)設(shè)設(shè)備登錄錄設(shè)置合合理的密密碼規(guī)則則，密碼碼要求長長度六位位以上，采采用數(shù)字字和字符符組合方方式，新新密碼不不得與前前五次歷歷史密碼碼相同。網(wǎng)網(wǎng)絡(luò)管理理員必須須每六個(gè)個(gè)月修改改網(wǎng)絡(luò)設(shè)設(shè)備登錄錄密碼，填填寫密碼碼更換記記錄，經(jīng)安全全管理員員確認(rèn)并并在信息息管理部部門備案案。1.3 網(wǎng)網(wǎng)絡(luò)互聯(lián)聯(lián)安全管管理。1.3.11 總部部和分（子子）公司司依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法相相關(guān)要求求，在關(guān)關(guān)鍵網(wǎng)絡(luò)絡(luò)互聯(lián)接接口處部部署安全全設(shè)備，信信息管理理部門授授權(quán)專人人負(fù)責(zé)安安全設(shè)備備的管理理，并備備有安全全設(shè)備配配置文檔檔。分（子子）公司司與外部部網(wǎng)互聯(lián)聯(lián)情況上上報(bào)信息息系統(tǒng)管管理部備備案。1.3.22

5、 安全全管理員員每季度度對安全全設(shè)備的的規(guī)則進(jìn)進(jìn)行復(fù)核核、確認(rèn)認(rèn)、檢查查，填寫寫安全設(shè)設(shè)備配置置檢查記記錄表。1.3.33 安安全管理理員每周周對網(wǎng)絡(luò)絡(luò)設(shè)備登登陸日志志、防火火墻日志志、入侵侵檢測日日志等進(jìn)進(jìn)行分析析審計(jì)。1.4 終終端用戶戶接入管管理1.4.11 用戶戶終端接接入網(wǎng)絡(luò)絡(luò)需填寫寫申請表表，由申申請人所所在部門門確認(rèn)，信信息管理理部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)責(zé)人批準(zhǔn)準(zhǔn)并備案案。申請請表內(nèi)容容應(yīng)包含含終端接接入安全全責(zé)任條條款。1.4.22 建建立用戶戶登錄網(wǎng)網(wǎng)絡(luò)認(rèn)證證機(jī)制，避避免對中中國石化化內(nèi)部網(wǎng)網(wǎng)絡(luò)未經(jīng)經(jīng)授權(quán)的的訪問。1.4.33 根根據(jù)人事事部門提提供的人人員離職職交接表

6、表，信息息管理部部門應(yīng)及及時(shí)注銷銷該用戶戶的網(wǎng)絡(luò)絡(luò)接入服服務(wù)。1.5遠(yuǎn)遠(yuǎn)程接入入網(wǎng)絡(luò)申申請人依依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法相相關(guān)要求求，填寫寫遠(yuǎn)程接接入服務(wù)務(wù)申請表表和遠(yuǎn)程程用戶接接入服務(wù)務(wù)安全承承諾書，由由所在部部門負(fù)責(zé)責(zé)人確認(rèn)認(rèn)，信息息管理部部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)責(zé)人審批批并備案案。1.6依依據(jù)網(wǎng)網(wǎng)絡(luò)管理理辦法相相關(guān)要求求，網(wǎng)絡(luò)絡(luò)管理員員負(fù)責(zé)部部署防病病毒系統(tǒng)統(tǒng)并及時(shí)時(shí)進(jìn)行版版本和病病毒特征征庫的升升級；安安全管理理員每周周對防病病毒系統(tǒng)統(tǒng)日志進(jìn)進(jìn)行分析析審計(jì)。2服務(wù)器器管理2.1各各級信息息管理部部門配備備系統(tǒng)管管理員，由由信息管管理部門門（責(zé)任任處(科科）室)負(fù)責(zé)人人審批。2.2 系統(tǒng)

7、管管理員須須建立服服務(wù)器檔檔案，內(nèi)內(nèi)容包括括設(shè)備的的詳細(xì)硬硬件配置置、設(shè)備備唯一性性標(biāo)記和和設(shè)備用用途等信信息。2.3 服務(wù)器器操作系統(tǒng)統(tǒng)管理。2.3.11 操作系系統(tǒng)用戶戶須填寫寫操作系系統(tǒng)用戶戶申請表表，經(jīng)信信息管理理部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)責(zé)人審批批后，由由系統(tǒng)管管理員創(chuàng)創(chuàng)建。2.3.22 系統(tǒng)管管理員每每半年檢檢查操作作系統(tǒng)用用戶授權(quán)權(quán)情況并并記錄，對對超期使使用帳號號的用戶戶進(jìn)行鎖鎖定或刪刪除。2.3.33 操作系系統(tǒng)用戶戶密碼要要求長度度八位以上上，采用用數(shù)字和和字符組組合方式式，新密密碼不得得與前五五次歷史史密碼相相同。系系統(tǒng)管理理員至少少每季度修改改操作系系統(tǒng)用戶戶密碼，

8、填填寫密碼碼更換記記錄、經(jīng)經(jīng)安全管管理員確確認(rèn)并在在信息管管理部門門備案。2.3.44 系統(tǒng)管管理員監(jiān)監(jiān)控操作作系統(tǒng)運(yùn)運(yùn)行情況況，每日日巡檢操操作系統(tǒng)統(tǒng)日志，并并將巡檢檢情況記記錄存檔檔。安全全管理員員每月對系統(tǒng)統(tǒng)巡檢記記錄進(jìn)行行檢查，對對存在問問題提出出整改意意見，上上報(bào)信息息管理部部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)責(zé)人審批批后實(shí)施施。3 機(jī)房管管理。3.1 各各級信息息管理部部門依據(jù)據(jù)相關(guān)制制度和規(guī)規(guī)范，制制定計(jì)算算機(jī)機(jī)房房管理辦辦法，實(shí)施對對機(jī)房的的管理。管管理辦法法主要內(nèi)內(nèi)容包括括人員出出入管理理、設(shè)備備出入管管理、機(jī)機(jī)房工況況管理等等。3.2 機(jī)房應(yīng)應(yīng)設(shè)門禁禁系統(tǒng)，或由專專人負(fù)責(zé)責(zé)機(jī)房出

9、出入管理理并填寫人人員出入入登記表表。3.3 設(shè)備出出入機(jī)房房，攜帶帶設(shè)備人人員填寫寫設(shè)備出出入登記記表，登登記表由由信息管管理部門門（責(zé)任任處(科科）室)負(fù)責(zé)人人審批并并備案。3.4 機(jī)房管管理人員員每日對對機(jī)房UUPS、空空調(diào)、溫溫濕度和和電源系系統(tǒng)巡檢檢，并填填寫巡檢檢記錄。4 備份介介質(zhì)管理理。4.1 系統(tǒng)管管理員要要對備份份介質(zhì)進(jìn)進(jìn)行標(biāo)記記。標(biāo)記記內(nèi)容有有：備份介質(zhì)編編號、應(yīng)應(yīng)用名稱稱、IPP地址、備備份日期期、備份內(nèi)容和備備份人。4.2 ERPP等重要要信息系系統(tǒng)的備備份介質(zhì)質(zhì)必須異異地存放放并分類存檔。系系統(tǒng)管理理員按照照廠商提提供的使使用年限限按期更換備份介介質(zhì)。備備份介質(zhì)質(zhì)存

10、放環(huán)環(huán)境和備備份介質(zhì)質(zhì)存儲(chǔ)內(nèi)容的銷除除滿足備備份管理理辦法的的相關(guān)要要求。4.3 備份介介質(zhì)有出出入庫記記錄。借借出備份份介質(zhì)時(shí)時(shí)，借用用人須填寫申請請表，經(jīng)經(jīng)相關(guān)部部門負(fù)責(zé)責(zé)人審核核，信息息管理部部門（責(zé)責(zé)任處(科）室室)負(fù)責(zé)責(zé)人審批批后，辦辦理介質(zhì)質(zhì)出庫手手續(xù)。5 故障處處理5.1 信息息管理部部門負(fù)責(zé)責(zé)制訂本本單位信信息基礎(chǔ)礎(chǔ)設(shè)施故故障處理理流程及及應(yīng)急預(yù)預(yù)案。5.2 網(wǎng)絡(luò)絡(luò)、服務(wù)務(wù)器發(fā)生生故障時(shí)時(shí)，運(yùn)維維人員應(yīng)應(yīng)及時(shí)處處理故障障，并填填寫工作作記錄。5.3 終端用用戶計(jì)算算機(jī)設(shè)備備發(fā)生故故障時(shí)，運(yùn)維人員及時(shí)處理故障并填寫工作單。故障處理完畢后，用戶須對處理結(jié)果加以確認(rèn)。工作單由信息管理部門負(fù)責(zé)備案。5.3 信息息基礎(chǔ)設(shè)設(shè)施應(yīng)急急預(yù)案須須每年安安排適當(dāng)當(dāng)時(shí)間進(jìn)進(jìn)行演練練并記錄錄。四、 相關(guān)關(guān)制度目目錄（制制度后標(biāo)標(biāo)號為內(nèi)內(nèi)部控制制手冊配配套規(guī)章章制度匯匯編目目錄索引引號）1 中中國石油油化工股股份有限限公司網(wǎng)網(wǎng)絡(luò)管理理辦法(石化股股份信系系200076號) -22.100.52 中中國石油油化工股股份有限限公司信信息系統(tǒng)統(tǒng)安全管管理辦法法(試行行) （石化股股份信系系2000635號） -22.100.23 中中國石油油化工股股份有限限公司信信息基礎(chǔ)礎(chǔ)設(shè)施管管理辦法法(試行行)(石化股股份信系系2000636號) -2.10.7