企業(yè)內(nèi)控手冊-信息系統(tǒng)總體管理主要風(fēng)險控制點及監(jiān)管要求

第二節(jié)系統(tǒng)錯誤及缺陷處理一、控制目標(biāo)規(guī)范系統(tǒng)錯誤及缺陷處理流程，解決系統(tǒng)錯誤及缺陷，保障系統(tǒng)正常運行。二、流程介紹（一）業(yè)務(wù)范圍包括相關(guān)系統(tǒng)問題報告與討論分析、解決方案制定、系統(tǒng)調(diào)整及測試、驗收測試、更新系統(tǒng)等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部（三）流程描述1.報告相關(guān)系統(tǒng)問題相關(guān)崗位系統(tǒng)用戶發(fā)現(xiàn)系統(tǒng)出現(xiàn)不符合正常業(yè)務(wù)處理要求的系統(tǒng)問題，通過CQ平臺進行報告，并同時郵件通知總公司對應(yīng)業(yè)務(wù)部門的IT協(xié)調(diào)人。2.會同進行問題討論分析，確定問題并制定解決方案總公司信息技術(shù)部系統(tǒng)對口人會同業(yè)務(wù)部門IT協(xié)調(diào)人對錯誤及缺陷報告內(nèi)容進行討論分析，確定并制定問題解決方案，然后將解決方案錄入CQ平臺。3.系統(tǒng)調(diào)整及測試總公司信息技術(shù)部根據(jù)解決方案由系統(tǒng)開發(fā)人員對系統(tǒng)做針對性調(diào)整，總公司信息技術(shù)部系統(tǒng)對口人內(nèi)部測試通過后，提請業(yè)務(wù)部門IT協(xié)調(diào)人組織用戶驗收測試。4.驗收測試相關(guān)崗位系統(tǒng)用戶在收到要求進行驗收測試的通知后，進行驗收測試。測試完成后郵件通知總公司信息技術(shù)部系統(tǒng)對口人，進行系統(tǒng)更新。5.更新系統(tǒng)總公司信息技術(shù)部系統(tǒng)對口人更新應(yīng)用系統(tǒng)后，在CQ平臺關(guān)閉問題。三、流程圖四、主要風(fēng)險控制點1.未明確系統(tǒng)錯誤及缺陷處理操作規(guī)范2.未及時制定系統(tǒng)錯誤及缺陷解決方案五、控制制度《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)錯誤及缺陷處理未明確系統(tǒng)錯誤及缺陷處理操作規(guī)范總公司在《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》中對系統(tǒng)錯誤及缺陷處理流程做了明確的規(guī)定。所有相關(guān)人員應(yīng)統(tǒng)一通過運維管理平臺（以下簡稱CQ平臺）提交使用錯誤及缺陷，系統(tǒng)錯誤及缺陷的處理流程使用CQ平臺管理。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部部門負(fù)責(zé)人、相關(guān)崗位查閱應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)錯誤及缺陷處理未及時制定系統(tǒng)錯誤及缺陷解決方案總公司信息技術(shù)部系統(tǒng)對口人會同業(yè)務(wù)部門IT協(xié)調(diào)人對錯誤及缺陷報告內(nèi)容進行討論分析，確定并制定問題解決方案，然后將解決方案錄入CQ平臺。信息技術(shù)部根據(jù)解決方案由系統(tǒng)開發(fā)人員對系統(tǒng)做針對性調(diào)整，信息技術(shù)部系統(tǒng)對口人內(nèi)部測試通過后，提請業(yè)務(wù)部門IT協(xié)調(diào)人組織用戶驗收測試。相關(guān)崗位系統(tǒng)用戶在收到要求進行驗收測試的通知后，進行驗收測試。測試完成后郵件通知總公司信息技術(shù)部系統(tǒng)對口人，進行系統(tǒng)更新。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部、相關(guān)業(yè)務(wù)部門總公司信息技術(shù)部系統(tǒng)對口人、相關(guān)業(yè)務(wù)部門相關(guān)崗位檢查是否及時解決系統(tǒng)錯誤及缺陷第三節(jié)系統(tǒng)用戶及用戶密碼管理一、控制目標(biāo)規(guī)范系統(tǒng)用戶及用戶密碼管理流程，保證用戶設(shè)置、使用得當(dāng)，權(quán)限管理有序，業(yè)務(wù)處理安全高效。二、流程介紹（一）業(yè)務(wù)范圍包括從第三方角度查看有關(guān)數(shù)據(jù)信息的用戶或者超級用戶的申請、審批、及開通，普通用戶申請、審批、及開通，密碼修改申請、審批、及修改等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司、省級分公司、地市級機構(gòu)涉及部門：總裁室、總公司信息技術(shù)部、相關(guān)業(yè)務(wù)部門，各級分支機構(gòu)相關(guān)業(yè)務(wù)部門（三）流程描述1.從第三方角度查看有關(guān)數(shù)據(jù)信息的用戶或者超級用戶的申請對于涉及稽核、審計、紀(jì)檢、監(jiān)察、法律、風(fēng)險等需要從第三方角度查看有關(guān)數(shù)據(jù)信息的用戶或者超級用戶的申請，總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人整理用戶信息，填寫《應(yīng)用系統(tǒng)新增用戶申請表》，通過郵件系統(tǒng)提交給總裁室分管領(lǐng)導(dǎo)審批。2.總裁室分管領(lǐng)導(dǎo)審批總裁室分管領(lǐng)導(dǎo)對《應(yīng)用系統(tǒng)新增用戶申請表》進行審批，審批結(jié)果通過郵件反饋給總公司信息技術(shù)部。3.信息技術(shù)部開通軟件開發(fā)崗?fù)ㄟ^郵件系統(tǒng)接收《應(yīng)用系統(tǒng)新增用戶申請表》，根據(jù)《應(yīng)用系統(tǒng)新增用戶申請表》按照申請信息給予開通并完成設(shè)置。4.普通用戶申請對于總公司人員申請者，申請者所在部門業(yè)務(wù)管理崗整理用戶信息，并填寫用戶申請審批單，通過郵件系統(tǒng)提交總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人審批；對于省級分公司人員申請者應(yīng)先由本部門負(fù)責(zé)人簽字后，提交總公司相應(yīng)主管部門負(fù)責(zé)人審核簽字。5.部門負(fù)責(zé)人審批總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人對審批申請單進行審批，審批通過后，通過郵件系統(tǒng)反饋給業(yè)務(wù)管理崗。6.業(yè)務(wù)管理崗開通業(yè)務(wù)管理崗根據(jù)審批申請單的用戶信息，按照審批通過的痕跡要求給予開通，同時將申請單的復(fù)印件報總公司信息技術(shù)部備案。7.密碼修改申請業(yè)務(wù)系統(tǒng)用戶需要修改密碼時，通過郵件系統(tǒng)將《應(yīng)用系統(tǒng)用戶帳戶變更申請表》提交給所在業(yè)務(wù)部門負(fù)責(zé)人審核。8.部門負(fù)責(zé)人審核總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人審核《應(yīng)用系統(tǒng)用戶帳戶變更申請表》，審批同意后用郵件系統(tǒng)將《應(yīng)用系統(tǒng)用戶帳戶變更申請表》提交給業(yè)務(wù)管理崗進行修改。9.業(yè)務(wù)管理崗修改業(yè)務(wù)管理崗根據(jù)《應(yīng)用系統(tǒng)用戶帳戶變更申請表》，對于審批通過的申請，按照申請信息給予修改，并將《應(yīng)用系統(tǒng)用戶帳戶變更申請表》進行存檔。三、流程圖四、主要風(fēng)險控制點1.未對添加系統(tǒng)用戶申請進行審批2.未對應(yīng)用系統(tǒng)賬號的變更申請進行審批3.離職或調(diào)職員工的應(yīng)用系統(tǒng)賬戶未被及時禁用或刪除4.應(yīng)用系統(tǒng)權(quán)限設(shè)置不符合工作職責(zé)的需求5.新增用戶申請未經(jīng)適當(dāng)審批五、控制制度《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理未對添加系統(tǒng)用戶申請進行審批對于涉及稽核、審計、紀(jì)檢、監(jiān)察、法律、風(fēng)險等需要從第三方角度查看有關(guān)數(shù)據(jù)信息的用戶或者超級用戶的申請，總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人整理用戶信息，填寫《應(yīng)用系統(tǒng)新增用戶申請表》，通過郵件系統(tǒng)提交給總裁室分管領(lǐng)導(dǎo)審批，總裁室分管領(lǐng)導(dǎo)將審批結(jié)果信息通過郵件反饋給總公司信息技術(shù)部。人工預(yù)防性業(yè)務(wù)發(fā)生時否總裁室、總公司相關(guān)業(yè)務(wù)部門總公司分管領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門負(fù)責(zé)人查閱應(yīng)用系統(tǒng)新增用戶申請表，檢查是否經(jīng)過審批IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理未對添加系統(tǒng)用戶申請進行審批總公司普通用戶申請，業(yè)務(wù)管理崗整理用戶信息，并填寫用戶申請審批單，通過郵件系統(tǒng)提交總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人審批；省級分公司人員申請者應(yīng)先由本部門負(fù)責(zé)人簽字后，提交總公司相應(yīng)主管部門負(fù)責(zé)人審核簽字。人工預(yù)防性業(yè)務(wù)發(fā)生時是總公司相關(guān)業(yè)務(wù)部門、省級分公司相關(guān)業(yè)務(wù)部門總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人、業(yè)務(wù)管理崗、省級分公司相關(guān)業(yè)務(wù)部門相關(guān)崗位查閱應(yīng)用系統(tǒng)新增用戶申請表，檢查是否經(jīng)過審批IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理未對添加系統(tǒng)用戶申請進行審批總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人對審批申請單進行審批，審批通過后，通過郵件系統(tǒng)反饋給業(yè)務(wù)管理崗。人工預(yù)防性業(yè)務(wù)發(fā)生時是總公司相關(guān)業(yè)務(wù)部門相關(guān)業(yè)務(wù)部門負(fù)責(zé)人查閱應(yīng)用系統(tǒng)新增用戶申請表，檢查是否經(jīng)過審批IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理未對應(yīng)用系統(tǒng)賬號的變更申請進行審批總公司相關(guān)業(yè)務(wù)部門負(fù)責(zé)人審核《應(yīng)用系統(tǒng)用戶帳戶變更申請表》，審批同意后用郵件系統(tǒng)將《應(yīng)用系統(tǒng)用戶帳戶變更申請表》提交給業(yè)務(wù)管理崗進行修改。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司相關(guān)業(yè)務(wù)部門相關(guān)業(yè)務(wù)部門負(fù)責(zé)人查閱應(yīng)用系統(tǒng)用戶帳戶變更申請表，檢查是否經(jīng)過審批IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理離職或調(diào)職員工的應(yīng)用系統(tǒng)賬戶未被及時禁用或刪除當(dāng)用戶調(diào)崗時，原則上仍使用原用戶名。由原部門超級用戶管理人員對其原有功能權(quán)限進行減少或撤銷，由新部門超級用戶管理人員為其增加相關(guān)功能權(quán)限。人工檢查性業(yè)務(wù)發(fā)生時是總公司相關(guān)業(yè)務(wù)部門超級用戶管理人員檢查調(diào)崗人員系統(tǒng)賬戶是否禁用或刪除IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理離職或調(diào)職員工的應(yīng)用系統(tǒng)賬戶未被及時禁用或刪除當(dāng)用戶離職時，各管理部門需及時對相應(yīng)人員的帳戶作“失效”處理。人工檢查性業(yè)務(wù)發(fā)生時是總公司相關(guān)業(yè)務(wù)部門超級用戶管理人員檢查離職人員系統(tǒng)賬戶是否禁用或刪除IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理應(yīng)用系統(tǒng)權(quán)限設(shè)置不符合工作職責(zé)的需求各部門需定期對所轄范圍的用戶進行檢查，檢查范圍包括：系統(tǒng)權(quán)限、用戶是否失效等?？偣拘畔⒓夹g(shù)部需定期對系統(tǒng)內(nèi)用戶進行審查。審查內(nèi)容包括用戶狀態(tài)、操作記錄。人工檢查性定期是總公司信息技術(shù)部、相關(guān)業(yè)務(wù)部門相關(guān)業(yè)務(wù)部門負(fù)責(zé)人、信息技術(shù)部相關(guān)崗位檢查業(yè)務(wù)部是否定期對系統(tǒng)用戶狀況進行檢查、信息技術(shù)部是否定期審查IT信息系統(tǒng)總體管理應(yīng)用系統(tǒng)運行維護管理系統(tǒng)用戶及用戶密碼管理新增用戶申請未經(jīng)適當(dāng)審批新增普通用戶、新增一般查詢賬戶申請由各部門超級用戶管理人員進行開設(shè)，同時將申請單的復(fù)印件報總公司信息技術(shù)部備案。新增超級用戶由部門負(fù)責(zé)人提出，總裁室主管副總裁審批，同意后開設(shè)，同時將申請單的復(fù)印件報總公司信息技術(shù)部備案。人工預(yù)防性不適用是總裁室、總公司相關(guān)業(yè)務(wù)部門總公司分管領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門負(fù)責(zé)人、超級用戶管理人員檢查新增用申請是否經(jīng)過審批第二章網(wǎng)絡(luò)建設(shè)與運行維護一、控制目標(biāo)規(guī)范網(wǎng)絡(luò)建設(shè)與運行維護流程，保證總公司及各分支機構(gòu)網(wǎng)絡(luò)的開通、高效、安全、穩(wěn)定運行。二、流程介紹（一）業(yè)務(wù)范圍包括申請審核、網(wǎng)絡(luò)建設(shè)施工、故障定位、故障排除等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司、省級分公司涉及部門：總公司信息技術(shù)部，省級分公司人事行政部，*財險信息技術(shù)部（三）流程描述1.選址建議總公司信息技術(shù)部網(wǎng)絡(luò)管理崗在分支機構(gòu)職場建設(shè)簽報批復(fù)中建議至少保證該大樓具備兩家主流運營商（中國電信、新聯(lián)通、中國移動）的線路接入，或當(dāng)?shù)刎旊U所使用的主流運營商。2.分支機構(gòu)網(wǎng)絡(luò)建設(shè)申請審核分支機構(gòu)信息技術(shù)崗在骨干網(wǎng)協(xié)調(diào)管理項目平臺提出網(wǎng)絡(luò)建設(shè)需求，總公司網(wǎng)絡(luò)管理崗對分支機構(gòu)開通需求申請進行審核。3.遞交集團公司、*財險審核總公司信息技術(shù)部網(wǎng)絡(luò)管理崗在骨干網(wǎng)協(xié)調(diào)管理項目平臺將省級分公司網(wǎng)絡(luò)開通申請需求遞交集團公司、*財險審核。4.分支機構(gòu)網(wǎng)絡(luò)建設(shè)施工總公司、集團公司、財險審核同意后，需求批復(fù)后一個月內(nèi)由*財險進行開通施工，總公司、省級分公司配合施工。5.故障定位各級分支機構(gòu)出現(xiàn)網(wǎng)絡(luò)故障，省級分公司IT崗進行故障定位描述；同時報送當(dāng)?shù)刎旊U、總公司信息技術(shù)部。6.當(dāng)?shù)刎旊U排除故障總公司網(wǎng)絡(luò)管理崗、省級分公司信息技術(shù)崗對故障確定為同城專線故障，則由當(dāng)?shù)刎旊U進行解決。7.總公司、財險總部排除故障總公司網(wǎng)絡(luò)管理崗、省級分公司信息技術(shù)崗對故障確定為總省骨干網(wǎng)故障，則由總公司、財險總公司進行故障排除。三、流程圖四、主要風(fēng)險控制點無五、控制制度無六、相關(guān)監(jiān)管要求無七、控制矩陣無第三章信息安全管理第一節(jié)IT基礎(chǔ)架構(gòu)運行維護管理一、控制目標(biāo)保障公司IT基礎(chǔ)架構(gòu)安全和持續(xù)平穩(wěn)的運行，規(guī)范運行維護工作，有效規(guī)避操作風(fēng)險。二、流程介紹（一）業(yè)務(wù)范圍包括IT基礎(chǔ)架構(gòu)日常維護、IT基礎(chǔ)架構(gòu)評估、維護申請?zhí)岢雠c審核審批、制定IT基礎(chǔ)架構(gòu)變更實施及測試計劃，計劃實施、后期維護及跟蹤反饋等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總裁室、總公司信息技術(shù)部（三）流程描述1.IT基礎(chǔ)架構(gòu)日常維護IT基礎(chǔ)架構(gòu)運行維護內(nèi)容包括機房運維、主機存儲系統(tǒng)運維、網(wǎng)絡(luò)系統(tǒng)運維、PC服務(wù)器運維、備份系統(tǒng)運維。IT基礎(chǔ)架構(gòu)運維人員每天上午9點需到機房進行IT基礎(chǔ)架構(gòu)物理巡檢，并分別按照基礎(chǔ)架構(gòu)運維操作規(guī)程進行相應(yīng)巡檢工作，巡檢后需認(rèn)真填寫運維日報形成記錄，并每周提交周報，每月提交月報。2.IT基礎(chǔ)架構(gòu)評估數(shù)據(jù)管理崗需每半年對IT基礎(chǔ)架構(gòu)運維內(nèi)容、操作規(guī)程進行評估工作，從而更好提高IT基礎(chǔ)架構(gòu)運維水平。3.提出申請總公司信息技術(shù)部任何崗位從OA系統(tǒng)中IT資源申請模塊提出申請，填寫“IT基礎(chǔ)架構(gòu)變更申請表”，并提交給申請?zhí)幨邑?fù)責(zé)人。4.申請?zhí)幨覍徟暾執(zhí)幨邑?fù)責(zé)人在OA系統(tǒng)中審批IT基礎(chǔ)架構(gòu)變更申請表，審批通過后，提交數(shù)據(jù)中心處室負(fù)責(zé)人。5.可行性論證申請?zhí)幨覍徟ㄟ^后，數(shù)據(jù)中心組織相關(guān)技術(shù)團隊，并在三個工作日內(nèi)給予審批。從以下幾方面進行可行性論證：（1）系統(tǒng)資源、網(wǎng)絡(luò)資源、軟硬件運行環(huán)境。（2）IT基礎(chǔ)架構(gòu)變更后對現(xiàn)有生產(chǎn)系統(tǒng)產(chǎn)生的影響，系統(tǒng)運行風(fēng)險，生產(chǎn)安全運行方面的保證。（3）廠商技術(shù)支持度及可靠性。并交由數(shù)據(jù)管理崗進行實施；如發(fā)現(xiàn)此變更對業(yè)務(wù)系統(tǒng)有重大影響，須報給部門負(fù)責(zé)人審批。6.部門負(fù)責(zé)人審批總公司信息技術(shù)部負(fù)責(zé)人在2個工作日內(nèi)依據(jù)可行性論證文檔或?qū)嵤┓桨笇I(yè)務(wù)系統(tǒng)有重大影響的變更在OA進行審批，并交由數(shù)據(jù)管理崗實施。7.制定IT基礎(chǔ)架構(gòu)變更實施及測試計劃，并實施測試計劃數(shù)據(jù)管理崗在批復(fù)后一個工作日內(nèi)依據(jù)可行性論證文檔或?qū)嵤┓桨钢贫↖T基礎(chǔ)架構(gòu)變更實施及測試計劃，并實施測試計劃。8.IT基礎(chǔ)架構(gòu)變更的實施技術(shù)團隊對測試結(jié)果進行確認(rèn)后，根據(jù)時間安排制定具體實施方案，內(nèi)容包括：實施方案，變更前后相關(guān)參數(shù)變化，應(yīng)急方案、回退方案，注意事項等。根據(jù)指定的具體方案開展實施工作，并在三個工作日內(nèi)完成。9.后期維護及跟蹤反饋IT基礎(chǔ)架構(gòu)變更后1至3個月為試運行過渡期，數(shù)據(jù)管理崗應(yīng)嚴(yán)密監(jiān)控業(yè)務(wù)系統(tǒng)運行狀況，針對變更后出現(xiàn)的問題，制定解決辦法和應(yīng)急方案。三、流程圖四、主要風(fēng)險控制點1.未進行恰當(dāng)?shù)幕A(chǔ)架構(gòu)規(guī)劃2.未對IT基礎(chǔ)架構(gòu)進行運維管理3.未對IT基礎(chǔ)架構(gòu)定期評估4.未對IT基礎(chǔ)架構(gòu)的變更進行審批5.未對IT基礎(chǔ)架構(gòu)的變更進行可行性論證6.IT基礎(chǔ)機構(gòu)變更前未進行測試7.在IT基礎(chǔ)架構(gòu)變更后，未監(jiān)控業(yè)務(wù)系統(tǒng)運行狀況8.未對變更實施過程的相關(guān)文檔進行歸檔9.未定期備份系統(tǒng)日志10.未明確日志查看權(quán)限和日志保留時效11.未經(jīng)授權(quán)訪問生產(chǎn)數(shù)據(jù)和信息12.未經(jīng)授權(quán)新建和變更基礎(chǔ)平臺賬號13.未及時禁用或刪除離職或調(diào)職員工的基礎(chǔ)平臺賬戶14.未經(jīng)授權(quán)變更基礎(chǔ)平臺權(quán)限設(shè)置15.未經(jīng)授權(quán)使用超級賬號16.賬號授權(quán)不當(dāng)17.變更對業(yè)務(wù)的影響未被最小化18.系統(tǒng)基礎(chǔ)軟件設(shè)施配置變更未進行測試19.未能及時升級操作系統(tǒng)或設(shè)置實時監(jiān)控20.未部署防火墻21.因應(yīng)用系統(tǒng)、主機、網(wǎng)絡(luò)設(shè)備的安全漏洞而產(chǎn)生潛在風(fēng)險22.未對省級分公司信息系統(tǒng)建設(shè)制定統(tǒng)一的要求五、控制制度《中國*股份有限公司省級分公司信息系統(tǒng)建設(shè)管理規(guī)定》《中國*股份有限公司信息安全總體策略》六、相關(guān)監(jiān)管要求《計算機機房區(qū)管理暫行規(guī)定》七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未進行恰當(dāng)?shù)幕A(chǔ)架構(gòu)規(guī)劃總公司信息技術(shù)部按照公司的戰(zhàn)略規(guī)劃制定本年度基礎(chǔ)架構(gòu)規(guī)劃，必要時進行專家論證，并將最終形成的架構(gòu)規(guī)劃通過OA簽報的形式提交公司領(lǐng)導(dǎo)審批。人工預(yù)防性定期否總裁室、總公司信息技術(shù)部公司領(lǐng)導(dǎo)、信息技術(shù)部負(fù)責(zé)人查閱公司年度基礎(chǔ)架構(gòu)規(guī)劃IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未對IT基礎(chǔ)架構(gòu)進行運維管理IT基礎(chǔ)架構(gòu)運行維護內(nèi)容包括機房運維、主機存儲系統(tǒng)運維、網(wǎng)絡(luò)系統(tǒng)運維、PC服務(wù)器運維、備份系統(tǒng)運維。

IT基礎(chǔ)架構(gòu)運維人員每天上午9點需到機房進行IT基礎(chǔ)架構(gòu)物理巡檢，并分別按照基礎(chǔ)架構(gòu)運維操作規(guī)程進行相應(yīng)巡檢工作，機房管理員在巡檢完成后要記錄設(shè)備運行情況、操作維護以及突發(fā)異常情況等有關(guān)資料，形成巡檢日報，并每周提交周報，每月提交月報。異常情況需要紙質(zhì)或郵件形式發(fā)送給信息技術(shù)部全體人員。人工預(yù)防性定期否總公司信息技術(shù)部機房管理員檢查是否對IT基礎(chǔ)架構(gòu)進行物理巡檢IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理IT基礎(chǔ)架構(gòu)未定期評估信息技術(shù)部數(shù)據(jù)管理崗每半年對IT基礎(chǔ)架構(gòu)運維內(nèi)容、操作規(guī)程進行評估工作，從而更好提高IT基礎(chǔ)架構(gòu)運維水平。人工預(yù)防性每半年一次否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查是否對IT基礎(chǔ)架構(gòu)進行定期評估IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未對IT基礎(chǔ)架構(gòu)的變更進行審批IT基礎(chǔ)架構(gòu)變更申請?zhí)幨邑?zé)任人在OA系統(tǒng)中審批IT基礎(chǔ)架構(gòu)變更申請表，審批通過后，提交數(shù)據(jù)中心處室負(fù)責(zé)人。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部申請?zhí)幨邑?fù)責(zé)人查閱IT基礎(chǔ)架構(gòu)變更申請表，檢查是否經(jīng)過適當(dāng)審批IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未對IT基礎(chǔ)架構(gòu)的變更進行可行性論證數(shù)據(jù)中心組織相關(guān)技術(shù)團隊，并在三個工作日內(nèi)給予審批。從以下幾方面進行可行性論證：

1.系統(tǒng)資源、網(wǎng)絡(luò)資源、軟硬件運行環(huán)境。

2.IT基礎(chǔ)架構(gòu)變更后對現(xiàn)有生產(chǎn)系統(tǒng)產(chǎn)生的影響，系統(tǒng)運行風(fēng)險，生產(chǎn)安全運行方面的保證。

3.廠商技術(shù)支持度及可靠性。

并交由數(shù)據(jù)管理崗進行實施；如發(fā)現(xiàn)此變更對業(yè)務(wù)系統(tǒng)有重大影響，須報給部門負(fù)責(zé)人審批。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)中心處負(fù)責(zé)人查閱可行性論證文檔，檢查IT基礎(chǔ)架構(gòu)變更是否經(jīng)過可行性論證IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未對IT基礎(chǔ)架構(gòu)的變更進行可行性論證信息技術(shù)部負(fù)責(zé)人在2個工作日內(nèi)依據(jù)可行性論證文檔或?qū)嵤┓桨笇I(yè)務(wù)系統(tǒng)有重大影響的變更在OA進行審批，并交由數(shù)據(jù)管理崗實施。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部部門負(fù)責(zé)人查閱IT基礎(chǔ)架構(gòu)變更OA簽報表，檢查是否經(jīng)過適當(dāng)審批IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理IT基礎(chǔ)機構(gòu)變更前未進行測試數(shù)據(jù)管理崗在批復(fù)后一個工作日內(nèi)依據(jù)可行性論證文檔或?qū)嵤┓桨钢贫↖T基礎(chǔ)架構(gòu)變更實施及測試計劃，并實施測試計劃。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查IT基礎(chǔ)機構(gòu)變更前是否進行測試IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理變更后監(jiān)控不足IT基礎(chǔ)架構(gòu)變更后1至3個月為試運行過渡期，數(shù)據(jù)管理崗應(yīng)嚴(yán)密監(jiān)控系統(tǒng)運行狀況，針對變更后出現(xiàn)的問題，制定解決辦法和應(yīng)急方案。人工人工業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查在IT基礎(chǔ)機構(gòu)變更后是否對運行狀況進行監(jiān)控IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未對變更實施過程的相關(guān)文檔進行歸檔IT基礎(chǔ)變更實施方案、測試計劃、具體實施方案、解決辦法和應(yīng)急方案在實施結(jié)束后由該基礎(chǔ)架構(gòu)管理員保存歸檔。人工人工業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗查閱IT基礎(chǔ)架構(gòu)變更檔案IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未定期備份系統(tǒng)日志各系統(tǒng)日志每天定時進行備份，每天由系統(tǒng)管理員負(fù)責(zé)巡檢前一天的備份是否正常發(fā)起以及是否正常完成。如果出現(xiàn)異常，則盡快解決并重新發(fā)起備份，直至備份成功。人工-自動檢查性每日一次否總公司信息技術(shù)部系統(tǒng)管理員查閱系統(tǒng)日志備份IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未明確日志查看權(quán)限和日志保留時效只有數(shù)據(jù)管理崗可以查看日志，其他人查看日志需要通過OA中IT資源申請流程提交申請，數(shù)據(jù)管理崗負(fù)責(zé)處理。在保留期內(nèi)（一年）任何人不得刪除日志。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查非數(shù)據(jù)管理崗查看日志是否提交申請IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未經(jīng)授權(quán)訪問生產(chǎn)數(shù)據(jù)和信息用戶查看生產(chǎn)數(shù)據(jù)，需向數(shù)據(jù)中心申請該系統(tǒng)的堡壘主機資源和權(quán)限，申請批準(zhǔn)后由數(shù)據(jù)管理崗進行實施配置。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗查看用戶訪問生產(chǎn)數(shù)據(jù)是否經(jīng)過授權(quán)IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未經(jīng)授權(quán)新建和變更基礎(chǔ)平臺賬號1.基礎(chǔ)平臺帳號（包括操作系統(tǒng)，數(shù)據(jù)庫，網(wǎng)絡(luò)及其他平臺軟件所使用的帳號）的創(chuàng)建和變更（包括用戶解鎖和密碼重置）需由軟件處軟件開發(fā)崗?fù)ㄟ^OA中IT資源模塊提交申請到數(shù)據(jù)中心審批。

2.數(shù)據(jù)中心負(fù)責(zé)審批申請。

3、數(shù)據(jù)中心數(shù)據(jù)管理崗負(fù)責(zé)開通相關(guān)權(quán)限。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查新建和變更基礎(chǔ)平臺賬號是否經(jīng)過授權(quán)IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未及時禁用或刪除離職或調(diào)職員工的基礎(chǔ)平臺賬戶員工離職時，離職人員需要通過人力資源部領(lǐng)取工作移交清單，由信息技術(shù)部人員確認(rèn)各系統(tǒng)帳號(非業(yè)務(wù)系統(tǒng)類)并關(guān)閉后簽字確認(rèn)。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗查閱工作移交清單，檢查信息技術(shù)部是否及時關(guān)閉離職員工系統(tǒng)賬號IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未經(jīng)授權(quán)變更基礎(chǔ)平臺權(quán)限設(shè)置各系統(tǒng)應(yīng)用處室根據(jù)需要通過OA系統(tǒng)IT資源申請向數(shù)據(jù)中心提出權(quán)限設(shè)置變更需求，數(shù)據(jù)中心審核后，由數(shù)據(jù)管理崗負(fù)責(zé)實施。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查基礎(chǔ)平臺權(quán)限設(shè)置變更是否經(jīng)過授權(quán)IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未經(jīng)授權(quán)使用超級賬號用戶根據(jù)需要使用系統(tǒng)管理員帳號，必須通過OA系統(tǒng)IT資源申請流程向數(shù)據(jù)中心申請對應(yīng)的資源和權(quán)限，審核通過后由數(shù)據(jù)管理崗負(fù)責(zé)實施變更。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查系統(tǒng)管理員賬號申請是否經(jīng)過審核IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理賬號授權(quán)不當(dāng)1、根據(jù)職責(zé)和工作需求為不同的用戶開通不同的權(quán)限。

2、根據(jù)崗位職責(zé)進行授權(quán)：賬號的授權(quán)必須通過OA系統(tǒng)IT資源申請流程向數(shù)據(jù)中心申請對應(yīng)的資源和權(quán)限，審核通過后由數(shù)據(jù)管理崗負(fù)責(zé)實施變更。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查用戶權(quán)限與其職責(zé)和工作需求是否匹配IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理變更對業(yè)務(wù)的影響未被最小化對現(xiàn)有應(yīng)用系統(tǒng)產(chǎn)生影響的變更，例如因?qū)嵤┳兏枰C或者中止業(yè)務(wù)，均需在變更實施前提前通知有關(guān)人員做好業(yè)務(wù)調(diào)整，實施過程中應(yīng)嚴(yán)格按照IT資源變更流程做好實施方案、應(yīng)急預(yù)案，待實施完成后再次通告。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查變更之前是否通知，是否編制實施、應(yīng)急方案IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理系統(tǒng)基礎(chǔ)軟件設(shè)施配置變更未進行測試各系統(tǒng)基礎(chǔ)軟件配置在變更前，需要在測試環(huán)境進行充分的測試，檢驗配置變更的穩(wěn)定性；不具備測試環(huán)境測試條件的系統(tǒng)，則與業(yè)務(wù)部門進行充分溝通，在適當(dāng)?shù)臅r間如夜里、周末等時間進行變更測試操作。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查系統(tǒng)基礎(chǔ)軟件配置變更后是否進行測試IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未能及時升級操作系統(tǒng)或設(shè)置實時監(jiān)控數(shù)據(jù)中心第一時間獲得第三方提供的版本升級信息，數(shù)據(jù)管理崗評估是否升級，領(lǐng)導(dǎo)審批通過后予以升級。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查是否定期升級操作系統(tǒng)IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未部署防火墻核心交換機為Cisco6509A，6509B，承擔(dān)全公司數(shù)據(jù)的存儲轉(zhuǎn)發(fā)，并通過兩條光纖與財產(chǎn)險總公司核心路由器進行三層連接，通過BGP路由與全國各地健康險二級省級分公司及三級機構(gòu)互相訪問。核心路由器為2臺Cisco7206，做為專線接入以及路由策略的部署端,連接來自豐匯總部和本地以及外聯(lián)應(yīng)用（銀行，社保）專線。使用兩臺ciscoasa5520做為外網(wǎng)防火墻，連接10m公網(wǎng)專線.并劃分DMZ區(qū)域提供部分外網(wǎng)服務(wù)器(例:webserver)的訪問，承擔(dān)外網(wǎng)安全訪問任務(wù)。

交換機Cisco6509C，6509D連接兩臺核心業(yè)務(wù)系統(tǒng)主機P595，并通過FWSM防火墻模塊，以Failover方式承擔(dān)核心業(yè)務(wù)系統(tǒng)主機的NAT映射以及訪問安全策略的部署工作。6509A，6509B連接兩臺CiscoPIX525防火墻，同樣采用Failover方式連接兩臺承擔(dān)核心業(yè)務(wù)系統(tǒng)查詢?nèi)蝿?wù)的主機P590，并通過NAT映射做到安全訪問。自動預(yù)防性不適用否總公司信息技術(shù)部信息安全管理崗檢查是否部署防火墻IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理因應(yīng)用系統(tǒng)、主機、網(wǎng)絡(luò)設(shè)備的安全漏洞而產(chǎn)生潛在風(fēng)險第三方廠商提供專業(yè)服務(wù)，定期巡檢，并且第一時間為數(shù)據(jù)中心發(fā)送最新安全漏洞的通知，并采取相應(yīng)措施查找排除安全漏洞。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查是否定期查找排除安全漏洞IT信息系統(tǒng)總體管理信息安全管理IT基礎(chǔ)架構(gòu)運行維護管理未對省級分公司信息系統(tǒng)建設(shè)制定統(tǒng)一的要求總公司制定《中國*股份有限公司省級分公司信息系統(tǒng)建設(shè)管理規(guī)定》，對省級分公司信息系統(tǒng)建設(shè)提出統(tǒng)一的要求，包括人員配置與管理，網(wǎng)絡(luò)、布線等硬件系統(tǒng)建設(shè)，視頻會議系統(tǒng)建設(shè)，軟件系統(tǒng)建設(shè)等。由總公司信息技術(shù)部門負(fù)責(zé)解釋并檢查、監(jiān)督執(zhí)行情況。人工預(yù)防性不適用否總公司信息技術(shù)部部門負(fù)責(zé)人查閱省級分公司信息系統(tǒng)建設(shè)管理規(guī)定，檢查是否對省級分公司信息系統(tǒng)建設(shè)提出統(tǒng)一的要求第二節(jié)計算機機房管理一、控制目標(biāo)規(guī)范計算機機房管理流程，加強公司對計算機機房的管理，保證公司系統(tǒng)的正常穩(wěn)定運行。二、流程介紹（一）業(yè)務(wù)范圍包括各類人員進出機房管理、巡檢機房設(shè)備、異常處理、填寫機房日志、歸檔等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部（三）流程描述1.機房管理員進出機房總公司信息技術(shù)部機房管理員隨時填寫進出登記表后都可以直接進出機房，登記表中填寫進出時間，并簽字。2.非機房管理員（公司員工）進入機房非機房管理員未經(jīng)同意不得進入機房，確因工作需要進入機房的，應(yīng)履行登記手續(xù)填寫登記表（登記表中填寫進出時間、并由非機房管理員和機房管理員簽字），并由總公司信息技術(shù)部機房管理員陪同進入。并在規(guī)定時間結(jié)束時離開機房。3.外來人員（非公司員工）進入機房外來人員進入機房必須由機房管理員發(fā)送郵件提交總公司信息技術(shù)部領(lǐng)導(dǎo)批準(zhǔn)。審批通過后在登記表中填寫進出時間、并由外來人員和總公司信息技術(shù)部機房管理員簽字確認(rèn)，由總公司信息技術(shù)部機房管理員陪同進入，并在規(guī)定時間結(jié)束時離開機房。4.巡檢機房設(shè)備總公司信息技術(shù)部機房管理員每天上午9點左右檢查機房內(nèi)的所有設(shè)備,機房環(huán)境是否有異常，填寫巡檢報告。5.異常處理總公司信息技術(shù)部機房管理員任何時候如發(fā)現(xiàn)計算機信息系統(tǒng)在運行過程中出現(xiàn)的異常現(xiàn)象，應(yīng)立即向總公司信息技術(shù)部數(shù)據(jù)中心處負(fù)責(zé)人報告，并聯(lián)系該系統(tǒng)歸口負(fù)責(zé)人及時排查與解決，做“信息系統(tǒng)安全應(yīng)急預(yù)案”的處理。6.填寫機房日志總公司信息技術(shù)部機房管理員在巡檢完成后要記錄計算機運行情況、操作維護以及突發(fā)異常情況等有關(guān)資料，形成巡檢報告。異常情況需要紙質(zhì)或郵件形式發(fā)送給總公司信息技術(shù)部全體人員。7.歸檔總公司信息技術(shù)部機房管理員要將巡檢報告等有關(guān)資料，在巡檢完成后進行歸檔存放。三、流程圖無四、主要風(fēng)險控制點1.未對計算機機房進行定期維護2.未對重要系統(tǒng)和設(shè)備的操作進行監(jiān)控3.機房的物理訪問授權(quán)不明確4.機房設(shè)備未得到合適的監(jiān)控和管理五、控制制度《中國*股份有限公司信息安全總體策略》六、相關(guān)監(jiān)管要求《計算機機房區(qū)管理暫行規(guī)定》七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理計算機機房管理未對計算機機房進行定期維護建立完整的機房工作日志，記錄計算機運行情況、操作維護以及突發(fā)異常情況等，機房管理員每天定期檢查安全保障設(shè)備，確保其處于正常工作狀態(tài)。人工檢查性每天一次否總公司信息技術(shù)部機房管理員查閱機房工作日志，檢查是否定期對機房進行維護IT信息系統(tǒng)總體管理信息安全管理計算機機房管理未對重要系統(tǒng)和設(shè)備的操作進行監(jiān)控對計算機信息系統(tǒng)在運行過程中出現(xiàn)的異?，F(xiàn)象，以及有關(guān)安全制度在執(zhí)行過程中出現(xiàn)的問題，總公司信息技術(shù)部機房管理員直接向領(lǐng)導(dǎo)報告，對影響范圍大、后果嚴(yán)重的問題同時向信息技術(shù)部負(fù)責(zé)人報告。硬件設(shè)備發(fā)生故障進行維修時，提供硬件設(shè)備故障分析報告。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部機房管理員查閱硬件設(shè)備故障分析報告等措施，檢查是否對重要系統(tǒng)和設(shè)備的操作進行監(jiān)控IT信息系統(tǒng)總體管理信息安全管理計算機機房管理機房的物理訪問授權(quán)不明確外來人員（非公司員工）進入機房必須由機房管理員發(fā)送郵件提交信息技術(shù)部領(lǐng)導(dǎo)批準(zhǔn)。審批通過后在登記表中填寫進出時間、并由外來人員和總公司信息技術(shù)部機房管理員簽字確認(rèn)，由機房管理員陪同進入，并在規(guī)定時間結(jié)束時離開機房。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部機房管理員查閱機房登記表和申請郵件，檢查外來人員進入機房是否經(jīng)過適當(dāng)審批，是否登記IT信息系統(tǒng)總體管理信息安全管理計算機機房管理機房的物理訪問授權(quán)不明確非機房管理員（公司員工）未經(jīng)同意不得進入機房，確因工作需要進入機房的，應(yīng)履行登記手續(xù)填寫登記表（登記表中填寫進出時間、并由非機房管理員和機房管理員簽字），并由總公司信息技術(shù)部機房管理員陪同進入。并在規(guī)定時間結(jié)束時離開機房。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部機房管理員查閱機房登記表，檢查非機房管理員進入機房是否登記IT信息系統(tǒng)總體管理信息安全管理計算機機房管理機房設(shè)備未得到合適的監(jiān)控和管理總公司信息技術(shù)部機房管理人員使用設(shè)備管理軟件或電子表格對機房內(nèi)設(shè)備做好登記，記錄現(xiàn)有設(shè)備的型號、配置、位置、狀態(tài)等信息，以便跟蹤設(shè)備變化。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部機房管理員查閱機房設(shè)備記錄信息第三節(jié)介質(zhì)安全管理一、控制目標(biāo)規(guī)范介質(zhì)安全管理流程，保障公司信息安全。二、流程介紹（一）業(yè)務(wù)范圍包括介質(zhì)借閱或歸還申請及審核、核對登記介質(zhì)和借用表等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部、介質(zhì)使用部門（三）流程描述1.介質(zhì)借閱或歸還總公司員工通過郵件系統(tǒng)向數(shù)據(jù)管理崗提出借閱或歸還介質(zhì)的請求。2.填寫介質(zhì)借閱表或簽字歸還總公司員工需要使用時、需憑批準(zhǔn)部門領(lǐng)導(dǎo)審核批準(zhǔn)通過的郵件手續(xù)到數(shù)據(jù)管理崗登記，填寫介質(zhì)借用表，歸還時也需在介質(zhì)借用表上簽字確認(rèn)歸還。3.審核審核介質(zhì)申請單信息總公司信息技術(shù)部數(shù)據(jù)管理崗對介質(zhì)申請單進行審核，如果批復(fù)同意則進行歸檔操作，如果批復(fù)不同意則返回進行填寫介質(zhì)借閱表或簽字歸還操作。4.歸檔介質(zhì)申請單總公司信息技術(shù)部數(shù)據(jù)管理崗對介質(zhì)申請單進行歸檔。5.核對登記介質(zhì)和借用表總公司信息技術(shù)部保管人員應(yīng)每月對登記介質(zhì)和借用表核對，核對介質(zhì)數(shù)量、借用信息及歸還情況。三、流程圖四、主要風(fēng)險控制點1.介質(zhì)未處于安全適宜的物理環(huán)境中2.備份介質(zhì)不安全，備份數(shù)據(jù)的可用性受影響3.未經(jīng)授權(quán)訪問備份介質(zhì)中的敏感數(shù)據(jù)4.未能保障介質(zhì)中信息的保密性五、控制制度《中國*股份有限公司信息安全總體策略》六、相關(guān)監(jiān)管要求《保險公司信息系統(tǒng)安全管理指引(試行)》七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理介質(zhì)安全管理介質(zhì)未處于安全適宜的物理環(huán)境中按國家標(biāo)準(zhǔn)《電子計算機機房設(shè)計規(guī)范》的要求存放介質(zhì)。介質(zhì)由專人統(tǒng)一管理,分類標(biāo)記并作明確的標(biāo)識，存放在介質(zhì)保管柜后統(tǒng)一登記。人工預(yù)防性不適用否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查是否妥善保存介質(zhì)IT信息系統(tǒng)總體管理信息安全管理介質(zhì)安全管理備份介質(zhì)不安全1.信息技術(shù)部每半年定期對備份數(shù)據(jù)進行恢復(fù)性測試工作，并記錄保存測試結(jié)果。

2.長期保存的備份介質(zhì)，必須按照制造廠商確定的存儲壽命定期轉(zhuǎn)儲，磁盤、磁帶、軟盤的介質(zhì)使用有效期規(guī)定為三年，三年后更換新介質(zhì)進行備份；

3、備份介質(zhì)必須指定專人存取，其他人員未經(jīng)批準(zhǔn)不準(zhǔn)操作。人工檢查性每半年一次否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查是否定期對備份數(shù)據(jù)進行恢復(fù)性測試IT信息系統(tǒng)總體管理信息安全管理介質(zhì)安全管理未經(jīng)授權(quán)訪問備份介質(zhì)中的敏感數(shù)據(jù)個人需要使用時需憑批準(zhǔn)手續(xù)到介質(zhì)管理員處登記，填寫介質(zhì)借用表，歸還時也需在介質(zhì)借用表上簽字確認(rèn)歸還。保管人員應(yīng)每月對登記介質(zhì)和借用表核對。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查備份介質(zhì)訪問是否授權(quán)，是否填寫介質(zhì)使用表IT信息系統(tǒng)總體管理信息安全管理介質(zhì)安全管理未能保障介質(zhì)中信息的保密性對存儲介質(zhì)的購置、分發(fā)、使用、維修、廢棄、銷毀等各個環(huán)節(jié)、都應(yīng)認(rèn)真重視，做好防泄密工作。重要的資料至少應(yīng)有兩種存儲介質(zhì)的數(shù)據(jù)存儲設(shè)備。工作人員工作時使用的光盤、磁帶、硬盤、U盤等存儲介質(zhì)，不得隨意給外人使用，不得帶出辦公場所。對已損壞的光盤、磁帶、硬盤、U盤等存儲介質(zhì)，不得隨意丟棄，應(yīng)交專人統(tǒng)一處理。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查損壞的介質(zhì)是否由專人處理第四節(jié)數(shù)據(jù)安全管理一、控制目標(biāo)規(guī)范數(shù)據(jù)安全管理流程，保證公司數(shù)據(jù)信息的安全。二、流程介紹（一）業(yè)務(wù)范圍包括編輯數(shù)據(jù)質(zhì)量簡報、審核數(shù)據(jù)質(zhì)量簡報、修改數(shù)據(jù)質(zhì)量簡報、提交數(shù)據(jù)質(zhì)量簡報、發(fā)布數(shù)據(jù)質(zhì)量簡報。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部、辦公室（三）流程描述1.數(shù)據(jù)備份至介質(zhì)總公司信息技術(shù)部數(shù)據(jù)管理崗每天將業(yè)務(wù)數(shù)據(jù)，必須定期、完整、真實、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)上（目前以磁帶為主）。2.介質(zhì)轉(zhuǎn)移備份數(shù)據(jù)的磁帶由總公司信息技術(shù)部數(shù)據(jù)管理崗負(fù)責(zé)保管，分?jǐn)?shù)據(jù)中心機房和公司總部職場兩地存放。數(shù)據(jù)管理崗每周一、四定期將數(shù)據(jù)備份磁帶交由總公司辦公室專人送至總部職場，由總部職場的IT人員將備份磁帶保存到到指定地點。3.介質(zhì)保管總公司信息技術(shù)部數(shù)據(jù)管理崗將備份好的介質(zhì)妥善保管（總部）。4.介質(zhì)登記與核對總公司信息技術(shù)部數(shù)據(jù)管理崗須對備份數(shù)據(jù)磁帶的內(nèi)容和查詢等進行登記記錄，每半年對備份數(shù)據(jù)磁帶的目錄清單進行盤點。5.備份介質(zhì)銷毀備份介質(zhì)銷毀須經(jīng)總公司信息技術(shù)部負(fù)責(zé)人審核批準(zhǔn)，由數(shù)據(jù)管理員進行操作，并做好完整記錄。銷毀前必須清除介質(zhì)中的敏感數(shù)據(jù)備份，再在負(fù)責(zé)人的監(jiān)控下進行徹底的物理銷毀，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀。6.備份數(shù)據(jù)恢復(fù)及演練總公司信息技術(shù)部數(shù)據(jù)管理崗每半年定期對備份數(shù)據(jù)進行恢復(fù)性測試工作，并記錄保存測試結(jié)果。在進行恢復(fù)性測試前，數(shù)據(jù)管理崗詳細(xì)制定恢復(fù)性測試方案并在測試機上進行備份數(shù)據(jù)恢復(fù)工作，根據(jù)測試結(jié)果及時修改或更新災(zāi)難恢復(fù)計劃。7.數(shù)據(jù)保密公司制定數(shù)據(jù)保密的具體要求，嚴(yán)格規(guī)范工作流程和員工行為，確保數(shù)據(jù)安全。三、流程圖四、主要風(fēng)險控制點1.數(shù)據(jù)安全的管理不規(guī)范2.數(shù)據(jù)安全管理部門和崗位職責(zé)不明確3.未定期進行備份，備份中出現(xiàn)的異常未得到妥善處理4.未對備份恢復(fù)做出正確處理，備份數(shù)據(jù)的可用性受影響5.備份數(shù)據(jù)的銷毀未經(jīng)適當(dāng)?shù)氖跈?quán)和處理6.未制定公司統(tǒng)計信息報送管理規(guī)定7.信息技術(shù)部統(tǒng)計信息的執(zhí)行不到位五、控制制度《中國*股份有限公司統(tǒng)計信息報送管理規(guī)定(修訂)》《中國*股份有限公司數(shù)據(jù)安全管理規(guī)定（修訂）》六、相關(guān)監(jiān)管要求《保險公司信息系統(tǒng)安全管理指引(試行)》七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理數(shù)據(jù)安全的管理不規(guī)范總公司制定《中國*股份有限公司數(shù)據(jù)安全管理規(guī)定（修訂）》，對工作機構(gòu)和崗位、備份的范圍、備份的方法、備份的頻率、備份的要求、備份數(shù)據(jù)的保存方法、備份銷毀、備份數(shù)據(jù)恢復(fù)及演練、防病毒、數(shù)據(jù)保密都做了明確的規(guī)定。人工預(yù)防性不適用否總公司信息技術(shù)部部門負(fù)責(zé)人、數(shù)據(jù)管理崗檢查是否制定數(shù)據(jù)安全管理規(guī)定IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理數(shù)據(jù)安全管理部門和崗位職責(zé)不明確總公司信息技術(shù)部是公司數(shù)據(jù)安全的的管理部門，負(fù)責(zé)數(shù)據(jù)安全工作的制度制訂、方案設(shè)計、定期檢查等。信息技術(shù)部數(shù)據(jù)中心處是數(shù)據(jù)安全工作的具體技術(shù)實施處室。

公司數(shù)據(jù)安全的重點、敏感崗位為數(shù)據(jù)中心處系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗和軟件處軟件開發(fā)崗，以上崗位的員工需不定期接受安全保密教育、安全技能培訓(xùn)，以及安全審計。人工預(yù)防性不適用否總公司信息技術(shù)部部門負(fù)責(zé)人、數(shù)據(jù)中心負(fù)責(zé)人、數(shù)據(jù)管理崗檢查是否明確數(shù)據(jù)安全管理部門和崗位職責(zé)IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理未定期進行備份，備份中出現(xiàn)的異常未得到妥善處理1.備份操作人員每天早上進行系統(tǒng)巡檢，將備份操作情況記錄在巡檢工作清單中，對失敗的備份操作需進行及時跟進和匯報；

2.備份操作人員每天早上將巡檢操作清單通過郵件發(fā)送數(shù)據(jù)中心全體，數(shù)據(jù)中心相關(guān)檢查人員須定期檢查巡檢工作清單，確保備份工作的完整性和備份操作的異常問題得到適當(dāng)處理。人工-自動檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部數(shù)據(jù)管理崗檢查是否按照公司規(guī)定定期進行備份，是否對備份異常情況進行處理IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理未對備份恢復(fù)做出正確處理1.恢復(fù)備份數(shù)據(jù)前備份管理員填寫數(shù)據(jù)恢復(fù)申請表，由需求部門以及備份管理部門相關(guān)負(fù)責(zé)人審批后方可進行備份恢復(fù)操作；

2.安全負(fù)責(zé)人每半年審閱備份恢復(fù)的審批文檔及備份恢復(fù)工作的系統(tǒng)日志，確保備份恢復(fù)工作的合規(guī)性。人工檢查性每半年一次否總公司信息技術(shù)部、相關(guān)需求部門需求部門負(fù)責(zé)人、信息技術(shù)部安全負(fù)責(zé)人、數(shù)據(jù)管理崗檢查備份恢復(fù)是否經(jīng)過審批IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理備份數(shù)據(jù)的銷毀未經(jīng)適當(dāng)?shù)氖跈?quán)和處理備份介質(zhì)銷毀須經(jīng)相關(guān)負(fù)責(zé)人審核批準(zhǔn)，并做好完整記錄。銷毀前必須清除介質(zhì)中的敏感數(shù)據(jù)備份，再在負(fù)責(zé)人的監(jiān)控下進行徹底的物理銷毀，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部相關(guān)負(fù)責(zé)人、數(shù)據(jù)管理崗檢查備份數(shù)據(jù)的銷毀是否經(jīng)適當(dāng)?shù)氖跈?quán)和處理IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理未制定公司統(tǒng)計信息報送管理規(guī)定總公司制定《中國*股份有限公司統(tǒng)計信息報送管理規(guī)定(修訂)》，規(guī)范經(jīng)總公司信息技術(shù)部統(tǒng)一對外報送的信息，包括統(tǒng)計信息報送工作的組織、統(tǒng)計信息報送內(nèi)容、計信息報送時間、統(tǒng)計信息的提供流程、統(tǒng)計信息報送工作的責(zé)任等。人工預(yù)防性不適用否總公司信息技術(shù)部部門負(fù)責(zé)人、統(tǒng)計報送崗檢查是否制定公司統(tǒng)計信息報送管理規(guī)定IT信息系統(tǒng)總體管理信息安全管理數(shù)據(jù)安全管理信息技術(shù)部統(tǒng)計信息的執(zhí)行不到位總公司信息技術(shù)部對內(nèi)部報送單位提供的數(shù)據(jù)，按要求匯總，制作表格，撰寫報告，并報公司分管領(lǐng)導(dǎo)審批，審批通過后，正式向保監(jiān)會（保監(jiān)局）、統(tǒng)計局、*集團報送監(jiān)管數(shù)據(jù)或分析報告。報送流程中如有需要，負(fù)責(zé)相應(yīng)報送內(nèi)容的部門相關(guān)負(fù)責(zé)人也需要在報送情況審核登記表中簽字確認(rèn)。

總公司信息技術(shù)部在審核內(nèi)部報送單位提供的數(shù)據(jù)與報送流程時，如發(fā)現(xiàn)數(shù)據(jù)錯誤與流程不規(guī)范的情況，可以要求內(nèi)部報送單位重新報送。

在統(tǒng)計信息報送的審核過程中，如遇審批人因公外出等特殊情況，審批人應(yīng)當(dāng)授權(quán)他人完成審批流程，以避免影響報送實效。人工預(yù)防性不適用否總裁室、總公司信息技術(shù)部分管領(lǐng)導(dǎo)、信息技術(shù)部負(fù)責(zé)人、統(tǒng)計報送崗檢查是否按照信息報送管理規(guī)定對外報送信息第五節(jié)員工信息安全管理一、控制目標(biāo)規(guī)范員工信息安全管理流程，保障員工在招聘、上崗、離職等過程中的信息安全管理，降低人員信息安全風(fēng)險，提高信息安全管理水平。二、流程介紹（一）業(yè)務(wù)范圍包括員工入職、在職、離職信息安全管理，員工信息安全教育與培訓(xùn)信息安全管理、防病毒信息安全管理等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部（三）流程描述1.員工入職信息安全管理新員工簽定的勞動合同或其它協(xié)議中應(yīng)明確員工的信息安全責(zé)任，并應(yīng)包括與信息安全相關(guān)的保密條款，并根據(jù)需要決定是否對應(yīng)聘人員的相關(guān)背景進行嚴(yán)格審查，如有需要，合同中應(yīng)明確該責(zé)任在結(jié)束合同關(guān)系一段特定的時間內(nèi)仍然有效。2.員工在職信息安全管理員工的信息安全教育、培訓(xùn)、認(rèn)識、行為、崗位分離過程中應(yīng)完成的安全管理目標(biāo)和相應(yīng)措施。3.員工離職信息安全管理員工離職（包括崗位變動、解除勞動關(guān)系等）依據(jù)《中國*股份有限公司員工信息安全管理規(guī)定》中相關(guān)規(guī)定審查信息安全的相關(guān)內(nèi)容，包括工作資料、信息資產(chǎn)和各類計算機設(shè)備的交回、取消其在原崗位的系統(tǒng)權(quán)限等處理（省級分公司員工離職，由省級分公司信息技術(shù)崗和人力上報人員名單，由總公司相關(guān)人員處理）。4.員工信息安全教育與培訓(xùn)信息安全管理信息安全教育和培訓(xùn)應(yīng)貫穿員工在工作的全過程，包括：新員工入司教育與培訓(xùn)、崗前教育與培訓(xùn)和在崗教育與培訓(xùn)。對員工的信息安全教育與培訓(xùn)應(yīng)保存相關(guān)記錄。5.防病毒信息安全管理員工應(yīng)依據(jù)《中國*股份有限公司員工信息安全管理規(guī)定》中相關(guān)規(guī)定進行防病毒工作，公司員工應(yīng)自覺進行防病毒軟件的升級和定期掃描檢測，不允許自行刪除、停用公司統(tǒng)一安裝的防病毒程序，或終止升級病毒庫等。公司員工將移動存儲設(shè)備或筆記本連接到公司電腦，必須事先進行病毒檢測；不允許利用辦公電腦設(shè)備訪問、下載與工作無關(guān)的網(wǎng)頁或程序；公司員工在發(fā)現(xiàn)自身電腦設(shè)備感染病毒之后，應(yīng)立即拔出網(wǎng)線，斷開與網(wǎng)絡(luò)的連接，并及時聯(lián)系IT人員進行檢查修復(fù)。三、流程圖無四、主要風(fēng)險控制點無五、控制制度無六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理員工信息安全管理工作人員對其信息安全職責(zé)缺乏充分的理解和執(zhí)行能力總公司制定《中國*股份有限公司員工信息安全管理規(guī)定》，對員工在招聘、上崗、離職等過程中應(yīng)采取的信息安全管理措施進行了明確說明。人工預(yù)防性不適用否總公司信息技術(shù)部部門負(fù)責(zé)人、相關(guān)崗位檢查是否在公司規(guī)定中明確信息安全管理措施IT信息系統(tǒng)總體管理信息安全管理員工信息安全管理工作人員對其信息安全職責(zé)缺乏充分的理解和執(zhí)行能力總公司建立信息安全教育和培訓(xùn)制度，將信息安全教育和培訓(xùn)貫穿員工工作的全過程，包括：新員工入司教育與培訓(xùn)、崗前教育與培訓(xùn)和在崗教育與培訓(xùn)。對員工的信息安全教育與培訓(xùn)應(yīng)保存相關(guān)記錄。人工預(yù)防性不適用否總公司信息技術(shù)部設(shè)備管理崗檢查在公司培訓(xùn)中是否添加信息安全教育的內(nèi)容IT信息系統(tǒng)總體管理信息安全管理員工信息安全管理密碼復(fù)雜度不夠，出現(xiàn)暴力破解總公司規(guī)定系統(tǒng)用戶嚴(yán)格按照以下要求設(shè)置用戶密碼：(一)用戶密碼長度至少為8位；

(二)密碼中必須含有數(shù)字和字符；

(三)密碼不是用戶的姓名、生日和電話號碼及其他容易猜測的字符組合；

(四)不要將密碼隨意記錄在各種媒介上；

(五)不要將密碼保存在計算機上；

(六)最多六個月必須更改一次密碼；

(七)不允許使用以前使用過的密碼；

(八)輸入密碼時應(yīng)確認(rèn)沒有人偷窺；

(九)禁止在沒有確認(rèn)對方身份和權(quán)限時透露密碼。

系統(tǒng)中內(nèi)置了密碼校驗規(guī)則，如密碼設(shè)置時不為8位，將提醒用戶；密碼要求3個月更換一次，到期了登陸時告知超期需要修改密碼，直接跳轉(zhuǎn)到密碼修改頁面，不修改密碼無法登陸系統(tǒng)；密碼必須包含數(shù)字和字母，如不滿足，則強制要求其必須滿足。人工預(yù)防性不適用否總公司信息技術(shù)部、相關(guān)業(yè)務(wù)部門業(yè)務(wù)管理崗檢查對于不滿足設(shè)置要求的密碼，系統(tǒng)是否提醒第六節(jié)信息系統(tǒng)安全應(yīng)急預(yù)案一、控制目標(biāo)規(guī)范信息系統(tǒng)安全應(yīng)急預(yù)案管理流程，確保公司信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度減輕信息系統(tǒng)安全突發(fā)事件的危害，保障公司業(yè)務(wù)正常開展。二、流程介紹（一）業(yè)務(wù)范圍包括上報系統(tǒng)緊急情況或故障、突發(fā)事件定級及故障分類級別調(diào)整、I,II,III和IV級應(yīng)急運行、故障排除通知發(fā)布、應(yīng)急保障演練等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司、各級分支機構(gòu)涉及部門：總公司信息技術(shù)部、各分支機構(gòu)相關(guān)部門（三）流程描述1.上報系統(tǒng)緊急情況或故障公司員工在發(fā)現(xiàn)信息系統(tǒng)緊急情況或故障發(fā)生后，應(yīng)立即通過郵件或電話方式上報總公司信息技術(shù)部針對該系統(tǒng)分派的歸口管理人員。2.突發(fā)事件定級總公司信息技術(shù)部歸口管理人員在初步了解故障現(xiàn)象后，要及時協(xié)調(diào)相關(guān)方面技術(shù)人員、分支機構(gòu)指定聯(lián)系人、事故上報人，在短時間內(nèi)（一般要在半小時以內(nèi)）依據(jù)故障情形和預(yù)計修復(fù)時間進行初判，確定故障分類級別，判定突發(fā)事件分為I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），并根據(jù)分級向?qū)?yīng)的人匯報。3.故障分類級別調(diào)整根據(jù)不同的故障分類級別，采取相應(yīng)措施進行信息系統(tǒng)應(yīng)急處理。故障處理過程中，必要時應(yīng)急辦工作領(lǐng)導(dǎo)小組可根據(jù)需要及時調(diào)整故障級別。4.I（特別重大）應(yīng)急運行I（特別重大）：應(yīng)急工作領(lǐng)導(dǎo)小組常務(wù)副組長應(yīng)立即向組長匯報情況，應(yīng)急工作領(lǐng)導(dǎo)小組組長馬上組織應(yīng)急辦各工作組召開會議，商議并部署相關(guān)工作（解決方案和上報流程），隨時對事態(tài)發(fā)展情況進行監(jiān)控了解。總公司應(yīng)及時通過OA向中國保監(jiān)會辦公廳報告，事件發(fā)生分支機構(gòu)應(yīng)當(dāng)及時向所在地保監(jiān)會派出機構(gòu)報告。5.II（重大）應(yīng)急運行II（重大）：應(yīng)急工作領(lǐng)導(dǎo)小組常務(wù)副組長應(yīng)立即向組長匯報情況，并按照信息安全管理崗制定的解決方案組織部署相關(guān)工作，將事態(tài)發(fā)展情況隨時向應(yīng)急工作領(lǐng)導(dǎo)小組組長匯報。6.III(較大)和IV(一般)應(yīng)急運行III(較大)：相關(guān)處室負(fù)責(zé)人應(yīng)立即按照信息安全管理崗制定的解決方案組織部署相關(guān)工作，將事態(tài)發(fā)展情況隨時向應(yīng)急工作領(lǐng)導(dǎo)小組常務(wù)副組長匯報。IV(一般)：系統(tǒng)歸口管理人員應(yīng)立即按照信息安全管理崗制定的解決方案開展故障恢復(fù)工作，將事態(tài)發(fā)展情況隨時向處室負(fù)責(zé)人匯報。7.故障排除通知發(fā)布總公司信息技術(shù)部信息安全管理崗和應(yīng)急工作小組成員進行事件故障排除后的一序列操作檢查，并對故障排除進行確認(rèn)和通過OA或者郵件發(fā)布通知。8.應(yīng)急保障，演練總公司信息技術(shù)部信息安全管理崗在突發(fā)事件發(fā)生后或演練結(jié)束后，根據(jù)實際情況實時調(diào)整應(yīng)急預(yù)案，定期開展信息系統(tǒng)安全應(yīng)急負(fù)責(zé)人和工作人員的培訓(xùn)，確保相關(guān)人員熟悉應(yīng)預(yù)案。三、流程圖四、主要風(fēng)險控制點1.未及時妥當(dāng)處理信息安全事件2.未及時調(diào)整或演練應(yīng)急預(yù)案五、控制制度《中國*股份有限公司信息系統(tǒng)安全應(yīng)急預(yù)案》六、相關(guān)監(jiān)管要求《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機病毒防治管理辦法》《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》《保險業(yè)重大突發(fā)事件應(yīng)急處理規(guī)定》《中國*信息化工作管理規(guī)定》七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理信息系統(tǒng)安全應(yīng)急預(yù)案未及時妥當(dāng)處理信息安全事件總公司信息技術(shù)部歸口管理人員在初步了解故障現(xiàn)象后，要及時協(xié)調(diào)相關(guān)方面技術(shù)人員、分支機構(gòu)指定聯(lián)系人、事故上報人，在短時間內(nèi)（一般要在半小時以內(nèi)）依據(jù)故障情形和預(yù)計修復(fù)時間進行初判，確定故障分類級別，判定突發(fā)事件分為I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），并根據(jù)分級向?qū)?yīng)的人匯報。根據(jù)不同的故障分類級別，采取相應(yīng)措施進行信息系統(tǒng)應(yīng)急處理。故障處理過程中，必要時應(yīng)急辦工作領(lǐng)導(dǎo)小組根據(jù)需要及時調(diào)整故障級別。信息安全管理崗和應(yīng)急工作小組成員進行事件故障排除后的一序列操作檢查，并對故障排除進行確認(rèn)和通過OA或者郵件發(fā)布通知。人工檢查性業(yè)務(wù)發(fā)生時否應(yīng)急工作領(lǐng)導(dǎo)小組、總公司信息技術(shù)部應(yīng)急工作領(lǐng)導(dǎo)小組成員、信息技術(shù)部歸口管理人員檢查是否按照公司規(guī)定及時妥當(dāng)處理信息安全事件IT信息系統(tǒng)總體管理信息安全管理信息系統(tǒng)安全應(yīng)急預(yù)案未及時調(diào)整應(yīng)急預(yù)案總公司信息技術(shù)部信息安全管理崗在突發(fā)事件發(fā)生后或演練結(jié)束后，根據(jù)實際情況實時調(diào)整應(yīng)急預(yù)案，定期開展信息系統(tǒng)安全應(yīng)急負(fù)責(zé)人和工作人員的培訓(xùn)，確保相關(guān)人員熟悉應(yīng)預(yù)案。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部信息安全管理崗檢查是否及時調(diào)整應(yīng)急預(yù)案第七節(jié)移動辦公設(shè)備借用歸還一、控制目標(biāo)規(guī)范公司移動辦公設(shè)備借用歸還流程，保證移動辦公設(shè)備從借用到歸還的順利實施。二、流程介紹（一）業(yè)務(wù)范圍包括設(shè)備借用的批準(zhǔn)與使用、涉密信息的刪除、設(shè)備的歸還與備入庫等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部（三）流程描述1.設(shè)備借用的批準(zhǔn)總公司設(shè)備借用人按工作需要隨時向設(shè)備管理崗提出借用設(shè)備的申請（口頭或紙質(zhì)申請）。2.設(shè)備的領(lǐng)取總公司信息技術(shù)部設(shè)備管理崗根據(jù)設(shè)備借用需求現(xiàn)場核對設(shè)備，并要求設(shè)備申請人填寫設(shè)備借用申請表，填寫預(yù)計歸還時間、借用理由，并由設(shè)備借用人簽字確認(rèn)后領(lǐng)取設(shè)備。3.設(shè)備使用設(shè)備借用人對設(shè)備的正常使用，不得私自安裝或卸載電腦上的軟件，不得對電腦進行私自的重新安裝及格式化。需在歸還日期之前歸還設(shè)備。4.刪除涉密信息歸還借用設(shè)備時，設(shè)備借用人應(yīng)確認(rèn)刪除了設(shè)備上的涉密信息，否則引起的泄密責(zé)任由使用者自行承擔(dān)。5.設(shè)備的歸還總公司信息技術(shù)部設(shè)備管理崗人員現(xiàn)場核對設(shè)備的型號、數(shù)量、是否損壞、是否刪除涉密信息；如果設(shè)備型號、數(shù)量或者出現(xiàn)人為的損壞，需要申請人核查或者賠償；對于未刪除涉密信息的設(shè)備，由設(shè)備管理崗人員負(fù)責(zé)刪除。設(shè)備檢查無誤后，設(shè)備管理崗填寫入設(shè)備歸還登記表，確認(rèn)設(shè)備歸還。6.設(shè)備入庫總公司信息技術(shù)部設(shè)備管理崗按要求進行設(shè)備入庫。三、流程圖四、主要風(fēng)險控制點1.未登記移動辦公設(shè)備借用情況2.未對歸還的移動辦公設(shè)備進行核查五、控制制度《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理移動辦公設(shè)備借用歸還未登記移動辦公設(shè)備借用情況總公司設(shè)備管理崗根據(jù)設(shè)備借用需求現(xiàn)場核對設(shè)備，并要求設(shè)備申請人填寫設(shè)備借用申請表，填寫預(yù)計歸還時間、借用理由，并由設(shè)備借用人簽字確認(rèn)。設(shè)備借用人領(lǐng)取設(shè)備。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部設(shè)備管理崗檢查是否登記移動辦公設(shè)備借用情況IT信息系統(tǒng)總體管理信息安全管理移動辦公設(shè)備借用歸還未對歸還的移動辦公設(shè)備進行核查總公司設(shè)備管理崗人員現(xiàn)場核對設(shè)備的型號、數(shù)量、是否損壞、是否刪除涉密信息；如果設(shè)備型號、數(shù)量或者出現(xiàn)人為的損壞，需要申請人核查或者賠償；對于未刪除涉密信息的設(shè)備，由設(shè)備管理崗人員負(fù)責(zé)刪除。設(shè)備檢查無誤后，設(shè)備管理崗填寫入設(shè)備歸還登記表，確認(rèn)設(shè)備歸還。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部設(shè)備管理崗檢查是否登記移動辦公設(shè)備歸還登記表第八節(jié)VPN賬戶管理一、控制目標(biāo)規(guī)范公司移動辦公系統(tǒng)的使用方法，保障公司核心數(shù)據(jù)及內(nèi)部網(wǎng)絡(luò)的安全。二流程介紹（一）業(yè)務(wù)范圍包括申請的提出與審批、VPN賬號的建立等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司、省級分公司、地市級機構(gòu)涉及部門：總公司信息技術(shù)部、相關(guān)業(yè)務(wù)部門，各分支機構(gòu)相關(guān)業(yè)務(wù)部門（三）流程描述1.提出申請申請人填寫《VPN帳號申請表》并通過郵件系統(tǒng)發(fā)送申請郵件給審批人(總公司為部門負(fù)責(zé)人，分支機構(gòu)為分支機構(gòu)負(fù)責(zé)人)審批。2.審批申請審批人在收到申請郵件后一個工作日內(nèi)進行審批，通過后回復(fù)郵件給申請人。3.提交申請收到審批人的回復(fù)郵件后，提交給vpn_apply@。4.建立VPN賬號總公司信息技術(shù)部網(wǎng)絡(luò)管理崗收到申請郵件后一個工作日內(nèi)通過移動辦公系統(tǒng)建立VPN帳號及密碼，指定可訪問的網(wǎng)絡(luò)資源，測試成功后通知用戶。三、流程圖四、主要風(fēng)險控制點1.未經(jīng)授權(quán)接入和訪問網(wǎng)絡(luò)2.未及時禁用或刪除VPN賬號五、控制制度《中國*股份有限公司信息安全總體策略》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理VPN賬戶管理未經(jīng)授權(quán)接入和訪問網(wǎng)絡(luò)申請人填寫《VPN帳號申請表》并通過郵件系統(tǒng)發(fā)送申請郵件給審批人(總公司為部門負(fù)責(zé)人，分支機構(gòu)為分支機構(gòu)負(fù)責(zé)人)審批，審批通過后，以郵件的形式通知申請人。人工預(yù)防性業(yè)務(wù)發(fā)生時是總公司及各級分支機構(gòu)相關(guān)業(yè)務(wù)部門總公司部門負(fù)責(zé)人/分支機構(gòu)負(fù)責(zé)人檢查VPN賬號申請是否經(jīng)過審批IT信息系統(tǒng)總體管理信息安全管理VPN賬戶管理未及時禁用或刪除VPN賬號（一）根據(jù)用戶“VPN帳號申請表”中的使用期限，信息技術(shù)部將到期的帳戶禁用或刪除。

（二）若申請VPN帳號的用戶無法確定使用期限，當(dāng)該人調(diào)離、退休或以其它方式不在其當(dāng)前崗位工作等情況，相關(guān)部門須及時告知信息技術(shù)部，由信息技術(shù)部相關(guān)人員將其帳號禁用或刪除。

（三）總公司信息技術(shù)部應(yīng)重視VPN帳號的管理，每3個月對所有帳號進行核對，檢查用戶名是否已過申請期限、密碼是否已3個月沒有修改等相關(guān)信息。人工檢查性不適用否總公司信息技術(shù)部網(wǎng)絡(luò)管理崗檢查是否按照公司規(guī)定及時禁用或刪除VPN賬號第九節(jié)移動辦公設(shè)備領(lǐng)用退庫一、控制目標(biāo)規(guī)范設(shè)備領(lǐng)用退庫的審核確認(rèn)流程，保證設(shè)備得到合理使用，設(shè)備的保管權(quán)責(zé)明晰。二、流程介紹（一）業(yè)務(wù)范圍包括設(shè)備領(lǐng)用的批準(zhǔn)及使用、設(shè)備退庫與入庫等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部（三）流程描述1.設(shè)備領(lǐng)用的批準(zhǔn)總公司設(shè)備領(lǐng)用人隨時根據(jù)相關(guān)要求，工作需要提出設(shè)備領(lǐng)用的申請（口頭、紙質(zhì)、郵件、OA等），交由部門領(lǐng)導(dǎo)審批。新入司（包括新入職和借調(diào)等）人員設(shè)備領(lǐng)用，由總公司人力資源部給設(shè)備管理崗直接發(fā)送通知，不需要領(lǐng)用人部門領(lǐng)導(dǎo)審批。2.設(shè)備的領(lǐng)用總公司信息技術(shù)部設(shè)備管理崗根據(jù)領(lǐng)導(dǎo)的審批意見，現(xiàn)場核對設(shè)備，在實物資產(chǎn)管理系統(tǒng)中填寫設(shè)備領(lǐng)用表，并由設(shè)備領(lǐng)用人簽字確認(rèn)設(shè)備領(lǐng)出。3.設(shè)備使用設(shè)備領(lǐng)用人對設(shè)備的正常使用，不得私自安裝或卸載電腦上的軟件，不得對電腦進行私自的重新安裝及格式化。4.設(shè)備退庫總公司信息技術(shù)部設(shè)備管理崗現(xiàn)場核對設(shè)備（數(shù)量、型號、是否損壞）；如果出現(xiàn)損壞需要領(lǐng)用人賠償。確認(rèn)無誤后，設(shè)備管理崗填寫設(shè)備退庫單。5.入庫總公司信息技術(shù)部設(shè)備管理崗對設(shè)備數(shù)據(jù)格式化，重裝系統(tǒng)，將設(shè)備入庫。三、流程圖四、主要風(fēng)險控制點1.移動辦公設(shè)備領(lǐng)用未經(jīng)合理授權(quán)2.未登記設(shè)備領(lǐng)用情況3.未對退庫的設(shè)備進行核查五、控制制度《中國*股份有限公司信息安全總體策略》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理信息安全管理移動辦公設(shè)備領(lǐng)用退庫移動辦公設(shè)備領(lǐng)用未經(jīng)合理授權(quán)設(shè)備領(lǐng)用人根據(jù)相關(guān)要求，工作需要提出設(shè)備領(lǐng)用的申請（口頭、紙質(zhì)、郵件、OA等），交由部門負(fù)責(zé)人審批。新入司（包括新入職和借調(diào)等）人員設(shè)備領(lǐng)用，由總公司人力資源部給設(shè)備管理崗直接發(fā)送通知，不需要領(lǐng)用人部門負(fù)責(zé)人審批?？偣驹O(shè)備管理崗確認(rèn)申請并辦理設(shè)備領(lǐng)用手續(xù)。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部設(shè)備管理崗檢查非新入司人員設(shè)備領(lǐng)用是否經(jīng)授權(quán)IT信息系統(tǒng)總體管理信息安全管理移動辦公設(shè)備領(lǐng)用退庫未登記設(shè)備領(lǐng)用情況總公司設(shè)備管理崗根據(jù)領(lǐng)導(dǎo)的審批意見，現(xiàn)場核對設(shè)備，在實物資產(chǎn)管理系統(tǒng)中填寫設(shè)備領(lǐng)用表，并由設(shè)備領(lǐng)用人簽字確認(rèn)設(shè)備領(lǐng)出。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部設(shè)備管理崗檢查是否登記設(shè)備領(lǐng)用情況IT信息系統(tǒng)總體管理信息安全管理移動辦公設(shè)備領(lǐng)用退庫未對退庫的設(shè)備進行核查總公司設(shè)備管理崗現(xiàn)場核對設(shè)備（數(shù)量、型號、是否損壞）；如果出現(xiàn)損壞需要領(lǐng)用人賠償。確認(rèn)無誤后，設(shè)備管理崗填寫設(shè)備退庫單。人工檢查性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部設(shè)備管理崗檢查是否填寫設(shè)備退庫單第四章數(shù)據(jù)質(zhì)量管理一、控制目標(biāo)規(guī)范數(shù)據(jù)質(zhì)量管理流程，加強數(shù)據(jù)質(zhì)量建設(shè)，切實提高數(shù)據(jù)質(zhì)量。二、流程介紹（一）業(yè)務(wù)范圍包括數(shù)據(jù)質(zhì)量簡報的編輯、審核、修改、發(fā)布等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部（三）流程描述1.編輯數(shù)據(jù)質(zhì)量簡報總公司信息技術(shù)部數(shù)據(jù)質(zhì)量管理崗每季度從總公司OA抽取各個省級分公司數(shù)據(jù)維護申請單，統(tǒng)計申請單的數(shù)量，對各省級分公司數(shù)據(jù)質(zhì)量情況進行分析點評形成數(shù)據(jù)質(zhì)量簡報（紙質(zhì)形式）并提交給總公司信息技術(shù)部負(fù)責(zé)人審核。2.審核數(shù)據(jù)質(zhì)量簡報總公司信息技術(shù)部負(fù)責(zé)人每季度審核數(shù)據(jù)質(zhì)量簡報，并提出修改意見，反饋給數(shù)據(jù)質(zhì)量管理崗。3.修改數(shù)據(jù)質(zhì)量簡報總公司信息技術(shù)部數(shù)據(jù)質(zhì)量管理崗每季度根據(jù)總公司信息技術(shù)部負(fù)責(zé)人提出的修改意見，對簡報進行修訂，并再次提交給部門領(lǐng)導(dǎo)審核。4.提交數(shù)據(jù)質(zhì)量簡報總公司信息技術(shù)部數(shù)據(jù)質(zhì)量管理崗每季度將修改完善并通過部門領(lǐng)導(dǎo)審核的數(shù)據(jù)質(zhì)量簡報通過郵件提交給信息技術(shù)部綜合崗。5.發(fā)布數(shù)據(jù)質(zhì)量簡報總公司信息技術(shù)部綜合崗每季度在OA平臺上發(fā)布數(shù)據(jù)質(zhì)量報告，生成OA通知。三、流程圖四、主要風(fēng)險控制點無五、控制制度無六、相關(guān)監(jiān)管要求無七、控制矩陣無第五章項目管理第一節(jié)立項一、控制目標(biāo)規(guī)范立項管理流程，保證立項審批科學(xué)，所立項目切實符合公司發(fā)展實際。二、流程介紹（一）業(yè)務(wù)范圍包括立項申請與審批等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司、省級分公司涉及部門：總裁室、總公司信息技術(shù)部、相關(guān)項目申請部門，省級分公司相關(guān)項目申請部門（三）流程描述1.提交項目申請總公司或省級分公司相關(guān)項目申請部門，通過OA提交項目申請至總公司信息技術(shù)部。2.撰寫簽報總公司信息技術(shù)部相關(guān)崗位根據(jù)相關(guān)部門提交的項目申請，通過OA提交簽報本部門處室負(fù)責(zé)人及部門負(fù)責(zé)人審核通過后報公司領(lǐng)導(dǎo)審批。3.公司領(lǐng)導(dǎo)審批公司領(lǐng)導(dǎo)通過OA對項目簽報進行審批，審批通過，則立項成功；審批不通過，返回信息技術(shù)部處理。三、流程圖四、主要風(fēng)險控制點無五、控制制度無六、相關(guān)監(jiān)管要求無七、控制矩陣無第二節(jié)需求一、控制目標(biāo)規(guī)范需求管理流程，保證需求從申請到確認(rèn)的各個環(huán)節(jié)順利進行。二、流程介紹（一）業(yè)務(wù)范圍包括業(yè)務(wù)需求申請的提出及審批、需求分析及確認(rèn)等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部、業(yè)務(wù)歸口部門（三）流程描述1.業(yè)務(wù)需求申請總公司業(yè)務(wù)歸口部門協(xié)調(diào)人通過電話或郵件系統(tǒng)接收省級分公司或總公司相關(guān)業(yè)務(wù)部門提交的對應(yīng)日常運維的新需求或者需求變更的申請，形成溝通確認(rèn)的需求申請單。2.通過需求申請平臺正式提交需求申請總公司業(yè)務(wù)歸口部門協(xié)調(diào)人將溝通確認(rèn)的需求申請單通過OA需求管理平臺提交。3.需求申請業(yè)務(wù)審批總公司業(yè)務(wù)歸口部門處室、部門負(fù)責(zé)人通過OA需求管理平臺審批提交上來的需求申請，審批通過則提交總公司信息技術(shù)部歸口負(fù)責(zé)人進行IT評估；如審批不通過，則返回“通過需求申請平臺正式提交需求申請”。4.信息技術(shù)部初審總公司信息技術(shù)部歸口負(fù)責(zé)人于5個工作日內(nèi)通過OA需求管理平臺對需求申請單進行評估，評估通過則生成IT評估完成的正式需求申請單，并提交給信息技術(shù)部門負(fù)責(zé)人審批。5.信息技術(shù)部負(fù)責(zé)人審批總公司信息技術(shù)部負(fù)責(zé)人于1到3個工作日內(nèi)通過OA需求管理平臺對IT初審?fù)瓿傻男枨笊暾垎芜M行審核，審批通過，提交給IT需求分析崗；審批不通過，則返回“通過需求申請平臺正式提交需求申請”。6.需求分析總公司信息技術(shù)部歸口負(fù)責(zé)人通過redmine將需求申請單提交給外包開發(fā)團隊，外包團隊于5個工作日內(nèi)，根據(jù)IT負(fù)責(zé)人審批完成的OA需求管理系統(tǒng)正式需求申請單，進行需求分析，并通過redmine給信息技術(shù)部歸口負(fù)責(zé)人反饋需求規(guī)格說明書，需求規(guī)格說明書從業(yè)務(wù)流程、操作要求、組織權(quán)限、業(yè)務(wù)規(guī)則、查詢統(tǒng)計功能角度描述用戶需求。7.需求分析確認(rèn)總公司需求歸口部門協(xié)調(diào)人對需求規(guī)格說明書進行確認(rèn)，并通過OA需求管理平臺給信息技術(shù)部歸口負(fù)責(zé)人反饋需求分析確認(rèn)結(jié)果。三、流程圖四、主要風(fēng)險控制點1.對需求分析工作未進行有效的規(guī)劃2.需求申請未經(jīng)適當(dāng)審批3.需求申請未經(jīng)評估4.需求分析結(jié)果與業(yè)務(wù)需求不符合五、控制制度《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理項目管理需求對需求分析工作未進行有效的規(guī)劃對公司重大研發(fā)項目必須編制需求分析計劃，該計劃經(jīng)項目經(jīng)理審批通過后才能開展需求分析工作。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部項目經(jīng)理檢查需求分析計劃是否經(jīng)過審批IT信息系統(tǒng)總體管理項目管理需求需求申請未經(jīng)適當(dāng)審批總公司業(yè)務(wù)歸口部門處室、部門負(fù)責(zé)人通過OA需求管理平臺，審批提交上來的需求申請，審批通過則提交信息技術(shù)部歸口負(fù)責(zé)人進行IT評估；如審批不通過，則返回“通過需求申請平臺正式提交需求申請”。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司業(yè)務(wù)歸口部門部門負(fù)責(zé)人、處室負(fù)責(zé)人檢查需求申請是否經(jīng)過審批IT信息系統(tǒng)總體管理項目管理需求需求申請未經(jīng)評估總公司信息技術(shù)部歸口負(fù)責(zé)人于5個工作日內(nèi)通過OA需求管理平臺對需求申請單進行評估，評估通過則生成IT評估完成的正式需求申請單，并提交給信息技術(shù)部門負(fù)責(zé)人審批。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部歸口負(fù)責(zé)人檢查需求申請是否經(jīng)過評估IT信息系統(tǒng)總體管理項目管理需求需求申請未經(jīng)適當(dāng)審批總公司信息技術(shù)部負(fù)責(zé)人于1到3個工作日內(nèi)通過OA需求管理平臺對IT初審?fù)瓿傻男枨笊暾垎芜M行審核，審批通過，提交給IT需求分析崗；審批不通過，則返回“通過需求申請平臺正式提交需求申請”。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部部門負(fù)責(zé)人檢查需求申請是否經(jīng)過審批IT信息系統(tǒng)總體管理項目管理需求需求分析結(jié)果與業(yè)務(wù)需求不符合總公司業(yè)務(wù)歸口部門協(xié)調(diào)人對需求規(guī)格說明書進行確認(rèn)，并通過OA需求管理平臺給信息技術(shù)部歸口負(fù)責(zé)人反饋需求分析確認(rèn)結(jié)果。人工檢查性業(yè)務(wù)發(fā)生時否總公司業(yè)務(wù)歸口部門協(xié)調(diào)人檢查需求歸口部門是否對需求分析結(jié)果進行確認(rèn)第三節(jié)開發(fā)一、控制目標(biāo)規(guī)范開發(fā)管理流程，保證需求從申請到確認(rèn)的各個環(huán)節(jié)順利進行。二、流程介紹（一）業(yè)務(wù)范圍包括系統(tǒng)設(shè)計、開發(fā)計劃制定及調(diào)整、完成開發(fā)等內(nèi)容。（二）機構(gòu)范圍涉及機構(gòu)：總公司涉及部門：總公司信息技術(shù)部、業(yè)務(wù)歸口部門（三）流程描述1.系統(tǒng)設(shè)計外包團隊制定應(yīng)用系統(tǒng)設(shè)計說明書，通過redmine反饋給信息技術(shù)部歸口負(fù)責(zé)人審核，新建系統(tǒng)還需要總公司信息技術(shù)部歸口負(fù)責(zé)人通過郵件或者OA需求管理平臺提交給項目負(fù)責(zé)人審批。每個系統(tǒng)應(yīng)有一份最完整、最新版的系統(tǒng)架構(gòu)設(shè)計說明書，并保留每個歷史版本。2.開發(fā)計劃制訂（1）外包團隊制定開發(fā)計劃，通過redmine發(fā)送給系統(tǒng)對應(yīng)模塊的負(fù)責(zé)人，系統(tǒng)模塊負(fù)責(zé)人與業(yè)務(wù)部門溝通確認(rèn)開發(fā)計劃是否符合上線的要求；新系統(tǒng)開發(fā)，系統(tǒng)模塊負(fù)責(zé)人還需要將開發(fā)計劃通過郵件發(fā)送給項目負(fù)責(zé)人審批。（2）外包開發(fā)團隊發(fā)送周報、季報、年報給軟件處，匯報項目進度。3.計劃調(diào)整外包團隊變更開發(fā)計劃，通過redmine發(fā)送給系統(tǒng)對應(yīng)模塊的負(fù)責(zé)人，系統(tǒng)模塊負(fù)責(zé)人與業(yè)務(wù)部門溝通確認(rèn)開發(fā)計劃是否符合上線的要求；新系統(tǒng)開發(fā)，系統(tǒng)模塊負(fù)責(zé)人還需要將開發(fā)計劃通過郵件發(fā)送給項目負(fù)責(zé)人審批。4.開發(fā)完成外包團隊根據(jù)開發(fā)計劃，完成開發(fā)工作。三、流程圖四、主要風(fēng)險控制點1.未對數(shù)據(jù)庫訪問權(quán)限進行控制2.未對應(yīng)用系統(tǒng)架構(gòu)進行規(guī)劃、分析、評審3.未對應(yīng)用系統(tǒng)架構(gòu)調(diào)整進行評審4.未制定系統(tǒng)開發(fā)與變更、實施管理等相關(guān)的制度5.軟件開發(fā)或重大變更計劃制定未經(jīng)適當(dāng)審批五、控制制度《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》六、相關(guān)監(jiān)管要求無七、控制矩陣一級流程編號流程名稱風(fēng)險點名稱控制措施或方法控制屬性是否涉及所屬機構(gòu)執(zhí)行部門執(zhí)行崗位測試程序一級流程二級流程三級流程人工或自動控制類型控制頻率IT信息系統(tǒng)總體管理項目管理開發(fā)未對數(shù)據(jù)庫訪問權(quán)限進行控制1、各個分支機構(gòu)只能看到自己的業(yè)務(wù)數(shù)據(jù)，各機構(gòu)間數(shù)據(jù)不共享；

2、數(shù)據(jù)庫的訪問權(quán)限控制：外包團隊根據(jù)不同的需求給團隊中及其軟件處人員分配不同的權(quán)限，一般只具備查詢權(quán)限。人工預(yù)防性不適用是總公司信息技術(shù)部歸口負(fù)責(zé)人檢查是否依照公司規(guī)定對數(shù)據(jù)庫訪問權(quán)限進行控制IT信息系統(tǒng)總體管理項目管理開發(fā)未對應(yīng)用系統(tǒng)架構(gòu)進行規(guī)劃、分析、評審?fù)獍鼒F隊制定應(yīng)用系統(tǒng)設(shè)計說明書，通過redmine反饋給信息技術(shù)部歸口負(fù)責(zé)人審核，新建系統(tǒng)還需要信息技術(shù)部歸口負(fù)責(zé)人通過郵件或者OA需求管理平臺提交給項目負(fù)責(zé)人審批。每個系統(tǒng)應(yīng)有一份最完整、最新版的系統(tǒng)架構(gòu)設(shè)計說明書，并保留每個歷史版本。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部歸口負(fù)責(zé)人檢查應(yīng)用系統(tǒng)設(shè)計說明書是否經(jīng)過審批IT信息系統(tǒng)總體管理項目管理開發(fā)未對應(yīng)用系統(tǒng)架構(gòu)調(diào)整進行評審應(yīng)按評審?fù)ㄟ^后的架構(gòu)設(shè)計實施，系統(tǒng)開發(fā)過程中如需調(diào)整系統(tǒng)架構(gòu)設(shè)計的，需重新提交項目負(fù)責(zé)人評審。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部項目負(fù)責(zé)人檢查是否對應(yīng)用系統(tǒng)架構(gòu)調(diào)整進行評審IT信息系統(tǒng)總體管理項目管理開發(fā)未制定系統(tǒng)開發(fā)與變更、實施管理等相關(guān)的制度總公司制定《中國*股份有限公司應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定》，對開發(fā)及其實施管理流程作了明確的規(guī)定。人工預(yù)防性不適用否總公司信息技術(shù)部部門負(fù)責(zé)人查閱應(yīng)用系統(tǒng)需求及運行維護管理規(guī)定IT信息系統(tǒng)總體管理項目管理開發(fā)軟件開發(fā)或重大變更計劃制定未經(jīng)適當(dāng)審批外包團隊制定開發(fā)計劃，通過redmine發(fā)送給系統(tǒng)對應(yīng)模塊的負(fù)責(zé)人，系統(tǒng)模塊負(fù)責(zé)人與業(yè)務(wù)部門溝通確認(rèn)開發(fā)計劃是否符合上線的要求；新系統(tǒng)開發(fā)，系統(tǒng)模塊負(fù)責(zé)人還需要將開發(fā)計劃通過郵件發(fā)送給項目負(fù)責(zé)人審批。外包開發(fā)團隊發(fā)送周報、季報、年報給軟件處，匯報項目進度。人工預(yù)防性業(yè)務(wù)發(fā)生時否總公司信息技術(shù)部模塊負(fù)責(zé)人檢查開發(fā)計劃是否經(jīng)過審批，是否定期收集查閱外包提交的周報、季報、年報第四節(jié)測試一、控制目標(biāo)規(guī)范測試管理流程，保證需求測試的各個環(huán)節(jié)順利進行。二、流程介紹（一）業(yè)務(wù)