石油化工有限公司基礎設施it一般性控制流程(7頁).doc
下載文檔
上傳人:地**
編號:1290829
2024-12-17
7頁
27.55KB
該文檔所屬資源包:
石油化工公司內部管理控制業務流程手冊資料合集
1、11.5 基礎設施IT一般性控制流程一、 業務目標1經營目標1.1保證信息基礎設施長期安全、可靠、穩定運行。2合規目標2.1信息基礎設施的使用遵守保護知識產權、合同法等有關國家法律法規。2.2信息基礎設施配置和使用符合股份公司信息系統安全管理辦法等規定。二、 業務風險1經營風險1.1網絡控制管理不符合信息安全要求,導致內部網絡被非授權訪問和攻擊。1.2服務器管理不規范,導致系統運行不可靠、不穩定。1.3備份介質管理不規范,導致備份介質損壞或系統及數據恢復困難。1.4機房管理不符合規范和安全要求,導致機房設備及資源存在受損的風險。1.5 信息基礎設施故障或信息系統突發事件處理不及本流程適用于包括2、ERP系統在內的所有應用系統相關的信息基礎設施。時,導致信息系統不能正常運行。2合規風險2.1信息基礎設施的使用未遵守保護知識產權、合同法等有關國家法律、法規,股份公司聲譽受到損害,受到相關部門處罰。2.2 信息基礎設施不符合安全規定,導致系統存在被入侵風險。二、 業務流程步驟與控制點1網絡管理1.1 網絡基礎管理。1.1.1 總部和分(子)公司依據中國石油化工股份有限公司網絡管理辦法(以下簡稱網絡管理辦法)及相關管理制度和工作流程實施對網絡的管理,包括網絡運行維護管理、網絡互聯管理、網絡設備密碼管理、網絡管理員管理、遠程接入網絡管理、病毒防護管理等。1.1.2 各級信息管理部門依據網絡管理辦3、法及相應崗位職責,配備網絡管理員、安全管理員,由信息管理部門負責人審批。1.1.3 各級信息管理部門負責編制網絡運行維護的相關技術文檔,包括網絡拓撲圖、IP地址分配表以及網絡設備配置文件等,由專人負責整理和保存。1.2 網絡設備登錄設置合理的密碼規則,密碼要求長度六位以上,采用數字和字符組合方式,新密碼不得與前五次歷史密碼相同。網絡管理員必須每六個月修改網絡設備登錄密碼,填寫密碼更換記錄,經安全管理員確認并在信息管理部門備案。1.3 網絡互聯安全管理。1.3.1 總部和分(子)公司依據網絡管理辦法相關要求,在關鍵網絡互聯接口處部署安全設備,信息管理部門授權專人負責安全設備的管理,并備有安全設備4、配置文檔。分(子)公司與外部網互聯情況上報信息系統管理部備案。1.3.2 安全管理員每季度對安全設備的規則進行復核、確認、檢查,填寫安全設備配置檢查記錄表。1.3.3 安全管理員每周對網絡設備登陸日志、防火墻日志、入侵檢測日志等進行分析審計。1.4 終端用戶接入管理1.4.1 用戶終端接入網絡需填寫申請表,由申請人所在部門確認,信息管理部門(責任處(科)室)負責人批準并備案。申請表內容應包含終端接入安全責任條款。1.4.2 建立用戶登錄網絡認證機制,避免對中國石化內部網絡未經授權的訪問。1.4.3 根據人事部門提供的人員離職交接表,信息管理部門應及時注銷該用戶的網絡接入服務。1.5遠程接入網絡5、申請人依據網絡管理辦法相關要求,填寫遠程接入服務申請表和遠程用戶接入服務安全承諾書,由所在部門負責人確認,信息管理部門(責任處(科)室)負責人審批并備案。1.6依據網絡管理辦法相關要求,網絡管理員負責部署防病毒系統并及時進行版本和病毒特征庫的升級;安全管理員每周對防病毒系統日志進行分析審計。2服務器管理2.1各級信息管理部門配備系統管理員,由信息管理部門(責任處(科)室)負責人審批。2.2 系統管理員須建立服務器檔案,內容包括設備的詳細硬件配置、設備唯一性標記和設備用途等信息。2.3 服務器操作系統管理。2.3.1 操作系統用戶須填寫操作系統用戶申請表,經信息管理部門(責任處(科)室)負責人審6、批后,由系統管理員創建。2.3.2 系統管理員每半年檢查操作系統用戶授權情況并記錄,對超期使用帳號的用戶進行鎖定或刪除。2.3.3 操作系統用戶密碼要求長度八位以上,采用數字和字符組合方式,新密碼不得與前五次歷史密碼相同。系統管理員至少每季度修改操作系統用戶密碼,填寫密碼更換記錄、經安全管理員確認并在信息管理部門備案。2.3.4 系統管理員監控操作系統運行情況,每日巡檢操作系統日志,并將巡檢情況記錄存檔。安全管理員每月對系統巡檢記錄進行檢查,對存在問題提出整改意見,上報信息管理部門(責任處(科)室)負責人審批后實施。3 機房管理。3.1 各級信息管理部門依據相關制度和規范,制定計算機機房管理辦7、法,實施對機房的管理。管理辦法主要內容包括人員出入管理、設備出入管理、機房工況管理等。3.2 機房應設門禁系統,或由專人負責機房出入管理并填寫人員出入登記表。3.3 設備出入機房,攜帶設備人員填寫設備出入登記表,登記表由信息管理部門(責任處(科)室)負責人審批并備案。3.4 機房管理人員每日對機房UPS、空調、溫濕度和電源系統巡檢,并填寫巡檢記錄。4 備份介質管理。4.1 系統管理員要對備份介質進行標記。標記內容有:備份介質編號、應用名稱、IP地址、備份日期、備份內容和備份人。4.2 ERP等重要信息系統的備份介質必須異地存放并分類存檔。系統管理員按照廠商提供的使用年限按期更換備份介質。備份介8、質存放環境和備份介質存儲內容的銷除滿足備份管理辦法的相關要求。4.3 備份介質有出入庫記錄。借出備份介質時,借用人須填寫申請表,經相關部門負責人審核,信息管理部門(責任處(科)室)負責人審批后,辦理介質出庫手續。5 故障處理5.1 信息管理部門負責制訂本單位信息基礎設施故障處理流程及應急預案。5.2 網絡、服務器發生故障時,運維人員應及時處理故障,并填寫工作記錄。5.3 終端用戶計算機設備發生故障時,運維人員及時處理故障并填寫工作單。故障處理完畢后,用戶須對處理結果加以確認。工作單由信息管理部門負責備案。5.3 信息基礎設施應急預案須每年安排適當時間進行演練并記錄。四、 相關制度目錄(制度后標9、號為內部控制手冊配套規章制度匯編目錄索引號)1 中國石油化工股份有限公司網絡管理辦法(石化股份信系20076號) -2.10.52 中國石油化工股份有限公司信息系統安全管理辦法(試行) (石化股份信系200635號) -2.10.23 中國石油化工股份有限公司信息基礎設施管理辦法(試行)(石化股份信系200636號) -2.10.74 中國石化總部計算機機房管理辦法(石化股份信系20057號) -2.10.85 中國石油化工股份有限公司信息系統備份管理辦法(試行)(石化股份信系20078號) -2.10.96 中國石油化工股份有限公司信息系統應急預案(試行)(石化股份信系20079號) -2.10.6
全部分類
標準檢索
招標公告
免費下載資料庫
10000份+資源包
千萬vip文檔暢享下載
下載文檔文件編輯即用
網站精選百萬好案
百萬工程地產工作者都在用
微信掃一掃登錄
