文档介绍：中国电信股份有限公司xxxx分公司
内部控制实施细则手册
中册

目录(中册)

1. 对程序和数据的访问 3
交换类系统 3
智能网和业务平台 12
MBOSS-A类系统 23
MBOSS-B类系统 34
2. 程序变更管理 45
交换类系统 45
智能网和业务平台 51
MBOSS-A类系统 59
MBOSS-B类系统 67
3. 程序开发 75
4. 系统运行 82
交换类系统 82
智能网和业务平台 89
MBOSS-A类系统 96
MBOSS-B类系统 104
5. 最终用户计算 109
对程序和数据的访问
交换类系统
一、 业务流程范围
1、所涉及的业务范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。
2、所涉及的部门范围
前后端相关部门,包括运行维护、计费结算、市场等领域。
二、 所涉及的计算机系统
负责生成话单的网络运营支持系统(交换机类),包含但不限于交换机、NGN、网关、关口局;以及其他对财务报表的准确性有直接影响的交换类设备,包含但不限于HLR,SHLR等。
三、 目标
1、对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。
2、对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。
3、建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。
4、确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。
5、确保在关键流程中存在适当的职权分离。
四、 风险
1、公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。
2、缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源未经授权的访问, 非法修改系统数据。
3、对添加、修改、删除用户未经过管理层授权,离职员工帐号未及时在系统中删除,导致对系统及数据未经授权或不适当访问。
4、对系统或数据非法和不适当的访问不能被及时发现。
5、系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
收入类科目。
六、 流程概述
1、信息安全管理
股份公司按照工业与信息化部或股份公司的相关规定和标准,严格确保交换类设备的安全,进行定期检查并保留书面的检查记录。
2、用户账号的管理
超级用户账号的管理
交换类系统的管理员账号的使用仅限于经严格认证的授权人员。管理员账号的授权经运行维护部门及相关各级主管人员的审批。授权审批文档集中归档。
对管理员账号在交换类系统的访问及操作要记录并保留日志,并由运行维护部门主管人员每周审阅。
在管理员工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式通知运行维护部门,按照交换类系统管理员账号的管理流程,由系统管理员更新或删除其相应的访问权限。
用户账号访问权限的定期审阅
运行维护部门主管人员半年对交换类系统的管理员账号进行审阅,以发现任何不合适的管理员访问权限。发现的问题要及时跟进解决。审阅结果留下记录。
运行维护部门主管人员半年对电信机房的访问权限清单进行审阅,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。
3、信息系统的的逻辑访问和物理访问
对交换类系统管理员账号的访问采用身份验证机制,而且每个交换类系统管理员账号被授予唯一的维护管理人员。如果由于系统限制存在管理员账号共享,其密码在其中任一管理员离职时及时更改,以防止非法访问。
按照股份公司及省公司对访问交换类系统的相关规定,对交换类系统固化相应的密码政策设置,以确保用户使用安全级别高的密码。密码政策包括: 用户密码长度最低位数的规定,密码90天或1季度更换的规定,不得使用最近的密码。运行维护部门管理人员每周审核交换类系统(包括操作系统和专用管理软件)的安全日志记录,识别潜在的违规,如发现安全问题按照相关的管理规定及时上报。
交换类系统的硬件设备必须存放在符合工业与信息化部、股份公司及省公司制定的安全标准的机房中。所有出入口均具备电子门禁系统或门锁的保护。人员进出机房时在机房门禁系统或机房进出登记簿中留下记录。
只有经过授权的人员可对存放有交换类系统设备的电信机房和设备进行物理访问。对电信机房的访问授权经过各级相关部门主管人员的审批。
按照相关规定及安全标准,对电信机房进行严格的环境监控(如24小时闭路电视监控、防盗监控系统