文本描述
Idi20.2 信息系统运行、维护、安全管理
概述
规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统管理方面的具体要求,涉及公司信息系统使用中的权限设定、物理管理、变更、灾害恢复的流程。
适用范围
适用于XX股份有限公司集团总部及其下属公司。
相关制度
IT资源管理程序
IT信息安全管理规定。
职责分工
IT安全管理员:负责公司信息化系统安全管理。
IT系统管理员:负责公司系统的建设、管理和维护。
IT资产管理员:负责IT资产的规划、申购、管理、维护、协调和优化工作。
流程图
�1.6 控制目标
序号
�《内控手册》唯一具体控制目标编号
�控制目标
�目标类别�1 �20.2-CT1
�确保机房设施/设备/系统得到安全防护
�资产保全目标�2 �20.2-CT2
�确保信息系统中数据真实完整
�经营效率目标�3 �20.2-CT3
�确保信息系统中数据不泄露
�经营效率目标�4 �20.2-CT4
�确保公司数据不受重大灾害影响
�经营效率目标
��控制矩阵
风险编号
�风险描述
�对应控制目标编号
�关键控制措施编号
�关键控制措施
�不相容职务
�控制活动类型
�对应制度
�控制痕迹
�会计报表认定
�会计报表项目�1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露�1�2 �3�4 �5
�20.2-R1
�信息中心的出入未严格控制,导致系统设置被篡改或安全被破坏,影响公司的数据安全
�20.2-CT1
�20.2-CA1
�信息中心指定专人管理机房和配线箱。非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档。
�
�预防型
�IT资源管理程序
�出入登记表
�
�
�
�
�
�20.2-R2
�各类人员未经授权可随意进出设备存放地或触摸系统关键设备,导致设备遭遇人为损坏,影响公司日常生产经营
�20.2-CT1
�20.2-CA1
�信息中心指定专人管理机房和配线箱。非工作需要,任何人不得进入。机房管理员对经批准进入的人发放钥匙,并记录和保管有关文档。
�
�预防型
�IT资源管理程序
�出入登记表
�
�
�
�
�
�20.2-R3
�公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责,无法有效防范设备出现异常物理状况而不能运行,影响公司日常生产经营
�20.2-CT1
�20.2-CA2
�1)保持键盘、鼠标、显示器、主机干净,各种接口紧固,严禁带电插拔计算机的各种配件;2)计算机避免在潮湿、粉尘、阳光直射、高温等条件下使用;3)计算机或附属设备发生故障,使用者应及时通知系统管理人员进行修复处理,不得随便拆卸计算机及其附属设备的硬件和各种配件;4)任何个人不得损坏、拆卸、移动安置在各办公室的网络设备、设施和线路,因工作原因需要移动的,及时通知系统管理人员,由系统管理人员报财务负责人;5)电信网及处室网络相连的机房建设,在电源防护、防盗、防火、防水、防尘、防雷等方面,采取规范的技术保护措施
�
�预防型
�IT资源管理程序
�机房环境情况记录表
�
�
�
�
�
�20.2-R4
�机房管理员未检查机房的环境和状态,导致机房设备受损,造成公司的资产和数据安全受影响
�20.2-CT1
�20.2-CA3
�机房管理员每天检查机房温度、湿度以及防火、防水、清洁情况,并记录上述工作情况,保管有关的文档。
�
�预防型
�IT资源管理程序
�机房环境情况记录表
�
�
�
�
�20.2-R5
�机房管理员未定期检查机房主要设备的运行使用情况,导致设备的持续正常运转无法保证,影响公司业务正常运营
�20.2-CT1
�20.2-CA4
�机房管理员每天检查UPS的工作状态,每季度对UPS电池放电一次,并记录上述工作情况,保管有关的文档。
�
�预防型
�IT资源管理程序
�机房设备定期维护登记表
�
�
�
�
�20.2-R6
�系
==>> 点击下载文档
