11.5基础设施IT一般性控制内部控制矩阵

1、11.5基础设施IT 一般性控制内 部控制矩阵11.5基础设施IT 一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容X-JU /亠 冈位控制点 分值控制点相关资料相关制度 索引会计报表认定会计报表项目1存在和发生/真实性； 性；3权利与义务；4 分摊；5表达和披露； 性2完整 估价或 6准确1234561 网络管理1.1网络基础管理1.12.12.2经营风险：网络管理制度不健全，导致网 络管理存在漏洞。合规风险：信息基础设施的使用未遵守保 护知识产权、合同法等有关国家法律、法规，股份公司声誉受到损害，受到相关部 门处罚。1.1.1总部和分（子）公司依据中国石油化工股份有限公司网络管理

2、 办法（以下简称网络管理办法）及相关管理制度和工作流程实施 对网络的管理，包括网络运行维护管理、网络互联管理、网络设备密码 管理、网络管理员管理、远程接入网络管理、病毒防护管理等。信息系统管理部 分（子）公司5网络管理办法2.10.51.1经营风险：网络相关管理人员配备不到 位，导致网络管理存在安全隐患。1.1.2各级信息管理部门依据网络管理办法及相应岗位职责，配备 网络管理员、安全管理员，由信息管理部门负责人审批。信息系统管理部 分（子）公司安全管理员 网络管理员3网络管理员、安全 管理员授权文档2.10.51.1经营风险：未编制网络运行维护技术文档 或文档未妥善保管，导致网络运行维护缺 乏

3、技术资料等重要依据。1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档，包括 网络拓扑图、IP地址分配表以及网络设备配置文件等，由专人负责整理 和保存。信息系统管理部 分（子）公司4IP地址分配表 网络拓扑图 网络设备配置记录 表2.10.51.1经营风险：网络设备密码设置强度不够或 更改不及时，造成公司内部网络被非授权 访问和攻击。1.2网络设备登录设置合理的密码规则，密码要求长度六位以上，米用 数字和字符组合方式，新密码不得与前五次历史密码相同。网络管理员 必须每六个月修改网络设备登录密码，填写密码更换记录，经安全管理 员确认并在信息管理部门备案。信息系统管理部 分（子）公司安全

4、管理员 网络管理员5密码变更记录2.10.51.3网络互联安全管理1.1经营风险：网络互联接口处未部署安全设 备，导致内部网络被非授权访问和攻击。1.3.1总部和分（子）公司依据网络管理办法相关要求，在关键网 络互联接口处部署安全设备，信息管理部门授权专人负责安全设备的管 理，并备有安全设备配置文档。分（子）公司与外部网互联情况上报信 息系统管理部备案。信息系统管理部 分（子）公司4安全设备配置文档 与外部网互联备案 记录表2.10.21.1经营风险：安全管理员未及时发现安全设 备规则存在的漏洞，导致内部网络被非授 ，权访问和攻击。1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查

5、，填 写安全设备配置检查记录表。信息系统管理部 分（子）公司4安全设备配置检查 记录表2.10.21.1经营风险：安全管理员未及时对相关日志 审计分析，导致内部网络被非授权访问和 攻击。1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日 志等进行分析审计。信息系统管理部 分（子）公司4网络设备登陆日志 审阅表防火墙日志审阅表 入侵检测日志审阅 表2.10.21.4终端用户接入管理1.1经营风险：用户未经授权即可接入网络， 导致内部网络被非授权访问和攻击。1.4.1用户终端接入网络需填写申请表，由申请人所在部门确认，信息 管理部门（责任处（科）室）负责人批准并备案。申请表内容应包

6、含终端 接入安全责任条款。 一 信息系统管理部 分（子）公司3终端用户接入申请 表2.10.51.1经营风险：未对用户登录网络进行管理， 导致内部网络被非授权访问和攻击。1.4.2建立用户登录网络认证机制，避免对中国石化内部网络未经授权 的访问。信息系统管理部 分（子）公司32.10.5业务目标业务风险控制点适用单位不相容X-JU /亠 冈位控制点 分值控制点相关资料相关制度 索引会计报表认定会计报表项目1存在和发生/真实性；2完整 性；3权利与义务；4估价或 分摊；5表达和披露；6准确 性1234561.1经营风险：人事部门未及时提供人员离职 交接表，或信息管理部门未及时将离职人 员网络接入

7、服务注销， 导致内部网络被非 授权访问和攻击。1.4.3根据人事部门提供的人员离职交接表，信息管理部门应及时注销 该用户的网络接入服务。人事部信息系统管理部 分（子）公司3离职人员交接表2.10.51.1经营风险：未经相关领导授权开通远程接 入网络服务，导致内部网络被非授权访问 和攻击。1.5远程接入网络申请人依据网络管理办法相关要求，填写远程接 入服务申请表和远程用户接入服务安全承诺书，由所在部门负责人确认，信息管理部门（责任处（科）室）负责人审批并备案。信息系统管理部 分（子）公司申请部门 信息管理部 门3远程用户接入服务 申请表远程用户接入服务 安全承诺书2.10.51.1经营风险：未在

8、内部网络部署防病毒系统 或未及时升级，导致内部网络被病毒侵 害。1.6依据网络管理办法相关要求，网络管理员负责部署防病毒系统 并及时进行版本和病毒特征库升级；安全管理员每周对防病毒系统日志 等进行分析审计。信息系统管理部 分（子）公司网络管理员 安全管理员3防病毒系统日志审 阅记录表2.10.52.10.22.服务器管理1.1经营风险：服务器相关管理人员配备不 到位，导致系统运行管理存在隐患。2.1各级信息管理部门配备系统管理员，由信息管理部门（责任处（科）室）负责人审批。信息系统管理部 分（子）公司3系统管理员任命材 料2.10.71.1经营风险：未建立服务器档案， 导致服务 器运行维护缺乏

9、配置参数等重要依据。2.2 系统管理员须建立服务器档案，内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。信息系统管理部 分（子）公司4服务器档案2.10.72.3服务器操作系统管理1.1经营风险：随意创建操作系统用户，导致 系统管理混乱，影响系统运行，存在安全 隐患。2.3.1操作系统用户须填写操作系统用户申请表，经信息管理部门（责 任处（科）室）负责人审批后，由系统管理员创建。信息系统管理部 分（子）公司3操作系统用户申请 表2.10.71.1经营风险：操作系统用户授权超期未锁定 或删除，导致信息泄密或系统安全存在隐 患。2.3.2系统管理员每半年检查操作系统用户授权情况并记录，

10、对超期使 用帐号的用户进行锁定或删除。信息系统管理部 分（子）公司3操作系统用户授权 记录2.10.71.1经营风险：操作系统用户密码设置强度不 够或更改不及时，造成系统非授权访问。2.3.3操作系统用户密码要求长度八位以上，采用数字和字符组合方式，新密码不得与前五次历史密码相同。系统管理员至少每季度修改操作系 统用户密码，填写密码更换记录、经安全管理员确认并在信息管理部门 备案。信息系统管理部 分（子）公司5密码更换记录2.10.72.10.21.1经营风险：系统管理员对操作系统运行监 控不到位，未能及时发现隐患，安全管理 员未履行检查职责，影响系统稳定运行。2.3.4系统管理员监控操作系统

11、运行情况，每日巡检操作系统日志，并 将巡检情况记录存档。安全管理员每月对系统巡检记录进行检查，对存 在问题提出整改意见，上报信息管理部门（责任处（科）室）负责人审 批后实施。信息系统管理部 分（子）公司3操作系统每日巡检 记录（应包含安全管理员检查记 录，以及存在问题改 进情况）2.10.72.10.23.机房管理1.12.2经营风险：机房管理制度不健全，导致机房管理存在漏洞。3.1各级信息管理部门依据相关制度和规范，制定计算机机房管理办法，实施对机房的管理。管理办法主要内容包括人员岀入管理、设备岀入管 理、机房工况管理和备份介质管理等。信息系统管理部 分（子）公司4机房管理办法2.10.81

12、.1经营风险：机房岀入人员管理不严，导致 资源受损或系统瘫痪。3.2机房应设门禁系统，或由专人负责机房岀入管理并填写人员岀入登 记表。信息系统管理部 分（子）公司3机房人员岀入登记 表门卡发放记录钥匙领用记录2.10.8业务目标业务风险控制点适用单位不相容X-JU /亠 冈位控制点 分值控制点相关资料相关制度 索引会计报表认定会计报表项目1存在和发生/真实性；2完整 性；3权利与义务；4估价或 分摊；5表达和披露；6准确 性1234561.1经营风险：设备随意进岀机房，导致信息 世密或设备丢失。3.3设备岀入机房，携带设备人员填写设备岀入登记表，由信息管理部门（责任处（科）室）负责人审批并备案

13、。信息系统管理部 分（子）公司3机房设备岀入登记 表2.10.81.1经营风险：机房环境参数异常，导致设备 发生故障，影响系统稳疋运行。3.4机房管理人员每日对机房UPS、空调、温湿度和电源系统巡检，并填写巡检记录。信息系统管理部 分（子）公司3机房巡检记录2.10.84备份介质管理1.1经营风险：备份介质标记不规范，导致备 份数据查找困难、数据恢复困难。4.1系统管理员要对备份介质进行标记。标记内容有：备份介质编号、 应用名称、IP地址、备份日期、备份内容和备份人。信息系统管理部 分（子）公司32.10.91.1经营风险：备份介质管理不规范，导致备 份介质损坏或系统及数据恢复困难。4.2重要

14、信息系统的备份介质必须异地存放并分类存档。系统管理员按 照厂商提供的使用年限按期更换备份介质。备份介质存放环境和备份介 质存储内容的销除满足备份管理办法的相关要求。信息系统管理部 分（子）公司32.10.91.1经营风险：备份介质岀入库管理不规范， 导致备份介质损坏或系统及数据恢复困 难。4.3备份介质有出入库记录。借出备份介质时，借用人须填写申请表， 经相关部门负责人审核，信息管理部门（责任处（科）室）负责人审批后，办理介质出库手续。信息系统管理部 分（子）公司3介质入库记录 介质借用申请表2.10.95 故障处理1.1经营风险：信息基础设施故障处理流程和 应急预案不健全，导致信息基础设施正常 运行存在隐患。5.1信息管理部门负责制订本单位信息基础设施故障处理流程及应急预 案。信息系统管理部 分（子）公司4故障处理流程信息基础设施应急 预案2.10.62.10.71.1经营风险：网络、服务器故障处理不及时， 记录不完整，导致信息系统不能正常运 行。5.2网络、服务器发生故障时，运维人员应及时处理故障，并填写工作记 录。信息系统管理部 分（子）公司3工作记录（应记录故 障发生时间、处理 人、原因、处理结果 等内容）2.10.71.1经营风险：终端用户计算机设备故障处理 不及时，工作单填写不完整，影响用