中国石化公司内部控制与业务流程汇总28

1、1 / 311.5 基础设施 IT 一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容X-JU/亠 冈位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1 存在和发生/真实性性；3 权利与义务； 摊；5 表达和披露；2 完整4 估价或分6 准确性1234561 .网络管理1.1 网络基础管理1.12.12.2经营风险：网络管理制度不健全，导致网 络管理存在漏洞。合规风险：信息基础设施的使用未遵守保 护知识产权、合同法等有关国家法律、法规，股份公司声誉受到损害，受到相关部 门处罚。1.1.1 总部和分（子）公司依据中国石油化工股份有限公司网络管理办 法（以下简称网络管理办法）

2、及相关管理制度和工作流程实施对 网络的管理，包括网络运行维护管理、网络互联管理、网络设备密码管 理、网络管理员管理、远程接入网络管理、病毒防护管理等。信息系统管理部分（子）公司5网络管理办法2.10.51.1经营风险：网络相关管理人员配备不到 位，导致网络管理存在安全隐患。1.1.2 各级信息管理部门依据网络管理办法 及相应岗位职责，配备网络管理员、安全管理员，由信息管理部门负责人审批。信息系统管理部分（子）公司安全管理员网络管理员3网络管理员、 安全管 理员授权文档2.10.51.1经营风险：未编制网络运行维护技术文档 或文档未妥善保管，导致网络运行维护缺 乏技术资料等重要依据。1.1.3

3、各级信息管理部门负责编制网络运行维护的相关技术文档，包括网络拓扑图、IP 地址分配表以及网络设备配置文件等，由专人负责整理和 保存。信息系统管理部分（子）公司4IP 地址分配表 网络拓扑图 网络设备配置记录表2.10.51.1经营风险：网络设备密码设置强度不够或 更改不及时，造成公司内部网络被非授权 访问和攻击。1.2 网络设备登录设置合理的密码规则，密码要求长度六位以上，米用 数字和字符组合方式，新密码不得与前五次历史密码相同。网络管理员 必须每六个月修改网络设备登录密码，填写密码更换记录，经安全管理 员确认并在信息管理部门备案。信息系统管理部分（子）公司安全管理员网络管理员5密码变更记录2

4、.10.51.3 网络互联安全管理1.1经营风险：网络互联接口处未部署安全设 备，导致内部网络被非授权访问和攻击。1.3.1 总部和分（子）公司依据网络管理办法相关要求，在关键网络 互联接口处部署安全设备，信息管理部门授权专人负责安全设备的管理，并备有安全设备配置文档。分（子）公司与外部网互联情况上报信息系 统管理部备案。信息系统管理部分（子）公司4安全设备配置文档 与外部网互联备案 记录表2.10.21.1经营风险：安全管理员未及时发现安全设 备规则存在的漏洞，导致内部网络被非授 权访问和攻击。1.3.2 安全管理员每季度对安全设备的规则进行复核、确认、检查，填写安全设备配置检查记录表。信息

5、系统管理部分（子）公司4安全设备配置检查 记录表2.10.21.1经营风险：安全管理员未及时对相关日志 审计分析，导致内部网络被非授权访问和 攻击。1.3.3 安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。信息系统管理部分（子）公司4网络设备登陆日志 审阅表防火墙日志审阅表 入侵检测日志审阅 表2.10.21.4 终端用户接入管理1.1经营风险：用户未经授权即可接入网络， 导致内部网络被非授权访问和攻击。1.4.1 用户终端接入网络需填写申请表，由申请人所在部门确认，信息管理部门（责任处（科）室）负责人批准并备案。 申请表内容应包含终端接入安全责任条款。信息系统管理

6、部分（子）公司3终端用户接入申请 表2.10.51.1经营风险：未对用户登录网络进行管理， 导致内部网络被非授权访问和攻击。1.4.2 建立用户登录网络认证机制，避免对中国石化内部网络未经授权的访问。信息系统管理部分（子）公司32.10.51.1经营风险：人事部门未及时提供人员离职 交接表，或信息管理部门未及时将离职人 员网络接入服务注销， 导致内部网络被非1.4.3 根据人事部门提供的人员离职交接表，信息管理部门应及时注销该用户的网络接入服务。人事部信息系统管理部分（子）公司3离职人员交接表2.10.52 / 3业务目标业务风险控制点适用单位不相容X-JU/亠 冈位控制点分值控制点相关资料相

7、关制度索引会计报表认定会计报表项目1 存在和发生/真实性性；3 权利与义务； 摊；5 表达和披露；2 完整4 估价或分6 准确性123456授权访冋和攻击。1.1经营风险：未经相关领导授权开通远程接 入网络服务，导致内部网络被非授权访问 和攻击。1.5 远程接入网络申请人依据网络管理办法相关要求，填写远程接 入服务申请表和远程用户接入服务安全承诺书，由所在部门负责人确认，信息管理部门（责任处（科）室）负责人审批并备案。信息系统管理部 分（子）公司申请部门 信息管理部 门3远程用户接入服务 申请表远程用户接入服务 安全承诺书2.10.51.1经营风险：未在内部网络部署防病毒系统 或未及时升级，导

8、致内部网络被病毒侵 害。1.6 依据网络管理办法相关要求，网络管理员负责部署防病毒系统 并及时进行版本和病毒特征库升级；安全管理员每周对防病毒系统日志 等进行分析审计。信息系统管理部 分（子）公司网络管理员安全管理员3防病毒系统日志审 阅记录表2.10.52.10.22.服务器管理1.1经营风险：服务器相关管理人员配备不 到位，导致系统运行管理存在隐患。2.1 各级信息管理部门配备系统管理员，由信息管理部门（责任处（科）室）负责人审批。信息系统管理部 分（子）公司3系统管理员任命材 料2.10.71.1经营风险：未建立服务器档案，导致服务器运行维护缺乏配置参数等重要依据。2.2 系统管理员须建

9、立服务器档案，内容包括设备的详细硬件配置、设 备唯一性标记和设备用途等信息。信息系统管理部 分（子）公司4服务器档案2.10.72.3服务器操作系统管理1.1经营风险：随意创建操作系统用户，导致 系统管理混乱，影响系统运行，存在安全 隐患。2.3.1 操作系统用户须填写操作系统用户申请表，经信息管理部门（责任处（科）室）负责人审批后，由系统管理员创建。信息系统管理部 分（子）公司3操作系统用户申请 表2.10.71.1经营风险：操作系统用户授权超期未锁定 或删除，导致信息泄密或系统安全存在隐 患。2.3.2 系统管理员每半年检查操作系统用户授权情况并记录，对超期使用帐号的用户进行锁定或删除。信

10、息系统管理部 分（子）公司3操作系统用户授权 记录2.10.71.1经营风险：操作系统用户密码设置强度不 够或更改不及时，造成系统非授权访问。2.3.3 操作系统用户密码要求长度八位以上，采用数字和字符组合方式， 新密码不得与前五次历史密码相同。系统管理员至少每季度修改操作系 统用户密码，填写密码更换记录、经安全管理员确认并在信息管理部门 备案。信息系统管理部 分（子）公司5密码更换记录2.10.72.10.21.1经营风险：系统管理员对操作系统运行监 控不到位，未能及时发现隐患，安全管理员未履行检查职责，影响系统稳定运行。2.3.4 系统管理员监控操作系统运行情况，每日巡检操作系统日志，并将

11、巡检情况记录存档。安全管理员每月对系统巡检记录进行检查，对存在 问题提出整改意见，上报信息管理部门（责任处（科）室）负责人审批 后实施。信息系统管理部 分（子）公司3操作系统每日巡检 记录（应包含安全管理员检查记 录，以及存在问题改 进情况）2.10.72.10.23.机房管理1.12.2经营风险：机房管理制度不健全，导致机房管理存在漏洞。3.1 各级信息管理部门依据相关制度和规范，制定计算机机房管理办法，实施对机房的管理。管理办法主要内容包括人员岀入管理、设备岀入管 理、机房工况管理和备份介质管理等。信息系统管理部 分（子）公司4机房管理办法2.10.81.1经营风险：机房岀入人员管理不严，

12、导致 资源受损或系统瘫痪。3.2 机房应设门禁系统，或由专人负责机房岀入管理并填写人员岀入登记 表。信息系统管理部 分（子）公司3机房人员岀入登记 表门卡发放记录钥匙领用记录2.10.81.1经营风险：设备随意进岀机房，导致信息 世密或设备丢失。3.3 设备岀入机房，携带设备人员填写设备岀入登记表，由信息管理部门 （责任处（科）室）负责人审批并备案。信息系统管理部 分（子）公司3机房设备岀入登记 表 2.10.83 / 3业务目标业务风险控制点适用单位不相容X-JU/亠 冈位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1 存在和发生/真实性性；3 权利与义务； 摊；5 表达和披

13、露；2 完整4 估价或分6 准确性1234561.1经营风险：机房环境参数异常，导致设备 发生故障，影响系统稳疋运行。3.4 机房管理人员每日对机房UPS、空调、温湿度和电源系统巡检，并填写巡检记录。信息系统管理部分（子）公司3机房巡检记录2.10.84 备份介质管理1.1经营风险：备份介质标记不规范，导致备 份数据查找困难、数据恢复困难。4.1 系统管理员要对备份介质进行标记。标记内容有：备份介质编号、应用名称、IP 地址、备份日期、备份内容和备份人。信息系统管理部分（子）公司32.10.91.1经营风险：备份介质管理不规范，导致备 份介质损坏或系统及数据恢复困难。4.2 重要信息系统的备份

14、介质必须异地存放并分类存档。系统管理员按照厂商提供的使用年限按期更换备份介质。备份介质存放环境和备份介质 存储内容的销除满足备份管理办法的相关要求。信息系统管理部分（子）公司32.10.91.1经营风险：备份介质岀入库管理不规范， 导致备份介质损坏或系统及数据恢复困 难。4.3 备份介质有出入库记录。借出备份介质时， 借用人须填写申请表，经相关部门负责人审核，信息管理部门（责任处（科）室）负责人审批后，办理介质出库手续。信息系统管理部分（子）公司3介质入库记录 介质借用申请表2.10.95故障处理1.1经营风险：信息基础设施故障处理流程和 应急预案不健全，导致信息基础设施正常 运行存在隐患。5.1 信息管理部门负责制订本单位信息基础设施故障处理流程及应急预 案。信息系统管理部分（子）公司4故障处理流程信息基础设施应急 预案2.10.62.10.71.1经营风险：网络、服务器故障处理不及时， 记录不完整，导致信息系统不能正常运 行。5.2 网络、服务器发生故障时，运维人员应及时处理故障，并填写工作记 录。信息系统管理部分（子）公司3工作记录（应记录故 障发生时间、处理 人、原因、处理结果 等内容）2.10.71.1经营风险：终端用户计算机设备故障处理 不及时，工作单填写不完整，影响用