Q∕SY 1223.2-2009信息系统总体控制规范 第2部分：测试

1、O/SY中国石油球气顯公司企业标准Q/SY 1223. 22009信息系统总体控制规范第2部分：测试Specification for general computer controlPart 2: Test2009-05-01 实施2009-03-17 发布中国石油天然气集团公司发布Q/SY 1223. 22009Q/SY 1223. 22009前言5. 1控制点GCC-HJ-11Key5.2控制点GCC-HJ-12Key5.3控制点GCC-HJ-13Key5.4控制点GCC-HJ-14Key5. 5控制点GCC-HJ-15Key5. 6控制点GCC-HJ-165. 7控制点GCC-HJ-1

2、75. 8控制点GCC-HJ-185.9控制点GCC-HJ-195. 10控制点GCC- HJ-1.10 -5控制环境测试455556667778889999001 11范围 2规范性引用文件3专用词汇 4控制点编号规则6 信试1 控制点 GCC-AQ-2. 1 Key 2 控制点 GCC - AQ 2. 2 Key 3 控制点 GCC-AQ-2. 3 Key 4 控制点 GCC-AQ-2.4Key 5 控制点 GCC-AQ-2. 5 Key 6 控制点 GCC - AQ - 2. 6 Key 7 控制点 GCC-AQ-2. 7 Key 8 控制点 GCC - AQ - 2. 8 Key 9

3、控制点 GCC-AQ-2.9Key 10 控制点 GCC-AQ-2. 10 Key 6. 11 控制点 GCC-AQ-2. 11 Key 6. 12 控制点 GCC-AQ-2. 12 Key 6. 13 控制点 GCC-AQ-2. 13 Key 6. 14 控制点 GCC-AQ-2. 14 Key 6. 15 控制点 GCC AQ-2. 15 Key 6. 16 控制点 GCC-AQ-2. 16 Key 6.17 控制点 GCC- AQ-2. 17 Key 6. 18 控制点 GCC-AQ-2. 18 6. 19 控制点 GCC-AQ-2. 19 6. 20 控制点 GCC -AQ-2. 20

4、 6.21 控制点 GCC-AQ-2. 21 TOC o 1-5 h z HYPERLINK l bookmark94 o Current Document 6. 22控制点 GCC-AQ-2.22 11 HYPERLINK l bookmark97 o Current Document 6. 23控制点 GCC-AQ-2.23 11 HYPERLINK l bookmark102 o Current Document 6. 24控制点 GCC-AQ-2.24 12 HYPERLINK l bookmark105 o Current Document 6. 25控制点 GCC-AQ-2.25

5、12 HYPERLINK l bookmark108 o Current Document 6. 26控制点 GCC- AQ-2.26 12 HYPERLINK l bookmark111 o Current Document 6. 27控制点 GCC-AQ-2.27 12 HYPERLINK l bookmark114 o Current Document 28控制点 GCC-AQ-2.28 137项目建设管理测试13 HYPERLINK l bookmark120 o Current Document 1控制点 GCC-JS-3. 1Key 13 HYPERLINK l bookmark1

6、23 o Current Document 控制点 GCC-JS-3. 2Key 13 HYPERLINK l bookmark126 o Current Document 控制点 GCC-JS-3. 3Key 14 HYPERLINK l bookmark129 o Current Document 控制点 GCC-JS-3. 4Key 14 HYPERLINK l bookmark132 o Current Document 控制点 GCC-JS-3. 5Key 14 HYPERLINK l bookmark135 o Current Document 控制点 GCC-JS-3. 6Key

7、 15 HYPERLINK l bookmark138 o Current Document 控制点 GCC-JS-3. 7Key 15 HYPERLINK l bookmark141 o Current Document 控制点 GCC-JS-3. 8Key 15 HYPERLINK l bookmark144 o Current Document 控制点 GCC-JS-3. 9Key 16 HYPERLINK l bookmark147 o Current Document 10控制点GCC-JS-3.10 16 HYPERLINK l bookmark150 o Current Docu

8、ment 11控制点GCC-JS-3.11 16 HYPERLINK l bookmark152 o Current Document 12控制点GCC-JS-3.12 16 HYPERLINK l bookmark155 o Current Document 13控制点GCC-JS-3.13 17 HYPERLINK l bookmark158 o Current Document 7.14控制点GCOJS-3.14 17 HYPERLINK l bookmark161 o Current Document 15控制点GCC-JS-3.15 17 HYPERLINK l bookmark16

9、4 o Current Document 16控制点GCC-JS-3.16 17 HYPERLINK l bookmark167 o Current Document 17控制点GCC-JS-3.17 17 HYPERLINK l bookmark170 o Current Document 18控制点GCC-JS-3.18 18 HYPERLINK l bookmark173 o Current Document 19控制点GCC-JS-3.19 188系统变更管理测试18 HYPERLINK l bookmark176 o Current Document 1控制点 GCC - BG -

10、4. 1Key 18 HYPERLINK l bookmark179 o Current Document 2控制点 GCC-BG-4. 2Key 18 HYPERLINK l bookmark182 o Current Document 3控制点 GCC - BG 4. 3Key 19 HYPERLINK l bookmark185 o Current Document 控制点 GCC-BG-4. 4Key 19 HYPERLINK l bookmark188 o Current Document 5控制点 GCC-BG-4. 5Key 20 HYPERLINK l bookmark190

11、o Current Document 6控制点 GCC - BG - 4. 6 20 HYPERLINK l bookmark193 o Current Document 7控制点 GCC-BG-4. 7 20 HYPERLINK l bookmark196 o Current Document 8控制点 GCC-BG-4. 8 21 HYPERLINK l bookmark199 o Current Document 控制点 GCC-BG-4. 9 21 HYPERLINK l bookmark201 o Current Document 10 控制点 GCC-BG-4. 10 21 HYP

12、ERLINK l bookmark204 o Current Document 11 控制点 GCC-BG-4. 11 219系统运行维护测试21 HYPERLINK l bookmark207 o Current Document 1控制点 GCC - YW-5. 1 Key 21 HYPERLINK l bookmark209 o Current Document 2控制点 GCC -YW-5. 2 Key 22 HYPERLINK l bookmark212 o Current Document 3控制点 GCC-YW-5. 3 Key 22Q TOC o 1-5 h z HYPERLI

13、NK l bookmark215 o Current Document 4控制点 GCC- YW-5.4 Key 22 HYPERLINK l bookmark218 o Current Document 5控制点 GCC-YW-5.5 Key 23 HYPERLINK l bookmark221 o Current Document 6控制点 GCC-YW-5.6 Key 23 HYPERLINK l bookmark224 o Current Document 7控制点 GCC-YW-5.7 Key 23 HYPERLINK l bookmark227 o Current Document

14、 8控制点 GCC - YW-5. 8 Key 24 HYPERLINK l bookmark230 o Current Document 控制点 GCC- YW-5. 9 24 HYPERLINK l bookmark233 o Current Document 10控制点 GCC- YW-5. 10 24 HYPERLINK l bookmark236 o Current Document 9. 11控制点 GCC-YW-5. 11 25 HYPERLINK l bookmark239 o Current Document 9. 12 控制点 GCC- YW-5.12 25 HYPERLI

15、NK l bookmark242 o Current Document 13 控制点 GCC- YW-5. 13 2510最终用户操作测试 25 HYPERLINK l bookmark245 o Current Document 1控制点 GCC - YH - 6. 1Key 25 HYPERLINK l bookmark248 o Current Document 10.2控制点 GCC-YH-6. 2Key 26 HYPERLINK l bookmark251 o Current Document 3控制点 GCC - YH - 6. 3Key 26 HYPERLINK l bookma

16、rk254 o Current Document 控制点 GCC-YH-6. 4 26 HYPERLINK l bookmark257 o Current Document 控制点 GCC-YH-6.5 27 HYPERLINK l bookmark260 o Current Document 控制点 GCC-YH-6.6 27 HYPERLINK l bookmark263 o Current Document 控制点 GCC-YH-6. 7 27附录A （规范性附录）控制频率与抽样样本数量对应表 28附录B （规范性附录）管理表格汇总29IDQ/SY 1223. 22009 #Q/SY 1

17、223. 22009 IV kZ.*刖吕Q/SY 12232009信息系统总体控制规范分2个部分：第1部分：实施；第2部分：测试。本部分为Q/SY 12232009的第2部分。本标准的附录A、附录B为规范性附录。本标准由中国石油天然气集团公司信息管理部提出。本标准由中国石油天然气集团公司信息技术专业标准化技术委员会归口。 本标准起草单位：中国石油勘探开发研究院。本标准起草人：高雪、于爱丽、俞隆潮、缪红萍。Q/SY 1223. 22009 Q/SY 1223. 22009 信息系统总体控制规范第2部分：测试1范围Q/SY 1223的本部分规定了进行信息系统总体控制环境测试、信息安全测试、项目建设

18、管理测 试、系统变更管理测试、系统运行维护测试、最终用户操作测试所应遵循的程序与要求。本部分定义了信息系统总体控制测试的程序、方法和标准，适用于中国石油信息系统总体控制测 试工作。2规范性引用文件下列文件中的条款通过Q/SY 1223的本部分的引用而成为本部分的条款。凡是注日期的引用文件， 其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协 议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。 Q/SY 1223. 12009信息系统总体控制规范 第1部分：实施3专用词汇控制点：指企业为了保证业务活动的有效进行，保护

19、资产的安全和完整，防止、发现、纠正错误 与舞弊，以及保证企业正常经营所采取的一系列必要的管理措施。关键控制点：指对管理工作影响大、涉及面广、具有重要地位和作用的控制点。其控制点的失效 将使整个控制系统失控或造成较为重大的缺陷从而影响到整个企业业务活动控制目标的实现。 4控制点编号规则控制点编号规则为字母与数字不等长混合编码，编码结构见图1。音字母表示信息系统控制领域英文第一个字母图1控制点编号结构和规则信息系统控制子领域有六个，其名称、缩写和子领域的序号见表1。5控制环境测试本章节的控制点描述、控制方法和控制频率描述了控制执行时的主要要求，测试步骤描述了对该 控制点进行测试的具体方法。表1子领

20、域名称、代码和子领域的序号子领域名称子领域代码子领域的序号控制环境测试HJ1信息安全测试AQ2项目建设管理测试JS3系统变更管理测试BG4系统运行维护测试YW5最终用户操作测试YH6示例：控制点GCC- HJ-1.1 Key代表信息技术控制环境测试子领域第一个控制点且此控制点为关键控制点。样本总体根据执行该控制的控制频率和时间段进行确定，确定样本总体后，样本数量根据附录A 所规定的方法抽取，以下各章同此。控制点 GCC - HJ - 1.1 Key5.1.1控制点描述中国石油天然气集团公司（简称集团公司）信息化工作主管部门定期（至少每年度）组织相关部 门对信息技术总体规划的执行情况及其对公司业

21、务的适应性进行审阅。集团公司信息化工作主管部门 可根据业务发展对信息技术总体规划进行修订，并完整保存相关文档记录。5.1.2测试步骤a）访谈集团公司信息化工作主管部门负责人，了解信息技术总体规划的制定、执行以及修订情 况，获得企业最新的信息技术总体规划文档。b）查看相关业务部门是否参与了信息技术总体规划的制定和审阅过程。c）检查信息技术总体规划的审阅、修订流程及流程的执行与制度要求的符合性。控制方法：手工；控制频率：每年。控制点 GCC-HJ-1.2 Key5. 2.1控制点描述集团公司信息化工作主管部门负责本单位信息系统控制相关政策和制度的制定和培训工作。5. 2.2测试步骤a）访谈集团公司

22、信息化工作主管部门负责人，了解信息系统控制相关政策和制度的推行、宣贯 过程，获得制度的培训、宣贯记录等相关文档。b）访谈员工对集团公司信息化工作主管部门的宣贯活动的了解程度。c）检查这些文档的内容、执行时间、参加的部门以及是否保存了相关的正式的培训文档。 控制方法：手工；控制频率：按需。3 控制点 GCC -HJ-1.3 Key5.3.1控制点描述集团公司信息化工作主管部门对公司及业务层面的主要信息技术风险进行评估。当组织结构、环 境发生变动或发生重大的信息技术应用时，集团公司信息化工作主管部门对变动情况进行风险评估， 必要时调整相关风险防范措施。5.3.2测试步骤a）访谈集团公司信息化工作主

23、管部门负责人，了解风险评估框架制定、变更频度、风险评估流 程、责任部门、管理层态度等情况，获得风险评估报告。检查报告是否经过修改，上一次修 改后是否发生了重大变更，风险评估报告是否随之进行了更新，管理层是否对评估报告进行 了审批。b）检查风险评估报告的覆盖范围和内容是否全面和完整。c）查看风险评估报告，审查控制措施是否可有效降低风险，管理层是否接受剩余风险。 控制方法：手工；控制频率：按需。4 控制点 GCC -HJ-1.4 Key5.4.1控制点描述集团公司信息化工作主管部门每年对信息系统控制相关政策和制度在中国石油范围内的执行情况 进行监督。5.4.2测试步骤a）访谈集团公司信息化工作主管

24、部门负责人，了解实施办法的总体执行情况、责任部门情况等， 检查负责测试的单位是否涉及GCC的日常执行工作。b）获得GCC内控测试文档，检查测试工作是否按照规定的频率执行。c）检查集团公司信息化工作主管部门是否对所有的例外情况进行了总结、评估，并制定了正式 的整改计划，对于整改措施的执行情况是否进行了跟进。控制方法：手工；控制频率：每年。5 控制点 GCC -HJ-1.5 Key5.5.1控制点描述各级信息化工作管理部门每年评估信息系统控制相关政策和制度在本单位的执行情况，对所发现的问 题采取相应的补救措施，制定评估报告。将评估报告和补救措施文档上社级信息化工作主管部门并归档。 5.5.2测试步

25、骤a）访谈信息化工作管理部门负责人，了解信息系统控制相关政策和制度执行情况的评估过程。b）检查是否对信息系统控制相关政策和制度在本单位的执行情况进行了评估，是否保存了正式 的评估报告和补救措施文档。c）检查评估报告和补救措施文档是否上报给上级信息化工作主管部门。控制方法：手工；控制频率：每年。控制点 GCC-HJ-1.65.6.1控制点描述集团公司信息化工作主管部门组织制定企业信息技术总体规划。各级信息化工作管理部门结合信 息技术总体规划，制定本单位的信息技术年度工作计划。5. 6.2测试步骤a）集团公司：一访谈集团公司信息化工作主管部门负责人，了解集团公司信息技术总体规划和年度工作 计划的制

26、定情况，并获得相关文档。一检查集团公司总体规划和年度工作计划是否符合集团公司总体规划的要求。控制方法：手工；控制频率：每年。b）各级单位：一访谈各级信息化工作管理部门负责人，了解本单位年度工作计划的制定情况，并获得相 关文档。检查各级单位年度计划内容是否符合集团公司总体规划的要求。控制方法：手工；控制频率：每年。控制点 GCC-HJ-1.75.7.1控制点描述制定部门职责时是否包含安全和内控的要求，制定员工岗位职责时是否满足职责分离的要求。5. 7.2测试步骤a）访谈各级信息化工作管理部门负责人，了解该部门在制定部门职责时是否包含安全和内控的 要求，以及在制定员工岗位职责时是否满足了职责分离的

27、要求。b）访谈员工，了解对职责分离岗位的具体情况。c）检查是否按照内控的要求对相关岗位制定了职责分离的要求。控制方法：手工；控制频率：按需。控制点 GCC-HJ-1.85. 8.1控制点描述各级单位信息化工作管理部门制定针对本单位普通员工的信息技术培训计划，并负责实施，保存 完整的文档记录。5. 8.2测试步骤a）访谈各级信息化工作管理部门负责人，了解该部门制定的本单位普通员工的信息技术培训计 划，并获得计划以及培训的相关文档。b）访谈普通员工，了解信息技术培训的具体实施情况。c）检查相关文档的内容、存档时间，以及是否保存了相关的培训文档。控制方法：手工；控制频率：按需。控制点 GCC-HJ-

28、1.95. 9.1控制点描述各级信息化工作管理部门应对所属单位使用的信息资产建立“信息资产清单”并进行分级，明确 各信息资产的相关责任人。5. 9.2测试步骤a）访谈信息化工作管理部门负责人，了解该部门是否对所属单位使用的信息资产建立“信息资 产清单”并进行分级，是否明确了信息资产的相关负责人。b）检查该单位使用的信息资产是否均已列入“信息资产清单”并进行分级。控制方法：手工；控制频率：按需。控制点 GCC -HJ-1.105.10.1控制点描述各级信息化工作管理部门按照信息系统控制相关政策和制度的要求进行日常检查与监控，确保信 息系统总体控制体系的有效运行。5.10. 2测试步骤a）访谈各级

29、信息化工作管理部门负责人，了解信息系统控制相关政策和制度所要求的日常检查 与监控制度的执行情况。b）检查进行日常检查与监控的相关文档是否完整。控制方法：手工；控制频率：按需。6信息安全测试控制点 GCC- AQ-2.1 Key6.1.1控制点描述信息安全管理负责人每半年审核本单位信息系统总体控制活动的职责分离状况，填写“职责分离 检查表”，将不符情况报相关负责人。6.1.2测试步骤a）访谈信息安全管理负责人，了解信息系统总体控制的职责分离管理情况。b）获得“职责分离检查表”，检查表单是否经过信息安全管理负责人审核签字，是否记录了不 符情况。c）检查纳人范围的系统中是否实现了角色分离。控制方法：

30、手工；控制频率：每半年。2 控制点 GCC - AQ-2.2 Key6. 2.1控制点描述当用户需要直接访问系统中的数据时，须提出申请，由用户主管领导和应用系统负责人审批后执行。6.2.2测试步骤a）访谈应用系统负责人，了解数据直接访问的情况。b）访谈数据库管理员，了解数据直接访问的情况，获得相关的“数据直接访问申请表”。c）确定样本总体：统计全年纳入范围的系统的数据直接访问活动次数，作为样本总体，并检查 是否每次访问活动都填写“数据直接访问申请表”。d）确定样本数量：根据抽样原则随机抽取多个样本，并检查相应的“数据直接访问申请表”。e）获得样本表单，检查表单的填写是否符合要求，是否有适当的审

31、核签字。f）通过查看日志等方法查看申请表是否与实际情况相符。控制方法：手工；控制频率：按需。3 控制点 GCC - AQ-2.3 Key6.3.1控制点描述应用系统、数据库、操作系统（含网络操作系统）及网络设备的账号及权限的申请、变更及撤销 需要经过有效的审批或授权，审批时对照职责分离矩阵进行检查，确保用户权限申请和变更符合职责 分离要求。6.3.2测试步骤a）访谈业务主管领导和纳人范围的系统的负责人以及信息部门负责人，了解系统账号及权限的 审批或授权过程，确定应用系统管理员、数据库管理员、操作系统管理员、网络管理员。b）访谈应用系统管理员、数据库管理员、操作系统管理员、网络管理员，了解账号及

32、权限的创 建或变更过程，获得“用户账号及权限管理表”。c）确定样本总体：统计共有多少纳人范围的系统的用户，作为样本总体。d）确定样本数量：根据抽样原则随机抽取样本，获得相应的“用户账号及权限管理表”。e）检查样本表单内容的填写是否符合要求，是否有主管领导及系统责任人的审核签字。D检查样本表单中用户申请（变更、撤销）的账号及权限与相应系统中的实际情况是否一致。 控制方法：手工；控制频率：按需。4 控制点 GCC- AQ-2.4 Key6. 4.1控制点描述应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。6. 4.2测试步骤a）访谈纳人范围的系统的应用系统负责人，了解对应用系统用户的权

33、限检查情况，确定应用系 统管理员。b）访谈应用系统管理员，了解不符账号和权限的修正过程。c）访谈信息安全管理负责人，了解用户权限定期检查的执行情况，获得对纳人范围的系统的 “应用系统权限检查表”。d）检查表单的内容填写是否符合要求，是否有应用系统负责人的审核签字。e）检查表单中的检查结果与系统中的实际情况是否一致。f）检查是否对检查结果的不符合要求的情况进行了改正，是否有应用系统负责人的签字确认。 控制方法：手工；控制频率：每季。6. 5 控制点 GCC - AQ-2.5 Key6. 5.1控制点描述应用系统负责人每三个月审核数据库管理员和操作系统管理员的账号及权限设置。网络管理负责人每三个月

34、审核网络管理员的账号及权限设置。6. 5.2测试步骤6. 5. 2.1操作系统、数据库权限a）访谈纳人范围的系统的应用系统负责人，了解对操作系统管理员和数据库管理员的权限检查 情况，确定操作系统管理员和数据库管理员。b）访谈操作系统管理员和数据库管理员，了解不符账号和权限的修正过程。c）访谈信息安全管理负责人，获得对纳入范围的系统的“操作系统/数据库权限检查表”及“特 权用户登记备案表”。d）检查表单的内容填写是否符合要求，“操作系统/数据库权限检查表”是否有应用系统负责人 的审核签字。e）检查表单中的检查结果与系统中的实际情况是否一致。D检查是否对检查结果的不符合要求的情况进行了改正，是否有

35、应用系统负责人的签字确认。6. 5. 2. 2防火墙系统权限a）访谈网络管理负责人，了解对网络管理员的权限检查情况，确定网络管理员。b）访谈网络管理员，了解不符账号和权限的修正过程。c）访谈信息安全管理负责人，获得对纳人范围的系统的相关“防火墙系统权限检查表”及“特 权用户登记备案表”。d）检查表单的内容填写是否符合要求，“防火墙系统权限检查表”是否有网络管理负责人的审 核签字。e）检查表单中的检查结果与系统中的实际情况是否一致。f）检查是否对检查结果的不符合要求的情况进行了改正，是否有网络管理负责人的签字确认。 控制方法：手工；控制频率：每季。6. 6 控制点 GCC - AQ-2.6 Ke

36、y6. 6.1控制点描述应用系统、数据库、操作系统、网络设备等系统的厂商初始口令在设备到货后及时修改，修改口令后的系统方可投入使用。6. 6.2测试步骤a）访谈信息化工作管理部门负责人，了解应用系统、数据库、操作系统和网络设备的投入使用 过程。b）统计纳人范围的系统及相关的操作系统、数据库和网络设备的数量，作为样本总体，并全部 作为样本进行测试。c）确定样本系统的厂商初始口令是否已经更改。控制方法：手工；控制频率：按需。6. 7 控制点 GCC- AQ-2.7 Key6.7.1控制点描述信息安全管理负责人在操作系统管理员协助下，每年审核Windows服务器操作系统设置是否符 合安全配置方案。6

37、. 7.2测试步骤a）访谈信息安全管理负责人，了解Windows服务器安全配置的审核过程，获得“Windows服 务器安全配置检查表”，确定操作系统管理员。b）访谈操作系统管理员，了解Windows服务器的安全配置过程。c）检查“Windows服务器安全配置检查表”中关键配置项的填写是否完整。d）检查系统中的实际配置情况与检查表是否一致，并标注出不符合配置要求的情况。 控制方法：手工；控制频率：每年。6. 8 控制点 GCC - AQ-2.8 Key6. 8.1控制点描述信息安全管理负责人在操作系统管理员协助下，每年审核Unix服务器操作系统设置是否符合安 全配置方案。6. 8.2测试步骤a）

38、访谈信息安全管理负责人，了解Unix服务器安全配置的审核过程，获得“Unix服务器安全 配置检查表”，确定操作系统管理员。b）访谈操作系统管理员，了解Unix服务器的安全配置过程。c）检查“Unix服务器安全配置检查表”中关键配置项的填写是否完整。d）检查系统中的实际配置情况与检查表是否一致，并标注出不符合配置要求的情况。控制方法：手工；控制频率：每年。6. 9 控制点 GCC-AQ-2.9 Key6. 9.1控制点描述信息安全管理负责人在操作系统管理员协助下，每年审核Inux服务器操作系统设置是否符合安 全配置方案。6. 9.2测试步骤a）访谈信息安全管理负责人，了解Linux服务器安全配置

39、的审核过程，获得“Linux服务器安 全配置检查表”，确定操作系统管理员。b）访谈操作系统管理员，了解Linux服务器的安全配置过程。c）检查“Linux服务器安全配置检查表”中关键配置项的填写是否完整。d）检查系统中的实际配置情况与检查表是否一致，并标注出不符合配置要求的情况。控制方法：手工；控制频率：每年。控制点 GCC- AQ-2.10 Key6.10.1控制点描述进人机房人员需经进人机房授权人员同意并按规定填写“机房出人登记表”后进人机房。机房负 责人定期检查机房出入登记情况。6.10. 2测试步骤a）访谈信息化工作管理部门负责人，了解机房数量等信息，然后访谈机房负责人，了解机房出 人

40、访问的管理情况，获得“机房出人登记表”。b）确定样本总体：统计纳人范围的系统的相关机房出人活动的次数，作为样本总体。c）确定样本数量：根据抽样原则随机抽取样本，并检查相应的“机房出人登记表”中的记录。d）检查临时进人机房的人员是否在“机房出人登记表”中进行登记并说明进人的原因，是否有 授权人员的许可。 e）实地观察人员进人机房是否按规定填写“机房出人登记表”，是否有授权人员许可。 控制方法：手工；控制频率：按需。控制点 GCC - AQ-2.11 Key6.11.1控制点描述信息安全管理负责人在网络管理员协助下，定期（至少每三个月）审核防火墙配置是否符合安全 配置标准。6.11.2测试步骤a）

41、访谈信息安全管理负责人，了解防火墙安全配置的审核过程，获得“防火墙安全配置检查 表”，确定网络髄员。b）访谈网络管理员，j了解防火墙的安全配置过程。c）检查“防火墙安全配置检查表”中关键配置项的填写是否完整。d）检查系统中的实际配置情况与检查表是否一致，并标注出不符合配置要求的情况。控制方法：手工；控制频率：每季。控制点 GCC - AQ-2.12 Key6.12.1控制点描述“边界网络”是指用于企业内部网络与Internet.合作伙伴企业网络或其他外部网络进行连接的 特殊子网或网络设备。各级信息化工作管理部门对边界网络出口进行登记，并报集团公司信息化工作主管部门审批。各 级信息化工作管理部门

42、需新增边界网络出口时，应填写“边界网络出口申请表”，报集团公司信息化 工作主管部门批准后执行。6.12. 2测试步骤a）访谈网络管理负责人，询问是否有边界网络出口，获得“边界网络出口登记表”。b）检查“边界网络出口登记表”与实际外部网络出口的情况是否一致，可以访谈一般业务人员 是否有其他的网络出口。c）确定样本总体：统计所有边界网络出口的数量，作为样本总体。d）确定样本数量：根据抽样原则随机选取样本。e）检查样本出口是否经过了集团公司信息化工作主管部门的审批。控制方法：手工；控制频率：按需。控制点 GCC-AQ-2.13 Key6.13.1控制点描述网络管理员每周检查防火墙日志，填写“防火墙日

43、志检查记录表”，并签字确认。6.13. 2测试步骤a）访谈网络管理员，了解防火墙日志的检查过程。b）检查“防火墙安全配置检查表”中关键配置项的填写是否完整。c）检查系统中的实际配置情况与检查表是否一致，并标注出不符合配置要求的情况。控制方法：手工；控制频率：每周。控制点 GCC-AQ-2.14 Key6.14.1控制点描述用户申请远程登录账号时，填写“远程登录账号申请表”并提交给用户主管领导和网络管理负责 人批准后方可实施。6.14.2 测试步骤 _a）访谈网络管理负责人，了解远程登录的申请和审批等流程。b）访谈网络管理员，了解远程登录的申请和审批等流程，获得相关的“远程登录账号申请表”。c）

44、确定样本总体：统计全年纳人范围的系统的远程登录用户数知 确保每个登录用户都有相应 的“远程登录账号申请表”。d）确定样本数量：根据抽样原则随机抽取样本，检查相应的“远涅登录账号申请表”。e）检查样本表单记录是否完整，是否有主管领导及网络管理责任人的审批签字。f）检查样本表单中用户申请的账号及权限与相应系统中的实际情况是否一致。控制方法：手工；控制频率：按需。控制点 GCC - AQ-2.15 Key6.15.1控制点描述网络管理负责人每三个月审核用户远程登录账号是否合理，以及迠否存在无人使用的用户账号， 将审核结果填写在“远程登录权限检查表”中，并签字确认。2测试步骤a）访谈网络管理负责人，了

45、解远程登录的权限检查管理情况。b）访谈信息安全管理负责人，获得纳人范围的系统的“远程登求权限检查表”。c）检查权限检查表的填写是否符合要求，是否有网络管理负责人的审核签字。d）检查表单中的检査结果与系统中的实际情况是否一致。控制方法：手工；控制频率：每季。控制点 GCC - AQ-2.16 Key6.16.1控制点描述安装Windows操作系统的服务器，安装统一的防病毒软件，及时更新防病毒软件的病毒库。2 测试步骤a）访谈信息化工作主管部门负责人和信息安全管理负责人，了解防病毒的工作情况。b）确定样本总体：统计服务器和个人计算机的数量。c）确定样本数量：根据抽样原则随机抽取样本。d）检查样本设

46、备是否安装了统一的防病毒软件。e）检查样本设备是否按照既定的更新频率对防病毒软件的病毒库进行及时更新。控制方法：手工；控制频率：按需。控制点 GCC-AQ-2.17 Key6.17.1控制点描述当第三方需要访问中国石油应用系统生产环境时，填写“用户账号及权限管理表”，说明账号使 用的时间和期限，并得到相关业务部门主管领导的批准。当访问结束或访问期限到期时，应用系统管 理员及时收回相应的访问权限。2测试步骤a）访谈信息化工作管理部门负责人和应用系统负责人，了解系统有无第三方人员的访问，并确 定检查人员。b）确定样本总体：统计全年纳人范围的应用系统的第三方用户数量，并查看是否所有第三方用 户都填写

47、了 “用户账号及权限管理表”。c）确定样本数量：根据抽样原则随机抽取样本，并检查相应的“用户账号及权限管理表”。d）检查样本表单内容的填写是否符合要求，是否有主管领导的审批签字。e）如果第三方用户访问期限到期，查看是否有对应的管理表进行权限撤销，查看撤销日期与期 限是否一致。）检查样本表单中第三方用户申请的账号、权限与相应系统中的实际情况是否一致。控制方法：手工；控制频率：按需。控制点 GCC - AQ-2.186.18.1控制点描述在集团公司和地区公司设立信息安全管理负责人，对信息技术日常工作进行安全监督和检查。2测试步骤a）访谈信息安全管理负责人，了解信息技术日常工作安全监督和检查情况。b

48、）获得相关信息技术日常安全相关文档。c）检查相关文档是否符合安全要求。控制方法：手工；控制频率：按需。控制点 GCC- AQ-2.196.19.1控制点描述各级信息化工作管理部门制定相关安全培训计划，对员工适时进行信息安全教育和培训以提高其 安全意识。2测试步骤a）访谈信息化工作主管部门负责人，了解对员工进行信息安全教育和培训的具体情况。b）访谈员工对信息安全的了解程度。c）检查培训文档的内容、培训时间、参加的部门，以及是否保存正式的培训文档。 控制方法：手工；控制频率：按需。6. 20 控制点 GCC - AQ-2. 206. 20.1控制点描述信息化工作管理部门根据业务部门建立的“职责分离

49、表”，将其转换成应用系统职责分离矩阵。6. 20. 2测试步骤a）访谈信息化工作管理部门负责人，检查“职责分离表”是否经过业务部门负责人确认。b）访谈信息化工作管理部门负责人，了解“职责分离表”转换成应用系统职责分离矩阵的具体 情况。c）获得“职责分离表”和系统职责分离矩阵，并检查其是否符合职责分离的要求。控制方法：手工；控制频率：按需。6. 21 控制点 GCC- AQ-2. 216. 21.1控制点描述建立正式的网络、数据库、操作系统及应用系统的口令安全规则，系统用户遵照该规定设置和维 护口令。6.21.2测试步骤a）访谈纳入范围的系统的系统管理员，了解使用口令安全规则的情况。b）访谈相关

50、用户是否了解口令安全规则。c）要求相关用户登录相关系统以查看是否遵照口令安全规则来设置口令。控制方法：手工；控制频率：按需。6. 22 控制点 GCC - AQ-2. 226. 22. 1控制点描述集团公司信息化工作主管部门负责编制服务器操作系统的安全配置方案，各级单位的操作系统管 理员根据集团公司的服务器操作系统安全配置方案进行设置。6. 22. 2测试步骤6. 22. 2.1集团公司a）访谈集团公司信息化工作主管部门负责人，了解是否编制服务器操作系统的安全配置方案。b）访谈集团公司操作系统管理员，检查是否对集团公司的服务器操作系统的安全配置方案熟 悉，获得相关表单，如“Windows服务器

51、安全配置检查表”、“Unix服务器安全配置检查 表”、“Linux服务器安全配置检查表”。c）检查服务器操作系统的配置是否与配置检查表一致。控制方法：手工；控制频率：按需。6. 22. 2. 2 各级单位a）访谈各级单位信息化工作管理部门负责人，了解该单位操作系统管理员根据集团公司的服务 器操作系统安全配置方案设置的情况，明确操作系统管理员。b）访谈操作系统管理员，检查是否对集团公司的服务器操作系统的安全配置方案熟悉，获得相 关表单，如“Windows服务器安全配置检查表”、“Unix服务器安全配置检查表”、“Linux服 务器安全配置检查表”。c）检查服务器操作系统的配置是否与配置检查表一致

52、。控制方法：手工；控制频率：按需。6. 23 控制点 GCC - AQ-2. 236. 23.1控制点描述机房负责人授权需要经常进出机房的人员，并记录在“进人机房授权人员名单”中。当进出机房 的人员职责发生改变时，及时调整其进人的权限，并更新“进入机房授权人员名单”。6. 23. 2测试步骤a）访谈机房负责人，了解经常进出机房的授权情况并查看是否填写“进人机房授权人员名单”。b）访谈机房负责人，当进出机房的人员职责发生改变时，是否及时调整其进人的权限并更新 “进人机房授权人员名单”。c）获得“进人机房授权人员名单”，并检查名单是否与实际情况相符。控制方法：手工；控制频率：按需。6. 24 控制

53、点 GCC-AQ-2. 246.24.1 控制点描述敏感的纸质系统文件放置在带锁的文件柜中，包括：与财务报表相关系统的设计、开发、测试、 变更管理文档、用户使用手册，以及网络和基础设施的设计和变更文档等。6. 24. 2测试步骤访谈文件保管人员，检查是否将敏感文件保存于带锁的文件柜中。控制方法：手工；控制频率：按需。6. 25 控制点 GCC - AQ - 2. 256.25.1控制点描述在内部网络的所有边界网络出口实施了有效的访问控制措施。6.25.2测试步骤a）访谈网络负责人，了解本单位边界网络出口情况是否与“边界网络出口登记表” 一致。b）访谈网络管理员，是否在内部网络的所有边界网络出口

54、设立防火墙并实施了有效的访问控制 措施。c）查看边界网络出口是否实施了有效的访问控制措施。控制方法：手工；控制频率：按需。6. 26 控制点 GCC-AQ-2. 266. 26.1控制点描述远程登录应通过安全可靠的方式进行，如果不能采用安全可靠的方式，则应对传输的数据进行 加密。 觀Bi:七墨 II丄6. 26. 2测试步骤a）访谈网络管理员，了解远程登陆的方式，判断是否使用安全可靠方式进行。如果不能采用安 全可靠的方式，是否对传输的数据进行加密。b）检查实际情况中的远程登陆方式是否可靠。不能采用安全可靠方式时，是否对传输的数据进 行加密。控制方法：手工；控制频率：按需。6. 27 控制点 G

55、CC-AQ-2. 276. 27.1控制点描述定期（至少每月）进行病毒扫描。6.27. 2测试步骤a）访谈操作系统管理员，了解服务器是否定期对系统进行防病毒扫描并查看防病毒软件历史扫 描记录。b）检查一般员工，了解是否定期对计算机进行防病毒扫描并查看防病毒软件历史扫描记录。控制方法：手工；控制频率：每月。6. 28 控制点 GCC - AQ-2. 286. 28.1控制点描述第三方如需要远程登录中国石油内部网络，应事先提出申请并得到相关负责人的批准。28. 2测试步骤a）访谈应用系统负责人，了解是否有第三方远程登录中国石油内部应用系统。b）查看“远程登录账号申请表”，检查是否经相关负责人批准，

56、并核对是否与系统远程登录账 号情况一致。控制方法：手工；控制频率：按需。7项目建设管理测试控制点 GCC - JS - 3.1 Key7.1.1控制点描述项目经理组织制定项目的总体计划，包括项目范围、进度管理 人员需求、沟通管理等基本 内容。7.1.2测试步骤a）访谈项目经理，了解项目计划的制定流程、参与部门和人员，解项目计划包含的内容。b）访谈参与项目计划制定的相关部门和人员，了解他们在其中的职责和具体参与的活动。c）检查是否所有的项目都编制了正式的项目总体计划。Id）统计与纳人范围的系统相关的项目，全部作为样本进行测试。e）检查样本项目的总体计划是否经过了项目管理办公室和项目指导委员会的签

57、字审批。f）检查项目总体计划中是否包含项目范围、进度管理、人员需求、沟通管理等基本内容。 控制方法：手工；控制频率：按需。控制点 GCC - JS - 3. 2 Key2.1控制点描述项目立项由项目建设单位根据自身业务需求提出申请，本单位信息化工作管理部门和规划计划部 门负责审批。7. 2.2测试步骤a）访谈信息化工作管理部门负责人，了解“立项申请报告”和可行性研究报告”的实际业务 流程，了解各个系统开发的时间，判断哪些系统开发需要纳人測试范围。b）访谈所有业务部门相关工作人员，了解各个系统开发的时间，_次判断哪些系统开发需要纳 人测试范围，了解关于该项目的申请和实施情况。c）检查是否所有项目

58、的立项都经过审批，是否都编制了 “立项申请报告”及“可行性研究报 止”口 Od）统计与纳人范围的系统相关的项目，全部作为样本进行测试。e）检查立项申请是否经过了本单位信息化工作管理部门和规划计划部门负责人的签字审批。f）检查“可行性研究报告”是否包含项目目标与范围、现状与需求分析、技术方案、系统设计、 组织机构与定员、实施计划、实施投资估算、实施风险与效益分析等基本内容。g）检查“可行性研究报告”是否经过了本单位信息化工作管理部门和规划计划部门负责人的签， 字审批。控制方法：手工；控制频率：按需。控制点 GCC - JS - 3. 3 Key7. 3.1控制点描述需求分析报告完成后，项目经理组

59、织项目组与各相关方共同讨论该报告，各方确认报告内容后， 在报告上签字。7.3.2测试步骤a）访谈项目经理，了解“需求分析报告”的制定及审阅流程。b）访谈业务部门负责人，了解“需求分析报告”的制定及审阅流程。c）检查是否所有的项目都编制了 “需求分析报告”。d）统计与纳人范围的系统相关的项目，全部作为样本进行测试。e）检查“需求分析报告”是否经过审核并经项目经理和业务部门负责人的签字确认。0检查“需求分析报告”的内容是否包含了业务项目的目标、背景、业务需求描述等基本 内容。控制方法：手工；控制频率：按需。4 控制点 GCC - JS - 3. 4 Key7. 4.1控制点描述相关方负责人对项目设

60、计说明书进行审阅和确认。7. 4.2测试步骤a）访谈相关方负责人，了解“设计说明书”的审阅流程，确定对“设计说明书”进行签字确认 的人员。b）访谈对“设计说明书”签字确认的人员，了解“设计说明书”的审阅流程及签字确认的 情况。c）检查是否所有的项目都编制了 “设计说明书”。d）统计与纳人范围的系统相关的项目，全部作为样本进行测试。e）检查“设计说明书”是否经过审核并经项目经理和最终客户的签字确认。D检查“设计说明书”的内容是否包含了业务详细需求，包括业务描述、业务流程、内部控制 关键点等；功能说明，包括功能描述、主要功能模块组成和相互关系；项目运行的软硬件平 台以及对客户端软硬件环境的特殊要求