信息资源管理业务内部控制矩阵

1、11.4应用系统IT一般性控制内部控制矩阵2008年 C 11.4 PAGE 1111.4应用系统IT一般性控制内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值值控制点相关关资料相关制度索索引会计报表认认定会计报表项项目1存在和发发生/真真实性；2完整整性；3权利利与义务务；4估价价或分摊摊；5表达达和披露露；6准确确性1234561.程序和和数据访访问1.12.32.4经营风险：程序和和数据访访问制度度不健全全，导致致信息系系统应用用管理不不规范、运运维不及及时。1.1总部部各部门门、分（子子）公司司依据中中国石油油化工股股份有限限公司管管理信息息系统应应用管理理办法（试试行）

2、（以以下简称称信息息系统应应用管理理办法），及及相关应应用系统统管理办办法实施施程序和和数据访访问管理理，包括括用户权权限管理理、用户户帐号及及访问管管理、密密码管理理、系统统管理员员、应用用管理员员、安全全管理员员（主要要职责是是承担对对系统管管理员、应应用管理理员的监监管，负负责审查查系统管管理员、应应用管理理员在系系统中的的操作）管管理、第第三方人人员管理理等。总部各部门门分(子)公公司5程序和数据据访问管管理制度度1.10.32.6.442.14.201.2 用用户权限限管理1.11.2经营风险：用户权权限管理理不规范范，导致致对系统统的非法法或非授授权访问问。1.211新进员员工及岗

3、岗位变动动人员按按照用户户权限相相关管理理办法填填写用户户权限审审批表，经经相关部部门负责责人审批批后，由由应用管管理员在在系统中中新增、变变更或锁锁定用户户权限。总部各部门门分(子)公公司3用户权限审审批表1.11.2经营风险：数据库库用户权权限管理理不规范范，导致致对系统统的非法法或非授授权访问问。1.2.22对于数数据库用用户权限限，相关关人员填填写用户户权限审审批表，经经相关部部门负责责人审批批后，由由系统管管理员在在数据库库中新增增、变更更或锁定定用户权权限。总部各部门门分(子)公公司3用户权限审审批表1.3用户户帐号及及访问管管理1.12.1经营风险：系统登登录控制制功能不不健全，

4、导导致对系系统的非非法或非非授权访访问。1.3.11操作人人员访问问应用系系统时，必必须输入入用户帐帐号和密密码。总部各部门门分(子)公公司2用户登录截截屏1.11.2经营风险：账户共共享，导导致责任任不清；系统账账户审核核清理不不及时，导致对系统的非法或非授权访问。1.3.22应用管管理员在在系统中中为每个个操作人人员设置置独立的的用户帐帐号，不不能设置置共享用用户帐号号（查询询用户帐帐号除外外）。应应用管理理员至少少每半年年打印一一次用户户帐号权权限清单单，并由由相关部部门负责责人审核核。总部各部门门分(子)公公司3用户帐号清清单1.4密码码管理1.1经营风险：密码设设置强度度不够或或更改

5、不不及时，造造成系统统泄密或或受到非非法访问问1.4.11操作人人员应按按照密码码管理相相关规定定，遵循循系统密密码的长长度至少少为6位位，复杂杂度为数数字与字字符的组组合，三三个月更更改一次次密码等等密码规规则设置置密码，不不得使用用最近使使用过的的密码。应应用管理理员对操操作人员员密码定定期更换换记录进进行检查查。总部各部门门分(子)公公司3密码更换检检查记录录1.1经营风险：系统、应应用管理理员密码码设置强强度不够够或更改改不及时时，造成成系统泄泄密或受受到非法法访问1.4.22系统管管理员、应应用管理理员应在在系统投投用前修修改操作作系统、数数据库、应应用系统统的超级级用户初初始密码码

6、。上述述密码至至少三个个月更换换一次，安安全管理理员对定定期更换换记录进进行检查查。总部各部门门分(子)公公司系统管理员员应用管管理员安安全管理理员3管理员更换换密码记记录1.5系统统管理员员、应用用管理员员、安全全管理员员管理1.11.2经营风险：系统、应应用管理理员岗位位设置不不合理、授授权不规规范，导导致对系系统的非非法或非非授权访访问。1.5.11系统需需配备专专职或兼兼职系统统管理员员、应用用管理员员和安全全管理员员。安全全管理员员、系统统管理员员、应用用管理员员必须经经相关部部门负责责人授权权并遵循循不相容容岗位分分离原则则，且不不得拥有有应用系系统的业业务操作作权限。相相关部门门

7、负责人人至少每每半年对对上述管管理员在在职情况况进行审审查。总部各部门门分(子)公公司系统管理员员应用管管理员安安全管理理员4信息系统岗岗位授权权文档；在职情况审审查记录录1.11.2经营风险：安全管管理员监监督不到到位，系系统安全全收到威威胁。1.5.22安全管管理员至至少每季季度对系系统管理理员、应应用管理理员的操操作日志志或记录录进行检检查，提提出审核核意见，并并报相关关部门负负责人。总部各部门门分(子)公公司系统管理员员应用管管理员安安全管理理员3操作日志或或记录审审核记录录1.6第三三方人员员管理1.11.22.12.2经营风险：第三方方合作单单位管理理不到位位，造成成系统泄泄密或受

8、受到非法法访问。1.6.11总部各各部门、分分（子）公公司与第第三方合合作单位位就相关关应用系系统签订订安全保保密协议议。总部各部门门分(子)公公司3安全保密协协议1.11.22.12.2经营风险：对第三三方人员员用户权权限管理理不规范范，导致致对系统统的非法法或非授授权访问问。1.6.22第三方方人员需需访问系系统时，由由申请人人/经办办人按照照相关管管理办法法填写用用户权限限审批表表(需注注明使用用期限和和权限)，经需需求部门门负责人人审核后后提交信信息管理理部门（责责任处（科科）室）负负责人审审批，由由应用管管理员在在系统中中新增或或变更其其帐号及及权限。到到期后必必须及时时删除或或锁定

9、第第三方人人员的帐帐号。总部各部门门分(子)公公司3用户权限审审批表2.程序变变更1.11.2经营风险：程序变变更制度度不健全全，导致致信息系系统应用用管理不不规范、运运维不及及时。2.1总部部各部门门、分（子子）公司司依据信信息系统统应用管管理办法法及相相关应用用系统管管理办法法实施系系统变更更管理，包包括变更更申请审审批、变变更测试试和变更更版本管管理等。总部各部门门分（子）公公司4程序变更管管理制度度1.10.32.6.442.14.201.11.2经营风险：系统变变更管理理不规范范，导致致应用系系统运行行和维护护的无法法正常进进行。2.2总部部统一建建设的应应用系统统，系统统变更必必须

10、填写写系统变变更审批批表上报报信息系系统管理理部和总总部相关关部门，由由总部统统一组织织升级、测测试和变变更，各各分（子子）公司司不得自自行变更更。各分分（子）公公司自建建系统或或客户化化开发的的变更，必必须经过过分（子子）公司司信息管管理部门门和相关关部门负负责人审审批。总部各部门门分（子）公公司3系统变更申申请表1.11.2经营风险：系统变变更管理理不规范范，未经经审批、测测试，导导致应用用系统运运行和维维护的无无法正常常进行。2.3变更更的应用用程序移移植到生生产系统统前，相相关部门门必须组组织人员员进行系系统测试试和最终终用户测测试，测测试不能能在生产产环境中中进行。总部各部门门分（子

11、）公公司3测试记录1.11.2经营风险：系统变变更版本本管理、文文档管理理不规范范导致应应用系统统运行和和维护的的无法正正常进行行。2.4信息息管理部部门必须须对操作作系统、数数据库、应应用系统统版本变变更进行行管理，记记录每次次变更的的版本号号，存档档变更文文档和变变更升级级程序。总部各部门门分（子）公公司3变更记录3.程序开开发1.12.12.2经营风险：技术方方案不合合理，系系统功能能存在问问题，导导致应用用系统不不能满足足生产经经营管理理业务需需求。3.1新建建应用系系统的项项目计划划、可研研评审、立立项审批批、项目目实施、竣竣工验收收等开发发步骤按按照111.11信息系系统管理理业务

12、流流程执执行。 总部各部门门分（子）公公司1.1经营风险：系统上上线前未未经严格格测试，系统功能存在问题，导致应用系统不能正常运行。3.2应用用系统上上线前,必须由由信息管管理部门门组织测测试系统统功能，形形成测试试报告，并并经最终终用户部部门负责责人签字字确认。总部各部门门分（子）公公司3系统功能测测试报告告3.3系统统初始化化管理1.22.32.4合规风险：应用系系统数据据的收集集、整理理不规范范，未经经审核确确认，导致系系统存在在大量垃垃圾数据据或数据据失真。3.3.11相关部部门按照照数据收收集模板板组织人人员收集集、整理理业务数数据，并并由相关关部门责责任人审审核确认认。总部各部门门

13、分（子）公公司3数据收集确确认单1.22.32.4合规风险：导入系统统的数据据未经审审核确认认，导致致系统存存在大量量垃圾数数据或数数据失真真。3.3.22相关部部门组织织人员对对导入和和补录系系统的数数据进行行核对，并并由相关关部门责责任人签签字确认认。总部各部门门分（子）公公司5数据导入确确认单4.系统运运行1.1经营风险：系统运运行制度度不健全全，导致致信息系系统应用用管理不不规范、运运维不及及时。4.1总部部各部门门、分（子子）公司司依据信信息系统统应用管管理办法法及相相关应用用系统管管理办法法实施系系统运行行管理，包包括系统统备份及及恢复、系系统监控控、维护护及故障障处理等等。总部各

14、部门门分(子)公公司5系统运行管管理制度度1.10.32.6.442.14.204.2数据据备份及及恢复1.11.22.3经营风险：备份策策略和备备份方案案不完善善，数据据备份不不及时、不不成功，导致系统数据丢失，系统无法恢复。4.2.11应用管管理员（系系统管理理员）至至少每月月做一次次数据全全备份，并并检查数数据备份份日志，确确认备份份是否成成功。对对备份异异常情况况进行记记录，同同时检查查备份数数据的可可读性。总部各部门门分(子)公公司3数据备份日日志或记记录1.11.22.3经营风险：备份策策略和备备份方案案不完善善，应用用系统程程序备份份不及时时，导致致系统无无法恢复复。4.2.22

15、系统管管理员适适时对系系统进行行备份，同同时检查查备份系系统的可可读性，确确认备份份是否成成功。总部各部门门分(子)公公司3系统备份记记录1.11.22.3经营风险：数据库库、应用用系统日日志备份份不及时时，导致致系统问问题无法法追溯或或系统无无法恢复复。4.2.33系统管管理员、应应用管理理员至少少每月对对数据库库、应用用系统的的日志进进行备份份。总部各部门门分(子)公公司系统管理员员应用管管理员3日志备份记记录1.11.22.3经营风险：备份介介质管理理不规范范，导致致备份数据据丢失、泄密，系统无无法恢复复。4.2.44应用管管理员（系系统管理理员）每每月将备备份介质质与生产产服务器器异地

16、存存放，并并由专人人管理。备备份介质质存放要要有记录录，介质质访问人人员须经经相关部部门负责责人授权权并填写写访问记记录。总部各部门门分(子)公公司3介质存放及及访问记记录1.11.22.3经营风险：备份数数据可读读性测试试不及时时，导致致系统数数据丢失失，系统无无法恢复复。4.2.55系统管管理员至至少每半半年对备备份数据据进行一一次可读读性测试试。总部各部门门分(子)公公司3可读性测试试记录1.11.22.3经营风险：备份数据据恢复性性测试不不及时，导导致系统统数据丢丢失，系统无无法恢复复。4.2.66系统管管理员至至少每年年对备份份数据进进行一次次恢复性性测试。总部各部门门分(子)公公司

17、4恢复性测试试记录4.3系统统监控、维维护及故故障处理理1.1经营风险：系统运运行缺乏乏有效监监控，影影响系统统安全稳稳定运行行。4.3.11系统管管理员对对应用系系统、后后台作业业、操作作系统、数数据库、服服务器等等运行状状况进行行监控,并填报报系统运运行监控控报告。总部各部门门分(子)公公司3系统运行监监控报告告1.11.22.3经营风险：系统日志志审核不不到位，导致系统统问题不不能及时时处理，影影响系统统稳定运运行。4.3.22应用管管理员对对应用系系统操作作日志或或记录、安安全管理理员对直直接访问问数据库库的操作作日志至至少每月月进行一一次审核核，发现现异常情情况，及及时上报报信息管管

18、理部门门/相关关部门负负责人，同同时查明明原因，提提出处理理意见，记记录处理理情况。总部各部门门分(子)公公司应用管理员员安全管理员员3日志审核记记录1.11.22.3经营风险：系统问问题处理理、故障障记录不不规范，影响系统稳定运行。4.3.33对系统统运行出出现的故故障，相相关人员员需填报报问题处处理记录录单，详详细记录录问题处处理情况况，其中中包括故故障发生生时间、故故障情况况、解决决办法、处处理结果果及问题题跟踪记记录等，并并审核确确认。总部各部门门分（子）公公司3问题处理记记录单1.11.22.3经营风险：未制定定应急预案案或培训训不到位，员员工不能能及时正正确处理理突发事事件或故故障，影影响系统统安全稳稳定运行行。4.3.44系统应应用部门门会同信信息管理理部门制制订系统统应急预预案，并并至少每每年对业业务人员员、系统统管理员员、应用用管理员员进行一一次系统统应急预预案的培培训。总部各部门门分(子