内部控制手册第3部分-内控矩阵-11,4应用系统IT一般性控制内部控制矩阵

11.4应用统般性制内部制矩阵业目

业风

控点1.序数访1.1

经营风险程序和数据访制度不健1.1总各部门分（子）司依据《国石油化工股份有限公司管理2.3

全，导致信系统应用理不规范理办法试行简称《信息统应用管理法相关用2.4

运维不及时

施程序和数访问管理包括用户限管理、用户帐号及访问管理、管理员、应管理员、全管理员主要职责是承担对系统管理员、管，负责审系统管理、应用管员在系统中的操作）管理、第三1.2用户权管理1.1

经营风险：户权限管不规范导1.21新员工及岗位变动人员按用户权限关管理办填写用户1.2

致对系统的法或非授访问。相关门负责人审批后，由应用管理员在统中新增变更或锁用1.1

经营风险数据库用户权管理不规1.2.2对于数据库用权限关人填写用户限审批表相关部1.21.12.1

范，导致对统的非法非授权访由系管理员在数据库中新增、变更或锁用户权限问。1.3用户帐及访问管理经营风险：统登录控功能不健1.3.1操作人员访问用系统时必须输入户帐号和密码。全，导致对统的非法非授权访问。1.1

经营风险户共享致责任清；1.3.2应管理员在统中为每个操作人员设置独立的用帐号不1.2

系统账户审清理不及导致对号（询用户帐号除外用管员至少每年打印一用户帐号统的非法或授权访问关部负责人审核。1.4密码管1.1

经营风险密码设置强度够或更改1.4.1操作人员应按密码管理关规定，循系统密码的长度至少为不及时成系统密或受到法访数字字符的组合，三个月更改一次密码密码规则置密码，得问

的密码。应管理员对作人员密定期更换记录进行检查。1.1

经营风险：统、应用理员密码1.4.2系统管理员应用管理应在系统用前修改作系统、数据库置强度不够更改不及造成系级用初始密码。上述密码至少三个月更一次，安管理员对期泄密或受到法访问

查。1.5系统管员、应用管理员、安全管理员管理1.1

经营风险：统、应用理员岗位1.5.1系统需配备职或兼职统管理员应用管理和安全管理员。1.2

置不合理、权不规范导致对系统管理、应用管理员必须经相关部门负责授权并遵不相容岗的非法或非权访问。得拥应用系统的业务操作权限。相关部负责人至每半年对述进行审查。1.1

经营风险：全管理员督不到位1.5.2安全管理员少每季度系统管理、应用管员的操作日志或1.2

系统安全收威胁。提出核意见，并报相关部门负责人。1.6第三方员管理

业目

业风

控点1.1

经营风险第三方合作单管理不到1.6.1总部各部门子公司与三方合作位就相关应用系统签1.22.12.2

位，造成系泄密或受非法访问1.1

经营风险对第三方人员户权限管1.6.2第三方人员需问系统时申请/经办人按照关管理办法1.2

理不规范导致对系统的法或非授表需注明使用期和权限经需求部门负责人核后提交息管理部2.1

权访问。

室）负责人批，由应管理员在统中新增或变更其帐号及权限。2.2

删除或锁定三方人员帐号。2.序更1.1

经营风险：序变更制不健全导2.1总各部门分（子）司依据《息系统应用管理办法》及相关1.2

致信息系统用管理不范维不法实系统变更管理，包括变更申请审批变更测试变更版本理及时。1.1

经营风险系统变更管不规范导2.2总统一建的应用系系统更必须填写系统变更审批表上报1.2

致应用系统行和维护无法正常和总相关部门，由总部统一组织升级、试和变更各分（子公进行。

各分（子）司自建系或客户化发的变更，必须经过分（子）公和相关部门责人审批1.1

经营风险系统变更管不规范未2.3变的应用序移植到产系统前关门必须组织人员进行系1.2

经审批测试导致用系统运和维护的无法常进行。

户测试，测不能在生环境中进。1.1

经营风险系统变更版管理文档2.4信管理部必须对操系统、数库、应用系统版本变更进行管1.2

管理不规范致应用系运行和维护的无法正进行。

更的版本号存档变更档和变更级程序。3.序发1.1

经营风险：术方案不理系统功

3.1新建应系统的项目计划、可研评审、立项批、项目施、竣工2.12.2

能存在问题致应系统不能足生产经营管业务需求

按照《11.1信息系统管业务流程》执行。1.1

经营风险：统上线前经严格测

3.2应系统上线,必须由息管理部组织测试统功能，成测试系统功能在问题，致应用系统不能正常行。

终用户部门责人签字认。3.3系统初化管理1.2

合规风险：用系统数的收集整3.3.1相关部门按照据收集模组织人员集、整理业务数据，并由2.32.4

理不规范，经审核确，导致系审核确。存在大量垃数据或数失真。1.2

合规风险导入系统的数未经审核3.3.2相关部门组织员对导入补录系统数据进行核对，并相关2.32.4

确认致系统存大量垃圾据或确认数据失真。4.统行1.1

经营风险：统运行制不健全导4.1总各部门分（子）司依据《息系统应用管理办法》及相关致信息系统用管理不范维不法实系统运行管理，包括系统备份及恢、系统监、维护及障及时。4.2数据备及恢复

业目

业风

控点1.1

经营风险备份策略和备方案不完4.2.1应用管理员（统管理员至少每月一次数据全备份，并检查1.2

善，数据备不及时、成功，导确认备是否成功。对备份异常情况进行记，同时检备份数据2.3

系统数据丢，系统无恢复。1.1

经营风险备份策略和备方案不完4.2.2系统管理员适对系统进备份，同检查备份系统的可读性，1.22.3

善应用系统序备份不时导致功。系统无法恢。1.1

经营风险：据库用系统志备4.2.3系统管理员、用管理员少每月对据库、应用系统的日志进1.22.3

份不及时导致系统问题法追溯或系统无法恢。1.1

经营风险：份介质管不规范导4.2.4应用管理员（统管理员每月将备介质与生产服务器异地存1.2

致备份数据失、泄密系统无法理。备介质存放要有记录，介质访问人员经相关部负责人授2.31.11.22.31.11.22.3

复。经营风险备份数据可读测试不及4.2.5系统管理员至每半年对份数据进一次可读性测试。时导致系统据丢失，统无法恢复。经营风险备份数据恢复测试不及4.2.6系统管理员至每年对备数据进行次恢复性测试。时导致系统据丢失，统无法恢复。4.3系统监、维护及故障处理1.1

经营风险：统运行缺有效监控4.3.1系统管理员应用系统后台作业操作系统数据库、服务器影响系统安稳定运行监控,并报系统运行监控报告。1.1

经营风险系统日志审不到位导4.3.2应用管理员对用系统操日志或记安全管理员对直接访问1.2

致系统问题能及时处影响系志至每月进行一次审核，发现异常情况及时上报息管理部/相2.3

稳定运行。

同时查明原，提出处意见，记处理情况。1.1

经营风险系统问题处、故障记4.3.3对系统运行出的故障，关人员需报问题处理记录单，详细1.2

不规范，影系统稳定行。况，中包括故障发生时间、故障情况、决办法、理结果及题2.3

审核确认。1.1

经营风险未制应急预案培训不4.3.4系统应用部门同信息管部门制订统应急预案，并至少每年1.22.3

到位工不能及正确处理发事统管员、应用管理员进行一次系统应急案的培训件或故障，响系统安稳