版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高级工程师屈玉阁2012年13月32日IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个,对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工作最终取得令人满意的实质效果。2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中,对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网通集团通过美国《萨班斯法案》404条款做出了应有的贡献。原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案内部控制基本执行路径在美国上市的公司请管理咨询公司,制定满足SOX要求,遵循COSO框架的制度在企业各个层面落实在资本市场公布审计结果企业请外审公司对执行情况进行审计,得出结论。内部控制基本执行路径在美国上市的公司请管理咨询公司,制定满足每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省公司组织检查各单位改进外审第一次测试各单位改进外审第二次测试工作进度日期各单位依据本地化控制活动检查实际工作中差距,并改正。每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省企业信息化工作基本内容企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作,是信息化管理控制的一部分。企业信息化工作信息系统建设与运营信息化管理控制IT内控企业信息化工作基本内容企业信息化工作分为两部分,一是信息系统对财务数据来源控制的途径SOX404强调财务报告数据来源的准确与控制。财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作,其工作量占全部内控工作的60%。财务报告信息系统纸质报表电子表格对财务数据来源控制的途径SOX404强调财务报告数据来源的准ITGC标准模板构成ITGC标准模板构成原网通公司IT内控涉及的领域一般性信息系统基本控制信息系统应用控制信息系统安全信息系统操作变更管理应用系统、数据库实施与支持ERP计费帐务系统原网通公司IT内控涉及的领域一般性信息系统信息系统信息系信息一般性信息系统基本控制内容信息系统安全信息系统操作变更管理应用系统、数据库实施与支持一般安全管理操作系统安全管理数据库安全管理网络安全管理应用系统安全管理防病毒安全管理物理安全管理批处理程序管理备份信息化用户支撑体系紧急应变及系统恢复应用系统变更操作系统变更数据库系统变更网络变更应用系统采购应用系统、数据库开发与实施CobitISO/IEC17799ITIL一般性信息系统基本控制内容信息系统安全信息系统操作变更管理应
一般安全管理举例:信息系统安全内控架构应用系统安全数据库安全操作系统安全网络安全物理安全防病毒安全一般安全管理举例:信息系统安全内控架构应用系统安全数据库安举例:操作系统安全内控结构操作系统安全综述帐号管理对用户的管理认证管理权限管理对系统的管理帐号安全设置补丁安装监控管理举例:操作系统安全内控结构操作系统安全综述帐号管理对用户举例:帐号安全设置IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》<6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源的访问。](控制活动编号:<GC01.B-1>)。其中包含:对密码格式;无效登陆次数(三次);历史密码记忆个数;密码复杂度;密码长度(六位及以上);默认帐号锁定;帐号超时设置(10分钟);开放的端口和服务(要合理);日志的检查;系统的默认帐号。举例:帐号安全设置IT维护部门系统管理员通过对系统进行安全参举例:应用系统、数据库开发内控结构应用系统、数据库开发需求分析设计编码测试开发变更管理应用系统、数据库实施割接试运行初验正式运行终验后评估文档管理新的应用系统的测试
新的数据结构的测试新的系统软件的测试新的网络的测试举例:应用系统、数据库开发内控结构应用系统、数据库开发需求IT内控管理外部环境分析从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占52%;涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项内容;涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、网络维护、信息系统支撑等八个部门。电子表格内控工作更是涉及网通公司每个专业工作。在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。IT内控管理外部环境分析从外部环境看,原网通公司内控条款共IT内控管理内部环境分析从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对通信专业起步晚、信息化管理基础薄弱,表现在两个方面:1、已有信息系统功能大部分不能满足IT内控条款要求;2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。IT内控管理内部环境分析从内部环境看,2006年以前,网通2006年原网通河北省分公司IT内控开展的工作内控制度建设贯彻风险管理方式,开展针对性培训与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。问题整理及整改措施的落实现场督导,提出具体的管理措施,保证通过普华永道的测试开展信息系统风险评估,模拟演练预案积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题组织各单位,有效开展电子表格内控管理。2006年原网通河北省分公司IT内控开展的工作内控制度建设贯一、内控制度建设完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风险管理规范》编写;完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编写;完成《中国网通(集团)有限公司河北省分公司信息系统建设编码七项规范》修正《中国网通(集团)有限公司河北省分公司信息系统管理办法》;帮助财务部编写《久其报表软件系统管理暂行办法》。一、内控制度建设完成《中国网通(集团)有限公司河北省分公司信二、贯彻风险管理方式,开展针对性培训IT内控工作主要涉及两个方面:一是对信息系统功能要求;二是对信息化管理控制流程的要求,而且这部分工作量最大,并涉及相关工作人员的管理意识的转变。IT内控工作信息系统功能应满足IT内控要求信息化管理流程应符合内控要求二、贯彻风险管理方式,开展针对性培训IT内控工作主要涉及两个二、贯彻风险管理方式,开展针对性培训(续)为使涉及IT内控的各单位人员,改变原有的工作方式,树立信息化风险管理意识,对省公司企业信息化部两次开展内部培训,五次开展省公司本部相关部门面对面的培训,并举办全省支撑共享中心主任、负责IT内控主管人员等三十多人参加的专题培训班;去邯郸、唐山、沧州、邢台等四个市分公司支撑共享中心,对八十多人进行现场培训;两次举办电视会议培训,三次举办电话会议形式的全省专题培训;在石家庄银河宾馆和邮电公寓,分两次对公司全体内控工作人员共280多人分别讲解风险管理工作流程和电子表格内控流程。二、贯彻风险管理方式,开展针对性培训(续)为使涉及IT内控的二、贯彻风险管理方式,开展针对性培训(续)为了配合上述培训工作,我们编写下列等1200多页的IT内控培训文档:《河北网通IT开发与实施与控制环境矩阵》;《风险管理与内控》;《SOX法案与IT内部控制》;《电子表格管理说明》;《增进与外审师沟通》;《电子表格内控自查与复核工作要点》。通过上述培训,原网通河北省公司IT内控和电子表格管理等工作人员内控工作素质有了质的飞跃,为落实内控工作打下了坚实的思想基础。二、贯彻风险管理方式,开展针对性培训(续)为了配合上述培训工三、统一IT内控流程描述和文档格式在实施IT内控工作初期,原网通河北省分公司所属分公司和直属单位有15个本地化内控文档,由于各单位信息化管理支撑部门内部规章制度和工作流程不尽相同,管理精细化程度不一,工作人员对内控理解程度也各不相同。这种情况对不利于全省IT内控工作深度和进度的把握。为了改变上述局面,我们分析公司信息化各项制度和目前河北省分公司信息系统现状,收集了各单位信息化流程和各位记录文档,征求15个单位内控工作人员的意见,提出将河北省分公司IT内控文档统一描述的建议,得到了公司内控工作组和各相关部门的支持。三、统一IT内控流程描述和文档格式在实施IT内控工作初期,原三、统一IT内控流程描述和文档格式以《网通集团公司企业信息化管理控制体系1.0》为基础,以风险管理思想为理论依据,2006年6月,组织公司各相关单位成立IT内控工作项目组,经过三周时间的顽强拼搏,疏理了IT内控17个流程中214个控制活动,统一了9.5万字的IT内控流程描述,规范了176个相关文档格式,完成了网通河北省分公司十五个IT内控本地稿的统一工作,在2006年7月,以公司文件形式公布,在各单位执行。上述工作的开展,不仅仅统一了IT内控流程描述,也实现了河北省分公司所属各单位信息化管理控制流程和文档的统一,为河北省分公司IT内控在2006年满足SOX404形成了可量化的工作标准,由于各单位有同样的文档格式,在IT内控工作深度和进度把握上取得了主动权,管理效果非常直观,同时也降低了IT内控的工作难度。此项工作走在原网通集团公司内控工作前列,受到了原网通集团公司的表扬,也得到了审计公司普华永道的认同和较高的评价。三、统一IT内控流程描述和文档格式以《网通集团公司企业信息化四、问题整理及整改措施的落实
建立和落实IT内控责任分解表为了加强IT内控责任管理,原网通集团公司企业信息化部从2007年开始上报IT内控责任分解表,以明确每个信息系统中涉及内控的每个管理人和责任人。此项工作涉及省公司相关部门和各市分公司IT建设支撑部门,而且由于信息系统变化、组织与人员的调整,此项工作量非常大。为了按时按时完成该项工作,我们积极与部门领导商议,并与省公司法律与风险部进行沟通,共同起草通知文件,向省公司相关部门和各市分公司布置工作,在7月初保质保量完成此项工作,并向集团公司企业信息化部上报。四、问题整理及整改措施的落实建立和落实IT内控责四、问题整理及整改措施的落实(续)IT内控工作分为以信息系统程序功能实现的流程控制,以及对信息系统外部环境的控制等两大类。由于过去开发的信息系统没有按内控要求进行程序设计,所以,有些信息系统实现的功能不能达到IT内控要求,而由于建设资金和建设周期的原因,又不可能为实现IT内控要求立即实现信息系统改造,因此必须采用人工控制来降低信息系统风险。要求信息系统功能满足IT内控要求信息系统外部控制环境要满足IT内控要求信息系统系统具备程序控制降低风险信息系统不具备程序控制功能,需要人工控制降低风险建立人工管理控制流程,以降低风险四、问题整理及整改措施的落实(续)IT内控工作分为以信息系统人工降低IT内控风险整改措施控制声明(制度)授权和被授权文档作业流程与作业流程对应的控制文档控制轨迹人工降低IT内控风险整改措施控制声明(制度)授权和被授权文档四、问题整理及整改措施的落实(续)网通河北省分公司信息系统功能不能完全达到IT内控要求。在2006年初各单位整改的基础上,网通河北省分公司IT内控工作组,去各市分公司收集整理第一轮测试存在20个共性问题,深入理解内控要求,提出了人工降低IT内控风险整改措施。积极与集团IT内控项目组和德勤公司沟通,并得到了确认,在2006年6月中旬完成全部问题的整改。以工单方式,监督各单位的内控落实工作,对出现的问题进行密切跟踪,保证落实到位。进一步细化内控要点,将信息系统变更分为四类,制定了《信息系统非紧急变更实施范围定义表》下发给各单位执行。上述措施的落实,有效地开展了内控工作,并为公司节约建设资金1.6亿元。四、问题整理及整改措施的落实(续)网通河北省分公司信息系统功四、问题整理及整改措施的落实(续)变更等级提出申请变更审批的部门/人员审批人复合部门/人员及复合周期变更实施范围定义工作流程文档名称1重大运维部主管总经理需要省公司定期复合经立项进行的重大升级改造,或者是开发和实施阶段的变更,应归入项目的开发与实施进行管理。变更申请、变更实施、变更测试、变更验收、变更上线开发与实施的相关流程文档。2重要支撑共享中心主管主任IT管理部门(运维部)主管总经理每月复合1、系统能力不足,需要的局部变更;2、业务部门新需要引起的信息系统变更;1、变更管理员职责;2、信息系统服务支撑部门职责;3、信息系统管理部门职责。1、《信息系统变更申请》;2、《信息系统变更方案》;3、《变更通知单》;4、《信息系统变更计划》;5、《应急回退方案和回退时间点》;6、《备份记录》;7、《信息系统变更版本控制记录》;8、《xx系统参数配置表》;9、《工作日志》;10、《上线前的测试计划》;11、《上线审批单》12、《系统割接计划》;13、《变更报告》;14、《使用手册》。3一般支撑共享中心班组长支撑共享中心主管主任IT管理部门(运维部)主任每月符合1、不影响信息系统运行的参数变更(新加的参数);2、数据库调优(关键参数修改);3、应用系统的补丁程序(新增加功能模块);4、数据库和操作系统补丁程序(补漏洞);5、数据库、操作系统、应用系统的权限变更;6、应用系统的关键数据修改;7、操作系统、数据库、网络报警阀值调整。1、变更管理员职责;2、信息系统服务支撑部门职责。1、《信息系统变更申请》;2、《信息系统变更方案》;3、《信息系统变更计划》;4、《应急回退方案和回退时间点》;5、《备份记录》;6、《信息系统变更版本控制记录》;7、《xx系统参数配置表》8、《工作日志》;9、《上线前的测试计划》;10、《上线审批单》;11、《系统割接计划》;12、《变更报告》;4微小支撑共享中心员工支撑共享中心班组长支撑共享中心主管主任应用系统报警阀值调整;应用系统操作管理员填写《操作日志》信息系统非紧急变更实施范围定义表四、问题整理及整改措施的落实(续)变更等级提出申请变更审批四、问题整理及整改措施的落实(续)岗位说明书工作授权书帐号权限清单主管主任的授权工作
授权方式四、问题整理及整改措施的落实(续)岗位说明工作授权书帐号权限四、问题整理及整改措施的落实(续)开始提出申请主管主任审批执行并留下工作日志主管主任定期复核结束工作人员部门主管主任申请书工作日志申请书工作日志IT内控人工控制基本流程四、问题整理及整改措施的落实(续)开始提出申请主管主任审批执举例:数据库参数修改审批控制流程开始数据库管理员提出申请,填写申请表部门主管总经理进行审批:1、修改的内容;2、原因;3、涉及范围申请表通过数据库管理员修改数据库参数数据库管理员及时更新数据库参数表结束数据库管理员修正申请表申请表数据库参数表yn部门主管总经理或主管定期复核举例:数据库参数修改审批控制流程开始数据库管理员提出申请,填五、现场督导,提出具体的管理措施,保证通过普华永道的测试为了现场指导监督各单位落实内控要求,原网通河北省分公司IT内控工作组多次走访所属11个市分公司,与各单位主管内控的总经理、网运部和支撑共享中心的主任、IT内控主管人员进行现场沟通,对具体问题具体指导。在上述工作基础上,2006年,网通河北省分公司IT内控工作组两次对全省各单位进行内控测试工作。根据普华永道审计进度,网通河北省分公司IT内控工作组分别去邯郸、邢台、石家庄、沧州、唐山、秦皇岛等六个市分公司,现场指导应对普华的审计工作,同时密切关注其他公司的审计进程,有力了保证了IT内控普华审计工作效果。五、现场督导,提出具体的管理措施,保证通过普华永道的测试为了六、开展信息系统风险评估,模拟演练预案。在传统信息系统预案管理方面,存在的缺陷表现在两个方面:一是将信息系统硬件、软件和应用系统分开管理的;二是信息系统预案的制定过程没有经过风险评估,针对性不强,处于被动的局面。依据风险管理理论,我们将信息系统分为实物、软件、信息、服务等四类资产,从资产本身的弱点或漏洞、资产存在的外部威胁、威胁发生的可能性、威胁发生的后果、目前采取的措施等五个方面,建立《信息系统风险评估矩阵》,组织公司所属各单位对各个信息系统进行安全风险评估,找出目前信息系统存在的隐患,以应用系统为单位,制定针对性应急预案,进行模拟演练,并保留演练文档。通过上述工作,河北省分公司信息系统应急预案理顺了管理流程,实现了风险管理,走在集团公司IT内控工作前列。六、开展信息系统风险评估,模拟演练预案。在传统信息系统预案管信息系统风险评估过程确定信息资产或管理工作的范围
开始确定信息资产或管理工作本身存在的弱点或漏洞确定信息资产或管理工作面临的威胁确定目前信息系统或管理工作采取的控制措施结合信息资产本身或管理工作的弱点或漏洞及面临的威胁,考察目前已采取的控制措施,确定信息系统或管理工作有可能出现的问题(风险);对可能出现的问题进行排序,确定风险的优先级和控制水平提交公司安全现状风险报告,提供风险列表,归类风险等级结束信息系统风险评估过程确定信息资产或管理工作的范围开始确定信事例:综合结算系统资产风险评估表事例:综合结算系统资产风险评估表七、积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题IT内控涉及COSO、UAT和财务报表久其系统的管理。原网通河北省分公司IT内控工作组积极与公司COSO组沟通,完成了IT内控与COSO内控流程进行有效衔接。根据集团公司IT内控工作组的要求,IT内控工作组组织各单位在一个月内完成了UAT文档的整理工作,并提供统一的文档格式;帮助公司财务部编写《久其报表软件系统管理暂行办法》等公司文件,制定了6个文档模板,在各单位财务部门落实。七、积极与相关部门沟通,解决COSO、UAT和久其系统存在的八、组织各单位,开展电子表格内控管理,满足内控要求。电子表格内控工作是公司内控工作的一个重要部分,相比其它专业的内控工作,电子表格内控涉及公司各项专业工作,起步晚。在电子表格内控开始阶段,大家对电子表格的定义和如何开展工作没有明晰的认识,困难重重。我们首先分析SOX404对电子表格的要求,收集公司现有各类电子表格,依据集团公司相关制度和风险管理思想,在没有参考资料的前提下,经过一个多月的艰苦努力,从电子表格管理业务流程和计算机管理流程两个角度,编写了《网通河北省分公司电子表格管理实施细则》及对应的九个文档模板。由于此项制度编写全面,可操作性强,满足了电子表格内控要求,受到集团公司内控工作组的表扬,集团公司所属其它省也借鉴了河北省分公司的此项制度。在完成上述制度的基础上,我们编写电子表格自查与复核工作要点,对全省八个内控专业组开展四次专题培训,组织各专业组进行电子表格的风险评估,完成八个专业组电子表格会审,完成了全省电子表格的整理和确认,建立了电子表格目录清单,指导各单位建立了电子表格服务器和授权工作,对各单位八个专业组电子表格进行现场检查,组织各专业组进行全省复核工作,从而有效地降低了网通河北省分公司电子表格管理风险。八、组织各单位,开展电子表格内控管理,满足内控要求。电子表格电子表格的控制变化模板设计模板使用模板维护数据访问控制数据编辑电子表格流程控制电子表格个人控制电子表格的控制变化模板模板模板数据数据电子表格流程控制电子表电子表格控制与被控制分离的原则电子表格维护人电子表格使用人电子表格设计人电子表格访问人电子表格控制与被控制分离的原则电子表格维护人电子表格使用人电电子表格业务流程控制开始设计人:进行电子表格模板设计与开发使用人:采用电子表格模板进行数据的输入和编辑访问人:对电子表格数据进行查询结束使用人:对电子表格模板最终确认使用人:提出申请设计人:组织维护人进行测试是否通过测试报告维护人:对电子表格模板维护管理目录清单申请书使用人部门主任:审核签字测试报告使用人:确定电子表格的使用权限,分别定义电子表格数据的创建、更新、删除与查询权限维护人:电子表格模板是否有问题授权书授权书授权书授权书电子表格业务流程控制开始设计人:进行电子表格模板设计与开发使电子表格的存储访问控制系统管理员:电子表格维护人来担任应用管理员:电子表格使用人来担任系统管理员建立三个文件夹:1、电子表格数据管理,为共享模式;2、电子表格模板管理,为共享模式;3、电子表格数据备份管理。电子表格账号权限清单电子表格文件备份计划电子表格文件备份记录电子表格目录清单应用管理员在本机建立二个文件夹:1、电子表格数据管理,2、电子表格数据备份管理。电子表格文件备份计划电子表格文件备份记录电子表格的存储访问控制系统管理员:电子表格维护人来担任应用管结束结束IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高级工程师屈玉阁2012年13月32日IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个,对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工作最终取得令人满意的实质效果。2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中,对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网通集团通过美国《萨班斯法案》404条款做出了应有的贡献。原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案内部控制基本执行路径在美国上市的公司请管理咨询公司,制定满足SOX要求,遵循COSO框架的制度在企业各个层面落实在资本市场公布审计结果企业请外审公司对执行情况进行审计,得出结论。内部控制基本执行路径在美国上市的公司请管理咨询公司,制定满足每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省公司组织检查各单位改进外审第一次测试各单位改进外审第二次测试工作进度日期各单位依据本地化控制活动检查实际工作中差距,并改正。每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省企业信息化工作基本内容企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作,是信息化管理控制的一部分。企业信息化工作信息系统建设与运营信息化管理控制IT内控企业信息化工作基本内容企业信息化工作分为两部分,一是信息系统对财务数据来源控制的途径SOX404强调财务报告数据来源的准确与控制。财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作,其工作量占全部内控工作的60%。财务报告信息系统纸质报表电子表格对财务数据来源控制的途径SOX404强调财务报告数据来源的准ITGC标准模板构成ITGC标准模板构成原网通公司IT内控涉及的领域一般性信息系统基本控制信息系统应用控制信息系统安全信息系统操作变更管理应用系统、数据库实施与支持ERP计费帐务系统原网通公司IT内控涉及的领域一般性信息系统信息系统信息系信息一般性信息系统基本控制内容信息系统安全信息系统操作变更管理应用系统、数据库实施与支持一般安全管理操作系统安全管理数据库安全管理网络安全管理应用系统安全管理防病毒安全管理物理安全管理批处理程序管理备份信息化用户支撑体系紧急应变及系统恢复应用系统变更操作系统变更数据库系统变更网络变更应用系统采购应用系统、数据库开发与实施CobitISO/IEC17799ITIL一般性信息系统基本控制内容信息系统安全信息系统操作变更管理应
一般安全管理举例:信息系统安全内控架构应用系统安全数据库安全操作系统安全网络安全物理安全防病毒安全一般安全管理举例:信息系统安全内控架构应用系统安全数据库安举例:操作系统安全内控结构操作系统安全综述帐号管理对用户的管理认证管理权限管理对系统的管理帐号安全设置补丁安装监控管理举例:操作系统安全内控结构操作系统安全综述帐号管理对用户举例:帐号安全设置IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》<6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源的访问。](控制活动编号:<GC01.B-1>)。其中包含:对密码格式;无效登陆次数(三次);历史密码记忆个数;密码复杂度;密码长度(六位及以上);默认帐号锁定;帐号超时设置(10分钟);开放的端口和服务(要合理);日志的检查;系统的默认帐号。举例:帐号安全设置IT维护部门系统管理员通过对系统进行安全参举例:应用系统、数据库开发内控结构应用系统、数据库开发需求分析设计编码测试开发变更管理应用系统、数据库实施割接试运行初验正式运行终验后评估文档管理新的应用系统的测试
新的数据结构的测试新的系统软件的测试新的网络的测试举例:应用系统、数据库开发内控结构应用系统、数据库开发需求IT内控管理外部环境分析从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占52%;涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项内容;涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、网络维护、信息系统支撑等八个部门。电子表格内控工作更是涉及网通公司每个专业工作。在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。IT内控管理外部环境分析从外部环境看,原网通公司内控条款共IT内控管理内部环境分析从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对通信专业起步晚、信息化管理基础薄弱,表现在两个方面:1、已有信息系统功能大部分不能满足IT内控条款要求;2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。IT内控管理内部环境分析从内部环境看,2006年以前,网通2006年原网通河北省分公司IT内控开展的工作内控制度建设贯彻风险管理方式,开展针对性培训与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。问题整理及整改措施的落实现场督导,提出具体的管理措施,保证通过普华永道的测试开展信息系统风险评估,模拟演练预案积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题组织各单位,有效开展电子表格内控管理。2006年原网通河北省分公司IT内控开展的工作内控制度建设贯一、内控制度建设完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风险管理规范》编写;完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编写;完成《中国网通(集团)有限公司河北省分公司信息系统建设编码七项规范》修正《中国网通(集团)有限公司河北省分公司信息系统管理办法》;帮助财务部编写《久其报表软件系统管理暂行办法》。一、内控制度建设完成《中国网通(集团)有限公司河北省分公司信二、贯彻风险管理方式,开展针对性培训IT内控工作主要涉及两个方面:一是对信息系统功能要求;二是对信息化管理控制流程的要求,而且这部分工作量最大,并涉及相关工作人员的管理意识的转变。IT内控工作信息系统功能应满足IT内控要求信息化管理流程应符合内控要求二、贯彻风险管理方式,开展针对性培训IT内控工作主要涉及两个二、贯彻风险管理方式,开展针对性培训(续)为使涉及IT内控的各单位人员,改变原有的工作方式,树立信息化风险管理意识,对省公司企业信息化部两次开展内部培训,五次开展省公司本部相关部门面对面的培训,并举办全省支撑共享中心主任、负责IT内控主管人员等三十多人参加的专题培训班;去邯郸、唐山、沧州、邢台等四个市分公司支撑共享中心,对八十多人进行现场培训;两次举办电视会议培训,三次举办电话会议形式的全省专题培训;在石家庄银河宾馆和邮电公寓,分两次对公司全体内控工作人员共280多人分别讲解风险管理工作流程和电子表格内控流程。二、贯彻风险管理方式,开展针对性培训(续)为使涉及IT内控的二、贯彻风险管理方式,开展针对性培训(续)为了配合上述培训工作,我们编写下列等1200多页的IT内控培训文档:《河北网通IT开发与实施与控制环境矩阵》;《风险管理与内控》;《SOX法案与IT内部控制》;《电子表格管理说明》;《增进与外审师沟通》;《电子表格内控自查与复核工作要点》。通过上述培训,原网通河北省公司IT内控和电子表格管理等工作人员内控工作素质有了质的飞跃,为落实内控工作打下了坚实的思想基础。二、贯彻风险管理方式,开展针对性培训(续)为了配合上述培训工三、统一IT内控流程描述和文档格式在实施IT内控工作初期,原网通河北省分公司所属分公司和直属单位有15个本地化内控文档,由于各单位信息化管理支撑部门内部规章制度和工作流程不尽相同,管理精细化程度不一,工作人员对内控理解程度也各不相同。这种情况对不利于全省IT内控工作深度和进度的把握。为了改变上述局面,我们分析公司信息化各项制度和目前河北省分公司信息系统现状,收集了各单位信息化流程和各位记录文档,征求15个单位内控工作人员的意见,提出将河北省分公司IT内控文档统一描述的建议,得到了公司内控工作组和各相关部门的支持。三、统一IT内控流程描述和文档格式在实施IT内控工作初期,原三、统一IT内控流程描述和文档格式以《网通集团公司企业信息化管理控制体系1.0》为基础,以风险管理思想为理论依据,2006年6月,组织公司各相关单位成立IT内控工作项目组,经过三周时间的顽强拼搏,疏理了IT内控17个流程中214个控制活动,统一了9.5万字的IT内控流程描述,规范了176个相关文档格式,完成了网通河北省分公司十五个IT内控本地稿的统一工作,在2006年7月,以公司文件形式公布,在各单位执行。上述工作的开展,不仅仅统一了IT内控流程描述,也实现了河北省分公司所属各单位信息化管理控制流程和文档的统一,为河北省分公司IT内控在2006年满足SOX404形成了可量化的工作标准,由于各单位有同样的文档格式,在IT内控工作深度和进度把握上取得了主动权,管理效果非常直观,同时也降低了IT内控的工作难度。此项工作走在原网通集团公司内控工作前列,受到了原网通集团公司的表扬,也得到了审计公司普华永道的认同和较高的评价。三、统一IT内控流程描述和文档格式以《网通集团公司企业信息化四、问题整理及整改措施的落实
建立和落实IT内控责任分解表为了加强IT内控责任管理,原网通集团公司企业信息化部从2007年开始上报IT内控责任分解表,以明确每个信息系统中涉及内控的每个管理人和责任人。此项工作涉及省公司相关部门和各市分公司IT建设支撑部门,而且由于信息系统变化、组织与人员的调整,此项工作量非常大。为了按时按时完成该项工作,我们积极与部门领导商议,并与省公司法律与风险部进行沟通,共同起草通知文件,向省公司相关部门和各市分公司布置工作,在7月初保质保量完成此项工作,并向集团公司企业信息化部上报。四、问题整理及整改措施的落实建立和落实IT内控责四、问题整理及整改措施的落实(续)IT内控工作分为以信息系统程序功能实现的流程控制,以及对信息系统外部环境的控制等两大类。由于过去开发的信息系统没有按内控要求进行程序设计,所以,有些信息系统实现的功能不能达到IT内控要求,而由于建设资金和建设周期的原因,又不可能为实现IT内控要求立即实现信息系统改造,因此必须采用人工控制来降低信息系统风险。要求信息系统功能满足IT内控要求信息系统外部控制环境要满足IT内控要求信息系统系统具备程序控制降低风险信息系统不具备程序控制功能,需要人工控制降低风险建立人工管理控制流程,以降低风险四、问题整理及整改措施的落实(续)IT内控工作分为以信息系统人工降低IT内控风险整改措施控制声明(制度)授权和被授权文档作业流程与作业流程对应的控制文档控制轨迹人工降低IT内控风险整改措施控制声明(制度)授权和被授权文档四、问题整理及整改措施的落实(续)网通河北省分公司信息系统功能不能完全达到IT内控要求。在2006年初各单位整改的基础上,网通河北省分公司IT内控工作组,去各市分公司收集整理第一轮测试存在20个共性问题,深入理解内控要求,提出了人工降低IT内控风险整改措施。积极与集团IT内控项目组和德勤公司沟通,并得到了确认,在2006年6月中旬完成全部问题的整改。以工单方式,监督各单位的内控落实工作,对出现的问题进行密切跟踪,保证落实到位。进一步细化内控要点,将信息系统变更分为四类,制定了《信息系统非紧急变更实施范围定义表》下发给各单位执行。上述措施的落实,有效地开展了内控工作,并为公司节约建设资金1.6亿元。四、问题整理及整改措施的落实(续)网通河北省分公司信息系统功四、问题整理及整改措施的落实(续)变更等级提出申请变更审批的部门/人员审批人复合部门/人员及复合周期变更实施范围定义工作流程文档名称1重大运维部主管总经理需要省公司定期复合经立项进行的重大升级改造,或者是开发和实施阶段的变更,应归入项目的开发与实施进行管理。变更申请、变更实施、变更测试、变更验收、变更上线开发与实施的相关流程文档。2重要支撑共享中心主管主任IT管理部门(运维部)主管总经理每月复合1、系统能力不足,需要的局部变更;2、业务部门新需要引起的信息系统变更;1、变更管理员职责;2、信息系统服务支撑部门职责;3、信息系统管理部门职责。1、《信息系统变更申请》;2、《信息系统变更方案》;3、《变更通知单》;4、《信息系统变更计划》;5、《应急回退方案和回退时间点》;6、《备份记录》;7、《信息系统变更版本控制记录》;8、《xx系统参数配置表》;9、《工作日志》;10、《上线前的测试计划》;11、《上线审批单》12、《系统割接计划》;13、《变更报告》;14、《使用手册》。3一般支撑共享中心班组长支撑共享中心主管主任IT管理部门(运维部)主任每月符合1、不影响信息系统运行的参数变更(新加的参数);2、数据库调优(关键参数修改);3、应用系统的补丁程序(新增加功能模块);4、数据库和操作系统补丁程序(补漏洞);5、数据库、操作系统、应用系统的权限变更;6、应用系统的关键数据修改;7、操作系统、数据库、网络报警阀值调整。1、变更管理员职责;2、信息系统服务支撑部门职责。1、《信息系统变更申请》;2、《信息系统变更方案》;3、《信息系统变更计划》;4、《应急回退方案和回退时间点》;5、《备份记录》;6、《信息系统变更版本控制记录》;7、《xx系统参数配置表》8、《工作日志》;9、《上线前的测试计划》;10、《上线审批单》;11、《系统割接计划》;12、《变更报告》;4微小支撑共享中心员工支撑共享中心班组长支撑共享中心主管主任应用系统报警阀值调整;应用系统操作管理员填写《操作日志》信息系统非紧急变更实施范围定义表四、问题整理及整改措施的落实(续)变更等级提出申请变更审批四、问题整理及整改措施的落实(续)岗位说明书工作授权书帐号权限清单主管主任的授权工作
授权方式四、问题整理及整改措施的落实(续)岗位说明工作授权书帐号权限四、问题整理及整改措施的落实(续)开始提出申请主管主任审批执行并留下工作日志主管主任定期复核结束工作人员部门主管主任申请书工作日志申请书工作日志IT内控人工控制基本流程四、问题整理及整改措施的落实(续)开始提出申请主管主任审批执举例:数据库参数修改审批控制流程开始数据库管理员提出申请,填写申请表部门主管总经理进行审批:1、修改的内容;2、原因;3、涉及范围申请表通过数据库管理员修改数据库参数数据库管理员及时更新数据库参数表结束数据库管理员修正申请表申请表数据库参数表yn部门主管总经理或主管定期复核举例:数据库参数修改审批控制流程开始数据库管理员提出申请,填五、现场督导,提出具体的管理措施,保证通过普华永道的测试为了现场指导监督各单位落实内控要求,原网通河北省分公司IT内控工作组多次走访所属11个市分公司,与各单位主管内控的总经理、网运部和支撑共享中心的主任、IT内控主管人员进行现场沟通,对具体问题具体指导。在上述工作基础上,2006年,网通河北省分公司IT内控工作组两次对全省各单位进行内控测试工作。根据普华永道审计进度,网通河北省分公司IT内控工作组分别去邯郸、邢台、石家庄、沧州、唐山、秦皇岛等六个市分公司,现场指导应对普华的审计工作,同时密切关注其他公司的审计进程,有力了保证了IT内控普华审计工作效果。五、现场督导,提出具体的管理措施,保证通过普华永道的测试为了六、开展信息系统风险评估,模拟演练预案。在传统信息系统预案管理方面,存在的缺陷表现在两个方面:一是将信息系统硬件、软件和应用系统分开管理的;二是信息系统预案的制定过程没有经过风险评估,针对性不强,处于被动的局面。依据风险管理理论,我们将信息系统分为实物、软件、信息、服务等四类资产,从资产本身的弱点或漏洞、资产存在的外部威胁、威胁发生的可能性、威胁发生的后果、目前采取的措施等五个方面,建立《信息系统风险评估矩阵》,组织公司所属各单位对各个信息系统进行安全风险评估,找出目前信息系统存在的隐患,以应用系统为单位,制定针对性应急预案
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年公司向股东借款协议
- 医院输血记录管理制度
- 大班下学期语言教案《可爱的小动物》
- 2024年全面修订:软件开发与技术服务合同
- 中班语言活动教案及教学反思《丑小鸭》
- 科技公司员工健康促进制度
- 酒店行业反恐应急管理方案
- 一年级下册数学同步教案7.1 图形、数字的简单排列规律例1.2 人教版
- 2024-2025学年八年级物理下册教案-12.1 杠杆
- 《认识分和几时几分》(教案)人教版二年级上册数学
- 铝型材挤压车间操作流程及作业指导书
- 陕西中考物理备考策略课件
- 美国博物馆教育研究
- 9F燃机燃机规程
- 部编版五年级上册《我的长生果》公开课一等奖优秀课件
- 人民调解培训课件(共32张PPT)
- 小学部编版五年级语文上册教案(全)
- 绿化养护报价表
- 《工业革命与工厂制度》
- 课程领导力-资料教学课件
- 老人租房免责协议书
评论
0/150
提交评论