11.4应用系统IT一般性控制内部控制矩阵(1).doc

业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6






经营风险:程序和数据访问制度不健全,导致信息系统应用管理不规范、运维不及时。
、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
总部各部门
分(子)公司
5
程序和数据访问管理制度



用户权限管理


经营风险:用户权限管理不规范,导致对系统的非法或非授权访问。
,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
分(子)公司
3
用户权限审批表


经营风险:数据库用户权限管理不规范,导致对系统的非法或非授权访问。
,相关人员填写用户权限审批表,经相关部门负责人审批后,由系统管理员在数据库中新增、变更或锁定用户权限。
总部各部门
分(子)公司
3
用户权限审批表




经营风险:系统登录控制功能不健全,导致对系统的非法或非授权访问。
,必须输入用户帐号和密码。
总部各部门
分(子)公司
2
用户登录截屏


经营风险:账户共享,导致责任不清;系统账户审核清理不及时,导致对系统的非法或非授权访问。
,不能设置共享用户帐号(查询用户帐号除外)。应用管理员至少每半年打印一次用户帐号权限清单,并由相关部门负责人审核。
总部各部门
分(子)公司
3
用户帐号清单



经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
总部各部门
分(子)公司
3
密码更换检查记录

经营风险:系统、应用管理员密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次,安全管理员对定期更换记录进行检查。
总部各部门
分(子)公司
系统管理员
应用管理员