060401.CTGP.ITGC.G计费帐务系统内控手册 v6.2

060401.CTGP.ITGC.G计费帐务系统内控手册 v6.2 - 图文下载本文

文章发布时间 : 2025/1/23 8:08:43星期四

信息技术一般性控制流程 1 1.1

对程序和数据的访问计费帐务系统

一、业务流程范围 1

所涉及的业务范围

逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。 2

所涉及的部门范围

所有前后端部门, 包括；运行维护部门、计费部门、信息技术部门、市场部门。

二、所涉及的应用系统

本地网计费帐务系统/互联网综合业务计费系统/互联星空计费/综合计费结算系统等。三、目标 1

对于与财务报告相关的信息，公司应制定相关的信息安全管理政策并使员工意识到信息安全的重要性。

对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据未经授权的访问所带来的风险。

建立相关流程以确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。

确保定期对系统中用户的访问权限进行审阅，以减少未经授权或不适当的对系统或数据进行访问而带来的风险。确保在关键流程中存在适当的职权分离。

四、风险 1

公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。

缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源未经授权的访问, 非法修改系统数据。

对添加、修改、删除用户未经过管理层授权，离职员工帐号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。对系统或数据非法和不适当的访问不能被及时发现。系统的权限分配与业务部门授权确定的职责分工要求不符。

4 5

五、相关会计科目

收入类科目。六、流程概述 1

信息安全管理

参见网络基础设施中本章节。 2

用户帐号的管理

2.1 用户帐号的添加、修改及删除控制

省公司或地市分公司建立了用户及其权限设置的管理流程，对计费帐务系统的用户创建和授权必须通过业务部门主管人员审批后，方可由系统管理员在系统中创建用户帐号，以避免未经授权帐号及权限的创建或修改。

在员工工作调动或离职等工作职能发生变化时，由人力资源部门或用户部门及时正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。 2.2 超级用户帐号的管理

以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员： ? 操作系统的超级用户帐号 (比如root用户，系统管理员，安全管理员帐号，批处理用户帐号)。 ? 数据库的超级用户帐号（比如数据库管理员）。

? 应用系统的特权功能用户帐号（例如具有增加/变更/删除用户等权限）。以上用户帐号的授权须经系统维护部门主管人员的书面审批。

计费账务系统的管理账号（包括操作系统、数据库和应用程序层面）如果由于系统限制存在共享，其密码在其中任一管理员离职时需及时更改，以防止非法访问。

2.3 用户帐号访问权限的定期审阅

系统主管人员或业务部门对计费账务系统的用户账号和用户访问权限进行每季度的定期审阅，以发现任何不合适的系统访问权限，并及时跟进解决。系统维护部门主管人员定期对机房访问权限清单进行审阅，如果发现存在不适当用户及时通知机房管理人员取消相应用户的授权。 3

信息系统的逻辑访问和物理访问

在计费账务系统中采用用户身份的验证机制，对计费账务系统的访问必须使用用户名和密码，而且每个用户账号被授予唯一的用户。

系统维护部门对访问计费帐务系统（包括操作系统、数据库和应用程序层面）的用户制定密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策应包括:用户密码长度最低位数的规定，密码定期更换的规定，不得使用最近的密码。对于使用密钥棒或动态密码卡的系统，需要配合使用由用户掌握的PIN码。

系统管理员负责定期检查计费账务系统应用程序、操作系统和数据库层面安全日志记录（含对于重要的数据增、删、改操作）。发现异常现象及时跟进或上报。

安装计费帐务系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放计费帐务系统的计算机机房和设备进行物理访问。对机房的访问授权需经系统维护部门主管人员书面审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会在机房门禁系统或机房进出日志中留下记录。 4

职责分工

在计费帐务系统中创立新用户角色或对用户组(或用户)角色定义进行修改时，根据用户部门或相关管理部门对用户角色权限的审批结果进行设定。公司通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的。内审或者用户部门定期检查计费帐务系统的用户角色或用户组的权限设定,确保合理的职责分工, 如发现问题，应及时跟进解决。

七、信息技术控制点

信息技术控制点 1 信息安全管理参见网络基础设施中本章节。 2 用户帐号的管理 2.1 用户帐号的添加、修改及删除控制 GP.G.1.2.1省公司或地市分公司建立了用户及其权限设置的管理流程，对计费帐务系统的用户创建和授权必须通过业务部门主管人员审批后，方可由相关的系统管理员在系统中创建用户帐号。 GP.G.1.2.2在员工工作调动或离职等工作职能发生变化时，及时由人力资源部门或用户部门正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。检查用户及其权限设置的管理流程, 抽查用户创建和授权的审批文件。抽查人员变更书面通知，检查离职用户是否已完全删除。检查系统管理帐号清单，检查系统管理员帐号的审批文件。检查数据库管理帐号清单，检查数据库管理员帐号的审批文件。检查特权用户管理帐号清单，检查特权用户管理员帐号的审批文件。检查管理员用户离职时的密码修改记录。检查审阅书面记监督检查方法 2.2 超级用户帐号的管理 GP.G.1.2.3计费帐务系统的操作系统管理帐号仅限于经授权的系统管理员，其帐号须经系统维护部门主管人员的书面授权审批。 GP.G.1.2.4计费帐务系统数据库的管理帐号仅限于经授权的数据库管理员，其帐号须经系统维护部门主管人员的书面授权审批。 GP.G.1.2.5计费帐务系统的特权用户（例如具有增加/变更/删除用户等权限）仅限于经授权的系统管理人员或业务人员，其帐号须经系统维护部门主管人员的书面授权审批。 GP.G.1.2.6 计费账务系统的管理账号（包括操作系统、数据库和应用程序层面）如果由于系统限制存在共享，其密码在其中任一管理员离职时需及时更改，以防止非法访问。 2.3用户帐号访问权限的定期审阅 GP.G.1.2.7 系统主管人员或业务部门对计费账务系统的用 4

Word文档下载：060401.CTGP.ITGC.G计费帐务系统内控手册 .doc

搜索更多:060401.CTGP.ITGC.G计费帐务系统内控手册