1、Idi20.2 信息系統(tǒng)運(yùn)行、維護(hù)、安全管理1.1 概述規(guī)定了XX股份有限公司集團(tuán)總部及其下屬公司（下屬公司是指XX股份有限公司投資（參股或控股）或托管或由上海XX有限公司托管的公司）有關(guān)信息系統(tǒng)管理方面的具體要求，涉及公司信息系統(tǒng)使用中的權(quán)限設(shè)定、物理管理、變更、災(zāi)害恢復(fù)的流程。1.2 適用范圍適用于XX股份有限公司集團(tuán)總部及其下屬公司。1.3 相關(guān)制度IT資源管理程序IT信息安全管理規(guī)定。1.4 職責(zé)分工IT安全管理員：負(fù)責(zé)公司信息化系統(tǒng)安全管理。IT系統(tǒng)管理員：負(fù)責(zé)公司系統(tǒng)的建設(shè)、管理和維護(hù)。IT資產(chǎn)管理員：負(fù)責(zé)IT資產(chǎn)的規(guī)劃、申購(gòu)、管理、維護(hù)、協(xié)調(diào)和優(yōu)化工作。1.5 流程圖1.6 控制

2、目標(biāo)序號(hào)內(nèi)控手冊(cè)唯一具體控制目標(biāo)編號(hào)控制目標(biāo)目標(biāo)類別120.2-CT1確保機(jī)房設(shè)施/設(shè)備/系統(tǒng)得到安全防護(hù)資產(chǎn)保全目標(biāo)220.2-CT2確保信息系統(tǒng)中數(shù)據(jù)真實(shí)完整經(jīng)營(yíng)效率目標(biāo)320.2-CT3確保信息系統(tǒng)中數(shù)據(jù)不泄露經(jīng)營(yíng)效率目標(biāo)420.2-CT4確保公司數(shù)據(jù)不受重大災(zāi)害影響經(jīng)營(yíng)效率目標(biāo)241.7 控制矩陣風(fēng)險(xiǎn)編號(hào)風(fēng)險(xiǎn)描述對(duì)應(yīng)控制目標(biāo)編號(hào)關(guān)鍵控制措施編號(hào)關(guān)鍵控制措施不相容職務(wù)控制活動(dòng)類型對(duì)應(yīng)制度控制痕跡會(huì)計(jì)報(bào)表認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)目1存在和發(fā)生/真實(shí)性；2完整性；3權(quán)利與義務(wù)；4估價(jià)或分?jǐn)偅?表達(dá)和披露1234520.2-R1信息中心的出入未嚴(yán)格控制,導(dǎo)致系統(tǒng)設(shè)置被篡改或安全被破壞，影響公司的數(shù)據(jù)安全

3、20.2-CT120.2-CA1信息中心指定專人管理機(jī)房和配線箱。非工作需要，任何人不得進(jìn)入。機(jī)房管理員對(duì)經(jīng)批準(zhǔn)進(jìn)入的人發(fā)放鑰匙，并記錄和保管有關(guān)文檔。預(yù)防型IT資源管理程序 出入登記表20.2-R2各類人員未經(jīng)授權(quán)可隨意進(jìn)出設(shè)備存放地或觸摸系統(tǒng)關(guān)鍵設(shè)備，導(dǎo)致設(shè)備遭遇人為損壞，影響公司日常生產(chǎn)經(jīng)營(yíng)20.2-CT120.2-CA1信息中心指定專人管理機(jī)房和配線箱。非工作需要，任何人不得進(jìn)入。機(jī)房管理員對(duì)經(jīng)批準(zhǔn)進(jìn)入的人發(fā)放鑰匙，并記錄和保管有關(guān)文檔。預(yù)防型IT資源管理程序 出入登記表20.2-R3公司未能對(duì)服務(wù)器等關(guān)鍵系統(tǒng)硬件設(shè)備建立良好的物理環(huán)境并指定專人日常負(fù)責(zé)，無(wú)法有效防范設(shè)備出現(xiàn)異常物理狀

4、況而不能運(yùn)行，影響公司日常生產(chǎn)經(jīng)營(yíng)20.2-CT120.2-CA21）保持鍵盤(pán)、鼠標(biāo)、顯示器、主機(jī)干凈，各種接口緊固，嚴(yán)禁帶電插拔計(jì)算機(jī)的各種配件；2）計(jì)算機(jī)避免在潮濕、粉塵、陽(yáng)光直射、高溫等條件下使用；3）計(jì)算機(jī)或附屬設(shè)備發(fā)生故障，使用者應(yīng)及時(shí)通知系統(tǒng)管理人員進(jìn)行修復(fù)處理,不得隨便拆卸計(jì)算機(jī)及其附屬設(shè)備的硬件和各種配件；4）任何個(gè)人不得損壞、拆卸、移動(dòng)安置在各辦公室的網(wǎng)絡(luò)設(shè)備、設(shè)施和線路，因工作原因需要移動(dòng)的，及時(shí)通知系統(tǒng)管理人員，由系統(tǒng)管理人員報(bào)財(cái)務(wù)負(fù)責(zé)人；5）電信網(wǎng)及處室網(wǎng)絡(luò)相連的機(jī)房建設(shè)，在電源防護(hù)、防盜、防火、防水、防塵、防雷等方面，采取規(guī)范的技術(shù)保護(hù)措施預(yù)防型IT資源管理程序 機(jī)房

5、環(huán)境情況記錄表20.2-R4機(jī)房管理員未檢查機(jī)房的環(huán)境和狀態(tài)，導(dǎo)致機(jī)房設(shè)備受損，造成公司的資產(chǎn)和數(shù)據(jù)安全受影響20.2-CT120.2-CA3機(jī)房管理員每天檢查機(jī)房溫度、濕度以及防火、防水、清潔情況，并記錄上述工作情況，保管有關(guān)的文檔。預(yù)防型IT資源管理程序 機(jī)房環(huán)境情況記錄表20.2-R5機(jī)房管理員未定期檢查機(jī)房主要設(shè)備的運(yùn)行使用情況，導(dǎo)致設(shè)備的持續(xù)正常運(yùn)轉(zhuǎn)無(wú)法保證，影響公司業(yè)務(wù)正常運(yùn)營(yíng)20.2-CT120.2-CA4機(jī)房管理員每天檢查UPS的工作狀態(tài)，每季度對(duì)UPS電池放電一次，并記錄上述工作情況，保管有關(guān)的文檔。預(yù)防型IT資源管理程序 機(jī)房設(shè)備定期維護(hù)登記表20.2-R6系統(tǒng)未建立適當(dāng)?shù)?/p>

6、職責(zé)分離制度，導(dǎo)致系統(tǒng)人員職責(zé)存在沖突、數(shù)據(jù)發(fā)生篡改，影響公司日常生產(chǎn)經(jīng)營(yíng)20.2-CT220.2-CA5公司在分配系統(tǒng)各人員職責(zé)時(shí)應(yīng)當(dāng)考慮不相容職務(wù)分離的要求，具體為系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、系統(tǒng)操作人員、系統(tǒng)維護(hù)與檢查人員等系統(tǒng)管理員/操作員/維護(hù)檢查員預(yù)防型IT資源管理程序系統(tǒng)人員職責(zé)分配表20.2-R7操作軟件被操作人員隨意變更、更新、刪除、修改等，導(dǎo)致系統(tǒng)環(huán)境配置被改變，影響系統(tǒng)正常穩(wěn)定運(yùn)行20.2-CT220.2-CA61）操作人員離開(kāi)系統(tǒng)時(shí)應(yīng)退出系統(tǒng)或進(jìn)行系統(tǒng)封鎖，操作人員對(duì)自己口令下的所有操作及安全負(fù)完全責(zé)任；2）系統(tǒng)管理員應(yīng)每月檢查一次工作日志，核實(shí)操作人員的上機(jī)時(shí)間、操作內(nèi)

7、容等；3）相關(guān)部門(mén)應(yīng)會(huì)同信息部門(mén),嚴(yán)格保護(hù)所有在用正版軟件的版權(quán),包括網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、財(cái)務(wù)軟件等執(zhí)行/檢查預(yù)防型IT資源管理程序 系統(tǒng)工作日志20.2-R8未取得合作軟件公司的源代碼程序20.2-CT220.2-CA7在與軟件開(kāi)發(fā)公司簽訂的開(kāi)發(fā)合同中應(yīng)當(dāng)明確約定，在開(kāi)發(fā)完成后，所有的源代碼程序盡可能爭(zhēng)取歸公司所有，避免代碼陷阱風(fēng)險(xiǎn)預(yù)防型IT信息安全管理規(guī)定、IT資源管理程序軟件開(kāi)發(fā)合同要求20.2-R9系統(tǒng)中未安裝有效安全軟件或采取有效措施防范系統(tǒng)受到病毒等惡意軟件的感染和破壞，導(dǎo)致系統(tǒng)無(wú)法持續(xù)穩(wěn)定運(yùn)行，影響公司日常經(jīng)營(yíng)生產(chǎn)20.2-CT220.2-CA8信息系統(tǒng)使用部門(mén)會(huì)同信息部門(mén)進(jìn)

8、行正版殺毒軟件的采購(gòu)并定期殺毒，對(duì)所有在用計(jì)算機(jī)必須定期進(jìn)行病毒檢測(cè)，使用廣域網(wǎng)的計(jì)算機(jī)要嚴(yán)防病毒通過(guò)網(wǎng)絡(luò)傳播。微機(jī)維護(hù)人員對(duì)殺毒軟件應(yīng)定期或不定期升級(jí)預(yù)防型IT資源管理程序 系統(tǒng)病毒查殺情況記錄表20.2-R10公司未建立系統(tǒng)安全保密與泄密追究制度，導(dǎo)致系統(tǒng)接觸人員未能對(duì)數(shù)據(jù)保密，公司機(jī)密數(shù)據(jù)外泄，影響公司日常生產(chǎn)經(jīng)營(yíng)20.2-CT320.2-CA9公司網(wǎng)站的系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實(shí)施保密措施。涉密信息不得在上網(wǎng)設(shè)備上操作或存儲(chǔ)，所有接入網(wǎng)絡(luò)的處室用戶必須遵守國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度，并對(duì)所提供的信息負(fù)責(zé)預(yù)防型IT信息安全管理規(guī)定信息安全保密制度20.2-R11缺乏有

9、效的系統(tǒng)故障處理平臺(tái)及處理程序，導(dǎo)致業(yè)務(wù)中斷，影響公司的日常生產(chǎn)經(jīng)營(yíng)20.2-CT420.2-CA10系統(tǒng)運(yùn)行時(shí)，應(yīng)獲得充分的維護(hù)保障。系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)管理員應(yīng)及時(shí)給予處理。月末、年末時(shí)更應(yīng)立即解決。屬于系統(tǒng)優(yōu)化或不影響正常業(yè)務(wù)流程的問(wèn)題，系統(tǒng)管理員可視工作需要決定解決的時(shí)間。對(duì)于系統(tǒng)運(yùn)行環(huán)境變化、單位核算方式變化、管理需求變化等問(wèn)題，系統(tǒng)管理員應(yīng)進(jìn)行合理的預(yù)計(jì)，提前規(guī)劃，制定實(shí)施方案，確保系統(tǒng)的平穩(wěn)運(yùn)行發(fā)現(xiàn)型IT資源管理程序故障應(yīng)急處理機(jī)制20.2-R12服務(wù)器中安裝軟件無(wú)授權(quán)批準(zhǔn)，導(dǎo)致數(shù)據(jù)安全環(huán)境受損，影響業(yè)務(wù)的持續(xù)穩(wěn)定和數(shù)據(jù)的準(zhǔn)確完整20.2-CT220.2-CA11服務(wù)器中安裝軟件

10、須經(jīng)過(guò)信息中心負(fù)責(zé)人的批準(zhǔn)，由操作系統(tǒng)管理員在測(cè)試環(huán)境中安裝測(cè)試后，再在此服務(wù)器中安裝。軟件安裝的全過(guò)程，由操作系統(tǒng)管理員記錄和保管相關(guān)文檔。經(jīng)辦/審批預(yù)防型IT資源管理程序 軟件安裝審批表20.2-R13未采取必要的措施監(jiān)控直接讀寫(xiě)數(shù)據(jù)庫(kù)數(shù)據(jù)的操作，導(dǎo)致數(shù)據(jù)發(fā)生未經(jīng)授權(quán)的篡改或丟失，影響業(yè)務(wù)的持續(xù)穩(wěn)定或財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確完整20.2-CT220.2-CA12數(shù)據(jù)庫(kù)管理員每季度對(duì)直接訪問(wèn)數(shù)據(jù)庫(kù)的情況進(jìn)行檢查，禁止未經(jīng)授權(quán)的直接訪問(wèn)數(shù)據(jù)庫(kù)的情況存在。發(fā)現(xiàn)型IT資源管理程序數(shù)據(jù)庫(kù)訪問(wèn)記錄20.2-R14更改數(shù)據(jù)庫(kù)安全設(shè)定或參數(shù)時(shí)(例如：口令設(shè)定）未進(jìn)行相關(guān)授權(quán)，導(dǎo)致數(shù)據(jù)安全環(huán)境受損，發(fā)生未經(jīng)授權(quán)的篡改

11、或丟失，影響業(yè)務(wù)的持續(xù)穩(wěn)定或財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確完整20.2-CT220.2-CA13數(shù)據(jù)庫(kù)管理員需更改數(shù)據(jù)庫(kù)安全設(shè)定或參數(shù)時(shí)(例如：口令設(shè)定），必須提出申請(qǐng)并經(jīng)信息中心負(fù)責(zé)人簽字確認(rèn)。申請(qǐng)/審批預(yù)防型IT資源管理程序修改參數(shù)審批表20.2-R15對(duì)于未經(jīng)許可進(jìn)入系統(tǒng)、數(shù)據(jù)及網(wǎng)絡(luò)設(shè)備的行為沒(méi)有控制和監(jiān)督，導(dǎo)致業(yè)務(wù)或財(cái)務(wù)數(shù)據(jù)出現(xiàn)未經(jīng)授權(quán)的變更20.2-CT220.2-CA14信息中心建立相關(guān)系統(tǒng)防護(hù)體系，包括防火墻、路由器、IDS、交換機(jī)及其他相關(guān)IT設(shè)備的適當(dāng)配置以阻止未經(jīng)授權(quán)的侵入預(yù)防型IT信息安全管理規(guī)定 系統(tǒng)訪問(wèn)記錄20.2-R16不能有效防范和及時(shí)排查出未經(jīng)許可進(jìn)入系統(tǒng)、數(shù)據(jù)及網(wǎng)絡(luò)設(shè)備的行為

12、，導(dǎo)致業(yè)務(wù)或財(cái)務(wù)數(shù)據(jù)出現(xiàn)未經(jīng)授權(quán)的變更20.2-CT220.2-CA15系統(tǒng)管理員每天檢查防火墻和IDS設(shè)備日志，在必要時(shí)對(duì)路由器及交換機(jī)的日志也進(jìn)行檢查，確認(rèn)無(wú)違規(guī)行為，并將檢查結(jié)果向上級(jí)主管報(bào)告。如發(fā)生安全事故，應(yīng)遵循應(yīng)急安全管理流程處理預(yù)防型IT信息安全管理規(guī)定 防火墻和IDS設(shè)備日志20.2-R17公司委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)維護(hù)管理時(shí)，未簽訂任何保密協(xié)議或簽訂的協(xié)議未涉及保密，導(dǎo)致公司機(jī)密數(shù)據(jù)外泄，影響公司日常生產(chǎn)經(jīng)營(yíng)20.2-CT320.2-CA16公司定期委托專業(yè)信息系統(tǒng)審計(jì)機(jī)構(gòu)或組織檢查小組對(duì)重要信息系統(tǒng)進(jìn)行專項(xiàng)審計(jì)檢查，并形成檢查報(bào)告，內(nèi)容包括：系統(tǒng)各層級(jí)的運(yùn)行和對(duì)接、數(shù)據(jù)庫(kù)管理

13、員權(quán)限、數(shù)據(jù)信息的及時(shí)有效完整等，對(duì)檢查出的內(nèi)容進(jìn)行評(píng)估，根據(jù)評(píng)估內(nèi)容對(duì)系統(tǒng)進(jìn)行調(diào)整發(fā)現(xiàn)型IT資源管理程序 委外合同中的保密協(xié)議、專業(yè)審計(jì)機(jī)構(gòu)的評(píng)估報(bào)告20.2-R18用戶權(quán)限設(shè)置不恰當(dāng)，權(quán)限過(guò)大或過(guò)小，導(dǎo)致公司機(jī)密數(shù)據(jù)外泄、影響公司正常經(jīng)營(yíng)運(yùn)作20.2-CT320.2-CA17系統(tǒng)管理員按照經(jīng)業(yè)務(wù)部門(mén)負(fù)責(zé)人批準(zhǔn)的用戶權(quán)限申請(qǐng)表賦予操作權(quán)限，并保證一人僅有一個(gè)賬戶。申請(qǐng)/審批預(yù)防型IT信息安全管理規(guī)定 用戶權(quán)限申請(qǐng)表20.2-R19系統(tǒng)管理員是根據(jù)業(yè)務(wù)部門(mén)的申請(qǐng)來(lái)開(kāi)立或調(diào)整用戶權(quán)限,但沒(méi)有用戶權(quán)限申請(qǐng)表，導(dǎo)致IT部門(mén)沒(méi)有各個(gè)用戶的權(quán)限記錄文檔，造成權(quán)限管理混亂，影響公司數(shù)據(jù)安全。20.2-CT

14、320.2-CA18系統(tǒng)管理員對(duì)每個(gè)用戶的權(quán)限進(jìn)行記錄歸檔，并在權(quán)限修改時(shí)及時(shí)修改備案。預(yù)防型IT信息安全管理規(guī)定 用戶權(quán)限臺(tái)帳20.2-R20用戶權(quán)限的更新和修改不及時(shí)，崗位職位變動(dòng)后相關(guān)權(quán)限未及時(shí)調(diào)整，導(dǎo)致公司機(jī)密數(shù)據(jù)外泄，影響公司正常經(jīng)營(yíng)運(yùn)作20.2-CT320.2-CA19用戶工作職責(zé)變化時(shí)，提出權(quán)限修改請(qǐng)求，經(jīng)其業(yè)務(wù)部門(mén)負(fù)責(zé)人簽字確認(rèn)后，系統(tǒng)管理員調(diào)整此用戶的操作權(quán)限。申請(qǐng)/審批預(yù)防型IT信息安全管理規(guī)定用戶權(quán)限變更申請(qǐng)表20.2-R21用戶賬戶未及時(shí)注銷，導(dǎo)致公司機(jī)密數(shù)據(jù)外泄，影響公司正常經(jīng)營(yíng)運(yùn)作20.2-CT320.2-CA20系統(tǒng)管理員根據(jù)用戶的離職通知單，刪除此用戶在系統(tǒng)中的

15、賬戶并記錄相關(guān)操作。用戶離職后，立即注銷其賬號(hào)。預(yù)防型IT信息安全管理規(guī)定用戶注銷記錄20.2-R22公司未能定期對(duì)重要業(yè)務(wù)系統(tǒng)的賬號(hào)進(jìn)行監(jiān)督盤(pán)查，導(dǎo)致不相容職務(wù)用戶賬號(hào)交叉操作，影響系統(tǒng)數(shù)據(jù)真實(shí)性，使得公司機(jī)密數(shù)據(jù)外泄，影響公司正常經(jīng)營(yíng)運(yùn)作20.2-CT220.2-CA21信息中心負(fù)責(zé)人每季度對(duì)系統(tǒng)管理權(quán)限使用情況、用戶操作權(quán)限分配情況和應(yīng)用系統(tǒng)安全設(shè)定或參數(shù)(例如：口令設(shè)定）的執(zhí)行情況進(jìn)行檢查，并糾正違規(guī)操作執(zhí)行/檢查發(fā)現(xiàn)型IT信息安全管理規(guī)定 安全檢查報(bào)告20.2-R23未能對(duì)系統(tǒng)用戶進(jìn)行適當(dāng)培訓(xùn)，導(dǎo)致用戶使用不當(dāng)，影響業(yè)務(wù)或財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確完整20.2-CT220.2-CA22信息中心配

16、合人力資源部門(mén)對(duì)系統(tǒng)使用人員進(jìn)行定期崗位培訓(xùn)，形成培訓(xùn)簽到表，確保系統(tǒng)相關(guān)使用人員具備相應(yīng)的信息系統(tǒng)使用操作技能和知識(shí)預(yù)防型IT資源管理程序 培訓(xùn)計(jì)劃20.2-R24公司通過(guò)系統(tǒng)傳輸涉密或關(guān)鍵數(shù)據(jù)時(shí)，未采取加密措施，導(dǎo)致信息被第三方竊取或?qū)ν庑孤?，影響日常生產(chǎn)經(jīng)營(yíng)20.2-CT320.2-CA23公司進(jìn)行涉密或關(guān)鍵數(shù)據(jù)傳輸時(shí)，對(duì)信息采取數(shù)字加密措施預(yù)防型IT信息安全管理規(guī)定 數(shù)據(jù)加密20.2-CT220.2-CA24系統(tǒng)管理員在變動(dòng)前必須辦理交接手續(xù)，接替人員應(yīng)認(rèn)真接管移交工作。具體要求如下：1）由相關(guān)部門(mén)負(fù)責(zé)人或其指定人員負(fù)責(zé)監(jiān)交；2）交接完畢以前的系統(tǒng)管理維護(hù)工作由現(xiàn)任系統(tǒng)管理員負(fù)責(zé)；3）

17、交接完成后由移交人填寫(xiě)移交清單并經(jīng)監(jiān)交人員及交接的雙方簽字，移交清單作為檔案存檔預(yù)防型IT信息安全管理規(guī)定 交接情況記錄表20.2-CT220.2-CA25移交清單包括的內(nèi)容：1）網(wǎng)絡(luò)服務(wù)器口令；2）數(shù)據(jù)庫(kù)超級(jí)口令；3）本級(jí)信息系統(tǒng)管理員口令；4）歷年歷史數(shù)據(jù)備份；5）本年度所有數(shù)據(jù)備份；6）系統(tǒng)維護(hù)記錄本；7）所有版本的信息系統(tǒng)軟件；8）所有版本的數(shù)據(jù)庫(kù)管理系統(tǒng)軟件及版本授權(quán)證書(shū)和序列號(hào)；9）其他應(yīng)交接的內(nèi)容預(yù)防型IT信息安全管理規(guī)定 移交清單20.2-CT220.2-CA26對(duì)交接內(nèi)容應(yīng)進(jìn)行上機(jī)測(cè)試，確保交接質(zhì)量。上述幾項(xiàng)口令應(yīng)最后交接。交接后，接替人員應(yīng)立即更換所有口令，并開(kāi)始承擔(dān)系統(tǒng)管

18、理員的所有工作預(yù)防型IT信息安全管理規(guī)定 交接上機(jī)測(cè)試記錄20.2-R25對(duì)于發(fā)生崗位變化或離崗的系統(tǒng)相關(guān)用戶，未能及時(shí)調(diào)整系統(tǒng)中賬號(hào)的訪問(wèn)權(quán)限，導(dǎo)致數(shù)據(jù)被更改或泄露風(fēng)險(xiǎn)20.2-CT220.2-CA27使用系統(tǒng)的員工，發(fā)生離崗或崗位變化時(shí)，系統(tǒng)管理員應(yīng)及時(shí)根據(jù)員工現(xiàn)有情況進(jìn)行賬號(hào)權(quán)限刪除或新增用戶賬號(hào)預(yù)防型IT信息安全管理規(guī)定 權(quán)限變更或刪除申請(qǐng)單20.2-R26信息資產(chǎn)包含U盤(pán)等存儲(chǔ)硬件和電腦等的維修沒(méi)有相應(yīng)的審批,導(dǎo)致重要信息泄露風(fēng)險(xiǎn)，影響公司信息的安全性。20.2-CT320.2-CA28信息資產(chǎn)維修需審批。（信息資產(chǎn)包含U盤(pán)等存儲(chǔ)硬件和電腦）申請(qǐng)/審批預(yù)防型IT資源管理程序 信息資產(chǎn)

19、維修審批表20.2-R27信息資產(chǎn)公司內(nèi)調(diào)撥和公司間移轉(zhuǎn)未審批，導(dǎo)致信息資產(chǎn)內(nèi)機(jī)密資料泄露，影響公司信息的安全。20.2-CT320.2-CA29信息資產(chǎn)公司內(nèi)調(diào)撥和公司間轉(zhuǎn)移需經(jīng)相關(guān)業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)及信息中心負(fù)責(zé)人審批，對(duì)信息資產(chǎn)內(nèi)的文件進(jìn)行審核確認(rèn)無(wú)機(jī)密資料后方可轉(zhuǎn)移申請(qǐng)/審批預(yù)防型IT資源管理程序 信息資產(chǎn)轉(zhuǎn)移審批表20.2-R28公司未明確規(guī)定信息資產(chǎn)報(bào)廢需要經(jīng)過(guò)IT確認(rèn)無(wú)公司機(jī)密才可報(bào)廢，可能導(dǎo)致公司關(guān)鍵信息丟失，影響生產(chǎn)經(jīng)營(yíng)。20.2-CT320.2-CA30信息資產(chǎn)報(bào)廢需經(jīng)過(guò)信息中心確認(rèn)無(wú)公司機(jī)密、并由相關(guān)業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)及信息中心負(fù)責(zé)人審核簽字后才可報(bào)廢申請(qǐng)/審批預(yù)防型IT資源管理程序

20、信息資產(chǎn)報(bào)廢審批表20.2-R29沒(méi)有建立數(shù)據(jù)備份與恢復(fù)機(jī)制，影響公司的數(shù)據(jù)安全20.2-CT420.2-CA31應(yīng)當(dāng)建立數(shù)據(jù)備份與恢復(fù)機(jī)制，規(guī)定數(shù)據(jù)備份的頻率、方法、介質(zhì)、范圍等方面編制/審批預(yù)防型IT資源管理程序 數(shù)據(jù)備份與恢復(fù)機(jī)制20.2-R30未根據(jù)公司的實(shí)際情況明確數(shù)據(jù)備份的范圍、頻率、方式，導(dǎo)致公司的備份達(dá)不到預(yù)期效果，影響公司的數(shù)據(jù)安全和公司資產(chǎn)的使用效率20.2-CT420.2-CA31應(yīng)當(dāng)建立數(shù)據(jù)備份與恢復(fù)機(jī)制，規(guī)定數(shù)據(jù)備份的頻率、方法、介質(zhì)、范圍等方面編制/審批預(yù)防型IT資源管理程序 數(shù)據(jù)備份與恢復(fù)機(jī)制20.2-R31操作員未按照數(shù)據(jù)備份的制度流程進(jìn)行操作，影響公司的數(shù)據(jù)安

21、全20.2-CT420.2-CA32系統(tǒng)管理員按照規(guī)定的操作流程，進(jìn)行數(shù)據(jù)備份，并檢查確認(rèn)備份的執(zhí)行情況，記錄和保管相關(guān)文檔。發(fā)現(xiàn)型IT資源管理程序數(shù)據(jù)備份檢查記錄20.2-R32公司未定期對(duì)數(shù)據(jù)進(jìn)行備份，導(dǎo)致系統(tǒng)出現(xiàn)重大錯(cuò)誤時(shí)，重大信息被永久摧毀而無(wú)法恢復(fù)，影響日常生產(chǎn)經(jīng)營(yíng)20.2-CT420.2-CA33系統(tǒng)管理員應(yīng)當(dāng)定期對(duì)數(shù)據(jù)進(jìn)行備份，以便在計(jì)算機(jī)發(fā)生故障時(shí)可將數(shù)據(jù)恢復(fù)到最近狀態(tài)。對(duì)備份的數(shù)據(jù)應(yīng)加強(qiáng)管理，防止被非法拷貝或毀壞，要對(duì)其內(nèi)容及運(yùn)行環(huán)境（如財(cái)務(wù)軟件的版本）等進(jìn)行記錄。網(wǎng)絡(luò)版的備份應(yīng)連同主控?cái)?shù)據(jù)庫(kù)一并備份。數(shù)據(jù)庫(kù)的備份要永久保留。以介質(zhì)保存的數(shù)據(jù)檔案必須有二份備份，并分別存于不同地點(diǎn)，并按照有關(guān)規(guī)定保存在溫濕度適宜、陽(yáng)光不直射，不能被損害的場(chǎng)所預(yù)防型IT資源管理程序 數(shù)據(jù)備份記錄20.2-R33未進(jìn)