1、XXXX通信有限责任公司与财务报告相关的内部控制手册缩写XX（香港）有限公司及其子公司XXXX（香港）有限公司公司中国XX通信有限公司XX总部/总部中国XX通信集团公司集团公司目录1手册概述51.1目的51.2评价与财务报告相关的内部控制的有效性的评估架构51.3与财务报告相关的内部控制的定义51.4内部控制手册的遵循61.5颁布日期62公司层面的控制72.1控制环境72.1.1正直守德的价值取向72.1.2胜任能力122.1.3董事会及审核委员会132.1.4管理哲学和经营风格162.1.5组织结构192.1.6职权和职责的分配222.1.7人力资源政策和实务242.1.8信息技术战略规划22、82.1.9信息技术组织架构及关系292.1.10信息技术部门的人力资源管理302.1.11用户教育和培训312.2风险评估322.2.1企业层面目标322.2.2经营活动目标342.2.3风险362.2.4对环境变化的管理382.3控制活动392.4信息及沟通402.4.1信息402.4.2沟通422.5监控462.5.1持续监控462.5.2个别评价502.5.3汇报内部控制缺陷513信息技术整体控制533.1对程序和数据的访问533.1.1BOSS系统533.1.1经营分析系统593.1.2MIS系统643.1.3OA系统693.1.4彩铃系统743.1.5智能网系统793.1.6MIS3、C系统843.1.7久其报表系统903.1.8客户服务系统933.1.9网络及基础设施993.1.10交换机系统1053.1.11SMS系统1083.2程序变更管理1133.3程序开发1203.4系统运行1253.4.1BOSS系统1253.4.2经营分析系统1303.4.3MIS系统1353.4.4OA系统1383.4.5彩铃系统1413.4.6智能网系统1443.4.7MISC系统1473.4.8久其报表系统1513.4.9客户服务系统1543.4.10网络及基础设施1573.4.11交换机系统1603.4.12SMS 系统1633.5终端用户计算1684流程层面的控制1714.1资本性支4、出业务流程1714.2收入和计费业务流程1994.2.1新业务与产品定价业务流程1994.2.2业务受理业务流程2044.2.3计费账务业务流程2114.2.4收款和应收账款管理业务流程2244.2.5与电信营运商结算业务流程（国内、国际）2334.2.6与服务/内容提供商结算业务流程2384.2.7内部结算业务流程2424.2.8集团客户业务流程2464.3存货管理业务流程2514.3.1存货管理2514.3.2有价卡管理2594.4营运支出业务流程2694.5货币资金管理业务流程2834.6固定资产和无形资产管理业务流程2924.7人工成本管理业务流程3114.8会计和财务报告流程31745、.9筹资业务流程3364.10关联方交易业务流程3404.11法律法规遵循业务流程（包括税务管理流程）3471 手册概述1.1 目的XX作为在美国证券交易市场上市的海外发行人，根据XX法案第404条款之最终条例与财务报告相关的内部控制的管理层报告书和披露核证的要求，管理层须在年度报告中做出有关内部控制评估的书面声明,其中包括：n 管理层对建立和维护与财务报告相关的内部控制的责任声明；n 管理层对评估与财务报告相关的内部控制所采用的评估框架的声明；n 公司在最近财政年度末对与财务报告相关的内部控制有效性的评估，包括与财务报告相关的内部控制是否有效的声明；及n 公司的外部审计师在审计年报时，就管理6、层对与财务报告相关的内部控制有效性的评估已经签发了鉴证报告的声明。为了满足遵循XX法案的要求，XX之XXXX通信有限责任公司对与财务报告相关的内部控制进行记录并编制本与财务报告相关的内部控制手册，作为评价内部控制有效性的依据。1.2 评价与财务报告相关的内部控制的有效性的评估架构XX移动采用美国反对虚假财务报告委员会的发起组织委员会（Committee of Sponsoring Organizations (“COSO”) of the Treadway Commission）颁布的COSO内部控制框架作为评估与财务报告相关的内部控制有效性的架构，从控制环境、风险评估、控制活动、信息和沟通以7、及监控等五个方面记录和评价与财务报告相关的内部控制。1.3 与财务报告相关的内部控制的定义XX法案第404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括： 主要交易是如何启动、授权、记录、处理和报告在财务报告中； 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施； 其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制； 非经常性、非系统交易或财务估计的内控措施； 财务报表关账和汇总过程中的内控措施； 资产保护的控制措施； 公司层面的控制措施。1.4 内部控制手册的遵循内部控制手册所记录的与财务报告8、相关的内部控制适用于XX移动省公司本部及其地市公司。省公司和各地市公司应参照本内控手册的流程描述执行相关业务流程。业务流程中涉及的控制点省公司本部和各地市公司必须遵照执行。省公司本部及地市公司应比照本内部控制手册，对内部控制框架和其中涉及的业务流程进行差距分析并就差距产生的原因进行说明。对于控制点的缺失，如果不存在补偿性控制，应作为控制缺陷进行汇报。1.5 颁布日期本手册的颁布日期为XX年1月1日。2 公司层面的控制2.1 控制环境2.1.1 正直守德的价值取向管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标9、准。A1.1是否制定了行为准则和其它原则，以明确可以接受的商业行为、利益冲突的处理方式或员工行为的道德标准并确保这些准则和原则得以有效执行。XX移动参照总部2002年6月出台的中国XX通信集团公司员工行为守则，于2003年颁布本公司的员工行为规范准则。准则从六个方面对员工的基本行为、服务岗位行为、办公场所行为、商务活动行为、会务活动行为、公共区域行为做出了规定。此外，XX移动参照集团公司的中国XX通信集团企业理念体系，于XX年1月颁布了本公司的企业文化理念china mobile发展战略手册，对集团公司的企业文化和“新跨越”战略进行了介绍，同时包含本公司0608年三年战略规划体系。员工行为规范10、准则和企业文化理念china mobile发展战略手册由党群工作部下发，并组织员工学习。通过新员工培训、日常讲解等方式向员工传达，要求全体员工参照执行。XX移动各相关部门会通过对员工的日常工作的监督，督促员工遵循员工行为规范准则和企业文化理念china mobile发展战略手册，发现问题随时沟通解决。XX移动定期与员工签订劳动合同，合同中规定员工遵守公司行为准则和规章制度，并保守公司商业秘密。XX移动制定相关制度，要求员工每年就其了解和遵循可以接受的商业行为、利益冲突的处理方式的情况等进行书面声明，声明内容包括保守公司商业秘密、与公司利益相关各方是否存在利益冲突等。XX移动人力资源部在守则的基11、础上细化，编制员工手册。员工手册内容包括员工行为准则和道德标准（CODE OF BUSINESS CONDUCT AND ETHICS），以使每一个公司员工都能够了解、领会公司认可并推崇的行为方式和价值取向，时刻指导自己的行为。员工行为准则和道德规范具体内容包括旨在提高个人诚信及操守，以及正确处理利益冲突情况的具体指引（包括个人利益与公司利益、个人或公司利益与法律法规冲突等情况）。明确劳资双方权利和义务保护企业的商业机密，维护企业的合法权益，下发文件与员工签定保密协议。守则以及员工手册均由人力资源部通过正规文件的方式下发，同时在OA系统上公布，并要求全体员工参照执行，OA系统可对尚未阅读文件的12、员工进行提示。除了在OA系统中公布以外，XX移动还会在新员工培训中包含员工行为准则的培训内容。XX移动各相关部门会通过对员工的日常工作的观察以及定期绩效考核监督员工手册以及守则或其他行为准则的遵循程度。人力资源部对员工手册进行定期更新和维护。 XX移动通过综合部、人力资源部、财务部、市场经营部、网络部等部门下发的相关管理办法或业务流程中提出对员工的资金安全、资产安全、信息披露与保密、安全保卫、廉洁等方面的要求。物资采购中心、主要涉及部门：综合部、人力资源部、财务部、党群工作部、纪检组/监察室、内审部、市场经营部、数据部、网络部、物资采购中心、业务支撑中心文件索引：员工行为规范准则关于进一步做好13、员工行为规范准则学习落实工作的通知公司三年战略规划XX移（XX）339号关于签订保密协议的通知XX移（XX）262号关于印发XXXX通信有限责任公司员工手册的通知A1.2是否建立了“管理基调”，包括明确的道德规范以区分是非并确保公司全体员工了解和掌握。XX移动按照集团公司2002年编制的中国XX通信集团企业理念体系宣传手册，确立了XX移动的企业理念，其中明确了公司的总体管理基调。企业使命：创无限通信世界，做信息社会栋梁企业价值观：正德厚生、臻于至善企业愿景：成为卓越品质的创造者XX移动通过各级管理层会议及员工大会等形式向各个部门的管理者及全体员工传达公司的管理理念。各个部门管理者通过在日常工作14、过程中与员工的交流和对员工的监督强化公司的管理理念。XX移动通过在统一信息平台设置专栏、在办公地点张贴宣传标语、发放企业理念宣传册、对员工进行培训等手段，推动内部员工对企业理念的理解和接受，使员工理解和把握企业文化和管理理念。XX移动还通过文明单位、青年文明号创建、社会公益活动、演讲比赛等多种形式进一步宣贯企业理念体系。主要涉及部门：综合部、党群工作部文件索引：企业文化理念chian mobile发展战略手册关于开展企业文化理念体系宣贯的通知统一信息平台企业文化宣传栏截图A1.3如何对待员工、供应商、顾客、投资者、债权人、保险人、竞争对手和审计师等相关各方。（例如，管理者本身是否笃信诚信经营，15、并以此要求他人，抑或对此漠不关心。）XX移动的核心价值观是正德厚生，臻于至善。公司的经营理念是以客户为中心、以市场为导向、以满意服务为宗旨、努力实现股东和企业价值最大化。对客户，要做为客户提供卓越品质的移动信息专家；对投资者，要做最具价值的创造者；对员工，要成为员工实现人生价值的最佳舞台；对产业上下游企业，要成为引领产品和谐发展的核心力量；对同业者，要成为促进良性竞争，推动共同发展的主导运营商；对社会公众，要作优秀的企业公民。对投资者，要创造和保持优良业绩，回报投资者的长远利益；将通过保持快速应变的能力，使企业始终处于行业发展浪潮的领先地位，成为投资者的首选。不断进行制度创新，确保企业价值的不16、断增值，使投资人获得优良的回报。XX移动对利益相关方的处理原则和理念落实在日常工作中，同时明确体现在企业理念体系中。XX移动的理念体系还包括对于员工行为准则理念的要求，提倡团结、奉献、务实和创新。在诚信方面，要求员工在经营中做到诚实无欺、公平合理，树立企业良好的信誉，使企业获得客户的信赖，具有很高的客户忠诚度。XX移动根据集团公司更新的企业理念体系，不断对本公司的理念体系进行审阅和修订，保证与集团公司的管理基调相一致。主要涉及部门：综合部、党群工作部文件索引：1、企业文化理念chian mobile发展战略手册；2、XX移党群XX001号“关于开展企业文化理念体系宣贯的通知”。A1.4对于背离17、既有公司政策和程序或违反行为准则的行为，所能够采取的补救措施是否适当。以及这些措施被全公司员工所知悉的程度。XX移动在XXXX通信有限责任公司奖惩办法，绩效考核否决项目以及劳动合同中概括性的规定了对于违背既有公司政策和程序或违反行为准则的补救或惩罚措施，补救或惩罚措施有从警告到解除劳动合同等方式。除此以外，XX移动还建立了公司层面的违背既有公司政策和程序或违反行为准则行为的处理原则。综合部、网络部、客户服务中心等部门均针对重要的业务流程亦订立了相关的政策，明确了对于背离既有政策和程序或违反行为准则的行为，应采取的补救措施和处罚手段。员工通过员工行为守则及各部门下发的文件，或日常工作中主管领导的18、指导等途径获知上述措施。主要涉及部门：人力资源部、财务部、党群工作部、纪检组/监察室、市场经营部、数据部、网络部、物资采购中心、业务支撑中心文件索引：XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移XX262号 关于印发XXXX通信有限责任公司员工手册的通知XX移2003008号关于做好劳动合同签定工作的通知XX移2003142号关于下发XXXX通信有限责任公司劳动合同管理办法的通知XX移XX320号关于印发XXXX通信有限责任公司奖惩办法的通知XX移XX263号关于印发XXXX通信19、有限责任公司员工待岗管理暂行办法的通知劳动合同样本转发中国XX通信集团关于信息披露的暂行规定关于印发XXXX通信公司保密管理暂行规定的通知XX年传输专业质量考核办法XX移党XX003号关于转发国有企业领导人员廉洁从业若干规定（试行）的通知XX移纪监XX01号关于转发XX省构建警示训诫防线工作办法的通知XX移监审2003001号转发关于认真执行不准领导干部利用婚丧嫁娶等事宜借机敛财规定的通知XX移2002451号关于印发领导人员收受礼品实行登记上交的规定（试行）的通知XX移党2002031号关于印发各级领导干部报告个人重大事项有关规定的通知中国XX通信集团公司品牌客户服务标准（1.0版）管理办法20、及实施细则（XX）XX移XX256号关于印发XXXX通信有限责任公司法律案件管理办法的通知XX移XX224号关于印发XX移动关于开展治理商业贿赂专项工作的实施方案的通知XXXX通信有限责任公司信息技术控制管理办法A1.5管理者对于干涉正常程序或凌驾制度行为的不发生态度XX移动一贯重视端正管理者对于干涉正常程序或越权行为的态度，并努力杜绝此类现象的发生。通过在各业务流程中对各级管理层审批和职责权限的规定，管理者逾越制度的行为被明确禁止。在合同审批、费用支出审批等方面均建立了职责权限的分工和设置了不同级别管理层的审批权限。XX移动的招标及与立项委员会负责管理和规范公司的招标与立项工作，避免管理者个21、人越权行为。XX移动通过在OA系统中固化合同会签流程、MIS系统远程办公和设置AB角色等管理方式等管理方式禁止管理者干涉正常程序或凌驾制度的行为的出现。公司鼓励员工就其发现的越权行为进行报告。主要涉及部门：人力资源部、财务部、党群工作部、纪检组/监察室、市场经营部、数据部、网络部、物资采购中心、业务支撑中心文件索引：XX移XX329号XXXX通信有限责任公司合同管理办法、XXXX通信有限责任公司授权管理办法关于印发XXXX通信公司差旅费及会议费开支规定的通知XXXX通信公司低值易耗品管理办法物资采购管理暂行规定招投标管理暂行规定XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试22、行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移综XX100号关于上报XX年安全保卫工作总结的报告XX移综XX014号关于印发XX年安全保卫工作要点的通知XX移综XX015关于印发通信大楼安全管理规定的通知各级领导干部报告个人重大事项的有关规定XXXX通信公司财务收支两条线管理办法关于印发XXXX通信有限责任公司资金管理办法的通知A1.6是否面临达到不现实的目标的压力特别是短期业绩以及薪酬在多大程度上取决于是否达到业绩目标。（例如，考虑是否存在过度的刺激和诱惑，挑战人们对道德准则的遵守；薪水和晋升仅仅建立在短期目标是否实现的基础上）XX移动采用月薪23、制，薪酬由固定收入和变动收入两部分组成。其中，变动收入与员工个人的绩效考核结果直接相关。每季度末及每年年末，XX移动对全体员工进行绩效考核，根据季度考核结果决定员工的变动收入水平。员工的固定收入水平主要与员工职位等级相对应。员工的薪酬水平不单纯取决于业绩目标的实现程度，还与员工的工作表现相关，同时部门/公司的整体业绩也会影响员工的薪酬水平。公司在制定关键绩效指标时，亦考虑了财务指标以外的指标，例如严格认真、主动高效等工作态度方面的指标。XX移动实施认股期权计划，目的是调动中高级管理层以及专业技术骨干等人员的积极性，是对其进行的长期激励机制，促使员工更多地关注企业的长远发展和长期利益。主要涉及部24、门：人力资源部 文件索引：XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知;XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知三年规划XXXX通信有限责任公司XX年认股期权配发方案XX年2月16日下发的XX移XX088号关于印发的通知省公司机关员工员工绩效考核表实例分公司员工季度绩效计划考核表2.1.2 胜任能力管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知识和技能。A2.1用正式或非正式的职责描述或其它方式定义某一职位的具体工作。XX移动各个部门均编写了内部各职位的书面职位说明书，界定了某一职位的工作内容、职责、25、权限和上下级督导关系。公司进行了组织全省范围的人员竞聘上岗，并对职位说明书的适当性进行审阅和修订。主要涉及部门：人力资源部文件索引：XX移XX252号 关于印发XXXX通信有限责任公司职位管理暂行办法的通知员工职位说明和职责描述实例A2.2充分分析开展具体工作所需的知识和技能。考虑： 管理层对特定的工作所需的知识和技能的程度进行了规定； 是否存在迹象表明员工具有必要的知识和技能XX移动在编写各个岗位的职位说明书时即充分考虑了开展具体工作所需的知识和技能，并明确在职位说明书中。公司通过对员工的绩效考核来衡量员工的工作能力、工作质量与工作表现，判断其是否具备与职位所对称的知识与技能。同时，在聘用员26、工时亦对应聘者的知识和能力有明确要求。在进行公司内部竞聘以及外部招聘的时候，都会将岗位需求明确在招聘计划或招聘需求申请中，并通过面试、笔试等环节评价其是否具备与岗位相适应的知识和技能。主要涉及部门：人力资源部文件索引：XX移2003481号关于印发XXXX通信有限责任公司全员竞聘上岗实施办法的通知XX移XX179号关于印发XXXX通信有限责任公司部分岗位竞聘上岗实施办法的通知XX移XX092号“关于下发业务支撑中心等单位部分岗位竞聘实施办法的通知”XX移2003528号文件关于职位信息公布的通知员工招聘时的人才测评报告及其他评估材料管理层审批同意员工录用的支持性文档2.1.3 董事会及审核委员27、会一个积极有效的董事会及审核委员会，能够提供重要的监督功能。而且由于管理者通常有能力凌驾内部控制，董事会对于确保进行有效的内部控制具有至关重要的意义。A3.1独立于管理层，使得必要的（即使是困难的并需要追根究底的）疑问能够被提出。中国XX通信集团XX有限公司董事会由5名董事组成，董事任期为四年。XX移动的董事均为总部任命。公司董事长兼任公司总经理，主持公司全面管理工作；其余执行董事协助董事长负责公司运营其他方面的管理工作，亦为公司主管管理层人员。主要涉及部门：综合部文件索引：XXXX通信有限责任公司章程XX年1-5月财务分析报告 XX年1-5月财务报表A3.2当对某些特殊事项需要深入、直接的关28、注时，董事会及下属委员会是否参与。董事会中的所有董事成员均兼任公司主管管理层或地市公司总经理职务，且分管各个部门的具体事务，因此关心并且能够对所有重要和特殊事项进行深入、直接的关心并及时与其他董事进行沟通。由于董事都兼任公司管理层职务，并有具体分管部门，因此对于某些特殊事项、敏感信息、调查报告和违规行为，各个部门都有向主管董事汇报的职责。董事作为主管领导对这些信息都要给与足够关注，并最终决定解决方式。主要涉及部门：综合部文件索引： 1、中移港任XX20号“关于张轩任职的通知”；2、中移港任XX4号“关于魏明、刘雪峰二同志任职的通知”；3、XX移XX251号“关于公司领导分工的通知”；4、中移港29、（2002）第93号“关于任命XXXX通信有限责任公司董事会董事的通知”；5、XX移XX251号“关于XX公司领导分工的报告”。A3.3董事的学识和经验XX移动的执行董事均具有良好教育背景以及20年以上的丰富的电信行业管理经验。主要涉及部门：综合部文件索引：董事会成员简历董事会决议A3.4与首席财务官或财务总监、内部审计师、外部审计师进行会谈的频率和适时性。例如是否： 董事会非公开地会见首席财务官、内、外部审计师，讨论财务报告流程的合理性、内部控制系统、重要的建议和评价以及管理层的工作表现等。 董事会每年审阅内部和外部审计师的工作范围。XX移动内部建立有畅通的沟通渠道，确保董事会充分有效地与公30、司管理层及内、外部审计师进行沟通。主要涉及部门：董事会文件索引：1、公司参加内审、外审的相关资料；2、XX移XX259号关于印发XXXX通信有限责任公司会议制度的通知。A3.5董事会成员是否能够得到充分而适时的信息，以监控管理层的目标和战略、公司的财务状况和经营成果，以及重要协议的条款。例如是否： 董事会定期获得主要的信息，例如财务报告、主要市场行为、重要合同、谈判等； 董事认为他们获得了充分适当的信息。董事会中的各位董事由于兼任公司管理层职务，且分管各个部门的具体事务，因此能够及时获得充分而适时（每日、每周、每月等）的信息，包括公司的财务状况、经营成果、重大合同以及经营预算的实现程度等。董事31、会定期收到内审部提供的工作报告，以及在季度、半年以及年末时收到财务报表，审阅报表及报表所在重大披露内容后提交总部。主要涉及部门：董事会文件索引：董事会成员签批的授权委托书。A3.6董事会是否能够充分而适时的获知敏感信息、调查报告和违规行为（例如：高级管理人员的差旅费、重大诉讼、监管机构的调查报告、挪用、贪污和滥用公司资产的行为、违反内部交易规定、政治献金、非法支付等）。是否存在相应的向董事会报告重大信息的程序；有关信息的传递是否及时。董事会中的所有董事成员均兼任公司主管管理层或地市公司总经理职务，且分管各个部门的具体事务，可以通过各种渠道充分的获知相关的敏感信息、调查报告和违规行为。如果事项重32、大，董事长有权召开紧急董事会，以商讨对策。主要涉及部门：董事会文件索引：1、XX移党XX08号“关于王欲飞所犯错误的通报”； 2、XX移党XX026号“关于王欲飞同志停职检查的决定”。A3.7对确定高管人员和内审主管的薪酬以及对这些人员的聘用和解雇进行监控。管理层会负责根据总部的指示最终确定各执行董事的薪酬水平。管理层确保有关董事会聘用或解雇的程序规范透明，并最终确定各执行董事的任免。主要涉及部门：董事会文件索引：XX移任XX10号“关于张振东等同志职务任免的通知”。A3.8在确立“管理基调”过程中所扮演的角色。董事会的执行董事及董事长充分参与了对管理理念的评价；董事会强调管理层应该贯彻公司的33、管理理念，遵守公司行为准则并对此进行监督。主要涉及部门：董事会文件索引：1、董事会成员已签发的文件；2、总经理在XX年工作会议上的报告。A3.9董事会及董事会专门委员会在发现问题后能够采取的措施，包括进行特殊调查。董事会就获知的问题或事项，确定问题的责任部门、处理措施以及进行后续监督检查的副总裁，相关问题记录于董事会会议纪要。主要涉及部门：董事会文件索引：董事会会议纪录。2.1.4 管理哲学和经营风格管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的，但可以找到一些积极和消极的标志。A4.1对待经营风险的接受态度，比如管理层是否经常进行高风险投资，或者是否在接受风险方面表现得极端保34、守。管理层是否在进行投资前谨慎分析风险和收益。XX移动各级管理层对待公司的经营风险持谨慎的态度，通信建设项目投资与新业务开发等投资的开展均须经过事前的充分的论证和分析，并最终由公司各级管理层严格把控投资项目的确立与实施。XX移动严格禁止以任何形式对外出借资金，为其他单位提供担保、抵押或质押。 就通信建设项目投资与新业务开发等而言，由于制度环境、市场环境方面的变化，各级管理层和相关部门会参考国外经验，进行详细的市场需求、投资风险、投资收益预测、组合分析、竞争者分析等评估后进行决策。就通信建设项目投资而言，计划部在年初制定年度投资计划时，即需要对经营现状、业务需求、项目可行性等方面进行分析。XX移35、动计划建设部不定期向总部和公司主管管理层提交战略分析报告，形成具备预警机制的投资管理体系。此外，计划建设部每天对环境变化进行监控，并及时将影响公司运营的信息上载到OA系统中的环境分析模块，各级管理层和员工可根据其各自权限进行阅读和参考。主要涉及部门：计划建设部、综合部、财务部、市场经营部、数据部、网络部文件索引：关于印发XXXX通信有限责任公司资金管理办法的通知(同前）XX移XX026号关于下发中国XX通信集团XX有限公司资金管理考核办法的通知XX移XX130号关于审核中国XX通信支撑网XXBOSS系统扩容改造工程硬件设备单项工程可行性研究报告的请示中国XX通信支撑网XXBOSS系统扩容改造工36、程硬件设备单项工程可行性研究报告A4.2关键岗位的人员流动情况，比如，经营、会计、数据处理以及内部审计。例如是否： 管理层和管理人员的流动过于频繁； 关键人员在突然或短暂通知的情况下离开； 在关键岗位上，例如财务、营运、数据维护、内部审计，人员流动保持在稳定和满意的水平上。目前公司的人员流动情况处于正常的水平，管理人员以及财务、运营、数据维护等关键岗位人员较为稳定，尚未发生关键岗位人员在突然或短暂通知的情况下离开的情况。公司通过建立有效的绩效考核机制；保持员工薪酬水平的竞争性；对全体员工实施人力资源提升计划等方式维持合理的人员流动水平。XX移动定期对在岗职工的流动性和人员配备的适当性进行审阅，37、以确保公司日常的稳定经营，并满足业务发展需求。主要涉及部门：人力资源部文件索引：XX移2003008号关于做好劳动合同签定工作的通知XX移2003142号关于下发XXXX通信有限责任公司劳动合同管理办法的通知XX移XX263号“关于印发XXXX通信有限责任公司员工待岗管理暂行办法的通知”XX移XX264号“关于印发XXXX通信有限责任公司人员交流暂行办法的通知”XX移XX265号关于印发XXXX通信有限责任公司员工调配管理暂行办法的通知XX移XX277号关于印发XXXX通信有限责任公司员工辞职暂行规定的通知A4.3管理层对待数据处理和财务职能的态度，以及其对可靠的财务报告和资产保护的关注程度。38、例如是否： 财务职能除被赋予核算中心的功能外，亦被视为对公司各种经营活动实施控制的主体； 在财务报告中采用的会计政策总是导致高估收入； 如果财务职能在企业中分散管理，营运管理层对报告的结果进行签字确认； 对于重要资产，包括无形资产和信息不会被未经授权地获得或使用。XX移动业务支撑中心、网络部负责公司的主营业务相关的收入及结算费用等核心数据的采集及处理，对于确保构成财务报告原始数据的准确性起着重要作用。公司各级管理层十分重视关键业务处理系统的建立和发展，根据业务发展情况不断升级改造网络系统、BOSS系统等关键业务处理系统，以增强业务系统的数据处理能力。公司建立了经营分析系统，提高了市场经营分析所39、需数据的准确性与及时性。公司制定有明确的政策和程序，通过对各用户访问系统功能限制和数据访问范围的配置来实现对不同用户取得生产经营分析数据以及其他关键信息的权限进行明确。XX移动亦十分关注人员的配备，核心数据处理部门员工具备研究生学历或者多年数据处理经验，以确保员工有足够的学识和能力。各级管理层认识到财务职能对公司的管理的重要性，加强了MIS系统的开发和维护，以确保财务报表数据的准确性、及时性与完整性。公司的会计政策遵循谨慎性原则。对于重要的财务报告，包括月报、季报、半年报、年度报告，必须经过公司主管管理层和公司总经理审批方可报出。财务部除负责账务核算以外，亦参与合同审查等。主要涉及部门：财务部40、业务支撑中心、网络部文件索引：关于印发XXXX通信有限责任公司财务报表管理办法（试行）的通知XXXX通信有限责任公司财务管理办法XX移XX249号“关于下发XXXX通信有限责任公司财务审批管理办法的通知”XX年1-5月财务分析报告XX年1-5月财务报表）A4.4高层管理人员和经营管理人员的交流和互动的频率，尤其是对于地理距离较远的经营地点。如高级管理层是否经常现场视察分支机构的经营情况，公司或分支机构的管理层会议是否经常召开。每年年初和年中，XX移动召开全省工作会，公司主管管理层与各地市总经理及高级管理人员进行上年度总结与下年度的工作计划。每季度，公司召开总经理座谈会，就经营过程中的重要事项41、进行讨论。每月召开总经理办公会，处理经营工作中的具体事宜。此外，各个部门会定期召开地市公司相关部门经理参加的全省工作会、座谈会等，对经营情况进行通报和讨论。对于日常经营事务的考察，XX移动市场经营部、网络部、会对各地市公司进行不定期的检查。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：关于印发XX业务支撑系统数据安全管理办法（试行）的通知XX移动战略管理项目中期汇报-内外部环境分析及战略方案魏总XX年工作会议上的报告市场经营部13月运营分析会汇报材料XX移综XX003号关于做好春节期间有关工作的通知XX移综XX010号关于春节前安全检查情况的通报XX移综XX042、24号关于加强“五一”期间值班及安全工作的通知XX移综XX020号关于召开全省XX年一季度生产经营分析会的通知XX移综XX022号关于开展分公司调研工作的通知XX年1-5月财务分析报告关于XX移动BOSS系统扩容工程的设计批复及关于对支撑系统的应用推广进行组巡检查的通知A4.5对财务报告的态度和采取的行动，包括会计处理的争议（例如选择保守的或冒进的会计政策；会计原则是否被误用；是否存在未披露的重要财务信息；是否存在操纵、篡改会计记录的现象）。各级管理层采用谨慎的会计处理原则并努力确保财务报告的准确和公允。公司与外部审计师之间没有就会计处理产生过较大争议，外部审计师亦未提出过审计调整。就信息披露43、而言，为满足总部对于披露的要求，XX移动制定了信息披露制度，明确了信息披露的部门、信息披露的程序以及监督措施等，以确保披露信息符合总部的要求。主要涉及部门：财务部文件索引：XXXX通信公司财务会计检查实施细则XX移财XX018号关于开展XX年上半年会计检查的通知关于财务检查自查工作情况的报告转发中国XX通信集团关于信息披露的暂行规定（同前）关于印发XXXX通信公司保密管理暂行规定的通知（同前）2.1.5 组织结构公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控，同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。A5.1公44、司组织结构的适当性，以及该结构为管理公司运作提供必要信息的能力。例如是否： 考虑到公司的实际经营情况，组织结构即不过分集中也不过分分散； 组织结构有利于信息的上行下达并且贯穿所有经营行为。XX移动各主要部门的组织结构比较清晰，职责比较明确，且各部门均有经过公司主管管理层审批的书面部门职责描述。公司的现有组织结构对于信息的上传下达较为有利。公司会根据市场变化、业务发展需求，综合考虑现有架构的合理性，根据实际需要对组织结构进行调整。XX建立了定期或不定期的对公司组织结构进行分析评价的系统化机制，根据市场变化、业务发展需求，综合考虑现有架构的合理性，及时发现现有组织结构中不适应经营和信息沟通的环节并45、做出相应调整，根据实际需要对组织结构进行调整。主要涉及部门：人力资源部文件索引：XX移动编200005号关于机构设置的通知XX移XX150号关于调整省公司部分组织机构及人员称谓的通知分公司机构岗位设置图XX移XX121号关于在省公司综合部增设发展战略室的通知XX移XX070号关于对数据信息中心、省客服中心和业务支撑中心内部机构进行调整的通知XX移XX080号关于分公司领导班子成员分工的指导意见A5.2对关键管理人员职责定义的充分性，以及其对自身职责的理解程度。例如是否： 经营职责和管理层对企业经营活动的期望被明确传达给管理这些活动的管理人员。XX移动人力资源部结合各部门编写了内部各职位的书面职46、位说明书，界定了某一职位的工作内容、职责和上下级督导关系。并且，其中包含关键管理人员与控制相关的职责的相关描述。XX移动的关键管理人员根据经验、所在部门的职责以及与上级管理层的沟通加深对自身职责进行理解。公司每季度以及年末会对员工进行绩效考核，关键管理人员可以通过绩效考核结果以及上级管理层的反馈意见进一步了解自身工作岗位的职责以及公司对其的期望。XX移动部门划分较为清晰，且各部门之间有较为明确的职责分工和定义。各部门之间能够根据自身的职责分工协调配合并建立问责制。主要涉及部门：人力资源部文件索引：部门职责文件汇编XX省公司领导职位描述XX年3月17日印发关于开展中国XX通信员工满意度调查的通知47、XX移XX069号关于召开客户满意度宣贯会的通知A5.3关键管理人员是否具备足够的知识和经验以履行其职责。XX移动通过每月/季度以及年末对关键管理人员进行绩效考核以持续了解其是否具备足够的知识和经验以履行其职责。此外，XX移动对二级经理进行绩效考核与民主评议相结合，来判断关键管理人员是否具备足够的知识和能力。主要涉及部门：人力资源部、党群工作部文件索引：XX移2003308号关于印发XXXX通信有限责任公司企业领导人员管理办法的通知XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移人力48、XX001号关于对各单位领导班子进行年度考核的通知A5.4汇报关系的适当性。例如是否： 建立了正式或非正式的, 直接或矩阵式的报告关系，并且能够向管理人员提供与其职责和权限相当的适当信息； 经营活动的管理人员可通过适当的渠道同高级管理人员进行沟通； 信息技术安全制度及安全标准已涵盖主要信息技术控制领域； 信息技术安全制度及安全标准可与相关部门和子公司进行充分沟通； 信息技术部门了解SOX法案的要求并将相关控制要求体现于内控制度文档。根据XX移动的组织结构，公司建立了相应的自下向上的报告关系，使各部门能够及时与主管管理层进行沟通。各部门内部可通过不定期举行的部门全体员工例会，确保信息及时提供给各49、级管理层。同时，XX移动各部门之间除了日常沟通外，通过生产经营分析会，确保各部门总经理及时获知经营信息以及各部门之间相互沟通。XX移动亦正在根据XX法案的要求及遵循总部有关信息技术管理制度的基础上，细化制定XX移动相关的信息技术管理制度，并将这些制度通过内控项目组推行至各相关部门。业务支撑中心参照集团公司相关的支撑系统数据管理办法进行数据安全管理。集团公司业务支撑部正在筹划制定相关的企业安全信息标准。主要涉及部门：人力资源部、财务部、网络部、业务支撑中心文件索引：市场经营部XX年15月市场分析XX移动组织结构图XX年15月服务分析报告XX年1-5月财务分析报告XX业务支撑系统数据安全管理办法（50、试行）XX移XX294号XXXX通信有限责任公司督办制度业务支撑中心3、4月运行分析报告A5.5为适应经营环境变化而对组织结构进行相应改变的程度。例如是否： 管理层根据业务或行业的变更定期评价公司的组织结构XX移动各主要部门的组织结构比较清晰，职责比较明确，且各部门均有经过公司主管管理层审批的书面部门职责描述。公司的现有组织结构对于信息的上传下达较为有利。公司会根据市场变化、业务发展需求，综合考虑现有架构的合理性，根据实际需要对组织结构进行调整。主要涉及部门：人力资源部文件索引：XX移人力XX012号关于增设部分分公司机构的通知XX移XX121号关于在省公司综合部增设发展战略室的通知XX移XX51、070号关于对数据信息中心、省客服中心和业务支撑中心内部机构进行调整的通知A5.6确保有足够的员工，尤其是管理和监督人员。例如是否： 经理和主管人员有充足的时间来有效地履行职责； 经理和主管人员需要过多地加班且工作负担超出个人负荷。XX移动员工数量基本可以与公司的发展相匹配。公司的各个经营管理方面由主管管理层直接分管，各个部门也配备了足够的管理人员。各级管理层亦在经营管理过程中，注意平衡部门的岗位与员工的工作量。各关键部门，诸如财务部、市场、数据、网络、业务支撑等部门，基本可以保证有足够的员工进行日常工作。XX移动的业务发展迅速，员工数量基本可以保持匹配，由于部门的特殊用人需要或者业务发展而需52、要扩充员工规模时，可由用人部门及时向人力资源部提出用人申请，现有的用人缺口反馈机制和招聘机制可保证人员的及时补充。主要涉及部门：人力资源部、财务部文件索引：XX移XX179关于印发XXXX通信有限责任公司部分岗位竞聘上岗实施办法的通知XX移XX092号“关于下发业务支撑中心等单位部分岗位竞聘实施办法的通知”XX移XX088号关于下发XX年省公司统一招聘人员名单的通知2.1.6 职权和职责的分配职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确个人的角色分工奠定了基础。A6.1适当分配职责并下放职权，以实现公司目标、完成经营职能和遵循法律法规的要求，包括信息系统中的职责分配和53、对职责变更的授权，考虑是否： 不同的职责和权限适当地分配给公司的全体员工； 决策权与员工的职责和权限相关联； 职责和权限的分配以充分的信息为依据。公司根据各部门结构、员工的职级以及其具体的工作范围和性质分配职责并赋予相应职权，并体现在员工的职位说明书中。公司在招投标、采购、合同审批以及费用审批方面，均制定了相关的制度，明确不同职责和权限的各级管理层的审批权限。员工在各种信息系统中的使用权限根据其职责范围进行设置。XX移动制定相关的政策和程序，要求相关部门定期对行使关键岗位职权的员工在信息系统中的访问和使用权限比照其职责范围进行审阅，以确保其在信息系统中的职权设置与实际工作中的职责范围相一致，并54、对存在的差异及时进行跟进和修正。XX移动制定相关的政策和程序，要求相关部门定期对行使关键岗位职权的员工在信息系统中的访问和使用权限比照其职责范围进行审阅，以确保其在信息系统中的职权设置与实际工作中的职责范围相一致，并对存在的差异及时进行跟进和修正。 主要涉及部门：综合部、人力资源部、财务部、业务支撑中心、计划建设部文件索引：XX移XX376号关于印发XXXX通信有限责任公司采购管理办法（修订）的通知XX移XX375号关于印发XXXX通信有限责任公司招投标管理办法（修订）的通知XX移XX364号关于成立XXXX通信有限责任公司投资采购决策委员会的通知XX移办XX038号关于XXXX通信有限责任公55、司合同管理办法补充规定的通知A6.2与控制相关的标准和程序的适当性，包括员工的职责描述。例如是否： 存在对员工的职责描述，至少针对管理层和业务主管人员； 员工职责描述中特别涉及其与控制相关的职责。XX移动人力资源部结合各部门编写了内部各职位的书面职位说明书，界定了某一职位的工作内容、职责和上下级督导关系。并且，其中包含关键管理人员与控制相关的职责的相关描述。XX移动的关键管理人员根据经验、所在部门的职责以及与上级管理层的沟通加深对自身职责进行理解。公司每季度以及年末会对员工进行绩效考核，关键管理人员可以通过绩效考核结果以及上级管理层的反馈意见进一步了解自身工作岗位的职责以及公司对其的期望。XX56、移动部门划分较为清晰，且各部门之间有较为明确的职责分工和定义。各部门之间能够根据自身的职责分工协调配合并建立问责制。主要涉及部门：人力资源部文件索引：部门职责文件汇编A6.3有适当数量的员工，尤其是对于数据处理和财务岗位。员工具备与企业规模、经营行为和系统的特点和复杂程度相适应的技能水平。员工数量基本可以与公司的发展相匹配。公司的各个经营管理方面由主管管理层直接分管，各个部门也配备了足够的管理人员。各级管理层亦在经营管理过程中，注意平衡部门的岗位与员工的工作量。各关键部门，诸如财务部、市场、数据、网络、业务支撑等部门，基本可以保证有足够的员工进行日常工作。XX移动的业务发展迅速，员工数量基本可57、以保持匹配，由于部门的特殊用人需要或者业务发展而需要扩充员工规模时，可由用人部门及时向人力资源部提出用人申请，现有的用人缺口反馈机制和招聘机制可保证人员的及时补充。主要涉及部门：人力资源部、财务部、党群工作部文件索引：XX移XX266号关于印发XXXX通信有限责任公司员工招聘管理暂行办法的通知XX移XX088号关于下发XX年省公司统一招聘人员名单的通知XX移XX179关于印发XXXX通信有限责任公司部分岗位竞聘上岗实施办法的通知XX移XX092号“关于下发业务支撑中心等单位部分岗位竞聘实施办法的通知”A6.4是否赋予员工与其职责相适应的职权，例如是否： 适当平衡完成工作所需的职权和高级管理人员58、的参与之间的关系； 员工有权纠正发现的问题或实施改进措施，相关权限根据员工能力和职权界限进行履行。各级管理层根据员工的工作责任、专业知识和技能以及过往表现分配职责并赋予相应的职权。对于关键岗位人员，如业务支撑、网络开发、信息系统维护等，根据风险和重要性原则，由各级管理层向经验丰富、工作能力强的人员委派职责、建立职权，以确保经营活动的顺利进行。根据职责要求，员工有权纠正发现的问题或实施改进措施。主要涉及部门：人力资源部文件索引：XX移XX329号XXXX通信有限责任公司授权管理办法授权委托书实例关于印发XXXX通信公司差旅费及会议费开支规定的通知关于印发XX业务支撑系统数据安全管理办法（试行）的59、通知2.1.7 人力资源政策和实务适当的人力资源政策对于企业招聘并留住有能力的员工，以确保企业计划正确执行并达到既定目标，具有决定性的作用。A7.1是否存在适当的雇佣、培训、提拔和薪酬政策和程序。例如是否： 存在政策和程序来招聘或培养胜任并且可信赖的员工，这些员工对支持一个有效的内部控制系统是必须的； 对招聘和培训合适的员工给予适当关注； 如果不存在书面的政策和程序，管理层就招聘员工的期望进行沟通或亲自参与招聘过程； 制定对普通员工的信息技术培训计划； 对员工信息技术培训的主要内容涵盖应用系统使用、信息技术技能、系统安全实践、保密准则以及内控等方面。XX移动存在完善的雇佣、培训、考核和任免以及60、薪酬管理的政策和程序。 雇佣公司制定有完善的员工招聘管理办法。招聘新员工由用人部门提出需求，人力资源部统筹制定招聘计划，安排招聘。用人部门和人力资源部及外聘专家组成的综合考评小组对应聘人员进行评价，并按管理权限和有关管理规定报批。 培训XX移动制定有培训管理办法，各部门于每年年末向人力资源部报送下一年度培训计划，经人力资源部汇总并报公司主管管理层批准后执行。各部门负责落实年度培训计划，人力资源部负责监控培训计划的执行情况。 考核和任免XX移动的员工的职位变更和薪酬调整根据每年年末的员工综合业绩评估决定，各部门员工的职位变更和薪酬变动需要经过本部门负责人和人力资源部负责人审批。 薪酬XX移动制定61、了薪酬管理办法。每季度末及每年年末，对全体员工进行绩效考核，根据季度考核结果决定员工的变动收入水平，年终考核结果作为员工职等调整以及下一年度固定收入水平的主要因素。主要涉及部门：人力资源部文件索引：XX移XX266号关于印发XXXX通信有限责任公司员工招聘管理暂行办法的通知XX移XX254号关于印发XXXX通信有限责任公司员工培训、教育管理暂行办法的通知 XX移人力XX037号关于下发员工培训实施细则的通知XX年2月16日下发的XX移XX088号关于印发的通知XX移XX071号关于下达内部培训师管理办法的通知A7.2员工了解其职责和公司对其期望的程度。例如是否： 新员工知悉其工作职责和管理层对62、其的期望； 主管人员定期审阅雇员的工作履行情况并提出改进建议XX移动人力资源部结合各部门编写了内部各职位的书面职位说明书，界定了某一职位的工作内容、职责和上下级督导关系。并且，其中包含关键管理人员与控制相关的职责的相关描述。XX移动的关键管理人员根据经验、所在部门的职责以及与上级管理层的沟通加深对自身职责进行理解。公司每季度以及年末会对员工进行绩效考核，关键管理人员可以通过绩效考核结果以及上级管理层的反馈意见进一步了解自身工作岗位的职责以及公司对其的期望。XX移动部门划分较为清晰，且各部门之间有较为明确的职责分工和定义。各部门之间能够根据自身的职责分工协调配合并建立问责制。主要涉及部门：人力资63、源部文件索引：XX移XX145号 关于下发中国XX通信集团XX有限 公司绩效管理试行办法的通知;XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移XX411号关于印发劳动用工管理暂行办法的通知XX移XX088号关于下发XX年省公司统一招聘人员名单的通知员工招聘时的人才测评报告管理层审批同意员工录用的支持性文档A7.3是否有适当的措施对违背既定政策和流程的行为予以补救。例如： 管理层履职不当时的反应是否适当； 在未能遵守既定政策的情况下，是否采取适当的纠正行为； 员工是否知晓其不当表现将导致不良后果。同A1.4。主要涉及部门：人力资源部文件索引：1、XX移XX2564、3号 关于下发XXXX通信有限责任公司绩效管理暂行办法的通知;2、XX移XX257号 关于印发XXXX通信有限责任公司机关及直属单位XX年绩效管理实施细则的通知；3、XX移XX262号 关于印发XXXX通信有限责任公司员工手册的通知；4、XX移2003008号关于做好劳动合同签定工作的通知；5、XX移2003142号关于下发XXXX通信有限责任公司劳动合同管理办法的通知；6、XX移XX320号关于印发XXXX通信有限责任公司奖惩办法的通知；7、XX移XX263号关于印发XXXX通信有限责任公司员工待岗管理暂行办法的通知；8、劳动合同样本；9、转发中国XX通信集团关于信息披露的暂行规定；10、关65、于印发XXXX通信公司保密管理暂行规定的通知；11、XX年传输专业质量考核办法；12、XX移党XX003号关于转发国有企业领导人员廉洁从业若干规定（试行）的通知；13、XX移党XX030号关于印发XX移动关于全面开展构建警示训诫防线工作实施方案的通知；14、XX移监审2003001号转发关于认真执行不准领导干部利用婚丧嫁娶等事宜借机敛财规定的通知；15、XX移2002451号关于印发领导人员收受礼品实行登记上交的规定（试行）的通知；16、XX移党2002031号关于印发各级领导干部报告个人重大事项有关规定的通知；17、中国XX通信集团公司品牌客户服务标准（1.0版）管理办法及实施细则（XX）；66、18、XX年2月服务分析；19、XX移XX256号关于印发XXXX通信有限责任公司法律案件管理办法的通知；20、XX移XX224号关于印发XX移动关于开展治理商业贿赂专项工作的实施方案的通知。A7.4人力资源政策在多大程度上涉及遵循道德标准这一问题。例如正直和道德标准在员工业绩评估时是否是一个重要的标准。XX移动对二级经理除了进行绩效考核以外，还进行阶段性的民主测评。在上述评价中，均会包含经理及员工道德标准的问题。此外，公司与关键管理人员签订党风廉政责任状，对其道德标准进行要求。公司对员工的考核分工作业绩和工作表现两个方面，其中工作表现中会体现对员工道德标准的考核。主要涉及部门：人力资源部文件67、索引：XX移XX145号 关于下发中国XX通信集团XX有限 公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移人力XX001号关于对各单位领导班子进行年度考核的通知XX移2001387号关于转发中国XX通信集团公司党风廉政建设责任制实施办法（实行）等三个规章制度的通知XX移人力XX086号关于对全省二级经理进行年终测评的通知A7.5是否对应聘者的背景进行了充分的背景调查，特别是针对以前的某些可能与公司行为准则相抵触的行为和活动。XX移动在招聘员工时会对应聘者进行资历和背景调查。对于希望招聘的人选，还会了解应聘者的过往记录，关注其是否从事68、过有违公司行为准则和道德规范的行为，以协助聘用决策的做出。 公司人力资源部门也会对应聘者的简历进行审查，有与公司行为准则相抵触的行为和活动时，会审慎处理。主要涉及部门：人力资源部文件索引：XX移XX411号文件XX移动劳动用工管理暂行办法XX移XX266号关于印发XXXX通信有限责任公司员工招聘管理办法（暂行）的通知财务部应聘员工打分表应聘人员背景材料A7.6雇员留用和提拔的标准以及信息收集方式（比如业绩评估）的充分性，以及这些标准与员工行为准则的关系。例如是否： 升职和加薪的标准得以详细描述，从而使员工知晓达到何种管理层的期望才能得到升职和加薪； 这些标准遵守了行为准则。公司制定了相应的政策69、，对职位等级、薪酬变动标准进行明确的规定，通过正式文件形式传达给全体员工，以便于其知晓。每年末，XX移动均对员工进行年度综合绩效考评，员工编写年度工作总结对年度工作目标实现情况进行自我评估。各部门管理人员与员工进行沟通，根据关键绩效指标和工作目标完成情况以及员工的综合素质进行评价，并与员工充分沟通评估结果。年度综合绩效考评作为员工任免与薪酬调整的主要依据。各级管理人员将评估结果上报本部门和人力资源部总经理批准。主要涉及部门：人力资源部文件索引：XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通70、知XX移XX252号关于印发XXXX通信有限责任公司职位管理暂行办法的通知XX年2月16日下发的XX移XX088号关于印发的通知2.1.8 信息技术战略规划信息技术战略规划是企业为满足业务需要所制定的长期规划，该规划需平衡优化信息技术发展的机会与企业业务需求间的关系，以保证其可以得到进一步的实施完成。A8.1公司的信息技术战略规划主要考虑以下几个方面： 长期的信息技术战略规划； 对信息技术战略规划内容的简单描述； 信息技术战略规划的制定流程及审批流程； 信息技术战略规划是否支持业务发展的需要； 业务发展的需要是如何通过信息技术战略规划的制定流程体现到规划当中，（如：业务部门参与信息技术规划的制71、定）； 如何对信息技术规划的情况进行追踪及更新； 信息技术的最高管理机构及其成员构成情况； 信息技术最高管理机构的主要职责功能，及其对信息技术战略规划制定、审批、跟踪等各方面流程的参与。信息技术最高管理机构进行决策的方式（如：定期会议，项目会议，各信息部门的定期汇报机制等）每年XX移动由计划建设部牵头，根据公司整体战略发展方向及XX三年期信息技术发展规划，制定XX移动三年滚动发展规划，由各部门领导及各专项主管召开专题初审修改，再由公司领导及邀请的外部专家终审并经集团公司审阅形成终稿。战略规划支持业务发展需要。在五年规划的基础上，结合三年滚动规划进行修订，使之更加适应业务需求。每年制定三年滚动规72、划，并根据实际情况的变化每年修订一次。制定过程中需要经过初审及终审。由计划建设部牵头组织会议由各业务部门负责人讨论并结合各部门反馈意见后，汇总修订成为XX移动信息技术方面的滚动战略规划，并包含在XX移动五年发展规划中经公司专题会议审批后正式下发。主要涉及部门：计划建设部文件索引：XX年XX移动十一五发展规划；XX移动三年滚动计划中移有限计XX18号“关于下达XX年固定资产投资及能力计划的通知”计划建设部06年工作总结及07年工作要点 2.1.9 信息技术组织架构及关系企业应当建立一个具有足够数量和技能人员的组织并明确的定义其角色和职责、以有效地根据业务需求执行企业的信息技术战略规划，并执行充分73、的信息技术控制。A9.1 信息技术部门的组织和人员构成 现有信息技术部门的员工数量，学历背景及工作经验情况。人员的能力是否能够满足信息技术工作的需要； 是否对信息部门员工制定了正式的岗位职责； 岗位职责设定是否考虑职责分工及内部控制方面要求。目前XX移动信息技术部门主要包括计划建设部、网络部、网络维护中心，网络优化中心、业务支撑中心，数据信息中心，分别负责基础网系统、生产网系统、办公网系统的开发维护管理等职能。根据支撑系统的建设和维护需要，XX年底在原有岗位的基础上，对岗位及职责进行了修正，制定了相关的KPI和GS，由人力资源部留档保存。主要涉及部门：人力资源部、网络部，网络维护中心，网络优化74、中心，业务支撑中心，数据信息中心文件索引：数据信息中心、省客服中心和业务支撑中心岗位结构图XXXX通信有限责任公司职位说明书A9.2信息技术部门的管理方式 信息技术部门对各子公司信息技术部门的管理关系； 通过何种形式进行管理，如：政策，监督，定期审查，汇报机制，会议机制等； 管理所涉及的内容，如：运行情况，安全情况，项目开发等。XX移动各信息技术部门每月通过经营分析分析会向公司领导汇报当月的工作情况，包括系统运行情况、维护情况以及项目发展情况，并在会议后形成会议纪要，发送各相关部门以对会议讨论需解决问题进行及时跟进。在各信息技术部门内部，业务支撑中心每日通过短信方式向部门领导进行汇报。业务支撑75、中心每月将系统运行情况通过月报形式向公司领导及网络部门汇报网络部 每天将KPI指标通过短信发布向部门领导进行汇报。主要涉及部门：网络部，业务支撑中心，数据信息中心文件索引：月度经营活动分析会网络报告；XX公司XX年4月网络运行情况通报网络部周运行情况报告业务运营支撑中心运营分析3、4月报样本2.1.10 信息技术部门的人力资源管理人力资源管理用以保证获得并保持具有胜任信息技术工作能力的员工以保证信息技术工作的顺利进行。A10.1 是否制定对信息技术部门员工培训的培训计划；培训的主要方式（如：内部培训，外部厂商培训等）每年年初人力资源部会根据各部部门的培训需求制定培训计划，包括公司内部培训及外部76、培训，报人力资源部审批。在新项目上线前后，各信息技术部门负责人也会会根据员工职责，组织相关工作岗位的员工进行相关的厂商培训及专业培训。主要涉及部门：人力资源部，网络部，业务支撑中心文件索引：XX移XX254号关于印发XXXX通信有限责任公司员工培训、教育管理暂行办法的通知 XX移XX071号关于下达内部培训师管理办法的通知XX移人XX091号“关于下发XX年度培训要点和计划的通知XX移动XX年度培训计划业务支撑中心XX年培训计划A10.2 信息技术部门的人员备份机制（如：AB角） XX移动各信息技术部门对于重要的岗位都考虑人员的备份需要，主要是根据工作职责灵活划分，对各岗位进行正式的人员备份定77、义。 主要涉及部门：人力资源部、网络部、网络维护中心、网络优化中心、业务支撑中心、数据信息中心文件索引：网络部员工岗位说明书； XX移动网络XX“关于明确网络部员工分工的通知” 关于在计费业务中心内部重要岗位设立A、B角的通知； XX移XX255号“关于印发省公司各部门职责的通知”。 XX移XX070号关于对数据信息中心、省客服中心和业务支撑中心内部机构进行调整的通知A10.3 对信息技术部门员工的考评方式及考评结果对员工的影响根据公司考核体系，XX移动每年按信息技术部门员工的岗位职责对信息技术部门员工制定绩效考核计划，按照一系列关键绩效指标（“KPI”）及目标任务（“GS”）完成情况进行定期78、的绩效考核。员工绩效考核结果同职工升职及薪酬挂钩。有关绩效考核内容和方式，具体可参见A.7.2 和A.7.4。 主要涉及部门：人力资源部文件索引：XX移XX145号 关于下发中国XX通信集团XX有限 公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX年计划建设部KPI分解和GS设定XX年计划建设部员工绩效考核评分表2.1.11 用户教育和培训用户教育和培训用于保证企业最终用户可以有效的利用信息技术资源，并对信息风险以及个人相应职责保持应有的警觉。 A11.1信息技术部门对公司内部普通员工的培训 是否制定对公司普通员工的信息技术培训计划； 79、对员工信息技术培训的主要内容，如：应用系统使用，信息技术技能，系统安全实践，保密准则，及内控方面要求等。人力资源部统筹安排员工培训工作。涉及信息技术技能及新系统实施项目的普通员工操作技能培训纳入XX移动公司整体的培训计划中，每年根据系统建设和使用情况设计课程。对于新进员工则由人力资源部组织对新进员工的信息技术方面培训。主要涉及部门： 人力资源部文件索引：XX移XX254号 关于印发XXXX通信有限责任公司员工培训、教育管理暂行办法的通知 XX移人力XX037号XXXX通信有限责任公司员工培训实施细则XX移人力XX037号 XXXX通信有限责任公司员工培训实施细则培训实施流程 XX移人力XX0380、7号 XXXX通信有限责任公司员工培训实施细则学员培训鉴定表 XX移人力XX037号 XXXX通信有限责任公司员工培训实施细则在职员工受训意见调查表 XX移人力XX037号XXXX通信有限责任公司员工培训实施细则考试监考制度XX移XX071关于下达内部培训师管理办法的通知2.2 风险评估2.2.1 企业层面目标当企业存在有效的控制时，应已先行建立了目标。企业层面的目标中包括了与企业希望取得的成就有关的充分陈述，并以相关战略计划作为支持。描述企业已经建立的企业层面的目标和主要战略计划。B1.1在多大程度上，企业层面的目标充分提供了企业期望获得的成就的陈述和指导，并且此目标足够具体，与本企业直接相81、关。例如是否： 管理层建立了企业层面的目标； 这个企业层面目标不同于那种适用于所有企业的一般性的目标（例如，有充足的现金流量；或者对投资产生合理的回报等）。XX移动以总部的长期战略目标为导向，制订了公司层面的三年滚动战略规划。各部门分别进行战略分析和研究，订立公司各业务方面的中期战略规划，并由公司主管管理层最终审批通过。主要涉及部门：综合部、各部门文件索引：XX移动战略管理项目中期汇报 内外部环境分析及战略方案XX移动“十一五”网络规划关于建立战略环境预警和分析体系的工作计划B1.2企业层面目标是否有效地传达给了员工和董事会。XX移动以总部的“做世界一流企业，实现从优秀到卓越的新跨越”作为自身82、的战略目标，XX移动制订了公司的战略管理体系，并通过年度工作会议、工作报告、以及各级管理层会议，对公司各层面的员工进行宣传贯彻。企业战略目标体现在企业的年度工作计划中，XX移动每年制定公司的年度工作计划，并实时根据环境和业务的变化，在半年工作会中进行必要的调整。各级管理人员和员工通过定期的各级管理层会议、部门会议和OA系统等获知长期战略目标和年度工作计划。主要涉及部门：综合部、各部门文件索引：XX移动战略管理项目中期汇报 内外部环境分析及战略方案XX移动“十一五”网络规划关于建立战略环境预警和分析体系的工作计划B1.3企业战略是否跟企业层面目标保持关联和一致。XX移动根据战略目标制定了为实现这83、些目标所要采取的行动方案和必要的资源分配方案，即企业战略。实施XX移动“XX-2008年战略规划的主要途径和举措是采取四项竞争策略，实施八项关键措施，打造渠道和业务两大优势，实现3G时代主导运营商的一个发展目标。中期发展主要采取4项关键竞争策略以取得市场优势：依托渠道和直销体系在大众、集团客户市场实行快速市场覆盖和有效控制；品牌、网络和服务三方面协力提升业务综合价值；依托新业务推进、产品线拓展构建新的业务增长点；精细化管理提升运营效率以支撑市场竞争。实施八项关键措施指加强渠道营销服务，提升渠道效能及掌控；积极拓展新业务；巩固和提升集团客户价值；保持网络领先，推进网络稳定发展；深度营销服务提升品84、牌价值；铸造精细化管理机制；巩固并提升支撑系统优势；扩大企业影响力。主要涉及部门：综合部文件索引：1、XX移动战略管理项目中期汇报 内外部环境分析及战略方案； 2、企业文化理念china mobile发展战略手册。B1.4企业的业务发展计划和预算以及企业层面的目标、企业战略计划和企业现状之间是否保持一致。例如是否： 计划和预算中的假设和前提反映了企业的历史经验和现状； 计划和预算具有适当的详略程度以满足不同级别管理层的需要为达到企业的战略目标，XX移动制定了相应的企业发展战略，年度业务发展计划和预算根据企业发展战略而制定。XX移动执行全面预算管理体系，强调从企业战略出发，通过预测和目标设定、业85、务计划编制、预算编制、预算审批和下达、预算执行控制、预算报告和分析、预算调整、预算绩效考核，将预算的事前编制、事中控制和事后分析考核的各个环节作为一个整体进行管理，充分保证XX移动的业务发展计划和预算以及长期战略目标、企业战略计划和企业现状之间保持一致。主要涉及部门：财务部、综合部文件索引：XX移XX138号关于上报XX年度经营目标预算的报告XX移XX064号关于下达XX年度经营目标预算的通知XXXX通信有限责任公司全面预算管理暂行办法2.2.2 经营活动目标经营活动目标产生于公司层面目标和企业战略，并与其相联系。经营活动目标经常被表述为具有特定目的和最终期限的目标。对每个重要的经营活动都应该86、建立目标，这些经营活动目标应该保持互相一致。B2.1是否将经营活动目标与公司层面目标和战略计划相关联。例如是否： 所有重要的经营活动目标是否相关联； 经营活动目标得以定期审阅以确保其相关性。XX移动在3年滚动战略规划与总体发展目标的大框架下，在总部下达的各项经营指标的基础上，由省公司各部门、各地市公司将总部的指标进行分解并制定本部门、本地市公司的年度经营活动目标，使之服务于公司层面目标和战略。省公司各部门以及地市公司将经营活动目标报送总经理办公会审批通过。各部门根据不同的业务流程现状及发展要求明确达成经营活动目标所需实施的阶段性措施、主要工作及项目，并定期分析阶段性措施和主要工作的完成情况，并87、及时汇报给公司主管管理层，使主管管理层可直接对战略目标的实现程度进行监控。并且，公司建立了关键绩效指标，从财务、客户、创新、管理方面对各部门进行绩效考核，对经营活动目标的实现程度进行量化。公司通过季度部门绩效考核对目标的完成情况进行审阅和监控。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：XX年1-5月财务分析报告XX年1-5月财务报表数据部XX年工作思路计划建设部06年工作总结及07年工作要点总经理在XX年工作会议上的报告B2.2经营活动目标相互之间是否具有一致性。经营活动目标的制定服务于企业战略目标与企业战略。为了确保其相互之间的一致性，XX管理层会审批年88、度的经营活动目标，并通过定期的部门绩效考核对重要经营活动的目标进行总体监控。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移动XX至2008年战略规划措施XX年网络运行维护考核办法B2.3经营活动目标针对主要业务流程的适当性。例如是否： 就与商品和服务及其支持性业务流程相关的关键经营活动建立了目标； 经营活动目标跟以往的实践和经验或行业特点和惯例相一致，并可对存在的差异进行解释； 针对各重要的经营活动均建89、立了目标。在XX移动公司层面目标与企业战略的大框架下，各个部门均制定了本部门的年度经营活动目标，使之服务于公司层面目标和战略。在经营活动目标的制定过程中，各级管理层参照公司以往的实践经验和行业特点；由于行业内企业具有相似的目标和经营模式，在特定目标设定和评价过程中，管理层不仅考虑公司的历史情况，还与同业情况进行对比。主要涉及部门：财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：1、市场部05年工作总结及06年工作要点；2、发展计划部05年工作总结及06年工作要点；3、网络部05年工作总结及06年工作要点；4、计费业务中心05年工作总结及06年工作要点；5、数据部05年工作总结及06年90、工作要点。B2.4经营活动目标的特征性，例如目标是否包括衡量标准。XX移动根据每项经营活动设置了不同的指标，在部门绩效考评指标体系通过运营收入、客户满意度、新业务收入比例 以及EBITDA率等关键绩效指标衡量财务、客户、创新和管理四方面的内容。部门绩效考评指标适当地分解为员工个人承担的具体量化指标。主要涉及部门：人力资源部、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：市场经营部06年总结暨07年工作要点XX移XX145号 关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知B2.5有充足的资源支持目91、标，例如是否： 管理层能够确定实现目标所需的资源； 为获得必要的资源制定了计划（例如，资金、人力资源、设施、技术）。XX移动实行全面预算管理体系，根据年度业务发展计划，各部门就达成经营目标所需的资源进行规划并通过年度预算上报给主管管理层审批，以保证各经营目标的实现能够取得技术以及投资方面充足且及时的支持。人力资源方面，各部门会依据下年度的工作计划安排人员，将具备较好工作胜任能力的员工安排到业务发展的重要岗位；如果人员出现缺口，则将人员需求及时上报人力资源部。由人力资源部统筹安排人员招聘计划，以确保有充足的人力资源支撑经营目标的实现。主要涉及部门：财务部、市场经营部、数据部、网络部、业务支撑中心92、文件索引：XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX移XX138号关于上报XX年度经营目标预算的报告XX移XX064号关于下达XX年度经营目标预算的通知B2.6管理层是否确定了哪些经营活动目标对实现公司层面目标而言是重要的（即关键成功要素）。每年，XX移动各部门均会制定年度工作计划，公司管理层对各部门的工作计划进行审批，形成公司层面的年度工作计划。在公司年度工作计划中包含的经营活动目标均可以称为管理层确认的关键成功要素。公司在下发部门关键绩效指标时，通过权重的设置明确指出了对实现公司层面目标而言是重要的关键指标，并在日常工作中重点监控。主要涉及部门：综合部93、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：XX移动战略管理项目中期汇报 内外部环境分析及战略方案市场经营部06年工作总结及07年工作要点计划建设部06年工作总结及07年工作要点网络部06年工作总结及07年工作要点数据部06年工作总结及07年工作要点B2.7所有级别的管理层人员是否均参与目标的制定及其服务于目标的程度。XX移动的经营活动目标由主管管理层协同相关部门经理共同制定，最终获得XX移动主管管理层批准。主要涉及部门：财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：1、XX移动战略管理项目中期汇报 内外部环境分析及战略方案； 2、市场部05年工作总结及06年工作要94、点； 3、发展计划部05年工作总结及06年工作要点；4、网络部05年工作总结及06年工作要点； 5、数据部05年工作总结及06年工作要点。2.2.3 风险企业的风险评估程序应该考虑相关风险的迹象，包括企业层面和经营活动层面。风险评估程序应该考虑可能影响目标实现的外部和内部因素，并且这些程序应该分析风险，并且提供一个管理风险的基础B3.1是否有充分的机制来发现外生风险。例如，考虑管理层是否考虑过以下因素带来的风险： 资源供应； 技术变化； 债权人的要求； 竞争对手的行动； 经济环境； 政治环境； 监管； 自然事件。各级管理层对涉及业务经营、财务管理、法律法规遵循等方面的各种外生风险进行确认和监控95、，并在需要的情况下采取适当措施，降低风险发生的可能性。在日常经营管理中，各级管理层建立了一定的监控和沟通机制，使业务部门将其在日常管理中意识到的战略性风险和机会向各级管理层进行及时汇报并提请其注意；各部门通过生产经营分析会向主管管理层汇报其所了解的风险并提出风险管理方案；主管管理层亦通过其掌握的信息确认战略性风险和机会并通过总经理办公会和各种专题会议等传达至相关业务部门，由其负责必要的跟进工作。各级管理层通过监控经营活动对可能存在的外生风险于企业的影响进行评价。XX移动建立系统化的公司层面的风险评价和管理机制，定期（如每年）根据风险的影响、发生的可能性系统化地评价固有风险的高低并评价现有内部控96、制措施的充分性和有效性，以评价剩余风险的高低。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：数据专函XX097号关于12580呼叫中心呼出号码显示问题专题讨论会会议纪要XX移综XX023号关于上报安全管理工作总结的报告榆林分公司XX年工作总结及XX年工作思路XX移XX360号XXXX通信有限责任公司风险管理办法（暂行）XX移XX355号XXXX通信有限责任公司专利管理办法（试行）XX移市通XX57号关于深入开展450M小康通专项调研的紧急通知电信450M小康通综合调研报告B3.2是否有充分的机制来发现内生风险。例如，考虑管理层是否考虑过以下因素带97、来的风险： 人力资源； 财务状况； 信息系统。公司建立了一定的监控和沟通机制，使业务部门将其在日常管理中意识到的内生风险向各级管理层进行及时汇报并提请其注意；各部门通过生产经营分析会向主管管理层汇报其所了解的风险并提出风险管理方案；主管管理层亦通过其掌握的信息确认内部风险并通过总经理工作会和各种专题会议等传达至相关业务部门，由其负责必要的跟进工作。各级管理层通过对经营活动的监控发现和评价在人力资源、财务、信息系统等方面的各种内生风险。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：XX移XX133号关于调整XX分公司安全保卫关系的通知XX移综XX098、17号关于转发安全生产领域违法违纪行为政绩处分暂行规定的通知网络资源分析报告XX移XX360号XXXX通信有限责任公司风险管理办法（暂行）网维中心网络运行维护周分析XX移动战略管理项目中期汇报 内外部环境分析及战略方案XX移动高层次风险评估调查项目报告B3.3对每个重要的经营活动目标确定了相应的风险各部门管理人员以及XX移动各级管理层在对重要的经营活动进行监控的过程中会考虑相关的风险因素并对业务计划等进行调整。XX移动建立系统化的风险分析和记录机制，针对重要经营活动的经营目标，确定和评价相关风险。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：1、99、移计业管理XX54号“关于印发XX业务支撑系统数据安全管理办法（试行）的通知”； 2、 关于下发XXXX通信有限责任公司劳动合同管理办法的通知；3、转发中国XX通信集团关于信息披露的暂行规定； 4、关于印发XXXX通信公司保密管理暂行规定的通知； 5、授权管理办法； 6、合同管理办法； 7、关于印发XXXX通信公司差旅费及会议费开支规定的通知； 8、XXXX通信公司低值易耗品管理办法； 9、物资采购管理暂行规定； 10、招投标管理暂行规定； 11、关于上报XX公司XX年安全保卫工作总结的报告； 12、关于印发安全生产、安全保卫工作要点的通知； 13、通信枢纽大楼进出管理制度； 14、XXXX通100、信有限责任公司来客接待制度； 15、各级领导干部报告个人重大事项的有关规定；16、关于印发XXXX通信有限责任公司资金管理办法的通知。B3.4风险评估程序的完整性和相关性，包括估计风险的重要性，发生的可能性和制定相应采取的措施。例如考虑是否： 通过正式的程序或非正式的日常管理行为来分析风险； 确认的风险与相应的经营活动目标相关； 适当的管理层参与了风险分析公司建立了一定的监控和沟通机制，对与重要经营活动相关的风险进行评价和跟进。各级管理层通过生产经营分析会对公司经营活动、市场风险和竞争风险等进行分析和研究对策。XX移动建立系统化的风险评价和反应机制，根据风险的影响、发生的可能性系统化地并定期评101、价风险高低并评价现有内部控制措施的充分性和有效性。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：同B3.32.2.4 对环境变化的管理经济、行业和监管环境不断变化，同时企业也在不断发展。企业因而需要一种机制以确认环境的变化并做出反应。B4.1是否存在适当机制，可以凭借其预测及确认影响企业层面或经营活动层面目标实现的日常事件和活动，并做出适当的反应。各部门根据其职责分工，将其在日常管理中遇到的影响企业层面或经营活动层面目标实现的日常事件和活动向部门管理层以及公司管理层汇报并提请其注意；各级管理层通过其对各部门的日常管理和运作的紧密监控，及时指导并做102、出适当反应。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：XX移动战略管理项目中期汇报 内外部环境分析及战略方案在XX移动公司战略管理项目启动会上的讲话B4.2是否存在适当机制，可以凭借其确认那些对企业有重大及深远影响，因而需要高层管理人员加以重视的各种情况变化，并作出适当的反应，其中包括下述方面发生的潜在变化： 经营环境的变化 雇佣新员工 使用新的或重新设计的信息系统 公司经历迅速发展时期 新技术的出现 新的产品线、新产品、新的经营行为或并购 公司重组 跨国经营XX移动各业务部门在一定程度上可在日常管理中确认其意识到的战略性风险、竞争对手的发展103、和机会，并通过提交报告的形式向主管管理层汇报以供管理层审阅决策。同时，主管管理层会定期召开生产经营分析会以及专项会议对涉及公司经营管理的重大问题进行决策。当管理层认为有必要对此进行评估时，责成适当的部门牵头，会同其他部门对此进行研究论证。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：故障分析报告4月29日CRM1库缴费开机工单积压报告农村市场综合月报XX移XX088号关于下发XX年省公司统一招聘人员名单的通知2.3 控制活动控制活动包括一套全面的政策和相关的执行程序，从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施，管理风险104、，从而确保其目标的实现。C1.1对于企业的每一种活动，是否都存在适当的政策和程序进行规范XX移动对主要经营活动制定了相应的政策和程序，对业务操作流程及汇报途径等进行了规定。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：XXXX通信业务管理文件汇编（XX前半年）关于转发中国XX通信集团公司审计档案管理办法的通知C1.2确定已存在的控制活动是否得以有效实施，例如: 公司政策程序所描述的内部控制措施是否得以遵照执行； 是否有及时而适当的措施去跟进特殊事项或其它需要进一步关注的信息； 是否有员工负责监督内部控制的执行。员工根据对其职责和业务流程的理解执行105、有关内部控制措施，各级管理层对内部控制措施的执行进行适当监控并对偏离原有控制的行为进行调查和跟进。XX移动建立有内部审计制度，根据年度审计计划对既定的业务流程进行内部审计，并及时将发现的问题反馈给主管管理层，以便主管管理层掌握业务流程以及内部控制实施情况，能够及时、适当的采取相应的措施。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：XX移XX240号关于对经济责任审计中存在问题进行整改的通知关于经济责任审计指出的问题整改报告XX移内审通XX17号关于落实解决两个专项审计中所发现问题的通知有价卡管理审计发现问题整改情况反馈（安康分公司、XX分公司）106、2.4 信息及沟通2.4.1 信息信息 (如行业、经济和监管信息) 可以从外部和内部获取，而信息系统是指收集、处理和报告信息的系统。D1.1收集各方面（内部及外部）的信息，并向管理层报告有关企业经营成果是否达到其既定目标。例如是否： 存在一定的机制，用于获得相关的外部信息关于市场状况、竞争者的行动、法律法规环境的变化和经济环境的变化等； 定期识别和报告内部关键信息； 各级管理层可获得足够信息，用于履行其职责。各业务部门负责收集与本部门相关的内部、外部信息。内部数据收集与汇报XX移动市场经营部每月从经营分析系统中自动生成所需的报表数据，形成生产经营分析月报，在生产经营分析会上传达给XX移动各相关107、部门，并汇报给主管管理层。每个月网络部会生成网络运行报告，并传达给相关人员。财务部每月以MIS系统中的数据为基础编制月报，报送公司主管管理层审阅。此外，市场经营部每周向公司管理层提供周经营分析报告，经营分析系统每日会自动生成经营日报，由全省经营口的人员及时了解经营状况。网络部会将每日的主要业务运行数据、网络运行数据以短信的方式发送给公司的中高级管理层，使其可以即时获得内部运行情况。外部数据收集与汇报在法律法规信息方面：XX移动综合部法律事务人员对与公司经营管理相关的所有法律、法规和地方政策、规章等进行统一的收集和整理。并且，地市公司聘有法律顾问，对法律法规信息的变更进行监控。在市场及竞争者信息108、方面：XX移动市场经营部可通过经营分析系统采集数据，获得竞争对手市场和客户稳定性等信息。此外，市场经营部要求各地市公司每周和每月上报有关通信市场和竞争者信息的报告。并且，公司会根据需要从外部购买市场跟踪报告或市场调研信息等，并向主管管理层进行汇报。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：XX年1-5月财务分析报告XX年1-5月财务报表XX年1-5月市场分析报告XX年3月份市场部服务质量通报XX移市通XX57号关于深入开展450M小康通专项调研的紧急通知电信450M小康通综合调研报告XX移综XX020号关于召开全省XX年一季度生产经营分析会的通知XX移综X109、X022号关于开展分公司调研工作的通知D1.2将详细的信息及时地给予适当的员工，使其能够高效率地履行其职责。例如是否： 管理者能够获得分析性的信息来判断该采取何种行动； 信息具有不同的详略程度以满足不同级别的管理层的需要； 信息被适当的汇总，而不仅仅是提供一个“信息的海洋”； 信息能够及时提供以便有效地监控内外部的事项和活动并及时对经济和经营因素的变化和控制问题做出反应。XX移动各主要部门每月向主管管理层提供生产经营分析数据，以便公司主管管理层能及时了解重要的运营信息，做出及时、恰当的决策。同时，对于主管管理层较为关注的特殊事项，各相关部门以专题报告的方式提交公司主管管理层审阅并处理。各级管理110、层获得的分析性信息基本来源于经营分析系统。经营分析系统将BOSS系统和其他外部数据源中的数据进行抽取、筛选、转换，并转换成需求部门所需的信息。 除各部门管理层可定期取得经营信息以外，各部门可根据自身需要，不定期地要求其他部门提供相关信息。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心文件索引：XXXX通信业务管理文件汇编D1.3是否根据企业的整体战略开发或修改信息系统，从而促进企业和活动层面的目标的实现。XX移动非常重视信息系统的发展，并与企业整体战略保持一致。对信息系统的开发与升级等内容进行了滚动规划，并且会在目标体系每年的滚动制定中，根据企业战略发展要求不断进行调整111、。主要涉及部门：综合部、人力资源部、业务支撑中心文件索引：XX移XX112号关于XX年MIS系统扩容的立项批复XX移人力XX035号关于下发人力资源管理信息系统业务管理办法的通知D1.4管理层是否对开发必须的信息系统给予支持，例如投入足够的人力和财力。XX移动一贯重视对信息系统的建设和维护，认为信息系统是公司经营和发展的重要支柱，并不断投入足够的人力和财力予以支持。公司建立在信息系统建设和维护方面的问责制，由业务支撑中心以及网络部负责重要信息系统的开发和维护。主要涉及部门：综合部、人力资源部、业务支撑中心文件索引：1、关于XX移动BOSS系统扩容工程的设计批复； 2、XX移人力XX035“关于112、下发人力资源管理信息系统业务管理办法的通知”。2.4.2 沟通在信息的处理中，沟通是必要的环节。在更广义的层次上，沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于企业内部的上行、下达和同级传递中。企业与外部的沟通同样非常重要。D2.1员工的职责和控制责任是否得到有效沟通。例如是否： 采用各种手段，例如正式或非正式的培训课程、会议、在岗培训等进行有效的沟通； 雇员知晓他们所进行的活动的目标，以及怎样履行他们的职责来达到这些目标。同A2.1。主要涉及部门：人力资源部文件索引：部门职责文件汇编D2.2是否保证有畅通的渠道以便员工反映其发现的可疑情况。例如是否： 是否存在某种渠道跟非直113、接上级的上层机构进行沟通； 是否允许匿名； 员工切实使用了这种沟通渠道； 报告可疑情况的员工及时得到了反馈，并且受到保护而免于报复。XX移动具有较为畅通的渠道以便员工反映其发现的问题。公司员工除可通过正常的汇报程序反映其发现的可疑情况外，亦可以将发现的可疑问题通过直接向综合部、监察（党务）部等部门举报的方式进行反映。综合部根据举报内容和性质负责协调，向主管管理层汇报后，转发到相关责任部门办理。监察（党务）部在收到员工的举报后，根据举报内容的程度立案调查或采取其他处理办法，并向主管管理层报告。XX移动设有电子邮箱，员工可以将发现的问题直接传达至公司主管管理层。在电子邮箱上反映问题或向监察（党务）114、部举报均可以通过匿名的方式进行，以鼓励员工使用这种沟通渠道。XX移动通过新员工培训、正式文件、邮件等方式正式告知员工，并明确员工有责任、有义务及时报告其发现的可疑情况。XX移动建立了员工反映可疑情况的制度和渠道，而且所有员工均了解沟通渠道的存在。主要涉及部门：综合部、纪检组/监察室、人力资源部。文件索引：关于印发中国XX通信集团公司纪检监察部门信访工作办法和案件调查工作办法的通知XX移（XX）262号关于印发XXXX通信有限责任公司员工手册的通知D2.3管理层对员工在生产、质量管理或其它方面合理化建议的态度。例如是否： 是否存在合理机制使员工可以提出改进建议； 对员工提出的优秀的建议，管理层提115、供现金或其他方式的奖励措施。XX移动每年举行一次集中的合理化建议征集工作，并进行评估和奖励。承办部门需要对合理化建议进行落实。此外，员工可以通过总经理信箱和座谈会等方式将日常工作中的一些合理化建议直接传达至公司主管管理层，公司主管管理层会及时对员工提出的意见建议进行反馈。XX移动鼓励技术创新和业务创新，对在业务开发、运营服务、商业模式等方面有创新的单位和个人给予现金等奖励。主要涉及部门：人力资源部、工会、计划建设部文件索引：关于下发XX公司科技进步及业务服务创新奖励办法的通知中移计XX119号“关于印发中国XX通信集团公司科技进步及业务服务创新办法的通知”XX移工会XX027号关于开展“奥运有116、我更精彩”内部传播活动具体工作安排的通知XX移党群XX009号关于开展“满意100服务改进金点子”征集活动的通知D2.4企业内部沟通的充分性、信息的完整性、及时性以及信息是否足够详细以便员工能够有效的履行其职责。XX移动内部存在多种沟通渠道和方法，如生产经营分析会、定期/不定期全体员工大会、部门例会、文件传递、OA系统、电子邮件、电话等，从形式上 确保了组织内部沟通的充分性和及时性。部门之间一般采取领导沟通或者部门之间的联席会议方式，就日常工作与部门协调间的问题进行讨论与解决，保证信息沟通的充分和工作的顺利开展。主要涉及部门：财务部、市场经营部、数据部、网络部、业务支撑中心、内审部文件索引：关117、于网络、业务、服务部门形成互通报制度的通知XX移市通XX57号关于深入开展450M小康通专项调研的紧急通知电信450M小康通综合调研报告(计划部、网络部、市场部）D2.5与顾客、供应商和其它外部利益关系者就顾客的需求变化进行沟通的公开性和有效性。例如是否： 与相关各方建立了反馈机制； 建议、投诉和其他相关信息被获取并传递到内部相关部门； 信息被上报至必要的上级部门并采取了跟进行动。对待投资者XX移动各部门按照总部的要求定期或不定期地向总部提交财务信息、重大业务发展与技术发展信息等。此外，公司会定期、不定期地通过新闻稿、公告及公司网站发布公司的财务信息、重大业务发展与技术发展等。对待客户XX移动118、通过1860客户服务电话、网络客户服务平台、电子邮件、电话沟通、推介会、集团客户走访、设置客户经理和联络员等方式向客户提供顺畅的问题解答及投诉问题处理途径，以减少客户投诉数量，避免投诉升级，提高公司知名度。XX移动对与客户沟通标准进行规范，并通过日报、周报、月报等形式对服务质量进行监督，并及时上报主管管理层获知。此外，公司在省公司范围内开展客户满意度调查，对员工服务质量进行评估。对待合作伙伴或其他利益相关者XX移动通过电子邮件、电话、面对面谈话等方式与合作伙伴或其他利益相关者进行有效的沟通，了解合作伙伴或其他利益相关者的需求、意见和建议，并给与及时的反馈。主要涉及部门：财务部、市场经营部、数据119、部、网络部、业务支撑中心、物资采购中心文件索引：XXXX通信有限责任公司客户投诉管理办法客户服务中心近期客户投诉情况的通报关于市场部近期客户投诉情况的通报D2.6外部利益关系者对企业的道德标准的认识。XX移动通过报纸、杂志、广播电视的宣传报道、以及社会公益活动的支持，使各外部利益相关者能够认识到公司高水平的道德标准。XX移动要求员工诚实守信，并要求员工在与客户、合作伙伴以及其他外部利益相关者的沟通、接触中做到诚实无欺、公平合理，使其感受到XX移动的经营理念与道德标准，使企业获得持续的客户信赖，保持较高的客户忠诚度。主要涉及部门：综合部、党群工作部、市场经营部、数据部文件索引：网络投诉处理管理办120、法建立健全客户网络投诉快速反应机制关于印发中国XX通信互联互通工作管理暂行办法的通知关于市场部近期客户投诉情况的通报客户服务中心近期客户投诉情况的通报数据专函XX097号关于12580呼叫中心呼出号码显示问题专题讨论会会议纪要梦网短信业务核查表（1-5月份）彩玲业务核查表（1-5月份）高新营业厅客户投诉受理单D2.7在与顾客、供应商、监管者和其他外部利益关系者进行沟通后，管理层是否能够及时采取有效的跟进措施。例如是否： 员工就报告的与产品、服务或其他方面相关的问题做出积极反映，进行调查并采取跟进行动； 在计费和出具账单过程中产生的错误得以及时更正，错误原因得以调查和改进； 由独立于原始交易的适121、当人员对投诉进行处理； 采取合适的行动后，与原始信息提供方进行跟进沟通； 高级管理层知晓投诉的数量和性质。对待投资者XX移动通过按总部要求提供相关披露资料以及公司生产经营的信息的方式，使总部董事会及高级管理层了解企业的整体情况，同时根据总部的统一安排采取有效的跟进行动并及时向总部反馈。公司要求员工在受理与产品、服务或其他方面有关的问题或投诉后，进行调查和跟进行动，并以此作为内部体系存在问题的迹象。对待客户公司对接到用户投诉后的处理程序进行规定。就受理的客户投诉，市场经营部门定期上报部门主管和主管管理层审阅，以便各级管理层了解存在的问题和投诉的数量和性质。对待合作伙伴或其他利益相关者XX移动要求122、相关部门对合作伙伴或其他利益相关者提出的需求、意见和建议及时进行跟进并在采取适当的行动后与对方进行沟通。公司制定有梦网投诉管理办法及相关管理流程，对接到投诉后的处理程序进行规范。主要涉及部门：财务部、市场经营部、数据部、网络部、业务支撑中心、物资采购中心文件索引：市场部近期客户投诉情况的通报客户服务中心近期客户投诉情况的通报2.5 监控2.5.1 持续监控持续监控发生在平常的经营过程中，包括日常管理和督导行为，和其它员工履行其评价内部控制系统运行质量的职责的行为E1.1员工在进行日常工作时，是否能够获取内部控制正常运行的证据。例如是否： 运营负责人需要就其业务单元上报的财务数据签字确认，以建立123、问责制； 存在运营数据与财务核算数据之间的定期对账； 对信息技术部门的运行及服务情况采取业绩考核； 是否采用关键指标作为考核的依据； 考核的结果对信息技术部门管理层及员工存在影响。XX移动的各级管理层通过日常工作监控业务流程的运行情况，并通过获取经营数据取得内部控制正常运行的证据。各级管理层可对运营数据中与其期望不符或可疑的事项提出质疑。各相关部门在上报经营数据及财务数据时，均需由经过适当授权的各级管理层签字确认，以建立问责制。目前XX移动每月根据专项指标（如数据及时性、准确性、接口通畅率等）对各信息技术部门工作进行考核，考核结果及各省排名通过集团OA公布。考核指标将会直接影响到相关部门员工的124、绩效考核的评定。XX通过系统交叉验证，趋势验证等方式对XX公司业务支撑系统进行打分；通过一系列KPI指标对XX移动运营情况进行打分，打分结果公布在当月集团公司计费网站上，并通过公文方式下发，全年对运营情况进行总评。打分结果将影响XX移动的考核指标。XX移动内部信息技术部门负责人及员工每年签署绩效考核计划，包括每年对信息技术部门及员工绩效考评的各项关键指标。主要涉及部门：财务部、市场经营部、数据部、网络部、业务支撑中心、人力资源部、网络运行支撑中心，业务运营支撑中心文件索引： XX年2月XX业务支撑网业务运营质量考核情况通报XX年1-5月财务分析报告；XX年1-5月财务报表 XX移XX145号 125、关于下发中国XX通信集团XX有限公司绩效管理试行办法的通知XX移XX146号 关于印发省公司机关及直属单位XX年绩效管理实施细则的通知XX年渭南分公司财务部员工、省公司集团客户部KPI分解和GS设定 XX年渭南分公司综合部、物资采购中心绩效考核评分表E1.2是否能够与外部利益关系者进行沟通而获取信息，对内部信息加以验证，或发现内部信息的问题。例如是否： 顾客对账单数据进行投诉，这时可能暗示系统在处理销售交易时存在缺陷，应该对其根本原因进行跟进调查； 与供应商和电信运营商的定期对账程序被当作一项内部控制措施； 监管机构与企业就反映在内部控制系统中的合规情况和其他事项进行沟通； 重新评估本应发挥防126、止和发现问题的作用的内部控制措施； 有恰当的管控活动以确保遵循外部要求，比如信息产业部门或者国家级别安全规定； 公司对遵循外部要求采取必要措施。XX移动注重与客户、电信运营商、供应商等外部利益关系者进行沟通，以验证内部信息的准确性。 对于受理的客户投诉，市场经营部门即时予以解决或通知其他相关部门对自身机制进行核查，考虑是否内部系统在处理交易时存在缺陷并对其原因进行跟进；此外，市场经营部等相关部门会聘请第三方对营业厅等对外服务窗口的客户服务质量进行检查，并根据检查结果对服务中存在的问题进行整改。 XX移动定期与其他电信运营商、合作伙伴等进行计费数据的对账，在出现较大差异的情况下，XX移动会考虑对127、计费流程进行调查，以发现内部控制缺陷； 综合部、财务部等部门与外部监管机构进行定期沟通并及时就重要问题反馈给各级管理层，管理层会就重要问题方面审视内部控制的效率性，确保遵循外部监管机构的要求； 在与外部利益相关者进行沟通后，XX移动重新评估本应发挥防止和发现问题作用的内部控制措施并考虑改进措施； XX移动IT系统实施，功能开发等项目遵循总部统一下发规范标准； XX移动管理层对外部的要求保持关注，如国家相关管理部门（如信息产业部）制定的管理规定及美国上市公司规则等。特别对于相关法律法规及上市规则涉及对信息技术管控方面的需要，公司会作出相应的控制调整； XX年度，XX移动根据美国上市规则XX法案的128、要求，开展了XX法案协助项目，以确保公司的信息技术控制能够满足相关法规的需要。主要涉及部门：综合部、财务部、市场经营部、数据部、网络部、业务支撑中心、市场经营部、计划建设部文件索引：关于印发与XX省电信公司电话网网间互联及结算协议的通知XX移网XX76号“关于与卫通公司按平均值结算的通知”中国XX通信集团XX有限公司与中国卫星通信集团公司XX分公司关于落实信部电2003454号文件的备忘录中国XX通信集团XX有限公司与中国卫星通信集团公司XX分公司与铁通XX分公司网间话费结算月报表E.1.3定期进行账实核对。XX移动制定了相关的政策和流程，对固定资产、存货、工程物资、库存现金进行定期盘点，以确129、保财务报表中的数据真实反映资产的实际情况，且可以通过定期账实核对的过程对相关业务流程中发现的内部控制程序缺陷进行持续改进。主要涉及部门：财务部文件索引：关于印发XXXX通信有限责任公司资金上缴考核管理办法的通知XXXX通信公司固定资产管理办法XXXX通信公司固定资产投资项目财务管理办法物资采购中心财产清查办法XXXX通信公司固定资产管理办法实施细则E1.4是否就内部和外部审计师的建议及时做出响应以改善和加强内部控制。XX移动十分重视外部审计师和咨询机构在审计或咨询过程中发现的问题以及提出的内部控制改善建议。审计部、财务部及相关部门将问题和内部控制改善建议提交给主管管理层，并由其对相关内容进行分130、析探讨，责成相关部门对重要问题形成改善方案并实施改善行动。主要涉及部门：财务部、内审部文件索引：XXXX通信有限责任公司财务审计管理办法（试行）XX移内审XX001号关于转发财务收支审计管理办法的通知E1.5是否定期举行培训课堂、计划会议和其它的会议，就内部控制运行的有效性向管理层提供反馈意见。XX移动举行经营活动分析会，并在会议中对主管管理层注意到的经营过程中遇到的与内部控制和信息沟通相关的问题进行讨论。XX移动建立了内审部，每年根据审计计划对既定的流程进行审计检查，并就发现的问题以及内部控制缺陷向主管管理层汇报。主要涉及部门：内审部、综合部文件索引：XX移动高层次风险评估调查项目报告内审部131、XX年工作总结关于印发XX省XX通信公司内部审计实施细则的通知关于转发中国XX通信集团公司内部控制制度审计暂行办法的通知内审部部门职责XX移内审XX001号关于转发财务收支审计管理办法的通知XX移内审XX4号关于下达XX移动XX年度内审部工作计划的通知E1.6员工需要定期声明是否知晓并遵守了公司的行为准则；以及是否执行了重要的内部控制程序。XX移动定期与员工签订劳动合同，合同中规定员工遵守公司行为准则和规章制度，并保守公司商业秘密。XX移动建立要求员工每年就了解和遵循可以接受的商业行为、利益冲突的处理方式等情况进行书面声明的制度。公司通过日常工作中与员工的沟通和定期绩效考核使员工获知公司对其的132、期望。主要涉及部门：纪检组/监察室、内审部、财务部文件索引：1、劳动合同； 2、与员工签订的声明书；3、XX移XX262号“关于印发XXXX通信有限责任公司员工手册的通知”；4、XX移财2001003关于转发中国XX通信集团公司内部控制制度审计暂行办法的通知； 5、关于印发XXXX通信公司保密管理暂行规定的通知；6、公司通过信息平台发布行为准则和有关制度的截屏；7、与员工签订的保密协议；8、与管理人员签订的党风廉政建设责任书。E1.7内部审计职能的有效性。例如是否有适当的可以胜任的人员；在组织结构中的地位是否适当；向董事会或审核委员会报告；工作范围、职责和审计计划符合公司的需要以及是否定期对信133、息技术的内控情况进行内部审计工作等。XX移动设有纪检组/监察室、内审部，负责公司的党风廉政建设、以及财务收支和公司的效能监察审计工作，专项负责内部控制的审计工作。XX移动制定了内部审计的相关政策和流程以及职权范围书，明确了内审部的职责、权限和工作范围，规定向主管管理层汇报。XX移动内审部的大部分员工均具有财务背景，也配备了业务方面的人员，员工对审计流程较为熟悉。内审部每年至少组织一次有关审计技术、方法、项目经验的内部培训。此外，随着内部控制审计工作的深入开展，公司需要加强审计人员相关知识的培训，以满足内部控制审计工作的开展需要。每年XX集团公司通过专题审计或组巡等方式对XX移动内控情况进行审核134、，信息技术方面的审核也包含在集团的内审、组巡工作之中。主要涉及部门：内审部文件索引：XX移财2001003关于转发中国XX通信集团公司内部控制制度审计暂行办法的通知XX移2001319关于印发XXXX通信公司内部审计实施细则的通知XX移内审XX003号关于下发中国XX通信集团XX有限公司建设项目审计管理办法的通知移审通XX6号关于举办内审人员培训班的通知XX移内审XX002号关于对黄洪超等同志进行任期经济责任审计的通知XX移XX222号关于黄洪超在安康分公司任职期间经济责任审计意见书2.5.2 个别评价定期或不定期地以全新角度审视内部控制系统是非常必要的，其着眼点在于直接审视系统运行的有效性。135、个别评价的范围和频率主要取决于对风险的评估以及对内部控制的持续监控程序的情况。 E2.1内部控制系统个别评价的范围和频率。例如是否： 内部控制系统的适当组成部分得以评价； 评价由具有必要专业技能的人员进行； 评价范围、深度和频率是适当的。XX移动的内审部行使公司的内部审计职能，系统化地对业务流程及其内部控制的有效性进行个别评价。内审部每年制定的审计计划，包括审计范围、主要内容、频率等方面的内容，由主管管理层审核批准。XX移动内审部每年根据审计计划开展专项审计、工程审计、财务收支审计、经济责任审计、效能审计，并配合总部内审部进行业务流程以及内部控制有效性的个别评价，并计划逐步增加独立开展公司内部136、控制审计的工作。内审部的大部分员工均具有财务、市场和综合管理背景，也配备了业务方面的人员，员工对审计流程较为熟悉。主要涉及部门：内审部文件索引：XX移内审XX4号关于下达XX移动XX年度内审部工作计划的通知经济责任审计方案E2.2进行个别评价的流程以及方法的适当性。例如是否： 评价人员对公司的经营活动有充分的了解； 评价人员了解内部控制系统应该如何运行和实际如何运行； 评价过程采用适当的方法，如问卷、核对清单等； 评价过程由具有一定权限的管理层进行监督； 评价人员通过将评价结果与既定标准进行对比，对评价结果进行必要的分析。每次在进行内部审计前，审计小组提前编制审计程序，确认审计过程中可能遇到的137、问题、流程关键环节以及相关风险点。如有需要，还可以聘用外部专家共同参与审计工作。在审计现场，审计小组通过询问、观察、检查抽查、核对清单等方式了解所需审计的经营活动及业务流程。审计小组与将了解的经营活动现状与既定的标准进行对比、分析、评估，编写审计报告。整个审计过程由内审部的项目经理来直接监督检查。主要涉及部门：内审部文件索引：关于印发XXXX通信公司建设项目审计管理办法的通知XX移内审XX003号关于下发中国XX通信集团XX有限公司建设项目审计管理办法的通知XX移计XX86号关于XX年农信100配套电脑采购等项目暂估、决算情况的通报人力专函XX015号关于对分公司领导进行离任审计的通知XX移X138、X220号关于林东青在铜川分公司任职期间经济责任审计意见书XX移内审通XX11号关于渭南生产楼新建交换机房消防工程竣工决算委托审计的通知E2.3个别评价是否存在适当的书面记录。审计过程均留有审计工作底稿，每次审计过后均需要编写审计报告，以供被审计单位负责人审阅及制定修补计划。主要涉及部门：内审部文件索引：XX移内审通XX6号关于对原榆林分公司总经理董小兵同志的离任审计征求意见函廉政鉴定材料XX移XX221号关于董小兵在榆林分公司任职期间经济责任审计意见书有价卡、手机补贴及高价值促销品管理专项审计报告XX年内审部工作总结2.5.3 汇报内部控制缺陷内部控制的缺陷必须向上汇报，某些重要的事项必须上139、报高层管理人员和董事会。E3.1是否存在一定机制将确认的内部控制缺陷加以记录并向上汇报，以及汇报程序和书面文件的适当性。例如是否： 向直接负责此经营活动的人员以及其上一级管理人员报告缺陷； 对于一些特殊类型的缺陷，需要报告给更高层级管理层以至于董事会； 信息技术部门能及时跟进内审提出的建议。内审部将审计过程中发现的业务流程问题以及内部控制缺陷记录在工作底稿内，并体现在审计报告中。内审部及时与被审计单位负责人就所发现的问题进行沟通。内审部定期出具阶段性汇总审计报告，将审计发现问题汇报给公司主管管理层。主要涉及部门：内审部及相关各业务部门文件索引：XX移动高层次风险评估调查项目报告XX年内审部工作140、总结XX移XX413号关于开展信息安全及风险防范评估调查的通知XX移XX360号XXXX通信有限责任公司风险管理办法（暂行）XX移XX231号关于开展配合XX年SOX法案内控项目中期测试工作的通知XX移内审通XX14号集团公司XX项目组SOX测试启动会议的通知XX移XX079号关于开展有价卡、手机补贴及高价值促销品管理专项审计的通知有价卡、手机补贴及高价值促销品管理专项审计报告E3.2采取的改善措施的适当性。被审计单位针对内审部发现的问题及其建议制定后续整改措施并确认整改时间。各被审计单位将整改情况按照整改时间表报送内审部，内审部对被审计单位的整改进度进行监控，跟踪审计发现问题的解决情况，以确141、保审计监察职能的有效执行和监控措施的落实到位。主要涉及部门：内审部文件索引：XX移XX240号关于对经济责任审计中存在问题进行整改的通知关于经济责任审计指出的问题整改报告XX移内审通XX17号关于落实解决两个专项审计中所发现问题的通知有价卡管理审计发现问题整改情况反馈（安康分公司、XX分公司）3 信息技术整体控制3.1 对程序和数据的访问3.1.1 BOSS系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责BOSS系统管理的信息技术部门业务支撑中心、BOSS系统使用部门（财务部门、市场经营部门、数据142、业务管理部门及各地市公司用户部门、人力资源部门。）二、涉及的应用系统和重要的电子表格BOSS系统 ，（包括一级BOSS、省公司BOSS系统、渠道管理系统（代理商管理及核酬）、结算系统、客户管理系统等子系统）三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非143、法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. BOSS应144、用系统通过用户名（工号）和密码实现登录认证，系统中除查询帐号外不允许建立共享用户名。业务支撑中心部门在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予用户账号。(控制点 SN06.BOSS.L.1.3)1.2. XX移动应建立一份安全保障规范，并对BOSS系统进行密码规则设置，包括密码长度不得小于6位，应由大小写字母及数字组成，密码应90天更换。 (控制点SN06.BOSS.L.1.5) 1.3. BOSS系统中的操作系统、数据库系统的系统管理员，及根用户、安全管理员账号、批处理用户账号等超级用户账号由业务支撑中心管负责人负责书面审批授权。业务支撑中心管负责人145、应对BOSS系统超级用户的清单根据系统的重要程度每半年进行审阅签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层应对接口程序、脚本或相关设置进行实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。BOSS系统平台中不存在第三方超级用户帐号的情况，XX移动应在必要的情况下，才对第三方开放帐号，一旦第三方使用该帐号完毕，XX移动的系统管理员该及时将该帐号回收。对于应用系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开146、发人员和维护人员的职责分工）。XX移动对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导或安全管理员授权，临时开通远程登录功能，并对远程登录操作进行监控，并事后及时审阅相应的操作日志或操作记录。在操作完成后，值班人员应及时终止远程登录。 (控制点SN06 .BOSS.L.1.7) 1.4. 业务部门应用系统管理员的建立需通过正式公文申请，并经过业务部门主管和业务支撑中心主管的审批，由BOSS应用系统管理员建立。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管和业务支撑中心部门主管或授权第三方人员应对BOSS147、系统应用层超级用户的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点SN06.BOSS.L. 1.8)1.5. 公司对BOSS应用系统的操作系统级、应用系统级管理层定义的所有重要操作，特别是对财务报表有关的操作留有系统日志。系统日志应由业务支撑中心根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由安全管理员负责每月进行审核。此外应对BOSS系统数据库的直接访问修改留有系统记录，并由安全管理员每月对数据库层重要操作，特别是对财务报表有关的操作记录进行审核。如由于系统限制无法对数据库相关148、操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。 (控制点SN06.BOSS.L.1.12)2. 用户账号的添加、修改及删除控制2.1. XX移动应制定“XX移动业务运营支撑中心安全管理办法”用于BOSS应用系统中账号的创建、修改管理，BOSS系统普通用户账号管理由部门主管授权的工号管理员负责。在BOSS系统中新建账号或对账号的权限进行调整，须由地市公司部门主管对需求申请（包括公文、工号变更申请表等格式）审批确认后，由地市工号管理员在BOSS系统中进行设置。(控制点SN06 .BOSS. L.1.15)2.149、2. 职工工作调动或离职时，企业人力资源部或相关部门负责发正式通知给业务支撑中心，业务支撑中心或地市工号管理员对该人员在BOSS应用系统中的账号进行删除或禁止使用处理。(控制点SN06L.BOSS.1.16)3. 普通用户账号的定期审阅3.1. 每半年使用BOSS应用系统的各部门及地市分公司，应对BOSS系统普通用户账号进行审阅。由各部门工号管理员或授权人员对BOSS系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。业务支撑中心BOSS系统管理员负责审阅省公司的BOSS普通用户，审阅结果归档到业务支撑中心。地市公司系统管理员负责组织审阅本市的BOSS普通用户，审150、阅结果归档到市公司备查。(控制点SN06.BOSS.L.1.17)3.2. 每隔半年以及业务流程发生重大变更时，由业务支撑中心提供BOSS系统用户的访问权限清单（所赋用户角色），并交由相关业务部门主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责（如应用层管理员应独立于操作系统层和数据库层管理员），应及时通知所在部门工号管理员，对用户的权限进行调整。(控制点SN06.BOSS.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则（如应用层管理员应独立于操作系统层和数据库层管理员），由业务部门主管151、（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点SN06.BOSS.L.1.19)七、流程主要控制点SN06.BOSS.L.1.3系统设置BOSS应用系统通过用户名（工号）和密码实现登录认证，系统中除查询帐号外不允许建立共享用户名。业务支撑中心部门在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予用户账号。SN06.BOSS.L.1.5系统设置XX移动应建立一份安全保障规范，并对BOSS系统进行密码规则设置，包括密码长度不得小于6位，应由大小写152、字母及数字组成，密码应90天更换。SN06.BOSS.L.1.7授权及批准：BOSS系统中的操作系统、数据库系统的系统管理员，及根用户、安全管理员账号、批处理用户账号等超级用户账号由业务支撑中心管负责人负责书面审批授权。业务支撑中心管负责人应对BOSS系统超级用户的清单根据系统的重要程度每半年进行审阅签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层应对接口程序、脚本或相关设置进行实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。BOSS系统平台中不存在第三方超级用户帐号的情况，XX移动应在必要的情况下，才对第三方开放帐号，一旦第三方使用该帐号完毕，XX移动的153、系统管理员该及时将该帐号回收。对于应用系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX移动对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导或安全管理员授权，临时开通远程登录功能，并对远程登录操作进行监控，并事后及时审阅相应的操作日志或操作记录。在操作完成后，值班人员应及时终止远程登录。SN06.BOSS.L.1.8 授权及批准：业务154、部门应用系统管理员的建立需通过正式公文申请，并经过业务部门主管和业务支撑中心主管的审批，由BOSS应用系统管理员建立。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管和业务支撑中心部门主管或授权第三方人员应对BOSS系统应用层超级用户的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。SN06.BOSS.L.1.12管理层审阅公司对BOSS应用系统的操作系统级、应用系统级管理层定义的所有重要操作，特别是对财务报表有关的操作留有系统日志。系统日志应由业务支撑中心根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立155、于系统管理员的人员提取，并由安全管理员负责每月进行审核。此外应对BOSS系统数据库的直接访问修改留有系统记录，并由安全管理员每月对数据库层重要操作，特别是对财务报表有关的操作记录进行审核。如由于系统限制无法对数据库相关操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。SN06.BOSS.L.1.15授权及批准XX移动应制定“XX移动业务运营支撑中心安全管理办法”用于BOSS应用系统中账号的创建、修改管理，BOSS系统普通用户账号管理由部门主管授权的工号管理员负责。在BOSS系统中新建账号或对账号的权限进行调整156、，须由地市公司部门主管对需求申请（包括公文、工号变更申请表等格式）审批确认后，由地市工号管理员在BOSS系统中进行设置。SN06.BOSS.L.1.16授权及批准职工工作调动或离职时，企业人力资源部或相关部门负责发正式通知给业务支撑中心，业务支撑中心或地市工号管理员对该人员在BOSS应用系统中的账号进行删除或禁止使用处理。SN06.BOSS.L.1.17管理层审阅：每半年使用BOSS应用系统的各部门及地市分公司，应对BOSS系统普通用户账号进行审阅。由各部门工号管理员或授权人员对BOSS系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。业务支撑中心BOSS系统管157、理员负责审阅省公司的BOSS普通用户，审阅结果归档到业务支撑中心。地市公司系统管理员负责组织审阅本市的BOSS普通用户，审阅结果归档到市公司备查。SN06.BOSS.L.1.18管理层审阅每隔半年以及业务流程发生重大变更时，由业务支撑中心提供BOSS系统用户的访问权限清单（所赋用户角色），并交由相关业务部门主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责（如应用层管理员应独立于操作系统层和数据库层管理员），应及时通知所在部门工号管理员，对用户的权限进行调整。SN06.BOSS.L.1.19管理层审阅创立新用户角色或对用户组或用户角色定义进行修改时，应考158、虑不相容职责分工原则（如应用层管理员应独立于操作系统层和数据库层管理员），由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.1 经营分析系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责经营分析系统管理的信息技术部门 (业务支撑中心), 经营分析系统使用部门（市场经营部门、数据部、财务部、网络部、地市公司、）。二、涉及的应用系统和重要的电子表格 经营分析系统三、目标1对于159、与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未160、经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 经营分析系统应通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。 (控制点SN06.BI.L.1.3)1.2. 根据公司相关经营分析系统的管理规定，（如“XX业务运营支撑系统维护规程”），经营分析系统对系统的密码规则设161、置系统控制，用户密码长度不得低于6位，用户密码应至少每90天进行更新，密码须由数字、字母组成。(控制点SN06.BI.L.1.5)1.3. 经营分析系统中的操作系统、数据库系统、应用系统的系统管理员，及根用户、安全管理员账号、批处理用户账号等超级用户账号由业务支撑中心分管负责人负责审批授权，并留有书面审批记录。业务支撑中心负责人对经营分析系统超级用户的授权审批应建立正式的书面审批表格。业务支撑中心负责人应对经营分析系统超级用户的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。系统中不存在第三方超级用户帐号，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三162、方厂商能够执行XX移动的安全控制要求。XX移动应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。(控制点SN06.BI.L.1.7)1.4. 经营分析系统应用系统管理员的建立需通过业务支撑中心主管的审批。应用层超级管理员账号都应通过正式公文签字授权，且业务支撑中心负责人或授权第三方人员应对经营分析系统应用系统管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。对应用系统层超级用户的账户的访问根据工作职责仅限于经授权的系统管理人员。(控制点SN06.BI.L.1.8)1.5. 经营分析系统在对于操作系统层及应163、用系统层管理层定义的与财务报表相关的操作留有系统操作日志。系统日志应由业务支撑中心根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由业务支撑中心安全管理员负责每月进行审核。此外对经营分析系统数据库的直接访问修改留有系统记录，并由安全管理员每月对数据库操作记录进行审核。如由于系统限制无法对数据库系统相关操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。(控制点SN06.BI.L.1.12)2. 用户账号的添加、修改及删除控制2.1. 公司制164、定了XX移动业务支撑系统安全管理制度对经营分析系统用户账号管理进行规定, 包括了经营分析系统中用户账号的创建、修改管理的相关内容。经营分析系统普通用户账号管理由经营分析系统应用系统管理员负责。在经营分析系统中新建账号或对账号的权限进行调整，须由业务支撑中心相关负责人对需求申请（包括公文、账号变更申请表等格式）审批确认后，交由应用系统管理员账号在经营分析系统中进行设置账号。 (控制点SN06.BI.L.1.15)2.2. 职工工作调动或离职时，由相关业务部门负责人或人力资源部发正式通知给业务支撑中心，业务支撑中心应用系统管理员对该人员在经营分析应用系统中的账号进行禁止使用处理。 (控制点SN06165、.BI.L.1.16)3. 普通用户账号的定期审阅3.1. 地市业务部门管理人员或授权人员应对经营分析系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点SN06.BI.L.1.17)七、流程主要控制点SN06.BI.L.1.3系统设置经营分析系统应通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。SN06.BI.L.1.5系统设置根据公司相关经营分析系统的管理规定，（如“XX业务运营支撑系统维护规程”），经营分析系统对系统的密码规则设置系统控制，用户密码长度不得低于6位，用户密码应至少每90天进行更新，密码须由数字、字母组成。SN06166、.BI.L.1.7授权及批准经营分析系统中的操作系统、数据库系统、应用系统的系统管理员，及根用户、安全管理员账号、批处理用户账号等超级用户账号由业务支撑中心分管负责人负责审批授权，并留有书面审批记录。业务支撑中心负责人对经营分析系统超级用户的授权审批应建立正式的书面审批表格。业务支撑中心负责人应对经营分析系统超级用户的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。系统中不存在第三方超级用户帐号，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX移动的安全控制要求。XX移动应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如167、系统开发人员和维护人员的职责分工）。XX移动对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导或安全管理员授权，临时开通远程登录功能，并对远程登录操作进行监控并事后及时审阅相应的操作日志或操作记录。在操作完成后，值班人员及时终止远程登录。SN06.BI.L.1.8授权及批准经营分析系统应用系统管理员的建立需通过业务支撑中心主管的审批。应用层超级管理员账号都应通过正式公文签字授权，且业务支撑中心负责人或授权第三方人员应对经营分析系统应用系统管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行168、调整。对应用系统层超级用户的账户的访问根据工作职责仅限于经授权的系统管理人员。SN06.BI.L.1.12管理层审阅经营分析系统在对于操作系统层及应用系统层管理层定义的与财务报表相关的操作留有系统操作日志。系统日志应由业务支撑中心根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由业务支撑中心安全管理员负责每月进行审核。此外对经营分析系统数据库的直接访问修改留有系统记录，并由安全管理员每月对数据库操作记录进行审核。如由于系统限制无法对数据库系统相关操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系统的重要操作169、得到有效的记录。并由安全管理员对相关记录每月进行定期审核。SN06.BI.L.1.15授权及批准公司制定了XX移动业务支撑系统安全管理制度对经营分析系统用户账号管理进行规定, 包括了经营分析系统中用户账号的创建、修改管理的相关内容。经营分析系统普通用户账号管理由经营分析系统应用系统管理员负责。在经营分析系统中新建账号或对账号的权限进行调整，须由业务支撑中心相关负责人对需求申请（包括公文、账号变更申请表等格式）审批确认后，交由应用系统管理员账号在经营分析系统中进行设置账号。SN06.BI.L.1.16授权及批准职工工作调动或离职时，由相关业务部门负责人或人力资源部发正式通知给业务支撑中心，业务支170、撑中心应用系统管理员对该人员在经营分析应用系统中的账号进行禁止使用处理。SN06.BI.L.1.17管理层审阅地市业务部门管理人员或授权人员应对经营分析系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。3.1.2 MIS系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责MIS系统管理的信息技术部门（数据信息中心）、MIS系统使用部门 （财务部门、市场经营部、物资采购中心、计划建设部、人力资源部门）。二、涉及的应用系统和重要的电子表格 MIS系统三、目标1对于与财务报告171、相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访172、问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. MIS应用系统通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。(控制点SN06.MIS.L.1.3)1.2. 根据XX总部XXMIS系统维护管理规定，MIS系统在系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字、173、字母组成。密码每90天必须进行更新。(控制点SN06 .MIS.L.1.5)1.3. MIS系统中的操作系统、数据库系统的系统管理员等超级用户账号由XX移动数据数据信息中心网络部相关领导书面审批授权。授权需填写相关授权表。数据中心网络部相关领导对MIS系统管理员的清单根据系统的重要程度每半年进行复核并签字确认。对于系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX移动的安全控制要求。XX移动对第三方用户帐号发生变更时进行检查，以保证第三方帐号得到有效控制。目前对XX移动进行远程登录的第三方均为经过XX集团总部审批授权的厂商，第三方已经174、和XX集团总部签订了相应的保密协议，远程登录需通过集团总部内网地址，不接受外网地址的登录。MIS系统没有预设帐号。(控制点SN06.MIS.L.1.7)1.4. MIS系统中应用系统管理员权限的授予需填写相关申请表。XX移动数据中心网络部相关领导书面审批授权。XX移动数据中心网络部相关领导对MIS系统应用系统管理员的清单每半年进行复核并签字确认。(控制点SN06 .MIS.L.1.8)1.5. 对于MIS系统日志，包括操作系统层，数据库层（对MIS系统数据库的直接访问修改留有系统记录）和应用系统层日志。操作系统层，数据层日志应由企业信息化部门根据风险和重要性的原则确定检查内容（如未授权操作、异175、常操作时点，异常发生频率等），由独立于系统管理员的人员提取，并由数据中心网络部安全管理员每月对日志进行审核。应用层日志由业务部门根据风险和重要性的原则确定检查内容（如业务已成逻辑，关键业务监控点等），由独立于系统管理员的人员提取，由业务部门对应用层日志进行审阅。(控制点SN06 .MIS.L.1.12)2. 用户账号的添加、修改及删除控制2.1. XX移动根据XX总部制定的XXMIS维护管理规定进行MIS应用系统中账号的创建、修改管理，MIS系统普通用户账号管理由XX移动数据信息中心MIS系统管理员负责。在MIS系统中新建账号或对账号的权限进行调整，须由业务部门主管对相关授权表审批确认后，由M176、IS系统管理员在MIS系统中进行设置。XX移动建立了用户及其权限设置的管理流程，对用户创建和授权必须由业务部门主管对MIS系统用户权限更改申请审批确认后，方可由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建和修改。(控制点SN06 .MIS.L.1.15)当员工离职或部门调动时，由人力资源部或相关部门负责人正式书面通知信息化责任部门，由该员工业务部门主管对相关授权表审批确认后，由MIS系统管理员在MIS系统中进行该员工的用户权限的变更或账号禁止使用操作。(控制点SN06L.MIS.1.16)3. 普通用户账号的定期审阅3.1. 对MIS系统普通用户账号进行定期审阅控制, 系177、统管理员每半年从系统提取用户账号相关信息，通过正式公文发给各单位确认，并返回给信息化部门。 (控制点SN06.MIS.L.1.17)3.2. 公司对MIS系统普通用户帐号不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)的定期审阅是由系统管理员每半年从系统提取用户帐号职责信息，通过正式公文发给各单位确认，并返回给信息化部门。(控制点SN06.MIS.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合178、理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点SN06.MIS.L.1.19)七、流程主要控制点SN06.MIS.L.1.3系统设置MIS应用系统通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。SN06.MIS.L.1.5系统设置根据XX总部XXMIS系统维护管理规定，MIS系统在系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字、字母组成。密码每90天必须进行更新。SN06.MIS.L.1.7授权及批准MIS系统中的操作系统、数据库系统的系统管理员等超级用户账号由XX移动数据数据信息中心网络部相关179、领导书面审批授权。授权需填写相关授权表。数据中心网络部相关领导对MIS系统管理员的清单根据系统的重要程度每半年进行复核并签字确认。对于系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX移动的安全控制要求。XX移动对第三方用户帐号发生变更时进行检查，以保证第三方帐号得到有效控制。目前对XX移动进行远程登录的第三方均为经过XX集团总部审批授权的厂商，第三方已经和XX集团总部签订了相应的保密协议，远程登录需通过集团总部内网地址，不接受外网地址的登录。MIS系统没有预设帐号。SN06.MIS.L.1.8授权及批准MIS系统中应用系统管理员权限180、的授予需填写相关申请表。XX移动数据中心网络部相关领导书面审批授权。XX移动数据中心网络部相关领导对MIS系统应用系统管理员的清单每半年进行复核并签字确认。SN06.MIS.L.1.12管理层审阅对于MIS系统日志，包括操作系统层，数据库层（对MIS系统数据库的直接访问修改留有系统记录）和应用系统层日志。操作系统层，数据层日志应由企业信息化部门根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率等），由独立于系统管理员的人员提取，并由数据中心网络部安全管理员每月对日志进行审核。应用层日志由业务部门根据风险和重要性的原则确定检查内容（如业务已成逻辑，关键业务监控点等），由181、独立于系统管理员的人员提取，由业务部门对应用层日志进行审阅。SN06.MIS.L.1.15授权及批准XX移动根据XX总部制定的XXMIS维护管理规定进行MIS应用系统中账号的创建、修改管理，MIS系统普通用户账号管理由XX移动数据信息中心MIS系统管理员负责。在MIS系统中新建账号或对账号的权限进行调整，须由业务部门主管对相关授权表审批确认后，由MIS系统管理员在MIS系统中进行设置。XX移动建立了用户及其权限设置的管理流程，对用户创建和授权必须由业务部门主管对MIS系统用户权限更改申请审批确认后，方可由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建和修改。SN06.MIS182、.L.1.16授权及批准当员工离职或部门调动时，由人力资源部或相关部门负责人正式书面通知信息化责任部门，由该员工业务部门主管对相关授权表审批确认后，由MIS系统管理员在MIS系统中进行该员工的用户权限的变更或账号禁止使用操作。SN06 .MIS.L.1.17管理层审阅对MIS系统普通用户账号进行定期审阅控制, 系统管理员每半年从系统提取用户账号相关信息，通过正式公文发给各单位确认，并返回给信息化部门。SN06.MIS.L.1.18管理层审阅公司对MIS系统普通用户帐号不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)的定期审阅是由系统管理员每半年从系统提取用户帐号职责信息，通过正式183、公文发给各单位确认，并返回给信息化部门。SN06.MIS.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.3 OA系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责OA系统管理、维护的信息技术部门（建设部、数据信息中心）OA系184、统使用部门（财务部、市场经营部、数据部、网络部、内审部、纪检组/监察室、人力资源部、综合部、党群工作部、工会，各分公司、各直属单位）。二、涉及的应用系统和重要的电子表格OA系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理办法并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关程序以保证用户添加、修改、删除的及时性以减少因未及时进行变更而导致的对公司财务报告相关的应用系统或数据的未经授权或不适当访问的风险。4合理确保定期对系统中的用户的访问权限进185、行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1对信息资源的未经授权的访问, 非法修改系统数据。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 数据信息中心在OA应用系统建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号，通过用户名和密码实现登录认证。系统中不允许建立共享用户名。(控制点SN06.OA.L.1.3)1.2. OA系统对系统的密码规则设置系统控制，密码长度应在6位以上，密码应由数字、字母组成，密码应至少每90天186、进行更新。(控制点SN06.OA.L.1.5)1.3. OA系统中的操作系统、数据库系统的系统管理员等超级用户账号由OA系统管理部门负责人根据不同的分工授权给相关人员，如OA系统管理员。部门负责人对系统超级管理员的授权审批应建立正式的书面审批表格。数据信息中心主任对系统超级管理员每半年进行重新授权，对多余或不恰当的账号进行调整。目前OA系统中无预设账号、无第三方超级用户、无第三方远程登录。(控制点SN06.OA.L.1.7)1.4. OA系统中的应用系统层超级用户的账户由OA系统管理部门负责人根据不同的分工来授权给相关人员。XX移动已建立了正式的应用层管理员管理办法及名单定期上报制度，规定对应187、用系统管理员应每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。应用系统管理员账号的建立由公司内部系统管理员进行。 (控制点SN06 .OA.L.1.8)1.5. OA系统在对于数据库层、操作系统层及应用系统层管理层相关的操作留有系统操作日志，对于OA操作系统层、数据库层的操作日志应由独立于系统管理员的人员提取，并由信息化责任部门安全管理员负责每月进行审核，并签字确认。如由于系统限制无法对系统相关操作进行自动日志记录的，XX已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录，并由安全管理员对相关记录每周/月进行定期审核。(控制点SN06 .OA.L.1.12)2. 用户账号188、的添加、修改及删除控制2.1. OA系统管理员根据人力资源部下发的正式公文进行相关账户的建立, 由OA系统管理员在OA系统中进行设置。 (控制点SN06 .OA.L .1.15)2.2. 职工工作调动或离职等工作职能发生变化时，人力资源部门负责发正式公文给OA系统管理部门，OA系统管理部门确认后，由OA系统管理员在OA系统中进行删除处理。(控制点SN06 .OA.L.1.16)3. 普通用户账号的定期审阅3.1. 人力资源部门及业务部门主管或授权人员对OA系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点SN06.OA.L.1.17)3.2. 公司每半年189、及业务流程发生重大变更时，应由OA系统管理部门打印OA系统用户的访问权限清单，并交由相关业务部门主管，对用户权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)，应及时通知OA系统管理部门，对用户权限进行调整。(控制点SN06.OA.L.1.18)4. 职责分工4.1. 创立新的流程或对现有流程进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，由业务部门主管（或经授权人员）对新的流程进行审阅并签字确认，以合理确保系统中各角色的职责不相容。系统管理员根据经审批的新流程，在系统中设置190、角色职责(控制点SN06.OA.L.1.19)七、流程主要控制点SN06.OA.L.1.3系统设置数据信息中心在OA应用系统建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号，通过用户名和密码实现登录认证。系统中不允许建立共享用户名。SN06.OA.L.1.5系统设置OA系统对系统的密码规则设置系统控制，密码长度应在6位以上，密码应由数字、字母组成，密码应至少每90天进行更新。SN06.OA.L.1.7授权及批准OA系统中的操作系统、数据库系统的系统管理员等超级用户账号由OA系统管理部门负责人根据不同的分工授权给相关人员，如OA系统管理员。部门负责人对系191、统超级管理员的授权审批应建立正式的书面审批表格。数据信息中心主任对系统超级管理员每半年进行重新授权，对多余或不恰当的账号进行调整。目前OA系统中无预设账号、无第三方超级用户、无第三方远程登录。SN06.OA.L.1.8授权及批准OA系统中的应用系统层超级用户的账户由OA系统管理部门负责人根据不同的分工来授权给相关人员。XX移动已建立了正式的应用层管理员管理办法及名单定期上报制度，规定对应用系统管理员应每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。应用系统管理员账号的建立由公司内部系统管理员进行。SN06.OA.L.1.12管理层审阅OA系统在对于数据库层、操作系统层及应用系统层管理192、层相关的操作留有系统操作日志，对于OA操作系统层、数据库层的操作日志应由独立于系统管理员的人员提取，并由信息化责任部门安全管理员负责每月进行审核，并签字确认。 如由于系统限制无法对系统相关操作进行自动日志记录的，XX已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录，并由安全管理员对相关记录每周/月进行定期审核。SN06.OA.L.1.15授权及批准OA系统管理员根据人力资源部下发的正式公文进行相关账户的建立, 由OA系统管理员在OA系统中进行设置。SN06.OA.L.1.16授权及批准职工工作调动或离职等工作职能发生变化时，人力资源部门负责发正式公文给OA系统管理部门，OA系统管193、理部门确认后，由OA系统管理员在OA系统中进行删除处理。SN06.OA.L.1.17管理层审阅人力资源部门及业务部门主管或授权人员对OA系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。SN06.OA.L.1.18管理层审阅公司每半年及业务流程发生重大变更时，应由OA系统管理部门打印OA系统用户的访问权限清单，并交由相关业务部门主管，对用户权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)，应及时通知OA系统管理部门，对用户权限进行调整。SN06.OA.L.1.19职责分工创立新的流程194、或对现有流程进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，由业务部门主管（或经授权人员）对新的流程进行审阅并签字确认，以合理确保系统中各角色的职责不相容。系统管理员根据经审批的新流程，在系统中设置角色职责3.1.4 彩铃系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责彩铃系统管理的信息技术部门（网络维护管理中心）、彩铃系统使用部门（数据信息中心）、数据部、业务支撑中心。二、涉及的应用系统和重要的电子表格彩铃系统 三、目标1对于与财务报告相关的信息，公司应195、制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统196、数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的这责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 彩铃应用系统通过用户名和密码实现登录认证，系统中除低级别查询用户外不允许建立共享用户名。(控制点SN06.CL.L.1.3)1.2. 根据XX网络运行维护规程，彩铃系统应在系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字字母组成，至少每90天进行更新。197、对于因系统限制暂时无法在系统中建立密码规则的情况，管理层应建立相应的密码每季度检查制度以保证密码政策的有效执行。(控制点SN06.CL.L.1.5)1.3. 彩铃系统操作系统级和数据库层超级用户账号，由彩铃设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为 1）账号需网维中心相关主管人员正式书面审批批准。网维中心相关负责人对系统超级管理员的清单根据系统的重要程度每季度进行复核并签字确认，并对多余或不恰当的账号进行调整。彩铃系统中不存在预设的用户帐号。对于系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制198、要求。XX应对第三方用户帐号进行每季度的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。(控制点SN06 .CL.L.1.7)1.4. 应用系统管理员由数据信息中心专人负责管理，应用系统管理员的授权需通过正式公文申请，并经过数据信息中心主管的审批。系统管理员发生变更时，由原应用系统管理员移交账号和密码，新管理员199、对账号密码及时进行修改。应用层超级管理员账号都通过正式公文签字授权，且数据部主管或授权第三方人员对彩铃系统应用层超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点SN06 .CL.L.1.8)1.5. 彩铃系统由于系统限制无法对系统相关操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由技术主管对相关记录每月进行定期审核。 (控制点SN06.CL.L.1.12)2. 用户账号的添加、修改及删除控制2.1. 根据“彩铃管理办法”的相关账户管理规定，彩铃应用系统中账号的创建、修改管理，彩铃系统普通用户账号（200、包括业务前台操作员和SP操作用户）管理由数据信息中心应用系统管理员负责。在彩铃系统中新建业务前台操作员账号或对账号的权限进行调整，须由数据部数据信息中心主管对需求申请（包括公文、工号变更申请表等格式）审批确认后，由数据部数据信息中应用系统管理员在彩铃系统中进行设置。对SP操作用户账户的创建或权限调整，需由数据部数据信息中心主管对SP发出的账户申请（如合同等）审批确认后，编制SP账户创建公文，由数据部数据信息中心应用系统管理员根据公文的要求，在彩铃系统中进行设置。 (控制点SN06.CL.L.1.15)2.2. 职工工作调动或离职等工作职能发生变化时，企业人力资源部或相关部门负责发正式通知给所在201、部门，由数据信息中心应用系统管理员对该人员在彩铃应用系统中的账号进行删除或禁止使用处理。当SP终止服务或合同终止，由数据部门主管确认后发出公文，并由数据信息中心应用系统管理员根据公文要求对SP用户在彩铃应用系统中的账号进行删除或禁止使用处理。(控制点SN06.CL.L.1.16)3. 普通用户账号的定期审阅XX移动制定了“彩铃管理办法”，对普通用户帐号的权限每季度进行审核。由应用系统管理员打印彩铃系统普通用户清单，由数据部门主管审阅是否存在多余或不恰当的账号并签字确认。如果发现存在多余或不恰当的账号，数据部门主管将通知应用系统管理员进行相应处理。(控制点SN06 .CL.L.1.17)七、流程202、主要控制点SN06 .CL.L.1.3系统设置彩铃应用系统通过用户名和密码实现登录认证，系统中除低级别查询用户外不允许建立共享用户名。SN06 .CL.L.1.5系统设置根据XX网络运行维护规程，彩铃系统应在系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字字母组成，至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层应建立相应的密码每季度检查制度以保证密码政策的有效执行。SN06 .CL.L.1.7授权及批准彩铃系统操作系统级和数据库层超级用户账号，由彩铃设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为 1）账号需网维中心相关主管203、人员正式书面审批批准。网维中心相关负责人对系统超级管理员的清单根据系统的重要程度每季度进行复核并签字确认，并对多余或不恰当的账号进行调整。彩铃系统中不存在预设的用户帐号。对于系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX应对第三方用户帐号进行每季度的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及204、时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。SN06 .CL.L.1.8授权及批准应用系统管理员由数据信息中心专人负责管理，应用系统管理员的授权需通过正式公文申请，并经过数据信息中心主管的审批。系统管理员发生变更时，由原应用系统管理员移交账号和密码，新管理员对账号密码及时进行修改。应用层超级管理员账号都通过正式公文签字授权，且数据部主管或授权第三方人员对彩铃系统应用层超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。SN06 .CL.L.1.12管理层审阅彩铃系统由于系统限制无法对系统相关操作进行自动日志记录的，XX移动应建立相关205、的监控流程，以保证对于系统的重要操作得到有效的记录。并由技术主管对相关记录每月进行定期审核。SN06 .CL.L.1.15授权及批准根据“彩铃管理办法”的相关账户管理规定，彩铃应用系统中账号的创建、修改管理，彩铃系统普通用户账号（包括业务前台操作员和SP操作用户）管理由数据信息中心应用系统管理员负责。在彩铃系统中新建业务前台操作员账号或对账号的权限进行调整，须由数据部数据信息中心主管对需求申请（包括公文、工号变更申请表等格式）审批确认后，由数据部数据信息中应用系统管理员在彩铃系统中进行设置。对SP操作用户账户的创建或权限调整，需由数据部数据信息中心主管对SP发出的账户申请（如合同等）审批确认后206、，编制SP账户创建公文，由数据部数据信息中心应用系统管理员根据公文的要求，在彩铃系统中进行设置。SN06 .CL.L.1.16授权及批准职工工作调动或离职等工作职能发生变化时，企业人力资源部或相关部门负责发正式通知给所在部门，由数据信息中心应用系统管理员对该人员在彩铃应用系统中的账号进行删除或禁止使用处理。当SP终止服务或合同终止，由数据部门主管确认后发出公文，并由数据信息中心应用系统管理员根据公文要求对SP用户在彩铃应用系统中的账号进行删除或禁止使用处理。SN06 .CL.L.1.17管理层审阅XX移动制定了“彩铃管理办法”，对普通用户帐号的权限每季度进行审核。由应用系统管理员打印彩铃系统普207、通用户清单，由数据部门主管审阅是否存在多余或不恰当的账号并签字确认。如果发现存在多余或不恰当的账号，数据部门主管将通知应用系统管理员进行相应处理。3.1.5 智能网系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责智能网系统管理的信息技术部门（网络维护管理中心）、智能网系统使用部门（市场经营部）、业务支撑中心。二、涉及的应用系统和重要的电子表格智能网系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起208、通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或209、不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 智能网系统通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。(控制点SN06.ZNW.L.1.3)1.2. 根据安全保障规范规定，智能网系统应在系统中设置用户密码由数字及写字母组成、长度不得低于6位、至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层应建立相应的密码每季度检查制度以保证密码政策的有效执行。(控制点SN06.210、ZNW.L.1.5)1.3. 智能网系统操作系统级和数据库层超级用户账号，由智能网设备维护人员统一进行管理、设置和分配，需由网维中心领导正式书面审批。重要系统设备的特权口令（如UID为0）帐号需报维护主管人员批准。安全技术管理人员在每季度对各设备的超级用户权限设置情况进行检查审计。网维中心相关负责人对系统超级管理员的清单每季度进行复核并签字确认，并对多余或不恰当的账号进行调整。智能网系统中不存在预设的用户帐号。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有211、效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。(控制点SN06 .ZNW.L.1.7)1.4. 网络部智能网应用系统管理员的创建需由网维中心维护领导批准。业务部门应用系统管理员由市场经营部门进行管理，业务部门应用系统管理员权限的授予需通过正式的公文申请，并经过市场经营部门主管和网络部主管审批后，由网络部应用系统管理员在系统中创建账号。应212、用层超级管理员账号都应通过正式公文签字授权，且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点SN06 .ZNW.L.1.8)1.5. 目前智能网系统由于系统限制无法对系统相关操作进行自动日志记录的，XX移动已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。(控制点SN06 .ZNW.L.1.12)2. 用户账号的添加、修改及删除控制2.1. 智能网系统应用层普通用户账号须由市场经营部门主管对需求申请（包括公文、账号变更申请表等格式）审批确认后，213、由市场经营部门授权的智能网系统应用系统管理员在系统中进行设置。对于智能网系统用户应按个人创建单独的用户账号，账号的创建应由部门主管书面批准。(控制点SN06 .ZNW.L.1.15)2.2. 职工工作调动或离职时，企业人力资源部负责发正式通知给所在部门，所在部门工号管理员对该人员在智能网应用系统中的账号进行删除或禁止使用处理。 (控制点SN06 .ZNW.L.1.16) 3. 普通用户账号的定期审阅3.1. 在按个人创建系统账号的基础上，智能网系统应用系统管理员或授权人员应对智能网系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点SN06 .ZNW.L.214、1.17)3.2. 公司每半年及业务流程发生重大变更时，由智能网应用系统管理员打印用户账号及访问权限清单，并交由市场经营部门主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责，应及时通知应用系统管理员，对用户的权限进行调整。(控制点SN06 .ZNW.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权215、限，在系统中设置用户角色权限。(控制点SN06 .ZNW.L.1.19)七、流程主要控制点SN06.ZNWL.1.3系统设置智能网系统通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。SN06.ZNW.L.1.5系统设置根据安全保障规范规定，智能网系统应在系统中设置用户密码由数字及写字母组成、长度不得低于6位、至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层应建立相应的密码每季度检查制度以保证密码政策的有效执行。SN06.ZNW.L.1.7授权及批准智能网系统操作系统级和数据库层超级用户账号，由智能网设备维护人员统一进行管理、设置和分配，需由网216、维中心领导正式书面审批。重要系统设备的特权口令（如UID为0）帐号需报维护主管人员批准。安全技术管理人员在每季度对各设备的超级用户权限设置情况进行检查审计。网维中心相关负责人对系统超级管理员的清单每季度进行复核并签字确认，并对多余或不恰当的账号进行调整。智能网系统中不存在预设的用户帐号。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行217、操作及更新，值班人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。SN06.ZNW.L.1.8授权及批准网络部智能网应用系统管理员的创建需由网维中心维护领导批准。业务部门应用系统管理员由市场经营部门进行管理，业务部门应用系统管理员权限的授予需通过正式的公文申请，并经过市场经营部门主管和网络部主管审批后，由网络部应用系统管理员在系统中创建账号。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并218、签字确认，并对多余或不恰当的账号进行调整。SN06.ZNW.L.1.12管理层审阅目前智能网系统由于系统限制无法对系统相关操作进行自动日志记录的，XX移动已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。SN06.ZNW.L.1.15授权及批准智能网系统应用层普通用户账号须由市场经营部门主管对需求申请（包括公文、账号变更申请表等格式）审批确认后，由市场经营部门授权的智能网系统应用系统管理员在系统中进行设置。对于智能网系统用户应按个人创建单独的用户账号，账号的创建应由部门主管书面批准。SN06.ZNW.L.1.16授权及批准职工工作调动或离219、职时，企业人力资源部负责发正式通知给所在部门，所在部门工号管理员对该人员在智能网应用系统中的账号进行删除或禁止使用处理。SN06.ZNW.L.1.17管理层审阅在按个人创建系统账号的基础上，智能网系统应用系统管理员或授权人员应对智能网系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。SN06.ZNW.L.1.18管理层审阅公司每半年及业务流程发生重大变更时，由智能网应用系统管理员打印用户账号及访问权限清单，并交由市场经营部门主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责，应及时通知应用系统管理员，对用户的权限进行调整。220、SN06.ZNW.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.6 MISC系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责MISC系统管理的信息技术部门：数据部，数据信息中心。二、涉及的应用系统和重要的电子表格MISC221、系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，222、导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 目前MISC系统的相关应用数据输入通过SIMS系统实现，SIMS 的登陆是通过输入用户名与密码实现，不存在共享用户名。(控制点SN06.MISC.L.1.3)1.2. 根据网络安全维护管理规定，MISC系统应制定密码政策223、和规则并在系统中进行相应设置，包括口令由不少于6位的字母、数字等字符组成。密码至少每90天进行更新。对于因系统限制暂时无法在系统中建立定期修改密码规则的情况，管理层应建立相应的密码每季度检查制度以保证密码被定期修改。(控制点SN06.MISC.L.1.5)1.3. MISC系统操作系统级和数据库层超级用户账号，由MISC设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为0）账户需报数据中心维护主管人员批准。数据中心安全技术管理人员在每季度对各设备的用户权限设置情况进行检查审计。MISC系统不存在预设帐号。XX移动应和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执224、行XX移动的安全控制要求。XX移动应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）XX移动对第三方远程登录使用超级用户帐号访问应建立严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。对第三方远程登录使用普通用户帐号访问的情况，XX移动确保该类帐号都得到管理层授权，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。(控制点SN06.MISC.L.1.7)1225、.4. 目前MISC系统的应用系统管理员由数据部梦网业务管理人员管理。省公司应用系统管理员权限的授予需通过正式公文申请，并经过数据部主管的审批后，将应用系统管理员账号及密码授予授权人员。XX移动不存在SPOA地市公司应用系统管理员账号。地市SPOA应用系统由省公司数据中心SPOA管理员管理。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点SN06.MISC.L.1.8)1.5. 目前MISC系统在操作系统层、数据库层及应用系统层均已建立系统日志，系统中对226、管理层定义的与财务报表相关的操作均有系统日志进行记录。系统的日志记录了任何与安全相关的事件，比如试图修改系统文件和文件属性，试图猜测口令、关键应用系统文件的改变、增加和改变用户属性、系统启动和关闭等。所有系统特权命令的使用都被全面的记录。日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。系统日志应由信息系统部门根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由安全技术管理人员对于MISC系统日志进行的审核每月定期进行，并留下检查记录以合理确保所有与账务报表相关的操作均为合227、法及获授权的。卓望公司建立一套日志审计系统，对操作系统和数据库的日志进行记录，记录了与安全相关是事件。 卓望公司每半月把审计日志发给MISC维护人员。由安全管理员对相关记录每月进行定期审核。(控制点SN06.MISC.L.1.12)2. 用户账号的添加、修改及删除控制2.1. MISC应用系统普通用户账号管理由数据部梦网业务管理员负责。在MISC系统中新建账号或对账号的权限进行调整，由系统管理员在OA系统接到经数据业务管理部门主管审批后的员工调动调函后, 根据职责在系统中进行设置；对于MISC应用系统用户应按个人创建单独的用户账号，由系统管理员在接到由部门主管书面批准的员工调动调函后在系统中直228、接创建。(控制点SN06.MISC.L.1.15)2.2. 职工工作调动或离职时，系统管理员根据OA系统传递的企业人力资源部或数据信息中心内部的员工调动函在MISC系统中对该人员在MISC应用系统中的账号进行删除或禁止使用处理。(控制点SN06.MISC.L.1.16)3. 普通用户账号的定期审阅3.1. 在按个人创建系统账号的基础上，MISC应用系统管理员或授权人员对MISC系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点SN06.MISC.L.1.17)3.2. 公司每半年及业务流程发生重大变更时，应由MISC应用系统管理员打印用户账号及访问权限清229、单，并交由数据业务管理部门主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员（注：应用管理层（SIMS系统）已经与操作系统层和数据库层（MISC系统）分离，SIMS系统已经由业务支撑中心进行管理）)，应及时通知MISC应用系统管理员，对用户的权限进行调整。(控制点SN06.MISC.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员（注：应用管理层（SIMS系统）已经与操作系统层和数据库层（MI230、SC系统）分离，SIMS系统已经由业务支撑中心进行管理）)，由业务部门主管（或经授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点SN06.MISC.L.1.19)七、流程主要控制点SN06.MISC.L.1.3系统设置目前MISC系统的相关应用数据输入通过SIMS系统实现，SIMS 的登陆是通过输入用户名与密码实现，不存在共享用户名。SN06.MISC.L.1.5系统设置根据网络安全维护管理规定，MISC系统应制定密码政策和规则并在系统中进行相应设置，包括口令由不少于6位的字母、数231、字等字符组成。密码至少每90天进行更新。对于因系统限制暂时无法在系统中建立定期修改密码规则的情况，管理层应建立相应的密码每季度检查制度以保证密码被定期修改。SN06.MISC.L.1.7授权及批准MISC系统操作系统级和数据库层超级用户账号，由MISC设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为0）账户需报数据中心维护主管人员批准。数据中心安全技术管理人员在每季度对各设备的用户权限设置情况进行检查审计。MISC系统不存在预设帐号。XX移动应和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX移动的安全控制要求。XX移动应对第三方用户帐号进行定期的检查，以232、保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）XX移动对第三方远程登录使用超级用户帐号访问应建立严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。对第三方远程登录使用普通用户帐号访问的情况，XX移动确保该类帐号都得到管理层授权，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。SN06.MISC.L.1.8授权及批准目前MISC系统的应用系统管理员由数据部梦网业务管理人员管理。省公司应用233、系统管理员权限的授予需通过正式公文申请，并经过数据部主管的审批后，将应用系统管理员账号及密码授予授权人员。XX移动不存在SPOA地市公司应用系统管理员账号。地市SPOA应用系统由省公司数据中心SPOA管理员管理。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。SN06.MISC.L.1.12管理层审阅目前MISC系统在操作系统层、数据库层及应用系统层均已建立系统日志，系统中对管理层定义的与财务报表相关的操作均有系统日志进行记录。系统的日志记录了任何与安全相关的事234、件，比如试图修改系统文件和文件属性，试图猜测口令、关键应用系统文件的改变、增加和改变用户属性、系统启动和关闭等。所有系统特权命令的使用都被全面的记录。日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。系统日志应由信息系统部门根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由安全技术管理人员对于MISC系统日志进行的审核每月定期进行，并留下检查记录以合理确保所有与账务报表相关的操作均为合法及获授权的。卓望公司建立一套日志审计系统，对操作系统和数据库的日志进行记录，记录了与安235、全相关是事件。 卓望公司每半月把审计日志发给MISC维护人员。由安全管理员对相关记录每月进行定期审核。 SN06.MISC.L.1.15授权及批准MISC应用系统普通用户账号管理由数据部梦网业务管理员负责。在MISC系统中新建账号或对账号的权限进行调整，由系统管理员在OA系统接到经数据业务管理部门主管审批后的员工调动调函后, 根据职责在系统中进行设置；对于MISC应用系统用户应按个人创建单独的用户账号，由系统管理员在接到由部门主管书面批准的员工调动调函后在系统中直接创建。SN06.MISC.L.1.16授权及批准职工工作调动或离职时，系统管理员根据OA系统传递的企业人力资源部或数据信息中心内部236、的员工调动函在MISC系统中对该人员在MISC应用系统中的账号进行删除或禁止使用处理。SN06.MISC.L.1.17管理层审阅在按个人创建系统账号的基础上，MISC应用系统管理员或授权人员对MISC系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。SN06.MISC.L.1.18管理层审阅公司每半年及业务流程发生重大变更时，应由MISC应用系统管理员打印用户账号及访问权限清单，并交由数据业务管理部门主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员（注：应用管理层（SIM237、S系统）已经与操作系统层和数据库层（MISC系统）分离，SIMS系统已经由业务支撑中心进行管理）)，应及时通知MISC应用系统管理员，对用户的权限进行调整。SN06.MISC.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员（注：应用管理层（SIMS系统）已经与操作系统层和数据库层（MISC系统）分离，SIMS系统已经由业务支撑中心进行管理）)，由业务部门主管（或经授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中238、设置用户角色权限。3.1.7 久其报表系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围财务部门二、涉及的应用系统和重要的电子表格久其报表系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权239、限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别240、1.1. 久其系统是财政部统一规定使用的年报系统，由久其公司统一开发并测试。XX将其适用于财务月报（MIS系统月报功能正式上线前）及年报上。该软件为单机版，XX移动根据需求量直接向久其公司购买该系统。该系统并无用户访问的身份识别之功能，只要在个人计算机上安装该系统，用户便可以直接使用。公司为安装有久其系统的个人计算机设置唯一用户账号。(控制点SN.JQ.06.L.1.3)1.2. 久其系统并无用户访问的身份识别之功能，而对安装有久其系统的个人计算机已设置6位或以上的密码。(控制点SN.JQ.06.L.1.5)七、流程主要控制点SN06.JQ.L.1.3系统设置久其系统是财政部统一规定使用的年报241、系统，由久其公司统一开发并测试。XX将其适用于财务月报（MIS系统月报功能正式上线前）及年报上。该软件为单机版，XX移动根据需求量直接向久其公司购买该系统。该系统并无用户访问的身份识别之功能，只要在个人计算机上安装该系统，用户便可以直接使用。公司为安装有久其系统的个人计算机设置唯一用户账号。SN06.JQ.L.1.5系统设置久其系统并无用户访问的身份识别之功能，而对安装有久其系统的个人计算机已设置6位或以上的密码。3.1.8 客户服务系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责客户服务系统管理242、的信息技术部门 (业务支撑中心), 客户服务中心（包括省公司及地市公司客服）。二、涉及的应用系统和重要的电子表格客户服务系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四243、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 客户服务系统通过用户名和密码实现登录认证，系统中除查询帐号外不允许建立共享用户名。计费业务中心在系统244、中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。(控制点SN06.KF.L.1.3)1.2. 根据公司XX移动业务运营支撑中心安全管理办法，客户服务系统应对系统的密码规则设置系统控制，用户密码长度不得低于6位。密码至少每90天进行更新，密码须由数字、字母组成。(控制点SN06.KF.L.1.5)1.3. 客户服务系统中的操作系统、数据库系统系统管理员，及根用户、安全管理员账号、批处理用户账号等超级用户账号由业务支撑中心负责人审批授权，计费账务部门和客户服务中心负责人对客户服务系统超级用户的授权审批建立正式的审批表格。业务支撑中心和客户服务中心负责人245、或授权第三方人员应对客户服务系统超级用户的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。系统中不存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX移动的安全控制要求。XX移动应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）(控制点SN06 .KF.L.1.7)1.4. 目前公司客户服务中心及业务支撑中心均拥有客户服务系统应用层系统管理员账号。客户服务中心应用系统管理员账号主要用于用户创建及权限分配，业务支撑中心应用系统管理员账号主要用于系统维护。对应用系统246、层超级用户的账户的访问根据工作职责应限于经授权的系统管理人员。应用层超级管理员账号都应通过正式公文签字授权，对于客户服务中心应用系统管理员账号的创建，须由客户服务中心主管授权审批。对于业务支撑中心客户服务系统应用系统管理员账号的创建，由业务支撑中心主管授权审批。且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点SN06.KF.L.1.8)1.5. 客户服务系统在对于操作系统层及应用系统层管理层定义的与财务报表相关的操作，以及客户服务系统数据库的直接访问修改留有系统操作日志。系统日志应由业务支撑中心根据247、风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由业务支撑中心安全管理员负责每月进行审核。如由于系统限制无法对数据库相关操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。(控制点SN06.KF.L.1.12)2. 用户账号的添加、修改及删除控制2.1. 目前XX移动制定了“1860客服中心员工工号管理制度”用于客户服务应用系统中账号的创建、修改管理。客户服务系统普通用户账号管理由客户服务中心应用系统管理员负责。在客户服务系统中新建账号或对账号248、的权限进行调整，须由客户服务中心分管主管或者部门负责人对需求申请（包括公文、工号变更申请表等格式）签字审批确认后，由客户服务中心应用系统管理员在系统中进行设置。(控制点SN06.KF.L.1.15)2.2. 职工工作调动或离职等工作职能发生变化时，相关部门或企业人力资源部负责发正式通知给所在部门，所在部门向客户服务中心发需求申请（包括公文、工号变更申请表等格式），由客户服务中心应用系统管理员对该人员在客户服务应用系统中的工号进行删除或禁止使用处理。 (控制点SN06.KF.L.1.16)3. 普通用户账号的定期审阅3.1. 客户服务中心工号管理员或授权人员应对客户服务系统普通用户的清单每半年进249、行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点SN06.KF.L.1.17)3.2. 公司应当每半年及业务流程发生重大变更时，由客户服务中心应用系统管理员打印客户服务系统用户的访问权限清单（用户角色），并交由客户服务中心主管对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)，应及时通知业务支撑中心，对用户的权限进行调整。(控制点SN06.KF L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数250、据库层管理员)，由客户服务中心部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点SN06 .KF.L.1.19)七、流程主要控制点SN06.KF.L.1.3系统设置客户服务系统通过用户名和密码实现登录认证，系统中除查询帐号外不允许建立共享用户名。计费业务中心在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。SN06.KF.L.1.5系统设置根据公司XX移动业务运营支撑中心安全管理办法，客户服务系统应对系统的密码规则设置系统251、控制，用户密码长度不得低于6位。密码至少每90天进行更新，密码须由数字、字母组成。SN06.KF.L.1.7授权及批准客户服务系统中的操作系统、数据库系统系统管理员，及根用户、安全管理员账号、批处理用户账号等超级用户账号由业务支撑中心负责人审批授权，计费账务部门和客户服务中心负责人对客户服务系统超级用户的授权审批建立正式的审批表格。业务支撑中心和客户服务中心负责人或授权第三方人员应对客户服务系统超级用户的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。系统中不存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX252、移动的安全控制要求。XX移动应对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）SN06.KF.L.1.8授权及批准目前公司客户服务中心及业务支撑中心均拥有客户服务系统应用层系统管理员账号。客户服务中心应用系统管理员账号主要用于用户创建及权限分配，业务支撑中心应用系统管理员账号主要用于系统维护。对应用系统层超级用户的账户的访问根据工作职责应限于经授权的系统管理人员。应用层超级管理员账号都应通过正式公文签字授权，对于客户服务中心应用系统管理员账号的创建，须由客户服务中心主管授权审批。对于业务支撑中心客户服务系统应用系统管理员账号的创建，由业务支撑中253、心主管授权审批。且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。SN06.KF.L.1.12管理层审阅客户服务系统在对于操作系统层及应用系统层管理层定义的与财务报表相关的操作，以及客户服务系统数据库的直接访问修改留有系统操作日志。系统日志应由业务支撑中心根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），由独立于系统管理员的人员提取，并由业务支撑中心安全管理员负责每月进行审核。如由于系统限制无法对数据库相关操作进行自动日志记录的，XX移动应建立相关的监控流程，以保证对于系254、统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。SN06.KF.L.1.15授权及批准目前XX移动制定了“1860客服中心员工工号管理制度”用于客户服务应用系统中账号的创建、修改管理。客户服务系统普通用户账号管理由客户服务中心应用系统管理员负责。在客户服务系统中新建账号或对账号的权限进行调整，须由客户服务中心分管主管或者部门负责人对需求申请（包括公文、工号变更申请表等格式）签字审批确认后，由客户服务中心应用系统管理员在系统中进行设置。SN06.KF.L.1.16授权及批准职工工作调动或离职等工作职能发生变化时，相关部门或企业人力资源部负责发正式通知给所在部门，所在部门向客255、户服务中心发需求申请（包括公文、工号变更申请表等格式），由客户服务中心应用系统管理员对该人员在客户服务应用系统中的工号进行删除或禁止使用处理。SN06.KF.L.1.17管理层审阅客户服务中心工号管理员或授权人员应对客户服务系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。SN06.KF.L.1.18管理层审阅公司应当每半年及业务流程发生重大变更时，由客户服务中心应用系统管理员打印客户服务系统用户的访问权限清单（用户角色），并交由客户服务中心主管对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层256、和数据库层管理员)，应及时通知业务支撑中心，对用户的权限进行调整。SN06.KF.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则(如应用层管理员应独立于操作系统层和数据库层管理员)，由客户服务中心部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.9 网络及基础设施一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围业务支撑中心、网络部、企业257、信息化建设办公室、数据信息中心、网络维护管理中心。二、涉及的应用系统和重要的电子表格 OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、智能网系统、彩铃平台的网络基础设施、GSM网中产生话单的交换机系统、产生网内点对点短信业务话单的短信中心系统的网络基础设施。三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权258、，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所259、有会计科目。六、流程描述1. 信息安全管理构架和信息安全政策1.1. XX移动在企业信息化部门、网络部门及业务支撑部门设置专职或不存在冲突职责的安全管理员负责安全政策制定和监督实施，主要职责包括对信息安全政策的制定及发布、系统运行安全检查、项目建设涉及安全问题的审阅及评估。各部门安全管理员每月对当月安全状况向部门领导提交信息安全专题报告。如果发生突发安全事件，安全管理员负责向部门领导及时提交正式安全事故分析报告。对于相关的安全组织机构及人员建立应更新公司及部门的组织机构图及部门、员工岗位职责描述。(控制点SN06.WJ.L.1.1)1.2. XX总部网络部门、业务支撑部门针对本部门的信息系统安260、全管理分别制定了集团公司网络口安全管理规范、XX业务运营支撑系统维护规程，并推广各省公司执行。XX移动省公司企业信息化部门、网络部门、业务支撑部门根据XX总部发布的规章制度制定了 XXXX通信网网络与信息安全管理办法（暂行） XXXX通信网信息技术安全总则 XXXX通信机房安全管理规定 XX移动生产终端管理暂行规定 XX移动MISC、智能网、彩铃等IT系统帐号口令管理办法 XXXX通信网络规章制度审阅更新制度公司所制定的规章制度已包含了网络、物理安全、操作系统安全、应用程序安全、软件开发、变更管理、问题管理、系统备份的各方面内容。另外XX总部针对MIS系统等XX总部统一推行的信息系统，制定了关261、于加强MIS系统安全管理的规定并下发各省公司执行。XX移动采用了正式的信息政策并为信息安全提供指导，范围包括与生成财务报告程序和数据相关的信息技术环境的所有方面（例如网络，物理安全，操作系统安全，应用程序安全等）。XX总部及各省公司所制订的安全规章制度应进行年度审阅更新，并将审阅更新的要求包含在相关安全规章制度内。对于已更新的安全规章制度应及时下发各相关部门遵照执行。(控制点SN06.WJ.L.1.2)2. 对系统逻辑访问和物理访问的身份识别2.1. 目前XX移动通过分配固定IP地址实现网络层的登录访问控制。因系统限制暂时无法在系统中实现网络登录认证, 管理层已规范终端接入相应局域网系统的申请262、审批和定期审查制度，规定任何外来设备在需要接入内部局域网前要向局域网管理员提交书面申请,在申请批准后在指定接入端进行设备接入，并由局域网的维护人员对接入终端进行登记，并定期审阅登记记录。(控制点SN06.WJ.L.1.4)2.2. XX移动总部及省公司根据不同部门划分为办公网、网络部门专用网及业务支撑部门生产网三个网络，企业信息化部门、网络部门、业务支撑部门内分别设定网络管理员，负责日常网络维护及运行管理。只有网络管理员拥有网络设备及系统的超级管理员权限，网络管理员由相关部门（企业信息化部门、网络部门、业务支撑部门）负责人书面授权。(控制点SN06 .WJ.L.1.6)2.3. XX移动制定263、有机房门禁管理办法。办公区及各机房均通过门禁系统实现物理访问控制。各部门需经常进入机房的人员，须经过部门负责人填写机房准入授权单授权审批后，方可发放门禁卡（在系统中添加用户档案）。对于需临时进入机房的人员（包括公司内部及外部人员），必须经过部门负责人授权批准后，在有权限进入机房的工作人员陪同下进入机房，并填写机房进出登记表。(控制点SN06 .WJ.L.1.9)2.4. 机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单，由部门负责人对有权限进入机房的人员进行复核签字，如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。(控制点SN06 .WJ.L.1.10)264、2.5. XX移动机房通过门禁系统实现物理访问控制。人员进出机房会在机房门禁系统留下日志记录/机房进出登记表中留下记录，机房安全管理员每季应对机房进出记录进行审阅，检查是否有异常进出情况。(控制点SN06 .WJ.L.1.11)2.6. XX移动信息技术部门应对业务终端电脑防病毒软件统一升级，统一设置安全策略，强制安装。终端上设置定期更新杀毒软件厂商发布的安全补丁及病毒库。客户终端上的杀毒软件在登录公司网络时实现自动扫描更新安全补丁及病毒库。对于无法实现病毒库自动实时更新的终端采用手动更新病毒库的方法。 (控制点SN06 .WJ.L.1.13)公司网络与互联网或外联公司的网络连接（如银行等）经265、过防火墙或应用网关协议控制保护。公司对防火墙设置及应用网关的安全设置在安全政策中进行规定，并由网络管理员及相关应用网关系统管理员进行设置。各信息技术部门网络管理员每月对防火墙日志进行审查。(控制点SN06 .WJ.L.1.14)七、流程主要控制点SN06 .WJ.L.1.1职责分工XX移动在企业信息化部门、网络部门及业务支撑部门设置专职或不存在冲突职责的安全管理员负责安全政策制定和监督实施，主要职责包括对信息安全政策的制定及发布、系统运行安全检查、项目建设涉及安全问题的审阅及评估。各部门安全管理员每月对当月安全状况向部门领导提交信息安全专题报告。如果发生突发安全事件，安全管理员负责向部门领导及266、时提交正式安全事故分析报告。对于相关的安全组织机构及人员建立应更新公司及部门的组织机构图及部门、员工岗位职责描述。SN06 .WJ.L.1.2管理层审阅XX总部网络部门、业务支撑部门针对本部门的信息系统安全管理分别制定了集团公司网络口安全管理规范、XX业务运营支撑系统维护规程，并推广各省公司执行。XX移动省公司企业信息化部门、网络部门、业务支撑部门根据XX总部发布的规章制度制定了 XXXX通信网网络与信息安全管理办法（暂行） XXXX通信网信息技术安全总则 XXXX通信机房安全管理规定 XX移动生产终端管理暂行规定 XX移动MISC、智能网、彩铃等IT系统帐号口令管理办法 XXXX通信网络规章267、制度审阅更新制度公司所制定的规章制度已包含了网络、物理安全、操作系统安全、应用程序安全、软件开发、变更管理、问题管理、系统备份的各方面内容。另外XX总部针对MIS系统等XX总部统一推行的信息系统，制定了关于加强MIS系统安全管理的规定并下发各省公司执行。XX移动采用了正式的信息政策并为信息安全提供指导，范围包括与生成财务报告程序和数据相关的信息技术环境的所有方面（例如网络，物理安全，操作系统安全，应用程序安全等）。XX总部及各省公司所制订的安全规章制度应进行年度审阅更新，并将审阅更新的要求包含在相关安全规章制度内。对于已更新的安全规章制度应及时下发各相关部门遵照执行。SN06 .WJ.L.1.268、4系统设置目前XX移动通过分配固定IP地址实现网络层的登录访问控制。因系统限制暂时无法在系统中实现网络登录认证, 管理层已规范终端接入相应局域网系统的申请、审批和定期审查制度，规定任何外来设备在需要接入内部局域网前要向局域网管理员提交书面申请,在申请批准后在指定接入端进行设备接入，并由局域网的维护人员对接入终端进行登记，并定期审阅登记记录。SN06 .WJ.L.1.6授权及批准XX移动总部及省公司根据不同部门划分为办公网、网络部门专用网及业务支撑部门生产网三个网络，企业信息化部门、网络部门、业务支撑部门内分别设定网络管理员，负责日常网络维护及运行管理。只有网络管理员拥有网络设备及系统的超级管理269、员权限，网络管理员由相关部门（企业信息化部门、网络部门、业务支撑部门）负责人书面授权。SN06 .WJ.L.1.9授权及批准XX移动制定有机房门禁管理办法。办公区及各机房均通过门禁系统实现物理访问控制。各部门需经常进入机房的人员，须经过部门负责人填写机房准入授权单授权审批后，方可发放门禁卡（在系统中添加用户档案）。对于需临时进入机房的人员（包括公司内部及外部人员），必须经过部门负责人授权批准后，在有权限进入机房的工作人员陪同下进入机房，并填写机房进出登记表。SN06 .WJ.L.1.10管理层审阅机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单，由部门负责人对有权限进入270、机房的人员进行复核签字，如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。SN06 .WJ.L.1.11管理层审阅XX移动机房通过门禁系统实现物理访问控制。人员进出机房会在机房门禁系统留下日志记录/机房进出登记表中留下记录，机房安全管理员每季应对机房进出记录进行审阅，检查是否有异常进出情况。SN06 .WJ.L.1.13系统设置XX移动信息技术部门应对业务终端电脑防病毒软件统一升级，统一设置安全策略，强制安装。终端上设置定期更新杀毒软件厂商发布的安全补丁及病毒库。客户终端上的杀毒软件在登录公司网络时实现自动扫描更新安全补丁及病毒库。对于无法实现病毒库自动实时更新的终端采用手动更新271、病毒库的方法。SN06 .WJ.L.1.14管理层审阅公司网络与互联网或外联公司的网络连接（如银行等）经过防火墙或应用网关协议控制保护。公司对防火墙设置及应用网关的安全设置在安全政策中进行规定，并由网络管理员及相关应用网关系统管理员进行设置。各信息技术部门网络管理员每月对防火墙日志进行审查。3.1.10 交换机系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制。2所涉及的部门范围负责交换机系统管理的信息技术部门（如网络部门）二、涉及的应用系统和重要的电子表格 GSM网中产生话单的交换机系统 三、目标1对于与财务报告相关的信272、息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访273、问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 交换机通过用户名和密码实现登录认证，目前系统口令级别分三级，管理员级、维护级和浏览级。系统中除查询用户（浏览级）外不允许建立共享用户名。(控制点SN06.JHJ.L.1.3)1.2. 对于因系统限制暂时无法在系统中建立密码规则的情况，管理层已建立相应274、的密码定期检查制度以保证密码政策的有效执行。检查记录至少包括密码由数字及字母组成、长度不得低于6位，密码应90天更换。检查应每季度进行。(控制点SN06 .JHJ.L.1.5)1.3. 交换机系统的超级用户账号，由设备维护人员统一进行管理、设置和分配。网管中心相关负责人每季度对各设备的超级用户权限设置情况进行检查审计。网管中心相关负责人对系统超级用户的授权审批应建立正式的审批表格。网管中心负责人或授权第三方人员对系统超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。交换机系统不存在预设帐号。对于系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商275、签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX移动为确保网络安全，对第三方人员仅在重要故障处理及版本升级时分配临时账户。 XX移动对第三方远程登录访问已建立了严格控制，只有被授权的第三方人员才被允许远程登录访问。如第三方需要通过远程登录访问对系统进行操作及更新，维护人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作监控记录（或事后及时审阅相应的操作日志记录）。在操作完成后，维护人员应及时终止远程登录。相应部门负责人对登录记录每月审阅并签字确认。(控制点SN06 .JHJ.L.1.7)七、流程主要控制点SN06.JHJ.L.1.3系统设置：交276、换机通过用户名和密码实现登录认证，目前系统口令级别分三级，管理员级、维护级和浏览级。系统中除查询用户（浏览级）外不允许建立共享用户名。SN06.JHJ.L.1.5系统设置：对于因系统限制暂时无法在系统中建立密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行。检查记录至少包括密码由数字及字母组成、长度不得低于6位，密码应90天更换。检查应每季度进行。SN06.JHJ.L.1.7授权及批准：交换机系统的超级用户账号，由设备维护人员统一进行管理、设置和分配。网管中心相关负责人每季度对各设备的超级用户权限设置情况进行检查审计。网管中心相关负责人对系统超级用户的授权审批应建立正式277、的审批表格。网管中心负责人或授权第三方人员对系统超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。交换机系统不存在预设帐号。对于系统中存在第三方超级用户帐号的情况，XX移动已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX移动为确保网络安全，对第三方人员仅在重要故障处理及版本升级时分配临时账户。 XX移动对第三方远程登录访问已建立了严格控制，只有被授权的第三方人员才被允许远程登录访问。如第三方需要通过远程登录访问对系统进行操作及更新，维护人员在每次操作执行时应根据部门领导授权，临时开通远程登录功能，并对远程登录操作监278、控记录（或事后及时审阅相应的操作日志记录）。在操作完成后，维护人员应及时终止远程登录。相应部门负责人对登录记录每月审阅并签字确认。3.1.11 SMS系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围数据信息中心二、涉及的应用系统和重要的电子表格 SMS系统、产生网内点对点短信业务话单的短信中心系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对279、系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及280、时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目六、流程描述1.对系统逻辑访问和物理访问的身份识别1.1数据信息中心在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码，系统中除查询用户外不允许建立共享用户名。所有的普通用户在系统中只具有查询权限。(控制点SN06.SMS.L.1.3)1.2XX移动目前制定了XX移动短信中心密码管理制度，SMS系统在系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字字母组成。密码应至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层已建立相应的密281、码每季度检查制度以保证密码政策的有效执行。(控制点SN06.SMS.L.1.5)1.3SMS系统操作系统级超级用户账号，由SMS设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为0）帐号需报数据信息中心主管批准。网络部门安全技术管理人员在每季度对各设备的用户权限设置情况进行检查审计。 系统中不存在预设帐号。系统中不存在第三方超级用户帐号。SMS系统无法远程登录。(控制点SN06.SMS.L.1.7)1.4目前SMS系统的应用系统管理员由数据信息中心进行管理。应用系统管理员权限的授予需通过正式公文申请，并经过数据信息中心主管的审批后，将应用系统管理员账号及密码授予授权人员。282、应用层超级管理员账号都应通过正式公文签字授权，且数据信息中心主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点SN06.SMS.L.1.8)1.5公司对短信中心应用系统操作系统级、应用系统级管理层定义的所有重要操作，系统日志由维护部门根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率等）由独立于系统管理员的人员提取日志，并由安全管理员负责每月进行审核，特别是对于短信话单产生、存储、和传输有关的操作留有系统日志。如由于系统限制无法对系统相关操作进行自动日志记录的，XX移动已建立建立具体的283、值班监控制度，以保证对于系统的重要操作得到有效的记录；或由授权的值班人员轮流（或专职安全员）定期（如每30分钟至2小时）检查短信中心系统中产生话单的执行程序和参数、话单文件、话单文件格式、和话单传输状态是否异常，并留下监控记录。若发现异常，由值班人员及时补救，降低由于话单错误或话单缺失造成的财务损失，合理确保话单的准确性、完整性和及时性。监控记录和异常情况处理记录由系统维护主管每月定期审阅。(控制点SN06 .SMS.L.1.12)2.用户账号的添加、修改及删除控制2.1 根据“用户账号申请流程”，SMS系统普通用户账号管理由数据信息中心应用系统管理员负责。在SMS系统中新建账号或对账号的权限284、进行调整，须由数据信息中心主管对需求申请（包括公文、账号变更申请表等格式）审批确认后，由SMS应用系统管理员在系统中进行设置。对于SMS应用系统用户应按个人创建单独的用户账号，账号的创建应由部门主管书面批准。(控制点SN06.SMS.L.1.15)2.2职工工作调动或离职时，企业人力资源部或相关部门负责发正式通知给所在部门，所在部门应用系统管理员对该人员在SMS应用系统中的账号进行删除或禁止使用处理。(控制点SN06.SMS.L.1.16)3.普通用户账号的定期审阅3.1在按个人创建系统账号的基础上，SMS应用系统管理员或授权人员对SMS系统普通用户的清单每半年进行复核签字确认，如发现多余或不285、恰当的账号应进行及时调整。(控制点SN06 .SMS.L.1.17)3.2公司每半年及业务流程发生重大变更时，由SMS应用系统管理员打印用户账号及访问权限清单，并交由数据信息中心主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)，应及时通知SMS应用系统管理员，对用户的权限进行调整。(控制点SN06 .SMS.L.1.18)4.职责分工4.1创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统286、中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点SN06 .SMS.L.1.19)七、流程主要控制点SN06.SMS.L.1.3系统设置：数据信息中心在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码，系统中除查询用户外不允许建立共享用户名。所有的普通用户在系统中只具有查询权限。SN06.SMS.L.1.5系统设置：XX移动目前制定了XX移动短信中心密码管理制度，SMS系统在系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字字母组成。密码应至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层已建立287、相应的密码每季度检查制度以保证密码政策的有效执行。SN06.SMS.L.1.7授权及批准：SMS系统操作系统级超级用户账号，由SMS设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为0）帐号需报数据信息中心主管批准。网络部门安全技术管理人员在每季度对各设备的用户权限设置情况进行检查审计。 系统中不存在预设帐号。系统中不存在第三方超级用户帐号。SMS系统无法远程登录。SN06.SMS.L.1.8授权及批准目前SMS系统的应用系统管理员由数据信息中心进行管理。应用系统管理员权限的授予需通过正式公文申请，并经过数据信息中心主管的审批后，将应用系统管理员账号及密码授予授权人员。应288、用层超级管理员账号都应通过正式公文签字授权，且数据信息中心主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。SN06.SMS L.1.12管理层审阅公司对短信中心应用系统操作系统级、应用系统级管理层定义的所有重要操作，系统日志由维护部门根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率等）由独立于系统管理员的人员提取日志，并由安全管理员负责每月进行审核，特别是对于短信话单产生、存储、和传输有关的操作留有系统日志。如由于系统限制无法对系统相关操作进行自动日志记录的，XX移动已建立建立具体的值班监289、控制度，以保证对于系统的重要操作得到有效的记录；或由授权的值班人员轮流（或专职安全员）定期（如每30分钟至2小时）检查短信中心系统中产生话单的执行程序和参数、话单文件、话单文件格式、和话单传输状态是否异常，并留下监控记录。若发现异常，由值班人员及时补救，降低由于话单错误或话单缺失造成的财务损失，合理确保话单的准确性、完整性和及时性。监控记录和异常情况处理记录由系统维护主管每月定期审阅。SN06.SMS L.1.15授权及批准根据“用户账号申请流程”，SMS系统普通用户账号管理由数据信息中心应用系统管理员负责。在SMS系统中新建账号或对账号的权限进行调整，须由数据信息中心主管对需求申请（包括公文290、账号变更申请表等格式）审批确认后，由SMS应用系统管理员在系统中进行设置。对于SMS应用系统用户应按个人创建单独的用户账号，账号的创建应由部门主管书面批准。SN06.SMS L.1.16授权及批准：职工工作调动或离职时，企业人力资源部或相关部门负责发正式通知给所在部门，所在部门应用系统管理员对该人员在SMS应用系统中的账号进行删除或禁止使用处理。SN06.SMS L.1.17管理层审阅在按个人创建系统账号的基础上，SMS应用系统管理员或授权人员对SMS系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。SN06.SMS L.1.18管理层审阅公司每半年及业务流程291、发生重大变更时，由SMS应用系统管理员打印用户账号及访问权限清单，并交由数据信息中心主管，对用户的权限进行审阅签字，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责(如应用层管理员应独立于操作系统层和数据库层管理员)，应及时通知SMS应用系统管理员，对用户的权限进行调整。SN06.SMS L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.2 程序变更管理一、业务流程292、范围1所涉及的流程范围程序变更授权、程序变更的测试校验和批准、程序变更的移植、系统配置参数变更、紧急程序变更流程。2所涉及的部门范围信息技术部门（业务支撑中心、网络维护中心、数据信息中心）、相关业务部门（如财务部、网络部、市场经营部、计划建设部、数据部、物资采购中心、综合部）。二、涉及的应用系统和重要的电子表格OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、智能网系统、彩铃平台及网络基础设施 、GSM网中产生话单的交换机系统、产生网内点对点短信业务话单的短信中心系统。三、目标1合理确保对财务报告有影响的系统或应用程序的变更都经过适当的管理层的授权。2合理293、确保对财务报告有影响的系统或应用程序的变更，在发布到生产环境运行之前经过了测试，校验和批准。3合理确保对财务报告有影响的系统或应用程序的变更在迁移到生产环境过程中，没有非法的访问，以避免对系统及数据的非法修改。4合理确保对财务报告有影响的系统或应用程序的配置变更都经过管理层授权，并经过适当测试 。5合理确保对财务报告有影响的系统或应用程序的紧急变更，遵循紧急变更管理流程。四、风险1对财务报告有影响的系统或应用程序的变更未经过管理层的审批与授权。2对财务报告有影响的系统或应用程序的变更，在发布到生产环境运行之前未经测试，变更后的程序功能不能满足用户需求，缺陷未被及时发现。3非法变更的程序被未经授294、权的人员移植到了生产环境。4对财务报告有影响的系统或应用程序的配置变更未经管理层授权，并且未得到适当测试。5紧急变更未遵循紧急变更管理流程，未经过必要的授权、审批和测试。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 程序变更需求管理1.1. XX移动各信息技术部门（包括业务支撑部门、网络部及企业信息化部门）针对各个系统建立了软件功能变更、新增功能实现等变更管理流程，规定了相应的申请、审批、测试、移植程序，并制定软件变更管理办法，并由各系统主管信息技术部门领导审批通过。(控制点SN06L.2.1)1.2. XX移动除BOSS系统外其他系统的程序变更均是根据集团下发的升级要295、求或由集团统一下发公文或电子工单进行变更的，故没有程序变更的相关流程。计费中心（BOSS, 经分和客服系统）的程序变更是根据XX移动业务运营支撑系统业务开发管理流程、软件更新上线流程进行的，由发起部门（包括业务部门及信息技术部门）填写规定格式的变更申请表单，描述变更申请的原因、所涉及系统、业务需求说明、功能需求说明等，并按需求变更的重要程度和变更涉及影响的部门，由系统主管部门领导、变更影响部门领导及公司领导审批决定，同时由信息技术部门将变更申请表单记录归档。(控制点SN06L.2.2)2. 程序变更测试及版本控制2.1. XX移动各信息技术部门都建立了变更程序测试的规定和流程，在变更程序开发完296、成后，由实施方（开发商或信息技术部门）准备测试环境并提交功能说明文档、技术说明文档及包含测试用例（由开发商和业务部门协商确定）的测试文档，经信息系统主管部门同意后，由信息技术部门和业务部门共同进行测试，并填写测试结果及签字确认。测试如不通过，则由开发商根据测试结果进行程序的修改，并再次进行测试。如未通过规定的测试，变更程序不得被移植入生产环境。(控制点SN06L.2.3)2.2. 对于部分系统无法建立独立测试环境（如SMS，智能网，彩铃系统），只加载集团统一下发的补丁程序（有集团入网许可证），XX移动公司相关信息技术部门根据集团要求（补丁加载测试通知，入网许可证等）在现网进行装载。XX移动应在297、现网测试时考虑程序错误可能会对业务产生的影响，在非繁忙时段在现网进行相关测试，并建立相应的测试计划以尽可能减少错误程序对生产数据产生的影响。XX移动BOSS系统应建立物理上或逻辑上的测试环境，并按各系统维护规定按生产系统的变更（如必要可以实时）对测试环境进行程序及数据的更新，以保证测试环境符合测试计划要求。 (控制点SN06L.2.4)2.3. XX移动在新的GSM网中产生话单的交换机上线及交换机升级时由工程建设部门、维护部门会同业务支撑中心及其他相关部门进行拨打测试，测试后应由各测试参与部门对测试结果进行书面确认并存档，以确保交换机能够完整并准确地捕捉话单。（控制点SN06L.2.11）2.298、4. XX移动各信息技术部门都建立了程序变更版本管理机制，每次程序变更都需要由实施方（厂商或信息技术部门）进行软件版本、功能说明文档版本、技术说明文档版本、使用说明文档版本的变更，并由信息系统部门专人集中保存管理，信息部门和业务部门人员经信息技术部门主管授权后可以访问各类文档。由于各开发商均未向XX公司提供程序源代码，由开发商进行程序源代码管理，信息技术部门不负责源代码的管理。(控制点SN06L.2.5)3. 程序变更访问控制3.1. XX移动BOSS规定了程序变更开发完成后，由开发人员之外的人员（厂商或信息部门人员）在测试环境进行程序的编译及测试文档的编写，并由信息部门系统管理人员（或经信息299、部门主管授权的厂商人员）往生产环境进行程序的移植。移植完成后，信息部门系统管理人员需要进行移植情况的检查。XX移动目前部分部门开发人员由于需要进行系统故障处理、检查等原因拥有生产系统的用户名及口令。公司应进行对开发人员（包括外包厂商）对生产系统进行程序更新的控制，只有在有必要时才临时由信息技术部门主管授权开发人员访问并更新生产系统，开发人员访问生产系统时必须由信息技术部门系统维护人员对其访问进行监督，并在访问结束后及时删除或禁止开发人员在生产系统中的账号。(控制点SN06L.2.6)4. 系统配置变更管理4.1. XX移动BOSS系统，MIS配置变更时，需先由信息部门提出申请，由业务部门领导通300、过纸质文档、电子工单或OA公文等方式进行审批，（如有需要会包括系统备份恢复方案及应急方案），信息部门或业务部门根据审批内容由相关授权用户执行。(控制点SN06L.2.7)4.2. XX移动BOSS系统系统配置变更时，会依据配置变更的性质、影响面等情况填写变更申请。变更如需测试，测试后将由开发部门或用户部门填写测试报告并签字确认后存档。GSM网中产生话单的交换机在每次与交换机CDR数据准确性相关的局数据参数配置变更后，需由交换机管理部门进行拨打测试以验证配置变更的准确性并保证交换机话单可以完整并准确的生成，拨打测试需包括交换机话单完整准确及通话时间纪录准确性等。 (控制点SN06L.2.8)5.301、 紧急变更管理5.1. XX移动信息技术部门建立了紧急变更管理流程并经过管理层的审批。该流程对紧急变更进行了定义，并规定了紧急变更必须由申请部门提交紧急变更申请，（MIS、OA、BOSS、经营分析、客服系统除外）经请示XX总部相关处室、部门主管口头审批，允许系统具体维护人员进行现场操作；紧急装载事后应补充相应的测试报告（通过EOMS）、EOMS审批流程和操作日志文档，并留有纸面或电子签字。MIS、OA、BOSS、经营分析、客服系统紧急变更需经过业务部门主管口头审批才可由系统维护人员进行，并且需事后补充相应的测试及审批文档。同时留有系统操作日志或手工作业记录。(控制点SN06L.2.9)5.2.302、 XX移动信息技术部门建立了紧急变更管理流程并经过管理层的审批。（MIS、OA、BOSS、经营分析、客服系统除外）该流程对紧急变更进行了定义，并规定了紧急变更必须由申请部门提交紧急变更申请，经请示XX总部相关处室、部门主管口头审批，允许系统具体维护人员进行现场操作；紧急装载事后应补充相应的测试报告（通过EOMS）、EOMS审批流程和操作日志文档，并留有纸面或电子签字。MIS、OA、BOSS、经营分析、客服系统紧急变更需经过业务部门主管口头审批才可由系统维护人员进行，并且需事后补充相应的测试及审批文档，并由相关测试人员和负责人签字确认。(控制点SN06L.2.10)七、流程主要控制点SN06L.303、2.1管理层审阅XX移动各信息技术部门（包括业务支撑部门、网络部及企业信息化部门）针对各个系统建立了软件功能变更、新增功能实现等变更管理流程，规定了相应的申请、审批、测试、移植程序，并制定软件变更管理办法，并由各系统主管信息技术部门领导审批通过。SN06L.2.2授权及批准XX移动除BOSS系统外其他系统的程序变更均是根据集团下发的升级要求或由集团统一下发公文或电子工单进行变更的，故没有程序变更的相关流程。计费中心（BOSS, 经分和客服系统）的程序变更是根据XX移动业务运营支撑系统业务开发管理流程、软件更新上线流程进行的，由发起部门（包括业务部门及信息技术部门）填写规定格式的变更申请表单，描304、述变更申请的原因、所涉及系统、业务需求说明、功能需求说明等，并按需求变更的重要程度和变更涉及影响的部门，由系统主管部门领导、变更影响部门领导及公司领导审批决定，同时由信息技术部门将变更申请表单记录归档。SN06L.2.3授权及批准XX移动各信息技术部门都建立了变更程序测试的规定和流程，在变更程序开发完成后，由实施方（开发商或信息技术部门）准备测试环境并提交功能说明文档、技术说明文档及包含测试用例（由开发商和业务部门协商确定）的测试文档，经信息系统主管部门同意后，由信息技术部门和业务部门共同进行测试，并填写测试结果及签字确认。测试如不通过，则由开发商根据测试结果进行程序的修改，并再次进行测试。如305、未通过规定的测试，变更程序不得被移植入生产环境。SN06L.2.4系统设置对于部分系统无法建立独立测试环境（如SMS，智能网，彩铃系统），只加载集团统一下发的补丁程序（有集团入网许可证），XX移动公司相关信息技术部门根据集团要求（补丁加载测试通知，入网许可证等）在现网进行装载。XX移动应在现网测试时考虑程序错误可能会对业务产生的影响，在非繁忙时段在现网进行相关测试，并建立相应的测试计划以尽可能减少错误程序对生产数据产生的影响。XX移动BOSS系统应建立物理上或逻辑上的测试环境，并按各系统维护规定按生产系统的变更（如必要可以实时）对测试环境进行程序及数据的更新，以保证测试环境符合测试计划要求。S306、N06L.2.5管理层审阅XX移动各信息技术部门都建立了程序变更版本管理机制，每次程序变更都需要由实施方（厂商或信息技术部门）进行软件版本、功能说明文档版本、技术说明文档版本、使用说明文档版本的变更，并由信息系统部门专人集中保存管理，信息部门和业务部门人员经信息技术部门主管授权后可以访问各类文档。 由于各开发商均未向XX公司提供程序源代码，由开发商进行程序源代码管理，信息技术部门不负责源代码的管理。SN06L.2.6职责分工XX移动BOSS规定了程序变更开发完成后，由开发人员之外的人员（厂商或信息部门人员）在测试环境进行程序的编译及测试文档的编写，并由信息部门系统管理人员（或经信息部门主管授权307、的厂商人员）往生产环境进行程序的移植。移植完成后，信息部门系统管理人员需要进行移植情况的检查。XX移动目前部分部门开发人员由于需要进行系统故障处理、检查等原因拥有生产系统的用户名及口令。公司应进行对开发人员（包括外包厂商）对生产系统进行程序更新的控制，只有在有必要时才临时由信息技术部门主管授权开发人员访问并更新生产系统，开发人员访问生产系统时必须由信息技术部门系统维护人员对其访问进行监督，并在访问结束后及时删除或禁止开发人员在生产系统中的账号。SN06L.2.7授权及批准XX移动BOSS系统，MIS配置变更时，需先由信息部门提出申请，由业务部门领导通过纸质文档、电子工单或OA公文等方式进行审批308、，（如有需要会包括系统备份恢复方案及应急方案），信息部门或业务部门根据审批内容由相关授权用户执行。SN06L.2.8授权及批准XX移动BOSS系统系统配置变更时，会依据配置变更的性质、影响面等情况填写变更申请。变更如需测试，测试后将由开发部门或用户部门填写测试报告并签字确认后存档。GSM网中产生话单的交换机在每次与交换机CDR数据准确性相关的局数据参数配置变更后，需由交换机管理部门进行拨打测试以验证配置变更的准确性并保证交换机话单可以完整并准确的生成，拨打测试需包括交换机话单完整准确及通话时间纪录准确性等。SN06L.2.9管理层审阅XX移动信息技术部门建立了紧急变更管理流程并经过管理层的审批309、。该流程对紧急变更进行了定义，并规定了紧急变更必须由申请部门提交紧急变更申请，（MIS、OA、BOSS、经营分析、客服系统除外）经请示XX总部相关处室、部门主管口头审批，允许系统具体维护人员进行现场操作；紧急装载事后应补充相应的测试报告（通过EOMS）、EOMS审批流程和操作日志文档，并留有纸面或电子签字。MIS、OA、BOSS、经营分析、客服系统紧急变更需经过业务部门主管口头审批才可由系统维护人员进行，并且需事后补充相应的测试及审批文档。同时留有系统操作日志或手工作业记录。SN06L.2.10管理层审阅XX移动信息技术部门建立了紧急变更管理流程并经过管理层的审批。（MIS、OA、BOSS、经310、营分析、客服系统除外）该流程对紧急变更进行了定义，并规定了紧急变更必须由申请部门提交紧急变更申请，经请示XX总部相关处室、部门主管口头审批，允许系统具体维护人员进行现场操作；紧急装载事后应补充相应的测试报告（通过EOMS）、EOMS审批流程和操作日志文档，并留有纸面或电子签字。 MIS、OA、BOSS、经营分析、客服系统紧急变更需经过业务部门主管口头审批才可由系统维护人员进行，并且需事后补充相应的测试及审批文档，并由相关测试人员和负责人签字确认。SN06L.2.11管理层审阅XX移动在新的GSM网中产生话单的交换机上线及交换机升级时由工程建设部门、维护部门会同业务支撑中心及其他相关部门进行拨打311、测试，测试后应由各测试参与部门对测试结果进行书面确认并存档，以确保交换机能够完整并准确地捕捉话单。3.3 程序开发一、业务流程范围1所涉及的流程范围程序开发审批授权、程序开发管理及方法、程序开发测试、系统数据迁移。2所涉及的部门范围信息技术部门（业务支撑中心、网络维护中心、数据信息中心）、相关业务部门（如财务部、网络部、市场经营部、计划建设部、数据部、物资采购中心、综合部）。二、涉及的应用系统和重要的电子表格 OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、智能网系统、彩铃平台及网络基础设施 ，GSM网中产生话单的交换机系统、产生网内点对点短信业务话单的312、短信中心系统。三、目标1合理确保公司管理层有充分的控制保证新的应用系统及硬件基础架构的开发和采购是经过适当级别的信息技术和公司管理层的审批。2对于在生成财务报表流程中涉及的系统/应用程序，合理确保公司建立和施行适当的控制，以保证有合适的程序开发方法，并在开发和实施过程中遵守了相应的方法。3合理确保在生成财务报表流程中涉及的系统/应用程序在开发或实施进行了充分的测试，并且该测试结果经过信息技术部门、用户和管理层的批准。4合理确保在生成财务报表流程中涉及的系统/应用程序的数据迁移过程中有足够的控制保证数据的准确性和完整性。四、风险1应用系统及硬件基础架构的开发和采购未经过管理层授权审批，浪费企业资源,导致系统与企业经营目标不一致或系统效率低下。2程序开发未遵循正式的方法论，导致开发的程序不能满足业务的功能要求或质量要求。3开发的程序未经充分测试就投入使用，导致系统的缺陷未能及时发现以及系统运行的不稳定。4与程序开发相关的数据移植不完整、不准确。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 程序开发采购管理1.1. XX省公司应根据XX总部统一制定的计划管理及工程项目招投标等相关管理办法，制订项目管理的具体管理制度，对项目的可行性研究、立项、招投标等审批流程作出规定。 (控制点SN06L.3.1)1.2