1、通信有限公司广东公司内部控制手册目录1手册概述41.1目的41.2评价与财务报告相关的内部控制的有效性的评估架构41.3与财务报告相关的内部控制的定义41.4内部控制手册的遵循51.5颁布日期52公司层面的控制62.1控制环境6正直守德的价值取向6胜任能力12董事会及审核委员会13管理哲学和经营风格15组织结构19职权和职责的分配22人力资源政策和实务23信息技术战略规划26信息技术组织架构及关系27信息技术部门的人力资源管理28用户教育和培训292.2风险评估30企业层面目标30经营活动目标32风险35对环境变化的管理372.3控制活动382.4信息及沟通39信息39沟通422.5监控46持2、续监控46个别评价49汇报内部控制缺陷513信息技术整体控制533.1对程序和数据的访问53BOSS系统53经营分析系统60MIS系统65OA系统72彩铃系统77智能网系统83MISC系统90久其报表系统97客户服务系统100网络及基础设施106交换机系统112短信系统117LIS系统123人力资源系统1283.2程序变更管理1343.3程序开发1413.4系统运行146BOSS系统146经营分析系统151MIS系统156OA系统161彩铃系统164智能网系统169MISC系统174久其报表系统179客户服务系统182网络及基础设施187交换机系统190短信系统195LIS系统200人力资源系3、统2033.5终端用户计算2084流程层面的控制2114.1资本性支出业务流程2114.2收入和计费业务流程248新业务与产品定价业务流程248业务受理业务流程254计费账务业务流程262收款和应收账款管理业务流程275与电信营运商结算业务流程（国内、国际）286与服务/内容提供商结算业务流程292内部结算业务流程298集团客户业务流程3034.3存货管理业务流程308存货管理309有价卡管理3174.4营运支出业务流程3264.5货币资金管理业务流程3404.6固定资产和无形资产管理业务流程3514.7人工成本管理业务流程3714.8会计和财务报告流程3774.9筹资业务流程3994.10关4、联方交易业务流程4044.11法律法规遵循业务流程（包括税务管理流程）4101 手册概述1.1 目的作为在美国证券交易市场上市的海外发行人，根据萨班斯法案第404条款之最终条例与财务报告相关的内部控制的管理层报告书和披露核证的要求，管理层须在年度报告中做出有关内部控制评估的书面声明,其中包括：n 管理层对建立和维护与财务报告相关的内部控制的责任声明；n 管理层对评估与财务报告相关的内部控制所采用的评估框架的声明；n 公司在最近财政年度末对与财务报告相关的内部控制有效性的评估，包括与财务报告相关的内部控制是否有效的声明；及n 公司的外部审计师在审计年报时，就管理层对与财务报告相关的内部控制有效性5、的评估已经签发了鉴证报告的声明。为了满足遵循萨班斯法案的要求，之XX通信有限责任公司对与财务报告相关的内部控制进行记录并编制本与财务报告相关的内部控制手册，作为评价内部控制有效性的依据。1.2 评价与财务报告相关的内部控制的有效性的评估架构XX采用美国反对虚假财务报告委员会的发起组织委员会（Committee of Sponsoring Organizations (“COSO”) of the Treadway Commission）颁布的COSO内部控制框架作为评估与财务报告相关的内部控制有效性的架构，从控制环境、风险评估、控制活动、信息和沟通以及监控等五个方面记录和评价与财务报告相关的内6、部控制。1.3 与财务报告相关的内部控制的定义萨班斯法案第404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括： 主要交易是如何启动、授权、记录、处理和报告在财务报告中； 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施； 其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制； 非经常性、非系统交易或财务估计的内控措施； 财务报表关账和汇总过程中的内控措施； 资产保护的控制措施； 公司层面的控制措施。1.4 内部控制手册的遵循内部控制手册所记录的与财务报告相关的内部控制适用于XX省公司本部及其地市7、公司。省公司和各地市公司应参照本内控手册的流程描述执行相关业务流程。业务流程中涉及的控制点省公司本部和各地市公司必须遵照执行。省公司本部及地市公司应比照本内部控制手册，对内部控制框架和其中涉及的业务流程进行差距分析并就差距产生的原因进行说明。对于控制点的缺失，如果不存在补偿性控制，应作为控制缺陷进行汇报。1.5 颁布日期本手册的颁布日期为20xx年1月1日2 公司层面的控制2.1 控制环境2.1.1 正直守德的价值取向管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。A1.1是否制定了行为准则和其它原则，以8、明确可以接受的商业行为、利益冲突的处理方式或员工行为的道德标准并确保这些准则和原则得以有效执行。XX出台了员工行为规范与XX通信有限责任公司服务行为规范，对员工的礼仪规范、待人接物、仪容仪表、工作纪律、保密原则、授权与责任、危机处理、个人发展以及对日常工作执行、汇报、沟通等方面做出了明确地规定。XX的企业文化中亦包括员工的基本职业道德标准方面的要求，体现了员工应当具备的道德素养以及应当遵循的行为原则。XX通过市场经营部、客户服务中心、网络部、财务部、纪检监察部等部门下发的具体管理办法或业务流程中明确公司可以接受的商业行为、利益冲突的处理方式，提出对员工的廉洁、资金安全、资产安全、信息披露、物资9、采购保密、安全保卫等方面的要求。XX制定相关制度并落实相关措施，要求关键岗位或者核心岗位的员工，每年就其了解和遵循可以接受的商业行为、利益冲突的处理方式的情况等进行书面声明，声明内容包括保守公司商业秘密、与公司利益相关各方是否存在利益冲突等。普通员工方面，在劳动合同中细化相应条款或原则性条款，并通过对员工进行宣传教育的方式，使其了解并遵循公司的各项要求。员工行为规范与XX通信有限责任公司服务行为规范通过OA下发，要求全体员工参照执行。XX还会在新进员工培训以及在职员工培训中包含行为规范培训、企业文化宣贯等方面的内容。此外，XX在日常工作中会结合企业文化的宣传，推行员工各项行为规范的内容。 除此10、之外，XX每年都会要求各部门和地市公司签订廉政公约，倡导员工廉洁自律，遵守公司的各项行为准则。XX各相关部门通过对员工的日常工作进行观察以及定期绩效考核来监督、检查员工对各项行为规范以及各部门制定的管理办法或业务流程的遵循程度。主要涉及部门：综合部、人力资源部、党群工作部、财务部、市场经营部、采购管理中心、规划技术部文件索引：员工行为规范XX通信有限责任公司服务行为规范行为规范培训资料XX通信有限责任公司员工手册XX通信有限责任公司廉政协议XX通信有限责任公司秘密载体保密管理规定XX通信有限责任公司资金管理办法XX通信有限责任公司固定资产管理办法XX客户投诉处理管理办法XX通信有限责任公司财务11、部廉政公约XX通信有限责任公司招标选型工作保密条例企业文化宣传专栏徐龙总经理的管理理念沟通100服务营销渠道服务规范计费业务中心安全保密制度“沟通100”服务厅安全管理规定XX通信有限责任公司员工收受礼品登记上交和处理暂行办法关于各级经理人员对外业务廉政规定的通知关于公司业务人员对外交往的廉政规定A1.2是否建立了“管理基调”，包括明确的道德规范以区分是非并确保公司全体员工了解和掌握。XX制定了本省的企业文化，明确了公司的总体管理基调。XX的企业文化包含企业使命、奋斗目标、企业核心价值观、企业精神、企业形象与人性化管理模式六个部分。企业使命：XX通信致力于“争创世界一流移动信息运营公司”，立足12、于做市场的“主导者”，技术的“引领者”，服务的“佼佼者”。公司视“客户为企业生命，员工为企业之本”，崇尚“沟通从心开始”的企业精神，把世界距离拉近，使人类联系更紧。奋斗目标：争创世界一流通信企业企业核心价值观： 尊重员工自我价值的实现； 客户是企业生命所在； 创新是可持续发展的动力； 发扬团队精神实现企业目标；企业精神：沟通从心开始企业形象： 在社会公众中的形象：责任型、贡献型； 在客户中的形象：优质、真诚； 在员工中的形象：公平、信任； 股东认可的形象：发展型、效益型； 在合作商中的形象：公正、廉洁； 在行业中的形象：守法经营、竞争双赢；人性化管理模式：企业要建立一种机制，使人性中的优点得到13、最大的发挥，使人性中的弱点得到最大限度的制约，从而使企业可持续发展与个人的需要满足和一生幸福得到最佳的结合。XX的企业文化中亦包括员工的基本职业道德标准方面的要求，体现了员工应当具备的道德素养以及应当遵循的行为原则。XX管理层通过下发正规文件、管理层会议及员工大会等形式向各个部门的管理者及全体员工传达公司的企业文化。各个部门管理者通过在日常工作过程中与员工的交流和对员工的监督强化公司的企业文化。XX通过在办公地点张贴宣传标语、发放企业文化宣传册、组织进行企业文化培训等手段，推动员工对企业文化的理解和接受，使员工理解和把握企业文化和管理理念。XX会根据总部的企业理念体系不断更新自身的企业文化，以14、确保与总部的总体管理基调一致。主要涉及部门：综合部文件索引：XX通信企业文化（文本）2005年企业文化建设实施意见A1.3如何对待员工、供应商、顾客、投资者、债权人、保险人、竞争对手和审计师等相关各方。（例如，管理者本身是否笃信诚信经营，并以此要求他人，抑或对此漠不关心。）XX的企业文化包含了XX对待员工、供应商、顾客等相关各方的处理原则。XX的企业精神倡导“沟通从心开始”。认为沟通无处不在、无时不有，公司与员工、与客户、与股东、与合作商、与社会公众等相关各方之间都需要基于真心、真诚的沟通。在树立企业形象方面，XX要求公司在员工中应当树立公平、信任的形象；在客户中应当树立优质、真诚的形象；在合15、作商中应当树立公正、廉洁的形象；在行业中要树立守法经营、竞争双赢的形象；在社会公众中，应当体现XX是责任性、贡献型的企业；在股东面前应当展现XX属于发展型、效益型的企业。主要涉及部门：综合部、财务部、市场经营部、采购管理中心文件索引：XX通信企业文化（文本）A1.4对于背离既有公司政策和程序或违反行为准则的行为，所能够采取的补救措施是否适当。以及这些措施被全公司员工所知悉的程度。XX在员工行为规范、服务行为规范以及与每位员工签订的劳动合同中概括性的规定了对于违背既有公司政策和程序或违反行为准则的惩罚措施，视情节轻重，有口头批评、绩效扣分、解除劳动合同等方式。在重要的业务流程中，网络部、客户服务16、中心等部门订立了相关的制度以及管理办法等，明确了对于背离既有政策和程序或违反行为准则的行为，应采取的补救措施和处罚手段。例如：网络部、业务支撑中心建立的事故应急预案等。XX在开展公司风险管理和评估工作的同时，基于对公司风险的定义和判断，确认业务流程中的风险点。对于高风险点，在梳理现有的政策和流程的基础上，对于政策和流程中尚缺乏的环节制定具体的违背既有公司政策和程序或违反行为准则行为的处理方式、相应的补救措施以及惩罚措施。各部门注意在细化制定处理政策和流程时互相协调、保持一致，形成XX的高度系统化的问题处理体系。为了让员工能够更好地掌握公司的各项规章制度，公司内部通过OA下发，在公司内部网站设立17、专栏，组织学习或日常工作中主管领导的指导等形式来传达公司各项规章制度。主要涉及部门：人力资源部、党群工作部、财务部、纪检监察部、市场经营部、 网络部、采购管理中心文件索引： 劳动合同文本媒体危机管理操作手册XX数据网网络安全管理实施细则（暂行）BOSS系统故障管理紧急故障处理工作手册XX通信有限责任公司法律案件管理暂行办法XX通信有限责任公司党风廉政建设责任追究办法企业职工奖惩条例XX本地传送网SDH传输设备维护规程XX通信网故障处理管理办法XX通信有限责任公司战备应急通信保障预案紧急故障处理流程业务规范A1.5管理者对于干涉正常程序或凌驾制度行为的不发生态度XX一贯重视端正管理者对于干涉正常18、程序或越权行为的态度，并努力杜绝此类现象的发生。XX在采购、付款、合同签订等方面制定了相应的规章制度以及具体的审批权限，以此来约束管理者干涉正常程序的行为，并要求管理者严格依照公司分配的权力、职责进行活动。同时，公司设有投资决策委员会由公司高级管理人员组成的专项委员会，对于制度规定的资产投资等实施集体决策，杜绝由单个管理者或者部门决策的情况以及管理者越权行为的发生。此外，XX制定的岗位轮换、交流、AB角色等制度，均从一定程度上对员工的行为进行了有利约束。XX通过党风廉政责任制建设以及管理者廉洁自律的有关规定强调规范工作流程，要求管理人员遵守相关法律、法规以及公司的各项规章制度等内容，未经公司决19、策管理程序，各级管理人员不得擅自决定重大事项。XX亦通过在OA等系统中固化审批权限、MIS系统远程办公等管理方式禁止管理者干涉正常程序或凌驾制度的行为的出现。管理层鼓励员工就其发现的越权行为进行报告，具体参见D2.2。主要涉及部门：综合部、人力资源部、党群工作部、财务部、纪检监察部、市场经营部、网络部、采购管理中心文件索引：XX通信有限责任公司合同管理办法合同签署流程XX物资采购管理办法关于明确物资采购申请有关问题的通知及相关附件XX通信有限责任公司物资采购招标选型实施方法资金付款流程XX通信有限责任公司差旅费开支规定物资采购流程签订合同呈批件请购呈批件XX通信有限责任公司经理人员廉洁自律实施20、办法（试行）A1.6是否面临达到不现实的目标的压力特别是短期业绩以及薪酬在多大程度上取决于是否达到业绩目标。（例如，考虑是否存在过度的刺激和诱惑，挑战人们对道德准则的遵守；薪水和晋升仅仅建立在短期目标是否实现的基础上）XX采用月薪制，薪酬由固定收入和变动收入两部分组成。其中，变动收入与员工个人的绩效考核结果直接相关。员工的绩效考核由关键绩效指标以及工作目标完成情况决定。同时员工的年度奖金还与员工的行为评价结果有关，部门和公司的整体业绩也会影响员工的薪酬水平。在订立员工的年度工作计划时，需要由员工及其上级经理共同讨论决定，并在取得员工认同签字后正式确定。除了工资与月度奖金以外，XX还根据员工的绩21、效情况，向员工发放年度的奖金，作为对员工的激励。在长期激励方面，XX为全体员工缴纳补充养老保险、商业保险等；为公司的经理层及骨干员工配备期权，调动中高级管理层以及专业技术骨干等人员的积极性，对其进行长期激励，促使员工更多地关注企业的长远发展和长期利益。主要涉及部门：人力资源部文件索引：XX通信有限责任公司绩效考核管理办法（暂行）XX通信有限责任公司员工薪酬发放管理办法XX通信有限责任公司员工认股期权行使办法部门经理年度绩效计划表员工年度绩效计划表2.1.2 胜任能力管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知识和技能。A2.1用正式或非正式的职责描述或其它方式定义某一22、职位的具体工作。XX针对公司的各个职位均编写了岗位说明书，界定了某一职位的岗位目的、主要应负责任、岗位的任职资格条件、上下级督导关系等内容。员工对工作职责和权限的理解一般通过其岗位说明书和与直接经理的沟通和实际工作获得。当公司组织机构、人员岗位、人员工作内容方面发生调整与变化的时候，XX会及时进行岗位说明书的更新。 主要涉及部门：人力资源部文件索引：岗位说明书A2.2充分分析开展具体工作所需的知识和技能。考虑： 管理层对特定的工作所需的知识和技能的程度进行了规定； 是否存在迹象表明员工具有必要的知识和技能XX在编写各个岗位的岗位说明书时即结合实际工作和岗位需要规定了开展具体工作所需的知识和技能23、，并明确在岗位说明书中。同时，在聘用员工时亦对应聘者的知识和能力有明确要求。在进行公司内部竞聘以及外部招聘的时候，都会将岗位职责与需求明确在招聘计划或招聘需求申请中，并通过面试、笔试等环节评价其是否具备与岗位相适应的知识和技能。公司通过对员工的绩效考核来衡量员工的工作能力、工作质量与工作表现，判断其是否具备与职位所对称的知识与技能。主要涉及部门：人力资源部文件索引：用人部门社聘需求社聘员工评估表招聘时公布的岗位职责空缺岗位竞聘评分表2.1.3 董事会及审核委员会一个积极有效的董事会及审核委员会，能够提供重要的监督功能。而且由于管理者通常有能力凌驾内部控制，董事会对于确保进行有效的内部控制具有至24、关重要的意义。A3.1独立于管理层，使得必要的（即使是困难的并需要追根究底的）疑问能够被提出。XX董事会由7名董事组成，均由总部任命。公司董事长为总经理，主持公司全面管理工作；其余董事协助董事长负责公司运营其他方面的管理工作，亦为公司高级管理层主要人员。主要涉及部门：综合部文件索引：XX通信有限责任公司章程公司章程批复A3.2当对某些特殊事项需要深入、直接的关注时，董事会及下属委员会是否参与。董事会中的7名董事成员均兼任公司管理层职务，且分管各个部门的具体事务，因此关心并且能够对所有重要和特殊事项进行深入、直接的关注并及时与其他董事进行沟通。由于董事都兼任公司管理层职务，并有具体分管部门，因此25、对于某些特殊事项、敏感信息、调查报告和违规行为，各个部门都有向主管董事汇报的职责。董事作为主管领导对这些信息都要给与足够关注，并最终决定解决方式。 主要涉及部门：综合部文件索引：董事会纪要A3.3董事的学识和经验XX的董事均具有良好教育背景以及多年的丰富的电信行业管理经验。 主要涉及部门：综合部文件索引：董事简历A3.4与首席财务官或财务总监、内部审计师、外部审计师进行会谈的频率和适时性。例如是否： 审核委员会非公开地会见首席财务官、内、外部审计师，讨论财务报告流程的合理性、内部控制系统、重要的建议和评价以及管理层的工作表现等。 审核委员会每年审阅内部和外部审计师的工作范围。XX的董事会每年至26、少召开一次会议，遇到涉及公司层面的重大决策即由董事长召开董事会统一进行决策。董事与公司的财务部总经理每月均就财务状况和相关信息进行沟通，上报总部的财务数据及报表需要经过董事会审批。财务部总经理亦将外部审计师的审计意见在审计工作完毕后向董事会进行汇报。总部内审部在完成对XX的内部审计后，将审计报告提交公司高级管理层即董事会成员审阅。主要涉及部门：董事会文件索引：无A3.5董事会及审核委员会成员是否能够得到充分而适时的信息，以监控管理层的目标和战略、公司的财务状况和经营成果，以及重要协议的条款。例如是否： 董事会和审核委员会定期获得主要的信息，例如财务报告、主要市场行为、重要合同、谈判等； 董事和27、委员们认为他们获得了充分适当的信息。XX董事会中的董事均兼任公司管理层职务，且分管各个部门的具体事务，因此能够及时获得充分而适时（每日、每周、每月等）的信息，包括公司的财务状况、经营成果、重大合同以及经营预算的实现程度等。主要涉及部门：董事会文件索引：无A3.6董事会及审核委员会是否能够充分而适时的获知敏感信息、调查报告和违规行为（例如：高级管理人员的差旅费、重大诉讼、监管机构的调查报告、挪用、贪污和滥用公司资产的行为、违反内部交易规定、政治献金、非法支付等）。是否存在相应的向董事会和审核委员会报告重大信息的程序；有关信息的传递是否及时。董事会成员可以通过董事会会议充分掌握重大、敏感信息；内审28、部定期向分管内审监查的高级管理层即董事汇报有关工作及建议，同时会视情节轻重向董事会报告；另外，由于董事会的董事均兼任公司管理层职务，且分管各个部门的具体事务，因此如果发生重大事项，执行董事能够及时且充分的获知相关的敏感信息、调查报告和违规行为。如果事项重大，董事长有权召开紧急董事会，以商讨对策。主要涉及部门：董事会文件索引：无A3.7对确定高管人员和内审主管的薪酬以及对这些人员的聘用和解雇进行监控。XX高级管理层在上市时的薪酬由总部统一决策，不由XX掌握。以后年度的高级管理层的薪酬根据每年XX的业绩考核结果来决定。管理层的聘用和解聘由总部统一确定。地市公司高级管理层的薪酬水平由XX管理层根据地29、市公司年度的业绩考核结果确定，其聘用和解聘亦由XX管理层决定。主要涉及部门：董事会文件索引：无A3.8在确立“管理基调”过程中所扮演的角色。董事会充分参与了建立XX管理理念体系的讨论；对于现行的公司管理方式、方法，董事会强调管理层应该始终如一的贯彻，严格遵守公司基本行为规范并对此进行监督。主要涉及部门：董事会文件索引：无A3.9董事会及董事会专门委员会在发现问题后能够采取的措施，包括进行特殊调查。董事会就获知的问题或事项，确定问题的责任部门、处理措施以及进行后续监督检查的副总裁，相关问题记录于董事会会议纪要。主要涉及部门：董事会文件索引：无2.1.4 管理哲学和经营风格管理哲学和经营风格通常对30、企业有普遍深入的影响。这些影响是无形的，但可以找到一些积极和消极的标志。A4.1对待经营风险的接受态度，比如管理层是否经常进行高风险投资，或者是否在接受风险方面表现得极端保守。管理层是否在进行投资前谨慎分析风险和收益。XX管理层对待经营风险持谨慎的态度，对外投资、通信建设项目投资与新业务开发等投资的开展均须经过事前的充分的论证和分析，并最终由公司管理层严格把握控制投资项目的确立与实施。 XX遵守总部的规定，未经批准，严格禁止以任何形式对外出借资金，为其他单位提供担保、抵押或质押。就新业务开发等而言，由于制度环境、市场环境方面的变化，对新业务进行市场需求分析和投资收益预测后，由总经理办公会做出决31、策。就通信建设项目投资而言，计划部在年初制定年度投资计划时，即需要对经营现状、业务需求、项目可行性等方面进行分析；在确定项目投资时，考虑制度环境、市场环境方面的变化，参考以往的经验，对投资风险、投资收益、竞争者等方面的分析、评估，由投资决策委员会做出理性决策。主要涉及部门：财务部、市场经营部、网络部、规划技术部文件索引：5E74度投资计划工程可行性研究报告可行性研究批复项目投资决策呈批件投资决策会纪要项目后评估报告A4.2关键岗位的人员流动情况，比如，经营、会计、数据处理以及内部审计。例如是否： 管理层和管理人员的流动过于频繁； 关键人员在突然或短暂通知的情况下离开； 在关键岗位上，例如财务、32、营运、数据维护、内部审计，人员流动保持在稳定和满意的水平上。目前，XX的人员流动情况处于正常的水平，公司依照相关规定，对任期内的中、高级管理人员进行人员交流和岗位轮换。公司管理人员以及财务、运营、数据维护等关键岗位人员较为稳定，尚未发生关键岗位人员在突然或短暂通知的情况下离开的情况。公司通过建立有效的绩效考核机制，对中高层员工实施认股期权计划以及对实施积极的人力资源政策等方式激励员工，维持合理的人员流动水平。公司与员工均签订劳动合同和保密协议，在一定程度上，保持了岗位的稳定性，保护了公司的重要信息。此外，公司的企业文化重视员工的发展，通过对企业文化的宣传贯彻，提高员工对公司的满意度以及员工自身33、的综合素质，增强企业的凝聚力，在一定程度上也避免了关键岗位人员的流失。XX每年会进行人员流动的统计记录，及时掌握人员流动状况，并结合用人需求进行人员调配与聘用。主要涉及部门：人力资源部文件索引：XX通信有限责任公司劳动合同管理规定月度人员变动登记表关于规范跨公司任职人员管理的通知A4.3管理层对待数据处理和财务职能的态度，以及其对可靠的财务报告和资产保护的关注程度。例如是否： 财务职能除被赋予核算中心的功能外，亦被视为对公司各种经营活动实施控制的主体； 在财务报告中采用的会计政策总是导致高估收入； 如果财务职能在企业中分散管理，营运管理层对报告的结果进行签字确认； 对于重要资产，包括无形资产和34、信息不会被未经授权地获得或使用。网络部、业务支撑中心负责公司的主营业务相关的收入及结算费用等核心数据的采集及处理，对于确保构成财务报告原始数据的准确性起着重要作用。管理层十分重视关键业务处理系统的建立和发展，根据业务发展情况不断升级改造网络系统、BOSS系统等关键业务处理系统，以增强业务系统的数据处理能力。管理层还专门投资建立了经营分析系统，为省公司市场经营部、财务部、客户服务中心、规划技术部以及各地市公司提供经营分析数据，提高了市场、财务等方面经营分析所需数据的准确性与及时性。XX亦十分关注人员的配备，核心数据处理部门大多数员工为研究生，以确保员工有足够的学识和能力。 在对待财务职能方面，X35、X一直倡导策略财务的模式。除了将财务部作为日常账务核算部门以外，XX还赋予财务部进行全面预算管理、市场营销方案决策、公司层面的经营考核等功能。公司管理层认识到财务职能对公司的管理的重要性，加强了MIS系统的开发和维护，以及资产辅助管理系统的开发，以确保财务报表数据的准确性、及时性与完整性。管理层亦要求公司的会计政策遵循谨慎性原则。主要涉及部门：财务部、市场经营部、网络部、业务支撑中心文件索引：月度财务分析财务专题分析市场月度经营分析报告市场经营专题报告XX通信有限责任公司业务运营支撑系统（BOSS）服务器与数据库用户管理规范XX通信有限责任公司业务运营支撑系统操作日志管理制度关于印发XX网络安36、全日常基础工作规范的通知XX数据网网络安全管理实施细则A4.4高层管理人员和经营管理人员的交流和互动的频率，尤其是对于地理距离较远的经营地点。如高级管理层是否经常现场视察分支机构的经营情况，公司或分支机构的管理层会议是否经常召开。XX每年年末召开全省工作会议，进行上年度总结与下年度的工作计划。年中召开全省半年度工作会议，对阶段性的工作进行总结，就经营过程中的重要事项进行讨论。每月度，省公司召开生产经营分析会。省公司各部门每年度会不定期召开全省专业工作会。此外，管理层还会临时根据经营情况召开专题性的总经理座谈会等会议。对于日常经营事务的考察，网络部、业务支撑中心均制定了组巡制度，定期对业务流程的37、不同方面进行全面的考察。财务部、市场经营部、客户服务中心等其他部门会对各地市公司进行不定期的视察或检查工作。主要涉及部门：综合部、财务部、市场经营部、网络部文件索引：2005年工作会议报告市场部月度运营分析会汇报材料财务部月度运营分析会汇报材料XX通信有限责任公司财务 检查办法财务专项调研报告月度财务检查通报会计基础工作整改报告网络组巡通报A4.5对财务报告的态度和采取的行动，包括会计处理的争议（例如选择保守的或冒进的会计政策；会计原则是否被误用；是否存在未披露的重要财务信息；是否存在操纵、篡改会计记录的现象）。XX采取谨慎的会计处理原则并努力确保财务报告的准确和公允。目前，公司与外部审计师之38、间没有就会计处理产生过较大争议，外部审计师亦未提出过审计调整。 就信息披露而言，为满足总部对于披露的要求，XX制定了对外业绩披露流程，明确了信息披露的部门、信息披露的流程等，以确保披露信息符合总部的要求。 主要涉及部门： 财务部文件索引：无2.1.5 组织结构公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控，同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。A5.1公司组织结构的适当性，以及该结构为管理公司运作提供必要信息的能力。例如是否： 考虑到公司的实际经营情况，组织结构即不过分集中也不过分分散； 组织结构有利于信息39、的上行下达并且贯穿所有经营行为。XX各主要部门的组织结构比较清晰，职责比较明确。且各部门均有经过公司管理层审批的书面部门职责描述。公司的现有组织结构对于信息的上传下达较为有利。XX会按照公司管理层的意见、业务需求部门的意见或者人力资源部的意见，综合考虑市场变化、业务发展需求、网络发展等，根据实际需要对组织结构进行调整，并在组织结构调整后进一步确定调整的组织结构是否合理，并进行持续改进。主要涉及部门：人力资源部文件索引： 组织机构图部门职责描述A5.2对关键管理人员职责定义的充分性，以及其对自身职责的理解程度。例如是否： 经营职责和管理层对企业经营活动的期望被明确传达给管理这些活动的管理人员。X40、X的岗位说明书对关键管理人员的职责定义较为恰当。关键管理人员一方面通过阅读岗位说明书了解自身职责；另一方面，公司的各类专业会议、部门会议、日常工作中的沟通交流均形成员工，包括关键管理人员，理解其自身职责定义的渠道。同时，关键管理人员在确定工作计划时，会与上级经理充分讨论工作目标以及KPI指标，逐步深化对自身职责的理解。XX每季度以及年末会对员工进行绩效考核，关键管理人员可以通过绩效考核结果以及管理层的反馈意见进一步了解自身工作岗位的职责以及公司对其的期望。主要涉及部门：人力资源部文件索引：部门经理级年度绩效评估表员工年度绩效评估表A5.3关键管理人员是否具备足够的知识和经验以履行其职责。XX通41、过每季度以及年末对员工，包括关键管理人员，进行绩效考核以持续了解其是否具备足够的知识和经验以履行其职责。除了对员工进行工作质量、工作效率等方面的绩效考核之外，还对员工的服务意识、团队精神、职业操守等方面进行考核。 主要涉及部门：人力资源部文件索引：无A5.4汇报关系的适当性。例如是否： 建立了正式或非正式的, 直接或矩阵式的报告关系，并且能够向管理人员提供与其职责和权限相当的适当信息； 经营活动的管理人员可通过适当的渠道同高级管理人员进行沟通； 信息技术安全制度及安全标准已涵盖主要信息技术控制领域； 信息技术安全制度及安全标准可与相关部门和子公司进行充分沟通； 信息技术部门了解SOX法案的要求42、并将相关控制要求体现于内控制度文档。根据XX的组织结构，管理层建立了相应的自下而上的报告关系，使各部门能够及时与主管管理层进行沟通。各部门内部可通过每周或每月的部门例会，确保信息及时提供给部门管理层；部门之间可以通过日常沟通与协调会确保各部门之间的横向信息沟通与联系；除了日常沟通外，XX通过每周召开总经理办公会，每月举行月度生产经营分析会，确保市场经营部、网络部、财务部等部门管理层以及公司主管管理层及时获知相关经营信息。XX亦根据萨班斯法案的要求及遵循总部有关信息技术管理制度的基础上，细化制定XX相关的信息技术管理制度，并将这些制度通过内控项目组推行至各相关部门。主要涉及部门：综合部、人力资源43、部、网络部、管理信息部、业务支撑中心文件索引：无A5.5为适应经营环境变化而对组织结构进行相应改变的程度。例如是否： 管理层根据业务或行业的变更定期评价公司的组织结构同A5.1。主要涉及部门：人力资源部文件索引：无A5.6确保有足够的员工，尤其是管理和监督人员。例如是否： 经理和主管人员有充足的时间来有效地履行职责； 经理和主管人员需要过多地加班且工作负担超出个人负荷。XX管理层认为员工数量基本可以与公司的发展相匹配。XX的各个经营管理方面均由公司总经理或副总经理直接分管，各个部门以及下属科室也配备了与业务相当的管理人员。管理层亦在经营管理过程中，注意平衡部门的岗位与员工的工作量。各关键部门，44、诸如市场经营、数据、网络、业务支撑、财务等部门，基本可以保证有足够的员工进行日常工作。经理和主管人员可以较为有效地履行职责。XX的业务发展迅速，人力资源部会根据岗位需求和空缺的情况进行内部竞聘。每年，XX亦会根据用人需求，开展应届毕业生的校园招聘和针对专业人员的社会招聘。因此员工数量基本可以与业务发展保持匹配，现有的用人缺口反馈机制和聘用机制可以保证人员的及时补充。主要涉及部门：人力资源部、财务部文件索引：无2.1.6 职权和职责的分配职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确个人的角色分工奠定了基础。A6.1适当分配职责并下放职权，以实现公司目标、完成经营职能和遵45、循法律法规的要求，包括信息系统中的职责分配和对职责变更的授权，考虑是否： 不同的职责和权限适当地分配给公司的全体员工； 决策权与员工的职责和权限相关联； 职责和权限的分配以充分的信息为依据。XX管理层根据部门结构、员工的职级以及其具体的工作范围和性质分配职责并赋予相应职权，并体现在岗位说明书中。全体员工按照分配的职责和权限开展日常工作。公司在招投标、采购、合同审批以及费用审批等方面，均制定了相关的制度，明确不同职责和权限的管理层的审批权限。员工在BOSS、网管、MIS、OA等信息系统中的使用权限根据其职责范围进行设置。对于BOSS、网管内的权限设置，均会由系统管理人员及时根据各部门的需求进行系46、统内的设置，并定期对员工在信息系统中的访问和使用权限比照其职责范围进行审阅，以确保其在信息系统中的职权设置与实际工作中的职责范围相一致，并对存在的差异及时进行跟进和修正。对于OA中的权限设置与修改，会根据人力资源系统的修改而自动触发，确保权限设置的及时性与准确性。主要涉及部门：人力资源部、业务支撑中心、管理信息部、网络部文件索引：广州区域BOSS业务系统工号权限管理办法BOSS系统工号权限年度清理审批表A6.2与控制相关的标准和程序的适当性，包括员工的职责描述。例如是否： 存在对员工的职责描述，至少针对管理层和业务主管人员； 员工职责描述中特别涉及其与控制相关的职责。同A5.2。主要涉及部门：47、人力资源部文件索引：无A6.3有适当数量的员工，尤其是对于数据处理和财务岗位。员工具备与企业规模、经营行为和系统的特点和复杂程度相适应的技能水平。同A5.6。主要涉及部门：人力资源部文件索引：无A6.4是否赋予员工与其职责相适应的职权，例如是否： 适当平衡完成工作所需的职权和高级管理人员的参与之间的关系； 员工有权纠正发现的问题或实施改进措施，相关权限根据员工能力和职权界限进行履行。管理层根据员工的工作责任、专业知识和技能以及过往表现分配职责并赋予相应的职权。对于关键岗位人员，如业务支撑、网络开发、信息系统维护等，根据风险和重要性原则，由管理层向经验丰富、工作能力强的人员委派职责、建立职权，以48、确保经营活动的顺利进行。根据职责要求，员工有权纠正发现的问题或实施改进措施。 主要涉及部门：人力资源部文件索引：无2.1.7 人力资源政策和实务适当的人力资源政策对于企业招聘并留住有能力的员工，以确保企业计划正确执行并达到既定目标，具有决定性的作用。A7.1是否存在适当的雇佣、培训、提拔和薪酬政策和程序。例如是否： 存在政策和程序来招聘或培养胜任并且可信赖的员工，这些员工对支持一个有效的内部控制系统是必须的； 对招聘和培训合适的员工给予适当关注； 如果不存在书面的政策和程序，管理层就招聘员工的期望进行沟通或亲自参与招聘过程；XX存在完善的雇佣、培训、考核和任免以及薪酬管理的政策和程序。 雇佣公49、司制定了XX通信有限责任公司非经理人员招聘管理办法。招聘新员工由用人部门提出需求，人力资源部制定招聘计划，按照岗位需求，采取内部竞聘、社会招聘或者校园招聘的方式选聘人才。用人部门和人力资源部的综合考评小组对应聘人员进行评价，并按管理权限和有关管理规定报主管管理层审批。 培训XX规定各部门应在每年年底向人力资源部报送下一年度培训计划，经人力资源部汇总并报公司主管管理层批准后执行。人力资源部负责落实年度培训计划，并监控培训计划的执行情况。 考核和任免XX的员工的职位变更和薪酬调整根据每年年末的个人综合业绩评估决定，各部门员工的职位变更和薪酬变动需要经过本部门管理层的审批，报人力资源部备案。对于地市50、公司中、高级管理人员以及省公司高级管理层的考核与任免，XX经过对被选人德、能、勤、绩、廉五方面的评价，报公司管理层最终审批。 薪酬每季度末及每年年末， XX对全体员工进行绩效考核，根据考核结果及员工职级等相关因素决定员工的变动收入水平，根据年终考核结果及员工职级等相关因素决定下一年度固定收入水平。主要涉及部门：人力资源部 文件索引：XX通信有限责任公司非经理人员招聘管理办法XX通信有限责任公司员工教育培训管理规定年度省公司培训计划表员工岗前培训资料XX通信有限责任公司非经理人员套入职级晋升管理暂行办法XX通信有限责任公司经理人员选拔任用管理办法（暂行）A7.2员工了解其职责和公司对其期望的程度51、。例如是否： 新员工知悉其工作职责和管理层对其的期望； 主管人员定期审阅雇员的工作履行情况并提出改进建议同A5.2。主要涉及部门：人力资源部文件索引：无A7.3是否有适当的措施对违背既定政策和流程的行为予以补救。例如： 管理层履职不当时的反应是否适当； 在未能遵守既定政策的情况下，是否采取适当的纠正行为； 员工是否知晓其不当表现将导致不良后果。同A1.4。主要涉及部门：人力资源部文件索引：无A7.4人力资源政策在多大程度上涉及遵循道德标准这一问题。例如正直和道德标准在员工业绩评估时是否是一个重要的标准。在员工年度绩效考核中，除了考核员工的工作效率、工作质量等内容以外，还对员工的服务意识、创新精52、神、团队精神、职业操守和管理开发方面。主要涉及部门：人力资源部文件索引：部门经理级年度绩效评估表员工年度绩效评估表A7.5是否对应聘者的背景进行了充分的背景调查，特别是针对以前的某些可能与公司行为准则相抵触的行为和活动。XX一般通过内部竞聘和外部招聘的方法招聘员工。在内部竞聘过程中，会对竞聘人员的以往工作业绩、表现、品德等方面在员工之间进行调查了解；在外部招聘中，综合考评小组根据各用人部门的要求对应聘者进行筛选，并进行资历和背景调查，了解应聘者的过往记录，关注其是否从事过有违公司行为准则和道德规范的行为，以协助聘用决策的做出。主要涉及部门：人力资源部文件索引：无A7.6雇员留用和提拔的标准以及53、信息收集方式（比如业绩评估）的充分性，以及这些标准与员工行为准则的关系。例如是否： 升职和加薪的标准得以详细描述，从而使员工知晓达到何种管理层的期望才能得到升职和加薪； 这些标准遵守了行为准则公司制定了相应的政策，对薪酬变动标准进行明确的规定，相关政策通过OA等有效渠道传达给全体员工，以便于其知晓。XX在XX通信有限责任公司非经理人员套入职级晋升管理暂行办法以及XX通信有限责任公司经理人员选拔任用管理办法（暂行）中明确规定了普通员工与高级管理人员的晋升标准，以便员工了解在工作或者道德方面做到何种程度既有晋升的机会。每年末，XX均对员工进行年度绩效考评，员工编写年度工作总结对年度工作目标实现情况54、进行自我评估。各部门管理人员与员工进行沟通，根据关键绩效指标和工作目标完成情况以及员工的综合素质进行评价，并与员工充分沟通评估结果。年度绩效考评作为员工任免与薪酬调整的依据。各级管理人员将评估结果上报部门总经理批准，并交人力资源部门。 主要涉及部门：人力资源部文件索引：XX通信有限责任公司职位管理暂行办法2.1.8 信息技术战略规划信息技术战略规划是企业为满足业务需要所制定的长期规划，该规划需平衡优化信息技术发展的机会与企业业务需求间的关系，以保证其可以得到进一步的实施完成。A8.1XX的信息技术战略规划主要考虑以下几个方面： XX是否制定了长期的信息技术战略规划； 信息技术战略规划内容的简单55、描述； 信息技术战略规划的制定流程及审批流程； 信息技术战略规划是否支持业务发展的需要； 业务发展的需要是如何通过信息技术战略规划的制定流程体现到规划当中，（如：业务部门参与信息技术规划的制定）； 如何对信息技术规划的情况进行追踪及更新； XX信息技术的最高管理机构及其成员构成情况； 信息技术最高管理机构的主要职责功能，及其对信息技术战略规划制定、审批、跟踪等各方面流程的参与。信息技术最高管理机构进行决策的方式（如：定期会议，项目会议，各信息部门的定期汇报机制等）每年XX由各信息技术部门（包括管理信息部、业务支撑中心及网络部）根据公司整体战略发展方向，三年期信息技术发展规划及外部专家的行业先进56、经验制定XX关于信息技术方面的五年发展规划（目前为十一五发展规划），三年滚动发展规划及年度发展计划。XX信息技术方面的发展规划由信息技术部门及各业务部门负责人讨论并结合各部门反馈意见后进行修订，并包含在XX五年发展规划中，经总经理办公会审批后正式下发。目前，XX成立投资决策委员会，负责对公司包括信息技术项目在内投资项目的审批。投资决策委员会成员包括XX总经理，各分管副总经理及各信息技术部门及业务部门经理。投资决策委员会在年度及重要项目进行时召开会议，对信息技术的发展及项目的管理作最终决策。主要涉及部门：网络部、业务支撑中心，管理信息部文件索引： 2005年XX十一五发展规划（信息技术部分）；信57、息技术方面规划讨论会的会议纪要样本；XX年度信息技术方面发展计划；2.1.9 信息技术组织架构及关系企业应当建立一个具有足够数量和技能人员的组织并明确的定义其角色和职责、以有效地根据业务需求执行企业的信息技术战略规划，并执行充分的信息技术控制。A9.1 信息技术部门的组织和人员构成 现有信息技术部门的员工数量，学历背景及工作经验情况。人员的能力是否能够满足信息技术工作的需要； 是否对信息部门员工制定了正式的岗位职责； 岗位职责设定是否考虑职责分工及内部控制方面要求。目前XX信息技术部门主要包括网络部、业务支撑中心、管理信息部分别负责基础网系统、生产网系统、办公网系统的开发维护管理等职能。XX信58、息技术部门员工基本为本科以上学历，人力资源部根据各信息技术部门提供的岗位任职资格招收员工，以确保员工有足够的学识和能力。各信息技术部门对各岗位的职责已制定了岗位职责描述，岗位职责设定中已考虑了职责分工方面的要求。XX通过竞聘上岗的方式，将各信息技术部门岗位职责落实到具体的员工，并通过公文形式进行公示。各信息技术部门每年通过对员工的绩效考评计划，对各员工的岗位职责进行更新定义。有关岗位职责描述具体内容，参见A6.1。主要涉及部门：人力资源部、网络部，管理信息部，业务支撑中心文件索引：信息技术部门员工岗位职责描述 样本 竞聘上岗结果的公示样本信息技术部门员工绩效考评计划 样本A9.2信息技术部门的59、管理方式 省公司信息技术部门对各巿公司信息技术部门的管理关系。 通过何种形式进行管理。 (如：政策，监督，定期审查，汇报机制，会议机制等) 管理所涉及的内容。 (如：运行情况，安全情况，项目开发等)XX管理信息部每周各室经理通过运行情况周报向部门总经理报告系统的运行、开发情况及安全情况。部门总经理对周报进行汇总后向公司分管副总进行报告。业务支撑中心每周由各区域中心负责人向省公司提交业务运行和系统维护情况报告，省公司各室经理每周向部门总经理提交内部工作通报，每月业务支撑中心向公司分管副总及各相关业务部门负责人提交业务支撑工作通报，内容包括系统运行、业务运作及项目建设等各方面情况及存在的问题。网络60、部通过月度网络质量分析会（由部门总经理及各室经理参加）对系统及业务运行情况及存在问题进行讨论总结，并形成月度网络运行情况通报，发送公司领导。同总部，XX根据目前实行的业务支撑系统上报规定，通过网站向总部信息技术部门汇报系统运行情况，重大项目开发进度、重大安全事故及其他重大事项。主要涉及部门：网络部，管理信息部，业务支撑中心文件索引：管理信息部室经理提交的运行情况周报样本管理信息部对分管副总的周报样本业务支撑中心区域中心提交业务运行和系统维护情况报告的样本业务支撑中心业务支撑工作通报的样本网络部月度网络运行情况通报样本2.1.10 信息技术部门的人力资源管理人力资源管理用以保证获得并保持具有胜任61、信息技术工作能力的员工以保证信息技术工作的顺利进行。A10.1员工培训 是否制定对信息技术部门员工培训的培训计划。培训的主要方式（如：内部培训，外部厂商培训等）每年年底人力资源部会根据各部门的培训需求制定第二年的培训计划，包括公司内部培训及外部培训。员工根据XX的培训课程计划选择培训内容，报部门主管审核确认。此外在新项目上线前后，各信息技术部门负责人也会会根据员工职责，组织相关工作岗位的员工进行相关的厂商培训及专业培训。主要涉及部门：人力资源部，网络部，管理信息部，业务支撑中心文件索引：XX2005年度培训计划A10.2信息技术部门的人员备份机制XX对于各信息技术部门的重要岗位建立正式的AB岗62、位机制，并对AB岗的指定做书面记录。主要涉及部门：人力资源部，网络部，管理信息部，业务支撑中心文件索引：无A10.3员工的考评 对信息技术部门员工的考评方式及考评结果对员工的影响根据公司考核体系，XX每年按信息技术部门员工的岗位职责对信息技术部门员工制定绩效考核计划，按照一系列关键绩效指标（“KPI”）及目标任务（“GS”）完成情况进行定期的绩效考核。员工绩效考核结果同职工升职及薪酬挂钩。有关绩效考核内容和方式，具体可参见 和。主要涉及部门：人力资源部文件索引：绩效考核结果对薪酬影响的制度2.1.11 用户教育和培训用户教育和培训用于保证企业最终用户可以有效的利用信息技术资源，并对信息风险以及63、个人相应职责保持应有的警觉。A11.1信息技术部门对公司内部普通员工的培训。例如是否： 是否制定对公司普通员工的信息技术培训计划; 对员工信息技术培训的主要内容（如：应用系统使用，信息技术技能，系统安全实践，保密准则，及内控方面要求等）人力资源部统筹安排员工培训工作。涉及信息技术技能及新系统实施项目的普通员工操作技能培训纳入XX公司整体的培训计划或项目的实施计划，每年根据系统建设和使用情况设计课程。对于新进员工则由人力资源部及各业务部门组织对新进员工的信息技术方面培训。公司对目前在职的员工进行相关的信息安全培训，同时在新员工入职教育时增加相应的培训内容。主要涉及部门：人力资源部文件索引：系统上64、线前的用户培训计划和培训记录样本员工入职教育培训与信息技术相关的培训计划2.2 风险评估2.2.1 企业层面目标当企业存在有效的控制时，应已先行建立了目标。企业层面的目标中包括了与企业希望取得的成就有关的充分陈述，并以相关战略计划作为支持。描述企业已经建立的企业层面的目标和主要战略计划。B1.1在多大程度上，企业层面的目标充分提供了企业期望获得的成就的陈述和指导，并且此目标足够具体，与本企业直接相关。例如是否： 管理层建立了企业层面的目标； 这个企业层面目标不同于那种适用于所有企业的一般性的目标（例如，有充足的现金流量；或者对投资产生合理的回报等）。在总部的长期战略目标的指导下，XX将自身2065、05年2007年的公司战略目标确立为“创新企业运营模式，全面提升客户价值，争创世界一流移动信息运营公司”。为了实现三年的战略目标，XX将自身定位于成为移动通信市场和竞争的主导者，通信消费时尚的引领者，产业生态圈的整合者，以及成为高价值客户的第一选择，力争对社会创造最大贡献。同时，为了全面系统地评估和衡量公司业绩与战略目标的实现程度，XX从财务、客户、内部运营和学习发展四个角度设置了衡量指标，形成了XX的战略指标体系。主要涉及部门：综合部、规划技术部文件索引：XX20052007年发展战略纲要XX“十一五”2G网络规划B1.2企业层面目标是否有效地传达给了员工和董事会。XX以“创新企业运营模式，66、全面提升客户价值，争创世界一流移动信息运营公司”作为公司的战略目标。在公司发展战略确立的过程中，省公司管理层以及市场、财务、规划技术、网络等部门均参与目标的确立和发展策略的制定过程。同时，公司的战略目标与措施会具体体现在年度业务发展计划中。每年，公司管理层均会以年度工作会议的形式向全体员工宣传贯彻公司的发展方向，使全体员工知晓公司的战略目标与措施以及本年度的具体发展方向。主要涉及部门：综合部文件索引：XX20052007年发展战略纲要B1.3企业战略是否跟企业层面目标保持关联和一致。为了实现公司战略目标，XX将战略路径确立为依托规模经济和范围经济的协同作用，继续实施差异化战略，进一步发挥先动优67、势，将资源优势转化为能力优势，全力培育和锻造客户需求识别能力、业务服务创新能力、产业生态资源整合能力和执行能力，确保将2G形成的优势延续到3G，从而创新企业运营模式，全面提升客户价值，实现三年战略目标。具体来讲，2005年-2007年的战略措施为： 精心打造品牌形象，提升品牌价值，巩固市场主导地位； 实施客户忠诚度工程，提升客户价值，确立行业服务标杆形象； 整合产业价值链，提升生态价值，引领通信消费时尚； 持续打造优质网络，提升网络服务水平，继续保持网络优势； 加强运营支撑系统建设，提升企业信息化水平，建成灵敏的数字神经系统； 全面实施精细管理，增强成本控制能力，提升股东价值； 推进组织变革，68、建立创新机制，以先动优势引领市场； 建立人才价值体系，强化人力资本管理，提升员工价值； 深化企业文化实践，提升企业整体价值，彰显企业社会贡献；和 坚持科学发展观，实施梯度发展梯次推进，确立全面领先地位。主要涉及部门：综合部、规划技术部文件索引：XX20052007年发展战略纲要B1.4企业的业务发展计划和预算以及企业层面的目标、企业战略计划和企业现状之间是否保持一致。例如是否： 计划和预算中的假设和前提反映了企业的历史经验和现状； 计划和预算具有适当的详略程度以满足不同级别管理层的需要为达到公司的战略目标，XX制定了相应的战略措施，在制定年度的业务发展计划和预算过程中，会结合公司的战略规划的内69、容。 XX执行全面预算管理，强调从企业战略出发，通过预测和目标设定、业务计划编制、预算编制、预算审批和下达、预算执行控制、预算报告和分析、预算调整、预算绩效考核，将预算的事前编制、事中控制和事后分析考核的各个环节作为一个整体进行管理，充分保证XX的业务发展计划和预算以及长期战略目标、企业战略计划和企业现状之间保持一致。 主要涉及部门：综合部、财务部、规划技术部文件索引：XX通信有限责任公司资金支出预算管理办法(试行)2.2.2 经营活动目标经营活动目标产生于公司层面目标和企业战略，并与其相联系。经营活动目标经常被表述为具有特定目的和最终期限的目标。对每个重要的经营活动都应该建立目标，这些经营活70、动目标应该保持互相一致。B2.1是否将经营活动目标与公司层面目标和战略计划相关联。例如是否： 所有重要的经营活动目标是否相关联； 经营活动目标得以定期审阅以确保其相关性。XX在三年发展战略的大框架下，在总部下达的各项经营指标的基础上，由省公司各部门、各地市公司将总部的指标进行分解并制定本部门、本地市公司的年度工作计划，使之服务于公司层面目标和战略。省公司各部门以及地市公司将经营活动目标报送省公司管理层批准。省公司各部门以及地市公司根据不同的业务流程现状及发展要求明确达成经营活动目标所需实施的阶段性措施、主要工作及项目，并分解为月度工作计划。省公司每季度均对地市公司进行绩效考核，针对不同的关键绩71、效指标和工作目标等内容的完成情况进行评估，便于管理层直接对年度工作计划的实现程度进行监控。XX管理层亦可以通过月度生产经营分析会等形式了解、掌握工作计划的完成情况。主要涉及部门：财务部、市场经营部、网络部文件索引：年度市场经营工作安排年度网络管理工作安排年度网络部工作细分推进表网络部月度工作计划员工月度工作计划B2.2经营活动目标相互之间是否具有一致性。XX年度工作计划的制定，目的是在完成总部下发的各项运营指标的基础上，逐步实现公司的发展战略。所以XX的各个部门制定的工作计划需要保持高度统一，其所要达到的各项经营活动目标亦应具备一致性。为了确保年度工作计划与经营活动目标相互之间的一致性，XX管72、理层会审批年度工作计划，并分解至省公司各业务部门以及地市公司。同时通过绩效考核对重要经营活动的目标进行总体监控。主要涉及部门：财务部、市场经营部、网络部文件索引：XX通信有限责任公司2005年度经营业绩考核办法B2.3经营活动目标针对主要业务流程的适当性。例如是否： 就与商品和服务及其支持性业务流程相关的关键经营活动建立了目标； 经营活动目标跟以往的实践和经验或行业特点和惯例相一致，并可对存在的差异进行解释； 针对各重要的经营活动均建立了目标。在XX的公司层面目标与企业战略的大框架下，各个部门均制定了本部门的年度经营活动目标，使之服务于公司层面目标和战略规划。在经营活动目标的制定过程中，管理层73、参照公司以往的实践经验、市场发展和和行业特点；由于行业内企业具有相似的目标和经营模式，在特定目标设定和评价过程中，管理层不仅考虑公司的历史情况，还与同业情况进行对比。主要涉及部门：财务部、市场经营部、网络部文件索引：无B2.4经营活动目标的特征性，例如目标是否包括衡量标准。XX从20xx年开始，实施OGSM项目，将省公司各部门以及地市公司当年的工作计划逐层分解，每季度进行绩效考核。分解过程中，将各个阶段的工作目标与标杆企业、实现目标的策略、具体措施、关键绩效指标、关键管理指标、实现工作目标的时间安排、落实工作目标的人员以及配合部门一一对应起来。XX将关键绩效指标分为ABC三类。A类指标为集团公74、司下达的运营收入、税前利润、客户满意度等指标；B类指标为客户满意度提升一体化、投资项目管理一体化与收入保障一体化等一体化管理指标，专门针对公司管理关键点与公司管理短板设定的；C类指标为创新、县域经济、集团信息化收入和重点新业务发展指标。主要涉及部门：财务部、人力资源部、市场经营部、网络部文件索引：XX通信有限责任公司2005年度经营业绩考核办法B2.5有充足的资源支持目标，例如是否： 管理层能够确定实现目标所需的资源； 为获得必要的资源制定了计划（例如，资金、人力资源、设施、技术）。XX实行全面预算管理体系，根据年度业务发展计划，各部门就达成经营目标所需的资源进行规划并通过年度预算上报给管理层75、审批，以保证各经营目标的实现能够取得技术以及投资方面充足且及时的支持。人力资源方面，各部门会依据下年度的工作计划安排人员，将具备较好工作胜任能力的员工安排到业务发展的重要岗位；如果人员出现缺口，则将人员需求及时上报人力资源部。由人力资源部统筹安排人员招聘计划，以确保有充足的人力资源支撑经营目标的实现。主要涉及部门：财务部、市场经营部、网络部文件索引：无B2.6管理层是否确定了哪些经营活动目标对实现公司层面目标而言是重要的（即关键成功要素）。每年，XX各部门均会制定年度工作计划，公司管理层对各部门的工作计划进行审批，形成公司层面的年度工作计划。在公司年度工作计划中包含的经营活动目标均可以称为管理76、层确认的关键成功要素。管理层在下发省公司各部门以及地市公司关键绩效指标时，亦通过权重的设置指出了对实现公司层面目标而言是重要的关键指标，并在日常工作中重点监控。主要涉及部门：财务部、市场经营部、网络部文件索引：2005年工作会议报告B2.7所有级别的管理层人员是否均参与目标的制定及其服务于目标的程度。XX各部门在与各级员工沟通确认后，依据公司下达的指标，结合本部门发展方向，制定年度工作计划与经营活动目标，并报送公司管理层批准。主要涉及部门：财务部、市场经营部、网络部文件索引：无2.2.3 风险企业的风险评估程序应该考虑相关风险的迹象，包括企业层面和经营活动层面。风险评估程序应该考虑可能影响目标77、实现的外部和内部因素，并且这些程序应该分析风险，并且提供一个管理风险的基础B3.1是否有充分的机制来发现外生风险。例如，考虑管理层是否考虑过以下因素带来的风险： 资源供应； 技术变化； 债权人的要求； 竞争对手的行动； 经济环境； 政治环境； 监管； 自然事件。管理层对涉及业务经营、财务管理、法律法规遵循等方面的各种外生风险进行确认和监控，并在需要的情况下采取适当措施，降低风险发生的可能性。目前XX市场部对战略环境的变化进行监控，每月向公司管理层提交一份战略分析报告，管理层可从中却得到市场发展、竞争对手、消费者消费行为、消费倾向以及未来发展趋势等方面的分析数据，以防范市场变化所带来的风险。在日78、常经营管理中，管理层建立了一定的监控和沟通机制，使业务部门将其在日常管理中意识到的战略性风险和机会向管理层进行及时汇报并提请其注意；各部门通过每月的生产经营分析会向管理层汇报其所了解的风险并提出风险管理方案；管理层亦通过其掌握的信息确认战略性风险和机会并通过总经理办公会和各种专题会议等传达至相关业务部门，由其负责必要的跟进工作。管理层通过监控经营活动对可能存在的外生风险于企业的影响进行评价。主要涉及部门： 综合部、财务部、市场经营部、网络部、业务支撑中心、规划技术部文件索引：无B3.2是否有充分的机制来发现内生风险。例如，考虑管理层是否考虑过以下因素带来的风险： 人力资源； 财务状况； 信息系79、统。管理层建立了一定的监控和沟通机制，使业务部门将其在日常管理中意识到的内生风险向管理层进行及时汇报并提请其注意；各部门通过每月的生产经营分析会向管理层汇报其所了解的风险并提出风险管理方案；管理层亦通过其掌握的信息确认内部风险并通过总经理办公会和各种专题会议等传达至相关业务部门，由其负责必要的跟进工作。管理层通过对经营活动的监控发现和评价在人力资源、财务、信息系统等方面的各种内生风险。XX将每日的主要业务运行数据、网络运行数据以彩信的方式发送给公司的中高级管理层，使其可以第一时间获得内部运行情况，以及是否潜在存在内生风险。市场经营部、财务部、客户服务中心等部门会根据自身对于分析、检测数据的需求80、，向业务支撑中心提交各类数据需求。在日常数据分析的过程中即会发现内部运营的问题以及潜在风险。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、规划技术部文件索引：网络形式规划分析报告XX2003网络安全评估服务项目MDCN业务安全评估综述XX2003网络安全评估服务项目安全管理框架XX业务支撑系统安全顾问服务项目安全评估综述报告B3.3对每个重要的经营活动目标确定了相应的风险目前，XX基于对市场的分析和经营风险的判断，预先设置了六种任务模型，确保当经营风险发生时或者市场环境改变时，能够汇出及时的响应。同时，各部门管理人员以及XX管理层在对重要的经营活动进行监控的过程中会考虑相关的81、风险因素并对业务计划等进行调整。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、规划技术部文件索引：CMCC年度绩效考核指标体系B3.4风险评估程序的完整性和相关性，包括估计风险的重要性，发生的可能性和制定相应采取的措施。例如考虑是否： 通过正式的程序或非正式的日常管理行为来分析风险； 确认的风险与相应的经营活动目标相关； 适当的管理层参与了风险分析管理层建立了一定的监控和沟通机制，对与重要经营活动相关的风险进行评价和跟进。管理层通过月度生产经营分析会对公司经营活动、市场风险和竞争风险等进行分析和研究对策。XX参照总部的风险评价和管理机制建立本省的风险评价和管理机制，定期根据企82、业目标和重要的经营活动目标，对企业层面和流程层面的风险进行确定和评价，明确经营活动和风险的对应关系，并通过定期对内部控制的审阅评价管理风险措施的充分性。对企业可能涉及的风险和分类进行定义；收集信息、了解现状；梳理流程，展开具体流程中的操作步骤，选出核心流程或步骤；评估风险等级；确定风险，选择对策。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、规划技术部文件索引：无2.2.4 对环境变化的管理经济、行业和监管环境不断变化，同时企业也在不断发展。企业因而需要一种机制以确认环境的变化并做出反应。B4.1是否存在适当机制，可以凭借其预测及确认影响企业层面或经营活动层面目标实现的日常事83、件和活动，并做出适当的反应。XX各部门根据其职责分工，将其在日常管理中遇到的影响企业层面或经营活动层面目标实现的日常事件和活动向部门管理层以及公司管理层汇报并提请其注意；各级管理层通过其对各部门的日常管理和运作的紧密监控，及时指导并做出适当反应。主要涉及部门：综合部、财务部、市场经营部、网络部、规划技术部文件索引：关于进一步明确计费系统安全管理的通知B4.2是否存在适当机制，可以凭借其确认那些对企业有重大及深远影响，因而需要高层管理人员加以重视的各种情况变化，并作出适当的反应，其中包括下述方面发生的潜在变化： 经营环境的变化 雇佣新员工 使用新的或重新设计的信息系统 公司经历迅速发展时期 新技84、术的出现 新的产品线、新产品、新的经营行为或并购 公司重组 跨国经营XX各业务部门在一定程度上可在日常管理中确认其意识到的战略性风险、竞争对手的发展和机会，并通过提交专题分析报告等方式向管理层汇报以供管理层审阅决策。同时，管理层会定期召开生产经营分析会以及专项会议对涉及公司经营管理的重大问题进行决策。当管理层认为有必要对此进行评估时，责成适当的部门牵头，会同其他部门对此进行研究论证。主要涉及部门：综合部、财务部、市场经营部、网络部、规划技术部文件索引：无2.3 控制活动控制活动包括一套全面的政策和相关的执行程序，从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施，管理风险，85、从而确保其目标的实现。C1.1对于企业的每一种活动，是否都存在适当的政策和程序进行规范2003年开始，XX开展公司流程重组工作，成立公司流程管理委员会。对公司的业务流程与规章制度进行了全面的梳理工作。将公司的业务流程分为核心流程、事务流程以及部门流程三部分。对业务流程的目的、范围、职责、名词解释、流程内容、相关制度/流程/部门以及相关记录进行全面描述，其中在流程内容部门包括对主要控制点的描述。各部门根据各自的职能颁布和保存自己的规章制度，年末将本年度新出台或者更新的制度汇总报综合部归档保存。综合部和各专业部门每年均会编制文件汇编。规章制度出台前，相关部门在OA系统中对该文件进行会签 。员工可以86、通过统一信息平台或者综合部档案查询的方式查找规章制度。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、采购管理中心、规划技术部文件索引：核心流程样例事务流程样例XX财务工作介绍XX四大品牌六条产品线服务标准BOSS监控指引XX网络管理信息平台C1.2确定已存在的控制活动是否得以有效实施，例如: 公司政策程序所描述的内部控制措施是否得以遵照执行； 是否有及时而适当的措施去跟进特殊事项或其它需要进一步关注的信息； 是否有员工负责监督内部控制的执行。员工根据对其职责和业务流程的规定执行有关内部控制措施，管理层对内部控制措施的执行进行适当监控并对偏离原有控制的行为进行调查和跟进。网络部87、每月进行网络质量检查，每年进行一次网络管理组训，对重要业务流程规定的执行情况，包括业务流程中规定的控制点，进行检查；财务部每年均进行货币资金、资产、预算检查、财务收支检查等，确保公司遵循各类财经法规、财务制度，维护财经纪律，加强财务管理和会计核算，提高会计信息质量。在独立评估方面，XX进行效能监察审计、内部控制审计、财务收支审计、以及工程审计等，根据年度工作计划对既定的业务流程或范围开展审计工作，及时将发现的问题反馈给管理层，并定期向管理层汇报，以便于管理层掌握业务流程以及内部控制实施情况，能够及时、适当的采取相应的措施。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、采购管理88、中心、规划技术部文件索引： 市场组巡基础工作专项考核评分表市场组巡专项检查情况报告整改报告业务支撑人员对系统的监控记录网间结算监控情况的通报2.4 信息及沟通2.4.1 信息信息 (如行业、经济和监管信息) 可以从外部和内部获取，而信息系统是指收集、处理和报告信息的系统。D1.1收集各方面（内部及外部）的信息，并向管理层报告有关企业经营成果是否达到其既定目标。例如是否： 存在一定的机制，用于获得相关的外部信息关于市场状况、竞争者的行动、法律法规环境的变化和经济环境的变化等； 定期识别和报告内部关键信息； 各级管理层可获得足够信息，用于履行其职责。各业务部门负责收集与本部门相关的内部、外部信息。89、内部数据收集与汇报XX市场经营部、财务部、客户服务中心等部门每月从经营分析系统中自动生成所需的报表数据生成生产经营分析月报，在月度生产经营分析会上传达给各相关部门，并汇报给管理层。财务部每月从MIS系统中生成月报，报送公司管理层审阅。除了月度的经营分析报表以外，网络部、市场经营部等部门亦会向各级管理层发送日报、周报等，网络部、业务支撑中心会将每日的主要业务运行数据、网络运行数据以彩信的方式发送给公司的各级管理层，使其可以及时获得内部运行情况。管理层对与XX经营相关的信息进行监控并要求相关部门提供其他补充信息或提请相关部门采取适当措施，以确保经营成果达到既定目标。外部数据收集与汇报在法律法规信息90、方面：XX相关部门对与公司经营管理相关的所有法律、法规和地方政策、规章等进行统一的收集和整理，并及时通过电子信箱或者OA的方式提供给相关管理人员，再由其转法给相关部门，以确保各部门全面、准确、系统地掌握适用于公司的法律法规。在市场及竞争者信息方面：XX市场经营部建立了严格的、系统化的经营环境分析系统，要求各相关人员定期收集、整理市场及竞争者的信息，并向公司管理层出具分析汇报。除此以外，市场经营部等部门会及时通过各种渠道收集市场、竞争者等行业信息，定期出具分析报告。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、规划技术部文件索引：新闻中心网页截屏财务部网站截屏网络运行分析会纪要91、传输维护第三季度分析例会纪要D1.2将详细的信息及时地给予适当的员工，使其能够高效率地履行其职责。例如是否： 管理者能够获得分析性的信息来判断该采取何种行动； 信息具有不同的详略程度以满足不同级别的管理层的需要； 信息被适当的汇总，而不仅仅是提供一个“信息的海洋”； 信息能够及时提供以便有效地监控内外部的事项和活动并及时对经济和经营因素的变化和控制问题做出反应。XX各主要部门每月向管理层提供生产经营分析数据，以便公司管理层能及时了解重要的运营信息，做出及时、恰当的决策。同时，对于管理层日常生产经营过程中需要关注的事项，市场经营部、网络部等部门以提交日报、周报等形式提交公司管理层；对于管理层着重92、关注的特殊事项，各相关部门以专题报告的方式提交公司管理层审阅并处理。管理层获得的一部分分析性信息来源于经营分析系统。市场经营部、财务部、客户服务中心以及规划技术部将对信息的需求，包括内容方面的需求和详略程度方面的需求，经部门总经理审批后提交给业务支撑中心，并由其设置在经营分析系统中。经营分析系统将BOSS系统中的数据进行抽取、筛选、转换，并转换成需求所需的信息。为确保经营分析数据的保密性，XX对于各级管理层应配备的权限进行了明确规定。除各部门管理层可定期取得经营信息以外，各部门可根据自身需要，临时要求其他部门提供相关信息。通过部门联系单的方式，经过数据需求部门及提供部门总经理的审批后，方可提供93、。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、规划技术部文件索引：XX通信有限责任公司商业秘密确定密级的程序与规则（试行）省公司各部门发文类型及定密一览表经营分析系统生成的经营分析月报经营分析系统生成的相关专题分析D1.3是否根据企业的整体战略开发或修改信息系统，从而促进企业和活动层面的目标的实现。XX非常重视信息系统的发展，并与企业整体发展保持一致。XX对信息系统的开发与升级等内容进行了规划，并在公司战略规划与年度发展计划的制定中，根据企业战略发展要求不断进行调整。主要涉及部门：综合部、财务部、市场经营部、网络部、业务支撑中心、管理信息部文件索引：XX通信有限责任公司2094、xx-2010年IT专项规划评审稿D1.4管理层是否对开发必须的信息系统给予支持，例如投入足够的人力和财力。XX一贯重视对信息系统的建设和维护，认为信息系统是公司经营和发展的重要支柱，并不断投入足够的人力和财力予以支持。公司建立了信息系统建设和维护方面的问责制，由业务支撑中心、网络部以及管理信息部负责重要信息系统的开发和维护。主要涉及部门：财务部、网络部、业务支撑中心、管理信息部文件索引：无2.4.2 沟通在信息的处理中，沟通是必要的环节。在更广义的层次上，沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于企业内部的上行、下达和同级传递中。企业与外部的沟通同样非常重要。D2.1员95、工的职责和控制责任是否得到有效沟通。例如是否： 采用各种手段，例如正式或非正式的培训课程、会议、在岗培训等进行有效的沟通； 雇员知晓他们所进行的活动的目标，以及怎样履行他们的职责来达到这些目标。见A2.1。主要涉及部门：人力资源部文件索引：无D2.2是否保证有畅通的渠道以便员工反映其发现的可疑情况。例如是否： 是否存在某种渠道跟非直接上级的上层机构进行沟通； 是否允许匿名； 员工切实使用了这种沟通渠道； 报告可疑情况的员工及时得到了反馈，并且受到保护而免于报复。XX具有较为畅通的渠道以便员工反映其发现的问题。公司员工除可通过正常的汇报程序反映其发现的可疑情况外，亦可以将发现的可疑问题通过举报电96、话、举报信箱、举报短信等方式向纪检监察部或综合部进行反映。为了保护反映情况的员工，公司允许员工匿名举报，反映问题。纪检监察部或综合部在接到员工的举报后，会首先判断举报的性质，对于涉及员工违法、违规、违纪方面的内容，由纪检监察部开始调查处理所反映出来的问题，并汇报至相关管理层确定处理结果。在调查处理举报事项的过程中，要求对举报人的信息进行严格保密，保护其不被报复。涉及违法、违规、违纪以外的举报事项，由纪检监察部或综合部将问题转发至相关部门进行处理，并跟进监督问题处理、解决的进程。除上述沟通渠道外，员工亦可以通过总经理信箱以及总经理沟通日直接向公司总经理举报发现的问题，管理层在收到员工反映的问题后97、，会指定相应部门及时解决并落实员工提出的问题。 主要涉及部门：纪检监察部、综合部文件索引：XX通信有限责任公司纪检监察信访工作管理办法XX通信有限责任公司纪检监察部门案件检查工作办法D2.3管理层对员工在生产、质量管理或其它方面合理化建议的态度。例如是否： 是否存在合理机制使员工可以提出改进建议； 对员工提出的优秀的建议，管理层提供现金或其他方式的奖励措施。XX鼓励员工在业务服务、网络工程、系统支撑、综合管理等方面，进行的创新实践，提出创新项目、创新提案。公司各级员工随时可以通过创新活动管理系统、电子邮件和短信三种方式申报创新提案，形成公司优秀创新提案库。每季度和年度，分别由公司评审专家和科技98、创新奖励评审委员会进行评审，XX对可行性高、推广性强的优秀创新提案组织试点和推广，并对相关人员和部门给予奖励。公司亦鼓励员工提出职工福利等方面的合理化建议，并由公司工会负责收集，上报至公司管理层，由公司管理层或相关部门对员工提出的合理化建议予以回应。主要涉及部门：综合部、工会文件索引：关于创新项目、创新提案以及相关奖励办法的说明XX创新奖励办法XX通信有限责任公司创新提案管理办法科技项目管理流程XX通信有限责任公司科技创新项目经费管理暂行办法（修订版）D2.4企业内部沟通的充分性、信息的完整性、及时性以及信息是否足够详细以便员工能够有效的履行其职责。XX内部存在多种沟通渠道和方法，如月度生产经99、营分析会、总经理办公会、定期/不定期全体员工大会、专项汇报会以及临时会议、部门之间的协调会、部门例会、文件传递、OA系统、电子邮件、电话等，从形式上确保了组织内部沟通的充分性和及时性。主要涉及部门：财务部、市场经营部、网络部文件索引：网络运行数据通报D2.5与顾客、供应商和其它外部利益关系者就顾客的需求变化进行沟通的公开性和有效性。例如是否： 与相关各方建立了反馈机制； 建议、投诉和其他相关信息被获取并传递到内部相关部门； 信息被上报至必要的上级部门并采取了跟进行动。对待投资者 XX按照总部的要求定期或不定期地向总部提交财务信息、重大业务发展与技术发展信息等。 对待客户XX通过1860客户服务100、电话、1580信息服务电话、多媒体渠道，以及通过客户经理、营业人员与客户的日常沟通等方式与客户建立沟通渠道。对于客户的投诉需求，客户服务中心通过电子工单系统将客户的投诉反馈给相关部门进行处理。XX通过向客户提供多渠道的沟通方式，以及快捷的投诉处理，提高服务质量，提升公司形象。对待合作伙伴或其他利益相关者XX通过网上平台、电子邮件、电话、面对面谈话等方式与合作伙伴或其他利益相关者进行有效的沟通，了解合作伙伴或其他利益相关者的需求、意见和建议，并给与及时的反馈。此外，对于合作伙伴我公司在具体事项上都会与之签订合作协议，用法律手段约束双方行为，达到双赢、共赢的局面。主要涉及部门：综合部、财务部、市场101、经营部、客户服务中心、网络部、业务支撑中心、采购管理中心文件索引：投诉处理程序XXBOSS系统开发商维护考核管理办法XX通信有限责任公司客户网络投诉处理管理办法D2.6外部利益关系者对企业的道德标准的认识。XX力图通过各种直接沟通和间接认知的方式，使各外部利益相关者能够认识到公司良好的道德标准和企业形象。XX通过电视、广播、报纸以及社会公益活动等，向外界进行宣传，在社会中提升企业形象。XX倡导员工恪守职业道德，遵守职业道德规范，诚实守信。真心、真诚地与客户、合作伙伴以及其他外部利益相关者进行沟通、接触，使其感受到XX的优质、真诚的企业形象，使企业获得持续的客户信赖，保持较高的客户忠诚度。主要涉102、及部门：综合部、市场经营部、客户服务中心文件索引：真情100宣传资料D2.7在与顾客、供应商、监管者和其他外部利益关系者进行沟通后，管理层是否能够及时采取有效的跟进措施。例如是否： 员工就报告的与产品、服务或其他方面相关的问题做出积极反映，进行调查并采取跟进行动； 在计费和出具账单过程中产生的错误得以及时更正，错误原因得以调查和改进； 由独立于原始交易的适当人员对投诉进行处理； 采取合适的行动后，与原始信息提供方进行跟进沟通； 高级管理层知晓投诉的数量和性质。对待投资者XX通过按总部要求提供相关披露资料以及公司生产经营的信息的方式，使董事会及公司高级管理层了解企业的整体情况，同时根据总部的统一103、安排采取有效的跟进行动并及时反馈。XX管理层要求员工在受理与产品、服务或其他方面有关的问题或投诉后，进行调查和跟进行动，并以此作为内部体系存在问题的迹象。对待客户XX制定有投诉处理程序和管理办法，对接到用户投诉后的处理程序进行规定。客户服务中心将收到的客户投诉、客户越级投诉以及通信管理局等监管机构转发的问题，通过电子工单反馈给各相关部门或地市公司进行处理，并通过系统监控投诉的处理情况，确保投诉在规定的时限内进行处理。如有需要，亦会通过召开部门联席会议的方式处理问题。客户服务中心每月向公司管理层以及各部门报送投诉分析报告，以便相关人员了解存在的问题和投诉的数量和性质等。对待合作伙伴或其他利益相关104、者XX要求相关部门对合作伙伴或其他利益相关者提出的需求、意见和建议及时进行跟进并在采取适当的行动后与对方进行沟通。主要涉及部门：综合部、财务部、市场经营部、客户服务中心、网络部、业务支撑中心、采购管理中心文件索引：全省投诉分析报告全省投诉统计报表投诉处理工单样本2.5 监控2.5.1 持续监控持续监控发生在平常的经营过程中，包括日常管理和督导行为，和其它员工履行其评价内部控制系统运行质量的职责的行为E1.1员工在进行日常工作时，是否能够获取内部控制正常运行的证据。例如是否： 运营负责人需要就其业务单元上报的财务数据签字确认，以建立问责制； 存在运营数据与财务核算数据之间的定期对账； 对信息技术105、部门的运行及服务情况采取业绩考核； 是否采用关键指标作为考核的依据； 考核的结果对信息技术部门管理层及员工存在影响。XX的各级管理层通过日常工作监控业务流程的运行情况，并通过获取经营数据取得内部控制正常运行的证据。管理层可对运营数据中与其期望不符或可疑的事项提出质疑。对于关键职责，建立了适当的职责划分和管理层监督职能。各相关部门在上报经营数据及财务数据时，均需由经过适当授权的管理层签字确认，以建立问责制。如财务部的月度对财务报、统计报表进行签字批准。目前总部通过系统交叉验证，趋势验证等方式对XX业务支撑系统进行打分；通过一系列KPI指标对XX运营情况进行打分，打分结果公布在当月集团公司计费网站106、上，并通过公文方式下发，全年对运营情况进行总评。打分结果将影响XX的考核指标。总部对网络部进行年度考核，每年年初下发当年的考核计划，并根据关键指标对网络部的运行状况进行考核。XX内部信息技术部门负责人及员工每年签署绩效考核计划，包每年对信息技术部门及员工绩效考评的各项关键指标。主要涉及部门：综合部、财务部、市场经营部、网络部、管理信息部、业务支撑中心文件索引：财务月报综合统计月报总部对XX业务支撑系统进行绩效考核的书面文件2005年业务支撑网业务运营质量考核管理办法2005年网络运营质量考核管理办法2005年总部对XX网络运营质量考核结果的文件E1.2是否能够与外部利益关系者进行沟通而获取信息107、，对内部信息加以验证，或发现内部信息的问题。例如是否： 顾客对账单数据进行投诉，这时可能暗示系统在处理销售交易时存在缺陷，应该对其根本原因进行跟进调查； 与供应商和电信运营商的定期对账程序被当作一项内部控制措施； 监管机构与企业就反映在内部控制系统中的合规情况和其他事项进行沟通； 重新评估本应发挥防止和发现问题的作用的内部控制措施； 有恰当的管控活动以确保遵循外部要求，比如信息产业部门或者国家级别安全规定； 公司对遵循外部要求采取必要措施。XX注重与客户、电信运营商、供应商等外部利益关系者进行沟通，以验证内部信息的准确性。对于受理的客户投诉，客户服务中心及时予以解决或反馈其他相关部门进行检查，108、并对自身机制进行核查，考虑是否内部系统在处理交易时存在缺陷并对其原因进行跟进；XX定期与其他电信运营商、合作伙伴等进行计费数据的对账，在出现较大差异的情况下，XX会考虑对计费流程进行调查，以发现内部控制缺陷；综合部、财务部等部门与外部监管机构进行定期沟通并及时就重要问题反馈给高级管理层，管理层会就重要问题方面审视内部控制的效率性，确保遵循外部监管机构的要求；在与外部利益相关者进行沟通后， XX重新评估本应发挥防止和发现问题作用的内部控制措施并考虑改进措施。XXIT系统实施，功能开发等项目遵循总部统一下发规范标准。XX管理层对外部的要求保持关注，如国家相关管理部门（如信息产业部）制定的管理规定及109、美国上市公司规则等。特别对于相关法律法规及上市规则涉及对信息技术管控方面的需要，公司作出相应的控制调整。2005年度，根据美国上市规则萨班斯法案的要求，开展了萨班斯法案协助项目，以确保公司的信息技术控制能够满足相关法规的需要。主要涉及部门：综合部、财务部、市场经营部、客户服务中心、网络部、业务支撑中心、采购管理中心、管理信息部文件索引： BOSS1.5 规范E.1.3定期进行账实核对。XX制定了相关的政策和流程，对固定资产、库存现金、存货进行定期盘点，以确保财务报表中的数据真实反映资产的实际情况，且可以通过定期账实核对的过程对相关业务流程中发现的内部控制程序缺陷进行持续改进。主要涉及部门：财务110、部文件索引：XX通信有限责任公司固定资产管理办法E1.4是否就内部和外部审计师的建议及时做出响应以改善和加强内部控制。XX十分重视内部审计师、外部审计师和咨询机构在审计或咨询过程中发现的问题以及提出的内部控制改善建议。财务部及相关部门将问题和内部控制改善建议提交给相关部门和公司管理层，并由其对相关内容进行分析探讨，由相关部门对重要问题形成改善方案并实施改善行动。 主要涉及部门：财务部文件索引：无E1.5是否定期举行培训课堂、计划会议和其它的会议，就内部控制运行的有效性向管理层提供反馈意见。XX每月举行生产经营分析会等公司层面的工作会议或其他专题会议，在会议中对各部门注意到的经营过程中遇到的与内111、部控制和信息沟通相关的问题进行讨论，并向公司管理层提供反馈意见。内审部和纪检监察部每年根据计划对既定的业务流程进行审计检查，并就发现的缺陷与建议向相关部门以及公司管理层进行汇报。主要涉及部门：综合部、财务部、纪检监察部、内审部、市场经营部、网络部文件索引：2004年财务检查典型问题通报E1.6员工需要定期声明是否知晓并遵守了公司的行为准则；以及是否执行了重要的内部控制程序。XX制定正式的政策和程序，要求员工就是否知晓并遵守了公司的行为准则定期做出书面声明。主要涉及部门：人力资源部文件索引：无E1.7内部审计职能的有效性。例如是否有适当的可以胜任的人员；在组织结构中的地位是否适当；向董事会或审计112、委员会报告；工作范围、职责和审计计划符合公司的需要等。XX按照总部的要求成立了专门的内审部。内审部负责公司的内部控制审计、财务收支审计、经济责任审计、工程审计等审计工作；纪检监察部负责公司的效能监察审计工作。除进行本省的审计工作以外，XX内审部会抽调本部门的员工参与总部内审部的内部审计工作，对总部既定的14个核心业务流程进行全面审计、差距分析、识别相应的风险，以及确认内部控制的有效性。XX负责审计工作的大部分员工均具有财务背景，对财务收支、效能监察审计、专项审计等审计流程较为熟悉。XX在设置内审部的同时，根据部门职责和所需开展的工作，进行定期培训等，持续提高审计人员的专业水平、丰富其审计知识和113、技巧，使内部审计机制成为评价内部控制有效性的有力工具。主要涉及部门： 内审部、纪检监察部文件索引：20xx年度审计工作计划表2.5.2 个别评价定期或不定期地以全新角度审视内部控制系统是非常必要的，其着眼点在于直接审视系统运行的有效性。个别评价的范围和频率主要取决于对风险的评估以及对内部控制的持续监控程序的情况。 E2.1内部控制系统个别评价的范围和频率。例如是否： 内部控制系统的适当组成部分得以评价； 评价由具有必要专业技能的人员进行； 评价范围、深度和频率是适当的。XX内审部配合总部内审部进行业务流程以及内部控制有效性的个别评价，同时还进行本省范围内的内部控制审计、财务收支审计。纪检监察部114、开展本省范围的效能监察审计，对重点业务环节进行专项审计工作。XX在设立内审部的时候，建立健全针对内部控制审计的制度和程序，并要求将审计结果及时汇报给公司管理层，进行本省内部控制有效性的个别评价，同时作为总部内审工作的有益补充。内审部与纪检监察部的年度工作计划中包括本年度需要实施审计工作的范围、主要内容、频率，并由公司管理层审核批准。 XX负责审计工作的大部分员工均具有财务背景，对财务收支、效能监察审计、专项审计等审计流程较为熟悉，如有需要公司还会从相关部门抽调人员配合审计工作的开展。主要涉及部门： 内审部、纪检监察部文件索引：20xx年度审计工作计划表E2.2进行个别评价的流程以及方法的适当性115、。例如是否： 评价人员对公司的经营活动有充分的了解； 评价人员了解内部控制系统应该如何运行和实际如何运行； 评价过程采用适当的方法，如问卷、核对清单等； 评价过程由具有一定权限的管理层进行监督； 评价人员通过将评价结果与既定标准进行对比，对评价结果进行必要的分析。每次在开展审计工作前，审计小组提前编制审计程序，确认审计过程中可能遇到的问题、流程关键环节以及相关风险点，并在审计过程汇总不断修改审计程序。如有需要，还可以聘用外部专家共同参与审计工作。在审计现场，审计小组通过询问、抽查、观察等方式了解所需审计的经营活动及业务流程。审计小组与将了解的经营活动现状与既定的标准进行对比、分析、评估，编写审116、计报告。整个审计过程由相关管理人员直接监督检查。 主要涉及部门： 内审部、纪检监察部文件索引： 审计程序审计项目通知书专项审计调查报告E2.3个别评价是否存在适当的书面记录。个别评价是否存在适当的书面记录。审计过程留有审计工作底稿，审计结束应编写审计报告，以供被审计单位管理层审阅及制定修补计划。内审部、纪检监察部需要每年定期编写工作总结，包括所审计的范围、频率以及审计结果汇总，提交公司管理层进行审阅。主要涉及部门：内审部、纪检监察部文件索引：工作底稿2.5.3 汇报内部控制缺陷内部控制的缺陷必须向上汇报，某些重要的事项必须上报高层管理人员和董事会。E3.1是否存在一定机制将确认的内部控制缺陷加117、以记录并向上汇报，以及汇报程序和书面文件的适当性。例如是否： 向直接负责此经营活动的人员以及其上一级管理人员报告缺陷； 对于一些特殊类型的缺陷，需要报告给更高层级管理层以至于董事会； 信息技术部门能及时跟进内审提出的建议。内审部、纪检监察部将审计、监察过程中发现的业务流程及信息技术的问题以及内部控制缺陷记录在工作底稿内，并体现在审计报告中。及时与被审计单位管理层就所发现的问题进行沟通，并负责跟进问题的解决情况。内审部、纪检监察部定期出具审计总结，将业务流程与信息技术问题以及内部控制缺陷、解决情况等汇报给主管管理层。审计报告中提出的改进建议由相关部门及时跟进，并提出相应的解决方案。主要涉及部门：118、 内审部、纪检监察部文件索引：专项审计调查情况综合报告专项审计调查情况数据汇总表E3.2采取的改善措施的适当性。被审计单位针对内审部、纪检监察部在内部审计、效能监察等审计过程中发现的问题及其建议制定后续整改措施并确认整改时间。整改措施需要经过被审单位管理层审批确认。各被审计单位负责整改工作的进度，并定期向内审部、纪检监察部进行汇报。XX会采取项目负责制，由审计项目主管人员跟踪整改的情况，并在第二年以重新复查的方式对前一年度发现的问题进行复查。主要涉及部门： 内审部、纪检监察部文件索引：地市整改报告被审计单位整改情况反馈报告整改凭证3 信息技术整体控制3.1 对程序和数据的访问3.1.1 BOS119、S系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制2所涉及的部门范围负责BOSS系统管理的信息技术部门（业务支撑中心）、BOSS系统使用部门（财务部、市场经营部、集团客户部、客户服务中心、数据业务中心及各地市公司业务部门）。二、涉及的应用系统和重要的电子表格BOSS系统 ，（包括省中心BOSS、区域中心BOSS、充值卡数据生成系统（有价卡管理）等）三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认120、证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统121、或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. BOSS应用系统层通过用户工号和密码（PIN码+令牌动态口令）实现登录认证。系统中除查询帐号外不允许建立共享用户名，每个用户被授予唯一的用户账号。对于操作系统和数据库系统级用户因系统原因无法按用户创建用户帐号，管理层规定该类帐号的只能由特定职能人员使用（BOSS系统维护组），通过令牌使用登记、值班安排计划、IP地址监控等监控制度以保证系统的操作可以对应到执行操作的人员。(控制点GD06.B122、OSS.L.1.3)BOSS系统的前台应用终端登陆都需要用令牌，登陆密码由PIN码+动态口令组成，以满足密码的强度要求和更新要求。后台和其它子系统登录在系统中设置密码规则控制，密码长度不得低于6位，密码须由数字、字母组成。密码应至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行。(控制点GD06.BOSS.L.1.5) 对BOSS系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，数据库管理员)的授权审批建立正式的书面审批表格。业务支撑中心负责人或授权人员对此类账号的清单每季进行复核并签字确认，并对多余123、或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门主管或授权人员授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作124、日志记录）。在操作完成后，值班人员应及时终止远程登录。(控制点GD06.BOSS.L.1.7) 对于各区域BOSS系统，各业务部门工号管理员具有应用系统管理员的权限，负责在系统中用户帐号的管理。对于业务部门应用系统管理员的建立，各地市公司通过OA或书面申请的方式（帐号申请表），经业务部门的相关负责人审批后由BOSS系统管理员在系统中创建。对于BOSS系统维护部门的应用系统管理员账号，由相关信息技术部门主管正式书面审批。信息技术部门负责人，各业务部门主管或授权人员对BOSS系统超级用户账号的清单每季进行复核书面确认，并对多余或不恰当的账号进行调整。(控制点GD06.BOSS.L.1.8)业务支撑125、中心对BOSS系统操作系统层、应用系统层以及数据库层的所有重要操作，特别是管理层认定的对财务报表有关的操作留有系统日志。操作系统层和数据库层系统日志由省公司业务支撑中心和各市公司信息技术中心（三类市公司服务营销中心）根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等由安全管理员（独立于系统管理员之外）负责每月进行审核。应用系统层日志由各市公司业务部门负责每月进行审核。部分操作系统和数据库系统因系统限制暂时无法在系统中建立完善的操作日志，管理层设置相关的关键操作审批和记录流程以保证对于系统的各项重要操作能够得到有效记录。并由安全管理员对相关记录进行定期审核。(控126、制点GD06.BOSS.L.1.12)2. 用户账号的添加、修改及删除控制2.1. XX业务支撑中心制定XX业务支撑网账号口令管理办法，各地市公司建立按照要求订立本地账号管理相关细则，用于BOSS应用系统中账号的创建、修改管理，BOSS系统普通用户账号管理由部门主管授权的工号管理员负责。在BOSS系统中新建账号或对账号的权限进行调整，须由部门主管对需求申请（包括公文、工号变更申请表等格式）审批确认后，由工号管理员在BOSS系统中进行设置。(控制点.L.1.15)2.2. 在职工工作调动或离职时人力资源部正式书面通知（包括邮件、公文等形式）信息系统管理部门（省公司业务支撑中心或市公司信息技术中心127、或市公司服务营销中心），由负责应用系统管理员取消其相应的访问权限。 (控制点GD06L.BOSS.1.16)3. 普通用户账号的定期审阅3.1. 每半年由BOSS应用系统工号管理部门组织各使用BOSS系统的各部门，对BOSS系统普通用户账号进行审阅。由工号管理员对BOSS系统普通用户清单进行复核，并书面确认，如发现多余或不恰当的帐号应进行及时调整。(控制点GD06.BOSS.L.1.17)3.2. 每半年以及业务流程发生重大变更时，BOSS应用系统工号管理部门组织各使用BOSS系统的各部门对BOSS系统用户的访问权限（所赋用户角色），进行审阅，并书面确认，以合理确保用户在系统中的权限与其职责相128、符。如发现不相容职责，应及时对用户的权限进行调整。 (控制点GD06.BOSS.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并书面确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点GD06.BOSS.L.1.19)七、流程主要控制点GD06.BOSS.L.1.3系统设置BOSS应用系统层通过用户工号和密码（PIN码+令牌动态口令）实现登录认证。系统中除查询帐号外不允许建立共享用户名，每个用户被授予唯一的用129、户账号。对于操作系统和数据库系统级用户因系统原因无法按用户创建用户帐号，管理层规定该类帐号的只能由特定职能人员使用（BOSS系统维护组），通过令牌使用登记、值班安排计划、IP地址监控等监控制度以保证系统的操作可以对应到执行操作的人员。GD06.BOSS.L.1.5系统设置BOSS系统的前台应用终端登陆都需要用令牌，登陆密码由PIN码+动态口令组成，以满足密码的强度要求和更新要求。后台和其它子系统登录在系统中设置密码规则控制，密码长度不得低于6位，密码须由数字、字母组成。密码应至少每90天进行更新。对于因系统限制暂时无法在系统中建立密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策130、的有效执行。GD06.BOSS.L.1.7授权及批准对BOSS系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，数据库管理员)的授权审批建立正式的书面审批表格。业务支撑中心负责人或授权人员对此类账号的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季的检查，以保证第三方帐号得到有效控制（如系统131、开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时应根据部门主管或授权人员授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。GD06.BOSS.L.1.8授权及批准对于各区域BOSS系统，各业务部门工号管理员具有应用系统管理员的权限，负责在系统中用户帐号的管理。对于业务部门应用系统管理员的建立，各地市公司通过OA或书面申请的方式（帐号申请表），经业务部门的相关负责人审批后由BOSS系统管理员在系统中创建。对于BOSS132、系统维护部门的应用系统管理员账号，由相关信息技术部门主管正式书面审批。信息技术部门负责人，各业务部门主管或授权人员对BOSS系统超级用户账号的清单每季进行复核书面确认，并对多余或不恰当的账号进行调整。GD06.BOSS.L.1.12管理层审阅业务支撑中心对BOSS系统操作系统层、应用系统层以及数据库层的所有重要操作，特别是管理层认定的对财务报表有关的操作留有系统日志。操作系统层和数据库层系统日志由省公司业务支撑中心和各市公司信息技术中心（三类市公司服务营销中心）根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等由安全管理员（独立于系统管理员之外）负责每月进行审133、核。应用系统层日志由各市公司业务部门负责每月进行审核。部分操作系统和数据库系统因系统限制暂时无法在系统中建立完善的操作日志，管理层设置相关的关键操作审批和记录流程以保证对于系统的各项重要操作能够得到有效记录。并由安全管理员对相关记录进行定期审核。GD06.BOSS.L.1.15授权及批准XX业务支撑中心制定XX业务支撑网账号口令管理办法，各地市公司建立按照要求订立本地账号管理相关细则，用于BOSS应用系统中账号的创建、修改管理，BOSS系统普通用户账号管理由部门主管授权的工号管理员负责。在BOSS系统中新建账号或对账号的权限进行调整，须由部门主管对需求申请（包括公文、工号变更申请表等格式）审批134、确认后，由工号管理员在BOSS系统中进行设置。GD06.BOSS.L.1.16授权及批准在职工工作调动或离职时人力资源部正式书面通知（包括邮件、公文等形式）信息系统管理部门（省公司业务支撑中心或市公司信息技术中心或市公司服务营销中心），由负责应用系统管理员取消其相应的访问权限。GD06.BOSS.L.1.17管理层审阅每半年由BOSS应用系统工号管理部门组织各使用BOSS系统的各部门，对BOSS系统普通用户账号进行审阅。由工号管理员对BOSS系统普通用户清单进行复核，并书面确认，如发现多余或不恰当的帐号应进行及时调整。GD06.BOSS.L.1.18管理层审阅每半年以及业务流程发生重大变更时，135、BOSS应用系统工号管理部门组织各使用BOSS系统的各部门对BOSS系统用户的访问权限（所赋用户角色），进行审阅，并书面确认，以合理确保用户在系统中的权限与其职责相符。如发现不相容职责，应及时对用户的权限进行调整。GD06.BOSS.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并书面确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.2 经营分析系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及136、删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责经营分析系统管理的信息技术部门 (业务支撑中心)、经营分析系统使用部门（市场经营部、客户服务中心、集团客户部、数据业务中心、财务部）、人力资源部、各市公司。二、涉及的应用系统和重要的电子表格 经营分析系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性137、。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1.138、 对系统逻辑访问和物理访问的身份识别1.1. 经营分析系统建立用户名和密码的登录认证管理机制，采取实名用户制度，确保每个用户被授予唯一的用户账号。 (控制点GD06.BI.L.1.3)1.2. 对系统访问密码制定密码政策及规则，并根据对密码政策及规则在系统中进行相应设置，包括系统用户密码长度最少为6位，密码应由数字、字母混合组成，至少每90天进行强制更新。 (控制点GD06.BI.L.1.5)1.3. 经营分析系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，批处理用户账号，数据库管理员)的授权审批已建立正式的书面审批表格有业务支撑中心负责人进行审批。业务支撑中心分管对此类账号的139、清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（140、或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。 (控制点GD06.BI.L.1.7)业务支撑中心负责人对经营分析系统应用系统管理员的授权审批建立正式的审批表格，以保留有关的书面审批记录。业务支撑中心负责人或授权第三方人员对经营分析系统应用系统管理员的清单每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点GD06.BI.L.1.8)经营分析系统在对于操作系统层、数据库层及应用系统层管理层认定的与财务报表相关的操作留有系统操作日志。对于经营分析系统日志由业务支撑中心根据风险和重要性的原则确定检查内容，由安全管理员负责定期（每月）进行检查并留下检查记录。141、经营分析系统在对于操作系统层、数据库层及应用系统层管理层认定的与财务报表相关的操作留有系统操作日志。对于经营分析系统日志由业务支撑中心根据风险和重要性的原则确定检查内容，由安全管理员负责定期（每月）进行检查并留下检查记录。对经营分析系统数据库的修改留有记录，其中操作系统级的修改通过堡垒主机技术手段予以记录，应用程序的修改通过程序日志予以记录，相关日志由安全管理员每月进行检查。工具客户端对数据库的访问只限于查询。 (控制点GD06.BI.L.1.12)2. 用户账号的添加、修改及删除控制公司制定了有关经营分析系统用户账号管理的规定(XX经营分析系统账号管理办法), 包括了经营分析系统中用户账号的142、创建、修改管理的相关内容。经营分析系统普通用户账号管理采取“省公司业务支撑中心经营分析应用系统管理员市公司本地账号管理员”两级管理机制。在经营分析系统中新建账号或对账号的权限进行调整，由市公司/业务部门本地账号审批员审批，结果通过电子流程提交，省公司业务支撑中心应用系统管理员进行审批并交账号操作员在经营分析系统中进行设置，流程处理结果提交本地账号管理员确认并归档保存以确保审批流程的有效执行。 (控制点GD06.BI.L.1.15)省公司/市公司职工工作调动或离职时，人力资源部负责发正式通知给职工所在主管部门，由省公司/市公司主管部门的本地账号审批员汇总相关变更及时报知省公司业务支撑中心应用系统143、管理员后，启动帐号变更流程对该人员在经营分析应用系统中的账号进行删除或禁止使用处理。GD06.BI.L.1.16)3. 普通用户账号的定期审阅3.1. 业务支撑中心部门室一级或以上负责人对经营分析系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点GD06.BI.L.1.17)七、流程主要控制点GD06.BI.L.1.3系统设置经营分析系统建立用户名和密码的登录认证管理机制，采取实名用户制度，确保每个用户被授予唯一的用户账号。GD06.BI.L.1.5系统设置对系统访问密码制定密码政策及规则，并根据对密码政策及规则在系统中进行相应设置，包括系统用户密码长度144、最少为6位，密码应由数字、字母混合组成，至少每90天进行强制更新。GD06.BI.L.1.7授权及批准经营分析系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，批处理用户账号，数据库管理员)的授权审批已建立正式的书面审批表格有业务支撑中心负责人进行审批。业务支撑中心分管对此类账号的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全145、控制要求。XX对第三方用户帐号进行每季的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。GD06.BI.L.1.8授权及批准业务支撑中心负责人对经营分析系统应用系统管理员的授权审批建立正式的审批表格，以保留有关的书面审批记录。业务支撑中心负责人或授权第三方人员对经营分析系统应用系统管理员的清单每半年进行复核并签字确146、认，并对多余或不恰当的账号进行调整。GD06.BI.L.1.12管理层审阅经营分析系统在对于操作系统层、数据库层及应用系统层管理层认定的与财务报表相关的操作留有系统操作日志。对于经营分析系统日志由业务支撑中心根据风险和重要性的原则确定检查内容，由安全管理员负责定期（每月）进行检查并留下检查记录。对经营分析系统数据库的修改留有记录，其中操作系统级的修改通过堡垒主机技术手段予以记录，应用程序的修改通过程序日志予以记录，相关日志由安全管理员每月进行检查。工具客户端对数据库的访问只限于查询。GD06.BI.L.1.15授权及批准公司制定了有关经营分析系统用户账号管理的规定(XX经营分析系统账号管理办法147、), 包括了经营分析系统中用户账号的创建、修改管理的相关内容。经营分析系统普通用户账号管理采取“省公司业务支撑中心经营分析应用系统管理员市公司本地账号管理员”两级管理机制。在经营分析系统中新建账号或对账号的权限进行调整，由市公司/业务部门本地账号审批员审批，结果通过电子流程提交，省公司业务支撑中心应用系统管理员进行审批并交账号操作员在经营分析系统中进行设置，流程处理结果提交本地账号管理员确认并归档保存以确保审批流程的有效执行。GD06.BI.L.1.16授权及批准省公司/市公司职工工作调动或离职时，人力资源部负责发正式通知给职工所在主管部门，由省公司/市公司主管部门的本地账号审批员汇总相关变更148、及时报知省公司业务支撑中心应用系统管理员后，启动帐号变更流程对该人员在经营分析应用系统中的账号进行删除或禁止使用处理。GD06.BI.L.1.17管理层审阅业务支撑中心部门室一级或以上负责人对经营分析系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。3.1.3 MIS系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责MIS系统管理的信息技术部门（管理信息部）、MIS系统使用部门 （规划技术部，财务部，市场经营部，网络部，综合部，工程管理中心，物资管理中心，行政服务中心149、，业务支撑中心等其他各相关业务部门）、人力资源部。二、涉及的应用系统和重要的电子表格 MIS系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键过程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息150、安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. MIS系统通过用户名和密码实现登录认证，应用系统层和数据库层中除查询用户外不允许建立共享用户名。操作系统层由于系统限制无法按用户151、创建用户帐号，管理层规定了该类帐号的使用人员（仅限维护人员使用），并建立账号使用人员清单审批制度，以保证系统的操作可以对应到执行操作的人员。(控制点GD06.MIS.L.1.3)1.2. 根据XXMIS系统用户管理规定，MIS系统在应用系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字、字母组成。密码至少每90天进行更新等。操作系统和数据库由于系统限制暂时无法在系统中建立密码规则，管理层已建立对操作系统和数据库与MIS系统相关的关键用户密码每季度更新制度以保证密码政策的有效执行。(控制点GD06.MIS.L.1.5)系统中的操作系统、数据库的系统管理员账号由管理信息部负责人审批授权152、。管理信息部部门负责人或授权人员每季对系统管理员账号清单进行复核并对多余或不恰当的账号进行调整。对于在系统中预设的接口用户帐号，管理层对接口程序、脚本或相关设置进行访问控制以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，管理层建立了正式的书面审批表格，确保第三方远程登录访问仅限于经153、授权的第三方厂商人员，并对访问过程进行日志记录，管理信息部系统负责人员对第三方远程登录访问的用户清单和访问记录每季进行复核并签字确认。XX确保第三方远程登录访问的帐号只有查询功能。 (控制点GD06.MIS.L.1.7)系统中应用系统层的系统管理员账号由管理信息部部门负责人审批授权，管理信息部部门负责人或授权人员每季对系统管理员帐号清单进行复核并对多余或不恰当的账号进行调整。系统中应用系统业务超级用户帐号由业务部门负责人审批授权，业务部门负责人每季对系统应用层业务超级用户帐号清单进行复核，管理信息部业务部门复核结果回函，对多余或不恰当的帐号进行调整。 (控制点GD06.MIS.L.1.8)公司154、对MIS系统的跟管理层定义的财务报表相关的操作留有系统日志。对于MIS系统日志，包括操作系统层，数据库层（对MIS系统数据库的直接访问修改留有系统记录）和应用系统层。操作系统层，数据库日志由管理信息部根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），并由安全管理人员每月进行审核以合理确保所有与账务报表相关的操作均为合法及获授权的。应用层日志由业务部门根据风险和重要性的原则确定检查内容（如业务异常逻辑，关键业务监控点等），由业务部门安全管理员对应用层日志进行审阅。如由于系统限制无法对系统相关操作进行自动日志记录的，XX建立相关的监控流程，以保证对于系统的重要155、操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。(控制点GD06.MIS.L.1.12)2. 用户账号的添加、修改及删除控制2.1. XX建立了用户及其权限设置的管理流程，对用户创建和授权必须得到业务部门主管通过MIS账号变更申请表或者OA公文审批，并经业务部门提交MIS系统维护平台电子工单，由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建/修改。对于临时帐号的创建也得到相关部门主管的书面授权审批后方可在系统中创建。 (控制点GD06.MIS.L.1.15)2.2. XX由系统管理员统一进行MIS系统账号停用。在职工工作调动或离职时，由人力资源部通过公司发文方156、式正式通知业务部门和管理信息部，并由业务部门在MIS系统维护平台提交账号停用申请，方可由MIS系统管理员在MIS系统中对用户账号进行禁止使用操作。 (控制点GD06.MIS.L.1.16)3. 普通用户账号的定期审阅3.1. 对MIS系统普通用户账号进行定期审阅控制, 系统管理员每半年从系统提取用户账号相关信息，通过OA公文发给各单位签字确认，并由各单位通过OA公文及时反馈给管理信息部。如发现多余或不恰当的帐号进行及时调整。 (控制点GD06.MIS.L.1.17)3.2. 公司每半年及业务流程发生重大变更时，由MIS系统管理员从系统提取MIS系统用户的访问权限清单，并通过OA公文方式发给各单157、位，由各单位对用户的权限进行审阅，后通过OA公文方式反馈给管理信息部，以避免在用户的权限中有不相容职责的存在。日常工作中如发现不相容职责，各单位应通过MIS系统维护平台提交电子工单，及时通知管理信息部，对用户的权限进行调整。(控制点GD06.MIS.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门通过OA公文提出申请，并由业务部门主管对用户角色的权限设定进行审阅确认，以合理确保用户在系统中的权限与其职责相符。管理信息部系统管理员根据经OA公文审批的用户角色权限，在系统中设置用户角色权限。(控制点GD06.MIS.L.1.158、19)七、流程主要控制点GD06.MIS.L.1.3系统设置MIS系统通过用户名和密码实现登录认证，应用系统层和数据库层中除查询用户外不允许建立共享用户名。操作系统层由于系统限制无法按用户创建用户帐号，管理层规定了该类帐号的使用人员（仅限维护人员使用），并建立账号使用人员清单审批制度，以保证系统的操作可以对应到执行操作的人员。GD06.MIS.L.1.5系统设置根据XXMIS系统用户管理规定，MIS系统在应用系统中设置密码规则控制，用户密码长度不得低于6位，密码须由数字、字母组成。密码至少每90天进行更新等。操作系统和数据库由于系统限制暂时无法在系统中建立密码规则，管理层已建立对操作系统和数据159、库与MIS系统相关的关键用户密码每季度更新制度以保证密码政策的有效执行。GD06.MIS.L.1.7授权及批准系统中的操作系统、数据库的系统管理员账号由管理信息部负责人审批授权。管理信息部部门负责人或授权人员每季对系统管理员账号清单进行复核并对多余或不恰当的账号进行调整。对于在系统中预设的接口用户帐号，管理层对接口程序、脚本或相关设置进行访问控制以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季的检查，以保证第三方帐号得到有效控制（如系统开发人员和160、维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，管理层建立了正式的书面审批表格，确保第三方远程登录访问仅限于经授权的第三方厂商人员，并对访问过程进行日志记录，管理信息部系统负责人员对第三方远程登录访问的用户清单和访问记录每季进行复核并签字确认。XX确保第三方远程登录访问的帐号只有查询功能。GD06.MIS.L.1.8授权及批准系统中应用系统层的系统管理员账号由管理信息部部门负责人审批授权，管理信息部部门负责人或授权人员每季对系统管理员帐号清单进行复核并对多余或不恰当的账号进行调整。系统中应用系统业务超级用户帐号由业务部门负责人审161、批授权，业务部门负责人每季对系统应用层业务超级用户帐号清单进行复核，管理信息部业务部门复核结果回函，对多余或不恰当的帐号进行调整。GD06.MIS.L.1.12管理层审阅公司对MIS系统的跟管理层定义的财务报表相关的操作留有系统日志。对于MIS系统日志，包括操作系统层，数据库层（对MIS系统数据库的直接访问修改留有系统记录）和应用系统层。操作系统层，数据库日志由管理信息部根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率或金额等），并由安全管理人员每月进行审核以合理确保所有与账务报表相关的操作均为合法及获授权的。应用层日志由业务部门根据风险和重要性的原则确定检查内容（162、如业务异常逻辑，关键业务监控点等），由业务部门安全管理员对应用层日志进行审阅。如由于系统限制无法对系统相关操作进行自动日志记录的，XX建立相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。GD06.MIS.L.1.15授权及批准XX建立了用户及其权限设置的管理流程，对用户创建和授权必须得到业务部门主管通过MIS账号变更申请表或者OA公文审批，并经业务部门提交MIS系统维护平台电子工单，由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建/修改。对于临时帐号的创建也得到相关部门主管的书面授权审批后方可在系统中创建。GD06.MIS.163、L.1.16授权及批准XX由系统管理员统一进行MIS系统账号停用。在职工工作调动或离职时，由人力资源部通过公司发文方式正式通知业务部门和管理信息部，并由业务部门在MIS系统维护平台提交账号停用申请，方可由MIS系统管理员在MIS系统中对用户账号进行禁止使用操作。GD06.MIS.L.1.17管理层审阅对MIS系统普通用户账号进行定期审阅控制, 系统管理员每半年从系统提取用户账号相关信息，通过OA公文发给各单位签字确认，并由各单位通过OA公文及时反馈给管理信息部。如发现多余或不恰当的帐号进行及时调整。GD06.MIS.L.1.18管理层审阅公司每半年及业务流程发生重大变更时，由MIS系统管理员从164、系统提取MIS系统用户的访问权限清单，并通过OA公文方式发给各单位，由各单位对用户的权限进行审阅，后通过OA公文方式反馈给管理信息部，以避免在用户的权限中有不相容职责的存在。日常工作中如发现不相容职责，各单位应通过MIS系统维护平台提交电子工单，及时通知管理信息部，对用户的权限进行调整。GD06.MIS.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门通过OA公文提出申请，并由业务部门主管对用户角色的权限设定进行审阅确认，以合理确保用户在系统中的权限与其职责相符。管理信息部系统管理员根据经OA公文审批的用户角色权限，在系统中设置用户角色权165、限。3.1.4 OA系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责OA系统管理的信息技术部门（管理信息部）、OA系统使用部门（所有部门）。二、涉及的应用系统和重要的电子表格OA系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理办法并使员工意识到公司对信息安全的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确166、性和及时性。4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流167、程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 管理信息部在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码，而且每个系统账号均有唯一确定责任人负责，使系统的各项操作可以对应到个人。(控制点GD06.OA.L.1.3) 1.2. XX管理信息部对系统访问密码制定密码政策及规则，规定密码长度应在6位以上，密码由数字、字母组成，用户密码至少每90天进行强制更新等。目前OA系统因系统原因，暂时无法在系统中建立密码规则，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行。(控制点GD06.OA.L.1.5)OA系统中的操作系统根用户由OA系统管理部门负责人根据不同的分工168、授权给相关人员。部门负责人对系统超级用户的授权审批已建立正式的审批表格及流程。OA系统负责人对系统超级用户的清单进行每季定期复核，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方在公司办公网之外的远程登录访问已建立了严格控制，如第三方需要通过该方169、式远程登录访问，对系统进行操作及更新，值班人员在每次操作执行时根据系统负责人授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。 (控制点GD06.OA.L.1.7)OA系统管理部门负责人对DOMINO软件平台超级用户账号的授权审批已建立正式的审批表格。OA系统管理部门负责人对DOMINO软件平台超级用户账号的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。 (控制点GD06.OA.L.1.8)OA系统在对于数据库层、操作系统层及应用系统层管理层定义的与财务报表相关的操作留有系统操作日志170、，对于OA操作系统层、数据库层的操作日志应由管理信息部负责每月进行审核，并签字确认；对于与财务报告相关的OA应用层的操作日志应由管理信息部系统管理员负责每月提供给相关业务部门进行审核，并签字确认。如由于系统限制无法对系统相关操作进行自动日志记录的，XX已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行审核。 (控制点GD06.OA.L.1.12)2. 用户账号的添加、修改及删除控制2.1. XX制定了GMCC企业办公管理系统（EOAS）管理办法，用以管理OA应用系统账号。用户账号的创建、修改、停用或删除是由管理信息部OA系统管理员根据业务部门提交的171、电子工单申请或部门发文在OA系统中进行设置。 (控制点GD06.OA.L.1.15)2.2. 职工工作调动或离职等工作职能发生变化时，人力资源部门负责发正式公文给OA系统管理部门，OA系统管理部门确认后，由OA系统管理员在OA系统中进行暂停使用或者删除处理。(控制点GD06.OA.L.1.16)3. 普通用户账号的定期审阅3.1. 管理信息部每半年将系统中的用户清单发给业务部门及市公司，业务部门及市公司对OA系统普通用户的清单进行复核确认，并通过OA公文方式及时反馈，如发现多余或不恰当的账号进行及时调整。(控制点GD06.OA.L.1.17)3.2. 公司每半年及业务流程发生重大变更时，由管理172、信息部将OA系统用户的访问权限清单，交由相关业务部门及市公司，对用户权限进行审阅，以避免在用户权限中有不相容职责的存在。如发现不相容职责，业务部门及市公司应通过OA公文方式及时通知管理信息部，对用户权限进行调整。(控制点GD06.OA.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅确认，以合理确保用户在系统中的权限与其职责相符，并通过OA公文发文通知管理信息部。系统管理员根据业务部门OA公文申请的用户角色权限，在系统中设置用户角色权限。(控制点GD06.OA.L.1.19)173、七、流程主要控制点GD06.OA.L.1.3系统设置管理信息部在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码，而且每个系统账号均有唯一确定责任人负责，使系统的各项操作可以对应到个人。GD06.OA.L.1.5系统设置XX管理信息部对系统访问密码制定密码政策及规则，规定密码长度应在6位以上，密码由数字、字母组成，用户密码至少每90天进行强制更新等。目前OA系统因系统原因，暂时无法在系统中建立密码规则，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行。GD06.OA.L.1.7授权及批准OA系统中的操作系统根用户由OA系统管理部门负责人根据不同的分工授权给相关人员。部174、门负责人对系统超级用户的授权审批已建立正式的审批表格及流程。OA系统负责人对系统超级用户的清单进行每季定期复核，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方在公司办公网之外的远程登录访问已建立了严格控制，如第三方需要通过该方式远程登录访问，对175、系统进行操作及更新，值班人员在每次操作执行时根据系统负责人授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。GD06.OA.L.1.8授权及批准OA系统管理部门负责人对DOMINO软件平台超级用户账号的授权审批已建立正式的审批表格。OA系统管理部门负责人对DOMINO软件平台超级用户账号的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。GD06.OA.L.1.12管理层审阅OA系统在对于数据库层、操作系统层及应用系统层管理层定义的与财务报表相关的操作留有系统操作日志，对于OA操作系统层176、数据库层的操作日志应由管理信息部负责每月进行审核，并签字确认；对于与财务报告相关的OA应用层的操作日志应由管理信息部系统管理员负责每月提供给相关业务部门进行审核，并签字确认。如由于系统限制无法对系统相关操作进行自动日志记录的，XX已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行审核。GD06.OA.L.1.15授权及批准XX制定了GMCC企业办公管理系统（EOAS）管理办法，用以管理OA应用系统账号。用户账号的创建、修改、停用或删除是由管理信息部OA系统管理员根据业务部门提交的电子工单申请或部门发文在OA系统中进行设置。GD06.OA.L.1.177、16授权及批准职工工作调动或离职等工作职能发生变化时，人力资源部门负责发正式公文给OA系统管理部门，OA系统管理部门确认后，由OA系统管理员在OA系统中进行暂停使用或者删除处理。GD06.OA.L.1.17管理层审阅管理信息部每半年将系统中的用户清单发给业务部门及市公司，业务部门及市公司对OA系统普通用户的清单进行复核确认，并通过OA公文方式及时反馈，如发现多余或不恰当的账号进行及时调整。GD06.OA.L.1.18管理层审阅公司每半年及业务流程发生重大变更时，由管理信息部将OA系统用户的访问权限清单，交由相关业务部门及市公司，对用户权限进行审阅，以避免在用户权限中有不相容职责的存在。如发现不178、相容职责，业务部门及市公司应通过OA公文方式及时通知管理信息部，对用户权限进行调整。GD06.OA.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅确认，以合理确保用户在系统中的权限与其职责相符，并通过OA公文发文通知管理信息部。系统管理员根据业务部门OA公文申请的用户角色权限，在系统中设置用户角色权限。3.1.5 彩铃系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责彩铃系统管理的信息技术部门（网179、维中心、数据业务中心、业务支撑中心）。二、涉及的应用系统和重要的电子表格彩铃系统 三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管180、理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. (数据业务中心负责应用层系统，网络部门负责操作系统和数据库)彩铃系统应用系统，数据库，操作系统通过用户名和密码实现登录认证，应用系统除181、查询用户外不允许建立共享用户名。操作系统，数据库因系统原因无法按用户创建用户帐号，管理层规定该类帐号的使用人数，并建立相关的账号使用安排计划以保证系统的操作可以对应到执行操作的人员。(控制点GD06.CL.L.1.3)1.2. (数据业务中心负责应用层系统，网络部门负责操作系统和数据库)，各部门负责相关系统的访问密码制定密码政策及规则，并根据对密码政策及规则在应用系统层面进行相应设置，包括系统密码长度最少为6位，密码由数字、字母混合组成，至少每90天进行强制更新等。操作系统，数据库暂时无法在系统中建立自动密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行，检查至少包括：182、密码长度不低于6位，由数字字母组成、每90天对密码更新进行声明。(控制点GD06.CL.L.1.5)1.3. 彩铃系统操作系统级和数据库层超级用户账号，由彩铃设备维护人员统一进行管理、设置和分配。重要系统设备的特权口令（如UID为0）账户需报维护主管人员批准。网络部负责人对彩铃系统超级用户的授权审批建立正式的书面审批表格。 网络部负责人或授权第三方人员对系统超级用户的清单根据系统的重要程度每季度进行复核并签字确认，并对多余或不恰当的账号进行调整经授权的系统管理人员。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对183、于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工)。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。(控制点GD06.CL.L.1.7)对应用系统层超级用户的账户的访问根据工作职责仅限于经授权的系统管理人员。应184、用系统管理员账号的授权由业务部门主管书面审批。(控制点GD06.CL.L.1.8)1.4. (数据业务中心负责应用层系统，网络部门负责操作系统和数据库)彩铃系统在应用系统层对管理层定义的与财务报表相关的操作留有系统操作日志。操作系统层和数据库层由于系统限制只能提供部分系统日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。安全管理员（独立于系统管理员之外）负责每月对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向负责人领导汇报。(控制点GD06.C185、L.L.1.12)2. 用户账号的添加、修改及删除控制2.1. (数据业务中心负责应用层系统,网络部门负责操作系统和数据库)彩铃各个系统中账号的创建、修改管理，彩铃系统普通用户账号管理由相关负责部门的管理员负责。在彩铃系统中新建业务前台操作员账号或对账号的权限进行调整，须由部门主管对需求申请（包括公文、或电子邮件）审批确认后，由应用系统管理员在彩铃系统中进行设置。SP操作用户帐号由数据业务中心应用系统管理员根据公文要求在彩铃系统中创建。在彩铃系统中对SP操作用户账号的调整，需由数据业务中心及相关部门负责人对SP运营商接入进行评审后，编制SP账号创建公文，由数据业务中心应用系统管理员根据公文的要186、求，在彩铃系统中进行设置。网路部门负责操作系统和数据库用户帐号的审批和创建。(控制点GD06.CL.L.1.15)2.2. 职工工作调动或离职等工作职能发生变化时，人力资源部负责发正式通知给所在部门，由数据业务中心应用系统管理员取消其相应的访问权限。当SP终止服务或合同终止，由数据业务中心对SP账号的删除审批确认后发出公文，并由应用系统管理员根据公文要求对SP用户在彩铃应用系统中的账号进行删除或禁止使用处理。 (控制点GD06.CL.L.1.16)3. 普通用户账号的定期审阅每半年由数据业务中心组织对彩铃系统普通用户账号（包括业务前台操作员和SP用户）进行复核签字确认。应用系统管理员负责打印彩187、铃系统普通用户清单，并交由省/市公司业务部门授权人员审阅是否存在多余或不恰当的账号签字确认并及时反馈，如果发现存在多余或不恰当的账号，将通知应用系统管理员进行相应处理。网路部门负责操作系统和数据库的用户帐号复核签字确认。(控制点GD06.CL.L.1.17)七、流程主要控制点GD06.CL.L.1.3系统设置(数据业务中心负责应用层系统，网络部门负责操作系统和数据库)彩铃系统应用系统，数据库，操作系统通过用户名和密码实现登录认证，应用系统除查询用户外不允许建立共享用户名。操作系统，数据库因系统原因无法按用户创建用户帐号，管理层规定该类帐号的使用人数，并建立相关的账号使用安排计划以保证系统的操作188、可以对应到执行操作的人员。GD06.CL.L.1.5系统设置(数据业务中心负责应用层系统，网络部门负责操作系统和数据库)，各部门负责相关系统的访问密码制定密码政策及规则，并根据对密码政策及规则在应用系统层面进行相应设置，包括系统密码长度最少为6位，密码由数字、字母混合组成，至少每90天进行强制更新等。操作系统，数据库暂时无法在系统中建立自动密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行，检查至少包括：密码长度不低于6位，由数字字母组成、每90天对密码更新进行声明。GD06.CL.L.1.7授权及批准彩铃系统操作系统级和数据库层超级用户账号，由彩铃设备维护人员统一进行189、管理、设置和分配。重要系统设备的特权口令（如UID为0）账户需报维护主管人员批准。网络部负责人对彩铃系统超级用户的授权审批建立正式的书面审批表格。 网络部负责人或授权第三方人员对系统超级用户的清单根据系统的重要程度每季度进行复核并签字确认，并对多余或不恰当的账号进行调整经授权的系统管理人员。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每季定期的检查，以保证第三方帐190、号得到有效控制（如系统开发人员和维护人员的职责分工)。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。GD06.CL.L.1.8授权及批准对应用系统层超级用户的账户的访问根据工作职责仅限于经授权的系统管理人员。应用系统管理员账号的授权由业务部门主管书面审批。GD06.CL.L.1.12管理层审阅(数据业务中心负责应用层系统，网络部门负责操作系统和数据库)彩铃系统在应用系统层对管理层定义的191、与财务报表相关的操作留有系统操作日志。操作系统层和数据库层由于系统限制只能提供部分系统日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。安全管理员（独立于系统管理员之外）负责每月对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向负责人领导汇报。GD06.CL.L.1.15授权及批准(数据业务中心负责应用层系统,网络部门负责操作系统和数据库)彩铃各个系统中账号的创建、修改管理，彩铃系统普通用户账号管理由相关负责部门的管理员负责。在彩铃系统中新建业务192、前台操作员账号或对账号的权限进行调整，须由部门主管对需求申请（包括公文、或电子邮件）审批确认后，由应用系统管理员在彩铃系统中进行设置。SP操作用户帐号由数据业务中心应用系统管理员根据公文要求在彩铃系统中创建。在彩铃系统中对SP操作用户账号的调整，需由数据业务中心及相关部门负责人对SP运营商接入进行评审后，编制SP账号创建公文，由数据业务中心应用系统管理员根据公文的要求，在彩铃系统中进行设置。网路部门负责操作系统和数据库用户帐号的审批和创建。GD06.CL.L.1.16授权及批准职工工作调动或离职等工作职能发生变化时，人力资源部负责发正式通知给所在部门，由数据业务中心应用系统管理员取消其相应的访193、问权限。当SP终止服务或合同终止，由数据业务中心对SP账号的删除审批确认后发出公文，并由应用系统管理员根据公文要求对SP用户在彩铃应用系统中的账号进行删除或禁止使用处理。GD06.CL.L.1.17管理层审阅每半年由数据业务中心组织对彩铃系统普通用户账号（包括业务前台操作员和SP用户）进行复核签字确认。应用系统管理员负责打印彩铃系统普通用户清单，并交由省/市公司业务部门授权人员审阅是否存在多余或不恰当的账号签字确认并及时反馈，如果发现存在多余或不恰当的账号，将通知应用系统管理员进行相应处理。网路部门负责操作系统和数据库的用户帐号复核签字确认。3.1.6 智能网系统一、业务流程范围1所涉及的流程194、范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责智能网系统管理的信息技术部门（网管维护中心）、智能网系统使用部门（地市服务营销中心、客户服务中心、业务支撑中心）。二、涉及的应用系统和重要的电子表格智能网系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和195、及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程196、描述1. 对系统逻辑访问和物理访问的身份识别1.1. 智能网系统应用系统通过用户名和密码实现登录认证，系统中应用层除查询用户外不允许建立共享用户名。数据库层面及操作系统层由于系统原因无法按用户创建用户帐号，管理层限制该类帐号的使用人数6人以下。，并建立XX帐号口令管理办法_V1（暂行）对共享帐号的使用进行控制和备案，以保证系统的操作可以对应到执行操作的人员。(控制点GD06.ZNW.L.1.3)1.2. 智能网系统暂时无法在系统中进行密码规则的自动设置，网络部对系统访问制定密码规则，管理层已建立检查制度以保证密码政策的有效执行。检查至少包括：密码长度不低于6位，由数字字母组成、每90天对密码更197、新进行声明。 (控制点GD06.ZNW.L.1.5)1.3. 对智能网系统操作系统级和数据库层超级用户账号的授权审批已建立正式的审批表格和保留相应的书面审批记录。网管维护中心负责人对系统超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统198、开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。(控制点GD06.ZNW.L.1.7)1.4. 业务部门应用系统管理员由业务支撑中心进行管理，其权限的授予需通过公文向业务支撑中心申请，并经过业务支撑中心主管审批后，由业务支撑中心应用系统管理员在系统中创建账号;网络部门应用系统管理员由省网管维护中心管理，其权限的授予需通过公文向省网管维护中心申请，并经过网199、络部主管审批后，由网络部应用系统管理员在系统中创建账号。书面的授权审批记录会被保留。网管维护中心负责人对应用系统超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点GD06.ZNW.L.1.8)智能网系统在操作系统层、数据库层及应用系统层建立系统日志，系统的日志记录了部分与安全相关的事件，比如系统启动和关闭、用户登陆和登出等。所有系统特权命令的使用都被全面的记录。日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。系统日志应由网络部根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发200、生频率等），设备维护负责人员负责对日志进行定期每月检查，发现问题及时向主管领导汇报，并保留相应的书面检查记录。如由于系统限制无法对系统相关操作进行自动日志记录的，XX已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。(控制点GD06.ZNW.L.1.12) 2. 用户账号的添加、修改及删除控制2.1 业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。业务部门应用系统用户帐号须由市场经营部门对需求申请（包括公文、账号变更申请表等格式）审批确认后，由业务支撑中心智能网应用系统帐号管理员在系统中进201、行设置。网络部门应用系统用户帐号须由网管维护中心对需求申请（包括公文、账号变更申请表等格式）审批确认后，由网管维护中心智能网应用系统帐号管理员在系统中进行设置。对于智能网系统用户按个人创建单独的用户账号，账号的创建由部门主管书面批准。(控制点GD06.ZNW.L.1.15)2.2 业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。职工工作调动或离职时，企业人力资源部负责发正式通知给所在部门，由所在部门书面通知其相应的智能网系统应用系统帐号管理员对其在智能网应用系统中的账号进行删除或禁止使用处理。(控制点GD06.ZNW.L.1.16)3. 普通用202、户账号的定期审阅3.1. 业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。在按个人创建系统账号的基础上，每半年由智能网应用系统管理员打印普通用户账号清单，并分别交由业务支撑中心、网管维护中心相应的智能网应用系统帐号管理员或授权人员对智能网系统普通用户的清单定期（每半年）进行复核签字确认，审阅结果留下书面记录（如用户清单签字）。如发现多余或不恰当的账号进行及时调整。(控制点GD06.ZNW.L.1.17)3.2. 业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。公司每半年及业务流程发生重大变更时，203、由智能网应用系统管理员打印用户账号及访问权限清单，并分别交由省业务支撑中心主管、省网管维护中心主管，对各自负责管理的用户帐号的权限进行审阅签字，以避免在用户帐号的权限中有不相容职责的存在。如发现不相容职责，及时通知相应部门应用系统管理员，对用户帐号的权限进行调整。 (控制GD06.ZNW.L.1.18)4. 职责分工4.1. 创立新用户角色时考虑不相容职责分工原则，由相关部门负责人（或授权人员）对用户角色的权限设定进行审阅并签字确认，以避免用户角色中不相容职责权限的存在。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点GD06.ZNW.L.1.19)七、流程主要控制点 G204、D06.ZNW.L.1.3系统设置智能网系统应用系统通过用户名和密码实现登录认证，系统中应用层除查询用户外不允许建立共享用户名。数据库层面及操作系统层由于系统原因无法按用户创建用户帐号，管理层限制该类帐号的使用人数6人以下。，并建立XX帐号口令管理办法_V1（暂行）对共享帐号的使用进行控制和备案，以保证系统的操作可以对应到执行操作的人员。GD06.ZNW.L.1.5系统设置智能网系统暂时无法在系统中进行密码规则的自动设置，网络部对系统访问制定密码规则，管理层已建立检查制度以保证密码政策的有效执行。检查至少包括：密码长度不低于6位，由数字字母组成、每90天对密码更新进行声明。GD06.ZNW.L205、.1.7授权及批准对智能网系统操作系统级和数据库层超级用户账号的授权审批已建立正式的审批表格和保留相应的书面审批记录。网管维护中心负责人对系统超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方206、远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。GD06.ZNW.L.1.8授权及批准业务部门应用系统管理员由业务支撑中心进行管理，其权限的授予需通过公文向业务支撑中心申请，并经过业务支撑中心主管审批后，由业务支撑中心应用系统管理员在系统中创建账号;网络部门应用系统管理员由省网管维护中心管理，其权限的授予需通过公文向省网管维护中心申请，并经过网络部主管审批后，由网络部应用系统管理员在系统中创建账号207、。书面的授权审批记录会被保留。网管维护中心负责人对应用系统超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。GD06.ZNW.L.1.12管理层审阅智能网系统在操作系统层、数据库层及应用系统层建立系统日志，系统的日志记录了部分与安全相关的事件，比如系统启动和关闭、用户登陆和登出等。所有系统特权命令的使用都被全面的记录。日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。系统日志应由网络部根据风险和重要性的原则确定检查内容（如未授权操作、异常操作时点，异常发生频率等），设备维护负责人员负责对日志进行定期每月检208、查，发现问题及时向主管领导汇报，并保留相应的书面检查记录。如由于系统限制无法对系统相关操作进行自动日志记录的，XX已建立了相关的监控流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。GD06.ZNW.L.1.15授权及批准业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。业务部门应用系统用户帐号须由市场经营部门对需求申请（包括公文、账号变更申请表等格式）审批确认后，由业务支撑中心智能网应用系统帐号管理员在系统中进行设置。网络部门应用系统用户帐号须由网管维护中心对需求申请（包括公文、账号变更申请表等格式）审批确209、认后，由网管维护中心智能网应用系统帐号管理员在系统中进行设置。对于智能网系统用户按个人创建单独的用户账号，账号的创建由部门主管书面批准。GD06.ZNW.L.1.16授权及批准业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。职工工作调动或离职时，企业人力资源部负责发正式通知给所在部门，由所在部门书面通知其相应的智能网系统应用系统帐号管理员对其在智能网应用系统中的账号进行删除或禁止使用处理。GD06.ZNW.L.1.17管理层审阅业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。在按个人创建系统账号210、的基础上，每半年由智能网应用系统管理员打印普通用户账号清单，并分别交由业务支撑中心、网管维护中心相应的智能网应用系统帐号管理员或授权人员对智能网系统普通用户的清单定期（每半年）进行复核签字确认，审阅结果留下书面记录（如用户清单签字）。如发现多余或不恰当的账号进行及时调整。GD06.ZNW.L.1.18管理层审阅业务部门应用系统用户帐号由业务支撑中心负责管理，网络部门应用系统用户帐号由省网管维护中心负责管理。公司每半年及业务流程发生重大变更时，由智能网应用系统管理员打印用户账号及访问权限清单，并分别交由省业务支撑中心主管、省网管维护中心主管，对各自负责管理的用户帐号的权限进行审阅签字，以避免在用211、户帐号的权限中有不相容职责的存在。如发现不相容职责，及时通知相应部门应用系统管理员，对用户帐号的权限进行调整。GD06.ZNW.L.1.19职责分工创立新用户角色时考虑不相容职责分工原则，由相关部门负责人（或授权人员）对用户角色的权限设定进行审阅并签字确认，以避免用户角色中不相容职责权限的存在。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.7 MISC系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责MISC系统管理的信息技术部门（网络部）、数据业务中心、业务支撑中心。二、涉212、及的应用系统和重要的电子表格MISC系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐213、患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. (数据业务中心负责应用层系统,网络部门负责操作系统和数据库)MISC应用系统,数据库,操作系统通过用户名和密码实现登录认证，应用系统除查询用户外不允许建立共享用户名。操作系统,214、数据库因系统原因无法按用户创建用户帐号，管理层规定该类帐号的使用人数，并建立堡垒主机登陆记录的监控制度以保证系统的操作可以对应到执行操作的人员。 (控制点GD06.MISC.L.1.3)1.2. (数据业务中心负责应用层系统,网络部门负责操作系统和数据库),各部门负责相关系统的访问密码制定密码政策及规则，并根据对密码政策及规则在系统中进行相应设置，包括系统密码长度最少为6位，密码由数字、字母混合组成，至少每90天进行强制更新等。操作系统,数据库暂时无法在系统中建立自动密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行,检查至少包括：密码长度不低于6位，由数字字母组成、每215、90天对密码更新进行声明。(控制点GD06.MISC.L.1.5)1.3. 对MISC系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，批处理用户账号，数据库管理员)的授权审批已建立正式的书面审批表格。对超级用户帐号的使用仅限于经授权的MISC设备维护人员。网络部负责人或授权第三方人员对此类账号的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能216、够执行XX的安全控制要求。XX对第三方用户帐号进行每季度检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。对于MISC系统每个用户授予唯一的用户帐号，或通过建立管理机制（如堡垒主机登陆日志检查）确保超级用户对系统的操作可以对应到唯一的使用人员。(控制点GD06.MISC.L.1.7)1.4. (数据业务中心负责应用层217、系统,网络部门负责操作系统和数据库)目前MISC系统的应用系统管理员由数据业务管理部门进行管理。省公司应用系统管理员权限的授予需通过正式公文申请，并经过数据业务管理部门主管的审批后，将应用系统管理员账号及密码授予授权人员。地市公司应用系统管理员账号的创建需通过正式公文申请，并经过地市公司数据业务管理部门主管的审批后，交由省公司MISC应用系统管理员在系统中创建账号。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每季或每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点GD06.MISC.L.1.8)1.218、5. (数据业务中心负责应用层系统，网络部门负责操作系统和数据库)MISC系统在应用系统层对管理层定义的与财务报表相关的操作留有系统操作日志。操作系统层和数据库层由于系统限制只能提供部分系统日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。安全管理员（独立于系统管理员之外）负责每月对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向负责人领导汇报。 (控制点GD06.MISC.L.1.12)2. 用户账号的添加、修改及删除控制2.1. (数据业务中219、心负责应用层系统,网络部门负责操作系统和数据库)MISC各个系统普通用户账号管理由相关负责部门系统管理员负责。在MISC系统中新建账号或对账号的权限进行调整，须由相关负责部门主管对需求申请（包括公文、账号变更申请表等格式）审批确认后，由MISC系统管理员在系统中进行设置。(控制点GD06.MISC.L.1.15)2.2. 在职工工作调动或离职等工作职能的发生变化时，企业人力资源部正式书面通知（邮件、公文、员工离职单等形式）系统维护部门，由负责应用系统管理员取消其相应的访问权限。並留下相关的记录并由相关人员签字确认。(控制点GD06.MISC.L.1.16)3. 普通用户账号的定期审阅3.1. 220、(数据业务中心负责应用层系统,网络部门负责操作系统和数据库)在按个人创建系统账号的基础上，MISC相关系统管理员或授权人员对MISC系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。(控制点GD06.MISC.L.1.17)3.2. (数据业务中心负责应用层系统,网络部门负责操作系统和数据库) 公司每半年及业务流程发生重大变更时，相关系统管理员打印用户账号及访问权限清单，并交由各自负责的主管，对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，及时通知MISC应用系统管理员，对用户的权限进行调整。(控制点GD06.MISC.L.1221、.18)4. 职责分工4.1. (数据业务中心负责应用层系统,网络部门负责操作系统和数据库)，系统创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由主管部门负责人（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点GD06.MISC.L.1.19)七、流程主要控制点GD06.MISC.L.1.3系统设置(数据业务中心负责应用层系统,网络部门负责操作系统和数据库)MISC应用系统,数据库,操作系统通过用户名和密码实现登录认证，应用系统除查询用户外不允许建立共222、享用户名。操作系统,数据库因系统原因无法按用户创建用户帐号，管理层规定该类帐号的使用人数，并建立堡垒主机登陆记录的监控制度以保证系统的操作可以对应到执行操作的人员。GD06.MISC.L.1.5系统设置(数据业务中心负责应用层系统,网络部门负责操作系统和数据库),各部门负责相关系统的访问密码制定密码政策及规则，并根据对密码政策及规则在系统中进行相应设置，包括系统密码长度最少为6位，密码由数字、字母混合组成，至少每90天进行强制更新等。操作系统,数据库暂时无法在系统中建立自动密码规则的情况，管理层已建立相应的密码定期检查制度以保证密码政策的有效执行,检查至少包括：密码长度不低于6位，由数字字母组223、成、每90天对密码更新进行声明。GD06.MISC.L.1.7授权及批准对MISC系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，批处理用户账号，数据库管理员)的授权审批已建立正式的书面审批表格。对超级用户帐号的使用仅限于经授权的MISC设备维护人员。网络部负责人或授权第三方人员对此类账号的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执224、行XX的安全控制要求。XX对第三方用户帐号进行每季度检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。对于MISC系统每个用户授予唯一的用户帐号，或通过建立管理机制（如堡垒主机登陆日志检查）确保超级用户对系统的操作可以对应到唯一的使用人员。GD06.MISC.L.1.8授权及批准(数据业务中心负责应用层系统,网络部门225、负责操作系统和数据库)目前MISC系统的应用系统管理员由数据业务管理部门进行管理。省公司应用系统管理员权限的授予需通过正式公文申请，并经过数据业务管理部门主管的审批后，将应用系统管理员账号及密码授予授权人员。地市公司应用系统管理员账号的创建需通过正式公文申请，并经过地市公司数据业务管理部门主管的审批后，交由省公司MISC应用系统管理员在系统中创建账号。应用层超级管理员账号都应通过正式公文签字授权，且业务部门主管或授权第三方人员应对系统应用层超级管理员的清单根据系统的重要程度每季或每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。GD06.MISC.L.1.12管理层审阅(数据业务中心负226、责应用层系统，网络部门负责操作系统和数据库)MISC系统在应用系统层对管理层定义的与财务报表相关的操作留有系统操作日志。操作系统层和数据库层由于系统限制只能提供部分系统日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。安全管理员（独立于系统管理员之外）负责每月对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向负责人领导汇报。GD06.MISC.L.1.15授权及批准(数据业务中心负责应用层系统,网络部门负责操作系统和数据库)MISC各个系统普通用227、户账号管理由相关负责部门系统管理员负责。在MISC系统中新建账号或对账号的权限进行调整，须由相关负责部门主管对需求申请（包括公文、账号变更申请表等格式）审批确认后，由MISC系统管理员在系统中进行设置。GD06.MISC.L.1.16授权及批准在职工工作调动或离职等工作职能的发生变化时，企业人力资源部正式书面通知（邮件、公文、员工离职单等形式）系统维护部门，由负责应用系统管理员取消其相应的访问权限。並留下相关的记录并由相关人员签字确认。GD06.MISC.L.1.17管理层审阅(数据业务中心负责应用层系统,网络部门负责操作系统和数据库)在按个人创建系统账号的基础上，MISC相关系统管理员或授权228、人员对MISC系统普通用户的清单每半年进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。GD06.MISC.L.1.18管理层审阅(数据业务中心负责应用层系统,网络部门负责操作系统和数据库) 公司每半年及业务流程发生重大变更时，相关系统管理员打印用户账号及访问权限清单，并交由各自负责的主管，对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，及时通知MISC应用系统管理员，对用户的权限进行调整。GD06.MISC.L.1.19职责分工(数据业务中心负责应用层系统,网络部门负责操作系统和数据库)，系统创立新用户角色或对用户组或用户角色定义进行修改时，考虑不229、相容职责分工原则，由主管部门负责人（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.8 久其报表系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围财务部门二、涉及的应用系统和重要的电子表格久其报表系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机230、制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适231、当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 久其系统是财政部统一规定使用的年报系统，由久其公司统一开发并测试。将其适用于财务月报（MIS系统月报功能正式上线前）及年报上。该软件为单机版，总部及各省公司根据需求量直接向久其公司购买该系统。该系统并无用户访问的身份识别之功能，只要在个人计算机上安装该系统，用户便可以直接使用。公司为安装有久其系统的个人计算机设置唯一用户账号。(控制点GD06.JQ.L.1.3)1.2. 久其系统并无用户访问的身份识别之功232、能，而对安装有久其系统的个人计算机设置6位或以上的密码。(控制点GD06.JQ.L.1.5)七、流程主要控制点GD06.JQ.L.1.3系统设置久其系统是财政部统一规定使用的年报系统，由久其公司统一开发并测试。将其适用于财务月报（MIS系统月报功能正式上线前）及年报上。该软件为单机版，总部及各省公司根据需求量直接向久其公司购买该系统。该系统并无用户访问的身份识别之功能，只要在个人计算机上安装该系统，用户便可以直接使用。公司为安装有久其系统的个人计算机设置唯一用户账号。GD06.JQ.L.1.5系统设置久其系统并无用户访问的身份识别之功能，而对安装有久其系统的个人计算机设置6位或以上的密码。3.233、1.9 客户服务系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围负责客户服务系统管理的信息技术部门（业务支撑中心）、客户服务中心、地市区域呼叫中心。二、涉及的应用系统和重要的电子表格客户服务系统三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及234、相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有235、会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 客户服务系统通过用户名和密码实现登录认证，系统中除浏览帐号外不允许共享用户名。 (控制点GD06.KF.L.1.3)1.2. 业务支撑中心对系统访问制定密码规则，并根据密码规则在系统中进行相应设置，包括系统用户密码长度不得低于6位，密码须由数字、字母组成。密码应至少每90天进行更新等。（控制点GD06.KF.L.1.5）客户服务系统中的操作系统、数据库系统系统管理员，及根用户、安全管理账号、批处理用户账号等超级用户账号由区域信息技术中心负责人或授权人员审批授权，区域信息技术中心负责人或授权人员对客户服务系统超级用户的授权审236、批建立正式的审批表格。区域信息技术中心负责人或授权人员对客户服务系统超级用户账号的清单每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每半年的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班237、人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。(控制点GD06.KF.L.1.7)对应用系统层超级用户帐户的访问根据工作职责仅限于经授权的系统管理人员。应用系统层超级用户帐号都通过正式书面签字授权，对于客户服务中心应用系统管理员账号的创建，须由客户服务中心主管或授权人员授权审批。系统开发商开发人员不得拥有客服系统生产环境超级用户账号管理权限。客户服务中心主管或授权人员每半年审阅应用系统超级用户清单并签字确认，并对多余或不恰当的帐号进行调整。(控制点GD06.KF.L.1.8)业务238、支撑中心对客服系统操作系统层、应用系统层以及数据库层的所有重要操作，特别是管理层认定的与财务报表相关的操作留有系统日志。操作系统层和数据库层系统日志由区域中心信息技术中心和业务支撑中心根据风险和重要性的原则确定检查内容（未授权操作、异常操作时点，异常发生频率或金额等），由安全管理员（独立于系统管理员之外）负责每月进行审核并留下审核记录。应用系统层系统日志由客户服务中心负责每月进行审核并留下审核记录。部分操作系统和数据库系统因系统限制暂时无法在系统中建立完善的操作日志，管理层设置相关的关键操作审批和记录流程以保证对于系统的各项重要操作能够得到有效记录。并由安全管理员对相关记录每周/月进行定期审核239、。(控制点GD06.KF.L.1.12)2. 用户账号的添加、修改及删除控制2.1. 公司制定了“客服系统工号管理办法”用于客户服务应用系统中账号的创建、修改管理。客户服务系统普通用户账号管理由客户服务中心应用系统管理员负责。在客户服务系统中新建账号或对账号的权限进行调整，须由客户服务中心主管对需求申请（包括公文、工号变更申请表等格式）审批确认后，由客户服务中心应用系统管理员在系统中进行设置。 (控制点GD06.KF.L.1.15)2.2. 职工工作调动或离职等工作职能发生变化时，企业人力资源部负责发正式书面通知（包括邮件、公文等形式）给给所在部门，所在部门向客户服务中心发需求申请（包括电子邮240、件、传真、工号变更申请表等格式），由客户服务中心应用系统管理员对该人员在客户服务应用系统中的工号进行删除或禁止使用处理。 (控制点GD06.KF.L.1.16)3. 普通用户账号的定期审阅3.1. 各部门工号管理员或授权人员对客户服务系统普通用户的清单每半年进行复核，如发现多余或不恰当的账号应进行及时调整，并签字确认保留书面记录。(控制点GD06.KF.L.1.17)3.2. 公司每半年及业务流程发生重大变更时，由客户服务中心应用系统管理员打印客户服务系统用户的访问权限清单（用户角色），并交由客户服务中心主管对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，应241、及时通知系统管理员，对用户的权限进行调整。(控制点GD06L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以避免用户角色中不相容职责权限的存在。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点GD06.KF.L.1.19)七、流程主要控制点GD06.KF.L.1.3系统设置客户服务系统通过用户名和密码实现登录认证，系统中除浏览帐号外不允许共享用户名。GD06.KF.L.1.5系统设置业务支撑中心对系统访问制定密码规则，并根据密码规则在系统中进242、行相应设置，包括系统用户密码长度不得低于6位，密码须由数字、字母组成。密码应至少每90天进行更新等。GD06.KF.L.1.7授权及批准客户服务系统中的操作系统、数据库系统系统管理员，及根用户、安全管理账号、批处理用户账号等超级用户账号由区域信息技术中心负责人或授权人员审批授权，区域信息技术中心负责人或授权人员对客户服务系统超级用户的授权审批建立正式的审批表格。区域信息技术中心负责人或授权人员对客户服务系统超级用户账号的清单每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的243、用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行每半年的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。GD06.KF.L.1.8授权及批准对应用系统层超级用户帐户的访问根据工作职责仅限于经授权的系统244、管理人员。应用系统层超级用户帐号都通过正式书面签字授权，对于客户服务中心应用系统管理员账号的创建，须由客户服务中心主管或授权人员授权审批。系统开发商开发人员不得拥有客服系统生产环境超级用户账号管理权限。客户服务中心主管或授权人员每半年审阅应用系统超级用户清单并签字确认，并对多余或不恰当的帐号进行调整。GD06.KF.L.1.12管理层审阅业务支撑中心对客服系统操作系统层、应用系统层以及数据库层的所有重要操作，特别是管理层认定的与财务报表相关的操作留有系统日志。操作系统层和数据库层系统日志由区域中心信息技术中心和业务支撑中心根据风险和重要性的原则确定检查内容（未授权操作、异常操作时点，异常发生频245、率或金额等），由安全管理员（独立于系统管理员之外）负责每月进行审核并留下审核记录。应用系统层系统日志由客户服务中心负责每月进行审核并留下审核记录。部分操作系统和数据库系统因系统限制暂时无法在系统中建立完善的操作日志，管理层设置相关的关键操作审批和记录流程以保证对于系统的各项重要操作能够得到有效记录。并由安全管理员对相关记录每周/月进行定期审核。GD06.KF.L.1.15授权及批准公司制定了“客服系统工号管理办法”用于客户服务应用系统中账号的创建、修改管理。客户服务系统普通用户账号管理由客户服务中心应用系统管理员负责。在客户服务系统中新建账号或对账号的权限进行调整，须由客户服务中心主管对需求申246、请（包括公文、工号变更申请表等格式）审批确认后，由客户服务中心应用系统管理员在系统中进行设置。GD06.KF.L.1.16授权及批准职工工作调动或离职等工作职能发生变化时，企业人力资源部负责发正式书面通知（包括邮件、公文等形式）给给所在部门，所在部门向客户服务中心发需求申请（包括电子邮件、传真、工号变更申请表等格式），由客户服务中心应用系统管理员对该人员在客户服务应用系统中的工号进行删除或禁止使用处理。GD06.KF.L.1.17管理层审阅各部门工号管理员或授权人员对客户服务系统普通用户的清单每半年进行复核，如发现多余或不恰当的账号应进行及时调整，并签字确认保留书面记录。GD06.KF.L.1247、.18管理层审阅公司每半年及业务流程发生重大变更时，由客户服务中心应用系统管理员打印客户服务系统用户的访问权限清单（用户角色），并交由客户服务中心主管对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，应及时通知系统管理员，对用户的权限进行调整。GD06.KF.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以避免用户角色中不相容职责权限的存在。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.10 网络及基础设施一、业务流程范围248、1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。2所涉及的部门范围业务支撑中心、网络部、网管维护中心、管理信息部二、涉及的应用系统和重要的电子表格 OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、智能网系统、彩铃平台、LIS系统、人力资源系统、GSM网中产生话单的交换机系统、产生网内点对点短信业务话单的短信中心系统的网络基础设施。三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别249、，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对250、系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 信息安全管理构架和信息安全政策1.1. XX在业务支撑中心、网管维护中心和管理信息部设置专职或不存在冲突职责的安全管理员负责安全政策制定和监督实施，主要职责包括对信息安全政策的制定及发布、系统运行安全检查、项目建设涉及安全问题的审阅及评估。各部门安全管理员每月对当月安全状况向部门领导提交信息安全专题报告。如果发生突发安全事件，安全管理员负责向部门领导及时提交正式安全事故分析报告。对于相关的安全组织机构及人员建立更新公司及部门的组251、织机构图及部门、员工岗位职责描述。 (控制点GD06.WJ.L.1.1)1.2. XX管理信息部，网络部，和业务支撑中心根据总部发布的规章制定以下制度或者包含以下内容的制度： 机房安全管理制度 数据安全管理制度 / 计算机应用安全管理规定 最终用户及权限的管理流程 / 密码权限管理流程 内部网络安全管理制度 互联网安全管理制度 计算机病毒防范制度 / 安全管理文档设备、防毒细则公司所制定的规章制度已包含了网络、物理安全、操作系统安全、应用程序安全、问题管理、系统备份的各方面内容。XX采用了正式的信息政策并为信息安全提供指导，范围包括与生成财务报告程序和数据相关的信息技术环境的所有方面（例如网络252、，物理安全，操作系统安全，应用程序安全等）。XX公司所制订的安全规章制度进行年度审阅更新，并将审阅更新的要求包含在相关安全规章制度内。对于已更新的安全规章制度及时下发各相关部门遵照执行。 (控制点GD06.WJ.L.1.2)2. 对系统逻辑访问和物理访问的身份识别2.1. 目前XX公司对于各网段之间通过IP地址划分来限制跨网段访问。 对于办公局域网，因历史原因无法采用技术手段实现接入控制的，在系统改造完成之前，采用相关管理规范审核接入。通过在制度管理方面，通过规范外来人员接入公司办公局域网，对其进行登记备案，同时定期对接入情况进行审阅。系统改造计划通过第三方设备实现对用户接入局域网的控制。对于253、无线办公局域网，通过利用无线AP自身的加密功能，接入人员需输入密码方可访问局域网内的资源。对于生产系统的网络（即生产网），主机和终端均为专用，通过严格的机房管理，禁止其他终端进行接入。对于生产系统的支撑网（即网管网），采用MAC地址绑定或域管理认证或其他等效方式实现网络登录的认证管理，只有通过认证的终端设备才可对网络资源进行使用。因历史原因无法采用技术手段实现接入控制的，在系统改造完成之前，采用相关管理规范审核接入，定期审查的办法来进行控制。同时，禁止无线AR直接接入生产网和网管网。对于接入公司业务支撑网的终端设备必须通过相关的认证管理，才可使用业务支撑系统。业务支撑中心对认证管理和技术手段提254、供整体指导意见，各市公司业务支撑网络管理部门负责本地网络认证实施和管理，确保未授权终端不能接入业务支撑网。(控制点GD06.WJ.L.1.4)2.2. 广东省公司根据不同部门划分为办公网、网络业务生产网及业务支撑部门生产网三个网络，管理信息部、网管维护中心、业务支撑中心内分别设定网络管理员，负责日常网络维护及运行管理。只有网络管理员拥有网络设备的超级管理员权限，网络管理员由相关部门（管理信息部、网管维护中心、业务支撑中心）负责人书面授权审批。 (控制点GD06.WJ.L.1.6)2.3. XX公司机房通过门禁系统（指纹系统或门卫等）实现物理访问控制。各部门需经常进入机房的人员，须经过部门负责人255、填写机房准入授权单授权审批后，方可发放门禁卡（在指纹系统中添加用户档案/更新门卫的机房准入人员名单）。对于需临时进入机房的人员（包括公司内部及外部人员），必须经过部门负责人授权批准后，在有权限进入机房的工作人员陪同下进入机房，并填写机房进出登记表。(控制点GD06.WJ.L.1.9)2.4. 机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单，由部门负责人对有权限进入机房的人员进行复核签字，如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。(控制点GD06.WJ.L.1.10)2.5. 人员进出机房会在机房门禁系统或机房进出登记表中留下记录。相关负责人员每月256、对机房门禁日志/机房进出记录进行审阅签字，检查是否有异常进出情况。如发现安全问题及时上报安全管理机构。(控制点GD06.WJ.L.1.11)2.6. XX公司信息技术部门对电脑防病毒软件统一升级，统一设置安全策略，强制安装。防病毒服务器上设置自动实时更新杀毒软件厂商发布的安全补丁及病毒库。客户终端上的杀毒软件在登录公司网络时实现自动扫描更新安全补丁及病毒库。 (控制点GD06.WJ.L.1.13)2.7. 公司网络与互联网或外联公司的网络连接（如银行等）经过防火墙或应用网关协议控制保护。公司对防火墙及应用网关的安全设置依据业务安全级别及其路由访问策略制定其在防火墙及应用网关中的安全策略，并由网257、络管理员及相关应用网关系统管理员进行策略设置。各信息技术部门网络管理员每月对防火墙日志进行审计，并在专用位置保留近期记录，以备安全审计及核查。(控制点GD06.WJ.L.1.14)七、流程主要控制点GD06.WJ.L.1.1职责分工XX在业务支撑中心、网管维护中心和管理信息部设置专职或不存在冲突职责的安全管理员负责安全政策制定和监督实施，主要职责包括对信息安全政策的制定及发布、系统运行安全检查、项目建设涉及安全问题的审阅及评估。各部门安全管理员每月对当月安全状况向部门领导提交信息安全专题报告。如果发生突发安全事件，安全管理员负责向部门领导及时提交正式安全事故分析报告。对于相关的安全组织机构及人258、员建立更新公司及部门的组织机构图及部门、员工岗位职责描述。GD06.WJ.L.1.2政策和流程XX管理信息部，网络部，和业务支撑中心根据总部发布的规章制度制定以下制度或者包含以下内容的制度： 机房安全管理制度 数据安全管理制度 / 计算机应用安全管理规定 最终用户及权限的管理流程 / 密码权限管理流程 内部网络安全管理制度 互联网安全管理制度 计算机病毒防范制度 / 安全管理文档设备、防毒细则公司所制定的规章制度已包含了网络、物理安全、操作系统安全、应用程序安全、问题管理、系统备份的各方面内容。XX采用了正式的信息政策并为信息安全提供指导，范围包括与生成财务报告程序和数据相关的信息技术环境的所259、有方面（例如网络，物理安全，操作系统安全，应用程序安全等）。XX公司所制订的安全规章制度进行年度审阅更新，并将审阅更新的要求包含在相关安全规章制度内。对于已更新的安全规章制度及时下发各相关部门遵照执行。GD06.WJ.L.1.4系统设置目前XX公司对于各网段之间通过IP地址划分来限制跨网段访问。对于办公局域网，因历史原因无法采用技术手段实现接入控制的，在系统改造完成之前，采用相关管理规范审核接入。通过在制度管理方面，通过规范外来人员接入公司办公局域网，对其进行登记备案，同时定期对接入情况进行审阅。系统改造计划通过第三方设备实现对用户接入局域网的控制。对于无线办公局域网，通过利用无线AP自身的加260、密功能，接入人员需输入密码方可访问局域网内的资源。对于生产系统的网络（即生产网），主机和终端均为专用，通过严格的机房管理，禁止其他终端进行接入。对于生产系统的支撑网（即网管网），采用MAC地址绑定或域管理认证或其他等效方式实现网络登录的认证管理，只有通过认证的终端设备才可对网络资源进行使用。因历史原因无法采用技术手段实现接入控制的，在系统改造完成之前，采用相关管理规范审核接入，定期审查的办法来进行控制。同时，禁止无线AR直接接入生产网和网管网。对于接入公司业务支撑网的终端设备必须通过相关的认证管理，才可使用业务支撑系统。业务支撑中心对认证管理和技术手段提供整体指导意见，各市公司业务支撑网络管理261、部门负责本地网络认证实施和管理，确保未授权终端不能接入业务支撑网。GD06.WJ.L.1.6授权及批准广东省公司根据不同部门划分为办公网、网络业务生产网及业务支撑部门生产网三个网络，管理信息部、网管维护中心、业务支撑中心内分别设定网络管理员，负责日常网络维护及运行管理。只有网络管理员拥有网络设备的超级管理员权限，网络管理员由相关部门（管理信息部、网管维护中心、业务支撑中心）负责人书面授权审批。GD06.WJ.L.1.9授权及批准XX公司机房通过门禁系统（指纹系统或门卫等）实现物理访问控制。各部门需经常进入机房的人员，须经过部门负责人填写机房准入授权单授权审批后，方可发放门禁卡（在指纹系统中添加262、用户档案/更新门卫的机房准入人员名单）。对于需临时进入机房的人员（包括公司内部及外部人员），必须经过部门负责人授权批准后，在有权限进入机房的工作人员陪同下进入机房，并填写机房进出登记表。GD06.WJ.L.1.10管理层审阅机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单，由部门负责人对有权限进入机房的人员进行复核签字，如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。GD06.WJ.L.1.11管理层审阅人员进出机房会在机房门禁系统或机房进出登记表中留下记录。相关负责人员每月对机房门禁日志/机房进出记录进行审阅签字，检查是否有异常进出情况。如发现安全问题263、及时上报安全管理机构。GD06.WJ.L.1.13系统设置XX公司信息技术部门对电脑防病毒软件统一升级，统一设置安全策略，强制安装。防病毒服务器上设置自动实时更新杀毒软件厂商发布的安全补丁及病毒库。客户终端上的杀毒软件在登录公司网络时实现自动扫描更新安全补丁及病毒库。GD06.WJ.L.1.14管理层审阅公司网络与互联网或外联公司的网络连接（如银行等）经过防火墙或应用网关协议控制保护。公司对防火墙及应用网关的安全设置依据业务安全级别及其路由访问策略制定其在防火墙及应用网关中的安全策略，并由网络管理员及相关应用网关系统管理员进行策略设置。各信息技术部门网络管理员每月对防火墙日志进行审计，并在专用264、位置保留近期记录，以备安全审计及核查。3.1.11 交换机系统一、业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制2所涉及的部门范围负责交换机系统管理的信息技术部门（网维中心）二、涉及的应用系统和重要的电子表格GSM网中产生话单的交换机系统 三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除265、都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于266、系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 交换机集中维护平台通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。交换机系统目前如果无法按用户创建用户帐号，对于交换机可以通过控制终端进行访问，则管理层应限制该类帐号的使用人数,XX已建立帐户口令管理办法进行管理,对于交换机仅可在机房内进行直接访问，XX已建立机房门禁管理、值班安排计划方式等监控制度。(控制点GD06.JHJ.L.1.3)1.2. 对交换机系统制定了密码政策和规则，交换机系统用户密码由数字和字母组成、长度不得低于6位，密码应90天更换。目前因系统限制暂时无法在系统中267、设置密码规则，管理层建立相应的密码定期检查制度以保证密码政策的有效执行。检查记录至少包括密码由数字及字母组成、长度不得低于6位，密码应90天更换。检查应每季度进行。（控制点GD06.JHJ.L.1.5）1.3. 交换机系统/集中维护操作平台的操作系统级和数据库层超级用户账号，由交换机操作系统管理员统一进行管理、设置和分配。重要系统设备的特权口令账户需报维护主管人员批准。安全技术管理人员在每季度对各设备的超级用户权限设置情况进行检查审计。网维中心分管负责人对交换机系统超级用户的授权审批应建立正式的审批表格。网维中心分管负责人或授权第三方人员对系统超级用户的清单根据系统的重要程度每季进行复核并签字268、确认，并对多余或不恰当的账号进行调整而且保留审阅记录。对于在系统中预设的用户帐号，管理层应对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问建立严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及269、时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。(控制点GD06.JHJ.L.1.7)七、流程主要控制点GD06.JHJ.L.1.3系统设置交换机集中维护平台通过用户名和密码实现登录认证，系统中除查询用户外不允许建立共享用户名。交换机系统目前如果无法按用户创建用户帐号，对于交换机可以通过控制终端进行访问，则管理层应限制该类帐号的使用人数,XX已建立帐户口令管理办法进行管理,对于交换机仅可在机房内进行直接访问，XX已建立机房门禁管理、值班安排计划方式等监控制度。GD06.JHJ.L.1.5系统设置对交换机系统制定了密码政策和规则，交换机系统用户密码由数字和字母组成、长度不得低270、于6位，密码应90天更换。目前因系统限制暂时无法在系统中设置密码规则，管理层建立相应的密码定期检查制度以保证密码政策的有效执行。检查记录至少包括密码由数字及字母组成、长度不得低于6位，密码应90天更换。检查应每季度进行。GD06.JHJ.L.1.7授权及批准交换机系统/集中维护操作平台的操作系统级和数据库层超级用户账号，由交换机操作系统管理员统一进行管理、设置和分配。重要系统设备的特权口令账户需报维护主管人员批准。安全技术管理人员在每季度对各设备的超级用户权限设置情况进行检查审计。网维中心分管负责人对交换机系统超级用户的授权审批应建立正式的审批表格。网维中心分管负责人或授权第三方人员对系统超级271、用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整而且保留审阅记录。对于在系统中预设的用户帐号，管理层应对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX已和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问建立严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远272、程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员及时终止远程登录。3.1.12 短信系统一. 业务流程范围1所涉及的流程范围逻辑安全和物理安全、用户帐号的添加、修改及删除控制、用户帐号的定期审阅、职责分工控制2所涉及的部门范围网络部。二. 涉及的应用系统和重要的电子表格产生网内点对点短信业务话单的短信中心系统三. 目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来273、的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四. 风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问，非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工帐号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部274、门授权确定的职责分工要求不符。五. 相关会计科目适用于系统和程序对应的所有会计科目。六. 流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 短信系统应用系统，数据库，操作系统通过用户名和密码实现登录认证，应用系统除查询用户外不允许建立共享用户名。操作系统，数据库因系统原因无法按用户创建用户帐号，管理层规定该类帐号的使用人数，并建立相关的账号使用安排计划以保证系统的操作可以对应到执行操作的人员。（控制点GD06.SMS.L.1.3）1.2. 短信系统暂时无法在系统中进行密码规则的自动设置，网络部对系统访问制定密码规则，管理层已建立检查制度以保证密码政策的有效执行。检查至少包括：密码长度不275、低于6位，由数字字母组成、每90天对密码更新进行声明。（控制点GD06.SMS.L.1.5）1.3. 对短信系统操作系统级和数据库层超级用户账号的授权审批已建立正式的审批表格和保留相应的书面审批记录。网管维护中心负责人对系统超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，276、以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。（控制点GD06.SMS.L.1.7）1.4. 短信应用系统管理员帐号的建立需通过帐号申请表申请，并经过网络部门主管的审批，且网络部门主管或授权人员应对短信中心系统应用层超级用户的清单根据系统的重要程度每季或每半年进行复核并签字确认，并对多余或不恰当的帐号进行调整。（控制277、点GD06.SMS.L.1.8）1.5. 短信系统在应用系统层建立系统日志，对系统所有管理层定义的与财务报表相关的操作均有系统日志进行记录，对于短信话单产生、存储、和传输有关的操作留有系统日志及告警。系统的日志记录了任何与安全相关的事件，比如试图修改系统文件和文件属性，试图猜测口令、关键应用系统文件的改变、增加和改变用户属性、系统启动和关闭等。所有系统特权命令的使用都被全面的记录。日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。系统日志应由网络部根据风险和重要性的原则确定检查内容（包括未授权操作、异常操作时点，异常发生频率等），设备维护负责278、人员负责对日志进行每月检查，发现问题及时向主管领导汇报，并保留相应的书面检查记录。短信系统在应用系统层对管理层定义的与财务报表相关的操作留有系统操作日志。操作系统层和数据库层由于系统限制只能提供部分系统日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。安全管理员（独立于系统管理员之外）负责每月对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向负责人领导汇报。（控制点GD06.SMS.L.1.12）2. 用户帐号的添加、修改及删除控制2.1. 短信279、系统应用层普通用户账号须由网络部门对需求申请（包括公文、账号变更申请表等格式）审批确认后，由网络部系统应用系统管理员在系统中进行设置。对于短信系统用户按个人创建单独的用户账号，账号的创建由部门主管书面批准后，由帐号管理员在短信中心系统中进行设置。（控制点GD06.SMS.L.1.15）2.2. 职工工作调动或离职时，企业人力资源部负责发正式通知给所在部门，由所在部门书面通知短信系统应用系统管理员对其在短信应用系统中的账号进行删除或禁止使用处理。（控制点GD06L.SMS.1.16）3. 普通用户帐号的定期审阅3.1. 在按个人创建系统账号的基础上，短信系统应用系统管理员或授权人员应对短信系统普280、通用户的清单定期（每半年）进行复核签字确认，审阅结果留下书面记录（如用户清单签字）。如发现多余或不恰当的账号进行及时调整。（控制点GD06.SMS.L.1.17）3.2. 公司每半年及业务流程发生重大变更时，由短信应用系统管理员打印用户账号及访问权限清单，并交由网路部门主管，对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，及时通知应用系统管理员，对用户的权限进行调整。（控制点GD06.SMS.L.1.18）4. 职责分工创立新用户角色时考虑不相容职责分工原则，由相关部门负责人（或授权人员）对用户角色的权限设定进行审阅并签字确认，以避免用户角色中不相容职责权限281、的存在。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。（控制点GD06.SMS.L.1.19）七. 流程主要控制点GD06.SMS.L.1.3系统设置短信系统应用系统，数据库，操作系统通过用户名和密码实现登录认证，应用系统除查询用户外不允许建立共享用户名。操作系统，数据库因系统原因无法按用户创建用户帐号，管理层规定该类帐号的使用人数，并建立相关的账号使用安排计划以保证系统的操作可以对应到执行操作的人员。GD06.SMS.L.1.5系统设置短信系统暂时无法在系统中进行密码规则的自动设置，网络部对系统访问制定密码规则，管理层已建立检查制度以保证密码政策的有效执行。检查至少包括：密码282、长度不低于6位，由数字字母组成、每90天对密码更新进行声明。GD06.SMS.L.1.7授权及批准对短信系统操作系统级和数据库层超级用户账号的授权审批已建立正式的审批表格和保留相应的书面审批记录。网管维护中心负责人对系统超级用户的清单根据系统的重要程度每季进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保283、证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。XX对第三方远程登录访问已建立了严格控制，如第三方需要通过远程登录访问对系统进行操作及更新，值班人员在每次操作执行时根据部门领导授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，值班人员应及时终止远程登录。GD06.SMS.L.1.8授权及批准短信应用系统管理员帐号的建立需通过帐号申请表申请，并经过网络部门主管的审批，且网络部门主管或授权人员应对短信中心系统应用层超级用户的清单根据系统的重要程度每季或每半年进行复核并签字确认，并对多余或不恰当的帐号进行调整。GD06.SMS.L284、.1.12管理层审阅短信系统在应用系统层建立系统日志，对系统所有管理层定义的与财务报表相关的操作均有系统日志进行记录，对于短信话单产生、存储、和传输有关的操作留有系统日志及告警。系统的日志记录了任何与安全相关的事件，比如试图修改系统文件和文件属性，试图猜测口令、关键应用系统文件的改变、增加和改变用户属性、系统启动和关闭等。所有系统特权命令的使用都被全面的记录。日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。系统日志应由网络部根据风险和重要性的原则确定检查内容（包括未授权操作、异常操作时点，异常发生频率等），设备维护负责人员负责对日志进行每月285、检查，发现问题及时向主管领导汇报，并保留相应的书面检查记录。短信系统在应用系统层对管理层定义的与财务报表相关的操作留有系统操作日志。操作系统层和数据库层由于系统限制只能提供部分系统日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。安全管理员（独立于系统管理员之外）负责每月对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向负责人领导汇报。GD06.SMS.L.1.15授权及批准短信系统应用层普通用户账号须由网络部门对需求申请（包括公文、账号变更申请286、表等格式）审批确认后，由网络部系统应用系统管理员在系统中进行设置。对于短信系统用户按个人创建单独的用户账号，账号的创建由部门主管书面批准后，由帐号管理员在短信中心系统中进行设置。GD06.SMS.L.1.16授权及批准职工工作调动或离职时，企业人力资源部负责发正式通知给所在部门，由所在部门书面通知短信系统应用系统管理员对其在短信应用系统中的账号进行删除或禁止使用处理。GD06.SMS.L.1.17管理层审阅在按个人创建系统账号的基础上，短信系统应用系统管理员或授权人员应对短信系统普通用户的清单定期（每半年）进行复核签字确认，审阅结果留下书面记录（如用户清单签字）。如发现多余或不恰当的账号进行及287、时调整。GD06.SMS.L.1.18管理层审阅公司每半年及业务流程发生重大变更时，由短信应用系统管理员打印用户账号及访问权限清单，并交由网路部门主管，对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，及时通知应用系统管理员，对用户的权限进行调整。GD06.SMS.L.1.19职责分工创立新用户角色时考虑不相容职责分工原则，由相关部门负责人（或授权人员）对用户角色的权限设定进行审阅并签字确认，以避免用户角色中不相容职责权限的存在。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.13 LIS系统一、业务流程范围1所涉及的业务范围逻辑安全和物288、理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制2所涉及的部门范围负责LIS系统管理的信息技术部门（省公司物资管理中心）、LIS系统使用部门 （省公司物资管理中心、省市市场经营部、工程管理中心、网维中心、后勤服务中心、个别市公司所有部门）二、涉及的应用系统和重要的电子表格LIS系统 三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除289、都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于290、系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. LIS系统通过用户名和密码实现登录认证，操作系统和数据库因系统限制法按用户创建用户帐号，管理层规定该类帐号的使用人数为5人以下，并建立值班安排计划，以保证系统的操作可以对应到执行操作的人员。省公司物资管理中心在应用系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。(控制点GD06.LIS.L.1.3)1.2. 行政服务中心根据系统地风险程度对LIS系统制定密码规则要求，并在系统中进行相应的密码规则以避免弱密码的使用。密码规则包括用户密码长度不得低于6位，密291、码须由数字、字母组成。密码应至少每90天进行更新等。（控制点GD06.LIS.L.1.5）对LIS系统操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，安全管理员账号，批处理用户账号，数据库管理员) 的使用仅限于经授权的系统管理人员。安全技术管理人员（独立于系统管理员之外）每季对此类帐号进行审核并留下审核记录。系统预设帐号实施访问控制以保证只有少数经授权的用户可以访问。管理层和第三方厂商签订安全保密协议以保证第三方厂商执行XX的相关安全政策。第三方远程登录访问应得到相应部门负责人的审批，并由维护人员根据审批临时开通远程接入功能，并对第三方的操作进行监控。(控制点GD06.LIS.L.292、1.7)1.3. 对应用系统层超级用户的账户的访问仅限于经授权的系统管理人员。应用系统管理员及超级用户账号的建立由行政服务中心相关负责人书面审批，并保留书面的审批记录。安全技术管理人员（独立于系统管理员之外）每季对此类帐号进行审核并留下审核记录。(控制点GD06.LIS.L.1.8)1.4. 对于LIS系统限制无法对系统相关操作进行自动日志记录的，XX建立相关的关键操作审批和记录流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。(控制点GD06.LIS.L.1.12)2. 用户账号的添加、修改及删除控制2.1XX建立了用户及其权限设置的管理流程，对用户创建293、和授权必须得到业务部门主管审批后，方可由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建/修改。(控制点GD06.LIS.L.1.15)2.2在职工工作调动或离职时，由相关部门责任人正式通知LIS系统管理员，由LIS系统管理员在LIS系统中对用户账号进行禁止使用操作。(控制点GD06.LIS.L.1.16)3. 普通用户账号的定期审阅3.1. 行政服务中心及业务部门主管应对LIS系统普通用户的清单每半年进行复核，如发现多余或不恰当的账号应进行及时调整。(控制点GD06.LIS.L.1.17)3.2. 公司每半年及业务流程发生重大变更时，由LIS系统管理员打印LIS系统用户的访294、问权限清单，并交由相关业务部门主管，对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，应及时通知应用系统管理员，对用户的权限进行调整。(控制点GD06.LIS.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。(控制点GD06.LIS.L.1.19)七、流程主要控制点GD06.LIS.L.1.3系统设置LIS系统通过用户名和密码实295、现登录认证，操作系统和数据库因系统限制法按用户创建用户帐号，管理层规定该类帐号的使用人数为5人以下，并建立值班安排计划，以保证系统的操作可以对应到执行操作的人员。省公司物资管理中心在应用系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。GD06.LIS.L.1.5系统设置行政服务中心根据系统地风险程度对LIS系统制定密码规则要求，并在系统中进行相应的密码规则以避免弱密码的使用。密码规则包括用户密码长度不得低于6位，密码须由数字、字母组成。密码应至少每90天进行更新等。GD06.LIS.L.1.7授权及批准对LIS系统操作系统级和数据库层超级用户的296、账号(比如根用户，系统管理员，安全管理员账号，批处理用户账号，数据库管理员) 的使用仅限于经授权的系统管理人员。安全技术管理人员（独立于系统管理员之外）每季对此类帐号进行审核并留下审核记录。系统预设帐号实施访问控制以保证只有少数经授权的用户可以访问。管理层和第三方厂商签订安全保密协议以保证第三方厂商执行XX的相关安全政策。第三方远程登录访问应得到相应部门负责人的审批，并由维护人员根据审批临时开通远程接入功能，并对第三方的操作进行监控。GD06.LIS.L.1.8授权及批准对应用系统层超级用户的账户的访问仅限于经授权的系统管理人员。应用系统管理员及超级用户账号的建立由行政服务中心相关负责人书面审297、批，并保留书面的审批记录。安全技术管理人员（独立于系统管理员之外）每季对此类帐号进行审核并留下审核记录。GD06.LIS.L.1.12管理层审阅对于LIS系统限制无法对系统相关操作进行自动日志记录的，XX建立相关的关键操作审批和记录流程，以保证对于系统的重要操作得到有效的记录。并由安全管理员对相关记录每月进行定期审核。GD06.LIS.L.1.15授权及批准XX建立了用户及其权限设置的管理流程，对用户创建和授权必须得到业务部门主管审批后，方可由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建/修改。GD06.LIS.L.1.16授权及批准在职工工作调动或离职时，由相关部门责任298、人正式通知LIS系统管理员，由LIS系统管理员在LIS系统中对用户账号进行禁止使用操作。GD06.LIS.L.1.17管理层审阅行政服务中心及业务部门主管应对LIS系统普通用户的清单每半年进行复核，如发现多余或不恰当的账号应进行及时调整。GD06.LIS.L.1.18授权及批准公司每半年及业务流程发生重大变更时，由LIS系统管理员打印LIS系统用户的访问权限清单，并交由相关业务部门主管，对用户的权限进行审阅签字，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，应及时通知应用系统管理员，对用户的权限进行调整。GD06.LIS.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进299、行修改时，应考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以合理确保用户在系统中的权限与其职责相符系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.1.14 人力资源系统一、业务流程范围1所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制2所涉及的部门范围负责人力资源系统管理的人力资源部和管理信息部、人力资源系统使用部门 （公司各部门）二、涉及的应用系统和重要的电子表格人力资源系统 三、目标1对于与财务报告相关的信息，公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重300、视。2对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。3建立相关流程以合理确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。 4合理确保定期对系统中用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。5合理确保在关键流程中存在适当的职责分工。四、风险1公司缺乏可遵循的信息安全管理政策，信息安全管理不规范，增加信息安全隐患。2缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问， 非法修改系统数据。3对添加、修改、删除用户未经过管理层授权，离职301、员工账号未及时在系统中删除，导致对系统及数据未经授权或不适当访问。4对系统或数据非法和不适当的访问不能被及时发现。5系统的权限分配与业务部门授权确定的职责分工要求不符。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 对系统逻辑访问和物理访问的身份识别1.1. 人力资源应用系统通过用户名和密码实现登录认证，系统中不允许建立共享用户名。管理信息部在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。(控制点GD06.HR.L.1.3)1.2. 根据总部人力资源系统维护管理规定， 人力资源部对人力资源系统访问制定密码规则，并根据密码302、规则在系统操作系统层、应用系统层进行相应设置，包括系统用户密码长度不得低于6位，密码须由数字、字母组成。密码每90天进行更新等。数据库层因系统限制暂时无法在系统中建立密码规则，人力资源部已建立XX通信有限责任公司人力资源管理信息系统业务管理办法对密码检查制度进行规范以保证密码政策的有效执行。（控制点GD06.HR.L.1.5）对人力资源系统操作系统级和数据库层超级用户的账号的授权审批按HRMIS系统帐号授权书进行书面审批。对超级用户帐号的使用仅限于经授权的系统管理人员。管理信息部负责人应对操作系统层及数据库层超级用户账号的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进303、行调整。对于在系统中预设的用户帐号，管理层应对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。人力资源系统不存在第三方远程系统访问权限。(控制点GD06.HR.L.1.7)对应用系统层超级用户的账户的访问仅限于经授权的系统管理人员。应用系统管理员及超级用户账号的建立由人力资源部相关负责人按HRMIS系统帐号授权书进行书面审批，304、并保留书面的审批记录。人力资源部相关负责人对应用系统层超级用户账号的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。(控制点GD06.HR.L.1.8)1.3. 人力资源部对人力资源系统应用系统层的所有重要操作，特别是管理层认定的与财务报表相关的操作留有系统日志。系统日志由人力资源部根据风险和重要性的原则确定检查内容（未授权操作、异常操作时点，异常发生频率或金额等）；人力资源部负责每半年对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向人力资源部总经理汇报。操作系统层、数据库层暂时无法在系统中建立操作日志，管理层已建立审批及登记等监控流程，以保证超级305、用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。管理信息部负责每半年对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向管理信息部总经理汇报。(控制点GD06.HR.L.1.12)2. 用户账号的添加、修改及删除控制2.1XX建立了用户及其权限设置的管理流程，对用户创建和授权必须得到人力资源部按HRMIS系统帐号授权书进行书面审批后，方可由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建/修改。而对普通用户帐号的创建和默认授权根据公司发文操作。(控制点GD06.HR.L.1.1306、5)2.2XX由系统管理员按XX通信有限责任公司人力资源管理信息系统业务管理办法统一进行人力资源系统账号停用权限。在职工工作调动或离职时，由人力资源系统管理员按XX通信有限责任公司人力资源管理信息系统业务管理办法在人力资源系统中对用户账号进行禁止使用操作。(控制点GD06.HR.L.1.16)3. 普通用户账号的定期审阅3.1. 对人力资源系统用户账号进行每半年审阅控制, 系统管理员每半年从系统提取用户账号相关信息，按HRMIS系统用户帐号、权限清单格式通过OA发文交各部门审核确认，并将结果通过OA发文及时反馈给人力资源部。如发现多余或不恰当的帐号进行及时调整。(控制点GD06.HR.L.1.307、17)3.2. 公司每半年及业务流程发生重大变更时，由人力资源系统管理员提取人力资源系统用户的访问权限清单，通过OA发文相关业务部门主管，对用户的权限进行审阅，并将结果通过OA发文及时反馈给人力资源部，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，应及时通知人力资源部，对用户的权限进行调整。(控制点GD06.HR.L.1.18)4. 职责分工4.1. 创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并书面确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用308、户角色权限。(控制点GD06.HR.L.1.19)七、流程主要控制点GD06.HR.L.1.3系统设置人力资源应用系统通过用户名和密码实现登录认证，系统中不允许建立共享用户名。管理信息部在系统中建立了用户身份的验证机制，对系统的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。GD06.HR.L.1.5系统设置根据总部人力资源系统维护管理规定， 人力资源部对人力资源系统访问制定密码规则，并根据密码规则在系统操作系统层、应用系统层进行相应设置，包括系统用户密码长度不得低于6位，密码须由数字、字母组成。密码每90天进行更新等。数据库层因系统限制暂时无法在系统中建立密码规则，人力资源部已建立309、XX通信有限责任公司人力资源管理信息系统业务管理办法对密码检查制度进行规范以保证密码政策的有效执行。GD06.HR.L.1.7授权及批准对人力资源系统操作系统级和数据库层超级用户的账号的授权审批按HRMIS系统帐号授权书进行书面审批。对超级用户帐号的使用仅限于经授权的系统管理人员。管理信息部负责人应对操作系统层及数据库层超级用户账号的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。对于在系统中预设的用户帐号，管理层应对接口程序、脚本或相关设置进行加密或实施访问控制，以保证该类用户帐号只有经授权的用户可以访问。对于系统中存在第三方超级用户帐号的情况，XX和第三方厂310、商签订相关的安全保密协议，以保证第三方厂商能够执行XX的安全控制要求。XX对第三方用户帐号进行定期的检查，以保证第三方帐号得到有效控制（如系统开发人员和维护人员的职责分工）。人力资源系统不存在第三方远程系统访问权限。GD06.HR.L.1.8授权及批准对应用系统层超级用户的账户的访问仅限于经授权的系统管理人员。应用系统管理员及超级用户账号的建立由人力资源部相关负责人按HRMIS系统帐号授权书进行书面审批，并保留书面的审批记录。人力资源部相关负责人对应用系统层超级用户账号的清单根据系统的重要程度每半年进行复核并签字确认，并对多余或不恰当的账号进行调整。GD06.HR.L.1.12管理层审阅人力资311、源部对人力资源系统应用系统层的所有重要操作，特别是管理层认定的与财务报表相关的操作留有系统日志。系统日志由人力资源部根据风险和重要性的原则确定检查内容（未授权操作、异常操作时点，异常发生频率或金额等）；人力资源部负责每半年对相关操作日志或操作记录进行审核并留下审核记录，发现问题及时向人力资源部总经理汇报。 操作系统层、数据库层暂时无法在系统中建立操作日志，管理层已建立审批及登记等监控流程，以保证超级用户对系统的特权操作进行了有效记录，记录内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果。管理信息部负责每半年对相关操作日志或操作记录进行审核并留下审312、核记录，发现问题及时向管理信息部总经理汇报。GD06.HR.L.1.15授权及批准XX建立了用户及其权限设置的管理流程，对用户创建和授权必须得到人力资源部按HRMIS系统帐号授权书进行书面审批后，方可由应用系统管理员在系统中创建用户账号，以避免未经授权的账号及权限创建/修改。而对普通用户帐号的创建和默认授权根据公司发文操作。GD06.HR.L.1.16授权及批准XX由系统管理员按XX通信有限责任公司人力资源管理信息系统业务管理办法统一进行人力资源系统账号停用权限。在职工工作调动或离职时，由人力资源系统管理员按XX通信有限责任公司人力资源管理信息系统业务管理办法在人力资源系统中对用户账号进行禁止313、使用操作。GD06.HR.L.1.17管理层审阅对人力资源系统用户账号进行每半年审阅控制, 系统管理员每半年从系统提取用户账号相关信息，按HRMIS系统用户帐号、权限清单格式通过OA发文交各部门审核确认，并将结果通过OA发文及时反馈给人力资源部。如发现多余或不恰当的帐号进行及时调整。GD06.HR.L.1.18授权及批准公司每半年及业务流程发生重大变更时，由人力资源系统管理员提取人力资源系统用户的访问权限清单，通过OA发文相关业务部门主管，对用户的权限进行审阅，并将结果通过OA发文及时反馈给人力资源部，以避免在用户的权限中有不相容职责的存在。如发现不相容职责，应及时通知人力资源部，对用户的权限314、进行调整。GD06.HR.L.1.19职责分工创立新用户角色或对用户组或用户角色定义进行修改时，考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并书面确认，以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用户角色权限，在系统中设置用户角色权限。3.2 程序变更管理一、业务流程范围1所涉及的流程范围程序变更授权、程序变更的测试校验和批准、程序变更的移植、系统配置参数变更、紧急程序变更流程。2所涉及的部门范围信息技术部门（业务支撑中心 、 管理信息部 ）、相关业务部门（如财务部门、市场经营部门、数据业务中心 ）。二、涉及的应用系统和重要的电子表格OA315、系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、智能网系统、彩铃平台、LIS系统、人力资源系统、GSM网中产生话单的交换机系统、产生网内点对点短信业务话单的短信中心系统及网络基础设施三、目标1合理确保对财务报告有影响的系统或应用程序的变更都经过适当的管理层的授权。2合理确保对财务报告有影响的系统或应用程序的变更，在发布到生产环境运行之前经过了测试，校验和批准。3合理确保对财务报告有影响的系统或应用程序的变更在迁移到生产环境过程中，没有非法的访问，以避免对系统及数据的非法修改。4合理确保对财务报告有影响的系统或应用程序的配置变更都经过管理层授权，并经过适当测试316、 。5合理确保对财务报告有影响的系统或应用程序的紧急变更，遵循紧急变更管理流程。四、风险1对财务报告有影响的系统或应用程序的变更未经过管理层的审批与授权。2对财务报告有影响的系统或应用程序的变更，在发布到生产环境运行之前未经测试，变更后的程序功能不能满足用户需求，缺陷未被及时发现。3非法变更的程序被未经授权的人员移植到了生产环境。4对财务报告有影响的系统或应用程序的配置变更未经管理层授权，并且未得到适当测试。5紧急变更未遵循紧急变更管理流程，未经过必要的授权、审批和测试。五、相关会计科目适用于系统和程序对应的所有会计科目。六、流程描述1. 程序变更需求管理XX业务支撑中心、管理信息部针对各自相应负责的系统建立了软件功能变更、新增功能实现等变更管理流程，规定了相应的申请、审批、测试、移植程序。变更流程由信息技术部门领导审批通过。(控制点GD06L.2.1)XX业务支撑中心、管理信息部对系统及应用程序的变更申请都需要由发起部门（包括业务部门及信息技术部门）填写规定格式的变更申请表单，描述变更申请的原因、所涉及系统、业务需求说明、功能需求说明等，并按需求变更的重要程度和变更涉及影响的部门，由需求规划组审批，同时由信息技术部门将变更申请表单记录归档。 (控制点GD06L.2.2)2. 程序变更测试及版本控制XX业务支撑中心、管理信息部建立了变更程序测试的