1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 经济/贸易/财会
  5. 资产评估/会计

信息系统风险评估矩阵清单.xlsVIP

信息系统风险评估矩阵清单.xls

    1. 1、本文档共1页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    风险清单

    1级

    2级

    风险点编号

    风险描述

    风险等级

    企业内部控制基本规范、应用指引和解读相关要求

    标准化控制

    控制目标

    控制编号

    控制活动简描述

    角色名称

    活动名称

    流程名称

    制度名称

    责任部门

    控制方法

    控制类型:预防性/发现性

    是否为关键控制

    控制频率

    IT一般控制

    开发与变更管理

    ITGC01-R1

    缺乏信息系统建设整体规划或规划不当

    信息系统建设进行整体规划

    ITGC01-R1-CA1

    根据公司的现状和发展目标,进行信息系统整体规划

    每年年末会进行整个公司的需求调研,根据调研结果确定第二年要实施的信息化项目。

    科技与运营部

    人工

    预防性

    不定期

    ITGC01-R2

    缺乏统一的信息系统开发方法论

    制定信息系统开发规范

    ITGC01-R2-CA1

    每个系统按照性质制定相应的开发规范

    我们自行开发和需要二次开发的系统,基本都拟定了开发规范,目前主要存在执行和检查问题。

    ITGC01-R3

    缺乏有效的变更控制手段

    需求变更需执行IT需求申请流程

    ITGC01-R3-CA1

    业务部门的信息化需求由信息化中心统一管理,需求变更需执行IT需求申请流程。

    信息化需求申请流程

    人工/IT系统

    ITGC01-R4

    数据迁移没有详细计划

    数据迁移制定详细计划

    ITGC01-R4-CA1

    数据迁移影响哪些系统,有哪些注意事项需提前沟通,执行详细计划

    数据迁移会有邮件通知安排

    ITGC01-R5

    未经授权进行项目开发/变更

    项目开发需执行IT立项流程,需求变更需执行IT需求申请流程

    ITGC01-R5-CA1

    业务部门的信息化需求由信息化中心统一管理,项目开发需执行IT立项流程,需求变更需执行IT需求申请流程。

    信息化立项流程图、信息化需求申请流程

    ITGC01-R6

    项目测试不充分

    项目需执行单元测试和集成测试

    ITGC01-R6-CA1

    设计人员需提供单元测试文档,供开发和运维人员测试,输出单元测试报告。业务人员和设计人员共同提供集成测试文档,供业务人员进行集成测试,输出集成测试报告。

    目前正在加强单元测试和集成测试控制,拟定了相应测试模板

    ITGC01-R7

    系统开发与上线的职责分工不明

    每个系统分配负责上线的系统管理员

    ITGC01-R7-CA1

    开发人员按照上线要求提供上线清单给系统管理员,系统管理员负责上传操作。

    目前系统都设置了系统管理员进行上线工作

    ITGC01-R8

    开发、测试以及生产环境未能有效隔离

    开发、测试以及生产环境有效隔离

    ITGC01-R8-CA1

    部署开发环境、测试环境和生产环境,开发通过后发布到测试环境,测试通过后发布到生产环境

    目前有单独的测试环境和生产环境,开发环境在开发人员自己电脑搭建。

    逻辑访问安全管理

    ITGC02-R1

    没有一套规范的制度或流程管理用户授权

    各信息系统应具有规范的用户权限管理流程

    ITGC02-R1-CA1

    各系统的权限申请必须经过业务部门审核和IT部门的技术审核

    烽火通信SAP系统权限管理流程

    《烽火通信PLM系统权限管理规定》

    人工/IT系统正在上线

    每月

    ITGC02-R2

    系统未进行安全加固

    系统运行环境安全,操作系统无高危漏洞

    ITGC02-R2-CA1

    安装操作系统时打齐必要的补丁,根据需要对系统进行漏洞扫描和防黑加固

    《信息系统运维管理规范》

    《互联网IT资产安全巡检管理规范》

    ITGC02-R3

    未制定和执行相应的密码策略

    应具有强制性的口令策略,保证密码强度

    ITGC02-R3-CA1

    用户在各系统中的口令满足长度、复杂度的要求

    《烽火通信计算机网络信息安全必威体育官网网址管理规定》

    《烽火通信研发信息系统安全管理规范》

    IT

    ITGC02-R4

    未对超级用户严格限制和监控操作

    各系统合理设置超级用户权限,并对超级用户的操作进行监控

    ITGC02-R4-CA1

    AD中根据工作职责设置不同管理员用户,WindowsServer自带审计功能;在SAP系统中定期审核用户操作,及时锁定异常用户

    ITGC02-R5

    授权过度,导致用户职责与其系统权限不符

    系统中一般权限用户的权限应定期审核,特权用户的权限应有有效期

    ITGC02-R5-CA1

    在各系统中定期审核用户操作,及时锁定异常用户

    ITGC02-R6

    未经授权擅自变更用户权限

    除非发现影响系统运行的隐患或事实,不应该擅自变更用户权限

    ITGC02-R6-CA1

    除非发现影响系统运行的隐患或事实,管理员不会擅自变更用户权限或账号状态;但在紧急情况下,比如员工电子邮件账号发送大量垃圾邮件,明显是被盗用了,管理员可以立即对问题账号进行锁定、变更权限等处理并通知用户。

    ITGC02-R7

    未经授权擅自修改系统和改变环境配置

    系统配置变更应有记录和审核机制

    ITGC02-R7-CA1

    明确SAP系统配置传输必须按照开发-

    您可能关注的文档

    最近下载

    文档评论(0)

    xm1640396464 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >