基础设施 IT 一般性控制内部控制矩阵
会计报表认定
1 存在和发生/真实性;2 完整性;
3 权利与义务;4 估价或分摊;5
表达和披露;6 准确性
业务目标 业务风险 控制点 适用单位
不相容
岗位
控制点
分值
控制点相关资料
相关制度
索引
1 2 3 4 5 6
会计报表项目
1.网络管理
网络基础管理
经营风险:网络管理制度不健全,导致网
络管理存在漏洞。
合规风险:信息基础设施的使用未遵守保
护知识产权、合同法等有关国家法律、法
规,股份公司声誉受到损害,受到相关部
门处罚。
总部和分(子)公司依据《中国石油化工股份有限公司网络管理办
法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对
网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管
理、网络管理员管理、远程接入网络管理、病毒防护管理等。
信息系统管理部
分(子)公司
5 网络管理办法
经营风险:网络相关管理人员配备不到位,
导致网络管理存在安全隐患。
各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网
络管理员、安全管理员,由信息管理部门负责人审批。
信息系统管理部
分(子)公司
安全管理员
网络管理员
3 网络管理员、安全管
理员授权文档
经营风险:未编制网络运行维护技术文档
或文档未妥善保管,导致网络运行维护缺
乏技术资料等重要依据。
各级信息管理部门负责编制网络运行维护的相关技术文档,包括网
络拓扑图、IP 地址分配表以及网络设备配置文件等,由专人负责整理和
保存。
信息系统管理部
分(子)公司
4 IP 地址分配表
网络拓扑图
网络设备配置记录
表
经营风险:网络设备密码设置强度不够或
更改不及时,造成公司内部网络被非授权
访问和攻击。
网络设备登录设置合理的密码规则,密码要求长度六位以上,采用
数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员
必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理
员确认并在信息管理部门备案。
信息系统管理部
分(子)公司
安全管理员
网络管理员
5 密码变更记录
网络互联安全管理
经营风险:网络互联接口处未部署安全设
备,导致内部网络被非授权访问和攻击。
总部和分(子)公司依据《网络管理办法》相关要求,在关键网络
互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,
并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系
统管理部备案。
信息系统管理部
分(子)公司
4 安全设备配置文档
与外部网互联备案
记录表
经营风险:安全管理员未及时发现安全设
备规则存在的漏洞,导致内部网络被非授
权访问和攻击。
安全管理员每季度对安全设备的规则进行复核、确认、检查,填写
安全设备配置检查记录表。
信息系统管理部
分(子)公司
4 安全设备配置检查
记录表
经营风险:安全管理员未及时对相关日志
审计分析,导致内部网络被非授权访问和
攻击。
安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志
等进行分析审计。
信息系统管理部
分(子)公司
4 网络设备登陆日志
审阅表
防火墙日志审阅表
入侵检测日志审阅
表
终端用户接入管理
经营风险:用户未经授权即可接入网络,
导致内部网络被非授权访问和攻击。
用户终端接入网络需填写申请表,由申请人所在部门确认,信息管
理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入
安全责任条款。
信息系统管理部
分(子)公司
3 终 端 用 户 接 入 申 请
表
经营风险:未对用户登录网络进行管理,
导致内部网络被非授权访问和攻击。
建立用户登录网络认证机制,避免对中国石化内部网络未经授权的
访问。
信息系统管理部
分(子)公司
3
经营风险:人事部门未及时提供人员离职
交接表,或信息管理部门未及时将离职人
员网络接入服务注销,导致内部网络被非
授权访问和攻击。
根据人事部门提供的人员离职交接表,信息管理部门应及时注销该
用户的网络接入服务。
人事部
信息系统管理部
分(子)公司
3 离职人员交接表
经营风险:未经相关领导授权开通远程接
入网络服务,导致内部网络被非授权访问
和攻击。
远程接入网络申请人依据《网络管理办法》相关要求,填写远程接
入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,
信息管理部门(责任处(科)室)负责人审批并备案。
信息系统管理部
分(子)公司
申 请 部 门
信息管理部
门
3 远 程 用 户 接 入 服 务
申请表
远 程 用 户 接 入 服 务
安全承诺书
会计报表认定
1 存在和发生/真实性;2 完整性;
3 权利与义务;4 估价或分摊;5
表达和披露;6 准确性
业务目标 业务风险 控制点 适用单位
不相容
岗位
控制点
分值
控制点相关资料
相关制度
索引
1 2 3 4 5 6
会计报表项目
经营风险:未在内部网络部署防病毒系统
或未及时升级,导致内部网络被病毒侵害。
依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统
并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志
等进行分析审计。
信息系统管理部
分(子)公司
网络管理员
安全管理员
3 防 病 毒 系 统 日 志 审
阅记录表
2.服务器管理
经营风险::服务器相关管理人员配备不
到位,导致系统运行管理存在隐患。
各级信息管理部门配备系统管理员,由信息管理部门(责任处(科)
室)负责人审批。
信息系统管理部
分(子)公司
3 系 统 管 理 员 任 命 材
料
经营风险:未建立服务器档案,导致服务
器运行维护缺乏配置参数等重要依据。
系统管理员须建立服务器档案,内容包括设备的详细硬件配置、设
备唯一性标记和设备用途等信息。
信息系统管理部
分(子)公司
4 服务器档案
服务器操作系统管理
经营风险:随意创建操作系统用户,导致
系统管理混乱,影响系统运行,存在安全
隐患。
操作系统用户须填写操作系统用户申请表,经信息管理部门(责任
处(科)室)负责人审批后,由系统管理员创建。
信息系统管理部
分(子)公司
3 操 作 系 统 用 户 申 请
表
经营风险:操作系统用户授权超期未锁定
或删除,导致信息泄密或系统安全存在隐
患。
系统管理员每半年检查操作系统用户授权情况并记录,对超期使用
帐号的用户进行锁定或删除。
信息系统管理部
分(子)公司
3 操 作 系 统 用 户 授 权
记录
经营风险:操作系统用户密码设置强度不
够或更改不及时,造成系统非授权访问。
操作系统用户密码要求长度八位以上,采用数字和字符组合方式,
新密码不得与前五次历史密码相同。系统管理员至少每季度修改操作系
统用户密码,填写密码更换记录、经安全管理员确认并在信息管理部门
备案。
信息系统管理部
分(子)公司
5 密码更换记录
经营风险:系统管理员对操作系统运行监
控不到位,未能及时发现隐患,安全管理
员未履行检查职责,影响系统稳定运行。
系统管理员监控操作系统运行情况,每日巡检操作系统日志,并将
巡检情况记录存档。安全管理员每月对系统巡检记录进行检查,对存在
问题提出整改意见,上报信息管理部门(责任处(科)室)负责人审批
后实施。
信息系统管理部
分(子)公司
3 操 作 系 统 每 日 巡 检
记录(应包含
安 全 管 理 员 检 查 记
录,以及存在问题改
进情况)
3.机房管理
经营风险:机房管理制度不健全,导致机
房管理存在漏洞。
各级信息管理部门依据相关制度和规范,制定计算机机房管理办法,
实施对机房的管理。管理办法主要内容包括人员出入管理、设备出入管
理、机房工况管理和备份介质管理等。
信息系统管理部
分(子)公司
4 机房管理办法
经营风险:机房出入人员管理不严,导致
资源受损或系统瘫痪。
机房应设门禁系统,或由专人负责机房出入管理并填写人员出入登记
表。
信息系统管理部
分(子)公司
3 机 房 人 员 出 入 登 记
表
门卡发放记录
钥匙领用记录
经营风险:设备随意进出机房,导致信息
泄密或设备丢失。
设备出入机房,携带设备人员填写设备出入登记表,由信息管理部门
(责任处(科)室)负责人审批并备案。
信息系统管理部
分(子)公司
3 机 房 设 备 出 入 登 记
表
经营风险:机房环境参数异常,导致设备
发生故障,影响系统稳定运行。
机房管理人员每日对机房 UPS、空调、温湿度和电源系统巡检,并填
写巡检记录。
信息系统管理部
分(子)公司
3 机房巡检记录
4.备份介质管理
经营风险:备份介质标记不规范,导致备
份数据查找困难、数据恢复困难。
系统管理员要对备份介质进行标记。标记内容有:备份介质编号、应
用名称、IP 地址、备份日期、备份内容和备份人。
信息系统管理部
分(子)公司
3
经营风险:备份介质管理不规范,导致备
份介质损坏或系统及数据恢复困难。
重要信息系统的备份介质必须异地存放并分类存档。系统管理员按照
厂商提供的使用年限按期更换备份介质。备份介质存放环境和备份介质
存储内容的销除满足备份管理办法的相关要求。
信息系统管理部
分(子)公司
3
经营风险:备份介质出入库管理不规范,
导致备份介质损坏或系统及数据恢复困
难。
备份介质有出入库记录。借出备份介质时,借用人须填写申请表,经
相关部门负责人审核,信息管理部门(责任处(科)室)负责人审批后,办
理介质出库手续。
信息系统管理部
分(子)公司
3 介质入库记录
介质借用申请表
5.故障处理
经营风险:信息基础设施故障处理流程和
应急预案不健全,导致信息基础设施正常
信息管理部门负责制订本单位信息基础设施故障处理流程及应急预
案。
信息系统管理部
分(子)公司
4 故障处理流程
信 息 基 础 设 施 应 急
会计报表认定
1 存在和发生/真实性;2 完整性;
3 权利与义务;4 估价或分摊;5
表达和披露;6 准确性
业务目标 业务风险 控制点 适用单位
不相容
岗位
控制点
分值
控制点相关资料
相关制度
索引
1 2 3 4 5 6
会计报表项目
运行存在隐患。 预案
经营风险:网络、服务器故障处理不及时,
记录不完整,导致信息系统不能正常运行。
网络、服务器发生故障时,运维人员应及时处理故障,并填写工作记
录。
信息系统管理部
分(子)公司
3 工作记录(应记录故
障发生时间、处理人、
原因、处理结果等内
容)
经营风险:终端用户计算机设备故障处理
不及时,工作单填写不完整,影响用户正
常工作。
终端用户计算机设备发生故障时,运维人员应及时处理故障并填写工
作单。故障处理完毕后,用户需对处理结果加以确认。工作单由信息管
理部门负责备案。
信息系统管理部
分(子)公司
3 工作单(要点为最终
用户确认)
经营风险:应急预案未演练,导致突发事
件发生时不能及时按照预案流程处理,影
响系统运行或恢复。
信息基础设施应急预案须每年安排适当时间进行演练并记录。 信息系统管理部
分(子)公司
3 应急预案演练计划
应急预案培训记录
