信息系统管理部
分（子）公司
安全管理员
网络管理员
5
密码变更记录
2.10.5
1.3网络互联安全管理
1.1
经营风险：网络互联接口处未部署安全设备，导致内部网络被非授权访问和攻击。
1.3.1总部和分（子）公司依据《网络管理办法》相关要求，在关键网络互联接口处部署安全设备，信息管理部门授权专人负责安全设备的管理，并备有安全设备配置文档。分（子）公司与外部网互联情况上报信息系统管理部备案。
经营风险：用户未经授权即可接入网络，导致内部网络被非授权访问和攻击。
1.4.1用户终端接入网络需填写申请表，由申请人所在部门确认，信息管理部门（责任处(科）室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部
分（子）公司
3
终端用户接入申请表
2.10.5
1.1
经营风险：未对用户登录网络进行管理，导致内部网络被非授权访问和攻击。
2.10.5
1.1
经营风险：未编制网络运行维护技术文档或文档未妥善保管，导致网络运行维护缺乏技术资料等重要依据。
1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档，包括网络拓扑图、IP地址分配表以及网络设备配置文件等，由专人负责整理和保存。
信息系统管理部
分（子）公司
4
IP地址分配表
网络拓扑图
1.4.2建立用户登录网络认证机制，避免对中国石化内部网络未经授权的访问。
信息系统管理部
分（子）公司
3
2.10.5
1.1
经营风险：人事部门未及时提供人员离职交接表，或信息管理部门未及时将离职人员网络接入服务注销，导致内部网络被非授权访问和攻击。
1.4.3根据人事部门提供的人员离职交接表，信息管理部门应及时注销该用户的网络接入服务。
合规风险：信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规，股份公司声誉受到损害，受到相关部门处罚。
1.1.1总部和分（子）公司依据《中国石油化工股份有限公司网络管理办法》（以下简称《网络管理办法》）及相关管理制度和工作流程实施对网络的管理，包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
网络设备配置记录表
2.10.5
1.1
经营风险：网络设备密码设置强度不够或更改不及时，造成公司内部网络被非授权访问和攻击。
1.2网络设备登录设置合理的密码规则，密码要求长度六位以上，采用数字和字符组合方式，新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码，填写密码更换记录，经安全管理员确认并在信息管理部门备案。
2.10.2
1.1
经营风险：安全管理员未及时对相关日志审计分析，导致内部网络被非授权访问和攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。
信息系统管理部
分（子）公司
4
网络设备登陆日志审阅表
防火墙日志审阅表
入侵检测日志审阅表
2.10.2
1.4终端用户接入管理
1.1
信息系统管理部
分（子）公司
申请部门信息管理部门
3
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
1.1
经营风险：未在内部网络部署防病毒系统或未及时升级，导致内部网络被病毒侵害。
1.6依据《网络管理办法》相关要求，网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级；安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部
分（子）公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
1.1
经营风险：安全管理员未及时发现安全设备规则存在的漏洞，导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查，填写安全设备配置检查记录表。
信息系统管理部
分（子）公司
4
安全设备配置检查记录表
2.10.7
1.1
经营风险：未建立服务器档案，导致服务器运行维护缺乏配置参数等重要依据。
2.2系统管理员须建立服务器档案，内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。
信息系统管理部
分（子）公司
4
服务器档案
2.10.7
2.3服务器操作系统管理
1.1
经营风险：随意创建操作系统用户，导致系统管理混乱，影响系统运行，存在安全隐患。
信息系统管理部
分(子)公司
5
网络管理办法
2.10.5
1.1
经营风险：网络相关管理人员配备不到位，导致网络管理存在安全隐患。
1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责，配备网络管理员部
分(子)公司
安全管理员
网络管理员
3
网络管理员、安全管理员授权文档
信息系统管理部
分（子）公司
人事部
信息系统管理部
分（子）公司
3
离职人员交接表
2.10.5
1.1
经营风险：未经相关领导授权开通远程接入网络服务，导致内部网络被非授权访问和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求，填写远程接入服务申请表和远程用户接入服务安全承诺书，由所在部门负责人确认，信息管理部门（责任处(科）室)负责人审批并备案。
2.3.1操作系统用户须填写操作系统用户申请表，经信息管理部门（责任处(科）室)负责人审批后，由系统管理员创建。
信息系统管理部
分（子）公司
3
操作系统用户申请表
2.10.7
1.1
经营风险：操作系统用户授权超期未锁定或删除，导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录，对超期使用帐号的用户进行锁定或删除。
信息系统管理部
分（子）公司
网络管理员
安全管理员
3
防病毒系统日志审阅记录表
2.10.5
2.10.2
2.服务器管理
1.1
经营风险：：服务器相关管理人员配备不到位，导致系统运行管理存在隐患。
2.1各级信息管理部门配备系统管理员，由信息管理部门（责任处(科）室)负责人审批。
信息系统管理部
分（子）公司
3
系统管理员任命材料
11.5基础设施IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露；6准确性
1
2
3
4
5
6
1．网络管理
1.1网络基础管理
1.1
2.1
2.2
经营风险：网络管理制度不健全，导致网络管理存在漏洞。