编号控制点控制点描述控制执行人控制频率自动/手动预防性/检查性穿行测试有效否设计有效否执行有效否修补完成时间1234567891011121314一1建立完善的权限管理机制,在合理的范围内确保用户被授予的系统权限和其岗位职责相符,防止对系统的非授权访问。FMIS-DA1账号及权限管理1、建立完善的用户权限管理制度,明确系统相关人员分工及岗位职责,确保用户拥有与其岗位职责分工相对应的权限;用户的增删及其权限的变更需经财务部门负责人审批确认。2、对软件功能使用权限、数据访问权限、科目使用权限、报表使用权限、综合查询权限及其他权限等进行控制,保证用户被授予的权限和其岗位职责相符。3、财务部门负责人应每半年检查一次系统内的用户权限设置。财务部门负责人每半年手动自动预防性检查性《中国石油化工股份有限公司财务信息管理系统系统管理办法》2通过对用户帐号的管理和严格的登录认证机制,防止对系统的非授权登录。FMIS-DA2用户登录及安全认证1、每个用户拥有独立的用户账号,不得混用。同一用户不允许拥有多个账号。2、应用系统中用户帐号不能重复。3、用户登录时除对用户密码进行验证外,还要检查系统登录时间,限制用户登录已封帐的会计期间。4、财务部门负责人应每季度检查一次系统内的用户账号清单。财务应用系统管理员每季度手动自动预防性检查性《中国石化内部会计核算制度》《财务系统用户帐号列表》3防止密码设置强度不够造成系统泄密或受到非法访问。FMIS-DA3密码管理1、密码长度大于等于6位,密码应为数字与字符的组合。系统用户必须设置自己唯一知道的口令,并定期更换口令,发现自己口令被修改应及时向财务部门负责人报告,系统用户对自己账号下的所有操作负完全责任。2、根据密码设置规则,在系统中实现了控制,当密码长度小于6位时系统会提示。密码输入时以掩码形式录入,防止密码泄露。密码验证超过三次失败自动退出系统。3、操作系统、数据库、应用系统等初始口令的设置应在系统投用前修改。4、应用系统管理员应每季度检查密码设置及修改情况。财务应用系统管理员/财务普通用户每季度自动预防性检查性《中国石油化工股份有限公司财务信息管理系统系统管理办法》数据和程序访问财务管理信息系统IT一般性控制矩阵序号控制目标控制点控制活动属性相关制度和文档测试结果备注单位名称:编号控制点控制点描述控制执行人控制频率自动/手动预防性/检查性穿行测试有效否设计有效否执行有效否修补完成时间1234567891011121314序号控制目标控制点控制活动属性相关制度和文档测试结果备注4加强应用系统管理员管理,防止不合规操作。FMIS-DA4应用系统管理员管理1、企业需配备专职或兼职应用系统管理员,并明确应用系统管理员的职责。应用系统管理员应相对稳定,其更换必须经财务部门负责人审批,并严格办理交接手续。2、应用系统管理员只能处理系统设置、数据库维护、数据备份与恢复、用户及权限管理等功能,不能登录帐务系统处理会计业务和查询帐务信息。3、财务部门负责人应每季度对应用系统管理员的操作进行检查。财务部门负责人按需手动预防性检查性《中国石油化工股份有限公司财务信息管理系统系统管理办法》5加强普通用户帐号的管理,保证业务处理的规范、安全、有效。FMIS-DA5普通用户管理1、根据用户岗位职责分工,分配相对应的操作权限,人员的离职与变动必须对权限进行相应的变更。用户帐号的申请及变更必须经财务部门负责人审核批准,用户岗位变更时应办理交接手续。2、系统内普通用户帐号的注册、注销及权限变更必须通过财务应用系统管理员进行,其它用户无此权限。财务应用系统管理员/财务部门负责人按需手动预防性《中国石油化工股份有限公司财务信息管理系统系统管理办法》6加强系统日志管理,记录应用系统登录及操作活动。FMIS-DA6系统日志管理1、建立系统日志的审查机制,应用系统管理员每月检查一次工作日志,包括操作人员的上机时间、操作内容等。2、系统日志应完整记录用户登录及功能操作活动,保证可以追查用户登录时间及错误业务处理等信息。系统日志可以查看、打印、备份等供审核。应用系统管理员每月手动检查性系统运行日志记录7加强对第三方人员授权访问管理。FMIS-DA7第三方人员管理1、第三方人员需要访问系统时,应填写《用户权限审批表》,说明账号使用的原因、时间和期限,并由财务部门负责人批准。2、到期应及时删除或锁定第三方人员的账号。财务部门负责人按需手动预防性《中国石油化工股份有限公司财务信息管理系统系统管理办法》编号控制点控制点描述控制执行人控制频率自动/手动预防性/检查性穿行测试有效否设计有效否执行有效否修补完成时间1234567891011121314序号控制目标控制点控制活动属性相关制度和文档测试结果备注二程序变更8加强系统变更管理,使系统的变更在可控范围内,保证应用系统运行和维护的正常进行。FMIS-PC1系统变更管理1、软件变更由总部财务管理部门统一组织变更、统一下发企业。企业有软件变更需求必须填报“系统变更审批表”上报总部,不允许自行变更,企业IT人员及相关用户应充分了解该流程。2、所有针对系统应用软件的变更申请、开发、测试、下发、版本在总部都要有记录文档及审批签字。3、对于系统运行环境、系统优化等配置变更,应填写“系统变更审批表”,经本单位财务部门负责人审批后才可变更,应提前制定计划和实施方案,并严格测试,确保系统的平稳运行。总部财务管理部门/企业财务部门负责人按需手动预防性《中国石油化工股份有限公司财务信息管理系统系统管理办法》三系统运行9加强报表上报管理工作,保证报表信息上报的及时、完整。FMIS-SO1报表上报管理1、对报表上报时间、方式及格式有明确的规定,以保证报表上报的及时、完整。2、报表上报通过特定格式的压缩数据包上传。3、报表上报时执行统一定义的校验公式对报表进行合法性效验,通过校验后才可上报,并有详细的校验报告信息。4、报表上报未成功有明确的信息提示报告。会计主管每月手动自动检查性《中国石化报表编制规范》、报表校验报告10加强系统备份及恢复管理,减少因故障发生造成数据丢失的风险,保障系统的快速恢复能力。FMIS-SO2系统备份及恢复1、制定数据备份策略,明确备份介质、备份模式等。2、严格控制数据备份、恢复、转入、转出的权限,对备份的数据加强管理,防止被非法拷贝或毁坏。3、至少每月备份一次数据,并检查备份数据的可读性,备份介质异地存放。4、按厂商规定的年限定期更换备份介质,以保证备份的有效性。5、可能的情况下对备份进行恢复测试。应用系统管理员每月手动预防性《中国石油化工股份有限公司财务信息管理系统系统管理办法》11加强系统维护管理,及时解决系统运行问题,保障系统安全稳定运行。FMIS-SO3系统维护及故障处理1、建立系统维护管理制度,明确故障处理流程。2、系统运行中出现故障时,普通操作人员不能擅自处理,应保护现场,及时与应用系统管理员联系。3、本单位应用系统管理员不能排除故障时,应报上一级管理部门。4、各级单位要保留完整的运维和故障处理记录,对故障发生时间、故障情况、解决办法、及处理结果进行详细记录,并由维护人员或应用系统管理员签字。5、建立应急预案,保证系统问题的及时解决,降低对业务处理的影响。应用系统管理员按需手动预防性运维和故障处理记录测试人:复核人:测试时间:序号控制目标控制点编号控制点控制点描述测试步骤测试结果结论文档编号一数据和程序访问1建立完善的权限管理机制,在合理的范围内确保用户被授予的系统权限和其岗位职责相符,防止对系统的非授权访问。FMIS-DA1账号及权限管理1、建立完善的用户权限管理制度,明确系统相关人员分工及岗位职责,确保用户拥有与其岗位职责分工相对应的权限;用户的增删及其权限的变更需经财务部门负责人审批确认。2、对软件功能使用权限、数据访问权限、科目使用权限、报表使用权限、综合查询权限及其他权限等进行控制,保证用户被授予的权限和其岗位职责相符。3、财务部门负责人应每半年检查一次系统内的用户权限设置。1、访谈财务部门负责人有关权限分配原则及管理制度。2、访谈财务系统维护人员、会计人员是否了解系统权限控制情况。3、检查“用户权限审批表”填写是否及时齐全,按照系统用户增删及变更总数,随即抽取**张“用户权限审批表”进行检查。4、登陆财务系统“维护工具”查看用户功能权限和数据权限,用户组权限,历史数据权限是否和其岗位职责相符。5、查看用户权限的每半年检查情况。设计有效实施有效穿行测试有效FMIS-DA1-1.1………FMIS-DA1-1.n2通过对用户帐号的管理和严格的登录认证机制,防止对系统的非授权登录。FMIS-DA2用户登录及安全认证1、每个用户拥有独立的用户账号,不得混用。同一用户不允许拥有多个账号。2、应用系统中用户帐号不能重复。3、用户登录时除对用户密码进行验证外,还要检查系统登录时间,限制用户登录已封帐的会计期间。4、财务部门负责人应每季度检查一次系统内的用户账号清单。1、访谈应用系统管理员用户帐号设置情况和登录验证过程。2、登录系统表检查用户帐号唯一性,确认每个用户拥有独立的用户账号,无混用情况。3、验证用户登录封存会计期间的限制,查看“维护工具”中用户的历史数据权限。4、查看用户账号的每季度检查情况。FMIS-DA2-1.1………FMIS-DA2-1.n3防止密码设置强度不够造成系统泄密或受到非法访问。FMIS-DA3密码管理1、密码长度大于等于6位,密码应为数字与字符的组合。系统用户必须设置自己唯一知道的口令,并定期更换口令,发现自己口令被修改应及时向财务部门负责人报告,系统用户对自己账号下的所有操作负完全责任。2、根据密码设置规则,在系统中实现了控制,当密码长度小于6位时系统会提示。密码输入时以掩码形式录入,防止密码泄露。密码验证超过三次失败自动退出系统。3、操作系统、数据库、应用系统等初始口令的设置应在系统投用前修改。4、应用系统管理员应每季度检查密码设置及修改情况。1、访谈应用系统管理员密码设置规则及有关规定。2、审阅系统用户密码设置情况是否符合控制目标,能否达到控制风险的目的,密码复杂度不够需更换。3、检查系统设置能满足密码配置要求,能有效控制防范风险,登陆财务系统“维护工具”新建用户检验系统是否实现了密码设置控制。4、密码设置情况的系统截屏。5、登录系统测试用户密码验证3次失败禁止登录。6、检查系统的初始密码,登陆系统,查看系统默认账号的密码是否都已做了修改(例如“sa”账号初始密码为空)。FMIS-DA3-1.1………FMIS-DA3-1.n财务管理信息系统IT一般性控制工作底稿被测试单位:序号控制目标控制点编号控制点控制点描述测试步骤测试结果结论文档编号4加强应用系统管理员管理,防止不合规操作。FMIS-DA4应用系统管理员管理1、企业需配备专职或兼职应用系统管理员,并明确应用系统管理员的职责。应用系统管理员应相对稳定,其更换必须经财务部门负责人审批,并严格办理交接手续。2、应用系统管理员只能处理系统设置、数据库维护、数据备份与恢复、用户及权限管理等功能,不能登录帐务系统处理会计业务和查询帐务信息。3、财务部门负责人应每季度对应用系统管理员的操作进行检查。1、访谈财务部门负责人有关应用系统管理员的制度及任用审批流程。2、检查管理制度中有关应用系统管理员的规定职责。3、访谈有关人员检查应用系统管理员是否兼做其它业务处理。4、检查系统中应用系统管理员的权限分配表,确认应用系统管理员没有处理具体业务的权限。5、查看财务部门负责人每季度对应用系统管理员操作日志的检查记录。FMIS-DA4-1.1………FMIS-DA4-1.n5加强普通用户帐号的管理,保证业务处理的规范、安全、有效。FMIS-DA5普通用户管理1、根据用户岗位职责分工,分配相对应的操作权限,人员的离职与变动必须对权限进行相应的变更。用户帐号的申请及变更必须经财务部门负责人审核批准,用户岗位变更时应办理交接手续。2、系统内普通用户帐号的注册、注销及权限变更必须通过财务应用系统管理员进行,其它用户无此权限。1、访谈应用