SRE部/安全部
嵌入式廉洁风险防控手册
A类风险点
2021年6月
| 业务类型 | 业务招待管理 | 岗位编号 | SY-ZHGL-A001 |
| 所在领域 | 综合管理 | 风险点等级 | A类 |
| 直接责任人 | 业务招待申请人员 | 岗位人员 | 袁红(综合管理组) |
| 直接上级 | 蔡莹 | 监督人员 | 朱文鹏 |
| 风险描述 | 组织开展业务招待过程中存在未经事前审批、陪同人数及招待规格超标、招待场所违规等六类违反公司业务招待管理办法的行为。 | ||
具体场景 |
1、未经过审批开展业务招待;或因紧急事由经请示同意后进行业务招待,事后未及时提交审批流程。 | ||
| 2、以业务招待的方式,开展公司内部相互走访、送礼、宴请等活动;招待同一批次对象超过两次。 | |||
| 3、陪同人员的数量超过公司规定、人均标准(含酒水、饮料等)等规格超过公司规定。 | |||
| 4、到风景名胜区进行业务招待,或者安排接待对象到高档娱乐、健身、保健等经营场所活动。 | |||
| 5、向接待对象赠送不符合公司规定的现金、购物卡、消费卡、商业预付卡等各种有价证券、支付凭证、贵重物品等。 | |||
| 6、国家法定节假日期间及前后3个工作日内,招待发生部门未主动提前向同级主责部门备案并向同级纪委报告。 | |||
| 关键防控举措 | 制度依据: 1.《中共中国移动通信集团有限公司党组关于贯彻落实中央八项规定精神、进一步深化作风建设有关规定》的通知》(中移党组[2020]66号) 2.《中共中移(苏州)软件技术有限公司委员会关于贯彻落实中央八项规定精神 进一步深化作风建设实施细则(2020年版)》(移苏研党〔2020〕47号)第六章 3.《中移(苏州)软件技术有限公司业务招待管理办法》(苏研制〔2020〕90号) 执行要求: 1.做好流程管控。建立业务招待电子审批流程,规范审批程序。加强对招待对象、招待方式、招待规格等信息的审核,做好事前防范。2.加强归口管理。市场条线(市场部、四大区域中心)与非市场条线招待费分别由市场部和综合部扎口管理。 系统控制: 通过OA系统-业务招待审批单进行业务招待的闭环管理。 关键岗位: 业务招待申请人员;业务招待管理人员。检查要求: 综合部和市场部定期(每季度)对业务招待事项明细清单进行抽查,对违反规定的行为进行处罚,做好事后管控。 | ||
1.风险点名称:违规开展业务招待
| 业务类型 | 财务管理 | 岗位编号 | SY-CW-A003 |
| 所在领域 | 资产保管和盘点 | 风险点等级 | A类 |
| 直接责任人 | 资产管理员 | 岗位人员 | 王宇阳(技术运营组) |
| 直接上级 | 何纯钢 | 监督人员 | 江心勇 |
| 风险描述 | 1.财务部受人情请托或谋取私利,在资产或工程物资盘点时,主观恶意瞒报资产或工程物资的盘亏、盘盈情况或主观恶意帮助业务部门篡改账目,造成公司经济损失。 2.移动云固定资产维护部门人员未按规定执行资产管理工作,主观恶性造成固定资产丢失或违规占用部分固定资产,公物私用,引发廉洁风险。 | ||
具体场景 |
1、某次资产盘点监督中发现某部门存在资产盘亏,为谋取私利或受人请托,主观恶意不及时通报情况或篡改账目;或者发现资产盘盈,主观恶意不及时上报或者篡改账目,造成业务人员私吞盘盈资产。 | ||
| 2、移动云资产维护部门资产管理人员与外部人员勾结,违规占用固定资产,造成存置在外移动云固定资产毁损或丢失。 | |||
| 关键防控举措 | 制度依据: 1.中移(苏州)软件技术有限公司固定资产财务管理办法(苏研制〔2020〕130号)第十章。2.中移(苏州)软件技术有限公司移动云资产管理指引(试行)(苏研财〔2020〕1号)第七条 执行要求: 每年,财务部门会同固定资产实物管理部门和固定资产使用部门对固定资产进行全面清查盘点。盘点人员在实地盘点过程中,逐项盘点固定资产,将固定资产实物及数量与固定资产的账面记录进行核对,并登记更新资产实际地点信息。盘点结束后,财务部指定的盘点负责人和固定资产实物管理部门指定的盘点负责人共同对盘点结果进行抽样检查并在资产盘点清册上签字确认(或在固定资产管理系统对盘点工单进行确认),以确保盘点工作的有效性。 系统控制: 无 关键岗位: 资产会计、资产管理人员。 检查要求: 检查固定资产盘点报告。 | ||
2.风险点名称:瞒报资产盘盈、盘亏情况,违规占用移动云资产
| 业务类型 | 采购需求 | 岗位编号 | SY-ZHGL-A001 |
| 所在领域 | 采购物流 | 风险点等级 | A类 |
| 直接责任人 | 需求发起人/采购管理岗 | 岗位人员 | 袁跃亮(优化支撑组) |
| 直接上级 | 傅良勇 | 监督人员 | 江心勇 |
风险描述 |
1.需求不准确导致采购结果失效或合同执行与初始规模不一致,可能违规,采购决策未能得到有效执行; 2.所采购物资的投入/产出经济效果未经分析,造成公司经济损失; 3.出现紧急缺货的情况影响公司生产运营; 4.可能接受供应商的请托,出现倾向性,发生违规排斥、限制潜在投标人等违法行为,存在自由裁量权,易产生暗箱操作,可能产生腐败,导致投诉与合法合规风险; 5.引起合同纠纷; 6.违规使用单一来源采购,导致采购结果具有倾向性。 7.可能产生违规采购集采产品情况 8. 未按照规定要求提交采购申请、采购申请未经审批 | ||
| 具体场景 | 需求归口部门、需求部门风险行为: 1.采购需求管理不规范: (1)需求归口部门总体设计不合理,对需求技术标准、采购规模等内容审核不到位,存在主观故意的廉洁风险行为; (2)拆分需求、化整为零,降低审批层级或规避招标或规避采购寻源流程; (3)采购需求实质性内容(如预算金额、规模、技术规范等)变化或取消的,未按照原决策流程和层级重新决策; (4)设计方案受供应商影响存在倾向性。 (5)未按照规定要求提交采购申请、采购申请未经审批 2.采购需求不合理: (1)对供应商资质要求或技术指标、评分标准具有倾向性; (2)与主观分设置上限标准偏离较大,且无正当理由; (3)单一来源理由不充分或虚假捏造单一来源采购理由。 (4)对于需要进行产品测试的,产品测试方式及测试方案不明确或不合理; (5)设备性能冗余要求过高,设备或选配件超过实际配置需求、服务工作量超过实际需求。 采购部门风险行为: 1.采购人员对需求规范性、完整性审核不到位: (1)单一来源理由不充分; (2)与主观分设置上限标准偏离较大,且无正当理由; (3)对于需要进行产品测试的,产品测试方式及测试方案不明确; (4)非标产品未按照要求履行报批和报备手续。 | ||
3.风险点名称:采购需求管理
| 关键防控举措 | 制度依据: 1.《中移(苏州)软件技术有限公司采购需求实施细则》(苏研制〔2020〕145号)全文 2.《中移(苏州)软件技术有限公司采购实施管理办法》(苏研制〔2020〕128号),中第十一条、第四十八条 3.《中移(苏州)软件技术有限公司工会类采购实施细则》(苏研制〔2021〕6号),中第七条 4.《中移.苏州)软件技术有限公司招标实施办法》(苏研制〔2019〕21号),中第五条~第九条 中规定了采购需求的管理要求和规范。 执行要求: 1.需求部门根据采购需求项目情况选择申请相应的采购需求资金来源审批手续; 2.采购需求发起人编写采购需求说明技术规范书、技术打分表等采购需求文件; 3.需求部门邀请专家完成采购需求文件评审; 4.根据不同审批权限提交采购需求决策。 5.需求部门通过供应链系统向采购部门提出采购申请,经过相应层级的负责人审批; 6.采购部门发布采购标准化范本; 7. 采购部门对需求的规范性、完整性进行严格把关,核实是否存在排斥性、主观分设置不符合要求、单一来源理由不充分等情况; 8.对于增改标准配置部分,在提交订单时须将设计或审批文件或会审文件作为依据; 9.建立非标需求特殊审批流程,对自采非标产品行为进行严格把控。 系统控制: 合作伙伴通过移动云saas平台运营管理门户进行注册、提交资料,完成引入申请,评审小组据此进行评审引入 关键岗位: 1.固化需求评审审批环节; 2.需求部门从供应链系统提交采购申请,未在供应链系统提交的采购申请采购部门不进行采购。 检查要求: 1.检查是否建立需求归口管理机制; 2.检查系统是否固化需评审审批环节; 3.检查是否编制了相关范本文件; 4.检查同一年度或同一时期内具有相同采购内容的项目; 5.检查采购需求资料是否完整,是否落实资金来源,是否按照审批权限进行需求决策; 6.检查采购申请审批流程,是否所有的采购均经过审批; 7.每年至少开展1次自查,公司至少开展1次抽查。 | ||
3.风险点名称:采购需求管理
| 业务类型 | 采购测试 | 岗位编号 | SY-CW-A003 |
| 所在领域 | 采购物流 | 风险点等级 | A类 |
| 直接责任人 | 需求发起人、测试组织人 | 岗位人员 | 袁跃亮(技术运营组) |
| 直接上级 | 傅良勇 | 监督人员 | 江心勇 |
| 风险描述 | 1.易受到供应商质疑、投诉,产生合法合规风险; 2.易产生暗箱操作,接受供应商的请托,可能产生腐败风险。 | ||
具体场景 |
1.测试规范/方案存在测试不合理的测试内容; 2.测试现场管理与结果记录不规范,缺乏监督; 3.测试执行过程中,没有严格遵守管理规定,导致测试结果有偏差; 4.测试异议受理流程未明确。 | ||
| 关键防控举措 | 制度依据: 《中移(苏州)软件技术有限公司采购测试实施细则》(苏研制〔2020〕132号))中规定了测试管理要求。 执行要求: 1.测试需求应在需求阶段提出; 2.需求部门编制测试方案,并经过测试部等相关部门评审; 3.测试部按照测试方案组建测试小组,测试小组成员应从公司自有或专业机构中选取,应不少于3人单数; 4.测试小组成员按照测试方案进行测试,并出具测试结果报告。 系统控制: 供应链系统实现测试委托,测试报告反馈。 关键岗位: 需求发起人、测试小组成员。测试小组成员不能是评审委员会成员。 检查要求: 1.检查测试方案及测试报告,是否按照测试方案进行测试,测试报告所有人员是否签字; 2.每年至少开展1次自查,公司至少开展1次抽查。 | ||
4.风险点名称:采购测试管理
| 业务类型 | 合作管理 | 岗位编号 | SY-SC-A002 |
| 所在领域 | 市场管理 | 风险点等级 | A类 |
| 直接责任人 | SRE部/安全部评审参与人员 | 岗位人员 | 董军(网安管理组) |
| 直接上级 | 石春磊 | 监督人员 | 秦尔楠 |
| 风险描述 | 负责合作伙伴引入的岗位员工拥有较大的自由裁量权,合作伙伴引入资质把关不严:引入无资质或不符合资质要求的合作伙伴。 | ||
具体场景 |
1.合作伙伴引入资质把关不严:引入无资质或不符合资质要求的合作伙伴。 2.相关人员收取合作伙伴好处,或在合作伙伴评审过程中不客观公正、具有倾向性 3.泄漏有关评审/评标信息和资料,影响和干扰评审/评标公平公正进行。 4.违规将资质不满足项目或业务要求的合作伙伴引入并开展合作。 | ||
| 关键防控举措 |
制度依据:
《中移(苏州)软件技术有限公司“移动云”开放云市场SaaS合作管理办法(试行)》(苏研制〔2020〕8号)第五章
执行要求:
预审:合作伙伴线上提交合作意向,上传申请材料,运营中心负责预审,通过评审系统、预审打分要求,审核合作伙伴提交材料,输出预审结果;
专家评审:组织评审专家组按照评审标准进行量化评分,形成评审结果,根据管理办法细则评审标准,由评审专家组集体完成评审,形成客观评审结果;
决策:根据管理办法由运营部门发起决策审批流程,相关部门会签,由公司分管领导审批完成引入决策。
系统控制: 合作伙伴通过移动云saas平台运营管理门户进行注册、提交资料,完成引入申请,评审小组据此进行评审引入
关键岗位: 评审小组成员及引入决策流程参与人员:
1.预审:运营中心预审环节参与人员
2.专家评审:市场部、战法部、财务部、采购物流部、技术部、SRE部/安全部、运营中心及各产品部门评审参与人员
3.决策:决策流程发起及审批流程参与人员
检查要求:
定期检查合作伙伴资质、合作伙伴履约情况。
|
||
5.风险点名称:合作伙伴引入把关不严
| 业务类型 | 业务管理 | 岗位编号 | SY-SC-A008 |
| 所在领域 | 市场管理 | 风险点等级 | A类 |
| 直接责任人 | SRE部/安全部参与人员、测试账号使用人员 | 岗位人员 | 林嘉琦(A-SRE/合营云组) |
| 直接上级 | 夏剑斌 | 监督人员 | 江心勇 |
| 风险描述 | 调账时,对原因不明或不合理的出账进行调减,造成移动云收入损失。 调账时,对原因明确已出错账进行超额调减,造成移动云收入损失。 | ||
具体场景 |
1、某省公司客户订购某云主机产品,使用3个月后无故要求退订且要求对已出账单调账清零,调账要求不合理,损害公司利益,造成移动云收入损失。 | ||
| 2、某省公司客户订购某云主机产品,以1000元/月的价格订购3个月,因后续系统升级过程中该笔订单出账错误,最后一个月以1500元/月价格出账。客户要求全额调减三个月费用。申请调账金额超出实际差错金额,损害公司利益,造成移动云收入损失。 | |||
| 关键防控举措 | 制度依据:《中移(苏州)软件技术有限公司移动云公有云调账管理实施细则(试行)》(苏研制〔2021〕3号) 执行要求:1.各相关部门应严格按照调账管理实施细则明确的职责分工落实相关工作。 2.申请部门应严格按照调账管理实施细则要求准备申请材料,保证材料齐全,材料中涉及的信息准确无误。 3.审核部门应严格按照调账管理实施细则要求,对各自负责审核的内容尽心尽责,在规定时间内完成审核。 4.调账数据稽核牵头部门应严格按照调账管理实施细则要求,定期对调账历史进行稽核,对于稽核中的问题应在规定时间内通知责任部门及时整改。 系统控制:拟通过调账管理系统对调账申请及审核进行全线上化执行(系统建设中,暂未上线) 关键岗位:调账流程制定、执行过程相关的运营中心(申请发起与审核)、信息系统支撑部(审核与历史信息稽核)、市场部(流程制定与审批)、客户服务部(申请发起与审核)、财务部(审核)、SRE部/安全部(申请发起与审核)、各区域中心(申请发起)、各测试账号使用部门(申请发起)等部门的参与人员。检查要求:定期检查调账历史数据,检查调账审批流程的规范性,以及相关材料是否齐全。 | ||
6.风险点名称:移动云调账管理风险
| 业务类型 | 业务管理 | 岗位编号 | SY-SC-A009 |
| 所在领域 | 市场管理 | 风险点等级 | A类 |
| 直接责任人 | 代维实际使用人 | 岗位人员 | 李俊峰(技术运营组) |
| 直接上级 | 何纯钢 | 监督人员 | 江心勇 |
| 风险描述 | 移动云免费账号异常出账后申请调账抵减,造成移动云收入损失。 | ||
具体场景 |
1、SRE部/安全部的运维测试账号,由于账号延期申请审批流程走失,到期后系统未将账号冻结,从免费期结束后开始产生账单,后续作调账处理,造成移动云收入损失。 | ||
| 2、内部测试账号使用人员私下将移动云测试账号提供给客户使用,并收取一定的好处,造成移动云资源浪费、国有资产损失。 | |||
| 关键防控举措 | 制度依据: 《中移(苏州)软件技术有限公司移动云内部账号使用实施细则(试行)》(苏研制〔2021〕2号)。 执行要求: 1.市场部应严格按照制度,要求账号申请部门准备申请材料,申请部门需保证材料齐全,材料中涉及的信息准确无误。 2.市场部应严格按照制度要求,在规定时间内完成账号审批,同步检查账号命名规范以及账号属性等是否合规。 3.市场部应严格按照制度要求,定期对账号进行审计,对于审计中查到的问题应在规定时间内督促责任部门及时完成整改,保障测试账号使用信息准确,并及时同步账号管理台账至SRE部/安全部,供现网测试资源订购情况梳理。 4.对于账号到期需要延期使用的,使用部门须在集客大厅申请延期;市场部应严格按照制度,对账号延期申请进行审核,账号最多可以延期一次,时间不超过3个月。 5.账号使用人需严格按照使用周期自行清退资源。市场部根据SRE部提供的免费账号订购资源详单定期通报无效资源并协调各使用部门账号管理员组织账号使用人员清退资源。当测试资源订购超限导致现网容量告警时,根据账户分级情况,由SRE部/安全部梳理出需紧急清退的资源清单,由市场部督促账号管理员当日完成资源清退。 系统控制: 通过智慧政企以及集客业务受理大厅对账号申请进行全线上执行。 关键岗位: 市场部(规则、流程制定与审批)、财务部(预算审核与管控)、SRE部/安全部(资源、安全管控)、信息系统支撑部(系统改造需求受理)、各需求部门(申请发起)等部门的参与人员。 检查要求: 定期检查账号使用的合规性,检查审批流程的规范性,以及相关材料是否齐全。 | ||
7.风险点名称:移动云内部账号申请和使用
| 业务类型 | 数据保护 | 岗位编号 | SY-SC-A009 |
| 所在领域 | 网络安全 | 风险点等级 | A类 |
| 直接责任人 | 数据持有人员 | 岗位人员 | 张泉(网安管理组) |
| 直接上级 | 石春磊 | 监督人员 | 秦尔楠 |
| 风险描述 | 对公司及移动云的数据资产缺乏有效管理,不能保证研发数据、客户数据、经营数据的机密性、完整性和可用性,存在数据泄露等风险。 | ||
具体场景 |
相关员工非法出售公司重要资料(产品文档、代码、账号口令、客户信息等)以谋取私利,对合作方缺乏数据安全管控要求,关键系统缺乏数据安全管控措施,导致公司敏感数据面临泄露风险。因客户利益受损,引发赔偿。存在上述数据被泄漏谋取私利、恶意篡改、损毁和丢失的风险。 | ||
| 关键防控举措 | 制度依据: 1、《中移(苏州)软件技术有限公司网络安全管理办法》(苏研制〔2020〕69号)第五章 第三十二条“各部门应结合部门内部数据类型特点、业务运营需求等,明确数据分类分级策略,明确关键数据保护范围”;2、《中移(苏州)软件技术有限公司数据安全管理实施细则》(苏研制〔2020〕51号)第四章 第十五条“严禁将数据在公司以外区域、网络以任何形式传播”;3、《中移(苏州)软件技术有限公司移动云网络安全管理办法(试行)》(苏研〔2020〕77号)第七章 第四十五条 “对移动云中数据活动中的任何操作进行相应的记录并且对日志信息采取严格的保护措施,日志至少保存6个月,确保所有的数据操作可以被追溯和审查”。 执行要求: 1、通过建设DLP数据防泄漏系统进行防控; 2、各部门应当加强内部管理措施,防止研发信息、客户信息、账号信息等核心数据泄漏; 3、与合作方签订《网络安全承诺书》明确合作方数据使用权限和安全保护责任。 系统控制: 在相应系统中建立必要的安全管控和审计措施,防止非法提取数据信息并能及时发现和追溯;把经分系统纳入4A管控,对前端敏感数据进行脱敏展示。 关键岗位: 数据持有者需适当保护数据资产,账号所有者需保管好账号信息;把经分系统纳入4A管控,对前端敏感数据进行脱敏展示。 检查要求: 检查DLP系统日志、移动云日志、合作方网络安全承诺书。 | ||
8.风险点名称:数据安全防护
| 业务类型 | 风险管理 | 岗位编号 | SY-WLAQ-A002 |
| 所在领域 | 网络安全 | 风险点等级 | A类 |
| 直接责任人 | 任务执行人员 | 岗位人员 | 张泉(网安管理组) |
| 直接上级 | 石春磊 | 监督人员 | 秦尔楠 |
| 风险描述 | 由于风险点未能有效识别,导致控制体系不完善,引发相关安全问题。 | ||
具体场景 |
相关部门未有效识别风险,导致应对措施不完善,导致发生安全事件,业务受到较大影响;工程安全交付、产品安全交付受到较大影响;为谋取私利,导致发生资源滥用。 | ||
| 关键防控举措 | 制度依据: 《中移(苏州)软件技术有限公司网络安全管理办法》(苏研制〔2019〕8号)第十章第八十九条 “网络安全归口管理部门负责编制风险评估计划,定期组织开展风险评估工作”。 执行要求: 1、SRE部/安全部牵头、各重点领域部门配合,每季度对公司级安全风险进行评估; 2、通过建设态势感知平台,对资源滥用的情况进行告警,不定期检查。 系统控制: 无。 关键岗位: 相应任务具体执行人员要有风险意识,明确风险识别要求,主动开展相关工作。 检查要求: 检查资源池安全评估报告。 | ||
9.风险点名称:网络安全风险评估
| 业务类型 | 代维管理 | 岗位编号 | SY-YXWH-A001 |
| 所在领域 | 运行维护 | 风险点等级 | A类 |
| 直接责任人 | 使用人 | 岗位人员 | 赵辉(运维管理组) |
| 直接上级 | 吕新辉 | 监督人员 | 朱文鹏 |
| 风险描述 | 在维护过程中,对合作方工作量需求及实际交付的工作质量评估不准确,或未对合作方违规操作行为进行管控,导致公司利益受损。 | ||
具体场景 |
在维护工作评估中,夸大部分事实,导致工作量需求评估虚高;隐瞒部分事实,导致工作质量评估虚高,或未对合作方违规操作行为进行管控惩罚。 | ||
| 关键防控举措 | 制度依据: 《中移(苏州)软件技术有限公司代维管理办法》第五章第一节:日常需求管理,第六节:日常工作管理,第七节:验收与结算。执行要求: 每个使用人为工作量和工作质量评估的直接责任人;事前,使用人应当对工作量和工作质量的需求情况进行评估,并通过部门需求评审会和部门领导的审核;事中和事后,使用人应当及时对工作量与工作质量的交付情况进行评估,对合作方违规行为进行检查,不得漏报、瞒报;评估结果经所在部门审核,形成部门决策或由部门领导确认。 系统控制: 需求提交时,要求使用人将部门评审会议纪要作为附加进行上传。每个月结束后,系统会自动推送的上月打分单,由合作伙伴侧接口人填写人员当月工作量,发送给使用人审核。 关键岗位: 每个使用人为工作量和工作质量评估的直接责任人。 检查要求: 1.部门做好廉洁提醒;每年教育不低于1次,每年参加警示教育1次; 2.每季度结束后,在部门内部开展部门评审会,对每项工作量及质量评定结果进行抽检 | ||
10.风险点名称:合作方管理
| 业务类型 | 代维管理 | 岗位编号 | SY-YXWH-A002 |
| 所在领域 | 运行维护 | 风险点等级 | A类 |
| 直接责任人 | 一线、二线、三线维护人员 | 岗位人员 | 陈嘉锐(运维管理组) |
| 直接上级 | 吕新辉 | 监督人员 | 朱文鹏 |
| 风险描述 | 在资源池维护中 ,投诉、故障未及时上报或瞒报、漏报,变更存在违规操作,造成客户满意度低。 | ||
具体场景 |
有意瞒报、漏报或未及时上报投诉、故障,变更过程中违规操作,造成客户满意度低。 | ||
| 关键防控举措 | 制度依据: 《中移(苏州)软件技术有限公司移动云故障管理实施细则》第六章 第一节 故障发起; 《中移(苏州)软件技术有限公司移动云变更管理实施细则》第五章 第一节 变更发起; 《中移(苏州)软件技术有限公司移动云合作引入业务维护管理实施细则》第六章 维护考核。 执行要求: 1. 检查故障工单及时性,是否存在不及时情况; 2. 检查告警工单与生成的故障工单,是否存在故障的漏报瞒报; 3. 检查变更过程中是否存在违规操作,比如:未按“一人操作一人审核”规定进行操作等; 4. 变更目的、影响面信息是否清晰; 5. 将厂商运维考核纳入合作产品合同条款模版,考核结算依据合同规范要求执行。 系统控制: 通过智能运维平台进行故障、变更工单的数据抽取,进行质检工作。关键岗位: 一线、二线、三线产品维护人员。及时上报故障;变更严格按照要求进行操作。 检查要求: 检查不及时故障工单,告警工单与关联生成的故障单信息是否匹配;检查违规操作变更工单;检查变更操作人员审核人员记录;检查关键字段的信息准确度;每半年至少开展1次自查,公司至少开展1次抽查。 | ||
11.风险点名称:维护管理
| 业务类型 | 信息安全管理 | 岗位编号 | SY-XXAQ-A001 |
| 所在领域 | 技术研发 | 风险点等级 | A类 |
| 直接责任人 | 代码权限控制人(SCCB) | 岗位人员 | 诸利峰(智维平台组) |
| 直接上级 | 王峰 | 监督人员 | 江心勇 |
| 风险描述 | 受人情请托或谋取私利,未经审批私自为他人开通或扩大代码库权限,造成代码、技术资料流失,造成公司损失。 | ||
具体场景 |
未经审批流程,私自为他人开通或扩大代码库权限,导致公司代码流失。 | ||
| 关键防控举措 | 制度依据:《中移(苏州)软件技术有限公司网络安全管理办法》(苏研制〔2020〕69号)“第五十八条 研发工具链运营部门负责代码库访问权限管理,按照权限最小化原则实行分权分域控制,各部门须根据本部门人员(含外协人员)流动情况向研发工具链运营部门即时提供访问账号变更信息。” 执行要求:1、新人入职时,由各部门PMA或DCMA通过Jira申请代码库账号,由CMO分配账号密码;由各部门PMA或DCMA根据项目实际需要分配代码库权限,按最小权限分配;2、自有人员离职时,在离职签单时由CMO删除代码库账号。工时类外协人员离场时由外协系统自动触发邮件通知代码库管理员,由代码库管理销号;任务订单类外协账号由外协管理系统自动触发账号注销,实现离场即注销。系统控制:申请账号通过Jira执行申请流程;各权限分配由各代码库承载; 关键岗位:SCCB成员(软件配置控制委员会); 检查要求:检查新人账号是否通过Jira申请;检查代码库权限是否符合项目需要,每月PMA进行月度审计。 | ||
12.风险点名称:代码权限控制
编制:综合管理组
编辑校对:李正雯
审核:蔡莹
增值电信业务经营许可证:陕B2-20210327 | 
陕公网安备 61102302611033号