Q/SY
中国石油天然气集团有限公司企业标准
Q/SY 10223.2—2018
（2018年确认）
信息系统总体控制规范
第2部分：测试
Specification for general computer control-
Part 2: Test
2018—11—12实施
2018一11一12发布
中国石油天然气集团有限公司 发布 Q/SY10223.22018
再版说明
本标准于2018年复审，复审结论为继续有效。 本标准在发市复审结论的同时，按照《关于调整集团公司企业标准编号规则的通知》（中油质
[2016】434号】的要求对标准编号进行了修改。
本次印刷与前一版相比，技术内容与前版完全一致。 本次仅对标准的封面进行了如下修改：
标准编号由Q/SY1223.2—2009修改为Q/SY10223.2—2018 一标准发布单位按照企业公章，修改为“中国石油天然气集团有限公司” Q/SY 10223.22018
目 次
前言
TV
范围 2 规范性引用文件 3 专用词汇 4 控制点编号规则
控制环境测试 5.1 控制点GCC- -HI -1.1 Key ... 5.2 控制点GCC-HI-1.2Key 5. 3 控制点GCC-HJ-1.3Key 5.4 控制点GCC-HJ-1.4Key 5.5 控制点GCC-HJ-1.5Key 5.6 控制点GCC-HJ-1.6 5.7 控制点GCC-HJ-1.7 5.8 控制点GCC-HJ-1.8 5. 9 控制点GCC- HJ 1.9 5.10 控制点GCC-HI-1.10
5
6 信息安全测试
6.1 控制点GCC-AQ-2.1Key 6.2 控制点GCC-AQ-2.2Key 6.3 控制点GCC- - AQ- 2. 3 Key 6.4 控制点GCC-AQ-2.4Key 6.5 控制点GCC-AQ-2.5Key 6.6 控制点GCC-AQ-2.6Key 6.7 控制点GCC-AQ-2.7Key 6.8 控制点GCC-AQ-2.8Key 6.9 控制点GCC-AQ-2.9Key 6.10 控制点GCC-AQ-2.10Key 6.11 控制点GCC-AQ-2.11Key 6.12 控制点GCC-AQ-2.12Key 6. 13 控制点GCC-AQ-2.13Key 6.14 控制点GCC-AQ-2.14Key 6.15 控制点GCC-AQ-2.15Key 6.16 控制点GCC-AQ-2.16Key 6. 17 控制点GCC- AQ-2.17Key 6.18 控制点GCC-AQ-2.18 6.19 控制点GCC-AQ-2.19 6.20 控制点GCC-AQ-2.20 6.21 控制点GCC-AQ-2.21
....
10 10 10 10 11 I Q/SY 10223.22018
6.22 控制点GCC-AQ-2.22 6.23 控制点GCC-AQ-2.23 6. 24 控制点GCC-AQ-2.24 6. 25 控制点GCC-AQ-2.25 6. 26 控制点GCC-AQ-2.26 6.27 控制点GCC-AQ-2.27 6.28 控制点GCC-AQ-2.28 项目建设管理测试 7. 1 控制点GCC-JS-3.1Key 7.2 控制点GCC-JS-3.2Key 7. 3 控制点GCC-JS-3.3Key 7. 4 控制点GCC-JS-3.4Key 7. 5 控制点GCC-JS-3.5Key 7. 6 控制点GCC-JS-3.6Key 7.7 控制点GCC-JS-3.7Key 7.8 控制点GCC-JS-3.8Key 7. 9 控制点GCC-JS-3.9Key 7. 10 控制点GCC-JS-3.10 7. 11 控制点GCC- JS-3.11.. 7. 12 控制点GCC JS-3.12 * 7. 13 控制点GCC-JS-3.13. 7. 14 控制点GCC-JS-3.14 7. 15 控制点GCC-JS-3.15 7. 16 控制点GCC-JS-3.16* 7. 17 控制点GCC 3.17*** 7.18 控制点GCC 7. 19 控制点GCC-JS-3.19 8 系统变更管理测试.
11 11 12 12 12 12 13 13 13 13
.
**14
14 14 15 15 15 16 16 16 16 17 17 17 17 17 18 18 18 18 18 19 19 20 20 20 21 21 21 21 21 21 22 22
-
·
3.18
.
8.1 控制点GCC-BG-4.1Key 8.2 控制点GCC-BG-4.2Key 8. 3 控制点GCC-BG-4.3Key 8. 4 控制点GCC-BG-4.4Key 8.5 控制点GCC-BG-4.5Key 8.6 控制点GCC-BG-4.6 8.7 控制点GCC-BG-4.7 8.8 控制点GCC-BG-4.8 8.9 控制点GCC -BG- 4.9 8.10 控制点GCC-BG-4.10 8.11 控制点GCC-BG-4.11 系统运行维护测试· 9.1 控制点GCC-YW-5.1Key 9.2控制点GCC-YW-5.2Key 9.3 控制点GCC-YW-5.3Key
-
..
9
II Q/SY 10223.2—2018
9.4 控制点GCC-YW-5.4Key 9.5 控制点GCC-YW-5.5Key 9.6 控制点GCC-YW-5.6Key 9.7 控制点GCC-YW-5.7Key 9.8 控制点GCC-YW-5.8Key 9.9 控制点GCC-YW-5.9 9.10 控制点GCC- YW-5.10 9. 11 控制点GCC YW 5.11 9.12 控制点GCC- YW-5.12 9. 13 控制点GCC-YW-5.13*****
22 23 23 23 24 24 24 25 25 25 25 25 26 26 26 27 27 27 28 29
10 最终用户操作测试
........
10.1 控制点GCC- YH-6.1 Key 10.2 控制点GCC-YH-6.2Key 10.3 控制点GCC- .YH-6.3Key 10.4 控制点GCC- YH-6.4 10.5 控制点GCC-YH-6.5 10.6 控制点GCC-YH-6.6 10.7 控制点GCC-YH-6.7
附录A（规范性附录） 控制频华具 抽样样本数量对应 表附录B（规范性附录） 管理表格汇总 Q/SY10223.2—2018
前 言
Q/SY10223一2009《信息系统总体控制规范》分2个部分：
第1部分：实施；第2部分：测试。
本部分为Q/SY10223—2009的第2部分。 本标准的附录A、附录B为规范性附录。 本标准由中国石油天然气集团有限公司信息管理部提出。 本标准由中国石油天然气集团有限公司信息技术专业标准化技术委员会归口。 本标准起草单位：中国石油探开发研究院。 本标准起草人：高雪、 爱丽、前隆潮、缪红萍。
0 S
IV Q/SY10223.22018
信息系统总体控制规范
第2部分：测试
1范围
Q/SY10223的本部分规定了进行信息系统总体控制环境测试信息安全测试项目建设管理测试，系统变更管理测试，系统运行维护测试，最路用户操作测试所应连循的程序与要求。
本部分定义了信息系统总体控制测试的程序，方法和标准，适用于中国石油信息系统总体控制测试工作。 2规范性引用文件
下列文件中的条款通过Q/SY10223的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括期误的内容》或修订版均不适用于本部分： 然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。 ，凡是不注日期的引用文件， 其最新版本适用于本部分。
Q/SY10223.12018 信息系统总体控制规范第1部分：实施 3专用词汇
控制点：指企业为了保证业务活动的有效进行：保护室产的安全和完整，防止，发现，纠正错误与舞，以及保证企业正常经营所采取的一系列必要的管理措施。
关键控制点：指对管理工作影响大 涉及面广。具有重要地位和作用的控制点。其控制点的失效将使整个控制系统失控或造成载为重大的缺陷从而影响到整个企业业务活动控制目标的实现。 4控制点编号规购
控制点编号规则为字母与数字不等长混合编码，编码结构见图1
GCC-XX-Y.YKey
关键控制点标识 “Y”子领域的序号和控制点在该子领域中的编号，用数字表示中间用国点分开 “×”子领域的代码，用两个拼音字母表示信息系统控制领域英文第一个字母
图1控制点编号结构和规则
信息系统控制子领域有六个，其名称。缩写和子领域的序号见表1。 5控制环境测试
本章节的控制点描述，控制方法和控制频率描述了控制执行时的主要要求，测试步描述了对该
控制点进行测试的具体方法。
1 Q/SY10223.22018
表1子领域名称，代码和子领域的序号
子领域名称控制环境测试信息安全测试项目建设管理测试系统变更管理测试系统运行维护测试最终用户操作测试
子领域代码
子领域的序号
HJ AQ JS BG YW YH
1 2 3 4 5 6
示例：控制点GCC-HJ-1.1Key代表信息技术控制环境测试子领域第一个控制点且此控制点为关键控制点。
样本总体根据执行该控制 的控制频率和时间设进行确定，确定样本总体后，样本数量根据附录A 所规定的方法抽取，以下各童同此。 5.1控制点GCC-HI-1.1Ke 5.1.1控制点描述
中国石油天然气集团公司 商林集团公 （司） 京息化工作主管部门定期（至少每年度）组织相关部门对信息技术总体规划的执行情配及共时公司业务的适应性进行审阅。 集团公司信息化工作主管部门可根据业务发展对信息技术体规划进行修订 并完整保存相关文档记录 5.1.2测试步骤
a）访谈集团公司信息化工作主管部门顺责人。 了解信息技术总体规划的制定、执行以及修订情
况，获得企业最新的信息技术总体规划文就 b）查看相关业务部门是否参与了信息技术总体规划的制定和审阅过程。 c）检查信息技术总体规划的审阅、修订流程及流程的执行与制度要求的符合性。 控制方法：手工：控制频率：每年。
5.2控制点GCC-HI-1.2Key 5.2.1控制点描述
集团公司信息化工作主管部门 1负责本单位信息系统控制相关 5.2.2测试步骤
度的制定和培训工作。
a）访谈集团公司信息化工作主管部门负责
解信息系统控制相关政策和制度的推行，宣贯
过程，获得制度的培训，宣费 贯记录等相关文档。 b）访谈员工对集团公司信息化工作主管部门的宣员活 c）检查这些文档的内容、 执行时间，专加的部门以及是否保存了相关的正式的培训文档。 控制方法：手工：控制频率：按需。
广蜂程度
5.3控制点GCC-HJ-1.3Key 5.3.1控制点描述
集团公司信息化工作主管部门对公司及业务层面的主要信息技术风险进行评估。当组织结构、环境发生变动或发生重大的信息技术应用时，集团公司信息化工作主管部门对变动情况进行风险评估，必要时调整相关风险防范措施。 5.3.2测试步骤
）访谈集团公司信息化工作主管部门负责人，了解风险评估框架制定，变更频度，风险评估流
程，责任部门，管理层态度等情况，获得风险评估报告。检查报告是否经过修改，上一次修
2