IT安全管理制度

1、頁|內(nèi)? 南京橙紅科技股份有限公司 前 言 2 1目 3 的 as 3 用 范 圍 1物 3 理 訪 問 4邏 J 輯 訪 問 卅人 辦 公電 腦 及 服務(wù) 器 安 全 5 息 安 全 定 期 檢 查 7服 務(wù) 及 電 子 郵 件 安 全 5 2網(wǎng) 絡(luò) 使 用 標 準 : t X3 口 使 用 標 準 7 M附 件 * 處 罰 制 度 說 明 為公司建立IT安全實施標準，以保護公司網(wǎng)絡(luò)和訃算機環(huán)境中的信息資產(chǎn)，特制訂本 制度。 IT安全管理制度 1目的 保障公司信息安全的機密性、完整性、可用性、抗抵賴性、可控性。保護信息 免受齊種威脅的損害。確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風險報小化。 2適用范圍 本標準

2、適用于某某某公司包括但不限于其所有控股子公司、辦事處）的信息基礎(chǔ) 架構(gòu)中所有的系統(tǒng)，公司的內(nèi)部辦公網(wǎng)絡(luò)，包括廣域網(wǎng)和辦公局域網(wǎng)。 3物理訪問 L1參照辦公樓管理規(guī)定內(nèi)的人員出入、物品出入規(guī)；執(zhí)行。 12打印、復(fù)印、傳真使用者必須遵從打卬-復(fù)印.傳竟管理制度 4邏輯訪問 21控制用戶身份識別和認證必須根據(jù)實際的訪問要求.來控制內(nèi)部系統(tǒng)訪問權(quán)限, 檢査認證用戶或者應(yīng)用的身份合法性。 21用戶的身份是通過為每個系統(tǒng)（操作系統(tǒng)、辦公平臺、硬件設(shè)備）的使用者分配 唯一的系統(tǒng)標識來確總，并且每個用戶擁有個人的密碼，作為系統(tǒng)身份認證的依據(jù)。 2$員工因離職、休假或業(yè)務(wù)變動不再需要訪問系統(tǒng)，BR或部門經(jīng)理必須

3、通知系統(tǒng)負 責人，系統(tǒng)負責人必須依據(jù)相應(yīng)的流程終止該員工對系統(tǒng)的訪問權(quán)限。（參見人事部門離 職流程表） U使用人不再使用該帳號.例如員工離職或退休，必須從系統(tǒng)中刪除或禁用帳號、以 及相 關(guān)數(shù)據(jù)。（參見人事部門離職流程表） 彷重要崗位員工離職，系統(tǒng)接替人員必須更改密碼或刪除原帳號。 2$存儲在公司內(nèi)部服務(wù)器系統(tǒng)中的信息，除非得到該設(shè)備責任人的明確指示，否則 不需要加密0 匕系統(tǒng)負責人必須設(shè)置缺省保護功能來保障用戶資源，禁止他人非法訪問用戶資源。 肚普通用戶不允許修改公用系統(tǒng)資源，例外情況需要該設(shè)備責任人明確批準。 5個人辦公電腦及服務(wù)器安全 在公司運行的系統(tǒng)、應(yīng)用和軟件必須持有有效使用許可證明。

4、禁止非法拷貝或復(fù)制 軟件，除非在許可條款上明確允許。 3J 為了更好的管理局域網(wǎng)內(nèi)用戶電腦，及時解決網(wǎng)絡(luò)故障，病毒源，及時排除安 全隱患等需求。所有計算機包括筆記本電腦機器名一律包含責任人工號制泄。例如:某 某某的電腦名為齒如出現(xiàn)一個員工有兩個或者以上電腦遵循如下規(guī)則m*綜合辦IT運 維人員有權(quán)限制不符合上述要求設(shè)備的網(wǎng)絡(luò)等服務(wù)。如沒有按照此規(guī)左設(shè)置電腦名并由 于本人維護不當造成影響他人正常工作，給予級處罰。 12 辦公電腦、公用電腦、安裝軟件出現(xiàn)的漏洞應(yīng)及時安裝補丁，不能處理的漏洞 等問題應(yīng)向綜合辦rr運維人員說明并做好記錄。如由于上述問題而引發(fā)安全信息隱慮則 給予E級處罰如由于上述原因造成

5、了公司信息安全事故給汛級處罰。 15 設(shè)皆il算機開機口令M設(shè)置系統(tǒng)登錄口令W設(shè)置系統(tǒng)屏幕保護口令f）激活 屏幕保護的時間：5分鐘。曠離開辦公位時因?qū)ぷ麟娔X進行鎖屏。沒有按照上述設(shè)置 給予級處罰。 U 公司網(wǎng)絡(luò)規(guī)劃默認使用自動獲取p規(guī)則.員工不得擅自固定p,如P沖突影響他 人正常工作，不服從綜合辦rr運維人員管理考給予E級處罰。 W 如需要固定IP必須向綜合辦IT運維人員郵件申請經(jīng)過確認后由綜合辦IT運維 人員負責分配固定IF使用，并做好記錄，否則視為私自占用公司IP資源.給Yf級處罰J ifi 個人電腦和服務(wù)器等設(shè)備必須安裝附錄1中提及軟件。 I信息安全定期檢査 H 每月泄期隨機抽査用戶電

6、腦，違規(guī)未安裝者，給予B級處罰。 所有用戶必須安裝且運行正常軟件如下: 軟件名稱 安裝要求 備注說明 （殺毒軟件） 是否及時更新 指定殺毒軟件.不得安裝其他殺毒軟 件 Hsns 安裝且系統(tǒng)正常 安裝補丁 操作系統(tǒng)自動分發(fā)補丁程序 $2 所有電腦不得安裝不符合公司要求，有害信息安全的軟件，如：帶病毒、侵害 計算機安全 軟件，違反上述情況.無正當理由考，給予B級處罰。 （個人辦公電腦及服務(wù)器安全中所提及內(nèi)容，如遇疑問或故障，應(yīng)主動向綜合辦口 運維人員要求支持，否則造成不良后果均視為違規(guī)。） 7服務(wù)及電子郵件安全 汀禁止在訃算機上配置和提供無需驗證的服務(wù)或包括但不限于FTP, TO, snr DBl

7、b違反規(guī)窪者則給予E級處罰。 禁止利用電子郵件發(fā)送、群發(fā)或轉(zhuǎn)發(fā)與工作內(nèi)容無關(guān)的郵件，違反規(guī) 怎者則給予E級處罰。 禁止將公司機密信息。通過郵件發(fā)送給與業(yè)務(wù)無關(guān)的單位或個人，違反規(guī)定者 則給了訂級處罰. U 如果業(yè)務(wù)需要群發(fā)工作郵件，則應(yīng)避免發(fā)送大郵件，盡可能以內(nèi)容鏈接的方式 發(fā)送，違反規(guī)定造成網(wǎng)絡(luò)或者郵件服務(wù)器堵塞者，給予E級處罰。 S網(wǎng)絡(luò)使用標準: il 非特殊工作需要嚴禁使用外網(wǎng)或者非法代理上互聯(lián)網(wǎng)0經(jīng)發(fā)現(xiàn)給予f級處 罰- 12 如工作需要外網(wǎng)出口，必須提交申請同意后才能開通。開通出口后設(shè)備按 照機房服務(wù)器皆理辦法實施。請參見rr業(yè)務(wù)申請。 U 禁止私接網(wǎng)絡(luò)設(shè)備到公司辦公網(wǎng)絡(luò)上（如：甌、無

8、線隊Rom、llMfflh撥號 服務(wù)器），如果有工作需要，請與綜合辦IT運維人員聯(lián)系，必須經(jīng)過項目經(jīng)理和綜合 辦rr運維人員確認后，記錄設(shè)備編號責任人方可使用。請參見rr業(yè)務(wù)申請。如在使 用過程中出現(xiàn)環(huán)路等不當操作造成樓層或者區(qū)域網(wǎng)絡(luò)癱瘓，則給予E級處罰。 U 員工必須嚴格按照公司要求內(nèi)外網(wǎng)線路物理隔離的原則嚴禁違反規(guī)定私 接網(wǎng)線或網(wǎng)絡(luò)設(shè)備造成網(wǎng)絡(luò)安全隱患，經(jīng)發(fā)現(xiàn)給與設(shè)備責任人或事故責任人I級處 罰 U 嚴禁在公司辦公網(wǎng)絡(luò)中使用大流量的工具或程序（如：流量發(fā)生器、網(wǎng)絡(luò) 模擬程序）禁止在公司辦公網(wǎng)絡(luò)中使用網(wǎng)絡(luò)流量監(jiān)測、端口掃描、抓包等程序經(jīng) 發(fā)現(xiàn)給與設(shè)備責任人或爭故責任人級處罰 U 嚴禁在公司使用基于互聯(lián)網(wǎng)的PftTttPwr文件共享服務(wù)包括但不限于BT、電 驢、迅雷。未經(jīng)審批在公司使用非公司許可的即時通訊工具，包括但不限FW、SOTEs FeiH、飛鴿等，嚴禁在上班時間使用在線視頻播放軟件包括單不限于FPS. m等經(jīng)發(fā) 現(xiàn)給與設(shè)備責任人或事故責任人D級處罰. 訂嚴禁非工作需要時私自使用設(shè)備如：r盤、移動硬盤、m、手機等移動存儲 設(shè)備，拷貝公司電腦內(nèi)的數(shù)據(jù)，違規(guī)者給予B級處罰。 72嚴禁私自利用設(shè)備、工具、或加他手段打開原禁止使用厲接口，和機箱鎖。如 發(fā)現(xiàn)給予設(shè)備責任人B級處罰。 73未經(jīng)1T運維人員備案，嚴禁使用任何無線上網(wǎng)設(shè)備和貝他方式登陸互