IT安全管理制度教程文件

1、IT安全管理制度南京橙紅科技股份有限公司目次前 言 31 目的 32適用范圍 33物理訪問 44邏輯訪問 45 個人辦公電腦及服務(wù)器安全 . 56 信息安全定期檢查 67 服務(wù)及電子郵件安全 78 網(wǎng)絡(luò)使用標(biāo)準(zhǔn)： 79 USB 口使用標(biāo)準(zhǔn)： 810 附件：處罰制度說明 9為公司建立IT安全實施標(biāo)準(zhǔn)，以保護公司網(wǎng)絡(luò)和計算機環(huán)境中的信息資產(chǎn)，特制訂本制度IT安全管理制度i目的保障公司信息安全的機密性、完整性、可用性、抗抵賴性、可控性。保護信息免受各種威脅的損害。確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險最小化。2適用范圍本標(biāo)準(zhǔn)適用于某某某公司（包括但不限于其所有控股子公司、辦事處）的信息基礎(chǔ)架構(gòu)中所有的系統(tǒng)，公司的

2、內(nèi)部辦公網(wǎng)絡(luò)，包括廣域網(wǎng)和辦公 局域網(wǎng)。3 物理訪問1.1 參照辦公樓管理規(guī)定內(nèi)的人員出入、物品出入規(guī)定執(zhí)行。1.2 打印、復(fù)印、傳真使用者必須遵從 打印、復(fù)印、傳真管理制度4 邏輯訪問2.1 控制用戶身份識別和認(rèn)證必須根據(jù)實際的訪問要求，來控制內(nèi)部系統(tǒng)訪 問權(quán)限，檢查認(rèn)證用戶或者應(yīng)用的身份合法性。2.2 用戶的身份是通過為每個系統(tǒng)（操作系統(tǒng)、辦公平臺、硬件設(shè)備）的使 用者分配唯一的系統(tǒng)標(biāo)識來確定，并且每個用戶擁有個人的密碼，作 為系統(tǒng)身份認(rèn)證的依據(jù)。2.3 員工因離職、休假或業(yè)務(wù)變動不再需要訪問系統(tǒng)， HR 或部門經(jīng)理必須 通知系統(tǒng)負(fù)責(zé)人，系統(tǒng)負(fù)責(zé)人必須依據(jù)相應(yīng)的流程終止該員工對系統(tǒng) 的訪問

3、權(quán)限。 （參見人事部門離職流程表 ）2.4 使用人不再使用該帳號，例如員工離職或退休，必須從系統(tǒng)中刪除或禁用 帳號、以及相關(guān)數(shù)據(jù)。 （參見人事部門離職流程表 ）2.5 重要崗位員工離職，系統(tǒng)接替人員必須更改密碼或刪除原帳號2.6 存儲在公司內(nèi)部服務(wù)器系統(tǒng)中的信息，除非得到該設(shè)備責(zé)任人的明確指 示，否則不需要加密。2.7 系統(tǒng)負(fù)責(zé)人必須設(shè)置缺省保護功能來保障用戶資源，禁止他人非法訪問 用戶資源。2.8 普通用戶不允許修改公用系統(tǒng)資源，例外情況需要該設(shè)備責(zé)任人明確批 準(zhǔn)。5 個人辦公電腦及服務(wù)器安全在公司運行的系統(tǒng)、應(yīng)用和軟件必須持有有效使用許可證明。 禁止非法拷貝 或復(fù)制軟件， 除非在許可條款上

4、明確允許。5.1 為了更好的管理局域網(wǎng)內(nèi)用戶電腦，及時解決網(wǎng)絡(luò)故障，病毒源，及時排 除安全隱患等需求。所有計算機包括筆記本電腦機器名一律包含責(zé)任人工 號制定。例如 : 某某某的電腦名為 123如出現(xiàn)一個員工有兩個或者以上電腦 遵循如下規(guī)則123 -*綜合辦IT運維人員有權(quán)限制不符合上述要求設(shè)備的網(wǎng) 絡(luò)等服務(wù)。如沒有按照此規(guī)定設(shè)置電腦名并由于本人維護不當(dāng)造成影響他 人正常工作，給予E級處罰。5.2 辦公電腦、公用電腦、安裝軟件出現(xiàn)的漏洞應(yīng)及時安裝補丁，不能處理的 漏洞等問題應(yīng)向綜合辦IT運維人員說明并做好記錄。如由于上述問題而引 發(fā)安全信息隱患則 給予E級處罰，如由于上述原因造成了公司信息安全事

5、故 給予C級處罰。5.3設(shè)置計算機開機口令a）設(shè)置系統(tǒng)登錄口令 b）設(shè)置系統(tǒng)屏幕保護口令 C） 激活屏幕保護的時間：5分鐘。d）離開辦公位時因?qū)ぷ麟娔X進行鎖屏。沒 有按照上述設(shè)置 給予E級處罰。5.4公司網(wǎng)絡(luò)規(guī)劃默認(rèn)使用自動獲取IP規(guī)則。員工不得擅自固定IP,如IP沖突影 響他人正常工作，不服從綜合辦IT運維人員管理者 給予E級處罰。5.5如需要固定IP必須向綜合辦IT運維人員郵件申請，經(jīng)過確認(rèn)后由綜合辦IT運維人員負(fù)責(zé)分配固定IP使用，并做好記錄，否則視為私自占用公司IP資源。給予E級處罰。5.6個人電腦和服務(wù)器等設(shè)備必須安裝附錄1中提及軟件。6信息安全定期檢查6.1.每月定期隨機抽查用戶

6、電腦，違規(guī)未安裝者，給予B級處罰。所有用戶必須安裝且運行正常軟件如下:軟件名稱安裝要求備注說明（殺毒軟件）是否及時更新指定殺毒軟件，不得安裝其他殺毒軟 件Wsus安裝且系統(tǒng)正常安 裝補丁操作系統(tǒng)自動分發(fā)補丁程序6.2.所有電腦不得安裝不符合公司要求，有害信息安全的軟件，如：帶病毒、 侵害計算機安全軟件，違反上述情況，無正當(dāng)理由者，給予B級處罰。個人辦公電腦及服務(wù)器安全中所提及內(nèi)容，如遇疑問或故障，應(yīng)主動向綜合辦 IT 運維人員要求支持，否則造成不良后果均視為違規(guī)。）7 服務(wù)及電子郵件安全7.1 禁止在計算機上配置和提供無需驗證的服務(wù)或包括但不限于FTP， TFTP，HTTP、DHCP ,違反規(guī)

7、定者則給予E級處罰。7.2 禁止利用電子郵件發(fā)送、群發(fā)或轉(zhuǎn)發(fā)與工作內(nèi)容無關(guān)的郵件， 違反規(guī)定者則給予 E 級處罰。7.3 禁止將公司機密信息。通過郵件發(fā)送給與業(yè)務(wù)無關(guān)的單位或個人， 違反規(guī) 定者則給予 B 級處罰。7.4 如果業(yè)務(wù)需要群發(fā)工作郵件，則應(yīng)避免發(fā)送大郵件，盡可能以內(nèi)容鏈接的 方式發(fā)送，違反規(guī)定造成網(wǎng)絡(luò)或者郵件服務(wù)器堵塞者， 給予 E 級處罰。8 網(wǎng)絡(luò)使用標(biāo)準(zhǔn)：8.1非特殊工作需要嚴(yán)禁使用外網(wǎng)或者非法代理上互聯(lián)網(wǎng)。經(jīng)發(fā)現(xiàn)給予C級處罰。8.2 如工作需要外網(wǎng)出口，必須提交申請同意后才能開通。開通出口后設(shè)備 按照機房服務(wù)器管理辦法實施。請參見IT業(yè)務(wù)申請。8.3禁止私接網(wǎng)絡(luò)設(shè)備到公司辦公

8、網(wǎng)絡(luò)上（如：Hub、無線AP、Router、Modem、撥號服務(wù)器），如果有工作需要，請與綜合辦IT運維人員聯(lián)系，必須經(jīng)過項目經(jīng)理和綜合辦IT運維人員確認(rèn)后，記錄設(shè)備編號責(zé)任人方可使用。請參見IT業(yè)務(wù)申請。如在使用過程中出現(xiàn)環(huán)路等不當(dāng)操作 造成樓層或者區(qū)域網(wǎng)絡(luò)癱瘓， 則給予E級處罰。8.4 員工必須嚴(yán)格按照公司要求內(nèi)外網(wǎng)線路物理隔離的原則，嚴(yán)禁違反規(guī)定 私接網(wǎng)線或網(wǎng)絡(luò)設(shè)備造成網(wǎng)絡(luò)安全隱患， 經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任人或事故 責(zé)任人D級處罰。8.5 嚴(yán)禁在公司辦公網(wǎng)絡(luò)中使用大流量的工具或程序（如：流量發(fā)生器、網(wǎng) 絡(luò)模擬程序）禁止在公司辦公網(wǎng)絡(luò)中使用網(wǎng)絡(luò)流量監(jiān)測、端口掃描、抓 包等程序經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任

9、人或事故責(zé)任人D級處罰。8.6嚴(yán)禁在公司使用基于互聯(lián)網(wǎng)的Peer to Pee文件共享服務(wù)包括但不限于BT、電驢、迅雷。未經(jīng)審批在公司使用非公司許可的即時通訊工具， 包括但不限于QQ、SKYPE、FeiQ、飛鴿等，嚴(yán)禁在上班時間使用在線 視頻播放軟件包括單不限于PPS PPTV等經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任人或事 故責(zé)任人D級處罰。9 USB 口使用標(biāo)準(zhǔn)：7.1嚴(yán)禁非工作需要時私自使用 USB設(shè)備如：U盤、移動硬盤、mp3、手 機等移動存儲設(shè)備，拷貝公司電腦內(nèi)的數(shù)據(jù)， 違規(guī)者給予 B 級處 罰。7.2嚴(yán)禁私自利用設(shè)備、工具、或其他手段打開原禁止使用USB接口，和機箱鎖。 如發(fā)現(xiàn)給予設(shè)備責(zé)任人 B 級處罰。7.3未經(jīng)IT運維人員備案，嚴(yán)禁使用任何 USB無線上網(wǎng)設(shè)備和其他方式登陸互聯(lián)網(wǎng)， 違規(guī)者給予設(shè)備責(zé)任人 B 級處罰。7.