GVS新增程序文件-網(wǎng)絡(luò)安全政策和程序

1、GVS新增程序文件-網(wǎng)絡(luò)平安政策和程序1 .目的：保證公司的信息技術(shù)(I T)系統(tǒng)穩(wěn)定、網(wǎng)絡(luò)暢通且安 全運(yùn)行,以預(yù)防公司網(wǎng)絡(luò)攻擊、數(shù)據(jù)喪失等.2 .范圍：全公司范圍內(nèi).3 .責(zé)任：3. 1行政部負(fù)責(zé)人：負(fù)責(zé)公司網(wǎng)絡(luò)平安政策和程序的籌劃、實(shí)施監(jiān)管和持續(xù)改良工作.3. 2IT:負(fù)責(zé)公司網(wǎng)絡(luò)平安的效勞器和電腦硬軟件檢測、維修、 權(quán)限設(shè)置、網(wǎng)絡(luò)維護(hù)和監(jiān)管等工作.3.3各部門使用電腦人員：負(fù)責(zé)遵守并實(shí)施網(wǎng)絡(luò)平安政策和程序的規(guī)定和要求.4.程序：4. 1公司的網(wǎng)絡(luò)平安政策和程序,IT應(yīng)根據(jù)風(fēng)險(xiǎn)或情況每年或更經(jīng)常地進(jìn)行審查,必要時(shí)更新；IT 每年至少組織一次,與公司高層治理開會一起檢討、評估IT系統(tǒng)的安保相

2、關(guān)事項(xiàng) (包括電腦或Int er ne t 網(wǎng)使用/ 訪問權(quán)限等)的平安會議 并做好相關(guān)會議記錄.4. 1網(wǎng)絡(luò)物理平安4. 1. 1公司網(wǎng)絡(luò)效勞器的機(jī)房最小使用面積不得小于 30m2 應(yīng)選用市電電源穩(wěn)定可靠、交通通信便 利、環(huán)境清潔、阻燃/第1頁共14頁防水/防雷擊/抗震、屋頂吸濕小性/隔熱/防滲漏的專用的房 間內(nèi)；機(jī)房應(yīng)設(shè)單獨(dú)出入口,此處應(yīng)設(shè)置疏散照明燈和安全出口標(biāo)志；安裝密封性好、能雙向自動開閉且足夠結(jié)實(shí)的防火門,以及密封性良好的鋁合金雙層窗戶.4. 1. 2機(jī)房地板應(yīng)鋪設(shè)抗靜電活動地板,房中各類管線應(yīng)暗敷,管線穿樓層時(shí)應(yīng)為豎井式；在房內(nèi)的醒目位置放二個(gè)干粉滅火器,并且室內(nèi)禁止堆放易燃、易

3、爆、易腐蝕、強(qiáng)磁等物品.4. 1. 3 機(jī)房內(nèi)應(yīng)安裝CCTV系統(tǒng)360度全方位地監(jiān)控、環(huán)境 溫度/濕度/煙霧/漏水/供電狀態(tài)檢測及報(bào)警設(shè)備當(dāng)超過平安值,通過 短信報(bào)警方式給IT、支持IT設(shè) 備工作8小時(shí)的UPS和恒溫恒濕空調(diào)設(shè)備運(yùn)行時(shí),機(jī)房溫度應(yīng)保持在18 25C , 相對濕度45 65%,以及加設(shè)指紋識 別門禁系統(tǒng)和上鎖管制.4. 1.4 公司的網(wǎng)絡(luò)效勞器應(yīng)統(tǒng) 一置放千獨(dú)立的機(jī)柜中且開關(guān) 有門鎖管制,IT和行政部負(fù)責(zé)人各配備一把鑰匙,其他人不能隨意開啟；機(jī)房禁止未經(jīng)批準(zhǔn)的人員進(jìn)入,原那么上不允許外來人員參觀,經(jīng)廠長批準(zhǔn)進(jìn)入機(jī)房的人員,必須有IT陪同并盡量預(yù)防參觀重要部位 ；進(jìn)入機(jī)房時(shí), 訪問

4、者應(yīng)在“限制區(qū)域 訪客進(jìn)出登記表上登記來訪者的姓名、進(jìn)出時(shí)間、來訪目的和攜帶物品進(jìn)行記錄；禁止機(jī)房內(nèi)照相、錄像、錄音 或使用第2頁共14頁 其他記錄儀器設(shè)備.4. 1. 5公司所有包含與進(jìn)出口過程有關(guān)的敏感信息的媒體、硬 件或其他IT設(shè)備,IT應(yīng)定期進(jìn)行盤點(diǎn)形成IT設(shè)備和媒體 定期盤點(diǎn)記錄；進(jìn)行棄置時(shí)應(yīng)根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院 NI ST媒體銷毀指南或其他適當(dāng)行業(yè)的規(guī)定進(jìn)行適當(dāng)?shù)膭h除 和/或銷毀并保存好IT設(shè)備和媒體棄置記錄.4.2IT設(shè)備硬件平安4.2. l IT 設(shè)備硬件采：購a各部門有與IT信息系統(tǒng)相關(guān)的設(shè)備硬件需求和安裝,應(yīng) 事先通知IT,由其進(jìn)行統(tǒng)一申請采購和安裝；b公司禁止采購和

5、使用假冒或未經(jīng)適當(dāng)許可的技術(shù)產(chǎn)品的,即禁止采購和使用未經(jīng)國家信息平安評測機(jī)構(gòu)認(rèn)可的信息平安產(chǎn)品、未經(jīng)國家密碼治理局批準(zhǔn)和未經(jīng)國家信息平安質(zhì)量認(rèn)證的國 內(nèi)密碼設(shè)備；假設(shè)需采用境外信息平安產(chǎn)品或境外的密碼設(shè)備時(shí), 應(yīng)通過國家信息平安測評機(jī)構(gòu)或國家密碼治理局批準(zhǔn)及國家信 息平安質(zhì)量認(rèn)證；購置后,IT應(yīng)妥善保存好產(chǎn)品關(guān)鍵標(biāo)簽、認(rèn)證證書、說明書和保修卡等資料.4. 2. 2IT設(shè)備硬件檢：測公司IT系統(tǒng)中使用的所有平安 設(shè)備應(yīng)是經(jīng)過國家信息平安產(chǎn)品測評認(rèn)證的合格產(chǎn)品,其電磁輻射強(qiáng)度、可靠性及兼容性也應(yīng)符合國家平安治理等級要求；凡購?fù)脑O(shè)備均應(yīng)在測試環(huán)境下經(jīng)過連續(xù)72小時(shí)以上的單機(jī)運(yùn)第3頁共14頁 行測試

6、和聯(lián)機(jī)48小時(shí)的應(yīng)用系統(tǒng)兼容性運(yùn)行測試并形成設(shè)備檢 測測試記錄.4. 2. 3IT設(shè)備硬件安：裝設(shè)備符合公司 IT系統(tǒng)選型要求 并獲核準(zhǔn)后, 方可購回安裝； 通過4. 3. 2 測試后才能進(jìn)入 試運(yùn)行階段；通過試運(yùn)行合格的設(shè)備才能安裝投入使用, 正式運(yùn) 行4.2. 4IT設(shè)備硬件使：用公司IT 負(fù)責(zé)設(shè)備的使用登記應(yīng) 包括運(yùn)行的起止時(shí)間、累計(jì)運(yùn)行小時(shí)數(shù)及運(yùn)行狀況等 、日常清 洗和定期保養(yǎng)維護(hù)做好相 關(guān)記錄； 假設(shè)設(shè)備出現(xiàn)故障, 使用人 應(yīng)立即填寫“設(shè)備維修申請單交給IT處理；維修后將維修 對象、故障原因、排除方法、主要維修過程以及維修人員、維修時(shí)間等詳細(xì)記錄設(shè)備保養(yǎng)維護(hù)記錄 o4. 2. SIT

7、設(shè)備硬件儲：存公司使用的平安產(chǎn)品及保密設(shè)備 應(yīng)單獨(dú)存儲并采取上鎖等保護(hù)舉措,IT應(yīng)保證設(shè)備在其出廠說明書中的使用環(huán)境如溫度、濕度、電壓、電磁干擾和粉塵度 等下工作,定期對設(shè)備及其存儲環(huán)境進(jìn)行清潔和核查并詳細(xì)記錄.4.31 T軟件平安4.32 II T軟件采購和測試：a行政部根據(jù)公司信息化的開展及各個(gè)部門的特殊使用申請千 每年12 月制定次年的軟件購置方案和費(fèi)用預(yù)算并上報(bào)公司廠第4頁共14頁長批準(zhǔn)；批準(zhǔn)后IT協(xié)同業(yè)務(wù)部門開始軟件的調(diào)研和選型；選定后使用部門寫“中購單 進(jìn)行采購； 軟件購回后IT應(yīng)將 其預(yù)安裝在測試環(huán)境下進(jìn)行相應(yīng)測試,以確定該軟件和常見的應(yīng)用、其他常用的軟件之間的兼容性；所有安裝軟

8、件必須經(jīng)過測試環(huán)境的檢測才可正式發(fā)布；IT 建立軟件檔案, 將安裝情況記錄、歸檔；軟件的安裝必須由IT和軟件供給商或軟件編 制人員根據(jù)規(guī)定的步驟進(jìn)行安裝.b公司禁止采購和使用假冒或未經(jīng)適當(dāng)許可的各類軟件,購置后,IT應(yīng)妥善保存好產(chǎn)品關(guān)鍵標(biāo)簽、認(rèn)證證書、說明書和保修 卡等資料.4. 3. 2I T軟件驗(yàn)收和存儲：IT在完成軟件的驗(yàn)收過程中, 要 相應(yīng)詳細(xì)記錄軟件產(chǎn)品的名稱、 版本號和序列號,產(chǎn)品的數(shù)量, 產(chǎn)品的授權(quán)及授權(quán)時(shí)間段 ,收到訂購軟件的日期, 以及其他 購置合同的詳細(xì)情況交文控中央存檔保管.4. 3. 3IT軟件維護(hù)和監(jiān)控：公司IT負(fù)責(zé)監(jiān)控軟件的各種使用清況,負(fù)責(zé)組織和完善對系統(tǒng)所擁有的

9、有效特許的各種軟 件的拷貝目錄和拷貝份數(shù)；建立和保存適當(dāng)?shù)奈臋n來記錄首次和每年軟件治理和清理的結(jié)果,并在以后跟蹤新增加的軟件的拷貝安裝與使用,存入檔案；對平安系統(tǒng)所使用的電腦、效勞器定期進(jìn)行檢查,以保證系統(tǒng)所使用的軟件合法和平安,并檢查文檔的完整性和正確性；在軟件進(jìn)行維護(hù)時(shí),IT應(yīng)第5頁共14頁所有記錄按不同的軟對維護(hù)過程詳細(xì)記錄軟件登記數(shù)據(jù)庫中, 件功能以月報(bào)的方式記錄在案.4. 3. 4IT軟件軟件使用：a 公司內(nèi)必須使用公司認(rèn)可授權(quán)的正版軟件,禁止使用盜版軟件,所有軟件的安裝必需由IT完成,個(gè)人不得私自安裝軟 件或擅自卸載預(yù)裝軟件.b如有特殊情況需要下載安裝軟件者 ,應(yīng)填寫“新增及取消

10、電腦權(quán)限申請單經(jīng)相關(guān)權(quán)責(zé)人核準(zhǔn)后山IT統(tǒng)一安裝.IT應(yīng)及時(shí)在效勞器上下載操作系統(tǒng)的平安補(bǔ)丁,并分發(fā)到每臺電腦上進(jìn)行安裝.c使用軟件前,IT應(yīng)對來源不詳?shù)能浖跋嚓P(guān)文件或從不可靠的網(wǎng)站上下載的軟件及相關(guān)文件進(jìn)行必要的檢查；IT應(yīng)采取防范舉措, 減少使用外來軟件或文件可能 產(chǎn)生的風(fēng)險(xiǎn), 對千 考勤/ ERP等關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)定期檢測,預(yù)防非法文件對電腦系統(tǒng)中的軟件或數(shù)據(jù)進(jìn)行非法修改或調(diào)查.d使用者在使用軟件過程中出現(xiàn)異?；蚬收锨闆r,應(yīng)填寫“設(shè)備維修申請單 交給IT進(jìn)行處理.4.4IT系統(tǒng)訪問限制平安4.4.1有權(quán)接觸IT系統(tǒng)員工的限制：aIT應(yīng)根據(jù)職位或工作性質(zhì),制定和定期審查更新有權(quán)

11、接觸IT系統(tǒng)如電腦和網(wǎng)絡(luò)的“有權(quán)進(jìn)入IT系統(tǒng)授權(quán)表,并第6頁共14頁依其分配單獨(dú)指定的登陸帳號和密碼及設(shè)置調(diào)整和取消使用/訪問權(quán)限；bIT每日對IT系統(tǒng)如電腦和網(wǎng)絡(luò)無效密碼 登陸和非法文 件訪問檢查并記錄IT系統(tǒng)無效登陸檢查記錄,以保證員工 根據(jù)工作要求訪間公司的敏感系統(tǒng).4. 4. 2I T 系統(tǒng)效勞器/電腦用戶/應(yīng)用軟件E如-ma i l 、 ERP等訪問限制：新入職或內(nèi)部崗位調(diào)動且需使用 電腦或服 務(wù)器工作的員工,由部門文員或本人根據(jù)其職位及工作范圍填寫“新增及取消電腦權(quán)限申請單 經(jīng)相關(guān)權(quán)責(zé)人批準(zhǔn)后, 上崗前 IT進(jìn)行網(wǎng)絡(luò)平安政策/程序、如何備份 數(shù)據(jù),變更密碼、病毒 防范、違犯IT治理

12、制度受到懲罰等IT知識平安培訓(xùn)合格后,由IT負(fù)責(zé) 分配單獨(dú)指定的登陸帳號/密碼和設(shè)置調(diào)整和取消使用/訪 間權(quán)限.4. 4. 3 I T系統(tǒng)域用戶訪問限制：a 公司采用域治理的方式治理公司局域網(wǎng)內(nèi)的每一個(gè)客戶端假設(shè)正常使用公司內(nèi)/外網(wǎng)效勞,必需使用公司域賬戶,各部門有特權(quán)的治理賬戶將被統(tǒng)一劃分到一個(gè)組,統(tǒng)一受IT監(jiān)控；IT根據(jù)使用人員的職位或工作范圍設(shè)置和分配單獨(dú)的客戶 端單獨(dú)指定的登陸 帳號/密碼、使用/訪問權(quán)限； 必需有各 部門負(fù)責(zé)人許可的域賬戶方可正常訪問外部網(wǎng)絡(luò),否那么僅局限第7頁共14頁千公司內(nèi)部網(wǎng)絡(luò)的訪問含郵件、ERP系統(tǒng)等b客戶端設(shè)置的每個(gè)域帳戶登錄密碼應(yīng)最小長度為8個(gè)字符、最小有

13、效期1天,最長有效期90天；密碼字符必需由復(fù)合 型的數(shù)字和字母共同構(gòu)成；新密碼不得重復(fù)使用最近 6個(gè)老密碼；密碼連續(xù)3次輸入錯(cuò)誤, 賬戶被鎖定,IT才能解除鎖 定；其次賬戶超過30分鐘不活動者,系統(tǒng)將被鎖定,只有輸入密碼才能翻開；賬戶最長有效期為90天,到期必需根據(jù)提示更改密碼.4. 4. 4 I T 系統(tǒng)的In t er ne t訪問限制：員工根據(jù)工作需要訪間I nt er ne t ,應(yīng)填寫“新增及取消電腦權(quán)限申請單經(jīng)相關(guān)權(quán)責(zé)人批準(zhǔn),IT執(zhí)行；公司域用戶才有I nt e r ne t訪問資格,公司員工I n t e r ne t訪問權(quán)限由AceNe t 上網(wǎng)行為治理流控墻進(jìn)行限制；公司員工分為永久上網(wǎng)組、臨時(shí)上網(wǎng)組和不能上網(wǎng)組,限制員