安全和隱私政策-數(shù)據(jù)安全及權(quán)限管理制度

第#頁(yè)共9頁(yè)內(nèi)部公開(kāi)數(shù)據(jù)安全及權(quán)限管理制度編制：審核：批準(zhǔn)：分發(fā)控制分發(fā)對(duì)象文檔權(quán)限說(shuō)明公司內(nèi)部員工只讀文件版本信息版本日期擬稿和修改說(shuō)明1.02018-2-28擬稿文件版本信息說(shuō)明文件版本信息記錄本文件提交時(shí)的當(dāng)前有效的版本控制信息，當(dāng)前版本文件有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。文件版本小于1.0時(shí)，表示該版本文件為草案，僅可作為參照資料之目的。數(shù)據(jù)安全及權(quán)限管理制度、總則目的數(shù)據(jù)是公司重要的資產(chǎn)。為保證信息的安全性、可靠性、完整性和有效性，公司制定和采取相應(yīng)的管理制度，進(jìn)行對(duì)信息的保護(hù)，以避免其遭受外來(lái)的威脅和損害，防止未經(jīng)授權(quán)的修改、泄漏和破壞。并為加強(qiáng)信息系統(tǒng)用戶(hù)賬號(hào)和權(quán)限的規(guī)范化管理，確保各信息系統(tǒng)安全、有序、穩(wěn)定運(yùn)行、防范應(yīng)用風(fēng)險(xiǎn)。使用范圍本制度適用于公司內(nèi)所有員工，所有員工應(yīng)明確本制度。支持本制度，并自覺(jué)遵守。信息安全，人人有責(zé)。職責(zé)本制度將作為監(jiān)察員工遵守情況及復(fù)查的基本原則。違反本制度者經(jīng)查實(shí)將由集團(tuán)管理部門(mén)進(jìn)行處理，可視其輕重處以紀(jì)律處分或解職。數(shù)據(jù)安全小組負(fù)責(zé)指導(dǎo)及協(xié)調(diào)本制度的實(shí)施，根據(jù)公司實(shí)際業(yè)務(wù)發(fā)展?fàn)顩r，數(shù)據(jù)安全小組將在獲得公司領(lǐng)導(dǎo)同意后酌情修正本制度，以使其符合公司的實(shí)際情況。數(shù)據(jù)安全小組負(fù)責(zé)本制度的解釋及修正。、數(shù)據(jù)安全管理規(guī)定2.1保密制度使用范圍適用于公司在生產(chǎn)、研發(fā)、行政管理中形成的文件（如：合同、技術(shù)報(bào)告、企業(yè)標(biāo)準(zhǔn)、管理制度、圖片、程序、人事檔案、財(cái)務(wù)報(bào)告等）及樣機(jī)、樣件等。保密要求新員工進(jìn)入公司后，由人力資源部組織進(jìn)行《保密制度》學(xué)習(xí)培訓(xùn)，并簽訂《知識(shí)產(chǎn)權(quán)及保密協(xié)議》。員工由于項(xiàng)目工作需要，必須將數(shù)據(jù)攜帶外出、復(fù)印、打印或者經(jīng)由電子郵件、傳真發(fā)送，必須由其主管項(xiàng)目經(jīng)理批準(zhǔn)，并登記備案。公司電腦配置實(shí)行一機(jī)一人，每臺(tái)電腦必須設(shè)置個(gè)人密碼，任何人不得將個(gè)人密碼告訴他人，否則后果自負(fù)。獎(jiǎng)懲因疏忽或無(wú)意泄漏公司數(shù)據(jù)者，由公司根據(jù)情節(jié)進(jìn)行處罰。2.2公司計(jì)算機(jī)網(wǎng)絡(luò)管理辦法職責(zé)/職能IT部是計(jì)算機(jī)系統(tǒng)主管部門(mén)，統(tǒng)一管理公司的計(jì)算機(jī)網(wǎng)絡(luò)。數(shù)據(jù)操作員負(fù)責(zé)公司對(duì)外及外來(lái)光盤(pán)、磁盤(pán)、電子郵件等電子文件傳遞的管理工作。運(yùn)維人員負(fù)責(zé)公司內(nèi)、外網(wǎng)站服務(wù)器的維護(hù)管理工作。內(nèi)部安全防范管理公司內(nèi)各類(lèi)計(jì)算機(jī)系統(tǒng)用戶(hù)，嚴(yán)禁運(yùn)行未經(jīng)檢驗(yàn)和來(lái)歷不明的軟件，嚴(yán)禁在各目的計(jì)算機(jī)內(nèi)安裝與各自業(yè)務(wù)無(wú)關(guān)的軟件，嚴(yán)禁安裝運(yùn)行各種游戲軟件、嚴(yán)禁將計(jì)算機(jī)系統(tǒng)口令和個(gè)人密碼告訴無(wú)關(guān)人員，未經(jīng)許可嚴(yán)禁經(jīng)計(jì)算機(jī)交由外部門(mén)人員操作。公司各計(jì)算機(jī)用戶(hù)應(yīng)確保各自計(jì)算機(jī)內(nèi)的數(shù)據(jù)資料的安全。未經(jīng)許可，任何人嚴(yán)禁擅自拷貝公司數(shù)據(jù)。IT部切實(shí)做好數(shù)據(jù)的備份工作。防范計(jì)算機(jī)病毒公司內(nèi)各計(jì)算機(jī)用戶(hù)應(yīng)當(dāng)專(zhuān)人、專(zhuān)管、專(zhuān)用。公司預(yù)防計(jì)算機(jī)病毒選用的硬件、軟件必須是正版產(chǎn)品。對(duì)計(jì)算機(jī)安全運(yùn)行操作的具體要求：謹(jǐn)慎地處理、使用共享軟件。新安裝系統(tǒng)要進(jìn)行檢驗(yàn)。外來(lái)電腦未經(jīng)許可不得聯(lián)入公司網(wǎng)絡(luò)。d)對(duì)軟盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)實(shí)行管理，在使用外來(lái)軟盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)時(shí)、應(yīng)先檢測(cè)其安全性。決不執(zhí)行不知來(lái)源的程序。系統(tǒng)中的數(shù)據(jù)要定期備份。禁止在工作場(chǎng)所安裝計(jì)算機(jī)游戲，玩計(jì)算機(jī)游戲。計(jì)算機(jī)系統(tǒng)管理員定期檢查清除計(jì)算機(jī)游戲。密切注意自用計(jì)算機(jī)的配置參數(shù)(如引導(dǎo)扇區(qū)、中斷向量表、應(yīng)用程序長(zhǎng)度、執(zhí)行時(shí)間)和運(yùn)行情況，發(fā)現(xiàn)異常，及時(shí)報(bào)告系統(tǒng)管理員、做出判斷和處理。確保殺毒軟件病毒特征碼及時(shí)更新：由于病毒不斷發(fā)展變化，要求計(jì)算機(jī)系統(tǒng)管理密切注意所用殺毒軟件病毒特征碼的更新情況，做到及時(shí)更新。防范病毒制度化：對(duì)各計(jì)算機(jī)系統(tǒng)，尤其是服務(wù)器定期掃描殺毒。對(duì)新采購(gòu)計(jì)算機(jī)進(jìn)行病毒檢測(cè)，對(duì)新購(gòu)軟件系統(tǒng)進(jìn)行病毒檢查，計(jì)算機(jī)不得外借。互聯(lián)網(wǎng)防毒的安全措施：a)不得進(jìn)入各“黑客”站點(diǎn)訪問(wèn)，不允許在局域網(wǎng)及Internet上使用“黑客”軟件，以防不明病毒。b)不得打開(kāi)不明E-mail,不得通過(guò)E-mail下載軟件，如發(fā)生不明情況應(yīng)及時(shí)向IT部報(bào)告。c)嚴(yán)格限制遠(yuǎn)程訪問(wèn)者的權(quán)限及認(rèn)證，以防不明攻擊及感染病毒，特別限制匿名登陸。4.電子文件傳遞管理1)對(duì)外拷貝軟盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)需經(jīng)相關(guān)部門(mén)領(lǐng)導(dǎo)批準(zhǔn)方可執(zhí)行。外來(lái)以軟盤(pán)、光盤(pán)為載體的文件進(jìn)入公司計(jì)算機(jī)系統(tǒng)前，需如實(shí)登記，并進(jìn)行病毒掃描后方可進(jìn)入。在公司內(nèi)部，網(wǎng)上電子文件允許下載，但文件下載后一律視為非受控文件，文件使用者有責(zé)任關(guān)注此文件的最新版本，以保持此電子文件的現(xiàn)行有效性。公司內(nèi)部禁止擅自使用各類(lèi)盜版軟件，個(gè)人如私自傳入盜版軟件并使用，由此造成的與知識(shí)產(chǎn)權(quán)相關(guān)的后果將由使用者本人負(fù)全責(zé)。2.3數(shù)據(jù)流出管理控制程序規(guī)定范圍適用于全公司電子文檔數(shù)據(jù)的管理和備份歸檔的數(shù)據(jù)。職能/職責(zé)數(shù)據(jù)流出的申請(qǐng)人負(fù)責(zé)填寫(xiě)和完成審批，申請(qǐng)單參見(jiàn)附件1：《數(shù)據(jù)流出申請(qǐng)表》。公司負(fù)責(zé)審批的人員負(fù)責(zé)審批各類(lèi)需流通數(shù)據(jù)，并負(fù)責(zé)必要的授權(quán)。數(shù)據(jù)管理員負(fù)責(zé)確認(rèn)數(shù)據(jù)的真實(shí)性，對(duì)符合要求的數(shù)據(jù)予以執(zhí)行操作。負(fù)責(zé)及時(shí)組織安排數(shù)據(jù)的備份及歸檔。負(fù)責(zé)對(duì)各數(shù)據(jù)予以查毒處理。負(fù)責(zé)完成已審批數(shù)據(jù)的中轉(zhuǎn)、刻錄、備份等。流程數(shù)據(jù)流通流出公司數(shù)據(jù)申請(qǐng)人填寫(xiě)《數(shù)據(jù)流通登記審批表》。操作員負(fù)責(zé)按表格審批內(nèi)容執(zhí)行操作。數(shù)據(jù)流入、中轉(zhuǎn)經(jīng)服務(wù)器中轉(zhuǎn)內(nèi)部的數(shù)據(jù)，由數(shù)據(jù)流通員必須見(jiàn)到簽字后方可給予流通。對(duì)需要導(dǎo)入資料或軟件的員工，應(yīng)自覺(jué)注意有關(guān)知識(shí)產(chǎn)權(quán)方面的問(wèn)題，并不得將與工作無(wú)關(guān)私人用途的數(shù)據(jù)導(dǎo)入公司網(wǎng)絡(luò)。數(shù)據(jù)流通審批對(duì)于需要發(fā)出的數(shù)據(jù)，項(xiàng)目經(jīng)理在簽字前，應(yīng)檢查該數(shù)據(jù)是否為需要的數(shù)據(jù)，有無(wú)多余數(shù)據(jù)，是否遺漏數(shù)據(jù)，即檢查數(shù)據(jù)的正確性。備份及歸檔資料管理室負(fù)責(zé)數(shù)據(jù)的歸檔、保存和備份，提供歷史數(shù)據(jù)的查找和利用。三、權(quán)限管理規(guī)范范圍適用于公司開(kāi)發(fā)和管理的各應(yīng)用信息系統(tǒng)，包括OA協(xié)同辦公系統(tǒng)、財(cái)務(wù)軟件、企業(yè)郵箱及網(wǎng)站系統(tǒng)等。術(shù)語(yǔ)和定義用戶(hù)：被授權(quán)使用或負(fù)責(zé)維護(hù)應(yīng)用信息系統(tǒng)的人員。用戶(hù)賬號(hào)：在應(yīng)用信息系統(tǒng)中設(shè)置與保存、用于授予用戶(hù)合法登陸和使用應(yīng)用信息系統(tǒng)等權(quán)限的用戶(hù)信息，包括用戶(hù)名、密碼以及用戶(hù)真實(shí)姓名、單位、聯(lián)系方式等基本信息內(nèi)容。權(quán)限：運(yùn)行用戶(hù)操作應(yīng)用信息系統(tǒng)中某功能點(diǎn)或功能點(diǎn)集合的權(quán)利范圍。角色：應(yīng)用信息系統(tǒng)中用于描述用戶(hù)權(quán)限特征的權(quán)限類(lèi)別名稱(chēng)。用戶(hù)管理用戶(hù)分類(lèi)系統(tǒng)管理員系統(tǒng)管理員主要負(fù)責(zé)應(yīng)用系統(tǒng)中的系統(tǒng)參數(shù)配置，用戶(hù)賬號(hào)開(kāi)通與維護(hù)管理、設(shè)定角色與權(quán)限關(guān)系，維護(hù)行政區(qū)劃和組織機(jī)構(gòu)代碼等數(shù)據(jù)字典，系統(tǒng)日志管理以及數(shù)據(jù)管理等系統(tǒng)運(yùn)行維護(hù)工作。普通用戶(hù)指由系統(tǒng)管理員在應(yīng)用信息系統(tǒng)中創(chuàng)建并授權(quán)的非系統(tǒng)管理員類(lèi)用戶(hù)，擁有在被授權(quán)范圍內(nèi)登陸和使用應(yīng)用信息系統(tǒng)的權(quán)限。用戶(hù)角色與權(quán)限關(guān)系應(yīng)用信息系統(tǒng)中對(duì)用戶(hù)操作權(quán)限的控制是通過(guò)建立一套角色和權(quán)限對(duì)應(yīng)關(guān)系，對(duì)用戶(hù)賬號(hào)授予某個(gè)角色或多個(gè)角色的組合來(lái)實(shí)現(xiàn)的，一個(gè)角色對(duì)應(yīng)一定的權(quán)限(即應(yīng)用信息系統(tǒng)中允許操作某功能點(diǎn)或功能點(diǎn)集合的權(quán)力)，一個(gè)用戶(hù)賬號(hào)可通過(guò)被授予多個(gè)角色而獲得多種操作權(quán)限。為實(shí)現(xiàn)用戶(hù)管理規(guī)范化和方便系統(tǒng)維護(hù)，公司各應(yīng)用信息系統(tǒng)應(yīng)遵循統(tǒng)一的角色與權(quán)限設(shè)置規(guī)范，在不太的應(yīng)用信息系統(tǒng)中設(shè)置的角色名稱(chēng)及對(duì)應(yīng)的權(quán)限特征，應(yīng)遵循權(quán)限設(shè)置規(guī)范基本要求。由于不同的應(yīng)用信息系統(tǒng)在具體的功能點(diǎn)設(shè)計(jì)和搭配使用上各不相同，因此對(duì)角色的設(shè)置以及同樣的角色在不同應(yīng)用信息系統(tǒng)中所匹配的具體權(quán)限范圍可能存在差異，所以每個(gè)應(yīng)用信息系統(tǒng)應(yīng)分別制定適用于本系統(tǒng)的權(quán)限設(shè)置規(guī)范。用戶(hù)賬號(hào)實(shí)名制注冊(cè)管理為保證應(yīng)用信息系統(tǒng)的運(yùn)行安全和對(duì)用戶(hù)提供跟蹤服務(wù)，各應(yīng)用信息系統(tǒng)用戶(hù)賬號(hào)的申請(qǐng)注冊(cè)實(shí)行“實(shí)名制”管理方式，即在用戶(hù)賬號(hào)申請(qǐng)注冊(cè)時(shí)必須向信息系統(tǒng)管理部門(mén)提供用戶(hù)真實(shí)姓名、隸屬單位與部門(mén)、聯(lián)系方式等真實(shí)信息。用戶(hù)賬號(hào)申請(qǐng)與審批賬號(hào)申請(qǐng)任何一個(gè)用戶(hù)賬號(hào)的申請(qǐng)與開(kāi)通均須經(jīng)過(guò)集團(tuán)統(tǒng)一制定的賬號(hào)申請(qǐng)與審批備案管理流程，且一個(gè)用戶(hù)在同一個(gè)應(yīng)用信息系統(tǒng)中只能注冊(cè)和被授予一個(gè)用戶(hù)賬號(hào)。公司各應(yīng)用信息系統(tǒng)的用戶(hù)賬號(hào)及角色權(quán)限的申請(qǐng)開(kāi)通、注銷(xiāo)和密碼初始化等賬號(hào)管理工作均使用公司統(tǒng)一制定的《用戶(hù)賬號(hào)申請(qǐng)單》辦理。《用戶(hù)賬號(hào)申請(qǐng)單》包括三個(gè)部分填寫(xiě)內(nèi)容：申請(qǐng)人情況；賬號(hào)申請(qǐng)情況；受理單位意見(jiàn)。其中1)申請(qǐng)人情況和2)賬號(hào)申請(qǐng)情況兩部分由申請(qǐng)人填寫(xiě)；3)受理部門(mén)意見(jiàn)由受理部門(mén)填寫(xiě)。用戶(hù)權(quán)限的申請(qǐng)應(yīng)嚴(yán)格參照各應(yīng)用信息系統(tǒng)指定的《應(yīng)用信息系統(tǒng)角色與權(quán)限關(guān)系對(duì)照表》中對(duì)不同級(jí)別和類(lèi)型用戶(hù)的角色權(quán)限配置要求執(zhí)行，不得越級(jí)或超范圍申請(qǐng)。賬號(hào)審批和開(kāi)通各應(yīng)用信息系統(tǒng)的賬號(hào)申請(qǐng)一般由該部門(mén)的負(fù)責(zé)人審批，審批同意后提交該系統(tǒng)的系統(tǒng)管理員負(fù)責(zé)開(kāi)通賬號(hào)。對(duì)有特別安全等級(jí)保護(hù)要求的應(yīng)用信息系統(tǒng)以及各應(yīng)用信息系統(tǒng)中的系統(tǒng)管理員，還需通過(guò)受理部門(mén)的主管領(lǐng)導(dǎo)審批。原則上應(yīng)用信息系統(tǒng)主管部門(mén)應(yīng)在收到《用戶(hù)賬號(hào)申請(qǐng)單》后才能進(jìn)行審批和開(kāi)通賬號(hào)。特殊情況下，經(jīng)部門(mén)負(fù)責(zé)人和受理部門(mén)主管領(lǐng)導(dǎo)書(shū)面意見(jiàn)后，可采取事后審查的方式，先開(kāi)通賬號(hào)，但自賬號(hào)開(kāi)通日起超過(guò)1個(gè)月仍未收到《用戶(hù)賬號(hào)申請(qǐng)單》的，系統(tǒng)管理員有權(quán)對(duì)該賬號(hào)采取暫時(shí)停用措施。5安全管理賬號(hào)安全凡需要使用應(yīng)用信息系統(tǒng)的用戶(hù)，每人均須按照“實(shí)名制”方式申請(qǐng)一個(gè)僅限本人使用的用戶(hù)賬號(hào)。不同用戶(hù)的用戶(hù)賬號(hào)彼此之間不得隨意借用，因某用戶(hù)賬號(hào)的操作而造成應(yīng)用信息系統(tǒng)中數(shù)據(jù)信息或任何系統(tǒng)功能等方面的改變或后果，均由擁有該用戶(hù)賬號(hào)的用戶(hù)負(fù)責(zé)。如果某用戶(hù)因工作調(diào)動(dòng)或其他原因而不允許繼續(xù)使用某應(yīng)用信息系統(tǒng)時(shí)，其隸屬的原工作單位應(yīng)督促和確保該用戶(hù)離職前及時(shí)申請(qǐng)注銷(xiāo)相關(guān)用戶(hù)賬號(hào)；不論原用戶(hù)是否知曉或同意，均禁止將其原賬號(hào)轉(zhuǎn)交其他人員繼續(xù)使用。密碼安全設(shè)置用戶(hù)密碼是用戶(hù)登陸應(yīng)用信息系統(tǒng)時(shí)身份合法性認(rèn)證的重要手段，用戶(hù)密碼的設(shè)置應(yīng)盡量復(fù)雜化，不易被他人推測(cè)，密碼長(zhǎng)度一般不少于8位，且需要大小寫(xiě)與特殊符號(hào)組成，并做到定期更換新密碼。密碼遺忘時(shí)可向系統(tǒng)管理員申請(qǐng)密碼初始化修復(fù)。若發(fā)現(xiàn)賬號(hào)密碼泄露，用戶(hù)須立即報(bào)告系統(tǒng)管理員及時(shí)采取停用賬號(hào)措施，并在報(bào)告后的24小時(shí)內(nèi)向該信息系統(tǒng)主管部門(mén)提交書(shū)面報(bào)告，書(shū)面詳細(xì)情況，以便系數(shù)主管部門(mén)協(xié)助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運(yùn)行情況，采取有效補(bǔ)救措施將危害程度降至最低。3.6檔案管理應(yīng)用信息系統(tǒng)用戶(hù)賬號(hào)和角色權(quán)限管理工作應(yīng)建立完善的檔案管理制度，以加強(qiáng)用戶(hù)賬號(hào)的申請(qǐng)注冊(cè)、審批以及密碼和權(quán)限維護(hù)等日常工作管理。檔案管理工作由系統(tǒng)管理員具體