信息安全與資源管理制度

WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB1of9制定本制度的目的是規(guī)范公司信息安全和信息資源管理，確保公司信息安全能夠支持公司業(yè)務(wù)的連續(xù)性，降低和避免信息安全對公司業(yè)務(wù)影響的風(fēng)險；有效管理公司信息資源，保證信息資源能夠被合理和有效使用。2.范圍2.2本制度適合所有使用公司信息系統(tǒng)和信息資源的公司員工(含分/子公司)；信息系統(tǒng)包括但不限事與考勤系統(tǒng)、財務(wù)系統(tǒng)、產(chǎn)品開發(fā)系統(tǒng)等等。3.定義3.1公司各部門：指已列入集團(tuán)行政管理序列的分/子公司或?qū)ｍ椆ぷ鳈C(jī)構(gòu)。3.2部門主管：指部門負(fù)責(zé)人(經(jīng)理、總監(jiān)、副總經(jīng)理或事業(yè)部總經(jīng)理等等)。特網(wǎng)。非有特殊批準(zhǔn))。用戶。3.7綠色局域網(wǎng)：指標(biāo)準(zhǔn)環(huán)境網(wǎng)絡(luò)段(標(biāo)準(zhǔn)生產(chǎn)網(wǎng)絡(luò)段)。4.權(quán)責(zé)全意識，4.2.2警惕所有與安全相關(guān)的活動/行動，4.2.3離開無人照管的終端設(shè)備時必須退出系統(tǒng)或鎖定電腦屏幕，人同意不能擅自進(jìn)入他人電腦，4.2.5不能非法闖入其他的帳戶和破解他人的密碼，4.2.6不能使用或嘗試使用沒有授權(quán)的接入方式或技術(shù)，4.2.7即使你有修改文件的權(quán)限也不能修改不屬于你自己的文件或者別人沒有授權(quán)你修改的文件，WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB2of9，和信息安全管理員4.4.2負(fù)責(zé)提供系統(tǒng)接入授權(quán)，編制信息保密及用戶授權(quán)使用指南和安全機(jī)制，確保授權(quán)的用戶接入網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，沒有授權(quán)的用戶將被拒絕接入公司網(wǎng)絡(luò)和系統(tǒng)，同時實施接入痕跡跟蹤和審核；4.4.3定期回顧重要信息系統(tǒng)和數(shù)據(jù)確保用戶授權(quán)服務(wù)和重要業(yè)務(wù)信息保護(hù)是安全和受控的，4.4.4信息安全工程師負(fù)責(zé)建立、維護(hù)和管理帳戶密碼授權(quán)，定期審核用戶授權(quán)清單與系統(tǒng)實際授權(quán)的一性，5.作業(yè)內(nèi)容要進(jìn)入機(jī)房時必須申請，申請由信息管理部總監(jiān)審批，且必須由信息管理部系統(tǒng)管理員或數(shù)據(jù)中心理部指定專人作為數(shù)據(jù)中心責(zé)任人，負(fù)責(zé)數(shù)據(jù)中心日常安全管理，設(shè)備、環(huán)境和數(shù)據(jù)備份檢查，協(xié)助數(shù)據(jù)中心系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員維護(hù)服務(wù)器及相關(guān)設(shè)備。5.1.3數(shù)據(jù)中心內(nèi)不準(zhǔn)大聲喧嘩、打鬧及從事任何與數(shù)據(jù)中心工作無關(guān)的活動，禁止在數(shù)據(jù)中心吸煙及食物和飲料進(jìn)入機(jī)房；數(shù)據(jù)中心設(shè)備應(yīng)保持整齊有序、地面清凈。禁止在數(shù)據(jù)中心設(shè)備上隨意讀寫個人攜帶的光盤和磁盤，以確保設(shè)備和網(wǎng)絡(luò)系統(tǒng)的安全。各服務(wù)器必須安WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB3of9統(tǒng)配置時，必須填寫系統(tǒng)更改申請表，得到部門總監(jiān)批準(zhǔn)并登記后方可進(jìn)行相關(guān)操作；完畢后在變更申請表中簽字確認(rèn)并交部門備案。5.1.6服務(wù)器必須安裝防病毒軟件，作好病毒的防范工作，并保證服務(wù)器/客戶端引擎版本和病毒碼版本的及時更新，做好公司所有計算機(jī)用戶的客戶端病毒防范工作。5.1.7嚴(yán)格遵守保密制度，加強(qiáng)數(shù)據(jù)資料安全保護(hù)，數(shù)據(jù)中心對各類重要文件、文字資料、報表數(shù)據(jù)、聲像資料及時備份；備份保存時間根據(jù)公司制度和國家相關(guān)法律法規(guī)執(zhí)行；所有公司資料未經(jīng)允許不得私自拷貝、下載和外借。作、管理，其他人員沒有相關(guān)授權(quán)不得對數(shù)據(jù)中心設(shè)備進(jìn)行操作。數(shù)據(jù)中心任何設(shè)備的開啟、運(yùn)行、關(guān)閉和變更必須經(jīng)過信息管理部總監(jiān)同意或授權(quán)；系統(tǒng)管理員要按操作指南執(zhí)行。5.1.9建立信息系統(tǒng)和主要設(shè)備的安全運(yùn)行日志、事故記錄、緊急事故預(yù)案。5.1.10系統(tǒng)運(yùn)行發(fā)現(xiàn)異常或事故必須認(rèn)真做好相關(guān)記錄，及時上報主管領(lǐng)導(dǎo)；不得越權(quán)自行處理或啟動相關(guān)的緊急預(yù)案。對異常或事故的解決方案要做記錄和文件歸檔以便未來參考。5.1.11對機(jī)房設(shè)備或應(yīng)用軟件/系統(tǒng)的操作，一旦影響到客戶端用戶的正常使用，必須提前通知用戶以便于用戶妥善處理相關(guān)業(yè)務(wù)。5.1.12應(yīng)定期除塵，保持?jǐn)?shù)據(jù)中心工作環(huán)境整潔，在除塵時應(yīng)確保設(shè)備的安全。保持設(shè)備干凈整潔，設(shè)備時佩戴防靜電手環(huán)。5.1.13外來人員參觀機(jī)房須執(zhí)行審批流程并由專人陪同；進(jìn)入數(shù)據(jù)中心后，未經(jīng)許可不得擅自操作數(shù)據(jù)中心內(nèi)設(shè)備。數(shù)據(jù)中心管理員按陪同人員要求進(jìn)行演示和答詢；對參觀人員不合理要求，陪同人員應(yīng)婉拒。5.1.14強(qiáng)化安全防范意識，出入數(shù)據(jù)中心必須隨手關(guān)門。5.1.15數(shù)據(jù)中心處理機(jī)密事務(wù)時，不得接待參觀人員或靠近觀看。5.2.1任何人在未經(jīng)批準(zhǔn)的情況下，不得向其計算機(jī)安裝軟件。5.2.3使用人在離開電腦時應(yīng)退出系統(tǒng)或鎖閉系統(tǒng)，防止數(shù)據(jù)泄密。5.2.4任何人未經(jīng)用戶本人同意不能擅自進(jìn)入他人電腦，WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB4of95.2.5不得將工作電腦從固定工作場所移走，除總監(jiān)及以上領(lǐng)導(dǎo)可攜帶筆記本外出辦公外，其他人員攜帶電腦出入公司須經(jīng)分管領(lǐng)導(dǎo)批準(zhǔn)，在信息管理部備案，開具放行條/卡后方可帶出使用。5.2.7信息管理部指定專人負(fù)責(zé)各區(qū)域計算機(jī)的病毒檢測和清理工作。5.2.8公司所有職員的私用計算機(jī)設(shè)備帶入廠區(qū)宿舍必須到信息管理部備案。5.2.9嚴(yán)禁私用計算機(jī)設(shè)備接入公司網(wǎng)絡(luò)(如特殊需要必須申請)。5.2.10各部門計算機(jī)信息系統(tǒng)的保密管理實行個人責(zé)任制，因個人原因?qū)е沦Y料泄密的由個人負(fù)責(zé)。5.2.11員工因工作調(diào)動或者因故離職，其使用的電腦必須歸還信息管理部或移交給部門的工作接替人員，電腦歸還到信息管理部前部門負(fù)責(zé)人必須確保電腦數(shù)據(jù)移交和備份成功(需要信息管理部協(xié)助數(shù)據(jù)移交和備份的必須說明)；否則，信息管理部視電腦里數(shù)據(jù)已經(jīng)移交和備份，并將對回收的電腦進(jìn)行系統(tǒng)重新安裝。5.2.12公司配備的電腦實行使用者負(fù)責(zé)制，隸屬公司資產(chǎn)，由信息管理部統(tǒng)一負(fù)責(zé)管理分配。可和產(chǎn)品評測等資質(zhì)，并符合國家的相關(guān)規(guī)定。網(wǎng)絡(luò)的健康狀態(tài)，觀測網(wǎng)絡(luò)流量。5.3.4網(wǎng)絡(luò)系統(tǒng)自運(yùn)行開始必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問題能夠及時恢復(fù)正常。網(wǎng)絡(luò)管理員負(fù)責(zé)制定網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)方案。5.3.6因工作需要接入互聯(lián)網(wǎng)，使用人提出申請(總監(jiān)及以上人員除外)，部門主管審批。信息管理部根據(jù)5.3.7接入互聯(lián)網(wǎng)的計算機(jī)在工作時間內(nèi)嚴(yán)禁在互聯(lián)網(wǎng)上做與工作無關(guān)的操作(聊天、玩游戲、看電影，炒股、購物等)；嚴(yán)禁使用WEB郵箱和下載工具；信息管理部對上網(wǎng)進(jìn)行監(jiān)控。5.3.8不得利用公司網(wǎng)絡(luò)從事危害公司和社會利益的活動，也不能發(fā)表不適當(dāng)?shù)难哉?。法律、行政法?guī)和國家其他有關(guān)規(guī)定，嚴(yán)禁訪問和宣揚(yáng)封建迷信、淫穢、色情、WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB5of9賭博、暴力、兇殺、恐怖、教唆犯罪等違法網(wǎng)站。5.3.10嚴(yán)禁任何利用公司互聯(lián)網(wǎng)散布對公司形象不利的言論或散布公司內(nèi)部糾紛事情(包括以郵件、博客、微博、網(wǎng)站、網(wǎng)頁、論壇、在線咨詢等一切形式發(fā)布)。5.3.11發(fā)布網(wǎng)絡(luò)信息不得有危害國家安全、泄露國家秘密，侵犯國家、社會、公司的利益和他人的合法權(quán).3.12因工作需要使用撥號上網(wǎng)的，必須做好病毒防護(hù)措施。5.3.13做好系統(tǒng)用戶名和密碼的保密工作，個別涉及公司機(jī)密的電腦需安裝網(wǎng)絡(luò)安全隔離卡，防止公司秘5.3.14發(fā)現(xiàn)有害信息應(yīng)當(dāng)及時向有關(guān)主管部門報告，并采取有效措施，不得使其擴(kuò)散。制、查閱和傳播下列信息：5.3.15.1煽動抗拒、破壞憲法和法律、行政法規(guī)及集團(tuán)法規(guī)實施的5.3.15.4煽動民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的的犯罪的5.3.15.7公然侮辱他人或者捏造事實誹謗他人的5.3.15.9其他違反憲法和法律、法規(guī)及公司制度的按流程經(jīng)領(lǐng)導(dǎo)簽發(fā)后，品牌部發(fā)布到外網(wǎng)。5.3.17網(wǎng)站所有內(nèi)容的版權(quán)(含圖片)歸公司所有，未經(jīng)同意，任何單位和個人不得轉(zhuǎn)載、轉(zhuǎn)發(fā)和用于其途或牟利。5.3.18客戶終端的網(wǎng)絡(luò)及語音線路，終端使用者有責(zé)任和義務(wù)進(jìn)行保護(hù)。要做好相關(guān)的訪問控制(如：身份識別、訪問操作控制、審計跟蹤等)。5.3.20網(wǎng)絡(luò)管理員每周監(jiān)控企業(yè)防病毒服務(wù)器的升級情況，監(jiān)控機(jī)房中服務(wù)器殺毒軟件的更新情況，在服WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB6of9客戶端計算機(jī)發(fā)出病毒預(yù)警。并制定病毒爆發(fā)后的緊急處理預(yù)案，以便快速恢復(fù)系統(tǒng)。協(xié)同辦公系統(tǒng)實行統(tǒng)一管理和維護(hù)。5.4.2普通用戶的所有公網(wǎng)個人郵箱不得在公司內(nèi)使用，只能使用本公司郵箱。因業(yè)務(wù)及特殊需要通過公網(wǎng)發(fā)文件夾保存副本備查。5.4.3原則上各部門可以設(shè)立一個部門專用郵箱用于部門信息發(fā)布和接收。發(fā)布與公司業(yè)務(wù)無關(guān)的內(nèi)容,更不能將與公司業(yè)務(wù)無關(guān)的郵件發(fā)給所有公司用戶．例如：個人是否與業(yè)務(wù)有關(guān))。5.4.5不允許發(fā)布與國家有關(guān)法律、法規(guī)、政策和規(guī)定不符的信息(包括但不限于:色情,暴力,國家安全,招聘及相關(guān)法律禁止的內(nèi)容)。戶及密碼(原則上以郵件形式通知)。5.5文件及資料保存與共享管理5.5.1公司將按部門和人員在文件服務(wù)器上建立共享資料夾，個人共享文件夾內(nèi)用于存放個人的數(shù)據(jù)，部門文件夾用于存放部門人員文件及不能通過郵件傳送的文件。公共文件夾用于存放臨時放置的文件，每周定期清除。員工要承擔(dān)相關(guān)責(zé)任。5.5.3部門和人個文件夾防問授權(quán)由文件夾的擁有者和部門主管領(lǐng)導(dǎo)授權(quán)。5.5.4部門領(lǐng)導(dǎo)有權(quán)訪問其部門文件夾和部門員工個人文件夾。5.5.5禁止任何人員越權(quán)共享資料。公司資料或文件共享必須由部門總監(jiān)及主管領(lǐng)導(dǎo)審批；越權(quán)提供或讀取WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB7of9共享資料者，視同為泄密或竊密。5.5.6系統(tǒng)管理員應(yīng)提高安全認(rèn)識,禁止非工作人員操縱系統(tǒng)主機(jī)；每周檢查主機(jī)登錄日志，及時發(fā)現(xiàn)不合5.6數(shù)據(jù)備份及存儲管理5.6.1所有數(shù)據(jù)備份采用每天增量備份、每周全備份機(jī)制，且每月進(jìn)行一次備份數(shù)據(jù)恢復(fù)檢查，備份采用5.6.2數(shù)據(jù)庫管理員負(fù)責(zé)數(shù)據(jù)庫備份，數(shù)據(jù)庫備份每日零點后進(jìn)行備份，原則上保留三天版本，數(shù)據(jù)庫管理員必須定期檢查并確保備份操作成功，備份磁帶必須由專人保管，并存放在溫度、濕度適宜的地方。備、防塵、防磁、防盜設(shè)施。5.6.3郵件服務(wù)器和文件服務(wù)器上的數(shù)據(jù)信息備份采用每天增量備份和每周全備份機(jī)制，采用磁帶備份方式，備份保留至少一個月。部門及相關(guān)部門負(fù)責(zé)人批準(zhǔn)，信息管理部門確認(rèn)后授權(quán)給系統(tǒng)管理員執(zhí)行操作，在執(zhí)行操作之前必須做好數(shù)據(jù)備份工作，操作完成后在申請單上簽字確認(rèn)(執(zhí)行變更流程)。5.7帳戶和密碼管理系統(tǒng)必須使用密碼認(rèn)證方式登錄。定期更換；密碼更換時間為六個月，原則上不可以使用前3次使用過的密碼；超級用戶密碼由系統(tǒng)管理員掌握，打印密封并保存在安全的位置。理員日常維護(hù)不可以使用管理員帳戶登錄系統(tǒng)，應(yīng)該使用自己本人的帳戶登錄系統(tǒng)；如果需要使用管理員帳戶登錄時必須要有記錄；一旦系統(tǒng)管理員帳戶被其他人員使用就必須立即更改(如：系統(tǒng)管理員備用人員)。5.7.5用戶帳戶僅限于本人使用，不得以任何方式將賬戶和密碼告之或轉(zhuǎn)借他人，不得窺視或盜用他人的賬戶和密碼。5.7.6所有電腦本機(jī)管理員密碼由信息管理部統(tǒng)一設(shè)置，任何人不得隨意更改本地管理員密碼。5.7.7任何系統(tǒng)帳戶必須根據(jù)公司流程申請和審批(原則上OA帳戶根據(jù)人事系統(tǒng)員工號信息直接分配)。WI信息安全與資源管理制度文件編號REV版本W(wǎng)I-XXXB8of9戶。5.8軟件管理5.8.1軟件的使用必須符合國家《知識產(chǎn)權(quán)法》，所有員工都不能擅自在自己使用的電腦中安裝與工作無關(guān)的軟件，也不能擅自安裝公司沒有“許可證”的軟件。5.8.2公司所有電腦(包括臺式機(jī)、手提電腦和服務(wù)器)必須預(yù)裝經(jīng)過信息管理部確認(rèn)的操作系統(tǒng)、安全軟件和應(yīng)用軟件。如果由于系統(tǒng)故障需要重新安裝操作系統(tǒng)的，必須經(jīng)過信息管理部確認(rèn)，用戶不允許私自重裝操作系統(tǒng)(如用戶在外地工作，不能得到信息管理部協(xié)助的，可以暫時自己或在相關(guān)人員指導(dǎo)下重裝系統(tǒng)解決問題，但必須通知信息管理部以作登記，并在回到公司后立刻交給信息管理部授權(quán)工程師重新安裝由公司審核的操作系統(tǒng)。公司所有電腦嚴(yán)禁安裝以下軟件：4)其它對公司網(wǎng)絡(luò)有監(jiān)測和攻擊的軟件.5.8.4公司所有電腦安裝的軟件必須得到信息管理部確認(rèn)，如遇工作需要必須安裝的軟件可由使用人填寫軟件安裝申請表，經(jīng)部門主管領(lǐng)導(dǎo)和信息管理部總監(jiān)同意后，由信息管理部負(fù)責(zé)安裝備案。將實施DHCP)，所有客戶機(jī)IP地址是由信息管理部分配的；為了確保公司網(wǎng)絡(luò)正常運(yùn)行，在未經(jīng)公司信息何時間，通過任何計算機(jī)私自故意進(jìn)入本公司任何一個IP地址且不論時間長短的行為