信息安全與資源管理制度

WI信息安全與資源管理制度文件編號REV版本WI-XXXB1of9制定本制度的目的是規(guī)范公司信息安全和信息資源管理，確保公司信息安全能夠支持公司業(yè)務的連續(xù)性，降低和避免信息安全對公司業(yè)務影響的風險；有效管理公司信息資源，保證信息資源能夠被合理和有效使用。2.范圍2.2本制度適合所有使用公司信息系統(tǒng)和信息資源的公司員工(含分/子公司)；信息系統(tǒng)包括但不限事與考勤系統(tǒng)、財務系統(tǒng)、產品開發(fā)系統(tǒng)等等。3.定義3.1公司各部門：指已列入集團行政管理序列的分/子公司或專項工作機構。3.2部門主管：指部門負責人(經理、總監(jiān)、副總經理或事業(yè)部總經理等等)。特網。非有特殊批準)。用戶。3.7綠色局域網：指標準環(huán)境網絡段(標準生產網絡段)。4.權責全意識，4.2.2警惕所有與安全相關的活動/行動，4.2.3離開無人照管的終端設備時必須退出系統(tǒng)或鎖定電腦屏幕，人同意不能擅自進入他人電腦，4.2.5不能非法闖入其他的帳戶和破解他人的密碼，4.2.6不能使用或嘗試使用沒有授權的接入方式或技術，4.2.7即使你有修改文件的權限也不能修改不屬于你自己的文件或者別人沒有授權你修改的文件，WI信息安全與資源管理制度文件編號REV版本WI-XXXB2of9，和信息安全管理員4.4.2負責提供系統(tǒng)接入授權，編制信息保密及用戶授權使用指南和安全機制，確保授權的用戶接入網絡和應用系統(tǒng)，沒有授權的用戶將被拒絕接入公司網絡和系統(tǒng)，同時實施接入痕跡跟蹤和審核；4.4.3定期回顧重要信息系統(tǒng)和數據確保用戶授權服務和重要業(yè)務信息保護是安全和受控的，4.4.4信息安全工程師負責建立、維護和管理帳戶密碼授權，定期審核用戶授權清單與系統(tǒng)實際授權的一性，5.作業(yè)內容要進入機房時必須申請，申請由信息管理部總監(jiān)審批，且必須由信息管理部系統(tǒng)管理員或數據中心理部指定專人作為數據中心責任人，負責數據中心日常安全管理，設備、環(huán)境和數據備份檢查，協(xié)助數據中心系統(tǒng)管理員、網絡管理員和數據庫管理員維護服務器及相關設備。5.1.3數據中心內不準大聲喧嘩、打鬧及從事任何與數據中心工作無關的活動，禁止在數據中心吸煙及食物和飲料進入機房；數據中心設備應保持整齊有序、地面清凈。禁止在數據中心設備上隨意讀寫個人攜帶的光盤和磁盤，以確保設備和網絡系統(tǒng)的安全。各服務器必須安WI信息安全與資源管理制度文件編號REV版本WI-XXXB3of9統(tǒng)配置時，必須填寫系統(tǒng)更改申請表，得到部門總監(jiān)批準并登記后方可進行相關操作；完畢后在變更申請表中簽字確認并交部門備案。5.1.6服務器必須安裝防病毒軟件，作好病毒的防范工作，并保證服務器/客戶端引擎版本和病毒碼版本的及時更新，做好公司所有計算機用戶的客戶端病毒防范工作。5.1.7嚴格遵守保密制度，加強數據資料安全保護，數據中心對各類重要文件、文字資料、報表數據、聲像資料及時備份；備份保存時間根據公司制度和國家相關法律法規(guī)執(zhí)行；所有公司資料未經允許不得私自拷貝、下載和外借。作、管理，其他人員沒有相關授權不得對數據中心設備進行操作。數據中心任何設備的開啟、運行、關閉和變更必須經過信息管理部總監(jiān)同意或授權；系統(tǒng)管理員要按操作指南執(zhí)行。5.1.9建立信息系統(tǒng)和主要設備的安全運行日志、事故記錄、緊急事故預案。5.1.10系統(tǒng)運行發(fā)現異?；蚴鹿时仨氄J真做好相關記錄，及時上報主管領導；不得越權自行處理或啟動相關的緊急預案。對異常或事故的解決方案要做記錄和文件歸檔以便未來參考。5.1.11對機房設備或應用軟件/系統(tǒng)的操作，一旦影響到客戶端用戶的正常使用，必須提前通知用戶以便于用戶妥善處理相關業(yè)務。5.1.12應定期除塵，保持數據中心工作環(huán)境整潔，在除塵時應確保設備的安全。保持設備干凈整潔，設備時佩戴防靜電手環(huán)。5.1.13外來人員參觀機房須執(zhí)行審批流程并由專人陪同；進入數據中心后，未經許可不得擅自操作數據中心內設備。數據中心管理員按陪同人員要求進行演示和答詢；對參觀人員不合理要求，陪同人員應婉拒。5.1.14強化安全防范意識，出入數據中心必須隨手關門。5.1.15數據中心處理機密事務時，不得接待參觀人員或靠近觀看。5.2.1任何人在未經批準的情況下，不得向其計算機安裝軟件。5.2.3使用人在離開電腦時應退出系統(tǒng)或鎖閉系統(tǒng)，防止數據泄密。5.2.4任何人未經用戶本人同意不能擅自進入他人電腦，WI信息安全與資源管理制度文件編號REV版本WI-XXXB4of95.2.5不得將工作電腦從固定工作場所移走，除總監(jiān)及以上領導可攜帶筆記本外出辦公外，其他人員攜帶電腦出入公司須經分管領導批準，在信息管理部備案，開具放行條/卡后方可帶出使用。5.2.7信息管理部指定專人負責各區(qū)域計算機的病毒檢測和清理工作。5.2.8公司所有職員的私用計算機設備帶入廠區(qū)宿舍必須到信息管理部備案。5.2.9嚴禁私用計算機設備接入公司網絡(如特殊需要必須申請)。5.2.10各部門計算機信息系統(tǒng)的保密管理實行個人責任制，因個人原因導致資料泄密的由個人負責。5.2.11員工因工作調動或者因故離職，其使用的電腦必須歸還信息管理部或移交給部門的工作接替人員，電腦歸還到信息管理部前部門負責人必須確保電腦數據移交和備份成功(需要信息管理部協(xié)助數據移交和備份的必須說明)；否則，信息管理部視電腦里數據已經移交和備份，并將對回收的電腦進行系統(tǒng)重新安裝。5.2.12公司配備的電腦實行使用者負責制，隸屬公司資產，由信息管理部統(tǒng)一負責管理分配?？珊彤a品評測等資質，并符合國家的相關規(guī)定。網絡的健康狀態(tài)，觀測網絡流量。5.3.4網絡系統(tǒng)自運行開始必須作好備份與恢復等應急措施，一旦系統(tǒng)出現問題能夠及時恢復正常。網絡管理員負責制定網絡系統(tǒng)的備份與恢復方案。5.3.6因工作需要接入互聯(lián)網，使用人提出申請(總監(jiān)及以上人員除外)，部門主管審批。信息管理部根據5.3.7接入互聯(lián)網的計算機在工作時間內嚴禁在互聯(lián)網上做與工作無關的操作(聊天、玩游戲、看電影，炒股、購物等)；嚴禁使用WEB郵箱和下載工具；信息管理部對上網進行監(jiān)控。5.3.8不得利用公司網絡從事危害公司和社會利益的活動，也不能發(fā)表不適當的言論。法律、行政法規(guī)和國家其他有關規(guī)定，嚴禁訪問和宣揚封建迷信、淫穢、色情、WI信息安全與資源管理制度文件編號REV版本WI-XXXB5of9賭博、暴力、兇殺、恐怖、教唆犯罪等違法網站。5.3.10嚴禁任何利用公司互聯(lián)網散布對公司形象不利的言論或散布公司內部糾紛事情(包括以郵件、博客、微博、網站、網頁、論壇、在線咨詢等一切形式發(fā)布)。5.3.11發(fā)布網絡信息不得有危害國家安全、泄露國家秘密，侵犯國家、社會、公司的利益和他人的合法權.3.12因工作需要使用撥號上網的，必須做好病毒防護措施。5.3.13做好系統(tǒng)用戶名和密碼的保密工作，個別涉及公司機密的電腦需安裝網絡安全隔離卡，防止公司秘5.3.14發(fā)現有害信息應當及時向有關主管部門報告，并采取有效措施，不得使其擴散。制、查閱和傳播下列信息：5.3.15.1煽動抗拒、破壞憲法和法律、行政法規(guī)及集團法規(guī)實施的5.3.15.4煽動民族仇恨、民族歧視，破壞民族團結的的犯罪的5.3.15.7公然侮辱他人或者捏造事實誹謗他人的5.3.15.9其他違反憲法和法律、法規(guī)及公司制度的按流程經領導簽發(fā)后，品牌部發(fā)布到外網。5.3.17網站所有內容的版權(含圖片)歸公司所有，未經同意，任何單位和個人不得轉載、轉發(fā)和用于其途或牟利。5.3.18客戶終端的網絡及語音線路，終端使用者有責任和義務進行保護。要做好相關的訪問控制(如：身份識別、訪問操作控制、審計跟蹤等)。5.3.20網絡管理員每周監(jiān)控企業(yè)防病毒服務器的升級情況，監(jiān)控機房中服務器殺毒軟件的更新情況，在服WI信息安全與資源管理制度文件編號REV版本WI-XXXB6of9客戶端計算機發(fā)出病毒預警。并制定病毒爆發(fā)后的緊急處理預案，以便快速恢復系統(tǒng)。協(xié)同辦公系統(tǒng)實行統(tǒng)一管理和維護。5.4.2普通用戶的所有公網個人郵箱不得在公司內使用，只能使用本公司郵箱。因業(yè)務及特殊需要通過公網發(fā)文件夾保存副本備查。5.4.3原則上各部門可以設立一個部門專用郵箱用于部門信息發(fā)布和接收。發(fā)布與公司業(yè)務無關的內容,更不能將與公司業(yè)務無關的郵件發(fā)給所有公司用戶．例如：個人是否與業(yè)務有關)。5.4.5不允許發(fā)布與國家有關法律、法規(guī)、政策和規(guī)定不符的信息(包括但不限于:色情,暴力,國家安全,招聘及相關法律禁止的內容)。戶及密碼(原則上以郵件形式通知)。5.5文件及資料保存與共享管理5.5.1公司將按部門和人員在文件服務器上建立共享資料夾，個人共享文件夾內用于存放個人的數據，部門文件夾用于存放部門人員文件及不能通過郵件傳送的文件。公共文件夾用于存放臨時放置的文件，每周定期清除。員工要承擔相關責任。5.5.3部門和人個文件夾防問授權由文件夾的擁有者和部門主管領導授權。5.5.4部門領導有權訪問其部門文件夾和部門員工個人文件夾。5.5.5禁止任何人員越權共享資料。公司資料或文件共享必須由部門總監(jiān)及主管領導審批；越權提供或讀取WI信息安全與資源管理制度文件編號REV版本WI-XXXB7of9共享資料者，視同為泄密或竊密。5.5.6系統(tǒng)管理員應提高安全認識,禁止非工作人員操縱系統(tǒng)主機；每周檢查主機登錄日志，及時發(fā)現不合5.6數據備份及存儲管理5.6.1所有數據備份采用每天增量備份、每周全備份機制，且每月進行一次備份數據恢復檢查，備份采用5.6.2數據庫管理員負責數據庫備份，數據庫備份每日零點后進行備份，原則上保留三天版本，數據庫管理員必須定期檢查并確保備份操作成功，備份磁帶必須由專人保管，并存放在溫度、濕度適宜的地方。備、防塵、防磁、防盜設施。5.6.3郵件服務器和文件服務器上的數據信息備份采用每天增量備份和每周全備份機制，采用磁帶備份方式，備份保留至少一個月。部門及相關部門負責人批準，信息管理部門確認后授權給系統(tǒng)管理員執(zhí)行操作，在執(zhí)行操作之前必須做好數據備份工作，操作完成后在申請單上簽字確認(執(zhí)行變更流程)。5.7帳戶和密碼管理系統(tǒng)必須使用密碼認證方式登錄。定期更換；密碼更換時間為六個月，原則上不可以使用前3次使用過的密碼；超級用戶密碼由系統(tǒng)管理員掌握，打印密封并保存在安全的位置。理員日常維護不可以使用管理員帳戶登錄系統(tǒng)，應該使用自己本人的帳戶登錄系統(tǒng)；如果需要使用管理員帳戶登錄時必須要有記錄；一旦系統(tǒng)管理員帳戶被其他人員使用就必須立即更改(如：系統(tǒng)管理員備用人員)。5.7.5用戶帳戶僅限于本人使用，不得以任何方式將賬戶和密碼告之或轉借他人，不得窺視或盜用他人的賬戶和密碼。5.7.6所有電腦本機管理員密碼由信息管理部統(tǒng)一設置，任何人不得隨意更改本地管理員密碼。5.7.7任何系統(tǒng)帳戶必須根據公司流程申請和審批(原則上OA帳戶根據人事系統(tǒng)員工號信息直接分配)。WI信息安全與資源管理制度文件編號REV版本WI-XXXB8of9戶。5.8軟件管理5.8.1軟件的使用必須符合國家《知識產權法》，所有員工都不能擅自在自己使用的電腦中安裝與工作無關的軟件，也不能擅自安裝公司沒有“許可證”的軟件。5.8.2公司所有電腦(包括臺式機、手提電腦和服務器)必須預裝經過信息管理部確認的操作系統(tǒng)、安全軟件和應用軟件。如果由于系統(tǒng)故障需要重新安裝操作系統(tǒng)的，必須經過信息管理部確認，用戶不允許私自重裝操作系統(tǒng)(如用戶在外地工作，不能得到信息管理部協(xié)助的，可以暫時自己或在相關人員指導下重裝系統(tǒng)解決問題，但必須通知信息管理部以作登記，并在回到公司后立刻交給信息管理部授權工程師重新安裝由公司審核的操作系統(tǒng)。公司所有電腦嚴禁安裝以下軟件：4)其它對公司網絡有監(jiān)測和攻擊的軟件.5.8.4公司所有電腦安裝的軟件必須得到信息管理部確認，如遇工作需要必須安裝的軟件可由使用人填寫軟件安裝申請表，經部門主管領導和信息管理部總監(jiān)同意后，由信息管理部負責安裝備案。將實施DHCP)，所有客戶機IP地址是由信息管理部分配的；為了確保公司網絡正常運行，在未經公司信息何時間，通過任何計算機私自故意進入本公司任何一個IP地址且不論時間長短的行為