28 網(wǎng)絡(luò)安全政策

xxxxxxx有限公司網(wǎng)絡(luò)安全政策文件編號(hào)Fk-107發(fā)行日期2020-09-17版本/版次A/0管控狀態(tài)受控頁(yè)次第頁(yè)1、IT設(shè)備(硬件)安全1.1設(shè)備(硬件)采購(gòu)1.1.1各部門(mén)有與IT信息系統(tǒng)相關(guān)的設(shè)備(硬件)需求和安裝應(yīng)事先通知IT,由其進(jìn)行統(tǒng)一申請(qǐng)采購(gòu)和安裝;1.1.2公司禁止采購(gòu)和使用假冒或未經(jīng)適當(dāng)許可的技術(shù)產(chǎn)品的，即禁止采購(gòu)和使用未經(jīng)國(guó)家信息安全評(píng)測(cè)機(jī)構(gòu)認(rèn)可的信息安全產(chǎn)品、未經(jīng)國(guó)家密碼管理局批準(zhǔn)和未經(jīng)國(guó)家信息安全質(zhì)量認(rèn)證的國(guó)內(nèi)密碼設(shè)備;若需采用境外信息安全產(chǎn)品或境外的密碼設(shè)備時(shí)，應(yīng)通過(guò)國(guó)家信息安全測(cè)評(píng)機(jī)構(gòu)或國(guó)家密碼管理局批準(zhǔn)及國(guó)家信息安全質(zhì)量認(rèn)證:購(gòu)買(mǎi)后，IT應(yīng)妥善保存好產(chǎn)品關(guān)鍵標(biāo)簽、認(rèn)證證書(shū)、說(shuō)明書(shū)和保修卡等資料。1.2IT設(shè)備(硬件)檢測(cè)公司IT系統(tǒng)中使用的所有安全設(shè)備應(yīng)是經(jīng)過(guò)國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證的合格產(chǎn)品，其電磁輻射強(qiáng)度、可靠性及兼容性也應(yīng)符合國(guó)家安全管理等級(jí)要求;凡購(gòu)回的設(shè)備均應(yīng)在測(cè)試環(huán)境下經(jīng)過(guò)連續(xù)72小時(shí)以上的單機(jī)運(yùn)行測(cè)試和聯(lián)機(jī)48小時(shí)的應(yīng)用系統(tǒng)兼容性運(yùn)行測(cè)試并形成設(shè)備檢測(cè)測(cè)試記錄。1.3IT設(shè)備(硬件)安裝設(shè)備符合公司IT系統(tǒng)選型要求并獲核準(zhǔn)后，方可購(gòu)回安裝;通過(guò)1.2測(cè)試后才能進(jìn)入試運(yùn)行階段:通過(guò)試運(yùn)行合格的設(shè)備才能安裝投入使用，正式運(yùn)行。1.4IT設(shè)備(硬件)使用公司IT負(fù)責(zé)設(shè)備的使用登記(應(yīng)包括運(yùn)行的起止時(shí)間、累計(jì)運(yùn)行小時(shí)數(shù)及運(yùn)行狀況等)、日常清洗和定期保養(yǎng)維護(hù)做好相關(guān)記錄:若設(shè)備出現(xiàn)故障，使用人應(yīng)立即填寫(xiě)“設(shè)備維修申請(qǐng)單“交給IT處理;維修后將維修對(duì)象、故障原因、排除方法、主要維修過(guò)程以及維修人員、維修時(shí)間等詳細(xì)記錄”設(shè)備保養(yǎng)維護(hù)記錄”。1.5IT設(shè)備(硬件)儲(chǔ)存公司使用的安全產(chǎn)品及保密設(shè)備應(yīng)單獨(dú)存儲(chǔ)并采取.上鎖等保護(hù)措施，IT應(yīng)保證設(shè)備在其出廠說(shuō)明書(shū)中的使用環(huán)境(如溫度、濕度、電壓、電磁干擾和粉塵度等)下工作，定期對(duì)設(shè)備及其存儲(chǔ)環(huán)境進(jìn)行清潔和核查并詳細(xì)記錄。2、軟件安全2.1IT軟件采購(gòu)和測(cè)試:a)行政部根據(jù)公司信息化的發(fā)展及各個(gè)部門(mén)的特殊使用申請(qǐng)于每年12月制定次年的軟件購(gòu)買(mǎi)計(jì)劃和費(fèi)用預(yù)算并上報(bào)公司廠長(zhǎng)批準(zhǔn):批準(zhǔn)后IT協(xié)同業(yè)務(wù)部門(mén)開(kāi)始軟件的調(diào)研和選型:選定后使用部門(mén)寫(xiě)“申購(gòu)單”進(jìn)行采購(gòu):軟件購(gòu)回后IT應(yīng)將其預(yù)安裝在測(cè)試環(huán)境下進(jìn)行相應(yīng)測(cè)試，以確定該軟件和常見(jiàn)的應(yīng)用、其他常用的軟件之間的兼容性:所有安裝軟件必須經(jīng)過(guò)測(cè)試環(huán)境的檢測(cè)才可正式發(fā)布:IT建立軟件檔案，將安裝情況記錄、歸檔;軟件的安裝必須由IT和軟件供應(yīng)商或軟件編制人員按照規(guī)定的步驟進(jìn)行安裝。b)公司禁止采購(gòu)和使用假冒或未經(jīng)適當(dāng)許可的各類軟件，購(gòu)買(mǎi)后，IT應(yīng)妥善保存好產(chǎn)品關(guān)鍵標(biāo)簽、認(rèn)證證書(shū)、說(shuō)明書(shū)和保修卡等資料。2.2IT軟件驗(yàn)收和存儲(chǔ):IT在完成軟件的驗(yàn)收過(guò)程中，要相應(yīng)詳細(xì)記錄軟件產(chǎn)品的名稱、版本號(hào)和序列號(hào)，產(chǎn)品的數(shù)量，產(chǎn)品的授權(quán)及授權(quán)時(shí)間段，收到訂購(gòu)軟件的日期，以及其他購(gòu)買(mǎi)合同的詳細(xì)情況交文控中心存檔保管。2.3IT軟件維護(hù)和監(jiān)控:公司IT負(fù)責(zé)監(jiān)控軟件的各種使用清況，負(fù)責(zé)組織和完善對(duì)系統(tǒng)所擁有的有效特許的各種軟件的拷貝目錄和拷貝份數(shù);建立和保存適當(dāng)?shù)奈臋n來(lái)記錄首次和每年軟件管理和清理的結(jié)果,并在以后跟蹤新增加的軟件的拷貝安裝與使用，存入檔案;對(duì)安全系統(tǒng)所使用的電腦、服務(wù)器定期進(jìn)行檢查，以保證系統(tǒng)所使用的軟件合法和安全，并檢查文檔的完整性和正確性;在軟件進(jìn)行維護(hù)時(shí)，IT應(yīng)對(duì)維護(hù)過(guò)程詳細(xì)記錄軟件登記數(shù)據(jù)庫(kù)中，所有記錄按不同的軟件功能以月報(bào)的方式記錄在案。2.4IT軟件軟件使用:2.4.1公司內(nèi)必須使用公司認(rèn)可授權(quán)的正版軟件，禁止使用盜版軟件，所有軟件的安裝必需由IT完成，個(gè)人不得私自安裝軟件或擅自卸載預(yù)裝軟件。2.4.2如有特殊情況需要下載安裝軟件者，應(yīng)填寫(xiě)“新增及取消電腦權(quán)限申請(qǐng)單“，經(jīng)相關(guān)權(quán)責(zé)人核準(zhǔn)后由IT統(tǒng)一安裝。IT應(yīng)及時(shí)在服務(wù)器上下載操作系統(tǒng)的安全補(bǔ)丁，并分發(fā)到每臺(tái)電腦上進(jìn)行安裝。2.4.3使用軟件前，IT應(yīng)對(duì)來(lái)源不詳?shù)能浖跋嚓P(guān)文件或從不可靠的網(wǎng)站上下載的軟件及相關(guān)文件進(jìn)行必要的檢查;IT應(yīng)采取防范措施，減少使用外來(lái)軟件或文件可能產(chǎn)生的風(fēng)險(xiǎn)，對(duì)千考勤/ERP等關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)定期檢測(cè)，防止非法文件對(duì)電腦系統(tǒng)中的軟件或數(shù)據(jù)進(jìn)行非法修改或調(diào)查。2.4.4使用者在使用軟件過(guò)程中出現(xiàn)異?；蚬收锨闆r，應(yīng)填寫(xiě)“設(shè)備維修申請(qǐng)單“交給IT進(jìn)行處理。3、IT系統(tǒng)訪問(wèn)控制安全3.1有權(quán)接觸IT系統(tǒng)員工的控制:3.1.1IT應(yīng)根據(jù)職位或工作性質(zhì)，制定和定期審查更新有權(quán)接觸IT系統(tǒng)(如電腦和網(wǎng)絡(luò))的“有權(quán)進(jìn)入IT系統(tǒng)授權(quán)表”，并依其分配單獨(dú)指定的登陸帳號(hào)和密碼及設(shè)置(調(diào)整和取消)使用/訪問(wèn)權(quán)限；3.1.2IT每日對(duì)IT系統(tǒng)(如電腦和網(wǎng)絡(luò))無(wú)效密碼登陸和非法文件訪問(wèn)檢查并記錄"IT系統(tǒng)無(wú)效登陸檢查記錄”，以確保員工根據(jù)工作要求訪間公司的敏感系統(tǒng)。3.2IT系統(tǒng)服務(wù)器/電腦用戶/應(yīng)用軟件(E-mail、ERP等)訪問(wèn)控制:新入職或內(nèi)部崗位調(diào)動(dòng)且需使用電腦或服務(wù)器工作的員工，由部門(mén)文員或本人根據(jù)其職位及工作范圍填寫(xiě)“新增及取消電腦權(quán)限申請(qǐng)單”經(jīng)相關(guān)權(quán)責(zé)人批準(zhǔn)后，上崗前It進(jìn)行網(wǎng)絡(luò)安全政策/程序、如何備份數(shù)據(jù)，變更密碼、病毒防范、違犯IT管理制度受到懲罰等IT知識(shí)安全培訓(xùn)合格后，由IT負(fù)責(zé)分配單獨(dú)指定的登陸帳號(hào)/密碼和設(shè)置(調(diào)整和取消)使用/訪間權(quán)限。3.3IT系統(tǒng)域用戶訪問(wèn)控制:3.3.1公司采用域管理的方式管理公司局域網(wǎng)內(nèi)的每一個(gè)客戶端(若正常使用公司內(nèi)/外網(wǎng)服務(wù)必需使用公司域賬戶)，各部門(mén)有特權(quán)的管理賬戶將被統(tǒng)一劃分到一個(gè)組，統(tǒng)-受IT監(jiān)控;IT根據(jù)使用人員的職位或工作范圍設(shè)置和分配單獨(dú)的客戶端單獨(dú)指定的登陸帳號(hào)/密碼、使用/訪間權(quán)限;必需有各部門(mén)負(fù)責(zé)人許可的域賬戶方可正常訪問(wèn)外部網(wǎng)絡(luò)，否則僅局限于公司內(nèi)部網(wǎng)絡(luò)的訪問(wèn)(含郵件、ERP系統(tǒng)等)3.3.2客戶端設(shè)置的每個(gè)域帳戶登錄密碼應(yīng)最小長(zhǎng)度為8個(gè)字符、最小有效期1天，最長(zhǎng)有效期90天:密碼字.符必需由復(fù)合型的數(shù)字和字母共同構(gòu)成;新密碼不得重復(fù)使用最近6個(gè)老密碼:密碼連續(xù)3次輸入錯(cuò)誤，賬戶被鎖定，IT才能解除鎖定:其次賬戶超過(guò)30分鐘不活動(dòng)者，系統(tǒng)將被鎖定，只有輸入密碼才能打開(kāi);賬戶最長(zhǎng)有效期為90天，到期必需按照提示更改密碼。3.4IT系統(tǒng)的Internet訪問(wèn)控制:員工根據(jù)工作需要訪間Internet,應(yīng)填寫(xiě)“新增及取消電腦權(quán)限申請(qǐng)單”經(jīng)相關(guān)權(quán)責(zé)人批準(zhǔn)，IT執(zhí)行;公司域用戶才有Internet訪問(wèn)資格，公司員工Internet訪問(wèn)權(quán)限由AceNet上網(wǎng)行為管理流控墻進(jìn)行控制:公司員工分為永久上網(wǎng)組、臨時(shí)上網(wǎng)組和不能上網(wǎng)組，控制員工Internet訪問(wèn)權(quán)限;公司普通.上網(wǎng)用戶每日限定1000M流量，每天流量用完后用戶就不再有上網(wǎng)權(quán)限;公司通過(guò)AceNet上網(wǎng)行為管理流控墻屏蔽部分股票、視頻類等網(wǎng)站。3.5IT系統(tǒng)訪客訪問(wèn)控制:a)公司所有訪客入公司時(shí)，所有個(gè)人電子設(shè)備(如電腦、手機(jī))應(yīng)主動(dòng)申報(bào)，因工作需要使用個(gè)人電子設(shè)備進(jìn)入公司局域網(wǎng)或使用公司外部Internet工作時(shí)，必需山被訪問(wèn)單位接待人員填寫(xiě)“新增及取消電腦權(quán)限申請(qǐng)單”或“遠(yuǎn)程訪問(wèn)申請(qǐng)表”向公司高層申請(qǐng)，由IT設(shè)置和分配單獨(dú)指定的客戶端單獨(dú)指定的登陸帳號(hào)和密碼、使用/訪間權(quán)限后，將其電子設(shè)備接入公司Internet網(wǎng)并顯示安全警告信息時(shí)才可充使用，并由IT負(fù)貴設(shè)置連網(wǎng)和網(wǎng)絡(luò)時(shí)實(shí)監(jiān)控，以確保安全；b)千系統(tǒng)調(diào)試，需要公司外專業(yè)工程師遠(yuǎn)程登錄公司局域網(wǎng)進(jìn)行軟件調(diào)試時(shí)，經(jīng)辦人需填寫(xiě)“遠(yuǎn)程訪間申請(qǐng)表“經(jīng)相關(guān)權(quán)責(zé)人批準(zhǔn)后，山IT全程監(jiān)控調(diào)試過(guò)程和起始、終止時(shí)間。3.6調(diào)整或解除員工IT系統(tǒng)權(quán)限的程序:3.6.1公司授權(quán)IT負(fù)責(zé)設(shè)置(調(diào)整和取消)和維護(hù)公司IT系統(tǒng)所有的訪間帳戶和密碼:客戶端賬戶由IT每6周核查一次賬戶的有效性:機(jī)房的所有服務(wù)器之密碼由IT負(fù)責(zé)每6周變更一次，變更后向行政部負(fù)責(zé)人報(bào)告?zhèn)浒?同時(shí)IT每月應(yīng)核實(shí)一次域賬戶、Internet、ERP等IT系統(tǒng)賬戶信息，對(duì)可疑賬戶確認(rèn)無(wú)誤后直接刪除。3.6.2公司限制使用VPN訪問(wèn)公司網(wǎng)絡(luò)目錄，每電腦系統(tǒng)用戶的帳戶密碼三次輸入密碼錯(cuò)誤后用戶權(quán)限應(yīng)被暫停(服務(wù)器應(yīng)可追溯到)且IT收到相應(yīng)的短信報(bào)警信息后應(yīng)及時(shí)跟進(jìn)處理，每6周更換--次，過(guò)期時(shí),.IT應(yīng)及時(shí)更換或在電腦系統(tǒng)中設(shè)置強(qiáng)制用戶更新不同的密碼后方可進(jìn)入并做好“電腦用戶密碼更換記錄”和在每次啟動(dòng)密碼更改時(shí)續(xù)簽《信息安全保密協(xié)議書(shū)》。3.6.3員工調(diào)崗時(shí)，應(yīng)填寫(xiě)“新增及取消電腦權(quán)限申請(qǐng)單“經(jīng)過(guò)相關(guān)權(quán)責(zé)人核準(zhǔn)后，IT應(yīng)刪除其所用到本公司IT系統(tǒng)的所用賬戶信息重，并根據(jù)其職位或工作范圍設(shè)置和分配單獨(dú)的客戶端登陸帳號(hào)和密碼、使用/訪間權(quán)限;3.6.4使用IT系統(tǒng)的員工的IT賬戶密碼過(guò)期失效或忘記賬戶密碼的，應(yīng)填寫(xiě)“新增及取消電腦權(quán)限申請(qǐng)單經(jīng)過(guò)相關(guān)權(quán)責(zé)人核準(zhǔn)后，IT重置相關(guān)密碼。3.6.5工作中用到IT系統(tǒng)(含電腦和網(wǎng)絡(luò)訪間等)的人員離職時(shí)，應(yīng)填寫(xiě)“離職人員登記表“經(jīng)過(guò)IT刪除其所用到本公司IT系統(tǒng)的所用賬戶信息并簽名確認(rèn)后，人事文員才可辦理離職手續(xù)。4IT系統(tǒng)安全管理4.1IT應(yīng)建立輸入安全控制原則，進(jìn)入公司應(yīng)用系統(tǒng)(如ERP、郵件等)的數(shù)據(jù)必須有正確的格式與內(nèi)容，經(jīng)過(guò)檢查后，再存儲(chǔ)到電腦的存儲(chǔ)介質(zhì)上。4.2公司文件服務(wù)器使用規(guī)定:4.2.1公司文件服務(wù)器的公共文件交換區(qū)不提供文件的長(zhǎng)期保存，只提供公司內(nèi)部文件交換使用，不能將有關(guān)公司保密內(nèi)容的電子文件在公共交換區(qū)內(nèi)交換，不得傳遞非工作用文件，如有發(fā)現(xiàn)違犯，IT將禁止其繼續(xù)使用該服務(wù)器，由此引起的工作不便，將由個(gè)人負(fù)責(zé);此區(qū)由項(xiàng)目或工作組負(fù)責(zé)人申請(qǐng)，只有該項(xiàng)目或工作組成員具備登錄的權(quán)限;公共文件交換區(qū)根目錄下應(yīng)以部門(mén)為單位建立文件夾，用戶不能刪除，用戶可在部門(mén)文件夾下建立文件夾和上傳文件，任何人都有權(quán)刪除;傳遞到公共交換區(qū)的文件使用完后應(yīng)及時(shí)刪除，最晚不得超過(guò)當(dāng)天下班以前;4.2.2IT應(yīng)在公共文件交換區(qū)建立獨(dú)立的工具文件夾目錄，提供各專用軟件的安裝程序、升級(jí)包、補(bǔ)丁等供各電腦客戶端下載安裝，IT每周六下班時(shí)清空一次公共文件交換區(qū)部門(mén)文件夾內(nèi)容，請(qǐng)個(gè)人做好文件的存檔備份:個(gè)人存儲(chǔ)空間內(nèi)文件只能由用戶個(gè)人自行刪除(刪除的文件不可恢復(fù))，個(gè)人用戶密碼應(yīng)每6周更換一次。5IT系統(tǒng)數(shù)據(jù)庫(kù)安全(電腦數(shù)據(jù)備份政策/程序)5.1IT系統(tǒng)服務(wù)器系統(tǒng)數(shù)據(jù)備份:IT將根據(jù)不同的應(yīng)用服務(wù)和數(shù)據(jù)特點(diǎn)，采用全備份(每個(gè)周未對(duì)目前公司主要的服務(wù)器系統(tǒng)及各種生產(chǎn)應(yīng)用系統(tǒng)進(jìn)行一次系統(tǒng)完全備份)和差分備份(即每天對(duì)所有生產(chǎn)應(yīng)用系統(tǒng)數(shù)據(jù)及ERP、考勤、郵件等系統(tǒng)在相對(duì)千前一次全備份之后新增加和修改過(guò)的數(shù)據(jù)的一次差別備份)對(duì)公司服務(wù)器系統(tǒng)及數(shù)據(jù)進(jìn)行自動(dòng)備份，并每周IT轉(zhuǎn)存一.次完整自動(dòng)備份數(shù)據(jù)至移動(dòng)硬盤(pán)上異地保存。5.2容災(zāi)備份:容災(zāi)機(jī)房的近線備份系統(tǒng)每天對(duì)公司主機(jī)房的近線備份系統(tǒng)所備份的數(shù)據(jù)進(jìn)行一次復(fù)制備份，容災(zāi)機(jī)房應(yīng)與公司主機(jī)房不在同一棟辦公樓內(nèi)。5.3客戶機(jī)數(shù)據(jù)備份:5.3.1IT應(yīng)在文件服務(wù)器的磁盤(pán)(選用RAID5磁盤(pán))上，根據(jù)各部門(mén)的工作性質(zhì)提供不同大小的個(gè)人用戶的獨(dú)立存儲(chǔ)空間CIT應(yīng)設(shè)置獨(dú)立的用戶名和密碼于各用戶訪問(wèn)，其它用戶無(wú)訪問(wèn)權(quán)限，用戶可自己修改密碼),以確保公司各電腦用戶機(jī)的數(shù)據(jù)備份;5.3.2公司內(nèi)網(wǎng)各用戶每日將各自的重要電子文件上傳到公司服務(wù)器存儲(chǔ)空間指定目錄下進(jìn)行備份存儲(chǔ)，以避免.個(gè)人電腦的硬盤(pán)故障造成重要文檔丟失而造成公司的相應(yīng)損失。5.4數(shù)據(jù)銷毀:在公司正常營(yíng)業(yè)期間中，所有備份數(shù)據(jù)不得銷毀。5.5備份管理:公司內(nèi)所有應(yīng)用服務(wù)由IT統(tǒng)--管理統(tǒng)一進(jìn)行備份，所有敏感和機(jī)密數(shù)據(jù)應(yīng)以加密格式存儲(chǔ),每周進(jìn)行備份巡檢、異地備份、巡檢備份設(shè)備是否工作正常，備份數(shù)據(jù)是否完整并記錄巡檢結(jié)果千“電.腦數(shù)據(jù)備份記錄”;IT應(yīng)將備份數(shù)據(jù)已滿的硬盤(pán)及時(shí)從在線工作的硬盤(pán)庫(kù)中取出，轉(zhuǎn)存千脫機(jī)的、異地(暫放廠區(qū)外的廠長(zhǎng)家中)指定的防火防水的保險(xiǎn)柜中并附.上硬盤(pán)存儲(chǔ)內(nèi)容清單:硬盤(pán).上應(yīng)標(biāo)識(shí)清楚購(gòu)買(mǎi)日期標(biāo)簽，使用年限不超過(guò)10年，過(guò)期硬盤(pán)應(yīng)貼上過(guò)期標(biāo)簽，永久封存。6信息加密和安全傳輸安全6.1電腦用戶對(duì)千敏感數(shù)據(jù)在保存和傳輸過(guò)程中必須有加密處理:公司局域網(wǎng)內(nèi)的辦公電腦應(yīng)通過(guò)指定的數(shù)據(jù)泄露防護(hù)系統(tǒng)(如億賽通)進(jìn)行文檔保護(hù);6.2公司域用戶文檔在本機(jī)打開(kāi)、編輯、保存文檔時(shí)，執(zhí)行動(dòng)態(tài)加解密;員工本地文檔解密需要其授權(quán);員工只有登錄數(shù)據(jù)泄露防護(hù)系統(tǒng)的客戶端后才能通過(guò)郵件對(duì)外發(fā)送解密文檔，對(duì)外發(fā)送的郵件通過(guò)數(shù)據(jù)泄露防護(hù)系統(tǒng)的服務(wù)器進(jìn)行郵件日志審核。6.3公司保密的電子文檔應(yīng)通過(guò)公司個(gè)人郵件進(jìn)行交換;所有上傳到公共交換區(qū)內(nèi)的文件必需進(jìn)行加密。6.4在接收E-mail時(shí)，對(duì)于一些可疑、來(lái)歷不明的郵件，直接刪除，防止病毒、木馬等侵入:不要發(fā)送反動(dòng)的或與政治比較敏感的E-mail等，禁止將公司的機(jī)密資料通過(guò)E-mail、Internet的途徑發(fā)送到外部，如給公司帶來(lái)?yè)p失的依所簽《信息安全保密協(xié)議書(shū)