IT安全管理制度

1、南京橙红科技股份有限公司目次前 言 21 目的 22 适用范围 23 物理访问 24 逻辑访问 35 个人办公电脑及服务器安全 . 36 信息安全定期检查 47 服务及电子邮件安全 48 网络使用标准： 59 USB口使用标准： 510 附件：处罚制度说明 6为公司建立 IT 安全实施标准，以保护公司网络和计算机环境中的信息资产，特制订 本制度。IT安全管理制度1 目的保障公司信息安全的机密性、完整性、可用性、抗抵赖性、可控性。保护信息免受各种威胁的损害。确保业务连续性，业务风险最小化。2 适用范围本标准适用于某某某公司 （包括但不限于其所有控股子公司、 办事处 ）的信息基础架构 中所有的系统

2、，公司的内部办公网络，包括广域网和办公局域网。3 物理访问1.1 参照办公楼管理规定内的人员出入、物品出入规定执行。1.2 打印、复印、传真使用者必须遵从 打印、复印、传真管理制度4 逻辑访问2.1 控制用户身份识别和认证必须根据实际的访问要求，来控制内部系统访问权限，检 查认证用户或者应用的身份合法性。2.2 用户的身份是通过为每个系统（操作系统、办公平台、硬件设备）的使用者分配唯 一的系统标识来确定， 并且每个用户拥有个人的密码， 作为系统身份认证的依据。2.3 员工因离职、 休假或业务变动不再需要访问系统， HR 或部门经理必须通知系统负责 人，系统负责人必须依据相应的流程终止该员工对系

3、统的访问权限。（参见人事部门离职流程表 ）2.4 使用人不再使用该帐号，例如员工离职或退休，必须从系统中删除或禁用帐号、以及 相关数据。 （参见人事部门离职流程表 ）2.5 重要岗位员工离职，系统接替人员必须更改密码或删除原帐号。2.6 存储在公司内部服务器系统中的信息，除非得到该设备责任人的明确指示，否则不 需要加密。2.7 系统负责人必须设置缺省保护功能来保障用户资源，禁止他人非法访问用户资源。2.8 普通用户不允许修改公用系统资源，例外情况需要该设备责任人明确批准。5 个人办公电脑及服务器安全在公司运行的系统、 应用和软件必须持有有效使用许可证明。 禁止非法拷贝或复制软件， 除非在许可条

4、款上明确允许。5.1 为了更好的管理局域网内用户电脑， 及时解决网络故障， 病毒源， 及时排除安全隐患等 需求。 所有计算机包括笔记本电脑机器名一律包含责任人工号制定。例如: 某某某的电脑名为 123如出现一个员工有两个或者以上电脑遵循如下规则 123 -* 综合办 IT运维人员有权限制不符合上述要求设备的网络等服务。 如没有按照此规定设置电脑名并由 于本人维护不当造成影响他人正常工作， 给予 E级处罚。5.2 办公电脑、 公用电脑、 安装软件出现的漏洞应及时安装补丁， 不能处理的漏洞等问题应 向综合办 IT运维人员说明并做好记录。如由于上述问题而引发安全信息隐患则给予 E级处罚， 如由于上述

5、原因造成了公司信息安全事故给予 C级处罚。5.3 设置计算机开机口令 a） 设置系统登录口令 b） 设置系统屏幕保护口令 c） 激活 屏幕保护的时间： 5分钟。 d） 离开办公位时因对工作电脑进行锁屏。没有按照上述设 置给予 E级处罚。5.4 公司网络规划默认使用自动获取 IP规则。员工不得擅自固定 IP，如 IP冲突影响他人正常 工作，不服从综合办 IT运维人员管理者 给予 E级处罚。5.5 如需要固定 IP必须向综合办 IT运维人员邮件申请， 经过确认后由综合办 IT 运维人员负 责分配固定 IP使用，并做好记录，否则视为私自占用公司 IP 资源。 给予 E级处罚。5.6 个人电脑和服务器

6、等设备必须安装附录 1中提及软件。6 信息安全定期检查6.1. 每月定期随机抽查用户电脑，违规未安装者， 给予 B 级处罚。所有用户必须安装且运行正常软件如下：软件名称安装要求备注说明（杀毒软件）是否及时更新指定杀毒软件， 不得安装其他杀毒软件Wsus安装且系统正常安 装补丁操作系统自动分发补丁程序6.2. 所有电脑不得安装不符合公司要求，有害信息安全的软件， 如：带病毒、 侵害计算机安 全软件，违反上述情况，无正当理由者， 给予 B 级处罚。 （个人办公电脑及服务器安全中所提及内容，如遇疑问或故障，应主动向综合办 IT 运维人员要求支持，否则造成不良后果均视为违规。）7 服务及电子邮件安全7

7、.1 禁止在计算机上配置和提供无需验证的服务或包括但不限于FTP，TFTP， HTTP、DHCP，违反规定者则给予 E 级处罚。7.2 禁止利用电子邮件发送、群发或转发与工作内容无关的邮件， 违反规定者则 给予 E 级处罚。违反规定者则给予 B7.3 禁止将公司机密信息。 通过邮件发送给与业务无关的单位或个人， 级处罚。7.4 如果业务需要群发工作邮件， 则应避免发送大邮件， 尽可能以内容链接的方式发送， 违反规定造成网络或者邮件服务器堵塞者， 给予 E 级处罚。8 网络使用标准：8.1 非特殊工作需要严禁使用外网或者非法代理上互联网。 经发现给予 C级处罚。8.2 如工作需要外网出口， 必须

8、提交申请同意后才能开通。 开通出口后设备按照机房服 务器管理办法实施。请参见 IT业务申请。8.3 禁止私接网络设备到公司办公网络上（如：Hub、无线 AP、 Router、 Modem 、拨号服务器），如果有工作需要，请与综合办 IT运维人员联系，必须经过项目经理和综 合办 IT运维人员确认后，记录设备编号责任人方可使用。请参见IT业务申请。如在使用过程中出现环路等不当操作造成楼层或者区域网络瘫痪，则给予 E级处罚。8.4 员工必须严格按照公司要求内外网线路物理隔离的原则， 严禁违反规定私接网线或 网络设备造成网络安全隐患， 经发现给与设备责任人或事故责任人 D级处罚。8.5 严禁在公司办公

9、网络中使用大流量的工具或程序 （如：流量发生器、 网络模拟程序） 禁止在公司办公网络中使用网络流量监测、端口扫描、抓包等程序 经发现给与设 备责任人或事故责任人 D级处罚。8.6 严禁在公司使用基于互联网的 Peer to Peer文件共享服务包括但不限于 BT、电驴、迅 雷。未经审批在公司使用非公司许可的即时通讯工具，包括但不限于QQ、 SKYPE、FeiQ、飞鸽等，严禁在上班时间使用在线视频播放软件包括单不限于PPS、 PPTV等经发现给与设备责任人或事故责任人 D级处罚。9 USB 口使用标准：7.1 严禁非工作需要时私自使用 USB设备如： U 盘、移动硬盘、 mp3、手机等移动存 储设备，拷贝公司电脑内的数据， 违规者给予 B 级处罚。7.2 严禁私自利用设备、工具、或其他手段打开原禁止使用USB接口，和机箱锁。 如发现给予设备责任人 B 级处罚。7.3 未经 IT 运维人员备案，严禁使用任何 USB无线上网设备和其他方式登陆互联网， 违规者给予设备责任人 B 级处罚。7.4