IT服务与信息安全

IT服务与信息安全信息分类IT内部培训类保密等级机密责任机构责任人创建时间2010年12月9日保密期限2015年12月授权范围1信息安全应知应会IT服务概述信息系统介绍及注意事项IT设备服务介绍及注意事项2IT服务简介IT组织介绍宇通的IT服务由信息技术分公司提供，信息技术分公司简称“信息中心”或“IT”，负责整个宇通集团的信息系统建设、IT设备管理和信息安全管理。IT服务范围信息系统建设：负责公司基于EIP与ERP双平台的所有30多个应用系统的信息化建设、运行维护和权限管理工作。IT设备管理：负责办公电脑（含台式机、瘦客户机和笔记本）和其他电子办公设备（投影仪、打印机等）的配备、借用与维修。信息安全管理：负责公司所有系统和终端的信息安全管理与监控。IT服务入口热线电话：8867服务单入口：登录EIP，点击“服务台IT服务IT服务窗口”，见下图。3IT服务台（热线电话：8867）点击IT服务进入IT服务台如果您有微机、办公软件、操作系统、通信、应用系统方面的故障，或者您需要重置密码、批量提取数据，或者你不知道跟IT相关的问题该如何解决需要咨询IT人员，都可以填写该服务单，我们会有专业人员为您解决问题。如果您因为工作变动，需要变更您名下的IT资产时，请填写该单子，IT资产包括但不限于以下这些设备“电脑主机，显示器，笔记本电脑，打印机，复印机，投影仪，摄像机，PDA等”。当现有系统不能满足的业务管理改进需求，需进行系统改造、修改或新建时，业务可提交需求单，例如开发新程序、系统配置调整等。需求单提交后，IT将指派专人进行分析，在承诺的时间内内提供解决方案并实现完成，需求分析和实现过程将按影响范围由不同层级审批。如果您因为工作需要申请使用笔记本电脑（非借用），请您填写该单子，审批通过后IT人员会给您配备笔记本电脑如果您需要申请台式机，打印机，投影仪，复印机，扫描仪，PDA，电话，网络连接或者其他硬件设备，请您填写该服务单，审批通过后，IT会联系您领取申请的设备如果您需要借用笔记本电脑，瘦客户机，投影仪，请您填写该单子，审批通过后，IT会联系您领取申请的设备各部门文档管理员专用，用于联系IT文档系统管理员调整岗位与人员对应关系，普通用户无权限1,如果您需要申请“EIP，RTX，邮箱，SAP，配置器，CRM，国内/海外服务网，供应商门户，LES，QM，APS，VPN”账号，请您填写该单子，审批通过后IT有专人负责开通您的权限。2,如果您需要申请“电子传真，短信平台，邮箱扩展功能，USB，即时通讯，外网，外邮”权限，也请您填写该单子，审批通过后IT有专人负责开通您的权限。4信息安全应知应会IT服务概述信息系统介绍及注意事项IT设备服务介绍及注意事项5宇通信息双平台宇通经过十余年的信息化建设，已建成EIP+ERP双平台，其中EIP（企业信息平台）面向管理，ERP（企业资源计划）面向业务，众多应用系统分别部署在这两个平台上。SAPCOFIHRMMPP供应商门户售后服务网PLM质量信息网订单配置器……数据总线SD……EIP流程文档……新闻6平台及系统模块详图PLMSCMCRMSSMEIPERPEDB宇通信息门户EIP

/企业门户WWW/合作伙伴协同门户SNSOPSOP分析EA企业架构FA财务分析PE工作协同CA竞争分析KM文档管理PMS销售分析PTM项目与任务IC信息服务HD服务台TC通信服务IS信息安全BP客户管理APS高级排产PT考勤管理DMS产品文档CM资金管理IOV车联网SM供应商管理EC卡务管理PP生产计划SE服务工程ECM工程更改PY薪酬管理EM费用管理SC采购管理OC配置器QM质量管理MM物料管理SD订单管理BOM物料清单SO维修管理CO管理会计GB担保业务PB招聘管理OBM海外商务PA组织与人事CAXITSMIT管理MES生产执行LES物流执行SP配件管理CCC客服中心FI财务会计客户数据员工数据产品数据合作伙伴车辆数据订单数据质量数据EA数据R&DO研发分析QC质量分析SC服务分析已有图例：需建设需扩展KPI绩效管理7宇通快讯，用图片形式展现宇通大事宇通公告/红头/体系公告，用文字形式报道公告信息这里汇聚了您所有的待办和待阅事项常用资料EIP介绍—首页8EIP介绍—工作台点击“流程中心”，可以提交/查看审批流程点击“文档中心”，可以上传/查看您的所有文档应用系统的快捷入口9EIP介绍—服务台（IT，HR，财务，技改，综合）10EIP介绍—企业文化，企业架构，管理创新，知识社区11EIP介绍—门户导航（包括各体系的二级门户）12宇通选用业界最先进的ERP系统—SAP，主要用于物流，生产，销售，研发，质量及售后等业务数据的处理，全面覆盖公司人、财、物、产、供、销的运营管理。ECC6客户/服务器ABAP/4FI财务会计CO财务控制TR财富管理PS项目管理WF工作流程管理IS行业解决方案MM物料管理HR人事管理SD销售与分销PP生产计划QM质量管理CS客户服务WM仓库管理ERP介绍-SAP13SAP标准解决方案示意图库存管理仓库管理财务管理建议计划生产物料需求计划发货转储采购收货销售与分销发票校验发票需求库存预测订单14通常接触到的各种信息系统均为正式环境，严禁在正式环境中进行尝试、练习。对信息系统的各种操作都应该在指导人的指导下完成，或者咨询IT分公司。信息系统中有大量的业务保密信息，严禁将保密信息摘抄后外泄。信息系统的不同操作需要的运行时间不同，出现明显的超时操作应尽快停止。严禁在正式环境中进行数据的海量查询，例如查看一整年的物料出入库记录。每个员工都需妥善保管系统口令，并在使用信息系统后及时登出。信息系统使用注意事项15信息安全应知应会及案例分享IT服务概述IT设备服务介绍及注意事项信息系统介绍及注意事项16IT设备服务介绍1、设备维修与升级必须由信息技术分公司负责完成，不允许私自处理。2、严禁员工私自安装计算机操作系统。3、用户报修方法：EIP中填写服务单或拨打8867服务热线反馈。1、申请条件：部门有预算，且业务需求符合《信息终端使用管理规范》和《笔记本电脑使用管理规范》。2、申请方法：通过EIP服务台提交服务单，经部门领导的合理性审批和IT的合规性审批后方可配发。1、每台设备都有固定的责任人，不允许私自调配。2、使用人变更或离职必须上交设备。3、员工离职或者调离所在部门时，必须知会信息安全管理人员进行信息安全离职审计，确认在职期间没有违反信息安全相关管理规定行为后，方可以办理相关手续。申请报修上交服务范围：受理用户对于台式电脑、笔记本电脑、打印机、交换机、电话、投影仪、扫描仪及其它存储介质等的申请、报修及上交。17所有信息终端设备的配备依照“对岗不对人”为原则，即设备跟岗位相匹配，不能随人的变化而变化，设备只能通过收回和配备流程进行变更。所有信息终端设备责任到人，不得出现无人负责的设备。笔记本配备标准：长期驻外且需要经常移动办公的人员。笔记本借用规则：使用人至少提前2天提交“EIP借用笔记本申请”流程，借用期1个月以内需要部门领导审批，借用期在1个月至3个月之间的需要增加体系总监审批。笔记本电脑的连续借用期不允许超过12个月。IP地址设置为信息技术分公司统一配置，严禁员工擅自更改IP地址。禁止下载、制造、传播与工作无关的文件。所有员工的上网行为（包括QQ\MSN聊天信息与文件发送、浏览网页、WEB邮件、FTP上传等）公司都将进行监控与信息备份。禁止利用公司网络资源进行任何与工作无关的事，公司网络资源24小时只能用于工作。IT设备申请及使用注意事项18IT设备服务介绍及注意事项IT服务概述信息系统介绍及注意事项信息安全应知应会19什么是信息安全

信息安全是指软硬件等业务系统产生的数据收到保护，不因各种原因而遭受到破坏、更改、泄漏，系统连续可靠运行，信息服务不中断。信息安全三要素

保密性、完整性、可用性20根据统计，全球排名前1000的大公司，平均每年发生2.54起商业间谍事件，损失总数高达上千亿美元。2007年5月，韩国起亚汽车公司新推出“索兰托”车型，起亚公司内部9名员工因涉嫌向中国的汽车制造企业（疑为河北天马和安徽奇瑞）出售车身自动组装技术等技术信息而被韩国检察局起诉，涉案金额达2.3亿韩币。我们面临的各类威胁21总体目标：通过有效的技术与管理措施，使企业信息资产免遭威胁，或者将威胁带来的损失降到最低程度，保证信息资产的保密性、完整性和可用性，确保公司业务的正常运作。总体策略：体系化：信息安全不靠自觉，也不是救火，而是日常工作和绩效的一部分，除流程、技术、制度、组织外，还包括教育和审计可控性：你是谁？你可以做什么？-权限管理可审计：你做了什么？信息安全总体目标22TOPEA为宇通所定义的信息安全体系结构，该结构以信息安全技术做支撑，面向明确的信息安全管理目标和总体策略，通过组织，流程，教育和审计的全面协同机制，形成宇通信息安全管理体系，并依靠其自身的持续改进能力，始终同步支持公司业务发展对信息安全的要求。信息安全管理组织Organization信息安全管理流程Process信息安全教育Education信息安全审计Audit宇通信息安全目标与策略信息安全技术Technique信息安全TOPEA模型23审计原则：定期、透明、及时、业务影响最小。审计流程：审计内容：1、管理审计：主要审计信息安全管理相关制度的执行情况；2、技术审计：主要从技术方面审计信息资产的安全程度，包括授权审计、用户访问审计、信息输入输出日志审计、邮件发送日志审计、档案借阅日志审计、病毒感染、互联网访问、数据备份、个人电脑文档审计等；通报机制：1、在日常工作或者审计中发现信息安全问题，员工和审计人员应及时向信息安全管理小组汇报；2、根据审计结果，信息安全小组定期对全公司各体系信息安全的状况进行评估，并形成书面报告，提交信息安全管理委员会。

由信息安全管理小组负责，及时捕获和处理信息安全事件，为信息安全管理提供考核依据，通过审计确保信息安全管理的高度执行力和持续改进。信息安全审计24信息是一种资产，它涵盖由宇通公司员工所创造的所有信息，同其他重要的商业资产一样，对一个组织而言都具有一定价值，需要加以保护。信息保密根据其价值、敏感程度、泄漏给企业带来的影响不同，可分为绝密、机密、保密三个级别。绝密最重要的企业秘密，一旦泄漏，会对公司的正常运营带来特别严重的损害，降低公司市场竞争力、销售收入或盈利能力；比如直接影响集团公司权益的重要决策文件（永久期限）；机密重要的企业秘密，一旦泄漏，会对公司的正常运营带来影响，引起法律纠纷或影响部门、企业、合作伙伴间的合作关系；比如公司人事档案、合同、协议等；（5年期限）保密绝密和保密范围外的其它信息资产，在宇通员工范围内均可以查看。（3年期限）信息资产的保密级别25指对有意盗窃、泄密公司保密信息的，或者有意违反信息安全管理规定，性质严重造成重大损失的行为指对有意违反信息安全管理规定，性质严重或造成公司损失的行为指对有意违反信息安全管理规定，性质严重或造成公司损失的行为指对违反信息安全管理规定，性质较轻，没有造成公司损失的行为一级违规二级违规三级违规四级违规信息安全违规的等级划分26违规信息安全违规信息安全违规信息安全违规信息安全四级违规未经批准，安装公司非标准或注册软件通过各种信息通信方式（邮件，USB,RTX即时通信等）发送传递与工作无关文件(人数少,性质不严重)未按公司规定机箱上锁和封闭USB口利用公司互联网访问工作无关的网站，或无报备连续24小时下载超过1G的与工作无关的文件信息安全在执行审计或安全流程过程中，员工有意为难或阻止执行常见的信息安全违规行为-四级违规27违规信息安全违规信息安全违规信息安全违规信息安全三级违规未经批准，访问游戏，娱乐站点及与工作无关的任何站点未经批准，在公司信息系统范围内通过其它方式登陆互联网或盗用合法用户IP访问互联网未经批准，转借信息系统帐号或随意将密码告诉他人非正当渠道获取或传递保密文档未按照信息资产分类授权表的信息资产授权范围，私自将公司文档或信息授予未经授权的任何其他人员（包括公司人员和非公司人员）损坏、泄露保密级以上级信息；或因个人操作不当，对公司信息资产的保密性、完整性、可用性造成危害，导致较小影响和破坏的信息安全事件。常见的信息安全违规行为-三级违规28违规信息安全违规信息安全违规信息安全违规信息安全二级违规常见的信息安全违规行为-二级违规发送与工作无关连环邮件(人数多,性质严重,影响范围大)访问不健康网站或通过各种信息通信方式（外网邮箱，QQ，MSN等通信工具）向外部发送公司未经授权发送的公司文件。未经允许，在各种媒体、公众场合发表与公司有关的评论或言论或文章未经批准，私自转借笔记本电脑及各种便携存储设备私自刻录文档，盗用他人帐号非法收集大量与本岗位工作无关机密级以上文档员工在离岗期间未按照公司《员工离岗调动规定》，私自删除，拷贝，修改自己终端计算机系统内的信息资产未按照公司IT设备相关规定私自调配使用IT资产29违规信息安全违规信息安全违规信息安全违规信息安全一级违规常见的信息安全违规行为-一级违规有意散布传播政治性言论或公司内部未公开的信息恶意攻击公司网络和信息系统，编制或传播病毒程序有意窃取、盗卖公司保密信息，恶意损坏、泄漏机密级以上信息；因个人工作原因造成的绝密信息资产丢失(包括管理员备份的电子文件,数据库文件无法正常恢复，以及员工自己保存的纸质文档电子文档信息资产)。301、信息资产只用于授权范围内使用。各体系部门产生的所有文档都要加注信息安全封面，特别要明确保密等级及授权范围。将信息资产输出到公司以外范围时，需经领导审批同意后向部门信息安全管理员登记备案。2、经过正常授权获得保密信息的人员无权将所获得的保密信息再授权，也不得提供给任何未经授权发送的第三方。禁止员工私下交流保密信息。

3、办公室信息安全员工下班后桌面上不能有保密级以上纸件文档；员工离开座位超过10分钟，桌面上不能有保密级以上文档；保密信息文档应放在带锁抽屉或保密柜内；未经批准，严禁员工和来访人员在办公区域使用照相机或其他录像设备。4、会议信息安全会议的信息安全由会议召集人负责，会议的录音、录像应由会议召集人或其指定人员妥善保管，如需重复使用，则使用前应删除原有内容；会议结束后应有专人清理会场，回收清点核对会议资料并妥善处理。信息资产的使用及发送注意事项311、《宇通集团信息安全管理规范》2、《信息终端使用管理规范》3、《宇通集团信息安全审计管理细则》

4、《电子文档管理规范》5、《笔记本电脑管理规定》公司现行信息安全相关管理规范32案例一：1964年《中国画报》大庆在齐齐哈尔与哈尔滨之间油井直径油田储量及产量中国政府向全球征求设计方案并采购设备时日本公司一举中标中国建国第一泄密大案33案例二：

供应链体系某员工，EIP登录密码保管不善，密码被其他员工获取。该账户被他人盗用后，在网络上发布公司生产安排等涉密信息，给公司生产安排造成了损失。最终被罚款300元。2009年9月，技术体系某员工在内部论坛，将正在研发过程中的房车技术资料作为附件上传，全公司范围内都可阅读下载，属于严重泄密，最终被罚款1000元。34案例三：

生产体系部分员工将系统登录密码、EIP登录密码、SAP登录密码明文记录后公开张贴，最终被罚款300元。

所有系统登录密码均