信息安全与资源管理制度

WI信息安全与资源管理制度文件编号REV版本WI-XXXB1of9制定本制度的目的是规范公司信息安全和信息资源管理，确保公司信息安全能够支持公司业务的连续性，降低和避免信息安全对公司业务影响的风险；有效管理公司信息资源，保证信息资源能够被合理和有效使用。2.范围2.2本制度适合所有使用公司信息系统和信息资源的公司员工(含分/子公司)；信息系统包括但不限事与考勤系统、财务系统、产品开发系统等等。3.定义3.1公司各部门：指已列入集团行政管理序列的分/子公司或专项工作机构。3.2部门主管：指部门负责人(经理、总监、副总经理或事业部总经理等等)。特网。非有特殊批准)。用户。3.7绿色局域网：指标准环境网络段(标准生产网络段)。4.权责全意识，4.2.2警惕所有与安全相关的活动/行动，4.2.3离开无人照管的终端设备时必须退出系统或锁定电脑屏幕，人同意不能擅自进入他人电脑，4.2.5不能非法闯入其他的帐户和破解他人的密码，4.2.6不能使用或尝试使用没有授权的接入方式或技术，4.2.7即使你有修改文件的权限也不能修改不属于你自己的文件或者别人没有授权你修改的文件，WI信息安全与资源管理制度文件编号REV版本WI-XXXB2of9，和信息安全管理员4.4.2负责提供系统接入授权，编制信息保密及用户授权使用指南和安全机制，确保授权的用户接入网络和应用系统，没有授权的用户将被拒绝接入公司网络和系统，同时实施接入痕迹跟踪和审核；4.4.3定期回顾重要信息系统和数据确保用户授权服务和重要业务信息保护是安全和受控的，4.4.4信息安全工程师负责建立、维护和管理帐户密码授权，定期审核用户授权清单与系统实际授权的一性，5.作业内容要进入机房时必须申请，申请由信息管理部总监审批，且必须由信息管理部系统管理员或数据中心理部指定专人作为数据中心责任人，负责数据中心日常安全管理，设备、环境和数据备份检查，协助数据中心系统管理员、网络管理员和数据库管理员维护服务器及相关设备。5.1.3数据中心内不准大声喧哗、打闹及从事任何与数据中心工作无关的活动，禁止在数据中心吸烟及食物和饮料进入机房；数据中心设备应保持整齐有序、地面清净。禁止在数据中心设备上随意读写个人携带的光盘和磁盘，以确保设备和网络系统的安全。各服务器必须安WI信息安全与资源管理制度文件编号REV版本WI-XXXB3of9统配置时，必须填写系统更改申请表，得到部门总监批准并登记后方可进行相关操作；完毕后在变更申请表中签字确认并交部门备案。5.1.6服务器必须安装防病毒软件，作好病毒的防范工作，并保证服务器/客户端引擎版本和病毒码版本的及时更新，做好公司所有计算机用户的客户端病毒防范工作。5.1.7严格遵守保密制度，加强数据资料安全保护，数据中心对各类重要文件、文字资料、报表数据、声像资料及时备份；备份保存时间根据公司制度和国家相关法律法规执行；所有公司资料未经允许不得私自拷贝、下载和外借。作、管理，其他人员没有相关授权不得对数据中心设备进行操作。数据中心任何设备的开启、运行、关闭和变更必须经过信息管理部总监同意或授权；系统管理员要按操作指南执行。5.1.9建立信息系统和主要设备的安全运行日志、事故记录、紧急事故预案。5.1.10系统运行发现异常或事故必须认真做好相关记录，及时上报主管领导；不得越权自行处理或启动相关的紧急预案。对异常或事故的解决方案要做记录和文件归档以便未来参考。5.1.11对机房设备或应用软件/系统的操作，一旦影响到客户端用户的正常使用，必须提前通知用户以便于用户妥善处理相关业务。5.1.12应定期除尘，保持数据中心工作环境整洁，在除尘时应确保设备的安全。保持设备干净整洁，设备时佩戴防静电手环。5.1.13外来人员参观机房须执行审批流程并由专人陪同；进入数据中心后，未经许可不得擅自操作数据中心内设备。数据中心管理员按陪同人员要求进行演示和答询；对参观人员不合理要求，陪同人员应婉拒。5.1.14强化安全防范意识，出入数据中心必须随手关门。5.1.15数据中心处理机密事务时，不得接待参观人员或靠近观看。5.2.1任何人在未经批准的情况下，不得向其计算机安装软件。5.2.3使用人在离开电脑时应退出系统或锁闭系统，防止数据泄密。5.2.4任何人未经用户本人同意不能擅自进入他人电脑，WI信息安全与资源管理制度文件编号REV版本WI-XXXB4of95.2.5不得将工作电脑从固定工作场所移走，除总监及以上领导可携带笔记本外出办公外，其他人员携带电脑出入公司须经分管领导批准，在信息管理部备案，开具放行条/卡后方可带出使用。5.2.7信息管理部指定专人负责各区域计算机的病毒检测和清理工作。5.2.8公司所有职员的私用计算机设备带入厂区宿舍必须到信息管理部备案。5.2.9严禁私用计算机设备接入公司网络(如特殊需要必须申请)。5.2.10各部门计算机信息系统的保密管理实行个人责任制，因个人原因导致资料泄密的由个人负责。5.2.11员工因工作调动或者因故离职，其使用的电脑必须归还信息管理部或移交给部门的工作接替人员，电脑归还到信息管理部前部门负责人必须确保电脑数据移交和备份成功(需要信息管理部协助数据移交和备份的必须说明)；否则，信息管理部视电脑里数据已经移交和备份，并将对回收的电脑进行系统重新安装。5.2.12公司配备的电脑实行使用者负责制，隶属公司资产，由信息管理部统一负责管理分配。可和产品评测等资质，并符合国家的相关规定。网络的健康状态，观测网络流量。5.3.4网络系统自运行开始必须作好备份与恢复等应急措施，一旦系统出现问题能够及时恢复正常。网络管理员负责制定网络系统的备份与恢复方案。5.3.6因工作需要接入互联网，使用人提出申请(总监及以上人员除外)，部门主管审批。信息管理部根据5.3.7接入互联网的计算机在工作时间内严禁在互联网上做与工作无关的操作(聊天、玩游戏、看电影，炒股、购物等)；严禁使用WEB邮箱和下载工具；信息管理部对上网进行监控。5.3.8不得利用公司网络从事危害公司和社会利益的活动，也不能发表不适当的言论。法律、行政法规和国家其他有关规定，严禁访问和宣扬封建迷信、淫秽、色情、WI信息安全与资源管理制度文件编号REV版本WI-XXXB5of9赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。5.3.10严禁任何利用公司互联网散布对公司形象不利的言论或散布公司内部纠纷事情(包括以邮件、博客、微博、网站、网页、论坛、在线咨询等一切形式发布)。5.3.11发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、公司的利益和他人的合法权.3.12因工作需要使用拨号上网的，必须做好病毒防护措施。5.3.13做好系统用户名和密码的保密工作，个别涉及公司机密的电脑需安装网络安全隔离卡，防止公司秘5.3.14发现有害信息应当及时向有关主管部门报告，并采取有效措施，不得使其扩散。制、查阅和传播下列信息：5.3.15.1煽动抗拒、破坏宪法和法律、行政法规及集团法规实施的5.3.15.4煽动民族仇恨、民族歧视，破坏民族团结的的犯罪的5.3.15.7公然侮辱他人或者捏造事实诽谤他人的5.3.15.9其他违反宪法和法律、法规及公司制度的按流程经领导签发后，品牌部发布到外网。5.3.17网站所有内容的版权(含图片)归公司所有，未经同意，任何单位和个人不得转载、转发和用于其途或牟利。5.3.18客户终端的网络及语音线路，终端使用者有责任和义务进行保护。要做好相关的访问控制(如：身份识别、访问操作控制、审计跟踪等)。5.3.20网络管理员每周监控企业防病毒服务器的升级情况，监控机房中服务器杀毒软件的更新情况，在服WI信息安全与资源管理制度文件编号REV版本WI-XXXB6of9客户端计算机发出病毒预警。并制定病毒爆发后的紧急处理预案，以便快速恢复系统。协同办公系统实行统一管理和维护。5.4.2普通用户的所有公网个人邮箱不得在公司内使用，只能使用本公司邮箱。因业务及特殊需要通过公网发文件夹保存副本备查。5.4.3原则上各部门可以设立一个部门专用邮箱用于部门信息发布和接收。发布与公司业务无关的内容,更不能将与公司业务无关的邮件发给所有公司用户．例如：个人是否与业务有关)。5.4.5不允许发布与国家有关法律、法规、政策和规定不符的信息(包括但不限于:色情,暴力,国家安全,招聘及相关法律禁止的内容)。户及密码(原则上以邮件形式通知)。5.5文件及资料保存与共享管理5.5.1公司将按部门和人员在文件服务器上建立共享资料夹，个人共享文件夹内用于存放个人的数据，部门文件夹用于存放部门人员文件及不能通过邮件传送的文件。公共文件夹用于存放临时放置的文件，每周定期清除。员工要承担相关责任。5.5.3部门和人个文件夹防问授权由文件夹的拥有者和部门主管领导授权。5.5.4部门领导有权访问其部门文件夹和部门员工个人文件夹。5.5.5禁止任何人员越权共享资料。公司资料或文件共享必须由部门总监及主管领导审批；越权提供或读取WI信息安全与资源管理制度文件编号REV版本WI-XXXB7of9共享资料者，视同为泄密或窃密。5.5.6系统管理员应提高安全认识,禁止非工作人员操纵系统主机；每周检查主机登录日志，及时发现不合5.6数据备份及存储管理5.6.1所有数据备份采用每天增量备份、每周全备份机制，且每月进行一次备份数据恢复检查，备份采用5.6.2数据库管理员负责数据库备份，数据库备份每日零点后进行备份，原则上保留三天版本，数据库管理员必须定期检查并确保备份操作成功，备份磁带必须由专人保管，并存放在温度、湿度适宜的地方。备、防尘、防磁、防盗设施。5.6.3邮件服务器和文件服务器上的数据信息备份采用每天增量备份和每周全备份机制，采用磁带备份方式，备份保留至少一个月。部门及相关部门负责人批准，信息管理部门确认后授权给系统管理员执行操作，在执行操作之前必须做好数据备份工作，操作完成后在申请单上签字确认(执行变更流程)。5.7帐户和密码管理系统必须使用密码认证方式登录。定期更换；密码更换时间为六个月，原则上不可以使用前3次使用过的密码；超级用户密码由系统管理员掌握，打印密封并保存在安全的位置。理员日常维护不可以使用管理员帐户登录系统，应该使用自己本人的帐户登录系统；如果需要使用管理员帐户登录时必须要有记录；一旦系统管理员帐户被其他人员使用就必须立即更改(如：系统管理员备用人员)。5.7.5用户帐户仅限于本人使用，不得以任何方式将账户和密码告之或转借他人，不得窥视或盗用他人的账户和密码。5.7.6所有电脑本机管理员密码由信息管理部统一设置，任何人不得随意更改本地管理员密码。5.7.7任何系统帐户必须根据公司流程申请和审批(原则上OA帐户根据人事系统员工号信息直接分配)。WI信息安全与资源管理制度文件编号REV版本WI-XXXB8of9户。5.8软件管理5.8.1软件的使用必须符合国家《知识产权法》，所有员工都不能擅自在自己使用的电脑中安装与工作无关的软件，也不能擅自安装公司没有“许可证”的软件。5.8.2公司所有电脑(包括台式机、手提电脑和服务器)必须预装经过信息管理部确认的操作系统、安全软件和应用软件。如果由于系统故障需要重新安装操作系统的，必须经过信息管理部确认，用户不允许私自重装操作系统(如用户在外地工作，不能得到信息管理部协助的，可以暂时自己或在相关人员指导下重装系统解决问题，但必须通知信息管理部以作登记，并在回到公司后立刻交给信息管理部授权工程师重新安装由公司审核的操作系统。公司所有电脑严禁安装以下软件：4)其它对公司网络有监测和攻击的软件.5.8.4公司所有电脑安装的软件必须得到信息管理部确认，如遇工作需要必须安装的软件可由使用人填写软件安装申请表，经部门主管领导和信息管理部总监同意后，由信息管理部负责安装备案。将实施DHCP)，所有客户机IP地址是由信息管理部分配的；为了确保公司网络正常运行，在未经公司信息何时间，通过任何计算机私自故意进入本公司任何一个IP地址且不论时间长短的行为