信息安全管理指引

.目的为了科学、有效地管理，促进网络系统安全应用、高效运行，充分发挥网络作用，保证局域网的安全、全公司及客户的所有产品制作、管理、发放、回收、销售及销毁，为确保客户及我公司产品所有产品信息不被泄露。.适用范围公司信息安全管控的过程。.职责项目组：负责编制客户代码。QC：负责所有来料、半成品及成品的检验。仓管：负责所有产品、物料的发放、管理、整理。品质主管：确认生产中产出的不良品的管控。保安队长：负责对来访客人的指引，对品牌保护政策的宣传和对员工的相关培训以及监管成品、半成品、不良品等的销毁工作。.6销售部工程师：负责确认客户提供的样品。集团IT工程师：负责公司IT设备、程序的安装，网络的安全及门禁系统的管控。各部门实际操作人员：负责对IT设备的日常保管和正确的操作使用。集团人力资源部：负责监督执行各项工作的开展及执行及保密相机的管理与照片读取的审核。.工作程序信息安全管理小组.1.1公司组织成立信息安全小组（见附件组织架构），由小组成员定期对公司的信息安全运行状况进行监督检查及跟进改善；.4.2信息安全管理小组组长负责每月定期组织小组成员召开一次会议，并保留会议记录。4.2客户信息安全控制客户名称、地址为公司的秘密信息，为对此信息进行管控，所有客户均以代码形式出现。4.2.1销售部在客户开发阶段，尚未建立客户代码，由销售部业务员自编代码，待客户导入后才申请正式的代码；4.2.2当客户正式导入后，由销售部将相关资料如正式订单、营业执照、开户行等信息提交给项目组，由项目组根据产品类型确定此客户为A类、B类或C类，再根据流水号进行编号，最终形成“AXXX”、“BXXX”或“CXXX”，此为最终的客户代码；4.2.3公司各部门沟通及生产流通的相关记录（如工程单、打样单、生产排期、生产日报表、出/入仓单、各工序制程管制表、成品检验报告等等），只可出现客户代码。3技术资料安全控制技术资料包括产品信息、工艺文件、客户标准、客户订单、图纸、BOM表、内/外部会议记录等等均为公司机密资料，未经允许禁止泄露。3.1研发禁止使用USB,设置单独的房间用于放置服务器，放置服务器的房间应上锁，只有授权人员方可进入；3.2研发设置门禁并安装CCTV,非此部门人员禁止入内，若因工作原因需要进入需得到研发经理的许可；3.3所有人员不得以任何方式泄露公司的技术资料，电脑禁用USB,若因工作需要使用USB,必须用的在0A填写《可移动介质权限申请表》，经部门总监审核，集团IT部总监批准方可开通其电脑权限；3.4所有人员不得私自将客户产品图案或结构用于其它客户的产品上；3.5涉密项目的关键岗位人员，禁止参与对应客户竞争对手的项目；3.6技术资料存储柜需上锁；3.7文档打印4.3.7.1所有人员不得私自将公司文件打印带出公司，若在上班时间打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，若因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件；4.3.7.2研发技术资料禁止打印；对于涉密的部门（设计开发部项目组）需安装加密网络内的打印机1）涉密内容只能在加密打印机上打印；普通网络下的电脑无法连接到加密打印机。2）因工作需要打印涉密内容，打印者需在涉密软件客户端在线申请打印，部门经理批准后方能打印成功。3）对加入加密网络内的电脑屏幕打印启用水印功能，用于事后泄密追踪的审计。4）各部门打印的涉密内容纸档都不可随意存放，需管控在涉密圈内的人员才有权限查看的地方。4.4拍照控制4.4.1工厂在厂区门口、接待室、展厅、各车间张贴“禁止拍照”的标识。4.4.2员工、访客进入生产区域时随身携带的手机、相机等有摄像功能的设备需交保安贴膜。保密车间严禁携带手机进入（针对在保密车间办公的管理人员，公司为其配备无摄像功能的手机）；保密车间，员工的手机需放在手机柜并上锁。4.4.4拍照权限：4.4.4.1公司为人力资源部配置1台专用拍照相机，相机上张贴“保密专用”标识，数据传输端口贴易碎标签，防止拍照者私自读取照片；4.4.4.2所有非保密车间员工、访客如需进入保密车间拍照，必须写《工作联络单》

经过车间最高主管审批后，才能对指定区域或工厂设施进行拍照；4.4.4.3被批准可以拍照者需凭已审批的《工作联络单》到人力资源部借用相机，人力资源部需做好保密相机的借出/归还登记；4.4.4.4访客拍照时必须有本厂人员陪同，禁止近距离拍摄产品；4.4.4.5公司为人力资源部授权1台电脑主机负责读取照片，所有照片需经人力资源部指定人员审核，确认无泄密风险后才能读取。4.4.5员工、访客未经许可，私自拍照时车间主管有权制止并向管理层汇报。4.5样品控制4.5.1打样区域设立门禁系统，授权人员方可入内；4.5.2样板在其他部门流转时须用白纸覆盖其表面；4.5.3样板制作人员须将样板数量详细记入《生产日报表》中；4.5.4样板制作过程中产生的不良品按《知识产权保护管理程序》进行报废处理；5.5所有样品必须在大货走货后6个月才可以展示在样品展示室。4.6带客户标识的物料/辅料控制物料/辅料仓为受控制区域，仓库主管应对进入仓库的人员进行监督，以防止无关人员进入。6.2对于带有客户商标的物料/辅料，必须存放于受控制区域，如带有锁的柜子里，并进行杨^识。6.3仓库人员在收到各类带有客户标识的物料/辅料后，先点清数量，进行品质检查后分类贮存，并锁好。每种物料/辅料储存处都要有完整的记录收、发、存的物料管制卡。如条件允许，应将所有的收、发、存情况记录于电脑中，以清晰知道每种物料/辅料的库存状况。发给各生产部的带客户标识的物料/辅料，如数量不足时应填写《生产领料单》经生产总监批准后方可再领取。在生产过程中，带客户标识的物料/辅料如有毁坏或不良时，要以毁坏品或不良品换取相同数量的新物料/辅料。6.7在生产过程中，带客户标识的物料/辅料如有个别遗失，要立即通知车间主管，经查找，确不能找回的，经车间主管和仓管确认后，方能补发。带有客户标识的物料/辅料，如有不良品或过期不能再用，要定期（如每3个月）进行销毁处理以免混乱。不良品或过期不能再用的物料、辅料应存放于指定的区域，如仓库，进行标识，并有库存记录。销毁之前，仓库应填写《报废申请单》，将建议销毁的物料/辅料款号、名称、规格、颜色、数量等进行记录。销售部CSR或业助应通过电子邮件的方式告诉客户或贸易公司相关人员，获得同意后方可进行销毁。工厂应保留客户或贸易公司同意销毁的电子邮件或其它书面记录。6.11销毁的方式可以为切纸机切断（切成2段）、打废纸机切断等。6.12销毁时，要有品质人员、保安人员现场监督执行。销毁的全过程要进行拍照，制作成销毁记录（该记录内容包括销毁时的照片、监督人员姓名及日期、公司盖章等），与客户或贸易公司同意销毁的电子邮件或其它书面记录，以及销毁清单一起至少保存1年。4.7不良品控制本公司的不良品是指在生产过程中某些原因导致的不能满足客户要求的调机品、半成品和成品。4.7.2不良品应存放于指定的区域，进行标识。保密期的不良品，生产部统一交接给各事业处的最后一道工序并保留交接记录，待客户产品正式上市后方可销毁。4.7.4销售部CS或业助应通过电子邮件的方式告诉客户或贸易公司相关人员，获得同意后方可进行销毁。工厂应保留客户或贸易公司同意销毁的电子邮件或其它书面记录。4.7.5销毁之前，品质部应填写《报废申请单》，记录建议销毁的不良品工程单号、料号、名称、数量等内容。4.7.6销毁的方式可以为切纸机切断（将带有的品牌标识切成2段）、打废纸机切断等。4.7.7销毁时，要有品质人员、保安人员现场监督执行。4.7.8销毁的全过程要进行拍照并且录像，制作成销毁记录（该记录内容包括销毁时的照片、监督人员姓名及日期、公司盖章等），与客户或贸易公司同意销毁的电子邮件或其它书面记录，以及销毁清单一起至少保存1年。4.8样板、成品货尾、不符合出货品质要求的成品、取消订单、退回产品（RTV）等销毁控制程序4.8.1上述成品必须存放于制定的区域，进行标识，并有库存记录。4.8.2必须是大货走货后12个月以上才能向客户申请销毁。4.8.3处理前必须将数量、料号、颜色、相片等资料交给相关品牌的客户批核同意，获得授权书或认证书后才可进行销毁。4.8.4跟据客户的要求，进行处理后方可销毁，如：移除所有品牌标识或涂上擦不掉的墨水（如果不能移除标签），并进行拍照。8.5所有销毁记录必须保存至少1年。.9本公司的保密产品不允许外发加工。.10网络和数据安全控制10.1局域网安全与信息管理10.1.1局域网的安全管理，应当保障计算机网络设备和配套设施的安全，保障网络系统的正常运行，保障信息系统的安全运行。局域网的所有工作人员及局域网用户必须遵守国家有关法规，严格执行安全保密制度，并对所提供、所传播的信息负责。10.1.3局域网入网的计算机必须严格遵守公司的相关规定。10.1.4任何部门或个人不得利用计算机网络从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机网络及信息系统的安全。10.L5任何部门或个人不得利用计算机网络浏览和传播色情网站、反动网站，坚决杜绝色情、反动、暴力等有害信息在局域网的传播。10.1.6局域网的工作人员和局域网用户必须接受本公司有关管理部门按章依法进行的网络系统及信息系统的安全检查。10.L7在局域网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。禁止在网络上发布不真实的信息，不得使用网络进入未经授权使用的计算机，不得以虚假身份使用网络资源等。10.1.9任何部门和个人不得私自将计算机接入局域网。10.L10任何部门和个人不得盗用局域网资源。局域网用户必须对提供的信息负责，不得利用网络从事危害公司安全、泄露公司机密等犯罪活动，不得制作、查阅、复制和传播有碍社会治安和不健康的、有伤风化的信息。10.1.12严禁制造和输入计算机病毒以及其他有害数据危害计算机信息系统的安全。10.1.13发现违法犯罪行为和有害的、不健康的信息，局域网用户应及时报告公司集团IT工程师。10.1.14各部门对上网信息要进行审查，严格把关，凡涉及国家及公司秘密的信息严禁上网。严禁浏览、复制或传播下列信息：1）煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；2）煽动抗拒、破坏宪法和国家法律、行政法规的实施；3）捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；4）公然侮辱他人或者捏造事实诽谤他人；5）宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等；局域网严禁以下行为：1）未经批准私自连接集线器、交换机等网络设备；2）用各种手段私自切断他人网络连接；3）通过扫描、侦听、破解口令、安置木马、远程接管、利用系统缺陷等手段获取他人信息；4）通过局域网向与其无被管理关系和信息服务关系的用户乱发垃圾E-Mail；5）冒用他人名义从事网上活动的；6）故意制作、传播计算机病毒等破坏性程序；7）使用信息炸弹，致使局域网系统或连网计算机系统发生阻塞、溢出、处理机忙、资源异常消耗、死锁、瘫痪等运行异常的的行为。4.10.2数据保密及数据备份4.10.2.1根据数据的保密规定和用途，确定使用人员的存取权限、存取方式和审批手续。4.10.2.2禁止泄露、外借和转移专业数据信息、。4.10.2.3制定业务数据的更改审批制度，未经批准不得随意更改业务数据。4.10.2.4每周五集团IT工程师制作数据的备份并异地存放，确保系统一旦发生故障时能够快速恢复，备份数据不得更改。4.10.2.5业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少2年。4.10.2.6备份的数据必须指定专人负责保管，备份数据应在指定的场所保管。4.10.2.7备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。10.3外接存储设备安全管理公司所有电脑默认禁用USB端口及光盘、光驱未经许可，严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中，需凭上级签批的《工作联络单》到集团IT部借用公司存储设备做文件拷贝。10.3.2严禁任何人私自拆开电脑机箱;用户主机贴上封条标签，除集团IT部人员外，任何人不得私自拆开机箱，若集团IT部进行电脑硬件故障排查时，拆除封条标签后，在故障排查结束及时更换新的封条标签。集团IT部将定期检查，若发现有封条拆开痕迹，将查看视频监控记录，追查相关人责任,确保主机内硬盘的安全。加密网络的建立及解除10.4.1新的涉密项目的引入，第一接触部门将涉密内容正式通知到相关组员执行保密要求；当涉密项目已经不需要保密的时候，原发出部门再次发出邮件解除涉密内容。10.4.2各部门工作人员因工作需要开通涉密内容权限和加入加密网络，需提交《涉密内容权限申请表》经部门经理、集团IT总监批准后，通知集团IT工程师加入加密网络。4.11计算机安全控制计算机病毒防范集团IT工程师应有病毒防范意识，每日定时进行病毒检测（特别是邮件服务器），发现病毒立即处理并通知管理部门或专职人员。2采用国家许可的正版防病毒软件并及时更新软件版本。未经上级管理人员许可，集团IT工程师不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测。经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。4.11.2账号和密码安全管理使用者须妥善保管好自己的帐户和密码，严防被窃取而导致泄密，帐户及密码由网络管理员设置后通知员工。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产，设置密码时应注意：密码至少由8位及8位以上的字母A-Z或a-z、数字0-9、非字母字符例如？*$等组合而成。4.11.2.1电脑密码管理：新员工申请帐户时OA填写《IT账号和权限申请流程》完成批准后，网络管理员将在一天内将开通的账户信息通知其本人。每个员工拥有一个公司内部计算机登录帐户，公司所有用户在分配到工作电脑时，应首先更改自己的电脑登录密码。4.11.2.2应用系统密码管理：所有ERP用户及0A用户都将分配到一个帐号密码，密码尽可能置为高安全性的复杂密码，严禁用户将密码设置为如123456等傻瓜式密码，若密码设置过于简单，被其他用户非法登陆后，在ERP中将会非法编制篡改单据，在0A中非法冒用流程管理权限，若产生此情况，将会导致严重的后果；严禁将ERP帐号或0A帐号密码透露给他人，让他人代己做ERP单据或办理0A流程。各类软件安全管理硬件设备的原始资料（软盘、光盘、说明书及保修卡、许可证协议等）交IT部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。4.11.4邮件安全管理4.11.4.1所有因公对外联系的电子邮件一律通过公司邮箱xxx@sz-sunway,com（具体参考《电子邮件和互联网使用规定》）加密网络内的邮箱：将因工作需要接触到涉密内容的人员邮箱进行登记造册，建立白名单，只有在白名单内的邮箱才能接收和查看保密内容。在加密电脑上建立的非白名单邮箱，在发送邮件时需要经过部门经理审计后才能发送成功。计算机操作者安全管理各部门所使用之IT设备皆为公司资产，任何人不可进行恶意破坏。员工对在自己公司电脑内公司机密信息的安全负责，必须启动屏幕保护程序（自动锁屏时间为8分钟内）并带有密码。公司计算机内之硬件，除得到授权外，只可由IT工程组人员进行更换或维护。任何人不得私自打开机箱。4.11.5.4不可利用公司IT设备作私人用途。如发现公司IT设备有任何异常声响或气味出现时，应立即切断电源，并及时通知IT工程组人员进行检修。如果较长时间（超过30分钟）不使用计算机时，须将电脑锁定并关闭显示器之电源。下班后必须关闭计算机主机并切断电源。4.11.5.7计算机系统内任何软件均有版权，软件安装、设定均由电脑工程师专人负责，除得到授权外，任何人不得私自安装、删除或更改软件设置。如工作需要安装软件必须填写0A《IT账号和权限申请流程》，经过批准后，由IT部负责安装。公司计算机内所有数据资料，均为公司资产，受知识产权法保护，任何人不得故意删改。4.11.5.9所有不明来历软件或档案均有可能传播计算机病毒，各电脑操作者如发现有不明来历软件或电子档案应及时通知电脑工程师。4.11.5.10除经上级领导核准外，所有员工一律不能把公司内之数据以任何媒体（包括电子邮件、软盘、硬盘、光盘、U盘、MP3、MP4、手机或打印等）方式发放到公司以外之地方，一经发现，将视作企图盗取公司资料（公司资产）论处。任何人不得利用公司电脑资源下载MP3音乐、看电影、玩游戏，不得利用公司内（外）部邮件服务器或用服务器上共享目录传送游戏程序、音乐、电子小说等以及与工作无关的图片等。4.11.5.12服务器上分配给各部门的空间，用以存储部门日常工作文件（包括日常报表、图纸、相关的文档等），不得作其它用途（如视频文件，个人资料等）。4.11.5.13服务器上本部门数据，应定期进行规档整理。对于长时间或以后都不再用到的数据，要通知电脑管理将其备份后，从现在目录中移除，以节省服务器存储空间，提高服务器工作效能。4.1L5.14任何人不得私自在互联网上下载文件，所有使用电子邮件之员工，若收到不明之邮件时，切勿打开该邮件，应立即删除该邮件及通知集团IT工程师。4.11.6加密网络内的电脑4.11.6.1加密网络内的电脑，集团IT部都会关闭电脑的USB接口功能，不允许电脑连接任何外用设备：U盘、硬盘、光盘、照相机等，加密电脑无法连接普通网络内的打印机。4.11.6.2加密手提电脑都必须贴有标签注明某客户专用字样，以区分加密电脑和普通电脑。因工作出差需将加密电脑带离出厂，出厂前需填写《工作联络单》，经部门经理批准后通知IT部网络技术员对手提电脑进行出厂授权，限定涉密文件的使用次数和时限，在笔记本电脑所有外接端口贴易碎流水标签，外出回厂后需到集团IT部进行端口解封检