28 网络安全政策

xxxxxxx有限公司网络安全政策文件编号Fk-107发行日期2020-09-17版本/版次A/0管控状态受控页次第页1、IT设备(硬件)安全1.1设备(硬件)采购1.1.1各部门有与IT信息系统相关的设备(硬件)需求和安装应事先通知IT,由其进行统一申请采购和安装;1.1.2公司禁止采购和使用假冒或未经适当许可的技术产品的，即禁止采购和使用未经国家信息安全评测机构认可的信息安全产品、未经国家密码管理局批准和未经国家信息安全质量认证的国内密码设备;若需采用境外信息安全产品或境外的密码设备时，应通过国家信息安全测评机构或国家密码管理局批准及国家信息安全质量认证:购买后，IT应妥善保存好产品关键标签、认证证书、说明书和保修卡等资料。1.2IT设备(硬件)检测公司IT系统中使用的所有安全设备应是经过国家信息安全产品测评认证的合格产品，其电磁辐射强度、可靠性及兼容性也应符合国家安全管理等级要求;凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试并形成设备检测测试记录。1.3IT设备(硬件)安装设备符合公司IT系统选型要求并获核准后，方可购回安装;通过1.2测试后才能进入试运行阶段:通过试运行合格的设备才能安装投入使用，正式运行。1.4IT设备(硬件)使用公司IT负责设备的使用登记(应包括运行的起止时间、累计运行小时数及运行状况等)、日常清洗和定期保养维护做好相关记录:若设备出现故障，使用人应立即填写“设备维修申请单“交给IT处理;维修后将维修对象、故障原因、排除方法、主要维修过程以及维修人员、维修时间等详细记录”设备保养维护记录”。1.5IT设备(硬件)储存公司使用的安全产品及保密设备应单独存储并采取.上锁等保护措施，IT应保证设备在其出厂说明书中的使用环境(如温度、湿度、电压、电磁干扰和粉尘度等)下工作，定期对设备及其存储环境进行清洁和核查并详细记录。2、软件安全2.1IT软件采购和测试:a)行政部根据公司信息化的发展及各个部门的特殊使用申请于每年12月制定次年的软件购买计划和费用预算并上报公司厂长批准:批准后IT协同业务部门开始软件的调研和选型:选定后使用部门写“申购单”进行采购:软件购回后IT应将其预安装在测试环境下进行相应测试，以确定该软件和常见的应用、其他常用的软件之间的兼容性:所有安装软件必须经过测试环境的检测才可正式发布:IT建立软件档案，将安装情况记录、归档;软件的安装必须由IT和软件供应商或软件编制人员按照规定的步骤进行安装。b)公司禁止采购和使用假冒或未经适当许可的各类软件，购买后，IT应妥善保存好产品关键标签、认证证书、说明书和保修卡等资料。2.2IT软件验收和存储:IT在完成软件的验收过程中，要相应详细记录软件产品的名称、版本号和序列号，产品的数量，产品的授权及授权时间段，收到订购软件的日期，以及其他购买合同的详细情况交文控中心存档保管。2.3IT软件维护和监控:公司IT负责监控软件的各种使用清况，负责组织和完善对系统所拥有的有效特许的各种软件的拷贝目录和拷贝份数;建立和保存适当的文档来记录首次和每年软件管理和清理的结果,并在以后跟踪新增加的软件的拷贝安装与使用，存入档案;对安全系统所使用的电脑、服务器定期进行检查，以保证系统所使用的软件合法和安全，并检查文档的完整性和正确性;在软件进行维护时，IT应对维护过程详细记录软件登记数据库中，所有记录按不同的软件功能以月报的方式记录在案。2.4IT软件软件使用:2.4.1公司内必须使用公司认可授权的正版软件，禁止使用盗版软件，所有软件的安装必需由IT完成，个人不得私自安装软件或擅自卸载预装软件。2.4.2如有特殊情况需要下载安装软件者，应填写“新增及取消电脑权限申请单“，经相关权责人核准后由IT统一安装。IT应及时在服务器上下载操作系统的安全补丁，并分发到每台电脑上进行安装。2.4.3使用软件前，IT应对来源不详的软件及相关文件或从不可靠的网站上下载的软件及相关文件进行必要的检查;IT应采取防范措施，减少使用外来软件或文件可能产生的风险，对千考勤/ERP等关键业务程序的系统软件和数据定期检测，防止非法文件对电脑系统中的软件或数据进行非法修改或调查。2.4.4使用者在使用软件过程中出现异常或故障情况，应填写“设备维修申请单“交给IT进行处理。3、IT系统访问控制安全3.1有权接触IT系统员工的控制:3.1.1IT应根据职位或工作性质，制定和定期审查更新有权接触IT系统(如电脑和网络)的“有权进入IT系统授权表”，并依其分配单独指定的登陆帐号和密码及设置(调整和取消)使用/访问权限；3.1.2IT每日对IT系统(如电脑和网络)无效密码登陆和非法文件访问检查并记录"IT系统无效登陆检查记录”，以确保员工根据工作要求访间公司的敏感系统。3.2IT系统服务器/电脑用户/应用软件(E-mail、ERP等)访问控制:新入职或内部岗位调动且需使用电脑或服务器工作的员工，由部门文员或本人根据其职位及工作范围填写“新增及取消电脑权限申请单”经相关权责人批准后，上岗前It进行网络安全政策/程序、如何备份数据，变更密码、病毒防范、违犯IT管理制度受到惩罚等IT知识安全培训合格后，由IT负责分配单独指定的登陆帐号/密码和设置(调整和取消)使用/访间权限。3.3IT系统域用户访问控制:3.3.1公司采用域管理的方式管理公司局域网内的每一个客户端(若正常使用公司内/外网服务必需使用公司域账户)，各部门有特权的管理账户将被统一划分到一个组，统-受IT监控;IT根据使用人员的职位或工作范围设置和分配单独的客户端单独指定的登陆帐号/密码、使用/访间权限;必需有各部门负责人许可的域账户方可正常访问外部网络，否则仅局限于公司内部网络的访问(含邮件、ERP系统等)3.3.2客户端设置的每个域帐户登录密码应最小长度为8个字符、最小有效期1天，最长有效期90天:密码字.符必需由复合型的数字和字母共同构成;新密码不得重复使用最近6个老密码:密码连续3次输入错误，账户被锁定，IT才能解除锁定:其次账户超过30分钟不活动者，系统将被锁定，只有输入密码才能打开;账户最长有效期为90天，到期必需按照提示更改密码。3.4IT系统的Internet访问控制:员工根据工作需要访间Internet,应填写“新增及取消电脑权限申请单”经相关权责人批准，IT执行;公司域用户才有Internet访问资格，公司员工Internet访问权限由AceNet上网行为管理流控墙进行控制:公司员工分为永久上网组、临时上网组和不能上网组，控制员工Internet访问权限;公司普通.上网用户每日限定1000M流量，每天流量用完后用户就不再有上网权限;公司通过AceNet上网行为管理流控墙屏蔽部分股票、视频类等网站。3.5IT系统访客访问控制:a)公司所有访客入公司时，所有个人电子设备(如电脑、手机)应主动申报，因工作需要使用个人电子设备进入公司局域网或使用公司外部Internet工作时，必需山被访问单位接待人员填写“新增及取消电脑权限申请单”或“远程访问申请表”向公司高层申请，由IT设置和分配单独指定的客户端单独指定的登陆帐号和密码、使用/访间权限后，将其电子设备接入公司Internet网并显示安全警告信息时才可充使用，并由IT负贵设置连网和网络时实监控，以确保安全；b)千系统调试，需要公司外专业工程师远程登录公司局域网进行软件调试时，经办人需填写“远程访间申请表“经相关权责人批准后，山IT全程监控调试过程和起始、终止时间。3.6调整或解除员工IT系统权限的程序:3.6.1公司授权IT负责设置(调整和取消)和维护公司IT系统所有的访间帐户和密码:客户端账户由IT每6周核查一次账户的有效性:机房的所有服务器之密码由IT负责每6周变更一次，变更后向行政部负责人报告备案;同时IT每月应核实一次域账户、Internet、ERP等IT系统账户信息，对可疑账户确认无误后直接删除。3.6.2公司限制使用VPN访问公司网络目录，每电脑系统用户的帐户密码三次输入密码错误后用户权限应被暂停(服务器应可追溯到)且IT收到相应的短信报警信息后应及时跟进处理，每6周更换--次，过期时,.IT应及时更换或在电脑系统中设置强制用户更新不同的密码后方可进入并做好“电脑用户密码更换记录”和在每次启动密码更改时续签《信息安全保密协议书》。3.6.3员工调岗时，应填写“新增及取消电脑权限申请单“经过相关权责人核准后，IT应删除其所用到本公司IT系统的所用账户信息重，并根据其职位或工作范围设置和分配单独的客户端登陆帐号和密码、使用/访间权限;3.6.4使用IT系统的员工的IT账户密码过期失效或忘记账户密码的，应填写“新增及取消电脑权限申请单经过相关权责人核准后，IT重置相关密码。3.6.5工作中用到IT系统(含电脑和网络访间等)的人员离职时，应填写“离职人员登记表“经过IT删除其所用到本公司IT系统的所用账户信息并签名确认后，人事文员才可办理离职手续。4IT系统安全管理4.1IT应建立输入安全控制原则，进入公司应用系统(如ERP、邮件等)的数据必须有正确的格式与内容，经过检查后，再存储到电脑的存储介质上。4.2公司文件服务器使用规定:4.2.1公司文件服务器的公共文件交换区不提供文件的长期保存，只提供公司内部文件交换使用，不能将有关公司保密内容的电子文件在公共交换区内交换，不得传递非工作用文件，如有发现违犯，IT将禁止其继续使用该服务器，由此引起的工作不便，将由个人负责;此区由项目或工作组负责人申请，只有该项目或工作组成员具备登录的权限;公共文件交换区根目录下应以部门为单位建立文件夹，用户不能删除，用户可在部门文件夹下建立文件夹和上传文件，任何人都有权删除;传递到公共交换区的文件使用完后应及时删除，最晚不得超过当天下班以前;4.2.2IT应在公共文件交换区建立独立的工具文件夹目录，提供各专用软件的安装程序、升级包、补丁等供各电脑客户端下载安装，IT每周六下班时清空一次公共文件交换区部门文件夹内容，请个人做好文件的存档备份:个人存储空间内文件只能由用户个人自行删除(删除的文件不可恢复)，个人用户密码应每6周更换一次。5IT系统数据库安全(电脑数据备份政策/程序)5.1IT系统服务器系统数据备份:IT将根据不同的应用服务和数据特点，采用全备份(每个周未对目前公司主要的服务器系统及各种生产应用系统进行一次系统完全备份)和差分备份(即每天对所有生产应用系统数据及ERP、考勤、邮件等系统在相对千前一次全备份之后新增加和修改过的数据的一次差别备份)对公司服务器系统及数据进行自动备份，并每周IT转存一.次完整自动备份数据至移动硬盘上异地保存。5.2容灾备份:容灾机房的近线备份系统每天对公司主机房的近线备份系统所备份的数据进行一次复制备份，容灾机房应与公司主机房不在同一栋办公楼内。5.3客户机数据备份:5.3.1IT应在文件服务器的磁盘(选用RAID5磁盘)上，根据各部门的工作性质提供不同大小的个人用户的独立存储空间CIT应设置独立的用户名和密码于各用户访问，其它用户无访问权限，用户可自己修改密码),以确保公司各电脑用户机的数据备份;5.3.2公司内网各用户每日将各自的重要电子文件上传到公司服务器存储空间指定目录下进行备份存储，以避免.个人电脑的硬盘故障造成重要文档丢失而造成公司的相应损失。5.4数据销毁:在公司正常营业期间中，所有备份数据不得销毁。5.5备份管理:公司内所有应用服务由IT统--管理统一进行备份，所有敏感和机密数据应以加密格式存储,每周进行备份巡检、异地备份、巡检备份设备是否工作正常，备份数据是否完整并记录巡检结果千“电.脑数据备份记录”;IT应将备份数据已满的硬盘及时从在线工作的硬盘库中取出，转存千脱机的、异地(暂放厂区外的厂长家中)指定的防火防水的保险柜中并附.上硬盘存储内容清单:硬盘.上应标识清楚购买日期标签，使用年限不超过10年，过期硬盘应贴上过期标签，永久封存。6信息加密和安全传输安全6.1电脑用户对千敏感数据在保存和传输过程中必须有加密处理:公司局域网内的办公电脑应通过指定的数据泄露防护系统(如亿赛通)进行文档保护;6.2公司域用户文档在本机打开、编辑、保存文档时，执行动态加解密;员工本地文档解密需要其授权;员工只有登录数据泄露防护系统的客户端后才能通过邮件对外发送解密文档，对外发送的邮件通过数据泄露防护系统的服务器进行邮件日志审核。6.3公司保密的电子文档应通过公司个人邮件进行交换;所有上传到公共交换区内的文件必需进行加密。6.4在接收E-mail时，对于一些可疑、来历不明的邮件，直接删除，防止病毒、木马等侵入:不要发送反动的或与政治比较敏感的E-mail等，禁止将公司的机密资料通过E-mail、Internet的途径发送到外部，如给公司带来损失的依所签《信息安全保密协议书