IT系統(tǒng)安全管理規(guī)范資料

1、海明集團(tuán)IT系統(tǒng)安全管理規(guī)范一、目的為確保公司IT設(shè)備設(shè)施能夠穩(wěn)定、可靠地運(yùn)轉(zhuǎn)，為公司業(yè)務(wù)提供可持續(xù)服務(wù)支持，同時(shí)為了規(guī)避公司重要的電子信息數(shù)據(jù)由于系統(tǒng)或硬件損壞而造成數(shù)據(jù)丟失的風(fēng)險(xiǎn)，特制定本文件以規(guī)范IT安全相關(guān)的工作流程、內(nèi)容和標(biāo)準(zhǔn)。二、適用范圍:本制度可用來(lái)指導(dǎo)信息技術(shù)部工作人員開展IT安全管理工作，對(duì)公司級(jí)信息系統(tǒng)運(yùn)行期間電子數(shù)據(jù)的備份和恢復(fù)管理予以規(guī)范。三、術(shù)語(yǔ)3.1 IT： information technology 意為信息技術(shù)，是用于管理和處理信息所采用的各種技術(shù)的總稱。3.2 IT設(shè)備：泛指由信息技術(shù)部基礎(chǔ)服務(wù)組管理的用于辦公及信息技術(shù)服務(wù)支持相關(guān)的電子設(shè)備，包含：個(gè)人臺(tái)式

2、電腦、手提電腦、打印機(jī)、服務(wù)器、路由器、交換機(jī)、多媒體、一卡通終端、攝像機(jī)等電子設(shè)備。3.3 公司級(jí)信息系統(tǒng)：應(yīng)用于多個(gè)部門，或直接影響公司核心業(yè)務(wù)的信息系統(tǒng)。包含：ERP系統(tǒng)、跟單管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、SHR系統(tǒng)等。3.4 IT安全：IT安全是指IT相關(guān)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，服務(wù)不中斷，對(duì)于可能發(fā)生的各種隱患防范于未然。四、職責(zé):本制度由信息技術(shù)部負(fù)責(zé)解釋、更新和維護(hù)。五、具體內(nèi)容與工作程序5.1 網(wǎng)絡(luò)安全管理5.1.1基礎(chǔ)架構(gòu)部負(fù)責(zé)信息網(wǎng)絡(luò)的規(guī)劃、建設(shè)、維護(hù)、管理和控制；5.1.2基礎(chǔ)架構(gòu)部應(yīng)繪制公

3、司信息網(wǎng)絡(luò)之間的網(wǎng)絡(luò)拓?fù)?、設(shè)備信息表并及時(shí)更新維護(hù)；5.1.3定期檢查網(wǎng)絡(luò)硬件設(shè)備狀態(tài)，若巡檢中發(fā)現(xiàn)問(wèn)題需在巡檢清單中記錄并及時(shí)匯報(bào)部門領(lǐng)導(dǎo)；5.2 服務(wù)器安全管理5.2.1公司各服務(wù)器內(nèi)應(yīng)安裝正版網(wǎng)絡(luò)版殺毒軟件，殺毒軟件的安裝與卸載應(yīng)由IT運(yùn)維人員操作；5.2.2密碼設(shè)置策略應(yīng)符合信息安全通用規(guī)范，由不低于6位的大小寫字符及數(shù)字和特殊字符組成。5.2.3系統(tǒng)管理人員不允許將密碼存放在公開可讀的文件中5.2.4系統(tǒng)管理人員不允許將密碼發(fā)送給用戶，特別是通過(guò)微信、QQ、未加密的電子郵件等。The Juan 嶅 hooks Chen$鍔 ?5.2.5嚴(yán)禁將數(shù)據(jù)庫(kù)服務(wù)器暴露在公網(wǎng)中The Pu 嬪彂

4、 Xi?5.2.6關(guān)閉服務(wù)器上不必要的服務(wù)和端口。The Qi 濈 Lu 墿5.2.7嚴(yán)謹(jǐn)在服務(wù)器上直接進(jìn)行上網(wǎng)、下載軟件操作。The Juan 氬姟 Chan 栧寘5.3數(shù)據(jù)安全管理The Ying 樿 Chuai 鎺埗5.3.1數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確的備份轉(zhuǎn)儲(chǔ)到指定介質(zhì)上。5.3.2應(yīng)定時(shí)檢查備份文件中是否存在備份失敗的記錄，如發(fā)現(xiàn)有備份任務(wù)失敗的記錄，需要檢查故障原因，并進(jìn)行排除。The 闄勫姞 Xi Feng ?5.3.3備份周期：各信息系統(tǒng)做自動(dòng)計(jì)劃每個(gè)工作日進(jìn)行數(shù)據(jù)備份。5.3.4數(shù)據(jù)恢復(fù)機(jī)制a)一旦發(fā)生系統(tǒng)故障或數(shù)據(jù)破壞等導(dǎo)致系統(tǒng)正常運(yùn)轉(zhuǎn)的情況，IT人員必須上報(bào)部門領(lǐng)導(dǎo)，經(jīng)討論決議后進(jìn)行相應(yīng)數(shù)據(jù)恢復(fù)操作。b)數(shù)據(jù)恢復(fù)應(yīng)在測(cè)試環(huán)境中進(jìn)行，嚴(yán)禁在正式使用的系統(tǒng)中進(jìn)行恢復(fù)測(cè)試。Xi 撳簱c)恢復(fù)確認(rèn)不存在問(wèn)題后，要及時(shí)清理測(cè)試環(huán)境數(shù)據(jù)。5.4密碼安全管理The 鍒嗛攢 Wei 犻亾a)密碼設(shè)置策略應(yīng)符合信息安全通用規(guī)范，由不低于6位的大小寫字符及數(shù)字和特殊字符組成；b)有關(guān)IT人員離職后必須及時(shí)修改密碼；六、補(bǔ)丁策略O(shè)S、數(shù)據(jù)庫(kù)升級(jí)、打補(bǔ)丁，需確保穩(wěn)定、安全，并遵守以下原則:The 鐗祦 Wan 滀笟鏈1.沒(méi)有重大