12信息安全管理辦法

1、文件名稱：信息安全管理辦法文件編號：GL-012-2010初版發(fā)行日期：版次： 01編制： 資管課審核:核準(zhǔn):新版發(fā)行日期:1?目的:管制章分發(fā)號確保電腦系統(tǒng)能安全的正常運作，及系統(tǒng)數(shù)據(jù)檔案文件安全使用。2. 范圍：適用于公司內(nèi)部， MIS 制度管理人及系統(tǒng)使用人員。3. 職責(zé)：3.1 董事長室3.1.1 資管課(A) 文件之制作與執(zhí)行(B) 文件遺失、補分發(fā)之申請(C) 文件修改、廢止之審議3.2.2 文控室(A) 文件登錄與編碼發(fā)行(B) 原版文件之保管(C) 文件管制作業(yè)3.2 其它相關(guān)單位(A) 文件之遵行(B) 文件遺失、補分發(fā)之申請(C) 文件修改、廢止之審議4. 流程圖：無5.

2、信息安全管理規(guī)定：5.1 一般個人計算機管理辦法：5.1.1 使用者計算機一律不準(zhǔn)使用抽取式硬盤或刻錄機。5.1.2 使用者計算機主機不準(zhǔn)私自裝設(shè)燒錄器，如有工作上之必要性，須有部門主管之同意認可， 且部門主管、 直屬主管及使用保管者須簽名， 以示負責(zé)5.1.3 使用者計算機，操作系統(tǒng)不準(zhǔn)為 Server 級系統(tǒng)， 只能使用資訊人員安裝 的 window 標(biāo)準(zhǔn)板版。5.1.4 為保護個人信息安全，計算機須設(shè)定屏幕保護裝置，同時不得私自移除設(shè) 定。如參加會議、外出等長時間不使用計算機，必須注銷系統(tǒng)或關(guān)機。5.1.5 使用者計算機防毒程序不得私自移除或是停用以避免病毒感染。5.2 電腦機房安全管理

3、規(guī)定：5.2.1 電腦機房之安全管制由資訊管理單位人員負責(zé)。5.2.2 電腦機房人員進出需詳填人員進出紀錄表。5.2.3 非資訊人員，未經(jīng)資訊單位主管委托許可，不得進出機房。5.3 服務(wù)器安全管理規(guī)定5.3.1 非資訊人員，未經(jīng)資訊單位主管委托許可，不得接觸服務(wù)器。5.3.2 服務(wù)器系統(tǒng)變更需詳填系統(tǒng)異動紀錄表。5.3.3 服務(wù)器遇有不正常運作之現(xiàn)象發(fā)生時 ,應(yīng)依緊急處理辦法處理。5.3.4 系統(tǒng)管理人員于電腦機房動作完畢后，務(wù)必登出系統(tǒng)，并關(guān)閉 電腦螢?zāi)?.3.5 系統(tǒng)管理人員對于服務(wù)器主機密碼負有保管與保密責(zé)任， 系統(tǒng)登入時， 避免他人窺視。5.4 作業(yè)系統(tǒng)賬號密碼規(guī)定5.4.1 帳號之密

4、碼固定長度不低于 6 位數(shù)，不大于 12 位。5.4.2 密碼設(shè)定必須符合密碼設(shè)定原則（參考密碼設(shè)定原則5.8 ）。5.4.3 帳號之密碼每月更換一次，并告知資訊部門主管。5.4.4 變更新密碼不得與前 3 次舊密碼相同。5.4.5 若有跡象顯示使用者密碼遭破解時，應(yīng)立即更改密碼5.5 ERP 系統(tǒng)管理規(guī)定5.5.1 帳號之密碼固定長度為 6 位數(shù)。5.8)5.5.2 密碼設(shè)定必須符合密碼設(shè)定原則（參考密碼設(shè)定原則5.5.3 帳號之密碼每月更換一次，并告知資訊部門主管。5.5.4 變更新密碼不得與前 3 次舊密碼相同。5.5.5 若有跡象顯示密碼遭破解時，應(yīng)立即更改密碼。5.6 網(wǎng)絡(luò)設(shè)備帳號管

5、理規(guī)定5.6.1 帳號之密碼固定長度不低于 6 位數(shù)，不大于 12 位。5.6.2 密碼設(shè)定必須符合密碼設(shè)定原則（參考密碼設(shè)定原則5.8 ）。5.6.3 帳號之密碼每半年更換一次，并告知資訊部門主管。5.6.4 變更新密碼不得與前 3 次舊密碼相同。5.6.5 若有跡象顯示密碼遭破解時，應(yīng)立即更改密碼。5.7 使用者帳號密碼規(guī)定5.7.1 ERP 帳號密碼規(guī)定5.7.1.1 帳號之密碼固定長度不低于 6 位數(shù)，不大于 12 位。5.7.1.2 密碼設(shè)定必須符合密碼設(shè)定原則（參考密碼設(shè)定原則 5.8 ）。5 . 7 . 1 . 3 若有跡象顯示密碼遭破解時，應(yīng)立即更改密碼。5.7.1.4 密碼連

6、續(xù)錯誤輸入 3 次，帳號會被鎖定，使用者需通知管理員解鎖5.7.2 郵箱密碼規(guī)定5.7.2.1 帳號之密碼固定長度不低于 6 位數(shù)。5.7.2.2 密碼設(shè)定必須符合密碼設(shè)定原則（參考密碼設(shè)定原則 5.8 ）5.7.2.3 若有跡象顯示密碼遭破解時，應(yīng)立即更改密碼。5.7.2.4 密碼連續(xù)錯誤輸入 3 次，帳號會被鎖定，使用者需通知管理員解鎖5.8 密碼設(shè)定原則：5.8.1 絕對避免的密碼：5.8.1.1 嚴禁不設(shè)密碼5.8.1.2 與帳號相同5.8.1.3 與電腦名稱相同5.8.1.4 生日、身分證字號、英文姓名、電話等個人以及公司部門資訊。5.8.1.5 使用 1111 、1234 、 12

7、3456 、2000 、aaaa 、 abcdef 此類簡單的組合5.8.1.6 不要使用難記的密碼，一個使用者無法記住的密碼是無意義的。5.9 應(yīng)該避免的密碼：5.9.2.1 避免全部使用數(shù)字。5.9.2.2 避免使用字典找得到的英文單字或詞語 ,如 iloveyou 、 superman.5.9.2.3 避免連號或順序， 更不要重覆鍵盤字母 ,如 qwertyui 、 nopqrs 、 9876545.9.2.4 密碼別寫在你工作位置的任何地方， 如桌面、螢?zāi)弧㈡I盤背面抽屜里等。5.10.3 較佳的密碼原則：5.10.3.1 密碼越長越好 ,最短也應(yīng)該在六個字以上。5.10.3.2 密碼沒

8、有任何明顯含義。5.10.3.3 密碼要能記得住，一個連使用者都無法記住的密碼是無意義的。5.10.3.4 一個不易被破解的密碼應(yīng)至少要有 :- 一個大寫英文字母或以上- 一個小寫英文字母或以上。- 一個數(shù)字或以上。5.11.4 一些密碼設(shè)定小技巧：5.11.4.1 可以讓 l = 1 or ! or | ， O = 0，S = 5，A = 4，q = 9。5.11.4.2 以中文輸入法按鍵來當(dāng)成密碼，例如 "密碼 "的注音輸入為 5j4up 。5.11.4.3 以英文的一句諺語或一段歌詞，取每個英文字字首當(dāng)成密碼。 .5.1144 以兩個英文字或數(shù)字穿插， 例如 ： ab

9、ed + 1234 = a1b2c3d4 不過兩段 數(shù)字的穿插 是沒有意義的。自行變化原則，可以把上面的綜合起來使用，也可以自訂原則如鏡 像方 式、藏頭去尾方式。5.12 資料安全管制：資料安全等級劃分 - 依資料安全之重要性 ，茲劃分為三 種等級.5.12.1 一般：無安全之虞，可供全體員工閱覽之資料。5.12.1.1 儲存于主機內(nèi)之公司資料共用區(qū)。5 . 1 2 . 1 . 2 發(fā)送于全體的電子郵件。5.12.2 管制：不主動公開，亦不得散布，唯仍允許申請閱覽之資料。5.12.2.1 電腦帳號申請單 - 非經(jīng)處、部級以上主管同意，不得閱覽之。5.12.2.2 系統(tǒng)權(quán)限變更需求表單 - 非經(jīng)

10、處、部級以上主管同意 ，不得閱覽 之。5.12.2.3 軟硬體使用申請書 - 非經(jīng)處、部級以上主管同意 ，不得閱覽之。5.12.2.4 各部門共用區(qū)。僅部門自己有控制權(quán)。5.12.3 機密：非經(jīng)相關(guān)單位處、部級以上主管及個人之一級主管同意，不得閱 覽、復(fù)制及列印之資料。5.12.3.1 儲存于主機內(nèi)之所有資料。5.12.3.2 ERP 主機內(nèi)之所有資料：- ERP 之資料一律列為機密等級，使用者僅得就自己本身之作業(yè)權(quán)限，透過ERP 系統(tǒng) 來存取資料。- 使用者之作業(yè)權(quán)限分為新增、修改、刪除、查詢與列印。- 使用者之作業(yè)權(quán)限需填寫申請單，經(jīng)處、部級以上主管核可,并會簽相關(guān)部門后，方可新增、修改及

11、異動。- 負責(zé) ERP 資料修正之資訊管理單位人員，依資料變更需求進行資料修正， 應(yīng)遵 守資料 變更流程。5.17 移動設(shè)備 （筆記型電腦 ）安全管制：移動設(shè)備依財產(chǎn)屬性之劃分 - 公司財產(chǎn)， 員 工私有，客戶廠商自有三種類別。5.17.1 公司財產(chǎn)之移動設(shè)備：5.17.1.1 一律列入控管，并且必須經(jīng)資訊管理單位人員強制安裝防毒管控軟體， 配 合相關(guān)軟硬體 使用規(guī)定，以維護公司資訊安全。5.17.1.2 單人專用之移動設(shè)備，使用人應(yīng)負保管之責(zé)謹慎使用。5.17.1.3 部門共用之移動設(shè)備，經(jīng)使用完畢后，應(yīng)先將設(shè)備軟硬體恢復(fù)至借用 前 狀態(tài)，再交回 所屬單位保管人保管，以利后續(xù)人員使用。員工私

12、有之移動設(shè)備：5.17.2.1 有正當(dāng)合理需求時，系統(tǒng)使用者得填寫私有移動設(shè)備使用申請書（121 私有移動設(shè)備使用申請 （附件 2） ，依規(guī)定進行 申請，經(jīng)程序申請核準(zhǔn)后， 方可帶 進公司使用。5.17.2.2 經(jīng)最高主管授權(quán)同意后， 且必須于公司連網(wǎng)使用存取共用資源者， 按照條規(guī)定進行處理 .5.17.3 客戶廠商自有之移動設(shè)備：5.17.3.1 因公務(wù)往來客戶及廠商到廠內(nèi)若提出使用網(wǎng)際網(wǎng)路的需求時， 在不透通 公 司內(nèi)部網(wǎng)路 及兼顧公司資訊安全為原則，可提供線路予以使用。得 通知資 訊管理單位人員以旁路方式 協(xié)助進行連網(wǎng)設(shè)定。5.17.3.2 若要接入公司內(nèi)部網(wǎng)路使用時，必須經(jīng)資訊管理主管

13、授權(quán)同意后，資訊 單位 人員 方可協(xié)助進行連網(wǎng)設(shè)定。5.18 資料輸出設(shè)備安全管制：資料輸出設(shè)備包含各種內(nèi)接式或USB連接之燒錄器及卸除式存放裝置等能復(fù)制拷貝資料之 輸出設(shè)備。5.18.1 于公司內(nèi)部電腦使用資料輸出設(shè)備一律列入控管， 并由資訊管理單位人員 進 行防毒管控。5.18.2 公司部級以下所有人員在公司內(nèi)部電腦使用資料輸出設(shè)備一律禁止使用， 若 有特殊需求必需使用，則需經(jīng)公司最高主管授權(quán)同意后，由資訊管理單位人員 進行使 用設(shè)定，方可使用。5.19 信息安全培訓(xùn)管理辦法5.19.1 新進員工培訓(xùn)管理：每月底， 根據(jù)人事提供合格新進人員名單， 使用信息安全管理辦法計 算機管理辦法，進行信息安全制度培訓(xùn)，使系統(tǒng)使用者能夠了解崗位信息 安 全職責(zé)，熟悉與其相關(guān)的各項信息安全制度，具備工作所需的信息安全 知識和 職能。5.19.2 在崗員工培訓(xùn)管理：每年根據(jù)在職人員名單