IT數(shù)據(jù)安全及權(quán)限管理制度

IT一、總則目的數(shù)據(jù)是集團(tuán)重要的資產(chǎn)。為保證信息的安全性、牢靠性、完整性和有效性，集團(tuán)制定和實(shí)行相應(yīng)治理制度,進(jìn)展對(duì)信息的保護(hù)，以避開(kāi)其患病外來(lái)的威逼和損害，防止未經(jīng)授權(quán)地修改、泄漏和破壞。并為加強(qiáng)信息系統(tǒng)用戶賬號(hào)和權(quán)限的標(biāo)準(zhǔn)化治理,確保各信息系統(tǒng)安全、有序、穩(wěn)定運(yùn)行，防范應(yīng)用風(fēng)險(xiǎn)。使用范圍職責(zé)本制度將作為監(jiān)察員工遵守狀況及復(fù)查的根本原則。違反本制度者經(jīng)查實(shí)將由集信息治理部負(fù)責(zé)指導(dǎo)及協(xié)調(diào)本制度的實(shí)施，依據(jù)集團(tuán)實(shí)際業(yè)務(wù)進(jìn)展?fàn)顩r，信息治理部將在獲得集團(tuán)領(lǐng)導(dǎo)同意后酌情修正本制度，以使其符合集團(tuán)的實(shí)際狀況。信息治理部負(fù)責(zé)本制度的解釋及修正二、數(shù)據(jù)安全治理規(guī)定〔一〕保密制度1．使用范圍適用于集團(tuán)在生產(chǎn)、研發(fā)、行政治理中形成的文件〔如：合同、圖紙、技術(shù)報(bào)告、保密要求員工由于工程工作需要發(fā)送，必需由其主管工程經(jīng)理批準(zhǔn)，并登記備案。集團(tuán)電腦配置實(shí)行一機(jī)一人，每臺(tái)電腦必需設(shè)置個(gè)人密碼，任何人不得將個(gè)人密碼告知他人，否則后果自負(fù)。獎(jiǎng)懲因疏忽或無(wú)意泄漏集團(tuán)數(shù)據(jù)者,由集團(tuán)依據(jù)情節(jié)進(jìn)展懲罰?！捕臣瘓F(tuán)計(jì)算機(jī)網(wǎng)絡(luò)治理方法1．職責(zé)/職能綜合治理部是計(jì)算機(jī)系統(tǒng)主管部門，統(tǒng)—治理集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)。數(shù)據(jù)操作員負(fù)責(zé)集團(tuán)對(duì)外及外來(lái)光盤、磁盤、電子郵件等電子文件傳遞的治理工作。網(wǎng)站治理員負(fù)責(zé)集團(tuán)內(nèi)、外網(wǎng)站效勞器的維護(hù)治理工作。2．內(nèi)部安全防范治理集團(tuán)內(nèi)各類計(jì)算機(jī)系統(tǒng)用戶，嚴(yán)禁運(yùn)行未經(jīng)檢驗(yàn)和來(lái)歷不明的軟件，嚴(yán)禁在各系統(tǒng)口令和個(gè)人密碼告知無(wú)關(guān)人員，未經(jīng)許可嚴(yán)禁將計(jì)算機(jī)交由外部門人員操作。集團(tuán)各計(jì)算機(jī)用戶應(yīng)確保各自計(jì)算機(jī)內(nèi)的數(shù)據(jù)資料的安全。未經(jīng)許可，任何人嚴(yán)禁擅自拷貝集團(tuán)數(shù)據(jù)。綜合治理部切實(shí)做好數(shù)據(jù)的備份工作。防范計(jì)算機(jī)病毒集團(tuán)內(nèi)各計(jì)算機(jī)用戶應(yīng)當(dāng)專人、專管、專用。集團(tuán)預(yù)防計(jì)算機(jī)病毒選用的硬件、軟件必需是正版產(chǎn)品。對(duì)計(jì)算機(jī)安全運(yùn)行操作的具體要求：慎重地處理、使用共享軟件。安裝系統(tǒng)要進(jìn)展檢驗(yàn)。外來(lái)電腦未經(jīng)許可不得聯(lián)入集團(tuán)網(wǎng)絡(luò)。對(duì)軟盤、U盤、移動(dòng)硬盤、光盤實(shí)行治理，在使用外來(lái)軟盤、U盤、移動(dòng)硬盤、光盤時(shí)，應(yīng)首先檢測(cè)其安全性。決不執(zhí)行不知來(lái)源的程序。系統(tǒng)中的數(shù)據(jù)要定期進(jìn)展備份。制止在工作場(chǎng)所安裝計(jì)算機(jī)玩耍，玩計(jì)算機(jī)玩耍。計(jì)算機(jī)系統(tǒng)治理員定期檢查去除計(jì)算機(jī)玩耍。親熱留意自用計(jì)算機(jī)的配置參數(shù)(如引導(dǎo)扇區(qū)、中斷向量表、應(yīng)用程序確保殺毒軟件病毒特征碼的準(zhǔn)時(shí)更：由于病毒不斷進(jìn)展變化，要求計(jì)算機(jī)系統(tǒng)治理員親熱留意所用殺毒軟件病毒特征碼的更狀況，做到準(zhǔn)時(shí)更。防范病毒制度化：對(duì)各計(jì)算機(jī)系統(tǒng)，尤其是效勞器定期掃描殺毒?；ヂ?lián)網(wǎng)防毒的安全措施：Internet客”軟件，以防不明病毒。不得翻開(kāi)不明Email，不得通過(guò)Email下載軟件，如發(fā)生不明狀況應(yīng)準(zhǔn)時(shí)向爭(zhēng)論院學(xué)問(wèn)工程及信息技術(shù)部報(bào)告。嚴(yán)格限制遠(yuǎn)程訪問(wèn)者的權(quán)限及認(rèn)證，以防不明攻擊及感染病毒，特別限制匿名登陸。電子文件傳遞治理對(duì)外拷貝軟盤、U盤、移動(dòng)硬盤、光盤需經(jīng)相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)方可執(zhí)行。外來(lái)以軟盤、光盤為載體的文件進(jìn)入集團(tuán)計(jì)算機(jī)系統(tǒng)前，需照實(shí)登記，并進(jìn)展病毒掃描前方可進(jìn)入。件使用者有責(zé)任關(guān)注此文件的最版本，以保持此電子文件的現(xiàn)行有效性。集團(tuán)內(nèi)部制止擅自使用各類盜版軟件，個(gè)人如私自傳入盜版軟件并使用，由此造成的與學(xué)問(wèn)產(chǎn)權(quán)相關(guān)的后果將由使用者本人負(fù)全責(zé)?！踩硵?shù)據(jù)流出治理把握程序規(guī)定1．范圍適用于全集團(tuán)電子文檔數(shù)據(jù)的治理和備份歸檔的數(shù)據(jù)。2．職能/職責(zé)數(shù)據(jù)流出的申請(qǐng)人負(fù)責(zé)填寫和完成審批，申請(qǐng)單參見(jiàn)附件1集團(tuán)負(fù)責(zé)審批的人員負(fù)責(zé)審批各類需流通數(shù)據(jù)，并負(fù)責(zé)必要的授權(quán)。作。負(fù)責(zé)準(zhǔn)時(shí)組織安排數(shù)據(jù)的備份及歸檔。負(fù)責(zé)對(duì)各數(shù)據(jù)予以查毒處理。負(fù)責(zé)完成已審批數(shù)據(jù)的中轉(zhuǎn)、刻錄、備份等。流程數(shù)據(jù)流通流出集團(tuán)數(shù)據(jù)申請(qǐng)人填寫《數(shù)據(jù)流通登記審批表學(xué)問(wèn)工程及信息技術(shù)部操作員負(fù)責(zé)按表格審批內(nèi)容執(zhí)行操作。數(shù)據(jù)流入、中轉(zhuǎn)流通。問(wèn)題，并不得將與工作無(wú)關(guān)及私人用途的數(shù)據(jù)導(dǎo)入集團(tuán)網(wǎng)絡(luò)。數(shù)據(jù)流通審批對(duì)于需要發(fā)出的數(shù)據(jù)，工程經(jīng)理在簽字前，應(yīng)檢查該數(shù)據(jù)是否為需要的數(shù)據(jù)，有無(wú)多余數(shù)據(jù)，是否遺漏數(shù)據(jù)，即檢查數(shù)據(jù)的正確性。備份及歸檔資料治理室負(fù)責(zé)備份數(shù)據(jù)的歸檔和保存，供給歷史數(shù)據(jù)的查找和利用。三、權(quán)限治理標(biāo)準(zhǔn)范圍OA協(xié)同辦公系統(tǒng)、ERP治理軟件、財(cái)務(wù)軟件、企業(yè)郵箱及網(wǎng)站系統(tǒng)等。術(shù)語(yǔ)和定義用戶：被授權(quán)使用或負(fù)責(zé)維護(hù)應(yīng)用信息系統(tǒng)的人員。內(nèi)容。權(quán)限：允許用戶操作應(yīng)用信息系統(tǒng)中某功能點(diǎn)或功能點(diǎn)集合的權(quán)力范圍。角色：應(yīng)用信息系統(tǒng)中用于描述用戶權(quán)限特征的權(quán)限類別名稱。用戶治理用戶分類系統(tǒng)治理員系統(tǒng)治理員主要負(fù)責(zé)應(yīng)用信息系統(tǒng)中的系統(tǒng)參數(shù)配置，用戶賬號(hào)開(kāi)通與維護(hù)治理、設(shè)定角色與權(quán)限關(guān)系，維護(hù)行政區(qū)劃和組織機(jī)構(gòu)代碼等數(shù)據(jù)字典，系統(tǒng)日志治理以及數(shù)據(jù)治理等系統(tǒng)運(yùn)行維護(hù)工作。一般用戶權(quán)范圍內(nèi)登陸和使用應(yīng)用信息系統(tǒng)的權(quán)限。用戶角色與權(quán)限關(guān)系應(yīng)用信息系統(tǒng)中對(duì)用戶操作權(quán)限的把握是通過(guò)建立一套角色與權(quán)限對(duì)應(yīng)關(guān)系〔即應(yīng)用信息系統(tǒng)中允許操作某功能點(diǎn)或功能點(diǎn)集合的權(quán)力色而獲得多種操作權(quán)限。為實(shí)現(xiàn)用戶治理標(biāo)準(zhǔn)化和便利系統(tǒng)維護(hù)限設(shè)置標(biāo)準(zhǔn)根本要求。由于不同的應(yīng)用信息系統(tǒng)在具體的功能點(diǎn)設(shè)計(jì)和搭配使用上各不一樣的設(shè)置以及同樣的角色在不同應(yīng)用信息系統(tǒng)中所匹配的具體權(quán)限范圍可能存在差異以每個(gè)應(yīng)用信息系統(tǒng)應(yīng)分別制定適用于本系統(tǒng)的權(quán)限設(shè)置標(biāo)準(zhǔn)。用戶賬號(hào)實(shí)名制注冊(cè)治理為保證應(yīng)用信息系統(tǒng)的運(yùn)行安全和對(duì)用戶供給跟蹤效勞門供給用戶真實(shí)姓名、隸屬單位與部門、聯(lián)系方式等真實(shí)信息。用戶賬號(hào)申請(qǐng)與審批賬號(hào)申請(qǐng)任何一個(gè)用戶賬號(hào)的申請(qǐng)與開(kāi)通均須經(jīng)過(guò)集團(tuán)統(tǒng)一制定的賬號(hào)申請(qǐng)與審批備案治理流程，且一個(gè)用戶在同一個(gè)應(yīng)用信息系統(tǒng)中只能注冊(cè)和被授予一個(gè)用戶賬號(hào)。局部填寫內(nèi)容：申請(qǐng)人狀況；賬號(hào)申請(qǐng)狀況；受理單位意見(jiàn)。其中〕申請(qǐng)人狀況和2〕賬號(hào)申請(qǐng)狀況兩局部由申請(qǐng)人填寫〕見(jiàn)由受理部門填寫。用戶權(quán)限的申請(qǐng)應(yīng)嚴(yán)格參照各應(yīng)用信息系統(tǒng)制定比照表》中對(duì)不同級(jí)別和類型用戶的角色權(quán)限配置要求執(zhí)行，不得越級(jí)或超范圍申請(qǐng)。賬號(hào)審批和開(kāi)通各應(yīng)用信息系統(tǒng)的賬號(hào)申請(qǐng)一般由該部門的負(fù)責(zé)人審批系統(tǒng)中的系統(tǒng)治理員，還需通過(guò)受理部門的主管領(lǐng)導(dǎo)審批。方式，先開(kāi)通賬號(hào)，但自賬號(hào)開(kāi)通日起超過(guò)1個(gè)月仍未收到《用戶賬號(hào)申請(qǐng)單》的，系統(tǒng)治理員有權(quán)對(duì)該賬號(hào)實(shí)行臨時(shí)停用措施。安全治理賬號(hào)安全凡需要使用應(yīng)用信息系統(tǒng)的用戶，每人均須依據(jù)“實(shí)名制”方式申請(qǐng)一個(gè)僅限本人使用的用戶賬號(hào)。不同用戶的用戶賬號(hào)彼此之間不得任憑借用，因某用戶賬號(hào)的操作而號(hào)的用戶負(fù)責(zé)。假設(shè)某用戶因工作調(diào)動(dòng)或其它緣由而不允許連續(xù)使用某應(yīng)用信息系統(tǒng)時(shí),其隸屬的原工作單位應(yīng)催促和確保該用戶離職前準(zhǔn)時(shí)申請(qǐng)注銷相關(guān)用戶賬號(hào)曉或同意，均制止將其原賬號(hào)轉(zhuǎn)交其他人員連續(xù)使用。密碼安全設(shè)置用戶密碼是用戶登陸應(yīng)用信息系統(tǒng)時(shí)身份合法性認(rèn)證的重要手段6碼。密碼遺忘時(shí)可向系統(tǒng)治理員申請(qǐng)密碼初始化修復(fù)。假設(shè)覺(jué)察賬號(hào)密碼泄露,用戶須馬上報(bào)告系統(tǒng)治理員準(zhǔn)時(shí)實(shí)行停用賬號(hào)措施，并在報(bào)告后的24小時(shí)內(nèi)向該信息系統(tǒng)主管部門提交書面報(bào)告，說(shuō)明具體狀況，以便系統(tǒng)主管部門幫助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運(yùn)行狀況，實(shí)行有效補(bǔ)救措施將危害程度降至最低。檔案治理戶賬號(hào)的申請(qǐng)注冊(cè)、審批以及密碼和權(quán)限維護(hù)等日常工作治理。檔案治理工作由系統(tǒng)治理〔蓋公章原件及有關(guān)報(bào)表其他與用戶賬號(hào)治理相關(guān)的重要文件資料和數(shù)據(jù)存儲(chǔ)介質(zhì)，有關(guān)治理制度、技術(shù)標(biāo)準(zhǔn)和方案等。信息治理部