版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
xxxxxxx有限公司網(wǎng)絡(luò)安全政策文件編號Fk-107發(fā)行日期2020-09-17版本/版次A/0管控狀態(tài)受控頁次第頁1、IT設(shè)備(硬件)安全1.1設(shè)備(硬件)采購1.1.1各部門有與IT信息系統(tǒng)相關(guān)的設(shè)備(硬件)需求和安裝應(yīng)事先通知IT,由其進行統(tǒng)一申請采購和安裝;1.1.2公司禁止采購和使用假冒或未經(jīng)適當許可的技術(shù)產(chǎn)品的,即禁止采購和使用未經(jīng)國家信息安全評測機構(gòu)認可的信息安全產(chǎn)品、未經(jīng)國家密碼管理局批準和未經(jīng)國家信息安全質(zhì)量認證的國內(nèi)密碼設(shè)備;若需采用境外信息安全產(chǎn)品或境外的密碼設(shè)備時,應(yīng)通過國家信息安全測評機構(gòu)或國家密碼管理局批準及國家信息安全質(zhì)量認證:購買后,IT應(yīng)妥善保存好產(chǎn)品關(guān)鍵標簽、認證證書、說明書和保修卡等資料。1.2IT設(shè)備(硬件)檢測公司IT系統(tǒng)中使用的所有安全設(shè)備應(yīng)是經(jīng)過國家信息安全產(chǎn)品測評認證的合格產(chǎn)品,其電磁輻射強度、可靠性及兼容性也應(yīng)符合國家安全管理等級要求;凡購回的設(shè)備均應(yīng)在測試環(huán)境下經(jīng)過連續(xù)72小時以上的單機運行測試和聯(lián)機48小時的應(yīng)用系統(tǒng)兼容性運行測試并形成設(shè)備檢測測試記錄。1.3IT設(shè)備(硬件)安裝設(shè)備符合公司IT系統(tǒng)選型要求并獲核準后,方可購回安裝;通過1.2測試后才能進入試運行階段:通過試運行合格的設(shè)備才能安裝投入使用,正式運行。1.4IT設(shè)備(硬件)使用公司IT負責設(shè)備的使用登記(應(yīng)包括運行的起止時間、累計運行小時數(shù)及運行狀況等)、日常清洗和定期保養(yǎng)維護做好相關(guān)記錄:若設(shè)備出現(xiàn)故障,使用人應(yīng)立即填寫“設(shè)備維修申請單“交給IT處理;維修后將維修對象、故障原因、排除方法、主要維修過程以及維修人員、維修時間等詳細記錄”設(shè)備保養(yǎng)維護記錄”。1.5IT設(shè)備(硬件)儲存公司使用的安全產(chǎn)品及保密設(shè)備應(yīng)單獨存儲并采取.上鎖等保護措施,IT應(yīng)保證設(shè)備在其出廠說明書中的使用環(huán)境(如溫度、濕度、電壓、電磁干擾和粉塵度等)下工作,定期對設(shè)備及其存儲環(huán)境進行清潔和核查并詳細記錄。2、軟件安全2.1IT軟件采購和測試:a)行政部根據(jù)公司信息化的發(fā)展及各個部門的特殊使用申請于每年12月制定次年的軟件購買計劃和費用預算并上報公司廠長批準:批準后IT協(xié)同業(yè)務(wù)部門開始軟件的調(diào)研和選型:選定后使用部門寫“申購單”進行采購:軟件購回后IT應(yīng)將其預安裝在測試環(huán)境下進行相應(yīng)測試,以確定該軟件和常見的應(yīng)用、其他常用的軟件之間的兼容性:所有安裝軟件必須經(jīng)過測試環(huán)境的檢測才可正式發(fā)布:IT建立軟件檔案,將安裝情況記錄、歸檔;軟件的安裝必須由IT和軟件供應(yīng)商或軟件編制人員按照規(guī)定的步驟進行安裝。b)公司禁止采購和使用假冒或未經(jīng)適當許可的各類軟件,購買后,IT應(yīng)妥善保存好產(chǎn)品關(guān)鍵標簽、認證證書、說明書和保修卡等資料。2.2IT軟件驗收和存儲:IT在完成軟件的驗收過程中,要相應(yīng)詳細記錄軟件產(chǎn)品的名稱、版本號和序列號,產(chǎn)品的數(shù)量,產(chǎn)品的授權(quán)及授權(quán)時間段,收到訂購軟件的日期,以及其他購買合同的詳細情況交文控中心存檔保管。2.3IT軟件維護和監(jiān)控:公司IT負責監(jiān)控軟件的各種使用清況,負責組織和完善對系統(tǒng)所擁有的有效特許的各種軟件的拷貝目錄和拷貝份數(shù);建立和保存適當?shù)奈臋n來記錄首次和每年軟件管理和清理的結(jié)果,并在以后跟蹤新增加的軟件的拷貝安裝與使用,存入檔案;對安全系統(tǒng)所使用的電腦、服務(wù)器定期進行檢查,以保證系統(tǒng)所使用的軟件合法和安全,并檢查文檔的完整性和正確性;在軟件進行維護時,IT應(yīng)對維護過程詳細記錄軟件登記數(shù)據(jù)庫中,所有記錄按不同的軟件功能以月報的方式記錄在案。2.4IT軟件軟件使用:2.4.1公司內(nèi)必須使用公司認可授權(quán)的正版軟件,禁止使用盜版軟件,所有軟件的安裝必需由IT完成,個人不得私自安裝軟件或擅自卸載預裝軟件。2.4.2如有特殊情況需要下載安裝軟件者,應(yīng)填寫“新增及取消電腦權(quán)限申請單“,經(jīng)相關(guān)權(quán)責人核準后由IT統(tǒng)一安裝。IT應(yīng)及時在服務(wù)器上下載操作系統(tǒng)的安全補丁,并分發(fā)到每臺電腦上進行安裝。2.4.3使用軟件前,IT應(yīng)對來源不詳?shù)能浖跋嚓P(guān)文件或從不可靠的網(wǎng)站上下載的軟件及相關(guān)文件進行必要的檢查;IT應(yīng)采取防范措施,減少使用外來軟件或文件可能產(chǎn)生的風險,對千考勤/ERP等關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)定期檢測,防止非法文件對電腦系統(tǒng)中的軟件或數(shù)據(jù)進行非法修改或調(diào)查。2.4.4使用者在使用軟件過程中出現(xiàn)異?;蚬收锨闆r,應(yīng)填寫“設(shè)備維修申請單“交給IT進行處理。3、IT系統(tǒng)訪問控制安全3.1有權(quán)接觸IT系統(tǒng)員工的控制:3.1.1IT應(yīng)根據(jù)職位或工作性質(zhì),制定和定期審查更新有權(quán)接觸IT系統(tǒng)(如電腦和網(wǎng)絡(luò))的“有權(quán)進入IT系統(tǒng)授權(quán)表”,并依其分配單獨指定的登陸帳號和密碼及設(shè)置(調(diào)整和取消)使用/訪問權(quán)限;3.1.2IT每日對IT系統(tǒng)(如電腦和網(wǎng)絡(luò))無效密碼登陸和非法文件訪問檢查并記錄"IT系統(tǒng)無效登陸檢查記錄”,以確保員工根據(jù)工作要求訪間公司的敏感系統(tǒng)。3.2IT系統(tǒng)服務(wù)器/電腦用戶/應(yīng)用軟件(E-mail、ERP等)訪問控制:新入職或內(nèi)部崗位調(diào)動且需使用電腦或服務(wù)器工作的員工,由部門文員或本人根據(jù)其職位及工作范圍填寫“新增及取消電腦權(quán)限申請單”經(jīng)相關(guān)權(quán)責人批準后,上崗前It進行網(wǎng)絡(luò)安全政策/程序、如何備份數(shù)據(jù),變更密碼、病毒防范、違犯IT管理制度受到懲罰等IT知識安全培訓合格后,由IT負責分配單獨指定的登陸帳號/密碼和設(shè)置(調(diào)整和取消)使用/訪間權(quán)限。3.3IT系統(tǒng)域用戶訪問控制:3.3.1公司采用域管理的方式管理公司局域網(wǎng)內(nèi)的每一個客戶端(若正常使用公司內(nèi)/外網(wǎng)服務(wù)必需使用公司域賬戶),各部門有特權(quán)的管理賬戶將被統(tǒng)一劃分到一個組,統(tǒng)-受IT監(jiān)控;IT根據(jù)使用人員的職位或工作范圍設(shè)置和分配單獨的客戶端單獨指定的登陸帳號/密碼、使用/訪間權(quán)限;必需有各部門負責人許可的域賬戶方可正常訪問外部網(wǎng)絡(luò),否則僅局限于公司內(nèi)部網(wǎng)絡(luò)的訪問(含郵件、ERP系統(tǒng)等)3.3.2客戶端設(shè)置的每個域帳戶登錄密碼應(yīng)最小長度為8個字符、最小有效期1天,最長有效期90天:密碼字.符必需由復合型的數(shù)字和字母共同構(gòu)成;新密碼不得重復使用最近6個老密碼:密碼連續(xù)3次輸入錯誤,賬戶被鎖定,IT才能解除鎖定:其次賬戶超過30分鐘不活動者,系統(tǒng)將被鎖定,只有輸入密碼才能打開;賬戶最長有效期為90天,到期必需按照提示更改密碼。3.4IT系統(tǒng)的Internet訪問控制:員工根據(jù)工作需要訪間Internet,應(yīng)填寫“新增及取消電腦權(quán)限申請單”經(jīng)相關(guān)權(quán)責人批準,IT執(zhí)行;公司域用戶才有Internet訪問資格,公司員工Internet訪問權(quán)限由AceNet上網(wǎng)行為管理流控墻進行控制:公司員工分為永久上網(wǎng)組、臨時上網(wǎng)組和不能上網(wǎng)組,控制員工Internet訪問權(quán)限;公司普通.上網(wǎng)用戶每日限定1000M流量,每天流量用完后用戶就不再有上網(wǎng)權(quán)限;公司通過AceNet上網(wǎng)行為管理流控墻屏蔽部分股票、視頻類等網(wǎng)站。3.5IT系統(tǒng)訪客訪問控制:a)公司所有訪客入公司時,所有個人電子設(shè)備(如電腦、手機)應(yīng)主動申報,因工作需要使用個人電子設(shè)備進入公司局域網(wǎng)或使用公司外部Internet工作時,必需山被訪問單位接待人員填寫“新增及取消電腦權(quán)限申請單”或“遠程訪問申請表”向公司高層申請,由IT設(shè)置和分配單獨指定的客戶端單獨指定的登陸帳號和密碼、使用/訪間權(quán)限后,將其電子設(shè)備接入公司Internet網(wǎng)并顯示安全警告信息時才可充使用,并由IT負貴設(shè)置連網(wǎng)和網(wǎng)絡(luò)時實監(jiān)控,以確保安全;b)千系統(tǒng)調(diào)試,需要公司外專業(yè)工程師遠程登錄公司局域網(wǎng)進行軟件調(diào)試時,經(jīng)辦人需填寫“遠程訪間申請表“經(jīng)相關(guān)權(quán)責人批準后,山IT全程監(jiān)控調(diào)試過程和起始、終止時間。3.6調(diào)整或解除員工IT系統(tǒng)權(quán)限的程序:3.6.1公司授權(quán)IT負責設(shè)置(調(diào)整和取消)和維護公司IT系統(tǒng)所有的訪間帳戶和密碼:客戶端賬戶由IT每6周核查一次賬戶的有效性:機房的所有服務(wù)器之密碼由IT負責每6周變更一次,變更后向行政部負責人報告?zhèn)浒?同時IT每月應(yīng)核實一次域賬戶、Internet、ERP等IT系統(tǒng)賬戶信息,對可疑賬戶確認無誤后直接刪除。3.6.2公司限制使用VPN訪問公司網(wǎng)絡(luò)目錄,每電腦系統(tǒng)用戶的帳戶密碼三次輸入密碼錯誤后用戶權(quán)限應(yīng)被暫停(服務(wù)器應(yīng)可追溯到)且IT收到相應(yīng)的短信報警信息后應(yīng)及時跟進處理,每6周更換--次,過期時,.IT應(yīng)及時更換或在電腦系統(tǒng)中設(shè)置強制用戶更新不同的密碼后方可進入并做好“電腦用戶密碼更換記錄”和在每次啟動密碼更改時續(xù)簽《信息安全保密協(xié)議書》。3.6.3員工調(diào)崗時,應(yīng)填寫“新增及取消電腦權(quán)限申請單“經(jīng)過相關(guān)權(quán)責人核準后,IT應(yīng)刪除其所用到本公司IT系統(tǒng)的所用賬戶信息重,并根據(jù)其職位或工作范圍設(shè)置和分配單獨的客戶端登陸帳號和密碼、使用/訪間權(quán)限;3.6.4使用IT系統(tǒng)的員工的IT賬戶密碼過期失效或忘記賬戶密碼的,應(yīng)填寫“新增及取消電腦權(quán)限申請單經(jīng)過相關(guān)權(quán)責人核準后,IT重置相關(guān)密碼。3.6.5工作中用到IT系統(tǒng)(含電腦和網(wǎng)絡(luò)訪間等)的人員離職時,應(yīng)填寫“離職人員登記表“經(jīng)過IT刪除其所用到本公司IT系統(tǒng)的所用賬戶信息并簽名確認后,人事文員才可辦理離職手續(xù)。4IT系統(tǒng)安全管理4.1IT應(yīng)建立輸入安全控制原則,進入公司應(yīng)用系統(tǒng)(如ERP、郵件等)的數(shù)據(jù)必須有正確的格式與內(nèi)容,經(jīng)過檢查后,再存儲到電腦的存儲介質(zhì)上。4.2公司文件服務(wù)器使用規(guī)定:4.2.1公司文件服務(wù)器的公共文件交換區(qū)不提供文件的長期保存,只提供公司內(nèi)部文件交換使用,不能將有關(guān)公司保密內(nèi)容的電子文件在公共交換區(qū)內(nèi)交換,不得傳遞非工作用文件,如有發(fā)現(xiàn)違犯,IT將禁止其繼續(xù)使用該服務(wù)器,由此引起的工作不便,將由個人負責;此區(qū)由項目或工作組負責人申請,只有該項目或工作組成員具備登錄的權(quán)限;公共文件交換區(qū)根目錄下應(yīng)以部門為單位建立文件夾,用戶不能刪除,用戶可在部門文件夾下建立文件夾和上傳文件,任何人都有權(quán)刪除;傳遞到公共交換區(qū)的文件使用完后應(yīng)及時刪除,最晚不得超過當天下班以前;4.2.2IT應(yīng)在公共文件交換區(qū)建立獨立的工具文件夾目錄,提供各專用軟件的安裝程序、升級包、補丁等供各電腦客戶端下載安裝,IT每周六下班時清空一次公共文件交換區(qū)部門文件夾內(nèi)容,請個人做好文件的存檔備份:個人存儲空間內(nèi)文件只能由用戶個人自行刪除(刪除的文件不可恢復),個人用戶密碼應(yīng)每6周更換一次。5IT系統(tǒng)數(shù)據(jù)庫安全(電腦數(shù)據(jù)備份政策/程序)5.1IT系統(tǒng)服務(wù)器系統(tǒng)數(shù)據(jù)備份:IT將根據(jù)不同的應(yīng)用服務(wù)和數(shù)據(jù)特點,采用全備份(每個周未對目前公司主要的服務(wù)器系統(tǒng)及各種生產(chǎn)應(yīng)用系統(tǒng)進行一次系統(tǒng)完全備份)和差分備份(即每天對所有生產(chǎn)應(yīng)用系統(tǒng)數(shù)據(jù)及ERP、考勤、郵件等系統(tǒng)在相對千前一次全備份之后新增加和修改過的數(shù)據(jù)的一次差別備份)對公司服務(wù)器系統(tǒng)及數(shù)據(jù)進行自動備份,并每周IT轉(zhuǎn)存一.次完整自動備份數(shù)據(jù)至移動硬盤上異地保存。5.2容災備份:容災機房的近線備份系統(tǒng)每天對公司主機房的近線備份系統(tǒng)所備份的數(shù)據(jù)進行一次復制備份,容災機房應(yīng)與公司主機房不在同一棟辦公樓內(nèi)。5.3客戶機數(shù)據(jù)備份:5.3.1IT應(yīng)在文件服務(wù)器的磁盤(選用RAID5磁盤)上,根據(jù)各部門的工作性質(zhì)提供不同大小的個人用戶的獨立存儲空間CIT應(yīng)設(shè)置獨立的用戶名和密碼于各用戶訪問,其它用戶無訪問權(quán)限,用戶可自己修改密碼),以確保公司各電腦用戶機的數(shù)據(jù)備份;5.3.2公司內(nèi)網(wǎng)各用戶每日將各自的重要電子文件上傳到公司服務(wù)器存儲空間指定目錄下進行備份存儲,以避免.個人電腦的硬盤故障造成重要文檔丟失而造成公司的相應(yīng)損失。5.4數(shù)據(jù)銷毀:在公司正常營業(yè)期間中,所有備份數(shù)據(jù)不得銷毀。5.5備份管理:公司內(nèi)所有應(yīng)用服務(wù)由IT統(tǒng)--管理統(tǒng)一進行備份,所有敏感和機密數(shù)據(jù)應(yīng)以加密格式存儲,每周進行備份巡檢、異地備份、巡檢備份設(shè)備是否工作正常,備份數(shù)據(jù)是否完整并記錄巡檢結(jié)果千“電.腦數(shù)據(jù)備份記錄”;IT應(yīng)將備份數(shù)據(jù)已滿的硬盤及時從在線工作的硬盤庫中取出,轉(zhuǎn)存千脫機的、異地(暫放廠區(qū)外的廠長家中)指定的防火防水的保險柜中并附.上硬盤存儲內(nèi)容清單:硬盤.上應(yīng)標識清楚購買日期標簽,使用年限不超過10年,過期硬盤應(yīng)貼上過期標簽,永久封存。6信息加密和安全傳輸安全6.1電腦用戶對千敏感數(shù)據(jù)在保存和傳輸過程中必須有加密處理:公司局域網(wǎng)內(nèi)的辦公電腦應(yīng)通過指定的數(shù)據(jù)泄露防護系統(tǒng)(如億賽通)進行文檔保護;6.2公司域用戶文檔在本機打開、編輯、保存文檔時,執(zhí)行動態(tài)加解密;員工本地文檔解密需要其授權(quán);員工只有登錄數(shù)據(jù)泄露防護系統(tǒng)的客戶端后才能通過郵件對外發(fā)送解密文檔,對外發(fā)送的郵件通過數(shù)據(jù)泄露防護系統(tǒng)的服務(wù)器進行郵件日志審核。6.3公司保密的電子文檔應(yīng)通過公司個人郵件進行交換;所有上傳到公共交換區(qū)內(nèi)的文件必需進行加密。6.4在接收E-mail時,對于一些可疑、來歷不明的郵件,直接刪除,防止病毒、木馬等侵入:不要發(fā)送反動的或與政治比較敏感的E-mail等,禁止將公司的機密資料通過E-mail、Internet的途徑發(fā)送到外部,如給公司帶來損失的依所簽《信息安全保密協(xié)議書
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 煙草局保密合同范例
- 石材花盆購銷合同范例
- 企業(yè)商務(wù)合同范例
- 物管聘用合同范例
- 農(nóng)村廠房收租合同范例
- 汽車買賣簡易合同范例
- 2025車位租賃合同范本
- 別墅合同買賣合同范例
- 網(wǎng)絡(luò)耗材購銷合同范例
- 新房子貸款合同范例
- 全面設(shè)備保養(yǎng)TPM培訓教材課件
- 二保焊作業(yè)指導書
- 垃圾焚燒發(fā)電廠項目給排水安裝工程專項方案
- DB64-T 1147-2022 寧夏工業(yè)單位產(chǎn)品能源消耗限額
- 授課比賽評分表
- XXXX供電項目可行性研究報告
- 抗菌藥物供應(yīng)目錄備案表
- TSG G0002-2010 鍋爐節(jié)能技術(shù)監(jiān)督管理規(guī)程
- cass實體名稱,圖層,實體代碼對照表
- 印刷工藝-ppt課件
- 員工訪談記錄表完整優(yōu)秀版
評論
0/150
提交評論