数据安全管理规定
数据安全管理规定
一、目的
明确规定公司使用信息系统的各部门对数据安全管理的工作职责与范围,监督其日常与长期工作质量,并使其符合ISO质量管理体系要求。
二、范围
公司使用信息系统的各部门
三、适用文件
无
四、内容
(一)总则
1.加强对公司计算机信息系统数据安全保护工作的目的是:确保公司业务计算机信息系统正常运行,维护数据信息应用工作的正常开展,提高公司计算机信息系统数据整体安全水平,净化网络信息环境。
2.本规定中所指计算机信息系统数据是指各常规工作中所建立和存储在电子设备和计算机内的业务、财务、人事等电子数据。
3.公司系统内计算机信息系统数据安全保护工作应按照“谁主管、谁负责,预防为主、综合治理,制度防范与技术防范相结合”的原则,逐步实现数据安全管理的科学化、规范化。各部门计算机数据管理实行负责人责任制,各部门指定专人负责本部门计算机数据管理工作,其职责是:
(1)保障本部门计算机数据的安全运行;
(2)对本部门的计算机数据及时进行分类登记、备份;
(3)对外来介质、软件进行检测;
(4)随时检测、清除计算机病毒和有害数据;
(二)计算机信息系统安全管理
4.计算机信息系统应及时进行系统升级或更新补丁;计算机信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。
5.计算机信息系统应有全面、规范、严格的用户管理策略或办法。重要的计算机信息系统必须有双人互备做为系统管理员,系统管理员必须对计算机信息系统的各种服务器加设口令,严
禁采用系统默认超级管理员用户命或口令;由系统管理员对用户实行集中管理,对用户按职能分组管理,设定用户访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志,审计日志应进行妥善保存。
6.计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段,并具有在要求时间内恢复系统功能以及重要数据的能力。对重要计算机信息系统及设备要有应急处理预案,并定期举行数据安全应急演习。
7.计算机信息系统与数据库主机必须建立在正规机房,机房要在场地面积、用电环境、使用环境、消防防雷等方面符合国家有关规定。
8.计算机信息系统主机或存储设备发生故障时,要尽量现场维修,系统管理员要在现场监督;确需要送出维修时,注意去掉存储部件或删除数据。
9.严格计算机信息系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统,严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。接入计算机信息系统的客户机要满足以下要求:1、装有杀毒防毒软件;2、与互联网或外网物理隔离;3、只装指定的业务软件;4、未经允许,不得接入移动存储设备;5、除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
10.各类计算机信息系统的安装、升级、调试和维护由系统管理员负责。未经系统管理员许可,
不得随意在计算机信息系统的客户机上安装新软件。
(三)互联网安全管理
11.坚持“涉密计算机不上互联网,非涉密计算机不处理涉密信息”的原则。涉及公司秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,也不得与业务内网相联接,必须实行物理隔离。笔记本电脑不允许启用无线网卡,以避免泄密。
12.对重要或涉密数据的存储和传输应进行加密处理。对重要或涉密数据的存储介质,应采取必要的安全保护措施,并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意,涉密计算机不得使用U盘、移动硬盘、刻录机等相关设备。
13.对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。
14.各部门经办计算机信息系统中的计算机均不得接入国际互联网,不得做与业务处理无关的
工作。除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
15.需接入互联网的计算机需按正常程序申请,由系统维护部分配相应的上网权限。
16.杜绝以各种形式违规外联互联网,包括利用办公电话拔号上网、无线上网等,维护公司网络安全。
17.在办公范围内不允许启用笔记本电脑自带的无线网卡。以避免泄密以及对网络系统造成电磁干扰。
18.接入互联网的计算机应具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。对计算机、服务器账户均设置密码,各种账户和密码严格保密。根据信息的安全规定和权限,确定使用人员的存取、使用权限。通过网络传送的程序或信息,必须经过安全检测,方可使用。各类操作人员必须具有病毒防范意识,做好计算机病毒的预防、检测、清除工作,及时升级防病毒系统,定期进行病毒的查杀,发现病毒要及时处理,并做好记录。防止各类针对网络的攻击,保证数据安全。
19.建立互联网信息发布的审核和登记制度,坚持“先审后贴”“谁上网谁负责”的原则,凡向互联网的站点提供或发布信息,必须经过发布部门的保密审查批准,并由专职部门负责统一发布,同时做好审核登记记录。未经允可,任何人员不得将数据信息以任何形式发布到互联网上或对外提供,防止数据泄密。
20.提供电子邮件服务的计算机应具备有害信息和垃圾邮件过滤功能,相应技术参数应符合国家相关标准。
21.建立对外网信息的监视、保存和备份制度,要有专人对网站、交互式栏目发布的信息进行监视,发现有害信息备份后立即删除,并报告当地公安机关公共信息安全监察部门。
22.任何部门和个人不得利用互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
(四)数据维护及备份管理
23.建立计算机信息系统管理员制度。重要的计算机信息应用系统要实行系统管理员双人互备。系统管理员承担系统的运行维护和数据的安全管理工作。
24.各计算机信息应用系统本着“谁应用谁负责”的原则,由系统管理应用部门制定数据安全管理方案,配备专职系统管理员,并将数据安全管理方案、数据备份策略、管理流程和人员组织情况向部门负责人备案。
25.系统管理员要严格遵守数据备份策略,及时做好数据的备份工作。严格数据库管理员口令
管理,要定期更换数据库管理员口令。在系统升级或数据有较大变动情况时必须备份并长期异地保存;系统数据每天应作数据库的增量备份,每周应作数据库的完全备份;各类统计报表、各类外部电子信息数据应每月备份;重要数据读入系统后应及时备份。
26.数据备份采用在线存储与脱机介质两种形式进行双备份。一方面要将数据备份到非本机的存储设备上;另一方面备份到脱机介质上,脱机备份要实行本地与异地双存储。数据备份后要认真填写数据管理日志。
27.重要数据必须定期、完整、真实、准确地备份到不可更改的介质上,并要求做到集中和异地双备份保存。对长期保存的数据光盘等备份介质,应每年进行一次以上检查,以防止存储介质损坏造成损失。
28.备份数据资料保管地点应有防火、防潮、防尘、防磁、防盗等安全设施。废弃的数据信息存储介质要严格按照保密要求进行粉碎处理。
29.系统出现故障和遭到破坏时,由系统管理员负责完成数据恢复工作,系统管理员必须保证备份数据能够及时、准确、完整地恢复。确因特殊原因不能恢复的,应及时向分管领导汇报,妥善处理。数据恢复后要认真填写数据管理日志。
30.对数据的各项操作实行日志管理,严格监控操作过程,对发现的数据安全问题,要及时处理和上报。
31.未经批准,系统管理员不得直接对后台数据库进行数据更改操作,确需后台操作的,必须上报分管领导批准,并事先对数据库进行备份后进行,同时,详细记录操作过程及数据更改情况存档备查。
(五)人员管理
32.建立计算机信息系统安全管理人员的录用、考核制度,不能胜任工作的人员必须及时调离。涉密人员应有相当强的保密意识,自觉遵守涉密信息不上网的规定,严禁涉密信息的有意或无意泄漏。
33.计算机管理人员调离时,必须按规定移交全部技术资料和有关数据,设有口令密钥的要及时进行更换。涉及重要业务的人员调离时,应确认对业务不会造成危害后方可调离。
34.操作人员应严格遵守软件的操作规范,离开操作岗位时,必须退出应用软件操作界面或锁定计算机,以防他人进行未经授权的操作。
35.操作人员必须遵守有关计算机管理的安全保密法律法规,各类应用系统的使用必须实行用户身份验证,对自己的帐号负责。操作人员应注意自己用户名和口令的保密,并定期或不定期修
改口令。如出现他人借用或盗用本人帐号引起不良后果的,要按规定追究有关责任人的责任。
36.发生重大计算机事故,应当立即报告信息管理中心部门。
37.发现计算机违法、犯罪案件,须立即向公安机关公共信息网络安全监察部门报案。(六)档案管理
38.计算机介质与技术资料等应设专柜存放。纳入管理的资料包括系统软件、工具软件、应用软件、备份数据、技术资料等。其中技术资料包括各个主机配置情况、系统参数、网络设备配置参数、网络物理连接图、逻辑连接图、系统备份方案、系统故障应急操作手册等和其它认为有必要纳入管理的各类技术资料;密码包括主机密码、数据库管理员密码、路由器密码、应用软件超级用户密码以及计算机介质等。
五、奖惩依据
本规定奖惩暂按照《奖励与处罚管理规定》执行。
六、权限
(一)起草部门:信息管理中心数据库研发部
(二)审核部门:信息管理中心
(三)批准部门:总经理
(四)执行部门:公司使用信息系统的各部门
七、例外
无
八、解释
(一)本规定自发文之日起实行。
(二)本规定的最终解释权归信息管理中心。
九、引用
无
十、附录
无
二○一○年九二十日
数据安全管理规定
页眉内容 XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明
确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。 第三章职责定义 第七条数据创建者负责针对其所创建数据的内容和价值提出分类分级建议,提交对应级别数据所有者确认。 第八条来自XXX信息系统以外的数据,数据承接者视同创建者行使提出分级分类建议的责任和义务。 第九条数据所有者具有确认数据类别和敏感级别、确认销毁、提出技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利和义务。其中,XXX业务数据的所有者为XXX指定的相应业务部门。 第十条各类数据的责任部门是该类数据的管理者。数据管理者作为数据所有者的代理者,代理数据所有者从事数据管理工作,负责其所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于:数据类别和敏感级别的标识与声明,根据级别进行管理与保护,数据使用培训,执行销毁操作并声明,定期自查提交报告,配合数据安全违规调查等。
数据安全管理办法
数据安全管理办法 为保护公司重要经营数据安全,结合各部门实际情况及保密需求,制定本规定。 一、结合公司实际硬件配置情况,公司目前实行双硬盘数据加密共享备份机制。 二、数据加密共享备份以部门为单位,备份所需的专用硬盘安装于部门负责人的电脑上。总监及以上人员配备专用移动硬盘存放日常重要文件。 三、专用硬盘的安装及使用 1、公司在各部门负责人的台式电脑上安装500G大容量硬盘,该硬盘仅用于备份部门重要数据。 2、信息技术员将在安装数据备份专用硬盘的计算机上以部门内每个员工的姓名拼音建立帐户,设置初始密码,并在专用数据备份硬盘上建立一个以员工姓名命名的文件夹。 3、员工在备份资料时应及时请部门负责人更改初始密码。 4、部门负责人有权限查看和使用部门内所有员工的备份资料,员工仅有权限查看和使用个人备份的资料(信息技术员已在设置备份时设置完成此项功能)。
5、员工可通过远程共享访问部门经理的计算机,将欲备份的文件拷贝到个人姓名的文件夹里。 6、数据备份操作说明: 主要操作内容涉及三部分:(1)部门负责人修改密码操作;(2)员工备份数据操作;(3)部门负责人查看备份文件夹内的资料。 操作一:部门经理修改员工帐号密码步骤 (1)在桌面我的电脑图标点右键,选择管理,打开。如图: (2)展开本地用户和组,点击用户,右侧会显示所有用户名。 (3)找到在欲修改密码的用户名,点右键,选择设置密码,会提示如图,点继续。
(4)如下图,输入新的密码,点确定,即完成密码修改。 操作二:员工备份数据的步骤 (1)以财务部阎旭升为例,在个人电脑上上打开网上邻居—查看工作组计算机,找到部门经理姚滢的电脑,双击打开,会提示如图: (2)输入用户名/密码,并勾选记住我的密码,以后就不用再输入密码(注意1:非本部门员工在访问共享文档时,也会提示输入用
数据中心信息安全管理及管控要求详细版
文件编号:GD/FS-9367 (操作规程范本系列) 数据中心信息安全管理及管控要求详细版 The Daily Operation Mode, It Includes All The Implementation Items, And Acts To Regulate Individual Actions, Regulate Or Limit All Their Behaviors, And Finally Simplify Management Process. 编辑:_________________ 单位:_________________ 日期:_________________
数据中心信息安全管理及管控要求 详细版 提示语:本操作规程文件适合使用于日常的规则或运作模式中,包含所有的执行事项,并作用于规范个体行动,规范或限制其所有行为,最终实现简化管理过程,提高管理效率。,文档所展示内容即为所得,可在下载完成后直接进行编辑。 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、 ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的
BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年
企业信息安全管理办法
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
信息系统安全管理办法(通用版)
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
信息数据安全管理制度
信息数据安全管理制度 随着医院信息化的发展,医院在用数据库不断增大,数据库内部关系也变的更加复杂,为保证医院数据库内部数据的完整性和严谨性,以及保证与财务报表的统一性,特制定《信息数据安全管理制度》。 1.医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、药品、材料、价格、费用等信息的数字化表现形式。 2.医院信息数据的安全性直接关系到医院决策和患者的利益,任何人在未经授权的情况下不得擅自改动和查询医院的信息数据。 3.信息数据故障原因主要有两种: ⑴系统升级、变更、数据库死锁、软件设计缺陷等系统原因引起的信息数据丢失、关联错误。对于以上原因引起的信息错误,经临床科室反映后,医学工程信息部人员及时做出调整和修改,以保证信息系统的正常运行。 ⑵人为的错记、漏记等原因引起的信息数据错误。对于以上原因引起的信息错误,经当事科室要求,确实需要修改数据,根据不同情况,按照以下规定进行修改: 患者性质属于自费、参考医保:请当事科室护士或者医生(建议由经手人)来医学工程信息部信息管理办公室详细
填写信息数据修改审批记录单,做好各项审批工作,并配合信息数据维护人员完成该项数据的修改工作。 ①患者性质属于医保、农保或惠民:在院病人参照①所示规定进行修改;出院病人则按照医保、农保、惠民政策的规定,经该病人所属辖管机构审批后方可进行修改,否则不予以修改,在取得审批同意书后再参照①所示规定执行。 ②如涉及跨月数据(所有病人),则必须先上报财务核算部,经过财务核算部审核同意后,方可遵照①、②所示规定进行修改;修改完成后,医学工程信息部应对修改结果形成书面报告,经医学工程信息部主任(副主任)签字确认后,再由当事科室将修改报告送至财务核算部,财务核算部收到报告后及时对该月报表进行调整。 ③医学工程信息部信息管理部门每月出具数据修改报表,交由各管理部门,方便各管理部门对我院的信息系统运行情况进行监管。 4.信息数据查询统计规定 ⑴因单位内部工作以及迎接检查等情况的需要,确实需要查询(统计)数据的,医学工程信息部人员可由相关部门提交申请单后,由医学工程信息部主任、副主任签字确认后对相关信息数据进行查询、统计以及调整。 ⑵公安、司法机关等公检法系统需查阅信息数据时,应出具采集证据的法定证明。
公司网络信息安全管理办法(修改)
公司网络信息安全管理办法 1.总则 为规范公司计算机与网络的管理,确保计算机与网络资源的高效性与安全性,特制订本办法。 1.1网络信息安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。 1.2本规定涉及的管理范围,包括各类软、硬件设备。其中,软件设备包含:办公系统(OA、CRM、现金流系统)、邮件系统、局域网、操作系统以及网络上提供的相关服务;硬件设备包含计算机及与计算机相连接的打印机、扫描仪、路由器、服务器、U盘、移动硬盘等设备。 1.3本办法适用于部门及车间各单位。 2.网络安全管理 2.1全公司计算机由其指定责任人负责计算机与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。若发现该责任人泄漏计算机内信息秘密,将视情节轻重,对该责任人处以200-5000元的经济处罚。 2.2公司员工必须定期对其重要文件进行备份,不建议将文件数据单一存储在某一设备介质中,应在多种设备介质(移动硬盘或U盘)中建立多个备份。一旦数据丢失且无法恢复,将视数据损失情况及重
要程度,对当事人处以200-5000元的经济处罚。 2.3公司各部门的重要数据,应每季度由其部门特定人员进行备份,同时应将数据备份到多种设备介质中,包括移动硬盘,光盘等。一旦数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000元的经济处罚。 2.4公司服务器系统的数据备份,由其部门特定人员进行数据备份。责任人需每周一次对数据文件进行完整备份,并将备份文件转移到指定存储介质中。未按要求进行备份,并导致服务器数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000经济处罚。 2.5公司员工不得使用各种手段破解、攻击公司计算机网络系统与各种服务平台。一经发现,将对当事人处以5000元的经济处罚并给予开除处理。 2.6 责任人需定期对使用电脑进行杀毒、清理垃圾文件、升级补丁,保持计算机系统清洁。未按规定执行,对部门第一负责人及经办人员分别处以200元和100元的经济处罚。 2.7责任人需定期对服务器进行杀毒、清理垃圾文件、升级补丁,保持计算机系统清洁。未按规定执行,对第一负责人及经办人员分别处以200元和100元的经济处罚。 2.8 公司员工因履行职务或者主要利用公司的物质条件、技术累积、业务信息等产生的发明创造、作品、计算机软件、技术信息或其他与商业信息有关的知识产权均属公司所有。工作成果包括发明创造、技术改造、工具模型、专有技术、专有设计、专利、管理模式、
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
数据安全管理规定80331
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。
数据安全管理制度及流程
数据安全管理制度及流程 数据安全管理制度: 1、在安装成功MySQL之后立即删除https://www.360docs.net/doc/a218999825.html,er表中除本地主机root帐户之外的全部帐户。 2、为服务器本地root账户设置一个复杂的密码,应同时包含字母和数字,并定期更换。开发用于连接数据库的账户必须单独建立,密码由运维主管掌握。 3、定期更新的数据库root账户密码会告知技术总监、数据库主管,其他人员需要了解root账户密码时,需要书面向技术总监提出申请,批准后可以获得密码。 4、每天定时为数据库做全局备份,并保存在非系统盘中。每天定时为数据库做异地备份,固定保存在局域网中其他安全的计算机中。 5、进行数据恢复前,需要由数据库管理员登记正式的、书面的数据恢复报告,并提交技术总监与数据主管批准。每次的数据恢复都应记录备案。数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。 6、进行数据物理删除前,需要由数据库管理员登记正式的、书面的数据清理报告,并提交技术总监与数据主管批准。每次的数据清理都应记录备案。 7、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。 数据库修改流程: 1、对数据库结构、数据库表或表字段进行修改前,由申请人向技术经理提交申
请,技术经理确认可以修改后,通过邮件向数据库主管提出申请。双方协商无误后,进行数据库修改。修改结束后,数据库主管通过邮件向技术经理说明处理细节及处理结果。 2、针对数据库图录数据的修改,均需通过产品经理向数据库主管提出邮件申请。双方确认申请无误后,进行数据库修改。修改结束后,数据库主管通过邮件向产品经理说明处理细节及处理结果。 3、业务部门提出的数据查询、统计、分析请求,需统一提交给产品经理,由产品经理确认可以提供后,向数据库主管发出邮件请求。数据库主管在数据库中处理后,将所需数据通过邮件发送给产品经理(如数据文件过大,将通过移动存储拷贝)。
信息系统数据安全管理办法.doc
信息系统数据安全管理办法1 信息系统数据管理办法 (试行) 第一章总则 第一条为了规范信息系统的数据管理工作,真实、有效地保存和使用各类数据,保证信息系统的安全运行,根据《中华人民共和国计算机信息系统安全保护条例》及相关法律、行政法规的规定,特制定本办法。 第二条本办法所指的数据包括各类业务数据以及各种系统软件、应用软件、配置参数等。 第二章数据的使用 第三条信息系统实行安全等级保护,软件使用权限按程序审批,相关软件使用人员按业务指定权限使用、操作相应的软件,并且定期或不定期地更换不同的密码口令。 第四条业务软件的使用主体为系统各部门,(0A)系统的使用主体为在编人员。录入数据的完整性、正确性和实时性由各相关录入部门、人员负责。信息办负责软件和数据的安装维护,以及数据的安全保护。 第五条其他单位需要部门提供数据的,根据有关规定,按密级经分管领导签字同意后,由信息办提供。 第二章数据的备份
第七条信息办按照数据的分类和特点,分别制定相应的备份策略,包括日常备份、特殊日备份、版本升级备份以及各类数据的保存期限、备份方式、备份介质、数据清理周期等。 第八条数据备份管理人员必须仔细检查备份作业或备份程序的执行情况,核实备份数据的有效性,确保备份数据的正确性和完整性。 第九条数据备份管理人员定期对各类数据进行安全备份: (一)对最近一周内的数据每天备份:周一至周日对数据进行全备份(对于大存储量的数据,可进行增量备份); (二)对最近一月内的数据,每周保留一个全备份; (三)对最近一年内的数据,每月保留一个全备份; (四)每年至少保留一个全备份。 第十条对于数据库服务器、web服务器、网络设备的参数配置,在每次做过更改后,要及时备份。 第十一条数据备份要求异机备份,并且不能备份在WEB或FTP 等公共访问站点上;月备份和年备份同时要求至少一个离线备份。 第三章数据的恢复 第十二条对系统进行数据恢复必须制定书面的数据恢复方案(内容包括进行数据恢复的原因和理由、恢复何时和何种数据、使用哪一套备份介质、恢复的方法和操作步骤等),经信息办主
公司信息安全管理制度【最新】
公司信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使
用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
企业信息安全管理条例
信息安全管理条例第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。 改善信息安全水平的主要手段有: 1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全; 3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险; 5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限; 8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期; 9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式; 10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故 障或灾害的影响; 11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。 1.2、信息安全建设的原则 1)领导重视,全员参与; 2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与; 3)技术不是绝对的; 4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“二、八”原则; 6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部; 7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
数据安全管理规定
数据安全管理规定 1.保密制度 1.目的 实现研发中心内部数据的安全。 2.使用范围 适用于公司在生产、研发、行政管理中形成的文件(如:合同、图纸、技术报告、企业标准、管理制度、图片、程序、数模、人事档案、财务报告等)及模型、样机、样件等。3.保密要求 3.1新员工进入公司后,由人力资源部组织进行《保密制度》学习培训,并签订《知识产权及保密协议》。 3.2 员工由于项目工作需要,必须将数据携带外出、复印、打印或者经由电子邮件、传真发送,必须由其主管项目经理批准,并登记备案。 3.3公司电脑配置实行一机一人,每台电脑必须设置个人密码,任何人不得将个人密码告诉他人,否则后果自负。 4.奖惩 因疏忽或无意泄漏公司数据者,由公司根据情节进行处罚。 2.公司计算机网络管理办法 1.目的 为加强公司计算机网络系统管理,提高公司计算机网络系统的安全性、可靠性和稳定性,保证研发及行政管理工作需要,特制定本办法。 2.职责/职能 2.1综合管理部是计算机系统主管部门,统—管理公司的计算机网络。 2.2数据操作员负责公司对外及外来光盘、磁盘、电子邮件等电子文件传递的管理工作。 2.3网站管理员负责公司内、外网站服务器的维护管理工作。
3.内部安全防范管理 3.1公司内各类计算机系统用户,严禁运行未经检验和来历不明的软件,严禁在各自的计算机内安装与各自业务无关的软件,严禁安装运行各种游戏软件,严禁将计算机系统口令和个人密码告诉无关人员,未经许可严禁将计算机交由外部门人员操作。 3.2公司各计算机用户应确保各自计算机内的数据资料的安全。未经许可,任何人严禁擅自拷贝公司数据。综合管理部切实做好数据的备份工作。 4.防范计算机病毒 4.1公司内各计算机用户应当专人、专管、专用。 4.2公司预防计算机病毒选用的硬件、软件必须是正版产品。 4.3对计算机安全运行操作的具体要求: 4.3.1谨慎地处理、使用共享软件。 4.3.2新安装系统要进行检验。 4.3.3外来电脑未经许可不得联入公司网络。 4.3.4对软盘、U盘、移动硬盘、光盘实行管理,在使用外来软盘、U盘、移动硬盘、光盘时,应首先检测其安全性。 4.3.5决不执行不知来源的程序。 4.3.6系统中的数据要定期进行备份。 4.3.7禁止在工作场所安装计算机游戏,玩计算机游戏。 4.3.8计算机系统管理员定期检查清除计算机游戏。 4.3.9密切注意自用计算机的配置参数(如引导扇区、中断向量表、应用程序长度、执行时间)和运行情况,发现异常,及时报告系统管理员,做出判断和处理。 4.4确保杀毒软件病毒特征码的及时更新:由于病毒不断发展变化,要求计算机系统管理员密切注意所用杀毒软件病毒特征码的更新情况,做到及时更新。 4.5防范病毒制度化:对各计算机系统,尤其是服务器定期扫描杀毒。 4. 6对新购计算机进行病毒检查,对新购软件系统进行病毒检查,计算机不得外借。 4.7互联网防毒的安全措施: 4.7.1公司设有联入互联网的专用计算机(除邮件收发专用机外,不与公司内部网连接),未经过主管部门同意,任何人不得私自接入互联网。 4.7.2不得进入各“黑客”站点访问,不允许在局域网及Internet上使用“黑客”软件,以防不明病毒。
数据及信息安全管理制度
数据及信息安全管理制度 1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责; 2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。 3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。 4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。 5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。 6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。 7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。 8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。 10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。 面对强大的对手,明知不敌,也要毅然亮剑,即使倒下,也要化成一座山
数据安全管理制度
数据安全管理规定 一.目的 1.1为了提高公司网络系统的安全性,最大限度的防止资料流失。特制定本制度 二.范围 2.1电子文档向外发送时遵循此规定。 三.定义 3.1 向外发送的数据:包括对外光盘的刻录,因工作需要向外发送的电子文件及通过其它途径传递的资料。 3.2有效数据:指工作所需的和各种文档,不包括音乐、影视、生活图片或其它与工作无关的文件。 四.权责 4.1 计算机使用:各部门经(副)理指定人员; 4.3 数据安全监管:人力资源部指定之人员; 五.作业内容 5.1 所有申请使用电脑办公的同事需经过人力资源部网络中心的相关培训,培训日期按年度培训计划执行。考核合格后,网络中心分配相应的电脑使用权限,准许使用电脑办公。 5.2 人力资源部根据办公系统的使用情况,将不定期的组织临时性的专项培训。 5.3公司对外的电子文档输出由人力资源部负责。包括刻录光盘,向外发送文件等。所有部门如有上述需要,请填写统一的<<申请单>>,经部门经理或直接上级审批后,由人力资源部相关岗位处理。 5.4 电子邮件的使用由操作员自己负责。网络中心在总经理同意后,有权在不发布公告时对电子邮件系统进行监控。 5.5除总经理批准或有特殊用途的电脑外,锁定所有电脑的USB接口,拆除或禁用软驱、光驱。 5.6除人力资源部指定岗位外,所有电脑禁止安装刻录机或相关设备。
5.7 除签订<<资料保密协议>>的同事外,未经事业部总经理同意,不得使用U盘、移动硬盘等设备,一经发现,立即没收。并记小过一次。 5.8 未经允许,员工不应将不属于公司的电脑整机或配件带入公司使用,也不允许接入公司网络系统。违者记大过一次。并对其设备进行检查,确认后归还给当事人。 5.9 所有的电脑操作员最多每6天向服务器备份一次有效数据。人力资源部指定岗位每月3日前必须将所有数据备份到光盘存档。具体备份方式另行通知。 5.10 在公司办公场所内需上网的同事请按正常程序申请,在学习公司的 <
(完整版)应用系统权限及数据管理安全管理办法
用友系统权限及数据管理办法 一、总则 为了保障在用友系统使用及管理过程中因不安全的操作而导致的数据泄漏、被盗取等安全事件的发生,特制定本办法。 二、本管理办法仅适用于公司全员。 三、职责与分工 1、职能部门: (1)公司权限负责人:总经理 1)负责签批部门间的权限的授予; 2)负责对用友系统用户帐号及密码安全进行不定期抽查; (2)系统管理员:财务负责人 1)用友系统管理由财务部负责,除总经理及财务部指定的系统管理员外任何部门不得担任系统管理员一职。 2)负责帐号、各岗位权限分配、系统维护、各模块使用情况的安全运行监管。 3)负责根据《用友用户新增\变更\注销请示单》在系统中设置用户权限; 4)负责维护本单位用户和权限清单; 5)遵守职业道德,接受总经理权限负责人的抽查。 (3)各岗位系统操作员:负责所使用模块的权限管理和该模块的数据安全; A.采购部负责有关产品基础信息定义、系统采购模块使用。 B.销售部负责系统销售模块使用。 C.物流部负责仓库管理权限和销售单打印、查询权限; 2、用户帐号: 登录用友系统需要有用户帐号,用户帐号是由财务部系统管理员根据员工工作岗位员工的工作性质规定下进行系统岗位功能、权限分配和设置的。 (1)密码设置及更改: 1)第一次登录用友系统时,用户必须改变事先由管理员分配的初始密码; 2)系统管理员及操作员密码每三个月必须变更一次,密码不少于6位。 3、帐号与密码保管: 系统使用人必须保证用户ID和用户密码的保密和安全,不得对外泄漏,用户帐号不可转借他人使用;
3、责任承担及注意事项: (1)帐号的对应的使用者应对该帐号在系统中所做的操作及结果负全部责任。(2)系统管理员应该每天检查系统日志,对发现的非法登录、访问等行为。(3)管理帐号及管理权限的增加、删除必须经总经理书面批准,任何人不得任意增加、修改、删除。 (4)任何人除所负责权限岗位以外的信息数据不得随意导出:如客户资料、产品进价、销售数据等,如有需要需提交书面申请交总经理审批后统一由财务部导出打印,并建立打印档案。 (5)非财务部指定的系统管理人员未经许任何人不得擅自操作和对运行系统及各种设置进行更改。 四、用户申请\变更\注销流 (1)由用户本人提出申请(填写《请示单》)经部门主管审核交财务部并报总经理审核批示使用权限; (2)财务部系统管理员根据经总经理审批《请示单》在系统中进行权限设置后通知申请人; (3)申请人应在收到通知的当天修改初始口令。 (4)当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时,应填写书面《请示单》经总经理审批后系统管理员应及时进行用户的变更、暂停或注销权限。 三、数据备份及安全管理 1、服务器数据库要设置每日自动备份,每周五财务部应进行一次介质数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。 2、系统管理人员应恪守保密制度,不得擅自泄露中心各种信息资料与数据。 3、服务器是用友系统的关键设备,不得随意调试、挪作它用。 4、系统操作时,外来人员不得随意操作、靠近观看。对外来人员不合理要求应婉拒,外来人员不得未经同意不得查看、操作系统。 二、计算机病毒防范制度 1、系统管理人员应有较强的病毒防范意识,定期进行病毒检测。 2、不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。 3、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 4、定期进行电脑杀毒,对电脑中毒后在各种杀毒办法无效后,须重新对电脑格