信息安全管理制度
信息系统安全管理制度范文(5篇)
信息系统安全管理制度范文第一章总则第一条为保证本单位信息系统的操作系统和数据库系统的安全,根据《____计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。
第二条本制度适用于本单位____部门及所有系统使用部门和人员。
第三条____部门是本单位系统管理的责任主体,负责____单位系统的维护和管理。
第二章系统安全策略第四条____部门负责单位人员的权限分配,权限设定遵循最小授权原则。
1)管理员权限。
维护系统,对数据库与服务器进行维护。
系统管理员、数据库管理员应权限分离,不能由同一人担任。
2)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。
3)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。
4)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。
第五条加强____策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。
用户使用的口令应满足以下要求:-____个字符以上;-使用以下字符的组合。
a-z、a-z、0-9,以及。
@#$%^&____-+;-口令每三个月至少修改一次。
第六条定期____系统的最新补丁程序,在____前进行安全测试,并对重要文件进行备份。
第七条每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。
第八条关闭信息系统不必要的服务。
第九条做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。
第三章系统日志管理第十一条对于系统重要数据和服务器配值参数的修改,必须征得____领导批准,并做好相应记录。
第十二条对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内容等详细信息。
第十三条审计日志应包括但不局限于以下内容。
包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。
信息安全管理制度
信息安全管理制度信息安全管理制度(通用7篇)信息安全管理制度篇1近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。
随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。
如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:A. 技术图纸。
主要存在于技术部、项目部、质管部。
.B. 商务信息。
主要存在于采购部、客服部。
C. 财务信息。
主要存在于财务部。
D 服务器信息。
主要存在于信管部。
E 密码信息。
存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:1 来自企业外的风险①病毒和木马风险。
互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
信息安全管理制度(10篇)
信息安全管理制度(10篇)信息安全管理制度篇1第一章总则第一条为作好信息管理,加快我校信息化建设步伐,提高信息资源的运作成效,结合具体情况,制定本制度。
第二条本管理制度中关于信息的定义:1.行政信息:本校所有用于行政目的的书面材料、电子邮件、文件和传真。
具体的信息管理表现在以下几个方面:上传和发布、文本管理、数据管理和文件管理。
非核心人员不得传递和带走属于日常管理且单独分类的信息。
2.市场信息:用于学生的文件、传真、电话和文件;申请电话记录、报价单、合同、方案设计等原始资料、电子资料、文件、报告等。
具体的信息管理表现在学生信息、文字记录、数据收集与分析、业务文档准备等方面。
属于企业管理。
第三条信息管理工作必须在加强宏观控制和微观执行的基础上,严格执行保密纪律,以提高我校效益和管理效率,服务于全校总体的经营管理为宗旨。
第四条信息管理工作要贯彻“提高效率就是增加企业效益”的方针,细致到位,准确快速,在学校经营管理中降低信息传达的失误失真延迟,有力辅助行政管理和经营决策的执行。
第五条总校及其下属工作点和机构的信息工作必须执行本制度。
第二节信息管理机构与相关人员第六条学校信息室,以及各信息机构配备专职或兼职信息人员。
第七条各科部依据《行政管理条例》负责相关行政信息的日常管理。
信息管理根据业务工作需要,配备必要的电脑技术人员、文员。
第八条学校信息室负责我校整个系统的信息管理工作,负责所有信息的汇总和档案管理。
对全系统的信息管理工作负责。
第九条各科部负责人主要负责行政信息的管理。
第十条学校信息室信息专员,主要负责市场信息的系统化、专业化管理。
企业信息专员分为行政信息和市场信息两个岗位。
企业信息专员主要职责如下:1、执行总经理办公会议的决议,参与编制总经理办公室主持的信息管理制度。
(行政信息专员)2、在业务中心总监指挥下,负责市场经营中各类信息的采集、处理、传达,执行中存在的问题提出改进措施。
(市场信息专员)3.与行政部共同处理日常工作中与事业单位相关的行政工作。
公司信息安全管理制度范文(3篇)
公司信息安全管理制度范文一、总则1. 为了保障公司的信息安全,提升公司的竞争力和内部管理水平,制定本《公司信息安全管理制度》(以下简称“本制度”)。
2. 本制度适用于公司所有员工,包括全职员工、兼职员工、临时员工以及外包人员等。
3. 所有员工必须遵守本制度,配合信息安全管理工作,并对本制度的规定负责。
二、信息安全管理职责1. 公司将设立信息安全责任人,负责制定信息安全管理方案、协调相关工作、处理信息安全事件等事宜。
2. 全体员工有权向信息安全责任人举报任何可能影响公司信息安全的行为和事件,并有义务积极配合相关调查。
3. 各部门、岗位应设立信息安全管理员,负责落实信息安全管理措施,推动信息安全工作的顺利进行。
4. 信息安全责任人有权监督各部门、岗位的信息安全工作,并有权提出相关改进和建议。
三、信息分类和保密要求1. 公司将信息分为不同级别,并对每个级别的信息设置不同的保密要求。
2. 公司信息分类级别包括:公开信息、内部信息、机密信息、绝密信息。
3. 不同级别的信息应根据保密要求进行存储、传输和处理,不得泄露或违反保密要求使用。
四、信息安全管理措施1. 全公司网络设备应采用安全合规的硬件和软件,定期进行安全检查和升级。
2. 全员上岗前应进行信息安全培训,提高员工的信息安全意识和技能。
3. 公司应制定合理的权限管理制度,确保员工获得的权限与其工作职责相匹配。
4. 公司对员工的上网行为进行监控和记录,确保员工遵守公司的网络使用规定,不得利用公司网络违法犯罪或从事不当行为。
5. 公司应定期进行信息安全风险评估和演练,及时发现和排除潜在的信息安全威胁。
6. 公司应定期备份重要信息,并确保备份数据的安全性和可靠性。
7. 公司应建立健全的安全事件管理制度,及时响应和处置信息安全事件,减少损失。
五、信息安全违规行为处理1. 对于违反本制度的行为,公司将按照相应的规定进行处理,包括但不限于警告、停职、辞退等。
2. 对于造成严重后果或涉嫌犯罪的行为,公司将依法追究相应的法律责任,保护公司和员工的合法权益。
信息安全管理制度
信息安全管理制度第一章总则第一条为规范和加强信息系统及信息资源的安全管理,保护信息系统和信息资源的完整性、保密性和可用性,维护信息系统正常运行,提高机构信息化管理水平和服务质量,制定本制度。
第二条本制度适用于机构内全部信息系统及信息资源的安全管理,是机构信息安全管理的基础和重要依据。
第三条信息系统及信息资源的安全管理应当遵循“依法管理、全面覆盖、动态更新、持续改进”的原则,与国家法律法规和机构相关制度规定相衔接。
信息系统及信息资源的安全管理工作应当综合运用技术、管理和制度手段,建立健全科学有效的信息安全管理机制。
第四条机构应当根据信息系统及信息资源的特点、规模和安全等级需求,合理设置信息安全管理组织机构和管理流程,明确管理责任和工作任务,划分安全职责。
第五条信息安全管理应当注重风险管理,采取适当的措施降低安全风险,提高信息系统和信息资源的安全性。
第六条机构应当认真执行信息安全管理制度,加强信息安全意识教育和培训,确保信息安全管理的顺利实施。
第七条信息系统及信息资源安全管理工作应当遵循科学、严谨、规范的原则,确保信息系统和信息资源的安全、可靠和稳定运行。
第八条信息安全管理部门应当及时跟踪信息安全技术的发展和前沿动态,不断更新信息安全管理制度,提高信息系统和信息资源的安全性。
第二章组织管理第九条机构应当建立信息安全管理委员会,负责统筹和协调信息安全管理工作,明确工作责任分工,健全信息安全管理体系。
第十条信息安全管理委员会应当定期召开会议,审议信息安全工作计划和报告,评估信息安全工作的落实情况,提出改进意见和建议。
第十一条信息安全管理部门应当根据机构信息系统和信息资源的实际情况和安全需求,制定信息安全管理制度,包括安全管理政策、安全管理规范和安全管理流程等。
第十二条信息安全管理机构应当定期组织信息安全培训和技术指导,提高工作人员的信息安全意识和能力,确保信息安全管理制度的有效实施。
第十三条机构应当建立健全信息安全管理档案,包括信息安全管理规章制度、信息安全培训记录、信息安全风险评估报告等,做到资料完整、准确、有效。
公司信息安全管理制度五篇
公司信息安全管理制度五篇公司信息安全管理制度五篇_公司网络安全管理制度范本信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及erp、crm、wms、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。
下面是小编整理的公司信息安全管理制度,供你参考,希望能对你有所帮助。
★公司信息安全管理制度11.计算机设备安全管理1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。
未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储重要的文件和工作资料不允许保存在c盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器p盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。
2.2文件加密涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动严禁任何人员以个人介质光盘、u盘、移动硬盘等外接设备将公司的文件资料带离公司。
信息安全管理的制度法规
第一章总则第一条为加强信息安全管理工作,保障国家信息安全,维护社会稳定,促进信息化建设,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规,结合本地区实际情况,制定本制度。
第二条本制度适用于本地区各类组织和个人,包括但不限于政府机关、企事业单位、社会团体、公民等。
第三条信息安全管理工作应当遵循以下原则:(一)依法管理:遵守国家法律法规,严格执行信息安全管理制度。
(二)预防为主:建立健全信息安全防护体系,加强信息安全管理,预防信息安全事件发生。
(三)综合管理:从技术、管理、人员等多方面入手,综合施策,确保信息安全。
(四)责任到人:明确信息安全责任,落实信息安全责任追究制度。
第二章信息安全管理体系第四条建立健全信息安全管理体系,明确信息安全管理组织架构、职责分工、工作流程等。
第五条设立信息安全管理部门,负责信息安全工作的组织、协调、指导和监督。
第六条各级组织应当设立信息安全责任人,负责本组织的信息安全工作。
第七条建立信息安全风险评估制度,定期开展信息安全风险评估,及时发现和消除信息安全风险。
第八条建立信息安全事件报告和处理制度,确保信息安全事件得到及时报告、处理和调查。
第三章信息安全管理制度第九条建立信息安全管理制度,包括但不限于以下内容:(一)网络安全管理制度:明确网络安全防护措施,规范网络使用行为。
(二)数据安全管理制度:加强数据安全管理,确保数据安全。
(三)信息系统安全管理制度:加强信息系统安全管理,确保信息系统安全稳定运行。
(四)信息安全培训制度:定期开展信息安全培训,提高信息安全意识。
(五)信息安全审计制度:对信息安全工作进行审计,确保信息安全制度得到有效执行。
第十条严格执行信息安全管理制度,确保信息安全制度得到有效落实。
第四章信息安全技术措施第十一条加强信息安全技术防护,包括但不限于以下措施:(一)网络边界防护:加强网络边界防护,防止恶意攻击和非法访问。
(二)入侵检测与防御:部署入侵检测与防御系统,及时发现和阻止入侵行为。
信息安全管理制度条例
第一章总则第一条为加强本单位信息安全管理工作,确保信息安全,维护国家安全和社会公共利益,根据《中华人民共和国网络安全法》等相关法律法规,结合本单位实际情况,制定本制度。
第二条本制度适用于本单位所有员工、临时工作人员以及与信息安全相关的业务合作伙伴。
第三条本制度遵循以下原则:(一)预防为主、防治结合,确保信息安全;(二)权责明确、分工协作,共同维护信息安全;(三)技术保障、管理规范,提高信息安全水平。
第二章信息安全组织与管理第四条成立信息安全领导小组,负责本单位信息安全工作的总体规划和组织协调。
第五条设立信息安全管理部门,负责信息安全工作的日常管理、监督和检查。
第六条各部门负责人对本部门信息安全工作负总责,确保信息安全管理制度在本部门得到有效执行。
第七条定期开展信息安全培训,提高员工信息安全意识。
第三章信息安全管理制度第八条保密制度(一)对涉及国家秘密、商业秘密和个人隐私的信息,实行严格保密。
(二)建立健全保密工作责任制,明确保密责任人。
(三)加强保密设施建设,确保信息存储、传输、处理的安全。
第九条访问控制制度(一)对内部网络、信息系统和设备实行分级访问控制。
(二)严格用户身份验证,确保用户访问权限与其岗位需求相匹配。
(三)定期对用户访问权限进行审核,及时调整和撤销不符合要求的权限。
第十条网络安全制度(一)加强网络安全防护,防止网络攻击、病毒入侵等安全事件发生。
(二)定期进行网络安全检查,及时修复漏洞,确保网络系统安全稳定运行。
(三)禁止非法接入互联网,严格管理内部网络设备。
第十一条数据安全制度(一)建立健全数据安全管理制度,确保数据安全。
(二)对重要数据进行备份,防止数据丢失。
(三)对数据传输、存储、处理进行安全加密,防止数据泄露。
第十二条信息系统安全制度(一)加强信息系统安全防护,防止系统被非法侵入、篡改、破坏。
(二)定期对信息系统进行安全检查,及时修复漏洞。
(三)对信息系统进行安全审计,确保系统安全运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1目的为加强公司内部信息安全保障体系建设、提升公司内部针对数据信息风险识别、评估和预防能力,从而达到规避信息安全问题给公司带来经济损失和经营风险。
2适用范围本制度适应公司信息安全管理(网络、软件系统、网络设备、机房等)。
3名词解释3.1信息:是指音讯、消息、通讯系统传输和处理的对象,泛指公司运营过程中所产生具备可再利用价值数据载体。
按照数据来源方式,可将公司信息大致分为:技术信息、商务信息、财务信息、生产设备信息。
3.2信息安全:是指保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。
4功能权责4.1 IT部:负责整个公司网络信息安全统筹管理、研发服务器上的应该用管理、维护、数据备份和定期巡检,研发内部信息安全的审查。
以及负责本制度制订、解释和执行情况监督。
4.2研发部:负责对PDM、PLM、以及开发专用软件及工具的使用管理,必要生产资料的发放,且负责本制度内部宣导、执行和监督。
4.3 公司各部门:负责对个人办公涉及硬件、软件、网络等相关资源管理,且负责本制度内部宣导、执行和监督。
5制度说明5.1计算机设备安全管理5.1.1严禁使用个人计算机接入公司网络或进行办公用途。
若因工作需要必须使用个人电脑的,必须提交《USB存储、个人邮箱/计算机权限申请单》申请,经公司总经理批准后由IT部携带卡方可带入公司使用,并且进出公司大门时需要在保安处登记。
如有违反,对违规电脑一律进行全盘格式化处理,并全公司范围通报批评。
如对公司造成损失的,视情节严重情况,予以追究相应责任。
5.1.2禁止对办公计算机进行一切未授权的外部访问,包括光盘引导、U盘引导、硬盘引导等非法访问方式。
5.1.3因公出差人员,如需外带笔记本电脑,应提前申请,并说明出差事由、时间等信息,由IT部统一配置,并对所存储资料进行加密处理。
出差结束后应及时归还借用笔记本电脑,并由IT部对使用情况进行安全审计,如有异常及时上报。
5.1.4公司所有员工应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、腐蚀、强磁性等有害计算机设备安全的物品。
5.1.5严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
5.1.6发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。
公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。
任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。
公司会视实际情况进行处理。
5.1.7下班后所有不再使用的计算机,应关闭主机电源,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。
5.1.8外请人员对计算机进行维修时,必须由IT部人员全程陪同。
5.1.9员工原则上只能使用本部门分配的计算机,非必要时,不能将设备交由他人操作;非经当事人同意,不得擅自在他人的计算机上进行任何操作;5.1.10员工不能私自安装电脑系统,若需要安装系统,必须联系IT部,由IT工程师评估之后,安排时间安装。
对因私自安装影响正常使用,数据丢失等损失,由员工自己承担,并视损失程度进行处罚。
5.1.11员工不能私自拆装电脑,若发现有电脑配件被更换或减少,将对设备保管人进行处罚。
5.1.12因员工在电脑上接入产品,设备,导致电脑主板、电源、USB接口等烧坏,后果由员工自行承担,对损失进行赔偿(因工作原因除外)。
5.1.13公司的电脑显示器、主机、打印机、笔记本、投影仪等IT资产,有贴好唯一编号的标签,员工不可以私自撕毁,覆盖,兑换标签,若发现标签不见,损毁,与实物不符,则对资产保管人和使用人进行处罚。
5.1.14严禁非法断电关机,严禁IT设备接触水、金属丝等导电异物5.1.15研发部门使用的电脑应安装信息安全防护软件,对公司重要的文档和数据进行保护(IP_guad)5.1.16接入研发网络的笔记本电脑应安装信息安全保护软件。
5.1.17研发部门的同事应当遵守公司的保密协议,未经授权不能将会司涉密文件通过移动存储或网络等任保途径带出公司,一旦发现将移交公安机关处理。
5.2资料安全管理5.2.1所有公司员工严禁以个人存储介质,如光盘、U盘、移动硬盘等存储设备拷贝公司文件资料。
5.2.2内部文件交换,必须使用已登记的公司U盘、移动硬盘等存储介质,在IT部指定的办公计算机上进行操作。
5.2.3外部输入文件,可使用个人存储设备,但必须在IT部指定的办公计算机上进行操作。
5.2.4未经授权,任何人不得通过非法途径复制公司办公电脑信息资料。
若实际工作需要,必须依照《IT服务管理规定》申请审批后,方可开通。
5.2.5所有公司员工不得私自将公司文件打印带出公司,一经发现,严肃处理。
若在上班时间,打印工作文件时,需要将打印文件马上取走,或通知本部门人员代为领取打印文件。
针对未及时取走打印文件行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
5.2.6部门重要文件资料需存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源,若因资料没有存放好,被他人取走,造成的后果将由本人承担。
5.2.7公司所有员工必须在使用的计算机中设置开机密码和屏幕保护密码,为了保护公司财产、以及员工办公机密信息,设置密码时,应注意:密码至少有8字符长度,密码必须包含以下任一部分:字母A-Z或者a-z,数字0-9,以及特殊符号(例如:$@#^!_等),每三个月必须更新一次密码。
5.2.8公司所有人员工拥有一个公司内部计算机登录账号。
新员工申请账号时需要向网络管理员提供姓名、部门、职位等信息,网络工程师将在一天内将账户信息通知其本人。
公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码。
5.2.9服务器、网络设备、固定电话、WIFI、以及门禁和考勤设备的账号和密码,根据实际工作职责,以及业务需求,依照《IT服务管理规定》相关管理规定提交相关申请,经批准后,由管理员统一配发,同时管理员也会进行周期性更新,使用者不得私自修改、或者意图采用其它方式进行篡改账号和密码信息,一经发现严肃处理。
5.2.10公司内部使用的业务系统(OA、ERP、企业邮箱、考勤软件等),依据入职员工岗位职责、工作范围等相关信息,统一分配系统账号和密码,初始账号和密码统一由系统管理员设置,后续员工必须重新设置,且必须妥善管理。
严防密码和账号被窃取而导致泄密。
5.2.11公司员工调离岗位时,管理员及时注销、收回员工现有账号和密码,以避免信息账号和密码信息泄露导致信息安全风险。
5.2.12外来磁盘、对外报送的磁盘以及从外界录入信息的磁盘,一律进行病毒检测,在确保没有病毒时方可进入本公司计算机读取信息。
外来的信息光盘,非经允许,不准在公司的计算机读取信息,以防止病毒入侵。
5.2.13严禁员工私自将与工作无关文件信息以光盘、活动硬盘、局域网及其它任何形式拷贝至公司计算机硬盘及在公司局域网上传播。
5.2.14业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2个月,具体依据数据的重要性和追溯要求确定保存期限。
5.2.15严禁利用,具备拍照、摄影、录像功等影像记忆功能的个人电子设备,在公司办公区内开展拍照、摄影、录像等活动。
5.2.16与工作相关的重要文件及数据保存两份以上的备份,并上传到PLM系统;研发过程中的程序源代码数据应实时上传到SVN 文件服务器,所有研发人员需严格遵守《研发管理制度》。
5.3软件安全管理5.3.1公司ERP管理系统应建立严格的安全防护策略,禁止通过外部互联网访问公司软件系统。
如因业务性质要求,需开放系统外网访问功能,IT部应提前规划完善的安全访问策略,并提报外部访问人员名单,经公司审批后执行,记录备案。
5.3.2公司所有服务器、以及个人办公电脑都必须安装由IT部指定杀毒软件、且必须设置好自动调度更新和病毒库升级、每日定时杀毒。
不得擅自卸载杀毒软件,IT部会不定期进行抽查,且将抽查结果详细记录到《杀毒软件安装情况分析表》。
5.3.3系统中心各部门应定期查毒,(周期15天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
5.3.4公司配备具有IPS和IDS能力的网络设备(例如:防火墙、路由器、网络行为监控设备等),操作系统等,对于公司的网络资源、应用软件、用户行为等进行24小时监控。
可以有效避免各种外来攻击。
5.3.5公司所有员工都必须基于域控服务器安全认证机制,访问公司文件服务器、共享文档、以及其他资源,员工不得擅自摆脱域控,违者按照罚则进行处分。
5.3.6在个人办公电脑上安装和使用各种应用软件之前,必须经由杀毒软件对安装源进行全文扫描,确认无任何病毒之后,方可安装。
5.3.7所有软件安装源、或光碟交由IT部统一保管,且必须保管在防水、防磁、防火、防盗之处。
5.3.8任何部门和个人严禁在局域网上使用来历不明、可能引发病毒传染的软件。
对于可能引起计算机病毒的软件,应使用杀毒软件检查、杀毒。
5.4网络安全管理5.4.1未经公司IT部确认,任何人不得私自改变公司网络拓扑结构、网络设备布置、服务器、路由器、交换机配置和网络参数。
5.4.2严禁在公司办公环境私自架设无线网络,影响正常办公秩序;5.4.3任何员工不得随意改变网络接入位置、也不得随意修改办公电脑接入IP、网卡地址。
5.4.4任何员工不得对公司内部网络进行恶意侦听和信息截获、发送干扰正常网络通信的数据,或利用各种系统漏洞扫描工具、扫描公司内网中其它办公电脑漏洞和利用漏洞发起网络攻击。
5.4.5非涉外工作需要,禁止办公计算机接入互联网,使用QQ、Skype、MSN等即时联络通讯软件,以免造成内部资料外泄。
若实际工作需要,必须依照《IT服务管理规定》申请审批后,方可开通。
5.4.6任何员工不得利用公司互联网资源访问和传播色情、邪教、谣言等不利于公司的负面信息。
5.4.7任何员工不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。
网络使用者发现病毒应立即向IT部反馈。
IT部接到举报后,应及时指导和协助处理病毒。
5.4.8任何单位及个人,不得利用联网计算机从事危害公司局域网的活动。
5.4.9任何外来协作单位以及个人、进入公司使用网络资源之前,接待部门必须严格按照《外来人员网络、设备资源使用登记表》登记后,IT部工程师才开放相关资源。
默认情况外来协作工作单位及个人仅限于外网资源使用,禁止访问公司内网上的任何资源。
但外来协作单位及个人,在工作开展过程中确实需要使用公司内网资源,接待部门相关负责必须参照《IT服务管理规定》相关规定进行申请。