信息系统安全管理制度修改版Word文档下载推荐.docx
《信息系统安全管理制度修改版Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《信息系统安全管理制度修改版Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
门框尺寸便于设备的通过;
密封性好,并具有自闭功能,能双向开闭;
●●机房窗户选用铝合金双层窗,密封性良好;
●●机房最小使用面积不小于30m2;
●●设备运转时,机房的温度应保持在18~25°
C之间,相对湿度应在45~65%;
●●空气含尘浓度、噪声、电磁干扰、振动、静电、灯光以及接地情况都直接影响设备的使用;
●●机房应具备阻燃、防水、防雷击、抗震功能,同时严禁存放易燃、易爆、易腐蚀、强磁等物品;
●●机房应在醒目位置安放干粉灭火装置,灭火装置周围严禁堆放物品。
●●符合EHS14000相关标准;
●●为了保护计算机系统的安全,应该采用一定的隔离控制手段。
计算机房的所有房门都应该足够结实,能防止非法的进入,机房宜设单独出入口,避免人流、物流交叉;
●●信息中心机房加设指纹识别门禁,对中心机房的出入进行严格登记管理。
*5.1.2机房的访问控制
机房作为核心的机要部位不允许未经批准的人员进入,原则上不允许外来人员参观。
对于经信息中心经理批准进入机房的人员,必须有专人陪同,并尽量避免参观机要部位。
●●对于机房的访问者,在纸质《计算机房访问人员登记表》(见附件一)上登记来访者的姓名、性别、单位、电话、证件号码、进出时间、来访目的和携带物品进行记录,以备核查;
●●不得随意在机房内照相、录像、录音或使用其他记录仪器设备。
5.2设备安全管理
5.2.1设备选型
●●严禁采购和使用未经国家信息安全评测机构认可的信息安全产品;
●●尽量避免直接采用境外的密码设备;
●●必须采用境外信息安全产品时,该产品必须通过国家信息安全测评机构的认证;
●●严禁使用未经国家密码管理部门批准和未经国家信息安全质量认证的国内密码设备。
*5.2.2设备检测
●信息系统中的所有安全设备必须是经过国家信息安全产品测评认证的合格产品,其电磁辐射强度、可靠性及兼容性也应符合安全管理等级要求。
●凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试;
,并形成设备检测测试记录报告。
*5.2.3设备安装
●●设备符合系统选型要求并获批准后,方可购置安装;
●●通过上述“设备检测”项的测试后,设备才能进入试运行阶段,试运行时间的长短可根据需要自行确定;
●●通过试运行的设备才能投入生产系统,正式运行。
*5.2.4设备使用管理
●●由设备负责人负责设备的使用登记,登记内容应包括运行的起止时间、累计运行小时数及运行状况等;
●●由负责人负责进行设备的日常清洗和定期保养维护,做好维修记录,保证设备处于最佳状态;
●●一旦设备出现故障,负责人应立即如实填写故障报告,通知有关人员处理;
如需维修时必须记录维修对象、故障原因、排除方法、主要维修过程以及维修人员、维修时间等有关情况;
*5.2.5设备存储管理
●●设备负责人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰和粉尘度等)下工作。
●●需要有设备存储状态的详细记录以及定期巡检记录。
●●必须定期对存储环境进行清洁和核查。
●●安全产品及保密设备应单独存储并有相应的保护措施。
5.3软件安全管理
*5.3.1计划及选型
公司信息中心根据公司信息化的发展及各个业务部门的特殊使用申请于每年年底制定次年的软件购买计划和费用预算并上报总师和总裁/执行总裁批准;
批准后信息中心协同业务部门成立选型小组,开始软件的调研和选型。
*5.3.2采购及测试
采购计划内的软件,在OA的“业务流程审批(新)\IT服务”上填写《软件(无形资产)项目执行审批表》(见附件二),走计划内软件采购流程;
采购计划外的软件,在OA的“业务流程审批(新)\IT服务”上填写《计划外软件(无形资产)项目申请表》(见附件三),走计划外软件采购流程。
要避免采购不合法软件,软件必须经过一段试用测试后才可以正式购买;
软件进公司后必需经过预安装在测试环境下进行相应测试,以确定该软件和常见的应用、其他常用的软件之间的兼容性;
这种方法既适用于新购置的软件,也适于经过更新、升级的已有软件;
测试中要先提出部署方案和测试计划,经测试小组及信息中心经理批准后方可开始测试;
测试过程中要做到随时可以退回到初始状态的功能,由于目前公司条件所限,信息中心网络环境就作为测试用的测试环境,所有安装软件必须经过测试环境的检验方可正式发布;
通过建立软件档案,将安装情况记录、归档;
软件的安装必须由信息中心人员和软件供应商或软件编制人员按照规定的步骤进行安装。
*5.3.3验收和存储
在完成软件的验收过程中,要相应记录软件产品的名称、版本号和序列号,产品的数量,产品的授权及授权时间段,收到订购软件的日期,以及其他购买合同的详细情况。
5.3.4维护和监控
信息中心指定专门人员负责监控软件的各种使用情况,负责组织和完善对系统所拥有的有效特许的各种软件的拷贝目录和拷贝份数;
建立和保存适当的文档来记录首次和每年软件管理和清理的结果,并在以后跟踪新增加的软件的拷贝安装与使用,存入档案;
对安全系统所使用的计算机、服务器定期进行检查,以保证系统所使用的软件合法和安全,并检查文档的完整性和正确性。
在软件进行维护时,专人对维护过程做相应记录并记录在软件登记数据库中。
所有记录按不同的软件功能以周报、月报和季报的方式记录在案。
*5.3.5软件使用
●●在公司内必须使用公司认可授权的正版软件,禁止使用盗版软件,所有软件的安装必需由信息中心或专业指定人员来完成,个人不得私自安装软件,或擅自卸载预装软件;
如由于私自安装软件造成计算机宕机、瘫痪或遭受病毒、木马者一律由本人自行负责;
如果由于私自安装软件造成对公司网络的攻击,将提交部门总经理处理。
●●如有特殊情况需要下载安装程序者,需在OA的“业务流程审批(新)\IT服务”中填写《软件安装单》(见附件四),并由部门总经理批准后由信息中心统一安装。
●●采取防范措施,减少使用外来软件或文件可能产生的风险。
●●对于支持关键业务程序的系统软件和数据,应该进行定期检测。
●●防止非法文件对计算机系统中的软件或数据进行非法修改或调查。
●●在使用软件前,应对来源不详的软件及相关文件或从不可靠的网站上下载的软件及相关文件进行必要的检查。
*5.4 应用系统安全管理
目前我公司的主要应用系统包括:
PDM、PLM、CAPP、ERP、QMS、K3、OA等,任何一个系统都要经过一个开发生命周期来完成,包括:
系统规划、系统分析、系统设计、系统实施和系统运行等5个阶段。
应用软件开发版本管理是提高软件可靠性的重要措施,也是加强应用软件开发关键技术安全保密的主要措施之一。
在应用软件生命周期内,从开始设计到最后投入使用,每个设计版本都会分别对应一个工作状态,不同状态的版本具有不同的使用控制权限。
在具体版本管理中,要以版本产生的先后次序来管理设计阶段产生的版本。
当产生一个新版本时,应自动地或由开发者按标准要求赋予一个版本号。
一个软件的版本号应按照版本产生的时间顺序赋值,所赋值不能再用。
版本的顺序号应反映软件产生的时间顺序,应遵循版本号越高该版本产生的时间越晚的规则。
每个版本都应有对应的相关文档。
应用软件的可靠性对计算机系统的运行和使用有着极大的影响。
软件的可靠性是指软件在指定的环境下,在给定的时间内,不发生故障的性能,或者指软件在规定的时间内和规定的条件下,能正常地执行其规定的功能而无差错的概率。
建立输入安全控制原则,进入应用系统的数据必须有正确的格式与内容,经过检查后,再存储到计算机的存储介质上。
*5.5 操作安全管理
操作安全管理是计算机及网络安全的重要环节,合理规划和设定企业网络的管理和操作权限在很大程度上能够决定整个网络的安全系数。
公司采用域管理方式管理公司内的每一个客户端,所有公司局域网内的客户端必需登陆公司域,使用公司域账户才能正常使用公司内、外网服务。
公司以外的人员进入公司后,如果要接入公司局域网内的,必需由被访问单位事先提出申请,并将预接入机器拿至信息中心进行配置调试和更改后方可使用,否则外公司人员将不能接入公司网内,也不能通过公司局域网连接外部的Internet网络。
*5.5.1公司域用户访问管理:
我公司用“域”管理的方式来进行用户的入网访问管理。
域的英文叫做Domain,简单地解释,就是网络上的一块行政区。
在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器”。
“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。
不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
因此要求我公司内所有计算机账户归入公司域内统一管理。
●●密码最小长度为8个字符;
●●密码最小有效期1天,最长有效期90天;
●●密码字符必需由复合型的数字和字母共同构成;
●●新密码不得重复使用最近的6个老密码,即6组密码为一个循环使用周期;
●●密码连续3次输入错误,账户将被锁定,必需提请信息中心管理员才能解除锁定。
●●各部门有特权的管理账户将被统一划分到一个组,统一受信息中心监控;
●●客户端账户超过30分钟不活动者,系统将被锁定,只有输入密码才能打开;
●●账户最长有效期为90天,到期必需按照提示更改密码;
●●用户账户每半年审查一次,核实账户有效性;
●●必需有各部门总经理许可的域账户方可正常访问外部网络,否则仅局限于企业内部网络的访问(含邮件、OA、GOCOM、FTP等)。
*5.5.2系统管理
●●任何人不得使用公司计算机进行任何与本人工作无关的活动,禁止使用公司计算机玩各种游戏、炒股票、浏览不健康的网站等,不得在公司计算机上安装游戏。
一旦由于上述原因造成计算机瘫痪的,信息中心在负责计算机系统恢复的同时,将员工的违规证据以邮件形式发送给部门总经理。
●●严禁个人更改计算机的IP地址、网关及其他网络设置,严禁员工私自将个人用的小交换机、无线路由器接入公司网络。
如造成部门网段或公司内网瘫痪者,一律提交部门总经理处理。
●●公司职员必须遵守公司有关保密规定,未经部门领导批准,严禁私自将公司的各种电子文档以任何形式带出公司。
●●每月酌情由信息中心向总裁和各部门总经理提交网络使用报告,内容将涉及网页访问排名、流量下载排名等。
●●信息中心随时监控公司内客户机操作系统补丁更新和其它软件的更新升级情况,并每月向信息中心经理提交一份监控报告。
*5.5.3人员账户管理
新进入公司工作的员工,需本部门秘书在OA的“业务流程审批(新)\IT服务”中填写《应用系统账户注册申请单》(见附件五);
公司内部岗位调动的员工,需本人或新部门秘书在OA的“业务流程审批(新)\IT服务”中填写《应用系统账户调动调整单》(见附件六);
调离本公司的员工在向信息中心办理离职交接手续的时候,信息中心将删除该员工在本公司的所有账户信息。
公司员工有账户密码过期失效,或忘记账户密码的,需要在OA的“业务流程审批(新)\IT服务”中填写《应用系统密码重置/解锁通用审批》(见附件七)进行密码重置。
信息中心每季度核实一次账户信息,包括域账户、OA账户、其他应用系统账户,对可疑账户确认无误后直接删除。
所有公司以外的人员需要进入公司局域网办公时,需提前向信息中心申请,并由信息中心管理员赋予权限后方可进入公司网络。
由于系统调试,需要公司外专业工程师远程登录公司局域网进行软件调试时,经办人需要向信息中心经理提交纸质《内网接入申请单》(见附件八),由信息中心全程监控调试过程和起始、终止时间。
*5.6备份管理
导致信息系统数据丢失的因素很多,,大致可分为两大类。
一类是自然灾害和人为破坏,另一类则比较隐蔽,是计算机系统本身潜伏的一些破坏性因素,主要有:
硬盘崩溃、硬件损坏、软件不兼容、病毒侵袭和操作失误。
我们采用近线备份、磁带备份和容灾备份等措施来避免自然灾害、人为因素以及系统故障造成信息系统数据丢失。
系统安全管理员定期巡检备份设备是否工作正常,备份数据是否完整,并将备份数据已满的磁带转存于其他楼宇中。
公司内所有应用服务由信息中心统一管理统一进行备份,每天进行备份巡检,并记录巡检结果。
5.6.1服务器系统及数据备份
信息中心将根据不同的应用服务和数据特点,分别采用以下方式对系统和数据进行备份,主要采用近线备份和磁带备份两种方式。
全备份:
每个星期六或星期日进行一次系统完全备份,包括目前公司主要的服务器系统及各种生产应用系统。
差分备份:
每次备份的数据是相对于上一次全备份之后新增加和修改过的数据。
公司规定每天对所有生产应用系统数据及财务K3系统、OA系统、邮件系统进行一次差别备份。
5.6.2容灾备份:
容灾机房的近线备份系统每天对信息中心主机房的近线备份系统所备份的数据进行一次复制备份。
容灾机房应与信息中心主机房不在同一栋办公楼内。
5.6.3客户机数据备份:
信息中心在文件服务器的磁盘阵列上提供一定空间来保证客户机的数据备份。
磁盘阵列系统的硬盘采用了先进的RAID5磁盘阵列管理,硬盘稳定性和文档存储安全性大大高于台式机硬盘,故障率小,所以我们将为公司员工和部门提供更全面的网络文件备份存储服务。
用户将办公文件上传到公司服务器进行备份存储,可以有效避免用户个人计算机的硬盘故障造成重要文档的丢失,以及由于公司重要电子文档的丢失而造成公司的相应损失。
信息中心在文件服务器上提供针对个人用户的独立存储空间,公司内网用户的文件可上传到服务器进行备份存储,文件服务器根据各部门的工作性质提供不同大小的独立存储空间。
该空间根据用户名和密码访问,其它用户无访问权限,用户可自己修改密码。
5.6.4数据销毁:
在公司合资期间中,所有备份数据不得销毁。
5.6.5备份磁带管理:
●当磁带空间已满,应及时从在线工作的磁带库中取出,存放于信息中心防火防水的保险柜内。
●磁带存放于保险柜的同时应该附磁带存储内容清单。
●磁带上应该有购买日期标签,使用年限不超过10年。
●过期磁带应贴上过期标签,永久封存。
5.6.6公司文件服务器的使用规定:
●●公司文件服务器地址:
ftp:
//xxxx-file
●●公司文件服务器的公共文件交换区不提供文件的长期保存,只提供公司内部文件交换使用。
●●不能将有关公司保密内容的电子文件在公共交换区内交换,保密的电子文档可以通过公司个人邮件进行交换,传送速度与通过FTP传送速度相同。
●●信息中心可以针对不同的项目或工作小组建立相对应的FTP存储区,该存储区由项目组组长申请,只有该项目组成员具备登录的权限。
●●所有上传到公共交换区内的文件必需进行加密。
●●公司文件服务器公共交换区根目录下,以部门为单位建立了文件夹,用户不能删除,用户可在部门文件夹下建立文件夹和上传文件,任何人都
有权删除。
●●由于磁盘空间限制以及保密性要求,传递到公共交换区的文件使用完后应及时删除,最晚不得超过当天下班以前。
信息中心将每周清空一次公共交换区部门文件夹内容,请个人做好文件的存档备份。
个人存储空间内文件只能由用户个人自行删除,用户在操作时应谨慎,因为删除的文件是不可恢复的。
●●在工具文件夹目录下,提供各专用软件的安装程序、升级包、补丁等下载安装。
●●公司文件服务器是用来交换工作内容文件的服务器,不得传递非工作用文件,如有发现,信息中心将禁止其继续使用该服务器,由此引起的工作不便,将由个人负责。
●●个人用户应每个月更换用户密码,以防密码的泄露而引起的文件丢失和重要文件的外泄,如果用户密码丢失,请及时和信息中心联系,信息中心将及时对用户密码进行重置,保证用户的使用安全性。
*5.6.7INTERNET访问管理:
●公司域用户才有INTERNET访问资格。
●公司员工INTERNET访问权限由AceNet上网行为管理流控墙进行控制。
●公司员工分为永久上网组、临时上网组和不能上网组,来控制员工INTERNET访问权限。
员工根据工作需要访问INTERNET,需在OA的“业务流程审批(新)\IT服务”中填写《外网接入申请单》。
●公司普通上网用户每日限定600M流量,每天流量用完后用户就不再有上互联网的权限。
●公司通过AceNet上网行为管理流控墙屏蔽部分股票、视频类网站。
5.7 文档安全管理
●公司局域网内的办公电脑通过亿赛通数据泄露防护系统进行文档保护。
●公司域用户文档在本机打开、编辑、保存文档时,执行动态加解密。
●公司员工只有登录亿赛通客户端后才能通过邮件对外发送解密文档。
●公司员工对外发送的邮件通过亿赛通服务器进行邮件日志审计。
●员工本地文档解密需要亿赛通授权。
6.执行起止时间
本文件自批准之日起执行。
7.解释权
本文由信息中心负责解释。
8.附件
附件一《计算机房访问人员登记表》
附件二《软件(无形资产)项目执行审批表》
附件三《计划外软件(无形资产)项目申请表》
附件四《软件安装单》
附件五《应用系统账户注册申请单》
附件六《应用系统账户调动调整单》
附件七《应用系统密码重置/解锁通用审批》
附件八《内网接入申请单》
*附件九《外网接入申请单》
注:
除《计算机房访问人员登记表》、《内网接入申请单》外,其他所有申请均可在OA中完成
附件一计算机房访问人员登记表
版次:
来访人单位
来访人姓名(性别)
对应身份证号码
来访人电话
进入时间
离开时间
来访目的
携带物品
信息中心陪同人员
时间
批准:
附件二软件(无形资产)项目执行审批表
申请人
申请部门
项目名称
项目简介
合同额
计划到货时间
申请部门总经理批准
信息中心经理意见
总工程师批准
总会计师批准
附件三计划外软件(无形资产)项目申请表
申请原因
预计金额
执行总裁批准
附件四软件安装单
设备编号
使用部门
使用人
联系电话
所需安装软件名称
原因
部门总经理意见
附件五应用系统账户注册申请单
申请类别
应用系统帐户注册申请单申请
应用系统选择
新增人员信息
工号
姓名
全拼
所属三级部门
职务
办公室
办公电话
备注
附件六应用系统账户调动调整单
应用系统帐户调动调整单申请
调动人员信息
原部门(细化到三级部门)
调往部门(细化到三级部门)
调任后职务
附件七应用系统密码重置/解锁通用审批
应用系统密码重置/解锁通用审批申请
填写人
申请内容
用户名
应用系统
申请类型
XXXX域
解锁
附件八内网接入申请单
申请部门:
联系人员:
电话:
接入内网设备的详细信息
接入内网设备的归属单位:
接入内网的设备型号:
接入内网的设备数量:
内网使用时间:
从年月天时
到年月天时
信息中心监控人:
信息中心经理意见:
系统管理员开通时间
签字
系统管理员关闭时间
信息中心经理审核时间
附件九外网接入申请单
外网接入申请单
申请时间
经理批注
截止日期
升级会员 