信息安全管理制度.docx
《信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度.docx(12页珍藏版)》请在冰豆网上搜索。
信息安全管理制度
信息安全管理制度
第一章电子邮件管理
第一条适用范围
金蝶集团员工、授权合作伙伴或关联公司授权人员。
第二条管理权限和责任
1、信息部:
负责公司邮件系统的管理和技术维护。
2、销售伙伴部:
指定专人负责销售伙伴邮箱账号的日常管理,定期(不超过一季度)与总部邮件系统管理员核对销售伙伴的邮箱资料,提交使用明细报表。
3、所有邮箱用户:
应熟练掌握Outlook、OutlookExpress的使用。
第三条管理流程
(一)新申请流程
1、新公司员工申请:
由人力资源部及分支机构人力资源管理员通过新员工入职流程申请。
2、销售伙伴申请:
销售伙伴申请公司邮箱账号由销售伙伴部管理员统一申请,完整填写使用人的姓名、住址、年龄、身份证号码、联系方式、工作职责、信箱用途、在现有单位的工作年限等信息,经销售与渠道部、办公室、信息安全部审批同意,向财务按每个账户500元成本费及500元押金(押金在邮箱账号注销时可退回)交纳费用,同时签订《保密协议》。
3、业务邮箱的申请:
总部各部门或分支机构对于业务邮箱的申请必须说明用途并指定专人负责,并经部门经理(或分公司总经理)及信息安全部经理审批同意;申请部门、邮件系统管理员应同时做好登记备案工作。
(二)使用人异动管理流程
1、内部调动:
员工在集团内部调动或职务变动时,信息部邮件系统管理员依据“员工调动审批单”及公司发文,调整该员工的邮箱账号所属群组,邮箱账号的用户名保持不变。
各部门(分公司)业务邮箱的管理人变更时,直接领导需及时通知总部邮件系统管理员,进行登记调整。
2、注销流程:
(1)员工离职时,信息部邮件系统管理员依据“员工离职流程”进行删除操作。
对于特殊人员的邮箱账号处理,需事先经信息部总经理审批同意后,方可保留,且一般为一个月,最长不得超过三个月。
(2)销售伙伴的邮箱账号注销,由销售伙伴部管理员统一申请,由信息部邮件系统管理员执行并备案。
(3)各部门(分公司)业务邮箱需注销时,应及时上报总部邮件系统管理员;对于长时间(超过一个月)无人管理的业务邮箱,邮件系统管理员有权直接删除。
第四条邮箱账号命名规范
1、仅适用于新增用户的邮箱账号申请或变更申请,已有邮箱账号的用户,可以保持原用户名不做变更。
2、邮箱账号的用户名应与工作中的习惯称呼一致,优先采用汉语拼音姓名做邮箱用户名;若有重名,可以采用英文姓名做邮箱用户名来避免重复;特殊部门、分公司等为工作方便,可直接采用英文姓名做邮箱用户名。
3、邮箱账号命名:
取中文名(或英文名)的全拼+下划线+姓的全拼;若有重名,将由邮件系统管理员指定后缀(1、2、3等)。
如张小山,英文名为john,可使用的邮箱账号的用户名为xiaoshan_zhang、john_zhang、xiaoshan_zhang1等。
4、邮箱账号用户名对应的用户全称:
取汉字名称,若有重名,将由邮件系统管理员指定后缀(1、2、3等)。
;如:
张小山、张小山1或张小山2等。
第五条邮箱群组命名规范
1、邮箱群组统一依据公司组织架构建立,并按公司组织架构的变更及时调整。
2、邮箱群组划分明细到总部一级部门、分公司。
3、邮箱群组名称与公司组织架构中总部一级部门、分公司的名称一致。
第六条邮件使用
1、公司邮箱账户限本人使用,禁止将本人邮箱账户转借或借用他人邮箱账户。
2、为保障邮件服务器稳定可靠地运行,所有用户应及时检查自己的邮箱并下载邮件,以防邮箱超过限额影响使用。
违者责任自负。
3、邮件收发客户端软件应使用Outlook或OutlookExpress,推荐使用Outlook处理公司邮件。
使用Foxmail等其他客户端软件的应尽量改用Outlook。
若有特殊要求的需经信息部审批后,方可使用。
4、公司提供的邮箱账号限工作用途,不得用于私人事务,禁止因非工作用途将邮箱账号公开于外部internet网上。
5、普通用户的邮箱容量标准为16M,每封邮件的大小限制为2M。
需要发送大邮件附件的,建议将文件压缩拆分后分开发送。
因收发邮件大于规定大小而不能收发造成的损失,由用户自己承担。
6、邮箱账号管理
(1)申请新的邮箱账号时,用户名需符合邮箱账号命名规范。
(2)邮箱账号一经建立,如无特殊需要,不允许申请修改邮箱账号用户名。
(3)用户必须及时修改邮箱账号的初始密码,密码至少8位且必须是字母、数字、特殊字符的组合,并且在使用中定期(最长3个月)进行邮箱账号的密码的修改,以防被他人盗用。
信息部有提醒员工修改密码的责任。
因邮箱账号的密码泄露造成的损失,用户自行承担责任。
7、公司内部联系用邮箱账号,只能使用在公司邮件系统开户的邮箱账号。
8、对于业务邮箱,各部门(分公司)应安排专人管理维护,对于长期(一个月)无人管理的邮箱,邮件系统管理员有权直接删除。
9、发现有邮件感染病毒,立刻将计算机断开公司网络,使用相应软件查杀病毒。
对无法自行解决的,提请网络管理员协助解决。
10、不得将金蝶公司涉及商业秘密的信息(包括但不限于邮件信息系统的内容及通讯录上的信息等)在未经公司允许的情况下通过邮件向外界公布,违者追究法律责任。
11、禁止转发含有违法信息或危害社会安定的邮件及与工作无关的邮件,管理员发现有类似现象,有权封锁相应邮箱账户,并视情节进行处罚。
12、收到危害社会安定的邮件(如法轮功信息等),应及时将这些信息报告信息安全部备案,并删除非法邮件,严禁转发或点击相应的链接。
若因此被公安机关追究个人责任,或给公司造成不良影响或损失的,公司将从重处理。
13、因工作需要发送带有公司涉密信息的邮件,发件人必须先经部门领导同意(若是绝密级别,需经公司级领导同意),并将涉密信息加密处理后方可发送;否则将视情节予以严肃处理,直至追究法律责任。
密级依照《金蝶公司商业秘密保护条例》相关规定执行。
14、邮件群发管理
(1)适用范围:
收件人超过500人(如总部所有员工、集团所有员工等)且邮件大小在200K字节以内的群发邮件,接近200K附件的邮件应压缩后发送;大于200K的邮件严禁直接发送,应将附件内容放至网上(如知识中心),仅发送链接及内容简介。
(2)审批流程:
发件人报所属一级部门经理批准,再经信息部网络管理员批准后,方可发送。
(3)发送时间:
周一至周五:
每天中午12:
15——12:
45、下午6:
00以后;周六、周日不做限制,但不建议周六、周日发送群发邮件,因周一会积累较多邮件,可能造成拥塞。
(4)注意事项:
A、严禁群发大于200K字节的邮件。
B、对于收件人为总部所有员工、集团所有员工等群发邮件,须使用密件抄送。
C、禁止群发与业务无关的邮件。
第七条邮件使用违规处理
1、下列行为12个月内出现第一次给予警告处分,第二次给予通报批评,第三次及以上给予通报批评处分并处以罚款50-100元/次。
(1)无正当理由未及时检查邮箱并下载邮件的;
(2)非因工作用途将邮箱帐户公开于外部INTERNET网的;
(3)信息部门提醒后仍未能定期修改邮箱密码的;
(4)发送、传播含有违法或违反公德的信息的;
(5)违反本制度规定群发邮件的;
(6)其他违反本章规定的行为。
2、下列行为出现第一次给予警告,并可处以罚款200-500元,出现第二次及以上可处以通报批评,罚款200-500元,情节严重者可予以辞退,可多种处罚并处。
(1)未经部门领导同意发送涉密信息或发送泄密信息不做加密处理的;
(2)将自己的帐户转借给公司之外的第三人使用;
3、下列行为一经发现即予以辞退,并处罚款1000-2000元。
(1)未经允许,将公司邮件信息系统的内容及通讯录上的信息泄露给公司之外的任何第三人;
(2)发送、传播含有违法的信息,情节严重的;
(3)其他因未遵守本制度而导致公司商业秘密泄露,情节严重的。
第二章互联网使用管理
第一条适用范围
金蝶集团员工。
第二条互联网使用管理
1、使用公司计算机信息网络,应严格遵守国家规定的《计算机信息网络国际联网安全保护管理办法》,违者将移交公安机关处理。
2、不得利用公司计算机信息网络系统危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
违者每次给予最低1000元的经济处罚,并移交公安机关处理。
3、不得利用公司计算机信息网络系统制作、复制、查阅和传播下列信息:
(1)煽动抗拒、破坏宪法和法律、行政法规实施的;
(2)煽动颠覆国家政权,推翻社会主义制度的;
(3)煽动分裂国家、破坏国家统一的;(4)煽动民族仇恨、民族歧视,破坏民族团结的;
(5)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(7)公然侮辱他人或者捏造事实诽谤他人的;
(8)损害国家或公司声誉的;
(9)泄露公司信息或机密的。
4、不得利用公司计算机信息网络系统从事下列危害计算机信息网络安全的活动:
(1)未经允许进入计算机信息网络或者使用计算机信息网络资源的;
(2)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(3)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(4)故意制作、传播计算机病毒等破坏性程序的;
(5)其它危害计算机信息网络安全的。
5、信息部会通过一些手段(网管工具等)对员工上网信息,做审计和监督。
禁止上班时间浏览与工作无关的网页及下载与工作无关的内容,如电影,音乐等。
第三条互联网使用违规处理
1、下列行为可视情节给予警告、通报批评、50-100元/次罚款,可多种处罚形式并处:
(1)上班时间浏览与工作无关的网页或下载与工作无关的内容而屡教不改的;
(2)其他违反本章规定的行为。
2、下列行为一经发现,即予以辞退,并可处以1000-2000元的罚款:
(1)利用公司计算机网络系统泄露商业秘密的;
(2)利用公司计算机信息网络系统制作、复制、查阅、散布、传播违法信息或从事其他违法活动的;
(3)未经允许,进入公司计算机信息网络或者使用计算机信息网络资源的;
(4)未经允许,对公司计算机信息网络功能进行删除、修改或者增加的;
(5)未经允许,对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(6)故意制作、传播计算机病毒等破坏性程序的;
(7)其它危害公司计算机信息系统和计算机网络安全的。
第三章软件管理
第一条适用范围
金蝶集团员工。
第二条管理权限和责任
1、固定资产管理员:
统一保管公司采购的软件产品及相关资料,负责软件的使用分配及版权控制。
2、信息部网管:
负责提供计算机使用环境的技术支持(现场、电子邮件、电话、远程桌面方式);提供计算机操作系统、常用软件,以及提供相应技术咨询服务;信息部不承担文件服务器上软件法律责任。
3、员工:
熟练掌握与业务相关的软件使用。
第三条软件使用
1、公司提供的全部软件仅限于员工完成公司的工作使用。
2、操作系统:
由公司信息部统一提供。
禁止安装使用其它来源的操作系统,特别是XX的非法拷贝。
擅自使用造成的一切后果由使用人自行承担,对于造成损失的,将视情节及危害程度予以200-500元的经济处罚。
3、一般应用软件:
统一在文件服务器上提供常用软件安装目录,不提供安装光盘(操作系统除外)。
4、版权软件:
若属公司小范围使用的专业软件,使用人需签订《软件防扩散承诺协议》后方可领取使用软件及其序列号、产品号等。
5、其它应用软件:
其它工作所需应用软件,可由使用部门申请购买,再由信息部统一发布。
6、禁止安装使用非工作用软件,信息部有权随时进行检查。
第四条软件使用违规处理
(一)下列行为将视情节给予警告、通报批评、200-500元罚款处分,可多种处罚形式并处:
1、安装非公司提供的软件导致系统损害,信息丢失的;
2、将公司的软件用于私人目的;
3、未经许可,将公司购买或开发的软件擅自提供给第三人的;
4、不能使用常用办公软件的。
5、其他违反本章规定的行为。
第四章计算机病毒管理
第一条适用范围
金蝶集团员工。
第二条管理权限和责任
信息部负责集团计算机病毒管理的规划、实施、监控。
第三条计算机病毒管理
预防计算机病毒措施:
公司员工应将系统漏洞及时更新和使用杀毒软件。
具体内容包括:
1、及时更新微软补丁,每周至少更新一次。
当屏幕右下角有自动更新的图标时,要及时安装。
2、有些特殊的软件(如SQLSERVER等),及时到相应网站打补丁。
3、及时安装杀毒软件和升级杀毒软件病毒特征库。
严禁因杀毒软件影响性能,而把杀毒软件卸载。
每周至少更新一次,确保杀毒软件为最新版本。
信息部有权强制执行。
4、严禁打开来历不明的邮件。
能判断为病毒邮件的,立即删除;不能判断的联系网管解决。
当计算机感染病毒后,请及时断开网线,使用杀毒软件查杀和查看操作系统和应用软件的补丁是否及时更新;严重者请及时联系信息部网管解决。
5、当有新病毒通过某些软件(如:
QQ,MSN)传播时,请立即关闭相应软件或拔掉网线。
查杀问题解决后,方可继续使用。
第四条计算机病毒违规处理
凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,第一次给予警告、第二次给予通报批评,第三次及以上将给予通报批评并处罚款50-100元/次。
第五章网络资源管理
第一条适用范围
金蝶集团员工。
第二条管理权限和责任
1、信息部:
负责网络资源的规划、管理和监督。
2、服务器管理员:
负责服务器的规划、管理和数据备份。
3、员工:
合理利用网络资源。
第三条网络资源使用
(一)服务器及个人用机的管理
1、部门级及以上服务器必须指定专人负责管理,并在信息部备案,XX,非管理员不得对其进行操作。
2、部门级及以上的服务器管理员有责任对其负责的服务器进行例行检查,包括:
(1)服务器的CPU、内存、硬盘等资源利用情况;
(2)服务器上运行的服务使用情况;
(3)服务器上运行的OS及时升级;
(4)服务器上运行的杀毒软件的及时更新;
3、服务器管理员要做好服务器的备份工作,至少每季度有一份完整异地(异机)备份,重要数据及时备份。
信息部管理员有责任监督、协调其备份工作。
4、个人和部门未经信息部批准不得私自设立服务器。
5、信息部和服务器管理员每月定期对服务器做一次全面检查,并填写服务器检查日志。
6、服务器管理员每季度需修改服务器密码一次。
当服务器管理员有变更时,管理员密码需及时更改。
7、员工应避免随意共享工作相关资料,若需共享,应指定合理权限,并在完成后及时取消;严禁未经信息安全部门批准,擅自共享给局域网内所有用户。
8、员工应自行维护电脑的正常使用,并按照网管的要求进行设置及及时进行补丁更新,不得擅自退出域、去除域管理员权限、修改主机名、修改ip等。
(二)IP地址的管理
1、IP地址由信息部统一规划管理。
未经信息部许可,不得擅自更改任何设备的IP地址。
2、公司申请的公网IP任何人不得私用。
3、工作需要公网IP,需申请信息部批准后,方可使用。
4、公司公网IP使用无工作需要时,立即停止使用,并通知信息部收回。
5、FTP等特殊服务器的使用须经信息部批准,且不得擅自更改使用用途,违者将受到处罚。
第四条网络资源违规处理
(一)下列行为将视情节轻重给予警告、通报批评、200-500元罚款处分,可多种处罚形式并处:
1、XX,非管理员操作部门级或以上服务器的;
2、擅自更改部门级及以上的服务器的IP设置及其它网络环境的;
3、管理员未按本章规定对服务器例行检查的;
4、管理员未按本章规定做好备份工作的;
5、未经信息部批准擅自设立服务器;
6、服务器管理员未按本章规定对服务器进行检查的;
7、服务器管理员未按本章规定修改服务器密码的;
8、服务器或个人用户未设定合理权限,随意共享资料的;
9、未经信息部许可,擅自更改任何设备的IP地址;
10、其他违反本章规定的行为。
(二)下列行为将视情节给予警告、通报批评、1000-2000元反馈处分,直至辞退,可多种处罚形式并处:
1、未设定合理权限,随意共享资料导致公司商业秘密泄露的;
2、将公司申请的公网IP用于私人用途;
3、擅自更改FTP等特殊服务器的用途的。
第六章机房管理
第一条适用范围
1、深圳总部办公区机房。
2、区域中心及分支机构的机房管理应参照执行。
第二条管理权限和责任
总部信息部:
负责机房的规划、管理和安全。
第三条机房管理规定
(一)施工管理
公司机房建设应符合国家的有关标准和规定;在公司机房内施工,须由信息安全部经理批准,并有网络管理员或授权的公司保安监督施工现场。
(二)人员管理
公司机房为公司一级机密场所,任何人不得在机房内逗留。
网络管理员和公司保安必须凭门禁卡进出机房,其它人员不得擅入。
如确需进入机房的其它工作人员,应向信息部网络管理员或授权的公司保安提出申请,并做相应的登记备案后,在网络管理员或公司保安的陪同下入内。
网络管理员或公司保安有权在场监控及记录入内者的工作情况。
(三)机房设备管理
1、机房内有设备出入时,必须经网络管理员同意,固定资产管理员登记并备案,按公司的固定资产管理程序,办理变更手续后方可移走;机房内所有设备(包括空调、电源、不间断电源、路由器、交换机、服务器以及其它电子设备)均不得任意变动和更换。
如必需变更,须经网络管理员登记备案并监督执行;
2、所有非电源性电子设备(如路由器,服务器等)必须接不间断电源,以保证数据在突然断电时不致丢失;机房温度应保持在22±2℃。
工作时间网络管理员、非工作时间公司保安应定时巡视机房,确保机房环境、供电及温度正常;如出现机房温度超过30摄氏度警戒线、停电等异常情况,应与网络管理员联络,立刻采取必要措施保障机房设备的安全。
3、工作人员在机房内操作应保持清洁。
(四)信息管理
任何人员(包括网络管理员)在机房信息设备上进行更改操作,都需记录备案,网络管理员有责任且有权力对不必要或者不允许的操作加以制止。
第四条机房管理违规处理
1、未经网络管理员或公司保安许可而擅入机房者,网络管理员或公司保安有权对其进行警告,严重者可予以通报批评、50-100元罚款;
2、未经网络管理员许可在机房内擅自进行操作者,可视情节给予通报批评、200-500元的经济处罚;情节严重的,可予以辞退。
此类行为包括:
(1)更动机房设施(如擅自关闭空调或更改温度);
(2)更动路由器、交换机等设备的设置信息;
(3)安装、卸载软件或更改服务器软件设置;
(4)使用机房内设备进行未授权操作等。
第七章动态密码卡管理
第一条适用范围
金蝶集团员工、授权合作伙伴或关联公司授权人员。
第二条管理权限和责任
1、信息部:
负责Activcard的发放、更换管理和使用过程中的技术支持与维护。
2、人力资源部:
总部人力资源部指定机构的Activcard管理员,并配合信息部对Activcard进行管理。
3、机构Activcard管理员:
负责所在机构的Activcard的日常管理,每月进行一次盘点,定期(不超过一季度)与总部Activcard管理员核对Activcard数据,提交使用明细报表。
4、销售伙伴部:
指定专人负责销售伙伴Activcard的日常管理,定期(不超过一季度)与总部Activcard管理员核对销售伙伴Activcard数据,提交使用明细报表。
第三条管理流程
(一)新申请流程
1、新员工申请:
新入职员工进入MyKingdee的初始权限(申请用户名)由人力资源部负责申请,其它业务子系统登录权限的申请在员工获得用户名后,由员工本人按工作需要在得到其上级领导同意后向各业务系统管理员申请。
2、销售伙伴发卡:
销售伙伴申请动态密码卡由销售伙伴部管理员统一申请,经销售与渠道部及信息部一级经理审批同意,向财务按每卡交纳500元成本费及500元押金(押金在动态密码卡退还并验证完好无误后可退回),同时签订《保密协议》。
3、领用登记:
Activcard管理员在发放Activcard时应登记使用人的姓名、所属部门、领用时间、Activcard的SN码,及使用人本人签收登记。
(二)使用人异动管理流程
1、内部调动:
员工在公司内部跨机构调动时,Activcard由本人从调出机构带入新机构,并由调动员工(或机构(部门)其他人员代办)启动员工调动工作流申请调动,各业务系统管理员根据工作流信息修改相应权限,调入和调出机构根据流程做好登记和注销记录,具体流程为:
(1)调动员工(或代办人员)启动员工调动工作流程;
(2)各业务系统管理员根据工作流信息修改相应权限,调入和调出机构(部门)在动态密码卡管理系统中做好登记和注销记录;
(3)员工在同一机构内部异动并涉及特殊权限的,亦按以上流程申请变更权限。
(适用于金蝶集团员工)
2、取消流程
(1)员工离职时,机构动态密码卡管理员应负责收回Activcard、检验是否完好,并在动态密码卡管理系统中删除相应记录,同时登记PIN码以做备用。
分支机构员工离职后收回的Activcard,可暂由分支机构登记保存、循环使用,总部信息部每月进行一次盘点、回收。
(2)取消销售伙伴进入MyKingdee资格。
销售伙伴部动态密码卡管理员应负责收回Activcard、检验是否完好,并立即通知(最迟不超过3天)总部信息部申请注销用户名,登记PIN码以做备用。
第四条使用人责任与处罚
(一)丢损卡
1、员工Activcard一旦丢失,由本人照价赔偿,并在当月工资中扣除Activcard的成本价(人民币350元),若隐瞒不报,一旦查出则除赔偿成本价外,并处以500-1000元的经济处罚。
2、销售伙伴丢失Activcard,由责任人照价赔偿,向总部财务部交纳Activcard的成本价(人民币350元),若销售伙伴丢失后隐瞒不报,而造成损失的,需要按代理商签订的《保密协议》里规定的条款进行相应的赔偿。
3、Activcard使用过程的自然磨损,可到信息部免费更换;若属使用、保管不当,由信息部视损坏程度和修复的可能性,并参考供应商所提供的鉴定书确定赔偿价格,并提交于人力资源部,赔偿额在员工当月工资中扣除;属人为恶意损坏者,除照价赔偿外,将视情节及造成后果予以1-5倍经济处罚,并
升级会员 