刚泰集团信息安全管理制度
品牌信息部 2015.3.5
一、总则
通过加强集团计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证集团机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
二、范围
适用于集团所有员工。
三、职责
1、品牌信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。
2、系统管理员执行公司保密制度,严守公司商业机密。
3、员工执行计算机信息安全管理制度,遵守公司保密制度。
四、管理办法
I、计算机使用管理制度
1、计算机由集团品牌信息部统一配置并定位,未得允许任何部门和个人不得私自拆装、挪用、调换、外借和移动计算机。
2、计算机的开、关机应按按正常程序操作,严禁直接的人为非法关机;主机和键盘周边不要放置水杯等盛满液体的容器,以免损毁计算机。
3、所有计算机必须设置登陆密码,一般不要使用默认的administrator作为登陆用户名,密码必须自身保管,严禁告诉他人,密码需要定期更换以确保安全。
4、计算机软件的安装与删除应在系统管理员的许可下进行,任何部门和个人不得安装来历不明的软件,不得擅自修改、移动或删除计算机硬盘内的数据程序、防病毒软件、计算机文件和系统设置。
5、员工应采取措施做好电脑的防尘、防盗、防潮、防触电等工作。下雨打雷天气注意关闭电源总闸或切断电源开关。
6、员工在长时间离开计算机时,要求关闭计算机或退出Windows用户桌面。
7、为文件资料安全起见,勿将重要文件保存在系统活动分区内如:C盘、我的文档、桌面等;请将本人的重要文件存放在硬盘其它非活动分区(如:D、E、F);并定期清理本人相关文件目录,及时把一些过期的、无用的文件删除,以免占用硬盘空间。
8、计算机发生故障应尽快通知系统管理员及时解决,不允许私自打开计算机主机箱操作,以免触电造成危险或损毁计算机硬件设备。
9、计算机出现重大故障,需要采购配件或较长时间维修时,系统管理员应准备备用机器给员工使用,重要资料及时备份;如果硬盘未损坏,送修前应卸载硬盘妥善保管以确保数据安全。
10、禁止工作时间内在计算机上做与工作无关的事,如玩游戏、听音乐等。
11、员工不得利用公司邮件系统、微信、QQ等社交工具散播不利于公司言论或刻意泄漏公司机密。
12、员工离职时,系统管理员应及时核对计算机硬件配置信息,并对离职人员计算机中的公司资料信息备份刻盘。
II、计算机软件管理制度
1、办公类计算机软件由集团统一配置和采购,数量较大的软件项目采购应采取招标或议标方式,并经集团决策层批准。
2、软件购置完毕后,品牌信息部做好验收工作后,应及时做好软件相关信息的登记录入工作。
3、购置的软件技术资料应归档保管。
4、加强对计算机软件使用权限的管理。因业务需要开通使用权限,需经过相关的领导批准和审核,有系统管理员设置相应权限。
5、软件一经安装使用,未经系统管理员的同意,任何人不得将其卸载或者删除。 III、计算机病毒防范管理制度
1、所有计算机都应安装防病毒软件,并定期每周升级和杀毒,定期每月更新系统补丁,紧急补丁及时更新。
2、员工在工作中发现计算机有被病毒感染的迹象或因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故时,应及时向系统管理员报告,并保护现场。
3、使用外来U盘等拷贝资料时,应先进行病毒检测。
4、远程传输的资料和程序,需经过杀毒检测确认无病毒后方可使用。
5、禁止在办公电脑安装游戏软件,上色情网站等容易感染病毒的非法操作。
6、对互联网上来历不明的电子邮件,下载附件后必须杀毒,不要直接打开附件,防止受到计算机病毒攻击感染。
7、对互联网上直接下载的资料,在使用之前都必须进行查毒杀毒,确保无破坏性病毒后才可以进行操作。
8、及时检测、清理计算机系统中的病毒,无法清除的,应当迅速采取隔离控制措施,保护好重要数据,并及时向系统管理员报告。
IV、服务器数据安全管理制度
1、服务器UPS不间断电源每季度都需要进行一次充放电检查,确保负荷安全可靠,电池等设备工作稳定正常。
2、系统管理员负责定期备份更新服务器系统数据,并定期杀毒和防毒,及时下载最新的防病毒库进行查杀病毒并做好杀毒记录。
3、服务器应用系统等正常使用后,应及时的备份系统并刻录光盘保存。
4、应用服务器,如OA\\ERP等数据库,应每天下班后17:30备份一次数据库,在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中,每周五的数据进行加密刻盘,超过1年的刻盘数据应及时销毁处理。
5、重要的服务器系统备份以及数据库备份,应充分考虑到火宅地震等严重自然灾害,做好相关备份的同时,应每月异地备份数据一份。
6、维护服务器日志以及网络访问日志,监控外来访问和对外访问情况,如有安全问题,应及时处理。
7、应用服务器密码安全管理:包括ERP服务器、OA服务器、域服务器、邮箱服务器、视频会议系统等。品牌信息部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码,并做好相关的密码更新记录工作。
8、系统后台数据只能由服务器系统管理员进行维护,若需外援时,必须在管理员的陪同下进行操作,其他终端用户不得设置权限进入数据管理后台。
9、当遇到服务器需要变更时,管理员应该做好详细的变更记录。如:程序变更、紧急变更、配置/ 参数变更、基础架构变更、数据库修改等。
10、个人计算机的备份统一由各部门自行负责,可使用移动硬盘、信息光盘等储存介质进行安全备份。
V、网络安全管理制度
1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
2、员工因公需要者除外,于公司内任何时间均不得浏览非法网站,包括色情网站、聊天室、BBS站、购物网站、游戏网站等等。
3、员工上班时间内除紧急情况之外,不得使用P2P等下载软件下载与工作无关的视频资料,以免造成网络瘫痪。
4、禁止安装一切与无关公司业务的软件,如股票软件等,严禁上班期间涉及私人事务,如炒股、网购等等。
5、请员工对自己账号严格保密,系统管理员不负责因账号泄漏而造成的与之相关的一切责任。
6、对于系统和网络出现的异常现象,系统管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、及时制定出解决方案。
7、公司的无线WIFI等设备,应做好相关的权限设置和密码设定,防止越权访问以及信息泄露。
VI、手机信息安全管理制度
1、员工需配合系统管理员,在手机操作系统中装入工作相关的APP软件,例如OA、微信公共账号、邮件等手机客户端软件。
2、为确保手机数据的安全,手机开机必须设定开机密码,并定期进行修改以确保安全。
3、手机客户端软件中的账户和密码,禁止勾选记住密码以及自动登录,防止手机遭到不法分子窃取后,非法诈骗和盗取重要资料信息。
4、手机被盗或者遗失后,应第一时间通知公司所有员工,并让系统管理员更新账号密码,以确保数据安全。
5、微信企业号等与工作相关联的社交工具,不发与工作无关的信息,不散播不利于公司言论或刻意泄漏公司机密。
五、违规操作赔偿标准
1、违规操作者:没有造成经济损失的,给当事人和责任人口头批评。
2、违规操作者:造成经济损失的,需赔偿相关的经济损失,造成严重后果的,由人力资源中心根据公司其他相关制度进行处理。
六、附则
1、本制度由自公布之日起实施。
2、本制度有不妥之处在运行中修改并公布。
