公司計算機設備與信息安全管理制度.doc
下載文檔
上傳人:職z****i
編號:1153233
2024-09-08
8頁
50.15KB
1、公司計算機設備與信息安全管理制度編 制: 審 核: 批 準: 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準: 版 本 號: 一、計算機硬件管理1、公司的所有計算機及外圍設備是公司的固定資產,根據實際工作需要配備給各部門人員使用,各部門使用人員必須加以愛護、保持整潔,并保證良好的使用環境。若用戶使用的設備發生人為損壞、設備遺失等,需要按具體規章制度執行賠償。2、由IT部對公司所有計算機設備進行統一編號,建立計算機硬件明細臺帳,并定期對硬件進行維護、檢查各部門使用情況。3、計算機設備的集中統一管理:(1)不得自行重裝系統、格式化硬盤,如確因系統問題需要格式化或重新安裝系統,需經2、相關部門領導審批,IT部門審核并填寫設備更新、維修、報廢審核記錄后,由IT部門負責處理。(2)設備添置、更換、升級:由各部門根據實際工作需要提申請,IT部確定具體配置,書面申請經部門經理、總經理批準后由IT部進行采購。4、硬件故障:各部門使用人員發現硬件故障時,應及時向IT部說明情況,由IT部進行確定并及時處理,各部門人員不得擅自拆裝更換硬件設備。如故障是由員工操作使用不當(如熱插拔外部設備,包括測試用串口工具、移動設備、顯示設備等其他設備)引起,維修費用由相關人員承擔。5、公司計算機是處理公司信息和資料的重要工具,嚴禁隨意連接外部設備:(1)嚴禁插接未經IT部登記批準使用的存儲設備(包括:公3、司配發或領用的U盤、硬盤、存儲卡、手機、無線鍵鼠、無線wifi設備等)(2)嚴禁插接私人存儲設備。(3)嚴禁在公司計算機插接手機。6、計算機的使用人即為該設備的責任人,使用部門為責任部門。未經責任部門經理批準,任何人不得使用其他部門或他人計算機。7、 IT部負責對公司所有電腦硬件使用情況的督查和監控。8、 移動存儲設備使用管理(1)為了防止公司資料非法外流以及病毒入侵公司內部網絡,嚴格限制員工使用外來軟盤、光盤、U盤、移動硬盤等移動存儲設備。(2)所有新增移動存儲介質(包括:公司配發、測試、出售用的移動存儲介質),須在IT部進行序列號登記方可使用。二、計算機軟件管理1、軟件的使用:各部門及人員4、所使用的軟件,由各部門會同IT部共同確定,由IT部進行登記。2、公司需用的軟件,由IT部統一購買、保管,并登記造冊。各部門的專用軟件,由部門經理安排使用,IT部保管備案。3、軟件的安裝、刪除和升級:由各部門根據工作需要,提出書面需求申請,經部門經理批準后,由IT部進行安裝、刪除和升級。未經IT部批準,各部門和人員不得自行進行上述操作。4、 軟件故障:各部門使用人員發現軟件故障時,應及時向IT部說明情況,由IT部進行確定并及時處理,各部門人員不得擅自處理。5、 員工不得私自在工作機上安裝與工作無關的程序,mp3、影音文件播放程序、溝通工具(QQ、MSN等)、游戲等。確因工作需要安裝相關溝通工具,5、需經相關部門領導審批,由IT部門負責安裝。6、 工作時間(包括加班時間)公司員工不得使用工作用機玩游戲,聽音樂觀看電影。7、 網絡下載管理:為了防止病毒侵入公司內部網絡,不得隨意下載文件、信件。8、 使用外網郵件:員工在打開外網郵件時必須開啟360程序。10、軟件安裝和使用過程中病毒的預防:員工不得在工作機上安裝來歷不明的軟件;安裝軟件前,應對該安裝盤進行殺毒。安裝軟件時應打開防火墻,防止病毒入侵。11、軟件的版本管理和控制:為了防止公司內的軟件版本混亂和文件格式不兼容,由IT部控制公司內工作用軟件的版本升級。做到統一版本、統一升級。由于員工個人升級軟件版本造成的文件格式不兼容問題一律由該員工6、負責。IT部負責對公司所有電腦軟件使用情況的督查和監控。三、公司局域網管理:1、部門新進員工訪問服務器文件目錄,應由員工所在部門經理簽字或主管副總到IT部簽寫局域網員工權限變更登記表,并簽字生效,IT部憑單設定用戶名、密碼,分配訪問權限。2、由于員工工作的調動等情況需更改訪問權限者,應由員工所在部門經理簽字或主管副總到IT部簽寫局域網員工權限變更登記表,并簽字生效(特殊情況須總經理審批簽字),IT部憑單重置用戶密碼、目錄及訪問權限。3、 對于離職人員目錄訪問權限的刪除及相關數據的備份,應由員工所在部門經理簽字或主管副總到IT部簽寫局域網員工權限變更登記表,并簽字生效,IT部憑單刪除目錄訪問權限7、并對相關數據進行備份。4、 各部門使用人員,必須將本地計算機和文件服務器相關目錄中的工作數據定 期進行備份,以防止因硬、軟故障造成數據資料損失,備份由IT部執行,備份資料統一存放。5、 禁止將與工作無關的圖片、音頻、視頻等文件存放于工作所用電腦或公司文件服務器,絕對禁止將含有淫穢、色情、暴力的文字、圖片、音頻、視頻等文件存放于工作所用電腦或公司文件服務器。如違反上述規定,公司將追究責任并嚴肅處理,因此導致的電腦故障或損壞,則由本人承擔一切責任。四、Internet(互聯網)使用管理:1、 公司注冊域名為: 公司郵箱域名為:凡有訪問Internet的權限的用戶電腦,IE默認主頁地址必須設為兩者之8、一,公司員工有責任熟記公司域名及郵箱域名。2、 任何時間公司員工不得使用公司的電腦瀏覽淫穢、色情、暴力、違反國家安全的網站。3、 工作時間(包括加班時間)公司員工不得瀏覽與工作無關的網站,不得下載與工作無關的文件,包括mp3、Flash、影音文件、游戲等。4、 公司員工不得使用、迅雷等可給公司網絡造成嚴重帶寬壓力的軟件進行下載,一經發現,IT部即刻查封IP,截止時間以總經理批示可重新接入公司網絡為準,其間造成的不能正常訪問公司局域網及互聯網等故障及損失,由本人承擔一切責任。5、 工作時間(包括加班時間)公司員工不得通過網絡玩在線游戲,聽音樂觀看電影。6、 工作時間(包括加班時間)公司員工不得使9、用任何網絡聊天工具,包括QQ、MSN等。7、 公司員工上網時必須激活360安全衛士軟件,不得隨意下載文件、信件,防止病毒侵入公司內部網絡,如違反該規定,一切后果由本人承擔。8、 各部門上報的因工作需要的上網名單,經公司領導批準后,由IT部統一調配公司員工上網權限。對于私自盜用他人上網權限的用戶,按有關規定處理。9、 公司為工作需要員工統一分配Email地址,各使用人員必須定時進行查看、回復、整理。10 、公司員工不得私自更改本機IP、DNS、網關地址。對于因私自更改造成的一切后果由本人承擔。11 、公司員工不得使用他人電腦上網,不得將外人帶入公司使用公司電腦和通過公司內網上網。12 、無上網權10、限的員工因工作需要,經部門經理批準后,統一到部門指定計算機上網。五、信息安全管理:一)、目的制定信息安全制度的目的是:確保公司的網絡系統運行在一種合理的安全狀態下,同時不影響公司員工使用網絡。具體目標包括:保障數據安全和系統安全。1、數據安全1) 防止未經授權修改數據;2) 防止未經發覺的遺漏或重復數據;3) 防止未經授權泄露數據;4) 確保數據發送者的身份正確無誤;5) 確保數據接受者的身份正確無誤;6) 數據的發送者、接受者以及數據的交換僅對發送者與接受者是可見的;7) 在取得明確的可訪問系統的授權后,才能與該系統通信。2、系統安全1) 防止未經授權或越權使用系統;2) 控制網絡流量,防止11、過量的訪問使系統資源過載導致的系統崩潰。內部網絡流量超負荷,保障外網服務(Internet)、內網服務器(主服務器、ERP服務器、CRM服務器)的安全。二)、適用范圍信息安全制度適用于:1. 任何與公司網絡設備相連的IP網絡,所有連接到上述網絡上的設備;2. 任何公司所屬數據傳輸經過的網絡,所有上述網絡上傳輸的數據;3. 對數據進行管理的人員,如果要將新的設備增加到公司的網絡中,適用于該項目的負責人;4. 公司所有未連入網絡的設備,以及公司員工在非連入網絡設備上使用的任何設備。三)、責任在信息安全制度的涉及范圍內,每個部門的信息安全由部門負責人或由其指定專人來負責。四)、內容1. 內部人員的攻12、擊,包括有意和無意兩種。主要表現為:1) 保密觀念不強,或不懂遵守保密守則,隨便泄漏機密;打印復制公司內部文件;隨便打印出系統內部文件或向無關人員泄露有關機密信息;2) 由于業務不熟練、操作失誤,導致文件丟失或者誤發,或因未遵守操作規則而造成泄密;3) 因規章制度不健全造成人為泄露事故,如對內部文件管理不善,各種文件存放混亂,違章操作等造成不良后果;4) 素質差,缺乏責任心,沒有良好的工作態度,明知故犯,或有意破壞網絡系統和設備;5) 利用竊取系統的磁盤、磁帶或紙帶等記錄載體或利用被廢棄的打印文件、復寫紙來竊取系統用戶信息;6) 通過非法竊取他人的用戶名和口令來進入他人的計算機,拷貝文件或進行13、破壞;7) 使用帶有病毒的外來介質,帶毒的磁盤、存儲設備;8) 瀏覽具有惡意代碼的互聯網網頁。2. 外部人員的攻擊或非法訪問1) 外來設備企圖聯入本企業的局域網;2) 通過物理連接試圖竊取管理員身份、或竊取重要文件;3) 通過發送病毒郵件、蠕蟲攻擊;4) 外部人員非法在本企業局域網中安裝、使用木馬、嗅探器等程序。3. 技術故障所帶來的威脅。通常指突發事故1) 由于硬件原因造成系統的故障;2) 人為刪除系統重要文件:BOOT.INI、NTDETECT.COM、NTLDR、IO.SYS、MSDOS.SYS、D:WINNT目錄及其中的文件等;3) 新軟件、硬件的不當安裝引起系統無法正常使用;4) 內14、部人員擅自使用其他軟件或更改網絡配置(如IP地址)導致服務器不能正常工作;5) 由于不可抗拒的因素導致硬件損壞。4. 數據的意外丟失1) 由于硬件的損壞導致數據丟失;2) 由于系統的不穩定導致數據丟失;3) 電力系統故障造成的數據丟失;五)、解決方案1、軟件資源的安全和管理方案主要規范軟盤、光盤、移動存儲設備使用、網絡下載、使用郵件、軟件安裝和使用過程中病毒的預防及使用控制。2、數據資源的安全和管理方案1. 數據存儲的安全管理1) 存放有業務數據或程序的磁盤、磁帶或光盤,應視同文字記錄妥善保管。必須注意放磁、防潮、防火、防盜,必須垂直放置;2) 對硬盤上的數據,要根據安全分級建立有效的權限,并15、嚴格管理,對于內部訪問級和機密級的數據要進行嚴格的NTFS權限設置和必要的加密,以確保硬盤數據的安全;3) 存放有業務數據或程序的磁盤、移動硬盤、U盤、存儲卡或光盤,管理必須落實到人,并分類建立登記薄,記錄編號、名稱、用途、規格、制作日期、有效期、使用者、批準者等;4) 對存放有重要數據的磁盤、移動硬盤,要進備份并妥善保管;5) 日常工作數據不存放于引導分區及操作系統所在的磁盤分區(如:我的文檔、桌面、C盤);6) 凡超過數據保存期磁盤、移動硬盤、光盤,必須經過特殊的數據清除處理,否則不能視同空白盤;7) 凡不能正常記錄數據的磁盤、移動硬盤、光盤,須經測試確認后由IT部進行銷毀報廢,并做好登記16、;8) 對需要長期保存的有效數據,應在磁盤、移動硬盤的質量保證期內進行轉儲,轉儲時應確保內容正確。2. 數據的使用管理9) 數據必須嚴格保密,未經相關部門領導同意,一律不準對外提供任何數據和程序;10) 數據按規定進行拷貝以外,任何人不得以任何借口和形式進行拷貝。六)、密碼安全和管理方案1. 培養良好的安全操作習慣,工作計算機專人專用,并設置開機密碼,不要把密碼寫在記事本或電腦上,有事離開計算機時應將其鎖定; 2. 防止電腦緩存、Cookies記錄重要密碼,特別是工作計算機里;3. 做到密碼專管專用,定期更改;4. 人員調離時,應采取相應的安全管理措施。例如:人員調離的同時馬上移交工作、更換口17、令、取消帳號。六、網絡機房及公共網絡設備管理:一)、機房及公共設備管理1、要有安全防范意識。早進入、晚離開機方時要檢查設備情況;離開時察看燈、門是否關閉好。2、公司公共路由器、交換機和服務器以及通信設備和辦公自動化設備均是關鍵設備,未經IT部門許可不得自行配置或更換,更不能挪作它用。3、非IT部門人員進入機房,要事先征得同意;未經許可一律不準觸碰開關和設備。4、IT部門人員要掌握防火技能,定期檢查消防設施是否正常。出現異常情況應立即報警,切斷電源,用滅火設備撲救。5、公共設備和機房要保持清潔、衛生,并由IT部門管理和維護,無關人員未經IT部門批準嚴禁將路由器、交換機、wifi設備、無線設備等接18、入公共設備和網絡。Bm審查此條不體現6、公司IT部門應做好網絡安全工作,服務器的各種帳號嚴格保密。監控網絡上的數據流,從中檢測出攻擊的行為并給予響應和處理。7、公司IT部門統一管理計算機及其相關設備,完整保存計算機及其相關設備的驅動程序、保修卡及重要隨機文件。8、計算機及其相關設備的報廢需經過管理部門或專職人員鑒定,確認不符合使用要求后方可申請報廢。9、制定數據管理制度。對數據實施嚴格的安全與保密管理,防止系統數據的非法生成、變更、泄露、丟失及破壞。二)、計算機病毒防范制度1、IT部門應有較強的病毒防范意識,定期進行病毒檢測,發現病毒立即處理并通知管理部門或專職人員。2、采用國家許可的正版防病19、毒軟件并及時更新軟件版本。3、未經IT部門領導許可,IT工程師不得在服務器上安裝新軟件,若確為需要安裝,安裝前應進行病毒例行檢測。4、經遠程通信傳送的程序或數據,必須經過檢測確認無病毒后方可使用。三)、數據保密及數據備份制度1、各部門根據數據的保密規定和用途,確定使用人員的存取權限、存取方式。2、禁止泄露、外借和轉移專業數據信息。3、每天當班人員制作數據的備份并異地存放,確保系統一旦發生故障時能夠快速恢復,備份數據不得更改。4、備份的數據由各部門負責保管,服務器數據由IT部門負責保管并存放在財務室保險柜中。5、備份數據資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。六、重要部門管理(即研發部門):根據公司保密制度規定,特就公司重要部門(即研發部門)制定如下管理細則:1、研發部門臺式計算機禁止以任何形式連接互聯網;2、研發部門對外輸出資料,僅限使用打印和光盤刻錄進行輸出:(1)輸出紙質文檔,需填寫打印機輸出記錄;(2)輸出光盤介質資料時,需經相關部門領導審批同意后,領取移動刻錄設備進行刻錄,并填寫光盤領用記錄。