午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、投資集團公司信息資產(chǎn)、網(wǎng)絡(luò)及密碼安全管理制度編 制： 審 核： 批 準： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準： 版 本 號: 1. 總則21.1 信息安全定義21.2 確保信息安全的重要性21.3 本制度適用范圍21.4 責(zé)任22. 信息資產(chǎn)安全管理22.1 信息資產(chǎn)分類22.2 信息資產(chǎn)管理33. 人力資源安全33.1 新進員工管理33.2 信息系統(tǒng)權(quán)限管理34. 機房與環(huán)境安全34.1 機房位置選擇34.2 機房防護措施34.3 出入機房規(guī)定44.4 機房巡檢制度45. 網(wǎng)絡(luò)安全45.1 上網(wǎng)行為管理45.2 防火墻制度45.3 虛擬私人網(wǎng)絡(luò)（VPN）45.42、 Internet安全45.5 虛擬局域網(wǎng)（VLAN）55.6 微博、微信管理56. 密碼安全與保密制度56.1 服務(wù)器操作系統(tǒng)超級用戶密碼56.2 數(shù)據(jù)庫超級用戶密碼56.3 其他系統(tǒng)超級用戶密碼56.4 個人pc密碼56.5 信息保密制度57. 數(shù)據(jù)庫、應(yīng)用與服務(wù)器安全67.1 建立磁盤陣列RAID77.2 數(shù)據(jù)庫備份67.3 數(shù)據(jù)庫權(quán)限管理67.4 直接修改數(shù)據(jù)庫數(shù)據(jù)流程67.5 信息的異地備份67.6 機密數(shù)據(jù)加密67.7 應(yīng)用程序版本管理78. 病毒防范制度78.1 殺毒軟件與殺毒78.2 病毒防范行為71. 總則1.1 信息安全定義 信息安全是指為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安3、全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。 定義包含了幾個層面的概念，其中計算機硬件可以看做是物理層面，軟件可以看做是運行層面，和數(shù)據(jù)層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機密性。1.2 確保信息安全的重要性 信息系統(tǒng)是企業(yè)業(yè)務(wù)活動正常運行的基礎(chǔ)，信息安全是企業(yè)業(yè)務(wù)活動正常運行的保障。xx集團是一家規(guī)范的多元化產(chǎn)業(yè)公司群，擁有大量的金融、財務(wù)、人力資源、客戶等涉密信息，網(wǎng)絡(luò)化，數(shù)字化使得這些信息雖然容易被存放，也極其容易被泄露、盜取和挪用。所以建立信息安全制度顯得十分必要。1.3 本制度適用范圍 除了xx集團信息4、管理中心全體職員外，本制度還適用于使用、維護信息系統(tǒng)或使用信息工具的全體xx集團職員。1.4 責(zé)任 在信息安全制度的涉及范圍內(nèi)，每個單位、部門的信息安全由部門負責(zé)人或由其指定專人來負責(zé)。2. 信息資產(chǎn)安全管理2.1 信息資產(chǎn)分類 信息資產(chǎn)按照機密性分為普通、敏感與機密三類。2.2 信息資產(chǎn)管理 1.敏感與機密信息在傳輸和存儲時均需標示其等級。 2.敏感與機密信息欲復(fù)制、攜帶外出時，應(yīng)提出申請載明申請用途，經(jīng)單位負責(zé)人及集團信息管理中心負責(zé)人授權(quán)核準后，加密后攜離使用。 3.可攜帶存儲媒體（磁盤、光盤、移動硬盤、U盤等）若存儲敏感與機密信息，保存時需于枷鎖櫥柜內(nèi)。必須注意防磁、防潮、防火、防盜，5、必須垂直放置。 4.單位、部門敏感與機密信息應(yīng)由單位、部門負責(zé)人管理，集團敏感與機密信息應(yīng)由集團辦公室負責(zé)人管理。 5.敏感與機密信息不得使用網(wǎng)絡(luò)、傳真等方式傳送。 6.敏感與機密信息應(yīng)采用加密方法進行保護，并考慮使用技術(shù)手段，防止信息在未經(jīng)過授權(quán)的情況下遭到篡改。 7.敏感與機密信息應(yīng)執(zhí)行權(quán)限管理與異地備份機制。3. 人力資源安全3.1 新進員工管理 1.新員工簽署勞動合同時，要明確信息安全責(zé)任，使新員工從一開始就了解公司對信息安全的要求，增加員工的安全印象。 2.對新員工進行崗前教育與培訓(xùn)，使員工在較短時間內(nèi)熟悉組織的信息安全政策和程序。 3.明確規(guī)定員工必須遵守國家的法律法規(guī)的信息安全政6、策，任何與法律法規(guī)安全政策相違背的行為，都被視為安全事件并受到相應(yīng)懲罰。 4.根據(jù)新員工的崗位職能，分配相應(yīng)系統(tǒng)的使用權(quán)限。3.2 信息系統(tǒng)權(quán)限管理 1.任何信息系統(tǒng)必須具有權(quán)限管理功能。對于用戶較多的大型系統(tǒng)，可使用區(qū)域、組別、個人三級管理；而對于用戶數(shù)量一般的中型系統(tǒng)，可使用組別、個人進行二級管理。 2.為確保金融、財務(wù)等關(guān)鍵系統(tǒng)準確無誤，系統(tǒng)中相關(guān)數(shù)據(jù)必須由一人錄入，另一個審核。數(shù)據(jù)的錄入人員和審核人員不能為同一人。 3.信息安全負責(zé)人負責(zé)信息系統(tǒng)權(quán)限管理和分配工作。如果是全公司員工都需使用系統(tǒng)，如OA，由集團辦公室負責(zé)系統(tǒng)權(quán)限管理和分配工作。 4.各單位的信息技術(shù)部門人員負責(zé)權(quán)限管理的7、實施工作。3.2.1 信息系統(tǒng)權(quán)限申請流程 1.員工填寫信息系統(tǒng)權(quán)限申請審批表時（附表1，以下簡稱“審批表”），應(yīng)注明員工工號、姓名，權(quán)限區(qū)域、組別，申請理由等必要內(nèi)容。 2.“審批表”交由所在單位的信息安全負責(zé)人審核信息后簽名確認，并提交集團信息管理中心信息技術(shù)部。 3.“審批表”經(jīng)集團信息管理中心信息技術(shù)部安全負責(zé)人審核簽名確認后，由信息技術(shù)部開通權(quán)限。 4.原則上登陸系統(tǒng)的用戶名與申請員工工號一致，初始密碼是password或統(tǒng)一標記。如果不是，則通過郵件告知申請人員。 5.申請人員得到系統(tǒng)使用權(quán)限后，需立即登陸系統(tǒng)，并修改初始密碼。如不修改，所造成的后果自負。3.2.2 信息系統(tǒng)權(quán)限變8、更流程 1.信息系統(tǒng)權(quán)限變更流程適用于人員調(diào)崗、離崗、轉(zhuǎn)崗、離職等變化情況。 2.“審批表”應(yīng)注明員工工號，姓名，變更（撤銷）權(quán)限原因，變更（撤銷）權(quán)限區(qū)域、組別等必要內(nèi)容。 3.交由所在單位的信息安全負責(zé)人審核信息后簽名確認，并提交集團信息管理中心信息技術(shù)部。 4.“審批表”經(jīng)集團信息管理中心信息技術(shù)部安全負責(zé)人審核簽名確認后，由信息技術(shù)調(diào)整或撤銷權(quán)限。4. 機房與環(huán)境安全4.1 機房位置選擇 1.機房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機房的承重要求應(yīng)滿足設(shè)計要求，不能建立在地下室，以及用水設(shè)備的下層或者隔壁。 2.機房場地應(yīng)當避開強電場、強磁場、強振動源、強噪聲源、重度環(huán)境污染，9、易發(fā)生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)4.2 機房防護措施 1.防雷擊。機房建筑應(yīng)設(shè)置避雷針；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置交流電源接地。 2.防火。應(yīng)設(shè)置火宅自動消防系統(tǒng)，自動檢測火情，自動報警。機房建筑材料應(yīng)具有耐火等級。 3.防水與防潮。水管安裝不得穿過屋頂和活動地板下；應(yīng)采取措施防止雨水通過屋頂和墻壁。 4.溫濕度控制。應(yīng)設(shè)置恒溫恒濕系統(tǒng)，使機房溫度、濕度的變化在設(shè)備運行所允許的范圍內(nèi)。 5.防靜電。應(yīng)采用必要的接地等防靜電措施；應(yīng)采用防靜電地板。 6.防電力中斷。應(yīng)采用UPS和備用電源平衡管理，當發(fā)生突然停電時，不產(chǎn)生閃斷現(xiàn)象。4.3 出入機房規(guī)定 1.機房大門配置電子門禁，除機房10、巡檢人員、信息技術(shù)部經(jīng)理、集團信息管理中心總監(jiān)、集團負責(zé)人外，其他人員一律不得進入機房。 2.外來人員須進入機房的，要填寫機房出入申請審批單（附表2），經(jīng)過集團信息管理中心信息技術(shù)部門安全負責(zé)人審核批準后，才能進入。 3.機房內(nèi)安裝監(jiān)控裝置，保留15天以上的攝像記錄。4.4 機房巡檢制度 1.機房管理員每天早（9:00）晚（17:00）巡視機房各個設(shè)備，認真填寫機房巡檢單（附表3）。發(fā)現(xiàn)設(shè)備故障，記錄并立即報告信息技術(shù)部運維經(jīng)理、總監(jiān)。 2.信息技術(shù)部運維經(jīng)理、總監(jiān)不定時抽查機房巡檢員日常巡檢工作，發(fā)現(xiàn)漏巡檢、晚巡檢等違規(guī)行為，嚴肅處理。 3.機房巡檢單每月匯總，封存入信息技術(shù)部檔案。5. 網(wǎng)11、絡(luò)安全5.1 上網(wǎng)行為管理1.防止非法信息惡意傳播，避免企業(yè)機密信息泄漏；并可實時監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率，建立上網(wǎng)行為管理制度。2.由集團辦公室確定嚴禁上網(wǎng)行為，例如：網(wǎng)上購物，在線聊天，在線觀看電影、視頻、P2P等，信息技術(shù)部配合實現(xiàn)上網(wǎng)行為管理。3.特殊崗位需開發(fā)某些上網(wǎng)行為的，報集團辦公室審批同意后，由信息技術(shù)部門配合實現(xiàn)上網(wǎng)行為管理。5.2 防火墻制度 1.防止公司信息系統(tǒng)遭到來自外部人員的任何非法攻擊和入侵，需要將公司內(nèi)部局域網(wǎng)與Internet通過硬件防火墻進行隔離。信息技術(shù)部負責(zé)建立、配置、管理硬件防火墻。 2.集團下屬任何單位及部門（或個人）都不得關(guān)閉PC12、端操作系統(tǒng)防火墻，一旦發(fā)現(xiàn)造成系統(tǒng)損壞、數(shù)據(jù)丟失，后果自負。5.3 虛擬私人網(wǎng)絡(luò)（VPN） 1.VPN技術(shù)是企業(yè)常用的網(wǎng)絡(luò)安全技術(shù)之一。VPN利用公共網(wǎng)絡(luò)建立專用網(wǎng)絡(luò)，屏蔽了網(wǎng)絡(luò)之外所有用戶。信息技術(shù)部提供技術(shù)，負責(zé)建立集團總部與各公司之間的VPN網(wǎng)絡(luò)。 2.為提高VPN安全級別，信息技術(shù)部負責(zé)不定期地更換接連密碼和加密方式。 3.進入VPN網(wǎng)絡(luò)的集團、各公司成員不得泄露連接密碼、加密方式和靜態(tài)地址，一旦發(fā)現(xiàn)，嚴肅查處。造成后果的由責(zé)任人自負。5.4 Internet安全 1.信息技術(shù)部負責(zé)運用各種信息技術(shù)提高集團各公司官網(wǎng)的安全級別，防止非法攻擊。 2.信息技術(shù)部負責(zé)運用PKI、數(shù)字簽名等各13、種技術(shù)提高業(yè)務(wù)交易平臺的安全級別，防止非法攻擊和敏感與機密信息泄露。 3. 員工瀏覽Internet時，不得降低瀏覽器安全級別，不得瀏覽非法網(wǎng)站，一經(jīng)發(fā)現(xiàn)，后果自負。5.5 虛擬局域網(wǎng)（VLAN） 1. 增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性，信息技術(shù)部負責(zé)建立集團辦公場所VLAN。 2. 集團辦公場所員工不得更改IP地址。5.6 微博、微信管理 1. 員工可以個人名義通過公司微博、微信、BBS平臺，轉(zhuǎn)發(fā)公司信息。 2. 以公司名義對外發(fā)布的信息，統(tǒng)一經(jīng)集團辦公室批準。 3. 信息技術(shù)部負責(zé)監(jiān)控公司微博、微信、BBS平臺，發(fā)現(xiàn)反動、黃色、侵14、害公司形象的信息，有權(quán)立刻刪除，并向有關(guān)領(lǐng)導(dǎo)（包含但不僅限于集團信息、人事、行政負責(zé)人等）進行匯報。6. 密碼安全與保密制度6.1 服務(wù)器操作系統(tǒng)超級用戶密碼 1.信息技術(shù)部項目工程師擁有所負責(zé)項目系統(tǒng)的超級用戶密碼。 2.信息技術(shù)部總監(jiān)、運維部經(jīng)理、機房巡查員擁有所有服務(wù)器操作系統(tǒng)超級用戶密碼。 3.超級用戶密碼以每月為周期，由運維部經(jīng)理、項目工程師、機房巡查員到場一起修改，并報備總監(jiān)。 4. 各臺服務(wù)器操作系統(tǒng)的超級用戶密碼必須不一致。6.2 數(shù)據(jù)庫超級用戶密碼 1.信息技術(shù)部項目工程師擁有所負責(zé)項目數(shù)據(jù)庫的超級用戶密碼。 2.信息技術(shù)部總監(jiān)、運維部經(jīng)理擁有所有數(shù)據(jù)庫超級用戶密碼。 3.超15、級用戶密碼以每月為周期，由運維部經(jīng)理、項目工程師到場一起修改，并報備總監(jiān)。 4.每個數(shù)據(jù)庫的超級用戶密碼必須不一致。6.3 其他系統(tǒng)超級用戶密碼 1.信息技術(shù)部項目工程師擁有所負責(zé)項目的超級用戶密碼。 2.信息技術(shù)部總監(jiān)、運維部經(jīng)理擁有所有系統(tǒng)超級用戶密碼。6.4 個人pc密碼 1.員工新領(lǐng)pc后，需修改登陸密碼。個人密碼不應(yīng)過于簡單，不應(yīng)記錄在筆記本上，被人破譯或盜用。 2.員工使用完畢各應(yīng)用系統(tǒng)后，需安全退出，防止被他人使用。6.5 信息保密制度 1.涉密信息不得通過任何途徑傳播和存儲，一旦發(fā)現(xiàn)，要追求個人責(zé)任。 2.員工妥善保管好自己的密碼，不得向其他人泄露。一旦發(fā)生泄露導(dǎo)致公司財產(chǎn)損失16、，要追究個人責(zé)任。 3.信息技術(shù)部研發(fā)的任何軟件、代碼、圖片、界面等屬于公司財產(chǎn)，不得以任何形式向外部人員提供、泄露。7. 數(shù)據(jù)庫、應(yīng)用與服務(wù)器安全7.1 建立磁盤陣列RAID 1.RAID通過在多個磁盤上通過數(shù)據(jù)校驗提供容錯功能，確保服務(wù)器運行安全。 2.記錄不可復(fù)制且保密程度較高數(shù)據(jù)的服務(wù)器（如用友NC數(shù)據(jù)庫服務(wù)器），采用基于數(shù)據(jù)分條+數(shù)據(jù)鏡像磁盤結(jié)構(gòu)（RAID0+1）方式。可以確保在一半磁盤全部損壞前，完全保存數(shù)據(jù)。 3.記錄一般數(shù)據(jù)的服務(wù)器，采用分布式奇偶校驗的獨立磁盤結(jié)構(gòu)（RAID5）方式。可以確保在兩塊磁盤全部損壞前，完全保存數(shù)據(jù)。 4.信息技術(shù)部項目工程師負責(zé)建立、維護相關(guān)服務(wù)器17、RAID工作，檢查磁盤工作狀態(tài)。7.2 數(shù)據(jù)庫備份 1.數(shù)據(jù)庫是保存最終數(shù)據(jù)的介質(zhì)，通過建立備份與災(zāi)難恢復(fù)策略，確保數(shù)據(jù)完整。 2.數(shù)據(jù)庫每日零點進行完全備份，15天循環(huán)覆蓋，存放在數(shù)據(jù)庫服務(wù)器上。 3.信息技術(shù)部項目工程師負責(zé)建立、維護相關(guān)數(shù)據(jù)庫備份，檢驗備份文件狀態(tài)。7.3 數(shù)據(jù)庫權(quán)限管理 1.信息技術(shù)部數(shù)據(jù)庫工程師負責(zé)設(shè)計數(shù)據(jù)庫權(quán)限管理方案；項目工程師負責(zé)實施相關(guān)數(shù)據(jù)庫權(quán)限管理工作。 2.除信息技術(shù)部項目工程師、運維部經(jīng)理、總監(jiān)外，任何人員不能得到數(shù)據(jù)庫超級用戶權(quán)限和密碼。 3.按權(quán)限、管理組、人員三個維度設(shè)計數(shù)據(jù)庫權(quán)限，做到職責(zé)明確。7.4 直接修改數(shù)據(jù)庫數(shù)據(jù)流程 1.原則上在系統(tǒng)上線18、初始化后，不允許任何形式直接修改數(shù)據(jù)庫數(shù)據(jù)。 2.數(shù)據(jù)庫設(shè)計時要建立修改行為觸發(fā)日志，為審計提供依據(jù)。 3.數(shù)據(jù)庫維護人員僅有數(shù)據(jù)庫查詢權(quán)限。需要直接修改數(shù)據(jù)庫的，用戶可填寫數(shù)據(jù)庫修改數(shù)據(jù)申請表（附表4），報本部門總監(jiān)確認簽字后，提交信息技術(shù)部。 4.信息技術(shù)部總監(jiān)簽字確認數(shù)據(jù)庫修改數(shù)據(jù)申請表后，由運維部經(jīng)理實施修改。7.5 信息的異地備份 1.異地備份數(shù)據(jù)是指在另外一個地方產(chǎn)生一個副本，在緊急情況下，副本可立即投入使用。 2.建立異地備份存儲服務(wù)器，存放數(shù)據(jù)庫備份文件、應(yīng)用程序、和其他重要信息。 3.異地備份存儲服務(wù)器，每天6點開始，提取各個數(shù)據(jù)庫備份文件，15天循環(huán)覆蓋。 4.應(yīng)用程序?qū)嵭?9、版本管理，每個版本程序副本放置在異地備份存儲服務(wù)器上。 5.信息技術(shù)部項目工程師負責(zé)相關(guān)系統(tǒng)的異地備份工作。7.6 機密數(shù)據(jù)加密 1.凡被認定涉及個人隱私、經(jīng)濟利益而不能被公開的信息，稱為機密數(shù)據(jù)。機密數(shù)據(jù)不能以明文的形式保存或者傳輸，必須經(jīng)過加密手段處理。 2.為確保交易者隱私和信息安全，大大財富等交易平臺傳輸?shù)慕灰渍咝畔ⅰ⒚艽a、交易內(nèi)容，必須通過公開秘鑰體系（PKI）手段進行加密后傳輸。 3.機密數(shù)據(jù)不能以明文形式存入數(shù)據(jù)庫，必須以加密方式存放。7.7 應(yīng)用程序版本管理 1.應(yīng)用程序設(shè)計時，需具有版本管理功能。程序只要發(fā)生任何一處修改，版本號則要發(fā)生變更。 2. 信息技術(shù)部項目工程師管理相20、關(guān)應(yīng)用程序的版本。不同版本的程序需要以副本的形式保存在服務(wù)器中。8. 病毒防范制度8.1 殺毒軟件與殺毒 1.信息技術(shù)部為所有員工配置的pc（含筆記本）安裝正版防殺病毒軟件和360安全衛(wèi)士，并開啟自動升級功能。 2.員工應(yīng)有較強的病毒防范意識，定期進行病毒庫升級，病毒查殺。如發(fā)現(xiàn)升級或者殺毒失敗，立即通知信息技術(shù)部門人員。 3.員工不得卸載防殺病毒軟件和360安全衛(wèi)士，和關(guān)閉自動升級功能，一經(jīng)發(fā)現(xiàn)，嚴肅處理。8.2 病毒防范行為 1.員工不得擅自安裝來及不明和未經(jīng)病毒檢測的軟件，特別不得安裝游戲和與工作無關(guān)的其他軟件。 2.員工收到任何形式的程序和數(shù)據(jù)（如電子郵件），必須經(jīng)過檢測確認無病毒后方可使用。 3.如證明新型病毒在公司局域網(wǎng)內(nèi)傳播，信息技術(shù)部有權(quán)中斷計算機網(wǎng)絡(luò)，對網(wǎng)絡(luò)中的病毒進行排查，逐個pc進行升級和病毒查殺。 集團行政管理中心 xx年6月