信息技术小组可供参考的制度.doc

上海汽车工业（集团）总公司内部控制手册 IC-1.0-01上海汽车工业（集团）总公司信息安全管理办法1. 目的上海汽车工业（集团）总公司（以下简称：上汽集团）的信息系统涵盖和支持公司各个业务领域的运作，因此信息系统的安全对公司能否持续有效运作并实现其先进经营理念至关重要。上汽集团信息系统安全制度的制定旨在确保通讯网络系统及运行在此基础结构上的操作系统、应用系统和电子数据的安全，实现信息的保密性、完整性和可用性。此信息系统安全制度作为原则性指导制度，由一系列具体的制度、规定、流程文件支持。2. 适用范围本文件适用于上汽集团各部门，集团直接管理企业参照执行。3. 权限上汽集团信息安全制度由总裁办公室编制，经总裁办公会议批准通过。4. 引用文件无5. 术语保密性 - 信息用户必须有合理的业务需要，才可以获得上汽集团的相关信息。未经授权，上汽集团的信息不可泄露给任何人。完整性 - 上汽集团的信息不被非授权修改或破坏。用户所使用的信息是保持一致的。可用性 - 合法用户的正常请求能及时、正确、安全地得到服务或回应。6. 责任6.1 用户的责任6.1.1 上汽集团的每个计算机信息用户都肩负着保护信息系统安全的责任。在使用任何计算机和网络资源时，必须严格遵守上汽集团信息系统安全制度和由此产生或衍生的有关信息安全的支持性制度文件，以及上汽集团员工手册中的有关信息安全条例。6.1.2 用户应出于工作实际需要并本着为公司以最小成本创最大效益的原则，使用上汽集团计算机和网络资源。6.1.3 用户不得非法或未经授权使用或肆意破坏上汽集团计算机和网络及信息，如传播色情图片、连锁信、计算机游戏、非法软件、个人文件等。6.1.4 若发现任何与计算机信息安全有关的问题或漏洞，应及时与部门领导、总裁办公室及上汽股份信息系统部（以下统称为信息系统部）系统协调员或安全员联系。6.1.5 任何违反相关条例和制度的行为，将按情节轻重予以处分。6.2 部门领导及部门信息协调员的责任6.2.1 各部门领导及信息协调员应根据员工工作实际需要，授权其登录网络、系统或使用电子数据的权限，并定期审阅和更新权限批准，并及时与信息系统部联系。6.2.2 各部门对相关电子数据、数据文件、程序、软件、系统及计算机设备对本部门业务运作的重要性及潜在风险进行分级评估和分析，以便与信息系统部共同制定安全措施，作好相应的备份和灾难恢复计划。各部门应与信息系统部一起定期测试和更新灾难恢复计划，以确保在危难情况下，各部门运作能及时恢复。6.2.3 指导和监督部门所有计算机用户，包括使用上汽集团计算机设备及网络资源的非上汽集团组织或人员(如供应商等)，明确注意事项，严格遵守安全使用条例。 6.3 信息系统部的责任6.3.1 信息系统部受上汽集团委托，负责整个上汽集团计算机网络及相关IT设备的运行、维护和信息安全工作，并对受控信息系统环境在物理和逻辑上的安全，采取足够、适当的信息安全措施，确保信息系统和网络的保密性、完整性及可用性。6.3.2 在鉴定部门信息系统权限申请符合权限申请流程及安全性管理要求的基础上，批准、处理和控制各信息系统的权限设置，并归纳和保留所有申请原件，以供各部门定期审阅及公司内部和外部审计需要。6.3.3 通过与用户部门一起对信息系统对其业务领域产生的影响、风险及优先级别的划分，作出相应备份和灾难恢复计划并严格执行，确保具备用户要求的及时恢复能力。6.3.4 及时响应用户部门对现有信息系统安全保护提出的疑惑、指出的漏洞及合理的信息系统安全保护要求，作出解决方案并落实具体措施。6.3.5 提供信息系统安全方面的培训，通过各种形式，不断加强宣传和教育，以增强用户部门和用户对信息系统安全的认识和重视程度。6.3.6 对内部审计部门、管理层或外部审计单位在正常情况下，提出的合理信息和信息系统安全审查要求，信息系统部应积极作好相应准备和配合工作，检查并确认必要的安全措施已有效地执行。7. 规定7.1 IT环境的物理安全IT环境的物理安全保护是保护信息系统安全的重要防线，应与相关部门联系，确保各项安全措施的到位。7.1.1 建立高度安全区域。信息系统部设立的高度安全区域包括，但不仅限于： 信息处理中心，UPS电源房、PABX机房等。 高度安全区域应配备完好的消防系统，温度/湿度调节系统，报警及闭路电视监控系统。 高度安全区域必须采取严格的进出控制及门警系统，除非有明确的工作需要并经授权，任何人不得出入高度安全区域。 任何来访者或供应商须在相关人员陪同下，才能进入高度安全区域。没有预先批准，不得参观高度安全区域。 必须严格遵守信息系统部制定的数据处理中心机房管理制度。7.1.2 保护计算机，其它相关设备及通讯设施的安全，禁止未经授权，私自动用，转移或破坏他人计算机(PC)、终端、介质、服务器、打印机、电话及语音信箱、传真机及其它电子设备。 用户可采用锁住键盘等控制措施以防止他人非法入侵。若较长时间不使用某种设备或介质（如磁盘等）时，应将其保存在安全的地方，如可上锁的橱柜或抽屉里。 因维修或其它用途而拆除存有信息的电子设备，如硬盘时，应完全销毁其存有的数据，并确保此信息不可能被恢复。 根据用户部门合理的要求，信息部应与各用户部门协调，适当保存一定的设备库存量，以应付紧急情况的需要。 用户须遵循以下规定：1、上海汽车工业（集团）总公司计算机及相关设备使用管理规定2、上海汽车工业（集团）总公司办公自动化用户管理条例7.2 登录权限控制7.2.1 登录权限申请和批准 任何人因工作需要，需登录和使用上汽集团的计算机系统和网络资源，包括数据、应用系统、操作系统，局域网、广域网等，须严格遵循申请和批准流程及相关条例。 在不违反公司相关保密制度的前提下，用户部门负责确定和批准用户申请的权限范围，上汽集团总裁办、信息系统部将审核此申请是否符合相关流程和规定，并按照申请进行技术处理。 用户因转岗、合同终止或其它原因需改变或取消其原先的权限，用户部门应同样遵守权限申请规定，以书面形式通知集团总裁办，信息系统部负责更改或取消其设定。 用户部门批准权限申请的负责人应定期， 至少一年一次审核并调整用户登录各系统的权限范围，对于重要的关键系统应至少每半年审核一次，信息系统部协助提供相关用户权限清单。7.2.2 权限控制 对用户用一一对应的识别和认证权限控制系统(如用户ID和密码)， 以阻止非法侵入，确保各级用户只能进入其授权使用的系统。 用户应建立良好的密码设定和保密习惯，基本要求如下：1） 由用户本人选择并严格保密。2） 在系统允许的范围内密码设定值一般不少于8位字符。3） 不要用本人工号、电话分机号、姓名、生日等易被猜测的字符做密码。4） 密码应定期更改，同一种密码在九个月内不要重复使用。5） 用户须牢记所设密码，不得以清晰的文本方式显示于计算机系统中或记录在公开的、易被他人察觉的地方。6） 任何记录有密码的文件、磁盘应放置于加锁的抽屉或保险柜中。 用户登录使用系统一但在一定时间内没有操作行为，系统会自动失效或要求用户重新输入用户ID及密码进行再次验证。时间间隔根据系统运行数据的重要等级而定。 系统保留一定期限内的所有登录记录。系统管理员、信息安全员或信息系统部指定的专人负责定期检查登录记录，检查频率依据系统的重要等级和具体监控工具而定。对于没有成功登录的尝试，应进一步检查登录人员和登录点，确认此登录的合法性。 若用户在90天内(至多)未登录过系统，该用户ID将自动失效。若用户连续六次登录系统不成功，用户ID将被自动锁住。 对于重要的文件目录、数据应有密码保护，并根据分工不同，附有创建、删除、只读及改写的权限设置。 对远程登录上汽集团计算机及网络系统应有严格的控制。系统应记录所有必要的远程登录日志，系统管理员和信息安全员至少每月进行一次检查，以防止黑客等非法入侵。 用户须遵循以下规定：1） 上海汽车工业（集团）总公司计算机及相关设备使用管理制度2） 上海汽车工业（集团）总公司办公自动化系统用户管理条例3） 上海汽车工业（集团）总公司关于进入公司计算机网络的规定4） 上海汽车工业（集团）总公司保密工作规定7.3 病毒防治计算机病毒会感染并破坏计算机系统及其运行的数据。为确保系统及数据的完整性和可用性，必须采取必要的病毒防治措施。 7.3.1 在个人计算机、服务器、工作站等计算机设备上安装防毒软件，并定期升级。每次启动系统时，防毒软件会检查是否有病毒。7.3.2 尽量使用写保护口的软盘；在使用及分发磁盘前，需检查是否有病毒；在重新利用旧磁盘时，应检查病毒情况或重新格式化。7.3.3 用户只能使用信息系统部指定的正版软件。若在上汽集团计算机平台上有特殊软件安装需求，须向上汽集团总裁办和信息系统部申报，在信息系统部对该软件进行杀毒测试后才能安装。7.3.4 指导用户不运行功能不明的程序软件，不看来历不明的电子邮件，尤其是所附的执行文件。7.3.5 定期备份PC及服务器上的数据。7.3.6 用户若发现有任何病毒感染的情况，应立即报告信息系统部，以及时采取措施。7.3.7 信息系统部将定期更新杀毒软件，并以邮件等形式通知用户可能的流行病毒，以引起警惕。参见计算机病毒防治管理流程7.4 网络安全控制和用户使用规范7.4.1 网络安全控制上汽集团的计算机网络，如局域网、广域网等，是计算机系统运作及数据传递的基础。信息系统部必须采取足够的、有效的措施保证网络的安全，确保公司内外信息沟通的正常进行。 确保网络、通信设备及其附件、通信线路(如路由器、交换机、集线器、 配线架、光纤、布线、接口、调制解调器等)的物理安全。监测设备运行情况，定期维护保养设备并作好记录和故障汇报工作。 关键的网络设备和线路，如生产网主干部分，采用冗余的网络设备备份。 所有网络资源的登录和使用须有权限设置，所有登录或配置更改行为须有记录。调查非法登录尝试，采取相应措施防止类似事件再次发生。 对于通过调制解调器或其它远程登录技术登录上汽集团的网络系统应有严格的权限控制，以减少非法入侵的可能。 根据上汽集团信息技术管理标准，对外的网络连接上采用防火墙、加密等措施实现权限控制。 至少每半年审核一次设定的防火墙规则，以确保防火墙规则的合理性和安全性。 采取合理的预防措施确保网络上传送的数据不会被截取或篡改。 制定并定期执行网络和系统的模拟攻击和监测计划，记录分析结果并提出相应改进建议，以减小网络漏洞和潜在的风险。 网络主管应提供准确的、详尽的上汽集团网络结构拓扑图及完整的说明文档，并及时更新。文档必须包括，但不仅限于：上汽集团计算机及通信网络的网络设备、具体地理位置、接入点、通讯协议、网络应用及相关安全性措施。7.4.2 用户使用规范用户在使用上汽集团网络时，也应明确其责任，个人的网络行为直接影响到公司网络的公共安全。 用户登录和使用上汽集团网络资源，必须通过规定的入网申请流程，未经信息系统部批准不得擅自接入任何设备。用户部门须尤其督促和监督供应商遵守这一规定。 采取病毒防治等安全措施以防止数据遭到破坏。特别警惕在使用外部网络资源，如下载文件时可能遇到的风险。 禁止用户通过网络，蓄意破坏上汽集团的计算机资源。 用户需严格遵守使用网络资源的具体规定和制度，包括但不仅限于：上海汽车工业（集团）总公司关于进入公司计算机网络的规定7.5 IT受控环境的更改控制为了维护IT受控环境的稳定性和完整性，确保一方的更改不会对其它各系统运行产生负面的影响，在对IT受控环境作任何更改前，必须严格执行更改控制流程中规定的每一步骤，以下几点尤为重要：7.5.1 无论是信息系统部或是用户部门，在进行更改前，必须填写更改申请单，通知相关领域并使他们理解该更改对他们产生的影响，并得到各领域同意此项更改的批准。7.5.2 相关领域必须对提出的更改要求和实施步骤作好完善的计划和准备工作，并由上汽集团总裁办和信息系统部管理层审核批准。在实施变更前，必须有完善的备份和恢复措施，一旦更改失败，可退回到原先正常运行状态。7.5.3 所有对IT受控环境的更改或新的开发，如操作系统更改，上汽集团内部新开发的软件应用等，在正式运用到生产环境以前，如条件允许，须先在测试环境下测试通过。7.5.4 所有更改须有书面的授权批准，并附有详尽的实施前后分析报告。7.6 合法使用正版软件7.6.1 上汽集团根据其软件合同，使用正版的、合法的计算机应用软件。信息系统部将根据业务需要，及时提供合法软件及足够数量的使用许可证(liscense)。7.6.2 若用户部门使用由供应商提供的第三方软件，应向供应商索取使用许可证；若用户部门使用供应商特别为上汽集团开发的应用程序，应向供应商索取源程序。7.6.3 上汽集团计算机硬件和软件仅用于支持上汽集团业务运作的需要。未经允许，用户不得私自将个人的PC、软件或磁盘等存储设备带进上汽集团工作场地，信息系统部也不对员工个人所有的软硬件提供服务。7.6.4 上汽集团员工须遵守上汽集团有关合法软件及使用许可证合同的规定。 信息系统部将定期检查或抽查用户合法软件使用情况，发现任何盗版等不合法行为将通报上汽集团总裁办，并酌情予以处理。7.7 灾难恢复及备份为了确保上汽集团各领域业务运作的持续性，缩短紧急情况或灾难发生后响应时间，上汽集团总裁办和信息系统部根据定义的重要等级，组织制定相应的灾难恢复和备份计划，以有效协调应急和恢复工作，降低恢复工作的难度和风险。7.7.1 灾难恢复 有效的灾难恢复及备份计划是根据系统、应用、数据的性质和关键程度，遭破坏后产生的影响大小以及生产或其它业务领域对响应时间的要求制定的，确保上汽集团对关键的系统有充分的恢复资源和保护措施，同时在成本上又有合理的控制。 灾难恢复计划由业务部门与信息系统部共同制定，需确定： 信息系统、应用及数据对各业务领域的影响和重要等级； 容许数据丢失的最长时间段和相应的备份频率； 容许系统、应用和数据瘫痪的最长时间段； 相应的应用软件和硬件的库存量； 紧急状态或灾难情况下，尤其是在处理系统恢复时，必要的业务运作后备方案； 灾难恢复的系统方法及具体实施步骤。 灾难恢复的具体要求需与供应商沟通、协调，以确保制定的灾难恢复计划是正确有效的，符合上汽集团信息系统持续运作的需要。 灾难恢复计划必须包括至少每年一次的测试计划。每次测试文档必须包括测试流程，测试前准备，测试后总结以及用户部门的反馈信息。 灾难恢复计划必须随系统、流程等需求改变而不断更新。更新的计划需通过信息系统部和用户部门管理层审批。7.7.2 备份 用户负责制定并定期执行用户自己PC上的数据备份计划。通过申请，用户也可以将重要的业务信息备份到部门文件服务器上(空间有限)。部门文件服务器的安全由信息系统部维护。 根据与用户部门共同划分的系统、应用、数据的重要等级，信息系统部负责制定公司级、部门级的系统、应用、数据制定备份计划并定期执行。 所有备份必须妥善放置于非工作区域。备份存储的地理位置必须与工作地有足够的距离，以防止同时遭到灾难性破坏。 所有备份的保留期限由信息系统部和业务部门根据重要性等级共同确定。 对于计算机和网络硬件、软件资源应有一定的备份，以确保应急措施和灾难恢复的及时进行。7.8 信息保存期限7.8.1 业务部门根据国家、地方法律法规的规定，上汽集团的规定及业务需要，制定相应的信息保存期限及存储形式。7.8.2 保存的信息应有足够的安全措施保障其可用性、完整性和保密性。7.8.3 过了保存期限的信息应及时销毁。销毁工作必须彻底以避免信息泄漏。7.8.4 业务部门应至少每年一次对以电子形式存放的信息保存期限进行检查和调整，确保合理利用计算机资源，保留且仅保留需要的信息。7.9 上汽集团的所有员工、现场支持人员或业务伙伴必须严格遵守上汽集团信息系统安全制度及相关支持性文件制度。若有违反上述规定，将取消其上汽集团计算机用户资格，并视具体情况按上汽集团有关奖惩条例进行处理。必要时，追究其法律责任。8. 存档文件文件/记录名称 保存期限 地点8.1 所有已批准的用户申请表 1年 总裁办公室8.2 备份计划及记录 1年 总裁办公室8.3 灾难恢复计划及记录 1年 总裁办公室8.4 保存期限记录 1年 总裁办公室9. 评审与更改 由总裁办公室对本文件的有效性、适用性进行定期评定， 期限为一年。10. 分发 本文件分发至上汽集团各部门。11. 附件 11.1 上海汽车工业（集团）总公司网站信息发布制度 第 29 页 共 29 页 上海汽车工业（集团）总公司内部控制手册 附件11.1 上海汽车工业（集团）总公司网站信息发布制度1.目的上海汽车工业（集团）总公司（以下简称：上汽集团）网站是上汽集团对外宣传的重要窗口之一，为了保证上汽集团网站信息更新发布的时效性和准确性，由上汽集团总裁办公室组织有关部门共同制定本制度，规范集团网站信息更新发布的工作流程。2.适用范围本文件适用于参与网站维护的上汽集团相关部门。3.权限上汽集团网站信息发布制度由总裁办公室编制，经上汽集团总裁办公会议审核通过。4.引用文件上海汽车工业(集团)总公司信息安全制度5.术语信息发布员：对本部门所负责的网站栏目进行信息搜集、整理、提交，并保证提交前所有信息通过适当审核的人员。网站信息发布记录：由人工或系统记录的网站每次程序或信息发布的及相关内容信息，发布记录的内容应包括：发布时间、发布人、发布文件类型、发布文件清单、更新栏目名称、发布目的服务名称或地址、发布目的环境名称、发布状态。6.责任6.1 总裁办公室的责任6.1.1 总体负责集团网站的管理工作。6.1.2 组织相关部门建立网站信息维护制度，同时保证制度的有效执行。6.1.3 定期对本制度进行适用性评审，并根据实际情况作适当调整。6.1.4 归档保存信息发布记录。6.2 部门领导及部门信息发布员的责任6.2.1 部门信息发布员通过适当渠道搜集整理相关信息，并将通过审核的信息提交至上汽信息进行发布操作，并保留发布信息的副本，以供日后查询。6.2.2 部门领导负责对需要发布的信息进行审核，以保证信息的安全性和准确性。6.3 上汽信息的职责6.3.1上海汽车工业信息产业投资有限公司（以下简称“上汽信息”）负责上汽集团网站的信息发布操作，并保证发布过程的时效性和正确性。6.3.2 定期向总裁办公室提交“网站信息发布记录”。7.规定7.1 信息发布的内容7.1.1根据网站栏目设置要求，定期向社会发布上汽集团动态新闻、新产品介绍、公司年报等信息，参见下表。栏目名称信息更新频率负责部门上汽集团公司介绍 1年总裁办组织结构1年总裁办领导成员1年总裁办企业文化1年宣传部发展历程1年总裁办公司年报1年总裁办联系方式1年总裁办新闻中心公司动态每周宣传部/汽车报产品展厅整车每季度质量与经济运行部零部件每季度零部件董事局服务贸易每季度规划部成员企业上市公司半年总裁办零部件每季度总裁办/零部件董事局服务贸易每季度总裁办/规划发展部人力资源人.策1年人力资源部鉴定中心每季度人力资源部启元HR咨询半年人力资源部博士后工作站1年人力资源部社会招聘即时人力资源部社会责任环境保护每季度质量与经济运行部新能源每季度规划部/F4燃料电池事业部获得奖项每季度总裁办世博赞助每月世博项目组7.2 信息发布的组织7.2.1 各部门应明确专人负责人信息发布工作，并指定熟悉相关业务知识的人员担任信息发布员，信息发布员负责本部门信息的收集、整理和提交工作。7.2.2 上汽信息应指定专人负责接收并发布各部门需要发布的信息。7.3 信息发布的流程各部门信息发布员根据各栏目信息更新要求，启动信息发布流程信息发布员通过适当渠道，搜集整理相关信息部门领导审核提交至上汽信息网站信息接收人员上汽信息将信息发布至网站测试环境内上汽信息通知相关部门在测试环境中对发布信息进行确认上汽信息将测试环境内信息发布至正式环境中，并确认发布成功，同时通知总裁办YYNN需要调整信息内容NY7.4 对违法本制度并造成严重后果的，须对当事人进行酌情处理。8.存档文件文件/记录名称 保存期限 地点8.1网站信息发布记录 1年 总裁办公室9.评审与更改 由总裁办公室对本文件的有效性、适用性进行定期评定， 期限为一年。10.分发本文件分发至参与网站维护的上汽集团相关部门。11.附件无。 上海汽车工业（集团）总公司内部控制手册 IC-1.0-02上海汽车工业（集团）总公司办公自动化用户管理办法1. 目的本条例用于管理和保护上海汽车工业（集团）总公司（以下简称：上汽集团）办公自动化系统。2. 适用范围 本文件适用于上汽集团各部门，上汽集团系统各企业参照执行。3. 权限 上汽集团信息安全制度由总裁办公室编制，经总裁办公会议批准通过。4. 引用文件 无5. 术语 无6. 责任办公自动化用户管理条例由总裁办公室负责制定，确保办公自动化系统正常运行。各部门及系统用户应严格遵守该条例。7. 规定7.1 硬件设备：7.1.1 台式计算机原则上只在上汽集团范围内使用。已投入使用的台式计算机设备的物理位置，包括网络通信连接线，不得随意作变动。若确有移动之需要，需向总裁办公室申请，经批准后才能实施。7.1.2 办公现场网络打印设备未经总裁办公室授权不得私自搬迁或移动位置。7.1.3 用户不得打开计算机等设备的机箱盖拔插或改变机内元器件。若有硬件故障，请及时和总裁办公室联系，不得擅自动手处理，以免造成更大损失。7.1.4 便携机用户应妥善保管好自己的计算机，确保计算机及存储信息的安全，防止遗失、被窃或被未经允许的人员使用。一旦计算机发生丢失，须立即通知总裁办公室，采取相应措施，注销用户帐号，确保公司办公自动化系统的安全，减少损失。7.1.5 非上汽集团的计算机，未经总裁办公室批准禁止接入公司网络。7.1.6 计算机的使用采取谁领用谁负责的原则，用户应爱护所用的公司计算机及外围设备，并承担日常清洁和保养工作，延长设备使用寿命。由于用户问题而造成计算机机械性损坏，将由用户个人自行承担全部维修费用。用户领用的设备丢失后，按公司财务部的相关规定处理。7.1.7 用户自签字领用计算机后，即对此计算机拥有使用权。用户之间不得随意掉换使用计算机，如确有需要，需填写“上汽集团信息资源需求申请表”，经总裁办公室批准后，由专人实施数据清除和设备更换。公司员工离职前，必须将登记使用的所有计算机设备上交公司指定的部门或人员，并及时通知总裁办公室相关人员予以收回。7.1.8 随设备一起购买的计算机，其系统配置需要满足上汽股份信息系统部(以下简称：信息部)标准客户端要求，所有信息设备的采购，须得到总裁办公室的批准。到货后，信息部需通知总裁办公室进行检查登记。7.1.9 用户不允许私自在办公环境内接装网络设备。7.1.10 经公司固定资产报废流程批准的计算机应交给总裁办公室，由信息部统一清除计算机硬盘中的数据后，交给公司指定的部门最终处理。7.2 软件环境: 7.2.1上汽集团办公自动化系统的操作系统和各类办公应用软件的选择、发布、安装和配置权归属总裁办公室，其他部门和个人无权私自发布安装任何形式的软件程序。所有操作系统软件和办公应用软件的版本，由总裁办公室统一规划和执行，在公司范围内保持一致。 7.2.2 一般用户对其使用的计算机只有User权限，如用户因工作需要安装客户端标准配置以外的软件，需要填写“上汽集团信息资源需求申请表”经总裁办公室批准后派专人进行安装。如用户使用的某些软件需要在PowerUser或Administrator权限下才能正常使用，用户需要勾选“上汽集团信息资源需求申请表”中相应的项目，经批准后将对该用户开放相应权限。信息部对这些用户的计算机进行定期或不定期的抽查。PowerUser或Administrator权限的用户在使用中有不规范的行为，信息系统部将没收其权限。 7.2.3用户不得在公司计算机中，以任何理由安装盗版和未获授权的软件及私人软件。禁止安装各类游戏软件或从英特网下载应用程序；用户也不得随意卸载已标准安装的软件。 7.2.4公司办公自动化系统的配置由信息部统一设定，用户无权擅自改变本人所用计算机的系统配置，如机器名、域名、网络通讯协议、IP地址等，以免造成网络冲突和干扰公司计算机系统的正常运行及管理。 7.2.5 若有违反以上条例的将酌情予以处罚，情节严重者作通报处理直至开除。7.3 电子邮件系统 7.3.1 系统概述上汽集团电子邮件系统为安全的开放式的Lotus Notes邮件系统, 对内覆盖所有拥有上汽集团邮件帐号的用户，对外可与Internet mail通信。 7.3.2 用户及权限上汽集团的每位正式员工经申请批准后可拥有一个相应邮件信箱和Notes标识 (ID) 文件，有权访问上汽集团的公共地址簿以及服务器上的其它公共共享数据库, 对内、对外收发电子邮件。 7.3.3 管理细则用户安全 每位用户的ID文件是服务器用来认证合法用户的重要文件，系统管理员将严格管理用户标识(ID)，保证每一位用户都有在服务器上注册的各自唯一的用户标识。同时每位用户必须妥善保护自己的id文件，对id文件进行必要的安全的备份。 用户应定时修改自己的电子邮件帐号密码，建议每90天修改一次，并且不与前次的密码相同。密码设定必须符合上海汽车工业（集团）总公司信息安全制度。例如，密码设定至少8位，建议数字与字母混合、大小写字符混合。密码不要使用自己或自己配偶的名字，不要使用自己的生日或电话号码， 不要使用“password”、“aaaaaaa1”这类简单易猜测的字符。牢记密码并安全保存之，不要将它写在公开的地方，例如PC机上或桌面上。 一旦发生用户标识文件丢失或被破坏及用户密码遗忘的情况，必须及时向信息部报告，然后由系统管理员协助安全恢复。 用户应定时备份 Lotus Notes 的系统文件：notes.ini, names.nsf, desktop.dsk以及其它用户自己认为重要的数据库文件。 用户的计算机必须安全放置。尤其是便携式计算机，必须防止被窃或被未经允许的人员使用。机器一旦遗失，应立即通知系统管理员以及时注销id文件，保护其在服务器上邮件箱的安全。系统安全 在本地做好自己信箱的复制，每天定时复制，尽量在本地信箱阅读信件，避免长时间地连接在邮件服务器上。 用户需及时清理服务器上的个人信箱，将毋需保留的信件，包括收到的和发出的信件及时删除，防止因信箱爆满而影响正常收发邮件。用户应定期进行将本地邮件信箱“归档”（Archive）工作， 或将需要归档的邮件复制到相关储存区域上，利用剥离(detach)或保存 (Save to folder)等方法合理存档。 尽量避免传递与工作无关的文件，禁止传递游戏文件，禁止传递带有病毒的文件和其它非法盗版软件。 接收到带有病毒的信件，须立即向系统管理员报告，在系统管理员的协助下清除病毒，以避免病毒在上汽集团电子邮件系统和网络中传播扩散 。严禁恶意传播带有病毒的邮件。 针对Internet邮件的发送和接收，有如下特殊规定：1. 每封邮件的附件大小不得超过5MB；2. 每封邮件所包含的附件不能多于10个；3. 每封邮件自身的大小不得大于8MB；4. 每封邮件的收件人地址不得超过10个；5 原则上禁止接收和发送后缀名为.MP3/.MPG/.MPEG/.AVI/.MOV/.ASF/.WAV/.WMV/.EXE/.BAT/.COM/.PIF/.VBS/.SCR的文件。若的确因业务需要使用，请依据相关流程按需申请；其它 用户不能泄漏上汽集团邮件服务器的拨号连接号码，以防止非法用户拨号登录而影响合法用户的正常登录。 在上汽集团内部传递邮件时，使用内部邮件地址，限制使用对外的 Internet 邮件地址。 7.4安全性: 7.4.1所有的办公自动化计算机均由信息部统一作安全性设置，任何人不得以任何借口私自修改该设置。 7.4.2信息部负责为上网用户开设用户帐号、设置初始密码和赋予相应的用户权限。用户需严格遵守一人一帐号制，不得使用他人账号，不得申请公用账号。 7.4.3用户必须使用本人的用户帐号登录办公局域网；不得向他人提供、泄露本人的用户帐号和密码，为非法用户盗用系统资源、信息资源，攻击系统安全提供便利。 7.4.4 VPN客户端程序只能安装在公司的计算机上。 7.4.5涉及公司机密的数据、信息及资料必须储存在保密储存区域，严禁储存在没有安全保护的个人计算机硬盘和相关介质中，以防泄密。 7.4.6 使用者短时间离开工作计算机时，必需锁定计算机屏幕；长时间离开或非办公时间应关闭计算机，切断电源。 7.4.7 信息部为所有计算机统一安装防病毒软件， 用户不得关闭计算机中运行的防毒进程。一旦发现无法清除的病毒应立即报告信息部。严禁强行带毒操作，危及自身和整个公司计算机系统安全。供应商电脑接入上汽集团网络需填写申请，客户端必须符合标准。由信息部确认防病毒软件和补丁安装情况后方可进入。一般情况下微软发布的新补丁由信息部发放供应商管理部门，遇到紧急情况信息部直接介入处理。 7.4.8 用户不得共享个人计算机上的任何资源 7.4.9 用户需对自己的重要数据进行定期备份。一旦硬盘发生故障，原则上不建议外送维修。 7.5 灾难恢复: 7.5.1用户必须明确灾难恢复重在事先的预防和必要的后备措施。灾难的成功恢复可以最大限度地减少意外事件，包括软、硬件故障造成的损失，确保公司的重要信息、数据、应用软件和系统运行保持其连续性和稳定性。 7.5.2计算机硬件设备故障、操作系统和应用软件故障的恢复由信息部负责；用户的重要数据、信息、资料文件原则上由用户自行维护、恢复。 7.5.3 所有重要的用户数据、信息、资料须有计划地定时备份在相关服务器上。 7.5.4部门级重要数据信息可由所在部门向总裁办公室申请，填写申请单，经批准后，存储在部门文件服务器上，申请部门同时需提供共享访问权限控制列表。信息部负责维护文件服务器上用户数据的安全性。用户访问权限包括： 无权访问(no access) 阅读权限(read only)，能阅读、拷贝文件，不能修改、 删除文件。 写权限(write)，能阅读、拷贝文件，并能对服务器上的文件进行修改、删除等操作。 7.6其他： 7.6.1总裁办公室对办公自动化系统专用应用软件或专用计算机设备所作的特别规定及其它补充规定和本条例具有同等效力，必须严格遵守。 7.6.2 违反以上任何一条条款，将依据相关条例进行处理。8. 存档文件 无9. 评审与更改 由总裁办公室对本文件的有效性、适用性进行定期评定， 期限为一年。10.分发 本文件分发至本上汽集团各部门。11.附件 无 上海汽车工业（集团）总公司内部控制手册 IC-5.0-01上海汽车工业（集团）总公司会计电算化内部管理办法1.0 为建立会计电算化岗位责任制，明确每个工作岗位的职责范围和内部制约制度的要求，对电算化会计岗位和工作职责进行划分，根据中华人民共和国会计法等有关法律法规，结合集团实际，特制订本办法。2.0 会计电算化操作管理制度应符合以下要求2.1 明确规定上机操作工作内容和权限；2.2 预防已输入计算机的原始凭证和记账凭证等会计数据未经审核而登记机内账簿；2.3 操作人员离开办公室前，应执行相应命令退出会计软件；2.4 由专人保存必要的上机操作记录。2.5集团的会计电算化操作制度应形成分工牵制的控制形式。企业出纳人员不得兼任电算化系统管理员，不得兼任记账凭证的审核工作。3.0 计算机硬件和软件及数据管理应符合以下要求：3.1 保证机房设备安全和计算机正常运行；3.2确保会计数据和会计软件的安全保密，防止对数据和软件的非法修改和删除；对磁性介质存放的数据要保存双备份；3.3对会计核算软件进行修改和升级等必须有审批手续，并采取替代性措施确保会计数据的连续性；3.4 健全计算机硬件和软件出现故障时进行排除的管理措施，保证会计数据的完整性；3.5 健全必要的防治计算机病毒的措施；3.6 使用的会计电算化软件必须通过财政部门的评审及验收；3.7 应具备计算机信息系统数据的灾难性恢复计划。4.0 电算化会计档案管理制度应符合以下要求：4.1电算化会计档案，包括存储在计算机硬盘中的会计数据以其它磁性介质或光盘存储的会计数据和计算机打印出来的书面等形式的会计数据；4.2 严格按照财政部有关规定的要求对会计档案进行专人负责管理；4.3对电算化会计档案管理要做好防磁、防火、防潮和防尘等工作，重要会计档案应准备双份，存放在两个不同的地点；4.4采用磁性介质保存会计档案，要定期进行检查，定期进行复制，防止由于磁性介质损坏，而使会计档案丢失。4.5所使用会计软件的全套文档资料以及会计软件程序，视同会计档案保管，保管期截止至该软件停止使用或有重大更改之后的五年。5.0 定期对电算化会计档案进行检查和复制，防止档案丢失。6.0 集团应当根据有关规定，结合具体情况，制定会计电算化账务处理制度，规范计算机信息技术环境下记账、算账、报账流程，提高会计信息处理效率，降低人为的会计舞弊风险。IC-5.0-02上海汽车工业（集团）总公司关于进入公司计算机网络的管理办法1. 目的为了使上海汽车工业（集团）总公司（以下简称：上汽集团）计算机网络安全运行，加强对进入上汽集团计算机网络用户的管理，保证上汽集团办公和业务活动的正常进行，特制定下列规定。2. 适用范围本文件适用于上汽集团各部门，上汽集团直接管理企业参照执行。3. 权限上汽集团信息安全制度由总裁办公室编制，经总裁办公会议批准通过。4. 引用文件 无5. 术语 无6. 责任6.1 用户任何使用上汽集团网络资源（包括上汽集团局域网和登录互联网）的用户，互联网用户和生产网络用户必须填写相应的用户申请表，参见附件1上汽集团信息资源需求申请表。6.2 信息系统部上汽股份信息系统部在技术上负责网络监管，杜绝违反规定的行为发生,保证网络安全性。 6.3 人力资源部若发现有任何人违反规定，上汽集团人力资源部应与其所在部门一起，按照上汽集团有关规定(如员工手册)进行行政处理。对情节恶劣、违反国家法律者要报请有关司法部门处理。7. 规定7.1 申请登录7.1.1 上汽集团的网络资源：上汽集团内部局域网，通过上汽集团局域网登录Internet，上汽集团VPN等。7.1.2 上汽集团员工按网络资源的申请流程（见7.1.4） 即可开通使用以上各项网络资源。7.1.3 非上汽集团员工原则上不能连入上汽集团局域网及生产网络。如有特殊需要，须填写相关的申请表单，并通过批准流程。7.1.4 申请步骤 申请人填写相应的申请表单Internet的申请：上汽集团信息资源需求申请表；VPN的申请：上汽集团信息资源需求申请表 申请部门领导批准由申请部门领导审核申请人员、申请内容和理由，并签字确认。 总裁办公室审核由总裁办公室审核申请内容是否符合集团相关规定，并签字确认。 信息系统部实施信息系统部根据申请内容进行实施。7.1.5 上汽集团员工计算机上安装的软件及配置由信息系统部统一规定，并由信息系统部负责安装。7.1.6 用户申请要求 上汽集团员工申请登录或将任何设备联接到上汽集团网络系统时，必须仔细阅读本规定，并签字承诺完全遵守本规定。 非上汽集团员工原则上不得登录上汽集团网络。 用户必须以自己身份证或护照的合法姓名（中文及拼音；无中文名的用户以英文名为准）向信息系统部申请用户名，登录网络和应用系统。如果出现重名，经信息系统管理部门认可，在姓名拼音后加部门缩写。 凡要进入上汽集团计算机网络的各类计算机或外部设备都必须向总裁办公室申请，填写相应申请表，得到信息系统部的检验确认，并由信息系统部分配给其登录办公网络的用户帐号和地址。禁止用户以他人或未经授权的地址或他人的帐号登录网络。 便携式设备以外的任何用户设备只能接在信息系统部指定授权的网络物理端口上工作。禁止擅自接入、增加和改动网络线路和网络设备。 因工作需要经批准临时接入网络的设备，一旦完成工作必须及时退出网络。如果需要延长使用期限，必须办理延长手续。7.2 网络用户基本要求7.2.1 申请进入上汽集团计算机网络的用户必须同时遵守上汽集团信息系统安全、办公自动化系统、电子邮件系统各个系统的有关制度和规定。7.2.2 用户必须自觉遵守国家有关法律、法规和上汽集团的行政规章制度，不得在网络上从事危害国家安全、泄漏国家和上汽集团秘密等非法活动，禁止在网络上传播与上汽集团业务无关的内容。如果发现此类信息需立即向主管部门报告。7.2.3 用户要遵守国际惯例，不得向他人发送恶意的、挑衅性或骚扰性的文件和商业广告。7.2.4 用户不得在网络上使用未经授权的和非法的软件。7.2.5 用户调离工作岗位或调离上汽集团必须及时报告信息管理协调员和总裁办公室，以及时调整和删除其原先所进入的相关应用系统。调离上汽集团者不得带走与上汽集团相关的任何数据资料（包括硬拷贝）。 7.3 网络用户安全性要求7.3.1 用户要自觉维护其在上汽集团网络、各应用系统中帐号密码的安全性，不得有意或无意泄露自己的帐号和密码给其他人。用户如果发现本人帐号或密码泄密，应立即报告总裁办公室及信息系统部。密码设置要求如下： 在系统允许的范围内密码设定值越长越好，一般不应少于8位字符。 不要用本人工号、电话分机号、姓名、生日等易被猜测的字符做密码。 密码应定时更改，期限最长不得超过天，同一密码在九个月内不得重复使用。 用户须牢记所设密码，不得以清晰的文本方式显示于计算机系统中或记录在公开的、易被他人察觉的地方。 任何记录有密码的文件、存贮介质(如移动硬盘、U盘等)应放置于加锁的抽屉或 保险柜中。7.3.2 病毒的防范和处理 用户不得以任何借口关闭计算机中运行的防毒进程。在使用任何非上汽集团来源的存贮介质(如移动硬盘、U盘等)时，必须先进行病毒清查作业，发现病毒或有可疑之 处进行杀毒，遇到无法清除的病毒应立即交信息系统部处理。严禁强行带毒操作，危及自身和整个上汽集团计算机系统安全。 严禁安装使用非法、盗版软件。未经信息系统部批准，用户不得私自安装各种软件，不得以任何借口破坏信息系统部预装在用户计算机内的安全性设置。 任何部门和用户需要在上汽集团计算机(包括服务器、工作站和PC机)上安装或 运行第三方提供的应用软件，须向总裁办公室及信息系统部申报备案并要求第三方提供软件许可证 (license)或第三方自行开发的源程序，并由信息系统部负责或监管此等软件的安装。未经申报备案和批准者，一经发现，按擅自使用非法软件行为处理。 信息系统部将不定期地对计算机用户进行抽查。违者，将通报总裁办公室取消其上网资格，没收计算机，并按有关规定进行处理。7.3.3 用户不得以任何方式试图进入未经授权的系统。任何这种行为都被视作窃密行为而受到惩处。7.3.4 用户如果发现自己无意中进入了与本人业务无关的应用系统，必须及时向总裁办公室及信息系统部相关管理人员报告。用户如果发现自己的计算机终端或工作的应用系统受到干扰或入侵时，要及时报告信息系统部。7.3.5 用户不得将自己计算机的资源（如文件、目录等）以