清禄信息和技术安全.doc

莆田市协诚鞋业有限公司文件名称:信息和技术安全文件编号:生效日期:2012.03.01版 本/次:A/0制订单位:页 数:5核准:审核:制订:信息安全管理1. 目的为加强信息安全保护工作，保障信息安全，根据有关法律、法规，制定本规定.2.范围：公司内所有计算机和系统使用者必须学习并依此规定使用系统.3.权责信息安全管理:行政事务部4.程序4.1 总则 4.1.1不论员工还是各高层领导都应建立高度的信息安全防范意识，公司领导应督导此安全管理条例的执行状况，并定期和信息部等相关部门开会检讨信息安全工作的得失.4.1.2本规定所称信息安全,包括网络安全,信息设备安全,信息系统安全,数据安全.4.2安全人员管理4.2.1本规定所称安全人员，通常指系统管理员；安全行政事务部门指信息部或行政事务部行政事务部4.2.2安全人员应定期参加信息安全知识和技能的培训,定期接受adidas C-TPAT、CDS及职业道德和安全保密教育.4.2.3安全人员职责 4.2.3.1拟订信息安全总体规划和信息安全管理制度，并监督执行.4.2.3.2跟踪先进的安全技术，提出信息安全防范策略4.2.3.3组织公司内部信息安全知识的培训和宣传工作4.2.3.4安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务4.3信息系统要害岗位人员管理4.3.1人员管理 4.3.1.1本规定所称信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理员、网络系统管理员、系统维护员、业务操作员等岗位人员。4.3.1.2要害岗位人员上岗前必须接受安全行政事务部门的安全审查，如犯罪记录调查等4.3.1.3要害岗位人员离职后，必须即刻更换操作密码或注销使用者帐户4.3.2安全责任 A/14.3.2.1系统管理员安全责任4.3.2.1.1负责系统的运行管理，实施系统安全运行细则4.3.2.1.2严格使用者权限管理，维护系统安全正常运行4.3.2.1.3对进行系统操作的其它人员予以安全监督4.3.2.2网络系统管理员安全责任4.3.2.2.1负责网络的运行管理，实施网络安全性原则和安全运行细则4.3.2.2.2安全配置网络参数，严格控制网络使用者存取权限，维护网络安全正常运行4.3.2.2.3监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件4.3.2.2.4对操作网络管理功能的其它人员进行安全监督A/14.3.2.3.3不得对系统设置“后门”4.3.2.3.4对系统核心技术保密4.3.2.4系统维护员安全责任4.3.2.4.1负责系统维护，及时解除系统故障，确保系统正常运行；4.3.2.4.2不得擅自改变系统功能4.3.2.4.3不得安装与系统无关的其它计算机程序；4.3.2.4.4维护过程中，发现安全性漏洞应及时报告信息安全人员。4.3.2.5业务操作员安全责任4.3.2.5.1严格执行系统操作规程和运行安全管理制度4.3.2.5.2不得向他人提供自己的操作密码4.3.2.5.3及时向系统管理员报告系统各种异常事件4.4计算机机房安全管理 4.4.1机房建设安全管理4.4.1.1机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离4.4.1.2机房建设应当符合下列基本安全要求4.4.1.2.1机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施4.4.1.2.2机房应安装门禁系统/报警系统4.4.1.2.3机房应设专用的供电系统，配备必要的UPS等续电设备4.4.2机房运行安全管理 4.4.2.1 机房是重点保护的要害部位，信息部应建立健全严格的机房安全管理制度，并定期检查制度执行情况4.4.2.2计算机机房实行分区管理原则,各分区设定不同的门禁权限4.4.2.3加强进出机房人员管理,禁止未经批准的外部人员进入机房， 外来人员进出机房还须办理登记手续，并由专人陪同4.5网络安全管理4.5.1网络运行安全管理 4.5.1.1重要网络设备应放置在主机房内，由网络系统管理员负责管理，其它人员不得对网络设备进行任何操作4.5.1.2网管设备属专管设备，必须严格控制其管理员密码4.5.1.3 网络管理人员应随时监测和定期检查网络运行状况，对网络扫描、监测结果和网络运行等日志等重要信息应备份存储4.5.2互联网接入管理 4.5.2.1内部网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离4.5.2.2凡要求接入国际互联网的计算机，须由使用部门提出申请，报信息部审批、备案4.5.2.3从国际互联网上下载的任何信息资源，未经检测不得在公司内网上使用4.5.2.4各使用部门应自觉接受信息安全行政事务部门的监督检查4.6信息系统安全管理 4.6.1系统安全运行基本要求 4.6.1.1信息部对信息系统的使用建立相应安全操作规程与规章制度4.6.1.2信息系统的运行场所应满足相应的安全等级要求4.6.1.3重要信息系统均应配备磁带机，磁带库等各种备份设备和设施4.6.2系统数据的安全管理 4.6.2.1信息部应按规定进行数据备份，并检查备份介质的有效性。4.6.2.2信息部应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性4.6.2.3重要信息系统使用的计算机设备更换或报废时，应彻底清除相关业务信息，并拆除所有相关的涉密选配件.4.6.3系统运行平台的安全管理4.6.3.1系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准4.6.3.2系统管理人员应及时安装正式发布的系统补丁，修补系统存在的安全性漏洞4.6.3.3系统管理人员应启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况4.6.4口令密码安全管理 4.6.4.1系统操作人员的权限需填写“权限新增申请单”等方式申请，经审批方可获得,且需单人独享使用.4.6.4.2信息系统的口令密码编制应具有一定的复杂性，密码不少于6位数，由字母，数字和符号组成4.6.4.3信息系统的口令密码，应定期或不定期进行更换，系统规定每90天更换一次，3次无效登入后账号将被锁定A/14.6.5系统的安全监测 4.6.5.1系统管理员要经常监测、分析信息系统运行状况，发现异常情况应立即采取应对措施。4.6.5.2业务操作人员应审查业务处理结果，发现问题应及时查明原因。对不能确认的异常现象，必须向信息部报告4.6.5.3对信息系统安全运行的监测记录及其分析结果应遵循ISO9000相关条例进行严格归档管理4.6.6系统违规处罚条例明细4.6.6.1操作用户没定期修改个人密码等操作款项,账号被销,需写账号修改/新增申请单嶷各级主管审批后方可重新使用本人账号.4.6.6.2员工用自己工号在系统中误操作修改数据,依情节呈报该部门主管或行政事务部,给予该案中头警告或警告处罚4.6.6.3 非要害岗位人员盗用他人工号或利用本人工号乱改系统数据,依情节呈报行政事务部和该部门主管,行政事务部依据公司管理规章给予该案警告、记过、记大过、开除或送公安局等处罚. 4.6.6.4 公司要害岗位人员利用职务便利违反修改系统数据,依情节呈报行政事务部或信息主管,行政事务部依据公司管理规章给予该案记过、开除或送公安局等处罚.A/1 4.7个人计算机安全管理 4.7.1集团内所有计算机用户，在上岗前需接受信息安全政策培训，遵循计算机和系统使用的相关规定4.7.2各部门必须对每部计算机确定明确的保管人和责任人4.7.3私人笔记型计算机需依规定经信息部登记备案后方可带入公司内使用4.7.4信息部应对使用者计算机的CMOS设置密码保护，使用者对计算机设定开机密码4.7.5计算机的IP地址及网络参数，须按照公司网络管理规范围进行设置，非系统管理人员不得修改。4.7.6计算机需设定屏保密码，在一段时间不用后能自动上锁。4.7.7信息系统的操作人员在不用或离开计算机时，必须先注销相关系统权限，以防被他人盗用4.7.8使用者不得随意打开数据夹的网络共享，特殊情况需使用时，应设定严格的密码保护。4.7.9使用者不得在公司内使用具有数据存储功能的USB型数码产品；针对公司内计算机的USB接口，信息部需进行封锁和管理不得随意开放.4.8重大安全事件处理4.8.1非法侵入、破坏信息系统或计算机犯罪案件以及造成不良社会影响的信息安全事故，属重大安全事件4.8.2确认信息系统出现重大安全事件，必须果断采取控制措施，立即报告安全行政事务部门,并逐级如实上报公司主管4.8.3重大安全事件发生后，有关人员应保护事件现场，积极协助信息安全事件的