IT安全管理制度.doc

南京橙红科技股份有限公司目 次前 言41目的52适用范围53物理访问54逻辑访问55个人办公电脑及服务器安全66信息安全定期检查67服务及电子邮件安全78网络使用标准：79USB口使用标准：810附件：处罚制度说明8前 言为公司建立IT安全实施标准，以保护公司网络和计算机环境中的信息资产，特制订本制度。IT安全管理制度1 目的保障公司信息安全的机密性、完整性、可用性、抗抵赖性、可控性。保护信息免受各种威胁的损害。确保业务连续性，业务风险最小化。2 适用范围本标准适用于某某某公司(包括但不限于其所有控股子公司、办事处)的信息基础架构中所有的系统，公司的内部办公网络，包括广域网和办公局域网。3 物理访问1.1参照办公楼管理规定内的人员出入、物品出入规定执行。1.2打印、复印、传真使用者必须遵从打印、复印、传真管理制度4 逻辑访问2.1 控制用户身份识别和认证必须根据实际的访问要求，来控制内部系统访问权限，检查认证用户或者应用的身份合法性。2.2 用户的身份是通过为每个系统（操作系统、办公平台、硬件设备）的使用者分配唯一的系统标识来确定，并且每个用户拥有个人的密码，作为系统身份认证的依据。2.3 员工因离职、休假或业务变动不再需要访问系统，HR或部门经理必须通知系统负责人，系统负责人必须依据相应的流程终止该员工对系统的访问权限。(参见人事部门离职流程表)2.4 使用人不再使用该帐号，例如员工离职或退休，必须从系统中删除或禁用帐号、以及相关数据。(参见人事部门离职流程表)2.5 重要岗位员工离职，系统接替人员必须更改密码或删除原帐号。2.6 存储在公司内部服务器系统中的信息，除非得到该设备责任人的明确指示，否则不需要加密。2.7 系统负责人必须设置缺省保护功能来保障用户资源，禁止他人非法访问用户资源。2.8 普通用户不允许修改公用系统资源，例外情况需要该设备责任人明确批准。 5 个人办公电脑及服务器安全在公司运行的系统、应用和软件必须持有有效使用许可证明。 禁止非法拷贝或复制软件， 除非在许可条款上明确允许。5.1 为了更好的管理局域网内用户电脑，及时解决网络故障，病毒源，及时排除安全隐患等需求。所有计算机包括笔记本电脑机器名一律包含责任人工号制定。例如: 某某某的电脑名为 123如出现一个员工有两个或者以上电脑遵循 如下规则 123 -* 综合办IT运维人员有权限制不符合上述要求设备的网络等服务。如没有按照此规定设置电脑名并由于本人维护不当造成影响他人正常工作，给予E级处罚。5.2 办公电脑、公用电脑、安装软件出现的漏洞应及时安装补丁，不能处理的漏洞等问题应向综合办IT运维人员说明并做好记录。如由于上述问题而引发安全信息隐患则给予E级处罚，如由于上述原因造成了公司信息安全事故给予C级处罚。5.3 设置计算机开机口令 a) 设置系统登录口令 b) 设置系统屏幕保护口令 c) 激活屏幕保护的时间：5分钟。 d) 离开办公位时因对工作电脑进行锁屏。没有按照上述设置给予E级处罚。5.4 公司网络规划默认使用自动获取IP规则。员工不得擅自固定IP，如IP冲突影响他人正常工作，不服从综合办IT运维人员管理者给予E级处罚。5.5 如需要固定IP必须向综合办IT运维人员邮件申请，经过确认后由综合办IT运维人员负责分配固定IP使用，并做好记录，否则视为私自占用公司IP资源。给予E级处罚。5.6 个人电脑和服务器等设备必须安装附录1中提及软件。6 信息安全定期检查6.1. 每月定期随机抽查用户电脑，违规未安装者，给予B级处罚。所有用户必须安装且运行正常软件如下：软件名称安装要求备注说明（杀毒软件） 是否及时更新指定杀毒软件，不得安装其他杀毒软件Wsus安装且系统正常安装补丁操作系统自动分发补丁程序6.2. 所有电脑不得安装不符合公司要求，有害信息安全的软件，如：带病毒、侵害计算机安全软件，违反上述情况，无正当理由者，给予B级处罚。（个人办公电脑及服务器安全中所提及内容，如遇疑问或故障，应主动向综合办IT运维人员要求支持，否则造成不良后果均视为违规。）7 服务及电子邮件安全7.1 禁止在计算机上配置和提供无需验证的服务或包括但不限于FTP， TFTP， HTTP、DHCP，违反规定者则给予E级处罚。7.2 禁止利用电子邮件发送、群发或转发与工作内容无关的邮件，违反规定者则给予E级处罚。7.3 禁止将公司机密信息。通过邮件发送给与业务无关的单位或个人，违反规定者则给予B级处罚。7.4 如果业务需要群发工作邮件，则应避免发送大邮件，尽可能以内容链接的方式发送，违反规定造成网络或者邮件服务器堵塞者，给予E级处罚。8 网络使用标准：8.1 非特殊工作需要严禁使用外网或者非法代理上互联网。经发现给予C级处罚。8.2 如工作需要外网出口，必须提交申请同意后才能开通。开通出口后设备按照机房服务器管理办法实施。请参见IT业务申请。8.3 禁止私接网络设备到公司办公网络上（如：Hub、无线AP、Router、Modem、拨号服务器），如果有工作需要，请与综合办IT运维人员联系，必须经过项目经理和综合办IT运维人员确认后，记录设备编号责任人方可使用。请参见IT业务申请。如在使用过程中出现环路等不当操作造成楼层或者区域网络瘫痪，则给予E级处罚。8.4 员工必须严格按照公司要求内外网线路物理隔离的原则，严禁违反规定私接网线或网络设备造成网络安全隐患，经发现给与设备责任人或事故责任人D级处罚。8.5 严禁在公司办公网络中使用大流量的工具或程序（如：流量发生器、网络模拟程序）禁止在公司办公网络中使用网络流量监测、端口扫描、抓包等程序 经发现给与设备责任人或事故责任人D级处罚。8.6 严禁在公司使用基于互联网的Peer to Peer文件共享服务包括但不限于BT、电驴、迅雷。未经审批在公司使用非公司许可的即时通讯工具，包括但不限于QQ、SKYPE、FeiQ、飞鸽等，严禁在上班时间使用在线视频播放软件包括单不限于PPS、PPTV等经发现给与设备责任人或事故责任人D级处罚。9 USB口使用标准：7.1 严禁非工作需要时私自使用USB设备如：U盘、移动硬盘、mp3、手机等移动存储设备，拷贝公司电脑内的数据，违规者给予B级处罚。7.2 严禁私自利用设备、工具、或其他手段打开原禁止使用USB接口，和机箱锁。如发现给予设备责任人B级处罚。7.3 未经IT运维人员备案，严禁使用任何USB无线上网设备和其他方式登陆互联网，违规者给予设备责任人B级处罚。7.4