|
第一章 總則 數(shù)據(jù)是集團(tuán)重要的資產(chǎn)����。為保證信息的安全性、可靠性��、完整性和有效性,集團(tuán)制定和采取相應(yīng)管理制度, 進(jìn)行對(duì)信息的保護(hù),以避免其遭受外來的威脅和損害�,防止未經(jīng)授權(quán)地修改�����、泄漏和破壞。并為加強(qiáng)信息系統(tǒng)用戶賬號(hào)和權(quán)限的規(guī)范化管理,確保各信息系統(tǒng)安全、有序��、穩(wěn)定運(yùn)行,防范應(yīng)用風(fēng)險(xiǎn)�����。本制度適用于集團(tuán)內(nèi)所有員工�,所有員工應(yīng)明確本制度, 支持本制度, 并強(qiáng)制遵守���。本制度將作為員工遵守情況及復(fù)查的基本原則。違反本制度者經(jīng)查實(shí)將由集團(tuán)管理部門進(jìn)行處理, 可視其輕重處以紀(jì)律處分或解職�。信息管理部負(fù)責(zé)指導(dǎo)及協(xié)調(diào)本制度的實(shí)施,根據(jù)集團(tuán)實(shí)際業(yè)務(wù)發(fā)展?fàn)顩r����,信息管理部將在獲得集團(tuán)領(lǐng)導(dǎo)同意后酌情修正本制度���,以使其符合集團(tuán)的實(shí)際情況�����。信息管理部負(fù)責(zé)本制度的解釋及修正��。 第二章 數(shù)據(jù)安全管理規(guī)定適用于集團(tuán)在生產(chǎn)��、研發(fā)���、行政管理中形成的文件(如:合同�、圖紙����、技術(shù)報(bào)告�����、企業(yè)標(biāo)準(zhǔn)����、管理制度���、圖片、程序��、數(shù)模�、人事檔案�����、財(cái)務(wù)報(bào)告等)及模型����、樣機(jī)����、樣件等。2.1 新員工進(jìn)入集團(tuán)后�,由人力資源部組織進(jìn)行《保密制度》學(xué)習(xí)培訓(xùn),并簽訂《知識(shí)產(chǎn)權(quán)及保密協(xié)議》�����。 2.2 員工由于項(xiàng)目工作需要�,必須將數(shù)據(jù)攜帶外出�、復(fù)印、打印或者經(jīng)由電子郵件���、傳真發(fā)送���,必須由其主管項(xiàng)目經(jīng)理批準(zhǔn),并登記備案�。 2.3 集團(tuán)電腦配置實(shí)行一機(jī)一人,每臺(tái)電腦必須設(shè)置個(gè)人密碼��,任何人不得將個(gè)人密碼告訴他人����,否則后果自負(fù)�。因疏忽或無意泄漏集團(tuán)數(shù)據(jù)者,由集團(tuán)根據(jù)情節(jié)進(jìn)行處罰。 (二) 集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)管理辦法 1.1 綜合管理部是計(jì)算機(jī)系統(tǒng)主管部門,統(tǒng)—管理集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)���。 1.2 數(shù)據(jù)操作員負(fù)責(zé)集團(tuán)對(duì)外及外來光盤���、磁盤、電子郵件等電子文件傳遞的管理工作�。 1.3 網(wǎng)站管理員負(fù)責(zé)集團(tuán)內(nèi)、外網(wǎng)站服務(wù)器的維護(hù)管理工作����。 2.1 集團(tuán)內(nèi)各類計(jì)算機(jī)系統(tǒng)用戶,嚴(yán)禁運(yùn)行未經(jīng)檢驗(yàn)和來歷不明的軟件����,嚴(yán)禁在各自的計(jì)算機(jī)內(nèi)安裝與各自業(yè)務(wù)無關(guān)的軟件,嚴(yán)禁安裝運(yùn)行各種游戲軟件�,嚴(yán)禁將計(jì)算機(jī)系統(tǒng)口令和個(gè)人密碼告訴無關(guān)人員,未經(jīng)許可嚴(yán)禁將計(jì)算機(jī)交由外部門人員操作��。 2.2 集團(tuán)各計(jì)算機(jī)用戶應(yīng)確保各自計(jì)算機(jī)內(nèi)的數(shù)據(jù)資料的安全��。未經(jīng)許可����,任何人嚴(yán)禁擅自拷貝集團(tuán)數(shù)據(jù)���。綜合管理部切實(shí)做好數(shù)據(jù)的備份工作。 3.1 集團(tuán)內(nèi)各計(jì)算機(jī)用戶應(yīng)當(dāng)專人�����、專管����、專用����。 3.2 集團(tuán)預(yù)防計(jì)算機(jī)病毒選用的硬件、軟件必須是正版產(chǎn)品���。 3.3 對(duì)計(jì)算機(jī)安全運(yùn)行操作的具體要求: 3.3.1 謹(jǐn)慎地處理�����、使用共享軟件����。 3.3.2 新安裝系統(tǒng)要進(jìn)行檢驗(yàn)��。 3.3.3 外來電腦未經(jīng)許可不得聯(lián)入集團(tuán)網(wǎng)絡(luò)。 3.3.4 對(duì)軟盤����、U盤、移動(dòng)硬盤����、光盤實(shí)行管理,在使用外來軟盤���、U盤�、移動(dòng)硬盤���、光盤時(shí)�����,應(yīng)首先檢測(cè)其安全性�。 3.3.5 決不執(zhí)行不知來源的程序����。 3.3.6 系統(tǒng)中的數(shù)據(jù)要定期進(jìn)行備份。 3.3.7 禁止在工作場(chǎng)所安裝計(jì)算機(jī)游戲���,玩計(jì)算機(jī)游戲�。 3.3.8 計(jì)算機(jī)系統(tǒng)管理員定期檢查清除計(jì)算機(jī)游戲。 3.3.9 密切注意自用計(jì)算機(jī)的配置參數(shù)(如引導(dǎo)扇區(qū)�、中斷向量表、應(yīng)用程序長度�、執(zhí)行時(shí)間)和運(yùn)行情況,發(fā)現(xiàn)異常����,及時(shí)報(bào)告系統(tǒng)管理員,做出判斷和處理����。 3.4 確保殺毒軟件病毒特征碼的及時(shí)更新:由于病毒不斷發(fā)展變化����,要求計(jì)算機(jī)系統(tǒng)管理員密切注意所用殺毒軟件病毒特征碼的更新情況,做到及時(shí)更新�����。 3.5 防范病毒制度化:對(duì)各計(jì)算機(jī)系統(tǒng)���,尤其是服務(wù)器定期掃描殺毒��。 3.6 對(duì)新購計(jì)算機(jī)進(jìn)行病毒檢查�����,對(duì)新購軟件系統(tǒng)進(jìn)行病毒檢查����,計(jì)算機(jī)不得外借。 3.7 互聯(lián)網(wǎng)防毒的安全措施: 3.7.1不得進(jìn)入各“黑客”站點(diǎn)訪問�,不允許在局域網(wǎng)及Internet上使用“黑客”軟件,以防不明病毒���。 3.7.2不得打開不明Email��,不得通過Email下載軟件����,如發(fā)生不明情況應(yīng)及時(shí)向研究院知識(shí)工程及信息技術(shù)部報(bào)告����。 3.7.3嚴(yán)格限制遠(yuǎn)程訪問者的權(quán)限及認(rèn)證,以防不明攻擊及感染病毒�,特別限制匿名登陸。 4.1 對(duì)外拷貝軟盤���、U盤���、移動(dòng)硬盤����、光盤需經(jīng)相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)方可執(zhí)行����。 4.2 外來以軟盤、光盤為載體的文件進(jìn)入集團(tuán)計(jì)算機(jī)系統(tǒng)前�����,需如實(shí)登記����,并進(jìn)行病毒掃描后方可進(jìn)入��。 4.3 在集團(tuán)內(nèi)部���,網(wǎng)上電子文件允許下載��,但文件下載后一律視為非受控文件��,文件使用者有責(zé)任關(guān)注此文件的最新版本���,以保持此電子文件的現(xiàn)行有效性���。 4.4 集團(tuán)內(nèi)部禁止擅自使用各類盜版軟件,個(gè)人如私自傳入盜版軟件并使用�,由此造成的與知識(shí)產(chǎn)權(quán)相關(guān)的后果將由使用者本人負(fù)全責(zé)。(三)數(shù)據(jù)流出管理控制程序規(guī)定 適用于全集團(tuán)電子文檔數(shù)據(jù)的管理和備份歸檔的數(shù)據(jù)����。 2.1 數(shù)據(jù)流出的申請(qǐng)人負(fù)責(zé)填寫和完成審批。 2.2 集團(tuán)負(fù)責(zé)審批的人員負(fù)責(zé)審批各類需流通數(shù)據(jù)����,并負(fù)責(zé)必要的授權(quán)。 2.3 綜合管理部數(shù)據(jù)管理員負(fù)責(zé)確認(rèn)數(shù)據(jù)的真實(shí)性����,對(duì)符合要求的數(shù)據(jù)予以執(zhí)行操作。 2.3.1負(fù)責(zé)及時(shí)組織安排數(shù)據(jù)的備份及歸檔����。 2.3.2負(fù)責(zé)對(duì)各數(shù)據(jù)予以查毒處理。 2.3.3負(fù)責(zé)完成已審批數(shù)據(jù)的中轉(zhuǎn)、刻錄���、備份等�。 3.1.1 流出集團(tuán)數(shù)據(jù) 3.1.1.1 申請(qǐng)人填寫審批表���。 3.1.1.2知識(shí)工程及信息技術(shù)部操作員負(fù)責(zé)按表格審批內(nèi)容執(zhí)行操作����。 3.1.2數(shù)據(jù)流入���、中轉(zhuǎn) 3.1.2.1經(jīng)服務(wù)器中轉(zhuǎn)內(nèi)部的數(shù)據(jù)���,由數(shù)據(jù)流通員必須見到簽字后方可給予流通。 3.1.2.2對(duì)需要導(dǎo)入資料或軟件的員工����,應(yīng)自覺注意有關(guān)知識(shí)產(chǎn)權(quán)方面的問題,并不得將與工作無關(guān)及私人用途的數(shù)據(jù)導(dǎo)入集團(tuán)網(wǎng)絡(luò)����。 對(duì)于需要發(fā)出的數(shù)據(jù)��,項(xiàng)目經(jīng)理在簽字前����,應(yīng)檢查該數(shù)據(jù)是否為需要的數(shù)據(jù)���,有無多余數(shù)據(jù),是否遺漏數(shù)據(jù)��,即檢查數(shù)據(jù)的正確性��。 資料管理室負(fù)責(zé)備份數(shù)據(jù)的歸檔和保存����,提供歷史數(shù)據(jù)的查找和利用。 適用于公司開發(fā)和管理的各應(yīng)用信息系統(tǒng)����,包括OA協(xié)同辦公系統(tǒng)、ERP管理軟件�、財(cái)務(wù)軟件、企業(yè)郵箱及網(wǎng)站系統(tǒng)等���。用戶:被授權(quán)使用或負(fù)責(zé)維護(hù)應(yīng)用信息系統(tǒng)的人員����。用戶賬號(hào):在應(yīng)用信息系統(tǒng)中設(shè)置與保存、用于授予用戶合法登陸和使用應(yīng)用信息系統(tǒng)等權(quán)限的用戶信息���,包括用戶名����、密碼以及用戶真實(shí)姓名�、單位、聯(lián)系方式等基本信息內(nèi)容���。權(quán)限:允許用戶操作應(yīng)用信息系統(tǒng)中某功能點(diǎn)或功能點(diǎn)集合的權(quán)力范圍�����。角色:應(yīng)用信息系統(tǒng)中用于描述用戶權(quán)限特征的權(quán)限類別名稱����。系統(tǒng)管理員主要負(fù)責(zé)應(yīng)用信息系統(tǒng)中的系統(tǒng)參數(shù)配置����,用戶賬號(hào)開通與維護(hù)管理、設(shè)定角色與權(quán)限關(guān)系��,維護(hù)行政區(qū)劃和組織機(jī)構(gòu)代碼等數(shù)據(jù)字典����,系統(tǒng)日志管理以及數(shù)據(jù)管理等系統(tǒng)運(yùn)行維護(hù)工作。指由系統(tǒng)管理員在應(yīng)用信息系統(tǒng)中創(chuàng)建并授權(quán)的非系統(tǒng)管理員類用戶���,擁有在被授權(quán)范圍內(nèi)登陸和使用應(yīng)用信息系統(tǒng)的權(quán)限��。3.2 用戶角色與權(quán)限關(guān)系- 應(yīng)用信息系統(tǒng)中對(duì)用戶操作權(quán)限的控制是通過建立一套角色與權(quán)限對(duì)應(yīng)關(guān)系��,對(duì)用戶賬號(hào)授予某個(gè)角色或多個(gè)角色的組合來實(shí)現(xiàn)的��,一個(gè)角色對(duì)應(yīng)一定的權(quán)限(即應(yīng)用信息系統(tǒng)中允許操作某功能點(diǎn)或功能點(diǎn)集合的權(quán)力)���,一個(gè)用戶賬號(hào)可通過被授予多個(gè)角色而獲得多種操作權(quán)限。
- 為實(shí)現(xiàn)用戶管理規(guī)范化和方便系統(tǒng)維護(hù)��,公司各應(yīng)用信息系統(tǒng)應(yīng)遵循統(tǒng)一的角色與權(quán)限設(shè)置規(guī)范��,在不同的應(yīng)用信息系統(tǒng)中設(shè)置的角色名稱及對(duì)應(yīng)的權(quán)限特征���,應(yīng)遵循權(quán)限設(shè)置規(guī)范基本要求�����。
- 由于不同的應(yīng)用信息系統(tǒng)在具體的功能點(diǎn)設(shè)計(jì)和搭配使用上各不相同���,因此對(duì)角色的設(shè)置以及同樣的角色在不同應(yīng)用信息系統(tǒng)中所匹配的具體權(quán)限范圍可能存在差異�,所以每個(gè)應(yīng)用信息系統(tǒng)應(yīng)分別制定適用于本系統(tǒng)的權(quán)限設(shè)置規(guī)范���。
3.3 用戶賬號(hào)實(shí)名制注冊(cè)管理為保證應(yīng)用信息系統(tǒng)的運(yùn)行安全和對(duì)用戶提供跟蹤服務(wù)����,各應(yīng)用信息系統(tǒng)用戶賬號(hào)的申請(qǐng)注冊(cè)實(shí)行“實(shí)名制”管理方式��,即在用戶賬號(hào)申請(qǐng)注冊(cè)時(shí)必須向信息系統(tǒng)管理部門提供用戶真實(shí)姓名����、隸屬單位與部門、聯(lián)系方式等真實(shí)信息����。任何一個(gè)用戶賬號(hào)的申請(qǐng)與開通均須經(jīng)過集團(tuán)統(tǒng)一制定的賬號(hào)申請(qǐng)與審批備案管理流程,且一個(gè)用戶在同一個(gè)應(yīng)用信息系統(tǒng)中只能注冊(cè)和被授予一個(gè)用戶賬號(hào)����。集團(tuán)各應(yīng)用信息系統(tǒng)的用戶賬號(hào)及角色權(quán)限的申請(qǐng)開通、注銷和密碼初始化等賬號(hào)管理工作均使用集團(tuán)統(tǒng)一制定的《用戶賬號(hào)申請(qǐng)單》辦理���?��!队脩糍~號(hào)申請(qǐng)單》包括三部分填寫內(nèi)容:其中(1)申請(qǐng)人情況和(2)賬號(hào)申請(qǐng)情況兩部分由申請(qǐng)人填寫����;(3)受理部門意見由受理部門填寫。用戶權(quán)限的申請(qǐng)應(yīng)嚴(yán)格參照各應(yīng)用信息系統(tǒng)制定的《應(yīng)用信息系統(tǒng)角色與權(quán)限關(guān)系對(duì)照表》中對(duì)不同級(jí)別和類型用戶的角色權(quán)限配置要求執(zhí)行���,不得越級(jí)或超范圍申請(qǐng)����。各應(yīng)用信息系統(tǒng)的賬號(hào)申請(qǐng)一般由該部門的負(fù)責(zé)人審批��,審批同意后提交該系統(tǒng)的系統(tǒng)管理員負(fù)責(zé)開通賬號(hào)�。對(duì)有特別安全等級(jí)保護(hù)要求的應(yīng)用信息系統(tǒng)以及各應(yīng)用信息系統(tǒng)中的系統(tǒng)管理員,還需通過受理部門的主管領(lǐng)導(dǎo)審批���。原則上應(yīng)用信息系統(tǒng)主管部門應(yīng)在收到《用戶賬號(hào)申請(qǐng)單》后才能進(jìn)行審批和開通賬號(hào)���。特殊情況下���,經(jīng)部門負(fù)責(zé)人和受理部門主管領(lǐng)導(dǎo)書面同意后,可采取事后審查的方式��,先開通賬號(hào)����,但自賬號(hào)開通日起超過1個(gè)月仍未收到《用戶賬號(hào)申請(qǐng)單》的,系統(tǒng)管理員有權(quán)對(duì)該賬號(hào)采取暫時(shí)停用措施���。凡需要使用應(yīng)用信息系統(tǒng)的用戶����,每人均須按照“實(shí)名制”方式申請(qǐng)一個(gè)僅限本人使用的用戶賬號(hào)�。不同用戶的用戶賬號(hào)彼此之間不得隨意借用,因某用戶賬號(hào)的操作而造成應(yīng)用信息系統(tǒng)中數(shù)據(jù)信息或任何系統(tǒng)功能等方面的改變或后果���,均由擁有該用戶賬號(hào)的用戶負(fù)責(zé)���。如果某用戶因工作調(diào)動(dòng)或其它原因而不允許繼續(xù)使用某應(yīng)用信息系統(tǒng)時(shí),其隸屬的原工作單位應(yīng)督促和確保該用戶離職前及時(shí)申請(qǐng)注銷相關(guān)用戶賬號(hào);不論原用戶是否知曉或同意���,均禁止將其原賬號(hào)轉(zhuǎn)交其他人員繼續(xù)使用���。設(shè)置用戶密碼是用戶登陸應(yīng)用信息系統(tǒng)時(shí)身份合法性認(rèn)證的重要手段�����,用戶密碼的設(shè)置應(yīng)盡量復(fù)雜化��,不易被他人推測(cè)����,密碼長度一般不少于6位�����,并做到定期更換新密碼�����。密碼遺忘時(shí)可向系統(tǒng)管理員申請(qǐng)密碼初始化修復(fù)���。若發(fā)現(xiàn)賬號(hào)密碼泄露,用戶須立即報(bào)告系統(tǒng)管理員及時(shí)采取停用賬號(hào)措施,并在報(bào)告后的24小時(shí)內(nèi)向該信息系統(tǒng)主管部門提交書面報(bào)告����,說明詳細(xì)情況���,以便系統(tǒng)主管部門協(xié)助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運(yùn)行情況,采取有效補(bǔ)救措施將危害程度降至最低��。第四章 附則 本制度自頒發(fā)之日起執(zhí)行����。
本制度由信息管理部負(fù)責(zé)修訂、培訓(xùn)����、實(shí)施及檢查。 編碼: 214061994 長按識(shí)別二維碼下載文檔 【回復(fù)關(guān)鍵字 制度 可查詢相關(guān)文檔約200個(gè)】 【回復(fù)關(guān)鍵字 信息安全 可查詢相關(guān)文檔約300個(gè)】
|
