IT安全管理制度

1、共享知識分享快樂盛年不重來，一日難再晨。及時宜自勉，歲月不待人。南京橙紅科技股份有限公司目 次前言21 目的22 適用范圍23 物理訪問24 邏輯訪問35 個人辦公電腦及服務(wù)器安全 36 信息安全定期檢查 47 服務(wù)及電子郵件安全 48 網(wǎng)絡(luò)使用標準： 59 USB 口使用標準： 510 附件：處罰制度說明 6卑微如蜷蟻、粵劉歡象為公司建立IT安全實施標準，以保護公司網(wǎng)絡(luò)和計算機環(huán)境中的信息資產(chǎn)，特制訂 本制度。IT安全管理制度i目的保障公司信息安全的機密性、完整性、可用性、抗抵賴性、可控性。保護信息免受 各種威脅的損害。確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險最小化。2適用范圍本標準適用于某某某公司（包括但

2、不限于其所有控股子公司、辦事處）的信息基礎(chǔ)架構(gòu)中所有的系統(tǒng)，公司的內(nèi)部辦公網(wǎng)絡(luò)，包括廣域網(wǎng)和辦公局域網(wǎng)。3物理訪問1.1參照辦公樓管理規(guī)定內(nèi)的人員出入、物品出入規(guī)定執(zhí)行。1.2打印、復(fù)印、傳真使用者必須遵從打印、復(fù)印、傳真管理制度卑微如錢蛟、豎雖似大象4邏輯訪問2.1控制用戶身份識別和認證必須根據(jù)實際的訪問要求，來控制內(nèi)部系統(tǒng)訪問權(quán)限，檢 查認證用戶或者應(yīng)用的身份合法性。2.2用戶的身份是通過為每個系統(tǒng)（操作系統(tǒng)、辦公平臺、硬件設(shè)備）的使用者分配唯 一的系統(tǒng)標識來確定， 并且每個用戶擁有個人的密碼，作為系統(tǒng)身份認證的依據(jù)。2.3員工因離職、休假或業(yè)務(wù)變動不再需要訪問系統(tǒng)，HR或部門經(jīng)理必須通知

3、系統(tǒng)負責(zé)人，系統(tǒng)負責(zé)人必須依據(jù)相應(yīng)的流程終止該員工對系統(tǒng)的訪問權(quán)限。（參見人事部門離職流程表）2.4 使用人不再使用該帳號，例如員工離職或退休，必須從系統(tǒng)中刪除或禁用帳號、以及 相關(guān)數(shù)據(jù)。（參見人事部門離職流程表）2.5重要崗位員工離職，系統(tǒng)接替人員必須更改密碼或刪除原帳號。2.6存儲在公司內(nèi)部服務(wù)器系統(tǒng)中的信息，除非得到該設(shè)備責(zé)任人的明確指示，否則不 需要加密。2.7系統(tǒng)負責(zé)人必須設(shè)置缺省保護功能來保障用戶資源，禁止他人非法訪問用戶資源。2.8普通用戶不允許修改公用系統(tǒng)資源，例外情況需要該設(shè)備責(zé)任人明確批準。5個人辦公電腦及服務(wù)器安全在公司運行的系統(tǒng)、應(yīng)用和軟件必須持有有效使用許可證明。禁止

4、非法拷貝或復(fù)制軟件，除非在許可條款上明確允許。5.1為了更好的管理局域網(wǎng)內(nèi)用戶電腦，及時解決網(wǎng)絡(luò)故障，病毒源，及時排除安全隱患等需求。所有計算機包括筆記本電腦機器名一律包含責(zé)任人工號制定。例如：某某某的電腦名為123如出現(xiàn)一個員工有兩個或者以上電腦遵循如下規(guī)則123 -* 綜合辦IT運維人員有權(quán)限制不符合上述要求設(shè)備的網(wǎng)絡(luò)等服務(wù)。如沒有按照此規(guī)定設(shè)置電腦名并由于本人維護不當(dāng)造成影響他人正常工作，給予E級處罰。5.2辦公電腦、公用電腦、安裝軟件出現(xiàn)的漏洞應(yīng)及時安裝補丁，不能處理的漏洞等問題應(yīng)向綜合辦IT運維人員說明并做好記錄。如由于上述問題而引發(fā)安全信息隱患則給予E級處罰，如由于上述原因造成了公

5、司信息安全事故給予C級處罰。5.3設(shè)置計算機開機口令 a）設(shè)置系統(tǒng)登錄口令b）設(shè)置系統(tǒng)屏幕保護口令c）激活屏卑微如蜷蟻堅強大象幕保護的時間：5分鐘。d）離開辦公位時因?qū)ぷ麟娔X進行鎖屏。沒有按照上述設(shè)置 給予E級處罰。5.4公司網(wǎng)絡(luò)規(guī)劃默認使用自動獲取IP規(guī)則。員工不得擅自固定IP,如IP沖突影響他人正常工作，不服從綜合辦IT運維人員管理者給予E級處罰。5.5如需要固定IP必須向綜合辦IT運維人員郵件申請， 經(jīng)過確認后由綜合辦IT運維人員負 責(zé)分配固定IP使用，并做好記錄，否則視為私自占用公司IP資源。給予E級處罰。5.6個人電腦和服務(wù)器等設(shè)備必須安裝附錄1中提及軟件。6信息安全定期檢查6.1

6、.每月定期隨機抽查用戶電腦，違規(guī)未安裝者，給予B級處罰。所有用戶必須安裝且運行正常軟件如下:軟件名稱安裝要求備注說明（殺毒軟件）是否及時更新指定殺毒軟件，不得安裝其他殺毒軟件Wsus安裝且系統(tǒng)正常安 裝補丁操作系統(tǒng)自動分發(fā)補丁程序6.2.所有電腦不得安裝不符合公司要求，有害信息安全的軟件，女口：帶病毒、侵害計算機安全軟件，違反上述情況，無正當(dāng)理由者，給予B級處罰。（個人辦公電腦及服務(wù)器安全中所提及內(nèi)容，如遇疑問或故障，應(yīng)主動向綜合辦IT運維人員要求支持，否則造成不良后果均視為違規(guī)。）7服務(wù)及電子郵件安全7.1禁止在計算機上配置和提供無需驗證的服務(wù)或包括但不限于FTP, TFTP, HTTP D

7、HCP,違反規(guī)定者則給予 E級處罰。7.2禁止利用電子郵件發(fā)送、群發(fā)或轉(zhuǎn)發(fā)與工作內(nèi)容無關(guān)的郵件，違反規(guī)定者則給予E級處罰。卑微如魅蛟、粵囲以大象共享知識分享快樂7.3禁止將公司機密信息。通過郵件發(fā)送給與業(yè)務(wù)無關(guān)的單位或個人，違反規(guī)定者則給予 B級處罰。7.4如果業(yè)務(wù)需要群發(fā)工作郵件，則應(yīng)避免發(fā)送大郵件，盡可能以內(nèi)容鏈接的方式發(fā)送，違反規(guī)定造成網(wǎng)絡(luò)或者郵件服務(wù)器堵塞者，給予E級處罰。8網(wǎng)絡(luò)使用標準:8.1非特殊工作需要嚴禁使用外網(wǎng)或者非法代理上互聯(lián)網(wǎng)。經(jīng)發(fā)現(xiàn)給予C級處罰。8.2如工作需要外網(wǎng)出口，必須提交申請同意后才能開通。開通出口后設(shè)備按照機房服務(wù)器管理辦法實施。請參見IT業(yè)務(wù)申請。8.3禁止

8、私接網(wǎng)絡(luò)設(shè)備到公司辦公網(wǎng)絡(luò)上（如：Hub、無線AP、Router、Modem、撥號服務(wù)器），如果有工作需要，請與綜合辦IT運維人員聯(lián)系，必須經(jīng)過項目經(jīng)理和綜合辦IT運維人員確認后，記錄設(shè)備編號責(zé)任人方可使用。請參見IT業(yè)務(wù)申請。如在使用過程中出現(xiàn)環(huán)路等不當(dāng)操作造成樓層或者區(qū)域網(wǎng)絡(luò)癱瘓，則給予E級處罰。8.4員工必須嚴格按照公司要求內(nèi)外網(wǎng)線路物理隔離的原則，嚴禁違反規(guī)定私接網(wǎng)線或網(wǎng)絡(luò)設(shè)備造成網(wǎng)絡(luò)安全隱患，經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任人或事故責(zé)任人D級處罰。8.5嚴禁在公司辦公網(wǎng)絡(luò)中使用大流量的工具或程序（如:流量發(fā)生器、網(wǎng)絡(luò)模擬程序）禁止在公司辦公網(wǎng)絡(luò)中使用網(wǎng)絡(luò)流量監(jiān)測、端口掃描、抓包等程序經(jīng)發(fā)現(xiàn)給與設(shè)備

9、責(zé)任人或事故責(zé)任人D級處罰。8.6嚴禁在公司使用基于互聯(lián)網(wǎng)的 Peer to Peer文件共享服務(wù)包括但不限于 BT、電驢、迅 雷。未經(jīng)審批在公司使用非公司許可的即時通訊工具，包括但不限于QQ、SKYPEFeiQ、飛鴿等，嚴禁在上班時間使用在線視頻播放軟件包括單不限于PPS PPTV等經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任人或事故責(zé)任人D級處罰。9 USB 口使用標準:7.1嚴禁非工作需要時私自使用USB設(shè)備如：U盤、移動硬盤、 mp3、手機等移動存儲設(shè)備，拷貝公司電腦內(nèi)的數(shù)據(jù)，違規(guī)者給予B級處罰。7.2嚴禁私自利用設(shè)備、工具、或其他手段打開原禁止使用USB接口，和機箱鎖。如發(fā)現(xiàn)給予設(shè)備責(zé)任人 B級處罰。7.3未經(jīng)IT運維人員備案，嚴禁使用任何USB無線上網(wǎng)設(shè)備和其他方式登陸互聯(lián)網(wǎng)，違規(guī)者給予設(shè)備責(zé)任人 B級處罰。7.4工