安全和隱私政策-數(shù)據(jù)安全及權限管理制度

第#頁共9頁內部公開數(shù)據(jù)安全及權限管理制度編制：審核：批準：分發(fā)控制分發(fā)對象文檔權限說明公司內部員工只讀文件版本信息版本日期擬稿和修改說明1.02018-2-28擬稿文件版本信息說明文件版本信息記錄本文件提交時的當前有效的版本控制信息，當前版本文件有效期將在新版本文檔生效時自動結束。文件版本小于1.0時，表示該版本文件為草案，僅可作為參照資料之目的。數(shù)據(jù)安全及權限管理制度、總則目的數(shù)據(jù)是公司重要的資產。為保證信息的安全性、可靠性、完整性和有效性，公司制定和采取相應的管理制度，進行對信息的保護，以避免其遭受外來的威脅和損害，防止未經授權的修改、泄漏和破壞。并為加強信息系統(tǒng)用戶賬號和權限的規(guī)范化管理，確保各信息系統(tǒng)安全、有序、穩(wěn)定運行、防范應用風險。使用范圍本制度適用于公司內所有員工，所有員工應明確本制度。支持本制度，并自覺遵守。信息安全，人人有責。職責本制度將作為監(jiān)察員工遵守情況及復查的基本原則。違反本制度者經查實將由集團管理部門進行處理，可視其輕重處以紀律處分或解職。數(shù)據(jù)安全小組負責指導及協(xié)調本制度的實施，根據(jù)公司實際業(yè)務發(fā)展狀況，數(shù)據(jù)安全小組將在獲得公司領導同意后酌情修正本制度，以使其符合公司的實際情況。數(shù)據(jù)安全小組負責本制度的解釋及修正。、數(shù)據(jù)安全管理規(guī)定2.1保密制度使用范圍適用于公司在生產、研發(fā)、行政管理中形成的文件（如：合同、技術報告、企業(yè)標準、管理制度、圖片、程序、人事檔案、財務報告等）及樣機、樣件等。保密要求新員工進入公司后，由人力資源部組織進行《保密制度》學習培訓，并簽訂《知識產權及保密協(xié)議》。員工由于項目工作需要，必須將數(shù)據(jù)攜帶外出、復印、打印或者經由電子郵件、傳真發(fā)送，必須由其主管項目經理批準，并登記備案。公司電腦配置實行一機一人，每臺電腦必須設置個人密碼，任何人不得將個人密碼告訴他人，否則后果自負。獎懲因疏忽或無意泄漏公司數(shù)據(jù)者，由公司根據(jù)情節(jié)進行處罰。2.2公司計算機網(wǎng)絡管理辦法職責/職能IT部是計算機系統(tǒng)主管部門，統(tǒng)一管理公司的計算機網(wǎng)絡。數(shù)據(jù)操作員負責公司對外及外來光盤、磁盤、電子郵件等電子文件傳遞的管理工作。運維人員負責公司內、外網(wǎng)站服務器的維護管理工作。內部安全防范管理公司內各類計算機系統(tǒng)用戶，嚴禁運行未經檢驗和來歷不明的軟件，嚴禁在各目的計算機內安裝與各自業(yè)務無關的軟件，嚴禁安裝運行各種游戲軟件、嚴禁將計算機系統(tǒng)口令和個人密碼告訴無關人員，未經許可嚴禁經計算機交由外部門人員操作。公司各計算機用戶應確保各自計算機內的數(shù)據(jù)資料的安全。未經許可，任何人嚴禁擅自拷貝公司數(shù)據(jù)。IT部切實做好數(shù)據(jù)的備份工作。防范計算機病毒公司內各計算機用戶應當專人、專管、專用。公司預防計算機病毒選用的硬件、軟件必須是正版產品。對計算機安全運行操作的具體要求：謹慎地處理、使用共享軟件。新安裝系統(tǒng)要進行檢驗。外來電腦未經許可不得聯(lián)入公司網(wǎng)絡。d)對軟盤、U盤、移動硬盤、光盤實行管理，在使用外來軟盤、U盤、移動硬盤、光盤時、應先檢測其安全性。決不執(zhí)行不知來源的程序。系統(tǒng)中的數(shù)據(jù)要定期備份。禁止在工作場所安裝計算機游戲，玩計算機游戲。計算機系統(tǒng)管理員定期檢查清除計算機游戲。密切注意自用計算機的配置參數(shù)(如引導扇區(qū)、中斷向量表、應用程序長度、執(zhí)行時間)和運行情況，發(fā)現(xiàn)異常，及時報告系統(tǒng)管理員、做出判斷和處理。確保殺毒軟件病毒特征碼及時更新：由于病毒不斷發(fā)展變化，要求計算機系統(tǒng)管理密切注意所用殺毒軟件病毒特征碼的更新情況，做到及時更新。防范病毒制度化：對各計算機系統(tǒng)，尤其是服務器定期掃描殺毒。對新采購計算機進行病毒檢測，對新購軟件系統(tǒng)進行病毒檢查，計算機不得外借?；ヂ?lián)網(wǎng)防毒的安全措施：a)不得進入各“黑客”站點訪問，不允許在局域網(wǎng)及Internet上使用“黑客”軟件，以防不明病毒。b)不得打開不明E-mail,不得通過E-mail下載軟件，如發(fā)生不明情況應及時向IT部報告。c)嚴格限制遠程訪問者的權限及認證，以防不明攻擊及感染病毒，特別限制匿名登陸。4.電子文件傳遞管理1)對外拷貝軟盤、U盤、移動硬盤、光盤需經相關部門領導批準方可執(zhí)行。外來以軟盤、光盤為載體的文件進入公司計算機系統(tǒng)前，需如實登記，并進行病毒掃描后方可進入。在公司內部，網(wǎng)上電子文件允許下載，但文件下載后一律視為非受控文件，文件使用者有責任關注此文件的最新版本，以保持此電子文件的現(xiàn)行有效性。公司內部禁止擅自使用各類盜版軟件，個人如私自傳入盜版軟件并使用，由此造成的與知識產權相關的后果將由使用者本人負全責。2.3數(shù)據(jù)流出管理控制程序規(guī)定范圍適用于全公司電子文檔數(shù)據(jù)的管理和備份歸檔的數(shù)據(jù)。職能/職責數(shù)據(jù)流出的申請人負責填寫和完成審批，申請單參見附件1：《數(shù)據(jù)流出申請表》。公司負責審批的人員負責審批各類需流通數(shù)據(jù)，并負責必要的授權。數(shù)據(jù)管理員負責確認數(shù)據(jù)的真實性，對符合要求的數(shù)據(jù)予以執(zhí)行操作。負責及時組織安排數(shù)據(jù)的備份及歸檔。負責對各數(shù)據(jù)予以查毒處理。負責完成已審批數(shù)據(jù)的中轉、刻錄、備份等。流程數(shù)據(jù)流通流出公司數(shù)據(jù)申請人填寫《數(shù)據(jù)流通登記審批表》。操作員負責按表格審批內容執(zhí)行操作。數(shù)據(jù)流入、中轉經服務器中轉內部的數(shù)據(jù)，由數(shù)據(jù)流通員必須見到簽字后方可給予流通。對需要導入資料或軟件的員工，應自覺注意有關知識產權方面的問題，并不得將與工作無關私人用途的數(shù)據(jù)導入公司網(wǎng)絡。數(shù)據(jù)流通審批對于需要發(fā)出的數(shù)據(jù)，項目經理在簽字前，應檢查該數(shù)據(jù)是否為需要的數(shù)據(jù)，有無多余數(shù)據(jù)，是否遺漏數(shù)據(jù)，即檢查數(shù)據(jù)的正確性。備份及歸檔資料管理室負責數(shù)據(jù)的歸檔、保存和備份，提供歷史數(shù)據(jù)的查找和利用。三、權限管理規(guī)范范圍適用于公司開發(fā)和管理的各應用信息系統(tǒng)，包括OA協(xié)同辦公系統(tǒng)、財務軟件、企業(yè)郵箱及網(wǎng)站系統(tǒng)等。術語和定義用戶：被授權使用或負責維護應用信息系統(tǒng)的人員。用戶賬號：在應用信息系統(tǒng)中設置與保存、用于授予用戶合法登陸和使用應用信息系統(tǒng)等權限的用戶信息，包括用戶名、密碼以及用戶真實姓名、單位、聯(lián)系方式等基本信息內容。權限：運行用戶操作應用信息系統(tǒng)中某功能點或功能點集合的權利范圍。角色：應用信息系統(tǒng)中用于描述用戶權限特征的權限類別名稱。用戶管理用戶分類系統(tǒng)管理員系統(tǒng)管理員主要負責應用系統(tǒng)中的系統(tǒng)參數(shù)配置，用戶賬號開通與維護管理、設定角色與權限關系，維護行政區(qū)劃和組織機構代碼等數(shù)據(jù)字典，系統(tǒng)日志管理以及數(shù)據(jù)管理等系統(tǒng)運行維護工作。普通用戶指由系統(tǒng)管理員在應用信息系統(tǒng)中創(chuàng)建并授權的非系統(tǒng)管理員類用戶，擁有在被授權范圍內登陸和使用應用信息系統(tǒng)的權限。用戶角色與權限關系應用信息系統(tǒng)中對用戶操作權限的控制是通過建立一套角色和權限對應關系，對用戶賬號授予某個角色或多個角色的組合來實現(xiàn)的，一個角色對應一定的權限(即應用信息系統(tǒng)中允許操作某功能點或功能點集合的權力)，一個用戶賬號可通過被授予多個角色而獲得多種操作權限。為實現(xiàn)用戶管理規(guī)范化和方便系統(tǒng)維護，公司各應用信息系統(tǒng)應遵循統(tǒng)一的角色與權限設置規(guī)范，在不太的應用信息系統(tǒng)中設置的角色名稱及對應的權限特征，應遵循權限設置規(guī)范基本要求。由于不同的應用信息系統(tǒng)在具體的功能點設計和搭配使用上各不相同，因此對角色的設置以及同樣的角色在不同應用信息系統(tǒng)中所匹配的具體權限范圍可能存在差異，所以每個應用信息系統(tǒng)應分別制定適用于本系統(tǒng)的權限設置規(guī)范。用戶賬號實名制注冊管理為保證應用信息系統(tǒng)的運行安全和對用戶提供跟蹤服務，各應用信息系統(tǒng)用戶賬號的申請注冊實行“實名制”管理方式，即在用戶賬號申請注冊時必須向信息系統(tǒng)管理部門提供用戶真實姓名、隸屬單位與部門、聯(lián)系方式等真實信息。用戶賬號申請與審批賬號申請任何一個用戶賬號的申請與開通均須經過集團統(tǒng)一制定的賬號申請與審批備案管理流程，且一個用戶在同一個應用信息系統(tǒng)中只能注冊和被授予一個用戶賬號。公司各應用信息系統(tǒng)的用戶賬號及角色權限的申請開通、注銷和密碼初始化等賬號管理工作均使用公司統(tǒng)一制定的《用戶賬號申請單》辦理。《用戶賬號申請單》包括三個部分填寫內容：申請人情況；賬號申請情況；受理單位意見。其中1)申請人情況和2)賬號申請情況兩部分由申請人填寫；3)受理部門意見由受理部門填寫。用戶權限的申請應嚴格參照各應用信息系統(tǒng)指定的《應用信息系統(tǒng)角色與權限關系對照表》中對不同級別和類型用戶的角色權限配置要求執(zhí)行，不得越級或超范圍申請。賬號審批和開通各應用信息系統(tǒng)的賬號申請一般由該部門的負責人審批，審批同意后提交該系統(tǒng)的系統(tǒng)管理員負責開通賬號。對有特別安全等級保護要求的應用信息系統(tǒng)以及各應用信息系統(tǒng)中的系統(tǒng)管理員，還需通過受理部門的主管領導審批。原則上應用信息系統(tǒng)主管部門應在收到《用戶賬號申請單》后才能進行審批和開通賬號。特殊情況下，經部門負責人和受理部門主管領導書面意見后，可采取事后審查的方式，先開通賬號，但自賬號開通日起超過1個月仍未收到《用戶賬號申請單》的，系統(tǒng)管理員有權對該賬號采取暫時停用措施。5安全管理賬號安全凡需要使用應用信息系統(tǒng)的用戶，每人均須按照“實名制”方式申請一個僅限本人使用的用戶賬號。不同用戶的用戶賬號彼此之間不得隨意借用，因某用戶賬號的操作而造成應用信息系統(tǒng)中數(shù)據(jù)信息或任何系統(tǒng)功能等方面的改變或后果，均由擁有該用戶賬號的用戶負責。如果某用戶因工作調動或其他原因而不允許繼續(xù)使用某應用信息系統(tǒng)時，其隸屬的原工作單位應督促和確保該用戶離職前及時申請注銷相關用戶賬號；不論原用戶是否知曉或同意，均禁止將其原賬號轉交其他人員繼續(xù)使用。密碼安全設置用戶密碼是用戶登陸應用信息系統(tǒng)時身份合法性認證的重要手段，用戶密碼的設置應盡量復雜化，不易被他人推測，密碼長度一般不少于8位，且需要大小寫與特殊符號組成，并做到定期更換新密碼。密碼遺忘時可向系統(tǒng)管理員申請密碼初始化修復。若發(fā)現(xiàn)賬號密碼泄露，用戶須立即報告系統(tǒng)管理員及時采取停用賬號措施，并在報告后的24小時內向該信息系統(tǒng)主管部門提交書面報告，書面詳細情況，以便系數(shù)主管部門協(xié)助核查系統(tǒng)內數(shù)據(jù)和系統(tǒng)運行情況，采取有效補救措施將危害程度降至最低。3.6檔案管理應用信息系統(tǒng)用戶賬號和角色權限管理工作應建立完善的檔案管理制度，以加強用戶賬號的申請注冊、審批以及密碼和權限維護等日常工作管理。檔案管理工作由系統(tǒng)管理員具體