|
第一章 總則 數(shù)據(jù)是集團重要的資產(chǎn)���。為保證信息的安全性�、可靠性、完整性和有效性�,集團制定和采取相應管理制度, 進行對信息的保護,以避免其遭受外來的威脅和損害��,防止未經(jīng)授權地修改��、泄漏和破壞���。并為加強信息系統(tǒng)用戶賬號和權限的規(guī)范化管理,確保各信息系統(tǒng)安全��、有序�、穩(wěn)定運行��,防范應用風險�。本制度適用于集團內(nèi)所有員工,所有員工應明確本制度, 支持本制度, 并強制遵守��。本制度將作為員工遵守情況及復查的基本原則��。違反本制度者經(jīng)查實將由集團管理部門進行處理, 可視其輕重處以紀律處分或解職��。信息管理部負責指導及協(xié)調(diào)本制度的實施�,根據(jù)集團實際業(yè)務發(fā)展狀況,信息管理部將在獲得集團領導同意后酌情修正本制度���,以使其符合集團的實際情況���。信息管理部負責本制度的解釋及修正�。 第二章 數(shù)據(jù)安全管理規(guī)定適用于集團在生產(chǎn)���、研發(fā)�、行政管理中形成的文件(如:合同��、圖紙���、技術報告���、企業(yè)標準、管理制度���、圖片��、程序���、數(shù)模、人事檔案、財務報告等)及模型��、樣機��、樣件等�。2.1 新員工進入集團后���,由人力資源部組織進行《保密制度》學習培訓�,并簽訂《知識產(chǎn)權及保密協(xié)議》���。 2.2 員工由于項目工作需要��,必須將數(shù)據(jù)攜帶外出��、復印�、打印或者經(jīng)由電子郵件���、傳真發(fā)送���,必須由其主管項目經(jīng)理批準,并登記備案���。 2.3 集團電腦配置實行一機一人���,每臺電腦必須設置個人密碼�,任何人不得將個人密碼告訴他人���,否則后果自負��。因疏忽或無意泄漏集團數(shù)據(jù)者,由集團根據(jù)情節(jié)進行處罰��。 1.1 綜合管理部是計算機系統(tǒng)主管部門��,統(tǒng)—管理集團的計算機網(wǎng)絡��。 1.2 數(shù)據(jù)操作員負責集團對外及外來光盤���、磁盤、電子郵件等電子文件傳遞的管理工作�。 1.3 網(wǎng)站管理員負責集團內(nèi)、外網(wǎng)站服務器的維護管理工作���。 2.1 集團內(nèi)各類計算機系統(tǒng)用戶��,嚴禁運行未經(jīng)檢驗和來歷不明的軟件���,嚴禁在各自的計算機內(nèi)安裝與各自業(yè)務無關的軟件�,嚴禁安裝運行各種游戲軟件���,嚴禁將計算機系統(tǒng)口令和個人密碼告訴無關人員,未經(jīng)許可嚴禁將計算機交由外部門人員操作��。 2.2 集團各計算機用戶應確保各自計算機內(nèi)的數(shù)據(jù)資料的安全��。未經(jīng)許可��,任何人嚴禁擅自拷貝集團數(shù)據(jù)���。綜合管理部切實做好數(shù)據(jù)的備份工作��。 3.1 集團內(nèi)各計算機用戶應當專人���、專管、專用��。 3.2 集團預防計算機病毒選用的硬件�、軟件必須是正版產(chǎn)品。 3.3.1 謹慎地處理��、使用共享軟件。 3.3.2 新安裝系統(tǒng)要進行檢驗��。 3.3.3 外來電腦未經(jīng)許可不得聯(lián)入集團網(wǎng)絡�。 3.3.4 對軟盤、U盤��、移動硬盤��、光盤實行管理���,在使用外來軟盤�、U盤��、移動硬盤���、光盤時��,應首先檢測其安全性���。 3.3.5 決不執(zhí)行不知來源的程序。 3.3.6 系統(tǒng)中的數(shù)據(jù)要定期進行備份�。 3.3.7 禁止在工作場所安裝計算機游戲,玩計算機游戲��。 3.3.8 計算機系統(tǒng)管理員定期檢查清除計算機游戲。 3.3.9 密切注意自用計算機的配置參數(shù)(如引導扇區(qū)��、中斷向量表�、應用程序長度、執(zhí)行時間)和運行情況��,發(fā)現(xiàn)異常�,及時報告系統(tǒng)管理員,做出判斷和處理���。 3.4 確保殺毒軟件病毒特征碼的及時更新:由于病毒不斷發(fā)展變化,要求計算機系統(tǒng)管理員密切注意所用殺毒軟件病毒特征碼的更新情況���,做到及時更新�。 3.5 防范病毒制度化:對各計算機系統(tǒng)��,尤其是服務器定期掃描殺毒�。 3.6 對新購計算機進行病毒檢查,對新購軟件系統(tǒng)進行病毒檢查���,計算機不得外借��。 3.7 互聯(lián)網(wǎng)防毒的安全措施: 3.7.1不得進入各“黑客”站點訪問�,不允許在局域網(wǎng)及Internet上使用“黑客”軟件,以防不明病毒��。 3.7.2不得打開不明Email���,不得通過Email下載軟件�,如發(fā)生不明情況應及時向研究院知識工程及信息技術部報告��。 3.7.3嚴格限制遠程訪問者的權限及認證��,以防不明攻擊及感染病毒���,特別限制匿名登陸��。 4.1 對外拷貝軟盤�、U盤�、移動硬盤、光盤需經(jīng)相關部門領導批準方可執(zhí)行�。 4.2 外來以軟盤、光盤為載體的文件進入集團計算機系統(tǒng)前���,需如實登記���,并進行病毒掃描后方可進入�。 4.3 在集團內(nèi)部��,網(wǎng)上電子文件允許下載�,但文件下載后一律視為非受控文件,文件使用者有責任關注此文件的最新版本�,以保持此電子文件的現(xiàn)行有效性。 4.4 集團內(nèi)部禁止擅自使用各類盜版軟件�,個人如私自傳入盜版軟件并使用,由此造成的與知識產(chǎn)權相關的后果將由使用者本人負全責���。(三)數(shù)據(jù)流出管理控制程序規(guī)定 適用于全集團電子文檔數(shù)據(jù)的管理和備份歸檔的數(shù)據(jù)�。 2.1 數(shù)據(jù)流出的申請人負責填寫和完成審批�。 2.2 集團負責審批的人員負責審批各類需流通數(shù)據(jù)��,并負責必要的授權���。 2.3 綜合管理部數(shù)據(jù)管理員負責確認數(shù)據(jù)的真實性��,對符合要求的數(shù)據(jù)予以執(zhí)行操作��。 2.3.1負責及時組織安排數(shù)據(jù)的備份及歸檔��。 2.3.2負責對各數(shù)據(jù)予以查毒處理�。 2.3.3負責完成已審批數(shù)據(jù)的中轉(zhuǎn)、刻錄��、備份等�。 3.1.1.1 申請人填寫審批表。 3.1.1.2知識工程及信息技術部操作員負責按表格審批內(nèi)容執(zhí)行操作�。 3.1.2數(shù)據(jù)流入、中轉(zhuǎn) 3.1.2.1經(jīng)服務器中轉(zhuǎn)內(nèi)部的數(shù)據(jù)��,由數(shù)據(jù)流通員必須見到簽字后方可給予流通�。 3.1.2.2對需要導入資料或軟件的員工,應自覺注意有關知識產(chǎn)權方面的問題�,并不得將與工作無關及私人用途的數(shù)據(jù)導入集團網(wǎng)絡。 對于需要發(fā)出的數(shù)據(jù)���,項目經(jīng)理在簽字前���,應檢查該數(shù)據(jù)是否為需要的數(shù)據(jù),有無多余數(shù)據(jù)��,是否遺漏數(shù)據(jù)���,即檢查數(shù)據(jù)的正確性��。 資料管理室負責備份數(shù)據(jù)的歸檔和保存�,提供歷史數(shù)據(jù)的查找和利用。 適用于公司開發(fā)和管理的各應用信息系統(tǒng)�,包括OA協(xié)同辦公系統(tǒng)、ERP管理軟件�、財務軟件、企業(yè)郵箱及網(wǎng)站系統(tǒng)等��。用戶:被授權使用或負責維護應用信息系統(tǒng)的人員�。用戶賬號:在應用信息系統(tǒng)中設置與保存、用于授予用戶合法登陸和使用應用信息系統(tǒng)等權限的用戶信息�,包括用戶名、密碼以及用戶真實姓名�、單位、聯(lián)系方式等基本信息內(nèi)容���。權限:允許用戶操作應用信息系統(tǒng)中某功能點或功能點集合的權力范圍���。角色:應用信息系統(tǒng)中用于描述用戶權限特征的權限類別名稱���。系統(tǒng)管理員主要負責應用信息系統(tǒng)中的系統(tǒng)參數(shù)配置��,用戶賬號開通與維護管理�、設定角色與權限關系���,維護行政區(qū)劃和組織機構代碼等數(shù)據(jù)字典���,系統(tǒng)日志管理以及數(shù)據(jù)管理等系統(tǒng)運行維護工作�。指由系統(tǒng)管理員在應用信息系統(tǒng)中創(chuàng)建并授權的非系統(tǒng)管理員類用戶�,擁有在被授權范圍內(nèi)登陸和使用應用信息系統(tǒng)的權限。- 應用信息系統(tǒng)中對用戶操作權限的控制是通過建立一套角色與權限對應關系�,對用戶賬號授予某個角色或多個角色的組合來實現(xiàn)的,一個角色對應一定的權限(即應用信息系統(tǒng)中允許操作某功能點或功能點集合的權力)�,一個用戶賬號可通過被授予多個角色而獲得多種操作權限。
- 為實現(xiàn)用戶管理規(guī)范化和方便系統(tǒng)維護��,公司各應用信息系統(tǒng)應遵循統(tǒng)一的角色與權限設置規(guī)范,在不同的應用信息系統(tǒng)中設置的角色名稱及對應的權限特征���,應遵循權限設置規(guī)范基本要求。
- 由于不同的應用信息系統(tǒng)在具體的功能點設計和搭配使用上各不相同�,因此對角色的設置以及同樣的角色在不同應用信息系統(tǒng)中所匹配的具體權限范圍可能存在差異,所以每個應用信息系統(tǒng)應分別制定適用于本系統(tǒng)的權限設置規(guī)范���。
為保證應用信息系統(tǒng)的運行安全和對用戶提供跟蹤服務��,各應用信息系統(tǒng)用戶賬號的申請注冊實行“實名制”管理方式���,即在用戶賬號申請注冊時必須向信息系統(tǒng)管理部門提供用戶真實姓名��、隸屬單位與部門���、聯(lián)系方式等真實信息。任何一個用戶賬號的申請與開通均須經(jīng)過集團統(tǒng)一制定的賬號申請與審批備案管理流程��,且一個用戶在同一個應用信息系統(tǒng)中只能注冊和被授予一個用戶賬號���。集團各應用信息系統(tǒng)的用戶賬號及角色權限的申請開通���、注銷和密碼初始化等賬號管理工作均使用集團統(tǒng)一制定的《用戶賬號申請單》辦理?!队脩糍~號申請單》包括三部分填寫內(nèi)容:其中(1)申請人情況和(2)賬號申請情況兩部分由申請人填寫;(3)受理部門意見由受理部門填寫��。用戶權限的申請應嚴格參照各應用信息系統(tǒng)制定的《應用信息系統(tǒng)角色與權限關系對照表》中對不同級別和類型用戶的角色權限配置要求執(zhí)行���,不得越級或超范圍申請。各應用信息系統(tǒng)的賬號申請一般由該部門的負責人審批,審批同意后提交該系統(tǒng)的系統(tǒng)管理員負責開通賬號�。對有特別安全等級保護要求的應用信息系統(tǒng)以及各應用信息系統(tǒng)中的系統(tǒng)管理員,還需通過受理部門的主管領導審批�。原則上應用信息系統(tǒng)主管部門應在收到《用戶賬號申請單》后才能進行審批和開通賬號。特殊情況下��,經(jīng)部門負責人和受理部門主管領導書面同意后���,可采取事后審查的方式�,先開通賬號���,但自賬號開通日起超過1個月仍未收到《用戶賬號申請單》的��,系統(tǒng)管理員有權對該賬號采取暫時停用措施���。凡需要使用應用信息系統(tǒng)的用戶,每人均須按照“實名制”方式申請一個僅限本人使用的用戶賬號��。不同用戶的用戶賬號彼此之間不得隨意借用��,因某用戶賬號的操作而造成應用信息系統(tǒng)中數(shù)據(jù)信息或任何系統(tǒng)功能等方面的改變或后果���,均由擁有該用戶賬號的用戶負責�。如果某用戶因工作調(diào)動或其它原因而不允許繼續(xù)使用某應用信息系統(tǒng)時,其隸屬的原工作單位應督促和確保該用戶離職前及時申請注銷相關用戶賬號;不論原用戶是否知曉或同意��,均禁止將其原賬號轉(zhuǎn)交其他人員繼續(xù)使用��。設置用戶密碼是用戶登陸應用信息系統(tǒng)時身份合法性認證的重要手段��,用戶密碼的設置應盡量復雜化��,不易被他人推測��,密碼長度一般不少于6位���,并做到定期更換新密碼�。密碼遺忘時可向系統(tǒng)管理員申請密碼初始化修復�。若發(fā)現(xiàn)賬號密碼泄露,用戶須立即報告系統(tǒng)管理員及時采取停用賬號措施,并在報告后的24小時內(nèi)向該信息系統(tǒng)主管部門提交書面報告�,說明詳細情況,以便系統(tǒng)主管部門協(xié)助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運行情況���,采取有效補救措施將危害程度降至最低���。第四章 附則 本制度自頒發(fā)之日起執(zhí)行。
本制度由信息管理部負責修訂��、培訓、實施及檢查�。 【回復關鍵字 制度 可查詢相關文檔約200個】 【回復關鍵字 信息安全 可查詢相關文檔約300個】
|
