IT系統(tǒng)安全管理規(guī)范

1、海明集團IT系統(tǒng)安全管理規(guī)范一、目的為確保公司IT設備設施能夠穩(wěn)定、可靠地運轉，為公司業(yè)務提供可持續(xù)服務支持，同時為了規(guī)避公司重要的電子信息數(shù)據(jù)由于系統(tǒng)或硬件損壞而造成數(shù)據(jù)丟失的風險，特制定本文件以規(guī)范IT安全相關的工作流程、內(nèi)容和標準。二、適用范圍:本制度可用來指導信息技術部工作人員開展IT安全管理工作，對公司級信息系統(tǒng)運行期間電子數(shù)據(jù)的備份和恢復管理予以規(guī)范。三、術語3.1 IT： information technology 意為信息技術，是用于管理和處理信息所采用的各種技術的總稱。3.2 IT設備：泛指由信息技術部基礎服務組管理的用于辦公及信息技術服務支持相關的電子設備，包含：個人臺式

2、電腦、手提電腦、打印機、服務器、路由器、交換機、多媒體、一卡通終端、攝像機等電子設備。3.3 公司級信息系統(tǒng)：應用于多個部門，或直接影響公司核心業(yè)務的信息系統(tǒng)。包含：ERP系統(tǒng)、跟單管理系統(tǒng)、財務系統(tǒng)、SHR系統(tǒng)等。3.4 IT安全：IT安全是指IT相關系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，服務不中斷，對于可能發(fā)生的各種隱患防范于未然。四、職責:本制度由信息技術部負責解釋、更新和維護。五、具體內(nèi)容與工作程序5.1 網(wǎng)絡安全管理5.1.1基礎架構部負責信息網(wǎng)絡的規(guī)劃、建設、維護、管理和控制；5.1.2基礎架構部應繪制公

3、司信息網(wǎng)絡之間的網(wǎng)絡拓撲、設備信息表并及時更新維護；5.1.3定期檢查網(wǎng)絡硬件設備狀態(tài)，若巡檢中發(fā)現(xiàn)問題需在巡檢清單中記錄并及時匯報部門領導；5.2 服務器安全管理5.2.1公司各服務器內(nèi)應安裝正版網(wǎng)絡版殺毒軟件，殺毒軟件的安裝與卸載應由IT運維人員操作；5.2.2密碼設置策略應符合信息安全通用規(guī)范，由不低于6位的大小寫字符及數(shù)字和特殊字符組成。5.2.3系統(tǒng)管理人員不允許將密碼存放在公開可讀的文件中5.2.4系統(tǒng)管理人員不允許將密碼發(fā)送給用戶，特別是通過微信、QQ、未加密的電子郵件等。5.2.5嚴禁將數(shù)據(jù)庫服務器暴露在公網(wǎng)中5.2.6關閉服務器上不必要的服務和端口。5.2.7嚴謹在服務器上直

4、接進行上網(wǎng)、下載軟件操作。5.3數(shù)據(jù)安全管理5.3.1數(shù)據(jù)必須定期、完整、真實、準確的備份轉儲到指定介質(zhì)上。5.3.2應定時檢查備份文件中是否存在備份失敗的記錄，如發(fā)現(xiàn)有備份任務失敗的記錄，需要檢查故障原因，并進行排除。5.3.3備份周期：各信息系統(tǒng)做自動計劃每個工作日進行數(shù)據(jù)備份。5.3.4數(shù)據(jù)恢復機制a)一旦發(fā)生系統(tǒng)故障或數(shù)據(jù)破壞等導致系統(tǒng)正常運轉的情況，IT人員必須上報部門領導，經(jīng)討論決議后進行相應數(shù)據(jù)恢復操作。b)數(shù)據(jù)恢復應在測試環(huán)境中進行，嚴禁在正式使用的系統(tǒng)中進行恢復測試。c)恢復確認不存在問題后，要及時清理測試環(huán)境數(shù)據(jù)。5.4密碼安全管理a)密碼設置策略應符合信息安全通用規(guī)范，由不低于6位的大小寫字符及數(shù)字和特殊字符組成；b)有關IT人員離職后必須及時修改密碼；六、補丁策略OS、數(shù)據(jù)庫升級、打補丁，需確保穩(wěn)定、安全，并遵守以下原則:1.沒有重