IT安全管理制度

1、共享知識(shí)分享快樂(lè)盛年不重來(lái)，一日難再晨。及時(shí)宜自勉，歲月不待人。南京橙紅科技股份有限公司目 次前言21 目的22 適用范圍23 物理訪問(wèn)24 邏輯訪問(wèn)35 個(gè)人辦公電腦及服務(wù)器安全 36 信息安全定期檢查 47 服務(wù)及電子郵件安全 48 網(wǎng)絡(luò)使用標(biāo)準(zhǔn)： 59 USB 口使用標(biāo)準(zhǔn)： 510 附件：處罰制度說(shuō)明 6卑微如蜷蟻、粵劉歡象為公司建立IT安全實(shí)施標(biāo)準(zhǔn)，以保護(hù)公司網(wǎng)絡(luò)和計(jì)算機(jī)環(huán)境中的信息資產(chǎn)，特制訂 本制度。IT安全管理制度i目的保障公司信息安全的機(jī)密性、完整性、可用性、抗抵賴(lài)性、可控性。保護(hù)信息免受 各種威脅的損害。確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化。2適用范圍本標(biāo)準(zhǔn)適用于某某某公司（包括但

2、不限于其所有控股子公司、辦事處）的信息基礎(chǔ)架構(gòu)中所有的系統(tǒng)，公司的內(nèi)部辦公網(wǎng)絡(luò)，包括廣域網(wǎng)和辦公局域網(wǎng)。3物理訪問(wèn)1.1參照辦公樓管理規(guī)定內(nèi)的人員出入、物品出入規(guī)定執(zhí)行。1.2打印、復(fù)印、傳真使用者必須遵從打印、復(fù)印、傳真管理制度卑微如錢(qián)蛟、豎雖似大象4邏輯訪問(wèn)2.1控制用戶(hù)身份識(shí)別和認(rèn)證必須根據(jù)實(shí)際的訪問(wèn)要求，來(lái)控制內(nèi)部系統(tǒng)訪問(wèn)權(quán)限，檢 查認(rèn)證用戶(hù)或者應(yīng)用的身份合法性。2.2用戶(hù)的身份是通過(guò)為每個(gè)系統(tǒng)（操作系統(tǒng)、辦公平臺(tái)、硬件設(shè)備）的使用者分配唯 一的系統(tǒng)標(biāo)識(shí)來(lái)確定， 并且每個(gè)用戶(hù)擁有個(gè)人的密碼，作為系統(tǒng)身份認(rèn)證的依據(jù)。2.3員工因離職、休假或業(yè)務(wù)變動(dòng)不再需要訪問(wèn)系統(tǒng)，HR或部門(mén)經(jīng)理必須通知

3、系統(tǒng)負(fù)責(zé)人，系統(tǒng)負(fù)責(zé)人必須依據(jù)相應(yīng)的流程終止該員工對(duì)系統(tǒng)的訪問(wèn)權(quán)限。（參見(jiàn)人事部門(mén)離職流程表）2.4 使用人不再使用該帳號(hào)，例如員工離職或退休，必須從系統(tǒng)中刪除或禁用帳號(hào)、以及 相關(guān)數(shù)據(jù)。（參見(jiàn)人事部門(mén)離職流程表）2.5重要崗位員工離職，系統(tǒng)接替人員必須更改密碼或刪除原帳號(hào)。2.6存儲(chǔ)在公司內(nèi)部服務(wù)器系統(tǒng)中的信息，除非得到該設(shè)備責(zé)任人的明確指示，否則不 需要加密。2.7系統(tǒng)負(fù)責(zé)人必須設(shè)置缺省保護(hù)功能來(lái)保障用戶(hù)資源，禁止他人非法訪問(wèn)用戶(hù)資源。2.8普通用戶(hù)不允許修改公用系統(tǒng)資源，例外情況需要該設(shè)備責(zé)任人明確批準(zhǔn)。5個(gè)人辦公電腦及服務(wù)器安全在公司運(yùn)行的系統(tǒng)、應(yīng)用和軟件必須持有有效使用許可證明。禁止

4、非法拷貝或復(fù)制軟件，除非在許可條款上明確允許。5.1為了更好的管理局域網(wǎng)內(nèi)用戶(hù)電腦，及時(shí)解決網(wǎng)絡(luò)故障，病毒源，及時(shí)排除安全隱患等需求。所有計(jì)算機(jī)包括筆記本電腦機(jī)器名一律包含責(zé)任人工號(hào)制定。例如：某某某的電腦名為123如出現(xiàn)一個(gè)員工有兩個(gè)或者以上電腦遵循如下規(guī)則123 -* 綜合辦IT運(yùn)維人員有權(quán)限制不符合上述要求設(shè)備的網(wǎng)絡(luò)等服務(wù)。如沒(méi)有按照此規(guī)定設(shè)置電腦名并由于本人維護(hù)不當(dāng)造成影響他人正常工作，給予E級(jí)處罰。5.2辦公電腦、公用電腦、安裝軟件出現(xiàn)的漏洞應(yīng)及時(shí)安裝補(bǔ)丁，不能處理的漏洞等問(wèn)題應(yīng)向綜合辦IT運(yùn)維人員說(shuō)明并做好記錄。如由于上述問(wèn)題而引發(fā)安全信息隱患則給予E級(jí)處罰，如由于上述原因造成了公

5、司信息安全事故給予C級(jí)處罰。5.3設(shè)置計(jì)算機(jī)開(kāi)機(jī)口令 a）設(shè)置系統(tǒng)登錄口令b）設(shè)置系統(tǒng)屏幕保護(hù)口令c）激活屏卑微如蜷蟻堅(jiān)強(qiáng)大象幕保護(hù)的時(shí)間：5分鐘。d）離開(kāi)辦公位時(shí)因?qū)ぷ麟娔X進(jìn)行鎖屏。沒(méi)有按照上述設(shè)置 給予E級(jí)處罰。5.4公司網(wǎng)絡(luò)規(guī)劃默認(rèn)使用自動(dòng)獲取IP規(guī)則。員工不得擅自固定IP,如IP沖突影響他人正常工作，不服從綜合辦IT運(yùn)維人員管理者給予E級(jí)處罰。5.5如需要固定IP必須向綜合辦IT運(yùn)維人員郵件申請(qǐng)， 經(jīng)過(guò)確認(rèn)后由綜合辦IT運(yùn)維人員負(fù) 責(zé)分配固定IP使用，并做好記錄，否則視為私自占用公司IP資源。給予E級(jí)處罰。5.6個(gè)人電腦和服務(wù)器等設(shè)備必須安裝附錄1中提及軟件。6信息安全定期檢查6.1

6、.每月定期隨機(jī)抽查用戶(hù)電腦，違規(guī)未安裝者，給予B級(jí)處罰。所有用戶(hù)必須安裝且運(yùn)行正常軟件如下:軟件名稱(chēng)安裝要求備注說(shuō)明（殺毒軟件）是否及時(shí)更新指定殺毒軟件，不得安裝其他殺毒軟件Wsus安裝且系統(tǒng)正常安 裝補(bǔ)丁操作系統(tǒng)自動(dòng)分發(fā)補(bǔ)丁程序6.2.所有電腦不得安裝不符合公司要求，有害信息安全的軟件，女口：帶病毒、侵害計(jì)算機(jī)安全軟件，違反上述情況，無(wú)正當(dāng)理由者，給予B級(jí)處罰。（個(gè)人辦公電腦及服務(wù)器安全中所提及內(nèi)容，如遇疑問(wèn)或故障，應(yīng)主動(dòng)向綜合辦IT運(yùn)維人員要求支持，否則造成不良后果均視為違規(guī)。）7服務(wù)及電子郵件安全7.1禁止在計(jì)算機(jī)上配置和提供無(wú)需驗(yàn)證的服務(wù)或包括但不限于FTP, TFTP, HTTP D

7、HCP,違反規(guī)定者則給予 E級(jí)處罰。7.2禁止利用電子郵件發(fā)送、群發(fā)或轉(zhuǎn)發(fā)與工作內(nèi)容無(wú)關(guān)的郵件，違反規(guī)定者則給予E級(jí)處罰。卑微如魅蛟、粵囲以大象共享知識(shí)分享快樂(lè)7.3禁止將公司機(jī)密信息。通過(guò)郵件發(fā)送給與業(yè)務(wù)無(wú)關(guān)的單位或個(gè)人，違反規(guī)定者則給予 B級(jí)處罰。7.4如果業(yè)務(wù)需要群發(fā)工作郵件，則應(yīng)避免發(fā)送大郵件，盡可能以?xún)?nèi)容鏈接的方式發(fā)送，違反規(guī)定造成網(wǎng)絡(luò)或者郵件服務(wù)器堵塞者，給予E級(jí)處罰。8網(wǎng)絡(luò)使用標(biāo)準(zhǔn):8.1非特殊工作需要嚴(yán)禁使用外網(wǎng)或者非法代理上互聯(lián)網(wǎng)。經(jīng)發(fā)現(xiàn)給予C級(jí)處罰。8.2如工作需要外網(wǎng)出口，必須提交申請(qǐng)同意后才能開(kāi)通。開(kāi)通出口后設(shè)備按照機(jī)房服務(wù)器管理辦法實(shí)施。請(qǐng)參見(jiàn)IT業(yè)務(wù)申請(qǐng)。8.3禁止

8、私接網(wǎng)絡(luò)設(shè)備到公司辦公網(wǎng)絡(luò)上（如：Hub、無(wú)線AP、Router、Modem、撥號(hào)服務(wù)器），如果有工作需要，請(qǐng)與綜合辦IT運(yùn)維人員聯(lián)系，必須經(jīng)過(guò)項(xiàng)目經(jīng)理和綜合辦IT運(yùn)維人員確認(rèn)后，記錄設(shè)備編號(hào)責(zé)任人方可使用。請(qǐng)參見(jiàn)IT業(yè)務(wù)申請(qǐng)。如在使用過(guò)程中出現(xiàn)環(huán)路等不當(dāng)操作造成樓層或者區(qū)域網(wǎng)絡(luò)癱瘓，則給予E級(jí)處罰。8.4員工必須嚴(yán)格按照公司要求內(nèi)外網(wǎng)線路物理隔離的原則，嚴(yán)禁違反規(guī)定私接網(wǎng)線或網(wǎng)絡(luò)設(shè)備造成網(wǎng)絡(luò)安全隱患，經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任人或事故責(zé)任人D級(jí)處罰。8.5嚴(yán)禁在公司辦公網(wǎng)絡(luò)中使用大流量的工具或程序（如:流量發(fā)生器、網(wǎng)絡(luò)模擬程序）禁止在公司辦公網(wǎng)絡(luò)中使用網(wǎng)絡(luò)流量監(jiān)測(cè)、端口掃描、抓包等程序經(jīng)發(fā)現(xiàn)給與設(shè)備

9、責(zé)任人或事故責(zé)任人D級(jí)處罰。8.6嚴(yán)禁在公司使用基于互聯(lián)網(wǎng)的 Peer to Peer文件共享服務(wù)包括但不限于 BT、電驢、迅 雷。未經(jīng)審批在公司使用非公司許可的即時(shí)通訊工具，包括但不限于QQ、SKYPEFeiQ、飛鴿等，嚴(yán)禁在上班時(shí)間使用在線視頻播放軟件包括單不限于PPS PPTV等經(jīng)發(fā)現(xiàn)給與設(shè)備責(zé)任人或事故責(zé)任人D級(jí)處罰。9 USB 口使用標(biāo)準(zhǔn):7.1嚴(yán)禁非工作需要時(shí)私自使用USB設(shè)備如：U盤(pán)、移動(dòng)硬盤(pán)、 mp3、手機(jī)等移動(dòng)存儲(chǔ)設(shè)備，拷貝公司電腦內(nèi)的數(shù)據(jù)，違規(guī)者給予B級(jí)處罰。7.2嚴(yán)禁私自利用設(shè)備、工具、或其他手段打開(kāi)原禁止使用USB接口，和機(jī)箱鎖。如發(fā)現(xiàn)給予設(shè)備責(zé)任人 B級(jí)處罰。7.3未經(jīng)IT運(yùn)維人員備案，嚴(yán)禁使用任何USB無(wú)線上網(wǎng)設(shè)備和其他方式登陸互聯(lián)網(wǎng)，違規(guī)者給予設(shè)備責(zé)任人 B級(jí)處罰。7.4工