IT服務與信息安全

IT服務與信息安全信息分類IT內部培訓類保密等級機密責任機構責任人創(chuàng)建時間2010年12月9日保密期限2015年12月授權范圍1信息安全應知應會IT服務概述信息系統(tǒng)介紹及注意事項IT設備服務介紹及注意事項2IT服務簡介IT組織介紹宇通的IT服務由信息技術分公司提供，信息技術分公司簡稱“信息中心”或“IT”，負責整個宇通集團的信息系統(tǒng)建設、IT設備管理和信息安全管理。IT服務范圍信息系統(tǒng)建設：負責公司基于EIP與ERP雙平臺的所有30多個應用系統(tǒng)的信息化建設、運行維護和權限管理工作。IT設備管理：負責辦公電腦（含臺式機、瘦客戶機和筆記本）和其他電子辦公設備（投影儀、打印機等）的配備、借用與維修。信息安全管理：負責公司所有系統(tǒng)和終端的信息安全管理與監(jiān)控。IT服務入口熱線電話：8867服務單入口：登錄EIP，點擊“服務臺IT服務IT服務窗口”，見下圖。3IT服務臺（熱線電話：8867）點擊IT服務進入IT服務臺如果您有微機、辦公軟件、操作系統(tǒng)、通信、應用系統(tǒng)方面的故障，或者您需要重置密碼、批量提取數據，或者你不知道跟IT相關的問題該如何解決需要咨詢IT人員，都可以填寫該服務單，我們會有專業(yè)人員為您解決問題。如果您因為工作變動，需要變更您名下的IT資產時，請?zhí)顚懺搯巫?，IT資產包括但不限于以下這些設備“電腦主機，顯示器，筆記本電腦，打印機，復印機，投影儀，攝像機，PDA等”。當現有系統(tǒng)不能滿足的業(yè)務管理改進需求，需進行系統(tǒng)改造、修改或新建時，業(yè)務可提交需求單，例如開發(fā)新程序、系統(tǒng)配置調整等。需求單提交后，IT將指派專人進行分析，在承諾的時間內內提供解決方案并實現完成，需求分析和實現過程將按影響范圍由不同層級審批。如果您因為工作需要申請使用筆記本電腦（非借用），請您填寫該單子，審批通過后IT人員會給您配備筆記本電腦如果您需要申請臺式機，打印機，投影儀，復印機，掃描儀，PDA，電話，網絡連接或者其他硬件設備，請您填寫該服務單，審批通過后，IT會聯系您領取申請的設備如果您需要借用筆記本電腦，瘦客戶機，投影儀，請您填寫該單子，審批通過后，IT會聯系您領取申請的設備各部門文檔管理員專用，用于聯系IT文檔系統(tǒng)管理員調整崗位與人員對應關系，普通用戶無權限1,如果您需要申請“EIP，RTX，郵箱，SAP，配置器，CRM，國內/海外服務網，供應商門戶，LES，QM，APS，VPN”賬號，請您填寫該單子，審批通過后IT有專人負責開通您的權限。2,如果您需要申請“電子傳真，短信平臺，郵箱擴展功能，USB，即時通訊，外網，外郵”權限，也請您填寫該單子，審批通過后IT有專人負責開通您的權限。4信息安全應知應會IT服務概述信息系統(tǒng)介紹及注意事項IT設備服務介紹及注意事項5宇通信息雙平臺宇通經過十余年的信息化建設，已建成EIP+ERP雙平臺，其中EIP（企業(yè)信息平臺）面向管理，ERP（企業(yè)資源計劃）面向業(yè)務，眾多應用系統(tǒng)分別部署在這兩個平臺上。SAPCOFIHRMMPP供應商門戶售后服務網PLM質量信息網訂單配置器……數據總線SD……EIP流程文檔……新聞6平臺及系統(tǒng)模塊詳圖PLMSCMCRMSSMEIPERPEDB宇通信息門戶EIP

/企業(yè)門戶WWW/合作伙伴協(xié)同門戶SNSOPSOP分析EA企業(yè)架構FA財務分析PE工作協(xié)同CA競爭分析KM文檔管理PMS銷售分析PTM項目與任務IC信息服務HD服務臺TC通信服務IS信息安全BP客戶管理APS高級排產PT考勤管理DMS產品文檔CM資金管理IOV車聯網SM供應商管理EC卡務管理PP生產計劃SE服務工程ECM工程更改PY薪酬管理EM費用管理SC采購管理OC配置器QM質量管理MM物料管理SD訂單管理BOM物料清單SO維修管理CO管理會計GB擔保業(yè)務PB招聘管理OBM海外商務PA組織與人事CAXITSMIT管理MES生產執(zhí)行LES物流執(zhí)行SP配件管理CCC客服中心FI財務會計客戶數據員工數據產品數據合作伙伴車輛數據訂單數據質量數據EA數據R&DO研發(fā)分析QC質量分析SC服務分析已有圖例：需建設需擴展KPI績效管理7宇通快訊，用圖片形式展現宇通大事宇通公告/紅頭/體系公告，用文字形式報道公告信息這里匯聚了您所有的待辦和待閱事項常用資料EIP介紹—首頁8EIP介紹—工作臺點擊“流程中心”，可以提交/查看審批流程點擊“文檔中心”，可以上傳/查看您的所有文檔應用系統(tǒng)的快捷入口9EIP介紹—服務臺（IT，HR，財務，技改，綜合）10EIP介紹—企業(yè)文化，企業(yè)架構，管理創(chuàng)新，知識社區(qū)11EIP介紹—門戶導航（包括各體系的二級門戶）12宇通選用業(yè)界最先進的ERP系統(tǒng)—SAP，主要用于物流，生產，銷售，研發(fā)，質量及售后等業(yè)務數據的處理，全面覆蓋公司人、財、物、產、供、銷的運營管理。ECC6客戶/服務器ABAP/4FI財務會計CO財務控制TR財富管理PS項目管理WF工作流程管理IS行業(yè)解決方案MM物料管理HR人事管理SD銷售與分銷PP生產計劃QM質量管理CS客戶服務WM倉庫管理ERP介紹-SAP13SAP標準解決方案示意圖庫存管理倉庫管理財務管理建議計劃生產物料需求計劃發(fā)貨轉儲采購收貨銷售與分銷發(fā)票校驗發(fā)票需求庫存預測訂單14通常接觸到的各種信息系統(tǒng)均為正式環(huán)境，嚴禁在正式環(huán)境中進行嘗試、練習。對信息系統(tǒng)的各種操作都應該在指導人的指導下完成，或者咨詢IT分公司。信息系統(tǒng)中有大量的業(yè)務保密信息，嚴禁將保密信息摘抄后外泄。信息系統(tǒng)的不同操作需要的運行時間不同，出現明顯的超時操作應盡快停止。嚴禁在正式環(huán)境中進行數據的海量查詢，例如查看一整年的物料出入庫記錄。每個員工都需妥善保管系統(tǒng)口令，并在使用信息系統(tǒng)后及時登出。信息系統(tǒng)使用注意事項15信息安全應知應會及案例分享IT服務概述IT設備服務介紹及注意事項信息系統(tǒng)介紹及注意事項16IT設備服務介紹1、設備維修與升級必須由信息技術分公司負責完成，不允許私自處理。2、嚴禁員工私自安裝計算機操作系統(tǒng)。3、用戶報修方法：EIP中填寫服務單或撥打8867服務熱線反饋。1、申請條件：部門有預算，且業(yè)務需求符合《信息終端使用管理規(guī)范》和《筆記本電腦使用管理規(guī)范》。2、申請方法：通過EIP服務臺提交服務單，經部門領導的合理性審批和IT的合規(guī)性審批后方可配發(fā)。1、每臺設備都有固定的責任人，不允許私自調配。2、使用人變更或離職必須上交設備。3、員工離職或者調離所在部門時，必須知會信息安全管理人員進行信息安全離職審計，確認在職期間沒有違反信息安全相關管理規(guī)定行為后，方可以辦理相關手續(xù)。申請報修上交服務范圍：受理用戶對于臺式電腦、筆記本電腦、打印機、交換機、電話、投影儀、掃描儀及其它存儲介質等的申請、報修及上交。17所有信息終端設備的配備依照“對崗不對人”為原則，即設備跟崗位相匹配，不能隨人的變化而變化，設備只能通過收回和配備流程進行變更。所有信息終端設備責任到人，不得出現無人負責的設備。筆記本配備標準：長期駐外且需要經常移動辦公的人員。筆記本借用規(guī)則：使用人至少提前2天提交“EIP借用筆記本申請”流程，借用期1個月以內需要部門領導審批，借用期在1個月至3個月之間的需要增加體系總監(jiān)審批。筆記本電腦的連續(xù)借用期不允許超過12個月。IP地址設置為信息技術分公司統(tǒng)一配置，嚴禁員工擅自更改IP地址。禁止下載、制造、傳播與工作無關的文件。所有員工的上網行為（包括QQ\MSN聊天信息與文件發(fā)送、瀏覽網頁、WEB郵件、FTP上傳等）公司都將進行監(jiān)控與信息備份。禁止利用公司網絡資源進行任何與工作無關的事，公司網絡資源24小時只能用于工作。IT設備申請及使用注意事項18IT設備服務介紹及注意事項IT服務概述信息系統(tǒng)介紹及注意事項信息安全應知應會19什么是信息安全

信息安全是指軟硬件等業(yè)務系統(tǒng)產生的數據收到保護，不因各種原因而遭受到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠運行，信息服務不中斷。信息安全三要素

保密性、完整性、可用性20根據統(tǒng)計，全球排名前1000的大公司，平均每年發(fā)生2.54起商業(yè)間諜事件，損失總數高達上千億美元。2007年5月，韓國起亞汽車公司新推出“索蘭托”車型，起亞公司內部9名員工因涉嫌向中國的汽車制造企業(yè)（疑為河北天馬和安徽奇瑞）出售車身自動組裝技術等技術信息而被韓國檢察局起訴，涉案金額達2.3億韓幣。我們面臨的各類威脅21總體目標：通過有效的技術與管理措施，使企業(yè)信息資產免遭威脅，或者將威脅帶來的損失降到最低程度，保證信息資產的保密性、完整性和可用性，確保公司業(yè)務的正常運作。總體策略：體系化：信息安全不靠自覺，也不是救火，而是日常工作和績效的一部分，除流程、技術、制度、組織外，還包括教育和審計可控性：你是誰？你可以做什么？-權限管理可審計：你做了什么？信息安全總體目標22TOPEA為宇通所定義的信息安全體系結構，該結構以信息安全技術做支撐，面向明確的信息安全管理目標和總體策略，通過組織，流程，教育和審計的全面協(xié)同機制，形成宇通信息安全管理體系，并依靠其自身的持續(xù)改進能力，始終同步支持公司業(yè)務發(fā)展對信息安全的要求。信息安全管理組織Organization信息安全管理流程Process信息安全教育Education信息安全審計Audit宇通信息安全目標與策略信息安全技術Technique信息安全TOPEA模型23審計原則：定期、透明、及時、業(yè)務影響最小。審計流程：審計內容：1、管理審計：主要審計信息安全管理相關制度的執(zhí)行情況；2、技術審計：主要從技術方面審計信息資產的安全程度，包括授權審計、用戶訪問審計、信息輸入輸出日志審計、郵件發(fā)送日志審計、檔案借閱日志審計、病毒感染、互聯網訪問、數據備份、個人電腦文檔審計等；通報機制：1、在日常工作或者審計中發(fā)現信息安全問題，員工和審計人員應及時向信息安全管理小組匯報；2、根據審計結果，信息安全小組定期對全公司各體系信息安全的狀況進行評估，并形成書面報告，提交信息安全管理委員會。

由信息安全管理小組負責，及時捕獲和處理信息安全事件，為信息安全管理提供考核依據，通過審計確保信息安全管理的高度執(zhí)行力和持續(xù)改進。信息安全審計24信息是一種資產，它涵蓋由宇通公司員工所創(chuàng)造的所有信息，同其他重要的商業(yè)資產一樣，對一個組織而言都具有一定價值，需要加以保護。信息保密根據其價值、敏感程度、泄漏給企業(yè)帶來的影響不同，可分為絕密、機密、保密三個級別。絕密最重要的企業(yè)秘密，一旦泄漏，會對公司的正常運營帶來特別嚴重的損害，降低公司市場競爭力、銷售收入或盈利能力；比如直接影響集團公司權益的重要決策文件（永久期限）；機密重要的企業(yè)秘密，一旦泄漏，會對公司的正常運營帶來影響，引起法律糾紛或影響部門、企業(yè)、合作伙伴間的合作關系；比如公司人事檔案、合同、協(xié)議等；（5年期限）保密絕密和保密范圍外的其它信息資產，在宇通員工范圍內均可以查看。（3年期限）信息資產的保密級別25指對有意盜竊、泄密公司保密信息的，或者有意違反信息安全管理規(guī)定，性質嚴重造成重大損失的行為指對有意違反信息安全管理規(guī)定，性質嚴重或造成公司損失的行為指對有意違反信息安全管理規(guī)定，性質嚴重或造成公司損失的行為指對違反信息安全管理規(guī)定，性質較輕，沒有造成公司損失的行為一級違規(guī)二級違規(guī)三級違規(guī)四級違規(guī)信息安全違規(guī)的等級劃分26違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全四級違規(guī)未經批準，安裝公司非標準或注冊軟件通過各種信息通信方式（郵件，USB,RTX即時通信等）發(fā)送傳遞與工作無關文件(人數少,性質不嚴重)未按公司規(guī)定機箱上鎖和封閉USB口利用公司互聯網訪問工作無關的網站，或無報備連續(xù)24小時下載超過1G的與工作無關的文件信息安全在執(zhí)行審計或安全流程過程中，員工有意為難或阻止執(zhí)行常見的信息安全違規(guī)行為-四級違規(guī)27違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全三級違規(guī)未經批準，訪問游戲，娛樂站點及與工作無關的任何站點未經批準，在公司信息系統(tǒng)范圍內通過其它方式登陸互聯網或盜用合法用戶IP訪問互聯網未經批準，轉借信息系統(tǒng)帳號或隨意將密碼告訴他人非正當渠道獲取或傳遞保密文檔未按照信息資產分類授權表的信息資產授權范圍，私自將公司文檔或信息授予未經授權的任何其他人員（包括公司人員和非公司人員）損壞、泄露保密級以上級信息；或因個人操作不當，對公司信息資產的保密性、完整性、可用性造成危害，導致較小影響和破壞的信息安全事件。常見的信息安全違規(guī)行為-三級違規(guī)28違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全二級違規(guī)常見的信息安全違規(guī)行為-二級違規(guī)發(fā)送與工作無關連環(huán)郵件(人數多,性質嚴重,影響范圍大)訪問不健康網站或通過各種信息通信方式（外網郵箱，QQ，MSN等通信工具）向外部發(fā)送公司未經授權發(fā)送的公司文件。未經允許，在各種媒體、公眾場合發(fā)表與公司有關的評論或言論或文章未經批準，私自轉借筆記本電腦及各種便攜存儲設備私自刻錄文檔，盜用他人帳號非法收集大量與本崗位工作無關機密級以上文檔員工在離崗期間未按照公司《員工離崗調動規(guī)定》，私自刪除，拷貝，修改自己終端計算機系統(tǒng)內的信息資產未按照公司IT設備相關規(guī)定私自調配使用IT資產29違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全一級違規(guī)常見的信息安全違規(guī)行為-一級違規(guī)有意散布傳播政治性言論或公司內部未公開的信息惡意攻擊公司網絡和信息系統(tǒng)，編制或傳播病毒程序有意竊取、盜賣公司保密信息，惡意損壞、泄漏機密級以上信息；因個人工作原因造成的絕密信息資產丟失(包括管理員備份的電子文件,數據庫文件無法正?；謴?，以及員工自己保存的紙質文檔電子文檔信息資產)。301、信息資產只用于授權范圍內使用。各體系部門產生的所有文檔都要加注信息安全封面，特別要明確保密等級及授權范圍。將信息資產輸出到公司以外范圍時，需經領導審批同意后向部門信息安全管理員登記備案。2、經過正常授權獲得保密信息的人員無權將所獲得的保密信息再授權，也不得提供給任何未經授權發(fā)送的第三方。禁止員工私下交流保密信息。

3、辦公室信息安全員工下班后桌面上不能有保密級以上紙件文檔；員工離開座位超過10分鐘，桌面上不能有保密級以上文檔；保密信息文檔應放在帶鎖抽屜或保密柜內；未經批準，嚴禁員工和來訪人員在辦公區(qū)域使用照相機或其他錄像設備。4、會議信息安全會議的信息安全由會議召集人負責，會議的錄音、錄像應由會議召集人或其指定人員妥善保管，如需重復使用，則使用前應刪除原有內容；會議結束后應有專人清理會場，回收清點核對會議資料并妥善處理。信息資產的使用及發(fā)送注意事項311、《宇通集團信息安全管理規(guī)范》2、《信息終端使用管理規(guī)范》3、《宇通集團信息安全審計管理細則》

4、《電子文檔管理規(guī)范》5、《筆記本電腦管理規(guī)定》公司現行信息安全相關管理規(guī)范32案例一：1964年《中國畫報》大慶在齊齊哈爾與哈爾濱之間油井直徑油田儲量及產量中國政府向全球征求設計方案并采購設備時日本公司一舉中標中國建國第一泄密大案33案例二：

供應鏈體系某員工，EIP登錄密碼保管不善，密碼被其他員工獲取。該賬戶被他人盜用后，在網絡上發(fā)布公司生產安排等涉密信息，給公司生產安排造成了損失。最終被罰款300元。2009年9月，技術體系某員工在內部論壇，將正在研發(fā)過程中的房車技術資料作為附件上傳，全公司范圍內都可閱讀下載，屬于嚴重泄密，最終被罰款1000元。34案例三：

生產體系部分員工將系統(tǒng)登錄密碼、EIP登錄密碼、SAP登錄密碼明文記錄后公開張貼，最終被罰款300元。

所有系統(tǒng)登錄密碼均