信息安全管理指引

.目的為了科學、有效地管理，促進網(wǎng)絡系統(tǒng)安全應用、高效運行，充分發(fā)揮網(wǎng)絡作用，保證局域網(wǎng)的安全、全公司及客戶的所有產品制作、管理、發(fā)放、回收、銷售及銷毀，為確?？蛻艏拔夜井a品所有產品信息不被泄露。.適用范圍公司信息安全管控的過程。.職責項目組：負責編制客戶代碼。QC：負責所有來料、半成品及成品的檢驗。倉管：負責所有產品、物料的發(fā)放、管理、整理。品質主管：確認生產中產出的不良品的管控。保安隊長：負責對來訪客人的指引，對品牌保護政策的宣傳和對員工的相關培訓以及監(jiān)管成品、半成品、不良品等的銷毀工作。.6銷售部工程師：負責確認客戶提供的樣品。集團IT工程師：負責公司IT設備、程序的安裝，網(wǎng)絡的安全及門禁系統(tǒng)的管控。各部門實際操作人員：負責對IT設備的日常保管和正確的操作使用。集團人力資源部：負責監(jiān)督執(zhí)行各項工作的開展及執(zhí)行及保密相機的管理與照片讀取的審核。.工作程序信息安全管理小組.1.1公司組織成立信息安全小組（見附件組織架構），由小組成員定期對公司的信息安全運行狀況進行監(jiān)督檢查及跟進改善；.4.2信息安全管理小組組長負責每月定期組織小組成員召開一次會議，并保留會議記錄。4.2客戶信息安全控制客戶名稱、地址為公司的秘密信息，為對此信息進行管控，所有客戶均以代碼形式出現(xiàn)。4.2.1銷售部在客戶開發(fā)階段，尚未建立客戶代碼，由銷售部業(yè)務員自編代碼，待客戶導入后才申請正式的代碼；4.2.2當客戶正式導入后，由銷售部將相關資料如正式訂單、營業(yè)執(zhí)照、開戶行等信息提交給項目組，由項目組根據(jù)產品類型確定此客戶為A類、B類或C類，再根據(jù)流水號進行編號，最終形成“AXXX”、“BXXX”或“CXXX”，此為最終的客戶代碼；4.2.3公司各部門溝通及生產流通的相關記錄（如工程單、打樣單、生產排期、生產日報表、出/入倉單、各工序制程管制表、成品檢驗報告等等），只可出現(xiàn)客戶代碼。3技術資料安全控制技術資料包括產品信息、工藝文件、客戶標準、客戶訂單、圖紙、BOM表、內/外部會議記錄等等均為公司機密資料，未經(jīng)允許禁止泄露。3.1研發(fā)禁止使用USB,設置單獨的房間用于放置服務器，放置服務器的房間應上鎖，只有授權人員方可進入；3.2研發(fā)設置門禁并安裝CCTV,非此部門人員禁止入內，若因工作原因需要進入需得到研發(fā)經(jīng)理的許可；3.3所有人員不得以任何方式泄露公司的技術資料，電腦禁用USB,若因工作需要使用USB,必須用的在0A填寫《可移動介質權限申請表》，經(jīng)部門總監(jiān)審核，集團IT部總監(jiān)批準方可開通其電腦權限；3.4所有人員不得私自將客戶產品圖案或結構用于其它客戶的產品上；3.5涉密項目的關鍵崗位人員，禁止參與對應客戶競爭對手的項目；3.6技術資料存儲柜需上鎖；3.7文檔打印4.3.7.1所有人員不得私自將公司文件打印帶出公司，若在上班時間打印工作文件時，需要即刻在打印機處等候文件的打印，文件打印完成后馬上取走，若因文件打印時有其他緊急事件，應該通知本部門人員代為領取打印文件；4.3.7.2研發(fā)技術資料禁止打??；對于涉密的部門（設計開發(fā)部項目組）需安裝加密網(wǎng)絡內的打印機1）涉密內容只能在加密打印機上打印；普通網(wǎng)絡下的電腦無法連接到加密打印機。2）因工作需要打印涉密內容，打印者需在涉密軟件客戶端在線申請打印，部門經(jīng)理批準后方能打印成功。3）對加入加密網(wǎng)絡內的電腦屏幕打印啟用水印功能，用于事后泄密追蹤的審計。4）各部門打印的涉密內容紙檔都不可隨意存放，需管控在涉密圈內的人員才有權限查看的地方。4.4拍照控制4.4.1工廠在廠區(qū)門口、接待室、展廳、各車間張貼“禁止拍照”的標識。4.4.2員工、訪客進入生產區(qū)域時隨身攜帶的手機、相機等有攝像功能的設備需交保安貼膜。保密車間嚴禁攜帶手機進入（針對在保密車間辦公的管理人員，公司為其配備無攝像功能的手機）；保密車間，員工的手機需放在手機柜并上鎖。4.4.4拍照權限：4.4.4.1公司為人力資源部配置1臺專用拍照相機，相機上張貼“保密專用”標識，數(shù)據(jù)傳輸端口貼易碎標簽，防止拍照者私自讀取照片；4.4.4.2所有非保密車間員工、訪客如需進入保密車間拍照，必須寫《工作聯(lián)絡單》

經(jīng)過車間最高主管審批后，才能對指定區(qū)域或工廠設施進行拍照；4.4.4.3被批準可以拍照者需憑已審批的《工作聯(lián)絡單》到人力資源部借用相機，人力資源部需做好保密相機的借出/歸還登記；4.4.4.4訪客拍照時必須有本廠人員陪同，禁止近距離拍攝產品；4.4.4.5公司為人力資源部授權1臺電腦主機負責讀取照片，所有照片需經(jīng)人力資源部指定人員審核，確認無泄密風險后才能讀取。4.4.5員工、訪客未經(jīng)許可，私自拍照時車間主管有權制止并向管理層匯報。4.5樣品控制4.5.1打樣區(qū)域設立門禁系統(tǒng)，授權人員方可入內；4.5.2樣板在其他部門流轉時須用白紙覆蓋其表面；4.5.3樣板制作人員須將樣板數(shù)量詳細記入《生產日報表》中；4.5.4樣板制作過程中產生的不良品按《知識產權保護管理程序》進行報廢處理；5.5所有樣品必須在大貨走貨后6個月才可以展示在樣品展示室。4.6帶客戶標識的物料/輔料控制物料/輔料倉為受控制區(qū)域，倉庫主管應對進入倉庫的人員進行監(jiān)督，以防止無關人員進入。6.2對于帶有客戶商標的物料/輔料，必須存放于受控制區(qū)域，如帶有鎖的柜子里，并進行楊^識。6.3倉庫人員在收到各類帶有客戶標識的物料/輔料后，先點清數(shù)量，進行品質檢查后分類貯存，并鎖好。每種物料/輔料儲存處都要有完整的記錄收、發(fā)、存的物料管制卡。如條件允許，應將所有的收、發(fā)、存情況記錄于電腦中，以清晰知道每種物料/輔料的庫存狀況。發(fā)給各生產部的帶客戶標識的物料/輔料，如數(shù)量不足時應填寫《生產領料單》經(jīng)生產總監(jiān)批準后方可再領取。在生產過程中，帶客戶標識的物料/輔料如有毀壞或不良時，要以毀壞品或不良品換取相同數(shù)量的新物料/輔料。6.7在生產過程中，帶客戶標識的物料/輔料如有個別遺失，要立即通知車間主管，經(jīng)查找，確不能找回的，經(jīng)車間主管和倉管確認后，方能補發(fā)。帶有客戶標識的物料/輔料，如有不良品或過期不能再用，要定期（如每3個月）進行銷毀處理以免混亂。不良品或過期不能再用的物料、輔料應存放于指定的區(qū)域，如倉庫，進行標識，并有庫存記錄。銷毀之前，倉庫應填寫《報廢申請單》，將建議銷毀的物料/輔料款號、名稱、規(guī)格、顏色、數(shù)量等進行記錄。銷售部CSR或業(yè)助應通過電子郵件的方式告訴客戶或貿易公司相關人員，獲得同意后方可進行銷毀。工廠應保留客戶或貿易公司同意銷毀的電子郵件或其它書面記錄。6.11銷毀的方式可以為切紙機切斷（切成2段）、打廢紙機切斷等。6.12銷毀時，要有品質人員、保安人員現(xiàn)場監(jiān)督執(zhí)行。銷毀的全過程要進行拍照，制作成銷毀記錄（該記錄內容包括銷毀時的照片、監(jiān)督人員姓名及日期、公司蓋章等），與客戶或貿易公司同意銷毀的電子郵件或其它書面記錄，以及銷毀清單一起至少保存1年。4.7不良品控制本公司的不良品是指在生產過程中某些原因導致的不能滿足客戶要求的調機品、半成品和成品。4.7.2不良品應存放于指定的區(qū)域，進行標識。保密期的不良品，生產部統(tǒng)一交接給各事業(yè)處的最后一道工序并保留交接記錄，待客戶產品正式上市后方可銷毀。4.7.4銷售部CS或業(yè)助應通過電子郵件的方式告訴客戶或貿易公司相關人員，獲得同意后方可進行銷毀。工廠應保留客戶或貿易公司同意銷毀的電子郵件或其它書面記錄。4.7.5銷毀之前，品質部應填寫《報廢申請單》，記錄建議銷毀的不良品工程單號、料號、名稱、數(shù)量等內容。4.7.6銷毀的方式可以為切紙機切斷（將帶有的品牌標識切成2段）、打廢紙機切斷等。4.7.7銷毀時，要有品質人員、保安人員現(xiàn)場監(jiān)督執(zhí)行。4.7.8銷毀的全過程要進行拍照并且錄像，制作成銷毀記錄（該記錄內容包括銷毀時的照片、監(jiān)督人員姓名及日期、公司蓋章等），與客戶或貿易公司同意銷毀的電子郵件或其它書面記錄，以及銷毀清單一起至少保存1年。4.8樣板、成品貨尾、不符合出貨品質要求的成品、取消訂單、退回產品（RTV）等銷毀控制程序4.8.1上述成品必須存放于制定的區(qū)域，進行標識，并有庫存記錄。4.8.2必須是大貨走貨后12個月以上才能向客戶申請銷毀。4.8.3處理前必須將數(shù)量、料號、顏色、相片等資料交給相關品牌的客戶批核同意，獲得授權書或認證書后才可進行銷毀。4.8.4跟據(jù)客戶的要求，進行處理后方可銷毀，如：移除所有品牌標識或涂上擦不掉的墨水（如果不能移除標簽），并進行拍照。8.5所有銷毀記錄必須保存至少1年。.9本公司的保密產品不允許外發(fā)加工。.10網(wǎng)絡和數(shù)據(jù)安全控制10.1局域網(wǎng)安全與信息管理10.1.1局域網(wǎng)的安全管理，應當保障計算機網(wǎng)絡設備和配套設施的安全，保障網(wǎng)絡系統(tǒng)的正常運行，保障信息系統(tǒng)的安全運行。局域網(wǎng)的所有工作人員及局域網(wǎng)用戶必須遵守國家有關法規(guī)，嚴格執(zhí)行安全保密制度，并對所提供、所傳播的信息負責。10.1.3局域網(wǎng)入網(wǎng)的計算機必須嚴格遵守公司的相關規(guī)定。10.1.4任何部門或個人不得利用計算機網(wǎng)絡從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機網(wǎng)絡及信息系統(tǒng)的安全。10.L5任何部門或個人不得利用計算機網(wǎng)絡瀏覽和傳播色情網(wǎng)站、反動網(wǎng)站，堅決杜絕色情、反動、暴力等有害信息在局域網(wǎng)的傳播。10.1.6局域網(wǎng)的工作人員和局域網(wǎng)用戶必須接受本公司有關管理部門按章依法進行的網(wǎng)絡系統(tǒng)及信息系統(tǒng)的安全檢查。10.L7在局域網(wǎng)上不允許進行任何干擾網(wǎng)絡用戶、破壞網(wǎng)絡服務和破壞網(wǎng)絡設備的活動。禁止在網(wǎng)絡上發(fā)布不真實的信息，不得使用網(wǎng)絡進入未經(jīng)授權使用的計算機，不得以虛假身份使用網(wǎng)絡資源等。10.1.9任何部門和個人不得私自將計算機接入局域網(wǎng)。10.L10任何部門和個人不得盜用局域網(wǎng)資源。局域網(wǎng)用戶必須對提供的信息負責，不得利用網(wǎng)絡從事危害公司安全、泄露公司機密等犯罪活動，不得制作、查閱、復制和傳播有礙社會治安和不健康的、有傷風化的信息。10.1.12嚴禁制造和輸入計算機病毒以及其他有害數(shù)據(jù)危害計算機信息系統(tǒng)的安全。10.1.13發(fā)現(xiàn)違法犯罪行為和有害的、不健康的信息，局域網(wǎng)用戶應及時報告公司集團IT工程師。10.1.14各部門對上網(wǎng)信息要進行審查，嚴格把關，凡涉及國家及公司秘密的信息嚴禁上網(wǎng)。嚴禁瀏覽、復制或傳播下列信息：1）煽動分裂國家、破壞國家統(tǒng)一和民族團結、推翻社會主義制度；2）煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施；3）捏造或者歪曲事實，故意散布謠言，擾亂社會秩序；4）公然侮辱他人或者捏造事實誹謗他人；5）宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等；局域網(wǎng)嚴禁以下行為：1）未經(jīng)批準私自連接集線器、交換機等網(wǎng)絡設備；2）用各種手段私自切斷他人網(wǎng)絡連接；3）通過掃描、偵聽、破解口令、安置木馬、遠程接管、利用系統(tǒng)缺陷等手段獲取他人信息；4）通過局域網(wǎng)向與其無被管理關系和信息服務關系的用戶亂發(fā)垃圾E-Mail；5）冒用他人名義從事網(wǎng)上活動的；6）故意制作、傳播計算機病毒等破壞性程序；7）使用信息炸彈，致使局域網(wǎng)系統(tǒng)或連網(wǎng)計算機系統(tǒng)發(fā)生阻塞、溢出、處理機忙、資源異常消耗、死鎖、癱瘓等運行異常的的行為。4.10.2數(shù)據(jù)保密及數(shù)據(jù)備份4.10.2.1根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權限、存取方式和審批手續(xù)。4.10.2.2禁止泄露、外借和轉移專業(yè)數(shù)據(jù)信息、。4.10.2.3制定業(yè)務數(shù)據(jù)的更改審批制度，未經(jīng)批準不得隨意更改業(yè)務數(shù)據(jù)。4.10.2.4每周五集團IT工程師制作數(shù)據(jù)的備份并異地存放，確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復，備份數(shù)據(jù)不得更改。4.10.2.5業(yè)務數(shù)據(jù)必須定期、完整、真實、準確地轉儲到不可更改的介質上，并要求集中和異地保存，保存期限至少2年。4.10.2.6備份的數(shù)據(jù)必須指定專人負責保管，備份數(shù)據(jù)應在指定的場所保管。4.10.2.7備份數(shù)據(jù)資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。10.3外接存儲設備安全管理公司所有電腦默認禁用USB端口及光盤、光驅未經(jīng)許可，嚴禁所有人員以個人介質光盤、U盤、移動硬盤等存儲設備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設備中，需憑上級簽批的《工作聯(lián)絡單》到集團IT部借用公司存儲設備做文件拷貝。10.3.2嚴禁任何人私自拆開電腦機箱;用戶主機貼上封條標簽，除集團IT部人員外，任何人不得私自拆開機箱，若集團IT部進行電腦硬件故障排查時，拆除封條標簽后，在故障排查結束及時更換新的封條標簽。集團IT部將定期檢查，若發(fā)現(xiàn)有封條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關人責任,確保主機內硬盤的安全。加密網(wǎng)絡的建立及解除10.4.1新的涉密項目的引入，第一接觸部門將涉密內容正式通知到相關組員執(zhí)行保密要求；當涉密項目已經(jīng)不需要保密的時候，原發(fā)出部門再次發(fā)出郵件解除涉密內容。10.4.2各部門工作人員因工作需要開通涉密內容權限和加入加密網(wǎng)絡，需提交《涉密內容權限申請表》經(jīng)部門經(jīng)理、集團IT總監(jiān)批準后，通知集團IT工程師加入加密網(wǎng)絡。4.11計算機安全控制計算機病毒防范集團IT工程師應有病毒防范意識，每日定時進行病毒檢測（特別是郵件服務器），發(fā)現(xiàn)病毒立即處理并通知管理部門或專職人員。2采用國家許可的正版防病毒軟件并及時更新軟件版本。未經(jīng)上級管理人員許可，集團IT工程師不得在服務器上安裝新軟件，若確為需要安裝，安裝前應進行病毒例行檢測。經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。4.11.2賬號和密碼安全管理使用者須妥善保管好自己的帳戶和密碼，嚴防被竊取而導致泄密，帳戶及密碼由網(wǎng)絡管理員設置后通知員工。所有員工必須在所使用的計算機中設置開機密碼和屏幕保護密碼。為了保護公司的信息資產，設置密碼時應注意：密碼至少由8位及8位以上的字母A-Z或a-z、數(shù)字0-9、非字母字符例如？*$等組合而成。4.11.2.1電腦密碼管理：新員工申請帳戶時OA填寫《IT賬號和權限申請流程》完成批準后，網(wǎng)絡管理員將在一天內將開通的賬戶信息通知其本人。每個員工擁有一個公司內部計算機登錄帳戶，公司所有用戶在分配到工作電腦時，應首先更改自己的電腦登錄密碼。4.11.2.2應用系統(tǒng)密碼管理：所有ERP用戶及0A用戶都將分配到一個帳號密碼，密碼盡可能置為高安全性的復雜密碼，嚴禁用戶將密碼設置為如123456等傻瓜式密碼，若密碼設置過于簡單，被其他用戶非法登陸后，在ERP中將會非法編制篡改單據(jù)，在0A中非法冒用流程管理權限，若產生此情況，將會導致嚴重的后果；嚴禁將ERP帳號或0A帳號密碼透露給他人，讓他人代己做ERP單據(jù)或辦理0A流程。各類軟件安全管理硬件設備的原始資料（軟盤、光盤、說明書及保修卡、許可證協(xié)議等）交IT部保管。保管應做到防水、防磁、防火、防盜。使用者必需的操作守冊由使用者長借、保管。4.11.4郵件安全管理4.11.4.1所有因公對外聯(lián)系的電子郵件一律通過公司郵箱xxx@sz-sunway,com（具體參考《電子郵件和互聯(lián)網(wǎng)使用規(guī)定》）加密網(wǎng)絡內的郵箱：將因工作需要接觸到涉密內容的人員郵箱進行登記造冊，建立白名單，只有在白名單內的郵箱才能接收和查看保密內容。在加密電腦上建立的非白名單郵箱，在發(fā)送郵件時需要經(jīng)過部門經(jīng)理審計后才能發(fā)送成功。計算機操作者安全管理各部門所使用之IT設備皆為公司資產，任何人不可進行惡意破壞。員工對在自己公司電腦內公司機密信息的安全負責，必須啟動屏幕保護程序（自動鎖屏時間為8分鐘內）并帶有密碼。公司計算機內之硬件，除得到授權外，只可由IT工程組人員進行更換或維護。任何人不得私自打開機箱。4.11.5.4不可利用公司IT設備作私人用途。如發(fā)現(xiàn)公司IT設備有任何異常聲響或氣味出現(xiàn)時，應立即切斷電源，并及時通知IT工程組人員進行檢修。如果較長時間（超過30分鐘）不使用計算機時，須將電腦鎖定并關閉顯示器之電源。下班后必須關閉計算機主機并切斷電源。4.11.5.7計算機系統(tǒng)內任何軟件均有版權，軟件安裝、設定均由電腦工程師專人負責，除得到授權外，任何人不得私自安裝、刪除或更改軟件設置。如工作需要安裝軟件必須填寫0A《IT賬號和權限申請流程》，經(jīng)過批準后，由IT部負責安裝。公司計算機內所有數(shù)據(jù)資料，均為公司資產，受知識產權法保護，任何人不得故意刪改。4.11.5.9所有不明來歷軟件或檔案均有可能傳播計算機病毒，各電腦操作者如發(fā)現(xiàn)有不明來歷軟件或電子檔案應及時通知電腦工程師。4.11.5.10除經(jīng)上級領導核準外，所有員工一律不能把公司內之數(shù)據(jù)以任何媒體（包括電子郵件、軟盤、硬盤、光盤、U盤、MP3、MP4、手機或打印等）方式發(fā)放到公司以外之地方，一經(jīng)發(fā)現(xiàn)，將視作企圖盜取公司資料（公司資產）論處。任何人不得利用公司電腦資源下載MP3音樂、看電影、玩游戲，不得利用公司內（外）部郵件服務器或用服務器上共享目錄傳送游戲程序、音樂、電子小說等以及與工作無關的圖片等。4.11.5.12服務器上分配給各部門的空間，用以存儲部門日常工作文件（包括日常報表、圖紙、相關的文檔等），不得作其它用途（如視頻文件，個人資料等）。4.11.5.13服務器上本部門數(shù)據(jù)，應定期進行規(guī)檔整理。對于長時間或以后都不再用到的數(shù)據(jù)，要通知電腦管理將其備份后，從現(xiàn)在目錄中移除，以節(jié)省服務器存儲空間，提高服務器工作效能。4.1L5.14任何人不得私自在互聯(lián)網(wǎng)上下載文件，所有使用電子郵件之員工，若收到不明之郵件時，切勿打開該郵件，應立即刪除該郵件及通知集團IT工程師。4.11.6加密網(wǎng)絡內的電腦4.11.6.1加密網(wǎng)絡內的電腦，集團IT部都會關閉電腦的USB接口功能，不允許電腦連接任何外用設備：U盤、硬盤、光盤、照相機等，加密電腦無法連接普通網(wǎng)絡內的打印機。4.11.6.2加密手提電腦都必須貼有標簽注明某客戶專用字樣，以區(qū)分加密電腦和普通電腦。因工作出差需將加密電腦帶離出廠，出廠前需填寫《工作聯(lián)絡單》，經(jīng)部門經(jīng)理批準后通知IT部網(wǎng)絡技術員對手提電腦進行出廠授權，限定涉密文件的使用次數(shù)和時限，在筆記本電腦所有外接端口貼易碎流水標簽，外出回廠后需到集團IT部進行端口解封檢