信息安全管理指引

**有限公司工作指導(dǎo)書(shū)文件編號(hào)WI-014生效日期2019.06.27信息安全管理指引修訂狀態(tài)A0頁(yè)碼第1頁(yè)共8頁(yè)1.目的為了科學(xué)、有效地管理，促進(jìn)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)用、高效運(yùn)行，充分發(fā)揮網(wǎng)絡(luò)作用，保證局域網(wǎng)的安全、全公司及客戶(hù)的所有產(chǎn)品制作、管理、發(fā)放、回收、銷(xiāo)售及銷(xiāo)毀，為確保客戶(hù)及我公司產(chǎn)品所有產(chǎn)品信息不被泄露。2.適用范圍公司信息安全管控的過(guò)程。3.職責(zé)3.1項(xiàng)目組：負(fù)責(zé)編制客戶(hù)代碼。3.2QC：負(fù)責(zé)所有來(lái)料、半成品及成品的檢驗(yàn)。3.3倉(cāng)管：負(fù)責(zé)所有產(chǎn)品、物料的發(fā)放、管理、整理。3.4品質(zhì)主管：確認(rèn)生產(chǎn)中產(chǎn)出的不良品的管控。3.5保安隊(duì)長(zhǎng)：負(fù)責(zé)對(duì)來(lái)訪客人的指引，對(duì)品牌保護(hù)政策的宣傳和對(duì)員工的相關(guān)培訓(xùn)以及監(jiān)管成品、半成品、不良品等的銷(xiāo)毀工作。3.6銷(xiāo)售部工程師：負(fù)責(zé)確認(rèn)客戶(hù)提供的樣品。3.7集團(tuán)IT工程師：負(fù)責(zé)公司IT設(shè)備、程序的安裝，網(wǎng)絡(luò)的安全及門(mén)禁系統(tǒng)的管控。3.8各部門(mén)實(shí)際操作人員：負(fù)責(zé)對(duì)IT設(shè)備的日常保管和正確的操作使用。3.8集團(tuán)人力資源部：負(fù)責(zé)監(jiān)督執(zhí)行各項(xiàng)工作的開(kāi)展及執(zhí)行及保密相機(jī)的管理與照片讀取的審核。4.工作程序4.1信息安全管理小組4.1.1公司組織成立信息安全小組（見(jiàn)附件組織架構(gòu)），由小組成員定期對(duì)公司的信息安全運(yùn)行狀況進(jìn)行監(jiān)督檢查及跟進(jìn)改善；4.4.2信息安全管理小組組長(zhǎng)負(fù)責(zé)每月定期組織小組成員召開(kāi)一次會(huì)議，并保留會(huì)議記錄。4.2客戶(hù)信息安全控制客戶(hù)名稱(chēng)、地址為公司的秘密信息，為對(duì)此信息進(jìn)行管控，所有客戶(hù)均以代碼形式出現(xiàn)。4.2.1銷(xiāo)售部在客戶(hù)開(kāi)發(fā)階段，尚未建立客戶(hù)代碼，由銷(xiāo)售部業(yè)務(wù)員自編代碼，待客戶(hù)導(dǎo)入后才申請(qǐng)正式的代碼；4.2.2當(dāng)客戶(hù)正式導(dǎo)入后，由銷(xiāo)售部將相關(guān)資料如正式訂單、營(yíng)業(yè)執(zhí)照、開(kāi)戶(hù)行等信息提交給項(xiàng)目組，由項(xiàng)目組根據(jù)產(chǎn)品類(lèi)型確定此客戶(hù)為A類(lèi)、B類(lèi)或C類(lèi)，再根據(jù)流水號(hào)進(jìn)行編號(hào)，最終形成“AXXX”、“BXXX”或“CXXX”，此為最終的客戶(hù)代碼；4.2.3公司各部門(mén)溝通及生產(chǎn)流通的相關(guān)記錄（如工程單、打樣單、生產(chǎn)排期、生產(chǎn)日?qǐng)?bào)表、出/入倉(cāng)單、各工序制程管制表、成品檢驗(yàn)報(bào)告等等），只可出現(xiàn)客戶(hù)代碼。4.3技術(shù)資料安全控制技術(shù)資料包括產(chǎn)品信息、工藝文件、客戶(hù)標(biāo)準(zhǔn)、客戶(hù)訂單、圖紙、BOM表、內(nèi)/外部會(huì)議記錄等等均為公司機(jī)密資料，未經(jīng)允許禁止泄露。研發(fā)禁止使用USB，設(shè)置單獨(dú)的房間用于放置服務(wù)器，放置服務(wù)器的房間應(yīng)上鎖，只有授權(quán)人員方可進(jìn)入；研發(fā)設(shè)置門(mén)禁并安裝CCTV，非此部門(mén)人員禁止入內(nèi)，若因工作原因需要進(jìn)入需得到研發(fā)經(jīng)理的許可；所有人員不得以任何方式泄露公司的技術(shù)資料，電腦禁用USB，若因工作需要使用USB，必須用的在OA填寫(xiě)《可移動(dòng)介質(zhì)權(quán)限申請(qǐng)表》，經(jīng)部門(mén)總監(jiān)審核，集團(tuán)IT部總監(jiān)批準(zhǔn)方可開(kāi)通其電腦權(quán)限；所有人員不得私自將客戶(hù)產(chǎn)品圖案或結(jié)構(gòu)用于其它客戶(hù)的產(chǎn)品上；涉密項(xiàng)目的關(guān)鍵崗位人員，禁止參與對(duì)應(yīng)客戶(hù)競(jìng)爭(zhēng)對(duì)手的項(xiàng)目；技術(shù)資料存儲(chǔ)柜需上鎖；文檔打印所有人員不得私自將公司文件打印帶出公司，若在上班時(shí)間打印工作文件時(shí)，需要即刻在打印機(jī)處等候文件的打印，文件打印完成后馬上取走，若因文件打印時(shí)有其他緊急事件，應(yīng)該通知本部門(mén)人員代為領(lǐng)取打印文件；研發(fā)技術(shù)資料禁止打?。粚?duì)于涉密的部門(mén)（設(shè)計(jì)開(kāi)發(fā)部項(xiàng)目組）需安裝加密網(wǎng)絡(luò)內(nèi)的打印機(jī)涉密內(nèi)容只能在加密打印機(jī)上打??；普通網(wǎng)絡(luò)下的電腦無(wú)法連接到加密打印機(jī)。因工作需要打印涉密內(nèi)容，打印者需在涉密軟件客戶(hù)端在線(xiàn)申請(qǐng)打印，部門(mén)經(jīng)理批準(zhǔn)后方能打印成功。對(duì)加入加密網(wǎng)絡(luò)內(nèi)的電腦屏幕打印啟用水印功能，用于事后泄密追蹤的審計(jì)。各部門(mén)打印的涉密內(nèi)容紙檔都不可隨意存放，需管控在涉密圈內(nèi)的人員才有權(quán)限查看的地方。4.4拍照控制4.4.1工廠在廠區(qū)門(mén)口、接待室、展廳、各車(chē)間張貼“禁止拍照”的標(biāo)識(shí)。4.4.2員工、訪客進(jìn)入生產(chǎn)區(qū)域時(shí)隨身攜帶的手機(jī)、相機(jī)等有攝像功能的設(shè)備需交保安貼膜。保密車(chē)間嚴(yán)禁攜帶手機(jī)進(jìn)入（針對(duì)在保密車(chē)間辦公的管理人員，公司為其配備無(wú)攝像功能的手機(jī)）；4.4.3保密車(chē)間，員工的手機(jī)需放在手機(jī)柜并上鎖。4.4.4拍照權(quán)限：公司為人力資源部配置1臺(tái)專(zhuān)用拍照相機(jī)，相機(jī)上張貼“保密專(zhuān)用”標(biāo)識(shí)，數(shù)據(jù)傳輸端口貼易碎標(biāo)簽，防止拍照者私自讀取照片；所有非保密車(chē)間員工、訪客如需進(jìn)入保密車(chē)間拍照，必須寫(xiě)《工作聯(lián)絡(luò)單》經(jīng)過(guò)車(chē)間最高主管審批后，才能對(duì)指定區(qū)域或工廠設(shè)施進(jìn)行拍照；被批準(zhǔn)可以拍照者需憑已審批的《工作聯(lián)絡(luò)單》到人力資源部借用相機(jī)，人力資源部需做好保密相機(jī)的借出/歸還登記；訪客拍照時(shí)必須有本廠人員陪同，禁止近距離拍攝產(chǎn)品；公司為人力資源部授權(quán)1臺(tái)電腦主機(jī)負(fù)責(zé)讀取照片，所有照片需經(jīng)人力資源部指定人員審核，確認(rèn)無(wú)泄密風(fēng)險(xiǎn)后才能讀取。4.4.5員工、訪客未經(jīng)許可，私自拍照時(shí)車(chē)間主管有權(quán)制止并向管理層匯報(bào)。4.5樣品控制4.5.1打樣區(qū)域設(shè)立門(mén)禁系統(tǒng)，授權(quán)人員方可入內(nèi)；4.5.2樣板在其他部門(mén)流轉(zhuǎn)時(shí)須用白紙覆蓋其表面；4.5.3樣板制作人員須將樣板數(shù)量詳細(xì)記入《生產(chǎn)日?qǐng)?bào)表》中；4.5.4樣板制作過(guò)程中產(chǎn)生的不良品按《知識(shí)產(chǎn)權(quán)保護(hù)管理程序》進(jìn)行報(bào)廢處理；4.5.5所有樣品必須在大貨走貨后6個(gè)月才可以展示在樣品展示室。4.6帶客戶(hù)標(biāo)識(shí)的物料/輔料控制4.6.1物料/輔料倉(cāng)為受控制區(qū)域，倉(cāng)庫(kù)主管應(yīng)對(duì)進(jìn)入倉(cāng)庫(kù)的人員進(jìn)行監(jiān)督，以防止無(wú)關(guān)人員進(jìn)入。4.6.2對(duì)于帶有客戶(hù)商標(biāo)的物料/輔料，必須存放于受控制區(qū)域，如帶有鎖的柜子里，并進(jìn)行標(biāo)識(shí)。4.6.3倉(cāng)庫(kù)人員在收到各類(lèi)帶有客戶(hù)標(biāo)識(shí)的物料/輔料后，先點(diǎn)清數(shù)量，進(jìn)行品質(zhì)檢查后分類(lèi)貯存，并鎖好。4.6.4每種物料/輔料儲(chǔ)存處都要有完整的記錄收、發(fā)、存的物料管制卡。如條件允許，應(yīng)將所有的收、發(fā)、存情況記錄于電腦中，以清晰知道每種物料/輔料的庫(kù)存狀況。4.6.5發(fā)給各生產(chǎn)部的帶客戶(hù)標(biāo)識(shí)的物料/輔料，如數(shù)量不足時(shí)應(yīng)填寫(xiě)《生產(chǎn)領(lǐng)料單》經(jīng)生產(chǎn)總監(jiān)批準(zhǔn)后方可再領(lǐng)取。4.6.6在生產(chǎn)過(guò)程中，帶客戶(hù)標(biāo)識(shí)的物料/輔料如有毀壞或不良時(shí)，要以毀壞品或不良品換取相同數(shù)量的新物料/輔料。4.6.7在生產(chǎn)過(guò)程中，帶客戶(hù)標(biāo)識(shí)的物料/輔料如有個(gè)別遺失，要立即通知車(chē)間主管，經(jīng)查找，確不能找回的，經(jīng)車(chē)間主管和倉(cāng)管確認(rèn)后，方能補(bǔ)發(fā)。4.6.8帶有客戶(hù)標(biāo)識(shí)的物料/輔料，如有不良品或過(guò)期不能再用，要定期（如每3個(gè)月）進(jìn)行銷(xiāo)毀處理以免混亂。4.6.9不良品或過(guò)期不能再用的物料、輔料應(yīng)存放于指定的區(qū)域，如倉(cāng)庫(kù)，進(jìn)行標(biāo)識(shí)，并有庫(kù)存記錄。銷(xiāo)毀之前，倉(cāng)庫(kù)應(yīng)填寫(xiě)《報(bào)廢申請(qǐng)單》，將建議銷(xiāo)毀的物料/輔料款號(hào)、名稱(chēng)、規(guī)格、顏色、數(shù)量等進(jìn)行記錄。4.6.10銷(xiāo)售部CSR或業(yè)助應(yīng)通過(guò)電子郵件的方式告訴客戶(hù)或貿(mào)易公司相關(guān)人員，獲得同意后方可進(jìn)行銷(xiāo)毀。工廠應(yīng)保留客戶(hù)或貿(mào)易公司同意銷(xiāo)毀的電子郵件或其它書(shū)面記錄。4.6.11銷(xiāo)毀的方式可以為切紙機(jī)切斷（切成2段）、打廢紙機(jī)切斷等。4.6.12銷(xiāo)毀時(shí)，要有品質(zhì)人員、保安人員現(xiàn)場(chǎng)監(jiān)督執(zhí)行。4.6.13銷(xiāo)毀的全過(guò)程要進(jìn)行拍照，制作成銷(xiāo)毀記錄（該記錄內(nèi)容包括銷(xiāo)毀時(shí)的照片、監(jiān)督人員姓名及日期、公司蓋章等），與客戶(hù)或貿(mào)易公司同意銷(xiāo)毀的電子郵件或其它書(shū)面記錄，以及銷(xiāo)毀清單一起至少保存1年。4.7不良品控制4.7.1本公司的不良品是指在生產(chǎn)過(guò)程中某些原因?qū)е碌牟荒軡M(mǎn)足客戶(hù)要求的調(diào)機(jī)品、半成品和成品。4.7.2不良品應(yīng)存放于指定的區(qū)域，進(jìn)行標(biāo)識(shí)。4.7.3保密期的不良品，生產(chǎn)部統(tǒng)一交接給各事業(yè)處的最后一道工序并保留交接記錄，待客戶(hù)產(chǎn)品正式上市后方可銷(xiāo)毀。4.7.4銷(xiāo)售部CS或業(yè)助應(yīng)通過(guò)電子郵件的方式告訴客戶(hù)或貿(mào)易公司相關(guān)人員，獲得同意后方可進(jìn)行銷(xiāo)毀。工廠應(yīng)保留客戶(hù)或貿(mào)易公司同意銷(xiāo)毀的電子郵件或其它書(shū)面記錄。4.7.5銷(xiāo)毀之前，品質(zhì)部應(yīng)填寫(xiě)《報(bào)廢申請(qǐng)單》，記錄建議銷(xiāo)毀的不良品工程單號(hào)、料號(hào)、名稱(chēng)、數(shù)量等內(nèi)容。4.7.6銷(xiāo)毀的方式可以為切紙機(jī)切斷（將帶有的品牌標(biāo)識(shí)切成2段）、打廢紙機(jī)切斷等。4.7.7銷(xiāo)毀時(shí)，要有品質(zhì)人員、保安人員現(xiàn)場(chǎng)監(jiān)督執(zhí)行。4.7.8銷(xiāo)毀的全過(guò)程要進(jìn)行拍照并且錄像，制作成銷(xiāo)毀記錄（該記錄內(nèi)容包括銷(xiāo)毀時(shí)的照片、監(jiān)督人員姓名及日期、公司蓋章等），與客戶(hù)或貿(mào)易公司同意銷(xiāo)毀的電子郵件或其它書(shū)面記錄，以及銷(xiāo)毀清單一起至少保存1年。4.8樣板、成品貨尾、不符合出貨品質(zhì)要求的成品、取消訂單、退回產(chǎn)品（RTV）等銷(xiāo)毀控制程序4.8.1上述成品必須存放于制定的區(qū)域，進(jìn)行標(biāo)識(shí)，并有庫(kù)存記錄。4.8.2必須是大貨走貨后12個(gè)月以上才能向客戶(hù)申請(qǐng)銷(xiāo)毀。4.8.3處理前必須將數(shù)量、料號(hào)、顏色、相片等資料交給相關(guān)品牌的客戶(hù)批核同意，獲得授權(quán)書(shū)或認(rèn)證書(shū)后才可進(jìn)行銷(xiāo)毀。4.8.4跟據(jù)客戶(hù)的要求，進(jìn)行處理后方可銷(xiāo)毀，如：移除所有品牌標(biāo)識(shí)或涂上擦不掉的墨水（如果不能移除標(biāo)簽），并進(jìn)行拍照。4.8.5所有銷(xiāo)毀記錄必須保存至少1年。4.9本公司的保密產(chǎn)品不允許外發(fā)加工。4.10網(wǎng)絡(luò)和數(shù)據(jù)安全控制4.10.1局域網(wǎng)安全與信息管理局域網(wǎng)的安全管理，應(yīng)當(dāng)保障計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和配套設(shè)施的安全，保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，保障信息系統(tǒng)的安全運(yùn)行。局域網(wǎng)的所有工作人員及局域網(wǎng)用戶(hù)必須遵守國(guó)家有關(guān)法規(guī)，嚴(yán)格執(zhí)行安全保密制度，并對(duì)所提供、所傳播的信息負(fù)責(zé)。局域網(wǎng)入網(wǎng)的計(jì)算機(jī)必須嚴(yán)格遵守公司的相關(guān)規(guī)定。任何部門(mén)或個(gè)人不得利用計(jì)算機(jī)網(wǎng)絡(luò)從事危害國(guó)家利益、集體利益和公民合法利益的活動(dòng)，不得危害計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全。任何部門(mén)或個(gè)人不得利用計(jì)算機(jī)網(wǎng)絡(luò)瀏覽和傳播色情網(wǎng)站、反動(dòng)網(wǎng)站，堅(jiān)決杜絕色情、反動(dòng)、暴力等有害信息在局域網(wǎng)的傳播。局域網(wǎng)的工作人員和局域網(wǎng)用戶(hù)必須接受本公司有關(guān)管理部門(mén)按章依法進(jìn)行的網(wǎng)絡(luò)系統(tǒng)及信息系統(tǒng)的安全檢查。在局域網(wǎng)上不允許進(jìn)行任何干擾網(wǎng)絡(luò)用戶(hù)、破壞網(wǎng)絡(luò)服務(wù)和破壞網(wǎng)絡(luò)設(shè)備的活動(dòng)。禁止在網(wǎng)絡(luò)上發(fā)布不真實(shí)的信息，不得使用網(wǎng)絡(luò)進(jìn)入未經(jīng)授權(quán)使用的計(jì)算機(jī)，不得以虛假身份使用網(wǎng)絡(luò)資源等。任何部門(mén)和個(gè)人不得私自將計(jì)算機(jī)接入局域網(wǎng)。0任何部門(mén)和個(gè)人不得盜用局域網(wǎng)資源。1局域網(wǎng)用戶(hù)必須對(duì)提供的信息負(fù)責(zé)，不得利用網(wǎng)絡(luò)從事危害公司安全、泄露公司機(jī)密等犯罪活動(dòng)，不得制作、查閱、復(fù)制和傳播有礙社會(huì)治安和不健康的、有傷風(fēng)化的信息。2嚴(yán)禁制造和輸入計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)的安全。3發(fā)現(xiàn)違法犯罪行為和有害的、不健康的信息，局域網(wǎng)用戶(hù)應(yīng)及時(shí)報(bào)告公司集團(tuán)IT工程師。4各部門(mén)對(duì)上網(wǎng)信息要進(jìn)行審查，嚴(yán)格把關(guān)，凡涉及國(guó)家及公司秘密的信息嚴(yán)禁上網(wǎng)。5嚴(yán)禁瀏覽、復(fù)制或傳播下列信息：煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一和民族團(tuán)結(jié)、推翻社會(huì)主義制度；煽動(dòng)抗拒、破壞憲法和國(guó)家法律、行政法規(guī)的實(shí)施；捏造或者歪曲事實(shí),故意散布謠言,擾亂社會(huì)秩序；公然侮辱他人或者捏造事實(shí)誹謗他人；宣揚(yáng)封建迷信、淫穢、色情、暴力、兇殺、恐怖等；6局域網(wǎng)嚴(yán)禁以下行為：未經(jīng)批準(zhǔn)私自連接集線(xiàn)器、交換機(jī)等網(wǎng)絡(luò)設(shè)備；用各種手段私自切斷他人網(wǎng)絡(luò)連接；通過(guò)掃描、偵聽(tīng)、破解口令、安置木馬、遠(yuǎn)程接管、利用系統(tǒng)缺陷等手段獲取他人信息；通過(guò)局域網(wǎng)向與其無(wú)被管理關(guān)系和信息服務(wù)關(guān)系的用戶(hù)亂發(fā)垃圾E-Mail；冒用他人名義從事網(wǎng)上活動(dòng)的；故意制作、傳播計(jì)算機(jī)病毒等破壞性程序；使用信息炸彈，致使局域網(wǎng)系統(tǒng)或連網(wǎng)計(jì)算機(jī)系統(tǒng)發(fā)生阻塞、溢出、處理機(jī)忙、資源異常消耗、死鎖、癱瘓等運(yùn)行異常的的行為。4.10.2數(shù)據(jù)保密及數(shù)據(jù)備份根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權(quán)限、存取方式和審批手續(xù)。禁止泄露、外借和轉(zhuǎn)移專(zhuān)業(yè)數(shù)據(jù)信息。制定業(yè)務(wù)數(shù)據(jù)的更改審批制度，未經(jīng)批準(zhǔn)不得隨意更改業(yè)務(wù)數(shù)據(jù)。每周五集團(tuán)IT工程師制作數(shù)據(jù)的備份并異地存放，確保系統(tǒng)一旦發(fā)生故障時(shí)能夠快速恢復(fù)，備份數(shù)據(jù)不得更改。業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少2年。備份的數(shù)據(jù)必須指定專(zhuān)人負(fù)責(zé)保管，備份數(shù)據(jù)應(yīng)在指定的場(chǎng)所保管。備份數(shù)據(jù)資料保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。4.10.3外接存儲(chǔ)設(shè)備安全管理公司所有電腦默認(rèn)禁用USB端口及光盤(pán)、光驅(qū)未經(jīng)許可，嚴(yán)禁所有人員以個(gè)人介質(zhì)光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲(chǔ)設(shè)備中，需憑上級(jí)簽批的《工作聯(lián)絡(luò)單》到集團(tuán)IT部借用公司存儲(chǔ)設(shè)備做文件拷貝。嚴(yán)禁任何人私自拆開(kāi)電腦機(jī)箱;用戶(hù)主機(jī)貼上封條標(biāo)簽，除集團(tuán)IT部人員外，任何人不得私自拆開(kāi)機(jī)箱，若集團(tuán)IT部進(jìn)行電腦硬件故障排查時(shí)，拆除封條標(biāo)簽后，在故障排查結(jié)束及時(shí)更換新的封條標(biāo)簽。集團(tuán)IT部將定期檢查，若發(fā)現(xiàn)有封條拆開(kāi)痕跡，將查看視頻監(jiān)控記錄，追查相關(guān)人責(zé)任,確保主機(jī)內(nèi)硬盤(pán)的安全。4.10.4加密網(wǎng)絡(luò)的建立及解除新的涉密項(xiàng)目的引入，第一接觸部門(mén)將涉密內(nèi)容正式通知到相關(guān)組員執(zhí)行保密要求；當(dāng)涉密項(xiàng)目已經(jīng)不需要保密的時(shí)候，原發(fā)出部門(mén)再次發(fā)出郵件解除涉密內(nèi)容。各部門(mén)工作人員因工作需要開(kāi)通涉密內(nèi)容權(quán)限和加入加密網(wǎng)絡(luò)，需提交《涉密內(nèi)容權(quán)限申請(qǐng)表》經(jīng)部門(mén)經(jīng)理、集團(tuán)IT總監(jiān)批準(zhǔn)后，通知集團(tuán)IT工程師加入加密網(wǎng)絡(luò)。4.11計(jì)算機(jī)安全控制4.11.1計(jì)算機(jī)病毒防范集團(tuán)IT工程師應(yīng)有病毒防范意識(shí)，每日定時(shí)進(jìn)行病毒檢測(cè)(特別是郵件服務(wù)器)，發(fā)現(xiàn)病毒立即處理并通知管理部門(mén)或?qū)Ｂ毴藛T。采用國(guó)家許可的正版防病毒軟件并及時(shí)更新軟件版本。未經(jīng)上級(jí)管理人員許可，集團(tuán)IT工程師不得在服務(wù)器上安裝新軟件，若確為需要安裝，安裝前應(yīng)進(jìn)行病毒例行檢測(cè)。經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)檢測(cè)確認(rèn)無(wú)病毒后方可使用。4.11.2賬號(hào)和密碼安全管理使用者須妥善保管好自己的帳戶(hù)和密碼，嚴(yán)防被竊取而導(dǎo)致泄密，帳戶(hù)及密碼由網(wǎng)絡(luò)管理員設(shè)置后通知員工。所有員工必須在所使用的計(jì)算機(jī)中設(shè)置開(kāi)機(jī)密碼和屏幕保護(hù)密碼。為了保護(hù)公司的信息資產(chǎn)，設(shè)置密碼時(shí)應(yīng)注意：密碼至少由8位及8位以上的字母A-Z或a-z、數(shù)字0-9、非字母字符例如？*$等組合而成。電腦密碼管理：新員工申請(qǐng)帳戶(hù)時(shí)OA填寫(xiě)《IT賬號(hào)和權(quán)限申請(qǐng)流程》完成批準(zhǔn)后，網(wǎng)絡(luò)管理員將在一天內(nèi)將開(kāi)通的賬戶(hù)信息通知其本人。每個(gè)員工擁有一個(gè)公司內(nèi)部計(jì)算機(jī)登錄帳戶(hù)，公司所有用戶(hù)在分配到工作電腦時(shí),應(yīng)首先更改自己的電腦登錄密碼。應(yīng)用系統(tǒng)密碼管理：所有ERP用戶(hù)及OA用戶(hù)都將分配到一個(gè)帳號(hào)密碼，密碼盡可能置為高安全性的復(fù)雜密碼，嚴(yán)禁用戶(hù)將密碼設(shè)置為如123456等傻瓜式密碼，若密碼設(shè)置過(guò)于簡(jiǎn)單，被其他用戶(hù)非法登陸后，在ERP中將會(huì)非法編制篡改單據(jù)，在OA中非法冒用流程管理權(quán)限，若產(chǎn)生此情況，將會(huì)導(dǎo)致嚴(yán)重的后果；嚴(yán)禁將ERP帳號(hào)或OA帳號(hào)密碼透露給他人，讓他人代己做ERP單據(jù)或辦理OA流程。4.11.3各類(lèi)軟件安全管理硬件設(shè)備的原始資料（軟盤(pán)、光盤(pán)、說(shuō)明書(shū)及保修卡、許可證協(xié)議等）交IT部保管。保管應(yīng)做到防水、防磁、防火、防盜。使用者必需的操作守冊(cè)由使用者長(zhǎng)借、保管。4.11.4郵件安全管理所有因公對(duì)外聯(lián)系的電子郵件一律通過(guò)公司郵箱xxx@（具體參考《電子郵件和互聯(lián)網(wǎng)使用規(guī)定》）加密網(wǎng)絡(luò)內(nèi)的郵箱：將因工作需要接觸到涉密內(nèi)容的人員郵箱進(jìn)行登記造冊(cè)，建立白名單，只有在白名單內(nèi)的郵箱才能接收和查看保密內(nèi)容。在加密電腦上建立的非白名單郵箱，在發(fā)送郵件時(shí)需要經(jīng)過(guò)部門(mén)經(jīng)理審計(jì)后才能發(fā)送成功。計(jì)算機(jī)操作者安全管理各部門(mén)所使用之IT設(shè)備皆為公司資產(chǎn)，任何人不可進(jìn)行惡意破壞。員工對(duì)在自己公司電腦內(nèi)公司機(jī)密信息的安全負(fù)責(zé)，必須啟動(dòng)屏幕保護(hù)程序（自動(dòng)鎖屏?xí)r間為8分鐘內(nèi)）并帶有密碼。公司計(jì)算機(jī)內(nèi)之硬件，除得到授權(quán)外，只可由IT工程組人員進(jìn)行更換或維護(hù)。任何人不得私自打開(kāi)機(jī)箱。不可利用公司IT設(shè)備作私人用途。如發(fā)現(xiàn)公司IT設(shè)備有任何異常聲響或氣味出現(xiàn)時(shí)，應(yīng)立即切斷電源，并及時(shí)通知IT工程組人員進(jìn)行檢修。如果較長(zhǎng)時(shí)間（超過(guò)30分鐘）不使用計(jì)算機(jī)時(shí)，須將電腦鎖定并關(guān)閉顯示器之電源。下班后必須關(guān)閉計(jì)算機(jī)主機(jī)并切斷電源。計(jì)算機(jī)系統(tǒng)內(nèi)任何軟件均有版權(quán)，軟件安裝、設(shè)定均由電腦工程師專(zhuān)人負(fù)責(zé)，除得到授權(quán)外﹐任何人不得私自安裝、刪除或更改軟件設(shè)置。如工作需要安裝軟件必須填寫(xiě)OA《IT賬號(hào)和權(quán)限申請(qǐng)流程》，經(jīng)過(guò)批準(zhǔn)后，由IT部負(fù)責(zé)安裝。公司計(jì)算機(jī)內(nèi)所有數(shù)據(jù)資料，均為公司資產(chǎn)，受知識(shí)產(chǎn)權(quán)法保護(hù),任何人不得故意刪改。所有不明來(lái)歷軟件或檔案均有可能傳播計(jì)算機(jī)病毒，各電腦操作者如發(fā)現(xiàn)有不明來(lái)歷軟件或電子檔案應(yīng)及時(shí)通知電腦工程師。0除經(jīng)上級(jí)領(lǐng)導(dǎo)核準(zhǔn)外，所有員工一律不能把公司內(nèi)之?dāng)?shù)據(jù)以任何媒體(包括電子郵件、軟盤(pán)、硬盤(pán)、光盤(pán)、U盤(pán)、MP3、MP4、手機(jī)或打印等)方式發(fā)放到公司以外之地方，一經(jīng)發(fā)現(xiàn)，將視作企圖盜取公司資料(公司資產(chǎn))論處。1任何人不得利用公司電腦資源下載MP3音樂(lè)、看電影、玩游戲，不得利用公司內(nèi)（外）部郵件服務(wù)器或用服務(wù)器上共享目錄傳送游戲程序、音樂(lè)、電子小說(shuō)等以及與工作無(wú)關(guān)的圖片等。2服務(wù)器上分配給各部門(mén)的空間﹐用以存儲(chǔ)部門(mén)日常工作文件（包括日常報(bào)表﹑圖紙﹑相關(guān)的文檔等）,不得作其它用途(如視頻文件,個(gè)人資料等)。3服務(wù)器上本部門(mén)數(shù)據(jù)﹐應(yīng)定期進(jìn)行規(guī)檔整理。對(duì)于長(zhǎng)時(shí)間或以后都不再用到的數(shù)據(jù)﹐要通知電腦管理將其備份后﹐從現(xiàn)在目錄中移除﹐以節(jié)省服務(wù)器存儲(chǔ)空間﹐提高服務(wù)器工作效能。4任何人不得私自在互聯(lián)網(wǎng)上下載文件，所有使用電子郵件之員工，若收到不明之郵件時(shí)，切勿打開(kāi)該郵件，應(yīng)立即刪除該郵件及通知集團(tuán)IT工程師。4.11.6加密網(wǎng)絡(luò)內(nèi)的電腦加密網(wǎng)絡(luò)內(nèi)的電腦，集團(tuán)IT部都會(huì)關(guān)閉電腦的USB接口功能，不允許電腦連接任何外用設(shè)備：U盤(pán)、硬盤(pán)、光盤(pán)、照相機(jī)等，加密電腦無(wú)法連接普通網(wǎng)絡(luò)內(nèi)的打印機(jī)。加密手提電腦都必須貼有標(biāo)簽注明某客戶(hù)專(zhuān)用字樣，以區(qū)分加密電腦和普通電腦。因工作出差需將加密電腦帶離出廠，出廠前需填寫(xiě)《工作聯(lián)絡(luò)單》，經(jīng)部門(mén)經(jīng)理批準(zhǔn)后通知IT部網(wǎng)絡(luò)技術(shù)員對(duì)手提電腦進(jìn)行出廠授權(quán)，限定涉密文件的使用次數(shù)和時(shí)限，在筆記本電腦所有外接端口貼易碎流水標(biāo)簽,外出回廠后需到集團(tuán)IT部進(jìn)行端口解封檢查動(dòng)作。若加密手提電腦出廠前未到集團(tuán)IT部進(jìn)行出廠授權(quán)，電腦將無(wú)法使用。手提電腦出廠時(shí)需要經(jīng)過(guò)公司保安檢查，確認(rèn)手提電腦是否已經(jīng)經(jīng)過(guò)IT網(wǎng)絡(luò)組授權(quán)，否則不予放行。加密電腦只開(kāi)通指定網(wǎng)站的上網(wǎng)功能。4.11.7計(jì)算機(jī)、服務(wù)器或存儲(chǔ)設(shè)備，停止使用或用作它用前是需進(jìn)行低級(jí)格式化。4.11.8集團(tuán)IT部必須有兩個(gè)以上集團(tuán)IT系統(tǒng)