IT安全管理规范.docVIP

编制： 审核： 复审： 批准： IT安全管理规范 1 目的 为确保公司IT设备设施能够稳定、可靠的运转，为公司业务提供可持续服务支持，同时为了规避公司重要的电子信息数据由于系统或硬件损坏而造成数据丢失的风险，特制定本文件以规范IT安全相关的工作流程、内容和标准。 2 主题内容和适用范围 本制度可用来指导信息管理部工作人员开展IT安全管理工作,对公司级信息系统运行期间电子数据的备份和恢复管理予以了明确规范。 3 术语 3.1 IT: Information Technology，意为信息技术，是主要用于管理和处理信息所采用的各种技术的总称。 3.2 IT设备：泛指由信息管理部IT组管理的用于办公及信息技术服务支持相关的电子设备，包含：个人台式电脑、手提电脑、打印机、服务器、路由器、交换机、多媒体、一卡通终端、摄像机等电子设备。 3.3 公司级信息系统: 应用于多个部门，或直接影响公司核心业务的信息系统。包含：ERP系统、MES系统、一卡通等信息系统。 3.4 IT安全：IT安全是指IT相关系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，服务不中断，对于可能发生的各种隐患防范于未然。 4 职责 4.1 本文件由信息管理部IT组归口管理与组织实施，并负责编拟、修改和完善； 4.2 制定集团整体的IT安全策略，并具体负责防火墙管理、网络流量监视与控制、以及域策略实施； 4.2信息管理部负责依据集团的IT安全策略，按照要求进行具体的相关实施及运维。 5 具体内容与工作程序 5.1网络安全管理 5.1.1 信息管理部负责信息网络的规划、建设、维护、管理和控制； 5.1.2 信息管理部应绘制公司信息网络之网络拓扑结构，并及时更新维护； 5.1.3 信息网络接入internet网之出/入口应配置硬件防火墙，并制定适合安全规则；（当前为香港IT负责此工作） 5.1.4 公司信息网络划分VLAN管理，各交换机之VLAN配置应保有文档，如有变化应及时更 新。 5.1.5 应对网络流量进行监视与控制,此工作由中国区IT协助香港IT施行。 5.1.6 定期检查网络硬件设备状态，若巡检中发现问题需在OA中保存检查记录 5.1.7公司网络内应安装正版网络版杀毒软件，杀毒软件的安装与卸载应由IT运维人员操作。 5.2 域安全管理 5.2.1 公司对PC/LAPTOP的入网施行域控管理，实施域控服务后，可进行访问人员的身份认证并可有效控制病毒扩散产生的影响。域控服务器的相关配置由香港IT实施，域策略的制定亦由香港IT实施。 5.2.2 信息管理部/IT负责中国端域控服务器之硬件状态及软件状态监视，如有问题应及时通知香港IT； 5.2.3 信息管理部/IT根据相关策略及时将中国端PC/LAPTOP入域，并对域帐户进行管理 5.3 密码安全管理 5.3.1 应根据信息安全需求，准确确定密码管理之对象。应根据安全需求级别，对密码进行分级管理。高机密密码应限制知晓人数，并有专人进行定期密码更改并存档； 5.3.2 密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成。 5.3.3 用户需按照附录A《用户密码设置及使用标准》设置及使用密码； 5.3.4系统管理人员不允许在密码没有通过身份验证的情况下覆盖或重置密码。 5.3.5系统管理人员不允许将密码存放在公开可读的文件中。 5.3.6系统管理人员不允许将密码发送给用户，特别是通过未加密的电子邮件。 5.3.7系统管理人员应根据信息安全需求,密码应定期进行强制更新。 5.4数据安全管理 5.4.1数据必须定期、完整、真实、准确地备份转储到永久性介质上。 5.4.2应定时检查备份文件中是否存在备份失败的记录，如发现有备份任务失败的记录，需要检查故障原因，并进行排除。 5.4.3备份人员必须认真、如实检查服务器的数据记录项，以备后查。 5.4.4备份周期：各信息系统每个工作日进行数据本地备份，所有系统至少每月在异地留有数据备份。 5.4.5备份介质 a)备份介质要由专人负责保管工作，备份介质要严格管理、妥善保存。 b)备份介质应在指定的数据保险室或指定的场所保管，保存地点应有防火、防热、防潮、防尘、防磁、防盗设施。 c)备份介质应按照各系统规定的最短保存期限存放。 d)不再使用的备份介质应在要销毁时，超过规定存放周期的可直接进行销毁或删除，未达存放期限的应先经过部门领导审批，然后消磁、销毁。 5.4.6数据恢复 a)一旦发生系统故障或数据破坏等情况，要由信息管理部相关的管理员进行备份数据的恢复，迅速恢复系统，确保系统正常运行。 b)每年进行备份数