GSV网络安全政策和程序(2020).doc

GSV网络安全政策和程序 1. 目的： 确保公司的信息技术(IT)系统稳定、网络畅通且安全运行，以防止公司网络攻击、数据丢失等。 2. 范围： 全公司范围内。 3. 职责： 3.1行政部负责人：负责公司网络安全政策和程序的策划、实施监管和持续改进工作。 3.2 IT：负责公司网络安全的服务器和电脑硬软件检测、维修、权限设置、网络维护和监管等工作。 3.3各部门使用电脑人员：负责遵守并实施网络安全政策和程序的规定和要求。 4. 程序： 4.1公司的网络安全政策和程序，IT应根据风险或情况每年或更经常地进行审查，必要时更新；IT每年至少组织一次，与公司高层管理开会一起检讨、评估IT系统的安保相关事项(包括电脑或Internet网使用/访问权限等)的安全会议并做好相关会议记录。 4.1网络物理安全 4.1.1公司网络服务器的机房最小使用面积不得小于30m2，应选用市电电源稳定可靠、交通通信便利、环境清洁、阻燃/防水/防雷击/抗震、屋顶吸湿性小/隔热/防渗漏的专用的房间内；机房应设单独出入口，此处应设置疏散照明灯和安全出口标志；安装密封性好、 能双向自动开闭且足够结实的防火门，以及密封性良好的铝合金双层窗户。 4.1.2机房地板应铺设抗静电活动地板，房中各类管线应暗敷，管线穿楼层时应为竖井式；在房内的醒目位置放二个干粉灭火器，并且室内禁止堆放易燃、易爆、易腐蚀、强磁等物品。 4.1.3机房内应安装CCTV系统(360度全方位地监控)、环境温度/湿度/烟雾/漏水/供电状态检测及报警设备(当超过安全值，通过手机短信报警方式给IT)、支持IT设备工作8小时的UPS和恒温恒湿空调(设备运行时，机房温度应保持在18～25℃，相对湿度45～65％)，以及加设指纹识别门禁系统和上锁管制。 4.1.4公司的网络服务器应统一置放于独立的机柜中且开关有门锁管制，IT和行政部负责人各配备一把钥匙，其他人不能随意开启； 机房禁止未经批准的人员进入，原则上不允许外来人员参观，经行政副总批准进入机房的人员，必须有IT陪同并尽量避免参观重要部位；进入机房时，访问者应在“限制区域出入登记表”上登记来访者的姓名、进出时间、来访目的和携带物品进行记录；禁止机房内照相、录像、录音或使用其他记录仪器设备。 4.1.5公司所有包含与进出口过程有关的敏感信息的媒体、硬件或其他IT设备，IT应定期进行盘点形成“IT设备和媒体定期盘点记录”；进行弃置时应按照美国国家标准技术研究院(NIST)媒体销毁指南或其他适当行业的规定进行适当的刪除和/或销毁并保存好“IT设备和媒体弃置记录”。 4.2 IT设备(硬件)安全 4.2.1 IT设备(硬件)采购： a)各部门有与IT信息系统相关的设备(硬件)需求和安装，应事先通知IT，由其进行统一申请采购和安装； b)公司禁止采购和使用假冒或未经适当许可的技术产品的，即禁止采购和使用未经国家信息安全评测机构认可的信息安全产品、未经国家密码管理局批准和未经国家信息安全质量认证的国内密码设备；若需采用境外信息安全产品或境外的密码设备时，应通过国家信息安全测评机构或国家密码管理局批准及国家信息安全质量认证；购买后，IT应妥善保存好产品关键标签、认证证书、说明书和保修卡等资料。 4.2.2 IT设备(硬件)检测：公司IT系统中使用的所有安全设备应是经过国家信息安全产品测评认证的合格产品，其电磁辐射强度、可靠性及兼容性也应符合国家安全管理等级要求； 凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试并形成设备检测测试记录。 4.2.3 IT设备(硬件)安装：设备符合公司IT系统选型要求并获核准后，方可购回安装；通过4.3.2测试后才能进入试运行阶段；通过试运行合格的设备才能安装投入使用，正式运行。 4.2.4 IT设备(硬件)使用：公司IT负责设备的使用登记(应包括运行的起止时间、累计运行小时数及运行状况等)、日常清洗和定期保养维护做好相关记录；若设备出现故障，使用人应立即填写“设备维修申请单”交给IT处理；维修后将维修对象、故障原因、排除方法、主要维修过程以及维修人员、维修时间等详细记录“设备保养维护记录”。 4.2.5 IT设备(硬件)储存：公司使用的安全产品及必威体育官网网址设备应单独存储并采取上锁等保护措施，IT应保证设备在其出厂说明书中的使用环境(如温度、湿度、电压、电磁干扰和粉尘度等)下工作，定期对设备及其存储环境进行清洁和核查并详细记录。 4.3 IT软件安全 4.3.1 IT软件采购和测试： a)行政部根据公司信息化的发展及各个部门的特殊使用申请于每年12月制定次年的软件购买计划和费用预算并上报公司行政副总批准；批准后IT协同业务部门开始软件的调研和选型；选定