清禄信息和技术安全.docVIP

莆田市协诚鞋业有限公司 文件名称: 信息和技术安全 文件编号: 生效日期: 2012.03.01 版 本/次: A/0 制订单位: 页 数: 5 核准: 审核: 制订: 信息安全管理 目的 为加强信息安全保护工作，保障信息安全，根据有关法律、法规，制定本规定. 2.范围： 公司内所有计算机和系统使用者必须学习并依此规定使用系统. 3.权责 信息安全管理:行政事务部 4.程序 4.1 总则 4.1.1不论员工还是各高层领导都应建立高度的信息安全防范意识，公司领导应督导此安全管理条例的执行状况，并定期和信息部等相关部门开会检讨信息安全工作的得失. 4.1.2本规定所称信息安全,包括网络安全,信息设备安全,信息系统安全,数据安全. 4.2安全人员管理 4.2.1本规定所称安全人员，通常指系统管理员；安全行政事务部门指信息部或行政事务部行政事务部 4.2.2安全人员应定期参加信息安全知识和技能的培训,定期接受adidas C-TPAT、CDS及职业道德和安全保密教育. 4.2.3安全人员职责 4.2.3.1拟订信息安全总体规划和信息安全管理制度，并监督执行. 4.2.3.2跟踪先进的安全技术，提出信息安全防范策略 4.2.3.3组织公司内部信息安全知识的培训和宣传工作 4.2.3.4安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务 4.3信息系统要害岗位人员管理 4.3.1人员管理 4.3.1.1本规定所称信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理员、网络系统管理员、系统维护员、业务操作员等岗位人员。 4.3.1.2要害岗位人员上岗前必须接受安全行政事务部门的安全审查，如犯罪记录调查等 4.3.1.3要害岗位人员离职后，必须即刻更换操作密码或注销使用者帐户 4.3.2安全责任 4.3.2.1系统管理员安全责任 4.3.2.1.1负责系统的运行管理，实施系统安全运行细则 4.3.2.1.2严格使用者权限管理，维护系统安全正常运行 4.3.2.1.3对进行系统操作的其它人员予以安全监督 4.3.2.2网络系统管理员安全责任 4.3.2.2.1负责网络的运行管理，实施网络安全性原则和安全运行细则 4.3.2.2.2安全配置网络参数，严格控制网络使用者存取权限，维护网络安全正常运行 4.3.2.2.3监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件 4.3.2.2.4对操作网络管理功能的其它人员进行安全监督 4.3.2.3.3不得对系统设置“后门” 4.3.2.3.4对系统核心技术保密 4.3.2.4系统维护员安全责任 4.3.2.4.1负责系统维护，及时解除系统故障，确保系统正常运行； 4.3.2.4.2不得擅自改变系统功能 4.3.2.4.3不得安装与系统无关的其它计算机程序； 4.3.2.4.4维护过程中，发现安全性漏洞应及时报告信息安全人员。 4.3.2.5业务操作员安全责任 4.3.2.5.1严格执行系统操作规程和运行安全管理制度 4.3.2.5.2不得向他人提供自己的操作密码 4.3.2.5.3及时向系统管理员报告系统各种异常事件 4.4计算机机房安全管理 4.4.1机房建设安全管理 4.4.1.1机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离 4.4.1.2机房建设应当符合下列基本安全要求 4.4.1.2.1机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施 4.4.1.2.2机房应安装门禁系统/报警系统 4.4.1.2.3机房应设专用的供电系统，配备必要的UPS等续电设备 4.4.2机房运行安全管理 4.4.2.1 机房是重点保护的要害部位，信息部应建立健全严格的机房安全管理制度，并定期检查制度执行情况 4.4.2.2计算机机房实行分区管理原则,各分区设定不同的门禁权限 4.4.2.3加强进出机房人员管理,禁止未经批准的外部人员进入机房， 外来人员进出机房还须办理登记手续，并由专人陪同 4.5网络安全管理 4.5.1网络运行安全管理 4.5.1.1重要网络设备应放置在主机房内，由网络系统管理员负责管理，其它人员不得对网络设备进行任何操作 4.5.1.2网管设备属专管设备，必须严格控制其管理员密码 4.5.1.3 网络管理人员应随时监测和定期检查网络运行状况，对网络扫描、监测结果和网络运行等日志等重要信息应备份存储 4.5.2互联网接入管理 4.5.2.1内部网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离 4.5.2.2凡要求接入国际互联网的计算机，须由使用部门提出申请，报信息部审批、备案 4.5.2.3从国际互联网上下载的任何信息资源，未