IT安全标准.docVIP

XXX的 IT 安全标准 目录 1、安全标准的原则声明 3 2、范围 3 3、硬件 3 3.1、硬件使用标准 3 3.2、资产管理 4 3.3、故障 5 4、软件 5 4.1、软件安全标准 5 4.1.1、软件使用标准 5 4.1.2、操作系统 5 4.1.3、应用软件 6 4.2、资产管理 6 4.3、故障 6 5、应用系统 7 5.1、应用系统安全标准 7 5.1.1、应用系统使用标准 7 5.1.2、SAP使用标准 7 5.1.3、VPN使用标准 7 5.1.4、E-mail使用标准 8 5.2、故障 8 6、网络 8 6.1、使用标准 8 6.2、网络安全管理 9 6.3、故障 9 7、电子文档安全 9 8、违反 10 1、安全标准的原则声明 对XXX（以下简称XXX）来说，信息和通讯系统的安全运行是非常重要的。信息安全中需要遵循的标准称为IT安全标准（ISS），它规定了确保IT安全的所有措施，是IT安全策略的重要组成部分。每个XXX的员工和外部客户都必须严格遵守IT安全标准。 由XXX的IT 部门制定，XXX的安全委员会审核的XXX安全标准对用户在使用电脑软件、硬件、应用系统和网络等资源时需遵循的规则以及流程作出描述。 2、范围 “用户”是指一切有权使用XXX公司IT资源的人，包括长期或者临时员工，以及有业务往来的合作方、合同方。 “硬件”是指一切与IT有关的设备，包括台式计算机、笔记本、服务器、打印机、扫描仪、一体机、UPS等。 “软件”是指可以在上运行的电脑程序 3、硬件 3.1、硬件使用标准 XXX在任何时候为用户发放硬件设备（以下简称“设备”）以供使用都仅仅是为了帮助该用户履行其作为XXX员工的职责，并非其它目的。 所有公司或者员工/合同工获得的设备均应视为公司财产。这些设备的使用应符合相关许可、通知、合同和协议的规定。 不论何时，用户都应认真照看和维护设备，保持计算机及其他设备的清洁，应将设备存放在安全的地方或者采取适当的保护措施，禁止在设备应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 用户不得让计算机在无人看管时没有屏保密码或未锁定会话。 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口。 用户不得将其机密文件保存在硬盘上，重要的数据需保存到网络上的文件服务器上。 用户必须尽量仔细、耐心地操作其计算机、IT设备及网络系统，晚上离开办公室前需正常关闭计算机及其他设备的电源。 事先未经同意，不得擅自打开计算机或IT相关设备的机壳。 任何用户不得使用自己的电脑代替公司电脑在公司内使用，只有在履行其在XXX公司的职责需要时，才可将设备带离公司。 如因工作需要将设备带到飞机或者其他公共交通工具上，用户应保证将其作为随身行李加以照看，并且在任何时候不得使之处于无人照看状态下。 如果要将设备留在汽车内，应将设备存放在汽车的行李箱中，以保证设备的安全。此外，存放的时间不可太长，存放环境的温度不可过高。 笔记本电脑的使用： a.在无人照看时，应用防盗安全锁或者类似设备进行保护。 b.无论任何地方，笔记本电脑必须妥善保管，尤其是外出（如宾馆、机场、出租车等）。 c.用户一年内因公外出使用电脑少于5天或8次的，外出可以申请使用部门的手提电脑。在公司内仍使用台式机。部门手提电脑为公用电脑为部门所有或者IT部门所有。 d.除部门经理外，符合下列条件的用户可以酌情申请使用手提电脑，每月累计公出5天或每季度累计公出15天或每季度连续公出10天。 e.用户用公司手提电脑在家中使用Internet时，需联接ISP安装和配置上网驱动，其ISP有义务解决上网所碰到的问题而非XXX的IT。 3.2、资产管理 3.2.1 员工需要使用设备时，应按照设备申请流程，向IT部门领取相关计算机相关设备需求和（或）软件安装表，按要求仔细填写后反馈给IT部门审核，审核通过后由IT部门发放设备。① 3.2.2 IT相关设备由IT部门统一购买，并贴上XXX固定资产标记。用户应在不需要设备或离开XXX公司时将设备退还给XXX公司。 3.2.3 不论何时，应禁止的情况：将设备用作私人用途； XXX公司员工以外的任何人使用设备；在设备上使用未授权的软件。 3.2.4 用户必须注意防范手提电脑被盗，遗失以及损坏。如发送上述状况而影响手提电脑不能恢复正常的工作状态，用户须承担一定的责任（第一年75%，第二年50%，第三年25%）。如果是手提电脑被盗或遗失，用户须及时报告公司IT部门。 3.3、故障 3.3.1 设备发生故障时，应按照故障报修流程填写表格，向IT部门申请报修不允许私自处理或找非本单位技术人员进行维修及操作。② 3.3.2 非本单位技术人员对我单位的