网页模板怎么设计,360优化大师下载官网,网站需备案吗,找专题页面那个网站好随着信息化程度的日益推进#xff0c;企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设#xff0c;如何进行信息风险评估保护企业的信息资产不受侵害#xff0c;已成为当前行业实现信息化运作亟待解决的问题。 一、企业的信息及其安全隐患
在我公司企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设如何进行信息风险评估保护企业的信息资产不受侵害已成为当前行业实现信息化运作亟待解决的问题。 一、企业的信息及其安全隐患
在我公司我部门对信息安全做出整体规划通过从外到内、从广义到狭义、从总体到细化、从战术到战略从公司的整体到局部的各个部门相结合一一剖析并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面
A. 技术图纸。主要存在于技术部、项目部、质管部。
B. 商务信息。主要存在于采购部、客服部。
C. 财务信息。主要存在于财务部。
D 服务器信息。主要存在于信管部。
E 密码信息。存在于各部门所有员工。
针对以上涉及到安全的信息在企业中存在如下风险
1、来自企业外的风险
①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马有些病毒在感染企业用户电脑后会篡改电脑系统文件使系统文件损坏导致用户电脑最终彻底崩溃严重影响员工的工作效率有些木马在用户访问网络的时候不小心被植入电脑中轻则丢失工作文件重则泄露机密信息。
②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等他们利用所学的计算机编程语言编译有特定功能的木马插件经过层层加壳封装技术用扫描工具找到互联网上某电脑存在的漏洞绕过杀毒软件的追击和防火墙的阻挠从漏洞进入电脑然后在电脑中潜伏依照不法分子设置的特定时间运行开启远程终端等常用访问端口那么这台就能被不法分子为所欲为而不被用户发觉尤其是技术部、项目部和财务部电脑若被黑客植入后门留下监视类木马查件将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐他们在用以上方法在网络上绑架了成千上万的电脑让这些电脑成为自己傀儡在网络上同时发布大量的数据包前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来它会导致受攻击方服务器资源耗尽最终彻底崩溃同时整个网络彻底瘫痪。
2、来自企业内的风险
① 文件的传输风险。若有员工将公司重要文件以QQ、MSN发送出去将会造成企业信息资源的外泄甚至被竞争对手掌握危害到企业的生存发展。
②文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司会使企业信息资料外泄。
③文件的传真风险。若员工将纸质重要资料或技术图纸传真出去以及将其他单位传真给公司的技术文件和重要资料带走会造成企业信息的外泄。
④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司可能会泄露企业机密信息。若有动机不良的员工私自拆开电脑机箱将硬盘偷偷带出公司将会造成企业信息的泄露。
⑤ 上网行为风险。员工可能会在电脑上访问不良网站会将大量的病毒和顽固性插件带到企业网络中来造成电脑及企业网络的破坏更甚者在电脑中运行一些破坏性的程序导致电脑系统的崩溃。
⑥用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握可能会窃取此用户权限内的信息资料和业务数据若管理员的密码被窃取可能会被不法分子破坏应用系统的正常运行甚至会被窃取整个服务器数据。
⑦机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自防盗、防雷、防火、防水。若这些自然灾害发生可能会损坏机房设施造成业务中断。
⑧办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容若不小心被其他人拿走或听到可能会泄露部门工作机密甚至是公司机密。
为了保证企业信息的安全保密公司所有人员必须严格遵守企业信息安全管理总则以安全总则为基础各部门具体细则为安全管理行为标准从各个层面杜绝信息安全隐患。 二、总则从整个公司层出发针对这些信息隐患制订安全防范措施
1.计算机设备安全管理
1 公司所有人员应保持清洁、安全、良好的计算机设备工作环境禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件计算机出现故障时应及时向信息管理部报告不允许私自处理和维修。
3发现由以下等个人原因造成硬件的损坏或丢失的其损失由当事人如数赔偿违章作业保管不当擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告说明损坏原因不得擅自更换。公司会视实际情况进行处理。
4下班后所有不再使用的计算机应关闭主机电源以防止意外对于共同使用的计算机原则上由最后一个退出系统的使用人员关机并关闭电源。外人未经公司领导批准不得操作公司计算机设备。
2.部门资料安全管理
1 外接存储设备安全管理
严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中需要向上级请示此行为并以公司存储设备做文件拷贝。为确保硬盘的安全严禁任何人私自拆开电脑机箱①将用户主机贴上封条标签除信管部人员外任何人不得私自拆开机箱若信管部进行电脑硬件故障排查时拆除封条标签后在故障排查结束及时更换新的封条标签。信管部将定期检查若发现有封条拆开痕迹将查看视频监控记录追查相关人责任。②给每台电脑主机配备锁柜将所有用户主机存放在锁柜内锁柜钥匙统一由信管部保管若需要为用户处理电脑故障时信管部在打开锁柜处理完电脑故障时一定要锁好主机柜确保主机内硬盘的安全。
2 文件传真安全管理
所有人员对外发送传真必须经上级核实后统一在综合部登记由综合部发送严禁个人私自在未经许可的情况下对外发送任何类型的传真文件一经发现所有后果将由个人承担。在对内传真文件时应即刻通知传真接收人接收并取走传真件在传真结束时应马上取走传真原件。若因传真时没有取走传真件导致传真件丢失造成本部门信息外泄则由本人承担一切后果。
3 文件打印安全管理
所有人员不得私自将公司文件打印带出公司一经发现严肃处理。若在上班时间打印工作文件时需要即刻在打印机处等候文件的打印文件打印完成后马上取走若因文件打印时有其他紧急事件应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为一经发现将对本人警告若因打印后文件丢失造成信息资料外泄则由本人承担相关责任。
4 文件的存储安全管理
所有部门人员应每周清理计算机中的文件清除不需要的垃圾文件将重要的文件和工作资料保存在特定的文件夹里每月末应将电脑中的文件资料做一次备份将文件资料备份到部门专用U盘或移动硬盘上确保个人工作资料的文件归档在电脑突发性故障或硬盘损坏时能够及时恢复最近的工作资料电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份造成数据资料丢失时将由本人承担相关后果。若员工离职在办完离职手续后所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上若没有执行此安全过程离职员工损失的文件资料由该部门承担。
5 办公区域的安全管理
所有部门人员每天下班时应保证办公桌的整洁将部门重要文件资料存放在个人抽屉柜中并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好被他人取走造成的后果将由本人承担。
3.帐号密码安全管理
使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产设置密码时应注意密码至少有8个字符长密码必须包含以下任一部分字母A-Z或a-z数字0-9特殊字符例如 $ -等。
1电脑密码管理每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记若更改密码后未进行登记一经信管部发现将对该用户进行口头警告。同时因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题信管部不承担责任。
2应用系统密码管理所有ERP用户及OA用户都将分配到一个帐号密码帐号是不变的用户可以更改自己的系统密码密码尽可能设置为高安全性的复杂密码严禁用户将密码设置为如123456等傻瓜式密码若密码设置过于简单被其他用户非法登陆后在ERP中将会非法编制篡改单据在OA中非法冒用流程管理权限若产生此情况将会导致严重的后果严禁将ERP帐号或OA帐号密码透露给他人让他人代己做ERP单据或办理OA流程员工调离岗位或离职所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。
3采用用户身份认证系统目前我公司登陆服务器采取的是静态密码认证这种密码保护技术是最低层次的。在企业内容易被其他部门人员注意到服务器登陆密码从而可能会被动机不良的员工登陆到服务器破坏服务器数据在企业外容易遭到黑客字典扫描破解密码从而攻击各应用服务器破坏或盗取商业数据等。因此我部门在未来的发展规划中要将用户身份认证当作安全的一个重大隐患想办法解决这个问题。
这里我们可以采取动态口令牌或USB KEY认证技术并选择其中一种技术与公司现有的静态密码技术相结合动态口令牌随机生成动态密码并于60秒内自动刷新密码无法采用数据字典扫描破解密码让黑客攻击行为束手无策而USB KEY采用USB密钥存储特定的加密算法只有将USB钥匙接上电脑与电脑中存储的认证软件验证通过后才能进入。我们通过动态静态混合身份认证或硬件软件混合身份认证保证服务器的登陆基于网内的行为、网外的行为都是安全的。
4.杀毒软件安全管理
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级每日定时杀毒使用者也应经常手动扫描杀毒。
5.各类软件安全管理
软件原始盘片应交综合部保管软、硬件设备的原始资料软盘、光盘、说明书及保修卡、许可证协议等交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作手册由使用者长借、保管。
6.邮件安全管理
所有因公对外联系的电子邮件一律通过公司邮箱在指定的电脑上进行收发。参考邮箱管理制度
综上所述使用者应该具有一定的安全防范意识具体应做到
日常工作信息安全
1员工应对在自己公司电脑内公司机密信息的安全负责当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
2.员工有责任正确地保护分配给本人的所有计算机帐户。
3.各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。
4每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。
5不得安装有可能危及公司计算机网络的任何软件若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
6任何对公司内部计算机网络的黑客行为是绝对禁止的一经查实将按公司有关规定严肃处理。
假期时间办公室的安全确保工作电脑的安全在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码其它信息管理部设备的电源也必须切断。
确保数据的安全确保你的软盘备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。
当你在外的时候不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。
当你回来的时候如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。
常规注意事项
1任何外来盘片(包括CD、VCD碟片及软盘)只有经过系统管理员确认不带病毒后才可在公司计算机上使用.否则造成病毒感染或其他破坏的公司将对其责任人进行罚款处理每次金额50元500元。
2个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出若需输出必须履行审批手续。申请人填写申请单写明输出资料内容、份数、路径、用途、申请日期、申请人等项目经部门领导和公司领导共同签字审批后交由专人上机操作。
3未经系统管理员许可不得从因特网上下载任何软件安装系统管理员将不定期检查发现有违反本条规定的将给予50元500元的罚款。
4严禁在工作时间利用计算机网络从事与本职工作无关的活动发现有违反本条规定的将给予50元200元的罚款。 三、细则从各部门级出发针对这些信息隐患制订安全防范措施
1.采购部的安全处理措施
1采购招标的安全管理。
由采购部门编写招标计划经部门负责人签字后上报总经理审批总经理根据生产过程的物料需求及原有的物料采购价格决定是否需要寻找新的货源若审批同意后采购部才可以开展招标工作。采购部门制定招标邀请书邀请众多有法人资格、供货条件的单位参与我公司的招标活动。在发标书的过程中。采购部应遵守下列原则①招标的公开性对于采购的招标信息应该公开评标的标准和程序应该公开中标的结果应该公开。②招标的公平与公正对待各方投标者一视同仁不得对任何投标方带有主观意见。③招标的保密性采购部人员严禁以任何形式向投标方透露招标的意向。评标完成后提交评标报告给总经理最后由总经理中标、授标。
2采购价格及供应商的信息安全保密。
采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格严禁向他人透露各种物料的供货来源。采购部门人员要随时检查个人办公区域的文件资料是否存放好防止因打印的采购价格表和供应商联络单没有存放好导致采购信息资料外泄。要求部门人员要严格保管好工作纸质文件同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全。
2.客服部有如下工作存在安全隐患
1及时向甲方传递发货信息与到货信息。
2甲方基地发货及库存统计记录甲方发往各风场的数据盘点甲方各基地库存数
3总经办工作安排。
以上存在的安全隐患及处理措施如下
A发货、到货、现场库存信息安全。
客服部人员在统计往风场发货及现场库存的时候可能会因为客服部盘点疏忽最终统计的库存结果不准确。这会造成公司的发货信息与现场到货数量不一致从而得迅速查找整个发货到货流程的出错环节甚至会因为库存统计的不准确延迟发货到货时间导致现场库不能及时向风场发货从而影响客户的业务。客服部现场人员必须每日在OA中编写日记以便部门领导能随时掌握此现场人员的工作动态现场人员要认真盘点到货数量及现场库存信息在现场与甲方进行每月、每季、每年度的数据核对确保到货数量与发货数量一致并随时向部门负责人汇报。
B总经办的日程安排管理。
在实际的工作中总经理因工作繁忙暂时不在公司一些待办理的工作无法通过审核。客服部负责人要了解总经办的行程并确保行程不被泄露保证总经理的其他事务不会受到打扰在总经理方便时提醒总经理处理一些比较紧急的待办文件若总经理不在公司以先短信后电话的形式给总经理汇报待办理的文件类型在总经理办理完成后及时将文件下发给相应部门。
3.项目部的安全处理措施
1图纸的安全管理。
项目部的图纸只允许在部门内部传阅。在进行项目生产时工艺员申请借阅项目图纸经签字确认后档案专员将图纸副本发放给工艺员工艺员负责监督技术人员和操作人员严格按照图纸进行生产确保生产过程符合ISO9000体系要求。生产完成后工艺员将图纸返还给档案专员图纸副本重新归档。在借阅过程中严禁借用人将图纸传阅给其他人员一经发现必将严肃处理。
2工艺技术文件的安全管理。
项目生产的工艺技术文件由计划员归档保存在组织生产人员进行操作培训时指导操作人员学习质量文件和相关工艺规程培训过程中确保工艺技术文件只在培训过程中流转培训完成后收回所有的技术文件禁止任何人以任何理由将文件带出公司。禁止任何人复印、传真此类文件。
3人员的安全管理。
项目部保管着生产技术文件和图纸公司的人员流动很容易造成技术的泄露。鉴于此部门应严格控制工艺技术文件及图纸的传阅。文件将由专员保管。禁止部门人员在未经允许的情况下传真或复印此类文件在部门员工调动或离职前由部门档案专员收回该员工所有工作文件。若档案专员调动或离职由部门经理亲自收回该岗位所有的工作资料并清点所有书面文件和电子文件是否存在缺省或丢失的情况最大程度避免人员的流动造成技术资料的外泄。
4.仓储部存在的安全隐患及处理措施
A物料库存安全。
物料采购入库后仓储部做好物资的保管工作如实登记仓库实物账经常清查、盘点库存物资确保系统帐、查存卡、实物一致做好物资采购、存储、生产领用各环节平衡衔接工作做到物料的先进先出当保管物料的库存量不足时及时通知采购部由采购部制定新的计划进行物料采购再入库存确保生产有序进行。
B物料信息安全。
仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。仓储部负责人应严格规范部门人员的安全防范意识并严格存放好入库单和领料单等纸质单据确保不会因为单据的存放不善而泄露物料供货信息。
C仓库整体安全。
做好物资的存储工作按品种、规格、体积、重量等特征决定存放的方式与位置仓库物品堆放整齐、平稳合理利用储物空间减少地面负荷便于盘存和领取并有效做到先进先出做好仓库的安全、防火、防盗、防爆、卫生工作确保仓库和物资的安全对危险品需进行单独存放与隔离、管制。
5.技术研发部的安全处理措施
1图纸的归档
A 外来书面图纸公司指定收件人收到后整理并编制归档确认完整无误后交由综合部档案管理员。图纸蓝图邮寄到北京复印件登记入库经总经理批示发放至相应部门。
B 电子版图纸外来电子版图纸由公司指定专人负责接收。打印一份并同时将电子文件交档案管理员登记入库经总经理批示发放至相应部门若外来电子版图纸已由对方传至我方项目人员处项目人员应将图纸资料整理后报综合部存档由综合部统一打印及按公司规定下发至相应的职能部门若出现图纸变更时综合部应及时替换旧版电子图并回收已发放的旧版图纸。
C 内部设计电子版图纸在工程完工后一周内技术人员应将最后定稿图纸交由综合部由其在三天内加密统一刻录光盘。一式两份公司领导及综合部档案管理员各保管一份。
2外来工艺文件、技术规格书
技术人员在收到文件后1个工作日内整理无误交综合部档案管理员登记、入库经总经理批示后方能发放。
3内部拟定的工艺文件、技术规范文件
A 公司自行编写的生产工艺文件经总经理审批签署后交综合部档案管理员入库存档。
B 移交文件时移交人应备有档案实体和目录经档案管理员对照验收无误后方能办理移交登记手续。
C 档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者有权拒绝接收并限期改正补交。
D 移交时移交和 接收文件方均应建立书面移交记录。
4技术图书、期刊、标准的管理
公司购入的技术图书、期刊和标准均属公司固定资产应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
5技术项目往来传真件
综合部收到技术文件后下发到相应部门相关责任人签收签字。同时保留复印件按项目不同分类待项目结束后各负责人将其保存的传真复印件整理装订后归档。
6技术项目往来电子邮件
由公司指定接收人以及综合部邮箱管理员定期下载整理。每月将电子邮件交综合部统一刻制成光盘存档。
7本行业其他公司宣传画册、样本、产品信息等文件由综合部按《样本资料明细表》登记保管使用人可查询使用不得私自留存。
8技术文件的复印
归档的技术文件确因工作原因需要复印时须由使用人到综合部填写《资料复印申请表》经总经理批准后综合部指定人员复印后发放至使用人。
9技术文件的借阅
A借阅手续各部门有关工作人员因工作需要借阅归档技术文件应办理调阅手续经部门负责人签字交公司领导批准后方可办理借阅手续。
B借阅记录档案管理员应有清楚、准确的借阅记录包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。
C借阅时间一般最长不超过8个工作时超过8个小时需在办理调档申请时特别说明。如员工因工作原因经批准需要带出资料时则其返回后一个工作日内归还。
D归还要求借阅的资料交还时必须由经办人当面点交清楚如发现遗失或损坏应立即报告领导同时应追究使用人的责任。
公司所有技术文件均应先由综合部专人登记入库后经总经理批示后分发至相应部门负责人处由其向部门员工下发。各部门负责人应做好本部门技术资料的保密工作若保管技术资料人员离职时应向综合部交回相关的技术资料。综合部下发技术文件时须由签收人签字确认。
6.质管部的安全处理措施
1工艺文件的安全管理
部门档案专员保管本部门的工艺文件。此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况若要进行生产过程检验在部门负责人授权下部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员质量工程师或其他管理人员根据工艺文件的标准对生产现场各道工序施工工艺、方法、操作规程进行检查监督提出生产过程中的不合项对不合格项进行跟踪验证。生产过程检验完毕后质量工程师将工艺文件副本返还给部门档案专员最后由档案专员进行文件归档。工艺文件仅允许部门内部管理人员传阅不得借阅给其他任何部门及工人。若部门管理人员借阅工艺文件后造成的文件丢失则借阅者承担相关责任。
2验收图纸的安全管理
验收图纸用于检验生产完工后的产品是否合格由部门档案专员保管。质量工程师借阅验收图纸后以此为标准对完工产品进行鉴定若合格则调入成品库若不合格则对不合格项进行跟踪验证直到产品合格为止。验收图纸借阅分为以下几种情况①内部管理人员借阅。验收图纸只允许本部门内管理人员的互相传阅借阅人在档案专员处登记确定归还时间后档案专员对其分发验收图纸副本借阅完后及时归还给档案专员禁止传阅给部门非管理人员。②技术研发部人员借阅。只有技术研发部人员才能借阅本部门验收图纸。在借阅时要遵守借阅流程在技术研发部经理签字后上报总经理审批总经理审核通过后质管部方可将验收图纸副本借阅给相关人员并要求在8个小时内归还图纸。图纸借阅过程中严禁将图纸传阅给其他人员或私自将图纸进行复印或扫描一经发现必将严肃处理。③验收图纸不得传阅给其他部门人员也不得传阅给本部门非管理人员。一经发现追究档案专员相关责任。
7.财务部的安全处理措施
1财务部为公司重要数据信息部门除本部门在内工作外其他无关人员不得入内。
2财务人员去银行取现金、支票等应两人以上同行禁止途中办理任何与此项工作无关事宜。
3妥善存放支票支票与有效密码及专用印鉴要分别存放。
4出纳人员不得私配保险柜钥匙不得将保险柜密码外传过节或放假时要与综合部配合对保险柜加贴封条。若因密码钥匙保管不善导致现金及其他财产损失将由本人承担一切损失。
5会计人员应妥善保管好各类凭证及发票不得在凭证发票随意摆放在办公桌的情况下离开办公区域。凭证发票录入核对完毕应立即整理存放到财务凭证专柜中同时确保上锁并妥善保管好钥匙若因以上原因造成财务数据丢失将由本人承担一切后果。
6财务人员应保管好电子银行或其他一切与财务有关的加密锁在使用时使用人不得离开电脑确保所做的一切操作均出自本人之手。若使用完毕一定要将加密锁存放于财务专柜中妥善保管。
7财务部门因为数据的重要性因此对安全的要求很高。在使用电脑时要求财务部门人员一定要每天升级杀毒软件若电脑出现异常应联系信管部查明原因是否能安全操作。
8财务部是企业工资的发放部门掌管着企业全体人员的工资详情。由于工资向来是公司的敏感信息因此财务的工作要求财务所有人员应严格遵守职业素养严禁财务部人员以任何形式向任何人透露工资或奖金信息。
8.综合部的安全处理措施
1技术类文件、图纸和图书的安全管理。
综合部指定收件人收到外来书面图纸后整理并编制归档确认完整无误后交由档案管理员。图纸蓝图邮寄到北京将复印件登记再经总经理批示后发放至相应部门。综合部指定收件人接收到外来电子版图纸打印一份并同时将电子文件交档案管理员登记入库经总经理批示发放至相应部门若图纸出现变更时综合部应及时替换旧版电子图并回收已发放的旧版图纸。公司购入的技术图书、期刊和标准均属公司固定资产应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
2涉外合同的安全管理。
综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后由综合部将其分类归档到指定的档案盒中并将档案盒编号题名存放于指定的档案柜中将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料需要向综合部提出申请经综合部负责人审批通过后档案管理员方可开启档案盒调出文件发放给相关部门原则上不允许各部门向综合部借阅其他部门的合同资料若确因工作原因需要借阅则应提交总经理审批综合部在看到总经理的签字后方可指派档案管理员借出资料并规定借阅时间不得超过8个小时由借阅人签字在借阅过程中造成的合同资料丢失将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒严禁档案管理员将档案柜钥匙借给任何人若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。
3工资编制的安全管理。
综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的综合部在核算员工工资的时候应该谨慎处理如在电子表的发送之前可以设置相应的密码防止不小心发送到其他人电脑上在打印工资表的时候应单独设置非监控直接打印并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算不得擅自更改原始依据。工资核算完成后上报公司领导审批。
严禁工资核算人向他人透露公司工资及奖金信息严禁在任何场合与他人讨论工资话题一经发现将追究其相关责任。
9.信管部的安全处理措施
1计算机网络设备安全管理。
公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定
A 计算机是指为公司内部员工使用的PC机包括CPU、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供如非特殊需要不配备光驱和软驱。
B网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
C计算机其他配件是指公司备用的光驱、软驱等。
D 附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
E 包括计算机及耗材的采购计划、故障维修等项工作。
在员工电脑各组件老化或损坏严重影响工作效率时信管部可申请以旧换新或报废处理。若需要报废则填写报废申请单经部门负责人确认后上报总经理审批审批通过后才能作报废处理信管部不得擅自处理破旧的电脑或电子设备。
2公司所有输入输出设备统一归信息管理部管理。
输入输出设备包括扫描仪传真机打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映以便信息管理部及时查找原因解决故障。
3公司视频会议设备和视频监控设备统一由信息管理部管理。
A视频会议设备包括视频会议服务器、视频会议终端、SONY摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
B视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。
4信息化系统ERP、OA帐户安全管理
系统管理帐号的设置与管理
AERP、OA系统管理帐号必须经过总经理授权取得。
BERP系统管理员负责ERP系统帐套环境生成、维护负责一般操作帐号的生成和维护负责故障恢复等管理及维护OA系统管理员负责OA系统自定义表单的生成、流程的建设和优化。
CERP、OA系统管理员对业务系统进行数据整理、故障恢复等操作必须有相关部门的签字和领导的审批授权。
DERP、OA操作用户需要增加或修改权限需要填写ERP/OA用户权限申请表并经过本部门负责人签字后交由总经理审核通过后再由信息管理部作权限相关处理。
E系统管理员不得使用他人帐号进行业务操作。
F系统管理员调离岗位或离职信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。
一般操作帐号的设置与管理
A一般操作帐号由系统管理员根据各类应用系统操作要求生成应按每用户一帐号对应设置。
B操作员调离岗位系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。
5密码安全管理
A终端计算机密码安全管理系统管理员及时登记公司所有用户电脑密码制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时系统管理员及时登记相应的新密码。
B应用服务器密码安全管理包括ERP服务器、OA服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全针对每个服务器创建一个复杂的、不同的密码并每年更换一次新密码。制成《服务器密码登记》文件并提交给部门负责人。
C防火墙/路由器密码安全管理: 防火墙和路由器的密码和服务器管理方法一样设置成不同的、复杂的密码并每年更换一次将密码登记到《网络设备密码登记文件》中并提交给部门负责人。
DERP/OA系统密码安全管理: ERP/OA系统密码分为管理员密码和操作用户密码。系统管理员登录密码由ERP/OA管理员掌管为保证系统安全需要定期更改时及时上报部门负责人。操作用户密码由ERP/OA管理员在创建帐户时初始生成信息管理部发放帐号密码后由用户本人修改密码并自行保管好自己的密码如特殊原因忘记密码时由ERP/OA管理员帮其初始化密码。
信管部应将所有的服务器和网络设备设置不同的密码所有的密码仅限于信管部内部人员掌握不得向其他部门人员透露在特殊情况下需要供应商做远程调试时方可透漏相关设备密码在调试结束后应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上容易受到不法分子攻击因此需要定期更改密码且密码复杂性尽可能设置高。
6数据备份安全管理
定期备份ERP服务器、OA服务器、邮箱服务器。具体备份方法如下
AERP服务器备份每天早上自动备份E3帐套和5000帐套。
BOA服务器备份每天早上900备份OA数据库并于每周五早上900备份OA系统文件夹。
C邮箱服务器备份每周五早上900在邮箱控制台执行备份操作并于每月28日备份邮箱目录文件夹。备份完成后将备份文件转存到其他电脑上或移动硬盘上做异地归档以防本地硬盘发生故障时能随时做灾难恢复。
数据清理前必须对数据进行备份在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存并确保可以随时使用。数据清理的实施应避开企业网络应用高峰避免对各部门工作造成影响。数据的清理包括
AERP系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。
BOA系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。
C邮箱系统中垃圾邮件的清理、人员变动记录的清理。
D用户电脑中系统垃圾文件的清理、IE缓存的清理。
7信息资料安全管理
A加密系统管理目前我公司使用的是XX文档加密系统对常用办公软件office、pdf、AutoCAD文件加密公司内部的此类文件被带出公司后显示在其他的电脑上均为乱码保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。然而我公司因为之前的需求加密软件使用的是单机版与网络版混合使用的网络版可以根据策略的下发实现文件在企业网的加密、反截图、禁USB等功能但脱离局域网后电脑无法打开文件若有出差人员在外地使用电脑就无法使用网络版而单机版就解决了出差人员电脑加密的问题可以正常打开公司的文件但这里存在一个安全风险若出差人员的电脑被盗将会造成企业信息资料的外泄。针对以上情况我们需要寻找一种更加适合的加密软件确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能能够通过控制台在公司网内加密指定类型的文件同时可以设置不同的加密权限对应于不同的用户组能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等能够加密原加密软件不支持的文件类型能够荧荧于所有的windows平台上能够禁用USB存储设备不禁用USB外设能禁止用户屏幕截图能审计打印等。
B监控软件管理监控软件在很大程度上起到威慑作用监控软件能够记录所有用户在个人电脑上的一举一动通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。
C打印控制软件管理打印控制软件应用后员工的打印需要在管理员审核通过后方能打印若管理员审核到某员工的打印内容涉及本公司信息安全拒绝员工的打印。在审核通过、打印完成后管理员可随时调出以前的打印记录保证了及时信息安全责任追究。
D设备送外维修须经设备管理部门负责人批准。送修前需将设备存储介质内应用软件和数据备份后删除并进行登记。对修复的设备设备维修人员应对设备进行验收、病毒检测和登记。
E信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除并妥善处理废弃无用的资料和介质防止泄密。
F信息管理部负责计算机病毒的防治工作建立本单位的计算机病毒防治管理制度经常进行计算机病毒检查发现病毒及时清除。
G用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体包括软盘、光盘、移动硬盘等。
8机房安全管理
①非信息管理部人员不得进入机房信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时完成相关操作后一定要关好机房大门并保管好机房钥匙。
②保持机房整齐清洁各种机器设备按维护计划定期进行保养保持清洁光亮。
③确保机房防水定期检查机房天花板、四壁有无漏水现象保证机房内的服务器和其他电器设备的安全。
A发生机房漏水时信管部应立即通知综合部联系大厦物业同时信管部第一时间保护好服务器及其他设备避免设备浸水后损坏。
B若为墙体或窗户渗漏水应急领导小组应立即采取有效措施确保机房安全同时安排通知综合部协助及时清除积水维修墙体或窗户消除渗漏水隐患。
④确保机房防火定期检查机房内灭火器状态完好无损。
A完善机房环境确保机房具备二氧化碳灭火器禁止携带易燃易爆物品进入机房。
B一旦发生火灾迅速切断机房电源避免灾情的扩散并迅速拨打物业管理和119火警电话。
C等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。
D配合消防部门调查事故原因对造成的损失和起火原因做好记录以便进行灾后总结。
⑤确保机房防雷遇到暴风雨恶劣天气应作防范性处理。
A遇雷暴天气信管部在下班后应及时关闭所有服务器切断电源暂停内部计算机网络工作。
B雷暴天气结束后信管部应及时开通服务器恢复内部计算机网络工作对设备和数据进行检查。出现故障的事发部门应将故障情况及时报告应急领导小组。
C因雷击造成损失的信管部应会同综合部进行核实、报损并在调查工作结束后一日内书面报告领导。
应急领导小组每日查看、清点设备并锁好机房大门。
⑥确保在停电后业务应用的安全管理。
信管部在接到停电通知时应设置便签提醒自己具体要停电的时间若停电时间在上班时间则提前发出通知给北京和常州所有人员避免在停电时出现文件损坏或资料丢失若停电时间发生在下班时间则在下班时通知所有人关闭电源同时信管部及时关闭服务器以免停电损坏主机电源。
停电结束后打开各应用服务器并谨记要打开视频监控服务器恢复闭路监控系统正常工作。
⑦确保机房防盗针对此环节作相关防范处理。
A信息管理部每日查看、清点设备并锁好机房大门。
B信息管理部每日检查录像监控服务器状态确保监控画面正常并检查每日录像正常性、完整性。
C发生设备被盗或人为损害设备情况时使用者或管理者应立即报告信息管理部同时保护好现场。
D信管部接报后即刻调出监控录像搜查可疑行迹若无法解决可联系公安部门处理。
提高行业信息化管理水平信息安全是关键。而信息安全构建必须管理、技术两者双管齐下
1加强管理综合防范。安全体系是一个整体的、系统的工程不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合逐级建立多层次的安全防护体系综全防范实现分级阻止违规行为实现一体化的安全系统。
2完善制度强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限对员工按其职责划定必要的最小授权范围明确安全责任。确保安全措施落实、有效加强员工的信息安全教育和培训强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。
