1、【精品文檔】如有侵權，請聯系網站刪除，僅供學習與交流IT安全管理制度.精品文檔.南京橙紅科技股份有限公司目 次前 言41目的52適用范圍53物理訪問54邏輯訪問55個人辦公電腦及服務器安全66信息安全定期檢查67服務及電子郵件安全78網絡使用標準：79USB口使用標準：810附件：處罰制度說明8前 言為公司建立IT安全實施標準，以保護公司網絡和計算機環境中的信息資產，特制訂本制度。IT安全管理制度1 目的保障公司信息安全的機密性、完整性、可用性、抗抵賴性、可控性。保護信息免受各種威脅的損害。確保業務連續性，業務風險最小化。2 適用范圍本標準適用于某某某公司(包括但不限于其所有控股子公司、辦事處

2、)的信息基礎架構中所有的系統，公司的內部辦公網絡，包括廣域網和辦公局域網。3 物理訪問1.1參照辦公樓管理規定內的人員出入、物品出入規定執行。1.2打印、復印、傳真使用者必須遵從打印、復印、傳真管理制度4 邏輯訪問2.1 控制用戶身份識別和認證必須根據實際的訪問要求，來控制內部系統訪問權限，檢查認證用戶或者應用的身份合法性。2.2 用戶的身份是通過為每個系統（操作系統、辦公平臺、硬件設備）的使用者分配唯一的系統標識來確定，并且每個用戶擁有個人的密碼，作為系統身份認證的依據。2.3 員工因離職、休假或業務變動不再需要訪問系統，HR或部門經理必須通知系統負責人，系統負責人必須依據相應的流程終止該員

3、工對系統的訪問權限。(參見人事部門離職流程表)2.4 使用人不再使用該帳號，例如員工離職或退休，必須從系統中刪除或禁用帳號、以及相關數據。(參見人事部門離職流程表)2.5 重要崗位員工離職，系統接替人員必須更改密碼或刪除原帳號。2.6 存儲在公司內部服務器系統中的信息，除非得到該設備責任人的明確指示，否則不需要加密。2.7 系統負責人必須設置缺省保護功能來保障用戶資源，禁止他人非法訪問用戶資源。2.8 普通用戶不允許修改公用系統資源，例外情況需要該設備責任人明確批準。 5 個人辦公電腦及服務器安全在公司運行的系統、應用和軟件必須持有有效使用許可證明。 禁止非法拷貝或復制軟件， 除非在許可條款上

4、明確允許。5.1 為了更好的管理局域網內用戶電腦，及時解決網絡故障，病毒源，及時排除安全隱患等需求。所有計算機包括筆記本電腦機器名一律包含責任人工號制定。例如: 某某某的電腦名為 123如出現一個員工有兩個或者以上電腦遵循 如下規則 123 -* 綜合辦IT運維人員有權限制不符合上述要求設備的網絡等服務。如沒有按照此規定設置電腦名并由于本人維護不當造成影響他人正常工作，給予E級處罰。5.2 辦公電腦、公用電腦、安裝軟件出現的漏洞應及時安裝補丁，不能處理的漏洞等問題應向綜合辦IT運維人員說明并做好記錄。如由于上述問題而引發安全信息隱患則給予E級處罰，如由于上述原因造成了公司信息安全事故給予C級處

5、罰。5.3 設置計算機開機口令 a) 設置系統登錄口令 b) 設置系統屏幕保護口令 c) 激活屏幕保護的時間：5分鐘。 d) 離開辦公位時因對工作電腦進行鎖屏。沒有按照上述設置給予E級處罰。5.4 公司網絡規劃默認使用自動獲取IP規則。員工不得擅自固定IP，如IP沖突影響他人正常工作，不服從綜合辦IT運維人員管理者給予E級處罰。5.5 如需要固定IP必須向綜合辦IT運維人員郵件申請，經過確認后由綜合辦IT運維人員負責分配固定IP使用，并做好記錄，否則視為私自占用公司IP資源。給予E級處罰。5.6 個人電腦和服務器等設備必須安裝附錄1中提及軟件。6 信息安全定期檢查6.1. 每月定期隨機抽查用戶

6、電腦，違規未安裝者，給予B級處罰。所有用戶必須安裝且運行正常軟件如下：軟件名稱安裝要求備注說明（殺毒軟件） 是否及時更新指定殺毒軟件，不得安裝其他殺毒軟件Wsus安裝且系統正常安裝補丁操作系統自動分發補丁程序6.2. 所有電腦不得安裝不符合公司要求，有害信息安全的軟件，如：帶病毒、侵害計算機安全軟件，違反上述情況，無正當理由者，給予B級處罰。（個人辦公電腦及服務器安全中所提及內容，如遇疑問或故障，應主動向綜合辦IT運維人員要求支持，否則造成不良后果均視為違規。）7 服務及電子郵件安全7.1 禁止在計算機上配置和提供無需驗證的服務或包括但不限于FTP， TFTP， HTTP、DHCP，違反規定者

7、則給予E級處罰。7.2 禁止利用電子郵件發送、群發或轉發與工作內容無關的郵件，違反規定者則給予E級處罰。7.3 禁止將公司機密信息。通過郵件發送給與業務無關的單位或個人，違反規定者則給予B級處罰。7.4 如果業務需要群發工作郵件，則應避免發送大郵件，盡可能以內容鏈接的方式發送，違反規定造成網絡或者郵件服務器堵塞者，給予E級處罰。8 網絡使用標準：8.1 非特殊工作需要嚴禁使用外網或者非法代理上互聯網。經發現給予C級處罰。8.2 如工作需要外網出口，必須提交申請同意后才能開通。開通出口后設備按照機房服務器管理辦法實施。請參見IT業務申請。8.3 禁止私接網絡設備到公司辦公網絡上（如：Hub、無線

8、AP、Router、Modem、撥號服務器），如果有工作需要，請與綜合辦IT運維人員聯系，必須經過項目經理和綜合辦IT運維人員確認后，記錄設備編號責任人方可使用。請參見IT業務申請。如在使用過程中出現環路等不當操作造成樓層或者區域網絡癱瘓，則給予E級處罰。8.4 員工必須嚴格按照公司要求內外網線路物理隔離的原則，嚴禁違反規定私接網線或網絡設備造成網絡安全隱患，經發現給與設備責任人或事故責任人D級處罰。8.5 嚴禁在公司辦公網絡中使用大流量的工具或程序（如：流量發生器、網絡模擬程序）禁止在公司辦公網絡中使用網絡流量監測、端口掃描、抓包等程序 經發現給與設備責任人或事故責任人D級處罰。8.6 嚴禁

9、在公司使用基于互聯網的Peer to Peer文件共享服務包括但不限于BT、電驢、迅雷。未經審批在公司使用非公司許可的即時通訊工具，包括但不限于QQ、SKYPE、FeiQ、飛鴿等，嚴禁在上班時間使用在線視頻播放軟件包括單不限于PPS、PPTV等經發現給與設備責任人或事故責任人D級處罰。9 USB口使用標準：7.1 嚴禁非工作需要時私自使用USB設備如：U盤、移動硬盤、mp3、手機等移動存儲設備，拷貝公司電腦內的數據，違規者給予B級處罰。7.2 嚴禁私自利用設備、工具、或其他手段打開原禁止使用USB接口，和機箱鎖。如發現給予設備責任人B級處罰。7.3 未經IT運維人員備案，嚴禁使用任何USB無線上網設備和其他方式登陸互聯網，違規者給予設備責任人B級處罰。7