《集团公司信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《集团公司信息安全管理制度.docx(21页珍藏版)》请在三一办公上搜索。
1、集团公司信息安全管理制度第一章总则第一条为规范集团计算机信息系统的管理,保护集团计算机信息系统的安全,维护计算机信息系统的公共秩序,保障正常办公、业务活动的顺利进行、保障信息交流的健康有序。根据中华人民共和国网络安全法、中华人民共和国数据安全法、XX集团数字化管理制度结合实际情况制定本规定。第二条本规定适用于XX集团、各利润中心及下属分支机构,适用于集团主干网络、计算机信息系统以及接入主干网络的利润中心、下属公司计算机信息子系统的管理控制。第三条数字化管理中心负责集团整体的信息安全管理工作,统一规划、建设适用于全集团的信息安全管理体系。负责集团主干网络、计算机信息系统的管理维护和安全保障。第四
2、条下属各分支机构在数字化管理中心的统一要求和管理下,负责本单位信息安全体系的建设和日常管理。根据集团要求和自身发展需要,按需配备本单位计算机管理员,或由数字化管理中心设置派驻机构专职负责该单位,各分支机构负责本单位接入主干网络的计算机信息子系统的管理维护工作,并严格按照集团数字化管理中心的要求进行计算机信息系统的规划和配置。第五条集团信息安全管理体系应包括人员组织、制度流程及技术手段,制度流程必须符合国家相关法律法规、监管机构的要求以及行业特性。第六条数字化管理中心应设置专门的信息安全管理岗位,专职推动集团信息安全的建设和管理工作。第七条数字化管理中心每年应进行信息安全风险评估工作,评估威胁信
3、息资产安全的各种风险因素及可能带来的损失,同时应建立重特大风险的识别、防范和控制机制。第八条数字化管理中心应采取有效的信息安全事件管理机制,明确所有员工在信息安全管理体系中的角色和责任,并制定相应的信息安全事件处理流程,包括:信息安全事件预警、信息安全事件通报、信息安全事件调查、信息安全事件处理和信息安全事件总结等机制。第九条数字化管理中心应基于数字化产品的影响程度、重要性以及数据资料的敏感程度进行保护等级划分,并制定相对应的安全保护策略;对业务运营影响程度大、数据重要的系统应采取相对应的安全保护措施,并定期进行演练,确保业务的持续性运作。第十条数字化管理中心及各利润中心、下属公司应当采取必要
4、的措施和投入以保证重要系统设备及数据中心的高可用性,消除单点故障隐患,以保障业务安全、稳定、高效、持续运行。第十一条集团每一个员工都有保护公司信息安全的责任与义务。数字化管理中心应协同人力行政部及各利润中心、下属公司规范员工入职、换岗、离职时与信息安全相关的要求,加强信息安全的培训和教育,对于涉密岗位应签订信息安全和保密责任书。第十二条数字化管理中心应当为公司员工提供必要的信息安全技术防护手段和工具,并定期进行安全更新,以保证整体的保密性、完整性、可用性。第十三条数字化管理中心应定期对信息安全管理体系内容进行审核、改进和调整,以保证信息安全管理体系建设与业务需求的紧密关联性及体系的持续完善性。
5、同时应当不定期对各利润中心、下属公司信息安全管理工作进行抽检、评估。第十四条任何员工在开展业务时,必须使用数字化管理中心所提供的、公司统一的邮件服务。不论通过何种渠道、工具或介质对外批量输出敏感数据时,都必须提前取得相关负责人的授权。第十五条数字化管理中心应当对敏感数据采取适当的加密或防泄漏措施;任何员工在网络远端访问本利润中心、下属公司内部信息资源时,应通过加密、可靠的通道进行接入。第十六条任何员工不得在任何计算机内安装、使用非授权的软件系统,任何人若违规使用非授权软件、设备或泄露敏感数据,导致公司遭受重大经济损失、受到国家监管部门的处罚、被客户投诉或者引发重大舆情事件,将按照公司相关制度进
6、行处罚,违反国家法律的将同步移交公安机关处置。第二章计算机系统日常使用安全管理一、信息设备管理第十七条数字化管理中心负责集团数据中心的统一规划、建设、管理,并制定适用于集团总部、门店、DC、前置仓等经营管理场所的IT设备标准。第十八条各利润中心、下属公司在部署本单位的硬件、软件、桌面设备时,必须优先采用数字化管理中心统一采购目录内的产品,如有特殊需求,应当与数字化管理中心充分沟通后采用数字化管理中心推荐的产品品牌、型号及配置,提高设备类型的标准化,降低集成和运维的复杂度。任何利润中心、下属公司、部门,如果自行引进、安装未经数字化管理中心测试认证的设备,由此引发的任何系统问题,数字化管理中心将不
7、承担任何责任。第十九条数字化管理中心有权要求各利润中心、下属公司及时更新汰换陈旧、落后或有安全风险的IT设备,以确保数字化平台工具安全、高效、稳健运行。第二十条公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。第二十一条严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备及其他相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。设备使用人负责所属信息设备的
8、日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向数字化管理中心指定的系统中登记报障信息,接障人员应记录故障设备信息及故障处理情况,并在处理完毕后由故障申报人在指定的系统中验收确认。第二十二条下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。第二十三条属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过数字化管理中心运维服务组人员确认后,由设备资产归属部门写物品申购单(办
9、公IT设备)单,经批准采购后更换。二、文档数据安全管理第二十四条全体员工都应该对自己所接触到的公司商业敏感信息、员工供应商/客户/会员/用户等隐私信息进行保密。第二十五条数字化管理中心原则上应该关闭各应用系统中批量导出公司合同信息、进售价信息、销售信息、会员信息、财务报表等敏感信息的功能。如因确实因为系统支撑能力不足导致需要开放的,应该通过OA流程申请并获得相关的授权。第二十六条数字化管理中心应该在具备能力的系统中开启水印功能。第二十七条外接存储设备安全管理,严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级
10、请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱。第二十八条文件的存储安全管理,所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用移动硬盘或公司私有云盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应将此员工工作资料
11、拷贝到部门移动硬盘或公司私有云盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。第二十九条文件共享应通过公司设立文件共享服务器或企业微信微盘进行共享。第三十条禁止在微信端与内外部人员传递、交换敏感或涉密信息,如确实因工作需要,可以通过企业微信、公司邮箱进行有限范围的沟通。三、帐号权限安全管理第三十一条应用系统权限申请,用户需要在OA填写系统权限申请/变更流程,流程批复后分配帐号密码。第三十二条使用者须妥善保管好自己的帐户和密码,严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应
12、注意:密码至少有8个字符长;密码必须包含以下任一部分:字母A-Z或a-z,数字0-9,特殊字符,例如$、-等。第三十三条应用系统密码管理:ERP等业务应用系统,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码。密码设置过于简单,被其他用户非法登陆;严禁将ERP帐号或OA帐号密码透露给他人,让他人代己做ERP单据或办理OA流程;若因以上原因造成的信息安全后果将由本人承担。第三十四条POS权限卡管理:用户需要在OA填写系统权限申请/变更流程,用于打折、删除、取消交易等非正常操作使用。POS权限卡配备:门店店长/经理/服务主管岗位、生活超
13、市一张备用卡、大店两张备用卡以及每店一张折扣卡,备用卡由店长指定人员负责保管、折扣卡由财务保管,门店店长/经理/服务主管岗位实名办理,由持卡人负责保管,严禁将权限卡给他人使用。第三十五条超出标准的权限申请、变更、取消管理:如各岗位因工作需要,需永久使用权限分配表规定的本岗位权限之外的权限,需提出OA申请,按信息系统、设备超权限使用申请流程报批。数字化管理中心系统管理员负责依据批准的权限申请在系统中设置临时权限,并固化到权限表中。第三十六条员工调离岗位或离职,相关流程应该流转到数字化管理中心运维组,由运维组负责调整或关闭员工的系统权限。四、日常工作信息安全第三十七条员工应对在自己公司电脑内公司机
14、密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。第三十八条员工有责任正确地保护分配给本人的所有计算机帐户。第三十九条各部门经理及人事部应及时向数字化管理中心提供本部门及公司员工的人事及职位变动信息。第四十条不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。第四十一条任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。第四十二条未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查。第四十三条严禁在工作时间利用计算机网络从事与本职工作无关的活动。第四十四条日常
15、信息安全工作做到“三不三要”1、不上钩:标题吸引人的未知邮件不要点开2、不打开:不随便打开电子邮件附件3、不点击:不随意点击电子邮件中附带网址4、要备份:重要资料要备份5、要确认:开启电子邮件前确认发件人可信6、要更新:系统补丁/安全软件病毒库保持实时更新第三章计算机信息系统安全管理一、网络安全管理第四十五条数字化管理中心负责集团网络架构、标准的统一规划,负责集团主干网的建设,各利润中心、下属公司子网必须按要求接入集团主干网,实现与集团及各利润中心、下属公司、门店的互联互通;并设置专职人员进行日常维护、管理工作。第四十六条数字化管理中心对集团所需的互联网资源进行统一管理、统一配置。各利润中心、
16、下属公司需要注册互联网域名或使用公网IP地址时,必须提前向数字化管理中心申请,注册完后再报数字化管理中心备案;使用过程中如有变动,须及时向数字化管理中心报备。第四十七条数字化管理中心根据集团业务情况制定网络访问控制策略,应合理设置网络隔离设施上的访问控制列表,关闭与业务无关的端口;编制文档并保持更新;访问控制策略的变更应履行审批手续。第四十八条网络安全管理员应绘制网络拓扑图,并保持更新。应对网络信息点进行管理,编制信息点使用表,并及时维护和更新,确保与实际情况一致。计算机网络跳线应整齐干净,跳线标识清晰。第四十九条数字化管理中心应保持网络设备的可用性,及时维修、更换故障设备;应负责网络系统的参
17、数配置、调优;应定期对系统容量进行检查和评估;应定期检查网络设备的用户、口令及权限设置的正确性;应定期对整个网络连接进行检查,确保所有交换机端口处于受控状态。第五十条网络设备权限管理应包括如下要求:1、权限分配应履行审批手续,权限设置后应复核;2、应按照最小安全访问原则分配用户权限;3、应在用户账户变化时,同时变更或撤销其权限;4、应定期检查权限设置的有效性。二、密码安全管理第五十一条终端计算机密码安全管理:系统管理员及时登记公司所有用户电脑密码,制成用户电脑密码登记文件。在用户人员变动或电脑更换时,系统管理员及时登记相应的新密码。第五十二条数字化管理中心对具备条件的应用系统启动密码强度限制策
18、略和密码定期更新策略。第五十三条应用服务器密码安全管理:包括ERP服务器、OA服务器、域服务器、邮箱服务器。数字化管理中心为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码。制成服务器密码登记文件,并提交给部门负责人。所有系统交付运维后,产品/系统负责人,需要把服务器桌面、系统管理员权限、交付给运维组统一管理。数据库密码交由DBA进行管理。第五十四条防火墙/路由器密码安全管理:防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到网络设备密码登记文件中,并提交给部门负责人。第五十五条ERP/OA系统密码安全管理
19、:ERP/OA系统密码分为管理员密码和操作用户密码。系统管理员登录密码由ERP/OA管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。操作用户密码由ERP/OA管理员在创建帐户时初始生成,数字化管理中心发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由ERP/OA管理员帮其初始化密码。第五十六条数字化管理中心应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于数字化管理中心内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均
20、置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高级别。三、变更管理第五十七条变更管理实现所有IT基础设施和应用系统的变更,变更管理应记录并对所有要求的变更进行分类,应评估变更请求的风险、影响和业务收益。其主要目标是以对服务最小的干扰实现有益的变更。第五十八条信息系统的变更指对服务器、路由器、交换机(不含客户端设备)等设备上运行的操作系统、权限、各种服务、各种软件、数据库、IP地址、安全配置、投入或退出运行、重新启动、重新安装等所作的变更。第五十九条数字化管理中心是以上各种信息系统变更的职能管理部门,负责审批变更并备案。第六十条所有信息系统的各种变更都要履行变更
21、审批和备案手续,由各专业系统管理人员提出变更申请,在OA上填写主机操作/产品升级发布申请表,确认审批,通过后实施变更。变更涉及信息系统、网络系统影响的,申请人应于变更前1至2个工作日以电子邮件、门户公告、电话通知方式告知相关影响用户,变更结束后对于以上用户进行测试。第六十一条设备、系统变更前对于原有的数据,应该采取备份、异地转移存储等安全措施。第六十二条任何信息系统的各类变更未履行相关审批手续或者无记录追溯的,以及因信息设备的变更对系统及用户造成中断应用等影响的,追究变更实施人员相关责任。四、应用系统管理第六十三条对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行
22、严格测试;对需要暴露到互联网的应用,上线前必须使用漏洞扫描工具进行安全检查,确认没有高危系统漏洞后,方可正式上线运行。第六十四条信息安全能力和风险,应该作为信息系统立项选型重要考量的技术指标。第六十五条应用系统上线前应经数字化管理中心评审,根据业务内容等级对系统定级。第六十六条在系统投入运行前,应用系统开发单位和运行管理部门应相互配合,确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质(系统软件应包括可供系统进行完全安装和紧急恢复的完整系统软件介质光盘或磁盘,软件功能说明书,
23、软件使用说明书,程序清单,数据结构清单等)。第六十七条对投入运行的应用系统,应建立运行台帐,明确系统管理人员,做好运行日志。第六十八条投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。应用系统的管理、维护、应用人员应严格按照各自的权限和业务流程使用系统。第六十九条进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更都应严格遵照相应的变更管理流程。第七十条用户账号建立、用户账号权限更改、用户节点增加等日常维护业务,应由服务台权限管理员根据批复流程进行操作,及时记录并定期整理归档。第七十一条应用系统用户角色权限管理,应按公司流程呈审批
24、后定期对岗位权责,角色权限进行更新。第七十二条应用系统变更前后都应按相应的备份管理规定进行备份。第七十三条运行人员应及时发现系统故障。接到故障申报后,由专业系统管理人员或运维人员负责对问题进行详细的记录,对简单故障可先处理后汇报,对较大故障要立即通知本部门负责人和数字化管理中心。第七十四条对于故障的分析、处理过程应有记录。重大故障处理要有两人以上,一人操作,一人监督。第七十五条各应用信息系统必须有完善的系统维护制度和操作规程。重大事件处理时,应有安全管理人员在场,故障原因、操作内容和操作前后的情况必须详细记录并存档。专业系统管理人员应定期检查和记录本信息系统的安全运行状况。第七十六条用户帐号和
25、口令管理按照相应的账号权限安全管理规定执行。第七十七条专业系统管理人员负责系统的日常运行维护,数据的保存、备份,系统口令的维护、设置和管理,系统程序的安装。五、备份管理第七十八条应用系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段,是信息安全工作的重中之重,必须高度重视。第七十九条各应用系统的备份由各部门专业系统管理人员制定策略、组织落实,信息运维人员配合实施。备份文件由专业系统管理人员负责保管。第八十条客户端计算机及网上的办公文件由文件所有人自行备份。重要文件须至少在不同的设备上保存两份。第八十一条数据备份介质可选择硬盘、光盘、磁带等存储介质,由各部门专业系统管理人员保存。要确保备份数
26、据的可恢复性。存储介质应存放在远离磁性、辐射性的安全环境。第八十二条当系统或者数据确实无法抢救时,需估算可能的损失,将恢复计划和方案报请本部门领导同意后才能对系统进行恢复操作,恢复操作不应影响对故障原因的追查和故障的处理。六、漏洞管理第八十三条信息安全管理岗应定期或不定期对网络与服务器主机进行安全扫描和检测,对扫描结果及时进行分析,采取相应补救措施。第八十四条对接入信息网络运行的应用系统,在系统投入运行前,检查应用系统自身是否存在安全漏洞和隐患,确认没有漏洞后方可正式上线运行。第八十五条有信息内网和信息外网的终端及服务器都要及时进行补丁升级。第八十六条应及时对所采集到的有关系统、网络、数据及用
27、户活动的状态和行为等特征信息进行分析。如遇异常网络行为活动,应及时阻断事件点,查明原因及时消除,确认无安全隐患后再接入系统。第八十七条服务器补丁升级1、对服务器中数据库、WEB软件以及其它系统应用软件应及时进行补丁升级。2、对服务器所有项目进行补丁升级时,要仔细阅读升级文档,分析确定升级补丁对现有的操作系统及应用的影响,确保在补丁升级后服务器软硬件能够正常运行。3、使用空闲主机,对服务器系统补丁进行升级测试,运行平稳后,放在各服务器升级安装补丁,弥补系统漏洞。4、升级补丁之前,做好系统、数据备份,以免升级失败后及时恢复。五、病毒防治管理第八十八条网络病毒入侵防护系统由网络安全工程师专人负责,任
28、何人未经允许不得进行此项操作。第八十九条根据网络系统安全设计要求安装、配置网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。第九十条监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录。第九十一条网络安全工程师应每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。第九十二条所在公司内使用的计算机,如发现有病毒或怀疑有病毒,应立刻停止使用、隔离并通知数字化管理中心处理。六、日志审计第九十三条日志是对用户行为和系统行为进行记录的形式,日志审计是保障应用系统信息安全的
29、重要手段。第九十四条在信息设备、业务应用系统上线运行前,应按开启相应的日志审计功能。第九十五条应制定恰当的日志策略,确定记录日志的设备或系统范围、记录日志的事件类别、记录日志的最大时间范围、日志备份策略、审计日志的处理方式等。第九十六条日志记录应包括事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容。第九十七条数字化管理中心运维组应对主机系统、网络设备、应用系统、数据库和中间件等的日志定期进行安全审计。分析运行日志时,若发现正在、可能或已经危害到系统安全运行的行为时,应及时处理。第四章机房管理一、一般规定第九十八条无关人员不准进入机房,不准违规操作和使用机房设备
30、,不准私自将机房设备带离机房,进入机房要填写机房出入登记表。第九十九条非机房工作人员在机房工作是必须有机房管理人员陪同;第一百条做好机房设备的日常维护工作,严禁在机房内吸烟,不准在机房堆放杂物和垃圾,保持机房室内整洁。下班时,必须关闭不用的设备及电源,锁好机房门窗,方可离开。第一百。一条基础架构工程师应每日监控机房环境监控设备状态,集团无人值守机房每周不少于两次巡视。有常驻运维人员的机房应每日巡视。第一百。二条巡检由运维组负责,巡检人员要遵守以下职责:(I)要在第一时间发现隐患,并及时报告,使相关管理人员能及时赶到现场尽最大可能缩短故障恢复时间。(2)履行机房的各项规定,不得做与工作、业务无关
31、的任何私事,不得擅自离开岗位。督促进入机房人员严格遵守规定。(3)负责机房的环境设备与网络(内部信息平台)系统的安全运行;负责完成规定的日常操作和故障监测记录,简单故障的排除,负责环境设备的日常巡检。第一百。三条巡检内容包括:(1)网络和安全设备(内部信息平台)运行设备的巡检:各网络和安全设备工作状态,设备运行时的CPU、内存、链路、接口和端口流量等工作状况;防火墙和上网管理安全设备的安全威胁、安全防护以及安全策略,设备运行日志和运维日志检查工作巡检后认真做好记录交换机和路由设备检查表和网络安全设备检查表。(2)机房环境的巡检:机房门的关闭情况,机房的卫生状况,机房的灯光状况,机房的温度、湿度
32、及空气状况,认真做好记录。(3)机房设备的动力设备巡检:对机房空调系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证网络(内部信息平台)安全、正常的运行;主配电柜的供电电压、电流;空调的工作状况;认真做好巡记录填写机房巡检登录表。(4)消防系统的巡检:检查机房内部配备的灭火器是否气压正常,检查机房消防系统否有异常或告警。(5)定期或重要节假日前对各应用服务器和设备进行检查工作,服务器或设备的硬态和运行状态以及应用情况检查,同时填写服务器设备检查表。(6)设备和服务器发生故障,维护后要填写设备和服务器维护登录表,更换配件时填写设备配件登录表。二、日常管理规定第一百
33、。四条到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。第一百。五条到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。第一百。六条到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备,严禁在机房大声喧哗、玩电子游戏、聊天等。第一百。七条机房内不能存放任何食品,严禁在机房内存放杂物,严禁在机房内使用其他用电电器。三、运行维护规定第一百。八条UPS一年进行至少一次放电维护,填写UPS设备维护检查表和电池检测表。第一百。九条配电柜一年进行至少两次维护检查。内容包括:清扫灰尘检查各接点、触电的温升,松紧。第一百一十条机房专
34、用空调每年进行两次巡检,维护内容:清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流、检查下水管道是否畅通及漏水报警是否正常、进行软化水更换,填写空调系统检查表。第一百一十一条机房动力配电系统、防雷设施每年检查一次,维护内容:检测动力配电系统、防雷的可靠性、检查接地状况,并填写动力配力系统检查表。消防设施。设施每年要按国家规定进行检测,并填写消防系统检查表。要经常检查机房的防漏水情况,空调、门窗及屋顶。第五章人员及安全保密管理第一百一十二条数字化管理中心负责对集团计算机信息系统安全和保密工作进行指导和督促检查。集团及下属公司各单位相关人员要密切配合,共同做好计算
35、机信息系统安全和保密工作。第一百一十三条数字化管理中心应充分利用OA公告、部门公众号、企微直播等渠道定期或不定期组织信息安全方面的全员培训宣导工作,加强员工的保密意识教育,提高员工保密观念和防范意识,自觉执行保密规定。员工入职、以及从普通岗位晋升到管理岗位,需要接收信息安全意识培训和考核。第一百一十四条单位应与重点岗位的计算机使用人员签订安全保密责任书,明确安全和保密要求与责任。第一百一十五条计算机使用人员离岗离职,有关部门应当即时取消其计算机信息系统访问授权,收回计算机、移动存储设备等相关物品。第一百一十六条重点敏感岗位人员管理1、重点敏感岗位包括:网络管理、应用管理、主机管理、安全管理。2
36、、重点敏感岗位的工作直接影响着网络及信息系统的安全,必须加强管理。3、数字化管理中心要对以上岗位人员加强内控、教育,提高敏感岗位人员信息安全保密意识。4、重点敏感岗位人员离岗时,填写信息重点敏感岗位人员离岗移交纪录,经数字化管理中心审核确认后,完成移交工作。数字化管理中心运维服务组及时核对并修改相关人员权限和设备安全配置相关内容。第一百一十七条集团及下属公司要加强内部计算机信息系统安全和保密管理情况的监督,定期开展自我检查、自我评估,发现问题及时纠正。第一百一十八条严禁任何人以任何手段,蓄意破坏公司网络的正常运行,或窃取公司网上的保护信息。严禁私自泄露、篡改公司各种应用系统上的数据(含业务数据
37、和系统数据)计算机信息系统使用管理人员违反本规定,情节较轻的,由本单位予以批评教育;情节严重,造成安全和泄密隐患的,按国家及集团有关规定处理。第六章应急管理第一百一十九条数字化管理中心为网络、系统等事件的应急指挥决策单位,负责网络与系统事件的预防预警、应急处置、报告和调查处理工作。第一百二十条网络与系统应急管理应遵循“谁主管谁负责、谁运行谁负责”、“统一指挥、密切协同;注重预防、减少风险;科学处置、及时报告;以人为本、公平优先”的原则。第一百二十一条数字化管理中心应当定期对重要数据、文档进行备份,针对各应用系统、基础设施、信息安全等建立灾难应急预案,并定期进行演练和更新。第一百二十二条一旦发现
38、网络(内部信息平台)违法案件,应详细、如实记录事件经过,保存相关日志,及时通知有关人员,并与公安部门取得联系。第一百二十三条进行网络违法案件及其他网络安全检查时,网络安全员和其他有关人员必须积极配合。一、通用事件响应流程第一百二十四条发现安全故障或者遭受到紧急情况应立刻对数字化管理中心服务台进行现场情况反馈。第一百二十五条当服务台工作人员接到安全故障现象后,对现象进行分类并初步评判安全故障紧急情况,通知给相关的管理人员或技术人员。系统出现灾难性故障时,应立刻通知数字化管理中心负责人,制定详细的系统恢复方案第一百二十六条一般故障通知运维工作人员在现场或者远程进行事件处理。如果事件为紧急安全事故或
39、没有得到解决,则需要通知安全管理小组,由安全管理小组分析故障原因,制定安全解决方案并实施。如果问题还是没有解决,则需要协调其他安全公司,召集相关的技术人员讨论,确定故障原因,制定安全解决方案并实施,把事件处理完成。对业务正常开展造成影响,应及时通报使用部门,并向相关领导汇报。第一百二十七条在安全事件处理完毕,所有系统恢复正常以后,应该针对事件的处理书写报告。第一百二十八条对事件解决过程整理文档并归档,建立知识库。二、机房应急响应流程第一百二十九条遇到火灾应根据火情采取以下措施:L如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团相关部门。2.如火情严重应迅速拨打报警电话“119”,同时通知集团相关部门,听从消防工作人员的现场指挥,协助处理有关事项。第一百三十条如遇机房突发性停电,应迅速通知用户,同时检查后备电源使用情况。如有需要,可以关闭设备电源;来电后,及时通知用户,并检测设备是否正常运行。第七章附则第一百三十一条全体员工应严格遵守以上规章制度,如不遵守,触犯国家法律法规的,将报送相关执法机构处理;触犯公司制度的,按公司相关制度处分。第一百三十二条本制度自OA系统发布之日起生效。本制度解释权归XX集团数字化管理中心。
