《软硬件及安全工具运行管理规范.docx》由会员分享,可在线阅读,更多相关《软硬件及安全工具运行管理规范.docx(12页珍藏版)》请在三一办公上搜索。
1、上海观安信息技术股份有限公司技术支撑中心软硬件及安全工具运行管理规范TSC-IC-2-02本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VI.O陈芳2019-10-26李俊定稿V1.1陈芳2020-02-15李俊加入工具投入项目实施使用管理细则定稿目录1. 目的-1-2. 适用范围-1-3. 职责单位-
2、1-4. 工具或软件增置类型-1-5. 工具或软件使用管理-1-5.1.自研工具或产品管理-1-5.LL工具或软件研发-1-5L2.工具或软件安装-2-5.1.3,工具或软件使用-2-5.L4.工具或软件废弃-3-5.2.外购产品管理-3-5.2.1.工具或软件采购-3-5.2.2.工具或软件安装-4-5.2.3.工具或软件使用-4-5.2.4.工具或彳牛-5-53-L:JR彳1;11VI-55.4.项目实施中的工具管理-6-6 .其他软件规范化要求-6-7 .硬件设备日常管理-6-7.1.设备购置及安装实施-6-7.2.设备口常管理-7-7.3.设备使用-7-7.4.设备运行维护-8-7.5
3、.设备报废-8-1 .目的为有效使用及管理公司内部计算机软件资源,并确保公司计算机软件之合法使用避免人员因使用非法软件,致触犯著作权法、财产权,影响公司声誉或造成计算机病毒侵害,影响日常工作之进行,故制定本办法。2 .适用范围本办法适用于本公司软件含自主研发及外部采购的安全工具。内部自主研发工具主要包括业务风控平台、安全风险感知软件、数据库静态脱敏软件、安全态势感知分析软件等内容。外购软件例如:APPSCAN、启明天镜、绿盟极光、X-SCAN等工具使用的相关信息管理。3 .职责单位行政部:负责公司内部软硬件的管理与监督工作。各部门职责:为确保公司计算机软件的合法使用的落地性,各部门需指定软件保
4、管人,对计算机软、硬件的使用、保管及合法软件使用进行具体负责。软件保管人需管理监督该部门软件使用及授权情形,并负责软件异动等事项。以确保该部门软件的合法使用,若发现使用的计算机存在来历不明的软件,则应移除或连络行政部协助移除。4 .工具或软件增置类型/购置/自主研发/授权使用/随硬设备附赠/赠与5 .工具或软件使用管理5.1. 自研工具或产品管理5.1.1.工具或软件研发产品经理负责对自研工具或产品功能需求进行分析、搜集。理清工具或产品功能模块流程,完成产品分析报告。研发部门根据需求分析报告,在客户或软件需求部门的配合下完成系统设计报告,完成详细设计、编码、测试工作并交付产品,指导运行使用。具
5、体安全开发规范详见软件开发管理规定。5.L2.工具或软件安装公司自主研发的各类工具和计算机软件,每年至少进行一次盘点。各部门因业务需要需使用时可提出申请,由行政部依该软件的授权使用范围进行安装。公司拥有自主研发的各有类工具和相关计算机软件,若有人员要安装则必须先提此申请并经部门主管同意后,方得依授权数量安装,未取得授权部门由该申请部门编列预算处理。自主研发软件保管人对软件负保管之责,软件之使用者如有使用不当,造成毁损或遗失,应负赔偿责任。各部门软件分配使用后,保管人或使用人职务变动或离职时,应移交其保管或使用的软硬件,并办理交接。所有自主研发的软件需经过公司专业测试团队来进行安全性测试,并在测
6、试通过后,在安全管理员的监督下进行安装。软件安装后,应采用相应的安全措施,使风险将至最小。5.1.3.工具或软件使用自主研发的工具或软件保管人应根据软件工具的升级要求,获取升级更新包,确保使用汇总的软件工具及时升级,并记录升级的日期和版本等相关信息,防范自研产品平台存在的安全漏洞。自主研发的工具或软件保管人或使用人,对于保管或使用的软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著作权者,则该员应负刑事及民事全部责任。5.1.3.1.工具或软件借用自主研发工具或软件文件及计算机硬件外围借用需提前向行政部和部门相关领导提出申请。借用的软件,仅能在公司内原已合法使
7、用之计算机上使用。使用者借用的工具或软件严禁自行拷贝留存或违反智能财产权相关规定之行为,若触犯法律者应负刑事及民事全部责任。借用工具或软件于使用后应归还公司,并将安装于私有计算机内相关软件予以删除,不得留存备份。借用的工具或软件若有遗失或不正常使用导致损坏,无法正常使用,借用人应负赔偿之责。(正常使用损坏不在此限,但须交回原借用之光盘或磁盘)。借用或归还的工具或软件,须直接通过软件管理人员,不可私自转借,并不得委任借还。气短矍软件及安全工具运行管理制度不得私自刻盘随意借用软件,公开IiCenSe等信息。5.1.3.2.工具或软件升级工具或软件的升级一般每季度末由各产品线发起,特殊情况如遇紧急版
8、本更新等,则由使用者在得到消息的一周内下载更新包,下载更新包更新前,应进行备份操作,包括软件本身和使用过程中的数据,在更新时应指定专人负责验证测试和安全测试,测试通过后告知行政部进行版本更新后的登记,再交由使用者继续使用。若测试不通过则回退至上一版本。升级完成后需进行升级测试验证,并提供升级功能验证记录或报告。5.1.4.工具或软件废弃升级未通过的工具或软件和旧版本的工具或软件需进行销毁,废弃,并由相关部门监督确认。5.2.外购产品管理5.2.1.工具或软件采购各部门之工具或软件管理者对该部门使用中的软件,应视需要查核实际使用状况,以作为软件增置与编列预算的参考。各部门在做软件请购时应考量软件
9、用途、授权形式及价格以评估软件需求。5.2.1.1.工具或软件采购原则软件采购般需遵守以下原则:A.相同的软件集中采购。B.使用者多的软件,采用网络版或授权使用方式。C.所有软件经过专业测试团队的安全性测试,测试通过后,必须在安全管理员的监督下进行安装使用。5.2.1.2.工具或软件采购要求采购与接受赠与的软件应有合法的版权授予,若授权书应取得版权所有人或赠予单位的可资证明版权来源的文件或签证。软件的采购应依据正常请购等手续,并于取得软件及授权证明后,统一交由行政部。5.2.2.工具或软件安装公司各类计算机软件,应以具著作版权者为限,并统一由相关部门负责安装保管,并每年至少进行一次盘点。各部门
10、因业务需要需使用时可提出申请,并可在该软件的授权使用范围进行安装。公司购买的相关计算机软件,若有人员要安装则必须先提出申请并经部门主管同意后,方可依授权数量安装,未取得授权部门由该申请部门编列预算处理。软件保管人对软件负保管之责,软件之使用者如有使用不当,造成毁损或遗失,应负赔偿责任。各部门软件分配使用后,保管人或使用人职务变动或离职时,应移交其保管或使用的软硬件,并办理交接。各部门增购的软件,于购入后需将正版软件交由行政部,由行政部记录变更内容,为软件做增加变动登记。5.2.3.工具或软件使用禁止员工购买或使用会干扰或破坏网络上其它使用者或节点的软、硬件系统,此种干扰与破坏如散布计算机病毒、
11、尝试侵入未经授权之计算机系统、或其它类似之情形者皆在禁止范围内。网络上存取到的任何资源,若其拥有属个人或非公司所有,除非己正式开放或己获授权使用,否则禁止滥用或更制使用此等资源。公司员工使用计算机与网络相关资源应规范处理,并尊重知识财产权,不利用公司购买的产品从事任何违规或违法行为;并遵守公司规范。为确保公司外购计算机软件的合法使用,各部门负责管理该设备所使用的软件,若发现使用的计算机存在来历不明的软件,应连络行政部协助处理。外购工具或软件保管人或使用人,对于保管或使用的软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著作权者,则该员应负刑事及民事全部责任。工
12、具或软件保管人应根据软件工具的升级要求,获取升级更新包,确保使用汇总的软件工具及时升级,并记录升级的日期和版本等相关信息,防范外购软件工具存在的安全漏洞。5.2.3.1.工具或软件借用外购工具和软件文件及计算机硬件外围借用需提前向行政部和部门相关领导提出申请。借用的软件,仅能在公司内原已合法使用之计算机上使用。使用者借用的外购工具和软件严禁自行拷贝留存或违反智能财产权相关规定之行为,若触犯法律者应负刑事及民事全部责任。借用工具和软件于使用后应归还公司,并将安装于私有计算机内相关软件予以删除,不得留存备份。借用的工具和软件若有遗失或不正常使用导致损坏,无法正常使用,借用人应负赔偿之责。(正常使用
13、损坏不在此限,但须交回原借用之光盘或磁盘)。行政部对于购入的合法工具或软件由各部门负责人进行保管。借用或归还软件,须直接通过软件管理人员,不可私自转借,并不得委任借还。不得私自刻盘随意借用软件,公开IiCenSe等信息。5.2.3.2.工具或软件测试所有外购工具或软件必须是正式版本,严禁使用测试版和盗版软件。所有外购工具或软件需经过专业测试团队进行安全性测试,测试通过后,进行安装软件,需采用相应的安全措施,使风险将至最小。5.2.3.3.工具或软件的升级外购软件的升级一般每季度末由软件使用者至官方网站下载,特殊情况如遇紧急版本更新等,则由使用者在得到消息的一周内下载更新包,下载更新包更新前,应
14、进行备份操作,包括软件本身和使用过程中的数据,由专业测试团队负责验证测试和安全测试,测试通过后告知相关部门进行版本更新,再交由使用者继续使用。升级完成后需进行升级测试验证,并提供升级功能验证记录或报告。5.2.4.工具或软件废弃升级未通过的工具或软件和旧版本的工具或软件需要进行销毁,废弃。5 .3.工具或软件审计为使软件在计算机中发挥应有效用,并避免非法软件流入公司,行政部可定期或不定期稽查,并依据下列原则办理.由行政部人员定期或不定期检视计算机内相关软件或信息。为确保公司计算机软件的合法使用,行政部可不定期检查公司各部门所使用的软件是否合法,如发现使用非法计算机软件者,除提报与主管外,并追究
15、责任。5.4. 项目实施中的工具管理如公司自研或外购的工具运用到项目实施中进行安全评估与安全测评时,需对选择的工具的功能和参数配置及功能性内容进行测试与评估。分析评估工具对客户系统进行测试的适用性与安全性。如发现不适配时,应及时避免一些强力扫描或探测、以及攻击性测试功能的配置。对工具安全性与适用性的测试内容,应包括病毒检测、自身漏洞检测、攻击性脚本执行、策略配置等内容。6 .其他软件规范化要求员工网络上存取到的任何资源,若其拥有属个人或非公司所有,除非已正式开放或已获授权使用,否则禁止滥用或复制使用此等资源。公司员工使用计算机与网络相关资源应规范处理,并尊重知识财产权,不使用任何非法软件包于计
16、算机系统内,不利用公司计算机从事任何违规或违法行为;并遵守公司规范。禁止员工使用非法工具或软件,或私人拥有的计算机软件安装使用于公司计算机上或将私人计算机带至公司,也不得将公司合法软件私自拷贝、借于他人或私自将软、硬件带回家中,如因此触犯著作权者,则该员应负刑事及民事之全部责任。为确保公司计算机软件的合法使用,各部门对使用的计算机应指定保管人,以负责管理该设备所使用的软件,若发现使用的计算机存在来历不明的软件,应连络行政部协助处理。尊重知识财产权,于公司内务必使用合法软件,而由网络上所存取的任何资源,限其个人使用,并禁止下载有版权的音乐、影片及非法软件。7 .硬件设备日常管理7. 1.设备购置
17、及安装实施1)对于一般硬件设备,各部门或部门员工负责提出需求,并由部门负责人审批;2)对于关键硬件设备,IT管理员负责提出需求,并由相关负责人进行审批;1)各部门应对信息设备的选型、采购和验收等提出明确要求,并且对设备的选型、采购和验收留存相应文档;2)网络安全设备选型应根据相关规定,选择经过国家有关权威部门的测评或认证的产品;3)购置的设备到货时,各部门进行到货验收。4)购置设备部门应对安装的场地进行控制,与在线运行的应用系统隔离或远离应用系统,以避免发生重大问题;5)设备投运前,要掌握有关设备所提供的各种系统监控、维护工具,并检查其安全性和完整性;6)设备投运前,与设备的供应商共同制定设备
18、投运实施方案以及应急处理方案,并尽可能在测试环境中测试通过后,再在实际运行环境中实施。7.2.设备日常管理1)行政部维护硬件设备台帐,由专人保管,做到安装有帐可查,并与财务部的有关固定资产资料相对应。2)设备进入各部门后,应保证运行设备的安全及完整性,防止出现设备的人为损坏或丢失。3)软硬件设备台账更新后,应及时向财务部报送。4)各部门负责软件母盘或证书的保存登记工作,日常工作中应尽量使用母盘的复制品,避免造成对母盘的破坏。7. 3.设备使用信息资产使用过程中,各部门应注意的事项:1)根据各种软硬件设备的具体情况,组织安排相应的厂家或设备运行维护单位的技术人员入场安装调试。对于关键的软硬件设备
19、,负责跟踪、记录整个安装调试过程;在完成设备的安装调试后,应注意做好有关文档的验收及归档保存工作。2)负责查验设备厂商或提供商提交有关设备的运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或提供商提供的运行相关岗位人员的技术培训。3)信息系统设备完成安装调试后,因工作移动或拆除,在工作完成后,做好相应的登记变更工作。4)未经授权,不得将信息系统设备及资料或者软件带离出工作场所,在工作需要将设备临时带离,经本部门负责人审批,确保带离设备的安全性和保密性。5)对外托管的设备,应在与代维单位签署合同或保密协议中明确安全责任和必须遵守的安全要求。7. 4.设备运行维护在对信息资产进行运维时,
20、应注意以下事项:1)负责统筹安排硬件设备的维护。可根据内部人员的配置情况、硬件设备的数量、设备专业性等情况采取自行维护或集中外包的方式,专业设备可采取购买维保服务的方式。2)对设备的维修只有授权的维护人员才可以进行,防止因维修造成数据损失;对设备故障的预警信息应及时响应,采取有效措施;并做好相应的故障预警记录和维修记录。3)对需要送出单位维修的硬件设备,以及拆除或者改为他用的硬件设备,对该设备中有敏感信息的存储部件应该物理销毁或安全地覆盖。4)应注意保护信息传输线缆,防止线缆上传输的信息被侦听或线缆被破坏。5)应建立设备故障报告制度,软硬件设备出现故障要及时响应,并填写系统运行故障记录。6)对已投入运行的应用软件的维护或更改,应根据各部门的需求申请,制定维护方案,记录修改过程和有关技术资料。7)负责系统软、硬件设备的专业性维护和日常应急维护工作。7.5.设备报废硬件设备的报废应由各部门负责人对使用情况进行审核,使用数据销毁工具,对硬件中含有的数据进行销毁。
