网络信息安全管理制度

1目的

为保证本单位的信息系统的操作系统和数据库系统的安全。结合本公司建设网络安全管理体系。

2范围

适用与RTC业务的所有部门。

3职责

内控专员是本单位网络系统管理的责任主体，负责组织单位系统的维护和管理，并对车间安全进行对应的排查维护。操作员工遵循网络信息安全管理制度安排，签署企业网络信息安全承诺书。

4术语和定义

内控专员：负责为本公司建立网络信息安全监督体系，并做不定期的排查。

网络安全是指：在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。

用户隐私保护是指：保护用户的数据和隐私，如姓名，联系方式，家庭住址，银行卡，护照号码等，未经用户授权，不得访问，复制，使用和披露用户数据和隐私，不能植入木马，后门，蠕虫，病毒，恶意代码、未知功能及未知权限的软件。

5.概述与程序

5.1安全主要体现以下不良体现

●超出用户授权访问、拷贝、使用、泄露用户工单、故障机中的个人数据

●利用华为客户或华为系统的信息和数据，读取泄露客户信息。

●在维修服务中引入木马、后门、蠕虫、病毒、恶意代码、未知功能及未知权限的软件

●使用或运行未经华为官方许可的维修软件，或加载非华为官方渠道发布的软件版本、补丁

5.2体系管理。

5.2.1 结合华为对网络隐私信息的管控要求，结合公司实际与员工签署《信息安全承诺书》。

5.2.2制定员工用户数据及隐私保护措施。

通过安全系统禁用U盘，移动硬盘等移动存储设备，限制工作电脑安装的工具软件类型；同时利用技术手段，并将网络权限进行隔离（每台电脑设置固定IP，中央路由器设置网络外发权限），确保业务数据只保留在业务操作用的电脑上，而不会出现被员工带走的隐患。

5.2.3遵守华为要求的安全管理制度，包括产线、库房、人员、IT等管理要求.

5.2.4设置专职或兼职人员负责网络安全及用户隐私保护工作的日常管理，包括制度制订，人员培训、安全检查、持续改善等

5.2.5根据华为提供的《供应商网络安全及用户隐私保护checklist》对生产现场进行确认，并每年组织各部门进行一次全面自检与优化,对于稽核确认报告进行存档。

5.3 IT系统信息安全维护管理。

5.3.1车间产线电脑应禁止使用便携机，所有办公及生产使用的电脑需安装标准杀毒及防火墙软件且定期杀毒。

说明：特殊情况调试网络或办公等情况需要使用便捷式手提电脑，需要报备内控专员并由其全程陪同监控。

5.3.2员工需设置不同的账号和密码，禁止共享或借用他人帐号。

说明：每台电脑需要设置独立的开机及锁定密码，由内控专员进行维护。要求员工在申请GSPM系统由独立邮箱申请，申请后需自行设置新密码。

5.3.3禁止电脑外网访问、光驱、邮件外发权限。

说明：对所有的生产电脑进行绑定固定IP，IT人员在中央路由器中设置权限IP，限制员工的邮件外发及连外网。目前已设置专用安全系统，对电脑光驱、USB拷贝及移动设备的连入进行了限制。没有权限员工无法直接插入USB 进行复制使用。

5.4 人员管理

5.4.1建立关键安全岗位人员清单，包括但不限于姓名、信用等级、权限、保密协议签署、培训等。

5.4.2对关键安全岗位人员进行网络安全及用户隐私相关知识培训。

5.4.3对新招聘的人员进行安全意识考核，对离职的岗位员工进行信息和权限收回，包括工作时使用系统权限及邮箱账户进行注销。

5.4.4生产过程安全规范，员工进入车间必须经过安检门，由保安管理监督操作。内控专员有权监督管理。严禁携带违规物品。

5.5 文件安全管理。

5.5.1明确文件安全管理，生产使用的记录及表单需要由专人收集保管，按照华为要求的年限进行存档。

5.5.2文件销毁。对于华为定需销毁的文件，由内控专员审核然后在文件上盖上作废章，然后物理粉碎销毁。

5.6.相关文件

无

7．相关记录：

生产安全点检记录表 QM-HW-750-2

.文件拟制/修订记录