IT安全管理规范

IT安全管理规范

1 目的

为确保公司IT设备设施能够稳定、可靠的运转，为公司业务提供可持续服务支持，同时为了规避公司重要的电子信息数据由于系统或硬件损坏而造成数据丢失的风险，特制定本文件以规范IT安全相关的工作流程、内容和标准。

2 主题内容和适用范围

本制度可用来指导信息管理部工作人员开展IT安全管理工作,对公司级信息系统运行期间电子数据的备份和恢复管理予以了明确规范。

3 术语

3.1 IT: Information Technology，意为信息技术，是主要用于管理和处理信息所采用的各种技术的总称。

3.2 IT设备：泛指由信息管理部IT组管理的用于办公及信息技术服务支持相关的电子设备，包含：个人台式电脑、手提电脑、打印机、服务器、路由器、交换机、多媒体、一卡通终端、摄像机等电子设备。

3.3 公司级信息系统: 应用于多个部门，或直接影响公司核心业务的信息系统。包含：ERP 系统、MES系统、一卡通等信息系统。

3.4 IT安全：IT安全是指IT相关系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，服务不中断，对于可能发生的各种隐患防范于未然。

4 职责

4.1 本文件由信息管理部IT组归口管理与组织实施，并负责编拟、修改和完善；

4.2 制定集团整体的IT安全策略，并具体负责防火墙管理、网络流量监视与控制、以及域策略实施；

4.2信息管理部负责依据集团的IT安全策略，按照要求进行具体的相关实施及运维。

5 具体内容与工作程序

5.1网络安全管理

5.1.1 信息管理部负责信息网络的规划、建设、维护、管理和控制；

5.1.2 信息管理部应绘制公司信息网络之网络拓扑结构，并及时更新维护；

5.1.3 信息网络接入internet网之出/入口应配置硬件防火墙，并制定适合安全规则；（当前为香港IT负责此工作）

5.1.4 公司信息网络划分VLAN管理，各交换机之VLAN配置应保有文档，如有变化应及时更

新。

5.1.5 应对网络流量进行监视与控制,此工作由中国区IT协助香港IT施行。

5.1.6 定期检查网络硬件设备状态，若巡检中发现问题需在OA中保存检查记录

5.1.7公司网络内应安装正版网络版杀毒软件，杀毒软件的安装与卸载应由IT运维人员操作。

5.2 域安全管理

5.2.1 公司对PC/LAPTOP的入网施行域控管理，实施域控服务后，可进行访问人员的身份认证并可有效控制病毒扩散产生的影响。域控服务器的相关配置由香港IT实施，域策略的制定亦由香港IT实施。

5.2.2 信息管理部/IT负责中国端域控服务器之硬件状态及软件状态监视，如有问题应及时通知香港IT；

5.2.3 信息管理部/IT根据相关策略及时将中国端PC/LAPTOP入域，并对域帐户进行管理5.3 密码安全管理

5.3.1 应根据信息安全需求，准确确定密码管理之对象。应根据安全需求级别，对密码进行分级管理。高机密密码应限制知晓人数，并有专人进行定期密码更改并存档；

5.3.2 密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成。

5.3.3 用户需按照附录A《用户密码设置及使用标准》设置及使用密码；

5.3.4系统管理人员不允许在密码没有通过身份验证的情况下覆盖或重置密码。

5.3.5系统管理人员不允许将密码存放在公开可读的文件中。

5.3.6系统管理人员不允许将密码发送给用户，特别是通过未加密的电子邮件。

5.3.7系统管理人员应根据信息安全需求,密码应定期进行强制更新。

5.4数据安全管理

5.4.1数据必须定期、完整、真实、准确地备份转储到永久性介质上。

5.4.2应定时检查备份文件中是否存在备份失败的记录，如发现有备份任务失败的记录，需要检查故障原因，并进行排除。

5.4.3备份人员必须认真、如实检查服务器的数据记录项，以备后查。

5.4.4备份周期：各信息系统每个工作日进行数据本地备份，所有系统至少每月在异地留有数据备份。

5.4.5备份介质

a)备份介质要由专人负责保管工作，备份介质要严格管理、妥善保存。

b)备份介质应在指定的数据保险室或指定的场所保管，保存地点应有防火、防热、防潮、防尘、防磁、防盗设施。

c)备份介质应按照各系统规定的最短保存期限存放。

d)不再使用的备份介质应在要销毁时，超过规定存放周期的可直接进行销毁或删除，未达存放期限的应先经过部门领导审批，然后消磁、销毁。

5.4.6数据恢复

a)一旦发生系统故障或数据破坏等情况，要由信息管理部相关的管理员进行备份数据的恢复，迅速恢复系统，确保系统正常运行。

b)每年进行备份数据恢复测试演练，测试应在测试环境中进行，严禁在正式使用的系统中进行恢复测试。

c)恢复测试内容包括备份数据恢复、系统恢复、故障排除等内容。如果发现不能恢复的数据，则需要及时进行检查，确保备份数据的有效性。

d)数据恢复测试结束后，应记录测试的真实步骤、结果及改进措施等。

e)恢复确认不存在问题后，要及时清理测试环境数据。

5.5 机房安全管理

5.5.1机房建筑符合GBJ45-1987中规定的二级耐火等级防火，并配置火灾自动报警和灭火系统。按面积和设备数量配备适合计算机设备使用的灭火器（严禁使用干粉、泡沫灭火器）。5.5.2独立机房必须有避雷针等避雷设备，非独立机房应当具有符合要求的接地条件，确保接地体良好的接地。严格独立设置信号地与直流电源地和避雷地。

5.5.3应有较完备的空调系统，保证机房温度/湿度的变化在计算机运行所允许的范围。防止空调冷凝水漏水、加湿器漏水等事故造成网络系统、供电系统和服务器设备损坏。对工作人员进行教育，充分了解机房各水管开关阀门的准确位置，会处理应急事件。

5.5.4应采用接地的方法防止外界电磁干扰和设备寄生耦合干扰，采用屏蔽方法，对信号线、电源线进行电屏蔽，减少外部电器设备和机房内部强电干扰源对计算机系统的瞬间干扰

5.5.5机房供电必须保障双回路供电并安装保障机房最大负荷断电后不小于60分钟正常供电的不间断电源。供电系统应照明用电与网络系统供电线路分开，并配备应急照明装置.

5.5.6所有的人员必须在信息管理部IT人员的带领下进入机房。短期工作人员、维修人员、参观人员必须有专人陪同进入机房。没有管理人员的明确准许，磁铁、私人电子计算机或电子设备、食品及饮料等与工作无关的物品均不准带入机房。任何记录介质、文件材料均不准带出机房。

5.5.7 设备的电源和通信线路应该铺设在机房地板下，或者采取足够的保护设施保护网络电缆以防未经授权的窃听或损坏，并保护电力电缆不受损坏。电力电缆应该与通信电缆隔离，以防干扰。除维修设备外，不得在机房内接插与设备运行无关的电器。

用户密码设置及使用标准

1.用户密码设置及使用注意事项

●第一次登录系统时的初始密码/默认密码必须第一时间更改；

●密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成；

●定期更改密码（每六个月）；

●如果发觉系统密码已泄露需立即更改密码并通知系统管理员；

●不能在没有保护的情况下将密码记录在任何地方（例，贴在桌面）；

●不能将密码存储在任何设备上（例，便携硬盘、U盘）；