IT安全标准.docx
- 文档编号:25790292
- 上传时间:2023-06-14
- 格式:DOCX
- 页数:12
- 大小:25.69KB
IT安全标准.docx
《IT安全标准.docx》由会员分享,可在线阅读,更多相关《IT安全标准.docx(12页珍藏版)》请在冰豆网上搜索。
IT安全标准
XXX的
IT安全标准
1、安全标准的原则声明3
2、范围3
3、硬件3
3.1、硬件使用标准3
3.2、资产管理4
3.3、故障4
4、软件5
4.1、软件安全标准5
4.1.1、软件使用标准5
4.1.2、操作系统5
4.1.3、应用软件5
4.2、资产管理6
4.3、故障6
5、应用系统6
5.1、应用系统安全标准6
5.1.1、应用系统使用标准6
5.1.2、SAP使用标准7
5.1.3、VPN使用标准7
5.1.4、E-mail使用标准7
5.2、故障7
6、网络8
6.1、使用标准8
6.2、网络安全管理8
6.3、故障8
7、电子文档安全9
8、违反9
1、安全标准的原则声明
对XXX(以下简称XXX来说,信息和通讯系统的安全运行是非常重要的。
信息安全中需要遵循的标准称为IT安全标准(ISS),它规定了确保IT安全的所有措施,是IT安全策略的重要组成部分。
每个XXX的员工和外部客户都必须严格遵守IT安全标准。
由XXX的IT部门制定,XXX的安全委员会审核的XXX安全标准对用户在使用电脑软件、硬件、应用系统和网络等资源时需遵循的规则以及流程作出描述。
2、范围
“用户”是指一切有权使用XXX公司IT资源的人,包括长期或者临时员工,以及有业务往来的合作方、合同方。
“硬件”是指一切与IT有关的设备,包括台式计算机、笔记本、服务器、打印机、扫描仪、一体机、UPS等。
“软件”是指可以在计算机上运行的电脑程序及其相关的文档资料,包括公司购买的软件、应用系统等。
“电子文档”是指公司工程图纸、公司合同、项目资料以及其他重要电子文件等。
3、硬件
3.1、硬件使用标准
3.1.1XXX在任何时候为用户发放硬件设备(以下简称“设备”)以供使用都仅仅是为了帮助该用户履行其作为XXX员工的职责,并非其它目的。
3.1.2所有公司或者员工/合同工获得的设备均应视为公司财产。
这些设备的使用应符合相关许可、通知、合同和协议的规定。
3.1.3不论何时,用户都应认真照看和维护设备,保持计算机及其他设备的清洁,应将设备存放在安全的地方或者采取适当的保护措施,禁止在设备应用环
境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
3.1.4用户不得让计算机在无人看管时没有屏保密码或未锁定会话。
3.1.5严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拨计算机外部设备接口。
3.1.6用户不得将其机密文件保存在硬盘上,重要的数据需保存到网络上的文件
服务器上。
3.1.7用户必须尽量仔细、耐心地操作其计算机、IT设备及网络系统,晚上离开办公室前需正常关闭计算机及其他设备的电源。
3.1.8事先未经同意,不得擅自打开计算机或IT相关设备的机壳。
3.1.9任何用户不得使用自己的电脑代替公司电脑在公司内使用,只有在履行其在XXX公司的职责需要时,才可将设备带离公司。
3.1.10如因工作需要将设备带到飞机或者其他公共交通工具上,用户应保证将其
作为随身行李加以照看,并且在任何时候不得使之处于无人照看状态下。
3.1.11如果要将设备留在汽车内,应将设备存放在汽车的行李箱中,以保证设备的安全。
此外,存放的时间不可太长,存放环境的温度不可过高。
3.1.12笔记本电脑的使用:
a.在无人照看时,应用防盗安全锁或者类似设备进行保护。
b.无论任何地方,笔记本电脑必须妥善保管,尤其是外出(如宾馆、机场、出租车等)。
c用户一年内因公外出使用电脑少于5天或8次的,外出可以申请使用部门的手提电脑。
在公司内仍使用台式机。
部门手提电脑为公用电脑为部门所有或者IT部门所有。
d.除部门经理外,符合下列条件的用户可以酌情申请使用手提电脑,每月累计公出5天或每季度累计公出15天或每季度连续公出10天。
e用户用公司手提电脑在家中使用Internet时,需联接ISP安装和配置上网驱动,其ISP有义务解决上网所碰到的问题而非XXX的IT。
3.2、资产管理
3.2.1员工需要使用设备时,应按照设备申请流程,向IT部门领取相关计算机
相关设备需求和(或)软件安装表,按要求仔细填写后反馈给IT部门审
核,审核通过后由IT部门发放设备。
①
3.2.2IT相关设备由IT部门统一购买,并贴上XXX固定资产标记。
用户应在不需要设备或离开XXX公司时将设备退还给XXX公司。
3.2.3不论何时,应禁止的情况:
将设备用作私人用途;XXX公司员工以外
的任何人使用设备;在设备上使用未授权的软件。
3.2.4用户必须注意防范手提电脑被盗,遗失以及损坏。
如发送上述状况而影响手提电脑不能恢复正常的工作状态,用户须承担一定的责任(第一年75%,第二年50%,第三年25%)。
如果是手提电脑被盗或遗失,用户须及时报告公司IT部门。
3.3、故障
3.3.1设备发生故障时,应按照故障报修流程填写表格,向IT部门申请报修
不允许私自处理或找非本单位技术人员进行维修及操作。
②
3.3.2非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准,并做好数据保密工作。
3.3.3设备如果丢失或者有任何损坏,应尽快向IT部门报告。
应对设备所包
含的信息进行鉴别。
XXX公司将向用户收取因设备丢失或者损坏导致的更换或者维修费用。
4、软件
4.1、软件安全标准
4.1.1、软件使用标准
只在设备上安装公司购买的正版软件或者是经许可的免费软件,避免使用不
属于公司的文件或程序(如Flash小游戏,个人图片,屏保等)。
不在互联网上下载或者上传未经许可的软件或文件。
4.1.1遵守公司关于使用杀毒软件的政策。
4.1.2通过IT部门提出关于任何指定软件的使用或者复制的疑问,并且尽快通
知IT部门其注意到的任何软件或者相关文件的误用现象。
4.1.3禁止在公司的计算机上安装游戏软件,玩游戏,播放VCD。
4.1.2、操作系统
4.1.2.1未经IT部门认可,不得擅自更改、删除、移动系统文件。
4.1.2.2重要数据不得存储在系统盘。
4.1.2.3设置用户和密码,密码不能使用易被猜出数字,密码必须定期更改,新密码须与前密码明显不同。
4.1.2.4用户禁止试图破解公司其他计算机的密码。
4.1.2.5用户离开计算机时,须锁定计算机系统。
4.1.3、应用软件
4.1.3.1应用软件包括Office,AdobeAcrobatProfessional,winRAR,Project,Kinsoft,AutoCAD、Symantec等。
4.1.3.2防病毒
4.1.3.2.1所有连接到XXX网络上的计算机必须安装有XXX指定的防病毒软件,且所有防病毒软件必须定期更新到最新版本。
4.1.3.2.2用户必须正确执行IT部门在计算机上设定的防病毒任务,无论何种情况下,不得卸载防病毒软件或使其处于未激活状态。
4.1.3.2.3带有病毒的文件或程序在清除以前,不得使用。
若遇到困难,可立即与IT部门联系。
4.1.3.3应用软件只能安装在指定的电脑设备上,IT部门有权进行核查,软件若发生损坏或卸载需向IT进行报告,重新申请安装。
4.2、资产管理
421公司所购买的软件应由IT部门进行统一登记管理,IT部门有权检查各部门员工电脑所安装的软件情况,根据软件资产目录,对软件的安装进行核实。
4.2.2用户若有软件需求,应按照设备申请流程,向IT部门领取相关计算机相关设备需求和(或)软件安装表,按要求仔细填写后反馈给IT部门审核,审核通过后由IT部门进行安装。
①
423软件的安装盘及序列号等由IT部门统一保管。
4.2.4公司购买的正版软件为公司资产,用户不得在非公司的电脑上安装公司购买的正版软件。
4.3、故障
5.1软件发生故障时,应按照故障报修流程填写表格,向IT部门申请报修不
允许私自处理或找非本单位技术人员进行维修及操作。
②
5.2非本单位技术人员对我单位的软件、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。
5.3若软件发生故障,无法修复,需要重装时,则要求做好数据备份。
5、应用系统
5.1、应用系统安全标准
5.1.1、应用系统使用标准
5.1.1.1XXX的应用系统只可用于履行公司职责。
5.1.1.2用户必须通过IT部门授权才能访问XXX应用系统,且不得以任何方式损坏、改变或者破坏这些系统的操作。
5.1.1.3用户负责保护自己的用户名及密码。
不能使用易被猜出的密码,密码定期更换。
5.1.1.4用户不可试图破解其他用户的密码进入应用系统。
5.1.1.5禁止故意编写、生成、编译、复制、收集、传播、执行任何计算机编码,或者试图输入任何计算机代码,私自复制、损坏或者影响任何XXX信息系统或信息的性能或访问(如病毒、蠕虫、特洛伊木马等)。
5.1.1.6用户在系统中获得的数据不得随意存储、复制和传播。
5.1.1.7外部人员访问系统必须通过IT部门和相关部门经理授权,且由本单位相关人员全程监督。
③
5.1.2、SAP使用标准
5.1.2.1SAP系统访问必须通过IT部门授权,权限的申请参照SAP用户申请流程。
④
5.1.2.2SAP安装流程见⑤
5.1.2.3SAP安全手册见⑥
5.1.2.4SAP标准业务流程见⑦
5.1.3、VPN使用标准
5.1.3.1访问VPN系统必须通过IT部门的授权,权限申请参照VPN用户申请流程。
⑧
5.1.3.2VPN安装流程见⑨
5.1.4、E-mail使用标准
5.1.4.1新员工入职,按照E-mail申请流程申请E-mail账户,IT部门给新员工设置E-mail账户,员工拿到账号和密码,首先须改成新的密码,密码不宜为简单的字符。
⑩
5.1.4.2用户应该在邮件服务器上保留至少3天的邮件副本。
5.1.4.3XXX的E-mail账户仅用于经认可的公司业务,尽可能避免用公司的E-mail账户发送和接受私人信件。
5.1.4.4禁止在公司的系统上传输或保存欺骗性、扰乱性或淫秽的邮件。
5.1.4.5不要打开来路不明的或者可疑的邮件及附件。
(若发现此类邮件,请
尽快与IT部门联系)
5.1.4.6
5.2、故障
5.2.1应用系统发生故障时,应按照故障报修流程填写表格,向IT部门申请
报修不允许私自处理或找非本单位技术人员进行维修及操作。
②
5.2.2非本单位技术人员对我单位的软件、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。
6、网络
6.1、使用标准
6.1.1用户浏览网络,主要是为了工作和研究与业务相关技术的需要。
6.1.2出于非业务原因使用网络时,不得妨碍公司正常运行,不得有任何非公司的获利行为,不得对公司造成不利影响。
6.1.3不得上载和、或下载MP3,MP4。
6.1.4禁止公司的网络用户浏览、下载或传送淫秽、色情、暴力或种族性的资料。
6.1.5公司员工禁止进入以下新闻组或网站:
种族歧视网站
成人用品网站
恐怖组织网站
宗派团体网站
其他与业务无关的网站
6.1.6若非正常业务所须而向安全的网站及明确的收信人发送信息,用户不得
向来历不明的网站或发信人泄露与XXX集团业务的任何信息(禁止
回答来源不清的冋题)。
6.1.7禁止在网络上使用peer-to-peer工具(例如BT,Gnutlla,Kazaa…)共享文件(音乐,视频…)。
6.1.8不得将个人计算机上的文件,文件夹或目录在公司网络或者Internet上
共享。
6.2、网络安全管理
6.2.1任何员工未经总经理和IT部门的批准,都不得将任何设备(包括公司设备及非公司设备)接入公司内部网络和互联网。
6.2.2外部人员必须得到有关部门经理、总经理的批准和IT部门授权后才能使用XXX的网络系统。
6.2.3任何人员不得同时进入公司内部网络和互联网。
6.2.4用户使用笔记本连接公司无线网络,必须得到IT部门的授权,并且对无线网络的密码保密。
6.2.5无线网络的密码为动态密码,IT部门定期对密码进行更新。
6.3、故障
IT部门申请报修不允
网络发生故障时,应按照故障报修流程填写表格,向许私自处理或找非本单位技术人员进行维修及操作。
②
7、电子文档安全
7.1任何员工不允许随意复制、打印、扫描、发布、销毁公司的电子文档,
如有需要,必须经过公司总经理批准及IT部门的授权。
应
7.2电子文档只能存储在指定的地方,如工程图纸只能存储在SAP系统中,
公司文件只能存储在文件服务器上,禁止存储在用户电脑、笔记本或者是移动硬盘、U盘等设备中。
7.3IT部门安装安全软件对用户的电脑、打印机、扫描仪等设备进行监控,以保护公司的信息安全。
7.4用户不得将电子文档带离公司,如有需要,必须经过业务部门经理及总经理批准。
甩
8违反
公司员工如果违反上述规定,将得到如下处置:
8.1第一次违反,将由IT部门给予警告
8.2第二次违反,IT部门将情况告知HR部门,由HR部门根据公司规定进行处罚。
请严格遵守上述使用规则,你将对违反上述规定负有责任。
附录
1计算机相关设备需求和(或)软件安装申请流程一一IT安全操作手册
2故障报修流程一一IT安全操作手册
3外部人员访问系统登记一一IT安全操作手册
(④SAP用户申请流程一一IT安全操作手册
5SAP安装流程一一IT安全操作手册
6SAP安全手册一一IT安全操作手册
7SAP标准业务流程一一IT安全操作手册
8)VPN用户申请流程一一IT安全操作手册
安装流程
IT安全操作手册
(10E-mail申请流程一一IT安全操作手册
@E-mail设置流程一一IT安全操作手册
02电子文档授权流程一一IT安全操作手册
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 安全标准