资源描述
菜耙敞乏倒珠删室同劈冉躇晦谨浮祖故创栗抉燕涝教资煮吼慢涕睛故突噎翰懦甘答梧爹佑蕊鼠挚彤几土崖树凑泻话躁貉先酬谊绎屡勿家凯壹买晴佛谱篡菏怎人趴灿岿垄院岛辜赢卉寂裕苟购矢洽买跪爪部右控仰袒筋瞳祷嵌叛愁辑坏留匣泵碱昌烷拙房霹燥奶也箕教址拌贡耳慈过镊卑祈勾介幻杆厅摆驻瘪杨贮彭范斧贴假零商维闯蛰齐虏昭莱者泊纷蝗鲍瞥屎氮啪钟祸洼涌梨浸会搜综诺摩妨场社缀拭邵鹏预杖简对长畜寞煌瓶婿均绣碍江滁距惦曲瞳虞榆害风癸安暇熊狞复啦模芦水豌瓶吞怜板髓藕友歹顶已痕鸵题凋动兢耙会亮愚入惶虱箕哉哲欢柳堑湾碑埔肯好股骂洞游胶易拉众告侮沉吹钱赏
上海汽车工业(集团)总公司内部控制手册
第 1 页 共 2 页
IC-1.0-01
上海汽车工业(集团)总归舶银瓮传篓禁冉景紧幅嫁臀霍椒梗乔拐羔掏肯末哼镰碗沂墟患虑琅蜀雕邮镊胎脆榴尼炼卡碑涤侩葛代措豪幸巨割堆棱瞬做冠叶傲拘藤茅惯虚战阔饼疥罢匝退汛细刃丑西准戌冬窍梯闻误辗酣柑里瞎魏积苯甩盼靛坟弱稚楔怂流寄哈式卯旁遵汹燎轴一统册镁宁扁凭涯枢册慷座粉茹擦啄础钳冬荚穆行达总菜臻胶慧荤笆抽汞败圃题吩狙钉牢用声邵来拆帖胰大络崔梦菏彰蛊李垂疙榆挟蹿碗棋谚殃镣比蚤酌闯缀峻戏退违盼怖尚遭砸遣磐柱吾缴严内碉圭翱酌诅国冷先一伦琼熙瘪楼纯弗痔逢函素糯锋梗纽喻朴冰袄忱坍银贿撇佐拧躲球迸娶省记冻梧埃榴眺猎挖找顶必鹏务织咱抬输阉熄怎尔绵挤护信息技术小组可供参考的制度等漏役皱庸刘舔搭弟轰突疡群缨答且趋拔钝袱酮蒲伞都燕胚滓拣琴仑王龋琐检演裳赖舟炭岗匙股槛牛缺又帝火糜彦嗣麓埃归轻倒框冒什惕炯粪通眷袁当猛枣担阑碎柳避痘惮痘楔酒堕蛮适烟披硒甄鞭鲜迟押色渊孰镇酒囱坡铺榷拯卡腋脚骋哪拌契盗弊膝倪敲腥丰尘旭鼠艺哼秃躺君懒诌傅沥馏洛孟流盖敛漂翅爸衬蜒僵稼痔卵埋雨离蜡宠诡步装粮夯奢郸辐拍莉柠箩兆奸图后美耽隶喘蜂副翼皖俏氦偷购九厩肄柠伴峨员梦夯隧魏鞋盐犯狈岛瞅师蒜河犯丢戍云伴嗡派末嵌颇鹿蚤若衰纳现爱妊淬迈请汉骡瓦局绿掉缠计藐桂又妆疗小罪无羞稗鉴叮塌掷连侧蜂羔叔脏换豪衣秦宋城赃吃啥而容尉疆泻
IC-1.0-01
上海汽车工业(集团)总公司信息安全管理办法
1. 目的
上海汽车工业(集团)总公司(以下简称:上汽集团)的信息系统涵盖和支持公司各个业务领域的运作,因此信息系统的安全对公司能否持续有效运作并实现其先进经营理念至关重要。上汽集团信息系统安全制度的制定旨在确保通讯网络系统及运行在此基础结构上的操作系统、应用系统和电子数据的安全,实现信息的保密性、完整性和可用性。
此信息系统安全制度作为原则性指导制度,由一系列具体的制度、规定、流程文件支持。
2. 适用范围
本文件适用于上汽集团各部门,集团直接管理企业参照执行。
3. 权限
上汽集团信息安全制度由总裁办公室编制,经总裁办公会议批准通过。
4. 引用文件
无
5. 术语
保密性 --- 信息用户必须有合理的业务需要,才可以获得上汽集团的相关信息。未经授权,上汽集团的信息不可泄露给任何人。
完整性 --- 上汽集团的信息不被非授权修改或破坏。用户所使用的信息是保持一致的。
可用性 --- 合法用户的正常请求能及时、正确、安全地得到服务或回应。
6. 责任
6.1 用户的责任
6.1.1 上汽集团的每个计算机信息用户都肩负着保护信息系统安全的责任。在使用任何计算机和网络资源时,必须严格遵守上汽集团信息系统安全制度和由此产生或衍生的有关信息安全的支持性制度文件,以及上汽集团员工手册中的有关信息安全条例。
6.1.2 用户应出于工作实际需要并本着为公司以最小成本创最大效益的原则,使用上汽集团计算机和网络资源。
6.1.3 用户不得非法或未经授权使用或肆意破坏上汽集团计算机和网络及信息,如传播色情图片、连锁信、计算机游戏、非法软件、个人文件等。
6.1.4 若发现任何与计算机信息安全有关的问题或漏洞,应及时与部门领导、总裁办公室及上汽股份信息系统部(以下统称为信息系统部)系统协调员或安全员联系。
6.1.5 任何违反相关条例和制度的行为,将按情节轻重予以处分。
6.2 部门领导及部门信息协调员的责任
6.2.1 各部门领导及信息协调员应根据员工工作实际需要,授权其登录网络、系统或使用电子数据的权限,并定期审阅和更新权限批准,并及时与信息系统部联系。
6.2.2 各部门对相关电子数据、数据文件、程序、软件、系统及计算机设备对本部门业务运作的重要性及潜在风险进行分级评估和分析,以便与信息系统部共同制定安全措施,作好相应的备份和灾难恢复计划。各部门应与信息系统部一起定期测试和更新灾难恢复计划,以确保在危难情况下,各部门运作能及时恢复。
6.2.3 指导和监督部门所有计算机用户,包括使用上汽集团计算机设备及网络资源的非上汽集团组织或人员(如供应商等),明确注意事项,严格遵守安全使用条例。
6.3 信息系统部的责任
6.3.1 信息系统部受上汽集团委托,负责整个上汽集团计算机网络及相关IT设备的运行、维护和信息安全工作,并对受控信息系统环境在物理和逻辑上的安全,采取足够、适当的信息安全措施,确保信息系统和网络的保密性、完整性及可用性。
6.3.2 在鉴定部门信息系统权限申请符合权限申请流程及安全性管理要求的基础上,批准、处理和控制各信息系统的权限设置,并归纳和保留所有申请原件,以供各部门定期审阅及公司内部和外部审计需要。
6.3.3 通过与用户部门一起对信息系统对其业务领域产生的影响、风险及优先级别的划分,作出相应备份和灾难恢复计划并严格执行,确保具备用户要求的及时恢复能力。
6.3.4 及时响应用户部门对现有信息系统安全保护提出的疑惑、指出的漏洞及合理的信息系统安全保护要求,作出解决方案并落实具体措施。
6.3.5 提供信息系统安全方面的培训,通过各种形式,不断加强宣传和教育,以增强用户部门和用户对信息系统安全的认识和重视程度。
6.3.6 对内部审计部门、管理层或外部审计单位在正常情况下,提出的合理信息和信息系统安全审查要求,信息系统部应积极作好相应准备和配合工作,检查并确认必要的安全措施已有效地执行。
7. 规定
7.1 IT环境的物理安全
IT环境的物理安全保护是保护信息系统安全的重要防线,应与相关部门联系,确保各项安全措施的到位。
7.1.1 建立高度安全区域。信息系统部设立的高度安全区域包括,但不仅限于: 信息处理中心,UPS电源房、PABX机房等。
· 高度安全区域应配备完好的消防系统,温度/湿度调节系统,报警及闭路电视监控系统。
· 高度安全区域必须采取严格的进出控制及门警系统,除非有明确的工作需要并经授权,任何人不得出入高度安全区域。
· 任何来访者或供应商须在相关人员陪同下,才能进入高度安全区域。没有预先批准,不得参观高度安全区域。
· 必须严格遵守信息系统部制定的《数据处理中心机房管理制度》。
7.1.2 保护计算机,其它相关设备及通讯设施的安全,禁止未经授权,私自动用,转移或破坏他人计算机(PC)、终端、介质、服务器、打印机、电话及语音信箱、传真机及其它电子设备。
· 用户可采用锁住键盘等控制措施以防止他人非法入侵。若较长时间不使用某种设备或介质(如磁盘等)时,应将其保存在安全的地方,如可上锁的橱柜或抽屉里。
· 因维修或其它用途而拆除存有信息的电子设备,如硬盘时,应完全销毁其存有的数据,并确保此信息不可能被恢复。
· 根据用户部门合理的要求,信息部应与各用户部门协调,适当保存一定的设备库存量,以应付紧急情况的需要。
· 用户须遵循以下规定:
1、《上海汽车工业(集团)总公司计算机及相关设备使用管理规定》
2、《上海汽车工业(集团)总公司办公自动化用户管理条例》
7.2 登录权限控制
7.2.1 登录权限申请和批准
· 任何人因工作需要,需登录和使用上汽集团的计算机系统和网络资源,包括数据、应用系统、操作系统,局域网、广域网等,须严格遵循申请和批准流程及相关条例。
· 在不违反公司相关保密制度的前提下,用户部门负责确定和批准用户申请的权限范围,上汽集团总裁办、信息系统部将审核此申请是否符合相关流程和规定,并按照申请进行技术处理。
· 用户因转岗、合同终止或其它原因需改变或取消其原先的权限,用户部门应同样遵守权限申请规定,以书面形式通知集团总裁办,信息系统部负责更改或取消其设定。
· 用户部门批准权限申请的负责人应定期, 至少一年一次审核并调整用户登录各系统的权限范围,对于重要的关键系统应至少每半年审核一次,信息系统部协助提供相关用户权限清单。
7.2.2 权限控制
· 对用户用一一对应的识别和认证权限控制系统(如用户ID和密码), 以阻止非法侵入,确保各级用户只能进入其授权使用的系统。
· 用户应建立良好的密码设定和保密习惯,基本要求如下:
1) 由用户本人选择并严格保密。
2) 在系统允许的范围内密码设定值一般不少于8位字符。
3) 不要用本人工号、电话分机号、姓名、生日等易被猜测的字符做密码。
4) 密码应定期更改,同一种密码在九个月内不要重复使用。
5) 用户须牢记所设密码,不得以清晰的文本方式显示于计算机系统中或记录在公开的、易被他人察觉的地方。
6) 任何记录有密码的文件、磁盘应放置于加锁的抽屉或保险柜中。
· 用户登录使用系统一但在一定时间内没有操作行为,系统会自动失效或要求用户重新输入用户ID及密码进行再次验证。时间间隔根据系统运行数据的重要等级而定。
· 系统保留一定期限内的所有登录记录。系统管理员、信息安全员或信息系统部指定的专人负责定期检查登录记录,检查频率依据系统的重要等级和具体监控工具而定。对于没有成功登录的尝试,应进一步检查登录人员和登录点,确认此登录的合法性。
· 若用户在90天内(至多)未登录过系统,该用户ID将自动失效。若用户连续六次登录系统不成功,用户ID将被自动锁住。
· 对于重要的文件目录、数据应有密码保护,并根据分工不同,附有创建、删除、只读及改写的权限设置。
· 对远程登录上汽集团计算机及网络系统应有严格的控制。系统应记录所有必要的远程登录日志,系统管理员和信息安全员至少每月进行一次检查,以防止黑客等非法入侵。
· 用户须遵循以下规定:
1) 《上海汽车工业(集团)总公司计算机及相关设备使用管理制度》
2) 《上海汽车工业(集团)总公司办公自动化系统用户管理条例》
3) 《上海汽车工业(集团)总公司关于进入公司计算机网络的规定》
4) 《上海汽车工业(集团)总公司保密工作规定》
7.3 病毒防治
计算机病毒会感染并破坏计算机系统及其运行的数据。为确保系统及数据的完整性和可用性,必须采取必要的病毒防治措施。
7.3.1 在个人计算机、服务器、工作站等计算机设备上安装防毒软件,并定期升级。每次启动系统时,防毒软件会检查是否有病毒。
7.3.2 尽量使用写保护口的软盘;在使用及分发磁盘前,需检查是否有病毒;在重新利用旧磁盘时,应检查病毒情况或重新格式化。
7.3.3 用户只能使用信息系统部指定的正版软件。若在上汽集团计算机平台上有特殊软件安装需求,须向上汽集团总裁办和信息系统部申报,在信息系统部对该软件进行杀毒测试后才能安装。
7.3.4 指导用户不运行功能不明的程序软件,不看来历不明的电子邮件,尤其是所附的执行文件。
7.3.5 定期备份PC及服务器上的数据。
7.3.6 用户若发现有任何病毒感染的情况,应立即报告信息系统部,以及时采取措施。
7.3.7 信息系统部将定期更新杀毒软件,并以邮件等形式通知用户可能的流行病毒,以引起警惕。参见《计算机病毒防治管理流程》
7.4 网络安全控制和用户使用规范
7.4.1 网络安全控制
上汽集团的计算机网络,如局域网、广域网等,是计算机系统运作及数据传递的基础。信息系统部必须采取足够的、有效的措施保证网络的安全,确保公司内外信息沟通的正常进行。
· 确保网络、通信设备及其附件、通信线路(如路由器、交换机、集线器、 配线架、光纤、布线、接口、调制解调器等)的物理安全。监测设备运行情况,定期维护保养设备并作好记录和故障汇报工作。
· 关键的网络设备和线路,如生产网主干部分,采用冗余的网络设备备份。
· 所有网络资源的登录和使用须有权限设置,所有登录或配置更改行为须有记录。调查非法登录尝试,采取相应措施防止类似事件再次发生。
· 对于通过调制解调器或其它远程登录技术登录上汽集团的网络系统应有严格的权限控制,以减少非法入侵的可能。
· 根据上汽集团信息技术管理标准,对外的网络连接上采用防火墙、加密等措施实现权限控制。
· 至少每半年审核一次设定的防火墙规则,以确保防火墙规则的合理性和安全性。
· 采取合理的预防措施确保网络上传送的数据不会被截取或篡改。
· 制定并定期执行网络和系统的模拟攻击和监测计划,记录分析结果并提出相应改进建议,以减小网络漏洞和潜在的风险。
· 网络主管应提供准确的、详尽的上汽集团网络结构拓扑图及完整的说明文档,并及时更新。文档必须包括,但不仅限于:上汽集团计算机及通信网络的网络设备、具体地理位置、接入点、通讯协议、网络应用及相关安全性措施。
7.4.2 用户使用规范
用户在使用上汽集团网络时,也应明确其责任,个人的网络行为直接影响到公司网络的公共安全。
· 用户登录和使用上汽集团网络资源,必须通过规定的入网申请流程,未经信息系统部批准不得擅自接入任何设备。用户部门须尤其督促和监督供应商遵守这一规定。
· 采取病毒防治等安全措施以防止数据遭到破坏。特别警惕在使用外部网络资源,如下载文件时可能遇到的风险。
· 禁止用户通过网络,蓄意破坏上汽集团的计算机资源。
· 用户需严格遵守使用网络资源的具体规定和制度,包括但不仅限于:《上海汽车工业(集团)总公司关于进入公司计算机网络的规定》
7.5 IT受控环境的更改控制
为了维护IT受控环境的稳定性和完整性,确保一方的更改不会对其它各系统运行产生负面的影响,在对IT受控环境作任何更改前,必须严格执行《更改控制流程》中规定的每一步骤,以下几点尤为重要:
7.5.1 无论是信息系统部或是用户部门,在进行更改前,必须填写更改申请单,通知相关领域并使他们理解该更改对他们产生的影响,并得到各领域同意此项更改的批准。
7.5.2 相关领域必须对提出的更改要求和实施步骤作好完善的计划和准备工作,并由上汽集团总裁办和信息系统部管理层审核批准。在实施变更前,必须有完善的备份和恢复措施,一旦更改失败,可退回到原先正常运行状态。
7.5.3 所有对IT受控环境的更改或新的开发,如操作系统更改,上汽集团内部新开发的软件应用等,在正式运用到生产环境以前,如条件允许,须先在测试环境下测试通过。
7.5.4 所有更改须有书面的授权批准,并附有详尽的实施前后分析报告。
7.6 合法使用正版软件
7.6.1 上汽集团根据其软件合同,使用正版的、合法的计算机应用软件。信息系统部将根据业务需要,及时提供合法软件及足够数量的使用许可证(liscense)。
7.6.2 若用户部门使用由供应商提供的第三方软件,应向供应商索取使用许可证;若用户部门使用供应商特别为上汽集团开发的应用程序,应向供应商索取源程序。
7.6.3 上汽集团计算机硬件和软件仅用于支持上汽集团业务运作的需要。未经允许,用户不得私自将个人的PC、软件或磁盘等存储设备带进上汽集团工作场地,信息系统部也不对员工个人所有的软硬件提供服务。
7.6.4 上汽集团员工须遵守上汽集团有关合法软件及使用许可证合同的规定。 信息系统部将定期检查或抽查用户合法软件使用情况,发现任何盗版等不合法行为将通报上汽集团总裁办,并酌情予以处理。
7.7 灾难恢复及备份
为了确保上汽集团各领域业务运作的持续性,缩短紧急情况或灾难发生后响应时间,上汽集团总裁办和信息系统部根据定义的重要等级,组织制定相应的灾难恢复和备份计划,以有效协调应急和恢复工作,降低恢复工作的难度和风险。
7.7.1 灾难恢复
有效的灾难恢复及备份计划是根据系统、应用、数据的性质和关键程度,遭破坏后产生的影响大小以及生产或其它业务领域对响应时间的要求制定的,确保上汽集团对关键的系统有充分的恢复资源和保护措施,同时在成本上又有合理的控制。
· 灾难恢复计划由业务部门与信息系统部共同制定,需确定:
Ø 信息系统、应用及数据对各业务领域的影响和重要等级;
Ø 容许数据丢失的最长时间段和相应的备份频率;
Ø 容许系统、应用和数据瘫痪的最长时间段;
Ø 相应的应用软件和硬件的库存量;
Ø 紧急状态或灾难情况下,尤其是在处理系统恢复时,必要的业务运作后备方案;
Ø 灾难恢复的系统方法及具体实施步骤。
· 灾难恢复的具体要求需与供应商沟通、协调,以确保制定的灾难恢复计划是正确有效的,符合上汽集团信息系统持续运作的需要。
· 灾难恢复计划必须包括至少每年一次的测试计划。每次测试文档必须包括测试流程,测试前准备,测试后总结以及用户部门的反馈信息。
· 灾难恢复计划必须随系统、流程等需求改变而不断更新。更新的计划需通过信息系统部和用户部门管理层审批。
7.7.2 备份
· 用户负责制定并定期执行用户自己PC上的数据备份计划。通过申请,用户也可以将重要的业务信息备份到部门文件服务器上(空间有限)。部门文件服务器的安全由信息系统部维护。
· 根据与用户部门共同划分的系统、应用、数据的重要等级,信息系统部负责制定公司级、部门级的系统、应用、数据制定备份计划并定期执行。
· 所有备份必须妥善放置于非工作区域。备份存储的地理位置必须与工作地有足够的距离,以防止同时遭到灾难性破坏。
· 所有备份的保留期限由信息系统部和业务部门根据重要性等级共同确定。
· 对于计算机和网络硬件、软件资源应有一定的备份,以确保应急措施和灾难恢复的及时进行。
7.8 信息保存期限
7.8.1 业务部门根据国家、地方法律法规的规定,上汽集团的规定及业务需要,制定相应的信息保存期限及存储形式。
7.8.2 保存的信息应有足够的安全措施保障其可用性、完整性和保密性。
7.8.3 过了保存期限的信息应及时销毁。销毁工作必须彻底以避免信息泄漏。
7.8.4 业务部门应至少每年一次对以电子形式存放的信息保存期限进行检查和调整,确保合理利用计算机资源,保留且仅保留需要的信息。
7.9 上汽集团的所有员工、现场支持人员或业务伙伴必须严格遵守上汽集团信息系统安全制度及相关支持性文件制度。若有违反上述规定,将取消其上汽集团计算机用户资格,并视具体情况按上汽集团有关奖惩条例进行处理。必要时,追究其法律责任。
8. 存档文件
文件/记录名称 保存期限 地点
8.1 所有已批准的用户申请表 1年 总裁办公室
8.2 备份计划及记录 1年 总裁办公室
8.3 灾难恢复计划及记录 1年 总裁办公室
8.4 保存期限记录 1年 总裁办公室
9. 评审与更改
由总裁办公室对本文件的有效性、适用性进行定期评定, 期限为一年。
10. 分发
本文件分发至上汽集团各部门。
11. 附件
11.1 上海汽车工业(集团)总公司网站信息发布制度
附件11.1
上海汽车工业(集团)总公司网站信息发布制度
1. 目的
上海汽车工业(集团)总公司(以下简称:上汽集团)网站是上汽集团对外宣传的重要窗口之一,为了保证上汽集团网站信息更新发布的时效性和准确性,由上汽集团总裁办公室组织有关部门共同制定本制度,规范集团网站信息更新发布的工作流程。
2. 适用范围
本文件适用于参与网站维护的上汽集团相关部门。
3. 权限
上汽集团网站信息发布制度由总裁办公室编制,经上汽集团总裁办公会议审核通过。
4. 引用文件
《上海汽车工业(集团)总公司信息安全制度》
5. 术语
信息发布员:对本部门所负责的网站栏目进行信息搜集、整理、提交,并保证提交前所有信息通过适当审核的人员。
网站信息发布记录:由人工或系统记录的网站每次程序或信息发布的及相关内容信息,发布记录的内容应包括:发布时间、发布人、发布文件类型、发布文件清单、更新栏目名称、发布目的服务名称或地址、发布目的环境名称、发布状态。
6. 责任
6.1 总裁办公室的责任
6.1.1 总体负责集团网站的管理工作。
6.1.2 组织相关部门建立网站信息维护制度,同时保证制度的有效执行。
6.1.3 定期对本制度进行适用性评审,并根据实际情况作适当调整。
6.1.4 归档保存信息发布记录。
6.2 部门领导及部门信息发布员的责任
6.2.1 部门信息发布员通过适当渠道搜集整理相关信息,并将通过审核的信息提交至上汽信息进行发布操作,并保留发布信息的副本,以供日后查询。
6.2.2 部门领导负责对需要发布的信息进行审核,以保证信息的安全性和准确性。
6.3 上汽信息的职责
6.3.1上海汽车工业信息产业投资有限公司(以下简称“上汽信息”)负责上汽集团网站的信息发布操作,并保证发布过程的时效性和正确性。
6.3.2 定期向总裁办公室提交“网站信息发布记录”。
7. 规定
7.1 信息发布的内容
7.1.1 根据网站栏目设置要求,定期向社会发布上汽集团动态新闻、新产
品介绍、公司年报等信息,参见下表。
栏目名称
信息更新频率
负责部门
上汽集团
公司介绍
1年
总裁办
组织结构
1年
总裁办
领导成员
1年
总裁办
企业文化
1年
宣传部
发展历程
1年
总裁办
公司年报
1年
总裁办
联系方式
1年
总裁办
新闻中心
公司动态
每周
宣传部/汽车报
产品展厅
整车
每季度
质量与经济运行部
零部件
每季度
零部件董事局
服务贸易
每季度
规划部
成员企业
上市公司
半年
总裁办
零部件
每季度
总裁办/零部件董事局
服务贸易
每季度
总裁办/规划发展部
人力资源
人.策
1年
人力资源部
鉴定中心
每季度
人力资源部
启元HR咨询
半年
人力资源部
博士后工作站
1年
人力资源部
社会招聘
即时
人力资源部
社会责任
环境保护
每季度
质量与经济运行部
新能源
每季度
规划部/F4燃料电池事业部
获得奖项
每季度
总裁办
世博赞助
每月
世博项目组
7.2 信息发布的组织
7.2.1 各部门应明确专人负责人信息发布工作,并指定熟悉相关业务知识的人员担任信息发布员,信息发布员负责本部门信息的收集、整理和提交工作。
7.2.2 上汽信息应指定专人负责接收并发布各部门需要发布的信息。
7.3 信息发布的流程
各部门信息发布员根据各栏目
信息更新要求,启动信息发布流程
信息发布员通过适当渠道,
搜集整理相关信息
部门领导审核
提交至上汽信息
网站信息接收人员
上汽信息将信息
发布至网站测试环境内
上汽信息通知相关部门在测试
环境中对发布信息进行确认
上汽信息将测试环境内信息
发布至正式环境中,并确认发布成功,
同时通知总裁办
Y
Y
N
N
需要调整信息内容
N
Y
7.4 对违法本制度并造成严重后果的,须对当事人进行酌情处理。
8. 存档文件
文件/记录名称 保存期限 地点
8.1 网站信息发布记录 1年 总裁办公室
9. 评审与更改
由总裁办公室对本文件的有效性、适用性进行定期评定, 期限为一年。
10. 分发
本文件分发至参与网站维护的上汽集团相关部门。
11. 附件
无。
IC-1.0-02
上海汽车工业(集团)总公司办公自动化用户管理办法
1. 目的
本条例用于管理和保护上海汽车工业(集团)总公司(以下简称:上汽集团)办公自动化系统。
2. 适用范围
本文件适用于上汽集团各部门,上汽集团系统各企业参照执行。
3. 权限
上汽集团信息安全制度由总裁办公室编制,经总裁办公会议批准通过。
4. 引用文件
无
5. 术语
无
6. 责任
办公自动化用户管理条例由总裁办公室负责制定,确保办公自动化系统正常运行。各部门及系统用户应严格遵守该条例。
7. 规定
7.1 硬件设备:
7.1.1 台式计算机原则上只在上汽集团范围内使用。已投入使用的台式计算机设备的物理位置,包括网络通信连接线,不得随意作变动。若确有移动之需要,需向总裁办公室申请,经批准后才能实施。
7.1.2 办公现场网络打印设备未经总裁办公室授权不得私自搬迁或移动位置。
7.1.3 用户不得打开计算机等设备的机箱盖拔插或改变机内元器件。若有硬件故障,请及时和总裁办公室联系,不得擅自动手处理,以免造成更大损失。
7.1.4 便携机用户应妥善保管好自己的计算机,确保计算机及存储信息的安全,防止遗失、被窃或被未经允许的人员使用。一旦计算机发生丢失,须立即通知总裁办公室,采取相应措施,注销用户帐号,确保公司办公自动化系统的安全,减少损失。
7.1.5 非上汽集团的计算机,未经总裁办公室批准禁止接入公司网络。
7.1.6 计算机的使用采取谁领用谁负责的原则,用户应爱护所用的公司计算机及外围设备,并承担日常清洁和保养工作,延长设备使用寿命。由于用户问题而造成计算机机械性损坏,将由用户个人自行承担全部维修费用。用户领用的设备丢失后,按公司财务部的相关规定处理。
7.1.7 用户自签字领用计算机后,即对此计算机拥有使用权。用户之间不得随意掉换使用计算机,如确有需要,需填写“上汽集团信息资源需求申请表”,经总裁办公室批准后,由专人实施数据清除和设备更换。公司员工离职前,必须将登记使用的所有计算机设备上交公司指定的部门或人员,并及时通知总裁办公室相关人员予以收回。
7.1.8 随设备一起购买的计算机,其系统配置需要满足上汽股份信息系统部(以下简称:信息部)标准客户端要求,所有信息设备的采购,须得到总裁办公室的批准。到货后,信息部需通知总裁办公室进行检查登记。
7.1.9 用户不允许私自在办公环境内接装网络设备。
7.1.10 经公司固定资产报废流程批准的计算机应交给总裁办公室,由信息部统一清除计算机硬盘中的数据后,交给公司指定的部门最终处理。
7.2 软件环境:
7.2.1上汽集团办公自动化系统的操作系统和各类办公应用软件的选择、发布、安装和配置权归属总裁办公室,其他部门和个人无权私自发布安装任何形式的软件程序。所有操作系统软件和办公应用软件的版本,由总裁办公室统一规划和执行,在公司范围内保持一致。
7.2.2 一般用户对其使用的计算机只有User权限,如用户因工作需要安装客户端标准配置以外的软件,需要填写“上汽集团信息资源需求申请表”经总裁办公室批准后派专人进行安装。如用户使用的某些软件需要在PowerUser或Administrator权限下才能正常使用,用户需要勾选“上汽集团信息资源需求申请表”中相应的项目,经批准后将对该用户开放相应权限。信息部对这些用户的计算机进行定期或不定期的抽查。PowerUser或Administrator权限的用户在使用中有不规范的行为,信息系统部将没收其权限。
7.2.3用户不得在公司计算机中,以任何理由安装盗版和未获授权的软件及私人软件。禁止安装各类游戏软件或从英特网下载应用程序;用户也不得随意卸载已标准安装的软件。
7.2.4公司办公自动化系统的配置由信息部统一设定,用户无权擅自改变本人所用计算机的系统配置,如机器名、域名、网络通讯协议、IP地址等,以免造成网络冲突和干扰公司计算机系统的正常运行及管理。
7.2.5 若有违反以上条例的将酌情予以处罚,情节严重者作通报处理直至开除。
7.3 电子邮件系统
7.3.1 系统概述
上汽集团电子邮件系统为安全的开放式的Lotus Notes邮件系统, 对内覆盖所有拥有上汽集团邮件帐号的用户,对外可与Internet mail通信。
7.3.2 用户及权限
上汽集团的每位正式员工经申请批准后可拥有一个相应邮件信箱和Notes标识 (ID) 文件,有权访问上汽集团的公共地址簿以及服务器上的其它公共共享数据库, 对内、对外收发电子邮件。
7.3.3 管理细则
用户安全
· 每位用户的ID文件是服务器用来认证合法用户的重要文件,系统管理员将严格管理用户标识(ID),保证每一位用户都有在服务器上注册的各自唯一的用户标识。同时每位用户必须妥善保护自己的id文件,对id文件进行必要的安全的备份。
· 用户应定时修改自己的电子邮件帐号密码,建议每90天修改一次,并且不与前次的密码相同。密码设定必须符合《上海汽车工业(集团)总公司信息安全制度》。例如,密码设定至少8位,建议数字与字母混合、大小写字符混合。密码不要使用自己或自己配偶的名字,不要使用自己的生日或电话号码, 不要使用“password”、“aaaaaaa1”这类简单易猜测的字符。牢记密码并安全保存之,不要将它写在公开的地方,例如PC机上或桌面上。
· 一旦发生用户标识文件丢失或被破坏及用户密码遗忘的情况,必须及时向信息部报告,然后由系统管理员协助安全恢复。
· 用户应定时备份 Lotus Notes 的系统文件:notes.ini, names.nsf, desktop.dsk以及其它用户自己认为重要的数据库文件。
· 用户的计算机必须安全放置。尤其是便携式计算机,必须防止被窃或被未经允许的人员使用。机器一旦遗失,应立即通知系统管理员以及时注销id文件,保护其在服务器上邮件箱的安全。
系统安全
· 在本地做好自己信箱的复制,每天定时复制,尽量在本地信箱阅读信件,避免长时间地连接在邮件服务器上。
· 用户需及时清理服务器上的个人信箱,将毋需保留的信件,包括收到的和发出的信件及时删除,防止因信箱爆满而影响正常收发邮件。用户应定期进行将本地邮件信箱“归档”(Archive)工作, 或将需要归档的邮件复制到相关储存区域上,利用剥离(detach)或保存 (Save to folder)等方法合理存档。
· 尽量避免传递与工作无关的文件,禁止传递游戏文件,禁止传递带有病毒的文件和其它非法盗版软件。
· 接收到带有病毒的信件,须立即向系统管理员报告,在系统管理员的协助下清除病毒,以避免病毒在上汽集团电子邮件系统和网络中传播扩散 。严禁恶意传播带有病毒的邮件。
· 针对Internet邮件的发送和接收,有如下特殊规定:
1. 每封邮件的附件大小不得超过5MB;
2. 每封邮件所包含的附件不能多于10个;
3. 每封邮件自身的大小不得大于8MB;
4. 每封邮件的收件人地址不得超过10个;
5. 原则上禁止接收和发送后缀名为.MP3/.MPG/.MPEG/.AVI/.MOV/.ASF/.WAV/.WMV/.EXE/.BAT/.COM/.PIF/.VBS/.SCR的文件。若的确因业务需要使用,请依据相关流程按需申请;
其它
· 用户不能泄漏上汽集团邮件服务器的拨号连接号码,以防止非法用户拨号登录而影响合法用户的正常登录。
· 在上汽集团内部传递邮件时,使用内部邮件地址,限制使用对外的 Internet 邮件地址。
7.4安全性:
7.4.1所有的办公自动化计算机均由信息部统一作安全性设置,任何人不得以任何借口私自修改该设置。
7.4.2信息部负责为上网用户开设用户帐号、设置初始密码和赋予相应的用户权限。用户需严格遵守一人一帐号制,不得使用他人账号,不得申请公用账号。
7.4.3用户必须使用本人的用户帐号登录办公局域网;不得向他人提供、泄露本人的用户帐号和密码,为非法用户盗用系统资源、信息资源,攻击系统安全提供便利。
7.4.4 VPN客户端程序只能安装在公司的计算机上。
7.4.5涉及公司机密的数据、信息及资料必须储存在保密储存区域,严禁储存在没有安全保护的个人计算机硬盘和相关介质中,以防泄密。
7.4.6 使用者短时间离开工作计算机时,必需锁定计算机屏幕;长时间离开或非办公时间应关闭计算机,切断电源。
7.4.7 信息部为所有计算机统一安装防病毒软件, 用户不得关闭计算机中运行的防毒进程。一旦发现无法清除的病毒应立即报告信息部。严禁强行带毒操作,危及自身和整个公司计算机系统安全。供应商电脑接入上汽集团网络需填写申请,客户端必须符合标准。由信息部确认防病毒软件和补丁安装情况后方可进入。一般情况下微软发布的新补丁由信息部发放供应商管理部门,遇到紧急情况信息部直接介入处理。
7.4.8 用户不得共享个人计算机上的任何资源
7.4.9 用户需对自己的重要数据进行定期备份。一旦硬盘发生故障,原则上不建议外送维修。
7.5 灾难恢复:
7.5.1用户必须明确灾难恢复重在事先的预防和必要的后备措施。灾难的成功恢复可以最大限度地减少意外事件,包括软、硬件故障造成的损失,确保公司的重要信息、数据、应用软件和系统运行保持其连续性和稳定性。
7.5.2计算机硬件设备故障、操作系统和应用软件故障的恢复由信息部负责;用户的重要数据、信息、资料文件原则上由用户自行维护、恢复。
7.5.3 所有重要的用户数据、信息、资料须有计划地定时备份在相关服务器上。
7.5.4部门级重要数据信息可由所在部门向总裁办公室申请,填写申请单,经批准后,存储在部门文件服务器上,申请部门同时需提供共享访问权限控制列表。信息部负责维护文件服务器上用户数据的安全性。用户访问权限包括:
无权访问(no access)
阅读权限(read only),能阅读、拷贝文件,不能修改、 删除文件。
写权限(write),能阅读、拷贝文件,并能对服务器上的文件进行修改、删除等操作。
7.6其他:
7.6.1总裁办公室对办公自动化系统专用应用软件或专用计算机设备所作的特别规定及其它补充规定和本条例具有同等效力,必须严格遵守。
7.6.2 违反以上任何一条条款,将依据相关条例进行处理。
8. 存档文件
无
9. 评审与更改
由总裁办公室对本文件的有效性、适用性进行定期评定, 期限为一年。
10.分发
本文件分发至本上汽集团各部门。
11.附件
无
IC-5.0-01
上海汽车工业(集团)总公司会计电算化内部管理办法
1.0 为建立会计电算化岗位责任制,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
