1、海明集团IT系统安全管理规范一、目的为确保公司IT设备设施能够稳定、可靠地运转,为公司业务提供可持续服务支持,同时为了规避公司重要的电子信息数据由于系统或硬件损坏而造成数据丢失的风险,特制定本文件以规范IT安全相关的工作流程、内容和标准。二、适用范围:本制度可用来指导信息技术部工作人员开展IT安全管理工作,对公司级信息系统运行期间电子数据的备份和恢复管理予以规范。三、术语3.1 IT: information technology 意为信息技术,是用于管理和处理信息所采用的各种技术的总称。3.2 IT设备:泛指由信息技术部基础服务组管理的用于办公及信息技术服务支持相关的电子设备,包含:个人台式
2、电脑、手提电脑、打印机、服务器、路由器、交换机、多媒体、一卡通终端、摄像机等电子设备。3.3 公司级信息系统:应用于多个部门,或直接影响公司核心业务的信息系统。包含:ERP系统、跟单管理系统、财务系统、SHR系统等。3.4 IT安全:IT安全是指IT相关系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,服务不中断,对于可能发生的各种隐患防范于未然。四、职责:本制度由信息技术部负责解释、更新和维护。五、具体内容与工作程序5.1 网络安全管理5.1.1基础架构部负责信息网络的规划、建设、维护、管理和控制;5.1.2基础架构部应绘制公
3、司信息网络之间的网络拓扑、设备信息表并及时更新维护;5.1.3定期检查网络硬件设备状态,若巡检中发现问题需在巡检清单中记录并及时汇报部门领导;5.2 服务器安全管理5.2.1公司各服务器内应安装正版网络版杀毒软件,杀毒软件的安装与卸载应由IT运维人员操作;5.2.2密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成。5.2.3系统管理人员不允许将密码存放在公开可读的文件中5.2.4系统管理人员不允许将密码发送给用户,特别是通过微信、QQ、未加密的电子邮件等。5.2.5严禁将数据库服务器暴露在公网中5.2.6关闭服务器上不必要的服务和端口。5.2.7严谨在服务器上直
4、接进行上网、下载软件操作。5.3数据安全管理5.3.1数据必须定期、完整、真实、准确的备份转储到指定介质上。5.3.2应定时检查备份文件中是否存在备份失败的记录,如发现有备份任务失败的记录,需要检查故障原因,并进行排除。5.3.3备份周期:各信息系统做自动计划每个工作日进行数据备份。5.3.4数据恢复机制a)一旦发生系统故障或数据破坏等导致系统正常运转的情况,IT人员必须上报部门领导,经讨论决议后进行相应数据恢复操作。b)数据恢复应在测试环境中进行,严禁在正式使用的系统中进行恢复测试。c)恢复确认不存在问题后,要及时清理测试环境数据。5.4密码安全管理a)密码设置策略应符合信息安全通用规范,由不低于6位的大小写字符及数字和特殊字符组成;b)有关IT人员离职后必须及时修改密码;六、补丁策略OS、数据库升级、打补丁,需确保稳定、安全,并遵守以下原则:1.没有重大问题,不打补丁;2.大版本升级,需要等大版本发布1年以上;七、安全检查规定每个季度至少对数据库备份,服务器操作系统进行一次安全巡检。