IT安全管理新规制度.docx

1、南京橙红科技股份目 次前 言41目标52适用范围53物理访问54逻辑访问55个人办公电脑及服务器安全66信息安全定时检验67服务及电子邮件安全78网络使用标准：79USB口使用标准：810附件：处罚制度说明8前 言为企业建立IT安全实施标准，以保护企业网络和计算机环境中信息资产，特制订本制度。IT安全管理制度1 目标保障企业信息安全机密性、完整性、可用性、抗抵赖性、可控性。保护信息免受多种威胁损害。确保业务连续性，业务风险最小化。2 适用范围本标准适适用于某某某企业(包含但不限于其全部控股子企业、办事处)信息基础架构中全部系统，企业内部办公网络，包含广域网和办公局域网。3 物理访问1.1参考办

2、公楼管理要求内人员出入、物品出入要求实施。1.2打印、复印、传真使用者必需遵从打印、复印、传真管理制度4 逻辑访问2.1 控制用户身份识别和认证必需依据实际访问要求，来控制内部系统访问权限，检验认证用户或应用身份正当性。2.2 用户身份是经过为每个系统（操作系统、办公平台、硬件设备）使用者分配唯一系统标识来确定，而且每个用户拥有个人密码，作为系统身份认证依据。2.3 职员因离职、休假或业务变动不再需要访问系统，HR或部门经理必需通知系统责任人，系统责任人必需依据对应步骤终止该职员对系统访问权限。(参见人事部门离职步骤表)2.4 使用人不再使用该帐号，比如职员离职或退休，必需从系统中删除或禁用帐

3、号、和相关数据。(参见人事部门离职步骤表)2.5 关键岗位职员离职，系统接替人员必需更改密码或删除原帐号。2.6 存放在企业内部服务器系统中信息，除非得到该设备责任人明确指示，不然不需要加密。2.7 系统责任人必需设置缺省保护功效来保障用户资源，严禁她人非法访问用户资源。2.8 一般用户不许可修改公用系统资源，例外情况需要该设备责任人明确同意。 5 个人办公电脑及服务器安全在企业运行系统、应用和软件必需持有有效使用许可证实。 严禁非法拷贝或复制软件， 除非在许可条款上明确许可。5.1 为了愈加好管理局域网内用户电脑，立即处理网络故障，病毒源，立即排除安全隐患等需求。全部计算机包含笔记本电脑机器

4、名一律包含责任人工号制订。比如: 某某某电脑名为 123如出现一个职员有两个或以上电脑遵照 以下规则 123 -* 综合办IT运维人员有权限制不符合上述要求设备网络等服务。如没有根据此要求设置电脑名并因为本人维护不妥造成影响她人正常工作，给E级处罚。5.2 办公电脑、公用电脑、安装软件出现漏洞应立即安装补丁，不能处理漏洞等问题应向综合办IT运维人员说明并做好统计。如因为上述问题而引发安全信息隐患则给E级处罚，如因为上述原因造成了企业信息安全事故给C级处罚。5.3 设置计算机开机口令 a) 设置系统登录口令 b) 设置系统屏幕保护口令 c) 激活屏幕保护时间：5分钟。 d) 离创办公位时因对工作

5、电脑进行锁屏。没有根据上述设置给E级处罚。5.4 企业网络计划默认使用自动获取IP规则。职员不得私自固定IP，如IP冲突影响她人正常工作，不服从综合办IT运维人员管理者给E级处罚。5.5 如需要固定IP必需向综合办IT运维人员邮件申请，经过确定后由综合办IT运维人员负责分配固定IP使用，并做好统计，不然视为私自占用企业IP资源。给E级处罚。5.6 个人电脑和服务器等设备必需安装附录1中提及软件。6 信息安全定时检验6.1. 每个月定时随机抽查用户电脑，违规未安装者，给B级处罚。全部用户必需安装且运行正常软件以下：软件名称安装要求备注说明（杀毒软件） 是否立即更新指定杀毒软件，不得安装其它杀毒软

6、件Wsus安装且系统正常安装补丁操作系统自动分发补丁程序6.2. 全部电脑不得安装不符合企业要求，有害信息安全软件，如：带病毒、侵害计算机安全软件，违反上述情况，无正当理由者，给B级处罚。（个人办公电脑及服务器安全中所提及内容，如遇疑问或故障，应主动向综合办IT运维人员要求支持，不然造成不良后果均视为违规。）7 服务及电子邮件安全7.1 严禁在计算机上配置和提供无需验证服务或包含但不限于FTP， TFTP， HTTP、DHCP，违反要求者则给E级处罚。7.2 严禁利用电子邮件发送、群发或转发和工作内容无关邮件，违反要求者则给E级处罚。7.3 严禁将企业机密信息。经过邮件发送给和业务无关单位或个

7、人，违反要求者则给B级处罚。7.4 假如业务需要群发工作邮件，则应避免发送大邮件，尽可能以内容链接方法发送，违反要求造成网络或邮件服务器堵塞者，给E级处罚。8 网络使用标准：8.1 非特殊工作需要严禁使用外网或非法代理上互联网。经发觉给C级处罚。8.2 如工作需要外网出口，必需提交申请同意后才能开通。开通出口后设备根据机房服务器管理措施实施。请参见IT业务申请。8.3 严禁私接网络设备到企业办公网络上（如：Hub、无线AP、Router、Modem、拨号服务器），假如有工作需要，请和综合办IT运维人员联络，必需经过项目经理和综合办IT运维人员确定后，统计设备编号责任人方可使用。请参见IT业务申

8、请。如在使用过程中出现环路等不妥操作造成楼层或区域网络瘫痪，则给E级处罚。8.4 职员必需严格根据企业要求内外网线路物理隔离标准，严禁违反要求私接网线或网络设备造成网络安全隐患，经发觉给和设备责任人或事故责任人D级处罚。8.5 严禁在企业办公网络中使用大流量工具或程序（如：流量发生器、网络模拟程序）严禁在企业办公网络中使用网络流量监测、端口扫描、抓包等程序 经发觉给和设备责任人或事故责任人D级处罚。8.6 严禁在企业使用基于互联网Peer to Peer文件共享服务包含但不限于BT、电驴、迅雷。未经审批在企业使用非企业许可即时通讯工具，包含但不限于QQ、SKYPE、FeiQ、飞鸽等，严禁在上班

9、时间使用在线视频播放软件包含单不限于PPS、PPTV等经发觉给和设备责任人或事故责任人D级处罚。9 USB口使用标准：7.1 严禁非工作需要时私自使用USB设备如：U盘、移动硬盘、mp3、手机等移动存放设备，拷贝企业电脑内数据，违规者给B级处罚。7.2 严禁私自利用设备、工具、或其它手段打开原严禁使用USB接口，和机箱锁。如发觉给设备责任人B级处罚。7.3 未经IT运维人员立案，严禁使用任何USB无线上网设备和其它方法登陆互联网，违规者给设备责任人B级处罚。7.4 工作需要开通USB口等业务，请参见IT业务申请。10 附件：处罚制度说明A级处罚 企业解聘并移交相关安全部门，追究其刑事责任。B级处罚 企业级通报批评500-1000元C级处罚 企业级通报批评并罚款200-500元 D级处罚 部门通报批评并罚款50-200元E级处罚 部门通报批评