1. ?机房安全管理程序
(1)? 总则
1)为加强信息机房(计算机房)及其设备安全管理,预防信息设备事故发生,根据国家法律、法规及行业安全管理要求,制定本规定。
2)信息机房是指公司为保证信息化管理工作需要,专门用于存放提供电子信息服务、信息储存设备、服务器、电脑、交换机、备用电源等信息设备的场所。
3)信息机房安全工作坚持“安全第一、预防为主”的方针,贯彻执行“谁主管,谁负责”的原则。
(2)? 职责
1)技术部主要负责人公司信息中心机房安全管理第一责任人,并对公司信息设备安全工作进行指导和监督。
2)公司技术部应落实安全管理责任,指定专人负责机房安全管理工作,并对机房管理人员进行必要的安全知识培训,使其具备机房安全管理的能力。
3)信息机房管理人员定期检查机房设备及线路,安全管理人员定期检查消防器材、火灾自动报警、火灾自动灭火系统等消防设施,保证其状态良好。
4)信息机房钥匙应由机房管理人员保管,非信息中心工作人员未经许可不得擅自入内。
(3)? 安全管理
1)信息机房建设应符合《计算机场地安全要求》,满足以下消防要求:
?? 机房环境应避开易发生火灾危险程度高的区域,
?? 机房的工作间与设备间应作分隔,具有良好的人机工作环境,保障工作人员的安全与健康;
?? 机房应安装独立空调设备;
?? 机房禁止使用水、干粉或泡沫等易产生二次破坏的灭火剂;
?? 机房应有防火、防潮、防尘、防雷、防静电、防鼠等措施;
?? 机房面积大于10平米以上应配置应急照明装置和安全出口指示灯;
?? 机房应配备实时监视摄像设备,并与所在区域的视频控制系统对接;
(2)其他安全法规要求。
?? 机房内温度应控制在20℃~25℃之间,湿度应控制在25%~60%之间。
?? 信息机房内面积大于10平米以上应配置足够的二氧化碳灭火器,信息机房除配置灭火器外,还应安装火灾自动报警系统和气体自动灭火系统。
?? 信息机房应有可靠的供电系统,应有单独的配电柜。
?? 信息机房应配备不间断电源设备,其容量应保证机房设备和关键作业设备在断电情况下,能够持续供电1小时以上。
?? 电源变压器一类的用电设备(如充电器、调制解调器电源、录音机电源、录音电话电源等),在通电状态下不得直接放置在地毯或其它易燃物品上,以免发生火灾事故。——信息机房内各类通讯线路和设备应有独立的直流地、交流工作地和防雷保护地,定期检测接地良好性,并增加相应的防雷设施。
(3)病毒防治管理
?? 计算机必须安装经过国家安全保密部门许可的查、杀毒软件。
?? 每周升级和查、杀计算机病毒软件的病毒样本,确保病毒样本始终处于最新版本。
?? 每周对计算机病毒进行一次查、杀检查。
?? 计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
?? 对必须使用的外来介质(磁盘、光盘、U盘、移动硬盘等)必须先进行计算机病毒的查、杀处理,然后方可使用。
?? 对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究使用人员的责任。
(4)? 故障应急处置
?? 技术部网络管理员/系统管理员在接到信息设备故障报告后,根据信息设备故障现象和系统警告信息等内容对故障性质进行初步诊断,确定下一步故障排除方向。
?? 软件故障处理中网络管理员或系统管理员针对故障的原因进行软件调整,修复信息设备系统。对于应用软件功能性问题,则取得应用软件开发商的技术支持进行故障排除。
?? 硬件故障处理中网络管理员/或系统管理员对设备硬件损坏引发的故障,联系设备供应商或指定维修站进行维修。
?? 网络管理员/系统管理员在故障修复之前,对于信息设备内的重要参数信息及文件资料要做好备份工作。在故障修复之后要使信息设备工作状态还原至故障发生之前。
?? 系统管理员/网络管理员必须详细记录信息设备故障处理的过程。
(5)设备管理
1)未经管理人员允许,非专业维护人员不得拆装计算机及相关设备,涉及电工作业的维修应由电工进行。
2)管理人员应按说明书要求对机房设备进行使用、保养和维护,禁止带电状态下进行设备维修。
3)信息机房内不得擅自使用功率超过500W的临时用电设备(如电炉、电暖器、电熨斗、电吹风等),以免导致电源负荷超载而跳闸。
2. 重要信息备份管理程序
(1)目的
为确保所有重要业务数据和软件能在灾难之后或存储媒体损坏之后得以恢复,保证信息处理及生产数据的完整性与可用性,特制定本程序。
(2)范围
本程序适用于本公司重要数据(Exchange、OA、TUS)及软件的备份管理。
(3) 职责
1)技术部负责全公司信息备份工作的技术指导及公司各部门重要信息资产的数据和软件进行备份。
2)各部门负责对本部门维护的不适合公司自动备份系统执行的重要信息资产的数据和软件进行备份。
(4) 程序
1)各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其他重要信息进行备份。
2) 信息备份的安全要求包括:
根据风险评估的结果,明确备份周期和备份套数;
3)对备份媒体进行标识;
4)备份媒体存放于适宜的环境。
5)财务重要数据采用文件加密和RAR加密的方式保存。
6) 各部门根据风险评估的结果,制定《重要信息备份周期一览表》,在其中明确规定备份周期、备份方式、备份媒体及备份负责人。
7) 《重要信息备份周期一览表》经部门负责人批准后予以实施;对于人工备份应填写《数据/软件备份记录》,自动备份的应在备份软件系统中保留备份日志,信息备份的记录应予以保存。
8) 当软件发生更改时,应进行备份,并保障当前使用软件版本的唯一性。
9) 各部门应采取适宜的方法对备份信息媒体进行标识,防止备份信息的误用,标识的内容包括:
?? 备份信息的名称;
?? 备份的日期;
?? 版本号;
?? 必要时,备份/还原工具
10) 数据备份媒体应保存在适宜的环境并专人管理;涉及企业秘密的备份媒体应按照《秘密文书管理规程》进行标注,只有授权的人员才可以访问,并保存在上锁的文件柜或其他安全储存场所。
11) 备份信息用于恢复的目的时应由本部门负责人进行审批,并填写《数据/软件备份恢复审批表》,根据信息备份的方法是由公司备份系统自动执行的还是手工备份的来决定由综合部或本部门经过授权的人员进行备份的恢复。
12) 记录保存期限
《重要信息备份周期一览表》1年
《数据/软件备份记录》1年
《数据软件备份恢复审批表》1年
3? 邮件安全管理
3. ?目的
(1)随着公司信息化建设的发展及互联网络的普及,电子邮件已逐步成为广大员工在工作中进行信息交流和业务往来的主要工具。为加强企业形象宣传,规范公司电子邮件的使用管理,确保公司邮件传输的可靠性、安全性和应用水平,提高公司整个网络的运行效率,以维持邮件服务器的正常运转,特制定本管理制度。
(2) 范围
本制度适用于公司内所有使用公司邮件系统的员工。
(3)内容
使用管理
?? 1)公司员工以电子邮件对外联系业务时必须使用公司提供的电子邮箱,公司对员工邮箱进行统一规划和管理。职员名片及公司其它对外宣传资料上都统一标注以公司域名为后缀的邮件地址,不得标注其它的邮箱。
?? 2)公司员工应根据工作需要,依照公司技术部的电子邮箱申请流程,申请开通电子邮件服务。
?? 3)公司各级员工应根据岗位需求,在获得相关领导批准后,方可向技术部申请开通特定邮件组群的收发权限,并在调离该岗位或离职时,由HR通过电子流程通知技术部注销此权限。
?? 4)每封电子邮件在对外发送时其附件大小不能超过50MB,从外部接收的邮件其附件大小不能超过50MB,否则将无法正常收发,或导致公司邮件网络堵塞、瘫痪。
?? 5)不要打开一些不知名的、或有可疑的邮件,这样有可能造成病毒入侵公司网络,给公司造成直接的经济损失。
?? 6)严禁使用电子邮件群发与工作无关或带有娱乐性质的邮件。如确实需要在公司内召集、组织集体娱乐活动譬如球赛、集体出游等等,请将该邮件发送技术部负责人,由其负责群发。
?? 7)严禁跨部门或全公司群发邮件,以免干扰其他部门的正常工作秩序。
?? 8)严禁使用电子邮件群发供应简历邮件,类似“请给某某推荐工作”,除非是给HR推荐工作。征求简历邮件,允许在内部群发。
?? 9)员工收到公司群发的邮件后,严禁全部答复该邮件组群,以免给其他人员的工作造成干扰。
(4) 责任说明
1)员工应及时修改初始密码,并对邮箱帐号和密码的安全负责。员工不得自行把自己的邮箱帐号提供给他人使用,须经常改变邮箱密码以防邮箱被他人盗用。若发现有任何非法使用自己的帐号或存在安全漏洞的情况,应立即通知技术部门妥善处理。
2)员工的电子邮箱只限工作交流使用,严禁传播中伤他人的、辱骂性的、恐吓性的,以及淫秽、反动等违犯国家法律法规的内容。
3)严禁员工利用工作之便,向内外部无关人员发送涉及岗位或公司机密的信息资料
4) 违纪处理
任何违犯上述规定的行为,视为破坏公司正常的工作秩序,一经发现并核实,第一次将给予200元经济处罚;第二次将给予500元经济处罚,并按《员工手册》中的A类违纪处理。
4. ?机房设备维护管理制度
(1) 为妥善保证网络工作的良好运行,特制定此机房设备维护管理制度。
(2) 信息网络机房为用于放置、操作信息网络设备的专用房间;机房设备的管理由系统管理员负责。
(3) 信息网络机房内须保持清洁、肃静、设备整齐有序;严禁在机房内吸烟、不准在计算机及工作台附近放置可能危及设备安全的物品。
(4) 信息网络机房是重点防火防盗单位,必须设置专用灭火器具,并定期检查。机房管理人员为机房的安全、卫生负责人,负责机房的防火、防水、防盗等安全消防工作和日常卫生管理工作。
(5) 信息网络机房内各种仪器设备由机房管理人员集中管理,耗材使用要严格登记,禁止用机房设施做与本职工作无关的事,外出时须做好交接工作。认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放、保管、防止丢失或失效。机房资料外借必须经批准并履行手续,作废资料严禁外泄
(6) 信息网络机房管理人员使用服务器、交换机、UPS、空调及其它仪器设备,必须严格遵守操作规程,必须先经检查确认正常后再按顺序依次开机;结束操作必须检查确认正常关机并切断电源后方可离开。因操作不当造成仪器设备损坏,由当事人负责赔偿。
(7) 信息网络机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
(8) 外单位人员因工作需要进入机房时,必须由相关部门办理审批手续。进入机房后听从工作人员的指挥,未经许可,不得乱动机房内设施。外来人员参观机房,须有指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。中心机房处理秘密事务时,不得接待参观人员或靠近观看。
(9) 信息网络机房的温度和湿度均保持在正常的指标内。
上一篇: 信息安全管理规范和操作指南
下一篇: 补丁管理规定