1、公司it系统管理制度及操作程序编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: IT管理制度一 资讯安全1 政策1.1 对保存敏感和机密资料的计算机必须实行控制。一种方法是使用存取控制软件；另一种方法是控制进入计算机本身的物理方法，把数据存储到移动磁盘上，不用时把移动磁盘锁起来。1.2 按照敏感级别对帐号和密码实行保密，有关操作规程参看 “帐号和口令控制”。1.3 即使理论上删除了软盘、磁带和硬盘等电子媒体内的信息，但实际上数据仍然存在。因此仅仅删除文件并不能把数据彻底清除。1.4 随着计算机病毒的感染越来越普遍，员工有责任随时保护2、及小心使用他们的计算机使其免受病毒感染。病毒能通过不同的途径进入一个安全环境中，如：电话线、网络和磁盘都能传播病毒，尤其是从因特网下载数据或使用共享软件，更易感染病毒。预防是最好的保护方法.1.5 公司IT应对用户使用软件进行适当的培训，以免意外删除文件和数据。1.6 针对系统因各种原因造成停机，公司IT应制定相应的应变计划。 2 准则2.1 物理保密 为了保护设备和系统，避免丢失和损坏，必须限制使用权限。对重要应用系统应该在发生灾难后给予恢复。 在可能情况下，硬件的各个层次 (例如通电、硬盘等) 都要使用口令。 当要离开座位一段时间时，请使用屏幕保护程序来锁定屏幕。2.2 帐号和口令控制 每3、个口令最少包含六个字符。 定期地(一般为三个月)强制用户更改口令。 机密信息更要频繁更换口令。 把口令记在脑中，不要记在电子档案或笔记本上。 不应使用简单易记的单词或数字作为密码，例如：12345678,或公司名称,配偶、儿女、宠物的名字,自己或亲人朋友的生日,电话号码,存折或信用卡帐号等. 不要与他人共享帐号和口令。 把存有口令的脚本文件当作机密信息，并限制存取。 通过设定失效标识的方法，限定第三方和顾问的口令有效期。 在互联网上使用的帐号和密码不应跟在公司里使用的帐号和密码相同.2.3 媒体保护 当硬盘从工作区域移出，包括进行维护和修理时，应预先重写硬盘或格式化硬盘来完全删除敏感信息。 移4、动存储设备(包括移动硬盘，U盘，软盘及笔记本电脑)使用者需定期将资料备份至公司电脑的硬盘或光盘上。 2.4 病毒 在每台计算机上安装杀毒软件，并保证每次启动计算机时都运行病毒自动防护程序，所有用户不得无故关闭此程序。 磁盘在使用前必须先扫描病毒。 在使用新的软件或数据以前，都须检查病毒。 及时更新病毒定义,以便查杀最新病毒。 如发现病毒，应马上向公司IT报告，以便及时调查病毒来源和杀毒。2.5 数据保护 使用操作系统、共享盘的文件加密功能来保护数据，避免意外或故意损坏、丢失或未经授权的修改。 制定控制措施，保证所有输入能正常处理，而且只有授权人士能拿到输出结果。 建立流程，保证对所有计算机用户5、(使用本地终端，或远程利用通讯线路与计算机中心相联)的安全和控制是可维护的。 电子文档存储期限，包括电子邮件、FAX等在服务器上的保存期限为六个月，保存在其它地方的建议不超过一年。财务、税务和法律文档例外处理。 及时更新操作系统和应用软件的升级程序或漏洞补丁。 非公司电脑不能接入公司内部网络，除有个别偶尔特殊需要并征得公司IT同意的。二 知识产权1 政策公司禁止未经授权地复制和使用软件及其它有版权或需许可的资料。 未经授权地复制和使用软件及其它有版权或需许可的资料违反美国和所有当地的知识产权法。 此等行为可能导致公司起诉、罚款和公开解聘。 员工必须确保安装在计算机内的每一套软件都带有许可协议。6、多用户软件必须逐个站点、逐一用户申请许可协议。在公司范围和办公时间内，使用公司资产和信息所作的一切工作成果都属于公司所有。2 准则只可使用授权的软件及其它有版权或需许可的资料。保存软件存货清单，包括移动记录、升级和安装该软件的机器信息。确保每一种软件从注册到物理位置是可跟踪的，反之亦然。 2.3 将原始授权软件及其它有版权或需许可的资料保存在远离计算机的安全位置。备份所有软件及其它有版权或需许可的资料，并与许可协议副本一起存放在其他地方。保存手册和参考资料，并对其进行追踪。三 公司资产1 政策.1 公司会向员工提供适当的硬件和软件以便他们完成工作任务。 1.2 公司所提供的硬件和软件属于公司资7、产。硬件中的关键部分都会由财务部赋予资产编号。1.3 公司IT有责任运用其专业知识，根据员工的需求为他们提供最适当的硬件和应用软件，以便这些员工完成与工作性质相吻合的日常工作。部门主管在未得到公司IT同意前，不能随意用新设备替换下属的旧机器。1.4 员工在未经公司IT同意前不能复制公司的任何软件。1.5 员工在未经公司IT同意前不能在公司的机器上更换硬件或安装自己的硬件。所有硬件必须由公司IT安装。1.6 员工在未经上司和公司IT同意前不能在他们的计算机内安装任何软件, 所有软件必须由公司IT安装。1.7 公司IT必须保留所有主要资讯设备的记录，包括但不限于计算机、显示器、打印机和通讯设备。在8、采购、搬迁、置换和弃置这些资产后，应马上更新记录。1.8 所有交给员工使用的公司资产必须且只可用于公司指定的用途。1.9 所有员工有责任爱惜公司交给他们使用的财产。1.10 由员工疏忽造成公司财产发生损失时，员工应按公司相关规定进行赔偿。1.11 员工离职时，必须向公司退还所有他负责的公司资产。四 互联网1 政策1.1 所有需要使用互联网的新员工必须首先向行政部提交使用的申请；申请时详细列出需要使用原因。 1.2 使用互联网的申请由部门主管审批。1.3 访问因特网的使用者均须通过经许可的防火墙访问因特网。严禁绕过公司设置的安全措施尝试包括在公司提供因特网上网能力的情况下直接拨号上网。不得通过互9、联网将公司资料外泄。1.4 公司在获悉任何违反本使用规定的行为后将采取相应的惩戒措施。根据具体的违纪情况，此类惩戒措施可能包括向使用者发出警告、通知使用者的主管、限制或取消因特网和（或）电脑系统的使用权、或其他包括解雇在内的纪律处分（解雇为最高处分）。违反本使用规定者亦可能须承担民事和刑事责任。任何使用者如违反本使用规定，公司保留追究其个人责任的权利。1.5 公司不鼓励员工从互联网下载任何软件，以免感染病毒。2 准则2.1 使用者不得通过因特网访问、传送、下载、打印、收存、储存或传播任何可能因种族、原国籍、肤色、性别、性取向、年龄、残疾、退伍军人身份、宗教或政治信仰而致使他人认为受到骚扰、歧视10、或诋毁的网站、图片、影像、文档、文字等。任何发现或收到此类材料的使用者均必须立即向其主管或人力资源代表报案。1.2 此外，因特网不得用于访问、传送、下载、打印、收存、储存或传播以下性质的材料：非法或有欺诈性； 诽谤、中伤和（或）破坏他人名誉；侮辱和（或）淫秽性；辱骂和（或）威胁使用暴力；煽动违反法律；或意在骚扰、辱骂或致使他人痛苦的匿名或重复发送的邮件。2.3 因特网使用者不得故意作出浪费电脑资源或不合理地独占资源而致使他人无法使用的行为。此类行为包括但不限于：大量发送邮件或连锁信、参加网上聊天、以及做网络游戏。由于音频、视频及图形文件占用大量的存储空间，因此如果与业务无关，则不得从因特网下载11、上述或任何其他此类文件。2.4 任何使用者均不得使用因特网致使任何系统或网络处于瘫痪或过载状态，或破解任何旨在保护其他使用者隐私或安全的系统。 2.5 任何因特网使用者如要从因特网下载和（或）复制软件、文件、图片、文档、邮件及其他与业务有关的材料，均有责任遵守相应的著作权法和授权许可规定。未经公司书面明确批准，任何使用者均不得下载或安装任何要求授权或收取注册费的材料。2.6 每位使用者在进行访问因特网站点、在新闻组发布信息等活动时均代表公司。每位使用者的电子邮件地址中均包含公司名称，因此所有通过因特网发送的函件均应视作以公函信笺或内部函件用纸所写就。 2.7 无论发布、访问、储存或散布有关信息12、者是否为使用者本人，每位使用者均对以其使用者身份码使用因特网的行为承担责任。每位使用者均对其登录口令负责。使用者如果确信有人盗用其使用者身份码或口令，应立即向自己的主管或公司IT报告。 2.8 从因特网上获取的电子邮件附件、文件和文档等未必都已扫描杀除软件病毒。从因特网上取得数据的使用者有责任确保文件不带有病毒，并且必须经常用电脑内的软件扫描杀除病毒。使用者如怀疑病毒已侵入公司网络，应立即通知公司IT部门。2.9 未经许可，任何因特网使用者均不得在因特网上传播保密或专有的公司文件或信息。2.10 拨号上网的电脑须断开与公司内部网络的连接。五 电子邮件1 政策1.1 电子邮件的保密公司的电子邮件13、系统包括有帐号和可选择口令控制，为避免非法使用,口令控制是必不可缺的。1.2 敏感数据尽量避免使用电子邮件发送含敏感或机密资料的文档。使用电子邮件来发送文档不如使用标有“私密”的密封信封安全。电子邮件可能在不经意间发送给错误的人或者不是应该收到邮件的人。1.3 法律问题在发生法律诉讼时，政府或私人可能索取您的电子邮件。不要使用电子邮件发送任何与您无关的内部非正式商业文件。1.4 隐私权 请注意：通过公司内部电子邮件系统所作的通讯不受隐私权保护。公司提供的电子邮件系统是作商业用途，所有通过这系统的电子邮件通讯都与公司有关，而非作个人用途。1.5 保留电子邮件文件 保存在公司服务器上的电子邮件只限14、90天，保存在其它地方的建议不超过1年。保存超过半年不必要的文档会使公司处于风险之中。2 准则2.1 电子邮件只供用于管理所批准的用途上,不允许利用公司邮件系统收发私人邮件或传播垃圾邮件,禁止通过邮件传递商业机密文件。2.2 通过电子邮件来传递文件，文件的大小限制为 2兆字节内。服务器上容量储存不得超过200M空间，超过此限制，必需进行删除，压缩文件或归档处理。2.3 在电子邮件系统中绝对不允许连锁信。2.4 用户的电子邮件通过脱机文件夹或个人文件夹方式存储在自己的计算机中比直接存储在服务器中好。2.5 公司对员工所有经公司邮件服务器接收和发送的邮件拥有所有权，因此公司有权监控，审计和检查员工15、收发邮件的行为及状况。六 计算机房管理1 政策1.1 计算机房必须保持安全和整洁。1.2 放置和维护计算机、文件服务器、数据库服务器、通讯设备的房间应能尽量减少接触外界的潜在破坏源，这些潜在破坏源包括可燃烧的建材、邻近的可燃物品或危险的存储罐、水、暴乱、有意损坏和蓄意破坏性的行为。1.3 计算机房应是不受外部如：温度、湿度和尘埃等影响的环境。1.4 严格限制进出计算机房，只有授权人士才能进入。2 准则2.1 非公司IT人员的计算机必须放置在计算机房以外。计算机房只供放置服务器并提供公司IT人员工作之用。2.2 计算机房的门必须经常锁上以防止未授权人士和尘土进入。2.3 计算机房应配备安全设备，16、包括灭火器、张贴紧急电话号码和紧急情况下如何行动的列表等。2.4 制作做什么和不做什么的列表。这个列表应包括日常操作和发生紧急情况比如火灾、停电时可以做和不可以做的项目内容。2.5 机房内禁止吸烟。2.6 机房内禁止饮食。七 备份和复原1 政策1.1 资讯是公司重要资源,必须定期备份以防止数据丢失。1.2 公司IT必须制定完善的备份和恢复计划。1.3 所有备份媒体必须储藏在办公室以外的地方。1.4 必须建立移动储存来管理备份，确保能快速和容易提取备份数据。2 准则2.1 每天必须至少作一次数据备份。2.2 每一季度必须最少作一次全系统备份（包括系统和数据）。 2.3 在安装新的硬件和软件之前、17、之后，都必须作全系统备份。在应用系统实施过程中，每一阶段圆满完成后作一次全系统备份。2.4 保留多个移动储存设备轮流使用。2.5 系统必须有一份备份存放在办事处以外的地方，最好是存放在保险箱内。 2.6 恢复流程必须记录下来并经过测试。 2.7 定期作恢复测试。八 购买硬件和软件1 政策1.1 在采购过程中，所有有关员工必须遵 “行为守则”。当用户提出需求时，公司IT人员必须预先判定他所需要的物品能否用现存的物品代用。如需购买，则应判定申请的型号能否最好地满足预算的要求，公司IT人员应根据自己的知识来作出最好的决定。1.2 由于计算机设备价格的波动，购买主要设备时，必须最少有两份最新价格的供应商报价单。要求供应商提供最新价格供公司IT参考。2 准则2.1 用户需要硬件或软件时，由公司IT先填妥请购单。2.2 公司IT根据最优价格和供货日期等条件寻找供应商。2.3 报价需三家以上，至少两家，择优选用。2.4 公司采购填写订货单并交给预定的供应商。 2.5 订购的货品送到公司后，公司IT按操作标准，配置硬件、安装软件完成系统安装。 2.6 公司IT人员必须在供应商的送货单上签名，以确认货品完整送到。 2.7 公司采购填写付款申请表和发票。财务部验证单据并按付款条款付款