QMS-75-1 格式1-NC信息安全实施细则(案)目录第1 章总则 (2)第2 章电脑等信息设备的对策 ...................................2-5第3 章信息存储介质的对策 (5)第4 章系统维护 ...............................................................6-7第5 章网络连接 .............................................................7-8第6 章防病毒对策 (8)第7 章电子邮件的使用 (9)第8 章互联网的使用 (9)第9 章软件许可证的管理 (10)第10 章信息安全事件・事故的对应 (11)第1 章总则1.1 目的本对策基准以“信息安全规定”为依据,针对XXXXXXX有限公司(以下简称“XXXX”)中信息安全相关的应遵守事项制定了具体处理细节,以确保XXXX信息的安全和信息资产的安全。
1.2 定义本策略基准中所使用的术语遵照“信息安全管理规定”中的定义。
1.3 适用范围本策略的适用范围遵照“信息安全规定”中指定的适用范围。
第2章电脑等信息设备的对策2.1 电脑等信息设备的管理IT必须制作一份其管辖下的电脑等信息设备的管理登记表,并进行妥善管理。
2.2 电脑等信息设备的购买及处理※新员工入社申请接收到人事新员工入社通知邮件后,首先IT会对现有备用机进行确认,在备用机超过5台的情况下,结合实际情况,将超出的备用机优先配发给新员工,如果少于5台,则在金蝶系统中发起《C投资类采购申请单》到调达相关担当采购。
※旧电脑使用更换使用者申请信息化设备时,应先在OA发起“信息化设备购置申请单”,审批流程为申请者→本部门领导→IT科领导→IT担当流程审核完成后,IT会对使用者现使用电脑进行(购买年限,硬件状态,工作需要)等确认,确认无误后,IT 相关担当将在金蝶系统中发起《C投资类采购申请单》到调达相关担当,调达相关担当进行采购,采购完成后,IT将对新的信息化设备进行配置授权处理后,PC的软件安装标准请参考《PC软件安装指南》(见附件1),完成后交于申请者使用。
员工必须根据《XXXX电脑使用规范》使用电脑设备(见附件2)。
另外,还须提高警惕以防失窃・丢失,并遵守以下内容。
(1)用于公司业务的电脑等信息设备,必须是由公司发放・出借的。
(2)个人所有的电脑等信息设备,不能用于处理业务,也不能连接公司内部网络。
(3)电脑等信息安全设备必须实施密码设置、加密等安全对策。
(4)电脑等信息设备必须按照“第4章系统维护”中的规定,使用最新的安全更新程序。
(5)电脑等信息设备的防病毒对策必须按照“第6章防病毒对策”中的规定进行实施。
(6)电脑等信息设备可以视存储信息的重要程度进行定期备份。
2.3 电脑等信息设备的他人使用限制为防止他人非法使用或偷窥电脑等信息设备,员工必须遵守并贯彻执行以下内容。
(1)电脑等信息设备的账户及密码原则上只能自己使用不能随意交予他人。
(2)离开电脑等信息设备时,必须注销或锁屏,令他人不能擅自操作。
2.4 电脑等信息设备中安装的软件(1)电脑等信息设备中使用的标准软件,可以根据XXXX信息安全主管部门制定的“PC软件标准指南”进行选定。
(2)不能安装XXXX信息安全主管部门禁止使用的软件。
(3)免费软件和共享软件等未经IT许可不能安装。
2.5 电脑等信息设备的网络连接(1)当要将电脑等信息设备连接到公司内部网络上时,必须按照“第5章网络连接”中的规定进行连接。
(2)安装了已被XXXX信息安全管理部门禁止的OS版本的电脑等信息设备,不能连接到公司内部网络。
2.6 电脑等信息设备的维修发生电脑故障时,必须联络IT对故障先进行判断,判断原因后,使用人需要在OA系统中填写《IT作业委托书》取得本部门领导和IT科长同意后进行维修作业;如果维修需要将电脑等信息设备带出公司维修时,为了确保该信息设备内信息的安全,必须与委托修理的厂商签订保密协议。
2.7 电脑等信息设备的废弃(1)当要废弃电脑等信息设备时,必须使用完全清理硬盘软件,使存储的数据不可恢复。
(2)当委托外部厂商帮助废弃电脑等信息设备时,必须签订保密协议以及委托处理品的再利用禁止协议。
2.8 电脑等信息设备的退租当要退租电脑等信息设备时,必须使用完全清理硬盘软件,使存储的数据不可恢复。
但是,由于租赁公司的原因而无法清除数据时,必须与租赁公司签订保密协议以及委托处理品的再利用禁止协议。
2.9 电脑等信息设备带出时相关事项员工将电脑等信息设备带出公司外时,必须遵守以下内容。
(1)使用者将信息化设备带出公司外使用前,必须在OA系统中填写《电脑持出使用申请表》,需要填写信息化设备编号、使用者姓名、员工号、带出理由、带出日期等内容的申请表并获得部门长许可,同时签署《笔记本持出使用承诺书》(见附件3)。
(2)部门长在批准带出许可时,对申请内容要认真斟酌、确认,认为因工作上的需要确实要带出公司时,进行以下①、②项流程:①确认启动密码设定、必要的系统保护措施是否完善。
②通知信息化设备管理者、登记后领取带出许可证。
(3)信息化设备管理者接到部门长通知后尽快登记后配发带出许可证。
(4)部门长从信息化设备担当处领取带出许可证后交给使用者并贴在信息化设备表面显眼的部位。
检查带出许可证确实粘贴后,方能同意将信息化设备带出。
(5)在带出许可有效期间内,因调职、调部门、转户口等情况导致所属部门发生变化时,使用者将信息化设备带入新部门的情况下,该信息化设备的带出许可证失效。
需要继续使用时,要在新的部门重新申请。
(6)在带出许可有效期限内更换信息化设备(定期更新或故障)时,带出许可证不得直接使用于更换后的信息化设备,需要时要重新申请。
(7)获得带出许可证后,使用者在使用过程中不遵守使用规则的情况经查明属实的,信息系统管理者有权取消其带出许可证。
(8)将未获许可或许可证失效的信息化设备擅自带出公司的情况经查明属实的,信息系统管理者为确保信息系统安全,可查封该信息化设备。
(9)万一电脑等信息设备被盗或丢失,使用者应当在1小时内向本部门科长以上及IT报告,立即向所属部门部长报告并且及时报警。
对被盗(需要提供公安部门出具的证明)等被动因素造成损失的使用者视具体情况根据员工手册予以处罚,事后必须对事件进行书面报告,报告提交给IT并由自部门长签字。
报告格式参考《XXXX情况说明书》(见附件4)。
(10)电脑在外使用期间,由于业务需求需要安装外部软件时,必须联系IT进行处理。
(11)将带出公司的电脑等信息设备重新带回公司时,在连接公司内部网络之前必须确认是否受到病毒感染。
如果查出病毒,必须按照“第6章防病毒对策”中制定的流程,将该信息设备中的病毒完全清除。
2.10 离职人员信息化设备管理(1)信息化设备使用人离职时,应在办理“离职交接确认单”时将信息化设备归还。
(2)IT科相关担当将对信息化设备的技术性能进行确认后,收回统一调配使用。
(3)离职人员或跨部门调动人员若想转移信息化设备使用权时,需办理固定资产转移。
第3章信息存储介质的对策3.1 信息存储介质的管理IT必须制作一份其管辖下的信息存储介质管理登记表,各部门应当指派一名信息存储介质管理员,协助IT管理信息存储介质,对于信息存储介质需要定期每半年盘点一次,对于损坏的信息存储介质进行物理性损坏报废,确保与IT管理台帐准确。
3.2 信息存储介质的购买及处理员工有需求使用信息存储介质时,需要在OA系统中填写《信息化设备购置单》,审批流程为申请者→本部门领导→IT科领导→IT担当。
审核完成后,IT 相关担当将在金蝶系统中发起《C投资类采购申请单》到调达相关担当,调达担当进行购买;采购完成后,IT将对新的移动存储介质进行访问授权处理后,交于申请者使用;另外员工必须根据IT的指示来处理信息存储介质。
此外,还必须遵守以下内容:(1)公司中使用的信息存储介质,必须是由公司发放・出借的。
(2)个人所有的信息存储介质,不能带入公司,也不能用于公司业务。
(3)保存了机密信息的信息存储介质必须上锁保管。
(4)带出公司外的信息设备,必须采取密码保护功能、加密功能等能够防止失窃・丢失时信息外泄的对策。
3.3 信息存储介质的运输运输保存了机密信息等的信息存储介质时,必须事先取得所属部门部长的许可,再通过挂号邮包・包裹等能留下痕迹的方式寄送。
3.4 信息存储介质的再利用为方便下次使用,保存了机密信息等的信息存储介质使用完后必须通过信息存储介质的格式化工具等信息存储介质所对应的工具,使保存的数据不能再恢复。
3.5 信息存储介质的废弃(1)当要废弃信息存储介质时,必须使用格式化工具等或者通过粉碎等物理破坏方式,使保存的数据不能再恢复。
(2)当委托外部厂商帮助废弃信息存储介质时,必须签订保密协议以及委托处理品的再利用禁止协议。
3.6 离职人员移动存储介质管理(1) 移动存储介质使用人离职时,应在办理“离职交接确认单”时将移动存储介质归还给IT,IT 相关担当将对移动存储介质的技术性能进行确认后,收回统一调配使用。
(2)离职人员或跨部门调动人员若想转移移动存储介质使用权时,需要办理固定资产转移。
第4章系统维护4.1 安全更新程序的应用由于应用安全更新程序,会引起服务停止等対系统带来较大影响时,必须讨论出善后处理方法。
4.2 病毒定义文件的更新IT必须按照“第6章防病毒对策”中的规定,保持更新病毒对策软件的病毒定义文件的最新状态,并要求其管辖下的员工贯彻执行。
4.3 备份的取得信息系统管理负责人在实施其管辖下信息系统的备份时,必须遵守以下内容。
(1)重要信息系统必须要定期备份。
(2)由于安全更新程序的应用等而导致信息系统发生任何变更时,在变更之前必须先对系统进行备份。
(3)备份恢复程序必须要事先进行恢复测试,以确保其有效性。
4.4 备份的保存信息系统管理负责人在保存其管辖下信息系统的备份时,必须遵守以下内容。
(1)重要信息系统的备份必须进行多层次的保存,并视重要程度进行妥善保管。
(2)用于备份的信息存储介质必须进行上锁保管等谨慎管理。
另外,还要从防灾害对策的观点出发视需要实施异地保管。
(3)长期保管备份时,必须定期进行读取确认。
(4)当要废弃用于备份的信息存储介质时,必须按照“第3章信息存储介质的对策”中的规定进行处理。
4.5 日志的取得及其处理信息系统管理负责人在取得及处理日志时,必须遵守以下内容。
(1)重要信息系统必须取得与以下事项相关的日志。
①运行情况(运行时间、服务停止时间、应答时间等)②OS 和数据库的访问情况(访问者(ID)、时间、操作内容(参阅/写入/执行/复制)等)③运用情况1)作业执行情况(作业开始・结束时间、作业状态(正常/异常)等)2)作业・计划表的操作情况(访问者(ID)、时间、操作内容(登录/变更/删除))※其对象是系统中执行的所有作业(包括手动作业)。