《sl-iiip-003-a0 两化融合信息安全管理程序》由会员分享,可在线阅读,更多相关《sl-iiip-003-a0 两化融合信息安全管理程序(5页珍藏版)》请在金锄头文库上搜索。
1、深圳市深联电路有限公司SHEN ZHEN SUN&LYNN CIRCUITS CO.,LTD. 文件编号:SL-IIIP-003版 本:A修 改 号:00 页 码:5 of 4 文件 名称两化融合信息安全管理程序文件修改记录更改性质更改内容更改人生效日期新发行刘才林1 Jun 2017制订栏部门及职务:IT事业部/经理 审批栏部门及职务:管理者代表 姓名:刘才林姓名:安国义签名:刘才林签名:安国义受控文件签发记录部门分发会签部门分发会签HR/人政部王泽君MAINT/维修部杨健康ACC/财务部余乐腾ENV/环境保护部MK/市场部夏迎秋QA/品质保证部黄冬菊PU&MC/采购&物控部李代敏CS/客户
2、服务部韩远秀ME/工艺工程部刘长春LP/精益管理部PE/产品工程部陈小勤IT/IT事业部刘才林RD/研发部 刘长春OGM/营运总经理PD/生产部周建军CEO/行政总裁PC/计划部唐明辉Chairman/主席1.0 目的:为了规范公司信息系统的管理维护,确保系统硬、软件稳定、安全运行,确保数据安全,结合公司实际,制定本制度。2.0 范围:本制度适用于信息系统与数据库运行维护管理,信息数据的管理与维护,各终端电脑与服务器的管理与维护。3.0 定义: 无4.0职责:4.1 两化融合工作执行小组负责信息安全管理方案制定与审批 4.2 IT事业部负责信息系统与数据库运行维护管理,信息数据的管理与维护,各
3、终端电脑与服务器的管理与维护。 4.3各部门负责本部门管辖范围内的电脑终端与信息数据的安全管理。5.0内容5.1信息系统的维护 5.1.1信息系统的维护主要包含变更以及日常的权限管理 5.1.2信息系统的编写来源与公司受控的IT系统文件以及相应的规范,各使用部门负责业务流程的维护,变更。 5.1.3信息系统的变更统一由IT事业部负责,过程管控依据软件开发管理制度中的变更过程进行严格管控,保证信息系统的变更过程受控。 5.1.4信息系统的密码必须设计编码为MD5不可逆编码方式,设计用户首次进入必须修改密码,且密码必须为数字+字母,且6位数字以上,保证用户的登入安全性。 5.1.5 信息系统设计时
4、必须增加用户的操作日志,操作日志中至少包含操作人,操作时间,操作IP地址,且管理人员随时可查询, 5.1.6信息系统的权限申请及变更由IT事业部统一按照软件开发管理制度执行,其它人员不得变更系统中的管理权限 5.1.7所有的信息系统外网访问必须通过填写服务器外网访问申请单由IT事业部负责人审批开放的方案后开放。 5.1.8信息系统风险评估。IT事业部经理应每月组织开展信息系统安全评估工作,及时发现系统安全问题并加以整改。 5.1.9对系统运行情况进行记录,每月对记录结果进行分析、统计,并形成分析报告向上级汇报。 5.1.10所有在互联网发布的网站都必须在公安部门进行备案登记。5.2 数据库端的
5、管理 5.2.1数据库的用户名和密码仅仅由IT事业部的后台管理员知晓,且密码必须由字母,数字,以及特殊字符且6位以上组成。 5.2.2数据库必须进行每天备份以及每个小时以内的事物备份,保证数据库能及时恢复。 5.2.3数据库必须每月进行一次恢复测试,保证备份能及时恢复。 5.2.4数据库的后台数据修改必须依照软件开发管理规范填写后台数据修正申请单单经过审批后方可进行由后台管理人员进行修正。 5.3机房管理 5.3.1机房内的服务器只能由IT事业部服务器专职管理人员进行操作,其它人员在未经授权的情况下不得操作,其它因业务需求而必须操作的,需要在IT事业部机房管理记事上进行登记。 5.3.2 机房
6、内未经允许,不得将机房设备、维护用品、U盘、资料等私自带出机房,如有 特殊情况,需经过信息技术部经理同意并进行登记后方可带出。 5.3.3不得随意重启系统服务器、相关网络设备和安全设备,尽量少安装业务无关的与其它软件。 5.3.4机房内服务器必须配置有UPS电源防止突然断电情况。 5.3.5定期对系统日志进行审计、备份。 5.3.6对系统服务器上开放的网络服务和端口进行检查,发现不需要开放的网络服务和端口时及时通知相关管理员进行关闭。 5.3.7 对系统运行情况进行记录,每月对记录结果进行分析、统计,并形成分析报告向上级汇报。 5.3.8禁止私自对服务器硬件拆装,如需升级硬件,需要填写服务器升
7、级变更申请单 5.3.9 服务器的故障包括:软件故障,硬件故障,入侵与攻击,其他不可预料的未知故障等。应建立服务器故障记录,当出现服务器故障,运维工程师对故障现象及解决过程进行详细记录。 5.3.10 邮件服务器必须设置过滤所有的直接可执行文件,以防止员工误操作点到造成病毒入侵。 5.3.11 所有的服务器需要外网访问必须通过填写服务器外网访问申请单由IT事业部负责人审批开放的方案后开放。5.4 终端电脑管理 5.4.1 各个终端电脑上的操作系统,信息系统,各其它软件安装必须由IT事业部的人员负责,其 它人不得安装。5.4.2 各个终端电脑上需要新增软件或者信息系统安装时由部门提出IT服务申请
8、单经批准后方可由IT事业部人员进行安装 5.4.3 各个终端电脑上必须安装统一的杀毒软件。 5.4.4 各个终端电脑上需要进行上网、发外部邮件、登录社交工具必须填写IT服务申请单经批准后方可由IT事业部网络管理人员开放。 5.4.5 IT事业部网络管理人员需要定期查看上网行为管理,如发现异常及时通知相关部门管理人员。 5.4.6各个终端电脑上需要开放USB接口、光盘数据刻录需要填写IT服务申请单经批准后方可由IT事业部网络管理人员开放5.5系统补丁管理5.5.1信息系统进行漏洞扫描,对发现的信息系统漏洞和风险进行及时的修补。 5.5.2每季度对信息系统设备(包括:主机、网络设备、数据库等)至少
9、进行一次漏洞扫描,并对扫描报告进行分析和归类存档。 5.5.3定期检查信息系统的各种补丁状态,并及时更新。 5.5.4在安装信息系统各类补丁前须对补丁的兼容性和安全性进行评估和检测,确保新补丁不影响信息系统的正常运行。 5.5.5当出现应对高危漏洞的信息系统补丁时,应在第一时间组织补丁的测试工作,并对漏洞进行修补。每月根据收集情况安排补丁分发,如遇紧急更新,第一时间进行分发。6.0 参考文件: 6.1软件、硬件管理制度 SL-IT-003 6.2软件开发管理规范 SL-IT-0057.0附件及表格:7.1IT服务申请单 SL-IT-003-0037.2服务器升级变更申请单 SL-IT-003-0087.3上网权限开通申请单 SL-IT-003-0027.4各部门上网权限汇总表 SL-IT-003-0077.5信息资产风险评估表 SL-IIIP-003-001
