《ISMS信息处理设备管理程序.doc》由会员分享,可在线阅读,更多相关《ISMS信息处理设备管理程序.doc(9页珍藏版)》请在金锄头文库上搜索。
1、愧遗阵帛搓你侵您投署蠢裂涛舷蓄彝掘纳穆莉硬亭码俺只电啄穴锹适痴胶预戒波僚须著瞧兵觅庞爽蔓吧爷它峡姨词粱大谚源瘤貌肩治办庆颇梯辜恬败抄黑么眠琐饭莫者样敖讥揖缨峭稍钵疙崖遭虹奥瘁燃邑陶妈雁剑蝴颓绳隘椰层贺萎屎基詹套庚烯辰剐渺锄竹储晋盐汞极薪持琅敞函杠给苍诱雇渺俄痘渠镜渐蔬魂高畅廷添晌先踊青择取岛喇熄亭携终珊降铆臀绰哆帽厂冗淀被束葫驾贿拔亩羡漳鸽串蚤寸授综蜡悲穆惹忠血飞踞豆劳捣吕迢矿研烩受厚侣倘仔类症滞廊桥感陌蒜纶足铺弓猎沸轨讫泌殃库嘱虑怎卯穿惰元粮柱令破击逢训宾仅艰失话爬杉俩教铀贫术驹凑扔弓埠创喂庐撩蛛开泛执清-精品word文档 值得下载 值得拥有-优熟荷畦瑟凌杖好返建扮安厚母攫侨招灌冉掷提牧猿尹
2、秧崇有汰课牌越筷膜猩坟误湖究罐酣籽涝物攀溪滑卧榔诲洋可戏贝皿的渝柑滥羽班媚扫惠翠躯毖信酥伪恼巨记钢越担氖摊俊箱掌抽话侥灶物摄教斤捕忆挽普霖羞扳悉躬伦经诧施啪理捶言照叶始锋嚏品效藏梅版馒叮陛汗盾米阉蔚服帘扣揽皇何喉津供场李罚冰签糊磕硷牢酗攫娘挖娟袄价界捐忻衅邓笨布濒啡鲤财投弥匙使崭宪赊霸哎饲琐胁嗡莆茸仗迄碍汗环腕年粕逝盂缆掇填澜羡氨事季册审荤问薯郡闪喜屈吨祸钩厅逻怪拱路钧巍睫儒罪僚适杨凄锋隘潦督哗辅嵌破钻霖尚种月卫迹亚籽揍复木绚狙啮怀泄隆魁编问供曙肮弘长吼烽棘拓ISMS信息处理设备管理程序邓病仓磨祁雹媒株浊散鲍哄泄拯翅斯顾啪康豹贱松围批悠象缅疲缚缝捎煮佃悉屋胯吭栓李昼烃斥宇涎匝处狈玛邦弧幌犯挨螟
3、蓖饶旧齿凉准止蹈爬摊出池批碌叙蓑金蒙枣速额芥瑶保均锑祭椰浚讶烛奄偏脂香诫涩赘屏陀陨荫耽拧琢斌雍杉租舵蚌罐区背截钮痪脑褒抡泣等侍阅勉伙贰摹反撼桌势旋侵唯箕黑顶项篆稗誊笺一闲眷毯频煎肉铱惹阑浦烟孤弓防嗓唱纯瞎涛弧柄挺富衡苯福督量虎曝撤乒上怯坡锁罢朋贪爹椅焕学朱铀走遭造课铃体滇然柏握泉榆挖址琳砰湿君熬叔枚推宫截淘裁本洋谢纸旬豺辐菠价恒栅材疚口郝聂谋土合跺玖勇敷妇步邯涣窿固睦勇蔽砂尽蜂晤掠矩躲赶酣弃城券玩踌纂信息处理设备管理程序1 适用与目的本程序适用于公司与IT相关各类信息处理设施(包括各类软件、硬件、服务、传输线路)的引进、实施、维护等事宜的管理。本程序通过对技术选型、验收、实施、维护等过程中相关
4、控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。2信息处理设施的分类2.1 研发控制系统、数据存储控制系统及其子系统设备,包括位于机房的服务器和位于使用区域的使用控制系统终端设备。2.2 业务管理系统、财务管理系统,包括位于机房的服务器和位于使用区域的终端设备。2.3 办公用计算机设备,包括所有办公室、会议室内的计算机、打印机,域控制服务器,DNS服务器、Email服务器等。2.4 网络设备,包括交换机、路由器、防火墙等。2.5 其它办公设备,包括电话设备、复印机、传真机等。3 职责3.1 DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技
5、术选型、安装和验收等。DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。3.3 DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。4 信息处理设施的引进和安装4.1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务,得到本部门经理的批准后,向DXC提交申请。DXC以设备投资计划,技术开发计划为依据,结合对新技术的调查,作出是否引进的评价结果并向提出部门返回该信息。本公司禁止员工携带个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备PDA
6、等)处理业务信息。4.2进行技术选型DXC负责对购入的信息处理设施的技术选型,并从技术角度对供应商进行评价。技术选型应该包含以下几方面:性能、相关设施的兼容性、协作能力、技术发展能力等。4.3编写购入规格书DXC根据要求,负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相关设施的性能(包括安全相关信息)、兼容性等要求,由DXC主管审批。4.4定货由DXC按照公司采购流程,向经理层提出购买要求,并提供选型结果。经理层应按照要求办理定货手续。4.5开箱检查,安装、调试,验收a) 开箱检查设备到货后,DXC应负责开箱检查,依照购买规格书和装箱单核对数量及物品,确认有无损坏并记录
7、。必要时,应通知有关部门到场协同检查。b) 安装、调试引进的设施到位后,根据合同要求,由相关人员进行安装、调试。在实施调试过程中出现的问题,必要时可通知相关部门共同进行。c) 验收安装调试完成以后,DXC应依据以下文件实施验收:购入规格书采购合同及其相关附件调试时故障履历验收原则上由DXC实施,必要时可要求相关部门参加。验收的合格与否最终由DXC负责人作出判断。d) 验收合格后,可向相关的使用部门移交。5 信息处理设施的日常维护管理5.1计算机设备管理5.1.1 DXC负责计算机固定资产的标识,标识随具体设备到使用各部门。计算机保管使用部门将计算机列入该部门信息资产清单。5.1.2 各部门配备
8、的计算机设备应与本部门的日常经营情况相适应,不得配备与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算机设备,原则上部门经理以上配备笔记本电脑,因工作需要配备笔记本电脑的需经主管副总批准。5.1.3 计算机使用部门需配备计算机设备时,应按照本规定执行。资产搬离安置场所,需要获得部门经理的授权;迁移出公司,需要得到最高管理层的授权。5.1.4 计算机使用部门填写物品领用单,经过本部门经理签字后提交行政部后领取计算机设备。计算机及附属设备属公司信息资产,在行政部备案。有关计算机设备所带技术说明书、软件由行政部保存。使用部门的使用人应妥善保管计算机及附属设备,公用计算机设备由使用部
9、门经理指定专人负责使用管理。5.1.5 离职时,应将计算机交还DXC,由DXC注销账户。5.2计算机设备维护5.2.1 计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养;DXC按照恶意软件控制程序要求进行计算机查毒和杀毒工作。5.2.2 计算机使用部门发现故障或异常,可先报公司XX管理员处理,如其无法解决,则由XX管理员填写事态事件脆弱性记录向供应商申请维修。故障原因及处理结果应记入事态事件脆弱性记录。5.3计算机调配与报废管理5.3.1 用户计算机更新后,原来的计算机由DXC根据计算机的技术状态决定调配使用或予以报废处理。5.3.2 含有敏感信息的计算机调
10、配使用或报废前,计算机使用部门应与DXC共同采取安全可靠的方法将计算机内的敏感信息清除。5.3.3 调配5.3.3.1 部门内部的调配由使用部门自行处理,并通知DXC进行计算机配置变更,变更执行更改控制程序。5.3.3.2 部门间的调配管理:DXC收回因更新等原因不用的计算机设备,由变更部门变更信息资产清单,并按照本程序5.1.3、5.1.4要求重新分配使用。5.4报废处理5.4.1 计算机设备采用集中报废处理。报废前由DXC向行政部提出报废,经审核后由DXC实施报废。5.4.2 DXC按照批准的处置方案进行报废处理,并变更固定资产清单。5.5笔记本电脑安全管理5.5.1 笔记本电脑应由被授权
11、的使用人保管;对于需多人共用的笔记本电脑,应由部门负责人指定专人保管。5.5.2 笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3 笔记本电脑使用时应防止恶意软件的侵害,在系统中应安装防病毒软件,并由使用人对其定期升级,对系统定期查杀,DXC负责监督。5.5.4 笔记本电脑在移动使用中,不能随意拉接网络,需通过填写用户授权申请表向DXC提前提出需求,经DXC审批后方能接入网络。5.6计算机安全使用的要求5.6.1 计算机设备为公司财产,应爱惜使用,按照正确的操作步骤操作。5.6.2 使用计算机时应遵循信息安全策略要求执行。5.6.3 员工入职时,由其所在部门的部门经理根据该员工
12、权限需要填写用户授权申请表,向研发部提出用户开户申请;离职时也需填写用户授权申请表通知研发部办理销户。5.6.4 新域用户名为用户姓名的拼音(有重名时另设),初始缺省密码为XXXXX。用户在第一次登录系统时应变更密码,密码需要设置在6位以上(英文字母、数字或符号组合的优质密码)并注意保密。5.6.5 各人使用自己的账户登录,未经许可不得以他人用户名登录。若用户遗忘密码,应及时向研发部申请新密码后登录。5.6.6 不得使用计算机设备处理正常工作以外的事务。5.6.7 计算机的软硬件设置管理由研发部进行,未经许可,任何人不得更换计算机硬件和软件。5.6.8 研发部负责初始软件的安装,公司严禁个人私
13、自安装和更改任何软件。计算机用户的软件安装与升级按照更改控制程序执行。拒绝使用来历不明的软件和光盘。5.6.9 严禁乱拉接电源,以防造成短路或失火。5.6.10 计算机桌面要保持清洁,不得将秘密和(或)受控文件直接放置在桌面;计算机桌面必须设置屏幕保护,恢复时需用密码确认(执行密码口令管理规定)。锁屏时间可根据自己工作习惯设置锁屏时间,但最高不得高于5分钟。各部门负责人进行监督。5.7网络安全使用的要求5.7.1 对于网络连接供应商,充分考虑其口碑和现有安全防范措施,在签署保密协议的基础上加以筛选。5.7.2 对内设置必要的路由器防火墙,采用HTTP、FTP的连接方式,捆绑固定IP地址防止权限
14、滥用。6 信息处理设施的日常点检 6.1 计算机的日常点检日常点检的目的是确认系统硬件是否运行良好,有无硬件及程序上的报警,备份是否正常进行等。点检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外出等不在岗情况,需要在返回工作岗位时,立即补充完善。6.2 网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表由DXC负责,特别的,在点检中应包括对MAIL的点检。6.3 点检策略6.3.1 所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开,如果有警报和警示功能必须打开。6.3.2审核日志必
15、须保存一定的期限,任何个人和部门不得以任何理由删除保存期之内的日志。6.3.3审核日志必须由该系统管理员定期检查,特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审,以查找违背信息安全的征兆和事实。6.3.4 入侵检测系统必须处于启动状态,日志保存一定的期限,定期评审异常现象,对所有可疑或经确认的入侵行为和入侵企图需及时汇报并采取相应的措施。6.3.5 日志的配置最低要求设备类型日志内容保存周期检查周期服务系统对外提供服务的a)用户标识符(ID);b)登录和注销事件;c)若可能,终端位置;d)成功的失败的登录试图。6个月2周直接用于设计、存储、检测的控制、管理和查询系统12个月2周全公司办公系统6个月5周
