02信息安全控制措施

《02信息安全控制措施》由会员分享，可在线阅读，更多相关《02信息安全控制措施（4页珍藏版）》请在金锄头文库上搜索。

1、国云科技股份有限公司IT运维服务管理体系信息安全控制措施文件编号版 本页 码ITSS-15-07-02版本修改原因修改内容发起人生效日期A首次发彳丁初稿彭涛2015年7月10日制作人彭涛部门实施与服务部制作日期2015年7月8日第1页，共4页1安 全实施 范围 1.11.21.31.42目级信 息安全 管理方 法32.11安全实施范围国云科技股份有限公司（以下简称：公司）根据安全需求的识别情况确定安全实施范围。安全实施范围包括列为相应安全等级的资源、人员、机房、设备、系统等。1.1 信息化设备管理 严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁利用公司信息化设备资 源为第三方从

2、事兼职工作。公司所有硬件服务器统一放置在机房内，由公司网络管理员承担管理职责，由专人负责服务器 杀毒、升级、备份。非公司技术人员对我单位的设备、系统等进行维修、维护时，必须由公司相关技术人员现场全 程监督。计算机设备送外维修，必须经过部门负责人批准。严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自对信息化设备信息化 公司网 密码与 公司信运维项国云科技股份有限公司文件编号ITSS-15-07-02IT运维服务管理体系版 本A信息安全控制措施页码第2页，共4页进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。计算机的使用部门和个人要保持清洁、安全、良好的计算机设备

3、工作环境，禁止在计算机应用 环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码，对于交换机、防 火墙、路由器等网络设备也必须设置管理密码。公司所有终端电脑、服务器都必须安装正版杀毒软件，公司网络管理员必须对服务器进行定期 杀毒、病毒库升级、补丁修复。1.2 公司网络管理员安全管理公司所有服务器，由公司网络管理员实施统一管理。网络管理员管理权限必须经过技术经理授 权取得。网络管理员负责各服务器的操作系统环境生成、维护，负责常规用户的运维和管理。网络 管理员调离岗位，上级管理者或负责人应及时注销其管理密码并生成新的管理密

4、码。1.3 密码与权限管理密码设置应具有安全性、保密性，不能使用简单的代码和标记。 密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码设置不应是 名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串；密码如发现或怀疑密码遗失或泄 露应立即修改。服务器、防火墙、路由器、交换机等重要设备的管理密码由公司网络管理员（不参与系统开发 和维护的人员）设置和管理，并由密码设置人员将密码妥善保存。有关密码授权工作人员调离岗位，公司网络管理员应对密码立即修改或用户删除。1.4 公司信息安全管理公司每一位员工都有保守公司信息安全防止泄密的责任，任何人不得向任何单位或个人泄露公 司技术和

5、商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公司汇报，并在 获取批准同意后，方能以公司认可的形式对外发布。定期对公司重要信息包括软件代码进行备份，管理人员实施备份操作时，必须有两人在场，备 份完成后，立即交由质量管理部封存保管。存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质，所有备份介质必须明确标识备份内容和事件，并实行异地存放。国云科技股份有限公司文件编号ITSS-15-07-02IT运维服务管理体系版 本A信息安全控制措施页码第3页，共4页数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。

6、历次清理前的备份数 据要进行保存，并确保可以使用。数据清理的实施应避开业务高峰期避免对业务运行造成影响。非本公司技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现 场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内 的应用软件和数据等信息备份后删除，并进行登记。对修复的设备，设备维修人员对应设备进行验 收、病毒检测和登记。管理人员对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和 介质，防止泄密。2 项目级信息安全管理方法 公司对于信息安全的管理区分为公司级与项目级两类，项目级信息安全管理可以参照本体系 文件进

7、行管理，也可根据用户的具体要求以及合同与服务级别协议的相关条款执行，并编写项目 级的信息安全管理办法。2.1 运维项目现场/客户的信息安全管理公司每一位员工都有保守客户信息安全，防止泄密的责任，任何人不得向任何单位或个人泄漏 客户信息。项目经理应主动向客户提出信息安全的管理服务，若客户不愿意做，项目经理应向客户阐明利 弊，提出合理的信息安全管理服务建议。如果为客户提供数据备份服务，应定期对服务范围内的重要信息进行备份，管理人员实施备份 操作时，必须有两人在场，备份完成后，立即交由客户指定的备份管理人员保存。存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质等，涉密单位介质使用参照客户 保密

8、要求。数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复后，必须进行验 证、确认，确保数据恢复的完整性和可用性。数据清理前必须对数据进行备份，在确认备份正确后可进行清理操作，历次清理前的备份数据 要定期保存或者永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期避免对客户业 务运行造成影响。国云科技股份有限公司文件编号ITSS-15-07-02IT运维服务管理体系版 本A信息安全控制措施页码第4页，共4页同意送修的设备，送修前，需将设备存储介质内的应用软件和数据等涉及经营管理的信息备份 后删除，并进行登记。对修复的设备，应进行病毒检测。运维服务项目部应对客户报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃 无用的资料和介质，防止泄密。严禁利用客户的信息化设备资源为第三方提供服务。 非客户授权人员对服务范围内的设备、系统等进行维修、维护时，必须由相关技术人员现场全 程监督。计算机设备送外维修，必须经过客户相关负责人批准。禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 客户的密码管理需由客户指定专人进行管理，项目经理应建议客户定期修改并妥善保管。 涉及系统管理员的服务项目，系统管理员权限由客户授权。