1、IT數(shù)據(jù)安全及權(quán)限管理制度一、 總則1 目的數(shù)據(jù)是集團(tuán)重要的資產(chǎn)。為保證信息的安全性、可靠性、完整性和有效性，集團(tuán)制定和采取相應(yīng)管理制度, 進(jìn)行對信息的保護(hù)，以避免其遭受外來的威脅和損害，防止未經(jīng)授權(quán)地修改、泄漏和破壞。并為加強(qiáng)信息系統(tǒng)用戶賬號和權(quán)限的規(guī)范化管理,確保各信息系統(tǒng)安全、有序、穩(wěn)定運(yùn)行，防范應(yīng)用風(fēng)險。2 使用范圍本制度適用于集團(tuán)內(nèi)所有員工，所有員工應(yīng)明確本制度, 支持本制度, 并自覺遵守。信息安全, 人人有責(zé) 3 職責(zé)本制度將作為監(jiān)察員工遵守情況及復(fù)查的基本原則。違反本制度者經(jīng)查實將由集團(tuán)管理部門進(jìn)行處理, 可視其輕重處以紀(jì)律處分或解職。信息管理部負(fù)責(zé)指導(dǎo)及協(xié)調(diào)本制度的實施，根據(jù)集

2、團(tuán)實際業(yè)務(wù)發(fā)展?fàn)顩r，信息管理部將在獲得集團(tuán)領(lǐng)導(dǎo)同意后酌情修正本制度，以使其符合集團(tuán)的實際情況。信息管理部負(fù)責(zé)本制度的解釋及修正 二、 數(shù)據(jù)安全管理規(guī)定（一）保密制度 1使用范圍 適用于集團(tuán)在生產(chǎn)、研發(fā)、行政管理中形成的文件（如：合同、圖紙、技術(shù)報告、企業(yè)標(biāo)準(zhǔn)、管理制度、圖片、程序、數(shù)模、人事檔案、財務(wù)報告等）及模型、樣機(jī)、樣件等。2保密要求 2.1新員工進(jìn)入集團(tuán)后，由人力資源部組織進(jìn)行保密制度學(xué)習(xí)培訓(xùn)，并簽訂知識產(chǎn)權(quán)及保密協(xié)議。 2.2 員工由于項目工作需要，必須將數(shù)據(jù)攜帶外出、復(fù)印、打印或者經(jīng)由電子郵件、傳真發(fā)送，必須由其主管項目經(jīng)理批準(zhǔn)，并登記備案。 2.3集團(tuán)電腦配置實行一機(jī)一人，每臺電

3、腦必須設(shè)置個人密碼，任何人不得將個人密碼告訴他人，否則后果自負(fù)。 3獎懲 因疏忽或無意泄漏集團(tuán)數(shù)據(jù)者,由集團(tuán)根據(jù)情節(jié)進(jìn)行處罰。 （二） 集團(tuán)計算機(jī)網(wǎng)絡(luò)管理辦法 1職責(zé)/職能 1.1綜合管理部是計算機(jī)系統(tǒng)主管部門，統(tǒng)管理集團(tuán)的計算機(jī)網(wǎng)絡(luò)。 1.2數(shù)據(jù)操作員負(fù)責(zé)集團(tuán)對外及外來光盤、磁盤、電子郵件等電子文件傳遞的管理工作。 1.3網(wǎng)站管理員負(fù)責(zé)集團(tuán)內(nèi)、外網(wǎng)站服務(wù)器的維護(hù)管理工作。 2內(nèi)部安全防范管理 2.1集團(tuán)內(nèi)各類計算機(jī)系統(tǒng)用戶，嚴(yán)禁運(yùn)行未經(jīng)檢驗和來歷不明的軟件，嚴(yán)禁在各自的計算機(jī)內(nèi)安裝與各自業(yè)務(wù)無關(guān)的軟件，嚴(yán)禁安裝運(yùn)行各種游戲軟件，嚴(yán)禁將計算機(jī)系統(tǒng)口令和個人密碼告訴無關(guān)人員，未經(jīng)許可嚴(yán)禁將計算機(jī)

4、交由外部門人員操作。 2.2集團(tuán)各計算機(jī)用戶應(yīng)確保各自計算機(jī)內(nèi)的數(shù)據(jù)資料的安全。未經(jīng)許可，任何人嚴(yán)禁擅自拷貝集團(tuán)數(shù)據(jù)。綜合管理部切實做好數(shù)據(jù)的備份工作。 3防范計算機(jī)病毒 3.1集團(tuán)內(nèi)各計算機(jī)用戶應(yīng)當(dāng)專人、專管、專用。 3.2集團(tuán)預(yù)防計算機(jī)病毒選用的硬件、軟件必須是正版產(chǎn)品。 3.3對計算機(jī)安全運(yùn)行操作的具體要求： 3.3.1謹(jǐn)慎地處理、使用共享軟件。 3.3.2新安裝系統(tǒng)要進(jìn)行檢驗。 3.3.3外來電腦未經(jīng)許可不得聯(lián)入集團(tuán)網(wǎng)絡(luò)。 3.3.4對軟盤、U盤、移動硬盤、光盤實行管理，在使用外來軟盤、U盤、移動硬盤、光盤時，應(yīng)首先檢測其安全性。 3.3.5決不執(zhí)行不知來源的程序。 3.3.6系統(tǒng)中的

5、數(shù)據(jù)要定期進(jìn)行備份。 3.3.7禁止在工作場所安裝計算機(jī)游戲，玩計算機(jī)游戲。 3.3.8計算機(jī)系統(tǒng)管理員定期檢查清除計算機(jī)游戲。 3.3.9密切注意自用計算機(jī)的配置參數(shù)(如引導(dǎo)扇區(qū)、中斷向量表、應(yīng)用程序長度、執(zhí)行時間)和運(yùn)行情況，發(fā)現(xiàn)異常，及時報告系統(tǒng)管理員，做出判斷和處理。 3.4確保殺毒軟件病毒特征碼的及時更新：由于病毒不斷發(fā)展變化，要求計算機(jī)系統(tǒng)管理員密切注意所用殺毒軟件病毒特征碼的更新情況，做到及時更新。 3.5防范病毒制度化：對各計算機(jī)系統(tǒng)，尤其是服務(wù)器定期掃描殺毒。 3.6對新購計算機(jī)進(jìn)行病毒檢查，對新購軟件系統(tǒng)進(jìn)行病毒檢查，計算機(jī)不得外借。 3.7互聯(lián)網(wǎng)防毒的安全措施： 3.7.

6、1不得進(jìn)入各“黑客”站點訪問，不允許在局域網(wǎng)及Internet上使用“黑客”軟件，以防不明病毒。 3.7.2不得打開不明Email，不得通過Email下載軟件，如發(fā)生不明情況應(yīng)及時向研究院知識工程及信息技術(shù)部報告。 3.7.3嚴(yán)格限制遠(yuǎn)程訪問者的權(quán)限及認(rèn)證，以防不明攻擊及感染病毒，特別限制匿名登陸。 4電子文件傳遞管理 4.1對外拷貝軟盤、U盤、移動硬盤、光盤需經(jīng)相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)方可執(zhí)行。 4.2外來以軟盤、光盤為載體的文件進(jìn)入集團(tuán)計算機(jī)系統(tǒng)前，需如實登記，并進(jìn)行病毒掃描后方可進(jìn)入。 4.3 在集團(tuán)內(nèi)部，網(wǎng)上電子文件允許下載，但文件下載后一律視為非受控文件，文件使用者有責(zé)任關(guān)注此文件的最新版本

7、，以保持此電子文件的現(xiàn)行有效性。 4.4集團(tuán)內(nèi)部禁止擅自使用各類盜版軟件，個人如私自傳入盜版軟件并使用，由此造成的與知識產(chǎn)權(quán)相關(guān)的后果將由使用者本人負(fù)全責(zé)。（三）數(shù)據(jù)流出管理控制程序規(guī)定 1范圍 適用于全集團(tuán)電子文檔數(shù)據(jù)的管理和備份歸檔的數(shù)據(jù)。 2職能/職責(zé) 2.1 數(shù)據(jù)流出的申請人負(fù)責(zé)填寫和完成審批，申請單參見附件1，數(shù)據(jù)流出申請表。 2.2 集團(tuán)負(fù)責(zé)審批的人員負(fù)責(zé)審批各類需流通數(shù)據(jù)，并負(fù)責(zé)必要的授權(quán)。 2.3綜合管理部數(shù)據(jù)管理員負(fù)責(zé)確認(rèn)數(shù)據(jù)的真實性，對符合要求的數(shù)據(jù)予以執(zhí)行操作。 2.3.1負(fù)責(zé)及時組織安排數(shù)據(jù)的備份及歸檔。 2.3.2負(fù)責(zé)對各數(shù)據(jù)予以查毒處理。 2.3.3負(fù)責(zé)完成已審批數(shù)

8、據(jù)的中轉(zhuǎn)、刻錄、備份等。 3流程 3.1 數(shù)據(jù)流通 3.1.1 流出集團(tuán)數(shù)據(jù) 3.1.1.1 申請人填寫數(shù)據(jù)流通登記審批表。 3.1.1.2知識工程及信息技術(shù)部操作員負(fù)責(zé)按表格審批內(nèi)容執(zhí)行操作。 3.1.2數(shù)據(jù)流入、中轉(zhuǎn) 3.1.2.1經(jīng)服務(wù)器中轉(zhuǎn)內(nèi)部的數(shù)據(jù)，由數(shù)據(jù)流通員必須見到簽字后方可給予流通。 3.1.2.2對需要導(dǎo)入資料或軟件的員工，應(yīng)自覺注意有關(guān)知識產(chǎn)權(quán)方面的問題，并不得將與工作無關(guān)及私人用途的數(shù)據(jù)導(dǎo)入集團(tuán)網(wǎng)絡(luò)。 3.2 數(shù)據(jù)流通審批對于需要發(fā)出的數(shù)據(jù)，項目經(jīng)理在簽字前，應(yīng)檢查該數(shù)據(jù)是否為需要的數(shù)據(jù)，有無多余數(shù)據(jù)，是否遺漏數(shù)據(jù)，即檢查數(shù)據(jù)的正確性。 3.3 備份及歸檔 資料管理室負(fù)責(zé)

9、備份數(shù)據(jù)的歸檔和保存，提供歷史數(shù)據(jù)的查找和利用。 三、 權(quán)限管理規(guī)范1. 范圍適用于公司開發(fā)和管理的各應(yīng)用信息系統(tǒng)，包括OA協(xié)同辦公系統(tǒng)、ERP管理軟件、財務(wù)軟件、企業(yè)郵箱及網(wǎng)站系統(tǒng)等。2. 術(shù)語和定義用戶：被授權(quán)使用或負(fù)責(zé)維護(hù)應(yīng)用信息系統(tǒng)的人員。用戶賬號：在應(yīng)用信息系統(tǒng)中設(shè)置與保存、用于授予用戶合法登陸和使用應(yīng)用信息系統(tǒng)等權(quán)限的用戶信息，包括用戶名、密碼以及用戶真實姓名、單位、聯(lián)系方式等基本信息內(nèi)容。權(quán)限：允許用戶操作應(yīng)用信息系統(tǒng)中某功能點或功能點集合的權(quán)力范圍。角色：應(yīng)用信息系統(tǒng)中用于描述用戶權(quán)限特征的權(quán)限類別名稱。3. 用戶管理3.1用戶分類3.1.1系統(tǒng)管理員系統(tǒng)管理員主要負(fù)責(zé)應(yīng)用信息

10、系統(tǒng)中的系統(tǒng)參數(shù)配置，用戶賬號開通與維護(hù)管理、設(shè)定角色與權(quán)限關(guān)系，維護(hù)行政區(qū)劃和組織機(jī)構(gòu)代碼等數(shù)據(jù)字典，系統(tǒng)日志管理以及數(shù)據(jù)管理等系統(tǒng)運(yùn)行維護(hù)工作。3.1.2普通用戶指由系統(tǒng)管理員在應(yīng)用信息系統(tǒng)中創(chuàng)建并授權(quán)的非系統(tǒng)管理員類用戶，擁有在被授權(quán)范圍內(nèi)登陸和使用應(yīng)用信息系統(tǒng)的權(quán)限。3.2用戶角色與權(quán)限關(guān)系應(yīng)用信息系統(tǒng)中對用戶操作權(quán)限的控制是通過建立一套角色與權(quán)限對應(yīng)關(guān)系，對用戶賬號授予某個角色或多個角色的組合來實現(xiàn)的，一個角色對應(yīng)一定的權(quán)限（即應(yīng)用信息系統(tǒng)中允許操作某功能點或功能點集合的權(quán)力），一個用戶賬號可通過被授予多個角色而獲得多種操作權(quán)限。為實現(xiàn)用戶管理規(guī)范化和方便系統(tǒng)維護(hù)，公司各應(yīng)用信息系統(tǒng)

11、應(yīng)遵循統(tǒng)一的角色與權(quán)限設(shè)置規(guī)范，在不同的應(yīng)用信息系統(tǒng)中設(shè)置的角色名稱及對應(yīng)的權(quán)限特征，應(yīng)遵循權(quán)限設(shè)置規(guī)范基本要求。由于不同的應(yīng)用信息系統(tǒng)在具體的功能點設(shè)計和搭配使用上各不相同，因此對角色的設(shè)置以及同樣的角色在不同應(yīng)用信息系統(tǒng)中所匹配的具體權(quán)限范圍可能存在差異，所以每個應(yīng)用信息系統(tǒng)應(yīng)分別制定適用于本系統(tǒng)的權(quán)限設(shè)置規(guī)范。3.3用戶賬號實名制注冊管理為保證應(yīng)用信息系統(tǒng)的運(yùn)行安全和對用戶提供跟蹤服務(wù)，各應(yīng)用信息系統(tǒng)用戶賬號的申請注冊實行“實名制”管理方式，即在用戶賬號申請注冊時必須向信息系統(tǒng)管理部門提供用戶真實姓名、隸屬單位與部門、聯(lián)系方式等真實信息。4. 用戶賬號申請與審批4.1賬號申請任何一個用戶

12、賬號的申請與開通均須經(jīng)過集團(tuán)統(tǒng)一制定的賬號申請與審批備案管理流程，且一個用戶在同一個應(yīng)用信息系統(tǒng)中只能注冊和被授予一個用戶賬號。集團(tuán)各應(yīng)用信息系統(tǒng)的用戶賬號及角色權(quán)限的申請開通、注銷和密碼初始化等賬號管理工作均使用集團(tuán)統(tǒng)一制定的用戶賬號申請單辦理。用戶賬號申請單包括三部分填寫內(nèi)容：（1）申請人情況；（2）賬號申請情況；（3）受理單位意見。其中（1）申請人情況和（2）賬號申請情況兩部分由申請人填寫；（3）受理部門意見由受理部門填寫。用戶權(quán)限的申請應(yīng)嚴(yán)格參照各應(yīng)用信息系統(tǒng)制定的應(yīng)用信息系統(tǒng)角色與權(quán)限關(guān)系對照表中對不同級別和類型用戶的角色權(quán)限配置要求執(zhí)行，不得越級或超范圍申請。4.2賬號審批和開通各

13、應(yīng)用信息系統(tǒng)的賬號申請一般由該部門的負(fù)責(zé)人審批，審批同意后提交該系統(tǒng)的系統(tǒng)管理員負(fù)責(zé)開通賬號。對有特別安全等級保護(hù)要求的應(yīng)用信息系統(tǒng)以及各應(yīng)用信息系統(tǒng)中的系統(tǒng)管理員，還需通過受理部門的主管領(lǐng)導(dǎo)審批。原則上應(yīng)用信息系統(tǒng)主管部門應(yīng)在收到用戶賬號申請單后才能進(jìn)行審批和開通賬號。特殊情況下，經(jīng)部門負(fù)責(zé)人和受理部門主管領(lǐng)導(dǎo)書面同意后，可采取事后審查的方式，先開通賬號，但自賬號開通日起超過1個月仍未收到用戶賬號申請單的，系統(tǒng)管理員有權(quán)對該賬號采取暫時停用措施。5. 安全管理5.1賬號安全凡需要使用應(yīng)用信息系統(tǒng)的用戶，每人均須按照“實名制”方式申請一個僅限本人使用的用戶賬號。不同用戶的用戶賬號彼此之間不得隨

14、意借用，因某用戶賬號的操作而造成應(yīng)用信息系統(tǒng)中數(shù)據(jù)信息或任何系統(tǒng)功能等方面的改變或后果，均由擁有該用戶賬號的用戶負(fù)責(zé)。如果某用戶因工作調(diào)動或其它原因而不允許繼續(xù)使用某應(yīng)用信息系統(tǒng)時,其隸屬的原工作單位應(yīng)督促和確保該用戶離職前及時申請注銷相關(guān)用戶賬號；不論原用戶是否知曉或同意，均禁止將其原賬號轉(zhuǎn)交其他人員繼續(xù)使用。5.2密碼安全設(shè)置用戶密碼是用戶登陸應(yīng)用信息系統(tǒng)時身份合法性認(rèn)證的重要手段，用戶密碼的設(shè)置應(yīng)盡量復(fù)雜化，不易被他人推測，密碼長度一般不少于6位，并做到定期更換新密碼。密碼遺忘時可向系統(tǒng)管理員申請密碼初始化修復(fù)。若發(fā)現(xiàn)賬號密碼泄露,用戶須立即報告系統(tǒng)管理員及時采取停用賬號措施，并在報告后的24小時內(nèi)向該信息系統(tǒng)主管部門提交書面報告，說明詳細(xì)情況，以便系統(tǒng)主管部門協(xié)助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運(yùn)行情況，采取有效補(bǔ)救措施將危害程度降至最低。6. 檔案管理應(yīng)用信息系統(tǒng)用戶賬號和角色權(quán)限管理工作應(yīng)建立完善的檔案管理制度，以加強(qiáng)用戶賬號的申請注冊、審批以及密碼和權(quán)限維護(hù)等日常工作管理。檔案管理工作由系統(tǒng)管理員具體負(fù)責(zé)，應(yīng)備案管理的主要檔案資料包括：用戶賬號申請單（蓋公章原件），用戶賬號管理工作登記表（附表4）及有關(guān)報表，應(yīng)用