1. 目的
為了防止信息系統(tǒng)安全����,滿足C-TPAT的相關(guān)要求��。
2. 適用范圍
涉及的計算機(jī)設(shè)備����,包括計算機(jī)室計算機(jī)設(shè)備及計算機(jī)室負(fù)責(zé)安裝在其它部門或單位的計算機(jī)設(shè)備��。
3.定義 無
4.職責(zé):
4.1由專業(yè)人員負(fù)責(zé)所有微機(jī)的檢測和清理工作��。
4.2由計算機(jī)室的專業(yè)人員��,根據(jù)上述作業(yè)計劃進(jìn)行檢測。
4.3由經(jīng)理負(fù)責(zé)對防范措施的落實情況進(jìn)行監(jiān)督�����。
5.工作程序
5.1信息系統(tǒng)安全管理的要求:
5.1.1一般工作部不安裝軟驅(qū)和光驅(qū)����,如有安裝軟驅(qū)和光驅(qū)的計算機(jī),每次使用磁盤都要用殺毒軟件檢查�����。
5.1.2對于聯(lián)網(wǎng)的計算器�,任何人在未經(jīng)批準(zhǔn)的情況下,不得向計算器內(nèi)拷入軟件或文檔��。
5.1.3數(shù)據(jù)的備份由相關(guān)專業(yè)負(fù)責(zé)人管理是����,備份用的軟盤由專業(yè)負(fù)責(zé)人提供��。
5.1.4軟盤光盤等在使用前���,必須確保無病毒。
5.1.5計算器一經(jīng)發(fā)現(xiàn)病毒�����,應(yīng)立即通知計算機(jī)室專業(yè)人員處理�����。
5.1.6工操作員在離開前應(yīng)退出系統(tǒng)并關(guān)機(jī)�����。
5.1.7任何人未經(jīng)操作員本人同意����,不得使用他人的計算機(jī)。
5.2裝有軟驅(qū)的微機(jī)一律不得入網(wǎng)����;對于尚未聯(lián)網(wǎng)計算機(jī)����,其軟件的安裝由計算機(jī)室負(fù)責(zé)��、任何微機(jī)需安裝軟件時��,由相關(guān)人員負(fù)責(zé)人提出書面報告�,經(jīng)經(jīng)理同意后,由計算機(jī)室負(fù)責(zé)安裝��;軟件出現(xiàn)異常時��,應(yīng)通知計算機(jī)室專業(yè)人員處理��;所有微機(jī)不得安裝游戲軟件��;數(shù)據(jù)的備份由相關(guān)專業(yè)負(fù)責(zé)人管理����,備份用的軟盤由專業(yè)負(fù)責(zé)人提供�����。
5.3硬件維護(hù)人員在拆卸微機(jī)時���,必須采取必要的防靜電措施����;硬件維護(hù)人員在作業(yè)完成后或準(zhǔn)備離去時,必須將所拆卸的設(shè)備復(fù)原�����;要求各專業(yè)負(fù)責(zé)人認(rèn)真落實所轄微機(jī)及配套設(shè)備的使用的保養(yǎng)責(zé)任�����;要求各專業(yè)負(fù)責(zé)人采取必要措施�����,確保所用的微機(jī)及外設(shè)始終處于整潔和良好的狀態(tài)��;所有帶鎖的微機(jī)��,在使用完畢或離去前必須上鎖��;對于關(guān)鍵的計算機(jī)設(shè)備應(yīng)配備必要的斷電保護(hù)電源���。
5.4各單位所轄微機(jī)的使用����、清洗和保養(yǎng)工作,由相應(yīng)專業(yè)負(fù)責(zé)人負(fù)責(zé)�;各專業(yè)負(fù)責(zé)人必須經(jīng)常檢查所轄微機(jī)及外設(shè)的狀況,及時發(fā)現(xiàn)和解決問題�。
5.5由于計算機(jī)設(shè)備已逐步成為我們工作中必不可少的重要工作。因此�����,計算機(jī)部決定將計算機(jī)的管理納入對各專業(yè)負(fù)責(zé)人的考核范圍�����,并將嚴(yán)格實行���。
5.5.1凡是發(fā)現(xiàn)以下情況的,計算機(jī)部根據(jù)實際情況追究當(dāng)事人及其直接領(lǐng)導(dǎo)的責(zé)任���。
A. 計算機(jī)感染病毒
B. 私自安裝和使用未經(jīng)許可的軟件(含游戲)
C. 微機(jī)具有密碼功能卻未使用��;
D. 離開微機(jī)卻未退出系統(tǒng)或關(guān)機(jī)����;
E. 擅自使用他人微機(jī)或外造成不良影響或損失;
F. 沒有及時檢查或清潔計算機(jī)及相關(guān)外設(shè)�。
5.5.2凡發(fā)現(xiàn)由于以下作業(yè)而造成硬件的損壞或丟失的,其損失由當(dāng)事人負(fù)責(zé)�。
A. 違章作業(yè)
B. 保管不當(dāng)擅自安裝、使用硬件�����、和電氣裝置����。
5.6 員工的電子郵件可能會為企業(yè)網(wǎng)絡(luò)帶來好幾種漏洞,例如收到不請自來的郵件卻毫無警惕便直接打開其附件��,或是未對附件文件掃描是否有病毒藏匿其中便直接開啟文件等等��。此外���,企業(yè)若不主動將新的病毒庫派送到員工的計算機(jī)上��,強(qiáng)制施行公司制定的政策�����,而是安全信任員工隨意更新自己計算機(jī)上的病毒庫��,那么就算員工每次都很謹(jǐn)慎掃描文件���,確定沒有病毒后才打開文件����,仍然有被病毒感染的風(fēng)險�����。更有甚者���,若是放任不當(dāng)?shù)碾娮余]件���、色情或其它具有攻擊性的內(nèi)容在辦公室到處流竄,企業(yè)更有可能會面臨法律上的種種問題�����。
5.7密碼是大部份企業(yè)的主要弱點��,因為人們了節(jié)省時間��,常常會共享或選擇簡單的密碼����。密碼若不夠復(fù)雜,便很容易被別人猜測到并用來取得機(jī)密資料�。其實
網(wǎng)絡(luò)安全的弱點還在于不是只有使用者有密碼而已,若態(tài)度不夠 謹(jǐn)慎��,只要稍微運(yùn)用一下手碗便可讓他們吐露出來�����,例如通過電話或電子郵件假裝一下���,通常就能把員工的密碼騙到手�。
5.8完全不知道如何防范各式各樣的安全漏洞�����。例如通過社交手段套取等等�����,便會使得企業(yè)門戶大開��,容易受到各種攻擊。未受到正確訓(xùn)練或不滿意工作的員工����,更可能把企業(yè)獨家或敏感資料泄露給競爭對手等不應(yīng)該接觸的這些資料的人。
5.9企業(yè)應(yīng)決定由誰負(fù)責(zé)主導(dǎo)政策的制定與執(zhí)行�,人事部門則應(yīng)在員工的新進(jìn)訓(xùn)練時以書面告知公司的政策,待員工同意后要求其簽名確認(rèn)已了解并愿意遵守公司相關(guān)規(guī)定�,之后必須嚴(yán)格執(zhí)行規(guī)定,絕對不能有例外����。公司頌的政策內(nèi),應(yīng)明確制定違反規(guī)定的處罰細(xì)則�。一般而言,安全系統(tǒng)與網(wǎng)絡(luò)管理人員應(yīng)該建構(gòu)安全防護(hù)機(jī)制��,成立緊急應(yīng)變小姐以應(yīng)會可能發(fā)生的漏洞�,并與人事部門密切合作,隨時報告可疑的狀況�����。
5.10網(wǎng)絡(luò)的維護(hù)
5.10.1設(shè)立網(wǎng)際網(wǎng)絡(luò)使用規(guī)范���,讓員工了解公司對員工個人使用電子郵件與計算機(jī)的規(guī)定���。此外,明確的網(wǎng)絡(luò)的使用規(guī)范可提高IT人員設(shè)定與監(jiān)視網(wǎng)絡(luò)安全方案的效率����。
5.10.2采及能夠掃描郵件是否含有不適當(dāng)內(nèi)容的技術(shù),并記錄違反公司管制規(guī)定的網(wǎng)絡(luò)行為��。
5.10.3法律專家認(rèn)為����,監(jiān)視員工的電子郵件與網(wǎng)絡(luò)行為在公司而對法律訴訟時,有利于保護(hù)公司本身����,因此企業(yè)應(yīng)當(dāng)設(shè)立使用規(guī)范,并采用內(nèi)容監(jiān)視機(jī)制���,保護(hù)員工不受任何騷擾�。
5.10.4訓(xùn)練員工了解如何應(yīng)該及時下載最新的防毒更新資料�����,如何辨認(rèn)電腦是否有可能中毒�,并教導(dǎo)員工如何開啟檔案之前掃描檔案是否有病毒��。
5.10.5修補(bǔ)軟件的漏洞����,降低病毒透過網(wǎng)面或電子郵件滲入企業(yè)網(wǎng)絡(luò)的機(jī)會���。
制定密碼使用規(guī)范�,要求員工經(jīng)常更換密碼�����,并教育員工防范社交欺騙手段���,要求他們無論如何都不可以交出密碼����。
5.10.6審查每個員工是否須接觸機(jī)密資料����,并嚴(yán)格限制機(jī)密資料,并嚴(yán)格限制機(jī)密資料只開于工作上絕對需要的員工使用��。
5.10.7警告員工下載免費軟件等各種程序可能引起的危險。
6. 相關(guān)文件
無
7�����、相關(guān)記錄
無
?
